S 模式生产环境
概述
本主题介绍 S 模式生产环境与其他 Windows 生产环境的区别。
代码完整性策略
代码完整性策略 (CI) 可阻止执行未签名或不正确签名的二进制文件。 仅在执行实验室或工厂映像自定义时,或在进行执行环境为 WinPE 或审核模式的部署时,才建议使用不受支持的二进制文件。
在系统上启用 CI 策略后,会在两个位置启用它:
- S 模式下的 Windows 10,启动时强制启用。
- EFI 固件策略,固件加载和操作系统启动时强制启用。
- S 模式下的 Windows 11,启动时强制启用。
- EFI 固件策略,固件加载和操作系统启动时强制启用。
WinPE
Windows 预安装环境 (WinPE) 在 S 模式下的 Windows 11 的行为与 Windows 家庭版或 Windows 专业版的行为相同。
注意
如果无法从 WinPE 或恢复介质启动 S 模式电脑,则向介质添加 S 模式策略应允许它启动。
将 install.wim 的 Windows\Boot\EFI\ 文件夹中的 winsipolicy.p7b 文件复制到可启动介质的 EFI\Boot 文件夹。
Windows 预安装环境 (WinPE) 针对 S 模式下的 Windows 10 和 Windows 10 S 的行为与其针对 Windows 家庭版或 Windows 专业版的行为相同。
有关 Windows PE 的详细信息,请参阅 Windows PE。
DISM
将 S 模式映像添加到 WIM
如果需要包含多个 Windows 版本(包括 Windows 10 S)的单个 WIM,则可以将 Windows 10 S 映像添加/追加到现有 WIM,这允许您在 DISM /apply 期间指定 Windows 10 S 映像索引。
若要详细了解如何将映像添加/附加到现有 WIM,请参阅使用 Windows 映像 (.wim) 文件附加、应用和导出卷映像。
使用 DISM 检测 Windows 10 S
可以使用 DISM 检测 Windows 10 S(在 WinPE 中或审核模式下处于脱机状态)。 在审核模式下,使用 DISM /online /get-currentedition。 如果映像为 Windows 10 S,则该命令应返回 S。在 WinPE 中,使用 DISM /image:c:\ /get-currentedition。
有关用于处理 Windows 版本的其他命令,请参阅 DISM Windows 版本服务命令行选项。
审核模式
生产 S 模式电脑时,可以使用审核模式。 默认情况下,阻止的收件箱组件在审核模式下处于阻止状态。 如果需要在制造过程中使用阻止的收件箱组件,可以启用制造模式。 如果启用制造模式,则在寄送电脑之前,必须确保禁用制造模式。
若要详细了解审核模式,请参阅审核模式概述。
出厂设备诊断
在工厂测试期间,可以通过使用以下选项之一运行基于 Win32 的诊断工具:
在审核模式下运行、安全启动已关闭、生产注册表项已就位的 Windows S 模式电脑。
或
在单独的非 S 模式测试操作系统中。