微软的Windows部署服务    Windows Deployment Services

如果有AD环境的话可以安装Srv2008版本,如果要独立安装就得用2012或者更高的版本,对比2012与2016最终我选择了2016 server来使用

1、DHCP环境要求

我用的是华为S5720核心交换机上做的全局dhcp服务,IP地址池里添加以下3条规则

 next-server 192.168.50.5

 option 66 ip-address 192.168.50.5

 option 67 ascii boot\x86\wdsnbp.com

特别提示:如果交换机开启了 dhcp snooping enable 功能,请一定要把wds服务器连接的端口加上

dhcp snooping trusted

2、WDS服务配置

Server2016安装windows 部署服务,我这里是独立安装(没有AD环境),默认配置下pxe client也是可以启动的。

启动环境推荐选择Server2016的boot.wim,不过如果要部署32位的安装镜像那么就得用32位的boot.wim,boot.wim的网卡驱动和usb3.0驱动集成很easy,在wds管理工具里面可以图形化添加。附上USB3的驱动

Win7-USB3.0-Creator-V3-Win7Admin

AHCI驱动:Intel® Matrix Storage Manager

XP系统镜像的捕获网上有很多教程,推荐使用XP版本

zh-hans_windows_xp_professional_with_service_pack_3_x86_cd_vl_x14-74070.iso

提醒一下,适当优化下再捕获,比如添加个ahci驱动、更新全部的补丁,关下睡眠功能、安装必要的软件和驱动等等,因为实际测试中XP系统不能配合应答文件使用。

所有的安装镜像推荐选择带vl的大客户批量授权版本,配合dns可指向内网kms server自动激活。

3、添加syslinux可引导其他系统。

详细操作过程参考:https://www.syslinux.org/wiki/index.php?title=WDSLINUX

下载地址:https://mirrors.edge.kernel.org/pub/linux/utils/boot/syslinux/

直接附上我的配置文档和效果图:syslinux

把这个压缩包解压到RemoteInstall\Boot\x64和x86文件夹内,使用这个命令可以建立目录链接,这样就不用每次修改两个文件夹了(建议只修改x64,我们的安装镜像和启动镜像全都用X64位的)。

mklink /j Boot\x86\pxelinux.cfg Boot\x64\pxelinux.cfg

 

再附个中文菜单生成工具:中文菜单

4、应答文件,供参考

auto-Untitled.xml应答文件

这个应答文件主要包括以下功能:

1、包含了32位与64位的应答二合一

2、pe阶段跳过手动登录验证(自己改下服务器登录地址<Credentials>)

3、自动搜索并安装共享文件夹内的驱动(改成自己的驱动共享目录,最好用wds服务器的共享<DriverPaths>)

4、关闭uac控制<EnableLUA>

5、增加oem信息(修改成自己的<OEMInformation>)

6、oobe阶段只保留新建用户和密码的操作

7、IE关闭首次向导并设置IE主页(自己修改<Home_Page>)

8、关闭防火墙<DomainProfile_EnableFirewall>

摘自:https://technet.microsoft.com/zh-cn/library/cc732880.aspx

文件权限和文件夹权限

应用到: Windows 7, Windows Server 2008 R2

下表列出了每组特殊 NTFS 权限的访问限制。

 

特殊权限 完全控制 修改 读取及执行 列出文件夹内容(仅文件夹) 读取 写入

遍历文件夹/执行文件

x

x

x

x

列出文件夹/读取数据

x

x

x

x

x

读取属性

x

x

x

x

x

读取扩展属性

x

x

x

x

x

创建文件/写入数据

x

x

x

创建文件夹/附加数据

x

x

x

写入属性

x

x

x

写入扩展属性

x

x

x

删除子文件夹及文件

x

删除

x

x

读取权限

x

x

x

x

x

x

更改权限

x

取得所有权

x

同步

x

x

x

x

x

x

Important重要
无论使用什么权限保护文件,被授予对文件夹的“完全控制”权限的组或用户都可删除该文件夹中的任何文件。

其他注意事项

  • 尽管“列出文件夹内容”和“读取及执行”看起来有相同的特殊权限,但是这些权限在继承时却有所不同。“列出文件夹内容”可以被文件夹继承而不能被文件继承,并且它只在查看文件夹权限时才会显示。“读取及执行”可以被文件和文件夹继承,并且在查看文件和文件夹权限时始终会出现。
  • 在此版本的 Windows 中,默认情况下,Everyone 组不包括 Anonymous Logon 组,因此应用于 Everyone 组的权限不影响 Anonymous Logon 组。

设置D:\scan共享并对everyone有读写权限

net share scan=d:\scan /grant:everyone,change

设置D:\users目录everyone完全控制权限

cacls d:\users /grant everyone:f /t
icacls d:\users /grant everyone:f /t

重新分配文件所有权为管理员所有

takeown /f d:\users /a /r /d y