Desktopabbildverwaltung: Bauen Sie sich ein besseres Desktopabbild

Das Erstellen und Warten von Unternehmensdesktopabbildern gehört zu den wichtigen IT-Aufgaben, muss aber keine unüberschaubaren Ausmaße annehmen. Hier erfahren Sie mehr über zwei Möglichkeiten, wie Sie diesen Prozess rationalisieren können.

Mitch Tulloch

Die meisten großen Unternehmen haben hunderte von Desktopabbildern, die erstellt und zur Bereitstellung verwendet werden. Es gibt zahlreiche Gründe, weshalb ein einzelnes Unternehmen solch eine Vielzahl von Bildern erstellt. Oftmals liegen die Faktoren außerhalb der Kontrolle des Einzelnen, wie Plattformänderungen und Hardwarekonfigurationen. Das Fehlen einer standardisierten Methodik zur Abbilderstellung kann ebenfalls zu einer starken Zunahme an Abbildern führen.

Und dann gibt es noch die internen Richtlinien – konkurrierende IT-Machtbereiche, die Kontrolle darüber fordern, was auf ihren Systemen bereitgestellt wird, sowie weitere Aspekte, die es zu berücksichtigen gilt, wie die spezifischen Anforderungen von Hochsicherheitsumgebungen. Egal, wie die Gründe lauten, das Warten einer enorm großen Bibliothek an Unternehmensdesktopabbildern kann schwierig, zeitaufwändig und teuer sein. Wie also können Sie dieses Problem in den Griff bekommen?

Das Ziel: ein einzelnes Abbild

Es gibt keine allgemeingültige Lösung. Dafür gibt es eine Reihe von Vor- und Nachteilen, die es zu bedenken gilt. Die gute Nachricht: neue Funktionen in Windows 7 und Erweiterungen des Microsoft Deployment Toolkit (MDT) 2010 und des System Center Configuration Managers (SCCM) 2007 R2 erleichtern die Aufgabe, diverse Windows-Abbilder zu erstellen, zu warten und bereitzustellen. Wählen Sie Ihre Strategie zur Erstellung und Wartung von Windows 7-Abbildern nach Ihren Geschäftsanforderungen, Ihrem Budget, Ihrer Hardware und dem Grad der IT-Komplexität in Ihrem Unternehmen. Außerdem sollten Sie auf häufige Fehler achten, die es zu vermeiden gilt.

Das dateibasierte Windows Imaging (WIM)-Datenträgerabbildformat – zum ersten Mal in Windows Vista vorgestellt – hat das Ziel eines einzelnen Unternehmensdesktopabbilds in greifbare Nähe gerückt. Die neue Abbildverwaltung für die Bereitstellung (Deployment Image Servicing and Management, DISM) unter Windows 7 ist ein Tool, das die Wartung von Abbildern vereinfacht, da diese jetzt offline bearbeitet werden können. Das kann den Zeitaufwand zur Aktualisierung veralteter Abbilder enorm reduzieren. Mit DISM können Sie beispielsweise Softwareupdates und -pakete schnell hinzufügen, Windows-Funktionen hinzufügen oder entfernen und INF-basierte Gerätetreiber von Drittanbietern zu einem bestehenden Abbild hinzufügen.

Während das Windows Automated Installation Kit (WAIK) für Windows 7 Tools zur manuellen Erstellung und Wartung von Abbildern umfasst, erleichtern Ihnen die neuen Funktionen und Erweiterungen des MDT 2010 Ihre Arbeit. Mit der neuen Tasksequenz Sysprep and Capture können Sie ein Abbild eines vorhandenen und vollständig benutzerdefinierten Referenzcomputers in Ihrem Netzwerk erstellen. Und dank der Unterstützung von MDT 2010 Windows PowerShell können Sie eigene Skripte schreiben, um die Erstellung und Wartung von Referenzabbildern zu automatisieren. Sie können Ihre Betriebssysteme, Treiber, Pakete und Anwendungen organisieren, indem Sie benutzerdefinierte Ordner in der Deployment Workbench-Ordnerhierarchie erstellen. Anschließend können Sie anhand von Auswahlprofilen steuern, welche Treiber und Pakete Sie in die Startabbilder einbinden und mit Ihren Tasksequenzen bereitstellen.

Diese Optimierungen beseitigen praktisch alle technischen Anforderungen zur Erstellung mehrerer Abbilder. Zusätzliche Abbilder brauchen Sie lediglich aus bestimmten Geschäftsgründen zu erstellen. Jetzt benötigen die meisten Unternehmen nur ein einzelnes Unternehmensdesktopabbild pro Architektur, das heißt ein Abbild zur Bereitstellung der x86-Edition von Windows und ein Abbild zur Bereitstellung der x64-Edition.

Das letztendliche Ziel ist ein einzelnes Abbild, das sich einfach warten lässt, auf der gesamten unternehmensunterstützten Hardware installiert werden kann, für Benutzer auf der ganzen Welt geeignet ist und ihnen den Desktop, die Anwendungen und Anpassungen bereitstellt, die sie zur Abwicklung ihrer täglichen Aufgaben benötigen. Bevor Sie aber mit Ihrem Unternehmen in dieses Utopien umziehen können, müssen Sie überlegen, ob Ihre Desktopabbilder füllig, schlank oder eine Kombination aus beidem sein sollen.

Thick Images (füllige Abbilder)

Die Verwendung von „Thick Images“ ist der umfassendste Ansatz für Desktopabbilder. Üblicherweise wird hierzu Windows auf einem Referenzcomputer installiert. Im nächsten Schritt werden alle erforderlichen Treiber, alle von den Benutzern benötigten Anwendungen und die neuesten Softwareupdates installiert und angepasst, bevor das Abbild mit Sysprep generalisiert wird. Schließlich erfassen Sie das Abbild und stellen es mithilfe von MDT, SSCM oder benutzerdefinierten Unternehmenstools auf den Computern der Benutzer bereit.

„Beim Erstellen eines Abbilds sollten Sie gründlich durchdenken, wie das Abbild schließlich bereitgestellt werden soll“, erklärt Jeff Stokes, Premier Field Engineer bei Microsoft, der an den Bereitstellungen von Windows 7 und Windows Server 2008 R2 mit MDT 2010 mitarbeitet.

Ein Problem bei fülligen Abbildern beispielsweise ist, dass sie in der Regel sehr groß sind, manchmal sogar zu groß, um auf eine einzelne DVD zu passen, falls Sie medienbasierte Bereitstellungen durchführen. Diese Abbilder können so groß sein, dass sie wertvolle Bandbreite belegen, wenn sie über das Netzwerk bereitgestellt werden. Und es kann dazu kommen, dass Benutzer plötzlich Software auf ihrem Computer haben, die sie gar nicht benötigen, was zu Verwirrungen führen kann. Nicht verwendete Anwendungen müssen außerdem auf jedem Computer, auf dem sie installiert sind, separat lizensiert werden. Das kann Ihre Kosten in die Höhe treiben. Thick Images veraltern schnell, insbesondere, wenn Sie sicherstellen wollen, dass die Abbilder stets vollständig gepatcht sind. Und: das Testen von Thick Images ist aufgrund der Komplexität zusätzlicher Komponenten zeitaufwändiger.

In jedem Fall ist die Abbildgröße meist das größte Problem bei Thick Images. „Sie können überlegen, ob Sie benutzerdefinierte WIM-Dateien mit mehreren Abbildern erstellen möchten, da dies den Speicherbedarf und die Anzahl der Tasksequenzen für die Bereitstellung enorm reduzieren kann. Weitere Informationen hierzu finden Sie in meinem Blogbeitrag”, sagt Michael Murgolo, leitender Berater bei den Microsoft Consulting Services.

Thin Images (schlanke Abbilder)

Thin Images stellen so zusagen den Mindestansatz bei der Abbilderstellung dar. Der Einfachheit halber wird alles auf ein Minimum reduziert. Ein schlankes Abbild beinhaltet möglicherweise nur Treiber, die zum Starten unerlässlich sind, ein Service Pack – falls verfügbar – und einige grundlegende Anpassungen. Sonst nichts. Das ultimative Thin Image ist die install.wim-Datei in Windows 7.

Wenn Sie schlanke Abbilder bereitstellen, stellen Sie im Grunde nur das Betriebssystem bereit. Das bedeutet, zusätzliche Komponenten, wie Softwareupdates und Anwendungen, müssen separat außerhalb des Betriebssystemabbilds bereitgestellt werden. Das wiederum bedeutet, es muss eine zusätzliche Infrastruktur geschaffen werden.

Sie können beispielsweise Softwareupdates mit Windows Software Update Services (WSUS) und Anwendungen mit der Gruppenrichtlinien-Softwareinstallation (Group Policy Software Installation, GPSI) bereitstellen. In größeren Umgebungen sollten Sie zum Packen und Verteilen von Anwendungen und Softwareupdates an die Benutzer SCCM einsetzen. Unternehmen greifen beim Bereitstellen virtualisierter Anwendungen für die Endbenutzer auf Microsoft Application Virtualization (App-V) zurück. Eine weitere gute Alternative zum Erstellen von Thin Images ist das Ausführen von RemoteApp-Programmen mit den Remotedesktopdiensten durch die Benutzer.

Zwar können Sie Softwareupdates direkt nach der Bereitstellung über Windows Software Update Services (WSUS) verteilen, statt sie in die Abbilder zu integrieren. Aber das ist keine gute Idee: Bei dieser Vorgehensweise entsteht eine kleine Sicherheitslücke, Ihre bereitgestellten Computer sind nicht ausreichend geschützt. Besser ist es, alle verfügbaren Softwareupdates während des Erstellens in das Basisabbild zu integrieren. So bleiben Ihre Zielcomputer von Anfang an geschützt, wenn Sie das Basisabbild auf ihnen bereitstellen.

Wenn Sie das Basisabbild mit MDT erstellen, fügen Sie WSUSServer=http://wsus_server_name zur CustomSetting.ini-Datei für Ihre Bereitstellungsfreigabe hinzu. Jetzt können Sie MDT verwenden, um eine vollständig aktualisierte Windows-Version auf dem Referenzcomputer bereitzustellen, Sysprep auf dem Referenzcomputer durchzuführen, dessen Abbild zu erstellen und dieses dann auf die Bereitstellungsfreigabe hochzuladen. Mit MDT ist das ein Kinderspiel, da der gesamte Prozess automatisiert wird.

„Verwenden Sie während des Erstellens des Basisabbilds einen dedizierten WSUS-Server mit automatischer Installationsgenehmigung für Softwareupdates“, rät Alexey Semibratov, Consultant II für Microsoft Consulting Services, der im öffentlichen Sektor und für die Regierungen der US-Bundesstaaten und für örtliche Behörden arbeitet. Er hat bereits an diversen Windows 7-Projekten mitgearbeitet.

Unternehmen, die keine WSUS verwenden, stehen andere Möglichkeiten zur Verfügung: „Konfigurieren Sie die Tasksequenz so, dass sie während der Basisabbilderstellung direkt auf die Windows Update-Website geleitet wird, um Softwareupdates zu installieren. Die meisten Unternehmen haben nämlich nicht genügend Ressourcen und Zeit, um Monat für Monat jedes einzelne Patch von Microsoft zu überprüfen.“ Egal, wie Sie vorgehen: „Mit einem vollständig automatisierten Prozess zur Abbildaktualisierung sparen Sie eine Menge Zeit. Und wenn Sie WSUS verwenden, sparen Sie sogar noch mehr“, erklärt Semibratov.

Hybridabbilder

Das Erstellen von Hybridabbildern ist die wohl am häufigsten genutzte Bereitstellungsmethode. Hybridabbilder können ganz einfach angepasst werden und Treiber, Softwareupdates, wichtige Benutzeranwendungen und grundlegende Anpassungen für die Unternehmensproduktivität oder zur Einhaltung der Unternehmensrichtlinien umfassen. Sie können zum Beispiel ein Basisabbild für alle Desktopcomputer in Ihrem Unternehmen erstellen, das eine Produktivitätssuite wie Microsoft Office 2010 und Malwareschutz wie Microsoft Forefront Client enthält. Dann können Sie das Abbild mit MDT an alle Benutzer verteilen und die anschließende Bereitstellung weiterer Branchenanwendungen (LOB-Anwendungen) für bestimmte Benutzer über SCCM abwickeln.

In der Regel werden bei Hybridabbildern nur ein paar grundlegende Anpassungen in das Abbild aufgenommen. Die meisten Anpassungen erfolgen nach der Bereitstellung über die Gruppenrichtlinie oder Skripts zur Konfiguration der Windows-Firewall, zum Aktivieren von Remotedesktop, zum Zuordnen von Netzwerklaufwerken usw. Der hybride Ansatz eignet sich auch für Anwendungen von Drittanbietern, die keine unbeaufsichtigte Installation unterstützen oder bekanntermaßen Kompatibilitätsprobleme mit dem Sysprep-Abbildungsprozess haben.

Multinationale Unternehmen können mithilfe dieses Ansatzes nach Bedarf Sprachpakete für die Benutzer bereitstellen. Da die Installation der einzelnen Sprachpakete allerdings zeitaufwändig ist, kann das Hinzufügen mehrerer unterschiedlicher Sprachpakete in ein einzelnes Abbild die Bereitstellung erheblich verlangsamen.

Beim Abwägen zwischen fülligen, schlanke und hybriden Abbildern sollten Sie auch überlegen, wie oft Sie das Abbild aktualisieren müssen.

„Ob ein fülliges, ein schlankes oder ein Hybridabbild benötigt wird, hängt davon ab, was im Abbild aufgenommen werden soll. Müssen größere Teile des Abbilds regelmäßig geändert werden, ist ein Thin Image die richtige Wahl. Ist das Ziel, alles in eine Datei zu packen und keine Tasks nach der Bereitstellung durchzuführen, empfiehlt sich ein Thick Image“, erklärt Microsoft-Berater Howard Carter, der sich auf die Entwicklung und Bereitstellung von Windows-Desktopabbildern spezialisiert hat und seit mehr als acht Jahren einer Vielzahl von Behördenkunden unterstützt. „Üblicherweise wird eine Kombination beider Techniken verwendet. Das Ergebnis ist ein Hybridabbild, das große oder sich nicht ändernde Elemente integriert werden, während kleinere oder häufiger geänderte Elemente zum Bereitstellungszeitpunkt installiert werden“, fügt er hinzu.

„Beim Erstellen des Basisabbilds sollten Sie sich Gedanken darüber machen, wie oft Sie Anwendungen ändern oder aktualisieren möchten“, erklärt Stokes. „Schließlich wollen Sie keine Anwendungen in Ihr Basisabbild einbauen, die dazu führen, dass das Abbild ständig erneuert werden muss.“

Verwenden von MDT 2010

Unabhängig davon, welche Art von Desktopabbild Sie nutzen, sollten Sie Abbilder mit MDT 2010 erstellen und warten. Laut Semibratov können Sie den Abbilderstellungsprozess mit MDT vollständig automatisieren und dadurch konsistente und stabile Ergebnisse erzielen. Das sieht auch Carter so: „Das Microsoft Deployment Toolkit bietet eine Oberfläche, die eine konsistente und wiederholbare Abbilderstellungssequenz ermöglicht.“ „So können menschliche Fehler während der Abbilderstellung vermieden werden.“

Außerdem, so Semibratov, wird kein physischer Computer mehr benötigt. Sie können Microsoft Hyper-V verwenden, um Windows 7-Abbilder zu erstellen. Zu diesem Zweck empfiehlt Stokes die Image Factory von Michael Niehaus, die MDT 2010, System Center Virtual Machine Manager (SCVMM) 2008 R2 und Hyper-V zur Wartung von Windows 7-Abbildern umfasst. Und Semibratov hat ein spezielles Skript entwickelt, das Hyper-V und MDT nutzt, um Windows-Abbilder automatisch zu erstellen und die dabei generierte WIM-Datei an einem beliebigen Speicherort abzuspeichern.

Wenn Sie Ihr Abbild mit SCCM statt MDT bereitstellen möchten, sollten Sie das Abbild dennoch mit MDT 2010 erstellen und warten. Semibratov empfiehlt den Einsatz von MDT 2010 zum Erstellen eines „goldenen Abbilds“, das den Endbenutzern anschließend mit SCCM und MDT-Erweiterungen (in der nächsten Version unter anderem mit „Modena“) bereitgestellt wird. Für die Bereitstellung kann sowohl MDT als auch SCCM genutzt werden. Aber wenn Sie Ihre Referenzabbild mit MDT erstellen, können Sie den Benutzerdesktop perfekt nachkonfigurieren. Das ist mit SCCM nicht möglich, da das Tool über das lokale Systemkonto ausgeführt wird.

Tipps und Probleme

Im Folgenden finden Sie weitere Tipps und Hinweise zu Problemen, auf die Sie beim Erstellen und Warten von Unternehmensdesktopabbildern achten sollten:

• Wenn Sie DISM verwenden, erhalten Sie eine Liste der Betriebssystemeditionen, Gerätetreiber, Softwareupdates und anderen Pakete, internationalen Einstellungen und Anwendungspatches in Ihrem Abbild, anhand derer Sie Offlineabbilder prüfen können. Die regelmäßige Überprüfung von Abbildern ist ein wichtiger Teil ständigen Wartungsplans. Weitere Informationen finden Sie in den DISM-Befehlszeilenoptionen.
• Wenn Sie Thick Images verwenden, sollten Sie einige Anwendungen in Form von vorbereiteten Dateien (z. B. .msi- oder setup.exe-Dateien) zum Abbild hinzufügen. Anschließend konfigurieren Sie den Bereitstellungsprozess so, dass ein Skript eine lokale Installation der vorbereiteten Anwendungsdateien auslöst, sobald Sie Windows installieren. Der Vorteil dieses Ansatzes ist, dass die vorbereiteten Anwendungen nicht in das Abbild installiert wurden und problemlos aktualisiert werden können, wenn das Abbild offline ist, beispielsweise bei Aufgaben wie dem Ersetzen einer Vorgängerversion durch eine aktuelle Anwendungsversion.
• Thick Images eignen sich für Unternehmen, die ihren Benutzern neue (oder aktualisierte), vollständig angepasste Desktopumgebungen so zeitnah wie möglich bereitstellen müssen, wie beispielsweise Callcenter. In diesem Fall kann die Bereitstellung vordefinierter Anwendungen den Bereitstellungsprozess verlangsamen und den Geschäftsanforderungen entgegenwirken.
• Semibratov schläft vor, automatische Updates für Produkte wie Adobe Acrobat Reader zu deaktivieren: „In einer geschlossenen Umgebung können Standardbenutzer keine Updates installieren. Versucht die Software also, sich selbst zu aktualisieren, wird der Benutzer zur Eingabe von Anmeldedaten aufgefordert. Das wiederum kann dazu führen, dass der Benutzer sich an das Helpdesk wendet.“
• „Wenn Ihr Unternehmen auf eine SCCM-Bereitstellung wartet, deren Implementierung drei bis sechs Monate in Anspruch nimmt, sollten Sie sich ernsthaft Gedanken machen, ob Sie nicht ein kleines MDT 2010-Repository anlegen, damit Sie mit dem Erstellen von Tasksequenzen und Basisabbildern beginnen können. Die gesamte Arbeit, die Sie dabei leisten, geht nicht verloren, sondern kann später zum entsprechenden Zeitpunkt in SCCM eingebunden werden. Und schließlich ist das Einrichten einer MDT 2010-Umgebung Teil des Gesamtprozesses", erläutert Stokes.
• In seinem hervorragenden Beitrag beim Blog Die Bereitsteller beschreibt Michael Murgulo unterschiedliche Methoden zur Konfiguration der Standardbenutzereinstellungen für die Bereitstellung, die ein gleichbleibend gutes und vertrautes Erlebnis gewährleisten, wenn sich ein Benutzer zum ersten Mal an seinem Computer anmeldet.
• Carter empfiehlt, immer auf das WIM-Format zurückzugreifen statt auf sektorbasierte Abbildungslösungen von Drittanbietern: „Der Grund: WIM ist enorm flexibel, da die Daten während der Bereitstellung auf der Festplatte bleiben und nicht an einen Remotespeicherort, wie eine Netzwerkfreigabe oder ein externes USB-Laufwerk, verschoben werden müssen. Im Gegensatz dazu müssen bei der sektorbasierten Bereitstellung sämtliche zu speichernden Dateien vor der Installation des Abbilds von der Festplatte verschoben werden. Dieser Übertragungsvorgang kann sehr viel Zeit kosten.“

Dem pflichtet Howard bei und erzählt folgende Geschichte: „Ich habe einmal mit einem Kunden zusammengearbeitet, der sich für ein Bereitstellungstool entschieden hatte, ohne sich Gedanken gemacht zu haben, welche Konsequenzen sich ergeben, wenn man ein anderes Abbildungsdateiformat als das Windows Imaging-Format verwendet. Das Tool des Kunden baute auf einer sektorbasierten Struktur auf und überschrieb während der Bereitstellung sämtliche Daten auf der Festplatte. Außerdem wollte der Kunde das User State Migration Tool (USMT) nutzen, um die Benutzerdaten während der Migration beizubehalten.

Da die Benutzerdaten nicht auf der Festplatte bleiben konnten, mussten sie zuerst zu einem Remotenetzwerkspeicher und anschließend – nach der Abbildinstallation – wieder zurück auf die Festplatte verschoben werden. Das führte zu einer erheblichen Bereitstellungsdauer, die mit dem WIM-Format hätte vermieden werden können.“

Auch dieses Beispiel zeigt, wie wichtig es ist, alle Möglichkeiten und Optionen in Betracht zu ziehen, wenn es um das Erstellen, Bereitstellen und Verwalten von Desktopabbildern geht.

 

Verwandter Inhalt

• MDT und SIS (Single Instance Storage)
• Bereitstellen von Anwendungen mit Terminal Services
• Die Desktopdateien: Man kann nie zu reich oder zu dünn sein