Bereitstellen von Windows To Go in Ihrem Unternehmen
Dieses Thema hilft Ihnen bei der Bereitstellung von Windows To Go in Ihrem Unternehmen. Lesen Sie vor der Bereitstellung die Themen Windows To Go: Übersicht über die Features und Vorbereiten Ihres Unternehmens für Windows To Go, um sicherzustellen, dass Sie über die richtige Hardware verfügen und auf die Bereitstellung vorbereitet sind. Mithilfe der Schritte unter diesem Thema können Sie mit der Bereitstellung von Windows To Go beginnen.
Hinweis
Dieses Thema umfasst Beispiel-Cmdlets für Windows PowerShell, mit denen Sie einige der beschriebenen Vorgehensweisen automatisieren können. Weitere Informationen finden Sie unter Verwenden von Cmdlets.
Bereitstellungstipps
Im Folgenden finden Sie einige Punkte, die Sie vor der Bereitstellung beachten sollten:
Verwenden Sie für Windows To Go nur die empfohlenen USB-Laufwerke. Die Verwendung anderer Laufwerke wird nicht unterstützt. Die neuesten, für die Verwendung mit Windows To Go zertifizierten USB-Laufwerke sind der Liste unter Hardwareüberlegungen für Windows To Go zu entnehmen.
Werfen Sie nach dem Bereitstellen eines neuen Arbeitsbereichs stets das Windows To Go-Laufwerk aus. Verwenden Sie hierzu das Steuerelement Hardware sicher entfernen und Medium auswerfen, das Sie im Infobereich oder im Windows-Explorer finden. Wenn Sie das Laufwerk vom USB-Port entfernen, ohne es zuvor auszuwerfen, kann es beschädigt werden.
Fahren Sie einen ausgeführten Windows To Go-Arbeitsbereich immer herunter, bevor Sie das Laufwerk trennen.
System Center 2012 Configuration Manager SP1 und höher ermöglicht den Benutzern, Windows To Go-Laufwerke selbst bereitzustellen. Sie können Configuration Manager zum Testen im Microsoft TechNet Evaluation Center herunterladen. Weitere Informationen zu dieser Bereitstellungsoption finden Sie unter Bereitstellen von Windows To Go in Configuration Manager.
Wenn Sie einen Vervielfältigungsapparat für USB-Laufwerke verwenden möchten, um Windows To Go-Laufwerke zu duplizieren, konfigurieren Sie auf dem Laufwerk weder einen Offline-Domänenbeitritt noch BitLocker.
Grundlegende Bereitstellungsschritte
Sofern Sie nicht ein benutzerdefiniertes Betriebssystem-Image verwenden, wird Ihr erster Windows To Go-Arbeitsbereich keiner Domäne beitreten und keine Anwendungen enthalten. Dies entspricht einer Neuinstallation von Windows auf einem Desktop- oder Laptop-PC. Beim Planen der Bereitstellung sollten Sie Methoden entwickeln, mit denen Sie Windows To Go-Laufwerke zur Domäne hinzufügen und standardmäßige Anwendungen, die Benutzer in Ihrem Unternehmen benötigen, installieren können. Diese Methoden werden wahrscheinlich denen entsprechen, die zum Einrichten von Desktop- und Laptop-PCs mit Domänenberechtigungen und Anwendungen verwendet werden. In diesem Abschnitt werden die Schritte zum Erstellen des richtigen Datenträgerlayouts auf dem USB-Laufwerk, das Übernehmen des Betriebssystem-Images sowie die wichtigsten Windows To Go-spezifischen Konfigurationen auf dem Laufwerk beschrieben. Die folgenden Schritte werden für kleine und große Windows To Go-Bereitstellungsszenarien durchgeführt.
Mithilfe dieser Schritte erhalten Sie ein generisches Windows To Go-Laufwerk, das an die Benutzer verteilt und bei Bedarf an diese angepasst werden kann. Dieses Laufwerk kann auch mit USB-Laufwerk-Vervielfältigungsapparaten verwendet werden. Ihre jeweiligen Bereitstellungsszenarien werden mehr als nur diese grundlegenden Schritte umfassen. Diese zusätzlichen Bereitstellungsaspekte ähneln jedoch denen einer herkömmlichen PC-Bereitstellung und können in den Windows To Go-Bereitstellungsplan integriert werden. Weitere Informationen finden Sie unter Windows-Bereitstellungsoptionen.
Warnung
Wenn Sie beabsichtigen, das generische Windows To Go-Laufwerk als Master-Laufwerk für einen USB-Vervielfältigungsapparat zu verwenden, sollte das Laufwerk nicht gestartet werden. Wenn das Laufwerk versehentlich gestartet wurde, sollte es vor dem Duplizieren erneut bereitgestellt werden.
Erstellen des Windows To Go-Arbeitsbereichs
In diesem Schritt erstellen wir das Betriebssystem-Image, das auf den Windows To Go-Laufwerken verwendet wird. Sie können den Windows To Go Creator Wizard verwenden oder das Verfahren manuell mit einer Kombination aus Windows PowerShell und Befehlszeilentools ausführen.
Warnung
Die empfohlene Methode zum Erstellen eines einzelnen Windows To Go-Laufwerks ist die Verwendung des in Windows 10 Enterprise und Windows 10 Education enthaltenen Windows To Go Creator Wizard.
.gif "Mt186418.wedge(de-de,VS.85).gif")
Erstellen eines Windows To Go-Arbeitsbereichs mit dem Windows To Go Creator Wizard
Melden Sie sich am Windows-PC mit einem Konto mit Administratorrechten an.
Verbinden Sie das USB-Laufwerk, das Sie als Windows To Go-Laufwerk verwenden möchten, mit dem PC.
Stellen Sie sicher, dass auf den Speicherort der WIM-Datei (eine Netzwerkfreigabe, eine DVD oder ein USB-Laufwerk) zugegriffen werden kann, und dass dieser ein mit Sysprep generalisiertes, gültiges Windows 10 Enterprise- oder Windows 10 Education-Image enthält. In vielen Umgebungen kann dasselbe Image für Windows To Go- und für Desktopbereitstellungen verwendet werden.
Hinweis
Weitere Informationen über WIM-Dateien finden Sie unter Technische Referenz zu Windows System Image Manager (Windows SIM). Weitere Informationen zur Verwendung von Sysprep finden Sie unter Sysprep – Übersicht.
Suchen Sie mit Cortana nach Windows To Go, und drücken Sie dann die EINGABETASTE. Wenn das Dialogfeld der Benutzerkontensteuerung angezeigt wird, bestätigen Sie die gewünschte Aktion durch Klicken auf Ja. Der Windows To Go Creator Wizard wird geöffnet.
Wählen Sie auf der Seite Gewünschtes Laufwerk auswählen das dem zuvor verbundenen USB-Laufwerk entsprechende Laufwerk aus, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Windows-Image auswählen auf Suchort hinzufügen, navigieren Sie zum Speicherort der WIM-Datei, und klicken Sie auf „Ordner auswählen“. Im Assistenten werden die installierbaren Images im Ordner angezeigt. Wählen Sie das zu verwendende Windows 10 Enterprise- oder Windows 10 Education-Image aus, und klicken Sie auf Weiter.
(Optional) Auf der Seite Festlegen eines BitLocker-Kennworts (optional) können Sie BitLocker mit dem Windows To Go-Arbeitsbereich verwenden auswählen, um Ihr Windows To Go-Laufwerk zu verschlüsseln. Wenn Sie das Laufwerk zu diesem Zeitpunkt nicht verschlüsseln möchten, klicken Sie auf Überspringen. Wenn Sie den BitLocker-Schutz später hinzufügen möchten, beachten Sie die Anleitung unter Enable BitLocker protection for your Windows To Go drive (in englischer Sprache).
Warnung
Wenn Sie mit einem USB-Vervielfältigungsapparat mehrere Windows To Go-Laufwerke erstellen möchten, aktivieren Sie nicht BitLocker. Mit BitLocker geschützte Laufwerke sollten nicht dupliziert werden.
Wenn Sie das Windows To Go-Laufwerk jetzt verschlüsseln möchten:
Geben Sie ein mindestens acht Zeichen langes Kennwort ein, das der Kennwortkomplexitätsrichtlinie Ihres Unternehmens entspricht. Dieses Kennwort wird vor dem Starten des Betriebssystems bereitgestellt. Daher müssen alle verwendeten Zeichen von der Firmware interpretiert werden können. Verschiedene Firmware unterstützt keine nicht-ASCII-Zeichen.
Geben Sie das Kennwort erneut ein, und klicken Sie dann auf „Weiter“.
Wichtig
Das BitLocker-Wiederherstellungskennwort wird automatisch in der Dokumentbibliothek des Computers gespeichert, der zum Erstellen des Arbeitsbereichs verwendet wurde. Wenn Ihr Unternehmen zum Speichern von Wiederherstellungskennwörtern Active Directory-Domänendienste (AD DS) verwendet, werden diese zudem im Computerkonto des Computers in AD DS gespeichert, der zum Erstellen des Arbeitsbereichs verwendet wurde. Dieses Kennwort wird nur dann verwendet, wenn Sie den Zugriff auf das Laufwerk wiederherstellen müssen, da das im vorherigen Schritt angegebene BitLocker-Kennwort nicht verfügbar ist, z. B. wenn ein Kennwort vergessen wurde. Weitere Informationen zu BitLocker und AD DS finden Sie unter Active Directory Domain Services considerations (in englischer Sprache).
Stellen Sie sicher, dass das für die Windows To Go-Bereitstellung gedachte USB-Laufwerk verbunden wurde, und klicken Sie dann auf Erstellen, um mit dem Erstellen des Windows To Go-Arbeitsbereichs zu beginnen.
Warnung
Das angegebene USB-Laufwerk wird bei der Windows To Go-Bereitstellung neu formatiert, wobei alle Daten auf dem Laufwerk gelöscht werden.
Warten Sie 20 bis 30 Minuten, bis der Erstellungsvorgang abgeschlossen ist. Es wird eine Abschlussseite angezeigt, die Sie darauf hinweist, dass der Windows To Go-Arbeitsbereich verwendet werden kann. Auf dieser Seite können Sie die Windows To Go-Startoptionen so konfigurieren, dass der aktuelle Computer als Windows To Go-Hostcomputer konfiguriert wird.
Ihr Windows To Go-Arbeitsbereich kann jetzt gestartet werden. Sie können jetzt mithilfe der Windows To Go-Startoptionen einen Hostcomputer vorbereiten und das Windows To Go-Laufwerk starten.
Entsprechende Windows PowerShell-Befehle
Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die Cmdlets jeweils in einer einzelnen Zeile ein. Diese können hier jedoch aufgrund von Formatierungseinschränkungen als über mehrere Zeilen umgebrochen erscheinen. Dieses Verfahren gilt nur für PCs, auf denen Windows 10 ausgeführt wird. Stellen Sie vorab sicher, dass nur das als Windows To Go-Laufwerk bereitzustellende USB-Laufwerk an den Computer angeschlossen ist.
Suchen Sie mit Cortana nach Powershell, klicken Sie mit der rechten Maustaste auf Windows PowerShell, und wählen Sie dann Als Administrator ausführen aus.
Geben Sie in der Windows PowerShell-Sitzung die folgenden Befehle ein, um einen MBR-Datenträger (Master Boot Record) für die Verwendung mit einer FAT32-Systempartition und einer NTFS-Betriebssystempartition zu partitionieren. Dieses Datenträgerlayout unterstützt Computer mit UEFI- oder BIOS-Firmware:
# The following command will set $Disk to all USB drives with >20 GB of storage $Disk = Get-Disk | Where-Object {$_.Path -match "USBSTOR" -and $_.Size -gt 20Gb -and -not $_.IsBoot } #Clear the disk. This will delete any data on the disk. (and will fail if the disk is not yet initialized. If that happens, simply continue with ‘New-Partition…) Validate that this is the correct disk that you want to completely erase. # To skip the confirmation prompt, append –confirm:$False Clear-Disk –InputObject $Disk[0] -RemoveData # This command initializes a new MBR disk Initialize-Disk –InputObject $Disk[0] -PartitionStyle MBR # This command creates a 350 MB system partition $SystemPartition = New-Partition –InputObject $Disk[0] -Size (350MB) -IsActive # This formats the volume with a FAT32 Filesystem # To skip the confirmation dialog, append –Confirm:$False Format-Volume -NewFileSystemLabel "UFD-System" -FileSystem FAT32 ` -Partition $SystemPartition # This command creates the Windows volume using the maximum space available on the drive. The Windows To Go drive should not be used for other file storage. $OSPartition = New-Partition –InputObject $Disk[0] -UseMaximumSize Format-Volume -NewFileSystemLabel "UFD-Windows" -FileSystem NTFS ` -Partition $OSPartition # This command assigns drive letters to the new drive, the drive letters chosen should not already be in use. Set-Partition -InputObject $SystemPartition -NewDriveLetter "S" Set-Partition -InputObject $OSPartition -NewDriveLetter "W" # This command sets the NODEFAULTDRIVELETTER flag on the partition which prevents drive letters being assigned to either partition when inserted into a different computer. Set-Partition -InputObject $OSPartition -NoDefaultDriveLetter $TRUEAls Nächstes müssen Sie das mit Windows To Go zu verwendende Betriebssystem-Image für die im vorigen Schritt auf dem Datenträger erstellen Betriebssystempartition übernehmen (dies kann abhängig von der Größe des Images und der Geschwindigkeit der USB-Verbindung 30 Minuten oder länger dauern). Der folgende Befehl zeigt, wie dies mithilfe des Befehlszeilentools Abbildverwaltung für die Bereitstellung (Deployment Image Servicing and Management, DISM) erfolgen kann:
Tipp
Die Indexnummer muss in der WIM-Datei ordnungsgemäß auf ein gültiges Enterprise-Image festgelegt werden.
#The WIM file must contain a sysprep generalized image. dism /apply-image /imagefile:n:\imagefolder\deploymentimages\mywtgimage.wim /index:1 /applydir:W:\Verschieben Sie jetzt mithilfe des Bcdboot-Befehlszeilentools die erforderlichen Startkomponenten in die Systempartition auf dem Datenträger. So wird sichergestellt, dass die Startkomponenten, Betriebssystemversionen und Architekturen übereinstimmen. Der Parameter
/f ALLgibt an, dass die Startkomponenten für UEFI und BIOS auf der Systempartition des Datenträgers platziert werden sollen. In folgendem Beispiel wird dieser Schritt verdeutlicht:W:\Windows\System32\bcdboot W:\Windows /f ALL /s S:Übernehmen Sie die SAN-Richtlinie „OFFLINE_INTERNAL - "4"“, um zu verhindern, dass das Betriebssystem intern verbundene Datenträger automatisch online schaltet. Dies erfolgt durch Erstellen und Speichern der Datei san_policy.xml auf dem Datenträger. In folgendem Beispiel wird dieser Schritt verdeutlicht:
<?xml version='1.0' encoding='utf-8' standalone='yes'?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <settings pass="offlineServicing"> <component xmlns:wcm="https://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" language="neutral" name="Microsoft-Windows-PartitionManager" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" versionScope="nonSxS" > <SanPolicy>4</SanPolicy> </component> <component xmlns:wcm="https://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" language="neutral" name="Microsoft-Windows-PartitionManager" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" versionScope="nonSxS" > <SanPolicy>4</SanPolicy> </component> </settings> </unattend>Legen Sie die im vorigen Schritt erstellte Datei san_policy.xml im Stammverzeichnis der Windows-Partition auf dem Windows To Go-Laufwerk (in den vorherigen Beispielen „W:“) ab, und führen Sie den folgenden Befehl aus:
Dism.exe /Image:W:\ /Apply-Unattend:W:\san_policy.xmlErstellen Sie eine Antwortdatei (unattend.xml), die die Verwendung der Windows-Wiederherstellungsumgebung für Windows To Go deaktiviert. Sie mit folgendem Codebeispiel eine neue Antwortdatei erstellen. Sie können es auch in eine vorhandene Antwortdatei einfügen:
<?xml version="1.0" encoding="utf-8"?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <settings pass="oobeSystem"> <component name="Microsoft-Windows-WinRE-RecoveryAgent" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="https://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <UninstallWindowsRE>true</UninstallWindowsRE> </component> <component name="Microsoft-Windows-WinRE-RecoveryAgent" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="https://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <UninstallWindowsRE>true</UninstallWindowsRE> </component> </settings> </unattend>Kopieren Sie nach dem Speichern die Antwortdatei „unattend.xml“ in den Sysprep-Ordner auf dem Windows To Go-Laufwerk (z. B. „W:\Windows\System32\sysprep\“)
Wichtig
Die „unattend“-Setupdateien werden anhand ihres Speicherorts verarbeitet. Beim Setup wird eine temporäre „unattend“-Datei im Ordner %systemroot%\panther abgelegt, denn dieser Ordner wird beim Setup zuerst auf Installationsinformationen überprüft. Stellen Sie sicher, dass dieser Ordner keine frühere Version der Datei „unattend.xml“ enthält, um sicherzustellen, dass die soeben erstellte Version verwendet wird.
Wenn das Windows To Go-Gerät auf diesem Computer nicht hochgefahren, sondern entfernt und auf einem anderen Computer gestartet werden soll, müssen Sie das Laufwerk mit der Option Hardware sicher entfernen und Medium auswerfen sicher trennen, bevor Sie es physisch vom Computer entfernen.
Ihr Windows To Go-Arbeitsbereich kann jetzt gestartet werden. Jetzt können Sie mit den Windows To Go-Startoptionen einen Hostcomputer vorbereiten, um die Arbeitsbereichskonfiguration zu testen, den Arbeitsbereich für einen Offline-Domänenbeitritt zu konfigurieren oder den BitLocker-Schutz für das Windows To Go-Laufwerk zu aktivieren.
So bereiten Sie einen Hostcomputer vor
Computer, auf denen Windows 8 oder höher ausgeführt wird, können als Hostcomputer konfiguriert werden, auf denen Windows To Go immer dann automatisch verwendet wird, wenn beim Start ein Windows To Go-Arbeitsbereich verfügbar ist. Wenn auf einem Hostcomputer die Windows To Go-Startoptionen aktiviert sind, wird Windows beim Systemstart immer dann auf das Windows To Go-Laufwerk umgeleitet, wenn dieses am Computer angeschlossen ist. Dies vereinfacht das Wechseln zwischen dem Hostcomputer und dem Windows To Go-Arbeitsbereich.
Tipp
Wenn Sie einen Windows 7-PC als Hostcomputer verwenden, finden Sie unter Tipps zum Konfigurieren von BIOS-Einstellungen zum Arbeiten mit Windows To Go Informationen zur Vorbereitung des Hostcomputers.
Wenn Sie den Windows To Go-Arbeitsbereich verwenden möchten, fahren Sie einfach den Computer herunter, schließen Sie das Windows To Go-Laufwerk an, und schalten Sie den Computer wieder ein. Um den Hostcomputer zu verwenden, fahren Sie den Windows To Go-Arbeitsbereich herunter, entfernen Sie das Windows To Go-Laufwerk, und schalten Sie den Computer wieder ein.
So richten Sie die Windows To Go-Startoptionen für Windows 10-Hostcomputer ein
Suchen Sie mit Cortana nach Windows To Go-Startoptionen, und drücken Sie dann die EINGABETASTE.
Wählen Sie im Dialogfeld Windows To Go-Startoptionen die Option Ja aus, und klicken Sie dann auf Änderungen speichern, um den Computer für das Hochfahren vom USB-Laufwerk zu konfigurieren.
Für Hostcomputer, auf denen Windows 8 oder Windows 8.1 ausgeführt wird:
- Drücken Sie die Windows-Logo-Taste + W, suchen Sie nach Windows To Go-Startoptionen, und drücken Sie dann die EINGABETASTE.
- Wählen Sie im Dialogfeld Windows To Go-Startoptionen die Option Ja aus, und klicken Sie dann auf Änderungen speichern, um den Computer für das Hochfahren vom USB-Laufwerk zu konfigurieren.
Sie können die Computer Ihres Unternehmens für das automatische Starten vom USB-Laufwerk konfigurieren, indem Sie die folgende Einstellung der Gruppenrichtlinie aktivieren:
\\Computer Configuration\Administrative Templates\Windows Components\Portable Operating System\Windows To Go Default Startup Options
Wenn diese Einstellung aktiviert und ein USB-Laufwerk an den Computer angeschlossen ist, wird bei jedem Startvorgang versucht, einen Windows To Go-Arbeitsbereich automatisch zu starten. Die Benutzer können dieses Verhalten nicht mithilfe der Windows To Go-Startoptionen ändern. Wenn Sie diese Richtlinieneinstellung deaktivieren, wird das Starten von Windows To Go beim Anschließen eines USB-Laufwerks erst aktiviert, wenn ein Benutzer die Option in der Firmware manuell konfiguriert. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer, die Mitglieder der Administratorgruppe sind, das Starten von einem USB-Laufwerk über das Dialogfeld „Startoptionen für Windows To Go“ aktivieren oder deaktivieren.
Ihr Hostcomputer kann jetzt direkt in den Windows To Go-Arbeitsbereich hochgefahren werden, wenn das Laufwerk vor dem Starten des Computers verbunden wurde. Optional können Sie Windows To Go-Arbeitsbereiche für Offline-Domänenbeitritt konfigurieren und den BitLocker-Schutz für das Windows To Go-Laufwerk aktivieren.
Starten des Windows To Go-Arbeitsbereichs
Nachdem der Hostcomputer für das Starten über USB konfiguriert wurde, können Sie Ihren Windows To Go-Arbeitsbereich mithilfe der folgenden Schritte hochfahren:
So starten Sie den Arbeitsbereich
Stellen Sie sicher, dass sich der Hostcomputer nicht im Standby befindet. Wenn der Computer im Standbymodus ist, fahren Sie ihn entweder herunter, oder versetzen Sie ihn in den Ruhezustand.
Verbinden Sie das Windows To Go-USB-Laufwerk direkt mit einem USB 3.0- oder USB 2.0-Anschluss des Computers. Verwenden Sie keine USB-Hubs oder -Erweiterungen.
Schalten Sie den PC ein. Wenn Ihr Windows To Go-Laufwerk mit BitLocker geschützt ist, werden Sie aufgefordert, das Kennwort einzugeben. Andernfalls wird der Arbeitsbereich direkt mit dem Windows To Go-Arbeitsbereich gestartet.
Erweiterte Bereitstellungsschritte
Die folgenden Schritte werden für erweiterte Bereitstellungen durchgeführt, bei denen Sie eine umfassendere Kontrolle über die Konfiguration der Windows To Go-Laufwerke benötigen oder sicherstellen möchten, dass diese ordnungsgemäß für den Remotezugriff auf die Ressourcen des Unternehmens konfiguriert und mit der BitLocker-Laufwerkverschlüsselung geschützt sind.
Konfigurieren des Windows To Go-Arbeitsbereichs für den Remotezugriff
Für eine erfolgreiche Bereitstellung ist sicherzustellen, dass die Windows To Go-Arbeitsbereiche außerhalb des Unternehmensstandorts verfügbar sind. Eine der größten Vorteile von Windows To Go ist die Möglichkeit, außerhalb des Unternehmensnetzwerks über einen nicht verwalteten Computer auf den vom Unternehmen verwalteten, der Domäne beigetretenen Arbeitsbereich zugreifen zu können. Um dies zu ermöglichen, muss in der Regel das USB-Laufwerk gemäß der Anleitung für die grundlegende Bereitstellung bereitgestellt werden. Anschließend wird im Rahmen der Konfiguration die Unterstützung für den Domänenbeitritt des Arbeitsbereichs, die Installation von Branchenanwendungen und die bevorzugte Remoteverbindungslösung, wie z. B. ein VPN-Client oder DirectAccess, ermöglicht. Nach Abschluss dieser Konfigurationsschritte kann der Benutzer den Arbeitsbereich auf einem Computer verwenden, der sich außerhalb des Unternehmensstandorts befindet. Mithilfe des folgenden Verfahrens können Sie der Domäne beigetretene Windows To Go-Arbeitsbereiche für Mitarbeiter bereitstellen, die über keinen physischen Zugriff auf das Unternehmensnetzwerk verfügen.
Voraussetzungen für das RAS-Szenario
Ein in die Domäne eingebundener Computer, auf dem Windows 8 oder höher ausgeführt wird und der als Windows To Go-Hostcomputer konfiguriert ist
Ein Windows To Go-Laufwerk, das noch nicht mithilfe der Einstellungen für die unbeaufsichtigte Installation gestartet oder mit der Domäne verbunden wurde.
Ein Domänenbenutzerkonto mit der Berechtigung, der Domäne Benutzerkonten hinzuzufügen, das auf dem Windows To Go-Hostcomputer ein Mitglied der Administratorengruppe ist
DirectAccess in der Domäne konfiguriert
So konfigurieren Sie den Windows To Go-Arbeitsbereich für den Remotezugriff
Starten Sie den Hostcomputer, melden Sie sich mit einem Benutzerkonto mit Berechtigungen für das Hinzufügen von Arbeitsstationen zur Domäne an, und führen Sie anschließend den folgenden Befehl über eine Eingabeaufforderung mit erhöhten Rechten aus. Ersetzen Sie hierbei die (mit <> gekennzeichneten) Platzhalterparameter durch die für Ihre Umgebung geltenden Parametern:
djoin /provision /domain <exampledomain.com> /machine <examplewindowstogo_workspace_name> /certtemplate <WorkstationAuthentication_template> /policynames <DirectAccess Client Policy: {GUID}> /savefile <C:\example\path\domainmetadatafile> /reuseHinweis
Der Parameter „/certtemplate“ unterstützt die Verwendung von Zertifikatvorlagen zum Verteilen von Zertifikaten für DirectAccess. Wenn in Ihrem Unternehmen keine Zertifikatvorlagen verwendet werden, können Sie diesen Parameter übergehen. Wenn Sie „djoin.exe“ für Windows Server 2008-basierte Domänencontroller verwenden, hängen Sie bei der Bereitstellung den Schalter „/downlevel“ an. Weitere Informationen finden Sie unter Schrittweise Anleitung zum Offline-Domänenbeitritt.
Verbinden Sie das Windows To Go-Laufwerk.
Starten Sie eine Windows PowerShell-Eingabeaufforderung mit erhöhten Rechten, indem Sie mit der rechten Maustaste auf die Windows PowerShell-Verknüpfung auf der Taskleiste klicken. Klicken Sie anschließend auf Als Administrator ausführen.
Führen Sie an der Windows PowerShell-Eingabeaufforderung Folgendes aus:
# The following command will set $Disk to all USB drives with >20 GB of storage $Disk = Get-Disk | Where-Object {$_.Path -match "USBSTOR" -and $_.Size -gt 20Gb -and -not $_.IsBoot } #Clear the disk. This will delete any data on the disk. (and will fail if the disk is not yet initialized. If that happens, simply continue with ‘New-Partition…) Validate that this is the correct disk that you want to completely erase. # To skip the confirmation prompt, append –confirm:$False Clear-Disk –InputObject $Disk[0] -RemoveData # This command initializes a new MBR disk Initialize-Disk –InputObject $Disk[0] -PartitionStyle MBR # This command creates a 350 MB system partition $SystemPartition = New-Partition –InputObject $Disk[0] -Size (350MB) -IsActive # This formats the volume with a FAT32 Filesystem # To skip the confirmation dialog, append –Confirm:$False Format-Volume -NewFileSystemLabel "UFD-System" -FileSystem FAT32 ` -Partition $SystemPartition # This command creates the Windows volume using the maximum space available on the drive. The Windows To Go drive should not be used for other file storage. $OSPartition = New-Partition –InputObject $Disk[0] -UseMaximumSize Format-Volume -NewFileSystemLabel "UFD-Windows" -FileSystem NTFS ` -Partition $OSPartition # This command assigns drive letters to the new drive, the drive letters chosen should not already be in use. Set-Partition -InputObject $SystemPartition -NewDriveLetter "S" Set-Partition -InputObject $OSPartition -NewDriveLetter "W" # This command toggles the NODEFAULTDRIVELETTER flag on the partition which prevents drive letters being assigned to either partition when inserted into a different computer. Set-Partition -InputObject $OSPartition -NoDefaultDriveLetter $TRUEAls Nächstes müssen Sie das mit Windows To Go zu verwendende Betriebssystem-Image für die im vorigen Schritt auf dem Datenträger erstellen Betriebssystempartition übernehmen (dies kann abhängig von der Größe des Images und der Geschwindigkeit der USB-Verbindung 30 Minuten oder länger dauern). Der folgende Befehl zeigt, wie dies mithilfe des Befehlszeilentools Abbildverwaltung für die Bereitstellung (Deployment Image Servicing and Management, DISM) erfolgen kann:
Tipp
Die Indexnummer muss in der WIM-Datei ordnungsgemäß auf ein gültiges Enterprise-Image festgelegt werden.
#The WIM file must contain a sysprep generalized image. dism /apply-image /imagefile:n:\imagefolder\deploymentimages\mywtgimage.wim /index:1 /applydir:W:\Nachdem diese Befehle abgeschlossen wurden, führen Sie den folgenden Befehl aus:
djoin /requestodj /loadfile C:\example\path\domainmetadatafile /windowspath W:\WindowsAnschließend müssen wir die Datei „unattend.xml“ bearbeiten, um die Einstellungen für die Erstausführung (OOBE) zu konfigurieren. In diesem Beispiel blenden wir die Seite mit den Microsoft-Softwarelizenzbestimmungen (EULA) aus, wir konfigurieren die automatische Installation wichtiger und empfohlener Updates, und wir legen diesen Arbeitsbereich als Teil eines privaten Büronetzwerks fest. Sie können ggf. andere OOBE-Einstellungen für Ihr Unternehmen konfigurieren und entsprechend verwenden. Weitere Informationen zu den OOBE-Einstellungen finden Sie unter OOBE:
<?xml version="1.0" encoding="utf-8"?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <settings pass="oobeSystem"> <component name="Microsoft-Windows-WinRE-RecoveryAgent" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="https://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <UninstallWindowsRE>true</UninstallWindowsRE> <OOBE> <HideEULAPage>true</HideEULAPage> <ProtectYourPC>1</ProtectYourPC> <NetworkLocation>Work</NetworkLocation> </OOBE> </component> <component name="Microsoft-Windows-WinRE-RecoveryAgent" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="https://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <UninstallWindowsRE>true</UninstallWindowsRE> <OOBE> <HideEULAPage>true</HideEULAPage> <ProtectYourPC>1</ProtectYourPC> <NetworkLocation>Work</NetworkLocation> </OOBE> </component> </settings> </unattend>Entfernen Sie das Windows To Go-Laufwerk sicher.
Starten Sie einen lokalen oder remoten Hostcomputer, und fahren Sie den Windows To Go-Arbeitsbereich hoch.
Melden Sie sich auf einem lokalen Hostcomputer mit direkter Netzwerkverbindung mit den Domänenanmeldeinformationen an.
Stellen Sie außerhalb die Verbindung zu einem verkabelten oder Drahtlosnetzwerk mit Internetzugriff her, und melden Sie sich ebenfalls mit den Domänenanmeldeinformationen an.
Hinweis
Je nach DirectAccess-Konfiguration werden Sie möglicherweise aufgefordert, für die Domänenanmeldung Ihre SmartCard einzusetzen.
Nun sollten Sie über Zugriff auf die Netzwerkressourcen Ihres Unternehmens verfügen und mit dem Windows To Go-Arbeitsbereich ebenso arbeiten können wie mit dem Standarddesktopcomputer vor Ort.
Aktivieren des BitLocker-Schutzes für das Windows To Go-Laufwerk
Durch Aktivieren von BitLocker auf dem Windows To Go-Laufwerk wird sichergestellt, dass Ihre Daten vor nicht autorisierter Verwendung geschützt sind. Zudem wird es nicht autorisierten Personen erschwert, über den Arbeitsbereich auf vertrauliche Daten oder geschützte Ressourcen Ihres Unternehmens zuzugreifen, wenn das Windows To Go-Laufwerk gestohlen wird oder verloren geht. Wenn BitLocker aktiviert ist, werden Sie bei jedem Start Ihres Windows To Go-Laufwerks aufgefordert, das BitLocker-Kennwort zum Entsperren des Laufwerks einzugeben. Mit den folgenden Schritten wird BitLocker auf dem Windows To Go-Laufwerk aktiviert:
Voraussetzungen für das Aktivieren des BitLocker-Szenarien
Ein Windows To Go-Laufwerk, das erfolgreich bereitgestellt werden kann.
Ein als Windows To Go-Hostcomputer konfigurierter Computer, auf dem Windows 8 ausgeführt wird
Überprüfen Sie die folgenden Gruppenrichtlinieneinstellungen der BitLocker-Laufwerkverschlüsselung, und ändern Sie ggf. die Konfiguration:
\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke\Zusätzliche Authentifizierung beim Start anfordern. Diese Richtlinie ermöglicht die Verwendung eines Kennwortschlüssel-Schutzmechanismus für ein Betriebssystemlaufwerk. Diese Richtlinie muss aktiviert sein, um BitLocker innerhalb des Windows To Go-Arbeitsbereichs konfigurieren zu können. Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob BitLocker bei jedem Start des Computers eine zusätzliche Authentifizierung erfordert, und ob BitLocker mit oder ohne Trusted Platform Module (TPM) verwendet wird. Sie müssen diese Einstellung aktivieren, das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen aktivieren und anschließend die Einstellung Verwendung von Kennwörtern für Betriebssystemlaufwerke konfigurieren aktivieren.
\Windowskomponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke\Verwendung von Kennwörtern für Betriebssystemlaufwerke konfigurieren. Mithilfe dieser Richtlinieneinstellung können mit BitLocker geschützte Laufwerke mithilfe von Kennwörtern entsperrt werden. Zudem können die Komplexitäts- und Längenanforderungen der Kennwörtern für Windows To Go-Arbeitsbereiche konfiguriert werden. Damit die Einstellung für die Komplexitätsanforderung wirksam wird, muss zudem die Gruppenrichtlinieneinstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen unter Computerkonfiguration\Windows-Einstellungen\Kontorichtlinien\Kennwortrichtlinie\ aktiviert werden.
\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke\Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Starten auf Slates aktivieren. Mit dieser Richtlinieneinstellung können Benutzer Authentifizierungsoptionen aktivieren, die vor dem Start auch dann Benutzereingaben erfordern, wenn die Plattform scheinbar nicht über Eingabefunktionen vor dem Start verfügt. Wenn diese Einstellung nicht aktiviert ist, können mit BitLocker geschützte Laufwerke mit Kennwörtern entsperrt werden.
Sie können den BitLocker-Schutz auf den Windows To Go-Laufwerken als Teil der Bereitstellung bereits vor dem Verteilen auf die Benutzer aktivieren. Alternativ können Sie zulassen, dass die Endbenutzer nach Übergabe des Laufwerks den BitLocker-Schutz übernehmen. Für beide Szenarien ist eine schrittweise Anleitung verfügbar.
Wenn Sie BitLocker bei der Bereitstellung aktivieren, ist gewährleistet, dass Ihr Betriebssystem-Image stets durch BitLocker geschützt ist. Durch das Aktivieren von BitLocker bei der Bereitstellung können Sie die erforderliche Zeit für das Verschlüsseln des Laufwerks erheblich verkürzen, indem BitLocker nach dem Konfigurieren des Datenträgers und kurz vor dem Übernehmen des Images aktiviert wird. Bei dieser Methode müssen Sie den Benutzern deren BitLocker-Kennwort gleichzeitig mit dem Windows To Go-Arbeitsbereich übergeben. Zudem sollten Sie die Benutzer anweisen, ihren Arbeitsbereich zu starten und das BitLocker-Kennwort so schnell wie möglich zu ändern. (Dies ist mit den Standardbenutzerberechtigungen möglich.)
Um BitLocker nach der Verteilung zu aktivieren, müssen die Benutzer BitLocker ausführen. Dies bedeutet, dass der Windows To Go-Arbeitsbereich erst geschützt ist, wenn der Benutzer BitLocker aktiviert. Für die Aktivierung von BitLocker sind Administratorrechte für den Windows To Go-Arbeitsbereich erforderlich. Weitere Informationen zu BitLocker finden Sie in der BitLocker-Übersicht.
BitLocker-Wiederherstellungsschlüssel
Mit den BitLocker-Wiederherstellungsschlüsseln werden mit BitLocker geschützte Laufwerke entsperrt, wenn die Standardmethode fehlschlägt. Es wird empfohlen, die BitLocker-Wiederherstellungsschlüssel in Active Directory-Domänendiensten (AD DS) zu sichern. Wenn Sie die Wiederherstellungsschlüssel nicht in AD DS speichern möchten, können Sie diese drucken oder in einer Datei speichern. Die Verwaltungsmethode für die BitLocker-Wiederherstellungsschlüssel hängt davon ab, wann BitLocker aktiviert wird.
Wenn der BitLocker-Schutz bei der Bereitstellung aktiviert wird, werden die BitLocker-Wiederherstellungsschlüssel unter dem Computerkonto des Computers gespeichert, der für die Bereitstellung der Laufwerke verwendet wird. Wenn die Wiederherstellungsschlüssel nicht mit AD DS gesichert werden, müssen diese für die einzelnen Laufwerke ausgedruckt oder in einer Datei gespeichert werden. Der IT-Administrator muss nachverfolgen, welche Schlüssel welchen Windows To Go-Laufwerken zugewiesen wurden.
Warnung
Wenn BitLocker nach der Verteilung aktiviert wurde, wird der Wiederherstellungsschlüssel unter dem Computerkonto des Arbeitsbereichs in AD DS gesichert. Wenn die Wiederherstellungsschlüssel nicht mit AD DS gesichert werden, können diese vom Benutzer gedruckt oder in einer Datei gespeichert werden. Wenn der IT-Administrator eine zentrale Aufzeichnung der Wiederherstellungsschlüssel benötigt, muss ein Verfahren für die Übermittlung des Schlüssels durch den Benutzer an die IT-Abteilung eingerichtet werden.
So aktivieren Sie BitLocker bei der Bereitstellung
Starten Sie den Hostcomputer, auf dem Windows 8 ausgeführt wird.
Setzen Sie das Windows To Go-Laufwerk ein.
Starten Sie eine Windows PowerShell-Eingabeaufforderung mit erhöhten Rechten, indem Sie mit der rechten Maustaste auf die Windows PowerShell-Verknüpfung auf der Taskleiste klicken. Klicken Sie anschließend auf Als Administrator ausführen.
Stellen Sie das Windows To Go-Laufwerk mit folgenden Cmdlets bereit:
Hinweis
Wenn Sie die manuelle Methode zum Erstellen eines Arbeitsbereichs verwendet haben, sollten Sie das Windows To Go-Laufwerk bereits bereitgestellt haben. In diesem Fall können Sie mit dem nächsten Schritt fortfahren.
# The following command will set $Disk to all USB drives with >20 GB of storage $Disk = Get-Disk | Where-Object {$_.Path -match "USBSTOR" -and $_.Size -gt 20Gb -and -not $_.IsBoot } #Clear the disk. This will delete any data on the disk. (and will fail if the disk is not yet initialized. If that happens, simply continue with ‘New-Partition…) Validate that this is the correct disk that you want to completely erase. # To skip the confirmation prompt, append –confirm:$False Clear-Disk –InputObject $Disk[0] -RemoveData # This command initializes a new MBR disk Initialize-Disk –InputObject $Disk[0] -PartitionStyle MBR # This command creates a 350 MB system partition $SystemPartition = New-Partition –InputObject $Disk[0] -Size (350MB) -IsActive # This formats the volume with a FAT32 Filesystem # To skip the confirmation dialog, append –Confirm:$False Format-Volume -NewFileSystemLabel "UFD-System" -FileSystem FAT32 ` -Partition $SystemPartition # This command creates the Windows volume using the maximum space available on the drive. The Windows To Go drive should not be used for other file storage. $OSPartition = New-Partition –InputObject $Disk[0] -UseMaximumSize Format-Volume -NewFileSystemLabel "UFD-Windows" -FileSystem NTFS ` -Partition $OSPartition # This command assigns drive letters to the new drive, the drive letters chosen should not already be in use. Set-Partition -InputObject $SystemPartition -NewDriveLetter "S" Set-Partition -InputObject $OSPartition -NewDriveLetter "W" # This command toggles the NODEFAULTDRIVELETTER flag on the partition which prevents drive letters being assigned to either partition when inserted into a different computer. Set-Partition -InputObject $OSPartition -NoDefaultDriveLetter $TRUEAls Nächstes müssen Sie das mit Windows To Go zu verwendende Betriebssystem-Image für die im vorigen Schritt auf dem Datenträger erstellen Betriebssystempartition übernehmen (dies kann abhängig von der Größe des Images und der Geschwindigkeit der USB-Verbindung 30 Minuten oder länger dauern). Der folgende Befehl zeigt, wie dies mithilfe des Befehlszeilentools Abbildverwaltung für die Bereitstellung (Deployment Image Servicing and Management, DISM) erfolgen kann:
Tipp
Die Indexnummer muss in der WIM-Datei ordnungsgemäß auf ein gültiges Enterprise-Image festgelegt werden.
#The WIM file must contain a sysprep generalized image. dism /apply-image /imagefile:n:\imagefolder\deploymentimages\mywtgimage.wim /index:1 /applydir:W:\Fügen Sie in derselben PowerShell-Sitzung mit dem folgenden Cmdlet dem Laufwerk einen Wiederherstellungsschlüssel hinzu:
$BitlockerRecoveryProtector = Add-BitLockerKeyProtector W: -RecoveryPasswordProtectorSpeichern Sie dann mit den folgenden Cmdlets den Wiederherstellungsschlüssel in einer Datei:
#The BitLocker Recovery key is essential if for some reason you forget the BitLocker password #This recovery key can also be backed up into Active Directory using manage-bde.exe or the #PowerShell cmdlet Backup-BitLockerKeyProtector. $RecoveryPassword = $BitlockerRecoveryProtector.KeyProtector.RecoveryPassword $RecoveryPassword > WTG-Demo_Bitlocker_Recovery_Password.txtFügen Sie anschließend mit den folgenden Cmdlets das Kennwort als sichere Zeichenfolge hinzu. Wenn Sie das Kennwort nicht angeben, fordert Sie das Cmdlet zur Eingabe des Kennworts auf, bevor Sie fortfahren können:
# Create a variable to store the password $spwd = ConvertTo-SecureString -String <password> -AsplainText –Force Enable-BitLocker W: -PasswordProtector $spwdWarnung
Wenn BitLocker nur belegten Speicherplatz auf dem Datenträger verschlüsseln soll, hängen Sie den Parameter
–UsedSpaceOnlyan das CmdletEnable-BitLockeran. Wenn dem Laufwerk Daten hinzugefügt werden, verschlüsselt BitLocker den entsprechenden zusätzlichen Speicherplatz. Dieser Parameter beschleunigt die Vorbereitung, da ein kleinerer Prozentsatz des Datenträgers verschlüsselt werden muss. Wenn die Zeit drängt und Sie nicht auf den Abschluss der Verschlüsselung warten können, entfernen Sie das Windows To Go-Laufwerk während der Verschlüsselung sicher. Beim nächsten Verbinden des Laufwerks mit einem Computer wird das BitLocker-Kennwort angefordert. Nachdem das Kennwort eingegeben wurde, wird der die Verschlüsselung fortgesetzt. Informieren Sie die Benutzer darüber, dass die BitLocker-Verschlüsselung noch durchgeführt wird, und dass der Arbeitsbereich verwendet werden kann, während im Hintergrund die Verschlüsselung abgeschlossen wird.Kopieren Sie das numerische Wiederherstellungskennwort, und speichern Sie es in einer Datei an einem sicheren Ort. Das Wiederherstellungskennwort wird benötigt, wenn das Kennwort vergessen wurde oder verloren gegangen ist.
Warnung
Wenn die Richtlinieneinstellung Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können so konfiguriert wurde, dass die Wiederherstellungsinformationen in den Active Directory-Domänendiensten gesichert werden, werden diese für das Laufwerk unter dem Konto des Hostcomputers gespeichert, für das der Wiederherstellungsschlüssel übernommen wurde.
Wenn die Wiederherstellungsinformationen unter dem Konto des Windows To Go-Arbeitsbereichs gespeichert werden sollen, können Sie BitLocker mit dem BitLocker-Setup-Assistenten im Windows To Go-Arbeitsbereich aktivieren. Verwenden Sie hierzu die BitLocker-Systemsteuerungsoption (siehe To enable BitLocker after distribution (in englischer Sprache)).
Entfernen Sie das Windows To Go-Laufwerk sicher.
Die Windows To Go-Laufwerke können jetzt an Benutzer verteilt werden und sind durch BitLocker geschützt. Stellen Sie bei Verteilung der Laufwerke sicher, dass den Benutzern Folgendes bekannt ist:
Ursprüngliches BitLocker-Kennwort zum Starten der Laufwerks
Aktueller Verschlüsselungsstatus
Anweisungen zum Ändern des BitLocker-Kennworts nach dem ersten Start
Anleitung für das Abrufen des Wiederherstellungskennworts im Bedarfsfall Hierbei kann es sich um einen Help-Desk-Vorgang, eine automatisierte Kennwortabrufwebsite oder eine Kontaktperson handeln.
So aktivieren Sie BitLocker nach der Verteilung
Verbinden Sie das Windows To Go-Laufwerk mit dem (heruntergefahrenen) Hostcomputer, schalten Sie den Computer ein, und fahren Sie den Windows To Go-Arbeitsbereich hoch.
Drücken Sie Windows logo key+W, um die Sucheinstellungen zu öffnen, geben Sie „BitLocker“ ein, und wählen Sie das Element für die BitLocker-Laufwerkverschlüsselung aus.
Die Laufwerke des Arbeitsbereichs werden angezeigt. Klicken Sie für das Laufwerk „C“ auf BitLocker aktivieren. Der BitLocker-Setup-Assistent wird angezeigt.
Führen Sie die Schritte im BitLocker-Setup-Assistenten aus, und wählen Sie die Option für den Kennwortschutz aus.
Hinweis
Wenn Sie die Gruppenrichtlinieneinstellung \Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke\Zusätzliche Authentifizierung beim Start anfordern nicht konfiguriert haben, um BitLocker ohne kompatibles TPM zulassen festzulegen, können Sie BitLocker nicht im Windows To Go-Arbeitsbereich aktivieren.
Beispielskript für die erweiterte Bereitstellung
Das folgende Beispielskript unterstützt die Bereitstellung mehrerer Windows To Go-Laufwerke und die Konfiguration eines Offline-Domänenbeitritts.
Mit dem Beispielskript wird eine Datei erstellt, die den Bereitstellungsprozess optimiert, damit der Endbenutzer bei der erstmaligen Verwendung des Windows To Go-Laufwerks nicht zur Eingabe zusätzlicher Konfigurationsinformationen aufgefordert wird.
Voraussetzung für das Ausführen des Beispielskripts für die erweiterte Bereitstellung
Zum Ausführen dieses Beispielskripts müssen Sie eine Windows PowerShell-Sitzung als Administrator öffnen. Dies muss auf einem der Domäne beigetretenen Computer und über ein Konto mit der Berechtigung zum Erstellen von Domänenkonten erfolgen.
Der Offline-Domänenbeitritt ist für dieses Skript erforderlich, da dieses kein lokales Administrator-Benutzerkonto erstellt. Die Domänenmitgliedschaft platziert jedoch automatisch die „Domänen-Admins“ in die lokale Administratorgruppe. Überprüfen Sie Ihre Domänenrichtlinien. Bei Verwendung von DirectAccess müssen Sie den Befehl „djoin.exe“ ändern, damit dieser die Parameter
policynamesund ggf.certtemplateenthält.Für das Skript müssen Laufwerkbuchstaben verwendet werden. Daher können Sie nur für die Hälfte der freien Laufwerkbuchstaben Laufwerke bereitstellen.
So führen Sie das Beispielskript für die erweiterte Bereitstellung aus
Kopieren Sie das gesamte Codebeispiel „Windows To Go multiple drive provisioning sample script“ in eine PowerShell-Skriptdatei (.ps1).
Nehmen Sie die für Ihre Bereitstellung erforderlichen Änderungen vor, und speichern Sie die Datei.
Konfigurieren Sie die PowerShell-Ausführungsrichtlinie. In der Standardeinstellung ist die PowerShell-Ausführungsrichtlinie auf „Eingeschränkt“ festgelegt. Daher wird das Skript erst ausgeführt, wenn Sie ausdrücklich eine entsprechende Berechtigung erteilt haben. Geben Sie in eine PowerShell-Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl ein, um die PowerShell-Ausführungsrichtlinie so zu konfigurieren, dass das Ausführen des Skripts zulässig ist:
Set-ExecutionPolicy RemoteSignedDie Ausführungsrichtlinie RemoteSigned stellt sicher, dass auf dem Computer keine nicht signierten Skripts aus dem Internet, jedoch lokal erstellte Skripts ausgeführt werden können. Weitere Informationen zu Ausführungsrichtlinien finden Sie unter Set-ExecutionPolicy.
Tipp
Um für alle Windows PowerShell-Cmdlets unabhängig davon eine Onlinehilfe abzurufen, ob diese lokal installiert sind oder nicht, geben Sie das folgende Cmdlet ein, wobei Sie <cmdlet-name> durch den Namen des Cmdlets ersetzen, für das Sie Hilfeinformationen anzeigen möchten:
Get-Help <cmdlet-name> -OnlineMithilfe dieses Befehls öffnet Windows PowerShell die Onlineversion des Hilfethemas im Standardinternetbrowser.
Beispielskript für das Bereitstellen mehrerer Windows To Go-Laufwerke
<#
.SYNOPSIS
Windows To Go multiple drive provisioning sample script.
.DESCRIPTION
This sample script will provision one or more Windows To Go drives, configure offline domain join (using random machine names) and provides an option for BitLocker encryption. To provide a seamless first boot experience, an unattend file is created that will set the first run (OOBE) settings to defaults. To improve performance of the script, copy your install image to a local location on the computer used for provisioning the drives.
.EXAMPLE
.\WTG_MultiProvision.ps1 -InstallWIMPath c:\companyImages\amd64_enterprise.wim
provision drives connected to your machine with the provided image.
#>
param (
[parameter(Mandatory=$true)]
[string]
#Path to install wim. If you have the full path to the wim or want to use a local file.
$InstallWIMPath,
[string]
#Domain to which to join the Windows To Go workspaces.
$DomainName
)
<#
In order to set BitLocker Group Policies for our offline WTG image we need to create a Registry.pol file
in the System32\GroupPolicy folder. This file requires binary editing, which is not possible in PowerShell
directly so we have some C# code that we can use to add a type in our PowerShell instance that will write
the data for us.
#>
$Source = @"
using System;
using System.Collections.Generic;
using System.IO;
using System.Text;
namespace MS.PolicyFileEditor
{
//The PolicyEntry represents the DWORD Registry Key/Value/Data entry that will
//be written into the file.
public class PolicyEntry
{
private List<byte> byteList;
public string KeyName { get; set; }
public string ValueName { get; set; }
internal List<byte> DataBytes
{
get { return this.byteList; }
}
public PolicyEntry(
string Key,
string Value,
uint data)
{
KeyName = Key;
ValueName = Value;
this.byteList = new List<byte>();
byte[] arrBytes = BitConverter.GetBytes(data);
if (BitConverter.IsLittleEndian == false) { Array.Reverse(arrBytes); }
this.byteList.AddRange(arrBytes);
}
~PolicyEntry()
{
this.byteList = null;
}
}
public class PolicyFile
{
private Dictionary<string, PolicyEntry> entries;
public List<PolicyEntry> Entries
{
get
{
List<PolicyEntry> policyList = new List<PolicyEntry>(entries.Values);
return policyList;
}
}
public PolicyFile()
{
this.entries = new Dictionary<string, PolicyEntry>(StringComparer.OrdinalIgnoreCase);
}
public void SetDWORDValue(string key, string value, uint data)
{
PolicyEntry entry = new PolicyEntry(key, value, data);
this.entries[entry.KeyName + "\\" + entry.ValueName] = entry;
}
public void SaveFile(string file)
{
using (FileStream fs = new FileStream(file, FileMode.Create, FileAccess.Write))
{
fs.Write(new byte[] { 0x50, 0x52, 0x65, 0x67, 0x01, 0x00, 0x00, 0x00 }, 0, 8);
byte[] openBracket = UnicodeEncoding.Unicode.GetBytes("[");
byte[] closeBracket = UnicodeEncoding.Unicode.GetBytes("]");
byte[] semicolon = UnicodeEncoding.Unicode.GetBytes(";");
byte[] nullChar = new byte[] { 0, 0 };
byte[] bytes;
foreach (PolicyEntry entry in this.Entries)
{
fs.Write(openBracket, 0, 2);
bytes = UnicodeEncoding.Unicode.GetBytes(entry.KeyName);
fs.Write(bytes, 0, bytes.Length);
fs.Write(nullChar, 0, 2);
fs.Write(semicolon, 0, 2);
bytes = UnicodeEncoding.Unicode.GetBytes(entry.ValueName);
fs.Write(bytes, 0, bytes.Length);
fs.Write(nullChar, 0, 2);
fs.Write(semicolon, 0, 2);
bytes = BitConverter.GetBytes(4);
if (BitConverter.IsLittleEndian == false) { Array.Reverse(bytes); }
fs.Write(bytes, 0, 4);
fs.Write(semicolon, 0, 2);
byte[] data = entry.DataBytes.ToArray();
bytes = BitConverter.GetBytes((uint)data.Length);
if (BitConverter.IsLittleEndian == false) { Array.Reverse(bytes); }
fs.Write(bytes, 0, 4);
fs.Write(semicolon, 0, 2);
fs.Write(data, 0, data.Length);
fs.Write(closeBracket, 0, 2);
}
fs.Close();
}
}
}
}
"@
########################################################################
# Helper Functions
Function CreateUnattendFile {
param (
[parameter(Mandatory=$true)]
[string]
$Arch
)
if ( Test-Path "WtgUnattend.xml" ) {
del .\WtgUnattend.xml
}
$unattendFile = New-Item "WtgUnattend.xml" -type File
$fileContent = @"
<?xml version="1.0" encoding="utf-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="oobeSystem">
<component name="Microsoft-Windows-Shell-Setup" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" processorArchitecture="$Arch" xmlns:wcm="https://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<OOBE>
<HideEULAPage>true</HideEULAPage>
<ProtectYourPC>1</ProtectYourPC>
<NetworkLocation>Work</NetworkLocation>
</OOBE>
</component>
<component name="Microsoft-Windows-International-Core" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" processorArchitecture="$Arch">
<InputLocale>en-US</InputLocale>
<SystemLocale>en-US</SystemLocale>
<UILanguage>en-US</UILanguage>
<UserLocale>en-US</UserLocale>
</component>
<component name="Microsoft-Windows-WinRE-RecoveryAgent" processorArchitecture="$Arch" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="https://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<UninstallWindowsRE>true</UninstallWindowsRE>
</component>
</settings>
</unattend>
"@
Set-Content $unattendFile $fileContent
#return the file object
$unattendFile
}
Function CreateRegistryPolicyFile {
$saveFileLocaiton = "" + (get-location) + "\registry.pol"
$policyFile = New-Object MS.PolicyFileEditor.PolicyFile
$policyFile.SetDWORDValue("Software\Policies\Microsoft\FVE", "UseAdvancedStartup", 1)
$policyFile.SetDWORDValue("Software\Policies\Microsoft\FVE", "EnableBDEWithNoTPM", 1)
$policyFile.SetDWORDValue("Software\Policies\Microsoft\FVE", "UseTPM", 2)
$policyFile.SetDWORDValue("Software\Policies\Microsoft\FVE", "UseTPMPIN", 2)
$policyFile.SetDWORDValue("Software\Policies\Microsoft\FVE", "UseTPMKey", 2)
$policyFile.SetDWORDValue("Software\Policies\Microsoft\FVE", "UseTPMKeyPIN", 2)
$policyFile.SetDWORDValue("Software\Policies\Microsoft\FVE", "OSEnablePrebootInputProtectorsOnSlates", 1)
$policyFile.SaveFile($saveFileLocaiton)
$saveFileLocaiton
}
########################################################################
if ( Test-Path $installWIMPath ){
write-output "Image: $installWIMPath"
}
else{
write-output "Unable to find image: $installWIMPath" "Exiting the script"
exit
}
if ( (Get-WindowsImage -ImagePath $InstallWIMPath -Index 1).Architecture -eq 0 ){
$Arch = "x86"
}
else{
$Arch = "amd64"
}
$starttime = get-date
#Add type information for modifing the Registy Policy file
Add-Type -TypeDefinition $Source -Language CSharp
#Create helper files
$unattendFile = CreateUnattendFile -Arch $Arch
$registryPolFilePath = CreateRegistryPolicyFile
$Disks = Get-Disk | Where-Object {$_.Path -match "USBSTOR" -and $_.Size -gt 20Gb -and -not $_.IsBoot }
if ($Disks -eq $null)
{
Write-Output "No USB Disks found, exiting the script. Please check that you have a device connected."
exit
}
#We want to make sure that all non-boot connected USB drives are online, writeable and cleaned.
#This command will erase all data from all USB drives larger than 20Gb connected to your machine
#To automate this step you can add: -confirm:$False
Clear-Disk –InputObject $Disks -RemoveData -erroraction SilentlyContinue
# Currently the provisioning script needs drive letters (for dism and bcdboot.exe) and the script is more
# reliable when the main process determines all of the free drives and provides them to the sub-processes.
# Use a drive index starting at 1, since we need 2 free drives to proceed. (system & operating system)
$driveLetters = 68..90 | ForEach-Object { "$([char]$_):" } |
Where-Object {
(new-object System.IO.DriveInfo $_).DriveType -eq 'noRootdirectory'
}
$driveIndex = 1
foreach ($disk in $Disks)
{
if ( $driveIndex -lt $driveLetters.count )
{
Start-Job -ScriptBlock {
$installWIMPath = $args[0]
$unattendFile = $args[1]
$Disk = $args[2]
$SystemDriveLetter = $args[3]
$OSDriveLetter = $args[4]
$DomainName = $args[5]
$policyFilePath = $args[6]
#For compatibility between UEFI and legacy BIOS we use MBR for the disk.
Initialize-Disk –InputObject $Disk -PartitionStyle MBR
#A short sleep between creating a new partition and formatting helps ensure the partition
#is ready before formatting.
$SystemPartition = New-Partition –InputObject $Disk -Size (350MB) -IsActive
Sleep 1
Format-Volume -Partition $SystemPartition -FileSystem FAT32 -NewFileSystemLabel "UFD-System" -confirm:$False | Out-Null
$OSPartition = New-Partition –InputObject $Disk -UseMaximumSize
Sleep 1
Format-Volume -NewFileSystemLabel "UFD-Windows" -FileSystem NTFS -Partition $OSPartition -confirm:$False | Out-Null
#The No default drive letter prevents other computers from displaying contents of the drive when connected as a Data drive.
Set-Partition -InputObject $OSPartition -NoDefaultDriveLetter $TRUE
Set-Partition -InputObject $SystemPartition -NewDriveLetter $SystemDriveLetter
Set-Partition -InputObject $OSPartition -NewDriveLetter $OSDriveLetter
dism /apply-image /index:1 /applydir:${OSDriveLetter}:\ /imagefile:$InstallWIMPath
if (!$?){
write-output "DISM image application failed, exiting."
exit
}
copy $unattendFile ${OSDriveLetter}:\Windows\System32\sysprep\unattend.xml
#Create the directory for the Machine Registry Policy file, surpressing the output and any error
#and copy the pre-created Registry.pol file to that location.
write-output "Set BitLocker default policies for WindowsToGo"
md ${OSDriveLetter}:\windows\System32\GroupPolicy\Machine | out-null
copy $policyFilePath ${OSDriveLetter}:\windows\System32\GroupPolicy\Machine
#modify the registry of the image to set SanPolicy. This is also where you could set the default
#keyboard type for USB keyboards.
write-output "Modify SAN Policy"
reg load HKLM\PW-System ${OSDriveLetter}:\Windows\System32\config\SYSTEM > info.log
reg add HKLM\PW-System\ControlSet001\Services\Partmgr\Parameters /v SanPolicy /d 4 /t REG_DWORD /f > info.log
reg unload HKLM\PW-System > info.log
#We're running bcdboot from the newly applied image so we know that the correct boot files for the architecture and operating system are used.
#This will fail if we try to run an amd64 bcdboot.exe on x86.
cmd /c "$OSDriveLetter`:\Windows\system32\bcdboot $OSDriveLetter`:\Windows /f ALL /s $SystemDriveLetter`:"
if (!$?){
write-output "BCDBOOT.exe failed, exiting script."
exit
}
<#
If a domain name was provided to the script, we will create a random computer name
and perform an offline domain join for the device. With this command we also supress the
Add User OOBE screen.
#>
if ($DomainName)
{
#using get-random, we will create a random computer name for the drive.
$suffix = Get-Random
$computername = "wtg-" + $suffix
djoin /provision /domain $DomainName /savefile ${OSDriveLetter}:\tempBLOB.bin /reuse /machine $computername
djoin /requestodj /loadfile ${OSDriveLetter}:\tempBLOB.bin /windowspath ${OSDriveLetter}:\windows > info.log
del ${OSDriveLetter}:\tempBLOB.bin
#add offline registry key to skip user account screen
write-output "Add Offline Registry key for skipping UserAccount OOBE page."
reg load HKLM\PW-Temp${OSDriveLetter} ${OSDriveLetter}:\Windows\System32\config\SOFTWARE > info.log
reg add HKLM\PW-Temp${OSDriveLetter}\Microsoft\Windows\CurrentVersion\Setup\OOBE /v UnattendCreatedUser /d 1 /t REG_DWORD > info.log
reg unload HKLM\PW-Temp${OSDriveLetter} > info.log
}
try
{
Write-VolumeCache -DriveLetter ${OSDriveLetter}
Write-Output "Disk is now ready to be removed."
}
catch [System.Management.Automation.CommandNotFoundException]
{
write-output "Flush Cache not supported, Be sure to safely remove the WTG device."
}
} -ArgumentList @($installWIMPath, $unattendFile, $disk, $driveLetters[$driveIndex-1][0], $driveLetters[$driveIndex][0], $DomainName, $registryPolFilePath)
}
$driveIndex = $driveIndex + 2
}
#wait for all threads to finish
get-job | wait-job
#print output from all threads
get-job | receive-job
#delete the job objects
get-job | remove-job
#Cleanup helper files
del .\WtgUnattend.xml
del .\Registry.pol
$finishtime = get-date
$elapsedTime = new-timespan $starttime $finishtime
write-output "Provsioning completed in: $elapsedTime (hh:mm:ss.000)"
write-output "" "Provisioning script complete."
Aspekte zur Verwendung von unterschiedlichen USB-Tastaturlayouts mit Windows To Go
Vor der Bereitstellung des Windows To Go-Laufwerks müssen Sie berücksichtigen, ob der Arbeitsbereich auf einem Computer mit einer nicht-englischen USB-Tastatur gestartet wird. Wie im Knowledge Base-Artikel 927824 beschrieben, gibt es ein bekanntes Problem, bei dem die Plug&Play-ID dazu führt, dass die Tastatur fälschlicherweise als englische 101-Tastatur erkannt wird. Um dieses Problem zu vermeiden, können Sie das Bereitstellungsskript so bearbeiten, dass Tastaturüberschreibungsparameter festlegt werden.
Nach dem Übernehmen des Images können Sie dem PowerShell-Skript die folgenden Befehle hinzufügen, um die Tastatureinstellungen richtig festzulegen. Im folgenden Beispiel wird das Layout einer japanischen Tastatur verwendet:
reg load HKLM\WTG-Keyboard ${OSDriveLetter}:\Windows\System32\config\SYSTEM > info.log
reg add HKLM\WTG-Keyboard\ControlSet001\Services\i8042prt\Parameters /v LayerDriver /d JPN:kbd106dll /t REG_SZ /f
reg add HKLM\WTG-Keyboard\ControlSet001\Services\i8042prt\Parameters /v OverrideKeyboardIdentifier /d PCAT_106KEY /t REG_SZ /f
reg add HKLM\WTG-Keyboard\ControlSet001\Services\i8042prt\Parameters /v OverrideKeyboardSubtype /d 2 /t REG_DWORD /f
reg add HKLM\WTG-Keyboard\ControlSet001\Services\i8042prt\Parameters /v OverrideKeyboardType /d 7 /t REG_DWORD /f
reg unload HKLM\WTG-Keyboard
Verwandte Themen
Windows To Go: Übersicht über die Features
Vorbereiten Ihrer Organisation für Windows To Go
Überlegungen zur Bereitstellung für Windows To Go
Überlegungen zu Sicherheit und Datenschutz für Windows To Go