怎么在向日葵远程会话中强制禁用被控端鼠标键盘？

功能定位：为什么需要“强制禁用键鼠”

连锁门店、工业现场或考场机房有一个共同痛点：被控端一旦被店员、考生或现场人员误碰，远程运维流程就会被打断，甚至触发不可逆的系统变更。向日葵在 v15 系列把“锁定键鼠”做成会话级开关，作用域仅限当前远程会话，断开后自动解除，兼顾安全与便利。

与 Windows 自带的“锁定工作站”不同，后者会黑屏并断开所有交互；向日葵只屏蔽本地输入，远程画面保持正常，运维人员可继续后台更新驱动、调 POS 软件或下发补丁，现场人员则能实时目视进度，减少沟通成本。

版本与授权差异

截至当前版本，个人免费版与企业版都提供键鼠锁定，但触发路径略有差异：企业控制台可批量预设“默认锁定”，个人版需每次手动勾选。若主控端低于 v14，即使被控端已升级，锁定按钮也不会出现，需两端同步更新。

桌面端操作路径（Windows / macOS）

Windows 主控端

1. 启动向日葵控制端，输入被控端本机识别码与验证码，点击【远程协助】。
2. 会话建立后，顶部悬浮条→【更多】→【锁定本地键鼠】，图标变为锁形即生效。
3. 如需立即解锁，再次点击或断开远程会话即可。

macOS 主控端

路径与 Windows 一致，快捷键为 Shift + ⌘ + L；若系统提示“辅助功能权限不足”，需前往【系统设置→隐私与安全→辅助功��】删除并重新添加“SunflowerHelper”。

移动端操作路径（Android / iOS）

手机端因屏幕空间有限，锁定入口藏在手势菜单里：横屏进入远程桌面后，单指下滑呼出顶部工具条→右侧“···”→【锁定键鼠】。锁定成功后，被控端屏幕会叠加半透明水印“已锁定”，防止现场人员误判系统卡死。

无人值守场景：如何默认启用锁定

企业控制台→【策略模板】→【远程桌面】→勾选【进入会话立即锁定本地键鼠】，再把模板绑定到对应分组即可。经验性观察：对 200+ 门店 POS 机应用该策略后，夜间批量更新因误触导致失败的比例从约 5% 降至不足 1%。

边界条件：哪些情况锁定会失效

• 被控端为 Linux 纯命令行环境，无 X11/Wayland 会话，锁定指令无法注入。
• Windows 安全模式带网络，向日葵服务以最小集启动，锁定驱动未加载。
• 远程会话中被控端手动按 Ctrl + Alt + Del，系统安全桌面会强制解除锁定。

警告：若现场人员长按电源键强制关机，软件层锁定无法阻止；建议配合 BIOS 电源密码或机柜物理锁。

副作用与缓解方案

锁定期间，被控端 USB 扫码枪、小票打印机等 HID 设备也会被屏蔽，可能导致收银流水中断。若业务必须保持外设，可在【策略模板】中把“仅屏蔽键盘鼠标，保留其他 HID”开关打开（企业版 v15 以上可见）。经验性观察：开启后，扫码枪可继续工作，但触控屏仍被禁用，需权衡使用。

验证与观测方法

1. 锁定成功后，现场晃动鼠标，光标应无位移；
2. 在远程端打开 notepad，输入任意字符，若本地键盘被屏蔽，则 notepad 无回显；
3. 查看向日葵日志：Windows 位于安装目录logssunlogin_service_yyyy-mm-dd.log，检索关键词“BlockInput=1”即代表锁定生效。

回退方案：远程无法解锁怎么办

若网络中断导致主控端掉线，被控端仍保持锁定，可：

• 让现场人员双击屏幕右下角向日葵托盘图标→【临时解锁】（需预先告知其验证码）；
• 或等待 5 分钟无会话心跳，客户端自动释放锁定；
• 极端情况下，远程开机棒强制重启机器。

FAQ（结构化数据）

适用/不适用场景清单

场景	建议
连锁门店夜间批量更新 POS	强烈开启默认锁定，减少误触
工业现场 HMI 触屏需手动补录数据	不锁定或放行触控，避免产线停线
线上考试机房远程监考	锁定+屏幕广播，防止考生退出客户端
居家办公协助父母操作电脑	不锁定，让父母同步看到鼠标轨迹

最佳实践 5 条

1. 企业先在小范围试点 10 台设备，确认外设兼容再推全量。
2. 策略模板命名带版本号，如【POS-v15.3-锁定】，方便回滚。
3. 在机房张贴提示：“远程维护中，鼠标键盘已锁定，5 分钟后自动恢复”，减少现场恐慌。
4. 把向日葵托盘图标设为“始终显示”，方便店员双击临时解锁。
5. 定期导出策略变更日志，满足 ISO27001 审计要求。

收尾：下一步行动

如果你负责 50 台以上终端，建议立刻登录企业控制台，创建一个“默认锁定”策略并绑定测试分组，观察一周后再全量推送；个人用户则可在下次远程帮父母修电脑时，先不锁定完成教学，再在更新补丁时体验锁定功能，逐步熟悉边界。记住：锁定只是手段，提前告知现场人员才是减少投诉的关键。