MDT 部署：为什么禁用更改 Windows 更新设置等

Question

我正在尝试掌握 MDT 部署，这似乎是一个非常通用的工具。

我这样做的方式是：

• 在参考 PC 上安装 Windows 7，更改屏幕保护程序以及背景和互联网时间设置。
• 在参考 PC 上运行 sysrep。
• 使用 imagex 捕获 image.wim
• 使用 MDT 创建部署共享和任务序列。
• 创建一个可启动的 USB 笔式驱动器，PXE 启动新 PC，然后安装。

之后，以本地管理员身份登录，加入域（或将其留在工作组中）

重新启动后，我注意到诸如防火墙设置、Windows 更新设置等内容变灰（控制面板 -> Windows 更新 -> 更改设置）。有一条短信说：某些设置由您的系统管理员管理。

好吧，我以本地管理员身份登录。那么为什么事情是灰色的呢？有什么想法吗？

PS：由于他们的工作性质，我的一半用户必须是他自己的 PC/笔记本电脑上的本地管理员。所以我必须确保本地管理员可以更改他们自己 PC 上的设置。

-- 回答@WinOutreach4 问题 --

• 我运行 sysprep 的 GUI 版本，所以只使用了 3 个选项：OOBE、generalise、sysprep 后关闭。
• 我没有使用审计模式来改变任何东西。
• 我们使用 samba 域，而不是 windows 活动目录域，所以我无法尝试 WDS。然而，我尝试使用 MDT 的一个原因是我们很可能会转移到 Windows AD 域，因此我可以通过 NIC 预订 PC 并启动映像过程。
• 我使用 MDT2012 创建部署共享，并使用 LiteTouch_x64.iso 来 PE 启动 PC，安装过程将从部署工作台 PC 中获取映像等。为了避免浪费很多 CD/DVD，我创建了一个可启动的 USB 笔式驱动器并将 ISO 内容复制到笔式驱动器中。

感谢您查看这个。

- 结尾 -

-- 回答@WinOutreach4 问题 --

• 我不认为我有“copyprofile”。屏幕保护程序和背景是通过本地组策略完成的。我使用本地管理员帐户进行这些更改。然后将本地组策略保存为映像的一部分。
• 我只创建了 1 个本地帐户来完成参考 PC 的安装。我将研究审计模式。
• PS：在我的参考图片中，我只定制了一些东西：屏幕保护程序/背景，一些注册表设置，仅此而已。我在成像过程中不安装任何应用程序。应用程序安装是作为部署共享创建的一部分完成的 - 我添加了应用程序，它们包含在部署序列中。我也在这个阶段注入设备驱动程序。因此，如果我观察我的部署过程，第一部分是映像部署，然后有一个页面，其中包含一个应用程序列表，供我选择要安装的应用程序。通过这种方式，我可以为所有类型的机器、所有类型的用户保留 1 个主映像。

将来当我拥有 Windows 域时，我可能会将屏幕保护程序/背景留给组策略，因此参考图像将非常易于维护。应用程序安装可以由 MDT 提供，也可以使用组策略安装来完成。

unatend.xml 上传到：http : //www.mediafire.com/? ad56zq06kxkqssv （我在serverfault中找不到上传的地方）

再次感谢您的时间！

- 结尾 -

--最后更新：成功--感谢@WinOutreach4（特别是感谢您WinOutreach4进行时间测试）和MDT Guy，我终于让它工作了！

要做 3 件事：1) 将 WillWipeDisk 添加到 unattend.xml 2) 将 CopyProfile (=true) 添加到 unattend.xml 3) 在 ini 文件中 ApplyGPOPack=NO

非常感谢！我在我浏览的任何教程/博客/youtube 中都没有看到这些设置，你帮了我。感激不尽...

- 结尾 -

Answer 1

那么为什么事情是灰色的呢？有什么想法吗？

MDT 的多功能性很好，它是我有幸使用过的最强大的系统部署工具，您已经很接近了，但这里有一些提示。

1. 永远，永远，永远，在虚拟环境中构建您的映像，这会带来好处，因为它有效地保证了映像可以在任何设备上运行，笔记本电脑、台式机等等。
2. 仔细检查并确保您的 ini 文件中设置了 ApplyGPOPack=NO。
3. 如果您尝试在 7 中构建默认用户配置文件，则需要在 unattend.xml 文件中设置 Copy Profile=True。