Борьба с конфиденциальными данными в файле ответов и кое-что еще

Ну а теперь по-русски немного.

Воспользовавшись информацией из Technet, я теперь могу дать пояснения на парочку вопросов, которые возникали в процессе тренингов.
Вопрос 1. В файлах ответов мы можем указать довольно чувствительную информацию, например: учетные данные для преконфигурируемой учетной записи, учетные данные для доступа к общим сетевым ресурсам, если что-то оттуда подтягивается в процессе установки, ключ, используемый для установки и проч. Надо же как-то от этого избавляться потом? Как? Удалять прокэшированный файл ответов в %WINDIR%Panter ? Или это делается иначе?

Ответ от MS:
Конфиденциальная информация удаляется автоматически из прокэшированного файла ответов по окончании каждого из конфигурационных проходов. Однако, если в процессе перехода к очередному проходу будет выявлен файл ответов в более приоритетном месте (см. предыдущий post, т.е. в %WINDIR%Panterunattend ), то он перезапишет прокэшированный файл. Т.е., фактически, восстановит уже вытертое для предыдущего этапа. Параллельные выводы: наличие файла ответов в 7 местах проверяется перед началом каждого прохода.
Далее, Microsoft рекомендует УДАЛЯТЬ файл ответов перед передачей компьютера в использование. Однако, это в том случае, если проход oobeSystem уже отыгран (читай: машина не запечатана Sysprep-ом). Посему, для такой ситуации нужно предусмотреть изничтожение прокэшированного файла после выполнения настроек на этом проходе. И тут не все так просто. Привязка этого к событию первого logon-а в систему может не дать желаемого результата.
Рекомендуемая практика – добавить команды по удалению файла ответов в  %WINDIR%SetupScriptsSetupComplete.cmd. Он выполняется по окончании инсталляции всегда, если найден, причем это произойдет с правами учетки LocalSystem и до logon-а пользователя в систему.

Ну и последнее: выполненный проход в прокэшированном файле ответов комментируется, и если его не подсовывать заново в более приоритетном месте – больше не выполняется. Тут может возникнуть параллельный вопрос: а если его подсовывать, то что установка войдет в цикл? Ответ: нет. Самое приоритетное место на самом-то деле, куда установка кэширует файл ответов в самом начале, – это $Windows.~BTSourcesPanther , которая создается на время  конфигурационных проходов windowsPE и offlineServicing. Только после того, как образ разложен и обслужен в офф-лайне процессом установки файл перемещается в %WINDIR%panther и оттуда работает дальше. Таким образом, теоретически можно повторить только Specialize и oobeSystem, подсовывая в процессе установки другой файл ответов в %WINDIR%Panterunattend.

Вопрос 2. В принципе, не очень адекватный, но был задан. Итак, когда же мы можем выдернуть флэшку после начала инсталляции? Мой ответ: как только файл ответов прокэшировался в  $Windows.~BTSourcesPanther. Когда это происходит точно может сказать только MS. Но как только вы увидите "expanding files…", те одна "зеленая птичка" уже есть, можно вынимать.

P.S. Это касается установки из дистрибутива. imageX /apply – пойдет по несколько другому сценарию. Smile

Ну и естественно, я не несу никакой ответственности, за то что здесь рассказал. Если остановите техпроцесс, воспользовавшись советами выше (ниже) – претензии не принимаются. Smile

Leave a Reply

Your email address will not be published. Required fields are marked *