Windows To Go 部署注意事项
一开始,Windows To Go 专用于尽量减少使用笔记本电脑和使用从 USB 驱动器启动的 Windows To Go 的用户体验差异。考虑到 Windows To Go 专门用作企业解决方案,企业已准备就绪的部署工作流还有其他考虑事项。此外,还将重点放在了尽量减少 Windows To Go 工作区和笔记本电脑之间的部署差异。
注意
Windows To Go 不支持操作系统升级。Windows To Go 专门用作集中管理功能。计划从某个操作系统版本转换到更高版本的 IT 部门将需要将重新构建其现有 Windows To Go 驱动器映像这一操作合并在其升级部署过程中。
以下部分将讨论启动体验、部署方法和可用于 Windows To Go 的工具。
初始启动体验
映像部署和驱动器预配注意事项
应用程序安装和域加入
使用组策略管理 Windows To Go
支持从 USB 启动
更新固件
配置 Windows To Go 启动选项
更改固件设置
初始启动体验
下图演示可用于向用户提供 Windows To Go 驱动器的两种不同方法。体验因用户最初是否从本地启动设备而异:
.gif "从本地执行初始启动")
当在工作区首次使用 Windows To Go 工作区时,Windows To Go 工作区可以通过引入新计算机的常规过程连接到域中。它获取租赁、已应用和设置的适用策略,以及适当放置的用户帐户令牌。BitLocker 保护可得到应用,并且 BitLocker 恢复密钥可自动存储在 Active Directory 域服务中。用户可以访问网络资源来安装软件并获取对数据源的访问权限。当工作区随后在其他位置(无论是否在本地)启动时,可以配置使用 DirectAccess 或虚拟专用网络连接将其重新连接到工作网络所需的配置。不需要为脱机域加入配置工作区。DirectAccess 可以更轻松地连接到组织资源,但它不是必需的。
.gif "从外部执行初始启动")
当 Windows To Go 工作区将于首次用于外部计算机(如员工家中的计算机)时,准备 Windows To Go 驱动器的 IT 专业人员应配置该驱动器,才能连接到组织资源并维护工作区的安全。在此情况下,需要为脱机域加入配置 Windows To Go 工作区,并且需要在工作区初始化之前启用 BitLocker。
提示
由于引入了一项称为仅加密已用磁盘空间的新功能,与在数据已存储到驱动器中后加密驱动器的过程相比,在预配之前将 BitLocker 驱动器加密应用到驱动器的过程会快得多。有关详细信息,请参阅 BitLocker 的新增功能。
DirectAccess 可用于确保用户可以使用其域凭据登录而无需本地帐户。有关设置 DirectAccess 解决方案的说明,对于小型试验部署,请参阅使用入门向导部署单个远程访问服务器;对于大型部署,请参阅在企业中部署远程访问。如果不想将 DirectAccess 用作替代方案,用户可以在 Windows To Go 工作区上使用本地用户帐户登录,然后使用虚拟专用网络从远程访问你的组织网络。
映像部署和驱动器预配注意事项
映像部署过程可通过用于组织的集中式 IT 过程或通过各个用户创建其自己的 Windows To Go 工作区来完成。你必须具有本地管理员访问权限和对 Windows 10 企业版或 Windows 10 教育版映像的访问权限,才能创建 Windows To Go 工作区;或者,你使用的必须是 System Center Configuration Manager 2012 Service Pack 1 或更高版本,才能向用户分配 Windows To Go 工作区。映像部署过程将使用一个空白的 USB 驱动器和 Windows 10 企业版映像 (WIM) 并将其转换为 Windows To Go 驱动器。
.gif "Windows To Go 映像部署")
预配 Windows To Go 驱动器的最简单方法是使用 Windows To Go 创建程序。在创建单个 Windows To Go 工作区后,只要设备未启动,便可以使用普及的 USB 复制器产品根据需要多次复制它。在 Windows To Go 驱动器初始化后,不得复制它。此外,可以多次运行 Windows To Go 工作区创建程序来创建多个 Windows To Go 驱动器。
提示
在创建 Windows To Go 映像时,请使用 sysprep /generalize,就像将 Windows 10 部署到标准电脑时一样。事实上,如果适合的话,请为这两种部署使用相同的映像。
驱动程序注意事项
Windows 包含支持各种主计算机所需要的大部分驱动程序。然而,有时你将需要从 Windows 更新下载驱动程序,才能利用设备的全部功能。如果你要在一组已知的主计算机上使用 Windows To Go,可以将任何其他驱动程序都添加到 Windows To Go 所使用的映像上,以使员工可以更快地使用 Windows To Go 驱动器。请务必确保网络驱动程序可用,这样用户才可以连接到 Windows 更新,按照需要获取其他驱动程序。
若要确保包含标准映像以便用户可以轻松地连接到 Internet 以获取任何其他更新,Wi-Fi 网络适配器驱动程序是最重要的驱动程序之一。尝试生成用于 Windows To Go 的 Windows 10 映像的 IT 管理员应该考虑将其他 Wi-Fi 驱动程序添加到其映像中,以确保当其用户在不同系统之间漫游时,仍可以尽最大可能拥有基本网络连接。
提供以下列表,其中包含不受 Windows 10 提供的默认驱动程序支持的常用 Wi-Fi 网络适配器,可帮助你确定是否需要将驱动程序添加到你的映像中。
供应商名称 |
产品描述 |
硬件 ID |
Windows 更新可用性 |
Broadcom |
802.11abgn Wireless SDIO 适配器 |
sd\vid_02d0&pid_4330&fn_1 |
若要了解驱动程序是否可用,请联系系统 OEM 或 Broadcom。 |
Broadcom |
802.11n Network Adapter |
pci\ven_14e4&dev_4331&subsys_00d6106b&rev_02 |
若要了解驱动程序是否可用,请联系系统 OEM 或 Broadcom。 |
Broadcom |
802.11n Network Adapter |
pci\ven_14e4&dev_4331&subsys_00f5106b&rev_02 |
若要了解驱动程序是否可用,请联系系统 OEM 或 Broadcom。 |
Broadcom |
802.11n Network Adapter |
pci\ven_14e4&dev_4331&subsys_00ef106b&rev_02 |
若要了解驱动程序是否可用,请联系系统 OEM 或 Broadcom。 |
Broadcom |
802.11n Network Adapter |
pci\ven_14e4&dev_4331&subsys_00f4106b&rev_02 |
若要了解驱动程序是否可用,请联系系统 OEM 或 Broadcom。 |
Broadcom |
802.11n Network Adapter |
pci\ven_14e4&dev_4331&subsys_010e106b&rev_02 |
若要了解驱动程序是否可用,请联系系统 OEM 或 Broadcom。 |
Broadcom |
802.11n Network Adapter |
pci\ven_14e4&dev_4331&subsys_00e4106b&rev_02 |
若要了解驱动程序是否可用,请联系系统 OEM 或 Broadcom。 |
Broadcom |
802.11n Network Adapter |
pci\ven_14e4&dev_4331&subsys_433114e4&rev_02 |
若要了解驱动程序是否可用,请联系系统 OEM 或 Broadcom。 |
Broadcom |
802.11n Network Adapter |
pci\ven_14e4&dev_4331&subsys_010f106b&rev_02 |
若要了解驱动程序是否可用,请联系系统 OEM 或 Broadcom。 |
Marvell |
Yukon 88E8001/8003/8010 PCI Gigabit Ethernet |
pci\ven_11ab&dev_4320&subsys_811a1043 |
|
Marvell |
Libertas 802.11b/g Wireless |
pci\ven_11ab&dev_1faa&subsys_6b001385&rev_03 |
|
Qualcomm |
Atheros AR6004 Wireless LAN Adapter |
sd\vid_0271&pid_0401 |
64 位驱动程序不可用 |
Qualcomm |
Atheros AR5BWB222 Wireless Network Adapter |
pci\ven_168c&dev_0034&subsys_20031a56 |
64 位驱动程序不可用 |
Qualcomm |
Atheros AR5BWB222 Wireless Network Adapter |
pci\ven_168c&dev_0034&subsys_020a1028&rev_01 |
若要了解驱动程序是否可用,请联系系统 OEM 或 Qualcom。 |
Qualcomm |
Atheros AR5005G Wireless Network Adapter |
pci\ven_168c&dev_001a&subsys_04181468&rev_01 |
|
Ralink |
Wireless-G PCI Adapter |
pci\ven_1814&dev_0301&subsys_00551737&rev_00 |
|
Ralink |
Turbo Wireless LAN Card |
pci\ven_1814&dev_0301&subsys_25611814&rev_00 |
|
Ralink |
Wireless LAN Card V1 |
pci\ven_1814&dev_0302&subsys_3a711186&rev_00 |
|
Ralink |
D-Link AirPlus G DWL-G510 Wireless PCI Adapter(rev.C) |
pci\ven_1814&dev_0302&subsys_3c091186&rev_00 |
想要面向适用于特定系统的 Windows To Go 映像的 IT 管理员应测试其映像,确保其映像中包含必要的系统驱动程序,特别是类驱动程序不支持的 Wi-Fi 功能等关键功能。某些消费者设备需要特定于 OEM 的驱动程序包,而 Windows 更新可能并未提供。有关如何将驱动程序添加到 Windows 映像的详细信息,请参考基本 Windows 部署分步指南。
应用程序安装和域加入
除非你使用的是包括无人参与安装设置的自定义 Windows 映像,否则初始 Windows To Go 工作区将不会加入域并且不会包含应用程序。这与台式机或笔记本电脑上的全新 Windows 安装完全相同。当规划部署时,你应开发用于将 Windows To Go 驱动器加入域,以及安装组织中用户所需的标准应用程序的方法。这些方法很可能会类似于用于设置具有域权限和应用程序的台式机和笔记本电脑的方法
使用组策略管理 Windows To Go
通常情况下,Windows To Go 工作区的管理方法与台式机和笔记本电脑的管理方法相同。在 Windows To Go 部署过程中,应将特定于 Windows To Go 的组策略设置考虑进来。Windows To Go 组策略设置位于本地组策略编辑器的 \\Computer Configuration\Administrative Templates\Windows Components\Portable Operating System\ 上。
组策略还可以控制运行 Windows 8 的 Windows To Go 工作区上的存储使用。此策略设置位于本地组策略编辑器的 \\Computer Configuration\Administrative Templates\Windows Components\Store\ 上。该策略设置具有适用于 Windows To Go 的特定含义,在规划部署时你应该注意:
工作区设置
从 Windows To Go 工作区启动时允许休眠 (S4)
此策略设置指定当从 Windows To Go 工作区启动时,电脑是否可以使用休眠睡眠状态 (S4)。默认情况下,使用 Windows To Go 工作区时,休眠处于禁用状态,因此启用此设置将显式地重新启用此功能。当计算机进入休眠状态时,内存中的内容将写入磁盘。磁盘恢复后,连接到系统的硬件以及磁盘本身保持不变十分重要。在电脑主机之间漫游时,这本质上是不兼容的。休眠仅应在未使用 Windows To Go 工作区在宿主 PC 之间漫游时使用。
要点
若要使宿主-PC 在启用休眠后正确恢复,Windows To Go 工作区必须继续使用相同的 USB 端口。
从 Windows To Go 工作区启动时不允许待机睡眠状态 (S1-S3)
此策略设置指定当从 Windows To Go 工作区启动时,电脑是否可以使用待机睡眠状态 (S1–S3)。睡眠状态还使 Windows To Go 用户面临不同寻常的挑战。当计算机进入睡眠状态时,它将像关机一样。用户可能容易认为处于睡眠模式的 Windows To Go 工作区实际上已关闭,他们可以删除 Windows To Go 驱动器并将其带回家。在这种情况下删除 Windows To Go 驱动器等效于非完全关机,可能会导致未保存的用户数据发生丢失或损坏驱动器。而且,如果此时用户在另一台电脑上启动该驱动器,然后在正好仍处于睡眠状态的第一台电脑上启动它,则随时会引发崩溃,最终损坏驱动器,导致工作区变得无法使用。如果你启用此策略设置,Windows To Go 工作区将无法使用待机状态来使电脑进入睡眠模式。如果你禁用或未配置此策略设置,则 Windows To Go 工作区可以将电脑置于睡眠模式。
宿主 PC 设置
Windows To Go 默认启动选项
此策略设置控制在连接包含 Windows To Go 工作区的 USB 设备后,主计算机是否将启动到 Windows To Go,并控制用户是否可以使用“Windows To Go 启动选项”设置对话框做出更改。如果你启用此策略设置,则将允许在连接 USB 设备后启动到 Windows To Go 连接,并且用户将无法使用“Windows To Go 启动选项”****设置对话框做出更改。如果你禁用此策略设置,则不允许在连接 USB 驱动器后启动到 Windows To Go,除非用户在固件中手动配置该选项。如果你未配置此策略设置,则属于本地 Administrators 组成员的用户可以使用“Windows To Go 启动选项”设置对话框来启用或禁用从 USB 启动。
要点
启用此策略设置会导致运行 Windows 的电脑尝试从在电脑启动前插入电脑的任一 USB 设备启动。
支持从 USB 启动
想要使用 Windows To Go 的用户的最大障碍是将其计算机配置为从 USB 启动。在过去,这通常通过输入固件并配置合适的启动顺序选项来完成。为了简化做出 Windows To Go 所需固件修改的过程,Windows 将包含一个名为 Windows To Go 启动选项的功能,该功能允许用户将其计算机配置为在 Windows 内部从 USB 引导(只要其固件支持从 USB 启动,便再也无需输入其固件)。
注意
允许系统始终先从 USB 启动自有其含义,你应该予以考虑。例如,可能会在无意中启动包含恶意软件的 USB 设备,导致破坏系统,或可能会插入多个 USB 驱动器,导致启动冲突。因此,默认情况下 Windows To Go 启动选项处于禁用状态。此外,需要管理员权限才能配置 Windows To Go 启动选项。
如果要将 Windows 7 计算机用作宿主 PC,请参阅 wiki 文章:配置适用于 Windows To Go 的 BIOS 设置的提示。
在不同固件类型之间漫游
Windows 支持两种类型的电脑固件:统一可扩展固件接口 (UEFI)(新标准固件),以及传统 BIOS 固件(在随附 Windows 7 或更早版本的 Windows 的大多数电脑中使用)。每种固件类型都具有完全不同的彼此不兼容的 Windows 启动组件。除了不同的启动组件之外,Windows 还支持下图所示每种固件类型的不同分区样式和布局要求。
.gif "BIOS 布局")
.gif "UEFI 布局")
这使 Windows To Go 面临不同寻常的挑战,因为最终用户无法轻易确定固件类型(UEFI 计算机的外观极其类似于传统的 BIOS 计算机),而 Windows To Go 必须在这两种类型的固件上启动。
为了能够在这两种类型的固件上启动 Windows To Go,将在 FAT32 系统分区上提供适用于 Windows 8 或更高版本的新磁盘布局(其中包含这两组启动组件),并且新的命令行选项已添加到 bcdboot.exe 以支持此配置。/f 选项将与 bcdboot /s 命令结合使用,通过追加 UEFI、BIOS 或 ALL 来指定目标系统分区的固件类型。当手动创建 Windows To Go 驱动器时,必须使用 ALL 参数才能使 Windows To Go 驱动器能够在这两种类型的固件上启动。例如,在卷 H:(你的 Windows To Go USB 驱动器号)上,你将使用命令 bcdboot C:\windows /s H: /f ALL。下图显示了该命令生成的磁盘布局:
.gif "固件漫游磁盘布局")
这是 Windows To Go 唯一支持的磁盘配置。使用此磁盘配置时,可以在配备 UEFI 和传统 BIOS 固件的计算机上启动单个 Windows To Go 驱动器。
配置 Windows To Go 启动选项
Windows To Go 启动选项是基于 Windows 10 的电脑上的可用设置,它使计算机可以从 USB 启动,而无需手动更改电脑的固件设置。若要配置 Windows To Go 启动选项,你必须具有对计算机的管理权限,并且不得配置“Windows To Go 默认启动选项”组策略设置。
.gif "Mt185779.wedge(zh-cn,VS.85).gif")
配置 Windows To Go 启动选项
在“开始”屏幕上键入“Windows To Go 启动选项”,单击“设置”****,然后按 Enter。
.gif "Windows To Go 启动选项")
选择“是”启用启动选项。
提示
如果你的计算机是域的一部分,则可以使用组策略设置而不是对话框来启用启动选项。
单击“保存更改”。如果显示“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”****。
更改固件设置
如果你选择不使用 Windows To Go 启动选项或使用运行 Windows 7 的电脑作为主计算机,你将需要手动配置固件设置。用于实现此目的的过程取决于固件类型和制造商。如果你的主计算机受 BitLocker 保护并且运行的是 Windows 7,你应在更改固件设置之前,先暂停 BitLocker。成功重新配置固件设置后,恢复 BitLocker 保护。如果没有先暂停 BitLocker,BitLocker 将假定计算机已被篡改并启动到 BitLocker 恢复模式。