使用 Provisioning Packages 帮助企业 IT 人员快速交付 Windows 10 设备
使用 Provisioning Packages 帮助企业 IT 人员快速交付 Windows 10 设备
在前段时间 gOxiA 分享了一篇文章 - “虚拟环境下在 Windows 10 OOBE 阶段测试部署 PPKG”,详细介绍了如何在虚拟机环境下 OOBE 阶段测试 PPKG 的方法。并且还分享了一些重点知识。今天我们将介绍使用 Provisioning Packages(预配包)帮助企业 IT 人员快速交付 Windows 设备。
在过去的传统部署方案中,企业IT通常会根据组织的需求和规则策略重新定制标准化系统映像,在新设备到来后首先会进入 IT 桌面部门,通常会在 IT 服务台使用 WDS、MDT 或 SCCM OSD 等方案,重新为设备部署 Windows 操作系统。并且 IT 桌面部门还需要根据其他诸如业务或安全部门不断提出的新需求或变更重新生成映像。可以想象这是一件非常庞大且复杂的项目工作。
自 Windows 10 发布以来,提出了 WaaS – Windows 即服务的概念,随之为这一“现代桌面”提供了一系列的“现代部署”方案可满足不同场景的需求。在这些方案中,IT 人员可以利用“动态部署方案”轻松便捷地为企业交付新的 Windows 10 设备。
假设我们有一个场景,企业订购了一批新的 Surface 设备,其预装了 Windows 10 的专业版,随机搭载了 Office 应用程序,并且设备驱动也是内置的,由于随机系统非常干净,而且是最佳的运行状态,企业希望基于现有的系统进行定制和交付,由于 OEM 系统不支持映像的重新定制和生成,按照过去传统的做法企业IT桌面人员需要使用批量授权重新为 Surface 生成定制的企业标准化映像,这一过程所付出的工作量是相当繁重的,而且企业可能会重复使用专业版的授权。最后,企业IT桌面部门还需要不基于网络的部署。
在以上这种场景下,如何选择一种快速高效的部署方法呢?!
综合比较动态部署方案中的 Provisioning Packages(预配包)更容易满足这一部署场景的需求。利用预配包我们可以快速配置新的设备,而无需完成准备和安装新映像的过程;生成的预配包可以配置多个设备来节省时间;在准备和部署过程中不需要设备管理基础架构;预配包可以应用在没有网络连接的设备上。由于预配包是一个扩展名为 PPKG 的文件,我们可以多种形式进行预配包的分发,如:可移动磁盘,电子邮件,网络共享等。部署方式也随之灵活许多,除了可以双击预配包手动安装,也可以利用命令行编写脚本,尤为重要的是在 Windows 10 的 OOBE 阶段也可以应用预配包,这样一来我们就可以实现自动化的部署交付过程。
到这里,您可能希望知道预配包都能为我们做些什么?是否可以像以往的部署方案那样利用 Unattend 实现无应答安装和配置,加载一系列的脚本程序进行高级的自动化配置……等等?!
Provisioning Packages 为我们提供了丰富的预配设置选项,可以分配设备名称、输入产品密钥以升级 Windows,删除预安装的软件,连接到 WiFi,加入到 AD 或侦测到 AAD,当然也可以创建本地账号,还可以添加应用程序、证书……更多具体的细节可以参考微软官方文档。https://docs.microsoft.com/en-us/windows/configuration/wcd/wcd
那么我们如何生成预配包(Provisioning Packages - PPKG)呢?如果您是一位经验丰富的桌面标准化 IT 人员,应该知道 Windows ADK,其中的“配置设计器”(Windows Configuration Designer - ICD)便是 PPKG 的生成工具。我们也可以在“Microsoft Store”中安装它“Windows Configuration Designer”。
打开 ICD,默认会提供几个预配模板,如果是新手可以先从“预配桌面设备”开始,它提供了向导式的配置过程,可满足基本需求。通常 gOxiA 会使用“高级预配”来创建 PPKG 以满足不同的需求。
在“高级预配”模式下,通过左边提供的配置项来进行预配设置,如果您所需的需求未能满足,则需要考虑配合其他方法,如:命令行、脚本……或基于 AD 的组策略进行后续的配置管理。当预配包设计完毕后,就可以利用导出功能生成 PPKG 文件,在生成过程中我们可以为预配包起一个便于识别的名称,版本号会根据每次生成递增,利用“所有者”和“等级”我们可以为当前预配包设置优先级别。
创建好的PPKG就可以按照前文介绍的那样以不同形式分发给用户,或在 OOBE 阶段应用。
HOWTO: 使用 USMT 捕获指定的用户注册表数据
HOWTO: 使用 USMT 捕获指定的用户注册表数据
USMT (User State Migration Tool),即用户状态迁移工具,其历史悠久且一直免费,可帮助企业 IT 人员在大型的 Windows 部署场景下简化用户数据的迁移过程。USMT 能够从现有系统环境下捕获用户账户、用户文件、操作系统设置和应用程序设置,然后将其迁移到新的 Windows 系统中。
如果您是第一次听说 USMT,是不是很心动?!希望尽快了解并上手操作,但可惜的是可能会令看官失望了,因为今天的分享恐怕仅适用于已经入门的 USMT 用户。
是这样,前段时间有位网友向 gOxiA 咨询了 USMT 相关的使用问题,说在手工创建自定义的捕获配置文件后,无法正常迁移数据,遇到 0x0803wa 警告,具体内容是:Registry location HKCU\Software\Microsoft\Internet Explorer\Main [Search Page] is considered invalid in the current context. 如下图所示:
大致的意思就是注册表位置在当前的上下文是无效的,排除了注册表路径问题,那问题应当就出在自定义的捕获配置文件(.xml)上。下面 gOxiA 提供了正确的文件内容截图。
在 component 字段,由于没有强制指定上下文,所以其默认为 UserandSystem,所以我们需要在 rules 中强制为 Uesr 上下文,这样才能捕获到我们当前指定的注册表数据。
另外一个不能忽视的问题,由于当前捕获的数据是隶属 Internet Explorer,其默认属于系统设置,所以我们需要先使用 genconfig 参数生成可选的 config.xml 文件,然后将默认要迁移的系统设置都改为 “no”,这样在捕获的时候即可不迁移系统设置,且仅按照指定的捕获配置文件进行迁移。
scanstate /vsc /o /config:config.xml /i:ie_searchpage.xml /ue:*\* /ui:domain\sufan /v:13 /l:scanstate.log w:\usmtdata
这样就仅迁移出来了指定用户的指定数据,捕获出来的数据包将会非常小。当需要迁移到用户的新环境下,则可以参考如下命令行。
loadstate /i:ie_searchpage.xml /ue:*\* /ui:domainsufan /l:loadstate.log w:\usmtdata
[MAP] Microsoft Assessment and Planning Toolkit - 收集数据
Microsoft Assessment and Planning Toolkit - 收集数据
在上个月 gOxiA 与大家分享了两篇 Microsoft Assessment and Planning Toolkit(以下简称:MAP)的日志,如需回顾可点击下面的日志链接。
整体来说 MAP 的安装和使用还是非常简便的,并没有太多的需求,也不需要复杂的配置过程,对于 IT 专业人员能够很快上手。今天 gOxiA 将介绍如何使用 MAP 收集数据。在 MAP 安装完毕后,可以从程序组中找到并打开它,在首次启动 MAP 时会自动弹出数据库创建选项,由于 MAP 默认安装了 LocalDB 支持,所以 Data source 为 LocalDB,只需在 Create an inventory database 下的 Name 文本框输入数据库名称即可。
数据库创建完毕后,会进入 MAP 程序界面,在 Overview 可以通过 Perform an inventory 启动数据收集向导。
在 Inventory Scenarios 选项中,选择 Windows computers,此方案将使用 WMI 来收集硬件、设备和软件等信息,以帮助 IT 人员进行分析和评估,是常用的收集方案。
在 Discovery Methods 选项中,可以通过 ADDS(Use ActiveDirectory Domain Services) 或 IP 地址范围(Scan an IP address range)来探索目标,当然还提供了其他的选项,本例中将使用 IP 地址范围进行目标的探索和收集。
在 Scan an IP Address Range 选项下,我们可以添加多个 IP 地址段。
因为前面我们选择了 Windows Computers 的收集方案,所以在 All Computers Credentials 选项下需要创建可 WMI 远端计算机的用户账号,为了方便起见在这里可以输入域管理员的账号信息,对于权限细化的 IT 环境可能会需要添加多个访问账号。在后续的 Credentials Order 选项中可以调整账号的使用顺序,否则可快速略过。
当我们完成上述的配置后,数据收集任务便开始自动执行,等待的时间并不长,很快收集工作便会结束。(PS:MAP 数据收集不依赖独立的客户端代理,但仍能在很短的时间内完成收集工作!)
数据完成收集后,我们便可以在不同的评估场景下看到分析数据,例如在 Desktop 下可以看到 Windows 10 Readiness 和 Office 2016 Readiness 等常见的评估方案概览数据。
点击每个方案便可进入其详细页,可以使用 Options 下的 Generate Windows 10 Readiness Report 生成更为详尽的表格文件。
以 Office 2016 Readiness 为例,我们可以从详细信息中了解到当前有1台设备无法满足 Office 2016 的需求,为此我们可以生成报表查看详情。
打开 Office 2016 Readiness 的报表(PS:生成的报表通常位于用户文档目录下的MAP目录,按照数据库名称命名子文件夹。)在 Office2016Assessment 工作表中可以筛选出 Not Office 2016 Ready 的计算机,在 Reasons for Recommendation 下记录了原因,在本示例中为满足 Office 2016 需求的设备是因为操作系统未受支持导致的,因为这计算机的当前系统是 Windows XP Pro w/SP3。
MAP 虽然是免费的,但它的潜在价值非常大,如果能在合适的场景下应用,必定事半功倍!!!
