部署映像维护和管理 (DISM) 最佳做法
本部分介绍与维护 Windows 映像相关的一些最佳做法。 建议尽可能实施这些做法。
提升命令行工具的权限
包括部署映像维护和管理 (DISM) 在内的许多部署命令行工具都需要提升的权限。
确保具有提升的权限。 单击开始,然后键入 deployment。 右键单击部署和映像工具环境,然后选择以管理员身份运行。
即使以管理员身份登录,也必须这样做。
禁用防病毒工具
某些 DISM 命令可能会受到防病毒或反恶意软件工具的影响。 为了提高性能,请在技术人员电脑上将防病毒或反恶意软件工具配置为从扫描中排除装载文件夹。 某些 DISM 命令也可能被防病毒或反恶意软件工具阻止,如果是这种情况,请在技术人员电脑上禁用这些工具。
维护映像
维护 Windows 映像的最佳方式是使用 DISM 脱机维护。 DISM 可用于在 Windows 映像和 Windows 预安装环境 (WinPE) 映像中安装、卸载、配置和更新驱动程序、功能和包,而无需启动映像。 有关详细信息,请参阅 DISM - Windows 的部署映像维护和管理技术参考。
你可以在维护期间的任何时候使用 DISM 的 /Commit-Image 选项来保存目前所做的更改。 如果经常提交更改,则可以使用 /Cleanup-Image /RestoreHealth 选项更轻松地恢复损坏的映像。
可以在一台计算机上装载和修改多个映像。 但是,某些功能(例如 /Unmount-Image)的性能可能会降低,具体取决于计算机上的可用内存。 作为最佳做法,不应同时装载超过 20 个映像。
注意
无法装载已拆分的 .wim 文件进行维护。
更改国际设置
若要更改国际设置,必须使用 DISM。 有关详细信息,请参阅 DISM 语言和国际维护命令行选项。
使用日志文件
默认情况下,DISM 会将详细信息记录到 %WINDIR%\Logs\Dism\Dism.log。 你还可以为日志文件指定所选的名称和位置,并设置 /loglevel 参数以便只记录你感兴趣的信息。 发生错误时,控制台会显示错误代码、错误消息以及日志文件的位置。
重要
如果在未加入域的计算机的网络共享上指定日志路径,请先结合使用 net-use 命令和域凭据来设置访问权限,然后再设置 DISM 日志的日志路径。
日志文件将自动存档。 存档的日志文件将以文件名后附加 .bak 的形式保存,并且将生成新的日志文件。 每次存档日志文件时,都将覆盖该 .bak 文件。
日志文件提供已执行操作的历史记录,可帮助你排查问题。
包位置
在 Windows 安装过程中,不要将需要安装的包直接放在某个分区的根目录下。
在网络共享上存储文件
尽管 DISM 支持映像和包的网络路径,但大多数操作对复制到本地硬盘的文件执行得更快。
从 WinPE 维护 Windows 映像
你可以从 WinPE 维护 Windows 映像。 但是,在规划维护策略时必须考虑某些因素。 对于从 WinPE 维护映像,请查看以下要求。
从硬盘启动 WinPE
为了获得更好的性能,可以在从硬盘启动 WinPE 时分配额外的内存。 还可以创建临时文件夹来存储更新文件,以容纳大型更新。
从只读媒体启动 WinPE
维护 Windows 映像需要额外的临时存储空间。 如果已从 DVD 等只读媒体启动 WinPE,则可能需要额外的 RAM。 除了满足 WinPE 映像的 RAM 要求外,还需要额外的 RAM 来处理更新。 所需的 RAM 量取决于要应用的更新的大小。 确保计算机有足够的 RAM。
为 WinPE 映像添加页面文件支持
确保有足够的内存来加载和运行自定义 WinPE 映像。 除了映像大小之外,还应具有至少 256 MB 的可用工作内存。 如果内存有限,请定义一个页面文件 (Pagefile.sys) 来改进内存管理。 有关实现页面文件的详细信息,请参阅 Wpeutil 命令行选项。
创建用于存储更新文件的临时目录
创建或维护 Windows 映像时,应使用 DISM 的 /ScratchDir 选项在不同的驱动器上创建一个临时目录。 临时目录可用于许多 DISM 操作,包括捕获映像、安装语言包、安装更新或在 Windows 映像中安装或删除 Windows 功能。 某些文件在应用到 Windows 映像之前会扩展至此临时目录。
分区中必须有足够的空间来容纳大型更新。 所需可用空间的具体大小取决于要安装的更新的大小。 添加语言包时,临时目录必须至少有 1 GB 的空间来存储临时文件。
如果未使用 /ScratchDir 选项设置临时目录路径,默认情况下,WinPE 会创建一个 32-MB 的临时目录。 你可以使用 DISM /Set-ScratchSpace 选项向此默认位置分配额外的临时存储。 有效大小包括 32、64、128、256 和 512 MB。 此功能只能脱机使用,你无法在 WinPE 会话运行时调整此设置。 作为最佳做法,应使用 /ScratchDir 选项来指定另一个分区上的目录,该分区应有足够的空间来支持所执行的任何映像管理和维护操作。
安装完成后,就不再需要该目录的内容,可以将其删除。 有关详细信息,请参阅 DISM 映像管理命令行选项。
扫描系统文件损坏并验证其完整性
在将计算机交付给最终用户之前,应验证 Windows 系统文件的完整性。 可以使用 /Cleanup-Image 选项来识别文件损坏并对映像执行修复操作。 有关 DISM /Cleanup-Image 的详细信息,请参阅 DISM 操作系统包维护命令行选项。
你还可以在联机或脱机参考映像上使用系统文件检查器 (Sfc.exe)。 系统文件检查器随所有版本的 Windows 一起发布。系统文件检查器需要提升的权限,你必须是管理员才能运行它。 它扫描所有受保护的文件以验证文件版本。 若要仅验证 Windows 系统文件的完整性,请运行 sfc.exe /verifyonly 选项。 如需完整的命令行语法,请在提升的命令提示符处键入 sfc.exe /?。
运行 Sfc.exe 可能会花费大量时间。 预期结果是没有系统完整性违规问题。 但是,如果 Windows 系统文件存在问题,应调查这些问题。 不建议使用 Sfc.exe 扫描选项来自动修复 Windows 系统文件。
提高 Windows 映像的安全性
Windows 映像包含自定义配置数据、自定义应用程序和其他知识产权。 有多种提高 Windows 映像安全性的方法,包括联机方法和脱机方法。
限制访问 Windows 映像。 您可以编辑访问控制列表 (ACL) 或文件的权限,这要视您的环境而定。 只有批准的帐户才有权访问 Windows 映像。
用最新修补程序和软件更新来更新 Windows 映像。 有多种方法可以处理 Windows 映像。 处理 Windows 映像之后,请测试计算机的有效性和稳定性。
在 Windows 安装过程中,将计算机配置为自动下载和安装 Windows 更新。 这延长了安装时间,但是可确保所安装的 Windows 映像包含最新的更新。 有关详细信息,请参阅《无人参与的 Windows 安装参考》中的 Microsoft-Windows-Setup 组件中的
DynamicUpdate设置。