你好

這篇文章是對創建用于大規模分發的Windows映像（Windows 7）的后續或贊美。關于這一點，部署研究的人有一篇關于使用MDT創建更新的Windows 7主映像的精彩文章，非常有幫助。

今年夏天，Windows 10即將到來，我們已經開始慢慢地將某些領域過渡到微軟的終極操作系統。在很大程度上，為Windows 10制作圖像的過程與Windows 7相同，但有一些曲折。

工具。。。

我喜歡在虛擬機中構建映像。這種方法使我能夠創建一個真正與硬件無關的映像。使用實際的硬件可以工作，但可能仍然存在 sysprep 無法概括的硬件殘留物，并且可能將其投入生產。實際的硬件方法適用于 Ghost，但對于 MDT 則不再需要。選擇任何虛擬化工具，它們都運行良好，有些甚至是免費的。以下是最好的一面：

• VMware Workstation/Player – 不是免費的，但功能豐富并集成到vSphere中。
• Microsoft Hyper-V – 隨附 x64 服務器版本的 Windows（2008 及更高版本）和 x64 桌面版本的 Windows 8 及更高版本。盡管有所有"服務器"命名法，但客戶端操作系統將正常工作。
• Oracle VirtualBox – 免費，可用于Windows，macOS和Linux作為主機操作系統和客戶端操作系統。

我知道有適用于macOS和Linux的虛擬化產品，但我們正在使用Windows。我認為最好在整個過程中堅持這一點。我相信如果Windows不是主機操作系統，一切都會好起來的。

鑒于此，您將需要在中等強度的PC上完成這項工作。并非我們所有人都擁有Dell Precision工作站，甚至無法訪問安裝了Hyper-V或vSphere的服務器，但是使用動力不足的PC將使構建映像變得緩慢而悲慘，僅使用虛擬化就是一種緩慢而悲慘的體驗。關鍵是存儲。創建映像、使用快照的多個映像以及測試會占用磁盤驅動器上的大量空間。我不會費心使用小于1TB的驅動器。它將在較小的事情上工作，但在這種情況下，您將限制整個過程。即使是1TB SSD現在也價格合理。SSD是王道，但仍然不等于每千兆字節價格的旋轉磁盤。將用于主機操作系統的256GB SSD與用于存儲的4TB旋轉HDD的應用程序相結合，可以很好地工作。RAM 也非常重要，因為在使用 VM 時，主機和來賓操作系統同時使用 RAM。嘗試最大化你的電腦將采取什么。32GB，64GB的RAM對于這種類型的工作來說并不是不合理的。

現代 CPU 對于許多任務（虛擬化）來說都非常強大。英特爾 CPU 具有專門用于虛擬化的擴展。四核 CPU 應該是將執行虛擬化的主機 PC 的先決條件。您可以使用雙核CPU，但回想一下上面關于PC和虛擬化不足的部分。如果你能得到一個具有更多內核的CPU，6，8，太好了！至強CPU真的很好。我不會在四核i7下打擾任何東西。另一件需要考慮的事情，有時被忽視，是公交車速度。您可以擁有具有許多內核的最快的CPU，大量的RAM，使用甜美的2TB SSD工作，但是如果將所有這些設備連接在一起的總線很小，那么您所創造的只是數字交通擁堵。NVMe和M.2 SSD正在慢慢取代基于SATA的SSD，并在消費類和企業PC中旋轉硬盤。它們顯著提高了數據存儲的吞吐量和速度。DDR4內存是RAM技術中最新，最偉大的內存，直到2020年，屆時DDR5有望實現。它不是最便宜的，但DDR4的性能優于其所有前身。顯然，您希望盡可能地獲得最佳設置，但我知道預算有限制。

虛擬機設置...

這可能因地而異，但我至少會使用4GB的RAM，一個具有2個內核的vCPU和一個128GB VHD。這對Windows 7和10來說效果很好。如果可以向 VM 提供 8GB 的 RAM，請執行此操作。我們擁有的最小的磁盤驅動器是我們在2014年購買的某些戴爾OptiPlex 9020中的128GB SSD。完成后，我的映像的磁盤占用空間約為 70GB（35GB 由 dism 壓縮）。如果新映像很小，則 64GB VHD 可以。這和我去的時候一樣小。可以將Windows 10（加上更新），Office 2016，Adobe Reader，Chrome，VLC和AV軟件的圖像壓縮到32GB驅動器上，這是一個緊密的擠壓。Windows的大小隨著時間的推移而增長，32GB將在您意識到之前很久就消失了。我開始認為32GB對于iPhone來說太小了......虛擬網卡應配置為 NAT，而不是橋接到生產網絡。我們將有一個全新的Windows安裝，直接從ISO安裝，并暫時未修補。映像在準備好進行測試（修補）或準備使用之前，不應看到生產 LAN。

操作系統安裝...

為新映像創建來賓 VM 后，將其虛擬 CD/DVD-ROM 驅動器連接到 Windows 10 的 ISO 文件。在 VMware Workstation 中，默認情況下，未安裝操作系統的新虛擬機會自動引導至虛擬 CD/DVD-ROM。

按照屏幕上的提示將 Windows 安裝到 VM 中，但在從安裝/文件復制到 OEM/Windows 安裝程序的第一次重新啟動后停止。安裝程序將在此時停止，并等待用戶輸入。在那里，我們將使用審核模式以我們想要的方式完成 Windows 的設置。我在單獨的帖子中提供了有關安裝Windows 10的更多信息。

在此屏幕上停止！

要進入審核模式，請同時按control + shift + F3，就像三指敬禮（control + alt + delete）一樣。Windows 將重新啟動，并以內置管理員帳戶身份自動登錄，并且無論重新啟動多少次，都將繼續這樣做，直到運行 sysprep。在這里，我們將根據需要自定義 Windows 10，然后使用無人參與.xml文件運行 sysprep，該文件將我們的配置文件復制到默認值 （CopyProfile）。

此時，從虛擬機軟件中拍攝 VM 的快照。

大多數公司或"工作"PC都安裝了Microsoft Office以及Windows和其他常見程序。Microsoft/Windows Update用于更新Office和Windows。此時，我安裝了 Office（使用 MSP 文件以靜默方式），并使 Windows 能夠更新除自身之外的其他產品。這是通過新的"設置"應用程序\"更新和安全"\"高級選項"\"當我更新Windows時為我提供其他Microsoft產品的更新"來完成的。

必須啟用上述設置，Windows 才能更新 Office。

設置完成后，在新 VM 上運行更新，直到沒有更多更新。Windows 10版本越晚，需要的更新就越少。Microsoft Office 2016 已經存在了一段時間，并且在線提供了相當數量的可用更新。更新完成后，關閉 VM，然后拍攝另一個快照。

某些基本應用程序（不包括在定期安裝的 Windows 中）是其他應用程序使用的實用程序。各種 Visual C++ Redistributables （VCPP）、Microsoft Silverlight 和 Update .NET Frameworks （4.5/4.6） 等應用程序。這些都可以在網上輕松找到，并且可以靜默安裝。部署研究站點有一個腳本，該腳本將所有C++可再發行組件收集在一起，并以靜默方式將它們安裝在一個腳本中。

從Microsoft 網站（x86 和 x64）下載 VCP，并將其移動到如下所示的文件夾結構：（####=VCPP 應用程序的日期，2005-2015）

Source \ VC#### \ vcredist_x64.EXE

下載適用于 x86 和 x64 版本 2005、2008、2010、2012、2013 和 2015 的所有 VCPP 應用程序，并按上述方式排列它們。

可以在此處找到安裝所有這些的腳本。

Silverlight也可以從微軟的網站免費獲得。

接下來，是安裝人們每天使用的所有常規應用程序。像Google Chrome或Mozilla Firefox這樣的Web瀏覽器，像Adobe Reader或SumatraPDF這樣的PDF閱讀器，像Skype或Zoom這樣的通信應用程序，以及像VLC或iTunes這樣的多媒體應用程序。我將打算使用的應用程序下載并存儲在服務器共享上，然后使用靜默安裝腳本將它們安裝在仍處于審核模式的 Windows 10 上。

一些適用于常見應用程序的基本靜默安裝命令。如果您要了解更多詳細信息，請查看ITNinja.com。它們具有許多應用程序的無人參與和部署相關信息的簡編。

• Adobe Reader： msiexec /qb /i AcroRead.msi TRANSFORMS=AdobeReaderDC.mst
• Google Chrome Enterprise： msiexec /qn /norestart /i "GoogleChromeStandaloneEnterprise.msi"
• 火狐瀏覽器： 火狐設置.exe -ms
• VLC： vlc-2.2.1-win32.exe /L=1033 /S /NCRC
• Java （如果你必須）： jre-8u66-windows-x64.exe" /s JAVAUPDATE=0 AUTOUPDATECHECK=0
• 記事本++： npp.6.8.7.安裝程序.exe /S
• 7-Zip： msiexec /q /I 7z920-x64.msi

Ninite.com有一個網站，它將創建一個包裝器作為可執行文件，該包裝器將下載所選的任何免費軟件并安裝它們。一氣呵成。

請記住，放置在映像中的應用程序越少，該映像的相關性就越長。MDT/SCCM 除了操作系統本身之外，還可以部署應用程序。像 Adobe Flash Player 和 Adobe AIR 這樣的產品經常更改，以至于我只是在部署映像時安裝它們。

運行每個新安裝的應用程序并根據需要對其進行配置。關閉，拍攝快照，然后重新啟動并讓 Windows 10 在審核模式下繼續。

為了節省以我需要的方式配置 Windows 的時間和精力，我嘗試盡可能多地實現自動化。編寫基礎知識腳本并消除冗余和重復的任務可以節省大量時間并防止不必要的錯誤。

創建用戶帳戶 - 我通常會創建一個本地用戶帳戶，用于管理用途和域不可用時的一般用途。

首先，我創建一個本地文件夾來包含日志文件和其他好東西，然后將其隱藏。此示例中的"C：\Stuff"。

mkdir C:\Stuff
attrib +h C:\Stuff
echo Creating local user accounts
net user pcadmin * /add /comment:”Local admin account” /passwordchg:NO
wmic useraccount where “name=’pcadmin'” set passwordexpires=FALSE
net localgroup “Administrators” pcadmin /add
net user pcuser * /add /comment:”Local user account” /passwordchg:NO
wmic useraccount where “name=’pcuser'” set passwordexpires=FALSE
net localgroup “Guests” pcuser /add
echo Local user accounts created on %date% at %time%>>C:\Stuff\Windows-10-Config-Script.txt

用戶名后面的星號（*）將提示輸入新用戶的密碼，而不是將其編碼到腳本中并將其留給窺探。最后一個命令（echo...）將創建一個文本文件，并在 echo 和第一個>之間添加文本。如果是這種情況，雙>>只會將文本添加到現有文件中。

為了防止用戶通過Microsoft Windows Update使用新版本或Windows 10版本感到驚訝，我設置了一個注冊表項來通過更新禁用Windows升級。

reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate” /v DisableOSUpgrade /t REG_DWORD /d 1 /f
echo Windows 10 version upgrade disabled on %date% %time%>>C:\Stuff\Windows-10-Config-Script.txt

我想要立即啟動并運行的下一件事是遠程桌面。

echo Enabling RDP with SASC alternate port
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v “PortNumber” /t REG_DWORD /d “0xdesired_port_number_in_hex” /f
netsh advfirewall firewall add rule name=”Alternate RDP Port” dir=in action=allow protocol=TCP localport=desiredportnumberinbase10
echo RDP enabled with SASC alternate port on %date% at %time%>>C:\Stuff\Windows-10-Config-Script.txt

Windows默認配置的一個方面是隱藏文件擴展名。我可以猜測微軟的設計師認為這樣做可能對最終用戶有幫助，但在實踐中，我發現它對大多數人來說都不是。我注入了一個快速的注冊表更改，以顯示那些討厭的擴展名 。

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0 /f
echo Windows file extensions shown on %date% %time%>>C:\Stuff\Windows-10-Config-Script.txt

腳本的下一部分是完全可選的。我不建議在最終用戶準備好之前激活Windows或Office。即使在審核模式下使用 Windows，配置默認用戶配置文件時也要注意的是，在激活 Windows 之前，Windows 無法對其進行個性化設置。這意味著您將無法配置壁紙，屏幕保護程序，桌面圖標或顏色主題。我不認為這有什么大不了的，因為大多數這些項目都可以通過部署后的注冊表調整或使用組策略進行配置。但是，如果要在 sysprep 期間將這些項目包含在自定義默認用戶配置文件中，請激活并進行必要的更改。然后，將其添加到腳本中。

REM 首先嘗試 KMS 激活。如果這不起作用，請嘗試 MAK 激活。

REM Try KMS activation first. If that doesn’t work, try MAK activation.
cscript C:\Windows\System32\slmgr.vbs /skms kmsserver.company.com:port
cscript C:\Windows\System32\slmgr.vbs /ipk THEWI-NDOWS-10KMS-PRODU-CTKEY
cscript C:\Windows\System32\slmgr.vbs /ato
if %ERRORLEVEL%==0 echo Windows activated by KMS on %date% %time%>C:\Stuff\Windows-10-KMS-Act.txt
EXIT
else
REM If KMS is not available, use an MAK to activate.
cscript C:\Windows\System32\slmgr.vbs /ipk THEWI-NDOWS-10MAK-PRODU-CTKEY
cscript C:\Windows\System32\slmgr.vbs /ato
echo Windows activated by MAK on %date% %time%>C:\Stuff\Windows-10-MAK-Act.txt
EXIT

如果 Windows 剛剛激活，請關閉，拍攝快照，然后重新啟動并讓 Windows 10 在審核模式下繼續。

自定義默認用戶配置文件...

準備默認用戶配置文件，即內置管理員帳戶，以最終用戶應擁有的方式。在此帳戶下運行應用程序以回答任何首次運行提示時，我會謹慎行事。與Windows 7相比，Windows 10在用戶首次登錄過程中的功能更多。這些更改會延長新用戶首次登錄所需的時間。隨著應用程序的運行和設置的配置，用戶配置文件的大小會迅速增長，從 2MB 增加到 500MB，而無需執行太多操作。每次將新用戶帶到 Windows 時，都會從C：\Users\default復制此默認配置文件。配置文件越大，復制過程花費的時間就越長，并且已經很長的登錄過程就越長。我越來越多地尋求通過組策略和我們的端點管理平臺 BigFix 提供默認用戶設置的方法。

如果有一段時間沒有拍攝 VM 快照，請立即拍攝，當然也可以在以任何方式運行 sysprep 之前拍攝。

為了讓 sysprep 將我們配置的自定義用戶配置文件復制到默認值（替換 Windows 提供的內容），在運行 sysprep 時，Windows 上只能有一個配置文件。如果有多個配置文件，則 sysprep 不會復制任何內容。通過系統小程序從 Windows 中刪除任何配置文件，自定義配置文件除外。這還可以確保登錄到安裝了此 Windows 映像的電腦的每個人都將獲得自定義配置文件。

接下來，創建一個無人參與.xml文件，并將"復制配置文件"選項設置為 true。無人參與文件的創建需要在 Windows 10 的另一個單獨安裝上完成，該安裝運行的 Windows 10 版本與正在進行無人參與.xml完全相同的版本。將無人參與.xml文件復制到即將進行系統準備并運行的 VM （C：\Windows\System32\sysprep）：

sysprep.exe /oobe /generalize /shutdown /unattend：C：\File\Path\To\unattend.xml

Sysprep將花時間并做它的事情來推廣Windows并關閉。此時拍攝另一個 VM 快照，然后再次打開 VM 電源。Windows OOBE 將像從 OEM 或供應商處獲得的新電腦一樣運行。創建一個偽造的用戶帳戶以完成 OOBE 過程并進入 Windows 桌面。注銷新用戶帳戶并以內置管理員身份登錄（應列在登錄屏幕的左下角）。刪除通過 OOBE 創建的新用戶帳戶，并確認給出的生成的用戶配置文件是最終用戶應具有的。再拍攝一張 VM 的快照。完成后，使用所選的成像工具捕獲圖像。我們使用 Microsoft Deployment Toolkit （MDT）。若要將 Windows 的安裝捕獲到 MDT 中，請從要捕獲的 Windows 安裝中通過"運行"對話框連接到部署共享。無需重新啟動到 MDT Windows PE USB 驅動器。

\mdtserver.company.com\deploymentshare\Scripts\LightTouch.vbs

選擇為創建 Windows 10 映像而創建的 Sysprep 和捕獲任務。該任務還將對 Windows 進行系統準備，然后重新啟動到 Windows PE 并執行捕獲，從而在部署共享的"捕獲"文件夾中創建 WIM 文件。不要理會 VM，讓事情慢慢來。根據 VHD 上的安裝大小，可能需要一個小時或更長時間。特定于 Windows 10 的 1709 內部版本的行為是 Windows 在 MDT 捕獲任務中進行系統準備后，不會重新啟動到 Windows PE 的趨勢。它會再次回到Windows，完全跳過捕獲。為了解決此問題，我必須確保 VM 的虛擬 CD/DVD 驅動器（映射到 MDT Windows PE ISO 文件）是 VM 啟動序列上的第一項。Hyper-V 將從啟動順序的頂部刪除虛擬 CD/DVD 驅動器，并將其替換為 VHD 中的 Windows 啟動卷。在 VMware Workstation 中，我必須編輯 VM 的 VMX 文件以包含啟動延遲，這使我有時間中斷啟動順序并根據需要重定向它。只需添加：

bios.bootdelay=20000

到虛擬機的 VMX 文件，它將等待 20 秒，然后完成引導序列中的默認順序，這足以停止它、進入虛擬 BIOS 并切換引導設備。提供一個正在注意...