本站域名:http://goxia.maytide.net or http://sufan.maytide.net
移动设备请访问:http://goxia.maytide.net/m转载文章,请务必保留出处与作者信息,未经许可严禁用于商业用途!
巧妙利用 MSfB 在 Windows 10 LTSC 上部署 UWP 程序
巧妙利用 MSfB 在 Windows 10 LTSC 上部署 UWP 程序
LTSC即长期服务通道,在过去被称为LTSB(长期服务分支),到目前位置微软一共发行了三个LTSC版本:
l Windows 10企业版 2015 LTSC,基于Windows 10 1507
l Windows 10企业版 2016 LTSC,基于Windows 10 1607
l Windows 10企业版 2019 LTSC,基于Windows 10 1809
通过 LTSC 服务模型,可以帮助企业延迟接收 Windows 功能更新,默认情况下 Windows 10 会在一年中提供两次的功能更新。此外,LTSC 还提供了长达 10年的生命周期。还有一点吸引企业 IT 人员的是 LTSC 未包含 Windows 10 的新桌面体验功能(如:Cortana、Edge、Microsoft Store和所有内置的Windows应用程序)。
不论怎样!LTSC 并非适用于大多数或所有电脑上部署,它仅适用在一些特定的应用场景或专用设备之上。这里有一篇文章介绍了 LTSC,强烈建议先行阅读。
简单理解,如果您的电脑上安装了 Office 等生产力应用软件,或连接了一些打印机等外设,那么这款电脑就不应安装 LTSC,如果您安装了并在使用中发生了一些问题,也无法从微软那里得到有效的技术支持。
即便如此,我们广大的企业IT人员还是非常青睐这个版本的操作系统。因为在 Windows 10 企业版 2019 LTSC 中又添加了很多的新功能,例如:
l 基于Windows 10 1809构建。
l 受Intune支持(注:WUfB目前不受支持),包括执行Autopilot部署。
l 安全性得以增强,提供了Windows Defender ATP、WIP、Windows Hello企业版,等安全功能和特性。
要了解更详尽的信息,可访问:https://docs.microsoft.com/zh-cn/windows/whats-new/ltsc/whats-new-windows-10-2019
回到正题,当我们在部署安装 LTSC 后可能需要使用常规版本下的 Windows 内置的应用程序,如 Windows Camera(相机)。由于缺少 Microsoft Store 我们将无法重新安装那些经典好用的 Windows 内置应用,此时正确的方案应该是从第三方获取独立的相机应用程序,他们可以是 Win32 或 UWP 类型的应用。
但如果当前 LTSC 应用场景下又必须使用 Windows Camera 这类的内置应用,又该有什么办法呢?!
经过研究,如果您所在的组织正好在使用 Intune,并开通了Microsoft Store for Business(简称:MSfB),那么这个问题就很容易解决了。我们可以从 MSfB 门户下载到 Windows Camera 的离线安装包。
首先,利用搜索找到 Windows Camera,您会发现这个 UWP 提供了 Online 和 Offline 两种部署方式,而且授权模式是 Free!!!
获取该应用后,便可以通过管理界面下载它的离线安装包,在下载时请务必正确选择相关的信息,如系统平台为 Windows 10 desktops,最小版本 17134 即不低于 1803 版的 Windows 10,架构是 x64,以及语言。之后,就可以下载这款应用的离线安装包。
此外,根据需要下载应用程序的授权文件,对于 Windows Camera 由于是 Free 授权,这个倒是可以略过。由于 Windows Camera 还需用一些运行框架支持,所以一定要将“Required frameworks”下的三个包也一同下载安装。
所有的应用包获取完毕后,便可以进入实质的安装阶段。首先,将这些文件拷贝到目标设备上的一个目录中,例如:C:\temp\camera。
然后,使用 DISM 或 PowerShell 命令行即可完成安装,通过DISM安装应用包(Appx or AppxBundle)参考如下:
安装完毕之后,在启动程序时请务必确保设备已经能够访问 Internet,否则应用将无法正常启动(会在日志中看到 COM ActivateExtension 相关的网络错误)。
我们也可以通过 PowerShell 命令“Add-AppPackage“进行安装,参考命令如下:
最后,分享两篇有关 LTSC 与 Surface 设备兼容性的指导文章。
https://docs.microsoft.com/en-us/surface/surface-device-compatibility-with-windows-10-ltsc
Windows Insider 变更新版本发行方式
Windows Insider 变更新版本发行方式
微软 Windows Insider Program 在六月中下旬公布了项目的最新变更信息,将当前基于 Ring 的版本发布模式转换成了新的 Channel 模式。这一变化意味着 Windows Insider 版本发布的重心将由多频率转变为高质量。此外该模式也与现有的 Office 和 Edge 吻合,为用户带来一致的评估体验。
新的 Channel 模式也非常便于理解,具体参考如下:
- Dev Channel,对应之前的 Fast ring,适用于一些高级用户或开发人员,可获得开发周期中最早的内部版本,体验到最新的更新,当然这也意味着不完善或存在不稳定的因素。
- Beta Channel,对应之前的 Slow ring,适用于那些喜欢尝鲜但又注重稳定性的用户。
- Release Preview Channel,对应之前的 Release Preview ring,该版本意味着无限接近正式版,已具备最终的关键功能,和可靠的质量更新。适用于组织内部大范围的验证和评估。
需要注意的是,以上变更目前还未正式体现在 Windows 预览体验计划的功能设置中,您看到的仍是“慢、快、Release Preview”三个选项。
更详尽的详细可阅览微软的官方网站:https://blogs.windows.com/windowsexperience/2020/06/15/introducing-windows-insider-channels/
微软发布 Windows File Recovery
微软发布 Windows File Recovery
微软近日在其 Microsoft Store 发布了一款免费的数据恢复工具 – Windows File Recovery,利用该工具可以帮助用户从本地驱动器,甚至是 SSD 或外部可移动存储(SD卡或U盘)上恢复那些已经被删除的文件。
满足 Windows File Recovery 的操作系统版本要求:Windows 10 19041 or 更高版本。Windows File Recovery 支持多种磁盘格式(FAT、exFAT、ReFS、NTFS),在非 NTFS 上进行数据恢复时需使用 Signature Mode 即参数 “/x”。
是否已经心动?!要安装它只需要从 Microsoft Store 获取即可,可以通过这个链接直接访问安装。https://www.microsoft.com/store/r/9N26S50LN705
当安装完毕后启动程序会自动进入 CMD 环境,假设我们要从一个目录恢复指定的文件,可参考如下命令行:
我们也可以从一个目录使用通配符恢复多个不同类型的文件,可参考如下命令行:
[code]winfr c: e: /n \users\<username>\pictures\*.jpg /n \users\<username>\pictures\*.png
对于前面提到的非 NTFS 场景,例如从 SD 卡恢复相片类型的文件,则可以参考如下命令行:
Windows File Recovery 还支持高级选项,可通过 ”/!” 查看高级选项说明。
有关 Windows File Recovery 更详尽的帮助说明,强烈建议学习:https://support.microsoft.com/en-us/help/4538642/windows-10-restore-lost-files?WT.mc_id=thomasmaurer-blog-thmaure
通过 Intune 配置文件的管理模板为 Edge 浏览器限制访问 URL
通过 Intune 配置文件的管理模板为 Edge 浏览器限制访问 URL
在互联网上不是每一个网站都是健康或安全的,为了避免最终用户无意或有意的访问那些不良网站,组织 IT 人员需要有一种机制来管理它们,确保用户不能访问那些受限的网站。在过去的传统环境下,通常会配置出口网关进行相关网站的限制访问,移动为先的今天大部分的用户或设备都具备可移动性,过去传统的管理方式已经不能满足现在的应用场景。
如果你的组织已经开始使用 Intune 来管理设备,则可以通过设备配置文件来实现 URL 访问的限制。实际上我们将利用的是 Microsoft Edge 的 URL 列表策略,通过 Intune 设备配置通过互联网推送给终端设备,实现对用户特定 URL 的限制访问。
在开始实践前建议先阅读这篇文档“基于 URL 列表的策略的筛选器格式”,这将帮助我们了解如何准确的添加要限制的 URL。此外确保组织的设备已经部署了 Microsoft Edge,它是一款基于 Chromium 的新浏览器,在今年1月份已正式发布,gOxiA 之前写过一篇介绍的日志 – “微软发布基于 Chromium 的正式版 Microsoft Edge 浏览器”可以参考。
满足以上条件,就可以开始创建设备配置文件,为此登录 Microsoft Endpoint Manager,在左侧点击“设备”,然后点击“配置文件”,并创建新的配置文件,之后请选择 Windows 10 平台,配置文件类型使用管理模板。在接下来的向导中为我们的配置文件创建一个易于识别的名字,下一步之后就会看到策略配置页面,是不是很像我们过去常用的组策略?!
在“计算机配置”下选择“Microsoft Edge”,然后在搜索框中输入“URL”进行显示筛选,你会看到列表中有一个名为“阻止访问 URL 列表”的设置项,我们将通过它来实现阻止用户访问特定的URL,另外你还会看到另一个设置项“定义允许的 URL 列表”,这两个其实就实现了所谓的 URL 黑白名单,你也可以根据实际的场景需求选择性配置。
在“阻止访问 URL 列表”中勾选“已启用”,然后手动添加 URL。
在策略生效后,用户访问这些被限制的 URL 时就会收到如下图一样的页面信息,如果希望查看当前 Edge 的策略,可以在地址栏输入”edge://policy”。
如果希望了解更多的 Edge 策略支持,可以阅读这篇文档。https://docs.microsoft.com/zh-cn/deployedge/microsoft-edge-policies#urlblocklist
体验新的 Windows 程序包管理器
体验新的 Windows 程序包管理器
微软在 Microsoft Build 2020 大会上公布了 Windows Package Manager (Windows 程序包管理器)预览版,它是一款工具,可以帮助我们自动化在计算机上获取软件的过程。对于企业 IT 人员来说,他的价值也非常巨大,现在只需一个简单的脚本命令即可通过互联网从软件库中获取到要安装软件的最新版本。
例如我们想安装 PowerToys,我们只需要输入“winget install powertoys”命令即可完成安装,而且整个安装过程将自动执行。
目前这个软件库构建在微软社区存储库中,我们可以使用“winget search”进行搜索可安装的软件,虽然目前类别和数量还较少,但相信更多的软件开发人员会加入进来,软件也就会更加丰富。除此之外,我们也可以构建一个本地清单,来部署软件。
此时,您可能会产生一个疑问,这个软件库直接信赖吗?!这是一个好问题,微软也考虑到了,所以会自动检查每一个清单,并利用 SmartScreen,静态分析,通过 SHA256 验证,以及其他一些过程来减少恶意软件进入存储库或计算机。
如果读到这里,您准备开始体验它,微软目前提供了三种方法。加入 Windows Insider 并安装最新版本的 Windows,该工具将内置在其中。或者加入 Windows Package Manager Insider,之后从微软应用商店安装“App Installer”。我们还可以直接从 Github 上获取到该工具的离线安装包,它是一个 appxbundle 格式的安装文件,可以从 https://www.github.com/microsoft/winget-cli 下载。
目前 Microsoft Docs 也提供了文档资料,如果您感兴趣将它应用在企业 IT 桌面交付过程,可以好好研读。
通过 Intune 为 Windows 10 设备自动配置邮件账户
通过 Intune 为 Windows 10 设备自动配置邮件账户
使用 Autopilot 我们实现了 OOBE 的自动化配置,为用户自动安装了应用程序,并下发了设备配置文件。当设备就绪,用户登录到 Windows 桌面,启动 Windows 10 内置的邮件程序,或 Outlook 后,将会提示使用当前登录账户配置这些邮件应用程序,虽然这样的设计已经非常便利,但对于一些用户来说,他们可能需要更人性化的配置方案,实现打开应用自动完成账户配置的过程。
利用 Intune 我们可以通过创建配置文件来实现这一需求,对于 Windows 10 内置的邮件应用可以创建单独类型的配置文件,为此访问 Microsoft Endpoint Manager 管理中心,定位到“设备 > 配置文件”,点击“创建配置文件”,然后选择“平台”为“Windows 10和更高版本”,“配置文件”选择“电子邮件”,然后点击窗格底部的“创建”。
在接下来的向导任务中,为这个配置文件起一个易于识别的名称,然后点击“下一页”。在“配置设置”页面下我们输入“电子邮件服务器”的地址,如:outlook.office365.com;“账户名”是显示在邮件应用中的配置名称;AAD用户名属性和电子邮件地址属性都可以使用“用户主体名称”,或者根据需要配置。此外我们还可以配置要同步的电子邮件数量,以及同步计划。如果您的组织允许使用Windows 10内置的联系人、日历和任务应用同步和管理 Office 365 Exchange Online的内容,则可以启用同步这些内容。具体参考如下图所示。
接下来要配置的就是将这个配置文件分配给谁,可以是指定的组或者是所有用户,或所有设备。
当配置文件下发后,用户打开 Windows 10 的邮件应用就会根据当前登录账号自动配置邮箱,如下图会遇到修复账户的提示,只需要点击修复即可。
Outlook via Exchange
对于 Outlook 我们可以创建管理模板配置文件(Administrative template profile)来实现基于 Exchange 服务的 Outlook 自动配置。仍然是创建一个配置文件,平台为“Windows 10 和更高版本”,配置文件选择为“管理模板”。接下来会发现这个管理模板就像经典的组策略一样,其实它就是沿用了 GPO 的概念和机制。我们只需要先选中“用户配置 > 所有设置”,然后搜索“smtp”就能看到两个配置项,这里我们选择“基于 Active Directory 主 SMTP 地址自动配置配置文件”,然后将其设置为“已启用”。
下发该配置文件后,当用户首次打开 Outlook 就会自动使用当前登录账户创建 Outlook 配置文件。
通过 Intune 配置文件的管理模板限制邮件拷贝到本地 PST
通过 Intune 配置文件的管理模板限制邮件拷贝到本地 PST
如果您是组织的 IT 管理员,正在使用 Office 365 和 Intune,且希望通过推送策略来限制用户客户端(Outlook)将邮件复制到本地的 PST 文件,那么现在可以通过 Intune “配置文件”下的“管理模板”来实现这一需求。
Intune 配置文件中的管理模板实现了之前 Windows GPO 的功能,除了可以配置 Windows 的计算机和用户配置,还可以使用已集成的应用策略对特定程序进行配置,例如:Microsoft Edge,Office 的 Word、Excel、Outlook 等程序。在过去 GPO 管理环境下,则需要先导入 Office ADMX 或 Edge ADMX。
今天 gOxiA 将演示如何配置管理模板来阻止用户在 Outlook 下将邮件复制或移动到本地 PST 文件。当用户复制邮件到本地 PST 时,粘贴(Ctrl + V)操作会失效;如果移动邮件到 PST 会提示错误,效果如下图。
具体的操作如下:
进入 Microsoft Endpoint Manager admin center (Microsoft 365 设备管理),转到“设备” - “配置文件”,然后创建配置,“平台”选择 “Windows 10 and later”,“配置文件”选择“Administrative Templates”。
然后为配置文件起个易于识别的名称,如下图。
在配置设置下切换到“User Configuration”,展开至“Microsoft Outlook 2016 / 杂项 / PST 设置”,然后选中“禁止用户将新内容添加到现有 PST 文件”,将其配置为“已启用”。
之后将配置文件分配给特定的组,或所有用户。
最后审阅配置,并执行创建。
当应用到客户端上后,便会向客户端系统注册表写入相关键值,“HKCU\SOFTWARE\Policies\Microsoft\office\xx.0\outlook\pst”,增加名为“PSTDisableGrow”的键,“REG_DWORD”类型,值为“1”。
如果是 OCT 进行配置的,则该键值位于“HKCU\Software\Microsoft\Office\xx.0\Outlook\PST”。IT 管理员需要注意的是由于该键值位于“HKCU”下,会有潜在的安全影响。
参考文档:https://docs.microsoft.com/en-us/exchange/troubleshoot/outlook-policy/control-pst-use
BitLocker 自动设备加密
BitLocker 自动设备加密
想必大家都知道 BitLocker,可以帮助我们对磁盘数据加密,确保其在系统脱机时不会被篡改或窃取。迄今为止 BitLocker 仍然是公认的最为安全的磁盘数据加密技术之一,受到不少企业用户的青睐。现在当我们采购来预装有Windows 10的设备后,完成OOBE就会发现当前磁盘已经是加密状态,十分的方便。
那么这些 Windows 10 设备是如何确保 BitLocker 能够自动加密呢?!要实现自动设备加密硬件需要满足如下要求:
- 设备包含 TPM,包括 TPM 1.2或2.0。
- 基于 UEFI 启用。
- 已启用 Secure Boot。
- 已启用 DMA(直接内存访问)保护。
在 Windows 10 启用自动加密前,会进行如下测试:
- TPM 必须包括支持 PCR7 的 TPM
- 启用了 UEFI 和 Secure Boot
- 支持 Modern Standby 或 HSTI 验证
- 启动分区有 250MB 的可用空间
- 操作系统版本不应早于 Windows 10 1703
此外,需要注意的是仅当使用 MSA 或 AAD 账户登录,才会启用 BitLocker 自动设备加密特性。但这是否意味着如果我使用本地账号在符合 BitLocker 自动加密的设备上完成 OOBE 就会禁用自动加密呢?!
gOxiA 对此进行了研究和测试,实践表明在满足 BitLocker 自动加密的设备上,即使你在 OOBE 阶段用本地账号配置计算机,但之后系统还是会对磁盘进行加密,只是保护状态是未激活的。如果一些企业用户需要使用非 BitLocker 的磁盘加密保护,就需要考虑在标准化部署中禁用 BitLocker 自动设备加密。
为此,我们可以修改企业标准化映像的应答文件(Unattend.xml),添加 “Microsoft-Windows-SecureStartup-FilterDriver” 组件,并将 “PreventDeviceEncryption” 设置为 “true”。注意:该组件支持 offlineServing、specialize、auditSystem 和 oobeSystem 阶段。
我们也可以修改注册表来阻止 BitLocker 自动设备加密,同样是 “PreventDeviceEncryption”,REG_DWORD 类型,值为 1,其位于注册表 “HKLM\SYSTEM\CurrentControlSetControl\Bitlocker”,我们可以在 OOBE 阶段执行,即可停用自动加密。或者 IT 人员也可以编写脚本调用“Manage-bde –off [driverletter:]”命令关闭 BitLocker 加密。
通过排错 Intune for Education 80180014 了解 Intune 注册限制
通过排错 Intune 80180014 了解注册限制
今天 gOxiA 开通了一套教育版的 M365 测试环境,对其功能和特性进行简单和快速的体验。M365 for EDU 完全基于现有的 AAD、Intune 等云服务,在面向教育领域和其 IT 人员的操作页面等方面进行了优化,显得更为直观和友好。我们可以通过域名“https://intuneeducation.portal.azure.com”访问 Intune for Education 管理门户。当然也可以继续通过“Azure Portal”访问管理。
在 Intune for Education 门户,我们可以通过“启动快速配置”为教育场景完成了应用的分配和客户端系统的配置。对于国内一些学校,其 IT 人员通常都由计算机课老师担当,虽然有一定的 IT 基础,但由于行业不同在上手配置时可能还是会存在一些问题,所以 Intune for Education 提供了换一套非常便捷的配置向导,可以帮助学校 IT 人员快速继续配置。
接着 gOxiA 开启了一台安装有 Windows 10 Pro 1903 的虚拟机,在 Windows 10 的 OOBE 阶段通过“针对组织进行配置”进行了安装配置。这个过程非常简单。
但在开始进行配置时发生了错误,服务器错误代码给出的是 80180014,通过微软官方文档“MDM 注册错误值”查询到该错误代码是因为“不支持特定平台(例如Windows)或版本。此错误的一般解决方法是升级设备。”针对这一提示,gOxiA 首先想到的“难道是因为需要Windows 10 教育版才能注册到 Intune for Education?!”,但回过神一想,很明显这个“认为”是错误的!!!即使真的对 Windows SKU 有限制,也应该是后台某个设置中对其进行了配置,所以我们需要进入后台去找到它。
如果进入的是 Intune for Education 的管理门户,将无法找到这些设置,正如前面 gOxiA 所讲的教育版也同样基于 Intune,所以我们需要转到 Azure Portal 下的 “Microsoft Intune” 管理界面。如果你经常与 Intune 和 Autopilot 打交道,相信会了解到一项管理功能 - “注册限制”,利用该项功能 Intune 管理员可以创建和管理注册限制,例如限制用户的设备注册数量,或注册设备的操作系统和版本。这些系统可以是基于 Android 的,也可以是基于 iOS/iPadOS 或 macOS 的,当然也包括我们常用的 Windows,此外还可以针对这些平台的版本进行限制。除此之外,还可以对注册的设备类型进行限制,如:公司拥有的设备(COD),或 个人设备 即 自带设备办公(BYOD)。
针对出现的故障现象,对“注册限制”策略进行了检查,发现评估环境默认会阻止个人设备的注册,为此更改为“允许”,保存后生效速度很快,可以马上在客户端进行测试。
如果作为 Intune 管理员需要结合公司安规对注册设备继续限制,例如需要对注册的设备系统版本进行限制,则参考如下:
- Android 版本格式为:major.minor.rev.build
- iOS/iPadOS版本格式为:major.minor.rev
- Windows 仅对 Windows 10 支持 major.minor.build.rev(如:10.0.18363.657)
注:要按照厂商进行配置,则可以输入厂商名称并以逗号进行分隔。
引用参考:https://docs.microsoft.com/zh-cn/intune/enrollment/enrollment-restrictions-set
使用 Provisioning Packages 帮助企业 IT 人员快速交付 Windows 10 设备
使用 Provisioning Packages 帮助企业 IT 人员快速交付 Windows 10 设备
在前段时间 gOxiA 分享了一篇文章 - “虚拟环境下在 Windows 10 OOBE 阶段测试部署 PPKG”,详细介绍了如何在虚拟机环境下 OOBE 阶段测试 PPKG 的方法。并且还分享了一些重点知识。今天我们将介绍使用 Provisioning Packages(预配包)帮助企业 IT 人员快速交付 Windows 设备。
在过去的传统部署方案中,企业IT通常会根据组织的需求和规则策略重新定制标准化系统映像,在新设备到来后首先会进入 IT 桌面部门,通常会在 IT 服务台使用 WDS、MDT 或 SCCM OSD 等方案,重新为设备部署 Windows 操作系统。并且 IT 桌面部门还需要根据其他诸如业务或安全部门不断提出的新需求或变更重新生成映像。可以想象这是一件非常庞大且复杂的项目工作。
自 Windows 10 发布以来,提出了 WaaS – Windows 即服务的概念,随之为这一“现代桌面”提供了一系列的“现代部署”方案可满足不同场景的需求。在这些方案中,IT 人员可以利用“动态部署方案”轻松便捷地为企业交付新的 Windows 10 设备。
假设我们有一个场景,企业订购了一批新的 Surface 设备,其预装了 Windows 10 的专业版,随机搭载了 Office 应用程序,并且设备驱动也是内置的,由于随机系统非常干净,而且是最佳的运行状态,企业希望基于现有的系统进行定制和交付,由于 OEM 系统不支持映像的重新定制和生成,按照过去传统的做法企业IT桌面人员需要使用批量授权重新为 Surface 生成定制的企业标准化映像,这一过程所付出的工作量是相当繁重的,而且企业可能会重复使用专业版的授权。最后,企业IT桌面部门还需要不基于网络的部署。
在以上这种场景下,如何选择一种快速高效的部署方法呢?!
综合比较动态部署方案中的 Provisioning Packages(预配包)更容易满足这一部署场景的需求。利用预配包我们可以快速配置新的设备,而无需完成准备和安装新映像的过程;生成的预配包可以配置多个设备来节省时间;在准备和部署过程中不需要设备管理基础架构;预配包可以应用在没有网络连接的设备上。由于预配包是一个扩展名为 PPKG 的文件,我们可以多种形式进行预配包的分发,如:可移动磁盘,电子邮件,网络共享等。部署方式也随之灵活许多,除了可以双击预配包手动安装,也可以利用命令行编写脚本,尤为重要的是在 Windows 10 的 OOBE 阶段也可以应用预配包,这样一来我们就可以实现自动化的部署交付过程。
到这里,您可能希望知道预配包都能为我们做些什么?是否可以像以往的部署方案那样利用 Unattend 实现无应答安装和配置,加载一系列的脚本程序进行高级的自动化配置……等等?!
Provisioning Packages 为我们提供了丰富的预配设置选项,可以分配设备名称、输入产品密钥以升级 Windows,删除预安装的软件,连接到 WiFi,加入到 AD 或侦测到 AAD,当然也可以创建本地账号,还可以添加应用程序、证书……更多具体的细节可以参考微软官方文档。https://docs.microsoft.com/en-us/windows/configuration/wcd/wcd
那么我们如何生成预配包(Provisioning Packages - PPKG)呢?如果您是一位经验丰富的桌面标准化 IT 人员,应该知道 Windows ADK,其中的“配置设计器”(Windows Configuration Designer - ICD)便是 PPKG 的生成工具。我们也可以在“Microsoft Store”中安装它“Windows Configuration Designer”。
打开 ICD,默认会提供几个预配模板,如果是新手可以先从“预配桌面设备”开始,它提供了向导式的配置过程,可满足基本需求。通常 gOxiA 会使用“高级预配”来创建 PPKG 以满足不同的需求。
在“高级预配”模式下,通过左边提供的配置项来进行预配设置,如果您所需的需求未能满足,则需要考虑配合其他方法,如:命令行、脚本……或基于 AD 的组策略进行后续的配置管理。当预配包设计完毕后,就可以利用导出功能生成 PPKG 文件,在生成过程中我们可以为预配包起一个便于识别的名称,版本号会根据每次生成递增,利用“所有者”和“等级”我们可以为当前预配包设置优先级别。
创建好的PPKG就可以按照前文介绍的那样以不同形式分发给用户,或在 OOBE 阶段应用。
