конструктор конфигураций windows 10
Подготовка пакетов для Windows
Относится к:
Подготовка Windows помогает ИТ-администраторам настраивать устройства конечных пользователей без создания образов. Используя подготовку Windows, ИТ-администратор может легко указать желаемую конфигурацию и параметры, необходимые для регистрации устройства в системе управления, а затем применить эту конфигурацию к целевым устройствам за считаные минуты. Этот вариант лучше всего подходит для компаний малого и среднего бизнеса, развертывающих от нескольких десятков до нескольких сотен компьютеров.
Пакет подготовки (.ppkg)— это контейнер для набора параметров конфигурации. С Windows клиентом можно создавать пакеты подготовка, которые позволяет быстро и эффективно настраивать устройство без установки нового изображения.
Пакеты подготовки достаточно просты, чтобы при коротком наборе письменных инструкций студент или не технический сотрудник могли использовать их для настройки устройства. Это может привести к значительному сокращению времени, требуемого на настройку нескольких устройств в вашей организации.
Windows Конструктор конфигурации доступен в [качестве приложения в Microsoft Store.](https://www.microsoft.com/store/apps/9nblggh4tx22)
Преимущества пакетов подготовки
Пакеты подготовки позволяют:
быстро настроить новое устройство без установки нового образа;
сэкономить время путем настройки нескольких устройств с помощью одного пакета подготовки;
быстро настроить собственные устройства сотрудников организации без инфраструктуры управления мобильными устройствами (MDM);
настроить устройство без подключения к сети.
Пакеты подготовки могут быть:
установлены с помощью съемного носителя, например SD-карты или флэш-накопителя USB;
вложены в сообщение электронной почты;
загружены из сетевого общего ресурса.
развернуты в тегах или штрих-кодах NFC.
Что можно настроить
Мастера конструктора конфигураций
В следующей таблице описаны параметры, которые можно настроить с помощью мастера в конструкторе конфигураций Windows для создания пакетов подготовки.
После того, как вы создадите проект с помощью мастера конструктора конфигураций Windows, вы можете переключиться на расширенный редактор для настройки дополнительных параметров в пакете подготовки.
Расширенный редактор конструктора конфигураций
В таблице ниже приведены некоторые примеры параметров, которые можно настроить с помощью расширенного редактора конструктора конфигураций Windows для создания пакетов подготовки.
| Параметры настройки | Примеры |
|---|---|
| Массовое присоединение к Active Directory и имя устройства | Присоединение устройств к домену Active Directory и назначение имен устройствам с использованием уникальных серийных номеров оборудования или случайных символов |
| Приложения | Приложения для Windows, бизнес-приложения |
| Массовая регистрация в MDM | Автоматическая регистрация в сторонную службу MDM Использование пакета предварительной регистрации для автоматической регистрации Microsoft Endpoint Manager не поддерживается. Для регистрации устройств используйте консоль Configuration Manager. |
| Сертификаты | Корневой центр сертификации (CA), сертификаты клиентов |
| Профили подключения | Wi-Fi, параметры прокси-сервера, электронная почта |
| Политики организации | Ограничения безопасности (пароль, блокировка устройства, камера и т. д.), шифрование, параметры обновлений |
| Ресурсы данных | Документы, музыка, видео, изображения |
| Настройка меню «Пуск» | Макет меню «Пуск», закрепление приложений |
| Прочее | Обои главного экрана и экрана блокировки, имя компьютера, присоединение к домену, параметры DNS и т. д. |
Подробнее о параметрах, которые можно настраивать в пакетах подготовки, см. в Справочнике по параметрам подготовки Windows.
WCD, упрощенные распространенные сценарии продюсинга.
WCD поддерживает следующие сценарии для ИТ-администраторов:
Advanced provisioning (deployment of classic (Win32) and Universal Windows Platform (UWP) apps and certificates) — allows an IT administrator to use WCD to open provisioning packages in the advanced settings editor and include apps for deployment on end-user devices.
Подробнее
Дополнительные сведения о подготовках смотрите в следующем видео:
Новая версия Windows 10: взгляд сисадмина
Наверняка вы уже слышали, что сегодня официально выходит Windows 10 Creators Update. В этой статье мы решили быть на шаг впереди и рассказать вам про новые фичи для сисадминов в следующем обновлении Windows 10 (1703).
Конфигурирование
Конструктор Windows Configuration Designer
Ранее этот компонент назывался Windows Imaging and Configuration Designer, ICD и использовался для создания пакетов подготовки. В этой версии он получил новое название Windows Configuration Designer. В предыдущих версиях Windows, его можно установить в составе комплекта средств для развертывания и оценки Windows ADK.
Для упрощённого создания пакетов подготовки в конструкторе Windows Configuration Designer в Windows 10 версии 1703 есть ряд новых мастеров.
В обеих версиях мастера — для настольных компьютеров и киосков — есть возможность удалить предустановленное ПО с использованием поставщика службы конфигураций CleanPC.
Массовое подключение к Azure Active Directory
Новые мастера из состава Windows Configuration Designer позволяют создавать пакеты подготовки для присоединения устройств к Azure Active Directory. Массовое подключение к Azure Active Directory доступно в мастерах для настольных компьютеров, мобильных устройств, киосков и устройств Surface Hub.
Windows Spotlight
Добавились новые групповые политики и параметры управления мобильными устройствами (MDM):
Структура меню Пуск, начального экрана и панели задач
Наверняка вы знаете, что предприятия могут менять вид меню Пуск, начального экрана и панели задач на компьютерах под управлением Windows 10 редакций Enterprise и Education. В версии 1703 эти модификации можно применить также к редакции Pro.
Ранее нестандартную панель задач можно было развёртывать только с помощью групповых политик или пакетов подготовки. В новой версии поддержка нестандартных панелей появилась в средстве управления мобильными устройствами (MDM).
Появились новые параметры политик MDM для управления меню Пуск и структурой начального экрана и панели задач. Параметры политик MDM:
Развёртывание
Утилита MBR2GPT.EXE
MBR2GPT.EXE — новый инструмент командной строки. Он преобразует MBR-диск (Master Boot Record) в раздел GPT (GUID Partition Table), не меняя и не удаляя данные на диске. Эта утилита предназначена для использования в командной строке среды предустановки Windows (Windows PE), но её можно использовать и в полнофункциональной операционной системе Windows 10.
Формат разделов GPT более новый и позволяет создавать больше разделов большего размера. Он также обеспечивает повышенную надежность данных, поддерживает дополнительные типы разделов и повышает скорость загрузки и выключения. После преобразования системного диска из MBR в GPT следует перенастроить компьютер для загрузки в режиме UEFI, поэтому перед преобразованием системного диска надо убедиться, что ваше устройство поддерживает UEFI.
После загрузки в режиме UEFI в Windows 10 становятся доступными следующие функции безопасности: безопасная загрузка, ранний запуск антивредоносного драйвера ELAM (Early Launch Anti-malware), надежная загрузка Windows, измеряемая загрузка, Охранник устройств, Охранник учетных данных и сетевая разблокировка BitLocker.
Безопасность
Windows Defender Advanced Threat Protection
Новые возможности Windows Defender Advanced Threat Protection (ATP) для Windows 10 версии 1703. Кстати, напоминаем, что недавно делились описанием функционала ATP на Хабре.
К основным улучшениям в области обнаружения атак относятся:
Корпоративные клиенты теперь могут воспользоваться полным набором функций безопасности Windows благодаря тому, что информация об обнаружении атак средствами Windows Defender Antivirus и блоки Охранника устройств отображаются в портале Windows Defender ATP.
Добавлены другие возможности, позволяющие получить целостную картину расследований. К другим улучшениям расследования атак относятся:
При обнаружении атаки группы реагирования могут предпринимать неотложные меры по изоляции бреши в системе безопасности:
Проверка состояния работоспособности сенсоров — проверка способности конечной точки предоставлять данные сенсора и взаимодействовать со службой Windows Defender ATP, а также устранять известные неполадки.
Windows Defender Antivirus
Защитник Windows получил новое название — Windows Defender Antivirus. Его новые возможности:
Параметры безопасности групповых политик
Параметр безопасности Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован (Interactive logon: Display user information when the session is locked) был обновлён и теперь работает в связке с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа.
Появился новый параметр политики безопасности — Interactive logon: Don’t display username at sign-in. Этот параметр определяет, нужно ли отображать имя пользователя во время входа в систему, и работает в связке с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа. Этот параметр влияет только на плитку Other user.
Windows Hello для бизнеса
Теперь забытый PIN-код можно сбросить, не удаляя корпоративные данные или приложения, управляемые средствами Microsoft Intune. Администратор может инициировать удаленный сброс PIN-кода устройств под управлением PIN через портал Intune.
На настольных ПК пользователи могут сбросить забытый PIN-код в разделе Параметры > Учетные записи > Параметры входа.
Обновление
Windows Update for Business
Функция приостановки обновления изменилась: теперь в ней требуется указывать дату начала установки. Если не сконфигурирована соответствующая политика, у пользователей теперь есть возможность отложить обновление в параметрах Windows Settings → Update & security → Windows Update → Advanced options. Также увеличилось время, на которое можно откладывать исправления, — до 35 дней.
Обновление устройств, управляемых с помощью Windows Update for Business, теперь можно откладывать на срок до 365 дней (ранее обновление можно было отложить только на 180 дней). Пользователи могут задавать в параметрах уровень готовности своей ветви и время, на которое следует отложить обновления.
Windows Insider for Business
Добавилась возможность загружать сборки предварительной версии Windows 10 Insider Preview, используя корпоративные учетные данные Azure Active Directory (AAD).
Оптимизация доставки обновлений
Изменения в новой версии позволили обеспечить полную поддержку экспресс-обновлений в System Center Configuration Manager, начиная с версии 1702 этого продукта, а также обновлений и управления продуктами сторонних производителей, в которых реализована эта функциональность. Она дополнила существующую поддержку экспресс-обновлений в Центре обновлений Windows, Центре обновлений Windows для бизнеса и WSUS.
Примечание. Указанные изменения доступны в Windows 10 версии 1607 после установки апрельского обновления 2017 года.
Политики оптимизации доставки обновлений теперь позволяют задавать дополнительные ограничения, что дает возможность лучше управлять различными сценариями обновления.
К новым политикам относятся:
Установленные ранее приложения больше не обновляются автоматически
При обновлении до Windows 10 версии 1703 поставляемые в составе Windows приложения, которые пользователь ранее удалил, не будут автоматически устанавливаться в рамках процесса обновления.
Управление
Новые возможности MDM
В новой версии появилось множество новых поставщиков услуг конфигурации (CSP) для управления Windows 10 с применением средств управления мобильными устройствами (MDM) или пакетов подготовки. Помимо прочего эти CSP-поставщики позволяют управлять несколькими сотнями самых полезных групповых политик посредством MDM.
Управление мобильными приложениями в Windows 10
Версия управления мобильными приложениями (mobile application management, MAM) для Windows — это облегченное решение для управления доступом к корпоративным данным и безопасностью на личных устройствах. Начиная с Windows 10 версии 1703, поддержка MAM встроена в Windows поверх WIP (Windows Information Protection).
Диагностика MDM
Продолжилась работа над совершенствованием средств диагностики, соответствующих требованиям современного управления. Появление автоматического ведения журнала для мобильных устройств позволило Windows автоматически фиксировать в журнале ошибки в MDM, избавляя от необходимости постоянно вести журнал на устройствах с небольшим объёмом памяти. Кроме того, появился Microsoft Message Analyzer — дополнительный инструмент, помогающий сотрудникам службы поддержки быстро обнаружить причины неполадок и, таким образом, обеспечить экономию времени и денег.
Мобильные устройства в Windows 10
Lockdown Designer
Приложение Lockdown Designer помогает сконфигурировать и создать XML-файл блокировки, который должен применяться к устройствам под управлением Windows 10, а также содержит функциональность удалённого моделирования, позволяющую определять конфигурацию плиток в меню Пуск и на начальном экране. Использовать Lockdown Designer проще, чем вручную создавать XML-файл блокировки.
Другие улучшения
Также появились следующие улучшения:
Полезные материалы из нашего блога и не только
UPD: Про обновления в Windows 10 Creators Update можно почитать в блоге компании.
KioskBrowser (Windows конструктор конфигурации)
Используйте параметры KioskBrowser для настройки общего доступа в Интернет.
Область применения
| Группы параметров | Windows клиента | Surface Hub | HoloLens | IoT Базовая |
|---|---|---|---|---|
| Все параметры | ✔️ |
Чтобы настроить Kiosk Browser для Windows клиента, перейдите в > KioskBrowser.
| Параметры Kiosk Browser | Для чего используется параметр |
|---|---|
| Исключения из заблокированных URL-адресов | Указание URL-адресов, на которые могут переходить люди, даже если URL-адрес находится в списке заблокированных URL-адресов. Можно использовать подстановочные знаки. |
Если вы хотите ограничить доступ людей определенным сайтом, добавьте https://* в список заблокированных URL-адресов и укажите разрешенный сайт в списке исключений из заблокированных URL-адресов.
Чтобы настроить несколько URL-адресов для исключений из заблокированных URL-адресов или заблокированных URL-адресов в конструкторе конфигураций Windows:
Настройка начального экрана и панели задач Windows10 с помощью пакетов подготовки
Область применения
В настоящее время для настройки макета меню поддерживается Windows 10. Он не поддерживается Windows 11.
В Windows 10 Pro, Windows10 Корпоративная и Windows 10 для образовательныхучреждений версии 1703 вы можете использовать пакеты подготовки, созданные с помощью конструктора конфигураций Windows, чтобы развернуть настраиваемый макет начального экрана и панели задач для пользователей. Не требуется пересоздавать образ, а чтобы обновить макет начального экрана и панели задач, достаточно перезаписать XML-файл, содержащий макет. Пакет подготовки можно использовать на запущенном устройстве. Благодаря этому вы сможете настраивать макеты начального экрана и панели задач для различных отделов или организаций с минимальными затратами на управление.
Если вы используете пакет подготовки для настройки панели задач, конфигурация будет повторно применяться при каждом перезапуске процесса explorer.exe. Если созданная вами конфигурация закрепит приложение, а пользователь открепит его, то при следующем применении конфигурации внесенные пользователем изменения будут перезаписаны. Чтобы применить конфигурацию панели задач и разрешить пользователям вносить изменения, которые будут сохранены, примените конфигурацию с помощью групповой политики.
Перед началом работы: настройте и экспортируйте макет меню «Пуск» для выпусков для настольных компьютеров.
Принцип работы элемента управления макетом начального экрана
Элемент управления макетом начального экрана и панели задач можно включить с помощью указанных ниже функций.
Командлет Export-StartLayout в Windows PowerShell экспортирует описание текущего макета начального экрана в формате XML.
Чтобы импортировать макет начального экрана в подключенный образ Windows, используйте командлет Import-StartLayout.
В конструкторе конфигурации Windows используйте параметр Policies/Start/StartLayout для предоставления содержимого XML-файла, который определяет макет начального экрана и панели задач.
Подготовка XML-файла макета начального экрана
Командлет Export-StartLayout создает XML-файл. Конструктор конфигураций Windows создает файл customizations.xml, который содержит параметры конфигурации, поэтому добавление раздела макета начального экрана в файл customizations.xml непосредственно приведет к внедрению XML-файла в XML-файл. Перед добавлением раздела макета начального экрана в файл customizations.xml необходимо заменить символы разметки в файле layout.xml на escape-символы.
Скопируйте содержимое файла layout.xml в веб-средство, которое заменяет символы.
Во время процедуры создания пакета подготовки вы скопируете текст с escape-символами и вставите его в файл customizations.xml для вашего проекта.
Создание пакета подготовки, который содержит настраиваемый макет начального экрана
Используйте средство конструктора конфигураций Windows, чтобы создать пакет подготовки. Узнайте, как установить конструктор конфигураций Windows.
При создании пакета подготовки вы можете включить конфиденциальную информацию в файлы проекта и в файл пакета подготовки (PPKG). Несмотря на то что у вас есть возможность шифрования PPKG-файла, файлы проекта не шифруются. Файлы проекта следует хранить в надежном месте, если они больше не требуются, их необходимо удалять.
Откройте конструктор конфигураций Windows (по умолчанию %systemdrive%\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Imaging and Configuration Designer\x86\ICD.exe).
Выберите Расширенная подготовка.
Назначьте имя проекту и нажмите кнопку Далее.
Выберите Все выпуски Windows для настольных ПК и нажмите кнопку Далее.
На странице Новый проектнажмите кнопку Готово. Откроется рабочая область для вашего пакета.
Разверните раздел Параметры среды выполнения > Политики > Пуск и выберите StartLayout.
Если пункта Пуск нет в списке, проверьте тип параметров, выбранных в шаге 4. Необходимо создать проект, используя параметры Все выпуски Windows для настольных ПК.
Введите layout.xml. Это значение создаст заполнитель в файле customizations.xml, который вы замените содержимым файла layout.xml в дальнейшем.
Сохраните проект и закройте конструктор конфигураций Windows.
В проводнике откройте каталог проекта. (По умолчанию используется C:\Users\имя пользователя\Documents\Windows Imaging and Configuration Designer (WICD)\имя проекта)
Откройте файл customizations.xml в текстовом редакторе. Раздел будет выглядеть следующим образом:
Замените layout.xml текстом из файла layout.xml с символами разметки, замененными escape-символами.
Сохраните и закройте файл customizations.xml.
Откройте конструктор конфигураций Windows и откройте свой проект.
В меню Файл выберите команду Сохранить.
В меню Экспорт выберите пункт Пакет подготовки.
Измените значение параметра Владелец на ИТ-администратор, which will set the precedence of this provisioning package higher than provisioning packages applied на this device from other sources, and then select Далее.
Необязательно. В окне Безопасность пакета подготовки можно включить шифрование и подписывание пакета.
Включить шифрование пакета — при выборе этого пункта на экране отобразится автоматически созданный пароль.
Включить подписывание пакета — при выборе этого пункта необходимо выбрать действительный сертификат, который будет использоваться для подписывания пакета. Вы можете указать сертификат, щелкнув Обзор, а затем выбрав сертификат для подписания пакета.
Нажмите кнопку Далее.
Чтобы отменить построение, нажмите кнопку Отмена. Текущий процесс построения будет отменен, мастер закроется и вы вернетесь в раздел Страница настроек.
В случае сбоя построения отобразится сообщение об ошибке со ссылкой на папку проекта. Вы можете просмотреть журналы, чтобы определить, что вызвало ошибку. После устранения проблемы попробуйте выполнить построение пакета еще раз.
В случае успешного построения отобразятся пакет подготовки, выходной каталог и каталог проекта.
Скопируйте пакет подготовки на целевое устройство.
Дважды щелкните PPKG-файл и разрешите его установку.
Установите Windows конфигурации и узнайте о любых ограничениях
Относится к:
Используйте средство Windows configuration Designer для создания пакетов подготовка, чтобы легко настраивать устройства, работающие Windows клиентом. Windows Конструктор конфигурации в основном используется ИТ-отделами для бизнеса и образовательных учреждений, которым необходимо снабдить устройствами bring-your-own-device (BYOD) и бизнес-устройствами.
Поддерживаемые платформы
Windows Конструктор конфигурации может создавать пакеты для Windows клиентского рабочего стола, включая Windows IoT Core, Microsoft Surface Hub и Microsoft HoloLens. Можно запустить конструктор конфигураций Windows в следующих операционных системах:
Клиентская ОС:
Ос-сервер:
Чтобы настроить Azure Active Directory с помощью любого мастера, Windows для Windows для Windows конструктора конфигурации.
Установка конструктора конфигураций Windows
На устройствах с Windows клиентом можно установить приложение Windows Configuration Designer из Microsoft Store.
Текущие ограничения конструктора конфигураций Windows
Windows Конструктор конфигурации не работает должным образом, если > Административные шаблоны > Windows компоненты > Internet Explorer > зоны безопасности: включено только параметры групповой политики для машин. Вместо изменения параметра безопасности рекомендуется запускать Windows конфигурации на другом устройстве.
Одновременно можно запустить только один экземпляр конструктора конфигураций Windows на компьютере.
При добавлении приложений и драйверов импортируется все файлы, хранимые в одной папке, что может привести к ошибкам в процессе сборки.
Пользовательский Windows Configuration Designer не поддерживает многовариантные конфигурации. Вместо этого для настройки многовариантных параметров нужно использовать интерфейс командной строки конструктора конфигураций Windows. Дополнительные сведения см. в разделе Создание пакета подготовки с многовариантными параметрами.
В Windows конструкторе конфигурации можно одновременно создавать только один проект. Одновременно можно открыть несколько проектов, но одновременно можно создавать только один.
Чтобы упростить работу jscripts авторинга на сервере SKU, который работает Windows Configuration Designer, необходимо разрешить веб-сайтам подсказок для получения информации с помощью сценариев windows:
Если вы скопируете проект Windows configuration Designer с одного компьютера на другой компьютер, то:
Рекомендуется: Перед запуском скопируйте все исходные файлы на компьютер, Windows конструктор конфигурации. Не используйте внешние источники, такие как сетевые акции или съемные диски. Использование локальных файлов снижает риск прерывания процесса сборки из-за сетевой проблемы или отключения USB-устройства.