Заметки о Windows и других программных продуктах Microsoft...

Ограниченный доступ в Windows 8.1

Ограниченный доступ в Windows 8.1

В  Windows 8.1 появилось несколько новых возможностей, одной из которых является режим ограниченного доступа (Assigned Access), или как его еще называют режим киоска (Kiosk mode). В этом режиме пользователь может работать только с одним конкретным ModernUI приложением, без возможности выйти из него или запустить что либо другое.

Использование классических десктопных приложений в режиме ограничения доступа запрещено, так как они дают пользователю слишком много свободы, не обеспечивая необходимый уровень безопасности. Одновременно ограничить доступ можно только для одного пользователя, назначить которому можно только одно приложение. Невозможно назначить для одного пользователя несколько приложений или включить ограничение для нескольких пользователей, назначив каждому свое приложение.

Основной областью применения режима киоска, как и следует из названия, являются терминалы публичного доступа либо демонстрационные устройства. Хотя при наличии фантазии этой фиче можно найти применение и в домашних условиях,  например создать учетную запись с развивающим приложением для маленького ребенка.

Включение ограниченного доступа

Включить ограничение доступа можно из новой панели управления. Сама процедура настройки ограниченного доступа достаточно проста. Нажимаем Win+I и идем в «Изменение параметров компьютера».

Изменение параметров компьютера

 

В окне параметров ПК переходим в «Учетные записи» -> «Другие учетные записи» и выбираем пункт «Настройка ограниченного доступа для учетной записи». Если у вас нет лишней 🙂 учетной записи, то ее можно создать здесь же, выбрав пункт «Добавление учетной записи».

Другие учетные записи

 

Затем выбираем пользователя, которому мы ограничиваем доступ

Выбор пользователя

И выбираем из списка приложение, которое будет этому пользователю доступно. Обратите внимание, что под этой учетной записью нужно хотя бы раз войти в систему, иначе список приложений будет пустым.

Выбор приложения

Назначив ограниченный доступ, перезагружаем компьютер, заходим под пользователем и получаем удовольствие от работы. В режиме ограниченного доступа доступно только одно приложение, а все горячие клавиши, сочетания клавиш и жесты, с помощью которых можно свернуть\закрыть приложение или получить доступ к настройкам системы, заблокированы. Для выхода из режима ограниченного доступа надо пять раз нажать левую клавишу Win, после чего вас выкинет на экран приветствия. Имейте в виду, что для этого вам потребуется физическая клавиатура, так как виртуальная клавиатура в этом режиме недоступна.

Также для ограничения доступа можно использовать PowerShell, где специально для этого есть модуль AssignedAccess. Например, назначить пользователю User приложение Финансы можно следующей командой:

Set-AssignedAccess -UserName User -AppName Microsoft.BingFinance

А посмотреть результат командой:

Get-AssignedAccess | Format-List

Управление ограниченным доступом через PowerShell

 

Уточнить, какие приложения доступны для конкретного пользователя, можно командлетом Get-AppxPackage, например так:

Get-AppxPackage -User User | select Name

Вывод приложений для данного пользователя

 Отключение ограничения доступа

Для отключения ограниченного доступа надо перейти в настройки, выбрать учетную запись и указать «Не использовать ограниченный доступ». Также для отключения можно воспользоваться командой PowerShell, выполнив команду Clear-AssignedAccess. Напомню, что все изменения, связанные с ограниченным доступом, требуют обязательной перезагрузки.

Отключение ограниченного доступа

Особенности работы

Вместо заключения я расскажу о некоторых косяках особенностях работы Assigned Access, с которыми мне пришлось столкнуться.

На сайте инженеров поддержки Microsoft я нашел информацию о том, что по соображениям безопасности из режима ограниченного доступа исключены некоторые приложения — Параметры ПК, Магазин и Internet Explorer. Это вполне объяснимо, ведь с помощью этих приложений пользователь может получить доступ к настройкам системы. Однако первые два приложения присутствуют в списке, полученном командой Get-AppxPackage, а IE стоит первым в списке при выборе в графической оснастке. Попробовав назначить их в качестве приложений для ограниченного доступа я получил довольно странные результаты.

Приложения «Параметры ПК» (windows.immersivecontrolpanel) и «Магазин Windows» (winstore) можно назначить из PowerShell командой Set-AssignedAccess, а команда Get-AssignedAccess и графическая оснастка показывают, что именно эти приложения назначены пользователю в ограниченном доступе. Однако при попытке войти в систему происходит ошибка и пользователя выкидывает на экран приветствия.

И наоборот, Internet Explorer можно назначить только из графической оснастки. Если после этого запустить Get-AssignedAccess, то будет выдана ошибка и рекомендация очистить список ограниченного доступа. Тем не менее, пользователь может вполне свободно зайти в систему и пользоваться IE. Что же касается безопасности, то возможность запустить какую либо программу или оснастку из окна браузера отсутствует. То есть попробовать запустить можно, но окно браузера сразу же возвращается на передний план. Непонятно, баг это или фича.

А в целом Assigned Access технология интересная, хотя, на мой взгляд, несколько недоработанная.

 
 
Комментарии

Пока нет комментариев.