Windows 10 S 概览

[ 2017/05/04 17:20 | by gOxiA ]

windows-10-s_banner

Windows 10 S 概览

        2017年5月2日 21:30(北京时间)微软举办了名为“Learn what's next.”的主题发布会,并通过网络做了现场直播。该会议围绕教育领域,并针对性的发布了新的操作系统版本 -  Windows 10 S,以及 Surface Laptop 设备。

Learn_whats_nextWindowsCloud_PreOrder_Angle_1920

        本文将着重分享 Windows 10 S 的相关咨询。据微软官方介绍,Windows 10 S 的灵感来自于师生间的互动,是目前为止最适合学校使用的 Windows,但是 Windows 10 S 也一样适用于对性能和高安全性有极高要求的用户。

        Windows 10 S 基于 Windows 10 Pro 进行特定配置,除了提供了熟悉和高效的 Windows 体验外,还进行了简化处理。由于在该版本中只能安装和运行来自 Windows 应用商店的应用,且只能将 Microsoft Edge 作为默认浏览器,从而确保了应用源和网页访问的安全性,杜绝了含有恶意代码的应用程序和网站。简单理解,只要是 Windows 应用商店发布的应用程序就可以安装和运行在 Windows 10 S 上,而且也允许从应用商店安装其他第三方的浏览器,只是不能将其设置为系统默认浏览器而已,此外 Edge 的默认搜索程序是无法被修改的。

        作为一款免费提供的 Windows 来说,Windows 10 S 的限制并没有想象中那么苛刻,通过下面的功能对比列表用户能更清晰得了解 Windows 10 S,整体来看 Windows 10 S 反而要强于 Windows 10 家庭版,相比较 Windows 10 Pro 主要缺失的是对本地 AD域 的支持,但是却增加了对 Azure AD 域的支持。在 goxiA 看来 Windows 10 S 绝对是 Windows 产品系列中的杀手锏,用户可轻松借助免费的 Windows 客户端加入到 Azure AD 实现对用户端的管理,试想日后 Windows Store for Business 全球发布,企业用户也能轻而易举的实现内部的软件市场。以满足用户体验和管理需求。(PS:微软借教育的口做了一个大局,实在干得漂亮!)

win10s_feature_compare

        Windows 10 S 对硬件的需求并不高,而且对新款硬件将会提供很好的支持,目前微软正与众多合作伙伴协作解决相关的兼容性问题,相信未来的市场成熟度能满足大多数用户的需求,而企业其实更多关注的是打印机这些外设,只要搞定了打印机驱动,相信 Windows 10 S 在企业领域的普及速度也会非常快。

        此外,在发布会上配套 Windows 10 S 的众多厂商设备都未明确提及 CPU,而且从 Surface Laptop 参数看,Windows 10 S 是一款支持 x86 架构的操作系统(PS:也许在未来会提供 ARM 架构的支持),所以 Windows 10 S 将支持就地升级到 Windows 10 Pro,且得到了微软的证实,用户将可以通过应用商店支付极少的费用进行升级。

        在 gOxiA 看来,Windows 10 S 不单单是一个 SKU 发布那么简单,其有着重要的战略意义,不止于教育领域!

Windows 10 S + Azure AD + Windows Store for Business + Office 365 + Surface Laptop

win10creatorsupdate1703

HOWTO: 统一设置 Windows 10 的文件默认关联

        在实践 Windows 10 的标准化部署时,由于要预先安装企业常用的应用软件,有些软件用于替换 Windows 自带的应用程序,所以 IT 人员通常会对 Windows 系统的文件默认关联进行预配置。以往我们都会先在参考映像下对 Windows 的默认关联进行手工指定,然后在配合 Unattend 应答文件,启用 Copyfile 选项将参考映像的用户设置应用到默认用户配置文件,以便后续向其他用户配置做继承达到统一配置默认关联设置的目的。

image

        其实在 Windows DISM 中提供了默认关联的参数选项,/export-defaultappassociations 用于导出当前用户的默认关联,/import-defaultappassociations 则用于导入默认关联。

snipaste20170424_085622

        IT 人员可以现在参考映像系统环境下手工指定各文件的默认关联,然后使用如下命令行导出默认关联设置,以便后续进行导入。

dism /online /export-defaultappassociations:%userprofile%desktopdefappassoc.xml

snipaste20170424_085754

        在得到默认关联设置数据后便可导入其他映像或正在使用的系统中。例如对于一个脱机映像,我们可以执行如下命令进行导入:

dism /image:c: /import-defaultappassociations:c:defappassoc.xml

        而对于用户正在使用的系统,可以借助组策略来进行配置,该选项位于:计算机配置-管理模板-Windows组件-文件资源管理器-设置默认关联配置文件,具体参考下图:

snipaste20170424_094221

        此外,我们也可以借助 WICD(Windows Imaging and Configuration Designer) 生成配置包供 Windows 10 用户使用,此法更适合通过网络传递,例如通过邮件方式发送给远端用户自助式导入配置。

snipaste20170424_095139

更正说明:以上ICD部分截图有误,具体请参考“HOWTO: 使用预配置包为 Windows 10 设置默认应用关联”。2017年5月12日

win10creatorsupdate1703

Windows 10 Creators Update OOBE 重启故障

        Windows 10 Creators Update,即创作者更新(v1703 Build 15063)于 4月11日面向公众发布并推送。在经历了两年的洗礼,Windows 10 在质量和稳定性方面都有了极大的改进。众多企业用户也开始着手评估 Windows 10 的部署工作。

        gOxiA 在去年年底完成了 Surface Pro 4 的 Windows 10 Pro v1607 的企业标准化部署工作,目前正进行 Windows 10 Ent 2016 LTSB 以及 Windows 10 Pro v1703 的评估。2016 LTSB 因为基于 v1607 所以评估过程相当顺利,但是 Windows 10 Pro v1703 却遭遇到了诡异的问题,大致的环境是一台基于 1703 ISO 安装的虚拟机作为参考映像,在系统审计模式下进行了标准化的定制,在参考映像配置完成后,使用 Unattend 配合 Sysprep 对系统重新封装,之后测试阶段都很正常,但是 OOBE 阶段提示“为什么我的电脑重启了”这样的提示,必须手动执行“下一步”才能继续,导致自动化部署会因此中断,但是在下一步继续后,系统还是能够正常进入桌面执行后续部署序列,而且系统部署完毕后也未发现其他异常。

snipaste20170413_144006

        针对该问题,排查了 setupact.log、setuperr.log 等安装日志,并未发现相关的异常和警告事件,无奈只能从 Unattend 下手逐项排查(PS:1703 和 1607 的应用和设置环境几乎相同),分别剔除 Oobesystem、Specialize 阶段的配置,几经折腾没有任何进展,最后干脆不加载 Unattend,结果故障依旧。既然如此,那么问题肯定出在参考映像系统环境上,这个初步的结果也算是一个里程碑。

        分析参考映像系统环境,排除掉第三方的普通应用程序,值得关注的就只剩下国产的某安全软件,其实它也就是个“流氓性质”的 PC 管理应用,披着安全和管理的外衣,“私下干着不为人知的事情”,只是无奈于产品选型,否则坚决不会选择这类应用部署到企业环境。

        孰是孰非,测试结果说话!还原到 Build Ready - Audit 状态,卸载该软件,重新执行 Sysprep 加载 Unattend 进行测试,经过漫长的等待,终于等到 OOBE,一切正常步步自动执行下去直至进入桌面,果然是第三方安全管理软件的原因,于是导入捕获映像,使用 MDT 任务序列再次跑了一遍,至此排查近 1周的问题终于得到了解决。

        最后在普及一下,Windows 10 Defender 内置与系统,支持组策略管理,性能、稳定性、兼容性都相当出色,IT 人员不妨好好考虑一下!!!

win10creatorsupdate1703

Windows 10 创作者更新支持无损 MBR to GPT 转换

        Windows 10 Creators Update (创作者更新 - v1703 Build15063)即将在 4月11日面向消费用户推送,MSDN 订阅以及 Insider Preview 则会提前一周拿到 RTM 版本。1703 作为 2017年一次重大的 Windows 10 更新除了改进了系统的性能和稳定性外,还带来了许多新特性、新功能。其中 MBR2GPT 对于 ITPro 十分的有价值,因为他支持从 MBR 到 GPT 的无损转换。

        作为常年与桌面系统部署打交道的 ITPro,应该知道在执行 Windows 升级操作时,不支持从 MBR 到 GPT。随着 UEFI 的普及,目前大多数的系统设备都已经默认支持 UEFI,配置有固态硬盘,并且还支持快速启动,而要想完全发挥硬件特性以及更好的管理磁盘,GPT 势必成为首选。但是在以往如果要将现有电脑转换为 UEFI,就必须备份和清理用户磁盘,这给 ITPro 带来了巨大的工作量。而随着 Windows 10 创者者更新的发布,那一切都将成为历史,微软听取了广大用户的建议,在系统内置了 MBR2GPT 无损转换工具 - mbr2gpt.exe,使用该工具可以轻松的执行 MBR 到 GPT 的无损转换。该工具同时还支持 Online 模式,这意味着无需引导进入 Windows PE,即可在当前生产环境直接进行转换。

        gOxiA 专门抽出时间搭建了环境对 MBR2GPT 进行了实验,效果非常之好,没有复杂琐碎的干预操作,执行执行命令即可完成,期间获得了一些宝贵经验,希望借此与大家分享,避免大家踩坑。实验环境是一台 Windows 10 创作者更新的虚拟机,Gen1 类型 MBR 启动,鉴于国内用户通常都是将引导分区和系统分区放在一个卷上,并喜欢划分多个分区,所以这台虚拟机的分区结构如下:

snipaste20170410_083039

        下来,gOxiA 直接启动命令行环境,执行 mbr2gpt.exe 进行转换,因为是 Online 模式,所以除了转换参数 /convert 外,还需附加 /allowfullos 参数。完整的命令行即:

mbr2gpt /convert /allowfullos

        执行结果显示失败“Disk layout validation failed for disk 0”,难不成跟没有使用独立的引导分区有关,随后收缩系统盘空间 500MB 出来打算手工做个启动分区,由于当前磁盘分区是 4个主分区如果要再添加分区必须转化为动态磁盘,否则就要使用 GPT。

snipaste20170410_083403

        看来思路不对,问题应该还是出现在这四个主分区上,检查了日志发现了线索“Too many MBR partitions found, no room to create EFI system partition.”显然由于分区过多,导致无法创建 UEFI 引导分区。

snipaste20170410_093646

        由于是实验环境,所以直接删除了第四个分区,保留系统三个有效分区,再次执行 mbr2gpt 顺利进行了转换,过程与结果如下图所示:

snipaste20170410_090358

        最后将该磁盘分配到 Gen2 类型 UEFI 的虚拟机上启动进行测试,成功进行了转换。

        另据 gOxiA 所了解国内很多企业环境下,ITPro 并没有很好的执行标准化部署,喜欢用一些陈旧的第三方工具为电脑分区格式化,还喜欢创建多分区结构来替代目录实现分类数据存储,这就为以后标准化的推进埋下了隐患,建议还是基于产品多做分析多做实践,良性的使用习惯推广不仅是对自己负责也是对用户负责!

Co3p9r4XYAAb_t8

HOWTO: 解决因配置 FolderLocations 引发的软件安装故障

        还记得前段时间 gOxiA 分享的一篇日志“HOWTO: 解决 Windows DISM error ID3 0x80070003 故障”,由于在 Windows 安装应答文件(Unattend.xml)中配置了“FolderLocations”来重定向用户目录,导致在离线模式下使用 DISM 配置系统失败。虽然微软官方确认了这是一个已知问题,并且给出了解决方案,但是发现并不能完全解决所有问题,例如当用户在使用 Folerlocations 重定向用户目录的系统环境中安装 AutoCAD 时就会出现故障问题,如下图所示:

snipaste20170303_102751

        可以看到 AutoCAD 安装向导在许可协议界面报错“错误: 1606。无法访问网络位置 Autodesk\AutoCAD 2014\R19.1”。

        根据提示搜索了 AutoCAD 官方文档也未获得准确的提示和解决办法,有网友称需要安装什么 Windows 7 补丁,其实根据排错发现引发该问题的主要根源就是因为重定向了用户目录,而 Public 这个用户目录路径未能更新到注册表响应的键值上,而这罪魁祸首还是因为 FolderLocations,Sysprep 虽然能够处理 FolderLocaltions 并成功移动 Users 目录到其他分区,但是却未能更新所有的注册表键值。

snipaste20170303_135943

        要解决这个问题,就需要手工编辑注册表,定位到如下路径,修改其下 Public 的键值,确保路径正确。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

snipaste20170303_140250

        修改完毕后,重新启动安装程序,便可解决故障问题。gOxiA 有幸加入到了 WDG Windows 10 TAP 项目,决心将这个 Bug 提交给产品开发组,希望能彻底解决这个问题。(从排错过程看,FolderLocations 导致的 Bug 可能涉及底层一些东西,因为在 Default 相关配置数据并未存储在注册表中!)

Windows_Defender

通过 WDS 环境应用 Windows Defender Offline

        上一篇文章“通过 WDS 环境应用 Windows Defender Offline - 上”,gOxiA 分享了如何制作 Windows Defender Offline 的 ISO 镜像,而今天这篇将开始我们的主题。在 WDS 环境下应用 Windows Defender Offline(以下简称:WDO),可以极大方便用户使用 WDO,通过企业网络 PXE 引导 WDO,比起 UFD 更安全也更高效。

        但是,当我们将 WDO 的启动 WIM 文件添加到 WDS Boot Image,在用户端引导 WDO 后会发现,无法正常执行扫描工作,因为 Virus and spyware definitions: Out of date,即病毒特征库过期。如此,在 WDO 启动的初始化界面实际上是在加载最新的病毒特征库。

snipaste20170222_163746

        为了进行论证对 WDO 的 ISO 进行了分析,发现在 ISO 根目录中有一个名为 mpam-fex64.exe 文件,该文件就是最新的病毒特征库,那么接下来就要搞清楚 WDO 是如何调用这个病毒特征库的,首先要看看 Winpeshl.ini 是否定义了命令行,参考下图,确实调用了 Windows Defender 相关的执行命令,从文件名看是个专为 Offline 编写的命令,而且没有加参数,gOxiA 猜测对 mpam-fex64.exe 的调用是写在内部代码里的。

snipaste20170222_164807

snipaste20170223_083939

        既然是固化在内部代码中的,就要确定调用特征库的具体路径,以便为后续能在 WDS 中应用 WDO 奠定基础。为此使用了 Sysinternals 工具集中的 Strings 对 OfflineScannerShell.exe 进行了分析,果然不出所料,特征库名称是固定的,但是没能找到定义路径。

snipaste20170223_091439

snipaste20170223_091307

        重新分析 ISO 文件结构发现 mpam-fex64.exe 存储位置还包含一个 FilesList64.dll,从名字看貌似与遍历有关,难不成 WDO 是通过遍历目录寻找名为 mpam-fex64.exe 的文件,既然已经走到这一步,只能实验出结果,将 WDO 的

WIM 文件通过 DISM 命令 Mount 出来,然后直接将 FileList64.dll 和 mpam-fex64.exe 拷贝到 WDO 的 WIM 映像根目录中,保存更新添加到 WDS 启动映像,找台客户端开机 PXE 引导测试,通过!!!

snipaste20170222_164914 

        问题解决,以后只需要手工下载最新版的 mpam-fex64.exe 打包到 WDO 的 WIM 中即可。Windows Defender 的最新特征库可以从下面的官方网站下载到,不要忘记将下载的文件名改为 WDO 定义的名字。

Updating your Microsoft antimalware and antispyware software:

https://www.microsoft.com/security/portal/definitions/adl.aspx

Windows_Defender

通过 WDS 环境应用 Windows Defender Offline

        在开写本文前,gOxiA 觉得很有必要先介绍一下什么是 Windows Defender Offline?!以及如何获得 Windows Defender Offline?!然后再与大家分享通过 WDS 环境应用 Windows Defdender Offline。

        Windows Defender 相信使用 Windows 的朋友并不会感到陌生,它是一款微软研发的 Windows 实时保护软件,用于检测和减少可能危害 Windows 及用户安全的软件,不论威胁是来自电子邮件,还是内网或互联网,它都能够检测并删除病毒、间谍软件和恶意软件。Windows Defender 历史悠久,支持 Windows XP/Vista/7/8,直至现在的 Windows 10。gOxiA 从 XP 时代就开始使用 Windows Defender(那时它还不叫这个名字,一路更名,过去的它就简称 MSE 吧!),非常值得信赖,在个人认为是安全软件里做的最有良心的,没有之一!!!(PS:评价就是如此之高)如果你希望更深入的了解 Windows Defender 技术方面的细节,请一定不要错过“Windows Defender 技术概述”这篇官方文档。

        而 Windows Defender Offline 其实是 Windows Defender 的一个功能,或理解为一种运行时态,即离线扫描。通过专用的工具可从微软官方下载最新的安全威胁特征库,并为其创建一个受信任的运行环境,从而无需启动操作系统,便可对该操作系统进行扫描和查杀安全威胁。Windows Defender Offline 尤其针对那些 rootkit 等及其顽固的恶意软件。下图便是 Windows Defender Offline 正在运行时的样子,首先会执行初始化,之后自动开始执行扫描,在联网环境下还支持更新特征库,而且也支持自定义扫描!

snipaste20170222_160614

snipaste20170222_160713

snipaste20170222_160734

snipaste20170222_161031

        看完上面的介绍,是不是心里顿生想法,尤其是 ITer 一定要有个 Windows Defender Offline 傍身才好!接下来跟随 gOxiA 的节奏一起来尝试创建 Windows Defender Offline。需要注意,如果你是 Windows 10 用户,可在“所有设置”-“更新和安全”-“Windows Defender”下找到“Windows Defender Offline”的“脱机扫描”按钮,点击它之后系统会在一分钟后重启进入 Windows Defender Offline 环境。

snipaste20170223_211537

        如果你是 Windows 老版本的用户,又或者极其想拥有一个独立于当前系统的 Windows Defender,那么可以继续往下看了!首先下载 Windows Defender Offline 创建工具:

        下载到本地后便可直接运行它,启动创建向导以便完成 Windows Defender Offline 的制作,向导支持 CD、DVD、UFD 以及 ISO 格式,如果你不熟悉如何将 ISO 转为 UFD,那么建议你在后续过程中插入一个 U盘选择对应的方式创建,而本文则是以 ISO 来演示的。

DefenderOfflineTools-1

DefenderOfflineTools-2

        这一步是关键,三种创建方式,根据自己的实际情况选择,本文则选在 ISO 文件。

DefenderOfflineTools-3

        选择 ISO 的存储位置,为了方便查找,可直接保存在桌面上。

DefenderOfflineTools-4

        创建开始,此时请确保你有一个高速互联网,否则区区不到 300MB 的数据也够你受的!(PS:由于 Windows Defender Offline 资源使用了某司的CDN,虽然进行了分流优化,但实际上国内的网络还是非常之慢!)

DefenderOfflineTools-5

        OK,在经过漫长的等待过程后,ISO 便创建好了,有了 ISO 文件,ITer 应用起来就得心应手了许多,可以先载入到虚拟机下感受感受。

DefenderOfflineTools-6

        休息一下,接下来我们本文的重点将是在 WDS 环境下应用 Windows Defender Offline!这个场景更多的是在企业环境中……(未完待续!)

Co3p9r4XYAAb_t8

        一台 Windows 10 计算机,通过 Windows 更新独立安装程序手工安装 MSU 更新包,在安装过程中出现错误提示“安装程序遇到错误: 0x80070422”,使用 Windows 更新功能执行在线检查也一样提示“0x80070422”故障。

snipaste20161216_140811

        0x80070422 其实是非常典型的简单故障,错误提示页面下的中文解释已经非常到位,即相关的服务无法启动,通常造成服务无法启动的原因就是服务被禁用掉,用户只需要通过services.msc启动服务管理器将 Windows Update 服务改为手工,再次执行安装程序即可解决问题。

        如果服务启动失败,可以通过“依存关系”对当前服务依赖的组件进行基础检查。另外,gOxiA 不建议在 Windows 10 上禁用 Windows Update 服务,因为即使要手工安装 Windows 更新补丁包,也需要启动 Windows Update 服务;此外,Windows 激活时同样依赖 Windows Update 服务。

        最后分享一篇资料非常有价值,便于我们快速诊断错误代码代表的原因。

        IUTool error codes:

        https://msdn.microsoft.com/en-us/windows/hardware/commercialize/manufacture/mobile/iutool-error-codes

Co3p9r4XYAAb_t8

使用 Windows 10 的连接应用轻松演示移动设备内容

        Windows 10 周年更新(1607)中包含了一款系统应用 - 连接,恐怕很少用户会关注到这款应用,而它确实就在那里!如果你正迫切需要通过电脑屏幕来展示自己的移动设备内容,不论你是 Windows Phone 还是 Android,那么“连接”将轻松实现你的需求,并且是通过无线技术将移动设备内容展示在电脑屏幕上。正如下图所示,gOxiA 正使用小米的红米Note3通过无线方式将手机的界面投放到了Windows 10系统上,这一功能对于那些移动开发者来讲,相信非常有价值。

20161202_140659862_iOS

        要使用这一功能,需要确保移动设备支持无线显示协议,通常大部分的主流 Android 都支持这一功能。为了能够获得最佳的体验,Windows 10 设备最好也要支持无线显示技术,否则可能投影过来只有内容而没有声音,起码在 gOxiA 的 T420 上虽然能够播放移动设备端的视频内容,如:Youku 视频,但却没有声音;此外 Windows 也会提示无法使用系统鼠标对投放过来的移动内容进行操作。

connect-1

connect-2

        最后让我们来了解一下无线显示技术,在 Windows 和 Android 平台最为常见的无线显示技术当属 Intel WirelessDisplay(WiDi),全称为无线高清技术,通过 WiFi 信号来实现电脑和显示设备的无线连接。

remoteapp-connecting

使用 RemoteApp 方式访问远程桌面上的应用程序

        补充这篇日志纯粹是为了方便自己,经验技巧当然是很早以前的!原因是最近经常要访问笔记本上的应用,但又不想基于远程桌面环境,所以直接以应用窗口模式打开远程桌面上的应用是最为合适的。这里要用的到就是RemoteApp,而该技术在客户端系统上也能够通过修改注册表来实现。

        下面就是一个设置的例子:

  1. 打开注册表编辑器定位到HKLM\software\microsoft\windowsnt\currentversion\terminalserver\tsappallowlist  
  2. 在路径下新建名为 applications 的项,然后在该项下创建需要发布的应用程序的项,名字可自行命名,例如 notepad  
  3. 在 notepad 项下创建名为 name 和 path 的字符串,各自的值分别为 Notepad 和 c:\windows\system32\notepad.exe  
  4. 回到路径 tsappallowlist,修改fdisableallowlist的值为 1  
  5. 现在创建一个远程桌面连接,保存到桌面可命名为remoteapp-notepad.rdp  
  6. 修改和添加该文件内容如下:
    a) remoteapplicationmode:i:1
    b) remoteapplicationprogram:s:notepad
    c) disableremoteappcapscheck:i:1
    d) alternate shell:s:rdpinit.exe

        OK,双击这个 RDP 便可直接打开远程桌面环境下的 Notepad 程序,显示的界面仅仅是 Notepad 的窗体,这样可方便的在本地和远程之间切换使用,像使用本地程序一样。运行状态如下面截图所示:

snipaste20161208_113207

        目前尚未解决的问题是无法执行 Office 应用程序,可能受限于授权模式,还有待继续研究!但是可以通过运行的Notepad调用Explorer定位到Office2016的程序路径打开执行。

分页: 7/37 第一页 上页 2 3 4 5 6 7 8 9 10 11 下页 最后页 [ 显示模式: 摘要 | 列表 ]