HOWTO: 使用 PPKG 跳过 Windows OOBE

[ 2022/12/18 08:17 | by gOxiA ]

Windows_logo_horiz_blue_rgb

HOWTO: 使用 PPKG 跳过 Windows OOBE

        Windows OOBE 即我们常说的 Windows 初始欢迎界面,其标准术语是“Out of Box experience”,即 Windows 开箱体验。OOBE 包含了一系列的屏幕指引,如需要客户接收许可协议,指定所在区域,连接到 Internet,登录 MSA 或 M365 账号等等,以下仅仅列出了部分的屏幕步骤。

23

45

67_ifinternet_to8-1_else_to8

8-1-lan-chooseaccount

        如果你是以为企业 IT 桌面标准化的编制人员,那么下面的列表应该会很有帮助。用户在 Windows 10 OOBE 期间可能会看到的屏幕的非详尽列表,按顺序排列:

  1. 语言选择
  2. Cortana 欢迎
  3. 区域选择
  4. 键盘选择
  5. 连接到网络
  6. 自动下载关键 ZDP 和驱动程序更新。 有关详细信息,请参阅 OOBE 期间的 Windows 更新。
  7. 最终用户许可协议 (EULA)
  8. 登录或创建本地帐户或 Microsoft 帐户 (MSA)。 如果用户选择本地帐户选项,则 OOBE 流的下一步将显示“改为使用 Microsoft 登录?”屏幕。 此屏幕会建议用户使用其 MSA 登录,以获得最佳 Windows 体验。
  9. 为本地帐户创建安全问题。 Windows 10 版本 1803 中的新功能。 仅当用户在上一屏幕中选择创建本地帐户而不是登录到其 MSA 时才显示。 请参阅 OOBE 屏幕详细信息,了解有关 OOBE 中这一新屏幕的详细信息。
  10. Windows Hello 设置
  11. 链接您的电话和电脑。 仅当用户在前面的屏幕上登录 Microsoft 帐户并连接网络后,才会显示此屏幕。
  12. 将文件保存至 OneDrive。 这是云服务页。
  13. 设置 Office。 仅当用户连接到网络并提供其 Microsoft 帐户信息后,才会显示此屏幕。 本页中的内容将因用户的帐户类型而异。 例如,如果他们的 Microsoft 帐户有资格免费试用 Office,该页面将鼓励用户设置免费试用。 这是云服务页。
  14. 付款信息。 Windows 10 版本 1803 中的新功能。 仅当用户从“设置 Office”屏幕上选择加入 Office 免费试用版时才会显示。 这是云服务页。
  15. 使 Cortana 成为我的个人助理
  16. 隐私设置。 用户将在此屏幕上看到最多 7 个隐私设置。 并非所有用户都会看到相同的设置。
  17. OEM 注册页
  18. 获取最新版 Windows。 在 Windows 10 版本 1803 之前,此屏幕名为“电脑正在等待更新”,并在 OOBE 结束时显示。

        对于 Windows 11 OOBE 过程会有很大的变化,其中最为显著的就是会强制用户使用 MSA 或 M365 账号登录(近来有一些用户反馈,可能多发于 OEM 系统)。

Snipaste_2023-02-11_16-01-38

        如果企业之前已经在实施标准化的部署技术和流程,那么这个问题可轻松应对,因为通常 IT 会编制 Unattend.xml 来实现本地账号的创建,或加域的动作,同时还会实现 OOBE 自动化,所以并没有什么干扰或影响。

        但那些还在使用非标准化技术来实施的环境,将面临巨大挑战!但如果您所在的组织已经全面使用 M365 账号登录 Windows,那可以就此暂停去干别的事情了,无需再此浪费时间!!!否则你将需要借助 PPKG 来作为一种解决方案。

        PPKG 是一种动态部署方案,相比较 Unattend 那些传统的方法,更灵活更高效,我们只需要将制作好的 PPKG 文件复制到到 U盘,就可以在 OOBE 阶段应用,在 OOBE 屏幕上连续按五次 Win 键,即可激活选项。

oobe-regionoobe-5win

        gOxiA 已经事先做好了一个 PPKG,将会自动化 OOBE 直接跳转到登录界面,默认会在系统中创建一个本地账号,想测试体验的朋友可以直接下载下面的文件。但如果你想了解编制的方法可以继续往下阅读。

OOBEforLocalUser.zip

本地账号:Admin

密码:goxia

        打开 ICD,选择“Advanced provisioning”创建 PPKG,在左侧“Runtime settings”配置“Accounts - Users - UserName,Password,UserGroup”,以及“OOBE - Desktop - HideOobe”。最后导出为 PPKG 即可参考前面步骤使用。

imageimage

troubleshooting

HOWTO: 解决 MDT 部署后 Summary Wizard 空白故障

        使用 MDT 创建和部署一套标准安装流程的系统映像,涉及相关的应用软件都是基于 MSI 或支持静默安装的 EXE 文件。每个软件的静默安装参数都是单独经过验证测试的,导入 MDT 进行部署安装。但在实际的部署序列验证中发现整个部署完成后会弹出一个空白的 Wizard.hta 窗体,导致部署无法结束。即使忽略最后的 Summary 也无法跳过 Wizard.hta 这个问题。在早前 gOxiA 曾发布过相同的日志“MDT FinalSummery 发生 Wizard 空白页面问题”,并分享了一些经验,但要彻底解决这个问题还是需要详细测试和验证的。

MDT-Wizard-Blank

        参考早前的日志我们已经了解到通常是在应用安装序列中包含了禁用外部驱动器策略的安全软件时才会发生,且仅在 MDT Media 场景下出现。如果当前部署案例中必须要执行这些安全软件安装序列,就必须解决 Wizard 空白的问题。做了大量的测试和验证发现,Wizard 窗体会使用到如下文件:

  • "Wizard.hta",
  • "Wizard.css",
  • "Wizard.ico",
  • "ZTIUtility.vbs",
  • "WizUtility.vbs",
  • "ZTIConfigFile.vbs",
  • "ZTIDiskUtility.vbs",
  • "ZTIDataAccess.vbs",
  • "header-image.png",
  • "Computer.png",
  • "Summary_Definition_ENU.xml",
  • "Summary_Scripts.vbs",
  • "plusicon.gif",
  • "minusico.gif"

        只要确保这些文件存在,即可解决 Wizard 空白问题。为此我们可以写一个脚本加载到有影响的应用软件安装序列前,将相关的文件拷贝到特定目录下,即可解决问题。例如:

md %localappdata%\temp\deploymentscripts

copy . %localappdata%\temp\deploymentscripts

Windows_logo_horiz_blue_rgb

HOWTO: 使用组策略限制设备安装

        从事 Windows 桌面标准化工作的 IT 朋友应该了解,Windows 在设备支持方面的显著特性就是 PnP - 即插即用,系统驱动程序存储区会保存一些常见的设备驱动,当设备连接到系统后,会自动匹配并安装对应的驱动;如果驱动程序存储区没有对应的驱动,则会通过 Internet 向 Windows Update 发送请求获取设备驱动。所以,当我们向系统安装设备驱动程序时,在底层的动作会有两步,驱动会先自动拷贝至存储区,然后在匹配到当前系统实例上(安装驱动)。

        OSImage 的编制人员通常会使用 DISM 命令将非系统自带的设备所需驱动注入到 Image,当系统执行 Specialized 阶段时会进行驱动匹配和安装;或者在普通用户连接设备时实现驱动安装。对于最终用户,这是非常友好的,因为用户可以在没有帮助的情况下开始使用设备。但是,这也会对 IT 部门带来挑战,他们可能无法支持各种设备,此外公司也可能会通过阻止用户使用 USB 端口来阻止用户连接 USB 设备。

        在 Windows 平台上提供了多个组策略设置,可用于控制设备和设备驱动程序的安装。这使 IT 可以限制特定设备的安装,但允许安装所有其他设备。要学习和使用这些组策略可以打开组策略编辑器并定位到“计算机配置-管理模板-系统-驱动程序安装”:

gpo_driversinstall

        其中包含两个配置选项:

  • 允许非管理员为这些设备设置类安装驱动程序:允许用户安装指定的设备驱动程序。您可以通过检查伴随设备驱动程序的.inf文件来确定适当的驱动程序设置类。
  • 关闭Windows Update设备驱动程序搜索提示:确定管理员在设备安装期间是否收到提示以搜索Windows Update驱动程序。

        要控制设备安装限制的组策略设置,可定位到“计算机配置-管理模板-系统-设备安装-设备安装限制”。

gpo_deviceinstallrestrictions

        其中包含:

  • 允许管理员覆盖设备安装限制策略:允许管理员组的成员安装或更新设备的驱动程序,而不管策略设置如何。
  • 允许使用与这些设备设置类匹配的驱动程序来安装设备:允许安装与指定的设置类全局唯一标识符(GUID)相匹配的设备。
  • 使用与这些设备设置类匹配的驱动程序防止安装设备:防止安装与指定的设置类GUID匹配的设备。
  • 当策略设置阻止安装时显示自定义消息:允许管理员定义当策略设置阻止设备安装时显示的自定义消息。
  • 当策略设置阻止设备安装时显示自定义消息标题:允许管理员定义自定义消息标题,当策略设置阻止设备安装时显示。
  • 允许安装匹配任何这些设备标识符的设备:允许安装与您指定的设备标识符匹配的设备。
  • 防止安装符合任何这些设备标识符的设备:阻止安装与您指定的设备标识匹配的设备。
  • 时间(以秒为单位)在策略更改生效时强制重新启动:允许您定义设备安装后计算机等待重新启动的时间。
  • 防止安装可移动设备:允许您阻止用户安装可移动设备。
  • 防止其他策略设置未描述的设备安装:允许您确保用户无法安装任何驱动程序,即使没有限制安装的策略。
分页: 4/50 第一页 上页 1 2 3 4 5 6 7 8 9 10 下页 最后页 [ 显示模式: 摘要 | 列表 ]