เดสก์ท็อป W10 ที่ไม่เปลี่ยนรูป/ชั่วคราว

(ตามที่ผู้อ่านอาจเดาได้ ฉันคุ้นเคยและสบายใจในโลกของ Linux/POSIX มากกว่า ดังนั้นโปรดจำไว้เสมอ)

ฉันกำลังอยู่ระหว่างการสร้างแล็ปท็อป n+20 เครื่องขึ้นมาใหม่ ซึ่งมีไว้สำหรับการใช้งานแบบกึ่งสาธารณะ (MakerSpace: คิดว่าเป็นห้องเรียนหรือห้องสมุด) และต้องการตั้งค่าในลักษณะที่ไม่เปลี่ยนแปลง/ชั่วคราว

ฉันต้องการให้พวกเขา 'ล้าง' เป็นระยะ เพื่อให้ทุกอย่างเหมือนกัน/ได้มาตรฐาน และสะอาดสำหรับการใช้งานครั้งต่อไป

ผู้ใช้/ผู้เยี่ยมชมลงชื่อเข้าใช้เดสก์ท็อปและ/หรือเบราว์เซอร์อย่างต่อเนื่องด้วยบัญชี gmail/o365 ส่วนตัว ซึ่งถือว่าเรา/สภาพแวดล้อมของฉันเป็นความเสี่ยงด้านความเป็นส่วนตัวและความปลอดภัย

แผนเกมมีลักษณะดังนี้:

• ตั้งค่าเดสก์ท็อปบรรทัดฐานหรืออ้างอิง (W10) ด้วย
  • ระบบปฏิบัติการแบบแยกส่วน พร้อมการอัปเดต แพตช์ และการปรับแต่งระดับระบบ
  • โหลดบัญชีที่เกี่ยวข้อง - เข้าสู่ระบบ & เบราว์เซอร์เข้าสู่เว็บแอพที่เกี่ยวข้อง (โหลดคุกกี้) ฯลฯ
  • ใช้ไลค์ Winget, choco/vagrant/ansible/puppet/chef/อะไรก็ได้/อื่นๆ เพื่อติดตั้งชุดแอปมาตรฐานของเรา
• การตั้งค่าเซิร์ฟเวอร์ภายใน/ส่วนหลัง 'cloud' สำหรับนักเทียบท่า/VM's/อื่นๆ เพื่อลองใช้ตัวเลือกต่างๆ อย่างรวดเร็ว
  • เครื่องมือสร้างภาพและการปรับใช้ PXE - Foreman, FOG ฯลฯ
  • ผู้เยี่ยมชม/ผู้ใช้จัดเก็บการกำหนดค่าและข้อมูลส่วนตัวบน LAN NAS (ala NextCloud)
• ภาพหรือสร้างสแน็ปช็อตอ้างอิงเป็นระยะของเครื่องอ้างอิง (รวมถึงการอัปเดต) ที่ได้รับการ deplyed ผ่าน PXE

โดยพื้นฐานแล้วสิ่งที่ฉันตามหาคือสิ่งที่คล้ายคลึงกัน Fedora Silverblueนั่นคือเดสก์ท็อปที่ไม่เปลี่ยนรูป/ชั่วคราว ซึ่งไม่มีอะไร "เกาะติด" ระหว่างการรีบูต & พื้นฐานยังคงไม่เปลี่ยนแปลง ลองคิดดูในทำนองเดียวกันว่าอิมเมจของ Docker มีการเปลี่ยนแปลงแบบ "เลเยอร์" ซ้อนทับกันหรือเป็น ZFS หรือ Git ซึ่งการเปลี่ยนแปลงจะถูกถ่ายเป็นสแน็ปช็อตส่วนเพิ่มที่สามารถคอมมิตหรือย้อนกลับได้อย่างสง่างาม

ฉัน/เรายังไม่ได้ผูกมัดกับ AD - สภาพแวดล้อมยังไม่ใหญ่หรือซับซ้อนพอที่จะรับประกันได้ - แต่ฉันรู้ว่าคำตอบสั้นๆ คือการใช้ GPO; ฉันวางแผนที่จะเผาสะพานนั้นในที่สุด

มีวิธีหรือวิธีการปฏิบัติที่ดีที่สุดอื่น ๆ เพื่อให้ฉันบรรลุเป้าหมายนี้หรือไม่? ฉันจะสร้างระบบปฏิบัติการหรืออิมเมจที่ได้รับการ nuked - ตั้งแต่เริ่มต้น - ตลอดการรีบูตจนถึงจุดที่ HDD นั้นใช้แทนกันได้และไม่มีการอัพเดทใด ๆ

สิ่งที่คุณกำลังมองหาคือ ตู้ สถานี.

Microsoft มี โมดูล Unified Write Filter สำหรับการที่.

ตัวอย่างเช่น ไคลเอนต์แบบบางของ HP มาพร้อมกับการติดตั้งนี้และอินเทอร์เฟซผู้ใช้ขนาดเล็กสำหรับจัดการ

ก่อนหน้านี้ฉันใช้โปรแกรมชื่อ DeepFreeze เพื่อล็อคสถานะของคอมพิวเตอร์ แก้ไขปัญหามากมายที่คุณถามเกี่ยวกับปัญหาอื่น ๆ ที่อาจเกิดขึ้น คุณสามารถปิดการใช้งานผ่านการตั้งค่านโยบายกลุ่มที่อนุญาตบัญชีส่วนบุคคล แต่ฉันเชื่อว่าพวกเขาจำเป็นต้องอยู่ใน win pro หากคุณยังไม่ได้ชำระ AD คุณสามารถใช้บัญชีฟรีของโดเมน MS O365 เพื่อจัดการผู้ใช้ คุณสามารถสร้างผู้เช่าทดสอบได้ที่นี่ แต่โปรดทราบว่าอย่างน้อยที่สุด คุณจะต้องมีบัญชี O365 Business Basic 1 บัญชี ~$7 CAD ต่อเดือน ต้องลงทะเบียนผู้ใช้เพียงคนเดียวเพื่อสร้างผู้ใช้รายอื่นสำหรับการเข้าสู่ระบบตามโดเมน https://signup.microsoft.com/create-account/signup?OfferId=B07A1127-DE83-4a6d-9F85-2C104BDAE8B4&dl=ENTERPRISEPACK&ali=1&products=cfq7ttc0k59j:0009