HOWTO: 使用 Intune 为 Windows 启用本地管理员

[ 2023/11/10 09:47 | by gOxiA ]

logo_intune

HOWTO: 使用 Intune 为 Windows 启用本地管理员

    前面 gOxiA 与大家分享了“HOWTO: 启用本地 Windows Autopilot 重置设备”,文中提到要使用该功能必须要启用本地管理员。对基于 Intune 管理的 Windows PC 来说实施起来并不复杂,今天我们就快速熟悉这一操作流程。

AutopilotReset-CTRL_WIN_R

        在 Intune 管理中心 转至 设备-配置-策略新建策略,平台为 Windows 10 和更高版本,配置文件类型为 设置目录

EnableLocalAdmin-CreateDeviceProfile

        在 设置选取器 中找到 本地策略安全选项,然后勾选“账户 - 启用 Administrator 账户状态”。

EnableLocalAdmin

        该策略对应的 CSP 为 Accounts_EnableAdministratorAccountStatus,详细信息如下:

./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus

格式:Int

值:1 启用;0 禁用(默认)

        需要注意:如果在禁用管理员帐户后尝试重新启用管理员帐户,并且当前管理员密码不符合密码要求,则无法重新启用该帐户。

        最后分配该策略,例如:所有设备,完成这些操作即完成配置。出于安全性考虑,我们也可以同时勾选“账户 - 重命名 Administrator 账户”,以降低穷举类的攻击。该策略对应的 CSP 为 Accounts_RenameAdministratorAccount,详细信息如下:

./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount

格式:chr

        虽然很轻松的完成了启用本地管理员的配置,但本地管理员的密码管理问题不容忽视。在过去我们需要编写一个脚本来配置本地管理员(Administrator)的密码,但无法实现动态维护,且存在一些安全隐患。现在,Microsoft Entra(AAD)内置了 LAPS(Windows Local Administrator Password Solution)的支持,可以很轻松的实现本地管理员密码轮换和管理,针对 LAPS 的启用会另起一篇日志与大家分享。

Microsoft Cloud | 评论(0) | 引用(0) | 阅读(1086)

HOWTO: 为基于 Windows 10 的 ADK 提供 UFS 支持

[ 2023/10/30 15:44 | by gOxiA ]

WindowsADK

HOWTO: 为基于 Windows 10 的 ADK 提供 UFS 支持

        UFS - Universal Flash Storage(通用闪存存储),是我们常见的闪存存储设备的一个类型,虽然名字与 eMMC 和 SSD 相比有些陌生,但提到手机或平板电脑,相信大家就容易理解了,是的目前都广泛采用了 UFS 作为存储设备。UFS 在性能方面比 eMMC 要强很多,但低于最新的 SSD,但肯定强于早前的 SSD,相信在用手机做文件复制时一定有所感受,其性能还是非常强劲的。

        UFS 目前也正广泛使用在 Windows 平板设备上,如果我们打开设备管理器查看磁盘驱动器可能并不会直观查阅到,但在存储控制器中可以清晰看到设备是否使用了 UFS 控制器(系统自带驱动)。如下图所示,该设备采用了 SAMSUNG 的 UFS 存储器。

UFS

        查阅了三星官网了解到 KLUDG4UHGC-B0E1 是一款 UFS 3.1 制式的存储器,尺寸只有 11×13×0.8mm,1.2/2.5v,看来是相当轻巧和省电;性能也是不错的!

UFS-SAMSUNG

UFS-WinSAT

        回到正题,如果买来的 Windows 设备预装的是 Windows 11,并且没有计划使用 Windows 10,那么可以划走这篇日志,否则跟随 gOxiA 往下走会有一些收获。

        在企业环境下,IT 通常会使用 Windows ADK 作为桌面标准化的定制工具,有经验的 IT 会知道 Windows 10 的 ADK 是基于 Windows 10 2004版的,即 19041。如果我们使用该版本的 ADK 生成 PE 用于批量部署,会发现默认将无法识别 UFS 存储器,也就是说当我们用 PE 引导设备后将无法识别到硬盘!!!

        那么我们该如何为基于 Windows 10 的 ADK 提供 UFS 支持呢?!前面讲过 UFS 控制器的驱动默认集成在 Windows 11 中,如果是缺少驱动支持,我们可以做旁加载,但实际测试发现在 Windows 10 ADK 的 PE 中是包含该驱动的,但为什么就不支持呢?!尝试将设备的驱动集成到 PE 也无济于事,看来应该与 Windows 10 操作系统本身有关。

        查阅了网络文献了解到“自 Windows 10 2004(20H1 - 19041)开始就引入了对 UFS 驱动器的支持,在此版本之前的 Windows 10 版本中,对 UFS 驱动器的支持可能有限或不完全。”既然如此就印证了前面测试的结果,包含了驱动但可能不完全支持,那么既然当前设备支持 Windows 10 22H2 操作系统(OEM PE 的版本为 19041.2728),说明 Windows 10 理论上是可以支持 UFS 的,也许问题就出在了累计更新上。

        由于 Windows 10 20H1 生命周期已经停止,所以可从 Windows Update Catalog 下载到的离线累计更新包(LCU)是有限的。查阅 19041.2728 发现其所对应的是 KB5023696,但该 KB 已经不再包含 19041 的相关说明和支持情况,仅支持 19042、19044和19045。但有提到如果脱机映像没有包含 KB5011543 (March 22, 2022)或更高版本的 LCU,则需要安装 KB5014032 (May 10, 2022 SSU),经仔细复查发现其支持 2004 版 Windows 10,并提供了更新包。

        万事俱备只欠东风 - 实践出成果!从 Windows Update Catalog 下载 KB5023696 和 KB5011543,然后使用 ADK 生成一个 PE 实例,Mount 这个 Boot.wim 文件到指定目录,然后使用 “Dism /add-package” 为 PE 集成更新;建议锁定更新“Dism /cleanup-image /image:c:\winpe_amd64\mount /startcomponentcleanup /resetbase /scratchdir:c:\temp”;最后 Unmount 确认写入修改。

        使用已经集成更新的 PE 引导 UFS 设备,经测试已经可以识别 UFS 存储器,其 PE 系统版本为 19041.2728;Diskpart 的版本是 19041.964。

PE-19041.2728

PE-Diskpart-19041.964

Windows Deployment | 评论(1) | 引用(0) | 阅读(1669)

Windows ADK 2023年度9月更新 发布

[ 2023/10/18 14:19 | by gOxiA ]

WindowsADK

Windows ADK 2023年度9月更新 发布

        今天在访问 MSDN 订阅时竟然意外的看到 Windows ADK 发布了更新版本,并且同时更新了 ADK 主程序和 ADK PE 组件。真是让人惊喜和意外!!!

WindowsADK-MSDN

        当前版本为 ADK for Windows 11, Version 22H2 (updated September 2023),包含了众多的更新和改进,主要为:

  • Supply Chain Trust Tools
    • 添加了”供应链信任工具“。(可选组件,通常 ITPro 用不上,不做过多介绍,开发人员会用上吧,主要生成与 SPDX - 软件包数据交换规范 兼容的 SBOM - 软件物料清单。)
  • Assessment toolkit
    • 更新了浏览电池使用时间工作负荷。
    • 添加了人脸身份验证指标并提高了Modern Standby性能评估的可靠性。
    • 为电池使用时间作业添加了新的自动诊断(包含了C状态驻留,闲置状态的纯净度)
    • 修复了影响对评估结果进行的ETW跟踪处理的各种故障。
    • 修复了影响媒体播放器自动计算媒体播放性能评估可靠性的各种Bug。
    • 修复了电池使用时间测试期间随机发生的影响闲置纯净度的Bug。
    • 修复了由于ETW检测更改而导致 Microsoft Edge 性能评估缺失性能指标的问题。
  • Windows PE
    • 添加了对 ARM64 WinPE 上的 x64 模拟作为可选组件的支持。(也就是说现在可以通过为PE集成 Architecture/WinPE-x64-Support,以在 ARM64 PE 上启用 x64 仿真支持,PS:难道这意味着未来我们将能够使用传统部署方法来执行 ARM 设备的系统交付?!)
  • Windows PE Known Issues
    • VBScript 当前在 WinPE 中无法工作。它预计在即将推出的服务更新中得到修复。(还在依赖 VBScript 脚本来执行部署的方案会受到影响,需要注意哦!)
  • Windows Performance Analyzer (WPA)
    • WPA已基于 .NET6 构建,包含原生的 ARM64 支持。
    • 新 UI
    • 解决了与 .NET 7 相关的 ETL 跟踪处理问题(ETW 0x80070032)。
  • Windows System Image Manager
    • x86 版本的 SIM 可以为所有受支持体系结构类型的 Windows 映像创建目录。
  • Assessment toolkit known issues
    • 在 ARM64 设备上,WPA可执行文件不会自动添加到 PATH 环境变量中。
    • 在辅助监视器上以全屏模式最大化 WPA 时,左上角的右键菜单出现在不正确的监视器上。

        备注:

        应用程序虚拟化(App-V)将于2026年4月结束。届时,App-V 排序器将不再包含在 ADK 中。(PS:挺可惜,App-V 的前身是 Softgrid,当时2008年吧,还有幸参加了国内首批 TTT 培训。)

        以下是一些新版的解图,供大家参考,可见版本号已从 22621 变更为 25398。

WindowsADK-Sep2023

WindowsADK-Sep2023-Version

        Windows PE Add-on 仅支持 AMD64 和 ARM64 (虽然能从参数中看到提供 x86,但实际无效!),且不同版本的 PE Add-on 安装无法共存哦,会提示需要先卸载当前版本。(PS:但 gOxiA 觉得不代表不能魔改。)

WindowsADK-PE

WindowsADK-PE-x86-error

Windows Deployment | 评论(0) | 引用(0) | 阅读(1040)
分页: 5/470 第一页 上页 1 2 3 4 5 6 7 8 9 10 下页 最后页 [ 显示模式: 摘要 | 列表 ]