Windows_logo_horiz_blue_rgb

HOWTO: 使用 Intune CSP 禁用 OOBE 阶段的首次登录动画

        当我们在准备批量自动化部署 Windows 前都会制作参考映像,并对其进行定制,以及预置一些应用程序,或加载一些自动化配置。但在实际部署时会发现 Windows OOBE 的自动化配置过程是实现了,但在“首次运行动画”这个阶段等待了漫长的时间,曾有网友遇到该时间长达近半个小时。

image

        那么我们是否有办法加快或禁用这段动画吗?对于传统部署模式,虽然在 Windows 应答文件中没有预设的配置选项,但是可以通过组策略或脚本进行配置。

1. 组策略,定位到“计算机配置-管理模板-系统-登录”,禁用“显示首次登录动画”。

gpo_showfirstanimation

gpo_showfirstanimation-1

2. 如果需要在 Windows 应答文件中实现,则需要添加执行脚本,参考如下:

<RunSynchronousCommand wcm:action="add">

    <Description>disable FirstLogonAnimation</Description>

    <Order>1</Order>

    <Path>reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableFirstLogonAnimation /d 0 /t REG_DWORD /f</Path>

</RunSynchronousCommand>

<RunSynchronousCommand wcm:action="add">

<Description>disable animation</Description>

<Order>2</Order>

<Path>reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v DelayedDesktopSwitchTimeout /d 0 /t REG_DWORD /f</Path>

</RunSynchronousCommand>

        如果正在使用现代部署模式,如 Intune 这类的 MDM 平台,则可以直接使用 CSP 进行预配。

范围:Device

版本:Pro、Ent、Edu、SE

系统:1903及以上

./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnableFirstLogonAnimation

格式:int

值:0 -> Disabled

参考信息:

https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-windowslogon#enablefirstlogonanimation

Windows_logo_horiz_blue_rgb

HOWTO: 使用组策略限制设备安装

        从事 Windows 桌面标准化工作的 IT 朋友应该了解,Windows 在设备支持方面的显著特性就是 PnP - 即插即用,系统驱动程序存储区会保存一些常见的设备驱动,当设备连接到系统后,会自动匹配并安装对应的驱动;如果驱动程序存储区没有对应的驱动,则会通过 Internet 向 Windows Update 发送请求获取设备驱动。所以,当我们向系统安装设备驱动程序时,在底层的动作会有两步,驱动会先自动拷贝至存储区,然后在匹配到当前系统实例上(安装驱动)。

        OSImage 的编制人员通常会使用 DISM 命令将非系统自带的设备所需驱动注入到 Image,当系统执行 Specialized 阶段时会进行驱动匹配和安装;或者在普通用户连接设备时实现驱动安装。对于最终用户,这是非常友好的,因为用户可以在没有帮助的情况下开始使用设备。但是,这也会对 IT 部门带来挑战,他们可能无法支持各种设备,此外公司也可能会通过阻止用户使用 USB 端口来阻止用户连接 USB 设备。

        在 Windows 平台上提供了多个组策略设置,可用于控制设备和设备驱动程序的安装。这使 IT 可以限制特定设备的安装,但允许安装所有其他设备。要学习和使用这些组策略可以打开组策略编辑器并定位到“计算机配置-管理模板-系统-驱动程序安装”:

gpo_driversinstall

        其中包含两个配置选项:

  • 允许非管理员为这些设备设置类安装驱动程序:允许用户安装指定的设备驱动程序。您可以通过检查伴随设备驱动程序的.inf文件来确定适当的驱动程序设置类。
  • 关闭Windows Update设备驱动程序搜索提示:确定管理员在设备安装期间是否收到提示以搜索Windows Update驱动程序。

        要控制设备安装限制的组策略设置,可定位到“计算机配置-管理模板-系统-设备安装-设备安装限制”。

gpo_deviceinstallrestrictions

        其中包含:

  • 允许管理员覆盖设备安装限制策略:允许管理员组的成员安装或更新设备的驱动程序,而不管策略设置如何。
  • 允许使用与这些设备设置类匹配的驱动程序来安装设备:允许安装与指定的设置类全局唯一标识符(GUID)相匹配的设备。
  • 使用与这些设备设置类匹配的驱动程序防止安装设备:防止安装与指定的设置类GUID匹配的设备。
  • 当策略设置阻止安装时显示自定义消息:允许管理员定义当策略设置阻止设备安装时显示的自定义消息。
  • 当策略设置阻止设备安装时显示自定义消息标题:允许管理员定义自定义消息标题,当策略设置阻止设备安装时显示。
  • 允许安装匹配任何这些设备标识符的设备:允许安装与您指定的设备标识符匹配的设备。
  • 防止安装符合任何这些设备标识符的设备:阻止安装与您指定的设备标识匹配的设备。
  • 时间(以秒为单位)在策略更改生效时强制重新启动:允许您定义设备安装后计算机等待重新启动的时间。
  • 防止安装可移动设备:允许您阻止用户安装可移动设备。
  • 防止其他策略设置未描述的设备安装:允许您确保用户无法安装任何驱动程序,即使没有限制安装的策略。

troubleshooting
HOWTO: 解决 内核隔离的内存完整性已关闭 问题

        前段时间遇到了一个内核隔离中内存完整性功能被关闭的问题,如下图所示 Windows 安全中心报了一个警告查询后发现内存完整性被关闭,如下图所示:

Snipaste_2022-09-04_17-26-12

        可以点击“查看不兼容的驱动程序”来确认是哪个模块导致的内存完整性关闭,本例确认为 ftdibus.sys,发布名称为oem114.inf,找到该文件查询其数字签名发现该文件具有多个签名,其中 SZ DJI 这个让 gOxiA 回想起之前安装的某个软件,看来卸载程序后并没能从系统正确移除相关的驱动。

Snipaste_2022-09-04_17-26-48

        为了确保万无一失,检索了当前实例中安装的驱动发现除了ftdibus外还有多个驱动,从文件日期看确实比较久远,应该是未能满足系统的兼容性需求。

Snipaste_2022-09-04_17-32-08

        确认了需要移除的驱动后,便可以使用 DISM 的 remove-driver 参数卸载,这里不再复述。比较好奇的是这款陈旧的驱动为什么会有多个数字签名,并且还额外的搭上了 DJI 的,随即在网上搜索了一下了解到 FTDI 是一家从事 USB 技术的苏格兰半导体设备公司,主要开发将 RS-232 转换为 USB 信号的设备和电缆,所以 ftdibus 应该就是用于转换信号的驱动了,如果大家有在用 DJI 产品的不妨试试从官方下载对应系统版本的驱动来试试,网址为:https://ftdichip.com/drivers/

分页: 21/474 第一页 上页 16 17 18 19 20 21 22 23 24 25 下页 最后页 [ 显示模式: 摘要 | 列表 ]