TechNet Magazine > Home > Alle Ausgaben > 2009 > TechNet Magazine Oktober 2009 >  Die 10 Dinge, die Sie zuerst für Windows 7 tun ...
Windows 7
Die 10 Dinge, die Sie zuerst für Windows 7 tun müssen
Bill Boswell
 
Kurz zusammengefasst:
  • Kennenlernen von Windows 7
  • Wissenswertes über die neuesten Volumenaktivierungsanforderungen
  • Entwickeln einer Roadmap
  • Umgang mit neuen Features für verteilte Sicherheit
  • Virtualisieren von Desktops und Infrastrukturen
  • Entfernen lokaler Administratorrechte der Benutzer

Wenn Sie die Liste der neuen Features und Verbesserungen in Windows 7 durchgehen (siehe die Featuregegenüberstellung unter tinyurl.com/win7featuregrid), werden Sie sich bestimmt fragen, wie Sie sich mit der ganzen neuen Technologie vertraut machen sollen, damit Sie sie Ihren Nutzern ohne zu große Unterbrechungen bereitstellen können.
Im Folgenden finden Sie 10 Schritte, die Ihnen helfen können, dieses Ziel zu erreichen.

1. Lernen Sie Windows 7 besser kennen.
Der erste Schritt ist persönliche Erfahrung zu sammeln. Und das bedeutet mehr als bloß im Labor herumzuwerkeln. Installieren Sie Windows 7 auf jeder Arbeitsstation in Ihrer Organisation und auf dem Computer, den Sie zu Hause für Problemanrufe per Remotezugriff verwenden. Zwingen Sie sich, Möglichkeiten zu finden, damit alles funktiniert.
Die meisten Tools zur Verwaltung von Windows-Servern über Windows 7 sind in den Windows 7 Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) enthalten, die separat heruntergeladen werden müssen. Zum Zeitpunkt der Abfassung dieses Artikels wurde das endgültige RSAT-Paket noch nicht fertiggestellt. Die Vorabversion ist erhältlich unter tinyurl.com/win7rcrsat.
Wundern Sie sich nicht, wenn Ihr Ordner Verwaltung nach der Installation des RSAT-Pakets nicht sofort aufgefüllt wird. Die RSAT-Tools werden in Form einer Windows-Featuregruppe geliefert, die erst separat mithilfe des Applets Programme und Funktionen in der Systemsteuerung aktiviert werden muss. Ein Beispiel finden Sie in Abbildung 1. Aus einem unbekannten (aber sicher stichhaltigen) Grund müssen Sie auf jedes Feature einzeln klicken, um es auszuwählen. Die übergeordneten Kontrollblöcke aktivieren nicht automatisch die dazugehörigen untergeordneten Elemente.
Abbildung 1 RSAT-Featureliste von Windows 7 (zum Vergrößern auf das Bild klicken)
Die Active Directory-RSAT-Tools funktionieren mit Windows 2003- und Windows 8-Domänencontrollern, obwohl einige Features, wie z. B. der Active Directory-Papierkorb, die Funktionsebene von Windows Server 2008 R2 erfordern.
Die Verwaltung von Exchange 2003 auf einer Windows 7-Arbeitsstation ist nicht ganz so einfach: Die Exchange System Manager (ESM)-Konsole, die mit der Installations-CD von Exchange 2003 geliefert wird, kann nicht unter Windows 7 ausgeführt werden. Es gibt eine spezielle Version von ESM, die für Vista vorgesehen ist und von tinyurl.com/esmvista heruntergeladen werden kann. Diese Konsole wird zwar problemlos unter Windows 7 ausgeführt, aber das Installationsprogramm führt eine spezielle Prüfung auf Vista (Windows-Version 6.0.0) durch, die unter Windows 7 fehlschlägt. Sie können ein kostenloses Microsoft-Tool namens Orca verwenden, um die MSI-Datei zu bearbeiten und so die Versionsprüfung zu entfernen oder zu ändern. Orca ist im Lieferumfang des Windows Installer SDK enthalten; Anweisungen zum Herunterladen finden Sie unter tinyurl.com/orcamsi. Ich denke jedoch, Sie werden es viel einfacher finden, ESM im XP-Modus zu laden. Auf dieses Thema wird zu einem späteren Zeitpunkt weiter eingegangen.

2. Lernen Sie Windows PowerShell.
Man kann mit Sicherheit sagen, dass die einzige unentbehrliche Fähigkeit, über die ein Windows-Administrator in den nächsten Jahren verfügen muss, Erfahrung mit Windows PowerShell sein wird. Sowohl bei Windows 7 als auch bei Windows Server 2008 R2 ist Windows PowerShell Version 2 fest im Betriebssystem integriert und standardmäßig aktiviert. Sie sollten die Installation von Windows PowerShell v2 auf Ihren übrigen Servern und Desktops planen, sodass Sie eine Skripttechnologie zur Verwaltung Ihres gesamten Bestands nutzen können. (Beachten Sie, dass PowerShell v2 nicht auf Exchange 2007-Servern oder -Arbeitsstationen installiert werden kann. Für diese Computer ist PowerShell v1.1 erforderlich. Aber auch v1.1 ermöglicht Ihnen den Zugriff auf ein breites Spektrum an Funktionen.)
Selbst wenn Sie ein hartnäckiger „Benutzeroberflächenadministrator“ sind, der seit dem Jahr 2000 keine Eingabeaufforderung mehr geöffnet hat, werden Sie feststellen, dass die meisten neuen GUI-Tools von Microsoft jetzt die Form von grafischen Front-Ends auf Basis von Windows PowerShell-Cmdlets annehmen. Viele dieser Tools verraten Ihnen die zugrunde liegende Befehlszeichenfolge, wenn Sie wissen, wo Sie danach suchen müssen. Dies ist eine einfache Möglichkeit, etwas über die Funktionsweise der Cmdlets zu erfahren.
Es sind viele sehr gute Windows PowerShell-Referenzwerke erhältlich, darunter das hervorragende Buch „Windows PowerShell in Action” (Manning Publications, 2007, dt. Ausgabe „Windows PowerShell im Einsatz“, Carl Hanser Verlag München, 2007) von Bruce Payette, einem Mitglied des Microsoft Windows PowerShell-Teams. Eine Neuauflage soll in Kürze erscheinen. Auf der Website des US-amerikanischen Verlags können Sie für ein paar Dollar die ersten Kapitel lesen, ein Exemplar reservieren oder ein E-Buch der ersten Auflage bestellen: manning.com/payette2. Schauen Sie sich auch „Windows PowerShell Pocket Reference“ (O'Reilly Media Inc., 2009) von Lee Holmes an, einem anderen Windows PowerShell-Teammitglied. Und besuchen Sie das Windows PowerShell-Teamblog unter blogs.msdn.com/PowerShell. Dort treffen Sie auf eines der interaktivsten Entwicklerteams des Planeten. Es lohnt sich, jedes Wort in diesem Blog zu lesen. Zweimal.
Hier sind noch weitere gute Nachrichten: Die Windows 7 RSAT-Suite enthält die gleichen Active Directory Windows PowerShell-Cmdlets, die auch mit Windows Server 2008 R2 geliefert werden. Ein Beispiel finden Sie in Abbildung 2. Die beste Quelle für weitere Informationen ist das Active Directory PowerShell-Blog unter tinyurl.com/psadblog.
Abbildung 2 ADPowerShell-Cmdlets im Einsatz (Zum Vergrößern auf das Bild klicken)
Sie können diese AD-Cmdlets verwenden, um Domänen zu verwalten, in denen Windows 2003 und Windows 2008 ausgeführt werden, aber Sie müssen erst den AD Management Gateway Service (auch bekannt als AD Web Services [Active Directory-Webdienste] oder ADWS) auf mindestens einem Domänencontroller installieren. Derzeit liegen die ADWS als Betaversion vor; diese kann von connect.microsoft.com heruntergeladen werden.
Für den ADWS-Dienst ist Windows Server 2003 SP2 (normal oder R2) oder Windows Server 2008 (einfach oder SP2) erforderlich. Sie müssen .NET Framework 3.5 SP1 (tinyurl.com/dotnet35sp1) und einen Hotfix (support.microsoft.com/kb/969429) installieren, der die Unterstützung des Webdienstflags in Netlogon ermöglicht. (Der Hotfix ist fest in Windows Server 2008 SP2 integriert.)
Wenn Sie in einer jener Organisationen arbeiten, in denen die Genehmigung von Änderungen für Domänencontroller viel Zeit und Mühe kostet, und Sie mit der Verwendung von Windows PowerShell zur Verwaltung von Active Directory beginnen möchten, solange Sie jung und vital sind, sollten Sie sich die kostenlosen Active Directory-Cmdlets von Quest unter quest.com/PowerShell ansehen.

3. Ackern Sie sich durch die Lizenzierung.
Wenn Ihre Organisation Vista nicht bereitgestellt hat, sind die möglicherweise nicht mit den neuesten Volumenaktivierungsanforderungen in Windows vertraut. Wenn Sie Administrator in einem Unternehmen mit mehr als 25 Desktop-PCs und/oder fünf Servern sind, wenn Ihre Organisation an einem Volumenlizenzprogramm wie z. B. Enterprise Agreement oder Select Agreement teilnimmt und wenn Sie Windows 7 Professional oder Ultimate erwerben (oder auf diese Versionen im Rahmen von Software Assurance aktualisieren), sollten Sie Folgendes tun: Drucken Sie einen kleinen Stapel Volume Activation-Dokumente von tinyurl.com/volact aus, gießen Sie sich ein Gläschen guten toskanischen Wein ein und beginnen Sie mit dem Studium.
Wenn Sie sich schließlich für vollkommen verwirrt erklären, laden Sie den ausgezeichneten Webcast von Produktmanager Kim Griffiths herunter, der die Feinheiten des Programms sehr gut erläutert. Den Webcast finden Sie unter tinyurl.com/volactwebcastwin7.
Kurz gesagt, um Windows 7-Desktops mithilfe von Volumenlizenzen bereitzustellen, müssen Sie wahrscheinlich einen Schlüsselverwaltungsserver (Key Management Server, KMS) installieren. Ich sage „wahrscheinlich“, da es sein kann, dass Sie in Ihrer Organisationen nicht genügend Computer besitzen, um eine KMS-Aktivierung zu unterstützen. Ein KMS beginnt erst mit der Austeilung von Aktivierungsgenehmigungen, wenn er Anforderungen von mindestens 25 Desktops und/oder fünf Servern erhält. Damit wird verhindert, dass skrupellose Händler denselben Volumenlizenzschlüssel für mehrere kleine Clients verwenden. Nach der Aktivierung muss ein Client alle sechs Monate erneut aktiviert werden. Ungeachtet dessen, was Sie eventuell anderswo gehört haben, in Windows 7 gibt es keinen Modus mit eingeschränkter Funktionalität. Wenn der Aktivierungsschlüssel abgelaufen ist, wird der Desktophintergrund einfach schwarz, und in einer Sprechblase wird darauf hingewiesen, dass das Betriebssystem nicht echt ist.
Wenn Sie nicht über die erforderliche Anzahl an Geräten für einen KMS verfügen, können Sie einen Mehrfachaktivierungsschlüssel (Multiple Activation Key, MAK) erhalten, der mit Aktivierungszuteilungen basierend auf der Anzahl der von Ihnen erworbenen Volumenlizenzen und einem Mogelfaktor, der Ihnen des Hinzufügen von Computern zwischen True Ups gestattet, bestückt ist. Da der MAK-Schlüssel von einem von Microsoft gehosteten Dienst authentifiziert wird, benötigen Sie nach der Installation des Betriebssystems einen Internetzugang.
Eine mit Windows 7 und Windows Server 2008 R2 eingeführte Änderung gestattet es, dass virtuelle Computer auf das KMS-Minimum für die Aktivierung angerechnet werden. Damit wird Ihre Gerätezahl gesteigert, wenn Sie ein kleiner Laden sind, der viele virtuelle Desktops und Server einsetzt.
Wenn Sie bereits einen KMS für Vista und Windows Server 2008 besitzen, können Sie ein Update zur Aktivierung von Windows 7- und Windows Server 2008 R2-Computer herunterladen.

4. Konzentrieren Sie sich auf Verbesserungen.
Sobald Sie mit der Systemverwaltung mithilfe von Windows 7-Tools vertraut sind und Sie die Technologie zur Aktivierung Ihrer Desktops eingerichtet haben, wird es Zeit, die Bereitstellung für Endbenutzer zu planen. Das Wichtigste an dieser Stelle – und ich weiß, dass Sie das nicht hören möchten – ist eine Besprechung abzuhalten.
Achtung … fertig. Hiergeblieben. Dies ist eine Besprechung der anderen Art. Sie werden alle Ihre IT-Cousins und Cousinen versammeln, die mit Windows 7 arbeiten. Nicht nur die Architekten. Nicht nur die Desktopbenutzer. Nicht nur das Serverteam oder die Helpdesktechniker oder die internen Entwickler oder die Projektmanager. Sie wollen Vertreter aus jedem Team. Stellen Sie sich ein ökumenisches Konzil vor. Machen Sie es zu einer ganztägigen Angelegenheit. Teilen Sie allen potenziellen Teilnehmern mit, dass nur die coolen Kids mit ins Boot dürfen, sodass sich das sicherlich niemand entgehen lassen möchte.
Tun Sie sich vor der Besprechung einen Gefallen: Bewaffnen Sie sich mit Zahlen. Denn an irgendeinem Punkt wird bestimmt jemand sagen: „Wir sollten auf jeden Fall einen Katalog mit Unternehmensanwendungen zusammenstellen, den wir für unsere Kompatibilitätstests benutzen können. Und läuft Windows 7 wirklich auf allen unseren Computern?“ Dann wird die Gruppe eine Stunde oder zwei damit verbringen zu besprechen, wie der Katalog erstellt werden soll oder warum das nicht möglich ist oder dass John aus dem Desktopteam bereits eine Tabelle mit diesen Informationen besitzt, diese aber seit einiger Zeit nicht mehr aktualisiert hat und die Computer in Europa, dem Nahen Osten und Afrika nicht enthalten sind – usw. usf.
Sie können die ganze Diskussion mit zwei kostenlosen Inventur- und Analysetools abkürzen. Zunächst wäre da das Microsoft Assessment and Planning Toolkit (MAP 4.0), das unter tinyurl.com/map40 verfügbar ist. Dieses Tool ohne Agents sammelt Statistiken von Ihren Desktops und erstellt einen Bericht darüber, welche für Windows 7 bereit sind, welche Hardwareupgrades benötigen und welche Desktops niemals bereit sein werden – ganz gleich, wie viele kosmetische Veränderungen man auch vornimmt. MAP generiert schicke Tortendiagramme für die Geschäftsleitung (siehe Abbildung 3) und jede Menge schwerverdaulicher Zahlen für die Techies (Abbildung 4).
Abbildung 3 Microsoft Assessment and Planning Toolkit 4.0 – Bewertungszusammenfassung (Klicken Sie auf das Bild, um es zu vergrößern)
Abbildung 4 Microsoft Assessment and Planning Toolkit 4.0 – Bewertungsdetails (Klicken Sie auf das Bild, um es zu vergrößern)
Wenn Sie das Tool ausführen, gehen Sie nicht zu restriktiv mit den Hardwareanforderungen um. Als ich den ersten Entwurf dieses Artikels geschrieben habe, habe ich Windows 7 und Office 2007 auf einem 1,6-GHz-Celeron-Desktop mit 512 MB RAM und zahlreichen Branchenanwendungen ausgeführt, die im Hintergrund liefen. Die Leistung war absolut annehmbar.
Laden Sie anschließend das Microsoft Application Compatibility Toolkit (ACT) 5.5 hoch, das unter tinyurl.com/appcompat55 verfügbar ist, und sammeln Sie damit Softwarestatistiken von ausgewählten Desktops. Die ACT-Bewertung streift nicht nur die Liste der installierten Software in der Registrierung, sondern sieht auch in Schlupfwinkeln und Kämmerchen für Anwendungen nach, die von allen möglichen Legacyinstallationsprogrammen abgelegt wurden. Für diese Funktion ist ein lokaler Agent erforderlich, der auf einem ACT-Verwaltungsserver bereitgestellt wird und der mehrere Tage lang regelmäßige Berichte sendet, bevor er sich selbst deinstralliert.
Wie Sie in Abbildung 5 sehen können, erledigt das ACT seine Arbeit bei der Datensammlung gründlich – sehr gründlich –, sodass Sie zu seiner Ausführung einen Server mit relativ gutem Leistungsvermögen benötigen. Sie können SQL Express verwenden, um die Daten zu speichern, es sei denn, Sie möchten Tausende Computer in die Stichprobe einbeziehen. Wenn Sie Ihre Software nach Abteilung oder funktioneller Arbeitsgruppe aufgeschlüsselt haben, können Sie aus jeder Gruppe einige repräsentative Computer als Strichprobe auswählen. Selbst bei Zehntausenden von Desktops sollten Sie in der Lage sein, zwei bis drei Prozent zu prüfen, um eine Vorstellung von der vor Ihnen liegenden Arbeit zu erhalten.
Abbildung 5 Microsoft Application Compatibility Toolkit 5.5 – Anwendungsbericht (zum Vergrößern auf das Bild klicken)
Kommen wir nun auf die große Besprechung zurück. Machen Sie es richtig. Greifen Sie tief in die Abteilungskasse und kaufen Sie genug Kekse und Brötchen, um einen mittelgroßen T-Rex abzufüttern. Suchen Sie einen Raum mit breiten Whiteboards. Wenn Sie nicht alle Mitarbeiter an einen Ort einberufen können, statten Sie den Besprechungsraum ringsum mit großen Bildschirmen aus, starten Sie Ihre Netzwerk-Meeting-Software der Wahl und stellen Sie sicher, dass überall Mikrofone und Kameras vorhanden sind.
Fragen Sie die Teilnehmer in der ersten Hälfte der Besprechung, wie sie Windows 7 nutzen, um ihre täglichen Aufgaben zu verrichten. Finden Sie heraus, wofür sie beim Lernen länger gebraucht haben. Hören Sie ihren Nörgeleien zu. Schauen Sie in jene Köpfe und suchen Sie nach einer Kombination von Features, die die Produktivität Ihrer Benutzer materiell verbessert, die Sicherheit erhöht, die Mobilität fördert und Arbeitsprozesse vereinfacht.
Verbringen Sie die zweite Hälfte des Tages mit der Skizzierung eines Bereitstellungsplans. Verschwenden Sie keine Zeit damit, potenzielle Probleme mit der Kompatibiltät, der Interoperabilität oder dem Arbeitsablauf lösen zu wollen. Jede Organisation, die seit Jahren mit XP arbeitet, hat bestimmt Verfahren entwickelt, die mit der Zeit etwas veralten. Identifizieren Sie die Probleme. Kategorisieren Sie sie. Fahren Sie fort.
Tun Sie, als ob Sie ein Geologe wären, der ein neues Ölfeld prüft. Konzentrieren Sie sich auf die Suche nach den großen Lagerstätten und beschäftigen Sie sich später mit der Förderung.
Das Ergebnis dieser Besprechung ist eine Wer-Was-Wann-Wo-Wie-Roadmap. Darin werden Fragen beantwortet, wie z. B.: Welche Features werden Sie bereitstellen? Wer wird die Vorarbeit leisten? Wie lange wird das dauern? Welche Benutzer werden am meisten betroffen sein? Wie können Sie die Mitarbeit dieser Benutzer erreichen? Wie viel wird die Bereistellung in harten und weichen Dollars kosten? Wo liegen die potenziellen Fehlerquellen? Welche Ressourcen sind für die Testung erforderlich? Und das Wichtigste: Wann kann die Arbeit beginnen? Reduzieren Sie das Projekt auf fünf Folien, verkaufen Sie es der Geschäftsleitung, und dann – ausführen, ausführen und nochmals ausführen.

5. Erweitern Sie den Bereitstellungsumfang.
Einige der besten Features von Windows 7 erfordern möglicherweise einige Änderungen an Ihrer Infrastruktur. Zum Beispiel: Ganz oben auf meiner Liste der Lieblingsfeatures steht die Kombination von Sammelsuche und Bibliotheken in der neuen Explorer-Shell. Diese arbeiten zusammen, um eine zentralisierte und flexible Ansicht von verteilten Daten zu ermöglichen.
Der Schlüssel zu einer Nutzung der Sammelsuche liegt im Finden oder Erstellen von Connectors zu webbasierten Datenrepositorys. Bei einem Connector handelt es sich um eine Reihe von Konfigurationselementen in einer OSDX-Datei. Diese Elemente verweisen auf eine Website und beschreiben die Handhabung des Inhalts. Hier folgt ein Beispiel für einen Bing-Connector:
<?xml version="1.0" encoding="UTF-8"?>
<OpenSearchDescription xmlns="http://a9.com/-/spec/opensearch/1.1/"
xmlns:ms-ose="http://schemas.microsoft.com/opensearchext/2009/">

<ShortName>Bing</ShortName>

<Description>Bing in Windows 7.</Description>

<Url type="application/rss+xml" 
template="http://api.bing.com/rss.aspx?source=web&amp;query=
{searchTerms}&amp;format=rss"/>

<Url type="text/html" template="http://www.bing.com/search?q={searchTerms}"/>

</OpenSearchDescription>
Wenn Sie mit der rechten Maustaste auf eine OSDX-Datei klicken, zeigt der Explorer im Eigenschaftsmenü eine Option zum Erstellen eines Suchconnectors an. Wenn Sie darauf klicken, wird der Connector unter Favoriten der Liste der Elemente hinzugefügt. Starten Sie eine Suche des Connectors, indem Sie ihn markieren und Begriffe in das Suchfeld oben rechts im Explorer-Fenster eingeben. Nach einigen Sekunden füllt der Explorer den Ergebnisbereich auf. Klicken Sie auf Vorschau, um den Inhalt einer ausgewählten Seite anzuzeigen. Abbildung 6 zeigt ein Beispiel dafür.
Abbildung 6 Suchconnector im Explorer (zum Vergrößern auf das Bild klicken)
Connectors lassen sich einfach erstellen. Überzeugen Sie Ihre internen Entwickler, einige für Ihre Intranetserver (Unternehmensportal, SharePoint-Farm usw.) zusammenzusetzen. Verweisen Sie sie auf die lange Liste von Beispielconnectors unter SevenForums (tinyurl.com/srchcon), einer extrem nützlichen, unabhängigen Site für alles, was mit Windows 7 zu tun hat. Verteilen Sie diese Connectors an Ihre Benutzer mithilfe Ihrer Bereitstellungstools aus dem Standardpaket. Mit ihrer Hilfe können Sie eine Standardansicht Ihrer verteilten Webdaten aufbauen.
Obwohl die Sammelsuche Websiteinhalte ausreichend gut bewältigen kann, haben Organisationen häufig zu kämpfen, wenn es um das Durchforsten von Terabytes über Terabytes von Dateien geht, die sich auf Dateiservern befinden. Das bedeutet, dass Benutzer, die lediglich eine leise Vorstellung von Laufwerkszuordnungen und Netzwerkdatenspeicher haben, u. U. Stunden damit zubringen, ihre W:- Laufwerke zu durchsuchen, um beispielsweise die von ihnen letzten Monat verfassten Berichte zu finden.
Genau hier kommen Bibliotheken ins Spiel. Bibliotheken aggregieren Dateien aus verschiedenen Quellen in durchsuchbare Objekte. Die Standardbibliotheken in Windows 7 enthalten die übliche Palette an persönlichen Datentypen und Speicherorten – Dokumente, Musik, Bilder und Videos –, und diese Liste lässt sich problemlos erweitern, um serverbasierte Repositorys miteinzubeziehen. Klicken Sie einfach mit der rechten Maustaste, wählen Sie Neue Bibliothek aus, und fügen Sie einem freigegebenen Ordner einen UNC-Pfad hinzu.
Es gibt nur einen Haken: Der Zielordner muss indiziert werden. Installieren Sie unter Windows Server 2008 und höher die Rolle „Dateidienste“. Installieren Sie dann unter Rollendienste den Windows-Suchdienst. Installieren Sie auf Windows Server 2003 SP2-Servern Windows Search 4.0, ein kostenloser Download von tinyurl.com/srch40dwnload. Allerdings können Sie aufgrund einer Einschränkung in der Suchschnittstelle auch dann keine DFS-Pfade angeben, wenn das letztendliche Ziel eines DFS-Ordners ein indizierter Dateiserver ist.
Es gibt kein Befehlszeilendienstprogramm zum Erstellen von Bibliotheken und, zum Zeitpunkt der Abfassung dieses Artikels, auch keine Windows PowerShell-Cmdlets. Das Windows 7 SDK enthält Tools zum programmatischen Arbeiten mit Bibliotheken, sodass es nicht mehr lange dauern wird, bis kleine Dienstprogramme erscheinen werden. Halten Sie nach ihnen Ausschau.
Noch ein Hinweis zur Standardaktion von Bibliotheken: Explorer zeigt Bibliotheken im Standarddateidialogfeld an, damit Benutzer die Dateien in einer Bibliothek per Drag & Drop speichern können. Wenn Sie über mehrere Links unter einer Bibliothek verfügen, muss einer davon als Standardziel konfiguriert sein.

6. Bereiten Sie sich auf verteilte Sicherheit vor.
Nehmen Sie sich während Ihrer ersten Strategiebesprechung Zeit, um zu erörtern, wie Sie die vielen verteilten Sicherheitsfeatures in Windows 7 handhaben möchten. Sie sollten in der Frühphase des Projekts eine Verfahrensweise festlegen, da diese Entscheidungen sich erheblich auf Ihre Testmatrix auswirken werden.
Erstens, überlegen Sie, ob Sie die Desktopfirewall aktivieren möchten. Als in XP SP1 erstmals betriebssystembasierte Desktopfirewalls eingeführt wurden, wurden diese von vielen Organisationen mit einer Gruppenrichtlinie deaktiviert – und das war´s. Die Firewall in Windows 7 ist viel flexibler und rechtfertigt eine nochmalige Überlegung. Sie können die Firewall ausschalten, während der Computer mit der Domäne verbunden ist, und einschalten, wenn der Computer mit einem Heim-/Arbeitsnetzwerk oder dem Internet verbunden ist. Sie können auch genaue Ausschlüsse definieren. Probieren Sie einen Mischung von Optionen mit der ersten Welle von Pilotbenutzern aus; beziehen Sie deren Feedback zusammen mit den Erfahrungen aus Ihrem Sicherheitsteam ein, um eine endgültige Entscheidung hinsichtlich der Firewalleinstellungen zu treffen. Diese sind vollständig über die Gruppenrichtlinie konfigurierbar.
Zweitens, möchten Sie AppLocker verwenden, um Anwendungen einzuschränken, die auf Ihren Desktops ausgeführt werden dürfen? AppLocker ermöglicht Ihnen die Zusammenstellung einer „weißen Liste“ genehmigter ausführbarer Dateien, die Sie einzeln nach Dateihash, in Gruppen nach Speicherort oder in Gruppen nach Herausgeber (d. h. mit dem Zertifikat des Herausgebers signiert) auswählen können. Nach der Konfiguration werden diese Regeln von den Windows 7-Clients, auf denen der Anwendungsidentitätsdienst ausgeführt wird, heruntergeladen. Von da an können nur die Anwendungen von der „weißen Liste“ ausgeführt werden. Alle anderen ausführbaren Dateien müssen am Spielfeldrand sitzen bleiben – so wie ich während meiner Sportlaufbahn auf der Highschool.
Da AppLocker-Genehmigungen über die Gruppenrichtlinie angewendet werden, können Sie die Regeln für Computer auf Basis von Organisationeinheit, Gruppenzugehörigkeit oder WMI-Filtern genau definieren.
Eine riesige Menge Anwendungen zu durchsuchen und dabei festzulegen zu versuchen, welche auf einer AppLocker-Positivliste stehen sollen, hört sich nicht nach Spaß an, doch soweit muss es nicht kommen. Die meisten Branchencomputer weisen eine feststehende und begrenzte Reihe von Anwendungen auf. Starten Sie dort. Wenn Sie die nächtliche Belegschaft davon abhalten können, Flashlaufwerke an Ihre Werkskioskcomputer anzuschließen, um Spiele zu spielen statt Widgets zu erstellen, haben Sie schon einige Betriebsprobleme gelöst. Beschäftigen Sie sich mit den Backofficecomputern später.
Und letztens, werden Sie Ihre Laptops und Flashlaufwerke mit einer Verschlüsselung schützen? Wenn Ihre leitenden Angestellten, Manager und Büroanwender mit Datenlaufwerken unterwegs sind, die mit wertvollem geistigen Eigentum angefüllt sind, dann sollte die Antwort ganz eindeutig „Ja“ lauten. BitLocker ermöglicht Ihnen die Verschlüsselung der gesamten Festplatte und sämtlicher darauf befindlicher Daten. BitLocker To Go dehnt diese Verschlüsselung auf Flashlaufwerke und andere portable Medien aus. Sie müssen diese unbedingt bereitstellen.
Ich sage ja nicht, dass Sie einfach die BitLocker-Richtlinie in den Gruppenrichtlinien verwenden, ein paar Laufwerke verschlüsseln und sich davonmachen sollen. Wie bei allen anderen verschlüsselungsbasierten Technologien müssen Sie die Optionen sorgfältig durchdenken. Lassen Sie nicht zu, dass man sich jahrelang Geschichten erzählt, wie „Weißt du noch, als sich die Geschäftsführerin eine Stunde vor der Jahreshauptversammlung von Ihrem Laptop ausgesperrt und der arme alte <fügen Sie Ihren Name hier ein> keine Vorkehrungen für einen Wiederherstellungsschlüssel getroffen hatte?“ Es wäre clever, einen Berater zu engagieren, der Erfahrung mit Laufwerksverschlüsselung auf Unternehmensebene und BitLocker-Implementierungen hat. Die Hauptsache ist: Lassen Sie sich nicht von der Komplexität abschrecken. Die Alternative ist noch abschreckender. Immerhin könnte die Geschichte, die man sich noch jahrelang erzählen wird, auch lauten „Weißt du noch, als wir eine Firma hatten, bevor das organisierte Verbrechen den Laptop der Leiterin der Finanzabteilung in die Finger bekam?“

7. Virtualisieren Sie Ihre Desktops.
Stellen Sie sich Folgendes vor: Sie haben einige Wochen oder Monate damit verbracht, Ihr standardmäßiges Windows 7-Desktopabbild zu entwerfen. Sie haben hart an der Lösung von technischen Problemen gearbeitet und Möglichkeiten gefunden, um Anwendungen und Benutzerdaten schnell zwischen den Computern hin und her zu verschieben, was die Auswirkungen der Migration verringert. (Das User State Migration Tool, Bestandteil des Automated Installation Kit, ist ein guter Ausgangspunkt für diese Art Arbeit. Eine exemplarische Vorgehensweise finden Sie unter tinyurl.com/usmtwt.) Ihre Außendiensttechniker sind geschult. Das Helpdeskteam ist mit all den Anleitungen, die Sie auf dessen SharePoint-Site bereitgestellt haben, beschwichtigt. Sie sind endlich bereit, das Rollout zu starten.
Doch halt. Anstatt das Betriebssystem direkt auf der Festplatte jedes neuen Computers zu installieren, ermöglicht es Windows 7, das Betriebssystem in einer VHD-Datei (Virtual Hard Drive, virtuelle Festplatte) auf der Festplatte zu installieren. Das Betriebssystem startet von dieser virtuellen Festplatte, die zum Laufwerk C wird, und die tatsächliche Festplatte wird als Laufwerk D angezeigt. Mit einer guten Planung könnte ein auf diese Weise installiertes Betriebssystem hoch portabel werden. Wenn John von Cincinnati nach Chicago ziehen würde, könnte der Feldtechiker in Cincinnati die VHD über das Netzwerk zu einem Feldtechniker in Chicago kopieren, der sie wiederum auf einem Computer einrichten würde, sodass John in seiner vertrauten Desktopumgebung weiterarbeiten könnte, sobald er aus seinem Umzugswagen aussteigt.
Wenn Sie denken, die Leistung dieses Provisoriums sei weniger als hervorragend, dann denken Sie noch einmal nach. Sehen Sie sich die Datenträger-E/A-Statistiken im Blog des Virtualisierungsteams unter tinyurl.com/nativevhd an.
Es sind einige Punkte zu beachten. Der erste betrifft den Ruhezustand, welcher bei Computern, die von einer VHD gestartet wurden, nicht funktioniert. Das heißt, Sie sollten den VHD-Start vielleicht nicht für Laptops benutzen. Außerdem haben Sie nicht die Möglichkeit, auf einem mit BitLocker verschlüsselten Laufwerk in die VHD hineinzubooten, was ihre Attraktivität für Laptops ebenfalls reduziert.
Es könnte sein, dass die Komplexität des Umgangs mit VHD-basierten Bereitstellungen nicht durch die Vorteile aufgewogen wird, aber Sie sollten sie wenigstens in Ihren Testplan einbeziehen. Die Schritte zur Ausführung der Taschenspielerei sind zu lang für diesen Artikel, aber an den folgenden Stellen finden Sie Anweisungen: Sie können die Methode von Max Knor verwenden, die unter tinyurl.com/win7bootvhdnativinstall beschrieben wird. Diese besteht im Wesentlichen darin, von der Windows 7 Setup-CD zu booten, zur Eingabeaufforderung zu wechseln, eine VHD-Datei zu erstellen und diese dann als Ziellaufwerk für das Installationsprogramm zu verwenden – sehr professionell. Sie können den Schritt-für-Schritt-Anweisungen auf TechNet unter tinyurl.com/win7bootvhdwt folgen, oder Sie können sich dieses TechNet-Video ansehen: tinyurl.com/win7bootvhdvid.
Wenn Sie diese Techniken beherrschen, sehen Sie sich an, was Kyle Rosenthal in seinem Blog „Vista PC Guy“ im Hinblick auf Anweisungen zur Erstellung von Abbildern mithilfe von WinPE-Tools anzubieten hat. Zum Beispiel zeigen die Schritte unter vistapcguy.net/?p=71, wie mit den WinPE-Tools ein bootfähiges Flashlaufwerk und ein Installationsabbild darauf erstellt werden. Mit diesem Tool bewaffnet können Sie rasch Ihr Standardabbild auf einem Computer installieren, ohne auch nur ein Stück flaches Plastik berühren zu müssen.

8. Evaluieren Sie Unternehmensfeatures.
VHD-Start zusammen mit BitLocker und AppLocker gehören zu einer Klasse von Features, die Windows 7 Enterprise oder Ultimate erfordern. Die Enterprise-SKU kann nur über einen Volumenlizenzvertrag erworben werden. Wenn Sie Enterprise oder Ultimate besitzen, sollten Sie eine Bereitstellung einiger zusätzlicher Features in Betracht ziehen, um die Sicherheit zu verbessern und Abläufe zu optimieren.
BranchCache ermöglicht Ihnen die Zwischenspeicherung von Dateiübertragungen entweder auf einem zentralen Server in einer Zweigniederlassung oder als Teil eines Peernetzwerks von Desktops. Wenn ein Client eine Dateiübertragung startet, überprüft das Feature erst, ob die Datei lokal zwischengespeichert ist und ob der Dateihash mit dem Hash der autorisierenden Quelle übereinstimmt. Wenn ja, kopiert es die Datei aus dem Cache. Dies beschleunigt nicht nur die Vorgänge für die Benutzer, sondern verringert auch die Netzwerklast im WAN – ein Vorteil, der sicher ein Lächeln auf die Gesichter der Netzwerkmitarbeiter zaubern wird. (Sie lächeln gelegentlich. Ich hab´s gesehen.) Ich empfehle Ihnen dringend, BranchCache in Ihren Pilottests auszuprobieren, um zu evaluieren, ob Ihre Mischung aus Anwendungen und dem damit verbundenen Dateidatenverkehr davon profitieren würde.
Anschließend könnten Sie die VHD-basierte Quasivirtualisierung, die ich im letzten Abschnitt erläutert habe, auf die nächste Ebene – echte Virtualisierung – heben, indem Sie eine Virtual Desktop Infrastructure oder VDI auf Windows Server 2008 R2-Servern bereitstellen. In einer VDI existiert jede Desktopsitzung als separater virtueller Computer und die Benutzer stellen die Verbindung über RDP her. Dieser Aufbau steht im Gegensatz zu der gängigeren Art der Veröffentlichung eines Desktops durch die Terminaldienste, wo alle Benutzer im selben Pool von Anwendungsabbildern schwimmen. Wenn sich bei den Terminaldiensten jemand einen Schnitzer leistet, leiden auch alle anderen darunter. Haben Sie „Wahnsinn ohne Handicap“ gesehen? Genug gesagt. (Zudem können Sie ungünstige Interaktionen auf einem Terminalserver vermeiden, indem Sie Ihre Anwendungen virtualisieren. Probieren Sie die App-V-Tools aus dem Microsoft Desktop Optimization Pack aus.)
Eine VDI kann etwas teuer werden. Die Kosten für die Unterstützung virtueller Benutzerdesktops mit vollem Speicher- und Netzwerkzugriff auf einem Server als Ergänzung können die Kosten der PCs übersteigen. Doch für die Notfallwiederherstellung in einer verteilten Desktopumgebung gibt es keinen besseren Schutz.
Ein weiteres Enterprise-Feature, DirectAccess, ermöglicht den Benutzern die Herstellung einer Verbindung mit dem Unternehmensnetzwerk über ein Windows Server 2008 R2-Gateway ohne Nutzung eines VPN. Eine Benutzerin kann ihr EVDO-fähiges Netbook aufklappen, während sie auf einem Flughafen sitzt, und sofort mit der Arbeit an Dokumenten beginnen, die auf Unternehmensservern gespeichert sind. Doch dieses Features Ihrem Sicherheitsteam zu verkaufen kann einige Zeit dauern. (Da haben wir jetzt eine Gruppe, die niemals lächelt.)

9. Bauen Sie kompatibilitätssichere Netze auf.
Eine Frage, die Sie in Ihrem Meeting der klugen Köpfe definitiv aufwerfen sollten, ist, ob Ihre Organisation bereit ist für die Bereitstellung von 64-Bit-Desktops. Neue Computer, die im Rahmen eines Erneuerungszyklus bereitgestellt werden, sind praktisch sicher 64-Bit-fähig. Bei den heutigen Preisen statten Sie sie wahrscheinlich mit 2 GB RAM, wahrscheinlicher noch mit 4 GB RAM aus, sofern Sie die Finanzabteilung überzeugen konnten, die geringfügig höheren Stückkosten zu genehmigen. Die Computer dürften über Doppelkern-, vielleicht sogar Vierkernprozessoren verfügen, mit ausreichend Videospeicher zur Unterstützung von Aero. Diese Computer zeigen eine sehr gute Leistung in Verbindung mit einem 64-Bit-Betriebssystem.
Selbst wenn Ihre derzeitigen Branchenanwendungen und handelsüblichen Anwendungen noch auf 32-Bit basieren, hat es Sinn, die 64-Bit-Version von Windows 7 zu installieren, und wenn sei nur, um Ihre Investitionen zukunfssicher zu machen. Es ist ganz klar, dass sich die Welt auf den 64-Bit-Standard zubewegt, und Sie sollten bereit sein, wenn die Anbieter beginnen, die Abwärtskompatibilität über Bord zu werfen.
Wenn Sie sich für die Bereistellung von 64-Bit-Desktops entscheiden, sollten Sie eine sorgfältig Prüfung auf Probleme mit Gerätetreibern, Antivirensoftwarepaketen, Verwaltungs-Agents usw. durchführen. Wenn Sie zurzeit üver 32-Bit-Druckserver verfügen, müssen Sie die Druckwarteschlangen mit 64-Bit-Treibern auffüllen. Als Alternative könnten Sie neue x64 Windows Server 2008- oder R2-Druckserver bereitstellen und beide Sätze von Treibern beim Erstellen der Warteschlangen auffüllen. Der Druckermigrations-Assistent in Windows Server 2008 R2 hilft Ihnen bei dieser Aufgabe. Der Aufwand, neue R2-Druckserver bereitzustellen, lohnt sich, da das Druckmodell verbessert wurde, um Treiber in ihrem eigenen Speicherbreich zu halten, soadass ein fehlerhafter Treiber nicht den Spooler außer Betrieb setzen kann
Das bedeutsamste potenzielle Hindernis ist die Notwendigkeit, ältere 16-Bit-Anwendungen auszuführen, die auf einem 64-Bit-Host überhaupt nicht ausgeführt werden. Ihre beste Option in diesem Fall ist die Anwendung eines Tricks, den sich Treibhausgärtner in Minnesota seit Generationen bei der Aufzucht von Tomaten zunutze machen: Sie schaffen eine Umgebung, die den Pflanzen vorgaukelt, in Dallas statt in Duluth zu sein. Also: Verwenden Sie den XP-Modus, um eine Instanz von x86 XP SP3 auf Ihrem x64 Windows 7-Desktop zu benutzen.
Anwendungen, die auf dem virtuellen Computer für den XP-Modus installiert werden, können über das Windows 7-Startmenü (Abbildung 7) genau wie bei einer systeminternen Installation gestartet werden, sodass die Benutzer nicht durch das Leben in zwei Universen verwirrt werden. (Dieser Trick stammt eigentlich von einem speziellen RAIL-Hotfix und nicht direkt vom XP-Modus, sodass Sie den gleichen Startmenütrick anwenden können, indem Sie den RAIL-Hotfix installieren und dann Virtual PC mit 32-Bit-Vista oder Windows 7, wenn Sie möchten, ausführen.
Abbildung 7 Anwendungsliste des XP-Modus im Startmenü
Standardmäßig wird der virtuelle Computer für den XP-Modus unter einem lokalen Konto im virtuellen Computer ausgeführt. Das Konto hat den Namen „Benutzer“. Sie legen während der Installation das Kennwort fest, und dieses Kennwort wird so eingerichtet, dass es nie abläuft. Alternativ können Sie auch den virtuellen Computer starten, diesen der Domäne hinzufügen und sich mit Ihren Anmeldeinformationen für die Domäne anmelden. Sie können Exchange 2003 ESM zusammen mit den älteren Verwaltungstools in den XP-Modus laden, um eine vollständig kompatible Verwaltungsumgebung zu schaffen. Und habe ich schon das nahtlose Ausschneiden und Einfügen zwischen Host und virtuellem Computer erwähnt? Reizend.
Für den XP-Modus ist eine hardwarebasierte Virtualisierung erforderlich, entweder Intel VT oder AMD-V. Steve Gibson, Präsident der in Laguna Hills, Kalifornien, ansässigen Gibson Research Corp. (berühmt für SpinRite und ShieldsUP!), bietet ein kostenloses Dienstprogramm namens SecurAble (grc.com/securable.htm) an, das Ihnen schnell mitteilt, ob ein Computer die Kriterien erfüllt. Ein Beispiel für einen SecurAble-Report finden Sie in Abbildung 8.
Abbildung 8 SecurAble-Report der Gibson Research Corp.
Wenn Sie über Hunderte oder Tausende PCs verfügen, benötigen Sie zur Handhabung dieser alternativen Umgebung ein Paket für eine zentralisierte Verwaltung. Dies ist Microsoft Enterprise Desktop Virtualization (MED-V), ein Element des Microsoft Desktop Optimization Pack. Beim Client funktioniert MED-V 2.0 ähnlich wie der XP-Modus, indem ein virtueller Computer installiert wird, der eine Virtualisierungsunterstützung durch die Hardware erfordert. Am Backend bietet MED-V verschiedene Tools zum Erstellen und Bereitstellen von Paketen auf den virtuellen Computern. Weitere Informationen finden Sie in diesem Beitrag aus dem Windows-Teamblog unter tinyurl.com/medvblog.

10. Entfernen Sie die lokalen Administratorrechte Ihrer Benutzer.
Wenn Sie Ihren Benutzern die lokalen Administratorrechte noch nicht weggenommen haben, ist es jetzt an der Zeit. Ja, einfach ist das nicht. Laptopbenutzer sind besonders schwer zu entwöhnen, weil der Helpdesk sie bei komplizierten Fixes nicht telefonisch Schritt für Schritt anleiten kann. Doch da gibt es auch noch diese „Schatten“-IT-Organisation – Abteilungsgurus und Möchtegernadministratoren, die Anwendungen finden, die bestimmte taktische Anforderungen erfüllen, dann mit ThumbDrives herumwuseln und die Anwendungen ohne Rücksicht auf Interoperabilitätstests installieren. Und ganz zu schweigen vom dem Müll, den der Durchschnittsbenutzer auf seinem Computer installiert, wenn er lokale Administratorrechte besitzt. Es ist schon erstaunlich, wie der naivste Benutzer, der noch nicht einmal ein Kennwort ohne Helpdesksupport zurücksetzen kann, eine Möglichkeit findet, komplexe mehrstufige Client-Server-Front-End-Anwendungen zu installieren, wenn dies mit Einkaufen oder Sport belohnt wird.
Auch wenn Sie all Ihre Kräfte zusammennehmen, um den meisten Benutzern lokale Administratorrechte zu verweigern – sobald Sie diese Rechte wegnehmen, fangen die Anwendungen an, nicht mehr zu funktionieren. Eine verblüffende Anzahl von Anwendungen besteht darauf, in geschützte Bereiche des Dateisystems und der Registrierung zu schreiben.
Windows 7 erleichtert die Umstellung auf Standardbenutzervorgänge. Hintergrundprozesse leiten Änderungen an geschützten Bereichen vorbei hinein in benutzergesteuerte Bereiche. Das allein sollte viele Probleme lösen, auf die Sie möglicherweise in XP bei Standardbenutzervorgängen gestoßen sind. Zudem gibt es einige einfache, aber entscheidende Verbesserungen, die Standardbenutzern helfen, wie z B. die Möglichkeit, Zeitzonen zu ändern, eine Aufgabe, für die in XP und Vista lokale Administratorrechte erforderlich waren. Dasselbe gilt für die Änderung der Bildschirmauflösung, die Ausführung von ipconfig /refresh zum Abruf einer neuen DHCP-Adresse und die Installation optionaler Updates.
Das Anwendungskompatibilitäts-Toolkit (Application Compatibility Toolkit, ACT) enthält einen Assistenten für die Standardbenutzeranalyse (Standard User Analyzer, SUA), der Ihnen bei der Überprüfung Ihrer Anwendungen behilflich ist. Die Standardbenutzeranalyse bietet eine Startplattform mit erweiterten Berechtigungen für eine Anwendung. Dann, während die Anwendung installiert und ausgeführt wird, sucht die SUA darin nach heiklen Problemen, die eine Ausführung als Standardbenutzer verhindern könnten. Danach erhalten Sie entweder eine „Gesundheitsbescheinigung“ für die Anwendung oder eine Liste mit Punkten, für die behoben werden müssen.
Wenn Sie das ACT herunterladen, können Sie ebenso den Application Verifier von  tinyurl.com/appverify herunterladen. Dieser wird vom SUA-Assistenten verwendet und ist nicht im ACT-Paket enthalten. Außerdem sollten Sie unbedingt die Dokumente für ACT 5.5 lesen. Sie sind eine wahre Fundgrube an hervorragenden Informationen zu Kompatibilitätsproblemen und Fixes. Und auch in der Ausgabe des TechNet Magazine vom Juni 2009 wurde das Thema Anwendungskompatibilität sehr ausführlich behandelt.
Doch wie steht es mit Benutzern, die unbedingt lokale Administratorrechte benötigen, wie beispielsweise Administratoren, Entwickler und Benutzer, die genug Durchsetzungsvermögen haben, um sich in die Gruppe der lokalen Administratoren zurückversetzen zu lassen? Möchten Sie wirklich, dass diese Benutzer den ganzen Tag mit erweiterten Berechtigungen herumlaufen? Ich hoffe, ich Antwortet lautet „Nein“, und deshalb sollte die viel gescholtene Benutzerkontensteuerung (User Account Control, UAC) Ihr Freund sein. Mark Russinovich hat erst kürzlich einen ausführlichen Artikel zu diesem Thema („Einblick in die Windows 7-Benutzerkontensteuerung“, TechNet Magazine, Juli 2009) veröffentlicht. Bevor Sie den neuen UAC-Schieberegler am unteren Rand verschieben, um die Benutzerkontensteuerung auf Ihrem Computer zu deaktivieren, sollten Sie online gehen und diesen Artikel lesen.

Dann seid Ihr Helden – nicht nur diesen Tag
Die Vorbereitung auf und die Bereitstellung von Windows 7 wird viel Arbeit erfordern, aber es hilft, dass die Benutzer das neue Betriebssystem wirklich wollen. Diejenigen, die es ausprobiert haben, mögen die neue Benutzeroberfläche. Ihnen gefallen die Möglichkeiten zum Anpassen und Fertigstellen, die Reaktionsfähigkeit und die neuen Features.
Die Gelegenheit, als Systemadministrator beliebt zu sein, bietet sich nicht sehr oft. Ich genieße es, solange es anhält. Das sollten Sie auch. Viel Glück bei Ihrer Windows 7-Bereitstellung: Teilen Sie mir mit, wie es ausgegangen ist.

Bill Boswell (billb@microsoft.com) ist Senior Consultant für Microsoft Consulting Services in der Niederlassung in Phoenix, Arizona. Bills derzeitiger Aufgabenbereich umfasst die Tätigkeit als ITAP-Berater (IT Architecture and Planning) für eine große Fluggesellschaft.

Page view tracker