Windows 10 部署方案和工具
Windows10部署方案和工具项目03/18/2023若要为组织成功部署Windows10操作系统和应用程序,请了解可用于帮助完成此过程的工具。在本文中,你将了解最常用的Windows10部署工具。
Microsoft提供了许多工具、服务和解决方案。这些工具包括Windows部署服务(WDS)、批量激活管理工具(VAMT)、用户状态迁移工具(USMT)、WindowsSystemImageManager(WindowsSIM)、Windows预安装环境(WindowsPE)以及Windows恢复环境(WindowsRE)。这些工具本身并不是一个完整的解决方案。将这些工具与ConfigurationManager等解决方案相结合,以获取完整的部署解决方案。
本文还介绍了可以构建的不同类型的引用映像,以及为什么引用映像对大多数组织都有好处
Windows评估和部署工具包WindowsADK包含核心评估和部署工具和技术,包括部署映像服务和管理(DISM)、WindowsICD)(Windows映像和配置设计器、Windows系统映像管理器(WindowsSIM)、用户状态迁移工具(USMT)、批量激活管理工具(VAMT)、Windows预安装环境(WindowsPE)、Windows评估服务、WindowsPerformanceToolkit(WPT)、ApplicationCompatibilityToolkit(ACT)和MicrosoftSQLServer2012Express。有关详细信息,请参阅适用于Windows10的WindowsADK或适用于IT专业人员Windows10方案的WindowsADK。
Windows10ADK功能选择页。
部署映像服务和管理(DISM)DISM是WindowsADK中包含的部署工具之一,用于捕获、维护和部署启动映像和操作系统映像。
DISM服务联机和脱机映像。例如,使用DISM,可以在Windows10联机安装Microsoft.NETFramework3.5.1,这意味着你可以在正在运行的操作系统中启动安装,而不是使软件联机。/LimitAccess开关将DISM配置为仅从本地源获取文件:
Dism.exe/Online/Enable-Feature/FeatureName:NetFX3/All/Source:D:SourcesSxS/LimitAccess在Windows10中,可以对DISM.exe完成的许多函数使用WindowsPowerShell。使用PowerShell的Windows10中的等效命令是:
Enable-WindowsOptionalFeature-Online-FeatureNameNetFx3-All-SourceD:SourcesSxS-LimitAccess在PowerShell中使用DISM函数。
有关DISM的详细信息,请参阅DISM技术参考。
用户状态迁移工具(USMT)USMT是一种备份和还原工具,可用于将用户状态、数据和设置从一个安装迁移到另一个安装。Microsoft部署工具包(MDT),ConfigurationManager将USMT用作操作系统部署过程的一部分。
USMT包括多个命令行工具,其中最重要的工具是ScanState和LoadState:
ScanState.exe:此工具执行用户状态备份。LoadState.exe:此工具执行用户状态还原。UsmtUtils.exe:此工具补充了ScanState.exe和LoadState.exe中的功能。除了这些工具外,还有用于管理迁移的数据的XML模板。可以自定义模板或创建新模板,以在高级别详细地管理备份过程。USMT对其模板使用以下术语:
迁移模板:USMT中的默认模板。自定义模板:创建的自定义模板。配置模板:名为Config.xml的可选模板,可用于排除或包含迁移中的组件,而无需修改其他标准XML模板。示例USMT迁移文件,它将排除所有本地驱动器上的.MP3文件,并包括文件夹C:Data及其所有文件,包括其子目录及其文件。
USMT支持从WindowsVista及更高版本捕获数据和设置,并将数据和设置还原到Windows7及更高版本,(包括)这两种情况下的Windows10。它还支持从32位操作系统迁移到64位操作系统,但不支持相反。例如,可以使用USMT从Windows7x86迁移到Windows10x64。
默认情况下,USMT会迁移许多设置,其中大多数设置与用户配置文件相关,但也与控制面板配置、文件类型等相关。Windows10部署中使用的默认模板是MigUser.xml和MigApp.xml。这两个默认模板迁移以下数据和设置:
每个配置文件中的文件夹,包括用户配置文件中的文件夹,以及共享和公共配置文件。例如,迁移“我的文档”、“我的视频”、“我的音乐”、“我的图片”、“桌面文件”、“开始”菜单、“快速启动”设置和“收藏夹”文件夹。
以下特定文件类型:
.accdb,.ch3,.csv,.dif,.doc*,.dot*,.dqy,.iqy,.mcw,.mdb*,.mpp,.one*,.oqy,.or6,.pot*,.ppa,.pps*,.ppt*,.pre,.pst,.pub,.qdf,.qel,.qph,.qsd,.rqy,.rtf,.scd,.sh3,.slk,.txt,.vl*,.vsd,.wk*,.wpd,.wps,.wq1,.wri,.xl*,.xla,.xlb,.xls*
注意
星号(*)代表零个或多个字符。
注意
默认情况下,MicrosoftOffice应用程序可以使用的OpenDocument扩展(*.odt、*.odp、*.ods)不会迁移。
操作系统组件设置
应用程序设置
这些设置由默认MigUser.xml和MigApp.xml模板进行迁移。有关详细信息,请参阅USMT迁移的内容?有关USMT的更多常规信息,请参阅USMT技术参考。
Windows映像和配置设计器Windows映像和配置设计器(WindowsICD)是一种工具,旨在帮助创建可用于动态配置Windows设备(电脑、平板电脑和手机)的预配包。此工具可用于设置新设备,而无需使用自定义映像重置设备映像。
Windows映像和配置设计器。
有关详细信息,请参阅Windows映像和配置设计器。
Windows系统映像管理器(WindowsSIM)WindowsSIM是用于Unattend.xml文件的创作工具。使用MDT和/或ConfigurationManager时,你通常不需要WindowsSIM,因为这些系统在部署过程中自动更新Unattend.xml文件,从而大大简化了整个过程。
在WindowsSIM中打开的Windows应答文件。
有关详细信息,请参阅Windows系统映像管理器技术参考。
批量激活管理工具(VAMT)如果不使用KMS,请使用批量激活管理工具(VAMT)集中管理MAK。使用此工具在整个组织中安装和管理产品密钥。VAMT还可以代表没有Internet访问的客户端激活,充当MAK代理。
更新的批量激活管理工具。
VAMT还可用于创建报表、从MAK切换到KMS、管理基于ActiveDirectory的激活以及管理Office2010和Office2013批量激活。VAMT还支持PowerShell(,而不是旧的命令行工具)。例如,如果要从VAMT数据库获取信息,可以键入:
Get-VamtProduct有关VAMT的详细信息,请参阅VAMT技术参考。
Windows预安装环境(WindowsPE)WindowsPE是Windows10的“精简”版本,创建后用作部署平台。WindowsPE取代了过去十年统治部署解决方案的DOS或Linux启动磁盘。
有关WindowsPE的关键在于,与操作系统一样,它至少需要每台电脑中的网络和存储设备的驱动程序。幸运的是,WindowsPE包含与完整Windows10操作系统相同的驱动程序,这意味着你的大部分硬件都将开箱即用。
使用WindowsADK默认WindowsPE启动映像启动的计算机。
有关WindowsPE的详细信息,请参阅WindowsPE(WinPE)。
Windows恢复环境Windows恢复环境(WindowsRE)是WindowsVista及更高版本的操作系统中包含的诊断和恢复工具集。最新版本的WindowsRE基于WindowsPE。还可以扩展WindowsRE,并根据需要添加自己的工具。如果Windows安装无法启动且安装WindowsRE,则会看到自动故障转移到WindowsRE。
Windows10客户端已启动到WindowsRE,其中显示了“高级”选项。
有关WindowsRE的详细信息,请参阅Windows恢复环境。
Windows部署服务从Windows8开始,Windows部署服务(WDS)已通过多种方式进行了更新和改进。请记住,你将使用的两个main函数是PXE启动支持和多播。大多数更改都与管理和提高性能有关。在WindowsServer2012R2中,WDS还可用于BitLocker中的网络解锁功能。
使用多播部署三台计算机的Windows部署服务。
在WindowsServer2012R2中,可以为独立模式或ActiveDirectory集成配置Windows部署服务。在大多数情况下,ActiveDirectory集成模式是最佳选择。WDS还具有管理驱动程序的功能;但是,由于这两种解决方案提供的灵活性,通过MDT和ConfigurationManager进行驱动程序管理更适合部署,因此你将改用它们。在WDS中,可以在ActiveDirectory中预先暂存设备,但在这里,ConfigurationManager内置了此功能,并且MDT能够使用SQLServer数据库进行预暂存。在大多数情况下,这些解决方案比内置的预暂存功能更好,因为它们允许更大的控制和管理。
普通文件传输协议(TFTP)配置在某些情况下,出于性能优化的原因,需要修改TFTP最大块大小设置,尤其是在PXE流量通过路由器等情况下。在早期版本的WDS中,可以对此进行更改,但这样做的方法(编辑注册表)对用户来说并不友好。在WindowsServer2012中,设置中的这种修改变得更加容易,因为它可以配置为设置。
此外,还有一些与TFTP性能相关的新功能:
可缩放的缓冲区管理:允许缓冲整个文件,而不是每个客户端的固定大小缓冲区,使不同的会话能够从同一共享缓冲区读取数据。可缩放的端口管理:提供通过共享UDP端口分配为客户端提供服务的功能,从而提高可伸缩性。可变大小的传输窗口(可变Windows扩展):通过允许客户端和服务器确定最大可工作的窗口大小,提高TFTP性能。TFTP更改现在易于执行。
MicrosoftDeploymentToolkitMDT是Microsoft的免费部署解决方案。它提供了用于规划、生成和部署Windows操作系统的端到端指南、最佳做法和工具。MDT基于WindowsADK中的核心部署工具,提供指导、降低复杂性并为企业就绪部署解决方案添加关键功能。
MDT有两个main部分:第一部分是LiteTouch,它是独立的部署解决方案;第二部分是ZeroTouch,这是ConfigurationManager的扩展。
注意LiteTouch和ZeroTouch是MDT支持的两个解决方案的营销名称,其命名与自动化无关。可以完全自动化独立MDT解决方案(LiteTouch),并且可以将解决方案与ConfigurationManager集成配置为提示信息。
中的DeploymentWorkbench,显示任务序列。
有关MDT的详细信息,请参阅Microsoft部署工具包资源中心。
Microsoft安全合规性管理器2013MicrosoftSCM是一个免费的实用工具,用于为Windows客户端和服务器环境创建基线安全设置。可以导出基线,然后通过组策略、本地策略、MDT或ConfigurationManager进行部署。当前版本的安全合规性管理器包括Windows8.1以及多个早期版本的Windows、WindowsServer和InternetExplorer的基线。
显示虚构客户端的计算机安全合规性的基线配置的SCM控制台。
MicrosoftDesktopOptimizationPackMDOP是一套通过另一个订阅提供给软件保障客户的技术。
MDOP套件中包含以下组件:
MicrosoftApplicationVirtualization(App-V)。App-V5.0为虚拟化应用程序提供集成平台、更灵活的虚拟化和强大的管理。App-V5.0SP3版本支持在Windows10上运行虚拟应用程序。
Microsoft用户体验虚拟化(UE-V)。UE-V监视用户对应用程序设置和Windows操作系统设置所做的更改。用户设置被捕获并集中到设置存储位置。然后,这些设置可以应用于用户访问的不同计算机,包括台式计算机、笔记本电脑和虚拟桌面基础结构(VDI)会话。
MicrosoftAdvanced组策略Management(AGPM)。AGPM通过提供更改控制、脱机编辑和基于角色的委派,实现对组策略对象的高级管理。
Microsoft诊断和恢复工具集(DaRT)。DaRT提供了扩展WindowsRE的其他工具,可帮助你对计算机进行故障排除和修复。
MicrosoftBitLocker管理和监视(MBAM)。MBAM是用于管理BitLocker驱动器加密的管理员界面。它允许使用正确的BitLocker加密策略选项配置企业,并监视这些策略的符合性。
有关MDOP订阅的优势的详细信息,请参阅Microsoft桌面优化包。
WindowsServerUpdateServicesWSUS是WindowsServer2012R2中的服务器角色,可用于维护Microsoft更新的本地存储库,然后将其分发到网络上的计算机。WSUS提供对环境中的更新状态的审批控制和报告。
WindowsServerUpdateServices控制台。
有关WSUS的详细信息,请参阅WindowsServerUpdateServices概述。
统一可扩展固件接口多年来,BIOS一直是启动电脑的行业标准。BIOS为我们提供了很好的服务,但是时候用更好的东西来取代它了。UEFI是BIOS的替代品,因此了解BIOS和UEFI之间的差异非常重要。在本部分中,你将了解这两者之间的主要区别以及它们如何影响操作系统部署。
UEFI简介BIOS已使用约30年。尽管它显然已被证明是有效的,但它也有一些限制,包括:
16位代码1MB地址空间ROM初始化时性能不佳MBR最大可启动磁盘大小为2.2TB作为BIOS的替代品,UEFI具有Windows可以使用的许多功能。
使用UEFI,你可以从以下优势中受益:
支持大型磁盘。UEFI需要GUID分区表(GPT)基于的磁盘,这意味着磁盘大小限制约为1680万TB,主磁盘数超过100个。启动时间更快。UEFI不使用INT13,这可以缩短启动时间,尤其是在从休眠状态恢复时。多播部署。UEFI固件可以在启动时直接使用多播。在WDS、MDT和ConfigurationManager方案中,需要首先在单播中启动普通WindowsPE,然后切换到多播。使用UEFI,可以从一开始就运行多播。与早期BIOS的兼容性。大多数UEFI实现包括兼容性支持模块(模拟BIOS的CSM)。独立于CPU的体系结构。即使BIOS可以运行32位和64位版本的固件,BIOS系统上的所有固件设备驱动程序也必须是16位,这会影响性能。原因之一是可寻址内存的限制,BIOS只有64KB。独立于CPU的驱动程序。在BIOS系统上,PCI附加卡必须包含一个ROM,其中包含所有受支持的CPU体系结构的单独驱动程序。UEFI不需要,因为UEFI能够使用EFI字节代码(EBC)映像,从而允许独立于处理器的设备驱动程序环境。灵活的预操作系统环境。UEFI可以执行许多功能。只需一个UEFI应用程序,即可执行诊断和自动修复,并调用Home报告错误。安全启动。Windows8及更高版本可以使用UEFI固件验证过程(称为安全启动),此过程在UEFI2.3.1中定义。使用此过程,可以确保UEFI仅启动已验证的操作系统加载程序,并且恶意软件无法切换启动加载程序。UEFI版本UEFI版本2.3.1B是Windows8及更高版本的徽标符合性所需的版本。已发布更高版本以解决问题;一些计算机可能需要升级其固件,以完全支持Windows8及更高版本中的UEFI实现。
UEFI的硬件支持关于UEFI,硬件分为四个设备类:
类0设备。此类的设备是BIOS或非UEFI设备的UEFI定义。1类设备。此类的设备的行为类似于标准BIOS计算机,但它们在内部运行EFI。它们应被视为基于BIOS的普通计算机。第1类设备使用CSM来模拟BIOS。这些较旧的设备不再制造。2类设备。此类的设备能够充当BIOS或基于UEFI的计算机,启动过程或固件/BIOS中的配置决定了模式。第2类设备使用CSM来模拟BIOS。这些是目前可用的最常见的设备类型。第3类设备。此类的设备是仅限UEFI的设备,这意味着必须运行仅支持UEFI的操作系统。这些操作系统包括Windows8、Windows8.1、WindowsServer2012和WindowsServer2012R2。这些第3类设备不支持Windows7。第3类设备没有用于模拟BIOS的CSM。Windows对UEFI的支持Microsoft首先支持服务器上的EFI1.10,然后在客户端和服务器上添加了对UEFI的支持。
在UEFI2.3.1中,UEFI有x86和x64版本。Windows10支持这两者。但是,UEFI不支持跨平台启动。此限制意味着具有UEFIx64的计算机只能运行64位操作系统,而具有UEFIx86的计算机只能运行32位操作系统。
UEFI如何更改操作系统部署在基于UEFI/EFI的硬件上运行后,有许多因素会影响操作系统部署。以下是使用UEFI设备时要注意的注意事项:
在硬件中从BIOS切换到UEFI非常简单,但还需要重新安装操作系统,因为需要从MBR/NTFS切换到GPT/FAT32和NTFS。部署到类2设备时,请确保所选的启动选项与所需的设置匹配。旧计算机通常有多个用于BIOS的启动选项,但对于UEFI只有少数启动选项,反之亦然。从媒体部署时,请记住,对于UEFI,媒体必须是FAT32,而FAT32的文件大小限制为4GB。UEFI不支持跨平台启动;因此,需要具有正确的启动媒体(32位或64位)。有关UEFI的详细信息,请参阅UEFI固件概述和相关资源。
相关文章Windows10中的旁加载应用适用于IT专业人员Windows10方案的WindowsADK