Windows 2016 + MDT 2013 update2佈署研究(2)客製化佈署windows 10

前言:

在上一篇時作將MDT2013 安裝後，及測試一個簡單佈署後，針對筆者本身公司環境想達成大量佈署的一些項目如下:

1. 佈署完畢後windows 已安裝裝當月最新更新
2. 新增一個localadmin 帳號，並設定密碼不到期及密碼無法變更
3.設定本機 administrator 密碼並設定無法變更密碼密碼永久有效，最後停用administrator
4.自動切割硬碟 C: 系統磁碟、D:為光碟機 E:資料碟
5.自動安裝應用程式
– 壓縮軟體7-zip
– office 2016 pro (並自動安裝當月最新修補程式)
– adober reader DC
6.自動安裝該用戶端電腦驅動程式
7.忽略用戶端第一次登入時的動畫

我實作步驟筆記如下:

匯入windows當月最新的hotfix方式(測試windwos 10 -1709版本最新更新為2017.12月12日)。

將下載下來的更新檔放在共享發佈點的的Packages目錄

本次實作路徑為D:\DeploymentShare\Packages

更新檔在Microsoft®Update Catalog 下載有區分增量及累積更新，累積更新安裝後就包含之前的更新。
如果本次實作的範例，已經匯入windows 10-1709 版本的Image 至MDT，這樣只需要將淚累計更新匯入即可。
如果下個月的更新發布後可以有兩個作法
1.將12月的累計更新移除，匯入最新的累計更新
2.直接將最新的增量更新匯入即可 (增量更新檔案比較小)

匯入方式: 在MDT管理工具=>Packages節點上滑鼠右鍵 => Import OS Packages

選擇packages目錄

確認相關匯入設定後點選[Next]後將開始進行Import Packages

匯入完成

在主控台就可以看到匯入四支作業更新程式

新增應用程式
首先先將應用軟體放在MDT主機上，本次實作先放在d:\tools 目錄，並以軟體名稱分類
其中7-zip 以及adobe reader 都是.exe 執行檔，office2016軟體則是將光碟片中的所有檔案copy一份出來即可。

在MDT管理工具=>applications節點上滑鼠右鍵 => New Application

選擇Application with source files

輸入應用程式名稱及版本 (僅需要輸入應用程式名稱就可以)

在這先新增7-zip

選擇來源目錄，並勾選移動檔案到發佈點的共享目錄

確認移動的共享目錄的名稱(可以自訂)

安裝指令: 因為每個軟體的參數都不同，所以要佈署其他應用程式可以先查詢一下是否有靜默安裝的模式，不然還是要手動輸入一些資訊。
以 7-Zip 來說只要輸入 7z1604-x64.exe /S 即可接著只需要下一步下一步就可以完成7-zip應用程式發佈。

完成

Adobe Reader 部分可以依照部署7-zip方式來進行

指令部分可以輸入下方這一行執行靜默安裝

AcroRdrDC1800920044_zh_TW.exe /msi EULA_ACCEPT=YES REMOVE_PREVIOUS=YES /qn

office2016 pro 部分一樣可以依照部署7-zip方式來進行

指令行部分只需要輸入 setup.exe 來完成佈署

接著在office 2016 需要靜默安裝需要額外的步驟在此說明

在應用程式節點點選office2016pro =>滑鼠右鍵 => 內容

切換到office Products 頁面 => 點選 [Office Customization Tool]

會提示需要將設定的儲存到updates 目錄

接著會跳出自訂工具精靈畫面

輸入組織

因公司有架設KMS所以設定不需要輸入金鑰
顯示層級選擇基本，因為自動安裝故不用勾選其他選項

安裝功能選項可以依照本身區需求設定，本次實作access 不安裝

其中安裝選項說明有兩個很類似的安裝選項查詢後得知差異可以參考下方說明

從我的電腦執行
安裝程式會將檔案複製到使用者的硬碟，並寫入與該功能相關聯的登錄項目和捷徑。功能 (或應用程式) 會在使用者的電腦上執行。

全部從我的電腦執行
此選項與 [從我的電腦執行] 相同，只是屬於該功能的所有子功能也都會設為此狀態。

接著要把上述自訂安裝設定儲存(一定保存到updates，自訂安装參數文件名稱請設定為數字0開頭)

本次實作

.msp 儲存至共享發佈點應用程式目錄D:\DeploymentShare\Applications\office2016pro\updates
檔名 0-office2016-install.MSP

為了要安裝office 2016後也將當月安全性更新一併安裝所以可以先將更新檔下載(本次實作最新的更新檔為2017.12月發佈的KB4011095)

連結如下

https://www.microsoft.com/zh-tw/download/details.aspx?id=56353

下載的檔案為.exe 可以將它解壓縮後將 .msp 及.xml 檔案複製到

D:\DeploymentShare\Applications\office2016pro\updates 目錄

放到updates 目錄後再安裝完office 後會自動安裝該更新檔案

新增驅動程式

在Out-of-Box Drivers 節點 => new Folder

新增一個資料夾 Lenovo X230

再點選Lenovo X230 資料夾=>滑鼠右鍵 Import Drivers

選擇Lenovo X230相關驅動程式目錄

匯入完畢

以上完成了驅動程式，應用軟體，更新檔等’相關佈署設定後，接下來就是要建立自動化流程~~首先依照前一篇文章建立Task Sequences

在此我先建立了一個X230 Task Sequences

點開X230 Task Sequences 後=> 在 Task Sequences 頁籤

可以看到紅色框框部分是預設會執行的工作流程，當然都可以保留沒有詳細設定的地方在佈署時也會直帶過。

此次實作會把 [State Capture] 和[State Restore]這兩個工作流程項目移除，這兩個項目在佈署新的OS是用不到的。

[State Capture] => 應該把一台已經安裝好的OS 做印象檔用(不是很確定)

[State Restore] => 應該是如果有使用升級的話會還原用戶資料(不是很確定)

接著根據自己的需求在此作調整

安裝時硬碟分成兩個磁區，一個安裝作業系統，一個存放用戶資料

這個流程再Preinstll (在安裝OS前的工作流程)步驟調整

預設已經有設定如下圖，我直接將它刪除重新設定，點選X可以刪除黃色米按鈕可以新增

新增OS安裝磁區，將Boot Partition 打勾
Partition Name : 設定windows ==>表示磁區名稱

設定第2個磁碟區

設定完畢 (舊版BIOS部分)

新版UEFI也相同設定兩個磁碟區

在切割硬碟的過程中這裡的步驟沒有設定磁碟機代號的地方，如果要變更磁碟機代號需要在安裝完畢後進行變更，理論上上述的設定當主機只有安裝一顆硬碟時，windows 10安裝完畢後應該會是 C磁碟、D磁碟、光碟機代號E。

Postinstall (OS安裝後要做的工作):

應用程式安裝:

點選 [add] => [General] => Install Application

看到Install Application選項後右邊視窗 => 選擇install single application
==> Browse => 先選擇 7-zip 軟體

依循上述步驟兩另外的adobe reader 及office2016 新增

在完成自動安裝應用軟體配置後，還有本機帳戶要處理，此部分可以搭配自動回應檔(Unattend.xml)達成以下任務

1.建立新增一個localadmin 帳號
2.忽略用戶端第一次登入時的動畫(如下圖)

在此設定前查資料看到一張圖說明自動回應檔有很多階段處理的順序可以參考

切換到OS info 頁籤 =>點選 [edit unattend.xml]

開啟後可以看到如下圖編輯模式，其實在建立這個X230 Task Sequences 時已經有部分設定寫在這邊了。

例如本機administrator 的設定檔

接著在左下方[windows 映像]區塊中找到

wow64_Microsoft-Windows-Shell-Setup\UserAccounts\LocalAccounts

在該選項上 => 滑鼠右鍵 => 選擇新增至 Pass7 oobesystem(7)

接著在[回應檔]區塊中找到 [7 oobesystem] => LocalAccounts ==> 滑鼠右鍵 [插入新的LocalAccount]

設定帳號owner ，並設定為administrators 群組

設定password

忽略用戶端第一次登入時的動畫設定

在[回應檔案]區塊 => 找到[4 specialize] => Microsoft –windows-deployment => Runsynchronous => 滑鼠右鍵 => [插入新的Runsynchronouscommand]

輸入相關資訊

這邊就是以寫入機碼的方式將用戶端第一次登入時的動畫取消

Order 欄位:5 (是因為預設已經有4各項目要Run)
path 欄位資訊如下:
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v EnableFirstLogonAnimation /t REG_DWORD /d 0 /f

在此完成了帳號建立及忽略動畫的步驟。

最後還有幾個下列小項目沒有達成，如果需要達成就要使用指令來做在此使用powershell來實現。

1.設定本機administrator 密碼永久有效及停用
2.變更磁碟代號
3.設定新增的local admin 帳號密碼無法變更及永久有效

首先新增一個powershell script file => setting.ps1 並將該檔案放在MDT共享目錄中的Scripts資料夾中。

這個script 的設定項目有

1.設定administrator 帳號密碼不到期
2.設定owner 本機帳號密碼部過期即無法變更
3.變更磁碟機代號
4.停用本機administrator

內容如下 :

Set-LocalUser -Name “administrator” -PasswordNeverExpires 1
Remove-LocalGroupmember -name administrators owner
Set-LocalUser -Name “owner” -UserMayChangePassword 0 -PasswordNeverExpires 1
Add-LocalGroupMember -name administrators owner

Set-Partition -DriveLetter D -NewDriveLetter G
$DvdDrive = Get-CimInstance -Class Win32_Volume -Filter ‘DriveType=5’
Set-CimInstance -InputObject $DvdDrive -Arguments @{DriveLetter=”D:”}
Set-Partition -DriveLetter G -NewDriveLetter E
Disable-LocalUser -name “administrator”

在X230 Task Sequence 中 Postinstall 工作流程項目新增[Run PowerShell Script]

在powershell script欄位輸入=> %SCRIPTROOT%\setting.ps1
這樣設定後在安裝完應用程式就會繼續執行這個powershell

其他設定說明:

在MDT主控台中=> advanced configuration 節點中的 selection Profiles 項目，這邊的用意是說可以針對要佈署的型號它包含哪些東西。

點選 All Drivers and Packages 可以看到預設有包含前面新增的Lenovo X230 driver 和 Packages更新套件的項目。所以只要有新增的的驅動程式預設會自動加進這個profile不需要特別設定。

當以上流程都設定完畢後，接著最後需要幫前面所做的步驟封裝起來。

在MDT Deployment share 節點 => 滑鼠右鍵 => 內容

在General 頁面可以調整UNC分享的路徑，預設封裝後會再部署共用路徑下的[Boot]資料夾產生x86 與 x64 的 ISO 開機映像檔。

Rules 頁面，這裡是MDT 開機映像檔，開機後的一些設定程序

在Rule 頁面會有下圖這些選項如果要略過這些畫面必須可以參考下方說明並將它寫入Rule設定中。

Rule設定就是CustomSettings.ini 檔案位在磁碟的 \DeploymentShare\Control\ 路徑

– Move Data and Settings ==> SkipUserData=YES
– User Data(Restore) ==> SkipUserData=YES
– Product Key ===> SkipProductKey=YES
– Locale and time ==> SkipLocaleSelection=YES SkipTimeZone=YES
-Applications => SkipApplications=YES
-administrator password ==> SkipAdminPassword=YES
-capture image ==> SkipCapture=YES
-Bitlocker ==> SkipBitLocker=YES

在此範例中我掠過大部分的設定畫面，雖然略過地區語系選項，但在這個地方也直接指定以下設定。

KeyboardLocale=zh-TW
UserLocale=zh-TW
UILanguage=zh-TW
SkipBitlocker=YES
TimeZoneName=Taipei Standard Time

最後會留下選擇Task Sequences 、設定電腦名稱、加入網域或工作群組選項來手動設定如下面兩張圖，會這樣設定的原因是在我的公司環境因為本地IT沒有domain admin的權限，只有隸屬區域OU權限，所以在一批新的PC來或是重灌電腦都會在有權限的OU將電腦物件建立起來後再join domin時將電腦名稱改成已存在的電腦物件名才可以join domain，因預設沒有先把電腦物件建立起來加入網域後物件會在Computer容器下由於沒權限所以會無法將電腦加入網域。

所以再利用MDT佈署時就把電腦名稱及join domin 名稱及有權限加入網域的帳號輸入後再來就是全自動化了。

如果要把此部分設定寫死並且略過此設定可以再多加下面幾行設定

SkipDomainMembership=YES
SkipComputerName=YES
JoinDomain= pmail.idv.tw
DomainAdmin=Administrator
DomainAdminPassword=Pass@w0rd
DomainAdminDomain=pmail.idv.tw

另外想要指定特定TaskSequence並略過該選項可以加入以下設定
SkipTaskSequence=YES
TaskSequenceID=X230

在編輯好Rule後，在該頁面有一個[Edit Bootstrap.ini]選項點選他來進行編輯

這裡設定的地方是boot image 開機的第一個歡迎畫面如下圖

還有就是需要輸入可以存取MDT共享資料夾路徑的帳號密碼

在此只需要加入以下設定就可以不需輸入直接跳到Rule選單項目，如果Rule項目也都指定好不須手動再介入那就是全自動安裝。

UserID=Administrator
UserDomain=pmail.idv.tw
UserPassword=Pa@ssw0rd
KeyboardLocale=en-US
SkipBDDWelcome=Yes ==>直接略過開機後佈署歡迎精靈選項畫面
SkipSummary=YES
SkipFinalSummary=YES

接著在Windows PE頁面，可以看一下Drivers and Patches 頁，預設profile會是[All Drivers and Packages ]，所以日後如果有新的機型或驅動加入就不用特別選定，除非有想分不同機種的PC或NB，個人是比較喜歡所有都驅動都用在同一個profile，反正只要是安裝win 10都通用。

Monitoring 頁面建議勾選起來，這樣可以在MDT主控台看到目前正在佈署的主機執行狀況。

完成上面述設定之後，在部署共用的節點上按下滑鼠右鍵點選[Update Deployment Share]，來更新前面所完成的各項異動設定及封裝並產生開機映像檔。

[Options]頁面中可以選擇最佳化開機映像檔更新的方式（Optimize the boot images updating process），或是進行完整的開機映像檔的產生作業（Complete regenerate the boot images），在此我們選擇預設的項目即可。一旦上述的作業完成之後，您將可以在目前部署共用路徑下的[Boot]資料夾中，看到幾個 x86 與 x64 的 ISO 開機映像檔了。

另外說明:

如下圖在安裝好3個應用程式後我插入一個restart computer選項這邊可以視需求而定，因為有些軟體安裝完畢後建議重開機一次，但要注意千萬不要把重開機放到此次實作run powershell 後重開機，因為powershll 執行後administrator 就會被停用，此時重開機後會無法使用administrator登入電腦完成MDT最後佈署的動作。所以powershll 必須放在最後。

插入重開機方式 : add =>general => Restart computer