Windows 10 käyttöjärjestelmässä (mikä tahansa versio mukaan lukien mobiili) voidaan työaseman määrityksiä, kokoonpanoa ja asetuksia muuttaa Windows Configuration Designer ohjelmistolla tehtyjen .ppkg (WIM container) valmistelupakettien avulla. Tätä kutsutaan provisionniksi/varustamiseksi (provisioning) valmistelupaketit mahdollistavat Windows 10 käyttöjärjestelmän mukauttamisen “lennossa” ilman että käyttöjärjestelmää tarvitsee asentaa uudelleen levykuvasta/imagesta. Valmistelupaketissa olevien asetusten lukemisesta ja voimaan asettamisesta vastaa Windows 10 käyttöjärjestelmässä oleva provisiointimoottori (Provision Engine). valmistelupakettija voi siis käyttää ainoastaan Windows 10 käyttöjärjestelmän asetusten määrittämiseen.
Valmistelupaketti luodaan Windows Configuration Designer ohjelmalla ja jaellaan työasemaan usb-laitteen tai muistikortin yms. avulla. Tiedosto voidaan ladataan työasemaan myös verkkosijainnista tai vaikkapa sähköpostin liitetiedostona.
Windows Configuration Designer ver. 1703 saa asennettua joko Assasment and Deployment Toolkit paketista tai Windows Kaupasta.
Huom: aiemmin ohjelmaa kutsuttiin Windows Imaging and Configuration Designer. Windows versiosta 1703 alkaen ohjelmasta poistettiin kaikki levykuvien luomiseen liittyvät toiminnot ja ohjelman nimi muuttui Windows Configuration Designeriksi. Samalla ohjelmasta poistettiin ns. koulukoneiden määrittäminen ja ko. toiminto siirrettiin omaan Setup School PC ohjelmaan.
Valmistelupakettit mahdollistavat mm. seuraavien asetusten muuttamisen:
- netbios nimen asettaminen
- WLAN verkon määrittäminen
- AD toimialueelle liittäminen
- azure AD:n ja Intune hallinnan piiriin liittäminen
- varmenteiden asentaminen
- sovellusohjelmien asentaminen ja poistaminen
- Win32 skriptien ja PowerShell skriptien suorittaminen
- Käynnistä-valikon ulkoasun määrittäminen
Valmistelupaketteja voidaan ottaa käyttöön työasemissa seuraavasti
- SD-kortilta tai USB-laitteelta
- sähköpostin liitteenä
- jaetusta kansiosta
- NFC tagillä tai viivakoodin avulla
Jo asennetusta Windowsista käsin:
- Windowsin asetuksista käsin (Toimintokeskus - Tilit - Käytä työpaikan tai koulun resursseja - Lisää tai poista valmistelupaketti)
- Valmistelupakettia tuplanapsauttamalla
Kesken asennusta DVD, CD-levyltä SD-kortilta tai USB-laitteelta (mobiililaitteissa NFC)
- Asennuksen OOBE/First Run Wizard vaiheessa 5 kertaa Windows nappia painamalla
Offline levykuvaan (image)
- Komennolla Dism /image C:\ /Add-ProvisioningPackage /PackagePath:paketti.ppkg
Huom: ennen em. komentoa levykuva on liitettävä levyjärjestelmän kansioon komennolla Dism /Mount-Wim /WimFile:C:\levykuva.wim /MountDir: C:\Mount index:1
Huom: Valmistelupakettien avulla työasemaa ei voida liittää System Center Manager järjestelmän hallintaan
Valmistelupaketti (.ppkg) sisältää käyttöjärjestelmän asetusten muuntamiseen tarvittavat tiedot, valmistelupaketi metadatan sekä tarvittavat .xml kuvaukset. Metadata pitää sisällään myös valmistelupaketin arvojärjerjestyksen liittyvän tiedon. Koska samaan laitteeseen voidaan kohdistaa toimenpiteitä useammasta valmistelupaketista siten että niissä on päällekkäisiä ja ristiriitaisia asetuksia, täytyy valmistelupaketit arvottaa jollakin tavalla. Valmistelupaketissa käytetään ns. omistaja tietoa (owner type) sekä ns. arvotietoa (rank) näiden ongelmatilanteiden ratkaisussa. Valmistelupakettien omistajat vähiten tärkeimmästä tärkeimpään ovat:
- Microsoft
- Silicon Vender
- OEM
- System Integrator
- Mobile Operator
- IT Admin
Kussakin paketissa olevat arvot voivat lisäksi saada tärkeysarvon välillä 0 - 99. Tilanteessa jossa sama asetus on määritetty eri tavalla kahdessa eri valmistelupaketissa, jää voimaan sen valmistelupaketin arvo jonka omistajatieto on suurempi. Jos pakettien omistajatieto on sama, jää voimaan arvo jonka tärkeysarvo on asetettu suuremmaksi.
Valmistelupaketteja voi olla useita niin että kuhunkin tarkoitukseen (esim. päätelaitteen tyyppi tai maa jossa laite sijaitsee) on oma valmistelupakettinsa. On myös mahdollista luoda ns. Multivariant tyyppinen valmistelupaketti johon on tallennettu kaikissa päätelaitetyypeissä tarvittavat asetukset. Eri asetukset otetaan käyttöön tarpeen mukaan riippuen siitä minkä tyyppisessä päätelaitteessa valmistelupaketti suoritetaan. Multivariaant tyyppiset valmistelupakettit luodaan Windows Configuraton Designerin komentokehotteen avulla.
Valmistelupakettien ja sen kautta tehtäviin asetuksiin (sekä Mobile Device Management ominaisuuteen yleensä) liittyvät olennaisesti myös Configuration Service Providerit (CSP) CSP on rajapinta joka mahdollistaa asetuksen lukemisen, muuttamisen ja mahdollisesti myös sen poistamisen. CSP:ä käytetään hyväksi myös mm. Microsoft Intunen sekä System Center Configuration Manager ohjelmistojen hallintaominaisuuksissa. Työsemissa olevat asetukset luetaan WMI:n avulla ja ns. WMI-to-CSP silta välittää WMI rajapinnan avulla luetut asetukset CSP:e ja sitä kautta esim. Intunen tai SCCM:n kaltaisille hallintajärjestelmille. Microsoft on siirtymässä päätelaitteiden hallinnassa ryhmäkäytännöistä (group policy object) vähitellen MDM säännöstöihin (Compliance Policy) jotka käyttävät CSP:ä edellä kuvatulla tavalla asetusten voimaaan saattamiseen.
Valmistelupaketti etsitään automaattisesti tietyissä määritysteidostojen laukaisutilanteissa (triggers). Näitä tilanteista ovat esim. järjestelmän käynnistys, asennuksen OOBE vaihe, käyttäjän lisääminen, järjestelmänvalvojan lisääminen, käyttäjän kirjautuminen tai järjestelmän päivittäminen. valmistelupakettissa olevia asetuksia suoritetaan eri laukaisutilanteissa, riippuen muutettavista asetuksista. Esimerkiksi OOBE vaiheessa käsitellään suojaukseen, sovellusohjemien asentamiseen, verkkoasetuksiin, MDM liittymiseen ja toimialue määrityksiin liittyviä asetuksia. Ennen asetusten määrittämistä valmistelupaketti kopioidaan %ProgramData%\Microsoft\Provisioning kansioon.
Valmistelupaketti voidaan suorittaa myös käsin. Valmistelupakettin suorittaminen manuaalisesti vaatii järjestelmänvalvojan oikeudet. Lisäksi valmistelupaketti voidaan salakirjoittaa ja varustaa varmenteella. Tällöin valmistelupaketti on myös salasanalla varmistettu.
Valmistelupaketteja voidaan lisäksi poistaa ja ottaa käyttöön Toimintokeskus - Tilit - Käytä työpaikan tai koulun resursseja - Lisää tai poista valmistelupaketti
Windows Configuration Designer ohjelma
Windows Configuration Designer ohjelma jolla valmistelupaketti tuotetaan voidaan asentaa joko Windows kaupasta (Windows Store) tai Assasment and Deployment Toolkit (ADK) ohjelmistopaketin yhtenä osana. Kaupasta hankittava ohjelmisto on saatavissa ainoastaan englanninkielisenä.
Huom: Jos Windows Configuration Designer ohjelmaa on tarkoitus suorittaa Windows Server käyttöjärjestelmässä tulee Internet Explorer selaimen asetuksia muuttaa seuraavasti: Settings > Internet Options > Security -> Custom level > Allow websites to prompt for information using scripted windows, - Enable.
Valmistelupaketin luominen Windows Configuration Designer ohjelman avulla
Valmistelupaketin luodaan Windows Configuration Designer ohjelman avulla.
Huom: Jos ohjelma on asennettu ADK paketista, on pikakuvake edelleen virheellisesti nimetty Windows Imaging and Configuration Designer nimiseksi.
Valmistelupaketin luominen käynnistetään valitsemalla ohjelman pääikkunasta haluttu valmistelupaketin tyyppi. Valmistelupaketteja voidaan luoda eri tyyppisiin tilanteisiin (työasemat, kioskityöasemat, mobiililaitteet, Surface Hub laitteet, Edistynyt/Mukautettu valmistelupaketti)
Tässä esimerkissä luodaan valmistelupaketin perinteisen työaseman mukauttamiseen jolloin valitaan vaihtoehto Provision desktop devices.
Valinta käynnistää uuden projektin joka nimetään, kuvataan ja tallennetaan haluttuun sijaintiin.
Määritetään työaseman nimi, mahdollisesti aktivointiin käytettävä tuoteavain, työaseman jaetun käytön päälle/pois asettaminen, jo asennettujen ohjelmistojen poistaminen.
Huom: Työaseman nimessä on nyt mahdollista käyttää satunnaisia merkkejä tai yhdistää nimeen työaseman sarjanumero. Jaettu käyttö on Windows 1607 version mukana tullut ominaisuus joka mahdollistaa kirjautumisen päätelaitteeseen ilman olemassa olevaa käyttäjätunnusta (guest access). Lisäksi työasemaan kirjautuneiden toimialue käyttäjätunnusten käyttäjäprofiilikansiot poistetaan päätelaitteesta heti uloskirjautumisen jälkeen (tai asetuksissa asetetun määräajan puitteissa).
Huom: Asetus Remove pre-installed software aiheuttaa käytännössä työaseman Reset toiminnon.
Määritetään langattoman verkon asetukset tai kytketään langattoman verkon asetukset pois käytöstä. Jos asetus kytketään pois päältä oletetaan että langallinen verkko on käytettävissä.
Määritetään paikallisen Active Directory toimialueen tai Azure Active Directory toimialueen nimi ja toimialueelle lisäämiseksi vaadittava käyttäjätunnus.
Huom: Edellisessä esimerkissä on käytetty toimialueelle liittämiseen Administrator tunnusta, mutta tuotantoympäristössä tulee käyttää jotain muuta kuin ylläpitäjän tunnusta. Hyvä vaihtoehto on luoda toimialueelle liittämistä varten aivan oma käyttäjätunnuksensa.
Lisätään ja määritetään mahdolliset valmistelupakettiin mukana tulevat sovellusohjelmat. Sovellus voi olla joko perinteinen työpöytäsovellus (desktop app) tai Universal Windows Platform (UWP) sovellus.
Tässä esimerkissä valmistelupakettiin lisätään 7-zip sovellus . Sovelluksen asennus paketti on Microsoft Installer tyyppinen (.msi) jolloin sovelluksen automaattiseksi asentamiseksi tarvittavat parametrit määritetään automaattisesti.
Lisätään (Add an Application) valmistelupaketti Mozilla Firefox. Jos ohjelman asennuspaketti on .exe päätteinen, täytyy ohjelman automaattisen asentamisen parametrit selvittää erikseen ja lisätä ne sovellusohjelman asennuksen suorittavaan komentoon. Firefox asennetaan automaattisesti valitsimella /s tai -ms .
Tässä esimerkissä lisätään (Add an Application) viimeiseksi Universal Windows Platform (UWP) tyyppinen demosovellus Family Notes
.
Sovellukseen toimintaan mahdollisesti liittyvät liitännäistiedostot on niin ikään esiteltävä Required appx depencies valinnan avulla. UWP sovelluksen vaatima varmenne lisätään seuraavassa vaiheessa.
Huom: Sovellus on ainoastaan demo UWP tyyppisestä sovelluksesta. Muita UWP tyyppisiä sovelluksia on ladattavissa tältä sivustolta. Sovellukset on käännettävä Visual Studion (ilmainen kokeiluversio tai ilmainen Community versio) avulla suoritettavaan muotoon.
Huom: Sovellusten asennuksen järjestystä voi muuttaa yksinkertaisesti muuttamalla hiirellä sovellusten järjestystä ICD ikkunassa.
UWP sovelluksen asentaminen vaatii vielä ns. Sideloading ominaisuuden päälle asettamista ja sovellukseen liittyvän varmenteen asentamista. Nämä asetukset voidaan tehdä ns. Advanced editor tilassa. Tällöin esille avautuvat kaikki määritettävissä olevat asetukset
Huom: Advanced Editor tilaan siirtymisen jälkeen pakettia ei enää voi avata Simple Editor tilassa.
Sideloading joka käytännössä tarkoittaa UWP sovellusten asentamista muulla tavoin kuin Windows Kaupasta on asetettu jo valmiiksi päälle. Asetus on kohdassa Common IT Pro settings - Policies - Application Management – AllowTrustedApps
Kohdassa Common IT Pro settings - Certificates - RootCertificates, lisätään ensin varmenteen nimi ja lisätään se Add painikkella. Tämän jälkeen kohdassa Common IT Pro settings - Certificates - RootCertificates - CertificateName:FamilyNotes - Certificate path lisätätään polku UWP sovelluksen edellyttämään varmenteeseen. (.cer). Selataan Browse painikkeella sovelluksen varmenteeseen ja liitetään se Open painikkeen avulla.
Lopuksi valmistelupaketti tallennetaan Export - Provisioning package toiminnon avulla. Valmistelupaketti on mahdollista suojata salasanalla ja varmenteella. valmistelupakettille on tässä vaiheessa mahdollista asettaa Owner määritys sekä Rank arvo. Asetusten avulla valmistelupaketin ensisijaisuutta suhteessa toisiin valmistelupakettiihin voidaan mukauttaa. Alla olevassa kuvassa määritetty IT Admin ohittaa kaikki muut pakettien omistajatyppit (Microsoft, Silicon vendor yms.) mikäli paketeissa on samoja asetuksia.
Valmistelupaketti on nyt valmis käytettäväksi.
Valmistelupaketin jakelu työasemaan
Edellä luotu valmistelupaketti on nyt käyttöönotettavissa Windows 10 työasemassa. Valmistelupaketti voidaan ottaa käyttöön joko käyttöjärjestelmän asennuksen OOBE vaiheessa tai asennuksen jo valmistuttua.
Jos käyttöjärjestelmä on jo asennettu, voidaan valmistelupaketti ottaa käyttöön Toimintokeskus - kaikki asetukset - Tilit - Käytä työpaikan tai koulun resursseja - Lisää tai poista valmistelupaketti
Huom: Toimintokeskuksen kautta valmistelupaketti luetaan ainoastaan USB-laitteesta.
Vaihtoehtoisesti valmistelupaketti voidaan ottaa käyttöön yksinkertaisesti tuplanapsauttamalla ko. tiedostoa
Jos valmistelupaketti on suojattu salasanalla, sitä kysytään tässä vaiheessa.
Valmistelupaketin käyttöönottaminen pitää vielä erikseen hyväksyä
Jotkin valmistelupaketin toiminnot (kuten olemassa olevien sovellusohjelmien poistaminen) edellyttävät työasema käynnistämistä tai Reset toimintoa.
Työaseman asennusvaiheessa voidaan valmistelupaketti ottaa käyttöön ns. Out Of Box Experience (OOBE) vaiheessa painamalla 5 kertaa peräkkäin Windows painiketta
Jos samalla versionumerolla varustettua valmistelupakettia yritetään ajaa työasemassa jossa se jo kerran on ajettu tulee esille alla näkyvä virheilmoitus. Jos pakettiin tehdään muutoksia ja se halutaan ajaa samassa työasemassa uudestaan, on paketin versionumeroa muutettava pakettia tallennettaessa/exportoitaessa.
