LPS:Orion7/FR-CESNET/Vytvoření obrazu Orion7

Z HelpDesk

Priprava tvorby obrazu

Windows Automated Instalation Kit (AIK/WAIK)

  • Nainstalovat pracovni stanici s Windows 7
  • Nainstalovat [| WAIK]
  • Vytvorit pomoci WAIK soubor [| unattend.xml ]

Instalovat stanici/virtualni PC pro sejmuti obrazu

  • Vytvorit pouze dva oddily na disku
  • Do prvniho oddilu instalovat Windows 7, pozadovane bitove distribuce (32/64)
  • Nainstalovat ovladace a aktualizace
  • Udelat zalozni image
  • Spustit C:\windows\system32\sysprep\sysprep.exe
    • Zvolit zobrazit rezim autitu systemu a restartovat
    • V audit rezimu zvolit pozadovana nastaveni, instalovat SW s vyjimkou Antiviru!


TODO

  • Upravit automat, aby nahraval skripty (staci spustit aktualizace.cmd z preSysprep)
  • Upravit automat, aby spustil generate_info a upravil obrazky na pozadi
  • Domyslet administratora (ProfileList, nastavit mistni, ...)
    • sehnat profil, nastavit prava, prepsat v registrech cestu z TEMP na Administrator, prepsat State na 0100 (256)

Instalace

Nainstalujeme Windows7 tak, aby se nevytvořil 100MB oddíl na začatku disku. Toho docílíme tak, že disk před instalací rozdělíme (hardcoráři mohou disk rozdělit při instalaci tak, že si spustí příkazový řádek a použijí diskpart). Instalujeme do chvíle, kdy se systém zeptá na jméno uživatele a počítače.

Audit mód

Ve chvíli, kdy se nás instalátor zeptá na jméno uživatele a počítače stiskneme kombinaci ctrl+shift+f3. Počítač se restartuje a my se dostaneme do tzv. audit módu. V tomto režimu se provádějí úpravy jako instalace dodatečného SW, úpravy nastavení, apod.

Automat

Z AFS (na nějakém jiném stroji) stáhneme tzv. automat, nejlépe do kořenu disku D: a spustíme v něm skript postupně skripty začínající číslovkami 1 a 2 (pozor 3. se spouští až později). Po každém z nich následuje restart, aby nedošlo k nějakému konfliktu. Ten provede následující věci:

Service Pack (pouze pokud nemáte SP1 integrován)

Protože Windows Update nenabízejí instalaci Service Packu dokud není systém ověřený jako legální, je nutné nainstalovat SP1 ručně. První skript nainstaluje Service Pack1.

Firewall

Firewall se nastaví podobně jako v OrionXP. Pomocí příkazu netsh se naimportuje "firewall-default.wfw", kde jsou všechny potřebné politiky již nastaveny.

Instalace SW

Další skript nainstaluje nejnovější stable verze AFS, KRB a NetIDMgr.

Ruční úpravy

Ne všechno dokážeme naskriptovat. Proto musíme následující kroky udělat ručně.

Windows Update

Vyhledáme "Windows Update", zapneme automatické aktualizace a vyhledáme aktualizace. Nainstalujeme vše kromě "...obrazovku výběru prohlížeče..." (odškrtneme a pro jistotu skryjeme) a "Nástroj pro odstranění škodlivého softwaru". Po nainstalování (někdy potřeba víc resetů) je zase potřeba automatické aktualizace vypnout. Stačí přepnout v nastavení na "Nikdy nevyhledávat aktualizace".

Programy a funkce

Přiinstalujeme "Klient služby Telnet" , "Tiskové a dokumentové služby\*".

Klávesnice

Pokud jsme tak neučinili při instalaci, nastavíme jako výchozí jazyk Angličtina (Spojené státy). Přejdeme na nastavení "Oblast a jazyk" kde na kartě "Správa" vybereme "Kopírování nastavení" a nastavení zkopírujeme tak, aby výchozí jazyk pro přihlašování byl Angličtina (Spojené státy) a pro nové uživatelské účty zase Čeština. Nastavování klávesnice importováním různých registrových klíčů nemá vždy kýžený efekt.

Nastavení systému

Ve start menu klikneme pravým tlačítkem na "Tento počítač" a dáme vlastnosti. Zde vybereme "Upřesnit nastavení". Na kartě "Upřesnit" změníme umístění virtuální paměti z C: na D: (velikost určí systém). Na kartě "Ochrana systému" vypneme obnovení systému pro disk C:. Na kartě "Vzdálený přístup" vypneme "Vzdálenou pomoc".

Group Policy (GPO)

Většina nastavení GPO se provádí na doménovém serveru. Jediné co se musí nastavit ručně je viditelné spouštění skriptu sys_unify.cmd. Spustíme proto gpedit.msc
Přejdeme do nastavení "Konfigurace počítače\Nastavení systému\Skripty\Spouštění" Nastavíme cestu ke spouštěcímu skriptu: 

"C:\Program Files\Orion\run.lnk", který spustí libovolný skript v minimalizovaném okně
(pozor, po poklikání na .lnk se automaticky vybere cíl tohoto zástupce, je proto nutné ručně přepsat .cmd na .lnk)
  • Jako parametr příkazu nastavíme
"C:\Program Files\Orion\sys_unify.cmd"

Aby toto okno bylo viditelné, musíme nastavit ještě, aby se skripty spouštěly viditelně a synchronně.
V "Konfigurace počítače\Šablony pro správu\Systém\Skripty" nastavíme: 

"Spouštět spouštěcí skripty asynchronně" na ZAKÁZÁNO a 
"Spouštět spouštěcí skripty viditelně" na POVOLENO
  • Výchozí pozadí po přihlášení uživatele, nastavuje se lokální GPO, vyžaduje totiž Server 2008 R2
Konfigurace Uživatele/Šablony pro správu/Ovládací panely/Přizpůsobení - Načíst konkrétní motiv
  • Zde nastavíme cestu:
C:\Program Files\Orion\misc\Orion7.theme
  • Uvedené nastavení zajistí, že při prvním přihlášení budou mít všichni uživatelé výchozí pozadí stejné, ale mohou jej kdykoli změnit.

Neomezený počet provedení SYSPREPU

  • Je třeba smazat klíč
HKLM\SYSTEM\WPA
Klíč lze smazat pouze ve vypnutém systému, buď z recovery konzole na instalacním CD, nebo jiném počítači.
  • Toto nastavení smaže informace o nutnosti použití aktivačního serveru, proto je nutné vložit do systému příslušný univerzální veřejný klíč (KMS setup key), který systému sdělí aby použil aktivační server.
http://technet.microsoft.com/cs-cz/library/jj612867.aspx
slmgr -ipk FJ82H-XT6CR-J8D7P-XQJJ2-GPDD4

Nastavení aktivačního serveru

  • Po instalaci veřejného klíče je třeba systému sdělit adresu aktivačního serveru
slmgr -skms aktivacni-server.zcu.cz

Verze instalačního obrazu

  • V registrovém klíči je třeba ručně aktualizovat verzi instalačního obrazu. Tato hodnota umožňuje snáze dohledat případnou problematickou verzi instalace.
V klíči HKEY_LOCAL_MACHINE\SOFTWARE\Orion hodnota RC'

Formát hodnoty RC

  • Hodnota RC má přesně daný formát s ohledem na její další strojové zpracování
Skládá se z jednoho až dvou písmen následovaných dvouciferným číslem
  • Počáteční písmena RC
Slouží k označení testovací verze Release candidate
  • Počáteční písmeno P
Označuje produkční verzi určenou k ostrému nasazení
  • Dvouciferný číselný kód umožňuje určit verzi instalačního obrazu a rozlišit mezi 32 a 64 bitovým systémem. Verze RC a P se číslují nezávisle, mohou tedy existovat RC01 i P01
Obrazy se číslují od jedničky, v případě 64 bitového systému je k číslu přičtena konstanta 60
První produkční verze obrazu pro 32 bitový systém tedy bude P01 a pro 64 bitový systém pak P61

Poslední úpravy před sejmutím image

Před sejmutím image je nutné nastavit ještě několik věcí. K těmto nastavením slouží další automat s pořadovým číslem 2. Následuje seznam věcí, které provede:

Orion skripty

Provede se stažení archívu se skripty podle reg. klíče sw_branch a jeho následného rozbalení na disk.

Orion registrové klíče

Aby mohl systém fungovat, musí se naimportovat reg. klíče, se kterými Orion skripty a programy počítají. Tyto klíče jsou všechny směrovány do HKLM\Orion.
V 64bitovém systému je navíc zapracována rutina, která v service_startup.cmd synchronizuje 64bitovou větev registru 
HKLM\Software\Orion do 32bitové HKLM\Software\SysWOW6232\Orion


Zakázání zobrazení posledního přihlášeného uživatele

Obsaženo v GPO

Drobné úpravy nastavení Windows

Následuje import několika reg. klíčů, které:

  • Nasměrují proměnnou TEMP a TMP
  • Pokusí se nastavit velikost písma v příkazové řádce (moc nám nefunguje)
  • Nastaví, aby při přihlašování byl aktivní numlock (řesíme to na notebookách?)
  • Nastaví synchronizaci času pomocí NTP
  • Vypne defaultní zvuky
  • Nastaví výchozí stránku pro IE

Služby

Zde se zakáže spouštění nechtěných služeb "Windows Defender", "Služba Windows Media Player Network Sharing" a "Windows Update".

Nastavení napájení

Obsaženo v automatu 
Nastaví vypínání monitoru na 20 minut a vypne vypínáních ostatních periférií. Taky zakáže hibernaci, což má také za následek fyzické smazaní hiberfil, který zabírá místo na disku.

Registrace knihovny prnadmin.dll

Obsažena v automatu, knihovna slouží k práci s LPR porty

Nastavení IE

Je importováno registrovým klíčem

Pozadí přihlašovací obrazovky

Obsaženo v Automatu

GPO

Velké množství nastavení nám udělá GPO. Není nutné nastavovat nic ručně, veškeré volby potřebné pro funkčnost Orion7 jsou v organizační jednotce orion7 již nastaveny.

Citováno z „https://helpdesk.zcu.cz/index.php?title=LPS:Orion7/FR-CESNET/Vytvoření_obrazu_Orion7&oldid=39857