使用 Configuration Manager 準備 Windows 10 的零接觸安裝

  • 發行項

適用於:

  • Windows 10

本文將逐步引導您完成使用與 Microsoft Deployment Toolkit (MDT) 整合 Microsoft Configuration Manager,Windows 10 操作系統部署的零觸控安裝 (ZTI) 程式。

必要條件

在本文中,您會使用現有的 Configuration Manager 基礎結構的 元件 來準備 Windows 10 OSD。 除了基礎安裝之外,下列設定應該在設定管理員環境中進行:

  • 設定管理員目前分支 + 所有安全性及重要更新都已安裝。

    注意

    本指南中的程序會使用 Configuration Manager 版本 1910。 如需 Configuration Manager 所支援 Windows 10 版本的詳細資訊,請參閱支援 Windows 10

  • Active Directory 架構已擴充,且已建立系統管理容器。

  • Active Directory Forest Discovery 和 Active Directory 系統探索已啟用

  • 已建立內容和網站指派的 IP 範圍界限和邊界群組

  • 已新增並設定設定管理員報告服務點角色。

  • 已建立套件的檔案系統資料夾結構與設定管理員主控台資料夾結構。 以下提供驗證或建立此資料夾結構的步驟。

  • 已安裝之 Configuration Manager 版本支援的Windows ADK 版本,包括 Windows PE 附加元件。 USMT 應該安裝為 Windows ADK 安裝的一部分。

  • MDT 版本 8456

  • 已安裝 MDOP 2015) 的 DaRT 10 (部分。

  • CMTrace 工具 (cmtrace.exe) 已安裝在發佈點上。

    注意

    CMTrace 會自動與 Configuration Manager 的最新分支一起安裝在 Program Files\Microsoft Configuration Manager\tools\cmtrace.exe

針對本指南的用途,我們將使用三台伺服器電腦,分別是:DC01、CM01 和 HV01。

  • DC01 是網網域控制站,以及 contoso.com 網域的 DNS 伺服器。 您也可以依需求在 DC01 或另一個伺服器上安裝 DHCP 服務。
  • CM01 是網域成員伺服器與設定管理員軟體發佈點。 在本指南中,CM01 是獨立的主要網站伺服器。
  • HV01 是用來建立 Windows 10 參考影像的 Hyper-V 主機電腦。 這台電腦不需要是網域成員。

所有伺服器都執行 Windows Server 2019。 不過,您也可以使用舊版的 Windows Server 支援版本。

本指南中所參照的所有伺服器和用戶端電腦都位於相同的子網路上。 此相互關聯並非必要,但每個伺服器和用戶端電腦都必須能夠相互連線才能共用檔案,並解析 contoso.com 網域的所有 DNS 名稱和 Active Directory 資訊。 若要下載作業系統和應用程式更新,也需要網際網路連線。

網域認證

本指南中使用下列一般認證。 您應該在每個程序中使用您的認證來取代這些認證。

  • Active Directory 域名稱contoso.com
  • 網域系統管理員使用者名稱administrator
  • 網域系統管理員密碼pass@word1

建立 OU 結構

注意

如果您已經建立了適用於 MDT 之 OSD 指南中使用的 OU 結構 ,這裡會使用相同的結構,您可以略過本節。

DC01 上:

若要建立 OU 結構,您可以使用 Active Directory 使用者和電腦主控台 (dsa.msc) ,或者可以使用 Windows PowerShell。 下列程序會使用 Windows PowerShell。

若要使用 Windows PowerShell,請將下列命令複製到文字檔中,並將它儲存為 C:\Setup\Scripts\ou.ps1。 請確定您正在檢視擴展名,並使用擴展名儲存盤案 .ps1

$oulist = Import-csv -Path c:\oulist.txt
ForEach($entry in $oulist){
    $ouname = $entry.ouname
    $oupath = $entry.oupath
    New-ADOrganizationalUnit -Name $ouname -Path $oupath -WhatIf
    Write-Host -ForegroundColor Green "OU $ouname is created in the location $oupath"
}

接著,將下列 OU 名稱和路徑的清單複製到文字檔中,然後將其儲存為 C:\Setup\Scripts\oulist.txt

OUName,OUPath
Contoso,"DC=CONTOSO,DC=COM"
Accounts,"OU=Contoso,DC=CONTOSO,DC=COM"
Computers,"OU=Contoso,DC=CONTOSO,DC=COM"
Groups,"OU=Contoso,DC=CONTOSO,DC=COM"
Admins,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Service Accounts,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Users,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Servers,"OU=Computers,OU=Contoso,DC=CONTOSO,DC=COM"
Workstations,"OU=Computers,OU=Contoso,DC=CONTOSO,DC=COM"
Security Groups,"OU=Groups,OU=Contoso,DC=CONTOSO,DC=COM"

最後,在 DC01 上開啟提升權限的 Windows PowerShell 提示,然後執行 ou.ps1 指令碼:

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Set-Location C:\Setup\Scripts
.\ou.ps1

建立設定管理員服務帳戶

角色式模型是用來針對設定管理員中作業系統部署所需的服務帳戶設定權限。 請執行下列步驟來建立設定管理員加入網域網路存取帳戶:

DC01 上:

  1. 在 Active Directory 使用者和電腦 控制台中,流覽至 [contoso.com>Contoso>服務帳戶]

  2. 選取 [服務帳戶] OU,然後使用下列設定建立CM_JD帳戶:

    • 名稱:CM_JD
    • 使用者登入名稱:CM_JD
    • 密碼: pass@word1
    • 使用者必須在下次登入時變更密碼:清除
    • 使用者無法變更密碼:已選取
    • 密碼永久有效:已選取

  3. 重複步驟,但針對CM_NAA帳戶。

  4. 建立帳戶之後,指派下列說明:

    • CM_JD:Configuration Manager 加入網域帳戶
    • CM_NAA:Configuration Manager 網路存取帳戶

設定 Active Directory 權限

若要讓 Configuration Manager 加入網域帳戶 (CM_JD) 將機器加入 contoso.com 網域,您必須在 Active Directory 中設定許可權。 這些步驟假設您已下載範例 Set-OUPermissions.ps1 腳本 ,並將其複製到 C:\Setup\Scripts DC01 上。

DC01 上:

  1. 以 contoso\administrator 登入,然後在提升權限的 Windows PowerShell 提示中輸入下列命令:

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Set-Location C:\Setup\Scripts
.\Set-OUPermissions.ps1 -Account CM_JD -TargetOU "OU=Workstations,OU=Computers,OU=Contoso"

  2. Set-OUPermissions.ps1 腳本可讓CM_JD用戶帳戶許可權管理 Contoso / Computers / Workstations OU 中的電腦帳戶。 下列清單是要授與權限的對象清單:

    • 範圍:此物件及所有子系物件
    • 建立電腦物件
    • 刪除電腦物件
    • 範圍:子系電腦物件
    • 讀取所有屬性
    • 寫入所有屬性
    • 讀取權限
    • 修改權限
    • 變更密碼
    • 重設密碼
    • 已驗證寫入 DNS 主機名稱
    • 已驗證寫入服務主體名稱

檢閱來源資料夾結構

CM01 上:

若要支援您在本文中建立的套件,應該在設定管理員主要網站伺服器 (CM01) 上建立下列資料夾結構 :

  • D:\Sources
  • D:\Sources\OSD
  • D:\Sources\OSD\Boot
  • D:\Sources\OSD\DriverPackages
  • D:\Sources\OSD\DriverSources
  • D:\Sources\OSD\MDT
  • D:\Sources\OSD\OS
  • D:\Sources\OSD\Settings
  • D:\Sources\OSD\Branding
  • D:\Sources\Software
  • D:\Sources\Software\Adobe
  • D:\Sources\Software\Microsoft
  • D:\Logs

注意

在大部分的生產環境中,封裝會儲存在分散式檔案系統 (DFS) 共用或「標準」伺服器共用上,但在實驗室環境中,您可以將它們儲存在站台伺服器上。

您可以從提升權限的 Windows PowerShell 提示中執行下列命令,以建立此資料夾結構:

New-Item -ItemType Directory -Path "D:\Sources"
New-Item -ItemType Directory -Path "D:\Sources\OSD"
New-Item -ItemType Directory -Path "D:\Sources\OSD\Boot"
New-Item -ItemType Directory -Path "D:\Sources\OSD\DriverPackages"
New-Item -ItemType Directory -Path "D:\Sources\OSD\DriverSources"
New-Item -ItemType Directory -Path "D:\Sources\OSD\OS"
New-Item -ItemType Directory -Path "D:\Sources\OSD\Settings"
New-Item -ItemType Directory -Path "D:\Sources\OSD\Branding"
New-Item -ItemType Directory -Path "D:\Sources\OSD\MDT"
New-Item -ItemType Directory -Path "D:\Sources\Software"
New-Item -ItemType Directory -Path "D:\Sources\Software\Adobe"
New-Item -ItemType Directory -Path "D:\Sources\Software\Microsoft"
New-SmbShare -Name Sources$ -Path D:\Sources -FullAccess "NT AUTHORITY\INTERACTIVE", "BUILTIN\Administrators"
New-Item -ItemType Directory -Path "D:\Logs"
New-SmbShare -Name Logs$ -Path D:\Logs -ChangeAccess EVERYONE

整合 Configuration Manager 與 MDT

若要使用 MDT 精靈與範本擴充設定管理員主控台,請安裝包含預設設定的 MDT 並執行設定管理員整合桌面應用程式。 在這些步驟中,我們假設您已下載 MDT ,並以預設設定安裝它。

CM01 上:

  1. 以 contoso\administrator 登入。

  2. 繼續之前,請確定設定管理員主控台已關閉。

  3. 選取 [開始],輸入 [設定 ConfigManager 整合],然後使用下列設定執行應用程式:

    • 站台伺服器名稱:CM01.contoso.com
    • 站台碼:PS1

圖 8。

MDT 與設定管理員整合。

設定用戶端設定

大部分的組織希望在部署期間顯示他們的名稱。 在本節中,您可以使用 Contoso 組織名稱,設定預設的設定管理員用戶端設定。

CM01 上:

  1. 開啟 Configuration Manager 主控台,選取 [系統管理] 工作區,然後選取 [用戶端設定]

  2. 在右窗格中,以滑鼠右鍵按一下 預設的用戶端設定,然後選取 屬性

  3. 在 [ 計算機代理程式] 節點的 [軟體中心] 文本框 中, 輸入 Contoso ,然後選取 [ 確定]

圖 9。

在用戶端設定中設定組織名稱。

圖 10。

部署期間顯示的 Contoso 組織名稱。

設定網路存取帳戶

設定管理員會在 Windows 10 部署程序期間使用網路存取帳戶來存取發佈點上的內容。 在本節中,您會設定網路存取帳戶。

CM01 上:

  1. 使用 Configuration Manager 主控台,在 [系統管理] 工作區中,展開 [月臺設定],然後選取 [月臺]

  2. 以滑鼠右鍵按一下 \[PS1-主要網站 1\],指向設定網站元件,然後選取 \[軟體發佈\]

  3. 在 [ 網络存取帳戶] 索引 卷標上,選 取 [指定存取網络位置的帳戶 ],並將帳戶 CONTOSO\CM_NAA 新增為網络存取帳戶 (密碼: pass@word1) 。 使用新的 [驗證] 選項來確認帳戶可以連線到 \\DC01\sysvol 網路共用。

圖 11。

測試網路存取帳戶的連線。

在 CM01 發佈點上啟用 PXE。

設定管理員提供許多開始部署的選項,但透過 PXE 啟動在大型環境中絕對是彈性最大的。 在本節中,您會在 CM01 發佈點上啟用 PXE。

CM01 上:

  1. 在 [Configuration Manager 控制台] 的 [系統管理] 工作區中,選取 [發佈點]

  2. 以滑鼠右鍵按兩下 \\CM01.CONTOSO.COM 發佈點 ,然後選取 [ 屬性]

  3. 在 \[PXE\] 索引標籤上,使用下列設定:

    • 啟用用戶端的 PXE 支援
    • 允許此發佈點回應傳入的 PXE 要求
    • 啟用未知電腦
    • 電腦使用 PXE 時需要密碼
    • 密碼和確認密碼:pass@word1

    圖 12。

    設定 PXE 的 CM01 發佈點。

    注意

    如果您選取 [在沒有 Windows 部署服務的情況下啟用 PXE 回應程式],則不會安裝 WDS,或如果已安裝,則會暫停,而且會使用 ConfigMgr PXE 回應程式服務 (SccmPxe) ,而非 WDS。 ConfigMgr PXE 回應程式不支援多點傳送。 如需詳細資訊,請參閱安裝和設定發佈點

  4. 使用 CMTrace 工具,檢閱 C:\Program Files\Microsoft Configuration Manager\Logs\distmgr.log 檔案。 尋找 ConfigurePXECcmInstallPXE 行。

    圖 13。

    distmgr.log 在發佈點上顯示 PXE 的成功設定。

  5. 確認您在每個資料夾 D:\RemoteInstall\SMSBoot\x86D:\RemoteInstall\SMSBoot\x64中都有七個檔案。

    圖 14。

    啟用 PXE 之後,D:\RemoteInstall\SMSBoot\x64 資料夾的內容。

    注意

    WDS 會使用這些檔案。 ConfigMgr PXE 回應程式不會使用它們。 本文不會使用 ConfigMgr PXE 回應程式。

接下來,請參閱使用設定管理員建立自訂的 Windows PE 開機映像

設定管理員作業系統部署的元件

使用 Configuration Manager 的作業系統部署是一般軟體發佈基礎結構的一部分,但還有其他元件。 例如,Configuration Manager 中的作業系統部署可能會使用 [狀態移轉點] 角色,而此角色不會為 Configuration Manager 中的一般應用程式部署所使用。 本節描述與作業系統 (例如 Windows 10) 部署相關的 Configuration Manager 元件。

  • 狀態移轉點 (SMP)。 狀態移轉點是在電腦取代案例期間,用來儲存使用者狀態移轉資料。

  • 發佈點 (DP)。 發佈點是用來在 Configuration Manager 中儲存所有套件,包括與作業系統部署相關的套件。

  • 軟體更新點 (SUP)。 軟體更新點通常用來將更新部署到現有的電腦,也可以在部署程序中用來更新作業系統。 您也可以使用離線維護,直接在 Configuration Manager 伺服器上更新映像。

  • Reporting Services 點。 Reporting Services 點可以用來監視作業系統部署程序。

  • 開機映像。 開機映像是 Configuration Manager 用來開始部署的 Windows 預先安裝環境 (Windows PE) 映像。

  • 作業系統映像。 作業系統映像套件只包含一個檔案,也就是自訂的 .wim 映像。 此映像通常是生產環境部署映像。

  • 作業系統安裝程式。 一開始加入作業系統安裝程式的目的是要使用 Configuration Manager 建立參照映像。 但是我們建議您使用 MDT Lite Touch 建立參照映像。 如需如何建立參照映像的詳細資訊,請參閱建立 Windows 10 參照映像

  • 驅動程式。 如同 MDT Lite Touch 一樣,Configuration Manager 也會提供受管理裝置驅動程式的存放庫 (目錄)。

  • 工作順序。 Configuration Manager 中的工作順序外觀與風格非常像 MDT Lite Touch 中的順序,而且它們的用途是相同的。 不過,在 Configuration Manager 中,工作順序會透過管理點 (MP),以原則的方式傳遞到用戶端。 MDT 為設定管理員提供更多工作順序範本。

    注意

    若要支援 Windows 10 的管理與部署,也需要適用於 Windows 10 的 Windows 評定及部署套件 (ADK)。

為何要將 MDT 與設定管理員整合

如前所述,MDT 針對 Configuration Manager 增加了許多增強功能。 雖然這些增強功能稱為「零接觸」,但是該名稱並不會反映進行部署的方式。 以下各節提供一些 MDT 新增到 Configuration Manager 之 280 個增強功能的範例。

注意

MDT 安裝需要下列各項條件:

  • 在上述程序中安裝的適用於 Windows 10 的 Windows ADK
  • 建議使用 Windows PowerShell (版本 5.1;輸入 $host 以檢查)
  • Microsoft .NET Framework

MDT 允許動態部署

當 MDT 與 Configuration Manager 整合時,工作順序會處理來自 MDT 規則的更多指示。 在最簡單的形式中,這些設定會儲存在文本文件、CustomSettings.ini檔案中,但您可以將設定儲存在 Microsoft SQL Server 資料庫中,或讓 Microsoft Visual Basic Scripting Edition (VBScripts) 或 Web 服務提供使用的設定。

工作順序所使用的指示可讓您減少設定管理員中的工作順序數目,並改為在工作順序以外儲存設定。 以下是一些範例:

  • 下列設定指示工作順序安裝 HP Hotkeys 套件,但只有在硬體為 HP EliteBook 8570w 時才安裝。 您不需要將套件新增到工作順序。

    [Settings] 
Priority=Model
[HP EliteBook 8570w] 
Packages001=PS100010:Install HP Hotkeys

  • 下列設定指示工作順序在部署期間將膝上型電腦與桌上型電腦放在不同的組織單位 (OU) 中、指派不同的電腦名稱,最後讓工作順序安裝 Cisco VPN 用戶端,但只在電腦是膝上型電腦時才安裝。

    [Settings]
Priority= ByLaptopType, ByDesktopType
[ByLaptopType]
Subsection=Laptop-%IsLaptop%
[ByDesktopType]
Subsection=Desktop-%IsDesktop%
[Laptop-True]
Packages001=PS100012:Install Cisco VPN Client
OSDComputerName=LT-%SerialNumber%
MachineObjectOU=ou=laptops,ou=Contoso,dc=contoso,dc=com
[Desktop-True]
OSDComputerName=DT-%SerialNumber%
MachineObjectOU=ou=desktops,ou=Contoso,dc=contoso,dc=com

圖 2。

工作順序中的 [收集] 動作正在閱讀規則。

MDT 新增作業系統部署模擬環境

測試部署時,請務必要能夠快速測試您對部署所進行的任何變更,而不需要執行整個部署。 MDT 規則可以快速地測試,在部署專案中節省大量的測試時間。 如需詳細資訊,請參閱進行 MDT 設定

圖 3。

包含規則、來自 MDT 的一些指令碼,以及自訂指令碼 (Gather.ps1) 的資料夾。

MDT 新增即時監視功能

您可以使用 MDT 整合即時密切注意您的部署,而且如果您可以存取 Microsoft Diagnostics and Recovery Toolkit (DaRT),您甚至可以在部署期間,從遠端進入 Windows 預先安裝環境 (Windows PE)。 即時監視資料可以從 MDT Deployment Workbench 中,透過網頁瀏覽器、Windows PowerShell、事件檢視器或 Microsoft Excel 2013 檢視。 事實上,任何可以讀取開放式資料 (OData) 摘要的指令碼或應用程式都可讀取該資訊。

圖 4。

使用 PowerShell 檢視即時監視資料。

MDT 新增選用的部署精靈

對於某些部署案例,您可能需要在部署期間提示使用者提供資訊,例如電腦名稱、電腦的正確組織單位 (OU),或工作順序應該安裝的應用程式。 整合 MDT 時,您可以讓 User-Driven Installation (UDI) 精靈收集所需的資訊,並使用「UDI 精靈設計工具」自訂精靈。

圖 5。

在 UDI 精靈設計工具中開啟的選用 UDI 精靈。

MDT Zero Touch 只是使用許多有用的內建作業系統部署元件擴充設定管理員。 MDT 會透過提供完善且支援的解決方案,減少在設定管理員中部署的複雜度。

為什麼要使用 MDT Lite Touch 建立參考映像

您可以在 Configuration Manager 中建立 Configuration Manager 的參考影像,但一般而言,建議您在 MDT Lite Touch 中建立它們,原因如下:

  • 您可以針對各種類型的作業系統部署使用相同的映像 - Microsoft 虛擬桌面 (VDI)、Microsoft System Center Virtual Machine Manager (VMM)、MDT、設定管理員、Windows 部署服務 (WDS) 等。

  • 設定管理員會在 LocalSystem 內容中執行部署,也就是說,您無法使用您想要包含在映像中的所有設定,設定系統管理員帳戶。 MDT 會在本機系統管理員的環境中執行,這表示您可以設定設定的外觀及操作方式,然後在部署期間使用 CopyProfile 功能,將這些變更複製到預設使用者。

  • Configuration Manager 工作順序會隱藏使用者介面互動。

  • MDT Lite Touch 支援允許重新開機的暫停動作,當您需要執行手動安裝,或在自動擷取參考映像之前進行檢查時,此功能非常實用。

  • MDT Lite Touch 不需要任何基礎結構,而且容易委派。

使用設定管理員建立自訂的 Windows PE 開機映像
使用設定管理員新增 Windows 10 作業系統映像
在 Windows 10 中使用設定管理員建立要部署的應用程式
在 Windows PE 中使用設定管理員將驅動程式新增至 Windows 10 部署
使用設定管理員和 MDT 建立工作順序
使用 PXE 和設定管理員部署 Windows 10
在 Windows 10 中使用設定管理員重新整理 Windows 7 SP1 用戶端
使用 Configuration Manager 以 Windows 10 取代 Windows 7 SP1 用戶端