Kapitel 12  IntelliMirror und Benutzersteuerung

Das zu steuern, womit der Benutzer konfrontiert wird, wenn er sich an den PC setzt, ist eine der besten Möglichkeiten, jemanden zu kontrollieren. Bisher bestand die Steuerung des Benutzers darin, das Benutzerkonto zu erstellen und die Arbeitsumgebung zu steuern, indem Skripten erstellt und Berechtigungen verwaltet werden. Die neue Idee ist aus Sicht des Benutzers zwar »ausgefuchster«, kann dafür allerdings nützlicher sein. In diesem Kapitel geht es um die Verwendung von Richtlinien, Profilen und die direkte Installation von Software sowie die Verwaltung, um alles zu steuern, was der Benutzer bei seiner täglichen Arbeit vor sich hat. All dies wird in einer Gruppe von Technologien mit der Bezeichnung IntelliMirror zusammengefasst.

IntelliMirror kann man sich als die Realisierung von ZAW (Zero Administration für Windows) vorstellen. Die Idee, die sich hinter ZAW und IntelliMirror verbirgt, ist die, dass Administratoren mit Hilfe von Netzwerk-Tools ein weniger verwaltungsintensives Netzwerk einrichten können. Der Unterschied zwischen ZAW und IntelliMirror ist der, dass die IntelliMirror-Technologie integraler Bestandteil des Betriebssystems ist. IntelliMirror ist keine Gehhilfe für das Betriebssystem. IntelliMirror unterstützt wie ZAW-Tools, die das Betriebssystem zur Verfügung stellt.

IntelliMirror ist kein Programm, das Sie ausführen können, und keine Anwendung, die in Windows 2000 neu ist. ZAW enthält eine eigene Schnittstelle. IntelliMirror ist vielmehr eine Technologierichtung, die von Windows 2000 eingeschlagen wird. Wenn ein Administrator von der IntelliMirror-Technologie spricht, meint er damit eine Reihe von Technologien, die eine leistungsfähigere Verwaltung ermöglichen und für den Benutzer ein höheres Maß an Komfort bieten. IntelliMirror bedeutet die intelligente Spiegelung (engl. mirroring) der Benutzerumgebung über Arbeitsplatzrechner, LANs und sogar WANs hinweg.

12.1 Grundelemente von IntelliMirror

IntelliMirror vereint drei unterschiedliche Technologiegruppen, die Sie in diesem Kapitel kennen lernen werden:

12.2 Steuerungskonzepte

Bei der Steuerung dessen, was der Benutzer täglich in seiner Arbeitsumgebung sieht, spielt sowohl die Sicherheit als auch der Komfort eine Rolle.

Aus sicherheitstechnischer Sicht ist das Haus, in das am wenigsten wahrscheinlich eingebrochen wird, dasjenige, das nicht zu sehen ist. Ein guter Mensch, der den Ordner für die Gehälter nie auf dem Server sieht, wird aller Wahrscheinlichkeit nach ein guter Mensch bleiben. Ein Hacker, der das Symbol Netzwerkumgebung nicht sieht, wird sich die Liste der Server wohl eher nicht ansehen. Wenn die Eingangstür nicht zu sehen ist, ist die Versuchung einzubrechen nicht so groß.

Das zweitsicherste Haus ist das, das gut beleuchtet ist. Wenn der Dieb davon ausgehen muss, von allen gesehen zu werden, wenn er in das Haus eindringt, ist die Versuchung weitaus geringer. Wenn Benutzern ein bestimmtes Aussehen und Gefühl gegeben wird, wird ihnen bewusster, dass sie sich an einer Stelle befinden, an der sie sich eigentlich nicht befinden dürften.

Ein Beispiel dafür ist ein Schulsystem, bei dem für die Anmeldung der Lehrer und Administratoren andere Symbole und ein anderer Hintergrund verwendet wird, als für die der Schüler. Wenn ein Lehrer an einem Computer vorbeigeht und einen Schüler mit dem Hintergrund für Lehrer auf dem Bildschirm sieht (nehmen wir einmal an, einen hellblauen Hintergrund), ist der Schüler ertappt. Der Schüler wird auch nicht lange vor einem Bildschirm sitzen, der ruft: »Ich will gerade einbrechen.«

Für die meisten Benutzer ist es ein Alptraum, in einer Umgebung arbeiten zu müssen, in der sie die Daten von anderen vernichten oder vertrauliche Daten versehentlich sehen können. Der Computer macht ihnen schon so genügend Angst. Daher ist es am besten, diese Benutzer in einer Arbeitsumgebung unterzubringen, die nur deren Tools und Daten enthält. So befinden sich Benutzer in einer Umgebung, in der sie alle dargestellten Ressourcen nutzen können, ohne derartige Missgeschicke fürchten zu müssen.

Wenn Sie Angestellte für die Auftragsverwaltung vor Computer setzen, in denen sie Produkte suchen, Aufträge vergeben und mit ihren Vorgesetzten kommunizieren können, arbeiten diese gerne mit dem Computer. Wenn Sie diese Angestellten jedoch vor einen Computer setzen, auf dem ein Web-Browser, Solitär und ein Tabellenkalkulationsprogramm installiert sind, dürfen Sie sich nicht wundern, wenn die Angestellten im Internet surfen, Karten spielen und Berechnungen durchführen. Wenn sie die Gelegenheit zum Zeitverschwenden haben, verschwenden Menschen eben Zeit.

Windows 2000 bietet wie Windows NT auch schon Tools, mit denen die Benutzerumgebung gesteuert und einige dieser Möglichkeiten besser verfügbar und nutzbar gemacht werden können. Zu diesen Tools gehören die Benutzerprofile und die Richtlinien. Diese wiederum sind Teil des Active Directory.

Bei Windows NT mussten Richtlinien mit einem eigenen Hilfsprogramm erstellt und an einer zentralen Stelle gespeichert werden. Es war außerdem sehr schwierig, diese mit Benutzern und Gruppen zu koordinieren. Wie Sie sehen werden, lassen sich Richtlinien wesentlich einfacher integrieren und Profile sind nicht mehr schwierig.

12.2.1 Profile

Profile gibt es schon seit den Anfängen von Windows NT und Windows 95. Mit Profilen wird definiert, wie sich das Betriebssystem je nach angemeldetem Benutzer verhält. Wenn sich der erste Benutzer an Windows 95 anmeldet, wird er gefragt, ob das System die Einstellungen dieses Benutzers getrennt speichern soll. Der Benutzer wird außerdem aufgefordert, ein Kennwort einzugeben. Wenn er dies getan hat, wird ein Profil erstellt. Im Profil sind die Druckeroptionen, Anwendungseinstellungen, Desktop-Einstellungen usw. gespeichert. Wenn sich dieser Benutzer wieder anmeldet, werden wieder dieselben Einstellungen aktiviert.

Windows 2000 setzt diese Tradition fort. Wenn sich ein Benutzer an einem Windows 2000-Computer anmeldet, werden die Einstellungen des Benutzers auf dem System in einem Profil gespeichert. Das Profil, das ursprünglich erstellt worden ist, befindet sich auf dem lokalen Rechner. Es enthält das Menü Start, die Desktop-Symbole, das Menü Programme und sämtliche individuellen Anwendungseinstellungen für den Benutzer. Ein Administrator stellt beispielsweise fest, dass der Internet Explorer jedes Mal, wenn sich ein neuer Benutzer am System anmeldet, persönliche Einstellungen definiert und fragt, wie auf das Internet zugegriffen werden soll. Dies ist eine Eigenschaft von Profilen, die sich ändert, wenn sich die Benutzer ändern.

Benutzer gewöhnen sich mit der Zeit sehr an Profile. Es ist sogar so, dass sie aufgrund der durch das Profil gesteuerten Elemente denken, der Computer sei ihr eigener. Ein Bildschirmschoner, ein Foto vom letzten Angelausflug des Benutzers und eine Liste der Favoriten im Internet Explorer tragen dazu bei, dass der Benutzer meint, es handle sich um seinen eigenen Computer. Wenn sich dieser Benutzer nun an einen anderen Rechner setzt, an dem es all diese Elemente nicht gibt, tut sich dieser Benutzer schwer, mit diesem System zu arbeiten.

Generell gibt es zwei Arten von Profilen: lokale Profile und servergespeicherte Profile sowie eine Reihe von Variationen dieser Profile. Hier sollen nun zuerst einmal die lokalen und servergespeicherten Profile näher beschrieben werden.

Lokales Profil

Ein lokales Profil ist ein Profil, das vom lokalen Rechner angezeigt wird, wenn sich der Benutzer anmeldet. Wenn der Administrator keine andere Art von Profilen erstellt, ist dies das einzige Profil, das erstellt wird. Das Profil wird als lokal bezeichnet, da es sich auf dem lokalen Rechner befindet und jeweils pro Rechner erstellt wird. Daher wirken sich die Einstellungen, die auf einem Rechner definiert wurden, auf einem anderen Rechner nicht aus.

Bei Windows 2000 sind lokale Profile im Verzeichnis Dokumente und Einstellungen\[USERNAME] im Ordner des Betriebssystems gespeichert (siehe Abbildung 12.1). Wenn Sie diesen Ordner öffnen, können Sie die Elemente im Startmenü und auf dem Desktop anzeigen und ändern.

Abbildung 12.1:  Profile im Verzeichnis Dokumente und Einstellungen

Beachten Sie, dass es Profile für »All Users« und »All Users.WINNT« gibt. Diese Profile definieren allgemeine Profilelemente, sodass das System allgemeine Elemente nicht immer wieder neu definieren muss.

Windows NT-Administratoren sollten wissen, dass der Speicherort der lokalen Profile geändert wurde. Das ist eine der wenigen Änderungen im Profilschema. Wenn Sie das jedoch nicht wissen, werden Sie viel Zeit mit Suchen vergeuden. In einigen technischen Beschreibungen von Windows 2000 wird nämlich immer noch der alte Speicherort genannt.

Servergespeichertes Profil

Servergespeicherte Profile bieten eine Möglichkeit, die Profileinstellungen auf jedem Arbeitsplatzrechner, an dem sich der Benutzer anmeldet, verfügbar zu machen. Ein servergespeichertes Profil muss nicht von einem kontrollierten Konto aus erstellt werden. Es kann von jedem Konto aus erstellt werden, das über ein Profil verfügt, das unter Arbeitsplatz auf der Registerkarte Benutzerprofile aufgeführt ist. Daher sieht der Reisebezirksleiter seinen Desktop auch dann, wenn er wieder in einem neuen Büro ankommt, denn sein Profil wird direkt von seinem Computer kopiert.

Das, was im Eifer des Gefechts bei servergespeicherten Profilen häufig vergessen wird, ist, dass die erforderlichen Ressourcen am neuen Standort auch verfügbar sein müssen. Wenn beispielsweise das Logo des Unternehmens im Profil als Hintergrundbild gewählt wird und dieses auf dem Rechner, an dem sich der Benutzer anmeldet, nicht vorhanden ist, wird das Logo nicht als Hintergrundbild erscheinen. Das ist so einfach. Wenn die Netzwerkfreigabe für die Zuweisung eines Laufwerks nicht verfügbar ist, wird das Laufwerk nicht zugewiesen.

Schwierig wird es, wenn die »fehlende Ressource« dazu führt, dass eine Anwendung nicht mehr richtig oder überhaupt nicht mehr funktioniert. Servergespeicherte Profile funktionieren in einer Umgebung mit Systemen am besten, die mit identischer Software arbeiten. Identische Hardware wäre ideal, ist jedoch nicht erforderlich.

Verbindliches Profil

Ein servergespeichertes Profil kann aus Gründen eines einheitlichen Aussehens von vielen unterschiedlichen Benutzern verwendet werden. Diese Art von Profil wird allgemein definiert, sodass keiner der Benutzer dauerhafte Änderungen an diesem Profil vornehmen kann. Man spricht hier von einem verbindlichen Profil. Dabei ist es Benutzern nicht möglich, ihre persönlichen Einstellungen dauerhaft zu ändern, bzw. die Benutzer können diese Einstellungen ändern, werden jedoch, wenn sie sich am nächsten Tag am System anmelden, wieder die Standardeinstellungen vorfinden.

Verbindliche Profile verhindern, dass Benutzer freigegebene Profile so ändern, dass diese von anderen Benutzern nicht mehr verwendet werden können. Nur weil Hannes die BSE-Seite als seine Homepage haben möchte, bedeutet das noch lange nicht, dass jeder mit der Seite über die Auswirkungen von BSE konfrontiert werden möchte. Ziel ist es, alles allgemein und für alle ansprechend zu gestalten.

Aus einem servergespeicherten Profil ein verbindliches zu machen, ist sehr einfach. Dazu müssen Sie lediglich die Datei NTUSER.DAT im Verzeichnis Profiles in NTUSER.MAN umbenennen. Diese Datei kann an unterschiedlichen Stellen gespeichert sein, je nachdem, wie Sie die Einstellungen der Benutzerprofile gespeichert haben. Der Standardspeicherort der Datei ist jedoch die NETLOGON-Freigabe des Domänencontrollers. Geben Sie in der Eingabeaufforderung einfach folgenden Befehl ein:

ren ntuser.dat ntuser.man

Bestätigen Sie mit der (Enter)-Taste. Wenn sich der Benutzer das nächste Mal anmeldet, ist das Profil verbindlich.

Ein verbindliches Profil kann auch auf lokaler Ebene erstellt werden. Der Vorgang ist derselbe. Das ist jedoch weitaus weniger gebräuchlich.

Windows NT-Profil

Windows NT 4.0-Profile funktionieren so wie Windows 2000-Profile. Sie können ein Windows 2000-Profil erstellen, freigeben und davon ausgehen, dass sowohl NT- als auch 2000-Benutzer mit diesem Profil arbeiten können.

Windows 95/98-Profil

Servergespeicherte Windows 95/98-Profile sind zu Windows 2000-Profilen nicht kompatibel und werden anders gespeichert. Sie müssen folgende Änderungen am Netzwerk vornehmen, um servergespeicherte Profile für ein Windows 95/98-System zu verwalten:

Abbildung 12.2:  Dialogfeld für die Aktivierung von Profilen bei Windows 95

Benutzerprofile werden bei Windows 95/98 in Ordnern im Verzeichnis PROFILES im Betriebssystemverzeichnis (\Windows\Profiles) erstellt. Wenn Profile aktiviert worden sind, gibt es hier für jeden Benutzer, der sich am Rechner angemeldet hat, ein Verzeichnis.

Anders als bei Windows 2000 und NT ist bei Windows 9x für das Erstellen eines servergespeicherten Profils kein spezieller Kopiervorgang erforderlich. Sie brauchen jedoch einen bestimmten Speicherort für Ordner und Dateien. Bei Windows 9x muss das Profil im Basisverzeichnis des Benutzers gespeichert werden. Daher muss ein Benutzer mit einem servergespeicherten Profil über ein Basisverzeichnis verfügen.

Für diese Benutzer können Sie auch ein verbindliches Profil erstellen. Aber auch dafür ist ein Basisverzeichnis erforderlich. Um ein verbindliches Profil zu erstellen, erstellen Sie einfach ein servergespeichertes Profil und benennen Sie die Datei USER.DAT in jedem Verzeichnis, in das die Datei kopiert wird, in USER.MAN um.

12.2.2 Richtlinien: Eine allgemeine Einführung

Eine Benutzer- oder Gruppenrichtlinie steuert entsprechend der gewählten Optionen die Registrierung von Windows 2000 sowie das Verhalten des Betriebssystems. Der Hauptunterschied zwischen einer Richtlinie und einem Profil besteht darin, dass bei einer Richtlinie aus einem Menü von Elementen die Elemente gewählt werden können, die gesteuert werden sollen, und dass die Richtlinien Einzelnen oder Gruppen zugewiesen werden können.

Ein Vergleich, der vielleicht hilft, dass Sie sich unter Windows 2000-Richtlinien etwas vorstellen können: Stellen Sie sich diese Richtlinien einfach wie einen Unterbrecherschalter vor. Wenn jede Funktion des Betriebssystems an einer großen Schalttafel mit einem Schalter zu aktivieren bzw. zu deaktivieren wäre, dann wäre die Schalttafel vergleichbar mit den Richtlinien. Mit Hilfe der Richtlinien kann ein Administrator eine Funktion aktivieren, deaktivieren oder unverändert lassen. Wie bei Schalttafeln bleiben die Richtlinien von Windows NT und Windows 95/98 so, wie sie definiert wurden, bis sie wieder geändert werden.

In Abbildung 12.3 sind die Richtlinien für den Benutzer und den Desktop dargestellt. In diesem Beispiel kann der Administrator die Funktion deaktivieren, die dafür sorgt, dass das Symbol für die Netzwerkumgebung auf dem Desktop zu sehen ist. Es ist nicht viel Phantasie notwendig, um zu erkennen, wie sinnvoll es ist, die Ressourcen zu verstecken, die sich hinter diesem Symbol verbergen - es reichen nur wenige Tage als Administrator eines umfangreichen Netzwerks oder einer Gruppe von Schülern.

Abbildung 12.3:  Beispiele für Beschränkungen durch Richtlinien

Windows 2000-Richtlinien beziehen sich nun auf Gruppen in Containerobjekten. Benutzergruppen werden in der Tat nur in Gruppenrichtlinien aus Gründen der Sicherheit und zum Filtern von Gruppenrichtlinien (darüber werden Sie später mehr erfahren) verwendet. Bei einer Gruppe in Gruppenrichtlinien kann es sich um das Containerobjekt Standort, Domäne oder Organisationseinheit handeln. Ebenso wie Anmeldeskripten Teil der Gruppenrichtlinie sind, ist die Gruppenrichtlinie Teil des Containerobjekts.

In jedem Containerobjekt werden so genannte Gruppenrichtlinienobjekte erstellt. Sämtliche Gruppenrichtlinienobjekte sehen zunächst gleich aus: leer, ohne Änderungen der Registrierungen. Die Objekte werden erst nützlich, wenn sie so bearbeitet werden, dass an der Registrierung des Windows 2000-Rechners, mit dem der Container in Kontakt kommt, Änderungen vorgenommen werden. Ein Container kann zahlreiche Gruppenrichtlinienobjekte enthalten, die unabhängig voneinander geändert werden können. Das kann sehr verwirrend sein. Wenn Sie weiterlesen, werden Sie erfahren, wie Sie das verhindern können.

Richtlinien werden, basierend auf der Verzeichnisstruktur, hierarchisch und im Gesamten angewendet. Das bedeutet, dass der Benutzer sämtliche Richtlinien von jedem Container, auf den diese sich beziehen, zugewiesen bekommt, und dass diese Richtlinien in der Reihenfolge Standort, Domäne, Organisationseinheit und dann untergeordnete Organisationseinheiten, denen der Benutzer angehört, angewendet werden. Das ist die Reihenfolge, die bereits für Anmeldeskripten gilt. Das kommt daher, weil Anmeldeskripten Teil der Richtlinienstruktur sind.

Wenn es in der NETLOGON-Freigabe (die Datei NTCONFIG.POL) noch Windows NT- Richtlinien gibt, werden diese vor den Richtlinien von Standort, Domäne und Organisationseinheit angewendet. Wenn auf dem lokalen Computer, an dem sich der Benutzer anmeldet, lokale Computer-Richtlinien definiert sind, werden diese Richtlinien ebenfalls vor den Richtlinien von Standort, Domäne und Organisationseinheit angewendet. Dies ist zwar eher unwahrscheinlich, dennoch können diese Informationen bei der Fehlersuche recht hilfreich sein. So wissen Sie, dass die Richtlinien in einer anderen Reihenfolge, nämlich in der Reihenfolge NTCONFIG.POL, lokale Computer-Richtlinien, Standortrichtlinie, Domänenrichtlinie und Richtlinie der Organisationseinheit, angewendet werden.

Es ist nicht nur so, dass Richtlinien in jedem Container eine Anwendungsreihenfolge haben, sondern jeder Container kann mehrere Gruppenrichtlinien enthalten (siehe Abbildung 12.4). Diese Richtlinienobjekte werden entsprechend der Reihenfolge angewendet, in der Sie diese festlegen. Wenn Sie die Richtlinie auswählen, die als erste angewendet werden soll, und dann auf die Schaltfläche Nach oben klicken, können Sie die Reihenfolge ändern, in der die Richtlinien angewendet werden.

Der wichtige Hinweis hier ist der, dass es nicht am besten ist, erster zu sein. Wenn die Richtlinie für den Standort eine Einstellung enthält, mit der das Bild der drei Gründerväter des Unternehmens als Hintergrundbild definiert wird und mit der Richtlinie für die Organisationseinheit festgelegt wird, dass das Hintergrundbild die drei »Heinis« darstellt, dann werden die Benutzer die Kollegen Heinrich, Heinzi und Heinz zu sehen bekommen, nicht aber die drei Gründerväter. Das trifft für jede Reihenfolge der Richtlinien, auch innerhalb des Containers zu. Aus diesem Grund empfiehlt es sich, dafür zu sorgen, dass die wichtigsten Einstellungen zuletzt angewendet werden.

Damit leuchtet es auch besser ein, dass es besser ist, eine Richtlinie unabhängig vom Container zu erstellen und die Richtlinie dann dem Container zuzuweisen. Wenn Sie die beiden Vorgänge voneinander trennen, können Sie eine einheitliche Richtlinie definieren und diese dann den Containern auf der unteren Ebene zuweisen, um deren Anwendung sicherzustellen.

Abbildung 12.4:  Mehrere Gruppenrichtlinien in einem Containerobjekt

Grundsätzlich wird zwischen zwei Arten von Richtlinien unterschieden:

Der Unterschied zwischen diesen beiden Arten von Richtlinien wird an den Einstellungen für Windows-Einstellungen und Skripten deutlich. Sowohl die Benutzerkonfiguration einer Richtlinie als auch die Computerkonfiguration einer Richtlinie verfügen über Skripten. Die Computerkonfiguration hat jedoch kein Anmelde- und Abmeldeskript, da Computer sich weder an- noch abmelden. Statt dessen weist die Computerkonfiguration Skripten zum Starten und Herunterfahren auf. Diese Skripten werden erstellt, damit die Domäne beim Starten bzw. Herunterfahren auf dem im Container enthaltenen System bestimmte Befehle geben kann. Dies gilt insbesondere bei einem Standort.

Computer-Richtlinien werden synchron angewendet, d.h., sie werden angewendet, bevor der Benutzer die Möglichkeit hat, sich anzumelden. Diese Einstellung kann geändert werden, sodass die Richtlinien asynchron angewendet werden. Das hat jedoch mehr Nachteile als Vorteile. Es wird nämlich sehr schwierig, Konflikte mit anderen Richtlinien vorherzusehen und zu korrigieren. Jede Richtlinie, die nach der Anmeldung ausgeführt werden soll, sollte einfach der Benutzerkonfiguration einer Richtlinie zugewiesen werden. Wenn Sie diese Änderung vornehmen möchten, geschieht dies in der Konsole Gruppenrichtlinie unter Richtlinienname, Computerkonfiguration, Administrative Vorlagen, System, Gruppenrichtlinie.

Schließlich werden die Richtlinien auf dem Arbeitsplatzrechner kontinuierlich aktualisiert, sodass immer wieder im Laufe des Tages Änderungen vorgenommen und Benutzerfehler ohne Hilfe des Administrators korrigiert werden können. Diese Aktualisierung erfolgt standardmäßig alle eineinhalb Stunden. Das Aktualisierungsintervall sollte wenn möglich nicht geändert werden, da bei einer Änderung eine Kommunikation des Systems über das Netzwerk erforderlich und somit Netzwerkverkehr verursacht wird. Die Aktualisierung findet jedoch innerhalb des Standorts statt und sollte sich nicht auf den Verkehr im WAN auswirken.

Es kann von Nutzen sein, das Intervall zu kürzen, wenn dies für die Benutzergruppe voraussichtlich erforderlich sein wird. Wenn Sie diese Änderung vornehmen möchten, geschieht dies in der Konsole Gruppenrichtlinie unter Richtlinienname, Computer- bzw. konfiguration, Administrative Vorlagen, System, Gruppenrichtlinie, Gruppenrichtlinien-Aktualisierungsintervall für Benutzer bzw. Computer.

12.3 Verwalten von Gruppenrichtlinien

Gruppenrichtlinienobjekte können von drei unterschiedlichen Stellen aus verwaltet werden: vom Gruppenrichtlinien-Snap-In (Microsoft Management Console = MMC), von der Konsole Active Directory-Benutzer und -Computer und von der Konsole Active Directory-Standorte und -Dienste aus. Der Grund dafür ist der, dass die Active Directory-Standorte und -Container sowie die Gruppenrichtlinien miteinander verwoben sind. Viele Administratoren arbeiten einfach mit dem Container und erstellen und verwalten die Richtlinie an einer Stelle. Andere finden es dagegen sinnvoller, Richtlinienobjekte von der MMC aus zu verwalten, um eine zentrale Stelle für die Verwaltung von Richtlinien zu haben.

In diesem Fall gibt es keine richtige oder falsche Vorgehensweise. Es ist nur wichtig, dass Sie daran denken, dass Sie immer ein Gruppenrichtlinienobjekt angeben müssen, wenn Sie mit einer Gruppenrichtlinie zu tun haben. Es ist vorstellbar, dass sämtliche Gruppenrichtlinien in einer MMC gespeichert werden, dass jedoch bereits ein Container in der Form der Konsole Active Directory-Benutzer und -Computer existiert. Wenn Sie mit der rechten Maustaste auf ein Containerobjekt klicken und die Option Eigenschaften wählen, erscheint die Registerkarte Gruppenrichtlinie.

Eine mögliche Lösung der Frage, wie man am besten zu den Gruppenrichtlinien gelangt, ist es, eine Organisationseinheit für die Gruppenrichtlinien zu erstellen. Wenn Sie die Organisationseinheit erstellt haben, erstellen Sie einfach sämtliche Gruppenrichtlinien in dieser Organisationseinheit und fügen Sie die Richtlinien von dieser Organisationseinheit aus zu anderen Containern hinzu. So können Sie von dieser einen Organisationseinheit aus alle Änderungen an der Gruppenrichtlinie vornehmen.

12.3.1 Erstellen und Zuweisen von Gruppenrichtlinienobjekten

Ein Gruppenrichtlinienobjekt kann nur über die Eigenschaften eines Containerobjekts erstellt werden. Das mag ein weiterer Grund dafür sein, warum es sinnvoll ist, Gruppenrichtlinien über die Konsole Active Directory-Benutzer und -Computer oder die Konsole Active Directory-Standorte und -Dienste zu verwalten. Weil diese nämlich von Anfang an Teil eines Standortes oder Containerobjekts sein müssen.

Das Erstellen eines Gruppenrichtlinienobjekts ist relativ einfach:

1. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer oder die Konsole Active Directory-Standorte und -Dienste und klicken Sie mit der rechten Maustaste auf den Standort oder das Containerobjekt, in dem das Gruppenrichtlinienobjekt erstellt werden soll. 2. Wählen Sie die Option Eigenschaften. 3. Aktivieren Sie die Registerkarte Gruppenrichtlinie und klicken Sie auf die Schaltfläche Neu (siehe Abbildung 12.5).

Abbildung 12.5:  Erstellen eines neuen Gruppenrichtlinienobjekts

4. Es erscheint ein leeres Richtlinienobjekt mit einem Bereich, in dem Sie den neuen Namen eingeben können. Geben Sie einen anschaulichen Namen ein und drücken Sie auf die Eingabetaste.

Die Richtlinie ist nun erstellt und kann bearbeitet werden, um die gewünschten Einstellungen in der Registrierung vorzunehmen. Wenn die für den Container gewünschte Gruppenrichtlinie bereits für einen anderen Container erstellt worden ist, kann diese Richtlinie zu diesem Container hinzugefügt werden, wobei lediglich der Standort geändert werden muss. Gehen Sie dabei wie folgt vor:

1. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer oder die Konsole Active Directory-Standorte und -Dienste und klicken Sie mit der rechten Maustaste auf den Standort oder das Containerobjekt, in dem das Gruppenrichtlinienobjekt erstellt werden soll. 2. Wählen Sie die Option Eigenschaften und klicken Sie dann auf die Schaltfläche Hinzufügen, um das in Abbildung 12.6 gezeigte Dialogfeld zu öffnen.

Abbildung 12.6:  Hinzufügen eines Gruppenrichtlinienobjekts von einem anderen Container

3. Suchen Sie in der Explorer-Schnittstelle das Gruppenrichtlinienobjekt, das Sie anwenden möchten. Klicken Sie auf die Richtlinie und dann auf OK.

Wenn eine Richtlinie zu einem Containerobjekt hinzugefügt worden ist, können Verhaltens- und Steuereinstellungen definiert werden.

Vergessen Sie nicht, dass das Gruppenrichtlinienobjekt an sämtlichen Standorten geändert wird, wenn Sie dieses an einem Standort bearbeiten. Das bedeutet jedoch nicht, dass eine Änderung in einem Gruppenrichtlinienobjekt dieselbe Änderung in allen Gruppenrichtlinienobjekten zur Folge hat. Denken Sie daran, dass ein Gruppenrichtlinienobjekt, das in mehreren unterschiedlichen Containerobjekten verwendet wird, immer noch dasselbe Gruppenrichtlinienobjekt in allen Containerobjekten ist, in denen es existiert. Das ist der Grund dafür, weshalb eine Organisationseinheit für die Gruppenrichtlinien erstellt werden soll. Mit Hilfe einer solchen Organisationseinheit haben Sie eine bessere Kontrolle über die vorgenommenen Änderungen und deren möglichen universellen Auswirkungen.

Das Bearbeiten von Gruppenrichtlinienobjekten zu verstehen, ist sehr schwierig. Die Gruppenrichtlinien tatsächlich zu bearbeiten, ist dagegen einfach. Jeder kann Farbe auf eine Leinwand auftragen. Aber nicht jeder kommt dabei zu einem Ergebnis, das andere verstehen können und das anderen gefällt.

Aber lassen Sie uns am Anfang beginnen. Zunächst einmal müssen Sie einen Pinsel suchen. Und hier finden Sie Pinsel. Gehen Sie wie folgt vor, um eine Gruppenrichtlinie zu bearbeiten:

1. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer oder die Konsole Active Directory-Standorte und -Dienste und klicken Sie mit der rechten Maustaste auf den Standort oder das Containerobjekt, in dem das Gruppenrichtlinienobjekt erstellt werden soll. 2. Wählen Sie die Option Eigenschaften. 3. Aktivieren Sie die Registerkarte Gruppenrichtlinie und klicken Sie auf die Schaltfläche Bearbeiten, um das in Abbildung 12.7 gezeigte Bearbeitungsfenster zu öffnen.

Abbildung 12.7:  Fenster zum Bearbeiten eines Gruppenrichtlinienobjekts

4. Suchen Sie in der Explorer-Schnittstelle das Gruppenrichtlinienobjekt, das Sie ändern möchten.

Hier können Sie nicht nur festlegen, wo ein Gruppenrichtlinienobjekt zu einer Gruppe hinzugefügt wird, Sie können darüber hinaus auch einen Filter definieren, mit dem festgelegt wird, wie ein Benutzer bzw. eine Gruppe die Richtlinie nutzt. Gruppenrichtlinien werden so gefiltert, wie einer Datei Sicherheitsrechte zugewiesen werden. Für Benutzergruppen oder auch für einzelne Benutzer kann eine Richtlinie so geändert werden, dass diese in Bezug auf die durch die Richtlinie definierten Einstellungen anders behandelt werden.

Einige Benutzer oder Gruppen sind vielleicht in einem Container am besten aufgehoben, eignen sich aber für eine der Gruppenrichtlinien dieses Containers nicht. In diesem Fall ist es sinnvoll, diese Gruppe aus dem Bereich derer herauszufiltern, auf die sich diese Richtlinie auswirkt. Das ist genau so, wie es sinnvoll sein kann, einen Benutzer einer Gruppe zuzuordnen, ihm aber die Berechtigung für einen bestimmten Ordner oder Drucker zu verweigern.

Und so filtern Sie ein Gruppenrichtlinienobjekt:

1. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer oder die Konsole Active Directory-Standorte und -Dienste. 2. Klicken Sie mit der rechten Maustaste auf das Containerobjekt, das das zu bearbeitende Gruppenrichtlinienobjekt enthält, und wählen Sie die Option Eigenschaften. 3. Aktivieren Sie die Registerkarte Gruppenrichtlinie. 4. Wählen Sie das Gruppenrichtlinienobjekt aus und klicken Sie auf die Schaltfläche Eigenschaften. Aktivieren Sie die Registerkarte Sicherheitseinstellungen (siehe Abbildung 12.8). 5. Klicken Sie auf die Schaltfläche Hinzufügen, wählen Sie die zu ändernde Gruppe bzw. den zu ändernden Benutzer und klicken Sie dann auf Hinzufügen. 6. Wiederholen Sie diese Schritte, bis alle gewünschten Benutzer und Gruppen im unteren Teil des Dialogfeldes aufgeführt sind. Klicken Sie auf OK. 7. Wählen Sie den neu hinzugefügten Namen, ändern Sie die Einstellungen im Feld Berechtigungen, sodass diese der gewünschten Kombination entsprechen (siehe Tabelle 12.1). Klicken Sie auf OK und dann auf Schliessen.

Abbildung 12.8:  Das Feld Berechtigungen für Gruppenrichtlinien

Mit den oben in Schritt 7 erwähnten Berechtigungen wird die von Ihnen implementierte Steuermöglichkeit definiert. In der folgenden Tabelle sind die Berechtigungen aufgeführt, die zugewiesen werden können:

Berechtigung Verwendung
Uneingeschränkter Zugriff Ein Benutzer mit dieser Berechtigung verfügt über den uneingeschränkten Zugriff. Das ist dasselbe, als würde man dem Benutzer alle anderen Berechtigungen erteilen.
Lesen Ausschließlich die Berechtigung zum Lesen und Verwenden des Gruppenrichtlinienobjekts zulassen oder verweigern.
Schreiben Ausschließlich die Berechtigung zum Durchführen von Änderungen an der Richtlinie zulassen oder verweigern.
Alle untergeordneten Objekte erstellen Ausschließlich die Berechtigung zum Erstellen von Objekten innerhalb der Richtlinie und zum Bearbeiten dieser Details zulassen oder verweigern.
Alle untergeordneten Objekte löschen Ausschließlich die Berechtigung zum Löschen von Objekten innerhalb der Richtlinie zulassen oder verweigern.
Gruppenrichtlinien -übernehmen Dieser Gruppe oder diesem Benutzer ausschließlich die Berechtigung zum Verwenden dieser Richtlinie zulassen oder verweigern. Wenn die Gruppe bzw. der Benutzer kein Mitglied des Containers des Gruppenrichtlinienobjekts ist, wird die Berechtigung automatisch verweigert.

Tabelle 12.1:   Berechtigungen für Gruppenrichtlinienobjekte

12.3.2 Ändern der Richtlinie

Eine bestimmte Einstellung zu ändern ist der Teil des Verfahrens, der weitaus komplexer ist. Jede Einstellung sieht anders aus. Einige Einstellungen werden einfach aktiviert bzw. deaktiviert, andere wiederum sind sehr komplex und bieten die Möglichkeit, benutzerdefinierte Attribute des Betriebssystems und der Benutzersteuerung festzulegen. Das Betriebssystem ist zwar in keiner Weise »offen«, dennoch können Unternehmen aufgrund dieser Steuermöglichkeiten benutzerdefinierten Einstellungen und Verhalten Grenzen setzen.

12.3.3 Gruppenrichtlinien-Administratoren

Ebenso wie bei jedem anderen Bereich von Active Directory können neben den Administratoren auch andere Benutzer und Gruppen Gruppenrichtlinien verwalten und sogar erstellen. Die Steuerungsmöglichkeiten bei Gruppenrichtlinien reichen vom Erstellen und Zuweisen von Richtlinien bis einfach nur zum Lesen der Richtlinien.

Die Zuweisung dieser Richtlinien erfolgt innerhalb der Eigenschaften des Containers selbst oder über die Registerkarte Sicherheit der Gruppenrichtlinie. Je nach Vorgehensweise gibt es mehrere unterschiedliche Möglichkeiten, Berechtigungen zuzuweisen.

Wenn das gewünschte Ergebnis darin bestehen soll, dass der Benutzer nur bereits vorhandene Gruppenrichtlinien bearbeiten können soll, lassen sich diese Berechtigungen am einfachsten definieren, indem Sie den Benutzer zu einem Mitglied einer Gruppe machen, der mit Hilfe des Assistenten zum Zuweisen der Objektverwaltung die Verwaltung der Gruppenrichtlinien übertragen worden ist. Mit Hilfe dieses Assistenten kann die Verwaltung vieler Bereiche eines Containerobjekts übertragen werden. Im folgenden Beispiel wird die Verwaltung der Gruppenrichtlinie übertragen. Gehen Sie dabei wie folgt vor:

1. Klicken Sie im Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf die Organisationseinheit, die Sie verwalten möchten, und wählen Sie dann die Option Objektverwaltung zuweisen. 2. Klicken Sie im Assistenten zum Zuweisen der Objektverwaltung auf Weiter, um zur nächsten Seite zu gelangen. 3. Sie werden aufgefordert, die Namen der Benutzer und Gruppen anzugeben, denen Sie die Aufgabe der Objektverwaltung zuweisen möchten. 4. Wählen Sie eine zuvor definierte Gruppe bzw. einen zuvor definierten Benutzer aus und klicken Sie dann auf Weiter. 5. Wählen Sie aus der Liste der vordefinierten Aufgaben die Option Verwaltet Gruppenrichtlinien-Verknüpfungen und klicken Sie dann auf Weiter. Klicken Sie auf Fertig stellen.

Wenn das gewünschte Ergebnis darin bestehen soll, dass der Benutzer bzw. die Gruppe Gruppenrichtlinienobjekte erstellen und verwalten können soll, gibt es mehrere Möglichkeiten, zu diesem Ziel zu gelangen. Eine Möglichkeit besteht darin, den Benutzer bzw. die Gruppe zu einem Mitglied der Gruppe Ersteller-Besitzer der Gruppenrichtlinie für diese Domäne zu machen. Das ist allerdings die Holzhammermethode.

Wenn Sie Rechte im Einzelnen zuweisen möchten, können Sie dies über das Dialogfeld Eigenschaften des Richtlinienobjekts (siehe Abbildung 12.8) tun. Wenn Sie auf die Schaltfläche Hinzufügen klicken und eine Gruppe auswählen, können Sie einzelne Eigenschaften für die Richtlinie hinzufügen (siehe Tabelle 12.1 und die Anweisungen für das Hinzufügen von Berechtigungen).

Wenn Sie für die Gruppenrichtlinie einzelne Berechtigungen definieren, haben Sie die beste Kontrolle darüber, wer das Recht hat, Objekte in der Gruppenrichtlinie zu erstellen und zu verwalten. Dies führt jedoch auch zu einem weniger gut vorhersehbaren Ergebnis. Seien Sie vorsichtig, wenn Sie beispielsweise einen Administrator hinzufügen möchten, der Gruppenrichtlinien nur prüfen können soll. Eine Gruppe, die nur über die Berechtigung Lesen verfügt, kann nicht einmal das Gruppenrichtlinien-Snap-In öffnen.

12.4 Windows Installer

Windows Installer ist eine Funktion zum Installieren und Deinstallieren von Anwendungen, mit deren Hilfe Sie für eine konsistente Anwendungslandschaft innerhalb der Domäne sorgen können. Das Konzept, das sich hinter Windows Installer verbirgt, gibt es als Teil unterschiedlicher Software-Produkte außerhalb des Betriebssystems Windows schon seit einiger Zeit. Mit Hilfe von Produkten wie Microsoft Systems Management Server (SMS) kann Software bereits seit einigen Jahren installiert werden. Bei Windows 2000 ist diese Funktion nun im Betriebssystem integriert.

Die Idee dabei ist die, dass Paketdateien (.msi) verwendet werden, die dem System mitteilen, welche Software-Komponenten auf dem System installiert sein sollten. Sie können dann je nach Bedarf einzelne Pakete hinzufügen oder entfernen, indem Sie diese Pakete miteinander vergleichen. Das ist nur möglich, weil das Betriebssystem von einer Registrierung verwaltet wird, in der jede Änderung an einer Anwendung oder am Betriebssystem aufgezeichnet wird. Dadurch, dass diese Änderungen aufgezeichnet werden, kann ein Programm die für die Verwaltung von Anwendungen erforderlichen Änderungen suchen.

Das Basissystem wird dadurch erweitert, dass Windows Installer das Verwaltungssystem für das Hinzufügen, Entfernen und Ändern dieser Anwendungen steuert. Die Anwendungen können sich an unterschiedlichen Speicherorten befinden und ihnen können unterschiedliche Richtlinien zugewiesen werden, um ein robustes und fehlertolerantes System einzurichten.

Für dieses Programm gibt es viele Anwendungen, die einem vielleicht nicht sofort in den Sinn kommen. Im Folgenden finden Sie einige sehr nützliche Anwendungsmöglichkeiten:

  • Wiederherstellen einer defekten Anwendung in einem System bzw. das vollständige Wiederherstellen sämtlicher Anwendungen in einem System
  • Aktualisieren von Anwendungen und Anwendungs-Suiten auf neue Versionen
  • Verhindern, dass Benutzer Parameter einer Anwendung so ändern, dass sie ihr System nicht mehr nutzen können
  • Installieren neuer Arbeitsplatzrechner durch einfaches Anmelden an der Domäne
  • Zuverlässiges Entfernen von Anwendungen, die aus der Liste der Standards des Unternehmens entfernt worden sind
  • Striktes Einhalten von Software-Standards
  • Kontrollieren der Anzahl der Installationen einer bestimmten Anwendung aus Lizenzberechtigungsgründen

Windows Installer ist eigentlich eine Kombination aus Winstall, dem MSIEXEC-Programm für die Verwendung von Paketen auf Seiten des Client, und dem Installationsmechanismus Active Directory.

12.4.1 WinInstaller

Der erste Schritt bei der Verteilung von Software besteht darin, die zu installierenden Anwendungspakete (.msi-Dateien) zu erstellen. Das Erstellen eines Pakets erscheint sehr arbeitsintensiv, wenn es richtig gemacht wird, aber es ist der Mühe wert.

Das größte Problem dürfte wohl sein, dass die Pakete auf einem Rechner erstellt werden sollten, der zumindest vorübergehend nur für das Erstellen dieser Pakete genutzt werden kann. Der Grund dafür ist der, dass die Pakete an viele unterschiedliche Rechner gesendet werden und sich auf diesen Rechnern unterschiedliche Anwendungen befinden. Es ist daher am besten, wenn der Rechner, auf dem die Pakete erstellt werden, keine verwirrenden Informationen enthält, die auf diesen Rechnern hinzugefügt würden.

Am besten verwenden Sie einen so genannten »sauberen Rechner«. Das ist ein Rechner, auf dem sich nur die Elemente befinden, die für die Installation und Ausführung der Anwendung erforderlich sind:

  • das Betriebssystem Windows (2000, NT, 95/98 oder 3.x)
  • die Treiber, die für die von der Anwendung in Anspruch genommene Hardware unbedingt erforderlich sind

Auf dem Rechner sollte nach Möglichkeit die Anwendung installiert sein, damit dieser nach jeder Erstellung eines neuen Pakets wieder seinen anfänglich sauberen Zustand einnehmen kann. Das Ganze kann man sich wie eine Whiteboard-Tafel vorstellen, die immer wieder neu beschrieben werden kann. Wenn permanente Änderungen auf diesem Rechner gespeichert werden, können diese Änderungen in den Paketen erscheinen, die bei anderen Benutzern installiert werden. Laufwerkzuweisungen, Druckereinstellungen und andere Software-Einstellungen können Auswirkungen auf das Paket haben.

Das Ganze wird wesentlich einfacher, wenn Sie mit einem Programm zum Duplizieren von Festplatten wie z.B. Norton Ghost arbeiten. Wenn Sie ein Abbild des Rechners im sauberen Zustand erstellen und auf einer CD-ROM speichern, können Sie den Rechner unmittelbar nach dem Erstellen eines Pakets wieder in seinen ursprünglichen Zustand zurückversetzen. Andernfalls müssen Sie nach dem Erstellen eines Pakets das Betriebssystem, die Treiber und sämtliche Patches neu installieren, was sehr viel Zeit in Anspruch nimmt.

Wenn der saubere Rechner installiert und bereit ist, müssen als Nächstes »Vorher«- und »Nachher«-Snapshots erstellt werden. Snapshots werden in erster Linie deshalb vor und nach der Installation erstellt, weil das Betriebssystem eines Zielrechners entsprechend der Änderungen, die beim Vergleich der beiden Snapshots miteinander festgestellt werden, geändert wird.

Damit Ihr Rechner diese Snapshots erstellen kann, müssen Sie zunächst die Anwendung Veritas WinInstaller installieren. Die Installation dieser Anwendung ist sehr einfach. Eine eingeschränkte Version dieser Anwendung befindet sich auf der CD von Windows 2000 Server. Sie finden diese im Ordner VALUEADD\3RDPARTY\MGMT\WINSTLE. Um diese Anwendung zu installieren, doppelklicken Sie einfach auf die Datei SWIADMLE.MSI. Da es sich hierbei ebenfalls um ein WinInstaller-Paket handelt, haben Sie damit bereits Ihre erste WinInstaller-Installation ausgeführt.

Um einen »Vorher«-Snapshot zu erstellen, gehen Sie wie folgt vor:

1. Öffnen Sie das Startmenü von Windows 2000 und wählen Sie im Menü Programme/VERITAS Software den Eintrag VERITAS Discover, um das gleichnamige Programm zu starten (siehe Abbildung 12.9).

Abbildung 12.9:  Das Dialogfeld von WinINSTALL Discover

Weisen Sie der WinINSTALL-Freigabe kein Laufwerk zu, um die Installation auszuführen. Diese Zuordnung kann als Teil des erstellten Pakets erscheinen oder einen Fehler im Paket verursachen.
2. Klicken Sie im Übersichtsfenster auf die Schaltfläche Next. 3. Geben Sie den Namen der Anwendung so ein, wie er erscheinen soll. Diese Eingabe wird als Anwendungspaketname bezeichnet. Erstellen Sie einen aussagekräftigen Namen mit bis zu maximal 40 Zeichen. 4. Geben Sie den Namen der Windows Installer-Datei (ohne Erweiterung) ein, in der die Informationen über die Installation gespeichert werden sollen. Die Datei wird dort gespeichert, wo Sie die Datei in der Baumstruktur speichern möchten. 5. Geben Sie an, ob die Anwendung für Windows 2000, Windows 3.x, Windows 95 oder Windows NT ausgeführt werden soll. 6. Klicken Sie auf die Schaltfläche Next, um das nächste Dialogfeld aufzurufen. 7. Klicken Sie in der daraufhin erscheinenden Dropdown-Liste auf das Laufwerk, in dem Discover seine temporären Arbeitsdateien speichern soll. Der Discover-Vorgang, bei dem Änderungen am System entdeckt (engl. discover) werden, wird wesentlich schneller ausgeführt, wenn Sie ein lokales Laufwerk wählen. Dieses Laufwerk sollte über mindestens 250 Mbyte freien Speicherplatz verfügen. Discover speichert die Dateien in einem temporären Arbeitsverzeichnis (\\DISCOVER.wrk) und löscht diese, nachdem der Vorgang abgeschlossen ist. 8. Klicken Sie auf die Schaltfläche Next, um das nächste Dialogfeld aufzurufen. 9. Wählen Sie mindestens ein Laufwerk aus der Liste Available Drives. Dabei ist es wichtig, dass Sie nur das Laufwerk bzw. die Laufwerke auswählen, auf denen tatsächliche Anwendungsdateien installiert werden sollen. 10. Das Windows-Verzeichnis wird automatisch nach Änderungen in den Dateien Win.ini und System.ini durchsucht, auch wenn diese sich nicht auf dem ausgewählten Laufwerk befinden. 11. Klicken Sie auf die Schaltfläche Add oder auf die Schaltfläche Add all. 12. Klicken Sie auf die Schaltfläche Next, um das nächste Dialogfeld aufzurufen. 13. Klicken Sie auf die Schaltfläche Files & Wildcard Entries, wenn Sie Dateien oder Dateigruppen ausschließen möchten. Sämtliche hier ausgewählten Dateien erscheinen in der Liste Directories & Files to Exclude.

Die Anwendung WinINSTALL Discover verwendet Ausnahmedateien, mit deren Hilfe festgelegt wird, welche Bereiche der Systemkonfiguration von einer Überprüfung ausgeschlossen werden sollen. Diese Ausnahmedateien beruhen auf Standardausnahmedateien, die im Verzeichnis WinINSTALL Administration Program gespeichert werden. Die 32-Bit-Standard- Ausnahmedatei der Registrierung ist die Datei Reg.xcp. Der Name der 16-Bit-Datei lautet Reg16.xcp. Die Standardausnahmedatei heißt Files.xcp. Die Arbeitsausnahmedateien Reg.xcp bzw. Reg16.xcp und xFiles.xcp (wobei x der Name der einzelnen Ausnahmelaufwerke des Dateisystems ist) werden während des Discover-Vorgangs erstellt und im Arbeitsverzeichnis von Discover gespeichert.

In diesem Fenster können Sie Verzeichnisse und/oder Dateien auf beliebigen Laufwerken ausschließen. Wenn Sie die Überprüfung auf diese Art und Weise einschränken, wird die Verarbeitungszeit deutlich reduziert. Es ist sehr zu empfehlen, dass Sie die Standardausschlüsse verwenden. In der Regel ermöglichen die Standardeinstellungen die zuverlässigste Prüfung des Rechners. Das Windows-Verzeichnis sowie sämtliche Unterverzeichnisse dieses Verzeichnisses können nicht ausgeschlossen werden.

14. Klicken Sie auf eines oder mehrere Verzeichnisse in der Liste All Directories. 15. Klicken Sie auf die Schaltfläche Add oder auf die Schaltfläche Add all. 16. Klicken Sie auf die Schaltfläche Next.

Wenn der Discover-Vorgang abgeschlossen und die Anwendung installiert ist, müssen Sie ein »Nachher«-Snapshot erstellen. Damit kann das Programm die vorgenommenen Änderungen erkennen. Um ein »Nachher«-Snapshot zu erstellen, gehen Sie wie folgt vor:

1. Führen Sie vom Referenzrechner, von dem aus Sie das Verteilungspaket erstellen möchten, das Programm DISCOZ.EXE aus. 2. Klicken Sie auf die Schaltfläche Next. Discover erstellt den »Nachher«-Snapshot.

Wenn die Pakete erstellt sind, können Sie diese ändern. Dies geschieht über den Paket-Editor. Damit können Sie Elemente wie die INI-Dateien, die Komponenten sowie die Attribute der zu installierenden Anwendungen bearbeiten.

Dies ist jedoch nur dann zu empfehlen, wenn Sie sich mit der Anwendung und den Ergebnissen, die aus den Änderungen resultieren können, sehr gut auskennen. Am besten ist es, wenn Sie die gewünschten Änderungen am sauberen Rechner vornehmen, dort experimentieren und dann den »Nachher«-Snapshot erstellen.

Wenn der »Nachher«-Snapshot erstellt ist, kann das Paket versendet und installiert werden.

12.4.2 Verteilen der Pakete

MSI-Pakete werden in der Welt von Windows 2000 über das Active Directory verteilt. Das Verbreiten der Software ist sowohl Teil der Benutzerkonfiguration als auch der Computerkonfiguration in der Snap-In-Konsole Gruppenrichtlinie. Damit ist es möglich, Software an Standorte, Domänen und Organisationseinheiten zu verteilen.

Bevor ein Paket ausgeliefert werden kann, muss der Client-Arbeitsplatzrechner das Paket interpretieren können. Dazu muss der Arbeitsplatzrechner das Programm MSIEXEC.EXE ausführen. Dieses Programm ist eine Komponente von Windows Installer. Es verwendet eine DLL-Datei (MSI.DLL), um die Paketdateien (.msi) zu lesen und Befehlszeilenoptionen zu integrieren.

Wenn Windows Installer auf einem Rechner installiert wird, werden die Dateiverknüpfungsfunktionen des Betriebssystems geändert, damit der MSI-Dateityp erkannt werden kann. Wenn Sie auf eine Datei mit der Erweiterung MSI doppelklicken, verknüpft das Betriebssystem diese MSI-Datei mit dem Windows Installer und führt die Anwendung MSICXEC.EXE aus. Daher können Pakete auch über Anmeldeskripten verbreitet werden.

Pakete werden mit Hilfe des Active Directory über das Dialogfeld Eigenschaften des Gruppenrichtlinienobjekts verteilt (siehe Abbildung 12.10). Wenn Sie das Snap-In Gruppenrichtlinien für das Gruppenrichtlinienobjekt geöffnet haben, gehen Sie wie folgt vor, um ein Software-Paket hinzuzufügen:

1. Klicken Sie je nach dem Paket, das Sie installieren möchten, entweder auf das Pluszeichen neben Computerkonfiguration oder auf das neben Benutzerkonfiguration. 2. Klicken Sie auf das Pluszeichen neben Softwareeinstellungen und dann auf Softwareinstallation. 3. Klicken Sie mit der rechten Maustaste auf Softwareinstallation und wählen Sie die Option Neu und dann die Option Paket.

Abbildung 12.10: Das Dialogfeld Öffnen des Gruppenrichtlinienobjekts

4. Suchen Sie die zuvor erstellte MSI-Datei und wählen Sie die Option Öffnen.

12.5 Remoteinstallationsdienste

Der Remoteinstallationsdienst ist ein Dienst, mit dessen Hilfe Sie das Betriebssystem auf neuen Rechnern installieren oder deinstallieren können. Diese Installation erfolgt über eine beliebige Client-Festplatte mit Zugriff auf die Domäne.

Um eine Remotestartdiskette zu erstellen, verwenden Sie die Anwendung RBFG.EXE, die mit dem Remoteinstallationsdienst installiert wird. Sie können die Startdiskette nur auf Rechnern verwenden, die über unterstützte, PCI-basierte Netzwerkadapter verfügen. Um eine Übersicht über die unterstützten Netzwerkadapter anzuzeigen, starten Sie das Programm RBFG.EXE und klicken Sie auf die Option Adapterliste. Und so gehen Sie dabei vor:

1. Klicken Sie auf Start und dann auf Ausführen. 2. Geben Sie den UNC-Pfad des Programms RBFG.EXE ein und klicken Sie auf OK. Hier ein Beispiel:
 \\Servername\RemoteInstall\Admin\I386\RBFG.exe

3. Legen Sie eine formatierte Diskette in das Laufwerk ein. Wählen Sie unter Ziellaufwerk das Ziellaufwerk aus und klicken Sie dann auf die Schaltfläche Diskette erstellen. 4. Klicken Sie auf die Schaltfläche Schliessen, wenn die Diskette erstellt ist. Nehmen Sie anschließend die Diskette aus dem Laufwerk.

Dieser Dienst wird nicht automatisch installiert. Um den Remoteinstallationsdienst zu installieren, gehen Sie wie folgt vor:

1. Öffnen Sie den Assistenten Windows 2000 Server konfigurieren (der Assistent, der zu Beginn automatisch gestartet wird). Klicken Sie auf Start, Programme, Verwaltung, Konfiguration des Servers. 2. Klicken Sie auf Erweitert und dann auf Optionale Komponenten. 3. Klicken Sie im Dialogfeld Optionale Komponenten auf Starten, um den Assistenten für Windows-Komponenten zu starten. 4. Wählen Sie aus der Liste der verfügbaren Optionen die Option Remoteinstallationsdienste und klicken Sie auf Weiter, um den Installationsvorgang zu starten.

Um diesen Vorgang manuell zu starten, gehen Sie wie folgt vor:

1. Klicken Sie auf Start und dann auf Ausführen. 2. Geben Sie RISetup ein und klicken Sie auf OK, um den Assistenten für die Konfiguration des Remoteinstallationsdienstes aufzurufen (siehe Abbildung 12.11).

Abbildung 12.11:  Der Assistent für die Remoteinstallation

3. Der Assistent zur Installation der Remoteinstallationsdienste fordert Sie auf, Folgendes anzugeben:
  • Laufwerk und Verzeichnis des Remoteinstallationsdienstes. Geben Sie das Laufwerk und das Verzeichnis ein, in dem die Remoteinstallationsdienste installiert werden sollen. Das Laufwerk sollte ein für die Remoteinstallationsdienste reservierter Server sein, der über genügend Festplattenspeicher verfügen muss, um so viele Installationsabbilder unterstützen zu können, wie Sie mit diesem Server erstellen möchten. Der Server sollte mindestens über 4 Gbyte Speicherplatz verfügen.
  • Quellpfad des Arbeitsplatzrechners. Geben Sie den Speicherort für die Windows 2000 Professional-Dateien an. Das kann entweder die Windows 2000 Professional-CD oder die Netzwerkfreigabe sein, die die Installationsdateien enthält.
  • Anschauliche Beschreibung und Hilfetext. Geben Sie eine anschauliche Beschreibung für die Installation auf dem Arbeitsplatzrechner ein. Diese Beschreibung wird für die Benutzer bzw. Clients dieses Remoteinstallationsdienste-Servers angezeigt. Der Hilfetext dient als Beschreibung der Installationsoption des Betriebssystems für die Benutzer bzw. Clients dieses Remoteinstallationsdienste-Servers.

Wenn der Dienst installiert ist, muss er konfiguriert werden, um auf Client-Anforderungen reagieren zu können. Wenn Sie im Bereich Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Server klicken und dann die Option Eigenschaften wählen, sehen Sie die Registerkarte Remoteinstallation. Hier können Sie zwei Optionen ändern:

  • Client-Computern, die Dienst anfordern, antworten. Wenn Sie diese Option wählen, werden die Remoteinstallationsdienste aktiviert. Diese Dienste antworten dann Client-Computern, die diesen Dienst anfordern. Wenn Sie diese Option nicht aktivieren, werden die Remoteinstallationsdienste angehalten. Dann antworten diese Dienste Client-Computern, die diesen Dienst anfordern, nicht.
  • Unbekannten Client-Computern nicht antworten. Mit dieser Option wird festgelegt, ob der Remoteinstallationsdienste-Server unbekannten Client-Computern, die einen Remoteinstallationsdienste-Server anfordern, antwortet. Ein Client-Computer wird als bekannt betrachtet, wenn für diesen Computer im Active Directory ein Computerkontoobjekt erstellt worden ist. Sie sollten Client-Computer im Active Directory konfigurieren, bevor Sie diese Option aktivieren. Wenn Sie diese Option wählen, antwortet der Remoteinstallationsdienste-Server unbekannten Client-Computern nicht. Diese Option sorgt für zusätzliche Systemsicherheit, indem nicht autorisierter Zugriff über unbekannte Computer verhindert wird.


© Copyright Markt+Technik Verlag, ein Imprint der Pearson Education Deutschland GmbH
Elektronische Fassung des Titels: Windows 2000 Server Kompendium, ISBN: 3-8272-5611-9 Kapitel: IntelliMirror und Benutzersteuerung