HOWTO: 创建多引导选项可选择的 PE U盘

[ 2021/05/10 09:21 | by gOxiA ]

WinLogo

HOWTO: 创建多引导选项可选择的 PE U盘 

        本篇日志 gOxiA 为大家带来了干货!!!日常设备维护时,企业的 IT 人员通常会备有多个 U盘,这些 U盘上面会存储不同类型的 PE 工具盘,例如有些是企业定制化的 PE 维护工具,或是用于擦除设备磁盘的安全清理工具,还有微软 MDOP 的实力工具 - DaRT,当然也还有我们常见的不同版本的 Windows 安装盘。

        看了上面的内容就知道我们要准备多少个 U盘了,那么我们是否有办法像在硬盘上安装多个操作系统那样,在从 U盘引导启动时可以选择要启动的 PE 实例呢?!这样我们就可以在一个 U盘上实现多个工具环境的引导和使用。

        其实,完全可以借助 Windows BCD 实现我们的诉求,BCD 即  Boot Configuration Data,记录了 Windows 的引导信息,对于 PE 也依靠该引导信息来执行启动过程。本例我们将 PE 所需的文件拷贝到 U盘,然后将其他 PE 的 WIM 文件也更名保存到 Sources 目录下,之后我们使用 BCDEdit 命令编辑 PE U盘的引导信息文件,如下可以使用 BCDEdit -store 参数指定要调用的 BCD 文件,没有加其他参数的话将默认显示 BCD 内的引导信息。

image

        当前可以 BCD 中只包含了一个 PE 的引导,如果我要希望这个 BCD 能在启动时出现引导选择菜单,可以启用 DisplayBootMenu 选项,为此可执行:

bcdedit /store BCDFILE\bcd /set {bootmgr} displaybootmenu yes

        接下来,我们将基于默认的这个启动信息生成新的启动项,为此可执行:

bcdedit /store BCDFILE\bcd /copy {default} /d \"MDOP DaRT\"

        执行成功后会返回一个 GUID 值,它是对应 MDOP DaRT 启动选项的唯一标识符,后面我们需要用到。

        再查看 BCD 会发现已经多了一个启动选项,但我们还需要对其修改,以指引从正确的 WIM 文件启动,为此可执行:

bcdedit /store BCDFILE\bcd /set GUID device ramdisk=[boot]\sources\boot_drat.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}

bcdedit /store BCDFILE\bcd /set GUID osdevice ramdisk=[boot]\sources\boot_drat.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}

        至此操作结束,现在拿着 U盘在设备上启动试试吧。如果有多个 PE 要加入到启动选项,就按照上面的步骤重复执行即可。注意:对于 UEFI 设备其 BCD 位于 EFI 目录下。

Windows Client | 评论(0) | 引用(0) | 阅读(1303)

HOWTO: 通过 Intune 解决 BitLocker 启用 PIN 支持时的 0x803100B5 问题

[ 2021/01/14 10:54 | by gOxiA ]

logo_intune

HOWTO: 通过 Intune 解决 BitLocker 启用 PIN 支持时的 0x803100B5 问题

        早先 gOxiA 分享了"HOWTO: 解决 BitLocker 启用 PIN 时的 0x803100B5 问题",如果你所在的组织已经开始基于 Intune 实施现代管理,并希望借助 Intune 下发策略来为客户端 BitLocker 启用 PIN 支持,那么暂时可能会有些小问题,你会发现找遍所有配置文件类型都没有提供“启用 BitLocker 身份验证需要在平板电脑上预启动键盘输入”(Enable use of Bitlocker auth requiring preboot keyboard - OSEnablePrebootInputProtectorsOnSlates)这个配置选项,不论是现有的配置文件模板,还是管理模板,即使是可自定义的 CSP。

        借助 Intune 提供的“组策略分析”功能,可以了解 Intune 当前对组织在应用的 GPO 的支持情况和进度,如下图所示,可确认 Intune 目前尚未提供 OSEnablePrebootInputProtectorsOnSlates 的支持。

Intune_GPOAnalysis

Intune_GPOAnalysis_1

        解决方案

        既然现有配置策略没有提供 OSEnablePrebootInputProtectorsOnSlates 的支持,那就只能使用下发 PowerShell 脚本实现。我们知道 GPO 配置对应相关注册表键值,我们只需要借助 PowerShell 向注册表写入键值即可,以下脚本可作为参考:

new-item -path HKLM:\SOFTWARE\Policies\Microsoft -name FVC; Set-itemproperty -path HKLM:\SOFTWARE\Policies\Microsoft\FVE -name OSEnablePrebootInputProtectorsOnSlates -value 1 -type Dword -force

        PowerShell 脚本文件准备完毕后便可转向 Intune 管理后台 Microsoft Endpoint Manager admin center,在“设备”下找到“脚本”即可添加。

Device_Scripts_PowerShell

        需要注意的是因为注册表键值位于 HKLM 下,所以无需启用“使用已登录的凭据运行此脚本”,后面跟随向导完成即可,至此 BitLocker 启用 PIN 支持的 Intune 策略添加完毕,当我们使用 Intune 进行策略下发时如果没有可用的配置文件或 CSP,则需要借助 PowerShell 以脚本方式变通实现。

Microsoft Cloud | 评论(1) | 引用(0) | 阅读(5970)

HOWTO: 解决 BitLocker 启用 PIN 时的 0x803100B5 问题

[ 2020/12/11 10:16 | by gOxiA ]

  

HOWTO: 解决 BitLocker 启用 PIN 时的 0x803100B5 问题

  

        如果你所在的组织正在实施 BitLocker + TPM + PIN 的多验证方式来保护员工硬盘上的数据,可能会遇到如下图所展示的问题,在添加 PIN 时会发生一个错误,代码为:0x803100B5,即:“没有检测到预启动键盘。用户可能无法提供必要的输入来解锁卷。”

  

Bitlocker_0x803100b5

  

        出现该问题的设备通常是平板二合一类型的 Windows PC,由于键盘能够被拆卸,预启动环境又没有提供虚拟触摸键盘的支持,可能会导致在解锁时用户无法输入密钥。要解决这个问题也非常简单,我们只需要修改组策略(GPO)即可。使用 gpedit.msc 或 gpmc.msc 打开组策略编辑器,定位至“ 计算机配置 - 策略 - 管理模板 - Windows 组件 - BitLocker 驱动器加密 - 操作系统驱动器 ”,“启用 BitLocker 身份验证需要在平板电脑上预启动键盘输入”。如下图所示:

  

Bitlocker_GPO

  

        如果需要通过注册表实现,可参考如下信息:

  

Key: HKLM\Software\Policies\Microsoft\FVE

  

Value: OSEnablePrebootInputProtectorsOnSlates

  

Type: DWORD

  

Enabled Value (decimal): 1

Windows Client | 评论(0) | 引用(0) | 阅读(2497)
分页: 31/470 第一页 上页 26 27 28 29 30 31 32 33 34 35 下页 最后页 [ 显示模式: 摘要 | 列表 ]