Ограниченные учётные записи windows 10

Настройка

По умолчанию в режиме киоска запрещен запуск всех приложений кроме разрешенных, при этом AppLocker не работает. Данное ограничение будет действовать на все учетные записи группы «Пользователи», включая те, которые не указаны в настройках мультикиоска.

Для системы 1809.

Если в результате выполнения команды «Dism /online /Get-Intl» в параметре «Язык пользовательского интерфейса по умолчанию» язык «ru-RU», то режим мультикиоска не будет работать. Значение языка в данном параметре можно установить только при первой загрузке в OOBE режиме.

Настройка расположения плиток

Нажмите «Win+s», найдите необходимое приложение и нажмите на нем правой кнопкой мыши, выберите пункт «Закрепить на начальном экране». Добавьте все необходимые приложения на начальный экран, настройте желаемое расположение и размер плиток.

После настройки начального экрана выполните экспорт текущего состояния плиток с помощью команды:
Для UWP приложений

Export-StartLayout -UseDesktopApplicationID –Path (путь к XML-файлу)

Для CWA приложений

Export-StartLayout –Path (путь к XML-файлу)

Измените пути к приложениям по нижеуказанному принципу:

• Для UWP приложений путь к приложению должен выглядеть как DesktopApplicationID= «(ID приложения)»
• Для CWA приложений путь к приложению должен выглядеть как DesktopApplicationLinkPath=«(путь к ярлыку)»

При указании пути к ярлыку классических приложений можно использовать переменные пути среды CMD

Создание конфигурационного файла

Вы можете использовать примеры конфигурационных файлов, которые находятся в нашем наборе скриптов

Сохраните и замените данные внутри секции «CDATA» данными, полученными на предыдущем шаге.

«<!]»

В секции «AllowedApps» укажите приложения, которые будут разрешены для запуска. Запуск остальных приложений будет запрещен. Для классических приложений необходимо указать полный путь к файлу исполнения, а для универсальных приложений необходимо указать «AppUserModelId».

В файле можно указать различные настройки для множества пользователей. Для связки профиля настроек с учетной записью необходимо указать одинаковые «GUID» в ID профиля

Profile Id="{GUID}"

и в конфигурации учетной записи

<DefaultProfile Id="{GUID}"/>

Если для применения настроек Вы будете использовать вспомогательный скрипт из нашего набора скриптов, то вместо «GUID» можно указать имена учетных записей. Скрипт автоматически создаст GUID и пропишет одинаковый GUID вместо одинаковых имен пользователей

Режим ограниченного доступа

Для настройки запуска одного приложения в конфигурационном файле необходимо указать только ID приложения и имя учетной записи, пример конфигурационного файла можно найти .

Обратите внимание, что на сайте в примере конфигурационного файла настроек запуск UWP приложения «Калькулятор». В LTSC по умолчанию есть только одно UWP приложение – «Парамтры Windows».

Применение конфигурационного файла

Скачайте утилиту «PsExec».

Запустите консоль с повышенными привилегиями и выполните команду «psexec.exe -i -s powershell».

В новой среде выполните команды где переменная «$Config» — файл конфигурации:

$script:NameSpace="root\cimv2\mdm\dmmap"
$script:ClassName="MDM_AssignedAccess"
$local:MultiAppKiosk = Get-CimInstance -Namespace $NameSpace -ClassName $ClassName
$MultiAppKiosk.Configuration = $Config
Set-CimInstance -CimInstance $MultiAppKiosk

При необходимости сбросить настройки мультикиоска необходимо выполнить команды

$MultiAppKiosk.Configuration = $Null
Set-CimInstance -CimInstance $MultiAppKiosk

Set up a kiosk using Settings App of Windows 10

Settings app of Windows 10 comes built-in. So, you don’t need to download and install it separately. It lets you create a separate account for kiosk mode and that account will have only one app, nothing else. There will be no Start menu, Taskbar, Task Manager, File Explorer, etc. Only that app will be visible and available to use. Also, do note that you can select only one of the built-in apps of Windows 10 for kiosk mode.

To set up Windows 10 kiosk mode, first of all, make sure you are using the 1809 version (October 2018 update) of Windows 10. After that, follow these steps:

Step 1: Access “Accounts” menu in the Settings app (Windows logo key + I).

Step 2: The Accounts menu has “Family & other users” page. Click on that page and you will see “Set up a kiosk” section on the right side. Do a click on “Assigned access” option under that section.

Step 3: In the next step, you will see a Get started button. Use that button and a pop-up will open where you need to add a custom name for the kiosk account you’re going to add.

Step 4: Now you need to add an app for that kiosk mode. There will be a list of built-in apps (like Microsoft Edge, Camera, Maps, Calendar, Game bar, Mail, OneNote, Movies & TV, etc.) in front of you. Select an app and press the Next button.

That’s it! Your kiosk mode Windows 10 account is created and you can see the name and app for that kiosk mode.

Now lock your PC and you will see kiosk mode account there. Select that account and you will enter in the kiosk mode.

Since kiosk mode account doesn’t have any Start button, Taskbar, etc., so you need to use Ctrl+Alt+Del to sign out from that account and access the original account (local or Microsoft account). Using that main account, you can also change the kiosk mode app or simply remove the kiosk mode. Access set up a kiosk section under Settings and then you will be able to change app and remove the kiosk account.

Step One: Create a User Account for Assigned Access

Rather than turn your entire computer into a locked-down kiosk system, Assigned Access allows you to create a separate user account that can only launch a single app. To set this up, you must be logged into Windows as a user with administrator permissions.

On Windows 10, open the Settings app and navigate to Accounts > Family & Other People. Click «Add Someone Else to This PC».

On Windows 8.1, open the PC Settings app and head to Accounts > Other Accounts > Add an Account.

Decide whether you want to sign in with a Microsoft account or not. If you’re setting up a locked down web browsing mode, you may not want to use a Microsoft account. But, if you need to install apps from the Windows Store to use in Assigned Access mode, you’ll have to set up a Microsoft account instead of a local account. A local account will still allow you access to the universal apps included with Windows 10.

Windows 10 will guide you towards creating a Microsoft account by default. If you’d rather create a local user account, click «I Don’t Have This Person’s Sign In Information» and then click «Add a User Without a Microsoft Account» to create a new local user account. Enter a name like «Kiosk» and whatever password you like.

On Windows 8.1, «Sign In Without a Microsoft Account» and then click «Local Account» to create a local user account.

Enter a name like «Kiosk» for the user account. You may want to create a user account with a blank password. This will make it simple for anyone to access kiosk mode, even if the system becomes locked or needs to be rebooted.

The account will be created as a standard user account with limited system permissions. Leave it as a standard user account—don’t make it an administrator account.

FrontFace Lockdown Tool

FrontFace Lockdown Tool is a feature-rich software which helps to turn PC into a digital signage player PC or interactive kiosk terminal. For both the options, there are separate profiles. And for each profile, it provides pre-defined options which you can configure as per your requirements. For example, for interactive kiosk terminal, it provides various options, such as disable Cortana, disable:

• Windows Search.
• Audio.
• Cameras.
• Driver Updates.
• Windows Feature Updates.
• Telemetry.
• Shutdown.
• Autorun.
• Log off.
• Lock Workstation.
• Change password.
• Windows Task Manager.
• Screensaver.
• Sticky Keys.
• All USB Storage Devices.
• Hide/show drives.
• Enable Windows Tablet Mode.
• Hide Blue Screens, etc.

I wasn’t able to find out the options to disable apps and programs. So, this software is mainly helpful to enable kiosk mode in Windows 10 for Windows functions and features only. While some of these options can be disabled using Registry Editor or Group Policy Editor, it is a bit difficult as well as time consuming to use those methods. Therefore, this software is handy where you can load a pre-defined profile, change options, and apply the profile to turn on kiosk mode in Windows 10.

To set up the kiosk mode and get step by step instructions, you can check the detailed and separate review of this tool here.

How to turn on or off Assigned Access?

You must be signed in as an administrator in order to turn on or off assigned access for a local standard user account. Here are the steps:

1. How to turn on this feature – Through these steps, users will only have access to the selected app whenever they sign in to the selected account.
2. Add a new local account as a standard user to be used for assigned access.
3. Sign in to the new account. Afterwards, open the Store app and install the app to be used with assigned access.
4. Sign out of the new account and sign back in to your admin account.
5. Open Settings. Click on the Accounts icon.
6. Click on Family & other people located on the left side and then click on the Set up assigned access link found on the right.
7. Click on Choose an account. Select the local standard user account created earlier.
8. Click on Choose an app. Select an available app you want set up and used with assigned access.
9. Assigned access is now turned on for the particular account. Close Settings as you like.
10. How to turn off this feature– Simply open Settings, and then click on the Accounts icon. Click on Family & other people on the left and click on the Set up assigned accesslink on the right. Click on Turn off assigned access and sign out the selected account. You may now close Settings as you please.

Note: Use Ctrl+Alt+Del to exit assigned access since you may not have access to the Start menu.

Как сменить пользователя

Поскольку при использовании режима учетная запись не имеет доступа к большинству приложений, из нее нельзя выйти привычными способами. Однако сделать это все равно несложно: нужно лишь одновременно нажать клавиши Ctrl, Alt и Delete.

Итак, включить режим киоска Windows 10 может каждый. Эта функция очень проста, но не слишком полезна: большая часть рядовых пользователей в ней не нуждается. Несмотря на это, такое знание никогда не будет лишним, ведь с помощью режима можно значительно ограничить деятельность, например, ребенка за компьютером.

Вы можете настроить Windows 10 Pro, Windows 10 Enterprise и Windows 10 Education как устройство в режиме киоска , чтобы запускать одно универсальное приложение Windows с помощью функции Назначенный доступ . Этот пост показывает, как это сделать.

Для устройства киоска для запуска универсального приложения Windows мы можем использовать эту функцию Назначенный доступ . Чтобы Windows 10 Enterprise или Education работали с классическим программным обеспечением Windows, вам нужно использовать Панель запуска оболочки , чтобы установить пользовательский интерфейс в качестве оболочки.

При использовании функции «Назначенный доступ» пользователь не имеет доступа к рабочему столу, меню «Пуск» или любой другой части компьютера. Он может только получить доступ и использовать определенную функцию.

Настройка Windows 10 в режиме киоска с использованием назначенного доступа

Откройте настройки Windows 10 и выберите «Учетные записи». Нажмите «Семья и другие люди» слева, чтобы открыть следующие настройки.

Прокрутите вниз и в конце вы увидите ссылку Настроить назначенный доступ . Нажмите на него, чтобы открыть следующее окно.

Теперь вам придется выбрать учетную запись , под которой вы хотите запустить устройство в режиме киоска.

Сделав это, вы должны будете в следующий раз щелкнуть ссылку Выбрать приложение и во всплывающем окне выбрать приложение Universal Windows, к которому вы хотели бы предоставить доступ.

Перезагрузите компьютер, чтобы выйти из всех учетных записей пользователей.

СОВЕТЫ: ​​

1. Чтобы выйти из назначенной учетной записи доступа, поскольку у вас может не быть доступа к меню «Пуск», вам придется использовать Ctrl + Alt + Del .
2. Чтобы изменить приложение Universal, щелкните его (в нашем примере это приложение «Карты») и выберите другое приложение во всплывающем окне.
3. Чтобы удалить учетную запись, выберите здесь учетную запись пользователя Kiosk, а затем выберите Не использовать Назначенный доступ в появившемся всплывающем окне.

Безопасный режим киоска Windows 10

Для более безопасной работы в киоске вы хотите внести дополнительные изменения в конфигурацию устройства:

Для получения более подробной информации о том, как настроить устройство под управлением Windows 10 Pro, Windows 10 Enterprise, Windows 10 Education, Windows 10 Mobile или Windows 10 Mobile Enterprise в качестве устройства киоска, и дополнительно заблокировать его, посетите эту ссылку TechNet.

Читать дальше . Как настроить режим общего компьютера в Windows 10 с помощью групповой политики.

В Windows 10 Назначенный доступ — это функция, которая позволяет сетевым администраторам настраивать ПК в качестве устройства киоска для выполнения определенной цели. Обычно такую ​​конфигурацию можно найти на ПК в вестибюле, чтобы гости могли просматривать Интернет, или на устройствах, которые отображают визуальный контент, например цифровые вывески.

При использовании режима киоска в Windows 10 устройство автоматически входит в систему и запускает только одно приложение Microsoft Store в полноэкранном режиме под ограниченной учетной записью локального пользователя (над экраном блокировки), что предотвращает доступ кого-либо к рабочему столу, переключение приложений или изменение настроек. ,

Несмотря на то, что режим киоска не является новой функцией в Windows 10, начиная с обновления за октябрь 2018 года , Microsoft переработала интерфейс, чтобы упростить настройку и управление в качестве машины киоска для одного приложения.

В этом руководстве по Windows 10 мы расскажем, как настроить и управлять режимом киоска для запуска одного приложения в полноэкранном режиме с настройками, доступными начиная с обновления за октябрь 2018 года.

How to setup Kiosk Mode

Follow the following steps below to have this configured.

• Step 1: Ensure all prerequisites are meant
• Step 2: Use AutoLogon.exe to configure the automatic logon. In this way, you will not be using the Registry settings for Auto-login. Please download AutoLogon.exe Toolere.

Enable Automatic Logon on Windows 10 via SysInternal Too (AutoLogon.exe)

Note: If this is properly configured now, upon restart, the account (kiosk) configured for autologon will automatically logon. To verify this, use the switch below. See how this is done here.

Auto logon can also be configured via the registry, see the Enable Automatic Logon for this as well.

Note: This step is optional (Export the XML file in order to create a similar layout). This step can be ignored, but to get the best (desired) start layout, configure the start layout and tiles and import them.

Step 3: Create the XML with the MDM WMI Bridge Provider

A configuration XML can define multiple profiles. Then, wrap this in PowerShell by using the MDM bridge to apply the AssignedAccess configuration.

Ensure to save this file below with the PowerShell script with the extension “.ps1”. Each profile has a unique Id and defines a set of applications that are allowed to run, whether the taskbar is visible etc. You may want to see how a Single App Kiosk Mode Configuration using MDM Bridge WMI Provider is configured.

Note: The profile ID needs to be identical and unique all through the file.

Step 4: Run the script

The MDM Bridge WMI provider will be used to configure Notepad++ for the Kiosk (Domain User). The script must run and will be executed in the system context. So it makes sense to have this script placed in C:\Windows\System32 location.

Here is how to use the PsExec PsExecTool how to use it:

Note: If you just select enter here, the script will never run. As it would assume the default standard of No (Nein )

You can use the first three lines of the PS1 script to query the Assigned Access MDM to ensure that the code has been injected correctly. Or whenever you update the code and re-inject, you would need to check your changes have been accepted.

Check the $Obj variable to confirm. This will display the Assigned Access Configuration file as shown below. Without following the order, using the object variable will not work and the desired out will not be prompted.

Signout and Sign-in with the Assigned Access Account

After applying the script, you MUST sign out of the current account that is being used to configure the Assigned Access and login as the Assigned Access user and this will take effect immediately and work as desired.If you decide to turn the VM off, the Auto logon will automatically logon on to the kiosk use as shown below before the settings are applied.

Note: In this step, windows start configuration (apply the XML file), sorting out driers and applying data structures as shown below.

At this point, the “Getting Windows ready”. This includes downloading and installing files or performing some tasks in the background. This can take a while for your device to finish these tasks.

Note: You can add this PowerShell script to a task sequence on WDS (as a post-installation or custom installation).

I hope you found this blog post helpful on how to setup Kiosk Mode on Windows 10 with AD User Account. If you have any questions, please let me know in the comment session

2. Режим гостя

Для встречных-поперченных людей, которым вроде как и неудобно отказать в просьбе дать на пару минут зайти в соцсеть, но и не очень хочется подпускать к своим личным данным, в панели управления Windows 7 можно было включить специальную учётную запись гостя. В «Десятке» она никуда не делась, вот только включается чуть сложнее. В режиме гостя используется в большей степени ограниченная учётная запись, чем таковая со статусом стандартного пользователя. Гостю нельзя делать всё то, что требует прав администратора – устанавливать, удалять, запускать программы, удалять системные данные, смотреть содержимое каталогов профиля других пользователей. Нельзя использовать OneDrive. Доступ к настройкам в UWP-формате ограждён невозможностью запуска приложения «Параметры».

Чтобы включить учётку гостя в Windows 10, запускаем штатную утилиту:

lusrmgr.msc

Раскрываем каталог «Пользователи», в нём двойным кликом кликаем по «Гостю». В отрывшихся свойствах убираем все установленные галочки. Применяем.

Теперь нужно кое-что подправить в локальных групповых политиках. Открываем редактор:

gpedit.msc

Раскрываем путь, указанный на скриншоте. Открываем параметр, запрещающий локальный вход.

Удаляем гостя.

И тем самым активируем его учётную запись.

Summary

Are you building a kiosk computer or you only want to restrict users to interact with a single app? Then use this guide to set up Assigned access (Kiosk Mode) on Windows 10 and Windows 10 Pro.

Assigned access (Kiosk Mode) is a feature that allows you to create a lockdown environment that lets users interact with only one app when they sign into a specified account. With this feature, users won’t be able to get to the desktop, Start menu, or any other app, including the Settings app.

In this guide, we’ll walk you through the steps to set up Assigned access on your computer using your administrator account and a standard account, which will be used to let users interact with a particular app.

You can find the relevant content in the following sections:

• How to set up Kiosk Mode on Windows 10
  • Set up Kiosk Mode by configuring Assigned access on Windows 10
  • How to disable Assigned access on Windows 10
• How to set up Kiosk Mode on Windows 10 Pro
  • Set up Kiosk Mode by configuring Assigned access on Windows 10 Pro
  • How to disable Kiosk Mode on Windows Pro

Что такое режим киоска в Windows

Как упоминалось ранее, режим киоска позволяет запускать только специальное приложение, блокируя выполнение пользователем каких-либо других задач. Например, если он был настроен для запуска приложения, то пользователю не будет разрешено запускать какое-либо другое приложение, если приложение не будет изменено администратором.

Обратите внимание, что режим киоска применяется к вновь созданной учетной записи пользователя. После настройки все, что нужно сделать конечному пользователю, — это войти в эту конкретную учетную запись, чтобы войти в режим киоска, и выбранное приложение запустится автоматически

Тем не менее, есть несколько ограничений в режиме киоска.

Ограничения режима киоска

Режим киоска — это ограниченная среда с точки зрения разрешенных действий. Кроме того, существуют определенные условия, связанные с самой учетной записью пользователя, которые необходимо выполнить, чтобы настроить ее в режиме киоска.

• Учетная запись киоска должна войти в систему на физическом устройстве, так как удаленный рабочий стол не разрешен. Если вы попытаетесь войти в систему удаленно, вы столкнетесь с ошибкой, как показано на следующем изображении:

  Запрос на удаленный вход

• Учетная запись киоска должна быть стандартной учетной записью пользователя, а не учетной записью администратора или Microsoft. Это не должно быть проблемой, поскольку учетная запись пользователя для режима киоска создается автоматически в процессе установки, и вам не нужно создавать ее заранее.

• В учетной записи пользователя, для которой вы настроили режим киоска, не будет меню «Пуск», панели задач, проводника, рабочего стола и т. д.

• Вы не сможете использовать горячие клавиши, чтобы открыть приложение «Настройки», «Проводник» и т. д.

• Поскольку приложение будет работать в полноэкранном режиме в режиме киоска, вы можете использовать только Ctrl+Alt+Del горячая клавиша для выхода из этой учетной записи киоска.

• Режим киоска доступен только в выпусках Windows Enterprise, Education и Professional. В других выпусках (например, Windows Home) вы можете увидеть в приложении «Настройки» параметр для настройки режима киоска, но кнопка не активна.

• Одновременно можно настроить только одну учетную запись киоска. Вы не можете настроить 2 или более учетных записей киоска для запуска 2 разных приложений с использованием разных учетных записей.

Давайте теперь продолжим смотреть, как настроить режим киоска в Windows.

For newer versions of Windows 10 and Windows 11

To set up kiosk mode for Windows 10 versions 1809+ and Windows 11, you will need to follow these steps:

1. Press the Windows key and select the settings icon.
2. Select Accounts, and Family & other users (also sometimes labeled as “Other users”).

   If you do not see either of these options listed, you may be logged into a standard user account. In this case, you will need to log into the administrator account to see this option.

3. Under Set up a kiosk, click on Assigned access and select Get started.
4. From there, you will be prompted to set up an account.

   For this, you will need to enter a name for the account. If you have any pre-existing local standard user accounts set up on the device, “Choose an existing account” will be displayed.

5. Choose an app you want kiosk mode to run.
6. Click Next, and Close.

Once you have successfully completed your account setup, you will be able to use your device as a kiosk. To enable kiosk mode, you will need to sign into the account you just created or set up an account to auto-login. When you sign in, the app you selected to run will automatically start up. To exit the app, press Ctrl+Alt+Delete.

Особенный гость

Обезличенная учётка «Гость» — универсальное решение, удобное, если часто приходится принимать у себя гостей, которым всегда нужно срочно войти на пару минут в свою соцсеть. Если круг гостей узкий, можно сделать приятно, например, любимой бабушке, создав её личную учётку гостя. В той же утилите lusrmgr.msc нужно в меню «Действие» выбрать нового пользователя, дать ему имя и убрать галочку необходимости смены пароля (чтобы учётка была незапароленной). Затем нажать «Создать».

Затем делаем двойной клик на бабушкиной учётке и в окне свойств переключаемся на вкладку «Членство в группах». Удаляем группу «Пользователи».

И добавляем группу «Гости».

Если бабушка станет реже приходить, её учётку, чтобы она не болталась на экране блокировки, можно временно отключать. Делается это в том же окошке свойств учётной записи.

***

Ещё больше урезать возможности гостя или стандартного пользователя можно с помощью локальных групповых политик. Ограничения, введённые ими в окне редактора gpedit.msc, будут работать для всех учётных записей компьютера. А чтобы ограничения не касались администратора и применялись только для отдельных пользователей, с политиками нужно работать через консоль MMC.

Запускаем её:

mmc.exe

Необходимо добавить новую оснастку.

Кликаем «Редактор объектов групповой политики». Нажимаем «Добавить», затем — «Обзор».

Выбираем нужного пользователя.

Готово.

Закрываем форму добавления оснасток. Оснастку gpedit.msc, созданную для выбранного пользователя только что, сохраняем в удобном месте.

С этого места и будем впредь запускать эту оснастку. И ограничивать в ней права юзеров. Например, тройкой предложенных ниже способов.

How to Disable/Remove Kiosk Mode in Windows

If you no longer need the kiosk mode or the kiosk account, you can simply disable it. Disabling the kiosk mode will automatically remove the kiosk account as well.

1. Navigate to the following:

   • In Windows 11 22H2 or above:

   • In Windows 10 and Windows 11 21H2 or older:

2. Here, click Kiosk which will now be showing Active.

   Enter kiosk configuration settings

You will now see the kiosk account name and its app. Click on it to expand the options.

Expand kiosk account

Now click Remove Kiosk.

Remove kiosk account/mode

When asked for confirmation, click Remove.

Confirm removal of kiosk mode

The kiosk account will now be removed from your computer.

You can simply configure it again in the future using the given guide above.