为企业部署 Arm Client 做准备
为企业部署 Arm Client 做准备
随着 AI 端侧运行的兴起,以及更多的基于 ARM 平台的品牌设备发布,预计在未来会有相当体量的 ARM Client 进入企业环境。对于需要进行 Windows 桌面标准化交付的组织,ITPro 需要了解基于 ARM 的 Windows 部署差异,提早准备部署测试环境,当商用 ARM 设备上市后可以及时有效的进行实践。
在过去基于 ARM 的 Windows 设备将仅支持 Intune 这样的现代部署,以及 PPKG 这样的动态部署方法,对于使用映像执行传统部署的方案并不支持。但现在 Windows 11 最新版本(24H2)将开始全面支持基于映像方式的部署以及定制方案。
在最新发布的 Windows ADK 10.1.26100.1 中,Windows PE 的 Arm 版本支持 PowerShell、.Net 和 Arm 上的 x64 仿真(Arm64EC)。对于 Windows PE Boot WIM,可以使用 CopyPE 指定 Arm64 生成启动文件,便可在 Arm 设备上引导启动。
从 Arm64 的 WIM 文件看并没有什么“特别”之处。
硬盘分区方面,UEFI 建议分区布局仍旧适用于 Arm。其中 System (Boot) 分区建议 260MB,MSR 16MB,Recovery 2GB。
对于需要使用无人参与应答文件的 ITPro,当要为 Arm 的 OS WIM 生成编录文件时(.clg)则要使用 32位版本的 Windows SIM。基于 Arm 的 Windows 包含与 AMD64 Windows 相同的恢复环境,但 Arm 恢复环境下使用的工具必须与 Arm 兼容,此外 Arm WinRE 环境下是不支持 PowerShell 和 .NET 的。
如果打算使用 PXE 服务器,如 WDS 进行 WIM 的部署,需要导入 Arm64 的 Boot WIM,这一过程还会自动导入 Arm64 的启动文件。
系统定制方面 Arm64 与 传统 AMD64 过程一般相同,我们仍旧可以通过 Windows Setup 或 DISM 执行映像的手工安装。也同样可以 Mount WIM 文件并执行修改,Sysprep 以及 Audit Mode 也同样适用于 Arm64。
语言包以及按需功能也都保持一致,但注意对应 Arm 版本。驱动程序方面,由于 Arm 的驱动要少于 x86 平台,所以需要确保拥有完整的 Arm 设备驱动程序,并且应当注入到 PE 和 脱机映像中 。
此外,需要注意的是 Arm 平台不支持 FFU 方式,仅支持 WIM。
虽然目前微软尚未公开提供 Arm 版的 Windows 安装源,但如果你已经拿到了基于 Arm 的 Windows 设备,其实是可以通过 PE 离线方式捕获 OSImage 或导出设备驱动的。这样一来,就可提前进行传统部署的测试环境!
最后,虽然我们已经可以利用传统的部署方法来为 Arm 平台准备 Windows,但 gOxiA 还是极力推荐使用 Intune 的 Windows Autopilot 这种更现代的部署方案。一些 OEM 设备预装的 Windows 环境已经非常出色,整体干净整洁没有多余的程序或驱动附加应用,开机即可通过 Windows Autopilot 执行标准化部署,整个过程让人感到舒适轻松!最近看到 next generation of Windows Autopilot 的消息,有机会要试试到时与大家分享。
微软发布 Windows 部署"四部曲"
微软发布 Windows 部署"四部曲"
今天这篇日志不是一篇纯技术分享,只是四个微软官方文档的推荐,非常适合那些计划部署 Windows 11、Windows 365 以及 Azure Virtual Desktop 的 ITPro,这仅是三部曲,那第四部其实是使用 Configuration Manager 执行 In-place upgrade(就地升级)。整个文档采用了带入式体验,提供了精心设计的学习内容,同时还与阅读者互动,甚至可生成用于部署的脚本,使大家能够更深入投入到文档学习和部署实践中。
下来让我们一睹芳容!
Windows 11 setup guide,其中还蕴藏了很多相关产品/服务的 setup guide,内容十分丰富,绝对是宝藏级手册!
Windows 365 Enterprise deployment checklist,根据不同的部署选项,对不同检查进行分类并根据优先级进行说明。
Azure Virtual Desktop setup guide
In-place upgrade with Configuration Manager,跟随向导学习相关的知识内容,并提供部署相关信息,便可在最后生成部署脚本导入到我们的CM中进行实践。
即可行动起来!!!
体验 Sudo for Windows
体验 Sudo for Windows
有一段时间没有更新日志了!昨天,微软向 Windows Insider Release Preview Channel 推送了 Windows 11 24H2 - 26100.712,包含了不少新的特性和功能,其中的 sudo 是 gOxiA 特别感兴趣的。是的,你没看错!在 Windows 上我们可以使用 sudo 了,其实早在 26052 时就开始内置 sudo 的支持。
Sudo for Windows 与 xNIX 中 sudo 的用途类似,都是用来实现用户提权执行命令的,对于 sudo for Windows 主要是基于 UAC 的提权,并且它不支持普通账户,这些基本概念要注意!
命令提示符下,不像 UI 界面可以通过选项或热键去激活 UAC 提权,当我们打开 CMD 或 PowerShell 执行一段命令,发现它需要进行 UAC 提权时,通常会重新以 UAC 提权(管理员身份运行)方式打开 CMD 或 PowerShell 再重新执行命令行,这将会经历一系列的键盘或鼠标的切换操作流程!毕竟我们不是每一次都记得先去做 UAC 提权。
现在有了 sudo 一切都变得方便了许多,gOxiA 现在已经把“终端”应用中的“以管理员身份运行此配置文件”的选项关闭了,不用每次涉及到命令行的都要去确认一次 UAC 提权,并且打开终端的速度也快了许多!
sudo for Windows(以下简称 sudo)出于安全性考虑,默认是禁用的,并且它被归类在“开发者选项”中。我们需要进入 Windows 设置,转到“系统”下的“开发者选项”才能找到 sudo 配置,如果你想快速找到它,可以在 Windows 设置的搜索框中键入 sudo 来查找。
如上图所示,当我们打开 sudo 后,可以看到三个 sudo 运行选项:“在新窗口中、禁用输入、内联”。三者中第一个是最为安全的,也是系默认配置,之后依次排列。三个选项根据说明还是很容易理解的,但配合参数后 gOxiA 认为一些安全使用逻辑还有待改进完善!下面让我们分步了解一下这三个选项。
1. “在新窗口中”,其对应 -N 或 --new-window 参数。当我们通过 sudo 执行命令后,将会启动带有提权的 sudo 会话进程,在经过用户确认后即可提权运行后续的指令,并以新窗口形式运行。
2. “禁用输入”,其对应 --disable-input 参数。即执行的命令将基于当前窗口运行 UAC 提权的进程,但其输入句柄将会被关闭,避免已经提升的进程从当前窗口接收指令。
3. “内联”,其对应 --inline 参数。意思就是直接将当前窗口进程进行提权,与 2 类似但将已提权模式继续处理后续的输入。
三个选项的逻辑很清晰,但我们在实际运用中会发现,必须先将 sudo 配置为“内联”或“禁用输入”后,才能使用对应的参数选择性的去执行(运行模式由安全级别低向高排序)。否则,将会提示 无法在计算机上以高于XXXX模式的模式运行 !(PS:那么到底是要临时安全还是始终安全呢?!)
sudo 更多的参数可执行运行命令获取,不再复述。此外,我们还需要注意的是 sudo 不具有 runas 命令的功能,要运行 sudo 必须是管理员级别的账号,普通账号在执行 sudo 后将提示“不允许你运行 sudo”。
sudo 目前已经支持通过 GPO 配置,路径是“计算机配置 - 管理模板 - 系统 - 配置 sudo 命令的行为”。
官方文档: Sudo for Windows
