Wenn Sie Windows 7 installieren und sich ein wenig »durchklicken«, werden Sie selbst viele kleinere und größere Änderungen bemerken. Immerhin hat Microsoft ja auch knapp drei Jahre seit dem Erscheinen von Vista daran gearbeitet (Volumenlizenzen von Vista gab es in Deutschland in etwa ab November 2006). Die Tatsache, dass WordPad nun auch die aus der Office-2007-Suite bekannte Ribbon-Oberfläche verwendet, gehört zu diesen vielen Änderungen im Detail.
Neben diesen eher simplen Neuerungen sollen im Folgenden tabellarisch die Änderungen zusammenfasst werden, die im Unternehmenseinsatz relevant sind und dabei teilweise nicht so deutlich ins Auge springen.
Windows 7 für Administratoren
Ulrich B. Boddenberg
Galileo Computing
804 S., 2010, 49,90 Euro
ISBN 978-3-8362-1501-5
Die wesentlichen Neuerungen lassen sich in fünf Kategorien zusammenfassen:
-
Sicherheit
-
Mobilität
-
Management
-
Deployment
-
Suche
Lesen Sie hierzu auch die anderen Ratgeber aus der Reihe Windows 7 für Administratoren:
Sicherheit
Das Thema Sicherheit ist bei Microsoft bekanntlich sehr hoch aufgehängt. Schließlich sind die Microsoft-Produkte aufgrund der immensen Verbreitung einem weit härteren Praxistest ausgesetzt als jedes andere Software- oder Hardwareprodukt. Letztendlich führt jede Behebung eines Fehlers zu einer Verbesserung der Sicherheit, denn jeder Fehler im Code könnte (!) zu einem Sicherheitsproblem führen.
Tabelle 4.1 zeigt diverse Neuerungen im Sicherheitsumfeld. Bereits bei den ersten drei Positionen dürfte den meisten IT-Professionals in den Unternehmen ein lautes »Endlich« über die Lippen kommen: Die Verschlüsselung von Notebooks nebst mobilen Datenträgern wie USB-Sticks ist heute absolutes Pflichtprogramm. Ebenso steht eine bessere Kontrolle darüber, was auf den PCs wirklich ausgeführt wird, weit oben auf der Wunschliste.
Auf den ersten Blick nicht ganz so spektakulär ist die Möglichkeit der Windows- Firewall, gleichzeitig mit mehreren aktiven Profilen zu arbeiten - auf den ersten Blick fragen Sie sich bestimmt, wozu das nützen soll. Die Antwort ist, dass dies aufgrund von DirectAccess notwendig geworden ist, bei dem der PC in der Tat unterschiedliche aktive Verbindungen hat, nämlich eine ins Unternehmensnetz und eine ins öffentliche Internet.
Funktion |
XP SP3 |
Vista SP1 |
Windows 7 |
BitLocker (Festplattenverschlüsselung) nur in den Editionen Enterprise und Ultimate |
x |
x (verbessert) |
|
BitLocker To Go (Verschlüsselung für mobile Datenträger) nur in den Editionen Enterprise und Ultimate |
x (neu) |
||
AppLocker (Kontrolle über die ausführbaren Programme) nur in den Editionen Enterprise und Ultimate |
x (neu) |
||
Mehrere gleichzeitige Firewall-Profile |
x (neu) |
||
Garnulare Überwachung |
x |
x (verbessert) |
|
User Account Control (UAC) |
x |
x (verbessert) |
|
Unterstützung von Smart-Cards |
x |
x |
x (verbessert) |
Unterstützung für biometrische Authentifizierung |
Dritthersteller |
Dritthersteller |
x (neu) |
Mobilität
Seit Jahren geben IT-Manager bei der Frage nach den wichtigsten Aufgabenstellungen für die IT an, dass Mobilität ein Schlüsselthema ist. Kein Wunder, für immer mehr Mitarbeiter in den Unternehmen gibt es keinen festen Schreibtisch im Büro mehr, sondern sie arbeiten dort, wo sie sich gerade aufhalten. Im Homeoffice, in der Flughafen-Lounge, in der Eisenbahn, auf dem Autobahn-Rastplatz und vielleicht auch mal an einem Schreibtisch in einer Niederlassung des Unternehmens.
Es ist also zunehmend wichtig, dass die Mitarbeiter erstens jederzeit, komfortabel und sicher auf die Unternehmensdaten zugreifen können. Zweitens muss aber auch dafür Sorge getragen werden, dass die mobilen Arbeitsplätze trotzdem vernünftig verwaltet werden können und beispielsweise mit aktuellen Gruppenrichtlinien, Virenscanner- Updates, Patches und neuen Softwareversionen versorgt werden. DirectAccess ist die neue Antwort auf diese Herausforderungen, und in der Tat halte ich die Umschreibung »VPN der nächsten Generation« nicht für untertrieben. DirectAccess ist sozusagen eine »Always-connected«-Lösung für mobile Mitarbeiter.
Mit BranchCache gibt es eine weitere interessante Technologie, die nicht auf den einzelnen mobilen Mitarbeiter, sondern auf Niederlassungen zielt. Da heute die meisten Mittelständler Vertriebsniederlassungen, Fertigungsstandorte und Servicestützpunkte bundesweit, europaweit und auf der ganzen Welt unterhalten, ist die Frage nach der Performance beim Zugriff über WAN-Strecken stets aktuell. BranchCache ist, wie der Name ja bereits vermuten lässt, eine intelligente Caching-Lösung, die einmal übertragene Inhalte zwischenspeichert und dann lokal zur Verfügung stellt.
Neben den in Tabelle 4.2 genannten Themen ist für die Unterstützung des mobilen Arbeitens natürlich auch die Optimierung des Power-Managements zu erwähnen. Hier kann ich zwar nicht von größeren Revolutionen berichten, trotzdem ist auch an diesen eher unauffälligen Verbesserungen gearbeitet worden. Sicherheit und Mobilität lassen sich regelmäßig schlecht voneinander abgrenzen. Daher könnte man die Festplattenverschlüsselung im Grunde genommen auch zu den Mobilitäts-Features zählen: Kein Notebook sollte heute mehr ohne verschlüsselte Festplatten herumgetragen werden!
Funktion |
XP SP3 |
Vista SP1 |
Windows 7 |
DirectAccess (ständige Anbindung von mobilen Benutzern, »VPN der nächsten Generation«) nur in den Editionen Enterprise und Ultimate. Benötigt weiterhin einen Windows Server 2008 R2. |
x (neu) |
||
VPN Reconnect (sorgt dafür, dass VPN-Tunnel bei Verbindungsunterbrechungen nicht geschlossen werden) |
x (neu) |
||
BranchCache (Zwischenspeicherung von Inhalten, um Zugriffe über WAN-Verbindungen zu minimieren) nur in den Editionen Enterprise und Ultimate. Benötigt weiterhin einen Windows Server 2008 R2. |
x (neu) |
||
Mobile Broadband (direkte Unterstützung für UMTS-Karten) |
x (neu) |
Deployment
Bekanntlich fängt für Administratoren die Arbeit schon an, lange bevor der Benutzer seinen Windows 7-PC zum ersten Mal zu Gesicht bekommt. Wenn Sie nicht nur einige wenige PCs in einem Kleinunternehmen administrieren, sondern für mehrere Dutzend, Hundert oder gar Tausend Systeme verantwortlich sind, ist es absolut notwendig, dass das Betriebssystem einfach zu installieren ist.
Die meisten Unternehmen haben Windows NT, 2000 und XP nach der altbewährten Methode ausgerollt:
-
Master-PC-Images erstellen (für jeden Hardware-Typ und Aufgabenbereich ein Image)
-
Ghost-Image erstellen
-
Ghost-Image auf PCs aufbringen und Newsid ausführen bzw. das Image mit Sysprep vorbereiten und den Mini-Setup-Wizard durchlaufen lassen
Diese Methode würde zwar nach wie vor funktionieren, ist aber aus verschiedenen Gründen nicht mehr zeitgemäß: Dies fängt bei der Pflege des Images an, geht über das Management der Treiber und endet bei der Aktivierung. Seit Windows Vista ist es eben nicht mehr so, dass Volumenlizenzen nicht aktiviert werden müssen, wie es bei XP noch der Fall war.
Microsoft stellt das WAIK (Windows Automated Installation Kit) im Download Center zur Verfügung. In diesem finden sich neben ausführlichem Dokumentationsmaterial diverse Werkzeuge, um das Deployment des Betriebssystems zu vereinfachen und zu beschleunigen.
Eine wichtige Deployment-Komponente bringt der Windows Server 2008 mit, nämlich die Windows Deployment Services (WDS, Windows-Bereitstellungsdienste). WDS ermöglicht unter anderem das Booten aus dem Netzwerk und ist in das Deployment-Konzept bestens integriert.
Funktion |
XP SP3 |
Vista SP1 |
Windows 7 |
Deployment Image Servicing & Management (mounten und bearbeiten eines WIM-Images) |
x |
x (verbessert) |
|
Dynamic Driver Provisioning (während der Installation dynamisch Treiber hinzufügen) |
x (neu) |
||
Volumen-Aktivierung (Aktivierung der Betriebssysteme mit MAK und KMS) |
x |
x (verbessert) |
|
Multicast Multiple Stream Transfer (unterstützt die gleichzeitige Installation von vielen Systemen) |
x (neu) |
||
User State Migration Tool (hilft beim »Umziehen« eines Benutzers auf einen neuen PC) |
x |
x |
x (verbessert) |
VHD Image Management & Deployment (Installationsunterstützung für VHD-Medien, als Ergänzung zu WIM) |
x (neu) |
||
Booten von VHD-Medien |
x (neu) |
Management
Für Administratoren stellt sich natürlich die Frage, wie eine Umgebung optimal zu verwalten ist. Das wesentliche Hilfsmittel sind natürlich nach wie vor die Gruppenrichtlinien, die um diverse weitere Konfigurationsmöglichkeiten erweitert worden sind. Für die Automatisierung von Aufgaben ist nun die Windows PowerShell standardmäßig vorhanden, und wenn ein PC nicht mehr bootet, hilft das Windows Recovery Environment (Windows RE). Windows RE stellt eine weitere startbare Umgebung bereit, von der aus Reparaturmaßnahmen durchgeführt werden können.
In Unternehmen, die in mehreren Ländern tätig sind, stellt sich regelmäßig die Frage, ob Benutzer Installationen in ihren jeweiligen Landessprachen erhalten können. Dies ist zwar generell immer möglich gewesen, war aber eher umständlich - und zwar sowohl beim Deployment als auch bei der Administration und Pflege. Mit Windows 7 ist es nun sehr simpel, dem Installations-Image weitere Sprachpakete hinzuzufügen. Sofern gewünscht, können verschiedene Benutzer auf einem PC in unterschiedlichen Sprachen arbeiten.
Funktion |
XP SP3 |
Vista SP1 |
Windows 7 |
Windows PowerShell 2.0 Download |
Download |
Download |
x |
Gruppenrichtlinien-Einstellungen (Preferences) |
Download |
x |
x |
Windows Recovery Environment (booten einer weiteren Instanz, um Probleme zu beheben) |
x |
x (verbessert) |
|
Windows Troubleshooting Platform |
x (neu) |
||
Unified Tracing |
x |
x |
x (verbessert) |
Problem Steps Recorder |
x (neu) |
||
Mehrsprachigkeit nur in den Editionen Enterprise und Ultimate |
x |
x |
x (verbessert) |
Suche
Es ist eine traurige Erkenntnis, dass die meisten Unternehmen und Organisationen terabyteweise Daten horten und jedes Jahr neue Festplatten dazukaufen, die Benutzer aber effektiv auf nicht viel mehr Informationen zugreifen können. Das Problem ergibt sich primär aus zwei Gründen:
-
Das klassische Dateisystem ist als Informationsablage eindeutig nicht geeignet. Es gibt intelligentere Möglichkeiten, allen voran Microsoft SharePoint.
-
Die Benutzer können nicht oder nur sehr rudimentär suchen.
Windows 7 verfügt über einige neue Suchmöglichkeiten, wobei die bekannte Desktop-Suche nun auch »in einem Guss« Informationen einbeziehen kann, die außerhalb des lokalen PCs liegen. Das ist im Unternehmensumfeld natürlich sehr wertvoll, da die Daten ja schließlich nicht auf lokalen Festplatten liegen (bzw. liegen sollten), sondern auf unterschiedlichen Servern zu finden sind.
Funktion |
XP SP3 |
Vista SP1 |
Windows 7 |
Desktop Suche |
Download |
x |
x (verbessert) |
Bibliotheken (bessere Organisation von lokalen Dateien) |
x (neu) |
||
Search Federation |
x (neu) |
||
Enterprise Search Scopes nur in den Editionen Enterprise und Ultimate |
x (neu) |
Zusammenarbeit mit Windows Server 2008 R2
Sie werden in der Liste der Neuerungen Windows 7-Komponenten gefunden haben, die nur in Zusammenarbeit mit einem Windows Server 2008 R2 funktionieren - dies sind speziell DirectAccess und BranchCache. Andere Features, wie das Speichern von BitLocker-Schlüsseln im Active Directory, funktionieren auch mit älteren Serverversionen.
Wenn Sie diese Features nutzen möchten, sind Sie keinesfalls gezwungen, sämtliche Server in Ihrer Umgebung auf Windows Server 2008 R2 umzustellen, es betrifft jeweils nur einen bzw. wenige Server.
Um der Frage zuvorzukommen: Wenn Sie keinen einzigen Server einsetzen, auf dem Windows Server 2008 läuft, können Sie selbstverständlich erfolgreich Windows 7 einsetzen - es gibt dann eben kein DirectAccess und kein BranchCache.
Editionen und Lizenzen
Windows 7 ist, wie auch seine Vorgängerversionen, kostenpflichtig - das ist keine Überraschung.
Wenn Sie zum ersten Mal auf eine Windows 7-Preisliste schauen, werden Sie eine Vielzahl von Editionen zu unterschiedlichen Preisen finden - da ist es notwendig, einmal genauer hinzusehen.
Weiterhin möchte ich in einem der folgenden Unterabschnitte daran erinnern, dass neben der Windows 7-Lizenz auch Client-Zugriffslizenzen (CAL, Client Access License) notwendig werden.
Editionen
Von den meisten Microsoft-Produkten gibt es verschiedene Editionen, die sich im Leistungs- bzw. Feature-Umfang unterscheiden. Erwartungsgemäß ist ein weiteres wesentliches Unterscheidungsmerkmal der Preis, sodass es sich lohnt, sorgfältig zu prüfen, welcher Bedarf tatsächlich besteht.
Zu XP-Zeiten war es noch verhältnismäßig einfach, da gab es eine Edition für Unternehmen (XP Professional) und die für den engagierten Heimanwender (XP Home). Windows 7 gibt es in hingegen in sechs Editionen:
-
Starter: Diese Edition ist deutlich eingeschränkt und insbesondere für die Verwendung auf leistungsschwacher Hardware, wie beispielsweise Netbooks gedacht. Diese Version wird nur über OEMs (Gerätehersteller) erhältlich sein.
-
Home Basic: Diese Edition ist für preis-sensible Märkte gedacht, sie bietet beispielsweise keine Aero-Oberfläche und kein Media Center.
-
Home Premium: Dies ist die Edition, die sich auf den meisten Consumer-PCs finden wird. Sie beinhaltet sämtliche Multimedia-Features, ist allerdings im Unternehmensbereich nicht einsetzbar, unter anderem schon deshalb, weil kein Beitritt zu einer Domäne möglich ist.
-
Professional: Die Professional-Edition ist für die Szenarien gedacht, in denen zuvor Windows Vista Business eingesetzt wurde. Sie kann in Unternehmensnetzen genutzt werden, bietet aber keine Premium-Funktionen wie beispielsweise BitLocker, DirectAccess und BranchCache.
-
Enterprise: Die Enterprise-Edition verfügt über sämtliche Premium-Features. Diese Edition ist nur im Rahmen eines Volumenlizenzvertrags erhätlich.
-
Ultimate: Dies ist die größte Edition, alles ist drin.
In Tabelle 4.6 finden Sie einen detaillierten Vergleich der Möglichkeiten der Editionen.
Funktion |
Starter |
Home Basic |
Home Premium |
Professional |
Ultimate |
Enterprise |
HomeGroup- Unterstützung |
x |
x |
x |
x |
x |
x |
Unbegrenzt viele Anwendungen |
x |
x |
x |
x |
x |
x |
Mobilitätscenter |
x |
x |
x |
x |
x |
|
Erweiterte Netzwerkfunktionen |
x |
x |
x |
x |
x |
|
Aero Glass-Oberfläche |
x |
x |
x |
x |
||
Windows Media Center |
x |
x |
x |
x |
||
Multi-Touch |
x |
x |
x |
x |
||
Verschlüsseltes Dateisystem (EFS) |
x |
x |
x |
|||
Domänenanbindung |
x |
x |
x |
|||
Remote Desktop |
x |
x |
x |
|||
XP Mode |
x |
x |
||||
BitLocker |
x |
x |
||||
BitLocker To Go |
x |
x |
||||
AppLocker |
x |
x |
||||
DirectAccess |
x |
x |
||||
BranchCache |
x |
x |
||||
Unterstützung mehrerer Sprachen |
x |
x |
||||
Booten von virtuellem Laufwerk |
x |
x |
Wenn Sie Windows 7 für den Unternehmenseinsatz benötigen, lichtet sich der Editionsdschungel sehr schnell. Es kommen nur zwei Varianten in Frage:
Professional: Wenn jetzt und zukünftig kein Bedarf für die Premium-Features (Bit-Locker, AppLocker, DirectAccess, BranchCache und Multilanguage-Support) besteht, wählen Sie die Professional Edition.
Enterprise/Ultimate: Wenn Sie ein oder mehrere der Premium-Features nutzen möchten, wählen Sie die Ultimate- oder Enterprise-Edition.
Wenn Sie kein Volumenlizenzkunde sind, müssen Sie sich für Ultimate entscheiden.
Wenn Sie Volumenlizenzkunde sind, dürfte die Enterprise-Edition die günstigere Wahl sein.
Es zwingt Sie niemand, auf allen PCs die gleiche Edition einzusetzen. Sie können nach Bedarf die Professional- und die Enterprise/Ultimate-Edition mischen. Ob die Ersparnis dann aber die Mehraufwände beim Management aufwiegt, darf zumindest bezweifelt werden.
Zugriffslizenzen (CALs)
Wenn Sie Windows 7-Lizenzen für Ihre PCs und Notebooks erworben haben, ist das gut, aber erst ein Teil der notwendigen Lizenzen. Zugriffe auf Microsoft- Server müssen in der Regel lizenziert werden. Es handelt sich dabei um Client- Zugriffslizenzen (CAL, Client Access License).
Auf Abbildung 4.4 sehen Sie ein kleines Netz, in dem ein Domänencontroller, ein Dateiserver, ein SQL-Server und ein Exchange-Server vorhanden sind. Sie benötigen für den Windows 7-PC noch folgende CALs:
-
1 Windows-CAL: Diese berechtigt Sie generell zum Zugriff auf die im Serverbetriebssystem enthaltenen Dienste. In diesem Fall werden die Domänencontroller- und die Dateiserver-Funktionalität in Anspruch genommen, weiterhin erfolgen authentifizierte Zugriffe auf das Betriebssystem des SQL- und des Exchange-Servers.
1. 1 SQL-Server-CAL
2. 1 Exchange-CAL
Sie benötigen nur eine Windows-CAL und nicht vier Windows-CALs, weil Microsoft bei diesen CALs eine Lizenzierung pro Arbeitsplatz anbietet, d. h., Sie kaufen CALs für jeden PC und dieser kann auf beliebig viele Server im Netz zugreifen.
Eventuell verfügt Ihr Unternehmen über umfassendere Lizenzverträge, bei denen mittels einer »universalen CAL« (die dann Core CAL heißt) der Zugriff auf Betriebssysteme und Applikationsserver lizenziert wird.
Ich möchte in diesem Technik-Buch nicht weiter auf die Tücken und Optimierungsmöglichkeiten der Lizenzbeschaffung eingehen - mir ist aber wichtig, dass Sie im Hinterkopf haben, dass die Zugriffe auf Server aller Art grundsätzlich nicht durch den Erwerb des Windows 7-Betriebssystems abgedeckt sind.
Lizenzverträge
Wenn Sie den Lizenzbedarf, also die benötigte Anzahl an Lizenzen, ermittelt haben, geht es darum, die günstige Beschaffungsvariante zu finden. Verschiedene Arten von Volumen-Lizenzverträgen, beispielsweise Open, Enterprise Agreement oder Select stehen zur Auswahl. Somit gibt es bei der Lizenzierung zwei Fragestellungen:
-
Welche Lizenzen werden in welcher Stückzahl benötigt?
-
Wie beschafft man diese am besten?
Ich möchte Ihnen an dieser Stelle dringend empfehlen, das Thema sehr ernst zu nehmen. Einerseits geht es natürlich um die rechtliche Sicherheit, bei der Lizenzierung »alles richtig« zu machen.
Andererseits sind durchaus Einsparpotenziale zu finden: Etliche Kunden sind überlizenziert und/oder sind durch eine eher willkürliche Lizenzbeschaffung in einer insgesamt sehr ungünstigen Kostensituation. Ein fundiertes Software- Management nebst einer Auswahl der optimalen Vertragsformen können hier durchaus finanzielle positive Ergebnisse bringen.
Da dies in erster Linie ein Technik-Buch ist, möchte ich hier nicht weiter in die Tiefen und Untiefen der Microsoft-Lizenzmodelle einsteigen. Empfohlen sei allerdings die SAM-(Software Asset Management-)Webseite, die Microsofts Ansatz für die Lizenzverwaltung vorstellt. Dort gibt es auch Kontaktdaten von Partnern, die sich genau auf dieses Thema spezialisiert haben: http://www.microsoft.com/ germany/sam/default.mspx. (ph)