Windows 11 26H2 准备就绪
Windows 11 26H2 准备就绪
近几年 Windows 的版本迭代更新相比较过去要轻松顺利很多,失败率和工作复杂度明显下降,效率大幅提升,IT 人员的工作压力显然轻松了不少!对于今年的重要版本更新 - Windows 11 26H2,延续了之前的更新机制,将作为 eKB 方式发布,启用包的大小仅几百 KB,使版本更新相当轻松,而且对最终用户的干扰也最小。这些得益于改进的平台和服务方式,对于 Windows 11 26H2,采用了与每年下半年发布的最新版本相同的共享服务模式,无需完整的操作系统替代升级方案,只需要小型启用包即可获得新的功能更新。像已经部署了 24H2、25H2 的组织因为使用同一个服务支持,即同一个源代码库;同样的安全和质量更新;同样的兼容性验证。他们都将实现快速的版本迭代,不同版本的却别仅仅在于启用了哪些功能。
需要注意的是运行 26H1 的设备无法更新到 26H2,因为 26H1 基于同步的 Windows 核心,但微软会提供其他升级方案使其更新到未来的 Windows 版本。(推荐阅读:ITPro 应该了解的 Windows 11 26H1 信息)
Windows 11 26H2 预计于今年10月正式发布,但 Windows Insider 成员已经可以获取到发布预览版本,待正式发布后用户能够通过 Windows Update、Microsoft Intune、WSUS 多个渠道获取 26H2 更新。对于最佳实践,组织 IT 应该可以进行小范围的推送测试,并在正式发布之后逐步扩展到所有设备。
Windows 11 26H2 的支持声明周期遵循以往的规则,家庭版、专业版等继续保持 24 个月的支持周期;而企业版、教育版等支持 36 个月。
Windows Insider 用户在更新到 26300.8697 正式进入到 26H2 分支。
HOWTO: 解决无法正常显示自定义文件夹图标或本地化文件夹名称问题
HOWTO: 解决无法正常显示自定义文件夹图标或名称问题
为了更清晰的管理我们的文件夹,使其更容易被识别,通常会通过自定义文件夹(Desktop.ini)图标的方式对其个性化显示,或者为其设定本地化的目录名称,比如当前目录命名为“AIPrompt”,在中文环境下会自动显示为“AI提示词”。
但近期可能会遇到无法正常显示这些自定义文件夹图标或名称的问题,如果当前系统安装了2026年6月10日发布的 Windows 安全更新,则可能会遇到此类的现象。
- 不再显示由 desktop.ini 定义的图标
- 不再显示由 desktop.ini 定义的本地化文件夹显示名称,只会显示其原始名称
经确认这是一个预期的行为,新的 Windows 更新强化了对 desktop.ini 引入处理的机制,当 Windows 无法确定 desktop.ini 文件源是否受信任时,Windows 则会忽略该文件,并将其视为不存在。这个机制其实早就存在,只是本次更新包含了 Desktop.ini 文件,当我们从以下位置获取到文件时将会视为不受信任的源。
- 从带有 Web 标记(MOTW - Mark of the Web)的 Internet 位置下载
- 从某些远程位置,如:WebDAV 或 基于 HTTP 的位置复制时
- 文件未分类为 Intranet 或区域策略信任的网络路径
本次安全更新仅会影响自定义文件夹的图标和本地化名称,不会影响对文件夹或其文件的访问权限。对于本次更新建议组织用户将内部的路径添加到受信任的站点。
如果组织在使用 GPO 管理客户端配置,可从“计算机配置 - 管理模板 - Windows 组件 - 文件资源管理器”中找到并启用“允许使用文件快捷方式图表中的远程路径”设置。
如果是 Intune 可以从新建策略的设置目录中搜索“Allow the use of remote paths in file shortcut icons” 进行配置。其对应的 CSP 是:
./Device/Vendor/MSFT/Policy/Config/ADMX_WindowsExplorer/EnableShellShortcutIconRemotePath
对于临时的非规模化标准化的处理的方式可以检查 desktop.ini 是否属于不受信任的源,并删除其标记即可。要检查文件相关信息可以使用 Get-Item 并加载 -stream 参数。
如果文件信息中包含 Zone.Identifier 则表示文件包含标签信息。可以使用 Get-Content 加 -stream zone.identifier 参数获取该信息的详细值。
具体可参考下方图片中的示例。
对于 Zone.Identifier 的值分别表示:
- 0:本地计算机
- 1:内网
- 2:受信任站点
- 3:互联网
- 4:受限站点
MDOP 停止支持
依稀记得2007年9月参加了一场 Microsoft SoftGrid TTT 培训,第一次接触到了 SoftGrid 和 MDOP(Microsoft Desktop Optimization Pack),之后 SoftGrid 更名为 App-V,那会就了解到了 MDOP 的强大,之后的工作中也经常与 MDOP 打交道,尤其对 DaRT 印象深刻。MDP 作为一个工具套件以软件保障(SA)的方式提供给订阅客户使用,旨在帮助企业客户改善兼容性和管理、降低支持成本、改进资产管理以及策略控制。虽然每个内置的组件都有各自独立的支持终止日期,但为了简化统一的支持标准,微软将 MDOP 的最终停止支持(EOS)日期定于 2026年4月14日。具体可参考 Microsoft Desktop Optimization Pack support extended | Microsoft Learn。
微软官方于今日也发文呼吁那些仍在依赖 MDOP 的组织用户,是时候转向其他支持选项了!对于 App-V,其服务器组件已经 EOS,对于那些仍包含在 Windows 企业版的 App-V 客户端和序列器将继续获得针对随附版本 Windows 支持生命周期的安全修复。如果组织用户还在使用 App-V 解决单台设备运行多版本应用程序的问题,建议采用 AVD App Attach。
对于 BitLocker 的管理时至今日相信还有很多企业在使用 MBAM,如果企业当前已经开始使用 Intune 作为现代管理平台,可使用终结点安全中的磁盘加密进行 Bitlocker 策略的管理,并使用 Intune 设备管理查阅或刷新设备 BitLocker 密钥。
而 DaRT 则推荐使用 Windows 内置的恢复环境(WinRE)足以应对启动修复、系统恢复、离线系统排查和修复等使用场景,此外 DaRT 也基于 WinPE,IT 人员可以参考 PE 文档定制自己所需的 Windows 启动环境,具体参考 WinPE: Mount and Customize | Microsoft Learn。
对于 UE-V,则微软推荐使用 Windows Backup for Organizations 来同步 Windows 设置,并使用 OneDrive 同步用户文件。还有另一种选择是使用 AVD(Azure Virtual Desktop)虚拟化方案,并通过 FSLogix 确保 Windows 用户配置文件的一致体验。
AGPM 则推荐迁移到基于 Intune 的现代管理平台,使用配置文件/CSP 替代组策略,而且 Intuen 目前已经支持导入 ADMX 该功能以预览版形式提供给客户使用。策略变更方面也可以利用 Intune 的多管理员批准模式实现多层审批步骤,实现管理和审核工作流程,利用 Microsoft Graph 企业 IT 还可以开发定制管理平台,以实现适用于自己企业的流程。
综上所述,MDOP 的大部分场景都可以通过 Intune 和 EntraID 的能力覆盖,现在是时候转变和更新,拥抱云和现代管理。
如果你希望了解 MDOP 的每个组件的功能,可浏览:MDOP information experience | Microsoft Learn
