大白狗的封装札记
2.1 内置管理员账户(Administrator)
说到封装就一定要说说 Administrator。Administrator 是 Windows 内置管理员账户,默认处于禁用状态。
内置管理员账户默认处于禁用状态是 Windows 出于系统安全考虑所作出的决策,可能是因为 Win2K 时期默认使用 Administrator 账户带来了诸多的安全隐患,自 WinXP 起 Administrator 就默认禁用了。微软推荐用户自建一个管理员账户来管理计算机,而不是直接使用 Administrator。(与 Linux 安全策略不推荐用户直接使用 root 账户如出一辙)
自建管理员账户与 Administrator 的权限基本一致,但 Administrator 在对系统程序、文件、数据方面的操作限制更少,毕竟前者是普通账户+管理权限,后者是天生的管理者账户。不过就日常使用来说自建管理员账户权限一点都不少,不用担心因权限问题对日常使用造成影响。
2.2 Administrator 与审核模式
我们已经在第一章第7节中接触到了通过 Ctrl+Shift+F3 直接开启 Administrator 账户的方法(俗称“三键法”),通过这种方法使用 Administrator 所登录到的系统环境在微软官方文档中被称做“审核模式”。审核模式是微软官方推荐的封装环境。
在审核模式下,进入桌面会自动运行 sysprep.exe 工具,等待你的封装操作。而 Administrator 只是被临时开启的,如果此时查看用户账户管理程序,会发现 Administrator 账户是处于禁用状态的。换句话说,虽然可使用 Administrator 登录到审核模式环境,但 Administrator 的状态仍是禁用的,这是审核模式的特有状态。
然鹅,虽然“审核模式”是微软官方推荐的系统封装环境,但并不是唯一环境。
可以用其他方法开启 Administrator(即使用 Administrator 但不启用审核模式),如:
(1)部署中使用命令开启 Administrator;
(2)新建用户,开启 Administrator,登录 Administrator,删除刚才建立的账户。
也可以直接自建管理员账户来封装,实践证明这种方式在某些印度BUG下的表现优于 Administrator。
知识是固定的,而方法是变通的。
2.3 账户与OOBE
系统与账户是相互独立又有关联的。要操作 Windows 系统需要使用账户进行登录,如果 Windows 是一间工房,则账户相当于进去工作的工人。Windows 账户又分为“系统账户”与“用户账户”两种,系统账户如 System,用户无法使用其登录,但系统却可以以此身份执行更为底层的操作;而用户账户就是我们一般使用的账户,可以被登录,登录后可以对做各项操作。综上,明确一点:有用户账户登录系统才能进行日常操作。
OOBE(Out-of-box experience),直译为“开箱体验”,对于 Windows 而言即是第一次使用系统时询问你诸如语言类型、所在时区、连接网络、隐私设置、用户账户等的过程。OOBE 过程中的一个重要环节是“新建用户账户”。为了更加快速的完成系统部署,OOBE 可以通过配置无人值守而直接跳过,而一旦 OOBE 被跳过则“新建用户账户”也会一并被跳过,如果此时系统内没有处于启用状态的账户,则将进入一个无账户可登录的尴尬局面。
那么,选择以什么用户封装、以什么用户登录、是否跳过 OOBE,成了一个相互关联的问题。下面来看几种常见的方式:
(自上而下1~4)
方式1与4基本相同,区别在于1使用了内置管理员而4使用了自建管理员,但二者均为部署后直接使用封装前的账户来登录。不同的是由于 Administrator 会在封装后被自动禁用,需要在部署时将其启用。因为二者均保证了系统内有可用账户,所以直接跳过了 OOBE。
方式2与3基本相同,区别在于 OOBE 时手动或是自动建立账户而已。二者在封装时均使用了 Administrator 账户,而封装后 Administrator 被自动禁用,至 OOBE 时系统内已无处于开启状态的用户账户,则 OOBE 不可跳过且 OOBE 时需要创建新用户。
方式1与4的流程简单粗暴,不经 OOBE 使系统部署时间进一步缩短。方式1直接使用了 Administrator 来登录,可能会带来一定的安全隐患。方式2是微软原版的方式,Administrator 默认禁用,用户可根据自己的喜好来创建新账户。方式3与2的区别是自动根据无人值守配置来创建账户,
相关问题
审核模式下,需要手动取消 Administrator 的禁用状态吗?
如果目的只是为了开启内置管理员,很抱歉这个操作并没有太大意义。无论是用“三键法”或是其他方法开启 Administrator,Administrator 账户都会在封装后进入禁用状态。为什么会这样其实不难理解,毕竟系统部署是最小化的系统全新安装,既然是系统全新安装那么出于安全考虑 Administrator 的状态一定会被还原至默认值。
如何使用命令开启 Administrator 账户
注意,执行这个命令需要足够的系统权限,例如管理员账户或System账户权限。
- net user Administrator /active:yes
复制代码
OOBE 时自动创建的用户为什么要密码?
微软出于安全考虑,对于自动创建的空密码账户,首次登录时会硬性要求创建密码,这个是无法跳过的。
但可自动创建带密码的新账户并设置其自动登录(至少1次),以完成后续的部署操作。
自动登录必须要设置吗?
注意,只有在 OOBE 时自动创建的空密码账户才会被要求在第一次登录时必须输入密码。而对于在封装前就建立好的账户(例如 Administrator、自建管理员账户)即便没有密码也不会在首次登录时被强制要求输入。基于上述条件,当系统内只有一个无密码账户时(处于启用状态),系统会自动使用这个账户登录,所以“自动登录”功能是除非必要无需设置的。
Default0 用户是怎么回事
当跳过了 OOBE,而系统又没有处于启用状态的用户账户时,一般会卡在用户登录页面无法继续。
而 Win10 在这种条件下可能自动启用 Default0 用户用于登录(未亲测)。