尽管 Windows 操作系统已现成优化,但你有机会进一步优化它,特别是针对企业Microsoft虚拟桌面基础结构(VDI)环境。 在 VDI 环境中,默认情况下会禁用许多后台服务和任务。
本文是有关如何优化配置的指导或起点。 某些建议会禁用你喜欢使用的功能,因此必须考虑成本与在方案中调整特定设置的好处。
注意
本主题中未特别提及的任何设置均可保留其默认值(或根据你的要求和策略进行设置),而不会对 VDI 功能产生明显影响。
VDI 优化原则
“完整的”虚拟桌面环境可通过网络向计算机用户提供完整的桌面会话(包括应用程序)。 网络传送载体可以是本地网络和/或 Internet。 虚拟桌面环境的一些实现使用“基本”操作系统映像,然后成为桌面的基础,然后向用户呈现工作。 虚拟桌面实现(如持久性、非持久性和桌面会话)存在变体。
- 切换会话时,持久类型会保留对虚拟桌面操作系统所作的更改。
- 非持久性类型不会保留对虚拟桌面操作系统的更改,从一个会话更改为下一个会话。
- 桌面会话类似于其他虚拟或物理设备上的会话,并通过网络访问。
可在参考计算机上实施优化设置。 虚拟机(VM)是生成 VM 的理想位置,因为已保存状态、存在检查点和备份。 在基础 VM 上执行默认 OS 安装。 然后,通过执行删除不需要的应用、安装更新、删除临时文件和应用设置等操作来优化该基本 VM。
在产品和服务方面,Microsoft 最看重的是安全性和稳定性。 在虚拟桌面领域,安全性的处理方式与物理设备没有太大的区别。 企业客户可选择使用 Windows 安全的内置 Windows 服务;Windows 安全是一套服务的一部分,无论是否连接到 Internet,它们都运行良好。 对于未连接到 Internet 的虚拟桌面环境,每天可多次主动下载安全签名,因为 Microsoft 每天可能会多次发布签名更新。 然后,可将这些签名提供给虚拟桌面设备,且无论持久性还是非持久的生产,都将其安排在生产期间安装。 这样,VM 保护功能就能尽量保持最新状态。
某些安全设置不适用于未连接到 Internet 且无法参与已启用云的安全性的虚拟桌面环境。 还有其他“正常”Windows 设备可以使用的设置,例如云体验或 Windows 应用商店。 删除对未使用的功能的访问权限可以减少占用空间、网络带宽和受攻击面。
Windows 使用每月更新节奏。 在某些情况下,虚拟桌面管理员通过关闭基于“主”或“黄金”映像的 VM 来控制更新过程,取消密封该只读映像,修补映像,然后重新密封该映像并将其恢复生产。 因此,无需虚拟桌面设备检查Windows 更新。 但在有些情况下,会发生一般的修补过程,例如在持久性“个人”虚拟桌面设备的情况下。 在一些情况下,可使用 Windows 更新。 而在一些情况下,可使用 Intune。 在某些情况下,Microsoft Endpoint Configuration Manager(前 SCCM)用于处理更新和其他包传递。 由每个组织决定更新虚拟桌面设备的最佳方法,同时减少开销周期。
可以使用基于域的策略替代本地策略设置以及本指南中的许多其他设置。 建议彻底完成策略设置,删除或不使用任何不需要或适用于你的环境的任何设置。 本文档中的列出的设置会尝试在虚拟桌面环境中实现性能优化的最佳平衡,同时维持卓越的用户体验。
注意
GitHub 上提供了一组脚本,用于执行本文中所述的所有工作项。 这些脚本旨在根据环境和要求轻松自定义。 主代码为 PowerShell,通过调用输入文件(纯文本,现在是 .JSON)和本地组策略对象 (LGPO) 工具导出文件来完成此工作。 这些文本文件包含一个列表,其中有要删除的应用和要禁用的服务等内容。 如果不想删除特定应用或禁用特定服务,可以编辑相应的文本文件并删除不希望对其执行操作的项目。 最后,可以导出可导入环境计算机的本地策略设置。 最好在基本映像中保留一些设置,而不是通过组策略应用设置,因为某些设置只会下次重启或在首次使用组件时才会生效。
非持久性虚拟桌面环境
如果非持久性虚拟桌面实现基于基本映像或“黄金”映像,则优化主要在基本映像中执行,然后通过本地设置和本地策略执行。
使用基于映像的非持久性 (NP) 虚拟桌面环境时,基本映像是只读的。 启动 NP 虚拟桌面设备 (VM) 时,会将基本映像的副本流式传输到该 VM。 从启动开始一直到下一次重新启动为止所发生的活动将重定向到临时位置。 为用户提供用于存储其数据的网络位置。 在某些情况下,用户的配置文件将与标准 VM 合并,以便为用户提供设置。
基于单一映像的 NP 虚拟桌面需要考虑的一个重要方面是维护。 对操作系统 (OS) 和 OS 组件的更新每月提供一次。 使用基于映像的虚拟桌面环境时,必须执行一组进程才能获取映像的更新:
- 在给定主机上,基于基础映像的所有 VM 必须关闭或关闭该主机上的所有 VM。 这意味着,用户将重定向到其他 VM。
- 在一些实现中,这称为“排出”。虚拟机或会话主机在被设置为排出模式时,会停止运行来接受新的请求,但会继续对当前已连接到设备的用户提供服务。
- 在排出模式中,当最后一名用户注销设备时,该设备就准备好为操作提供服务了。
- 然后,基本映像将会打开并启动。 接下来,执行所有维护活动,例如 OS 更新、.NET 更新和应用更新等等。
- 此时将会应用需要应用的任何新设置。
- 此时会执行任何其他维护。
- 然后,基本映像关闭。
- 基本映像是密封的,设置为传回到生产环境。
- 允许用户重新登录。
注意
Windows 定期自动执行一组维护任务。 默认情况下,有一个计划任务设置为每天凌晨 3:00 运行。 此计划任务执行一系列任务,包括 Windows 更新清理。 可以使用以下 PowerShell 命令查看自动执行的所有维护类别:
Get-ScheduledTask | Where-Object {$_.Settings.MaintenanceSettings}
非持久性虚拟桌面的其中一项弊端是当用户注销时,几乎所有的 OS 活动都会被放弃。 用户的配置文件和/或状态可保存到某个中心位置,但虚拟机本身会放弃自上次启动以来所作的几乎全部更改。 因此,适用于将状态从一个会话保存到下一个会话的 Windows 计算机的优化不适用。
根据虚拟桌面设备的体系结构,PreFetch 和 SuperFetch 等内容不会从一个会话到下一个会话提供帮助,因为 VM 重启时会丢弃所有优化。 索引可能会给资源带来一定的浪费,传统的碎片整理等任何磁盘优化方法也是如此。
注意
如果使用虚拟化准备映像,并且在创建映像期间已连接到 Internet,则首次登录时,应转到“设置”“Windows 更新”来推迟功能更新 。
是否运行 sysprep
Windows 具有称为 系统准备工具的内置功能,也称为 sysprep。 sysprep 工具用于准备用于复制的自定义 Windows 10 或 Windows 11 映像。 sysprep 进程可确保生成的 OS 具有独特性,可在生产环境中正常运行。
运行或不运行 sysprep 都有适当的理由。 对于虚拟桌面环境,你可能希望能够自定义默认用户配置文件,该配置文件将用作使用此映像登录的更高版本的用户的配置文件模板。 你可能安装了要安装的应用,但也希望能够控制每应用设置。
替代方法是使用标准 .ISO 进行安装(也许可以使用无人参与的安装应答文件),并使用任务序列来安装或删除应用程序。 还可以使用任务序列在映像中设置本地策略设置(也许可以使用本地组策略对象实用工具 (LGPO))。
若要详细了解针对 Azure 的映像准备,请参阅准备 Windows VHD 或 VHDX 以上传到 Azure
可支持性
每次 Windows 默认设置发生更改时,用户都会提出有关可支持性的问题。 自定义虚拟桌面映像(VM 或会话)后,需要在更改日志中跟踪对映像所作的每项更改。 进行故障排除时,往往可在池中隔离某个映像并对其进行配置,以分析问题。 将问题跟踪到根本原因后,就可以先将更改推出到测试环境,并最终部署到生产工作负荷。
本文档有意规避了影响安全性的系统服务、策略或任务。 接下来讨论 Windows 维护。 我们删除了在维护时段以外维护虚拟桌面映像的功能,因为在维护时段,除安全软件更新之外的其他大多数维护事件都是在虚拟桌面环境中发生的。 虚拟桌面环境中的Windows 安全Microsoft指南记录在虚拟桌面基础结构(VDI)环境中的 Windows Defender 防病毒部署指南中
更改默认的 Windows 设置时,请考虑到可支持性。 有时,在更改系统服务、策略或计划任务时,以强化、“减轻”等名义更改系统服务、策略或计划任务时,会出现难以解决的问题。 有关已更改的默认设置的当前已知问题,请参阅 Microsoft 知识库。 本文档中的指南以及 GitHub 上的关联脚本与已知问题(如果出现)相关维护。 此外,可以通过多种方式报告问题以Microsoft。
可在偏好的搜索引擎中使用关键字 "start value" site:support.microsoft.com 查找有关服务默认起始值的已知问题。
本文档和 GitHub 上的关联脚本不会修改任何默认权限。 如果有兴趣增加安全设置,请从名为 AaronLocker 的项目开始。 有关详细信息, 请参阅“AaronLocker”概述。
虚拟桌面优化类别
以下类别是可以优化虚拟桌面的方法:
- 通用 Windows 平台 (UWP) 应用清理
- 可选功能清理
- 本地策略设置
- 系统服务
- 计划任务
- 应用 Windows(和其他)更新
- 自动 Windows 跟踪
- 使用 VDI 进行 Windows Defender 优化
- 通过注册表设置优化客户端网络性能
- “Windows 受限流量限制功能基线”指南中的其他设置。
- 磁盘清理
以下部分更详细地介绍了每个类别。
通用 Windows 平台 (UWP) 应用程序清理
虚拟桌面映像的目标之一是在持久性存储方面尽量占用较少内存。 减少映像大小的一种方法是删除未使用的 UWP 应用程序(应用)。 UWP 应用附带一些应用程序主文件(称为有效负载)。 每个用户配置文件中存储的少量数据用于特定于应用程序的设置。 “所有用户”配置文件中也有少量数据。
此外,在设备启动和用户登录后的某个时间点,会在用户或计算机级别注册所有 UWP 应用。 UWP 应用包含开始菜单和 Windows Shell,它会在安装时或安装后执行各项任务,在用户首次登录时再次执行这些任务,并在用户后续登录时稍微操作一下。 对于所有 UWP 应用,偶尔都会发生评估,例如:
- 是否需要将应用更新到最新版本?
- 如果应用已固定到开始菜单,则它可能有动态磁贴数据要下载
- 应用是否具有需要更新的数据缓存,例如地图或天气?
- 应用是否具有需要在登录时显示的来自用户配置文件的持久性数据(例如便笺)
使用 Windows 的默认安装时,组织不太可能使用所有 UWP 应用。 因此,如果删除这些不可用的应用,则会出现需执行的评估更少、缓存更少等情况。 此处的第二种方法是指示 Windows 禁用“使用者体验”。这减少了应用商店活动,因为必须检查每个用户已安装哪些应用、哪些应用可用,然后开始下载某些 UWP 应用。 如果有上百名或上千名用户,而他们几乎同时开始工作,或者甚至跨时区在滚动时间开始工作,那么性能节约可能非常明显。
执行 UWP 应用清理时,连接和计时是重要的因素。 如果将基础映像部署到没有网络连接的设备,Windows 无法连接到 Microsoft 应用商店并下载应用,并尝试在尝试卸载应用时安装它们。 这可能是一种很好的策略,可以让你从容地自定义映像,然后在映像创建过程的后续阶段更新保留的内容。
如果修改基数。用于安装 Windows 和从中删除不需要的 UWP 应用的 WIM。安装前的 WIM 不会安装应用,后续配置文件创建时间较短。 本节后面提供了一个链接,其中包含有关如何从安装中删除 UWP 应用的信息。WIM 文件。
对于虚拟桌面环境,一种好的策略是在基本映像中预配所需的应用,然后限制或阻止访问 Microsoft Store。 在普通的计算机上,Store 应用会定期在后台更新。 在维护期间,可以在应用其他更新的同时更新 UWP 应用。
删除 UWP 应用的有效负载
不需要的 UWP 应用仍位于占用少量磁盘空间的文件系统中。 对于不需要的应用,可以使用 PowerShell 命令从基本映像中删除不需要的 UWP 应用的有效负载。 如果从安装中删除 UWP 应用有效负载。使用本节稍后提供的链接的 WIM 文件,可以从一个精简的 UWP 应用列表开始。
运行以下 PowerShell 命令来枚举本地计算机上当前运行的预配的 UWP 应用:
Get-AppxProvisionedPackage -Online
预配到系统的 UWP 应用可在 OS 安装期间作为任务序列的一部分删除,也可在安装 OS 后删除。 这可能是首选的方法,因为这样可使映像的整个创建或维护过程模块化。 开发脚本后,如果后续的生成发生更改,则你可以编辑现有的脚本,而无需从头开始重复该过程。
然后运行以下 PowerShell 命令来删除 UWP 应用有效负载:
Remove-AppxProvisionedPackage -Online - PackageName MyAppxPackage
就该主题最后提一点:应在每个独特的环境中评估每个 UWP 应用的适用性。 安装 Windows 10 或 Windows 11 的默认安装,然后记下运行和使用内存的应用。 例如,可以删除自动启动的应用,或者自动在“开始”菜单上显示信息的应用,例如天气和新闻。
注意
如果使用的是 GitHub 中的脚本,可在运行脚本之前轻松控制要删除的应用。 下载脚本文件后,找到 AppxPackage.json 文件,编辑该文件,然后删除要保留的应用(例如计算器、便笺等)的对应条目。
可选功能清理
本部分介绍可优化的可选功能。
使用 PowerShell 管理可选功能
可以使用 PowerShell 管理 Windows 可选功能。 若要枚举当前已安装的 Windows 功能,请运行以下 PowerShell 命令:
Get-WindowsOptionalFeature -Online
通过 PowerShell,已枚举的 Windows 可选功能可配置为“已启用”或“已禁用”,如下例中所示:
Enabled-WindowsOptionalFeature -Online -FeatureName "DirectPlay" -All
下面是一个在虚拟桌面映像中禁用 Windows Media Player 功能的示例命令:
Disable-WindowsOptionalFeature -Online -FeatureName "WindowsMediaPlayer"
接下来,可删除 Windows Media Player 包。 此示例命令演示如何查找包名称:
Get-WindowsPackage -Online -PackageName *media*
该命令的输出显示如下信息:
PackageName : Microsoft-Windows-MediaPlayer-Package~31bf3856ad364e35~amd64~~10.0.19041.153
Applicable : True
Copyright : Copyright (c) Microsoft Corporation. All Rights Reserved
...
若要删除 Windows Media Player 包(以释放大约 60 MB 的磁盘空间),可运行以下命令:
PS C:\Windows\system32> Remove-WindowsPackage -PackageName Microsoft-Windows-MediaPlayer-Package~31bf3856ad364e35~amd64~~10.0.19041.153 -Online
使用 DISM 启用或禁用 Windows 功能
可以使用内置 Dism.exe 工具枚举和控制 Windows 可选功能。 可以使用按需功能在操作系统安装任务序列期间开发和运行Dism.exe脚本。
默认用户设置
可在 C:\Users\Default\NTUSER.DAT 自定义 Windows 注册表文件。 对此文件所做的任何设置更改都应用于从运行此映像的计算机创建的任何后续用户配置文件。 可通过编辑 DefaultUserSettings.txt 文件来控制要将哪些设置应用于默认用户配置文件。
若要减少通过虚拟桌面基础结构传输图形数据的传输,可以将默认背景设置为纯色而不是默认 Windows 映像。 还可以将登录屏幕设置为纯色,并关闭登录时不透明的模糊效果。
以下设置应用于默认用户配置文件注册表配置单元,主要目的是减少动画效果。 如果某些或所有这些设置都不需要,请删除不希望根据此映像应用到新用户配置文件的设置。 使用这些设置的目的是启用以下等效设置:
- 在鼠标指针下显示阴影
- 在窗口下显示阴影
- 平滑屏幕字体边缘
并且有一种方法可以禁用运行优化后创建的任何用户配置文件的以下两个隐私设置:
- “允许网站通过访问我的语言列表来提供本地相关内容”
- “在‘设置’应用中为我显示建议的内容”
(可选)为运行优化后创建的任何用户配置文件禁用以下两个隐私设置:
- “允许网站通过访问我的语言列表来提供本地相关内容”
- “在‘设置’应用中为我显示建议的内容”
下面是应用于默认用户配置文件注册表配置单元来优化性能的优化设置。 此操作首先加载默认用户配置文件注册表配置单元 NTUser.dat,作为临时键名称 Temp,然后进行以下修改:
Load HKLM\Temp C:\Users\Default\NTUSER.DAT
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer" /v ShellState /t REG_BINARY /d 240000003C2800000000000000000000 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v IconsOnly /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ListviewAlphaSelect /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ListviewShadow /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowCompColor /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowInfoTip /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v TaskbarAnimations /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects" /v VisualFXSetting /t REG_DWORD /d 3 /f
add "HKLM\Temp\Software\Microsoft\Windows\DWM" /v EnableAeroPeek /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\DWM" /v AlwaysHiberNateThumbnails /t REG_DWORD /d 0 /f
add "HKLM\Temp\Control Panel\Desktop" /v DragFullWindows /t REG_SZ /d 0 /f
add "HKLM\Temp\Control Panel\Desktop" /v FontSmoothing /t REG_SZ /d 2 /f
add "HKLM\Temp\Control Panel\Desktop" /v UserPreferencesMask /t REG_BINARY /d 9032078010000000 /f
add "HKLM\Temp\Control Panel\Desktop\WindowMetrics" /v MinAnimate /t REG_SZ /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\StorageSense\Parameters\StoragePolicy" /v 01 /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v SubscribedContent-338393Enabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v SubscribedContent-353694Enabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v SubscribedContent-353696Enabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v SubscribedContent-338388Enabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v SubscribedContent-338389Enabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v SystemPaneSuggestionsEnabled /t REG_DWORD /d 0 /f
add "HKLM\Temp\Control Panel\International\User Profile" /v HttpAcceptLanguageOptOut /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microsoft.Windows.Photos_8wekyb3d8bbwe" /v Disabled /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microsoft.Windows.Photos_8wekyb3d8bbwe" /v DisabledByUser /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microsoft.YourPhone_8wekyb3d8bbwe" /v Disabled /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microsoft.YourPhone_8wekyb3d8bbwe" /v DisabledByUser /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microsoft.MicrosoftEdge_8wekyb3d8bbwe" /v Disabled /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications\Microsoft.MicrosoftEdge_8wekyb3d8bbwe" /v DisabledByUser /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\InputPersonalization" /v RestrictImplicitInkCollection /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\InputPersonalization" /v RestrictImplicitTextCollection /t REG_DWORD /d 1 /f
add "HKLM\Temp\Software\Microsoft\Personalization\Settings" /v AcceptedPrivacyPolicy /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\InputPersonalization\TrainedDataStore" /v HarvestContacts /t REG_DWORD /d 0 /f
add "HKLM\Temp\Software\Microsoft\Windows\CurrentVersion\UserProfileEngagement" /v ScoobeSystemSettingEnabled /t REG_DWORD /d 0 /f
Unload HKLM\Temp
禁止在后台启动和运行 Windows 应用的设置。 虽然在单个设备上并不重要,但 Windows 在给定设备或会话主机上启动每个用户会话的多个进程。 如果需要按原样使用此功能,请删除文件中包含应用名称(如 DefaultUserSettings.txt 和/或 MicrosoftEdge)的行。
本地策略设置
可以使用 Windows 策略对虚拟桌面环境中的 Windows 进行许多优化。 本部分的表格中列出的设置可在本地应用到基础映像/黄金映像。 如果未以任何其他方式(如组策略)指定等效设置,则仍会应用这些设置。
某些决策可能基于环境的具体情况。
- 虚拟桌面环境是否可访问 Internet?
- 虚拟桌面解决方案是持久性还是非持久性的?
选择以下设置不会违反安全相关的任何设置,或者与之发生冲突。 选择这些设置是为了删除或禁用可能不适用于虚拟桌面环境的设置或功能。
| 策略设置 | 项 | 子项 | 可能的设置和备注 |
|---|---|---|---|
| 本地计算机策略 \ 计算机配置 \ Windows 设置 \ 安全设置 | 空值 | 空值 | 空值 |
| 网络列表管理器策略 | 所有网络属性 | 网络位置 | 用户无法更改位置 (此设置设置为防止检测到新网络时右侧弹出) |
| 本地计算机策略 \ 计算机配置 \ 管理模板 \ 控制面板 | 空值 | 空值 | |
| 控制面板 | 允许在线提示 | 空值 | 已禁用 (设置无法联系Microsoft内容服务以检索提示和帮助内容) |
| 控制面板\个性化 | 强制特定的默认锁屏界面和登录图像 | 空值 | 已启用(借助此设置,可通过输入图像文件的路径(位置),强制使用特定的默认锁屏界面和登录图像。 同一图像用于锁屏和登录屏幕。 此建议是为了减少虚拟桌面环境通过网络传输的字节数。 可针对每个环境删除或自定义此设置。) |
| 控制面板\区域和语言选项\手写个性化 | 关闭自动学习 | 空值 | 已启用(启用此策略设置后,自动学习停止,并删除任何存储的数据。用户无法在 控制面板 中配置此设置 |
| 本地计算机策略 \ 计算机配置 \ 管理模板 \ 网络 | 空值 | 空值 | 空值 |
| 后台智能传送服务 (BITS) | 允许 BITS 对等缓存 | 空值 | 已禁用(此策略设置可确定特定计算机上是否已启用后台智能传输服务 (BITS) 对等缓存功能。) |
| 后台智能传送服务 (BITS) | 不允许 BITS 客户端使用 Windows 分支缓存 | 空值 | 已启用 (启用此策略设置后,BITS 客户端不使用 Windows 分支缓存。 此建议的原因是虚拟桌面设备不用于内容缓存,并且不允许设备使用网络带宽。 |
| 后台智能传送服务 (BITS) | 不允许计算机充当 BITS 对等缓存客户端 | 空值 | 已启用 (启用此策略设置后,计算机不使用 BITS 对等缓存功能下载文件;文件仅从源服务器下载。 |
| 后台智能传送服务 (BITS) | 不允许计算机充当 BITS 对等缓存服务器 | 空值 | 已启用 (启用此策略设置后,计算机无法缓存下载的文件并将其提供给其对等方。 |
| BranchCache | 启用 BranchCache | 空值 | 已禁用(启用此选项后,会在应用了该策略的所有客户端计算机上关闭 BranchCache。) |
| *字体 | 启用字体提供程序 | 空值 | 已 禁用(禁用此设置后,Windows 不会连接到联机字体提供程序,并且仅枚举本地安装的字体) |
| 热点身份验证 | 启用热点身份验证 | 空值 | 已禁用(此策略设置定义了是否探测 WLAN 热点来实现无线 Internet 服务提供商漫游 (WISPr) 协议支持。 禁用此策略设置后,不会探测 WLAN 热点以获取 WISPr 协议支持,并且用户只能使用 Web 浏览器通过 WLAN 热点进行身份验证。 |
| Microsoft 对等网络服务 | 关闭 Microsoft 对等网络服务 | 空值 | 已启用 (此设置完全关闭Microsoft对等网络服务,并导致所有依赖应用程序停止工作。如果启用此设置,将关闭对等协议。 |
| 网络连接状态指示器 (本部分中还有其他设置可在隔离的网络中使用) |
指定被动轮询 | 禁用被动轮询(复选框) | 已启用 (此策略设置使你可以指定被动轮询行为。NCSI 以频繁的间隔轮询整个网络堆栈的各种度量值,以确定网络连接是否丢失。使用选项控制被动轮询行为。 禁用 NCIS 被动轮询可改进其网络连接为静态的服务器或其他计算机上的 CPU 工作负载。 |
| 脱机文件 | 允许或不允许使用“脱机文件”功能 | 空值 | 已禁用 (此策略设置确定是否启用了脱机文件功能。脱机文件将网络文件的副本保存在用户的计算机上,以便在计算机未连接到网络时使用。禁用此策略设置后,将禁用脱机文件功能,并且用户无法启用该功能。 |
| *TCPIP 设置\IPv6 转换技术 | 设置 Teredo 状态 | 已禁用状态 | 已启用(如果此设置已启用且设置为“已禁用状态”,则主机上不会显示 Teredo 界面) |
| *WLAN 服务\WLAN 设置 | 允许 Windows 自动连接到建议的开放热点、联系人共享的网络以及提供付费服务的热点 | 空值 | 已禁用 (此策略设置确定用户是否可以启用以下 WLAN 设置:“连接到建议的开放热点”、“连接到我的联系人共享的网络”和“启用付费服务”。禁用此策略设置后,将禁用“连接到建议的开放热点”、“连接到我的联系人共享的网络”和“启用付费服务”,并阻止此设备上的用户启用它们。 |
| WWAN 服务\手机网络数据访问 | 允许 Windows 应用访问手机网络数据 | 所有应用的默认设置:强制拒绝 | 已启用 (如果选择“强制拒绝”选项,则不允许 Windows 应用访问手机网络数据,用户无法更改它。 |
| 本地计算机策略\计算机配置\管理模板\开始菜单和任务栏 | 空值 | 空值 | |
| *通知 | 关闭通知网络的使用 | 空值 | 已启用 (启用此策略设置后,应用程序和系统功能无法从 WNS 或通过通知轮询 API 从网络接收通知) |
| 本地计算机策略\计算机配置\管理模板\系统 | 空值 | 空值 | 空值 |
| 设备安装 | 在设备上安装通用驱动程序时,不要发送 Windows 错误报告 | 空值 | 已启用 (启用此策略设置后,安装通用驱动程序时不会发送错误报告。 |
| 设备安装 | 禁止在通常会提示创建还原点的设备活动过程中创建系统还原点 | 空值 | 启用 (启用此策略设置后,Windows 不会在通常创建系统还原点时创建系统还原点。 |
| 设备安装 | 禁止从 Internet 进行设备元数据检索 | 空值 | 已启用(通过此策略设置,可防止 Windows 从 Internet 检索设备元数据。 启用此策略设置后,Windows 不会从 Internet 检索已安装设备的设备元数据。 此策略设置将替代“设备安装设置”对话框(“控制面板”>“系统和安全性”>“系统”>“高级系统设置”>“硬件”选项卡)中的设置。) |
| 设备安装 | 安装设备过程中禁用“找到新硬件”气球 | 空值 | 已启用 (此策略设置允许在设备安装过程中关闭“已找到的新硬件”气球。启用此策略设置后,安装设备时不会显示“已找到的新硬件”气球。 |
| 文件系统\NTFS | 短名称创建选项 | 短名称创建选项:已在所有卷上禁用 | 启用 (这些设置可控制创建文件期间是否生成短名称。某些应用程序需要短名称来保持兼容性,但短名称对系统具有负面影响。在所有卷上禁用短名称后,不会生成它们。 |
| *组策略 | 在此设备上继续体验 | 空值 | 已禁用(此策略设置可确定是否允许 Windows 设备参与跨设备体验(持续体验)。 禁用此策略可防止其他设备发现此设备,因此无法参与跨设备体验。 |
| Internet 通信管理\Internet 通信设置 | 关闭事件查看器“Events.asp”链接 | 空值 | 已启用(此策略设置指定是否为事件查看器应用程序中的事件供“Events.asp”超链接。) |
| Internet 通信管理\Internet 通信设置 | 关闭手写个性化数据共享 | 空值 | 已启用(关闭手写识别个性化工具中的数据共享。) |
| Internet 通信管理\Internet 通信设置 | 关闭手写识别错误报告 | 空值 | 已启用(关闭手写识别错误报告工具。) |
| Internet 通信管理\Internet 通信设置 | 关闭帮助和支持中心 Microsoft 知识库搜索 | 空值 | 已启用(此策略设置指定用户能否从帮助和支持中心执行 Microsoft 知识库搜索。) |
| Internet 通信管理\Internet 通信设置 | 如果 URL 连接指向 Microsoft.com,则关闭 Internet 连接向导 | 空值 | 已启用(此策略设置指定 Internet 连接向导能否连接到 Microsoft 来下载一系列的 Microsoft 服务提供程序 (ISP)。) |
| Internet 通信管理\Internet 通信设置 | 关闭 Web 发布和在线订购向导的 Internet 下载 | 空值 | 已启用(此策略设置指定 Windows 是否应下载一系列的提供程序供 Web 发布和在线订购向导使用。) |
| Internet 通信管理\Internet 通信设置 | 关闭 Internet 文件关联服务 | 空值 | 已启用(此策略设置指定是否要使用 Microsoft Web 服务查找应用程序来打开带有未处理的文件关联的文件。) |
| Internet 通信管理\Internet 通信设置 | 如果 URL 连接指向 Microsoft.com,则关闭注册 | 空值 | 已启用(此策略设置指定 Windows 注册向导是否连接到 Microsoft.com 来进行联机注册。) |
| Internet 通信管理\Internet 通信设置 | 关闭搜索助理内容文件更新 | 空值 | 已启用(此策略设置指定搜索助理是否应在本地和 Internet 搜索期间自动下载内容更新。) |
| Internet 通信管理\Internet 通信设置 | 关闭“订购打印”照片任务 | 空值 | 已启用(如果启用此策略设置,则将从文件资源管理器文件夹中的“图片任务”中删除“在线订单打印”任务。) |
| Internet 通信管理\Internet 通信设置 | 关闭文件和文件夹的“发布到 Web”任务 | 空值 | *已启用(此策略设置指定“将此文件发布到 Web”、“将此文件夹发布到 Web”和“将选定项目发布到 Web”任务在 Windows 文件夹中的“文件和文件夹任务”中是否可用。) |
| Internet 通信管理\Internet 通信设置 | 关闭 Windows 客户体验改善计划 | 空值 | 已启用(Windows 客户体验改善计划 (CEIP) 会收集有关你的硬件配置以及你如何使用我们的软件和服务的基本信息,用于确定使用趋势和使用模式。 如果启用此策略设置,则所有用户都不参与 Windows CEIP。) |
| Internet 通信管理\Internet 通信设置 | 关闭 Windows 错误报告 | 空值 | 启用 (此策略设置控制是否向Microsoft报告错误。如果启用此策略设置,则不会向用户提供报告错误的选项。 |
| Internet 通信管理\Internet 通信设置 | 关闭 Windows 更新设备驱动程序搜索 | 空值 | 启用(此策略设置指定当设备没有本地驱动程序时,Windows 是否Windows 更新设备驱动程序。如果启用此策略设置,则安装新设备时不会搜索Windows 更新。 |
| 登录 | 不要在登录时显示“入门”欢迎屏幕 | 空值 | 已启用(如果启用此设置,则登录到 Windows 设备的用户将不会看到欢迎屏幕。) |
| 登录 | 不要枚举已加入域的计算机上的已连接用户 | 空值 | 已启用 (启用此设置后,登录 UI 不会枚举已加入域的计算机上的任何已连接用户。 |
| 登录 | 枚举已加入域的计算机上的本地用户 | 空值 | 已 禁用(禁用此设置后,登录 UI 不会枚举已加入域的计算机上的本地用户。 |
| 登录 | 显示清除登录背景 | 空值 | 已启用(此策略设置将禁用登录背景图像上的亚克力模糊效果。如果启用此设置,则将显示登录背景图像且不带模糊效果。) |
| 登录 | 显示首次登录动画 | 空值 | 已禁用(通过此策略设置,可控制用户在首次登录计算机时看到首次登录动画 这既适用于计算机的完成初始设置的第一名用户,也适用于稍后被添加到计算机的用户。 它还控制在首次登录期间是否为Microsoft帐户用户提供服务选择加入提示。 禁用此设置后,用户看不到第一个登录动画,Microsoft帐户用户看不到服务的选择加入提示。 |
| 登录 | 关闭锁屏界面上的应用通知 | 空值 | 已启用(通过此策略设置,可阻止在锁屏界面上显示应用通知。如果启用此设置,则不会在锁屏界面上显示应用通知。) |
| 电源管理 | 选择当前电源计划 | 活动状态电源计划:高性能 | 已启用(如果启用此策略设置,请从“活动状态电源计划”列表中指定一个电源计划。) 禁用“Power”服务后,Powercfg.cpl UI 无法显示这些电源选项,而是返回 RPC 错误。 |
| 电源管理\视频和显示设置 | 启用桌面背景幻灯片放映(已插入) | 空值 | 已禁用(通过此策略设置,可指定 Windows 是否应启用桌面背景幻灯片放映。)如果禁用此设置,则会禁用桌面背景幻灯片放映。 此设置可能对 VM 没有影响。 |
| 恢复 | 允许将系统还原到默认状态 | 空值 | 已禁用(禁用此设置后,恢复(控制面板)中的“使用之前创建的系统映像恢复计算机”和“重新安装 Windows”(或“将计算机返回到工厂条件”)中的项不可用。 |
| *存储运行状况 | 允许下载磁盘故障预测模型的更新 | 空值 | 已禁用 (磁盘故障预测失败模型不会下载更新) |
| “系统还原” | 关闭系统还原功能 | 空值 | 已启用 (启用此设置后,系统还原处于关闭状态,并且无法访问系统还原向导。还将禁用通过系统保护配置系统还原或创建还原点的选项。 |
| 故障排除和诊断\计划内维护 | 配置计划内维护行为 | 空值 | 已禁用 (确定计划诊断是否运行以主动检测和解决系统问题。禁用此策略设置后,Windows 无法按计划检测、排查或解决问题。 |
| 故障排除和诊断\脚本诊断 | 故障排除:使用户能够访问和运行故障排除向导 | 空值 | 已禁用(禁用此设置后,用户无法访问或运行控制面板中的故障排除工具。 |
| 故障排除和诊断\脚本诊断 | 故障排除:使用户能够从“疑难解答”控制面板(通过 Windows 在线疑难解答服务 (WOTS))对 Microsoft 服务器上的内容进行故障排除 | 空值 | 禁用此设置 后,用户只能访问和搜索计算机上本地可用的故障排除内容,即使它们已连接到 Internet。 它们无法连接到托管 Windows Online 故障排除服务的Microsoft服务器。 |
| 故障排除和诊断\Windows 启动性能诊断 | 配置方案执行级别 | 空值 | 已禁用 (确定 Windows 启动性能诊断的执行级别。如果禁用此策略设置,Windows 无法检测、排查或解决 DPS 处理的任何 Windows 启动性能问题。 此设置在设计、测试、开发或维护阶段非常有用。 可在独立 VM 或会话主机上、在获得的度量中启用此设置,还可在“Microsoft-Windows-Diagnostics-Performance/Operational”源(Diagnostics-Performance,任务类别 -“启动性能监视”)下事件日志中记录的结果中启用此设置。 此外:禁用 DPS 服务后,此设置不起作用,因为 Windows 不会记录性能数据。 |
| 故障排除和诊断\Windows 内存泄漏诊断 | 配置方案执行级别 | 空值 | 已禁用(此策略设置可确定诊断策略服务 (DPS) 是否会诊断内存泄漏问题。 禁用此设置后,DPS 无法诊断内存泄漏问题。 可以启用许多诊断模式,以及使用的工具(例如 WPT),尽管这些模式是在开发/测试/维护方案中完成的,但在生产 VM 或会话上未启用和使用 |
| 故障排除和诊断\Windows 性能 PerfTrack | 启用/禁用 PerfTrack | 空值 | 已禁用 (此策略设置指定是启用或禁用跟踪响应事件。禁用此设置后,不会处理响应性事件。 |
| 故障排除和诊断\Windows 资源耗尽检测和解决方法 | 配置方案执行级别 | 空值 | 已禁用 (确定 Windows 资源耗尽检测和解决方法的执行级别。禁用此设置后,Windows 无法检测、排查或解决 DPS 处理的任何 Windows 资源耗尽问题。 |
| 故障排除和诊断\Windows 关机性能诊断 | 配置方案执行级别 | 空值 | 已禁用 (确定 Windows 关闭性能诊断的执行级别。禁用此设置后,Windows 无法检测、排查或解决 DPS 处理的任何 Windows 关闭性能问题。 |
| 故障排除和诊断\Windows 待机/恢复性能诊断 | 配置方案执行级别 | 空值 | 已禁用 (确定 Windows 待机/恢复性能诊断的执行级别。禁用此设置后,Windows 无法检测、排查或解决 DPS 处理的任何 Windows 待机/恢复性能问题。 |
| 故障排除和诊断\Windows 系统响应性能诊断 | 配置方案执行级别 | 空值 | 已禁用 (确定 Windows 系统响应性诊断的执行级别。禁用此设置后,Windows 无法检测、排查或解决 DPS 处理的任何 Windows 系统响应能力问题。 |
| *用户配置文件 | 关闭广告 ID | 空值 | 已启用(如果启用此设置,则会关闭广告 ID。应用无法对跨应用的体验使用该 ID) |
| 本地计算机策略\计算机配置\管理模板\Windows 组件 | 空值 | 空值 | 空值 |
| *应用隐私 | 允许 Windows 应用访问有关其他应用的诊断信息 | 所有应用的默认设置:强制拒绝 | 已启用 (启用此设置并使用“强制拒绝”选项时,不允许 Windows 应用获取有关组织中的其他应用和员工的诊断信息。) |
| *应用隐私 | 允许 Windows 应用访问位置 | 所有应用的默认设置:强制拒绝 | 启用此设置并使用“强制拒绝”选项时,不允许 Windows 应用访问位置,用户无法更改设置。 |
| *应用隐私 | 允许 Windows 应用访问运动数据 | 所有应用的默认设置:强制拒绝 | 已启用 (启用此设置并使用“强制拒绝”选项时,不允许 Windows 应用访问运动数据,用户无法更改设置。 |
| *应用隐私 | 允许 Windows 应用访问通知 | 所有应用的默认设置:强制拒绝 | 已启用 (启用此设置并使用“强制拒绝”选项时,不允许 Windows 应用访问通知,用户无法更改设置) |
| *应用隐私 | 允许 Windows 应用通过语音激活 | 所有应用的默认设置:强制拒绝 | 已启用(此策略设置指定 Windows 应用能否通过语音激活。) |
| *应用隐私 | 允许 Windows 应用在系统锁定时通过语音激活 | 所有应用的默认设置:强制拒绝 | 已启用(此策略设置指定在系统锁定时能否通过语音激活 Windows 应用。) |
| *应用隐私 | 让 Windows 应用控制无线电收发器 | 所有应用的默认设置:强制拒绝 | 已启用 (如果选择“强制拒绝”选项,Windows 应用无权控制无线电,并且组织中的员工无法更改它) |
| 应用程序兼容性 | 关闭清单收集器 | 空值 | 已启用 (此策略设置控制清单收集器的状态。清单收集器清点系统上的应用程序、文件、设备和驱动程序,并将信息发送到Microsoft。启用此策略设置后,将关闭库存收集器,并且不会将数据发送到Microsoft。还禁用了通过程序兼容性助手收集安装数据。 |
| 自动播放策略 | 设置“自动运行”的默认行为 | 不执行任何自动运行命令 | 已启用(此策略设置可设置自动运行命令的默认行为。) |
| *自动播放策略 | 关闭自动播放 | 所有驱动器 | 已启用(如果启用此策略设置,则会在所有驱动器上禁用自动播放。) |
| *云内容 | 不显示 Windows 提示 | 空值 | 已启用(此策略设置可防止向用户显示 Windows 提示) |
| *云内容 | 关闭 Microsoft 消费者体验 | 空值 | 已启用 (启用此策略设置后,用户看不到有关其Microsoft帐户Microsoft和通知的个性化建议) |
| *数据收集和预览版 | 允许遥测 | 0 - 安全性 [仅适用于企业版] | 已启用(0 值设置仅适用于运行企业版、教育版、IoT 版或 Windows Server 版的设备,它可减少发送到所支持的最基本级别的遥测数据) |
| 数据收集和预览版 | 配置针对桌面分析对浏览数据的收集 | 配置遥测收集:不允许发送 Intranet 或 Internet 历史记录 | 已启用(可以将 Microsoft Edge 配置为仅发送 Intranet 历史记录、仅 Internet 历史记录,或同时为配置了商业 ID 的企业设备桌面分析。如果禁用或未配置,Microsoft Edge 不会将浏览历史记录数据发送到 桌面分析。 |
| *数据收集和预览版 | 不显示反馈通知 | 空值 | 已启用(通过此策略设置,组织可防止其设备显示来自 Microsoft 的反馈问题。) |
| 传递优化 | 下载模式 | 下载模式:简单 (99) | 已启用 (99 = 没有对等互连的简单下载模式。仅使用 HTTP 下载传递优化,并且不会尝试联系传递优化云服务。 |
| 桌面窗口管理器 | 不允许窗口动画 | 空值 | 已启用(此策略设置控制窗口动画的外观,例如在还原、最小化和最大化窗口时发现的动画的外观。如果启用此策略设置,则窗口动画会被关闭。) |
| 桌面窗口管理器 | 对“开始”屏幕背景图片使用纯色 | 空值 | 已启用 (此策略设置控制“开始”背景视觉对象。启用此策略设置后,“开始”背景使用纯色。 |
| 边缘 UI | 允许轻扫边缘 | 空值 | 已禁用 (如果禁用此策略设置,则用户无法通过从任何屏幕边缘轻扫来调用任何系统 UI。 |
| 边缘 UI | 禁用帮助提示 | 空值 | 已启用 (如果启用此设置,Windows 不会向用户显示任何帮助提示。 |
| 文件资源管理器 | 不显示“已安装的新应用程序”通知 | 空值 | 已启用(此策略将删除新应用程序关联的最终用户通知。 这些关联基于文件类型(例如 TXT 文件)或协议(例如 HTTP)。 如果启用此策略,则不会向最终用户显示任何通知) |
| 文件历史记录 | 关闭文件历史记录 | 空值 | 已启用 (启用此策略设置后,无法激活文件历史记录以创建常规的自动备份。 |
| *查找我的设备 | 打开/关闭“查找我的设备” | 空值 | 已禁用 (“查找我的设备”已关闭时,设备及其位置未注册,“查找我的设备”功能不起作用。用户无法查看其设备上活动数字化器上次使用的位置。 |
| 家庭组 | 阻止计算机加入家庭组 | 空值 | 已启用 (如果启用此策略设置,则用户无法将计算机添加到家庭组。此策略设置不会影响其他网络共享功能。 |
| Internet Information Services | 阻止安装 IIS | 空值 | 已启用 (启用此策略设置后,无法安装 IIS,并且无法安装需要 IIS 的 Windows 组件或应用程序。 |
| *定位和传感器 | 关闭定位 | 空值 | 已启用(如果启用此策略设置,则会关闭定位功能,并阻止此设备上的所有程序使用定位功能中的位置信息) |
| 定位和传感器 | 关闭传感器 | 空值 | 已启用 (此策略设置关闭此设备的传感器功能。启用此策略设置后,传感器功能处于关闭状态,并且此计算机上的所有程序都无法使用传感器功能。 |
| 定位和传感器 / Windows 定位程序 | 关闭 Windows 定位程序 | 空值 | 已启用(此策略设置会关闭此设备的 Windows 定位程序功能。) |
| *地图 | 关闭地图数据的自动下载和更新 | 空值 | 已启用(如果启用此设置,则会关闭地图数据的自动下载和更新。) |
| *地图 | 在“脱机地图”设置页面关闭未经请求的网络流量 | 空值 | 已启用(如果启用此策略设置,则会关闭在离线地图设置页面上生成网络流量的功能。注意:这可能会关闭整个设置页面。) |
| *消息 | 允许消息服务云同步 | 空值 | 已禁用(通过此策略设置,可将手机短信备份和还原到 Microsoft 的云服务。) |
| *Microsoft Edge | 允许对书籍库进行配置更新 | 空值 | 已 禁用(禁用此设置后,Microsoft Edge 不会自动下载书籍库更新的配置数据。 |
| *Microsoft Edge | 允许“书籍”选项卡的扩展遥测 | 空值 | 已禁用(如果禁用此设置,Microsoft Edge 仅发送基本遥测数据,具体取决于你的设备配置。) |
| Microsoft Edge | 允许 Microsoft Edge 在 Windows 启动时、在系统空闲时以及每次关闭 Microsoft Edge 时预先启动。 | 配置预启动:阻止预先启动 | 已禁用(如果启用此设置,并将其配置为阻止预先启动,则 Microsoft Edge 在 Windows 登录期间、系统空闲时或每次 Microsoft Edge 关闭时不会预先启动。) |
| Microsoft Edge | 允许 Microsoft Edge 在 Windows 启动时和每次关闭 Microsoft Edge 时启动和加载开始页面及新标签页 | 配置标签页预加载:阻止预加载标签页 | 已启用(通过此策略设置,可确定 Microsoft Edge 能否在 Windows 登录时和每次关闭 Microsoft Edge 时加载开始页面和新标签页。默认情况下,此设置允许预先加载。如果禁用预加载,则 Microsoft Edge 在 Windows 登录时和每次关闭 Microsoft Edge 时不会加载开始页面或新标签页。) |
| Microsoft Edge | 允许“新建选项卡”页面中的 Web 内容 | 空值 | 已 禁用(禁用此设置后,Edge 将打开一个新选项卡,其中包含空白页。如果已配置此设置,则用户无法更改设置。 |
| *Microsoft Edge | 阻止在 Microsoft Edge 中打开首次运行网页 | 空值 | 已启用(首次打开 Microsoft Edge 时,用户不会看到“首次运行”页面。) |
| OneDrive | 用户登录到 OneDrive 之前阻止 OneDrive 产生网络流量 | 空值 | 已启用(启用此设置可在用户登录到 OneDrive 或开始向本地计算机同步文件之前,防止 OneDrive 同步客户端 (OneDrive.exe) 生成网络流量(检查更新等)) |
| 联机帮助 | 关闭“活动帮助” | 空值 | 启用 (启用此策略设置后,不会呈现活动内容链接。将显示文本,但这些元素没有可单击的链接。 |
| OOBE | 请不要在用户登录时启动隐私设置体验 | 空值 | 已启用(首次登录新的用户帐户时,或者在某些情况下进行升级后,操作用户可能会看到一个或一系列屏幕,上面提示该用户为其帐户选择隐私设置。启用此策略可阻止启动此体验。) |
| RSS 源 | 阻止自动发现源和网页快讯 | 空值 | 已启用 (此策略设置可阻止用户Microsoft Edge 自动发现源或 Web 切片是否可用于关联的网页。 |
| *RSS 源 | 关闭源和网页快讯的后台同步 | 空值 | 已启用(如果启用此策略设置,则会禁止在后台同步信息提要和网页快讯。) |
| *搜索 | 允许使用 Cortana | 空值 | 已禁用 (此策略设置指定是否允许在设备上使用 Cortana。当 Cortana 关闭时,用户可以使用搜索在设备上查找内容。 |
| Search | 允许在锁屏界面上方使用 Cortana | 空值 | 已禁用(此策略设置可确定在系统锁定时用户能否使用语音与 Cortana 交互。) |
| *搜索 | 允许搜索和 Cortana 使用位置 | 空值 | 已禁用(此策略设置指定搜索功能和 Cortana 能否提供位置感知搜索和 Cortana 结果。) |
| Search | 控制多格式的附件预览 | 控制多格式的附件预览:.docx、.xlsx、.txt、.xls | 已启用(启用此策略定义允许具有丰富附件预览的文件扩展名的分号分隔列表)。 注意:此设置可用于显示会预览哪些类型的附件,以及哪些内容也可帮助阻止自动预览一些可能存在危害的内容类型。 |
| Search | 不允许 Web 搜索 | 空值 | 已启用(启用此策略会从 Windows 桌面搜索中删除搜索 Web 的选项。) |
| *搜索 | 不在 Web 中搜索或在“搜索”中显示 Web 结果 | 空值 | 已启用 (启用此策略设置后,当用户在搜索中执行查询时,不会在 Web 上执行查询,并且不会显示 Web 结果。 |
| Search | 启用对未缓存的 Exchange 文件夹编制索引的功能 | 空值 | 已 禁用(启用此策略可在Microsoft Outlook 未在缓存模式下运行时对 Microsoft Exchange 服务器上的邮件项目编制索引。搜索的默认行为是不要为未缓存的 Exchange 文件夹编制索引。禁用此策略会阻止对未缓存的 Exchange 文件夹进行任何索引。 |
| Search | 阻止对脱机文件缓存中的文件编制索引 | 空值 | 已启用 (如果已启用,则不会为网络共享上的文件编制脱机索引。否则会编制索引。默认禁用。) |
| *搜索 | 设置在“搜索”中共享的信息 | 匿名信息 | 已启用 (匿名信息:共享使用情况信息但不共享搜索历史记录、Microsoft帐户信息或特定位置) |
| Search | 如果硬盘空间有限,请停止编制索引 | 空间限制 (MB):5000 | 已启用(如果启用此策略,则当索引位置所在的驱动器上剩余的硬盘空间小于指定的硬盘空间量时,会阻止继续建立索引。空间大小介于 0 至 2147483647 MB 之间。) |
| 软件保护平台 | 关闭 KMS 客户端联机 AVS 验证 | 空值 | 已启用 (启用此设置后,设备不会发送有关其激活状态Microsoft的数据) |
| *语音 | 允许自动更新语音数据 | 空值 | 已禁用 (指定设备是否接收语音识别和语音合成模型的更新)。 |
| 存储 | 停止向最新版本的 Windows 提供更新 | 空值 | 已启用 (启用或禁用应用商店产品/服务以更新到最新版本的 Windows)。如果启用此设置,应用商店应用程序不提供对最新版本的 Windows 的更新。 |
| 文本输入 | 改进墨迹书写和键入识别 | 空值 | 已禁用(此策略设置控制将墨迹和键入数据发送至 Microsoft 的功能,从而改进在 Windows 上运行的应用和服务的语言识别和建议功能。) |
| Windows 错误报告 | 禁用 Windows 错误报告 | 空值 | 已启用(启用此策略设置后,Windows 错误报告不会向Microsoft发送任何问题信息。解决方案信息在控制面板的安全和维护中不可用。 |
| Windows 游戏录制和广播 | 启用或禁用 Windows 游戏录制和广播 | 空值 | 已 禁用(禁用此设置后,不允许 Windows 游戏录制。 |
| Windows Ink 工作区 | 允许 Windows Ink 工作区 | 选择下列操作之一:禁用 | 已启用(如果启用此设置,并将子设置设为“已禁用”,则 Windows Ink 工作区功能不可用。) |
| Windows Installer | 控制基线文件缓存大小的上限 | 5 | 已启用 (此策略控制 Windows Installer 基线文件缓存可用的磁盘空间百分比。启用此策略设置后,可以修改 Windows Installer 基线文件缓存的最大大小。 |
| Windows Installer | 禁止创建系统还原检查点 | 空值 | 已启用 (启用此策略设置后,Windows Installer 不会在安装应用程序时生成系统还原检查点。 |
| Windows 移动中心 | 关闭 Windows 移动中心 | 空值 | 已启用 (启用此策略设置后,用户无法调用 Windows 移动中心。Windows 移动中心 UI 已从所有 shell 入口点中删除,.exe文件不会启动它。 |
| Windows 可靠性分析 | 配置可靠性 WMI 提供程序 | 空值 | 已 禁用(禁用此策略设置后,可靠性监视器不显示系统可靠性信息,并且支持 WMI 的应用程序无法访问列出的提供程序的可靠性信息。 |
| Windows 安全中心\通知 | 隐藏非关键通知 | 空值 | 已启用(启用此设置后,本地用户只能看到来自Windows 安全的关键通知。它们看不到其他类型的通知,例如常规电脑或设备运行状况信息。 |
| Windows 更新 | 启用软件通知 | 空值 | 已禁用(通过此策略设置,可控制用户是否会看到有关 Microsoft 更新服务提供的特色软件的详细增强型通知消息。此策略设置适合在松散管理的环境中使用,最终用户可在这种环境访问 Microsoft 更新服务。) |
| *Windows 更新\适用于企业的 Windows 更新 | 管理预览版 | 设置接收预览版的行为:禁用预览版 | 已启用 (选择“禁用预览版本”会阻止预览版本在设备上安装。这可以防止用户通过设置 -> 更新和安全选择加入 Windows 预览体验计划) |
| *Windows 更新\适用于企业的 Windows 更新 | 选择何时接收预览版和功能更新 | 为要接收的更新选择 Windows 就绪性级别: 半年频道 在预览版或功能更新发布后,延迟以下天数后再接收它:365 从 yyyy-mm-dd 开始暂停预览版或功能更新 |
已启用(启用此策略可指定要接收的预览版/功能更新的级别以及接收时间。) 半年频道:在向公众发布功能更新时接收功能更新。 选择半年频道时: - 最多可将对功能更新的接收延迟 365 天。 - 若要阻止在功能更新的计划时间接收这些更新,可暂时暂停它们。 暂停在提供开始时间起 35 天内保持有效。 - 若要恢复接收暂停的功能更新,请清除开始日期字段。 |
| Windows 更新\适用于企业的 Windows 更新 | 选择何时接收质量更新 | 在质量更新发布后,延迟以下天数后再接收它:30 从 yyyy-mm-dd 开始暂停质量更新 |
已启用(启用此策略可指定何时接收质量更新。 最多可将对质量更新的接收延迟 30 天。 若要阻止在质量更新的计划时间接收这些更新,可暂时暂停它们。 暂停在 35 天内有效,或者直到清除开始日期字段为止。 若要恢复接收已暂停的质量更新,请清除开始日期字段。 此建议旨在帮助控制何时该应用更新,同时确保不意外提供和安装更新 |
| 本地计算机策略\用户配置\管理模板 | 空值 | 空值 | 空值 |
| 控制面板\区域和语言选项 | 关闭在我键入时提供文本预测的功能 | 空值 | 已启用 (此策略关闭“我键入”选项时的产品/服务文本预测)。但是,这不会阻止用户或应用程序以编程方式更改设置。启用此策略设置后,该选项被锁定,无法提供文本预测。 |
| 桌面 | 不要将最近打开的文档共享添加到网络位置 | 空值 | 启用 (启用此设置后,在共享文件夹中打开文档时,不会自动将共享文件夹添加到网络位置。 |
| 桌面 | 关闭 Aero Shake 窗口最小化鼠标手势 | 空值 | 已启用 (防止在活动窗口与鼠标来回摇动时最小化或还原窗口。启用此策略后,当活动窗口通过鼠标来回摇动时,应用程序窗口不会最小化或还原。 |
| 桌面 / Active Directory | Active Directory 搜索的最大大小 | 返回的对象数目:1500 | 已启用(指定系统为响应 Active Directory 浏览或搜索命令而显示的最大对象数目。此设置会影响与 Active Directory 关联的所有浏览器显示,例如本地用户和组、Active Directory 用户和计算机以及用于设置 Active Directory 中用户或组对象权限的对话框中的浏览器显示。) |
| 开始菜单和任务栏 | 不要从远程位置显示或跟踪跳转列表中的项目 | 空值 | 已启用(通过此策略设置,可控制是否显示或跟踪来自远程位置的跳转列表中的项目。) |
| 开始菜单和任务栏 | 不要搜索 Internet | 空值 | 已启用 (启用此策略设置后,“开始菜单”搜索框不会搜索 Internet 历史记录或收藏夹。 |
| 开始菜单和任务栏 | 解析 shell 快捷方式时不要使用基于搜索的方法 | 空值 | 已启用(此策略设置会阻止系统对目标驱动器进行全面搜索来解析快捷方式。) |
| 开始菜单和任务栏 | 关闭所有气球通知 | 空值 | 已启用(如果启用此策略设置,则不向用户侠士任何通知气球。) |
| 开始菜单和任务栏 | 关闭功能广告气球通知 | 空值 | 已启用 (启用此策略设置后,不会显示标记为功能播发的某些通知气球。 |
| 开始菜单和任务栏 | 关闭用户跟踪 | 空值 | 已启用 (启用此策略设置后,系统不会跟踪用户运行的程序,也不会在“开始”菜单中显示常用程序)。 |
| 开始菜单和任务栏 / 通知 | 关闭 toast 通知 | 空值 | 已启用 (启用此策略设置后,应用程序无法引发 Toast 通知。 |
| *开始菜单和任务栏/通知 | 关闭锁屏界面上的 toast 通知 | 空值 | 已启用 (启用此策略设置后,应用程序无法在锁屏上引发 Toast 通知。 |
| 本地计算机策略/用户配置 | 空值 | 空值 | 空值 |
| Windows 组件 / 云内容 | 在锁屏界面上配置 Windows 聚焦 | 空值 | 已 禁用(禁用此策略后,Windows 聚焦已关闭,用户无法将其选择为锁定屏幕。用户会看到默认锁屏图像,并且能够选择其他图像,除非已启用“阻止更改锁屏图像”策略。 |
| *Windows 组件/云内容 | 不要在 Windows 聚焦中建议第三方内容 | 空值 | 已启用(启用此策略后,Windows 聚焦功能(如锁屏聚焦、开始菜单中的建议应用或 Windows 提示)不会建议来自第三方软件发布者的应用和内容。用户仍可能会看到建议和提示,以便通过Microsoft功能和应用提高工作效率。 |
| Windows 组件 / 云内容 | 不要将诊断数据用于定制体验 | 空值 | 已启用 (启用此策略设置后,Windows 不使用此设备的诊断数据(此数据可能包括浏览器、应用和功能使用情况,具体取决于“诊断数据”设置值)以自定义锁屏界面、Windows 提示、Microsoft使用者功能和其他相关功能上显示的内容。 |
| Windows 组件 / 云内容 | 关闭所有的 Windows 聚焦功能 | 空值 | 已启用 (锁屏界面上的 Windows 聚焦、Windows 提示、Microsoft使用者功能和其他相关功能已关闭。如果目标是最大程度地减少来自目标设备的网络流量,则应启用此策略设置。 |
| 边缘 UI | 关闭应用使用情况跟踪 | 空值 | 已启用(此策略设置会阻止 Windows 跟踪使用和搜索频率最高的应用。 如果启用此策略设置,应用按字母顺序排序: - 搜索结果 -“搜索”窗格和“共享”窗格 - 选取器中的应用下拉列表) |
| 文件资源管理器 | 关闭缩略图的缓存 | 空值 | 已启用 (启用此策略设置后,不会缓存缩略图视图。 |
| 文件资源管理器 | 关闭常用控件和窗口动画 | 空值 | 启用 (禁用动画可以提高某些视觉障碍的用户的可用性,并在某些情况下提高性能和电池使用时间。 |
| 文件资源管理器 | 禁止在文件资源管理器搜索框中显示最近的搜索条目 | 空值 | 已启用(禁止对搜索框建议最近使用的查询,并阻止将搜索框中的条目存储在注册表中供未来参考。) |
| 文件资源管理器 | 关闭隐藏的 thumbs.db 文件中的缩略图缓存 | 空值 | 启用(启用此策略设置后,文件资源管理器不会创建、读取或写入thumbs.db文件。 |
* 摘自 Windows 受限流量限制功能基线。
系统服务
如果你在考虑禁用系统服务来节省资源,请确保这些服务不是其他一些服务的组件。 在本白皮书和可用 GitHub 脚本中,某些服务不在列表中,因为它们不能以受支持的方式禁用。
其中的大多数建议按照有关在带有桌面体验的 Windows Server 2016 中禁用系统服务的指导中的说明,摘自针对装有桌面体验的 Windows Server 2016 提供的建议。
有很多看似适合禁用的服务已设置为手动服务启动类型。 这意味着,仅当事件触发对服务的请求时,服务不会自动启动和启动。 此处未列出已设置为启动类型手动的服务。
注意
可以使用以下 PowerShell 示例代码来枚举正在运行的服务,结果仅输出服务的短名称:
Get-Service | Where-Object {$_.Status -eq 'Running'} | Select-Object -ExpandProperty Name
下表包含一些可能被视为要在虚拟桌面环境中禁用的服务:
| Windows 服务 | 服务名称 | 项 | 备注 |
|---|---|---|---|
| 手机网络时间 | autotimesvc | 此服务基于移动网络中的 NITZ 消息设置时间 | 虚拟桌面环境可能没有此类设备可用。 若要了解详细信息,请参阅 MB NITZ 支持文章。 |
| GameDVR 和广播用户服务 | BcastDVRUserService | 此(基于用户)服务用于游戏录制和实时广播 | 注意:这是一项“基于用户的服务”,因此必须禁用模板服务。 此用户服务用于游戏录制和实时广播。 若要了解详细信息,请参阅 MB NITZ 支持文章。 |
| CaptureService | CaptureService | 为调用 Windows.Graphics.Capture API 的应用程序启用可选的屏幕捕获功能。 | OneCore 捕获服务:为调用 Windows.Graphics.Capture API 的应用程序启用可选的屏幕捕获功能 有关详细信息,请参阅 Windows.Graphics.Capture 命名空间 API 文档。 |
| 互联设备平台服务 | CDPSvc | 此服务用于互联设备平台方案 | 连接的设备平台服务。 若要了解详细信息,请参阅 连接的设备平台概述文章 |
| CDP 用户服务 | CDPUserSvc | 空值 | 互联设备平台用户服务。 若要了解详细信息,请参阅 连接的设备平台协议版本 3 一文。 此用户服务用于互联设备平台方案 |
| 优化驱动器 | defragsvc | 通过优化存储驱动器上的文件,帮助计算机更有效地运行。 | 虚拟桌面解决方案通常不会受益于磁盘优化。 这些“驱动器”通常不是传统的驱动器,而只是一种临时存储分配。 |
| 诊断执行服务 | DiagSvc | 执行诊断操作来排查支持方面的问题 | 禁用此服务时,将一并禁用运行 Windows 诊断“诊断执行服务”的功能。 |
| 已连接的用户体验和遥测 | DiagTrack | 此服务可启用支持应用程序内部和已连接的用户体验的功能。 此服务在“反馈和诊断”下启用诊断和使用隐私选项设置时管理事件驱动的收集和传输诊断和使用情况信息(用于改善 Windows 平台的体验和质量)。 | 在断开连接的网络中考虑禁用。 若要了解详细信息,请参阅 如何在组织中配置 Windows 诊断数据。 |
| 诊断策略服务 | DPS | 诊断策略服务启用 Windows 组件的问题检测、故障排除和解决。 如果此服务已停止,则诊断不起作用。 | 禁用此服务将一并禁用运行 Windows 诊断的功能。 有关详细信息,请参阅 Windows.System.Diagnostics 命名空间参考。 |
| 设备安装管理器 | DsmSvc | 启用设备相关软件的检测、下载和安装。 | 如果此服务已禁用,则可能会使用过期的软件配置设备,因此设备可能无法正常工作。 虚拟桌面环境可密切控制所安装的软件,并在整个环境中保持该一致性。 |
| 数据使用服务 | DusmSvc | 网络数据使用情况、数据限制、限制后台数据、按流量计费的网络。 | 有关详细信息,请参阅 DUSM 架构。 |
| Windows 移动热点服务 | icssvc | 提供与另一台设备共享手机网络数据连接的功能。 | 若要了解详细信息,请参阅 NetworkOperatorTetheringAccessPointConfiguration 类参考。 |
| Microsoft Store 安装服务 | InstallService | 提供 Microsoft Store 的基础结构支持。 | 此服务是按需启动的,如果禁用,则安装无法正常工作。 请考虑在非持久性虚拟桌面上禁用此服务,而对于持久性虚拟桌面解决方案,则保留原样。 |
| 地理定位服务 | Lfsvc | 监视系统的当前位置并管理地理围栏(具有关联事件的地理位置)。 | 如果关闭此服务,则应用程序无法使用或接收有关地理位置或地理围栏的通知。 若要了解详细信息,请参阅 Windows.Devices.Geolocation 命名空间参考。 |
| 已下载的地图管理器 | MapsBroker | 可让应用程序访问已下载的地图的 Windows 服务。 应用程序在访问下载的地图时会按需启动此服务。 | 禁用此服务会阻止应用访问地图。 若要了解详细信息,请参阅 Windows.Services.Maps 命名空间 API 文档。 |
| MessagingService | MessagingService | 支持短信和相关功能的服务。 | 这是一项“基于用户的服务”,因此必须禁用模板服务。 |
| 同步主机 | OneSyncSvc | 此服务同步邮件、联系人、日历和其他各种用户数据。 | (UWP)当此服务未运行时,依赖于此功能的邮件和其他应用程序无法正常工作。 这是一项“基于用户的服务”,因此必须禁用模板服务。 |
| 联系人数据 | PimIndexMaintenanceSvc | 为联系人数据编制索引以加速联系人搜索。 如果停止或禁用此服务,搜索结果中可能会缺少联系人。 | 这是一项“基于用户的服务”,因此必须禁用模板服务。 |
| 电源 | 电源 | 管理电源策略和电源策略通知传送。 | 虚拟机对电源属性几乎没有任何影响。 如果禁用此服务,则电源管理和报告不可用。 若要了解详细信息,请参阅 用户模式 Power Service 文章。 |
| 付款和 NFC/SE 管理器 | SEMgrSvc | 管理付款和基于近场通信 (NFC) 的安全元素。 | 在企业环境中,可能不需要用此服务进行付款。 |
| Microsoft Windows SMS 路由器服务 | SmsRouter | 根据规则将消息路由到适当的客户端。 | 如果其他工具用于消息传递(如 Teams),则可能不需要此服务。 若要了解详细信息,请参阅 此路由服务文章。 |
| Superfetch (SysMain) | SysMain | 维持和不断改进系统性能。 | 由于各种原因,Superfetch 通常不会提高虚拟桌面环境中的性能。 基础存储通常是虚拟化的,可能跨多个驱动器创建带区。 在某些虚拟桌面解决方案中,当用户注销时,将放弃累积的用户状态。 应在每个环境中评估 SysMain 功能。 |
| 更新 Orchestrator 服务 | UsoSvc | 管理 Windows 更新。 如果已停止,则设备无法下载并安装最新的更新。 | 对于更新,通常会谨慎管理虚拟桌面设备。 维护时段期间会执行维护服务。 在某些情况下,可能会使用更新客户端(如 SCCM)。 例外情况是随时应用的安全签名更新,以及应用于任何虚拟桌面设备,以便维护最新的签名。 如果禁用此服务,请测试以确保仍可以安装安全签名。 |
| 卷影复制 | VSS | 管理和实施用于备份和其他目的的卷影副本。 | 如果停止此服务,卷影副本将不可用进行备份,并且备份可能会失败。 如果禁用此服务,则显式依赖它的任何服务都无法启动。 若要了解详细信息,请参阅 此卷影复制服务文章。 |
| 诊断系统主机 | WdiSystemHost | 诊断策略服务使用诊断系统主机来托管需要在本地系统上下文中运行的诊断。 如果此服务已停止,则依赖于该服务的任何诊断都不起作用。 | 禁用此服务将一并禁用运行 Windows 诊断的功能 |
| Windows 错误报告 | WerSvc | 允许在程序停止运行或无响应时报告错误,并允许传送现有的解决方案。 此外,允许生成诊断和修复服务的日志。 如果此服务已停止,错误报告可能无法正常工作,并且诊断服务和修复结果可能不会显示。 | 使用虚拟桌面环境时,通常在“脱机”方案中执行诊断,而不是在主流生产环境中执行。 此外,某些客户仍会禁用 WER。 在许多情况下(包括无法安装设备或无法安装更新时),WER 会占用微量的资源。 若要了解详细信息,请参阅Windows 错误报告。 |
| Windows 搜索 | WSearch | 提供文件、电子邮件和其他内容的内容索引、属性缓存和搜索结果。 | 禁用此服务会阻止对电子邮件和其他内容编制索引。 请在禁用此服务之前进行测试。 若要了解详细信息,请参阅 Windows 搜索服务概述。 |
| Xbox Live 身份验证管理器 | XblAuthManager | 提供用来与 Xbox Live 交互的身份验证和授权服务。 | 如果此服务已停止,某些应用程序可能无法正常运行。 |
| Xbox Live 游戏保存 | XblGameSave | 此服务用于同步支持 Xbox Live“保存”的游戏的保存数据。 | 如果此服务已停止,游戏保存数据不会上传到 Xbox Live 或从 Xbox Live 下载。 |
| Xbox 附件管理服务 | XboxGipSvc | 此服务会管理连接的 Xbox Accessories。 | 空值 |
| Xbox Live 网络服务 | XboxNetApiSvc | 此服务支持 Windows.Networking.XboxLive 应用程序编程界面。 | 空值 |
Windows 中的基于用户的服务
每用户服务是在用户登录到 Windows 或 Windows Server 时创建的服务,并在该用户注销时停止和删除。这些服务在用户帐户的安全上下文中运行 - 这比在资源管理器中运行此类服务、与预配置帐户关联的服务或作为任务提供更好的资源管理。 有关详细信息,请参阅 Windows 中基于用户的服务。
计划任务
与 Windows 中的其他项一样,请确保在禁用计划任务之前不需要项目。 虚拟桌面环境中的某些服务(例如 StartComponentCleanup)可能不适合在生产环境中运行,但可能适合在“黄金映像”(参考映像)上的维护时段进行运行。
以下任务列表包含在每次重启后都会保留状态的计算机上执行优化或数据收集的任务。 虚拟桌面设备重启并放弃自上次启动以来的所有更改时,适用于物理计算机的优化将无济于事。
可以使用以下 PowerShell 代码获取所有当前计划的任务(包括说明):
Get-ScheduledTask | Select-Object -Property TaskPath,TaskName,State,Description
注意
即使在提升的命令提示符上运行,也有很多任务无法通过脚本来禁用。 此处的建议,在 GitHub 脚本中不会尝试禁用无法使用脚本禁用的任务。
| 计划任务名称 | 说明 |
|---|---|
| MNO | 移动宽带帐户体验元数据分析器 |
| AnalyzeSystem | 此任务会分析系统,查找可能会导致高能耗的情况 |
| 移动电话 | 与手机网络设备相关 |
| 兼容性 | 如果已选择加入 Microsoft 客户体验改善计划,则会收集程序遥测信息。 |
| Consolidator | 如果用户同意参与 Windows 客户体验改善计划,此作业将收集使用情况数据并将其发送到Microsoft |
| 诊断 | (任务路径中的 DiskFootprint)“DiskFootprint”是以存储读取、写入和刷新形式发出存储 I/O 的所有进程一起导致的。 |
| FamilySafetyMonitor | 初始化家庭安全监视和强制执行功能。 |
| FamilySafetyRefreshTask | 将最新设置与 Microsoft 家庭功能服务进行同步。 |
| MapsToastTask | 此任务会显示各种与映射相关的 toast |
| Microsoft-Windows-DiskDiagnosticDataCollector | 对于参加客户体验计划的用户,Windows 磁盘诊断服务会报告一般性的磁盘和系统信息。 |
| NotificationTask | 执行每用户交互和 Web 交互的后台任务 |
| ProcessMemoryDiagnosticEvents | 计划内存诊断来响应系统事件 |
| Proxy (代理) | 如果已选择加入 Microsoft 客户体验改善计划,则此任务会收集和上传 autochk SQM 数据。 |
| QueueReporting | 处理已排队的报表的 Windows 错误报告任务。 |
| RecommendedTroubleshootingScanner | 检查 Microsoft 建议的疑难解答 |
| RegIdleBackup | 注册表空闲备份任务 |
| RunFullMemoryDiagnostic | 检测并缓解物理内存 (RAM) 中的问题。 |
| 计划 | Windows 计划维护任务通过自动修复问题或通过安全和维护进行报告来定期维护计算机系统。 |
| ScheduledDefrag | 此任务会优化本地存储驱动器。 |
| SilentCleanup | 一项维护任务,在可用磁盘空间较低的情况下运行时,系统用它来启动无提示自动磁盘清理。 |
| SpeechModelDownloadTask | |
| Sqm-Tasks | 此任务会收集受信任的平台模块 (TPM)、安全启动和测量的启动的相关信息。 |
| SR | 此任务会创建常规系统保护点。 |
| StartComponentCleanup | 在维护时段期间的性能可能更优的维护任务 |
| StartupAppTask | 如果存在太多启动条目,则会扫描启动条目并向用户发送通知。 |
| SyspartRepair | |
| WindowsActionDialog | 位置通知 |
| WinSAT | 测量系统的性能和功能 |
| XblGameSaveTask | Xbox Live GameSave 待机任务 |
应用 Windows(和其他)更新
从 Microsoft 更新或内部资源应用可用的更新,包括 Windows Defender 签名。 此时非常适合应用其他可用的更新,包括适用于 Microsoft Office(如果已安装)和其他软件的更新。 如果 PowerShell 保留在映像中,可以通过运行命令 Update-Help下载 PowerShell 的最新可用帮助。
维护 OS 和应用
在映像优化过程中的某个时间点,应应用可用的 Windows 更新。 Windows 更新设置中有一个设置,可提供更多更新。 可通过“设置”“高级选项”找到它 。 找到后,将“更新 Windows 时提供其他 Microsoft 产品的更新”设置为“开” 。
如果要将Microsoft应用程序(如Microsoft 办公室)安装到基础映像,则这是一个很好的设置。 这样,在将映像投放到服务后,Office 就可以保持最新状态。 还可以下载 .NET 更新;某些第三方组件(例如 Adobe)也会通过 Windows 更新提供更新。
非持久性虚拟桌面设备的一个重要考虑因素是安全更新,包括安全软件定义文件。 这些更新可能每天发布一次或多次。
对于 Windows Defender,可能最好是安装更新,即使是在非持久性虚拟桌面环境中。 每次登录时,更新几乎都会应用,但更新很小,不应该是个问题。 此外,设备不会在更新时隐藏,因为仅应用最新的可用内容。 对于第三方定义文件可能也是如此。
注意
通过 Windows Store 更新 Store 应用(UWP 应用)。 新版 Office(例如 Office 365)在已直接连接到 Internet 的情况下可通过自身的机制更新,在未连接到 Internet 的情况下可通过管理技术更新。
Windows 系统启动事件跟踪(自动记录程序)
Windows 默认配置为收集并保存诊断数据。 目的是启用诊断,或者在需要进一步执行故障排除时记录数据。 可以在打开计算机管理并导航到系统工具>数据收集器集时找到自动系统跟踪。
在事件跟踪会话和启动事件跟踪会话下显示的一些跟踪不能且不应停止。 可停止其他跟踪(例如 WiFiSession)。 若要停止“事件跟踪会话”下某个正在运行的跟踪,请右键单击该跟踪,然后选择“停止” 。 使用以下过程防止启动时自动启动跟踪:
选择“启动事件跟踪会话”文件夹。
查找要查看的跟踪文件,并选择它来将其打开。
选择“跟踪会话”选项卡。
取消选中标有“已启用”的框。
选择“确定” 。
下表列出了一些你应考虑在虚拟桌面环境中禁用的系统跟踪:
| 名称 | 备注 |
|---|---|
| Cellcore | 手机网络体系结构文档 |
| CloudExperienceHostOOBE | 规划Windows Hello 企业版部署。 |
| DiagLog | 诊断策略服务生成的日志,该日志记录在有关禁用具有桌面体验的系统服务的指导中 |
| RadioMgr | 近场通信(NFC)设备驱动程序 |
| ReadyBoot | ReadyBoot 分析。 |
| WDIContextLog | WDI 微型端口驱动程序设计指南。 |
| WiFiDriverIHVSession | 用户发起的反馈 - 正常模式。 |
| WiFiSession | WLAN 技术的诊断日志。 如果未实现 Wi-Fi,则无需用于此记录器 |
| WinPhoneCritical | 手机(Windows?)的诊断日志。 如果不使用手机,则无需用于此记录器 |
虚拟桌面环境中的 Windows Defender 优化
有关如何在虚拟桌面环境中优化 Windows Defender 的更多详细信息,请查看 虚拟桌面基础结构 (VDI) 环境中的 Windows Defender 防病毒部署指南。
部署指南包含服务“黄金”虚拟桌面映像的过程,以及如何在虚拟桌面客户端运行时维护虚拟桌面客户端。 当虚拟桌面计算机需要更新其 Windows Defender 签名时,为减少网络带宽,请分阶段重启并尽量将重启安排在下班时间。 Windows Defender 签名更新可包含在文件共享内部;如果可行,请将这些文件共享放在虚拟桌面设备所在的相同网段或者与其邻近的网段。
通过注册表设置优化客户端网络性能
有些注册表设置可以提高网络性能。 如果环境中虚拟桌面设备或物理计算机的工作负载主要依赖于网络,则此措施尤为重要。 建议在本部分中的设置通过设置额外的缓冲和缓存(如目录条目等)来优化网络工作负荷配置文件的性能。
注意
本部分中的某些设置仅基于注册表,应该先将其整合到基础映像,然后再将映像部署到生产用途。
以下设置记录在 Windows Server 的性能优化指南中。
DisableBandwidthThrottling
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\DisableBandwidthThrottling
适用于 Windows 10 和 Windows 11。 默认值为 0。 默认情况下,SMB 重定向程序会限制高延迟网络连接的吞吐量,在某些情况下可以避免与网络相关的超时。 将此注册表值设置为 1 可禁用此限制,从而在高延迟网络连接上实现更高的文件传输吞吐量。 考虑将此值设置为 1。
FileInfoCacheEntriesMax
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\FileInfoCacheEntriesMax
适用于 Windows 10 和 Windows 11。 默认值为 64,有效范围为 1 - 65536。 此值用于确定可以由客户端缓存的文件元数据量。 在访问大量文件时,增加该值可以减少网络流量并提高性能。 请尝试将此值增大至 1024。
DirectoryCacheEntriesMax
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\DirectoryCacheEntriesMax
适用于 Windows 10 和 Windows 11。 默认值为 16,有效范围为 1 - 4096。 此值用于确定可以由客户端缓存的目录信息量。 在访问大量目录时,增加该值可以减少网络流量并提高性能。 请考虑将此值增大至 1024。
FileNotFoundCacheEntriesMax
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\FileNotFoundCacheEntriesMax
适用于 Windows 10 和 Windows 11。 默认值为 128,有效范围为 1 - 65536。 此值用于确定可由客户端缓存的文件名信息量。 在访问大量文件名时,增加该值可以减少网络流量并提高性能。 请考虑将此值增大至 2048。
DormantFileLimit
HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\DormantFileLimit
适用于 Windows 10 和 Windows 11。 默认值为 1023。 此参数指定应用程序关闭文件后应在共享资源上保持打开状态的文件的数量上限。 如果有数千个客户端连接到 SMB 服务器,请考虑将此值减小至 256。:Windows Server 2022、Windows Server 2019
可以使用 Set-SmbClientConfiguration 和 Set-SmbServerConfiguration Windows PowerShell cmdlet 配置其中的许多 SMB 设置。 可以使用 Windows PowerShell 配置仅限注册表的设置,如以下示例所示:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" RequireSecuritySignature -Value 0 -Force
Windows 受限流量受限功能基线指南中的更多设置
对于未直接连接到 Internet,或者想要减少发送到 Microsoft 和其他服务的数据的环境,Microsoft 发布了使用 Windows 安全基准所用的相同过程创建的基线。
Windows 受限流量限制功能基线设置在组策略表中标有星号。
磁盘清理
对于黄金映像/主映像虚拟桌面实现,磁盘清理可能特别有用。 准备、更新并配置黄金映像/主映像后,最后要执行的其中一项任务就是磁盘清理。 Github.com 上的优化脚本具有 PowerShell 代码来执行常见的磁盘清理任务
注意
磁盘清理设置在名为“存储”的设置类别“系统”中。默认情况下,当达到低磁盘可用空间阈值时,存储感知将运行。
若要详细了解如何对 Azure 自定义 VHD 映像使用存储感知,请参阅 准备和自定义主 VHD 映像。
对于使用 Windows Enterprise 或 Windows Enterprise 多会话的 Azure 虚拟桌面会话主机,建议禁用存储感知。 可在“存储”下的“设置”菜单中禁用存储感知。
下面是针对各种磁盘清理任务的建议。 在实施之前应对这些任务进行测试:
可手动或自动使用存储感知。 有关存储感知的详细信息,请参阅 使用存储感知管理驱动器空间。
手动清理临时文件和日志。 在权限提升的命令提示符下运行以下命令:
Del C:\*.tmp /sC:\*.etl /sC:\*.evtx /s
Get-ChildItem -Path c:\ -Include *.tmp, *.dmp, *.etl, *.evtx, thumbcache*.db, *.log -File -Recurse -Force -ErrorAction SilentlyContinue | Remove-Item -ErrorAction SilentlyContinue Remove-Item -Path $env:ProgramData\Microsoft\Windows\WER\Temp\* -Recurse -Force -ErrorAction SilentlyContinue Remove-Item -Path $env:ProgramData\Microsoft\Windows\WER\ReportArchive\* -Recurse -Force -ErrorAction SilentlyContinue Remove-Item -Path $env:ProgramData\Microsoft\Windows\WER\ReportQueue\* -Recurse -Force -ErrorAction SilentlyContinue Clear-RecycleBin -Force -ErrorAction SilentlyContinue Clear-BCCache -Force -ErrorAction SilentlyContinue运行以下命令来删除系统上未使用的所有配置文件:
wmic path win32_UserProfile where LocalPath="C:\\users\\<users>" Delete
如果对本文中的信息有任何疑问或担忧,请联系 Microsoft 帐户团队、查看 Microsoft 虚拟桌面 IT 专业人员博客、在 Microsoft 虚拟桌面论坛中发布消息,或者联系 Microsoft。
重新启用 Windows 更新
如果要在禁用Windows 更新后启用Windows 更新,请执行以下步骤:
重新启用组策略设置:
- 转到“本地计算机策略”“计算机配置”>“管理模板”“系统”>“Internet 通信管理”“Internet 通信设置” 。
- 通过将设置从“已启用”更改为“未配置”,禁用对所有 Windows 更新功能的访问 。
- 转到“本机计算机策略”“计算机配置”>“管理模板”“Windows 组件”>“Windows 更新” 。
- 通过将设置从“已启用”更改为“未配置”,移除对所有 Windows 更新功能的访问 。
- 通过将设置从“已启用”更改为“未配置”,不连接到任何 Windows 更新 Internet 位置 。
- 转到“本机计算机策略”“计算机配置”>“管理模板”“Windows 组件”>“Windows 更新”“Windows 更新商业版” 。
- 选择何时接收质量更新(从“已启用”更改为“未配置”)
- 转到“本机计算机策略”“计算机配置”>“管理模板”“Windows 组件”>“Windows 更新”“Windows 更新商业版” 。
- 选择何时接收预览版和功能更新(从“已启用”更改为“未配置”)
- 转到“本地计算机策略”“计算机配置”>“管理模板”“系统”>“Internet 通信管理”“Internet 通信设置” 。
重新启用服务:
- 将“更新 Orchestrator 服务”从“已禁用”更改为“自动(延迟启动)”。 。
编辑 Windows 注册表(警告,编辑注册表时要小心)。
- 转到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\PolicyState。- 将 DeferQualityUpdates 从“1”更改为“0”。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\Settings- 删除 PausedQualityDate 的所有现有值。
- 转到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\WAU- 设置为“禁用”。
- 转到
重新启用计划任务:
- 转到“任务计划程序库”“Microsoft”>“Windows”“InstallService”>“ScanForUpdates” 。
- 转到“任务计划程序库”“Microsoft”>“Windows”“InstallService”>“ScanForUpdatesAsUser” 。
请重启设备,使所有这些设置生效。
如果不希望此设备提供的功能更新,请转到“设置”>Windows 更新>Advanced 选项>“选择何时安装更新,并手动设置选项 A 功能更新包括新功能和改进。可将此天数推迟到任何非零值,例如 180、365 等。
详细信息
若要详细了解 Microsoft 的 VDI 体系结构,请参阅 Azure 虚拟桌面文档。
如果需要更多有关 sysprep 故障排除的帮助,请在删除或更新包含内置 Windows 映像 Microsoft的应用商店应用后,签出 Sysprep 失败。