Share via

Windows 10 部署方案和工具

  • 项目

若要为组织成功部署Windows 10操作系统和应用程序,请了解可用于帮助完成此过程的工具。 在本文中,你将了解最常用的Windows 10部署工具。

Microsoft 提供了许多工具、服务和解决方案。 这些工具包括 Windows 部署服务 (WDS) 、批量激活管理工具 (VAMT) 、用户状态迁移工具 (USMT) 、Windows System Image Manager (Windows SIM) 、Windows 预安装环境 (Windows PE) 以及 Windows 恢复环境 (Windows RE) 。 这些工具本身并不是一个完整的解决方案。 将这些工具与 Configuration Manager 等解决方案相结合,以获取完整的部署解决方案。

本文还介绍了可以构建的不同类型的引用映像,以及为什么引用映像对大多数组织都有好处

Windows 评估和部署工具包

Windows ADK 包含核心评估和部署工具和技术,包括部署映像服务和管理 (DISM) 、Windows ICD) Designer (Windows 映像和配置、Windows 系统映像管理器 (Windows SIM) 、用户状态迁移工具 (USMT) 、批量激活管理工具 (VAMT) 、Windows 预安装环境 (Windows PE) 、Windows 评估服务、Windows Performance Toolkit (WPT) 、Application Compatibility Toolkit (ACT) 和 Microsoft SQL Server 2012 Express。 有关详细信息,请参阅适用于Windows 10的 Windows ADK适用于 IT 专业人员Windows 10方案的 Windows ADK

Windows 10 ADK 功能选择页。

Windows 10 ADK 功能选择页。

部署映像服务和管理 (DISM)

DISM 是 Windows ADK 中包含的部署工具之一,用于捕获、维护和部署启动映像和操作系统映像。

DISM 服务联机和脱机映像。 例如,使用 DISM,可以在 Windows 10 联机安装 Microsoft .NET Framework 3.5.1,这意味着你可以在正在运行的操作系统中启动安装,而不是使软件联机。 /LimitAccess 开关将 DISM 配置为仅从本地源获取文件:

Dism.exe /Online /Enable-Feature /FeatureName:NetFX3 /All /Source:D:\Sources\SxS /LimitAccess

在Windows 10中,可以对 DISM.exe 完成的许多函数使用Windows PowerShell。 使用 PowerShell 的 Windows 10 中的等效命令是:

Enable-WindowsOptionalFeature -Online -FeatureName NetFx3 -All 
-Source D:\Sources\SxS -LimitAccess

在 PowerShell 中使用 DISM 函数。

在 PowerShell 中使用 DISM 函数。

有关 DISM 的详细信息,请参阅 DISM 技术参考

用户状态迁移工具 (USMT)

USMT 是一种备份和还原工具,可用于将用户状态、数据和设置从一个安装迁移到另一个安装。 Microsoft 部署工具包 (MDT) ,Configuration Manager将 USMT 用作操作系统部署过程的一部分。

USMT 包括多个命令行工具,其中最重要的工具是 ScanState 和 LoadState:

  • ScanState.exe:此工具执行用户状态备份。
  • LoadState.exe:此工具执行用户状态还原。
  • UsmtUtils.exe:此工具补充了 ScanState.exe 和 LoadState.exe 中的功能。

除了这些工具外,还有用于管理迁移的数据的 XML 模板。 可以自定义模板或创建新模板,以在高级别详细地管理备份过程。 USMT 对其模板使用以下术语:

  • 迁移模板:USMT 中的默认模板。
  • 自定义模板:创建的自定义模板。
  • 配置模板:名为 Config.xml 的可选模板,可用于排除或包含迁移中的组件,而无需修改其他标准 XML 模板。

示例 USMT 迁移文件,它将排除所有本地驱动器上的 .MP3 文件,并包括文件夹 C:\Data 及其所有文件,包括其子目录及其文件。

示例 USMT 迁移文件,它将排除所有本地驱动器上的 .MP3 文件,并包括文件夹 C:\Data 及其所有文件,包括其子目录及其文件。

USMT 支持从 Windows Vista 及更高版本捕获数据和设置,并将数据和设置还原到 Windows 7 及更高版本, (包括) 这两种情况下的Windows 10。 它还支持从 32 位操作系统迁移到 64 位操作系统,但不支持相反。 例如,可以使用 USMT 从 Windows 7 x86 迁移到 Windows 10 x64。

默认情况下,USMT 会迁移许多设置,其中大多数设置与用户配置文件相关,但也与控制面板配置、文件类型等相关。 Windows 10部署中使用的默认模板是 MigUser.xml 和 MigApp.xml。 这两个默认模板迁移以下数据和设置:

  • 每个配置文件中的文件夹,包括用户配置文件中的文件夹,以及共享和公共配置文件。 例如,迁移“我的文档”、“我的视频”、“我的音乐”、“我的图片”、“桌面文件”、“开始”菜单、“快速启动”设置和“收藏夹” 文件夹。

  • 以下特定文件类型:

    .accdb, .ch3, .csv, .dif, .doc*, .dot*, .dqy, .iqy, .mcw, .mdb*, .mpp, .one*, .oqy, .or6, .pot*, .ppa, .pps*, .ppt*, .pre, .pst, .pub, .qdf, .qel, .qph, .qsd, .rqy, .rtf, .scd, .sh3, .slk, .txt, .vl*, .vsd, .wk*, .wpd, .wps, .wq1, .wri, .xl*, .xla, .xlb, .xls*

    注意

    星号 (*) 代表零个或多个字符。

    注意

    默认情况下,Microsoft Office 应用程序可以使用的 OpenDocument 扩展 (*.odt*.odp*.ods) 不会迁移。

  • 操作系统组件设置

  • 应用程序设置

这些设置由默认 MigUser.xml 和 MigApp.xml 模板进行迁移。 有关详细信息,请参阅 USMT 迁移的内容? 有关 USMT 的更多常规信息,请参阅 USMT 技术参考

Windows 映像和配置设计器

Windows 映像和配置Designer (Windows ICD) 是一种工具,旨在帮助创建可用于动态配置 Windows 设备 (电脑、平板电脑和手机) 的预配包。 此工具可用于设置新设备,而无需使用自定义映像重置设备映像。

Windows 映像和配置Designer。

Windows 映像和配置Designer。

有关详细信息,请参阅 Windows 映像和配置设计器

Windows 系统映像管理器 (Windows SIM)

Windows SIM 是用于 Unattend.xml 文件的创作工具。 使用 MDT 和/或Configuration Manager时,你通常不需要 Windows SIM,因为这些系统在部署过程中自动更新 Unattend.xml 文件,从而大大简化了整个过程。

在 Windows SIM 中打开的 Windows 应答文件。

在 Windows SIM 中打开的 Windows 应答文件。

有关详细信息,请参阅 Windows 系统映像管理器技术参考

批量激活管理工具 (VAMT)

如果不使用 KMS,请使用 批量激活管理工具 (VAMT) 集中管理 MAK。 使用此工具在整个组织中安装和管理产品密钥。 VAMT 还可以代表没有 Internet 访问的客户端激活,充当 MAK 代理。

更新的批量激活管理工具。

更新的批量激活管理工具。

VAMT 还可用于创建报表、从 MAK 切换到 KMS、管理基于 Active Directory 的激活以及管理 Office 2010 和 Office 2013 批量激活。 VAMT 还支持 PowerShell (,而不是旧的命令行工具) 。 例如,如果要从 VAMT 数据库获取信息,可以键入:

Get-VamtProduct

有关 VAMT 的详细信息,请参阅 VAMT 技术参考

Windows 预安装环境 (Windows PE)

Windows PE 是Windows 10的“精简”版本,创建后用作部署平台。 Windows PE 取代了过去十年统治部署解决方案的 DOS 或 Linux 启动磁盘。

有关 Windows PE 的关键在于,与操作系统一样,它至少需要每台电脑中的网络和存储设备的驱动程序。 幸运的是,Windows PE 包含与完整Windows 10操作系统相同的驱动程序,这意味着你的大部分硬件都将开箱即用。

使用 Windows ADK 默认 Windows PE 启动映像启动的计算机。

使用 Windows ADK 默认 Windows PE 启动映像启动的计算机。

有关 Windows PE 的详细信息,请参阅 Windows PE (WinPE)

Windows 恢复环境

Windows 恢复环境 (Windows RE) 是 Windows Vista 及更高版本的操作系统中包含的诊断和恢复工具集。 最新版本的 Windows RE 基于 Windows PE。 还可以扩展Windows RE,并根据需要添加自己的工具。 如果 Windows 安装无法启动并安装Windows RE,你将看到自动故障转移到Windows RE。

Windows 10客户端已启动到Windows RE,其中显示了“高级”选项。

Windows 10客户端已启动到Windows RE,其中显示了“高级”选项。

有关Windows RE的详细信息,请参阅 Windows 恢复环境

Windows 部署服务

从Windows 8开始,Windows 部署服务 (WDS) 已通过多种方式进行了更新和改进。 请记住,你将使用的两个main函数是 PXE 启动支持和多播。 大多数更改都与管理和提高性能有关。 在 Windows Server 2012 R2 中,WDS 还可用于 BitLocker 中的网络解锁功能。

使用多播部署三台计算机的 Windows 部署服务。

使用多播部署三台计算机的 Windows 部署服务。

在 Windows Server 2012 R2 中,可以将 Windows 部署服务配置为独立模式或 Active Directory 集成。 在大多数情况下,Active Directory 集成模式是最佳选择。 WDS 还具有管理驱动程序的功能;但是,由于这两种解决方案提供的灵活性,通过 MDT 和 Configuration Manager 进行驱动程序管理更适合部署,因此你将改用它们。 在 WDS 中,可以在 Active Directory 中预先暂存设备,但在这里,Configuration Manager内置了此功能,并且 MDT 能够使用SQL Server数据库进行预暂存。 在大多数情况下,这些解决方案比内置的预暂存功能更好,因为它们允许更大的控制和管理。

普通文件传输协议 (TFTP) 配置

在某些情况下,出于性能优化的原因,需要修改 TFTP 最大块大小设置,尤其是在 PXE 流量通过路由器等情况下。 在早期版本的 WDS 中,可以更改该设置,但执行此操作的方法(编辑注册表)对用户不友好。 在Windows Server 2012中,设置中的这种修改变得更加容易,因为它可以配置为设置。

此外,还有一些与 TFTP 性能相关的新功能:

  • 可缩放的缓冲区管理:允许缓冲整个文件,而不是每个客户端的固定大小缓冲区,使不同的会话能够从同一共享缓冲区读取数据。
  • 可缩放的端口管理:提供通过共享 UDP 端口分配为客户端提供服务的功能,从而提高可伸缩性。
  • 可变大小的传输窗口 (可变 Windows 扩展) :通过允许客户端和服务器确定最大可工作的窗口大小,提高 TFTP 性能。

TFTP 更改现在易于执行。

TFTP 更改现在易于执行。

Microsoft Deployment Toolkit

MDT 是 Microsoft 的免费部署解决方案。 它提供用于规划、生成和部署 Windows 操作系统的端到端指南、最佳做法和工具。 MDT 基于 Windows ADK 中的核心部署工具,提供指导、降低复杂性并为企业就绪部署解决方案添加关键功能。

MDT 有两个main部分:第一部分是 Lite Touch,它是独立的部署解决方案;第二部分是 Zero Touch,这是Configuration Manager的扩展。

注意
Lite Touch 和 Zero Touch 是 MDT 支持的两种解决方案的营销名称,命名与自动化无关。 可以完全自动化独立 MDT 解决方案 (Lite Touch) ,并且可以将解决方案与 Configuration Manager 集成配置为提示信息。

中的 Deployment Workbench,显示任务序列。

中的 Deployment Workbench,显示任务序列。

有关 MDT 的详细信息,请参阅 Microsoft 部署工具包 资源中心。

Microsoft 安全合规性管理器 2013

Microsoft SCM 是一个免费的实用工具,用于为 Windows 客户端和服务器环境创建基线安全设置。 可以导出基线,然后通过组策略、本地策略、MDT 或Configuration Manager进行部署。 当前版本的安全合规性管理器包括Windows 8.1以及多个早期版本的 Windows、Windows Server 和 Internet Explorer 的基线。

显示虚构客户端计算机安全合规性的基线配置的 SCM 控制台。

显示虚构客户端计算机安全合规性的基线配置的 SCM 控制台。

Microsoft Desktop Optimization Pack

MDOP 是一套通过另一个订阅提供给软件保障客户的技术。

MDOP 套件中包含以下组件:

  • Microsoft Application Virtualization (App-V) 。 App-V 5.0 为虚拟化应用程序提供集成平台、更灵活的虚拟化和强大的管理。 App-V 5.0 SP3 版本支持在 Windows 10 上运行虚拟应用程序。

  • Microsoft 用户体验虚拟化 (UE-V) 。 UE-V 监视用户对应用程序设置和 Windows 操作系统设置所做的更改。 用户设置被捕获并集中到设置存储位置。 然后,这些设置可以应用于用户访问的不同计算机,包括台式计算机、笔记本电脑和虚拟桌面基础结构 (VDI) 会话。

  • Microsoft Advanced 组策略 Management (AGPM) 。 AGPM 通过提供更改控制、脱机编辑和基于角色的委派,实现对组策略对象的高级管理。

  • Microsoft 诊断和恢复工具集 (DaRT) 。 DaRT 提供了扩展Windows RE的其他工具,可帮助你对计算机进行故障排除和修复。

  • Microsoft BitLocker 管理和监视 (MBAM) 。 MBAM 是用于管理 BitLocker 驱动器加密的管理员界面。 它允许使用正确的 BitLocker 加密策略选项配置企业,并监视这些策略的符合性。

有关 MDOP 订阅的优势的详细信息,请参阅 Microsoft 桌面优化包

Windows Server Update Services

WSUS 是 Windows Server 2012 R2 中的服务器角色,可用于维护 Microsoft 更新的本地存储库,然后将其分发到网络上的计算机。 WSUS 提供对环境中的更新状态的审批控制和报告。

Windows Server Update Services控制台。

Windows Server Update Services控制台。

有关 WSUS 的详细信息,请参阅Windows Server Update Services概述

统一可扩展固件接口

多年来,BIOS 一直是启动电脑的行业标准。 BIOS 为我们提供了很好的服务,但是时候用更好的东西来取代它了。 UEFI 是 BIOS 的替代品,因此了解 BIOS 和 UEFI 之间的差异非常重要。 在本部分中,你将了解这两者之间的主要区别以及它们如何影响操作系统部署。

UEFI 简介

BIOS 已使用约 30 年。 尽管它显然已被证明是有效的,但它也有一些限制,包括:

  • 16 位代码
  • 1 MB 地址空间
  • ROM 初始化时性能不佳
  • MBR 最大可启动磁盘大小为 2.2 TB

作为 BIOS 的替代品,UEFI 具有 Windows 可以使用的许多功能。

使用 UEFI,你可以从以下优势中受益:

  • 支持大型磁盘。 UEFI 需要 GUID 分区表 (GPT) 基于磁盘,这意味着磁盘大小限制约为 1680 万 TB,主磁盘数超过 100 个。
  • 启动时间更快。 UEFI 不使用 INT 13,这可以缩短启动时间,尤其是在从休眠状态恢复时。
  • 多播部署。 UEFI 固件可以在启动时直接使用多播。 在 WDS、MDT 和 Configuration Manager 方案中,需要首先在单播中启动普通 Windows PE,然后切换到多播。 使用 UEFI,可以从一开始就运行多播。
  • 与早期 BIOS 的兼容性。 大多数 UEFI 实现都包含兼容性支持模块 (模拟 BIOS 的 CSM) 。
  • 独立于 CPU 的体系结构。 即使 BIOS 可以运行 32 位和 64 位版本的固件,BIOS 系统上的所有固件设备驱动程序也必须是 16 位,这会影响性能。 原因之一是可寻址内存的限制,BIOS 只有 64 KB。
  • 独立于 CPU 的驱动程序。 在 BIOS 系统上,PCI 附加卡必须包含一个 ROM,其中包含所有受支持的 CPU 体系结构的单独驱动程序。 UEFI 不需要,因为 UEFI 能够使用 EFI 字节代码 (EBC) 映像,从而允许独立于处理器的设备驱动程序环境。
  • 灵活的预操作系统环境。 UEFI 可以执行许多功能。 只需一个 UEFI 应用程序,即可执行诊断和自动修复,并调用 Home 报告错误。
  • 安全启动。 Windows 8及更高版本可以使用 UEFI 固件验证过程(称为安全启动),此过程在 UEFI 2.3.1 中定义。 使用此过程,可以确保 UEFI 仅启动已验证的操作系统加载程序,并且恶意软件无法切换启动加载程序。

UEFI 版本

UEFI 版本 2.3.1B 是Windows 8及更高版本的徽标合规性所需的版本。 已发布更高版本以解决问题;一些计算机可能需要升级其固件,以完全支持 Windows 8 及更高版本中的 UEFI 实现。

UEFI 的硬件支持

关于 UEFI,硬件分为四个设备类:

  • 类 0 设备。 此类的设备是 BIOS 或非 UEFI 设备的 UEFI 定义。
  • 1 类设备。 此类的设备的行为类似于标准 BIOS 计算机,但它们在内部运行 EFI。 它们应被视为基于 BIOS 的普通计算机。 第 1 类设备使用 CSM 来模拟 BIOS。 这些较旧的设备不再制造。
  • 2 类设备。 此类的设备能够充当 BIOS 或基于 UEFI 的计算机,并且启动过程或固件/BIOS 中的配置决定了模式。 第 2 类设备使用 CSM 来模拟 BIOS。 这些是目前可用的最常见的设备类型。
  • 第 3 类设备。 此类的设备是仅限 UEFI 的设备,这意味着必须运行仅支持 UEFI 的操作系统。 这些操作系统包括Windows 8、Windows 8.1、Windows Server 2012和Windows Server 2012 R2。 这些第 3 类设备不支持 Windows 7。 第 3 类设备没有用于模拟 BIOS 的 CSM。

Windows 对 UEFI 的支持

Microsoft 首先支持服务器上的 EFI 1.10,然后在客户端和服务器上添加了对 UEFI 的支持。

在 UEFI 2.3.1 中,UEFI 有 x86 和 x64 版本。 Windows 10支持这两者。 但是,UEFI 不支持跨平台启动。 此限制意味着具有 UEFI x64 的计算机只能运行 64 位操作系统,而具有 UEFI x86 的计算机只能运行 32 位操作系统。

UEFI 如何更改操作系统部署

在基于 UEFI/EFI 的硬件上运行后,有许多因素会影响操作系统部署。 以下是使用 UEFI 设备时要注意的注意事项:

  • 在硬件中从 BIOS 切换到 UEFI 非常简单,但还需要重新安装操作系统,因为需要从 MBR/NTFS 切换到 GPT/FAT32 和 NTFS。
  • 部署到类 2 设备时,请确保所选的启动选项与所需的设置匹配。 旧计算机通常有多个用于 BIOS 的启动选项,但对于 UEFI 只有少数启动选项,反之亦然。
  • 从媒体部署时,请记住,对于 UEFI,媒体必须是 FAT32,而 FAT32 的文件大小限制为 4 GB。
  • UEFI 不支持跨平台启动;因此,需要具有正确的启动媒体 (32 位或 64 位) 。

有关 UEFI 的详细信息,请参阅 UEFI 固件 概述和相关资源。

Windows 10 中的旁加载应用
适用于 IT 专业人员Windows 10方案的 Windows ADK