Подготовка к полностью автоматической установке Windows 10 с помощью Configuration Manager

Применимо к:

  • Windows 10

В этой статье описывается процесс нулевой сенсорной установки (ZTI) для развертывания ос Windows 10 с помощью Майкрософт Configuration Manager, интегрированных с Майкрософт Deployment Toolkit (MDT).

Предварительные условия

В этой статье используются компоненты существующей инфраструктуры Configuration Manager для подготовки к развертыванию ОС Windows 10. В дополнение к базовой конфигурации необходимо выполнить следующие настройки в среде Configuration Manager.

  • Configuration Manager Current Branch + установка всех обновлений для системы безопасности и критически важных обновлений.

    Примечание.

    В процедурах, описанных в этом руководстве, используется Configuration Manager версии 1910. Дополнительные сведения о версиях Windows 10, поддерживаемых Configuration Manager, см. в разделе Поддержка Windows 10.

  • Схема Active Directory расширена, и создан контейнер System Management.

  • Включены обнаружение в лесах Active Directory и обнаружение систем Active Directory.

  • Созданы границы диапазона IP-адресов и группа границ для содержимого и назначения сайта.

  • Добавлена и настроена роль точки служб отчетов Configuration Manager.

  • Создана структура папок файловой системы и структура папок консоли Configuration Manager для пакетов. Ниже приведены действия по проверке или созданию этой структуры папок.

  • Версия Windows ADK, поддерживаемая для установленной версии Configuration Manager, включая надстройку Windows PE. USMT следует установить как часть установки Windows ADK.

  • MDT версии 8456

  • Установлены DaRT 10 (часть MDOP 2015).

  • Установлено средство CMTrace (cmtrace.exe) в точке распространения.

    Примечание.

    CMTrace устанавливается автоматически с текущей ветвью Configuration Manager по адресу Program Files\Microsoft Configuration Manager\tools\cmtrace.exe.

В этом руководстве мы будем использовать три серверных компьютера: DC01, CM01 и HV01.

  • DC01 — это контроллер домена и DNS-сервер для домена contoso.com. Службы DHCP также доступны и при желании устанавливаются на DC01 или другом сервере.
  • CM01 — это рядовой сервер домена и точка распространения программного обеспечения Configuration Manager. В этом руководстве CM01 — это автономный первичный сервер сайта.
  • HV01 — это хост-компьютер Hyper-V, используемый для создания эталонного образа Windows 10. Этот компьютер не должен быть рядовым компьютером домена.

Все серверы работают под управлением Windows Server 2019. Однако вы также можете использовать более раннюю поддерживаемую версию Windows Server.

Все серверные и клиентские компьютеры, указанные в этом руководстве, находятся в одной подсети. Эта взаимосвязь не является обязательной, но все серверные и клиентские компьютеры должны иметь возможность подключения друг к другу для обмена файлами и разрешения всех DNS-имен и сведений Active Directory для домена contoso.com. Также требуется подключение к Интернету для скачивания обновлений ОС и приложений.

Учетные данные домена

В этом руководстве используются следующие универсальные учетные данные. Вам следует заменять эти учетные данные на собственные при их появлении в каждой процедуре.

  • Доменное имя Active Directory: contoso.com
  • Имя пользователя администратора домена: administrator
  • Пароль администратора домена: pass@word1

Создание структуры подразделений

Примечание.

Если вы уже создали структуру подразделений, которая использовалась в руководстве OSD для MDT, этот раздел можно пропустить, так как здесь используется та же структура.

На DC01:

Для создания структуры подразделений можно использовать консоль "Пользователи и компьютеры Active Directory" (dsa.msc) или Windows PowerShell. В процедуре ниже используется Windows PowerShell.

Чтобы использовать Windows PowerShell, скопируйте следующие команды в текстовый файл и сохраните его как C:\Setup\Scripts\ou.ps1. Убедитесь, что вы просматриваете расширения файлов и сохраняете файл с расширением .ps1 .

$oulist = Import-csv -Path c:\oulist.txt
ForEach($entry in $oulist){
    $ouname = $entry.ouname
    $oupath = $entry.oupath
    New-ADOrganizationalUnit -Name $ouname -Path $oupath -WhatIf
    Write-Host -ForegroundColor Green "OU $ouname is created in the location $oupath"
}

Затем скопируйте следующий список имен и путей подразделений в текстовый файл и сохраните его как C:\Setup\Scripts\oulist.txt

OUName,OUPath
Contoso,"DC=CONTOSO,DC=COM"
Accounts,"OU=Contoso,DC=CONTOSO,DC=COM"
Computers,"OU=Contoso,DC=CONTOSO,DC=COM"
Groups,"OU=Contoso,DC=CONTOSO,DC=COM"
Admins,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Service Accounts,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Users,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Servers,"OU=Computers,OU=Contoso,DC=CONTOSO,DC=COM"
Workstations,"OU=Computers,OU=Contoso,DC=CONTOSO,DC=COM"
Security Groups,"OU=Groups,OU=Contoso,DC=CONTOSO,DC=COM"

Наконец, откройте командную строку Windows PowerShell с повышенными правами на DC01 и запустите сценарий ou.ps1:

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Set-Location C:\Setup\Scripts
.\ou.ps1

Создание учетных записей служб Configuration Manager

Модель на основе ролей используется для настройки разрешений для учетных записей служб, необходимых для развертывания операционной системы в Configuration Manager. Выполните следующие действия, чтобы создать учетные записи для присоединения к домену и доступа к сети Configuration Manager.

На DC01:

  1. В консоли Пользователи и компьютеры Active Directory перейдите к contoso.com>Учетные записи службыContoso>.

  2. Выберите подразделение Учетные записи служб и создайте учетную запись CM_JD с помощью следующих параметров:

    • Имя: CM_JD
    • Имя входа пользователя: CM_JD
    • Пароль: pass@word1
    • Требовать смены пароля при следующем входе в систему: снять флажок
    • Пользователь не может изменить пароль: установлено
    • Срок действия пароля не истекает: установлено
  3. Повторите шаг, но для учетной записи CM_NAA.

  4. Создав учетные записи, добавьте следующие описания:

    • CM_JD: учетная запись Configuration Manager присоединения к домену
    • CM_NAA: учетная запись доступа к сети Configuration Manager

Настройка разрешений Active Directory

Чтобы учетная запись домена Configuration Manager присоединения (CM_JD) присоединяла компьютеры к домену contoso.com, необходимо настроить разрешения в Active Directory. Предполагается, что вы загрузили пример скриптаSet-OUPermissions.ps1 и скопировали его в C:\Setup\Scripts dc01.

На DC01:

  1. Войдите в систему как contoso\administrator и введите в командной строке Windows PowerShell с повышенными привилегиями следующие команды:

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
    Set-Location C:\Setup\Scripts
    .\Set-OUPermissions.ps1 -Account CM_JD -TargetOU "OU=Workstations,OU=Computers,OU=Contoso"
    
  2. Сценарий Set-OUPermissions.ps1 позволяет CM_JD разрешения учетной записи пользователя для управления учетными записями компьютеров в подразделении Contoso / Computers / Workstations. Ниже приведен список предоставляемых разрешений:

    • Область: этот объект и все дочерние объекты
    • Создание объектов-компьютеров
    • Удаление объектов-компьютеров
    • Область: Дочерние объекты-компьютеры
    • Чтение всех свойств
    • Запись всех свойств
    • Чтение разрешений
    • Изменение разрешений
    • Смена пароля
    • Сброс пароля
    • Удостоверенная запись на узел с DNS-именем
    • Удостоверенная запись на узел с именем участника службы

Анализ структуры папок источников

На CM01:

Для поддержки пакетов, созданных в этой статье, нужно создать следующую структуру папок на первичном сервере сайта Configuration Manager (CM01):

  • D:\Sources
  • D:\Sources\OSD
  • D:\Sources\OSD\Boot
  • D:\Sources\OSD\DriverPackages
  • D:\Sources\OSD\DriverSources
  • D:\Sources\OSD\MDT
  • D:\Sources\OSD\OS
  • D:\Sources\OSD\Settings
  • D:\Sources\OSD\Branding
  • D:\Sources\Software
  • D:\Sources\Software\Adobe
  • D:\Sources\Software\Майкрософт
  • D:\Logs

Примечание.

В большинстве производственных сред пакеты хранятся на общем ресурсе распределенной файловой системы (DFS) или на "обычном" общем ресурсе сервера, но в лабораторной среде их можно хранить на сервере сайта.

Вы можете выполнить следующие команды из командной строки Windows PowerShell с повышенными правами, чтобы создать эту структуру папок.

New-Item -ItemType Directory -Path "D:\Sources"
New-Item -ItemType Directory -Path "D:\Sources\OSD"
New-Item -ItemType Directory -Path "D:\Sources\OSD\Boot"
New-Item -ItemType Directory -Path "D:\Sources\OSD\DriverPackages"
New-Item -ItemType Directory -Path "D:\Sources\OSD\DriverSources"
New-Item -ItemType Directory -Path "D:\Sources\OSD\OS"
New-Item -ItemType Directory -Path "D:\Sources\OSD\Settings"
New-Item -ItemType Directory -Path "D:\Sources\OSD\Branding"
New-Item -ItemType Directory -Path "D:\Sources\OSD\MDT"
New-Item -ItemType Directory -Path "D:\Sources\Software"
New-Item -ItemType Directory -Path "D:\Sources\Software\Adobe"
New-Item -ItemType Directory -Path "D:\Sources\Software\Microsoft"
New-SmbShare -Name Sources$ -Path D:\Sources -FullAccess "NT AUTHORITY\INTERACTIVE", "BUILTIN\Administrators"
New-Item -ItemType Directory -Path "D:\Logs"
New-SmbShare -Name Logs$ -Path D:\Logs -ChangeAccess EVERYONE

Интеграция Configuration Manager с MDT

Чтобы расширить консоль Configuration Manager с помощью мастеров и шаблонов MDT, установите MDT с настройками по умолчанию и запустите классическое приложение Настройка интеграции ConfigManager. На этих этапах предполагается, что вы уже скачали MDT и установили его с параметрами по умолчанию.

На CM01:

  1. Войдите как contoso\administrator.

  2. Перед продолжением закройте консоль Configuration Manager.

  3. Выберите Пуск, введите Настроить интеграцию ConfigManager и запустите приложение со следующими параметрами:

    • Имя сервера сайта: CM01.contoso.com
    • Код сайта: PS1

рис. 8.

Интеграция MDT с Configuration Manager.

Настройка параметров клиента

Большинство организаций хотят, чтобы во время развертывания отображалось их название. В этом разделе вы настроите параметры клиента Configuration Manager по умолчанию с названием организации Contoso.

На CM01:

  1. Откройте консоль Configuration Manager, выберите рабочую область Администрирование, а затем — Параметры клиента.

  2. На правой панели щелкните правой кнопкой мыши Стандартные параметры клиента и выберите Свойства.

  3. В узле Агент компьютера в текстовом поле Название организации, отображаемое в Центре программного обеспечения , введите в поле Contoso и нажмите кнопку ОК.

рис. 9.

Настройка названия организации в параметрах клиента.

рис. 10.

Название организации Contoso, отображаемое во время развертывания.

Настройка учетной записи доступа к сети

Configuration Manager использует учетную запись доступа к сети в процессе развертывания Windows 10 для доступа к содержимому в точках распространения. В этом разделе вы настроите учетную запись доступа к сети.

На CM01:

  1. С помощью консоли Configuration Manager в рабочей области Администрирование разверните узел Конфигурация сайта и выберите Сайты.

  2. Щелкните правой кнопкой мыши PS1 — первичный сайт 1, наведите курсор на пункт Настройка компонентов сайта и выберите Распространение программного обеспечения.

  3. На вкладке Учетная запись доступа к сети выберите Указать учетную запись, которая обращается к сетевым расположениям , и добавьте учетную запись CONTOSO\CM_NAA в качестве учетной записи доступа к сети (пароль : pass@word1). Используйте новый параметр Проверить , чтобы убедиться, что учетная запись может подключиться к сетевой папке \\DC01\sysvol .

рис. 11.

Проверка подключения учетной записи доступа к сети.

Включение PXE на точке распространения CM01

Configuration Manager предоставляет множество вариантов запуска развертывания, но запуск через PXE, несомненно, наиболее удобен в крупномасштабной среде. В этом разделе вы включите PXE в точке распространения CM01.

На CM01:

  1. В консоли Configuration Manager в рабочей области Администрирование выберите Точки распространения.

  2. Щелкните правой кнопкой мыши \\CM01.CONTOSO.COM точку распространения и выберите Свойства.

  3. На вкладке PXE используйте следующие параметры.

    • Включить поддержку PXE для клиентов
    • Разрешить этой точке распространения отвечать на входящие PXE-запросы
    • Включить неизвестный компьютер
    • Требовать пароль при использовании компьютерами протокола PXE
    • Пароль и подтверждение пароля: pass@word1

    рис. 12.

    Настройка точки распространения CM01 для PXE.

    Примечание.

    Если выбрать Включить ответчик PXE без службы развертывания Windows, то WDS не будет установлен или если он уже установлен, он будет приостановлен, а вместо WDS будет использоваться служба ответчика PXE ConfigurationMgr (SccmPxe). Ответчик PXE ConfigMgr не поддерживает многоадресную рассылку. Дополнительные сведения см. в статье Установка и настройка точек распространения.

  4. С помощью средства CMTrace просмотрите C:\Program Files\Microsoft Configuration Manager\Logs\distmgr.log файл. Найдите строки ConfigurePXE и CcmInstallPXE .

    рис. 13.

    Отображает distmgr.log успешную конфигурацию PXE в точке распространения.

  5. Убедитесь, что в каждой из папок D:\RemoteInstall\SMSBoot\x86 есть семь файлов и D:\RemoteInstall\SMSBoot\x64.

    рис. 14.

    Содержимое папки D:\RemoteInstall\SMSBoot\x64 после включения PXE.

    Примечание.

    Эти файлы используются службой WDS. Они не используются отвечающим устройством PXE ConfigMgr. В этой статье не используется отвечающее устройство PXE ConfigMgr.

Далее см. статью Создание настраиваемого образа загрузки Windows PE с помощью Configuration Manager.

Компоненты развертывания операционной системы с помощью Configuration Manager

Развертывание операционной системы с помощью Configuration Manager является частью обычной инфраструктуры распространения программного обеспечения. Однако имеются и другие компоненты. Например, в ходе развертывания операционной системы в Configuration Manager может использоваться роль точки миграции состояния, которая не используется при обычном развертывании приложения в Configuration Manager. В этом разделе описаны компоненты Configuration Manager, связанные с развертыванием операционной системы, например Windows 10.

  • Точка миграции состояния (SMP). Точка миграции состояния используется для сохранения данных миграции состояния пользователя в ходе сценариев замены компьютера.

  • Точка распространения (DP). Точка распространения используется для хранения всех пакетов в Configuration Manager, включая пакеты, связанные с развертыванием операционной системы.

  • Точка обновления программного обеспечения (SUP). Точку обновления программного обеспечения, которая обычно используется для развертывания обновлений на существующие компьютеры, также можно использовать для обновления операционной системы в рамках процесса развертывания. Также можно использовать автономное обслуживание для обновления образа непосредственно на сервере Configuration Manager.

  • Точка служб отчетов. Точку служб отчетов можно использовать для мониторинга процесса развертывания операционной системы.

  • Образы загрузки. Образы загрузки представляют собой образы среды предустановки Windows (Windows PE), которые Configuration Manager применяет для запуска развертывания.

  • Образы операционной системы. Пакет образа операционной системы содержит только один файл — пользовательский образ (.wim). Обычно это образ рабочего развертывания.

  • Установщики операционной системы. Установщики операционной системы были первоначально добавлены для создания эталонных образов с помощью Configuration Manager. Вместо этого рекомендуется использовать средство Lite Touch из MDT для создания своих эталонных образов. Дополнительные сведения о способе создания эталонного образа см. в разделе Создание эталонного образа Windows 10.

  • Драйверы. Как и средство Lite Touch из MDT, Configuration Manager также предоставляет репозиторий (каталог) управляемых драйверов устройств.

  • Последовательности задач. Последовательности задач в Configuration Manager очень похожи по своему дизайну на последовательности в MDT Lite Touch и используются для аналогичной цели. Однако в Configuration Manager последовательность задач поставляется клиентам в качестве политики через точку управления (MP). MDT предоставляет дополнительные шаблоны последовательности задач для Configuration Manager.

    Примечание.

    Для поддержки управления и развертывания Windows 10 также требуется комплект средств для развертывания и оценки Windows (ADK) для Windows 10.

Преимущества интеграции MDT с Configuration Manager

Как указано выше, MDT вносит множество улучшений в Configuration Manager. Хотя эти улучшения называются Zero Touch, это название не отражает способ выполнения развертывания. В следующих разделах представлено несколько примеров 280 улучшений, которые MDT вносит в Configuration Manager.

Примечание.

Для установки MDT требуется следующее.

  • Windows ADK для Windows 10 (установлен в предыдущей процедуре)
  • Windows PowerShell (рекомендуется версия 5.1; введите $host для проверки)
  • Microsoft .NET Framework

MDT обеспечивает динамическое развертывание.

При интеграции MDT с Configuration Manager последовательность задач обрабатывает дополнительные инструкции из правил MDT. В самой простой форме эти параметры хранятся в текстовом файле, файле, CustomSettings.ini но вы можете хранить параметры в Майкрософт SQL Server базах данных, либо Майкрософт Visual Basic Scripting Edition (VBScripts) или веб-службы предоставляют используемые параметры.

Последовательность задач использует инструкции, которые позволяют уменьшить число последовательностей задач в Configuration Manager и вместо этого сохранить параметры вне последовательности задач. Вот несколько примеров.

  • Следующие параметры предписывают последовательности задач установить пакет сочетаний клавиш HP, но только для оборудования HP EliteBook 8570w. Вам не нужно добавлять пакет в последовательность задач.

    [Settings] 
    Priority=Model
    [HP EliteBook 8570w] 
    Packages001=PS100010:Install HP Hotkeys
    
  • Следующие параметры указывают последовательности задач поместить ноутбуки и настольные компьютеры в различные подразделения во время развертывания, назначить разные имена компьютеров и, наконец, установить клиент VPN Cisco, но только для ноутбуков.

    [Settings]
    Priority= ByLaptopType, ByDesktopType
    [ByLaptopType]
    Subsection=Laptop-%IsLaptop%
    [ByDesktopType]
    Subsection=Desktop-%IsDesktop%
    [Laptop-True]
    Packages001=PS100012:Install Cisco VPN Client
    OSDComputerName=LT-%SerialNumber%
    MachineObjectOU=ou=laptops,ou=Contoso,dc=contoso,dc=com
    [Desktop-True]
    OSDComputerName=DT-%SerialNumber%
    MachineObjectOU=ou=desktops,ou=Contoso,dc=contoso,dc=com
    

рис. 2.

Действие "Собрать" в последовательности задач считывает правила.

MDT добавляет среду симуляции развертывания операционной системы

При проверке развертывания важно иметь возможность быстро протестировать изменения, внесенные в развертывание, без необходимости тестировать все развертывание целиком. Правила MDT можно проверить быстро, существенно сократив время тестирования в проекте развертывания. Дополнительные сведения см. в разделе Настройка параметров MDT.

рис. 3.

Папка, которая содержит правила, несколько сценариев из MDT и пользовательский сценарий (Gather.ps1).

MDT добавляет мониторинг в реальном времени

Благодаря интеграции с MDT вы можете отслеживать свои развертывания в реальном времени, а если у вас есть доступ к Microsoft Diagnostics and Recovery Toolkit (DaRT), вы даже можете удаленно войти в среду предустановки Windows (Windows PE) во время развертывания. Данные мониторинга в реальном времени можно просматривать в MDT Deployment Workbench, веб-браузере, Windows PowerShell, средстве просмотра событий или Microsoft Excel 2013. Фактически, информацию может считать любой сценарий или приложение, способное считывать поток открытых данных (OData).

рис. 4.

Просмотр данных мониторинга в режиме реального времени с помощью PowerShell.

MDT добавляет необязательный мастер развертывания

Для некоторых сценариев развертывания можно предложить пользователю информацию во время развертывания, например имя компьютера, правильное подразделение (OU) для компьютера или то, какие приложения должны быть установлены последовательностью задач. Благодаря интеграции MDT можно включить управляемый пользователем мастер установки (UDI), чтобы собирать необходимую информацию и настраивать мастер с помощью конструктора мастера UDI.

рис. 5.

Необязательный мастер UDI открывается в конструкторе мастера UDI.

MDT Zero Touch просто расширяет Configuration Manager множеством полезных встроенных компонентов развертывания операционной системы. Обеспечивая надежные поддерживаемые решения, MDT значительно снижает сложность развертывания в Configuration Manager.

Преимущества использования MDT Lite Touch для создания эталонных образов

Вы можете создавать эталонные образы для Configuration Manager в Configuration Manager, но в целом рекомендуется создавать их в MDT Lite Touch по следующим причинам:

  • Вы можете использовать один и тот же образ для разных типов развертывания операционной системы — с помощью инфраструктуры виртуальных рабочих столов Майкрософт (VDI), Microsoft System Center Virtual Machine Manager (SCVMM), MDT, Configuration Manager, служб развертывания Windows (WDS) и других.

  • Configuration Manager выполняет развертывание в контексте LocalSystem. Это означает, что учетную запись администратора нельзя настроить со всеми настройками, которые вы хотите включить в образ. MDT работает в контексте локального администратора, а значит, можно настроить внешний вид и функции конфигурации, а затем использовать функцию CopyProfile, чтобы скопировать эти изменения для пользователя по умолчанию во время развертывания.

  • Последовательность задач Configuration Manager подавляет взаимодействие с пользовательским интерфейсом.

  • MDT Lite Touch поддерживает действие приостановки, предусмотренное для перезагрузки, что целесообразно при необходимости выполнения ручной установки или проверки эталонного образа до его автоматической фиксации.

  • MDT Lite Touch не требует никакой инфраструктуры и просто делегируется.

Создание настраиваемого образа загрузки Windows PE с помощью Configuration Manager
Добавление образа операционной системы Windows 10 с помощью Configuration Manager
Создание приложения для развертывания с Windows 10 при помощи Configuration Manager
Добавление драйверов к развертыванию Windows 10 с Windows PE при помощи Configuration Manager
Создание последовательности задач с помощью Configuration Manager и MDT
Развертывание Windows 10 с помощью PXE и Configuration Manager
Восстановление клиента Windows 7 SP1 с развертыванием Windows 10 при помощи Configuration Manager
Замена клиента Windows 7 SP1 на Windows 10 при помощи Configuration Manager