Labo de déploiement en mode Windows S

La création d’un déploiement en mode S commence par une image standard de l’édition de bureau Windows de base. Le mode S est appliqué en appliquant un fichier sans assistance à une image Windows montée. Lorsque vous utilisez un PC en mode S, le processus de fabrication présente certaines différences par rapport aux autres versions de Windows. Lorsque vous planifiez votre déploiement, vous devez vous assurer que vos pilotes et applications sont pris en charge en mode S.

Ce labo vous guide tout au long du processus de configuration d’une image de bureau Windows en mode S pour le déploiement. Nous allons personnaliser une image, définir le mode S avec sans assistance, ajouter la clé de Registre de fabrication dans WinPE, puis supprimer la clé de Registre en mode Audit. Ensuite, nous allons configurer la récupération et préparer l’image pour l’expédition.

Commençons.

Obtenir les outils dont vous avez besoin

Pour commencer à créer une image pour le déploiement, voici ce dont vous aurez besoin :

• image Windows 10
  • Pour Windows 11 en mode S, utilisez une image Windows Famille
• PC de technicien exécutant Windows 10, version 1803 ou ultérieure
• Pc de référence dans lequel vous pouvez déployer votre image
• La dernière version du module complémentaire ADK et WinPE installée sur votre PC de technicien
• Une clé USB que vous pouvez formater
• Scripts de déploiement
• Personnalisations telles que les pilotes ou les modules linguistiques
• La dernière mise à jour de la version de la distribution générale à partir du catalogue Microsoft Update

Formater votre clé USB

Pour préparer votre lecteur USB, vous allez créer des partitions FAT32 et NTFS distinctes. L’exemple suivant crée deux partitions sur un lecteur USB : une partition FAT32 de 2 Go et une partition NTFS qui utilise le reste de l’espace disponible sur le lecteur. Vous souhaitez vous assurer que votre lecteur USB dispose de suffisamment d’espace libre pour le partiton WinPE de 2 Go et pour contenir des images volumineuses sur la partition NTFS :

1. Sur votre PC de technicien, démarrez l’environnement Outils de déploiement et de création d’images en tant qu’administrateur :

   • Cliquez sur Démarrer, puis tapez Environnement de déploiement et d’outils de création d’images. Cliquez avec le bouton droit de la souris sur Environnement de déploiement et d’outils de création d’images , puis sélectionnez Exécuter en tant qu’administrateur.

2. Ouvrez diskpart.

   diskpart
   

3. Sélectionnez le numéro de disque de votre clé USB, puis exécutez la clean commande . Cette commande rend les données de votre clé USB inaccessibles. Vérifiez que vous avez sauvegardé toutes les données que vous souhaitez conserver.

   list disk
   select <disk number>
   clean
   

   Où <numéro de> disque est le numéro de votre lecteur USB

4. Créez le partiton FAT32 pour WinPE, étiquetez-le « Windows PE » et marquez-le actif.

   create partition primary size=2000
   format quick fs=fat32 label="Windows PE"
   assign letter=P
   active
   

5. Créez la partition NTFS dans laquelle vous allez stocker vos images et personnalisations.

   create partition primary
   format fs=ntfs quick label="Data"
   assign letter=T
   list vol
   exit
   

Créer une partition WinPE démarrable sur votre clé USB

Sur votre PC de technicien :

1. Ouvrez l’environnement Outils de déploiement et de création d’images en tant qu’administrateur.

2. Copiez les fichiers WinPE de base dans un nouveau dossier :

   copype amd64 C:\winpe_amd64
   

3. Copiez les fichiers WinPE dans votre partition FAT32.

   MakeWinPEMedia /UFD C:\winpe_amd64 P:
   

   Lorsque vous y êtes invité, appuyez sur O pour formater le lecteur et y installer WinPE.

Pour plus d’informations sur la création d’un lecteur WinPE, consultez WinPE : Créer un lecteur de démarrage USB.

Créer une partition USB de données

1. Dans Explorateur de fichiers, ouvrez le fichier zip scripts de déploiement et copiez le dossier scripts dans la partition Données de votre lecteur USB.

2. À partir de l’environnement Outils de déploiement et de création d’images, utilisez copydandi.cmd pour copier les outils de déploiement et de création d’images sur votre lecteur USB

   copydandi amd64 T:\deploymenttools
   

3. Copiez toutes les autres personnalisations dont vous avez besoin pour le mode Audit.

Montage install.wim et winre.wim

Le montage d’une image Windows est le même processus que celui utilisé précédemment pour monter l’image WinPE. Lorsque vous montez votre image Windows (install.wim), vous pouvez accéder à une deuxième image, WinRe.wim, qui est l’image qui prend en charge les scénarios de récupération. La mise à jour de install.wim et WinRE.wim en même temps vous permet de maintenir la synchronisation des deux images, ce qui garantit que la récupération se déroule comme prévu.

1. Montez l’ISO du support d’installation Windows en double-cliquant dessus dans Explorateur de fichiers.

2. Créez un dossier temporaire (c:\temp), puis copiez install.wim de D:\Sources (où D: est la lettre de lecteur de l’image montée) dans le dossier temporaire.

   md c:\temp
   copy d:\sources\install.wim c:\temp
   

3. Ouvrez l’environnement Outils de déploiement et de création d’images en tant qu’administrateur.

4. Créez un dossier pour le montage d’images, puis montez install.wim.

   Md C:\mount\windows
   Dism /Mount-Wim /WimFile:C:\temp\install.wim /index:1 /MountDir:C:\mount\windows
   

5. Créez un dossier de montage pour le fichier image Windows RE à partir de votre image montée, puis montez l’image WinRE.

   Md c:\mount\winre 
   Dism /Mount-Wim /WimFile:C:\mount\windows\Windows\System32\Recovery\winre.wim /index:1 /MountDir:C:\mount\winre
   

   Dépanner: Si winre.wim ne peut pas être affiché sous le répertoire spécifié, utilisez la commande suivante pour définir le fichier visible :

   attrib -h -a -s C:\mount\windows\Windows\System32\Recovery\winre.wim
   

   Dépanner: Si le montage de l’image échoue, vérifiez que vous utilisez la version de DISM installée avec Windows ADK et non une version antérieure qui peut se trouver sur l’ordinateur de technicien. Ne montez pas d’images dans des dossiers protégés, tels que le dossier User\Documents. Si des processus DISM sont interrompus, déconnectez-vous momentanément du réseau et désactivez la protection antivirus.

Pour plus d’informations sur le montage d’une image Windows, consultez Monter et modifier une image Windows à l’aide de DISM.

Pour en savoir plus sur la personnalisation de WinRE, consultez Personnaliser Windows RE.

Activer les personnalisations

Activer le mode S

Avant de personnaliser une image, utilisez la passe de maintenance hors connexion d’un mode sans assistance pour définir un PC Windows en mode S.

1. Utilisez Windows SIM pour créer un fichier sans assistance.

2. Ajouter SkuPolicyRequired au passe offlineServicing

3. Paramétrez SkuPolicyRequired sur 1

4. Enregistrer le fichier sous unattend.xml

5. Copiez unattend.xml dans l’image Windows montée :

   MkDir c:\mount\windows\Windows\Panther
   Copy unattend.xml  C:\mount\windows\Windows\Panther\unattend.xml
   

6. Appliquez le fichier sans assistance à votre image montée :

   DISM /Image=C:\mount\windows /Apply-Unattend=C:\mount\windows\Windows\Panther\unattend.xml
   

Lorsque le PC démarre, il démarre en mode S avec des stratégies CI appliquées. Si vous devez apporter des personnalisations à l’image Windows, vous devez activer la clé de Registre de fabrication. Cela vous permettra d’apporter des modifications en mode audit.

Ajouter la clé de Registre de fabrication

L’activation du mode de fabrication est une étape que vous devez effectuer lorsque vous utilisez Windows 10 en mode S et Windows 10 S. Pour activer les personnalisations pendant le processus de fabrication, vous devez ajouter une clé de Registre qui vous donne la possibilité d’exécuter du code non signé au démarrage en mode audit. Cela peut vous aider à créer et à tester votre image lors de la préparation d’un PC à l’expédition.

Nous allons ajouter la clé de Registre de personnalisation à l’image montée en chargeant la ruche du Registre SYSTEM de l’image montée, puis en ajoutant une clé. Ensuite, nous allons configurer ScanState pour exclure la clé de Registre lors de la capture de votre package de récupération afin de garantir que la clé de Registre n’est pas restaurée pendant les scénarios de réinitialisation ou de récupération.

Important

Ne livrez pas votre PC avec le registre en place. Supprimez la clé de Registre avant d’expédier l’appareil.

1. Chargez la ruche du registre SYSTEM à partir de votre image montée dans regedit sur votre PC de technicien. Nous allons utiliser une ruche temporaire appelée HKLM\Windows10S.

    reg load HKLM\Windows10S C:\Mount\Windows\Windows\System32\Config\System
   

2. Ajoutez la clé suivante au Registre que vous venez de monter.

   reg add HKLM\Windows10S\ControlSet001\Control\CI\Policy /v ManufacturingMode /t REG_DWORD /d 1
   

3. Déchargez la ruche du Registre de votre PC de technicien.

   reg unload HKLM\Windows10S
   

L’image montée possède désormais la clé de fabrication qui vous permettra d’apporter des modifications en mode audit. Vous devrez le supprimer avant d’expédier le PC.

Pour en savoir plus sur la clé de registre de fabrication Windows 10 S, consultez Windows 10 mode de fabrication S.

Créer des exclusion.xml

Nous allons maintenant créer un fichier qui automatise l’exclusion de la clé de Registre des personnalisations lorsque vous capturez les paramètres pour la récupération. Cela garantit que votre PC ne restaure pas la clé de Registre de personnalisation pendant le processus de récupération.

1. Créez un fichier xml dans un éditeur de texte.

2. Copiez et collez le code suivant. Cela indique à ScanState de ne pas capturer la clé de Registre dans le package de récupération qu’il crée :

   <?xml version="1.0" encoding="UTF-8"?>
   <migration urlid="https://www.microsoft.com/migration/1.0/migxmlext/ExcludeManufacturingMode">
   <component type="System">
   <displayName>Exclude manufacturing regkey</displayName>
       <role role="Settings">
           <rules context="System">
               <unconditionalExclude>
                   <objectSet>
                       <pattern type="Registry">HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy [ManufacturingMode]</pattern>
                   </objectSet>
               </unconditionalExclude>
           </rules>
       </role>
   </component>
   </migration>
   

3. Enregistrez le fichier en tant que exclusion.xml.

Nous utiliserons ce fichier de configuration lorsque nous capturerons un package ScanState pour une récupération ultérieurement dans le labo.

Vous pouvez en savoir plus sur l’exclusion des fichiers et des paramètres d’un package ScanState dans Exclure les fichiers et les paramètres.

Ajouter des pilotes

Comme d’autres versions de Windows, vous pouvez ajouter des pilotes à une image Windows 10 S pour vous assurer que le matériel est configuré et fonctionne la première fois qu’un utilisateur démarre dans Windows. Assurez-vous que les pilotes que vous ajoutez à votre Windows 10 S sont compatibles avec Windows 10 S et ne seront pas bloqués.

1. Ajoutez un seul pilote à vos images Windows et WinRE à partir d’un fichier .inf. Dans cet exemple, nous utilisons un pilote nommé media1.inf :

   Dism /Add-Driver /Image:"C:\mount\windows" /Driver:"C:\Drivers\PnP.Media.V1\media1.inf"
   Dism /Add-Driver /Image:"C:\mount\winre" /Driver:"C:\Drivers\PnP.Media.V1\media1.inf"
   

   Où « C:\Drivers\PnP.Media.V1\media1.inf » est le fichier .inf du pilote que vous ajoutez.

   Dism /Add-Driver /Image:"C:\mount\windows" /Driver:c:\drivers /Recurse 
   

2. Vérifiez que les pilotes font partie des images :

   Dism /Get-Drivers /Image:"C:\mount\windows"
   Dism /Get-Drivers /Image:"C:\mount\winre"
   

   Vérifiez la liste des packages et assurez-vous que la liste contient les pilotes que vous avez ajoutés.

Pour plus d’informations sur l’ajout de pilotes à une image Windows hors connexion, consultez Ajouter et supprimer des pilotes à une image Windows hors connexion.

Ajouter une langue (facultatif)

Dans cette section, nous allons ajouter le module linguistique allemand (dédé) aux images Windows et WinRE montées.

1. Ajoutez le package de langue allemande à l’image Windows.

   Utilisez les modules linguistiques de l’ISO Langues et fonctionnalités facultatives :

   Dism /Add-Package /Image:C:\mount\windows /PackagePath:"E:\x64\langpacks\Microsoft-Windows-Client-Language-Pack_x64_de-de.cab "
   

   Où E : est la lettre de lecteur de l’ISO Langues et fonctionnalités facultatives montées.

2. Ajoutez le module linguistique allemand à Windows RE. Les modules linguistiques sont disponibles dans le cadre d’ADK et garantissent que la langue d’un utilisateur est disponible pendant les scénarios de récupération.

   Dism /image:C:\mount\winre /add-package /packagepath:"E:\Windows Preinstallation Environment\x64\WinPE_OCs\de-de\lp.cab" 
   

Pour plus d’informations, consultez Ajouter et supprimer des modules linguistiques hors connexion à l’aide de DISM .

Ajouter la dernière mise à jour

Installez le dernier package de mise à jour qui inclut les derniers correctifs de bogues et modifications du système d’exploitation.

[important] Installez les packages de mise à jour après avoir installé des modules linguistiques, des packages AppX et des fonctionnalités à la demande. Si vous installez un GDR avant de les ajouter, vous devez réinstaller le GDR.

1. Téléchargez la dernière mise à jour à partir du catalogue Microsoft Update.

2. Utilisez le package DISM /add pour ajouter la GDR aux images montées, par exemple :

   dism /image:"C:\mount\windows" /add-package /packagepath:C:\temp\windows10.0-kb4020102-x64_9d406340d67caa80a55bc056e50cf87a2e7647ce.msu
   dism /image:"C:\mount\winre" /add-package /packagepath:C:\temp\windows10.0-kb4020102-x64_9d406340d67caa80a55bc056e50cf87a2e7647ce.msu
   

3. Utilisez DISM pour nettoyer votre image.

   DISM /Cleanup-Image /Image=C:\mount\winre /StartComponentCleanup /ScratchDir:C:\Temp
   

Pour plus d’informations sur l’ajout de packages à votre image Windows, consultez Ajouter ou supprimer des packages hors connexion à l’aide de DISM .

Démonter l’image WinRE et effectuer une copie

Maintenant que vous avez effectué toutes vos personnalisations hors connexion, vous pouvez démonter vos images.

1. Fermez toutes les applications qui peuvent accéder aux fichiers à partir des images.

2. Validez les modifications et démontez les images WinRE et Windows :

   Dism /Unmount-Image /MountDir:"C:\mount\winre" /Commit
   Dism /Export-Image /SourceImageFile:c:\mount\windows\windows\system32\recovery\winre.wim /SourceIndex:1 /DestinationImageFile:c:\mount\winre-optimized.wim
   del c:\mount\windows\windows\system32\recovery\winre.wim
   copy c:\mount\winre-optimized.wim c:\mount\windows\windows\system32\recovery\winre.wim
   

Démonter install.wim

Dism /Unmount-Image /MountDir:"C:\mount\windows" /Commit

Copiez install.wim et winre.wim sur votre lecteur USB

copy c:\temp\install.wim t:\
copy c:\temp\winre-optimized.wim t:\

Déployer l’image sur un PC de référence

1. Démarrez votre PC de référence sur WinPE.

2. Utilisez les scripts de déploiement pour appliquer votre image install.wim modifiée.

   T:\Deployment\walkthrough-deploy.bat t:\install.wim
   

Démarrer en mode audit et apporter des modifications

1. Démarrez votre PC de référence s’il n’est pas déjà démarré.
2. Lorsque l’appareil démarre en mode OOBE, appuyez sur Ctrl+Maj+F3 pour passer en mode Audit.
3. Le PC redémarre en mode audit.
4. Apportez des modifications au PC. Consultez le tableau planification d’une image en mode S pour voir quelles personnalisations sont disponibles en mode audit.

Pour en savoir plus sur le mode audit, consultez Vue d’ensemble du mode Audit. Pour en savoir plus sur le comportement du mode Audit en mode S, consultez Mode audit dans un environnement de fabrication en mode Windows S.

Capturez vos modifications de mode d’audit pour les outils de récupération

Maintenant que vous avez personnalisé votre image en mode Audit, vous pouvez utiliser ScanState pour capturer le package afin que les personnalisations soient disponibles dans les scénarios de récupération.

1. Utilisez ScanState que vous avez copié sur votre clé USB pour capturer les personnalisations dans un package d’approvisionnement. Utilisez le fichier exclusion.xml que vous avez créé précédemment pour vous assurer que la clé de Registre de fabrication n’est pas restaurée pendant la récupération.

   md c:\Recovery\Customizations
   T:\deploymenttools\scanstate /config:T:\deploymenttools\Config_SettingsOnly.xml /o /v:13 /ppkg c:\recovery\customizations\usmt.ppkg /i:exclusion.xml /l:C:\Scanstate.log
   

2. Une fois la capture terminée, supprimez le fichier journal ScanState : del c:\scanstate.log.

Supprimer la clé de Registre de fabrication

Lorsque vous avez terminé la personnalisation de votre PC en mode audit, vous devez supprimer la clé de Registre de fabrication qui vous permet d’exécuter du code non signé en mode S.

Pour supprimer la clé de Registre, exécutez la commande suivante en tant qu’administrateur lors du démarrage en mode audit sur le PC de référence :

reg delete HKLM\system\ControlSet001\Control\CI\Policy /v ManufacturingMode

Ajouter à nouveau WinRE dans votre image capturée

Pour vous assurer que votre image WinRE est capturée pour votre déploiement final, copiez votre image WinRE-optimized.wim exportée vers votre image S Windows 10.

xcopy t:\winre-optimized.wim c:\windows\system32\recovery\winre.wim

Sysprep et arrêt du PC

1. Ouvrez l’invite de commandes.

2. Exécutez sysprep pour réactiver le PC et le préparer pour la capture.

   c:\windows\system32\sysprep\sysprep /generalize /oobe /shutdown
   

capture de l’image

1. Démarrez le PC de référence dans WinPE.

2. Identifiez la lettre de lecteur de la partition Windows dans diskpart :

   diskpart
   list volume
   exit
   

3. Utilisez DISM pour capturer la partition Windows.

   dism.exe /capture-image /ImageFile:"T:\Images\Windows10S.wim" /capturedir:C:\ /Name:"Windows10S"
   

   Où C:\ est la partition Windows.

Pour plus d’informations, consultez Capturer et appliquer des partitions système et de récupération Windows .

Déployer votre image et vérifier les personnalisations et la récupération

Appliquer votre image

1. Démarrez votre PC de référence dans WinPE.

2. Appliquez votre image en mode S (Windows10S.wim) au PC. Cela remplacera toutes les installations Windows existantes.

   T:
   cd Deployment
   T:\Deployment\applyimage.bat T:\images\Windows10S.wim
   

Vérifier les personnalisations

1. Démarrez le PC de référence. C’est la première fois que vous démarrez le PC avec votre nouvelle image Windows.
2. Si vous avez installé d’autres langues, vérifiez que ces langues préinstallées apparaissent et peuvent être sélectionnées par l’utilisateur pendant l’OOBE.
3. Validez les personnalisations du bureau que vous avez effectuées correctement une fois l’OOBE terminé.

Vérifier la récupération

Pour vérifier que la récupération fonctionne comme prévu, effectuez les tâches de validation suivantes :

• Exécutez la récupération d’actualisation et vérifiez que les fichiers utilisateur sont conservés et que les personnalisations de votre bureau d’usine sont restaurées.
• Exécutez la récupération de réinitialisation et vérifiez que les fichiers utilisateur et le profil sont supprimés et que les personnalisations de votre bureau d’usine sont restaurées.
• Validez les scripts d’extensibilité dans le niveau d’application RS3 simulé à l’aide du fichier de stratégie fourni.
• Si vous avez créé un package de récupération avec ScanState, vérifiez que la clé de fabrication a été exclue lors de la capture du package.

Expédier le PC

Maintenant que vous disposez d’une image, vous êtes prêt à créer et à expédier des PC en mode S. Assurez-vous que la clé de Registre de fabrication est supprimée et que le démarrage sécurisé est activé sur les PC livrés.