Лаборатория развертывания в S-режиме Windows

Создание развертывания в S-режиме начинается с обычного базового образа классического выпуска Windows. S-режим применяется путем применения автоматического файла к подключенному образу Windows. При работе с компьютером в S-режиме производственный процесс имеет некоторые отличия по сравнению с другими версиями Windows. При планировании развертывания необходимо убедиться, что драйверы и приложения поддерживаются в S-режиме.

В этом задании описывается процесс настройки образа рабочего стола Windows в S-режиме для развертывания. Мы настроим образ, настроим S-режим с автоматической настройкой, добавим производственный раздел реестра в WinPE, а затем удалим раздел реестра в режиме аудита. Затем мы настроим восстановление и подготовим образ к отправке.

Итак, начнем.

Получение необходимых средств

Чтобы приступить к созданию образа для развертывания, вам потребуется следующее:

Форматирование USB-ключа

Чтобы подготовить USB-накопитель, создайте отдельные разделы FAT32 и NTFS. Ниже создаются две секции на USB-накопителе. один раздел FAT32 объемом 2 ГБ и один раздел NTFS, который использует остальную часть доступного пространства на диске. Вы хотите убедиться, что на USB-накопителе достаточно свободного места для части WinPE размером 2 ГБ и для хранения больших образов в разделе NTFS:

1. На компьютере технического специалиста запустите среду средств развертывания и создания образов с правами администратора:

   • Нажмите кнопку Пуск и введите Среда средств развертывания и создания образов. Щелкните правой кнопкой мыши Среда средств развертывания и создания образов и выберите Запуск от имени администратора.

2. Откройте diskpart.

   diskpart
   

3. Выберите номер диска USB-ключа и выполните clean команду . Эта команда сделает все данные на USB-ключе недоступными. Убедитесь, что вы выполнили резервное копирование всех данных, которые вы хотите сохранить.

   list disk
   select <disk number>
   clean
   

   Где <номер> диска — это номер USB-накопителя

4. Создайте часть FAT32 для WinPE, пометьте его как "Windows PE" и пометьте его активным.

   create partition primary size=2000
   format quick fs=fat32 label="Windows PE"
   assign letter=P
   active
   

5. Создайте раздел NTFS, в котором будут храниться образы и настройки.

   create partition primary
   format fs=ntfs quick label="Data"
   assign letter=T
   list vol
   exit
   

Создание загрузочного раздела WinPE на USB-ключе

На компьютере технического специалиста:

1. Откройте среду средств развертывания и создания образов от имени администратора.

2. Скопируйте базовые файлы WinPE в новую папку:

   copype amd64 C:\winpe_amd64
   

3. Скопируйте файлы WinPE в раздел FAT32.

   MakeWinPEMedia /UFD C:\winpe_amd64 P:
   

   При появлении запроса нажмите Y , чтобы отформатировать диск и установить WinPE.

Дополнительные сведения о создании диска WinPE см. в статье WinPE: создание загрузочного usb-накопителя.

Создание секции USB данных

1. В проводник откройте ZIP-файл скриптов развертывания и скопируйте папку scripts в раздел Данные USB-накопителя.

2. В среде средств развертывания и создания образов используйте copydandi.cmd для копирования средств развертывания и создания образов на USB-накопитель.

   copydandi amd64 T:\deploymenttools
   

3. Скопируйте все другие настройки, необходимые для режима аудита.

Подключение install.wim и winre.wim

Подключение образа Windows — это тот же процесс, который мы использовали для подключения образа WinPE ранее. При подключении образа Windows (install.wim) вы сможете получить доступ ко второму образу, WinRe.wim, который поддерживает сценарии восстановления. Обновление install.wim и WinRE.wim одновременно помогает поддерживать синхронизацию двух образов, что гарантирует, что восстановление будет выполняться должным образом.

1. Подключите ISO-файл установочного носителя Windows, дважды щелкнув его в проводник.

2. Создайте временную папку (c:\temp), а затем скопируйте файл install.wim из D:\Sources (где D: буква диска подключенного образа) во временную папку.

   md c:\temp
   copy d:\sources\install.wim c:\temp
   

3. Откройте среду средств развертывания и создания образов с правами администратора.

4. Создайте папку для подключения образов, а затем подключите install.wim.

   Md C:\mount\windows
   Dism /Mount-Wim /WimFile:C:\temp\install.wim /index:1 /MountDir:C:\mount\windows
   

5. Создайте папку подключения для файла образа Windows RE из подключенного образа, а затем подключите образ WinRE.

   Md c:\mount\winre 
   Dism /Mount-Wim /WimFile:C:\mount\windows\Windows\System32\Recovery\winre.wim /index:1 /MountDir:C:\mount\winre
   

   Устранить: Если winre.wim не отображается в указанном каталоге, используйте следующую команду, чтобы задать видимый файл:

   attrib -h -a -s C:\mount\windows\Windows\System32\Recovery\winre.wim
   

   Устранить: Если подключение образа завершается сбоем, убедитесь, что вы используете версию DISM, установленную вместе с Windows ADK, а не более раннюю версию, которая может находиться на компьютере технического специалиста. Не подключайте образы к защищенным папкам, например к папке User\Documents. Если процессы DISM прерваны, рассмотрите возможность временного отключения от сети и отключения защиты от вирусов.

Дополнительные сведения о подключении образа Windows см. в статье Подключение и изменение образа Windows с помощью DISM.

Дополнительные сведения о настройке WinRE см. в статье Настройка Windows RE.

Включение настроек

Включение S-режима

Перед настройкой образа используйте автономный проход обслуживания автоматической установки, чтобы установить S-режим на компьютере с Windows.

1. Используйте Windows SIM для создания файла автоматической установки.

2. Добавление SkuPolicyRequired в автономный проходservicing

3. Задайте для SkuPolicyRequired значение 1.

4. Сохраните файл как unattend.xml

5. Скопируйте unattend.xml в подключенный образ Windows:

   MkDir c:\mount\windows\Windows\Panther
   Copy unattend.xml  C:\mount\windows\Windows\Panther\unattend.xml
   

6. Примените файл автоматической установки к подключенному образу:

   DISM /Image=C:\mount\windows /Apply-Unattend=C:\mount\windows\Windows\Panther\unattend.xml
   

Когда компьютер загружается, он будет загружаться в S-режиме с применением политик CI. Если вам нужно внести изменения в образ Windows, необходимо включить производственный раздел реестра. Это позволит вносить изменения в режиме аудита.

Добавление производственного раздела реестра

Включение производственного режима — это шаг, который необходимо выполнить при работе с Windows 10 в S-режиме и Windows 10 S. Чтобы включить настройки во время производственного процесса, необходимо добавить раздел реестра, который позволяет выполнять неподписанный код при загрузке в режиме аудита. Это поможет вам создать и протестировать образ при подготовке компьютера к отправке.

Мы добавим раздел реестра настройки в подключенный образ, загрузив куст реестра SYSTEM подключенного образа, а затем добавим раздел. Затем мы настроим ScanState, чтобы исключить раздел реестра при записи пакета восстановления, чтобы гарантировать, что раздел реестра не будет восстановлен во время сценариев сброса или восстановления.

1. Загрузите куст реестра SYSTEM из подключенного образа в regedit на компьютере технического специалиста. Мы будем использовать временный куст с именем HKLM\Windows10S.

    reg load HKLM\Windows10S C:\Mount\Windows\Windows\System32\Config\System
   

2. Добавьте следующий раздел в реестр, который вы только что подключили.

   reg add HKLM\Windows10S\ControlSet001\Control\CI\Policy /v ManufacturingMode /t REG_DWORD /d 1
   

3. Выгрузите куст реестра с компьютера технического специалиста.

   reg unload HKLM\Windows10S
   

Подключенный образ теперь имеет производственный ключ, который позволит вносить изменения в режиме аудита. Его необходимо удалить перед отправкой компьютера.

Дополнительные сведения о разделе производственного реестра Windows 10 S см. в разделе Windows 10 производственном режиме S.

Создание exclusion.xml

Теперь мы создадим файл, который автоматизирует исключение раздела реестра настроек при записи параметров для восстановления. Это гарантирует, что компьютер не восстановит раздел реестра настройки во время восстановления.

1. Создайте XML-файл в текстовом редакторе.

2. Скопируйте и вставьте приведенный ниже код. Это указывает ScanState не записывать раздел реестра в создаваемом пакете восстановления:

   <?xml version="1.0" encoding="UTF-8"?>
   <migration urlid="https://www.microsoft.com/migration/1.0/migxmlext/ExcludeManufacturingMode">
   <component type="System">
   <displayName>Exclude manufacturing regkey</displayName>
       <role role="Settings">
           <rules context="System">
               <unconditionalExclude>
                   <objectSet>
                       <pattern type="Registry">HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy [ManufacturingMode]</pattern>
                   </objectSet>
               </unconditionalExclude>
           </rules>
       </role>
   </component>
   </migration>
   

3. Сохраните файл как exclusion.xml.

Мы будем использовать этот файл конфигурации при записи пакета ScanState для восстановления позже в лаборатории.

Сведения об исключении файлов и параметров из пакета ScanState см. в статье Исключение файлов и параметров.

Добавление драйверов

Как и в других версиях Windows, вы можете добавить драйверы в образ Windows 10 S, чтобы убедиться, что оборудование настроено и работает при первой загрузке Windows пользователем. Убедитесь, что драйверы, добавленные в Windows 10 S, совместимы с Windows 10 S и не будут заблокированы.

1. Добавьте один драйвер в образы Windows и WinRE из INF-файла. В этом примере мы используем драйвер с именем media1.inf:

   Dism /Add-Driver /Image:"C:\mount\windows" /Driver:"C:\Drivers\PnP.Media.V1\media1.inf"
   Dism /Add-Driver /Image:"C:\mount\winre" /Driver:"C:\Drivers\PnP.Media.V1\media1.inf"
   

   Где "C:\Drivers\PnP.Media.V1\media1.inf" — это INF-файл добавляемого драйвера.

   Dism /Add-Driver /Image:"C:\mount\windows" /Driver:c:\drivers /Recurse 
   

2. Убедитесь, что драйверы являются частью образов:

   Dism /Get-Drivers /Image:"C:\mount\windows"
   Dism /Get-Drivers /Image:"C:\mount\winre"
   

   Проверьте список пакетов и убедитесь, что список содержит добавленные драйверы.

Дополнительные сведения о добавлении драйверов в автономный образ Windows см. в статье Добавление и удаление драйверов в автономный образ Windows.

Добавление языка (необязательно)

Дополнительные сведения см. в статье Добавление и удаление языковых пакетов в автономном режиме с помощью DISM .

Добавление последнего обновления

Установите последний пакет обновления, включающий последние исправления ошибок и изменения ОС.

[важно] Установите пакеты обновления после установки языковых пакетов, пакетов AppX и компонентов по запросу. Если вы установили GDR перед их добавлением, вам потребуется переустановить GDR.

1. Скачайте последнее обновление из каталога Центра обновления Майкрософт.

2. Используйте пакет DISM /add, чтобы добавить GDR в подключенные образы, например:

   dism /image:"C:\mount\windows" /add-package /packagepath:C:\temp\windows10.0-kb4020102-x64_9d406340d67caa80a55bc056e50cf87a2e7647ce.msu
   dism /image:"C:\mount\winre" /add-package /packagepath:C:\temp\windows10.0-kb4020102-x64_9d406340d67caa80a55bc056e50cf87a2e7647ce.msu
   

3. Используйте DISM для очистки образа.

   DISM /Cleanup-Image /Image=C:\mount\winre /StartComponentCleanup /ScratchDir:C:\Temp
   

Дополнительные сведения о добавлении пакетов в образ Windows см. в статье Добавление и удаление пакетов в автономном режиме с помощью DISM .

Отключение образа WinRE и создание копии

Теперь, когда вы выполнили все настройки в автономном режиме, можно отключить образы.

1. Закройте все приложения, которые могут получать доступ к файлам из изображений.

2. Зафиксируйте изменения и отключите образы WinRE и Windows:

   Dism /Unmount-Image /MountDir:"C:\mount\winre" /Commit
   Dism /Export-Image /SourceImageFile:c:\mount\windows\windows\system32\recovery\winre.wim /SourceIndex:1 /DestinationImageFile:c:\mount\winre-optimized.wim
   del c:\mount\windows\windows\system32\recovery\winre.wim
   copy c:\mount\winre-optimized.wim c:\mount\windows\windows\system32\recovery\winre.wim
   

Отключение install.wim

Dism /Unmount-Image /MountDir:"C:\mount\windows" /Commit

Копирование install.wim и winre.wim на USB-накопитель

copy c:\temp\install.wim t:\
copy c:\temp\winre-optimized.wim t:\

Развертывание образа для ссылки на компьютер

1. Загрузите эталонный компьютер в WinPE.

2. Используйте скрипты развертывания, чтобы применить измененный образ install.wim.

   T:\Deployment\walkthrough-deploy.bat t:\install.wim
   

Загрузка в режим аудита и внесение изменений

1. Загрузите эталонный компьютер, если он еще не загружен.
2. Когда устройство загрузится в режим OOBE, нажмите клавиши CTRL+SHIFT+F3, чтобы перейти в режим аудита.
3. Компьютер перезагрузится в режиме аудита.
4. Внесите изменения на компьютер. Сведения о том, какие настройки доступны в режиме аудита, см. в таблице Планирование S-режима .

Дополнительные сведения о режиме аудита см. в статье Обзор режима аудита. Дополнительные сведения о поведении режима аудита в S-режиме см. в статье Режим аудита в производственной среде режима S Windows.

Запись изменений в режиме аудита для средств восстановления

Теперь, когда вы настроили образ в режиме аудита, можно использовать ScanState для записи пакета, чтобы настройки были доступны в сценариях восстановления.

1. Используйте ScanState, скопированный на USB-ключ, для записи настроек в пакет подготовки. Используйте файл exclusion.xml, созданный ранее, чтобы гарантировать, что производственный раздел реестра не будет восстановлен во время восстановления.

   md c:\Recovery\Customizations
   T:\deploymenttools\scanstate /config:T:\deploymenttools\Config_SettingsOnly.xml /o /v:13 /ppkg c:\recovery\customizations\usmt.ppkg /i:exclusion.xml /l:C:\Scanstate.log
   

2. После успешного завершения записи удалите файл журнала ScanState: del c:\scanstate.log.

Удаление производственного раздела реестра

Завершив настройку компьютера в режиме аудита, необходимо удалить производственный раздел реестра, который позволяет выполнять неподписанный код в S-режиме.

Чтобы удалить раздел реестра, выполните следующую команду от имени администратора при загрузке в режиме аудита на эталонном компьютере:

reg delete HKLM\system\ControlSet001\Control\CI\Policy /v ManufacturingMode

Добавление WinRE обратно в захваченный образ

Чтобы убедиться, что образ WinRE записан для окончательного развертывания, скопируйте экспортированный образ WinRE-optimized.wim в образ Windows 10 S.

xcopy t:\winre-optimized.wim c:\windows\system32\recovery\winre.wim

Sysprep и завершение работы компьютера

1. Откройте командную строку.

2. Запустите sysprep, чтобы повторно зафиксировать компьютер и подготовить его к записи.

   c:\windows\system32\sysprep\sysprep /generalize /oobe /shutdown
   

Запись образа

1. Загрузите эталонный компьютер в WinPE.

2. Определите букву диска раздела Windows в diskpart:

   diskpart
   list volume
   exit
   

3. Используйте DISM для записи раздела Windows.

   dism.exe /capture-image /ImageFile:"T:\Images\Windows10S.wim" /capturedir:C:\ /Name:"Windows10S"
   

   Где C:\ — это раздел Windows.

Дополнительные сведения см. в разделе Сбор и применение системных разделов Windows и секций восстановления .

Развертывание образа, проверка настроек и восстановление

Применение образа

1. Загрузите эталонный компьютер в WinPE.

2. Примените образ S-режима (Windows10S.wim) к компьютеру. Это приведет к перезаписи всех существующих установок Windows.

   T:
   cd Deployment
   T:\Deployment\applyimage.bat T:\images\Windows10S.wim
   

Проверка настроек

1. Загрузите эталонный компьютер. Это первая загрузка компьютера с новым образом Windows.
2. Если вы установили дополнительные языки, убедитесь, что эти предустановленные языки отображаются и могут быть выбраны пользователем во время запуска при первом включении.
3. Проверьте правильность настроек рабочего стола после завершения запуска при первом включении компьютера.

Проверка восстановления

Чтобы убедиться, что восстановление работает должным образом, выполните следующие задачи проверки:

• Запустите восстановление обновления и убедитесь, что файлы пользователя сохранены, а настройки рабочего стола фабрики восстановлены.
• Запустите восстановление сброса и убедитесь, что файлы и профиль пользователя удалены, а настройки заводских рабочих столов восстановлены.
• Проверьте скрипты расширяемости на имитированном уровне принудительного применения RS3 с помощью предоставленного файла политики.
• Если вы создали пакет восстановления с помощью ScanState, убедитесь, что производственный ключ был исключен при записи пакета.

Отправка компьютера

Теперь, когда у вас есть образ, вы можете создавать и отправлять компьютеры в режиме S. Убедитесь, что раздел производственного реестра удален, а на поставляемые компьютеры включена безопасная загрузка.