win10creatorsupdate1703

HOWTO: 快速在 UEFI 启动的 Windows 10 中添加 Native VHD Boot

        今天又要与大家分享关于 Native VHD Boot 的小技巧了,搜索本站 gOxiA 已经写了不少关于 Native VHD Boot 的文章,虽然之前也有撰写“Windows 10 Native VHD Boot 案例分享”,但本文将向大家介绍如何在基于 UEFI 启动的 Windows 10 中添加一个 Native VHD Boot 实例,整个操作过程期间并不需要重启进入PE环境,完全就地解决。

        准备一个准备添加 Native VHD Boot 的安装源,可以是 ISO 也可以是 WIM,前者需要先 Mount ISO 到当前系统,以便于访问其中的 WIM;之后在当前卷新建一个目录用于存放 Native VHD Boot 的 VHD 文件,例如“C:\VHDBoot\”;接下来使用磁盘管理器创建一个 VHD 文件WS2012R2.vhd,存储在前面的目录中,建议使用固定大小,注意请务必转换为GPT磁盘,根据需要进行分区,格式化为NTFS。固定大小的 VHD 虽然占用了不少空间容量,但可避免不必要的麻烦;然后再释放 WIM 映像到这个 VHD 中,方法相信大家已经轻车熟路,使用内置的 DISM 命令即可完成,命令行可参考“dism /apply-image /imagefile:G:\sources\install.wim /index:1 /applydir:V:\”,映像应用完毕即可unmount VHD,现在就差创建启动信息。

        由于是系统在线环境,且引导卷处于隐藏状态,所以最为方便的添加 Native VHD Boot 启动信息的方案就是使用 BCDEdit 工具,基于默认启动项新建一个新的 Native VHD Boot 启动信息,修改 Device 和 OSDevice 选项指定到前面创建的 VHD 路径上,即可完成。为此参考如下命令行执行!

1. bcdedit /copy {default} /d "WS2012R2 Native VHD Boot"

2. bcdedit /set {GUID} device vhd=[c:]\VHDBoot\WS2012R2.vhd

3. bcdedit /set {GUID} osdevice vhd=[c:]\VHDBoot\WS2012R2.vhd

        现在重新启动便可以出现多启动菜单,可选择 Native VHD Boot 来启动系统,UEFI 比较不人性化的是当选择另一个启动项后会再次重启计算机,这个没办法 UEFI 的设计使然。是不是非常简单,只要理解了相关的概念,命令能够做到得心应手,就能针对不同场景制定实现方案!

win10creatorsupdate1703

HOWTO: 使用 Windows 10 内置命令管理设备驱动

        在 Windows 10 之前在线管理和维护设备驱动是相当困难的事情。对于IT专业人员如果需要批量导入并安装驱动,只能依赖第三方应用程序,或者事先编写执行脚本。虽然我们可以使用 DISM 来执行操作,但关键的操作命令还是只能对脱机系统映像有效,所以还是非常的繁琐!为什么会如此尴尬呢?因为 Windows 支持硬件设备的即插即用(PnP)特性,而这一特性是由本地系统映像中强大的驱动库(DriverStore)来支撑的,它位于 Windows 的 System32 目录下。当系统连接一个新的硬件后会从这个 DriverStore 中搜索驱动,当发现匹配的驱动后变化配置为硬件设备使用,而此时驱动会被复制到 Windows 的 System32 下的 Drivers 目录中,被设备实时加载,而设备所需的其他子配置文件或程序文件可能分布在系统的其他目录中。

WinHardwareDriverStore

        如果我们要安装驱动则需要使用设备管理器手工为硬件设备更新或安装驱动,也可以使用设备生产商提供的驱动安装程序来执行安装,但是对于一些 OEM 设备,尤其是笔记本来说,需要反复执行设备驱动安装操作十几次,也是相当令人崩溃的,即使像前面所讲使用第三方应用程序实现批量安装,但要实现自动化处理还是命令来的更实在。

        Windows 10 提供了两个内置命令用于设备驱动的管理和维护,DISM.exe 和 Pnputil.exe 。DISM 在系统在线(联机)状态下只支持导出驱动,如果要添加和删除驱动必须在系统脱机状态下进行。

  • DISM 添加驱动
    dism /image:c:\mount\offline /add-driver /driver:c:\drivers /recurse /forceunsign
    /recurse,遍历指定目录下的所有子目录,还是相当有用。
    /forceunsign,添加未签名的驱动,在 X64 系统上添加未经签名的设备驱动可以使用这个参数。
  • DISM 删除驱动
    dism /image:c:\mount\offline /remove-driver /driver:oem1.inf
    设备所安装的第三方驱动都会被重新按照 Oem0.inf,Oem1.inf,Oem#.inf 命名方式存储,而删除的时候亦是如此。要获取系统都安装了哪些驱动可使用 /get-drivers 参数。令我们感到悲催的是删除驱动不支持通配符,只能一条一条执行,或编写成批处理脚本。
  • DISM 导出驱动
    dism /online /export-driver /destination:c:\exportdrivers
    也只有导出驱动是可以在系统脱机和联机状态下进行的,这倒是十分方便。一般IT部门拿到新型号笔记本后通常会使用这个命令导出驱动。(PS:这个习惯要养成,因为厂商提供的打包驱动不一定会完整,这是真的!!!)

        注意,即使能够脱机状态添加驱动,但是所添加的驱动也只能用于未安装驱动的设备实现自动的驱动安装,即已经安装的驱动不会被自动更新和替换,除非你在设备管理器中手动执行更新,或通过 Windows Update 从微软获取最新的设备驱动。(PS:十分无奈!!!)

        DISM 在脱机 Windows 映像中添加和删除驱动程序的完整过程可参考微软官方提供的资料,这里就不再过多的讲解。

        参考资料:https://msdn.microsoft.com/zh-cn/library/windows/hardware/dn898469(v=vs.85).aspx

        接下来再说说 Pnputil.exe - Microsoft PnP 工具,在 Windows 10 之前,这个工具简直就是鸡肋,可实现的设备驱动操作非常的有限,它更像是 DriverStore 层的维护工具。因为对硬件的实时驱动根本起不到管理作用。直到 Windows 10 v1703 版,Pnputil 才算真正意义的即插即用硬件设备驱动管理工具。其主要特性是允许在系统联机状态下执行添加、安装、卸载、删除以及导出驱动的操作。前面提到过设备被识别后,驱动是实时加载的,此时是无法使用命令行在联机状态下删除驱动的。而 v1703 较 v1607 最大的改进是支持了 卸载 和 安装 参数,即除了对 DriverStore 层执行操作外,也可以对 Drivers 层执行操作。

  • Pnputil 卸载和删除驱动
    pnputil /delete-driver oem#.inf /uninstall /force
    /uninstall,卸载并删除驱动
    /force,强制执行即使设备驱动正在使用中
    /reboot,更具需要重启系统以完成操作
    注意:直至 Windows 10  v1703 仍旧不支持批量卸载和删除驱动。
  • Pnputil 添加和安装驱动
    pnputil /add-driver c:\oem\*.inf /subdirs /install
    /subdirs,遍历子目录
    /install,安装或更新驱动
  • Pnputil 导出驱动
    pnputil /export-driver * c:\driverbackup
    注意:导出驱动支持 * 通配符,也支持导出单个驱动 Oem1.inf,要枚举驱动可使用 /enum-drivers 参数。

        DISM 和 Pnputil 相比较,DISM 更适用于系统映像准备阶段方便日后分发,例如拿到一批新型号设备,可以导出 OEM 驱动,并准备一个测试用途的企业标准化系统映像,使用 DISM 将驱动导入脱机映像中,当映像被安装到这些新型号设备后便可自动识别和安装驱动到系统中。而 Pnputil 更适用于联机系统的维护,例如 IT 专业人员从厂商获取到设备的最新驱动包,可以使用 Pnputil 直接批量安装和更新设备驱动。利用这些命令,我们还可以编写灵活的脚本满足更多的应用场景。

image

HOWTO: 为 MDT Media LiteTouch 启用 WIM Split

        现在的系统映像容量是越来越庞大,像 Windows Server 2016 的 ISO 要想通过 UFD 以 UEFI 方式来安装,可真是要提前准备一番,2个 UFD 一个是 FAT32 格式的用来做 UEFI 引导,另一个 NTFS 格式的用来存储安装源,没办法WIM 超过了4GB,相信这个场景不少 ITPro 都曾遭遇过!尤其通过 MDT 的 Media LiteTouch 安装系统时,问题尤为突出!虽然前段时间 gOxiA 与大家分享了 Widnows 10 v1703 支持 UFD 创建多分区 的文章,在 MDT 实践中可以通过创建对应目录结构实现 Media LiteTouch 部署大容量自定义系统映像的需求,但之后的维护工作却非常繁琐。其实在 MDT 中已经提供了 WIM 的分卷功能,只是官方很少提及!截止到今日,官方与网上都没有一个明确的说明该如何为 MDT Media LiteTouch 启用 WIM Split。(PS:明显的坑,大坑!)

        gOxiA 抽出时间做了一下功课,对 MDT WIM Split 做个总结。WIMSplit 确实受 MDT 支持,但是官方并没有提供图形化的设置界面,我们需要修改配置文件中对应的选项参数来启用它。这个选项为“ <SkipWimSplit>False</SkipWimSplit>”,位于“settings.xml”中。也就是说只要在 Settings.xml 中将 SkipWimSplit 配置为 False 那么在对 Media 执行刷新时就会自动将大于 4GB 的 WIM 映像进行分拆。而网上普遍存在修改 SkipWimSplit 后并未生效的主要原因是选错了 settings.xml,问题就是这么简单!还没理解?!搜搜 settings.xml 都位于哪几个目录下?去修改主 settings.xml 就会作用到 Media LiteTouch。

        这个问题的起因完全是用户和开发者概念逻辑不统一所致!大家都认为应该修改 Media 下的 Settings,但实际上需要修改部署点的,在刷新 Media 时脚本会将系统映像分拆然后拷贝到 Media 下,完毕后会删除原始位置的 SWM文件。

SkipWimSplit

IMG_3516

HOWTO: 解决 MS17-010 安全更新安装失败的故障问题

        MS17-010 这个早在今年3月份就发布的安全更新,在这短短的几天里火遍了全球,其涉及的漏洞被恶意利用造成了不可估量的损失!针对事件本身 gOxiA 不再进行表态,而今天主要分享的内容是解决该补丁 - KB4012212(2017-03 Security Only Quality Update)在 Windows 7 上安装失败的故障问题。

        周一上班相关同事开始着手处理补丁方案,但发现不少客户端都出现了安装失败的问题,提示部分更新安装失败,由于KB4012212是仅包含安全质量更新的补丁包,所以部分更新安装失败是无法保障MS17-010是否正确安装的,所以只能对故障进行排错,找到错误根因!还好在系统事件中记录了补丁的失败原因“0x80073712”即“组件存储已损坏”,但实际排错中发现安装其他更新是没有问题的。

KB4012212-error

        只能跑一遍“sfc /scannow”先探探虚实,果然在27%时中断退出,提示无法完成修复,分析CBS 提取主要记录发现端倪,但貌似这些错误并不足以影响安全更新安装失败,看来焦点还是要回到 0x80073712 上,Msft Support 站点上扫了一圈还真找到了解决办法。

ms17-010-cbs

        KB947821 中提到了“系统更新准备工具”可帮助修复一些 Windows 的损坏错误,补丁200-500MB左右,安装时间最少需要15分钟,在 gOxiA 的案例中该补丁足足打了1小时还多,在临近结束时(大概 90% 这个阶段)停滞不前,期间切勿重启计算机,因为扫描组件完整性确实耗时。KB947821 更新安装后,再次安装 KB4012212 顺利完成。

        另外友情提示,在2016年5月微软为 Windows 7 和 8.1 提供了简化的更新方案,即更新汇总包!MS17-010 就包含在2017年3月汇总更新包中,当前最新版为5月汇总更新。(PS:懒惰或因规定不能每月常规补丁安装的,起码要坚持把安全汇总更新包给装上!!!)最后祝愿大家能安全度过此劫!

win10creatorsupdate1703

HOWTO: 使用预配置包为 Windows 10 设置默认应用关联

        前段时间 gOxiA 与大家分享了一篇“HOWTO: 统一设置 Windows 10 的文件默认关联”的文章,文末提到可以使用 WICD 生成配置包供 Windows 10 用户使用。其中截图里的设置方式有误,gOxiA 表示由衷的歉意,实在对不住大家了!!!也为此,决定单独写一篇文章再与大家详细分享一下 WICD 制作默认应用关联预配置包的过程,希望能够将功补过!

        要使用 ICD 通过预配置包来设置 Windows 10 的默认应用关联需要使用 Poilcy CSP ,借助 ApplicationDefaults/DefaultAssociationsConfiguration 进行预配置。但是该项的值需要使用 Base64 编码来填充,之前截图环境的服务器不能访问外网,也没有留意上一级的说明,导致犯下错误!DefaultAssociationsConfiguration 的说明如下:

DefaultAssociationsConfiguration
This setting specifies the XML file content (base64 encoded) thar contains file type and protocol default application associations. This file can be created using the DISM tool.

        gOxiA 之前的错误也正是因为这个原因!我们需要将导出的默认应用关联文件 defaultappassoc.xml 内容借助 Base64 encoder 工具编码后再填写到配置中。例如配置IE为默认应用的 XML 内容如下:

<?xml version="1.0" encoding="UTF-8"?>
<DefaultAssociations>
  <Association Identifier=".htm" ProgId="htmlfile" ApplicationName="Internet Explorer" />
  <Association Identifier=".html" ProgId="htmlfile" ApplicationName="Internet Explorer" />
  <Association Identifier=".url" ProgId="IE.AssocFile.URL" ApplicationName="Internet 浏览器" />
  <Association Identifier=".website" ProgId="IE.AssocFile.WEBSITE" ApplicationName="Internet Explorer" />
  <Association Identifier="http" ProgId="IE.HTTP" ApplicationName="Internet Explorer" />
  <Association Identifier="https" ProgId="IE.HTTPS" ApplicationName="Internet Explorer" />
</DefaultAssociations>

        在使用 Base64 encoder 编码后得到的值则如下示例,在这里推荐个网站真的很不错http://www.ofmonkey.com/

PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNvZGluZz0iVVRGLTgiPz4KPERlZmF1bHRBc3
NvY2lhdGlvbnM+CiAgPEFzc29jaWF0aW9uIElkZW50aWZpZXI9Ii5odG0iIFByb2dJZD0iaHRtbGZp
bGUiIEFwcGxpY2F0aW9uTmFtZT0iSW50ZXJuZXQgRXhwbG9yZXIiIC8+CiAgPEFzc29jaWF0aW9
uIElkZW50aWZpZXI9Ii5odG1sIiBQcm9nSWQ9Imh0bWxmaWxlIiBBcHBsaWNhdGlvbk5hbWU9Ikl
udGVybmV0IEV4cGxvcmVyIiAvPgogIDxBc3NvY2lhdGlvbiBJZGVudGlmaWVyPSIudXJsIiBQcm9nS
WQ9IklFLkFzc29jRmlsZS5VUkwiIEFwcGxpY2F0aW9uTmFtZT0iSW50ZXJuZXQg5rWP6KeI5ZmoIi
AvPgogIDxBc3NvY2lhdGlvbiBJZGVudGlmaWVyPSIud2Vic2l0ZSIgUHJvZ0lkPSJJRS5Bc3NvY0Zpb
GUuV0VCU0lURSIgQXBwbGljYXRpb25OYW1lPSJJbnRlcm5ldCBFeHBsb3JlciIgLz4KICA8QXNzb2N
pYXRpb24gSWRlbnRpZmllcj0iaHR0cCIgUHJvZ0lkPSJJRS5IVFRQIiBBcHBsaWNhdGlvbk5hbWU9I
kludGVybmV0IEV4cGxvcmVyIiAvPgogIDxBc3NvY2lhdGlvbiBJZGVudGlmaWVyPSJodHRwcyIgUH
JvZ0lkPSJJRS5IVFRQUyIgQXBwbGljYXRpb25OYW1lPSJJbnRlcm5ldCBFeHBsb3JlciIgLz4KPC9EZ
WZhdWx0QXNzb2NpYXRpb25zPg==

        下面就跟随 gOxiA 参考截图实践一次,首先启动 Windows 配置设计器(WICD,貌似现在叫 Windows Configuration Designer,这里姑且简称 ICD),友情提示该工具已经提供 UWP 版,可以直接从 Windows 应用商店安装,访问地址是:https://www.microsoft.com/store/apps/9nblggh4tx22

        在 ICD 起始页选择“高级预配”,并确认为“预配桌面设备”,输入个便于识别的名称,默认情况下 ICD 预配相关文件存储在文档的 WICD 目录下。

1

2

3

4

        在“可用自定义项”列表中定位到 Polices | ApplicationDefaults | DefaultAssociationsConfiguration,将之前通过 Base64 encoder 取得的数据填写到数值框中。

5

        最后通过工具导航栏导出预配包,在“描述预配包”步骤中,版本号会根据修改次数自动添加,所有者可以根据要实施的优先级别进行选择,等级保持 0 即可,如果预配包包含敏感数据应当对其进行加密,最后将生成的 ppkg 格式文件发给用户执行即可。如果预配包安装时发生错误,可以在事件查看器的“应用和服务日志”-“Microsoft”-“Windows”-“DeviceManagement-Enterprise-Diagnostics-Provider”-“Admin”下找到记录。

6

7

8

9

10

11

win10creatorsupdate1703

HOWTO: 通过 GPO 限制访问 Windows 设置

        Windows 控制面板一直以来都是作为设置 Windows 系统选项的重要入口,但随着 Windows 系统的不断发展它正被被全新的 Windows “设置”所替代。如果你正在使用 Windows 10 v1703 会发现进入控制面板已经变得“不那么容易”,以往通过右键单击开始图标已经再也找不到控制面板的踪影,取而代之的是“设置”。使用新的“设置”面板可以直接从命令行直接进行调用,例如在运行中输入“ms-settings:”或“ms-settings:batterysaver”,而且新的“设置”也满足了统一架构的需求,试想同一 Windows 核心的移动端系统是使用传统的控制面板方便,还是全新的“设置”方便呢?结果一目了然!

ms-settingsms-settings-1

        在对“设置”有了大致的了解后,下面就要分享本文的重点,Windows 10 的增长速度有目共睹,昨晚的 Build 2017 大会上公布的最新数据显示全球已有5亿的 Windows 10 用户,而企业环境中的占有率也在不断上升,对于 Windows ITer 的挑战之一,在部署 Windows 10 后如何按照合规性要求来限制用户访问新的 Windows 设置呢?!

        非常有价值的问题,而该问题已有了解决方案,利用 GPO 的“设置页面可见性”就可以轻松的实现。该设置位于“计算机配置”-“管理模板”-“控制面板”,提供了两种设置模式:showonly - 只显示指定的设置;hide - 隐藏指定的设置。

ms-settings-2

        例如 gOxiA 为“设置页面可见性”添加“showonly:bluetooth”,那么 Windows 所有设置中将仅保留“设备”设置,如下图所示(PS:截图环境为英文):

ms-settings_bluetooth

        现在已经知道如何通过 GPO 来限制访问 Windows 设置,那么每项设置具体对应的名称可从微软官方网站获取:https://docs.microsoft.com/en-us/windows/uwp/launch-resume/launch-settings-app,为了方便查询,也单独copy了一份在文末。

Category Settings page Supported SKUs URI
Home page Landing page for Settings Both ms-settings:
System Display Both ms-settings:screenrotation
Notifications & actions Both ms-settings:notifications
Phone Mobile only ms-settings:phone
Messaging Mobile only ms-settings:messaging
Battery Saver Both
Only available on devices that have a battery, such as a tablet
ms-settings:batterysaver
Battery use Both
Only available on devices that have a battery, such as a tablet
ms-settings:batterysaver-usagedetails
Power & sleep Desktop only ms-settings:powersleep
About Both ms-settings:about
Encryption Both ms-settings:deviceencryption
Offline Maps Both ms-settings:maps
Devices Default camera Mobile only ms-settings:camera
Bluetooth Both ms-settings:bluetooth
Connected Devices Desktop only ms-settings:connecteddevices
Mouse & touchpad Both
Touchpad settings only available on devices that have a touchpad
ms-settings:mousetouchpad
Network & Wireless NFC Both ms-settings:nfctransactions
Wi-Fi Both ms-settings:network-wifi
Airplane mode Both ms-settings:network-airplanemode
Network & Internet Data usage Both ms-settings:datausage
Cellular & SIM Both ms-settings:network-cellular
Mobile hotspot Both ms-settings:network-mobilehotspot
Proxy Desktop only ms-settings:network-proxy
Status Desktop only ms-settings:network-status
Personalization Personalization (category) Both ms-settings:personalization
Background Desktop only ms-settings:personalization-background
Colors Both ms-settings:personalization-colors
Sounds Mobile only ms-settings:sounds
Lock screen Both ms-settings:lockscreen
Accounts Access work or school Both ms-settings:workplace
Email & app accounts Both ms-settings:emailandaccounts
Family & other people Both ms-settings:otherusers
Sign-in options Both ms-settings:signinoptions
Sync your settings Both ms-settings:sync
Other people Both ms-settings:otherusers
Your info Both ms-settings:yourinfo
Time and language Date & time Both ms-settings:dateandtime
Region & language Desktop only ms-settings:regionlanguage
Ease of Access Narrator Both ms-settings:easeofaccess-narrator
Magnifier Both ms-settings:easeofaccess-magnifier
High contrast Both ms-settings:easeofaccess-highcontrast
Closed captions Both ms-settings:easeofaccess-closedcaptioning
Keyboard Both ms-settings:easeofaccess-keyboard
Mouse Both ms-settings:easeofaccess-mouse
Other options Both ms-settings:easeofaccess-otheroptions
Privacy Location Both ms-settings:privacy-location
Camera Both ms-settings:privacy-webcam
Microphone Both ms-settings:privacy-microphone
Motion Both ms-settings:privacy-motion
Speech, inking & typing Both ms-settings:privacy-speechtyping
Account info Both ms-settings:privacy-accountinfo
Contacts Both ms-settings:privacy-contacts
Calendar Both ms-settings:privacy-calendar
Call history Both ms-settings:privacy-callhistory
Email Both ms-settings:privacy-email
Messaging Both ms-settings:privacy-messaging
Radios Both ms-settings:privacy-radios
Background Apps Both ms-settings:privacy-backgroundapps
Other devices Both ms-settings:privacy-customdevices
Feedback & diagnostics Both ms-settings:privacy-feedback
Update & security For developers Both ms-settings:developers

win10creatorsupdate1703

Windows 10 v1703 支持 UFD(U盘)创建多分区

        Windows 10 v1703 开始支持普通 U 盘创建多分区的操作!!!在过去要实现这一操作是非常困难的,也许是因为 Windows 的安装镜像文件 ISO 越来越大,无法存储在 FAT32 格式的 UFD 上,而 UEFI 又开始普及,所以才会支持普通 UFD 创建多分区。不论原因如何,总之这个结果相信令不少 ITer 高兴!

        要在 UFD 上创建多分区,建议使用 Diskpart 命令,因为使用 Windows 磁盘管理器只能在 UFD 上创建 FAT 和 FAT32 格式的多分区结构(不知道是设计使然,还是 Bug)。

win10v1703diskpart

win10v1703diskpart1

        另,可能是新功能不完善的原因,当 gOxiA 使用磁盘管理器创建多分区之后,再在 diskpart 下执行 clean 时会报错“The device is not ready.” 具体的事件日志为“VDS Basic Provider ID5 Error code: 15@01010012”,应该是个 Bug,因为创建多分区后盘符是分配给了分区,而 UFD 默认的盘符是在磁盘上的。不过还好,可以先删除分配给 UFD 的盘符在执行 Clean,或者多次尝试执行 Clean 即可。

win10v1703diskpart2

win10v1703diskpart2-1

win10v1703diskpart2-2

win10v1703diskpart2-3

        所以在执行磁盘操作时,还是使用命令行是最靠谱的,参考下面的 diskpart 命令行截图,便可在 UFD 上创建 FAT32 和 NTFS 混合分区格式的磁盘结构。

win10v1703diskpart3

win10v1703diskpart4

        文末,UFD 支持多分区的好处可能还是有网友不明白?!举个最简单的例子,为一台 UEFI 启动的服务器安装 Windows Server 2016 时,你会如何处理?!之前会准备两个 U盘,一个是支持 UEFI 引导的 FAT32 格式 PE U盘,另一个是支持单个大文件存储的 NTFS 格式 U盘用来存储 Server 2016 超大的 Install.wim,而现在只需在一个 U盘上搞定!!!

Windows 10 S 概览

[ 2017/05/04 17:20 | by gOxiA ]

windows-10-s_banner

Windows 10 S 概览

        2017年5月2日 21:30(北京时间)微软举办了名为“Learn what's next.”的主题发布会,并通过网络做了现场直播。该会议围绕教育领域,并针对性的发布了新的操作系统版本 -  Windows 10 S,以及 Surface Laptop 设备。

Learn_whats_nextWindowsCloud_PreOrder_Angle_1920

        本文将着重分享 Windows 10 S 的相关咨询。据微软官方介绍,Windows 10 S 的灵感来自于师生间的互动,是目前为止最适合学校使用的 Windows,但是 Windows 10 S 也一样适用于对性能和高安全性有极高要求的用户。

        Windows 10 S 基于 Windows 10 Pro 进行特定配置,除了提供了熟悉和高效的 Windows 体验外,还进行了简化处理。由于在该版本中只能安装和运行来自 Windows 应用商店的应用,且只能将 Microsoft Edge 作为默认浏览器,从而确保了应用源和网页访问的安全性,杜绝了含有恶意代码的应用程序和网站。简单理解,只要是 Windows 应用商店发布的应用程序就可以安装和运行在 Windows 10 S 上,而且也允许从应用商店安装其他第三方的浏览器,只是不能将其设置为系统默认浏览器而已,此外 Edge 的默认搜索程序是无法被修改的。

        作为一款免费提供的 Windows 来说,Windows 10 S 的限制并没有想象中那么苛刻,通过下面的功能对比列表用户能更清晰得了解 Windows 10 S,整体来看 Windows 10 S 反而要强于 Windows 10 家庭版,相比较 Windows 10 Pro 主要缺失的是对本地 AD域 的支持,但是却增加了对 Azure AD 域的支持。在 goxiA 看来 Windows 10 S 绝对是 Windows 产品系列中的杀手锏,用户可轻松借助免费的 Windows 客户端加入到 Azure AD 实现对用户端的管理,试想日后 Windows Store for Business 全球发布,企业用户也能轻而易举的实现内部的软件市场。以满足用户体验和管理需求。(PS:微软借教育的口做了一个大局,实在干得漂亮!)

win10s_feature_compare

        Windows 10 S 对硬件的需求并不高,而且对新款硬件将会提供很好的支持,目前微软正与众多合作伙伴协作解决相关的兼容性问题,相信未来的市场成熟度能满足大多数用户的需求,而企业其实更多关注的是打印机这些外设,只要搞定了打印机驱动,相信 Windows 10 S 在企业领域的普及速度也会非常快。

        此外,在发布会上配套 Windows 10 S 的众多厂商设备都未明确提及 CPU,而且从 Surface Laptop 参数看,Windows 10 S 是一款支持 x86 架构的操作系统(PS:也许在未来会提供 ARM 架构的支持),所以 Windows 10 S 将支持就地升级到 Windows 10 Pro,且得到了微软的证实,用户将可以通过应用商店支付极少的费用进行升级。

        在 gOxiA 看来,Windows 10 S 不单单是一个 SKU 发布那么简单,其有着重要的战略意义,不止于教育领域!

Windows 10 S + Azure AD + Windows Store for Business + Office 365 + Surface Laptop

win10creatorsupdate1703

HOWTO: 统一设置 Windows 10 的文件默认关联

        在实践 Windows 10 的标准化部署时,由于要预先安装企业常用的应用软件,有些软件用于替换 Windows 自带的应用程序,所以 IT 人员通常会对 Windows 系统的文件默认关联进行预配置。以往我们都会先在参考映像下对 Windows 的默认关联进行手工指定,然后在配合 Unattend 应答文件,启用 Copyfile 选项将参考映像的用户设置应用到默认用户配置文件,以便后续向其他用户配置做继承达到统一配置默认关联设置的目的。

image

        其实在 Windows DISM 中提供了默认关联的参数选项,/export-defaultappassociations 用于导出当前用户的默认关联,/import-defaultappassociations 则用于导入默认关联。

snipaste20170424_085622

        IT 人员可以现在参考映像系统环境下手工指定各文件的默认关联,然后使用如下命令行导出默认关联设置,以便后续进行导入。

dism /online /export-defaultappassociations:%userprofile%desktopdefappassoc.xml

snipaste20170424_085754

        在得到默认关联设置数据后便可导入其他映像或正在使用的系统中。例如对于一个脱机映像,我们可以执行如下命令进行导入:

dism /image:c: /import-defaultappassociations:c:defappassoc.xml

        而对于用户正在使用的系统,可以借助组策略来进行配置,该选项位于:计算机配置-管理模板-Windows组件-文件资源管理器-设置默认关联配置文件,具体参考下图:

snipaste20170424_094221

        此外,我们也可以借助 WICD(Windows Imaging and Configuration Designer) 生成配置包供 Windows 10 用户使用,此法更适合通过网络传递,例如通过邮件方式发送给远端用户自助式导入配置。

snipaste20170424_095139

更正说明:以上ICD部分截图有误,具体请参考“HOWTO: 使用预配置包为 Windows 10 设置默认应用关联”。2017年5月12日

win10creatorsupdate1703

Windows 10 Creators Update OOBE 重启故障

        Windows 10 Creators Update,即创作者更新(v1703 Build 15063)于 4月11日面向公众发布并推送。在经历了两年的洗礼,Windows 10 在质量和稳定性方面都有了极大的改进。众多企业用户也开始着手评估 Windows 10 的部署工作。

        gOxiA 在去年年底完成了 Surface Pro 4 的 Windows 10 Pro v1607 的企业标准化部署工作,目前正进行 Windows 10 Ent 2016 LTSB 以及 Windows 10 Pro v1703 的评估。2016 LTSB 因为基于 v1607 所以评估过程相当顺利,但是 Windows 10 Pro v1703 却遭遇到了诡异的问题,大致的环境是一台基于 1703 ISO 安装的虚拟机作为参考映像,在系统审计模式下进行了标准化的定制,在参考映像配置完成后,使用 Unattend 配合 Sysprep 对系统重新封装,之后测试阶段都很正常,但是 OOBE 阶段提示“为什么我的电脑重启了”这样的提示,必须手动执行“下一步”才能继续,导致自动化部署会因此中断,但是在下一步继续后,系统还是能够正常进入桌面执行后续部署序列,而且系统部署完毕后也未发现其他异常。

snipaste20170413_144006

        针对该问题,排查了 setupact.log、setuperr.log 等安装日志,并未发现相关的异常和警告事件,无奈只能从 Unattend 下手逐项排查(PS:1703 和 1607 的应用和设置环境几乎相同),分别剔除 Oobesystem、Specialize 阶段的配置,几经折腾没有任何进展,最后干脆不加载 Unattend,结果故障依旧。既然如此,那么问题肯定出在参考映像系统环境上,这个初步的结果也算是一个里程碑。

        分析参考映像系统环境,排除掉第三方的普通应用程序,值得关注的就只剩下国产的某安全软件,其实它也就是个“流氓性质”的 PC 管理应用,披着安全和管理的外衣,“私下干着不为人知的事情”,只是无奈于产品选型,否则坚决不会选择这类应用部署到企业环境。

        孰是孰非,测试结果说话!还原到 Build Ready - Audit 状态,卸载该软件,重新执行 Sysprep 加载 Unattend 进行测试,经过漫长的等待,终于等到 OOBE,一切正常步步自动执行下去直至进入桌面,果然是第三方安全管理软件的原因,于是导入捕获映像,使用 MDT 任务序列再次跑了一遍,至此排查近 1周的问题终于得到了解决。

        最后在普及一下,Windows 10 Defender 内置与系统,支持组策略管理,性能、稳定性、兼容性都相当出色,IT 人员不妨好好考虑一下!!!

分页: 3/171 第一页 上页 1 2 3 4 5 6 7 8 9 10 下页 最后页 [ 显示模式: 摘要 | 列表 ]