Technical Overview of Management Services
Werbung
Verwaltungsdienste – eine technische Übersicht
Microsoft GmbH
Veröffentlicht: Juli 2002
Übersicht
Die Microsoft® Windows® Server 2003-Familie bietet neue und erweiterte Tools zur
Systemkonfiguration, um die Gesamtbetriebskosten (Total Cost of Ownership, TCO) zu senken.
Dieser Artikel liefert eine technische Übersicht über die Microsoft IntelliMirror®-Technologie und
die damit verbundenen Verwaltungstools und Dienste. Dazu gehören die Befehlszeilen-Tools, die
Sicherheits- und Softwareeinschränkungsrichtlinien, die Remoteinstallationsdienste, die Windows
Verwaltungsinstrumentation (WMI), das User State Migration Tool, der Windows Installer und die
Remoteverwaltung. Gleichzeitig geht dieser Artikel darauf ein, wann andere Lösungen, wie z. B.
der Microsoft Systems Management Server (SMS), für komplexere Szenarien sinnvoll
einzusetzen sind.
Microsoft® Windows® Server 2003 – technischer Artikel
Hinweis auf Betaversion
Bei diesem Dokument handelt es sich um ein vorläufiges Dokument, das
bis zur endgültigen Handelsausgabe der hier beschriebenen Software
wesentlichen Änderungen unterliegen kann.
Die in diesem Dokument enthaltenen Informationen stellen die
behandelten Themen aus der Sicht der Microsoft GmbH zum Zeitpunkt
der Veröffentlichung dar. Da Microsoft auf sich ändernde
Marktanforderungen reagieren muss, stellt dies keine Verpflichtung
seitens der Microsoft GmbH dar und Microsoft kann die Richtigkeit der
hier dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung
nicht garantieren. Dieses Dokument dient ausschließlich informativen
Zwecken. Microsoft schließt für dieses Dokument jede Gewährleistung
aus, sei sie ausdrücklich oder konkludent.
Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren
Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der
entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche
schriftliche Erlaubnis der Microsoft GmbH kein Teil dieses Dokuments für
irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem
gespeichert oder darin eingelesen werden, unabhängig davon, auf welche
Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch
Fotokopieren, Aufzeichnen usw.) dies geschieht.
Soweit nicht anders vermerkt, sind alle in diesem Dokument genannten
Unternehmen, Namen, Adressen, Produkte, Domänennamen, E-MailAdressen, Logos und Orte frei erfunden und stehen in keinerlei
Verbindung zu einem real existierenden Unternehmen, Namen, einer
Adresse, einem Produkt, Domänennamen, einer E-Mail-Adresse, einem
Logo oder Ort.
Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten
Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum
besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen.
Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch
auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges
Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen
Lizenzverträgen von Microsoft eingeräumt.
© 2002 Microsoft Corporation. Alle Rechte vorbehalten.
Active Accessibility, Active Channel, Active Client, Active Desktop, Active
Directory, ActiveMovie, ActiveX, Authenticode, BackOffice, Direct3D,
DirectAnimation, DirectDraw, DirectInput, DirectMusic, DirectPlay,
DirectShow, DirectSound, DirectX, DoubleSpace, DriveSpace, FrontPage,
IntelliMirror, IntelliMouse, IntelliSense, JScript, Links, Microsoft, Microsoft
Press, Microsoft QuickBasic, MSDN, MS-DOS, MSN, Natural,
NetMeeting, NetShow, OpenType, Outlook, PowerPoint, SideWinder,
Slate, TrueImage, Verdana, Visual Basic, Visual C++, Visual FoxPro,
Visual InterDev, Visual J++, Visual Studio, WebBot, Win32, Windows,
Windows Media, Windows NT sind entweder eingetragene Marken oder
Marken der Microsoft Corporation in den USA und/oder anderen Ländern.
Weitere in diesem Dokument aufgeführte tatsächliche Produkt- und
Firmennamen können geschützte Marken ihrer jeweiligen Inhaber sein.
Microsoft® Windows® Server 2003 – technischer Artikel
Inhalt
Einführung ................................................................................................................................................ 1
Änderungs- und Konfigurationsverwaltung ........................................................................................ 1
Sicherheit............................................................................................................................................ 1
Befehlszeilenunterstützung ................................................................................................................ 1
Leistungsfähige Tools und Dienste für die Bereitstellung .................................................................. 2
Microsoft Verwaltungslösungen ......................................................................................................... 2
Weitere Quellen .................................................................................................................................. 2
Änderungs- und Konfigurationsverwaltung ......................................................................................... 3
Verwalten der Sicherheit ......................................................................................................................... 5
Nutzen von Sicherheitsvorlagen ............................................................................................................ 5
Neue vordefinierte Vorlagen............................................................................................................... 5
Softwareeinschränkungsrichtlinien ..................................................................................................... 6
Windows Update .................................................................................................................................... 7
Microsoft Software Update Dienst ......................................................................................................... 8
SUS und andere Verwaltungslösungen von Microsoft ....................................................................... 9
Die passende Lösung ......................................................................................................................... 9
IntelliMirror ............................................................................................................................................. 10
Verbesserte Richtlinienverwaltung....................................................................................................... 12
Gruppenrichtlinien-Verwaltungskonsole (GPMC) ............................................................................ 12
Forest-übergreifende Unterstützung ................................................................................................ 12
Ergebnissätze – Resultant Set of Policy (RSoP) ............................................................................. 12
WMI Filter ......................................................................................................................................... 13
Administrative Vorlagen ....................................................................................................................... 14
Erweiterungen des Gruppenrichtlinien-Snap-Ins ............................................................................. 14
Neue Richtlinien ............................................................................................................................... 14
Der Hinweis auf die Anforderungen ................................................................................................. 14
Verbesserte Benutzer- und Einstellungsverwaltung ............................................................................ 14
Umleiten der “Eigene Dateien” auf ein Home-Verzeichnis .............................................................. 14
Neue Richtlinien für Benutzerprofile ................................................................................................. 14
Bereitstellung von Software ................................................................................................................. 15
Vollständige Installation von Benutzer-zugewiesenen Anwendungen bei der Anmeldung ............. 15
iii
Microsoft® Windows® Server 2003 – technischer Artikel
Unterstützung für die Bereitstellung von 64-Bit-Software ................................................................ 15
RIS und IntelliMirror ............................................................................................................................. 15
Verbesserungen beim Verwalten von Benutzerdaten ...................................................................... 15
Nutzen der Datenverwaltung ............................................................................................................ 16
Checkliste für Ihre Anforderungen ................................................................................................... 17
Verbesserte Verwaltung von Benutzereinstellungen ....................................................................... 17
Verwalten von Benutzereinstellungen .............................................................................................. 17
Checkliste für Ihre Anforderungen ................................................................................................... 19
Vereinfachen der Softwareverwaltung ............................................................................................. 19
Nutzen von Softwareinstallation und Softwarewartung .................................................................... 20
Anwendungen zuweisen .................................................................................................................. 21
Anwendungen veröffentlichen .......................................................................................................... 22
Checkliste für Ihre Anforderungen ................................................................................................... 22
Verbessern des Setup-Prozesses für Computer.............................................................................. 22
Einsetzen von Remoteinstallation .................................................................................................... 23
Checkliste für Ihre Anforderungen ................................................................................................... 23
Verwaltung mit Befehlszeilen ............................................................................................................... 24
Verwendung des Befehlszeileninterpreters ...................................................................................... 24
Die Windows Management Instrumentation-Befehlszeile ................................................................... 25
WMIC-Szenarien .............................................................................................................................. 25
Einsatz von WMIC-Kürzeln .............................................................................................................. 25
Dienste und Tools für die Bereitstellung ............................................................................................ 27
Remoteinstallation ............................................................................................................................... 27
Remoteinstallationsdienst (RIS)........................................................................................................... 27
Migration des Benutzerstatus’ .............................................................................................................. 28
Vorteile durch USMT ............................................................................................................................ 28
Bestandteile von USMT ....................................................................................................................... 28
Tabelle 1: Voraussetzungen für den Einsatz des User State Migration-Tools ................................ 29
Der Windows Installer .......................................................................................................................... 30
Neues im Windows Installer ................................................................................................................. 30
64-Bit-Unterstützung ........................................................................................................................ 30
Softwareeinschränkungsrichtlinien ................................................................................................... 30
iv
Microsoft® Windows® Server 2003 – technischer Artikel
Szenarien für den Einsatz von IntelliMirror und Remoteinstallation ............................................... 32
Ein neuer Mitarbeiter ............................................................................................................................ 32
Für diese Aufgabe wurden verwendet: Benutzerprofile, Remoteinstallationsdienst und USMT ..... 32
Benutzerprofile ................................................................................................................................. 32
Remoteinstallationsdienst ................................................................................................................ 33
User State Migration Tool................................................................................................................. 33
Erstmalige Anmeldung an einer Domäne ............................................................................................ 33
Umgesetzt mit: Gruppenrichtlinien und Windows Installer ............................................................... 33
Unterwegs mit einem Notebook ........................................................................................................... 33
Umgesetzt mit: Ordnerumleitung und Offline-Dateien ..................................................................... 34
Rückkehr in das Firmennetzwerk......................................................................................................... 34
Umgesetzt mit: Offlinedateien, Synchronisationsmanager und Gruppenrichtlinien ......................... 34
Ersetzen eines Computers ................................................................................................................... 34
Umgesetzt mit: IntelliMirror-Infrastruktur .......................................................................................... 35
Zusätzlich kann Remoteinstallation verwendet werden ................................................................... 35
Fernwartung ........................................................................................................................................... 36
Tools von anderen Herstellern ......................................................................................................... 36
Remotedesktop für Verwaltung ............................................................................................................ 36
Einsatz von Remotedesktop zur Fernwartung eines Servers .......................................................... 36
Systems Management Server einsetzen ............................................................................................. 38
Tabelle 2: Eine integrierte Desktop-Verwaltungslösung .................................................................. 39
Anhang A: Neue Befehlszeilen-Tools .................................................................................................. 40
Anhang B: Beispiele für WMI-Filter ..................................................................................................... 43
Zusammenfassung ................................................................................................................................ 46
Weiterführende Links ............................................................................................................................ 47
v
Microsoft® Windows® Server 2003 – technischer Artikel
Einführung
Die Microsoft® Windows® Server 2003-Familie baut auf der Grundlage von Windows 2000 auf. Sie
ermöglicht eine Wertsteigerung der vorhandenen Investitionen und gleichzeitig eine Verringerung der
gesamten Datenverarbeitungskosten. Windows Server 2003 reduziert die Gesamtkosten durch
einfachere Bereitstellung, Konfiguration und Verwendung sowie zentrale, anpassbare
Verwaltungsdienste.
Änderungs- und Konfigurationsverwaltung
Es gibt eine Reihe von Verbesserungen bei den Features für die Änderungs- und
Konfigurationsverwaltung, die erstmals mit dem Active Directory-Dienst in Windows 2000 eingeführt
wurden. Speziell Gruppenrichtlinien haben einige wichtige Verbesserungen erfahren, die Verwaltung
und Nutzung einfacher machen. So können Sie z. B. mit dem Richtlinienergebnissatz (Resultant Set of
Policy, RSoP) schnell auf Richtlinien zugreifen und Änderungen der Richtlinien testen, bevor diese
innerhalb Ihres Netzwerkes eingesetzt werden. Die neue Verwaltungskonsole für Gruppenrichtlinien
(Group Policy Management Console, GPMC), die als Zusatzprodukt für die Windows Server-Familie
entwickelt wurde, bietet Ihnen viele Vereinfachungen, indem sie alle Funktionalitäten, die im
Zusammenhang mit Richtlinien benötigt werden, an einem Ort bündelt. Richtlinien, deren Nutzung
deutliche Einsparungen bei der Verwaltung eines Netzwerkes ermöglicht, können so einfacher
entwickelt, verwaltet und verwendet werden.
Sicherheit
Die Windows Server-Familie wurde entwickelt, um zum einen die Verwaltung von Sicherheit zu
erleichtern und zum anderen, um Ihr Netzwerk vor Bedrohungen von außen besser zu schützen.
Softwareeinschränkungsrichtlinien schützen ihre IT-Umgebung vor Software, die Sie in Ihrem
Unternehmen verbieten möchten. Sie sind damit in der Lage, zu bestimmen, welche Software
ausgeführt werden kann. Eine neue Infrastruktur erlaubt es Administratoren, neue Updates zu laden
und zentralisiert zu verwalten, um sie später von dieser zentralen Stelle aus auf die
Arbeitsplatzsysteme zu verteilen. Viele Firmen sehen es nicht gerne, wenn ihre Systeme oder Benutzer
von einer externen Quelle Updates laden, ohne sie vorher zu testen. Microsoft bietet nun eine Version
von Windows-Update, die eine Installation innerhalb Ihrer Unternehmensfirewall ermöglicht. Microsoft
Software Update Service (SUS) erlaubt es Kunden, diesen Dienst auf einem internen Windows 2000oder Windows 2003-basierten Server zu installieren. Dieser kann dann alle wichtigen Updates laden,
die über Windows Update veröffentlicht werden. Administratoren werden per E-Mail benachrichtigt,
sobald ein neues wichtiges Update veröffentlicht wurde.
SUS erlaubt es Administratoren, schnell und einfach wichtige Updates auf Server und DesktopRechner, die Windows 2000 Professional oder Windows XP Professional ausführen, zu verteilen. SUS
ist aktuell als Zusatzprodukt für Windows 2000 Server verfügbar. Weitere Informationen finden Sie auf
der SUS-Website unter http://www.microsoft.com/windows2000/windowsupdate/sus/default.asp.
Befehlszeilenunterstützung
Die neuen Erweiterungen in der Befehlszeilen-Infrastruktur erlauben es, fast alle wichtigen
Verwaltungsaufgaben ohne den Einsatz einer grafischen Benutzerschnittstelle durchzuführen. Sehr
wichtig ist in diesem Zusammenhang die Möglichkeit, bei einer Großzahl von Aufgaben auf die interne
Datenbank der Windows Verwaltungsinstrumtentation (WMI) zugreifen zu können. Das WMI-
Technische Übersicht über die Verwaltungsdienste
1
Microsoft® Windows® Server 2003 – technischer Artikel
Befehlszeilen-Tool (WMIC) bietet eine einfache Befehlszeilenschnittstelle, die mit den bestehenden
Shells und Hilfsprogrammen zusammenarbeitet und leicht durch Skripte oder andere AdministrationsTools ergänzt werden kann. Als Ergebnis des Zusammenspiels der erweiterten Funktionalität über
Befehlszeilen, verbunden mit den umfassenden Skriptmöglichkeiten und im Lieferumfang enthaltenen,
sofort einsetzbaren Skripts, kann die Windows Server 2003-Familie einen Vergleich mit anderen
Betriebssystemen, die häufig auch mit höheren Gesamtbetriebskosten in Verbindung gebracht werden,
in vielen Einsatzszenarien für sich entscheiden. Administratoren, die bereits den Umgang mit
Befehlszeilen für die Verwaltung von UNIX- oder Linux-Systemen kennen, können wie gewohnt auch
die Windows Server-Familie über Befehlszeilen verwalten.
Leistungsfähige Tools und Dienste für die Bereitstellung
Verbesserungen innerhalb der Windows Server 2003-Familie vereinfachen sowohl die Verwaltung der
Softwarebereitstellung als auch die Migration. Der erweiterte Remoteinstallationsdienst (Remote
Installation Service, RIS) gibt Ihnen mehr Flexibilität und Differenzierungsmöglichkeiten bei der
Bereitstellung von speziellen Konfigurationen innerhalb des Netzwerks. Bei der Migration von
Benutzern und deren Einstellungen stehen nun mehrere Optionen zur Auswahl, so dass auch die
Migration einer großen Benutzeranzahl effektiv durchzuführen ist. Windows Installer vereinfacht den
Prozess für angepasste Installationen, das Aktualisieren oder Erneuern von Anwendungen und hilft
Ihnen bei der Lösung von Konfigurationsproblemen.
Microsoft Verwaltungslösungen
Die Windows Server 2003-Familie stellt die Infrastruktur für die Verwaltung eines Windows-Netzwerks
bereit. Jedoch kann der Einsatz von zusätzlichen Lösungen für das Ausführen komplexerer
Anforderungen innerhalb eines Netzwerks notwendig werden. Microsoft Systems Management Server
(SMS) unterstützt Software-Installationen, bei denen es notwendig ist, die Installation zu bestimmten
Zeiten durchzuführen, Inventare zu pflegen, Reports zu erstellen, den Status zu erfassen und
Installationen über große Netzwerke (WANs) durchzuführen. Andere Produkte werden für
weiterführende Aufgaben angeraten. So eignet sich z. B. der Microsoft Operation Manager, um
unternehmensweit Ereignisse und Leistung zu verwalten und zu überprüfen. Der Microsoft Application
Center Server kann zusätzlich für die Bereitstellung und Verwaltung von hochverfügbaren
Webanwendungen eingesetzt werden.
Weitere Quellen
Es gibt eine Reihe von Quellen, mit deren Hilfe Administratoren ihre Kenntnisse und ihr Können in
Bezug auf das effektive Verwalten von Windows-basierten Netzwerken vertiefen können. Das Windows
Server Ressource Kit enthält Anleitungen für Belange der unterschiedlichsten Bereiche. Das Hilfe- und
Support Center, das aus dem Start-Menü heraus aufgerufen werden kann, bietet sowohl Informationen
über das Produkt als auch Links auf bestimmte Artikel und Informationen zu Updates.
Dieser Artikel enthält eine technische Übersicht über die Verwaltungsdienste der Windows Server und
zeigt Administratoren und Entscheidern, wie sie die Änderungs- und Konfigurationsverwaltung Kosten
sparend einsetzen können. Gleichzeitig zeigt der Artikel die erweiterten Möglichkeiten, die sich durch
die Verwaltung über Befehlszeilen und andere Verwaltungsfeatures bieten.
Technische Übersicht über die Verwaltungsdienste
2
Microsoft® Windows® Server 2003 – technischer Artikel
Änderungs- und Konfigurationsverwaltung
Die Windows Server-Familie bietet Änderungs- und Konfigurationsverwaltungs-Features, die dem
Bedürfnis der Benutzer nach zuverlässigen Umgebungen Rechnung tragen. Sie ermöglichen eine
deutlich bessere Verwaltung der Infrastruktur, was in dem Maße wichtiger wird, in dem Mitarbeiter an
komplexen Projekten innerhalb der Unternehmens-IT-Umgebung zusammenarbeiten. Gerade dies hat
die Art und Weise, wie Arbeit heute ausgeführt wird, enorm verändert. Das verteilte Büro ersetzt nach
und nach das traditionelle Modell von Desktops oder Terminals als Arbeitsorten.
Innerhalb eines über viele Orte verteilten Büros müssen sich die Benutzer auf die IT-Umgebung voll
und ganz verlassen können. Dies setzt voraus, dass das Betriebssystem gut konfiguriert ist, die
Anwendungen immer auf dem neuesten Stand sind und die Daten durchgehend verfügbar sind –
unabhängig davon, von welchem Ort aus darauf zugegriffen wird. Um das erreichen zu können, muss
eine IT-Abteilung kosteneffizient die Bedürfnisse der unterschiedlichsten Benutzer innerhalb eines
Unternehmensnetzwerks berücksichtigen. Hierfür müssen Lösungen für die unterschiedlichsten
Faktoren, die eine Änderung in der IT-Umgebung erfordern könnten, vorhanden sein. Solche Faktoren
können sein:
Neue Betriebssysteme und Anwendungen.
Updates für das Betriebssystem und die Anwendungen.
Neue Hardware.
Neue Geschäftsanforderungen.
Neue Benutzer.
Sicherheits-Einflüsse.
Die Verwaltung dieser Änderungen kann man sich gut als einen ständigen Kreislauf vorstellen, wie er in
Abbildung 1 dargestellt ist.
Abbildung 1: Prozess der Änderungs- und Konfigurationsverwaltung
Technische Übersicht über die Verwaltungsdienste
3
Microsoft® Windows® Server 2003 – technischer Artikel
Der Einsatz der Änderungs- und Konfigurationsverwaltung erlaubt es Ihnen, die folgenden Ziele zu
erreichen:
Senken der Gesamtbetriebskosten (TCO) durch:
Reduzierung der Ausfallzeiten und Kosten, die mit einem Desaster-Recovery verbunden
sind.
Reduzierung von Kosten, die mit schlecht installierten oder konfigurierten Clients
zusammenhängen.
Reduzierung von Kosten, die auf Hardwareausfällen beruhen.
Steigern der Produktivität.
Verfügbarkeit von Daten, selbst wenn auf Netzwerkressourcen nicht zugegriffen werden
kann.
Möglichkeit, Anwendungen remote zu installieren und zu aktualisieren.
Möglichkeit, Benutzern ihre Anwendungen, Daten und Einstellungen unabhängig vom
Arbeitsplatz zur Verfügung zu stellen.
Das Thema Änderungs- und Konfigurationsverwaltung wird im Abschnitt IntelliMirror noch näher
beschrieben.
Hinweis: Die Bereitstellung von Software, wie sie durch Gruppenrichtlinien möglich ist, ist vor allem für
einfache Softwareinstallationen gedacht. Für Szenarien, bei denen es z. B. auf die Installation zu einem
bestimmten Zeitpunkt ankommt, wo Inventarisierung, das Erstellen von Berichten, Statusinformationen und
die Unterstützung von Installationen innerhalb eines Wide Area Networks (WAN) benötigt werden, empfiehlt
Microsoft den Einsatz des Systems Management Server 2.0 (SMS). Weiterführende Informationen finden
Sie im Abschnitt Systems Management Server einsetzen in diesem Artikel oder auf der Systems
Management Server Web-Site unter http://www.microsoft.com/germany/ms/net-server/smsmgmt/
Technische Übersicht über die Verwaltungsdienste
4
Microsoft® Windows® Server 2003 – technischer Artikel
Verwalten der Sicherheit
Nutzen von Sicherheitsvorlagen
Sicherheitsvorlagen erlauben es Ihnen, Sicherheitsrichtlinien für Ihr Netzwerk anzulegen. Als zentrale
Stelle, an der die gesamte Sicherheit des Systems berücksichtigt werden kann, führen
Sicherheitsvorlagen keine neuen Sicherheitsparameter ein. Sie führen einfach alle
Sicherheitseinstellungen zur leichteren Verwaltung an einem zentralen Ort zusammen.
Der Import von Sicherheitsvorlagen in Gruppenrichtlinienobjekte erleichtert die Verwaltung einer
Domäne, da Sicherheitseinstellungen für eine Domäne oder Organisationseinheit (OU) in einem Zug
gesetzt werden können.
Sicherheitsrichtlinien können benutzt werden, um folgende Einstellungen zu definieren:
Kontenrichtlinien
Kennwortrichtlinie
Kontosperrungsrichtlinie
Kerberosrichtlinie
Lokale Richtlinien
Überwachungsrichtlinie
Zuweisen von Benutzerrechten
Sicherheitsoptionen
Ereignisprotokoll, Einstellungen für das Sicherheits- und Systemprotokoll
Eingeschränkte Gruppen: Mitgliedschaft in sicherheitsrelevanten Gruppen
Systemdienste: Start und Berechtigungen für Systemdienste
Registrierung
Dateisystem
Jede Vorlage liegt als textbasierte .inf-Datei vor. So können wahlweise alle oder nur einige der Attribute
innerhalb der Vorlagen kopiert, an anderen Stellen eingefügt, importiert oder exportiert werden. Mit
Ausnahme der Richtlinien für öffentliche Schlüssel sowie der IP-Sicherheitsrichtlinien können alle
Sicherheitseinstellungen in einer Sicherheitsvorlage gesetzt werden.
Neue vordefinierte Vorlagen
Jedes Windows Server 2003- oder Windows XP-Betriebssystem verfügt über einen Satz von
vordefinierten Vorlagen, die für die unterschiedlichsten Sicherheitsstufen angelegt wurden.
Diese vordefinierten Vorlagen können Ihnen dabei behilflich sein, Ihr System auf der Basis Ihrer
Anforderungen abzusichern. Diese Templates können dazu genutzt werden,
Standardeinstellungen erneut anzuwenden,
eine sehr sichere Arbeitsumgebung zu schaffen,
Technische Übersicht über die Verwaltungsdienste
5
Microsoft® Windows® Server 2003 – technischer Artikel
eine Arbeitsumgebung zu schaffen, die zwar nicht über die höchste Sicherheitsstufe verfügt,
jedoch zu vielen Bereichen kompatibel ist,
das Grundsystem abzusichern.
Die Vorlage Setup security.inf erlaubt Ihnen, Standardsicherheitseinstellungen erneut anzuwenden.
Diese Vorlage wird bei der Installation eines Computers angelegt und kann nur lokal angewendet
werden.
Sie können neue Sicherheitsrichtlinien, die Ihren Vorstellungen entsprechen, anlegen oder eine der
vordefinierten Sicherheitsvorlagen benutzen. Bevor Sie jedoch Änderungen an den
Sicherheitseinstellungen innerhalb Ihres Systems vornehmen, sollten Sie verstehen, welche
Standardeinstellungen in Ihrem System gelten und was diese bedeuten.
Softwareeinschränkungsrichtlinien
Softwareeinschränkungsrichtlinien beschäftigen sich mit dem Einsatz von unbekannter oder nicht
erwünschter Software. Durch den Zuwachs bei der Benutzung von Netzwerken, des Internets und auch
von E-Mails im Geschäftsbereich, werden Benutzer immer häufiger in unterschiedlichster Form mit
neuer Software konfrontiert. Dabei müssen die Benutzer entscheiden, ob sie unbekannte Software
einsetzen möchten. Computerviren oder so genannte Trojaner tarnen sich häufig, um Benutzer dazu zu
verführen, diese zu installieren und auszuführen. Für den einzelnen Benutzer ist es oft schwierig zu
entscheiden, welche Software er ausführen kann und soll.
Durch Softwareeinschränkungsrichtlinien können Sie Ihre IT-Umgebung vor nicht erwünschter oder
nicht vertrauenswürdiger Software schützen. Dabei legen Sie Regeln fest, welche Software ausgeführt
werden darf. Sie können Standard-Sicherheitsstufen in einem Gruppenrichtlinienobjekt für
unbeschränkten oder nicht erlaubten Einsatz von Software definieren, so dass das Ausführen von
bestimmter Software entweder standardmäßig erlaubt oder nicht erlaubt ist. Sie können dann
Ausnahmen für diese Grundregel definieren, indem Sie für spezielle Software eigene Regeln anlegen.
Wenn z. B. grundsätzlich das Ausführen von Software nicht erlaubt ist, können Sie einzelne Regeln für
spezielle Software anlegen, die das Ausführen dieser Programme erlaubt.
Softwareeinschränkungsrichtlinien beruhen auf einer Standardsicherheits-Stufe und allen Regeln, die
auf ein Gruppenrichtlinienobjekt angewendet werden. Sie können auf eine Domäne, auf lokale
Computer oder auf einzelne Benutzer angewandt werden. Softwareeinschränkungsrichtlinien kennen
unterschiedliche Wege, um Software zu erkennen. Sie ermöglichen eine richtlinienbasierte
Infrastruktur, um Entscheidungen treffen zu können, ob die entsprechende Software ausgeführt werden
kann. Software, die von Benutzern ausgeführt wird, muss den Richtlinien entsprechen, die durch den
Administrator über die Softwareeinschränkungsrichtlinien gesetzt werden.
Mithilfe der Softwareeinschränkungsrichtlinien können Sie:
Steuern, ob Programme auf Ihrem System ausgeführt werden dürfen. Wenn Sie z. B.
befürchten, dass Benutzer durch E-Mails Viren erhalten könnten, könnten Sie durch eine
Richtlinie festlegen, dass bestimmte Dateitypen nicht ausgeführt werden dürfen, wenn sie sich
im Verzeichnis für E-Mail-Dateianhänge befinden.
Benutzern nur das Ausführen von bestimmten Programmen auf solchen Computern erlauben,
die von mehreren Benutzern verwendet werden. So können Sie festlegen, dass Benutzer auf
einem Computer, der von mehreren Anwendern genutzt wird, nur die Dateien ausführen
dürfen, die sie für ihre Arbeit benötigen.
Technische Übersicht über die Verwaltungsdienste
6
Microsoft® Windows® Server 2003 – technischer Artikel
Entscheiden, wer Software-Herausgeber als vertrauenswürdig zu Ihrem Computer hinzufügen
darf.
Steuern, ob Softwareeinschränkungsrichtlinien alle Benutzer oder nur einzelne Benutzer auf
einem bestimmten Computer betreffen.
Das Ausführen von bestimmten Dateien auf einem lokalen Computer, innerhalb einer
Organisationseinheit, eines Standorts oder einer Domäne unterbinden. Wurde in Ihrer
Umgebung ein Virus festgestellt, so können Sie z. B. über Softwareeinschränkungsrichtlinien
festlegen, dass ein Computer die Dateien, die den Virus enthalten, nicht mehr ausführen darf.
Hinweis: Softwareeinschränkungsrichtlinien sollten nicht als Ersatz für Antiviren-Programme eingesetzt
werden.
Windows Update
Millionen von Benutzern setzen Woche für Woche Windows Update ein. Auf diesem Wege können sie
ihr Computersystem immer auf dem neuesten Stand halten. Windows Update erlaubt es Benutzern,
sich mit www.windowsupdate.com zu verbinden. Dort wird der Computer analysiert, um festzustellen,
welche Updates benötigt werden. Gleichzeitig wird kontrolliert, welche wichtigen Updates nötig sind, um
das System zu schützen. Darüber hinaus bietet dieser Dienst Warnungen bei wichtigen Updates und
eine Option zum automatischen Download von Updates.
Windows Update enthält die folgenden speziellen Möglichkeiten:
Microsoft Windows Update Services Katalog-Webseite. Administratoren können hier
spezielle Patches und Treiber für die Bereitstellung über SMS (Microsoft Systems Management
Server) oder andere Verwaltungstools laden. Weiterführende Information finden Sie unter
http://www.microsoft.com/windows/catalog/.
Windows Update Benutzer-Webseite. Gedacht für Benutzer in kleineren Netzwerken bietet
diese Windows Update-Site Updates für einzelne Computer, die auf diese Site zugreifen.
Dieses Feature kann über Gruppenrichtlinien ausgeschalten werden. Weiterführende
Informationen finden Sie unter http://windowsupdate.microsoft.com.
Automatisches Update. Administratoren können automatisch wichtige Updates laden und
installieren lassen. Hier kann es sich z. B. um Sicherheits-Patches, wichtige Fehlerkorrekturen
oder neue Treiber für Geräte, für die bisher noch keine Treiber existierten, handeln. Dieses
automatische Update ist IT-Managern dabei behilflich, die Bereitstellung und Installation von
wichtigen Software-Updates zu verwalten und außerdem mehrere Neustarts, die früher
notwendig gewesen wären, in einem einzigen Neustart zusammen zu fassen. Kompatibel mit
dem weiter unten beschriebenen, in einer Firma installierten Software Update Server (SUS),
gibt das automatische Update dem Administrator bessere Kontrolle über Updates. Der Dienst
kann entweder automatisch über das Internet konfiguriert oder aber firmenintern verwaltet
werden.
Dynamische Updates. Dynamische Updates sind dafür gedacht, die für eine Installation
notwendigen Fehlerkorrekturen zur Verfügung zu stellen. So können auf diesem Wege
notwendige Treiber, die nicht auf der Installations-CD zu finden sind, während der Installation
geladen werden.
Technische Übersicht über die Verwaltungsdienste
7
Microsoft® Windows® Server 2003 – technischer Artikel
Treiberdienste. Windows Server erlauben es Administratoren, den Benutzern die neuesten
zertifizierten Treiber über Websites und in Verbindung mit dem Geräte-Manager und den Plugand-Play-Diensten zur Verfügung zu stellen.
Microsoft Software Update Dienst
Viele Firmen möchten nicht, dass ihre Systeme oder auch Benutzer sich Updates von externen Quellen
laden können, ohne dass diese zuvor getestet wurden. Für diese Fälle bietet Microsoft eine Version
von Windows Update, die innerhalb der Firmen-Firewall installiert werden kann. Der Microsoft Software
Update Dienst (Microsoft Software Update Service, SUS) erlaubt es Kunden, einen Dienst auf einem
internen Windows 2000 Server oder Windows Server 2003 zu installieren, der alle wichtigen Updates
laden kann, sobald diese veröffentlicht werden. Administratoren können eine E-Mail-Nachricht erhalten,
wenn neue wichtige Updates veröffentlicht wurden.
SUS erlaubt es Administratoren, schnell und einfach die wichtigsten Updates für Server und DesktopComputer, die Windows 2000 Professional oder Windows XP Professional einsetzen, bereit zu stellen.
Diese Lösung umfasst folgenden Features:
Microsoft Software Update Dienste. Dies ist die Serverkomponente, die auf einem Computer
unter Windows 2000 Server oder Windows Server 2003 installiert wird. Der Server befindet sich
dabei innerhalb Ihres Firewalls. Er synchronisiert sich mit der Windows Updatesite und stellt
alle kritischen Updates für Windows 2000 und Windows XP bereit. Die Synchronisation kann
automatisch oder vollständig manuell durch den Administrator erfolgen. Wenn die Updates
geladen wurden, können Sie diese in Ihrer Umgebung testen und dann entscheiden, welche
Updates für die Installation innerhalb Ihres Unternehmens freigegeben werden.
Clients für das automatische Update. Dabei handelt es sich um die Clientkomponente. Sie
läuft auf allen Windows 2000 Servern, auf Windows Server 2003-Systemen und allen
Computern, die Windows 2000 Professional oder Windows XP Professional ausführen. Sie
ermöglicht es Ihren Servern und Clientcomputern, sich mit dem Server, der SUS bereitstellt, zu
verbinden und von dort die Updates zu empfangen. Sie können steuern, auf welche Server sich
der jeweilige Client verbindet. Außerdem können Sie festlegen, zu welchen Zeiten die Clients
die Installationen und wichtigen Updates durchführen sollen – entweder manuell oder basiert
auf Gruppenrichtlinien und Active Directory.
Schrittweise Bereitstellung. Eine schrittweise Bereitstellung von Patches ist durch den
Einsatz mehrerer SUS-Server möglich. So können Sie auf einem Server innerhalb Ihres
Testlabors Updates für eine Auswahl von Test-Clients veröffentlichen. Wenn diese Clients
ordnungsgemäß installiert werden, können Sie andere SUS-Server so konfigurieren, dass
diese Ihre Updates ebenfalls freigeben. So können Sie sicherstellen, dass neue Änderungen
nicht Ihre normale Desktop-Betriebssystem-Umgebung beeinträchtigen.
Server-to-Server-Synchronisation. Wenn Sie mehrere SUS Server innerhalb Ihres
Unternehmens benötigen, um die Updates aufgrund von Bandbreiteneinschränkungen oder
anderen Gründen "näher" an Ihre Desktopcomputer und Server zu bringen, können Sie SUS so
konfigurieren, dass auf andere SUS-Server verwiesen wird und nicht auf die Windows
Updatesite. Auf diese Art und Weise ist es möglich, die wichtigen Updates innerhalb Ihres
Unternehmens zu verteilen.
Technische Übersicht über die Verwaltungsdienste
8
Microsoft® Windows® Server 2003 – technischer Artikel
SUS und andere Verwaltungslösungen von Microsoft
SUS konzentriert sich darauf, wichtige Updates für Windows 2000, Windows XP und Windows Server
so schnell wie möglich innerhalb Ihrer Firewall zur Verfügung zu stellen. Viele Firmen können ihre
Systeme über elektronische Lösungen zur Verteilung von Software – wie z. B. den Microsoft Systems
Management Server – absichern. Diese Systeme stellen vollständige Softwareverwaltungslösungen dar
und werden dabei auch Sicherheitsanforderungen und Anforderungen beim Schutz vor Viren gerecht.
Bisherige Kunden derartiger Verwaltungswerkzeuge sollten weiterhin diese Lösungen einsetzen.
Microsoft wird in SMS im dritten Quartal 2002 Verbesserungen für Sicherheitspatches einführen, die es
SMS-Kunden erlauben, sich über die Inventardatenbank von SMS zu informieren, welche Computer
entsprechende Updates benötigen, um diese dann einfach und schnell updaten zu können.
Weiterführende Informationen finden Sie unter IT with Systems Management Server.
Die passende Lösung
Zur Auswahl einer geeigneten Systemmanagement-Lösung erhalten Sie Informationen unter Choosing
a Security Update Management Solution.
Weitere Informationen über den Software Update Service finden Sie unter
http://www.microsoft.com/windows2000/windowsupdate/sus/default.asp.
Weiterführende Information zum Microsoft Systems Management Server finden Sie unter Systems
Management Server einsetzen in diesem Artikel oder auf der System Management Server-Website
unter http://www.microsoft.com/germany/ms/net-server/smsmgmt/.
Technische Übersicht über die Verwaltungsdienste
9
Microsoft® Windows® Server 2003 – technischer Artikel
IntelliMirror
Die IntelliMirror®-Verwaltungstechnologien fassen eine Reihe von leistungsfähigen Features für die
Änderungs- und Konfigurationsverwaltung zusammen. IntelliMirror vereint die Vorteile der zentralen
Datenhaltung mit den Leistungen und der Flexibilität der verteilten Datenverarbeitung.
IntelliMirror stellt sicher, dass Benutzerdaten, Software und persönliche Einstellungen auch dann
verfügbar sind, wenn der Benutzer von einem Computer auf einen anderen wechselt. Als Administrator
können Sie auch RIS einsetzen, um eine Remoteinstallation des Betriebssystems durchzuführen. Viele
der IntelliMirror-Funktionalitäten beruhen auf Gruppenrichtlinien, was natürlich Active Directory
voraussetzt. Active Directory ist Bestandteil der Microsoft Windows 2000 Server und der Windows
Server 2003-Familie.
Die meisten der IntelliMirror-Funktionalitäten, die in Windows XP und in der Windows Server 2003Familie zu finden sind, sind bereits unter Windows 2000 vorhanden. Sie können IntelliMirror innerhalb
eines Netzwerks einsetzen, das alle oder eines dieser Betriebssysteme ausführt. Allerdings wurden
Verbesserungen in den Funktionalitäten in Windows XP, Windows Server 2003, Standard Edition,
Windows Server 2003, Enterprise Edition, und Windows Server 2003, Datacenter Edition, eingeführt,
die eine größere Flexibilität bei der Administration von Computern und Benutzerkonten innerhalb Ihres
Netzwerks ermöglichen.
Die Funktionen von IntelliMirror steigern die Verfügbarkeit von Benutzerdaten, Computereinstellungen
und der gesamten Datenverarbeitungsumgebung durch eine intelligente Organisation und Verwaltung
von Informationen, Einstellungen und Software. Auf der Grundlage von Richtlinien kann IntelliMirror
Benutzerdaten, Software und persönliche Einstellungen in einer Windows 2000- oder Windows Server
2003-basierten Umgebung bereitstellen, wiederherstellen oder ersetzen.
Eine der wesentlichen Funktionen von IntelliMirror ist die „Follow-Me“-Funktionalität für die
Arbeitsumgebung der Benutzer. Hierdurch können die Benutzer durchgehenden Zugriff auf alle ihre
Informationen und Software bekommen, unabhängig davon, auf welchem Computer sie gerade
arbeiten, und unabhängig davon, ob sie mit dem Netzwerk verbunden sind oder nicht. IntelliMirror stellt
sicher, dass ihre Daten sicher aufgehoben und auch erreichbar sind.
IntelliMirror erlaubt es Administratoren, Richtlinien zu definieren. Sind diese einmal definiert, kann der
Administrator sich darauf verlassen, dass sie angewandt werden, ohne dass er sich weiter darum
kümmern muss.
Das Herzstück von IntelliMirror bilden die folgenden drei Funktionen:
Verwaltung von Benutzerdaten. Diese Funktion kann genutzt werden zur Verwaltung von
Dateien, Dokumenten, Kalkulationstabellen und anderen Informationen, die die Mitarbeiter
anlegen und für die Ausführung ihrer Arbeit benötigen. Durch das Umleiten der
Benutzerverzeichnisse, wie z. B. des Ordners „Eigene Dateien“ an eine Stelle im Netzwerk und
die anschließende Freigabe dieses Ordners für die Benutzung als Offline-Ordner, haben die
Benutzer von jedem Ort aus Zugriff auf diese Daten.
Verwaltung von Benutzereinstellungen. Diese Funktion ermöglicht die zentrale Definition
von Einstellungen der Arbeitsumgebung für unterschiedliche Gruppen von Benutzern und
Computern. Benutzereinstellungen können bei einem Computerausfall leicht wieder hergestellt
werden. Dabei beinhalten die Benutzereinstellungen sowohl die persönlichen Einstellungen als
Technische Übersicht über die Verwaltungsdienste
10
Microsoft® Windows® Server 2003 – technischer Artikel
auch die zentral vorgegebenen Anpassungen der Desktopeinstellungen und Anwendungen.
Die Einstellungen können sich auf Spracheinstellungen, Aussehen des Desktops und andere
Vorgaben beziehen. Sie können überall dort verfügbar gemacht werden, wo der Benutzer sich
anmelden kann.
Installieren und Warten von Software. Diese Funktion umfasst die Installation, Konfiguration,
Wartung oder das Entfernen von Anwendungen, Service Packs und Betriebssystem-Updates.
Zuweisung oder Veröffentlichung von Software an einen Benutzer stellt sicher, dass die
Anwendung dem Benutzer zur Verfügung steht, unabhängig davon, wo er sich innerhalb des
Netzwerks anmeldet.
Die Zuweisung an Computer macht die Anwendung allen Benutzern dieses Computers
zugänglich. Letzteres ist beim Einsatz von Software sinnvoll, die für alle Benutzer notwendig ist
– wie z. B. Produktionssoftware oder Antiviren-Software. Bei der Zuweisung einer Anwendung
können Sie festlegen, ob die Anwendung vollständig installiert werden soll, wenn der Benutzer
sich anmeldet, oder ob die Software nur dann installiert werden soll, wenn der Benutzer die
Anwendung oder Teile der Anwendung aktiviert. Wird die Anwendung so konfiguriert, dass sie
erst bei der ersten Nutzung installiert wird, erscheint sie für den Benutzer, als ob sie installiert
wäre. Tatsächlich wird die Software aber erst dann installiert, wenn der Benutzer die
Anwendung zum ersten Mal auswählt. Diese Option kann die Zeit reduzieren, die notwendig ist,
um Konfigurationen für Rechner einer großen Zahl von Benutzern bereitzustellen, da nicht alle
Benutzer auch wirklich alle Optionen eines Programms nutzen müssen. Auf der anderen Seite
kann die Option, die Software vollständig zu installieren, wie sie auf den Windows-Servern
verfügbar ist, für bestimmte Benutzer – wie z. B. Benutzer, die häufig auf Reisen sind – sehr
wichtig sein, da diese Option sicherstellt, dass die Anwendungen vollständig installiert sind,
auch wenn der Benutzer zum Zeitpunkt des erstmaligen Aufrufs keine Netzwerkverbindung hat.
Wenn Sie eine Anwendung veröffentlichen, kann der Benutzer sie über das Programm
Software innerhalb der Systemsteuerung installieren.
In beiden der beschriebenen Fälle folgt eine Anwendung dem Benutzer oder Computer und es
ist sichergestellt, dass die Anwendungen auf jedem der Rechner, an denen sich der Benutzer
anmeldet, verfügbar sind.
Die einzelnen Funktionen von IntelliMirror können getrennt oder auch zusammen genutzt werden. Dies
ist abhängig von den Anforderungen innerhalb Ihres Unternehmens. Allerdings könnten Sie auch - sei
es aus Sicherheitsgründen, Firmenstandards oder aber aus Gründen der Netzwerkkonfiguration - die
Verfügbarkeit von Benutzerdaten einschränken, so dass diese nicht an jeder beliebigen Stelle im
Netzwerk verfügbar sind.
Aus organisatorischer Sicht ist das Verhältnis zwischen entstehenden Kosten und den daraus
resultierenden Vorteilen von großer Wichtigkeit. IntelliMirror-Funktionen wurden entworfen, um neue
Funktionalität mit einem reduzierten Verwaltungsaufwand des Systems zu kombinieren. Die meisten
IntelliMirror-Funktionen wurden dafür entworfen, den einzelnen Benutzern uneingeschränkte
Produktivität zu sichern, dabei eine zentrale Verwaltung zu ermöglichen und trotzdem den
administrativen Aufwand und die damit verbundenen Kosten zu verringern.
Technische Übersicht über die Verwaltungsdienste
11
Microsoft® Windows® Server 2003 – technischer Artikel
Die neuen Funktionalitäten der zentralen Verwaltung, wie sie durch IntelliMirror möglich wird, erlauben
es Unternehmen, die Ziele der Änderungs- und Konfigurationsverwaltung leicht zu erreichen, da das
gesamte Unternehmen über einen einzigen Punkt innerhalb des Active Directorys gesteuert werden
kann. Sowohl Benutzer als auch Administratoren profitieren, da letztendlich die Kosten für den Bereich
der Datenverarbeitung gesenkt werden und die Produktivität erhöht wird.
Verbesserte Richtlinienverwaltung
IntelliMirror umfasst einige wichtige neue Funktionen, die den Administratoren leistungsfähige
Werkzeuge für die Verwaltung von Benutzern und Computern an die Hand geben.
Gruppenrichtlinien-Verwaltungskonsole (GPMC)
Die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC), die
wahrscheinlich als kostenfreies Zusatztool für die Windows-Server zur Verfügung gestellt werden wird,
bietet einen neuen Zugang für die Verwaltung von Gruppenrichtlinien. Mit GPMC wird es sehr viel
einfacher, Gruppenrichtlinien zu nutzen. Dies ist ein Vorteil, der es sehr vielen Unternehmen erlauben
wird, Active Directory noch besser einzusetzen und die Vorteile der leistungsfähigen
Verwaltungsfunktionen zu nutzen.
So ermöglicht GPMC das Backup und Restore, den Im- bzw. Export und das Kopieren/Einfügen von
Gruppenrichtlinienobjekten. Auch das Erstellen von Berichten über Gruppenrichtlinien-Einstellungen
oder von RSoP (Resultant Set of Policy)-Daten, die Benutzung von Vorlagen für die Verwaltung von
Konfigurationen und auch Skript-Unterstützung sind hiermit möglich.
Zusätzlich erlaubt GPMC, Gruppenrichtlinien über mehrere Domänen und Standorte eines Forests
hinweg zu verwalten. Dies alles über eine einfache Benutzerschnittstelle mit Drag-and-DropUnterstützung. Werden zusätzlich noch Vertrauensstellungen zwischen einzelnen Forests eingesetzt,
können Gruppenrichtlinien auch über mehrere Forests hinweg aus der gleichen Konsole verwaltet
werden. GPMC kann Gruppenrichtlinien für Windows 2000- und Windows Server 2003-Domänen
verwalten.
Forest-übergreifende Unterstützung
Während Gruppenrichtlinienobjekte nur mit Standorten, Domänen oder Organisationseinheiten
(Organisational Units, OU) innerhalb einer vorgegebenen Gesamtstruktur verbunden werden können,
ermöglichen die Forest-übergreifenden Funktionen innerhalb der Windows Server 2003 einige neue
Einsatzszenarien für Gruppenrichtlinien.
So ist es z. B. für einen Benutzer in Forest A möglich, sich an einen Computer in Forest B anzumelden,
wobei für jeden Rechner jeweils ein eigener Satz von gültigen Richtlinien verwendet wird. Alternativ
können sich Einstellungen eines Gruppenrichtlinienobjekts auf Server eines externen Forests beziehen,
wie z. B. auf einen Softwareverteilungspunkt. Windows Server 2003-Gruppenrichtlinien unterstützen
auch derartige weitergehende Szenarien der Zusammenarbeit.
Ergebnissätze – Resultant Set of Policy (RSoP)
Der Einsatz von RSoP im Rahmen von Windows Server 2003 erlaubt es Ihnen, die effektiven
Gruppenrichtlinien anzuzeigen, die auf einen Benutzer oder Computer wirken. Mit RSoP haben Sie ein
leistungsfähiges und flexibles Werkzeug, um Gruppenrichtlinien zu planen, zu überwachen oder Fehler
im Zusammenhang mit Gruppenrichtlinien zu beheben.
Technische Übersicht über die Verwaltungsdienste
12
Microsoft® Windows® Server 2003 – technischer Artikel
Bei RSoP handelt es sich um eine Infrastruktur und gleichzeitig um ein Werkzeug in Form eines MMCSnap-Ins, welches Ihnen die Analyse und die Festlegung des gerade wirkenden Sets von
Gruppenrichtlinien auf zwei verschiedene Arten erlaubt: Im Protokolliermodus der wirkenden Richtlinien
oder aber in einem Planungsmodus. Bei der Protokollierung können Sie feststellen, welche Richtlinien
auf ein bestimmtes Objekt wirken. Im Planungsmodus können Sie einfach sehen, wie Richtlinien sich
auf ein bestimmtes Objekt auswirken würden, und die Ergebnisse genau überprüfen, bevor Sie
Änderungen bei den Gruppenrichtlinien vornehmen.
RSoP wird über WMI bereitgestellt. Hierdurch werden die Möglichkeiten, durch WMI Daten aus den
unterschiedlichsten Quellen zu erfassen, nochmals erweitert. Ein MMC-basiertes Tool beinhaltet die
Snap-In-Erweiterungen, die die Ergebnisse für ein bestimmtes Objekt anzeigen. Ein Assistent setzt die
Einstellungen für das RSoP-Tool. Der Assistent führt den Administrator durch die einzelnen Schritte,
die notwendig sind, um das Objekt auszuwählen, die entsprechenden Daten einzustellen und das
RSoP-Tool auf der Grundlage dieser Daten auszuführen.
WMI Filter
WMI stellt eine große Menge an Daten, wie z. B. Hardware- und Software-Inventar, Einstellungen und
Konfigurationsinformationen für einen bestimmten Computer zur Verfügung. WMI greift zurück auf die
Informationen aus der Registry, den Treibern, dem Dateisystem, Active Directory, Simple Network
Management (SNMP), dem Windows Installer-Dienst, Ergebnissen von Abfragen in Structured Query
Language (SQL), dem Netzwerk oder auch den Exchangeservern. Das Filtern über WMI in Windows
Server 2003 erlaubt Ihnen, dynamisch zu entscheiden, ob ein Gruppenrichtlinienobjekt abhängig von
den Ergebnissen einer Abfrage über WMI-Daten angewandt werden soll. Diese Abfragen, die auch als
WMI-Filter bezeichnet werden, legen fest, auf welche Benutzer oder Computer die entsprechenden
Richtlinien angewandt werden, die in einem Gruppenrichtlinienobjekt festgelegt sind. So können Sie
Gruppenrichtlinien dynamisch und abhängig von den Eigenschaften der lokalen Maschine anwenden.
Hier einige Beispiel-Eigenschaften, die Sie bei der Verwendung von WMI-Filtern einsetzen könnten:
Dienste – Computer, bei denen z. B. das Dynamic Host Configuration Protokoll (DHCP)
aktiviert ist.
Registry – Computer, die einen bestimmten Registry-Schlüssel gesetzt haben.
Hardware-Inventar – Computer mit einem Pentium III-Prozessor.
Software-Inventar – Computer mit installiertem Visual Studio® .NET.
Hardwarekonfiguration – Computer, bei denen die Netzwerkkarte (NIC) auf Interrupt 3
eingestellt ist.
Softwarekonfiguration – Computer, bei denen Multicasting aktiviert ist.
Verknüpfungen – Computer, die einen Dienst einsetzen, der in irgendeiner Weise vom Systems
Network Architecture (SNA)-Dienst abhängig ist.
Ping – Computer, die einen bestimmten Server in weniger als 100 Millisekunden anpingen
können.
Weitere Beispiele für WMI-Filter finden Sie in Anhang B.
Technische Übersicht über die Verwaltungsdienste
13
Microsoft® Windows® Server 2003 – technischer Artikel
Administrative Vorlagen
Erweiterungen des Gruppenrichtlinien-Snap-Ins
Richtlinien-Einstellungen können leichter durch die erklärende Webview-Ansicht im GruppenrichtlinienEditor verstanden, verwaltet und überprüft werden. Wird eine Richtlinie mit der Maus angeklickt, wird
sofort ein Text angezeigt, der die Funktion der Richtlinie und die unterstützten Arbeitsumgebungen wie
z. B. "nur unter Windows XP oder Windows 2000 verfügbar" anzeigt. Dies macht es einfacher, sich
zwischen den einzelnen Richtlinien zu bewegen, und erleichtert die Einschätzung von Vorteilen, die
man durch Gruppenrichtlinien erzielen kann. Der Erläuterungstext wurde in der Windows Server 2003Familie um Hilfetexte für Kategorien von Richtlinien erweitert, wie z. B. Startmenü oder Taskleiste.
Neue Richtlinien
Die Windows Server 2003-Familie umfasst mehr als 160 neue Richtlinien. Diese neuen Richtlinien
erlauben es, eine ganze Reihe neuer Funktionen zu steuern:
Terminaldienste
Anwendungskompatibilität
Netzwerk wie z. B. SNMP, QoS-Paketplaner, Firewalls und Wählverbindungen
DNS-Client
Servergespeicherte Profile und Gruppenrichtlinien
Systemsteuerung.
Windows Media™ Player
Der Hinweis auf die Anforderungen
Über den Eintrag „Anforderungen“ wird beschrieben, ob die Richtlinie für Windows 2000 oder nur für
Windows Server 2003 verfügbar ist, und ob ein spezielles Service Pack eingesetzt werden muss.
Dieser Eintrag befindet sich in der administrativen Vorlage (.adm) für jede Richtlinie. Administratoren
oder Benutzer können nach Richtlinien mit diesen Stichworten suchen und sich nur die Richtlinien
anzeigen lassen, die für eine bestimmte Version des Betriebssystems zur Verfügung stehen. In der
Beschreibung der einzelnen Richtlinien steht am Anfang immer ein Hinweis, auf welchem
Betriebssystem diese Richtlinie zur Verfügung steht.
Verbesserte Benutzer- und Einstellungsverwaltung
Umleiten der “Eigene Dateien” auf ein Home-Verzeichnis
Über diese Gruppenrichtlinie können Sie das Verzeichnis Eigene Dateien in das Home-Verzeichnis des
Benutzers umleiten. Dies hilft beim Übergang des Benutzers von dem bisher gewohnten HomeVerzeichnis zur Anwendung des neuen Modells mit Eigene Dateien.
Neue Richtlinien für Benutzerprofile
Die Windows Server 2003-Familie umfasst einige neue Richtlinien, die einen flexibleren Umgang mit
der Konfiguration von Benutzerprofilen erlauben. So können Sie auf der Grundlage von einzelnen
Maschinen den Einsatz von Profilen unterbinden und Profile als schreibgeschützt konfigurieren.
Technische Übersicht über die Verwaltungsdienste
14
Microsoft® Windows® Server 2003 – technischer Artikel
Bereitstellung von Software
Vollständige Installation von Benutzer-zugewiesenen Anwendungen bei der Anmeldung
Der so genannte Application Deployment Editor (ADE) wurde dahingehend erweitert, dass über den
Punkt Softwareinstallation innerhalb des Gruppenrichtlininen-Snap-Ins eine neue Option für die
vollständige Installation von Software auswählbar ist. Diese Option erlaubt es, eine dem Benutzer
zugewiesene Anwendung bereits bei der Anmeldung vollständig zu installieren und nicht erst, wenn die
Anwendung aufgerufen wird. Dies ist vor allem bei mobilen Benutzern hilfreich, die alle Teile einer
Anwendung installiert haben müssen, bevor sie sich wieder auf die Reise begeben.
Unterstützung für die Bereitstellung von 64-Bit-Software
Diese Funktion ermöglicht die Bereitstellung von 64-Bit-Software über Gruppenrichtlinien. Die neue
Option innerhalb des ADE ermöglicht es festzulegen, ob 32-Bit-Anwendungen auf 64-Bit-Clients
bereitgestellt werden sollen. Der ADE erlaubt es auch, bestehende Bereitstellungen auf Windows 2000
mit der gleichen Funktionalität zu verwalten, wie es unter Windows Server 2003 möglich ist.
Dies ist hilfreich, wenn Administratoren planen, ein 32-Bit-Windows-Installer-Paket auch einer Gruppe
von 64-Bit-Systemen bereitzustellen. Wenn der Administrator sich sicher ist, dass das 32-Bit-Paket
auch korrekt auf einer 64-Bit-Maschine ausgeführt werden kann, kann er die neue Option „Diese 32-BitX86-Anwendung für Win64-Computer bereitstellen“ innerhalb des ADE auswählen, um diese
Anwendung allen Benutzern zur Verfügung zu stellen.
RIS und IntelliMirror
Sie können RIS mit Funktionen von IntelliMirror wie Benutzerdokumenten und Benutzereinstellungen,
Softwareinstallation und Gruppenrichtlinien kombinieren, um die Verwaltung von Computern innerhalb
Ihres Unternehmens effektiv gestalten zu können. Gleichzeitig wird so die Anzahl von notwendigen
Supportanfragen reduziert. Die folgenden Abschnitte zeigen, wie IntelliMirror und der
Remoteinstallations-Dienst (RIS) sich gegenseitig ergänzen können:
Verbesserte Verwaltung von Benutzerdaten
Verbesserte Verwaltung von Benutzereinstellungen
Vereinfachungen beim Verwalten von Software
Verbesserte Computerinstallation
Weiterführende Informationen zum Thema RIS finden Sie unter „Bereitstellungstools und -Dienste“
in diesem Artikel.
Verbesserungen beim Verwalten von Benutzerdaten
Die Verfügbarkeit von Daten ist eine der wichtigsten Anforderungen der meisten Unternehmen. Was
geschieht mit Benutzerdaten, wenn eine Festplatte ausfällt? Wer stellt sicher, dass die Benutzerdaten
in regelmäßigen Abständen gesichert werden? Zu häufig werden Benutzerdaten nicht gesichert, was
dazu führt, dass bei einem Festplattenausfall wichtige Dateien verloren gehen.
Des Weiteren ist die Verfügbarkeit von Daten relevant, wenn Benutzer innerhalb des Netzwerks von
einem Computer auf einen andern wechseln oder wenn sie nur gelegentlich auf das Netzwerk
zugreifen. Mithilfe der Verwaltungsfunktionen für Benutzerdaten von IntelliMirror können Sie
Technische Übersicht über die Verwaltungsdienste
15
Microsoft® Windows® Server 2003 – technischer Artikel
sicherstellen, dass Benutzer von jedem Computer auf ihre Daten zugreifen können, unabhängig davon,
wann sie sich anmelden oder ob sie offline oder online sind. Sie können die Benutzerdaten zentral
sichern. In einer Desaster-Recovery-Situation können Sie einen Computer dann leicht ersetzen.
Nutzen der Datenverwaltung
Wenn Sie die Datenverwaltungsfunktionen von IntelliMirror einführen, können Benutzer von jedem
Windows 2000 Professional Computer (oder einer neueren Version eines Windows-Betriebssystems)
innerhalb des Netzwerks auf ihre Daten zugreifen. Wenn ein Benutzer die im Netzwerk bereitgestellten
Ressourcen offline verwendet, werden alle Änderungen, die an diesen Ressourcen vorgenommen
werden, synchronisiert, sobald sich der Benutzer wieder am Netzwerk anmeldet.
Mit den Datenverwaltungsfunktionen können Sie sicherstellen, dass die Benutzerdaten immer
verfügbar sind:
Administratoren können einen verbesserten Schutz für Benutzerdaten erreichen, indem sie die
lokalen Daten auf eine Netzwerkfreigabe umleiten oder kopieren. Anschließend werden die
Daten in einem zentralen Backup gesichert. Unternehmensstandards zur einheitlichen
Datenhaltung auf Servern lassen sich so leicht umsetzen.
Administratoren können sicherstellen, dass die neuesten Versionen der Benutzerdaten sowohl
auf dem lokalen Computer als auch auf dem Server vorhanden sind. Da durch eine lokale
Zwischenspeicherung die Daten auf dem lokalen Computer abgelegt werden, selbst wenn der
Computer nicht mit dem Netzwerk verbunden ist, sind die Daten auch dann verfügbar, wenn
der Benutzer offline arbeitet oder die Verbindung aufgrund von Netzwerkproblemen
vorübergehend gestört ist.
Daten können einem Benutzer „folgen“, wenn dieser auf einen anderen Computer innerhalb
des Netzwerks umzieht. Dies erhöht die Verfügbarkeit der Daten, da Benutzer von jedem
Computer innerhalb des Netzwerks auf ihre Daten zugreifen können.
Die Einführung der Benutzerdatenverwaltung beruht auf einer oder allen der nachfolgend aufgeführten
Technologien:
Active Directory
Gruppenrichtlinien
RSoP
Servergespeicherte Benutzer-Profile
Ordnerumleitung
Offline-Dateien
Synchronisations-Manager
DFS (Distributed File System)
EFS (Encrypting File System)
Festplattenkontingente (Disk Quotas)
Technische Übersicht über die Verwaltungsdienste
16
Microsoft® Windows® Server 2003 – technischer Artikel
Die Benutzerdaten können dem Benutzer “folgen”, weil sie an speziellen Netzwerkorten gespeichert
sind. Man kann manuell konfigurieren, welche Dateien und Ordner verfügbar sind, oder man kann
Gruppenrichtlinien dafür benutzen.
Die Netzwerkdaten, mit denen ein Benutzer arbeitet, werden automatisch auf dem Computer des
Benutzers zwischengespeichert und stehen auch zur Verfügung, wenn der Benutzer offline ist. Die
Hauptversion der Datei befindet sich allerdings auf dem Server. Die beste Methode, die Daten dem
Benutzer folgen zu lassen, besteht darin, benutzerspezifische Verzeichnisse wie z. B. Eigene Dateien
über Gruppenrichtlinien auf eine Ressource im Netzwerk umzuleiten. Danach aktivieren Sie die OfflineFunktionalität für diese Ressourcen. Speichert dann der Benutzer eine Datei unter Eigene Dateien wird
diese tatsächlich auf dem Netzwerk abgelegt und der lokale Computer wird mit dem Netzwerk
synchronisiert. Die Synchronisation, die für den Benutzer transparent ausgeführt werden kann, stellt
sicher, dass der Benutzer unabhängig davon, ob er online ist, Zugriff auf die gleiche Datei hat.
Checkliste für Ihre Anforderungen
Um die möglichen Vorteile für den Einsatz von Datenverwaltungs-Funktionen unter Windows 2000 und
Windows Server 2003 zu erkennen, sollten Sie zuerst auflisten, welche Bedürfnisse Sie in diesem
Bereich haben. Kontrollieren Sie dazu die folgenden Punkte:
Die in Ihrem Unternehmen eingesetzten Backuplösungen für Benutzerdaten
Die Zuverlässigkeit dieser Backuplösungen
Die Angestellten, die regelmäßig mehr als einen Computer für ihre Arbeit nutzen, und eine
Unterstützung ihrer täglichen Arbeit durch verbesserten Datenzugriff
Den Aufwand und die damit verbundenen Kosten, die für die Wiederherstellung und
Neubeschaffung von Daten bei Hard- oder Softwarefehlern entstehen.
Den möglichen Gewinnausfall für das Unternehmen bei einem weit reichenden Verlust von
Benutzerdaten.
Die Notwendigkeit für Benutzer, servergespeicherte Daten auch dann zur Verfügung zu haben,
wenn sie von unterwegs arbeiten.
Nachdem Sie auf diese Art und Weise Ihre Anforderungen erkannt haben, können Sie schnell
entscheiden, welche Benutzerdaten-Verwaltungsfunktionen für Ihr Unternehmen sinnvoll einzusetzen
sind.
Verbesserte Verwaltung von Benutzereinstellungen
In den meisten Unternehmen benötigen neue Benutzer, aber auch Benutzer, die ihre Computer
austauschen, häufig Hilfe durch die IT-Abteilung, um die erste Konfiguration der Computer
durchzuführen. Mithilfe der Verwaltung der Benutzereinstellungen durch IntelliMirror-Technologien
können Administratoren zentral die Einstellungen für Gruppen von Benutzern und Computer festlegen.
So arbeitet jeder Benutzer automatisch mit der richtigen Konfiguration. Administratoren können die
Benutzereinstellungen auch wiederherstellen, wenn ein Computer ausgefallen ist. Gleichzeitig kann ein
Administrator sicherstellen, dass die Desktopeinstellungen einem Benutzer „folgen“, wenn dieser sich
an einem anderen Computer anmeldet.
Verwalten von Benutzereinstellungen
Durch den Einsatz von IntelliMirror für die Verwaltung von Benutzereinstellungen können Sie:
Technische Übersicht über die Verwaltungsdienste
17
Microsoft® Windows® Server 2003 – technischer Artikel
Support-Calls reduzieren, indem Sie einen Desktop zur Verfügung stellen, der für die
Bedürfnisse des Benutzers vorkonfiguriert ist.
Beim Austausch von Computern Zeit und Kosten sparen.
Benutzern dabei helfen, effektiver zu arbeiten: Sie stellen ihnen ihren Desktop zur Verfügung,
unabhängig davon, wo sie arbeiten.
Die folgenden Einstellungen können Sie verwalten:
Desktopkonfiguration
Sicherheitseinstellungen
Spracheinstellungen
Anwendungseinstellungen
Skripte (beim Starten und Herunterfahren des Computers und beim An- und Abmelden des
Benutzers)
Diese Konfigurationen und Einstellungen bestimmen das Benutzerprofil. Diese Information wird auf
jedem Computer lokal für jeden Benutzer, der sich anmeldet, gespeichert. Sie können auch jeden der
speziellen Ordner, die in einem Profil gespeichert sind, auf Netzwerkfreigaben umleiten. Damit sind die
gleichen Benutzerprofile verfügbar, unabhängig davon, von wo aus der Benutzer sich anmeldet.
Sie können die folgenden Technologien einsetzen, um die Benutzereinstellungen zu verwalten:
Active Directory
Gruppenrichtlinien
Offline-Dateien
Synchronisations-Manager
DFS
Ordnerumleitung
Servergespeicherte Benutzerprofile
Die Benutzereinstellungen können wie die Benutzerdaten dem Benutzer “folgen”, unabhängig davon,
wo der Benutzer sich anmeldet. Sie können Gruppenrichtlinien einsetzen, um die Einstellungen für die
Arbeitsumgebung eines Benutzers festzulegen und anzupassen. Über Gruppenrichtlinien können Sie
dem Benutzer erlauben oder verbieten, eigene Einstellungen vorzunehmen. Diese Einstellungen
können sowohl auf Benutzer als auch auf Computer angewandt werden. Hat ein Benutzer die
Berechtigung, so passt er häufig den Stil und die Voreinstellungen seiner Arbeitsumgebung den
täglichen Arbeitsanforderungen an. Diese Einstellungen umfassen meist drei grundlegende Typen an
Informationen: (a) Benutzerinformationen und sonstige administrative Informationen, (b) temporäre
Informationen und (c) Daten, die speziell auf den lokalen Computer ausgerichtet sind.
Benutzerspezifische Informationen können z. B. Einstellungen bei den Internet ExplorerFavoriten, Cookies, das persönliche Outlook® Express-Adressbuch oder
Desktophintergründe sein.
Technische Übersicht über die Verwaltungsdienste
18
Microsoft® Windows® Server 2003 – technischer Artikel
Bei temporären Einstellungen handelt es sich häufig um den benutzerspezifischen Cache
für den Internet Explorer.
Beispiele für lokale Computereinstellungen wären z. B. die Einstellungen für Offline-Ordner
und -Dateien.
Temporäre und lokale Computer-Einstellungen sollten normalerweise nicht dem Benutzer “folgen”, da
dies zu unnötigem Overhead führen kann. Auch könnten, bedingt durch unterschiedliche Hardware
verschiedener Computer, Probleme bei der Verwendung servergespeicherter Profile auftreten. Wenn
Sie servergespeicherte Profile für die Verwaltung von Benutzereinstellungen einsetzen, stellen
Gruppenrichtlinien sicher, dass nur die wichtigen Benutzereinstellungen und administrativen
Einstellungen benutzt werden, während temporäre und lokale Computereinstellungen dynamisch und
bei Bedarf erstellt werden. Dies reduziert die Datenmenge, die gespeichert und über das Netzwerk
transportiert werden muss. Gleichzeitig findet trotzdem jeder Benutzer auf jedem Computer, auf dem er
sich anmeldet, die gleichen Einstellungen vor.
Checkliste für Ihre Anforderungen
Dokumentieren Sie die folgenden Informationen für Ihr Unternehmen:
Anzahl der Benutzer, die monatlich in Ihrem Unternehmen neu angestellt werden.
Die häufigsten Anfragen zu Problemen mit der Benutzeroberfläche, die von Ihrer IT-Abteilung
zu beantworten waren.
Die wichtigsten Links und Konfigurationsoptionen (wie z. B. Skripte, Spracheinstellungen und
Einstellungen der Benutzeroberfläche), die neuen Benutzern helfen könnten, Support-Calls zu
vermeiden.
Die Anzahl von Benutzern, die mehrere Computer innerhalb Ihres Unternehmens benutzen.
Diese Information zeigt Ihnen die wichtigsten Vorteile, die sich durch den Einsatz der Verwaltung von
Benutzereinstellungen durch IntelliMirror für Ihr Unternehmen ergeben.
Vereinfachen der Softwareverwaltung
Nachfolgend sehen Sie einige typische Situationen bei der Bereitstellung von Software:
Benutzer benötigen vielfältige Anwendungen, um ihre Aufgaben erledigen zu
können. Unterschiedliche Benutzer benötigen die unterschiedlichsten Anwendungen. Das
bedeutet für viele große Unternehmen, dass sie Hunderte oder sogar Tausende von
Softwareanwendungen unterstützen müssen. Administratoren müssen den Benutzern die
jeweils benötigten Anwendungen effizient zur Verfügung stellen können.
Softwareanwendungen in Unternehmen müssen sich über einen längeren Zeitraum
hinweg entwickeln. Neue Anwendungen und Programmversionen werden verfügbar, die
neue Eigenschaften und Funktionen bieten. Erweiterungen, wie z. B. neue
Benutzervorlagen, oder Service Packs, die zwischen vollen Versionsupgrades auf den
Markt kommen, müssen ebenfalls von Zeit zu Zeit bereitgestellt werden.
Benutzer werden befördert oder ändern ihre Stellen und benötigen deshalb neue
Anwendungen. Gleichzeitig benötigen sie ihre bisherige Software nicht mehr. Oder aber
Benutzer werden zu einem Computer an einem anderen Ort versetzt und erwarten, dort
Technische Übersicht über die Verwaltungsdienste
19
Microsoft® Windows® Server 2003 – technischer Artikel
wieder alle wichtigen Anwendungen vorzufinden. Administratoren müssen auch diesen
schnellen Wechseln mit der Bereitstellung von Software gerecht werden.
Die Produktivität von Benutzern wächst, wenn sie all die Software-Anwendungen zur Verfügung haben,
mit der sie ihre Aufgaben effizient durchführen können. Es ist außerdem wichtig, dass Administratoren
veraltete oder nicht mehr eingesetzte Software-Anwendungen erkennen und entfernen können. Die ITAbteilung muss festlegen, wann der Support für eine bestimmte Anwendung nicht mehr sinnvoll ist. Sie
kann Benutzer darum bitten, diese Anwendungen nicht mehr auszuführen. In einigen Fällen ist es die
beste Lösung, die Anwendung zu entfernen, sobald sie überflüssig wird. Damit vermeidet man
Kompatibilitätsfragen und andere Probleme, die durch eine Weiterbenutzung entstehen könnten.
All diese Aufgaben bei der Verwaltung von Systemkonfigurationen können extrem arbeitsaufwändig
sein. Das ist der Grund, warum viele Unternehmen diese Aufgaben für große Teile der Computer und
auch für alle Client-Computer gleichzeitig automatisieren möchten.
Nutzen von Softwareinstallation und Softwarewartung
Sie können die Softwareinstallations- und Softwarewartungsfunktion von IntelliMirror nutzen, um
Anwendungen beim Starten eines Rechners, bei Anmeldung eines Benutzers oder beim Programmstart
(„bei Bedarf“) installieren zu lassen. Sie können diese Funktionalität auch nutzen, um Anwendungen zu
aktualisieren, veraltete Anwendungen zu entfernen, oder um Service Packs und BetriebssystemUpdates bereit zu stellen. Mithilfe dieser Funktionen können Sie unterbinden, dass Benutzer Software
nicht von lokalen Medien wie CD-ROMs oder lokalen Festplatten installieren können.
Diese Merkmale von IntelliMirror können auch in den folgenden Situationen eingesetzt werden:
Hat ein Benutzer unbeabsichtigt Dateien einer Anwendung gelöscht, kann sich die Anwendung
automatisch selbst reparieren.
Wenn Benutzer von einem Computer auf einen anderen umziehen, steht ihnen auch weiterhin
die notwendige Software zur Verfügung.
Wenn ein Benutzer versucht, eine Datei zu öffnen, die mit einer Anwendung verbunden ist, die
allerdings noch nicht auf dem Rechner installiert ist, kann die Anwendung automatisch
installiert und das Dokument in der Anwendung geöffnet werden.
Softwareinstallation und Softwarewartung nutzen folgende Windows-Technologien:
Active Directory
Gruppenrichtlinien
Windows Installer
Software (aus Systemsteuerung)
Die folgenden Funktionen können optional verwendet werden:
DFS
Dateireplikations-Dienst (File Replication Service, FRS)
Sie können Gruppenrichtlinien einsetzen, um Installationsmöglichkeiten von Software festzulegen. So
wird angegeben, welche Anwendungen verteilt, aktualisiert oder gelöscht werden sollen. Sie können
Softwareinstallationsrichtlinien je nach Bedarf auf Benutzergruppen oder Computergruppen anwenden.
Technische Übersicht über die Verwaltungsdienste
20
Microsoft® Windows® Server 2003 – technischer Artikel
Es gibt zwei Möglichkeiten, um Anwendungen auf Computern zu installieren: Sie können die
Installationspakete entweder zuweisen oder veröffentlichen.
Das Bereitstellen von Software über Gruppenrichtlinien erfordert, dass die Anwendungen den Windows
Installer-Dienst nutzen, der weit mehr Möglichkeiten bietet als nur Anwendungen zu installieren. Er
schützt auch die Integrität von Anwendungen gegen unbeabsichtigte Beschädigungen von lokalen
Dateien. Hat z. B. ein Benutzer versucht, Microsoft Word auszuführen, wobei allerdings einige wichtige
Dateien für die Ausführung fehlten, dann wird der Windows Installer die Dateien von dem zentralen
Installationspunkt nachinstallieren, so dass die Anwendung beim nächsten Start wieder verfügbar ist.
Anwendungen, die über den Windows Installer-Dienst unter Verwendung der Gruppenrichtlinien
installiert werden, werden mit besonderen Berechtigungen installiert. Das bedeutet, dass die Benutzer
für die Installation der Anwendung nicht über Administratorrechte auf ihrer lokalen Maschine verfügen
müssen.
Die Reparatur von Anwendungen erfolgt analog zur bedarfsweisen Installation beim erstmaligem
Programmstart: Immer dann, wenn eine Anwendung, die über Windows Installer ausgebracht wurde,
gestartet wird, prüft der Windows Installer-Dienst, ob die notwendigen Dateien vorhanden sind. Ist dies
nicht der Fall, werden die notwendigen Dateien automatisch nachinstalliert. Weiterführende
Informationen finden Sie im Abschnitt über den Windows Installer-Dienst innerhalb dieses Artikels.
Anwendungen zuweisen
Sie können Anwendungen entweder einem Benutzer oder einem Computer über Gruppenrichtlinien
zuweisen. Wenn Sie eine Anwendung einem Computer zuweisen, wird diese automatisch installiert,
wenn der Computer das nächste Mal gestartet wird. Wenn Sie einem Benutzer Anwendungen über
eine Gruppenrichtlinie zuweisen, kann der Administrator entscheiden, ob die Anwendung nach Bedarf,
d.h. beim ersten Start der Anwendung, oder vollständig, d.h. beim nächsten Anmelden des Benutzers,
installiert werden soll.
Nach Bedarf. Wird die Anwendung mit der Option Automatisch installieren, wenn die
Dateierweiterung aktiviert wird, in den Gruppenrichtlinien zugewiesen, wird im Startmenü ein
Shortcut abgelegt und die für die Anwendung notwendigen Dateitypen-Einträge in der Registry
vorgenommen. Für den Benutzer entsteht das Gefühl, als wäre die Anwendung bereits
installiert. Allerdings ist die Anwendung nicht vollständig installiert. Erst wenn der Benutzer die
Anwendung benötigt oder auf eine Datei klickt, die mit der Anwendung assoziiert ist, kontrolliert
der Windows Installer ob alle notwendigen Dateien und Parameter für das ordnungsgemäße
Ausführen der Anwendung auch vorhanden sind. Wenn diese nicht vorhanden sind, sammelt
der Windows Installer alle notwendigen Informationen und führt die Installation von einem
vordefinierten Installationspunkt aus, danach wird die Anwendung gestartet.
Vollständige Installation. Diese Option ist vor allem für Benutzer nützlich, die häufig auf
Reisen sind und die unter Umständen alle Anwendung benötigen könnten. Mit dieser Option
wird die Anwendung vollständig bei der Anmeldung des Benutzers installiert.
Das Zuweisen einer Anwendung macht diese unverwüstlich - die Anwendung ist verfügbar, egal, was
der Benutzer tut - auch dann, wenn der Benutzer die Anwendung deinstalliert: Sie wird automatisch
beim nächsten Aufruf wieder installiert.
Technische Übersicht über die Verwaltungsdienste
21
Microsoft® Windows® Server 2003 – technischer Artikel
Anwendungen veröffentlichen
Wenn eine Anwendung veröffentlicht wird, erscheint sie unter Software in der Systemsteuerung.
Benutzer können dann dort die Anwendung zur Installation auswählen. Die Installation kann auch so
konfiguriert werden, dass sie automatisch dann ausgeführt wird, wenn ein Benutzer eine Datei zu
öffnen versucht, die diese Anwendung benötigt. Gewöhnlich ist es empfehlenswert, Anwendungen auf
diese Weise verfügbar zu machen, wenn diese für die tägliche Arbeit der Benutzer nicht unbedingt
notwendig sind.
Um alle Vorteile der Veröffentlichungstechnologie nutzen zu können, sollten alle Anwendungen so
eingerichtet werden, dass sie unter Kontrolle des Windows Installer-Diensts installiert werden. Es ist
zwar weiterhin auch möglich, Anwendungen zu veröffentlichen, die nicht den Windows Installer
verwenden. Allerdings bietet diese Vorgehensweise mit dem Einsatz von .ZAP-Dateien nicht die oben
ausgeführten Vorteile der automatischen Installation mit den erforderlichen erweiterten Rechten (z. B.
erforderliche Administratorrechte für Teile der Registry), und auch die weiteren angesprochenen
Vorteile des Windows Installers entfallen.
Bei einer .ZAP-Datei handelt es sich um eine Textdatei, die einen Verweis auf das Setup-Paket enthält.
Dies ist Voraussetzung dafür, dass eine Anwendung ohne Verwendung von Windows Installer trotzdem
unter Software in der Systemsteuerung angezeigt werden kann.
Checkliste für Ihre Anforderungen
Um die möglichen Vorteile, die sich durch den Einsatz der Softwareinstallation und Softwarewartung
von IntelliMirror für Ihr Unternehmen ergeben, erkennen zu können, sollten Sie versuchen, die
speziellen Anforderungen Ihres Unternehmens zu erfassen. Solche Anforderungen können sein:
Wie finden Benutzer die Anwendungen, die sie für die Ausführung ihrer täglichen Arbeit
benötigen?
Wie viele Anwendungen werden innerhalb Ihres Unternehmens eingesetzt?
Wie werden Anwendungen in Ihrem Unternehmen installiert, aktualisiert oder entfernt?
Wie häufig muss die IT-Abteilung Software installieren, aktualisieren oder entfernen?
Wie viel Zeit benötigt die IT-Abteilung normalerweise, um Benutzern dabei zu helfen, defekte
Anwendungen wieder zu reparieren?
Mit diesen Informationen können Sie ersehen, in welcher Art und Weise IntelliMirror bei der Installation
von Anwendungen behilflich sein kann.
Verbessern des Setup-Prozesses für Computer
Wenn Benutzer einen neuen Computer benötigen - sei es, weil die Person neu in das Unternehmen
eingetreten ist, der bestehende Computer ausgefallen ist oder weil es sich um ein Hardware-Upgrade
handelt -, muss die IT-Abteilung relativ viel Zeit dafür investieren, das Betriebssystem und die
Grundanwendungen für das System zu installieren. Dies bedeutet sehr häufig ausführliche und
zeitaufwändige Benutzerunterstützung.
Beim Einrichten der Computer muss es für die Administratoren möglich sein
Benutzer schneller wieder zu produktiver Arbeit zu bringen,
Technische Übersicht über die Verwaltungsdienste
22
Microsoft® Windows® Server 2003 – technischer Artikel
die Länge und die Häufigkeit von Support-Calls merklich zu reduzieren - oder sie ganz
verzichtbar zu machen.
Remoteinstallation kann Ihnen dabei helfen, den Arbeitsaufwand für die Bereitstellung eines neuen
Betriebssystems auf einem Computer zu reduzieren. Der gesamte Prozess beruht auf Richtlinien und
kann ohne direkten technischen Support durchgeführt werden.
Einsetzen von Remoteinstallation
Sie können mithilfe von Remoteinstallation innerhalb Ihres Unternehmens eine Neuinstallation von
Windows auf Clients durchführen, die Preboot eXecution Environment (PXE) unterstützen und damit in
der Lage sind, remote zu booten. Ein Administrator muss dann nicht mehr selbst zu den neuen Geräten
gehen, um das Betriebssystem und die Grundanwendungen zu installieren. Sie können auf diesem
Weg eine angepasste, vollständig automatisierte Installation eines neuen Betriebssystems und der
Grundanwendungen durchführen. Wird der Computer angeschaltet, muss der Benutzer die Taste F12
drücken, um den Installationsprozess für das Betriebssystem anzustoßen. Der Computer startet dann
über einen Netzwerkserver, der RIS unterstützt. Nachdem der Benutzer sich angemeldet hat, kann RIS
folgende Dinge installieren:
die Netzwerkvariante einer CD-basierten Windows-Installation.
ein Betriebssystem-Image (auch als RIPrep-Image bezeichnet), das bereits vorkonfigurierte
Anwendungen wie Textverarbeitungsprogramme und E-Mail-Anwendungen beinhalten kann.
Für die Implementierung von RIS benutzen Sie die folgenden Technologien:
Active Directory
Gruppenrichtlinien
DNS
DHCP
RIS
Weiterführende Informationen über die Funktionsweise von Remote Installation Service (RIS) finden
Sie im Abschnitt Szenarien für die Benutzung von RIS und IntelliMirror.
Checkliste für Ihre Anforderungen
Die genauen Bedürfnisse Ihres Unternehmens können Sie anhand folgender Bewertungskriterien
feststellen:
Anzahl der durch die IT-Abteilung durchgeführten Betriebssysteminstallationen auf einer
täglichen, wöchentlichen oder monatlichen Basis.
Zeitverbrauch für eine manuelle Installation.
Zeitverbrauch für eine teilweise automatisierte Installation.
Zeitverbrauch, wenn Remoteinstallation eingesetzt wird.
Die Kosten für die Ausfallzeit von Benutzern.
Anhand dieser Informationen können Sie die Vorteile, die durch den Einsatz von Remoteinstallation für
Ihre Supportmitarbeiter entstehen, einschätzen.
Technische Übersicht über die Verwaltungsdienste
23
Microsoft® Windows® Server 2003 – technischer Artikel
Verwaltung mit Befehlszeilen
Windows Server bietet Verbesserungen in der Verwaltung mit Befehlszeilen-Tools, die es Ihnen
erlauben, die meisten Aufgaben ohne Verwendung der grafischen Benutzeroberfläche auszuführen.
Dadurch kann die Effizienz für Administratoren gesteigert werden, indem zur Automatisierung häufiger
Aufgaben die Befehlszeilenfunktionalität verwendet wird. Mehr als 60 neue Befehlszeilen-Tools wurden
gegenüber früheren Betriebssystemversionen mit der Windows Server 2003-Familie ergänzt, darunter
Tools, die es ermöglichen, Schlüsselfunktionen wie Druckerserver, die Internet-Informationsdienste
(Internet Information Services, IIS 6.0) und das Active Directory zu verwalten.
Die Verwaltung mit Befehlszeilen innerhalb der Windows Server 2003-Familie bietet folgende Vorteile:
Ready to use. Die Lösungen sind unmittelbar einsatzbereit, da wenig oder gar keine
zusätzliche Programmierung erforderlich ist. Alle Tools verfügen über eine konsistente
Standardsyntax mit einem einfachen Zugriff auf die Befehlszeilendokumentation (/? Hilfetexte), sowie eine umfassende HTML-Hilfedatei, ntcmds.chm (verfügbar über das Hilfeund Supportcenter).
Unterstützung für Remote-Verwaltung. Alle neuen Tools unterstützen den
Remoteserverbetrieb durch den Parameter /S Name des Remotesystems (z. B. /S
MeinServer) sowie die Ausführung unter Telnet und den Terminaldiensten, sodass eine
vollständige Remoteverwaltung von der Befehlszeile aus möglich ist.
Skriptfähigkeit. Sie können in der Befehlszeile Batchdateien oder Skripts verwenden, um
angepasste Verwaltungslösungen zu erstellen und die allgemeine Verwendung der Tools zu
automatisieren.
Eine Liste der neuen Befehlszeilen-Tools finden Sie im Anhang A.
Verwendung des Befehlszeileninterpreters
Mit dem Befehlszeileninterpreter ist eine Steuerung des Betriebssystems ohne graphische
Benutzeroberfläche möglich. Die Eingabeaufforderung führt Programme zeichenbasiert aus und zeigt
deren Ausgaben auf dem Bildschirm an. Auf den ersten Blick ähnelt die Art der Textausgabe dem MSDOS® Befehlsinterpreter Command.com. Das Windows Server 2003-Betriebssystem benutzt den
Befehlsinterpreter „Cmd.exe“, der die Anwendungen lädt und Benutzereingaben als Systembefehle
interpretiert.
Die Eingabeaufforderung bietet viele Vorteile für eine effizientere Verwaltung. Sie können zum Beispiel:
Mit dem Befehlszeileninterpreter Batchdateien (auch als Skripte bezeichnet) anlegen oder
bearbeiten, um Routineaufgaben, wie z. B. Benutzerkontenverwaltung oder nächtliche
Backups, zu automatisieren.
Die Befehlszeilenversion des Windows Scripting Hosts, CScript, benutzen, um komplexere
Skripte im Befehlszeileninterpreter auszuführen.
Manche Operationen durch den Einsatz von Batchdateien effizienter durchführen als über eine
grafische Benutzeroberfläche. In Verbindung mit Batchdateien können alle Befehle ausgeführt
werden, die auf der Befehlszeile zur Verfügung stehen.
Technische Übersicht über die Verwaltungsdienste
24
Microsoft® Windows® Server 2003 – technischer Artikel
Die Darstellung des Befehlszeilen-Fensters anpassen, um den Programmablauf übersichtlich
zu verfolgen.
Die Windows Management Instrumentation-Befehlszeile
Die WMI-Befehlszeile (WMIC) stellt eine einfache Befehlszeilenschnittstelle für WMI zur Verfügung. Mit
WMIC können Sie die Vorteile von WMI für die Verwaltung von Computern mit WindowsBetriebssystemen nutzen. WMIC arbeitet mit existierenden Shells und Utility-Befehlen zusammen und
kann einfach durch Skripte oder andere administrationsorientierte Anwendungen erweitert werden.
WMIC erlaubt es Ihnen:
Die WMI-Schemata durchzugehen und die Klassen und Instanzen abzufragen. Sie können
auch Methoden aufrufen und ausführen, indem Sie Kürzel (so genannte Aliase) oder
beschreibende Namen benutzen, was den Einsatz von WMI intuitiver gestaltet.
Mit dem lokalen Computer, Remote-Computern oder mehreren Computern gleichzeitig
innerhalb eines einzigen Befehls zu arbeiten.
Kürzel und Ausgabeformate zu verändern und an Ihre Bedürfnisse anzupassen.
Skripte auf der Basis von WMIC anzulegen und auszuführen.
Mithilfe von WMI-Providern kann WMI eine große Auswahl an Hardwarekomponenten, BetriebssystemSubsystemen und Anwendungssystemen verwalten. WMIC kann mit allen Schemata dieser WMIProvider eingesetzt werden.
Man kann WMIC von jedem Computer einsetzen, der Windows XP Professional oder ein Mitglied der
Windows Server 2003-Familie ausführt, um Computer remote zu verwalten, die Mitglieder einer
Windows-Domäne sind. WMIC muss dabei nicht auf den remoteverwalteten Computern installiert sein.
WMIC-Szenarien
Hier nun einige Beispiele für den Einsatz von WMIC:
Lokale Verwaltung eines Computers. Sie arbeiten an einem Computer und benutzen die
WMIC-Befehlszeile, um ihn zu verwalten.
Remoteverwaltung eines Computers. Sie arbeiten an einem Computer und nutzen WMIC um
einen anderen Computer zu verwalten.
Remoteverwaltung mehrerer Computer. Sie arbeiten an einem Computer und benutzen
WMIC, um mehrere Computer über einen Befehl zu verwalten.
Remoteverwaltung eines Computers (in einer Remotesitzung). Sie arbeiten mit einer
Remotesitzung (wie z. B. Telnet oder Terminaldienste), um sich mit einem Remotesystem zu
verbinden und dieses System dann über WMIC zu verwalten.
Automatisierte Verwaltung unter Verwendung von administrativen Skripten. Sie nutzen
WMIC, um ein einfaches Verwaltungsskript (Batchdatei) zur Verwaltung eines oder mehrerer
Computer (lokal, remote) zu schreiben.
Einsatz von WMIC-Kürzeln
Die WMI-Infrastruktur ist durch das Befehlszeilenprogramm über beschreibende Namen, so genannte
Aliase, erreichbar. Die Benennung der vorgegebenen Aliase ist so gewählt, dass die Aufgabe der
Technische Übersicht über die Verwaltungsdienste
25
Microsoft® Windows® Server 2003 – technischer Artikel
referenzierten WMI-Klassen deutlich wird, z. B. wird ein Bezug zur Datenträger- oder
Netzwerkverwaltung im Namen des Alias’ erkennbar. Aliase sind nicht nur anschauliche Bezeichner für
Klassen, Eigenschaften und Methoden, sondern besonders hilfreich bei der Formatierung der Ausgabe
von Abfrageergebnissen, in der Anordnung der Reihenfolge von Eigenschaften oder Detailformatierung
einzelner Felder (z. B. Netzwerkdurchsatz in Byte, KByte, …). Manche Aliase haben zusätzlich ein
kompakteres Ausgabeformat, anhand dessen nur die wichtigsten Merkmale zur Identifizierung der über
den Alias referenzierten Objekte aufgelistet wird. Die Daten für die Verwaltung werden im XML-Format
bereitgestellt und direkt mit dem integrierten oder einem externen XSL-Parser verarbeitet.
Technische Übersicht über die Verwaltungsdienste
26
Microsoft® Windows® Server 2003 – technischer Artikel
Dienste und Tools für die Bereitstellung
Windows Server 2003 enthält neue Technologien und Funktionen, welche die Bereitstellung des Betriebssystems
vereinfachen.
Remoteinstallation
Der Remoteinstallationsdienst vereinfacht die Installation des Betriebssystems auf einem Computer
innerhalb Ihres Unternehmens. Er bietet einen Mechanismus, der den Computer beim Starten mit
einem Netzwerkserver verbindet, der dann lokal eines der folgenden Betriebssysteme installiert:
Windows XP Professional
Windows Web Server
Windows Standard Server
Windows Enterprise Server
64-Bit-Version von Windows Enterprise Server (nur RISetup)
Windows 2000 Professional
Windows 2000 Server
Windows 2000 Advanced Server
Computer, die über kein Betriebssystem verfügen, können sich beim Start mit einem Netzwerkserver
verbinden, der eine lokale Installation des Betriebssystems durchführt. RIS wird beim Start benutzt,
bevor das lokale Betriebssystem – falls vorhanden – geladen wird. RIS kann sowohl die gewünschte
Konfiguration des Betriebssystems auf einen neuen Computer installieren als auch einen fehlerhaften
Computer wieder auf eine definierte Konfiguration des Betriebssystems zurücksetzen. Beim Einsatz
von RIS können Computer, die über ein Netzwerk verbunden sind, auf einen im Netzwerk installierten
RIS-Server zugreifen und eine Neuinstallation des Betriebssystems anfordern, das für den Benutzer
und den entsprechenden Computer konfiguriert ist.
Remoteinstallationsdienst (RIS)
Wie bereits oben erwähnt, wurde RIS konzipiert, um die Verwaltung von Betriebssystem und
Anwendungen auf unterschiedlichste Arten zu vereinfachen und damit die Wiederherstellung im
Fehlerfall zu verbessern.
So können Sie z. B. RIS benutzen, um Client-Computer remote, ohne Einsatz einer Installations-CD
einzurichten. Wenn der Computer in der Lage ist, remote zu booten, können Sie mit RIS das
Betriebssystem installieren. Sie müssen den Computer nur an das lokale Netzwerk anschließen, den
Rechner starten und sich dann mit einem gültigen Benutzerkonto am Netzwerk anmelden.
Sie können mithilfe von RISetup und RIPrep (Remote Installation Preparation) den RIS-Server
verwenden, um alle Versionen von Windows 2000, Windows XP Professional und alle Versionen von
Windows Server 2003 bereitzustellen (außer Windows 2000 Datacenter und Windows Server 2003
Datacenter Edition). Darüber hinaus können Sie RIS-Server verwenden, um mit RISetup Windows
Server 2003 Enterprise 64-Bit Edition bereitzustellen.
Technische Übersicht über die Verwaltungsdienste
27
Microsoft® Windows® Server 2003 – technischer Artikel
Die automatisierte Bereitstellung entspricht höheren Sicherheitsanforderungen und bietet eine
verbesserte Leistung zentraler Komponenten in RIS, wie z. B. Trivial File Transfer-Protokoll (TFTP) und
HAL-Filter, die sicherstellen, dass Images nur auf Computer mit einer kompatiblen HAL (Hardware
Application Layer) angewandt werden.
Sie können mit dem Assistenten für die Auswahl des Betriebssystems, der gänzlich ohne
Administratoreingriff ausgeführt werden kann, noch mehr Zeit sparen. Diese und andere RISVerbesserungen sorgen für eine schnellere und effizientere automatisierte Bereitstellung und
reduzieren so die IT-Verwaltungskosten.
Migration des Benutzerstatus’
Die Migration von Dateien und Einstellungen mehrerer Benutzer in einer Unternehmensumgebung wird
durch das USMT (User State Migration Tool) vereinfacht. Mit USMT können Sie über die Befehlszeile
spezielle Einstellungen durchführen:
USMT erlaubt es Ihnen, spezifische Einstellungen, wie z. B. eine Änderung in der Registry, vollständig
anzupassen. USMT wurde für Administratoren entwickelt, einzelne Benutzer benötigen USMT nicht.
USMT benötigt einen Clientcomputer, der an eine Domäne angebunden ist, deren Domänencontroller
(domain controller, DC) Windows 2000 Server oder eine spätere Version ausführt.
Vorteile durch USMT
USMT reduziert die Kosten, die bei der Bereitstellung eines Betriebssystems anfallen, in verschiedenen
Bereichen:
Kosten, die für einen Techniker während der Migration anfallen.
Die Ausfallzeit eines Angestellten bei der erneuten Anpassung des Desktops.
Die Zeit, die aufgebracht werden muss, um fehlende Arbeitsdateien wieder zu finden.
Anrufe beim Helpdesk, das dem Angestellten bei der erneuten Anpassung des Desktops helfen
muss.
Eingewöhnungszeit des Angestellten in eine neue Betriebssystemumgebung.
Zufriedenheit der Angestellten mit dem Ergebnis der Migration.
USMT wird durch eine Reihe von freigegebenen INF-Dateien gesteuert, die durch den Administrator
oder einen OEM angepasst werden können. In der Regel ist bei einer automatischen Migration mit
USMT eine Anpassung der INF-Dateien durch Administratoren an die speziellen Bedürfnisse des
eigenen Unternehmens erforderlich.
Bestandteile von USMT
USMT besteht aus zwei ausführbaren Dateien, ScanState.Exe und LoadState.Exe, und vier
Konfigurationsdateien mit Migrationsregeln: Migapp.ins, Migsys.inf, Miguser.inf und Sysfiles.inf.
ScanState.exe sammelt die Benutzerdaten und Einstellungen auf der Grundlage der Information, die in
Migapp.inf, Migsys.inf, Miguser.inf und Sysfiles.inf enthalten ist. LoadState.exe überträgt die
Einstellungen und Benutzerdaten auf einen Computer, der eine neue (noch nicht angepasste)
Installation von Windows XP Professional ausführt.
Technische Übersicht über die Verwaltungsdienste
28
Microsoft® Windows® Server 2003 – technischer Artikel
Für weitere Migrationsanforderungen können zusätzliche INF-Dateien angelegt werden. In seiner
Grundeinstellung migriert USMT folgende Einstellungen:
Internet Explorer-Einstellungen
Outlook Express-Einstellungen
Outlook-Einstellungen und Ort zur Speicherung der persönlichen Ordner
Wählverbindungen
Telefon- und Modem-Optionen
Zugriffseinstellungen der Benutzeroberfläche, z. B. für Benutzer mit Sehschwächen
Den „klassischen“ Desktop
Bildschirmschoner-Auswahl
Schriften
Ordneroptionen
Taskleisteneinstellungen
Maus- und Tastatureinstellungen
Sound-Einstellungen
Landeseinstellungen
Office-Einstellungen
Netzwerkverbindungen und Drucker
Desktop-Ordner
„Eigene Dateien“
„Eigene Bilder“
Favoriten
Cookies
Allgemeine Office-Dateitypen
Durch Rekonfiguration lässt sich leicht einstellen, was von ScanState.exe beim Sammeln erfasst wird.
Das Tool kann je nach Konfiguration bestimmte Dateien, Ordner, Registry-Einträge oder RegistryZweige erfassen oder übergehen.
Tabelle 1: Voraussetzungen für den Einsatz des User State Migration-Tools
Systemtyp
Anforderungen
Quellsystem
Windows 95, Windows 98, Windows NT® Workstation 4.0, Windows 2000
Professional oder Windows XP.
Zugriff auf den Zwischenspeicher.
Zwischenspeicher
Speicher für die zu migrierenden Daten. Die Administratoren sollten durch
Probeläufe sicherstellen, dass der vorhandene Speicherplatz ausreicht.
Technische Übersicht über die Verwaltungsdienste
29
Microsoft® Windows® Server 2003 – technischer Artikel
Zielsystem
Windows XP Professional.
Zugriff auf den Zwischenspeicher.
Entsprechend ausreichender Festplattenspeicher für die zu übertragenden
Benutzerdaten.
Der Windows Installer
Die Verwaltung von Softwareanwendungen in einer Unternehmensumgebung ist erfahrungsgemäß
sehr kostspielig. Mit Windows Installer können Administratoren jetzt die Anpassung von Installationen,
Updates und Upgrades von Anwendungen sowie die Lösung von Konfigurationsproblemen
standardisieren und erheblich vereinfachen. .
Windows Installer kann freigegebene Ressourcen verwalten, konsistente Regeln für Dateiversionen
erzwingen sowie Anwendungen zur Laufzeit diagnostizieren und reparieren. Das Ergebnis sind
erheblich geringere Gesamtkosten für die Verwaltung von Anwendungen.
Vor dem Einsatz von Windows Installer wurde Software mit verschiedenen Setuptechnologien
installiert. Die Installationsregeln jeder Anwendung waren unterschiedlich realisiert und von Hand
programmiert. Gelegentlich kam es dabei zu Problemen bei der Installation, wenn z. B. eine ältere
Version einer bestimmten Datei über eine bestehende, neuere Datei installiert wurde. Die Vielfalt der
Installationsprogramme bei einer Vielzahl von Anwendungen pro Rechner führte sehr schnell zu einer
unübersichtlichen Wechselwirkung gemeinsam genutzter Komponenten, oft in Form von DLLKonflikten. So konnte es leicht passieren, dass nach einer Installation oder Deinstallation einer
Anwendung manche anderen Anwendungen plötzlich nicht mehr fehlerfrei ausgeführt werden konnten.
Durch den Einsatz von Windows Installer kümmert sich das Betriebssystem selbst um die korrekte
Durchführung der Installation. Um die oben ausgeführten Probleme zu vermeiden, muss die einzelne
Anwendung nur noch eine Beschreibung in Form eines Windows Installer-Pakets zur Verfügung stellen.
Windows Installer führt dann die Installationsschritte für jede Anwendung aus, womit die meisten
Installationsprobleme vermieden werden.
Neues im Windows Installer
Windows Server 2003 bietet einige neue Funktionen zur verbesserten Datensicherheit und
weitergehenden Verwendung des Windows Installers.
64-Bit-Unterstützung
Windows Installer wird als nativer 64-Bit-Dienst in den 64-Bit-Versionen von Windows Enterprise Server
und Windows Datacenter Server ausgeführt. Dieser Dienst kann die Installation von 32-Bit- und 64-BitAnwendungen verarbeiten. 64-Bit-Anwendungen werden in Windows Installer-Pakete gepackt, die
speziell als 64-Bit-Anwendungen ausgezeichnet sind. Diese Installationspakete erlauben sowohl die
Installation von 32-Bit- als auch von 64-Bit-Komponenten.
Softwareeinschränkungsrichtlinien
Die zunehmende Bedeutung des Internets innerhalb der Unternehmen vergrößert Gefahren für die
Netzwerksicherheit durch Viren. Mithilfe von Richtlinien für die Softwareeinschränkung können Sie Ihre
Computerumgebung vor zweifelhaftem Code schützen, indem Sie die Anwendungen, die ausgeführt
werden dürfen, ermitteln und festlegen. Das System identifiziert jede Anwendung durch den Einsatz
von Hash-, Zertifikats-, Pfadregeln oder Internetzonen-Regeln.
Technische Übersicht über die Verwaltungsdienste
30
Microsoft® Windows® Server 2003 – technischer Artikel
Windows Installer-Pakete, Patches und Anpassungen unterliegen den
Softwareeinschränkungsrichtlinien. Für die Konfiguration können verschiedene Stufen – „nicht
eingeschränkt“ oder „eingeschränkt“ – eingestellt werden, die besagen, ob ein bestimmter Code
ausgeführt werden kann. Windows Installer führt nur Pakete aus, die von Ihnen auf „nicht
eingeschränkt“ gesetzt wurden. Wenn eine Anpassung oder ein Patch bei einer Installation
durchgeführt werden soll, müssen Sie dieser den Status „nicht eingeschränkt“ zuordnen, damit die
Installation ausgeführt werden kann.
Wenn Sie eine Softwareeinschränkungsrichtlinie gesetzt haben, die eine Ausführung der Pakete nur als
„eingeschränkt“ erlaubt, zeigt Windows Installer eine Fehlermeldung an, die erklärt, dass eine Richtlinie
ausgeführt wird, welche die Installation der Anwendung verhindert. Außerdem wird vom Windows
Installer ein Eintrag ins Ereignisprotokoll geschrieben.
Das System berücksichtigt die Softwareeinschränkungsrichtlinie sowohl bei der ersten Installation einer
Anwendung als auch bei der Installation eines Patches oder wenn der Windows Installer das Paket für
eine Anwendung nochmals ausführen muss.
Technische Übersicht über die Verwaltungsdienste
31
Microsoft® Windows® Server 2003 – technischer Artikel
Szenarien für den Einsatz von IntelliMirror und Remoteinstallation
Die nachfolgenden Beispiele zeigen, wie Änderungs- und Konfigurationsverwaltungsfunktionen die ITUmgebung stärken können. Jedes dieser Szenarien illustriert anhand einer typischen Aufgabe der ITAbteilung den Nutzen der neuen Produktmerkmale in Windows Server 2003.
Hinweis: Diese Szenarien wurden für den Einsatz von Active Directory in Verbindung mit
Gruppenrichtlinien erstellt. In komplexeren Umgebungen kann die Nutzung anderer
Verwaltungstechnologien wie z. B. Microsoft Systems Management Server sinnvoll sein.
Weiterführende Informationen hierzu finden Sie unter:
Systems Management Server einsetzen weiter hinten in diesem Artikel.
Application Deployment Using Microsoft Management Technologies
Die Systemmanagement-Website von Microsoft unter
http://www.microsoft.com/management/
Ein neuer Mitarbeiter
Eine der wohl wichtigsten und aufwändigsten IT-Aufgaben ist die Einrichtung des Computers für einen
neuen Mitarbeiter. In einem Unternehmen, das IntelliMirror einsetzt, kann der Benutzer sich an einem
Rechner anmelden und findet auf seinem Desktop sofort Dokumente und Verknüpfungen, die zu
allgemeinen Dateien, Daten und für alle Mitarbeiter hilfreichen URLs führen. Als sinnvolle
Standardvorgaben für Dokumente und Verknüpfungen bieten sich z. B. das Mitarbeiter-Handbuch, eine
Verknüpfung für den Zugang zum Intranet und eine Verknüpfung auf allgemeine Richtlinien der
entsprechenden Abteilung an.
Hinweis: Wenn Ihre Computer ohne Betriebssystem angeliefert werden oder Sie eine angepasste
Betriebssysteminstallation vorbereitet haben, können Sie eine vollständig automatisierte Installation für
den neuen Angestellten mithilfe von Remoteinstallation durchführen.
Mit IntelliMirror kann also in diesem Beispiel erreicht werden, dass sich kein Techniker mit der
Einrichtung eines Gerätes für neue Mitarbeiter beschäftigen muss.
Für diese Aufgabe wurden verwendet: Benutzerprofile, Remoteinstallationsdienst und USMT
Benutzerprofile
In diesem Beispiel wird ein voreingestelltes Domänenprofil genutzt, um die Arbeitsumgebung für den
neuen Mitarbeiter anzulegen, die den Bedürfnissen seines Unternehmens entspricht. Der Administrator
legt ein angepasstes Domänenbenutzerprofil an, das alle neuen Benutzer für die erste Anmeldung
verwenden. Wenn sich die Benutzer anmelden, erhalten Sie die Einstellungen aus dem Profil. Der
Vorteil eines allgemeinen Domänenprofils für den Administrator ist, dass jeder neue Benutzer mit einem
neuen, durch den Administrator bestimmten Basis-Profil startet. Wenn der Benutzer dann beginnt, den
Desktop an seine Bedürfnisse anzupassen, werden diese Änderungen im Profil des Benutzers lokal
oder auf dem Server gespeichert. Durch die Erstellung von servergespeicherten Benutzerprofilen kann
der Administrator den Benutzern die unternehmensspezifischen Informationen und
Programmeinstellungen automatisch zur Verfügung stellen.
Technische Übersicht über die Verwaltungsdienste
32
Microsoft® Windows® Server 2003 – technischer Artikel
Remoteinstallationsdienst
Durch den Einsatz von RIS können Sie eine lokale Kopie von Windows XP Professional oder Windows
Server 2003 remote auf allen geeigneten Computern innerhalb Ihres Unternehmens installieren. Sie
können ein neues Betriebssystem-Upgrade einer großen Anzahl von Clients gleichzeitig an einem
zentralen Punkt zur Verfügung stellen. Gleichzeitig können Sie mithilfe von Benutzerrichtlinien
Vorgaben für die Clientinstallation festlegen und Zugriffsrechte für Benutzergruppen festlegen. Diese
Optionen werden durch die Remoteinstallations-Gruppenrichtlinien bestimmt, die Sie für Standorte,
Domänen oder Organisationseinheiten (OE; Organisational Units, OU), denen der Benutzer angehört,
festlegen. Hierbei werden zusätzlich die Zugehörigkeit zu Benutzergruppen mit anderen
Sicherheitseinstellungen und die Rechte der einzelnen Benutzerobjekte angewandt.
User State Migration Tool
USMT kann eingesetzt werden, um einem Benutzer eine bestimmte Vorlage mit Grundeinstellungen
(auf der Basis eines für diesen Zweck erstellten „Normalnutzers“) zur Verfügung zu stellen. Auf diese
Weise können Administratoren leicht bestimmte Standard-Benutzervorlagen einsetzen.
Erstmalige Anmeldung an einer Domäne
Ein neuer Angestellter meldet sich zum ersten Mal an und stellt fest, dass die Software, die er benötigt,
wie z. B. Microsoft Word, bereits im Startmenü angezeigt wird. Wenn der Benutzer dann Word aus dem
Startmenü auswählt oder auf ein Word-Dokument – wie z. B. das Handbuch für Angestellte – klickt,
wird Word installiert.
Umgesetzt mit: Gruppenrichtlinien und Windows Installer
Softwareinstallation und Softwarewartung werden im Wesentlichen über Gruppenrichtlinien und den
Windows Installer-Dienst ausgeführt. Ausgehend von der Position des Benutzers innerhalb des Active
Directorys und entsprechend den geltenden Gruppenrichtlinienobjekten, wird dem Benutzer Microsoft
Word zugewiesen.
Eine Anwendung wird automatisch bei der nächsten Anmeldung des Benutzers installiert, wenn der
Administrator dies so ausgewählt hat. Der Administrator kann auch wählen, dass die Anwendung bei
Bedarf installiert wird. In diesem Falle erscheint die Anwendung so, als wäre sie installiert und die
zugehörigen Icons werden im Startmenü angezeigt. Wenn der Benutzer dann die Anwendung startet
oder ein Dokument eines dazugehörigen Typs öffnet, kontrolliert der Windows Installer-Dienst, ob diese
Anwendung auf dem Computer bereits installiert ist. Ist das nicht der Fall, lädt der Windows Installer
alle notwendigen Dateien, führt die Installation durch und richtet die notwendigen Benutzer- und
Computereinstellungen ein.
Unterwegs mit einem Notebook
Der Benutzer eines Laptops arbeitet in einem Büro, legt eine Reihe von Dokumenten an und speichert
diese unter Eigene Dateien. Der Ordner Eigene Dateien wird über einen zentralen Speicherplatz auf
einem Server gespeichert, so dass von überall innerhalb des Netzwerks darauf zugegriffen werden
kann und die Datensicherung erleichtert wird. Nachdem der Benutzer seine Dokumente gespeichert
hat, meldet er sich vom Netzwerk ab, trennt die Netzwerkverbindungen und begibt sich mit dem Laptop
auf eine Reise. Unterwegs ist er zwar nicht mehr mit dem Netzwerk verbunden, kann aber weiter seine
Dokumente bearbeiten, die er vorher unter Eigene Dateien gespeichert hat.
Technische Übersicht über die Verwaltungsdienste
33
Microsoft® Windows® Server 2003 – technischer Artikel
Umgesetzt mit: Ordnerumleitung und Offline-Dateien
In dieser Situation werden die Dokumente an einem Ort innerhalb des Netzwerks abgespeichert und
gleichzeitig auf dem lokalen Computer zwischengespeichert. Dieser Vorgang ist für den Benutzer
transparent. Die Spiegelung der Dateien hängt davon ab, ob der Netzwerkordner als Offline-Ordner
freigegeben wurde. Damit steht fest, ob eine Kopie des Inhalts des Netzwerkordners auf dem lokalen
Computer angelegt werden soll. So kann der Benutzer auf Daten zugreifen, auch wenn er nicht mit dem
Netzwerk verbunden ist. Werden Offline-Ordner und Ordnerumleitung miteinander kombiniert, können
Benutzerdaten auf einem zentral verwalteten Server abgespeichert und zentral gesichert werden. Ein
Ordner, der sowohl auf einen anderen Speicherort umgeleitet als auch als Offline-Ordner zur Verfügung
gestellt wird, bietet den Vorteil, dass er sicher auf einem Server-Laufwerk gespeichert ist und
gleichzeitig von jedem beliebigen Computer erreichbar ist, von dem sich der Benutzer anmeldet.
Gleichzeitig steht er dem Benutzer auch noch zur Verfügung, wenn das Netzwerk nicht erreichbar ist.
Rückkehr in das Firmennetzwerk
Der Laptop-Benutzer kommt nun wieder in sein Büro zurück und meldet sich im Netzwerk an. Da er
unterwegs einige Änderungen an Dateien durchgeführt hat, erscheint eine Status-Meldung, die zeigt,
dass die Änderungen mit den Netzwerkdateien synchronisiert werden. In dieser Situation hat
IntelliMirror erkannt, dass die Daten im Ordner Eigene Dateien geändert wurden, und aktualisiert nun
automatisch die im Netzwerk gespeicherten Versionen.
Umgesetzt mit: Offlinedateien, Synchronisationsmanager und Gruppenrichtlinien
Bei der Verwaltung von Benutzerdaten und -Einstellungen kommen mehrere Technologien ins Spiel,
wenn Benutzer mit Offline-Dateien arbeiten. Alle Netzwerkversionen dieser Dateien werden
automatisch synchronisiert, wenn die Benutzer sich später wieder mit dem Netzwerk verbinden. Der
Einsatz von Offline-Dateien ermöglicht es Benutzern, ohne mit dem Netzwerk verbunden zu sein, an
Dateien zu arbeiten, die auf dem Netzwerk gespeichert sind. Der Synchronisationsmanager gleicht die
Änderungen zwischen den im Netzwerk gespeicherten Dateien und den Offline-Versionen ab. Das
Verhalten des Synchronisationsmanagers wird durch Gruppenrichtlinien gesteuert.
Auch den Zugriff mehrerer Benutzer auf Netzwerkdateien kann der Synchronisationsmanager
verwalten. Wenn mehrere Benutzer die gleiche Netzwerkdatei ändern, benachrichtigt IntelliMirror die
Benutzer über Konflikte und bietet verschiedene Lösungsmöglichkeiten an. Die Benutzer können
entweder die Netzwerkversion, ihre lokale Version oder aber beide Versionen speichern. Sollen beide
Versionen erhalten werden, wird der Benutzer nach einem neuen Dateinamen für eine der Versionen
gefragt, damit die Benennung eindeutig ist.
Zusätzlich können Sie über Gruppenrichtlinien das Verhalten des Synchronisationsassistenten
konfigurieren. Sie können z. B. über Gruppenrichtlinien festlegen, dass der Synchronisationsmanager
automatisch bei jeder An- und Abmeldung ausgeführt wird.
Ersetzen eines Computers
In diesem Beispiel nehmen wir an, das der Computer, auf dem ein Benutzer arbeitet, einen
vollständigen Hardware-Ausfall hat. Der Benutzer wendet sich an seine Hotline und der alte Computer
wird durch einen neuen ersetzt, auf dem Windows XP Professional installiert ist. Ohne auf die Hilfe
eines Technikers zu warten, kann der Benutzer den Rechner mit dem Netzwerk verbinden, ihn starten
und sich direkt anmelden. Der Benutzer wird feststellen, dass der neue Computer die gleichen
Desktopeinstellungen, das gleiche Farbschema, den gleichen Bildschirmschoner und die gleichen
Technische Übersicht über die Verwaltungsdienste
34
Microsoft® Windows® Server 2003 – technischer Artikel
Icons für Anwendungen, Shortcuts und Favoriten verwendet, wie der vorige Computer. Noch viel
wichtiger ist jedoch, dass alle Benutzerdaten auch jetzt zur Verfügung stehen.
Umgesetzt mit: IntelliMirror-Infrastruktur
Mit IntelliMirror kann Benutzern auf dem schnellsten Weg das Arbeiten wieder ermöglicht werden. Die
erforderliche Unterstützung durch Mitarbeiter der IT-Abteilung wird auf ein Minimum reduziert, denn alle
Einstellungen und Daten werden unabhängig von einem speziellen Rechner gespeichert. Der Einsatz
von servergespeicherten Benutzerprofilen und Gruppenrichtlinien (besonders die Ordnerumleitung)
macht die Benutzerdaten, Einstellungen und Anwendungen für den Benutzer erreichbar, egal, von wo
aus sich der Benutzer anmeldet. Da alle Benutzerdaten, Einstellungen und die Arbeitsumgebung auf
das Netzwerk gespiegelt werden, bekommt der Benutzer sogar den gleichen Desktop wieder
angezeigt, auch wenn ein neuer Computer installiert wird oder der Benutzer auf einen anderen
Computer innerhalb des Netzwerks wechselt.
Die Funktionen von IntelliMirror können je nach Anforderungen einzeln oder gemeinsam eingesetzt
werden. In dem beschriebenen Fallbeispiel sollte die Support-Abteilung einen Computer mit
vorinstalliertem Windows XP Professional oder Windows Server ausliefern. Der Einsatz von RIS
ermöglicht alternativ auch die Auslieferung von Hardware ohne vorinstalliertes Betriebssystem. In
diesem Fall kann RIS Windows XP Professional oder eine Version von Windows Server 2003
installieren, sobald der Computer in Betrieb genommen wird.
Zusätzlich kann Remoteinstallation verwendet werden
Diese Funktion zur Installation des Betriebssystems benutzt beim Start des Computers eine nach dem
Einschalten des Rechners verfügbare Möglichkeit zur Fernwartung. Computer, die der
Hardwarespezifikation PC98 (oder später) entsprechen (alternativ reicht auch eine Unterstützung von
Intels Wired for Management Baseline-Spezifikation 2.0 aus) sind hierzu in der Lage. Der Benutzer
kann die Remoteinstallation durch das Drücken der F12-Taste beim Systemstart starten. Für ältere
Computer, die diese Funktion nicht unterstützten, stellt Microsoft eine Startdiskette mit der notwendigen
Software für eine große Anzahl von Netzwerkkarten zur Verfügung. Wenn ein Startvorgang zur
Fernwartung durchgeführt werden soll, verbindet sich der Computer mit dem Netzwerk und sucht nach
einem RIS-fähigen, Windows-basierten Server zur Durchführung des Wartungsvorgangs.
Wenn nach der Startsequenz eine Verbindung zu einem Server besteht, muss sich der Benutzer
anmelden. Der Server überprüft die Anmeldeinformation über das Active Directory. Sind die
Anmeldeinformationen korrekt, benutzt RIS Gruppenrichtlinien, um die Konfiguration für das WindowsBetriebssystem festzulegen, das der Benutzer installieren muss. Steht dem Benutzer nicht nur eine
Konfiguration zur Verfügung, wird dem Benutzer eine Liste mit den möglichen
Betriebssystemkonfigurationen angezeigt. Der Benutzer kann nun die richtige Konfiguration wählen.
Anschließend wird das Betriebssystem automatisch geladen und die richtige Windows-Version
konfiguriert. Ist Windows auf dem Gerät gestartet, kann sich der Benutzer anmelden und bekommt, wie
bereits zuvor beschrieben, seine Einstellungen, Daten und Anwendungen übertragen.
Technische Übersicht über die Verwaltungsdienste
35
Microsoft® Windows® Server 2003 – technischer Artikel
Fernwartung
Im Windows Server 2003-Betriebssystem gibt es eine Reihe von Möglichkeiten zur Fernwartung wie
z. B. die Remotedesktopverbindung für die Verwaltung (Terminaldienste), Microsoft Management
Console (MMC), die Programmierschnittstelle Active Directory Service Interfaces (ADSI), den
Telnetdienst und WMI.
Diese Tools zur Fernwartung kann man in zwei Gruppen unterteilen: Die erste Gruppe umfasst die
unmittelbar im Windows Server 2003-Betriebssystem enthaltenen Werkzeuge. Dies sind Active
Directory, Gruppenrichtlinien, Ereignisverwaltung, Betriebssystemdienste und viele andere.
Andererseits gibt es die Fernwartungsfunktionalität über das Remotedesktop-Snap-In und die
Remotedesktopverbindung.
Systeme mit Windows Server 2003-Betriebssystem können ohne direkten lokalen Zugriff z. B. auf
Tastatur, Maus, Grafikkarte oder den Monitor in einer so genannten „headless“-Konfiguration verwaltet
werden. Der Administrator kann zentral viele Standorte remote überwachen und verwalten. Das
ermöglicht dem Administrator die Problemanalyse und -lösung, ohne direkt vor Ort zu sein. Einzige
Ausnahme stellt hier das Hinzufügen oder Ersetzen von Hardware dar. Ansonsten können Sie ihr
System so konfigurieren, dass alle administrativen Aufgaben von einem beliebigen Ort innerhalb des
Netzwerks durchgeführt werden können.
Tools von anderen Herstellern
Es gibt zahlreiche Tools für eine Remoteverwaltung von anderen Herstellern. Ein sehr nützliches
Verwaltungstool, das von anderen Herstellern angeboten wird, ist ein Programm, mit dem eine große
Menge von Ereignissen von mehreren Systemen erfasst und verwaltet werden kann. Andere Tools
befassen sich mit der Überwachung der Systemleistung oder mit der Kapazitätsplanung und melden
das Erreichen von definierten Grenzen der Systembelastung. Des Weiteren gibt es Tools für die
Überwachung der Sicherheit, die das Risiko, das durch nicht autorisierte Zugriffe auf Ihr System
entstehen, begrenzen.
Remotedesktop für Verwaltung
Der Remotedesktop für Verwaltung (zuvor „Terminaldienste im Verwaltungsmodus“ genannt) bietet
einen Remotezugriff auf den Desktop eines Computers, der das Windows Server 2003-Betriebssystem
ausführt. Sie können Ihren Server damit von jedem Windows-PC im Netzwerk aus verwalten.
Die Remoteadministration von Servern mithilfe von Remotedesktop steht auf jedem Computer zur
Verfügung, der ein Mitglied der Windows Server 2003-Familie ausführt. Eine einfachere Version von
Remotedesktop ist auch auf Windows XP Professional verfügbar.
Einsatz von Remotedesktop zur Fernwartung eines Servers
Der Einsatz von Remotedesktop für Verwaltung verbraucht sehr wenige Ressourcen auf dem Server.
Basierend auf der Terminaldienstetechnologie wurde der Remotedesktop für Verwaltung speziell für die
Serververwaltung konzipiert. Remotedesktop installiert nicht die Möglichkeiten von verteilten
Anwendungen oder die Multi-User-Möglichkeiten der Terminalserver-Komponente (die früher unter dem
Namen „Terminaldienste im Anwendungsmodus“ bekannt waren). Darum kann Remotedesktop für
Verwaltung bedenkenlos auch bei einem bereits ausgelasteten Server ohne erwähnenswerte
zusätzliche CPU-Belastung eingesetzt werden.
Technische Übersicht über die Verwaltungsdienste
36
Microsoft® Windows® Server 2003 – technischer Artikel
Remotedesktop für Verwaltung erfordert keine speziellen Lizenzen für Clients, die auf den Server
zugreifen. Auch eine Terminaldienstelizenzierung ist nicht notwendig.
Zur Verwaltung von Windows Server 2003-Systemen von älteren Windows-PCs aus können Sie auf
den Clients die Applikation zur Remotedesktopverbindung installieren.
Technische Übersicht über die Verwaltungsdienste
37
Microsoft® Windows® Server 2003 – technischer Artikel
Systems Management Server einsetzen
Die Funktion zum Installieren von Software über Gruppenrichtlinien ist für einfache
Softwarebereitstellungen geeignet. Für komplexere Softwareinstallationsszenarien, bei denen eine
zeitlich gesteuerte Installation von Software, Inventarisierung, Erstellen von Berichten oder eine
Unterstützung von Installationen über größere Netzwerke (Wide Area Network, WAN) hinweg
erforderlich ist, empfiehlt Microsoft den Einsatz von Microsoft Systems Management Server 2.0 (SMS).
SMS ergänzt die in IntelliMirror und Remoteinstallation enthaltenen Funktionen und bietet eine
skalierbare Verwaltung von Windows-basierten Computern innerhalb einer Unternehmensumgebung.
Mit SMS können regionale und zentrale Support-Mitarbeiter zusammenarbeiten und ein integriertes Set
von Planungs-, Bereitstellung und Diagnose-Tools nutzen.
SMS bietet folgende Funktionen:
Hardware- und Software-Inventarisierung. Dieser dynamische und effiziente Mechanismus
leistet eine vollständige Erfassung jeder Hard- und Software, die auf den einzelnen Computern
installiert ist.
Gezielte Planung und Bereitstellung von Software. Es ergeben sich folgende Möglichkeiten:
o
Zuordnung von Anwendungen zu bestimmten Gruppen von Rechnern auf der
Grundlage von standardisierten Hardware- und Software-Inventardaten.
o
Automatisches Bereitstellen von Softwarepaketen an mehreren Orten unter
Berücksichtigung der Bandbreite. Die Software wird von Computern installiert, die sich
im Umfeld des Zielgeräts befinden.
o
Verarbeiten von Berichten über erfolgreiche oder fehlerhaft verlaufene Installationen.
Lizenzüberwachung. Der Einsatz von Anwendungen auf Server und Clients wird
überwacht, analysiert und gesteuert.
Diagnose und Fehlerbehebung. Diese Funktion bietet Berichte über den aktuellen Stand
eines Computers, die Möglichkeit zur Remotesteuerung und erweiterte Diagnosetools.
Tabelle 2 zeigt einen Vergleich der Funktionen der Windows Management-Dienste und des SMS.
Weiterführende Informationen über den Einsatz von SMS 2.0 für die Bereitstellung von Windows XP
und Windows Server 2003 finden Sie unter
http://www.microsoft.com/smserver/techinfo/deployment/20/deployosaspps/deploywinxp.asp.
Weiterführende Information über SMS finden Sie auf der Systems Management Server-Website unter
http://www.microsoft.com/smsmgmt.
Technische Übersicht über die Verwaltungsdienste
38
Microsoft® Windows® Server 2003 – technischer Artikel
Tabelle 2: Eine integrierte Desktop-Verwaltungslösung
Funktion
Windows
Services
SMS 2.0
Bereitstellung eines neuen
Betriebssystems
X
Benutzerprofile
X
Ordnerumleitung
X
Offline-Dateien
X
Softwareineschränkungsrichtlinien
X
User State Migration Tool (USMT)
X
Remoteunterstützung
X
X
Hardware/Softwareinventarisierung
X
Lizenzüberwachung
X
Netzwerkanalyse/-diagnostik
X
Health monitoring
X
Berichterstellung
X
Verteilung von Paketen von
Standort zu Standort auf der
Grundlage einer WAN-Struktur
X
Unterstützung von Windows 95-,
Windows 98-, und Windows NT
4.0-Clients
X
Technische Übersicht über die Verwaltungsdienste
39
Microsoft® Windows® Server 2003 – technischer Artikel
Anhang A: Neue Befehlszeilen-Tools
Die folgende Tabelle listet die neuen Befehlszeilentools auf.
Befehl
Beschreibung
bootcfg
Einstellungen der Boot.ini.-Datei konfigurieren, auslesen oder ändern
choice
Ermöglicht es dem Benutzer, eine Auswahl zu treffen. Es wird eine Auswahlliste angezeigt
und auf eine Benutzereingabe gewartet.
clip
Leitet die Ausgabe von Befehlen an die Windows-Zwischenablage um.
cmdkey
Erzeugt, listet und löscht gespeicherte Benutzernamen und Passworte oder
Anmeldeinformationen.
defrag
Sucht und konsolidiert fragmentierte Start-Dateien, Datendateien und Ordner auf lokalen
Datenträgern.
diskpart
Verwaltet Festplatten, Partitionen und Datenträger.
driverquery
Erstellt eine Liste von Treibern und Treibereigenschaften.
dsadd
Fügt einen Computer, Kontakt, eine Gruppe, Organisationseinheit oder einen Benutzer in
das Verzeichnis ein.
dsget
Zeigt ausgewählte Attribute eines Computers, Kontakts, einer Gruppe oder
Organisationseinheit, eines Servers oder Benutzers in einem Verzeichnis an.
dsmod
Ändert einen Benutzer, Computer, Kontakt, eine Gruppe oder Organisationseinheit im
Verzeichnis.
Dsmove
Verschiebt ein beliebiges Objekt von seiner bisherigen Position innerhalb des
Verzeichnisses an eine neue Stelle (solange dieser Vorgang auf einem Domänencontroller
ausgeführt werden kann). Benennt ein Objekt auch um, ohne dessen Pfad zu ändern.
dsquery
Liest und erstellt eine Liste von Computern, Gruppen, Organisationseinheiten, Servern oder
Benutzern, die bestimmten Suchkriterien entsprechen, innerhalb des Verzeichnisses.
dsrm
Löscht Objekte eines speziellen Typs oder generelle Objekte aus dem Verzeichnis.
eventcreate
Erlaubt es dem Administrator, ein selbst definiertes Ereignis in das Ereignisprotokoll zu
schreiben.
eventquery
Erstellt eine Liste der Ereignisse oder Ereigniseigenschaften einer einzigen oder mehrerer
Ereignisprotokolldateien.
eventtriggers
Zeigt und konfiguriert Überwachungsobjekte, die auf bestimmte Ereignisse auf dem lokalen
PC oder einem Remotegerät reagieren.
extract
Extrahiert komprimierte Dateien aus einer CAB-Datei.
fsutil
Verwaltet Anknüpfungspunkte für Erweiterungen im Dateisystem (reparse points) und
partiell genutzte Dateien (sparse files). Ermöglicht das Abmelden (dismount) oder Erweitern
eines Datenträgers.
getmac
Erstellt eine Liste der Media Access Control (MAC)-Adressen der physikalischen
Netzwerkkarten und der Netzwerkprotokolle
gpresult
Zeigt Gruppenrichtlinieneinstellungen und RSoP für einen Benutzer oder einen Computer
an.
forfiles
Wählt Dateien in einem Ordner oder aus einem Verzeichnisbaum für die Verarbeitung mit
einer Stapeldatei aus.
freedisk
Ermittelt den freien Speicherplatz, bevor mit einer Installation fortgefahren wird.
Technische Übersicht über die Verwaltungsdienste
40
Microsoft® Windows® Server 2003 – technischer Artikel
gettype
Setzt die Umgebungsvariable %ERRORLEVEL% auf die Versionsnummer des
verwendeten Windows-Betriebssystems.
helpctr
Startet das Hilfe- und Supportcenter.
inuse
Ersetzt gesperrte Betriebssystemdateien.
iisback
Verwaltet und erzeugt Backup-Kopien der IIS-Konfiguration (Metabase und Schema) eines
lokalen Computers oder eines Remotegeräts.
iiscnfg
Im- und exportiert alle ausgewählten Teile der Konfiguration von IIS eines lokalen
Computers oder eines Remotegeräts.
iisftp
Erzeugt, löscht und zeigt FTP-Sites auf einem Server an, der IIS 6.0 ausführt. Ist ferner in
der Lage, FTP-Sites bereitzustellen, abzuschalten oder den Zugriff vorübergehend zu
unterbinden (anzuhalten).
iisftpdr
Erzeugt und löscht virtuelle Verzeichnisse auf FTP-Servern, die IIS 6.0 oder eine spätere
Version einsetzen.
iisvdir
Erzeugt und löscht virtuelle Verzeichnisse von Websites auf einem Server, der IIS 6.0 oder
eine spätere Version einsetzt.
iisweb
Erzeugt, löscht und zeigt Websites auf einem Server, der IIS 6.0 einsetzt. Ist ferner in der
Lage, Websites bereitzustellen, abzuschalten oder den Zugriff vorübergehend zu
unterbinden (anzuhalten).
logman
Verwaltet und steuert die Sammlung von Leistungsindikatoren und die Überwachung von
Ereignissen auf lokalen oder Remotesystemen.
nlb
Ersetzt wlbs.exe für das Verwalten und die Überwachung von NetzwerklastenausgleichsOperationen.
openfiles
Sucht offene Dateien, zeigt Zugriffsinformationen und kann den Zugriff aller Prozesse auf
eine Datei beenden (Freigabe der Handles).
pagefileconfig
Zeigt den virtuellen Speicher eines Systems an und konfiguriert dessen Einstellungen.
perfmon
Öffnet eine Systemmonitorkonsole. Konfigurationsdateien des Windows NT 4.0Systemmonitors können weiter verwendet werden.
prncnfg
Konfiguriert Drucker und zeigt entsprechende Eigenschaften an.
prndrvr
Erlaubt das Hinzufügen, Löschen und Anzeigen von Druckertreibern auf lokalen oder
Remotedruckservern.
prnjobs
Anzeigen, Anhalten, Wiederaufnahme und Abbruch von Druckaufträgen.
prnmngr
Hinzufügen, Löschen und Anzeigen von Druckern oder Druckerverbindung. Gleichzeitig
kann auch der Standarddrucker angezeigt oder gesetzt werden.
prnport
Erzeugen, Löschen, Anzeigen des Standard TCP/IP-Drucker-Ports. Gleichzeitig kann die
Port-Konfiguration angezeigt und geändert werden.
prnqctl
Ausdruck einer Testseite. Anhalten, Fortsetzen eines Druckers und Löschen einer
Druckerwarteschlange.
relog
Holt Leistungsindikatoren aus den Leistungsprotokollen und legt sie in anderen Formaten
ab, z. B. als Komma-getrennter-Text (.CSV), Binary (.BIN) oder in SQL-Datenbanken.
rss
Stellt Speicherkapazitäten im Netzwerk zur Erweiterung der Festplattenkapazität bereit.
sc
Sammelt Informationen über Dienste und ermöglicht die Konfiguration von Diensten.
Ermöglicht Test und Verifikation von Diensten.
schtasks
Zeitlich geplante Ausführung von Befehlen und Programmen: Fügt Aufträge hinzu oder
löscht Aufträge aus dem Taskplaner. Zuvor definierte Aufträge können auch direkt gestartet
und angehalten werden, eine Auflistung der geplanten Jobs und Veränderung der
Technische Übersicht über die Verwaltungsdienste
41
Microsoft® Windows® Server 2003 – technischer Artikel
eingestellten Ausführungsparameter ist ebenfalls möglich.
setx
Setzt Umgebungsvariablen innerhalb der lokalen Systemumgebung. Es muss dafür kein
Skript oder Programm ausgeführt werden.
shutdown
Fährt einen Computer herunter oder startet ihn neu.
systeminfo
Ermittelt grundlegende Konfigurationsinformationen.
takeown
Erlaubt es einem Administrator, die Besitzrechte an einer Datei zu übernehmen.
taskkill
Beendet einen oder mehrere Tasks oder Prozesse.
tasklist
Zeigt eine Liste der auf dem lokalen oder remoten Computer aktiven Anwendungen,
Dienste und Prozesse sowie der Prozess-ID (PID) an.
timeout
Hält den Befehlsprozessor für eine bestimmte Zeit an.
tracerpt
Verarbeitet Ereignisablaufverfolgungs-Sitzungdateien oder Echtzeitdatenströme von
Instrumentations-Ereignisablaufverfolgungs-Providern und erstellt einen Bericht oder eine
Textdatei (CSV), welche die überwachten Ereignisse beschreibt.
tsecimp
Importiert Zuordnungen aus einer XML-Datei in die TAPI Sicherheitsdatei (tsec.ini).
typeperf
Gibt Leistungsindikatorendaten im Befehlszeilenfenster oder in einer Protokolldatei aus.
waitfor
Sendet oder wartet auf ein Signal, um mehrere Computer innerhalb eines Netzwerks zu
synchronisieren.
where
Findet und zeigt alle Dateien an, die einem vorgegebenen Parameter entsprechen.
whoami
Zeigt die Domäne oder den Computernamen, Benutzernamen, Gruppennamen und
Anmeldeinformationen sowie die Berechtigungen für den angemeldeten Benutzer an.
WMIC
Verwaltungskonsole zur leichteren Nutzung von WMI für Systeme, die mit WMI verwaltet
werden sollen.
Technische Übersicht über die Verwaltungsdienste
42
Microsoft® Windows® Server 2003 – technischer Artikel
Anhang B: Beispiele für WMI-Filter
Die folgenden Beispiele zeigen einige WMI-Filter, die in WMI Query Language (WQL) geschrieben
sind. Zweck dieser Filter ist, die Auswirkungen von Gruppenrichtlinien nach WMI-Kriterien
einzuschränken.
Filtertyp
Beschreibung
Filter auf
Grundlage des
Betriebssystems
Administratoren möchten eine
Überwachungsrichtlinie für das Unternehmen
bereitstellen. Es sollen aber nur Windows 2000
Server und Windows 2000 Advanced Server
überwacht werden.
Hardwareabhängiger Filter
Ein Unternehmen will einen neuen
Verbindungsmanager bereitstellen. Die ITAdministratoren können ihn unternehmensweit
installieren, mit Ausnahme der Desktops ohne
Modem, die den Verbindungsmanager natürlich
nicht benötigen.
Ressourcenabhängige Filter
Ein Unternehmen hat festgestellt, dass
Benutzer Dokumentationen bevorzugt
einsetzen, wenn sie leicht erreichbar sind. Die
Festplattenkapazität einiger Benutzer ist aber
nicht ausreichend für die Online-Hilfe. Die
Administratoren beschließen deshalb, die
Dokumente nur auf Computern bereitzustellen,
die über mehr als 600 Megabyte (MB) freien
Festplattenspeicher verfügen.
Maschinenabhäng
ige Filter
Administratoren möchten eine Richtlinie
einsetzen, die auf allen Laptops den Ordner
Eigene Dateien verschlüsselt.
Ausschlaggebend für die Verschlüsselung
sollen die Marke und das Modell des Rechners
sein.
Inventarnummern
als Filter
Administratoren möchten eine
Überwachungsrichtlinie für Hardwareinventar
einsetzen. Die Richtlinie soll für alle Computer
mit einer Inventarnummer zwischen ‘300.000’
und ‘355.555’ angewendet werden.
Filtern auf Basis
der Hardwarekonfiguration
Administratoren möchten eine Richtlinie auf
allen Computer anwenden, deren
Netzwerkkarte Interrupt 11 eingestellt hat.
Konfigurationsabhängige Filter
Administratoren möchten NetMon nicht auf
Computern ausführen, die Multicasting aktiviert
haben.
Filtern auf Basis
von Dateiattributen
Administratoren möchten die Freigabe von
Ordnern auf Computern unterbinden, die den
Ordner Eigene Dateien nicht verschlüsseln.
WMI-Filter
Root\CimV2; Select * from
Win32_OperatingSystem where Caption
= "Microsoft Windows 2000 Advanced
Server" OR Caption = "Microsoft
Windows 2000 Server"
Root\CimV2;Select * from
Win32_POTSModem
Root\CimV2; Select * from
Win32_LogicalDisk where
FreeSpace > 629145600 AND
Description <> "Network
Connection"
Root\CimV2; Select * from
Win32_ComputerSystem where
manufacturer = "Toshiba" and
Model = "Tecra 8000" OR Model =
"Tecra 8100"
Root\Cimv2 ; Select * from
Win32_SystemEnclosure where
SMBIOSAssetTag > '300000' AND
SMBIOSAssetTag < '355555'
Root\cimv2; Associators of
{win32_IRQResource.IRQNumber=11
} where resultclass =
Win32_NetworkAdapter
Select * from
Win32_NetworkProtocol where
SupportsMulticasting = true
Root\cimv2 ; Select * from
Win32_Directory where filename
='Eigene Dateien' AND encrypted
= false
Technische Übersicht über die Verwaltungsdienste
43
Microsoft® Windows® Server 2003 – technischer Artikel
Zeitzonenabhängige Filter
Administratoren benötigen eine Richtlinie, die
auf alle Server angewendet wird, deren
Zeitzone der lokalen Zeitzone drei Stunden
voraus ist.
Filtern auf Basis
eines Hotfixes
Administratoren möchten eine Richtlinie nur auf
Computern anwenden, die ein entsprechendes
Hotfix (Quick Fix Engineering-Datei, QFE)
installiert haben.
Filter auf der
Grundlage von
installierter
Software
Ein Unternehmen kauft eine Standortlizenz für
einen neuen Boundschecker, mit dem die
Entwickler zuverlässigere Software schreiben
können. Der Boundschecker kann nur in
Verbindung mit Microsoft Visual Basic® oder
Visual C++® eingesetzt werden. Die
Administratoren weisen das Paket also nur
denjenigen Computern zu, die die
entsprechenden Anwendungen installiert
haben.
Root\cimv2 ; Select * from
win32_timezone where bias =-300
Root\cimv2 ; select * from
Win32_QuickFixEngineering where
HotFixID = 'q147222'
Root\cimv2;Select * from
Win32_Product where
name = "MSIPackage1"
OR name = "MSIPackage2"
OR name = "MSIPackag32"
Hinweis:
Verwendung von IdentifyingNumer anstelle
der Namen ist evtl. zuverlässiger.
Es kann je GPO nur ein Filter eingesetzt
werden. Wenn Ihre Anwendungen
unterschiedliche Anforderungen haben und
deshalb unterschiedliche Filter eingesetzt
werden müssen, benötigen Sie für jede
Anwendung eine eigene GPO. Jeder
Client, der diesen WMI-Filter empfängt,
muss ihn entweder beim Start oder bei der
Anmeldung ausführen und entscheiden, ob
der Wert True oder False ist.
Es wird nicht empfohlen, WMI-Filter für
eine softwaregesteuerte Auswahl
einzusetzen.
Technische Übersicht über die Verwaltungsdienste
44
Microsoft® Windows® Server 2003 – technischer Artikel
Einschränkung
über
Inventarisierung
aller installierten
Software
Ein Unternehmen stellt fest, dass der
gemeinsame Einsatz von drei bestimmten
Anwendungen auf einem Computer zu
Problemen führen kann. Zur Lösung des
Problems soll auf den betroffenen Computern
ein Hotfix installiert werden.
root\cimv2;Select * from
Win32_Product where name =
"MSIpackage1"
root\cimv2;Select * from
Win32_Product where name =
"MSIPackage2"
root\cimv2;Select * from
Win32_Product where name =
"MSIPackage3"
Hinweis:
Verwendung von IdentifyingNumer anstelle
der Namen ist evtl. zuverlässiger.
Es kann je GPO nur ein Filter eingesetzt
werden. Wenn Ihre Anwendungen
unterschiedliche Anforderungen haben und
deshalb unterschiedliche Filter eingesetzt
werden müssen, benötigen Sie für jede
Anwendung eine eigene GPO. Jeder
Client, der diesen WMI-Filter empfängt,
muss ihn entweder beim Start oder bei der
Anmeldung ausführen und entscheiden, ob
der Wert True oder False ist.
Es wird nicht empfohlen, WMI-Filter für
eine softwaregesteuerte Auswahl
einzusetzen.
Technische Übersicht über die Verwaltungsdienste
45
Microsoft® Windows® Server 2003 – technischer Artikel
Zusammenfassung
Windows Server 2003 führt neue leistungsfähige Funktionen für die Änderungs- und
Konfigurationsverwaltung ein, die Ihnen mehr Flexibilität und Differenzierungsmöglichkeiten bei der
Verwaltung von Benutzern und Computern in immer komplexeren Unternehmensumgebungen geben.
Mit diesen neuen Funktionen lassen sich die Kosten für die Änderungs- und Konfigurationsverwaltung
deutlich senken.
Technische Übersicht über die Verwaltungsdienste
46
Microsoft® Windows® Server 2003 – technischer Artikel
Weiterführende Links
Hier finden Sie weitere Informationen:
What’s New in Management Services:
http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/mgmtsrvcs
.mspx
Windows 2000 Management Services:
http://www.microsoft.com/windows2000/technologies/management/default.asp
Using SMS 2.0 to Deploy Windows XP and Windows Server:
http://www.microsoft.com/smserver/techinfo/deployment/20/deployosapps/deploywinxp.asp
Application Deployment Using Microsoft Management Technologies:
http://www.microsoft.com/windows2000/techinfo/howitworks/management/apdplymgt.asp
Microsoft Management-Website: http://www.microsoft.com/management/
Software Update Services-Website:
http://www.microsoft.com/windows2000/windowsupdate/sus/default.asp
Weitere Informationen zu den folgenden Themen finden Sie hier:
Windows Server-Website: http://www.microsoft.com/windowsserver2003/
Systems Management Server-Website: http://www.microsoft.com/smsmgmt/
Microsoft Operations Manager-Website: http://www.microsoft.com/mom
Application Center-Website : http://www.microsoft.com/applicationcenter
Technische Übersicht über die Verwaltungsdienste
47
