(高级) 创建预配包

可以使用 Windows 配置设计器创建预配包 (.ppkg 包含自定义设置的) ,然后将预配包应用于运行 Windows 客户端的设备。

提示

建议在开发和测试预配包时创建本地管理员帐户。 我们还建议使用 最低特权 域用户帐户将设备加入 Active Directory 域。

启动新项目

  1. 打开 Windows 配置设计器:在“开始”菜单或“开始”菜单搜索中,键入 “Windows 配置设计器”,然后选择 “Windows 配置设计器 ”快捷方式。

  2. 在起始页上选择“ 高级预配 ”,这提供了多个用于创建预配包的选项,如下图所示:

    配置设计器向导。

    提示

    你可以在简单的向导编辑器中启动项目,然后将该项目切换到高级编辑器。

    切换到高级编辑器。

  3. 输入项目的名称,然后选择“ 下一步”。

  4. 根据设备类型选择要配置的设置,然后选择“ 下一步”。 下表介绍了这些选项。

    Windows 版本 可用于自定义的设置 预配包可应用于
    所有 Windows 版本 通用设置 所有 Windows 客户端设备
    所有 Windows 桌面版 通用设置和特定于桌面设备的设置 所有 Windows 客户端桌面版 (家庭版、专业版、企业版、专业教育版、企业教育版)
    Windows 10 IoT 核心版 通用设置和特定于 Windows 10 IoT 核心版的设置 所有 Windows 10 IoT 核心版设备
    Windows 10 全息版 通用设置和特定于 Windows 10 全息版的设置 Microsoft HoloLens
    通用于 Windows 10 协同版 通用设置和特定于 Windows 10 协同版的设置 Microsoft Surface Hub
  5. “导入预配包 (可选) ”页上,可以选择“ 完成” 以创建项目,或浏览到并选择要导入到项目的现有预配包,然后选择“ 完成”。

    提示

    导入预配包可以使创建具有某些通用设置的不同预配包更容易。 例如,可以创建一个预配包,其中包含组织网络的设置。 然后,将包导入到你创建的其他包中,这样就不必重复重新配置这些常见设置。

  6. “可用自定义 项”窗格中,现在可以配置包的设置。

配置设置

对于高级预配项目,Windows 配置设计器会打开可用自定义项窗格。 下图中的示例基于所有 Windows 桌面版设置。

ICD 接口的外观。

Windows 配置设计器中的设置基于 windows 客户端配置服务提供程序 (CSP) 。 要了解有关 CSP 的更多信息,请参阅面向 IT 专业人员的配置服务提供程序 (CSP) 简介

注意

若要面向运行早于 Windows 10 版本 2004 的设备,必须在高级编辑器的设置路径 Accounts/ComputerAccount/ComputerName 中定义 ComputerName 自定义。 简单编辑器中的默认路径使用在旧系统上不可用的新 CSP。

配置设置的过程与所有设置类似。 下表显示了一个示例。

  1. 展开类别:

    在 Windows 配置设计器中,展开“证书”类别。

  2. 选择设置:

    在 Windows 配置设计器中,选择“ClientCertificates”。

  3. 输入设置的值。 如果显示按钮,请选择 “添加 ”:

    在 Windows 配置设计器中,输入证书的名称。

  4. 某些设置(例如示例)需要其他信息。 在 “可用自定义项”中,选择你创建的值,并显示更多设置:

    在 Windows 配置设计器中,提供了客户端证书的其他设置。

  5. 配置设置后,它将显示在 “所选自定义 项”窗格中:

    在 Windows 配置设计器中,所选的自定义项窗格显示你的设置。

有关每个特定设置的详细信息,请参阅Windows 预配设置参考。 选择设置时,Windows 配置设计器中也会显示设置的参考文章,如下图所示。

选择设置时,Windows 配置设计器将打开参考主题。

生成包

  1. 配置自定义项后,选择“ 导出”,然后选择“ 预配包”。

    在顶部栏上导出。

  2. “描述预配包 ”窗口中,输入以下信息,然后选择“ 下一步”:

    • 名称 - 此字段预填充项目名称。 你可以通过在名称字段中输入不同的名称来更改该值。
    • Major.Minor 格式的版本 ( - 可选。 你可以通过在版本字段中指定新值来更改默认包版本。
    • 所有者 - 选择 IT 管理员。有关详细信息,请参阅预配包的优先级
    • 排名(0-99) - 可选。 你可以选择一个介于 0 和 99 之间的值(包括这两者)。 默认包排名为 0。
  3. “选择预配包的安全详细信息 ”窗口中,可以选择使用所选证书加密和/或对预配包进行签名,然后选择“ 下一步”。 这两个选项都是可选的:

    • 加密包 - 如果选择此选项,屏幕上会显示自动生成的密码。
    • 签署程序包 - 如果你选择此选项,则必须选择一个有效的证书,用于对程序包进行签名。 可以通过选择“ 选择 ”并选择要用于对包进行签名的证书来指定证书。

    注意

    仅当包用于设备预配且包包含包含敏感安全数据(例如应防止泄露的证书或凭据)的内容时,才应配置预配包安全性。 如果在 OOBE 过程中或通过设置 UI 应用了已加密和/或已签名的预配包,则可以将该包解密,如果已对包进行签名,则可以在未经用户明确同意的情况下信任该包。 IT 管理员可以对用户设备设置策略,以限制从设备中删除所需包,或者在设备上预配可能有害的包。

    如果受信任的配置程序对某个预配包进行了签名,则可以在不提示用户同意的情况下将其安装在设备上。 为了启用受信任的提供商证书,你必须在安装受信任的预配包之前设置 TrustedProvisioners 设置。 这是在未经用户同意的情况下安装包的唯一方法。 要提供额外的安全性,你还可以设置 RequireProvisioningPackageSignature,这可以阻止用户安装未经受信任的配置程序签名的预配包。

  4. “选择保存预配包的位置” 窗口中,指定生成预配包后要转到的输出位置,然后选择“ 下一步”。 默认情况下,Windows 配置设计器使用项目文件夹作为输出位置。

  5. “生成预配包 ”窗口中,选择“ 生成”。 无需花费太长时间即可生成预配包。 项目信息会显示在构建页面中,并且进度栏会指示构建状态。

    如果需要取消生成,请选择“ 取消”。 这会取消当前生成过程,关闭向导,并将你带回 “自定义项” 页。

  6. 如果生成失败,将显示一条错误消息,其中包含指向项目文件夹的链接。 你可以扫描日志以确定导致错误的原因。 解决问题后,请尝试重新构建程序包。

    如果生成成功,则会显示预配包、输出目录和项目目录的名称。

    如果要进行选择,你可以重新构建设置包并选择不同的输出程序包路径。 为此,请选择“ 返回 ”以更改输出包名称和路径,然后选择“ 下一步 ”以启动另一个生成。

  7. 完成后,选择“ 完成 ”以关闭向导并返回到 “自定义项” 页。

后续步骤

详细了解如何应用预配包:

应用预配包