Автоматизована установка клієнтських операційних систем за допомогою Windows Deployment Services

Автоматизована установка клієнтських операційних систем за допомогою Windows Deployment Services — Частина 9. Як створити файл відповідей для windows 7/2008R2-2

Автоматизована установка клієнтських операційних систем за допомогою Windows Deployment Services — Частина 9. Як створити файл відповідей для windows 7/2008R2-2

У 8 частині ми створили WDSUnattend.xml, тепер створимо файл відповідей для образу та режиму OOBE.

Файл відповідей інсталяційного образу Windows При установці без використання файлу відповідей операційна система поставить нам такі питання: країна або регіон, час і грошові одиниці, розкладка клавіатури, ім'я користувача, ім'я комп'ютера, пароль та підказка для створюваного користувача, ключ продукту, чи активувати Windows автоматично, прийняття ліцензійної угоди, увімкнення та вибір режиму Windows Update та вказівку часового поясу.

Таким чином, для того щоб установка відбувалася в повністю автоматичному режимі, нам потрібно вказати у файлі відповідей значення для більшості параметрів, що запитуються.

У System Image Manager створимо новий файл відповідей шляхом вибору Файл і Новий файл відповідей…, а також вкажемо вже використовуваний нами під час створення попереднього файлу відповідей wim-файл, що містить образ операційної системи, вибравши Файл – Вибрати образ Windows. У діалоговому вікні виберемо Windows 2008R2 Enterprise. все як у 8 частині.

клієнтських

Створюємо файл відповідей для windows 7-2008R2-21

Вибір форматів, розташування та мови. Додаємо у файл відповідей параметр "Microsoft-Windows-International-Core" у прохід "4 specialize". Вибираємо цей параметр у вікні "Файл відповідей" і праворуч у вікні властивостей задаємо:

автоматизована

Створюємо файл відповідей для windows7-2008R2-22

установка

Створюємо файл відповідей для windows 7-2008R2-23

InputLocaleEN-US SystemLocaleru-RU UI Languageru-RU UserLocaleru-RU

Тут лише розкладка за замовчуванням зроблена для мови "Англійська - США". На мою думку, це зручніше. Решта – українська. Якщо всі наведені тут параметри задані коректно, відповідне вікно не з'явиться під час інсталяції Windows 7.

У полі Windows Image розкриємо список Components і клацніть правою кнопкою миші на amd64_Microsoft-Windows-Shell-Setup і виберемо Add Setting to Pass 4 specialize

операційних

Створюємо файл відповідей для windows 7-2008R2-24

Зробимо налаштування параметрів компонента Microsoft-Windows-Shell-Setup (див. скріншот нижче). Як ви бачите в секції ComputerName, я вказав “*”, що означає, що ім'я комп'ютера буде визначатися відповідно до налаштувань WDS на вкладці AD DS. Також ставимо хто є власником contoso.

установка

Створюємо файл відповідей для windows 7-2008R2-25

Параметр Microsoft-Windows-TCPIPM дозволяє дозволити пінг та вимкнути ipv6

операційних

Створюємо файл відповідей для windows 7-2008R2-26

операційних

Створюємо файл відповідей для windows 7-2008R2-27

Існує два методи введення комп'ютера в домен за допомогою файлів відповідей Unsecure Join і Secure Join.

З використанням методу Secure Join, тобто. безпечне введення комп'ютера до домену, облікові дані для виконання цієї операції вказуються у файлі відповідей. При використанні Unsecure Join, тобто. небезпечне введення комп'ютера в домен, пароль комп'ютера скидається у певне значення наприкінці фази Windows Preinstallation Environment, вона WinPE. Це робиться від імені облікового запису, вказаного у файлі відповідей клієнтаWDS.

При інсталяції Windows 7 – це автоматично згенерований сервером WDS пароль, який передається на комп'ютер, що додається в секції файлу відповідей.

При інсталяції Windows XP пароль скидається у значення за промовчанням, яким є ім'я комп'ютера.

Якщо у користувача немає прав на скидання пароля комп'ютера, то у випадку Windows XP це може зробити адміністратор, клацнувши правою кнопкою миші на об'єкті комп'ютера Active Directory Users and Computers і вибравши в контекстному меню команду Reset Account. Зроблено це має бути до завершення фази основної установки операційної системи. Так як у випадку Windows 7 пароль генерується сервером WDS, цей метод не застосовується для встановлення цієї операційної системи.

Після завершення інсталяції комп'ютер, знаючи пароль, вказаний у його обліковому записі в Active Directory, додається до домену без використання облікових даних користувача.

Потрібно розуміти, що назви цих методів, Unsecure Join і Secure Join, досить умовні з точки зору безпеки, і використання методу небезпечного введення комп'ютера в домен в деяких випадках може вважатися безпечнішим, оскільки в цьому випадку файл відповідей не містить облікових даних користувача, і, відповідно, зводить нанівець ризик їхнього розкриття.

З іншого боку, своє слабке місце є і цей метод. Зокрема це стосується інсталяції Windows XP. Так як пароль облікового запису комп'ютера при скиданні встановлюється в значення, що відповідає імені комп'ютера, зловмисник може цим скористатися в період між скиданням пароля в кінці фази WinPE, і додаванням комп'ютера в домен в кінці основної установки операційної системи.

Для використання методу Secure Join повинні бути дотримані такі умови:

значення параметра UnsecureJoin у секції amd64_Microsoft-Windows-UnattendedJoin\Identification групи specialize має бути false;

в цій же секції, як значення для параметра JoinDomain, має бути вказано ім'я домену, до якого додається комп'ютер;

автоматизована

Створюємо файл відповідей для windows 7-2008R2-28

у секції amd64_Microsoft-Windows-UnattendedJoin\Identification\Credentials повинні бути вказані ім'я, домен та пароль облікового запису, від імені якого буде відбуватися додавання комп'ютера;

змінна ComputerName секції amd64_Microsoft-Windows-Shell-Setup групи specialize повинна містити значення %machinename%, в даному випадку ім'я комп'ютера буде взято з його облікового запису Active Directory. Відповідно, сама секція теж має існувати.

Для використання методу Unsecure Join потрібно лише те, щоб значення змінної UnsecureJoin секції amd64_Microsoft-Windows-UnattendedJoin групи specialize містило значення true.

Його ми й використовуватимемо. Зазначимо, що скидання пароля в нашому випадку буде від імені користувача адміністратор@contoso.com, облікові дані якого вказані у файлі відповідей wdunnatend.xml.

Додамо розділ amd64_Microsoft-Windows-UnattendedJoin до групи specialize.

установка

Створюємо файл відповідей для windows 7-2008R2-29

Тепер нам потрібно додати кілька наборів параметрів до групи oobeSystem.

У полі Windows Image клацніть правою кнопкою на розділі amd64_Microsoft-Windows-International-Core та виберемо Add Setting to Pass 7 oobeSystem.

Для параметрів, що містяться в ньому, вкажемо наступні значення:

InputLocale - en-us; ru-ru

операційних

Створюємо файл відповідей для Windows 7-2008R2-30

Параметр InputLocaleвказує встановлені мови введення та їх черговість.

SystemLocale вказує стандартну мову для програм, які не підтримують Unicode.

UILanguage вказує мову інтерфейсу користувача, який включає такі елементи як меню, діалогові вікна і файли довідки.

UserLocale вказує формат відображення дат, часу, грошових одиниць та чисел.

Також нам знадобляться деякі налаштування розділу amd64_Microsoft-Windows-Shell-Setup.

Спочатку виберемо розділ amd64_Microsoft-Windows-Shell-Setup і для параметра TimeZone задамо значення Russian Standard Time.

Цим значенням ми задаємо часовий пояс (UTC+03:00) Волгоград, Москва, Санкт-Петербург.

операційних

Створюємо файл відповідей для windows 7-2008R2-31

тепер виберемо підрозділ OOBE і вкажемо такі налаштування:

Встановивши значення параметра HideEULAPage у true, ми вказуємо, що процес прийняття ліцензійної угоди під час встановлення буде пропущено.

Параметр NetworkLocation вказує до якої мережі підключений комп'ютер - домашньої, робочої чи публічної, і як значення може приймати один із трьох варіантів: Home, Work або Other.

У нашому випадку комп'ютер підключено до робочої мережі.

Параметр ProtectYourPC відповідає питанням операційної системи про режим роботи Windows Update.

Як значення можна вказати один із трьох варіантів.

автоматизована

Створюємо файл відповідей для windows 7-2008R2-32

Далі ми додамо ще один підрозділ групи параметрів amd64_Microsoft-Windows-Shell-Setup - UserAccounts. Клацніть на ньому правою кнопкою миші та оберемо Add Setting to Pass 7 oobeSystem.

Важливо: Група має бути саме Administrators (англійською), незважаючи на те, що Windows вважається українською. Інакше, вашновий користувач не буде наділений правами адміністратора. У параметрі “/UserAccounts/LocalAccounts/LocalAccount[Name="WDSAdmin"]/Password” задаємо для нього пароль. Не турбуйтесь за паролі. Якщо встановлено прапорець у меню Сервіс — Сховати конфіденційні дані, всі паролі будуть зашифровані при збереженні файлу.

автоматизована

Створюємо файл відповідей для windows 7-2008R2-33

Розгорнемо підрозділ LocalAccount і виберемо його дочірній розділ Password.

У полі Value введемо пароль для облікового запису, що створюється.

Крім того, варто встановити параметр Сховати конфіденційні дані програми System Image Manager. Встановлення цього параметра дозволить приховати такі дані, як пароль для вбудованого облікового запису адміністратора, налаштування якого здійснюється у віддаленому нами підрозділі AdministratorPassword, а також паролі для локальних облікових записів, що додаються. Встановлення цього параметра ніяк не впливає на паролі до створюваних доменних облікових записів, які можна настроїти в підрозділі DomainAccounts.

операційних

Створюємо файл відповідей для windows 7-2008R2-34

Потрібно зазначити, що параметр Сховати конфіденційні дані лише приховує паролі облікових записів, перетворюючи їх незручний текст, але аж ніяк не шифрує їх, так що варто приділити увагу безпеці файлів відповідей, що містять подібну інформацію.

Якщо згодом ми відкриємо файл відповідей, за збереження якого було встановлено параметр Hide Sensitive Data, то поле Value ми побачимо з кракозябрами

Для того, щоб профілі користувачів зберігалися не на системному диску, а на диску D:, який ми спеціально для цього створили, додаємо параметр "Microsoft-Windows-Shell-Setup / FolderLocations" у прохід "7 oobe System". Задаємо для нього властивість“Profiles Directory = D:\ProtiIes”

Якщо зробити зміни у файлі відповідей для образу і просто скопіювати його поверх файлу, що вже використовується, то зміни НЕ застосовуються до нововстановлюваних ПК. Перезапуск сервісу WDS також не допомагає. Для застосування змін необхідно підключати файл відповідей, т.к. насправді сервер WDS щоразу копіює його до себе в спеціальний каталог під.

Дивіться, як налаштувати WDS з файлами відповідей у ​​10 частин. Автоматизована установка клієнтських операційних систем за допомогою Windows Deployment Services — Частина 10. Як встановити файл відповідей на WDS.