Für manchen geplagten Systemverwalter dürften die lokalen Sicherheitsfunktionen in Windows NT ein Segen sein. Systemabstürze, die Anwender unter Windows 3.1 oder Windows 95 durch geänderte Konfigurationseinstellungen oder eigenmächtige Software-Installationen herbeiführen können, lassen sich bei den Windows-NT-Clients über die Richtlinien für Benutzerrechte ausschalten. So kann der Aktionsradius der Benutzer eingeschränkt werden. Sie haben keine Möglichkeit mehr, die Registry in systemnahen Bereichen zu editieren, Treiber zu installieren oder nicht freigegebene Exe-Dateien auszuführen. Der Endanwender kann nur noch mit den Programmen arbeiten, die ihm tatsächlich zugedacht sind. Auch Schreibzugriffe auf das Windows-Systemverzeichnis sind zumindest beim Einsatz des NTFS-Dateisystems nur noch begrenzt möglich.

Die Folge ist ein geringerer Aufwand für die Systembetreuung. Allerdings bleibt ein Nachteil: Es muß mehr Zeit für die Installation von Software aufgewendet werden.

In früheren Windows-Umgebungen basiert die zentrale Softwareverteilung auf der Mitwirkung des Endanwenders oder zumindest auf seinem im Benutzerprofil definierten Rechten. Programme werden auf einem Server abgelegt und zum Download freigegeben. Das Aufspielen auf den lokalen Rechner erledigt der Anwender selbst. Bei der vom Administrator initiierten Installation über eine Autoinstall-Funktion, bei der die Applikation beim Systemstart automatisch auf den Client-PC geladen wird, muß der Anwender idealerweise selbst keine Anpassungen vornehmen. Der gesamte Einrichtungsvorgang erfolgt jedoch über sein Benutzerkonto, also auch alle Kopiervorgänge von DLLs, Installationen von Gerätetreibern oder Änderungen in der Registry.

Diese Vorgehensweise führt im Zusammenhang mit Windows-NT-Clients zu keinem zufriedenstellenden Ergebnis. Treiber werden bei aktiven lokalen Sicherheitsfunktionen nicht installiert und Registry-Einträge nur teilweise vorgenommen. Für den Administrator ist damit wieder Handarbeit angesagt, da er die fehlenden Bestandteile vor Ort oder remote auf die Workstations aufspielen muß.

In diesem Fall liegt es deshalb nahe, die Installation des fehlenden Parts über das Administratorkonto zu erledigen - in der Konsequenz allerdings nicht realisierbar: Es bleiben immer Einträge, die über das Benutzerkonto gemacht werden müssen, beispielsweise die in der Registry unter KEY-CURRENT-USER gespeicherten Informationen. Diese Einstellungen sind für jeden Anwender manuell anzupassen. Einsparungen, die durch die geringere Ausfallhäufigkeit bei den Supportkosten erzielt werden, gehen durch den höheren Installationsaufwand also schnell wieder verloren.

Distributions-Tools sind keine Hilfe

Benutzern temporär die Berechtigung zur Software-Installation zu erteilen, empfiehlt sich nicht. Zu leicht wird übersehen, die lokalen Sicherheitsfunktionen anschließend wieder zu aktivieren. Außerdem lassen sich in dem Zeitraum, in dem die Schutzmaßnahmen nicht greifen, seitens der Anwender Aktionen durchführen, die mit dem Einrichtungsvorgang nichts zu tun haben und möglicherweise Systemabstürze provozieren. Bei vielen Usern bereitet diese Methode schon allein deshalb einen hohen Verwaltungsaufwand, weil sich der Zeitpunkt, zu dem alle Installationen abgeschlossen sind, nie genau definieren läßt: Anwender sind krank, in Urlaub etc. Entsprechend großzügig muß der Zeitrahmen bemessen sein, in dem den Benutzern die vollen Rechte zugestanden werden.

Windows NT stellt derzeit noch keine Lösung bereit, mit der sich die Programme ohne Mehrarbeit für den Administrator einrichten lassen. Auch die herkömmlichen Softwaredistributions-Tools aus der Windows-Welt können dem System-Manager diesbezüglich das Leben nicht erleichtern, da sie davon ausgehen, daß der Benutzer Schreibrechte auf Systemdateien besitzt. Sollen die Lösungen ihre volle Funktionalität auch in reinen Windows-NT-Umgebungen bieten, müssen sich die Hersteller neue Ansätze überlegen.

Die bisherigen Hilfsmittel zur Softwaredistribution arbeiten in der Regel nach dem gleichen Schema: Das Setup wird nur einmal ausgeführt und anschließend durch Installationsabläufe ersetzt. Je nachdem wie flexibel die Lösung ist, lassen sich benutzerspezifische Vorgaben so weit einbauen, daß das gesamte Customizing zusammen mit der Installation in einem Schritt erledigt wird. Scripts ermöglichen dabei eine genaue Anpassung an die jeweiligen Bedürfnisse.

Soll beispielsweise allen Benutzern im Unternehmen die Textverarbeitung Word 7.0 zur Verfügung stehen, wobei einige auf ihren Aufgabenbereich zugeschnittene Vorlagen erhalten, lassen sich letztere bereits mit der Anwendung verteilen. Realisiert wird dies unter Windows NT über die Benutzer- und Gruppendefinitionen. Der Administrator faßt Benutzerkonten etwa zur Gruppe "Bestellwesen" zusammen und legt im Installationsablauf fest, daß allen Mitgliedern dieser Gruppe die firmenspezifische Vorlage "Bestellformular" aufgespielt wird.

Dieses Verfahren läßt sich auch bei Windows-NT-Clients beibehalten. Die Benutzer laden sich die Programme vom Fileserver oder erhalten sie über eine Autoinstall-Funktion zugeteilt - an ihre Bedürfnisse angepaßt. Allerdings werden eben nur die Bestandteile der Installation ausgeführt, die durch die Benutzerrechte gestattet sind. In Sachen Treiber oder Re- gistry-Einträge muß der Verwalter Nachbesserungsarbeit leisten.

Da die Einschränkungen ausschließlich die systembezogenen Aktionen einer Installation betreffen, sieht zum Beispiel die Netsupport GmbH das Problem bei einer Aufteilung des Einrichtungsvorgangs in einen benutzer- und einen systemspezifischen Teil als gelöst an. Applikationen können so mit Tools wie "Netinstall" auch auf NT-Clients automatisch verteilt werden, wobei die lokale Sicherheit gewahrt bleibt. Die Karlsruher mußten zwar etwas Programmierarbeit leisten, um mit Hilfe eines Splitting-Assistenten anwender- und systembezogene Aktionen zu separieren, doch Kern der Methode ist letztlich eine Besonderheit von Windows NT.

Durch das Dienstekonzept von Windows NT lassen sich spezielle Anwendungen, NT-Dienste, unter Verwendung eines Benutzerkontos mit Administratorrechten ausführen. Ein Installationsdienst ist damit in der Lage, einen Benutzer mit Administrationsberechtigung zu simulieren und quasi stellvertretend für ihn die systembezogenen Einträge (etwa in der Registry in HKEY-LOCAL- MACHINE) vorzunehmen. Die lokale Sicherheit bleibt erhalten, da der User auf den Dienst und seine Arbeitsweise keinen Einfluß hat.

Server-seitig ist bei dieser Vorgehensweise ein Service Distribution Manager vonnöten, der dafür sorgt, daß der Installationsdienst automatisch auf den Clients eingerichtet und gestartet wird. Als Zuordnungseinheit dienen die Maschinengruppen, in denen die Workstations zusammengefaßt werden. Viele Netzwerk-Management-Produkte unterstützen eine derartige Gruppierung von Rechnern, die dann von den Application-Management-Lösungen übernommen und als Task abgearbeitet werden.

Durch die Integration in das Dienstekonzept wird der Einrichtungsvorgang in einen Benutzer- und einen Administratorpart aufgeteilt. Einen solchen Dienst einzurichten macht nicht nur was die Distribution neuer Software angeht Sinn, wenngleich dies derzeit die einzige Methode darstellt, bei aktivierten Sicherheitsfunktionen eine automatische Anwendungsverteilung durchzuführen.

In Verbindung mit der in Windows NT gebotenen Möglichkeit, Benutzerprofile zentral auf einem Server anzulegen, stellt dieses Konzept die ideale Basis für Software on demand dar, wobei damit nicht nur neu aufzuspielende Software, sondern auch bereits installierte Programme gemeint sind. Dem Anwender steht auf jedem NT-Client im Netz sein üblicher Arbeitsplatz zur Verfügung. Dieses auch mit dem Begriff Travelling User umschriebene Konzept zählt zu den neuen Herausforderungen im Application Management unter Windows NT.

Gewohnte Umgebung an jedem Netz-PC

In den Benutzerprofilen ist die gesamte Struktur der Arbeitsoberfläche gespeichert, unter anderem die Programmgruppen und das Erscheinungsbild des Desktops. Bevor Microsoft die Server-basierten Anwenderprofile als Option eingeführt hatte, waren die Benutzereinstellungen lokal gespeichert. Wollte ein User auf einem anderen System arbeiten, fand er dort die Einstellungen des zuvor angemeldeten Benutzers. Die Server-basierten Profile sind dagegen zentral abgelegt und werden beim Login auf die Workstation geladen. So steht jedem Anwender auf jedem PC sein persönlicher Desktop zur Verfügung.

Damit die Programme auch fehlerfrei arbeiten, ist ein Abgleich des Systems mit der gewünschten Desktop-Umgebung erforderlich. Sonst ist es möglich, daß existierende Verknüpfungen auf lokal installierte Programme ins Leere gehen. Es gibt auch die Möglichkeit, fehlende Installationsvorgänge automatisch durchzuführen und dem Anwender die gesamte Arbeitsumgebung auf den Client zu laden, womit sich allerdings die Netzlast erhöht. Wird statt dessen erst beim Programmstart geprüft, ob die für das zu startende Programm notwendigen Installationsvorgänge ausgeführt sind, hält sich der Datentransfer auch bei vielen Anwendern mit wechselnden Arbeitsstellen in Grenzen. Wie bei der Neuinstallation übernimmt hier ein NT-Dienst den Administratorpart einer Installation. Die User können ihre Anwendungen an jeder Stelle im Netz benutzen. Die Systeme bleiben durch die eingeschränkten Rechte vor fehlerhaften Konfigurationsveränderungen geschützt.

Angeklickt

Durch die lokalen Sicherheitsfunktionen in Windows NT erhöht sich der Aufwand für das System-Management, wenn es um die Verteilung von Software geht. Die eingeschränkten Benutzerrechte machen die manuelle Nachbesserung vor Ort oder remote durch den Administrator erforderlich. Windows NT bietet jedoch die Möglichkeit, einen Dienst einzurichten, der dieses stellvertretend für ihn übernimmt.

*Stefanie Schneider ist freie Fachjournalistin in München