Preparar-se para a instalação Zero Touch do Windows 10 com o Configuration Manager

Aplica-se a:

• Windows 10

Este artigo orienta você através do processo ZTI (Instalação de Toque Zero) da implantação do sistema operacional Windows 10 usando Microsoft Configuration Manager integrado ao MDT (Microsoft Deployment Toolkit).

Pré-requisitos

Neste artigo, você usará componentes de uma infraestrutura existente do Gerenciador de Configurações para se preparar para o Windows 10 OSD. Além da configuração básica, as seguintes configurações devem ser feitas no ambiente do Configuration Manager:

• O branch atual do Configuration Manager e todas as atualizações críticas e de segurança estão instalados.

  Observação

  Os procedimentos neste guia usam o Gerenciador de Configurações versão 1910. Para obter mais informações sobre as versões de Windows 10 compatíveis com Configuration Manager, consulte Suporte para Windows 10.

• O Esquema do Active Directory foi estendido e o contêiner do System Management foi criado.

• A Descoberta de Florestas do Active Directory e a Descoberta de Sistemas do Active Directory estão habilitadas.

• Foram criados Limites e um grupo de limite de intervalos de IP para atribuição de site e de conteúdo.

• Foi adicionada e configurada a função de ponto do Reporting Services do Configuration Manager.

• Foram criadas uma estrutura de pastas do sistema de arquivos e uma estrutura de pastas do console do Configuration Manager para pacotes. As etapas para verificar ou criar essa estrutura de pastas são fornecidas abaixo.

• A versão do Windows ADK com suporte para a versão do Configuration Manager instalada, incluindo o complemento do Windows PE. O USMT deve ser instalado como parte da instalação do Windows ADK.

• MDT versão 8456

• O DaRT 10 (parte do MDOP 2015) está instalado.

• A ferramenta CMTrace (cmtrace.exe) foi instalada no ponto de distribuição.

  Observação

  O CMTrace é instalado automaticamente com o branch atual do Configuration Manager em Program Files\Microsoft Configuration Manager\tools\cmtrace.exe.

Para os propósitos deste guia, usaremos três computadores servidores: DC01, CM01 e HV01.

• DC01 é um controlador de domínio e servidor DNS para o domínio contoso.com. Os serviços DHCP também estão disponíveis e, opcionalmente, instalados no DC01 ou em outro servidor.
• CM01 é um servidor membro do domínio e ponto de distribuição do software do Configuration Manager. Neste guia, o CM01 é um servidor de site primário autônomo.
• HV01 é um computador host do Hyper-V usado para criar uma imagem de referência do Windows 10. Este computador não precisa ser um membro do domínio.

Todos os servidores estão executando o Windows Server 2019. No entanto, uma versão anterior com suporte do Windows Server também pode ser usada.

Todos os servidores e computadores clientes referenciados neste guia estão na mesma sub-rede. Essa inter-relação não é necessária, mas cada servidor e computador cliente deve poder se conectar entre si para compartilhar arquivos e resolver todos os nomes DNS e informações do Active Directory para o domínio contoso.com. A conectividade com a Internet também é necessária para baixar atualizações do sistema operacional e de aplicativos.

Credenciais de domínio

As credenciais genéricas a seguir são usadas neste guia. Substitua essas credenciais conforme elas aparecem em cada procedimento por suas credenciais.

• Nome de domínio do Active Directory: contoso.com
• Nome de usuário do administrador de domínio: administrator
• Senha do administrador de domínio: pass@word1

Criar a estrutura de UO

Observação

Se você já criou a estrutura de UO que foi usado na guia do OSD para MDT, a mesma estrutura é usada aqui e você pode pular esta seção.

Em DC01:

Para criar a estrutura de UO, você pode usar o console Usuários e Computadores do Active Directory (dsa.msc) ou usar o Windows PowerShell. O procedimento a seguir usa o Windows PowerShell.

Para usar Windows PowerShell, copie os comandos a seguir em um arquivo de texto e salve-os como C:\Setup\Scripts\ou.ps1. Verifique se você está exibindo extensões de arquivo e salve o arquivo com a .ps1 extensão.

$oulist = Import-csv -Path c:\oulist.txt
ForEach($entry in $oulist){
    $ouname = $entry.ouname
    $oupath = $entry.oupath
    New-ADOrganizationalUnit -Name $ouname -Path $oupath -WhatIf
    Write-Host -ForegroundColor Green "OU $ouname is created in the location $oupath"
}

Em seguida, copie a seguinte lista de nomes e caminhos de UOs em um arquivo de texto e salve-o como C:\Setup\Scripts\oulist.txt

OUName,OUPath
Contoso,"DC=CONTOSO,DC=COM"
Accounts,"OU=Contoso,DC=CONTOSO,DC=COM"
Computers,"OU=Contoso,DC=CONTOSO,DC=COM"
Groups,"OU=Contoso,DC=CONTOSO,DC=COM"
Admins,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Service Accounts,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Users,"OU=Accounts,OU=Contoso,DC=CONTOSO,DC=COM"
Servers,"OU=Computers,OU=Contoso,DC=CONTOSO,DC=COM"
Workstations,"OU=Computers,OU=Contoso,DC=CONTOSO,DC=COM"
Security Groups,"OU=Groups,OU=Contoso,DC=CONTOSO,DC=COM"

Por último, abra um prompt com privilégios elevados do Windows PowerShell no DC01 e execute o script ou.ps1:

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Set-Location C:\Setup\Scripts
.\ou.ps1

Criar as contas de serviço do Configuration Manager

Um modelo baseado em função é usado para configurar as permissões para as contas de serviço necessárias para a implantação do sistema operacional no Configuration Manager. Execute as etapas a seguir para criar as contas de ingressar no domínio e de acesso à rede do Configuration Manager:

Em DC01:

1. No console Usuários e Computadores do Active Directory, navegue até contoso.com>Contas de Serviçocontoso>.

2. Selecione a OU contas de serviço e crie a conta CM_JD usando as seguintes configurações:

   • Nome: CM_JD
   • Nome de entrada do usuário: CM_JD
   • Senha: pass@word1
   • O usuário deve alterar a senha no próximo logon: Limpar
   • O usuário não pode alterar a senha: selecionado
   • Password never expires: selecionado

3. Repita a etapa, mas para a conta CM_NAA.

4. Depois de criar as contas, atribua as descrições a seguir:

   • CM_JD: Configuration Manager ingressar na conta de domínio
   • CM_NAA: Configuration Manager Conta de Acesso à Rede

Configurar permissões do Active Directory

Para que o Configuration Manager Ingressar na Conta de Domínio (CM_JD) ingresse computadores no domínio contoso.com, você precisa configurar permissões no Active Directory. Essas etapas supõem que você baixou o exemplo Set-OUPermissions.ps1 script e copiou-o no C:\Setup\Scripts DC01.

Em DC01:

1. Entre como contoso\administrador e insira os seguintes comandos em um prompt elevado do PowerShell:

   Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
   Set-Location C:\Setup\Scripts
   .\Set-OUPermissions.ps1 -Account CM_JD -TargetOU "OU=Workstations,OU=Computers,OU=Contoso"
   

2. O script Set-OUPermissions.ps1 permite que as permissões da conta de usuário CM_JD gerenciem contas de computador na OU Contoso/Computadores/Estações de Trabalho. A lista a seguir é a das permissões de acesso concedidas:

   • Escopo: este objeto e todos os objetos descendentes
   • Criar objetos de computador
   • Excluir objetos de computador
   • Escopo: objetos de computador descendentes
   • Ler todas as propriedades
   • Gravar todas as propriedades
   • Ler permissões
   • Modificar permissões
   • Alterar senha
   • Redefinir senha
   • Gravação validada no nome de host DNS
   • Gravação validada no nome da entidade de serviço

Examinar a estrutura de pastas Sources

Em CM01:

Para dar suporte aos pacotes criados neste artigo, a seguinte estrutura de pastas deve ser criada no servidor de site primário do Configuration Manager (CM01):

• D:\Fontes
• D:\Sources\OSD
• D:\Sources\OSD\Boot
• D:\Sources\OSD\DriverPackages
• D:\Sources\OSD\DriverSources
• D:\Sources\OSD\MDT
• D:\Sources\OSD\OS
• D:\Sources\OSD\Settings
• D:\Sources\OSD\Branding
• D:\Sources\Software
• D:\Sources\Software\Adobe
• D:\Sources\Software\Microsoft
• D:\Logs

Observação

Na maioria dos ambientes de produção, os pacotes são armazenados em um compartilhamento de sistema de arquivos distribuído (DFS) ou um compartilhamento de servidor "normal". Mas em um ambiente de laboratório, você pode armazená-los no servidor do site.

Você pode executar os seguintes comandos em um prompt com privilégios elevados do Windows PowerShell para criar esta estrutura de pastas:

New-Item -ItemType Directory -Path "D:\Sources"
New-Item -ItemType Directory -Path "D:\Sources\OSD"
New-Item -ItemType Directory -Path "D:\Sources\OSD\Boot"
New-Item -ItemType Directory -Path "D:\Sources\OSD\DriverPackages"
New-Item -ItemType Directory -Path "D:\Sources\OSD\DriverSources"
New-Item -ItemType Directory -Path "D:\Sources\OSD\OS"
New-Item -ItemType Directory -Path "D:\Sources\OSD\Settings"
New-Item -ItemType Directory -Path "D:\Sources\OSD\Branding"
New-Item -ItemType Directory -Path "D:\Sources\OSD\MDT"
New-Item -ItemType Directory -Path "D:\Sources\Software"
New-Item -ItemType Directory -Path "D:\Sources\Software\Adobe"
New-Item -ItemType Directory -Path "D:\Sources\Software\Microsoft"
New-SmbShare -Name Sources$ -Path D:\Sources -FullAccess "NT AUTHORITY\INTERACTIVE", "BUILTIN\Administrators"
New-Item -ItemType Directory -Path "D:\Logs"
New-SmbShare -Name Logs$ -Path D:\Logs -ChangeAccess EVERYONE

Integrar o Configuration Manager ao MDT

Para estender o console do Configuration Manager com assistentes e modelos do MDT, instale o MDT com as configurações padrão e execute o aplicativo da área de trabalho Configurar Integração do ConfigManager. Nestas etapas, assumimos que você já baixou o MDT e o instalou com as configurações padrão.

Em CM01:

1. Entre como contoso\administrator.

2. Verifique se Console do Configuration Manager está fechado antes de continuar.

3. Selecione Iniciar, digite Configurar a Integração ConfigManager e execute o aplicativo com as seguintes configurações:

   • Nome do servidor do site: CM01.contoso.com
   • Código do site: PS1

Integração do MDT com o Gerenciador de Configurações.

Definir as configurações de cliente

A maioria das organizações quer exibir seu nome durante a implantação. Nesta seção, defina as configurações de cliente Configuration Manager padrão com o nome da organização Contoso.

Em CM01:

1. Abra o console Configuration Manager, selecione o workspace Administração e selecione Configurações do Cliente.

2. No painel direito, clique com o botão direito do mouse em Configurações Padrão do Cliente e selecione Propriedades.

3. No nó Agente de Computador , no nome da organização exibido na caixa de texto centro de software, insira Contoso e selecione OK.

Configure o nome da organização nas configurações do cliente.

O nome da organização Contoso exibido durante a implantação.

Configurar a conta de Acesso à Rede

O Configuration Manager usa a conta de Acesso à Rede durante o processo de implantação do Windows 10 para acessar o conteúdo nos pontos de distribuição. Nesta seção, configure a conta de Acesso à Rede.

Em CM01:

1. Usando o console Configuration Manager, no workspace Administração, expanda Configuração do Site e selecione Sites.

2. Clique com o botão direito do mouse em PS1 - Primary Site 1, aponte para Configurar Componentes do Site e selecione Distribuição de Software.

3. Na guia Conta de Acesso à Rede , selecione Especificar a conta que acessa locais de rede e adicione a conta CONTOSO\CM_NAA como a conta de Acesso à Rede (senha: pass@word1). Use a nova opção Verificar para verificar se a conta pode se conectar ao compartilhamento de \\DC01\sysvol rede.

Teste a conexão para a conta de Acesso à Rede.

Habilitar o PXE no ponto de distribuição CM01

O Configuration Manager tem muitas opções para iniciar uma implantação, mas começar via PXE é certamente a opção mais flexível em um ambiente grande. Nesta seção, você pode habilitar o PXE no ponto de distribuição CM01.

Em CM01:

1. No console Configuration Manager, no workspace Administração, selecione Pontos de Distribuição.

2. Clique com o botão direito do mouse no ponto de distribuição \\CM01.CONTOSO.COM e selecione Propriedades.

3. Na guia PXE, use as seguintes configurações:

   • Habilitar suporte a PXE para clientes
   • Permitir que este ponto de distribuição responda às solicitações PXE de entrada
   • Habilitar computador desconhecido
   • Exigir uma senha quando os computadores usarem PXE
   • Senha e Confirmar senha: pass@word1

   

   Configure o ponto de distribuição CM01 para PXE.

   Observação

   Se você selecionar Habilitar um respondente PXE sem o Serviço de Implantação do Windows, o WDS não será instalado ou, se ele já estiver instalado, ele será suspenso e o ConfigMgr Serviço de Resposta PXE (SccmPxe) será usado em vez de WDS. O Respondente PXE do ConfigMgr não dá suporte a multicast. Para obter mais informações, confira Instalar e configurar pontos de distribuição.

4. Usando a ferramenta CMTrace, examine o C:\Program Files\Microsoft Configuration Manager\Logs\distmgr.log arquivo. Procure as linhas ConfigurarPXE e CcmInstallPXE .

   

   O distmgr.log exibe uma configuração bem-sucedida do PXE no ponto de distribuição.

5. Verifique se você tem sete arquivos em cada uma das pastas D:\RemoteInstall\SMSBoot\x86 e D:\RemoteInstall\SMSBoot\x64.

   

   O conteúdo da pasta D:\RemoteInstall\SMSBoot\x64 depois de habilitar o PXE.

   Observação

   Esses arquivos são usados pelo WDS. Eles não são usados pelo Respondente PXE do ConfigMgr. Este artigo não usa o Respondente PXE do ConfigMgr.

Em seguida, confira Criar uma imagem de inicialização personalizada do Windows PE com o Configuration Manager.

Componentes da implantação de sistema operacional do Configuration Manager

A implantação do sistema operacional com o Gerenciador de Configurações faz parte da infraestrutura normal de distribuição de software, mas há mais componentes. Por exemplo, a implantação do sistema operacional no Gerenciador de Configurações pode usar a função Ponto de Migração do Estado, que não é usada pela implantação normal do aplicativo no Gerenciador de Configurações. Esta seção descreve os componentes do Configuration Manager envolvidos com a implantação de um sistema operacional, como Windows 10.

• Ponto de migração de estado (SMP). O ponto de migração de estado é usado para armazenar dados de migração de estado do usuário durante cenários de substituição de computador.

• Ponto de Distribuição (DP). O ponto de distribuição é usado para armazenar todos os pacotes no Configuration Manager, incluindo os pacotes relacionados à implantação do sistema operacional.

• Ponto de atualização de software (SUP). O ponto de atualização de software, que é normalmente usado para implantar atualizações em computadores existentes, também pode ser usado para atualizar um sistema operacional como parte do processo de implantação. Você também pode usar a instalação offline para atualizar a imagem diretamente no servidor do Configuration Manager.

• Ponto do Reporting Services. O ponto do Reporting Services pode ser usado para monitorar o processo de implantação do sistema operacional.

• Imagens de inicialização. Imagens de inicialização são as imagens do Ambiente de Pré-Instalação do Windows (Windows PE) que o Configuration Manager usa para iniciar a implantação.

• Imagens do sistema operacional. O pacote de imagem do sistema operacional contém apenas um arquivo, a imagem .wim personalizada. Normalmente, essa imagem é a imagem de implantação da produção.

• Instaladores de sistema operacional. Os instaladores de sistema operacional foram adicionados originalmente para criar imagens de referência usando o Configuration Manager. Em vez disso, recomendamos que você use o MDT Lite Touch para criar suas imagens de referência. Para obter mais informações sobre como criar uma imagem de referência, consulte Criar uma imagem de referência do Windows 10.

• Drivers. Como o MDT Lite Touch, o Configuration Manager também fornece um repositório (catálogo) de drivers de dispositivos gerenciados.

• Sequências de tarefas. As sequências de tarefas no Gerenciador de Configurações se parecem muito com as sequências no MDT Lite Touch e são usadas para a mesma finalidade. No entanto, no Gerenciador de Configurações, a sequência de tarefas é entregue aos clientes como uma política através do Ponto de Gerenciamento (MP). O MDT fornece mais modelos de sequência de tarefas para o Gerenciador de Configurações.

  Observação

  O ADK (Kit de Avaliação e Implantação do Windows) para Windows 10 também é necessário para dar suporte ao gerenciamento e à implantação do Windows 10.

Por que integrar o MDT ao Configuration Manager

Como observado acima, o MDT adiciona vários aperfeiçoamentos ao Configuration Manager. Embora esses aprimoramentos sejam chamados de Zero Touch, esse nome não reflete como a implantação é conduzida. As seções a seguir fornecem alguns exemplos dos 280 aperfeiçoamentos que o MDT adiciona ao Configuration Manager.

Observação

A instalação do MDT requer o seguinte:

• O Windows ADK para Windows 10 (instalado no procedimento anterior)
• É recomendável o Windows PowerShell (versão 5.1; para verificar, digite $host)
• Microsoft .NET Framework

O MDT permite a implantação dinâmica

Quando o MDT é integrado ao Configuration Manager, a sequência de tarefas processa mais instruções das regras do MDT. Em seu formulário mais simples, essas configurações são armazenadas em um arquivo de texto, no CustomSettings.ini arquivo, mas você pode armazenar as configurações nos bancos de dados do Microsoft SQL Server ou ter o Microsoft Visual Basic Scripting Edition (VBScripts) ou serviços Web fornecendo as configurações usadas.

A sequência de tarefas usa instruções que permitem que você reduza o número de sequências de tarefas no Configuration Manager e armazene as configurações fora da sequência de tarefas. Veja aqui alguns exemplos:

• As configurações a seguir instruem a sequência de tarefas para instalar o pacote HP Hotkeys, mas somente se o hardware for um HP EliteBook 8570w. Você não precisa adicionar o pacote à sequência de tarefas.

  [Settings] 
  Priority=Model
  [HP EliteBook 8570w] 
  Packages001=PS100010:Install HP Hotkeys
  

• As configurações a seguir instruem a sequência de tarefas a colocar notebooks e desktops em diferentes unidades organizacionais durante a implantação, atribuir nomes de computadores diferentes e, por fim, fazer a sequência de tarefas instalar o cliente Cisco VPN, mas somente se o computador for um notebook.

  [Settings]
  Priority= ByLaptopType, ByDesktopType
  [ByLaptopType]
  Subsection=Laptop-%IsLaptop%
  [ByDesktopType]
  Subsection=Desktop-%IsDesktop%
  [Laptop-True]
  Packages001=PS100012:Install Cisco VPN Client
  OSDComputerName=LT-%SerialNumber%
  MachineObjectOU=ou=laptops,ou=Contoso,dc=contoso,dc=com
  [Desktop-True]
  OSDComputerName=DT-%SerialNumber%
  MachineObjectOU=ou=desktops,ou=Contoso,dc=contoso,dc=com
  

A ação Gather na sequência de tarefas se encarrega de ler as regras.

O MDT adiciona um ambiente de simulação de implantação do sistema operacional

Ao testar uma implantação, é importante poder testar rapidamente todas as alterações feitas na implantação sem precisar executar uma implantação inteira. As regras do MDT podem ser testadas rapidamente, economizando tempo de teste significativo em um projeto de implantação. Para saber mais, consulte Definir as configurações do MDT.

A pasta que contém as regras, alguns scripts do MDT e um script personalizado (Gather.ps1).

O MDT adiciona monitoramento em tempo real

Com a integração do MDT, você pode acompanhar suas implantações em tempo real e, se tiver acesso ao Kit de Ferramentas de Recuperação e Diagnóstico do Windows (DaRT), poderá até mesmo fazer o controle remoto no Ambiente de Pré-Instalação do Windows (Windows PE) durante a implantação. Os dados de monitoramento em tempo real podem ser vistos no MDT Deployment Workbench, por meio de um navegador da Web, do Windows PowerShell, do Visualizador de Eventos ou o Microsoft Excel 2013. Na verdade, qualquer script ou aplicativo capaz de ler um feed OData (Open Data) pode ler as informações.

Veja os dados de monitoramento em tempo real com o PowerShell.

O MDT adiciona um assistente de implantação opcional

Para alguns cenários de implantação, talvez seja necessário solicitar informações ao usuário durante a implantação, como o nome do computador, a unidade organizacional correta para o computador ou quais aplicativos devem ser instalados pela sequência de tarefas. Com a integração do MDT, você pode habilitar o assistente de instalação orientada pelo usuário (UDI) para coletar as informações necessárias e personalizar o assistente usando o UDI Wizard Designer.

O assistente de UDI opcional é aberto no Designer do Assistente de UDI.

O MDT Zero Touch simplesmente estende o Configuration Manager com muitos componentes de implantação de sistema operacional nativos e úteis. Fornecendo soluções bem estabelecidas e com suporte, o MDT reduz a complexidade da implantação do Configuration Manager.

Por que usar o MDT Lite Touch para criar imagens de referência

Você pode criar imagens de referência para Configuration Manager no Configuration Manager, mas, em geral, é recomendável criá-las no MDT Lite Touch pelos seguintes motivos:

• Você pode usar a mesma imagem para cada tipo de implantação de sistema operacional: Microsoft Virtual Desktop Infrastructure (VDI), Microsoft System Center Virtual Machine Manager (VMM), MDT, Configuration Manager, Serviços de Implantação do Windows (WDS) e muito mais.

• O Gerenciador de Configurações executa a implantação no contexto do LocalSystem, o que significa que você não pode configurar a conta de Administrador com todas as configurações que gostaria que fossem incluídas na imagem. O MDT é executado no contexto do Administrador Local, o que significa que você pode definir a aparência da configuração e usar a funcionalidade de CopyProfile para copiar essas alterações para o usuário padrão durante a implantação.

• A sequência de tarefas Configuration Manager suprime a interação da interface do usuário.

• O MDT Lite Touch suporta uma ação de Suspensão que permite reinicializações, o que é útil quando você precisa realizar uma instalação manual ou verificar a imagem de referência antes que ela seja capturada automaticamente.

• O MDT Lite Touch não requer nenhuma infraestrutura e é fácil de delegar.

Artigos relacionados

Criar uma imagem de inicialização personalizada do Windows PE com o Configuration Manager
Adicionar uma imagem de sistema operacional do Windows 10 usando o Configuration Manager
Criar um aplicativo para implantar com o Windows 10 usando o Configuration Manager
Adicionar drivers a uma implantação do Windows 10 com o Windows PE usando o Configuration Manager
Criar uma sequência de tarefas com o Configuration Manager e o MDT
Implantar o Windows 10 usando o PXE e o Configuration Manager
Atualizar um cliente do Windows 7 SP1 com Windows 10 usando o Configuration Manager
Substituir um cliente do Windows 7 SP1 pelo Windows 10 com o Configuration Manager