Как правильно настроить аудиты windows 7. Sysprep – штатная утилита адаптации Windows к новому железу. Что нужно настроить

Всем привет сегодня расскажу что такое утилита sysprep. Программа подготовки системы (Sysprep) подготавливает установку Windows для дублирования дисков, аудита и поставки заказчику. Дублирование, также называемое созданием образов, позволяет сохранять настроенный образ Windows, который затем можно повторно использовать в организации. Режим аудита позволяет добавлять к установке Windows дополнительные драйверы устройств и приложения. После установки дополнительных драйверов и приложений можно проверить целостность установки Windows. Программа Sysprep также позволяет подготавливать образ для поставки заказчику. Когда заказчик запускает Windows, появляется экран приветствия.

Программа Sysprep должна использоваться только для настройки новых установок Windows. Ее можно запускать столько раз, сколько потребуется для построения и настройки установки Windows. Однако сбросить активацию Windows можно не более трех раз. Нельзя использовать программу Sysprep для повторной конфигурации существующей уже развернутой установки Windows. Используйте программу Sysprep только для настройки новых установок Windows.

Преимущества программы Sysprep

• Удаление из Windows системных данных. Программа Sysprep может удалить все сведения, относящиеся к операционной системе, из установленного образа Windows, включая идентификатор безопасности компьютера (SID). Затем установку Windows можно записать в образ и установить по всей организации.
• Настройка Windows для загрузки в режиме аудита. Режим аудита позволяет устанавливать приложения сторонних лиц и драйверы устройств, а также проверять работоспособность компьютера.
• Настройка загрузки экрана приветствия Windows. Программа Sysprep настраивает установку Windows на загрузку с экраном приветствия при следующем запуске компьютера. Как правило, систему следует настраивать на загрузку с экраном приветствия перед поставкой компьютера заказчику.
• Сброс активации Windows. Программа Sysprep может сбрасывать активацию Windows до трех раз.

Режим аудита позволяет производителям оборудования, сборщикам систем и корпорациям быстро настраивать установку Windows. В режиме аудита можно устанавливать приложения, добавлять драйверы устройств, выполнять сценарии, а также проверять правильность установки Windows. В режиме аудита не требуется применять параметры программы приветствия Windows.

Обычно Windows запускает экран приветствия сразу после установки. Однако при загрузке в режиме аудита можно пропустить экран приветствия Windows и сразу загрузить рабочий стол компьютера. Это позволит начать процесс настройки как можно скорее.

Также режим аудита позволяет проверить работоспособность компьютера перед его доставкой клиенту. Можно проверить правильность первого запуска системы, а также наличие всех заданных производителем оборудования или сборщиком систем настроек и информации о поддержке.

Выполнить загрузку в режиме аудита можно несколькими способами:
При ручной установке нажмите во время работы экрана приветствия клавиши CTRL+SHIFT+F3 .

При установке в автоматическом режиме добавьте компонент Microsoft-Windows-Deployment в этап настройки oobeSystem. В параметре Reseal | Mode укажите «аудит». Когда Windows закончит установку, компьютер выполнит перезагрузку в режиме аудита. Дополнительные сведения об этом параметре см. в Справочнике по установке Windows в автоматическом режиме.

Запустите sysprep /audit в окне командной строки.

Синтаксис

sysprep.exe

Параметры

• /audit
  Запускает компьютер в режиме аудита. Режим аудита позволяет добавлять дополнительные драйверы устройств и приложения. Можно также проверить установку Windows перед доставкой ее конечному пользователю. Если была указана автоматическая установка Windows, режим аудита запускает этап настройки auditSystem и auditUser.
• /generalize
  Подготавливает установку Windows перед созданием образа. Если этот параметр указан, все уникальные системные сведения удаляются из установки Windows. Идентификатор безопасности (SID) обнуляется, точки восстановления системы сбрасываются, журналы событий удаляются. Во время следующего запуска компьютера начинает работать специализированный этап настройки. Создается новый идентификатор безопасности (SID) и сбрасываются часы активации Windows, если они еще не были сброшены трижды.
• /oobe
  Запускает компьютер в режиме экрана приветствия. Экран приветствия Windows позволяет конечным пользователям настраивать операционную систему Windows, создавать новые учетные записи, переименовывать компьютер и выполнять другие задачи. Любые задачи этапа настройки oobeSystem в файле ответов обрабатываются незамедлительно, еще до запуска экрана приветствия.
• /reboot
  Перезагружает компьютер. Используйте этот параметр для аудита компьютера и проверки работоспособности первого запуска системы
• /shutdown
  Завершает работу компьютера после завершения работы программы Sysprep
  /quiet
  Отключает отображение запросов на подтверждение во время работы программы Sysprep. Используйте этот параметр при автоматической работе Sysprep
• /quit
  Закрывает Sysprep после выполнения указанных команд
• /unattend: файл_ответов
  Применяет настройки файла ответов к Windows во время автоматической установки
  файл_ответов
  Указывает имя и путь к используемому файлу ответов

По умолчанию сразу же после установки Windows® запускается экран приветствия Windows. Но можно настроить компьютер так, чтобы он вместо этого загружался в режиме аудита.

Режим аудита позволяет настроить установку Windows без необходимости настраивать страницы пользовательского интерфейса экрана приветствия Windows. На экране приветствия Windows предлагается создать учетные записи пользователей и настроить свое расположение и часовой пояс. Загрузка в режиме аудита позволяет гарантировать, что в настраиваемом образе Windows не появится дополнительных конфигураций, которые понадобилось бы удалить. Режим аудита идеально подходит для внесения изменений в образ Windows перед поставкой компьютера клиенту или записью образа для последующего его использования в организации.

При загрузке Windows существует два возможных режима запуска компьютера.

• Экран приветствия Windows . Экран приветствия Windows, также называемый запуском при первом включении компьютера, является первым средством, с которым сталкиваются пользователи, предлагающим им настроить свою установку Windows. Пользователи создают учетные записи, читают и принимают условия лицензионного соглашения на использование программного обеспечения корпорации Майкрософт®, а также выбирают язык и часовой пояс.

  Этап настройки oobeSystem выполняется непосредственно перед загрузкой экрана приветствия Windows. Дополнительные сведения об этом этапе настройки см. в разделе Этап настройки oobeSystem .

• Режим аудита . Режим аудита используется для добавления настроек в образы Windows. В режиме аудита не требуется, чтобы применялись параметры экрана приветствия Windows. Можно сразу открыть рабочий стол, минуя экран приветствия Windows, и внести нужные изменения в параметры. В этом режиме доступна установка приложений, добавление драйверов устройств и проверка работоспособности установки. Изготовителям оборудования (OEM) и организациям следует использовать режим аудита для выполнения необходимой ручной настройки перед поставкой компьютера пользователю. В режиме аудита обрабатываются параметры автоматического файла ответов этапов настройки auditSystem и auditUser . Дополнительные сведения об этих этапах настройки см. в разделах Этап настройки auditSystem и Этап настройки auditUser .

В режиме аудита можно выполнить следующие действия.

• Обойти экран приветствия Windows. Доступ к рабочему столу можно получить максимально быстро. Необязательно настраивать параметры по умолчанию, такие как учетная запись пользователя, расположение и часовой пояс.
• Установить приложения, добавить драйверы устройств и выполнить сценарии. Можно подключиться к сети и получить доступ к дополнительным файлам и сценариям установки. Можно также установить дополнительные языковые пакеты и драйверы устройств.
• Проверить правильность установки Windows перед развертыванием компьютера для пользователя. Перед развертыванием для конечных пользователей можно проверить систему без создания учетной записи пользователя. Затем можно подготовить систему к запуску с отображением экрана приветствия Windows при следующей загрузке.
• Добавить дополнительные настройки в образ-образец. Это уменьшает количество образов, которыми нужно управлять. Например, можно создать исходный образ, содержащий базовые настройки, которые применяются ко всем образам Windows. Затем можно загрузить этот исходный образ в режиме аудита и внести дополнительные изменения в зависимости от конфигурации компьютера. Этими изменениями могут быть нужные клиенту приложения или определенные драйверы устройств.

В установках Windows по умолчанию встроенная учетная запись администратора отключена. Но при загрузке в режиме аудита встроенная запись администратора включается автоматически, позволяя войти в систему.

На этапе настройки auditSystem встроенная учетная запись администратора включена. Но после входа в систему встроенная учетная запись администратора отключается на этапе настройки auditUser . Это позволяет использовать режим аудита с правами администратора, однако в следующий раз при завершении работы компьютера встроенная запись администратора остается отключенной. Дополнительные сведения см. в разделе Включение и отключение встроенной учетной записи администратора .

На сегодняшний день Windows 7 является основной корпоративной системой, де-факто, приняв эстафету от Windows XP. Поэтому для системного администратора актуальным является вопрос ее развертывания, но так как последний официальный образ был собран довольно давно, то установленные с его помощью системы требуют получения довольно большого количества обновлений. Избежать этого можно, если собрать для себя собственный дистрибутив содержащий все текущие обновления системы. Как это сделать мы расскажем в этой статье.

Существует два способа получения актуального дистрибутива Windows 7: интеграция обновлений непосредственно в образ и использование эталонной системы для скачивания и установки обновлений.

Первый способ проще и быстрее, однако имеет серьезный недостаток - требуется скачать все необходимые обновления. А это, даже имея список, сделать довольно непросто. В тоже время в сети имеются уже скачанные наборы обновлений, но мы не рекомендуем их использовать, так как установка компонентов системы из непроверенных источников - это очень плохая идея. Как минимум вы можете получить нестабильно работающую систему из-за непротестированного или несовместимого набора обновлений, а в худшем случае запросто можно получить нежелательное или вредоносное ПО.

Использование эталонной системы позволяет получить все необходимые обновления в автоматическом режиме, установить их, проверить работу системы и только потом переходить к созданию дистрибутива. Поэтому мы будем рассматривать именно этот способ.

Создание эталонной системы

Для этих целей мы рекомендуем использовать виртуальную машину, в которой создадим гостевую систему для Windows 7 и установим ту версию ОС, для которой будем создавать дистрибутив. Если требуется создать дистрибутивы для нескольких версий или разрядностей, то потребуется также несколько эталонных систем.

По завершении установки не спешите, когда отобразится экран приветствия нажмите CTRL + SHIFT + F3

Это перезагрузит систему в режим аудита, если же вы успели создать пользователя и произвести вход, то выполните от имени Администратора команду:

C:\Windows\System32\sysprep\sysprep /audit /reboot

При загрузке в режиме аудита автоматически запускается утилита Sysprep , закрываем это окно, оно нам сейчас не требуется.

Следует помнить, что переведенная в режим аудита система продолжит загружаться в него до тех пор, пока мы снова не запустим Sysprep и не изменим режим. После загрузки открываем Центр обновления Windows и производим поиск и установку обновлений.

Важно! 17 мая 2016 года Microsoft выпустила накопительный пакет обновлений для Windows 7 SP1 KB3125574 , включающий в себя обновления с момента выпуска SP1 и до апреля 2016, в целях уменьшения объема скачиваемых обновлений рекомендуем скачать и установить данный пакет вручную. Для его установки требуется наличие обновления KB3020369 .

Перезагружаемся и снова проводим поиск и установку обновлений. Перезагружаемся и опять повторяем эту операцию до тех пор, пока система не установит все доступные обновления.

Если ваша цель состояла только в интеграции в дистрибутив всех последних обновлений, то на этом можно закончить. Однако режим аудита позволяет устанавливать и разнообразный софт, который также будет включен в дистрибутив. Этим широко пользуются OEM-производители, мы думаем, каждый сталкивался с дистрибутивами (обычно на ноутбуках) содержащими, кроме OC, разное количество софта сомнительной полезности.

Поэтому никто не мешает нам включить в свой дистрибутив нужный софт, чтобы не тратить время на его последующую установку. Мы обычно ограничиваемся "джентельменским набором": архиватор, Adobe Reader, Java, Silverlight. Вы можете включить в него весь набор необходимого софта, включая офисный пакет и иное ПО. Не стоит включать в образ программы устанавливающие собственные драйвера и собственно драйвера устройств, так как все сторонние драйвера будут удалены на стадии подготовки системы к захвату образа. Также не следует производить активацию ПО, эта информация также будет утеряна.

Закончив подготовку эталонной системы удалим все скачанные нами файлы и лишнее ПО (если есть), особое внимание следует уделить очистке системы от копий файлов обновлений, для этого воспользуйтесь инструментом Очистка диска :

Важно! После очистки обязательно перезагрузите систему для завершения работы с обновлениями, в противном случае вы рискуете получить неработающий образ.

Теперь подготовим ее к захвату образа при помощи утилиты Sysprep :

C:\Windows\system32\sysprep\sysprep /oobe /generalize /shutdown

Разберем ключи утилиты подробнее:

• oobe - запускает компьютер в режиме экрана приветствия. Экран приветствия Windows позволяет конечным пользователям настраивать операционную систему Windows, создавать новые учетные записи, переименовывать компьютер и выполнять другие задачи.
• generalize - подготавливает установку Windows перед созданием образа. Если этот параметр указан, все уникальные системные сведения удаляются из установки Windows. Идентификатор безопасности (SID) обнуляется, точки восстановления системы сбрасываются, журналы событий удаляются.
• shutdown - завершает работу компьютера после завершения работы программы Sysprep.

Выполнив необходимые действия, система завершит работу. Включать ее до того, как будет захвачен образ, нельзя. На этом работу с эталонной системой заканчиваем и переходим к созданию собственного дистрибутива на ее основе.

Создание собственного дистрибутива

Для дальнейшей работы нам понадобится рабочая станция под управлением Windows 7 с установленным пакетом автоматической установки Windows (WAIK) . Разрядность и версия системы никакой роли не играют.

Установка WAIK не должна вызвать затруднений и производится с установками по умолчанию.

Теперь подготовим образ Windows PE для захвата образа эталонной системы. Разрядность WinPE должна соответствовать разрядности эталонной системы.

Откроем Пуск - Все программы - Microsoft Windows AIK - Командная строка средств развертывания и выполним команду для 32-битных систем:

Copype.cmd x86 e:\win_pe

или для 64-битных:

Copype.cmd amd64 e:\win_pe

где e:\win_pe желаемое расположение папки с образом. Предварительно папку создавать не надо, так как в этом случае вы получите ошибку, что папка уже существует.

Теперь перейдем в папку назначения и скопируем файл winpe.wim в папку ISO\sources и переименуем его в boot.wim . Затем скопируем в папку ISO из папки C:\Program Files\Windows AIK\Tools\amd64 или C:\Program Files\Windows AIK\Tools\x86 , в зависимости от разрядности, файл imagex.exe .

Затем в Командной строке средств развертывания дадим следующую команду:

Oscdimg -n -be:\win_pe\etfsboot.com e:\win_pe\ISO e:\win_pe\winpe.iso

Результатом работы команды будет образ winpe.iso с которого следует загрузить эталонную систему.

Если вы не выполняли дополнительной разметки диска эталонной системы, то раздел для захвата будет иметь букву D: , а загрузочный диск E: , на всякий случай проверяем командой dir .

Теперь приступим к захвату образа, так как образ создается пофайлово, то его можно сохранять на тот же самый раздел. Введем следующую команду:

E:\imagex /capture d: d:\install.wim "Win7_ULT_x64" /compress maximum /boot /verify

В качестве параметров указываем захватить диск D: и сохранить его в образ D:\install.wim , в кавычках указываем собственное название образа, также ставим максимальное сжатие, возможность загрузки и проверку созданного образа. После чего можем сходить выпить кофе, данная операция занимает в среднем около получаса.

Перезагружаем эталонную систему в обычный режим и копируем созданный образ на ПК с установленным WAIK. Перейдем в e:\win_pe и очистим папку ISO, затем скопируем туда содержимое оригинального диска Windows 7, который мы использовали для установки эталонной системы.

После чего заменим файл install.wim в папке sources на захваченный нами образ. Теперь можно приступать к сборке собственного ISO-образа, для этого выполните команду:

Oscdimg -u2 -m -o -lWIN7ULTx64 -be:\win_pe\etfsboot.com e:\win_pe\iso e:\win_pe\Win7_ULT_x64.iso

разберем ключи команды подробнее:

• u2 -создает образ, который имеет только файловую систему UDF.
• m - снимает ограничения на размер образа.
• o - заменяет дублирующиеся файлы одним экземпляром, позволяет сократить размер образа.
• l - метка тома, вводится без пробелов, необязательный параметр.
• b - расположение загрузочного файла, также без пробелов.

Образ собирается довольно быстро, единственный момент - с большой долей вероятности его размер превысит 4,7 ГБ и записать его на обычную DVD болванку не удастся. В этом случае можно использовать двухслойные болванки DVD9, но они реже встречаются в продаже и могут поддерживаться не всеми моделями дисководов. В этом случае можно разбить дистрибутив на две части, каждый из которых будет помещаться на DVD-диск стандартной емкости. Также следует помнить об ограничении 32-х разрядных систем, которые не умеют работать с wim-образами размером более 4 ГБ.

Разделить образ можно следующей командой:

Imagex /split e:\win_pe\install.wim e:\win_pe\install.swm 3000

В результате будет создано два или более swm-файла максимальным размером в 3000 МБ. Затем удалим из папки ISO\sources install.wim и поместим туда install.swm, после чего соберем образ первого диска:

Oscdimg -u2 -m -lWIN7ULTx64DVD1 -be:\win_pe\etfsboot.com e:\win_pe\iso e:\win_pe\Win7_ULT_x64_DVD1.iso

После этого удалим install.swm и скопируем на его место install2.swm. Второй диск нет смысла делать загрузочным, поэтому соберем его более простой командой:

Oscdimg -u2 -m -lWIN7ULTx64DVD2 e:\win_pe\iso e:\win_pe\Win7_ULT_x64_DVD2.iso

Установка с разделенного образа производится обычным путем, начиная с первого диска, в процессе работы инсталлятор сам попросит сменить диск:

Таким образом можно не беспокоиться о размере создаваемого образа, особенно если в него, кроме обновлений, планируется включать объемное ПО, например, пакет MS Office и т.п. Также мы рекомендуем перед тем, как перейти к развертыванию рабочих станции из созданного дистрибутива, всесторонне проверить его работу на тестовой системе.

• Теги:

В программе установки Windows Vista предусмотрен режим аудита, предназначенный для установки приложений, драйверов и выполнения других задач ОЕМ-сборщиками. С помощью WSIM можно добавлять к файлу ответов синхронные команды, которые будут выполняться на разных стадиях установки операционной системы, в том числе и в режиме аудита. Эти команды могут выполнять установку приложений или запуск скриптов.

Конфигурирование установки приложений в режиме аудита является относительно сложной задачей. Намного проще устанавливать приложения сразу по окончании установки Windows Vista. Однако обойти стороной рекомендуемый Microsoft способ было бы неправильно. Далее процесс установки приложений в режиме аудита будет рассмотрен во всех подробностях.

На этой странице

Вам понадобятся

Для выполнения инструкций этой статьи вам понадобятся:

• WAIK и его компонент WSIM.
• Базовый файл ответов AutoUnattend.xml , созданный ранее.
• Установочные файлы любимых программ.
• REG-файл с твиками реестра.
• Командный файл , содержащий команды для установки приложений.

Кроме того, я предполагаю, что вы уже выполнили предварительные действия, описанные в статье Установка приложений (обзор и предварительная подготовка) .

Описание процесса установки приложений

К сожалению, рекомендуемый Microsoft процесс установки приложений относительно сложен для неподготовленного пользователя. Достаточно сказать, что понадобится сразу два файла ответов. Поэтому я постараюсь объяснить его как можно подробнее.

В файл ответов добавляются синхронные команды , сначала подготавливающие установку приложений, а затем выполняющие ее. Синхронные команды выполняются последовательно, причем следующая команда начинает выполняться только после завершения предыдущей. Команды выполняются в контексте пользователя, т. е. для их выполнения необходимо, чтобы в систему был выполнен вход.

Для установки приложений в программе установки Windows Vista предусмотрен специальный режим аудита . Он представляет собой два прохода - 5 auditSystem и 6 auditUser . На пятом проходе выполняется вход в систему с правами администратора, а установка приложений осуществляется на шестом. Во время обычной установки Windows Vista эти проходы не задействуются, но их можно инициализировать с помощью файла ответов. До выхода Windows Vista SP1 и соответствующего ей WAIK 1.1 перевод системы в режим аудита можно было задать во время прохода 4 specialize с помощью программы sysperp , после чего последовательно и полностью автоматически выполнялись проходы 5 auditSystem и 6 auditUser , в конце которого опять же с помощью sysprep выполнялся перевод в проход 7 oobeSystem . Этот способ можно использовать и с Windows Vista SP1, однако автоматической загрузки в режим аудита теперь не происходит - система просто выключается, а в режим аудита она входит только при следующем включении. Это можно считать багом, но не исключено, что у Microsoft, ориентирующейся на ОЕМ-сборщиков, для изменения поведения программы установки были свои причины.

Для полной автоматизации процесса приходится применять обходной путь с двумя файлами ответов. Первый файл ответов содержит данные для всех проходов, кроме 7 oobeSystem . Для этого прохода добавляется лишь параметр, переводящий систему в режим аудита. В конце прохода 6 auditUser с помощью программы sysprep и файла ответов, содержащего все остальные параметры для прохода 7 oobeSystem , производится перевод системы в режим oobe , т. е. выполняется пропущенный проход 7 oobeSystem . Другими словами, порядок установки по проходам получается таким: 1 - 2 - 3 (если настроен) - 4 - 7 (только перевод в 5) - 5 - 6 - 7.

У вас, наверное, возник вопрос: "Почему нельзя в одном файле ответов сразу задать все параметры для прохода 7 oobeSystem ?". К сожалению, если в этом проходе задается перевод системы в режим аудита, все остальные параметры игнорируются - они просто не срабатывают. Поэтому приходится использовать второй файл ответов.

Итак, порядок действий по пунктам таков (подразумевается, что у вас уже имеется базовый файл ответов).

1. На проходе 4 specialize выполняется синхронная команда для задания переменной, определяющей букву диска с приложениями. Система автоматически переводится к проходу 7 oobeSystem .
2. На проходе 7 oobeSystem срабатывает параметр, переводящий систему в режим аудита - к проходу 5 auditSystem (все остальные параметры прохода 7 oobeSystem должны быть внесены во второй файл ответов).
3. Для прохода 5 auditSystem настраивается автоматический вход в систему. В режиме аудита сначала выполняется проход 5 auditSystem , а сразу за ним (с правами той же учетной записи) - проход 6 auditUser . На этом проходе выполняются синхронные команды:
   • для установки приложений, импорта твиков реестра и т. п.,
   • загрузки системы в режим oobe (т. е. перехода к стадии 7 oobeSystem ) с параметрами, указанными во втором файле ответов.

Надеюсь, что вы еще не окончательно запутались и готовы к добавлению параметров в файлы ответов.

Работа с первым файлом ответов

Запустите WSIM. Откройте файл ответов AutoUnattend.xml , созданный ранее. Для этого из меню Фай л выберите пункт Открыть файл ответов , перейдите в папку, в которой вы сохранили файл и дважды щелкните его.

Параметры, необходимые для установки приложений

Во-первых, необходимо создать папку для установки приложений и подготовить создание переменной среды, соответствующей букве установочного диска. Если вы этого еще не сделали, обратитесь к статье Установка приложений (обзор и предварительная подготовка).

Затем необходимо сконфигурировать автоматический вход учетной записи Администратор в режим аудита. Добавьте компонент Windows-Shell-Setup | AutoLogon к проходу 5 auditSystem и установите необходимые параметры.

Примечание . Необходимо указать латинское имя учетной записи - Administrator .

Перевод системы в режим аудита

Для перевода системы в режим аудита добавьте к проходу 7 oobeSystem компонент Microsoft Windows Deployment | Reseal и задайте для него параметры.

• ForceShutdownNow - указывает, будет ли выключен компьютер. Поскольку выключение нам не нужно, для параметра задается значение false .
• Mode - для этого параметра задается значение Audit , т. е. перевод системы в режим аудита.

Вообще, действия, которые инициализируют эти параметры, варьируются в зависимости от прохода, для которого они задаются. Подробнее о них вы можете прочесть в справочной документации.

Параметры, отвечающие за установку приложений

Установка приложений и выполнение скриптов конфигурируется путем добавления синхронных команд к шестому проходу (6 auditUser ). В этой статье рассматривается выполнение трех команд - импорта твиков реестра, установки браузера Firefox и запуска командного файла, выполняющего любые другие задачи. Безусловно, вы можете ограничиться лишь запуском командного файла. Остальные команды задаются аналогичным образом.

Из меню Вставка выберите раздел Синхронная команда , а в нем - пункт Проход 6 auditUser .

В открывшемся окне введите команду и установите порядковый номер ее выполнения. Порядковый номер может быть от 1 до 500. Номера необязательно должны идти подряд. Зачастую удобно задавать порядковые номера через 5 или 10, чтобы потом между ними было проще вставлять другие команды, если понадобится.

cmd /c REGEDIT /S %DiskRoot%\Install\tweaks.reg

Эта команда импортирует заранее подготовленный файл tweaks.reg , содержащий твики реестра. Переменная %DVDRoot%, добавленная ранее, будет преобразована в букву диска, с которого устанавливаются приложения.

В панели свойств компонента это выглядит примерно так:

Примечание . На этом этапе применяются как системные параметры реестра (HKLM), так и пользовательские (HKCU). Однако пользовательские параметры применяются только к учетной записи, от имени которой был запущен импорт. Процессу импорта параметров реестра посвящена отдельная статья.

Затем добавьте еще одну команду и установите порядковый номер ее выполнения.

cmd /c %DiskRoot%\Install\firefox_setup.exe -ms

Эта команда осуществляет автоматическую установку браузера Firefox.

Наконец, добавьте еще одну команду и установите порядковый номер ее выполнения.

cmd /c %DiskRoot%\Install\install.cmd

Эта команда осуществляет запуск файла install.cmd , содержащего любые необходимые вам команды. Другими словами, можно ограничиться запуском CMD-файла, в который внесены команды для установки приложений (если, конечно, для их установки не требуется перезагрузка).

Примечание . Если между установкой двух приложений требуется перезагрузка компьютера, у первого приложения для параметра WillReboot следует установить значение Always .

В режиме аудита установка приложений будет выглядеть примерно так:

Зеленый флажок означает успешное выполнение команды.

Перевод системы в режим oobe

После того, как все команды для установки приложений заданы, в 6 auditUser небходимо добавить команду, выполняющую перевод системы в режим oobe (т. е. перехода к стадии 7 oobeSystem ).

%SystemRoot%\system32\sysprep\sysprep.exe /quiet /oobe /reboot /unattend:%DiskRoot%\Install\oobe.xml

Эта команда запускает программу sysprep , переводящую систему в режим oobe с параметрами, указанными во втором файле ответов - oobe.xml . Поскольку эта команда должна выполняться самой последней, ей устанавливается наибольший порядковый номер. Как минимум он должен быть больше, чем порядковый номер команд для установки приложений. Максимальное значение - 500.

Сохраните файл ответов. Он должен иметь прежнее имя AutoUnattend.xml .

Работа со вторым файлом ответов

Со вторым файлом ответов все намного проще. Он должен размещаться в папке Install , и в него должны входить только параметры для прохода 7 oobeSystem (параметр Reseal в него включать не нужно!). Если эти параметры уже имеются у вас в первом файле ответов, сохраните его с другим именем - oobe.xml в папке Install . Затем удалите все параметры для проходов с первого по шестой и снова сохраните файл.

В конце прохода 6 auditUser будет запущена программа sysprep , которая переведет систему в режим oobe с параметрами, указанными в oobe.xml .

Заключение

Подготовку файлов ответов для установки приложений в режиме аудита нельзя назвать простым делом. Однако если вы разберетесь в тонкостях взаимодействия проходов программы установки Windows Vista и успешно настроите установку приложений один раз, в дальнейшем этот процесс не будет вызывать у вас затруднений.

Иногда случаются события, которые требуют от нас ответить на вопрос «кто это сделал?» Такое может происходить «редко, но метко», поэтому к ответу на вопрос следует готовиться заранее.

Практически повсеместно существуют проектные отделы, бухгалтерия, разработчики и другие категории сотрудников, совместно работающие над группами документов, хранящихся в общедоступной (Shared) папке на файловом сервере или на одной из рабочих станций. Может случиться так, что кто-то удалит важный документ или директорию из этой папки, в результате чего труд целого коллектива может быть потерян. В таком случае, перед системным администратором возникает несколько вопросов:

Когда и во сколько произошла проблема?

Из какой наиболее близкой к этому времени резервной копии следует восстановить данные?

Может, имел место системный сбой, который может повториться ещё раз?

В Windows имеется система Аудита, позволяющая отслеживать и журналировать информацию о том, когда, кем и с помощью какой программы были удалены документы. По умолчанию, Аудит не задействован - слежение само по себе требует определённый процент мощности системы, а если записывать всё подряд, то нагрузка станет слишком большой. Тем более, далеко не все действия пользователей могут нас интересовать, поэтому политики Аудита позволяют включить отслеживание только тех событий, что для нас действительно важны.

Система Аудита встроена во все операционные системы Microsoft Windows NT : Windows XP/Vista/7, Windows Server 2000/2003/2008. К сожалению, в системах серии Windows Home аудит спрятан глубоко, и его настраивать слишком сложно.

Что нужно настроить?

Для включения аудита зайдите с правами администратора в компьютер, предоставляющий доступ к общим документам, и выполните команду Start → Run → gpedit.msc . В разделе Computer Configuration раскройте папку Windows Settings → Security Settings → Local Policies → Audit Policies:

Дважды щёлкните по политике Audit object access (Аудит доступа к объектам) и выберите галочку Success . Этот параметр включает механизм слежения за успешным доступом к файлам и реестру. Действительно, ведь нас интересуют только удавшиеся попытки удаления файлов или папок. Включите Аудит только на компьютерах, непосредственно на которых хранятся отслеживаемые объекты.

Простого включения политики Аудита недостаточно, мы также должны указать, доступ к каким именно папкам требуется отслеживать. Обычно такими объектами являются папки общих (разделяемых) документов и папки с производственными программами или базами данных (бухгалтерия, склад и т.п.) - то есть, ресурсы, с которыми работают несколько человек.

Заранее угадать, кто именно удалит файл, невозможно, поэтому слежение и указывается за Всеми (Everyone). Удавшиеся попытки удаления отслеживаемых объектов любым пользователем будут заноситься в журнал. Вызовите свойства требуемой папки (если таких папок несколько, то всех их по очереди) и на закладке Security (Безопасность) → Advanced (Дополнительно) → Auditing (Аудит) добавьте слежение за субъектом Everyone (Все), его успешными попытками доступа Delete (Удаление) и Delete Subfolders and Files (Удаление подкаталогов и файлов):

Событий может журналироваться довольно много, поэтому также следует отрегулировать размер журнала Security (Безопасность) , в который они будут записываться. Для
этого выполните команду Start → Run → eventvwr . msc . В появившемся окне вызовите свойства журнала Security и укажите следующие параметры:

Maximum Log Size = 65536 KB (для рабочих станций) или 262144 KB (для серверов)

Overwrite events as needed.

На самом деле, указанные цифры не являются гарантированно точными, а подбираются опытным путём для каждого конкретного случая.

Windows 2003/ XP )?

Нажмите Start → Run → eventvwr.msc Security (Безопасность). View → Filter

• Event Source:Security;
• Category: Object Access;
• Event Types: Success Audit;
• Event ID: 560;

Просмотрите список отфильтрованных событий, обращая внимание на следующие поля внутри каждой записи:

• Object Name . Название искомой папки или файла;
• Image File Name . Имя программы, с помощью которой удалили файл;
• Accesses . Набор запрашиваемых прав.

Программа может запрашивать у системы сразу несколько типов доступа - например, Delete + Synchronize или Delete + Read _ Control . Значимым для нас правом является Delete .

Итак, кто же удалил документы (Windows 2008/ Vista )?

Нажмите Start → Run → eventvwr.msc и откройте для просмотра журнал Security (Безопасность). Журнал может быть заполнен событиями, прямого отношения к проблеме не имеющими. Щёлкнув правой кнопкой по журналу Security, выберите команду View → Filter и отфильтруйте просмотр по следующим критериям:

• Event Source: Security;
• Category: Object Access;
• Event Types: Success Audit;
• Event ID: 4663;

Не спешите интерпретировать все удаления как злонамеренные. Эта функция зачастую используется при обычной работе программ - например, исполненяя команду Save (Сохранить), программы пакета Microsoft Office сначала создают новый временный файл, сохраняют в него документ, после чего удаляют предыдущую версию файла. Аналогично, многие приложения баз данных при запуске сначала создают временный файл блокировок (. lck ), затем удаляют его при выходе из программы.

Мне приходилось на практике сталкиваться и со злонамеренными действиями пользователей. Например, конфликтный сотрудник некоей компании при увольнении с места работы решил уничтожить все результаты своего труда, удалив файлы и папки, к которым он имел отношение. События такого рода хорошо заметны - они генерируют десятки, сотни записей в секунду в журнале безопасности. Конечно, восстановление документов из Shadow Copies (Теневых Копий) или ежесуточно автоматически создаваемого архива не составляет особого труда, но при этом я мог ответить на вопросы «Кто это сделал?» и «Когда это произошло?».