Sysprep - základní stavební kámen tvorby instalačního image Windows 7

Ondřej Výšek
10 minuty, 22 sekundy
1

Pokud se chystáte připravovat nebo již připravujete nebo jste někdy připravovali instalační obrazy Windows, je nutné zajistit, aby jednotlivé image Windows operačních systémů měly unikátní SID. V předchozích letech bylo možné používat například nástroj NewSID s dílny Marka Rusinoviche - tento nástroj již není možné použít při práci s Windows 7. Jedinou možnou, podporovanou a také správnou cestou je nástroj sysprep, který zařídí kromě vynulování SID počítače také spoustu dalších akcí:

  • Odstraní unikátní název počítače. V případě, že stejné SID nejsou v některých prostředích problémem, pak název počítače nesmí být shodný.

    • Odebere počítač z domény. Tato akce je velice důležitá, při následné instalaci počítače je počítač přidávaný do domény již pod novým názvem.
    • Odinstaluje P’n’P (Plug and Play) ovladače, což snižuje riziko nekompatibility. Potřebné ovladače budou nainstalovány v průběhu spuštění následné instalace.
    • Může odstranit event logy (parametr reseal), což je užitečné v případě řešení problémů s nově instalovaným systémem, ale také v případě, kdy se připravený systém ocitne mimo organizaci u koncových uživatelů.
    • Odstraní jednotlivé body obnovy (Restore Point). Pokud byste použili body obnovy ze vzorového počítače, mohly by nastat problémy s provedenou obnovou na jiném počítači.
    • Odstraňuje účet místního administrátora, zakazuje jej a odstraňuje jeho profil. Tím je zajištěno větší zabezpečení, kdy účet administrator nezůstane povolený a nemůže být zneužitý.
    • Zajišťuje, že počítač bude restartován do tzv. “Audit módu”, kde je možné instalovat ovladače a aplikace třetích stran.
    • Zajišťuje, že po prvním startu počítače bude spuštěn “mini setup”, kde je provedeno specifické nastavení počítače, vygenerován nový SID, nastavení jméno počítače atd.
    • Umožňuje vynulovat tzv. “grace period” - časový interval, po který může být počítač použitý bez nutnosti aktivace. Také nazývané jako rearm.


    Toto je výčet pravděpodobně těch nejdůležitějších akcí, které sysprep provádí. Obecně se dá říci, že sysprep připravuje počítač pro imaging, respektive je možné uložit instalaci do image - wim souboru, případně auditing, kde je možné instalovat další aplikace a ovladače. Při přípravě instalace, tedy spouštění nástroje sysprep je nutné mít na paměti, že tento nástroj můžete spouštět kolikrát chcete, ale rearm - tedy vynulování aktivace může být spuštěno pouze třikrát. Pokud připravujete počítač pro imaging, můžete v labu použít SkipRearm v odpovědním XML souboru, který použijete společně s nástrojem sysprep. Pokud výsledný image má být rozbalen - instalován na jiném počítači, je nutné sysprep spustit s prametrem /generalize a to i v případě, kdy počítače mají identickou konfiguraci hardware. Parametr generalize odstraňuje specifické informace z počítače, jako SID, název počítače atd. Pokud bude výsledná instalace prováděna na identickém hardware, je možné použít v odpovědním souboru volbu PersistAllDeviceInstalls, kde při dalším spuštění instalace bude přeskočena detekce hw zařízení a budou použity ovladače ze stávající master instalace. Pomocí této volby lze ušetřit několik minut při instalaci.

    Omezení použití nástroje sysprep

  • Je možné použít verzi sysprep, která je dodána přímo s operačním systémem v adresáři %WINDIR%system32sysprep. Každá instalace Windows 7 obsahuje nainstalovaný nástroj sysprep.

    • Sysprep nemůže být použitý na instalace typu upgrade. Může se použít pouze u čistých instalací.
    • Pokud počítáte s tím, že budete image aplikovat na počítače pomocí imagex /apply (neplatí pro setup, MDT, SCCM apod.), rozložení diskových oddílů musí být na master (zdrojovém) počítači shodné s cílovým počítačem. Pokud je tedy systém Windows 7 nainstalovaný do diskového oddílu (partition) D: pak na cílovém počítači musí být také rozbalený na disk D:. Omezení pro použití s imagexx jsou následující:

      • typ diskového oddílu (partition) musí být identický, tedy na zdrojovém a cílovém počítači musí souhlasit typ - primary, extended, logical
      • pokud je partition na referenčním počítači nastavena jako aktivní, pak na cílovém počítači musí být partition také aktivní
    • Ne všechny serverové role podporují práci se sysprep. Pokud serverová role nepodporuje sysprep, pak nesmí být součástí instalačního image a musí být instalována po rozbalení wim souboru - po instalaci počítače. Pokud jsou role, které nepodporují sysprep, nainstalovány na referenčním počítači, pak tyto role nemusí pracovat správně po instalaci počítače.
    **Server role** **Sysprep support in Windows Server 2008** **Sysprep support in Windows Server 2008 R2**
    Active Directory Certificate Services (AD CS) Ne Ne
    Active Directory Domain Services (AD DS) Ne Ne
    Active Directory Federation Services (AD FS) Ne Ne
    Active Directory Lightweight Directory Services (AD LDS) Ne Ne
    Active Directory Rights Management Server (AD RMS) Ne Ne
    Application Server Ano Ano
    DHCP server Ano Ne
    DNS Server Ne Ne
    Fax Server Ne Ne
    File Services Ne Ano
    Hyper-V™ N/A Ano
    Network Policy and Access Services Ano Ne
    Network Policy Routing and Remote Access Services Ano N/A
    Print Services Ne Ano
    Remote Desktop Session Host (Terminal Services) Ano Není podporován scénář, kdy je referenční počítač připojený do domény. Ano Není podporován scénář, kdy je referenční počítač připojený do domény.
    UDDI Services Ne N/A
    Web Server (Internet Information Services) Ano Sysprep není podporován v případě, kdy v Applicationhost.config jsou uložena zašifrovaná pověření. Ano Sysprep není podporován v případě, kdy v Applicationhost.config jsou uložena zašifrovaná pověření.
    Windows Deployment Services Ne Ne
    • Pokud je image kopírován / aplikován na různé počítače, pak referenční a cílový počítač nemusí mít kompatibilní hardware abstraction layers (HAL). Parametr /detecthal v Boot Configuration Data (BCD) umožní při staru počítače nainstalovat správnou verzi HAL.
    • Ovladače pro Plug and Play zařízení (modeny, zvukové karty, síťové adaptéry, grafické adaptéry) na referenčním a cílovém počítači nemusí být od stejného výrobce, nicméně ovladače musí být obsaženy v instalačním image.
    • Není možné spustit sysprep pomocí volby RunSynchronous v xml odpovědním souboru při fázi instalace auditUser pro automatické spuštění sysprep po ukončení instalace operačního systému. Je však možné automatizovat průběh sysprep pomocí modifikace fáze generalize v xml souboru.
    • Odpočítávání pro aktivaci operačního systému začíná ihned po prvním spuštění nainstalovaného operačního systému. Toto odpočítávání můžete resetovat nejvýš třikrát (rearm). Po třetím resetu již není odpočítáván čas a např není možné aktivovat Windows systém vůči KMS serveru.
    • Sysprep je možné spustit pouze v případě, kdy počítač není členem domény. Pokud je počítač členem domény, pak je automaticky odebrán.
    • Pokud spustíte sysprep na diskovém oddílu NTFS, který obsahuje šifrovaná data, pak tato data po ukončení sysprep budou nečitelná a nebude žádná možnost jak je obnovit (computer encryprion key je odstraněn, doménové šifrovací klíče není možné použít, počítač je automaticky odebírán z domény).
    • Pokud je počítač připojený do domény a doménová politika vynucuje komplexicitu hesla, pak i po spuštění sysprep a odebráním počítače z domény zůstane toto nastavení platné. Při prvním přihlášení bude tedy po uživateli vyžadováno heslo, které splňuje dané parametry uvedené ve skupinové politice.

    Popis práce sysprep

    sysprep.exe je hlavní spustitelný program, který volá další programy. Sysprep jako takový je umístěný v adresáři %WINDIR%system32sysprep a použití musí odpovídat nainstalované verzi operačního systému - týká se především bitové verze Windows 7 (x86 / x64). Po spuštění nástroje sysprep prochází následujícími kroky:

      * Kontroluje, je-li možné sysprep spustit, je-li uživatel administrátorem (pouze administrátor může spouštět sysprep), zdali je spuštěna pouze jediná instance sysprep,… * Inicializuje logování. * Zpracuje zadané parametry příkazové řádky, pokud nejsou zadány žádné parametry, je zobrazeno okno sysprepu, načítá informace z odpovědního xml souboru. * Zpracovává jednotlivé akce, volá odpovídají .dll knihovny a spustitelné soubory, zapisuje informace do log souboru. * Kontroluje zdali byly zpracovány všechny odpovídají .dll knihovny a všechny úkoly popsané v těchto knihovnách, vypíná a restartuje operační systém.
    Log soubory sysprepu jsou ukládány v následujících umístěních:
  • fáze generalize - %WINDIR%System32SysprepPanther

    • fáze specialize - %WINDIR%Panther
    • Bezodpovědní setup - %WINDIR%PantherUnattendgc

    Umístění odpovědního souboru přímo do instalace

    Při spouštění sysprep je možné umístit odpovědní soubor přímo do instalace operačního systému. Tento odpovědní soubor bude automaticky použit a setup nebude vyhledávat žádné další odpovědní soubory. Umístění odpovědního souboru do instalačního image lze provést pomocí parametru /unattend:názevsouboru.xml

    Parametry nástroje sysprep

    sysprep.exe [/oobe | /audit] [/generalize] [/reboot | /shutdown | /quit] [/quiet] [/unattend:answerfile]

  • /audit - restartuje počítač do audit módu. Audit mód umožňuje instalaci dalších ovladačů a aplikací do instalovaného operačního systému. Také je možné provést kontroly, je-li instalace v pořádku,… Pokud je specifikován odpovědní soubor, pak jsou v rámci puštění operačního systému spuštěny fáze auditSystem a auditUser.
    • /generalize - připravuje operační systém pro imaging. Zadáním tohoto parametru budou z operačního systému odebrány všechny specifické informace (SID, system restore point, eventlog,…). Při dalším spuštění instalace operačního systému bude vytvořený nový SID ve fázi specialize, kde také proběhne reset počítadla počtu aktivací.
    • /oobe - restartuje počítač do Windows Welcome mode. tento mód umožňuje uživateli provést úpravu operačního systému, tak aby odpovídal jeho požadavkům. Pokud specifikujete odpovědní soubor, pak bude použito nastavení z fáze oobeSystem.
    • /reboot - restartuje počítač. Pomocí této volby je možné ověřit, že první spuštění počítače probíhá přesně dle očekávání.
    • /shutdown - po ukončení nástroje sysprep vypíná počítač a tím je počítač připravený pro zachycení image.
    • /quiet - spouští sysprep bez zobrazení informací na obrazovce. Tímto parametrem lze automatizovat chod nástroje sysprep.
    • /quit - ukončuje chod sysprep po dokončení specifikovaného příkazu.
    • /unattend:názevsouboru.xml - specifikuje xml odpovědní soubor, který má být integrovaný do instalace operačního systému pro automatizaci instalace.

Autor: Ondřej Výšek

Ondřej je Microsoft MVP od roku 2004, v roce 2008 založil komunitní web optimalizovane-it.cz. Za svou IT karieru, jenž započala v roce 1993 prošel celou řadou pozic, od konzultanta, přes architekt, až po vytváření vizí a strategií zákazníků. V prostředích, ve kterých pomáhal byly desítky, ale i stovky tisíc uživatelů a systémů. V posledních letech se zabývá především cloudovými technologiemi Microsoft 365 a Azure ve společnosti KPCS CZ.

Následující článek Předchozí článek