Alternatieven in-en-uitloggen gedeelde windows werkplekken

Ik werk bij een productie bedrijf met meerdere fabrieken in de Benelux. Onze werkplekken draaien Windows 7 en die zijn lid van de active directory. Het beveiligingsbeleid van ons moederbedrijf verplicht ons om elke medewerker een eigen gebruikersnaam en wachtwoord te geven. Op kantoor geeft dit geen enkel probleem.
Echter in de fabrieken geeft dit wel problemen. In de fabriek staan gedeelde werkplekken voor de kwaliteitscontrole en technische dienst. De werkdruk is hoog en veel werknemers zijn laag geschoold. Inlognamen worden onderling gedeeld. Medewerkers die wel volgens de regels werken beklagen zich erover dat het regelmatig in- en uitloggen op de werkplekken teveel tijd kost.
Concreet voorbeeld:
Op een fabriek wordt gewerkt met factory maintenance, daarin worden alle incidenten en onderhoudstaken voor de technische dienst beheerd. Een monteur wordt geacht zelfstandig zijn taken op te halen in het systeem en na afronding af te melden. Op 8 monteurs is daar 1 gedeelde computer voor voorzien. De klacht die ik kreeg van de hoofd technische dienst is dat het elke keer 2 a 3 minuten duurt om te wisselen van account en dan is volgens hem niet werkbaar.

Zijn voorstel was om met een gedeelde username te werken zodat alle monteurs met het onderhoud pakket kunnen werken zonder steeds in- en uit te hoeven loggen. Ik heb hier geen toestemming voor gegeven (maar ik kan het technisch niet tegenhouden als ze met 1 username gaan werken)

Mijn vraag is wat voor mogelijkheden zijn er om deze (en andere) applicatie veilig aan te bieden aan de medewerkers zonder dat ze in- en uit hoeven te loggen.

Opties die ik zelf al heb bedacht:
• De computer laten inloggen met een lokaal user account, dan heb je wel toegang tot de pc en de lokale applicaties maar geen toegang tot netwerk schijven en printers (AD resources). De pc blijft wel lid van het domein en ontvangt wel windows updates, applicatie updates en anti-virus.
• De computer laten inloggen met een gedeelde AD username maar inrichten als “kiosk” pc, waarbij alle applicaties en windows functies zijn geblokkeerd en je alleen toegestane applicaties kunt gebruiken. Hiervoor is wel 3rd party software nodig die we niet hebben.
• Het inzetten van een thin client in combinatie met Microsoft RemoteApp, een thin client heeft standaard geen applicaties en ik kan de applicatie publiceren door middel van een RDP snelkoppeling.
• Elke medewerker zijn eigen computer geven, dat is technisch gezien mogelijk maar niet erg praktisch.

Buiten bovenstaande 4 opties, wat voor mogelijkheden zouden er nog meer zijn?

Bedankt voor de antwoorden tot nu toe. Om wat meer achtergrond te schetsen over de situatie: De volledige kantoor IT is geoutsourcet en wordt vanuit lage lonen landen uitgevoerd. De omgeving is Europees gestandaardiseerd en omvat ongeveer 2200 werkplekken. De computers zijn ongeveer 2,5 jaar oud (intel i5, ssd) en zijn op zich best snel. De domeincontrollers staan in een Duits datacentrum.

De vestiging waar het over gaat heeft een MPLS verbinding van 6mbit want niet erg snel is voor ongeveer 40 werkplekken. We gaan deze upgraden naar 20mbit in de lente volgend jaar.

De snelheid van de systemen zie ik niet als een issue, meer de keten van stappen waar je doorheen moet: Afmelden in Windows, Aanmelden in windows, Applicatie opstarten. Alle stappen kosten tijd.
Onderzoeken of we het proces kunnen versnellen is zeker nuttig, de suggestie om in Windows 7 parallelle sessies in stand te houden wellicht nog wel beter (switch user functie)

Wat sh4d0wman opmerkt is wel terecht dat regels er zijn om nageleeft te worden want ze zijn er voor een reden.

Zoals ik schreef in de OP is het maintenance pakket maar een voorbeeld want het speelt op meerdere plekken. We hebben ook Siemens programmeerlaptops met STEP7 software voor PLC programmeurs erop die nu standalone draaien. (dus onder beheer van de lokale TD) en we hebben ook onze SCADA computers waarbij je niet halverwege een dienst kan zeggen “zo, ik zet de software uit want mijn collega neemt het in de pauze over” want dan staat de machine stil.

De achterliggende gedachte van de OP is mijn mening dat wij als IT het de gebruikers soms best lastig maken. Ze moeten 10 verschillende wachtwoorden aanmaken en onthouden en 90 dagen wijzigen. Je zou eigenlijk naar een ander user authenticatie model willen overstappen die veel gebruiksvriendelijker is. Bijvoorbeeld met een interactie met je mobiele telefoon of gezichts herkenning. Maar volgens mij is er weinig op de markt dat goed werkt (en betaalbaar is) voor de corporate omgevingen. Zelfs Windows Hello gezichtsherkenning is (nog) niet beschikbaar in combinatie met Active Directory.

[ Voor 16% gewijzigd door Metzie op 29-09-2017 14:39 ]

Omdat dit een openbaar forum is moet ik opletten met details maar we zijn deze lente gegroeid tot 186 fabrieken wereldwijd die waarschijnlijk allemaal uniek zijn. Ik denk dat ik zeker niet de enige ben met deze uitdaging. Ik vind de oplossing van sh4d0wman mooi, eens kijken hoever we zo'n ideaal kunnen bereiken.

Dank je voor de updates. Het probleem is niet echt opgelost maar we hebben een werkbare methode gevonden. De betreffende applicatie hebben we omgezet naar RemoteApp met een snelkoppeling op het bureaublad. De applicatie start nu voldoende snel op.

Wat betreft wisselen van users. We hebben 1 extra computer bijgeplaatst en de users geleerd dat ze snel kunnen wisselen van user via de optie "Andere gebruiker". Dat lijkt nu geaccepteerd. Ik zal de 2 nieuwe suggesties hierboven eens evalueren.