Software-Assurance-Kunden, die Windows 7 im Unternehmen einführen und verwalten wollen, hilft Microsoft mit den Werkzeugen aus dem Microsoft Desktop Optimization Package (MDOP) 2011. Die Tools sind für die Kunden gratis und per MSDN und TechNet zugänglich.
In MDOP 2011 R2 sind neue und erweiterte Werkzeuge von Microsoft enthalten. Dabei handelt es sich um Application Virtualization (APP-V) 4.6 SP1, Asset Inventory Service (AIS), BitLocker Administration and Monitoring (MBAM), Diagnostic and Recovery Toolset (DaRT) und Enterprise Desktop Virtualization (MED-V) 2.0. Auch sind die verbesserten Verwaltungskonsolen für Gruppenrichtlinien Advanced Group Policy Management (AGPM) 4.0 und System Center Desktop Error Monitoring (SCDEM) integriert.
SCDEM soll helfen anhaltende Fehler-Lösungen für Betriebssystemabstürze und Abstürze von Applikationen auf den Arbeitsstationen zu finden. Das gleiche betrifft auch Probleme mit dem OS. Hierfür werden die Fehler der einzelnen Computer und Anwendungen an einer zentralen Stelle festgehalten. Dies ist auch dann der Fall, wenn Anwender eigenmächtig versuchen mittels Neustart die Indizien eines Fehlers zu beheben - ohne die IT-Abteilung darüber zu informieren. Teilweise beseitigt ein erneutes Aufrufen das Symptom aber der Auslöser bleibt bestehen und kann erneut Probleme bereiten. Das Tool sammelt Daten und findet Fehler auf Basis des System Center Operations Manager (SCOM) 2007 R2.
Microsoft Bitlocker Administration and Monitoring (MBAM)
Microsoft Bitlocker Administration and Monitoring (MBAM) ist vermutlich die wesentliche Innovation in MDOP 2011 R2. Hiermit administrieren Sie die mit BitLocker geschützten Computer im Netzwerk und protokollieren deren Gebrauch. The Springboard Series Blog, einem von Microsoft geführtem Blog, schildert detailliert die Funktionsweise der Berichte. Wer möchte, erhält mit einem Webcast von Microsoft einen Querschnitt vom Werkzeug.
Im Tool ist ein MBAM-Server integriert. Dieser befindet sich auf der MDOP-CD. Nachdem er installiert wurde, können Sie mit dessen Hilfe Berichte anfertigen, Daten wiederherstellen und Clients von einer Stelle administrieren. Dafür muss auf den entsprechenden Clients ein Agent laufen. Wahlweise können Sie diesen manuell, mithilfe von System Center Configuration Manager (SCCM) oder mit dem Microsoft Deployment Toolkit (MDT), direkt beim Ausrollen von Windows 7, verbinden. Das Programm wird als .msi-Datei angeboten und benötigt Windows 7.
Die Einstellungen zu den Gruppenrichtlinien für MBAM werden auf den Clients ausgeführt. IT-Administratoren haben die Möglichkeit die Einstellungen zu modifizieren oder die Codierung zu begrenzen. Zudem ist eine Webkonsole enthalten. Mit deren Hilfe ändern Nutzer ihr eigenes Passwort oder stellen den Computer wieder her, nachdem der eigene codierte Rechner den Dienst verweigert. Hierfür verwendet MBAM ein rollenbasiertes Verwaltungsmodell.
MBAM einsetzen
Um Microsoft Bitlocker Administration and Monitoring einzusetzen, installieren Sie zunächst den MBAM-Server. Dieser steht als 32-Bit und als 64-Bit-Software zur Verfügung. Die Installation ist ab Windows Server 2008 SP2 möglich. Microsoft empfiehlt, die Installation auf keinem Domänencontroller durchzuführen.
Während der Installation können Sie die Features auswählen, die Sie installieren wollen. Bestandteil des MBAM-Servers sind auch neue Vorlagen für Gruppenrichtlinien, mit denen Sie MBAM-Clients verwalten können.
Haben Sie den Server installiert, können Sie die Webkonsole aufrufen, indem Sie den Namen des Servers und den Port eingeben. Nach der Installation des MBAM-Servers müssen Sie noch die Benutzer in die entsprechenden lokalen Gruppen auf dem Server aufnehmen, um ihnen Zugriff auf das Webportal zu gewähren.
Dazu stehen auf dem Server folgende Gruppen zur Verfügung:
• MBAM System Administrators - Benutzer in dieser Gruppe haben vollständigen Zugriff auf alle Funktionen in MBAM.
• MBAM Hardware Users - Benutzer haben Zugriff auf die Hardware-Features in der Konsole.
• MBAM Helpdesk Users - Benutzer dürfen auf das Laufwerks-Repository und auf die TPM-Features zugreifen.
• MBAM Advanced Helpdesk Users - Diese Benutzer dürfen zusätzlich noch auf das KEY-ID-Feld zugreifen, um Festplatten wiederherzustellen.
• MBAM Report Users - Haben Sie die Berichtefunktion mit installiert, dürfen Mitglieder dieser Gruppe die Berichte anzeigen.
• MBAM Compliance Auditing DB Access - In dieser Gruppe befinden sich die Computerkonten, die Zugriff auf die Compliance-Auditing-Datenbank haben.
Die Gruppenrichtlinieneinstellungen von MBAM finden Sie über Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management). Damit diese auch auf den Domänencontrollern zur Verfügung stehen, installieren Sie auf diesen nur die Komponenten Policy Template von MBAM.
Diagnostic and Recovery Toolset (DaRT) 7.0
Ebenfalls neu ist die Version 7.0 der Wiederherstellungsumgebung für Windows 7. Mit dem Tool erstellen Sie eine mächtige Rettungs-CD für Windows 7, die in der neuen Version noch mehr Möglichkeiten bietet.
Dazu verwenden Sie in DaRT 7.0 nicht mehr den ERD-Commander, sondern das Tool DaRT Recovery Image Wizard. Der Vorgang bei der Erstellung einer Rettungs-CD ist aber der gleiche. Das MDOP 2011 enthält weiterhin auch die alten Version DaRT 5, 6 und 6.5.
Wie bei den Vorgängerversionen benötigen Sie auch bei DaRT 7.0 eine Windows-7-CD mit der Systemarchitektur (32-Bit oder 64-Bit), für die Sie eine Rettungs-CD erstellen wollen. Außerdem müssen Sie die CD auf einem Computer erstellen, der dem System entspricht. 32-Bit-Rettungs-CDs können Sie also nur auf Computern mit 32-Bit Windows erstellen, 64-Bit-CDs nur auf Computern mit Windows Server 2008 R2 oder Windows 7. Außerdem können Sie 32-Bit-Rettungs-CDs nur auf Computern mit 32-Bit Windows verwenden und entsprechend 64-Bit-CDs nur auf Computern mit 64-Bit-System. Im Zweifelsfall benötigen Sie also zwei verschiedene DaRT-CDs.
Die wichtigste Neuerung in der neuen Version des DarT ist die Möglichkeit, Fernwartung in der Wiederherstellungsumgebung zu aktivieren. Mit dieser Funktion können Anwender ihren PC mit der CD starten und anschließend einem Support-Mitarbeiter Zugriff gewähren, um den Rechner wiederherzustellen. Bei der Erstellung der Rettungs-CD legen Sie bereits fest, ob mit dieser CD eine solche Fernwartung möglich ist. Die neue Version des DaRT lässt sich jetzt auch besser als USB-Stick starten oder über das Netzwerk booten (PXE).
Nach dem Start des DaRT steht als letzter Menüpunkt die Option Remote Connection zur Verfügung. Starten Anwender die Verknüpfung, sehen sie die IP-Adresse des Computers, den Port, auf dem DaRT eine Verbindung erwartet, und eine Ticketnummer. Für den Verbindungsaufbau benötigen Administratoren den DaRT Remote Connection Viewer. Er gehört zum Installationsumfang des DaRT 7.0.
Hat der Administrator die Daten eingegeben, kann er per Fernwartung auf den Client-Computer zugreifen. Das funktioniert auch über eine Remote-Desktop-Verbindung auf einen Server und eine anschließende Fernwartung auf den Client. Eine Fernwartung über das Internet ist auf diesem Weg natürlich nicht möglich, da der Client nur mit internen IP-Adressen arbeitet.
Microsoft Enterprise Desktop-Virtualization (MED-V) 2.0
Seit MDOP 2011 ist auch die Version 2.0 von MED-V Bestandteil des Paketes. Mit dieser Funktion stellen Sie virtuelle Desktops für Computer im Unternehmen zur Verfügung, zum Beispiel wenn bestimmte Anwendungen spezielle Anforderungen an ein Betriebssystem haben.
Anwendungen, die in den virtuellen Desktops installiert sind, erscheinen auf dem Host-Rechner der Anwender im Startmenü wie alle anderen Anwendungen auch. Unternehmen, die auf zahlreichen Windows-7-Rechnern den Windows-XP-Modus betreiben, sollten sich diese zentral administrierbare Virtualisierung von Desktops ansehen. MED-V lässt sich in System Center Configuration Manager integrieren.
Das heißt, Unternehmen, die auf SCCM setzen, müssen keine eigene Infrastruktur für MED-V installieren, sondern können die virtuellen Computer direkt integrieren. Veröffentlichen Administratoren Anwendungen mit MED-V 2.0, sind diese nach der Installation des Agenten auf den Windows7-Rechnern sofort verfügbar. Auch die Umleitung von Ordnern vom Gastsystem auf den Host der Anwender ist möglich. Kennwörter lassen sich speichern und USB-Geräte, sowie Smartcards zwischen Host und Gast umleiten.
Um virtuelle Arbeitsstationen zu erstellen, installieren Sie den Microsoft Enterprise Desktop Virtualization Workspace Packager. Mit diesem erstellen Sie einen virtuellen Computer auf Basis eines Assistenten.
Wie Sie genau beim Erstellen vorgehen, zeigen Webcasts und Whitepapers sowie die Hilfe des MED-V. Die Links zu den Informationen finden Sie, wenn Sie den Workspace Packager starten.
Application Virtualization (APP-V) 4.6 SP1
Ebenfalls seit MDOP 2011 dabei ist die aktuelle Version 4.6 SP1 für App-V (ehemals Softgrid). Ab Version 4.6 können Sie mit App-V auch 64-Bit-Anwendungen virtualisieren und Anwendungen in den Remote-Desktop-Diensten von Windows Server 2008 R2 zur Verfügung stellen. Generell lassen sich mit der neuen Version Anwendungen wesentlich schneller paketieren.
Dazu sind im SP1 für App-V 4.6 neue Accelerators enthalten, die komplexe Anwendungen unterstützen. Die Integration in Applocker ist mit App-V 4.6 ebenfalls möglich. Applocker ist eine Funktion in Windows 7 und Windows Server 2008 R2, die bestimmte Anwendungen auf Basis verschiedener Filter blockieren kann. Die Konfiguration von Applocker können Sie beispielsweise über Gruppenrichtlinien vornehmen.
App-V kann Applocker mitteilen, welche Anwendung gerade in der Sitzung läuft, die alte Version 4.5 von App-V konnte das nicht. Das heißt, Administratoren konnten nur die komplette Virtualisierung mit App-V auf Clients blockieren, nicht auf Basis einzelner Anwendungen filtern.
Mit App-V virtualisierte Anwendungen unterstützen mit 4.6 auch BranchCache. In Niederlassungen mit einer schmalbandigen Anbindung starten virtualisierte Anwendungen also wesentlich schneller. Die virtualisierten Anwendungen binden sich jetzt besser in die neue Taskbar von Windows 7 ein. App-V unterstützt jetzt optimal Office 2010.
Mehrere virtualisierte Anwendungen können sich seit App-V 4.6 SP1 einen gemeinsamen Speicherbereich teilen, was Speicherplatz spart. Vor allem in Umgebungen, in denen Anwendungen über Remotedesktop-Dienste zur Verfügung gestellt werden, oder in einer Virtual Desktop Infrastructure (VDI) ist der gemeinsame Cache eine positive Weiterentwicklung, vor allem weil er sich schreibgeschützt zur Verfügung stellen lässt. App 4.6 SP1 unterstützt die Sequenzierung von .NET Framework 4.0.
Asset Inventory Service (AIS) 2.0
Die finale Version von AIS 2.0 ist ebenfalls Teil des MDOP 2011 R2. Mit dem Tool können Sie Rechner im Unternehmen inventarisieren und die Daten im Internet speichern. Die Inventarisierung umfasst Hard- und Software.
Mit AIS lassen sich auch Anwendungen inventarisieren, die nicht auf dem PC installiert, sondern mit APP-V zur Verfügung gestellt werden. Die Berichte können anschließend optimal gefiltert und sortiert werden, zum Beispiel als eine Zusammenfassung der Rechner, auf denen eine bestimmte Version einer Software installiert ist. AIS bietet keine umfassenden Inventarisierungsmöglichkeiten wie System Center Configuration Manager (SCCM, ehemals SMS), sondern soll eine Basis-Inventarisierung sowie einen Überblick über die installierte Software im Unternehmen bieten. (mje)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (sjf)