Способов управления и методов воздействия на тонкий клиент несколько:

Тонкий клиент является рядовым членом домена MS AD - компьютером. Поэтому блокировка соответствующего объекта службы каталогов влечет за собой невозможность авторизоваться на нем доменным пользователям. Разблокировка ТК снова позволяет использовать его в доменном окружении.

Изначально зарегистрироваться на тонком клиенте могут лишь доменные пользователи и только интерактивно.
Локальных учетных записей - нет, пароль суперпользователя root - заблокирован.

Удаленный доступ по SSH разрешен исключительно с IP-адреса сервера управления, поэтому только таким способом можно «попасть» на тонкий клиент локальным администратором: с авторизацией по ключу, публичная часть которого инсталлируется при развертывании тонкого клиента:

ssh 192.168.100.100

Основной способ управления. Тонкие клиенты подключены к нескольким репозиториям (см. Репозитории ТК) из которых они устанавливают и обновляют пакеты по определенным условиям:

Самый главный репозиторий. Его пакеты устанавливаются все целиком и обновляются безусловно.
Появление нового пакета (или новой версии) гарантирует его распространение на ТК в самое ближайшее время.

Репозиторий дополнительных пакетов управления, которые не требуются всем ТК, но некоторым могут быть полезны.
Устанавливаются вручную администратором и после этого будут обновляться так же как и пакеты из главного репозитория.

Репозиторий OS из которого «собрана» операционная система ТК.
Обновления из него загружаются на ТК в щадящем режиме и применяются только при перезагрузке.

Аналог zmb-os - для тестовой группы ТК. Пакеты с новым релизом операционной системы.

Механизм работы с репозиториями реализован в системном сервисе zmb, который стартует при запуске тонкого клиента и на периодической основе просматривает их содержимое и выполняет соответствующие установки или обновления.

Сам сервис zmb располагается в репозитории zmb-basic и самообновляется при первой же возможности. Неработоспособность сервиса или недоступность репозиториев не влияют на общую работоспособность ТК, кроме отсутствия централизованного управления через пакеты. После восстановления все накопившиеся изменения будут сразу же применены.