Windows S 模式部署實驗室

建立 S 模式部署會從一般基礎 Windows 桌上出版映射開始。 S 模式是藉由將自動檔案套用至掛接的 Windows 映像來套用。 使用 S 模式的電腦時，製造程式與其他 Windows 版本相比會有一些差異。 規劃部署時，您必須確定 S 模式支援驅動程式和應用程式。

此實驗室會逐步引導您完成在 S 模式中設定 Windows 桌面映射以進行部署的程式。 我們將自訂映射、使用自動設定 S 模式、在 WinPE 中新增製造登錄機碼，然後在稽核模式中移除登錄機碼。 然後，我們將設定復原並準備映射以供出貨。

讓我們開始吧。

取得您需要的工具

若要開始建置映射以進行部署，以下是您需要的專案：

• Windows 10映射
  • 針對 S 模式中的Windows 11，請使用 Windows 首頁映射
• 執行 Windows 10 版本 1803 或更新版本的技術人員電腦
• 您可以在其中部署映射的參考電腦
• 安裝在技術人員電腦上的 最新版 ADK 和 WinPE 附加元件
• 您可以格式化的 USB 金鑰
• 部署指令碼
• 驅動程式或語言套件等自訂專案
• Microsoft Update 目錄的最新一般散發版本更新

格式化 USB 金鑰

若要準備 USB 磁片磁碟機，您將建立個別的 FAT32 和 NTFS 磁碟分割。 下列會在 USB 磁片磁碟機上建立兩個分割區;一個 2GB FAT32 磁碟分割，以及一個使用磁片磁碟機上其餘可用空間的 NTFS 磁碟分割。 您想要確定 USB 磁片磁碟機有足夠的可用空間供 2GB WinPE 部分使用，並保留 NTFS 磁碟分割上的大型映射：

1. 在您的技術人員電腦上，以系統管理員身分啟動 部署和映射處理工具環境 ：

   • 按一下 [開始]，輸入 部署和映射工具環境。 以滑鼠右鍵按一下 [部署和映射工具環境 ]，然後選取 [ 以系統管理員身分執行]。

2. 開啟 diskpart。

   diskpart
   

3. 選取您是 USB 金鑰的磁片號碼，然後執行 clean 命令。 此命令會讓 USB 金鑰上的任何資料無法存取。 請確定您已備份您想要保留的任何資料。

   list disk
   select <disk number>
   clean
   

   其中 < 磁片號碼 > 是您 USB 磁片磁碟機的數目

4. 建立 WinPE 的 FAT32 部分，將其標示為 「Windows PE」，並將它標示為使用中。

   create partition primary size=2000
   format quick fs=fat32 label="Windows PE"
   assign letter=P
   active
   

5. 建立 NTFS 分割區，您將在其中儲存映射和自訂專案。

   create partition primary
   format fs=ntfs quick label="Data"
   assign letter=T
   list vol
   exit
   

在 USB 金鑰上建立可開機的 WinPE 磁碟分割

在您的技術人員電腦上：

1. 以系統管理員身分開啟部署和映射處理工具環境。

2. 將基底 WinPE 檔案複製到新的資料夾：

   copype amd64 C:\winpe_amd64
   

3. 將 WinPE 檔案複製到 FAT32 磁碟分割。

   MakeWinPEMedia /UFD C:\winpe_amd64 P:
   

   出現提示時，請按 Y 格式化磁片磁碟機並安裝 WinPE。

如需如何建立 WinPE 磁片磁碟機的詳細資訊，請參閱 WinPE：建立 USB 可開機磁片磁碟機。

建立資料 USB 磁碟分割

1. 在檔案總管中，開啟部署腳本 zip，並將腳本資料夾複製到 USB 磁片磁碟機的資料分割區。

2. 從部署和映射處理工具環境使用 copydandi.cmd 將部署和映射工具複製到 USB 磁片磁碟機

   copydandi amd64 T:\deploymenttools
   

3. 複製稽核模式所需的任何其他自訂專案。

掛接 install.wim 和 winre.wim

掛接 Windows 映像與稍早用來掛接 WinPE 映射的程式相同。 當您掛接 Windows 映像 (install.wim) 時，您將能夠存取第二個映射 WinRe.wim，這是支援復原案例的映射。 同時更新 install.wim 和 WinRE.wim 可協助您讓兩個映射保持同步，以確保復原如預期般運作。

1. 在 檔案總管 中按兩下 Windows 安裝媒體 ISO 來掛接它。

2. (c：\temp) 建立暫存資料夾，然後將 install.wim 從 D：\Sources (Where D： 是掛接映射的磁碟機號) 暫存資料夾。

   md c:\temp
   copy d:\sources\install.wim c:\temp
   

3. 以系統管理員身分開啟部署和映射處理工具環境。

4. 建立掛接映射的資料夾，然後掛接 install install.wim。

   Md C:\mount\windows
   Dism /Mount-Wim /WimFile:C:\temp\install.wim /index:1 /MountDir:C:\mount\windows
   

5. 從掛接的映射建立Windows RE映射檔案的掛接資料夾，然後掛接 WinRE 映射。

   Md c:\mount\winre 
   Dism /Mount-Wim /WimFile:C:\mount\windows\Windows\System32\Recovery\winre.wim /index:1 /MountDir:C:\mount\winre
   

   解決： 如果無法在指定的目錄下看到 winre.wim，請使用下列命令來設定可見的檔案：

   attrib -h -a -s C:\mount\windows\Windows\System32\Recovery\winre.wim
   

   解決： 如果掛接映射失敗，請確定您使用的是隨 Windows ADK 一起安裝的 DISM 版本，而不是可能位於技術人員電腦上的較舊版本。 請勿將映射掛接至受保護的資料夾，例如 User\Documents 資料夾。 如果 DISM 程序中斷，請考量暫時中斷網路連線並停用防毒保護。

如需掛接 Windows 映像的詳細資訊，請參閱 使用 DISM 掛接和修改 Windows 映像。

若要瞭解如何自訂 WinRE，請參閱自訂Windows RE。

啟用自訂

啟用 S 模式

自訂映射之前，請使用自動連線的離線服務傳遞，將 Windows 電腦設定為 S 模式。

1. 使用 Windows SIM 建立自動檔案。

2. 將 新增 SkuPolicyRequired 至離線服務器傳遞

3. 將 SkuPolicyRequired (API 定義來源) 設定為 [1]

4. 將檔案儲存為unattend.xml

5. 將unattend.xml複製到掛接的 Windows 映像：

   MkDir c:\mount\windows\Windows\Panther
   Copy unattend.xml  C:\mount\windows\Windows\Panther\unattend.xml
   

6. 將自動檔案套用至掛接的映射：

   DISM /Image=C:\mount\windows /Apply-Unattend=C:\mount\windows\Windows\Panther\unattend.xml
   

當電腦開機時，它會在強制執行 CI 原則的情況下開機進入 S 模式。 如果您需要自訂 Windows 映像，您必須啟用製造登錄機碼。 這可讓您在稽核模式中進行變更。

新增製造登錄機碼

啟用製造模式是您在 S 模式和 Windows 10 S 中使用Windows 10時必須執行的一個步驟。若要在製造過程中啟用自訂，您必須新增登錄機碼，讓您能夠在開機進入稽核模式時執行未簽署的程式碼。 這可協助您在準備好寄送電腦時建置及測試映射。

我們會藉由載入掛接映射的 SYSTEM 登錄區，然後新增機碼，將自訂登錄機碼新增至掛接的映射。 然後，我們會在擷取您的修復套件時設定 ScanState 來排除登錄機碼，以確保在重設或復原案例期間不會還原登錄機碼。

重要

請勿將您的電腦隨附于登錄中。 在寄送裝置之前移除登錄機碼。

1. 將系統登錄區從掛接的映射載入技術人員電腦上的 regedit。 我們將使用名為 HKLM\Windows10S 的暫存 Hive。

    reg load HKLM\Windows10S C:\Mount\Windows\Windows\System32\Config\System
   

2. 將下列機碼新增至您剛掛接的登錄。

   reg add HKLM\Windows10S\ControlSet001\Control\CI\Policy /v ManufacturingMode /t REG_DWORD /d 1
   

3. 從技術人員電腦卸載登錄區。

   reg unload HKLM\Windows10S
   

掛接的映射現在具有製造金鑰，可讓您在稽核模式中進行變更。 您必須在寄送電腦之前將其移除。

若要瞭解Windows 10 S 製造登錄機碼，請參閱Windows 10 S 製造模式。

建立exclusion.xml

現在，我們將建立檔案，以在擷取復原的設定時自動排除自訂登錄機碼。 這可確保您的電腦不會在復原程式期間還原自訂登錄機碼。

1. 在文字編輯器中建立 XML 檔案。

2. 複製並貼上下列程式碼。 這會告訴 ScanState 不要擷取它所建立之復原套件中的登錄機碼：

   <?xml version="1.0" encoding="UTF-8"?>
   <migration urlid="https://www.microsoft.com/migration/1.0/migxmlext/ExcludeManufacturingMode">
   <component type="System">
   <displayName>Exclude manufacturing regkey</displayName>
       <role role="Settings">
           <rules context="System">
               <unconditionalExclude>
                   <objectSet>
                       <pattern type="Registry">HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy [ManufacturingMode]</pattern>
                   </objectSet>
               </unconditionalExclude>
           </rules>
       </role>
   </component>
   </migration>
   

3. 將檔案儲存為exclusion.xml。

當我們擷取 ScanState 套件以供實驗室稍後復原時，我們會使用此組態檔。

您可以在 排除檔案和設定中，瞭解如何從 ScanState 套件中排除檔案和設定。

新增驅動程式

如同其他版本的 Windows，您可以將驅動程式新增至Windows 10 S 映射，以確保使用者第一次開機進入 Windows 時，硬體已設定及運作。 請確定您新增至 Windows 10 S 的驅動程式與 Windows 10 S 相容，且不會遭到封鎖。

1. 從 .inf 檔案將單一驅動程式新增至您的 Windows 和 WinRE 映射。 在此範例中，我們使用名為 media1.inf 的驅動程式：

   Dism /Add-Driver /Image:"C:\mount\windows" /Driver:"C:\Drivers\PnP.Media.V1\media1.inf"
   Dism /Add-Driver /Image:"C:\mount\winre" /Driver:"C:\Drivers\PnP.Media.V1\media1.inf"
   

   其中 「C：\Drivers\PnP.Media.V1\media1.inf」 是您要新增之驅動程式的 .inf 檔案。

   Dism /Add-Driver /Image:"C:\mount\windows" /Driver:c:\drivers /Recurse 
   

2. 確認驅動程式是映射的一部分：

   Dism /Get-Drivers /Image:"C:\mount\windows"
   Dism /Get-Drivers /Image:"C:\mount\winre"
   

   檢查套件清單，並確認清單包含您新增的驅動程式。

如需將驅動程式新增至離線 Windows 映像的詳細資訊，請參閱 將驅動程式新增至離線 Windows 映像和移除驅動程式。

新增語言 (選擇性)

在本節中，我們會將德文 (de-de) 語言套件新增至掛接的 Windows 和 WinRE 映射。

1. 將德文語言套件新增至 Windows 映像。

   使用語言和選擇性功能 ISO 中的語言套件：

   Dism /Add-Package /Image:C:\mount\windows /PackagePath:"E:\x64\langpacks\Microsoft-Windows-Client-Language-Pack_x64_de-de.cab "
   

   其中 E： 是掛接語言和選擇性功能 ISO 的磁碟機號。

2. 將德文語言套件新增至 Windows RE。 語言套件可做為 ADK 的一部分使用，並確保在復原案例期間可以使用使用者的語言。

   Dism /image:C:\mount\winre /add-package /packagepath:"E:\Windows Preinstallation Environment\x64\WinPE_OCs\de-de\lp.cab" 
   

如需詳細資訊，請參閱 使用 DISM 離線新增和移除語言套件 。

新增最新的更新

安裝包含最新錯誤修正和 OS 變更的最新更新套件。

[重要]安裝語言套件、AppX 套件和功能隨選 之後 ，安裝更新套件。 如果您在新增 GDR 之前安裝 GDR，則必須重新安裝 GDR。

1. 從 Microsoft Update Catalog下載最新的更新。

2. 使用 DISM /add 套件將 GDR 新增至掛接的映射，例如：

   dism /image:"C:\mount\windows" /add-package /packagepath:C:\temp\windows10.0-kb4020102-x64_9d406340d67caa80a55bc056e50cf87a2e7647ce.msu
   dism /image:"C:\mount\winre" /add-package /packagepath:C:\temp\windows10.0-kb4020102-x64_9d406340d67caa80a55bc056e50cf87a2e7647ce.msu
   

3. 使用 DISM 來清除您的映射。

   DISM /Cleanup-Image /Image=C:\mount\winre /StartComponentCleanup /ScratchDir:C:\Temp
   

如需將套件新增至 Windows 映像的詳細資訊，請參閱 使用 DISM 離線新增或移除 套件。

取消掛接 WinRE 映射並建立複本

既然您已進行所有離線自訂，您可以取消掛接映射。

1. 關閉可能從映射存取檔案的所有應用程式。

2. 認可變更並卸載 WinRE 和 Windows 映像：

   Dism /Unmount-Image /MountDir:"C:\mount\winre" /Commit
   Dism /Export-Image /SourceImageFile:c:\mount\windows\windows\system32\recovery\winre.wim /SourceIndex:1 /DestinationImageFile:c:\mount\winre-optimized.wim
   del c:\mount\windows\windows\system32\recovery\winre.wim
   copy c:\mount\winre-optimized.wim c:\mount\windows\windows\system32\recovery\winre.wim
   

取消掛接 install.wim

Dism /Unmount-Image /MountDir:"C:\mount\windows" /Commit

將 install.wim 和 winre.wim 複製到 USB 磁片磁碟機

copy c:\temp\install.wim t:\
copy c:\temp\winre-optimized.wim t:\

部署映射以參考電腦

1. 將您的參照電腦開機至 WinPE。

2. 使用部署腳本來套用修改過的 install.wim 映射。

   T:\Deployment\walkthrough-deploy.bat t:\install.wim
   

開機至稽核模式並進行變更

1. 如果參照電腦尚未開機，請開機。
2. 當裝置開機至 OOBE 時，請按 Ctrl+Shift+F3 進入稽核模式。
3. 電腦將會重新開機到稽核模式。
4. 對電腦進行變更。 請參閱 規劃 S 模式映射 上的表格，以查看哪些自訂可在稽核模式中使用。

若要瞭解稽核模式，請參閱 稽核模式概觀。 若要瞭解稽核模式在 S 模式中的行為，請參閱Windows S 模式製造環境中的稽核模式。

擷取復原工具的稽核模式變更

既然您已在稽核模式中自訂映射，您可以使用 ScanState 來擷取套件，以便在復原案例中使用自訂專案。

1. 使用您複製到 USB 金鑰的 ScanState，將自訂專案擷取到布建套件中。 使用您稍早建立的exclusion.xml檔案，以確保在復原期間不會還原製造登錄機碼。

   md c:\Recovery\Customizations
   T:\deploymenttools\scanstate /config:T:\deploymenttools\Config_SettingsOnly.xml /o /v:13 /ppkg c:\recovery\customizations\usmt.ppkg /i:exclusion.xml /l:C:\Scanstate.log
   

2. 當擷取成功完成時，請刪除 ScanState 記錄檔： del c:\scanstate.log 。

移除製造登錄機碼

當您在稽核模式中完成自訂電腦時，您必須移除製造登錄機碼，讓您能夠在 S 模式中執行未簽署的程式碼。

若要移除登錄機碼，請在參考電腦上開機進入稽核模式時，以系統管理員身分執行下列命令：

reg delete HKLM\system\ControlSet001\Control\CI\Policy /v ManufacturingMode

將 WinRE 新增回擷取的映射

若要確保您的 WinRE 映射已針對最終部署擷取，請將匯出的 WinRE-optimized.wim 映射複製到您的 Windows 10 S 映射。

xcopy t:\winre-optimized.wim c:\windows\system32\recovery\winre.wim

Sysprep 並關閉電腦

1. 開啟命令提示字元。

2. 執行 sysprep 以重新密封電腦，並使其準備好進行擷取。

   c:\windows\system32\sysprep\sysprep /generalize /oobe /shutdown
   

擷取映像

1. 將參照電腦開機到 WinPE。

2. 識別 diskpart 中 Windows 磁碟分割的磁碟機號：

   diskpart
   list volume
   exit
   

3. 使用 DISM 來擷取 Windows 磁碟分割。

   dism.exe /capture-image /ImageFile:"T:\Images\Windows10S.wim" /capturedir:C:\ /Name:"Windows10S"
   

   其中 C：\是 Windows 磁碟分割。

如需詳細資訊 ，請參閱擷取和套用 Windows 系統和復原磁碟分割 。

部署映射並確認自訂和復原

套用您的映射

1. 將您的參照電腦開機到 WinPE。

2. (Windows10S.wim) 將 S 模式映射套用至電腦。 這會覆寫任何現有的 Windows 安裝。

   T:
   cd Deployment
   T:\Deployment\applyimage.bat T:\images\Windows10S.wim
   

確認自訂專案

1. 啟動參照電腦。 這是第一次使用新的 Windows 映像開機電腦。
2. 如果您已安裝其他語言，請確認這些預先安裝的語言會出現，而且可以在 OOBE 期間由使用者選取。
3. 驗證您在完成 OOBE 之後正確進行的桌面自訂。

驗證復原

若要確認復原如預期般運作，請執行下列驗證工作：

• 執行重新整理復原，並驗證會保留使用者檔案，並還原您的處理站桌面自訂。
• 執行重設復原，並驗證已移除使用者檔案和設定檔，並還原您的原廠桌面自訂。
• 使用提供的原則檔，驗證模擬 RS3 強制層級中的擴充性腳本。
• 如果您使用 ScanState 建立復原套件，請確定擷取封裝時已排除製造金鑰。

寄送電腦

現在您已擁有映射，您已準備好建置和寄送 S 模式電腦。 請確定已移除製造登錄機碼，並在出貨電腦上啟用安全開機。