Laboratorio de implementación del modo S de Windows

La creación de una implementación en modo S comienza con una imagen de edición de escritorio de Windows base normal. El modo S se aplica aplicando un archivo desatendido a una imagen de Windows montada. Cuando se trabaja con un equipo que está en modo S, el proceso de fabricación tiene algunas diferencias en comparación con otras versiones de Windows. Al planear la implementación, debe asegurarse de que los controladores y las aplicaciones se admiten en modo S.

Este laboratorio le guía por el proceso de configuración de una imagen de escritorio de Windows en modo S para la implementación. Personalizaremos una imagen, estableceremos el modo S con desatendido, agregaremos la clave del Registro de fabricación en WinPE y, a continuación, quitaremos la clave del Registro en modo auditoría. A continuación, configuraremos la recuperación y prepararemos la imagen para el envío.

Empecemos.

Obtención de las herramientas que necesita

Para empezar a crear una imagen para la implementación, esto es lo que necesitará:

• imagen de Windows 10
  • Para Windows 11 en modo S, use una imagen de Windows Home.
• Equipo técnico que ejecuta Windows 10, versión 1803 o posterior
• Equipo de referencia donde puede implementar la imagen
• La versión más reciente del complemento ADK y WinPE instalado en el equipo técnico
• Una tecla USB a la que se puede dar formato
• Scripts de implementación
• Personalizaciones como controladores o paquetes de idioma
• Actualización más reciente de la versión de distribución general del catálogo de Microsoft Update

Dar formato a la clave USB

Para preparar la unidad USB, creará particiones FAT32 y NTFS independientes. A continuación se crean dos particiones en una unidad USB; una partición FAT32 de 2 GB y una partición NTFS que usa el resto del espacio disponible en la unidad. Quieres asegurarte de que tu unidad USB tenga suficiente espacio libre para la parte de WinPE de 2 GB y para almacenar imágenes grandes en la partición NTFS:

1. En el equipo técnico, inicie el entorno de herramientas de implementación y creación de imágenes como administrador:

   • Haz clic en Inicio, escribe Entorno de herramientas de implementación y creación de imágenes. Haz clic con el botón secundario en el Entorno de herramientas de implementación y creación de imágenes y selecciona Ejecutar como administrador.

2. Abra diskpart.

   diskpart
   

3. Seleccione el número de disco de la clave USB y ejecute el clean comando . Este comando hará que los datos de la clave USB no sean accesibles. Asegúrese de que ha realizado una copia de seguridad de los datos que desea conservar.

   list disk
   select <disk number>
   clean
   

   Donde <el número> de disco es el número de la unidad USB

4. Cree el partiton FAT32 para WinPE, etiquete "Windows PE" y rótelo activo.

   create partition primary size=2000
   format quick fs=fat32 label="Windows PE"
   assign letter=P
   active
   

5. Cree la partición NTFS donde almacenará las imágenes y personalizaciones.

   create partition primary
   format fs=ntfs quick label="Data"
   assign letter=T
   list vol
   exit
   

Crear una partición winPE de arranque en la clave USB

En el equipo del técnico:

1. Abra deployment and Imaging Tools Environment (Entorno de herramientas de implementación e imágenes) como administrador.

2. Copie los archivos base de WinPE en una carpeta nueva:

   copype amd64 C:\winpe_amd64
   

3. Copie los archivos winPE en la partición FAT32.

   MakeWinPEMedia /UFD C:\winpe_amd64 P:
   

   Cuando se te solicite, presiona Y para formatear la unidad e instalar WinPE.

Para obtener más información sobre cómo crear una unidad WinPE, consulta WinPE: Crear unidad de arranque USB.

Crear partición USB de datos

1. En Explorador de archivos, abra el archivo ZIP de scripts de implementación y copie la carpeta scripts en la partición De datos de la unidad USB.

2. En el entorno de herramientas de implementación e imágenes, use copydandi.cmd para copiar las herramientas de implementación e creación de imágenes en la unidad USB.

   copydandi amd64 T:\deploymenttools
   

3. Copie cualquier otra personalización que necesite para el modo Auditoría.

Monte install.wim y winre.wim

El montaje de una imagen de Windows es el mismo proceso que hemos usado anteriormente para montar la imagen de WinPE. Al montar la imagen de Windows (install.wim), podrá acceder a una segunda imagen, WinRe.wim, que es la imagen que admite escenarios de recuperación. Actualizar install.wim y WinRE.wim al mismo tiempo le ayuda a mantener sincronizadas las dos imágenes, lo que garantiza que la recuperación sea la esperada.

1. Monte el archivo ISO de medios de instalación de Windows haciendo doble clic en él en Explorador de archivos.

2. Cree una carpeta temporal (c:\temp) y copie install.wim desde D:\Sources (Donde D: es la letra de unidad de la imagen montada) en la carpeta temporal.

   md c:\temp
   copy d:\sources\install.wim c:\temp
   

3. Abra deployment and Imaging Tools Environment (Entorno de herramientas de implementación e imágenes) como administrador.

4. Cree una carpeta para montar imágenes y, a continuación, monte install.wim.

   Md C:\mount\windows
   Dism /Mount-Wim /WimFile:C:\temp\install.wim /index:1 /MountDir:C:\mount\windows
   

5. Cree una carpeta de montaje para el archivo Windows RE Imagen a partir de la imagen montada y, a continuación, monte la imagen de WinRE.

   Md c:\mount\winre 
   Dism /Mount-Wim /WimFile:C:\mount\windows\Windows\System32\Recovery\winre.wim /index:1 /MountDir:C:\mount\winre
   

   Solucionar problemas: Si winre.wim no se puede ver en el directorio especificado, use el siguiente comando para establecer el archivo visible:

   attrib -h -a -s C:\mount\windows\Windows\System32\Recovery\winre.wim
   

   Solucionar problemas: Si se produce un error en el montaje de la imagen, asegúrese de que usa la versión de DISM instalada con Windows ADK y no una versión anterior que pueda estar en el equipo técnico. No monte imágenes en carpetas protegidas, como la carpeta User\Documents. Si los procesos de DISM se interrumpen, considere la posibilidad de desconectarse temporalmente de la red y deshabilitar la protección antivirus.

Para obtener más información sobre cómo montar una imagen de Windows, vea Montar y modificar una imagen de Windows mediante DISM.

Para obtener información sobre cómo personalizar WinRE, consulta Personalizar Windows RE.

Habilitar personalizaciones

Habilitar modo S

Antes de personalizar una imagen, usa el paso de mantenimiento sin conexión desatendido para establecer un equipo Windows en modo S.

1. Usa Windows SIM para crear un archivo desatendido.

2. Agregar SkuPolicyRequired al pase offlineServicing

3. Establezca SkuPolicyRequired en 1.

4. Guarde el archivo como unattend.xml

5. Copie unattend.xml en la imagen de Windows montada:

   MkDir c:\mount\windows\Windows\Panther
   Copy unattend.xml  C:\mount\windows\Windows\Panther\unattend.xml
   

6. Aplique el archivo desatendido a la imagen montada:

   DISM /Image=C:\mount\windows /Apply-Unattend=C:\mount\windows\Windows\Panther\unattend.xml
   

Cuando se inicie el equipo, arrancará en modo S con las directivas de CI aplicadas. Si necesita realizar personalizaciones en la imagen de Windows, tendrá que habilitar la clave del Registro de fabricación. Esto le permitirá realizar cambios en el modo de auditoría.

Adición de la clave del Registro de fabricación

Habilitar el modo de fabricación es un paso que tendrá que hacer al trabajar con Windows 10 en modo S y Windows 10 S. Para habilitar las personalizaciones durante el proceso de fabricación, tendrá que agregar una clave del Registro que le permita ejecutar código sin firmar cuando se inicie en modo auditoría. Esto puede ayudarle a compilar y probar la imagen al preparar un equipo para enviarse.

Agregaremos la clave del Registro de personalización a la imagen montada cargando el subárbol del registro SYSTEM de la imagen montada y, a continuación, agregando una clave. A continuación, configuraremos ScanState para excluir la clave del Registro al capturar el paquete de recuperación para asegurarse de que la clave del Registro no se restaura durante los escenarios de restablecimiento o recuperación.

Importante

No envíe su PC con el registro en su lugar. Quite la clave del Registro antes de enviar el dispositivo.

1. Cargue el subárbol del registro SYSTEM de la imagen montada en regedit en el equipo del técnico. Usaremos un subárbol temporal denominado HKLM\Windows10S.

    reg load HKLM\Windows10S C:\Mount\Windows\Windows\System32\Config\System
   

2. Agregue la siguiente clave al Registro para que se acaba de montar.

   reg add HKLM\Windows10S\ControlSet001\Control\CI\Policy /v ManufacturingMode /t REG_DWORD /d 1
   

3. Descargue el subárbol del registro desde el equipo técnico.

   reg unload HKLM\Windows10S
   

La imagen montada ahora tiene la clave de fabricación que le permitirá realizar cambios en el modo de auditoría. Tendrás que quitarlo antes de enviar el pc.

Para obtener información sobre la clave del Registro de fabricación de Windows 10 S, consulte Windows 10 modo de fabricación S.

Crear exclusion.xml

Ahora crearemos un archivo que automatice la exclusión de la clave del Registro de personalizaciones al capturar la configuración de recuperación. Esto garantiza que el equipo no restaure la clave del Registro de personalización durante el proceso de recuperación.

1. Cree un archivo XML en un editor de texto.

2. Copie y pegue el código siguiente. Esto indica a ScanState que no capture la clave del Registro en el paquete de recuperación que crea:

   <?xml version="1.0" encoding="UTF-8"?>
   <migration urlid="https://www.microsoft.com/migration/1.0/migxmlext/ExcludeManufacturingMode">
   <component type="System">
   <displayName>Exclude manufacturing regkey</displayName>
       <role role="Settings">
           <rules context="System">
               <unconditionalExclude>
                   <objectSet>
                       <pattern type="Registry">HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy [ManufacturingMode]</pattern>
                   </objectSet>
               </unconditionalExclude>
           </rules>
       </role>
   </component>
   </migration>
   

3. Guarde el archivo como exclusion.xml.

Usaremos este archivo de configuración cuando capturemos un paquete ScanState para la recuperación más adelante en el laboratorio.

Puede obtener información sobre la exclusión de archivos y configuraciones de un paquete ScanState en Excluir archivos y configuración.

Agregar los controladores

Al igual que otras versiones de Windows, puede agregar controladores a una imagen de Windows 10 S para asegurarse de que el hardware está configurado y funcionando la primera vez que un usuario arranca en Windows. Asegúrese de que los controladores que agregue a la Windows 10 S sean compatibles con Windows 10 S y no se bloquearán.

1. Agregue un único controlador a las imágenes de Windows y WinRE desde un archivo .inf. En este ejemplo, se usa un controlador denominado media1.inf:

   Dism /Add-Driver /Image:"C:\mount\windows" /Driver:"C:\Drivers\PnP.Media.V1\media1.inf"
   Dism /Add-Driver /Image:"C:\mount\winre" /Driver:"C:\Drivers\PnP.Media.V1\media1.inf"
   

   Donde "C:\Drivers\PnP.Media.V1\media1.inf" es el archivo .inf del controlador que va a agregar.

   Dism /Add-Driver /Image:"C:\mount\windows" /Driver:c:\drivers /Recurse 
   

2. Compruebe que los controladores forman parte de las imágenes:

   Dism /Get-Drivers /Image:"C:\mount\windows"
   Dism /Get-Drivers /Image:"C:\mount\winre"
   

   Compruebe la lista de paquetes y verifique que contiene los controladores que agregó.

Para obtener más información sobre cómo agregar controladores a una imagen de Windows sin conexión, consulta Agregar y quitar controladores a una imagen de Windows sin conexión.

Agregar un idioma (opcional)

En esta sección, agregaremos el paquete de idioma alemán (de-de) a las imágenes montadas de Windows y WinRE.

1. Agregue el paquete de idioma alemán a la imagen de Windows.

   Use los paquetes de idioma de la iso de idiomas y características opcionales:

   Dism /Add-Package /Image:C:\mount\windows /PackagePath:"E:\x64\langpacks\Microsoft-Windows-Client-Language-Pack_x64_de-de.cab "
   

   Donde E: es la letra de unidad de los idiomas montados y la ISO de características opcionales.

2. Agregue el paquete de idioma alemán a Windows RE. Los paquetes de idioma están disponibles como parte del ADK y asegúrese de que el idioma de un usuario esté disponible durante los escenarios de recuperación.

   Dism /image:C:\mount\winre /add-package /packagepath:"E:\Windows Preinstallation Environment\x64\WinPE_OCs\de-de\lp.cab" 
   

Consulte Agregar y quitar paquetes de idioma sin conexión mediante DISM para obtener más información.

Adición de la actualización más reciente

Instale el paquete de actualización más reciente que incluya las correcciones de errores más recientes y los cambios del sistema operativo.

[importante] Instale paquetes de actualización después de instalar paquetes de idioma, paquetes AppX y características a petición. Si instala una GDR antes de agregarlas, tendrá que volver a instalar la GDR.

1. Descargue la actualización más reciente del catálogo de Microsoft Update.

2. Use DISM /add package para agregar el GDR a las imágenes montadas, por ejemplo:

   dism /image:"C:\mount\windows" /add-package /packagepath:C:\temp\windows10.0-kb4020102-x64_9d406340d67caa80a55bc056e50cf87a2e7647ce.msu
   dism /image:"C:\mount\winre" /add-package /packagepath:C:\temp\windows10.0-kb4020102-x64_9d406340d67caa80a55bc056e50cf87a2e7647ce.msu
   

3. Use DISM para limpiar la imagen.

   DISM /Cleanup-Image /Image=C:\mount\winre /StartComponentCleanup /ScratchDir:C:\Temp
   

Consulte Agregar o quitar paquetes sin conexión mediante DISM para obtener más información sobre cómo agregar paquetes a la imagen de Windows.

Desmontar la imagen de WinRE y realizar una copia

Ahora que ha realizado todas las personalizaciones sin conexión, puede desmontar las imágenes.

1. Cierre todas las aplicaciones que puedan acceder a los archivos de las imágenes.

2. Confirme los cambios y desmonte las imágenes de WinRE y Windows:

   Dism /Unmount-Image /MountDir:"C:\mount\winre" /Commit
   Dism /Export-Image /SourceImageFile:c:\mount\windows\windows\system32\recovery\winre.wim /SourceIndex:1 /DestinationImageFile:c:\mount\winre-optimized.wim
   del c:\mount\windows\windows\system32\recovery\winre.wim
   copy c:\mount\winre-optimized.wim c:\mount\windows\windows\system32\recovery\winre.wim
   

Desmontar install.wim

Dism /Unmount-Image /MountDir:"C:\mount\windows" /Commit

Copie install.wim y winre.wim en la unidad USB.

copy c:\temp\install.wim t:\
copy c:\temp\winre-optimized.wim t:\

Implementación de la imagen en el equipo de referencia

1. Arranque el equipo de referencia en WinPE.

2. Use los scripts de implementación para aplicar la imagen install.wim modificada.

   T:\Deployment\walkthrough-deploy.bat t:\install.wim
   

Arranque en modo de auditoría y realización de cambios

1. Arranque el equipo de referencia si aún no se ha arrancado.
2. Cuando el dispositivo arranque en OOBE, presione Ctrl+Mayús+F3 para entrar en modo auditoría.
3. El equipo se reiniciará en modo de auditoría.
4. Realice cambios en el equipo. Consulte la tabla sobre Planeación de una imagen de modo S para ver qué personalizaciones están disponibles en modo auditoría.

Para obtener información sobre el modo de auditoría, consulte Información general sobre el modo auditoría. Para obtener información sobre el comportamiento del modo auditoría en modo S, consulte Modo auditoría en el entorno de fabricación del modo S de Windows.

Captura de los cambios en el modo de auditoría para las herramientas de recuperación

Ahora que ha personalizado la imagen en modo auditoría, puede usar ScanState para capturar el paquete para que las personalizaciones estén disponibles en escenarios de recuperación.

1. Use ScanState que copió en la clave USB para capturar personalizaciones en un paquete de aprovisionamiento. Use el archivo exclusion.xml que creó anteriormente para asegurarse de que la clave del Registro de fabricación no se restaure durante la recuperación.

   md c:\Recovery\Customizations
   T:\deploymenttools\scanstate /config:T:\deploymenttools\Config_SettingsOnly.xml /o /v:13 /ppkg c:\recovery\customizations\usmt.ppkg /i:exclusion.xml /l:C:\Scanstate.log
   

2. Cuando la captura se complete correctamente, elimine el archivo de registro ScanState: del c:\scanstate.log.

Eliminación de la clave del Registro de fabricación

Cuando haya terminado de personalizar el equipo en modo auditoría, tendrá que quitar la clave del Registro de fabricación que le permite ejecutar código sin firmar en modo S.

Para quitar la clave del Registro, ejecute el siguiente comando como administrador cuando se inicie en modo de auditoría en el equipo de referencia:

reg delete HKLM\system\ControlSet001\Control\CI\Policy /v ManufacturingMode

Volver a agregar WinRE a la imagen capturada

Para asegurarse de que la imagen de WinRE se captura para la implementación final, copie la imagen winRE-optimized.wim exportada en la imagen de Windows 10 S.

xcopy t:\winre-optimized.wim c:\windows\system32\recovery\winre.wim

Sysprep y apagar el equipo

1. Abra el símbolo del sistema.

2. Ejecute sysprep para volver a serializar el equipo y prepararlo para la captura.

   c:\windows\system32\sysprep\sysprep /generalize /oobe /shutdown
   

Capturar la imagen

1. Arranque el equipo de referencia en WinPE.

2. Identifique la letra de unidad de la partición de Windows en diskpart:

   diskpart
   list volume
   exit
   

3. Use DISM para capturar la partición de Windows.

   dism.exe /capture-image /ImageFile:"T:\Images\Windows10S.wim" /capturedir:C:\ /Name:"Windows10S"
   

   Dónde C:\ es la partición de Windows.

Consulte Capture and apply Windows system and recovery partitions (Capturar y aplicar particiones de sistema y recuperación de Windows ) para obtener más información.

Implementación de la imagen y comprobación de personalizaciones y recuperación

Aplicación de la imagen

1. Arranque el equipo de referencia en WinPE.

2. Aplique la imagen del modo S (Windows10S.wim) al equipo. Esto sobrescribirá las instalaciones de Windows existentes.

   T:
   cd Deployment
   T:\Deployment\applyimage.bat T:\images\Windows10S.wim
   

Comprobación de personalizaciones

1. Arranque el equipo de referencia. Esta es la primera vez que arranca el equipo con la nueva imagen de Windows.
2. Si instaló idiomas adicionales, compruebe que estos idiomas preinstalados aparecen y los puede seleccionar el usuario durante la configuración rápida.
3. Valide las personalizaciones de escritorio que realizó correctamente una vez completada la configuración rápida.

Comprobación de la recuperación

Para comprobar que la recuperación funciona según lo previsto, realice las siguientes tareas de validación:

• Ejecute la recuperación de actualización y compruebe que los archivos de usuario se conservan y se restauran las personalizaciones de escritorio de fábrica.
• Ejecute la recuperación de restablecimiento y valide que se quitan los archivos de usuario y el perfil y se restauran las personalizaciones de escritorio de fábrica.
• Valide los scripts de extensibilidad en el nivel de cumplimiento RS3 simulado mediante el archivo de directiva proporcionado.
• Si creó un paquete de recuperación con ScanState, asegúrese de que la clave de fabricación se excluyó cuando se capturó el paquete.

Envío del equipo

Ahora que tiene una imagen, está listo para compilar y enviar equipos en modo S. Asegúrese de que se quita la clave del Registro de fabricación y el arranque seguro está habilitado en los equipos enviados.