HOWTO: 为 Windows Setup 程序安装指定的系统映像
HOWTO: 为 Windows Setup 程序安装指定的系统映像
现在的 Windows 安装源都已经超出 4GB,当我们要通过 U盘安装时如果是针对 BIOS 设备,可以直接将 U盘格式化为 NTFS 格式,这样就能存储整个 Windows 安装源。但是如果我们面对的是 UEFI 类型设备,就必须要将 U盘格式化为 FAT32 格式才能够引导安装。而 FAT32 对单个文件的大小有 4GB 的限制,所以我们并不能将 Install.wim 拷贝到该分区上。这样一来对于普通用户来说要从 U盘来重新安装系统几乎是一件很困难的事情,而对于 IT 专业人员来说可能会借助一些第三方方案。
其实,我们完全可以基于微软第一方工具,来实现通过 U盘执行 Windows Setup 安装系统的方案,而且完全基于 WIndows Setup 安装源和内置的工具。
接下来,请跟随 gOxiA 的操作开始实现。首先我们准备一个 U盘,16G、32G都可,然后进入 Diskpart 为 U盘准备磁盘分区,本例在 U盘上创建了两个分区,其中一个小分区使用 FAT32 格式,存储 Windows Setup 相关引导和程序,假设盘符是 U;剩余容量创建一个 NTFS 格式分区,存储 Windows 的系统映像文件(Install.wim),假设盘符是 O。
具体步骤就是先载入一个 Windows 安装光盘的镜像文件,通常是 ISO 格式。然后全选所有文件复制到 U盘的 U分区下,期间会如果遇到有关文件属性无法拷贝的提示可以略过,另外还会遇到无法拷贝 Install.wim 的提示,也请跳过。
现在 U盘已经准备好了,我们可以用它来引导设备进入 Windows Setup 环境,在此环境下我们按下键盘的快捷键“Shift+F10”调出 CMD 命令提示符环境。
然后执行如下命令行:
如果命令执行并成功加载 Install.wim,会显示一个类似于 WDS 环境的 Setup 程序,接下来的步骤就跟我们使用 Windows Setup 一致了,可以选择 WIM 里的 SKU,以及 UI 界面的磁盘分区格式化。
Windows Setup 的命令选项还有很多,具体可参考以下微软官方文档。
HOWTO: 创建多引导选项可选择的 PE U盘
HOWTO: 创建多引导选项可选择的 PE U盘
本篇日志 gOxiA 为大家带来了干货!!!日常设备维护时,企业的 IT 人员通常会备有多个 U盘,这些 U盘上面会存储不同类型的 PE 工具盘,例如有些是企业定制化的 PE 维护工具,或是用于擦除设备磁盘的安全清理工具,还有微软 MDOP 的实力工具 - DaRT,当然也还有我们常见的不同版本的 Windows 安装盘。
看了上面的内容就知道我们要准备多少个 U盘了,那么我们是否有办法像在硬盘上安装多个操作系统那样,在从 U盘引导启动时可以选择要启动的 PE 实例呢?!这样我们就可以在一个 U盘上实现多个工具环境的引导和使用。
其实,完全可以借助 Windows BCD 实现我们的诉求,BCD 即 Boot Configuration Data,记录了 Windows 的引导信息,对于 PE 也依靠该引导信息来执行启动过程。本例我们将 PE 所需的文件拷贝到 U盘,然后将其他 PE 的 WIM 文件也更名保存到 Sources 目录下,之后我们使用 BCDEdit 命令编辑 PE U盘的引导信息文件,如下可以使用 BCDEdit -store 参数指定要调用的 BCD 文件,没有加其他参数的话将默认显示 BCD 内的引导信息。
当前可以 BCD 中只包含了一个 PE 的引导,如果我要希望这个 BCD 能在启动时出现引导选择菜单,可以启用 DisplayBootMenu 选项,为此可执行:
接下来,我们将基于默认的这个启动信息生成新的启动项,为此可执行:
执行成功后会返回一个 GUID 值,它是对应 MDOP DaRT 启动选项的唯一标识符,后面我们需要用到。
再查看 BCD 会发现已经多了一个启动选项,但我们还需要对其修改,以指引从正确的 WIM 文件启动,为此可执行:
至此操作结束,现在拿着 U盘在设备上启动试试吧。如果有多个 PE 要加入到启动选项,就按照上面的步骤重复执行即可。注意:对于 UEFI 设备其 BCD 位于 EFI 目录下。
HOWTO: 通过 Intune 解决 BitLocker 启用 PIN 支持时的 0x803100B5 问题
HOWTO: 通过 Intune 解决 BitLocker 启用 PIN 支持时的 0x803100B5 问题
早先 gOxiA 分享了"HOWTO: 解决 BitLocker 启用 PIN 时的 0x803100B5 问题",如果你所在的组织已经开始基于 Intune 实施现代管理,并希望借助 Intune 下发策略来为客户端 BitLocker 启用 PIN 支持,那么暂时可能会有些小问题,你会发现找遍所有配置文件类型都没有提供“启用 BitLocker 身份验证需要在平板电脑上预启动键盘输入”(Enable use of Bitlocker auth requiring preboot keyboard - OSEnablePrebootInputProtectorsOnSlates)这个配置选项,不论是现有的配置文件模板,还是管理模板,即使是可自定义的 CSP。
借助 Intune 提供的“组策略分析”功能,可以了解 Intune 当前对组织在应用的 GPO 的支持情况和进度,如下图所示,可确认 Intune 目前尚未提供 OSEnablePrebootInputProtectorsOnSlates 的支持。
解决方案
既然现有配置策略没有提供 OSEnablePrebootInputProtectorsOnSlates 的支持,那就只能使用下发 PowerShell 脚本实现。我们知道 GPO 配置对应相关注册表键值,我们只需要借助 PowerShell 向注册表写入键值即可,以下脚本可作为参考:
PowerShell 脚本文件准备完毕后便可转向 Intune 管理后台 Microsoft Endpoint Manager admin center,在“设备”下找到“脚本”即可添加。
需要注意的是因为注册表键值位于 HKLM 下,所以无需启用“使用已登录的凭据运行此脚本”,后面跟随向导完成即可,至此 BitLocker 启用 PIN 支持的 Intune 策略添加完毕,当我们使用 Intune 进行策略下发时如果没有可用的配置文件或 CSP,则需要借助 PowerShell 以脚本方式变通实现。
