Автоматизированная установка клиентских операционных систем при помощи Windows Deployment Services — Часть 9. Как создать файл ответов для windows 7/2008R2-2 часть
В 8 части мы создали WDSUnattend.xml, теперь создадим файл ответов для образа и режима OOBE.
Файл ответов установочного образа Windows
При установке без использования файла ответов операционная система задаст нам следующие вопросы:
страна или регион, время и денежные единицы, раскладка клавиатуры, имя создаваемого пользователя, имя компьютера, пароль и подсказка для создаваемого пользователя, ключ продукта, активировать ли Windows автоматически, принятие лицензионного соглашения, включение и выбор режима Windows Update и указание часового пояса.
Таким образом, для того чтобы установка происходила в полностью автоматическом режиме, нам нужно указать в файле ответов значения для большинства запрашиваемых параметров.
В System Image Manager создадим новый файл ответов путем выбора Файл и Новый файл ответов…, а также укажем уже использовавшийся нами при создании предыдущего файла ответов wim-файл, содержащий образ операционной системы, выбрав Файл – Выбрать образ Windows. В открывшемся диалоговом окне выберем Windows 2008R2 Enterprise. все как в 8 части.
Выбор форматов, расположения и языка. Добавляем в файл ответов параметр “Microsoft-Windows-International-Core” в проход “4 specialize”. Выбираем этот параметр в окне “Файл ответов” и справа в окне свойств задаем:
InputLocale EN-US
SystemLocale ru-RU
UI Language ru-RU
UserLocale ru-RU
Здесь только раскладка по умолчанию сделана для языка “Английский — США”. По-моему, это удобнее. Остальное — русское. Если все перечисленные здесь параметры заданы корректно, соответствующее окно не появится вовремя установки Windows 7.
В поле Windows Image раскроем список Components и щелкнем правой кнопкой мыши на amd64_Microsoft-Windows-Shell-Setup и выберем Add Setting to Pass 4 specialize
Произведем настройку параметров компонента Microsoft-Windows-Shell-Setup (см. скриншот ниже). Как вы видите в секции ComputerName я указал “*”, что означает, что имя компьютера будет определяться в соответствии с настройками WDS на вкладке AD DS. Также задаем кто является владельцем contoso.
Параметр Microsoft-Windows-TCPIPM позволяет разрешить пинг и выключить ipv6
Существует два метода ввода компьютера в домен при помощи файлов ответов – Unsecure Join и Secure Join.
При использовании метода Secure Join, т.е. безопасный ввод компьютера в домен, учетные данные для выполнения этой операции указываются в файле ответов. При использовании же Unsecure Join, т.е. небезопасный ввод компьютера в домен, пароль компьютера сбрасывается в определенное значение в конце фазы Windows Preinstallation Environment, она же WinPE. Делается это от имени учетной записи, указанной в файле ответов клиента WDS.
При установке Windows 7 – это автоматически сгенерированный сервером WDS пароль, который передается на добавляемый компьютер в секции <MachinePassword> файла ответов.
При установке Windows XP пароль сбрасывается в значение по умолчанию, которым является имя компьютера.
Если у пользователя нет прав на сброс пароля компьютера, то в случае Windows XP это может сделать администратор, щелкнув правой кнопкой мыши на объекте компьютера в Active Directory Users and Computers и выбрав в контекстном меню команду Reset Account. Сделано это должно быть до завершения фазы основной установки операционной системы. Так как в случае Windows 7 пароль генерируется сервером WDS, данный метод неприменим для установки этой операционной системы.
При завершении установки, компьютер, зная пароль, указанный в его учетной записи в Active Directory, добавляется в домен без использования учетных данных пользователя.
Нужно понимать, что названия этих методов, Unsecure Join и Secure Join, достаточно условны с точки зрения безопасности, и использование метода небезопасного ввода компьютера в домен в некоторых случаях может считаться более безопасным, так как в этом случае файл ответов не содержит пользовательских учетных данных, и, соответственно, сводит на нет риск их раскрытия.
С другой стороны, свое слабое место есть и у этого метода. В частности это касается установки Windows XP. Так как пароль учетной записи компьютера при сбросе устанавливается в значение, соответствующее имени компьютера, злоумышленник может этим воспользоваться в период времени между сбросом пароля в конце фазы WinPE, и добавлением компьютера в домен в конце основной установки операционной системы.
Для использования метода Secure Join должны быть соблюдены следующие условия:
значение параметра UnsecureJoin в секции amd64_Microsoft-Windows-UnattendedJoin\Identification группы specialize должно быть false;
в этой же секции, в качестве значения для параметра JoinDomain должно быть указано имя домена, к которому добавляется компьютер;
в секции amd64_Microsoft-Windows-UnattendedJoin\Identification\Credentials должны быть указаны имя, домен и пароль учетной записи, от имени которой будет происходить добавление компьютера;
переменная ComputerName секции amd64_Microsoft-Windows-Shell-Setup группы specialize должна содержать значение %machinename%, в данном случае имя компьютера будет взято из его учетной записи в Active Directory. Соответственно, сама секция тоже должна существовать.
Для использования метода Unsecure Join требуется только то, чтобы значение переменной UnsecureJoin секции amd64_Microsoft-Windows-UnattendedJoin группы specialize содержало значение true.
Его мы и будем использовать. Отметим, что сброс пароля в нашем случае будет происходить от имени пользователя администратор@contoso.com, учетные данные которого указаны в файле ответов wdunnatend.xml.
Добавим раздел amd64_Microsoft-Windows-UnattendedJoin в группу specialize.
Теперь нам нужно добавить несколько наборов параметров в группу oobeSystem.
В поле Windows Image щелкнем правой кнопкой на разделе amd64_Microsoft-Windows-International-Core и выберем Add Setting to Pass 7 oobeSystem.
Для содержащихся в нем параметров укажем следующие значения:
InputLocale – en-us; ru-ru
SystemLocale – ru-ru
UILanguage – ru-ru
UserLocale – ru-ru
Параметр InputLocale указывает устанавливаемые языки ввода и их очередность.
SystemLocale указывает язык по умолчанию для программ, не поддерживающих Unicode.
UILanguage указывает язык пользовательского интерфейса, который включает такие элементы как меню, диалоговые окна и файлы справки.
UserLocale указывает формат отображения дат, времени, денежных единиц и чисел.
Также нам понадобятся некоторые настройки из раздела amd64_Microsoft-Windows-Shell-Setup.
Сначала выберем раздел amd64_Microsoft-Windows-Shell-Setup и для параметра TimeZone зададим значение Russian Standard Time.
Этим значением мы задаем часовой пояс (UTC+03:00) Волгоград, Москва, Санкт-Петербург.
теперь выберем подраздел OOBE и укажем следующие настройки:
Установив значение параметра HideEULAPage в true, мы указываем, что процесс принятия лицензионного соглашения во время установки будет пропущен.
Параметр NetworkLocation указывает к какой сети подключен компьютер – домашней, рабочей или публичной, и в качестве значения может принимать один из трех вариантов: Home, Work или Other.
В нашем случае компьютер подключен к рабочей сети.
Параметр ProtectYourPC отвечает на вопрос операционной системы о режиме работы Windows Update.
В качестве значения можно указать один из трех вариантов.
Задав значение 1, мы укажем, что будут использованы рекомендуемые параметры. Значение 2 соответствует установке только наиболее важных обновлений. Значение 3 отключает автоматическую установку обновлений
Далее мы добавим еще один подраздел группы параметров amd64_Microsoft-Windows-Shell-Setup – UserAccounts. Щелкнем на нем правой кнопкой мыши и выберем Add Setting to Pass 7 oobeSystem.
При установке без файлов ответов запрашивается имя и пароль для вновь создаваемого (локального) пользователя, который автоматически попадает в группу локальных администраторов. При этом встроенная учетная запись локального администратора в Windows 7 по умолчанию отключена (видимо, из соображений безопасности). Пусть так и будет, а мы создадим нового пользователя с именем “WDSAdmin”.
Добавляем параметр “Microsoft-Windows-Shell-Setup / UserAccounts” в проход “7 oobe System”
Для локального администратора задаем пароль в параметре “7 oobeSystem / Microsoft-Windows-Shell-Setup / UserAccounts / AdministratorPassword”. Это для встроенной учетной записи. Кроме этого создаем нового пользователя. Правый клик по “7 oobe System / Microsoft-Windows-Shell-Setup / UserAccounts / LocalAccounts”, выбираем “Вставить новый LocalAccount”. Задаем для него:
DisplayName = WDSAdmin
Group = Administrators
Name = WDSAdmin
по желанию, можно задать описание.
Важно: Группа должна быть именно Administrators (по-английски), не смотря на то, что Windows считается русским. Иначе, ваш новый пользователь не будет наделен правами администратора. В параметре “/ UserAccounts / LocalAccounts / LocalAccount[Name="WDSAdmin"] / Password” задаем для него пароль. Не беспокойтесь за пароли. При установленном флажке в меню Сервис — Скрыть конфиденциальные данные все пароли будут зашифрованы при сохранении файла.
Развернем подраздел LocalAccount и выберем его дочерний раздел Password.
В поле Value введем пароль для создаваемой учетной записи.
Кроме того, стоит установить параметр Скрыть конфиденциальные данные программы System Image Manager. Установка данного параметра позволит скрыть такие данные, как пароль для встроенной учетной записи администратора, настройка которого производится в удаленном нами подразделе AdministratorPassword, а также пароли для добавляемых локальных учетных записей. Установка данного параметра никак не влияет на пароли к создаваемым доменным учетным записям, настроить которые можно в подразделе DomainAccounts.
Нужно отметить, что параметр Скрыть конфиденциальные данные только скрывает пароли учетных записей, превращая их неудобочитаемый текст, но никоим образом не шифрует их, так что стоит уделить внимание безопасности файлов ответов, содержащих подобную информацию.
Если впоследствии мы откроем файл ответов, при сохранении которого был установлен параметр Hide Sensitive Data, то в поле Value мы увидим с кракозябрами
Для того чтобы профили пользователей хранились не на системном диске, а на диске D:, который мы специально для этого создали, добавляем параметр “Microsoft-Windows-Shell-Setup / FolderLocations” в проход “7 oobe System”. Задаем для него свойство “Profiles Directory = D:\ProtiIes”
Примечание
Если сделать изменения в файле ответов для образа и просто скопировать его поверх уже используемого файла, то изменения НЕ применятся ко вновь устанавливаемым ПК. Перезапуск сервиса WDS тоже не помогает. Для применения изменений нужно переподключать файл ответов, т.к. на самом деле сервер WDS всякий раз копирует его к себе в специальный каталог под.
Смотрите как настроить WDS с файлами ответов в 10 части. Автоматизированная установка клиентских операционных систем при помощи Windows Deployment Services — Часть 10. Как установит файл ответов на WDS.
Есть ли в файле ответов пункт, отвечающий за настройку firewall? Конкретно интересует «разрешение входящего подключения» и включение ICMP, т.к. после установки образа к нему невозможно подключиться. Приходится идти к машине, включать нужные настройки и потом уже удаленно подключаться.