Preparare l'installazione Zero Touch di Windows 10 con Configuration Manager

Si applica a:

• Windows 10

Questo articolo illustra il processo ZTI (Zero Touch Installation) di Windows 10 distribuzione del sistema operativo usando Microsoft Configuration Manager integrato con Microsoft Deployment Toolkit (MDT).

Prerequisiti

In questo articolo si useranno i componenti di un'infrastruttura di Configuration Manager esistente per preparare Windows 10 OSD. Oltre alla configurazione di base, le seguenti configurazioni devono essere eseguite nell'ambiente di Gestione configurazione:

• Ramo corrente di Gestione configurazione + tutti gli aggiornamenti principali e di sicurezza sono installati.

  Nota

  Le procedure in questa guida usano Configuration Manager versione 1910. Per altre informazioni sulle versioni di Windows 10 supportate da Configuration Manager, vedere Supporto per Windows 10.

• Lo schema Active Directory è stato esteso e il contenitore di Gestione del sistema è stato creato.

• L'individuazione della foresta di Active Directory e l'individuazione del sistema Active Directory sono abilitate.

• Sono stati creati i limiti dell'intervallo IP e un gruppo di limiti per il contenuto e l'assegnazione del sito.

• Il ruolo del punto di Reporting Services è stato aggiunto e configurato.

• È stata creata una struttura di cartelle di file system e una struttura di cartelle console di Gestione configurazione per i pacchetti. Di seguitovengono illustrati i passaggi per verificare o creare la struttura di cartelle.

• Versione di Windows ADKsupportata per la versione di Configuration Manager installata, incluso il componente aggiuntivo Windows PE. USMT deve essere installato come parte dell'installazione di Windows ADK.

• MDT versione 8456

• Vengono installati DaRT 10 (parte di MDOP 2015).

• Lo strumento CMTrace (cmtrace.exe) viene installato nel punto di distribuzione.

  Nota

  CMTrace viene installato automaticamente con il ramo corrente di Configuration Manager in Program Files\Microsoft Configuration Manager\tools\cmtrace.exe.

Ai fini di questa guida, verranno usati tre computer server: DC01, CM01 e HV01.

• DC01 è un controller di dominio e un server DNS per il dominio contoso.com. I servizi DHCP sono anche disponibili e facoltativamente installati in DC01 o in un altro server.
• CM01 è un server membro del dominio e un punto di distribuzione del software Gestione configurazione. In questa guida CM01, è un server del sito primario autonomo.
• HV01 è un computer host Hyper-V usato per creare un'immagine di riferimento di Windows 10. Non è necessario che questo computer sia un membro delominio.

Tutti i server stanno usando Windows Server 2019. Tuttavia, è possibile usare anche una versione precedente supportata di Windows Server.

Tutti i computer server e client a cui si fa riferimento in questa guida si trovano nella stessa subnet. Questa interrelazione non è necessaria, ma i server e i computer client devono essere in grado di connettersi tra loro per condividere file e risolvere tutti i nomi DNS e le informazioni di Active Directory per il dominio contoso.com. La connettività Internet è necessaria anche per scaricare gli aggiornamenti del sistema operativo e delle applicazioni.

Credenziali di dominio

In questa guida vengono usate le credenziali generiche seguenti. È consigliabile sostituire queste credenziali come vengono visualizzate in ogni procedura con le proprie credenziali.

• Nome di dominio Active Directory: contoso.com
• Nome utente amministratore di dominio: administrator
• Password amministratore di dominio: pass@word1

Creare la struttura UO

Nota

Se è già stata creata la struttura dell'unità organizzativa usata nella guida OSD per MDT, la stessa struttura viene usata qui ed è possibile ignorare questa sezione.

In DC01:

per creare la struttura dell'unità organizzativa, è possibile usare la console Utenti e Computer di Active Directory (dsa.msc) oppure usare Windows PowerShell. La procedura seguente usa Windows PowerShell.

Per usare Windows PowerShell, copiare i comandi seguenti in un file di testo e salvarli come C:\Setup\Scripts\ou.ps1. Assicurarsi di visualizzare le estensioni del file e di salvare il file con l'estensione .ps1 .

$oulist = Import-csv -Path c:\oulist.txt
ForEach($entry in $oulist){
    $ouname = $entry.ouname
    $oupath = $entry.oupath
    New-ADOrganizationalUnit -Name $ouname -Path $oupath -WhatIf
    Write-Host -ForegroundColor Green "OU $ouname is created in the location $oupath"
}

Successivamente, copiare l'elenco seguente di nomi e percorsi di unità organizzative in un file di testo e salvarlo come C:\Setup\Scripts\oulist.txt

OUName,OUPath
Contoso,"DC=CONTOSO,DC=COM"
Accounts,"OU=Contoso,DC=CONTOSO,DC=COM"
Computers,"OU=Contoso,DC=CONTOSO,DC=COM"
Groups,"OU=Contoso,DC=CONTOSO,DC=COM"
Admins,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Service Accounts,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Users,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Servers,"OU=Computers,OU=Contoso,DC=CONTOSO,DC=COM"
Workstations,"OU=Computers,OU=Contoso,DC=CONTOSO,DC=COM"
Security Groups,"OU=Groups,OU=Contoso,DC=CONTOSO,DC=COM"

Infine, aprire un prompt di Windows PowerShell con privilegi elevati in DC01 ed eseguire lo script ou.ps1:

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Set-Location C:\Setup\Scripts
.\ou.ps1

Creare gli account del servizio di Gestione configurazione

Viene usato un modello basato su ruoli per configurare le autorizzazioni per gli account di servizio necessari per la distribuzione del sistema operativo in Gestione configurazione. Esegui la procedura seguente per creare gli account di aggiunta a un dominio e accesso alla rete di Gestione configurazione:

In DC01:

1. Nella console Utenti e computer di Active Directory passare a contoso.com>Account del servizioContoso>.

2. Selezionare l'unità organizzativa Account del servizio e creare l'account CM_JD usando le impostazioni seguenti:

   • Nome: CM_JD
   • Nome accesso utente: CM_JD
   • Password: pass@word1
   • Cambiamento obbligatorio password all'accesso successivo: deselezionata
   • L'utente non può modificare la password: selezionata
   • La password non scade mai: selezionata

3. Ripetere il passaggio, ma per l'account CM_NAA.

4. Dopo aver creato gli account, assegna le descrizioni seguenti:

   • CM_JD: Configuration Manager account di dominio di aggiunta
   • CM_NAA: account di accesso alla rete Configuration Manager

Configurare le autorizzazioni di Active Directory

Per consentire all'account di dominio Configuration Manager join (CM_JD) di aggiungere computer al dominio contoso.com, è necessario configurare le autorizzazioni in Active Directory. Questi passaggi presuppongono che l'esempio sia stato scaricato Set-OUPermissions.ps1 script e copiato C:\Setup\Scripts in dc01.

In DC01:

1. Accedi come contoso\administrator e immetti i comandi seguenti in un prompt di Windows PowerShell con privilegi elevati:

   Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
   Set-Location C:\Setup\Scripts
   .\Set-OUPermissions.ps1 -Account CM_JD -TargetOU "OU=Workstations,OU=Computers,OU=Contoso"
   

2. Lo script Set-OUPermissions.ps1 consente alle CM_JD autorizzazioni dell'account utente di gestire gli account computer nell'unità organizzativa Contoso/Computers/Workstations. Ecco un elenco delle autorizzazioni concesse:

   • Ambito: This object and all descendant objects
   • Create Computer objects
   • Delete Computer objects
   • Ambito: Descendant Computer objects
   • Read All Properties
   • Write All Properties
   • Read Permissions
   • Modify Permissions
   • Change Password
   • Reset Password
   • Validated write to DNS host name
   • Validated write to service principal name

Analizzare la struttura della cartella Sources

In CM01:

per supportare i pacchetti creati in questo articolo, è necessario creare la struttura di cartelle seguente nel server del sito primario di Gestione configurazione (CM01):

• D:\Sources
• D:\Sources\OSD
• D:\Sources\OSD\Boot
• D:\Sources\OSD\DriverPackages
• D:\Sources\OSD\DriverSources
• D:\Sources\OSD\MDT
• D:\Sources\OSD\OS
• D:\Sources\OSD\Settings
• D:\Sources\OSD\Branding
• D:\Sources\Software
• D:\Sources\Software\Adobe
• D:\Sources\Software\Microsoft
• D:\Logs

Nota

Nella maggior parte degli ambienti di produzione i pacchetti vengono archiviati in una condivisione DFS (Distributed File System) o in una condivisione server "normale", ma in un ambiente di laboratorio puoi archiviarli in un server di sito.

È possibile eseguire i comandi seguenti da un prompt di Windows PowerShell con privilegi elevati per creare questa struttura di cartelle:

New-Item -ItemType Directory -Path "D:\Sources"
New-Item -ItemType Directory -Path "D:\Sources\OSD"
New-Item -ItemType Directory -Path "D:\Sources\OSD\Boot"
New-Item -ItemType Directory -Path "D:\Sources\OSD\DriverPackages"
New-Item -ItemType Directory -Path "D:\Sources\OSD\DriverSources"
New-Item -ItemType Directory -Path "D:\Sources\OSD\OS"
New-Item -ItemType Directory -Path "D:\Sources\OSD\Settings"
New-Item -ItemType Directory -Path "D:\Sources\OSD\Branding"
New-Item -ItemType Directory -Path "D:\Sources\OSD\MDT"
New-Item -ItemType Directory -Path "D:\Sources\Software"
New-Item -ItemType Directory -Path "D:\Sources\Software\Adobe"
New-Item -ItemType Directory -Path "D:\Sources\Software\Microsoft"
New-SmbShare -Name Sources$ -Path D:\Sources -FullAccess "NT AUTHORITY\INTERACTIVE", "BUILTIN\Administrators"
New-Item -ItemType Directory -Path "D:\Logs"
New-SmbShare -Name Logs$ -Path D:\Logs -ChangeAccess EVERYONE

Integrare Configuration Manager con MDT

Per estendere la console di Gestione configurazione con le procedure guidate e i modelli MDT, installa MDT con le impostazioni predefinite ed esegui l'app desktop Configura integrazione ConfigManager. In questi passaggi si presuppone che sia già stato scaricato MDT e installato con le impostazioni predefinite.

In CM01:

1. accedi come contoso\amministratore.

2. Verifica che la console di Gestione configurazione sia chiusa prima di continuare.

3. Selezionare Start, digitare Configure ConfigManager Integration (Configura integrazione ConfigManager) ed eseguire l'applicazione con le impostazioni seguenti:

   • Nome server sito: CM01.contoso.com
   • Codice sito: PS1

Integrazione di MDT con Gestione configurazione.

Configurare le impostazioni client

La maggior parte delle organizzazioni vuole visualizzare il proprio nome durante la distribuzione. In questa sezione viene illustrato come configurare le impostazioni predefinite del client Gestione configurazione con il nome organizzazione Contoso.

In CM01:

1. Aprire la console Configuration Manager, selezionare l'area di lavoro Amministrazione e quindi selezionare Impostazioni client.

2. Nel riquadro destro, fai clic con il pulsante destro del mouse su Impostazioni client predefinite e quindi scegliere Proprietà.

3. Nel nodo Agente computer immettere in Contoso nella casella di testo Nome organizzazione visualizzata in Software Center e selezionare OK.

Configura il nome dell'organizzazione nelle impostazioni client.

Il nome dell'organizzazione Contoso visualizzato durante la distribuzione.

Configurare l'account Accesso alla rete

Gestione configurazione usa l'account Accesso alla rete durante il processo di distribuzione di Windows 10 per accedere al contenuto dei punti di distribuzione. In questa sezione viene illustrato come configurare l'account Accesso alla rete.

In CM01:

1. Usando la console di Configuration Manager, nell'area di lavoro Amministrazione espandere Configurazione sito e selezionare Siti.

2. Fai clic con il pulsante destro del mouse su PS1 - Sito primario 1, scegli Configura componenti sito, quindi seleziona Distribuzione software.

3. Nella scheda Account di accesso alla rete selezionare Specificare l'account che accede ai percorsi di rete e aggiungere l'account CONTOSO\CM_NAA come account di accesso alla rete (password: pass@word1). Usare la nuova opzione Verifica per verificare che l'account possa connettersi alla \\DC01\sysvol condivisione di rete.

Verifica la connessione per l'account Accesso alla rete.

Abilitare PXE nel punto di distribuzione CM01

Configuration Manager offre molte opzioni per avviare una distribuzione, ma l'avvio tramite PXE è sicuramente il più flessibile in un ambiente di grandi dimensioni. In questa sezione viene illustrato come abilitare PXE nel punto di distribuzione CM01.

In CM01:

1. Nell'area di lavoro Amministrazione della console di Configuration Manager selezionare Punti di distribuzione.

2. Fare clic con il pulsante destro del mouse sul punto di distribuzione \\CM01.CONTOSO.COM e scegliere Proprietà.

3. Nella scheda PXE, usa le impostazioni seguenti:

   • Abilitare supporto PXE per i client
   • Consentire a questo punto di distribuzione di rispondere alle richieste PXE in ingresso
   • Abilitare il computer sconosciuto
   • Richiedere password quando i computer utilizzano PXE
   • Password e Conferma password: pass@word1

   

   Configura il punto di distribuzione CM01 per PXE.

   Nota

   Se si seleziona Abilita un risponditore PXE senza servizio di distribuzione Windows, WdS non verrà installato o se è già installato verrà sospeso e verrà usato il servizio Risponditore PXE (SccmPxe) ConfigMgr anziché Servizi di distribuzione Windows. Il risponditore PXE di ConfigMgr non supporta il multicast. Per altre informazioni, consulta Installare e configurare punti di distribuzione.

4. Usando lo strumento CMTrace, esaminare il C:\Program Files\Microsoft Configuration Manager\Logs\distmgr.log file. Cercare le righe ConfigurePXE e CcmInstallPXE .

   

   Visualizza distmgr.log una configurazione corretta di PXE nel punto di distribuzione.

5. Verificare di avere sette file in ognuna delle cartelle D:\RemoteInstall\SMSBoot\x86 e D:\RemoteInstall\SMSBoot\x64.

   

   Contenuto della cartella D:\RemoteInstall\SMSBoot\x64 dopo l'abilitazione di PXE.

   Nota

   Questi file vengono usati da WdS. Non vengono usati dal risponditore PXE di ConfigMgr. Questo articolo non usa il risponditore PXE di ConfigMgr.

Vedere quindi Creare un'immagine di avvio di Windows PE personalizzata con Gestione configurazione.

Componenti della distribuzione del sistema operativo di Gestione configurazione

La distribuzione del sistema operativo con Configuration Manager fa parte della normale infrastruttura di distribuzione software, ma sono presenti più componenti. Ad esempio, la distribuzione del sistema operativo in Configuration Manager può usare il ruolo Punto di migrazione stato che non viene usato dalla distribuzione di applicazioni standard in Configuration Manager. Questa sezione descrive i componenti di Configuration Manager coinvolti nella distribuzione di un sistema operativo, quale Windows 10.

• Punto di migrazione stato (SMP). Il punto di migrazione stato viene usato per archiviare i dati della migrazione stato utente negli scenari di sostituzione computer.

• Punto di distribuzione (DP). Il punto di distribuzione viene usato per archiviare tutti i pacchetti in Configuration Manager, inclusi i pacchetti relativi alla distribuzione del sistema operativo.

• Punto di aggiornamento software (SUP). Il punto di aggiornamento software in genere viene usato per distribuire gli aggiornamenti ai computer esistenti, ma può essere usato anche per aggiornare un sistema operativo nell'ambito del processo di distribuzione. Puoi anche usare l'installazione offline per aggiornare l'immagine direttamente nel server di Configuration Manager.

• Punto di Reporting Services. Il punto di Reporting Services può essere usato per monitorare il processo di distribuzione del sistema operativo.

• Immagini di avvio. Le immagini di avvio sono le immagini Ambiente preinstallazione di Windows (Windows PE) usate da Configuration Manager per avviare la distribuzione.

• Immagini del sistema operativo. Il pacchetto di immagini del sistema operativo contiene solo un file, l'immagine WIM personalizzata. Questa immagine è in genere l'immagine della distribuzione di produzione.

• Programmi di installazione del sistema operativo. I programmi di installazione del sistema operativo erano originariamente aggiunti per creare le immagini di riferimento usando Configuration Manager. Ti consigliamo invece di usare MDT Lite Touch per creare le tue immagini di riferimento. Per altre informazioni su come creare un'immagine di riferimento, vedi Creare un'immagine di riferimento Windows 10.

• Driver. Come MDT Lite Touch, Configuration Manager fornisce un repository (catalogo) dei driver dei dispositivi gestiti.

• Sequenze di attività. Le sequenze di attività in Configuration Manager sono molto simili alle sequenze di MDT Lite Touch e vengono usate per lo stesso scopo. In Configuration Manager, tuttavia, la sequenza di attività viene inviata ai client sotto forma di criterio tramite il Punto di gestione (MP). MDT fornisce altri modelli di sequenza di attività a Configuration Manager.

  Nota

  Windows Assessment and Deployment Kit (ADK) per Windows 10 è necessario anche per supportare la gestione e la distribuzione di Windows 10.

Perché integrare MDT con Gestione configurazione

Come accennato in precedenza, MDT aggiunge molti miglioramenti a Configuration Manager. Anche se questi miglioramenti sono chiamati Zero Touch, questo nome non riflette la modalità con cui viene eseguita la distribuzione. Le sezioni seguenti forniscono alcuni esempi dei 280 miglioramenti che MDT aggiunge a Configuration Manager.

Nota

L'installazione di MDT richiede quanto segue:

• Windows ADK per Windows 10 (installato nella procedura precedente)
• Windows PowerShell (versione 5.1 è consigliato; digita $host per eseguire il controllo)
• Microsoft .NET Framework

MDT abilita la distribuzione dinamica

Quando MDT è integrato con Configuration Manager, la sequenza di attività elabora più istruzioni dalle regole MDT. Nel formato più semplice, queste impostazioni vengono archiviate in un file di testo, il CustomSettings.ini file, ma è possibile archiviare le impostazioni nei database di Microsoft SQL Server oppure fare in modo che Microsoft Visual Basic Scripting Edition (VBScripts) o i servizi Web forniscano le impostazioni usate.

La sequenza di attività usa le istruzioni che ti consentono di ridurre il numero di sequenze di attività in Configuration Manager, anziché archiviare le impostazioni al di fuori della sequenza di attività. Ecco alcuni esempi:

• Le impostazioni seguenti indicano alla sequenza di attività di installare il pacchetto HP Hotkeys, ma solo se l'hardware è un HP EliteBook 8570w. Non è necessario aggiungere il pacchetto alla sequenza di attività.

  [Settings] 
  Priority=Model
  [HP EliteBook 8570w] 
  Packages001=PS100010:Install HP Hotkeys
  

• Le impostazioni seguenti indicano alla sequenza di attività di posizionare i laptop e i desktop in unità organizzative diverse durante la distribuzione, di assegnare nomi di computer diversi e infine di installare il client Cisco VPN, ma solo se il computer è un laptop.

  [Settings]
  Priority= ByLaptopType, ByDesktopType
  [ByLaptopType]
  Subsection=Laptop-%IsLaptop%
  [ByDesktopType]
  Subsection=Desktop-%IsDesktop%
  [Laptop-True]
  Packages001=PS100012:Install Cisco VPN Client
  OSDComputerName=LT-%SerialNumber%
  MachineObjectOU=ou=laptops,ou=Contoso,dc=contoso,dc=com
  [Desktop-True]
  OSDComputerName=DT-%SerialNumber%
  MachineObjectOU=ou=desktops,ou=Contoso,dc=contoso,dc=com
  

L'azione Gather nella sequenza di attività legge le regole.

MDT aggiunge un ambiente di simulazione della distribuzione del sistema operativo

Quando si esegue il testing di una distribuzione, è importante verificare rapidamente tutte le modifiche apportate alla distribuzione senza dover eseguire una distribuzione completa. Le regole MDT possono essere verificate molto rapidamente, risparmiando una quantità notevole di tempo di testing in un progetto di distribuzione. Per altre informazioni, vedi Configurare le impostazioni di MDT.

La cartella che contiene le regole, alcuni script di MDT e uno script personalizzato (Gather.ps1).

MDT aggiunge il monitoraggio in tempo reale

Con l'integrazione di MDT puoi seguire le distribuzioni in tempo reale e, se hai accesso a Microsoft Diagnostics and Recovery Toolkit (DaRT), puoi anche tornare all'Ambiente preinstallazione di Windows (Windows PE) durante la distribuzione. I dati del monitoraggio in tempo reale possono essere visualizzati all'interno di MDT Deployment Workbench tramite un browser Web, Windows PowerShell, Visualizzatore eventi o Microsoft Excel 2013. In realtà, ogni script o app in grado di leggere un feed Open Data (OData) può leggere l'informazione.

Visualizza i dati del monitoraggio in tempo reale con PowerShell.

MDT aggiunge una distribuzione guidata facoltativa

Per alcuni scenari di distribuzione, potrebbe essere necessario richiedere all'utente delle informazioni durante la distribuzione, come ad esempio il nome del computer, l'unità organizzativa corretta per il computer o quali applicazioni installare con la sequenza di attività. Con l'integrazione di MDT puoi abilitare la procedura guidata UDI (User-Driven Installation) per raccogliere le informazioni necessarie e personalizzare la procedura guidata usando UDI Wizard Designer.

La procedura guidata UDI facoltativa si apre in UDI Wizard Designer.

MDT Zero Touch estende Configuration Manager con molti componenti utili di distribuzione del sistema operativo. MDT fornisce soluzioni consolidate e supportate e riduce la complessità della distribuzione di Configuration Manager.

Perché usare MDT Lite Touch per creare le immagini di riferimento

È possibile creare immagini di riferimento per Configuration Manager in Configuration Manager, ma in generale è consigliabile crearle in MDT Lite Touch per i motivi seguenti:

• È possibile usare la stessa immagine per ogni tipo di distribuzione del sistema operativo: VDI (Virtual Desktop Infrastructure) Microsoft, Microsoft System Center Virtual Machine Manager (VMM), MDT, Gestione configurazione, Servizi di distribuzione Windows e altro ancora.

• Configuration Manager esegue la distribuzione nel contesto LocalSystem, il che significa che non puoi configurare l'account Administrator con tutte le impostazioni che vorresti includere nell'immagine. MDT viene eseguito nel contesto dell'amministratore locale, pertanto puoi configurare l'aspetto della configurazione e usare la funzionalità CopyProfile per copiare le modifiche nell'utente predefinito durante la distribuzione.

• La sequenza di attività Configuration Manager elimina l'interazione dell'interfaccia utente.

• MDT Lite Touch supporta l'azione Suspend che consente di eseguire il riavvio. Questa azione è utile quando devi eseguire un'installazione manuale o verificare l'immagine di riferimento prima dell'acquisizione automatica.

• MDT Lite Touch non richiede alcuna infrastruttura ed è semplice da delegare.

Articoli correlati

Creare un'immagine di avvio Windows PE personalizzata con Gestione configurazione
Aggiungere un'immagine del sistema operativo Windows 10 con Configuration Manager
Creare un'applicazione da distribuire con Windows 10 usando Configuration Manager
Aggiungere driver a una distribuzione Windows 10 con Windows PE usando Configuration Manager
Creare una sequenza di attività con Configuration Manager e MDT
Distribuire Windows 10 usando PXE e Configuration Manager
Aggiornare un client Windows 7 SP1 con Windows 10 usando Configuration Manager
Sostituire un client Windows 7 SP1 con Windows 10 usando Configuration Manager