针对虚拟桌面基础结构 (VDI) 角色优化 Windows 10 版本 2004

项目
08/30/2023

本文旨在提供一些建议，帮助你配置 Windows 10 版本 2004 来在虚拟化桌面环境（包括虚拟桌面基础结构 (VDI) 和 Azure 虚拟桌面）中实现最佳性能。本指南中的所有设置都只是建议的优化设置，绝不是强制要求。

本指南中的信息与 Windows 10 版本 2004 操作系统 (OS) 内部版本 19041 有关。

在虚拟桌面环境中优化 Windows 10 的性能的指导原则是尽量减少图形重绘和效果，在后台执行对虚拟桌面环境没有重大好处的活动，同时普遍性地将正在运行的进程数降到最少。次要目标是将基本映像中的磁盘空间用量减到最少。借助虚拟桌面实现，可实现的最小基准（也称为“黄金”映像大小）可稍微减少主机系统上的内存用量，同时小幅减少向使用者提供桌面环境所需的网络操作总数。

任何优化都不得降低用户体验。每项优化设置都经过仔细检查，以确保用户体验不会出现明显的下降。

注意

本文中的设置可应用于其他 Windows 10 安装，例如版本 1909、物理设备或其他虚拟机。本文中的建议都不得影响 Windows 10 在虚拟桌面环境中的可支持性。

VDI 优化原则

“完整的”虚拟桌面环境可通过网络向计算机用户提供完整的桌面会话（包括应用程序）。网络传送载体可以是本地网络和/或 Internet。虚拟桌面环境的一些实现使用“基本”操作系统映像，该映像是随后要提供给用户供其工作使用的桌面的基础。存在虚拟桌面实现的变体，例如“持久化”、“非持久化”和“桌面会话”。持久化类型将对虚拟桌面操作系统的更改从一个会话保留到下一个会话。切换会话时，非持久类型不会保留对虚拟桌面操作系统所作的更改。对于用户而言，此桌面与其他虚拟或物理设备略有不同，不过需要通过网络来访问它。

可在参考计算机上实施优化设置。虚拟机 (VM) 是生成 VM 的理想位置，因为可保存状态、可创建检查点，还能执行备份等等。在基础 VM 上执行默认 OS 安装。然后，通过删除不需要的应用、安装 Windows 更新、安装其他更新、删除临时文件和应用设置等操作来优化这个基础 VM。

还存在其他类型的虚拟桌面技术，例如远程桌面会话 (RDS)，以及最近发布的 Microsoft Azure Azure 虚拟桌面。本主题不会深入介绍这些技术，而是侧重于介绍 Windows 基本映像设置，它不会提到环境中的其他因素，例如主机硬件优化。

在产品和服务方面，Microsoft 最看重的是安全性和稳定性。在虚拟桌面领域，对安全性的处理与物理设备相差不大。企业客户可选择使用 Windows 安全的内置 Windows 服务；Windows 安全是一套服务的一部分，无论是否连接到 Internet，它们都运行良好。对于未连接到 Internet 的虚拟桌面环境，每天可多次主动下载安全签名，因为 Microsoft 每天可能会多次发布签名更新。然后，可将这些签名提供给虚拟桌面设备，且无论持久性还是非持久的生产，都将其安排在生产期间安装。这样，VM 保护功能就能尽量保持最新状态。

有些安全设置不适用于未连接到 Internet 的虚拟桌面环境，因此无法参与支持云的安全性。还有其他设置可供“普通”Windows 设备使用，例如云体验和 Windows Store 等。删除对未使用的功能的访问权限可以减少占用空间、网络带宽和受攻击面。

在更新方面，Windows 10 采用每月更新一次的节奏。大多数情况下，由虚拟桌面管理员控制更新过程：基于“主”映像或“黄金”映像关闭 VM，解封只读的映像，修补映像，然后重新封装映像并将其重新投放生产。因此，无需让虚拟桌面设备检查 Windows 更新。但在有些情况下，会发生一般的修补过程，例如在持久性“个人”虚拟桌面设备的情况下。在一些情况下，可使用 Windows 更新。而在一些情况下，可使用 Intune。在其他一些情况下，可使用 Microsoft Endpoint Configuration Manager（之前称为 SCCM）直接处理更新和其他包。由每个组织负责确定最佳方式来更新虚拟桌面设备，同时缩短开销周期。

本地策略设置和本指南中的许多其他设置可由基于域的策略重写。建议仔细检查策略设置，删除或不使用不需要或不适用于你的环境的任何设置。本文档中的列出的设置会尝试在虚拟桌面环境中实现性能优化的最佳平衡，同时维持卓越的用户体验。

注意

GitHub.com 上提供了一组脚本，它们将执行本文中记录的所有工作项。可在 https://github.com/The-Virtual-Desktop-Team/Virtual-Desktop-Optimization-Tool 找到优化脚本的 Internet URL。根据设计，此脚本可轻松自定义，以符合你的环境和要求。主代码为 PowerShell，通过调用输入文件（纯文本，现在是 .JSON）和本地组策略对象 (LGPO) 工具导出文件来完成此工作。这些文本文件包含一个列表，其中有要删除的应用和要禁用的服务等内容。如果你不想删除特定应用或禁用特定服务，可编辑相应的文本文件，并删除不想对其执行操作的项。最后，有一个本地策略设置导出，可将它导入到你的环境计算机中。最好在基本映像中保留一些设置，而不是通过组策略应用设置，因为某些设置只会下次重启或在首次使用组件时才会生效。

持久性虚拟桌面环境

从根本上讲，持久性虚拟桌面是保存两次重启之间的操作系统状态的一种设备。虚拟桌面解决方案的其他软件层可让用户轻松顺畅地访问为其分配的 VM（通常是使用单一登录解决方案）。

持久性虚拟桌面有多种不同的实现。

传统 VM，VM 有自己的虚拟磁盘文件，正常启动，将更改从一个会话保存到下一个会话。差别在于用户访问此 VM 的方式。可能有一个供用户登录的 Web 门户，它自动将用户定向到分配给他们的一个或多个虚拟桌面设备 (VM)。
基于映像的持久性 VM，可选择性地包含个人虚拟磁盘 (PVD)。在此类实现中，一个或多个主机服务器包含基本/黄金映像。将会创建一个 VM 以及一个或多个虚拟磁盘，并将此磁盘分配为持久性存储。
- 启动 VM 时，会将基本映像的副本读入该 VM 的内存空间。同时，会将一个持久性虚拟磁盘分配给该 VM，以前的所有 OS 增量都通过复杂的过程合并。
- 事件日志写入、日志写入等更改将重定向到分配给该 VM 的读/写虚拟磁盘。
- 在此情况下，OS 和应用服务可使用传统的服务软件（例如 Windows Server Update Services）或其他管理技术正常运行。
持久性虚拟桌面设备与“普通”虚拟桌面设备的区别在于与主映像/黄金映像之间的关系。有时，必须将更新应用到主节点。此时，由组织决定如何处理用户持久性更改。在某些情况下，具有用户更改的磁盘会被放弃或重置。此外，可能会通过每月质量更新保存用户对计算机所作的更改，并在完成功能更新后重置基本映像。

非持久性虚拟桌面环境

如果非持久性虚拟桌面实现基于基本映像或“黄金”映像，则优化主要在基本映像中执行，然后通过本地设置和本地策略执行。

使用基于映像的非持久性 (NP) 虚拟桌面环境时，基本映像是只读的。启动 NP 虚拟桌面设备 (VM) 时，会将基本映像的副本流式传输到该 VM。从启动开始一直到下一次重新启动为止所发生的活动将重定向到临时位置。通常为用户提供一个网络位置用于存储其数据。在某些情况下，用户的配置文件将与标准 VM 合并，以便为用户提供设置。

基于单一映像的 NP 虚拟桌面需要考虑的一个重要方面是维护。通常每个月提供操作系统 (OS) 及其组件的更新。使用基于映像的虚拟桌面环境时，必须执行一系列过程来获取映像的更新：

给定主机上基于基本映像的所有 VM 必须已关闭或禁用。这意味着，用户将重定向到其他 VM。
在一些实现中，这称为“排出”。虚拟机或会话主机在被设置为排出模式时，会停止运行来接受新的请求，但会继续对当前已连接到设备的用户提供服务。
在排出模式中，当最后一名用户注销设备时，该设备就准备好为操作提供服务了。
然后，基本映像将会打开并启动。接下来，执行所有维护活动，例如 OS 更新、.NET 更新和应用更新等等。
此时将会应用需要应用的任何新设置。
此时会执行任何其他维护。
然后，基本映像关闭。
基本映像是密封的，设置为传回到生产环境。
允许用户重新登录。

注意

Windows 10 定期自动执行一系列维护任务。有一个计划的任务设置为默认在每天凌晨 3:00 运行。此计划任务执行一系列任务，包括 Windows 更新清理。可以使用以下 PowerShell 命令查看自动执行的所有维护类别：

Get-ScheduledTask | Where-Object {$_.Settings.MaintenanceSettings}

非持久性虚拟桌面的其中一项弊端是当用户注销时，几乎所有的 OS 活动都会被放弃。用户的配置文件和/或状态可保存到某个中心位置，但虚拟机本身会放弃自上次启动以来所作的几乎全部更改。因此，针对每次切换会话都会保存状态的 Windows 计算机所做的优化并不适用。

根据虚拟桌面设备的体系结构，PreFetch 和 SuperFetch 等功能无助于切换会话时的状态保存，因为 VM 重启时会放弃所有优化。索引可能会给资源带来一定的浪费，传统的碎片整理等任何磁盘优化方法也是如此。

注意

如果使用虚拟化准备映像，并且在创建映像期间已连接到 Internet，则首次登录时，应转到“设置”>“Windows 更新”来推迟功能更新。

是否运行 sysprep

Windows 10 有一项名为系统准备工具的内置功能，它也被称为 sysprep。可使用 sysprep 工具来准备一个自定义的 Windows 10 映像供复制。 sysprep 进程可确保生成的 OS 具有独特性，可在生产环境中正常运行。

运行或不运行 sysprep 都有适当的理由。使用虚拟桌面环境时，你可能希望能够自定义默认用户配置文件，后续用户在使用此映像登录时，可将此配置文件用作模板。你可能已经安装了所需的应用，但还希望能够控制每个应用的设置。

替代方法是使用标准 .ISO 进行安装（也许可以使用无人参与的安装应答文件），并使用任务序列来安装或删除应用程序。还可以使用任务序列在映像中设置本地策略设置（也许可以使用本地组策略对象实用工具 (LGPO)）。

若要详细了解针对 Azure 的映像准备，请参阅准备 Windows VHD 或 VHDX 以上传到 Azure

可支持性

每次 Windows 默认设置发生更改时，用户都会提出有关可支持性的问题。自定义虚拟桌面映像（VM 或会话）后，需要在更改日志中跟踪对映像所作的每项更改。进行故障排除时，往往可在池中隔离某个映像并对其进行配置，以分析问题。跟踪到问题的根本原因后，可先将此项更改部署到测试环境，并最终部署到生产工作负载。

本文档有意规避了影响安全性的系统服务、策略或任务。接下来讨论 Windows 维护。我们删除了在维护时段以外维护虚拟桌面映像的功能，因为在维护时段，除安全软件更新之外的其他大多数维护事件都是在虚拟桌面环境中发生的。 Microsoft 已发布有关虚拟桌面环境中 Windows 安全性的指导，如下所示：

Microsoft：虚拟桌面基础结构 (VDI) 环境中 Windows Defender 防病毒的部署指南

更改默认的 Windows 设置时，请考虑到可支持性。以“强化”、“精简”等名义更改系统服务、策略或计划任务时，有时会出现难以解决的问题。有关已更改的默认设置的当前已知问题，请参阅 Microsoft 知识库。如果出现了任何已知问题，我们会维护本文档中的指导，以及 GitHub 上的相关脚本。此外，你还可通过多种方式向 Microsoft 报告问题。

可在偏好的搜索引擎中使用关键字 "start value" site:support.microsoft.com 查找有关服务默认起始值的已知问题。

你可能已注意到，本文档和 GitHub 上的相关脚本不会修改任何默认权限。如果你有意提高安全设置，请从名为 AaronLocker 的项目着手。有关详细信息，请参阅“AaronLocker”概述。

虚拟桌面优化类别

通用 Windows 平台 (UWP) 应用清理
可选功能清理
本地策略设置
系统服务
计划任务
应用 Windows（和其他）更新
自动 Windows 跟踪
使用 VDI 进行 Windows Defender 优化
通过注册表设置优化客户端网络性能
“Windows 受限流量限制功能基线”指南中所述的其他设置。
“磁盘清理”

通用 Windows 平台 (UWP) 应用程序清理

虚拟桌面映像的目标之一是在持久性存储方面尽量占用较少内存。减小映像大小的方法之一是删除环境中用不到的 UWP 应用程序（应用）。 UWP 应用附带一些应用程序主文件（称为有效负载）。每位用户的配置文件中都存储了少量有关应用程序特定设置的数据。此外，“所有用户”配置文件中也包含少量的数据。

此外，在设备启动和用户登录后的某个时间点，会在用户或计算机级别注册所有 UWP 应用。 UWP 应用包含开始菜单和 Windows Shell，它会在安装时或安装后执行各项任务，在用户首次登录时再次执行这些任务，并在用户后续登录时稍微操作一下。对于所有 UWP 应用，偶尔都会发生评估，例如：

是否需要将应用更新到最新版本？
如果应用已固定到开始菜单，则它可能有动态磁贴数据要下载
应用是否具有需要更新的数据缓存，例如地图或天气？
应用是否具有需要在登录时显示的来自用户配置文件的持久性数据（例如便笺）

使用 Windows 10 的默认安装时，并非所有 UWP 应用都可由组织使用。因此，如果删除这些不可用的应用，则会出现需执行的评估更少、缓存更少等情况。这里的第二个方法是指示 Windows 禁用“使用者体验”。这必须检查每位用户安装了哪些应用、哪些应用可供使用，并随后开始下载一些 UWP 应用，从而减少 Microsoft Store 活动。如果有上百名或上千名用户，而他们几乎同时开始工作，或者甚至跨时区在滚动时间开始工作，那么性能节约可能非常明显。

执行 UWP 应用清理时，连接和计时是重要的因素。如果将基本映像部署到未建立网络连接的设备，则 Windows 10 无法连接到 Microsoft Store 和下载应用，并会在你尝试卸载应用时安装这些应用。这可能是一种很好的策略，可以让你从容地自定义映像，然后在映像创建过程的后续阶段更新保留的内容。

如果修改用于安装 Windows 10 的 .WIM 基本映像，并在安装之前从 .WIM 中删除了不需要的 UWP 应用，则应用从一开始就不会安装，且你的后续配置文件创建时间将缩短。本部分稍后会提供一个链接，可通过它了解如何从安装 .WIM 文件中删除 UWP 应用。

对于虚拟桌面环境，一种好的策略是在基本映像中预配所需的应用，然后限制或阻止访问 Microsoft Store。在普通的计算机上，Store 应用会定期在后台更新。在维护期间，可以在应用其他更新的同时更新 UWP 应用。

删除 UWP 应用的有效负载

不需要的 UWP 应用仍保留在文件系统中，它们会消耗少量的磁盘空间。对于永远不需要的应用，可以使用 PowerShell 命令从基本映像中删除不需要的 UWP 应用的有效负载。如果使用本部分稍后提供的链接从安装 .WIM 文件中删除 UWP 应用有效负载，则一开始可从极少量的 UWP 应用着手。

运行以下命令来枚举正在运行的 OS 中预配的 UWP 应用，如以下截断的 PowerShell 示例输出中所示：

Get-AppxProvisionedPackage -Online

DisplayName  : Microsoft.3DBuilder
Version      : 13.0.10349.0  
Architecture : neutral
ResourceId   : \~
PackageName  : Microsoft.3DBuilder_13.0.10349.0_neutral_\~_8wekyb3d8bbwe
Regions      :

DisplayName  : Microsoft.Appconnector
Version      : 2015.707.550  
Architecture : neutral
ResourceId   : \~
PackageName  : Microsoft.Appconnector_2015.707.550.0_neutral_\~_8wekyb3d8bbwe
Regions      :
...

预配到系统的 UWP 应用可在 OS 安装期间作为任务序列的一部分删除，也可在安装 OS 后删除。这可能是首选的方法，因为这样可使映像的整个创建或维护过程模块化。开发脚本后，如果后续的生成发生更改，则你可以编辑现有的脚本，而无需从头开始重复该过程。

若要了解详细信息，下面的一些资源可提供帮助：

然后运行以下 PowerShell 命令来删除 UWP 应用有效负载：

Remove-AppxProvisionedPackage -Online - PackageName MyAppxPackage

就该主题最后提一点：应在每个独特的环境中评估每个 UWP 应用的适用性。需要使用默认设置安装 Windows 10 版本 2004，然后留意哪些应用正在运行并在消耗内存。例如，可能需要考虑删除自动启动的应用、在开始菜单中自动显示信息的应用（例如“天气”和“新闻”），以及在环境中可能没用的应用。

注意

如果使用的是 GitHub 中的脚本，可在运行脚本之前轻松控制要删除的应用。下载脚本文件后，找到 AppxPackage.json 文件，编辑该文件，然后删除要保留的应用（例如计算器、便笺等）的对应条目。

清理 Windows 可选功能

使用 PowerShell 管理可选功能

Microsoft：Windows 10：使用 PowerShell 管理可选功能

可以使用 PowerShell 管理 Windows 可选功能。若要枚举当前已安装的 Windows 功能，请运行以下 PowerShell 命令：

Get-WindowsOptionalFeature -Online

通过 PowerShell，已枚举的 Windows 可选功能可配置为“已启用”或“已禁用”，如下例中所示：

Enabled-WindowsOptionalFeature -Online -FeatureName "DirectPlay" -All

下面是一个在虚拟桌面映像中禁用 Windows Media Player 功能的示例命令：

Disable-WindowsOptionalFeature -Online -FeatureName "WindowsMediaPlayer"

接下来，可删除 Windows Media Player 包。以下示例命令将演示你可如何执行此操作：


PS C:\> Get-WindowsPackage -Online -PackageName *media*

PackageName              : Microsoft-Windows-MediaPlayer-Package~31bf3856ad364e35~amd64~~10.0.19041.153
Applicable               : True
Copyright                : Copyright (c) Microsoft Corporation. All Rights Reserved
Company                  :
CreationTime             :
Description              : Play audio and video files on your local machine and on the Internet.
InstallClient            : DISM Package Manager Provider
InstallPackageName       : Microsoft-Windows-MediaPlayer-Package~31bf3856ad364e35~amd64~~10.0.19041.153.mum
InstallTime              : 5/11/2020 5:43:37 AM
LastUpdateTime           :
DisplayName              : Windows Media Player
ProductName              : Microsoft-Windows-MediaPlayer-Package
ProductVersion           :
ReleaseType              : OnDemandPack
RestartRequired          : Possible
SupportInformation       : http://support.microsoft.com/?kbid=777777
PackageState             : Installed
CompletelyOfflineCapable : Undetermined
CapabilityId             : Media.WindowsMediaPlayer~~~~0.0.12.0
Custom Properties        :

Features                 : {}

若要删除 Windows Media Player 包（以释放大约 60 MB 的磁盘空间），可运行以下命令：

PS C:\Windows\system32> Remove-WindowsPackage -PackageName Microsoft-Windows-MediaPlayer-Package~31bf3856ad364e35~amd64~~10.0.19041.153 -Online

Path          :
Online        : True
RestartNeeded : False

使用 DISM 启用或禁用 Windows 功能

可以使用内置的 Dism.exe 工具来枚举和控制 Windows 可选功能。可以在执行操作系统安装任务序列期间开发和运行 Dism.exe 脚本。相关的 Windows 技术称为按需功能。请查看下文，详细了解 Windows 中的按需功能：

Microsoft：按需功能

默认用户设置

可在 C:\Users\Default\NTUSER.DAT 自定义 Windows 注册表文件。在此文件中执行的任何设置更改都将应用于在运行此映像的计算机中创建的任何后续用户配置文件。可通过编辑 DefaultUserSettings.txt 文件来控制要将哪些设置应用于默认用户配置文件。

为了减少通过虚拟桌面基础结构传输图形数据的情况，可将默认背景设置为纯色，而不是默认的 Windows 10 图像。还可将登录屏幕设置为纯色，并关闭登录时的不透明模糊效果。

以下设置应用于默认用户配置文件注册表配置单元，主要目的是减少动画效果。如果不需要其中的某些或所有设置，请根据以下插图删除不想应用到新用户配置文件的设置。使用这些设置的目的是启用以下等效设置：

在鼠标指针下显示阴影
在窗口下显示阴影
平滑屏幕字体边缘

已选中相关项的性能选项菜单的屏幕截图。

此外，此版本的设置新添加了一种方法，可用于对运行优化后创建的任何用户配置文件禁用下面两项隐私设置：

“允许网站通过访问我的语言列表来提供本地相关内容”
“在‘设置’应用中为我显示建议的内容”

隐私设置窗口的屏幕截图。两个已禁用设置突出显示为红色。

下面是应用于默认用户配置文件注册表配置单元来优化性能的优化设置。请注意，执行此操作时首先是以临时密钥名称 Temp 的形式加载默认用户配置文件注册表配置单元 NTUser.dat，然后进行下列修改：

Load HKLM\Temp C:\Users\Default\NTUSER.DAT
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer" /v ShellState /t REG_BINARY /d 240000003C2800000000000000000000 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v IconsOnly /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ListviewAlphaSelect /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ListviewShadow /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowCompColor /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowInfoTip /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v TaskbarAnimations /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects" /v VisualFXSetting /t REG_DWORD /d 3 /f
add "HKLM\Temp\Software\Microsoft\Windows\DWM" /v EnableAeroPeek /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\DWM" /v AlwaysHiberNateThumbnails /t REG_DWORD /d 0 /f
add "HKLM\Temp\Control Panel\Desktop" /v DragFullWindows /t REG_SZ /d 0 /f
add "HKLM\Temp\Control Panel\Desktop" /v FontSmoothing /t REG_SZ /d 2 /f
add "HKLM\Temp\Control Panel\Desktop" /v UserPreferencesMask /t REG_BINARY /d 9032078010000000 /f
add "HKLM\Temp\Control Panel\Desktop\WindowMetrics" /v MinAnimate /t REG_SZ /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\StorageSense\Parameters\StoragePolicy" /v 01 /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v SubscribedContent-338393Enabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v SubscribedContent-353694Enabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v SubscribedContent-353696Enabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v SubscribedContent-338388Enabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v SubscribedContent-338389Enabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v SystemPaneSuggestionsEnabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Control Panel\International\User Profile" /v HttpAcceptLanguageOptOut /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microsoft.Windows.Photos_8wekyb3d8bbwe" /v Disabled /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microsoft.Windows.Photos_8wekyb3d8bbwe" /v DisabledByUser /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microsoft.SkypeApp_kzf8qxf38zg5c" /v Disabled /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microsoft.SkypeApp_kzf8qxf38zg5c" /v DisabledByUser /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microsoft.YourPhone_8wekyb3d8bbwe" /v Disabled /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microsoft.YourPhone_8wekyb3d8bbwe" /v DisabledByUser /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microsoft.MicrosoftEdge_8wekyb3d8bbwe" /v Disabled /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microsoft.MicrosoftEdge_8wekyb3d8bbwe" /v DisabledByUser /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\InputPersonalization" /v RestrictImplicitInkCollection /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\InputPersonalization" /v RestrictImplicitTextCollection /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Personalization\Settings" /v AcceptedPrivacyPolicy /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\InputPersonalization\TrainedDataStore" /v HarvestContacts /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\UserProfileEngagement" /v ScoobeSystemSettingEnabled /t REG_DWORD /d 0 /f
Unload HKLM\Temp

新近添加的另一系列默认用户设置用于禁止多个 Windows 应用启动和在后台运行。虽然在一台设备中不值得注意，但 Windows 10 会在给定设备（主机）上为每个用户会话启动大量进程。一个例子是 Skype 应用，还有个例子是 Microsoft Edge。这些设置包括关闭多个应用，使它们无法在后台运行。如果实际上需要此功能，只需删除“DefaultUserSettings.txt”文件中包含应用名称“Windows.Photos”、“SkypeApp”、“YourPhone”和/或“MicrosoftEdge”的行。

本地策略设置

针对虚拟桌面环境中的 Windows 10 的多项优化都可通过 Windows 策略来执行。本部分的表格中列出的设置可在本地应用到基础映像/黄金映像。如果未以任何其他方式（例如组策略）指定等效的设置，则仍会应用这些设置。

请注意，有些决策可能基于环境的具体情况。

虚拟桌面环境是否可访问 Internet？
虚拟桌面解决方案是持久性还是非持久性的？

选择以下设置不会违反安全相关的任何设置，或者与之发生冲突。选择这些设置是为了删除或禁用可能不适用于虚拟桌面环境的设置或功能。

策略设置	项	子项	可能的设置和备注
本地计算机策略 \ 计算机配置 \ Windows 设置 \ 安全设置	空值	不可用	不适用
网络列表管理器策略	所有网络属性	网络位置	用户无法更改位置（设置它的目的是在检测到新网络时防止右侧弹出窗口）
本地计算机策略 \ 计算机配置 \ 管理模板 \ 控制面板	空值	不适用
控制面板	允许在线提示	不适用	已禁用（设置不会连接 Microsoft 内容服务来检索提示和帮助内容）
控制面板\个性化	强制使用特定的默认锁屏界面和登录图像）	不适用	已启用（借助此设置，可通过输入图像文件的路径（位置），强制使用特定的默认锁屏界面和登录图像。锁屏界面和登录屏幕将使用相同的图像。此建议是为了减少虚拟桌面环境通过网络传输的字节数。可针对每个环境删除或自定义此设置。）
控制面板\区域和语言选项\手写个性化	关闭自动学习	不适用	已启用（如果启用此策略设置，则会停止自动学习，并删除所有存储的数据。用户无法在控制面板中配置此设置）
本地计算机策略 \ 计算机配置 \ 管理模板 \ 网络	空值	不可用	不适用
后台智能传送服务 (BITS)	允许 BITS 对等缓存	不适用	已禁用（此策略设置可确定特定计算机上是否已启用后台智能传输服务 (BITS) 对等缓存功能。）
后台智能传送服务 (BITS)	不允许 BITS 客户端使用 Windows 分支缓存	不适用	已启用（如果已启用此策略设置，则 BITS 客户端不会使用 Windows 分支缓存。）给出此建议的理由是使虚拟桌面设备不用于内容缓存，且这些设备将不被允许使用网络带宽执行此操作。
后台智能传送服务 (BITS)	不允许计算机作为 BITS 对等缓存客户端	不适用	已启用（启用此策略设置后，计算机将无法再使用 BITS 对等缓存功能来下载文件；将仅从原始服务器下载文件。）
后台智能传送服务 (BITS)	不允许计算机作为 BITS 对等缓存服务器	不适用	已启用（启用此策略设置后，计算机将不再缓存已下载的文件，也不再将它们提供给对等项。）
BranchCache	启用 BranchCache	不适用	已禁用（启用此选项后，会在应用了该策略的所有客户端计算机上关闭 BranchCache。）
*字体	启用字体提供程序	不适用	已禁用（启用此设置后，Windows 不会连接到联机字体提供程序，只会枚举本地安装的字体）
热点身份验证	启用热点身份验证	不适用	已禁用（此策略设置定义了是否探测 WLAN 热点来实现无线 Internet 服务提供商漫游 (WISPr) 协议支持。如果禁用此策略设置，则不探测 WLAN 热点来实现 WISPr 协议支持，并且用户只能在 Web 浏览器上使用 WLAN 热点进行身份验证。）
Microsoft 对等网络服务	关闭 Microsoft 对等网络服务	不适用	已启用（此设置会完全关闭 Microsoft 对等网络服务，并将导致所有相关应用程序停止工作。如果启用此设置，将关闭对等协议。）
网络连接状态指示器（本部分中还有其他设置可在隔离的网络中使用）	指定被动轮询	禁用被动轮询（复选框）	已启用（此策略使你能够设置指定被动轮询行为。NCSI 会频繁地在整个网络堆栈中轮询各种度量，以确定网络连接是否已断开。可使用此选项来控制被动轮询行为。）禁用 NCIS 被动轮询可改进其网络连接为静态的服务器或其他计算机上的 CPU 工作负载。
脱机文件	允许或不允许使用“脱机文件”功能	不适用	已禁用（此策略设置可确定是否已启用脱机文件功能。脱机文件功能会在用户的计算机上保存网络文件的副本，供其在计算机未连接到网络时使用。如果启用此策略设置，脱机文件功能会被禁用，且用户无法启用它。）
*TCPIP 设置\IPv6 转换技术	设置 Teredo 状态	已禁用状态	已启用（如果此设置已启用且设置为“已禁用状态”，则主机上不会显示 Teredo 界面）
*WLAN 服务\WLAN 设置	允许 Windows 自动连接到建议的开放热点、联系人共享的网络以及提供付费服务的热点	不适用	已禁用（此策略设置决定用户是否可启用以下 WLAN 设置：“连接到建议的开放热点”、“连接到我的联系人共享的网络”，以及“启用付费服务”。如果已禁用此策略设置，那么“连接到建议的开放热点”、“连接到我的联系人共享的网络”和“启用付费服务”将被关闭，并将阻止此设备上的用户启用这些设置。）
WWAN 服务\手机网络数据访问	允许 Windows 应用访问手机网络数据	所有应用的默认设置：强制拒绝	已启用（如果选择“强制拒绝”选项，则不允许 Windows 应用访问运动数据；组织中的员工无法更改此设置。）
本地计算机策略\计算机配置\管理模板\开始菜单和任务栏	不适用	不适用
*通知	关闭通知网络的使用	不适用	已启用（如果启用此策略设置，则应用程序和系统功能将无法通过 WNS 或通知轮询 API 从网络接收通知）
本地计算机策略\计算机配置\管理模板\系统	不适用	不可用	不适用
设备安装	在设备上安装通用驱动程序时，不发送 Windows 错误报告	不适用	已启用（如果启用此策略设置，那么在安装通用驱动程序时，不会发送错误报告。）
设备安装	禁止在通常会提示创建还原点的设备活动过程中创建系统还原点	不适用	已启用（如果启用此策略设置，Windows 不会创建系统还原点 - 通常会创建一个。）
设备安装	禁止从 Internet 进行设备元数据检索	不适用	已启用（通过此策略设置，可防止 Windows 从 Internet 检索设备元数据。如果启用此策略设置，则 Windows 不会从 Internet 检索已安装的设备的设备元数据。此策略设置将替代“设备安装设置”对话框（“控制面板”>“系统和安全性”>“系统”>“高级系统设置”>“硬件”选项卡）中的设置。）
设备安装	安装设备过程中禁用“找到新硬件”气球	不适用	已启用（通过此策略设置，可在设备安装期间关闭“发现新硬件”气球。如果启用此策略设置，则在安装设备时不会显示“找到新硬件”气球。）
文件系统\NTFS	短名称创建选项	短名称创建选项：已在所有卷上禁用	已启用（通过这些设置，可控制是否会在文件创建期间生成短名称。某些应用程序要求提供短名称来实现兼容性，但短名称对系统的性能有负面影响。如果在所有卷上禁用短名称，将永不会生成此类名称。）
*组策略	在此设备上继续体验	不适用	已禁用（此策略设置可确定是否允许 Windows 设备参与跨设备体验（持续体验）。禁用此策略会阻止此设备被其他设备发现，从而使其无法参与跨设备体验。）
Internet 通信管理\Internet 通信设置	关闭事件查看器“Events.asp”链接	不适用	已启用（此策略设置指定是否为事件查看器应用程序中的事件供“Events.asp”超链接。）
Internet 通信管理\Internet 通信设置	关闭手写个性化数据共享	不适用	已启用（关闭手写识别个性化工具中的数据共享。）
Internet 通信管理\Internet 通信设置	关闭手写识别错误报告	不适用	已启用（关闭手写识别错误报告工具。）
Internet 通信管理\Internet 通信设置	关闭帮助和支持中心 Microsoft 知识库搜索	不适用	已启用（此策略设置指定用户能否从帮助和支持中心执行 Microsoft 知识库搜索。）
Internet 通信管理\Internet 通信设置	如果 URL 连接指向 Microsoft.com，则关闭 Internet 连接向导	不适用	已启用（此策略设置指定 Internet 连接向导能否连接到 Microsoft 来下载一系列的 Microsoft 服务提供程序 (ISP)。）
Internet 通信管理\Internet 通信设置	关闭 Web 发布和在线订购向导的 Internet 下载	不适用	已启用（此策略设置指定 Windows 是否应下载一系列的提供程序供 Web 发布和在线订购向导使用。）
Internet 通信管理\Internet 通信设置	关闭 Internet 文件关联服务	不适用	已启用（此策略设置指定是否要使用 Microsoft Web 服务查找应用程序来打开带有未处理的文件关联的文件。）
Internet 通信管理\Internet 通信设置	如果 URL 连接指向 Microsoft.com，则关闭注册	不适用	已启用（此策略设置指定 Windows 注册向导是否连接到 Microsoft.com 来进行联机注册。）
Internet 通信管理\Internet 通信设置	关闭搜索助理内容文件更新	不适用	已启用（此策略设置指定搜索助理是否应在本地和 Internet 搜索期间自动下载内容更新。）
Internet 通信管理\Internet 通信设置	关闭“订购打印”照片任务	不适用	已启用（如果启用此策略设置，则将从文件资源管理器文件夹中的“图片任务”中删除“在线订单打印”任务。）
Internet 通信管理\Internet 通信设置	关闭文件和文件夹的“发布到 Web”任务	不适用	*已启用（此策略设置指定“将此文件发布到 Web”、“将此文件夹发布到 Web”和“将选定项目发布到 Web”任务在 Windows 文件夹中的“文件和文件夹任务”中是否可用。）
Internet 通信管理\Internet 通信设置	关闭 Windows 客户体验改善计划	不适用	已启用（Windows 客户体验改善计划 (CEIP) 会收集有关你的硬件配置以及你如何使用我们的软件和服务的基本信息，用于确定使用趋势和使用模式。如果启用此策略设置，则所有用户都不参与 Windows CEIP。）
Internet 通信管理\Internet 通信设置	关闭 Windows 错误报告	不适用	已启用（此策略设置控制是否向 Microsoft 报告错误。如果启用此策略设置，则不会向用户提供报告错误的选项。）
Internet 通信管理\Internet 通信设置	关闭 Windows 更新设备驱动程序搜索	不适用	已启用（此策略设置指定当没有针对某设备的本地驱动程序时，Windows 是否搜索 Windows 更新以查找设备驱动程序。如果启用此策略设置，则在安装新设备时不会搜索 Windows 更新。）
登录	登录时不显示入门欢迎屏幕	不适用	已启用（如果启用此设置，则登录到 Windows 设备的用户将不会看到欢迎屏幕。）
登录	不枚举已加入域的计算机上已连接的用户	不适用	已启用（如果启用此设置，则登录 UI 将不会枚举已加入域的计算机上任何已连接的用户。）
登录	枚举已加入域的计算机上的本地用户	不适用	已禁用（如果禁用此设置，则登录 UI 将不会枚举已加入域的计算机上的本地用户。）
登录	显示清除登录背景	不适用	已启用（此策略设置将禁用登录背景图像上的亚克力模糊效果。如果启用此设置，则将显示登录背景图像且不带模糊效果。）
登录	显示首次登录动画	不适用	已禁用（通过此策略设置，可控制用户在首次登录计算机时看到首次登录动画这既适用于计算机的完成初始设置的第一名用户，也适用于稍后被添加到计算机的用户。它还会控制是否将在 Microsoft 帐户用户首次登录时向他们提供选择使用服务的提示。如果禁用此设置，则用户将不会看到首次登录动画，并且 Microsoft 帐户用户将看不到选择使用服务的提示。）
登录	关闭锁屏界面上的应用通知	不适用	已启用（通过此策略设置，可阻止在锁屏界面上显示应用通知。如果启用此设置，则不会在锁屏界面上显示应用通知。）
电源管理	选择当前电源计划	活动状态电源计划：高性能	已启用（如果启用此策略设置，请从“活动状态电源计划”列表中指定一个电源计划。）如果禁用“电源”服务，则 Powercfg.cpl UI 无法显示这些电源选项，而是返回一个 RPC 错误。
电源管理\视频和显示设置	启用桌面背景幻灯片放映（已插入）	不适用	已禁用（通过此策略设置，可指定 Windows 是否应启用桌面背景幻灯片放映。）如果禁用此设置，则会禁用桌面背景幻灯片放映。此设置可能对 VM 没有影响。
恢复	允许将系统还原到默认状态	不适用	已禁用（如果禁用此设置，那么“恢复”（控制面板）中的“使用之前创建的系统图像来恢复计算机”和“重新安装 Windows”项目（或“将计算机恢复到出厂状态”）将不可用。）
*存储运行状况	允许下载磁盘故障预测模型的更新	不适用	已禁用（不会下载磁盘故障预测模型的更新）
“系统还原”	关闭系统还原功能	不适用	已启用（如果启用此设置，系统还原功能会被关闭，且无法访问系统还原向导。用于配置系统还原或通过系统保护创建还原点的选项也会被禁用。）
故障排除和诊断\计划内维护	配置计划内维护行为	不适用	已禁用（确定是否将运行计划的诊断来主动检测和解决系统问题。如果禁用此策略设置，Windows 将无法按照计划检测、排查或解决问题。）
故障排除和诊断\脚本诊断	故障排除：使用户能够访问和运行故障排除向导	不适用	已禁用（如果禁用此设置，则用户无法从控制面板访问或运行故障排除工具。）
故障排除和诊断\脚本诊断	故障排除：使用户能够从“疑难解答”控制面板（通过 Windows 在线疑难解答服务 (WOTS)）对 Microsoft 服务器上的内容进行故障排除	不适用	已禁用（如果禁用此设置，用户只能访问和搜索其计算机上本地可用的疑难解答内容，即使他们连接到 Internet 也是如此。他们将无法连接到托管 Windows 在线疑难解答服务的 Microsoft 服务器。
故障排除和诊断\Windows 启动性能诊断	配置方案执行级别	不适用	已禁用（确定 Windows 启动性能诊断的执行级别。如果禁用此策略设置，Windows 将无法检测、排查或解决由 DPS 处理的任何 Windows 启动性能问题。）此设置可能在设计、测试、开发或维护阶段非常有用。可在独立 VM 或会话主机上、在获得的度量中启用此设置，还可在“Microsoft-Windows-Diagnostics-Performance/Operational”源（Diagnostics-Performance，任务类别 -“启动性能监视”）下事件日志中记录的结果中启用此设置。此外：如果禁用 DPS 服务，此设置将不起作用，因为 Windows 将不记录任何性能数据。
故障排除和诊断\Windows 内存泄漏诊断	配置方案执行级别	不适用	已禁用（此策略设置可确定诊断策略服务 (DPS) 是否会诊断内存泄漏问题。如果禁用此设置，则 DPS 无法诊断内存泄漏问题。）可启用多种诊断模式，通过这些模式使用的工具（如 WPT）通常是在开发/测试/维护场景中完实施的，并且不在生产 VM 或会话中启用和使用
故障排除和诊断\Windows 性能 PerfTrack	启用/禁用 PerfTrack	不适用	已禁用（此策略设置指定是启用还是禁用对响应事件的跟踪。如果禁用此设置，则不会处理响应事件。）
故障排除和诊断\Windows 资源耗尽检测和解决方法	配置方案执行级别	不适用	已禁用（确定 Windows 资源耗尽检测及解决的执行级别。如果禁用此设置，Windows 将无法检测、排查或解决由 DPS 处理的任何 Windows 资源耗尽问题。）
故障排除和诊断\Windows 关机性能诊断	配置方案执行级别	不适用	已禁用（确定 Windows 关机性能诊断的执行级别。如果禁用此设置，Windows 将无法检测、排查或解决由 DPS 处理的任何 Windows 关机性能问题。）
故障排除和诊断\Windows 待机/恢复性能诊断	配置方案执行级别	不适用	已禁用（确定 Windows 待机/恢复性能诊断的执行级别。如果禁用此设置，Windows 将无法检测、排查或解决由 DPS 处理的任何 Windows 待机/恢复性能问题。）
故障排除和诊断\Windows 系统响应性能诊断	配置方案执行级别	不适用	已禁用（确定 Windows 系统响应诊断的执行级别。如果禁用此设置，Windows 将无法检测、排查或解决由 DPS 处理的任何 Windows 系统响应问题。）
*用户配置文件	关闭广告 ID	不适用	已启用（如果启用此设置，则会关闭广告 ID。应用无法对跨应用的体验使用该 ID）
本地计算机策略\计算机配置\管理模板\Windows 组件	不适用	不可用	不适用
*应用隐私	允许 Windows 应用访问有关其他应用的诊断信息	所有应用的默认设置：强制拒绝	已启用（如果启用此设置并使用 “强制拒绝”选项，则 Windows 应用无法获取有关其他应用的诊断信息，并且你组织中的员工无法更改它。）
*应用隐私	允许 Windows 应用访问位置	所有应用的默认设置：强制拒绝	已启用（如果启用此设置，并使用“强制拒绝”选项，则 Windows 应用无法访问位置，并且用户无法更改此设置。）
*应用隐私	允许 Windows 应用访问运动数据	所有应用的默认设置：强制拒绝	已启用（如果启用此设置，并使用“强制拒绝”选项，则 Windows 应用无法运动数据，并且用户无法更改此设置。）
*应用隐私	允许 Windows 应用访问通知	所有应用的默认设置：强制拒绝	已启用（如果启用此设置，并使用“强制拒绝”选项，则 Windows 应用无法通知，并且用户无法更改此设置）
*应用隐私	允许 Windows 应用通过语音激活	所有应用的默认设置：强制拒绝	已启用（此策略设置指定 Windows 应用能否通过语音激活。）
*应用隐私	允许 Windows 应用在系统锁定时通过语音激活	所有应用的默认设置：强制拒绝	已启用（此策略设置指定在系统锁定时能否通过语音激活 Windows 应用。）
*应用隐私	让 Windows 应用控制无线电收发器	所有应用的默认设置：强制拒绝	已启用（如果选择“强制拒绝”选项，则 Windows 应用将无法访问控制电台，并且你组织中的员工无法更改此设置）
应用程序兼容性	关闭清单收集器	不适用	已启用（此策略设置控制清单收集器的状态。清单收集器会对系统上的应用程序、文件、设备和驱动程序进行盘点，并将相关信息发送给 Microsoft。如果启用此策略设置，清单收集器将关闭，且数据不会发送给 Microsoft。通过程序兼容性助手收集安装数据的功能也会被禁用。）
自动播放策略	设置“自动运行”的默认行为	不执行任何自动运行命令	已启用（此策略设置可设置自动运行命令的默认行为。）
*自动播放策略	关闭自动播放	所有驱动器	已启用（如果启用此策略设置，则会在所有驱动器上禁用自动播放。）
*云内容	不显示 Windows 提示	不适用	已启用（此策略设置可防止向用户显示 Windows 提示）
*云内容	关闭 Microsoft 消费者体验	不适用	已启用（如果启用此策略设置，则用户将不再看到 Microsoft 提供的个性化建议，也不再看到有关其 Microsoft 帐户的通知）
*数据收集和预览版	允许遥测	0 - 安全性 [仅适用于企业版]	已启用（0 值设置仅适用于运行企业版、教育版、IoT 版或 Windows Server 版的设备，它可减少发送到所支持的最基本级别的遥测数据）
数据收集和预览版	配置针对桌面分析对浏览数据的收集	配置遥测数据收集：不需发送 Intranet 或 Internet 历史记录	已启用（可配置 Microsoft Edge，使其仅向桌面分析发送 Intranet 历史记录和/或 Internet 历史记录，供带有已配置的商业 ID 的企业设备使用。如果禁用或不配置，则 Microsoft Edge 不会向桌面分析发送浏览历史记录数据。）
*数据收集和预览版	请不要显示反馈通知	不适用	已启用（通过此策略设置，组织可防止其设备显示来自 Microsoft 的反馈问题。）
传递优化	下载模式	下载模式：简单 (99)	已启用（99 表示没有对等互连的简单下载模式。传递优化仅使用 HTTP 下载，不会尝试联系传递优化云服务。）
桌面窗口管理器	不允许使用窗口动画	不适用	已启用（此策略设置控制窗口动画的外观，例如在还原、最小化和最大化窗口时发现的动画的外观。如果启用此策略设置，则窗口动画会被关闭。）
桌面窗口管理器	对“开始”屏幕背景图片使用纯色	不适用	已启用（此策略设置可控制开始菜单背景视觉对象。如果启用此策略设置，则开始菜单背景将使用纯色。）
边缘 UI	允许轻扫边缘	不适用	已禁用（如果禁用此策略设置，则用户将无法通过从任何屏幕边缘轻扫来激活任何系统 UI。）
边缘 UI	禁用帮助提示	不适用	已禁用（如果启用此设置，Windows 将不向用户显示任何帮助提示。）
文件资源浏览器	不显示“已安装新应用程序”通知	不适用	已启用（此策略将删除新应用程序关联的最终用户通知。这些关联基于文件类型（例如 TXT 文件）或协议（例如 HTTP）。如果启用此策略，则不向最终用户显示任何通知）
文件历史记录	关闭文件历史记录	不适用	已启用（如果启用此策略设置，则无法激活文件历史记录来创建定期自动备份。）
*查找我的设备	打开/关闭“查找我的设备”	不适用	已禁用（如果关闭“查找我的设备”，则不会注册设备及其位置，并且“查找我的设备”功能将不起作用。此外，用户无法在其设备上查看活动数字化器的上次使用位置。）
家庭组	阻止计算机加入家庭组	不适用	已启用（如果启用此策略设置，则用户无法向家庭组添加计算机。此策略设置不影响其他网络共享功能。）
*Internet Explorer	允许 Microsoft 服务在用户向地址栏中键入内容时提供增强建议	不适用	已禁用（用户在地址栏中键入内容时将不会收到增强建议。此外，用户将无法更改“建议”设置）
Internet Explorer	禁用 Internet Explorer 软件更新的定期检查	不适用	已启用（阻止 Internet Explorer 检查浏览器的新版本是否已提供。）
Internet Explorer	禁止显示初始屏幕	不适用	已启用（阻止在用户启动浏览器时显示 Internet Explorer 初始屏幕。）
Internet Explorer	自动安装新版本的 Internet Explorer	不适用	已禁用（此策略设置会配置 Internet Explorer，使其在新版本的 Internet Explorer 可用时自动安装此版本。）
Internet Explorer	阻止参与客户体验改善计划	不适用	已启用（此策略设置会阻止用户参与客户体验改善计划 (CEIP)。）
Internet Explorer	阻止运行“首次运行”向导	直接转到主页	已启用（当用户在安装 Internet Explorer 或 Windows 后首次启动浏览器时，此策略设置会阻止运行“首次运行”向导。）
Internet Explorer	设置标签页进程增长	低	已启用（通过此策略设置，可设置 Internet Explorer 创建新标签页进程的速率。）
Internet Explorer	关闭加载项性能通知	不适用	已启用（当加载用户所有已启用的加载项所用的平均时间超出阈值时，此策略设置阻止 Internet Explorer 显示通知。）
Internet Explorer	关闭“自动崩溃恢复”	不适用	已启用（此策略设置会关闭“自动故障修复”功能。如果启用此策略设置，“自动故障修复”功能在程序停止响应后不会提示用户恢复其数据。）
*Internet Explorer	关闭浏览器地理位置	不适用	已启用（如果启用此策略设置，则会关闭浏览器地理位置支持）
*Internet Explorer	打开建议网站	不适用	已禁用（如果禁用此策略设置，则会关闭与此功能关联的入口点和功能。）
Internet Explorer\Internet 控制面板\高级页面	在网页中播放动画	不适用	已禁用（通过此策略设置，可管理 Internet Explorer 是否将显示在 Web 内容中找到的动画图片。通常，只有动态 GIF 文件会受此设置影响；Java 小程序等活动 Web 内容不受影响。）
Internet Explorer\Internet 控制面板\高级页面	在网页中播放声音	不适用	已禁用（如果禁用此策略设置，Internet Explorer 将不播放或下载 Web 内容中的声音，从而帮助更快地显示页面。）
Internet Explorer\Internet 控制面板\高级页面	在网页中播放视频	不适用	已禁用（如果禁用此策略设置，Internet Explorer 将不播放或下载视频，从而帮助更快地显示页面。）
Internet Explorer\Internet 控制面板\高级页面	关闭网站和内容的后台加载以优化性能	不适用	已启用（如果启用此策略设置，IE 将不在后台加载任何网站或内容。）
*Internet Explorer\Internet 控制面板\高级页面	关闭通过页面预测而快速翻页功能	不适用	已启用（Microsoft 会收集你的浏览历史记录，以改进通过页面预测快速翻页的工作方式。如果启用此策略设置，将关闭通过页面预测快速翻页功能，下一网页将不会加载到后台。）
Internet Explorer\Internet 设置\高级设置\浏览	关闭电话号码检测	不适用	已启用（此策略设置确定是否识别电话号码并将其转换为超链接，这可用于调用系统上的默认电话应用程序。如果禁用此策略设置，将启用电话号码检测功能。用户将无法修改此设置。）
Internet Information Services	阻止安装 IIS	不适用	已启用（如果启用此策略设置，则无法安装 IIS，且你将无法安装需要 IIS 的 Windows 组件或应用程序。）
*定位和传感器	关闭定位	不适用	已启用（如果启用此策略设置，则会关闭定位功能，并阻止此设备上的所有程序使用定位功能中的位置信息）
定位和传感器	关闭传感器	不适用	已启用（此策略设置会关闭此设备的传感器功能。如果启用此策略设置，则会关闭传感器功能，并且此计算机上的所有程序都无法使用传感器功能。）
定位和传感器 / Windows 定位程序	关闭 Windows 定位程序	不适用	已启用（此策略设置会关闭此设备的 Windows 定位程序功能。）
*地图	关闭地图数据的自动下载和更新	不适用	已启用（如果启用此设置，则会关闭地图数据的自动下载和更新。）
*地图	在“脱机地图”设置页面关闭未经请求的网络流量	不适用	已启用（如果启用此策略设置，则会关闭在离线地图设置页面上生成网络流量的功能。注意：这可能会关闭整个设置页面。）
*消息	允许消息服务云同步	不适用	已禁用（通过此策略设置，可将手机短信备份和还原到 Microsoft 的云服务。）
*Microsoft Edge	允许对书籍库进行配置更新	不适用	已禁用（如果禁用此设置，Microsoft Edge 将不自动为书籍库下载已更新的配置数据。）
*Microsoft Edge	允许“书籍”选项卡的扩展遥测	不适用	已禁用（如果禁用此设置，Microsoft Edge 仅发送基本遥测数据，具体取决于你的设备配置。）
Microsoft Edge	允许 Microsoft Edge 在 Windows 启动时、在系统空闲时以及每次关闭 Microsoft Edge 时预先启动。	配置预启动：阻止预先启动	已禁用（如果启用此设置，并将其配置为阻止预先启动，则 Microsoft Edge 在 Windows 登录期间、系统空闲时或每次 Microsoft Edge 关闭时不会预先启动。）
Microsoft Edge	允许 Microsoft Edge 在 Windows 启动时和每次关闭 Microsoft Edge 时启动和加载开始页面及新标签页	配置标签页预加载：阻止预加载标签页	已启用（通过此策略设置，可确定 Microsoft Edge 能否在 Windows 登录时和每次关闭 Microsoft Edge 时加载开始页面和新标签页。默认情况下，此设置允许预先加载。如果禁用预加载，则 Microsoft Edge 在 Windows 登录时和每次关闭 Microsoft Edge 时不会加载开始页面或新标签页。）
Microsoft Edge	允许“新建选项卡”页面中的 Web 内容	不适用	已禁用（如果禁用此设置，Microsoft Edge 会在空白页面中打开新的标签页。如果此设置已经过配置，则用户无法更改它。）
*Microsoft Edge	阻止在 Microsoft Edge 中打开首次运行网页	不适用	已启用（首次打开 Microsoft Edge 时，用户不会看到“首次运行”页面。）
OneDrive	用户登录到 OneDrive 之前阻止 OneDrive 产生网络流量	不适用	已启用（启用此设置可在用户登录到 OneDrive 或开始向本地计算机同步文件之前，防止 OneDrive 同步客户端 (OneDrive.exe) 生成网络流量（检查更新等））
联机帮助	关闭“活动帮助”	不适用	已启用（如果启用此策略设置，则不会呈现活动内容链接。会显示文本，但没有这些元素的可单击链接。）
OOBE	请不要在用户登录时启动隐私设置体验	不适用	已启用（首次登录新的用户帐户时，或者在某些情况下进行升级后，操作用户可能会看到一个或一系列屏幕，上面提示该用户为其帐户选择隐私设置。启用此策略可阻止启动此体验。）
RSS 源	阻止自动发现源和网页快讯	不适用	已启用（此策略设置会阻止用户将 Internet Explorer 设为自动发现是否有信息提要或网页快讯可用于关联的网页。）
*RSS 源	关闭源和网页快讯的后台同步	不适用	已启用（如果启用此策略设置，则会禁止在后台同步信息提要和网页快讯。）
*搜索	允许使用 Cortana	不适用	已禁用（此策略设置指定是否允许在设备上使用 Cortana。关闭 Cortana 后，用户仍可使搜索功能在设备上查找信息。）
搜索	允许在锁屏界面上方使用 Cortana	不适用	已禁用（此策略设置可确定在系统锁定时用户能否使用语音与 Cortana 交互。）
*搜索	允许搜索和 Cortana 使用位置	不适用	已禁用（此策略设置指定搜索功能和 Cortana 能否提供位置感知搜索和 Cortana 结果。）
搜索	控制多格式的附件预览	控制多格式的附件预览：.docx、.xlsx、.txt、.xls	已启用（如果启用此策略，可定义一个将能够采用多格式附件预览的文件扩展的列表，其中该列表用分号分隔。）注意：此设置可用于显示会预览哪些类型的附件，以及哪些内容也可帮助阻止自动预览一些可能存在危害的内容类型。
搜索	不允许 Web 搜索	不适用	已启用（启用此策略会从 Windows 桌面搜索中删除搜索 Web 的选项。）
*搜索	不在 Web 中搜索或在“搜索”中显示 Web 结果	不适用	已启用（如果启用此策略设置，则不会在 Web 上执行查询，并且当用户在搜索中执行查询时不会显示 Web 结果。）
搜索	启用对未缓存的 Exchange 文件夹编制索引的功能	不适用	已禁用（如果启用此策略，则当 Microsoft Outlook 未在缓存模式下运行时，可对 Microsoft Exchange 服务器上的邮件项编制索引。搜索的默认行为是不对未缓存的 Exchange 文件夹编制索引。禁用此策略将阻止对未缓存的 Exchange 文件夹编制任何索引。）
搜索	阻止对脱机文件缓存中的文件编制索引	不适用	已启用（如果已启用，则不对网络共享上设为脱机可用的文件编制索引，否则它们将被索引。默认情况下已禁用。）
*搜索	设置在“搜索”中共享的信息	匿名信息	已启用（匿名信息：共享使用情况信息，但不共享搜索历史记录、Microsoft 帐户信息或特定的位置）
搜索	停止在硬盘空间有限的情况下编制索引	空间限制 (MB)：5000	已启用（如果启用此策略，则当索引位置所在的驱动器上剩余的硬盘空间小于指定的硬盘空间量时，会阻止继续建立索引。空间大小介于 0 至 2147483647 MB 之间。）
软件保护平台	关闭 KMS 客户端联机 AVS 验证	不适用	已启用（如果启用此策略设置，则无论设备的激活状态如何，它都不向 Microsoft 发送数据）
*语音	允许自动更新语音数据	不适用	已禁用（指定设备是否将接收语音识别和语音合成模型的更新。）
存储	停止向最新版本的 Windows 提供更新	不适用	已启用（允许或禁止 Microsoft Store 产品/服务更新到最新版本的 Windows。如果启用此设置，则 Microsoft Store 应用程序将不会提供对 Windows 最新版本的更新。）
文本输入	改进墨迹书写和键入识别	不适用	已禁用（此策略设置控制将墨迹和键入数据发送至 Microsoft 的功能，从而改进在 Windows 上运行的应用和服务的语言识别和建议功能。）
Windows 错误报告	禁用 Windows 错误报告	不适用	已启用（如果启用此策略设置，Windows 错误报告不会向 Microsoft 发送任何问题信息。此外，控制面板的“安全与维护”中也不提供解决方案信息。）
Windows 游戏录制和广播	启用或禁用 Windows 游戏录制和广播	不适用	已禁用（如果禁用此设置，则不允许 Windows 游戏录制功能。）
Windows Ink 工作区	允许 Windows Ink 工作区	选择下列操作之一：禁用	已启用（如果启用此设置，并将子设置设为“已禁用”，则 Windows Ink 工作区功能不可用。）
Windows Installer	控制基线文件缓存大小的上限	5	已启用（此策略会控制可用于 Windows Installer 基线文件缓存的磁盘空间百分比。如果启用此策略设置，则可修改 Windows Installer 基线文件缓存的最大大小。）
Windows Installer	禁止创建系统还原检查点	不适用	已启用（如果启用此策略设置，则在安装应用程序时，Windows Installer 不会生成系统还原检查点。）
Windows 移动中心	关闭 Windows 移动中心	不适用	已启用（如果启用此策略设置，则用户无法激活 Windows 移动中心。会从所有 shell 入口点中删除 Windows 移动中心 UI，并且 .exe 文件不会启动它。）
Windows 可靠性分析	配置可靠性 WMI 提供程序	不适用	已禁用（如果禁用此策略设置，可靠性监视程序价格不显示系统可靠性信息，并且支持 WMI 的应用程序将无法访问列出的提供商提供的可靠性信息。）
Windows 安全中心\通知	隐藏非关键通知	不适用	已启用（如果启用此设置，则本地用户将仅看到来自 Windows 安全中心的关键通知。他们将看不到其他类型的通知，例如常规电脑或设备运行状况信息。）
Windows 更新	启用软件通知	不适用	已禁用（通过此策略设置，可控制用户是否会看到有关 Microsoft 更新服务提供的特色软件的详细增强型通知消息。此策略设置适合在松散管理的环境中使用，最终用户可在这种环境访问 Microsoft 更新服务。）
*Windows 更新\适用于企业的 Windows 更新	管理预览版	设置接收预览版的行为：禁用预览版	已启用（选择“禁用预览版”会阻止在设备上安装预览版。这将阻止用户通过“设置”->“更新与安全性”选择加入 Windows 预览体验计划）
*Windows 更新\适用于企业的 Windows 更新	选择何时接收预览版和功能更新	为要接收的更新选择 Windows 就绪性级别：半年频道在预览版或功能更新发布后，延迟以下天数后再接收它：365 从 yyyy-mm-dd 开始暂停预览版或功能更新	已启用（启用此策略可指定要接收的预览版/功能更新的级别以及接收时间。）半年频道：当功能更新发布给一般公众时接收它们。选择半年频道时： - 最多可将对功能更新的接收延迟 365 天。 - 若要阻止在功能更新的计划时间接收这些更新，可暂时暂停它们。该暂停将自提供的开始时间起 35 天保持有效。 - 若要恢复接收已暂停的功能更新，请清除“开始日期”字段。）
Windows 更新\适用于企业的 Windows 更新	选择何时接收质量更新	在质量更新发布后，延迟以下天数后再接收它：30 从 yyyy-mm-dd 开始暂停质量更新	已启用（启用此策略可指定何时接收质量更新。最多可将对质量更新的接收延迟 30 天。若要阻止在质量更新的计划时间接收这些更新，可暂时暂停它们。暂停将在 35 天内保持有效，或者直到你清除“开始日期”字段为止。若要恢复接收已暂停的质量更新，请清除“开始日期”字段。）此建议旨在帮助控制何时该应用更新，同时确保不意外提供和安装更新
本地计算机策略\用户配置\管理模板	不适用	不可用	不适用
控制面板\区域和语言选项	关闭在我键入时提供文本预测的功能	不适用	已启用（此策略会关闭“在我键入时提供文本预测”选项。但这并不会阻止用户或应用程序以编程方式更改设置。如果启用此策略设置，则将锁定此选项，使其不提供文本预测。）
台式机	不将最近打开的文档的共享添加到网络位置	不适用	已启用（如果启用此策略设置，则在共享文件夹中打开文档时，不会自动将共享文件夹添加到网络位置。）
台式机	关闭 Aero Shake 窗口最小化鼠标手势	不适用	已启用（阻止在使用鼠标前后摇晃活动窗口时最小化或还原窗口。如果启用此策略，则在使用鼠标前后摇晃活动窗口时，将不会最小化或还原应用程序窗口。）
桌面 / Active Directory	Active Directory 搜索的最大大小	返回的对象数目：1500	已启用（指定系统为响应 Active Directory 浏览或搜索命令而显示的最大对象数目。此设置会影响与 Active Directory 关联的所有浏览器显示，例如本地用户和组、Active Directory 用户和计算机以及用于设置 Active Directory 中用户或组对象权限的对话框中的浏览器显示。）
开始菜单和任务栏	不在跳转列表中显示或跟踪来自远程位置的项目	不适用	已启用（通过此策略设置，可控制是否显示或跟踪来自远程位置的跳转列表中的项目。）
开始菜单和任务栏	不搜索 Internet	不适用	已启用（如果启用此策略设置，则开始菜单搜索框将不搜索 Internet 历史记录或收藏夹。）
开始菜单和任务栏	解析 shell 快捷方式时不使用基于搜索的方法	不适用	已启用（此策略设置会阻止系统对目标驱动器进行全面搜索来解析快捷方式。）
开始菜单和任务栏	关闭所有气球通知	不适用	已启用（如果启用此策略设置，则不向用户侠士任何通知气球。）
开始菜单和任务栏	关闭功能广告气球通知	不适用	已启用（如果启用此策略设置，则不显示某些标记为功能播发的通知气球。）
开始菜单和任务栏	关闭用户跟踪	不适用	已启用（如果启用此策略设置，则系统不会跟踪用户运行的程序，也不会显示开始菜单中经常使用的程序。）
开始菜单和任务栏 / 通知	关闭 toast 通知	不适用	已启用（如果启用此策略设置，则应用程序将无法引发 toast 通知。）
*开始菜单和任务栏/通知	关闭锁屏界面上的 toast 通知	不适用	已启用（如果启用此策略设置，则应用程序将无法在锁屏界面上引发 toast 通知。）
本地计算机策略/用户配置	不适用	不可用	不适用
Windows 组件 / 云内容	在锁屏界面上配置 Windows 聚焦	不适用	已禁用（如果禁用此策略，则将关闭 Windows 聚焦，且用户将无法再将其选作锁屏界面。除非已启用“阻止更改锁屏界面图像”策略，否则用户将看到默认锁屏界面图像且能够选择其他图像。）
*Windows 组件/云内容	不在 Windows 聚焦中建议第三方内容	不适用	已启用（如果已启用此策略，则锁屏界面聚焦、开始菜单中建议的功能或 Windows 提示等 Windows 聚焦功能将不再建议来自第三方软件发行商的应用和内容。用户仍可看到能使其更高效地使用 Microsoft 功能和应用的建议与提示。）
Windows 组件 / 云内容	请勿将诊断数据用于定制体验	不适用	已启用（如果已启用此策略设置，则 Windows 将不使用来自此设备的诊断数据来自定义锁屏界面、Windows 提示、Microsoft 使用者功能和其他相关功能上显示的内容；其中该数据可能包括浏览器、应用和功能使用情况，具体取决于“诊断数据”设置值。）
Windows 组件 / 云内容	关闭所有的 Windows 聚焦功能	不适用	已启用（将关闭 Windows 提示、Microsoft 使用者功能、锁屏界面上的 Windows 聚焦功能和其他相关功能。如果你的目标是尽量减少来自目标设备的网络流量，则应启用此策略设置。）
边缘 UI	关闭应用使用情况跟踪	不适用	已启用（此策略设置会阻止 Windows 跟踪使用和搜索频率最高的应用。如果启用此策略设置，则将在以下内容中按字母顺序排列应用： - 搜索结果 -“搜索”窗格和“共享”窗格 - 选取器中的应用下拉列表）
文件资源浏览器	关闭缩略图的缓存	不适用	已启用（如果已启用此策略设置，则不会缓存缩略图。）
文件资源浏览器	关闭常用控件和窗口动画	不适用	已启用（禁用动画可使具有某些视觉障碍的用户更容易使用，还可在某些情况下提高性能和电池寿命。）
文件资源浏览器	禁止在文件资源管理器搜索框中显示最近的搜索条目	不适用	已启用（禁止对搜索框建议最近使用的查询，并阻止将搜索框中的条目存储在注册表中供未来参考。）
文件资源浏览器	关闭隐藏的 thumbs.db 文件中的缩略图缓存	不适用	已启用（如果启用此策略设置，则文件资源管理器不会创建 thumbs.db 文件，也不会从中读取内容或向其写入内容。）

* 摘自 Windows 受限流量限制功能基线。

系统服务

如果你在考虑禁用系统服务来节省资源，请确保这些服务不是其他一些服务的组件。在本文中且具有可用 GitHub 脚本的情况下，某些服务未包含在列表中，原因是无法以支持的方式禁用这些服务。

其中的大多数建议按照有关在带有桌面体验的 Windows Server 2016 中禁用系统服务的指导中的说明，摘自针对装有桌面体验的 Windows Server 2016 提供的建议。

有很多看似适合禁用的服务已设置为手动服务启动类型。这意味着，这些服务不会自动启动，而且除非某个进程或事件对你考虑禁用的服务触发了请求，否则它们也不会启动。已设置为手动启动类型的服务通常不会在此处列出。

注意

可以使用以下 PowerShell 示例代码来枚举正在运行的服务，结果仅输出服务的短名称：

Get-Service | Where-Object {$_.Status -eq 'Running'} | Select-Object -ExpandProperty Name

下表包含一些可能被视为要在虚拟桌面环境中禁用的服务：

Windows 服务	服务名称	项	备注
手机网络时间	autotimesvc	此服务基于移动网络中的 NITZ 消息设置时间	虚拟桌面环境可能没有此类设备可用。要了解详细信息，请参阅此文章。
GameDVR 和广播用户服务	BcastDVRUserService	此（基于用户）服务用于游戏录制和实时广播	注意：这是一项“基于用户的服务”，因此必须禁用模板服务。此用户服务用于游戏录制和实时广播。要了解详细信息，请参阅此文章。
CaptureService	CaptureService	为调用 Windows.Graphics.Capture API 的应用程序启用可选的屏幕捕获功能。	OneCore 捕获服务：为调用 Windows.Graphics.Capture API 的应用程序启用可选的屏幕捕获功能有关详细信息，请参阅此文章。
互联设备平台服务	CDPSvc	此服务用于互联设备平台方案	互联设备平台服务要了解详细信息，请参阅此文章
CDP 用户服务	CDPUserSvc	不适用	互联设备平台用户服务。要了解详细信息，请参阅此文章。此用户服务用于互联设备平台方案这是一项“基于用户的服务”，因此必须禁用模板服务 (CDPUserSvc)。
优化驱动器	defragsvc	通过优化存储驱动器上的文件，帮助计算机更有效地运行。	虚拟桌面解决方案通常不会从磁盘优化中获益。这些“驱动器”通常不是传统的驱动器，而只是一种临时存储分配。
诊断执行服务	DiagSvc	执行诊断操作来排查支持方面的问题	禁用此服务时，将一并禁用运行 Windows 诊断“诊断执行服务”的功能。
已连接的用户体验和遥测	DiagTrack	此服务可启用支持应用程序内部和已连接的用户体验的功能。此外，如果在“反馈和诊断”中启用了诊断和使用情况隐私选项设置，则此服务会管理诊断和使用情况信息的事件驱动式收集与传输（用于改进 Windows 平台的体验和质量）。	在断开连接的网络中考虑禁用。要了解详细信息，请参阅此文章。
诊断策略服务	DPS	诊断策略服务启用 Windows 组件的问题检测、故障排除和解决。如果此服务已停止，则诊断将不再正常运行。	禁用此服务将一并禁用运行 Windows 诊断的功能。有关详细信息，请参阅此文章。
设备安装管理器	DsmSvc	启用设备相关软件的检测、下载和安装。	如果此服务已禁用，则可能会使用过期的软件配置设备，因此设备可能无法正常工作。虚拟桌面环境可非常严格地控制安装哪款软件，同时可跨环境维护这种一致性。
数据使用服务	DusmSvc	网络数据使用情况、数据限制、限制后台数据、按流量计费的网络。	有关详细信息，请参阅此文章。
Windows 移动热点服务	icssvc	提供与另一台设备共享手机网络数据连接的功能。	要了解详细信息，请参阅此文章。
Microsoft Store 安装服务	InstallService	提供 Microsoft Store 的基础结构支持。	此服务按需启动；如果已禁用，则安装项将无法正常运行。请考虑在非持久性虚拟桌面上禁用此服务，而对于持久性虚拟桌面解决方案，则保留原样。
地理定位服务	Lfsvc	监视系统的当前位置并管理地理围栏（具有关联事件的地理位置）。	如果关闭此服务，应用程序将无法使用或接收有关地理位置或地理围栏的通知。要了解详细信息，请参阅此文章。
已下载的地图管理器	MapsBroker	可让应用程序访问已下载的地图的 Windows 服务。应用程序在访问下载的地图时会按需启动此服务。	禁用此服务可防止应用访问地图。要了解详细信息，请参阅此文章。
MessagingService	MessagingService	支持短信和相关功能的服务。	这是一项“基于用户的服务”，因此必须禁用模板服务。
同步主机	OneSyncSvc	此服务同步邮件、联系人、日历和其他各种用户数据。	(UWP) 如果此服务未运行，则依赖此功能的邮件和其他应用程序将无法正常工作。这是一项“基于用户的服务”，因此必须禁用模板服务。
联系人数据	PimIndexMaintenanceSvc	为联系人数据编制索引以加速联系人搜索。如果停止或禁用此服务，搜索结果中可能会缺少联系人。	这是一项“基于用户的服务”，因此必须禁用模板服务。
电源	电源	管理电源策略和电源策略通知传送。	虚拟机对电源属性几乎没有任何影响。如果禁用此服务，则电源管理和报告功能将不可用。要了解详细信息，请参阅此文章。
付款和 NFC/SE 管理器	SEMgrSvc	管理付款和基于近场通信 (NFC) 的安全元素。	在企业环境中，可能不需要用此服务进行付款。
Microsoft Windows SMS 路由器服务	SmsRouter	根据规则将消息路由到适当的客户端。	如果使用其他工具（例如 Teams 和 Skype 等）进行消息传递，则可能不需要此服务。要了解详细信息，请参阅此文章。
Superfetch (SysMain)	SysMain	维持和不断改进系统性能。	由于各种原因，Superfetch 通常不会提升虚拟桌面环境中的性能。基础存储通常是虚拟化的，可能跨多个驱动器创建带区。在某些虚拟桌面解决方案中，当用户注销时，累积的用户状态会被放弃。应在每个环境中评估 SysMain 功能。
更新 Orchestrator 服务	UsoSvc	管理 Windows 更新。如果停止该服务，则设备无法下载和安装最新的更新。	对于更新，通常会谨慎管理虚拟桌面设备。通常在维护时段执行维护。在某些情况下，可能会使用更新客户端（如 SCCM）。例外情况是安全签名更新，它们会在任何时候应用于任何虚拟桌面设备，以便维护最新的签名。如果禁用此服务，请进行测试，确保仍然能够安装安全签名。
卷影复制	VSS	管理和实施用于备份和其他目的的卷影副本。	如果此服务已停止，卷影副本将不可用于备份，并且备份可能会失败。如果此服务已禁用，显式依赖它的任何服务将无法启动。要了解详细信息，请参阅此文章。
诊断系统主机	WdiSystemHost	诊断策略服务使用诊断系统主机来托管需要在本地系统上下文中运行的诊断。如果此服务已停止，则依赖于它的任何诊断将不再正常运行。	禁用此服务将一并禁用运行 Windows 诊断的功能
Windows 错误报告	WerSvc	允许在程序停止运行或无响应时报告错误，并允许传送现有的解决方案。此外，允许生成诊断和修复服务的日志。如果此服务已停止，错误报告可能无法正常工作，并且诊断服务和修复结果可能不会显示。	使用虚拟桌面环境时，通常在“脱机”方案中执行诊断，而不是在主流生产环境中执行。此外，某些客户仍会禁用 WER。在许多情况下（包括无法安装设备或无法安装更新时），WER 会占用微量的资源。要了解详细信息，请参阅此文章。
Windows 搜索	WSearch	提供文件、电子邮件和其他内容的内容索引、属性缓存和搜索结果。	禁用此服务会阻止对电子邮件和其他内容编制索引。请在禁用此服务之前进行测试。要了解详细信息，请参阅此文章。
Xbox Live 身份验证管理器	XblAuthManager	提供用来与 Xbox Live 交互的身份验证和授权服务。	如果此服务已停止，某些应用程序可能无法正常运行。
Xbox Live 游戏保存	XblGameSave	此服务用于同步支持 Xbox Live“保存”的游戏的保存数据。	如果此服务已停止，则不会向/从 Xbox Live 上传/下载游戏保存数据。
Xbox 附件管理服务	XboxGipSvc	此服务会管理连接的 Xbox Accessories。	不适用
Xbox Live 网络服务	XboxNetApiSvc	此服务支持 Windows.Networking.XboxLive 应用程序编程界面。	不适用

Windows 中的基于用户的服务

基于用户的服务是当用户登录到 Windows 或 Windows Server 时创建的，当用户注销时停止并删除的服务。这些服务在用户帐户的安全上下文中运行 - 相比于以往在与预配置帐户关联的资源管理器中或者以任务形式运行此类服务相比，这可以改善资源管理。有关详细信息，请参阅 Windows 中基于用户的服务。

如果计划更改服务起始值，首选方法是打开提升的 .CMD 提示符，并运行服务控制管理器工具 SC.EXE。有关详细信息，请参阅 SC。

计划任务

与 Windows 中的其他项一样，在禁用计划的任务之前，请确保不需要该项。虚拟桌面环境中的某些服务（例如 StartComponentCleanup）可能不适合在生产环境中运行，但可能适合在“黄金映像”（参考映像）上的维护时段进行运行。

以下任务列表包含在每次重启后都会保留状态的计算机上执行优化或数据收集的任务。如果虚拟桌面设备会重启并放弃自上次启动以来所作的全部更改，则针对物理计算机的优化没有作用。

可以使用以下 PowerShell 代码获取所有当前计划的任务（包括说明）：

  Get-ScheduledTask | Select-Object -Property TaskPath,TaskName,State,Description

注意

即使在提升的命令提示符上运行，也有很多任务无法通过脚本来禁用。此处和 GitHub 脚本中的建议不会尝试禁用无法通过脚本禁用的任务。

计划任务名称	说明
MNO	移动宽带帐户体验元数据分析器
AnalyzeSystem	此任务会分析系统，查找可能会导致高能耗的情况
移动电话	与手机网络设备相关
兼容性	如果已选择加入 Microsoft 客户体验改善计划，则会收集程序遥测信息。
Consolidator	如果用户已同意参加 Windows 客户体验改善计划，则此作业会收集使用数据并将其发送给 Microsoft
诊断	（任务路径中的 DiskFootprint）“DiskFootprint”是以存储读取、写入和刷新形式发出存储 I/O 的所有进程一起导致的。
FamilySafetyMonitor	初始化家庭安全监视和强制执行功能。
FamilySafetyRefreshTask	将最新设置与 Microsoft 家庭功能服务进行同步。
MapsToastTask	此任务会显示各种与映射相关的 toast
Microsoft-Windows-DiskDiagnosticDataCollector	对于参加客户体验计划的用户，Windows 磁盘诊断服务会报告一般性的磁盘和系统信息。
NotificationTask	执行每用户交互和 Web 交互的后台任务
ProcessMemoryDiagnosticEvents	计划内存诊断来响应系统事件
Proxy (代理)	如果已选择加入 Microsoft 客户体验改善计划，则此任务会收集和上传 autochk SQM 数据。
QueueReporting	处理已排队的报表的 Windows 错误报告任务。
RecommendedTroubleshootingScanner	检查 Microsoft 建议的疑难解答
RegIdleBackup	注册表空闲备份任务
RunFullMemoryDiagnostic	检测并缓解物理内存 (RAM) 中的问题。
计划	Windows 计划维护任务通过自动修复问题或通过安全和维护进行报告来定期维护计算机系统。
ScheduledDefrag	此任务会优化本地存储驱动器。
SilentCleanup	一项维护任务，在可用磁盘空间较低的情况下运行时，系统用它来启动无提示自动磁盘清理。
SpeechModelDownloadTask
Sqm-Tasks	此任务会收集受信任的平台模块 (TPM)、安全启动和测量的启动的相关信息。
SR	此任务会创建常规系统保护点。
StartComponentCleanup	在维护时段期间的性能可能更优的维护任务
StartupAppTask	如果存在太多启动条目，则会扫描启动条目并向用户发送通知。
SyspartRepair
WindowsActionDialog	位置通知
WinSAT	测量系统的性能和功能
XblGameSaveTask	Xbox Live GameSave 待机任务

应用 Windows（和其他）更新

从 Microsoft 更新或内部资源应用可用的更新，包括 Windows Defender 签名。此时非常适合应用其他可用的更新，包括适用于 Microsoft Office（如果已安装）和其他软件的更新。如果 PowerShell 将保留在映像中，可以运行命令 Update-Help 下载 PowerShell 的最新可用帮助。

维护 OS 和应用

应在在映像优化过程中的某个时间点应用可用的 Windows 更新。 Windows 10 更新设置中有一项设置可提供其他更新。可通过“设置”>“高级选项”找到它。找到后，将“更新 Windows 时提供其他 Microsoft 产品的更新”设置为“开” 。

高级选项菜单的屏幕截图。“提供其他 Microsoft 产品的更新”设置已启用。

如果你要在基本映像中安装 Microsoft Office 等 Microsoft 应用程序，则最好是使用此设置。这样，在将映像投放到服务后，Office 就可以保持最新状态。还可以下载 .NET 更新；某些第三方组件（例如 Adobe）也会通过 Windows 更新提供更新。

对于非持久性虚拟桌面设备，一项非常重要的考虑因素是安全更新（包括安全软件定义文件）。这些更新可能每天发布一次或多次。

对于 Windows Defender，可能最好是安装更新，即使是在非持久性虚拟桌面环境中。几乎每次登录时都会应用更新，但这些更新的规模较小，应该不会造成问题。此外，设备在更新时不会减慢速度，因为只会应用最新可用的更新。对于第三方定义文件可能也是如此。

注意

通过 Windows Store 更新 Store 应用（UWP 应用）。新版 Office（例如 Office 365）在已直接连接到 Internet 的情况下可通过自身的机制更新，在未连接到 Internet 的情况下可通过管理技术更新。

Windows 系统启动事件跟踪（自动记录程序）

Windows 默认配置为收集并保存诊断数据。目的是启用诊断，或者在需要进一步执行故障排除时记录数据。可在下图所述的位置找到自动系统跟踪：

计算机管理文件夹的屏幕截图。“系统跟踪”文件夹已打开，WiFi 会话文件处于选中状态。

“事件跟踪会话”和“启动事件跟踪会话”下显示的某些跟踪无法停止，也不应将其停止。可停止其他跟踪（例如 WiFiSession）。若要停止“事件跟踪会话”下某个正在运行的跟踪，请右键单击该跟踪，然后选择“停止” 。使用以下过程防止启动时自动启动跟踪：

选择“启动事件跟踪会话”文件夹。
查找要查看的跟踪文件，并选择它来将其打开。
选择“跟踪会话”选项卡。
取消选中标有“已启用”的框。
选择“确定” 。

下表列出了一些你应考虑在虚拟桌面环境中禁用的系统跟踪：

名称	备注
Cellcore	记录在此处。
CloudExperienceHostOOBE	记录在此处。
DiagLog	诊断策略服务生成的日志；记录在此处
RadioMgr	记录在此处。
ReadyBoot	记录在此处。
WDIContextLog	无线局域网 (WLAN) 设备驱动程序接口；记录在此处。
WiFiDriverIHVSession	记录在此处。
WiFiSession	WLAN 技术的诊断日志。如果未实现 Wi-Fi，则无需用于此记录器
WinPhoneCritical	手机（Windows？）的诊断日志。如果不使用手机，则无需用于此记录器

虚拟桌面环境中的 Windows Defender 优化

若要更详细地了解如何在虚拟桌面环境中优化 Windows Defender，请查看虚拟桌面基础结构 (VDI) 环境中 Windows Defender 防病毒的部署指南。

上述文章提供了为“黄金”虚拟桌面映像提供服务，以及如何维护正在运行的虚拟桌面客户端的过程。当虚拟桌面计算机需要更新其 Windows Defender 签名时，为减少网络带宽，请分阶段重启并尽量将重启安排在下班时间。 Windows Defender 签名更新可包含在文件共享内部；如果可行，请将这些文件共享放在虚拟桌面设备所在的相同网段或者与其邻近的网段。

通过注册表设置优化客户端网络性能

有些注册表设置可以提高网络性能。如果环境中虚拟桌面设备或物理计算机的工作负载主要依赖于网络，则此措施尤为重要。本部分建议的设置旨在通过为目录条目等内容设置其他缓冲和缓存来优化性能，而不是优化网络工作负载配置文件。

注意

本部分中的某些设置仅基于注册表，应该先将其整合到基础映像，然后再将映像部署到生产用途。

以下设置记录在 Windows Server 2016 的性能优化指南中。

DisableBandwidthThrottling

HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\DisableBandwidthThrottling

适用于 Windows 10。默认值为 0。默认情况下，SMB 重定向程序会限制高延迟网络连接的吞吐量，在某些情况下可以避免与网络相关的超时。将此注册表值设置为 1 可禁用此限制，从而在高延迟网络连接上实现更高的文件传输吞吐量。考虑将此值设置为 1。

FileInfoCacheEntriesMax

HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\FileInfoCacheEntriesMax

适用于 Windows 10。默认值为 64，有效范围为 1 - 65536。此值用于确定可以由客户端缓存的文件元数据量。在访问大量文件时，增加该值可以减少网络流量并提高性能。请尝试将此值增大至 1024。

DirectoryCacheEntriesMax

HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\DirectoryCacheEntriesMax

适用于 Windows 10。默认值为 16，有效范围为 1 - 4096。此值用于确定可以由客户端缓存的目录信息量。在访问大量目录时，增加该值可以减少网络流量并提高性能。请考虑将此值增大至 1024。

FileNotFoundCacheEntriesMax

HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\FileNotFoundCacheEntriesMax

适用于 Windows 10。默认值为 128，有效范围为 1 - 65536。此值用于确定可由客户端缓存的文件名信息量。在访问大量文件名时，增加该值可以减少网络流量并提高性能。请考虑将此值增大至 2048。

DormantFileLimit

HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\DormantFileLimit

适用于 Windows 10。默认值为 1023。此参数指定应用程序关闭文件后应在共享资源上保持打开状态的文件的数量上限。如果有数千个客户端连接到 SMB 服务器，请考虑将此值减小至 256。：Windows Server 2022、Windows Server 2019

可以使用 Set-SmbClientConfiguration 和 Set-SmbServerConfiguration Windows PowerShell cmdlet 配置其中的许多 SMB 设置。可以使用 Windows PowerShell 配置仅限注册表的设置，如以下示例所示：

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" RequireSecuritySignature -Value 0 -Force

Windows 受限流量限制功能基线指南中所述的其他设置

对于未直接连接到 Internet，或者想要减少发送到 Microsoft 和其他服务的数据的环境，Microsoft 发布了使用 Windows 安全基准所用的相同过程创建的基线。

Windows 受限流量限制功能基线设置在组策略表中标有星号。

磁盘清理（包括使用磁盘清理向导）

对于黄金映像/主映像虚拟桌面实现，磁盘清理可能特别有用。准备、更新并配置黄金映像/主映像后，最后要执行的其中一项任务就是磁盘清理。 Github.com 上的优化脚本具有 PowerShell 代码来执行常见的磁盘清理任务

注意

磁盘清理设置在名为“存储”的设置类别“系统”中。默认情况下，当达到低磁盘可用空间阈值时，存储感知将运行。

若要详细了解如何对 Azure 自定义 VHD 映像使用存储感知，请参阅准备和自定义主 VHD 映像。

对于使用 Windows 10 企业版或 Windows 10 企业版多会话的 Azure 虚拟桌面会话主机，建议禁用存储感知。可在“存储”下的“设置”菜单中禁用存储感知。

下面是针对各种磁盘清理任务的建议。在实施之前应对这些任务进行测试：

可手动或自动使用存储感知。有关存储感知的详细信息，请参阅以下文章：在 Windows 10 中使用 OneDrive 和存储感知来管理磁盘空间

手动清理临时文件和日志。在权限提升的命令提示符下运行以下命令：

Del C:\*.tmp /s
C:\*.etl /s
C:\*.evtx /s

Get-ChildItem -Path c:\ -Include *.tmp, *.dmp, *.etl, *.evtx, thumbcache*.db, *.log -File -Recurse -Force -ErrorAction SilentlyContinue | Remove-Item -ErrorAction SilentlyContinue

Remove-Item -Path $env:ProgramData\Microsoft\Windows\WER\Temp\* -Recurse -Force -ErrorAction SilentlyContinue

Remove-Item -Path $env:ProgramData\Microsoft\Windows\WER\ReportArchive\* -Recurse -Force -ErrorAction SilentlyContinue

Remove-Item -Path $env:ProgramData\Microsoft\Windows\WER\ReportQueue\* -Recurse -Force -ErrorAction SilentlyContinue

Clear-RecycleBin -Force -ErrorAction SilentlyContinue

Clear-BCCache -Force -ErrorAction SilentlyContinue

运行以下命令来删除系统上未使用的所有配置文件：

wmic path win32_UserProfile where LocalPath="C:\\users\\<users>" Delete

如果对本文中的信息有任何疑问或担忧，请联系 Microsoft 帐户团队、查看 Microsoft 虚拟桌面 IT 专业人员博客、在 Microsoft 虚拟桌面论坛中发布消息，或者联系 Microsoft。

重新启用 Windows 更新

如果想要在禁用 Windows 更新后启用对它的使用（例如在持久性虚拟桌面中），请按照以下步骤进行操作：

重新启用组策略设置：
- 转到“本地计算机策略”>“计算机配置”>“管理模板”>“系统”>“Internet 通信管理”>“Internet 通信设置” 。
  - 通过将设置从“已启用”更改为“未配置”，禁用对所有 Windows 更新功能的访问。
- 转到“本机计算机策略”>“计算机配置”>“管理模板”>“Windows 组件”>“Windows 更新” 。
  - 通过将设置从“已启用”更改为“未配置”，移除对所有 Windows 更新功能的访问。
  - 通过将设置从“已启用”更改为“未配置”，不连接到任何 Windows 更新 Internet 位置。
- 转到“本机计算机策略”>“计算机配置”>“管理模板”>“Windows 组件”>“Windows 更新”>“Windows 更新商业版” 。
  - 选择何时接收质量更新（从“已启用”更改为“未配置”）
- 转到“本机计算机策略”>“计算机配置”>“管理模板”>“Windows 组件”>“Windows 更新”>“Windows 更新商业版” 。
  - 选择何时接收预览版和功能更新（从“已启用”更改为“未配置”）
重新启用服务：
- 将“更新 Orchestrator 服务”从“已禁用”更改为“自动(延迟启动)”。。
编辑 Windows 注册表（警告，编辑注册表时要小心）。
- 转到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\PolicyState。
  - 将 DeferQualityUpdates 从“1”更改为“0”。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\Settings
  - 删除 PausedQualityDate 的所有现有值。
- 转到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\WAU
  - 设置为“禁用”。
重新启用计划任务：
- 转到“任务计划程序库”>“Microsoft”>“Windows”>“InstallService”>“ScanForUpdates” 。
- 转到“任务计划程序库”>“Microsoft”>“Windows”>“InstallService”>“ScanForUpdatesAsUser” 。
请重启设备，使所有这些设置生效。
如果不希望此设备提供功能更新，请转到“设置”>“Windows 更新”>“高级选项”>“选择何时安装更新”，然后手动设置“功能更新包括新功能和改进”选项。可将其延迟非零值的天数，例如 180、365 等。

其他信息

若要详细了解 Microsoft 的 VDI 体系结构，请参阅 Azure 虚拟桌面文档。

如果在进行 sysprep 故障排除时需要更多帮助，请参阅在删除或更新包含内置 Windows 映像的 Microsoft Store 应用后 Sysprep 失败。

通过