Windows 7 im Unternehmen: Das Handbuch fur Administratoren, 3. Auflage 3827328861, 9783827328861 [PDF]

Zitiervorschau

Windows 7 im Unternehmen

Netzwerke, Betriebssysteme, Sicherheit ... hierzu bietet Ihnen die Reihe net.com umfassende, praxisnahe Information. Neben Fragen der Systemverwaltung greift sie auch Themen wie Protokolle, Technologien und Tools auf. Profitieren Sie bei Ihrer täglichen Arbeit vom Praxiswissen unserer erfahrenen Autoren.

Windows Server 2008 R2 Eric Tierling 1400 Seiten, € 59,80 [D] ISBN 978-3-8273-2907-3 Dieses Buch zu Windows Server 2008 R2 knüpft an die Bestseller zu Windows Server 2003 und 2008 an und wurde komplett auf die Neuerungen von R2 aktualisiert. Installation auf virtueller Festplatte, Remoteverwaltung mit dem Server-Manager, Verwaltung über Windows PowerShell-Cmdlets, IPv6, Active Directory-Papierkorb, Einrichtung verwalteter Dienstkonten, Offline-Domänenbeitritt, AppLocker-Anwendungssteuerungsrichtlinien, DirectAccess, BranchCache, die Remotedesktopdienste sowie Hyper-V sind einige der im Buch beschriebenen Highlights.

Windows PowerShell 2.0 - Das Praxisbuch Holger Schwichtenberg 800 Seiten, € 49,80 [D] ISBN 978-3-8273-2926-4 Dieses Handbuch zur Windows PowerShell 2.0 bietet eine fundierte Einführung in die automatisierte Windows-Administration und zeigt darüber hinaus anhand zahlreicher auch weiterführender Beispiele, wie die PowerShell in der Praxis eingesetzt wird. Das Buch behandelt alle wichtigen Neuerungen wie die grafische Oberfläche und die vollständige Integration in Windows 7 und Windows Server 2008 R2.

Holger Schwichtenberg Manuela Reiss Jochen Ruhland

Windows 7 im Unternehmen Das Handbuch für Administratoren

An imprint of Pearson Education München • Boston • San Francisco • Harlow, England Don Mills, Ontario • Sydney • Mexico City Madrid • Amsterdam

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Die Informationen in diesem Produkt werden ohne Rücksicht auf einen eventuellen Patentschutz veröffentlicht. Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Bei der Zusammenstellung von Texten und Abbildungen wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Verlag, Herausgeber und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Für Verbesserungsvorschläge und Hinweise auf Fehler sind Verlag und Herausgeber dankbar. Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in elektronischen Medien. Die gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und Arbeiten ist nicht zulässig. Fast alle Hard- und Softwarebezeichnungen und weitere Stichworte und sonstige Angaben, die in diesem Buch verwendet werden, sind als eingetragene Marken geschützt. Da es nicht möglich ist, in allen Fällen zeitnah zu ermitteln, ob ein Markenschutz besteht, wird das ® Symbol in diesem Buch nicht verwendet. Umwelthinweis: Dieses Buch wurde auf chlor- und säurefreiem PEFC-zertifiziertem Papier gedruckt. Die Einschrumpffolie - zum Schutz vor Verschmutzung - ist aus umweltverträglichem und recyclingfähigem Material.

10 9 8 7 6 5 4 3 2 1 12 11 10 ISBN 978-3-8273-2886-1

© 2010 by Addison-Wesley Verlag, ein Imprint der Pearson Education Deutschland GmbH, Martin-Kollar-Straße 10–12, D-81829 München/Germany Alle Rechte vorbehalten Einbandgestaltung: Marco Lindenbeck, [email protected] Fachlektorat: Georg Weiherer, [email protected] Lektorat: Sylvia Hasselbach, [email protected] Korrektorat: Sandra Gottmann, [email protected] Herstellung: Claudia Bäurle, [email protected] Satz: mediaService, Siegen, www.media-service.tv Druck und Verarbeitung: Kösel, Krugzell, www.KoeselBuch.de Printed in Germany

Inhaltsverzeichnis

Vorwort

1

2

23

Über die Autoren

25

Die Icons und Verweise in diesem Buch

27

Die CD zum Buch

28

Betriebssysteminstallation

29

1.1

Installationsplanung und Vorbereitung 1.1.1 Sicherstellung der Systemanforderungen 1.1.2 Die Editionen von Windows 7 im Vergleich 1.1.3 Neuinstallation versus Upgrade 1.1.4 Sichern bestehender Systeme vor Beginn der Migration 1.1.5 Checkliste zur Installationsvorbereitung

29 30 34 35 39 40

1.2

Durchführung einer Einzelarbeitsplatz-Installation 1.2.1 Unterschiede zu früheren Windows-Installationen 1.2.2 Ablauf einer Neuinstallation 1.2.3 Ablauf einer Upgrade-Installation 1.2.4 Durchführung einer Parallelinstallation 1.2.5 Abschließende Aufgaben nach Installationsabschluss

41 41 43 53 55 56

1.3

Bereitstellung von Windows 7 im Unternehmensnetzwerk 1.3.1 Die Bereitstellungsfunktionen im Überblick 1.3.2 Planung und Vorbereitung der Bereitstellung 1.3.3 Bereitstellung von Windows 7 mit Windows AIK 1.3.4 Aktivierung für Unternehmenskunden – Volumenaktivierung 1.3.5 Bereitstellung von Updates und Service Packs

60 61 68 73 86 88

Hardwareinstallation

95

2.1

Hardware installieren 2.1.1 Automatische Geräteinstallation 2.1.2 Geräte manuell installieren

95 96 101

2.2

Geräte verwalten 2.2.1 Geräteverwaltung mit der Funktion Geräte und Drucker 2.2.2 Geräteverwaltung im Geräte-Manager 2.2.3 Treiber aktualisieren 2.2.4 Geräte deinstallieren 2.2.5 Starttyp für nicht Plug&Play-fähige Geräte ändern

104 104 108 112 113 114 5

Inhaltsverzeichnis

3

4

6

2.3

Mit Treiberproblemen richtig umgehen 2.3.1 Das Treibermodell von Windows 7 2.3.2 Probleme während der Hardwareinstallation 2.3.3 Probleme mit der Treibersignierung 2.3.4 Problemberichte zur Fehleranalyse

115 116 118 123 124

2.4

Berechtigungen zur Geräteinstallation verwalten 2.4.1 Geräte zur Installation bereitstellen 2.4.2 Installation verbotener Geräte verhindern

126 126 129

Software verwalten und installieren

133

3.1

Anwendungen lokal installieren und verwalten 3.1.1 Programme installieren 3.1.2 Installierte Anwendungen verwalten

133 134 136

3.2

Ein Blick auf die Technik dahinter – der Windows Installer-Dienst 3.2.1 Grundsätzliches zur Windows Installer-Technologie 3.2.2 Das Verhalten von Windows Installer mit Gruppenrichtlinien steuern

144 145

3.3

Nicht kompatible Anwendungen unter Windows 7 nutzen 3.3.1 Ursachen für Anwendungsinkompatibilitäten 3.3.2 Anwendungsprüfung vor Beginn der Migration 3.3.3 Einsatzmöglichkeiten des Kompatibilitätsmodus 3.3.4 Anwendungen im Kompatibilitätsmodus installieren 3.3.5 Anwendungen im Windows XP-Modus ausführen 3.3.6 Umgang mit 16-Bit-Windows- und DOS-Anwendungen

152 152 153 155 158 159 161

3.4

Softwareverwaltung mit Gruppenrichtlinien 3.4.1 Softwareverteilung mit Gruppenrichtlinien 3.4.2 Anwendungssteuerung mit Gruppenrichtlinien

162 162 171

151

Konfiguration der Benutzerschnittstellen

175

4.1

Benutzeroberfläche 4.1.1 Leistungsmerkmale der Aero-Oberfläche 4.1.2 Anpassung des Desktops 4.1.3 Konfiguration der Anzeige und des Bildschirms

175 175 178 186

4.2

Startmenü 4.2.1 Ausschaltoptionen 4.2.2 Das Startmenü konfigurieren

191 192 194

4.3

Windows-Taskleiste 4.3.1 Arbeiten mit der Taskleiste 4.3.2 Taskleiste konfigurieren

196 196 198

Inhaltsverzeichnis

5

6

4.4

Windows-Explorer 4.4.1 Windows-Explorer starten 4.4.2 Arbeiten mit dem Windows-Explorer 4.4.3 Ansichten des Windows-Explorers anpassen 4.4.4 Bibliotheken verwenden

200 200 201 209 213

4.5

Einsatzmöglichkeiten der Windows-Suche 4.5.1 Volltextsuche nach Stichwörtern 4.5.2 Indizierte Suche

216 217 220

4.6

Tastenkombinationen in Windows 7 4.6.1 Tastenkombinationen mit der Windows-Taste 4.6.2 Tastenkombinationen für den Internet Explorer 4.6.3 Tastenkombination in Windows 7 zur Steuerung des Windows-Explorers und zur Dateiverwaltung

223 223 224 224

Benutzerverwaltung

227

5.1

Die Benutzerkontensteuerung 5.1.1 Die Benutzerkontensteuerung im praktischen Einsatz 5.1.2 Sicherheitslevel der Benutzerkontensteuerung konfigurieren

227 228 233

5.2

Benutzer verwalten 5.2.1 Das Dienstprogramm „Benutzerkonten“ für einfache Kontenverwaltung 5.2.2 Erweiterte Benutzerverwaltung 5.2.3 SID-Verwaltung bei Benutzerkonten 5.2.4 Vordefinierte Benutzerkonten 5.2.5 Kennwortrichtlinien verwalten

238 238 241 244 245 247

5.3

Verwaltung lokaler Gruppenkonten 5.3.1 Gruppentypen im Vergleich 5.3.2 Vordefinierte lokale Gruppen und ihre Berechtigungen 5.3.3 Lokale Gruppenkonten erstellen, löschen und ändern

251 251 252 257

5.4

Benutzerprofile unter Windows 7 5.4.1 Verwaltung lokaler Benutzerprofile 5.4.2 Verwaltung serverbasierter Profile in heterogenen Netzwerken

259 259 265

Daten, Datenträger und Dateisysteme

267

6.1

Datenträger aus Sicht der Hardware 6.1.1 HW-Adapter für Datenträger 6.1.2 iSCSI im Einsatz 6.1.3 Virtueller Speicher im Einsatz

267 268 269 272

6.2

Partitionen, physische und logische Laufwerke 6.2.1 MBR oder GPT-Datenträger? 6.2.2 Basis oder dynamisch? 6.2.3 Vom Datenträger zum Laufwerksbuchstaben

273 273 275 276 7

Inhaltsverzeichnis

7

8

8

6.3

Daten und Dateisysteme 6.3.1 FAT 6.3.2 NTFS 6.3.3 NTFS – Berechtigungen 6.3.4 NTFS-Berechtigungen auf der Kommandozeile 6.3.5 Dateiattribute

279 280 280 291 300 305

6.4

Datenträger erstellen

309

6.5

Konfiguration von Laufwerken in der GUI 6.5.1 Aktionen auf der Ebene der Datenträger 6.5.2 Verwalten von Datenträgerbereichen

310 311 313

6.6

Datenträgerverwaltung auf der Kommandozeile 6.6.1 Diskpart – FDISK und mehr in neuer Verpackung 6.6.2 fsutil – der Alleskönner 6.6.3 Laufwerksbuchstaben erzeugen – subst.exe 6.6.4 Verknüpfungen – symbolische und harte

317 317 322 328 329

6.7

Datenträger überprüfen

331

6.8

Datenträger defragmentieren

335

Netzwerkgrundlagen

341

7.1

Netzwerk theoretisch

341

7.2

Netzwerk-Hardware 7.2.1 Netzwerkadapter für lokale Verbindungen 7.2.2 Drahtlose Netzwerke 7.2.3 Netzwerke für Punkt-zu-Punkt-Verbindungen 7.2.4 WAN-Netzwerke und die Anbindung ganzer lokaler Netzwerke

343 346 347 347 348

7.3

Netzwerkprotokolle 7.3.1 Alte Bekannte und Exoten 7.3.2 Das IP-Protokoll – Version 4 7.3.3 Das IP-Protokoll – Version 6

348 349 349 357

7.4

Netzwerkanwendungen – Server und Client 7.4.1 Web – Internetinformationsdienste (IIS) und IE 7.4.2 Fernarbeit – Telnet, Remotedesktop und Remoteunterstützung 7.4.3 Datei- und Druckerfreigabe – SMB, CIFS und NFS

359 359 360 363

Erweiterte Netzwerkfunktionen

365

8.1

365 366 367

Netzwerkeinstellungen 8.1.1 Status eines Netzwerkadapters 8.1.2 Netzwerkadapter, Protokolle und Dienste 8.1.3 Unterschiedliche Netzwerkprofile und die Kopplung zwischen Protokollen und Diensten

369

Inhaltsverzeichnis

8.2

TCP/IP-Einstellungen 8.2.1 Erweiterte TCP/IP-Einstellungen 8.2.2 Gesichertes TCP/IP – IPsec 8.2.3 TCP/IP-Prüfprogramme auf der Kommandozeile

374 375 380 381

8.3

Netzwerkschutz – die Firewall 8.3.1 Status der Firewall 8.3.2 Neue Serverprogramme blocken 8.3.3 Firewallprofile 8.3.4 Firewallregeln 8.3.5 Firewallregeln bearbeiten 8.3.6 Die Firewall und die Kommandozeile

389 390 391 392 395 399 399

8.4

Netzwerkkopplung 8.4.1 Netzwerkrouten 8.4.2 Netzwerkbrücken 8.4.3 Gemeinsame Nutzung der Internetverbindung

400 401 402 404

8.5

Domänenmitgliedschaft und Funktionen in Active Directory 8.5.1 Einer Domäne beitreten 8.5.2 Eine Domäne verlassen

407 407 412

8.6

Fernbedienung 8.6.1 Nach Hilfe fragen 8.6.2 Fernsteuerung ohne Zuschauer – Remotedesktop 8.6.3 Gastarbeiter – RemoteApp

414 415 423 426

8.7

Datei- und Druckfreigabe 8.7.1 Dateien und Drucker freigeben 8.7.2 Der öffentliche Ordner und der Gast 8.7.3 Freigaben nutzen 8.7.4 Freigaben kontrollieren

428 428 433 434 439

8.8

Offlinedateien und BranchCache 8.8.1 Offlinedateien 8.8.2 BranchCache

442 442 446

8.9

Heimnetzgruppe 8.9.1 Keine Heimnetzgruppe möglich

447 449

8.10 Netzwerkdrucker 8.10.1 Zusätzliche Netzwerkdruckdienste

450 453

8.11 WLAN sicher konfigurieren 8.11.1 Was keine WLAN-Sicherheit ist 8.11.2 Wie man ein WLAN sichern kann 8.11.3 Eigenschaften eines WLAN-Adapters 8.11.4 Mit einem WLAN Verbindung aufnehmen

454 454 455 456 457

9

Inhaltsverzeichnis

9

Drucken und Faxen

459

9.1

Grundlagen und Terminologie des Druckens 9.1.1 Wichtige Komponenten und Begriffe 9.1.2 Der Druckprozess im Überblick

459 460 462

9.2

Drucker installieren und im Netzwerk bereitstellen 9.2.1 Installation lokaler Drucker 9.2.2 Mit einem Netzwerkdrucker verbinden 9.2.3 Windows 7-Client als Druckserver einrichten

463 464 468 470

9.3

Druckserver, Drucker und Druckaufträge verwalten 9.3.1 Druckereigenschaften konfigurieren 9.3.2 Druckaufträge verwalten 9.3.3 XPS-Datenaustauschformat 9.3.4 Zentrale Druckerverwaltung mit der Druckverwaltungskonsole

474 475 481 481 484

9.4

Die Faxfunktionen von Windows 7 9.4.1 Konfiguration der Faxfunktion 9.4.2 Faxe versenden und empfangen

492 493 497

10 Virtuelle Netzwerke 10.1 Ein fast virtuelles Netzwerk

499

10.2 IPv6-Tunneltechniken

501

10.3 Statische Tunnel mit 6in4 10.3.1 Lokales System und NAT-Router konfigurieren

502 503

10.4 Dynamische Tunnel 10.4.1 ISATAP 10.4.2 6to4 10.4.3 Teredo

505 505 506 507

10.5 VPN

511

11 Lokale Richtlinien und Gruppenrichtlinien

10

499

513

11.1 Was sind Richtlinien?

513

11.2 Unterschiede zwischen lokalen und Gruppenrichtlinien 11.2.1 Wann werden die Richtlinien angewendet?

513 515

11.3 Administrative Vorlagen 11.3.1 Weitere administrative Vorlagen 11.3.2 Verwendung alter .adm-Dateien

516 519 521

11.4 Richtlinien setzen und bearbeiten 11.4.1 Einzelne Richtlinien definieren 11.4.2 Richtlinien suchen 11.4.3 Lokale Richtlinien für Benutzer eingrenzen

522 523 525 527

Inhaltsverzeichnis

11.5 Richtlinien überprüfen und dokumentieren 11.5.1 Das Snap-In Richtlinienergebnissatz 11.5.2 Richtlinienanwendung planen 11.5.3 Richtlinien dokumentieren mit gpresult.exe

528 528 531 531

11.6 Ausgewählte Anwendungsbeispiele 11.6.1 Internet Explorer konfigurieren 11.6.2 USB-Geräte kontrollieren 11.6.3 Sicherheit erhöhen

533 533 534 535

12 Die Registrierungsdatenbank

537

12.1 Der Aufbau der Registry 12.1.1 Sonderfälle in der Registry 12.1.2 Registry und Dateisystem 12.1.3 Datentypen in der Registry 12.1.4 Berechtigungen in der Registry

538 540 541 544 546

12.2 Die Schlüssel der Registry 12.2.1 HKEY_CLASSES_ROOT (HKCR) 12.2.2 HKEY_CURRENT_USER (HKCU) 12.2.3 HKEY_USERS (HKU) 12.2.4 HKEY_LOCAL_MACHINE (HKLM) 12.2.5 HKEY_CURRENT_CONFIG

550 550 552 553 555 558

12.3 Bearbeiten der Registry mit dem Registrierungs-Editor 12.3.1 Navigation in der Registry 12.3.2 Favoriten in der Registry 12.3.3 Werte in der Registry ändern 12.3.4 Werte und Schlüssel anlegen, löschen und umbenennen 12.3.5 Export, Import und Drucken von Daten 12.3.6 Arbeit mit kompletten Strukturen

558 559 560 561 563 564 568

12.4 Arbeit mit dem Programm reg.exe

569

12.5 Das Programm regini.exe

571

12.6 Die Registry über das Netzwerk bearbeiten

572

12.7 Die Registry mit eigenen Programmen bearbeiten

573

12.8 Die Registry offline bearbeiten 12.8.1 Durchführen eines Offline-Restore

574 574

12.9 Weitere Programme zum Bearbeiten der Registry 12.9.1 Registry-Cleaner 12.9.2 Registry-Backup und -Restore 12.9.3 Zugriff auf die Registry überwachen – RegMon und ProcMon

578 578 578 582

12.10 Tipps zur Erhöhung der Sicherheit 12.10.1 .reg-Dateien nicht per Doppelklick installieren 12.10.2 Aufruf des Registrierungs-Editors verbieten

584 584 585 11

Inhaltsverzeichnis

13 Sicherheit

12

587

13.1 Sichere Entwicklung – SDL

587

13.2 Benutzerkontensteuerung – UAC 13.2.1 Warum diese Einschränkung? 13.2.2 Wie funktioniert UAC?

588 589 591

13.3 Integrität von Objekten 13.3.1 Verbindlichkeitsstufen – ein Beispiel

591 592

13.4 Wartungscenter 13.4.1 Action-Center konfigurieren

594 597

13.5 Antivirus-Programme 13.5.1 Für eine AV-Lösung sprechen 13.5.2 Gegen eine AV-Lösung sprechen 13.5.3 Prüfung von AV-Programmen durch das Wartungscenter

597 598 598 598

13.6 Windows Defender und Microsoft Security Essentials 13.6.1 Manuelle Überprüfung anstoßen 13.6.2 Erkennung von schädlichen Dateien 13.6.3 Wo ist der Software-Explorer? 13.6.4 Verlaufskontrolle 13.6.5 Einstellungen von Windows Defender 13.6.6 Hilfe – neue Definitionen 13.6.7 Microsoft Security Essentials

599 600 601 603 603 604 608 608

13.7 Systemkonfiguration mit msconfig.exe 13.7.1 Registerkarte Allgemein 13.7.2 Registerkarte Start 13.7.3 Registerkarte Dienste 13.7.4 Registerkarte Systemstart 13.7.5 Registerkarte Tools 13.7.6 Informationsspeicher

609 609 610 613 614 615 615

13.8 Startkontrolle mit Autoruns

616

13.9 Windows-Firewall 13.9.1 Firewall-Konzeption

617 617

13.10 Windows Updates 13.10.1 Welche Updates gibt es? 13.10.2 Updates auswählen und installieren 13.10.3 Kontrolle über vorhandene, installierte und unerwünschte Updates 13.10.4 Windows Update im betrieblichen Umfeld 13.10.5 Updates ohne Netzwerk

617 619 621

13.11 Verschlüsselung – Grundlagen 13.11.1 Symmetrische Verschlüsselung 13.11.2 Asymmetrische Verschlüsselung

625 626 626

623 624 625

Inhaltsverzeichnis

13.11.3 Schlüssellängen – starke und schwache Verschlüsselung 13.11.4 Zertifikate und Zertifikatshierarchien

627 628

13.12 EFS – Encrypting File System 13.12.1 Ablauf der Verschlüsselung 13.12.2 Verschlüsselung in der Praxis 13.12.3 Schutz der Schlüssel bei EFS 13.12.4 Datenwiederherstellung bei EFS 13.12.5 EFS auf der Befehlszeile und mit anderen Programmen

629 632 632 636 637 647

13.13 Verschlüsselung kompletter Laufwerke – BitLocker 13.13.1 TPM – Trusted Platform Module 13.13.2 Operationsmodi von BitLocker 13.13.3 Systemlaufwerke und Datenlaufwerke verschlüsseln 13.13.4 Weitere Sicherheitsmöglichkeiten 13.13.5 BitLocker-Verwaltung 13.13.6 BitLocker to Go

650 651 655 656 661 664 665

13.14 Jugendschutzeinstellungen 13.14.1 Änderungen gegenüber Windows Vista 13.14.2 Steuerungsmöglichkeiten beim Jugendschutz 13.14.3 Spielfreigaben 13.14.4 Einstellungen für einen Benutzer vornehmen 13.14.5 Windows-Spieleexplorer intern 13.14.6 Programme zulassen und blockieren 13.14.7 Webseiten-Filter

667 667 668 669 672 675 679 681

13.15 Datenausführungsverhinderung

681

14 Systemüberwachung

685

14.1 Was tut das System gerade? 14.1.1 Väter und Söhne 14.1.2 Und was ist ein Thread? 14.1.3 Task-Manager 14.1.4 Process Explorer 14.1.5 Prozesse und die Befehlszeile

685 686 686 686 697 700

14.2 Ereignisse kontrollieren 14.2.1 Wie charakterisiert man ein Ereignis?

702 702

14.3 Die Ereignisanzeige 14.3.1 Lage und Größe der Protokolle 14.3.2 Ereignisse ansehen 14.3.3 Import und Export 14.3.4 Ansichten filtern und definieren 14.3.5 Ereignisse von anderen Systemen sammeln 14.3.6 Auf Ereignisse reagieren

703 704 705 708 709 712 712

13

Inhaltsverzeichnis

14.3.7 Ereignisse selbst erzeugen 14.3.8 Ereignisse und die Befehlszeile 14.4 Aufgabenplanung 14.4.1 Aufgaben anlegen 14.4.2 Aufgaben ändern 14.4.3 Kontrolle über laufende Aufgaben 14.4.4 Aufgaben und die Befehlszeile – at.exe und schtasks.exe

714 716 716 718 718

14.5 Leistung kontrollieren 14.5.1 Ressourcenmonitor – perfmon.exe 14.5.2 Leistungsüberwachung – perfmon.msc 14.5.3 Leistungsbewertung für Rennfahrer 14.5.4 Leistungsindex

720 720 722 728 728

14.6 Professioneller Support 14.6.1 Zuverlässigkeit – Stabilitätsindex

730 731

15 Datensicherung

733

15.1 Datensicherung in älteren Versionen von Windows und heute

733

15.2 Arten und Formen der Datensicherung 15.2.1 Datensicherung und Sicherheit

734 736

15.3 Sicherung durchführen 15.3.1 Sicherung einrichten 15.3.2 Systemabbild erstellen 15.3.3 Systemreparaturdatenträger erstellen 15.3.4 Systemsicherung durch Wiederherstellungspunkte 15.3.5 Weitere Programme zur Datensicherung – wbadmin und robocopy

737 739 746 748 749

15.4 Daten restaurieren 15.4.1 Rücksicherung eines kompletten Systems 15.4.2 Wiederherstellen von Dateien 15.4.3 Systemzustand durch Wiederherstellungspunkte zurücksetzen

753 754 760 765

16 Kommunikation im Netzwerk

14

714 714

751

769

16.1 Gemeinsam Arbeiten im Netz – SharedView 16.1.1 Funktionen von SharedView

769 771

16.2 Windows Live Essentials – die Komponenten Mail, Messenger und Family Safety 16.2.1 Windows Live-ID eintragen 16.2.2 Windows Mail 16.2.3 Windows Messenger 16.2.4 Family Safety

772 774 774 776 778

Inhaltsverzeichnis

17 Windows 7-Batchdateien

783

17.1 Konfiguration des Kommandozeilenfensters

783

17.2 Ein alternatives Kommandozeilenfenster

784

17.3 Kommandozeilenfenster und Benutzerkontensteuerung

786

17.4 Befehle

787

17.5 Ausgaben und Ausgabeumleitung

788

17.6 Arbeit mit dem Dateisystem 17.6.1 Wechseln des Verzeichnisses 17.6.2 Verzeichnis auflisten 17.6.3 Dateisystemoperationen

788 789 791 791

17.7 Arbeit mit Prozessen

791

17.8 Die net-Befehlsfamilie

791

17.9 Weitere Kommandozeilenbefehle

792

17.10 Stapelverarbeitung 17.10.1 Befehlsverknüpfung 17.10.2 Textbasiertes Pipelining 17.10.3 Batch-Dateien

792 792 793 793

18 Windows Management Instrumentation (WMI)

795

18.1 WMI-Funktionsumfang 18.1.1 WMI-Klassen und WMI-Objekte 18.1.2 WMI-Namensräume (Namespaces) 18.1.3 Lokalisierung 18.1.4 WMI-Pfade 18.1.5 WMI-Schema 18.1.6 WMI-Repository 18.1.7 WMI-Systemdienst 18.1.8 WMI-Provider 18.1.9 Managed Object Format (MOF) 18.1.10 WMI-Sicherheit 18.1.11 WMI Query Language (WQL) 18.1.12 WMI-Ereignissystem 18.1.13 WMI-Programmierschnittstellen 18.1.14 WMI-Werkzeuge

796 797 801 802 802 804 804 805 805 806 808 809 812 814 814

18.2 WMIC-Konsolenanwendung 18.2.1 WMIC-Befehle 18.2.2 PATH-Befehl 18.2.3 Ausgabeformen 18.2.4 Fernzugriff auf andere Systeme 18.2.5 Stapelverarbeitung

817 817 818 818 820 820

15

Inhaltsverzeichnis

19 Windows Script Host (WSH)

16

821

19.1 Überblick über den WSH in Windows 7

822

19.2 Erste WSH-Beispiele 19.2.1 Hello World 19.2.2 Versionsnummern ermitteln

822 822 823

19.3 WSCRIPT vs. CSCRIPT

824

19.4 Skriptsprache Visual Basic Script (VBScript) 19.4.1 Grundregeln 19.4.2 Ausgaben 19.4.3 Variablen und Konstanten 19.4.4 Operationen 19.4.5 Bedingte Ausführung 19.4.6 Schleifen 19.4.7 Unterroutinen 19.4.8 Objekte 19.4.9 Softwarekomponenten

826 826 826 827 827 827 827 828 829 829

19.5 WSH-Sicherheit

830

19.6 WSH und Benutzerkontensteuerung

830

19.7 Scripting mit entfernten Systemen 19.7.1 Ein Skript kann man von einem Netzlaufwerk starten 19.7.2 Eine Aktion auf einem entfernten System ausführen

833 833 834

19.8 WSH-Werkzeuge

834

19.9 Scripting des Dateisystems 19.9.1 Zugriff auf Ordner und Dateien 19.9.2 Auflisten von Dateien 19.9.3 Dateieigenschaften bestimmen und verändern 19.9.4 Namen ändern 19.9.5 Dateisystemoperationen 19.9.6 Textdateien lesen 19.9.7 Textdateien beschreiben

836 836 837 838 839 840 841 843

19.10 Scripting der Registrierungsdatenbank 19.10.1 Auslesen und Setzen eines Wertes 19.10.2 Erzeugen eines neuen Registrierungsdatenbank-Schlüssels 19.10.3 Auflisten von Schlüsseln 19.10.4 Löschen von Schlüsseln

843 844 845 846 847

19.11 Scripting der Softwarekonfiguration 19.11.1 Software inventarisieren 19.11.2 Software installieren 19.11.3 Software deinstallieren

847 847 850 851

Inhaltsverzeichnis

19.12 Scripting der Benutzerverwaltung 19.12.1 Auflisten der vorhandenen Benutzerkonten 19.12.2 Anlegen eines Benutzerkontos 19.12.3 Umbenennen eines Benutzers 19.12.4 Kennwort eines Benutzers ändern 19.12.5 Anlegen einer Benutzergruppe 19.12.6 Einen Benutzer einer Gruppe hinzufügen 19.12.7 Einen Benutzer aus einer Gruppe entfernen 19.12.8 Deaktivieren eines Benutzerkontos 19.12.9 Löschen einer Gruppe

20 .NET Framework

851 852 853 854 855 856 856 857 857 858

861

20.1 Was ist das .NET Framework?

863

20.2 Weitere Eigenschaften des .NET Frameworks

864

20.3 .NET-Klassen 20.3.1 Namensgebung von .NET-Klassen (Namensräume) 20.3.2 Namensräume und Softwarekomponenten 20.3.3 Bestandteile einer .NET-Klasse 20.3.4 Vererbung 20.3.5 Schnittstellen 20.3.6 Konfiguration von .NET-Anwendungen 20.3.7 Konfiguration des .NET-Sicherheitssystems

865 865 867 868 869 869 870 870

21 Einführung in die Windows PowerShell (WPS)

873

21.1 Was ist die Windows PowerShell?

873

21.2 Geschichte

874

21.3 Bestandteil von Windows 7

875

21.4 Architektur

875

21.5 PowerShell versus WSH

876

21.6 Einzelbefehle der PowerShell 21.6.1 Commandlets 21.6.2 Aliase 21.6.3 Ausdrücke 21.6.4 Externe Befehle 21.6.5 Dateinamen

880 880 883 889 890 891

21.7 Hilfe 21.7.1 Verfügbare Befehle 21.7.2 Erläuterungen zu den Befehlen 21.7.3 Dokumentation der .NET-Klassen

891 891 892 894

17

Inhaltsverzeichnis

18

21.8 Objektorientiertes Pipelining 21.8.1 Grundlagen 21.8.2 Objektorientierung 21.8.3 Analyse des Pipeline-Inhalts 21.8.4 Filtern 21.8.5 Zusammenfassung von Pipeline-Inhalten 21.8.6 Kastrierung von Objekten in der Pipeline 21.8.7 Sortieren 21.8.8 Gruppierung 21.8.9 Berechnungen 21.8.10 Zwischenschritte in der Pipeline 21.8.11 Verzweigungen in der Pipeline 21.8.12 Vergleiche 21.8.13 Beispiele

895 895 896 899 904 905 906 906 907 907 908 908 909 909

21.9 Ausgabefunktionen 21.9.1 Standardausgabe 21.9.2 Seitenweise Ausgabe 21.9.3 Einschränkung der Ausgabe 21.9.4 Ausgabe einzelner Werte 21.9.5 Unterdrückung der Ausgabe 21.9.6 Weitere Ausgabefunktionen

911 912 913 914 914 915 915

21.10 Fernausführung von Befehlen

916

21.11 Navigationsmodell 21.11.1 Navigation in der Registrierungsdatenbank 21.11.2 Provider und Laufwerke 21.11.3 Navigationsbefehle 21.11.4 Pfadangaben 21.11.5 Eigene Laufwerke definieren

917 918 919 920 920 921

21.12 PowerShell Language (PSL) 21.12.1 Hilfe zu der PowerShell-Sprache 21.12.2 Befehlstrennung 21.12.3 Kommentare 21.12.4 Variablen 21.12.5 Zahlen 21.12.6 Zeichenketten 21.12.7 Datum und Uhrzeit 21.12.8 Arrays und assoziative Arrays (Hashtable) 21.12.9 Operatoren 21.12.10Kontrollkonstrukte

922 922 922 923 923 924 926 928 929 932 933

Inhaltsverzeichnis

21.13 PowerShell-Skripte 21.13.1 Beispiel 21.13.2 Start eines Skripts 21.13.3 Sicherheitsfunktionen für PowerShell-Skripte 21.13.4 PowerShell-Skripte als Commandlets verwenden 21.13.5 Commandlets für Skriptausführung 21.13.6 Skripte einbinden 21.13.7 Fehlerbehandlung

934 934 935 936 938 941 941 941

21.14 Eingabe

946

21.15 Anbindung an Klassenbibliotheken 21.15.1 WMI-Klassen 21.15.2 .NET-Klassen 21.15.3 COM-Klassen

946 947 953 956

21.16 Fehlersuche

956

21.17 PowerShell-Werkzeuge 21.17.1 PowerShell-Konsole 21.17.2 PowerShell Integrated Scripting Environment (ISE) 21.17.3 PowerShellPlus 21.17.4 PowerShell Analyzer 21.17.5 PrimalScript 21.17.6 PowerShell Help 21.17.7 PowerTab 21.17.8 VS Command Shell

957 957 960 962 964 965 965 966 966

21.18 Commandlet-Erweiterungen 21.18.1 Aktivieren von Snap-ins 21.18.2 Aktivieren von PowerShell-Modulen 21.18.3 Verfügbare Commandlet-Erweiterungen

967 967 968 969

21.19 Tipps und Tricks 21.19.1 Befehlsgeschichte 21.19.2 Systeminformationen 21.19.3 Alle Anzeigen löschen 21.19.4 Profileinstellungen für die PowerShell-Konsole 21.19.5 Aufzählungen

973 973 974 975 975 981

21.20 Weitere Funktionen

981

21.21 Weitere Informationen über die PowerShell 21.21.1 Websites zur PowerShell 21.21.2 Weblogs zur PowerShell

982 982 982

19

Inhaltsverzeichnis

22 Systemautomatisierung mit der PowerShell

20

983

22.1 Dateisystem 22.1.1 Laufwerke 22.1.2 Inhalt eines Verzeichnisses 22.1.3 Dateisystemoperationen 22.1.4 Dateieigenschaften lesen und verändern 22.1.5 Freigaben

983 984 985 985 986 986

22.2 Dokumente & Datenbanken 22.2.1 Textdateien 22.2.2 Binärdateien 22.2.3 CSV-Dateien 22.2.4 XML-Dateien 22.2.5 HTML-Dokumente 22.2.6 Relationale Datenbanken

992 992 992 993 993 995 996

22.3 Registrierungsdatenbank (Registry) 22.3.1 Schlüssel auslesen 22.3.2 Schlüssel anlegen und löschen 22.3.3 Abkürzungen definieren 22.3.4 Werte anlegen und löschen 22.3.5 Werte auslesen 22.3.6 Praxisbeispiel

997 997 998 998 999 1000 1000

22.4 Computerverwaltung

1001

22.5 Hardwareverwaltung

1002

22.6 Softwareverwaltung 22.6.1 Inventarisierung 22.6.2 Installation von Anwendungen 22.6.3 Deinstallation von Anwendungen 22.6.4 Praxisbeispiel: Installationstest 22.6.5 Versionsnummer

1003 1003 1006 1006 1007 1008

22.7 Prozessverwaltung

1008

22.8 Druckerverwaltung

1009

22.9 Systemdienste

1010

22.10 Netzwerk 22.10.1 Ping 22.10.2 Netzwerkkonfiguration 22.10.3 Abruf von Daten von einem HTTP-Server

1011 1011 1012 1013

22.11 Ereignisprotokolle

1014

22.12 Leistungsdaten

1015

Inhaltsverzeichnis

22.13 Sicherheitseinstellungen 22.13.1 Grundlagen 22.13.2 Zugriffsrechtelisten auslesen 22.13.3 Einzelne Rechteeinträge auslesen 22.13.4 Besitzer auslesen 22.13.5 Benutzer und SID 22.13.6 Hinzufügen eines Rechteeintrags zu einer Zugriffsrechteliste 22.13.7 Entfernen eines Rechteeintrags aus einer Zugriffsrechteliste 22.13.8 Zugriffsrechteliste übertragen 22.13.9 Zugriffsrechteliste über SSDL setzen

1015 1016 1017 1019 1020 1020 1023 1025 1026 1027

22.14 Active Directory 22.14.1 Architektur und Installation 22.14.2 Aktivieren des Active Directory-Moduls 22.14.3 Active Directory-Navigationsprovider 22.14.4 Objektmodell 22.14.5 Überblick über die Commandlets 22.14.6 Allgemeine Verwaltungscommandlets 22.14.7 Filtern und Suchen 22.14.8 Verwaltung von Organisationseinheiten 22.14.9 Verwaltung von Benutzerkonten 22.14.10Verwaltung von Benutzergruppen 22.14.11Informationen über die Active Directory-Struktur

1028 1028 1030 1031 1033 1034 1035 1037 1038 1039 1041 1042

22.15 Grafische Benutzeroberfläche 22.15.1 Eingabemaske 22.15.2 Universelle Objektdarstellung

1046 1047 1048

A

Abkürzungsverzeichnis

1051

B

Literatur und Links

1055

Stichwortverzeichnis

1061

21

Vorwort Liebe Leserin, lieber Leser, Mit Windows 7 ist Microsoft wirklich ein großer Wurf gelungen. Während sich Windows Vista insbesondere im Unternehmensumfeld sehr schwer getan hat – es gab zu viele Meldungen über Schwierigkeiten mit der Hardware und über den Leistungshunger – gibt es von Windows 7 Erfolgsmeldungen am laufenden Band: „ Allein an den ersten zwei Tagen nach Verkaufsstart wurde Windows 7 in Deutschland fünf Mal so oft verkauft wie damals Vista.“1, „ Windows 7 kommt nirgends besser an als in Deutschland“2 „ Statistiken belegen Erfolg von Windows 7“3. Natürlich muss man diese Meldungen von Microsoft auch vor dem Hintergrund bewerten, dass Microsoft bei Windows 7 zum Erfolg verdammt ist. Da aber viele Unternehmen Windows Vista übersprungen haben, ist der Wechsel mehr als acht Jahre nach dem Start von Windows XP überfällig. Laut einer Umfrage des TechNet NewsFlash vom 17.12. 2009 sehen 42,3 % der Befragten das Betriebssystem-Upgrade als wichtigstes IT-Projekt für 2010 an. Tatsächlich beseitigt Windows 7 viele der Unzulänglichkeiten von Vista. Das tut Windows 7 so gut, das man sagen könnte: Windows 7 ist ein Service Pack für Windows Vista. Spätestens jetzt sollten Sie sich mit diesem Betriebssystem beschäftigen. Mit diesem Gemeinschaftswerk von drei erfahrenen Windows-Spezialisten möchten wir Sie für die neuen Features von Windows 7 begeistern und Sie bei Installation, Konfiguration und Verwaltung unterstützen – für eine reibungslose Migration zu Windows 7. Das Buch richtet sich in erster Linie an professionelle Windows-Nutzer und Systemadministratoren, die Windows 7 Professional/Enterprise (oder Ultimate) im kommerziellen Umfeld (als Domänenmitglieder oder Arbeitsgruppen-Rechner) einsetzen. Angesprochen sind fortgeschrittene Anwender, die keine Beschreibung der Symbole und keine seitenweisen „ Klickanleitungen“ benötigen. Konzeptionelle Fragen und deren Hintergründe werden umfassend erläutert. Schritt-für-Schritt-Anleitungen sind, soweit Sie dem tieferen Verständnis dienen, enthalten ebenso wie aussagekräftige Bildschirmabbildungen. Neben von Microsoft produzierten Erweiterungen, weisen wir auch auf (kostenlose) Zusatzwerkzeuge und Produkte anderer Hersteller hin, die den Lieferumfang von Windows 7 sinnvoll ergänzen. 1 2 3

http://www.n-tv.de/technik/computer/Microsoft-vom-Erfolg-ueberraschtarticle570876.html http://www.gamestar.de/hardware/news/betriebssysteme/2311252/windows_7.html http://winfuture.de/news,52637.html

23

Vorwort

Ein Schwerpunkt des Buches liegt auf der automatisierten Systemadministration mit dem Windows Script Host (WSH) und der Windows PowerShell (WPS).

Leser-Service Zu diesem Buch gibt es eine Leser-Website mit folgenden Diensten: Downloads: Die aktuellen Versionen der in diesem Buch abgedruckten Skripte sowie weitere Skripte und Codebeispiele. Foren: Wenn Sie Fragen haben oder Ihre Meinung zu einem Thema dieses Buches äußern möchten, dann können Sie sich hier mit anderen Nutzern austauschen. Leser-Bewertung: Bewerten Sie dieses Buch und lesen Sie nach, was andere Leser von diesem Buch halten. Bug-Report: Melden Sie hier Fehler, die Sie in diesem Buch gefunden haben! Hier können Sie auch nachlesen, welche Fehler anderen nach Drucklegung aufgefallen sind. Newsletter: Alle registrierten Leser erhalten in unregelmäßigen Abständen einen Newsletter. Der URL für den Zugang zum Leser-Portal lautet: http://www.IT-Visions.de/leser Bei der Anmeldung müssen Sie das Kennwort BUFFY angeben.

Viel Erfolg mit diesem Buch wünschen Ihnen

Dr. Holger Schwichtenberg, Manuela Reiss und Jochen Ruhland

24

1 Über die Autoren

Über die Autoren Dr. Holger Schwichtenberg Ausbildung: 왘 Studium Diplom-Wirtschaftsinformatik an der Universität Essen 왘 Promotion an der Universität Essen im Gebiet komponentenbasierter Softwareentwicklung 왘 Tätig in der Softwareentwicklung seit 1996 Aktuelle Tätigkeit: 왘 Leitung der Firma www.IT-Visions.de 왘 Softwareentwicklung und Softwarearchitek-

tur im Kundenauftrag 왘 Beratung und Schulung von Softwareent-

wicklern 왘 Individueller Support für Softwareentwicklungsprojekte 왘 Gutachter in den Wettbewerbsverfahren der EU gegen Microsoft

Kernkompetenzen: 왘 Einführung von .NET Framework und Visual Studio/Migration auf

.NET 왘 .NET-Strategie / Auswahl von .NET-Technologien 왘 Webanwendungsentwicklung mit IIS, ASP.NET und AJAX 왘 Enterprise .NET 왘 Verteilte Systeme mit .NET insbesondere Windows Communication

Foundation 왘 C#, Visual Basic (VB/VB.NET/VBS/VBA) 왘 Component Object Model (COM), Windows Scripting (WSH), Windows

PowerShell (WPS) 왘 Relationale Datenbanken, XML und Object Relational Mapping (ORM) 왘 Active Directory-Programmierung und Windows Management Instru-

mentation (WMI) Veröffentlichungen und Vorträge: 왘 Über 40 Fachbücher bei Addison-Wesley, Microsoft Press und dem Carl

Hanser-Verlag 왘 Mehr als 500 Beiträge in Fachzeitschriften 왘 Ständiger Mitarbeiter der Zeitschriften iX und dotnetpro sowie bei

heise.de Sprecher auf nationalen und internationalen Fachkonferenzen (z. B. TechEd, OOP, Microsoft Launch Event, MSDN Summit, BASTA, Advanced Developers Conference, Microsoft IT Forum, Wirtschaftsinformatik, VS One, u.a.) 왘 Sprecher in MSDN Webcasts 왘

25

Vorwort

Ehrenamtliche Community-Tätigkeiten: 왘 Vorstandsmitglied bei codezone.de 왘 Sprecher für die International .NET Association (INETA) 왘 Betrieb der Community-Websites www.dotnetframework.de und www.windows-scripting.de Zertifikate und Auszeichnungen von Microsoft: 왘 Most Valuable Professional (MVP) 왘 Microsoft Certified Solution Developer (MCSD) 왘 .NET Code Wise Community-Experte 왘 Codezone Premier Site Member

Firmen-Website: 왘 http://www.IT-Visions.de

Weblog: 왘 http://www.dotnet-doktor.de (bei Heise.de)

Kontakt: 왘 [email protected] 왘 0201 7490-700 (Büro www.IT-Visions.de)

Manuela Reiss Manuela Reiss ist seit mehr als 18 Jahren selbstständig tätig als Beraterin, Trainerin und Fachbuchautorin im Microsoft Windows-Umfeld. Ihr theoretisches Fachwissen hat sie sich in zahlreichen Zertifizierungsprogrammen vor allem bei Microsoft erworben. So ist sie u.a. Microsoft Certified Systems Engineer (MCSE) für mehrere Versionen von Windows-Serversystemen. Darüber hinaus verfügt Sie über langjährige praktische Erfahrungen, die sie in zahlreichen Projekteinsätzen in den Bereichen Administration und Support, schwerpunktmäßig im Banken und Telekommunikationsumfeld sowie in der öffentlichen Verwaltung erworben hat. In den vergangenen Jahren hat sie sich im Rahmen der Beratertätigkeit verstärkt auf die Bereiche Konzeption und Dokumentation spezialisiert und deckt damit das breite Spektrum von der theoretischen Konzeptionierung über eine prozessorientierte Planung bis hin zur praktischen Umsetzung ab. Als zertifizierte Projektmanagement Fachfrau (GPM) unterstützt sie Firmen im Bereich Projektmanagement und IT Service Management sowie bei allen Fragen rund um das Thema Dokumentation.

26

1 Die Icons und Verweise in diesem Buch

Daneben hat sie sich als Fachbuchautorin einen Namen gemacht und ist seit vielen Jahren u.a. für den Addison-Wesley Verlag als Autorin tätig. Ihre fachlichen Schwerpunkte liegen hierbei, neben dem Themenschwerpunkt IT-Dokumentation, vor allem in der Administration und Migration heterogener Windows-Netzwerke, sowie im Bereich Troubleshooting von Windows Server- und Client-Systemen.

Jochen Ruhland Nach Abschluss als Diplom-Mathematiker mit Schwerpunkt Informatik ist er seit mehr als zwanzig Jahren im Bereich Systemadministration tätig, inzwischen als freiberuflicher IT-Consultant in München. In dieser Zeit hat er die Umwandlung lokaler Netzwerke mit Windows NT 4 hin zu globalen Netzwerken mit Windows Server 2008 aus nächster Nähe erlebt. Daneben hat er als Autor oder Fachlektor an Publikationen zu verschiedenen Themen im Bereich Betriebssysteme, Anwendungsprogramme und -server oder Programmierung mitgearbeitet. Sein besonderes Interesse gilt hierbei der Entwicklung der Windows-Plattform. Zeitweise war er Microsoft Most Valuable Professional (MVP) im Bereich Windows Client-Networking.

Die Icons und Verweise in diesem Buch Im vorliegenden Buch sind wichtige Hinweise und Einschübe durch einen grauen Kasten hinterlegt. Zusätzlich werden drei Icons verwendet, um bestimmte Informationen besonders hervorzuheben: Interessante Hintergrundinformationen, die Besonderheiten des gerade besprochenen Themas beinhalten.

Warnung vor Bugs oder möglichen Schwierigkeiten

Tipps und Tricks

27

Vorwort

Um den Lesefluss nicht durch lange Internetlinks zu stören, sind Literaturhinweise und Verweise auf Quellen aus dem Internet im Text durch Kürzel in eckigen Klammern gekennzeichnet, z.B. [ACT], was für Application Compatibility Toolkit steht. In Anhang B Literatur und Links finden Sie eine Liste mit den vollständigen Links und Literaturverweisen.

Die CD zum Buch Auf der beiliegenden CD finden Sie 왘 das Buch als farbiges eBook, damit Sie auch unterwegs schnell Informationen finden, 왘 die Beispielskripte aus den Kapiteln 17 bis 21, 왘 Erweiterungen, Komponenten, Sprachen und Tools für das Windows Scripting (zum Teil als Vollversionen, zum Teil als Demo-Versionen), 왘 Dokumentationen zu Visual Basic Script, dem WSH und einigen der besprochenen Komponenten 왘 Video-Lektionen zum Thema „Desktopvirtualisierung mit den Remotedesktopdiensten“.

28

1

Betriebssysteminstallation

Wer schon einmal Windows Vista installiert hat, dem wird der Installationsablauf bekannt vorkommen. Denn die Installationsroutine von Windows 7 beruht eindeutig auf Windows Vista – mit kleinen Änderungen in der Ablaufreihenfolge. Und wie bereits Windows Vista bietet Windows 7 vielfache Unterstützungen für eine einfache automatisierte Verteilung in Unternehmensnetzwerken. Neben den Voraussetzungen für die Installation von Windows 7 und der detaillierten Beschreibung einer Einzelplatzinstallation, werden in diesem Kapitel deshalb auch im Überblick Technologien vorgestellt, die eine Verteilung von Windows 7 in Unternehmensnetzwerken unterstützen.

1.1

Installationsplanung und Vorbereitung

Eine durchdachte Planung und Vorbereitung ist der Grundstein einer jeden erfolgreichen Installation. Vor jeder Installation sollten deshalb die folgenden Fragen geklärt werden: 왘 Windows 7 stellt besondere Anforderungen an die Hardware. Sind die vorhandenen Computer und deren Peripherie mit Windows 7 kompatibel? Welche Anforderungen müssen neue Rechner erfüllen? (Siehe hierzu den folgenden Abschnitt 1.1.1) 왘 Welche Edition von Windows 7 wird benötigt bzw. ist am besten geeignet? (Siehe hierzu Abschnitt 1.1.2 ab Seite 34) 왘 Welches Installationsverfahren ist am besten geeignet? (Siehe hierzu Abschnitt 1.1.3 ab Seite 35) 왘 Ist die Einrichtung einer mehrsprachigen Systemumgebung erforderlich? (Siehe hierzu Abschnitt 1.3.3 ab Seite 82) 29

Kapitel 1 Betriebssysteminstallation

1.1.1

Sicherstellung der Systemanforderungen

Der folgende Abschnitt erläutert die Anforderungen von Windows 7 und soll auch bei der Beantwortung der Frage helfen, inwieweit die vorhandenen Computer und deren Peripherie für den Einsatz mit Windows 7 geeignet sind.

Hardwareanforderungen Die von Microsoft empfohlenen Mindestanforderungen liegen (bis auf die Hauptspeicherkapazität) nicht höher als die für Windows Vista, sodass die heute erhältlichen Komplettsysteme die Anforderungen in der Regel problemlos erfüllen. Bei älteren Systemen aber ist zu hinterfragen, ob diese für den Einsatz von Windows 7 geeignet sind. Dabei ist zu unterscheiden, ob die Hardware so ausgelegt ist, dass Windows 7 darauf grundsätzlich lauffähig ist, aber nicht alle spezifischen Funktionen unterstützt, oder ob alle Neuerungen von Windows 7 nutzbar sind. Dies betrifft insbesondere die grafikintensive Benutzeroberfläche, die Microsoft bereits mit Windows Vista unter dem Namen Aero eingeführt hat sowie die erweiterten Multimediafunktionen von Windows 7.

Authentic, Energetic, Reflective, Open = Aero Aero steht für die neue vektorbasierte Benutzeroberfläche von Windows. Diese bietet im sogenannten Aero-Glass-Modus dem Benutzer frei skalierbare Fenster mit Schattenwurf, halbtransparente Rahmen sowie flüssige Animationen beim Minimieren, Maximieren, Schließen und Öffnen von Fenstern. Hinsichtlich der Hardwareanforderungen sollten die folgenden Punkte beachtet werden. 왘 Prozessor Grundsätzlich ist Windows 7 auf allen aktuellen Prozessoren von Intel und AMD lauffähig und unterstützt alle Funktionen. Gemäß Microsoft genügt für die Nutzung der Basisfunktionen ein 1-GHz-Prozessor mit 32 Bit oder 64 Bit. In der Praxis sollte es jedoch mindestens ein 2-GHzProzessor sein. Empfehlenswert ist der Einsatz von Dual-Core-Prozessoren, die von Hause aus eine effizientere Leistungserbringung gewährleisten. Überlegenswert ist auch, mit Windows 7 eventuell auf die 64-Bit-Prozessortechnologie umzusteigen. Erleichtert wird der Umstieg dadurch, dass Microsoft alle Editionen auch als 64-Bit-Variante zur Verfügung stellt. Allerdings ist zu beachten, dass bei Einsatz einer 64-Bit-Version einige zusätzliche Anforderungen bestehen. So können beispielsweise nur noch signierte Treiber verwendet werden. Es sollte daher im Vorfeld sichergestellt werden, ob für die eingesetzte Hardware 64-Bit-Treiber zur Verfügung stehen. Im Gegensatz zu den Treibern können die meisten Programme, die für die 32-Bit-Version von Windows entwickelt wurden, auch unter der 64-Bit-Version ausgeführt werden. Allerdings laufen 64-Bit Anwendungen in der Regel schneller, da diese die Vorteile der 64-Bit-Architektur vollständig nutzen.

30

1 Installationsplanung und Vorbereitung 왘 Grafikkarte

Eine wesentliche Bedeutung kommt der verwendeten Grafikkarte zu, insbesondere wenn ein Aero-Desktopdesign verwendet werden soll. Für deren Einsatz muss die Grafikkarte das Windows Display Driver Model (WDDM) unterstützen. Auf dieses setzt u.a. auch der Multimediastandard DirectX 10 auf, der bereits mit Windows Vista Einzug gehalten hat. Zwar läuft Windows 7 auch mit DirectX 9, das Shader-Modell 4.0 sowie WDDM wird jedoch nur von DirectX 10 benutzt. Zusätzlich unterstützt Windows 7 die Version DirectX 11. Außerdem muss die Grafik-CPU über mindestens 128 MB Arbeitsspeicher verfügen. Bei Systemen mit integrierter Grafik-CPU sollte darauf geachtet werden, dass der Chipsatz WDDM-Unterstützung bietet. Um auch Grafikkarten ohne WDDM verwenden zu können, verwendet Windows 7 automatisch einen anderen Grafikmodus bzw. ein Basisdesign ohne Aero-Funktionen. In diesem Modus wird die Oberfläche von der CPU statt von der Grafikkarte erzeugt. 왘 Arbeitsspeicher

Offiziell kommt Windows 7 mit 1 GB RAM aus, für x64-Rechner werden 2 GB empfohlen. Dies stellt jedoch die unterste Grenze dar. Insbesondere bei Einsatz einer x64-basierten Windows 7-Edition, ist zu beachten, dass 64-Bit-Anwendungen mehr Arbeitsspeicher benötigen. Maximal unterstützt Windows 7 32-Bit-Versionen mit 4 GB, von denen aber aufgrund von Beschränkungen im 32-Bit-System nur 3,25 GB genutzt werden können. Die 64-Bit-Versionen Ultimate, Enterprise und Professional von Windows 7 können bis zu 192 GB Arbeitsspeicher verwalten (weit mehr als auch der Poweruser normalerweise benötigt), wodurch sie für ganz spezielle Computeraufgaben, die enorme Arbeitsspeichermengen erfordern, wie das Rendern von 3D-Grafiken, ideal geeignet sind. Die 64-Bit Versionen unterstützen bis zu maximal 192 GB (abhängig von der eingesetzten Edition). 왘 Festplatte

Microsoft definiert als Mindestgröße für die Festplatte 16 GB verfügbaren Festplattenspeicher auf einer mindestens 20 GB großen Festplatte. Die 64-Bit-Version erfordert 20 GB Platz. Diese Werte überfordern in der Regel selbst ältere Festplatten nicht, wobei ein Austausch älterer Festplatten auch aufgrund deren geringeren Geschwindigkeit empfehlenswert ist. Zu beachten ist auch, dass Windows 7 einige neue Funktionen im Bereich der Bildbearbeitung mitbringt und der Speicherplatzbedarf allein aus diesem Grund stark ansteigen kann. Wird ein Rechner für diese Zwecke eingesetzt, sollte bereits bei der Anschaffung darauf geachtet werden, dass dieser über möglichst viel Speicherplatz verfügt und, noch wichtiger, dass er später durch zusätzliche Festplatten erweiterbar ist. Windows 7 akzeptiert für das System nur Festplattenpartitionen, die mit dem Dateisystem NTFS formatiert sind. Für weitere (Nicht-System-) Partitionen werden auch FAT und FAT32 als Dateisystem unterstützt.

31

Kapitel 1 Betriebssysteminstallation 왘 BIOS

Das BIOS muss ACPI (Advanced Configuration and Power Interface) unterstützen. ACPI ist ein offener Industriestandard, der eine flexible und erweiterbare Hardwareschnittstelle für die Systemplatine definiert. Hierzu gehören beispielsweise intelligente Stromsparfunktionen. Vor der Installation sollte überprüft werden, ob der Hersteller eine aktualisierte BIOS-Funktion zur Verfügung stellt. 왘 Weitere Hardware

Für eine Installation vom Installationsmedium ist ein DVD-Laufwerk erforderlich, da Windows 7 nicht mehr auf eine CD-ROM passt. Darüber hinaus sollte mindestens eine 100-MBit-Ethernetkarte bzw. bei Notebooks alternativ eine 802.11-WLAN-Netzwerkkarte vorhanden sein. Wer die Festplattenverschlüsselungsfunktion BITLOCKER nutzen möchte, benötigt außerdem einen TPM-Chip, welcher der Spezifikation 1.2 der Trusted Computing Group (TCG) entspricht, sowie ein TCG-kompatibles BIOS. Alternativ ist für den Einsatz von BitLocker To Go ein USB-Flashlaufwerk erforderlich. Windows 7Logos

Abbildung 1.1 Diese Logos signalisieren, dass die Hardware bestimmte Anforderungen für den Betrieb mit Windows 7 erfüllt.

Wie bereits bei den Vorgängerversionen gibt es auch für Windows 7 die sogenannten Logo Requirements, die festlegen, welche Anforderungen Hardware für den Betrieb mit Windows 7 erfüllen muss, um das Windows 7-Logo tragen zu dürfen. Microsoft beschreibt die Anforderungen an Komplettrechner und PC-Komponenten sehr detailliert. Dabei unterscheiden sich die Anforderungen an Logo-taugliche Hardware laut Microsoft nur wenig von den Logo-Anforderungen von Windows Vista. Allerdings ist der Zugriff auf den sogenannten LogoPoint und damit auf die komplette Logo-RequirementsDatenbank nur noch Microsoft-Partnerfirmen mit Winqual-Account möglich. Dieser wiederum erfordert ein digitales VeriSign-Zertifikat. Alle anderen Anwender können lediglich einen öffentlichen Newsletter abonnieren [WHDC].

Prüfung der Windows 7-Tauglichkeit eines Computers Neue Geräte erfüllen in der Regel die Anforderungen, die Windows 7 an die Hardware stellt. Anders hingegen ist es mit älteren Rechnern. Und welches Unternehmen kann es sich leisten, mit jedem Betriebssystemwechsel auch die Hardware komplett auszutauschen? In aller Regel müssen deshalb auch ältere Rechner verwendet werden.

Windows 7 Upgrade Advisor

32

Um festzustellen, ob ein vorhandener Rechner für den Einsatz von Windows 7 geeignet ist, bietet Microsoft den Nachfolger des bereits für Windows Vista verfügbaren Upgrade Advisors an. ist. Der kostenlose Windows 7 Upgrade

1 Installationsplanung und Vorbereitung

Advisor überprüft Hardware, Geräte und installierte Programme auf bekannte Kompatibilitätsprobleme, gibt Hilfestellung beim Beheben erkannter potenzieller Probleme und empfiehlt Aktionen, die vor dem Upgrade ausgeführt werden sollten. Damit können mögliche Installationshindernisse aufgespürt und vor Beginn der Installation beseitigt werden [ADVISOR]. Der Windows 7 Upgrade Advisor analysiert die vorhandene Hardware und Software und gibt Auskunft darüber, ob für alle Hardwarekomponenten Treiber zur Verfügung stehen, listet die Programme auf, die unter 7 nicht lauffähig sind, und schlägt eine geeignete Windows 7-Edition vor. Nach Durchführung des Prüflaufs wird der nachfolgend abgebildete exemplarische Ergebnisbericht angezeigt. Dieser zeigt in verschiedenen Registerkarten die Tauglichkeit für den Einsatz der unterschiedlichen 7er-Editionen und weist ggf. auf noch erforderliche Maßnahmen hinsichtlich Systemausstattung, vorhandener Geräte und installierter Anwendungen hin. Allerdings beschränken sich die Ratschläge meist darauf, die Website des Herstellers aufzusuchen. Abbildung 1.2 Ergebnis der Windows 7Upgrade-AdvisorPrüfung

33

Kapitel 1 Betriebssysteminstallation

Ausführbar ist Windows 7 Upgrade Advisor unter Windows XP, Windows Vista und Windows 7. Der Einsatz auf Windows 7-Systemen kann dazu dienen, um festzustellen, ob der Einsatz anderer Windows 7-Editionen möglich ist.

1.1.2

Die Editionen von Windows 7 im Vergleich

Wie bereits die Vorgängerversionen Windows XP und Windows Vista ist auch Windows 7 in unterschiedlichen Editionen erhältlich. Während jedoch bei Windows XP die eingesetzte Hardware die Auswahl der Edition bestimmte, wie beispielsweise bei der Windows XP Tablet PC Edition, sind bei Windows Vista und Windows 7 die Editionen auf den Einsatzzweck ausgerichtet. So wendet sich Windows 7 Home Premium an Privatanwender, während Windows 7 Professional für den Einsatz in Unternehmen ausgelegt ist. Alle Editionen auch als x64Variante

Windows 7 ist in den nachstehend aufgeführten Editionen erhältlich, die jeweils einem unterschiedlichen Nutzungsprofil entsprechen. Mit Ausnahme der Starter-Edition gibt es alle Editionen sowohl in einer 32-BitVariante als auch in einer 64-Bit-Variante. Bei den im Handel erhältlichen Retail-Editionen kann ausgewählt werden, ob die 32-Bit- oder die 64-BitVersion installiert werden soll. (Windows 7 System-Builder- und OEMVersionen beinhalten jeweils nur die 32-Bit- oder die 64-Bit-Version.) Windows 7 Starter Die kleinste Variante ist in Deutschland nicht verfügbar. Diese Edition wird besonders preiswert vertrieben und ist vornehmlich für Entwicklungsländer bzw. Schwellenländer konzipiert. Der Funktionsumfang dieser Edition ist stark eingeschränkt und insbesondere für die Verwendung auf leistungsschwacher Hardware wie beispielsweise Netbooks gedacht. Sie ist auch die einzige Edition, die nur in einer 32-Bit-Variante erhältlich ist. Windows 7 Home Basic Windows Home Basic ist ebenfalls nicht in Deutschland erhältlich. Als stark abgespeckte Edition wird sie nur in speziellen Märkten vertrieben. Dieser Edition fehlt die Aero-Oberfläche, das Media Center sowie die Tauglichkeit, einer Domäne beizutreten. Die Zielgruppe dieser Edition sind Heim-PCAnwender, die ein preiswertes Windows-Betriebssystem suchen und denen es vor allem auf die Grundfunktionen von Windows ankommt. Windows 7 Home Premium Windows 7 Home Premium ist jene Edition, die sich auf den meisten Consumer-PCs finden wird. Sie beinhaltet sämtliche Multimedia-Features einschließlich des Windows Media Centers. Im Unternehmensbereich ist diese Edition nicht einsetzbar, unter anderem schon deshalb, weil kein Beitritt zu einer Domäne möglich ist.

34

1 Installationsplanung und Vorbereitung

Windows 7 Professional Die Professional-Edition ersetzt die Windows Vista Business Edition. Sie ist für den Einsatz in Unternehmen konzipiert und unterstützt beispielsweise die Mitgliedschaft in Active Directory-Domänen, stellt Technologien für eine automatisierte Bereitstellung im Unternehmensnetzwerk bereit und ist darüber hinaus mit Tablet-PC-Technologie ausgestattet. Einschränkend bietet sie keine Premium-Funktionen (u.a. BitLocker, AppLocker, DirectAccess, BranchCache und Multilanguage-Support). Windows 7 Enterprise und Ultimate Windows 7 Enterprise und Windows 7 Ultimate spielen eine Sonderrolle. Im Gegensatz zu den Windows Vista-Editionen unterscheiden sich diese beiden Editionen nicht in der Ausstattung, sondern lediglich in der Art und Weise der Lizenzierung. So ist die Enterprise Edition ausschließlich für Volumenlizenzkunden mit Software Assurance erhältlich und erlaubt die Aktivierung über einen unternehmenseigenen Schlüsselverwaltungsdienst [VAMT]. Beide Editionen verfügen über sämtliche Premium-Funktionen und sind für den Einsatz in komplexen IT-Infrastrukturen konzipiert. Ursprünglich hatte Microsoft für Europa mit Windows 7 E (ohne Internet Spezielle EuropaExplorer 8) und Windows 7 N (ohne Internet Explorer 8 und zusätzlich ohne Editionen waren Windows Media Player) zwei spezielle OEM-Versionen zur Vorinstallation geplant angekündigt. Diese Versionen wollte Microsoft anbieten, um die Auflagen der EU-Kommission zu erfüllen. Stattdessen aber ist nun geplant (Stand 12/2009), den Browser-Auswahlbildschirm Ballot-Screen zu implementieren. Anwender können damit einen anderen Browser als den Internet Explorer unter Windows 7 installieren.

1.1.3

Neuinstallation versus Upgrade

Eine der wichtigsten Entscheidungen bei einer Betriebssystemmigration in Bezug auf die Installation ist die Wahl des Installationsverfahrens. Hierbei ist zu entscheiden, ob eine Neuinstallation (Clean install) erfolgen oder ob ein bestehendes Betriebssystem mittels Aktualisierung (In-Place-Upgrade) aktualisiert werden soll bzw. kann. Allerdings ist im Fall von Windows 7 die Entscheidung meist einfach, denn Aktualisierung Windows Vista ist die einzige Windows-Version, von der aus direkt auf nur von Windows Windows 7 aktualisiert werden kann. Bei Einsatz einer älteren Windows- Vista unterstützt Version wie beispielsweise Windows XP bleibt nur, Windows 7 frisch zu installieren und danach bei Bedarf zumindest die Benutzereinstellungen mit Windows-EasyTransfer auf Windows 7 zu übertragen. Leider müssen in diesem Fall alle Anwendungen neu installiert werden. Der Grund ist technisch bedingt. Für Windows Vista hat Microsoft ein In-Place-Upgrade von Windows XP als Upgrade-Pfad zwar implementiert, doch war das Ergebnis nicht immer zufriedenstellend, da Windows XP und alle übrigen Vorgängerversionen in vielen Bereichen grundsätzlich andersartige Technologien als Windows Vista verwenden.

35

Kapitel 1 Betriebssysteminstallation

Um derartigen Problemen vorzubeugen, wird eine Aktualisierung auch von Windows XP nicht mehr unterstützt. Aus diesem Grund sollte auch auf den Workaround verzichtet werden, zuerst auf eine Testversion von Windows Vista und von dort aus dann weiter zu Windows 7 zu aktualisieren. Schließlich bietet eine Neuinstallation auch die Chance, sich von Altlasten zu befreien.

Aktualisierung versus Neuinstallation Bei der Aktualisierung einer vorhandenen Windows-Version ersetzt der Installations-Assistent für Windows 7 vorhandene Windows-Dateien, behält jedoch die vorhandenen Einstellungen und Anwendungen bei. Bei einer Benutzerdefinierten Installation (Neuinstallation) muss Windows 7 neu installiert werden. Die Installation kann bei einer Neuinstallation wahlweise aus einem vorhandenen Betriebssystem heraus oder durch Booten mit der Windows 7-Installations-DVD gestartet werden. Zusätzlich ist es möglich, Windows 7 neu zu installieren (auf dem gleichen oder einem anderen Rechner), dabei jedoch die Einstellungen und Dateien des alten Systems zu übernehmen. Ein solcher Umzug ist möglich von Rechnern, auf denen Windows 2000 oder höher ausgeführt wird. Hierbei werden die Daten vom alten Computer eingesammelt und dann auf dem neuen Computer wiederhergestellt. Microsoft bezeichnet ein derartiges Vorgehen ebenfalls als Upgrade (im Gegensatz zum In-Place-Upgrade). Hierbei handelt es sich tatsächlich um eine Neuinstallation mit einer zusätzlichen Migration von Benutzereinstellungen, Dokumenten und Anwendungen.

Unterstützte Upgrade-Szenarien Zu beachten ist, dass nicht von jeder Windows Vista-Edition ein Upgrade auf jede Windows 7-Edition technisch unterstützt wird. Die folgende Tabelle zeigt die zulässigen Upgrade-Möglichkeiten zu den verschiedenen Windows Vista-Editionen. Tabelle 1.1 Zulässige Windows 7-In-PlaceUpgrade-Pfade

36

Windows Vista-Edition

Unterstützte Windows 7-Edition

Windows Vista Home Basic

Windows 7 Home Premium und Ultimate

Windows Vista Home Premium Windows 7 Home Premium und Ultimate Windows Vista Ultimate

Windows 7 Ultimate

Windows Vista Business

Windows 7 Professional, Enterprise und Ultimate

Windows Vista Enterprise

Windows 7 Enterprise

1 Installationsplanung und Vorbereitung

Es ist zu beachten, dass architekturübergreifende direkte Upgrades, d.h. von einer 32-Bit- auf eine 64-Bit-Version, nicht unterstützt werden. Weiterhin gilt, dass die genannten Upgrade-Möglichkeiten nicht für alle Sprachversionen gelten. So wird beispielsweise ein Upgrade bzw. eine Aktualisierung bei der bulgarischen Sprachversion von Windows Vista auf die entsprechende Sprachversion von Windows 7 nicht unterstützt. Dies muss im Einzelfall vor der Installation geprüft werden.

Übernahme von Dateien und Einstellungen Dank zweier Programme kann die Durchführung einer Neuinstallation außerdem deutlich vereinfacht werden. Hierbei handelt es sich zum einen um Windows-EasyTransfer und zum anderen um das User State Migration Tool (USMT). Beide Programme bieten eine schnelle und einfache Möglichkeit, benutzer- Verschiedene spezifische Dateien und Einstellungen zu kopieren. Während Windows- Einsatzzwecke EasyTransfer zum Migrieren von Einstellungen und Dateien aller oder einzelner Benutzer von einem einzelnen Computer auf einen anderen Computer verwendet werden kann, erlaubt es das User State Migration Tool (USMT), gleichzeitig die Dateien und Einstellungen für mehrere Benutzer auf mehreren Computern zu migrieren, und unterstützt damit die Bereitstellung von Windows 7 in Unternehmensnetzwerken. Da USMT typischerweise im Rahmen der Bereitstellung von Windows auf den Clientrechnern in Unternehmensnetzwerken eingesetzt wird, finden Sie eine detaillierte Beschreibung dieses Programms in Abschnitt 1.3.2 ab Seite 69. Windows-EasyTransfer ist ein kostenloses Tool und kann in verschiede- Windows-Easynen Sprachversionen aus dem Microsoft Download Center heruntergela- Transfer den werden. Das Tool kann zum Verschieben von Benutzerkonten, Dateien und Ordnern, Interneteinstellungen und Favoriten sowie E-Mail-Einstellungen von einem vorhandenen Windows-Computer mit Windows XP [EASYTRANS_ XP] oder Windows Vista [EASYTRANS_VISTA32 und [EASYTRANS_ VISTA64] auf einen neuen Computer mit Windows 7 verwendet werden. Die Übertragung von Programmen ist jedoch nicht möglich, was bedeutet, dass alle Anwendungen nach einer Neuinstallation zwingend neu installiert werden müssen. Die Übertragung der Dateien mit Windows EasyTransfer kann mithilfe der folgenden Medien erfolgen: 왘 Netzwerkverbindung 왘 Wechselmedien, wie beispielsweise USB-Laufwerk oder externe Festplatte 왘 USB-EasyTransfer-Kabel

37

Kapitel 1 Betriebssysteminstallation

In Windows 7 ist die Software bereits integriert. Es ist daher nicht erforderlich, auf dem Computer, auf dem Windows 7 ausgeführt wird, Windows-EasyTransfer zu installieren. Die Übertragung mithilfe von Windows-EasyTransfer umfasst die folgenden Arbeitsschritte: 1. Nachdem Windows-EasyTransfer heruntergeladen wurde, muss es auf dem Quellrechner installiert werden. Alternativ kann EasyTransfer auf einen USB-Stick oder auf eine Netzfreigabe kopiert und von dort gestartet werden. 2. Damit Einstellungen von einem Computer auf einen anderen übertragen werden können, muss Windows-EasyTransfer auf beiden Computern gestartet werden. Öffnen und starten Sie Windows-EasyTransfer zuerst auf dem Quellrechner. Folgen Sie den Anweisungen des Assistenten. Aus Sicherheitsgründen ist für den Transfer die Verwendung eines Übertragungsschlüssels erforderlich. 3. Öffnen und starten Sie Windows-EasyTransfer dann auf dem Computer, auf dem Windows 7 ausgeführt wird. Geben Sie hierzu im Suchfeld des Startmenüs „Easy“ ein, und klicken Sie dann auf Windows-EasyTransfer. 4. Mithilfe des Windows EasyTransfer-Assistenten können anschließend die zu übertragenden Einstellungen und Dateien ausgewählt werden. Dabei können sowohl die Einstellungen aller Benutzer des Quellrechners als auch nur die des angemeldeten Benutzers gewählt werden. Sobald die Dateien und Einstellungen von dem alten Computer gesammelt und gespeichert wurden, muss wiederum zum Windows 7-Zielcomputer gewechselt werden, um den Assistenten abzuschließen. Abbildung 1.3 Der Windows-EasyTransfer-Assistent führt durch den Übernahmeprozess.

Steht das „alte“ System nach Abschluss der Installation von Windows 7 noch zur Verfügung, kann die Übernahme der Einstellungen im Anschluss an die

38

1 Installationsplanung und Vorbereitung

Installation erfolgen. Bei einer Neuinstallation auf dem gleichen System müssen die Einstellungen auf dem Quellcomputer zuvor gespeichert werden. Bei der Migrationsplanung sollte sorgfältig ausgewählt werden, welche Ele- Daten sorgfältig mente migriert werden (persönliche Benutzereinstellungen, Anwendun- auswählen gen, Anwendungseinstellungen, persönliche Datendateien und Ordner). Hierbei gilt, dass auf dem Zielsystem nur die Informationen wiederhergestellt werden dürfen, die wirklich benötigt werden. Das Wiederherstellen von Daten und Einstellungen für Anwendungen, die auf dem Zielsystem nicht mehr installiert werden, ist redundant und führt unter Umständen sogar zu Instabilität auf dem neuen Windows 7-Zielrechner.

1.1.4

Sichern bestehender Systeme vor Beginn der Migration

Sind auf einem Rechner, der nach Windows 7 migriert werden soll, lokale Daten gespeichert, müssen diese zwingend vor der Migration gesichert werden. Dies gilt auch für den Fall, dass eine Aktualisierung des Betriebssystems erfolgen soll. Beim Speichern der wichtigen lokalen Daten richten sich die Möglichkeiten nach dem ursprünglichen Betriebssystem und den verfügbaren Sicherungsoptionen. Möglich ist die Verwendung folgender Backup-Methoden: 왘 Verwendung systemintegrierter Werkzeuge (Windows-Backup) oder anderer Sicherungssoftware 왘 Sicherung der Daten in einen Netzwerkordner 왘 Brennen der Daten auf eine CD oder DVD 왘 Sicherung auf einer externen Festplatte Abhängig von der Wichtigkeit des Arbeitsplatzrechners kann es notwendig Festplattensein, eine Fallback-Möglichkeit einzuplanen, um bei Problemen während Image erstellen der Migration das bisherige System wiederherstellen zu können. Während die Sicherung der Daten beispielsweise durch einfaches Kopieren auf ein Netzlaufwerk erfolgen kann, lässt sich die zweite Anforderung am einfachsten durch Erstellung eines Speicherabbilds der Festplatte bzw. einer ausgewählten Partition lösen. Dies ist mit Windows-Bordmitteln jedoch nicht möglich. In diesem Fall müssen spezielle Festplattenabbildungsprogramme beispielsweise von den Anbietern Symantec oder Acronis verwendet werden, die es ermöglichen, exakte Kopien von Festplatten und Partitionen zu erstellen, die auf Laufwerken im Netzwerk oder auf CD-ROM bzw. DVD gespeichert werden können und es im Notfall erlauben, ein System mit allen Anwendungen und Einstellungen wiederherzustellen. Aktuell (Stand 12/09) vertreibt Symantec Norton Ghost in der Version 15.0. Norton Ghost Diese läuft unter Windows XP (Home und Professional) und unter Windows Vista (Home, Business und Ultimate). Norton Ghost stellt, neben diversen anderen Funktionen, Backup-Funktionen zur Sicherung des gesamten Inhalts einer Festplatte oder Partition (Festplatten-Image).

39

Kapitel 1 Betriebssysteminstallation

Norton Ghost 15

Acronis True Image

Hersteller:

Symantec

Preis:

34,99 EUR

URL:

http://www.symantecstore.com/dr/v2/ec_Main.Entry 17c?SID=27679&SP=10023&CID=178299&PID= 952080&PN=1&V1=952080&CUR=978

Alternativ kann beispielsweise Acronis True Home 2010 eingesetzt werden. Dieses Tool ermöglicht ebenfalls das Erstellen exakter Images von Festplatten bzw. Partitionen inklusive aller Daten, des Betriebssystems und der Programme und dateibasierte Backups für wichtige Dateien und Verzeichnisse von Rechnern mit Microsoft Windows XP (Home, Professional und Professional x64 Edition), Windows Vista (alle Editionen) sowie Windows 7 (alle Editionen). Da Acronis True Home 2010 bereits Windows 7 unterstützt, kann das Programm nach erfolgter Migration auch zum Sichern des Windows 7Rechners verwendet werden. Darüber hinaus bietet das Programm einige spezielle Funktionen für den Einsatz in Unternehmensnetzwerken. Hierzu zählen u.a. eine zentrale Administration und Remotesicherung bzw. -wiederherstellung sowie die Möglichkeit, Sicherungen auf direkt angeschlossenen Speichergeräten und NAS- oder SAN-Volumes zu speichern. Acronis True Home 2010 Hersteller:

Acronis

Preis:

49,95 EUR

URL:

http://www.acronis.de

1.1.5

Checkliste zur Installationsvorbereitung

Nachstehend finden Sie zusammengefasst noch einmal die wichtigsten Punkte, die überprüft bzw. angepasst oder durchgeführt werden sollten, bevor Sie mit der Installation von Windows 7 beginnen: 1. Prüfen Sie, ob der Rechner bzw. die Rechner die Hardware-Mindestvoraussetzungen für die Systeminstallation erfüllt bzw. erfüllen. Beachten Sie hierzu die Ausführungen in Abschnitt 1.1.1 ab Seite 30. 2. Überprüfen Sie, ob Windows 7 die verwendeten Hardwarekomponenten unterstützt. Verwenden Sie hierzu das Programm Windows 7 Upgrade Advisor. Hinweise zur Prüfung der Windows 7-Tauglichkeit finden Sie in Abschnitt 1.1.1 ab Seite 32. 3. Testen Sie die Kompatibilität der eingesetzten Unternehmenssoftware mit Windows 7. Insbesondere bei einem geplanten Upgrade ist es erforderlich, den Einsatz der Anwendungen unter Windows 7 im Vorfeld zu testen. Ergänzende Hinweise hierzu finden Sie in Kapitel 3.

40

1 Durchführung einer Einzelarbeitsplatz-Installation

4. Prüfen Sie, welche Installationsart für Ihr Unternehmen am besten geeignet ist. Müssen nur wenige Computer installiert werden, oder handelt es sich um ein Rollout für eine größere Anzahl von Arbeitsplatzrechnern? Legen Sie zum einen fest, ob die Installation mittels Neuinstallation oder mittels Update durchgeführt werden soll (siehe Abschnitt 1.1.3 ab Seite 35), und zum anderen, ob die Installation im Rahmen von Einzelarbeitsplatz-Installationen (Abschnitt 1.2 ab Seite 41) oder mithilfe automatisierter Installationsmethoden (Abschnitt 1.3 ab Seite 60) erfolgen soll. 5. Ist eine Neuinstallation geplant, bei der Benutzereinstellungen übernommen werden müssen, sollte vor Beginn der Installation entweder das Programm Windows-EasyTransfer oder das User State Migration Tool ausgeführt werden. Beachten Sie hierzu die Ausführungen in Abschnitt 1.1.3 ab Seite 37 bzw. in Abschnitt 1.3.2 ab Seite 68. 6. Sichern Sie alle lokal gespeicherten Dateien und ggf. die Systemkonfiguration vor Beginn der Migration eines bestehenden Systems. Im schlimmsten Fall kann ein zuvor funktionierendes System durch eine Update-Installation unbrauchbar werden. Da es in dieser Situation keinen Weg zurück gibt, ist die Sicherung der Startpartition beispielsweise mit Norton Ghost oder Acronis True Image vor Beginn der Installation zu empfehlen (siehe hierzu die Hinweise in Abschnitt 1.1.4 ab Seite 39). 7. In international agierenden Unternehmen werden ggf. verschiedene Sprachversionen benötigt. Die Möglichkeiten zur Verwendung von Sprachpaketen werden vorgestellt in Abschnitt 1.3.3 ab Seite 82.

1.2

Durchführung einer Einzelarbeitsplatz-Installation

Die einfachste Form der Installation besteht auch bei Windows 7 in der Ausführung des Setups mithilfe der Windows 7-Betriebssystem-DVD auf einem einzelnen Rechner. Der folgende Abschnitt beschreibt den generellen Installationsablauf bei Durchführung einer Einzelarbeitsplatz-Installation, bevor im anschließenden Abschnitt automatisierte Installationsverfahren vorgestellt werden. Aufgrund der Verwendung von TCP/IP als Standardprotokoll können Windows 7-Computer in eine Reihe verschiedener Netzwerkumgebungen integriert werden. Hierzu gehören neben Windows- auch Novell NetWareund Unix- sowie host-basierte Netzwerke.

1.2.1

Unterschiede zu früheren WindowsInstallationen

Bereits mit Windows Vista hat Microsoft einige grundlegende Änderungen beim Installationsprozess eingeführt. Diese vereinfachen insbesondere die

41

Kapitel 1 Betriebssysteminstallation

automatisierte Bereitstellung von Windows 7 in Unternehmensnetzwerken, wie später noch gezeigt wird, haben aber auch Auswirkungen auf den Installationsprozess eines Einzelarbeitsplatz-Rechners.

Keine Installation im Textmodus mehr Der grundlegende Prozess zur Installation war bislang seit Windows NTZeiten unverändert und umfasste einen anfänglichen Textmodus-Installationsteil, bei dem jede einzelne Betriebssystemdatei dekomprimiert und installiert, alle Registrierungseinträge erstellt und sämtliche Sicherheitseinstellungen zugewiesen wurden. Diese Textmodus-Installationsphase gibt es bei Windows 7 nicht mehr. Stattdessen wird die Installation von einem neuen Setup-Programm komplett im grafikbasierten Modus durchgeführt.

Windows PE statt Startdisketten Die Vorgängerversionen von Windows 7 bzw. Windows Vista ermöglichten alternativ zum Starten der Installation von CD-ROM die Verwendung von Startdisketten. Diese Möglichkeit existiert nicht mehr. Stattdessen verwendet Windows 7 das Windows Pre-Installation Environment (Windows PE). Bei Windows PE handelt es sich um eine Minimalversion von Windows, mit der eine Untermenge der Windows-Systemumgebung über das Netzwerk oder ein Wechselmedium gestartet wird und die Programme zur Installation und zur Wiederherstellung des Microsoft Windows 7-Betriebssystems zur Verfügung stellt. Hierbei wird standardmäßig unter Verwendung einer RAM-Disk gebootet. Auf der Installations-DVD liegen die Setup-Dateien nicht mehr einzeln, sondern gepackt im Windows Image Format (WIM) vor. Entwickelt wurde Windows PE als Ersatz für MS-DOS als Prä-Installationsumgebung und löst damit die DOS-Bootdiskette bzw. die DOS-BootUmgebung ab. Windows PE kann aufgrund der Größe (ca. 260 MB) nicht auf einer Diskette gespeichert werden. Unterstützt wird das Speichern u.a. auf CD, DVD und USB-Sticks. Im Übrigen wird bei jeder Installation von Windows 7 Windows PE ausgeführt. Dem Anwender begegnet Windows PE als grafische Oberfläche, in der während der Setup-Phase die Konfigurationsinformationen abgefragt werden. Aber auch wenn jede Windows 7Installation mit Windows PE beginnt, wird man als Anwender dessen Existenz gar nicht bemerken.

Windows Image Format (WIM) WIM ist ein dateibasiertes Imageformat für die Erstellung von Festplatten-Abbilddateien, das gegenüber den allgemein gebräuchlichen sektorbasierten Imageformaten deutlich Vorteile bietet und die Erstellung und Verwaltung von Betriebssystemabbildern (Images) sehr erleichtert. So ermöglicht es dieses Format beispielsweise, nur ein Image für mehrere verschiedene Konfigurationen zu nutzen. Außerdem können WIM-basierte Images jederzeit nachträglich geändert und angepasst werden. Treiber, Updates und andere Windows-Komponenten können offline und ohne einen einzigen Start des Images hinzuefügt und entfernt werden.

42

1 Durchführung einer Einzelarbeitsplatz-Installation

Windows 7 bringt Programme mit, mit denen Images direkt bearbeitet werden können. Eine ausführliche Beschreibung der Bereitstellung von Windows 7 mithilfe der neuen Imagefunktionen finden Sie in Abschnitt 1.3 ab Seite 60.

\i386 gibt es nicht mehr Das noch bei Windows XP wichtige Verzeichnis \i386 gibt es bei Windows 7 nicht mehr (weder auf der DVD noch später nach dem Abschluss der Installation auf der Festplatte des Rechners). Stattdessen werden alle Komponenten, ob installiert oder nicht, im Windows-Verzeichnis gespeichert. Bei Installation einer neuen Komponente werden die erforderlichen Dateien aus diesem Speicherort abgerufen. Entsprechend sucht man auch die beiden Installationsdateien WINNT.EXE und WINNT32.EXE vergeblich, die sich bei den Vorgängerversionen von Windows Vista im Installationsverzeichnis \i386 befinden. Um die Installation von Windows 7 zu starten, ist stattdessen die Datei Setup.exe aus dem Stammverzeichnis der Windows 7-DVD zu verwenden.

1.2.2

Ablauf einer Neuinstallation

Die Möglichkeiten zum Start der Installation von Windows 7 hängen vor allem davon ab, ob bereits ein Betriebssystem vorhanden ist, aus dem heraus die Installation angestoßen werden kann, oder ob eine Neuinstallation auf einem Rechner ohne Betriebssystem erfolgt. Dieser Abschnitt beschreibt ausführlich den Vorgang der Installation von Windows 7 auf einem „ leeren“ Rechner ohne vorhandenes Betriebssystem. Der Ablauf einer Upgrade-Installation unterscheidet sich nur geringfügig von dem einer Neuinstallation und wird im anschließenden Abschnitt 1.2.3 ab Seite 53 beschrieben. Windows 7 wird auf einer bootfähigen Installations-DVD geliefert. Um die Booten mit der Installation von dieser DVD starten zu können, muss ggf. zuvor die Sys- Windows 7-DVD tembootreihenfolge im BIOS geändert werden: 1. CD-ROM 2. Boot-Festplatte Damit anschließend der Startvorgang von der DVD beginnen kann, muss eine beliebige Taste gedrückt werden, sobald die entsprechende Aufforderung erfolgt. Bei späteren Neustarts während der Installationsroutine kann die DVD somit im Laufwerk verbleiben, allerdings ist dann ein Drücken von Tasten zu unterlassen. Eine weitere Möglichkeit, die Installation zu starten, besteht darin, Setup.exe Installation mit aus dem Stammverzeichnis der Windows 7-Installations-DVD auszuführen. Setup.exe Der Aufruf von Setup.exe kann entweder direkt von der DVD oder durch Ablage des Installationsverzeichnisses im Netzwerk erfolgen. Dabei besteht der hauptsächliche Unterschied im Speicherort der Dateien, die zur Installation von Windows 7 benötigt werden. Im zweiten Fall muss der zu installie-

43

Kapitel 1 Betriebssysteminstallation

rende Rechner über einen Netzwerkzugriff (Leserechte) auf das freigegebene Installationsverzeichnis verfügen. Das Verhalten von Setup.exe kann mit einer Reihe von Parametern gesteuert werden. Die folgende Tabelle zeigt die für Setup.exe verfügbaren Parameter. Tabelle 1.2 Parameter von Setup.exe

Installation erfolgt in drei Phasen

44

Setup.exe-Parameter

Erklärung

/1394debug:

Aktiviert das Kernel-Debugging über einen IEEE 1394-Anschluss.

/debug: /baudrate:

Aktiviert das Kernel-Debugging über den angegebenen Port.

/emsport: /usebiossettings / /emsbaudrate:

Aktiviert/Deaktiviert die Notverwaltungsdienste Emergency Management Services (EMS). Mit EMS können Rechner in Problemsituationen remote verwaltet werden, ohne dass eine lokale Tastatur, Maus oder ein Monitor angeschlossen ist.

/noreboot

Hiermit wird das Installationsprogramm angewiesen, den Computer nach der ersten Initialisierungsphase nicht neu zu starten, sodass weitere Einstellungen vorgenommen und beziehungsweise Befehle ausgeführt werden können. Alle anderen Neustarts werden wieder automatisch durchgeführt.

/m:

Mit diesem Parameter kann ein zusätzliches Verzeichnis benannt werden, in dem für die Installation zusätzlich verwendbare Daten, wie beispielsweise Treiber, hinterlegt werden.

/tempdrive:

Hiermit wird dem Installationsprogramm das Verzeichnis zur Speicherung temporärer Dateien explizit angegeben. Beim Speicherort muss es sich um einen vollständigen Pfad in der Form x:\Pfad handeln. Alternativ kann auch eine Netzwerkfreigabe in UNC-Schreibweise \\Server\ Freigabe\Pfad angegeben werden.

/unattend:

Bei Verwendung dieses Parameters führt das Setup eine unbeaufsichtigte Installation mithilfe einer Antwortdatei aus. Die Antwortdatei enthält Antworten auf einige oder alle Eingabeaufforderungen, die während der Installation normalerweise beantwortet werden müssen.

/usbdebug:

Aktiviert das Kernel-Debugging über einen USB 2.0-Anschluss.

Die Installation erfolgt in drei Teilen und wird komplett im grafikbasierten Modus durchgeführt, eine Textmodus-Installationsphase gibt es bei Windows nicht mehr. 왘 Sammeln von Information 왘 Installation von Windows 7 왘 Durchführung der Erstkonfiguration und Personalisierung

1 Durchführung einer Einzelarbeitsplatz-Installation

Sammeln von Informationen Das erste Dialogfeld, das nach dem Start der Installation angezeigt wird, Auswahl der fragt die gewünschte Installations- und Tastatursprache sowie das Uhr- Installations- und Tastatursprache zeit- und Währungsformat ab. Abbildung 1.4 Erstes Dialogfeld nach dem Start des Installations-Assistenten

Interessant ist der folgende Abfragedialog. Hier kann mit der Option Jetzt Start der installieren das eigentliche Installationsprogramm gestartet werden. Dane- Installation ben besteht die Möglichkeit, die Option Wissenswertes vor der WindowsInstallation zu wählen. Diese Option ruft eine Hilfe- und Supportseite mit Hinweisen und Anleitungen zur Installation von Windows 7 auf. Abbildung 1.5 Alternativ zum Start der Installation kann an dieser Stelle die Systemwiederherstellung (Computerreparaturoptionen) aufgerufen werden.

45

Kapitel 1 Betriebssysteminstallation Wiederherstellungsoptionen

Alternativ können an dieser Stelle mittels der Option Computerreparaturoptionen die Systemwiederherstellungsoptionen angezeigt werden. Gibt es bei einem Windows 7-Rechner im Produktivbetrieb Probleme, kann hierüber u.a. die Wiederherstellungskonsole geöffnet oder der Rechner mittels einer Sicherung wiederhergestellt werden. Für den Zugriff auf die Reparaturoptionen ist zunächst die zu reparierende Betriebssysteminstallation zu wählen. Anschließend stehen die in dem folgenden Dialogfeld gezeigten Optionen zur Verfügung.

Abbildung 1.6 Mithilfe der Wiederherstellungsoptionen kann ein vorhandenes Windows 7 repariert oder ein früherer Zustand wiederhergestellt werden.

Um an dieser Stelle wieder in den Installationsmodus zurückzukehren, genügt es, auf das Schließfeld in der rechten oberen Fensterecke zu klicken. Anschließend ist festzulegen, ob neuere Updates und Treiber vor bzw. während der Installation aus dem Internet heruntergeladen werden sollen. Hierbei handelt es sich um eine Funktion, die Microsoft als Dynamisches Update bezeichnet. Diese erlaubt es, während der Installation wichtige Updates und Treiber herunterzuladen, die für den Konfigurationsprozess erforderlich sind. Hierbei werden die folgenden Dateien aktualisiert: 왘 Treiber: Das dynamische Update lädt zum einen Treiber herunter, die nicht auf der Windows 7-Installations-DVD verfügbar sind. Es werden ausschließlich Gerätetreiber von der Windows-Aktualisierungswebseite heruntergeladen, nicht von Herstellerseiten. Diese Treiber haben das Logozertifizierungsprogramm durchlaufen. Zum anderen werden Treiber, die in Windows 7 enthalten sind und für die es eine Fehlerbehebung gibt, bereitgestellt. Derartig korrigierte Dateien werden als kritische Updates behandelt.

46

1 Durchführung einer Einzelarbeitsplatz-Installation 왘 Kritische Updates:

Diese ersetzen Dateien, die auf der Windows 7-Installations-DVD vorhanden sind. Zu dieser Kategorie gehören: 1. Updates, die Fehlerbehebungen zu beliebigen bereits installierten Dateien enthalten. 2. Aktualisierte .Installationsdateien, die während des Aktualisierungsvorgangs benötigt werden. 3. Fehlerbehebungen, die kritische Fehlerbehebungen für DLLs (Dynamic Link Libraries) enthalten und die vom Setup-Programm verwendet werden. Die Bestätigung, Updates herunterzuladen, bedingt, dass der Computer während der Installation mit dem Internet verbunden bleiben muss. Wenn dies nicht möglich oder nicht gewünscht ist, muss entsprechend die zweite Option ausgewählt werden. Abbildung 1.7 Während der Installation können aktuelle Updates heruntergeladen werden.

Die Ausführung des dynamischen Updates ist standardmäßig eingeschaltet. Bei der Durchführung unbeaufsichtigter Installationen kann die Funktion mit dem folgenden Parameter deaktiviert werden: DUDisable

In dem folgenden Dialogfeld ist, wie auch bei allen Installationen früherer Windows-Versionen, die Akzeptanz der Lizenzbedingungen zu bestätigen. Im nächsten Schritt bietet der Installations-Assistent „scheinbar“ die Wahl Update-Option zwischen einer Upgrade-Installation und einer benutzerdefinierten Installa- nur scheinbar tion, d.h. einer Neuinstallation. Wurde aber das Setup von einem Installa- verfügbar tionsmedium aus gestartet, erscheint bei Auswahl der ersten Option lediglich ein Auszug aus dem Kompatibilitätsbericht. Dieser weist darauf hin, dass ein Upgrade nur möglich ist, wenn das Setup aus dem zu aktualisierenden Betriebssystem heraus gestartet wird.

47

Kapitel 1 Betriebssysteminstallation Abbildung 1.8 Wurde das Setup von DVD gestartet, muss an dieser Stelle die Option Benutzerdefiniert (erweitert) gewählt werden.

Festplattenpartitionierung

Im letzten Schritt der ersten Phase ist die Installationspartition auszuwählen. An dieser Stelle bietet Windows 7 auch die Möglichkeit, bestehende Partitionen zu löschen und neue zu erstellen.

Abbildung 1.9 Festlegung der Installationspartition

Sinnvolle Festplattenkonfiguration Die Partitionierung und Konfiguration der Festplatte(n) sollten sinnvollerweise vor Beginn der Installation geplant werden. Hierbei sind die folgenden Aspekte zu berücksichtigen.

48

1 Durchführung einer Einzelarbeitsplatz-Installation

Im Gegensatz zu Windows XP und früheren Versionen akzeptiert Windows 7 für das System nur Festplattenpartitionen, die mit dem Dateisystem NTFS formatiert sind. FAT- und FAT32-Partitionen werden jedoch für Anwendungsdaten vollständig unterstützt. In den meisten Fällen ist eine Aufteilung in eine Systempartition und eine Datenpartition sinnvoll. Allerdings ist das Datenträgermanagement mit Windows 7 deutlich einfacher geworden, sodass Planungsfehler später noch korrigiert werden können. So ist es beispielsweise problemlos und ohne Neustart möglich, auch die Systempartition im laufenden Betrieb dynamisch zu verkleinern bzw. zu vergrößern. Außerdem ist es im Gegensatz zu Windows Vista nicht mehr erforderlich, manuell die für den Betrieb von BitLocker (unter Windows 7 Ultimate) notwendige unverschlüsselte Startpartition anzulegen. Diese wird beim Setup von Windows 7 automatisch angelegt. Zudem erhält diese Systempartition auch keinen Laufwerkbuchstaben mehr und wird nicht im Ordner Computer angezeigt. Dies soll u.a. ein versehentliches Speichern von Daten auf dem unverschlüsselten Laufwerk verhindern. Damit ist die Sammlung der Informationen abgeschlossen, und Windows Installations7-Setup startet die nächste Phase. Bei den Vorgängerversionen endete an phase dieser Stelle der textbasierte Installationsabschnitt.

Installation von Windows 7 Während der Installationsphase werden die Installationsdateien auf die Festplatte kopiert bzw. extrahiert und der Rechner mehrmals neu gestartet. Benutzereingriffe sind in dieser Phase nicht erforderlich. Abbildung 1.10 Phase 2 der Installation: Windows 7 wird installiert.

49

Kapitel 1 Betriebssysteminstallation

Erstkonfiguration und Personalisierung Nach dem Abschluss der reinen Installationsphase wird der Rechner neu gestartet. Während des sich anschließenden Installationsabschnitts werden die folgenden Informationen abgefragt bzw. sind die folgenden Funktionen zu konfigurieren: 왘 Administratorname 왘 Computername 왘 Auswahl einer Sicherheitsstufe 왘 Datum und Uhrzeit sowie Zeitzone Administratorkonto einrichten

Im ersten Schritt dieser letzten Phase sind ein Benutzerkonto und dessen Kennwort festzulegen. Dieses Konto wird automatisch Mitglied der Gruppe der lokalen Administratoren. Aus Sicherheitsgründen wird das standardmäßige Administratorkonto vom System deaktiviert. Soll dieses später verwendet werden, muss es zunächst aktiviert und ein Kennwort festgelegt werden.

Abbildung 1.11 Da Windows 7 das Standard-Administratorkonto deaktiviert, muss zunächst ein neues Konto eingerichtet werden.

Computernamen festlegen

In demselben Dialogfeld ist auch der Name für den Rechner einzutragen. Dieser darf maximal 15 Zeichen lang sein und muss aus alphanumerischen Zeichen bestehen. Außerdem dürfen Bindestriche verwendet werden. Andere Sonderzeichen sich nicht erlaubt. Auch die ausschließliche Verwendung von Ziffern ist nicht gestattet. Anschließend kann das Kennwort vergeben und zusätzlich ein Kennworthinweis eingetragen werden. An dieser Stelle greifen noch nicht die Komplexitätsanforderungen, und auch ein leeres Kennwort wird zugelassen. Da dieses Konto aber über Administratorrechte verfügt, sollte dringend ein sicheres Kennwort vergeben werden.

50

1 Durchführung einer Einzelarbeitsplatz-Installation

Im nächsten Schritt erfolgt die Abfrage des Produktschlüssels. Dieser ist in fünf Gruppen gegliedert und ohne Bindestriche einzugeben. Abbildung 1.12 Dialogfeld zur Eingabe des Produktschlüssels. Die Eingabe des Schlüssels ist an dieser Stelle nicht zwingend erforderlich.

An dieser Stelle kann die Installation auch ohne Eingabe des Produktschlüssels fortgesetzt werden. Wird kein Schlüssel eingegeben, kann Windows 7 maximal 30 Tage uneingeschränkt betrieben werden. Nach Ablauf der Frist muss ein gültiger Produktschlüssel eingegeben und das Systems 7 aktiviert werden. Allerdings lässt sich diese Frist maximal dreimal verlängern, was aber wohl nur für den Einsatz auf Testsystemen relevant sein dürfte.

Eingabe des Produktschlüssels auch später möglich

Standardmäßig ist die Option zur automatischen Aktivierung von Windows 7 aktiviert. Ist dies nicht gewünscht oder wird die Installation ohne Eingabe eines Produktschlüssels fortgesetzt, muss das Kontrollkästchen Windows automatisch aktivieren, wenn eine Internetverbindung besteht im Dialogfeld zur Eingabe des Produktschlüssels deaktiviert werden. Das folgende Dialogfeld verlangt die Auswahl des Sicherheitsstatus für Sicherheitsstufe den Computer. Die Option Empfohlene Einstellungen verwenden schließt die auswählen folgenden Festlegungen ein: 왘 Windows-Firewall: Wie bereits Windows XP und Windows Vista bringt Windows 7 eine Desktop-Firewall mit. Diese wird standardmäßig aktiviert. 왘 Aktivierung von automatischen Updates: Sicherheitspatches und andere Updates werden automatisch heruntergeladen und installiert. 왘 Spyware-Schutz: Mit dem Dienstprogramm Windows Defender enthält Windows 7 ein Antispyware-Programm, das den Rechner vor Spyware und unerwünschter Software schützt und die Sicherheit beim Surfen im Internet erhöht. Ist Windows Defender aktiviert, prüft das Programm zweimal pro Tag den Rechner auf Spyware und andere möglicherweise schädliche Software.

51

Kapitel 1 Betriebssysteminstallation 왘 Automatische Fehlerübermittlung an Microsoft: Die Auswahl der höchsten

Sicherheitsstufe umfasst auch die Festlegung, dass im Fehlerfall automatisch eine Meldung an Microsoft gesendet wird. Die hierfür verwendete Komponente ist der Microsoft-Fehlerberichterstellungsdienst (engl. Error Reporting Service). 왘 Treiber-Update: Windows 7 bietet eine automatische Überprüfung auf neue Treiber für Geräte, einschließlich der Möglichkeit, aktuelle Gerätemetadaten automatisch herunterzuladen. Bei Auswahl dieser Option wird die automatische Suche nach Gerätetreibern aktiviert. 왘 Internet Explorer-Phishingfilter: Der Internet Explorer 8 enthält mit dem SmartScreen-Filter einen Schutz, der beim Besuch von Webseiten, die typische Phishing-Charakteristika aufweisen, warnt. Die Annahme der empfohlenen Einstellungen schaltet den Phishingfilter mit automatischer Webseitenprüfung ein. Alle Einstellungen können später geändert werden. Natürlich ist es auch möglich, an dieser Stelle auf die automatische Aktivierung der Sicherheitsfunktionen zu verzichten und diese nach Abschluss der Installation manuell zu aktivieren und zu konfigurieren. Abbildung 1.13 Die Auswahl der höchsten Sicherheitsstufe aktiviert eine Reihe implementierter Sicherheitsfunktionen.

Im nächsten Schritt ist die Zeitzone auszuwählen, und – falls erforderlich – das Datum und die Uhrzeit sind anzupassen. Ist der Computer an ein Netzwerk angeschlossen, fragt Windows abschließend, um welche Art von Netzwerk es sich handelt. Bei einem Einsatz im Unternehmensnetzwerk ist hier die Option Arbeitsplatznetzwerk auszuwählen. Ausführliche Informationen zum Einsatz von Windows 7 finden Sie in Kapitel 8.

52

1 Durchführung einer Einzelarbeitsplatz-Installation Abbildung 1.14 Ist der Computer an ein Netzwerk angeschlossen, ist die Art des Netzwerks anzugeben.

Damit ist der Installationsvorgang abgeschlossen, und Windows 7 kann erstmals gestartet werden.

1.2.3

Ablauf einer Upgrade-Installation

Der Ablauf einer Upgrade-Installation unterscheidet sich von der einer Neuinstallation (abgesehen vom Start der Installation) nur geringfügig. Die folgenden Ausführungen beschränken sich daher auf die Beschreibung der Unterschiede im Ablauf beider Installationsarten. Um ein vorhandenes Betriebssystem auf Windows 7 zu aktualisieren, muss die Installation zwingend aus dem vorhandenen Betriebssystem heraus gestartet werden. Dies kann durch einfaches Einlegen der Windows 7-DVD bei aktivierter Autoplay-Funktion bzw. durch Ausführen der Datei Setup.exe von der Windows 7-Installations-DVD erfolgen. Die Upgrade-Installation startet mit dem in nachstehender Abbildung gezeigten Willkommens-Dialogfeld, das im Gegensatz zum Begrüßungsdialogfeld bei einer Neuinstallation die Option Kompatibilität online prüfen enthält. Diese Option führt zu einer Webseite, von der das Programm Windows 7 Upgrade Advisor heruntergeladen werden kann. Wie bereits in Abschnitt 1.1 ab Seite 29 beschrieben, ermöglicht das Programm eine Überprüfung der Systemkompatibilität mit Windows 7, um mögliche Installationskonflikte im Vorfeld zu erkennen. Die Überprüfung sollte sinnvollerweise bereits im Rahmen der Vorbereitungsarbeiten vor dem Beginn der eigentlichen Installation erfolgen.

53

Kapitel 1 Betriebssysteminstallation Abbildung 1.15 Begrüßungsbildschirm von Windows 7 bei einer Upgrade-Installation

Weiter wie bei Neuinstallation

Die nachfolgenden Arbeitsschritte entsprechen denen einer Neuinstallation. 1. Bestätigung des dynamischen Updates 2. Annahme der Lizenzbedingungen Erst nach Durchführung der genannten Arbeitsschritte fordert der Windows 7-Installations-Assistent zur Auswahl der gewünschten Installationsart Upgrade oder Benutzerdefiniert (erweitert) auf.

Prüfung der UpgradeFähigkeit

Abbildung 1.16 Die Auswahl der Option Upgrade startet einen Kompatibilitätsassistenten.

54

Wird die Upgrade-Option gewählt, erfolgt anschließend eine Kompatibilitätsprüfung. Nach Abschluss der Prüfung wird ein Kompatibilitätsbericht angezeigt, der auf Installationshindernisse und mögliche Auswirkungen hinweist. Steht beispielsweise, wie in Abbildung 1.16 gezeigt, kein ausreichender Festplattenspeicher zur Verfügung bzw. fehlt ein Service Pack, kann die Installation entweder abgebrochen oder mit einer Neuinstallation fortgesetzt werden. Gleiches gilt, wenn die zulässigen Upgrade-Pfade nicht eingehalten werden (beachten Sie hierzu die Tabelle 1.1 auf Seite 36).

1 Durchführung einer Einzelarbeitsplatz-Installation

Bei Auswahl der Option Upgrade erfolgt zunächst ein Kompatibilitätstest. Anschließend werden die vorhandenen Systemeinstellungen ermittelt, bevor die Installation in der gleichen Art erfolgt wie bei einem Rechner, auf dem noch kein Betriebssystem installiert ist.

1.2.4

Durchführung einer Parallelinstallation

Insbesondere zu Testzwecken kann es sinnvoll sein, Windows 7 parallel zu einem bestehenden Betriebssystem zu installieren. Dies ist problemlos möglich. In diesem Fall richtet Windows 7 ein Boot-Menü ein, das alternativ den Start der Vorgängerversion ermöglicht. Die Installation parallel zu einem bestehenden Betriebssystem unterscheidet sich nicht von einer Upgrade- oder einer Neuinstallation. Auch der Start der Installation kann entweder von der Setup-DVD oder dem bestehenden Betriebssystem heraus erfolgen. Windows 7 kann entweder auf einer logischen Partition oder auf einer zwei- Bootmanager auf ten primären Partition installiert werden. Auf der als aktiv gekennzeichne- aktiver Partition ten Partition richtet Windows 7 den versteckten Systemordner Boot ein, der die Informationen für den Boot-Manager von 7 enthält. Wird Windows 7 auf einer zweiten primären, als aktiv gesetzten Partition installiert, wird der Systemordner Boot ebenfalls auf dieser Partition eingerichtet. In diesem Fall kann Windows 7 das andere Betriebssystem aber nicht in das Bootmenü aufnehmen, d.h., das andere System kann nicht gestartet werden. Abbildung 1.17 BCDEdit ermöglicht die Konfiguration des StartkonfigurationsdatenSpeichers.

Allerdings verwendet Windows 7 nicht mehr die Datei Boot.ini zur Verwaltung der Bootkonfiguration. Stattdessen werden die Konfigurationsinformationen im Startkonfigurationsdaten-Speicher – BCD.Store (Boot Configuration Data Store) gespeichert. Auch hierbei handelt es sich um eine Datei, die aller-

55

Kapitel 1 Betriebssysteminstallation

dings im Binärformat gespeichert wird und daher nicht so leicht zu handhaben ist wie die Boot.ini. Zur Bearbeitung der Konfigurationsdatei muss das Befehlszeilentool BCDEDIT.EXE verwendet werden. Muss die Bootkonfiguration geändert werden, ist es erfreulicherweise aber nicht erforderlich, das sehr komplexe Befehlszeilentool BCDEDIT zu verwenden, da Tools mit einer grafischen Schnittstelle von Drittherstellern zur Verfügung stehen. Mit EasyBCD den Windows 7Bootloader bearbeiten

Hierzu gehört beispielsweise EasyBCD, mit dessen Hilfe u.a. das Boot-Menü bearbeitet und Bootsektoren wiederhergestellt werden können. Außerdem bietet es Anzeigeoptionen, mit denen älteren Betriebssystemen ein Windows 7-Look gegeben werden kann. EasyBCD 1.72 Hersteller:

NeoSmart Technologies

Preis:

Freeware

URL:

http://neosmart.net/dl.php?id=1

1.2.5

Abschließende Aufgaben nach Installationsabschluss

Unter Windows wurde der Benutzer nach dem ersten Start mit einem Begrüßungscenter empfangen. Dieses hat Microsoft bei Windows 7 eingespart. Alternativ sollte zunächst das Wartungscenter besucht werden, da dieses Zugriff auf die meisten abschließenden Aufgaben bietet. 왘 Sicherheit: Falls nicht bereits während der Installation geschehen, sollten im ersten Schritt die Sicherheitseinstellungen überprüft bzw. konfiguriert werden. Hierzu zählt die Konfiguration von Virenschutz, Firewall, Windows Update u.a. Nähere Informationen hierzu erhalten Sie in Kapitel 13. 왘 Einstellungen der Benutzerkontensteuerung: Standardmäßig verwendet Windows 7 einen niedrigeren Level bei der Benutzerkontensteuerung als Windows Vista. Aus Sicherheitsgründen sollte der höchstmögliche Level einstellt werden. Erläuterungen zur Benutzerkontensteuerung finden Sie in Kapitel 5. 왘 Probleme ermitteln: Nach der Installation und dem ersten Start stellt sich heraus, ob Windows alle Geräte automatisch erkennen und installieren konnte – oder nicht. Im Wartungscenter werden Probleme gemeldet, die Windows 7 beim ersten Start erkannt hat. Zusätzlich können die Einstellungen zur Problembehandlung angepasst werden. Ausführliche Erläuterungen, wie Sie Hardware- und Treiberprobleme beheben können, finden Sie in Kapitel 2. 왘 Sicherung einrichten: Windows 7 bietet implementierte Funktionen zur Erstellung regelmäßiger Sicherungen. Standardmäßig sind keine Sicherungsmaßnahmen aktiviert. Beachten Sie hierzu Kapitel 15.

56

1 Durchführung einer Einzelarbeitsplatz-Installation 왘 Wiederherstellung einrichten: Die Wiederherstellung in der Systemsteu-

erung umfasst mehrere Optionen, mit deren Hilfe Sie einen Computer nach einem schwerwiegenden Fehler wiederherstellen können. Auch hierzu finden Sie nähere Informationen in Kapitel 15. Weiterhin ist es hierüber möglich, Details zum Leistungsindex anzuzeigen und die Produktaktivierung zu starten. Die beiden letztgenannten Aufgaben werden im Folgenden ausführlicher betrachtet. Abbildung 1.18 Das Wartungscenter von Windows 7

Produktaktivierung Mit Windows XP hat Microsoft die Produktaktivierung eingeführt. Diese basiert auf einer eindeutigen Product ID, die bei der Installation von Windows 7 erstellt und unter System angezeigt wird, sowie auf dem während der Installation einzugebenden Produktschlüssel. Beim Aktivierungsvorgang wird auf der Basis eines mathematischen Verfah- Hardwarerens eine individuelle Installationskennung errechnet. Neben der Product ID kennung bzw. dem Produktschlüssel wird hierzu eine PC-Kennzeichnung herangezogen, die auch als Hardwarekennung bezeichnet wird. Die Hardwarekennung wiederum wird unter Zuhilfenahme wichtiger Hardwareparameter, wie beispielsweise der physikalischen Netzwerkadresse, ermittelt. Im Gegensatz zu Windows XP ist bei Windows 7 keine Neuaktivierung erforderlich, solange die Festplatte nicht gewechselt wird. In diesem Fall ändert sich die Installationskennung, was eine erneute Aktivierung zur Folge hat. Während der Aktivierung wird nur die Installationskennung an Microsoft Aktivierungsübermittelt (per Telefon oder per Internet). Hier wird überprüft, ob die Pro- vorgang duct ID von Microsoft stammt und ob die Installationskennung bereits zur

57

Kapitel 1 Betriebssysteminstallation

Installation von Windows 7 auf einem anderen Rechner verwendet wurde. Wenn die Prüfung problemlos verläuft, erhält der Computer eine Bestätigungs-ID, die den Computer aktiviert. Anderenfalls erfolgt automatisch eine Weitervermittlung an einen Mitarbeiter von Microsoft. Wie bereits erwähnt, ist es während der Installation nicht erforderlich, einen Produktschlüssel einzugeben. In diesem Fall wird ein Standardschlüssel zur Installation benutzt, der auf den Aktivierungsservern geblockt ist. Bei Windows 7 bedeutet dies, dass die Installation 30 Tage als initiale Evaluierungsphase läuft. Wer mehr als 30 Tage braucht, kann die Testphase dreimal um 30 Tage, also auf insgesamt 120 Tage verlängern. Skript slmgr.vbs

Bestandteil bereits von Windows Vista ist das Skript slmgr.vbs mit dessen Hilfe die Aktivierung des Systems abgeprüft und durchgeführt werden kann. Durch Eingabe des Befehls slmgr.vbs –dli im Suchfeld des Startmenüs werden ausführliche Informationen über den Aktivierungszustand des Computers angezeigt. Bis das Informationsfenster angezeigt wird, kann es ein paar Sekunden dauern. Im Fenster wird genau angezeigt, wie viel Zeit noch für die Aktivierung bleibt. Die interessanteste Option des Aktivierungsskriptes slmgr.vbs ist slmgr.vbs –rearm. Durch Eingabe dieses Befehls wird die 30-Tage-Testdauer wieder zurückgesetzt. Anwender können dadurch weitere 30 Tage mit Windows 7 uneingeschränkt arbeiten. Das Skript kann insgesamt dreimal ausgeführt werden, bevor die Ausführung gesperrt wird. Für diesen Befehl werden Administratorrechte benötigt. Nach Eingabe des Befehls muss der Computer neu gestartet werden, und die Testphase ist wieder auf 30 Tage zurückgesetzt. Durch Eingabe des Befehls slui im Suchfeld des Startmenüs kann der Aktivierungsdialog gestartet werden. Über den Befehl slui 0x03 wird ein Dialogfeld geöffnet, in das ein neuer Produktschlüssel eingegeben werden kann. Wurde während der Installation von Windows 7 die automatische Online-Aktivierung bestätigt, versucht Windows selbstständig drei Tage nach der Erstanmeldung die Aktivierung. Aber auch in der GUI ist es möglich, den Zustand der Aktivierung abzufragen bzw. die Aktivierung durchzuführen. Hierzu ist es am einfachsten, das Wort Aktivierung im Suchfeld des Startmenüs einzugeben und anschließend auf Windows aktivieren zu klicken. Und auch unter System wird der Status der Produktaktivierung angezeigt. Besonders schnell aufrufen können Sie das Dialogfeld System mit der Tastenkombination (Ä) + (Pause).

Aktivierung auch für Volumenlizenzkunden

58

Auch Volumenlizenzkunden müssen Windows 7 innerhalb von 30 Tagen aktivieren. Alle Aktivierungskomponenten fasst Microsoft unter Volume Activation 2.0 zusammen, die das Verfahren der Aktivierung für Volumenlizenzkunden erleichtern soll. Erläuterungen zur Volumenaktivierung erhalten Sie in Abschnitt 1.3.4 ab Seite 86

1 Durchführung einer Einzelarbeitsplatz-Installation Abbildung 1.19 Der Status der Produktaktivierung kann jederzeit ermittelt werden.

Überprüfung des Leistungsindex Nicht nur wenn nach Abschluss der Installation Probleme auftreten oder erwartete Funktionen, wie beispielsweise die Aero-Benutzeroberfläche, nicht zur Verfügung stehen, sollte der Leistungsindex des Rechners ermittelt werden. Das Dienstprogramm Windows-Leistungsindex (engl. System Assessment Program) ist ein in Windows 7 integriertes Benchmark-Programm, das den Rechner in fünf Leistungsklassen einstuft. Zwar wird die Aussagefähigkeit dieses Wertes kontrovers diskutiert, zum Aufspüren von Schwachstellen bietet der Leistungsindex aber ein gutes Hilfsmittel. Nach dem Start führt der Windows-Leistungsindex auf dem Computer Ermittlung auf eine Reihe von Tests durch und bewertet ihn anschließend auf einer Skala der Basis von Tests von 1 bis 7,9 (wobei eins für das schlechteste Ergebnis steht). Zu den Komponenten, die in die Wertung mit einbezogen werden, gehören u.a. der Prozessor und der Speicher, die primäre Festplatte, die Grafikleistung und die Qualität von Gaming-Grafiken. Die einzelnen Tests messen die Rechengeschwindigkeit der CPU, den Durchsatz und die Menge des Hauptspeichers, die Transferrate der Festplatte und zwei Werte für die Grafik: die Speicherbandbreite der GPU und die Gaming-Grafikleistung. Auf der Basis der ermittelten Werte und eines speziellen Algorithmus wird dann die Gesamtleistung des Windows-Systems bewertet. Der gesamte Leistungsindex ergibt sich dann aus dem niedrigsten der fünf Werte, und zwar nach unten abgerundet.

59

Kapitel 1 Betriebssysteminstallation

Im folgenden Beispiel führte die niedrige Bewertung der Grafikleistung (Windows 7 wurde in einer virtuellen Maschine ausgeführt) zur Herabwertung des Gesamtsystems auf den Wert 1. Abbildung 1.20 Beispiel einer Windows-Leistungsindexbewertung. Die schwächste Komponente bestimmt das Gesamtergebnis.

Jederzeit ausführbar

Ändert sich die Hardwarekonfiguration oder soll die Bewertung überprüft werden, kann der Windows-Leistungsindex jederzeit erneut ausgeführt werden. Zu finden ist die Leistungsbewertungsoption unter Systemsteuerung/Alle Systemsteuerungselemente/Leistungsinformationen und Tools. Um den Leistungsindex aktuell zu halten, will Microsoft die einzelnen Messwerte, die den Index bilden, regelmäßig anpassen. Wer sich also beim Verkaufsstart von Windows 7 einen Rechner mit einem Index von drei gekauft hat, muss beispielsweise nach einem Jahr Prozessor oder Grafikkarte aufrüsten, um diesen Wert halten zu können.

1.3

Bereitstellung von Windows 7 im Unternehmensnetzwerk

Muss im Unternehmenseinsatz eine größere Anzahl von Rechnern mit Windows 7 bereitgestellt oder müssen im Produktivbetrieb immer wieder einzelne Rechner neu installiert werden, ist die Durchführung einzelner manueller Installationen nicht praktikabel. Hier müssen vielmehr Technologien eingesetzt werden, die es ermöglichen, Referenzsysteme mit den spezifischen Komponenten und Einstellungen einzurichten und diese für die Erstellung von Images zu verwenden.

60

1 Bereitstellung von Windows 7 im Unternehmensnetzwerk

Bereits mit Windows Vista hat Microsoft einen breiten Fokus auf die Bereitstellung in Unternehmensnetzwerken gelegt. Mit Windows 7 wurden die Möglichkeiten noch erweitert, sodass nun mit den nun in Windows 7 enthaltenen Funktionen und Programmen der gesamte Prozess der Bereitstellung von der Planung über die Bereitstellung bis hin zur Implementierung mit weniger Aufwand und weniger kostenintensiv als bislang abgebildet werden kann.

1.3.1

Die Bereitstellungsfunktionen im Überblick

Beim Einsatz von Windows XP und früheren Versionen nutzen Unternehmen entweder die Funktionalität zur Imageerstellung von Systems Management Server (SMS) 2003 OS Deployment Feature Pack oder aber ein Imageerstellungsprogramm anderer Anbieter wie beispielsweise Ghost von Symantec. Ein eigenes integriertes Programm zur Imageerstellung stellt Microsoft erst seit Einführung von Windows Vista und Windows Server 2008 zur Verfügung. Die Bereitstellung des Betriebssystems auf Clientrechnern basiert bei Windows Vista und Windows 7 auf Images (System-Abbildern). Diese beheben einen der größten Nachteile von Windows XP und Windows 2000, der darin bestand, dass die mithilfe der verfügbaren Imaging-Funktionen erstellten Images zu unflexibel waren. Daraus resultierte, dass verschiedene Images allein aufgrund unterschiedlicher Hardware und ggf. weitere Anpassungen für rollenspezifische Arbeitsplätze und Sprachen benötigt wurden. Dass außerdem für die reine Erstellung der Images zusätzliche Programme von Drittanbietern verwendet werden mussten, machte die Situation nicht besser. Mit Windows 7 setzt Microsoft in Bezug auf eine imagebasierte Bereitstel- Ziele von Windows 7 lung die folgenden Ziele um: 왘 Bereitstellung von Funktionen zur kompletten Abbildung des ImageProzesses einschließlich Erstellung, Wartung und Verteilung von Abbildern 왘 Reduktion der Anzahl der benötigten Images – „ Ein Image für alles“ 왘 Verbesserung des Imaging-Prozesses durch Scripting und Möglichkeiten zur automatisierten Verteilung

Installationstechnologien Windows 7 bringt eine ganze Reihe von Technologien und Tools mit, die automatisierte Installationen unterstützen. Es würde jedoch den Rahmen dieses Buchs sprengen, alle Verfahren und Tools vorzustellen. Die folgenden Erläuterungen beschränken sich daher auf die Vorstellung der wichtigsten Technologien im Überblick. WIM-Imageformat Windows Imaging Format (WIM) ist eine der neuen Kernkomponenten von Windows 7.

Im Gegensatz zu sektorbasierten Imageformaten, wie sie derzeit fast überall eingesetzt werden, sind WIM-Images nicht sektorbasiert, sondern basie-

61

Kapitel 1 Betriebssysteminstallation

ren auf Dateien, sodass es beispielsweise keine Probleme bei unterschiedlich großen Datenträgern oder Partitionen gibt. Hinzufügen von separaten Treibern

Auch ermöglicht diese Technologie, Images offline (d.h., ohne dass das Image zuvor auf einem Referenzcomputer installiert werden muss) zu bearbeiten. Damit ist es beispielsweise möglich, Updates und Gerätetreiber offline hinzuzufügen und damit Windows 7 bereits bei der Installation wichtige Startgerätetreiber mitzugeben. Die frühere Methode der Verwendung von OEMPnPDriverPath als Mechanismus zum Hinzufügen von Gerätetreibern wird unter Windows Vista und Windows 7 nicht mehr unterstützt. Zusammenfassend bieten WIM-Images die folgenden Vorteile:

Vorteile von WIM-Images

왘 Das WIM-Imageformat ist unabhängig von der Hardwareabstraktions-

왘

왘

왘

왘

왘

왘

왘

62

ebene (Hardware Abstraction Layer, HAL). Sie können ein einzelnes Windows-Abbild verwalten, das für alle HAL-Typen gilt. Das bedeutet, dass technisch nur noch ein Image für verschiedene Hardwarekonfigurationen benötigt wird. Bislang musste für jedes Gerät mit unterschiedlichem HAL ein eigenes Abbild erstellt werden. Die einzige Einschränkung betrifft den CPU-Typ. Für 32-Bit- und 64-Bit-Prozessoren sind jeweils eigene Images notwendig. WIM-Imagedateien sind deutlich kleiner als Dateien anderer Imageformate. Erreicht wird dies durch eine starke Kompression und zudem durch eine Technik, die als Einzelinstanz-Speicherung (Single Instance Storage – SIS) bezeichnet wird. Dabei wird jede Datei nur einmal gespeichert. Ist ein und dieselbe Datei Bestandteil von drei verschiedenen Images, wird die Datei tatsächlich nur einmal gespeichert. Statt der Datei steht an allen anderen Stellen nur ein Verweis auf die Datei. Die Pflege von WIM-Images ist einfach. Treiber, Updates und andere Windows-Komponenten können offline und ohne einen einzigen Start des Images hinzugefügt und entfernt werden. Windows 7 bringt Programme mit, mit denen Images direkt bearbeitet werden können. In einer WIM-Datei können mehrere Images gespeichert werden, was die Verwaltung erleichtert. So können beispielsweise in einer WIMDatei verschiedene Images mit und ohne Anwendungen integriert werden. Da außerdem bei mehreren Images in einer WIM-Datei dank der Komprimierung das einzelne Image deutlich kleiner wird, spart dies Festplattenspeicher. Das WIM-Imageformat erlaubt dank des dateibasierten Formates eine Bereitstellung, bei der wahlweise auch vorhandene Dateien auf dem Datenträger erhalten bleiben (Nichtdestruktive Bereitstellung). Im Gegensatz zu sektorbasierten Imageformaten können Images mit dem WIM-Imageformat auf Partitionen jeder Größe installiert werden. Sektorbasierte Images benötigen eine Partition der gleichen Größe oder eine größere Partition. Windows 7 stellt eine API für das WIM-Imageformat zur Verfügung: WIMGAPI (Windows Imaging API). Diese können Entwickler für die Arbeit mit WIM-Imagedateien nutzen. Zusätzlich wurden neue Programme integriert, die das WIM-Dateiformat unterstützen und die Bereitstellung von Images ermöglichen.

1 Bereitstellung von Windows 7 im Unternehmensnetzwerk Windows PE Bei Windows PE (Windows Preinstallation Environment, Windows PE) handelt es sich um eine Minimalversion von Windows, die Kernel-Funktionen von Windows 7 enthält und die umfangreiche Programme zur Installation und zur Wiederherstellung des Microsoft Windows 7Betriebssystems zur Verfügung stellt. Zu den von Windows PE bereitgestellten Komponenten zählen u.a. NTFS-Support, vollständige Netzwerkunterstützung und Unterstützung für in Windows 7 integrierte Programme (Regedit, Notepad u.a.). Außerdem können Plug&Play-Hardwaregeräte während der Ausführung von Windows PE erkannt und installiert werden. Hierdurch werden alle mitgelieferten PnP-Geräte unterstützt, einschließlich Wechselmedien und Massenspeichergeräten.

Entwickelt wurde Windows PE als Ersatz für MS-DOS als Prä-Installationsumgebung vor allem für die folgenden Einsatzbereiche: 왘 Installation von Microsoft Windows 7: Bei jeder Installation von Windows Windows PE: 7 wird Windows PE ausgeführt. Dem Anwender begegnet Windows PE Einsatzbereiche als grafische Oberfläche, in der während der Setup-Phase die Konfigurationsinformationen abgefragt werden. Aber auch wenn jede Windows 7-Installation mit Windows PE beginnt, wird der normale Benutzer die Existenz von Windows PE in der Regel gar nicht bemerken. 왘 Erstellung von Images: Innerhalb der Windows PE-Umgebung können Images zur automatisierten Bereitstellung von Windows 7 in Unternehmensnetzwerken erstellt werden. Hierzu bedarf es einer Masterinstallation und einer Antwortdatei, auf deren Basis die Verteilung im Netzwerk erfolgen soll. 왘 Fehlersuche und Wiederherstellung: Zwar ist der primäre Zweck von Windows PE die Installation von Windows 7, es kann jedoch auch zur Fehlersuche und zur Wiederherstellung genutzt werden. Wenn beispielsweise Windows 7 aufgrund von beschädigten Systemdateien nicht gestartet werden kann, können diese in der Windows-Wiederherstellungsumgebung (Windows Recovery Environment – Windows RE) ersetzt werden. Windows PE wird dabei automatisch in der Wiederherstellungsumgebung gestartet, wenn Windows 7 nicht mehr korrekt startet. Während dieses Vorgangs bietet Windows PE Zugriff auf das Netzwerk oder auf andere Ressourcen. Zum Beispiel kann nach dem Start eine weitere DVD mit Treibern oder Software verwendet werden. Windows PE ist bereits seit Einführung von Windows XP in verschiede- Windows PEVersionen nen Versionen erhältlich: 왘 Windows PE 1.0: Die erste von Microsoft veröffentlichte Version basierte bereits auf Windows XP. 왘 Windows PE 1.1: Diese Version basierte ebenfalls auf Windows XP und unterstützte aus Sicherheitsgründen einige Funktionen, wie beispielsweise die Wiederherstellungskonsole, offiziell nicht mehr. 왘 Windows PE 1.2: Diese Version basierte auf Windows XP, Windows XP SP1 oder Windows Server 2003 und bot erweiterte API-Unterstützung sowie eine VBScript-Umgebung. 왘 Windows PE 2004 (1.5): Die Version basierte erstmals nur noch auf Windows XP SP2. Neu in dieser Version waren die Plug&Play-Treiberunterstützung sowie WMI-Funktionen.

63

Kapitel 1 Betriebssysteminstallation 왘 Windows PE 2005 (1.6): Die Version basiert auf Windows XP SP2 und

Windows 2003 Server und unterstützt auch PXE-Bootumgebungen anderer Hersteller. 왘 Windows PE 2.0: Während alle genannten Vorgängerversionen ausschließlich Nutzern mit Volumenverträgen zur Verfügung standen, ist Windows PE 2.0 die erste Version, die als Teil von Windows AIK 1.0 von allen Nutzern kostenlos heruntergeladen werden kann. 왘 Windows PE 2.1: Diese Version basiert auf Windows Vista SP1 sowie Windows Server 2008 und kann als Teil des Windows AIK Kit 1.1 bezogen werden [WAIK 1.1]. 왘 Windows PE 3.0: Mit Windows 7 stellt Microsoft auch eine neue Windows PE-Version bereit. Windows PE 3.0 ist Bestandteil von Windows AIK 2.0 [WAIK 2.0]. Einschränkungen von Windows PE

Windows PE ist kein standardmäßiges Betriebssystem und kann nicht als Betriebssystemersatz verwendet werden. Es dient lediglich der Installation und Diagnose bzw. Reparatur von Windows 7. Um dies zu verhindern, hat Microsoft Windows PE so konfiguriert, dass es spätestens nach 72 Stunden automatisch neu startet. Weiterhin gelten u.a. die folgenden Voraussetzungen bzw. Einschränkungen für den Einsatz von Windows PE: 왘 Windows PE kann aufgrund der Größe (ca. 260 MB) nicht auf einer Diskette gespeichert werden. Unterstützt wird das Speichern u.a. auf CD, DVD und USB-Flash-Speichergeräten. 왘 Windows PE kann nicht als Dateiserver oder Terminalserver fungieren. (Remotedesktop wird nicht unterstützt.) Von einem anderen Computer aus kann damit nicht auf Dateien oder Ordner auf dem Computer unter Windows PE zugegriffen werden. 왘 Windows PE unterstützt keine MSI-Anwendungen. 왘 Windows PE unterstützt ausschließlich TCP/IP (IPv4 und IPv6) als Netzwerkprotokoll. 왘 Windows PE bietet keine Unterstützung für 802.1x. 왘 Windows PE unterstützt nicht .NET Framework und Common Language Runtime ((CLR). 왘 Da Windows PE nur eine Basis-Betriebssystemumgebung und damit auch Windows 7 Win32-APIs bereitstellt, können Anwendungen, die auf die folgenden APIs zurückgreifen, nicht eingesetzt werden: Zugriffssteuerung, NetShow Theater Administration, OpenGL, Energieoptionen, Drucken und Druckerwarteschlangen, Bandsicherungen, Terminaldienste, Benutzerprofile, Windows-Station und -Desktop, WindowsMultimedia und die Windows-Shell.

Zusammenspiel von Windows PE und WIM

Um Windows PE bereitzustellen, ist der beste Weg die Verwendung einer WIM-Datei, in der ein oder mehrere Images gespeichert sind. Da Images in einer WIM-Datei als bootfähig gekennzeichnet werden können, ist es möglich, Windows PE direkt aus der WIM-Datei, die sich auf einem bootfähigen Medium wie einer DVD befindet, heraus zu booten.

64

1 Bereitstellung von Windows 7 im Unternehmensnetzwerk

Genau diesen Weg wendet Microsoft bei der Installation von Windows 7 an, d.h., auch bei der Windows 7-Installations-DVD handelt es sich um ein Image, das von Microsoft mithilfe von Sysprep erstellt wurde. Diese Images wurden von einem bereits installierten Windows 7-Referenzrechner erstellt und ergeben extrahiert das eigentliche Betriebssystem. Da Windows PE direkt aus einer WIM-Datei heraus gestartet werden kann, wird bei der Installation von Windows 7 zunächst mit Windows PE gestartet. Ein bootfähiger Windows PE-Datenträger (CD, DVD oder USB-Stick), der Erstellen einer einen Computer mithilfe von Windows PE startet, kann mit dem WAIK Windows PE-DVD selbst erstellt werden. Im folgenden Beispiel wird eine Windows PE-DVD für die Plattform x86 erstellt. Für die Erstellung benötigen Sie das Windows Automated Installation Kit – Windows AIK [WAIK 2.0]. Nähere Erläuterungen zu WAIK 2.0 erhalten Sie im Abschnitt 1.3.3 ab Seite 73. Nach dem Herunterladen von WAIK sind folgende Arbeitsschritte erforderlich: 1. Öffnen Sie die WAIK-Befehlszeile im Administratormodus. Diese Eingabeaufforderung wird nach der Installation von WAIK dem Startmenü als Verknüpfung hinzugefügt. 2. Führen Sie an der Eingabeaufforderung das Skript Copype.cmd aus. Verwenden Sie hierzu den Befehl copype.cmd

Dieses Skript bewirkt, dass die Verzeichnisstruktur erstellt und die notwendigen Dateien für diese Architektur kopiert werden. Als Systemvariante kann entweder x86, amd64 oder ia64 verwendet werden, abhängig davon, welches System eingesetzt wird. Als Verzeichnis geben Sie ein beliebiges Verzeichnis auf der Festplatte des lokalen Rechners an, zum Beispiel Windows PE. Ein Beispiel für die Eingabe des Befehls ist: copype.cmd x86 c:\Windows PE

Das Verzeichnis muss vorher nicht erstellt werden, der Assistent erstellt dieses automatisch und legt die Dateien im Anschluss in diesem Verzeichnis ab. 3. Anschließend können Sie zusätzliche Tools in dieses Verzeichnis kopieren, das Sie beim Starten von Windows PE benötigen. Zumindest das Imaging-Programm imagex.exe sollten Sie in das Verzeichnis kopieren. Sie finden imagex.exe unter C:\Program files\Windows AIK\Tools\x86\ imagex.exe. Kopieren Sie imagex.exe in das Unterverzeichnis ISO im PEVerzeichnis auf Ihrer Festplatte. 4. Sie können eine optionale Konfigurationsdatei mit dem Namen winscript.ini erstellen, die das Tool ImageX anweist, bestimmte Dateien während der Aufzeichnung auszuschließen. Beim Starten von ImageX verwendet dieses Tool automatisch die Datei wimscript.ini, wenn sich diese im gleichen Verzeichnis befindet. 5. Im nächsten Schritt wird die ISO-Datei erstellt, die schließlich die Windows PE-Installation enthält. Auch für diese Aufgabe gibt es im Windows AIK ein entsprechendes Tool mit der Bezeichnung Oscdimg. Um die ISO-Datei zu erstellen, wechseln Sie wieder in die Befehlszeile

65

Kapitel 1 Betriebssysteminstallation

und gehen in das Verzeichnis C:\Program Files\Windows AIK\Tools\ PETools. Geben Sie den folgenden Befehl ein: Oscdimg –n -m -o –bc:\Windows PE\etfsboot.com c:\Windows PE\ISO c:\ Windows PE\Windows PE.iso

Verwenden Sie als Verzeichnisnamen den Namen, den Sie bei sich verwendet haben und in dem sich die PE-Dateien befinden. Das Tool erstellt im Anschluss die ISO-Datei. 6. Brennen Sie im Anschluss diese ISO-Datei auf eine DVD. Sie verfügen nun über eine startbare Windows PE-DVD mit dem Tool ImageX. Abbildung 1.21 Eingabeaufforderung für Bereitstellungstools von Windows AIK für Windows 7

Ausführliche Erläuterungen zu Windows PE 3.0 finden Sie im Windows PE-Benutzerhandbuch, das Bestandteil von Windows AIK ist [WAIK 2.0]. Modulare Betriebssystemstruktur Windows Vista war das erste Betriebssystem von Microsoft, das modular aufgebaut ist. Windows 7 verwendet die gleiche Architektur. Dies bringt vor allem Vorteile hinsichtlich der Anpassungsmöglichkeiten: 왘 Microsoft kann einzelne Komponenten des Betriebssystems ändern, ohne das gesamte Betriebssystem zu beeinflussen. Damit müssen beispielsweise Patches und Service Packs nicht mehr sequenziell aufeinander aufbauen. 왘 Einzelne Komponenten von Windows 7 können an unternehmensspezifische Bedürfnisse angepasst werden. 왘 Gerätetreiber, Service Packs und Hotfixes können einfacher zu Windows 7 hinzufügt werden. 왘 Windows 7 ist sprachneutral. Alle Komponenten sind optional und können einzeln zum Betriebssystem hinzugefügt werden. Es ist damit nicht mehr notwendig, separate Images für jede Sprache anzulegen.

Bereitstellungswerkzeuge Mit den vielfältigen Funktionen zur Bereitstellung liefert Microsoft notwendigerweise auch neue Werkzeuge und Programme. Dabei kommen während der drei Phasen des Bereitstellungsprozesses 왘 Planung und Vorbereitung 왘 Erstellung und Wartung 왘 Vorhaltung und Bereitstellung

66

1 Bereitstellung von Windows 7 im Unternehmensnetzwerk

unterschiedliche Programme zum Einsatz. Die folgende Tabelle gibt einen Überblick über die notwendigen Programme im Kontext der drei Bereitstellungsphasen. Funktion

Programm

Planung und Vorbereitung

Anwendungsanalyse und Test der Anwendungskompatibilität Übernahme von Dateien und Benutzereinstellungen

Application Compatibility Toolkit 5.5: Mit diesem aktualisierten Tool kann überprüft werden, ob Anwendungen mit Windows 7 kompatibel sind. User State Migration Tool 4.0: Ein aktualisiertes Tool zum Erfassen und Wiederherstellen von Benutzereinstellungen. USMT ist für automatisierte Bereitstellungen in großen Umgebungen ausgelegt. Müssen nur wenige Computer migriert werden, kann Windows 7 Windows-EasyTransfer verwenden werden.

Erstellung und Wartung

Erstellung WIM-basierter Images Anpassung der Images durch Hinzufügen von Treibern, Sprachpaketen und Anwendungen u.a. Erstellung und Anpassung XML-basierter Antwortdateien

ImageX: ImageX ist eine Abbildtechnologie von Microsoft, die speziell für die Bereitstellung in Unternehmen entwickelt wurde. ImageX unterstützt das WIM-Dateiformat-Befehlszeilentool und wird zum Sammeln, Verteilen und Ändern von Abbildern verwendet. ImageX ist ein Befehlszeilenprogramm, das auf Imaging-APIs für Windows basiert. Dabei wird die Single Instance Storage Technologie verwendet. Windows Systemabbild Manager (System Image Manager – WSIM): Grafisches Tool, das zum Erstellen von Antwortdateien für den unbeaufsichtigten Windows Setup-Modus dient. Außerdem können Pakete eingebunden werden, die im Verlauf von WindowsSetup installiert werden sollen. Sysprep: Für Windows 7 aktualisierte und verbesserte Version des Systemvorbereitungsprogramms. Sysprep bereitet einen Computer für die Erstellung von Datenträgerabbildern (Images) vor. Deployment Image Servicing and Management – DISM: Ein Befehlszeilentool zur Online- oder Offline-Wartung bzw. -Verwaltung von Images. Mit DISM können beispielsweise Sprachpakete und Treiber hinzugefügt oder entfernt, Windows-Funktionen deaktiviert oder aktiviert und internationale Einstellungen konfiguriert werden.

Tabelle 1.3: Nützliche Werkzeuge für die Bereitstellung von Windows 7

67

Kapitel 1 Betriebssysteminstallation

Vorhaltung und Bereitstellung

Funktion

Programm

Remotebereitstellung von Windows 7 Installation der Images Durchführung eines Upgrades bzw. einer Aktualisierung. Dynamische Aktualisierung durch Hinzufügen von Updates zu Standardimages während der Installation.

Windows Setup: Das Installationsprogramm für Windows 7, das WINNT und WINNT32 ersetzt. Windows Setup verwendet die neue Technologie IBS (Image-based Setup, abbildbasiertes Setup). Windows Deployment Services (WDS) von Windows Server 2008: WDS ersetzt RIS (Microsoft Remote Installation Services) und ermöglicht die Speicherung, Verwaltung und Bereitstellung von Images. Es nutzt den PXE-Bootprozess zur Installation. Alle benötigten Einstellungen für eine unbeaufsichtigte Installation werden in Antwortdateien über den WSIM festgelegt und danach dem jeweiligen Abbild zugewiesen. System Center Configuration Manager 2007 (SCCM): Für größere Unternehmen kann der Nachfolger des Systems Management Servers 2003 eine hilfreiche, allerdings kostenpflichtige Alternative zu WDS sein. SCCM ist eine Unternehmenslösung, mit der Clients in einer IT-Infrastruktur verwaltet, konfiguriert und überwacht werden können, So beinhaltet SCCM u.a. Software- und Hardwareinventur, Update-Verwaltung, Softwareverteilung, Berichterstellung und Betriebssysteminstallation.

Tabelle 1.3: Nützliche Werkzeuge für die Bereitstellung von Windows 7 (Forts.) Nicht mehr verwendete Tools

Für das Deployment von Windows 7 und Windows Server 2008 werden die folgenden Tools nicht mehr benötigt. 왘 Remote Installation Services: RIS wurde durch WDS ersetzt, bietet unter Windows Server 2003 jedoch noch Legacy-Unterstützung; RIPREP und RISETUP können bei Windows 7 und Windows Server 2008 bzw. Windows Server 2008 R2 nicht verwendet werden. 왘 Setup Manager/Notepad: Verwenden Sie zum Bearbeiten der Konfigurationsdateien für die unbeaufsichtigte Installation stattdessen den Windows System Image Manager. 왘 WINNT.EXE und WINNT32.EXE: Verwenden Sie stattdessen SETUP. 왘 SYSOCMGR: Ersetzt durch OCSETUP, PKGMGR. 왘 MS-DOS-Startdisketten: Nicht mehr nötig. Verwenden Sie Windows PE.

1.3.2

Planung und Vorbereitung der Bereitstellung

Eine durchdachte Planung und Vorbereitung ist der Grundstein einer jeden erfolgreichen Installation, dies gilt umso mehr bei der Bereitstellung von Windows 7 in Unternehmensnetzwerken. Hier ist neben den in Abschnitt 1.1 ab Seite 29 beschriebenen Aufgaben noch Augenmerk auf die Windows 7-Tauglichkeit der eingesetzten Anwendungen und auf eine möglichst automatisierte Übernahme von Benutzereinstellungen zu legen.

68

1 Bereitstellung von Windows 7 im Unternehmensnetzwerk

Zusätzlich sollten mindestens die folgenden Fragen beantwortet werden. Diese können helfen, die geeignete Installationsmethode für die Bereitstellung zu ermitteln. 왘 Auf wie vielen Rechnern soll Windows 7 ausgerollt werden? 왘 Erfolgt die Installation auf vorhandener Hardware? Wenn ja, welche und wie unterschiedlich sind die zu verwendenden Rechner? 왘 Müssen Benutzerdaten und Einstellungen übernommen werden? 왘 Sollen die Benutzer die Installation selbst durchführen, oder ist eine unbeaufsichtigte Installation geplant? 왘 Wie hoch ist der Aufwand für Anpassungsarbeiten nach Abschluss der Installation? 왘 Sollen die Rechner Mitglied einer Active Directory-Domäne werden? Die vorstehende Liste ist nicht vollständig und muss individuell ergänzt werden. Sie soll in erster Linie Anregungen liefern, welche Fragestellungen ggf. bei einem Unternehmens-Client-Rollout zu berücksichtigen sind.

Sicherstellung der Anwendungskompatibilität Eine der größten Herausforderungen, mit denen Unternehmen bei der Bereitstellung eines neuen Desktop-Betriebssystems konfrontiert werden, ist die Migration der installierten Anwendungen, ohne dass deren Funktion beeinträchtigt wird. Hier gilt es, Kompatibilitätsprobleme im Vorfeld zu erkennen, um Schwierigkeiten, die sogar ein Upgrade verhindern können, wirksam zu begegnen. Microsoft stellt mit dem Application Compatibility Program Kit (ACT) 5.5 [ACT] ein kostenloses Tool für Entwickler und Administratoren zur Prüfung der Kompatibilität von Webseiten und Software bereit. Die Version 5.5 unterstützt Windows 7 sowie Windows Vista SP2 und erlaubt eine Kompatibilitätsprüfung von Anwendungen für den Einsatz unter Windows Vista und Windows 7 sowie im Zusammenspiel mit dem Internet Explorer. Das Werkzeug dient dazu, Anwendungen zu erkennen, für die möglicherweise weitere Tests erforderlich sind, und Kompatibilitätsfixes für Anwendungen zur Verfügung zu stellen. Beachten Sie hierzu auch die Erläuterungen in Kapitel 3. Eine ausführliche Beschreibung von ACT finden Sie im Microsoft ACT: Bereitstellungshandbuch unter Microsoft Technet [ACTDOK].

Migration von Benutzerdaten mit dem User State Migration Tool Werden in Unternehmensnetzwerken Rechner neu mit Windows 7 installiert, dann reicht es nicht nur, dem Anwender eine neue Installation hinzustellen. In der Regel hatte der Anwender zuvor bereits einen Rechner, und es müssen lokale Dateien, Favoriten, Anwendungseinstellungen, Active Directory-Einträge und Berechtigungen übernommen werden.

69

Kapitel 1 Betriebssysteminstallation

Ein wichtiger Faktor für den Erfolg der Bereitstellung von Betriebssystemen in Unternehmensnetzwerken ist daher die Migration der Benutzereinstellungen, also das Erfassen aller benutzerdefinierten Einstellungen auf vorhandenen Systemen und ihre Wiederherstellung auf dem neuen System. Bei Windows 7 wird dieser Vorgang durch die aktuelle Version von User State Migration Tool (USMT) 4.0 vereinfacht. USMT ist im Gegensatz zu früheren Versionen Bestandteil von Windows AIK für Windows 7. Nach der Installation von WAIK ist USMT zu finden unter: C:\Program Files\ Windows AIK\Tools\USMT. USMT kontra Windows EasyTransfer

Mit USMT können Desktop-, Netzwerk- und Anwendungseinstellungen sowie Benutzerdateien von einem Rechner auf einen anderen übernommen werden. Damit stellt USMT im Wesentlichen dieselbe Funktionalität bereit wie Windows-EasyTransfer (siehe Abschnitt 1.1.3 ab Seite 37). Es gibt jedoch einige wichtige Unterschiede zwischen USMT und Windows-EasyTransfer. Während mit Windows-EasyTransfer die Operation für jeden Benutzer im System wiederholt werden muss, kann USMT skriptgesteuert im Stapelmodus ausgeführt werden. USMT nutzt hierbei die beiden Befehlszeilenprogramme ScanState und LoadState sowie zusätzlich UsmtUtils. Die Programme können mithilfe von XML-Dateien komplett an die individuellen Bedürfnisse angepasst werden. Standardmäßig ermöglicht USMT 4.0 die Migration der folgenden Objekte: 왘 Ordner Eigene Dateien einschließlich der Unterordner Eigene Bilder, Eigene Videos und Eigene Musik 왘 Microsoft Internet Explorer-Einstellungen 왘 Microsoft Outlook PST-Dateien 왘 Favoriten 왘 DFÜ-Verbindungen 왘 Desktop-Einstellungen 왘 Telefon- und Modemoptionen 왘 Eingabehilfen 왘 Einstellungen der Eingabeaufforderung 왘 Schriftarten 왘 Ordneroptionen 왘 Einstellungen der Taskleiste 왘 Maus- und Tastatureinstellungen 왘 Schnellstarteinstellungen 왘 Bildschirmschoner 왘 Klangeinstellungen 왘 Regionsoptionen Einschränkend kann USMT derzeit keine Anwendungen, Treiber, Einstellungen der Hardware oder Passwörter migrieren. Auch Synchronisierungsdateien, .dll-Dateien oder andere ausführbare Dateien sowie Encrypting File System-(EFS-)Zertifikate werden nicht unterstützt.

Leistungsmerkmale

70

Die neue USMT-Version 4.0 für Windows 7 enthält gegenüber den Vorgängerversionen einige Änderungen und Verbesserungen und zeichnet sich u.a. durch folgende Leistungsmerkmale aus:

1 Bereitstellung von Windows 7 im Unternehmensnetzwerk 왘 Als Quellbetriebssystem sind alle 32-Bit- und 64-Bit-Versionen von Win-

왘 왘

왘

왘 왘

왘

왘

dows XP, Windows Vista und Windows 7 erlaubt. Einschränkend unterstützt USMT 4.0 keine Windows Server-Betriebssysteme und darüber hinaus auch nicht Windows 2000 und die Starter-Editionen von Windows XP, Windows Vista oder Windows 7. Außerdem unterstützt USMT 4.0 nur die Migration von Windows XP mit Service Pack 2 oder Service Pack 3. Als Zielbetriebssystem werden alle Versionen von Windows Vista und Windows 7 unterstützt. USMT 4.0 bietet die Möglichkeit, Profile zu verschieben, die mit EFS verschlüsselte Dateien enthalten. Der Befehl ScanState schätzt die Größe des Migrationsspeichers sowie den zusätzlich für die Erstellung des Migrationsspeichers benötigten temporären Festplattenspeicher und nun auch die Größe des komprimierten Migrationsspeichers. Dies verringert die Migrationsfehler aufgrund von unzureichendem Festplattenspeicher. Mit USMT 4.0 ist es möglich, eine vollständige Migration von Domänenbenutzerkonten auszuführen, ohne Zugriff aus dem Domänencontroller zu besitzen. Der Zielcomputer muss der Domäne hinzugefügt werden, bevor die neu hinzugefügten Domänenkonten verwendet werden können. USMT 4.0 bietet eine verbesserte Anbindung an die Microsoft-Bereitstellungstools. Im Gegensatz zu den Vorgängerversionen bietet USMT 4.0 Unterstützung für Volumenschattenkopie. Mit der Befehlszeilenoption /vsc kann der Befehl ScanState jetzt den Volumenschattenkopie-Dienst verwenden, um Dateien zu erfassen, die durch andere Anwendungen für die Bearbeitung gesperrt sind. Die Migration lokaler Gruppen wird unterstützt. Sie können den Abschnitt in der Datei Config.xml verwenden, um während der Migration die Mitgliedschaft von Benutzern in lokalen Gruppen zu konfigurieren. Damit ist es beispielsweise möglich, die Mitgliedschaft von Benutzern in der lokalen Administratorgruppe zu einer Mitgliedschaft in der lokalen Benutzergruppe zu ändern. USMT 4.0 unterstützt mit dem erweiterten Verschlüsselungsstandard (Advanced Encryption Standard, AES) einen stärkeren Verschlüsselungsalgorithmus.

USMT besteht aus den beiden ausführbaren Dateien ScanState.exe und Ausführbare LoadState.exe sowie der mit USMT 4.0 neu eingeführten Datei Usmtutils.exe. USMT-Dateien Diese ergänzt die Funktionen von ScanState.exe und LoadState.exe. 왘 ScanState.exe sammelt die Benutzerdaten und -einstellungen basierend auf den Informationen, die in Migapp.xml, MigSys.xmlinf, Miguser.xml und Config.xml enthalten sind. 왘 LoadState.exe kopiert die Benutzerstatusdaten auf einen Computer, auf dem eine neue (nicht aktualisierte) Installation von Windows Vista oder Windows 7 ausgeführt wird. Im Unterschied zu früheren Versionen müssen die Dateien, die für ScanState angegeben werden, nun auch für LoadState angegeben werden.

71

Kapitel 1 Betriebssysteminstallation XML-Standarddateien für USMT

Zu USMT gehören standardmäßig verschiedene .xml-Dateien, welche die Migration unterstützen. Die Dateien können an die unternehmensspezifischen Anforderungen angepasst werden. Zusätzlich können selbst erstellte benutzerdefinierte .xml-Dateien verwendet werden. 왘 MigApp.xml steuert, welche Anwendungseinstellungen migriert werden. Die in dieser Datei aufgelisteten Anwendungen können in die Migration eingeschlossen oder von ihr ausgenommen werden. 왘 MigUser.xml steuert, welche Ordner, Dateien, Dateitypen und Desktop-Einstellungen eines Benutzers migriert werden. Die Datei hat keinen Einfluss darauf, welche Benutzer migriert werden. 왘 Config.xml ist eine optionale benutzerdefinierte Datei, die dazu verwendet werden kann, um Komponenten von der Migration auszuschließen. Sie wird verwendet, um eine benutzerdefinierte Konfigurationsdatei zu erstellen, welche die Benutzer-, Betriebssystem- und Anwendungseinstellungen enthält, die von jedem Computer des Unternehmens migriert werden sollen. Mithilfe des Tools ScanState und der Option /genconfig kann die Datei Config.xml erstellt und bearbeitet werden. Weiterhin kann diese Datei einige der in USMT 4.0 neuen Migrationsoptionen steuern. Ist Config.xml nicht vorhanden, migriert USMT alle Standardkomponenten.

USMT einsetzen

Der Einsatz von USMT 4.0 umfasst im Wesentlichen die folgenden Arbeitsschritte: 왘 Vorbereitung der USMT-Dateien Die für die Migration benötigten .xml-Dateien müssen angepasst bzw. es müssen ggf. benutzerdefinierte .xml-Dateien erstellt werden. Sollen Komponenten von der Migration ausgeschlossen werden, wird zusätzlich die Datei Config.xml benötigt. 왘 Ausführen von ScanState

Auf dem zu migrierenden Rechner wird zunächst ScanState ausgeführt. ScanState sammelt die Dateien und Einstellungen auf dem Quellrechner, gesteuert durch die .xml-Konfigurationsdateien, und erzeugt standardmäßig eine komprimierte USMT.mig-Datei. Die gesamten persönlichen Dateien des Anwenders lassen sich dann auf einem anderen Rechner zwischenspeichern. 왘 Installation des Zielrechners

Installation von Windows 7 und aller benötigten Anwendungen. Mithilfe von Images kann dieser Vorgang automatisiert werden. 왘 LoadState ausführen

Nachdem der neue PC mit dem Betriebssystem ausgestattet wurde, kommt LoadState zum Einsatz. Auf dem Zielrechner liest LoadState gesteuert durch die XML-Konfigurationsdateien die USMT.mig-Datei und stellt die Benutzereinstellungen wieder her. Dies kann als geplanter Task im Kontext des lokalen Administrators ausgeführt werden. Die Durchführung der Migration mithilfe von USMT wurde an dieser Stelle nur im Überblick dargestellt. Eine ausführliche Anleitung zur Nutzung von USMT 4.0 stellt Microsoft im sehr ausführlichen Benutzerhandbuch für USMT 4.0 (User State Migration Tool) bereit [USMT].

72

1 Bereitstellung von Windows 7 im Unternehmensnetzwerk

1.3.3

Bereitstellung von Windows 7 mit Windows AIK

Soll eine größere Anzahl von Computern mit Windows 7 installiert werden, beispielsweise während einer Migration im Unternehmen von einer früheren Windows-Version hin zu Windows 7, können Betriebssystemabbilder über WDS (Windows Deployment Services) oder SCCM (System Center Configuration Manager) verteilt werden. SCCM bietet den Vorteil, dass er nicht nur zur Neuinstallation, sondern auch zur Migration, Update-Verwaltung, Softwareverteilung und zum Asset-Management verfügbar sind. Je nach gewählter Bereitstellungsstrategie kann damit der Installationsprozess vom Einschalten des Computers über die Installation bis hin zur Außerbetriebstellung vollständig automatisiert werden. Mit dem Windows Automated Installation Kit (Windows AIK) für Windows 7 stellt Microsoft kostenlos Tools zur Verfügung, mit deren Hilfe der gesamte Bereitstellungsprozess abgebildet werden kann. Windows AIK ist eine Sammlung aus Werkzeugen, Handbüchern und Anleitungen, die Administratoren in Unternehmen und OEMs (Original Equipment Manufacturers) bei der Bereitstellung von Windows unterstützen. Speziell auf System-Builder ausgerichtet und auch nur für diese verfügbar ist das Windows OEM Preinstallation Kit (Windows OPK). Hier finden Sie die gleichen Features wie im WAIK, allerdings verfügt das OPK über einige zusätzliche Konfigurationsmöglichkeiten.

Installation von Windows AIK Microsoft stellt Windows AIK kostenlos im Download-Bereich bereit. Nach dem Download der ca. 1,6 GByte großen .iso-Datei (abhängig von der gewählten Sprache) muss die Datei als Image auf DVD gebrannt werden. Installiert werden kann das Windows AIK auf einem Rechner, auf dem Unterstützte Systeme eines der folgenden Betriebssysteme ausgeführt wird: 왘 Windows Server 2003 SP1 왘 Windows XP SP2 왘 Windows Vista 왘 Windows Server 2003 with Service Pack 2 왘 Windows Vista SP1 왘 Windows Server 2008 왘 Windows Server 2008 R2 왘 Windows 7 Während der Installation fügt Windows AIK dem Startmenü einige Verknüpfungen hinzu. Zugriff auf alle Dokumente und Tools erhält man jedoch nur im WAIK-Programmordner unter C:\Program Files\Windows AIK.\

73

Kapitel 1 Betriebssysteminstallation Abbildung 1.22 Windows AIKProgrammordner

Der Bereitstellungsprozess im Überblick Wie bereits dargestellt, können mit Windows AIK der gesamte Bereitstellungsprozess sowie die Verwaltung abgebildet werden. Gemäß Windows AIK können die damit verbundenen Aufgaben fünf Phasen zugeordnet werden: 왘 Phase 1 – Planung: In dieser Phase müssen u.a. die Bereitstellungsmethode festgelegt und der Ablauf des Rollouts geplant werden. 왘 Phase 2 – Vorbereitung: Diese Phase beinhaltet im Wesentlichen die Bereitstellung der Bereitstellungsumgebung. Eine Bereitstellungsumgebung enthält einen Referenzcomputer, auf dem Windows System Image Manager (Windows SIM) und ein Windows PE-Medium (Windows Preinstallation Environment) ausgeführt werden. Dringend zu empfehlen ist die Einrichtung einer Testumgebung, in der alle Phasen der Bereitstellung getestet werden können. 왘 Phase 3 – Anpassung: Diese Phase umfasst u.a. die Vorbereitung und Anpassung der Windows-Abbilder sowie die Erstellung erforderlicher Antwortdateien. Der Umfang der Aufgaben ist abhängig von der Bereitstellungsmethode. 왘 Phase 4 – Bereitstellung: Abhängig von der gewählten Bereitstellungsmethode (Installation von einem Abbild aus, Installation von einem Konfigurationssatz aus oder Installation von DVD) wird in dieser Phase das neue Betriebssystem mithilfe von Windows-Setup, ImageX, WDS oder anderen Bereitstellungstools ausgerollt. 왘 Phase 5 – Wartung: Die letzte Phase beinhaltet die Verwaltung und Anpassung der Windows-Abbilder. Die Phasen entsprechen einem typischen Bereitstellungslebenszyklus. Für jede Phase stehen im Windows AIK geeignete Tools und Dokumente bereit.

74

1 Bereitstellung von Windows 7 im Unternehmensnetzwerk

Eine Beschreibung aller Tools und Szenarien würde den Rahmen des Buchs übersteigen. Die nachstehenden Ausführungen beschränken sich daher auf einige ausgewählte Komponenten. Ausführliche Beschreibungen, Anleitungen, Beschreibungen verschiedener Szenarien und Skripte sind in der Windows AIK-Dokumentation und im Microsoft Technet Center zu finden.

Die Bereitstellungsmethoden im Vergleich Es gibt mehrere Möglichkeiten für eine automatisierte Installation von Windows 7. In diesem Abschnitt werden die drei unterstützten Bereitstellungsmethoden beschrieben, die von Microsoft folgendermaßen bezeichnet werden: Installation von einer DVD, von einem Abbild und von einem Konfigurationssatz. Diese Methode stellt die einfachste Möglichkeit einer automatisierten Ver- Installieren teilung dar. Hierbei wird für den manuellen Installationsvorgang eine von DVD sogenannte Antwortdatei erstellt, die alle Angaben enthält, die während des manuellen Installationsvorgangs abgefragt würden. Mithilfe der Antwortdatei kann die Installation von der Windows 7-DVD völlig unbeaufsichtigt durchgeführt werden. Dazu wird die Antwortdatei auf ein Wechselmedium wie eine CD-ROM oder einen USB-Stick kopiert. Während des Installationsvorgangs sucht der Installations-Assistent auf den Wechselmedien nach einer Antwortdatei mit dem Namen Autounattend.xml. Ist diese vorhanden, werden beim Windows-Setup alle in der Antwortdatei festgelegten Einstellungen angewendet. Die nachstehende Abbildung zeigt den Bereitstellungsprozess dieser Methode im Überblick. Abbildung 1.23 Ablauf der Bereitstellung bei Installation von DVD (Quelle: Microsoft WAIK für Windows 7)

75

Kapitel 1 Betriebssysteminstallation

Die DVD-Startmethode ist leicht vorzubereiten und eignet sich für Fälle, in denen hin und wieder einzelne Computer neu aufgesetzt werden sollen, setzt aber voraus, dass die Computer über eigene DVD-Laufwerke verfügen. Die Antwortdatei kann mit dem Windows System Image Manager (Windows SIM) erstellt werden. Wenn Windows-Setup abgeschlossen ist, können weitere Anpassungen erfolgen. Außerdem kann beispielsweise abschließend der Befehl Sysprep mit den Optionen /Oobe, /Generalize und /Shutdown ausgeführt werden, bevor der Computer an den Kunden ausgeliefert wird. Ausführliche Erläuterungen zu Sysprep finden Sie im nachfolgenden Abschnitt. Die Installation von einer DVD aus kann auch eingesetzt werden, um bei abbildbasierten Bereitstellungen eine Referenzinstallation zu erstellen. Installation von einem Konfigurationssatz aus

Alternativ kann man den Computer auch über eine bootfähige Windows PE-Umgebung starten, beispielsweise von einem USB-Stick aus, und sich dann mit einer Netzwerkfreigabe verbinden, wo die Installationsdaten Windows Setup zu finden sind. Auch hier kann eine Antwortdatei hinterlegt werden und so der Installationsvorgang über das Netzwerk automatisiert ablaufen. Die Konfigurationssatz-Installationsmethode ist geeignet, wenn nur eine geringe Anzahl von Computern installiert werden muss und die Erstellung und Verwaltung von Abbilddateien nicht effizient ist. Die Einrichtung der erforderlichen Infrastruktur nimmt, im Gegensatz zur nachstehend beschriebenen Abbild-Methode, zwar weniger Zeit in Anspruch, aber das Herstellen der einzelnen Computer dauert länger. Die nachstehende Abbildung zeigt den Bereitstellungsprozess dieser Methode im Überblick.

Abbildung 1.24 Ablauf der Bereitstellung bei Installation von einem Konfigurationssatz (Quelle: Microsoft WAIK für Windows 7)

Auch bei dieser Methode können nach dem Abschluss der Installation weitere Anpassungen erfolgen bzw. können die Computer mittels Sysprep für die Auslieferung an Kunden vorbereitet werden.

76

1 Bereitstellung von Windows 7 im Unternehmensnetzwerk

Soll eine größere Anzahl von Computern mit Windows 7 bestückt wer- Installation von den, beispielsweise während einer Migration im Unternehmen, bieten die einem Abbild aus zuvor beschriebenen Methoden nicht ausreichende Flexibilität. In diesem Fall ist eine abbildbasierte Bereitstellung vorzuziehen. Hierbei können Abbilder von Referenzinstallationen an einer Netzwerkfreigabe bereitgestellt oder beispielsweise über WDS oder SCCM verteilt werden. Diese Methode bietet die größte Flexibilität und ermöglicht es, viele Computer schnell zu duplizieren. Durch das Erstellen eines Basisabbilds kann das Systemabbild auf mehrere Computer mit identischer Konfiguration angewendet werden. Das Basisabbild kann zu jedem Zeitpunkt an erforderliche Änderungen angepasst werden. Zur Aufzeichnung des Abbilds der Referenzinstallation kann das Tool ImageX verwendet werden. Anschließend muss das Abbild auf einer Distributionsfreigabe gespeichert werden, die von Windows SIM (Windows Systemabbild Manager) bereitgestellt werden kann. Durch Verwendung unterschiedlicher Implementierungen der Antwortdatei Unattend.xml kann der eigentliche Installationsprozess ganz oder teilweise automatisiert werden. Allerdings erfordert das vollständige Implementieren einer automatischen Version dieser Methode mehr Vorbereitungszeit. In dem folgenden Diagramm ist der Prozess einer abbildbasierten Bereitstellung dargestellt. Abbildung 1.25 Ablauf der Bereitstellung bei Installation von einem Abbild (Quelle: Microsoft WAIK für Windows 7)

Das Systemvorbereitungsprogramm Sysprep In den vorstehenden Abschnitten wurde mehrfach auf das Tool Sysprep verwiesen. Sysprep ist ein kostenloses Zusatztool, mit dem Systemimages so vorbereitet werden, dass diese auf andere Computer übertragen werden können. Dies bietet den Vorteil, dass nicht nur das Betriebssystem, sondern auch alle Konfigurationen und alle Anwendungen übernommen werden können. Entscheidend ist dabei, dass Sysprep dem Zielrechner eine neue SID Problem mit zuweist. Windows benutzt zur Identifikation eines jeden Rechners eine identischer SID eindeutige Identifikationsnummer, die sogenannte SID (Security Identi-

77

Kapitel 1 Betriebssysteminstallation

fier). Jeder Rechner im Netzwerk muss eine eindeutige SID besitzen. Wenn nun aber ein vorhandenes Festplattenimage auf einen anderen Rechner kopiert wird, wird die bereits vorhandene SID auch auf dem anderen Rechner eingesetzt, was zu massiven Problemen im Netzwerk führen kann. Seit Windows 2000 bringt Windows mit dem Systemvorbereitungsprogramm Sysprep ein eigenes Programm mit, welches das Duplizieren von Rechnern mit eindeutiger SID erlaubt. Hierzu fügt Sysprep dem Image einen Systemdienst hinzu. Dieser Dienst entfernt systemspezifische Daten und erstellt eine eindeutige lokale SID, wenn der Computer, auf den das Image kopiert wurde, das erste Mal gestartet wird. Bei Windows XP und Windows Server 2003 verhindern jedoch technische Einschränkungen die Erstellung eines einzigen Image, das auf allen Computern bereitgestellt werden kann. Unterschiedliche HAL-Schichten (Hardware Abstraction Layer) bedeuten, dass mehrere Images gepflegt werden müssen. Seit Windows Vista bestehen diese technischen Einschränkungen nicht mehr; das Betriebssystem ist in der Lage, die benötigte HAL festzustellen und sie automatisch zu installieren. Sysprep-Neuerungen unter Windows Vista und Windows 7

78

Sysprep wurde mit Windows Vista in den folgenden Bereichen verbessert: 왘 Für die Windows-Versionen vor Windows Vista wird Sysprep im Windows OPK (OEM Preinstallation Kit) bzw. in der Datei Deploy.cab auf der Windows-CD oder im neuesten Service Pack bereitgestellt. Unter Windows Vista und Windows 7 ist Sysprep Teil der Installation und standardmäßig im Ordner %WINDIR%\System32\sysprep zu finden. 왘 Sysprep bereitet einen Computer für die Erstellung von Images oder die Auslieferung an einen Kunden vor, indem der Computer so konfiguriert wird, dass nach dem Neustart eine neue Sicherheitskennung erstellt wird. Darüber hinaus bereinigt die neue Version von Sysprep auch benutzer- und computerspezifische Einstellungen und Daten, die nicht auf einen Zielcomputer kopiert werden sollen. 왘 Sysprep konfiguriert Windows zum Starten im Überwachungsmodus. Der Überwachungsmodus ermöglicht es, Anwendungen und Gerätetreiber von Drittanbietern zu installieren sowie die Funktionalität des Computers zu testen. 왘 Mit Sysprep kann die Windows-Produktaktivierung bis zu drei Mal zurückgesetzt werden. 왘 Sysprep-Images werden als WIM-basierte Images gespeichert. Dies hebt einige der Beschränkungen, die bei den Vorgängerversionen bestanden, auf. Wie beschrieben sind WIM-Imageformate hardwareunabhängig. Die Rechner müssen daher nicht mehr zwingend über kompatible HALs oder über die gleichen Controller für Massenspeichergeräte (SCSI oder IDE) verfügen. Nur für 32-Bit- und 64-Bit-Prozessoren sind jeweils eigene Images notwendig. Auch muss die Festplatte auf dem Zielcomputer nicht mehr mindestens die gleiche Größe wie die Festplatte auf dem Masterrechner aufweisen. 왘 Die Datei Sysprep.inf gibt es nicht mehr. Die neue Version verwendet nur noch eine einzige Antwortdatei im .xml-Format (Unattend.xlm).

1 Bereitstellung von Windows 7 im Unternehmensnetzwerk

Sysprep kann gestartet werden, indem die Datei C:\Windows\System32\ Sysprep\Sysprep.exe ausgeführt wird. Werden keine Parameter angegeben, wird Sysprep im grafikbasierten Modus gestartet. Grundsätzlich umfasst der Einrichtungsprozess für den Referenzrechner, der zum Duplizieren der Festplatte verwendet werden soll, die folgenden Arbeitsschritte: 1. Installieren Sie das Betriebssystem auf dem Referenzrechner. Erforderliche 2. Installieren Sie auf dem Referenzrechner alle erforderlichen Anwendun- Arbeitsschritte gen. Hierbei kann es sich sowohl um Standardanwendungen wie Virenscanner oder Microsoft Office als auch um branchenspezifische Programme handeln. Auch die Konfiguration allgemeingültiger Einstellungen, wie beispielsweise lokaler Computerrichtlinien, ist möglich. 3. Führen Sie Sysprep.exe aus. Beim Ausführen von Sysprep auf dem Referenzcomputer werden alle benutzer- und computerspezifischen Einstellungen und Daten entfernt, der Produktaktivierungscountdown auf 30 Tage zurückgesetzt und die Erstellung einer neuen Sicherheits-ID (Security Identifier, SID) beim Neustart aktiviert. Abbildung 1.26 Die grafische Benutzeroberfläche von Sysprep

Entsprechend den beiden Startarten, in denen ein Computer auf der Basis eines Sysprep-Images gestartet werden kann, lassen sich, wie in vorstehender Abbildung gezeigt, die beiden folgenden Modi auswählen: 왘 Out-of-Box Experience (OOBE) Standardmäßig wird beim ersten Start von Windows 7 zunächst die Windows-Willkommensseite angezeigt. Die Windows-Willkommensseite, auch bezeichnet als Computer-OOBE (Out-of-Box Experience = Standardverhalten), ist die erste Seite, die ein Endbenutzer sieht. Diese Seite ermöglicht dem Benutzer das Anpassen der Windows-Installation. Dazu gehören das Erstellen von Benutzerkonten, die Annahme der Microsoft-Softwarelizenzbedingungen sowie die Auswahl von Sprache und Zeitzone. 왘 Systemüberwachungsmodus

Im Gegensatz zum OOBE-Modus kann der Endanwender bei Start im Systemüberwachungsmodus (Audit-Modus) keine Einstellungen vornehmen, da die Windows-Willkommensseite umgangen wird. Der Überwachungsmodus ermöglicht Administratoren in Unternehmen und Herstellern das Anpassen von Images an die eigenen Erfordernisse. Hier können zusätzliche Treiber oder Anwendungen hinzugefügt und die Installation getestet werden. Notwendige Einstellungen können hierbei aus einer Antwortdatei kommen.

79

Kapitel 1 Betriebssysteminstallation Sysprep mit Parametern ausführen

Alternativ kann Sysprep an der Befehlszeile mit der folgender Syntax ausgeführt werden: Sysprep.exe [/quiet] [/generalize) [/audit | /oobe] [/reboot | /shutdown | /quit] [/unattend:] 왘 /quiet: Bei Verwendung dieses Parameters wird Sysprep ohne Anzeige

왘

왘 왘 왘 왘 왘 왘

von Bildschirmmeldungen ausgeführt. Diese Option ist nützlich, um den Computer zu überwachen und um sicherzustellen, dass die Erstausführung korrekt funktioniert. /generalize: Weist Sysprep an, systemspezifische Daten aus der Windows-Installation zu entfernen. Die systemspezifischen Informationen umfassen Ereignisprotokolle, Sicherheitskennungen (SIDs), Systemwiederherstellungspunkte und Einträge in Protokolldateien. Außerdem wird der Aktivierungszähler auf 30 Tage zurückgesetzt. Diese Option sollte immer gesetzt werden, damit Windows auf die Erstellung eines Images vorbereitet wird. /audit: Startet den Rechner im Systemüberwachungsmodus. /oobe: Startet den Computer im Out-of-Box-Experience-(OOBE-)Modus. /reboot: Wird Sysprep mit diesem Parameter gestartet, führt das System einen automatischen Neustart durch. /shutdown: Mit diesem Parameter wird das Betriebssystem nach dem Beenden von Sysprep ohne Benutzereingriff heruntergefahren. /quit: Nach dem Ausführen wird Sysprep beendet. /unattend:: Wendet während der Ausführung von Sysprep Einstellungen aus einer Antwortdatei an. Dies ermöglicht eine unbeaufsichtigte Installation. Mit dem Parameter Antwortdatei werden der Pfad und der Dateiname der zu verwendenden Antwortdatei konfiguriert.

Ausführliche Erläuterungen zum Systemvorbereitungstool Sysprep.exe finden Sie ebenfalls in der Windows AIK-Dokumentation und im Microsoft Technet Center.

Images erstellen und bearbeiten mit ImageX ImageX ist ebenfalls Bestandteil von Windows AIK. Hierbei handelt es sich um ein Befehlszeilenprogramm, das auch unter Windows PE ausgeführt werden kann und es erlaubt, Images zu erstellen, zu bearbeiten und bereitzustellen. Weiterhin können damit WIM-Images als Ordner bereitgestellt und so offline bearbeitet werden. Da es sich um ein befehlszeilenbasiertes Programm handelt, kann es auch gut in Skripten eingesetzt werden. Einschränkend ist es mit ImageX nicht möglich, Anwendungen einem Image hinzuzufügen. Funktionsweise

80

Mit ImageX lassen sich Images aufzeichnen, die jedoch zunächst vorbereitet werden müssen. Hierzu gibt es mehrere Möglichkeiten:

1 Bereitstellung von Windows 7 im Unternehmensnetzwerk 왘 Mit dem Windows System Image Manager (Windows SIM) wird ein Instal-

lationsabbild erstellt, das später mit ImageX aufgezeichnet werden kann. 왘 Mithilfe von Sysprep kann die Aufzeichnung eines Images vorbereitet

werden. Bei der Vorbereitung mit Sysprep auf dem Masterrechner werden alle benutzer- und computerspezifischen Einstellungen und Daten entfernt, und die Erstellung einer neuen Sicherheitskennung nach dem Neustart wird aktiviert. Um anschließend das Image zu erstellen, muss der Referenzcomputer in der Windows PE-Umgebung gestartet werden. Mit ImageX können u.a. Partitionen in einer WIM-Datei gespeichert und Befehlszeileneine WIM-Datei in einer Partition wiederhergestellt werden. Hierfür stellt optionen ImageX die folgenden Befehle zur Verfügung: Abbildung 1.27 Die Syntax von ImageX

왘 /append: Fügt einer vorhandenen WIM-Datei ein Image hinzu. 왘 /apply: Stellt ein Image in einem bestimmten Laufwerk wieder her. 왘 /capture: Erstellt ein Image in einer neuen WIM-Datei. 왘 /delete: Löscht ein Image aus einer WIM-Datei . 왘 /dir: Zeigt eine Liste der Dateien und Ordner in einem Image an, 왘 왘 왘 왘 왘

ohne dass dieses zuvor bereitgestellt werden muss. /export: Überträgt ein Image von einer WIM-Datei zu einer anderen. /info: Zeigt die XML-Beschreibungen für eine ausgewählte WIM-Datei an. /split: Teilt eine vorhandene WIM-Datei in mehrere schreibgeschützte Teile. /mount: Stellt ein Image schreibgeschützt in einem ausgewählten leeren Ordner bereit. /mountrw: Stellt ein Image mit Lese- und Schreibzugriff in einem bestimmten Ordner bereit.

81

Kapitel 1 Betriebssysteminstallation 왘 /remount: Stellt die Verbindung zu einem bereitgestellten Abbild erneut

her. 왘 /commit: Speichert die Änderungen an einer bereitgestellten WIM-

Datei, ohne die Bereitstellung der WIM-Datei aufzuheben. 왘 /unmount: Hebt die Bereitstellung eines Images in einem ausgewählten

Ordner auf. 왘 /cleanup: Löscht alle Ressourcen, die einem bereitgestellten, abgebro-

chenen Abbild zugeordnet sind. Bei diesem Befehl wird weder die aktuelle Bereitstellung von Abbildern aufgehoben, noch werden Abbilder gelöscht, die über den Befehl imagex /remount wiederhergestellt werden können. Hervorzuheben ist die Option /mount. Diese bietet die Möglichkeit, ein Image in einem Ordner bereitzustellen. Anschließend kann das Image wie jeder andere Ordner auch bearbeitet werden, d.h., es können Dateien wie beispielsweise Treiberdateien oder Schriftendateien hinzugefügt und daraus entfernt werden. Anschließend kann die Bereitstellung mit der Option /unmount sehr einfach wieder aufgehoben werden. Ausführliche Erläuterungen zur Funktionsweise und zu den Einsatzmöglichkeiten von ImageX finden Sie im Benutzerhandbuch zum Windows AIK.

Windows 7 in einer mehrsprachigen Umgebung bereitstellen Bei international tätigen Unternehmen ist in der Regel der Einsatz unterschiedlicher Sprachversionen erforderlich. Da Windows 7 aufgrund der modularen Struktur sprachunabhängig ist, können komfortabel ein oder mehrere Sprachpakete hinzugefügt werden. Sprachpakete dienen zum Aktivieren der Unterstützung für bestimmte Sprachen und Gebietsschemata. Benutzer haben damit auf der WindowsWillkommensseite bzw. in der Systemsteuerung die Möglichkeit, die Standardsprache und das Gebietsschema für den Computer auszuwählen. Einschränkend werden verschiedene Sprachpakete nur von den Editionen Windows 7 Ultimate oder Enterprise unterstützt. Alle anderen WindowsVersionen unterstützen zwar keine vollständige Sprachumschaltung, es steht jedoch eine eingeschränkte Variante, die auf Language Interface Packs (LIPs) zurückgreift, zur Verfügung. Hierbei werden nur die gebräuchlichsten Bereiche der Benutzeroberfläche in eine andere Sprache übersetzt. Und bereits mit Windows Vista hat Microsoft die Bereitstellung von mehrsprachigen Computern deutlich erleichtert. Administratoren sind dadurch in der Lage, für Regionen mit mehreren Sprachen und Gebietsschemaeinstellungen dasselbe Image bereitzustellen. Dabei ersetzen die Sprachpakete in Windows 7 die MUI-(Multilingual User Interface-)Dateien aus früheren Versionen von Windows. Im Gegensatz zu MUI-Dateien können beispielsweise Sprachpakete einem Windows-Offline-Image hinzugefügt werden.

82

1 Bereitstellung von Windows 7 im Unternehmensnetzwerk

Für Windows 7 stehen zwei Arten von Sprachpakettypen zur Verfügung: Sprachpaket왘 Vollständiges Language Pack: Bei diesen Sprachpaketen sind in der Regel typen alle Ressourcen für die betreffende Sprache und das Gebietsschema lokalisiert. Allerdings sind bei bestimmten Sprachen nicht alle Sprachressourcen in der angegebenen Sprache lokalisiert. In einem solchen Fall wird das Language Pack als teilweise lokalisiertes Language Pack bezeichnet. So ist beispielsweise Arabisch (Saudi-Arabien) ein teilweise lokalisiertes Sprachpaket, bei dem 80 Prozent der Sprachressourcen in Arabisch, die verbleibenden 20 Prozent der Sprachressourcen entweder englisch oder französisch sind. 왘 Benutzeroberflächen-Sprachpaket (Language Interface Pack, LIP): Hierbei handelt es sich um teilweise lokalisierte Sprachpakete, die nur über ein vollständig lokalisiertes Sprachpaket installiert werden können. Weil LIPs lizenzfrei und kostenlos sind und weil es LIPs für alle Weltsprachen gibt, sind sie eine gute Alternative, wenn die eingesetzte Windows-Version keine Language Packs unterstützt. Lizenzrechtlich bedingt unterstützen nur die Windows Ultimate Edition und die Windows Enterprise Edition die Verwendung von Sprachpaketen. Nur bei diesen Editionen können mehrere Sprachpakete installiert werden. Beachten Sie hierzu die Erläuterungen in Abschnitt 1.3.3 ab Seite 82. Alle anderen Windows-Editionen entfernen automatisch alle nicht standardmäßigen Sprachpakete. Hingegen unterstützen alle Windows-Editionen eine unbegrenzte Anzahl von LIPs (Language Interface Packs). Im Microsoft Technet-Bereich finden Sie eine Liste mit allen unterstützten Language Packs und Benutzeroberflächen-Sprachpaketen, die für Windows 7 und Windows Server 2008 R2 verfügbar sind [LANGUAGE]. LIPS können Sie kostenlos herunterladen von der Microsoft Unlimited Potential Site [LIP]. Es gibt verschiedene Möglichkeiten, Sprachpakete in eine Windows 7- Sprachpakete Installation zu integrieren. Das Hinzufügen eines Language Packs zu installieren einem Windows-Abbild kann im Zuge mehrerer Bereitstellungsphasen erfolgen. So können Language Packs hinzugefügt werden, während das Windows-Abbild offline ist, im Rahmen einer automatisierten Installation unter Verwendung von Windows Setup und einer Antwortdatei für die unbeaufsichtigte Installation (Unattend.xml) oder im laufenden Betrieb des Betriebssystems. Hierbei ist Folgendes zu beachten: Ein Systemabbild kann so viele Language Packs enthalten wie nötig, allerdings nimmt durch jedes zusätzliche Language Pack die Größe des Abbilds zu. Dies verlängert ggf. auch die Zeit, die für das Ausführen bestimmter Wartungsaufgaben benötigt wird. Werden Language Packs mithilfe einer Antwortdatei für die unbeaufsichtigte Installation hinzugefügt, empfiehlt Microsoft, maximal 20 Language Packs gleichzeitig hinzuzufügen. Dieser Wert dürfte allerdings in den meisten Fällen mehr als ausreichend sein. Ausführliche Erläuterungen zur Funktionsweise und zur Installation von Sprachpaketen finden Sie im Benutzerhandbuch zum Windows AIK.

83

Kapitel 1 Betriebssysteminstallation

Erstellung und Anpassung XML-basierter Antwortdateien Bei den Vorgängerversionen von Windows Vista konnte der unbeaufsichtigte Installationsprozess durch eine Reihe textbasierter Antwortdateien, wie beispielsweise der Datei Unattend.txt oder Sysprep.inf, gesteuert werden. Diese Antwortdateien ermöglichten die Automatisierung während einer bestimmten Phase der Installation und die Bereitstellung von Windows, indem sie die Antworten für eine Reihe von Dialogfeldern der grafischen Benutzeroberfläche bereitstellten. Nur noch eine XML-basierte Antwortdatei

Seit Windows Vista wird bei der unbeaufsichtigten Installation eine einzelne .xml-basierte Antwortdatei (Unattend.xml) für alle Installations- und Bereitstellungsphasen von Windows verwendet. Diese Bereitstellungsphasen werden als Konfigurationsphasen bezeichnet. Konfigurationsphasen sind die Phasen einer Windows-Installation, während derer ein Abbild angepasst werden kann. In der Regel können die Einstellungen für die unbeaufsichtigte Windows-Installation in mehreren Konfigurationsphasen angewendet werden. Das Verständnis dafür, wie und wann Konfigurationsphasen ausgeführt werden, ist entscheidend für die Entwicklung einer geeigneten Bereitstellungsstrategie.

Konfigurationsphasen

84

Windows 7 unterscheidet die folgenden Konfigurationsphasen: 왘 windowsPE: Die Einstellungen für diese Phase konfigurieren Windows PE-Optionen sowie grundlegende Windows Setup-Optionen. Hierzu gehören u.a. das Festlegen des Produktschlüssels sowie das Konfigurieren der Datenträger. 왘 offlineServicing: In dieser Phase werden Updates, Sprachpakete und andere Sicherheitspatches auf das Image angewendet. 왘 specialize: Die Einstellungen für diese Phase legen systemspezifische Informationen fest und wenden sie an. Hierzu zählen u.a. Netzwerkeinstellungen, internationale Einstellungen und Informationen zur Domänenmitgliedschaft. 왘 generalize: Während dieser Konfigurationsphase werden computerspezifische Informationen aus der Windows-Installation entfernt, sodass das Windows-Abbild auf unterschiedliche Computer angewendet werden kann. Der Befehl sysprep /generalize beispielsweise entfernt systemspezifische Informationen aus dem Image. Dies umfasst neben der eindeutigen Sicherheits-ID (SID) und hardwarespezifischen Einstellungen auch das Zurücksetzen der Aktivierung. 왘 auditSystem: In dieser Konfigurationsphase werden Einstellungen für die unbeaufsichtigte Installation verarbeitet, während Windows im Systemkontext ausgeführt wird und bevor sich ein Benutzer im Überwachungsmodus am Computer anmeldet. Die Phase auditSystem wird nur ausgeführt, wenn die unbeaufsichtigte Installation im Überwachungsmodus durchgeführt wird. 왘 auditUser: Die Einstellungen für diese Phase werden verarbeitet, nachdem sich ein Benutzer im Überwachungsmodus am Computer angemeldet hat. Auch die Phase auditUser wird nur ausgeführt, wenn die unbeaufsichtigte Installation im Überwachungsmodus durchgeführt wird.

1 Bereitstellung von Windows 7 im Unternehmensnetzwerk 왘 oobeSystem: Im Durchlauf oobeSystem werden die Einstellungen für

den ersten Start durch den Endbenutzer, d.h. die Windows-Willkommensseite, konfiguriert und vor der ersten Anmeldung eines Benutzers bei Windows verarbeitet. Die nachstehende Abbildung aus dem Windows AIK für Windows 7 zeigt die Beziehung zwischen den Konfigurationsphasen im Rahmen von Windows PE, Windows Setup und Sysprep. Abbildung 1.28 Die Konfigurationsphasen einer Windows-Installation

Zum Erstellen und Verwalten von Antwortdateien kann Windows SIM Antwortdateien (System Image Manager) verwendet werden. Hierzu stellt Windows SIM mit dem WSIM eine grafische Benutzeroberfläche zur Verfügung, in der alle Aufgaben erstellen komfortabel erledigt werden können. Damit ist es beispielsweise möglich, eine Antwortdatei zu erstellen, mit der während des Installationsprozesses ein Datenträger partitioniert und formatiert, ein zusätzliches Sprachpaket installiert und Windows zum Starten im Überwachungsmodus nach der Installation konfiguriert wird. Darüber hinaus ermöglicht es der Windows System Image Manager, die vorhandenen Einstellungen eines Windows-Abbilds anzuzeigen und offline Software-Updates, Gerätetreiber sowie Sprachpakete u.a. hinzuzufügen. Für die Verteilung der Images gibt es mehrere Möglichkeiten. Einige Möglichkeiten unter Nutzung der Windows AIK Tools wurden zuvor im Abschnitt 1.3.1 ab Seite 75 vorgestellt. Ausführliche Erläuterungen zur Funktionsweise und zur Installation von Antwortdateien sowie zu deren Bearbeitung mit dem Windows System Image Manager finden Sie im Benutzerhandbuch zum Windows AIK.

85

Kapitel 1 Betriebssysteminstallation Abbildung 1.29 Offline-Bearbeitung von Images mit dem Windows System Image Manager

1.3.4

Aktivierung für Unternehmenskunden – Volumenaktivierung

Windows Vista ist das erste Betriebssystem von Microsoft bei dem die Aktivierung nicht mehr umgangen werden kann. Auch Unternehmen müssen das Betriebssystem daher aktivieren. Für Windows XP und Office 2003 hat Microsoft noch die Volume Activation 1.0 eingesetzt. Bei dieser Aktivierung erhielten Unternehmenskunden Seriennummern, die nicht extra aktiviert werden mussten. Bei der neuen Volume Activation 2.0, das mit Windows Vista und Windows Server 2008 veröffentlicht wurde, gibt es diese Möglichkeit nicht mehr. Alle Produkte, die unter die VA 2.0 fallen, müssen immer aktiviert werden. Das Systemverhalten von Windows Server 2008 und Windows Vista sowie Windows Server 2008 R2 und Windows 7 bei der Aktivierung ist daher grundsätzlich gleich. Für Letztere enthalten die Aktivierungstechnologien jedoch einige Verbesserungen vor allem in Hinblick auf eine vereinfachte Verwaltung. Für Office 2007 gelten die genannten Einschränkungen übrigens nicht. Office 2007 fällt noch unter Volume Activation 1.0. Hier erhalten Unternehmenskunden eine Seriennummer, die keine Aktivierung erfordert. Grundlagen der Volumenaktivierung

86

Wird Windows 7 installiert, generiert das System auf Basis der verwendeten Hardware eine eindeutige Identifizierungsnummer (ID), die zur Aktivierung verwendet wird. Ändert sich Hardware im Computer, stimmt die ID von Windows unter Umständen nicht mehr mit der AktivierungsID überein, sodass erneut aktiviert werden muss. Dazu arbeitet Windows mit einem Toleranzwert, der nicht unterschritten werden darf. Hierzu wird jeder Komponente im Computer eine bestimmte Punktzahl und damit Gewichtung zugeordnet. Wird eine Komponente ausgetauscht,

1 Bereitstellung von Windows 7 im Unternehmensnetzwerk

nähert sich das System dem Toleranzbereich, innerhalb dessen erneut aktiviert werden muss. So muss zum Beispiel beim Wechseln der CPU, des Mainboards oder der Festplatte oft neu aktiviert werden, allerdings hängt das vom einzelnen System ab. Diese drei Komponenten sind am höchsten gewichtet. Diese Vorgehensweise gilt auch für Volumenlizenzen. Mit Volumenlizenzschlüsseln ist es möglich, eine bestimmte Anzahl an Computern mit dem gleichen Schlüssel zu installieren und anschließend zu aktivieren. Solche Lizenzschlüssel gibt es nur für die Professional- und Enterprise-Editionen von Windows 7. Um aber Unternehmen bei der erforderlichen Aktivierung ihrer Systeme zu unterstützen, stellt Microsoft für die Volumenaktivierung spezielle Technologien und Tools zur Verfügung. Hierzu zählt u.a. das Volume Activation Management Tool (VAMT), das die zentrale Verwaltung der Volumenlizenzen über einen Key Management Service (KMS) oder über Multiple Activation Keys (MAK) unterstützt. Der KMS-Dienst wird auf einem Computer mit einem eigenen Schlüssel aktiviert, der lediglich auf dem KMS-Host und nicht auf jedem einzelnen Computer zu finden ist. Der MAK wird auf den einzelnen Computern gespeichert, ist jedoch verschlüsselt und wird in einem vertrauenswürdigen Speicher aufbewahrt, sodass Benutzer diesen Schlüssel nie zu sehen bekommen und auch nicht nachträglich auslesen können. Als Schlüssel verwendet Microsoft Cipher Block Chaining Message Authentication Code (CBC-MAC) mit dem Advanced Encryption Standard (AES) als grundlegende Verschlüsselungstechnologie. Bei der MAK-Aktivierung findet ein ähnlicher Prozess statt wie bei MSDN- Multiple Actioder Action Pack-Versionen für Microsoft-Partner. Jeder Produktschlüssel vation Key (MAK) kann für eine vorgegebene Anzahl an Computern verwendet werden, die dann auch aktiviert werden können. Die MAK-Aktivierung muss nur einmal durchgeführt werden und erlaubt beliebige Änderungen an der Hardware des Computers. Die MAK-Aktivierung kann über das Internet oder telefonisch durchgeführt werden. Vor allem bei mobilen Computern, die sich nicht ständig mit dem Netzwerk verbinden, ist die MAK-Aktivierung der bessere Weg, da keine ständige Verbindung zum KMS-Server benötigt wird und nur einmal aktiviert werden muss. Bei der Aktivierung über KMS müssen sich die Clients alle 180 Tage erneut mit dem Server verbinden können, der den KMS-Dienst zur Verfügung stellt. Wie viele Clients mit einem MAK aktiviert werden können, hängt vom individuellen Vertrag ab, den Ihr Unternehmen mit Microsoft geschlossen hat. Es gibt zwei verschiedene Varianten der MAK-Aktivierung: 왘 MAK Proxy Activation: Bei dieser Variante können mehrere Computer durch eine Verbindung bei Microsoft aktiviert werden. Microsoft stellt dazu das Volume Activation Management Tool (VAMT) zur Verfügung. Mit dem Tool ist eine grafische Oberfläche zur Verwaltung des Volumenaktivierungsprozesses der Produktschlüssel verfügbar. 왘 MAK Independent Activation: Bei dieser Variante muss jeder Computer durch eine eigene Verbindung bei Microsoft aktiviert werden.

87

Kapitel 1 Betriebssysteminstallation Abbildung 1.30 Das Volume Activation Management Tool ist Bestandteil von Windows AIK für Windows 7.

Key Management Service (KMS) Activation

Bei der KMS-Variante können Sie die Aktivierung der eingesetzten Windows Vista-, Windows 7- oder Windows Server 2008-Computer über einen lokalen Server durchführen, eine Verbindung zu Microsoft ist nicht notwendig. Dazu muss auf allen zu aktivierenden Computern der Key Management Service (KMS) installiert werden. Zur Aktivierung versuchen die KMS-Client, alle zwei Stunden eine Verbindung zum KMS-Host aufzubauen, und müssen diesen innerhalb von 30 Tagen erreichen können. Anschließend wird dieser KMS-Host in den Cache des Clients geschrieben. Bei der nächsten Aktivierung wird dann versucht, direkt diesen KMS-Host zu verwenden. Wenn ein KMS-Host nicht antwortet, versucht ein Client automatisch, andere KMS-Hosts zu erreichen. Computer, die durch KMSAktivierung aktiviert worden sind, müssen alle 180 Tage die Aktivierung am KMS-Host erneuern. Eine weitere Möglichkeit ist die manuelle Verbindung der Clients zum KMS-Host mit Direct Connection. Windows 7 Professional und Windows 7 Enterprise sind bereits standardmäßig auf eine Aktivierung per KMS ausgelegt, ohne dass eine Benutzereingabe erfolgen muss. Die Computer versuchen, sich in einem Active Directory per SRV-Record mit einem KMS-Host zu verbinden und sich selbstständig zu aktivieren.

1.3.5 Microsoft Patch Day

Bereitstellung von Updates und Service Packs

Das Einspielen von Service Packs und Sicherheitsupdates ist heute fester Bestandteil der Systemwartung. Seit 2003 veröffentlicht Microsoft jeweils an einem festen Tag im Monat, dem Patch Day, neue Updates und Sicherheitspatches. Um den Aufwand für das Update-Management möglichst gering zu halten, haben alle aktuellen Windows-Systeme die Funktion WINDOWS UPDATE integriert, mit deren Hilfe das Betriebssystem permanent automatisiert oder manuell auf dem aktuellen Stand gehalten werden kann. Microsoft stellt dazu wichtige Updates mit Erweiterungen, wie Aktualisierungen und Tools,

88

1 Bereitstellung von Windows 7 im Unternehmensnetzwerk

die zur reibungsloseren Funktion des Computers beitragen können, sowie Sicherheitsupdates zur Verfügung. Windows Update überprüft den Computer und stellt eine Auswahl von auf die Soft- und Hardware des Computers bezogenen Updates bereit. Diese Funktion ist bereits seit Windows 2000 Service Pack 3 Bestandteil, wurde jedoch laufend erweitert und verbessert. Bereits mit Windows Vista sind nochmals einige Verbesserungen hinzugekommen. Hierzu zählen die Reduzierung von Neustarts, eine effiziente Nutzung der verfügbaren Bandbreite sowie die Möglichkeit, den Verlauf der Update-Installation zu überprüfen. Außerdem wird der Windows Update Agent (WUA) als eigenständige Anwendung verwaltet. Updates können entweder direkt bei Microsoft oder von einem internen Möglichkeiten Update-Server heruntergeladen werden. Windows Update verwendet in der UpdateBereitstellung beiden Fällen die gleiche Benutzeroberfläche. In Unternehmensnetzwerken beziehen die einzelnen Rechner ihre Updates meist von einem lokalen Update-Server. Microsoft liefert mit dem Windows Software Update Service (WSUS) hierzu eine eigene Zusatzlösung. Mit der aktuellen Version WSUS Service Pack 2 werden auch Windows 7-Clients unterstützt. Der Vorteil dabei ist, dass die Pakete nur einmal von dem Microsoft-Update-Server geladen werden müssen; das spart Bandbreite. Zudem kann der Administrator die Patches evaluieren und hat die Kontrolle, wann und ob ein Update installiert wird.

Updates lokal verwalten Windows Update ist unter Windows 7 eine eigenständige Anwendung, die Updates manuell unter Systemsteuerung/System und Wartung/Windows Updates oder im Start- herunterladen menü unter Alle Programme zu finden ist. Abbildung 1.31 Dialogfeld zur Verwaltung von Windows-Updates

89

Kapitel 1 Betriebssysteminstallation Updates manuell herunterladen

Mithilfe der Option Nach Updates suchen kann das Herunterladen von Updates an dieser Stelle jederzeit manuell gestartet werden. Werden Updates gefunden, wird dies gemeldet, und die Updates können entweder direkt installiert oder zunächst angezeigt und einzeln ausgewählt werden. Aus Sicherheitsgründen ist aber zu empfehlen Windows Update für den automatischen Bezug von Updates zu konfigurieren. Ist Windows Update nicht aktiv, meldet das Wartungscenter eine Sicherheitslücke im Bereich Sicherheit und zeigt zusätzlich im Infobereich der Taskleiste ein rot markiertes Fähnchen an.

Automatische Updates konfigurieren

Wird die Funktion aktiviert, überprüft Windows 7, ob neue Updates vorliegen, lädt diese herunter und installiert diese automatisch nach einem festlegbaren Zeitplan. Ist ein vollautomatischer Update-Service nicht gewünscht, kann die Funktion so konfiguriert werden, dass nur eine Benachrichtigung erfolgt, sobald neue Updates zur Verfügung stehen, und diese dann manuell oder zum gewünschten Zeitpunkt installiert werden. Hierzu ist die Option Einstellungen ändern in dem in Abbildung 1.32 gezeigten Dialogfeld zu verwenden.

Abbildung 1.32 Windows 7 für den automatischen Bezug von Updates konfigurieren

An erster Stelle steht hier die von Microsoft empfohlene Option Updates automatisch installieren (empfohlen). Hierbei werden bei vorhandener Internetverbindung die Updates automatisch installiert. Wenn der Computer während eines geplanten Updates ausgeschaltet ist, installiert Windows die Updates beim nächsten Starten des Computers. Hierbei ist jedoch zu beachten, dass die vollautomatische Update-Funktion nicht nur Sicher-

90

1 Bereitstellung von Windows 7 im Unternehmensnetzwerk

heitsupdates, sondern auch kritische Treiberupdates durchführt. Dies kann Probleme verursachen, wenn herstellereigene Treiber eingesetzt werden, da diese gegebenenfalls bei einem Update durch die Microsofteigenen Standardtreiber ersetzt werden. Es kann daher sinnvoll sein, die Option Updates herunterladen, aber Installation manuell ausführen zu verwenden. Hierbei werden verfügbare Updates automatisch heruntergeladen, aber nicht installiert. Die zu installierenden Updates können hierbei ausgewählt werden. Es kann außerdem festgelegt werden, dass die Updates erst zu einem angegebenen Zeitpunkt installiert werden. Die genannten Einstellungen beziehen sich standardmäßig ausschließlich Zu installierende auf die sogenannten wichtigen, d.h. verbindlichen Updates. Zusätzlich Updates anzeigen kann festgelegt werden, wie mit optionalen Updates (empfohlene Updates) zu verfahren ist. Werden diese nicht automatisch installiert, sollte regelmäßig die Liste der zu installierenden Updates überprüft werden. Abbildung 1.33 Die Liste der zu installierenden Updates ermöglicht die gezielte Auswahl benötigter Updates.

Wird Windows 7 Ultimate Edition oder Enterprise Edition eingesetzt, enthält die Liste der optionalen Updates auch die verfügbaren Sprachpakete. Gewünschte Sprachpakete können damit installiert werden. Nähere Informationen zum Einsatz von Sprachpaketen finden Sie in Abschnitt 1.3.3 ab Seite 82. Hilfreich ist die Option Updateverlauf anzeigen, mit der unter Windows 7 die korrekte Installation von Updates überprüft werden kann.

91

Kapitel 1 Betriebssysteminstallation Abbildung 1.34 Die erfolgreiche Installation von Updates kann im Updateverlauf überprüft werden.

Updates zentral bereitstellen Zumindest in großen Unternehmensnetzwerken ist die Einrichtung einer zentral administrierbaren Patchverwaltung unumgänglich. Microsoft stellt mit Microsoft Windows Server Update Services (WSUS) kostenlos ein Patchund Update-Verwaltungsprogramm als zusätzliche Komponente für Microsoft Windows Server zur Verfügung, mit der Administratoren WindowsUpdates im eigenen LAN bereitstellen, verwalten und verteilen können. Zusätzlich können damit die Sicherheitseinstellungen aller Computer im Netzwerk analysiert und entsprechende Auswertungen erstellt werden. Hierzu stellt WSUS eine Verwaltungsinfrastruktur bereit, die aus den folgenden drei Elementen besteht: 왘 Microsoft Update Website: Die Microsoft-Website, mit der die WSUSServer zum Herunterladen von Updates für Microsoft-Produkte eine Verbindung herstellen. 왘 Windows Server Update Services-Server: Beschreibt die Serverkomponente, die auf einem Computer installiert ist. Der WSUS-Server stellt die Funktionen bereit, die zum Verwalten und Verteilen von Updates über ein webbasiertes Tool benötigt werden. Darüber hinaus kann ein WSUS-Server als Update-Quelle für andere WSUS-Server dienen. In einer WSUS-Infrastruktur muss mindestens ein WSUS-Server im Netzwerk eine Verbindung mit Microsoft Update herstellen, um verfügbare Updates abzurufen. 왘 WSUS-Clients: Rechner, die mithilfe der Windows Update-Funktion Updates von einem WSUS-Server herunterladen. Bei WSUS-Clients kann es sich sowohl um Server als auch Clientcomputer handeln. Um die Verteilung übernehmen zu können, muss WSUS auf einem zentral verfügbaren Server installiert werden. Der WSUS-Server prüft vor der Installation eines Updates, ob es für den Zielrechner geeignet ist. Zur Speicherung seiner Konfigurationsdaten und der Rückmeldungen der WSUS-Clients über installierte Updates verwendet WSUS eine SQLDatenbank. In kleineren Organisationen kann auch die mit WSUS ausgelieferte Datenbank eingesetzt werden. Zusätzliche Informationen finden Sie auf der WSUS-Infoseite unter dem folgenden Link: [WSUS]

92

1 Bereitstellung von Windows 7 im Unternehmensnetzwerk

Die aktuelle Version WSUS 3.0 (Stand 10/2009) mit Service Pack 2 bietet auch Unterstützung für Windows 7 und Windows Server 2008 R2. Abbildung 1.35 WSUS 3.0 bietet umfangreiche Funktionen zur Konfiguration des WSUSServers.

93

2

Hardwareinstallation

Ein Gerät ist ein Stück Hardware, mit dem Windows interagiert, um eine Funktion des Gerätes bereitzustellen. Hierbei kann Windows nur über die Gerätetreibersoftware mit der Hardware kommunizieren. Zur Installation eines Gerätetreibers führt das System eine Erkennung des Gerätes durch, ermittelt den Gerätetyp und sucht dann einen passenden Gerätetreiber. Seit der Einführung von Plug&Play-fähiger Hardware stellt die Installation neuer Geräte kaum noch eine Herausforderung dar – vorausgesetzt man verfügt über den passenden Treiber und die erforderlichen Berechtigungen. Was bei Windows 7 in Bezug auf die Installation und die Verwaltung von Treibern dennoch zu beachten ist und wie möglichen Problemen mit Treibern begegnet werden kann, ist Gegenstand dieses Kapitels. Dabei werden die Installation und Verwaltung von Geräten zuerst aus Anwendersicht betrachtet, was auch die DeviceStage-Funktionen und die integrierten Funktionen zur Behandlung von Problemen einschließt. Darüber hinaus werden die Möglichkeiten zur Bereitstellung von Treibern im Unternehmensnetzwerk und zur Steuerung von Installationsberechtigungen aufgezeigt.

2.1

Hardware installieren

Windows unterstützt die Plug&Play-Spezifikation, durch die definiert wird, auf welche Weise ein Computer neue Hardware erkennen bzw. konfigurieren und den Gerätetreiber automatisch installieren kann. Während der Installation führt Windows 7 eine Hardwareerkennung durch. Hat man, was zu empfehlen ist, im Vorfeld der Installation die Kompatibilität der Hardware überprüft und sichergestellt, werden die Geräte erkannt und automatisch in das System eingebunden. Dies gilt grundsätzlich auch für die nachträgliche Installation von Hardware.

95

Kapitel 2 Hardwareinstallation

Dennoch ist es wichtig zu wissen, wie der Installationsprozess abläuft (auch um im Fehlerfall gezielt eingreifen zu können) und welche Steuerungsmöglichkeiten bestehen.

2.1.1

Automatische Geräteinstallation

Alle Geräte, die den Plug&Play-Standard unterstützen, können automatisch installiert werden. Einige Besonderheiten sind bei Hot-Plug-fähigen Geräten zu beachten.

Plug&Play-fähige Geräte installieren Heutige Hardwarekomponenten unterstützen in der Regel vollständig den Plug&Play-Standard und geben über sich selbst Auskunft, sodass sie ohne Benutzereingriff in das Betriebssystem eingebunden werden können. ACPI-Unterstützung

Auch die Konfiguration der Energieversorgung erfolgt bei Plug&Play-Geräten automatisch. Das Betriebssystem ermittelt, welche Programme aktiv sind, und verwaltet den gesamten Energiebedarf für die Teilsysteme und die Peripheriegeräte des Computers. Voraussetzung hierfür ist ein ACPI(Advanced Configuration and Power Interface-)fähiges System. ACPI ist ein offener Industriestandard, der eine flexible und erweiterbare Hardwareschnittstelle definiert. Hierzu gehören beispielsweise intelligente Stromsparfunktionen. Bei ACPI wird das gesamte Powermanagement vom Betriebssystem übernommen, was allerdings voraussetzt, dass die für die einzelnen Geräte eingesetzten Treiber ebenfalls diesem Standard entsprechen.

RessourcenManagement

Ein weiterer Vorteil der Plug&Play-Technologie besteht in der automatischen Verwaltung der Ressourcen. Jedes installierte Gerät benötigt eine Reihe Systemressourcen, damit es ordnungsgemäß funktionieren kann. Zu den Systemressourcen zählen u.a.: 왘 Hardware-Interrupts (IRQs – Interrupt Request Line) 왘 Eingabe-/Ausgabeadressen 왘 DMA-Kanäle 왘 Einige Hauptspeicherbereiche Die Systemressourcen gestatten es den Hardwarekomponenten, auf die CPU- und Speicherressourcen zuzugreifen, ohne miteinander in Konflikt zu geraten. Da diese Ressourcen immer begrenzt sind, muss bei der Installation der Komponenten über die Verteilung der jeweils vorhandenen Ressourcen entschieden werden. Einige dieser Ressourcen können auch gemeinsam genutzt werden. Das Plug&Play-Ressourcen-Management setzt voraus, dass die von den Komponenten verwendeten Gerätetreiber nicht von selbst bestimmte Systemressourcen beschlagnahmen (dies ist bei allen Geräten, die den Plug&Play-Standard erfüllen, der Fall), sondern nur ihren Bedarf an Ressourcen beim System anmelden, entweder bei der Installation, beim Hochfahren des Systems oder beim Anschluss eines Geräts im laufenden Betrieb. Das System erfährt so, welche Ressourcen benötigt werden bzw. welche schon vergeben und welche noch frei sind, und teilt die Ressourcen automatisch so zu, dass alle Geräte ohne Konflikte arbeiten können.

96

Hardware installieren

Grundsätzlich umfasst die Geräteinstallation unter Windows 7 die fol- Installationsablauf genden Schritte: 1. Wird ein neues Gerät angeschlossen, erkennt Windows dies und übermittelt dem Plug&Play-Dienst ein Signal. 2. Der Plug&Play-Dienst identifiziert das Gerät. 3. Anschließend durchsucht der Plug&Play-Dienst den Treiberspeicher (engl. Driver Store) nach einem passenden Treiberpaket für das Gerät. Hierbei handelt es sich um einen sicheren Bereich, in dem Windows die Treiberinstallationspakete bis zur Installation speichert. Alle Treiberpakete werden zwingend im Treiberspeicher bereitgestellt. Wird dort kein geeigneter Treiber gefunden, werden weitere Speicherorte durchsucht. Anderenfalls wird der Vorgang mit Schritt 5 fortgesetzt. 4. Der Plug&Play-Dienst durchsucht zunächst die in der Registrierungseinstellung DevicePath angegebenen Ordner. Wird dort kein geeigneter Treiber gefunden, wird die Windows Update-Website in die Suche einbezogen. Steht auch dort kein Treiber zur Verfügung, wird der Benutzer aufgefordert, einen Datenträger mit dem Treiber einzulegen bzw. ein Medium anzugeben. Anschließend überprüft Windows, ob der Benutzer berechtigt ist, das Treiberpaket im Treiberspeicher abzulegen. Der Benutzer muss dazu über Administratorrechte verfügen, oder die entsprechende Computerrichtlinie muss so konfiguriert sein, dass der Benutzer zum Installieren dieses Gerätes berechtigt ist. Weiterhin überprüft Windows, ob das Treiberpaket eine gültige digitale Signatur besitzt. Ist das Zertifikat zwar gültig, jedoch nicht im Zertifikatspeicher Vertrauenswürdige Herausgeber enthalten, wird der Benutzer zur Bestätigung aufgefordert. Danach speichert Windows eine Kopie des Treiberpakets im Treiberspeicher. 5. Der Plug&Play-Dienst konfiguriert anschließend die Registrierung, um Windows anzuweisen, wie die neu installierten Treiber zu verwenden sind, und kopiert die Treiberdateien aus dem Treiberspeicher in die entsprechenden Verzeichnisse des Betriebssystems. Dies ist standardmäßig das Verzeichnis %systemroot%\windows32\drivers. 6. Im letzten Schritt werden die neu installierten Treiber gestartet. Dieser Vorgang wird bei jedem Computerneustart wiederholt, um die Treiber erneut zu laden.

2

Wenn die Gerätetreibersoftware von Windows 7 automatisch installiert werden kann, wird nach dem Abschluss der Installation ein Hinweis in der Taskleiste angezeigt, dass sich das entsprechende Gerät verwenden lässt. Wurde eine der beschriebenen Sicherheitsüberprüfungen nicht erfolgreich abgeschlossen oder konnte kein geeigneter Gerätetreiber gefunden werden, wird der Vorgang beendet. Außerdem muss der Treiber eine gültige digitale Signatur besitzen und im Zertifikatspeicher Vertrauenswürdige Herausgeber enthalten sein.

97

Kapitel 2 Hardwareinstallation

Mithilfe einer Gruppenrichtlinie kann die Meldung unterdrückt werden, sodass der Anwender von der Installation nichts bemerkt. Auch die Dauer der Treiberinstallation kann dort begrenzt werden. Standardmäßig bricht Windows eine Geräteinstallation erst ab, wenn sie innerhalb von fünf Minuten nicht abgeschlossen werden konnte. Die entsprechenden Richtlinien finden Sie im Gruppenrichtlinieneditor im Ordner: Computerkonfiguration/Administrative Vorlagen/System/Geräteinstallation. Der lokale Gruppenrichtlinieneditor kann durch Eingabe von gpedit.msc im Suchfeld des Startmenüs geöffnet werden. Die im obigen Schritt 4 beschriebenen Vorgänge werden als Bereitstellung bezeichnet. Die Bereitstellung von Treiberpaketen kann auch separat erfolgen. Damit haben Administratoren die Möglichkeit, Gerätetreiberpakete für Benutzer bereitzustellen, die diese dann ohne zusätzliche Berechtigungen installieren können. Beachten Sie hierzu auch den Abschnitt 2.4 ab Seite 126. Der Installationsvorgang kann nur dann erfolgreich abgeschlossen werden, wenn mindestens einer der folgenden Punkte zutrifft: 왘 Das Gerät wird von einem Treiberpaket unterstützt, das in Windows enthalten ist. In Windows enthaltene Treiberpakete können von Standardbenutzern installiert werden. 왘 Der Administrator hat das Treiberpaket im Treiberspeicher bereitgestellt. Im Treiberspeicher enthaltene Treiberpakete können von Standardbenutzern installiert werden. 왘 Der Benutzer besitzt ein Medium mit dem entsprechenden Treiberpaket, das vom Hersteller bereitgestellt wurde (beachten Sie hierzu auch die Hinweise in Abschnitt 2.3 ab Seite 115), und ist berechtigt, das entsprechende Gerät zu installieren. Außerdem muss der Treiber eine gültige digitale Signatur besitzen und im Zertifikatspeicher Vertrauenswürdige Herausgeber enthalten sein. Bei manchen Geräten ist es erforderlich, die Treibersoftware vor dem Anschließen des Gerätes zu installieren. Hierzu sollten Sie die Hinweise des Herstellers beachten. Unbekanntes Gerät beim Systemstart gefunden Abbildung 2.1 Dialogfeld bei Erkennung neuer unbekannter Hardware

98

Findet Windows 7 beispielsweise beim Hochfahren neue Hardware, kann diese aber nicht erkennen, oder findet beim Anschluss eines neuen Gerätes keinen Treiber, erscheint eine Mitteilung, dass das Gerät nicht installiert werden konnte.

Hardware installieren

Wie im einem solchen Fall zu verfahren ist und wie Sie am besten mit Treiberproblemen umgehen, erfahren Sie in Abschnitt 2.3 ab Seite 115.

2

Einsatz von Hot-Plug-Geräten Abhängig u.a. vom verwendeten Bustyp können Plug&Play-Geräte im laufenden System installiert bzw. aus diesem entfernt werden (Hot-Plug). Hierzu zählen beispielsweise USB- und Firewire-(IEEE 1394-)Geräte. Das Betriebssystem erkennt das Einstecken bzw. Entfernen derartiger Hardwaregeräte automatisch und verwaltet die System- und/oder Hardwarekonfiguration entsprechend. Geräte, die den Hot-Plug-Modus nicht unterstützen, wie beispielsweise PCI-Karten, müssen beim Systemstart eingebaut bzw. angeschlossen und eingeschaltet sein, um automatisch erkannt zu werden. Bezüglich des Umgangs mit Speichergeräten (externe USB-Flashlauf- Hot-Plug-Geräte werke, Firewire-Festplatten, USB-Memorysticks u.a.) ist hierbei Folgen- sicher entfernen des zu beachten. Möglicherweise erscheint beim Anschließen eines Gerätes das nachfolgend gezeigte Dialogfeld. Wird hier die Option Überprüfen und reparieren (empfohlen) ausgewählt, bietet Windows 7 anschließend die Möglichkeit, eine Datenträgerprüfung zu starten. Abbildung 2.2 Fehlermeldung beim Anschließen eines USB-Geräts

Das Problem kann auftreten, wenn das Speichergerät entfernt wurde, bevor Problembereich alle Informationen auf dem Gerät korrekt gespeichert werden konnten. Um Schreibcache das zu vermeiden, sollte ein Gerät, sofern dieses über eine Aktivitätsanzeige verfügt, erst ein paar Sekunden nach Erlöschen der Aktivitätsanzeige entfernt werden. Noch sicherer ist es, die Funktion Hardware sicher entfernen zu verwenden, die im Infobereich der Taskleiste zu finden ist. Hierbei wird das System darüber informiert, dass ein Gerät entfernt werden soll. Dieses veranlasst u.a. die Datenübertragung, das Gerät anzuhalten und den Schreibcache zu leeren bzw. zu speichern. Plötzliches Entfernen ist besonders für Speichergeräte gefährlich, für die zur Steigerung der Schreib-Performance der Schreibcache aktiviert ist, denn wenn derartige Geräte plötzlich entfernt werden, kann es zu Datenverlusten oder -beschädigungen kommen.

99

Kapitel 2 Hardwareinstallation

Ob der Schreibcache für ein Gerät aktiviert ist, kann in den Eigenschaften des betreffenden Gerätes im Geräte-Manager ermittelt werden. Eine schnelle Möglichkeit, Anwendungen zu starten, bietet das Suchfeld des Startmenüs. Im Falle des Geräte-Managers genügt bereits die Eingabe der Buchstaben Geräte, um alle Anwendungen zur Verwaltung von Geräten aufgelistet zu erhalten. Um die gewählten Einstellungen des Schreibcaches für das Gerät anzuzeigen und gegebenenfalls zu ändern, ist im Geräte-Manager die Eigenschaftenseite und anschließend die Registerkarte Richtlinien zu wählen. Falls diese Registerkarte nicht angezeigt wird, steht die Option für das ausgewählte Gerät nicht zur Verfügung. Abbildung 2.3 Deaktivierung des Schreibcaches bei einem Hot-Plugfähigen Gerät

Standardeinstellungen

Standardmäßig verwendet Windows 7 die folgenden Einstellungen hinsichtlich der Aktivierung des Schreibcaches für Speichergeräte: 왘 Der Schreibcache wird standardmäßig für externe Hochleistungsspeichergeräte (wie IEEE 1394-Festplatten und SCSI-Festplatten) und darüber hinaus für computerinterne Speichergeräte, die bautechnisch nicht plötzlich entfernt werden können, aktiviert. 왘 Bei als extern erkannten Speichergeräten, wie beispielsweise USB-Flashspeichergeräten oder Festplatten am USB-Anschluss, wird der Schreibcache standardmäßig deaktiviert, indem die Funktion Schnelles Entfernen aktiviert wird. Damit können solche Geräte grundsätzlich während des laufenden Betriebes ohne weitere Vorbereitungen entfernt werden. Auch wenn ein Gerät für das schnelle Entfernen aus dem System optimiert ist, empfiehlt es sich zu überprüfen, ob im Infobereich das Symbol für Hardware sicher entfernen angezeigt wird, und diese Funktion dann trotzdem zu verwenden.

Automatische Wiedergabe

100

Welche Aktionen Windows nach dem Anschluss eines solchen Gerätes startet, ist u.a. abhängig von den Einstellungen der automatischen Wiedergabe.

Hardware installieren

Die Automatische Wiedergabe ist eine Funktion von Windows, die eine Festlegung ermöglicht, welche Programme verwendet werden sollen, um verschiedene Arten von Medien zu starten, beispielsweise Musik-CDs oder CDs und DVDs mit Fotos und welche Aktionen bei Anschluss von Geräten durchgeführt werden sollen. Sind auf dem Computer mehrere Medienwiedergabeprogramme installiert, kann der Computer so eingerichtet werden, dass eine CD oder DVD beim Einlegen automatisch mit dem gewünschten Programm abgespielt wird.

2

Die Funktion erinnert damit an die auch in älteren Windows-Versionen verfügbare Funktion Autorun, unterscheidet sich von dieser aber durch die umfangreichen Konfigurationsmöglichkeiten. Abbildung 2.4 Ausschnitt aus dem Dialogfeld zur Konfiguration der Einstellungen für die automatische Wiedergabe beim Anschluss von Medien und Geräten

2.1.2

Geräte manuell installieren

Nicht Plug&Play-fähige Geräte sind zwar selten geworden, aber durchaus noch im Einsatz. Hierzu gehören beispielsweise Geräte, die an der seriellen Schnittstelle angeschlossen werden, sowie manche Drucker. Bei diesen Geräten sind zwingend Benutzereingriffe erforderlich. Aber auch bei Plug&Play-fähigen Geräten kann eine manuelle Installation erforderlich werden, beispielsweise wenn ein Gerät, das erst später angeschlossen wird, installiert werden soll.

Neue Geräte installieren im Bereich Geräte und Drucker Wie bereits zuvor beschrieben, gibt es auch unter Windows 7 noch den vertrauten Geräte-Manager, doch rückt dieser mit der neu in Windows 7 eingeführten Funktion Geräte und Drucker zumindest für die Anwender in den Hintergrund. Hier können alle zusätzlich angeschlossenen Hardware und mobilen Geräte an einer zentralen Stelle verwaltet werden. Die DeviceStage-Funktion kann zudem für jedes der angeschlossenen Geräte die entsprechenden Treiber und Updates automatisch herunterladen und aktualisieren. Müssen bei den Vorgängerversionen beispielsweise zur Verwaltung

101

Kapitel 2 Hardwareinstallation

von Druckern, Scannern, Handys oder MP3-Playern noch unterschiedliche Funktionen und Fenster geöffnet werden, zeigt Windows 7 alle Geräte, die an den Computer angeschlossen sind, nun in einem einzigen Fenster. Zu finden ist die Funktion Geräte und Drucker unterhalb von Hardware und Sound in der Systemsteuerung. Hier können zentral die Eigenschaften der Hardware konfiguriert, Problemgeräte behandelt, aber auch Geräte einschließlich Drucker hinzugefügt werden. Die Option Gerät hinzufügen startet die automatische Suche nach neuen Geräten, die Option Drucker hinzufügen ermöglicht die Installation eines neuen Druckers. Abbildung 2.5 Zentrale Verwaltung aller Peripheriegeräte im Bereich Geräte und Drucker

Installation mit dem Hardware-Assistenten Den vertrauten Hardware-Assistenten von Windows XP sucht man im Ordner Geräte und Drucker jedoch vergeblich. Dieser versteckt sich im GeräteManager und kann hier mithilfe der Option Lecacyhardware hinzufügen im Menü Aktion aufgerufen werden. Mithilfe des Assistenten kann Treibersoftware für (ältere) Geräte installiert werden, die nicht automatisch erkannt werden. Eine schnelle Möglichkeit, den Geräte-Manager zu starten, bietet das Suchfeld des Startmenüs. Hier genügt bereits die Eingabe der Buchstaben Geräte, um alle Anwendungen zur Verwaltung von Geräten aufgelistet zu erhalten.

102

Hardware installieren

Der Hardware-Assistent kann sowohl verwendet werden, um neue Hardware zu installieren, als auch um Probleme mit bestehender Hardware anzugehen. Das Entfernen von Geräten oder Treibern ist jedoch mit dem Hardware-Assistenten nicht möglich. Wie bei den Vorgängerversionen von Windows 7 müssen Geräte manuell im Geräte-Manager entfernt werden.

2

Die Installation neuer Hardware mithilfe des Assistenten umfasst die folgenden Schritte: 1. Schließen Sie das Gerät an den Computer an, schalten Sie es ein, und Vorgehensweise starten Sie den Hardware-Assistenten. 2. Im ersten Schritt ist anzugeben, ob Windows automatisch nach zu installierender Hardware suchen soll oder ob Sie das Gerät selbst aus einer Liste auswählen wollen. Anders als bei der automatischen Erkennung Plug&Play-fähiger Geräte überprüft Windows bei dieser Aktion auch solche Anschlüsse, an die keine Plug&Play-Geräte angeschlossen werden können. Häufig ist es sinnvoll, zuerst Windows suchen zu lassen und gegebenenfalls später manuell den Treiber zu wählen. 3. Findet das System kein neues Gerät, bietet das System an, das Gerät manuell auszuwählen. Wählen Sie zuerst den Gerätetyp aus, wird anschließend eine Liste aller in der Treiberdatenbank gefundenen Treiber, sortiert nach Hersteller, angezeigt. Wenn Sie dagegen einen passenden Treiber vom Hersteller beispielsweise auf CD-ROM haben, benutzen Sie hier die Schaltfläche Datenträger. 4. Ist die Auswahl bestätigt, versucht Windows 7, die passenden Treiber zu installieren und das Gerät so in die gegebene Konfiguration einzufügen, dass keine Gerätekonflikte auftreten. In einigen Fällen ist ein Neustart des Systems erforderlich. Abbildung 2.6 Manuelle Auswahl eines Treibers im Hardware-Assistenten

Mit dem beschriebenen Verfahren können auch Treiber für Geräte installiert werden, die noch nicht angeschlossen sind.

103

Kapitel 2 Hardwareinstallation

Treiberdateien eines Herstellers installieren Liefert ein Hersteller mit seinem Gerätetreiber ein Installationsprogramm, empfiehlt es sich, dieses zu verwenden. Hierbei sollte den jeweiligen Anweisungen des Herstellers gefolgt werden. INF-Datei installieren

Befindet sich auf der Treiber-CD-ROM des Herstellers eine INF-Datei, kann die Installation auch direkt mithilfe dieser Datei gestartet werden. Hierzu ist die Option Installieren zu verwenden, die im Kontextmenü einer jeden INFDatei zu finden ist. Diese Installationsmethode wird unter Windows 7 jedoch nicht von allen INF-Dateien unterstützt. Eine schnelle Möglichkeit, den Geräte-Manager zu starten, bietet das Suchfeld des Startmenüs. Hier genügt bereits die Eingabe der Buchstaben Geräte, um alle Anwendungen zur Verwaltung von Geräten aufgelistet zu erhalten.

Abbildung 2.7 Installation eines Treibers aus dem Kontextmenü der INF-Datei heraus starten

2.2

Geräte verwalten

Wie im vorherigen Abschnitt ausgeführt, ist bei Windows 7 die Funktion Geräte und Drucker die zentrale Benutzerschnittstelle zur Verwaltung zusätzlich installierter Geräte. Aber auch der Geräte-Manager spielt nach wie vor eine wichtige Rolle, vor allem zur Behebung von Problemen mit Geräten. Beide Schnittstellen erläutert dieser Abschnitt.

2.2.1

Geräteverwaltung mit der Funktion Geräte und Drucker

Mit Geräte und Drucker hat Microsoft eine neue Funktion in Windows 7 eingeführt. Mithilfe dieser Funktion können Anwender alle extern anzuschließenden Geräte zentral verwalten. Dabei werden dank der DeviceStage-

104

Geräte verwalten

Funktion alle genau zu dem Gerät passenden Funktionen aufgelistet. Dies kann bei einem Handy der Ladezustand des Akkus und die Information darüber sein, wie viele Bilder oder MP3-Dateien auf dem Gerät abgelegt sind.

2

Im Ordner Geräte und Drucker können die folgenden Geräte verwaltet werden: 왘 Der Computer selbst 왘 Mobile Geräte, die gelegentlich mit dem Computer verbunden werden wie beispielsweise Mobiltelefone, tragbare Musikwiedergabegeräte und Digitalkameras. 왘 Alle USB-Geräte, wie beispielsweise externe USB-Festplattenlaufwerke, Flashlaufwerke, Webcams, Tastaturen und Mäuse. 왘 Alle mit dem Computer verbundenen Drucker, unabhängig davon, ob diese mit einem USB-Kabel, über das Netzwerk oder drahtlos angebunden sind. 왘 Mit dem Computer verbundene Drahtlosgeräte, beispielsweise Bluetooth-Geräte und Drahtlos-USB-Geräte. 왘 Mit dem Computer verbundene Geräte im Netzwerk, wie beispielsweise netzwerkfähige Scanner oder NAS-Geräte (Network Attached Storage).

Geräte verwalten Die neue Geräteansicht bildet, sofern verfügbar, alle Geräte mit einem fotorealistischen Symbol ab, sodass das zu verwaltende Gerät auf einen Blick erkannt werden kann. Alle aufgelisteten Geräte stellen in ihrem Kontextmenü entsprechende Optionen zur Verwaltung bereit. Zusätzlich werden in der Symbolleiste für das gewählte Geräte verfügbare Funktionen bereitgestellt. Abbildung 2.8 Funktionen zur Verwaltung eines ausgewählten Gerätes

105

Kapitel 2 Hardwareinstallation

Die Funktionen des DeviceStage dienen dazu, Anwendern einen einfachen Zugriff auf angeschlossene Geräte zu ermöglichen. Hierfür sind keine administrativen Rechte erforderlich. Administrative Aufgaben, wie beispielsweise die Installation eines neuen Treibers, die Administratorrechte erfordert, stehen deshalb hier nicht zur Verfügung. Hierfür ist der Geräte-Manager zu verwenden. Sind für ein Gerät DeviceStage-Informationen verfügbar, genügt ein Doppelklick, um eine maßgeschneiderte Bedienoberfläche für dieses Gerät zu öffnen. Abbildung 2.9 DeviceStage-Funktionen ermöglichen den Zugriff auf alle wichtigen Funktionen eines Gerätes.

Ob für ein Gerät DeviceStage-Informationen vorhanden sind oder nicht, zeigt ein Blick in das Kontextmenü. Befindet sich im Kontextmenü der Befehl Öffnen, kann damit die DeviceStage-Ansicht des Geräts geöffnet werden. Fehlt der Öffnen-Befehl, gibt es für dieses Gerät (noch) keine DeviceStage-Ansicht. Bei mobilen Geräten mit DeviceStage-Unterstützung stehen gegebenenfalls zudem erweiterte, gerätespezifische Funktionen zur Verfügung (beispielsweise Synchronisieren mit einem Mobiltelefon oder Ändern von Klingeltönen). Wird beispielsweise eine Kamera an den Windows 7-Rechner angeschlossen, dann hat der Anwender Zugriff auf alle ihre Funktionen und kann die dort abgelegten Bilder mit dem Rechner synchronisieren, vorausgesetzt der Hersteller stellt die entsprechenden Informationen für den DeviceStage bereit. Soll eine bestimmte Aktion jedes Mal ausgeführt werden, wenn das Gerät angeschlossen wird, kann dies ebenfalls festgelegt werden. Diese Einstellungen entsprechen den Festlegungen der Funktion Automatische Wiedergabe (siehe hierzu den Abschnitt 2.1.1 ab Seite 96). Technisch werden die Geräteinformationen über ein XML-Dokument bereitgestellt, das vom Hersteller des Gerätes zu erstellen ist. Dieses XML-Doku-

106

Geräte verwalten

ment muss von Microsoft signiert und wieder an die Hersteller zurückgegeben werden, damit dieser es mit seinem Gerät ausliefern kann.

2

Windows speichert die DeviceStage-Pakete u.a. im Device MetaData Cache. Dieser Speicher befindet sich im Ordner %PROGRAMDATA%\Microsoft\ DeviceStage. Die einzelnen Pakete liegen hier unkomprimiert vor. Abbildung 2.10 DeviceStage-Fenster bei Anschluss einer Digitalkamera

Tritt bei einem Gerät ein Problem auf, wird dieses mit einem gelben Warn- Problemsymbol gekennzeichnet. Dies kann bedeuten, dass ein Problem mit dem behandlung Treiber besteht oder ein Gerätekonflikt vorliegt. Mithilfe der Funktion Problembehandlung kann das System selbstständig versuchen, das Problem zu erkennen und zu beheben. Die nachfolgende Abbildung zeigt das Ergebnis einer durchgeführten Problembehandlung. Abbildung 2.11 Ausführlicher Problembehandlungsbericht nach erfolgter Problembehandlung

107

Kapitel 2 Hardwareinstallation

DeviceStage-Einstellungen konfigurieren Auch wenn Sie in den Windows Update-Einstellungen festgelegt haben, dass alle wichtigen und empfohlenen Updates automatisch heruntergeladen und installiert werden, erhalten Sie nicht automatisch alle für die Geräte verfügbaren aktualisierten Treiber. Ausführliche Informationen zum Windows Update-Dienst finden Sie in Kapitel 1. Zusätzlich können aber die Einstellungen so konfiguriert werden, dass in Windows Update überprüft wird, ob neue Treiber, Informationen oder Symbole für die angeschlossene Hardware verfügbar sind. Um die Einstellungen anzupassen, ist im Ordner Geräte und Drucker die im Kontextmenü des Computers verfügbare Option Geräteinstallationseinstellungen zu verwenden. Anschließend kann beispielsweise festgelegt werden, dass Windows Update immer aktualisierte Treibersoftware und Symbole verwendet. Abbildung 2.12 Windows UpdateEinstellungen für aktualisierte Treiber und Symbole konfigurieren

2.2.2

Geräteverwaltung im Geräte-Manager

Der Geräte-Manager ist auch unter Windows 7 unentbehrlich. Als Schnittstelle für Administratoren kann er verwendet werden, um Geräte zu aktivieren oder zu deaktivieren, Probleme bei Geräten zu beheben, Treiber zu aktualisieren, ein Treiber-Rollback durchzuführen und um die Ressourcenzuweisung für ein Gerät zu ändern. Und im Gegensatz zur Funktion Geräte und Drucker werden hier nicht nur extern angeschlossene Geräte verwaltet, sondern auch interne Geräte wie Grafikkarten, Controller, Netzwerkadap-

108

Geräte verwalten

ter und Systemgeräte. Da dies weitreichende Änderungen darstellt, sind für den Zugriff auf den Geräte-Manager Administratorrechte erforderlich.

2 Abbildung 2.13 Der Zugriff auf den Geräte-Manager erfordert administrative Rechte.

Zum Öffnen des Geräte-Managers stehen verschiedene Optionen zur Verfü- Geräte-Manager gung. Ein schneller Zugriff auf den Geräte-Manager ist durch Eingabe von starten Geräte im Suchfeld des Startmenüs möglich. Anschließend ist die entsprechende Option zu wählen. Weiterhin ist der Zugriff auf den Geräte-Manager u.a. möglich im Bereich Hardware und Sound der Systemsteuerung, innerhalb der Konsole Computerverwaltung und auch im Fenster Geräte und Drucker per Rechtsklick auf eine freie Fläche. Die nachstehende Abbildung zeigt die Benutzeroberfläche des GeräteManagers. Bei jedem Start des Computers bzw. bei jeder dynamischen Änderung der Computerkonfiguration, beispielsweise beim Hinzufügen eines neuen Geräts in das laufende System, wird die Anzeige aktualisiert. Abbildung 2.14 Liste der verfügbaren Geräte im Geräte-Manager (Anzeige sortiert nach Gerätetyp)

Ansichten des Geräte-Managers Innerhalb des Gerätebaums werden die Geräte (bei Auswahl der Ansicht Option Ansicht Geräte nach Typ) in Typklassen sortiert angezeigt. Mithilfe der Option Ansicht können die Geräte in vier verschiedenen Ansichten dargestellt werden:

109

Kapitel 2 Hardwareinstallation 왘 Geräte nach Typ

Hierbei handelt es sich um die Standardansicht. Zu den Gerätetypen gehören beispielsweise Laufwerke, Netzwerkadapter und Systemgeräte. 왘 Geräte nach Verbindung

Diese Ansicht zeigt, wie Geräte miteinander verbunden sind. Dies kann beispielsweise nützlich sein, wenn Geräte an einen USB-Hub angeschlossen und diese dann mit anderen Geräten verbunden werden. Hiermit ist ersichtlich, wo sich die jeweiligen Geräte in der Verbindungskette befinden. 왘 Ressourcen nach Typ

Diese Ansicht zeigt die vier Standardressourcentypen und alle weiteren, die im System konfiguriert sind. Die vier Standardsystemressourcentypen sind: 왘 Arbeitsspeicher 왘 Direkter Speicherzugriff (DMA) 왘 Ein-/Ausgabe (E/A) 왘 Interruptanforderung (IRQ) Angezeigt wird eine Liste der Geräte, die eine Ressource des jeweiligen Typs verwenden. 왘 Ressourcen nach Verbindung

Diese Ansicht zeigt die vier Standardressourcentypen und alle weiteren, die im System konfiguriert sind. Angezeigt werden die Gerätetypen, die eine Ressource des jeweiligen Typs verwenden. Außerdem wird dargestellt, wie diese Gerätetypen verbunden sind. Diese Ansicht ist hilfreich, um festzustellen, ob ein untergeordnetes Gerät mehr Speicherressourcen benötigt, als dem übergeordneten Gerät zur Verfügung stehen. Abbildung 2.15 Der GeräteManager in der Ansicht Ressourcen nach Typ

Geräte verwalten im Gerätebaum Anhand spezifischer Symbole können Problemgeräte im Gerätebaum leicht erkannt werden:

110

Geräte verwalten 왘 Problemgeräte werden mit einem gelben Ausrufezeichen gekennzeich-

Problemgeräte

net. Das kann bedeuten, dass ein Problem mit dem Treiber besteht oder erkennen ein Gerätekonflikt vorliegt. Das gelbe Ausrufezeichen kann aber auch darauf hinweisen, dass ein installiertes Gerät vom System entfernt worden ist, beispielsweise ein Zip-Laufwerk. Zusätzliche Hinweise liefert der Fehlercode, der in dem Eigenschaftendialogfeld des Geräts zu finden ist. 왘 Ein deaktiviertes Gerät wird durch einen nach unten gerichteten schwarzen Pfeil markiert. Deaktivierte Geräte können jederzeit wieder aktiviert werden. Ausführliche Hinweise zum Umgang mit Treiberproblemen finden Sie in Abschnitt 2.3 ab Seite 115. Aber nicht nur bei der Analyse von Problemgeräten ist der Geräte-Manager hilfreich. Vielmehr bietet das Eigenschaftendialogfeld der einzelnen Geräte Zugriff auf eine Reihe nützlicher Funktionen. Bei fast allen Geräten finden sich mindestens die drei Registerkarten Allgemein, Treiber und Details u.a. mit den folgenden Bereichen: 왘 Informationen zum Treibernamen, Hersteller, Datum, zur Version und zur digitalen Signatur. 왘 Ausführliche Gerätebeschreibungen mit Kennungen (Hardware-ID, Geräteklasse, Treiberschlüssel u.a.) und diverse Statuskennungen. 왘 Optionen für das Aktualisieren, das Treiber-Rollback und das Deinstallieren des Treibers. Abhängig vom ausgewählten Gerät sind weitere Registerkarten mit gerä- Gerätespezifitespezifischen Funktionen vorhanden. So befindet sich beispielsweise in sche Funktionen dem Eigenschaftendialogfeld von Netzwerkadaptern die Registerkarte Erweitert mit Optionen beispielsweise zur Konfiguration des Duplexmodus und der Übertragungsrate. Abbildung 2.16 Konfiguration einer Netzwerkkarte im Geräte-Manager

111

2

Kapitel 2 Hardwareinstallation

Ausführliche zusätzliche Informationen sind auch für USB-Geräte im Bereich USB-Controller verfügbar. Fehlt diese Komponente, ist die USBUnterstützung möglicherweise im BIOS des Computers deaktiviert. Für die USB-Anschlüsse liegen separate Einträge vor. Unterhalb von USBController sind mindestens einmal die folgenden Komponenten aufgeführt: 왘 USB universeller Host-Controller 왘 USB-Root-Hub Anzeige von Bandbreitenverwendung und Energiebedarf

Um den Gerätestatus und die Bandbreite der angeschlossenen Geräte zu überprüfen, öffnen Sie die Registerkarte Erweitert in den Eigenschaften von USB universeller Host Controller. Hier können Sie überprüfen, wie viel Bandbreite jeder Controller verwendet. In den Eigenschaften von USB-Root-Hub kann zudem der Energiebedarf der angeschlossenen Geräte ermittelt werden.

Abbildung 2.17 Überprüfung der Eigenschaften von USB-Geräten

2.2.3

Treiber aktualisieren

Sei es, dass zunächst mit unsignierten Treibern gearbeitet wurde oder ein Update für einen Treiber verfügbar ist, es gibt immer wieder Situationen, in denen es notwendig ist, einen Treiber zu aktualisieren. Am einfachsten lässt sich dies mithilfe der Option Treiber aktualisieren erledigen, die im Geräte-Manager im Kontextmenü des zu aktualisierenden Gerätes zu finden ist. Die Option startet einen Assistenten, der anbietet, automatisch nach aktueller Treibersoftware zu suchen oder von einer auszuwählenden Quelle manuell zu installieren. Der weitere Vorgang unterscheidet sich im Grunde nicht von der Erstinstallation. Wird kein aktuellerer Treiber gefunden, erscheint ein entsprechender Hinweis.

112

Geräte verwalten Abbildung 2.18 Den Treiber für ein installiertes Gerät aktualisieren

Bei der automatischen Suche durchsucht Windows auch das Windows Suche über WinUpdate-Treiber-Repository im Internet, sofern die entsprechende Funk- dows Update tion in den Geräteinstallationseinstellungen aktiviert wurde. Abbildung 2.19 Bestätigungsdialogfeld zur Onlinesuche

2.2.4

Geräte deinstallieren

Plug&Play-Geräte müssen im Normalfall nicht deinstalliert werden. Es genügt, die Geräte vom Computer zu trennen oder zu entfernen, damit Windows den Treiber nicht mehr lädt oder verwendet. Wird ein nicht Plug&Play-fähiges, installiertes Gerät nicht mehr benötigt, muss es jedoch im Geräte-Manager entfernt werden. Dies kann entweder im Eigenschaftendialogfeld auf der Registerkarte Treiber oder im Kontextmenü des Gerätes mittels der Option Deinstallieren erfolgen. Windows 7 entfernt dabei den Treiber des Geräts und aktualisiert die Anzeige des Gerätebaums.

113

2

Kapitel 2 Hardwareinstallation Abbildung 2.20 Hardware im Geräte-Manager deinstallieren

Anstatt ein Gerät zu deinstallieren, das möglicherweise später erneut angeschlossen wird, ist es möglicherweise sinnvoller, dieses zu deaktivieren. In diesem Fall kann das Gerät weiterhin physisch mit dem Computer verbunden bleiben, von Windows wird jedoch die Systemregistrierung aktualisiert, sodass die Gerätetreiber für das Gerät beim Starten des Computers nicht mehr geladen werden.

2.2.5

Starttyp für nicht Plug&Play-fähige Geräte ändern

Bei nicht Plug&Play-fähigen Geräten wird beim erstmaligen Installieren eines Treibers standardmäßig der von dem Treiber benötigte Starttyp eingestellt. Bei Problemen mit diesem Gerät kann es erforderlich sein, den Starttyp zu ändern. Dies ist möglich im Geräte-Manager im Bereich Nicht-PnP-Treiber des Gerätebaums. Dieser Bereich wird nur angezeigt, wenn im Menü Ansicht die Option Ausgeblendete Geräte anzeigen aktiviert ist. StarttypOptionen

114

Für den Starttyp können die nachstehenden Optionen verwendet werden: 왘 Automatisch: Startet das Gerät bei jedem Systemstart, nachdem die Startund Systemgeräte gestartet wurden. Diese Option sollte für Geräte gewählt werden, die für den grundlegenden Systembetrieb nicht relevant sind.

Mit Treiberproblemen richtig umgehen 왘 Start: Startet das Gerät bei jedem Systemstart, bevor andere Geräte

2

gestartet werden. Diese Option sollte für systemkritische Geräte gewählt werden, die für den Systembetrieb entscheidend sind. 왘 Bei Bedarf: Startet das Gerät, wenn das Gerät erkannt oder für ein bestimmtes Ereignis benötigt wird. Diese Option sollte für Geräte gewählt werden, die für den grundlegenden Systembetrieb nicht entscheidend sind. 왘 System: Startet das Gerät bei jedem Systemstart (nach erfolgtem Start der Startgeräte). Diese Option sollte gewählt werden, um kritische Geräte auszuwählen, die für den Systembetrieb entscheidend sind.

Abbildung 2.21 Die Startart für einen nicht Plug&Playfähigen Gerätetreiber festlegen

2.3

Mit Treiberproblemen richtig umgehen

Während bei frühen Windows-Systemen Geräteprobleme meist durch Ressourcenkonflikte verursacht wurden, spielen diese heute nur noch eine untergeordnete Rolle. Das Ressourcen-Management von Windows 7 bei Plug&Play-Geräten funktioniert in der Regel problemlos, und auch nicht Plug&Play-Geräte können problemlos in das System eingebunden werden. Treten dennoch Probleme auf, werden diese in der Regel von nicht kompatiblen bzw. nicht richtig funktionierenden Gerätetreibern verursacht. Der folgende Abschnitt behandelt die häufigsten Problembereiche und deren Lösungsmöglichkeiten.

115

Kapitel 2 Hardwareinstallation

2.3.1

Das Treibermodell von Windows 7

Hinter einem Treiber verbirgt sich ein ganzes Paket mit Treiberdateien. Dies beinhaltet mindestens die System-Treiberdateien und gegebenenfalls weitere Treiberdateien, die Zugriff mittels DLL-Anwendungen auf verschiedene Hardware ermöglichen. Die Treiberdateien installierter Treiber können im Geräte-Manager in den Eigenschaften des jeweiligen Treibers auf der Registerkarte Treiber unter Treiberdetails angezeigt werden. Abbildung 2.22 Treiberdateien am Beispiel eines GrafikkartenTreibers

Kompatible Treiber müssen entweder von Windows 7 selbst oder vom Gerätehersteller zur Verfügung gestellt werden. Bei den meisten Geräten funktionieren auch die Windows Vista-Treiber, und sogar die Verwendung von Windows XP-Treibern ist zumindest teilweise möglich. Anforderungen an Treiber

116

Dies hängt damit zusammen, dass Microsoft bereits mit Windows Vista eine Reihe von Änderungen am Treibermodell vollzogen hat, das auch Windows 7 verwendet. Treiber, die für Vorgängerversionen erstellt wurden, sind damit aber nur noch bedingt einsatzfähig. Hierbei lassen sich die folgenden Problembereiche lokalisieren: 왘 Die mit Windows Vista neu eingeführte Benutzerkontensteuerung (User Account Control, UAC) führt dazu, dass in der Standardeinstellung jede Anwendung mit den Rechten eines Standardbenutzers ausgeführt wird, auch wenn ein Mitglied der Administratorgruppe angemeldet ist. Wird

Mit Treiberproblemen richtig umgehen

왘

왘

왘

왘

eine Anwendung gestartet, für die Administratorberechtigungen erforderlich sind, muss diese explizit bestätigt werden. Diese Funktion hat auch auf den Installationsprozess von Treibern Auswirkungen. Bei Einsatz einer 64-Bit-Windows 7-Edition müssen alle Treiber digital signiert sein. Nicht signierte Treiber werden nicht unterstützt und können in x64-basierten Windows 7-Editionen nicht installiert werden. Die Prüfung der digitalen Signatur erfolgt sowohl während der Installation als auch in der Zeit, in welcher der Treiber geladen wird. Das Grafik-Treibermodell von Windows 7 basiert auf dem Windows Display Driver Model (WDDM). Auf dieses setzt u.a. auch der Multimediastandard DirectX 10 auf, der bereits mit Windows Vista Einzug gehalten hat. Zwar läuft Windows 7 auch mit DirectX 9, das ShaderModell 4.0 sowie WDDM werden jedoch nur von DirectX 10 benutzt. Zusätzlich unterstützt Windows 7 die Version DirectX 11. Während jedoch unter Windows Vista die verbesserten Grafikeffekte von DirectX 10 nur mit der entsprechenden DirectX 10-tauglichen Hardware genutzt werden können, ermöglicht es Windows 7 mittels der neuen Funktion Direct3D 10Level9 DirectX-10, auch auf alter Hardware auszuführen. Besitzer einer DirectX 9-Grafikkarte beispielsweise können also auch Direct3D 10-Effekte nutzen, was allerdings zulasten der Performance geht. Änderungen gegenüber Windows XP hat es im Treibermodell auch für Soundgeräte gegeben. Diese sind teilweise noch umfangreicher als im Grafikbereich. Im Gegensatz zu den Vorgängern ist der AudioHAL nicht mehr im System integriert. Dies führt dazu, dass Anwendungen (u.a. Spiele) nicht mehr direkt auf die Hardware der Soundkarte zugreifen können, mit deren Hilfe die Surround-Effekte erstellt werden. Somit sind alle EAX-Effekte, die sich als Quasistandard durchgesetzt haben, unter Vista und Windows 7 nicht mehr nutzbar. Windows 7 stellt derartige Funktionalitäten nunmehr über den eigenen Softwaremixer zur Verfügung, wobei jedoch nicht alle EAXEffekte angeboten werden. Um die EAX-Funktionalitäten trotzdem nutzen zu können, ist ein Umweg über die Open AL-Schnittstelle erforderlich. Der TCP/IP-Protokolltreiber von Windows 7 wurde auf NDIS 6.20 aktualisiert. Neben Windows 7 unterstützt auch Windows Server 2008 die Netzwerktreiber-Spezifikation NDIS 6.20. Zu den wichtigsten Neuerungen von NDIS 6.20 gehört neben der Power-ManagementSchnittstelle die Unterstützung von mehr als 64 Prozessoren. Abwärtskompatibilität bietet NDIS 6.20 allerdings nur für die NDISVersionen 6.1 und 6.0. NDIS 5.0 und frühere NDIS-Treiber werden von Windows 7 nicht mehr unterstützt. Nicht mehr unterstützt werden auch IrDA-Miniporttreiber, ATM- und Token-Ring-Treiber, WAN-Miniport-Treiber sowie 802.11-Treiber, die 802.3 emulieren.

2

Abgesehen von den genannten Punkten, die definitiv eine Weiterverwendung älterer Treiber unter Windows 7 verhindern, ist es leider nicht möglich, im Vorfeld zu bestimmen, ob ein vorhandener Treiber unter Windows 7 funktioniert. Dies lässt sich nur durch Ausprobieren feststellen.

117

Kapitel 2 Hardwareinstallation

NDIS – Network Device Interface Specification NDIS ist eine Treiberspezifikation von Microsoft und 3Com, welche die Verbindung zwischen Betriebssystem und LAN-Adapter spezifiziert. NDIS setzt auf OSI-Schicht zwei und drei auf und besteht aus drei Komponenten (MAC-Treiber, Protokolltreiber und Protokoll-Manager). Durch den modularen Aufbau wird eine Unabhängigkeit des Adapters von den höheren ISO/OSI-Protokollen erreicht. Damit erlaubt es NDIS, bis zu vier Protokoll-Stacks gleichzeitig über eine Karte laufen zu lassen (beispielsweise TCP/IP, NWLink und OSI). NDIS ist in den aktuellen Windows-Versionen in folgenden Versionen implementiert: 왘 NDIS 6.20: Windows 7 왘 NDIS 6.1: Windows Server 2008/Windows Vista SP1 왘 NDIS 6.0: Windows Vista 왘 NDIS 5.2: Windows Server 2003 SP2 왘 NDIS 5.1: Windows XP/Windows Server 2003

2.3.2

Probleme während der Hardwareinstallation

Beim Auftreten von Problemen bei der Installation können mehrere Situationen unterschieden werden. In allen Fällen ist zwingend der Eingriff des Benutzers erforderlich.

Fehlermeldung beim Installieren eines Gerätes Kann Windows 7 ein Gerät nicht erkennen oder treten Probleme mit der Installation des Treibers auf, wird das Gerät im Geräte-Manager als Problemgerät unter Andere Geräte aufgeführt und mit einem Ausrufezeichen gekennzeichnet. Der Gerätestatus liefert dabei eine Beschreibung des Problems und einen Fehlercode. Konnte ein Gerät nicht installiert werden, wird meist der Fehlercode 28 – Die Treiber für dieses Gerät wurden nicht installiert – ausgegeben. In diesem Fall muss der Treiber manuell installiert werden. In diesem Fall sollten zunächst die folgenden Arbeitsschritte durchgeführt werden: 왘 Starten Sie den Computer neu. Das Neustarten des Computers kann helfen, wenn ein Treiber nicht korrekt installiert wurde. 왘 Wenn es sich bei dem Gerät um ein USB-Gerät handelt, trennen Sie es, und schließen Sie es dann an einen anderen USB-Anschluss an. Liegt das Problem beim USB-Anschluss, sollte nun das Gerät von Windows erkannt und die Treiber sollten installiert werden.

118

Mit Treiberproblemen richtig umgehen Abbildung 2.23 Das Gerät kann nach der Installation der Treibersoftware nicht gestartet werden.

In der Mehrzahl der Fälle liegt jedoch eine Inkompatibilität vor, beispiels- Typischer Fehler weise weil ein Treiber installiert wurde, der für eine frühere Windows-Ver- bei Inkompatibision entwickelt wurde. Versuchen Sie in diesem Fall zunächst, einen aktuel- lität len Treiber über Windows Update zu laden. Hierzu kann im Kontextmenü des Gerätes die Option Treibersoftware aktualisieren auf der Registerkarte Treiber verwendet werden. Bei der automatischen Suche durchsucht Windows auch das Windows Update-Treiber-Repository im Internet, sofern die entsprechende Funktion in den Geräteinstallationseinstellungen aktiviert wurde (siehe hierzu den Abschnitt 2.2.2 ab Seite 108). In einigen Fällen kann es erforderlich sein, den Aktualisierungsprozess mehrfach durchzuführen. Die Aktualisierung eines Treibers ist auch erforderlich, wenn ein Treiber akzeptiert und installiert wurde, das Gerät aber nur unzureichend mit diesem Treiber läuft. Bleibt die Suche erfolglos, sollte versucht werden, vom Hersteller einen kompatiblen Treiber oder Software zu erhalten. Beispielsweise funktionieren unter Windows Vista und Windows 7 einige USB-Headsets der Firma Sennheiser nicht mehr. Sennheiser stellt aber für die betroffenen Headsets eine Software zum Firmware-Update zur Verfügung, die das Problem behebt. Steht für ein Problemgerät kein neuer Treiber zur Verfügung, bleibt noch Treiber im Komdie Möglichkeit, den Windows XP- bzw. Windows Vista-Treiber im Kom- patibilitätsmopatibilitätsmodus zu installieren. Hierbei handelt es sich um eine spezielle dus installieren Funktion, die es ermöglicht, Anwendungen, d.h. in diesem Fall dem Treiberinstallationsprogramm, ein anderes Windows-Betriebssystem vorzugaukeln, als tatsächlich installiert ist. Für die Anwendung verhält sich Windows 7 dann so wie ein älteres Windows-Betriebssystem, d.h. wie beispielsweise Windows XP oder Windows Vista. Nähere Informationen zum Kompatibilitätsmodus finden Sie in Kapitel 3.

119

2

Kapitel 2 Hardwareinstallation

Plug&Play-Eigenschaften eines Treibers sind inkompatibel Wird für ein Plug&Play-Gerät ein Treiber verwendet, der jedoch Plug&Play nicht oder nicht vollständig unterstützt, behandelt Windows 7 das Gerät wie ein Gerät, das Plug&Play nicht unterstützt. Daraus folgt, dass die Ressourcen nicht dynamisch zugeteilt werden. Im ungünstigsten Fall kann ein solches Gerät zum Problemfall für das ganze System werden, weil es die Verteilung der Ressourcen auch für die anderen Geräte möglicherweise blockiert. Es sollte deshalb immer darauf geachtet werden, dass für ein Plug&Play-Gerät auch ein entsprechender, aktueller Treiber verwendet wird. Der umgekehrte Fall ist hingegen weniger problematisch. Wenn ein Gerät zwar noch nicht vollständig Plug&Play unterstützt, aber dafür ein Plug&Play-fähiger Treiber vorhanden ist, kann Windows 7 das Gerät zwar nicht automatisch erkennen und den Treiber installieren, der Treiber stellt aber alle benötigten Informationen zur Verfügung. Damit können Ressourcenkonflikte meist vermieden werden. In diesem Fall ist wie bei der Installation eines nicht automatisch erkannten Plug&Play-Gerätes zu verfahren.

Im Geräte-Manager wird ein nicht erkanntes Gerät gemeldet Es kann jedoch vorkommen, dass keinerlei Informationen zu einem Gerät verfügbar sind, d.h., der Geräte-Manager meldet lediglich ein unbekanntes Gerät. Kann das Gerät nicht ermittelt werden, ist es schwierig, einen passenden Treiber zu beschafften. Weiterhelfen können hierbei die Informationen, die im Eigenschaftendialogfeld des betreffenden Treibers auf der Registerkarte Details unter Hardware-IDs zu finden sind und die für weitere Recherchen verwendet werden können. Abbildung 2.24 Die Informationen unter Hardware-IDs können bei der Recherche nach einem unbekannten Gerät helfen.

Unter Wert steht der Typ des Busses (beispielsweise PCI oder USB), mit dem das Gerät in das System integriert ist, gefolgt von einem Kürzel (USB: VID, PCI: VEN), der Identifikationsnummer des Herstellers und einer Gerätenummer (USB: PID, PCI: DEV).

120

Mit Treiberproblemen richtig umgehen

Mithilfe dieser Kennungen ist es häufig möglich, im Internet den Hersteller Gerät anhand der bzw. das Gerät zu ermitteln. Beispielsweise kann auf der Website PCIData- Geräte-ID ermitbase.com [DEV] das Gerät anhand der VEN-Identifikationsnummer ermit- teln telt werden. Die Datenbank liefert allerdings nur Informationen zu dem Gerät. Die Treiber müssen, sofern verfügbar, von der Internetseite des Herstellers heruntergeladen werden. Abbildung 2.25 Beispiel für die Ermittlung eines Gerätes anhand der Geräte-ID

Aber auch ein Blick auf das Gerät selbst (sofern möglich) kann weiterhelfen. Suche anhand Vielfach befindet sich auf der Rückseite der Geräte eine FCC (Federal Com- der FCC-ID munications Commission) ID. Diese ID kann für viele Treiberseiten als Suchkriterium eingesetzt werden. Eine direkte FCC-Suche ist möglich auf der Homepage der Kommission [FCC].

FCC – Federal Communications Commission Die Federal Communications Commission ist eine unabhängige Behörde in den Vereinigten Staaten, deren Aufgabe es u.a. ist, Identifikationsnummern für Geräte zu vergeben, die eine eindeutige Identifizierung des Produkts und somit auch des Herstellers erlauben. Geräte ohne diese Nummer dürfen in den USA nicht vertrieben und auch nicht importiert werden.

121

2

Kapitel 2 Hardwareinstallation

Kann ein Gerät auch nach Anwendung aller genannten Möglichkeiten nicht installiert werden, bleibt noch die Möglichkeit, das Gerät im Windows XP-Modus zu installieren. Allerdings kann der XP-Modus nur unter Windows 7 Professional, Enterprise und Ultimate verwendet werden. Erläuterungen zum Windows XP-Modus finden Sie in Kapitel 3.

Systemprobleme nach Treiberinstallation Windows 7 verfügt über eine Funktion, mit deren Hilfe sich Probleme lösen lassen, die von neu installierten Gerätetreibern verursacht werden. Immer wenn ein vorhandener Gerätetreiber durch einen aktuelleren ersetzt wird, sichert Windows 7 diesen Treiber und setzt einen entsprechenden Eintrag in der Registrierung. Bereitet nun ein neu installierter Treiber Probleme und führt beispielsweise zu einem instabilen System, kann mit einem einfachen und schnellen Verfahren der alte Treiber reaktiviert werden (Treiber-Rollback). Um einen funktionierenden Treiber zu reaktivieren, ist folgendermaßen vorzugehen: 1. Starten Sie den Geräte-Manager. Markieren Sie das betreffende Gerät, und öffnen Sie dessen Eigenschaftendialogfeld über das Kontextmenü. 2. Auf der Registerkarte Treiber wählen Sie die Option Vorheriger Treiber. Wenn Sie diese auswählen, versucht das System, den zuvor installierten Treiber nach einer vorherigen Rückfrage wieder zu reaktivieren. Sind keine gesicherten Treiber vorhanden, ist die entsprechende Option abgeblendet. Allerdings verwahrt Windows 7 jeweils nur die letzte Version eines Treibers, es ist daher nicht möglich, zu einer älteren als der letzten Version zurückzukehren. 3. Abhängig vom Gerätetyp ist anschließend ein Neustart erforderlich, damit der alte Treiber vollständig wieder eingesetzt werden kann. Einschränkend funktioniert dieses Verfahren jedoch nicht bei Druckertreibern. Abbildung 2.26 Registerkarte Treiber mit aktivierter Option Vorheriger Treiber

122

Mit Treiberproblemen richtig umgehen

2

Standardmäßig erstellt Windows 7 bei der Installation eines neuen Gerätetreibers einen Wiederherstellungspunkt, sofern die Systemwiederherstellung aktiviert ist. Bei Problemen mit einem neuen Treiber können bestehende Probleme daher auch ggf. mit einer Systemwiederherstellung behoben werden.

2.3.3

Probleme mit der Treibersignierung

Der in der Abbildung 2.26 gezeigte Treiber ist ein signierter Treiber. Bei einem signierten Treiber handelt es sich um Treibersoftware, die eine digitale Signatur enthält. Diese stellt sicher, dass ein Treiber bestimmte Kriterien erfüllt und die Software auch wirklich von einem legitimen Herausgeber stammt. Außerdem kann anhand der Signatur überprüft werden, ob jemand die ursprünglichen Inhalte des Treibersoftwarepakets geändert hat. Alle Gerätetreiber und Betriebssystemdateien, die im Lieferumfang von Windows 7 enthalten sind, verfügen über eine digitale Signatur von Microsoft. x64-basierte Versionen von Windows 7 unterstützen nur noch signierte Treiber. Nicht signierte 64-Bit-Treiber können in 64-Bit-Windows 7-Versionen nicht installiert werden. Dies gilt auch für Anwendungen bzw. Komponenten, die 16-Bit-EXE-Dateien, 16-Bit-Installer oder 32-Bit-Kernel-Treiber benutzen. Diese starten in einer 64-Bit-Edition von Windows 7 entweder gar nicht oder funktionieren nicht korrekt. Die Prüfung der digitalen Signatur erfolgt sowohl während der Installation als auch in der Zeit, in welcher der Treiber geladen wird. Microsoft begründet den Schritt mit einem Sicherheitsgewinn insbesondere für Unternehmen. Wird versucht, eine Treibersoftware zu installieren, die nicht von einem Typische FehlerHerausgeber signiert wurde, der seine Identität nicht bei einer Zertifizie- meldungen rungsstelle bestätigt hat, oder die seit ihrer Veröffentlichung geändert wurde, wird entsprechend eine der folgenden Meldungen angezeigt: 왘 Der Verleger dieser Treibersoftware kann von Windows nicht bestätigt werden. In diesem Fall fehlt die digitale Signatur, oder die Treibersoftware wurde mit einer digitalen Signatur signiert, die nicht von einer Zertifizierungsstelle überprüft wurde. 왘 Diese Treibersoftware wurde manipuliert. Dies bedeutet, dass die Treibersoftware geändert wurde, nachdem sie von einem bestätigten Herausgeber digital signiert wurde. 왘 Das Programm bzw. die Funktion [exepath]\[app16bit].exe kann auf Grund von Inkompatibilität mit 64-Bit-Versionen von Windows nicht starten bzw. laufen oder: Diese Treibersoftware kann von Windows nicht installiert werden. Diese beiden Meldungen werden nur bei Ausführung einer 64-BitEdition von Windows 7 angezeigt. Treibersoftware, die keine gültige digitale Signatur aufweist oder die nach der Signierung geändert wurde, kann auf x64-basierten Versionen von Windows nicht installiert werden. In diesem Fall bleibt nur die Beschaffung signierter Treibersoftware für das betreffende Gerät.

123

Kapitel 2 Hardwareinstallation Installationseinschränkungen

Die genannten Meldungen haben bei 32-Bit-basierten Windows 7-Editionen unterschiedliche Auswirkungen abhängig davon, wer die Installation durchführt bzw. um welche Art von Treibertyp es sich handelt. Standardmäßig dürfen nur Administratoren unsignierte Treiber installieren. Durch vorherige Bereitstellung des Treibers (siehe hierzu den Abschnitt 2.4.1 ab Seite 126) kann dieses Problem umgangen werden. Außerdem müssen Treiber, die mit geschützten Inhalten in Berührung kommen, prinzipiell auch bei 32-Bit-Versionen signiert sein. Hierzu gehören Audiotreiber, welche PUMA (Protected User Mode Audio) oder PAP (Protected Audio Path) nutzen, sowie Video-treiber, die den Medienschutz PVP-OPM (Protected Video Path-Output Protection Management) verwenden. Damit kann u.a. sichergestellt werden, dass die Videoausgänge des Computers die Anforderungen an Verschlüsselung erfüllen und nicht manipuliert worden sind.

2.3.4

Problemberichte zur Fehleranalyse

Tritt bei einem Gerät ein Problem auf, wird dieses mit einem gelben Warnsymbol gekennzeichnet. Das kann bedeuten, dass ein Problem mit dem Treiber besteht oder dass ein Gerätekonflikt vorliegt. Für zusätzlich angeschlossene Geräte steht, wie bereits in Abschnitt 2.2.1 ab Seite 104 beschrieben, die Funktion Problembehandlung zur Verfügung. Damit kann das System selbstständig versuchen, das Problem zu erkennen und zu beheben. Die nachfolgende Abbildung zeigt das Ergebnis einer durchgeführten Problembehandlung. Abbildung 2.27 Ergebnis einer Problembehandlung bei einem Problem mit einem Drucker

Darüber hinaus können bei der Lösung von Problemen mit einem Gerät die von Windows 7 bereitgestellten Funktionen des Wartungscenters hilfreich sein. Hier stellt Windows u.a. Problemberichte bereit, um die auf dem Computer aufgetretenen Probleme zu identifizieren und den Anwender optional darüber zu benachrichtigen. Diese Funktion ersetzt das in früheren Versionen integrierte Analysetool für Systemfehler und -abstürze Dr. Watson. Zu finden ist das Wartungscenter in der Systemsteuerung im Bereich System und Wartung.

124

Mit Treiberproblemen richtig umgehen Abbildung 2.28 Das Wartungscenter von Windows 7 ermöglicht umfangengreiche Problemanalysen.

Abbildung 2.29 Erkannte Probleme in der Übersicht zu den Problemberichten und -lösungen

Mithilfe des Links Zu meldende Probleme anzeigen können hier Problembe- Problemrichte aufgerufen werden, die alle aufgetretenen Probleme mit Namen des übersicht beispielsweise nicht mehr funktionsfähigen Programms, Datum und Uhr-

125

2

Kapitel 2 Hardwareinstallation

zeit, zu der ein Problem aufgetreten ist, und der Version des betroffenen Programms auflisten. Hilfreiche Detailinformationen

Hilfreich können die jeweils zu einem Problem anzeigbaren Detailinformationen sein. Weiterhin ist es möglich, für auswählbare Probleme nach Lösungen suchen zu lassen. Hierbei wird ein Problembericht an Microsoft gesendet.

2.4

Berechtigungen zur Geräteinstallation verwalten

Wenn ein Benutzer die Option Treibersoftware suchen und installieren auswählt, ist der Erfolg des Installationsvorgangs davon abhängig, ob das Treiberpaket für das Gerät bereits im Treiberspeicher bereitgestellt ist. Standardmäßig können nur Mitglieder der Gruppe Administratoren Geräte auf einem Computer installieren, für die kein Treiber im Treiberspeicher verfügbar ist. Dies liegt darin begründet, dass nur ein Administrator das für die Installation erforderliche Treiberpaket im Treiberspeicher ablegen darf. Der Treiberspeicher ist ein geschützter Bereich eines Computers, der Gerätetreiberpakete enthält, die für die Installation auf dem Computer genehmigt wurden. Zu finden ist der Treiberspeicher standardmäßig im Ordner %systemdrive%\system32\driverstore. Mithilfe von Gruppenrichtlinien können aber auch Standardbenutzer berechtigt werden, Geräte ausgewählter Gerätesetupklassen zu installieren. Im umgekehrten Fall kann es auch erforderlich sein, die Installationsrechte für ausgewählte Geräte weiter zu beschränken, beispielsweise um das Anschließen eines USB-Flashspeichers zu verhindern. Dies kann bei Windows 7 ebenfalls mithilfe von Gruppenrichtlinien gesteuert werden.

2.4.1

Geräte zur Installation bereitstellen

Die Erstinstallation eines Gerätes umfasst, wie in Abschnitt 2.1.1 ab Seite 96 beschrieben, die Phase der Bereitstellung. In dieser Phase durchsucht der Plug&Play-Dienst zunächst die in der Registrierungseinstellung DevicePath angegebenen Ordner und die Windows Update-Website nach einem Treiber, überprüft anschließend, ob der Benutzer berechtigt ist, das Treiberpaket im Treiberspeicher abzulegen, und stellt fest, ob das Treiberpaket eine gültige digitale Signatur besitzt. Die Phase der Bereitstellung endet mit dem Speichern einer Kopie des Treiberpakets im Treiberspeicher (Driver Store).

Treiber im Treiberspeicher bereitstellen Die Bereitstellung kann von Administratoren auch separat durchgeführt werden, was Vorteile bietet. Nachdem ein Treiberpaket erfolgreich bereitgestellt wurde, kann jeder Benutzer, der sich an diesem Computer anmeldet, die Treiber installieren. Hierzu muss lediglich das jeweilige Gerät

126

Berechtigungen zur Geräteinstallation verwalten

angeschlossen werden. Es werden keine Eingabeaufforderungen abgefragt oder spezielle Berechtigungen benötigt, da alle erforderlichen Sicherheitsüberprüfungen bereits mit der Bereitstellung abgeschlossen sind.

2

Zur Bereitstellung kann das in Windows 7 integrierte Befehlszeilen-Tool PnPUtil.exe PnPUtil.exe verwendet werden. Die nachstehende Abbildung zeigt die Syntax von PnPUtil. Abbildung 2.30 Syntax von PnPUtil.exe

Beispielsweise kann mit der folgenden Anweisung in der Befehlszeile das Treiberpaket Tpmdrv.inf aus dem Ordner C:\Treiber dem Treiberspeicher hinzugefügt werden: PnPUtil.exe -a C:\treiber\tpmdrv.inf

Nach dem Abschluss der Bereitstellung meldet PnPUtil einen veröffentlichten Namen, der diesem Paket im Treiberspeicher automatisch zugewiesen wird. Soll das Treiberpaket zu einem späteren Zeitpunkt aus dem Speicher Pakete aus Treigelöscht werden, muss dieser Name verwendet werden. Hierzu ist der berspeicher löschen folgende Befehl zu verwenden: PnPUtil.exe –d [Veröffentlichter Name]

Es ist auch möglich, mit dem nachstehenden Befehl veröffentlichte Namen für ein Treiberpaket zu ermitteln: PnPUtil.exe -e

Der Befehl listet alle im Treiberspeicher bereitgestellten Treiberpakete von Drittanbietern auf.

Benutzer zur Bereitstellung von Geräten berechtigen Anstatt Treiberpakete für alle Benutzer bereitzustellen, ist es auch möglich, eine Gruppenrichtlinie zu konfigurieren, mit der Benutzern selbst die Bereitstellung von Geräten für eine bestimmte Geräteklasse ermöglicht wird. Windows erzwingt diese Richtlinie während der Bereitstellung des Gerätetreibers im Treiberspeicher. Dadurch kann ein Standardbenutzer ohne erhöhte Berechtigungen Treiber für das Gerät installieren. Zur Einrichtung der benötigten Gruppenrichtlinie sind die folgenden Arbeitsschritte erforderlich:

127

Kapitel 2 Hardwareinstallation Vorgehensweise

1. Öffnen Sie im Gruppenrichtlinien-Editor das lokale Gruppenrichtlinienobjekt. Am schnellsten kann der Gruppenrichtlinien-Editor durch Eingabe von gpedit.msc im Suchfeld des Startmenüs geöffnet werden. 2. Wählen Sie im Container Computerkonfiguration/Administrative Vorlagen/System/Treiberinstallation die Richtlinie Installation von Treibern für diese Gerätesetupklassen ohne Administratorrechte zulassen. Wird diese Richtlinie konfiguriert und aktiviert, können Mitglieder der Gruppe Benutzer neue Treiber für die angegebenen Gerätesetupklassen installieren. Voraussetzung ist jedoch, dass die Treiber nach der Signierrichtlinie für Windows-Treiber oder von Herausgebern signiert sind, die sich bereits im Speicher für vertrauenswürdige Herausgeber befinden.

Abbildung 2.31 Richtlinie zur Berechtigung von Benutzern zur Bereitstellung von ausgewählten Geräteklassen

Zur Aktualisierung der Gruppenrichtlinien kann das Befehlszeilenprogramm gpupdate verwendet werden. Mit dem Befehl gpupdate /force wird eine sofortige Wirksamkeit der Gruppenrichtlinien erzwungen. Geräteklasse bestimmen

128

Die für die Zuweisung benötigte Geräteklasse-GUID kann direkt in der INF-Datei des betreffenden Gerätetreiberpakets ermittelt werden: 1. Öffnen Sie die .inf-Datei eines Gerätetreiberpakets im Editor. 2. Suchen Sie den Abschnitt, der mit Version beginnt. 3. Suchen Sie die Zeile, die mit der Textzeichenfolge ClassGuid= beginnt. 4. Tragen Sie den rechts neben dem Gleichheitszeichen stehenden Wert im Dialogfeld der Gruppenrichtlinie ein.

Berechtigungen zur Geräteinstallation verwalten Abbildung 2.32 Exemplarischer Ausschnitt aus einer INF-Datei

Ist das Gerät bereits auf einem anderen Rechner installiert, kann die GeräteGUID auch im Geräte-Manager in dem Eigenschaftendialogfeld der Treibers auf der Registerkarte Details ermittelt werden.

ADMX-Dateien zentral bereitstellen Grundsätzlich können Richtlinien auf einem einzelnen Computer oder innerhalb einer Active Directory-Domäne konfiguriert werden. Richtlinien im Container Administrative Vorlagen werden seit der Einführung von Windows Vista in ADMX-Dateien verwaltet. Mit den ADMXDateien führt Microsoft ein neues Format für die registrierungsbasierten Richtlinien ein. In einer Active Directory-Umgebung können derartige ADMX-Dateien in einem zentralen Speicher bereitgestellt werden. Bei den Vorgängerversionen, die anstelle von ADMX-Dateien ADM-Dateien verwenden, musste einzeln für jedes Gruppenrichtlinienobjekt sichergestellt werden, dass die korrekte Kopie der aktualisierten ADM-Datei geladen war. Der zentrale Speicherort ist im Ordner SYSVOL auf einem Domänencontroller einmalig für jede Active Directory-Domäne manuell einzurichten. Hierbei spielt es keine Rolle, ob es sich um einen Server mit Windows 2000 oder Windows Server 2003 handelt. Zu beachten ist jedoch, dass nur Computer mit Windows Vista bzw. Windows 7 und nur diejenigen, die einer Active Directory-Domäne angehören, das Vorhandensein eines zentralen Speichers überprüfen und die dort gespeicherten Dateien verwenden.

2.4.2

Installation verbotener Geräte verhindern

Auf USB-Flashspeichern und ähnlichen Geräten können mittlerweile mehrere GByte Daten gespeichert werden. Damit stellen USB-Geräte eine der größten Gefahrenquellen für Datendiebstahl dar. Eine Sperrung der USBAnschlüsse ist aber selten möglich, da auch erwünschte Geräte wie Tastatu-

129

2

Kapitel 2 Hardwareinstallation

ren und Mäuse diese verwenden. In Unternehmen besteht daher vielfach der Wunsch, die Installation von Geräten differenziert steuern zu können. Windows 7 stellt hierfür einige Gruppenrichtlinien zur Verfügung.

Die Installation aller Geräte verhindern Windows 7 bringt eine Reihe von Gruppenrichtlinien mit, die steuern, wer welche Geräte installieren darf. Diese Richtlinien sind im Container Computerkonfiguration/Administrative Vorlagen/System/Geräteinstallation/Einschränkungen bei der Geräteinstallation zu finden: Richtlinien zur Einschränkung von Geräteinstallationen

왘 Administratoren das Außerkraftsetzen der Richtlinien unter „ Ein-

schränkungen bei der Geräteinstallation“ erlauben 왘 Benutzerdefinierte Meldung anzeigen, wenn Installation durch eine

Richtlinie verhindert wird (Hinweistext) 왘 Benutzerdefinierte Meldung anzeigen, wenn Installation durch eine

Richtlinie verhindert wird (Hinweistitel) 왘 Installation von Geräten mit diesen Geräte-IDs verhindern 왘 Installation von Geräten mit diesen Geräte-IDs zulassen 왘 Installation von Geräten mit Treibern verhindern, die diesen Geräte왘 왘 왘 왘

setupklassen entsprechen Installation von Geräten mit Treibern zulassen, die diesen Gerätesetupklassen entsprechen Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind Installation von Wechselgeräten verhindern Zeit (in Sekunden) bis zum Erzwingen eines Neustarts, wenn dieser für das Inkrafttreten von Richtlinienänderungen erforderlich ist

Um beispielsweise zu verhindern, dass Benutzer Geräte installieren und damit USB-Geräte anschließen können, und um Administratoren dies aber zu ermöglichen, ist zweistufig vorzugehen: 왘 Konfiguration einer Richtlinie, die bei den Benutzern das Installieren und Aktualisieren von Geräten verhindert 왘 Konfiguration einer Richtlinie, die den Administratoren das Installieren und Aktualisieren von Geräten ermöglicht Im Einzelnen ist folgendermaßen vorzugehen: Vorgehensweise

130

1. Öffnen Sie im Gruppenrichtlinien-Editor das lokale Gruppenrichtlinienobjekt. Am schnellsten kann der Gruppenrichtlinien-Editor durch Eingabe von gpedit.msc im Suchfeld des Startmenüs geöffnet werden. 2. Aktivieren Sie die Richtlinie Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind. Wird diese Richtlinie aktiviert, können Geräte, die nicht in anderen Richtlinien als Ausnahmen eingetragen sind, weder installiert noch können die Treiber aktualisiert werden. Wenn es sich bei dem Computer um einen Terminalserver handelt, wirkt sich die Aktivierung dieser Richtlinie auch auf die Umleitung der angegebenen Geräte von einem Terminaldiensteclient an diesen Computer aus.

Berechtigungen zur Geräteinstallation verwalten

3. Aktivieren Sie die Richtlinie Administratoren das Außerkraftsetzen der Richtlinien unter "Einschränkungen bei der Geräteinstallation" erlauben. Diese Richtlinie ermöglicht es den Mitgliedern der Gruppe Administratoren, die Treiber für alle Geräte unabhängig von anderen Richtlinieneinstellungen zu installieren und zu aktualisieren.

2

Sobald die Gruppenrichtlinien aktualisiert wurden, erhalten Benutzer beim Versuch, den Geräte-Manager zu öffnen, die nachfolgend dargestellte Meldung angezeigt. Abbildung 2.33 Meldung, wenn die Installation von Geräten mittels Gruppenrichtlinie verhindert wird

Zulassen der Installation autorisierter Geräte Aufbauend auf dem Szenario, das die Installation aller Geräte für Benutzer verhindert, kann eine Ausnahmeliste erstellt werden, die Benutzern die Installation ausgewählter Geräte erlaubt. Die Ausnahmeliste kann entweder auf der Basis von Geräteklassen oder Hardware-IDs erfolgen. Hierzu gibt es wahlweise die beiden Richtlinien Installation von Geräten mit Treibern zulassen, die diesen Gerätesetupklassen entsprechen oder Installation von Geräten mit diesen Geräte-IDs zulassen. Beide Richtlinien sind zu finden im Container Computerkonfiguration/ Administrative Vorlagen/System/Geräteinstallation/Einschränkungen bei der Geräteinstallation des gewählten Gruppenrichtlinienobjekts. Die für die Zuweisung benötigte Geräteklasse kann u.a. in der .inf-Datei des betreffenden Gerätetreiberpakets ermittelt werden. Ist das Gerät bereits auf einem anderen Rechner installiert, sind die Geräteklassen-GUID und die Hardware-ID auch im Geräte-Manager in dem Eigenschaftendialogfeld des Treibers auf der Registerkarte Details zu finden (siehe hierzu Abbildung 2.24). Alternativ ist es möglich, den Benutzern die Installation der meisten Geräte zu erlauben, jedoch die Installation ausgewählter Geräte zu verbieten. So kann beispielsweise ausschließlich die Installation von Wechselmedien verhindert werden. Auch für dieses Szenario stehen entsprechende Richtlinien im gleichen Container bereit.

131

3

Software verwalten und installieren

Trotz der vielen neuen Funktionen und Programme, die zum Lieferumfang von Windows 7 gehören – ohne die Installation zusätzlicher Anwendungen geht es nicht. Wie bereits seine Vorgänger unterstützt Windows 7 verschiedene Technologien zur Installation und Verwaltung von Software, von denen einige jedoch nur in Active Directory-basierten Netzwerkumgebungen verfügbar sind. Hierzu gehören beispielsweise Softwareinstallationen mittels Gruppenrichtlinien. In diesem Kapitel erfahren Sie, welche Möglichkeiten Windows 7 zur Installation und Verwaltung von Anwendungen bereitstellt und welche Möglichkeiten der neue Windows Installer 5.0 bietet. Aber nicht in jedem Fall müssen Anwendungen neu installiert werden. Wird ein Windows Vista-Rechner auf Windows 7 aktualisiert, können vorhandene Anwendungen in der Regel problemlos ausgeführt werden. Einschränkungen kann es jedoch bei Anwendungen geben, die für eine frühere Version von Windows entwickelt wurden. Diese werden möglicherweise nur eingeschränkt oder gar nicht ausgeführt. Was es in diesem Fall zu beachten gilt und wie Sie mit derartigen Kompatibilitätsproblemen umgehen, ist ebenfalls Gegenstand dieses Kapitels. Darüber hinaus erfahren Sie, wie Sie Anwendungen im Unternehmen komfortabel mithilfe von „ Bordmitteln“ bereitstellen können.

3.1

Anwendungen lokal installieren und verwalten

Die lokale Installation von Anwendungen unterscheidet sich bei Windows 7 nicht wesentlich von der bei anderen Windows-Versionen. Bei der Verwaltung installierter Software aber hat sich insbesondere gegenüber Windows XP und früheren Versionen einiges geändert. 133

Kapitel 3 Software verwalten und installieren

3.1.1

Programme installieren

Unabhängig davon, ob die Installationsdateien auf einem Installationsmedium, im Netzwerk oder im Internet liegen, der Vorgang der Installation ist immer weitgehend gleich. Unterschiede gibt es nur, wenn Anwendungen im Unternehmensnetzwerk von Administrationsseite bereitgestellt werden. Sowohl Windows 7 als auch bereits Windows Vista arbeiten intern ausschließlich in englischer Sprache. Viele im Explorer sichtbare Ordner stellen daher lediglich Verweise in lokalisierter Sprache dar und sind nicht als reale Ordner existent. Aus diesem Grund sollten manuelle Anpassungen an Programmordnern nur in Ausnahmefällen und mit besonderer Umsicht erfolgen.

Installation durch Ausführung der Setup-Datei Der Zugriff auf die Installationsroutine einer Anwendung ist natürlich abhängig vom verwendeten Installationsmedium. Steht das benötigte Programm im Internet zum Download zur Verfügung, gibt es in der Regel die Möglichkeit, die Anwendung sofort zu installieren oder zunächst die Installationsdatei auf den Computer herunterzuladen. Hierbei ist die zweite Vorgehensweise zu empfehlen, da in diesem Fall die Installationsdatei vor Beginn der Installation einer Virenprüfung unterzogen wird. Viele Anwendungen werden auf CDs oder DVD ausgeliefert. Abhängig von den Einstellungen für die Automatische Wiedergabe startet automatisch ein Installations-Assistent für das Programm, nachdem der Datenträger mit den Installationsdateien eingelegt wurde (Erläuterungen zur Konfiguration der Automatischen Wiedergabe finden Sie in Abschnitt 3.1.2 ab Seite 136). Alternativ wird ein Dialogfeld angezeigt, in dem ausgewählt werden kann, ob der Assistent ausgeführt werden soll. Wird die Installation eines Programms nicht automatisch gestartet, muss der Installationsdatenträger nach der Setup-Datei des Programms durchsucht werden, die in der Regel den Dateinamen Setup.exe oder Install.exe trägt. Gleiches gilt, wenn die Installationsdateien in einem freigegebenen Ordner im Netzwerk liegen. Alle weiteren Schritte sind von der zu installierenden Anwendung abhängig und erfolgen in der Regel assistentengestützt. Erforderliche Berechtigungen

134

Für die Installation der meisten Programme sind administrative Berechtigungen erforderlich. Dies ist darin begründet, dass u.a. das Schreiben die jeweiligen Programmordner, Änderungen an der Registry und das Schreiben und Ändern von Dateien im Systemverzeichnis administrative Privilegien erfordern. Versucht ein Standardbenutzer, eine Anwendung zu installieren, wird er durch die Benutzerkontensteuerung aufgefordert, die Installation in einem anderen Benutzerkontext fortzusetzen.

Anwendungen lokal installieren und verwalten

Welche Vorteile bietet die Benutzerkontensteuerung? Bei Windows Versionen vor Windows XP mussten Benutzer Administratorrechte auf ihren Computern haben, um neue Softwareversionen zu installieren. In vielen Fällen lag dies daran, dass für eine Installation ein Zugriff auf die lokale Registrierung (HKLM) oder auf die Windowsoder System32-Verzeichnisse erforderlich war. Das bedeutete, dass viele Benutzer, häufig sogar ständig, im Administratorkontext arbeiteten, was ein schwerwiegendes Sicherheitsproblem darstellte.

3

Seit Windows Vista müssen Benutzer nicht als Administrator angemeldet sein, um eine Anwendung zu installieren. Hier arbeiten alle Benutzer als Standardbenutzer, und der administrative Zugriff ist auf autorisierte Prozesse eingeschränkt. Wenn eine Installation zusätzliche Berechtigungen erfordert, bietet Windows 7 dem Benutzer die Möglichkeit, seine Berechtigungen vorübergehend zu erhöhen, um die Installation durchzuführen. Ausführliche Erläuterungen zur Benutzerkontensteuerung finden Sie in Kapitel 5. Trägt das Installationsprogramm keine digitale Signatur, kann Windows Digitale 7 den Herausgeber nicht identifizieren. Digitale Signaturen sollen sicher- Signaturen stellen, dass ein Programm von einer seriösen Quelle stammt und nicht nachträglich verändert wurde, also zum Beispiel von einem Virus infiziert ist. Fehlt die Signatur, erscheint zusätzlich ein Sicherheitshinweis mit der Warnung, dass ein nicht identifiziertes Programm auf den Computer zugreifen möchte. In dem Eigenschaftendialogfeld des Installationsprogramms kann auf der Registerkarte Digitale Signaturen bereits vor der Installation einer Anwendung der Signaturgeber verifiziert werden.

Abbildung 3.1 Verifizierung des Signaturgebers eines Installationsprogramms

135

Kapitel 3 Software verwalten und installieren

Die meisten Programme können nach Abschluss der Installation direkt gestartet werden. In diesem Fall wird die Anwendung aber noch im administrativen Kontext mit all seinen Rechten ausgeführt. Aus Sicherheitsgründen sollte zunächst der Installationsvorgang vollständig beendet und anschließend das Programm beispielsweise über den Eintrag im Startmenü gestartet werden.

Bereitgestellte Anwendungen installieren In einer Active Directory-Umgebung ist es darüber hinaus möglich, Anwendungen mittels Gruppenrichtlinien zu veröffentlichen. Derart bereitgestellte Programme können über die Systemsteuerung installiert werden. Eine ausführliche Anleitung zum Umgang mit Gruppenrichtlinien zur Softwareverteilung finden Sie im Abschnitt 3.4 ab Seite 162. Um unter Windows 7 eine veröffentlichte Anwendung zu installieren, gehen Sie wie folgt vor: 왘 Öffnen Sie Programme in der Systemsteuerung. Wählen Sie in dem in Abbildung 3.3 auf Seite 137 gezeigten Dialogfeld die Option Programme und Funktionen. Alternativ können Sie im Suchfeld des Startmenüs den Befehl Appwiz.cpl eingeben. 왘 Öffnen Sie die Option Programm vom Netzwerk installieren, und wählen Sie das gewünschte Programm aus. Abbildung 3.2 Ein im Netzwerk veröffentlichtes Programm installieren

3.1.2

Installierte Anwendungen verwalten

Die von den älteren Windows-Versionen bekannte Option Software sucht man in der Systemsteuerung vergeblich. Stattdessen stellt Windows 7, wie bereits auch Windows Vista, alle relevanten Funktionen zur Verwaltung von Anwendungen im Bereich Programme der Systemsteuerung bereit.

Der Bereich Programme im Überblick Wie die nachstehende Liste der Funktionen zeigt, verbergen sich in diesem Bereich neben bekannten und altbewährten Funktionen auch einige interessante Neuerungen von Windows 7:

136

Anwendungen lokal installieren und verwalten 왘 Programme und Funktionen: Dieser Bereich gehört zu den wichtigsten und

wird nachstehend ausführlich vorgestellt. Beispielsweise findet man hier Funktionen zum Installieren und Deinstallieren von Anwendungen. 왘 Standardprogramme: Hinter dieser Option versteckt sich nicht nur die seit Windows 2000 integrierte Option zum Festlegen von Standardprogrammen, wie Webbrowser und E-Mail-Programm. Vielmehr handelt es sich um die zentrale Verwaltungsstelle für Dateiverknüpfungen und Autorun-Einstellungen. 왘 Minianwendungen: Die mit Windows Vista eingeführte Windows-Sidebar ist in Windows 7 nicht mehr enthalten. Stattdessen können Minianwendungen auf dem Desktop frei platziert werden. Bei den Minianwendungen handelt es sich um kleine Programme, die Informationen auf einen Blick bereitstellen oder einen einfachen Zugriff auf häufig verwendete Tools bieten. Beispielsweise kann eine Uhr, ein Währungsrechner oder ein Tachometer zur Anzeige der CPU-Nutzung als Minianwendung auf dem Desktop platziert werden.

3

Abbildung 3.3 Die Systemsteuerungsoption Programme

Die wichtigsten Funktionen werden im Folgenden genauer vorgestellt.

Programme deinstallieren Wichtig für die Verwaltung installierter Software ist der Bereich Programm deinstallieren. Hier werden alle installierten Anwendungen aufgelistet und können, abhängig von der ausgewählten Anwendung, entweder nur vom Computer entfernt oder auch geändert werden. Ist eine Anwendung als MSIPaket ausgeliefert oder mit dem Microsoft lnstaller erstellt worden, sind sowohl Reparaturen als auch Änderungen möglich, um Komponenten nachzuinstallieren. Hierbei startet die Option Ändern den InstallationsAssistenten der jeweiligen Anwendung, der die Durchführung der Änderung dann unterstützt.

137

Kapitel 3 Software verwalten und installieren Abbildung 3.4 Verwaltung von Anwendungen in der Konsole Programme und Funktionen

Bevor Sie eine Anwendung deinstallieren, sollten Sie sicherstellen, dass keine weiteren Benutzer angemeldet sind bzw. auf das Programm zugreifen. Da sich in diesem Fall möglicherweise noch einige Dateien im Zugriff befinden, kann das Programm nur unvollständig entfernt werden. Windows weist mit einem Warnhinweis darauf hin. Abbildung 3.5 Vor der Deinstallation eines Programms sollten alle anderen Benutzer abgemeldet werden.

Umgang mit Deinstallationsproblemen Es kommt immer wieder mal vor, dass sich Anwendungen nicht deinstallieren lassen und die Windows Installer-Deinstallationsroutine mit einer Fehlermeldung abbricht. Die Ursachen hierfür können vielfältig sein, beruhen aber häufig auf fehlerhaften oder schadhaften Einträgen in der Registrierung. Diese können beispielsweise verursacht werden durch eine Beschädigung der Registrierung, fehlerhafte manuelle Änderungen oder durch einen unerwarteten Neustart während der Installation mit dem Windows Installer. Windows Installer Clean Up

In diesem Fall bleibt nur der Einsatz eines Uninstaller-Tools. Microsoft selbst bietet mit Windows Installer Clean Up kostenlos ein entsprechendes Tool an. Windows Installer Clean Up dient zur Deinstallation bzw. zur Beseitigung von Resten von Programmen, die mit dem Windows Installer installiert wurden, und entfernt auch Konfigurationsdaten der ausgewählten Anwendung. Hierzu gehören u.a. die entsprechenden Registrierungseinstellungen [CLEANUP]. Leider unterstützt die aktuelle Version zwar alle älteren Versionen von Microsoft Windows, einschließlich Windows Vista, jedoch nicht Windows 7 bzw. Windows Server 2008. Es ist jedoch zu erwarten, dass Microsoft eine aktualisierte Version von Installer Clean Up bereitstellen wird, die dann auch Windows 7 unterstützt.

138

Anwendungen lokal installieren und verwalten

In dem nach dem Start von msicuu2.exe angezeigten Dialogfeld werden alle derzeit installierten Programme aufgelistet, die mit Windows Installer registriert wurden. Da auch das Programm msicuu2.exe den Windows Installer verwendet, steht das Programm ebenfalls in dieser Liste. Nach der Bestätigung werden alle Dateien und Registrierungseinstellungen entfernt.

3

Windows Installer Clean Up entfernt ausschließlich Anwendungen, die mit dem Windows Installer installiert wurden. Nicht entfernt werden kann jedoch der Windows Installer selbst.

Windows-Komponenten aktivieren Eine weitere wichtige Funktion verbirgt sich hinter der Option WindowsFunktionen aktivieren oder deaktivieren, die Anwendern früherer Versionen unter dem Namen Windows-Komponenten hinzufügen/entfernen bekannt ist. Wie auch bei den Vorgängerversionen müssen einige in Windows 7 integrierte Programme und Funktionen vor der Verwendung aktiviert werden. Hierzu gehören beispielsweise die Internetinformationsdienste (IIS), das Subsystem für Unix-basierte Anwendungen sowie die einfachen TCP/IPDienste und -Druckdienste. Während jedoch in früheren Windows-Versionen die Funktionen installiert bzw. zum Deaktivieren auf dem Computer vollständig deinstalliert werden mussten, sind unter Windows 7 alle Funktionen auf der Festplatte gespeichert. Damit entfällt auch die Notwendigkeit für den Zugriff auf das Installationsmedium. Beim Deaktivieren wird die Funktion nicht deinstalliert, so dass sich auch der verwendete Festplattenspeicher nicht verringert. Damit ist es aber möglich, die Funktion bei Bedarf jederzeit wieder zu aktivieren. Abbildung 3.6 Windows-Komponenten werden aktiviert bzw. deaktiviert, aber nicht mehr installiert bzw. deinstalliert.

Eine interessante Funktion verbirgt sich hinter dem Windows-TIFFIFilter. Dieser stellt eine OCR-Funktion zum Auslesen der Inhalte von TIFF-Dateien zur Verfügung und ermöglicht damit eine textbasierte Aufnahme von TIFF-Bildern in den Suchindex von Windows 7.

139

Kapitel 3 Software verwalten und installieren

Updates verwalten Zur besseren Übersicht werden Updates von den übrigen Anwendungen getrennt verwaltet. Hierzu ist die Option Installierte Updates anzeigen zu wählen. Die Gruppierung der Updates nach dem jeweiligen Programm erleichtert dabei den Zugriff auf ein gesuchtes Update. Abbildung 3.7 Updates werden in einem eigenen Bereich aufgelistet.

Ausführliche Informationen zum Windows Update-Dienst finden Sie in Kapitel 1. Marketplace und Ultimate Extras

Anwender von Windows Vista werden an dieser Stelle vermutlich die Market Place-Funktionen sowie den Bereich zur Verwaltung der zusätzlichen Updates für die Ultimate-Edition von Windows Vista vermissen. Beide Funktionen stehen unter Windows 7 jedoch nicht mehr zur Verfügung.

Standardprogramme und -zugriffe konfigurieren Beachtenswert ist auch der Bereich Standardprogramme. Hier können Standardprogramme und Einstellungen für wichtige Aufgaben festgelegt werden, wie beispielsweise der Standard-Webbrowser und die Einstellungen für die automatische Wiedergabe. Während mit den Einstellungen für Standardprogramme festlegen jeder Benutzer die Programmzuordnungen ändern kann, gelten die unter Programmzugriff und Computerstandards festlegen getroffenen Einstellungen für alle Benutzerkonten des Computers und erfordern administrative Rechte für den Zugriff.

140

Anwendungen lokal installieren und verwalten Abbildung 3.8 Der Bereich Standardprogramme bietet Zugriff auf verschiedene Einstellungen.

3

Mit der Option Standardprogramme festlegen wird eine Liste der Programme Standardproangezeigt, die als Standard für Dateitypen und Protokolle festgelegt werden gramme festkönnen. Sollte ein installiertes Programm in der Auflistung nicht erschei- legen nen, wird diese Funktion noch nicht vom Hersteller unterstützt. In diesem Fall ist eine manuelle Zuordnung über den Dateityp erforderlich. Abbildung 3.9 Die Festlegungen als Standardprogramm können bequem in einem Dialogfeld konfiguriert werden.

141

Kapitel 3 Software verwalten und installieren

Die folgende Abbildung zeigt am Beispiel des Internet Explorers die zugeordneten Dateitypen und Protokolle. Abbildung 3.10 Dateityp und Protokollzuordnungen am Beispiel des Internet Explorers

Programmzugriff und Computerstandards

Hingegen können unter Programmzugriff und Computerstandards festlegen die Standardanwendungen für die folgenden Aufgabenbereiche konfiguriert werden: 왘 Browser 왘 E-Mail-Programm 왘 Medienwiedergabe 왘 Instant Messaging-Programm 왘 Virtual Machine für Java Die Zuordnung kann innerhalb von vier Konfigurationen erfolgen: 왘 Microsoft Windows

Wenn diese Option ausgewählt wird, werden die in Windows 7 enthaltenen Microsoft-Programme als Standardprogramme verwendet. 왘 Nicht-Microsoft

Diese Konfiguration legt, im Gegensatz zur vorstehenden Option, die nicht von Microsoft stammenden installierten Programme als Standardprogramme fest, sofern diese installiert sind. Ist dies für einzelne Kategorien nicht der Fall, wird die entsprechende Microsoft-Anwendung verwendet. Der Zugriff auf die angegebenen Microsoft Windows-Programme wird in diesem Fall entfernt.

142

Anwendungen lokal installieren und verwalten 왘 Benutzerdefiniert

Diese Option erlaubt eine benutzerdefinierte Konfiguration für die Festlegung von Standardprogrammen. Dies ist die Standardeinstellung. 왘 Computerhersteller

Mit dieser Option werden die vom Hersteller des Computers gewählten Einstellungen wieder hergestellt. Diese Option steht nur zur Verfügung, wenn der Hersteller den Computer mit Windows 7 vorinstalliert und Einstellungen für diese Funktion konfiguriert hat.

3 Abbildung 3.11 Dialogbox zur Festlegung von Programmzugriff und Computerstandards für Standardanwendungen

Es können keine unterschiedlichen Standardprogramme für unterschiedliche Benutzer festgelegt werden, d.h., die Einstellungen der Funktion Programmzugriff- und Computerstandards festlegen werden immer für alle Benutzer des Computers übernommen. Abschließend lohnt noch ein Blick auf den Bereich Automatische Wiedergabe. Die automatische Wiedergabe ist eine Funktion von Windows, die eine Festlegung ermöglicht, welche Programme verwendet werden sollen, um verschiedene Arten von Medien zu starten, beispielsweise Musik-CDs oder CDs und DVDs mit Fotos. Sind auf dem Computer mehrere Medienwiedergabeprogramme installiert, kann der Computer so eingerichtet werden, dass eine CD oder DVD beim Einlegen automatisch mit dem gewünschten Programm abgespielt wird. Die Funktion Automatische Wiedergabe erinnert damit an die auch in früheren Windows-Versionen verfügbare Funktion Autorun, unterscheidet sich von dieser aber durch die umfangreichen Konfigurationsmöglichkeiten.

143

Kapitel 3 Software verwalten und installieren Abbildung 3.12 Dialogfeld zur Konfiguration der Einstellungen für die Medienwiedergabe

3.2

Ein Blick auf die Technik dahinter – der Windows Installer-Dienst

Windows Installer ist eine Technologie zur Installation und Deinstallation von Anwendungen. Hierzu wird ein Satz von definierten Regeln während des Installationsvorgangs angewandt. Mit diesen Regeln werden die Installation und die Konfiguration der zu installierenden Anwendung definiert. Mit dem Windows Installer können Installationen sowohl lokal erfolgen, als auch beispielsweise mithilfe von Gruppenrichtlinien zur Softwareverteilung, die eine zentrale Steuerung der Verteilung und der Installation von Anwendungen ermöglichen. Version 5.0 in Windows 7 enthalten

144

Neu ist diese Technologie allerdings nicht. Bereits mit Windows 2000 hat Microsoft diesen integrierten Windows Installer-Dienst eingeführt. In Windows 7 ist der Windows Installer in der neuen Version 5.0 integriert.

Ein Blick auf die Technik dahinter – der Windows Installer-Dienst

Die folgende Auflistung zeigt ausschnittsweise, welche Version von Windows Installer in den verschiedenen Windows-Versionen integriert ist: 왘 Windows 2000: Windows Installer Version 1.1 왘 Windows 2000 SP3: Windows Installer Version 2.0 왘 Windows ME: Windows Installer Version 1.2 왘 Windows XP: Windows Installer Version 2.0 왘 Windows XP SP2: Windows Installer Version 3.0 왘 Windows Server 2003: Windows Installer Version 2.0 왘 Windows Server 2003 SP1: Windows Installer Version 3.1 왘 Windows Server 2008: Windows Installer Version 4.0 왘 Windows Vista: Windows Installer Version 4.0 왘 Windows Vista SP 2: Windows Installer Version 4.5 왘 Windows Server 2008 R2: Windows Installer Version 5.0 왘 Windows 7: Windows Installer Version 5.0

3

Um auch jeweils ältere Windows-Versionen auf die aktuelle Version des Windows Installers zu aktualisieren, stellt Microsoft entsprechende Updates zur Verfügung. Derzeit (Stand Januar 2010) gibt es allerdings noch kein Windows Installer 5.0-Installationspaket, mit dem ein Update des Windows Installers für ältere Windows-Versionen vor Windows 7 möglich ist.

3.2.1

Grundsätzliches zur Windows Installer-Technologie

Der Windows Installer ist eine Technologie zur Softwareinstallation und -verwaltung, die Funktionen zur Nachinstallation, zur Änderung und zur Reparatur vorhandener Anwendungen beinhaltet und die folgenden Funktionen bietet: 왘 Deinstallation vorhandener Programme

Funktionen

Mit dem Windows Installer installierte Anwendungen verfügen über Deinstallationsroutinen, die eine Deinstallation nach dem erfolgreichen Abschluss der Installation ermöglichen. Hierbei werden die zugehörigen Registrierungseinträge und Anwendungsdateien gelöscht, mit Ausnahme der Dateien, die auch von anderen vorhandenen Programmen genutzt werden. 왘 Reparatur beschädigter Anwendungen

Anwendungen, die mit dem Windows Installer installiert wurden, können selbstständig feststellen, ob Dateien fehlen oder beschädigt sind. In diesem Fall repariert Windows Installer die betreffende Anwendung, indem die fehlenden oder beschädigten Dateien erneut kopiert werden.

145

Kapitel 3 Software verwalten und installieren 왘 Vermeidung von DLL-Konflikten

Bei Installationen können Konflikte auftreten, wenn beispielsweise die Installation Änderungen an einer DLL-Datei vornimmt oder eine DLLDatei löscht, die bereits von einer vorhandenen Datei genutzt wird. Der Windows Installer verwendet Installationsregeln, um derartige Konflikte zu vermeiden. 왘 Nachträgliche Anpassung installierter Anwendungen

Mit Windows Installer kann zunächst eine minimale lauffähige Version einer Anwendung installiert und können zusätzliche Komponenten bei Bedarf zur Verfügung gestellt werden. Dabei kann festgelegt werden, dass, sobald ein Benutzer auf eine bestimmte Funktion zugreift, die benötigten Komponenten nachinstalliert werden. Verwendet wird diese Technologie beispielsweise bei Microsoft Office ab der Version 2000.

Komponenten Die Windows Installer-Technologie ist im Wesentlichen in zwei Teile gegliedert, die eng zusammenarbeiten: der Installer-Dienst auf dem Client mit dem eigentlichen Installer-Programm (Msiexec.exe) und die Paketdatei(en) (.msi-Dateien). Installationspaketdatei

Das Windows Installer-Paket enthält sämtliche Informationen, die der Windows Installer benötigt, um Software zu installieren oder zu deinstallieren. Dies kann beispielsweise auch Anweisungen für die Installation einer Anwendung umfassen, die zum Tragen kommen, wenn eine Vorgängerversion der Anwendung bereits installiert ist. Jedes Paket enthält eine .msi-Datei und die erforderlichen zugehörigen Installationsdateien. Die zugehörigen Installationsdateien sind die Anwendungsdateien, die auf der lokalen Festplatte installiert werden. Es enthält außerdem die Produktdateien oder einen Verweis auf einen Installationspunkt, an dem sich die Produktdateien befinden.

InstallerProgramm

Anhand der Informationen in der Paketdatei führt das Installer-Programm Msiexec.exe alle Aufgaben im Rahmen der Installation aus: 왘 Kopieren von Dateien auf die Festplatte 왘 Ändern der Registrierung 왘 Erstellen von Verknüpfungen auf dem Desktop 왘 Anzeigen von Dialogfeldern zum Abfragen der Voreinstellungen für die Installation

Leistungsmerkmale von Windows Installer 5.0 Bereits mit Windows Vista hat Microsoft einige neue Technologien eingeführt, die auch auf die Installation von Anwendungen Auswirkungen haben. Aus diesem Grunde wurden viele erforderliche neue Funktionen bereits in der in Windows Vista integrierten Version 4.0 des Windows Installers implementiert. Hierzu gehören die nachstehenden Funktionen:

146

Ein Blick auf die Technik dahinter – der Windows Installer-Dienst 왘 Unterstützung für das Verringern erforderlicher Neustarts

Windows Vista und Windows 7 verwenden den Restart-Manager, um die Anzahl der notwendigen Neustarts bei der Installation und bei Update-Vorgängen zu verringern. Hierzu handhabt der Restart-Manager die Interaktionen mit anderen Ressourcen-Managern, führt Programme aus und öffnet Dateien, um Dienste oder Anwendungen nach Bedarf dynamisch freizugeben und erneut auf sie zuzugreifen. Windows Installer unterstützt die Interaktion mit dem Restart-Manager ab der Version 4.0.

3

왘 Unterstützung für Benutzerkontensteuerung (User Account Control, UAC)

Windows Installer 4.0 und höher unterstützt die Funktion für die Benutzerkontensteuerung, die Microsoft mit Windows Vista eingeführt hat. Hauptziel der Benutzerkontensteuerung ist die Reduzierung der Angriffsfläche des Betriebssystems. 왘 Unterstützung mehrsprachiger Benutzeroberflächen (Multilingual User

Interface MUI) Windows Installer 4.0 und höher unterstützt die Installation mehrsprachiger Anwendungen. Windows Vista und höher ist aufgrund seiner modularen Struktur sprachunabhängig. Deshalb ersetzen die Sprachpakete von Windows Vista und höher die MUI-(Multilingual User Interface-)Dateien aus früheren Versionen von Windows. 왘 Unterstützung des Ressourcenschutzes (Windows Resource Protection, WRP)

Seit Windows Vista bringt das System mit dem Ressourcenschutz eine neue Funktion mit, die Schutz vor potenziell gefährlichen Konfigurationsänderungen bietet. Hiermit werden u.a. Systemdateien und -einstellungen sowie System-Registrierungseinstellungen vor versehentlichen Änderungen durch Benutzer oder durch nicht autorisierte Software verhindert. Dieses Verhalten wird vom Windows Installer ab der Version 4.0 berücksichtigt. 왘 Ab der Version 5.0 speichert das Windows Installer-Paket zusätzlich

die MsiLockPermissionsEx-Tabelle. Diese enthält Sicherheitsbeschreibungen wie Berechtigungen oder die Vererbung von Berechtigungen von einer übergeordneten Ressource. Wie bereits im vorstehenden Abschnitt ausgeführt, ist für eine Installation mit dem Windows Installer ein Windows Installer-Paket erforderlich, das sämtliche Informationen enthält, die der Windows Installer benötigt, um Software zu installieren oder zu deinstallieren. Dies schließt beispielsweise auch Anweisungen für die Installation einer Anwendung ein, die zum Tragen kommen, wenn eine Vorgängerversion der Anwendung bereits installiert ist. Jedes Paket enthält eine .msi-Datei und die erforderlichen zugehörigen Installationsdateien.

Anwenden von Windows Installer-Paketdateien Beim Einsatz des Windows Installers können die folgenden Dateitypen verwendet werden:

147

Kapitel 3 Software verwalten und installieren 왘 Systemeigene Windows Installer-Pakete (.msi-Dateien)

Systemeigene Windows Installer-Pakete werden als ein Teil der Anwendung entwickelt und nutzen den Windows Installer in der Regel am besten. Diese Paketdateien werden vom Hersteller einer Anwendung bereitgestellt. Zu den systemeigenen Installer-Paketen zählt beispielsweise die Datei adminpak.msi zur Installation der Server-Verwaltungsprogramme von Windows 2000 Server bzw. Windows Server 2003. 왘 Neu gepackte .msi-Dateien (.msi-Pakete)

Neu gepackte Paketdateien arbeiten genauso wie systemeigene Windows Installer-Pakete, sind in der Regel jedoch nicht so detailliert. Sie können auf der Basis eines Vorher-nachher-Vergleichs erstellt werden. 왘 .zap-Dateien

Eine .zap-Datei ist eine Textdatei, die Anweisungen für das Veröffentlichen einer Anwendung enthält. Diese Dateien haben Ähnlichkeit mit .ini-Dateien. Beim Bereitstellen einer Anwendung mithilfe einer .zapDatei wird die Anwendung mit ihrem ursprünglichen Setup.exe- bzw. Install.exe-Programm installiert. 왘 Patches (.msp-Dateien)

Service Packs und Patches werden häufig in Form von .msp-Dateien verteilt. Für diese Dateien gelten einige Einschränkungen. So ist beispielsweise das Entfernen von Komponenten oder Funktionen nicht möglich. Auch bei den Anpassungsdateien für Office handelt es sich zum Teil um .msp-Dateien. 왘 Skriptdateien (.aas-Dateien)

Diese Dateien enthalten Anweisungen für die Zuweisung oder Veröffentlichung eines Pakets. 왘 Transformationsdateien (.mst-Dateien)

Vorhandene oder erstellte Pakete können mithilfe von Transformationsdateien (Microsoft Transform, MST) angepasst werden. Eine Transformation ist ein spezielles Softwarepaket, das mit einem Windows Installer-Paket verknüpft werden kann, Während der Ausführung wird das ursprüngliche Windows Installer-Paket geändert, wobei die Werte der .msi-Datei überschrieben werden. MSI-Pakete installieren

Anwendungen, die als Windows Installer-Paket vorliegen, können auf verschiedenen Wegen installiert werden. 왘 Im Windows-Explorer 왘 Über die Befehlszeile 왘 Im Bereich Programme und Funktionen 왘 Mithilfe von Gruppenrichtlinien zur Softwareverteilung 왘 Mit serverbasierten Anwendungen zur Softwareverteilung Windows-Explorer Anwendungen, die als Windows Installer-Paket (.msiDatei) vorliegen, können direkt aus dem Windows-Explorer heraus installiert, repariert und deinstalliert werden. Hierzu ist die gewünschte Option im Kontextmenü der MSI-Datei zu wählen.

148

Ein Blick auf die Technik dahinter – der Windows Installer-Dienst Abbildung 3.13 Die Installation eines MSI-Installationspakets ist mithilfe der entsprechenden Option im Kontextmenü möglich.

Befehlszeile Mit dem Programm msiexec.exe kann der Windows Installer

auch an der Eingabeaufforderung ausgeführt werden. Hier stehen die folgenden Funktionen zur Verfügung: 왘 Installieren eines Pakets 왘 Entfernen eines Pakets 왘 Reparieren eines Pakets 왘 Ankündigen eines Pakets 왘 Erstellen eines Admin-Installationspakets 왘 Erstellen einer Installations-Protokolldatei Der Befehl msiexec.exe hat die folgende Syntax: msiexec /Option [Optionale Parameter]

Syntax von msiexec.exe

Eine Erläuterung der Parameter kann mit dem folgenden Befehl angezeigt werden: msiexec /?

Dieser Befehl blendet ein Fenster mit der Beschreibung aller verfügbaren Parameter ein. Abbildung 3.14 Syntax und Parameter von msiexec.exe

149

3

Kapitel 3 Software verwalten und installieren Bereich Programme und Funktionen In Abschnitt 3.1.2 ab Seite 136 wer-

den alle wichtigen Optionen zur Verwaltung von Anwendungen in dieser Konsole vorgestellt. Gruppenrichtlinien zur Softwareverteilung Eine Anleitung zum Umgang mit Gruppenrichtlinien zur Softwareverteilung finden Sie in Abschnitt 3.4 ab Seite 162. Softwareverteilung mit Softwareverteilungstools Beispielsweise

stellt Microsoft mit dem System Center Configuration Manager 2007 (SCCM) eine komplexe Verwaltungssoftware u.a. zur Softwareverteilung und Softwareupdateverwaltung bereit. Informationen hierzu finden Sie in Kapitel 1.

Windows Installer-Pakete erstellen In der Regel gehören die Pakete zum Lieferumfang der jeweiligen Anwendung. Insbesondere im Rahmen der Softwareverteilung wird es aber auch immer wieder erforderlich, seine eigenen MSI-Pakete zu erstellen. Zum Erstellen, Ändern und Neupacken von Paketen für ein zu installierendes Programm stehen diverse professionelle Programme von einer Reihe von Drittanbietern zur Verfügung. Diese bieten in der Regel eine Reihe zusätzlicher Funktionen. Hierzu gehören neben erweiterten Funktionen zur Verwaltung von Paketen beispielsweise die Unterstützung mobiler Geräte und die Verwaltung digitaler Rechte. Auch zur Erstellung von Transformationsdateien und Anpassungsdateien gibt es Tools, die meist eine einfache Benutzeroberfläche bereitstellen, wie beispielsweise der Custom Installation Wizard, CIW, der von Microsoft vor allem im Zusammenhang mit der Anpassung von Office bekannt ist. [CIW] Der Custom Installation Wizard ist u.a. im Office 2000 bzw. Office 2003 Resource Kit enthalten und kann verwendet werden, um Anpassungsdateien für Office-Pakete zu erstellen. Hierbei können über die bekannte Assistentenoberfläche die verschiedenen Änderungen an der Installation von Microsoft Office vorgenommen werden. So kann beispielsweise damit gesteuert werden, welche Funktionen einer Anwendung installiert und wo diese gespeichert werden sollen. Hierbei wird mit einer Kopie der .msi-Originaldatei gearbeitet. Wenn die Anpassungsdatei am Ende der Sitzung geschrieben wird, wird die Originalversion mit der aktualisierten Version der .msi-Datei verglichen, und die Änderungen werden in einer .mst-Datei gespeichert. Office Customization Tool

150

Für Windows 2007 steht mit dem Office Customization Tool (OCT) ebenfalls ein Anpassungstool zur Verfügung, mit dem Office 2007 angepasst und die Anpassungen in einer Setup-Anpassungsdatei (MSP-Datei) gespeichert werden können. [ORK07]

Ein Blick auf die Technik dahinter – der Windows Installer-Dienst

3.2.2

Das Verhalten von Windows Installer mit Gruppenrichtlinien steuern

Es ist möglich und sinnvoll, die Einstellungen für den Windows Installer mithilfe von Gruppenrichtlinien anzupassen Hierzu gehören beispielsweise Festlegungen für die Ereignisprotokollierung und die Möglichkeit, die lokale Patchverarbeitung zu deaktivieren. Die Deaktivierung der Patchverarbeitung verhindert beispielsweise, dass Benutzer den Windows Installer zur Installation nicht autorisierter Updates verwenden können.

3

Zur Konfiguration von lokalen Gruppenrichtlinien zur Steuerung des Lokales Gruppenrichtlinienobjekt Windows Installers gehen Sie wie folgt vor: 1. Öffnen Sie durch Eingabe von gpedit.msc in dem Suchfeld im Startmenü das Snap-in Gruppenrichtlinienobjekt-Editor. Um den Editor für lokale Gruppenrichtlinien öffnen zu können, müssen Sie über administrative Rechte verfügen. 2. Wählen Sie unter Computerkonfiguration bzw. Benutzerkonfiguration/ Administrative Vorlagen/Windows-Komponenten den Container Windows Installer. Abhängig von der zu konfigurierenden Richtlinie ist diese entweder im Bereich Computer oder Benutzer zu finden. Die folgende Abbildung zeigt die für den Windows Installer im Bereich Computerbasierte Richtlinien Computerkonfiguration verfügbaren Richtlinien. Abbildung 3.15 Computerbasierte Richtlinien zur Konfiguration des Windows Installers

Einige weitere Richtlinien beziehen sich auf den angemeldeten Benutzer und sind entsprechend im Bereich Benutzerkonfiguration zu konfigurieren.

151

Kapitel 3 Software verwalten und installieren Abbildung 3.16 Benutzerbasierte Richtlinien zur Konfiguration des Windows Installers

3.3

Nicht kompatible Anwendungen unter Windows 7 nutzen

Leider lassen sich nicht alle alten Anwendungen ohne Einschränkungen unter Windows 7 nutzen. Durch die grundlegenden Unterschiede in den Sicherheitseinstellungen von Windows XP bzw. älteren Versionen und Windows 7 kann es vorkommen, dass Anwendungen nicht unter Windows 7 funktionieren, die noch unter Windows XP hervorragend ihren Dienst verrichtet haben. Bei Problemanwendungen gibt es mehrere Fälle, die unterschieden werden können: 왘 Programme, die nur während der Upgrade-Phase nicht funktionieren und temporär deinstalliert oder deaktiviert werden müssen. In diese Kategorie fallen sehr häufig Virenscanner. 왘 Anwendungen, die einen speziellen Patch oder ein Service Pack benötigen, um mit Windows 7 zu laufen. 왘 Anwendungen, die unter Windows 7 überhaupt nicht lauffähig sind. Hierzu zählen beispielsweise Programme, die speziell für frühere Versionen von Windows geschrieben wurden. Während die beiden ersten Fälle in der Regel recht einfach zu lösen sind, bedarf es für Anwendungen, die in die dritte Kategorie fallen, spezieller Maßnahmen, damit diese dennoch unter Windows 7 ausgeführt werden können. Welche Möglichkeiten Windows 7 bietet, um derartigen Anwendungsinkompatibilitäten zu begegnen, zeigt dieser Abschnitt.

3.3.1

Ursachen für Anwendungsinkompatibilitäten

Während bei Windows Vista vor allem die Behandlung von Inkompatibilitäten mit Anwendungen im Rahmen der Betriebssystemaktualisierung eine Rolle spielt, kann dieser Bereich bei Windows 7 vernachlässigt werden. Dies liegt daran, dass Microsoft als einzigen Update-Pfad eine Aktualisierung von Windows Vista (SP1/SP2) auf Windows 7 unterstützt. Und

152

Nicht kompatible Anwendungen unter Windows 7 nutzen

Anwendungen, die ohne Probleme unter Windows Vista funktionieren, werden in aller Regel auch unter Windows 7 keine Probleme verursachen. Bei älteren Anwendungen jedoch kann es vor allem aufgrund der grundlegenden Unterschiede in den Sicherheitseinstellungen von Windows XP bzw. früheren Versionen und Windows 7 zu Problemen bei der Installation bzw. bei der Ausführung kommen. Treten Inkompatibilitäten auf, sind diese vor allem in den folgenden Funktionen von Windows 7 zu suchen. 왘 Benutzerkontensteuerung: In der Standardeinstellung wird jede Anwendung in Windows 7 mit den Rechten eines Standardbenutzers ausgeführt. Für die Installation sind Administratorrechte erforderlich, die explizit angefordert werden. Dieses Verhalten müssen Anwendungen für eine Installation unter Windows 7 unterstützen. 왘 Windows Resource Protection (WRP): Der Windows-Ressourcenschutz schützt die folgenden Komponenten System-Registrierungseinstellungen, die versehentlich durch den Benutzer oder durch nicht autorisierte Software geändert werden könnten, Systemdateien und -einstellungen, die durch andere Prozesse als den Windows-Installer geändert werden könnten, und Anwendungen wie den Microsoft Internet Explorer, die durch möglicherweise nicht vertrauenswürdige oder schädliche COMErweiterungen von Drittanbietern beeinflusst werden könnten. Anwendungen, die versuchen, auf geschützte Ressourcen zu schreiben, können daher möglicherweise nicht installiert oder nicht ausgeführt werden. 왘 NTFS-formatierte Systempartition: Windows 7 fordert für die Systempartition zwingend eine Formatierung mit dem Dateisystem NTFS. Dies kann ggf. ebenfalls Probleme mit einzelnen Anwendungen verursachen. 왘 Geschützter Modus des Internet Explorers: In Windows 7 läuft der Microsoft Internet Explorer standardmäßig im geschützten Modus mit stark eingeschränkten Rechten. Anwendungen, die den Internet Explorer nutzen, können damit Probleme haben. 왘 x64-basierte Windows 7-Version: Anwendungen, die 16-Bit-EXE-Dateien, 16-Bit-Installer oder 32-Bit-Kernel-Treiber benutzen, starten entweder gar nicht oder funktionieren in einer 64-Bit-Edition von Windows 7 nicht richtig.

3.3.2

3

Anwendungsprüfung vor Beginn der Migration

Vor der Migration sollte zunächst eine Bestandsaufnahme erfolgen, um festzustellen, welche Anwendungen von Microsoft oder anderen Anbietern sich auf dem Rechner befinden und welche möglicherweise unter Windows 7 nicht oder nur eingeschränkt laufen werden.

Windows 7 Upgrade Advisor Bei der Prüfung der Anwendungskompatibilität kann zum einen der Windows 7 Upgrade Advisor helfen, der sich in erster Linie an Endanwender richtet. Microsoft bietet dieses kostenlose Programm an, mit dem sich herausfin-

153

Kapitel 3 Software verwalten und installieren

den lässt, ob ein PC für eine Aktualisierung auf Windows 7 geeignet ist, welche Funktionen von Windows 7 auf dem PC ausgeführt werden können und welche möglichen Installationshindernisse existieren. Das schließt eine Prüfung der Kompatibilität installierter Anwendungen ein. Einsetzbar ist Windows 7 Upgrade Advisor auf Rechnern, auf denen Windows XP, Windows Vista oder Windows 7 ausgeführt wird [UPADVISOR]. Weiterführende Informationen zum Windows 7 Upgrade Advisor finden Sie in Kapitel 1. Abbildung 3.17 Ergebnis der Überprüfung eines Windows-Rechners mit Windows 7 Upgrade Advisor

Microsoft Application Compatibility Toolkit 5.5 Weiterhin stellt Microsoft mit dem Microsoft Application Compatibility Toolkit – ACT [ACT] ein ebenfalls kostenloses Tool für Entwickler und Administratoren zur Prüfung der Kompatibilität von Webseiten und Software bereit. Die Version 5.5 unterstützt Windows 7 sowie Windows Vista SP2 und erlaubt eine Kompatibilitätsprüfung mit Windows Vista und Windows 7 sowie dem Internet Explorer. Das Werkzeug dient dazu, Anwendungen zu erkennen, für die möglicherweise weitere Tests erforderlich sind, und um Kompatibilitätsfixes für Anwendungen zur Verfügung zu stellen.

154

Nicht kompatible Anwendungen unter Windows 7 nutzen

Das Microsoft Application Compatibility Toolkit 5.5 stellt die folgenden Werkzeuge im ACT Funktionen bzw. Werkzeuge bereit: 왘 Werkzeuge zur Kompatibilitätsbewertung. Damit können benutzerdefinierte Kompatibilitätsberichte erstellt werden, die alle umgebungsspezifischen Aufgaben und Anforderungen zusammenfassen. Zusätzlich können individuelle „ Quick Reports“ erstellt werden. 왘 Bestandsdatensammler (Inventory Collector). Dieser kann unternehmensweit installierte Anwendungen und Systeminformationen ermitteln. 왘 Kompatibilitätsbewertung der Benutzerkontensteuerung (User Account Control Compatibility Evaluator). Damit können potenzielle Kompatibilitätsprobleme aufgrund von Berechtigungseinschränkungen identifiziert werden, die durch die Benutzerkontensteuerung erzwungen werden. 왘 Analyse von Aktualisierungsauswirkungen (Update Impact Analyzer). Das Werkzeug ermöglicht es, potenzielle Probleme zu erkennen, die durch die Bereitstellungen von Windows Updates entstehen können. 왘 Kompatibilitätsbewertung für Internet Explorer (Internet Explorer Compatibility Evaluator). Diese Funktion ermöglicht die Erkennung potenzieller Probleme mit Webanwendungen und Websites. 왘 Paket zur Datensammlung (Data Collection Package): Hierbei handelt es sich um ein Werkzeug, das alle Tools zur Kompatibilitätsbewertung für die Bereitstellung auf Client-Computern in einer einzigen Installation kombiniert. Es installiert die Werkzeuge und stellt eine Benutzeroberfläche bereit, mit der Bewertungszeitpläne verwaltet sowie Kompatibilitätsdaten gesammelt und in einer Datenbank verwaltet werden können. Die Data Collection Packages können zur besseren Unterscheidung/Filterung der damit gewonnenen Daten mit einem Kennzeichen versehen werden.

3

Application Quality Cookbook Dieses Dokument wendet sich an Anwendungsentwickler. Neben zahlreichen Anleitungen zur Prüfung von Anwendungskompatibilitäten bietet es auch eine Übersicht über bekannte Anwendungskompatibilitätsprobleme in Windows 7 und Windows Server 2008 R2. [COOKBOOK]

3.3.3

Einsatzmöglichkeiten des Kompatibilitätsmodus

Um auch älteren Anwendungen die Ausführung zu ermöglichen, bringt Windows 7 eine Funktion mit, die es ermöglicht, Programme im sogenannten Kompatibilitätsmodus zu starten. Hierbei handelt es sich um eine spezielle Funktion, die Anwendungen ein anderes Windows-Betriebssystem bzw. eine passende Umgebung vorgaukelt. Für die Anwendung verhält sich Windows 7 dann so wie ein älteres Windows-Betriebssystem, d.h. beispielsweise wie Windows XP, Windows Server 2003 oder auch Windows NT 4.0. In diesem Modus lassen sich deshalb auch Anwendungen ausführen, die im normalen Programmmodus die Zusammenarbeit mit dem Betriebssystem verweigern.

155

Kapitel 3 Software verwalten und installieren Automatisch angewendet

Die Kompatibilitätseinstellungen für ältere Software werden dabei häufig angewendet, ohne dass der Anwender es bemerkt. Windows 7 beinhaltet eine interne Datenbank, die Kompatibilitätseinstellungen für viele gängige ältere Programme enthält. Wird ein solches Programm gestartet, wendet Windows die passenden Kompatibilitätseinstellungen automatisch an. Mithilfe des Application Compatibility Toolkit (ACT) können Sie angezeigt und erweitert werden. Aber nicht alle Inkompatibilitäten werden automatisch erkannt. Wenn Sie eine Anwendung nach der Installation nicht starten können oder beispielsweise die Fehlermeldung Falsche Windowsversion angezeigt wird, muss die Anwendung manuell im Kompatibilitätsmodus gestartet werden. Der Kompatibilitätsmodus lässt sich auf zwei Arten einstellen: 왘 Sie benutzen den Programmkompatibilitäts-Assistenten. 왘 Sie stellen den gewünschten Modus manuell in dem Eigenschaftendialogfeld der Anwendungsdatei der betreffenden Anwendung ein. Diese Einstellungen sind identisch mit den Optionen im Programmkompatibilitäts-Assistenten. Die folgenden Arbeitsschritte beschreiben die Vorgehensweise sowohl mit dem Programmkompatibilitäts-Assistenten als auch bei manueller Einstellung.

ProgrammkompatibilitätsAssistent

1. Den Programmkompatibilitäts-Assistenten können Sie zum einen aus der Windows 7-Hilfe heraus starten. Suchen Sie hierfür nach dem Begriff Programmkompatibilität. Verwenden Sie anschließend den Link Öffnen der Problembehandlung für die Programmkompatibilität. Alternativ können Sie die Option Behandeln von Kompatibilitätsproblemen im Kontextmenü der Problemanwendung verwenden.

Abbildung 3.18 Ermittlung von Anzeigeproblemen im Programmkompatibilitäts-Assistenten

2. Der Assistent fordert Sie auf, die problematische Anwendung auszuwählen, und führt anschließend durch verschiedene Problemszenarien. Ist der Start der Anwendung in einem Modus erfolgreich, wird die

156

Nicht kompatible Anwendungen unter Windows 7 nutzen

Anwendung jedes Mal in diesem Modus starten. Der Assistent ermöglicht es Ihnen außerdem, verschiedene Einstellungen zu testen, beispielsweise die Ausführung des Programms mit einer eingeschränkten Farbtiefe, einer reduzierten Bildschirmauflösung von 640 x 480 Pixel oder im Kontext eines Administrators. Um den Kompatibilitätsmodus manuell im Eigenschaftendialogfeld der Datei der Anwendung einzustellen, gehen Sie wie folgt vor:

3

1. Wählen Sie im Explorer das Programm, das Sie ausführen möchten, Manuelle und öffnen Sie dessen Eigenschaftendialogfeld über die entsprechende Einstellung Option im Kontextmenü. 2. Öffnen Sie die Registerkarte Kompatibilität, und stellen Sie den gewünschten Kompatibilitätsmodus ein. Zusätzlich können Sie auch hier festlegen, dass das Programm mit einer verminderten Farbtiefe (256 Farben) ausgeführt oder beispielsweise im Administratorkontext ausgeführt werden soll. Letztere Option hilft zwar in einigen Fällen weiter, ist aber auch wegen der Benutzerkontensteuerung keine langfristig praktikable Lösung. Abbildung 3.19 Konfiguration der Kompatibilitätseinstellungen in den Eigenschaften einer Anwendung

Behebt die Ausführung im Kompatibilitätsmodus das Problem nicht, sollte Dateiausfühdie Datenausführungsverhinderung-Funktion überprüft werden. Diese rungsverhindeFunktion, die bereits in Windows XP integriert ist, kann auch unter Windows rung 7 den Start von Anwendungen verhindern. Mithilfe der Datenausführungsverhinderung werden Programme überwacht, um die sichere Verwendung des Systemspeichers durch die Programme sicherzustellen. Wenn ein Programm versucht, Code aus dem Speicher auf unzulässige Weise auszuführen, wird das Programm durch die Datenausführungsverhinderung (Data Execution Prevention, DEP) geschlossen. Startet eine Anwendung nicht, hilft es entweder, diese Funktion zu deaktivieren oder die Anwendung von der Überprüfung auszunehmen. Zur Konfiguration der Dateiausführungsverhinderung gelangen Sie mit den folgenden Schritten:

157

Kapitel 3 Software verwalten und installieren 왘 Geben Sie im Suchfeld des Startmenüs Erweiterte Systemeinstellungen

anzeigen ein. 왘 Wählen Sie auf der Registerkarte Erweitert und anschließend im

Bereich Leistung die Schaltfläche Einstellungen. 왘 Verwenden Sie die Registerkarte Datenausführungsverhinderung.

Wenn die Dateiausführungsverhinderung ein Programm immer wieder schließt, dem Sie vertrauen, können Sie die Datenausführungsverhinderung für das geschlossene Programm deaktivieren. Abbildung 3.20 Die Dateiausführungsverhinderung ist manchmal die Ursache, wenn Anwendungen nicht starten.

3.3.4

Anwendungen im Kompatibilitätsmodus installieren

Beim Versuch, ältere Windows-Programme zu installieren, kann es passieren, dass bei der Installation oder beim Start einer Anwendung eine Fehlermeldung erscheint mit dem Hinweis, dass das Programm nicht richtig installiert wurde. Abbildung 3.21 Hinweis, wenn Windows 7 ein Programm wegen Kompatibilitätsproblemen nicht installieren konnte

158

Nicht kompatible Anwendungen unter Windows 7 nutzen

Auch in diesem Fall kann der Kompatibilitätsmodus gegebenenfalls weiterhelfen. Die Option Erneut mit den empfohlenen Einstellungen installieren ruft den Programmkompatibilitäts-Assistenten auf. Alternativ kann bereits die Installationsdatei des Programms im Kompati- Setup-Datei auf bilitätsmodus ausgeführt werden. Diese kann sich gegebenenfalls auch auf CD-ROM einer CD-ROM befinden. Zwar ist ein schreibender Zugriff auf die CDROM nicht möglich, doch werden die Einstellungen bei manueller Konfiguration der Eigenschaften temporär gespeichert. Wird der Programmkompatibilitäts-Assistent verwendet, muss die Option Programm im CD-Laufwerk verwenden ausgewählt werden. Der Kompatibilitätsmodus steht nicht für .msi-Dateien zur Verfügung. Diese können weder mit dem Assistenten noch manuell im Kompatibilitätsmodus installiert werden Kann das Problem auch durch Installation im Kompatibilitätsmodus nicht behoben werden, zeigt Windows 7 ein entsprechendes Hinweisfenster an. In diesem Fall sollte versucht werden, ein Update oder eine aktuelle Version vom Programmhersteller zu beziehen oder das Programm im Windows XP-Modus auszuführen. Abbildung 3.22 Kann auch die Ausführung im Kompatibilitätsmodus das Problem nicht beheben, erscheint ein entsprechender Hinweis.

3.3.5

Anwendungen im Windows XP-Modus ausführen

Benutzern von Windows 7 Professional, Enterprise und Ultimate steht noch ein weiterer Weg offen. Bei diesen Editionen stellt Microsoft den sogenannten „ XP-Modus“ zur Verfügung. Der XP-Modus ist eine Kombination aus Microsofts Virtualisierungssoftware Virtual PC und einer verschlankten vorab aktivierten und voll lizenzierten Installation von Windows XP mit Service Pack 3. Allerdings wird der XP-Modus nicht mit Windows 7 mitgeliefert. Wer ihn benötigt, muss beide Komponenten von der Website von Microsoft herunterladen. Den XP-Modus führt Microsoft in Windows 7 ein, um auch Anwendern den Umstieg zu ermöglichen, die Anwendungen verwenden, die unter Windows Vista bzw. unter Windows 7 nicht laufen. Damit will Microsoft insbesondere Unternehmen unterstützen, die mit Windows Vista bzw. Windows 7 inkompatible Unternehmenslösungen einsetzen und deshalb den Umstieg auf Windows Vista gescheut haben [XPMODE].

159

3

Kapitel 3 Software verwalten und installieren Umfangreiche Systemanforderungen

Wer den XP Modus einsetzen will, muss allerdings beachten, dass damit die Anforderungen an die Hardware steigen. Für den XP-Modus empfiehlt Microsoft mindestens zwei Gigabyte Arbeitsspeicher und 15 Gigabyte mehr zusätzlichen Platz auf der Festplatte. Entscheidender aber ist, dass eine prozessorseitige Unterstützung für die Virtualisierung vorhanden sein muss. Um eine möglichst gute Anbindung an die PC-Hardware zu erreichen, verwendet Microsoft für seinen XP-Modus Virtualisierungsfunktionen aktueller PC-Prozessoren. Bei Intel heißen diese Intel Virtualization Technology (Intel VT), bei AMD kurz AMD-V. Intel beispielsweise bietet mit dem Processor Identification Utility ein Gratistool, mit dem sich prüfen lässt, ob ein Prozessor die geforderten Virtualisierungsfunktionen beherrscht. Das Tool kann als direkt startbare Version heruntergeladen werden [INTEL]. Zusätzlich muss die BIOS-Version des Mainboard-Herstellers eine Funktion für hardwareseitige Virtualisierung enthalten, und diese muss auch aktiviert sein. Insbesondere bei Notebooks für Privatanwender ist diese Option üblicherweise deaktiviert.

Arbeitsweise des XP-Modus

Ist der Windows XP-Modus installiert, lassen sich virtualisierte Anwendungen direkt vom Desktop über Verknüpfungen starten. Sie werden dann in einem ganz normalen Fenster von Windows 7 angezeigt und nicht etwa in einer im Fenster laufenden virtuellen Maschine. Hierzu müssen die gewünschten Anwendungen in dem virtuellen PC installiert werden. Die in den virtuellen Computern installierten Anwendungen lassen sich über die sogenannten Integrationsfeatures direkt in Windows 7 einblenden und erscheinen dann in dessen Startmenü unter Windows XP Mode Anwendungen. Wird eine solch virtualisierte Anwendung gestartet, öffnet sie sich in einem eigenen Fenster und verschmilzt mit dem übrigen Desktop. Außerdem erhalten die im XP-Modus ausgeführten Programme Zugriff auf alle Laufwerke, auf die auch von Windows 7 aus Zugriff besteht sowie auf die gemeinsame Zwischenablage. Damit ist für den Anwender die Ausführung der Programme im XP-Modus vollständig transparent. Lediglich die Darstellung der Anwendungen im XP-Design macht deutlich, dass er eine Anwendung im XP-Modus ausführt.

Nachteile des XP-Modus

160

Da der Windows XP-Modus die virtuelle Maschine mit XP nicht vollständig vom Host-Betriebssystem abschottet, muss das XP-Betriebssystem in vollem Umfang vor möglichen Sicherheitsrisiken geschützt werden. Dies bedeutet, dass nicht nur ein Antivirus-Programm installiert werden muss, sondern dass auch alle weiteren Schutzmaßnahmen wie das regelmäßige Einspielen von Sicherheitsupdates erforderlich ist. Insbesondere Unternehmen müssen daher, neben den Kosten für die erhöhten Systemanforderungen, auch den erhöhten Supportaufwand einkalkulieren.

Nicht kompatible Anwendungen unter Windows 7 nutzen

3.3.6

Umgang mit 16-Bit-Windows- und DOS-Anwendungen

Zwar begegnen einem 16-Bit- und DOS-Anwendungen nur noch sehr selten, doch kann es immer noch Bereiche geben, in denen ihr Einsatz erforderlich ist.

3

Windows 7 unterstützt, wie auch alle Vorgängerversionen, sowohl 16-BitAnwendungen als auch DOS-Anwendungen mit einer Kompatibilitätsschnittstelle in Form einer Virtual DOS Machine (NTVDM). Dabei legt das Betriebssystem eine Umgebung an, die einer DOS-Umgebung entspricht. Im Unterschied zu den 16-Bit-Anwendungen wird aber generell jedes DOSProgramm in einer eigenen virtuellen Maschine ausgeführt, da unter MS DOS jedes Programm den gesamten Speicher für sich beansprucht. Aber auch 16-Bit-Anwendungen können so konfiguriert werden, dass sie in 16-Bit-Anwengetrennten Speicherbereichen laufen, wobei mehrere NTVDMs erstellt wer- dungen getrennt den. Standardmäßig wird eine einzelne NTVDM gestartet, wenn die erste starten 16-Bit-Anwendung gestartet wird. Alle weiteren 16-Bit-Anwendungen werden dann ebenfalls innerhalb dieser NTVDM gestartet. Dies bedeutet, dass sich alle 16-Bit-Anwendungen einen gemeinsamen Speicherbereich teilen. Verursacht eine Anwendung einen Fehler, bleiben auch alle anderen 16-BitAnwendungen hängen. Um eine Anwendung in einer eigenen NTVDM zu starten, stehen verschiedene Möglichkeiten zur Verfügung. An der Eingabeaufforderung können Anwendungen mit dem Befehl Start Befehl Start ausgeführt werden. Für die Ausführung von 16-Bit-Anwendungen sind zwei spezielle Parameter verfügbar. Mit dem Befehl start /separate Pfad und Name der Anwendung

kann eine 16-Bit-Anwendung in einem eigenen Speicherbereich ausgeführt werden. Der Befehl start /shared Pfad und Name der Anwendung

hingegen startet die 16-Bit-Anwendung in einem gemeinsam genutzten Speicherbereich. Wird zu einer 16-Bit-Anwendung eine Verknüpfung erstellt, kann auf der Registerkarte Verknüpfung die Option Erweitert gewählt werden. Im Dialogfeld Erweiterte Eigenschaften steht damit die Option In getrenntem Speicherbereich ausführen zur Verfügung. Aber auch für DOS-Anwendungen gibt es eine Reihe von Einstellmög- DOS-Anwendunlichkeiten für einen optimierten Einsatz unter Windows 7. Die Konfigura- gen tion ist möglich im Eigenschaftendialogfeld, das über das zugehörige Kontextmenü geöffnet werden kann.

161

Kapitel 3 Software verwalten und installieren Abbildung 3.23 Parameter der Anwendung Start

3.4

Softwareverwaltung mit Gruppenrichtlinien

Die Bereitstellung von Software in Unternehmensnetzwerken ist ohne Lösungen für eine automatisierte Verteilung kaum zu handhaben. Windows 7 fügt sich dabei gut in bestehende Lösungen ein, wie der folgende Abschnitt am Beispiel von Gruppenrichtlinien zur Softwareverteilung zeigt.

3.4.1 Voraussetzungen

162

Softwareverteilung mit Gruppenrichtlinien

In Active Directory-basierten Unternehmensnetzwerken steht eine integrierte Methode zur automatisierten Installation von Software zur Verfügung: Softwareverteilung mit Gruppenrichtlinien. Hierbei werden Anwendungen mittels Active Directory-Gruppenrichtlinien und dem Windows Installer-Dienst zentral verwaltet, d.h. installiert, gewartet und entfernt. Mithilfe einer richtlinienbasierten Methode zum Verwalten der Softwarebereitstellung kann außerdem sichergestellt werden, dass die von den Benutzern benötigten Anwendungen im Bedarfsfall überall verfügbar sind, unabhängig davon, welchen Computer sie gerade benutzen.

Softwareverwaltung mit Gruppenrichtlinien

Um die Funktion für die richtlinienbasierte Softwareinstallation und -wartung nutzen zu können, wird Active Directory benötigt. Die ClientComputer müssen Windows 2000 Professional, Windows XP (Professional), Windows Vista oder Windows 7 (ausgenommen sind jeweils die Home-Editionen) ausführen. Frühere Windows-Versionen unterstützen keine Gruppenrichtlinien und können deshalb für die Softwareverwaltung nicht verwendet werden.

3

Benötigt werden weiterhin Microsoft Installer-(MSI-)Paketdateien für die Installationsjeweils zu installierenden Anwendungen. Auch .zap-Dateien können ver- dateien wendet werden. Durch eine .zap-Datei wird ein ausführbares Setup-Programm angegeben, das in der Systemsteuerung unter Software Benutzern, die über Administratorrechte verfügen, auf dem lokalen Computer angezeigt wird. Einschränkend können .zap-Dateien nur veröffentlicht werden, für sie ist keine Zuweisung möglich. Nähere Informationen zur Microsoft Installer-Technologie finden Sie im Abschnitt 3.2 ab Seite 144. Die Gruppenrichtlinien für die Softwareverwaltung können, wie alle anderen Gruppenrichtlinien, auf Benutzer oder Computer in einem Standort, in einer Domäne oder in einer Organisationseinheit angewendet werden. Der Installations- und Bereitstellungsvorgang umfasst, neben der Vorbereitung mit einer Analyse der Softwareanforderungen, den Erwerb der Software und den Erwerb von Paketdateien vom Hersteller einer Anwendung bzw. das Erstellen von Windows Installer-Paketdateien für eine Anwendung, vor allem die Bereitstellungsphase. Diese gliedert sich im Wesentlichen in zwei Hauptschritte: 왘 Erstellung eines Softwareverteilungspunktes 왘 Erstellung und Konfiguration eines Gruppenrichtlinienobjekts zum Bereitstellen der Anwendung

Erstellung eines Softwareverteilungspunktes Installer-Pakete und Softwaredateien müssen an einem Softwareverteilungspunkt zur Verfügung stehen, sodass die Dateien beim Installieren von Software auf einem Client-Computer von diesem Punkt kopiert werden können. Ein Softwareverteilungspunkt ist ein freigegebener Ordner, der die Paketdateien zum Bereitstellen von Software enthält. Hierbei kann es sich um ein freigegebenes Verzeichnis auf einem Server, um einen DFS-(Distributed File System-)Ordner oder um eine CD-ROM mit den Paket- und Installationsdateien handeln. Für jede Anwendung sollte ein separater Ordner am Softwareverteilungspunkt erstellt werden. Wichtig ist die Festlegung entsprechender Berechtigungen für den freigegebenen Ordner. Nur Administratoren sollten über Schreibrechte verfügen. Für die Benutzer genügen Leseberechtigungen, um auf die Softwareinstallationsdateien am Softwareverteilungspunkt zugreifen zu können.

163

Kapitel 3 Software verwalten und installieren

Benutzer sollten den Inhalt des freigegebenen Ordners am Softwareverteilungspunkt nicht durchsuchen können. Dies kann mit einer verborgenen Freigabe verhindert werden (beispielsweise software$).

Bereitstellung eines Softwarepakets Die Bereitstellung des einzelnen Softwarepakets umfasst die Erstellung und Konfiguration entsprechender Gruppenrichtlinien gemäß Abbildung 3.24 Gruppenrichtlinienverwaltungs-Editor unter Softwareeinstellungen/Softwareinstallation. Der Bereich Softwareinstallation steht nur in Active Directory-basierten Gruppenrichtlinienobjekten zur Verfügung. Im lokalen Gruppenrichtlinienobjekt von Windows 7-Rechnern fehlt diese Einstellung. Ein Windows 7-Rechner kann daher nicht zur Verteilung von Software mit Gruppenrichtlinien an andere Rechner verwendet werden. Wie die folgende Abbildung zeigt, kann Software sowohl für Benutzerkonten als auch für Computerkonten bereitgestellt werden und ist deshalb sowohl im Bereich Benutzerkonfiguration als auch unter Computerkonfiguration zu finden. Abbildung 3.24 Gruppenrichtlinien für die Softwareverteilung

Einsatz der Gruppenrichtlinienverwaltungskonsole unter Windows 7 Zum Verwalten der Domänengruppenrichtlinien kann die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) verwendet werden. Die Gruppenrichtlinien-Verwaltungskonsole besteht aus einem MMC-Snap-in und einem Satz skriptfähiger Schnittstellen zum Verwalten der Gruppenrichtlinie. In Windows 7 ist GPMC allerdings nicht standardmäßig integriert, sondern muss zusammen mit den Remoteserver-Verwaltungstools (RSAT) nachträglich installiert werden.

164

Softwareverwaltung mit Gruppenrichtlinien

Wie auch bei den Vorgängerversionen stellt die Microsoft Remoteserver-Verwaltungstools (Remote Server Administration Tools – RSAT) für Windows 7 zum kostenlosen Download bereit [RSAT]. Damit können von Computern unter Windows 7 Rollen und Funktionen auf Remotecomputern mit Windows Server 2008 R2, Windows Server 2008 oder Windows Server 2003 verwaltet werden. Durch das Installieren von RSAT wird die GPMC allerdings nicht automatisch installiert. Wie auch bei den Vorgängerversionen, müssen einige in Windows-7 integrierte Programme und Funktionen vor der Verwendung im Bereich Windows-Funktionen aktivieren oder deaktivieren aktiviert werden.

3

Ausführliche Erläuterungen zur Aktivierung zusätzlicher Funktionen finden Sie in Abschnitt 3.1.2 ab Seite 136. Um ein neues Softwarepaket bereitzustellen, sind im Kontextmenü von Softwareinstallation die Optionen Neu und Paket zu verwenden. Hier sind im ersten Schritt das gewünschte Paket und anschließend die Bereitstellungsmethode zu wählen. Unterstützt werden die beiden Bereitstellungsarten Veröffentlichen und Zuweisen. Abbildung 3.25 Auswahl der Bereitstellungsmethode

Software zuweisen Software kann entweder Benutzern oder Computern zugewiesen oder veröffentlicht werden. 왘 Einem Benutzer zuweisen Wird einem Benutzer Software zugewiesen, wird die Anwendung dem Benutzer beim nächsten Anmelden des Benutzers angekündigt. Sobald ein Benutzer ein unbekanntes Dokument oder eine Anlage per Doppelklick öffnet, prüft der Windows Installer, ob eine zugewiesene Anwendung auf dem Computer des Benutzers bereitsteht, die Anwendung jedoch noch nicht installiert wurde. 왘 Einem Computer zuweisen Wird die Software einem Computer zugewiesen, findet keine Ankündigung statt. Stattdessen wird die Software automatisch installiert, wenn der Computer gestartet wird. Durch Zuweisen von Software zu einem Computer kann sichergestellt werden, dass bestimmte Anwendungen auf diesem Computer immer zur Verfügung stehen, unabhängig davon, welcher Benutzer den Computer verwendet. Domänencontroller bilden hier eine Ausnahme, diesen kann keine Software zugewiesen werden.

165

Kapitel 3 Software verwalten und installieren

Zugewiesene Software kann nicht gelöscht werden. Wenn ein Benutzer die Anwendung im Bereich Programme und Funktionen entfernt, wird die Ankündigungsoption beim nächsten Start erneut auf den Computer oder Benutzer angewendet. Nachdem eine Gruppenrichtlinie für eine neue zu verteilende Anwendung erstellt wurde, wird das Paket im Detailbereich von Softwareinstallation im Gruppenrichtlinienobjekt aufgelistet. Hier kann jederzeit der Status der betreffenden Software hinsichtlich Bereitstellungszustand, Upgrade-Typ u.a. abgefragt werden. Eine Aktualisierung des Bereitstellungsstatus erfolgt jeweils bei Bereitstellung einer neuen Software und bei Bereitstellung eines Updates oder Service Packs.

Software veröffentlichen Softwareveröffentlichung bedeutet, dass die Anwendung den Benutzern zur Installation auf ihren Computern zur Verfügung gestellt wird. Allerdings gibt es auf dem Desktop des Benutzers kein Anzeichen für die Software. Es ist keine Ankündigungsinformation vom Windows Installer über die Software auf dem Computer, weder in der Registrierung noch als Verknüpfungen auf dem Desktop oder im Startmenü, vorhanden. Die Ankündigungsattribute werden stattdessen in Active Directory gespeichert. Da Benutzer die veröffentlichte Software aktiv installieren müssen, kann Software nur für Benutzer, nicht jedoch für Computer veröffentlicht werden. Benutzer können veröffentlichte Software auf zwei Arten installieren: 왘 Mithilfe der Option Programme und Funktionen Am schnellsten können Sie diese Konsole öffnen, indem Sie im Suchfeld des Startmenüs den Befehl Appwiz.cpl eingeben. Unter Programm vom Netzwerk installieren wird eine Liste der verfügbaren Anwendungen angezeigt. Der Benutzer kann dann die gewünschte Anwendung auswählen und installieren. 왘 Mithilfe von Dateiverknüpfungen Wenn eine Anwendung in Active Directory veröffentlicht ist, sind die Dateinamenerweiterungen für die von ihr unterstützten Dokumente in Active Directory registriert. Wenn ein Benutzer auf einen unbekannten Dateityp doppelt klickt, sendet der Computer eine Abfrage an Active Directory, um zu bestimmen, ob dieser Dateinamenerweiterung Anwendungen zugeordnet sind. Wenn Active Directory eine solche veröffentlichte Anwendung findet, wird diese Anwendung installiert. Software installieren

166

Die folgende Abbildung zeigt am Beispiel der Server-Verwaltungstools im Dialogfeld Programm vom Netzwerk beziehen veröffentlichte Software.

Softwareverwaltung mit Gruppenrichtlinien Abbildung 3.26 Veröffentlichte Anwendungen im Bereich Programme

3

Nur bei der Erstellung eines neuen Pakets im Gruppenrichtlinienobjekt für die Softwarebereitstellung ist es möglich, dem Paket eine Anpassungsdatei bzw. Transformationsdatei hinzuzufügen. Erläuterungen zum Umgang mit Transformationsdateien finden Sie in Abschnitt 3.2.1 ab Seite 145. Hierfür ist ein neues Paket mit der Option Erweitert bei Auswahl der TransformationsBereitstellungsmethode zu installieren. Anschließend kann auf der Regis- datei verwenden terkarte Änderungen die gewünschte Transformationsdatei hinzugefügt werden. Transformationsdateien können nie allein angewendet bzw. im Rahmen der Softwareverteilung allein bereitgestellt werden, sondern immer nur ein bestehendes .msi-Paket ändern. Nachdem ein Softwarepaket mithilfe von Gruppenrichtlinien bereitgestellt Bereitstellungswurde, können die Eigenschaften des Pakets in dem Dialogfeld Bereitstel- optionen lung von Software geändert werden. Es kann beispielsweise bestimmt werden, dass ein zugewiesenes Softwarepaket nicht unter Programme und Funktionen angezeigt wird. Außerdem ist es möglich, die Option Anwendung deinstallieren, wenn sie außerhalb des Verwaltungsbereichs liegt zu aktivieren. In diesem Fall wird die bereitgestellte Software automatisch deinstalliert, wenn ein Benutzer oder Computer in eine Organisationseinheit oder Domäne verschoben wird, in der dieses Gruppenrichtlinienobjekt nicht mehr angewendet wird. Wie die folgende Abbildung zeigt, können auf dieser Registerkarte nicht nur die wichtigsten Bereitstellungsoptionen geändert werden, sondern nachträglich auch die Bereitstellungsart. Weiterhin ist die Festlegung der Benutzeroberflächenoptionen für die Installation möglich.

167

Kapitel 3 Software verwalten und installieren Abbildung 3.27 Konfiguration der Bereitstellungsoptionen eines Softwarepakets

Windows Installer-Pakete werden häufig mit zwei verschiedenen Installationsoberflächen geliefert. Die Auswahl der Option Einfach installiert die Software mithilfe von Standardwerten. Bei Auswahl von Maximum wird der Benutzer zur Eingabe von Werten aufgefordert.

Bereitgestellte Software verwalten Die Bereitstellung von Software ist in aller Regel kein einmaliger Vorgang, sondern zieht die regelmäßige Wartung der Anwendungen nach sich. So ist es beispielsweise notwendig, Service Packs einzuspielen und Anwendungen mittels Updates zu aktualisieren, um sicherzustellen, dass die Benutzer immer über die aktuelle Version verfügen. Die Funktion der Softwareverteilung mit Gruppenrichtlinien erlaubt deshalb nicht nur die Bereitstellung von Anwendungen, sondern auch deren Verwaltung. Die Softwareverwaltung umfasst im Wesentlichen die folgenden drei Aufgabengebiete: 왘 Aktualisierungen: Diese schließen alle Änderungen mittels Patches und Updates nach der Erstinstallation ein. 왘 Reparaturen: Hierzu gehört beispielsweise die automatische Neuinstallation gelöschter Dateien. 왘 Entfernen von Anwendungen: Das Entfernen umfasst das vollständige Löschen der Anwendungen vom Computer, wenn diese nicht länger benötigt werden. Anwendungen aktualisieren

168

Die Aktualisierung installierter Software ist eine der Hauptaufgaben im Rahmen der Anwendungsverwaltung. Nachdem ein Update, ein Service Pack oder ein Patch getestet und für eine Anwendung für die Verteilung

Softwareverwaltung mit Gruppenrichtlinien

freigegeben wurde, hängt die weitere Vorgehensweise von der vorliegenden Software ab: 왘 Software Patch oder Service Pack Patches für eine Anwendung liegen häufig in Form eines neuen .msiPakets vor. In diesem Fall genügt es, das alte Paket am Softwareverteilungspunkt durch das neue Paket zu ersetzen. Um ein bereits zugewiesenes oder veröffentlichtes Paket erneut bereitzustellen, kann im Gruppenrichtlinienobjekt-Editor im Kontextmenü des Pakets, mit dem die Software ursprünglich bereitgestellt wurde, die Option Anwendung erneut bereitstellen ausgewählt werden. Die aktualisierten Dateien werden daraufhin zu den Benutzern kopiert und, je nachdem, wie das ursprüngliche Paket bereitgestellt wurde, neu angekündigt. 왘 Wenn die Software einem Benutzer zugewiesen wurde, werden das Startmenü, die Verknüpfungen auf dem Desktop und die Registrierungseinstellungen, die sich auf diese Software beziehen, bei der nächsten Anmeldung des Benutzers aktualisiert. Wenn der Benutzer die Software das nächste Mal startet, werden das Service Pack oder der Patch automatisch angewendet. 왘 Wenn die Software einem Computer zugewiesen wurde, werden das Service Pack oder der Patch automatisch beim nächsten Starten des Computers angewendet. 왘 Wenn die Software veröffentlicht und installiert wurde, wird, wenn der Benutzer die Software das nächste Mal startet, das Service Pack oder der Patch automatisch angewendet. 왘 Update einer Anwendung Upgrades bzw. Updates von Anwendungen umfassen meist größere Änderungen, die oft auch eine erhebliche Anzahl von Dateien ändern. Hier hängt es von der verwendeten Anwendung und dem Aktualisierungspaket ab, ob die vorhandene Anwendung zuvor entfernt werden muss oder ob das neue Paket nur die notwendigen Dateien ersetzt.

3

Unabhängig davon, ob die Originalanwendung zugewiesen oder veröffentlicht wurde, stehen für eine Aktualisierung zwei Optionen zur Verfügung: 왘 Obligatorische Aktualisierung: Obligatorische Aktualisierungen ersetzen

Aktualisierungs-

eine alte Softwareversion automatisch durch eine aktualisierte Version. arten Beim nächsten Computerstart oder bei der nächsten Benutzeranmeldung wird automatisch die neue Version installiert. 왘 Optionale Aktualisierung: Bei einer optionalen Aktualisierung kann der Benutzer selbst entscheiden, ob und wann die Aktualisierung auf die neue Version durchgeführt wird. Jeder, der die Software installiert hat, kann die vorhandene Version weiter verwenden. Benutzer, welche die vorhandene Anwendung noch nicht installiert hatten, können entweder die alte oder die neue Version installieren. Um ein bereits zugewiesenes oder veröffentlichtes Paket erneut bereitzustellen, ist im Gruppenrichtlinienobjekt-Editor zunächst eine neue Gruppenrichtlinie für das Update-Paket zu erstellen und in dessen Eigenschaftendialogfeld die Registerkarte Aktualisieren zu wählen. Soll

169

Kapitel 3 Software verwalten und installieren

eine obligatorische Aktualisierung durchgeführt werden, muss die Option Vorhandene Pakete aktualisieren aktiviert werden. Andernfalls erfolgt die Aktualisierung optional. Die aktualisierten Dateien werden daraufhin zu den Benutzern kopiert und, je nachdem, wie das ursprüngliche Paket bereitgestellt wurde, neu angekündigt. Anwendungen reparieren

Zugewiesene Anwendungen verfügen quasi über eine integrierte Reparaturfunktion. Sie können vom Benutzer nicht gelöscht werden. Wenn ein Benutzer die Anwendung mithilfe der Option Software entfernt, wird die Ankündigungsoption beim nächsten Start erneut auf den Computer oder Benutzer angewendet.

Bereitgestellte Software entfernen

Gruppenrichtlinien können nicht nur zum Bereitstellen, sondern auch zum Entfernen von Software verwendet werden. Damit kann die nicht mehr benötigte Software entweder automatisch oder beim Start des Client-Computers entfernt werden oder wenn sich der Benutzer erstmals wieder anmeldet. Um eine Anwendung zu deinstallieren, muss die Softwarepaketeinstellung aus dem Gruppenrichtlinienobjekt, mit dem die Software ursprünglich bereitgestellt wurde, entfernt werden. Zur Entfernung des Pakets sind die folgenden Arbeitsschritte durchzuführen: Im Kontextmenü des gewünschten Pakets ist hierzu die Option Alle Tasks und Entfernen zu wählen. Die gewünschte Entfernungsart kann in dem daraufhin erscheinenden Dialogfeld ausgewählt werden. 왘 Erzwungene Entfernung Bei Auswahl der Option Software sofort von Benutzern und Computern deinstallieren können Benutzer die Software weder weiterhin ausführen noch installieren. Die Anwendung wird automatisch von einem Computer gelöscht, entweder beim nächsten Computerstart oder bei der nächsten Benutzeranmeldung. Die Entfernung findet statt, bevor der Desktop angezeigt wird. 왘 Optionale Entfernung Bei Auswahl der Option Benutzer dürfen die Software weiterhin verwenden, aber Neuinstallationen sind nicht zugelassen wird die Anwendung nicht von den Computern entfernt. Sie wird aber nicht mehr unter Software aufgelistet und kann nicht mehr installiert werden. Benutzer, die diese Software installiert haben, können sie weiterhin verwenden. Wenn Benutzer die Software jedoch manuell löschen, können sie diese nicht erneut installieren. Um zu erreichen, dass eine Anwendung entfernt wird, wenn ein Gruppenrichtlinienobjekt nicht länger angewendet wird (beispielsweise weil der Computer in eine andere Domäne verschoben wurde), muss in dem Eigenschaftendialogfeld der Anwendung die Option Anwendung deinstallieren, wenn sie außerhalb des Verwaltungsbereichs liegt auf der Registerkarte Bereitstellung von Software aktiviert werden (siehe Abbildung 3.27 auf Seite 168

170

Softwareverwaltung mit Gruppenrichtlinien

3.4.2

Anwendungssteuerung mit Gruppenrichtlinien

Windows 7 und Windows Server 2008 R2 bringen eine neue Funktion mit, mit deren Hilfe dediziert festgelegt werden kann, welche Anwendungen von Benutzern ausgeführt werden können. Die als AppLocker bezeichnete Funktion ermöglicht das Angeben der Benutzer oder Gruppen, die bestimmte Anwendungen ausführen können. Mithilfe von Gruppenrichtlinien kann Folgendes gesteuert werden: 왘 Welche Anwendungen darf ein Benutzer ausführen? 왘 Welcher Benutzer darf eine Software installieren? 왘 Welche Anwendungsversionen sind erlaubt? 왘 Wie sollen lizenzierte Anwendungen gesteuert werden?

3

Die AppLocker-Anwendungssteuerungsrichtlinien sind eine Weiterentwicklung der bereits seit Windows XP bzw. Windows 2004 verfügbaren Richtlinien für Softwareeinschränkungen. Allerdings kennt AppLocker mehr Optionen, und die Abstufungen sind feiner. So ermöglicht AppLocker beispielsweise die Definition eines Regelbereichs für ausgewählte Benutzer und Gruppen. AppLocker ist in allen Editionen von Windows Server 2008 R2 und in SystemvorausWindows 7 Ultimate und Windows 7 Enterprise verfügbar. Hierbei ist setzungen Folgendes zu beachten: 왘 Zum Erstellen von AppLocker-Regeln wird Windows Server 2008, Windows 7 Enterprise, Ultimate oder Professional benötigt. Außerdem müssen auf mindestens einem Computer die Gruppenrichtlinien-Verwaltungskonsole (GPMC) oder die Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) installiert sein, um die AppLocker-Regeln zu hosten. 왘 AppLocker-Regeln können auf Computern unter Windows 7 Ultimate und Enterprise, nicht jedoch unter Windows 7 Professional erzwungen werden. Auf Computern, auf denen Windows-Versionen vor Windows 7 eingesetzt werden, können ebenfalls keine AppLocker-Richtlinien erzwungen werden.

AppLocker-Regeln konfigurieren Die AppLocker-Anwendungssteuerungsrichtlinien sind im Gruppenrichtlinienobjekt in den Sicherheitseinstellungen zu finden. In Windows 7 und in Windows Server 2008 R2 sind sowohl die älteren Richtlinien für Softwareeinschränkung als auch die AppLocker-Anwendungssteuerungsrichtlinien implementiert. Allerdings kann nur eine der beiden Technologien verwendet werden, und sobald Sie AppLocker einsetzen, werden ältere Softwareeinschränkungsregeln ignoriert.

171

Kapitel 3 Software verwalten und installieren

In Active Directory-Umgebungen, in denen sowohl Softwareeinschränkungsrichtlinien als auch AppLocker-Richtlinien verwendet werden sollen, kann das Problem durch Verwendung unterschiedlicher Gruppenrichtlinienobjekte (Group Policy Object, GPO) umgangen werden. Abbildung 3.28 AppLocker-Richtlinien steuern, welche Anwendungen von Benutzern ausgeführt werden können.

Verfahrensweise

Das AppLocker-Snap-in ist in drei Bereiche unterteilt. 왘 Erste Schritte 왘 Regelerzwingung konfigurieren 왘 Übersicht Die Regelsammlung unterscheidet wiederum vier Regelarten. Die vier Regelsammlungen sind ausführbare Dateien, Skripts, Windows InstallerDateien und DLL-Dateien. Diese Sammlungen ermöglichen eine differenzierte Erstellung von Regeln für verschiedene Anwendungstypen und die Steuerung folgender Anwendungstypen: Ausführbare Dateien (EXE und COM), Skripte (JS, PS1, VBS, CMD und BAT), Windows InstallerDateien (MSI und MSP) sowie DLL-Dateien (DLL und OCX). Die DLL-Regelsammlung ist standardmäßig nicht aktiviert, da DLL-Regeln nur in seltenen Fällen, d.h. in sicherheitssensiblen Bereichen, benötigt werden. Auf der Registerkarte Erweitert muss diese gesondert aktiviert werden.

172

Softwareverwaltung mit Gruppenrichtlinien Abbildung 3.29 DLL-Regeln können erst nach gesonderter Aktivierung erstellt werden.

3

Die Erstellung einer neuen Regel wird durch einen Assistenten unterstützt. Ob eine Datei ausgeführt werden darf, kann im Dialogfeld anhand von drei Kriterien festgelegt werden, die als Regelbedingungen bezeichnet werden. Die drei primären Regelbedingungen sind Herausgeber, Pfadregel und Dateihash: 왘 Dateihash: Wenn eine Dateihash-Bedingung ausgewählt ist, berechnet das System einen kryptografischen Hash, also eine Prüfsumme für die Datei. Diese muss allerdings bei jedem Update erneuert werden. 왘 Pfadregel: Entscheidet je nach genauem Dateinamen plus Pfad, ob eine Datei ausgeführt werden kann. Kann allerdings durch Kopieren der betreffenden Datei unterlaufen werden. 왘 Herausgeber: Diese Bedingung identifiziert eine Anwendung basierend auf der digitalen Signatur und den erweiterten Attributen. Die digitale Signatur enthält Informationen zum Ersteller der Anwendung (dem Herausgeber). Die erweiterten Attribute, die von der Binärressource beibehalten werden, enthalten den Produktnamen der Anwendung und ihre Versionsnummer. Hier sind sehr feine Abstufungen möglich. So können Sie beispielsweise von einer bestimmten EXE-Datei eine Mindestversionsnummer verlangen, um etwa eine Software zwar prinzipiell zu erlauben, jedoch nicht die Ausführung veralteter Versionen mit eventuell bekannten Sicherheitslücken.

Assistent zur Regelerstellung

173

Kapitel 3 Software verwalten und installieren

Regeln testen im Audit-Modus Grundsätzlich gilt: Sobald Sie mindestens eine Regel definiert haben, werden automatisch alle Programme gesperrt, die nicht ausdrücklich von einer Regel zugelassen sind. Daher muss die AppLocker-Funktion mit sehr viel Umsicht konfiguriert werden. Hilfreich ist hierbei der Audit-Modus. Hierbei werden keine Programme eingeschränkt, aber protokolliert, wie sich Regeln auswirken würden, sobald AppLocker die Regeln erzwingt. Damit ist es möglich zu testen, ob die vorhandenen Regeln wie gewünscht funktionieren oder ob Sie weitere Regeln hinzufügen müssen, um das gewünschte Ziel zu erreichen. Audit-Modus aktivieren

Der Audit-Modus kann gesondert für die vier Regelsammlungen eingeschaltet werden. Verwenden Sie hierzu die Option Regelerzwingung konfigurieren. Die Auswahl Nur überwachen schaltet für die gewählte Regelsammlung den Audit-Modus ein.

Abbildung 3.30 Audit-Modus für die gewünschte Regelsammlung aktivieren

Wenn die Tests ergeben, dass die Regeln den Anforderungen entsprechen, kann AppLocker vom Analyse- in den Erzwingen-Modus geschaltet werden. Damit werden alle Regeln erzwungen, und nicht zugelassene Programme lassen sich beispielsweise nicht mehr starten.

174

4

Konfiguration der Benutzerschnittstellen

Wer bereits mit Windows Vista gearbeitet hat, findet bei Windows 7 eine weitgehend vertraute Benutzeroberfläche vor. Dies liegt vor allem an der mit Vista eingeführten Aero-Glas-Oberfläche, welche die Fenster in einem transparenten Modus anzeigt. Und doch gibt es auch gegenüber Windows Vista eine Reihe von Änderungen, denn bei Windows 7 rückt Microsoft die Bedienung und das effiziente Arbeiten mit dem PC stärker in den Vordergrund. So gibt es insbesondere bei der Taskleiste eine Reihe von Veränderungen gegenüber den Vorgängerversionen. Dieses Kapitel stellt mit dem Desktop, der Startleiste, der Taskleiste und dem Windows-Explorer die wichtigsten Benutzerstellen für die Arbeit mit Windows 7 vor und erläutert die Möglichkeiten, um diese an die eigenen Bedürfnisse anzupassen.

4.1

Benutzeroberfläche

Das zentrale Merkmal der Benutzeroberfläche von Windows 7 heißt „Aero“ und ist ein spezieller Grafikmodus, der die 3D-Funktionen der Grafikkarte für die Darstellung spezieller Desktopeffekte nutzt.

4.1.1

Leistungsmerkmale der Aero-Oberfläche

Die Windows-Aero-Oberfläche baut auf einer Basisoberfläche auf und ergänzt diese um die nachstehenden Funktionen: 왘 Transparenter Glaseffekt 왘 Flüssige Fensteranimationen 왘 Windows Flip/Flip-3D zum komfortablen Wechseln zwischen laufenden Anwendungen. 왘 Vorschaufenster in Taskleiste 175

Kapitel 4 Konfiguration der Benutzerschnittstellen

Selbstverständlich kann Windows 7 auch ohne Aero-Effekte verwendet werden. Darauf wird in diesem Kapitel ebenfalls eingegangen. Dabei sollte der neue Transparenzmodus nicht als Spielerei abgetan werden. Durch die transparenten Fenster kommt der Inhalt in den Vordergrund, und die Navigation wird erleichtert. Auch die Vorschaufenster in der Taskleiste, die in diesem Kapitel besprochen wird, optimieren Windows 7 deutlich in Richtung verbesserter Navigation und Übersichtlichkeit. Die nachstehende Auflistung stellt die wichtigsten der nur im Aero-Modus verfügbaren Desktopeffekte vor. AeroDesktopeffekte

왘 Windows Glas

Hinter diesem Begriff verbergen sich die Transparenzeffekte der Fensterrahmen und des Startmenüs. Aero-Glass bietet dem Benutzer Anwendungsfenster mit Schattenwurf, halbtransparenten Rahmen sowie flüssige Animationen beim Minimieren. Diese Funktion wurde bereits mit Windows Vista eingeführt. 왘 Aero Peek

Aero Peek ist eine neue Funktion in Windows 7, die alle geöffneten Fenster ausblendet und nur deren Rahmen anzeigt und damit den Blick auf den Desktop freigibt. Der kleine Balken ganz rechts in der Taskleiste aktiviert Aero Peek. Alternativ kann die Tastenkombination (Ä)+(Leertaste) verwendet werden. Alle Fenster werden durchsichtig, solange Sie die (Ä)-Taste gedrückt halten. 왘 Flip und Flip-3D

Halten Sie die (Alt)-Taste fest, und drücken Sie dann (ÿ), zeigt Windows in der Bildmitte ein Vorschaufenster aller geöffneten Fenster. Jeder Druck der (ÿ)-Taste schaltet ein Fenster vorwärts. Auf dem Desktop ist nur das jeweils gewählte Fenster sichtbar, alle anderen werden mit Aero Peek in den Umrissmodus geschaltet. Lassen Sie die (Alt)-Taste los, schaltet Windows zum aktuell markierten Fenster um. Ohne Aero funktioniert diese Tastenkombination ebenfalls, zeigt dann aber weder Vorschaugrafiken noch Umrissmodus. Diese Funktion wurde bereits mit Windows Vista eingeführt.

Abbildung 4.1 Umschalten zwischen Anwendungen mithilfe von Aero-Flip

Mit Flip-3D werden geöffnete Fenster in einem Stapel angezeigt. Oben auf dem Stapel sehen Sie ein geöffnetes Fenster. Zum Anzeigen weiterer Fenster blättern Sie einfach durch den Stapel. Sie können Flip-3D öffnen, indem Sie (Ä)+(ÿ) drücken. Sie können dann (ÿ) drücken, um durch die Fenster zu blättern. Zum Schließen von Flip-3D drücken Sie (Esc). Diese Funktion wurde mit Windows Vista eingeführt.

176

Benutzeroberfläche Abbildung 4.2 Umschalten zwischen Anwendungen mithilfe von Aero-Flip-3D

4 왘 Superbar-Vorschau

Wird der Mauszeiger über einem Anwendungssymbol in der Taskleiste platziert und wird diese Anwendung gerade ausgeführt, blendet Windows eine Vorschau des Fensterinhalts ein. Bei mehreren laufenden Instanzen reiht Windows die einzelnen Fensterinhalte nebeneinander auf. Wird dann der Mauszeiger über eine Vorschaugrafik platziert, werden alle übrigen Fenster mit Aero Peek in den Umrissmodus geschaltet. Ein Klick auf eine Vorschau springt zu diesem Fenster. Diese Funktion wurde in Windows 7 gegenüber Windows Vista nochmals erweitert. 왘 Animationen

Beim Minimieren, Maximieren und Schließen von Fenstern zeigt Windows eine kleine Animation und lässt das Fenster sanft in sein Symbol in der Taskleiste fliegen. Diese Funktion wurde mit Windows Vista eingeführt. 왘 Windows Desktop Manager

Aero verwaltet alle Fensterinhalte in eigenen Bildschirmspeichern und ermöglicht eine stabilere Darstellungsqualität. Reagiert ein Programm nicht oder nur langsam, übernimmt versucht Aero, den Fensterinhalt mit dem letzten vom Programm gelieferten Inhalt zu aktualisieren. Reagiert ein Programm überhaupt nicht mehr, blendet Windows den Fensterinhalt ab und zeigt darin das zuletzt empfangene Bild des Programms. Außerdem erscheint ein Dialogfeld, das anbietet, das Fenster zu schließen oder online nach einer Problemlösung zu suchen. Diese Funktion wurde mit Windows Vista eingeführt. Mit Windows 7 führt Microsoft außerdem einige Neuerungen ein, die das Interessante Neuerungen bei Arbeiten mit Fenstern deutlich erleichtern. Windows 7 왘 Um ein Fenster zu maximieren, genügt es, den Fensterrahmen zum oberen Bildschirmrand zu ziehen. Um die ursprüngliche Größe wiederherzustellen, müssen Sie umgekehrt das Fenster vom oberen Bildschirmrand wegziehen. Wird das Fenster an den unteren Fensterrahmen gezogen, wird es vertikal erweitert.

177

Kapitel 4 Konfiguration der Benutzerschnittstellen 왘 Um alle geöffneten Fenster gleichzeitig zu minimieren, genügt ein

Klick auf die Schaltfläche in der rechten unteren Ecke der Startleiste. Alternativ können Sie durch Schütteln eines Fensters mit der Maus alle Fenster mit Ausnahme des aktuellen Fensters minimieren. 왘 Um die Inhalte zweier Fenster zu vergleichen, können Sie ein Fenster zu einer Seite des Bildschirms und das andere Fenster zur gegenüberliegenden Seite des Bildschirms ziehen. Die Größe der Fenster wird so angepasst, dass ein Fenster jeweils die Hälfte des Bildschirms einnimmt.

4.1.2

Anpassung des Desktops

In diesem Abschnitt erfahren Sie nicht nur, wie Sie die neuen visuellen Möglichkeiten von Windows 7 nutzen können, sondern auch, welche Maßnahmen bei der Behebung von Problemen mit dem Aero-Modus helfen.

Desktop-Eigenschaften konfigurieren Die Optionen der Oberfläche von Windows 7 lassen sich sehr detailliert anpassen. Wenn Sie mit der rechten Maustaste auf den Desktop klicken, können Sie über den Kontextmenübefehl Anpassen das nachstehend gezeigte Dialogfeld anzeigen: Abbildung 4.3 Windows 7 liefert eine Reihe von Standarddesigns mit und ohne Aero-Effekte.

178

Benutzeroberfläche

In dem in Abbildung 4.3 gezeigten Dialogfeld kann entweder ein vorkonfiguriertes Designpaket gewählt oder ein Design individuell zusammengestellt werden. Aktivieren Sie ein Designpaket, ändern sich damit der Bildschirmhintergrund, die Windows-Klänge, der Bildschirmschoner, der Mauszeiger, die Desktopsymbole und die Fensterfarben abhängig davon, welche Einstellungen das Designpaket enthält Soll der Aero-Modus verwendet werden, muss ein Design aus der Kategorie Aero-Design aktiviert werden. Bei Auswahl eines Designs aus der Kategorie Basisdesigns wird Aero nicht verwendet.

Fehlerbehebung bei Aero

4

Fehlt die Gruppe Aero-Designs in der Designauswahl, hat Windows 7 festgestellt, dass der Aero-Grafikmodus nicht zur Verfügung steht. Aero wird nur dann angeboten, wenn der PC die Voraussetzungen erfüllt. Eine wesentliche Bedeutung kommt dabei der verwendeten Grafikkarte zu. Für die Nutzung von Aero muss der Rechner das Windows Display Driver Model (WDDM) unterstützen und mit einer Aero-fähigen Grafikkarte bestückt sein. Außerdem muss die Grafik-CPU über mindestens 128 MB Arbeitsspeicher verfügen. Wenn Sie den Monitor mit einer Auflösung von 1.024 x 768 Bildpunkten betreiben, sollte die Grafikkarte über 128 MB RAM verfügen. Zusätzlich muss ein WDDM-Treiber installiert sein. Bei dieser Art von Treiber laufen große Teile im Benutzermodus, nicht im Kernel des Betriebssystems. Durch diese neue Technik ist sichergestellt, dass Abstürze aufgrund des Grafiktreibers vermieden werden. Wenn der PC diesen Voraussetzungen nicht entspricht, wird zwar trotzdem die neue Oberfläche angezeigt, allerdings ohne die Transparenzeffekte. Der Treiber der Grafikkarte muss Aero ebenfalls unterstützen. Die Voraussetzungen für die Aero-Darstellung sind zusammengefasst folgende: 왘 Die Grafikkarte muss mindestens DirectX 9 unterstützen. 왘 Es muss ein aktueller Grafikkartentreiber für Windows 7 installiert sein. Damit wirklich alle Aero-Effekte funktionieren, ist es wichtig, einen aktuellen Treiber Ihrer Grafikkarte, der 7-tauglich ist, zu installieren. 왘 Die Grafikkarte muss Pixel Shader 2.0 unterstützen. Pixel Shader sind kleine Programme, die von 3D-Grafikkarten zum Rendern verwendet werden, um die einzelnen Pixel so anzuzeigen, dass komplexe Grafiken dargestellt werden können. Oft werden die Chips auf den Grafikkarten, die für das Rendern zuständig sind, selbst als Pixel Shader bezeichnet. Grafikkarten, die diesen Modus unterstützen, sind zum Beispiel ATI Radeon 9500–9800, X300–X600 oder die GeForce-FX-Serie von NVIDIA. Ältere Karten unterstützen meistens Pixel Shader 1.0, die aktuellsten Grafikkarten bereits 3.0 (Radeon X1x-Serie, GeForce 6, GeForce 7) oder 4.0 (Radeon X2x, GeForce 8). 왘 Die Grafikkarte muss über 128 MB RAM verfügen. Bei einer Bildschirmauflösung von 1.600 x 1.200 Bildpunkten sind 256 MB angebracht.

179

Kapitel 4 Konfiguration der Benutzerschnittstellen 왘 Zusätzlich muss ein WDDM-Treiber installiert sein. Um auch Grafik-

karten ohne WDDM einsetzen zu können, verwendet Windows 7 automatisch einen anderen Grafikmodus bzw. ein Basisdesign ohne Aero-Funktionen. In diesem Modus wird die Oberfläche von der CPU statt von der Grafikkarte erzeugt. Unter Wartungscenter/Leistungsinformationen und -tools/Detaillierte Leistungs- und Systeminformationen anzeigen und drucken können Sie erkennen, ob Ihre Grafikkarte DirectX 9 unterstützt. Treiberprobleme

Falls ein Treiber Probleme bereitet, sollte dieser gegen eine aktuellere Version ausgetauscht werden. Die Effekte und auch die Geschwindigkeit des PC werden am besten mit einem Treiber direkt vom Hersteller unterstützt, da diese deutlich besser an die Karten angepasst sind als die Treiber von Microsoft. Sie sollten daher immer einen aktuellen Treiber von der Herstellerseite laden, auch wenn Ihrer Grafikkarte ein passender Treiber von Windows 7 zugewiesen wird. Ist für ein Gerät weder ein Windows 7- noch ein Windows Vista-Treiber zu erhalten, können Sie versuchen, den Windows XP-Treiber zu verwenden. Windows 7 unterstützt im Kompatibilitätsmodus auch einige XP-Treiber. Ausführliche Hinweise zur Behandlung von Treiberproblemen finden Sie in Kapitel 2. Wenn trotz aller Voraussetzungen die Oberfläche nicht mit den Aero-Effekten angezeigt wird, kann der Problemlösungs-Assistent für Aero Hilfestellung bieten. Um diesen zu starten, klicken Sie in der Systemsteuerung unterhalb der Kategorie System und Sicherheit auf den Link Probleme erkennen und beheben und anschließend unter Darstellung und Anpassung auf den Link Aero-Desktopeffekte anzeigen.

Abbildung 4.4 Der Aero-Problemlösungs-Assistent kann bei Problemen mit Aero helfen.

180

Benutzeroberfläche

Manche ältere Programme sind nicht mit Aero kompatibel. Wird ein solches Programm gestartet, deaktiviert Windows unter Umständen Aero. Nachdem ein inkompatibles Programm wieder beendet wurde, sollte Aero wieder angezeigt werden. Falls dies nicht der Fall ist, stellen Sie in den Anzeigeeinstellungen sicher, dass das Aero-Design und die Transparenz im Menü Fensterfarbe und -darstellung des Desktops aktiviert sind.

Konfiguration eigener Designs Dieser Abschnitt geht näher auf die Konfiguration der integrierten Designpakete in Windows 7 ein. Sie werden über das bereits erwähnte Fenster zur Konfiguration der Oberfläche angesteuert.

4

Einzeln können hier die folgenden Komponenten angepasst werden: 왘 Fensterfarbe- und -darstellung 왘 Desktophintergrund 왘 Sounds 왘 Bildschirmschoner

Fensterfarbe Für das Aussehen der Oberfläche sind die beiden Funktionen Desktophintergrund und Fensterfarbe zuständig. Sie können einstellen, welche Farben die Fenster haben sollen, ob diese transparent sein sollen, und eigene Farbmischungen kreieren. Auch die detaillierte Transparenz der Fenster kann an dieser Stelle angepasst werden. Alle Einstellungen, die Sie an dieser Stelle vornehmen, werden sofort angewendet. Abbildung 4.5 Auswahl der Fensterfarbe für ein Aero-Design

181

Kapitel 4 Konfiguration der Benutzerschnittstellen

Wenn Sie das Kontrollkästchen Transparenz aktivieren abschalten, werden die Fensterrahmen nicht mehr transparent angezeigt. Windows entfernt selbst das Häkchen, wenn die Hardware des PC keine Transparenz unterstützt. Wenn Sie das Häkchen selbst wieder manuell setzen, wird zwar kurzzeitig unter Umständen die Transparenz aktiviert, diese jedoch von Windows 7 anschließend selbstständig wieder deaktiviert, um die Stabilität des Systems nicht zu gefährden. Das in Abbildung 4.5 gezeigte Dialogfeld wird nur dargestellt, wenn Sie ein Windows Aero-Design aktivieren. Bei der Auswahl eines der Basisdesigns erscheint das von den Vorgängerversionen bekannte Dialogfeld Fensterfarbe und -darstellung. Abbildung 4.6 Konfiguration der Desktopeinstellungen für ein Basisdesign

Desktophintergrund Auch auf Unternehmens-PCs spielt die Auswahl eines Hintergrundbildes eine wichtige Rolle; sei es für PCs auf Messen oder Veranstaltungen, aber auch auf den Arbeitsstationen der Mitarbeiter. Die Arbeit mit einem schönen Hintergrundbild ist auch für Profis wesentlich angenehmer, als nur auf einen eintönigen Bildschirm zu sehen, wenn man zwischen Anwendungen wechselt. Mithilfe der Option Desktophintergrund im Anpassungsfenster können Sie einstellen, welches Hintergrundbild verwendet werden soll. Dazu stehen Ihnen verschiedene hochauflösende Bilder zur Verfügung. Sie können den Desktop aber auch einfarbig gestalten und die Farbe an dieser Stelle auswählen. Windows 7 ist mit einer ganzen Reihe von Beispielbildern ausgestattet. Weitere Bilder für Windows 7 finden Sie zum Beispiel auf der Internetseite des offiziellen Fotografen der Hintergrundbilder für Windows Vista: www.hamaddarwish.com. Außerdem können natürlich auch eigene Bilder verwendet werden.

182

Benutzeroberfläche

Wenn Sie die Bilddateien in Ihr Windows-Profil kopiert haben, finden Sie dieses im Ordner C:\Benutzer\ bzw. in der Bibliothek Bilder. Nähere Informationen zur Anwendung von Bibliotheken finden Sie im Abschnitt 4.4.4 ab Seite 213. Wenn Sie die Beispielbilder von Windows verwenden wollen, finden Sie diese im Verzeichnis C:\Benutzer\Öffentlich\Öffentliche Bilder\Beispielbilder. Wie bereits bei den Vorgängerversionen kann die Bildposition angepasst und das Bild beispielsweise zentriert werden. Bei einem zentrierten Hintergrundbild wird dieses in seiner originalen Auflösung dargestellt. Wenn Sie den Monitor in einer höheren Auflösung betreiben, erscheint um das Bild ein Rahmen, da nicht der gesamte Desktop ausgefüllt wird. Hat das Bild eine höhere Auflösung als Ihr PC, wird das Bild nicht komplett dargestellt. Sie können das Bild strecken lassen, damit es sich auf den kompletten Desktop ausstreckt.

4

Abbildung 4.7 Auswählen des Desktophintergrunds in Windows 7

Vielen Anwendern ist es zu eintönig, immer das gleiche Hintergrundbild Regelmäßiger zu verwenden, aber auch zu aufwendig, jedes Mal das Bild über das Menü Wechsel des in Windows zu wechseln. Auch in Unternehmen kann es durchaus sinnvoll Hintergrunds sein, Benutzern das Wechseln von Hintergrundbildern zu erlauben. Mithilfe der Option Bild ändern alle xxx Minuten kann festgelegt werden, wie häufig der Desktophintergrund gewechselt werden soll.

183

Kapitel 4 Konfiguration der Benutzerschnittstellen

Sound Windows kann Ereignisse mit Klängen untermalen, wofür natürlich eine Soundkarte und Lautsprecher erforderlich sind. Ein Ereignis kann eine vom Benutzer ausgeführte Aktion sein, beispielsweise das Anmelden beim Computer oder eine vom Computer ausgeführte Aktion, beispielsweise um auf den Eingang einer neuer E-Mail hinzuweisen. Windows enthält verschiedene Soundschemas (Sammlungen verwandter Sounds) für allgemeine Ereignisse. Ein Klick auf Sounds öffnet die Klangzentrale, in der Sie ein anderes Soundschema wählen oder ein vorhandenes Soundshema ändern können. Welche Klänge ein Soundschema tatsächlich enthält, sehen Sie in der Liste darunter. Klicken Sie auf ein Ereignis, kann der zugewiesene Klang mit der Schaltfläche Testen angespielt werden. Abbildung 4.8 Konfiguration der Windows-Systemklänge

Bildschirmschoner Zwar schonen Bildschirmschoner schon lange keine Bildschirme mehr, trotzdem kann die Verwendung eines Bildschirmschoners sinnvoll sein. Weil Bildschirmschoner automatisch aktiv werden, wenn der Computer eine Zeit lang nicht benutzt wird, erhöhen sie die Sicherheit, sofern sie mit einem Kennwortschutz versehen sind. Das Bildschirmschonerkennwort ist identisch mit dem Kennwort, das für die Anmeldung bei Windows verwendet wird. Um einen Bildschirmschoner zu aktivieren, klicken Sie in dem in Abbildung 4.9 gezeigten Dialogfeld in der Liste Bildschirmschoner auf eine Option und klicken auf OK. Aktivieren Sie dann die Option Anmeldeseite bei Reaktivierung, und legen Sie fest, nach wie vielen Minuten der Bildschirmschoner gestartet werden soll. Die Wartezeit sollte nicht zu lang sein, sodass nicht autorisierte Personen keine Gelegenheit haben, auf Ihren Computer zuzugreifen. Gleichzeitig sollten Sie aber auch keine zu kurze Wartezeit wählen, damit der Bildschirmschoner den Computer nicht sofort sperrt, wenn er nur für einen Moment nicht verwendet wird.

184

Benutzeroberfläche Abbildung 4.9 Auswahl und Konfiguration eines Bildschirmschoners

4

Minianwendungen Abschließend lohnt noch ein Blick auf die integrierten Minianwendungen. In Windows 7 sind bereits einige Minianwendungen (sogenannte Gadgets) enthalten, die das Wetter, aktuelle Börsenkurse aus dem Internet oder RSS-Feeds von Nachrichtenseiten anzeigen. Alle Minianwendungen dienen immer nur einem ganz bestimmten Zweck. Der Anwender kann daher sehr präzise entscheiden, welche Applikationen er angezeigt bekommen will und welche nicht. Alle verfügbaren Minianwendungen werden in der Minianwendungsgalerie aufgelistet und können hier per Doppelklick dem Desktop hinzugefügt werden. Abbildung 4.10 Minianwendungsgalerie

185

Kapitel 4 Konfiguration der Benutzerschnittstellen

Die Windows-Sidebar ist in Windows 7 nicht mehr enthalten. Stattdessen können nun die Minianwendungen auf dem Desktop beliebig positioniert werden.

4.1.3

Konfiguration der Anzeige und des Bildschirms

Hinter der Option Anzeige im Anpassungsfenster des Desktops verbirgt sich eine Reihe von Funktionen zur Anpassung der Anzeige und zur Verbesserung der Lesbarkeit auf dem Bildschirm. So können Sie hier beispielsweise die Auflösung des Bildschirms sowie die Unterstützung für mehrere Bildschirme konfigurieren. Abbildung 4.11 Das Dialogfeld Anzeige bietet eine Reihe wichtiger Funktionen zur Konfiguration der Bildschirmeinstellungen.

Anzeigeeinstellungen und Auflösung Wenn Sie an Ihrem Desktop-PC zusätzlich einen weiteren Monitor anschließen, zum Beispiel am DVI-Eingang, können Sie den Desktop auf einen zusätzlichen Monitor erweitern. Auch Notebook-Anwender können diese Funktion nutzen. So können Sie zum Beispiel auf dem zweiten Bildschirm Outlook öffnen und auf dem ersten Monitor beispielsweise mit Microsoft Word arbeiten. Durch einen zusätzlichen Monitor erreichen viele Anwender eine optimale und effiziente Arbeitsumgebung. So eignen sich zwei 19-Zoll-Monitore deutlich besser zum Arbeiten als ein einzelner 21- oder 22-Zoll-Monitor. Sie können in dem in Abbildung 4.12 gezeigten Dialogfeld durch einfache Bewegung mit der Maus zwischen den Bildschirmen hin und her wechseln und beispielsweise mittels Drag&Drop die Reihenfolge der Monitore bestimmen sowie für jeden angeschlossenen Monitor eine eigene Auflösung wählen.

186

Benutzeroberfläche Abbildung 4.12 Konfiguration der Anzeige von Windows 7 mit mehreren Monitoren

4

Wenn Sie die Schaltfläche Identifizieren anklicken, wird auf jedem Bildschirm die Nummer angezeigt, die Windows diesem zugewiesen hat. Über den Link Erweiterte Einstellungen können Sie darüber hinaus tiefer gehende Systemeinstellungen vornehmen (siehe Abbildung 4.13). Abbildung 4.13 Erweiterte Einstellungen für die Anzeige

Sie erkennen an dieser Stelle die Ausstattung der Grafikkarte und können über die Schaltfläche Eigenschaften die Konfiguration des aktiven Treibers der Grafikkarte konfigurieren. Auf der Registerkarte Treiber wird die Version des aktuellen Treibers angezeigt. Über die Schaltfläche Treiber aktualisieren können Sie einen neuen Treiber für Ihre Grafikkarte installieren.

187

Kapitel 4 Konfiguration der Benutzerschnittstellen

Wenn nach der Installation eines Grafikkartentreibers Probleme auftreten, sollten Sie die Option Vorheriger Treiber verwenden. Dadurch wird der letzte Treiber aktiviert, mit dem das Gerät funktioniert hat. Dieses Vorgehen funktioniert übrigens nicht nur bei Grafikkarten, sondern auch für alle anderen Geräte. Auf der Registerkarte Monitor in den erweiterten Einstellungen der Anzeige wird Ihnen die Bildwiederholrate des Monitors angezeigt. Wenn Sie einen TFT-Monitor verwenden, sind 60 Hertz in der Regel in Ordnung. Beim Einsatz eines herkömmlichen Röhrenmonitors sollten hier aber mindestens 75 Hertz eingestellt sein, besser mehr, da ansonsten viele Anwender bei ihrem Monitor ein Flimmern feststellen. Abbildung 4.14 Eigenschaften des Monitors in den erweiterten Einstellungen

In dem in der Abbildung 4.14 gezeigten Dialogfeld versteckt sich auch die Option Farbtiefe. Achten Sie auch darauf, in den Anzeigeeinstellungen eine 32-Bit-Farbtiefe zu aktivieren, ansonsten werden die Aero-Effekte nicht immer angezeigt.

Desktopsymbole und Schriftgrad ändern Viele Anwender wollen nicht die großen Symbole auf dem Desktop nutzen, die in Windows 7 standardmäßig eingestellt sind. Im Dialogfeld Anzeige kann die Größe der Systemschriften und die der grafischen Elemente allgemeingültig angepasst werden. Dazu verringern Sie die Skalierung für DPI (Dots Per Inch). Je größer die Anzahl der Punkte pro Zoll, desto höher ist die Auflösung. Soll nur die Größe der Symbole auf dem Desktop angepasst werden, ist jedoch eine andere Funktion vorzuziehen. Indem Sie mit der rechten Maustaste auf den Desktop klicken und im daraufhin geöffneten Kontextmenü einen geeigneten Eintrag im Untermenü Ansicht auswählen, kann die Symbolgröße jederzeit einfach geändert werden.

188

Benutzeroberfläche

Noch schneller kann die Größe der Desktop-Symbole mit der Maus angepasst werden. Klicken Sie dazu mit der linken Maustaste auf den Desktop, und halten Sie dann die (Strg)-Taste gedrückt. Mit dem Scrollrad der Maus lässt sich die Größe der Symbole jetzt stufenlos anpassen. Dieser Trick funktioniert auch in so gut wie allen anderen Fenstern in Windows 7, auch innerhalb von Ordnern. Sie können die Symbole für jedes beliebige Programm auf dem Desktop ändern, wenn Sie auf die Schaltfläche Anderes Symbol in den Eigenschaften der Verknüpfung klicken. Die Verknüpfungen der Programme sind die Symbole auf dem Desktop. Wenn Sie ein solches Symbol auf dem Desktop mit der rechten Maustaste anklicken, können Sie über das Kontextmenü die Eigenschaften öffnen. Die meisten Windows 7-Symbole stehen Ihnen zur Verfügung, wenn Sie zur Symbolauswahl die Schaltfläche Durchsuchen anklicken und anschließend die Datei C:\Windows\System32\imageres.dll auswählen.

4

Vor allem Anwender mit Monitoren und Grafikkarten, die hohe Auflösun- Systemschriftart gen unterstützen, stören bei diesen Auflösungen oft die kleinen Schriftar- vergrößern ten auf dem Desktop. Die Größe der Schriften kann ebenfalls im Dialogfeld Anzeige angepasst werden. Dazu lassen sich vordefinierte Werte verwenden oder benutzerdefinierte Einstellungen vornehmen. Abbildung 4.15 Festlegung einer benutzerdefinierten Textgröße

ClearType und Antialiasing Die Option ClearType-Text anpassen im Anzeige-Dialogfeld startet einen Assistenten zur Konfiguration der Kantenglättung durch ClearType. Dahinter verbirgt sich das eigenständige Programm ClearType-Tuner, das auch mithilfe des Befehls cttune.exe gestartet werden kann. ClearType dient dazu, Computerschriftarten klar und mit geglätteten ClearType Kanten anzuzeigen. Bildschirmtext kann mithilfe von ClearType detaillierter dargestellt werden und ist daher über einen längeren Zeitraum besser zu lesen, da die Augen nicht belastet werden. Jedes Pixel in einer Schriftart besteht aus drei Teilen: Rot, Blau und Grün. ClearType verbessert die Auflösung, indem die einzelnen Farben im Pixel aktiviert und deaktiviert werden. Ohne ClearType muss das gesamte Pixel aktiviert oder deaktiviert werden. Durch diese genauere Steuerung der Rot-, Blau-

189

Kapitel 4 Konfiguration der Benutzerschnittstellen

und Grünanteile eines Pixels kann die Deutlichkeit auf einem LCD-Monitor deutlich verbessert werden. ClearType nutzt die Besonderheit der LCD-Technologie, bei der sich Pixel an einer festen Position befinden, indem Teile des Pixels aktiviert und deaktiviert werden. Daher funktioniert ClearType auf einem CRT-Monitor nicht auf die gleiche Weise, da in einem CRT-Monitor ein Elektronenstrahl verwendet wird, um Pixel anzuregen oder zu bewegen, anstatt die Pixel an festen Positionen zu belassen. Dennoch kann der Einsatz von ClearType die Deutlichkeit auf CRT-Monitoren verbessern, da die gezackten Kanten der einzelnen Buchstaben durch ClearType geglättet werden. Dies wird als Antialiasing bezeichnet. ClearType ist in Windows 7 standardmäßig aktiviert. Wird ClearType ausgeschaltet, verwendet Windows die klassische Schriftenglättung. Der in Windows 7 integrierte ClearType-Tuner ermöglicht es, die Schriftenglättung auf die vorhandene Hardware und Ihr persönliches Empfinden abzustimmen. Dazu stellt der Tuner zuerst die optimale Bildschirmauflösung ein und stellt dann verschiedene Textbeispiele zur Auswahl. Durch das Feedback kann ClearType erkennen, welche Geometrie die Hardware verwendet, und die Schriftenglättung optimal abstimmen. Abbildung 4.16 Ein Assistent hilft, die optimale ClearType-Einstellung zu finden.

Vor allem die Schriftarten Constantia, Cambria, Corbel, Candara, Calibri und Consolas werden mit ClearType optimal dargestellt.

190

Startmenü

4.2

Startmenü

Zu den wichtigsten Benutzerschnittstellen unter Windows 7 zählt sicherlich das Startmenü. So sind beispielsweise alle installierten Programme im Startmenü zu finden. Sie können durch die Programme navigieren bzw. ein Programm starten, indem Sie mit der Maus auf die Verknüpfung klicken, es ist kein Doppelklick notwendig. Bei den am häufigsten benötigten Programmen, die wie bisher in einer kurzen Übersicht angezeigt werden, sind unter Windows 7 nun oft verwendete Funktionen oder zuletzt geöffnete Dateien mit einem Klick auf einen kleinen Pfeil am jeweiligen Eintrag zugänglich.

4

Das Startmenü besteht aus fünf Bereichen, die einzeln anpassbar sind: 왘 Programmbereich mit den zuletzt verwendeten Programmen 왘 Alle Programme – ermöglicht Zugriff auf alle installierten Anwendungen 왘 Suchfeld für die Volltextsuche 왘 Systembereich – ermöglicht Zugriff auf die wichtigsten WindowsFunktionen 왘 Ausschaltoptionen Abbildung 4.17 Das Startmenü in Windows 7

Wenn Sie auf das Benutzersymbol klicken, kommen Sie direkt zur Einstellung der Benutzerkonten in der Systemsteuerung. Jeder Bereich des Startmenüs bietet ein eigenes Kontextmenü an, das alle spezifischen Funktionen für den gewählten Bereich bereitstellt.

191

Kapitel 4 Konfiguration der Benutzerschnittstellen

Wenn Sie es zum Beispiel gewohnt sind, die Option Arbeitsplatz zum Erreichen der Systemeigenschaften zu verwenden, können Sie hierfür den Menübefehl Computer, der unter Windows 7 dem Arbeitsplatz von Windows XP entspricht, verwenden. Im Kontextmenü von Computer in der Startleiste finden Sie alle Optionen, die Sie bisher auch über Arbeitsplatz erreichen konnten. Abbildung 4.18 Kontextmenü einzelner Bereiche im Startmenü

Anwender früherer Windows-Versionen werden möglicherweise die Schnellstartleiste für den schnellen Zugriff auf ausgewählte Anwendungen vermissen. Diese existiert unter Windows 7 nicht mehr. Stattdessen können Anwendungen auf der Taskleiste verankert werden. Öffnen Sie beispielsweise das Kontextmenü eines Anwendungssymbols im Startmenü, haben Sie die Möglichkeit, das Programm an die Taskleiste anzuheften. Wählen Sie in diesem Fall im Kontextmenü den Eintrag An Taskleiste anheften aus (siehe Abbildung 4.19). Abbildung 4.19 Kontextmenü einzelner Bereiche im Startmenü

4.2.1

Ausschaltoptionen

Zu den wichtigsten Bereichen des Startmenüs gehört sicherlich das Menü Herunterfahren. Abbildung 4.20 Die Ausschaltoptionen in Windows 7

192

Startmenü

Hier stehen die folgenden Möglichkeiten zur Verfügung: 왘 Benutzer wechseln – Bei der Auswahl dieses Befehls bleibt die derzeitige Sitzung ganz normal aktiv, es erscheint aber ein weiteres Fenster zur Benutzeranmeldung. An dieser Stelle kann sich jetzt ein weiterer Anwender am PC anmelden. Der neue Anwender verwendet seine eigene Sitzung, und es kann jederzeit wieder zur anderen Sitzung gewechselt werden, da diese nicht abgemeldet wurde. 왘 Abmelden – Mit diesem Befehl wird der derzeitige Benutzer vom PC abgemeldet, und es erscheint ein Anmeldefenster, über das sich ein Benutzer anmelden kann, um mit dem PC zu arbeiten. Diese Option ist sinnvoll, wenn sich mehrere Anwender einen PC teilen. 왘 Sperren – Dieser Befehl sperrt den Computer. In diesem Fall bleibt der derzeitig angemeldete Benutzer weiterhin angemeldet, alle Programme bleiben gestartet, aber man kann erst wieder arbeiten, wenn das Kennwort des Anwenders eingegeben oder der PC neu gestartet wird. Sie können den PC auch über die Tastenkombination (Ä)+(L) sperren. 왘 Neu starten – Nach Auswahl dieses Befehls wird der PC neu gestartet. Der Benutzer wird also abgemeldet, der PC fährt herunter und startet kurz darauf automatisch wieder neu. 왘 Energie sparen – Mit dieser Option wird der Rechner in den Energiesparmodus versetzt. Der PC ist dabei allerdings nicht vollkommen ausgeschaltet, der Arbeitsspeicher wird noch mit Strom versorgt. Beim Starten des PC muss nicht erst neu gebootet werden, sondern der Zustand beim Beenden wird sehr schnell wiederhergestellt. Es kommt keine Zwischenfrage mehr, sondern die Aktion wird sofort durchgeführt. 왘 Ruhezustand – Bei Auswahl dieses Befehls wird der Inhalt des Arbeitsspeichers auf die Festplatte gespeichert und der PC ausgeschaltet. Im Gegensatz zum Energiesparmodus wird der PC tatsächlich komplett ausgeschaltet. Aus dem Ruhezustand wird der PC schneller wieder zum aktuellen Stand beim Speichern zurückgeführt als bei einem Neustart. 왘 Herunterfahren – Beim Auswählen dieser Option wird der PC heruntergefahren und bei aktueller Hardware auch automatisch ausgeschaltet. Bei aktuellen PCs und Notebooks fährt der Rechner auch herunter, wenn Sie einmal auf den Ausschaltknopf drücken. Wenn Sie den Knopf länger gedrückt halten, wird der PC ausgeschaltet, ohne Windows herunterzufahren. Sie sollten den PC aber nur ausnahmsweise auf diese Weise ausschalten, wenn er nicht mehr reagiert.

4

Die standardmäßig vorhandene Schaltfläche Herunterfahren kann gegen eine andere Funktion ersetzt werden. In den Eigenschaften von Startmenü ist es möglich, die Standardaktion für Beenden beispielsweise auf Energie sparen oder Sperren zu ändern.

193

Kapitel 4 Konfiguration der Benutzerschnittstellen Alternative: Shutdown.exe

Zum Herunterfahren und Neustarten können Sie auch den Befehl shutdown.exe verwenden. Die wichtigsten Optionen des Shutdown-Befehls sind: 왘 /i – Zeigt eine grafische Benutzeroberfläche an. Dies muss die erste Option sein. 왘 /l – Meldet den aktuellen Benutzer ab. Diese Option kann nicht zusammen mit den Optionen /m oder /d verwendet werden. 왘 /s – Fährt den Computer herunter. 왘 /r – Fährt den Computer herunter und startet ihn neu. 왘 /a – Bricht das Herunterfahren des Systems ab. 왘 /p – Schaltet den lokalen Computer ohne Zeitlimitwarnung aus. Kann mit den Optionen /d und /f verwendet werden. 왘 /h – Versetzt den lokalen Computer in den Ruhezustand. 왘 /m \\ – Legt den Zielcomputer fest. 왘 /t xxx – Stellt die Zeit vor dem Herunterfahren auf xxx Sekunden ein. Der gültige Bereich ist von 0 bis 600, der Standardwert ist 30. Die Verwendung von /t setzt voraus, dass die Option /f verwendet wird. 왘 /c "Kommentar" – Kommentar bezüglich des Neustarts bzw. Herunterfahrens. Es sind maximal 512 Zeichen zulässig. 왘 /f – Erzwingt das Schließen ausgeführter Anwendungen ohne Vorwarnung der Benutzer. /f wird automatisch angegeben, wenn die Option /t verwendet wird. 왘 /d [p|u:]xx:yy – Gibt die Ursache für den Neustart oder das Herunterfahren an. p gibt an, dass der Neustart oder das Herunterfahren geplant ist. u gibt an, dass die Ursache vom Benutzer definiert ist. Wenn weder p noch u angegeben ist, ist das Neustarten oder Herunterfahren nicht geplant. Der Shutdown-Befehl kann auch zum Herunterfahren bzw. dem Neustart von Remotecomputern verwendet werden.

Beispiele

Wenn Sie den Befehl shutdown –r –f –t 0 eingeben, fährt der PC sofort herunter. Die Option –f zwingt den PC zum Beenden der laufenden Anwendungen, auch wenn nicht gespeichert wurde. Der Befehl shutdown –s –f fährt den PC herunter und startet ihn nicht neu. Mit dem Befehl shutdown –a kann der aktuelle Vorgang abgebrochen werden, wenn der PC noch nicht mit dem Herunterfahren begonnen hat, sondern die Zeit noch läuft.

4.2.2

Das Startmenü konfigurieren

Darüber hinaus kann auch das Startmenü an die Benutzerbedürfnisse mithilfe der Option Eigenschaften im Kontextmenü von Start angepasst werden. Vor allem den Befehl Ausführen, um beispielsweise die Eingabeaufforderung direkt zu öffnen, werden viele Power-User im Startmenü zunächst vermissen. Diesen Befehl beispielsweise können Sie dem Startmenü hinzufügen, vorausgesetzt Sie verfügen über die entsprechenden Berechtigungen.

194

Startmenü Abbildung 4.21 Hinzufügen des Befehls Ausführen zum Startmenü

4

Über die restlichen Registerkarten in diesem Dialogfeld können Sie das Aussehen der Startleiste anpassen und festlegen, welche zusätzlichen Symbolleisten auf dem Desktop angezeigt werden sollen. Hierbei ist jedoch zu beachten, dass viele Programme auch direkt über Anwendungen im Suchfeld das Suchfeld des Startmenüs gestartet werden können. starten

Abbildung 4.22 Anwendungen starten mithilfe des Suchfeldes im Startmenü

Der Befehl cmd beispielsweise startet eine Eingabeaufforderung, über regedit wird der Registrierungs-Editor gestartet, und auch die anderen Programme können wie gewohnt gestartet werden. Den Teil des Startmenüs, das Sie über Start/Alle Programme erreichen kön- Startmenü im nen, ist eine Sammlung von Verknüpfungen, die in Ordnern dargestellt WindowsExplorer werden. Sie können den Inhalt des Startmenüs auch im Windows-Explorer anpassen und Verknüpfungen erstellen sowie Ordner oder Verknüpfungen umbenennen. Viele Funktionen erreichen Sie zwar grundsätzlich auch direkt über das Startmenü und das Kontextmenü, bequemer ist allerdings oft die direkte Bearbeitung im Windows-Explorer. Das Startmenü setzt

anpassen

195

Kapitel 4 Konfiguration der Benutzerschnittstellen

sich allerdings nicht nur aus einem einzelnen Verzeichnis auf der Festplatte zusammen, sondern aus den beiden Verzeichnissen: 왘 C:\Benutzer\\AppData\Roaming\Microsoft\Windows\ Startmenü 왘 C:\ProgramData\Microsoft\Windows\Startmenü Das Startmenü, das Sie im Windows-Explorer sehen, ist eine gemeinsame Ansicht dieser beiden Verzeichnisse. Wenn Sie also einen Eintrag aus dem einen Verzeichnis löschen, kann der entsprechende Eintrag noch immer im Startmenü angezeigt werden, da dieser noch im anderen Verzeichnis enthalten ist. Damit Sie diese Verzeichnisse angezeigt bekommen, müssen Sie die versteckten Dateien anzeigen lassen. Gehen Sie hierzu folgendermaßen vor: 1. Öffnen Sie, zum Beispiel über Start/Computer, den Windows-Explorer. 2. Klicken Sie auf Organisieren/Ordner- und Suchoptionen. 3. Holen Sie die Registerkarte Ansicht in den Vordergrund. 4. Deaktivieren Sie das Kontrollkästchen Geschützte Systemdateien ausblenden (empfohlen). 5. Aktivieren Sie im Abschnitt Versteckte Dateien und Ordner die Option Ausgeblendete Dateien, Ordner und Laufwerke anzeigen.

4.3

Windows-Taskleiste

Bei keiner anderen Benutzerschnittstelle sind die Neuerungen gegenüber den Vorgängerversionen so augenfällig wie bei der neuen, von Microsoft als Superbar bezeichneten Taskleiste von Windows 7.

4.3.1

Arbeiten mit der Taskleiste

Der wohl größte Unterschied fällt schon beim ersten Blick auf – die Taskleiste ist größer geworden. Dies erleichtert zum einen die Erkennbarkeit der Symbole bei hohen Auflösungen und soll vor allem Benutzern von berührungsempfindlichen Bildschirmen ermöglichen, die Taskleiste mit den Fingern zu bedienen. Durch die etwas größere Darstellung der Symbole und Programmfenster lassen sich diese besser mit den Fingern treffen. Auf Wunsch können die Symbole aber auch in der verkleinerten Darstellung der Vorgängerversionen angezeigt werden. Neuerungen der Superbar

196

Aber auch in ihrer Funktionalität hat die neue Taskleiste deutlich hinzugewonnen. Zu den wichtigsten Leistungsmerkmalen zählen: 왘 Wie bei den Vorgängerversionen werden laufende Anwendungen in der Taskleiste angezeigt. Der Anwender kann mit einem Klick auf das jeweilige Symbol zur gewünschten Anwendung wechseln. 왘 Zugleich übernimmt die Superbar die Rolle der früheren SchnellstartSymbolleiste. Mithilfe der Option An Taskleiste anheften und auch per Drag&Drop können die wichtigsten Anwendungen dauerhaft auf der Taskleiste platziert werden. Das Anheften ist nur durch den Anwender selbst möglich, Programme können dies während ihrer Installation nicht selbst durchführen.

Windows-Taskleiste Abbildung 4.23 Programme an Taskleiste anhaften

왘 Ist ein Programm angeheftet, verbleibt dessen Symbol auch nach dem

Schließen weiterhin in der Taskleiste. Es ist jedoch schon etwas Aufmerksamkeit erforderlich, um zu erkennen, ob der Klick auf ein Symbol zu dem Programm wechselt oder es neu startet. Um die Zustände geladener und nicht geladener Tasks zu unterscheiden, wird das Symbol von einem Rahmen hinterlegt, woran sich erkennen lässt, dass es derzeit aktiv ist. Holt man ein Fenster in den Vordergrund, wird der Symbolhintergrund aufgehellt dargestellt. Verlangt ein Programm die Aufmerksamkeit des Nutzers, blinkt das Symbol zudem in der jeweiligen Farbe. Sind mehrere Fenster der gleichen Software geöffnet, werden diese gruppiert angezeigt. Normalerweise wird dazu ein Mehrfachrahmen hinter das jeweilige Symbol gelegt, um so zu verdeutlichen, dass tatsächlich mehrere Fenster geöffnet sind.

4

Abbildung 4.24 Laufende Anwendungen erscheinen 왘 Die Superbar-Icons können per Maus beliebig sortiert und verscho- neben Programmben werden. Dies gilt sowohl für dauerhaft angeheftete Programm- Favoriten

Favoriten als auch für laufende Programme.

왘 Die Instanzen bzw. Fenster einer Anwendung erscheinen beim Mouse

over (ohne Klick) auf das Symbol als Vorschaufenster. Fährt man dann über die Vorschaubilder, kann man die geöffneten Fenster bei Bedarf schließen oder spezielle Funktionen des jeweiligen Programms nutzen. 왘 Alle weiteren Fenster werden beim Mouse over auf ein Vorschaufenster ausgeblendet. Dazu kommt die Funktion Aero Peek zum Einsatz. Aero Peek ist eine neue Funktion der Aero-Oberfläche. Sie blendet die Inhalte der Programmfenster aus, zeigt aber ihre Rahmen an der bestehenden Position weiter an. Dadurch wird der Blick auf den Desktop frei. Der kleine Balken ganz rechts in der Taskleiste minimiert ebenfalls alle Fenster und gibt den Blick auf den Desktop frei. 왘 Die Arbeit mit dauerhaft angehefteten Symbolen wird durch zwei sehr nützliche Tastenkombinationen unterstützt: 왘 (ª)+Mausklick auf das Superbar-Icon startet eine neue Instanz der angeklickten Anwendung. 왘 (ª)+(Strg)+Mausklick auf das Superbar-Icon startet eine neue Instanz mit Administratorrechten. 왘 Jede Anwendung der Superbar bietet ein erweitertes Kontextmenü. Diese als Sprungliste (engl. Jumplist) bezeichnete Liste erscheint nach einem Klick mit der rechten Maustaste auf das Tasksymbol. Alternativ

197

Kapitel 4 Konfiguration der Benutzerschnittstellen

kann man mit gedrückter linker Maustaste das Symbol festhalten und die Maus nach oben bewegen. Der Inhalt einer Jumplist hängt vom gewählten Programm ab. Manchmal bieten sie auch den Schnellzugriff auf Befehle für Aufgaben wie das Verfassen neuer E-Mail-Nachrichten oder das Wiedergeben von Musik. In der Jumplist für Internet Explorer 8 werden beispielsweise häufig besuchte Websites angezeigt, und der Windows Media Player 12 enthält häufig abgespielte Musiktitel. Außerdem können dort beliebige Dateien angeheftet werden. Abbildung 4.25 Sprunglisten bieten einen schnellen Zugriff auf häufig benutzte Dateien oder Links.

왘 Bei einigen Tasks dient die Superbar als Fortschrittsanzeige. Hierzu

füllt sich das Tasksymbol mit Farbe, beispielsweise bei Kopieraktionen mit dem Windows-Explorer oder bei Downloads über den Internet Explorer. Lädt man zum Beispiel eine Datei mit dem Internet Explorer herunter, füllt sich der Rahmen langsam mit einem grünen Balken, der erkennen lässt, wie weit der Download vorangeschritten ist. Die meisten der beschriebenen Funktionen setzen die Aero-Desktopeffekte voraus. Ist Aero abgeschaltet, zeigt Windows beispielsweise anstelle der Live-Vorschau nur ein Menü mit der Liste der aktiven Fenster wie bei den Vorgängerversionen an.

4.3.2

Taskleiste konfigurieren

Natürlich können das Aussehen und das Verhalten der Taskleiste angepasst werden. Bei Bedarf lässt sich beispielsweise auch die Abschaltung der Aero-Effekte erzwingen. Statt transparent zu erscheinen, haben Fenster und die Taskleiste in diesem Modus eine vollflächige Füllung. Über das Kontextmenü können Sie die Eigenschaften der Taskleiste aufrufen. Auf der Registerkarte Taskleiste steht eine Reihe nützlicher Optionen zur Verfügung. So ist es beispielsweise möglich, die Fixierung der Taskleiste aufzuheben. Ist diese Option aktiviert, können die Größe und die Position der Taskleiste sowie die der Symbolleisten nicht verändert werden. Möchten Sie die Größe oder die Position der Taskleiste oder die der Symbolleisten anpassen, muss dieser Punkt zunächst deaktiviert werden. Weiterhin kann festgelegt werden, ob die Programmsymbole gruppiert werden sollen. Bei Aktivierung dieser Option werden zum Beispiel alle

198

Windows-Taskleiste

geöffneten Fenster nicht mehr als eigenes Symbol angezeigt, sondern als ein Symbol, das darstellt, dass mehrere Instanzen momentan geöffnet sind. Abbildung 4.26 Konfiguration der Taskleiste

4

Am rechten (oder je nach Position auch unteren) Rand der Taskleiste befin- Infobereich det sich der Infobereich mit seinen zahlreichen Symbolen. Diese informie- konfigurieren ren beispielsweise über den Zustand des Akkus und der Netzwerkverbindungen oder informieren über eingegangene Mails in Outlook. Abbildung 4.27 Dialogfeld zur Konfiguration des Infobereichs der Taskleiste

Der Infobereich konnte schon unter Vista so konfiguriert werden, dass nur noch die wirklich relevanten Symbole erscheinen. Die Superbar bietet hierzu

199

Kapitel 4 Konfiguration der Benutzerschnittstellen

erweiterte Filtermöglichkeiten. Man hat nun die Möglichkeit, für jedes einzelne Symbol genau festzulegen, ob es angezeigt oder versteckt werden soll. Dabei trennt Microsoft systemeigene Symbole von denen zusätzlicher Programme. Im Dialogfeld Infobereichsymbole können Sie bestimmen, welche Elemente im Infobereich neben der Uhr eingeblendet werden. Symbolleisten konfigurieren

Über die Registerkarte Symbolleisten können Sie die vorhandenen Symbolleisten einblenden lassen, aber auch eigene neue Symbolleisten erstellen.

Abbildung 4.28 Auswahl der Symbolleisten, die innerhalb der Taskleiste angezeigt werden sollen

4.4

Windows-Explorer

Der Windows-Explorer ist noch immer die Schaltzentrale von Windows zur Navigation innerhalb von Verzeichnissen und zur Verwaltung von Dateien. Und dank einiger neuer nützlicher Funktionen wird die Arbeit mit dem Windows-Explorer unter Windows 7 deutlich vereinfacht. Alle Neuerungen vorzustellen würde den Rahmen dieses Buches sprengen, weshalb sich die nachstehenden Abschnitte auf die wichtigsten Bereiche und Aufgaben des Windows-Explorers konzentrieren.

4.4.1

Windows-Explorer starten

Es mag merkwürdig anmuten, dem Start einer Anwendung einen ganzen Abschnitt zu widmen. Da aber der Windows-Explorer nicht nur als Befehl im Startmenü vertreten ist, sondern über eine Vielzahl unterschiedlicher Varianten mit unterschiedlicher Ansicht geöffnet werden kann, lohnt ein Blick auf die verschiedenen Möglichkeiten. Die am meisten verbreiteten Varianten zum Öffnen des Windows-Explorers sind folgende: 왘 Klicken Sie mit der rechten Maustaste auf das Symbol des Startmenüs, und wählen Sie im Kontextmenü die Option Windows-Explorer öffnen. Der Windows-Explorer öffnet sich und zeigt die persönlichen Bibliotheken des Benutzers in der Übersicht. 왘 Sie können den Windows-Explorer auch starten, indem Sie im Suchfeld des Startmenüs den Begriff Explorer eingeben und die Auswahl Windows-Explorer bestätigen. 왘 Außerdem lässt sich der Windows-Explorer öffnen, indem Sie einen der möglichen Befehle im Startmenü verwenden. Der gesamte obere Bereich der rechten Spalte des Startmenüs startet den Windows-Explo-

200

Windows-Explorer

rer in unterschiedlichen Ansichten. So öffnet beispielsweise ein Klick auf den Benutzernamen den persönlichen Ordner des Benutzers. 왘 Mit der Tastenkombination (Ä)+(E) wird der Explorer in der Computeransicht geöffnet. 왘 Unter Windows 7 kann der Windows-Explorer auch aus der Taskleiste heraus geöffnet werden, denn dort ist er standardmäßig angeheftet (wie Sie Programme an die Taskleiste anheften können, erfahren Sie im Abschnitt 4.3.1 ab Seite 196. Ist der Windows-Explorer bereits gestartet, genügt es, mit der Maus auf das Explorer-Symbol zu zeigen. In diesem Fall erscheint eine Vorschau sämtlicher geöffneter Explorer-Fenster. 왘 Sie können sich mit einem Klick der rechten Maustaste auf den Desktop und Auswahl von Neu/Verknüpfung eine Verknüpfung zum Windows-Explorer auf dem Desktop anlegen. Geben Sie als Befehlszeile explorer ein.

4

Die Erstellung einer Verknüpfung bietet den Vorteil, dass der Windows- Startoptionen für Explorer mit verschiedenen Startoptionen aufgerufen werden kann. Ver- den Windowsfügbar sind die folgenden Parameter, die auch miteinander kombiniert Explorer werden können: 왘 Explorer – Sie können den Windows-Explorer direkt gefolgt von einem Pfad starten. In diesem Fall öffnet der Windows-Explorer mit dem Fokus auf diesen Pfad. 왘 /n – Öffnet ein neues Einzelfenster für die Standardauswahl. Dies ist in der Regel der Stamm des Laufwerks, auf dem Windows installiert ist. 왘 /e – Startet den Windows-Explorer mit der Standardansicht. 왘 /root, – Öffnet eine Fensteransicht mit dem angegebenen Ordner. 왘 /select, – Öffnet eine Fensteransicht, wobei der angegebene Ordner, die Datei oder das Programm ausgewählt sind. 왘 Explorer /root, C:\Windows – Mit diesem Befehl wird der Ordner C:\ Windows geöffnet und als Stammverzeichnis definiert. Innerhalb dieses Explorer-Fensters kann nicht zu einem übergeordneten Ordner gewechselt werden. Achten Sie in diesem Fall auch auf das Komma nach der Option /root. Beispiele: 왘 Explorer /select, C:\Windows\regedit.exe – Dieser Befehl öffnet den

Explorer im Ordner C:\Windows und markiert die Datei regedit.exe 왘 Explorer /root, \\\, select, einkauf.xls – Durch die

Kombination des Befehls wird als Stammverzeichnis die konfigurierte Freigabe geöffnet und die Datei einkauf.xls automatisch ausgewählt.

4.4.2

Arbeiten mit dem Windows-Explorer

Im folgenden Abschnitt werden die Komponenten und Bereiche des Windows-Explorers im Überblick vorgestellt.

201

Kapitel 4 Konfiguration der Benutzerschnittstellen

Der Navigationsbereich Der Navigationsbereich in der linken Spalte ist das zentrale Element des Windows-Explorers. Der Explorer markiert in diesem Bereich den Ort, den er gerade anzeigt. Andere Orte können direkt durch einen Mausklick angesprungen werden. Abbildung 4.29 Der Navigationsbereich des Windows-Explorers befindet sich an der linken Fensterseite.

Über das kleine Pfeilsymbol können jeweils Unterebenen ein- und ausgeblendet werden. Wenn Sie auf das kleine Dreieck neben einem Ordner einmal mit der linken Maustaste klicken, werden die Unterverzeichnisse angezeigt. Ein weiterer Klick blendet die Unterverzeichnisse wieder aus. Ordner- und Dateiansichten Zur Visualisierung welche Inhalte ein Laufwerk, ein Ordner oder eine Bibliothek enthält, bietet der Windows-Explorer verschiedene Darstellungsmöglichkeiten an. Welche die passende ist, richtet sich vor allem nach dem Inhalt Ihrer Dateien. Und auch die Sortierung der Dateien kann selbstverständlich an die eigenen Erfordernisse angepasst werden.

Um zwischen den möglichen Ansichten umzuschalten, klicken Sie in der Symbolleiste auf das Symbol Ansicht ändern. Jeder Klick auf diese Schaltfläche ändert die Darstellung. Alternativ können Sie das in der Abbildung 4.30 gezeigte Menü öffnen. Abhängig von der gewählten Ansicht eines Ordners können Sie beispielsweise Bewertungen von Dateien im Explorer-Fenster anzeigen lassen und das Fenster nach der Bewertung sortieren oder nach Dateien mit bestimmten Bewertungen suchen lassen. Sie können aber auch benutzerdefinierte Markierungen für Dateien eingeben, nach denen Sie auch suchen können, oder nach diesen sortieren.

202

Windows-Explorer Abbildung 4.30 Auswahl der Ordneransicht

4 Neu ist unter Windows 7 die Ansicht Inhalt. Diese zeigt in einer übersichtlichen zweizeiligen Liste die Dateien mit Dateinamen und Symbol sowie die wichtigsten Dateiinformationen. Die Ansicht wird nach der Spalte sortiert, auf deren Spaltenüberschrift Sie mit der Maus klicken. Wenn Sie öfter auf eine Spaltenüberschrift klicken, wird die Sortierung umgekehrt. Bei Dateinamen würde dann beispielsweise aus einer zunächst alphabetisch aufsteigenden Sortierung (A–Z) eine alphabetisch absteigende (Z–A). Abbildung 4.31 Sortieren innerhalb eines Verzeichnisses

Im Windows-Explorer können Sie auch die Größe der einzelnen Spalten in der Details-Ansicht mit der Maus verändern. Eine Spalte lässt sich automatisch an den längsten darin enthaltenen Eintrag anpassen, indem Sie auf den Spaltentrenner doppelklicken, während der Pfeil zum Vergrößern oder Verkleinern der Spalte angezeigt wird. Dateivorschau anzeigen Eine weitere Möglichkeit der besseren Übersicht ist das Vorschaufenster im Windows-Explorer. Wenn Sie dieses über Organisieren/Layout/Vorschaufenster einblenden lassen, wird auf der rechten Seite des Windows-Explorers eine Vorschau der momentan markierten Datei angezeigt. Sie können die Größe der Vorschau stufenlos erhöhen, wenn Sie

203

Kapitel 4 Konfiguration der Benutzerschnittstellen

den Bereich des Vorschaufensters im Explorer vergrößern. Wenn Sie mit der rechten Maustaste auf das Vorschaufenster klicken, werden die Aufgaben eingeblendet, die Sie mit dieser Datei durchführen können. Bilder können gedreht, ausgedruckt, geöffnet oder als Hintergrundbild festgelegt werden. Abbildung 4.32 Dateiansicht mit aktiviertem Vorschaufenster

Wenn Sie eine Audiodatei markieren, können Sie im Windows-Explorer die vielfältigen Informationen erkennen sowie im Vorschaufenster die Datei abspielen. Sollte bei Ihnen trotz aktiviertem Vorschaufenster keine Vorschau von Dateien angezeigt werden, überprüfen Sie nach Aufruf des Menübefehls Organisieren/Ordner- und Suchoptionen auf der Registerkarte Ansicht, ob das Kontrollkästchen Vorschauhandler im Vorschaufenster anzeigen aktiviert ist. Dateiinformation en hinterlegen und anzeigen

Details von Dateien anzeigen Die Detailansicht im Windows-Explorer zeigt abhängig vom markierten Element detaillierte Informationen über das Verzeichnis, das Laufwerk oder die markierte Datei an. Sie können in diesem Fenster bei Dateien zum Beispiel einen Autor, einen Titel oder ein Thema hinterlegen, nach dem wiederum in der erweiterten Suche gesucht werden kann. Ebenfalls besteht die Möglichkeit, Dateien zu bewerten, indem Sie die Sterne aktivieren, die im Detailfenster angezeigt werden. Auch nach dieser Bewertung kann gesucht werden.

Durch diese Möglichkeit, Dateien bestimmte Markierungen (auch als Tags bezeichnet) ähnlich wie bei MP3-Dateien zuzuweisen, können Dateien in Windows 7 sehr effizient verwaltet werden. Um ein Feld zu pflegen, müssen Sie lediglich mit der Maus auf dieses Feld im Detailfenster klicken. Sie können die Größe dieses Fensters, wie alle Bereiche im Windows-Explorer, anpassen, indem Sie auf den Rand des Bereichs fahren und diesen so groß ziehen, wie Sie ihn haben möchten.

204

Windows-Explorer Abbildung 4.33 Detailfenster im neuen WindowsExplorer

Sie können bei Bildern das Aufnahmedatum ändern oder hinterlegen und per Doppelklick auf das Vorschaufenster die entsprechende Datei öffnen. Abbildung 4.34 Bearbeiten von Dateieigenschaften im Detailfenster

4 Alternativ können Sie die gewünschte Datei markieren und mit der rechten Maustaste die Eigenschaften aufrufen. Hier können Sie auf der Registerkarte Details noch umfangreicher die Daten der Datei anpassen (siehe Abbildung 4.35). Abbildung 4.35 Bearbeiten der Details von Dateien und Markierungen

Damit Sie Daten eingeben können, müssen Sie neben der entsprechenden Eigenschaft in die Spalte Wert klicken. Danach verwandelt sich der entsprechende Bereich in ein Eingabefeld. Die einzelnen Werte können jeweils durch ein Semikolon (;) voneinander getrennt werden. Sie können auch die Markierungen mehrerer Dateien gleichzeitig konfigurieren. Dazu markieren Sie einfach die entsprechenden Dateien und rufen deren Eigenschaften auf. Jetzt können Sie die Werte auf der Registerkarte Details für sämtliche Dateien gleichzeitig anpassen. Auch hier können Sie Dateien mehrere verschiedene Werte zuweisen, die jeweils durch ein Semikolon voneinander getrennt werden. So können einzelne Dateien unterschiedlichen Autoren zugewiesen werden oder mehreren Kategorien, zum Beispiel Urlaub und Urlaub 2009.

205

Kapitel 4 Konfiguration der Benutzerschnittstellen

Sie können die Eigenschaften auch wieder auf den Standardwert des Betriebssystems zurücksetzen lassen. Verwenden Sie dazu den Link Eigenschaften und persönliche Informationen entfernen, den Sie unten auf der Registerkarte Details in den Eigenschaften der Dateien finden.

Navigations- und Auswahlhilfen Die Navigation im Windows-Explorer wird durch zahlreiche Schaltflächen und Leisten erleichtert. Vor- und Zurück-Tasten Oben links im Windows-Explorer-Fenster wer-

den eine Vor- und Zurückschaltfläche eingeblendet. Mit diesen kann zum vorher geöffneten Verzeichnis zurückgewechselt werden. Diese Funktion wurde vom Internet Explorer übernommen und erleichtert deutlich die Navigation. Adressleiste Die Adressleiste zeigt den genauen Standort des derzeitig geöffneten Verzeichnisses an. Sie können entweder direkt auf einen übergeordneten Ordner klicken, um diesen zu öffnen, oder über das kleine Dreieck neben jedem Ordner dessen Unterordner anzeigen und zu diesen navigieren (siehe Abbildung 4.36).

Wenn Sie auf den ersten Pfeil in der Adressleiste klicken, werden Ihnen einige Standardordner des Betriebssystems angezeigt. Abbildung 4.36 Navigation über die Adressleiste im Explorer

Über diese Standardordner können Sie jetzt auch die eigenen Dateien öffnen, die nicht mehr unter dieser Bezeichnung angezeigt werden, sondern als Benutzername des angemeldeten Benutzers. Sie können dadurch im Windows-Explorer zu jeder Zeit in den Stammordner Ihrer persönlichen Dokumente wechseln. Wenn Sie mit der rechten Maustaste auf die Adressleiste klicken, können Sie den derzeitigen Pfad in die Zwischenablage kopieren und in einem anderen Programm wieder einfügen. Mit einem Doppelklick auf den Pfad wechselt die Ansicht in ein Eingabefeld, und Sie können den Pfad manuell eintragen, der im Explorer angezeigt werden soll. Wie beim Internet Explorer kann auch beim Windows-Explorer die Ansicht durch (F5) oder per Klick auf die Aktualisierungsschaltfläche neben der Adressleiste aktualisiert werden (siehe Abbildung 4.37).

206

Windows-Explorer Abbildung 4.37 Ansicht des Explorers aktualisieren

Suchleiste Mit Einführung von Windows Vista hat Microsoft die Suchfunktionen deutlich verbessert. Die erweiterten Suchmöglichkeiten werden ausführlich im Abschnitt 4.5 ab Seite 216 vorgestellt. An dieser Stelle werden daher die Suchfunktionen des Windows-Explorers nur im Überblick behandelt.

Der Windows-Explorer bietet rechts oben ein Suchfeld, in das Sie ein oder mehrere Stichwörter eingeben können. Noch während der Eingabe beginnt der Windows-Explorer mit dem Durchsuchen und zeigt nur noch diejenigen Informationen an, die Ihrem Suchkriterium entsprechen, also alle angegebenen Stichwörter enthalten.

4

Auf diese Weise lässt sich gezielt filtern, wonach gesucht werden soll. Sie können beliebige Suchbegriffe eingeben und festlegen, ob im WindowsExplorer nur nach Dateien oder auch in und nach E-Mails gesucht werden soll. Auch innerhalb von Dateien kann die Windows-Suche nach Informationen recherchieren. Abbildung 4.38 Suchleiste im Windows-Explorer

Standardmäßig sucht der Explorer das eingegebene Suchwort in sämtlichen verfügbaren Kriterien eines Dokuments, also im Dateinamen, im Dateiinhalt und in den sogenannten Metadaten wie Autorenname oder Datum der letzten Änderung. Hilfreich ist, dass die gefundenen Suchwörter in der Ergebnisliste markiert werden. Um die Menge der Suchergebnisse einzuschränken, können Suchfilter verwendet werden. Damit kann beispielsweise die Suche auf ausgewählte Dokumenttypen begrenzt werden. Dabei ist der Einsatz von Suchfiltern sehr einfach, da der WindowsExplorer standardmäßig zum Stichwort passende Suchfilter vorschlägt. Abbildung 4.39 Das Suchfeld zeigt standardmäßig passende Suchfilter.

Das Dialogfeld zeigt je nach ausgewähltem Filter unterschiedliche Auswahlmöglichkeiten an. Soll beispielsweise nach einem Dokument gesucht werden, das an einem bestimmten Tag erstellt wurde, ist der Filter Ände-

207

Kapitel 4 Konfiguration der Benutzerschnittstellen

rungsdatum zu verwenden. Der Explorer blendet jetzt ein Kalenderblatt ein, in dem das gewünschte Datum gewählt werden kann. Dynamische Menüleiste Seit Windows Vista verfügt der Windows-Explo-

rer über eine dynamische Menüleiste des Explorers. Diese zeigt – abhängig vom Inhalt des Ordners – jene Menübefehle an, die zum Inhalt des Ordners passen. Die Befehle Organisieren, und Brennen werden immer angezeigt, die anderen sind dynamisch und abhängig vom Ordnerinhalt. Wird beispielsweise der Ordner Bibliotheken ausgewählt, ändern sich die Befehle in der Symbolleiste. Jetzt könnten Sie per Klick auf Neuer Ordner einen neuen Ordner anlegen oder den Inhalt der ganzen Bibliothek (oder eines markierten Ordners) mit einem Klick auf Brennen auf eine CD-ROM oder DVD brennen. Über den Menübefehl Organisieren können die wichtigsten Aufgaben für Windows-Ordner ausgewählt werden, wie Sie in Abbildung 4.40 erkennen können. Abbildung 4.40 Die Menüleiste von Windows 7 ist kontextsensitiv.

Die Menüleiste, mit der noch unter Windows XP oder Windows 2000 im Windows-Explorer Aktionen ausgelöst wurden, wird standardmäßig nicht mehr angezeigt. Sie können diese jedoch über Organisieren/Layout/Menüleiste ebenfalls anzeigen lassen. Wenn Sie die Menüleiste nicht dauerhaft einblenden wollen, sondern nur dann, wenn Sie sie benötigen, können Sie diese mit der (Alt)-Taste aktivieren. Sobald Sie wieder in das Explorer-Fenster wechseln oder nochmals die (Alt)-Taste drücken, wird die Menüleiste wieder deaktiviert. Linkfavoriten Ebenfalls hilfreich ist der Bereich Favoriten (siehe Abbil-

dung 4.41). Hier werden automatisch die Verzeichnisse angezeigt, die am häufigsten verwendet werden. Diese Liste wird automatisch und dynamisch aufgebaut und zeigt Ihnen auf einen Blick die Ordner an, zu denen Sie am häufigsten navigiert sind.

208

Windows-Explorer

Sie können den Inhalt in dieser Ansicht selbst definieren. Wenn Sie einzelne Linkfavoriten nicht verwenden wollen, können Sie mit der rechten Maustaste in den Bereich der Linkfavoriten klicken und den Menüpunkt Link entfernen auswählen. Auf diesem Weg können Sie alle unnötigen Linkfavoriten entfernen. Abbildung 4.41 Linkfavoriten im Windows-Explorer

4 Die Möglichkeit, Linkfavoriten zu verwenden, wird natürlich nur dann richtig sinnvoll, wenn Sie auch selbst bestimmen können, welche Linkfavoriten angezeigt werden. Sie können eigene Ordner auswählen, die in den Linkfavoriten angezeigt werden. Sobald Sie im Explorer auf einen solchen Linkfavoriten klicken, springen Sie sofort zu diesem Ordner, was die Navigation enorm vereinfacht. Um einen Linkfavoriten zu erstellen, navigieren Sie zunächst zu dem Ordner, den Sie als Linkfavoriten festlegen wollen. Im Anschluss klicken Sie mit der linken Maustaste auf den Ordner und ziehen diesen in den Bereich der Linkfavoriten. Im Anschluss wird eine Verknüpfung dieses Ordners in den Linkfavoriten erstellt.

4.4.3

Ansichten des Windows-Explorers anpassen

Der Windows-Explorer lässt sich sehr detailliert an die Bedürfnisse des Anwenders anpassen. Hauptsächlich findet diese Anpassung über das bereits beschriebene Menü Organisieren/Layout statt. Eine etwas detaillierte Möglichkeit, die Ansichten von Ordnern im WindowsExplorer anzupassen, stellt der Menübefehl Organisieren/Ordner- und Suchoptionen dar. Wenn Sie diese Option wählen, wird ein neues Fenster mit drei Registerkarten eingeblendet. Über diese Registerkarten können Sie grundlegende Anpassungen für die Ansicht des Windows-Explorers durchführen (siehe Abbildung 4.42). Auf der Registerkarte Allgemein stehen Ihnen die drei Optionen Ordner Registerkarte durchsuchen, Auswählen von Elementen und Navigationsbereich zur Verfü- Allgemein gung. Hier können Sie folgende Einstellungen vornehmen: 왘 Jeden Ordner im selben Fenster öffnen – Auch diese Option ist standardmäßig aktiviert. Wenn Sie im Windows-Explorer durch verschiedene Ordner navigieren, werden diese immer im gleichen Fenster geöffnet. Durch die Vor- und Zurück-Schaltfläche können Sie zu den bereits besuchten Ordnern wechseln.

209

Kapitel 4 Konfiguration der Benutzerschnittstellen 왘 Jeden Ordner in einem eigenen Fenster öffnen – Wenn Sie diese Option

aktivieren, bleibt die Navigation zunächst gleich. Wenn Sie jedoch im Windows-Explorer auf einen Ordner doppelklicken, öffnet sich ein neues Explorer-Fenster, das diesen Ordner anzeigt. Dadurch erhöht sich die Anzahl der Fenster auf dem Desktop, und Sie können die Vorund Zurück-Schaltfläche nicht mehr uneingeschränkt nutzen, da diese nur innerhalb eines Fensters funktionieren. 왘 Die Optionen im Bereich Auswählen von Elementen sind selbsterklärend. Durch die Auswahl der Option Öffnen durch einfachen Klick muss zum Öffnen einer Datei nicht mehr auf diese doppelgeklickt werden, sondern es genügt, diese einmal anzuklicken, genau wie einen Link im Internet Explorer. Abbildung 4.42 Anpassen der Ordneroptionen im Windows-Explorer

Registerkarte Ansicht

210

Die Registerkarte Ansicht ist die wichtigste Registerkarte, um die Anzeige von Dateien und Ordnern zu konfigurieren. Hier finden Sie eine Vielzahl von Möglichkeiten. Die meisten Optionen sind bereits durch die Erläuterung selbsterklärend. Auf die wichtigsten Optionen geht die folgende Auflistung ein: 왘 Erweiterungen bei bekannten Dateitypen ausblenden – Diese Option ist standardmäßig aktiviert und sollte deaktiviert werden. Wenn diese Option aktiv ist, zeigt Windows keine Dateiendungen an, die im System registriert sind. Der Anwender muss aus dem Symbol erraten, um welche Datei es sich handelt. Sie sollten diese Option deaktivieren, damit Dateiendungen immer angezeigt werden. Wenn die bekannten Dateitypen ausgeblendet werden, schleichen sich auch schneller Viren ein. Ein Virenprogrammierer kann zum Beispiel seine Datei hallo.doc.vbs nennen. Da nur die letzte Endung zählt, wird die Datei als hallo.doc angezeigt und der Anwender damit verleitet, ein scheinbar harmloses WordDokument zu öffnen.

Windows-Explorer 왘 Freigabe-Assistent verwenden (empfohlen) – Wenn Sie diese Option aktivie-

ren, wird bei der Freigabe von Dateien ein Assistent verwendet, der die Möglichkeiten der Berechtigungen stark einschränkt. Vor allem wenn Sie mit den administrativen Freigaben (c$, d$) arbeiten, können über das Netzwerk oft Freigaben nicht geöffnet werden. Wenn Sie planen, Dateien in einem Netzwerk freizugeben, sollten Sie diese Option deaktivieren. 왘 Geschützte Systemdateien ausblenden (empfohlen) – Diese Option ist standardmäßig aktiviert und unterdrückt die Anzeige von Systemdateien im Windows-Explorer. Erst wenn Sie diese Option deaktivieren, werden sämtliche Dateien im Windows-Explorer angezeigt. 왘 Kontrollkästchen zur Auswahl von Elementen verwenden – Wie bereits unter früheren Windows-Versionen können Sie zum Markieren mehrerer Dateien im Windows-Explorer mit der Maus einen Rahmen um die betreffenden Dateien ziehen, die (Strg)-Taste gedrückt halten und die nicht aufeinanderfolgenden Dateien markieren oder die (ª)-Taste gedrückt halten, um mehrere aufeinanderfolgende Dateien zu markieren. Mit Windows Vista ist noch eine weitere Möglichkeit hinzugekommen. Wenn Sie diese Option aktivieren, wird bei jedem Ordner ein kleines Kästchen angezeigt, wenn Sie mit der Maus darüberfahren. Durch dieses Kästchen können Dateien wesentlich effizienter markiert werden (siehe Abbildung 4.43). Vor allem Anwender, die häufiger mehrere, aber nicht alle Dateien in einem Ordner markieren, sollten diese Option aktivieren.

4

Abbildung 4.43 Erweiterte Einstellungen für die Ansicht von Ordnern

왘 Ausgeblendete Dateien, Ordner und Laufwerke anzeigen – Durch Auswahl

dieser Option werden auch die versteckten Dateien angezeigt. Sie müssen diese Option aktivieren, wenn sämtliche Dateien im Windows-Explorer angezeigt werden sollen. Damit auch die Systemdateien angezeigt werden, müssen Sie zusätzlich noch das Kontrollkästchen Geschützte Systemdateien ausblenden deaktivieren. Nur in dieser Kombination erhalten Sie wirklich alle Dateien und Ordner auf Ihrem Rechner angezeigt.

211

Kapitel 4 Konfiguration der Benutzerschnittstellen

Einige Ansichten werden erst dann auf alle Ordner im Windows-Explorer übernommen, wenn Sie die Ansicht mit der Schaltfläche Für Ordner übernehmen aktivieren. Die in diesem Abschnitt besprochenen Optionen werden automatisch auf alle Ordner angewendet, Sie müssen nicht erst die Schaltfläche anklicken. Über die Schaltfläche Wiederherstellen auf den einzelnen Registerkarten können Sie abgeänderte Einstellungen wieder auf den Systemstandard zurücksetzen. Registerkarte Suchen

Auf der Registerkarte Suchen können Sie schließlich festlegen, wie sich die Windows-Suche verhalten soll, wenn Sie im Suchfeld des Explorers oder der erweiterten Suche einen Begriff eingeben.

Abbildung 4.44 Konfiguration der Suche im WindowsExplorer

Wenn Sie häufig Dokumente oder Inhalte in Dokumenten suchen, sollten Sie diese Registerkarte an Ihre Bedürfnisse anpassen. Hier können Sie vor allem anpassen, wo und ob die Suche auch innerhalb von Dateien suchen soll und ob auch Archive wie beispielsweise Zip-Dateien berücksichtigt werden sollen. Was soll durchsucht werden?

Im Bereich Was möchten Sie suchen können Sie festlegen, wie sich die Windows-Suche bezüglich des Inhaltes von Dateien verhalten soll. Standardmäßig ist die Option In indizierten Orten Dateinamen und -inhalte suchen, in nicht indizierten Orten nur Dateinamen suchen aktiviert. Dadurch ist sichergestellt, dass in indizierten Ordnern der eingegebene Suchbegriff nicht nur im Dateinamen auftauchen soll, sondern auch im Inhalt der Datei, sofern dieser von Windows gelesen werden kann. Alternativ können Sie festlegen, dass die Suche auch in nicht indizierten Bereichen nach dem Inhalt suchen soll. Da in diesen Bereichen der Inhalt noch nicht indiziert wurde, dauert die Suche entsprechend länger, da Windows nicht nur nach Dateinamen suchen muss, sondern jede lesbare Datei auch nach dem Inhalt durchforstet werden muss.

212

Windows-Explorer

Im Bereich Wie möchten Sie suchen können Sie einstellen, wie sich die Win- Wie soll gesucht dows-Suche generell verhalten soll. Standardmäßig werden bei der Suche werden? auch Unterordner des aktuellen Ordners durchsucht. Wenn Sie das nicht wollen, können Sie das entsprechende Kontrollkästchen einfach an dieser Stelle deaktivieren. Über die Option Teiltreffer finden können Suchergebnisse angezeigt werden, die nicht exakt der Suche entsprechen, aber Teilüberschneidungen aufweisen. Darüber hinaus können Sie sämtliche Eigenschaften, die für die Feinabstimmung von Suchvorgängen verfügbar sind, auch für Suchen mit natürlicher Sprache verwenden. Der Unterschied ist, dass Sie geläufigere Formulierungen verwenden können. Aktivieren Sie dazu das Kontrollkästchen Unter Verwendung natürlicher Sprache suchen. Im Folgenden sehen Sie einige Beispiele für gängige Suchen mittels natürlicher Sprache: 왘 E-Mail-Nachrichten von Thomas, heute gesendet 왘 Dokumente, die im letzten Monat geändert wurden 왘 Rockmusik, Bewertung: **** 왘 Bewerbungen aus Juli 2009

4.4.4

4

Bibliotheken verwenden

Zu den auffälligsten Änderungen beim Start des Windows-Explorers gehören sicherlich die neu mit Windows 7 eingeführten Bibliotheken. Hinter den sogenannten Bibliotheken (engl. Libraries) verbergen sich virtuelle Ordner, die den Inhalt mehrerer „ echter“ Ordner zusammenfassen können. Diese virtuellen Ordner bzw. Bibliotheken können Inhalte zentral anzeigen, obwohl sie eigentlich an verschiedenen Orten gespeichert sind. Damit können sämtliche Daten zu gewünschten Themen über eine zentrale Schnittstelle erreicht werden, ohne sie aufwendig aus diversen Ordnern zusammentragen zu müssen. Physisch handelt es sich bei den Bibliotheken um XML-Dateien, deren hauptsächlicher Inhalt aus einer Liste der in der Bibliothek enthaltenen Orte besteht. Der Vorteil der Bibliotheken liegt in der zentralen Anzeige von Dateien, die an beliebigen Orten gespeichert sind. Außerdem ist es möglich, Dateien mehreren Bibliotheken zuzuordnen, ohne dass die physische Datei mehrfach vorhanden sein muss. Standardmäßig richtet Windows 7 vier vordefinierte Bibliotheken ein: Die Standard왘 Bilder – Hier können Fotos, Bilder, eingescannte Grafiken etc. abgelegt bibliotheken werden. 왘 Dokumente – Diese Bibliothek ist für Dokumente wie z.B. PowerPointPräsentationen oder Word-Dokumente gedacht. 왘 Musik – Für alle digitalen Musikinhalte 왘 Videos – Spezielle Bibliothek für Videos

213

Kapitel 4 Konfiguration der Benutzerschnittstellen Abbildung 4.45 Die Standardbibliotheken von Windows 7

Wird eine dieser Bibliotheken mit einem Doppelklick geöffnet, so werden die Inhalte dieser je nach Bibliothekentyp unterschiedlich angezeigt. Dokumente werden beispielsweise standardmäßig in einer Liste, Bilder mit einer Vorschau angezeigt. Integrierte Ordner anzeigen

Ist eine Bibliothek geöffnet, wird in der Überschrift angezeigt, aus wie vielen physischen Ordnern der Inhalt stammt. Mit einem Klick auf Orte öffnet sich ein Dialogfeld, das die tatsachlichen Ordner anzeigt, die in dieser Bibliothek zusammengefasst werden. Die Bibliothek Dokumente besteht also beispielsweise standardmäßig aus den Inhalten der Ordner Eigene Dokumente und Öffentliche Dokumente. Die einbezogenen Ordner, die in einer Bibliothek enthalten sind, werden außerdem im Navigationsbereich als Unterordner der Bibliothek aufgeführt.

Abbildung 4.46 Anzeige der in der Bibliothek enthaltenen physischen Ordner

Bibliotheken verwalten Neue Ordner können sehr einfach einer Bibliothek hinzugefügt werden. Hierzu kann entweder die Option In Bibliothek aufnehmen im Kontextmenü des gewünschten Ordners verwendet werden, oder der Ordner wird per Drag&Drop in die gewünschte Bibliothek gezogen. Dabei können in eine Bibliothek Ordner von vielen verschiedenen Orten einbezo-

214

Windows-Explorer

gen werden – beispielsweise Ordner auf dem lokalen Laufwerk, auf einer externen Festplatte oder auf einem Netzlaufwerk. Abbildung 4.47 Ordner können einer Bibliothek sehr einfach hinzugefügt werden.

4 Grundsätzlich ist die Einbeziehung der folgenden Speicherorte in eine Bibliothek möglich: 왘 Lokale Laufwerke 왘 Externe Festplatten (einschränkend sind die Inhalte nur verfügbar, wenn die externe Festplatte angeschlossen ist) 왘 USB-Flashlaufwerk (nur wenn das Gerät im Navigationsbereich unter Computer im Bereich Festplatten angezeigt wird. Dies wird vom Gerätehersteller festgelegt. Außerdem sind die Inhalte nur verfügbar, wenn das Laufwerk angeschlossen ist.) 왘 Netzwerklaufwerke (Voraussetzung ist, dass der Netzwerkpfad indiziert ist oder offline verfügbar gemacht wurde.) Wechselmedium wie beispielsweise CDs oder DVDs können nicht in Bibliotheken einbezogen werden. Möchten Sie einen Speicherort aus einer Bibliothek wieder entfernen, ver- Ordner aus wenden Sie entweder das Dialogfeld zur Verwaltung der Orte einer Biblio- Bibliothek thek, oder Sie klicken im Navigationsbereich des Explorers auf den kleinen entfernen Pfeil vor der Bibliothek und wählen den Ordner aus, den Sie aus der Bibliothek entfernen möchten. Verwenden Sie hier die Option Ort aus Bibliothek entfernen im Kontextmenü des Ordners. Wenn Sie einen Ordner aus einer Bibliothek mit den beschriebenen Optionen entfernen, werden die physischen Dateien und Ordner am Ursprungsort nicht gelöscht. Das Gleiche gilt, wenn Sie eine komplette Bibliothek löschen. Wenn Sie Dateien oder Ordner aus einer Bibliothek jedoch löschen, werden diese auch am ursprünglichen Ort gelöscht. Soll ein Element lediglich aus der Bibliothek (und nicht am eigentlichen Speicherort) entfernt werden, muss die Option Ort aus Bibliothek entfernen verwendet werden. Ähnlich verhält es sich, wenn Sie einen Ordner in eine Bibliothek einbeziehen und den Ordner anschließend am ursprünglichen Ort löschen. Der Ordner ist dann nicht mehr in der Bibliothek verfügbar.

215

Kapitel 4 Konfiguration der Benutzerschnittstellen

Neue Bibliotheken erstellen Zusätzlich zu den vier Standardbibliotheken können jederzeit neue benutzerdefinierte Bibliotheken erstellt werden. Hierzu ist die Option Neu/Bibliothek im Kontextmenü des Ordners Bibliotheken zu verwenden und ein Name für die neue Bibliothek einzugeben. Bevor Dateien in der neuen Bibliothek gespeichert werden können, muss zuerst ein Ordner in die Bibliothek aufgenommen werden. Der erste erstellte Ordner wird automatisch zum Standardspeicherort für die Bibliothek. Der Standardspeicherort wird verwendet, wenn Elemente in die Bibliothek kopiert oder verschoben werden. Der Standardspeicherort und auch der Dateityp, für den eine Bibliothek optimiert ist, können jederzeit in den Bibliothekseigenschaften geändert werden. Abbildung 4.48 Dialogfeld zur Verwaltung der Eigenschaften einer Bibliothek

4.5

Einsatzmöglichkeiten der Windows-Suche

Bereits mit Windows Vista hatte Microsoft eine neue Suchfunktion eingeführt, die weit über die Möglichkeiten der Suchfunktionen der Vorgängerversionen hinausgeht. Mit Windows 7 wurden die Suchfunktionen nochmals erweitert. So unterstützt der Suchdienst nun auch sogenannte Federated Searches und ermöglicht damit, die Suche auf andere Computer, Dateiserver oder Informationsquellen wie den SharePoint Server oder das Internet auszudehnen.

216

Einsatzmöglichkeiten der Windows-Suche

4.5.1

Volltextsuche nach Stichwörtern

Eine Suche kann auf unterschiedliche Weise ausgeführt werden. Am einfachsten lässt sich eine Suche mithilfe der allgegenwärtigen Suchleiste durchführen. Sowohl im Startmenü als auch am oberen Rand eines jeden Explorer-Fensters wird die Suchleiste angezeigt. Die Suche wird automatisch gestartet, sobald Sie mit der Eingabe beginnen. Die Suche nach Dateien erfolgt anhand von Text im Dateinamen, von Text Suche im innerhalb der Datei, von Markierungen und von anderen gängigen Datei- Windowseigenschaften, die Sie an die Datei angefügt haben. Hierbei schließt die Explorer-Fenster Suche den aktuellen Ordner und alle Unterordner ein.

4

Noch während der Eingabe filtert beispielsweise im Explorer die Windows-Suche den aktuellen Inhalt und zeigt nur noch diejenigen Informationen an, die Ihrem Suchkriterium entsprechen, also alle angegebenen Stichwörter enthalten. Außerdem werden alle Suchbegriffe, die dem eingegebenen Stichwort entsprechen, gelb hervorgehoben. . Abbildung 4.49 Volltextsuche im Windows-Explorer nach einem Stichwort

Um die Menge der Suchergebnisse einzuschränken, können Suchfilter verwendet werden. Damit kann beispielsweise die Suche auf ausgewählte Dokumenttypen eingeschränkt werden. Dabei ist der Einsatz von Suchfiltern sehr einfach, da der Windows-Explorer standardmäßig zum Stichwort passende Suchfilter vorschlägt. Das Dialogfeld zeigt je nach ausgewähltem Filter unterschiedliche Auswahlmöglichkeiten an. Soll beispielsweise nach einem Dokument gesucht werden, das an einem bestimmten Tag erstellt wurde, ist der Filter Änderungsdatum zu verwenden. Der Explorer blendet jetzt ein Kalenderblatt ein, in dem das gewünschte Datum gewählt werden kann. Die Suche kann auch auf mehrere Suchbegriffe erweitert werden. Geben Sie mehrere Schlüssel-Wert-Paare durch Leerzeichen getrennt an, müssen alle gemeinsam erfüllt sein (eine logische „Und“-Verknüpfung). Soll nur ein Kriterium erfüllt sein, muss zwischen die Schlüssel-Wert-Paare das Wort „ oder“ geschrieben werden (siehe Abbildung 4.50).

217

Kapitel 4 Konfiguration der Benutzerschnittstellen Abbildung 4.50 Suche nach mehreren Stichwörtern

Suche im Startmenü Abbildung 4.51 Volltextsuche im Startmenü nach einen Stichwort

218

Wird eine Suche im Startmenü durchgeführt, verwandelt sich das Startmenü in eine Liste mit in Kategorien unterteilten Suchergebnissen. Am Anfang stehen jeweils die besten Treffer aus jeder Kategorie.

Einsatzmöglichkeiten der Windows-Suche

Sortiert werden die Treffen jeweils nach deren Relevanz. Bei Anwendungen und Dateien ergibt sich die Relevanz aus der Verwendungshäufigkeit. Je häufiger Sie also beispielsweise ein Programm starten bzw. je häufiger Sie es verwenden, desto wichtiger wird es eingestuft und umso höher ist seine Relevanz im Suchergebnis. Die Stichwortsuche im Startmenü kann auch verwendet werden, um schnell ein bestimmtes Programm zu starten. Nach der Eingabe des Namens der Anwendung genügt ein Mausklick auf das richtige Suchergebnis, um das Programm zu öffnen. Wenn Sie eine Suche mit mehreren Filtern definieren müssen, können Sie Suchabfragen die erstellte Suche speichern. Die Einstellungen einer gespeicherten Suche speichern müssen bei der nächsten Verwendung der Suche nicht erneut angepasst werden. Es genügt, die gespeicherte Suche zu öffnen, um die neuesten Dateien, die der ursprünglichen Suchanfrage entsprechen, anzuzeigen. Um eine Suche zu speichern, sind folgende Schritte erforderlich: 왘 Führen Sie den gewünschten Suchvorgang aus. 왘 Klicken Sie nach Abschluss der Suche auf der Symbolleiste auf Suche speichern. 왘 Geben Sie im Feld Dateiname einen Namen für die Suche ein, und klicken Sie dann auf Speichern. Abbildung 4.52 Suchabfragen können gespeichert werden.

Die gespeicherte Suche wird im Ordner Suchvorgänge im persönlichen Ordner unter Computer gespeichert. Zusätzlich wird im Favoritenbereich des Navigationsbereichs eine Verknüpfung mit der gespeicherten Suche hinzugefügt.

219

4

Kapitel 4 Konfiguration der Benutzerschnittstellen

4.5.2

Indizierte Suche

Bereits in Windows Vista hat Microsoft die Suche mit einem Suchindex ausgestattet. Mithilfe des Index kann die Suche nach Dateien erheblich beschleunigt werden. Anstatt die ganze Festplatte nach einem Dateinamen oder einer Dateieigenschaft durchsuchen zu müssen, muss Windows lediglich den Index überprüfen, sodass das Ergebnis in einem Bruchteil der Zeit verfügbar ist, die für eine Suche ohne Index benötigt würde. Standardmäßig werden alle in Bibliotheken einbezogenen Ordner (beispielsweise der gesamte Inhalt der Dokumentbibliothek) sowie E-Mails und Offline-Dateien indiziert. Programm- und Systemdateien hingegen werden nicht indiziert.

Ordner zur Indizierung hinzufügen Da standardmäßig alle Bibliotheken indiziert werden, können andere Ordner sehr einfach durch die Aufnahme in eine Bibliothek dem Suchindex hinzugefügt werden. Der Inhalt des entsprechenden Ordners wird dann automatisch indiziert. Dem Index können auch ohne Verwendung von Bibliotheken Elemente hinzugefügt werden. Um das Dialogfeld zur Indexverwaltung zu öffnen, geben Sie am einfachsten den Begriff „Indizierung“ im Suchfeld des Startmenüs ein und wählen anschließend in der Liste die Option Indizierungsoptionen. Ein Dialogfeld öffnet sich, in dessen oberen Teil Sie erkennen können, wie viele Elemente der Suchindex derzeit indiziert hat und ob der Index aktuell ist oder neue Daten indiziert. Im unteren Teil werden die Ordner aufgelistet, die der Suchindex überwacht. Abbildung 4.53 Dialogfeld zur Verwaltung des Suchindex

220

Einsatzmöglichkeiten der Windows-Suche

So können Sie einen Indizierungsort hinzufügen oder entfernen: Indizierungsort hinzufügen oder 1. Klicken Sie auf Ändern. entfernen 2. Zum Hinzufügen eines Speicherorts müssen Sie diesen in der Liste Ausgewählte Orte ändern aktivieren und dann auf OK klicken. Klicken Sie auf Alle Orte anzeigen, wenn Ihnen nicht alle Speicherorte auf Ihrem Computer in der Liste Ausgewählte Orte ändern angezeigt werden (siehe Abbildung 4.54). 3. Wenn Sie einen Ordner, jedoch nicht seine Unterordner in den Index einschließen möchten, müssen Sie den Ordner erweitern und dann die Kontrollkästchen sämtlicher Ordner deaktivieren, die Sie nicht indizieren möchten. Diese Ordner werden in der Spalte Ausschließen angezeigt. Abbildung 4.54 Indizierte Orte verwalten

Administratorrechte vorausgesetzt, finden Sie unter Erweitert zusätzliche Den Suchindex Funktionen zur Verwaltung des Suchindex. So können Sie hier beispiels- verwalten weise den Index neu erstellen lassen oder die Standardeinstellungen wiederherstellen. Wichtig sind vor allem die folgenden Optionen: 왘 Verschlüsselte Dateien indizieren – Normalerweise indiziert der Suchindex keine mit EFS (Encrypting File System) verschlüsselten Dateien, da die Anzeige der Schlüsselwörter im Suchindex ein Sicherheitsrisiko darstellen kann. Zwar ist auch der Suchindex verschlüsselt, verwendet aber einen niedrigeren Sicherheitsstandard.

221

4

Kapitel 4 Konfiguration der Benutzerschnittstellen 왘 Indizierungsort – Dieser Eintrag legt fest, wo der Suchindex gespeichert

wird. Ist beispielsweise auf dem angegebenen Laufwerk zu wenig Speicherplatz frei, kann der Suchindex auf ein anderes Laufwerk verschoben werden. Sobald der Suchindex neu gestartet wird, beispielsweise nach einem Neustart, verwendet er den neu angegebenen Ort. 왘 Problembehandlung – Diese Option ist hilfreich, wenn der Suchindex ständig falsche oder unvollständige Ergebnisse liefert. In diesem Fall sollte der Index neu erstellt werden. Bei der Neuerstellung des Index ist zu beachten, dass die komplette Neuerstellung des Index mehrere Stunden dauern kann. Daher ist es sinnvoll, zunächst die Option Problembehandlung für den Suchdienst im Dialogfeld Indizierungsoptionen zu starten. Abbildung 4.55 Indexeinstellungen in den erweiterten Optionen verwalten

Der Suchindex durchsucht nicht jede Datei. Auf der Registerkarte Dateitypen sehen Sie, welche Dateien indiziert werden können. Hier können Sie auch zusätzliche Dateitypen hinterlegen und bestimmen, welche Eigenschaften indiziert werden sollen. Für jeden Dateityp kann festgelegt werden, ob der Index nur seine Eigenschaften (Dateiname, Metadaten) oder auch seinen Inhalt durchsuchen soll.

222

Tastenkombinationen in Windows 7 Abbildung 4.56 In den Index einbezogene Dateitypen

4

4.6

Tastenkombinationen in Windows 7

In diesem Abschnitt finden Sie die wichtigsten Tastenkombinationen zur Bedienung von Windows 7 zusammengefasst.

4.6.1

Tastenkombinationen mit der Windows-Taste

왘 (Ä) – Öffnen oder Schließen des Startmenüs 왘 (Ä)+(Pause) – Anzeigen des Dialogfeldes Systemeigenschaften 왘 (Ä)+(ÿ) – Umschalten zwischen Programmen auf der Taskleiste mit-

hilfe von Windows Flip-3D 왘 (Ä)+(T) – Umschalten zwischen Programmen auf der Taskleiste 왘 (Strg)+(Ä)+(ÿ) – Verwenden der Pfeiltasten zum Umschalten zwi왘

왘 왘 왘 왘 왘 왘

schen Programmen auf der Taskleiste mithilfe von Windows Flip-3D (Ä)+(Leertaste) – Mittels Aero Peek werden alle Fenster durchsichtig, solange Sie die (Ä)-Taste gedrückt halten. Diese Funktion ist neu in Windows 7. (Ä)+(M) – Alle Fenster minimieren (Ä)+(ª)+(M) – Alle minimierten Fenster wiederherstellen (Ä)+(D) – Desktop anzeigen (Ä)+(E) – Öffnen von Computer (Ä)+(F) – Eine Datei oder einen Ordner suchen (Strg)+(Ä)+(F) – Suchen nach Computern (wenn Sie sich in einem Netzwerk befinden)

223

Kapitel 4 Konfiguration der Benutzerschnittstellen 왘 (Ä)+(G) – Umschalten zwischen Sidebar-Minianwendungen 왘 (Ä)+(L) – Computer sperren, wenn dieser mit einer Netzwerkdo-

mäne verbunden ist, bzw. den Benutzer wechseln, wenn dies nicht der Fall ist 왘 (Ä)+(R) – Dialogfeld Ausführen öffnen 왘 (Ä)+(U) – Center für erleichterte Bedienung öffnen 왘 (Ä)+(F1) – Windows-Hilfe anzeigen

4.6.2

Tastenkombinationen für den Internet Explorer

왘 (Strg)+Klicken – Öffnen von Links in einer neuen Registerkarte im

Hintergrund 왘 (Strg)+(ª)+Klicken – Öffnen von Links in einer neuen Registerkarte

im Vordergrund 왘 (Strg)+(T) – Öffnen einer neuen Registerkarte im Vordergrund 왘 (Strg)+(ÿ) oder (Strg)+(ª)+(ÿ) – Umschalten zwischen Register왘 왘 왘 왘 왘 왘

karten (Strg)+(W) – Die aktuelle Registerkarte schließen (oder das aktuelle Fenster, wenn das Browsen mit Registerkarten deaktiviert ist) (Alt)+(¢) – Öffnen einer neuen Registerkarte im Vordergrund aus der Adressleiste heraus (Strg)+(n) (wobei n eine Zahl zwischen 1 und 8 ist) – Wechseln zu einer Registerkarte mit einer bestimmten Nummer (Strg)+(9) – Wechseln zur letzten Registerkarte (Strg)+(Alt)+(F4) – Schließen der anderen Registerkarten (Strg)+(Q) – Schnelle Registerkarten (Miniaturansicht) ein- und ausschalten

4.6.3

Tastenkombination in Windows 7 zur Steuerung des Windows-Explorers und zur Dateiverwaltung

Im folgenden Abschnitt finden Sie die wichtigsten Tastenkombinationen des Windows-Explorers erläutert: 왘 (Strg)+(C) – Kopieren 왘 (Strg)+(V) – Einfügen 왘 (Strg)+(X) – Ausschneiden 왘 (Strg)+(Z) – Rückgängig 왘 (F1) – Hilfe anzeigen 왘 (ª)+(F1) – Kontextbezogene Hilfefunktion aktivieren (Direkthilfe) 왘 (ª)+(F10) – Kontextmenü zum momentan aktiven Element anzeigen 왘 (Leertaste) – Markieren (entspricht einem einfachen Mausklick) 왘 (Esc) – Abbrechen

224

Tastenkombinationen in Windows 7 왘 (Alt) – Menüleiste aktivieren oder deaktivieren 왘 (Alt)+(ÿ) – Nächstes Hauptfenster anzeigen 왘 (Alt)+(Esc) – Nächstes Fenster anzeigen 왘 (Alt)+(Leertaste) – Systemmenü für Fenster anzeigen 왘 (Alt)+(-) – Systemmenü für das aktive untergeordnete Fenster an-

zeigen 왘 (Alt)+(¢) – Eigenschaften anzeigen 왘 (Alt)+(F4) – Aktives Fenster schließen 왘 (Alt)+(F6) – Zum nächsten Fenster innerhalb der Anwendung wech왘 왘 왘 왘 왘 왘 왘 왘 왘 왘 왘 왘 왘 왘 왘 왘

seln (Alt)+(Druck) – Aktiven Fensterinhalt in die Zwischenablage kopieren (Druck) – Desktop-Inhalt in die Zwischenablage kopieren (Strg)+(Esc) – Schaltfläche Start in der Taskleiste aktivieren (F2) – Umbenennen (F3) – Suchen (Entf) – Löschen (ª)+(Entf) – Datei endgültig löschen (ohne Papierkorb) (Alt)+(Doppelklick) – Eigenschaften anzeigen (Strg)+(F6) – Nächstes untergeordnetes Fenster anzeigen (Strg)+(ÿ) – Nächste Registerkarte oder nächstes untergeordnetes Fenster anzeigen. (F4) – Adressleiste im Windows-Explorer öffnen und Eingabefokus in die Liste setzen (F5) – Anzeige aktualisieren (F6)+(ÿ) – Fokus auf den nächsten Fensterbereich im Windows-Explorer verschieben (Strg)+(Z) – Rückgängig (Strg)+(A) – Alles markieren (æ__) – Zum übergeordneten Ordner wechseln

4

225

5

Benutzerverwaltung

Um Zugriff auf Ressourcen auf einem lokalen Rechner oder einer Domäne zu erhalten, ist ein Benutzerkonto mit eindeutigen Anmeldeinformationen Voraussetzung. Durch ein Benutzerkonto werden die Privilegien des Benutzers festgelegt. Hierbei ist zwischen lokalen Computerkonten und domänenbasierten Konten zu unterscheiden. Bereits mit Windows Vista hatte Microsoft einige Neuerungen im Bereich der Desktop-Benutzerverwaltung eingeführt, die vor allem der Verbesserung der Sicherheit der lokalen Benutzerkonten dienen. Kernkomponente ist die Benutzerkontensteuerung, die eine strikte Trennung von Administrator- und Benutzerkonten ermöglicht. In diesem Kapitel gehen wir auf alle wichtigen Aspekte zur Verwaltung lokaler Benutzer und Gruppen unter Windows 7 ein. In einem Unternehmensnetzwerk aber werden Windows 7-Rechner in der Regel als Clients in einem Active Directory-basierten Netzwerk fungieren und die Benutzer daher über domänenbasierte Konten verfügen. Gerade hier ist eine genaue Kenntnis der Zusammenhänge zwischen lokalen Konten und Gruppen und domänenbasierten Konten und Gruppen für eine erfolgreiche Administration wichtig. Diese Zusammenhänge einschließlich der damit verbundenen Benutzerprofile werden ebenfalls betrachtet.

5.1

Die Benutzerkontensteuerung

Zu den zentralen Benutzerverwaltungsfunktionen gehört die Benutzerkon- User Account tensteuerung (englisch: User Account Control – UAC). Es handelt sich hier- Control – UAC bei um eine Sicherheitsfunktion, die dafür sorgt, dass alle Benutzer Anwendungen und Aufgaben unter einem Standard-Benutzerkonto ausführen, auch wenn sie Mitglied der Gruppe der lokalen Administratoren sind.

227

Kapitel 5 Benutzerverwaltung

Damit werden zwei Problemfelder früherer Windows-Versionen adressiert. Zum einen ist es bei Windows-Versionen vor Windows Vista immer wieder erforderlich, Benutzerkonten der lokalen Gruppe Administratoren als Mitglieder hinzuzufügen, da Benutzer für die Installation, Aktualisierung und Ausführung vieler Anwendungen administrative Rechte benötigen. Das gilt leider auch für einfachste, aber notwendige Aufgaben, wie beispielsweise das Ändern der Systemzeit. Endbenutzern administrative Rechte zu geben, birgt jedoch ein hohes Risiko und sorgt u.a. dafür, dass Computer und Netzwerke verwundbar für Schadsoftware werden. Ersetzt „Ausführen als“

Zum anderen verwenden Administratoren häufig ihr administratives Konto zur Erledigung nicht administrativer Aufgaben. Seit der Veröffentlichung von Windows 2000 gibt es zwar mit der Funktion Ausführen als die Möglichkeit, Anwendungen als Administrator auszuführen, während man als Standardbenutzer angemeldet ist, doch wird diese Möglichkeit vielfach nicht genutzt. Bei Windows 7 werden administrative Aufgaben von normalen Aufgaben getrennt. Damit können Endbenutzer alle wesentlichen Aufgaben erledigen, und Administratoren können die meisten Anwendungen, Komponenten und Prozesse mit eingeschränkten Privilegien erledigen, haben aber gleichzeitig die Möglichkeit, bestimmte Aufgaben oder Anwendungen mit administrativen Rechten auszuführen.

5.1.1

Die Benutzerkontensteuerung im praktischen Einsatz

Der folgende Abschnitt stellt die Leistungsmerkmale der Benutzerkontensteuerung vor.

Der Benutzermodus Hauptziel der Benutzerkontensteuerung ist eine Reduzierung der Angriffsfläche des Betriebssystems. Hierzu arbeiten alle Benutzer als Standardbenutzer. Allerdings haben Standardbenutzer seit Windows Vista erweiterte Privilegien. Zu den Berechtigungen für Standardbenutzer gehören u.a. die folgenden: 왘 Anzeigen der Systemuhr und des Kalenders 왘 Ändern der Zeitzone 왘 Ändern der Anzeigeeinstellungen 왘 Ändern der Energiesparoptionen 왘 Installation von Schriftarten 왘 Installation von Wired Equivalent Privacy (WEP), um eine WLANVerbindung aufzubauen 왘 Installation von Druckern und anderen Geräten, für die ein Treiber im Treiberspeicher vorhanden ist 왘 Einrichten und Konfigurieren von VPN-Verbindungen 왘 Herunterladen und Installieren von Updates

228

Die Benutzerkontensteuerung

Zusätzlich ist es Standardbenutzern möglich, administrative Aufgaben aus- Kein Wechsel des zuführen, sofern sie ein Administratorkonto und dessen Kennwort kennen. Benutzerkontos Administrative Rechte sind beispielsweise in den folgenden Bereichen erforderlich erforderlich: Installation und Deinstallation von Anwendungen und Gerätetreibern, Verwaltung von Benutzerkonten, Systemkonfiguration, Zugriffe auf Systemdateibereiche und Partitionierung der Festplatte. Wenn ein Benutzer versucht, eine Anwendung zu starten, die höhere Rechte erfordert, zum Beispiel eine Softwareinstallation, wird er nach einem administrativen Kennwort gefragt. Wenn er das Kennwort des lokalen Administrators kennt, kann er dieses eingeben. Alternativ kann er den Administrator um Hilfe bitten. Administratoren können letztere Möglichkeit auch ausschalten. In diesem Fall wird der Benutzer lediglich darüber informiert, dass er die gewünschte Aufgabe nicht ausführen darf (siehe hierzu Abschnitt 5.1.2 ab Seite 233). Im Anhebungsdialog (engl. Elevation) wird die Anwendung bzw. die Datei genannt, die den Dialog aufgerufen hat. Über Details anzeigen kann deren Speicherort ermittelt werden.

5 Abbildung 5.1 Anhebungsdialog bei Anforderung administrativer Rechte

-Symbol Für welche Aktionen administrative Rechte erforderlich sind, wird jeweils durch ein Symbol gekennzeichnet. Dieses wird für alle Befehle verwendet, kennzeichnet für die administrative Rechte erforderlich sind, und findet sich im gesam- erforderliche Administratorten Betriebssystem wieder. rechte

229

Kapitel 5 Benutzerverwaltung Abbildung 5.2 Anhand des Sicherheitssymbols ist auf einen Blick erkennbar, welche Funktionen administrative Rechte erfordern.

Die Gruppe Hauptbenutzer Die Gruppe Hauptbenutzer war in den früheren Windows-Versionen dazu da, den Benutzern bestimmte administrative Rechte zu geben. Damit konnte zumindest teilweise vermieden werden, dass Benutzer in die Gruppe der Administratoren aufgenommen werden mussten, nur um bestimmte Aufgaben auszuführen. Mit der Benutzerkontensteuerung wird die Gruppe der Hauptbenutzer nicht mehr benötigt. Standardbenutzer können die meisten normalen Konfigurationsaufgaben ausführen, und ältere Anwendungen, die administrative Rechte benötigen, funktionieren aufgrund der Virtualisierung. Aus Gründen der Abwärtskompatibilität ist allerdings auch in Windows 7 die Gruppe Hauptbenutzer mit eingeschränkten administrativen Rechten verfügbar.

Der Administratormodus Bestätigungsmodus

Administratoren arbeiten bei Windows 7 ebenfalls standardmäßig mit dem Zugriffstoken des Standardbenutzers, d.h., allen Prozessen werden nach der Anmeldung als Administrator zunächst nur die Zugriffsrechte des Standardbenutzers gewährt. Im Hintergrund passiert dabei Folgendes: Meldet sich ein Benutzer an einem Windows 7-Rechner an, erstellt das System ein Zugriffstoken für den Benutzer. Das Token enthält alle erforderlichen Zugriffsinformationen einschließlich eines Security Identifiers (SID). Meldet sich ein Administra-

230

Die Benutzerkontensteuerung

tor am System an, werden zwei Zugriffstoken erstellt: ein Standardbenutzer-Token und ein Administrator-Token. Das Standardbenutzer-Token enthält zwar die gleichen Informationen wie das Administrator-Token, aber ohne administrative Zugriffsrechte und SID. Damit kann das Standardbenutzer-Token nicht zum Start von Anwendungen oder für den Zugriff auf Ressourcen verwendet werden, für die administrative Rechte erforderlich sind. Damit sind auch Benutzer, die im Administratorkontext arbeiten, vor ungewollten Installationen und vor der Ausführung bösartiger Software geschützt. Erfordert die Ausführung eines Programms erhöhte Rechte, wird das nachfolgende Bestätigungsdialogfeld eingeblendet. Im Gegensatz zum Standardbenutzer muss hier der Zugriff nur bestätigt werden, d.h., die Eingabe des Kennwortes entfällt. Dieses Verhalten wird als Bestätigungsmodus (engl. Admin Approval Mode) bezeichnet. Generiert ein Prozess weitere abhängige Prozesse, wird das Zugriffstoken an diese vererbt. Eine erneute Bestätigung ist nicht notwendig, sofern alle Prozesse denselben Integritätslevel besitzen.

5 Abbildung 5.3 Bestätigungsdialog, wenn eine Anwendung erhöhte Rechte benötigt

Anwendungen als Administrator starten In früheren Versionen von Windows gibt es den Befehl Ausführen als, mit dessen Hilfe Standardbenutzer bzw. Benutzer mit eingeschränkten Rechten Anwendungen starten können, die höhere Rechte erfordern, zum Beispiel eine Softwareinstallation. Administratoren, die im Kontext eines Benutzerkontos arbeiten, müssen sich damit nicht erst abmelden und als Administrator neu anmelden. In Windows 7 wurde anstelle des Befehls Ausführen als der neue Befehl Als Administrator ausführen implementiert. Dank der Benutzerkontensteuerung wird man als Administrator diesen Befehl aber wohl nur selten benötigen, da Windows bei Bedarf automatisch zur Eingabe eines Administratorkennworts auffordert. Für einige ältere Programme muss jedoch möglicherweise der Befehl Als Administrator ausführen dennoch verwendet werden, damit Sie sich nicht erst abmelden und erneut anmelden müssen. Zu finden ist der Befehl im Kontextmenü der Anwendung.

231

Kapitel 5 Benutzerverwaltung Abbildung 5.4 Option Als Administrator öffnen im Kontextmenü von Remotedesktopverbindung

Als Alternative zu Als Administrator ausführen kann über die Tastenkombination (Strg)+(ª)+(¢) eine Anwendung mit erhöhten Rechten gestartet werden. Geben Sie zum Beispiel in das Suchfeld des Startmenüs cmd ein, und drücken Sie die Tastenkombination. Danach wird die Benutzerkontensteuerung aufgerufen, das zur Bestätigung auffordert. Das Ausführen von cmd mit erhöhten Rechten ist vor allem nützlich, wenn man auf der Befehlszeilenebene viele administrative Schritte auf einmal ausführen möchte. In diesem Prozess gestartete Programme laufen dann automatisch im Administratorkontext.

Sicherer Desktop Die angezeigten Bestätigungs- und Anhebungsdialoge werden standardmäßig auf dem sogenannten sicheren Desktop angezeigt. Optisch ist dieser dadurch gekennzeichnet, dass alle anderen Fenster in einen abgeblendeten Hintergrund gelegt werden. Nur das Zustimmungsdialogfeld wird in normaler Helligkeit angezeigt. Außerdem ist kein Zugriff auf die anderen Fenster möglich. Hintergrund dieser Maßnahme ist, dass aus Sicherheitsgründen auf dem sicheren Desktop nur Prozesse ausgeführt werden können, die im Kontext System laufen. Damit soll verhindert werden, dass Programme das Bestätigungsdialogfeld grafisch imitieren können, um Kennwörter abzufangen. Mit einer Gruppenrichtlinie kann die Verwendung des sicheren Desktops abgeschaltet werden (siehe hierzu die Gruppenrichtlinien-Erläuterungen im nächsten Abschnitt).

232

Die Benutzerkontensteuerung

5.1.2

Sicherheitslevel der Benutzerkontensteuerung konfigurieren

Seit der Einführung der Benutzerkontensteuerung mit Windows Vista steht diese in der Kritik, Anwender und Administratoren mit viel zu vielen lästigen und zum Teil sogar mehrmaligen Abfragen zu nerven. Und da eine dedizierte Konfiguration unter Windows Vista nicht möglich ist, haben nicht wenige Anwender diese nützliche Sicherheitsfunktion gleich ganz abgeschaltet. Um diesem Problem zu begegnen, hat Microsoft die Benutzerkontensteuerung in Windows 7 gleich an mehreren Stellen angepasst. Zum einen fragt das System standardmäßig sehr viel seltener und nicht gleich mehrfach nach, und zum anderen bietet Windows 7 die Möglichkeit, die Warnstufe einzustellen. Allerdings geht dies auf Kosten der Sicherheit, denn in der Standardeinstel- AutoElevation lung ist UAC so konfiguriert, dass es bestimmte Änderungen automatisch verringert die mit dem Administrator-Token ausführt, ohne dass es einer Bestätigung Sicherheit bedarf (AutoElevation). Dazu verwendet Windows u.a. eine Art Positivliste (Whitelist) von betriebssystemeigenen Komponenten, denen die AutoElevation gestattet ist. Zu den sicheren Verzeichnissen zählen beispielsweise das Anwendungsverzeichnis und der System32-Ordner im Installationsverzeichnis. Auch einige privilegierte Prozesse erhalten automatisch AutoElevateRechte. Allerdings funktioniert die AutoElevation nur, wenn der angemeldete Benutzer über Administratorrechte verfügt, denn für Standardbenutzer gibt es im Hintergrund kein Administrator-Token. Das Problem dabei ist, dass auf diese Weise in vielen Situationen der Effekt von UAC entfällt, auf mögliche gefährliche Änderungen aufmerksam zu machen. Und anders als in der strikten Handhabung von Windows Vista ist es auf diese Weise auch möglich, dass Malware gezielt die neuen Mechanismen ausnutzt, um unbemerkt an administrative Rechte zu gelangen. Aus den genannten Gründen ist dringend zu empfehlen, die Standardeinstellung der Benutzerkontensteuerung zu ändern und die UAC-Einstellungen auf die höchste Stufe (immer benachrichtigen) und damit wieder auf das Niveau von Windows Vista zu bringen. Dazu stellt Microsoft einen Schieberegler zur Verfügung, der die UAC-Einstellungen in vier Stufen verändert oder diese Meldungen komplett deaktiviert. Zu finden sind die Einstellungsmöglichkeiten im Bereich Benutzerkonten Benutzerkontenund Jugendschutz der Systemsteuerung. Der Zugriff auf diesen Bereich steuerung konfierfolgt am schnellsten durch Eingabe von uac im Suchfeld des Startmenüs gurieren und Auswahl der Option Einstellungen der Benutzerkontensteuerung ändern. In dem sich öffnenden Dialogfeld können die Sicherheitseinstellung per Schieberegler eingestellt werden. Standardmäßig ist die zweithöchste Stufe eingestellt.

233

5

Kapitel 5 Benutzerverwaltung Abbildung 5.5 Die Benutzerkontensteuerung sollte auf das höchste Niveau eingestellt werden.

Auswählbar sind die folgenden Einstellungen: 왘 Immer benachrichtigen: Dies ist die sicherste Einstellung. Bei Auswahl dieser Option werden Sie benachrichtigt, bevor von einem Programm Änderungen am Computer oder an den Einstellungen von Windows vorgenommen werden, für die Administratorberechtigungen erforderlich sind. 왘 Nur benachrichtigen, wenn Änderungen an meinem Computer von Programmen vorgenommen werden: Dies ist die Standardeinstellung. Sie werden benachrichtigt, bevor von einem Programm Änderungen am Computer vorgenommen werden, für die Administratorberechtigungen erforderlich sind und wenn von einem Programm außerhalb von Windows versucht wird, Änderungen an einer Windows-Einstellung vorzunehmen. Sie werden jedoch nicht benachrichtigt, wenn Sie Änderungen an Einstellungen von Windows vornehmen, für die Administratorberechtigungen erforderlich sind. 왘 Nur benachrichtigen, wenn Änderungen an meinem Computer von Programmen vorgenommen werden (Desktop nicht abblenden): Bei dieser Einstellung handelt es sich um die gleiche Einstellung wie bei Nur benachrichtigen, wenn Änderungen an meinem Computer von Programmen vorgenommen werden, jedoch erfolgt die Benachrichtigung hier nicht auf dem sicheren Desktop. 왘 Nie benachrichtigen: Da Änderungen am Computer ohne Benachrichtigung erfolgen, ist dies die unsicherste Einstellung. Sie sollte nur in isolierten Testumgebungen verwendet werden. In diesem Fall muss sehr genau darauf geachtet werden, welche Programme ausgeführt werden, da diese den gleichen Zugriff auf den Computer besitzen wie Sie selbst. Programmen wird zudem das Kommunizieren und Übertragen von Informationen über sämtliche Verbindungen ermöglicht, die für den

234

Die Benutzerkontensteuerung

Computer hergestellt werden – einschließlich der Internetverbindung. Außerdem ist bei dieser Einstellung zu beachten, dass Standardbenutzern alle Änderungen, für die Administratorberechtigungen erforderlich sind, automatisch verweigert werden.

Konfiguration mittels Gruppenrichtlinien Eine alternative bzw. erweiterte Konfiguration der Benutzerkontensteuerung ist mithilfe von Gruppenrichtlinien möglich. Beispielsweise kann hier dediziert die Anzeige des Bestätigungsdialogs bei der Installation von Anwendungen ausgeschaltet werden. Zur Konfiguration der Benutzerkontensteuerung gehen Sie wie folgt vor: 1. Öffnen Sie durch Eingabe von gpedit.msc im Suchfeld des Startmenüs den Editor für lokale Gruppenrichtlinien. Hierfür sind administrative Rechte erforderlich. 2. Wählen Sie unter Computerkonfiguration/Windows-Einstellungen den Container Sicherheitseinstellungen. Alternativ können Sie im Suchfeld des Startmenüs den Befehl Sicherheitsrichtlinie oder secpol.msc eingeben. Hiermit wird direkt und ausschließlich der Container Sicherheitseinstellungen geöffnet. 3. Wählen Sie Lokale Richtlinien und anschließend Sicherheitsoptionen.

5

Abbildung 5.6: Sicherheitsrichtlinien zur Konfiguration der Benutzerkontensteuerung

Die Richtlinien zur Steuerung der Benutzerkontensteuerung bieten die nachfolgend beschriebenen Konfigurationsmöglichkeiten. Benutzerkontensteuerung: Administratorbestätigungsmodus für das inte- Richtlinien für grierte Administratorkonto Mit dieser Richtlinie kann der Bestätigungs- die Benutzerkondialog für die Ausführung mit erhöhten Rechten für das integrierte Admi- tensteuerung

nistratorkonto deaktiviert werden. Ist der Bestätigungsmodus deaktiviert, wird das integrierte Administratorkonto im XP-kompatiblen Modus angemeldet, was bedeutet, dass alle Anwendungen und Prozesse mit vollständiger Administratorberechtigung ausgeführt werden. Bemerkenswerterweise ist im Gegensatz zu Windows Vista diese Richtlinie unter Windows 7 standardmäßig deaktiviert.

235

Kapitel 5 Benutzerverwaltung Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen Mithilfe dieser Richtlinie kann die Benutzerkon-

tensteuerung für die administrativen Konten aktiviert bzw. deaktiviert werden. Ist der Bestätigungsmodus deaktiviert, werden alle Administratorkonten im XP-kompatiblen Modus angemeldet, was bedeutet, dass alle Anwendungen und Prozesse mit vollständiger Administratorberechtigung ausgeführt werden. Damit diese Richtlinie wirksam wird, muss der Rechner neu gestartet werden. Diese Richtlinie ist standardmäßig aktiviert. Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte einfordern Eine Installation wird über heuristische

Erkennungsmechanismen von Windows 7 erkannt, und der Anhebungsdialog zur Eingabe des Administratorkennwortes wird bei Verwendung eines Standardbenutzerkontos angezeigt. Wird diese Option deaktiviert, schaltet Windows 7 die automatische Erkennung ab. Anwendungen werden sich dann möglicherweise mit dem Hinweis melden, dass Administratorrechte zur Ausführung nötig sind, und die Installation verweigern. In Unternehmen, in denen automatisierte Verfahren zur Bereitstellung von Anwendungen verwendet werden, sollte diese Richtlinie deaktiviert werden. Standardmäßig ist die Richtlinie aktiviert. Benutzerkontensteuerung: Bei Eingabeaufforderung nach erhöhten Rechten zum sicheren Desktop wechseln Mit dieser Richtlinie wird bestimmt,

ob die Anforderung erhöhter Rechte als Fenster auf dem interaktiven Benutzerdesktop oder auf dem sicheren Desktop angezeigt wird. Standardmäßig ist die Richtlinie aktiviert, d.h., alle Anforderungen nach erhöhten Rechten werden auf dem sicheren Desktop angezeigt. Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren Diese Sicherheitseinstellung ermög-

licht es, Legacy-Anwendungen in virtualisierte geschützte Speicherbereiche der Registrierung und des Dateisystems zu schreiben. Durch die Virtualisierung wird das Ausführen von Legacy-Anwendungen möglich, die anderenfalls nicht im Kontext eines Standardbenutzers ausgeführt werden könnten. Werden nur Windows 7-kompatible Anwendungen ausgeführt, kann diese Funktion deaktiviert werden. In diesem Fall wird für Anwendungen, die Daten in geschützte Speicherorte schreiben wollen wie in vorherigen Windows-Versionen auch, ein Fehler zurückgegeben. Standardmäßig ist die Richtlinie aktiviert. Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind Mit dieser Sicherheitseinstellung werden Sig-

naturüberprüfungen für interaktive Anwendungen erzwungen, die erhöhte Rechte erfordern. Ist die Richtlinie aktiviert, wird der Dialog Ein nicht identifiziertes Programm möchte auf den Computer zugreifen nicht eingeblendet und ein Zugriff von vornherein blockiert. Standardmäßig ist die Richtlinie deaktiviert.

236

Die Benutzerkontensteuerung Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind Mit dieser Richtlinie wird die

Anforderung erzwungen, dass sich Anwendungen, die eine Ausführung mit einer UIAccess-Integritätsebene anfordern, an einem sicheren Speicherort im Dateisystem befinden müssen. Sichere Speicherorte sind auf die folgenden Verzeichnisse begrenzt: 왘 \Programme\ (einschließlich Unterverzeichnisse) 왘 \Windows\system32\ 왘 \Programme (x86)\ (einschließlich der Unterverzeichnisse für 64-BitVersionen von Windows) Unabhängig vom Status dieser Richtlinie wird eine Signaturüberprüfung für jede interaktive Anwendung erzwungen, die eine Ausführung mit einer UIAccess-Integritätsebene anfordert. Standardmäßig ist die Richtlinie aktiviert. Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechten für Administratoren im Administratorbestätigungsmodus Diese

5

Richtlinieneinstellung steuert das Verhalten der Eingabeaufforderung zur Anforderung erhöhter Rechte für Administratoren. Die Einstellungen entsprechen im Wesentlichen den Optionen, die im Dialogfeld Einstellungen für Benutzerkontensteuerung zu finden sind: 왘 Erhöhte Rechte ohne Eingabeaufforderung 왘 Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop 왘 Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop 왘 Eingabeaufforderung zu Anmeldeinformationen 왘 Eingabeaufforderung zur Zustimmung 왘 Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien (Standardeinstellung) Eine detaillierte Beschreibung der einzelnen Einstellungen ist auf der Registerkarte Erklärung im Konfigurationsdialogfeld der Richtlinie zu finden. Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechten für Standardbenutzer Diese Richtlinie bestimmt das Verhalten

der Eingabeaufforderung mit erhöhten Rechten für Standardbenutzer. Bei Auswahl der Option Aufforderung zur Eingabe der Anmeldeinformationen bzw. Aufforderung zur Eingabe der Anmeldeinformationen auf dem sicheren Desktop wird der Benutzer zur Eingabe eines Benutzernamens und Kennworts mit Administratorrechten aufgefordert. Falls der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit dem entsprechenden Recht fortgesetzt. Ist die Option Anhebungsaufforderung automatisch abweisen ausgewählt, wird dem Standardbenutzer eine Fehlermeldung angezeigt, wenn er versucht, einen Vorgang auszuführen, für den erhöhte Rechte erforderlich sind.

237

Kapitel 5 Benutzerverwaltung Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern Standardmäßig kann der sichere Desk-

top nur von einem Administrator auf dem Computer oder über Deaktivierung der Gruppenrichtlinie Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln deaktiviert werden. Wird die Richtlinie aktiviert, können UIAccess-Programme, einschließlich der Windows-Remoteunterstützung, den sicheren Desktop für Eingabeaufforderungen für erhöhte Rechte automatisch deaktivieren. Erforderlich ist dies bei bestimmten UIAccess-Szenarien, beispielsweise beim Bereitstellen von Remoteunterstützung für Standardbenutzer. Standardmäßig ist die Richtlinie deaktiviert.

5.2

Benutzer verwalten

Zur Verwaltung von Benutzern sind in Windows 7 verschiedene Werkzeuge integriert. Welche im Einzelfall zur Verfügung stehen, ist von der eingesetzten Edition abhängig. So können in den Home-Editionen Benutzerkonten ausschließlich mittels der Funktion Benutzerkonten verwaltet werden. Hierbei handelt es sich im Wesentlichen um eine vereinfachte Sicht auf die Benutzerverwaltung, die in detaillierter und vollständiger Form im Snap-in Lokale Benutzer und Gruppen in der Computerverwaltung zu finden ist. Diese Konsole steht jedoch nur in den Business-Editionen zur Verfügung. Der folgende Abschnitt stellt die Möglichkeiten beider Werkzeuge vor.

5.2.1

Das Dienstprogramm „Benutzerkonten“ für einfache Kontenverwaltung

Die Funktion Benutzerkonten befindet sich in der Systemsteuerung und wendet sich vorrangig an Benutzer, die ihr eigenes Konto verwalten möchten. So können Benutzer hier beispielsweise das Kennwort für das eigene Konto ändern oder ein neues Bild auswählen. Welche Funktionen dem Benutzer zur Verfügung stehen, ist von der verwendeten Edition bzw. davon abhängig, ob der Computer Mitglied einer Domäne oder einer Arbeitsgruppe ist. Am schnellsten kann das nachstehend gezeigte Dialogfeld durch einen Mausklick auf das Bild im Startmenü geöffnet werden. Danach wird der Anhebungsdialog aufgerufen, der zur Bestätigung auffordert. Anderes Konto verwalten

238

Auch die Verwaltung anderer Konten ist Benutzern mit administrativen Rechten an dieser Stelle möglich. Hierzu ist die Option Benutzerkonten verwalten zu verwenden. Standardmäßig werden nach dem Abschluss der Installation unter Benutzerkonten nur das während der Installation eingerichtete Administratorkonto sowie das vordefinierte Gastkonto angezeigt. Allerdings beschränken sich die Änderungsmöglichkeiten auf die lokalen Benutzerkonten. Änderungen von Domänenbenutzerkonten sind konsequenterweise an dieser Stelle nicht möglich.

Benutzer verwalten Abbildung 5.7 Der Systemsteuerungsbereich Benutzerkonten bei Mitgliedschaft des Computers in einer Domäne

5

Die verfügbaren Optionen ermöglichen das Erstellen und Löschen neuer Konten sowie die Änderung von Namen und Beschreibung und der Gruppenmitgliedschaft eines ausgewählten Kontos. Einschränkend können an dieser Stelle keine neuen lokalen Gruppen erstellt werden. Hierzu muss das Snap-in Lokale Benutzer und Gruppen in der Computerverwaltung verwendet werden. Abbildung 5.8 Verwaltung anderer Konten im Dialogfeld Benutzerkonten bei Mitgliedschaft des Computers in einer Domäne

Einige weitere interessante Funktionen sind auf der Registerkarte Erweitert zu finden. Hierzu zählt auch die Option Kennwörter verwalten. Damit

239

Kapitel 5 Benutzerverwaltung

ist es beispielsweise möglich, Kennwörter für ausgewählte Serverzugriffe zu hinterlegen. Die verbundene Funktion Anmeldeinformationen für automatisches Anmelden speichern stellt die auf dem Clientrechner hinterlegten Kennwörter zur Verfügung, wenn sie für den Zugriff auf die Netzwerkressourcen erforderlich sind. Dies ermöglicht u.a. den Zugriff auf Computer in einer nicht vertrauenswürdigen Domäne ohne Abfrage des Domänenbenutzernamens und des Kennworts.

Abbildung 5.9: Verwaltung der eigenen Anmeldeinformationen

Die Anmeldeinformationen werden als Teil des Benutzerprofils gespeichert. Das bedeutet, dass diese verloren sind, wenn das Profil gelöscht wird. Außerdem gehen die gespeicherten Anmeldeinformationen verloren, wenn das Kennwort für ein Benutzerkonto zurückgesetzt werden muss. Zu diesem Zweck bietet Windows 7 die Möglichkeit, die Anmeldeinformationen auf Festplatte oder auf einen Wechseldatenträger zu speichern. Anmeldeinformationen werden zwar verschlüsselt abgelegt, trotzdem ist das Speichern von Anmeldeinformationen (insbesondere für Konten mit administrativen Rechten) aus Sicherheitserwägungen bedenklich. Kann sich jemand Zugriff im Kontext des lokalen Benutzers verschaffen, hat er damit automatisch auch Zugriff auf die Netzwerkressourcen. Kennwortrücksetzdiskette erstellen

Ist der Computer Mitglied einer Arbeitsgruppe oder ein allein stehender Computer, besteht im Rahmen der Benutzerverwaltung zusätzlich die Möglichkeit, einmalig eine Kennwortrücksetzdiskette zu erstellen. Falls ein Anwender das Kennwort für sein lokales Benutzerkonto vergisst, kann das Kennwort mithilfe des gespeicherten Kennworts zurückgesetzt werden, sodass er wieder auf den Computer zugreifen kann. Möglich ist die Speicherung des Kennworts auf Diskette oder ein USB-Flashlaufwerk. Sofern sich der Computer in einer Domäne befindet, steht diese Option nicht zur Verfügung.

240

Benutzer verwalten

Bei der Anmeldung an einem Computer kann ein vergessenes Kennwort Kennwort mithilfe der Option Kennwort zurücksetzen und des gespeicherten Kenn- zurücksetzen worts ersetzt werden. Stecken Sie dazu das Wechselmedium ein, und folgen Sie anschließend den Anweisungen des Assistent für vergessene Kennwörter, um ein neues Kennwort zu erstellen. Melden Sie sich mithilfe des neuen Kennwortes an, und bewahren Sie die Kennwortrücksetzdiskette bzw. den USB-Speicherstick anschließend an einem sicheren Ort auf, falls Sie Ihr Kennwort zu einem späteren Zeitpunkt erneut zurücksetzen müssen.

5.2.2

Erweiterte Benutzerverwaltung

Administratoren in einem Unternehmensnetzwerk, die eine der BusinessEditionen von Windows 7 verwenden, werden die Systemsteuerungsfunktion Benutzerkonten nur selten nutzen, da diese eine Reihe von Einschränkungen aufweist. Eine umfassende Benutzerverwaltung ist in diesem Fall nur mit dem Snap-in Lokale Benutzer und Gruppen möglich. Alternativ kann auch in der Befehlszeile die Anweisung net user verwendet werden.

5

Das Snap-in „Lokale Benutzer und Gruppen“ Die Konsole Lokale Benutzer und Gruppen ist als Snap-in in die Computerverwaltung integriert. Separat kann die Konsole am schnellsten durch Eingabe von lusrmgr.msc im Suchfeld des Startmenüs geöffnet werden. Die Verwaltung von Domänenbenutzerkonten ist an dieser Stelle nicht möglich. Zur Administration dieser Konten muss das Snap-in Active Directory-Benutzer und -Computer verwendet werden. Wie auch bei den Vorgängerversionen stellt Microsoft die Remoteserver-Verwaltungstools (Remote Server Administration Tools – RSAT) für Windows 7 zum kostenlosen Download bereit [RSAT]. Damit können von Computern unter Windows 7 Rollen und Funktionen auf Remotecomputern mit Windows Server 2008 R2, Windows Sserver 2008 oder Windows Server 2003 verwaltet werden. Die Remoteserver-Verwaltungstools für Windows 7 können auf Computern mit Windows 7 Enterprise, Professional oder Ultimate installiert werden. Unterstützt werden sowohl die x86- als auch die x64basierten Windows 7-Versionen. Detaillierte Informationen zu den Tools, die in Remoteserver-Verwaltungstools für Windows 7 verfügbar sind, finden Sie im Knowledge-Base-Artikel 958830 [KBRSAT].

Abbildung 5.10: Snap-in Lokale Benutzer und Gruppen 241

Kapitel 5 Benutzerverwaltung Funktionen

Im Container Benutzer werden alle lokalen Benutzerkonten, die in der Benutzerdatenbank des Computers gespeichert sind, aufgelistet. Hier können die folgenden Aufgaben durchgeführt werden: 왘 Neue lokale Benutzerkonten hinzufügen oder bestehende löschen. Mit Ausnahme einiger Benutzerkonten, wie dem Administrator- und dem Gastkonto, werden standardmäßig während der Installation von Windows 7 keine lokalen Benutzerkonten erstellt. Werden weitere Benutzerkonten benötigt, müssen diese erstellt werden. Hierzu sind entsprechende Rechte erforderlich. 왘 Benutzerkontennamen und Beschreibung ändern. Da Benutzerkonten unter Windows ausschließlich über eine eindeutige Kennung unterschieden werden, kann der Benutzername jederzeit geändert werden. 왘 Kennwortoptionen ändern. Darüber hinaus können in den Eigenschaften der Benutzerkonten die Kennwortoptionen für das betreffende Konto geändert werden. So kann beispielsweise festgelegt werden, dass der Benutzer das Kennwort nicht ändern kann. 왘 Die Gruppenmitgliedschaft der Benutzerkonten verwalten. 왘 Profileinstellungen der einzelnen Benutzerkonten verwalten. 왘 Benutzerkonten vorübergehend deaktivieren 왘 Einen neuen Benutzer erstellen Um in der Konsole ein neues Benutzerkonto einzurichten, ist im Kontextmenü von Benutzer die Option Neuer Benutzer zu wählen. Bei der Einrichtung eines neuen Benutzerkontos sind der Benutzername, der vollständige Name, der in einigen Dialogfeldern zur Anzeige verwendet wird, und eine Beschreibung einzutragen. Weiterhin müssen ein Kennwort vergeben und die Kennwortoptionen festgelegt werden. Wird ein Benutzerkonto gelöscht, ist zu beachten, dass Windows 7 intern nicht den Namen, sondern einen Security Identifier verwendet. Wird anschließend ein neuer Benutzer mit dem gleichen Namen erstellt, handelt es sich trotzdem um einen anderen Benutzer. Die Zugriffsrechte des ehemaligen Benutzers sind für diesen deshalb nicht wirksam.

Benutzereigenschaften ändern

Änderungen hinsichtlich der Kennwortoptionen, Gruppenmitgliedschaften und Benutzerprofile sind in dem Eigenschaftendialogfeld des betreffenden lokalen Benutzerkontos jederzeit möglich. Allerdings sucht man hier die Möglichkeit zum Umbenennen eines Benutzerkontos und zum Festlegen eines neuen Kennwortes vergeblich. Diese beiden Optionen können nur direkt im Kontextmenü des betreffenden Benutzerkontos oder im Menü Aktion ausgewählt werden. Mit der Funktion Kennwort festlegen im Kontextmenü des Benutzerkontos kann ein Administrator ein vom Benutzer vergessenes Kennwort zurücksetzen. Hierbei ist jedoch zu beachten, dass nach dem Zurücksetzen des Kennworts kein Zugriff mehr auf die lokal liegenden verschlüsselten Daten des Benutzers möglich ist.

242

Benutzer verwalten

Der Entschlüsselungsschlüssel wird aus dem Kennwort des Benutzers abgeleitet. Daher kann das System die verschlüsselten Dateien nach dem Zurücksetzen des Kennworts durch den Administrator nicht mehr entschlüsseln. Dieses Verhalten tritt nicht auf, wenn ein Benutzer sein Kennwort selbst ändert. In diesem Fall werden die Schlüssel automatisch mit dem neuen Kennwort verschlüsselt. Abbildung 5.11 Kontextmenü zur Konfiguration eines ausgewählten lokalen Benutzerkontos

5

Der Befehl net user Das bereits bei den Vorgängerversionen integrierte Befehlszeilenprogramm Net.exe bietet eine Alternative zu den Benutzerschnittstellen in der GUI. Die Verwaltung von Benutzerkonten ist möglich mit dem Befehl net user. Hiermit können Benutzerkonten hinzugefügt und geändert oder Informationen über Benutzerkonten angezeigt werden. Die Syntax hierzu lautet: NET USER [Benutzername Benutzername Benutzername Benutzername

Syntax

[Kennwort|*] [Optionen]] [/DOMAIN] {Kennwort|*} /ADD [Optionen] /DOMAIN] [/DELETE] [/DOMAIN] [/TIMES:Zeiten |ALL]

Bei Verwendung von net user ohne Parameter werden alle lokalen Benutzerkonten aufgelistet (möglich ist auch die Eingabe von net users). Die Anzeige aller verfügbaren Parameter mit einer sehr hilfreichen Beschreibung ist möglich mit dem Befehl: net help user

Die Einrichtung eines neuen Benutzerkontos ist beispielsweise mit dem Benutzerkonto erstellen folgenden Befehl möglich: net user /add [Optionen]

Alle Detailinformationen zu einem Benutzerkonto können mit dem folgenden Befehl angezeigt werden: net user

243

Kapitel 5 Benutzerverwaltung Kennwort ändern

Interessant sind die Möglichkeiten zur Vergabe von Kennwörtern. Beispielsweise kann sehr schnell das Anmeldekennwort für ein Benutzerkonto geändert werden. Hierzu ist der Befehl net user

einzugeben, wobei für das neue Kennwort steht. Da das Kennwort hierzu in Klarschrift angezeigt wird, ist jedoch folgender Weg vorzuziehen: net user "*"

Anschließend erscheint eine weitere Zeile mit der Aufforderung, das Kennwort einzugeben. Der eingetippte Name wird hier nicht angezeigt. Benutzereigenschaften ändern

Aber auch zum Ändern der Eigenschaften eines Kontos bietet der Befehl net user die entsprechenden Parameter. Die folgende Auflistung enthält nur die für die Verwaltung lokaler Benutzer relevanten Optionen. /active:{yes|no}: Deaktiviert oder aktiviert das Konto. /comment:"Beschreibung": Ermöglicht die Eingabe einer Beschreibung für

das Benutzerkonto (maximal 48 Zeichen). /fullname:"Name": Der vollständige Name des Benutzers. Der Name muss in Anführungszeichen stehen. /kennwordchg:{yes|no}: Legt fest, ob der Benutzer das eigene Kennwort

ändern kann. /kennwordreq:{yes|no}: Legt fest, ob ein Benutzerkonto ein Kennwort haben

muss.

5.2.3

SID-Verwaltung bei Benutzerkonten

Benutzerkonten bieten Benutzern die Möglichkeit, sich am Netzwerk oder am lokalen Computer anzumelden und auf lokale und Netzwerkressourcen zuzugreifen. Der Zugriff des Benutzers erfolgt mit seinem Anmeldenamen und dem Kennwort. Jeder Eintrag eines Benutzers wird in der Benutzerdatenbank über eine eindeutige SID (Security Identifier) geführt. SID ermitteln

Auch wenn die SID nur für die interne Verwaltung von Benutzer- und Gruppenkonten verwendet wird, ist es in einigen Fällen erforderlich, die SID eines Kontos zu kennen, beispielsweise um gezielt Registrierungseinträge von Benutzern zu ändern.

SID (Security Identifier) SIDs werden in einem Windows-System verwendet, um Sicherheitsprincipals eindeutig zu identifizieren. Unter einem Sicherheitsprincipal wiederum versteht man Objekte, denen automatisch eine Sicherheitskennung zugewiesen wird. Hierzu zählen Benutzerkonten, Computerkonten und Gruppenkonten. Nur Objekte mit einer Sicherheitskennung können sich am Computer oder am Netzwerk anmelden und auf Ressourcen zugreifen.

244

Benutzer verwalten

Die SID wird vom System zum Zeitpunkt der Konto- oder Gruppenerstellung zugewiesen. Hierbei wird die SID eines lokalen Kontos oder einer lokalen Gruppe von der lokalen Sicherheitsautorität (Local Security Authority, LSA) auf dem Computer erstellt und mit anderen Kontoinformationen in einem gesicherten Bereich der Registrierung gespeichert. Die SID eines Domänenkontos oder einer Domänengruppe wird von der Domänensicherheitsautorität erstellt und als Attribut des Benutzerobjekts oder der Gruppe im Active Directory gespeichert. Durch eine SID wird der Sicherheitsprincipal im ganzen Netzwerk eindeutig identifiziert. Auch wenn der Name geändert wird, bleibt die SID erhalten. Wird beispielsweise ein Benutzer im Netzwerk gelöscht, wird auch seine SID gelöscht. Wird der Benutzer mit dem gleichen Namen wieder neu angelegt, erhält er eine neue SID, weshalb ihm alle Berechtigungen wieder neu zugewiesen werden müssen. Auch aus diesem Grund ist es besser, Zugriffsrechte auf Gruppen- statt auf Benutzerebene zuzuweisen, da diese erfahrungsgemäß seltener gelöscht und neu angelegt werden als Benutzerkonten.

5

Am einfachsten kann unter Windows 7 die SID mit dem Befehlszeilen- Whoami.exe programm Whoami.exe ermittelt werden. Whoami.exe kann die SIDs und die Anmelde-IDs sowie Rechte- und Gruppenzuordnungen des aktuell angemeldeten Benutzers ermitteln und ausgeben. Die SID eines Benutzers kann mit dem folgenden Befehl abgefragt werden: whoami /user

Ausgesprochen nützlich kann der Parameter /all sein, mit dem alle verfügbaren Informationen zu dem aktuell angemeldeten Benutzer ausgegeben werden. Dies umfasst die folgenden Parameter: /user /groups /priv (Individuelle Rechte) /logonid /sid

Das Programm hat jedoch die Einschränkung, dass nur Informationen zum aktuellen Benutzer angezeigt werden.

5.2.4

Vordefinierte Benutzerkonten

Windows 7 richtet standardmäßig zwei Benutzerkonten ein: 왘 Administratorkonto Das Administratorkonto wird während der Installation von Windows 7 erstellt und ist standardmäßig deaktiviert. Um es verwenden zu können, muss es zunächst aktiviert werden. Hierbei wird zur Eingabe eines neuen Kennworts aufgefordert.

245

Kapitel 5 Benutzerverwaltung

Aus Sicherheitsgründen sollte für das Administratorkonto ein möglichst sicheres Kennwort festgelegt werden, das den Komplexitätsanforderungen entspricht. Hohe Sicherheit ist mit einem Administratorkennwort gewährleistet, das mindestens neun Zeichen lang ist, mindestens ein Satzzeichen und ein nichtdruckbares ASCII-Zeichen (einzugeben über die (Alt)-Taste in Kombination mit einem dreistelligen Zahlenschlüssel) enthält. Außerdem sollte das Administratorkonto umbenannt werden, um potenziellen Hackern den Zugriff zu erschweren. Insbesondere das lokale Administratorkonto ist häufig ein Ziel interner Mitarbeiter, die versuchen, darüber höhere Zugriffsberechtigungen zu erlangen. 왘 Gastkonto

Ein weiteres vordefiniertes und standardmäßig deaktiviertes Konto ist das Gastkonto. Mit diesem Konto können verschiedenen Benutzern die Anmeldung am lokalen Computer und der Zugriff auf Ressourcen ermöglicht werden, ohne dass für jeden Benutzer ein Konto eingerichtet werden muss. Da ein personalisierter Systemzugriff in jedem Fall vorzuziehen ist und auch vonseiten der Revision in aller Regel gefordert wird, sollte auch für Benutzer, die nur vorübergehend Zugriff benötigen, ein eigenes Benutzerkonto eingerichtet werden.

Das Gastkonto Das Gastkonto ist standardmäßig Mitglied der Gruppe Gäste. Eine genaue Erläuterung der Gruppen finden Sie in Abschnitt 5.3.2 ab Seite 252. Bei einer interaktiven Anmeldung ist das Gastkonto Mitglied der beiden Gruppen Gäste und Benutzer. Bei einer Anmeldung über das Netzwerk ist das Gastkonto jedoch standardmäßig kein Mitglied der Benutzergruppe. Einen weiteren Punkt gilt es hinsichtlich der Netzwerkanmeldung mit dem Gastkonto an einem Rechner unter Windows 7, der nicht Mitglied einer Domäne ist, zu beachten. Auf diesen werden Netzwerkanmeldungen standardmäßig dem Gastkonto zugeordnet. Dies erleichtert die Freigabe von Ressourcen in Heimnetzwerken oder kleinen Netzwerken, verhindert aber die Möglichkeit zur Vergabe individueller Berechtigungen. Mittels einer Gruppenrichtlinie können die Verwendung des Gastkontos und das Freigabeverhalten von Windows 7 in einer Arbeitsgruppenumgebung administriert werden. Für die Gruppenrichtlinie Computerkonfiguration/Windows-Einstellungen/ Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen/Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten stehen zwei Einstellungen zur Auswahl: 왘 Klassisch: Lokale Benutzer werden unter ihrer eigenen Identität authentifiziert. Dies ist die Standardeinstellung für Computer, die Mitglied einer Domäne sind.

246

Benutzer verwalten 왘 Nur Gast: Lokale Benutzer werden über das Konto Gast authentifi-

ziert. Alle Benutzer werden dabei gleich behandelt und erhalten die gleiche Zugriffsstufe für eine Ressource. Dies ist die Standardeinstellung für Computer, die Mitglied einer Arbeitsgruppe sind. Wird für diese Option die Einstellung Klassisch verwendet, werden Netzwerkanmeldungen anhand der verwendeten Anmeldeinformationen authentifiziert. Wird für diese Option die Einstellung Nur Gast festgelegt, werden Netzwerkanmeldungen, die ein lokales Konto verwenden, automatisch dem Gastkonto zugeordnet.

5.2.5

Kennwortrichtlinien verwalten

Kennwörter gehören zu den wichtigsten Schutzmechanismen und sollten entsprechend aufmerksam behandelt werden. Zwar erfolgt in einem Firmennetzwerk die Umsetzung von Firmenrichtlinien hinsichtlich der Verwaltung von Kennwörtern in aller Regel zentral, die Kenntnis der Steuerungsmöglichkeiten für lokale Benutzerkonten ist trotzdem erforderlich.

5

Hinsichtlich der Festlegung für die Kennwortoptionen sind im Eigen- Kennwortoptionen schaftenfenster von Benutzerkonten die folgenden Optionen zu finden: 왘 Benutzer muss Kennwort bei der nächsten Anmeldung ändern Ist diese Option aktiviert, wird der Benutzer bei der ersten Anmeldung aufgefordert, ein neues Kennwort einzugeben. Dies ermöglicht es dem Administrator, einem Benutzer ein einfaches Startkennwort zuzuweisen, das der Benutzer bei der nächsten Anmeldung ändern muss. Weiterhin ist sichergestellt, dass dem Administrator das Benutzerkennwort nicht bekannt ist. 왘 Benutzer kann Kennwort nicht ändern Bei Aktivierung dieser Option kann der Benutzer sein eigenes Kennwort nicht ändern. Diese Option wird in der Regel für Dienstkonten verwendet. 왘 Kennwort läuft nie ab Aus Sicherheitsgründen sollten Benutzer gezwungen sein, periodisch ihr Kennwort zu ändern. Die Ablaufdauer kann in der entsprechenden Sicherheitsrichtlinie festgelegt werden und beträgt standardmäßig 42 Tage. Die Aktivierung dieser Option setzt die Einstellungen in der Gruppenrichtlinie für den betreffenden Benutzer außer Kraft. Diese Option sollte daher nur in Ausnahmefällen (beispielsweise für Dienstkonten) aktiviert werden.

247

Kapitel 5 Benutzerverwaltung Abbildung 5.12 Kennwortoptionen für einzelne Benutzerkonten

Zusätzlich können zentral Kennworteinstellungen für den Computer bzw. die Domäne konfiguriert werden. Seit Windows 2000 erfolgt die Festlegung genereller Kennworteinstellungen, wie beispielsweise für die Erzwingung einer erforderlichen Mindestlänge für Kennwörter oder die Verwendung von Kennwortchroniken, in den mehrfach angesprochenen Gruppenrichtlinien bzw. konkret den Sicherheitsrichtlinien. Kennwörter mit Gruppenrichtlinien konfigurieren

Gruppenrichtlinien erlauben die Vorgabe von Einstellungen, die zum einen auf den lokalen Computer beschränkt sein können und/oder zum anderen für Bereiche des Active Directory (Standorte, Domänen, Organisationseinheiten oder Subnetze) Anwendung finden. Die lokalen Sicherheitsrichtlinien bzw. Sicherheitseinstellungen sind im lokalen Gruppenrichtlinienobjekt zu finden. Zur Konfiguration lokaler Sicherheitsrichtlinien gehen Sie wie folgt vor: 1. Öffnen Sie durch Eingabe von gpedit.msc im Suchfeld des Startmenüs den Editor für lokale Gruppenrichtlinien. Hierfür sind administrative Rechte erforderlich. 2. Wählen Sie unter Computerkonfiguration/Windows-Einstellungen den Container Sicherheitseinstellungen. Alternativ können Sie im Suchfeld des Startmenüs den Befehl Sicherheitsrichtlinie oder secpol.msc eingeben. Hiermit wird direkt und ausschließlich der Container Sicherheitseinstellungen geöffnet. 3. Wählen Sie Kontorichtlinien und anschließend Kennwortrichtlinien.

248

Benutzer verwalten Abbildung 5.13 Konfiguration der Kennwortrichtlinien in den lokalen Sicherheitseinstellungen

Eine gute Absicherung lässt sich mit den folgenden Einstellungen erzie- Kennwortsicherlen, die aber lediglich als Anhaltspunkte dienen können und dem indivi- heit erhöhen duellen Sicherheitsstandard entsprechend angepasst werden müssen: 왘 Die Mindestlänge für Kennwörter sollte sieben Zeichen nicht unterschreiten. 왘 Die maximale Kennwortdauer hängt von der verwendeten Netzwerkkonfiguration ab und sollte nicht mehr als 42 Tage betragen. Dies ist der Standardwert. 왘 Die minimale Kennwortdauer sollte auf einen Wert zwischen einem und sieben Tagen gesetzt werden. Der Standardwert null erlaubt eine sofortige erneute Änderung des Kennworts, was zu einer Umgehung des Kennworterneuerungszyklus missbraucht werden kann. 왘 Mindestens die letzten sechs Kennwörter sollten in der Kennwortchronik gespeichert werden. Wichtig ist die Aktivierung der Richtlinie Kennwort muss Komplexitätsvoraus- Komplexe setzungen entsprechen. Ist diese Richtlinie aktiviert, müssen bei Vergabe eines Kennwörter neuen Kennwortes mindestens drei der folgenden vier Vorgaben erfüllt sein: 왘 Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen. 왘 Das Kennwort muss mindestens sechs Zeichen lang sein. 왘 Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten: 왘 Großbuchstaben (A bis Z) 왘 Kleinbuchstaben (a bis z) 왘 Zahlen zur Basis 10 (0 bis 9) 왘 Nicht alphabetische Zeichen (zum Beispiel !, $, #, %) Hierbei ist zu beachten, dass die Komplexitätsvoraussetzungen nur erzwungen werden, wenn Kennwörter geändert oder erstellt werden.

249

5

Kapitel 5 Benutzerverwaltung Kennwörter auf Sicherheit prüfen

Zur Überprüfung der Sicherheit von Passwörtern stellt Microsoft einen Online-Passwort-Checker [MSPW] zur Verfügung. Dieser kann jedoch nur einen ersten Ansatz bieten, da er ein Passwort wie Microsoft bereits mit der Sicherheitsstufe Medium und Microsoft123 mit der Sicherheitsstufe Strong bewertet. Sehr gut geeignet ist hingegen der Passwort-Checker, der vom Datenschutzbeauftragten des Kantons Zürich bereitgestellt wird. Die Auswertung gibt zusätzliche Hinweise auf Schwachstellen des geprüften Kennwortes. Außerdem erfolgt die Übertragung der Kennwörter verschlüsselt [KZPW].

Einschränkungen für Konten mit leeren Kennwörtern Seit der Version Windows XP werden Benutzer, die ein leeres Kennwort verwenden, bei Netzwerkzugriffen standardmäßig beschränkt. Konten mit leeren Kennwörtern können nicht mehr für eine Remoteanmeldung an dem Computer verwendet werden. Wird einem lokalen Konto ohne Kennwort in der Folge ein Kennwort zugewiesen, wird diese Einschränkung entfernt. Die Einstellung hat jedoch keine Auswirkungen auf Anmeldungen, die mit einem Domänenbenutzerkonto erfolgen. Außerdem können Anwendungen, die interaktive Remoteanmeldungen verwenden, diese Einstellung umgehen. Wie Windows 7 mit leeren Kennwörtern umgehen soll, wird mithilfe einer Richtlinie im Container Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen gesteuert. Mit der Richtlinie Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken wird festgelegt, ob lokale Konten, die nicht kennwortgeschützt sind, verwendet werden können, um sich über das Netzwerk von anderen Standorten aus anzumelden. Standardmäßig ist diese Einschränkung aktiviert. Abbildung 5.14 Sicherheitsrichtlinie zur Einschränkung von Konten mit leeren Kennwörtern auf die Konsolenanmeldung

250

Verwaltung lokaler Gruppenkonten

5.3

Verwaltung lokaler Gruppenkonten

Zur Vereinfachung der Administration werden Berechtigungen und Benutzerrechte in der Regel nicht einzelnen Benutzern, sondern Gruppen erteilt. Wird ein Benutzer einer Gruppe hinzugefügt, erhält er nach einer erneuten Anmeldung alle Berechtigungen und Benutzerrechte, die dieser Gruppe zugewiesen sind. Nach der Installation von Windows 7 ist bereits eine Reihe von Gruppen angelegt, deren Mitglieder hierüber entsprechende Rechte erhalten. Zusätzlich können benutzerdefinierte Gruppen eingerichtet werden.

5.3.1

Gruppentypen im Vergleich

Für die Verwaltung eines einzelnen Windows 7-Computers spielen konsequenterweise nur die lokalen Gruppen eine Rolle. In einem Active Directory-basierten Unternehmensnetzwerk mit einem verschachtelten Gruppenmodell gibt es zwangsläufig ein Zusammenspiel mit anderen Gruppentypen, sodass an dieser Stelle ein kurzer Blick auf die in einer Active Directory-Umgebung verfügbaren Gruppentypen erforderlich ist. Hierbei werden ausschließlich sicherheitsrelevante Gruppen (keine Verteilergruppen) betrachtet. 왘 (Computer)lokale Gruppen

5

Gruppentypen in

Lokale Gruppen werden in der Sicherheitsdatenbank des jeweiligen Active Directory Computers verwaltet, auf dem sie erstellt wurden, und dienen zur Administration von Rechten und Berechtigungen für Ressourcen auf einem lokalen Computer. 왘 Domänenlokale Gruppen

Domänenlokale Gruppen stehen lokal in der jeweiligen Domäne zur Verfügung, in der sie erstellt wurden. Sie dienen zur Administration von Rechten und Berechtigungen für Objekte auf Computern in der Domäne. 왘 Globale Gruppen Globale Gruppen dienen zur Verwaltung und Zusammenfassung von Benutzern, die ein gemeinsames Zugriffsprofil aufweisen. Globale Gruppen können Benutzerkonten aus der gleichen Domäne und andere globale Gruppen aus der gleichen Domäne enthalten. Durch Aufnahme in die entsprechenden Gruppen können ihnen Berechtigungen für jeden Computer in jeder Domäne einer Gesamtstruktur erteilt werden. 왘 Universelle Gruppen

Der Einsatz universeller Gruppen ist in größeren Organisationen sinnvoll, in denen Bedarf besteht, Zugriff für ähnliche Kontengruppen zu gewähren, die in mehreren Domänen einer Gesamtstruktur definiert sind.

251

Kapitel 5 Benutzerverwaltung 왘 Sondergruppen

Eine spezielle Gruppe stellen die Gruppen für besondere Identitäten dar. Hierzu zählt beispielsweise die Gruppe Jeder oder Ersteller-Besitzer. Anders als die anderen Gruppenarten können diesen keine Mitglieder zugewiesen werden. Vielmehr wird ein Konto Mitglied einer dieser Gruppen durch eine bestimmte Aktion, d.h., sie werden auf alle Konten angewendet, die den Computer auf besondere Weise nutzen, wie beispielsweise anonyme Anmeldungen oder Remotezugriffe. Die Sondergruppen werden in der Gruppenverwaltung nicht angezeigt, da sie nicht administrierbar sind. Sie können jedoch verwendet werden, um beispielsweise Zugriff auf Ressourcen zu gewähren.

5.3.2

Vordefinierte lokale Gruppen und ihre Berechtigungen

Nach der Installation von Windows 7 sind die in der nachstehenden Abbildung gezeigten integrierten lokalen Gruppen zu finden. Abbildung 5.15 Standardmäßig verfügbare computerlokale Gruppen

Diese Gruppen haben die folgenden Funktionen und Rechte: Funktionen vordefinierter Gruppen

왘 Administratoren

Mitglieder dieser Gruppe besitzen die vollständige Kontrolle über den lokalen Computer und können sämtliche Funktionen durchführen, die das Betriebssystem unterstützt. Außerdem sind sie berechtigt, sich jedes Recht, das sie nicht standardmäßig besitzen, selbst zu erteilen. Zu den Standardmitgliedern dieser Gruppe zählen bei einer Neuinstallation von Windows 7 nur das während der Installation erstellte Konto sowie das standardmäßig eingerichtete und deaktivierte Administratorkonto. Bei der Aktualisierung eines Windows Vista-Rechners bleiben bereits vorhandene Mitglieder der lokalen Gruppe Administratoren und ggf. die Mitglieder der Gruppe Domänenadministratoren bestehen. 왘 Benutzer

Im Gegensatz zu Administratoren haben Mitglieder der Gruppe Benutzer nur eingeschränkten Zugriff auf das System (beachten Sie hierzu den Abschnitt 5.1.1 ab Seite 228).

252

Verwaltung lokaler Gruppenkonten

Benutzer können weder computerweite Registrierungseinstellungen ändern noch Systemdateien oder Programmdateien bearbeiten. Auch können sie keine Anwendungen installieren. Peripheriegeräte, wie beispielsweise Drucker, können sie nur dann einrichten, wenn das Treiberpaket bereits im Treiberspeicher zur Verfügung steht, signiert ist und ohne Benutzerschnittstelle installiert werden kann (beachten Sie hierzu die Ausführungen in Kapitel 3). 왘 Distributed COM-Benutzer

Mitglieder dieser Gruppe können DCOM-Objekte auf einem Computer starten, aktivieren und verwenden. Damit hat er Zugriff auf Anwendungen, die Objekte verteilt im Netzwerk zur Verfügung stellen. Darüber hinaus erhalten Mitglieder dieser Gruppe keine Standardbenutzerrechte. 왘 Ereignisprotokollleser

Standardbenutzer sind nicht zur Anzeige aller Protokolle im Ereignisprotokoll berechtigt. Da dieses Benutzerrecht auch nicht mittels Gruppenrichtlinien zugewiesen werden kann, mussten in früheren WindowsVersionen Benutzer, die das Ereignisprotokoll auswerten sollten, einer administrativen Gruppe hinzugefügt werden. Unter Windows 7 steht hierfür die Gruppe Ereignisprotokollleser zur Verfügung. Mitglieder dieser Gruppe können Leistungszähler, Protokolle und Warnungen auf dem Computer – lokal und über Remoteclients – lesen, ohne Mitglied der Gruppe Administratoren sein zu müssen.

5

왘 Gäste

Bis auf wenige Einschränkungen besitzen die Mitglieder der Gruppe „ Gäste“ die gleichen Zugriffsrechte wie die Mitglieder der Benutzergruppe. Standardmäßig ist nur das Konto „ Gast“ Mitglied dieser Gruppe. Dieses Konto ist geeignet für Benutzer, die sich nur einmal oder gelegentlich an dem Computer anmelden müssen und für die deshalb kein eigenes Konto eingerichtet werden soll. Aus diesem Grund hat das Gastkonto ein leeres Kennwort. Aus Sicherheitsgründen ist das Gastkonto standardmäßig deaktiviert. 왘 Hauptbenutzer

Bei Windows 7 erhalten Mitglieder dieser Gruppe nicht mehr Benutzerrechte als ein Standardbenutzer. Die Gruppe Hauptbenutzer ist hier nur noch aus Kompatibilitätsgründen vorhanden und diente in vorherigen Windows-Versionen dazu, Benutzern ausgewählte Administratorrechte und -berechtigungen zu geben, um allgemeine Systemaufgaben ausführen zu können. Bei Windows 7 können Standardbenutzerkonten ohnehin viele Konfigurationsaufgaben ausführen, wie beispielsweise das Ändern von Zeitzonen, sodass diese Gruppe hier nicht mehr benötigt wird. 왘 IIS_IUSRS

Hierbei handelt es sich um eine integrierte Gruppe, die von den Internetinformationsdiensten (Internet Information Services, IIS) verwendet und beispielsweise bei der Installation eines Webservers benötigt wird.

253

Kapitel 5 Benutzerverwaltung 왘 Kryptografie-Operatoren

Mitglieder dieser Gruppe sind autorisiert, kryptografische Vorgänge auszuführen und den Zertifikat-Manager im administrativen Kontext zu öffnen. 왘 Leistungsprotokollbenutzer

Mitglieder dieser Gruppe können alle Leistungszähler, Protokolle und Warnungen auf dem Computer – lokal und über Remoteclients – verwalten, ohne Mitglied der Gruppe Administratoren sein zu müssen. 왘 Leistungsüberwachungsbenutzer

Im Gegensatz zur vorstehenden Gruppe können die Mitglieder dieser Gruppe ausschließlich – lokal oder remote – auf Leistungszählerdaten zugreifen und diese verwalten. 왘 Netzwerkkonfigurations-Operatoren

Mitglieder dieser Gruppe besitzen eingeschränkte Administratorrechte, die ihnen die Konfiguration von Netzwerkfunktionen gestatten, wie beispielsweise die Konfiguration von TCP/IP-Einstellungen. Sie dürfen jedoch keine andere Hardware konfigurieren. 왘 Remotedesktopbenutzer

Mitglieder dieser Gruppe besitzen das Recht, sich von einem Remotestandort aus über die Remotedesktop-Funktion am Computer anzumelden. Diese Gruppe hat standardmäßig keine Mitglieder. 왘 Replikations-Operator

Mitgliedern dieser Gruppe ist es gestattet, Dateien in einer Domäne zu replizieren. 왘 Sicherungs-Operatoren

Die Mitglieder dieser Gruppe können Verzeichnisse und Dateien auf dem Computer (ohne Berücksichtigung der mit diesen Dateien verbundenen Berechtigungen) sichern und wiederherstellen. Der Zugriff auf die Dateien ist ihnen jedoch nur im Rahmen einer Datensicherungsaktion möglich. Es ist ihnen auch nicht möglich, die Sicherheitseinstellungen von Dateien und Verzeichnissen zu ändern. Sie haben außerdem das Recht, sich lokal am Computer anzumelden und diesen herunterzufahren. Wichtig ist auch die Kenntnis, über welche Benutzerrechte standardmäßig die vordefinierten Gruppen und Benutzer verfügen. Die folgende Tabelle zeigt die Standardbenutzerrechte bei einem neu installierten Windows 7Computer.

254

Verwaltung lokaler Gruppenkonten Benutzerrecht

Gruppenkonto

Ändern der Systemzeit

LOKALER DIENST, Administratoren

Ändern der Zeitzone

LOKALER DIENST, Administratoren, Benutzer

Anheben der Zeitplanungspriorität

Administratoren

Anmelden als Batchauftrag verweigern

Nicht zugewiesen

Anmelden als Dienst

NT SERVICE\ALL SERVICES

Anmelden als Dienst verweigern

Nicht zugewiesen

Anmelden als Stapelverarbeitungsauftrag

Administratoren, Sicherungs-Operatoren, Leistungsprotokollbenutzer

Anmelden über Remotedesktopdienste verweigern

Nicht zugewiesen

Anmelden über Remotedesktopdienste zulassen

Administratoren, Remotedesktopbenutzer

Annehmen der Clientidentität nach Authentifizierung

LOKALER DIENST, NETZWERKDIENST, Administratoren, DIENST

Anpassen von Speicherkontingenten für einen Prozess

LOKALER DIENST, NETZWERKDIENST, Administratoren

Arbeitssatz eines Prozesses vergrößern

Benutzer

Auf Anmeldeinformations-Manager als vertrauenswürdigem Aufrufer zugreifen

Nicht zugewiesen

Auf diesen Computer vom Netzwerk aus zugreifen

Administratoren, Sicherungs-Operatoren, Benutzer, Jeder

Auslassen der durchsuchenden Überprüfung

LOKALER DIENST, NETZWERKDIENST, Administratoren, Sicherungs-Operatoren, Benutzer, Jeder

Debuggen von Programmen

Administratoren

Durchführen von Volumenwartungsaufgaben

Administratoren

Einsetzen als Teil des Betriebssystems

Nicht zugewiesen

Entfernen des Computers von der Dockingstation

Administratoren, Benutzer

Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird

Nicht zugewiesen

Ersetzen eines Tokens auf Prozessebene

LOKALER DIENST, NETZWERKDIENST

Erstellen einer Auslagerungsdatei

Administratoren

Erstellen eines Profils der Systemleistung

Administratoren

Erstellen eines Profils für einen Einzelprozess

Administratoren, NT SERVICE

5

Tabelle 5.1: Standard-Benutzerrechte

255

Kapitel 5 Benutzerverwaltung

Benutzerrecht

Gruppenkonto

Erstellen eines Tokenobjekts

Nicht zugewiesen

Erstellen globaler Objekte

LOKALER DIENST, NETZWERKDIENST, Administratoren, DIENST

Erstellen symbolischer Verknüpfungen

Administratoren

Erstellen von dauerhaft freigegebenen Objekten

Nicht zugewiesen

Erzwingen des Herunterfahrens von einem Remotesystem aus

Administratoren

Generieren von Sicherheitsüberwachungen

LOKALER DIENST, NETZWERKDIENST

Herunterfahren des Systems

Administratoren, Sicherungs-Operatoren, Benutzer

Hinzufügen von Arbeitsstationen zur Domäne

Nicht zugewiesen

Laden und Entfernen von Gerätetreibern

Administratoren

Lokal anmelden verweigern

Gast (hat Vorrang vor Lokal anmelden zulassen)

Lokal anmelden zulassen

Administratoren, Sicherungs-Operatoren, Benutzer, Gast

Sichern von Dateien und Verzeichnissen

Administratoren und SicherungsOperatoren

Sperren von Seiten im Speicher

Nicht zugewiesen

Synchronisieren von Verzeichnisdienstdaten

Nicht zugewiesen

Übernehmen des Besitzes von Dateien und Objekten

Administratoren

Verändern der Firmwareumgebungsvariablen

Administratoren

Verändern einer Objektbezeichnung

Administratoren

Verwalten von Überwachungs- und Sicherheitsprotokollen

Administratoren

Wiederherstellen von Dateien und Verzeichnissen

Administratoren, Sicherungs-Operatoren

Zugriff vom Netzwerk auf diesen Computer verweigern

Gast

Tabelle 5.1: Standard-Benutzerrechte (Forts.) Benutzerrechte verwalten

256

Die Konfiguration der Benutzerrechte erfolgt mittels Sicherheitsrichtlinien. Die Sicherheitsrichtlinien bzw. Sicherheitseinstellungen sind ein Bereich im Gruppenrichtlinienobjekt. Zur Konfiguration von lokalen Sicherheitsrichtlinien gehen Sie wie folgt vor:

Verwaltung lokaler Gruppenkonten

1. Öffnen Sie durch Eingabe von gpedit.msc im Ausführen-Dialogfeld den Editor für lokale Gruppenrichtlinien. 2. Wählen Sie unter Computerkonfiguration/Windows-Einstellungen den Container Sicherheitseinstellungen. Alternativ können Sie auch im Ausführen-Dialogfeld den Befehl secpol.msc eingeben. Hiermit wird direkt und ausschließlich der Container Sicherheitseinstellungen geöffnet. 3. Wählen Sie Lokale Richtlinien und anschließend Zuweisen von Benutzerrechten.

5.3.3

Lokale Gruppenkonten erstellen, löschen und ändern

Die Verwaltung von Gruppen kann, wie auch die Benutzerverwaltung, mittels der Konsole Lokale Benutzer und Gruppen erfolgen. Alternativ ist die Pflege von Gruppenkonten in der Eingabeaufforderung mit dem Befehl net localgroups möglich.

5

Das Snap-in „Lokale Benutzer und Gruppen“ Die Konsole Lokale Benutzer und Gruppen ist als Snap-in in die Computerverwaltung integriert. Diese kann durch Eingabe von lusrmgr.msc im Suchfeld des Startmenüs geöffnet werden. In dieser Konsole können ausschließlich lokale Gruppen verwaltet werden. Zur Administration anderer Gruppentypen, wie beispielsweise globaler oder domänenlokaler Gruppen, muss das Snap-in Active Directory-Benutzer und -Computer verwendet werden, das standardmäßig nur auf Domänencontrollern verfügbar ist. Wie auch bei den Vorgängerversionen stellt Microsoft die Remoteserver-Verwaltungstools für Windows 7 zum kostenlosen Download bereit [RSAT]. Damit können von Computern unter Windows 7 Rollen und Funktionen auf Remotecomputern mit Windows Server 2008 R2, Windows Server 2008 oder Windows Server 2003 verwaltet werden. Die Remoteserver-Verwaltungstools für Windows 7 können auf Computern mit Windows 7 Enterprise, Professional oder Ultimate installiert werden. Unterstützt werden sowohl die x86- als auch die x64basierten Windows 7-Versionen. Im Container Gruppen werden alle lokalen Gruppenkonten aufgelistet, die Funktionen in der Benutzerdatenbank des Computers gespeichert sind. Hier können neue Gruppenkonten hinzugefügt und bestehende Gruppen gelöscht werden. Außerdem ist die Verwaltung der Mitglieder einer Gruppe möglich. Wird eine neue Gruppe erstellt, können dieser sofort die erforderlichen Mitglieder hinzugefügt werden.

257

Kapitel 5 Benutzerverwaltung Abbildung 5.16 Erstellung eines neuen Gruppenkontos im Snap-in Lokale Benutzer und Gruppen

Der Befehl „net localgroup“ Alle Verwaltungsaufgaben für lokale Gruppen können auch mit dem Befehl net localgroup in der Befehlseingabe erfolgen. Das Befehlszeilenprogramm Net.exe ist in Windows integriert. Syntax

Der Befehl net localgroup hat die folgende Syntax: net localgroup[Gruppenname [/comment:"Text"]][/DOMAIN] Gruppenname {/ADD [/comment:"Text"]|/DELETE} [/DOMAIN] Gruppenname Name [...] {/ADD|/DELETE} [/DOMAIN]

Ohne Angabe von Parametern werden der Servername und die Namen der lokalen Gruppen auf dem Computer angezeigt. Eine Aufstellung aller Optionen mit einer Beschreibung ist abrufbar mit dem Befehl: net help localgroup Beispiele

Die Anzeige aller Mitglieder einer lokalen Gruppe, einschließlich der enthaltenen globalen Gruppen und der Sondergruppen, ist mit dem folgenden Befehl möglich: net localgroup

Um ein neues Gruppenkonto zu erstellen, muss folgender Befehl verwendet werden: net localgroup /add

Auch das Hinzufügen neuer Mitglieder zu einer lokalen Gruppe ist möglich. Bei mehreren Namen müssen die Einträge mit einem Leerzeichen getrennt werden. Als Namen können Benutzer oder globale Gruppen angegeben werden, nicht jedoch andere lokale Gruppen. Ist der Benutzer Mitglied einer anderen Domäne, muss der Domänenname dem Benutzernamen vorangestellt werden. net localgroup /add

Entsprechend können mit der Option /delete Gruppenkonten gelöscht oder Mitglieder aus einer lokalen Gruppe entfernt werden: net localgroup /delete

bzw. net localgroup /delete

258

Benutzerprofile unter Windows 7

5.4

Benutzerprofile unter Windows 7

Seit Windows NT werden benutzerspezifische Daten in sogenannten Benutzerprofilen organisiert, deren Aufgabe es ist, die persönlichen und personalisierten Inhalte in einem eigenen Ordner zusammenzufassen. Allerdings haben die Benutzerprofile von Windows 7 kaum noch etwas gemein mit den Profilen früherer Windows-Versionen, bei denen sie vor allem zum Speichern einiger Desktop-Einstellungen für die Benutzer dienten. Denn bereits mit Windows Vista hat Microsoft eine komplett neue Profilstruktur eingeführt, deren Kenntnis insbesondere für die Durchführung von Migrationen wichtig ist.

5.4.1

Verwaltung lokaler Benutzerprofile

5

Für jedes Benutzerkonto wird automatisch vom System ein Benutzerprofil erstellt, das alle persönlichen Daten und Einstellungen des Benutzers enthält. Das Benutzerprofil wird beim ersten Anmelden eines neuen Benutzers angelegt und später automatisch aktualisiert. Grundsätzlich können Benutzerprofile lokal oder auf einem Netzwerkserver gespeichert werden. Entsprechend werden verschiedene Arten von Benutzerprofilen unterschieden. 왘 Lokale Benutzerprofile

BenutzerprofilEin lokales Benutzerprofil wird beim ersten Anmelden an einem Com- arten

puter erstellt. Dieses Profil wird auf der lokalen Festplatte des betreffenden Computers gespeichert. Änderungen am lokalen Benutzerprofil gelten lediglich für den Computer, an dem diese Änderungen vorgenommen wurden. 왘 Servergespeicherte Benutzerprofile Servergespeicherte Benutzerprofile (auch als Roaming Profiles oder mitwandernde Benutzerprofile bezeichnet) werden vom Systemadministrator erstellt und auf einem Server abgelegt. Ein servergespeichertes Profil steht jeweils beim Anmelden des Benutzers an einem Computer im Netzwerk zur Verfügung und wird lokal zwischengespeichert. Änderungen am Benutzerprofil erfolgen zunächst am lokalen Profil. Bei der Abmeldung wird dann das Profil auf dem Server durch das geänderte lokale Profil ersetzt. 왘 Verbindliche Benutzerprofile Ein servergespeichertes Profil kann entweder veränderbar oder verbindlich festgelegt sein. Die veränderbare Variante wird als persönliches Profil bezeichnet, die festgelegte als verbindliches Profil (Mandatory Profile). Ein verbindliches Profil ist nicht durch den Benutzer änderbar. Mit verbindlichen Benutzerprofilen können Einstellungen für einzelne Benutzer oder Benutzergruppen festgelegt werden. Um Änderungen an den verbindlichen Benutzerprofilen durchführen zu können, sind administrative Rechte erforderlich.

259

Kapitel 5 Benutzerverwaltung

Speicherort und Inhalt lokaler Benutzerprofile Der Standardspeicherort für lokale Profile ist das Verzeichnis %Systemdrive%\Benutzer. Dieses Verzeichnis wird bei der Installation von Windows 7 angelegt. Die einzelnen Benutzerprofile befinden sich jeweils in Unterverzeichnissen. Benutzerprofile setzen sich aus einem Ordner mit Unterverzeichnissen zur Speicherung von Verknüpfungen und anderer Elemente und einem entsprechenden Unterschlüssel des Registrierungs-Teilbaums HKEY_CURRENT_ USER zusammen, der in der Datei NTuser.dat abgebildet wird. Die Verzeichnisse mit dem kleinen Pfeil sind keine echten Verzeichnisse, sondern Verknüpfungen, die einen virtuellen Ordner darstellen, der in Wirklichkeit auf einen ganz anderen Pfad verweist. Diese Links sind aus Abwärtskompatibilitätsgründen vorhanden. Abbildung 5.17 Struktur eines lokalen Benutzerprofils

260

Versteckte Ordner

Einige Dateien und Verzeichnisse sind als versteckt gekennzeichnet. Sie erscheinen nur dann im Windows-Explorer, wenn die erweiterten Einstellungen für die Ordneransicht unter Organisieren/Ordner- und Suchoptionen/ Ansicht so konfiguriert sind, dass alle Dateien und Ordner angezeigt werden.

NTuser.dat

Im Stammordner jedes Benutzerprofils ist die Datei NTuser.dat gespeichert. Diese enthält die Registrierungseinträge für den benutzerspezifischen Unterschlüssel von HKEY_CURRENT_USER auf dem lokalen Computer, über den die für den momentan angemeldeten Benutzer gültigen Einstellungen abgefragt werden können.

Benutzerprofile unter Windows 7

Zusammen mit der Datei NTuser.dat beinhaltet das Benutzerprofil mindestens eine Transaktionsdatei namens NTuser.dat.log, die Veränderungen an NTuser.dat aufzeichnet und die Wiederherstellung erlaubt, wenn die Datei NTuser.dat während einer Aktualisierung beschädigt werden sollte. Sowohl Windows 7 als auch bereits Windows Vista arbeiten intern ausschließlich in englischer Sprache. Viele im Windows-Explorer sichtbare Ordner stellen daher lediglich Verweise in lokalisierter Sprache dar und sind nicht als reale Ordner existent. Aus diesem Grund sollten manuelle Anpassungen an Systemordnern nur in Ausnahmefällen und mit besonderer Umsicht erfolgen. Ein lokales Profil wird immer angelegt, wenn sich ein Benutzer zum ersten Mal am System anmeldet. Wenn der Benutzer Änderungen an seiner Arbeitsumgebung vornimmt, werden diese bei der Abmeldung im Profil eingetragen. Das setzt allerdings voraus, dass dieser Benutzer das Recht hat, lokale Profile zu speichern, bzw. dass es sich nicht um ein verbindliches Profil handelt.

5

Für den Fall, dass ein Benutzer sich schon einmal angemeldet hatte, das lokale Profil aber gelöscht wurde, wird bei der nächsten Anmeldung automatisch ein neues lokales Profil angelegt. Dies gilt auch, wenn sich der Benutzer an einer Active Directory-Domäne anmeldet. Das Löschen eines Benutzerkontos beinhaltet nicht das lokale Profil. Dieses muss manuell entfernt werden. Wird ein Benutzer in Active Directory gelöscht, muss auf jedem Rechner, an dem sich der Benutzer in der Vergangenheit angemeldet hatte, das lokale Profil gelöscht werden. Typischerweise werden in einer Active Directory-Domäne die Profile von Domänenbenutzern zentral als serverbasierte Profile gespeichert. Bei dem Server, auf dem die Profile gespeichert werden, muss es sich nicht um einen Domänencontroller handeln. Um einem Benutzer ein Profil zuzuweisen, ist in den Benutzereigenschaf- Arbeitsweise ten der Pfad des freigegebenen Profilverzeichnisses einzutragen. Bei der serverbasierter Anmeldung an einem zur Domäne gehörenden Rechner wird dieses Profil Profile als Vorlage für das lokale Benutzerprofil verwendet. Dazu wird das servergespeicherte Profil bei der Anmeldung auf die Arbeitsstation übertragen. Änderungen erfolgen während der Arbeitssitzung nur an dem lokal zwischengespeicherten Profil. Erst bei der Abmeldung wird das nun geänderte Profil auf den Server übertragen und überschreibt das dort gespeicherte. Bei der nächsten Anmeldung am gleichen lokalen System wird die lokale Kopie des Benutzerprofils herangezogen, mit dem servergespeicherten Profil verglichen und gegebenenfalls synchronisiert. Mit der lokalen Speicherung wird sichergestellt, dass sich Benutzer auch dann anmelden können, wenn der Domänencontroller bei der Anmeldung nicht verfügbar ist. Ging auf dem System das lokale Profil verloren, wird wiederum auf das zentrale Profil zurückgegriffen.

261

Kapitel 5 Benutzerverwaltung Serverbasierte Profile für lokale Benutzer

Auch lokalen Benutzerkonten können servergespeicherte Profile zugewiesen werden. Hierzu muss in den Benutzereigenschaften unter Profilpfad der UNC-Pfad zum Verzeichnis eines vorher angelegten Benutzerprofils eingetragen werden.

Abbildung 5.18 Konfiguration eines servergespeicherten Benutzerprofils in der Konsole Active Directory-Benutzer und -Computer

Profiltyp ändern

Abbildung 5.19 Nur wenn das Profil als servergespeichertes Profil konfiguriert wird, kann an dieser Stelle der Profiltyp geändert werden.

262

Im Dialogfeld Benutzerprofile kann überprüft werden, ob das serverbasierte Profil verwendet wird. Außerdem ist es möglich, den Anmeldetyp für das Benutzerprofil temporär zu ändern. Gehen Sie dazu folgendermaßen vor: 1. Öffnen Sie die Registerkarte Benutzerprofile. Dies geschieht am schnellsten durch Eingabe von Benutzerkonten im Suchfeld des Startmenüs und anschließende Auswahl der Option Erweiterte Benutzerprofileigenschaften konfigurieren. 2. Klicken Sie auf die Schaltfläche Typ ändern, um den Anmeldetyp für das Profil auszuwählen.

Benutzerprofile unter Windows 7

Vordefinierte Profile Neben den Benutzerprofilen für die einzelnen Benutzer existieren auf jedem Windows 7-System mindestens drei weitere Profile: Default, All Users und das Profil Öffentlich. Neue Benutzerprofile werden über eine Kopie des Standardbenutzerpro- Vorlagenprofile fils (Default) erstellt, das auf jedem Windows-System standardmäßig vorhanden ist. Dieses Profil erscheint in der Registrierung unter dem Schlüssel HKEY_USERS\DEFAULT und lässt sich bei Bedarf ändern, um Benutzern eine angepasste Systemumgebung vorzugeben. Alle Einträge, die im Default-Profil erfolgen, werden nur bei der Erstellung eines neuen Profils übernommen. Bei bereits bestehenden Benutzerprofilen greifen diese Änderungen nicht. Das Profil All Users ist ein globales Profil, das Einstellungen für alle jeweils All Users lokal angemeldeten Benutzer zur Verfügung stellt und bei Windows 7 aus einer Reihe von Verweisen auf andere Ordner besteht. Einträge beispielsweise im Ordner Desktop von All Users erscheinen bei allen Benutzern auf dem Desktop. Das Ergebnis ist eine Kombination aus den benutzereigenen Desktop-Einstellungen und dem globalen Desktop. Änderungen am Profil All Users können nur durch Mitglieder der Gruppe der lokalen Administratoren erfolgen.

5

Zusätzlich gibt es mit dem Profil Öffentlich ein weiteres Standardprofil. Die- Öffentliches Proses Profil wird für die in Windows 7 neu eingeführten Bibliotheken benö- fil in Bibliotheken tigt. Bibliotheken (Libraries) erlauben es, Dateien unabhängig von deren verwenden Speicherort zu organisieren und darauf zuzugreifen. Hierzu können in einer Bibliothek Dateien zusammengefasst werden, die in verschiedenen Ordnern gespeichert sind. Diese werden als zentrale Sammlung angezeigt, aber an ihrem jeweiligen Speicherort belassen. Die Aufgabe von Bibliotheken ist es, die Verwaltung von Dateien, die über mehrere Laufwerke verstreut sind, zu vereinfachen. Abbildung 5.20 Bibliotheken beinhalten standardmäßig auch die Ordner des öffentlichen Benutzerprofils.

263

Kapitel 5 Benutzerverwaltung

Windows 7 wird mit den Bibliotheken Dokumente, Musik, Bilder und Videos ausgeliefert. Alle Bibliotheken beinhalten einen persönlichen und einen öffentlichen Ordner. Dabei handelt es sich um die im Benutzerprofil beziehungsweise im öffentlichen Profil hinterlegten Pfade.

Benutzerprofile mittels Gruppenrichtlinien verwalten Zur Administration von Benutzerprofilen gibt es einige sehr nützliche Gruppenrichtlinien, mit denen beispielsweise festgelegt werden kann, wie mit dem Profil zu verfahren ist, wenn die Anmeldung remote über eine langsame Netzwerkverbindung erfolgt. Die Richtlinien sind in einer Active Directory-basierten Umgebung im Gruppenrichtlinienobjekt der Domäne zu finden und können dort zur Steuerung von Benutzerprofilen auf der Ebene der gesamten Domäne oder von Standorten bzw. Organisationseinheiten eingesetzt werden. Als lokale Gruppenrichtlinien erlauben sie die Vorgabe von Einstellungen, die auf die lokalen Benutzerprofile Anwendung finden. Lokales Gruppenrichtlinienobjekt

Zur Konfiguration von lokalen Gruppenrichtlinien zur Steuerung von Benutzerprofilen gehen Sie wie folgt vor: 1. Öffnen Sie durch Eingabe von gpedit.msc im Suchfeld des Startmenüs das lokale Gruppenrichtlinienobjekt. Hierzu sind administrative Rechte erforderlich. 2. Wählen Sie unter Computerkonfiguration bzw. Benutzerkonfiguration/ Administrative Vorlagen/System den Container Benutzerprofile. Abhängig von der zu konfigurierenden Richtlinie ist diese entweder im Bereich Computer oder Benutzer zu finden.

Abbildung 5.21: Gruppenrichtlinien zur Verwaltung von Benutzerprofilen

264

Benutzerprofile unter Windows 7

5.4.2

Verwaltung serverbasierter Profile in heterogenen Netzwerken

Wie bereits ausgeführt, hat Microsoft mit Windows Vista die Struktur der Benutzerprofile merklich geändert. So wurden zum Beispiel die beiden Ordner Anwendungsdaten und Application Data zum Ordner AppData zusammengefasst, und der Ordner Eigene Dateien wurde in Dokumente umbenannt, aus dem aber die Ordner Musik, Videos u.a. ausgegliedert wurden. Außerdem befinden sich die Ordner an unterschiedlichen Speicherorten: 왘 Windows XP-Neuinstallation %Systemdrive%\Dokumente und Einstellungen\%Username% 왘 Windows Vista und Windows 7 %Systemdrive%\Benutzer\%Username% Dies wirft die Frage auf, was passiert, wenn sich ein Benutzer mit einem serverbasierten Profil abwechselnd an einem Windows XP-Rechner und einem Windows 7-Rechner anmeldet, da die unterschiedliche Struktur eine gemeinsame Nutzung des Profils ausschließt. Frühere WindowsVersionen hatten eine weitgehend gleiche Profilstruktur und konnten sich daher ein gemeinsames Profil teilen, auch wenn dies in der Praxis nicht immer problemlos funktioniert hat.

Profilversionierung bei serverbasierten Profilen

Zur Lösung dieses Problems hat Microsoft eine Versionierung der Profile eingeführt. Alle Profile vor Windows Vista sind Version 1, auf Windows Vista sowie Windows 7 basierende Profile gehören zur Version 2. Damit erhalten alle Windows-Profile automatisch als Ordnernamen den Benutzernamen mit einer angehängten Endung „.v2“. Auf dem Server befinden sich damit für jeden Benutzer zwei Profilpfade. Die Speicherung des Windows 7-basierten Profils auf dem Server erfolgt automatisch, sobald sich ein Benutzer mit einem serverbasierten Profil erstmals an einem Windows 7Rechner anmeldet. Dabei werden alle vorhandenen Einstellungen und Dateien (beispielsweise die Favoriten und die OutlookProfileinstellungen) aus dem vorhandenen Profil in das neue Windows 7-Profil übernommen.

Abbildung 5.22 Servergespeichertes Profil in der Version 1 und der Version 2

Hierbei ist zu beachten, dass der Profilname in den Konteneigenschaften nicht geändert werden muss. Unter Profilpfad ist unabhängig vom verwendeten Clientbetriebssystem der UNC-Pfad für das Profil gemäß nachstehendem Format einzutragen: \\\\%Username%.

265

5

6

Daten, Datenträger und Dateisysteme

Computer sind nicht nur im Laufe der Jahre immer schneller geworden, sie haben auch immer mehr Speicherplatz in Form von permanentem Speicher erhalten. Hatte der erste IBM-PC mit einer Festplatte (IBM PC XT im Jahr 1983) noch einen Speicherplatz von 10 MB, so werden heute Systeme verkauft, deren Speicherplatz um den Faktor 1 Million höher liegt. Parallel zur Entwicklung der Technologie von permanenten Speichermöglichkeiten für Daten entwickelten sich auch Technologien, wie diese Daten auf einem Datenträger organisiert und verwaltet werden können.

6.1

Datenträger aus Sicht der Hardware

Prinzipiell werden in diesem Kapitel nur Datenträger behandelt, die einen Nicht alles, was direkten und wahlfreien Zugriff auf die enthaltenen Informationen erlau- Daten trägt, ist ben. Dies bedeutet, dass es sich hier nur um Festplatten, USB-Speicher, opti- ein Datenträger sche Laufwerke und verschiedene Formen von virtuellen oder netzwerkbasierten Speichern handelt, nicht aber um Massenspeicher wie beispielsweise Bandlaufwerke, weil bei diesen kein direkter Zugriff auf einen bestimmten Bereich des Datenträgers besteht. Die Betrachtung von Disketten unterlassen wir, da die Speicherkapazität heutigen Ansprüchen nicht mehr genügt und zudem viele Systeme meist nicht mehr über ein Diskettenlaufwerk verfügen. Ebenfalls nicht betrachtet werden hier über Netzwerkfreigaben eingebundene Laufwerke, diese werden in Kapitel 8 behandelt. Aus Sicht des Systems wird ein solcher Datenträger durch zwei Eigenschaften charakterisiert, die eine Einordnung gemäß folgender Matrix erlauben:

267

Kapitel 6 Daten, Datenträger und Dateisysteme Tabelle 6.1 Klassifikation von Datenträgern

Löschbar Stationär

Festplatte

Wechselbar

USB-Stick, Speicherkarte USB-Festplatte iSCSI, SAN Virtuelle HD

6.1.1

Nicht löschbar

CD/DVD

HW-Adapter für Datenträger

Parallel mit der Größe der Festplatten entwickelten sich auch die verschiedenen Möglichkeiten, wie eine Festplatte mit dem Computer verbunden werden konnte. Für Windows sind vor allem drei Aspekte bei der Hardware für den Anschluss eines Datenträgers wichtig: 왘 Setup – Unterstützt die Setup-Routine der Windows-Installation und die Ansprache des Datenträgers. Sofern die Setup-CD oder -DVD von Windows den betreffenden Datenträger nicht nativ unterstützt (wie beispielsweise bei XP und SATALaufwerken), so müssen Sie während des Setups manuell einen zusätzlichen Datenträger mit dem passenden Treiber zuführen. 왘 Boot – Unterstützt der Datenträger das initiale Laden des Betriebssystems durch das BIOS beim Systemstart. Sofern das ROM-BIOS des Systems keine Möglichkeit bietet, von dem gewünschten Datenträger zu booten, kann man von einem anderen Datenträger starten und erst später auf diesen Datenträger zugreifen. Aus diesem Grund enthalten beispielsweise separate SCSI-Adapter ein eigenes BIOS, welches das ROM-BIOS ergänzt. 왘 Regelbetrieb – Kann ein installiertes Windows über Treiber auf die Informationen des Datenträgers zugreifen. Nur ein Datenträger, der alle drei Aspekte anbietet, kann vollumfänglich von Windows 7 genutzt werden, dies betrifft sämtliche aktuell verfügbaren Technologien in dem Bereich. Reale und irreale Datenträger

268

Neben realen physischen Datenträgern unterstützt Windows 7 auch drei Formen von mehr oder minder virtuellen Datenträgern: 왘 SAN (Storage Area Network) – Diese ursprünglich aus dem Rechenzentrum und dem Großrechnerbereich stammende Technologie verbindet über spezielle (oftmals optische) Adapter das System mit seinem Datenspeicher (zum Beispiel Fibre Channel). Im SAN-Datenspeicher sitzt meist eine intelligente Verwaltung, die beispielsweise die Abtrennung der einzelnen Datenspeicher für die verschiedenen angeschlossenen Systeme untereinander vornimmt oder die in der Lage ist, die Daten eigenständig auf Archivierungsmedien zu sichern. Bedingt durch den hohen Preis derartiger Lösungen findet man diese eher selten im Desktop-Bereich. 왘 iSCSI – Internet SCSI (Small Computer System Interface) ist angelehnt an die seit langen Jahren bekannte Technologie SCSI, die ursprünglich zum direkten Anschluss von Festplatten und Geräten – wie Scanner,

Datenträger aus Sicht der Hardware

Bandlaufwerke oder optische Laufwerke – an ein Bussystem vorgesehen war. Der bisher kabelgebundene Datentransfer wird stattdessen in Form von IP-Paketen zwischen den iSCSI-Servern (iSCSI Targets genannt) und den iSCSI-Clients (iSCSI Initiators genannt) vermittelt. Auf diese Weise können die Systeme und ihre Datenträger fast beliebig weit auseinander entfernt aufgestellt werden. Die bisherigen Beschränkungen der maximalen Kabellänge von höchstens einigen Metern bei SCSI werden aufgehoben. Auf welcher Hardware die Daten aufseiten des Targets tatsächlich abgespeichert werden, bleibt dem Initiator verborgen. Prinzipiell unterscheidet es sich in der Funktionsweise nur wenig von großen SAN-Lösungen, ist jedoch durch den geringen Preis deutlich attraktiver auch für den Einsatz auf Desktop-Systemen. 왘 Virtual HD – Ursprünglich aus der Entwicklung von Virtualisierungslösungen kommend, ist es seit Windows 7 auch möglich, .vhd-Dateien auf einer normalen Festplatte als eigenständiges Laufwerk einzubinden. Um erste Experimente mit iSCSI durchzuführen, können Sie unter [STAR] nach Registrierung eine kostenlose Testversion eines iSCSITargets laden. Diese läuft auf allen gängigen Windows-Installationen.

6.1.2

iSCSI im Einsatz

Um mit Windows 7 eine Verbindung mit einem iSCSI-Target herzustellen, RechenzentrumTechnologie im sind zwei Schritte notwendig: Eigenbau 1. Konfiguration des iSCSI-Initiators 2. Herstellung der Verbindung Starten Sie zunächst die Konfiguration des iSCSI-Initiators, indem Sie Systemsteuerung/System und Sicherheit/Verwaltung/iSCSI-Initiator aufrufen. Hierzu ist eine UAC-Abfrage notwendig. Beim ersten Aufruf dieser Funktion wird Ihnen mitgeteilt, dass der iSCSI-Dienst nicht ausgeführt wird. Bestätigen Sie die entsprechende Frage, ob der Dienst künftig automatisch starten soll. Abbildung 6.1 Start des iSCSIDienstes erlauben?

Im nun angezeigten Dialogfeld sind zunächst noch keine Ziele zu sehen. Aktivieren Sie deshalb die Registerkarte Suche. Per Klick auf die Schaltfläche Portal ermitteln können Sie die Verbindung zu einem iSCSI-Target herstellen. Geben Sie zunächst die IP-Adresse oder den Namen des Zielsystems ein. Sofern Ihr Target keine besondere Konfiguration aufweist, belassen Sie die Einstellung für den Port auf dem Standardwert 3260.

269

6

Kapitel 6 Daten, Datenträger und Dateisysteme

Was ist ein iSNS? Ähnlich wie man im DNS nach IP-Adressen suchen kann, gibt es für iSCSI-Systeme eine eigene Verwaltungsstruktur, diese wird iSNS (Internet Storage Name Service) genannt. iSCSI-Targets registrieren sich bei einem iSNS-Server, iSCSI-Initiatoren können einen iSNS-Server nach einem für sie verfügbaren iSCSI-Target befragen. Der Einsatz lohnt sich allerdings eher in größeren Umgebungen, in denen es mehr als ein iSCSI-Target gibt. Wechseln Sie zurück zur Registerkarte Ziele, und in der Liste der erkannten Ziele erscheinen die Datenträger, die das im vorigen Schritt hinzugefügte iSCSI-Target für den Client anbietet. Abbildung 6.2 Ziel erkannt!

Markieren Sie nun das Ziel in der Liste, und klicken Sie auf die Schaltfläche Verbinden. Auf Wunsch können Sie im Dialogfeld markieren, dass das gewählte Ziel ein bevorzugtes Ziel sein soll. Die Verbindung mit einem derartigen Ziel wird automatisch beim Systemstart erneut hergestellt. Im aktuellen Fall hat das iSCSI-Target keine Authentifizierung verlangt. Sofern der iSCSI-Server eine Authentifizierung verlangt, müssen Sie die Schaltfläche Erweitert betätigen und die notwendigen Anmeldedaten eingeben. Aus Gründen der Sicherheit kann man sowohl den Client sich gegenüber dem Server ausweisen lassen als auch zusätzlich den Server gegenüber dem Client (wechselseitige Authentifizierung).

270

Datenträger aus Sicht der Hardware

So ist sichergestellt, dass kein böswilliger Server die Anmeldeinformationen des Clients abgreift. Welches Anmeldeverfahren genau verwendet wird, muss mit dem Administrator des iSCSI-Targets abgeklärt werden. Abbildung 6.3 Verbinden mit Anmeldung

6 Starten Sie nun die Datenträgerverwaltung über Systemsteuerung/System und Sicherheit/Verwaltung/Datenträgerverwaltung, und Sie werden zunächst gefragt, ob Sie den neuen Datenträger initialisieren möchten. Danach steht Ihnen das iSCSI-Laufwerk als zusätzliches Laufwerk zur Verfügung.

Dreh- und Angelpunkt Datenträgerverwaltung Abbildung 6.4 Ein Netzwerklaufwerk in der Datenträgerverwaltung

Mehr zur Verwendung der Datenträgerverwaltung erfahren Sie in Abschnitt 6.5.2 ab Seite 313.

271

Kapitel 6 Daten, Datenträger und Dateisysteme

6.1.3

Virtueller Speicher im Einsatz

Wenn man einen sehr großen Datenträger unterteilen will, kann man zum einen natürlich die vorhandene Partition zunächst verkleinern und dann eine neue Partition anlegen (siehe hierzu Abschnitt 6.5.2). Möchte man aber nur temporär für Testzwecke einen separaten Datenträger nutzen, bietet sich mit Windows 7 die Variante Virtuelle Festplatte an. Eine solche Festplatte ist nichts weiter als eine einzelne Datei (Image), die im normalen Dateisystem liegt. Um eine solche Platte anzulegen, wählen Sie in der Datenträgerverwaltung den Befehl Aktion/Virtuelle Festplatte erstellen aus. Im nun erscheinenden Dialogfeld müssen Sie drei Angaben machen: 왘 Ort – In welchem Verzeichnis und mit welchem Namen soll die Imagedatei der neuen Festplatte angelegt werden? Diese Datei hat standardmäßig den Typ .vhd (Virtual Hard Disk). Das Verzeichnis muss bereits existieren. 왘 Größe – Wie groß soll die neue Festplatte sein? Hierzu geben Sie eine Zahl und die gewünschte Maßeinheit (Mega-, Giga- oder Terabyte) an. 왘 Format – Alternativ kann entweder eine dynamische oder eine feste Festplatte angelegt werden. 왘 Dynamisch – Bei der dynamischen Größe wird nur eine maximale Größe festgelegt. Sobald dann tatsächlich Daten auf den Datenträger gespeichert werden, wird Zug um Zug die Imagedatei vergrößert. Dies hat den Vorteil, dass man für Testzwecke einen theoretisch sehr großen Datenspeicher anlegen kann, ohne real viel Platz zu verbrauchen. Im Einsatz steht jedoch der Platz für das virtuelle Laufwerk in Konkurrenz zu dem Platz der anderen Dateien auf dem realen Laufwerk. Zudem benötigt das Erweitern des Speicherplatzes Rechenzeit, die von der Leistung des Computers für die Anwendung, die den Speicherplatz benötigt, abgeht. 왘 Fest – Bei der festen Größe wird sofort nach der Erstellung bereits die Imagedatei mit ihrer maximalen Größe angelegt. Dies hat den Vorteil, dass der Speicherbereich der virtuellen Platte später nicht mehr von Dateien auf dem realen Datenträger belegt werden kann. Zudem muss während der Verwendung des virtuellen Datenträgers nicht noch zusätzlich Zeit für dessen Erweiterung aufgewendet werden. Abbildung 6.5 Anlegen einer »irrealen« realen Platte

272

Partitionen, physische und logische Laufwerke >dir Datenträger in Laufwerk H: ist Huge Volumeseriennummer: 080E-5CBF Verzeichnis von H:\ 13.08.2009 21:42 256 test.txt 1 Datei(en), 256 Bytes 0 Verzeichnis(se), 1.610.333.184.000 Bytes frei

Listing 6.1 Viel hilft viel: virtuelles Laufwerk mit 1,5 TB Speicherplatz

Nachdem das virtuelle Laufwerk angelegt worden ist, kann es wie jedes Angewandter reale Laufwerk verwendet werden, es muss also zunächst initialisiert und Größenwahnsinn es müssen Partitionen angelegt werden, siehe hierzu den Abschnitt 6.2 ab Seite 273. Näheres, um die virtuelle Festplatte wieder zu entfernen, finden Sie im Abschnitt 6.5.1 ab Seite 311. Eine bereits bestehende Datei einer virtuellen Festplatte können Sie über den Befehl Aktion/Virtuelle Festplatte anfügen erneut zum System hinzufügen.

6.2

Partitionen, physische und logische Laufwerke 6

Früher war die Welt noch einfacher: Es gab physische Laufwerke, diese wurden mittels Partitionen unterteilt, und eine Partition entsprach einem Laufwerksbuchstaben. Heute ist das alles etwas komplizierter. Das, was ein Computer als physisches Laufwerk ansieht, können tatsächlich mehrere Laufwerke sein, die der Festplattencontroller dem System gegenüber als ein Laufwerk ausweist. Oder sie sind (wie im obigen iSCSI-Beispiel) ganz woanders oder eine reine Dateilösung. Prinzipiell gilt aber immer noch: Das, was der Computer als physisches Laufwerk sieht, muss auf die eine oder andere Weise aufgeteilt werden.

6.2.1

MBR oder GPT-Datenträger?

Prinzipiell ist eine Partition die Bezeichnung für einen bestimmten, fest definierten Bereich eines physischen Laufwerks. Die Auflistung aller dieser Partitionen nennt man Partitionstabelle. Aktuell gibt es zwei Weisen, wie auf der Festplatte die Information über die vorhandenen Partitionen vermerkt werden kann:

MBR Das erste Format wurde als MBR (Master Boot Record) bezeichnet, weil die Alt und bewährt Partitionsinformationen zusammen mit dem Startcode für den Bootprozess des Systems im ersten Sektor der Festplatte notiert wurden. Weil in dem Sektor außer den Partitionsinformationen zusätzlich auch noch der Programmcode untergebracht werden musste, war im Master-Boot-Sektor nur Platz für die Informationen von vier Partitionen. Eine dieser Partitionen konnte als erweiterte Partition angelegt werden. Diese war eine Kopie des MBR in einem weiteren Sektor der Festplatte mit Platz für vier weitere

273

Kapitel 6 Daten, Datenträger und Dateisysteme

Partitionen. Dieser Sektor konnte auch eine Kette mit anderen Sektoren bilden, um so eine größere Anzahl von Laufwerken zu definieren. Beim Start des Systems lädt das BIOS den ersten Sektor der Festplatte in den Speicher und überträgt danach die Kontrolle auf den somit geladenen Programmcode. Dieser wertet die Informationen der Partitionstabelle aus und identifiziert die erste Partition, die mit dem Merkmal Aktiv gekennzeichnet ist. Der Code im MBR lädt daraufhin den ersten Sektor dieser Partition in den Speicher und startet den dort enthaltenen Code, der wiederum das Betriebssystem startet. Da die Partitionsinformationen nur einmal auf dem Datenträger abgespeichert werden, war dieses Konzept natürlich fehleranfällig. Informationen zum internen Aufbau der MBR-Partitionstabelle finden sich unter [MBR].

GPT Neu, schick und cool

Zusammen mit dem neuen BIOS-Typ EFI (Extensible Firmware Interface), den Intel und andere Hardwarehersteller als Nachfolger des klassischen IBM PC-BIOS vorgestellt hatten, wurde auch ein neues Format für die Partitionsinformationen eingeführt: GPT (GUID Partition Table). Dieses Format sollte die Nachteile des alten MBR-Format beheben, insbesondere die geringe Anzahl möglicher Partitionen und die Fehleranfälligkeit, da bei einem MBR die Partitionsinformationen nur einmal auf der Platte abgespeichert werden. Auf einer mit GPT partitionierten Festplatte findet sich kein Startcode mehr im MBR, der Code für den Startprozess findet sich alleinig im EFI-BIOS. Windows XP kann in der 32-Bit-Version überhaupt nicht mit GPT-Partitionen umgehen, unter Windows XP in der 64-Bit-Version lassen sich GPT-Partitionen als Datenpartitionen verwenden. Die 32-Bit-Version von Windows Server 2003 kann ab SP 1 auch von GPT-Partitionen starten. Für alle Versionen von Windows Vista, Windows Server 2008 und Windows 7 bestehen keine Einschränkungen mehr.

Doppelt hält besser!

Die Informationen über die vorhandenen Partitionen sind zweimal auf der Platte gespeichert, einmal auf den Sektoren am Anfang der Platte und in einer Kopie in den Sektoren am Ende der Platte. Auf diese Weise erreicht man eine gewisse Toleranz gegenüber Plattenfehlern, die ansonsten die Informationen auf der Platte unzugänglich machen könnten. Damit nicht versehentlich ein Betriebssystem, das nur den MBR-Typ erkennt, auf eine GPT-Platte zugreift, wird auch bei einer GPT-Platte in den ersten Sektor der Platte ein Platzhalter in Form eines MBR geschrieben, der eine Partition definiert, welche die komplette Platte umfasst. Ab dem zweiten Sektor folgt dann der Bereich der Partitionsdaten (siehe [GPT]). Während eine MBR-Platte nur ein Byte für den Typ der Partition unterstützte, dient für diese Kennzeichnung bei einer GPT-Platte gleich eine 16 Byte große GUID-Angabe (deshalb auch der Name). Zusätzlich bekommt jede einzelne Partition auch eine eigene GUID zugewiesen.

274

Partitionen, physische und logische Laufwerke

Früher wurden Bereiche auf einer Platte noch direkt adressiert, indem spezifiziert wurde, auf welcher Spur der Platte (Cylinder) welcher Lesekopf (Head) welchen Sektor zu lesen hatte. Diese sog. CHS-Angabe war aber auch nach mehreren Erweiterungsverfahren auf Festplatten von maximal knapp 8 GB beschränkt. Aus diesem Grund werden moderne Platten direkt über die Angabe der gewünschten Blocknummer (LBA, Logical Block Addressing) angesprochen. Die Umsetzung der LBAAngabe in eine tatsächliche Lokation auf der physischen Platte obliegt nun dem Controller, der direkt in der Festplatte verbaut ist. Während in einem MBR noch beide Angaben vorhanden sind, wird die GPT nur noch mit LBA-Angaben angegeben. Welchen Typ eine Festplatte hat, können Sie ersehen, wenn Sie in der Datenträgerverwaltung in der linken Spalte der Darstellung mit der rechten Maustaste auf den betreffenden Datenträger klicken und dann Eigenschaften auswählen. Den Partitionstyp finden Sie auf der Registerkarte Volumes. Ein Wechsel zwischen den beiden Typen ist möglich, jedoch nur dann, wenn der Datenträger keinerlei Daten mehr enthält. Abbildung 6.6 Partitionstyp eines Datenträgers

6.2.2

Basis oder dynamisch?

Windows kennt zwei Arten von Datenträgern: Basis (Basic) und Dyna- Dynamisch in die misch. Dynamische Datenträger wurden mit Windows 2000 eingeführt und Zukunft bieten die Möglichkeit, mehrere Partitionen zu einem gemeinsamen Datenbereich zusammenzuschließen. Einige ältere Betriebssysteme sind jedoch nicht in der Lage, von einem dynamischen Datenträger zu starten. Während des Setups legt Windows 7 bei der Partitionierung nur Basisdatenträger an. Ein Wechsel von einem Basisdatenträger in einen dynamischen Datenträger ist möglich. Klicken Sie dazu mit der rechten Maustaste auf den Datenträger in der linken Spalte der Datenträgerverwaltung, und wählen Sie In dynamischen Datenträger konvertieren aus.

275

6

Kapitel 6 Daten, Datenträger und Dateisysteme Abbildung 6.7 Umwandlung in einen dynamischen Datenträger

Sie werden vor der Umwandlung zur Sicherheit auf die möglichen Konsequenzen hingewiesen. Je nach Anzahl der vorhandenen Partitionen auf dem Datenträger kann der Vorgang auch etwas länger dauern, die Daten auf dem Datenträger bleiben dabei erhalten. Der Weg von einem dynamischen Datenträger zurück zu einem Basisdatenträger ist nur möglich, wenn keine Partitionen mehr auf dem Datenträger vorhanden sind. Ob ein Datenträger vom Typ Basis oder Dynamisch ist, können Sie in der entsprechenden Spalte der Datenträgerverwaltung ersehen (siehe Abbildung 6.10). Daten? Logisch!

Bei einem dynamischen Datenträger werden in der Partitionstabelle keine Informationen mehr gespeichert, die Informationen über die dort als Volume bezeichneten Plattenbereiche werden in einer Art Datenbank mit dem Namen Logical Volume Manager (LVM) oder auch Logical Data Manager (LDM) gespeichert. Bei einem dynamischen Datenträger auf einer MBRPlatte wird nur eine Partition vom Typ 0x42 angelegt, die die komplette Platte belegt. Bei einer GPT-Platte werden zwei Partitionen angelegt, eine vom Typ LDM Metadata Partition, welche die Informationen der einzelnen Volumes enthält, und eine vom Typ LDM Data Partition, welche die tatsächlichen Partitionsdaten der Volumes enthält.

6.2.3 Ausfallschutz und mehr

276

Vom Datenträger zum Laufwerksbuchstaben

Um bei Festplatten eine größere Ausfallsicherheit, Fehlertoleranz und größere Kapazitäten zu erreichen, hat man im Bereich der Hardware die Technologie RAID (Redundant Array of independent Disks – redundanter Stapel unabhängiger Platten) entwickelt, mit der mehrere Festplatten logisch zu einer einzigen kombiniert wurden. Im professionellen Einsatz wird dies durch spezielle Festplattencontroller angeboten, die dafür dann auch entsprechende Steuerprogramme anbieten.

Partitionen, physische und logische Laufwerke

RAID-Level

Name

Funktion

0

Stripeset

Die Daten werden auf zwei oder mehr Datenträger verteilt, quasi werden die Daten streifenweise (stripe) auf verschiedene Datenträger aufgeteilt. Dies bewirkt eine Vergrößerung der Kapazität und eine Erhöhung der Geschwindigkeit, da mehrere Platten parallel arbeiten. Maximal unterstützt Windows hierbei die Koppelung von 32 Datenträgern. Ein Defekt an einer der Platten führt allerdings zum Datenverlust auf allen Platten, es existiert also hier keine Redundanz.

1

Spiegelsatz Mirror

Die Daten werden parallel auf zwei oder mehr Datenträger geschrieben. Solange noch mindestens ein Datenträger funktionstüchtig ist, können die Daten noch gelesen werden.

5

Stripeset mit Parität

Mindestens drei Festplatten werden verwendet. Die Information wird mit einer Paritätsinformation zur Fehlerkorrektur zusammen gleichmäßig auf den Datenträgern abgespeichert. Dies hat zur Folge, dass der Ausfall einer einzelnen Platte noch keinen Datenverlust nach sich zieht. Wird die fehlerhafte Platte ersetzt, kann die komplette Information wieder hergestellt werden. Bedingt durch die Paritätsberechnung und die gleichmäßige Aktion auf allen Platten ist diese Methode die langsamste.

Tabelle 6.2 RAID-Level, die bei Windows verwendet werden

6

Es gibt noch eine Reihe weiterer RAID-Level, die jedoch in der Praxis eher selten zum Einsatz kommen. Viele moderne IDE- und SATA-Adapter unterstützen RAID-1 (Mirroring), wenn zwei gleichartige Platten angeschlossen sind. Dies sollte man aus Gründen der Sicherheit bei Serversystemen unbedingt anwenden. Überprüfen Sie in der Anleitung des Controllers, wie diese Funktion überwacht werden kann. Die Ausfallsicherheit nützt nichts, wenn Sie den Ausfall einer Platte nicht bemerken und darauf reagieren können. Die in Tabelle 6.2 aufgeführten RAID-Level 0 und 1 kann Windows auch Software-RAID, selbst softwaremäßig nachbilden. Dies ist natürlich deutlich langsamer besser als nichts gegenüber einem speziell dafür ausgerichteten Festplattencontroller. Der für sensible Datenbestände ausgerichtete RAID-Level 5 wird von Windows 7 nicht unterstützt, auch wenn die entsprechende Option in der Datenträgerverwaltung vorgesehen ist. Um eine entsprechende Plattenkombination einzurichten, benötigen Sie nur eine entsprechende Anzahl freier Datenträger.

277

Kapitel 6 Daten, Datenträger und Dateisysteme Abbildung 6.8 Spiegelung anlegen, ausgehend von Volume G:

Einrichten einer Spiegelung Am einfachsten geht dies bei einer Spiegelung. Sofern auf dem System ein freier Datenträger vorhanden ist, der mindestens so groß ist wie die gewünschte Zielpartition, können Sie einfach die Zielpartition mit der rechten Maustaste anklicken und Spiegelung hinzufügen auswählen. Diese Aktion ist nur auf einem dynamischen Datenträger möglich. Sofern sich die zu spiegelnde Partition auf einem Basisdatenträger befindet, erhalten Sie vorab eine entsprechende Warnung, dass der Datenträger zunächst konvertiert werden muss. Abbildung 6.9 Ziel für die Spiegelung auswählen

Spieglein, Spieglein auf der Platte ...

278

Im nächsten Schritt müssen Sie das Ziel für die Spiegelaktion auswählen, auch wenn nur ein Datenträger als Ziel möglich ist. Der eigentliche Vorgang der Spiegelung läuft automatisch ab und kann anhand einer Prozentanzeige in der Datenträgerverwaltung verfolgt werden. Nach Möglichkeit sollten währenddessen keine Anwendungen auf die zu spiegelnde Platte zugreifen.

Daten und Dateisysteme Abbildung 6.10 Daten werden gespiegelt.

Die weiteren Optionen der Datenträgerverwaltung werden in den entsprechenden Abschnitten 6.5.2 ab Seite 313 und 6.6 ab Seite 317 beschrieben.

6.3

6

Daten und Dateisysteme

Ein Datenträger alleine ist zunächst nichts weiter als eine Ansammlung von Daten mit Speicherplatz ohne jegliche Verwaltungsinformation. Damit man Daten Ordnung bilden und Dateien darauf abspeichern (und wiederfinden) kann, muss ein Daten- ein Dateisystem träger mit einem Dateisystem formatiert werden. Ein Dateisystem erfüllt dabei drei wesentliche Aufgaben: 왘 Benennung von Speicherplatz und Anordnung der Namen in eine Baumstruktur zur Organisation auch größerer Namensräume. 왘 Zuweisung von Speicherplatz, Verhinderung der Doppelvergabe von Speicherplatz und Organisation des nicht zugeordneten Speicherplatzes. 왘 Vergabe und Kontrolle von Berechtigungen, um gezielt den Zugang zu bestimmten Informationen zu erlauben oder zu verweigern. Unter Windows werden heutzutage im Wesentlichen zwei Dateisysteme unterstützt: NTFS und FAT. Unter Windows NT 4.0 war auch noch eine Unterstützung von HPFS (für OS/2) vorhanden, diese wurde zwischenzeitlich entfernt. Eine detaillierte Übersicht über die Unterschiede und Größenrestriktionen bei FAT und NTFS ist im Dokument Local File Systems for Windows unter der Adresse [FSYS] zu erhalten.

279

Kapitel 6 Daten, Datenträger und Dateisysteme

6.3.1 FAT will never die!

FAT

Die FAT (File Allocation Table) wurde erstmals mit der ersten Version von MS/PC-DOS eingeführt, die zunächst nur Disketten unterstützte. Im Laufe der Jahre hat es verschiedene Varianten von FAT gegeben (FAT-12, FAT-16, FAT32, VFAT, exFAT), die aber alle eines gemeinsam haben: Es gibt kein Berechtigungskonzept, jeder hat Zugriff auf alle Dateien eines Datenträgers. Die FAT selbst ist eine einfache Liste von Clustern (Gruppe von mehreren Sektoren). Sofern eine Datei mehr als einen Cluster benötigt, steht im Eintrag für den ersten Cluster die Nummer des zweiten Clusters, im Eintrag des letzten Clusters steht eine Endmarkierung. Diese Tabelle wird aus Redundanzgründen zweimal auf dem Datenspeicher abgelegt. Eine genauere Erklärung des FAT-Formats findet sich auf der Seite [FAT] und weiteren dort verlinkten Seiten. Im Laufe der Zeit ist FAT immer wieder mit seinen Maximalwerten für Dateigröße und Datenträgergröße an die Grenzen der technischen Entwicklung gestoßen. Die letzte Entwicklungsstufe ist aktuell exFAT, das Anfang 2009 von Microsoft für die Systeme Windows XP SP2, Windows Vista SP1 und Windows 7 eingeführt wurde. Entwickelt wurde exFAT zunächst für Windows CE 6.0 unter besonderer Berücksichtigung der Anforderungen für Flash-Speicher (USB-Sticks). Aktuell wird FAT vorwiegend bei solchen Systemen verwendet, bei denen eine Implementierung von NTFS nicht möglich oder nicht sinnvoll erscheint, beispielsweise bei Digitalkameras oder MP3-Musikgeräten. Auf bestimmten Aspekten der FAT-Implementierung besteht immer noch Patentschutz der Firma Microsoft. Die Verwendung von FAT in anderen Geräten kann deshalb Lizenzzahlungen nach sich ziehen.

6.3.2

NTFS

NTFS wurde von Microsoft erstmals mit Windows NT 3.1 eingeführt und ist inzwischen in der Version 3.1 erschienen, die mit Windows XP vorgestellt wurde. Gegenüber FAT bietet NTFS eine ganze Reihe zusätzlicher Fähigkeiten. Fähigkeit

Funktionsweise

Journal

Sämtliche Operationen im Dateisystem werden in einer Journaldatei protokolliert, bei Fehlern kann nachvollzogen werden, an welcher Stelle ein Abbruch erfolgte, dies erleichtert die Wiederherstellung.

Bereitstellungspunkt Mountpoints

Datenträger können außer als eigenständiger Laufwerksbuchstabe auch unterhalb eines Verzeichniseintrages eingebunden werden, sodass beispielsweise G:\ auf einem anderen physischen Laufwerk liegt als G:\temp.

Verzeichnisse in Baumstruktur

Insbesondere bei größeren Verzeichnissen können die einzelnen Einträge effektiver gefunden werden, da die Einträge in Form eines binären Baums abgespeichert werden.

Tabelle 6.3: Fähigkeiten von NTFS

280

Daten und Dateisysteme

Fähigkeit

Funktionsweise

Optimierter Speicherplatz für kleine Dateien

Sehr kleine Dateien werden gleich im Verzeichniseintrag der Datei abgespeichert und belegen keinen zusätzlichen Platz auf dem Datenträger, der zudem in einer separaten I/O-Operation gelesen werden müsste.

Zugriffsschutz (ACL – Access Control List)

Für Dateien und Verzeichnisse können Zugriffsberechtigungen vergeben werden, um Datenschutz und Datensicherheit zu gewährleisten.

Komprimierung

Daten können komprimiert gespeichert werden, ohne sie zuvor in spezielle Containerdateien zu packen (.zip-Dateien).

Harte Verknüpfungen (Hard Links)

Eine Datei auf einem Datenträger kann unter verschiedenen Namen erreicht werden.

Symbolische Verknüpfungen (Sym Links) auf Verzeichnisse

Der Name eines Verzeichnisses wird beim Zugriff automatisch durch den Namen eines anderen Verzeichnisses ersetzt, dies kann auch auf einem anderen Datenträger liegen.

Verschlüsselung (Encryption)

Dateien können verschlüsselt werden, näher wird dieses Konzept in Kapitel 13 behandelt.

Kontingente (Quotas)

Das System überwacht automatisch die Nutzung des Datenspeichers pro Benutzer, es können Grenzwerte angegeben werden, um die übermäßige Belegung des Datenspeichers zu verhindern.

Dateien mit geringer Datendichte (Sparse Files)

In bestimmten Anwendungsfällen hat man es mit Dateien zu tun, in denen nur sehr wenige Datenwerte stehen. Mit diesen Sparse Files ist es möglich, nur diese Datenwerte und nicht auch den Leerraum dazwischen abzuspeichern.

Alternative Datenströme (Alternate Data Streams)

Es ist möglich, zu einer Datei mehr als nur die reinen Nutzdaten abzuspeichern. Diese ADS-Daten können nur über spezielle Funktionen gelesen werden, sodass sie für normale Dateifunktionen unsichtbar bleiben. Ein Beispiel sind die Links im Favoriten-Ordner des Internet Explorers. Das Symbol einer Webseite ist im ADS der .url-Datei gespeichert.

Unicode-Zeichensatz

Die Namen von Dateien und Verzeichnissen können mit dem UnicodeZeichensatz angegeben werden. Dies hat zur Folge, dass deutsche Umlaute oder andere fremdsprachige Zeichensätze in den Namen verwendet werden können.

Analysepunkte

Anwendungen können gezielt Aktionen im Dateisystem überwachen, und beim Vorliegen bestimmter Rahmenbedingungen werden aus dem Dateisystemtreiber heraus Routinen der Anwendung aufgerufen. Auf diese Weise können einfach zusätzliche Funktionalitäten des Dateisystems implementiert werden.

Tabelle 6.3: Fähigkeiten von NTFS (Forts.)

Die kleinste Verwaltungseinheit eines NTFS-Dateisystems ist der Cluster, eine Folge von Sektoren auf einem Datenträger. Die Größe eines Clusters wird bei der Formatierung festgelegt (siehe den Abschnitt 6.4 ab Seite 309), die Größe eines Sektors ergibt sich aus der verwendeten Hardware des Datenträgers (im Allgemeinen 512 Byte).

281

6

Kapitel 6 Daten, Datenträger und Dateisysteme

Die Master File Table Alles ist eine Datei

Die Verwaltungsinformationen von NTFS werden selber in Form von Dateien abgespeichert, die sich wiederum auf dem NTFS-Datenträger befinden. Diese Dateien lassen sich von normalen und administrativen Benutzern nicht ansehen oder bearbeiten, man erkennt jedoch, dass bestimmte Dateinamen bereits belegt sind. Dreh- und Angelpunkt aller NTFS-Laufwerke ist die Master File Table (MFT), die unter dem Namen $mft im Wurzelverzeichnis jedes NTFS-Volumes liegt. C:>dir > \$mft Zugriff verweigert

Von der MFT existieren mindestens zwei Exemplare auf dem Datenträger (erkennbar in der Ausgabe von fsutil fsinfo ntfsinfo in Listing 6.2). Die Kopie hat den Namen \$MftMirr (erkennbar an der Ausgabe von fsutil volume querycluster mit den beiden Angaben für MFT-Start-LCN und MFT2-StartLCN). Die Kopie ist nicht vollständig, sondern enthält nur die ersten vier Einträge ($Mft, $MftMirr, $Logfile und $Volume) der MFT. Listing 6.2 Informationen über die MFT

>fsutil fsinfo ntfsinfo c:\ ... MFT-Start-LCN : MFT2-Start-LCN : MFT-Zonenstart : MFT-Zoneende : ... >fsutil volume querycluster Cluster 0x00000000000c0000, >fsutil volume querycluster Cluster 0x0000000000000002,

0x00000000000c0000 0x0000000000000002 0x000000000021aaa0 0x000000000021dc60 c: 0x00000000000c0000 verwendet von -S--D \$Mft::$DATA c: 0x0000000000000002 verwendet von -S--D \$MftMirr::$DATA

Im Gegensatz zur FAT, die immer am Anfang eines Datenträgers gespeichert wird, kann die MFT prinzipiell überall auf der Platte angelegt werden, im Allgemeinen wird sie in der Mitte des Datenträgers angelegt. In früheren Versionen von Windows wurde dafür 12,5 % des Plattenplatzes für die MFT reserviert, seit Windows Vista wird initial eine Größe von 200 MB festgelegt. In diesem reservierten Bereich werden zunächst keine Dateien angelegt, um eine Fragmentierung der MFT bei deren Wachstum zu vermeiden. Dieser Bereich wird als MFT-Zone bezeichnet (siehe Angaben zu Start und Ende in Listing 6.2). Die Größe dieser Zone lässt sich durch den Wert NtfsMftZoneReservations im Schlüssel HKLM\ SYSTEM\CurrentControlSet\Control\FileSystem kontrollieren, siehe hierzu den Artikel [MFT].

Zeitstempel Für jede Datei auf dem System wird ein Eintrag (Record) für die zur Datei gehörigen Verwaltungsinformationen in der MFT angelegt. Sofern die Datei klein genug ist, wird sie direkt in diesem Eintrag mit abgespeichert. Zu den Verwaltungsinformationen gehören unter anderem die Zeitangaben, wobei NTFS hier drei unterschiedliche Zeitstempel verwaltet: Zeit

282

Daten und Dateisysteme

der Erzeugung (create time), Zeit des letzten schreibenden Zugriffs (write time) und Zeit des letzten lesenden Zugriffs (access time). Die drei Zeitangaben kann man beim DIR-Befehl mit den Optionen /TC, /TW und /TA getrennt ausgeben lassen. Ohne Angabe wird immer die write time ausgegeben. C:\Users\adm>dir /tc test.txt 26.08.2009 09:43 1.477 test.txt C:\Users\adm>dir /tw test.txt 26.08.2009 09:44 1.477 test.txt C:\Users\adm>dir /ta test.txt 30.08.2009 00:29 1.477 test.txt

Aus Effizienzgründen ist die Veränderung der Zeit des lesenden Zugriffs deaktiviert. Dies lässt sich mit dem Befehl fsutil behavior query DisableLastAccess ändern. Für gelöschte Dateien wird der betreffende MFT-Record wieder freigegeben, um erneut belegt zu werden. Er wird jedoch nicht von der MFT entfernt, sodass die MFT im Laufe der Zeit immer größer wird.

6

Reicht der Platz innerhalb des MFT-Records nicht für die Nutzdaten der Datei aus (ab circa 1.400 Byte), werden für diese separate Cluster reserviert. In der MFT wird dann ein Zeiger auf die derartig zugeteilten Cluster notiert. Eine derartige Folge von Datenclustern wird auch als »Lauf« (data rum) bezeichnet. Wächst die Datei und müssen weitere Cluster hinzugefügt werden, kann es passieren, dass man den Lauf nicht weiter erweitern kann, weil er auf Cluster stößt, die bereits von anderen Dateien belegt sind. In diesem Fall wird ein neuer Lauf angefangen und in den MFTRecord eingetragen. Man spricht in diesen Fall davon, dass die Datei fragmentiert ist. Werden so viele Läufe angelegt, dass die Informationen über die Läufe nicht mehr in den ursprünglichen MFT-Record passen, wird ein neuer MFT-Record angelegt, der die Informationen aufnimmt. Trotz dieser möglichen Fragmentierung erfolgt der Zugriff auf die Datei trotzdem noch relativ zügig, da ein Zugriff auf ein bestimmtes Element der Datei recht schnell in der Kette der Läufe identifiziert werden kann, ohne – wie bei FAT – die Kette der Cluster schrittweise abarbeiten zu müssen.

Verzeichnisse bei NTFS Ein Verzeichnis ist bei NTFS im Grunde genommen zunächst nur eine Datei mit speziellen Attributen. Auch hier werden kurze Verzeichnisse komplett in ihren zugehörigen MFT-Record gespeichert. In dem Record liegen dann Verweise auf die MFT-Records, die die Informationen über die einzelnen Dateien enthalten. Bei größeren Verzeichnissen mit vielen enthaltenen Dateien werden entsprechend mehr MFT-Records belegt. Durch die Anordnung der einzelnen Dateien innerhalb der jeweiligen MFT-Records ergibt sich eine Baumstruktur der Einträge.

283

Kapitel 6 Daten, Datenträger und Dateisysteme

Bei NTFS ist auch das Wurzelverzeichnis eines Volumes ein Verzeichnis wie jedes andere auch. Dies bedeutet, dass, im Gegensatz zu FAT12 und FAT-16, die maximale Anzahl der Verzeichniseinträge im Wurzelverzeichnis nicht begrenzt ist. Bei FAT-12 und FAT-16 beträgt die maximale Anzahl von Einträgen ins Wurzelverzeichnis 512 Einträge, wobei Einträge mit langen Namen auch mehr als einen Eintrag verbrauchen können. Weitere Dateien und Verzeichnisse, die NTFS für die eigene Verwaltung verwendet und in den ersten Records der MFT speichert sind: 왘 $logfile – Enthält Logeinträge über alle auf der Platte durchgeführten Aktionen. Kann im Fehlerfall oder bei Systemabstürzen dazu verwendet werden, um entstandene Fehler im Dateisystem zu reparieren. 왘 $volume – Enthält Informationen über den Namen des Datenträgers, die Version des NTFS-Dateisystems und die Information, ob das Volume ordnungsgemäß heruntergefahren wurde. 왘 $AttrDef – Informationen über Attribute des Dateisystems. 왘 . – Der Eintrag . (dot) bildet das Wurzelverzeichnis des Dateisystems. 왘 $Bitmap – Enthält eine Bitmap, die den Belegungsstatus jedes einzelnen Clusters auf dem Datenträger widerspiegelt. 왘 $boot – Enthält auf startfähigen Datenträgern den Bootsektor und den Bootcode zum Start des Betriebssystems. 왘 $BadClus – Enthält Informationen über beschädigte Cluster auf dem Datenträger. Diese werden zukünftig nicht mehr vom System verwendet. 왘 $Secure – Enthält Sicherheitsinformationen. 왘 $Upcase – Enthält zur Generierung der 8.3-Dateinamen eine Umwandlungstabelle, die für die Unicode-Zeichen der NTFS-Dateinamen den entsprechenden DOS-tauglichen Großbuchstaben enthält. 왘 $Extend – Bildet ein Verzeichnis, in dem weitere Verwaltungsinformationen stehen, zum Beispiel die Informationen für die Kontingentverwaltung. Verborgene Informationen

Listing 6.3 Die ersten Einträge in der MFT

284

Einen tieferen Einblick in den Aufbau der MFT kann man mit dem Programm nfi.exe gewinnen, das über die Adresse [OEM] als Bestandteil der OEM Support Tools heruntergeladen werden kann. In der hier gezeigten Form listet es in aufsteigender Reihenfolge die einzelnen Records in der MFT auf. nfi c: NTFS File Sector Information Utility. Copyright (C) Microsoft Corporation 1999. All rights reserved. File 0 Master File Table ($Mft) $STANDARD_INFORMATION (resident) $FILE_NAME (resident) $DATA (nonresident) logical sectors 6291456-6376959 (0x600000-0x614dff) logical sectors 17596352-17651135 (0x10c7fc0-0x10d55bf)

Daten und Dateisysteme $BITMAP (nonresident) logical sectors 6291448-6291455 (0x5ffff8-0x5fffff) logical sectors 2597256-2597279 (0x27a188-0x27a19f) File 1 Master File Table Mirror ($MftMirr) $STANDARD_INFORMATION (resident) $FILE_NAME (resident) $DATA (nonresident) logical sectors 16-23 (0x10-0x17) File 2 Log File ($LogFile) $STANDARD_INFORMATION (resident) $FILE_NAME (resident) $DATA (nonresident) logical sectors 6027928-6158999 (0x5bfa98-0x5dfa97) File 3 DASD ($Volume) $STANDARD_INFORMATION (resident) $FILE_NAME (resident) $OBJECT_ID (resident) $SECURITY_DESCRIPTOR (resident) $VOLUME_NAME (resident) $VOLUME_INFORMATION (resident) $DATA (resident)

6

Plattenplatzüberwachung Auch in der heutigen Zeit haben Festplatten die unangenehme Eigenschaft, Platten sind irgendwann voll zu sein. Insbesondere auf Systemen, die von vielen Benut- immer zu klein zern gleichzeitig verwendet werden, muss ein Administrator immer darauf achten, dass nicht einzelne Benutzer übermäßig viel Platz mit ihren Dateien belegen. Um diesen Prozess zu automatisieren, hat man ein System zur Kontingentverwaltung auf Datenträgern (Quota) eingerichtet. Generell unterscheidet man immer zwischen zwei Grenzen: einer weichen und einer harten Grenze. Die weiche Grenze kennzeichnet einen Wert, ab dem die Plattenbelegung nicht mehr als normal angesehen wird, unter Windows wird dies als Warnstufe bezeichnet. Die harte Grenze ist jene, ab der ein Benutzer damit rechnen muss, dass er keine weiteren Daten mehr abspeichern kann. Ausgangspunkt der Verwaltung ist immer der Datenträger, auf den sich die Kontingentangabe bezieht. Es ist also nicht möglich, die Platzbelegung nur in einem Unterverzeichnis festzulegen. Starten Sie deshalb zunächst über Start/Computer den Blick auf sämtliche Laufwerke des Systems. Dann wählen Sie das gewünschte Laufwerk aus und öffnen die Eigenschaften und dort dann die Registerkarte Kontingent. Alternativ können Sie auch die Eigenschaften über das Kontextmenü des Datenträgers in der Datenträgerverwaltung aufrufen. Für die weiteren Aktionen müssen Sie über administrative Berechtigungen verfügen oder sich diese über die Schaltfläche Kontingenteinstellungen anzeigen zunächst beschaffen.

285

Kapitel 6 Daten, Datenträger und Dateisysteme

Zunächst werden die Datenträgerkontingente deaktiviert sein. Aktivieren Sie diese, indem Sie das Kontrollkästchen Kontingentverwaltung aktivieren einschalten. Diese Aktion kann insbesondere bei größeren Laufwerken geraume Zeit dauern und muss deshalb separat bestätigt werden. Abbildung 6.11 Kontingentverwaltung wirklich nutzen?

Wie geht man mit DateiMessies um?

Abbildung 6.12 Einstellungen der Kontingentverwaltung

286

Im Dialogfeld können bei aktivierter Kontingentverwaltung nun folgende Einstellungen vorgenommen werden: 왘 Speicherplatz bei Überschreitung der Kontingentgrenze verweigern – Sobald ein Benutzer versucht, mehr Speicher anzufordern, als ihm als Grenzwert zugewiesen wurde, verweigert das System die Zuweisung von mehr Speicher. Das betroffene Anwendungsprogramm erhält eine entsprechende Fehlermeldung. 왘 Speicherplatz beschränken auf – Die Einstellung hier betrifft nur die Aktionen neuer Benutzer, für die noch keine eigene Grenze festgelegt wurde. Sobald ein derartiger Benutzer das erste Mal auf den Datenträger zugreift, bekommt er diese Grenzwerte zugewiesen. Es ist nicht möglich, nur eine Grenze zuzuweisen. 왘 Ereignis bei Überschreitung der Kontingentgrenze protokollieren – Sobald das System feststellt, dass ein Benutzer die jeweilige Grenze überschritten hat, kann eine Meldung in das Ereignisprotokoll geschrieben werden. Auf diese Weise kann ein Administrator schnell einen Überblick über den Zustand der Kontingentverwaltung bekommen.

Daten und Dateisysteme

Über die Schaltfläche Kontingenteinträge erhält man Einblick in die aktuell von den Benutzern belegte Datenmenge und ihre Grenzwerte. Beim Betrachten von Abbildung 6.13 fällt auf, dass aktuell nur der Benutzer user3 ein begrenztes Kontingent zugewiesen bekommen hat. Dies liegt darin begründet, dass die anderen Benutzer bereits Daten auf dem Datenträger abgelegt hatten, bevor die Kontingentverwaltung aktiviert wurde. Der Benutzer user3 hat erst danach erstmalig auf den Datenträger zugegriffen und bekam deshalb die Grenzwerte für neue Benutzer zugewiesen. Abbildung 6.13 Kontingente sind festgelegt.

Per Doppelklick auf einen der Einträge oder die Menüfunktion Kontingent/ Eigenschaften lassen sich die aktuellen Grenzen des betreffenden Benutzers verändern. Auch hier gilt wieder, dass man immer beide Grenzwerte setzen muss. Für Benutzer, die noch nicht auf den Datenträger zugegriffen haben oder die andere Grenzen als die Standardwerte für neue Benutzer zugewiesen bekommen sollen, kann man über das Symbol Neuer Kontingenteintrag oder die entsprechende Funktion aus dem Menü Kontingent auch vorab bereits einen entsprechenden Eintrag anlegen.

6

Abbildung 6.14 Einstellung der Kontingente für einen Benutzer

Durch Markieren einer oder mehrerer Einträge und Ausführen der Funk- Bericht zur Lage tion Bearbeiten/Kopieren kann eine Darstellung der Daten in Textform in der Platte die Zwischenablage übertragen werden, zum Beispiel zur Verwendung in Dokumentationen über das jeweilige System.

287

Kapitel 6 Daten, Datenträger und Dateisysteme Listing 6.4 Kopie der QuotaEinträge in der Zwischenablage

Kontingenteinträge für Volume (I:) Status Name Anmeldename Belegter Speicher (MB) Kontingentgrenze (MB) Warnstufe (MB) Prozent belegt Begrenzung überschritten user2 win7\user2 3,1 2 1 155 Warnung user3 [email protected] 1,83 2 1 91 OK user2 [email protected] 0 3 1,5 0 OK adm [email protected] 0 Unbegrenzt Unbegrenzt Nicht zutreffend

Aus der Aufstellung aus Listing 6.4 lässt sich erkennen, dass Benutzer win7\user2 seine Kontingentgrenze überschritten hat. Dies kann durch zwei Aktionen passieren: Entweder ist das Kontrollkästchen Speicherplatz bei Überschreitung der Kontingentgrenze verweigern nicht aktiviert, oder die Grenze wurde manuell herabgesetzt. Über die Befehle Kontingent/Importieren und Kontingent/Exportieren kann eine maschinenlesbare Darstellung der Kontingenteinträge in einer separaten Datei erzeugt werden, etwa um die Einträge auf einem anderen Laufwerk zu restaurieren. Abbildung 6.15 Kontingentereignisse in der Ereignisanzeige

In der Ereignisanzeige können die Ereignisse der Kontingentverwaltung im Systemprotokoll unter der Ereignisquelle Ntfs angesehen werden. Ein Benutzer, für den ein Kontingent auf einem Laufwerk angelegt wurde, sieht nicht mehr die tatsächliche freie Größe des Laufwerks, sondern nur noch den Platz, der ihm durch sein Kontingent zur Verfügung steht. Es ist nicht möglich, über die GUI einer Gruppe ein Kontingent zuzuweisen, das dann für alle Mitglieder der Gruppe gemeinsam gilt. Man kann jedoch mit dem Befehl fsutil (siehe den Abschnitt 6.6.2 ab Seite 322) ein Kontingent auf eine Gruppe setzen. Dies gilt jedoch dann nur für die Dateien, deren Besitzer die Gruppe direkt ist.

288

Daten und Dateisysteme Abbildung 6.16 Platzbeschränkung durch Kontingente

Alternate Data Streams Als ADS (Alternate Data Stream) bezeichnet man eine Technik, bei der zu einer Datei weitere Daten gespeichert werden, die für die normalen Dateioperationen wie Lesen und Schreiben quasi unsichtbar sind. Gleichzeitig sind sie aber direkt mit der Datei gekoppelt, sodass sie beispielsweise vom Kopieren ebenfalls mit erfasst werden. Möglich ist diese Technik nur bei NTFS, bei FAT wird sie nicht unterstützt. Dies hat auch zur Folge, dass man diese ADS mit Programmen, die nicht speziell für NTFS entwickelt wurden, nicht bearbeiten oder entdecken kann. Gleichfalls müssen diese Programme aber darauf achten, dass sie solche Daten nicht bearbeiten können, wenn sie diese von einem FAT-Datenträger beziehen.

6

Um anzuzeigen, welche Dateien mit derartigen ADS versehen sind, kann Verborgenes man die Option /R des Befehls DIR oder das Programm Streams von Sysin- sichtbar machen ternals (siehe [SYS]) verwenden. Um die Streams zu sehen und ihren Inhalt zu manipulieren oder sie zu löschen, dient das Programm AlternateStreamView von [ASV]. Windows selbst verwendet ADS zum Beispiel im Internet Explorer. Hier werden die Symbole der Favoriten in ADS gespeichert und eine Information über die Herkunft einer heruntergeladenen Datei hinterlegt. >\streams Autoruns.zip Streams v1.56 - Enumerate alternate NTFS data streams Copyright (C) 1999-2007 Mark Russinovich Sysinternals - www.sysinternals.com C:\Users\adm\Downloads\Autoruns.zip: :Zone.Identifier:$DATA 26

Listing 6.5 Geheime Daten in ADS

>more < Autoruns.zip:Zone.Identifier:$DATA [ZoneTransfer] ZoneId=3

289

Kapitel 6 Daten, Datenträger und Dateisysteme

>dir 26.08.2009 09:43 1.477 test.txt 17.07.2009 10:22 791.393 badapp.exe 0 Verzeichnis(se), 13.211.062.272 Bytes frei >type badapp.exe > test.txt:geheim >dir test.txt 26.08.2009 09:44 1.477 test.txt 0 Verzeichnis(se), 13.210.251.264 Bytes frei > streams test.txt Streams v1.56 - Enumerate alternate NTFS data streams Copyright (C) 1999-2007 Mark Russinovich Sysinternals - www.sysinternals.com C:\Users\adm\test.txt: :geheim:$DATA 791393 C:\Users\adm>dir /r test* 26.08.2009 09:44 1.477 test.txt 791.393 test.txt:geheim:$DATA

In Listing 6.5 können Sie folgende Aktionen sehen: 왘 Mit dem Programm Streams wird überprüft, ob die Datei Autoruns.zip mit ADS versehen ist. Das Programm listet einen gefundenen Stream mit dem Namen Zone.Identifier:$DATA auf. Dieser wird danach über Eingabeumleitung an das Programm more übergeben und ausgegeben. Sie sehen den Inhalt ZoneId=3. 왘 Im zweiten Teil wird die Anwendung badapp.exe über Ausgabeumleitung in den ADS test.txt:geheim der Datei test.txt gespeichert. Die Dateilänge verändert sich dadurch nicht, aber Sie können erkennen, dass der freie Plattenplatz sich von 13.211.062.272 auf 13.210.251.264 Byte verringert, die Differenz von –811.008 Byte entspricht in etwa der Größe der im ADS gespeicherten Daten, zuzüglich etwas Verschnitt durch Clustergrößen. Mit dem Befehl DIR /R können Sie sehen, dass der ADS keinen eigenen Zeitstempel besitzt. 왘 Weder type noch more verstehen ADS-Namen, deshalb wird in den Beispielen jeweils mit der Ein-/Ausgabeumleitung des Kommandoprozessors gearbeitet. Das Problem ist hierbei die Namenskonvention Dateiname Doppelpunkt ADS-Name, da der Doppelpunkt sonst bei Dateinamen nur am Anfang als Kennzeichnung des Laufwerksbuchstaben verwendet wird. Die Datei kommt aus Feindesland

290

Die Zoneninformation verwendet der Explorer zum Beispiel, um zu entscheiden, ob eine Datei sicher ist oder nicht. Eine mit der angegebenen Info ist für ihn nicht sicher, und er zeigt dies entsprechend auch in den Eigenschaften der Datei an. Mit der Schaltfläche Zulassen wird der ADS gelöscht. Eine ausführbare Datei mit einem derartigen ADS führt der Explorer nicht aus, sondern präsentiert eine Warnmeldung, die der Benutzer erst bestätigen muss.

Daten und Dateisysteme Abbildung 6.17 Unsichere Datei dank ADS

6.3.3

NTFS – Berechtigungen

Ändern

Lesen & Ausführen

Verzeichnis auflisten

X

X

X

X

Ordner auflisten/Daten lesen

X

X

X

X

X

Attribute lesen

X

X

X

X

X

Schreiben

Vollzugriff

Ordner durchsuchen/Datei ausführen

Lesen

Erweiterte Berechtigung

Zu jeder Datei und zu jedem Verzeichnis verwaltet NTFS eine Zugriffskon- Wer darf was? trollliste (ACL, Access Control List). In dieser Liste ist vermerkt, welche Benutzer und Gruppen welche Aktionen mit dem betreffenden Objekt ausführen oder nicht ausführen dürfen. Zusätzlich wird auch noch vermerkt, wer der Besitzer der Datei oder des Verzeichnisses ist, im Normalfall ist dies derjenige, der die Datei auch angelegt hat. Beim Anlegen einer neuen Datei erhält diese als Zugriffsrechte zunächst die vererbten Zugriffsrechte des Ordners zugewiesen, in dem die Datei angelegt wird. Die Berechtigungen werden bei NTFS in zwei Stufen dargestellt, eine Basisstufe mit einer eher groben Einteilung der Berechtigungen und einer erweiterten Stufe mit sehr detaillierten Einstellungen. Die einzelnen Basisstufen beinhalten die folgenden erweiterten Stufen:

Tabelle 6.4: Zusammenhang zwischen einfachen und erweiterten Berechtigungen

291

6

Vollzugriff

Ändern

Lesen & Ausführen

Verzeichnis auflisten

Lesen

Erweiterte Attribute lesen

X

X

X

X

X

Dateien erstellen/Daten schreiben

X

X

X

Ordner erstellen/Daten anhängen

X

X

X

Attribute schreiben

X

X

X

Erweiterte Attribute schreiben

X

X

X

Löschen

X

X

Unterordner und Dateien löschen

X

X

Berechtigungen lesen

X

X

Berechtigungen ändern

X

Besitz übernehmen

X

X

X

X

Schreiben

Erweiterte Berechtigung

Kapitel 6 Daten, Datenträger und Dateisysteme

X

Tabelle 6.4: Zusammenhang zwischen einfachen und erweiterten Berechtigungen (Forts.)

Die Berechtigung Lesen & Ausführen beinhaltet die Berechtigung Lesen, die Berechtigung Ändern die Berechtigungen Lesen & Ausführen und Schreiben. Zulassen oder verweigern?

Jede einzelne Berechtigung kann entweder Zugelassen oder Verweigert werden. Hierbei haben Verweigerungen immer Priorität gegenüber Zulassungen. Besitzt ein Benutzer also als Mitglied einer Gruppe das Recht zur Änderung und ist ihm als Benutzer das Recht Attribute schreiben verweigert, besitzt er alle in der Spalte Ändern aufgeführten Rechte mit Ausnahme des einen speziellen Rechts. Sobald man eine entsprechende Berechtigung setzt, wird man auf diesen Umstand extra hingewiesen.

Abbildung 6.18 Zugriffsverweigerungen haben Vorfahrt!

Bestimmte Aktionen können durch mehrere Berechtigungen ermöglicht werden. Um beispielsweise eine Datei zu löschen, muss er entweder für die Datei das Recht Löschen besitzen, oder er benötigt für den Ordner, in dem die Datei liegt, das Recht Unterordner und Dateien löschen.

292

Daten und Dateisysteme

Zu beachten ist der Unterschied zwischen den Aktionen Lesen und Ausführen. Für echte ausführbare Programme (also .com- und .exe-Dateien) besteht ein Unterschied, ob eine Datei vom Datenträger gelesen wird, um ausgeführt zu werden, oder ob eine Kopie der Datei angelegt werden soll. Für Skriptdateien (zum Beispiel .cmd-Dateien) ist jedoch nur die Berechtigung zum Lesen relevant, da diese Dateien nicht zum Ausführen in den Speicher geladen werden. Diese Dateien werden vom Kommandointerpreter (zum Beispiel cmd.exe) als normale Datendatei eingelesen. Den Ablauf einer solchen Skriptdatei kann man also nicht dadurch verhindern, dass man die Berechtigung zur Ausführung entzieht.

Vererbung Um nicht für jede Datei einzeln Berechtigungen vergeben zu müssen, Was du ererbt existiert das Konzept der Vererbung. Hierbei erhalten Objekte in einem hast von deinen Container (ein Verzeichnis) automatisch bestimmte Berechtigungen über- Containern ... tragen, sobald sie dort neu angelegt werden. Möchte man nun ein derartiges ererbtes Recht verändern, hat man nur die Möglichkeit, zusätzliche Berechtigungen zu vergeben, wahlweise als Erlaubnisse oder Verweigerungen. Berechtigungen zu entfernen geht auf diese Weise nicht! Betrachten Sie dazu ein Beispiel: Einem Benutzer A wurde die Berechtigung »Schreiben« auf einem Verzeichnis V1 verweigert. Nun soll ihm das Schreiben auf einem Unterverzeichnis V1\V2 erlaubt werden. Zwar kann man ihm die Berechtigung »Schreiben« auf V1\V2 erteilen, diese steht jedoch im Widerspruch zu der ererbten Berechtigung »Schreiben:verweigert«, und diese hat bekanntermaßen Vorrang. Um dieses Problem zu umgehen, gibt es die Möglichkeit, die Vererbung aufzulösen, womit das Objekt mit einer neuen ACL ohne Altlasten starten kann. Bei dem Vorgang bekommt man die Möglichkeit, die bestehende ACL zu kopieren, um dann einfacher die gewünschten Änderungen durchführen zu können.

6

Berechtigungen kontrollieren und manipulieren In den Eigenschaften einer Datei existieret eine ganze Reihe von Dialog- Vertrauen ist gut, feldern, mit denen die Berechtigungen einer Datei angesehen und mani- Kontrolle ist puliert werden können. Der Einstieg erfolgt immer über die Registerkarte besser! Sicherheit der Dateieigenschaften. Im oberen Teil des Dialogfeldes aus Abbildung 6.19 sieht man alle Benutzer und Gruppen, denen spezielle Berechtigungen auf dem jeweiligen Objekt zugewiesen wurden. Sobald im oberen Teil ein Benutzer oder eine Gruppe selektiert wurde, wird im unteren Teil der Status der einfachen Berechtigungen angezeigt. Sobald die Kombination der erweiterten Berechtigungen nicht mehr zu einer der Basisberechtigungen passt, erscheint ein Häkchen bei Spezielle Berechtigungen. Häkchen, die eher blass dargestellt werden, kennzeichnen ererbte Berechtigungen, eher dunkle Häkchen kennzeichnen direkt zugewiesene Berechtigungen. In der Abbildung 6.19 kann man beispielsweise sehen, dass die Zulassung für die Berechtigung »Schreiben« ererbt, die Verweigerung jedoch direkt zugewiesen wurde.

293

Kapitel 6 Daten, Datenträger und Dateisysteme Abbildung 6.19 Kontrolle der Berechtigungen

Durch Betätigung der Schaltfläche Bearbeiten kann man die Basisberechtigungen verändern. Oben im Dialogfeld von Abbildung 6.20 stehen wieder die einzelnen Gruppen oder Benutzernamen. Selektiert man eine davon, werden im unteren Teil die entsprechenden Berechtigungen angezeigt und können mit den Kontrollkästchen verändert werden. Abbildung 6.20 Basisberechtigungen verändern

Hierbei lassen sich aber nicht alle davon bearbeiten. Hier sieht man, dass zum Beispiel das Kästchen Ändern in der Spalte Zulassen einen Haken hat, dieser aber ausgegraut ist und er sich somit nicht entfernen lässt. Dies bedeutet, dass die Berechtigung ererbt ist und deshalb nicht entfernt werden kann. Das Kästchen Vollzugriff ist in beiden Spalten aktivierbar, da dieses Recht nicht vererbt worden ist. Gleiches gilt für die Verweigerungen der übrigen Rechte. Über die Schaltfläche Hinzufügen lassen sich neue Benutzer- und Gruppennamen hinzufügen, wahlweise aus dem lokalen System oder aus dem Active Directory, sofern das System Mitglied einer

294

Daten und Dateisysteme

Domäne ist. Entfernen lassen sich Benutzer, indem sie selektiert werden und danach die Schaltfläche Entfernen betätigt wird. Dies kann allerdings nur erfolgen, sofern der betreffende Benutzer oder die Gruppe nicht über Vererbung auf die ACL gekommen ist. Abbildung 6.21 Vererbte Berechtigungen bleiben erhalten.

Erweiterte Sicherheitseinstellungen Im unteren Teil des Dialogfeldes aus Abbildung 6.19 können Sie durch Betä- Erweiterte tigung der Schaltfläche Erweitert die erweiterten Berechtigungen sowie die Sicherheit Vererbung einstellen. Im Dialogfeld sehen Sie alle Einträge der ACL. Für jeden Eintrag können Sie in den einzelnen Spalten der Anzeige Folgendes erkennen: 왘 Ob es sich um eine Zulassung oder eine Verweigerung handelt. 왘 Auf welchen Benutzer oder welche Gruppe sich die Zeile bezieht. 왘 Welche Berechtigung erteilt wird. Sofern hier wieder die Kombination der erweiterten Berechtigungen nicht zu einer der Basisberechtigungen passt, wird Speziell angezeigt. 왘 Die Angabe Geerbt von gibt an, von welchem Verzeichnis die Einstellung geerbt wurde. Dies muss nicht zwingend das aktuelle Verzeichnis sein, in dem das Objekt liegt, sondern kann auch ein weiter oben im Dateibaum liegendes Verzeichnis sein. Wenn keine Vererbung stattgefunden hat und die Angabe direkt dem Objekt zugewiesen wurde, steht hier .

6

Abbildung 6.22 Erweiterte Berechtigungen

295

Kapitel 6 Daten, Datenträger und Dateisysteme

Mit der Schaltfläche Berechtigungen ändern gelangt man zu einem Dialogfeld, das dem bisherigen ziemlich ähnlich scheint. Abbildung 6.23 Erweiterte Berechtigungen ändern

Mit den drei Schaltflächen unter der Liste der Einträge in der ACL kann man die Liste manipulieren: 왘 Hinzufügen – Ein neuer Eintrag für einen Benutzer oder eine Gruppe wird hinzugefügt. 왘 Bearbeiten – Der in der Liste markierte Eintrag wird zum Bearbeiten angezeigt. Ein Eintrag, der nicht geerbt wurde, kann komplett bearbeitet werden. Bei einem geerbten Eintrag können prinzipbedingt nur Einträge hinzukommen. Diese werden dann als neue Zeile in die Liste aufgenommen. 왘 Entfernen – Es können nur Einträge entfernt werden, die nicht geerbt wurden. Mit dem Kontrollkästchen Vererbbare Berechtigungen des übergeordneten Objektes einschließen kann eine bestehende Vererbung aufgehoben beziehungsweise eingerichtet werden. Hebt man die Vererbung auf, hat man die Möglichkeit, entweder alle geerbten Berechtigungen zu übernehmen oder sie zu entfernen, sodass nur die aktuell nicht geerbten Berechtigungen erhalten bleiben. Abbildung 6.24 Nicht vererben, sondern behalten?

Wenn Sie das Dialogfeld aus Abbildung 6.23 mit den Schaltflächen OK oder Übernehmen bestätigen, werden die Änderungen sofort durchgeführt, auch wenn Sie danach die Dialogfelder durch Abbrechen beenden.

296

Daten und Dateisysteme

Berechtigungen auf Verzeichnissen Sofern es sich bei dem Objekt, dessen Berechtigungen gerade bearbeitet werden, um ein Verzeichnis handelt, erscheint im Dialogfeld aus Abbildung 6.23 ein weiteres Kontrollkästchen. Abbildung 6.25 Zusatzoption für Verzeichnisse

Mit dem Kontrollkästchen Alle Berechtigungen für untergeordnete Objekte können auf sämtliche in dem Verzeichnis enthaltenen Unterverzeichnisse und Dateien die Berechtigungen angewendet werden, die im aktuellen Verzeichnis als vererbbar gekennzeichnet sind. Hierbei werden sämtliche bislang unterhalb explizit vergebenen Berechtigungen entfernt. Abbildung 6.26 Erben ist nicht problemlos

6

Diese Option, an falscher Stelle gesetzt, kann problemlos ausgefeilte Berechtigungsstrukturen zerstören. Beim Zuweisen von Berechtigungen zu Verzeichnissen kann man sehr detailliert einstellen, wie sich diese Berechtigungen an welche Elemente vererben sollen. Für jede der drei Gruppen (das Verzeichnis selber, Unterverzeichnisse, enthaltene Dateien) kann individuell bestimmt werden, ob die Berechtigung auf das untergeordnete Element wirken sollen oder nicht. Abbildung 6.27 Wer darf erben?

297

Kapitel 6 Daten, Datenträger und Dateisysteme Geschickte Erbschaften

Mit geschickter Vererbung lassen sich einige Aufgabenstellungen automatisieren, die anderweitig manuell von einem Administrator durchgeführt werden müssten. Folgende Aufgabenstellung ist zu erfüllen: 왘 Es gibt einen gemeinsamen Speicherbereich, in dem Benutzer Daten ablegen sollen. 왘 Andere Benutzer sollen keinen Zugriff auf die Daten erhalten. 왘 Es soll den Benutzern aber ermöglicht werden, selbst anderen Benutzern Zugang zu erteilen. Um diese Aufgabe zu erfüllen, befolgen Sie folgende Schritte: 1. Anlage eines neuen Ordners C:\Storage 2. Deaktivierung der Vererbung für den Ordner, Übernahme der bisherigen Berechtigungen 3. Die Berechtigungen für SYSTEM und Administratoren belassen 4. Die Berechtigung für Benutzer abändern auf: 왘 Übernehmen für: Nur diesen Ordner 왘 Berechtigungen: Ordner durchsuchen, Ordner auflisten, Ordner erstellen 5. Berechtigung für ERSTELLER-BESITZER hinzufügen: 왘 Übernehmen für: Nur Unterordner und Dateien 왘 Berechtigungen: Vollzugriff Das Sicherheitsobjekt ERSTELLER-BESITZER ist ein spezieller Benutzer, der bei der Erstellung eines neuen Objektes durch den aktuellen Benutzer ersetzt wird. Die Auswirkungen dieser Einstellungen sind folgende: 왘 Im Ordner C:\Storage können die Benutzer keine Dateien anlegen, sondern nur neue Ordner (Schritt 4). 왘 Auf die neu angelegten Ordner haben zunächst nur Sie selbst Zugriff (Schritt 5). 왘 Sie können jedoch anderen Benutzern den Zugriff gestatten (die Berechtigung Vollzugriff in Schritt 5 beinhaltet auch die Berechtigung Berechtigungen ändern).

Überwachung des Zugriffs Die Möglichkeiten der Registerkarte Überwachung werden in Kapitel 14 erklärt.

Besitzer überprüfen und festlegen Jede Datei und jedes Verzeichnis auf einem NTFS-Datenträger hat einen Besitzer, der in dem Moment festgelegt wird, in dem das betreffende Objekt angelegt wird. Bei einer unbekannten Datei, die Sie irgendwo im Verzeichnis finden, können Sie anhand des Besitzers zumindest eine Ahnung bekommen, wer die Datei dort abgelegt hat. Im Explorer können Sie die

298

Daten und Dateisysteme

Spalte Besitzer zusätzlich einblenden lassen. Über die Befehlszeile lässt sich beim Befehl DIR mit der Option /Q die Anzeige des Benutzers erreichen: C:\Users\Public\Documents>DIR /Q Datenträger in Laufwerk C: ist Volume Volumeseriennummer: 5A53-E976 Verzeichnis von C:\Users\Public\Documents 25.08.2009 15:49

VORDEFINIERT\Administra. 25.08.2009 15:49

VORDEFINIERT\Administra.. 02.08.2009 12:44 509 win7lap\jochenr-admin dir.txt 25.08.2009 15:49 685 win7lap\kind dir2.txt

Listing 6.6 Anzeige des Besitzers mit DIR

Bei der Anzeige von DIR /Q steht nur eine begrenzte Anzahl von Zeichen für die Anzeige zur Verfügung, längere Benutzernamen werden abschnitten. In den erweiterten Eigenschaften des Sicherheitsdialogfeldes im Explorer kann man auf der Registerkarte Besitzer sowohl den aktuellen Besitzer festlegen als auch einen neuen bestimmen. Abbildung 6.28 Besitzer anzeigen und ändern

Durch Betätigung der Schaltfläche Bearbeiten in Abbildung 6.28 gelangt man nach einer UAC-Abfrage zu einem Dialogfeld, mit dem man einen anderen Benutzer des Objektes festlegen kann. Dies geht natürlich nur, wenn der ausführende Benutzer selbst die Berechtigung Besitz übernehmen innehat.

Anzeigen der effektiven Berechtigungen Insbesondere bei ausgefeilten Berechtigungskonzepten, die mit vielen, auch ineinander verschachtelten, Gruppen arbeiten, ist es manchmal schwierig nachvollziehbar, welche Berechtigungen ein Benutzer oder eine Gruppe am Ende tatsächlich hat. Hierbei hilft die Registerkarte Effektive Berechtigungen. Zunächst navigiert man zum fraglichen Objekt, dessen Berechtigungen man überprüfen möchte, und ruft dann das Dialogfeld auf.

299

6

Kapitel 6 Daten, Datenträger und Dateisysteme Abbildung 6.29 Anzeige der effektiven Berechtigungen

Wer darf was?

Durch Betätigung der Schaltfläche Auswählen selektiert man den interessierenden Benutzer oder die Gruppe und bekommt dann im Feld Effektive Berechtigungen angezeigt, welche Berechtigungen der gewählte Benutzer bzw. die gewählte Gruppe in Bezug auf das Objekt hat. Sofern bei einer Berechtigung kein Haken angezeigt wird, erhält man allerdings keine Informationen darüber, ob dies durch eine Verweigerung oder durch eine fehlende Erlaubnis passiert ist.

6.3.4

NTFS-Berechtigungen auf der Kommandozeile

Um NTFS-Berechtigungen auf der Kommandozeile zu kontrollieren und zu bearbeiten, diente bis einschließlich Windows Server 2003 SP1 das Programm cacls.exe. Mit Windows Server 2003 SP2 wurde ein erweiterter Nachfolger vorgestellt, das Programm icacls.exe. Das alte Programm ist aber weiterhin in Windows 7 vorhanden, sodass alte Skripte, die Berechtigungen setzen, weiterhin funktionieren. In diesem Buch wird es aber nicht behandelt, es sei hierzu auf die Online-Hilfe cacls.exe /? verwiesen.

Anzeige der Berechtigungen mit icacls.exe Ruft man icacls.exe mit dem Namen einer Datei oder eines Verzeichnisses auf der Kommandozeile auf, erhält man eine Textdarstellung der aktuell vergebenen Berechtigungen. Diese Funktion ist genauso wie in cacls.exe implementiert. Nach Angabe des zu prüfenden Objektes können noch zusätzliche Parameter angegeben werden: 왘 /T – Zeigt nicht nur das Objekt an, sondern auch in dem Objekt enthaltene Unterverzeichnisse. 왘 /C – Arbeitet auch nach Fehlern weiter. Normalerweise wird die Verarbeitung abgebrochen, sobald ein Objekt nicht bearbeitet werden kann.

300

Daten und Dateisysteme 왘 /Q – Am Ende der Verarbeitung wird keine zusammenfassende Statis-

tik der Aktionen ausgegeben. 왘 /L – Es werden auch die Informationen aus symbolischen Verknüp-

fungen ausgegeben. Die Ausgabe von icacls.exe sieht dann wie folgt aus: >icacls c:\storage /t /c c:\storage VORDEFINIERT\Administratoren:(OI)(CI)(F) NT-AUTORITÄT\SYSTEM:(OI)(CI)(F) VORDEFINIERT\Benutzer:(S,RD,AD,X) ERSTELLER-BESITZER:(OI)(CI)(IO)(F)

Listing 6.7 Ausgabe des Kommandos icacls.exe

c:\storage\aclfile.txt VORDEFINIERT\Administratoren:(I)(F) NT-AUTORITÄT\SYSTEM:(I)(F) c:\storage\kind VORDEFINIERT\Administratoren:(I)(OI)(CI)(F) NT-AUTORITÄT\SYSTEM:(I)(OI)(CI)(F) win7lap\kind:(I)(F) ERSTELLER-BESITZER:(I)(OI)(CI)(IO)(F) c:\storage\kind-1 VORDEFINIERT\Administratoren:(I)(OI)(CI)(F) NT-AUTORITÄT\SYSTEM:(I)(OI)(CI)(F) win7lap\kind:(I)(F) ERSTELLER-BESITZER:(I)(OI)(CI)(IO)(F) ... c:\storage\kind\abc VORDEFINIERT\Administratoren:(I)(OI)(CI)(F) NT-AUTORITÄT\SYSTEM:(I)(OI)(CI)(F) win7lap\kind:(I)(F) ERSTELLER-BESITZER:(I)(OI)(CI)(IO)(F) ... 9 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

6

Beim Betrachten der Ausgabe in Listing 6.7 fallen zwei Dinge auf: 왘 Bei der Verarbeitung der Baumstruktur durch die Option / T werden nach dem Basiselement (c:\storage) zunächst alle Elemente der oberen Ebene (c:\storage\aclfile.txt, c:\storage\kind, c:\storage\kind-1) bearbeitet, bevor dann in die zweite Ebene (c:\storage\kind\abc) gewechselt wird. 왘 Bei der Auflistung der Berechtigungen werden diese in folgender Reihenfolge angezeigt: die explizit zugewiesenen Verweigerungen, die expliziten Berechtigungen, die erworbenen Verweigerungen und die erworbenen Berechtigungen. Bei einer Berechtigung folgt zuerst der Name des Sicherheitsobjektes, dann ein Doppelpunkt und dahinter eine Folge von in Klammern eingeschlossenen Berechtigungsmasken. Hier ein Beispiel für Verweigerungen (Zeilen 2 und 4) und direkt zuge- Verweigerte wiesene Berechtigungen (Zeilen 2 und 3) und ererbte Berechtigungen Erlaubnisse (Zeilen 3 bis 6).

301

Kapitel 6 Daten, Datenträger und Dateisysteme Listing 6.8 Vererbungen und direkte Zuweisungen

1 >icacls datei.txt 2 datei.txt win7lap\kind3:(DENY)(S,REA,RA) 3 win7lap\kind2:(S,RD,AD) 4 win7lap\kind3:(I)(DENY)(S,AD) 5 win7lap\jochenr-admin:(I)(F) 6 NT-AUTORITÄT\SYSTEM:(I)(F) 7 VORDEFINIERT\Administratoren:(I)(F)

Zeilen mit einem (I) kennzeichnen ererbte Berechtigungen (inherited), die weiteren Klammern mit einem I kennzeichnen die Weise, wie diese vererbt werden: 왘 (OI). – Einstellung wird auf Objekte (Dateien) vererbt. 왘 (CI) – Einstellung wird auf Container (Verzeichnisse) vererbt. 왘 (IO) – Einstellung wird nicht auf das Objekt angewandt, sondern nur vererbt (inherit only). 왘 (NP) – Einstellung wird nur auf das Objekt angewandt und nicht vererbt (no propagation). Zeilen mit (DENY) kennzeichnen Verweigerungen. Die restlichen Klammerpaare beschreiben Berechtigungen, mehrere Berechtigungen können in einem Klammerpaar durch Kommata getrennt zusammengefasst werden. Die einzelnen Berechtigungen können sowohl einfache als auch erweiterte Berechtigungen sein. Tabelle 6.5 Attributbezeichnungen für icacls.exe

302

Basisberechtigung

Erweiterte Berechtigung

D

Löschen

AD

Ordner erstellen/Daten anhängen

F

Vollzugriff

AS

Systemsicherheitszugriff

M

Ändern

DC

Unterordner und Dateien löschen

N

Kein Zugriff

DE

Löschen

R

Lesen

GA

Vollzugriff

RX

Lesen & Ausführen

GE

Entspricht den erweiterten Berechtigungen RD, RA und RC

W

Schreiben

GR

Entspricht Basisberechtigung R

GW

Entspricht Basisberechtigung W

MA

Maximal zulässig

RA

Attribute lesen

RC

Berechtigungen Lesen

RD

Ordner auflisten/Daten lesen

REA

Erweiterte Attribute lesen

S

Synchronisieren

WA

Attribute schreiben

WD

Daten schreiben/Datei hinzufügen

WDAC

Berechtigungen schreiben

WEA

Erweiterte Attribute schreiben

WO

Besitz übernehmen

X

Ordner durchsuchen/Datei ausführen

Daten und Dateisysteme

Die Berechtigung Synchronisieren hat nur Einfluss auf das Verhalten von Multithreaded-Programmen auf entsprechenden Systemen mit mehreren Prozessoren. Auf Dateien mit dieser Berechtigung können die Benutzer mit Mitteln der Prozesssynchronisation zugreifen. Im Explorer wird dieses Attribut nicht angezeigt. Die Attribute Systemsicherheitszugriff und Maximal zulässig können zwar gesetzt werden, sind aber weder im Explorer noch bei der Überprüfung mit icacls.exe abrufbar. Ihre Funktion bleibt unklar. Generell ist es nicht schön, dass die Online-Hilfe des Programms die Berechtigungen anders bezeichnet, als dies der Explorer in seinen Dialogfeldern tut.

Aktionen mit icacls.exe Mit verschiedenen Aktionen lassen sich mittels icacls.exe die Berechtigungen einer oder mehrere Dateien und Verzeichnisse manipulieren. Die genaue Syntax der Befehle können Sie der Online-Hilfe icacls.exe /? entnehmen. 왘 /grant und /deny – Mit den Optionen lassen sich Berechtigungen (/grant) und Verweigerungen (/deny) zuweisen. Im Anschluss daran folgen der Name eines Benutzers oder einer Gruppe, ein Doppelpunkt und die betreffende Berechtigung. Das Format entspricht dem Format beim Anzeigen der Berechtigungen. 왘 /remove – Das angeführte Sicherheitsobjekt wird aus der ACL entfernt, durch Hinzufügen von :g oder :d kann das Entfernen auf Erlaubnisse oder Verweigerungen beschränkt werden. 왘 /save – Die bestehenden ACL werden in eine Datei abgespeichert. Zwei Dinge gilt es hierbei zu beachten: 왘 Die Datei wird im Unicode-Format abgespeichert und kann deshalb auch nur mit einem entsprechen Unicode-geeigneten Editor bearbeitet werden. 왘 Die Sicherheitsobjekte werden mit ihrer SID dargestellt und nicht mit ihrem Namen wie bei der Anzeige. Dies hat zur Folge, dass diese Datei nicht so einfach auf anderen Computer importiert werden kann. Die Berechtigungen der in Listing 6.8 dargestellten Datei werden wie folgt abgespeichert:

6

datei.txt D:AI(D;;SWLO;;;S-1-5-21-2096581879-31003820493730528235-1004)(A;;0x100005;;;S-1-5-21-20965818793100382049-3730528235-1003)(D;ID;LC;;;S-1-5-212096581879-3100382049-3730528235-1004)(A;ID;FA;;; S-1-5-21-2096581879-3100382049-37305282351000)(A;ID;FA;;;SY)(A;ID;FA;;;BA)

303

Kapitel 6 Daten, Datenträger und Dateisysteme

왘 왘

왘 왘

왘 왘

Dieses Format wird SDDL (Security Descriptor Definition Language) genannt und an verschiedenen Stellen von Windows 7 verwandt. Eine genaue Erklärung hierzu findet sich in [SDDL]. Ein Beispiel für ihre Anwendung ist die Datei %windir%\inf\defltbase.inf, mit der die Berechtigungen für das Dateisystem und die Registrierungsdatenbank über den Befehl secedit.exe wieder auf den Installationszustand zurückgestellt werden können. /restore – Eine mit der Option /save erzeugte Datei mit Berechtigungen wird wieder auf die Objekte angewandt. Durch den Parameter /substitute ist es möglich, bestimmte SID aus der Datei durch andere SID zu ersetzen. Dies ist hilfreich, wenn man eine derartige Datei auf einem anderen System oder einer anderen Installation einsetzen will. /setowner – Setzt den Besitzer einer Datei. Leider gibt es keine Option, um den Besitzer anzuzeigen. /findsid – Die angegebenen Dateien werden nach einer Berechtigung (gleich welcher Art) durchsucht, in der die angegebene SID enthalten ist. Hierbei werden nur explizite Erwähnungen angezeigt. Eine Berechtigung für eine Gruppe, in der der angegebene Benutzer Mitglied ist, wird nicht angezeigt. /reset – Bei Dateien, deren Vererbung unterbrochen wurde, wird die Vererbung wieder aktiviert. /inheritance – Für Objekte kann kontrolliert werden, ob sie Eigenschaften vererbt bekommen sollen oder nicht. Zudem kann angegeben werden, ob beim Verlust der Vererbung die bisherigen ACL kopiert werden sollen. /setintegritylevel – Kontrolliert die Verbindlichkeitsstufe (Integritätsniveau) des Objektes. Dieses Konzept wird näher in Kapitel 13 erklärt. /verify – Dient zur Überprüfung der ACL auf mögliche Fehler in den Verwaltungsstrukturen.

Andere Programme zur Anzeige und Manipulation von Berechtigungen Bedingt durch den grundlegenden Charakter der NTFS-Berechtigungen existiert eine ganze Reihe von Programmen, mit denen diese bearbeitet werden können. Beim Programm xcopy.exe kann mit der Option /O erreicht werden, dass die ACL und der Besitzer der zu kopierenden Dateien mit übertragen werden. Ohne diese Option erhalten die kopierten Daten die Berechtigungen, die sie von ihrem Zielordner vererbt bekommen. Aus der Sysinternals-Sammlung (siehe [SYS]) stammt das Programm AccessChk, mit dem die Berechtigungen sowohl auf das Dateisystem als auch auf die Registry oder Windows-Dienste angezeigt werden können.

304

Daten und Dateisysteme

AccessChk liefert einerseits eine kompaktere Darstellung als icacls.exe und andererseits mehr Informationen als icacls.exe /findsid. >accesschk.exe kind d*.txt Accesschk v4.23 - Reports effective permissions for securable objects Copyright (C) 2006-2008 Mark Russinovich Sysinternals - www.sysinternals.com C:\Users\Public\Documents\dir.txt RW C:\Users\Public\Documents\dir2.txt

Listing 6.9 AccessChk im Einsatz

>accesschk.exe d*.txt Accesschk v4.23 - Reports effective permissions for securable objects Copyright (C) 2006-2008 Mark Russinovich Sysinternals - www.sysinternals.com C:\Users\Public\Documents\dir.txt Medium Mandatory Level (Default) [No-Write-Up] RW VORDEFINIERT\Administratoren RW win7lap\jochenr-admin RW NT-AUTORITÄT\SYSTEM RW NT-AUTORITÄT\INTERAKTIV RW NT-AUTORITÄT\DIENST RW NT-AUTORITÄT\BATCH C:\Users\Public\Documents\dir2.txt Medium Mandatory Level (Default) [No-Write-Up] RW VORDEFINIERT\Administratoren RW win7lap\kind RW NT-AUTORITÄT\SYSTEM RW NT-AUTORITÄT\INTERAKTIV RW NT-AUTORITÄT\DIENST RW NT-AUTORITÄT\BATCH

6

Der erste Aufruf des Befehls liefert Informationen über die Berechtigungen des Benutzers kind auf alle Dateien, die durch die Dateimaske erfasst werden. Der zweite Aufruf gibt alle definierten Zugriffsrechte auf die Dateien aus.

6.3.5

Dateiattribute

Eine ganze Reihe von Dateiattributen existiert sowohl unter FAT als auch unter NTFS. Die FAT-Attribute wurden bereits von den ersten DOS-Versionen unterstützt, die NTFS-Attribute kamen erst später hinzu. Die folgende Tabelle listet diese Attribute auf.

305

Kapitel 6 Daten, Datenträger und Dateisysteme Tabelle 6.6 Dateiattribute bei FAT und NTFS

306

Attribut

FAT/NTFS

Bedeutung

Archiv

Beide

Sobald eine Datei gespeichert oder anderweitig manipuliert wurde, wird automatisch dieses Attribut gesetzt. Dies wird vorwiegend zur Datensicherung verwendet, da Backup-Programme Dateien anhand dieses Attributes auswählen können. Ein Beispiel hierfür sind die Optionen /A und /M des Kommandos xcopy.exe. Nähere Informationen hierzu in Kapitel 15.

Schreibgeschützt

Beide

Dateien mit diesem Attribut werden von normalen Systemfunktionen nicht zum Schreiben geöffnet oder gelöscht. Auf diese Weise kann selbst auf FAT ein gewisser Schutz vor ungewollten Veränderungen vorgenommen werden. Dieses Attribut hat keine Relevanz für Verzeichnisse.

Versteckt

Beide

Dateien und Verzeichnisse mit diesem Attribut werden normalerweise vom Kommando DIR, von Anwendungsprogrammen oder dem Explorer nicht angezeigt. Im Explorer und in dem Dateiauswahldialogfeld von Anwendungsprogrammen können diese Dateien über die Einstellung Organisieren/Ordner- und Suchoptionen/Ansicht/Versteckte Dateien und Ordner/Ausgeblendete anzeigen sichtbar gemacht werden, für das Kommando DIR hilft der Parameter /A:H. Das Kommando xcopy.exe kopiert auch versteckte Dateien mit dem Parameter /H.

System

Beide

Dateien mit diesem Attribut werden als Systemdateien angesehen und auch normalerweise nicht angezeigt. Zudem werden bestimmte Aktionen aus Sicherheitsgründen nicht für derartige Dateien durchgeführt (zum Beispiel Defragmentierung). Das Kommando DIR muss mit dem Parameter /A:S versehen werden, um diese Dateien anzuzeigen, das Kommando xcopy.exe mit dem Parameter /H, um die Dateien zu kopieren.

Indizierbar

NTFS

Windows 7 arbeitet standardmäßig mit der integrierten Desktop-Suche. Bei einer Datei mit diesem Attribut werden nicht nur die Verwaltungsinformationen wie etwa der Name in den Index aufgenommen, sondern zusätzlich auch der Inhalt. Besitzt ein Verzeichnis dieses Attribut, so wird es auf alle neu in dem Verzeichnis angelegten Dateien vererbt.

Daten und Dateisysteme

Attribut

FAT/NTFS

Bedeutung

Komprimiert

NTFS

Die Datei wird transparent komprimiert, sodass Anwendungen, die die Datei öffnen wollen, selber keine eigenen Routinen für die Komprimierung enthalten müssen.

Verschlüsselt NTFS

Die Datei wird mit Zertifikaten verschlüsselt, näheres zu diesem Thema in Kapitel 13. Die beiden Attribute Komprimiert und Verschlüsselt können nicht zusammen verwendet werden. Abbildung 6.30 Dateiattribute bei NTFS (links) und FAT (rechts)

6

Abbildung 6.31 Erweiterte Dateiattribute bei NTFS

In den Eigenschaften einer Datei können die Attribute (mit Ausnahme Der Explorer von System) überprüft werden, die erweiterten Attribute bei NTFS-Daten- kann auch mehr trägern durch Betätigen der Schaltfläche Erweitert. Die Anzeige im Explorer kann man um die Darstellung der Attributinformationen erweitern. Klicken Sie hierzu mit der rechten Maustaste in einen der Spaltenköpfe der Explorer-Anzeige. Dort wählen Sie den Befehl Weitere aus und aktivieren im Dialogfeld das Kontrollkästchen Attribute.

307

Kapitel 6 Daten, Datenträger und Dateisysteme Abbildung 6.32 Erweitern der Anzeige im Explorer

Die Attribute werden dann als einzelne Buchstaben hinter den restlichen Angaben angezeigt, das Attribut Schreibgeschützt durch den Buchstaben R für Read only. Ein Buchstabe D bedeutet, dass der Eintrag ein Verzeichnis (Directory) ist. Abbildung 6.33 Attribute im Explorer

Attribute auf der Kommandozeile Mit dem Befehl attrib.exe können die Dateiattribute sowohl überprüft als auch manipuliert werden. Beim Aufruf mit einer Dateimaske als Parameter werden alle Dateien angezeigt, die auf die Dateimaske passen, und vor dem Dateinamen die jeweiligen Attribute der Dateien. Das Attribut I kennzeichnet allerdings Dateien, die nicht indiziert werden, die Anzeige ist also genau anders als im Explorer-Fenster von Abbildung 6.31. Durch Ergänzung des Parameters /S zu dem Kommando werden auch alle Dateien in Unterverzeichnissen angezeigt. Wird zusätzlich noch der Parameter /D angegeben, werden auch die Attribute der gefundenen Verzeichnisse aufgeführt.

308

Datenträger erstellen attrib *.txt A I S:\Neues Textdokument.txt . S:\test.txt A S:\test1.txt A H S:\test2.txt A S S:\test3.txt

Eine Sonderbehandlung existiert für Verknüpfungen, siehe hierzu den Abschnitt 6.6.4 ab Seite 329. Einzelne Attribute können durch Voranstellen des jeweiligen Buchsta- Attribute plus bens zusammen mit einem Plus- oder Minuszeichen gesetzt beziehungs- und minus weise gelöscht werden, die Attribute können dabei auch kombiniert werden. Der Befehl attrib.exe +s –h *.txt

setzt also für alle Textdateien im aktuellen Verzeichnis das System- und löscht das Verborgen-Attribut.

6.4

Datenträger erstellen

Beim Formatieren des Datenträgers kann die Größe eines Clusters konfi- Große Platten guriert werden, standardmäßig verwendet Windows folgende Cluster- stückchenweise größen in Abhängigkeit von der Gesamtkapazität des Datenträgers: Gesamtgröße

Clustergröße

Bis 512 MB

512 Byte

Zwischen 512 MB und 1 GB

1 KByte

Zwischen 1 GB und 2 GB

2 KByte

Größer als 2 GB

4 KByte

Tabelle 6.7 Abhängigkeit zwischen Datenträgergröße und Clustergröße bei NTFS

Die maximale Größe eines Clusters beträgt 64 KByte sowohl für FAT als auch NTFS, hier gelten allerdings zwei Einschränkungen: 왘 Bestimmte Programme können bei einer Clustergröße von 64 KByte den freien Platz auf einer Platte nicht mehr korrekt berechnen, dies betrifft insbesondere ältere Setup-Programme. 왘 Die transparente Komprimierung von Dateien kann bei NTFS nur bis zu einer Clustergröße von 4 KByte durchgeführt werden, bei Platten mit einer größeren Clustergröße steht die Möglichkeit der Komprimierung nicht mehr zur Verfügung. Bei der Wahl der Clustergröße muss man immer eine Abwägung treffen zwischen hohem Verwaltungsaufwand durch eine Vielzahl kleiner Cluster und hoher Verschwendung durch nur unzureichend mit Daten gefüllten großen Clustern. Man sollte also immer bedenken, welchen Einsatzzweck das Laufwerk später erfüllen soll. Generell ist es ungünstig, auf einem Datenträger sowohl sehr kleine als auch sehr große Dateien zu mischen.

309

6

Kapitel 6 Daten, Datenträger und Dateisysteme

Es ist nicht möglich, die Clustergröße eines Datenträgers nachträglich zu ändern. Hierfür müssen alle Daten zunächst gesichert, das Laufwerk danach formatiert und die Daten restauriert werden.

6.5

Konfiguration von Laufwerken in der GUI

Starten Sie nun die Datenträgerverwaltung über Systemsteuerung/System und Sicherheit/Verwaltung/Datenträgerverwaltung, oder geben Sie im Suchfeld des Startmenüs Partition ein und wählen den Eintrag Festplattenpartitionen erstellen und Formatieren aus. Mit der Datenträgerverwaltung lassen sich optische Wechselmedien (CD/DVD), Festplatten, USB-Laufwerke und -Speicher sowie virtuelle Datenträger wie VHD und iSCSI verwalten. Der Aufruf der Anwendung ist nur administrativen Benutzern nach UACAbfrage gestattet. Abbildung 6.34 Datenträgerverwaltung

Ein Anwendung, zwei Teile

310

Der Bildschirm der Anwendung (siehe Abbildung 6.34) ist horizontal in zwei Teile geteilt, für beide Teile lässt sich über die Menüfunktion Ansicht/ Anzeige oben beziehungsweise Ansicht/Anzeige unten bestimmen, welche Daten dort angezeigt werden. Standardmäßig wird oben die Volumenliste und unten die Grafische Ansicht dargestellt. Die Trennlinie zwischen den beiden Bereichen lässt sich mit der Maus verschieben.

Konfiguration von Laufwerken in der GUI

In der Volumenliste erscheint eine Auflistung aller aktuell vom System erkannten Laufwerksbuchstaben samt einiger Verwaltungsinformationen über das Laufwerk wie Gesamtgröße oder Größe des freien Speichers. Hier erkennt man auch den Typ des verwendeten Dateisystems (FAT oder NTFS, RAW bedeutet, dass der Datenträger noch nicht formatiert wurde) sowie ob es sich um einen Basisdatenträger oder einen dynamischen Datenträger handelt (siehe den Abschnitt 6.2.2 ab Seite 275). In der grafischen Ansicht sind alle aktuell erkannten Datenträger aufgelistet. In der linken Spalte findet man den Typ (erkannt werden CD/DVD, Basis, Dynamisch oder Wechseldatenträger) sowie die Größe des Datenträgers. In der rechten Spalte findet man für jeden Datenträger eine grafische Darstellung der auf dem Datenträger vorhandenen Partitionen beziehungsweise Volumes. Die Größe der dargestellten Bereiche ist in der Standardansicht weder innerhalb eines Datenträgers noch zwischen unterschiedlichen Datenträgern direkt vergleichbar. In der Abbildung 6.34 ist beispielsweise der Datenträger 2 mit einer Gesamtgröße von 224 MB halb so groß dargestellt wie Datenträger 1, der etwa zehnmal so groß ist. Diese Darstellung kann man über die Funktion Ansicht/Einstellungen/ Skalierung anpassen, im Normalfall ist hier jeweils eine logarithmische Skalierung sowohl für die Datenträger als auch für die Datenträgerbereiche (Partitionen und Volumes) eingestellt. Insbesondere bei sehr großen Unterschieden zwischen den einzelnen dargestellten Elementen ist die lineare Skalierung extrem unpraktisch.

6

In der Statusleiste am unteren Rand der Anwendung findet sich eine Erklärung zu den einzelnen, in verschiedenen Farben dargestellten Datenträgerbereichen. Diese Zuordnung kann über Ansicht/Einstellungen/Darstellung abgeändert werden.

6.5.1

Aktionen auf der Ebene der Datenträger

Sobald ein Datenträger neu in das System integriert wird oder komplett gelöscht wurde, wird er mit dem Status Unbekannt und Nicht initialisiert angezeigt. Entweder durch Klick mit der rechten Maustaste auf den Datenträger in der linken Spalte oder durch Selektierung des Datenträgers und Auswahl der Menüfunktion Aktion/Alle Aufgaben muss nun zunächst die Aktion Datenträgerinitialisierung ausgeführt werden. Bei dieser wird eine Signatur auf die Platte geschrieben, mit dieser merkt Windows, dass die Platte nicht mehr völlig leer ist. Gleichzeitig wird dabei auch festgelegt, ob die Platte im MBR- oder im GPT-Format angelegt werden soll (siehe den Abschnitt 6.2.1 ab Seite 273).

311

Kapitel 6 Daten, Datenträger und Dateisysteme Abbildung 6.35 Auswahl des Partitionsformates

Fertig zum Speichern!

Sobald dieser Vorgang abgeschlossen ist, wechselt der Status des Datenträgers auf Basis und Online. Im gleichen Menü finden sich nun die Funktionen Zu GPT-Datenträger konvertieren und Zu MBR-Datenträger konvertieren, wobei Letzterer nur ausführbar ist, wenn der Datenträger leer ist. Ebenso sind hier auch die Funktionen In einen Basisdatenträger konvertieren und In dynamischen Datenträger konvertieren zu finden (siehe den Abschnitt 6.2.2 ab Seite 275). Für Wechseldatenträger (USB-Stick) sind diese Partitionierungsoptionen nicht verfügbar, da auf diesen keine Partitionen angelegt werden, dies geht nur mit speziellen Programmen. Für Wechseldatenträger wird die Funktion Auswerfen angeboten. Diese bildet die gleiche Funktion wie das Auswerfen-Symbol im Systemtray. Bei einer virtuellen Festplatte (siehe den Abschnitt 6.1.3 ab Seite 272) gibt es die Funktion Virtuelle Festplatte trennen. Diese gibt zusätzlich auch die Möglichkeit, die Datei, auf der der virtuelle Datenträger beruht, zu löschen. Sofern ein Datenträger mit dem Status Fremd angezeigt wird, ist dies ein Datenträger, der zuvor von einem anderen System verwendet wurde. Dieser muss zunächst über die Menüfunktion Fremde Datenträger importieren dem System bekannt gemacht werden. Der Inhalt des Datenträgers wird Ihnen zuvor noch zur Bestätigung angezeigt. Nach erfolgreichem Import steht der Datenträger dann zur Verwendung bereit. Sofern auf dem importierten Datenträger ein unformatierter Datenträgerbereich zu finden ist, werden Sie gefragt, ob Sie diesen formatieren möchten.

Abbildung 6.36 Import bestätigen

312

Konfiguration von Laufwerken in der GUI

6.5.2

Verwalten von Datenträgerbereichen

Bei den Datenträgerbereichen muss man unterscheiden zwischen den Erst Platz bereits existierenden Teilen und den noch nicht belegten, freien Bereichen belegen (als Nicht zugeordnet gekennzeichnet). Für jeden Bereich sind entsprechend unterschiedliche Aktionen möglich.

Neuen Datenträgerbereich erstellen Beim Erstellen eines neuen Datenträgers bietet die Datenträgerverwaltung anders als früher FDISK oder jetzt diskpart.exe nur eine sehr eingeschränkte Möglichkeit, genau zu spezifizieren, welcher Typ von Datenträger angelegt werden soll. Generell werden immer drei Schritte nacheinander durchgeführt: 1. Angabe der Größe des gewünschten Bereiches, diese kann entsprechend maximal der Größe des unbelegten Speicherplatzes entsprechen 2. Festlegung, wie der Bereich angesprochen werden soll. Hier kann angegeben werden, ob der Partition ein eigener Laufwerksbuchstabe zugewiesen sein oder ob der Datenträger anstelle eines bereits bestehenden Unterverzeichnisses verwendet werden soll. Die Option, weder Laufwerksbuchstabe noch Pfad zuzuweisen, ist eher für diejenigen interessant, die einen Speicherbereich für ein anderes Betriebssystem einrichten wollen. 3. Angabe des Dateisystems, falls der Datenträger formatiert werden soll. Hierbei können der Typ des Dateisystems (FAT oder NTFS), die Größe der Zuordnungseinheit (Cluster) und eine Volumenbezeichnung angegeben werden. Die Option Schnellformatierung durchführen bedeutet hierbei, dass nicht der komplette Platz des neuen Laufwerks initial mit einem Startwert überschrieben wird, sondern nur ausgewählte Bereiche. Dieses Überschreiben insbesondere bei sehr großen Datenträgern kann enorm Zeit kosten. Die Option Komprimierung aktivieren bedeutet nicht, dass nur damit eine Komprimierung der Inhalte möglich wäre. Bei Aktivierung der Option werden automatisch alle Dateien und Ordner, die auf der Platte neu angelegt werden, komprimiert abgelegt. Geeignet ist dies beispielsweise für Archivierungsfestplatten, auf die eher selten zugegriffen wird.

6

Prinzipiell werden vier unterschiedliche Aktionen angeboten, wenn in einem freien Bereich die rechte Maustaste geklickt oder die Menüfunktion Aktion/Alle Aufgaben ausgewählt wird. Folgende Aktionen sind bei der Anlage eines neuen Datenträgers durchführbar: 왘 Neues einfaches Volume Ein einfaches Volume ist eine Partition oder ein Volume, das allein für sich den kompletten Datenträger bildet. Auf einen Basisdatenträger werden zunächst maximal drei primäre Partitionen angelegt, bevor die vierte mögliche Partition in eine neue erweiterte Partition angelegt wird. Hierdurch kann es zu unerwünschten Effekten kommen, in diesem Fall sollte man die Partitionierung über diskpart.exe vornehmen, weil dort eine genauere Kontrolle über die Art der erstellen Partitionen möglich ist. Auf dynamischen Datenträgern besteht dieses

313

Kapitel 6 Daten, Datenträger und Dateisysteme

Problem nicht, da dort keine Unterscheidung zwischen primären und erweiterten Partitionen besteht. 왘 Neues übergreifendes Volume Ein übergreifendes Volumen ist ein Datenbereich, der auf mehr als einem Datenträger verteilt angelegt wird. Anders als beim Stripeset müssen diese Bereiche nicht von identischer Größe sein. Dieser Typ kann nur auf einem dynamischen Datenträger angelegt werden, beim Versuch, diesen Typ auf einem Basisdatenträger anzulegen, erhält man die Aufforderung, diesen zum Typ dynamisch umzustellen. Beim Anlegen muss man mindestens zwei Datenträger angeben, auf denen das Volume angelegt wird. In einem Auswahldialogfeld (siehe Abbildung 6.37) werden de möglichen Datenträger angezeigt, die man mit der Schaltfläche Hinzufügen > zum neuen Datenträger hinzufügen kann. Die im rechten Teil des Dialogfeldes hinter dem Datenträgernamen angegebene Zahl bezeichnet die Größe des auf diesem Datenträger angelegten Teils des Gesamtdatenträgers. Selektieren Sie oben den Datenträger, und verändern Sie unten die Größenangabe. Abbildung 6.37 Anlage eines übergreifenden Volumes

왘 Neues Stripesetvolume

Auch Stripesets können nur auf dynamischen Datenträgern angelegt werden. Das Dialogfeld ist identisch mit dem aus Abbildung 6.37, allerdings kann man hier die Größe der beiden Bereiche auf dem Datenträger nicht individuell einrichten, bedingt durch die Konstruktion eines Stripesets müssen beide jeweils die gleiche Größe haben. 왘 Neues gespiegeltes Volume Auch gespiegelte Volumen können nur auf dynamischen Datenträgern angelegt werden. Das Dialogfeld ist identisch mit dem aus Abbildung 6.37, die maximale Größe des gespiegelten Volumens bestimmt sich aus der Größe des kleineren der freien Bereiche auf dem Datenträger.

314

Konfiguration von Laufwerken in der GUI

Freie Bereiche auf einem Datenträger werden automatisch mit sich anschließenden freien Bereichen zusammengelegt. Eine Funktion, um ein zwischen zwei freien Bereichen liegendes Volume an den Anfang oder das Ende eines solchen Bereiches zu verschieben, existiert nicht. Hier bleibt nur der Weg über ein Sichern und Wiederherstellen der Daten, während zwischenzeitlich die Partition komplett neu angelegt wird, oder der Einsatz von speziellen Programmen zur Partitionsmanipulation wie etwa Partition Manager der Firma Paragon Software.

Bestehende Datenträgerbereiche manipulieren Nach Auswahl eines bereits bestehenden Datenträgers lassen sich im Kontextmenü oder im Menü über Aktion/Alle Aufgaben verschiedene Aktionen auslösen. 왘 Öffnen und Durchsuchen – Diese beiden Aktionen starten direkt auf dem ausgewählten Laufwerk einen Explorer beziehungsweise seine Suchfunktion darauf. Diese Funktionen werden dann aber nicht mehr wie die Datenträgerverwaltung durch einen Prozess mit hoher Verbindlichkeit ausgeführt. 왘 Partition als aktiv markieren – Diese Funktion steht nur auf MBR-Datenträgern zur Verfügung. Hier hat maximal eine Partition pro Datenträger die Eigenschaft Aktiv, diese wird beim Systemstart dann verwendet, um das Betriebssystem zu laden. Beim Wechsel von einer Partition auf eine andere erhält man eine Warnmeldung, in der darauf hingewiesen wird, dass auf der Partition, die man als aktiv kennzeichnen möchte, ein Betriebssystem vorhanden sein muss. 왘 Laufwerksbuchstaben und -pfade ändern – Mit dieser Aktion kann der Name verändert werden, unter dem der Datenträgerbereich im Dateisystem angesprochen wird. Erstaunlicherweise kann ein Datenträger unter verschiedenen Verzeichnisnamen gleichzeitig erreicht werden, jedoch nur unter einem Laufwerksbuchstaben.

6

Abbildung 6.38 Laufwerksbuchstabe oder -pfad zuweisen

왘 Formatieren – Hiermit kann ein Bereich mit einem neuen Dateisystem

versehen werden. Man hat hierbei die Auswahl zwischen NTFS, FAT und FAT32. Bei einer derartigen Formatierung gehen alle Daten auf dem Volume verloren, deshalb ist diese Option nicht für den Systemdatenträger verfügbar.

315

Kapitel 6 Daten, Datenträger und Dateisysteme 왘 Volume erweitern und Volume verkleinern – Hiermit lässt sich die Größe

eines Datenträgerbereiches verändern. Beim Verkleinern ist dabei zu bedenken, dass ein Datenträger nur so weit verkleinert werden kann, wie sich ein freier, unbenutzter Bereich am Ende des Datenträgers befindet. Diese Funktion ist nicht in der Lage, von sich aus die vorhandenen Dateien auf andere Bereiche der Platte zu verschieben. Bei einem alten, schon länger in Gebrauch befindlichen Volume lässt sich deshalb meist nur wenig Platz gewinnen. Abbildung 6.39 Kleiner geht's nicht.

Wie in der Abbildung 6.39 erkennbar, lassen sich nach Abschluss der Aktion Informationen über sie in der Ereignisanzeige nachsehen, insbesondere kann man hier Informationen erhalten, welche Dateien einer weiteren Verkleinerung im Wege stehen. Protokollname: Application Quelle: Microsoft-Windows-Defrag Datum: 29.08.2009 19:23:42 Ereignis-ID: 259 Aufgabenkategorie:Keine Ebene: Informationen Schlüsselwörter:Klassisch Benutzer: Nicht zutreffend Computer: win7.contoso.com Beschreibung: Für das Volume "VOLUME (H:, S:\temp3)" wurde eine Volumeverkleinerungsanalyse initiiert. Dieser Ereignisprotokolleintrag enthält ausführliche Informationen zur letzten nicht verschiebbaren Datei, von der möglicherweise die maximale Menge freigebbarer Bytes beschränkt wird. Diagnosedetails: - Wahrscheinlich letzte nicht verschiebbare Datei: "\$BitMap::$DATA" - Nicht verschiebbarer Cluster der Datei: "0x5b4f" - Potenzielles Verkleinerungsziel (LCN-Adresse): "0x89e7" - NTFS-Dateikennzeichen: "-S--D" - Verkleinerungsphase: ""

316

Datenträgerverwaltung auf der Kommandozeile

Ausführlichere Informationen zu dieser Datei erhalten Sie durch Ausführen des Befehls "fsutil volume querycluster \\?\Volume{b3a9ee4d-7307-4d70-91e1162cbfd69d14} 0x5b4f".

Die hier erwähnte Datei \$BitMap::$DATA gehört zu den Systemdateien eines NTFS-Dateisystems und lässt sich schwerlich manipulieren. 왘 Volume löschen – Diese Aktion versteht sich von selbst. Zu beachten ist hierbei, dass sie sich nicht auf dem Systemlaufwerk ausführen lässt. 왘 Eigenschaften – Erlaubt den Zugriff auf die Laufwerkseigenschaften. Den gleichen Zugriff erhält man, wenn man über Start/Computer die Eigenschaften der Laufwerke aufruft.

Weitere Aktionen Im Menü Aktion existieren noch weitere Funktionen, die sich auf das System als Ganzes auswirken. Mit Aktualisieren wird einfach die Anzeige erneuert, etwa wenn sich durch Netzwerkzugriffe der Belegungsstand einer Festplatte geändert hat. Diese Funktion kann auch über die Taste (F5) ausgelöst werden. Mit Datenträger neu einlesen kann man eine erneute Hardwareerkennung der angeschlossenen Datenträger erzwingen, etwa wenn ein Datenträger sich im Status Unlesbar befindet.

6

Die Aktionen Virtuelle Festplatte erstellen und Virtuelle Festplatte anfügen dienen dem Umgang mit virtuellen Datenträgern; sie wurden bereits in Abschnitt 6.1.3 behandelt.

6.6

Datenträgerverwaltung auf der Kommandozeile

Die Verwaltung der Datenträger in der grafischen Darstellung ist zwar intuitiv, und man kann schnell einen Überblick bekommen, aber sobald man bestimmte Aktionen in ein Skript packen will (etwa um identische Einstellungen auf mehreren Systemen zu erhalten), wählt man besser die Kommandozeile für seine Tätigkeit aus.

6.6.1

Diskpart – FDISK und mehr in neuer Verpackung

Mit dem Erscheinen der ersten DOS-Version, die Festplatten unterstützte, wurde auch das Programm fdisk,exe eingeführt, das die Verwaltung von Partitionen auf einem sehr elementaren Niveau ermöglichte. Wesentlich mehr als Partitionen anzuzeigen, anzulegen und zu löschen war damit nicht möglich. Mit Windows NT wurde dann mit dem Festplattenmanager eine grafische Ausgestaltung des Verwaltungswerkzeugs eingeführt. Dessen Möglichkeiten wurden bei Windows 2000 noch erweitert, aber

317

Kapitel 6 Daten, Datenträger und Dateisysteme

gleichzeitig wurde auch wieder ein nicht grafisches Tool eingeführt zur Verwaltung: diskpart.exe. Ein grafisches Tool ist gut für die interaktive Verwendung, jedoch eher ungeeignet, wenn es darum geht, auf mehreren Systemen reproduzierbare Aktionsfolgen durchzuführen. Für diesen Zweck wurde diskpart.exe geschaffen. Neben einer Verwendung als interaktives Programm auf der Kommandozeile kann man es auch zusammen mit einer Skriptdatei aufrufen, um komplexe Operationen automatisch ausführen zu lassen. In einer solchen Skriptdatei sind die gleichen Kommandos enthalten, wie man sie auch auf der Eingabeaufforderung angeben würde. Hier ist es also möglich, zunächst an einem Prototypen die Kommandofolgen zu testen, um diese später dann 1:1 in die Skriptdatei zu übernehmen. Bedingt durch die Funktion des Programms muss beim Start zunächst eine UAC-Abfrage bestätigt werden; wurde das Programm von der Kommandozeile aus aufgerufen, läuft es danach in einem eigenen Kommandofenster.

Wo ist der Fokus? Um die Aktionen von Diskpart zu verstehen, muss man das Konzept der Applikation betrachten. Intern führt sie einen Zeiger auf das jeweilige aktuelle Element. Diesen Fokus kann man mit dem Kommando select auf ein anderes Element verschieben. Es gibt jeweils einen aktuellen Datenträger (disk), eine aktuelle Partition und so weiter. Wird mittels select der Datenträger gewechselt, so ist danach zunächst keine Partition mehr aktuell und muss neu mit select ausgewählt werden. Ein kleines Beispiel möge dies verdeutlichen. Die Zeilen mit DISKPART> am Anfang kennzeichnen die jeweils eingegebenen Befehle. Listing 6.10 Fokuswechsel bei diskpart.exe

318

Microsoft DiskPart-Version 6.1.7100 Copyright (C) 1999-2008 Microsoft Corporation. Auf Computer: WIN7 DISKPART> list disk Datenträger ### Status Größe Frei Dyn GPT -------- ------------- ------- ------- --- --Datenträger 0 Online 23 GB 0 B Datenträger 1 Online 24 GB 0 B Datenträger 2 Online 100 MB 1984 KB DISKPART> select disk 0 Datenträger 0 ist jetzt der gewählte Datenträger. DISKPART> list partition Partition ### Typ Größe Offset ------------- ---------------- ------- ------Partition 1 Primär 2048 MB 1024 KB Partition 2 Primär 100 MB 2049 MB Partition 3 Primär 21 GB 2149 MB DISKPART> select partition 3 Partition 3 ist jetzt die gewählte Partition. DISKPART> detail partition

Datenträgerverwaltung auf der Kommandozeile Partition 3 Typ : 07 Versteckt: Nein Aktiv : Nein Offset in Byte: 2253389824 Volume ### Bst Bezeichnung DS Typ Größe Status Info ---------- --- ----------- ----- ---------- --------------- -------* Volume 3 C SysDrive NTFS Partition 21 GB Fehlerfre Startpar DISKPART> select disk 1 Datenträger 1 ist jetzt der gewählte Datenträger. DISKPART> detail partition Es wurde keine Partition ausgewählt. Wählen Sie eine Partition, und wiederholen Sie den Vorgang.

Es werden folgende Kommandos nacheinander ausgeführt: Befehl

Bedeutung

list disk

Es wird die Liste aller dem System bekannten Datenträger ausgegeben.

select disk 0

Der erste Datenträger (= Index 0) wird selektiert.

list partition

Es wird die Liste der Partitionen auf dem aktuell selektierten Datenträger ausgegeben.

select partition 3

Der Fokus wird auf die Partition 3 gesetzt.

detail partition

Es werden Detailinformationen über die aktuelle Partition ausgegeben. Beachten Sie hierbei, dass bei dem Befehl nicht angegeben wird, von welcher Partition man die Daten erhalten will. Dies wurde durch den vorhergehenden select-Befehl bereits festgelegt.

select disc 1

Der Fokus wird auf den Datenträger 1 verschoben.

detail partition

Es erfolgt eine Fehlermeldung, weil mit dem Fokuswechsel auf einen anderen Datenträger zunächst keine Partition mehr aktuell ist.

Tabelle 6.8 Kommandofolge in diskpart.exe

6

Sofern diskpart.exe bei Eingabe eines Befehls noch weitere Eingaben erwartet, gibt es eine Übersicht der möglichen Ergänzungen aus. Die Eingabe des Kommandos help vor den auszuführenden Befehl gibt eine längere Erklärung zu dem Befehl und seinen möglichen Ausgaben aus.

Die wichtigsten Befehle Die wichtigsten und am häufigsten gebrauchten Befehle von diskpart.exe sind: 왘 SELECT DISK – Dient zur Auswahl eines Datenträgers. Wird gefolgt von der Angabe, welcher Datenträger selektiert werden soll. Zudem kann mit der Angabe SYSTEM der Datenträger ausgewählt werden, auf dem Startdateien liegen. Mit der Angabe NEXT wird der nächste

319

Kapitel 6 Daten, Datenträger und Dateisysteme

왘

왘

왘 왘

왘

왘

왘

왘

왘 왘

왘

320

mögliche Datenträger ausgewählt. Wird keine Angabe über das Ziel getätigt, wird der aktuelle Datenträger ausgegeben. SELECT PARTITION – Dient zur Auswahl einer Partition auf dem gerade aktuellen Datenträger. Während der Parameter disk ab 0 gezählt wird, beginnt die Zählung von partition bei 1, eine Angabe von NEXT ist nicht möglich. SELECT VOLUME – Dient zur Auswahl eines Volumes auf einem Datenträger. Ist der aktuelle Datenträger ein Basisdatenträger, so wird automatisch auch der entsprechende Datenträger und die Partition selektiert. Die Angabe, welche Partition zu selektieren sei, kann über eine Nummer oder den Laufwerksbuchstabens erfolgen. SELECT VDISK – Selektiert eine virtuelle Festplatte, zur Auswahl muss zusätzlich noch die Angabe FILE=Pfad zur vhd-Datei erfolgen. LIST – Benötigt als Parameter noch die Angabe, welcher Typ aufgelistet werden soll, möglich sind die Auflistungen DISK, PARTITION, VOLUME und VDISK. Für die Auflistung der Partitionen muss zuvor ein Datenträger ausgewählt sein. In der Auflistung wird das jeweils aktuelle Element mit einem * in der ersten Spalte ausgezeichnet. DETAIL – Benötigt als Parameter noch die Angabe, welche Detailinformation angezeigt werden soll, möglich sind die Auflistungen disk, partition, volume und vdisk. Zuvor muss mittels select das entsprechende Objekt ausgewählt werden. CREATE PARTITION – Kann eine Vielzahl von Partitionstypen anlegen, insbesondere können die für MBR-Datenträger möglichen Partitionstypen PRIMARY, EXTENDED und LOGICAL explizit ausgewählt werden, was bei Verwendung der Datenträgerverwaltung nicht möglich ist. Außer der Größe der zu erstellenden Partition kann auch angegeben werden, wo sie auf der Platte angelegt werden soll. Eine detaillierte Erklärung der Parameter liefert der Befehl help create partition primary. Dieser Befehl arbeitet nur auf Basisdatenträgern. CREATE VOLUME – Legt außer einfachen Datenträgern auch Stripeund Spiegeldatensätze an (siehe den Abschnitt 6.2.3 ab Seite 276). Die Option RAID wird zwar in der Hilfe angezeigt, ist jedoch unter Windows 7 nicht implementiert. Dieser Befehl arbeitet nur auf dynamischen Datenträgern. CREATE VDISK – Dient zum Anlegen einer virtuellen Festplatte (siehe den Abschnitt 6.1.3 ab Seite 272). Gegenüber der grafischen Oberfläche können hier deutlich mehr Optionen eingestellt werden. ATTACH VDISK – Eine vorher per select vdisk ausgewählte .vhd-Datei wird in das System integriert. DETACH VDISK – Eine vorher per select vdisk ausgewählte .vhd-Datei wird aus dem System wieder entfernt. Die in der GUI angebotene Möglichkeit, die entsprechende .vhd-Datei zu löschen, existiert hier nicht. CONVERT – Wandelt über die Optionen MBR oder GPT den ausgewählten Datenträger in den Partitionstabellentyp MBR oder GPT um. Mit den Optionen BASIC und DYNAMIC wird der Datenträger ent-

Datenträgerverwaltung auf der Kommandozeile

왘

왘

왘

왘

왘 왘 왘

sprechend in den jeweiligen Typ umgewandelt, sofern möglich. Gleichzeitig wird ein bislang nicht initialisierter Datenträger initialisiert. IMPORT – Datenträger, die ursprünglich aus einem anderen Computersystem stammen, werden zunächst nicht erkannt, sie werden bei der Anzeige von LIST DISK mit dem Status fremd angezeigt. Mit dem Befehl IMPORT werden diese Datenträger ins System eingebunden. CLEAN – Der aktuelle Datenträger wird gelöscht, selbst wenn sich noch Partitionen oder Volumes darauf befinden. Zudem wird das erste und letzte MB des Datenträgerbereiches mit Nullen überschrieben, um die vorhandenen Partitionsinformationen komplett zu löschen. Wird zusätzlich der Parameter ALL übergeben, so werden auch die restlichen Datenbereiche überschrieben. Dies verhindert recht sicher eine Wiederherstellung von Daten, kann aber bei größeren Datenträgern entsprechend lange dauern. FILESYS – Gibt Informationen über das in der aktuellen Partition verwendete Dateisystem und die auf dieser Partition möglichen Dateisysteme an. DELETE – Löscht das jeweils aktuelle angegebene Objekt DISK, PARTITION oder VOLUME, sofern es gerade nicht verwendet wird. Mit dem zusätzlichen Parameter OVERRIDE kann das Löschen erzwungen werden. ASSIGN LETTER – Dem aktuell gewählten Volume wird ein Laufwerksbuchstabe zugewiesen. EXIT – Beendet das Programm. REM – Dient in Skriptdateien zur Kommentierung.

6

Die Kommandos und Parameter kann man in vielen Fällen auf drei Buchstaben kürzen, insbesondere bei der Gestaltung von Skriptdateien sollte man aber die Kommandos ausschreiben, um die Lesbarkeit zu erhöhen. Sofern man das Kommando mit dem Parameter /s und einem Dateinamen aufruft, liest diskpart.exe die Kommandos aus der Datei ein und beendet sich danach von selbst. CREATE VDISK FILE=S:\myvdisk.vhd MAXIMUM=150 SELECT VDISK FILE=S:\myvdisk.vhd ATTACH VDISK REM die neu angelegte Disk ist die selektierte CONVERT MBR CREATE PARTITION PRIMARY SIZE=50 OFFSET=10240 REM die neue angelegte Partition ist die selektierte FORMAT FS=FAT UNIT=4096 LABEL="50 MB FAT" ASSIGN LETTER=T CREATE PARTITION EXTENDED CREATE PARTITION LOGICAL SIZE=30 FORMAT LABEL="NTFS Part" ASSIGN LETTER=N

Listing 6.11 Steuerdatei für diskpart.exe

321

Kapitel 6 Daten, Datenträger und Dateisysteme

Die hier in Listing 6.11 gezeigte Kommandofolge erstellt zunächst eine neue virtuelle Festplatte und bindet diese ins System ein. Danach wird diese mit einer MBR-Partitionstabelle angelegt. Im Anschluss werden dann zunächst eine primäre Partition und eine erweiterte Partition angelegt und in der erweiterten Partition ein logisches Laufwerk. Direkt nach dem Anlegen der jeweiligen Partition wird diese formatiert, einmal mit FAT und einmal mit dem Systemstandard, also NTFS. Beiden Laufwerken wird noch ein Laufwerksbuchstabe gegeben.

6.6.2

fsutil – der Alleskönner

Das Programm fsutil.exe bietet allerhand Funktionen rund um die Verwaltung und Manipulation von Dateisystemen und gehört standardmäßig zu Windows 7 dazu. Es benötigt zum Ablaufen administrative Berechtigungen, ist aber im Gegensatz zu diskpart.exe nicht in der Lage, selber eine entsprechende UAC-Abfrage zu erzeugen. Sie müssen also zunächst das Programm cmd.exe mit administrativen Privilegien starten, ehe Sie das Programm fsutil.exe verwenden können. Dieses Programm arbeitet immer nur mit Optionen auf der Kommandozeile, nach dem Befehlsnamen fsutil folgt zunächst die Angabe, in welchem Bereich das Kommando arbeiten soll, danach folgt der Befehl, welcher ausgeführt werden soll, zusammen mit weiteren Optionen. Sofern fsutil ohne die notwendigen Parameter ausgeführt wird, zeigt es einen Hilfetext an, der die nun möglichen Ergänzungen aufführt.

Lange und kurze Dateinamen Lang und kurz gemeinsam

Dateien können unter NTFS einen Namen mit bis zu 255 Zeichen Länge aufweisen. Unter den ersten DOS-Versionen war ein Dateiname noch auf acht Zeichen für den Dateinamen und drei Zeichen für die Dateierweiterung (Extension) beschränkt. Dieses Format wird auch als 8dot3 bezeichnet. Um kompatibel zu alten Programmen zu bleiben, die nur einen derartigen kurzen Dateinamen erwalten, bildet das Dateisystem automatisch für jeden Namen, der länger ist, einen kurzen Namen. Eine solche Datei kann man sowohl über ihren normalen, langen Namen als auch ihren kurzen Namen ansprechen, ansehen kann man diese Namen mit der Option /X des Kommandos DIR.

Listing 6.12 Lange und kurze Namen

C:\Users\adm>DIR /X *.txt 26.07.2009 00:31 15.08.2009 17:55

21.266 small.txt 1.025 TESTDA~1.TXT testdatei.txt

In Listing 6.12 können Sie erkennen, dass für die Datei, deren Name in das 8.3-Schema passt (small.txt), kein separater kurzer Name angelegt wurde, für die Datei, die nicht zum Schema passt (testdatei.txt), ein kurzer Name (TESTDA~1.TXT) angelegt wurde. Die Erzeugung und Speicherung dieser zusätzlichen Einträge verbrauchen sowohl Rechenzeit als auch Speicherplatz. Sofern sichergestellt ist, dass keine alten Anwendungen mehr verwendet werden, die mit den langen Namen nicht umgehen können, kann man die automatische Erzeugung dieser Namen auch abstellen.

322

Datenträgerverwaltung auf der Kommandozeile fsutil behavior query Disable8dot3 Der Registrierungsstatus von "NtfsDisable8dot3NameCreation" ist die Standardeinstellung "2" (Volumeebeneneinstellung).

Dieser Befehl gibt die globale Einstellung für alle Laufwerke aus. Alternativ kann auch das Kommando durch eine Laufwerksbezeichnung am Ende ergänzt werden, um das Verhalten für ein bestimmtes Laufwerk abzufragen. fsutil behavior set Disable8dot3 S: 1 Das Verhalten für "8dot3name" wurde erfolgreich festgelegt.

Nach dieser Einstellung werden für neue Dateien mit langem Namen keine kurzen Namen automatisch angelegt, die bereits bestehenden kurzen Namen bleiben allerdings erhalten. dir /X s:\*.txt 16.08.2009 01:06 28.07.2009 11:00

7 einlanger.txt 19 NEUEST~1.TXT Neues Textdokument.txt

Den kurzen Namen kann man auch manuell einstellen. fsutil behavior set Disable8dot3 S: 0 Das Verhalten für "8dot3name" wurde erfolgreich festgelegt. fsutil file setshortname s:\einlanger.txt kurz.doc dir /X s:\*.txt 16.08.2009 01:06

7 KURZ.DOC

6

einlanger.txt

Zunächst wird die Erzeugung der Kurznamen wieder aktiviert, da ansonsten auch keine Kurznamen manuell angelegt werden können. Im zweiten Schritt wird für die Datei s:\einlanger.txt der kurze Name kurz.doc festgelegt. Eine Angabe von Laufwerk und Pfad kann hierbei unterbleiben, da der Kurzname automatisch im gleichen Verzeichnis wie die Originaldatei angelegt wird. Zum Schluss wird die Aktion mit DIR /X überprüft. Ein derartig manuell vergebener kurzer Name wird automatisch wieder gelöscht bzw. verändert, wenn die originale Datei umbenannt wird. Es gibt eine ganze Reihe von Werten, die mit dem Kommando fsutil behavior abgefragt und manipuliert werden können, die meisten dieser Kommando beeinflussen Werte in der Registry unterhalb des Schlüssels HKLM\ SYSTEM\CurrentControlSet\Control\FileSystem. Oftmals werden die Einstellungen erst nach einem Neustart aktiv. Diese kurzen Dateinamen können zur Tarnung von Schadprogrammen verwendet werden, da sowohl der normale DIR-Befehl als auch der Explorer die kurzen Namen normal nicht anzeigen. Ein ausführbares Programm kann also problemlos als Datendatei getarnt werden und wird als ausführbares Programm dann über den verborgenen kurzen Namen gestartet.

323

Kapitel 6 Daten, Datenträger und Dateisysteme

Leere Dateien für alle Gelegenheiten Manchmal braucht man für Testzwecke einfach mal schnell eine Datei von fester Größe. Mit dem Befehl fsutil file createnew s:\eindatei.txt 123456 Die Datei s:\eindatei.txt wurde erstellt.

wird eine Datei mit der genau angegebenen Länge erzeugt, die Datei enthält nur Nullbytes (0x00). Mit dem Befehl fsutil file setzerodata offset=123 length=456 s:\eindatei.txt Keine Daten wurden geändert.

werden in der angegebenen Datei ab der mit offset bezeichneten Stelle insgesamt length Bytes mit einem Nullwert überschrieben, auch wenn die Ausgabe des Befehls etwas anderen anzudeuten scheint.

Dateien und Datei-ID Jede Datei hat in NTFS eine eindeutige ID, ähnlich wie die inode-Nummer einer Datei unter Unix. Mit diesem Befehl lassen sich die Zuordnungen zwischen Dateinamen und Datei-ID ausgeben. fsutil file queryfileid c:\Users\adm\testdatei.txt Datei-ID: 0x007e00000000b5e4

Die Datei c:\Users\adm\testdatei.txt hat die Datei-ID 0x007e00000000b5e4. Da eine Datei mehrere Namen besitzen kann (Harte Verknüpfungen, siehe den Abschnitt 6.6.3 ab Seite 328), kann bei der rückwärtigen Zuordnung Datei-ID zu Dateiname nicht garantiert werden, dass ein bestimmter Name zurückgegeben wird. fsutil file queryfilenamebyid c:\ 0x007e00000000b5e4 Beliebiger Linkname zu dieser Datei: \\?\C:\Users\adm\testdatei.txt

Für diese Zuordnung muss zusätzlich noch der Datenträger angegeben werden, da jeder Datenträger über eine eigenständige Sammlung von Datei-IDs verfügt. Die Datei-IDs werden nicht in aufsteigender Folge vergeben, eine Suche von Dateien anhand einer geratenen Datei-ID scheint wenig sinnvoll zu sein.

Schmutzig oder nicht? Plattenputzen notwendig?

324

Für jeden Datenträger verwaltet Windows eine Kennzeichnung, ob der Datenträger ordentlich heruntergefahren wurde oder nicht. Diese Kennzeichnung wird als dirty-Flag bezeichnet. Beim ordnungsgemäßen Herunterfahren eines Systems werden in diesem Prozess alle Datenträger abgemeldet und somit sichergestellt, dass zum Beispiel keine Dateien mehr offen sind. Ein derartiger Datenträger ist dann sauber. Wird das System jedoch wegen einer Fehlfunktion nicht ordnungsgemäß beendet, so verbleiben einige oder alle Datenträger im Status dirty. Beim nächsten Systemstart stellt der Kernel fest, wenn ein Datenträger sich im Status dirty befindet, und startet dann automatisch das Programm chkdsk.exe, um den Datenträger zu überprüfen (siehe den Abschnitt 6.7 ab Seite 331). Mit dem Befehl

Datenträgerverwaltung auf der Kommandozeile fsutil dirty query s: Volume - s: ist NICHT fehlerhaft.

kann der Status eines Laufwerks oder Mountpunkts abgefragt werden, mit dem Befehl fsutil dirty set s: Volume - s: ist jetzt als fehlerhaft markiert

wird die Kennzeichnung gesetzt, einen Befehl, um sie manuell wieder zurückzusetzen, gibt es nicht, dies kann von einem erfolgreichen Durchlauf des Prüfprogramms chkdsk.exe bewerkstelligt werden.

Laufwerksinformationen und -statistik Mit dem Befehl fsutil fsinfo drives Laufwerke: A:\ C:\ D:\ E:\ S:\ W:\ Z:\

erhält man eine Auflistung aller aktuell im System verwendeten Laufwerksbuchstaben. Hierbei werden auch Laufwerke angezeigt, die mit dem Programm subst.exe erzeugt wurden oder die als Netzwerkfreigabe verbunden sind. Mit dem Befehl fsutil fsinfo drivetype c: c: - Eingebautes Laufwerk fsutil fsinfo drivetype e: e: - CD-ROM-Laufwerk fsutil fsinfo drivetype a: a: - Austauschbares Laufwerk fsutil fsinfo drivetype z: z: - Remote-/Netzlaufwerk

6

kann man sich Informationen über den Typ des betreffenden Laufwerks angeben lassen. Detaillierte Informationen über die Fähigkeiten eines Laufwerks erhält man mit dem Befehl: fsutil fsinfo volumeinfo c: Volumename : SysDrive Volumeseriennummer : 0x74759422 Maximale Komponentenlänge : 255 Dateisystemname : NTFS Unterstützt die Groß-/Kleinschreibung von Dateinamen Behält die Groß-/Kleinschreibung von Dateinamen Unterstützt Unicode-Dateinamen Behält und erzwingt Zugriffsteuerungslisten (ACL) Unterstützt dateibasierte Komprimierung Unterstützt Datenträgerkontingente Unterstützt Dateien mit geringer Datendichte Unterstützt Analysepunkte Unterstützt Objektkennungen Unterstützt EFS Unterstützt benannte Streams Unterstützt Transaktionen Unterstützt feste Links.

325

Kapitel 6 Daten, Datenträger und Dateisysteme Unterstützt erweiterte Attribute. Unterstützt das Öffnen nach Datei-ID. Mit USN-Journal-Unterstützung

Einige der angezeigten Werte ergeben sich automatisch aus dem angegebenen Dateisystemtyp, andere (etwa Unterstützt EFS) lassen sich über fsutil behaviour-Befehle einstellen (siehe hierzu Kapitel 13). Bei der Anzeige von Netzwerklaufwerken werden die angezeigten Werte auch immer noch zusätzlich von den Möglichkeiten des Serversystems bestimmt. Mit dem Befehl fsutil fsinfo ntfsinfo c: NTFS-Volumeseriennummer : 0x887475a274759422 Version : 3.1 Anzahl der Sektoren : 0x0000000002aac7ff Gesamtzahl Cluster : 0x00000000005558ff Freie Cluster : 0x000000000030bdf4 Insgesamt reserviert : 0x00000000000007a0 Bytes pro Sektor : 512 Bytes pro Cluster : 4096 Bytes pro Dateidatensatzsegment : 1024 Cluster pro Dateidatensatzsegment : 0 MFT-gültige Datenlänge : 0x00000000043c0000 MFT-Start-LCN : 0x00000000000c0000 MFT2-Start-LCN : 0x0000000000000002 MFT-Zonenstart : 0x000000000022c6e0 MFT-Zoneende : 0x0000000000234cc0 RM-Bezeichner: 978E7CAB-42E3-11DE-965B-D615E89F222A Glaube nur der Statistik ...

lassen sich Informationen über die Organisation des NTFS-Dateisystems auf dem angegebenen Laufwerk ausgeben. Eine ähnliche Ausgabe für Laufwerke mit FAT-Dateisystem existiert nicht. Mit dem Befehl fsutil fsinfo statistics c: Dateisystem : NTFS UserFileReads : UserFileReadBytes : UserDiskReads : UserFileWrites : UserFileWriteBytes : UserDiskWrites : MetaDataReads : MetaDataReadBytes : MetaDataDiskReads : MetaDataWrites : MetaDataWriteBytes : MetaDataDiskWrites :

16133 453742080 15834 1082 18267976 1138 2509 11812864 3215 1237 6225920 1829

MFT-Lesevorgänge: MFT-Lesevorgänge Bytes: MFT-Schreibvorgänge: MFT-Schreibvorgänge Bytes:

326

2154 9187328 957 4558848

Datenträgerverwaltung auf der Kommandozeile MFT2-Schreibvorgänge: 0 MFT2-Schreibvorgänge Bytes: 0 Stammindexlesevorgänge: 0 Stammindexlesevorgänge Byte : 0 Stammindexschreibvorgänge: 0 Stammindexschreibvorgänge Bytes: 0 Bitmaplesevorgänge: 1 Bitmaplesevorgänge Bytes: 1048576 Bitmapschreibvorgänge: 145 Bitmapschreibvorgänge Bytes: 753664 MFT-Bitmaplesevorgänge : 4 MFT-Bitmaplesevorgänge Bytes: 16384 MFT-Bitmapschreibvorgänge: 51 MFT-Bitmapschreibvorgänge Bytes: 278528 Benutzerindexlesevorgänge: 794 Benutzerindexlesevorgänge Bytes: 5070848 Benutzerindexschreibvorgänge: 585 Benutzerindexschreibvorgänge Bytes: 2711552 Protokolldateilesevorgänge: 7 Protokolldateilesevorgänge Bytes: 28672 Protokolldateischreibvorgänge: 2217 Protokolldateischreibvorgänge Bytes: 14753792 Protokolldatei voll: 0

6

lassen sich allerhand statistische Informationen über die Anzahl bestimmter Operationen, die auf einem Laufwerk erfolgt sind, abfragen. Die Zahlen beginnen bei jedem Neustart wieder von 0 an zu zählen.

Kontingentverwaltung Mit dem Befehl fsutil quota lassen sich verschiedene Operationen für die Jede Platte ist Kontingentverwaltung aufrufen. Anstelle der Anzeige Unbegrenzt wie im endlich Explorer wird allerdings eine aberwitzig große Zahl angezeigt. >fsutil quota query c: Kontingente sind auf dem Volume c: nicht aktiviert. >fsutil quota query i: FileSystemControlFlags = 0x00000032 Kontingente werden auf diesem Volume überwacht und erzwungen. Protokollierung für Kontingentgrenzen und -schwellen aktivieren Die Kontingentwerte sind aktuell.

Listing 6.13 Kontingentanzeige auf der Kommandozeile

Standardkontingentschwelle = 0x0000000000100000 Standardkontingentgrenze = 0x0000000000200000 ... SID-Name = CONTOSO\user2 (Benutzer) Änderungszeit = Dienstag, 25. August 2009 Verwendetes Kontingent = 3072 Kontingentschwelle = 1572864 Kontingentgrenze = 3145728

20:22:46

327

Kapitel 6 Daten, Datenträger und Dateisysteme SID-Name = CONTOSO\adm (Benutzer) Änderungszeit = Dienstag, 25. August 2009 Verwendetes Kontingent = 2048 Kontingentschwelle = 18446744073709551615 Kontingentgrenze = 18446744073709551615

18:44:35

Der in der Ausgabe angegebene Schwellwert von 18.446.744.073. 709.551.615 entspricht in hexadezimaler Darstellung 0xFFFFFFFFFFFF FFFF und somit 264–1 oder auch 16 Exabyte. Das sollte für einige Zeit als Größenangabe für Festplatten ausreichend sein. Die Angabe Die Kontingentwerte sind aktuell bezieht sich darauf, dass Windows normalerweise im Stundentakt die Einhaltung der Grenzwerte überprüft, diese Zeitspanne können Sie mit dem Befehl fsutil behavior query quotanotify kontrollieren beziehungsweise mit fsutil behavior set quotanotify abändern. Die Angabe erfolgt hier in Sekunden. Mit dem Befehl fsutil quota modify kann die Kontingentangabe für einen Benutzer (und eine Gruppe) gesetzt werden, die Angabe der Größe erfolgt hierbei in Byte, leider werden Größenangaben wie K (für KByte) oder M (für MByte) nicht unterstützt.

6.6.3

Laufwerksbuchstaben erzeugen – subst.exe

Verzeichnisbäume haben die Eigenschaft, sich bisweilen recht tief zu verschachteln. Damit man nicht immer eine komplette, längliche Pfadangabe eingeben muss, besteht die Möglichkeit, einen Laufwerksbuchstaben quasi als Abkürzung zu einem bestimmten Punkt innerhalb des Baumes zu verwenden. Mit dem Befehl subst x: c:\users\adm\ein\ganz\langer\pfad

wird dynamisch ein neuer Laufwerksbuchstabe x: erzeugt, dessen Wurzelverzeichnis durch das reale Verzeichnis c:\users\adm\ein\ganz\langer\pfad gebildet wird. Der Pfad muss dabei bereits existieren, der Laufwerksbuchstabe darf noch keinem anderen Laufwerk zugeordnet sein. Ruft man das Kommando ohne Parameter auf, erhält man eine Liste aktuell erzeugter Laufwerksbuchstaben: subst X:\: => C:\users\adm\ein\ganz\langer\pfad

Durch Angabe des Parameters /D zusammen mit dem Laufwerksbuchstaben wird die Zuordnung wieder gelöscht. subst /d x:

Den Befehl subst.exe kann man verwenden, um auf einem Serversystem die gleichen Laufwerksbuchstaben wie auf den Clients zu erzeugen, welche die Freigaben zu einem bestimmten Laufwerksbuchstaben verbinden.

328

Datenträgerverwaltung auf der Kommandozeile

6.6.4

Verknüpfungen – symbolische und harte

Bei Windows 7 gibt es in der Standardinstallation keine Programme, mit denen man harte oder symbolische Verknüpfungen ähnlich einfach im NTFS-Dateisystem manipulieren kann wie mit dem Programm ln unter Unix-artigen Betriebssystemen: Anzeigen kann man zumindest die symbolischen Links direkt über den DIR-Befehl. Hier ein Beispiel für die automatisch von Windows 7 angelegten Verknüpfungen im Benutzerprofil: Der Befehl DIR /A:L zeigt auch die Verlinkungen an, die mit dem Attribut »Verborgen« (hidden) gekennzeichnet sind. C:\Users\jochenr-admin>DIR /A:L Datenträger in Laufwerk C: ist Volume Volumeseriennummer: 5A53-E976

Listing 6.14 Symbolische Verknüpfungen im Benutzerprofil

Verzeichnis von C:\Users\jochenr-admin 18.07.2009 22:56 Anwendungsdaten [C:\Users\jochenr-admin\AppData\Roaming] 18.07.2009 22:56 Cookies [C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\Cookies] 18.07.2009 22:56 Druckumgebung [C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\ Printer Shortcuts] 18.07.2009 22:56 Eigene Dateien [C:\Users\jochenr-admin\Documents] 18.07.2009 22:56 Lokale Einstellungen [C:\Users\jochenr-admin\AppData\Local] 18.07.2009 22:56 Netzwerkumgebung [C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\ Network Shortcuts] 18.07.2009 22:56 Recent [C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\Recent] 18.07.2009 22:56 SendTo [C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\SendTo] 18.07.2009 22:56 Startmenü [C:\Users\jochenr-admin\AppData\Roaming\Microsoft\ Windows\Start Menu] 18.07.2009 22:56 Vorlagen [C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\Templates] 0 Datei(en), 0 Bytes 10 Verzeichnis(se), 61.685.010.432 Bytes frei

6

Wie man in Listing 6.14 erkennen kann, wird diese Technik von Windows selbst dazu genutzt, die in die Landessprache übersetzten Namen (zum Beispiel Eigene Dateien) auf ihren realen Namen umzusetzen. Unter Windows XP wurden diese Verzeichnisnamen noch real angelegt, sodass Programme bisweilen Probleme hatten, den verwendeten Namen bei einer anderen Sprachversion herauszufinden.

329

Kapitel 6 Daten, Datenträger und Dateisysteme

Die Programme attrib.exe (Anzeige und Manipulation von Dateiattributen), icacls.exe und cacls.exe (Anzeige und Manipulation von Dateiberechtigungen) verwenden den Parameter /L, um die Verknüpfung anstelle des Verknüpfungsziels zu bearbeiten. Aus anderen Quellen gibt es einige Programme, mit denen man ebenfalls Verknüpfungen manipulieren kann: 왘 linkd.exe – Das Tool stammt ursprünglich aus den Windows Server 2003 Resource Kit Tools und ist über die Adresse [RES] zu erhalten. Obwohl im Namen »Server« steht, lässt sich die Tool-Sammlung nach Bestätigung einer Warnmeldung über bekannte Kompatibilitätskonflikte auch auf Windows 7 installieren. Das Programm linkd lässt sich nicht dazu verwenden, Verknüpfungen zu bearbeiten, die mit den Attributen Versteckt (Hidden) oder System versehen sind. 왘 junction.exe – Das Programm kommt aus der Softwaresammlung Sysinternals (siehe [SYS]). Im Gegensatz zu linkd.exe kann es auch automatisch alle Unterverzeichnisse durchsuchen, um die symbolischen Verknüpfungen anzuzeigen. Zusätzlich hat es keine Probleme mit der Anzeige von verborgenen Dateien. 왘 hlscan.exe – Das Programm stammt ebenfalls aus den Windows Server 2003 Resource Kit Tools und dient zur Anzeige von harten Verknüpfungen (Hard Links). Wie aus dem Beispiel in Listing 6.15 ersichtlich, verwendet Windows 7 diese Technologie dazu um Systemdateien, die mehrfach benötigt werden (in Common Files für Programme die immer die aktuelle Version einer Datei verwenden möchten, in winsxs für Programme, die eine spezielle Version benötigen), platzsparend zu speichern. Durch den Link zwischen den beiden Dateien wird nur einmal Speicherplatz für den Inhalt reserviert. Mit dem Programm fsutil.exe (das zu Windows 7 gehört) können harte Verknüpfungen auch auf der Kommandozeile erzeugt werden, siehe hierzu den Abschnitt 6.6.2 ab Seite 322. 왘 ln.exe und Ls.exe – Diese beiden Programme stammen aus der Programmsammlung Subsystem für Unix (SFU – Services for Unix), die zunächst über Systemsteuerung/Programme/Programme und Funktionen/ Windows-Funktionen aktivieren und deaktivieren unter der Komponente Subsystem für Unix-basierte Anwendungen installiert werden muss. Im zweiten Schritt muss dann im Startmenü der Eintrag Subsystem für Unix-basierte Anwendungen/Dienstprogramme herunterladen ausgeführt werden, um die Anwendungen aus dem Netz zu laden (~ 400 MB). Mit dem Programm ln.exe können dann Verknüpfungen (harte und symbolische) angelegt werden (erster Befehl in Listing 6.16), mit der Option –l des Kommandos ls.exe wird die Anzahl der Links einer Datei angezeigt (zweiter Befehl in Listing 6.16, die Spalte direkt vor dem Benutzernamen adm). Listing 6.15 >hlscan Verwendung von WARNING !! you don't have the BACKUP privilege, harten Verknüpfun- you may not have access to some files or directories gen durch Windows 7

330

Datenträger überprüfen Hard Links Report for \\WIN7LAP Report Time: 08/15/2009 13:38:14 Scanned Areas: C:\ Hard Links Found in C:\ (recursive search): ID: 0x1000000002613 - Hard Links Count: 2 - Missing: 0 Creation Time: 04/22/2009 05:45:10 Last Access Time: 04/22/2009 05:45:10 C:\Windows\winsxs\x86_microsoft-windows-t..platformcomruntime_31bf3856ad364e35_6.1.7100.0_none_3b83803a8c25331c\ InkDiv.dll C:\Program Files\Common Files\microsoft shared\ink\InkDiv.dll ID: 0x1000000002614 - Hard Links Count: 2 - Missing: 0 Creation Time: 04/22/2009 06:00:45 Last Access Time: 04/22/2009 06:00:45 C:\Windows\winsxs\x86_microsoft-windows-t..platformcomruntime_31bf3856ad364e35_6.1.7100.0_none_3b83803a8c25331c\ InkObj.dll C:\Program Files\Common Files\microsoft shared\ink\InkObj.dll C:\Users\adm>ln diagnostic.txt test2.txt C:\Users\adm>ls -li 46489 -rwx------+ 2 67151 -rwx------+ 1 46489 -rwx------+ 2

6.7

*.txt adm Gruppe adm Gruppe adm Gruppe

2322 Jul 26 00:37 diagnostic.txt 2700 Jul 26 02:40 small.txt 2322 Jul 26 00:37 test2.txt

Listing 6.16 Verwendung der Unix-Tools zur Erzeugung und Anzeige von harten Verknüpfungen

Datenträger überprüfen

Auch wenn Computer heute eher selten Fehler im Bereich der Hardware Vertrauen ist gut, produzieren, so können sie doch auftreten. Bei der Überprüfung von Daten- Kontrolle ist besser trägern muss man zwei Arten der Überprüfung unterscheiden: 1. Überprüfung auf Fehler des physischen Datenträgers (Fehler 1. Art). 2. Überprüfung auf Fehler in der logischen Konsistenz der abgebildeten Datenstrukturen (Fehler 2. Art). Die Fehler der 1. Art sind heute fast vollständig aus dem Blickfeld entschwunden, da die modernen Festplatten mit ihrer eigenen Intelligenz solche Fehler selber erkennen und fehlerhafte Sektoren von sich aus durch Reservesektoren ersetzen. Dies hat dann allerdings auch zur Folge, dass man als Anwender diese Fehler zunächst nicht bemerkt, bis die Festplatte nicht mehr in der Lage ist, derartige Fehler zu kaschieren. Erkennt also Windows einen solchen Fehler, ist meist die Festplatte bereits kurz vor dem Totalausfall. Für die Abfrage der Diagnoseinformationen der Festplatte muss man dann auf Hilfsprogramme der Hersteller der Festplatten ausweichen, eine Übersicht die Programme verschiedener Hersteller liefert [DIA]. Eventuell liefern auch die Hersteller von Komplettsystemen angepasste Diagnoseprogramme für die von Ihnen eingesetzten Festplatten mit.

331

6

Kapitel 6 Daten, Datenträger und Dateisysteme

Die Fehler der 2. Art treten demgegenüber häufiger auf, insbesondere dann, wenn entweder Programme fehlerhaft auf die Datenträger zugreifen oder wenn ein Computer in der Mitte einer Operation plötzlich abgeschaltet wird. Das Gute ist, dass diese Fehler prinzipiell reparierbar sind. Beide Arten von Fehlern lassen sich durch die Fehlerüberprüfung von Windows erkennen. Rufen Sie zunächst über Start/Computer die Eigenschaften des betrachteten Laufwerks auf. Die Fehlerüberprüfung findet sich auf der Registerkarte Tools und kann durch Betätigung von Jetzt prüfen gestartet werden. Abbildung 6.40 Fehlerüberprüfung eines Laufwerks

Die Festplattenüberprüfung bietet nur zwei Optionen an (siehe Abbildung 6.41): 왘 Dateisystemfehler automatisch korrigieren – Diese Option ist standardmäßig aktiviert. Sollte die Überprüfung Fehler im Dateisystem feststellen, werden diese direkt korrigiert. Fehlerhafte Sektoren werden nur dann erkannt, wenn sie von Teilen der Verwaltungsinformationen belegt werden. 왘 Fehlerhafte Sektoren suchen/wiederherstellen – Hierbei werden alle Sektoren eines Datenträgers gelesen, egal ob belegt oder frei. Dies kann, insbesondere bei größeren Datenträgern, recht lange dauern. Abbildung 6.41 Optionen der Datenträgerüberprüfung

332

Datenträger überprüfen

Problematisch bei der Datenträgerüberprüfung ist, dass sie nur auf Daten- Keine Prüfung im trägern durchgeführt werden kann, die gerade nicht von anderen Program- laufenden men verwendet werden. Insbesondere das Systemlaufwerk kann deshalb Verkehr nicht im laufenden Betrieb überprüft werden. Hier wird die Überprüfung dann beim nächsten Systemstart durchgeführt, eine entsprechende Option wird angeboten. Abbildung 6.42 Überprüfung vertagt

Bei Laufwerken, die aktuell nicht verwendet werden, kann die Überprüfung sofort gestartet werden. Eine optische Kontrolle der durchgeführten Aktion ist nur schwer möglich, da die Aktionen zu schnell ablaufen. Die in Abbildung 6.43 ersichtliche Überprüfung der SID bezieht sich übrigens nicht darauf, dass in den ACL vorhandene unbekannte SIDs (zum Beispiel von gelöschten Benutzern) erkannt und korrigiert werden. Abbildung 6.43 Überprüfung läuft

Nach Ende der Überprüfung erscheint eine Zusammenfassung der Ergebnisse, durch Betätigung des Links Details einblenden kann eine ausführlichere Erklärung zu den erfolgten Aktionen und Prüfungen eingesehen werden. Leider ist es nicht möglich, diese Zusammenfassung für ein Protokoll in eine andere Anwendung zu kopieren. Diese Informationen lassen sich aber über die Ereignisanzeige im Anwendungsprotokoll einsehen (siehe Listing 6.17). Für die Prüfung im laufenden System werden die Einträge unter der Quelle Chkdsk abgelegt, für die Prüfung während des Systemstarts unter der Quelle Wininit. Abbildung 6.44 Alles in Butter

333

6

Kapitel 6 Daten, Datenträger und Dateisysteme Listing 6.17 Ergebnis der Datenträgerprüfung

Protokollname: Application Quelle: Chkdsk Datum: 31.08.2009 10:40:08 Ereignis-ID: 26214 Aufgabenkategorie:Keine Ebene: Informationen Schlüsselwörter:Klassisch Benutzer: Nicht zutreffend Computer: win7.contoso.com Beschreibung: Chkdsk wurde im Lesen-/Schreibenmodus ausgeführt. Dateisystem auf S: wird überprüft. Die Volumebezeichnung lautet Save. CHKDSK überprüft Dateien (Phase 1 von 3)... 256 Datensätze verarbeitet. Dateiüberprüfung beendet. 0 große Datensätze verarbeitet. 0 ungültige Datensätze verarbeitet. 0 E/A-Datensätze verarbeitet. 2 Analysedatensätze verarbeitet. CHKDSK überprüft Indizes (Phase 2 von 3)... 348 Indexeinträge verarbeitet. Indexüberprüfung beendet. CHKDSK überprüft Sicherheitsbeschreibungen (Phase 3 von 3)... 256 SDs/SIDs verarbeitet. Überprüfung der Sicherheitsbeschreibungen beendet. 46 Datendateien verarbeitet. Das Dateisystem wurde überprüft. Es wurden keine Probleme festgestellt. 25596927 15503408 116 66999 65536 10026404

KB KB KB KB KB KB

Speicherplatz auf dem Datenträger insgesamt in 119 Dateien in 48 Indizes vom System benutzt von der Protokolldatei belegt auf dem Datenträger verfügbar

4096 Bytes in jeder Zuordnungseinheit 6399231 Zuordnungseinheiten auf dem Datenträger insgesamt 2506601 Zuordnungseinheiten auf dem Datenträger verfügbar

Die Prüfung während des Systemstarts wird durch eine entsprechende Meldung beim Startprozess angekündigt. Da dieser Vorgang recht zeitaufwendig sein kann, hat man die Möglichkeit, den Vorgang durch einen Tastendruck abzubrechen. Nach Abschluss der Prüfung startet das System automatisch neu.

334

Datenträger defragmentieren Abbildung 6.45 Überprüfung während der Startphase

Datenträgerüberprüfung auf der Kommandozeile Die Datenträgerüberprüfung lässt sich auch von der Kommandozeile aus starten. Die Anwendung hierfür heißt chkdsk.exe. Gegenüber der grafischen Version bietet sie einige Parameter mehr. Die wichtigsten hierbei sind: 왘 /F – Veranlasst chkdsk, notwendige Änderungen auch auf den Datenträger zu schreiben. Ohne diesen Parameter führt es nur eine Prüfung durch, repariert aber nicht. Ist dieser Parameter nicht gesetzt, kann es auch auf aktuell verwendeten Datenträger angewendet werden, ohne dass die Prüfung erst beim nächsten Systemstart durchgeführt werden kann. 왘 /V – Schreibt beim Arbeiten den Namen der gerade betrachteten Datei mit. 왘 /R – Überprüft alle Sektoren auf dem Datenträger und versucht, noch lesbare Daten auf zweifelhaften Sektoren in andere Sektoren zu verlagern. Die Sektoren, die nicht mehr gelesen werden können, werden als defekt markiert und somit von der weiteren Belegung ausgesondert. 왘 /X – Sofern sich noch Dateien im Zugriff auf dem Datenträger befinden, werden diese zwangsweise geschlossen, dies kann für die betroffenen Anwendungen unter Umständen problematisch sein. 왘 /B – Nur zusammen mit der Option /R verwendbar. Überprüft als defekt markierte Sektoren erneut.

6.8

6

Datenträger defragmentieren

Im Optimalfall besteht eine Datei auf einem Datenträger aus einer konti- Daten in Brocken nuierlichen Folge von Clustern, sodass sie in einem Rutsch ohne erneute Suchoperation der Festplatte gelesen werden kann. Leider ist dieser optimale Zustand nur sehr selten anzutreffen, meistens verteilen sich die Dateien auf zwei oder sogar noch mehr einzelne Stücke auf der Platte. Warum passiert dies? Bei den allermeisten Dateien ist am Anfang nicht klar, wie groß die Datei später mal werden soll. Wird also das Betriebssystem aufgefordert, eine Datei neu anzulegen, so sucht es sich zunächst mal irgendwo auf dem Datenträger einen freien Platz. Fängt nun die Datei an

335

Kapitel 6 Daten, Datenträger und Dateisysteme

zu wachsen, kann es vorkommen, dass der verfügbare Platz nicht ausreicht, um genau an die schon bestehenden Daten neue Daten anzuhängen. Das System muss also einen neuen Datenbereich beginnen. Diese Zerstückelung der Datenbereiche wird Fragmentierung genannt. Kann man das verhindern? Eigentlich nicht. Sobald man Dateien hat, deren Größe wächst, wird man immer auch Dateien haben, die über ihren verfügbaren Platz hinauswachsen. Man kann allerdings im Nachgang versuchen, eine derartig in mehrere Teile aufgespaltene Datei auf einen anderen, bislang freien Platz zu verschieben, an dem sie wieder in einem Stück abgespeichert werden kann. Während einer solchen Operation ist natürlich der Zugriff auf diese Datei nur eingeschränkt möglich. Aus diesem Grund wird auch kein System derartige Aufräumarbeiten permanent durchführen, dies wird man immer zu Zeiten durchführen, zu denen möglichst wenige sonstige Aktivitäten stattfinden. Um die Defragmentierung aufzurufen, gibt es mehrere Möglichkeiten; zum einen über die Eigenschaften eines Laufwerks in der Registerkarte Tools oder über Systemsteuerung/System und Sicherheit und dann den Eintrag Festplatte defragmentieren unterhalb von Verwaltung. Abbildung 6.46 Kontrolle der Defragmentierung

Im Gegensatz zu früheren Windows-Versionen wird bei Windows 7 die Defragmentierung automatisch von System durchgeführt, ein manueller Eingriff des Administrators ist somit nicht mehr zwingend erforderlich. Im Dialogfeld in Abbildung 6.46 sieht man im oberen Teil den aktuell für die Defragmentierung eingerichteten Zeitplan und im unteren Teil die Laufwerke, auf denen eine Defragmentierung durchgeführt werden kann, sowie den Zeitpunkt der letzten Durchführung. Durch Betätigung der Schaltfläche Zeitplan konfigurieren hat man die Möglichkeit, die Defragmentierung auf Zeiten zu legen, die besser mit dem persönlichen Arbeitsverhalten übereinstimmen. Die genaueren Optionen der

336

Datenträger defragmentieren

Zeitplanung lassen sich über die Aufgabenplanung in der Systemsteuerung konfigurieren, dort kann man einsehen, dass die Aktion Defragmentierung nur unter folgenden Rahmenbedingungen erfolgt: 왘 Computer befindet sich seit mindestens drei Minuten im Leerlauf. 왘 Aktion wird unterbrochen, falls Leerlauf beendet wird, und startet von Neuem, wenn wieder Leerlauf eintritt. 왘 Aktion startet nur, wenn Computer mit Netzstrom betrieben wird, Aktion wird beendet, wenn Computer in Akkubetrieb wechselt. 왘 Sofern die eingestellte Startzeit verpasst wird, Aktion schnellstmöglich nachholen. Diese Bedingungen sind so gewählt, dass die normale Arbeit mit dem System möglichst wenig gestört wird. Abbildung 6.47 Zeitplanung der Defragmentierung

6 Über die Schaltfläche Datenträger auswählen kann man bestimmen, welche Datenträger für die Defragmentierung vorgesehen sind. Sobald in Abbildung 6.46 eines der Laufwerke ausgewählt wurde, kann man mit der Schaltfläche Datenträger analysieren eine Überprüfung des Datenträgers durchführen lassen. Die Prozentanzeige im Dialogfeld gibt dann die Anzahl der defragmentierten Dateien an, ab einem Wert von etwa 10% sollte man durch die Schaltfläche Datenträger defragmentieren die Defragmentierung starten. Während der Vorgang läuft, wird in der Spalte Status der Ablauf protokolliert. Abbildung 6.48 Wo soll defragmentiert werden?

337

Kapitel 6 Daten, Datenträger und Dateisysteme Fragmente existieren nur lokal

Prinzipiell können nur lokale Datenträger defragmentiert werden, Netzwerklaufwerke müssen auf dem jeweiligen Serversystem defragmentiert werden. Dies gilt allerdings nicht für iSCSI- oder SAN-Laufwerke, da diese als lokal angesehen werden. Sofern das Kontrollkästchen Neue Datenträger automatisch defragmentieren aktiviert ist, werden auch sämtliche Wechselmedien wie beispielsweise USB-Sticks in die Zeitplanung aufgenommen. Wer dies nicht will, muss das Kontrollkästchen entsprechend deaktivieren und die Laufwerke entsprechend einzeln selektieren.

Defragmentierung auf der Kommandozeile Die Defragmentierung lässt sich auch über die Kommandozeile steuern, hierzu dient das Programm defrag.exe. Das Programm lässt sich nur über eine Kommandozeile mit administrativen Berechtigungen ausführen, es kann nicht selber eine entsprechende UAC-Abfrage ausführen. In der einfachsten Ausführung wird nur das zu prüfende Laufwerk als Parameter angegeben: Listing 6.18 Fragmentierung war erfolgreich.

>defrag c: Microsoft Disk Defragmenter Copyright (c) 2007 Microsoft Corp. "Defragmentierung" wird für "SysDrive (C:)" aufgerufen... Vor der Defragmentierung ausgeführter Bericht: Volumeinformationen: Volumegröße = 21,33 GB Freier Speicherplatz = 12,57 GB Fragmentierter Speicherplatz insgesamt = 1% Größter freier Speicherplatz = 9,56 GB Hinweis: Dateifragmente, die größer als 64 MB sind, sind nicht in den Fragmentierungsstatistiken enthalten. Der Vorgang wurde abgeschlossen. Post Defragmentation Report: Volumeinformationen: Volumegröße = 21,33 GB Freier Speicherplatz = 12,57 GB Fragmentierter Speicherplatz insgesamt = 0% Größter freier Speicherplatz = 9,56 GB Hinweis: Dateifragmente, die größer als 64 MB sind, sind nicht in den Fragmentierungsstatistiken enthalten.

Zusätzlich kann noch der Parameter /V angegeben werden. Dann werden noch zusätzliche Informationen über den Zustand des Datenträgers ausgegeben, etwa Details über die MFT: ... Master File Table (MFT): MFT-Größe Anzahl von MFT-Datensätzen MFT-Verwendung MFT-Fragmente insgesamt ...

338

= 70,50 MB = 72191 = 100% = 2

Datenträger defragmentieren

Als weitere Optionen werden erkannt: 왘 /C – Führt die Defragmentierung auf allen vorhandenen Laufwerken durch. 왘 /E – Führt die Defragmentierung auf allen vorhandenen Laufwerken mit Ausnahme der angegebenen durch. 왘 /A – Führt nur eine Analyse der Defragmentierung durch. 왘 /U – Protokolliert den Fortgang der Aktionen auf dem Bildschirm. 왘 /H – Startet das Programm mit hoher Priorität. Normalerweise läuft die Defragmentierung mit niedriger Priorität, um die Arbeit im Vordergrund nicht zu beeinträchtigen. 왘 /X – Es wird nur versucht, die freien Speicherbereiche auf dem Datenträger zu größeren, zusammenhängenden Blöcken zu konsolidieren. >defrag h: /x /v Microsoft Disk Defragmenter Copyright (c) 2007 Microsoft Corp.

Listing 6.19 Zusammenfassung des freien Speicherplatzes

"Konsolidierung des freien Speicherplatzes" wird für "Volume (H:)" aufgerufen... Vor der Defragmentierung ausgeführter Bericht: ... Freier Speicherplatz: Zähler für freien Speicherplatz = 22 Durchschnittlicher freier Speicherplatz = 124,00 KB Größter freier Speicherplatz = 1,43 MB ... Post Defragmentation Report: ... Freier Speicherplatz: Zähler für freien Speicherplatz = 8 Durchschnittlicher freier Speicherplatz = 348,00 KB Größter freier Speicherplatz = 2,69 MB

6

In Listing 6.19 kann man die Auswirkung der Defragmentierung direkt sehen. Wo es vorher noch 22 einzelne freie Bereiche auf dem Datenträger gab, sind es nach der Konsolidierung nur noch acht. Die durchschnittliche Größe eines derartigen freien Bereiches hat sich ebenso verdoppelt wie die Größe des größten freien Bereiches. Mit dem Programm DiskView (siehe SYS) lässt sich eine grafische Darstellung der Belegung eines Datenträgers anzeigen, hierbei kann man auch einzelne Dateien hervorheben lassen.

Defragmentierung in speziellen Fällen Manchmal möchte man nicht gleich die komplette Platte defragmentieren, sondern interessiert sich nur für eine ganz spezielle Datei. Hier hilft das Programm contig.exe (siehe SYS). Mit diesem Programm kann zum einen analysiert werden, aus wie vielen Fragmenten eine Datei besteht, zum anderen kann eine Datei gezielt defragmentiert werden. Im Beispiel

339

Kapitel 6 Daten, Datenträger und Dateisysteme

in Listing 6.20 wird zusätzlich die Option –V verwendet, um eine ausführlichere Ausgabe zu erhalten. Listing 6.20 Defragmentierung einer einzelnen Datei

>contig -v h:\big.txt Contig v1.55 - Makes files contiguous Copyright (C) 1998-2007 Mark Russinovich Sysinternals - www.sysinternals.com -----------------------Processing h:\big.txt: Scanning file... Scanning disk... File is 22 physical clusters in length. File is in 11 fragments. Found a free disk block at 4455 of length 664 for entire file. Moving 22 clusters at file offset cluster 0 to disk cluster 4455 File size: 90001 bytes Fragments before: 11 Fragments after : 1 -----------------------Summary: Number of files processed : 1 Number of files defragmented: 1 Average fragmentation before: 11 frags/file Average fragmentation after : 1 frags/file

340

7

Netzwerkgrundlagen

Computer können ihre Stärke, das Verarbeiten von Informationen, erst dann wirklich einsetzen, wenn sie nicht alleine sind, sondern Daten mit anderen Systemen austauschen können. Aus diesem Grund wurden Netzwerke entwickelt, mit denen viele Computer untereinander verbunden werden können. Die Geburtsstunde von Netzwerken, wie wir sie heute kennen, wird gemeinhin auf den 29. Oktober 1969 gelegt, als erstmals eine Datenverbindung zwischen zwei entfernten Computersystemen hergestellt wurde. Die erste Verbindung wurde allerdings nach zwei übertragenen Zeichen abrupt beendet, da einer der beiden teilnehmenden Computer abstürzte. Siehe hierzu auch den Geburtstagsgruß auf [GEB].

7.1

Netzwerk theoretisch

Bei der Beschäftigung mit Netzwerktechnologien kommt man immer wieder auf den Begriff des ISO/OSI-Schichtenmodells. Dies ist eine theoretische Betrachtung einer Netzwerkkommunikation, bei der die unterschiedlichen Teilkomponenten abstrakt in Form von Schichten angeordnet werden. Begonnen wurde die Entwicklung an diesem Modell Ende der 70er-Jahre des vergangenen Jahrhunderts, im Jahr 1983 wurde es von der ISO (Internation Standards Organisation, quasi die internationale Version der DINOrganisation) als Standard angenommen und liegt nun als ISO 7498-1 vor. Der Namensbestandteil OSI ergibt sich aus der Anwendung des Standards zur Kommunikation unterschiedlicher Systeme miteinander: Open Systems Interconnection.

341

Kapitel 7 Netzwerkgrundlagen Kommunikation theoretisch

Abbildung 7.1 Das ISO/OSISchichtenmodell

Basis dieses Modells ist die Überlegung, dass Kommunikation auf verschiedenen Ebenen stattfindet. Auf jeder Ebene kommunizieren gleichartige Partner miteinander und bedienen sich dafür der unterliegenden Schichten. Als Beispiel mag man sich zwei Personen vorstellen, die miteinander kommunizieren möchten. Beide verwenden gewisse Kommunikationsmittel, die übereinstimmen müssen, etwa Papier und Bleistift im Gegensatz zu Stimme und Ohr. Beide müssen die gleiche Sprache verwenden, egal welche Kommunikationsmittel sie einsetzen. Und schließlich müssen sie auch noch über das gleiche Thema kommunizieren. Insbesondere IT-affine Menschen haben hierbei gelegentlich Probleme. Sender

Empfänger

Anwendung

Anwendung

Darstellung

Darstellung

Verbindung

Verbindung

Transport

Transport

Netzwerk

Netzwerk

Datenübertragung

Datenübertragung

Hardware

Hardware

Für diejenigen Elemente über einer Schicht sieht es so aus, als ob diese Schicht direkt mit der korrespondierenden Schicht des anderen Kommunikationsteilnehmers kommuniziert. Eine echte Kopplung findet jedoch nur auf der Ebene der untersten Schicht 1, der Hardware (auch Physical Layer genannt), statt, z.B. indem ein Netzwerkkabel direkt zwischen zwei Computern verläuft. Auf der Ebene der Schichten 2 bis 7 sind diese Verbindungen nur noch virtuell. Die eigentlichen Daten, die zu transportieren sind, werden in jeder Schicht in einen Rahmen eingekapselt, der Verwaltungsinformationen für den Transport zwischen den Schichten regelt. Auf der Ebene der Hardware sind beispielsweise Stromspannungen definiert, die auf dem Kabel übertragen werden, auf der Ebene darüber das Format, wie aus der Folge dieser Stromspannungswechsel Anfang und Ende eines einzelnen Datenblocks erkannt werden können. Nummer und Name der Schicht

Funktion

1 Hardware (Physical Layer) 2 Datenübertragung (Data Link Layer), intern unterteilt in LLC (Logical Link Control) und MAC (Media Access Control)

Physikalische Verbindung, Synchronisation der Übertragung zwischen sendender und empfangender Hardware Übergabe der Daten an die physikalische Übertragung, Kontrolle des Zugriffs auf das Übertragungsmedium, Kontrolle der fehlerfreien Übertragung einzelner Datenpakete

Tabelle 7.1: Das ISO/OSI-Schichtenmodell von unten nach oben

342

Netzwerk-Hardware

Nummer und Name der Schicht

Funktion

3 Netzwerk (Network Layer)

Datenkontrolle innerhalb eines Netzsegments; Aufteilung von großen Datenblöcken in für das Medium passende Teilstücke; Weiterleiten von Daten an entfernte Empfänger (Routing) Erkennung von fehlenden oder doppelten Datenblöcken; Sortierung der Datenblöcke; Sammlung der Daten von mehreren Sendern, Verteilung ankommender Daten an mehrere Empfänger Aufbau, Kontrolle und Abbau von Verbindungen; Ablauf von Kommunikation in Form von festgelegten Frage-/Antwortsequenzen (Challenge/Response) Umsetzung von Datenformaten; Möglichkeit zur Komprimierung oder Verschlüsselung der Daten Schnittstelle zur Benutzeroberfläche

4 Transport (Transport Layer) 5 Verbindung (Session Layer) 6 Darstellung (Presentation Layer) 7 Anwendung (Application Layer)

Tabelle 7.1: Das ISO/OSI-Schichtenmodell von unten nach oben

Es wird scherzhaft oft auch von einem Fehler auf ISO-Layer 8 gesprochen, hierbei meint man die Ebene, die noch über der Anwendung liegt, also den Benutzer selbst.

7

Sobald man auf einer Ebene eine Verbindung mit zwei ungleichen Partnern herstellen will, muss man eine Wandlung auf einer höheren Ebene durchführen.

7.2

Netzwerk-Hardware

Netzwerk-Hardware besteht im Prinzip aus drei unterschiedlichen Typen von Elementen: 왘 Netzwerk-Adapter, die einen Computer mit dem Netzwerk verbinden, indem sie einen physikalischen Kontakt zum Netzwerk herstellen. 왘 Aktive Netzwerkkomponenten, die dazu dienen, unterschiedliche Netzwerkbestandteile zu koppeln. Ein solches Gerät wird deshalb aktiv genannt, weil es über ein gewisses Maß an Eigenintelligenz verfügt, um den Datenverkehr nach gewissen Regeln zu kontrollieren. Ein typisches Beispiel einer aktiven Komponente ist ein Hub, Switch oder Router. 왘 Passive Netzwerkkomponenten, die den unintelligenten Teil des Netzwerks bilden. Hierzu gehören Kabel, Patchfelder zur Herstellung einer Verbindung oder auch Antennen bei einer Funkübertragung.

343

Kapitel 7 Netzwerkgrundlagen

Da die Intelligenz der aktiven Netzwerkkomponenten in Form von Programmen (Software) vorliegt, können diese Aufgaben von einem Computer übernommen werden; so kann man beispielsweise einen Computer mit mehreren Netzwerkadaptern auch als Router einsetzen. Bei den passiven Komponenten wird oftmals nach den verwendeten Kabeltypen und den erreichbaren Geschwindigkeiten unterschieden, meistens werden die Namen für Netzwerkkomponenten nach den zugrunde liegenden Normen und Standards für die Datenübertragung gewählt. Während Hauptspeicher oder Datenträger immer mit Größenangaben in Byte bezeichnet werden, hat sich im Bereich der Netzwerke bedingt durch die ursprünglich serielle Übertragung der einzelnen Bits die Größenangabe in Bit pro Sekunde (Bit/s) durchgesetzt. Typische Beispiele für passive Komponenten sind: 왘 CAT-5/CAT-7 (Kategorie 5 beziehungsweise 7) – Bezeichnung für Ethernetkabel mit verdrillten Adern (Twisted Pair), bei den Kabeln wird oft auch nach Ausführung der Schirmung im Kabel unterschieden (mit Schirmung: STP – Shielded Twisted Pair und ohne Schirmung: UTP – Unshielded Twisted Pair). Kabel im Standard CAT-5 eignen sich bis zur Übertragung von 1 GBit/s (1000BASE-T), bei CAT-7 bis zu 10 GBit/s. Diese Technologie wird überwiegend beim Aufbau einer strukturierten Verkabelung innerhalb eines Gebäudes eingesetzt. 왘 Glasfaser, FDDI (Fiber Distributed Data Interface). Bei dieser Technologie werden die Daten in Form von Lichtimpulsen durch eine optische Verbindung geleitet. Der Vorteil liegt hierbei darin, dass diese Verbindungen unanfällig gegenüber elektrischen Beeinflussungen sind und auch keine elektromagnetischen Felder ausstrahlen, an denen man Informationen abgreifen könnte. Die Technologie existiert sowohl für die lokale Anwendung als auch für den Datentransport über große Entfernungen, da die einzelnen Stationen auch viele km voneinander entfern liegen können. Die möglichen Geschwindigkeiten lagen früher deutlich über den damaligen Möglichkeiten der Kupferkabel, heute hat sich der Abstand relativiert. Drei Begriffe, die man in diesem Bereich immer wieder hört, sind: 왘 Dark Fiber – Lichtwellenleiter, die zwischen zwei Punkten verlegt ist, auf denen aber keine Daten übertragen werden und die vom Kabeleigner ohne jegliches Anschaltequipment verkauft oder vermietet wird. 왘 FTTH (Fiber-to-the-Home) – Der Anschluss von Gebäuden mit Glasfasern im Gegensatz zur herkömmlichen Technik, bei der die Hauszuleitung mit Kupferkabel erfolgt. 왘 FTTD (Fiber-to-the-Desk) – Die gebäudeinterne Verkabelung führt Glasfaser bis zum Arbeitsplatz auf dem Schreibtisch. Hatte frühe Geschwindigkeitsvorteile gegenüber Kupferkabel, ist aber im Vergleich dazu deutlich teurer. 왘 ADSL/SDSL – Asymmetrical und Symmetrical Digital Subscriber Line (englisch für Digitaler Teilnehmeranschluss) beschreibt eine Technologie, bei der

344

Netzwerk-Hardware

digitale Daten mit hoher Geschwindigkeit über normale Telefonkabel übertragen werden. Man unterscheidet hierbei zwischen Upload (Transport von Daten vom Teilnehmer zum Anschlusspunkt) und Download (Transport von Daten zum Teilnehmer vom Anschlusspunkt). Sind hierbei beide möglichen Geschwindigkeiten gleich, spricht man von einem symmetrischen Anschluss, ist die Download-Geschwindigkeit höher als die des Uploads, spricht man von einem asymmetrischen Anschluss. Da für den Privatbereich fast ausschließlich ADSL-Anschlüsse angeboten werden, spricht man im Allgemeinen von DSL, wenn man eigentlich ADSL meint. Oftmals wird die Bezeichnung DSL noch um die maximale Geschwindigkeit ergänzt, wobei hier immer die Download-Geschwindigkeit angegeben wird. Gängige Bauformen sind hier DSL-1000 (1 MBit/s), DSL2000 (2 MBit/s), DSL-6000 (6 MBit/s) oder DSL-16000 (16 MBit(s). Inzwischen werden unter der Bezeichnung VDSL auch Anschlüsse mit einer Download-Geschwindigkeit von 50 MBit/s angeboten. Die UploadGeschwindigkeit ist meist um den Faktor 10 kleiner. 왘 WLAN – Wireless LAN beschreibt eine Technologie, bei der die Systeme statt mit Kabeln über Funkverbindungen angeschlossen werden. Die Reichweite einer derartigen Verbindung ist stark von der Umgebung (Gebäudebauform) abhängig und deshalb nur innerhalb einer engen Umgebung nutzbar. Im Laufe der technischen Entwicklung haben sich verschiedene Übertragungsstandards mit unterschiedlichen maximalen Datenraten entwickelt: 왘 IEEE 802.11b – 11 MBit/s 왘 IEEE 802.11g – 54 MBit/s 왘 IEEE 802.11n – 600 MBit/s. Dieser Standard wurde erst im September 2009 verabschiedet, es gibt eine ganze Reihe von Geräten auf dem Markt, die bereits nach einer Vorabversion der Spezifikation IEEE 802.11 Draft n erstellt wurden. Prinzipiell lassen sich WLAN-Adapter entweder im Betrieb mit einer designierten Basisstation betreiben (Infrastruktur-Modus), oder zwei WLAN-Geräte können miteinander eine direkte Verbindung herstellen (Ad-hoc-Modus). 왘 GPRS, HSDPA Beschreiben Technologien zur Datenübertragung in Mobilfunknetzen, je nach Empfangslage sind dabei Geschwindigkeiten von 53,6 KBit/s (GPRS, General Packet Radio Service im normalen GSM-Netz) bis 7,2 MBit/s (HSDPA, High Speed Downlink Packet Access im UMTS-Netz) möglich. Mit diesen Techniken kann man quasi an jedem Ort, an dem man auch mit seinem Mobiltelefon telefonieren kann, eine Verbindung zum Internet aufbauen. 왘 POTS und ISDN – Beschreiben das herkömmliche analoge Telefonnetz (Plain Old Telephone System) beziehungsweise dessen digitalen Nachfahren (Integrated Services Digital Network). Da diese Netze nicht speziell für die Datenübertragung entwickelt wurden, ist eine maximale Datenübertragungsrate von 56 KBit/s (analog) beziehungsweise 128 KBit/s (ISDN mit Zweikanalbetrieb) möglich. Da bei diesen Verbindungsarten zunächst eine Anwahl der Gegenstelle erfolgen muss, werden diese

7

345

Kapitel 7 Netzwerkgrundlagen

auch als Dial Up-Verbindungen bezeichnet. Die geringe Geschwindigkeit der Datenübertragung lässt diese Verbindungen heute den gängigen Anforderungen nicht mehr genügen, ist aber im ländlichen Raum ohne DSL-Versorgung meist die einzige Möglichkeit, eine Verbindung zum Internet herzustellen. 왘 Weitere Bauformen – Es gibt noch ganze Reihe weiterer Bauformen von Netzanschlüssen, die jeweils besondere Einsatzbereiche haben. Zu nennen wären hier noch Power Line (Nutzung des heimischen Stromnetzes anstelle normaler LAN-Verkabelung), Kabelmodem (Datentransfer über das Fernseh-Antennenkabel eines Kabelfernsehbetreibers) oder Satelliten-DSL (Download über geostationäre Satelliten, Upload über klassisches Telefonnetz). Abbildung 7.2 Ein Netzwerk einrichten

Windows unterscheidet bei Netzwerken zunächst danach, ob die Verbindung mit dem Netzwerk permanent besteht oder ob sie erst hergestellt werden muss (Wählverbindung). Weiterhin ist von Interesse, ob das Netzwerk, mit dem sich das System verbinden soll, das Internet oder ein privates Netzwerk ist. Als zusätzliche Option besteht auch die Möglichkeit, eine Verbindung zu einem privaten Netzwerk über einen Tunnel durch ein öffentliches Netzwerk hindurch (VPN – Virtual Private Network) herzustellen.

7.2.1

Netzwerkadapter für lokale Verbindungen

Als lokale Verbindungen sieht Windows 7 alle Netzwerkadapter an, die direkt eine Verbindung mit dem Netzwerk herstellen. Insbesondere sind dies Ethernet-Karten, fest eingebaut oder in Form von Steckkarten mit USB-Anschluss oder PCMCIA-Adapterkarten. Hierbei sollte man darauf achten, dass zum verwendeten Netzwerkadapter auch der passende Treiber vorliegt. Ist ein Treiber für Windows 7 noch nicht verfügbar, kann auch versucht werden, einen Treiber für Windows Vista zu verwenden.

346

Netzwerk-Hardware Abbildung 7.3 Netzwerkkarte mit und ohne Verbindung zum Internet

Abbildung 7.4 Netzwerkkarte ohne Kabelanschluss

Im Systemtray-Bereich wird für den Netzwerkadapter ein Symbol angezeigt. Dieses ändert seine Darstellung je nachdem, ob der Adapter auch tatsächlich eine Verbindung zum Netzwerk aufbauen kann oder nicht. Die noch bei Windows Vista vorhandene Möglichkeit, auf dem Symbol in der Leiste eine grafische Darstellung des Datenverkehrs einzurichten (Animation bei Aktivität), besteht nicht mehr.

7.2.2

Drahtlose Netzwerke

Eine drahtlose Verbindung per WLAN ist zwar auch eine lokale Verbindung über einen im Computer eingebauten Adapter, hier muss das System sich aber meist erst über ein Kennwort mit dem Gegenstück der Funkverbindung verbinden, um neben der physikalischen Verbindung auch einen Datentransport zuzulassen. Auch Verbindungen über das Mobilfunknetz sind zwar drahtlos, werden für Windows aber als eine Verbindung, die erst durch einen Wahlvorgang hergestellt werden muss, angesehen.

7

Ein drahtloses Netzwerk wird im Systemtray-Bereich mit einer Darstellung der aktuellen Feldstärke des Funkempfangs dargestellt. Auf das Thema WLAN wird ausführlicher in Kapitel 8 eingegangen. Abbildung 7.5 Funkempfang beim WLAN

7.2.3

Netzwerke für Punkt-zu-PunktVerbindungen

Verbindungen, die den Computer zu einem ganz bestimmten, angeb- Kein Netz unter baren Zugangspunkt im Netzwerk verbinden, werden Wählverbindun- dieser Nummer? gen genannt. Hierbei wird noch unterschieden, ob die Verbindung zum Internet hergestellt wird oder zu einem privaten Netzwerk. Zwei Sonderformen gilt er hier zu beachten:

347

Kapitel 7 Netzwerkgrundlagen 왘 VPN-Verbindung – Hier wird über eine bereits bestehende Verbindung

ein Tunnel zu einer Gegenstelle in einem privaten Netzwerk hergestellt. Der lokale Computer wird dadurch zu einer Außenstelle des entfernten Netzwerkes, die Kommunikation zwischen diesem Netz und dem lokalen System wird durch Verschlüsselung vor dem Netz, durch das der Tunnel verläuft, verborgen. 왘 Breitband-Verbindung (DSL) – Hier nimmt das System über eine bestehende Ethernet-Verbindung Kontakt mit einem DSL-Modem auf und stellt so eine Verbindung mit dem Internet her. Die Verbindung zwischen DSL-Modem und lokalem Netzwerkadapter arbeitet dabei mit dem Protokoll PPPoE (Point-to-Point-Protocol over Ethernet) im Gegensatz zur Verbindung mit einem DSL-Router, bei dem zwischen DSL-Router und lokalem Netzwerkadapter mit dem IP-Protokoll gearbeitet wird. Erkennbar ist der Unterscheid auch daran, dass die DSL-Zugangsdaten auf dem Computer und nicht auf dem DSL-Router gespeichert werden.

7.2.4

WAN-Netzwerke und die Anbindung ganzer lokaler Netzwerke

Sobald eine größere Anzahl von Systemen an einem Standort gemeinsam auf das Internet zugreifen wollen, wird man dieses Netzwerk mit einem Router und/oder einer Firewall versehen. Die Kommunikation mit dem Internet wird dann nur über diese eine Komponente durchgeführt. So kann an dieser einen Stelle auch die Kontrolle über die entsprechenden Datenströme erfolgen. Das lokale System im Netzwerk weiß dann selber nichts darüber, wie die Anbindung real durchgeführt ist, und hat auch keinen Status darüber, ob aktuell eine Verbindung besteht oder nicht. Die einfachste und kleinste Form dieser Anbindung ist die Verwendung eines üblichen DSL-Routers, mit oder ohne WLAN-Anbindung. Zu beachten ist hierbei, dass die Erstinstallation eines solchen Gerätes meist nur über eine kabelgebundene Verbindung möglich ist. In dem DSL-Router existieren dann mehrere Kabelanschlüsse für lokale Geräte und einer zum Anschluss an das Telefonnetz.

7.3 Immer nach Protokoll verfahren!

348

Netzwerkprotokolle

Die Bezeichnung Netzwerkprotokoll wird in durchaus verschiedenen Bereichen gebraucht, obwohl sich die einzelnen Protokolle auf völlig unterschiedlichen Ebenen des ISO-Schichtenmodells bewegen. Als Beispiel mag hier die Kommunikation zwischen Webserver und Browser dienen, diese wird über das Protokoll HTTP (Hypertext Transfer Protocol, ISO-Schicht 7) abgewickelt. Die einzelnen Datenpakete dieses Protokolls werden über TCP (Transmission Control Protocol, ISO-Schicht 4) übertragen. Und die Pakete des TCP wiederum bestehen aus IP-Paketen (Internet Protocol, ISO-Schicht 3). Die Protokolle bauen also aufeinander auf. Nicht zu vergessen natürlich, dass die IPPakete selber wiederum mit einem Protokoll der physikalischen Datenübertragung (etwa Ethernet-Frames, ISO-Schicht 2) transportiert werden.

Netzwerkprotokolle

In diesem Abschnitt betrachten wir die Protokolle der unteren Schichten (ISO-Schicht 4 und abwärts).

7.3.1

Alte Bekannte und Exoten

Verschiedene Protokolle, die früher in Verwendung waren, werden inzwischen nicht mehr unterstützt: 왘 NetBEUI – Das Protokoll (NetBIOS extended User Interface) war das Standardprotokoll von Windows bis einschließlich der Version Windows 2000. Für Windows XP und Windows Server 2003 konnte das Protokoll noch manuell nachinstalliert werden, für die späteren Versionen wurde das Protokoll nicht mehr angeboten. Das Protokoll selbst ist nur für kleine Netzsegmente geeignet und bedarf keines Konfigurationsaufwandes. 왘 IPX/SPX – Die Protokolle (Internetwork Packet Exchange/Sequenced Packet Exchange) wurden ursprünglich von der Firma Novell für ihre NetWareSysteme verwendet. Im Gegensatz zu NetBEUI konnte ein IPX/SPXNetz auch aus mehreren Teilnetzen bestehen, was es auch für größere Installationen verwendbar machte. Nachdem aber Novell selbst seine NetWare-Systeme auf die Verwendung von TCP/IP umgestellt hatte, begann das Interesse an IPX/SPX nachzulassen. Windows XP war das letzte System, für das Microsoft das Protokoll noch anbot. 왘 AppleTalk – Diese Protokoll wurde ursprünglich von der Firma Apple für die Systeme der Macintosh-Reihe entwickelt, inzwischen aber auch von Apple selbst für TCP/IP aufgegeben. Von Microsoft wurde dieses Protokoll noch bis einschließlich Windows 2000 unterstützt.

7.3.2

Das IP-Protokoll – Version 4

7

Das Internet-Protokoll (IP-Protokoll ist eigentlich eine sprachlich unzulässige Verdoppelung) bildet die Grundlage des Datentransports im Internet. Entwickelt wurde das Protokoll ursprünglich für das amerikanische Forschungsund Militärnetzwerk ARPANet. Bedingt durch die zeitliche Entwicklung wird heute der Begriff IP meist mit der vierten Version des Protokolls (IPv4) gleichgesetzt, das 1981 im Dokument [RFC791] festgelegt wurde. RFC bedeutet ausgeschrieben Request for Comment (Aufforderung zum Kommentieren) und beschreibt ein Dokument, in dem grundlegende Vorschriften über die Implementation bestimmter Aspekte der Netzwerkkommunikation festgelegt werden. Das Besondere an den RFC ist, dass ihr Inhalt nach der Veröffentlichung nicht mehr verändert wird. Werden Fehler in einem RFC festgestellt oder möchte man Erweiterungen zu einem bestehenden RFC publizieren, wird ein neuer RFC aufgelegt und der alte als eben das bezeichnet: veraltet (obsolated). Die RFC werden dabei aufsteigend numerisch bezeichnet. Der ganze Prozess wird dabei durchaus auch mit einer Prise technischem Humor gewürzt. So ist in [RFC1149] (A Standard for the Transmission of IP Datagrams on Avian Carriers) beschrieben, wie man IP-Pakete mit Brieftauben transportieren kann. Veröffentlicht wurde der RFC am 1. April 1990 und befindet sich immer noch im Status Experimental.

349

Kapitel 7 Netzwerkgrundlagen

Basis des Protokolls ist die IP-Adresse, mit der jedes Gerät, das mit dem Netzwerk verbunden ist, bezeichnet wird. Diese Adresse wird aus 32 Bits dargestellt, diese werden üblicherweise in der Form von vier Dezimalzahlen dargestellt, die mit Punkten verbunden werden. Jede einzelne der vier Zahlen wird somit durch 8 Bits dargestellt, dies erlaubt die Werte von 0 bis 255 einschließlich. Somit ergeben sich insgesamt maximal 4.294.967.296 unterschiedliche IP-Adressen. Dies erschien in der Anfangszeit des Internets, als es wenige Tausend Systeme gab, noch relativ viel zu sein. Inzwischen prognostiziert man jedoch, dass es in wenigen Jahren keine IPAdressen mehr zur Verteilung gäbe. Das Netz sind Netze und Hosts

Tabelle 7.2 Zusammenhang zwischen IP-Adresse, Subnetzmaske und Netzwerkadresse

Um eine sinnvolle Strukturierung des Adressraums zu erreichen, teilt man die IP-Adresse logisch in zwei Teile auf: 왘 Netzwerkadresse – Steht immer am Anfang der IP-Adresse. Mit einer sogenannten Subnetzmaske wird der Teil der Netzadresse aus der IPAdresse ausmaskiert. dezimal

Binär

IP-Adresse

201.193.233.137 11001001 11000001 11101001 10001001

Subnetzmaske

255.255.255.0

11111111 11111111 11111111 00000000

Netzwerkadresse

201.193.233.0

11001001 11000001 11101001 00000000

Möchte man eine IP-Adresse zusammen mit ihrer Subnetzmaske angeben, schreibt man entweder die dezimale Darstellung durch einen Schrägstrich getrennt dahinter (201.193.233.137/255.255.255.0) oder gibt an, wie viele mit 1 gesetzte Bits am Anfang der Subnetzmaske stehen (201.193.233.137/24). 왘 Hostadresse (Systemadresse) – Beinhaltet die Bits der IP-Adresse, die nicht zur Netzwerkadresse gehören, im obigen Beispiel also137.

Routing Möchte nun ein System mit einem anderen System kommunizieren, so errechnet der Sender seine Netzadresse aus seiner eigenen IP-Adresse und eigenen Subnetzmaske und vergleicht dies mit der Netzwerkadresse, die er aus der IP-Adresse des Empfängers und seiner eigenen Subnetzmaske erhält (die Subnetzmaske des Empfängers ist unbekannt). Stellt es dabei fest, dass das Zielsystem die gleiche Netzwerkadresse hat, so geht es davon aus, dass es dieses System auch direkt erreichen kann. Stimmen die Netzwerkadressen nicht überein, muss das sendende System ein System finden, das in der Lage ist, das Datenpaket in Richtung zum Zielsystem weiter zu leiten. Im einfachsten Fall kennt das System nur einen einzigen Kontaktpunkt (auch Router genannt) für diese Aufgabe, dieser wird Standardgateway (Default Gateway) genannt. In einem Netzwerk mit mehreren Routern müssen vom Administrator Routen konfiguriert werden. Diese enthalten prinzipiell die folgenden Angaben: Welche Netzwerk-

350

Netzwerkprotokolle

adresse kann erreicht werden? Über welche IP-Adresse kann der Router erreicht werden? Welcher lokale Adapter soll für die Route verwendet werden? Wie teuer ist diese Verbindung? Die letzten beiden Angaben sind optional, die Angabe des Adapters ist nur von Interesse, wenn an einem Netzwerk mehrere Adapter parallel angeschlossen sind. Die Angabe der Kosten (Metric) ist dann interessant, wenn ein Zielnetzwerk über mehrere Routen erreichbar ist. Das System kann dann den Datenverkehr über die günstigste Strecke leiten. Ist die beste Route nicht verfügbar, versucht das System automatisch, den Datenverkehr über einen Umweg zu leiten, ohne dass der Administrator manuell eingreifen müsste.

Datentransportprotokolle Zum eigentlichen Transport der Daten dienen die beiden Protokolle TCP (Transmission Control Protocol) und UDP (User Datagram Protocol). Der Unterschied zwischen beiden Protokollen besteht darin, dass bei TCP eine feste Verbindung zwischen Sender und Empfänger aufgebaut wird. Schon auf Protokollebene wird dafür gesorgt, dass alle Datenpakete der Verbindung in der richtigen Reihenfolge und ohne Auslassungen ausgetauscht werden. Gehen während der Übertragung Pakete verloren oder werden verstümmelt, so fordert der jeweilige Empfänger automatisch eine erneuete Sendung des Pakets an. Bei UDP findet ein derartiger Verbindungsaufbau nicht statt. Der Sender sendet sofort seine Daten an den Empfänger, ohne zu wissen, ob dieser die Daten überhaupt empfangen kann. Auf gleichem Wege verläuft die Übertragung von Rückmeldungen. Das Programm, das UDP verwendet, muss selbst dafür sorgen, dass doppelte oder fehlende Pakete erkannt werden, und dementsprechend reagieren. Der Vorteil von UDP gegenüber TCP besteht darin, dass die Datenübertragung schneller stattfinden kann, da kein umständlicher Verbindungsaufbau und -abbau zu Beginn und Ende der Datenübertragung stattfinden muss.

Was wäre ein Netz ohne Daten, die es transportiert?

7

Um auf einem System mehrere parallele Datenübertragungen zu ermöglichen, werden bei TCP und UDP die Verbindungen auf einem System über Portnummern adressiert. Eine Verbindung auf dem System wird somit immer über vier Zahlenangaben in einem Tupel unterschieden: IPAdresse Empfänger, Portnummer Empfänger, IP-Adresse Sender, Portnummer Sender. Für bestimmte Dienste sind bestimmte Portnummern beim Empfänger vorab definiert, zum Beispiel HTTP (Verbindungen mit einem Webserver) auf Nummer 80. Möchte nun ein Client eine Datenübertragung aufbauen, so wählt er eine bei ihm nicht vergebene Portnummer (Quellport) und sendet die Nachricht an den bekannten Port des Serversystems (Zielport) auf dem empfangenden System. Der Server sendet dann seine Rückantwort an diese vom Client gewählte Portnummer zurück. Baut der Client nun gleichzeitig eine zweite Verbindung zum Server auf, wählt er beim Verbindungsaufbau eine andere Portnummer aus, da die erste verwendete Nummer ja nun von der ersten Verbindung bereits belegt ist. Auf diese Weise kann der Server die beiden Verbindungen unterscheiden. Eine solche Kombination aus den vier Parametern der Verbindung wird auch Socket genannt.

351

Kapitel 7 Netzwerkgrundlagen Listing 7.1 Mehrere Verbindungen zu einem Zielport nutzen unterschiedliche Quellports.

>netstat Proto TCP TCP TCP TCP TCP TCP TCP

–n Lokale Adresse 192.168.0.99:49168 192.168.0.99:49169 192.168.0.99:49170 192.168.0.99:49171 192.168.0.99:49172 192.168.0.99:49173 192.168.0.99:49175

Remoteadresse 62.245.190.22:80 62.245.190.22:80 62.245.190.22:80 62.245.190.22:80 62.245.190.22:80 62.245.190.22:80 74.125.47.147:80

Status HERGESTELLT HERGESTELLT HERGESTELLT HERGESTELLT HERGESTELLT HERGESTELLT HERGESTELLT

Der Befehl netstat gibt eine Liste der aktiven Netzwerkverbindungen aus, das Argument –n sorgt dafür, dass die IP-Adressen und Portnummer nicht in Namen übersetzt werden. Die IP-Adresse 192.168.0.99 ist die lokale Adresse des Systems, die IP-Adresse 62.245.190.22 entspricht dem Webserver www.addison-wesley.de, die Adresse 74.125.47.147 gehört zu Google.

Namensfragen IP-Adressen sind für Computer sehr praktisch, weil diese gut mit Zahlen umgehen können. Für Menschen trifft dies nur bedingt zu. Menschen können besser mit Namen umgehen, zu denen sie eine gedankliche Verbindung aufbauen können. Aus diesem Grund wurde DNS (Domain Name System) entwickelt, ein System, um Namen zu IP-Adressen und umgekehrt zuordnen zu können. Im obigen Beispiel mit dem Befehl netstat haben wir extra angefordert, dass diese Übersetzung unterbleiben soll. Das System ist hierbei mehrstufig aufgebaut. Abbildung 7.6 Struktur des DNSNamensraum

. (root)

com

de

biz

pearson Q=A

addison-wesley Pedsmtpgw 62.245.190.19

352

Q=MX

Q=A

pedsmtpgw. pearson.de

www 62.245.190.22

Netzwerkprotokolle

An oberster Stelle steht die sogenannte rootzone (Wurzelzone), die als Namen sind Namen einen einzelnen Punkt besitzt und von einer Ansammlung von 13 Schall und Rauch sogenannten Rootservern vorgehalten wird, die unter der Verwaltung einer Organisation mit Namen ICANN (Internet Corporation for assigned Names und Numbers – Internet-Vereinigung für zugewiesene Namen und Nummern) stehen. Diese Vereinigung entscheidet über die Zulassung der Domänen der obersten Ebene (TLD – Top Level Domain), hier gibt es die klassischen generischen TLD (gTLD) wie beispielsweise com für kommerzielle Angebote, länderspezifische TLD (ccTLD, country code TLD) wie etwa de für Angebote aus Deutschland und eine ganze Reihe von neuen Domänen wie etwa biz für Business. Die einzelnen Namensbestandteile einer Adresse werden dabei durch Punkte voneinander abgetrennt. Eine Liste aller aktuell vorhandenen TLD kann unter der Adresse [TLD] abgefragt werden. Diese Liste reicht bei den ccTLD aktuell von ac für Ascension Island (eine Inselgruppe zwischen Afrika und Südamerika) bis zw für Zimbabwe (Simbabwe). Aktuell ist im Kreis der ICANN eine Diskussion im Gange, ob die ccTLD auch mit länderspezifischen Zeichen geschrieben werden können, etwa in einem kyrillischen oder ostasiatischen Zeichensatz. Möchte man zu einem DNS-Namen (im Beispiel www.addison-wesley.de) die IP-Adresse herausfinden, wird dieser Name von rechts nach links analysiert. Die erste Domäne, die dabei gefunden wird, ist de. Nun werden die Rootserver befragt, welcher Server für de zuständig ist. Dieser Server wird dann gefragt, wer für die Domäne addison-wesley innerhalb der Domäne de zuständig ist. Dies kann durchaus ein anderer Server sein, wenn man die Domäne addison-wesley innerhalb der Domäne com betrachtet.

7

Hat man nun erfahren, welcher Server für die Domäne addison-wesley.de zuständig ist, kann man diesen Server nach der gewünschten Information fragen. Hier kann man nun nach verschiedenen Informationen fragen, beispielsweise eine Abfrage nach der Adresse des Systems (querytype = A) mit dem Namen www innerhalb der Domäne, wenn man die Webseite der Domäne betrachten will. Möchte man hingegen an die Domäne eine E-Mail schicken, so wird man den Server nach dem zuständigen Mailaustauschsystem (querytype = MX. Mail Exchanger) befragen. In diesem Fall erhält man aber vom DNS keine IP-Adresse zurück, sondern nur die Information, dass dieses System den Namen pedsmtpgw.pearson.de trägt. Der Vorgang der Namensauflösung beginnt also mit dem neuen Namen von vorne. Damit der Vorgang der Namensauflösung möglichst rasch geschieht, werden die Informationen im DNS in den einzelnen Servern automatisch zwischengespeichert. Für jeden Eintrag existiert dabei eine Zeitspanne, wie lange dieser Eintrag im Zwischenspeicher vorgehalten werden soll. Dies hat andererseits auch zur Folge, dass Änderungen in den Einträgen des DNS eine gewisse Zeit benötigen, wie sie allgemein bekannt sind, da es keine Möglichkeit gibt, die zwischengespeicherten Einträge vorzeitig zu erneuern.

353

Kapitel 7 Netzwerkgrundlagen Listing 7.2 Beispiel für DNSAbfragen mit nslookup

>nslookup -q=ns de. Nicht autorisierte Antwort: de nameserver = a.nic.de ... de nameserver = z.nic.de >nslookup -q=ns addison-wesley.de z.nic.de addison-wesley.de nameserver = ns1.m-online.net addison-wesley.de nameserver = ns2.m-online.net >nslookup -q=a www.addison-wesley.de ns1.m-online.net Server: ns1.m-online.net Address: 212.18.0.8 Name: www.addison-wesley.de Address: 62.245.190.22

Im Beispiel in Listing 7.2 werden insgesamt drei DNS-Abfragen mit dem Programm nslookup.exe durchgeführt. Bei der ersten Abfrage (nslookup – q=ns de.) wird der Standard-Nameserver nach der Adresse (querytype = ns) des Nameservers für die TLD de. gefragt. Als Antwort kommt eine ganze Reihe von zuständigen Systemen zurück, aus der Antwort wählen wir einen Server aus. Die Antwort wird gekennzeichnet als Nicht autorisierte Antwort, weil wir einen DNS gefragt haben, der die Informationen nur anhand seiner zwischengespeicherten Ergebnisse gegeben hat. Dieser Zwischenspeicher ist aber nicht befugt, eine finale Antwort zu geben, dies könnten nur die Rootserver machen. Bei der zweiten Abfrage (nslookup – q=ns addison-wesley.de z.nic.de) wird nun einer der Server aus der ersten Antwort (hier z.nic.de) gefragt, wer ein Nameserver (querytype = ns) für die Domäne addison-wesley.de ist. Als Antwort erhält man nun zwei Servernamen, von denen man für die dritte Abfrage einen auswählt. In dieser dritten Abfrage (nslookup –q=a www.addison-wesley.de ns1.m-online.net) wird nun tatsächlich nach der Adresse für den Servernamen www.addisonwesley.de gefragt. Was bei der ganzen Betrachtung unterschlagen wurde, ist noch eine ganze Reihe weiterer DNS-Abfragen, ohne welche die hier dargestellten Abfragen nicht funktionieren würden. Beispielsweise muss ja für die zweite Abfrage zunächst mal die Adresse z.nic.de in eine IP-Adresse gewandelt werden. Aus diesem Beispiel mag man ersehen, dass ein störungsfreies Funktionieren der DNS-Abfragen eine wesentliche Grundvoraussetzung für das Funktionieren der Netzwerkfunktionalitäten ist. Üblicherweise werden einem System zwei oder mehr DNS genannt, an die es seine Anfragen zur Namensauflösung schicken kann. Hierbei sollte aber darauf geachtet werden, dass beide DNS über den gleichen Datenbestand verfügen. Der zweite DNS wird nur dann angefragt, wenn der erste DNS keine Antwort liefert. Liefert er eine negative Antwort (diese Anfrage ergibt kein Resultat), wird Windows nie den zweiten DNS fragen. Es bringt also nichts, einem System zwei DNS zu benennen, wobei der

354

Netzwerkprotokolle

erste für die Adressen im Internet und der zweite für die Adressen im Intranet zuständig sein soll.

Besondere IP-Adressen und automatische Adresszuweisung Es gibt eine Reihe von IP-Adressen mit besonderer Bedeutung. Diese werden speziell behandelt und sind zum Beispiel nicht für die Verwendung im Internet nutzbar: 왘 10.x.y.zEin privates Netzwerk. Diese IP-Adressen werden von einem Router weder als Sender noch als Empfängeradresse verwendet. Sie dienen dazu, ein lokales, abgeschlossenes Netzwerk mit IP-Adressen zu versehen. Die Standardsubnetzmaske in diesem Netz ist 255.0.0.0. 왘 172.16.x.y – 172.31.x.y – Ein privates Netzwerk. Die Standardsubnetzmaske in diesem Netz ist 255.255.0.0. 왘 192.168.x.y – Ein privates Netzwerk. Die Standardsubnetzmaske in diesem Netz ist 255.255.255.0. 왘 0.0.0.0 – Bezeichnet eine nicht zugewiesene IP-Adresse, die beispielsweise nicht konfiguriert wurde. 왘 127.0.0.1 – Diese Adresse kennzeichnet das System selbst (localhost). 왘 255.255.255.255 – Diese Adresse ist die generelle Rundsende-Adresse. Pakete, die an diese Adresse gesendet werden, können prinzipiell von jedem System im jeweiligen Netzsegment gelesen werden. 왘 168.254.x.y – Sobald ein System seine IP-Adresse von einem DHCP-Server beziehen sollte, dieser Prozess aber nicht zum Erfolg führt, wird dem System eine Adresse aus dem Bereich zugewiesen. Dieser Prozess wird auch als APIPA (Automatic Private IP Addressing) bezeichnet.

7

In vielen Fällen möchte man nicht jedes System im Netzwerk manuell mit einer IP-Adresse konfigurieren. Hierfür wurde ein automatisches Verfahren mit Namen DHCP (Dynamic Host Configuration Protocol) entwickelt, das diese Adressvergabe automatisch durchführt. Hierfür wird auf einem DHCP-Server ein Pool von IP-Adressen angelegt (DHCP-Scope), die zur Verteilung zur Verfügung stehen. Ein als DHCP-Client konfiguriertes System fragt per Rundsendung in das Netz, ob es dort einen DHCP-Server gibt, der ihm eine Adresse zuteilen möchte. Der DHCP-Server erkennt diese Rundsendungen und teilt dem DHCP-Client eine Adresse aus seinem Pool zu. Man spricht davon, dass der Client ein Lease erhalten hat. >ipconfig /all Windows-IP-Konfiguration Hostname . . . . . . Primäres DNS-Suffix . Knotentyp . . . . . . IP-Routing aktiviert WINS-Proxy aktiviert DNS-Suffixsuchliste .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

: : : : : :

win7lap

Listing 7.3 Überprüfung der IP-Adressen mittels ipconfig

Hybrid Nein Nein rid

Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:

355

Kapitel 7 Netzwerkgrundlagen Verbindungsspezifisches DNS-Suffix: rid Beschreibung. . . . . . . . . . . : Atheros AR5007EG Wireless Network Adapter Physikalische Adresse . . . . . . : 00-24-D2-2C-88-1F DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : 192.168.0.99(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Lease erhalten. . . . . . . . . . : Mittwoch, 4. November 2009 08:13:18 Lease läuft ab. . . . . . . . . . : Donnerstag, 5. November 2009 08:13:18 Standardgateway . . . . . . . . . : 192.168.0.254 DHCP-Server . . . . . . . . . . . : 192.168.0.254 DNS-Server . . . . . . . . . . . : 192.168.0.254 NetBIOS über TCP/IP . . . . . . . : Aktiviert Verwaltung automatisch

Zusammen mit dieser Adresszuweisung kann dem Client auch noch eine ganze Reihe von Verwaltungsinformationen mit übertragen werden, sodass an der Netzwerkkonfiguration des Clients keinerlei manuelle Eingaben mehr erforderlich sind, auch wenn der Client plötzlich an einen anderen Netzwerkstandort wechselt. Der DHCP-Server kontrolliert, wie lange ein Client seine IP-Adresse behalten darf; diese Zeitspanne wird auch als Leasedauer bezeichnet. Im obigen Beispiel in Listing 7.3 beträgt diese Zeitspanne genau einen Tag. Noch vor Ablauf dieser Zeitspanne muss sich der Client an den Server wenden, der die Adresse ursprünglich zugeteilt hatte (hier 192.168.0.254), und versuchen, eine Verlängerung der Zeitspanne zu erreichen. Einige Dienste laufen nur im TCP, andere nur mit UDP, und manche verwenden beide Protokolle. Einen Einblick in die möglichen Dienste bekommt man mit der Datei %windor%\system32\drivers\etc\services, in der die Zuordnung zwischen Dienstname, verwendetem Protokoll und Portnummer einsehbar ist. An gleicher Stelle findet sich auch die Datei protocol, in der man erkennen kann, welche Transferprotokolle es außer TCP und UDP noch gibt.

Netzwerkmultiplikatoren In den meisten Fällen bekommt man bei der Verbindung mit seinem Provider genau eine öffentliche IP-Adresse zugewiesen, möchte aber mehr als ein System in seinem lokalen Netzwerk betreiben. Für diesen Anwendungsfall wurde das Prinzip NAT (Network Address Translation) entwickelt. Hier nimmt ein sogenannter NAT-Router die IP-Pakete mit einer netzinternen Adresse (typischerweise aus dem Bereich 192.168.x.y) entgegen und gibt diese nach außen mit seiner öffentlichen IP-Adresse weiter. Kommt dann eine Rückantwort von außen zurück so tauscht er wieder die ursprüngliche Zieladresse gegen die interne IP-Adresse des ursprünglichen Clients aus.

356

Netzwerkprotokolle

Möchte man auf einem System im inneren Netzwerk einen Dienst nach außen anbieten, so muss man dies dem NAT-Router separat konfigurieren, damit er weiß, welche Verbindungen zu welchem Port er zu welchem System im inneren Netz weiterleiten soll. Dies hat andererseits aber auch zur Folge, dass so ein NAT-Router einen gewissen Schutz für die internen Systeme darstellt, da es nicht möglich ist, von außen direkt Kontakt mit den internen Systemen aufzunehmen.

Ein Netzwerk ohne Betriebssystem Man kann ein Netzwerk auch dazu verwenden, um einen Computer neu zu installieren. Das Verfahren beruht darauf, dass auf dem Computer (im BIOS oder auf dem Netzwerkadapter) ein Modul beim Start des Systems versucht, einen Server zu finden, von dem es ein Installationsimage erhalten kann. Abbildung 7.7 Rechnerstart ohne Betriebssystem

In Abbildung 7.7 sieht man einen Rechner, auf dessen Datenträger sich kein Betriebssystem befindet. In diesem Falle versucht das BIOS, einen Systemstart über PXE (Preboot Execution Environment – Laufzeitumgebung für den Systemstart) durchzuführen. Hierbei wird zunächst per DHCP eine IP-Adresse gesucht. Der DHCP-Server muss bei der Zuteilung der IP-Adresse zugleich auch dem Client mitteilen, welche PXE-Server zur Verfügung stehen. Von diesem Server wird dann per TFTP (Trivial FTP – Einfaches Protokoll zur Transfer von Dateien) ein Startprogramm bezogen. Je nach Konfiguration wird dem Client vom TFTP-Server entweder ein komplettes Abbild zum direkten Ausführen aus dem RAM übertragen oder zunächst ein Abbild zur Installation des Betriebssystems auf einem lokalen Datenträger. Auf diese Weise kann in einer Firmenumgebung die Installation eines neuen Systems direkt am Arbeitsplatz ohne manuellen Eingriff eines Administrators erfolgen. Die hier angerissene Methode wird ausführlich in Kapitel 4 besprochen.

7.3.3

7

Das IP-Protokoll – Version 6

Schon recht früh begann sich abzuzeichnen, dass der Adressraum des Protokolls IPv4 irgendwann erschöpft sein würde. Deshalb begann man im Jahr 1995 mit Überlegungen zu einem Nachfolgeprotokoll, das diese Probleme des kleinen Adressraums nicht mehr haben sollte. In 1998 wurde im RFC 2460 die Konzeption des Nachfolgers IPv6 vorgestellt. In die Entwicklung des Protokolls flossen auch viele Erfahrungen ein, die man mit IPv4 erst im Laufe seiner Anwendung gesammelt hatte.

357

Kapitel 7 Netzwerkgrundlagen

Aufbau der IPv6-Adresse Viel hilft viel

Basis des Protokolls ist die Erweiterung der IP-Adresse von 32 auf 128 Bits, was zu einer Gesamtzahl von etwa 3,4 * 1038 IP-Adressen führt. Um sich diese Zahl vorzustellen, mag folgende Rechnung dienen. Die Erdoberfläche beträgt etwa 510*106 km2, das sind 5,1*1020 mm2. Möchte man nun jeden Quadratmillimeter der Erdoberfläche gleichmäßig mit IP-Adressen belegen, so bleiben pro mm2 immer noch 6,6 * 1017 IP-Adressen übrig, also gut 600 Billiarden. Das sollte also zunächst für das weitere Wachstum des Internets ausreichend sein. Während bei IPv4 die Adressen in Form von vier dezimalen Zahlen notiert werden, hat man für IPv6 ein Format mit acht Adressblöcken aus jeweils vier hexadezimalen Ziffern (0123456789abcedf) gewählt, die durch einen Doppelpunkt voneinander angetrennt werden. Stehen in einem dieser 4erBlöcke vorne eine oder mehrere Nullen, können diese auch weggelassen werden. Kommen in einem oder mehreren dieser 4er-Blöcke hintereinander nur Nullen vor, können diese Blöcke komplett gestrichen und durch zwei aufeinanderfolgende Doppelpunkte dargestellt werden. Eine mehrfache Verwendung dieser Verkürzung ist nicht möglich. Standardmäßig sind jedem Adapter gleich mehrere IPv6-Adressen zugeordnet, eine davon ist die LinkLocal-Adresse. Dies ist eine Adresse zur Verwendung im lokalen Netzwerk, wobei die tatsächlich verwendete Adresse unter anderem von der Hardware-Adresse des Netzwerkadapters abhängt (MAC-Adresse). Diese Adressen werden im Bereich der Autokonfiguration verwendet, ähnlich wie die APIPA-Adressen bei IPv4. Bedingt durch die konzeptionelle Ähnlichkeit von IPv4 und IPv6 ergeben sich in der Anwendung von IPv6 viele Ähnlichkeiten mit bereits bekannten Verfahren und Einstellungen. Die großen Änderungen liegen eher im Bereich des Netzwerkaufbaus und seiner Strukturierung. Eine genaue Einführung in dieses Thema bietet das Buch Understanding IPv6, Second Edition von Joseph Davies, Microsoft Press, ISBN-10: 0735624461, oder die Website [IPV6].

Koexistenz Das größte Problem bei IPv6 besteht in seiner Einführung in ein bestehendes Netzwerk auf Basis von IPv4. Zum einen müssen alle Anwendungen auf die Verwendung der neuen, größeren IP-Adressen vorgesehen werden, zum anderen müssen die aktiven Netzwerkkomponenten für den Betrieb mit IPv6 vorbereitet sein. In den wenigsten Fällen wird man von seinem Provider auch eine IPv6-Adresse bekommen. Hier zeigt sich ein klassisches Henne-Ei-Problem: Die Provider bieten kein IPv6 an, weil die Kunden kein IPv6 anfordern, die Kunden fordern kein IPv6 an, weil es keine per IPv6 erreichbaren Dienste gibt, es werden keine Dienste per IPv6 angeboten, weil die Kunden kein IPv6 nutzen können.

358

Netzwerkanwendungen – Server und Client

Um den Flaschenhals IPv6-Provider zu umgehen, gibt es eine ganze Reihe von Verfahren, mit denen IPv6-Pakete über bestehende IPv4-Verbindungen übertragen werden (Tunnel-Protokolle). Auf diese Weise kann man in seinem lokalen Netzwerk schon IPv6 verwenden und trotzdem auch Kontakt mit bereits auf IPv6 basierenden Diensten (http://ipv6.google.com oder http:// www.six.heise.de) aufnehmen. Im folgenden Kapitel 8 wird der Aufbau eines IPv6-Tunnels detailliert besprochen.

7.4

Netzwerkanwendungen – Server und Client

Bei der Datenkommunikation unterscheidet man zum einen nach der Richtung des Datentransfers (Sender und Empfänger) und zum anderen danach, wer die Kommunikation initial angestoßen hat, hier unterscheidet man zwischen Client und Server. Der Client ist immer das System, das den Datenverkehr initial startet, der Server ist der, der diese erste Nachricht des Clients entgegennimmt und danach eine Rückantwort sendet. In der Folge werden die Rollen von Sender und Empfänger immer abwechselnd eingenommen.

7.4.1

Web – Internetinformationsdienste (IIS) und IE

Das WWW (World Wide Web) ist für die meisten Nutzer eigentlich iden- Das Internet ist tisch mit dem Internet, obwohl dieses noch einige weitere Dienste bietet. mehr als bloß Der Client für das WWW ist der Browser, bislang bedeutet dies eigentlich das Web immer Internet Explorer. Bei Windows 7 hat sich allerdings im Bereich der EU die Justiz in diesen Bereich eingemischt. Nach einer Beschwerde eines anderen Browserherstellers sah es zeitweise sogar so aus, als ob Windows 7 von Microsoft völlig ohne Browser ausgeliefert werden müsste. Die aktuelle Lage im Streitfall sieht so aus, dass Windows 7 zwar mit dem Internet Explorer ausgeliefert wird, beim ersten Start durch den Benutzer dieser aber eine Auswahlseite zu sehen bekommt, über die er auch andere Browser installieren kann. Windows 7 kann jedoch nicht nur als Client im WWW agieren, es gibt auch einen Webserver IIS (Internet Information Services), den man installieren kann. Rufen Sie hierzu Systemsteuerung/Programme/Programme und Funktionen/Windows-Funktionen aktivieren oder deaktivieren auf. Per Klick auf das Kontrollkästchen Internetinformationsdienste wird eine Auswahl der dazu gehörigen Unterkomponenten angeboten. Diese Komponente ist in allen Editionen von Windows 7 verfügbar.

359

7

Kapitel 7 Netzwerkgrundlagen Abbildung 7.8 IIS-Komponenten

Insbesondere werden zunächst nur statische Seiten unterstützt, die Verwendung von dynamischen Seiten mit ASP (Active Server Pages) wird aus Sicherheitsgründen standardmäßig nicht aktiviert. Vom Funktionsumfang unterscheidet sich IIS 7.5 in Windows 7 nicht von der Version, die mit Windows Server 2008 ausgeliefert wird. Insbesondere ist es nun, im Gegensatz zu IIS unter Windows XP, auch möglich, mehr als einen Webserver auf einem System zu betreiben. Unter Windows Vista war die Anzahl gleichzeitig zu verarbeitender Clientanfragen begrenzt. Zusätzliche wurden in eine Warteschlange eingereiht, was somit faktisch die Leistung von IIS limitierte. Informationen, ob derartige Drosselungen auch unter Windows 7 existierten, stehen derzeit noch nicht zur Verfügung. IIS 7.5 unter Windows 7 ist nicht dafür gedacht, als Ersatz für einen produktiven Webserver zu dienen. Der Einsatzzweck dürfte eher ein Entwicklungs- und Testsystem für Entwickler und Webdesigner sein.

7.4.2

Fernarbeit – Telnet, Remotedesktop und Remoteunterstützung

Die Idee, an seinem Schreibtisch zu sitzen und mit einem Computer zu arbeiten, ist ja nicht neu. Das gab es eigentlich schon, seit es Computer überhaupt gibt. In der Anfangszeit nutzte man Terminals, die über eine serielle Leitung mit dem Computer verbunden waren. Mit der Einführung von Computernetzwerken wurde damit als einer der ersten Dienste ein netzwerkfähiges Terminal eingeführt, für das sich der Name Telnet durchgesetzt hat. In den bisherigen Versionen von Windows waren sowohl ein Programm für die Verwendung über eine serielle Leitung (Hyper Terminal) als auch

360

Netzwerkanwendungen – Server und Client

für die Verbindung über das Netzwerk (telnet.exe) mitinstalliert worden. Die Unterstützung für Hyper Terminal wurde mit Windows Vista komplett eingestellt, der Telnet-Client muss über die Windows-Funktionen separat installiert werden. Während die Telnet-Server-Funktion (also anderen Benutzern erlauben, sich über das Netzwerk anzumelden und Kommandos auf dem lokalen System auszuführen) früher nur für die Server-Editionen von Windows angeboten wurde, ist diese Funktionalität auch für Windows 7 verfügbar. Die Installation erfolgt über die Auswahl der Windows-Komponenten in der Systemsteuerung. Abbildung 7.9 Der Telnet-Server ist zwar installiert, aber noch nicht aktiviert.

7 Nachdem der Telnet-Server installiert ist, muss der Dienst noch manuell aktiviert werden. Zudem wird auf dem System eine lokale Gruppe TelnetClients eingerichtet. Nur Benutzer, die Mitglied dieser Gruppe sind, erhalten das Recht, sich über Telnet an diesem Rechner anzumelden, dies gilt auch für Administratoren. Eine Regel für den Zugriff auf den Server wird automatisch in die Firewall eingetragen. >telnet.exe win7lap *=============================================================== Microsoft Telnet Server. *=============================================================== C:\Users\user1.win7lap>set c CommonProgramFiles=C:\Program Files\Common Files COMPUTERNAME=WIN7LAP ComSpec=C:\Windows\system32\cmd.exe

Listing 7.4 Verbindungsaufbau mittels telnet.exe

C:\Users\user1.win7lap>dir /w Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8895-41F4 Verzeichnis von C:\Users\user1.win7lap

361

Kapitel 7 Netzwerkgrundlagen [.] [..] [Contacts] [Desktop] [Documents] [Downloads] [Favorites] [Links] [Music] [Pictures] [Saved Games] [Searches] [Videos] 0 Datei(en), 0 Bytes 13 Verzeichnis(se), 52.887.928.832 Bytes frei C:\Users\user1.win7lap>exit Verbindung zu Host verloren. Multiuser für geringe Ansprüche Listing 7.5 Multiuser nur eingeschränkt

Es ist allerdings nicht möglich, mehr als zwei Verbindungen zu einem Telnet-Server unter Windows 7 aufzubauen. Zudem kann man zwar auch grafische Programme starten, diese werden aber nicht auf der Oberfläche angezeigt. C:\Dokumente und Einstellungen\jochenr>telnet.exe win7lap Welcome to Microsoft Telnet Service login: user1 password: Neue Verbindung aufgrund von Beschränkung der Anzahl der Verbindungen verweigert . Verbindung zu Host verloren.

Deutlich mehr Möglichkeiten bieten die unter dem Oberbegriff Remotedesktop eingeführten Dienste. Hierbei besteht die Möglichkeit, die komplette Oberfläche des Systems inklusive grafischer Ausgabe und Mausbedienung auf einem anderen System zu übertragen. Bei Windows 7 gibt es diese Dienste in zwei Ausführungen: 왘 Remoteunterstützung – Bei der Remoteunterstützung fordert der Benutzer, der gerade vor dem Computer sitzt, die Unterstützung zum Beispiel eines Supportmitarbeiters an. Hierbei können beide Benutzer den Bildschirm des Anfordernden sehen und sich über eine Chat-Funktionalität auch austauschen. Auf Wunsch kann der Support-Mitarbeiter auch Aktionen auf dem fremden System durchführen. 왘 Remotedesktop – Beim Remotedesktop wird während der Verbindung mit dem Remotedesktopclient der Bildschirm der ursprünglichen Systems abgeschaltet, der Benutzer, der vor dem System sitzt, kann also nicht sehen, was über die Netzverbindung tatsächlich ausgeführt wird. Diese Beschränkung ist allerdings rein lizenztechnischer Natur, bei gleicher Technik können auf einem Windows (Terminal) Server auch viele Benutzer gleichzeitig arbeiten. Meldet man sich über das Netzwerk mit dem Benutzer an, der aktuell lokal angemeldet ist, erhält man seinen Bildschirm mit allen laufenden Applikationen angezeigt. Meldet man sich mit einem anderen Benutzer an, wird dessen Sitzung (nach Nachfrage) gesperrt. Standardmäßig können sich nur Administratoren per Remotedesktop anmelden, weiteren Benutzern kann diese Möglichkeit durch Aufnahme in die lokale Gruppe Remotedesktopbenutzer erlaubt werden.

362

Netzwerkanwendungen – Server und Client

Gesteuert werden beide Möglichkeiten über den Link Remoteeinstellungen in den Systemeigenschaften des Computers. In Kapitel 8 wird dieses Thema ausführlicher behandelt. Eine weitere Möglichkeit zur Zusammenarbeit bietet das Programm SharedView, dieses wird in Kapitel 16 vorgestellt. Abbildung 7.10 Steuerung des Remotezugriffs

7.4.3

Datei- und Druckerfreigabe – SMB, CIFS und NFS

7

Für den Zugriff auf Dateien eines fremden Systems haben sich zwei unterschiedliche Verfahren am Markt durchgesetzt, das aus dem Unix-Bereich bekannte NFS (Network File System) und die Datei- und Druckfreigabe unter Windows, die unter den Bezeichnungen SMB (Server Message Block) und CIFS (Common Internet File System) bekannt wurde. SMB wurde dabei erstmals von den Produkten LAN Manager (Microsoft) und LAN Server (IBM) unter OS/2 1.x verwendet. Auf Clientseite wurde es mit Windows für Workgroups erstmals auch für einen Betrieb ohne dezidierte Serversysteme eingeführt. Während die Datei- und Druckfreigabe Bestandteil von Windows 7 ist, muss man die Unterstützung für den Zugriff auf NFS-Server zunächst als zusätzliche Windows-Komponente installieren. Hat man die Komponente Client für NFS installiert, steht der Befehl mount.exe zur Verfügung, mit dem man eine Verbindung zu einem freigegebenen Mountpoint eines NFS-Servers herstellen kann. >mount -u:jochen -p:XXXX \\192.168.0.97\home * Z: ist jetzt erfolgreich mit "\\192.168.0.97\home" verbunden. Der Befehl wurde erfolgreich ausgeführt.

Listing 7.6 Herstellen einer Verbindung zu einer NFS-Freigabe

>dir z: Volume in Laufwerk Z: hat keine Bezeichnung.

363

Kapitel 7 Netzwerkgrundlagen Volumeseriennummer: CE24-632E Verzeichnis von Z:\ 28.08.2008 12.08.2009 28.08.2008 28.08.2008

Wer bin ich, wer will ich sein?

20:11

. 21:22

jochen 19:52

lost+found 20:11

.. 0 Datei(en), 28.672 Bytes 4 Verzeichnis(se), 1.939.226.624 Bytes frei

Versucht man nun auf Dateien auf die Freigabe zuzugreifen, wird man schnell feststellen, dass man nicht die Berechtigungen auf dem System hat, die man eigentlich nach dem gewählten Benutzernamen erwarten würde. Dies liegt daran, dass die NFS-Server intern nicht mit Benutzernamen arbeiten, sondern mit Benutzernummern. Da Windows 7 nicht feststellen kann, welche Benutzernummer zu einem bestimmten Benutzer gehört, wird eine sogenannte anonyme Benutzernummer verwendet. Diese kann man sich auch über den Befehl mount.exe anzeigen lassen.

Listing 7.7 Optionen einer NFS-Verbindung

>mount

Mein Name ist Nobody

Interessant sind hierbei die Angaben UID=–2 und GID=–2. Diese weisen den verbundenen NFS-Server an, die Verbindung mit sehr geringen Zugriffsrechten (der Benutzer nobody) auszustatten. Um dieses Problem zu umgehen, gibt es zwei Möglichkeiten: 1. In der Registry im Schlüssel HKLM\SOFTWARE\Microsoft\ ClientforNFS\CurrentVersion\Default die beiden DWORD-Werte AnonymousUID und AnonymousGID anlegen und mit den gewünschten Werten versehen. Dann erhalten allerdings alle Benutzer, die auf diesem System den NFS-Client verwenden, bei ihren Verbindungen die Berechtigungen dieses Benutzers. 2. Sie können den NFS-Client so konfigurieren, dass er für die Zuordnung von Benutzernamen unter Windows und Benutzernummer auf dem NFS-Server Active Directory oder einen anderen Verzeichnisdienst wie beispielsweise NIS befragt.

Lokal Remote Eigenschaften ------------------------------------------------------------------Z: \\192.168.0.97\home UID=-2, GID=-2 rsize=32768, wsize=32768 mount=soft, timeout=0.8 retry=1, locking=yes fileaccess=755, lang=ANSI casesensitive=no s=sys

Die Einbindung von Windows 7 an NFS-Server kann sicherlich noch nicht als optimal bezeichnet werden. Hier ist der umgekehrte Weg, auf dem Unix-artigen System einen Dienst für Datei- und Druckerfreigabe zu betreiben (Samba), der komfortablere Weg.

364

8

Erweiterte Netzwerkfunktionen

Während im vorigen Kapitel ein eher genereller Überblick gegeben und einige Spezialthemen kurz angerissen wurden, werde ich hier die Netzwerkfunktionen in Windows 7 tiefgehender behandeln.

8.1

Netzwerkeinstellungen

Die zentrale Anlaufstelle für die Netzwerkeinstellungen bei Windows 7 ist das Netzwerk- und Freigabecenter. Sie erreichen es unter Systemsteuerung/Netzwerk und Internet/Netzwerk- und Freigabecenter. Abbildung 8.1 Netzwerk- und Freigabecenter

365

Kapitel 8 Erweiterte Netzwerkfunktionen Der zentrale Dreh- und Angelpunkt

Der tatsächliche Anblick des Fensters kann variieren, je nach Anzahl der vorhandenen Netzwerkschnittstellen. Im oberen Teil sehen Sie eine schematische Darstellung des gesamten Netzwerkes, darunter eine Auflistung aller auf dem System erkannten Netzwerke, wobei zu jedem Netzwerk auch mehr als ein Netzwerkadapter gehören kann. Zu jedem dieser Netzwerke wird eine ganze Reihe von Daten angezeigt: 왘 Name des Netzwerkes – Dient zur Identifikation 왘 Art des Netzwerkes (Netzwerkprofil) – Möglich sind hier die Optionen Heimnetzwerk, Arbeitsplatznetzwerk, Domänennetzwerk und Öffentliches Netzwerk 왘 Zugriffstyp – Gibt an, ob hier Verbindung mit dem Internet hergestellt werden kann oder nicht 왘 Verbindungen – Gibt an, über welche Netzwerkadapter die Verbindung hergestellt wird

8.1.1

Status eines Netzwerkadapters

Der Name des Netzwerkadapters am rechten Rand ist anklickbar, es erscheint ein Statusfenster für den Adapter. Das gleiche Fenster erhält man, wenn man im Netzwerkcenter links in der Leiste auf Adaptereinstellungen ändern klickt und dann den gewünschten Adapter doppelt anklickt. Abbildung 8.2 Status eines Netzwerkadapters

Adapterstatus

366

Getrennt für die Protokolle IPv4 und IPv6 wird angegeben, ob der Adapter eine Verbindung zum Internet herstellen kann oder nicht. Der Medienstatus beschreibt (beispielsweise bei einem Ethernetadapter), ob das Netzwerkkabel eingesteckt ist. Ist es nicht angeschlossen, so kann die Statusanzeige nicht angezeigt werden, wird das Kabel entfernt, während der Dialog geöffnet ist, wird dieser automatisch geschlossen. Die Übertragungsrate gibt die nominale Geschwindigkeit der Karte an. Dieser Wert hat jedoch nichts mit der tatsächlich erreichten Übertragungsgeschwindigkeit zu tun. Bei einem WLAN-Adapter wird an dieser Stelle zusätzlich auch noch die Qualität des Funksignals angezeigt. Die Angabe zur Aktivität im unteren Teil wird je nach Adapter in Bytes oder Paketen angegeben, dies hängt nicht von Win-

Netzwerkeinstellungen

dows 7, sondern vom verwendeten Netzwerktreiber ab. Genauere Informationen erhält man durch die Schaltfläche Details. Die angezeigten Informationen beziehen sich im Wesentlichen auf die Konfiguration für IPv4 und IPv6. Für jedes Protokoll wird angegeben, welche IP-Adresse dem Adapter zugeteilt wurde, zusammen mit der entsprechenden Subnetzmaske. Sind einem Adapter mehrere IP-Adressen zugeordnet, so erscheinen auch mehrere Einträge untereinander. Ist die IP-Adresse per DHCP bezogen, so werden der jeweilige DHCP-Server und die Zeit, zu der die IP-Adresse bezogen wurde und zu der die Adresse abläuft, angegeben. Für die Namensauflösung werden die eventuell gesetzten DNS-Server (siehe Kapitel 8) und WINS-Server (Windows Internet Naming Service, ein Dienst zur Namensauflösung, der vorwiegend für Windows NT benötigt wurde) in heutigen Netzen eigentlich nicht mehr verwendet. Abbildung 8.3 Detailinformationen über einen Adapter

Mit der Schaltfläche Eigenschaften lassen sich die Eigenschaften der einzelnen Protokolle und Dienste ändern (siehe hierzu den Abschnitt 8.1.2 ab Seite 367). Mit der Schaltfläche Deaktivieren lässt sich ein Netzwerkadapter komplett ausschalten, dann sind keinerlei Datenübertragungen mehr möglich. Diese Funktion erreichen Sie auch über die Seite Adaptereinstellungen ändern mit der dortigen Funktion Netzwerkgerät deaktivieren.

8

Mit der Schaltfläche Diagnose versucht das System festzustellen, welche möglichen Probleme bei einem Netzwerkadapter aufgetreten sind, und gibt dann Hinweise auf Fehlerursachen, die man überprüfen möge.

8.1.2

Netzwerkadapter, Protokolle und Dienste

Im vorigen Kapitel haben Sie die theoretische Schichtung der einzelnen Kommunikationsebenen kennengelernt, hier können Sie diese jetzt in der Realität von Windows 7 sehen. Rufen Sie zunächst die Schaltfläche Eigenschaften im Status-Dialogfeld eines Netzwerkadapters auf. Im oberen Teil sehen Sie die physikalische Netzwerkkarte, über die Schaltflä- Netzwerk zum che Konfigurieren können Sie deren Eigenschaften festlegen. Diese Einstel- Anfassen lungen können Sie auch erreichen, wenn Sie im Geräte-Manager der Compu-

367

Kapitel 8 Erweiterte Netzwerkfunktionen

terverwaltung die dortigen Eigenschaften des Netzwerkadapters aufrufen. Zu den dort zugänglichen Informationen gehören beispielsweise Informationen über Hardware-Ressourcen oder wie der Adapter von der Energieverwaltung behandelt werden soll. Nähere Informationen hierzu finden Sie in Kapitel 2. In der Liste der Elemente sehen Sie anhand der Symbole vor der Beschreibung, um was für Elemente es sich handelt. Die T-förmigen Kabelabschnitte (in Abbildung 8.4 unten) kennzeichnen Protokolle, diejenigen mit dem Computersymbol auf einer Hand kennzeichnen Dienste und solche mit einem Computer am Kabel Klienten. Abbildung 8.4 Eigenschaften einer Netzwerkkarte

Sie können sich den Unterscheid zwischen Protokoll, Dienst und Klient ganz einfach merken: Ein Klient fragt über ein Protokoll einen Dienst an, und dieser sendet die Antwort über das gleiche Protokoll wieder zurück.

Protokolle Nur Protokolle, bei denen ein Haken im entsprechenden Kontrollkästchen gesetzt ist, können über diesen Adapter auch verwendet werden. Die beiden Einträge Interprotokoll Version 4 und Internetprotokoll Version 6 können hierbei über die Schaltfläche Eigenschaften auch konfiguriert werden (siehe den Abschnitt 8.2 ab Seite 374), dafür ist dort die Deinstallation nicht möglich. Die beiden Protokolle E/A-Treiber für Verbindungsschicht-Topologieerkennungszuordnung und Antwort für Verbindungsschicht-Topologieerkennung gehören logisch zusammen und bilden zusammen das Link Layer Topology Discovery Protocol (LLTP). Diese beiden Teilprotokolle werden von Windows Vista und Windows 7 verwendet, um Computer im lokalen Netzwerk zu finden und sie in einem Netzwerkdiagramm anordnen zu können. Sind diese beiden Protokolle nicht aktiviert, so wird der betreffende Computer nicht in der Netzwerkübersicht angezeigt beziehungsweise kann er selber diese Übersicht nicht aufbauen und anzeigen. Dies ist auch der Grund, warum Systeme mit Windows XP nicht in dieser Übersicht erscheinen, weil sie dieses Protokoll standardmäßig nicht unterstützen.

368

Netzwerkeinstellungen

Das LLTP-Protokoll lässt sich für Windows XP nachrüsten, siehe hierzu [LLTP].

Dienste Dienste stellen Informationen für andere Teilnehmer im Netzwerk zur Verfügung, hier sind zwei gelistet: 왘 Datei- und Druckfreigabe für Microsoft-Netzwerke – Nur wenn dieser Dienst aktiviert ist, kann das System seine Drucker oder Datenträger anderen Systemen zur Verfügung stellen. Ist dieser Dienst nicht aktiviert, so ist dies nicht möglich (siehe hierzu den Abschnitt 8.7 ab Seite 428). 왘 QoS-Paketplaner – Quality of Service beschreibt ein Verfahren, mit dem auf Anforderung einer Anwendung ein bestimmter Anteil der Bandbreite einer Verbindung für diese Anwendung reserviert werden kann. Diese Beschränkung der verfügbaren Bandbreite wird aber nur durchgeführt, wenn tatsächlich eine Anwendung diese Reservierung anfordert. Man gewinnt also keinerlei zusätzliche Bandbreite, wenn man den Dienst deaktiviert.

Klienten Als einziger Klient wird der Client für Microsoft-Netzwerke installiert. Nur Fremde Netze mit diesem ist es möglich, auf Ressourcen (freigegebene Datenträger und Drucker) von anderen Systemen zuzugreifen. Über die Schaltfläche Installieren kann man zusätzliche Protokolle, Dienste und Klienten hinzufügen, zum Beispiel einen Klienten für den Zugriff auf Server unter Novell NetWare. Hierzu muss dann der entsprechende Datenträger dem System verfügbar gemacht werden.

8.1.3

Unterschiedliche Netzwerkprofile und die Kopplung zwischen Protokollen und Diensten

8

Im Netzwerk- und Freigabecenter wird für jedes Netzwerk angezeigt, welches Profil (auch Netzwerkstandort) auf dieser Netzwerkkarte aktiviert ist. Die vier möglichen Profile sind: 왘 Heimnetzwerk – Der Computer steht in einem privaten Netzwerk, jeder kennt jeden und vertraut ihm. Als Zusatzfunktion können sie eine Heimnetzwerkgruppe bilden (siehe den Abschnitt 8.9 ab Seite 447). 왘 Arbeitsplatznetzwerk – Auch hier steht der Computer in einer vertrauten Umgebung, die Funktionalität Heimnetzgruppe ist allerdings nicht vorhanden. 왘 Domänennetzwerk – Das Netzwerk wird über die Einstellungen der Domänencontroller gesteuert, lokale Einstellungen sind nicht möglich. 왘 Öffentliches Netzwerk – Die Umgebung des Computers ist potenziell gefährlich, fremde Systeme können versuchen, das System über das Netzwerk anzugreifen.

369

Kapitel 8 Erweiterte Netzwerkfunktionen

Im Netzwerkcenter wird zu jedem Adapter angezeigt, zu welchem Netzwerkprofil Windows den Adapter zuordnet, durch Klick auf die Bezeichnung des Adapters erhält man die Möglichkeit, das Profil selber auszuwählen. Abbildung 8.5 Netzwerkprofil manuell auswählen

Nicht jedes Profil kann man frei wählen

Die Einstellung Domänennetzwerk kann man nicht manuell auswählen, diese wird automatisch gewählt, sobald der Computer über dieses Netzwerk Kontakt mit seinem Domänencontroller aufnehmen kann. Die Erklärungen zu den einzelnen Auswahlpunkten erläutern die Auswirkungen der Einstellung nochmals. Um festzustellen, in welchem Netzwerk sich das System aufhält, verwendet Windows eine Funktion mit Namen Netzwerkerkennung (Network Location Awareness, NLA), diese bestimmt verschiedene Parameter und entscheidet danach, ob das aktuelle Netzwerk ein bereits bekanntes ist oder ein neues.

Der Netzwerktyp lässt sich nicht einstellen Bisweilen kommt es vor, dass sich der Netzwerktyp nicht einstellen lässt und fest auf Öffentliches Netzwerk bleibt. Dies ist insofern schlecht, als dass somit die Firewall auf dem maximalen Schutz steht und die Nutzbarkeit des Adapters im lokalen Netzwerk stark eingeschränkt ist. Abbildung 8.6 Unbekanntes Netzwerk, keine Änderung des Typs möglich

Starten Sie in diesem Fall den Editor für die lokale Sicherheitsrichtlinie (secpol.msc), und navigieren Sie zum Knoten Sicherheitseinstellungen/Netz-

370

Netzwerkeinstellungen

werklisten-Manager-Richtlinien. Dort auf dem Knoten die rechte Maustaste klicken und Alle Netzwerke anzeigen auswählen. Abbildung 8.7 Richtlinien für den Netzwerkmanager

Im rechten Teil des Fensters sehen Sie dann alle aktuell bekannten Netzwerke, das erste in der Liste ist das Netzwerk, das aktuell im Netzwerkcenter angezeigt wird. Durch einen Doppelklick auf den Netzwerknamen im rechten Feld lässt sich dann einstellen, was der Benutzer mit dem Netzwerk tun darf und ob dieses ein privates oder öffentliches Netzwerk ist. Abbildung 8.8 Typ des Netzwerks einstellen

8

Die Erkennung des Netzwerkes arbeitet dabei im Wesentlichen mit zwei Daten: dem DNS-Suffix der IP-Adresse des Netzwerks und der MACAdresse (Hardwareadresse) des zu diesem Adapter gehörigen Standardgateways. Dies erklärt auch, warum ein Netzwerk, in dem kein Gateway zugewiesen ist und das kein DNS-Suffix setzt, zunächst nicht erkannt wird. Bei derartig erkannten Netzwerken können in der Richtlinie auch der Name und das angezeigte Bild konfiguriert werden.

371

Kapitel 8 Erweiterte Netzwerkfunktionen

Diese Netzwerke merkt sich Windows 7 alle, und für jedes kann beziehungsweise muss der Benutzer einstellen, ob es sich dabei um ein privates oder ein öffentliches Netzwerk handelt. Allerdings ist die Anzahl der privaten Netzwerke, mit denen man sich verbindet, doch eher begrenzt. Deshalb kann man in Abbildung 8.5 auch das Kontrollkästchen Zukünftige Netzwerke als öffentliche Netzwerke behandeln markieren und wird nicht weiter mit Nachfragen gestört. Klickt man im Netzwerk- und Freigabecenter doppelt auf das Bild neben einem der Netzwerknamen, so erhält man (sofern man die Berechtigungen dazu hat) die Möglichkeit, den angezeigten Namen und das Bild zu ändern. Über die Schaltfläche Ändern kann man unter einer Reihe von Bildern auswählen, auf Wunsch kann man auch eigene Bilder erstellen und diese dann über die Schaltfläche Durchsuchen aus einer Bilddatei oder einer Programmdatei laden. Insbesondere für Systeme, die oft zwischen unterschiedlichen Netzwerken wechseln, ist der Link Netzwerkadressen zusammenführen oder löschen interessant. Abbildung 8.9 Bild eines Netzwerks ändern

Ein Netzwerk wird als verwaltet bezeichnet, wenn es sich in einer Domäne befindet, wobei diese Zuordnung (wie man am Beispiel bei rid Netzwerk sehen kann) nicht immer stimmt. Das Netzwerk contoso.com erscheint in dieser Liste, weil das System früher Bestandteil dieser Domäne war. Die noch nicht erkannten Netzwerke werden in dieser Liste nicht aufgeführt. Die hier aufgeführten Netzwerke entsprechen in der Registry den Daten in den Schlüsseln Managed beziehungsweise Unmanaged unterhalb von HKLM\Software\Microsoft\Windows NT\CurrentVersion\ NetworkList\Signatures. Man kann Netzwerke, deren Daten man nicht mehr benötigt, über die Schaltfläche Löschen entfernen. Sobald mehrere Netzwerke markiert sind, können diese mit der entsprechenden Schaltfläche zusammengeführt werden.

372

Netzwerkeinstellungen Abbildung 8.10 Verwaltete und nicht verwaltete Netzwerke

Netzwerkprofile und ihre Auswirkungen auf Dienste Betätigt man im Netzwerk- und Freigabecenter im linken Aktionsbereich den Link Erweiterte Freigabeeinstellungen ändern, so gelangt man auf eine Seite, auf der man den Zusammenhang zwischen Netzwerkprofil und Netzwerkdiensten erkennen kann. In Abbildung 8.4 hatten Sie gesehen, dass es eine Bindung zwischen den Netzwerkdiensten (etwa Datei- und Druckfreigabe) und einzelnen Adaptern gibt. Hier nun lassen sich diese Bindungen getrennt für das jeweilige Netzwerkprofil einstellen, dies ist besonders dann wichtig, wenn ein Netzwerkadapter in unterschiedlichen Umgebungen verwendet wird (etwa WLAN im Firmennetz versus WLAN am Hotspot im Café an der Ecke). Abbildung 8.11 Bindungen und Netzwerkprofile

8

373

Kapitel 8 Erweiterte Netzwerkfunktionen

Zunächst muss man die Einstellungen des gewünschten Netzwerkstandortes erweitern, am Anfang ist immer der Standort erweitert, in dem sich der Computer aktuell befindet. Hier ist dies Privat oder Arbeitsplatz (siehe hierzu die Erklärung unter dem Netzwerknamen Nicht erkanntes Netzwerk in Abbildung 8.6). Für die folgenden Netzwerkdienste kann jetzt angegeben werden, ob diese bei diesem Netzwerkprofil aktiviert oder nicht aktiviert sein sollen: 왘 Netzwerkerkennung 왘 Datei- und Druckfreigabe 왘 Freigabe des öffentlichen Ordners 왘 Medienstreaming 왘 Dateifreigabeverbindungen 왘 Kennwortgeschütztes Freigeben 왘 Heimgruppenverbindungen Zu den einzelnen Diensten werden in dem Fenster entsprechende Hilfestellungen und Erklärungen angeboten.

8.2

TCP/IP-Einstellungen

Für jeden Adapter, für den eines der TCP/IP-Protokolle aktiviert ist, können über die Schaltfläche Eigenschaften in Abbildung 8.4 die Eigenschaften dieses Protokolls festgelegt werden. Die Einstellungen sind auf zwei Bereiche aufgeteilt, zunächst kann man die Basisdaten ändern, die weiteren Einstellungen sind jeweils über die Schaltfläche Erweitert verfügbar.

Abbildung 8.12: TCP/IP-Einstellungen in IPv4 und IPv6

Für die Bereiche IP-Adresse und DNS-Server muss jeweils getrennt entschieden werden, ob man die Informationen von einem DHCP-Server automatisch beziehen will oder ob man die Daten manuell eingeben möchte. In einer vollständig verwalteten Umgebung werden beide Daten von einem DHCP-

374

TCP/IP-Einstellungen

Server bereitgehalten, deshalb ist die Standardeinstellung auch jeweils ... automatisch beziehen. Es ist nicht möglich, die DNS-Adressen per DHCP zu beziehen und die IP-Adressen manuell einzustellen. Umgekehrt ist dies jedoch möglich. Sofern die Daten manuell eingestellt sind, ist das Kontrollkästchen Einstellungen beim Beenden überprüfen aktiv. Dies hat allerdings keine Auswirkung auf typische Fehlkonfigurationen wie unerreichbares Gateway oder falscher DNS-Server. Sobald bei IPv4 auf automatische Adresszuweisung eingestellt wurde, ist dort eine weitere Registerkarte Alternative Konfiguration erreichbar. Diese Informationen dienen zur Behandlung des Falls, dass der Computer keinen DHCP-Server findet, etwa weil er momentan in einem Netzwerk betrieben wird, in dem kein derartiger zur Verfügung steht. Abbildung 8.13 Alternative IPv4Konfiguration

8 Wahlweise kann entweder eine Adresse aus dem APIPA-Adressbereich Von der verwendet werden (169.254.x.y), oder es wird eine manuell eingetragene Entwicklung Adresse verwendet. Im Hilfetext zu dieser Funktion wird als Beispiel das überholt Netzwerk zu Hause angeführt, in dem nicht wie im Büro ein DHCP-Server zur Verfügung steht. Ein Beweis dafür, dass die technische Entwicklung auch im Bereich der häuslichen Technik nicht stehen geblieben ist, dort hat man heute fast immer einen DSL-Router, der auch die DHCPFunktion übernimmt.

8.2.1

Erweiterte TCP/IP-Einstellungen

Im Bereich der erweiterten TCP/IP-Einstellungen stehen weitere Registerkarten zur Verfügung, mit denen spezielle Aspekte des Protokolls eingestellt werden können.

375

Kapitel 8 Erweiterte Netzwerkfunktionen

Registerkarte IP-Einstellungen Ein Netzwerkadapter kann mehr als eine IP-Adresse besitzen, über die Schaltflächen Hinzufügen, Bearbeiten, und Entfernen lassen sich diese manipulieren. Mehrere IP-Adressen werden beispielsweise benötigt, wenn man unterschiedliche Serverdienste auf dem gleichen Port anbieten will. Eine andere Einsatzmöglichkeit besteht darin, in einem gemeinsamen physikalischen Netzwerk für bestimmte Systeme einen eigenen, von den anderen Systemen getrennten Adressraum zu schaffen, etwa für Testsysteme. Sofern die IP-Adressen per DHCP bezogen werden, können hier keine weiteren IPAdressen manuell hinzugefügt werden. Abbildung 8.14 Erweiterte TCP/IPEinstellungen

Mehr als ein Standard?

Im unteren Teil des Dialogfeldes kann mehr als ein Standardgateway angegeben werden. Hierbei sollte aber darauf geachtet werden, dass dies wirklich ein Gateway für alle möglichen Zieladressen ist. Der Versuch, getrennte Subnetze über getrennte Gateways zu adressieren, führt nur zu Chaos auf der Netzwerkebene. Sofern mehrere Gateways existieren, kann man über die Metrikwerte jedem Gateway eine spezielle Präferenz zuweisen, um den Datenverkehr zu kanalisieren.

Registerkarte DNS Auf der Registerkarte DNS lassen sich alle Einstellungen rund um DNS für die Namensauflösung einstellen. Während auf der Hauptseite der TCP/IPEinstellungen nur maximal zwei DNS angegeben werden konnten, sind hier über die Schaltflächen Hinzufügen, Bearbeiten und Entfernen auch mehr als zwei möglich. Mit den Schaltflächen (½) und (¼) am Rand kann die Reihenfolge der Abfrage verändert werden. Sofern man mehrere DNS verwendet, sollte derjenige, der am schnellsten reagiert, in der Liste ganz oben stehen.

376

TCP/IP-Einstellungen Abbildung 8.15 Registerkarte DNS

Hier kommt der Begriff des FQDN (Fully Qualified Domain Name – Vollständig qualifizierter Domänenname) ins Spiel. Ein solcher Name besteht aus dem Rechnernamen und der zugehörigen Domäne, bis hinauf zur TLD. Bei einem Rechner admin-pc, der in der Domänen contoso.com steht, ist der FQDN somit admin-pc.contoso.com. Sowohl der Rechnername als auch die Domänenangabe (auch primäres DNS-Suffix genannt) werden über die Eigenschaften des Computer-Eintrags im Startmenü ausgewählt. Wenn nun der Computer admin-pc die Adresse eines Rechners xyz herausfinden möchte, so muss er hierfür eine Abfrage an den DNS stellen. In dieser Abfrage muss er aber einen FQDN abfragen, braucht also eine Domäne, die er mit dem gesuchten Rechnernamen verbinden kann.

8

Zusätzlich zum primären DNS-Suffix (das über die Computereigenschaften gesetzt wird) kann man auch noch jedem Netzwerkadapter einzeln ein verbindungsspezifisches DNS-Suffix anheften. So kann beispielsweise die Hauptadresse des Systems admin-pc.conto.com lauten, während die Adresse für einen speziellen Netzwerkadapter durch die Verwendung eines verbindungsspezifischen DNS-Suffixes by.testumgebung-contoso.com nun adminpc.by.testumgebung-contoso.com lautet. Sofern gewünscht, muss man diese Suffixe in das entsprechende Eingabefeld eintragen. Mit der Option Primäre und verbindungsspezifische DNS-Suffixe anhängen kann nur erreichet werden, dass bei der Suche nach dem Rechner xyz zunächst versucht wird, das primäre DNS-Suffix anzuhängen (Suche nach xyz.contoso.com) und danach das verbindungsspezifische (Suche nach xyz.by.testumgebung-contoso.com). Ist zudem noch das Kontrollkästchen Übergeordnete Suffixe des primären DNSSuffixes anhängen gesetzt, würde zusätzlich auch noch nach der Adresse xyz.com gesucht (weil com das übergeordnete Suffix von contoso.com ist).

377

Kapitel 8 Erweiterte Netzwerkfunktionen Suchradius bestimmen

Aktiviert man stattdessen die Option Diese DNS-Suffixe anhängen (in Reihenfolge), so werden nur die hier aufgelisteten DNS-Suffixe zur Bildung eines FQDN herangezogen. Diese Methode kann man beispielsweise verwenden, wenn man schnell Zugriff auf eine Reihe von unterschiedlichen DNS-Namensräumen benötigt. Mit dem Kontrollkästchen Adressen dieser Verbindung i DNS registrieren kann im Zusammenarbeit mit einem dDNS (dynamic DNS), der dynamische Eintragungen unterstützt, erreicht werden, dass die IP-Adressen, die zu dieser speziellen Verbindung gehören, mit dem FQDN aus dem primären DNSSuffix dort in der Datenbasis des DNS eingetragen werden. Auf diese Weise erspart man sich das manuelle Pflegen der Einträge im DNS. Sofern dieses Kästchen aktiviert ist, kann zusätzlich auch noch das Kontrollkästchen DNSSuffix dieser Verbindung in DNS-Registrierung verwenden aktiviert werden, dann werden die Eintragungen sowohl mit dem primären DNS-Suffix als auch mit dem für diese Verbindung definierten vorgenommen. Sofern der im Netzwerk verwendete DNS keine automatische Registrierung unterstützt, sollte diese Funktion abgeschaltet werden, damit Windows beim Start nicht vergeblich auf das Ergebnis der Eintragung wartet. Bei einem System mit mehreren Netzwerkadaptern sollte die Einstellung auch nur auf einem Adapter aktiviert sein. Alle diese Einstellungen im Bereich DNS können in einer Active DirectoryUmgebung auch per Gruppenrichtlinie unter dem Pfad Computerkonfiguration/Netzwerk/DNS-Client konfiguriert werden, insbesondere ist es dort auch möglich, die automatische Registrierung genau zu kontrollieren. Im Bereich der DNS-Auflösung gibt es noch einen Spezialfall, die Datei %windir%\System32\drivers\etc\hosts (ohne Erweiterung). Bevor Windows auf der Suche nach einem Namen eine Abfrage an DNS richtet, wird zunächst diese Datei durchsucht. Bei der Installation wird bereits eine Vorlage angelegt, aus der man das Format der Einträge ersehen kann. Sobald eine Rechneradresse (die kann auch ein vollständiger FQDN sein) in dieser Datei zu einer IP-Adresse zugeordnet ist, wird das System immer diese IP verwenden und nicht mehr im DNS danach suchen. Für dieses Verhalten gibt es zwei populäre Einsatzzwecke: 1) Die Adressen bekannter Werbeserver im Internet werden auf eine nicht existente lokale Adresse umgelenkt, um die Werbeflut beim Surfen zu dämmen. 2) Schadprogramme lenken die Namen bekannter AV-Hersteller um, sodass deren Produkte keine neuen Updates mehr erhalten können. Es kommt sogar vor, dass sie zur Verschleierung ihrer Aktion die Datei hosts an eine andere Stelle legen, zwar lässt sich der Name nicht verändern, aber das Verzeichnis ist im Wert DataBasePath im Schlüssel HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters abgelegt. Sofern sich also bestimmte Webseiten nicht mehr finden lassen, sollte an dieser Stelle nachgesehen werden.

378

TCP/IP-Einstellungen

Registerkarte WINS Diese Registerkarte behandelt die Konfiguration der Namensauflösung Netzwerkfür die Datei- und Druckfreigabe auf Basis von NetBIOS over TCP/IP Altlasten (NetBT). NetBIOS war vor Windows 2000 die Programmschnittstelle für Netzwerkapplikationen und arbeitete damals noch mit dem NetBEUIProtokoll zusammen. Mit dem Erscheinen von Windows 2000 wurde das Protokoll auf TCP/IP umgesetzt und NetBT genannt. Die Auflösung der Namen zur Netzwerkadresse wurde ab da über DNS durchgeführt, es gibt jedoch noch alte Programme, die damit nicht zurechtkommen. Abbildung 8.16 WINS-Einstellungen

Vor Windows 2000 gab es für die Systeme mit Windows NT keine DNSNamen, die in einer hierarchischen Struktur angeordnet waren, jedes System hatte nur einen NetBIOS-Namen. Dies erkennt man heute noch daran, dass beim Anmelden in einer Active Directory-Domäne vor den Benutzernamen noch der NetBIOS-Name der Domäne und ein \ geschrieben werden.

8

Für die Zuordnung von NetBIOS-Namen zu IP-Adressen gibt es auf den Serverversionen von Windows einen speziellen Dienst mit Namen WINS (Windows Internet Naming Service). Diese WINS-Server bilden untereinander ein Netz und teilen die erhaltenen Informationen miteinander. Die Informationen über die Zuordnung von Namen zu IP-Adressen erhalten sie dabei über direkte Meldungen der Clients an einen konfigurierten WINS als auch über die Auswertung von Rundsendungen (Broadcast) auf dem Netz. Die WINS-Server werden hier genauso verwaltet wie die DNS-Einträge. Genau wie es für die Namensauflösung bei IP die Datei hosts gibt, so existiert eine entsprechende Datei auch für die Windows-Namensauflösung. Hier heißt die Datei lmhosts und wird im gleichen Verzeichnis gesucht wie die Datei hosts. Hier wird allerdings bei der Installation keine Datei ange-

379

Kapitel 8 Erweiterte Netzwerkfunktionen

legt, stattdessen wird eine Beispieldatei mit Namen lmhosts.sam angelegt. Möchte man diese Datei nicht verwenden, sollte das Kontrollkästchen entsprechend deaktiviert werden. Die Aktivierung schadet aber auch nichts, weil anfänglich die Datei nicht existiert. Bei der Schaltfläche LMHOSTS importieren würde man eigentlich erwarten, dass die Einträge einer neuen Datei zu den bestehenden hinzugefügt werden, stattdessen wird aber eine bereits bestehende Datei komplett mit der zu importierenden Datei überschrieben. Im Bereich NetBIOS kann man generell einstellen, ob man noch die alten Programmfunktionen von NetBIOS anbieten will oder nicht. Sofern keine Systeme mehr verwendet werden, die älter als Windows 2000 sind, braucht man NetBT nicht mehr unbedingt zu aktivieren. Durch die drei Optionen kann man das gewünschte Verhalten einstellen: NetBT aktivieren, NetBT deaktivieren oder die Einstellung den vom DHCP-Server mitgelieferten DHCP-Optionen überlassen. Bedingt durch das Alter des NetBT-Protokolls steht die Registerkarte WINS im Bereich von IPv6 nicht mehr zur Verfügung, die entsprechenden Funktionen werden von diesem Protokoll nicht mehr unterstützt.

8.2.2

Gesichertes TCP/IP – IPsec

In der Anfangszeit der Entwicklung von TCP/IP war Sicherheit eigentlich kein Thema. Zwar wurden beispielsweise für Anmeldungen an einem anderen System Benutzername und Kennwort abgefragt, aber beide wurden unverschlüsselt und für jeden sichtbar über das Netzwerk übertragen. Bei einer Netzwerkverbindung bestand auch keine Kontrolle darüber, ob die beiden Kommunikationspartner auch tatsächlich die waren, die sie vorgaben zu sein. IPsec (Internet Protocol Security) soll diese Probleme lösen. Zum einen dient es dazu, die beiden Kommunikationspartner gegeneinander zu authentifizieren, zum anderen dient es dazu, die Informationen zwischen den beiden Partnern transparent für die Anwendung zu verschlüsseln. IPsec kann dabei sowohl die Kommunikation direkt zwischen zwei IPsecfähigen Systemen (Transparent Mode) als auch die Kopplung zweier Subnetze durch die Verbindung mittels IPsec-Gateways (Tunnel Mode) über ein ungesichertes Netzwerk schützen. Die Authentifizierung und Verschlüsselung kann dabei sowohl über vordefinierte Schlüssel (prinzipiell unsicher) als auch mittels Zertifikaten oder Kerberos-Authentifizierung in einer Domäne erfolgen. Das ganze Thema ist jedoch komplex und kann in diesem Buch nicht in der dazu notwendigen Tiefe behandelt werden. Als erster Einstieg in das Thema IPsec kann der Artikel unter [IPSEC] dienen, in Buchform beispielsweise der Titel VPN – Virtuelle Private Netzwerke: Aufbau und Sicherheit von Manfred Lipp, Addison-Wesley, ISBN-13: 9783827326478.

380

TCP/IP-Einstellungen

8.2.3

TCP/IP-Prüfprogramme auf der Kommandozeile

Um die Funktion von TCP/IP zu testen und die Funktion zu kontrollieren, gibt es eine ganze Reihe von Programmen, die aber alle ohne grafische Oberfläche kommen.

Erreichbarkeit testen – ping.exe und tracert.exe Mit dem Programm ping.exe kann man ein Datenpaket an einen anderen Rechner schicken und dabei messen, wie lange man warten muss, bis die Antwort zurückkommt. Filmfans werden sich an die Anweisung »Bitte nur ein Ping« von Sean Connery als Kapitän Ramius im Film Jagd auf Roter Oktober erinnern. Dies erläutert, wie das Programm zu seinem Namen kam, es imitiert in Computernetzwerken die Funktion des Echolots, bei dem ein Signal ausgesendet und auf die Reflexion beim angepeilten Ziel gewartet wird. Als Parameter übernimmt ping.exe zwingend die Adresse des anzupingenden Rechners, optional kann man angeben, wie viele Pakete man senden will und wie groß diese sein sollen. Ohne weitere Angaben werden vier Pakete mit je 32 Byte Daten gesendet. >ping www.pearson.de Ping wird ausgeführt für www.pearson.de [62.245.190.128] mit 32 Bytes Daten: Antwort von 62.245.190.128: Bytes=32 Zeit=34ms TTL=121 Antwort von 62.245.190.128: Bytes=32 Zeit=48ms TTL=121 Antwort von 62.245.190.128: Bytes=32 Zeit=33ms TTL=121 Antwort von 62.245.190.128: Bytes=32 Zeit=33ms TTL=121

Listing 8.1 ping.exe mit Standardangaben

8

Ping-Statistik für 62.245.190.128: Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 33ms, Maximum = 48ms, Mittelwert = 37ms

Das Ziel für ping wird hierbei als DNS-Name eingegeben, auf diese Weise kann gleichzeitig überprüft werden, ob der Name zu einer Adresse aufgelöst werden kann. Für jedes ausgesendete Datenpaket wird angegeben, wie lange die Datenübertragung gedauert hat, in der Zusammenfassung am Ende werden Minimum, Maximum und Mittelwert der Zeiten angegeben. Zudem wird eine Statistik ausgegeben, wie viele der gesendeten Pakete auch wieder angekommen sind. Die Pakete, die ping verwendet, werden mit dem Protokoll ICMP (Internet Control Message Protocol) ausgesendet, dies ist auf der gleichen Ebene von TCP oder UDP angesiedelt. Allerdings sind viele Systeme im Internet so konfiguriert, dass auf derartige Pakete keine Antwort gegeben wird. Windows 7 ist dabei selbst so ein System, auf ICMP-Pakete, die über einen Adapter ankommen, der als Öffentlich gekenn-

Alles, was nicht 0 % Verlust hat, sollte man prüfen

381

Kapitel 8 Erweiterte Netzwerkfunktionen

zeichnet wird, gibt es keine Antwort. Die Angabe TTL (Time to Live) hat hierbei die Rolle eines Streckenzählers. Jedes IP-Paket wird mit einem TTLWert versehen auf seine Reise zum Ziel geschickt. Jede Station, die dieses Paket in ein anderes Netz vermittelt (Router), vermindert dabei den TTLWert um 1. Erreicht irgendwann ein Paket einen Router und hat das Paket dann einen TTL-Wert von 0, so verwirft der Router das Paket und sendet eine entsprechende Meldung an den ursprünglichen Absender zurück. Eben dieses Verhalten, dass bei Erreichen des TTL-Wertes 0 eine Fehlermeldung erscheint, macht sich das Programm tracert.exe (verkürzt für Traceroute) zunutze. Hier werden Pakete mit stark verkürztem TTL-Wert ausgesendet und dann notiert, von welchem System die entsprechende Fehlermeldung zurückkommt. Das erste Paket wird dabei mit einem TTL-Wert von 1 ausgesendet und somit bereits beim ersten Router auf dem Weg zum Ziel verworfen, das nächste mit einem Wert von 2, das dann beim zweiten Router verworfen wird und so weiter. Listing 8.2 tracert.exe im Einsatz

Spurensuche im Netz

382

>tracert www.pearson.de Routenverfolgung zu www.pearson.de [62.245.190.128] über maximal 30 Abschnitte: 1 43 ms 24 ms 28 ms lo1.br12.muc.de.hansenet.net [213.191.64.41] 2 24 ms 24 ms 25 ms ae0-101.cr01.muc.de.hansenet.net [213.191.88.93] 3 32 ms 31 ms 31 ms so-0-0-0-0.cr01.fra.de.hansenet.net [213.191.87.165] 4 30 ms 31 ms 31 ms ae1-0.pr03.decix.de.hansenet.net [62.109.109.236] 5 32 ms 32 ms 35 ms rt-decix-2.m-online.net [80.81.193.7] 6 33 ms 33 ms 65 ms xe-2-2-0.rt-decix-1.m-online.net [82.135.16.137] 7 33 ms 33 ms 32 ms ten1-2.r2.muc2.m-online.net [212.18.6.161] 8 35 ms 33 ms 34 ms te1-3.r2.muc1.m-online.net [212.18.6.57] 9 32 ms 33 ms 32 ms gi1-0-4.rs2.muc1.m-online.net [88.217.206.22] 10 33 ms 33 ms 35 ms host-62-245-191-26.customer. m-online.net [62.245.191.26] 11 34 ms 33 ms 33 ms host-62-245-190-1.customer. m-online.net [62.245.190.1] 12 33 ms 33 ms 33 ms host-62-245-190-128.customer. m-online.net [62.245.190.128] Ablaufverfolgung beendet.

Anhand der Stationen, die mit dem Befehl tracert.exe aufgezeichnet wurden, kann man nachverfolgen, wie die Pakete von einem zum anderen Rechner transportiert wurden. Jedes System auf der Strecke wird dreimal getestet, und die Zeitangaben werden jeweils am Anfang der Zeile notiert. Da der Befehl ohne den Parameter –d gegeben wurde, werden die IP-Adressen

TCP/IP-Einstellungen

auch per DNS in Namen aufgelöst und angezeigt. Der erste Rechner in der Kette hat den Namen lo1.br12.muc.de.hansenet.net, dies bedeutet, dass er zum Provider Hansenet (auch bekannt unter Alice) gehört. Die Vermutung, dass es sich dort um einen Rechner handelt, der in München (muc) in Deutschland (de) steht, ist nicht ganz von der Hand zu weisen da die meisten Netzwerkbetreiber sinnvolle Namen für ihre Systeme verwenden. Der folgende Rechner (ae0-101.cr01.muc.de.hansenet.net) scheint auch noch in München zu stehen, während der dritte wohl in Frankfurt stationiert ist (so-0-0-0-0.cr01.fra.de.hansenet.net). Bei den Rechnern an Position 4 und 5 erkennen Sie den Namensbestandteil decix, dieser steht für DE-CIX (German Commercial Internet Exchange), die gemeinsame Kopplungsstelle, an der (fast) alle deutschen Internet-Provider ihre Daten untereinander austauschen. Ab da geht dann der Datenverkehr im Netz des Providers M-Net weiter, bei dem der angefragte Server betrieben wird.

Namesauflösung per nslookup.exe DNS enthält deutlich mehr Informationen als die bloße Zuordnung von Namen zu IP-Adressen und zurück. Zur Abfrage dieser Informationen dient das Programm nslookup.exe. Im einfachsten Fall ruft man es einfach mit dem Namen eines Rechners oder einer IP-Adresse auf und bekommt die IPAdresse beziehungsweise den Namen zurück. Der Vorgang der Auflösung von Name zu IP-Adresse wird Forward Lookup genannt, die Auflösung der IP-Adresse zum Namen entsprechend Reverse Lookup. Abbildung 8.17 DNS-Verwaltung bei Windows Server 2008

8

In Abbildung 8.17 können Sie sehen, dass die Informationen im DNS in Form von einzelnen Lookup-Zonen angelegt sind, in der Verwaltungsoberfläche aufgeteilt in Forward- und Reverse-Zonen. In jeder Zone stehen Einträge, die aus drei Werten bestehen: einem Namen, einem Typ und den Nutzdaten. So gibt es beispielsweise einen Eintrag mit dem Namen bebox, dem Typ Host (A) und der IP-Adresse 192.168.0.50. Da sich der Eintrag in der Zone für contoso.com befindet, lautet der FQDN des Rechners also bebox.contoso.com. Dies wäre die Forward-Abfrage. Aus dieser Information lässt sich aber nicht die

383

Kapitel 8 Erweiterte Netzwerkfunktionen

Rückwärtsabfrage, welcher Name gehört zu 192.168.0.50, beantworten. Diese Information wird nicht der Zone contoso.com entnommen, sondern stammt aus der Reverse-Zone 0.168.192.in-addr.arpa. Es bleibt dem Administrator des DNS überlassen, dafür zu sorgen, dass die Inhalte dieser Zonen miteinander im Einklang bleiben. Von den vielen verschiedenen Typen im DNS sind eigentlich nur ein paar wirklich praxisrelevant: 왘 A – Eintrag eines einzelnen Namens zu einer IPv4-Adresse. Existieren mehrere Einträge, die einen Namen unterschiedlichen Adressen zuordnen, liefert der DNS bei einer einfachen Abfrage immer einen wechselnden Wert (DNS Round Robin). 왘 AAAA – Wie Typ A, aber für IPv6-Adressen. 왘 PTR – Dient in einer Reverse-Zone dazu, IP-Adressen einen Namen zuzuordnen (Pointer-Eintrag). 왘 NS – Gibt die Namen der DNS an (Nameserver), die Informationen über die Zone aus erster Hand vorhalten (also keine zwischengespeicherten Informationen). 왘 MX – Gibt den Namen des Systems an, das E-Mails für diese Zone entgegennimmt (Mail Exchanger). Bei mehreren Einträgen entscheidet ein Sender anhand der Priorität (im Bild der Eintrag 10 in eckigen Klammern), zu welchem System die Zustellung versucht wird, kleinere Zahlen werden hierbei bevorzugt. 왘 SOA – Gibt den Namen des Systems an, das die letztendliche Kontrolle über den Inhalt der Zone hat (Start of Authority). Alle anderen Nameserver der Zone beziehen ihre Information von diesem Server und entscheiden anhand der Information im serial-Feld, ob die eigenen Daten veraltet sind. 왘 CNAME – Beschreiben einen Alias (Canonical Name) für einen bereits bestehenden Namen. Kann dazu genutzt werden, um ein System unter unterschiedlichen Namen erreichbar zu machen. Das Programm nslookup.exe kann man auf zwei Weisen verwenden. Entweder man startet es ohne alle Parameter und kann dann in einer eigenen Eingabeaufforderung seine Abfragen stellen (zum Beenden exit eingeben), oder man stellt die Abfrage komplett auf der Kommandozeile: Listing 8.3 Abfrage mit nslookup

384

>nslookup -q=SOA contoso.com 192.168.0.200 Server: win2008.contoso.com Address: 192.168.0.200 contoso.com primary name server = win2008.contoso.com responsible mail addr = hostmaster.contoso.com serial = 424 refresh = 900 (15 mins) retry = 600 (10 mins) expire = 86400 (1 day) default TTL = 3600 (1 hour) win2008.contoso.com internet address = 192.168.0.200

TCP/IP-Einstellungen

In Listing 8.3 wird nslookup mit drei Parametern aufgerufen. Der erste Parameter gibt den Typ an, den man abfragen will. Fehlt dieser Parameter, wird nach Adresseinträgen gesucht, wird als Typ ANY eingegeben, werden die vorhandenen Einträge aller Typen zurückgegeben. Der zweite Parameter gibt das an, was eigentlich gesucht wird, der dritte bezeichnet optional einen speziellen Server, der abgefragt wird. Fehlt dieser Parameter, wird der DNS verwendet, der in den TCP/IP-Einstellungen konfiguriert ist.

IP-Alleskönner – ipconfig.exe Mit dem Programm ipconfig.exe können zunächst Informationen über den Status des IP-Protokolls auf allen im System vorhandenen Adaptern angezeigt werden. Ohne jeglichen Parameter werden nur die IP-Adressen, Subnetzmasken und Gatewayadressen ausgegeben, mit dem Parameter /all zusammen auch Informationen über DNS und DHCP. >ipconfig /all Windows-IP-Konfiguration Hostname . . . . . . Primäres DNS-Suffix . Knotentyp . . . . . . IP-Routing aktiviert WINS-Proxy aktiviert DNS-Suffixsuchliste .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

: : : : : :

ADMIN-PC

Listing 8.4 Ausgabe von ipconfig /all

Hybrid Nein Nein rid

Ethernet-Adapter LAN-Verbindung 2: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000 MT-Netzwerkverbindung #2 Physikalische Adresse . . . . . . : 00-0C-29-B8-BC-2A DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Verbindungslokale IPv6-Adresse . : fe80::11e:77af:d282:1d40%14(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 192.168.88.88(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 IPv4-Adresse . . . . . . . . . . : 192.168.88.92(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : DHCPv6-IAID . . . . . . . . . . . : 318770217 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-12-7C-AE-A800-0C-29-B8-BC-20 DNS-Server . . . . . . . . . . . : 192.176.1.45 NetBIOS über TCP/IP . . . . . . . : Aktiviert

8

Ethernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: rid Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000 MT-Netzwerkverbindung

385

Kapitel 8 Erweiterte Netzwerkfunktionen Physikalische Adresse . . . . . . : 00-0C-29-B8-BC-20 DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja Verbindungslokale IPv6-Adresse . : fe80::6884:fc47:a22f:5d08%11(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 192.168.0.96(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Lease erhalten. . . . . . . . . . : Dienstag, 10. November 2009 10:54:46 Lease läuft ab. . . . . . . . . . : Freitag, 13. November 2009 01:40:31 Standardgateway . . . . . . . . . : 192.168.0.254 DHCP-Server . . . . . . . . . . . : 192.168.0.254 DHCPv6-IAID . . . . . . . . . . . : 234884137 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-12-7C-AE-A800-0C-29-B8-BC-20 DNS-Server . . . . . . . . . . . : 192.168.0.254 NetBIOS über TCP/IP . . . . . . . : Aktiviert ...

Unter all den Informationen, die hier in Listing 8.4 verkürzt ausgegeben sind, fallen einige besonders auf: 왘 Für das System ist kein primäres DNS-Suffix gesetzt, allerdings besitzt der erste Adapter ein verbindungsspezifisches Suffix. 왘 Jeder Adapter hat eine unterschiedliche physikalische Adresse, dies ist die MAC-Adresse der Netzwerkkarte. 왘 Während der Adapter LAN-Verbindung 2 eine statische IP-Adresse hat, bekommt der andere Adapter seine IP-Adresse von einem DHCP-Server. Im Bereich IPv6 sind nur die lokalen Adressen zu sehen, also sind dort keine separat konfiguriert worden. 왘 Es ist zwar zu sehen, welche DNS verwendet werden soll, nicht aber, ob diese Daten auch per DHCP oder manuell gesetzt sind. Netzdiagnose

Sofern man Probleme im Netzwerkbereich hat, sollte man sich immer die Ausgabe von ipconfig /all ansehen und dort nach Auffälligkeiten suchen. Mit dem Parameter /renew kann man das System veranlassen, die aktuelle DHCP-Lease zu erneuern, auch wenn die Leasezeit noch nicht abgelaufen ist. Mit dem Parameter /release kann eine erhaltene Lease wieder zurückgegeben werden. Bei beiden Parametern kann noch der Name einer Verbindung als zusätzlicher Parameter angegeben werden. Werden die Optionen mit einer 6 am Ende geschrieben (/renew6 und /release6), so beziehen sich die Aktionen auf IPv6-Adressen. Außer den DNS im lokalen Netz oder im Internet führt auch jedes einzelne System mit Windows 7 (wie auch XP oder Vista) noch einen lokalen Zwischenspeicher für DNS-Daten, um DNS-Abfragen schnell durchführen zu können. Diesen kann man mit dem Parameter /displaydns anzeigen lassen und mit /flushdns komplett löschen.

386

TCP/IP-Einstellungen Windows-IP-Konfiguration

Listing 8.5 Lokaler DNS-Cache

22.206.217.88.in-addr.arpa ---------------------------------------Eintragsname . . . . . : 22.206.217.88.in-addr.arpa Eintragstyp . . . . . : 12 Gültigkeitsdauer . . . : 65804 Datenlänge . . . . . . : 4 Abschnitt. . . . . . . : Antwort PTR-Eintrag . . . . . : gi1-0-4.rs2.muc1.m-online.net asn.advolution.de ---------------------------------------Eintragsname . . . . . : asn.advolution.de Eintragstyp . . . . . : 1 Gültigkeitsdauer . . . : 2413 Datenlänge . . . . . . : 4 Abschnitt. . . . . . . : Antwort (Host-)A-Eintrag . . : 213.9.41.203 Eintragsname . . Eintragstyp . . Gültigkeitsdauer Datenlänge . . . Abschnitt. . . . (Host-)A-Eintrag

. . . . .

. . . . .

. . . . .

: : : : :

asn.advolution.de 1 2413 4 Antwort . . : 213.9.41.202

... 105.47.125.74.in-addr.arpa ---------------------------------------Eintragsname . . . . . : 105.47.125.74.in-addr.arpa Eintragstyp . . . . . : 12 Gültigkeitsdauer . . . : 83019 Datenlänge . . . . . . : 4 Abschnitt. . . . . . . : Antwort PTR-Eintrag . . . . . : yw-in-f105.1e100.net

8

Für jeden Eintrag im Cache gibt es eine Angabe zur Gültigkeitsdauer, diese wird in Sekunden angegeben und automatisch verringert. Hat ein Eintrag die Gültigkeit 0, wird er aus dem Speicher entfernt. Im Zwischenspeicher stehen für den Eintrag asn.advolution.de zwei Datensätze, da diesem FQDN auch zwei IP-Adressen zugeordnet sind. Mit dem Parameter /registerdns kann man zwangsweise die aktuellen IPAdressen erneut in einem dafür konfigurierten dDNS registrieren lassen.

IP und Hardware – arp.exe Auf unterster Ebene der Datenübertragung gibt es auf der einen Seite IPPakete mit Quell- und Zieladresse und auf der anderen Seite Datenpakete in Form von Ethernet-Frames. Diese Pakete werden über die physikalische Adresse der jeweiligen Netzwerkkarte (die MAC-Adresse, eine Folge von sechs Bytes) adressiert (siehe hierzu die entsprechende Zeile in Listing 8.4). Die Zuordnung zwischen den beiden Adressräumen erfolgt über ARP

387

Kapitel 8 Erweiterte Netzwerkfunktionen

(Address Resolution Protocol) und kann mit dem Programm arp.exe kontrolliert werden. Listing 8.6 Ausgabe von arp.exe

C:\Users\admin>arp -a Schnittstelle: 192.168.0.96 --- 0xb Internetadresse Physische Adresse 192.168.0.50 00-14-c2-5a-a3-ad 192.168.0.200 00-03-ff-5e-a3-ad 192.168.0.254 00-1c-f0-70-b4-70 192.168.0.255 ff-ff-ff-ff-ff-ff 224.0.0.22 01-00-5e-00-00-16 224.0.0.252 01-00-5e-00-00-fc 239.255.255.250 01-00-5e-7f-ff-fa 255.255.255.255 ff-ff-ff-ff-ff-ff

Typ dynamisch dynamisch dynamisch statisch statisch statisch statisch statisch

Schnittstelle: 192.168.88.88 --- 0xe Internetadresse Physische Adresse 192.168.88.90 00-0c-29-3c-90-59 192.168.88.255 ff-ff-ff-ff-ff-ff 224.0.0.22 01-00-5e-00-00-16 224.0.0.252 01-00-5e-00-00-fc 239.255.255.250 01-00-5e-7f-ff-fa

Typ dynamisch statisch statisch statisch statisch

Zunächst fällt auf, dass hier nur IPv4-Adressen angegeben sind; dies liegt daran, dass ARP nur mit diesen Adressen arbeitet, bei IPv6 wurde ARP durch NDP (Neighbour Discovery Protocol) abgelöst. Für jeden Adapter wird bei arp –a angezeigt, welche anderen Adapter auf diesem Netzwerksegment bekannt sind. Die Einträge sind dabei wahlweise als statisch oder dynamisch gekennzeichnet. Die statischen Einträge sind hierbei die Rundsendeeinträge (Broadcast), die dynamischen diejenigen, die ARP durch Anfragen über das Netzwerk gelernt hat. Dieses Protokoll kann auch als Angriffsvektor verwendet werden. Bei der ARP Spoofing (to spoof – verschleiern) oder ARP Posioning (to poison – vergiften) genannten Methode werden dem angegriffenen System massenweise falsche ARP-Pakete zugesendet, die von diesem in seine ARP-Tabellen eingearbeitet werden. Auf diese Weise kann das System davon überzeugt werden, IP-Pakete für ein bestimmten System ganz woanders hinzusenden. Diese Methode funktioniert allerdings nur in einem lokalen Netzwerk.

Netzwerkkontrolle – netstat.exe und andere Programme Oftmals möchte man wissen, welche Aktionen auf dem Netzwerk gerade stattfinden und was dabei für Daten übertragen werden. Die erste Information ist hierbei, welche Kommunikation aktuell gerade stattfindet, wer mit wem redet und wer auf Kommunikation wartet. Dies lässt sich mit dem Programm netstat.exe abklären.

388

Netzwerkschutz – die Firewall >netstat Aktive Verbindungen Proto Lokale Adresse TCP 192.168.0.240:50035 TCP 192.168.0.240:50046 TCP 192.168.0.240:50047 TCP 192.168.0.240:50048 TCP 192.168.0.240:50049 TCP 192.168.0.240:50050 TCP 192.168.0.240:50051 TCP 192.168.0.240:50052 TCP 192.168.0.240:50053

Remoteadresse bebox:microsoft-ds oe-test:http oe-test:http 63.97.123.10:http 63.97.123.10:http 63.97.123.10:http 63.97.123.10:http 63.97.123.10:http 63.97.123.10:http

Status HERGESTELLT HERGESTELLT HERGESTELLT HERGESTELLT HERGESTELLT HERGESTELLT HERGESTELLT HERGESTELLT HERGESTELLT

Listing 8.7 Ausgabe von netstat.exe

In dieser Auflistung werden nur die Verbindungen aufgeführt, die aktuell auch tatsächlich bestehen. Zu sehen sind die lokale IP-Adresse und die Adresse des Kommunikationspartners, jeweils ergänzt durch die Portnummer der Verbindung. Wird die Option –n gesetzt, so werden die IP-Adresse und Portnummer nicht durch Namen ersetzt. Durch Angabe der Option –a können zusätzlich noch jene Ports angezeigt werden, die für einen Datenverkehr offen stehen. Mit der Option –o wird zu jeder Verbindung angegeben, welcher Prozess für diese Verbindung verantwortlich ist, weitere Informationen lassen sich dann beispielsweise über den Task-Manager (siehe Kapitel 14) herausfinden. Der Befehl hat noch einige weitere Einsatzmöglichkeiten, siehe hierzu die Online-Hilfe über den Parameter /?. Aus der Sammlung von Sysinternals kommt das Programm TCPView, das die Funktionen von netstat.exe in einer grafischen Oberfläche anbietet. Zudem ist es in der Lage, nicht bloß eine Momentaufnahme der Daten darzustellen, sondern die Informationen permanent zu erneuern. Will man genauer nachverfolgen, was bei einer Netzwerkkommunikation abläuft, so muss man die übertragenen Datenpakete analysieren. Programme, die dieses können, werden gemeinhin Sniffer genannt. Für Windows bietet Microsoft selbst ein solches Programm an, Microsoft Network Monitor, aktuell in Version 3.3. Zu bekommen ist das Programm unter [DOWN]. Andere Programme in diesem Segment sind beispielsweise der Netzwerkanalysator WireShark (siehe [WIRE]).

8.3

8

Netzwerkschutz – die Firewall

Im Bereich des Bauwesens bezeichnet eine Brandmauer eine sehr stabile Trennwand zwischen Gebäude oder Gebäudeabschnitten, die verhindern soll, dass Feuer in einem der Teile auf den anderen übertreten kann. Sie hat im Regelfall keine oder nur besonders gesicherte Öffnungen. Diese Funktion erfüllt im Bereich der Netzwerke die Firewall, sie trennt Netzwerke voneinander, um unerlaubte Zugriffe zwischen Bereichen zu ver-

389

Kapitel 8 Erweiterte Netzwerkfunktionen

hindern. Die Windows-Firewall, als direkt auf dem System laufende Firewall, kennt dabei nur zwei Bereiche: den Computer selbst (Innenwelt) und das restliche Netzwerk (die Außenwelt).

8.3.1

Status der Firewall

Die Firewall kann getrennt für jede Netzwerklokation aktiviert beziehungsweise deaktiviert werden. Im Netzwerk- und Freigabecenter finden Sie den Link Windows-Firewall in der linken unteren Ecke oder über Systemsteuerung/System und Sicherheit/Windows-Firewall. Abbildung 8.18 Status der Firewall

Kann es im PC brennen?

Per Klick auf die Pfeilsymbole am rechten Rand ((½) und (¼)) können Sie die einzelnen Profile erweitern oder zusammenklappen, das Domänenprofil ist hierbei nicht zu sehen, da das System nicht Mitglied einer Domäne ist. Für jede Lokation wird angezeigt, ob die Firewall aktiviert ist, was mit eingehenden Verbindungen passiert, für welche Netzwerke diese Einstellung gilt und was passiert, wenn ein bislang unbekanntes Programm versucht, einen Serverdienst zu etablieren. Mit einem Klick auf die Links Benachrichtigungseinstellungen ändern und Windows-Firewall ein- oder ausschalten kann in einem weiteren Dialogfeld eingestellt werden, ob die Firewall in den einzelnen Profilen aktiviert sein und ob eine Benachrichtigung erfolgen soll.

390

Netzwerkschutz – die Firewall Abbildung 8.19 Firewalleinstellungen

8.3.2

Neue Serverprogramme blocken

Sofern die Firewall entsprechend konfiguriert ist, wird dem Benutzer automatisch eine Meldung angezeigt, sobald eine Anwendung versucht, einen Port für eingehende Verbindungen zu starten. Abbildung 8.20 Ein Programm will einen Port öffnen

8

Leider ist aus der Mitteilung nicht zu ersehen, welche Verbindung dieses Programm genau öffnen will. Diese Meldung erhalten auch nichtadministrative Benutzer, diese benötigen allerdings eine administrative Kennung, um den Zugriff zuzulassen. Wird dieser Zugriff durch die entsprechende Schaltfläche erlaubt, wird eine entsprechende Regel automatisch in die Firewall eingetragen. Wird das Dialogfeld durch die Schaltfläche Abbrechen beendet oder ist die Firewall so konfiguriert, dass die Abfrage nicht erfolgt, kann das Programm zwar die Verbindung öffnen, Zugriffe sind dann aber nur vom lokalen System aus möglich.

391

Kapitel 8 Erweiterte Netzwerkfunktionen

8.3.3

Firewallprofile

Analog zu den Netzwerkprofilen bietet auch die Firewall dem Administrator verschiedene Profile an. Diese lassen sich kontrollieren, indem man im Firewall-Dialogfeld (siehe Abbildung 8.21) auf den Link Erweiterte Einstellungen klickt, alternativ können Sie auch im Suchfeld des Startmenüs den Begriff Firewall eintippen und anschließend auf den Eintrag WindowsFirewall mit erweiterter Sicherheit klicken. Abbildung 8.21 Erweiterte Einstellungen der Firewall

In der Mitte des Bildschirms sieht man die beiden Gruppen Übersicht und Erste Schritte, diese kann man jeweils durch einen Klick auf die Dreiecke am rechten Rand auf- beziehungsweise einklappen. Im Bereich Übersicht sind die drei möglichen Profile zu sehen und die dort jeweils gültigen Firewalleinstellungen: 왘 Ist die Firewall aktiv oder nicht aktiv? 왘 Werden eingehende Verbindungen standardmäßig geblockt oder nicht? 왘 Werden ausgehende Verbindungen standardmäßig geblockt oder nicht? Möchte man eine dieser Einstellungen ändern, klickt man auf den Link Windows-Firewalleigenschaften am unteren Ende der Gruppe. Sicherheit mit Profil

392

Für jedes der drei möglichen Netzwerkprofile (das Profil Arbeitsplatznetzwerk ist identisch mit dem privaten Profil) sind gesonderte Einstellungen auf der jeweiligen Registerkarte verfügbar. Über das Listenfeld Firewallstatus kann die Firewall deaktiviert werden, allerdings wird für jedes Profil die Aktivierung empfohlen.

Netzwerkschutz – die Firewall Abbildung 8.22 Firewalleinstellungen für das private Profil

Für eingehende Verbindungen (also Verbindungen, die von einem externen System her aufgebaut werden) sind drei mögliche Einstellungen vorhanden: 1. Blockieren (Standard) – Eingehende Verbindungen werden blockiert, es sei denn, es gibt eine Regel, welche die Verbindung erlaubt. 2. Alle blockieren – Alle eingehenden Verbindungen werden blockiert, egal ob es dafür eine Regel gibt oder nicht. 3. Zulassen – Sämtliche eingehenden Verbindungen werden erlaubt, es sei denn, es existiert eine Regel, welche die Verbindung explizit verbietet. Für die ausgehenden Verbindungen (also Verbindungen, die zu einem externen System vom lokalen System aus aufgebaut werden) sind nur die beiden Optionen Blockieren (Standard) und Zulassen möglich, da ein System, das generell keine ausgehenden Verbindungen zulässt, wenig sinnvoll erscheint.

8

Mit der Schaltfläche Geschütze Netzwerkverbindungen: Anpassen können Sie einstellen, welche Netzwerkadapter von dem aktuellen Firewallprofil erfasst werden. Standardmäßig sind hier alle Adapter selektiert. Wird ein Adapter abgewählt und befindet sich der Adapter in dem entsprechenden Netzwerkprofil, so werden die Verbindungen nicht mehr überwacht. Mit der Schaltfläche Einstellungen: Anpassen kann die Einstellung der Benachrichtigung kontrolliert werden (siehe die entsprechenden Kontrollkästchen in Abbildung 8.19). Die nächste Einstellung bezieht sich auf das Zusammenspiel von Multicast-Sendungen des Computers (also Sendungen, die explizit an mehr als einen Empfänger gesendet werden) und ob dort auch Unicast-Antworten (die also direkt an dieses System geschickt werden) zugelassen werden. Die Einstellungen im Bereich Regelzusammenführung beziehen sich auf das Zusammenspiel lokaler Einstellungen und Gruppenrichtlinien (siehe Kapitel 11). Dort lassen sich im Bereich Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Windows-Fire-

393

Kapitel 8 Erweiterte Netzwerkfunktionen

wall mit erweiterter Sicherheit auch Regeln für die Firewall zuweisen. Dort kann dann eingestellt werden, ob zusätzlich zu den vordefinierten Regeln auch noch lokale eigene Regeln eingestellt werden können. Die dort getroffenen Einstellungen können hier gesehen werden. Abbildung 8.23 Weitere Einstellungen

Interessiert das Protokoll jemanden?

Listing 8.8 Protokoll des erfolgreichen Zugriffs auf eine Website

Mit der Schaltfläche Protokollierung: Anpassen kann eingestellt werden, ob verworfene oder erfolgreiche Pakete in einer Logdatei mitgeschrieben werden sollen, normal wird keines der Ereignisse protokolliert. Um nicht die komplette Festplatte mit diesen Firewall-Logs vollzuschreiben, muss eine maximale Größe der Datei angegeben werden (Standard ist 4 MB). Wird diese Größe von dem Protokoll erreicht, so wird die bisherige Logdatei umbenannt mit der Erweiterung .old und eine neue Datei begonnen. Eine bereits bestehende Datei mit der Erweiterung .old wird gelöscht, sodass maximal zwei Dateien gleichzeitig existieren. #Version: 1.5 #Software: Microsoft Windows Firewall #Time Format: Local #Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path 2009-11-14 22:27:58 ALLOW 0 - - - - - - - SEND 2009-11-14 22:28:01 ALLOW 0 - - - - - - - SEND 2009-11-14 22:28:01 ALLOW 80 0 - 0 0 0 - - - SEND 2009-11-14 22:28:03 ALLOW 0 - - - - - - - SEND 2009-11-14 22:28:03 ALLOW 0 - - - - - - - SEND 2009-11-14 22:28:03 ALLOW 0 - - - - - - - SEND 2009-11-14 22:28:03 ALLOW

394

UDP 192.168.137.219 192.168.137.1 63775 53 UDP 192.168.137.219 192.168.137.1 53318 53 TCP 192.168.137.219 213.199.164.111 51494 UDP 192.168.137.219 192.168.137.1 51959 53 UDP 192.168.137.219 192.168.137.1 51568 53 UDP 192.168.137.219 192.168.137.1 64008 53 UDP 192.168.137.219 192.168.137.1 51463 53

Netzwerkschutz – die Firewall 0 - - - - - - - SEND 2009-11-14 22:28:03 ALLOW UDP 192.168.137.219 192.168.137.1 59053 53 0 - - - - - - - SEND 2009-11-14 22:28:03 ALLOW TCP 192.168.137.219 66.235.139.152 51495 80 0 - 0 0 0 - - - SEND

Im Firewallprotokoll in Listing 8.8 kann man dem Webbrowser beim Arbeiten zusehen (aufgerufen wurde als Startseite die Adresse http:// de.msn.com). Die Adresse 192.168.137.219 ist hierbei immer der lokale Client. Zunächst erfolgen zwei DNS-Abfragen (Protokoll UDP, Port 53) auf den DNS-Server 192.168.137.1, dann der Zugriff auf den http-Port (TCP, Port 80) des Webservers an der Adresse 213.199.164.111. Dann folgen fünf weitere DNS-Abfragen, bis eine Webabfrage auf den Server 66.235.139.152 erfolgt. Der komplette Aufbau der Seite produzierte etwa 6 KByte an Logdateien. Anhand eines solchen Protokolls kann man beispielsweise Probleme in einer Netzwerkapplikation nachverfolgen.

Registerkarte IPsec-Einstellungen Auf der Registerkarte IPsec-Einstellungen können verschiedene Aspekte des Protokolls eingestellt werden, zum Beispiel welche Authentifizierungsoder Verschlüsselungsverfahren verwendet werden sollen und mit welchen Systemen IPsec-Tunnel aufgebaut werden dürfen.

8.3.4

Firewallregeln

In der Baumstruktur auf der linken Seite des Fensters Windows-Firewall mit erweiterter Sicherheit sind drei Gruppen von Regeln zu erkennen: 왘 Eingehende Regeln 왘 Ausgehende Regeln 왘 Verbindungssicherheitsregeln Die ersten beiden Einträge behandeln Regeln, die für eine bestimmte Kombination von Netzwerkparametern und Netzwerkprofilen angeben, ob eine Verbindung zugelassen oder geblockt wird. Der Eintrag Verbindungssicherheitsregeln beschreibt, zwischen welchen Kommunikationspartnern gesicherte Verbindungen per IPsec aufgebaut werden können.

8

Eingehende und ausgehende Regeln Etwas weiter oben hatten wir ja in Abbildung 8.20 gesehen, wie die Firewall auf den Versuch einer Anwendung reagierte, die einen Port aufmachen will. Aus der Dokumentation des betreffenden Programms (die Fernsteuersoftware TightVNC, siehe [VNC]) wissen wir, dass es sich hierbei um die Ports 5800/tcp und 5900/tcp handelt. Wenn wir damals auf Zulassen geklickt haben, wurde automatisch eine entsprechende Regel in der Firewall angelegt. Diese wollen wir nun kontrollieren. Es handelt sich um eine Regel, die Verbindungen betrifft, die zu dem Computer hin aufgebaut werden, klicken Sie also links auf den Knoten Eingehende Regeln.

395

Kapitel 8 Erweiterte Netzwerkfunktionen Abbildung 8.24 Regeln in der Firewall

Viele Regeln regeln den Verkehr

Hier im Beispiel in Abbildung 8.24 sehen Sie die beiden Regeln direkt oben in der Liste, falls Sie die gewünschte Regel nicht sofort sehen, können Sie über das Kontextmenü des Knotens links oder über die drei Aktionseinträge (Nach Profil filtern, Nach Status filtern und Nach Gruppe filtern) die Auflistung einschränken. In diesem Beispiel könnte man also sowohl nach Profil: privates Profil als auch nach Status: Aktiviert filtern. Rufen Sie nun die Eigenschaften der ersten gefundenen Regel mit einem Doppelklick auf.

Abbildung 8.25 Firewallregel: Registerkarte Allgemein

Auf der Registerkarte Allgemein stehen zunächst außer dem Namen die beiden wichtigsten Angaben zur Regel: Ist sie generell aktiv oder nicht, nur eine aktive Regel kann den Verkehr kontrollieren. Außer den beiden Optio-

396

Netzwerkschutz – die Firewall

nen Verbindung zulassen und Verbindung blockieren gibt es noch eine dritte Option, die in der Mitte zwischen beiden Optionen liegt: Verbindung zulassen, wenn sie sicher ist. Diese Option wirkt zusammen mit der Herstellung einer gesicherten Verbindung über IPsec. Besonders heikle Dienste, etwa solche, die Kennwörter im Klartext übertragen (Telnet oder FTP), kann man damit absichern, indem eine Verbindung nur zugelassen wird, wenn diese selbst verschlüsselt wird. Auf der Registerkarte Programme und Dienste können Sie kontrollieren, welches Anwendungsprogramm von der Regel betroffen sein soll. Im Normalfall können Sie hier einfach den Pfad zur entsprechenden .exe-Datei setzen. Problematisch wird dies dann, wenn die ausgewählte Datei als Containerapplikation (zum Beispiel svchost.exe) für viele verschiedene Funktionen genutzt wird, in diesem Fall können Sie dort über die Schaltfläche Einstellungen den Dienst angeben, der mit dem betreffenden Programm verbunden ist. Die Einstellung Alle Programme sollten Sie nicht verwenden, da es dann möglich wäre, dass ein Angreifer die Anwendung, für die eigentlich die Ausnahme geschaffen wurde, beendet und durch eine eigene ersetzt. Die beiden Registerkarten Computer und Benutzer haben einzig mit dem Schutz durch IPsec zu tun. Da bei IPsec die Computer und Benutzer am anderen Ende der Verbindung autorisiert sind, können hier beispielsweise Active Directory-gestützte Gruppen angegeben werden. Sofern auf der Registerkarte Allgemein nicht die Option Verbindung zulassen, wenn sie sicher ist aktiviert ist, können auf diesen Registerkarten keine Einstellungen vorgenommen werden. Abbildung 8.26 Firewallregel: Registerkarte Bereich

8

Auf der Registerkarte Bereich können sowohl lokale als auch entfernte IPAdressen in einer Vielzahl von Angaben eingetragen werden, die Auswahl

397

Kapitel 8 Erweiterte Netzwerkfunktionen

lokaler Adressen ist natürlich nur sinnvoll, wenn das System davon mehrere besitzt. Zusätzlich zu festen Angaben können auch dynamische Werte wie etwa DNS-Server in Abbildung 8.26 eingetragen werden. Diese werden dann zur Laufzeit durch die jeweils aktuellen Daten ersetzt. Sie sollten dem Schutz auf Basis von IP-Adressen nicht zu sehr vertrauen, da Sie jederzeit damit rechnen müssen, dass ein Angreifer ein eigentlich zugelassenes Gerät deaktiviert und sein eigenes System unter dessen IP-Adresse ins Netz stellt. Auf der Registerkarte Protokoll und Ports kann die Art des Netzwerkverkehrs genauer spezifiziert werden. Um dieses Dialogfeld zu verstehen, muss man sich erinnern, dass die beiden Protokolle TCP und UDP auf dem IP-Protokoll aufbauen. Um in einem IP-Paket zu unterscheiden, ob es sich um ein TCP- oder um ein UDP-Paket handelt, existiert dort ein Feld mit einer Protokollnummer, diese ist für TCP 6 und für UDP 17, daneben gibt es aber noch eine ganze Reihe weiterer Protokolle, diese können mit der Einstellung Protokolltyp ausgewählt werden, der Eintrag Protokollnummer wird entsprechend gesetzt. Für Protokolle, die nicht in der Liste aufgeführt sind, kann der Eintrag Benutzerdefiniert gewählt und die Protokollnummer manuell in das entsprechende Feld eingetragen werden. Abbildung 8.27 Firewallregel: Registerkarte Protokoll und Ports

Sofern als Protokoll TCP oder UDP gewählt wurde, sind zusätzliche Einstellungen in den Feldern Lokaler Port und Remoteport möglich. Über diese Felder lässt sich exakt bestimmen, welche Verbindungen zu welchen Ports zugelassen werden sollen. An dieser Stelle können leider keine Portnamen verwendet werden (etwa HTTP für 80). Eine Besonderheit ergibt sich hier

398

Netzwerkschutz – die Firewall

für Verbindungen über RPC-Aufrufe (Remote Procedure Call), da diese immer dynamisch wechselnde Portnummern verwenden. Zu diesem Problem finden Sie einige Erklärungen in der Online-Hilfe unter dem Link Weitere Informationen über Protokolle und Ports. Für die Protokolle ICMPv4 und ICMPv6 (Internet Control Message Protocol) Netzwerkkann über die dann aktivierte Schaltfläche Anpassen angegeben werden, diagnose mit ICMP erlauben auf welche ICMP-Nachrichten das System reagieren soll. Auf der Registerkarte Erweitert kann schließlich angegeben werden, in welchem Netzwerkprofil diese Regel gültig sein soll. Über die Schaltfläche Schnittstellentypen: Anpassen kann ausgewählt werden, für welche Arten von Netzwerkverbindungen die Regel gelten soll, zur Auswahl stehen hier LAN, Remotezugriff und Drahtlos. Remotezugriff beinhaltet dabei sowohl VPN-Verbindungen als auch Einwählverbindungen. Diese Auswahl kann man beispielsweise nutzen, ein öffentliches Profil, das eh schon fast alles blockt, noch restriktiver zu gestalten, sobald eine WLAN-Verbindung verwendet wird. Zu der Einstellmöglichkeit im Bereich Edgeausnahmen (Edge Traversal) fin- Digitale den sich im Internet Kommentare wie Ich verstehe nicht, was das sein soll bis Verwirrung hin zu Der, von dem der Hilfetext ist, hat es auch nicht verstanden. Allgemein ist die hierfür verfügbare Information sehr dünn, es scheint sich jedoch um das Problem zu handeln, dass die Veröffentlichung eines Dienstes hinter einer NAT-Firewall immer auch eine Konfiguration auf der Firewall bedarf, um zu funktionieren. Diese Einstellung scheint jetzt damit zu tun zu haben, dass entsprechende Veröffentlichungen in der Firewall automatisch auf dem vorgelagerten NAT-Router auch erfolgen, ähnlich wie die Remoteunterstützung ja auch eine entsprechende NAT-Konfiguration aufbaut (siehe den Abschnitt 8.6.1 ab Seite 415).

8.3.5

Firewallregeln bearbeiten

Über das Kontextmenü einer einzelnen Regel oder die Aktionen in der rechten Spalte kann die Regel gelöscht oder in die Zwischenablage gelegt werden, von dort ist zwar kein Einfügen in eine Textverarbeitung möglich, aber ein Einfügen in die Firewallverwaltung als Kopie der bestehenden Regel. Auf diese Weise kann man beispielsweise eine einmal konfigurierte Regel für ein anderes Netzwerkprofil kopieren, um dort anschließend nur noch Änderungen vornehmen zu müssen.

8

Mit der Funktion Liste exportieren kann eine textliche Darstellung der Regeln gespeichert werden, beispielsweise zur Dokumentation. Es ist aber nicht möglich, diese Liste zum Import in ein anderes System zu verwenden.

8.3.6

Die Firewall und die Kommandozeile

Zur Kontrolle und Überwachung der Firewall kann man das Programm netsh.exe verwenden. Der von Windows XP her bekannte Kontext netsh firewall wurde allerdings aufgrund der erweiterten Möglichkeiten durch den neuen Kontext netsh advfirewall abgelöst. Im Folgenden nun einige Befehls-

399

Kapitel 8 Erweiterte Netzwerkfunktionen

kombinationen, die im Zusammenhang mit der neuen Firewall stehen. Mit Ausnahme der Befehle, die einen Status lediglich anzeigen, müssen diese Befehle alle in einem administrativen Kontext ausgeführt werden. 왘 Feststellen, welches das aktuelle Firewallprofil ist netsh advfirewall show currentprofile 왘 Firewall aus- beziehungsweise einschalten

netsh advfirewall set currentprofile state off netsh advfirewall set currentprofile state on 왘 Protokollierung geblockter Verbindungen ein-/ausschalten

netsh advfirewall set currentprofile logging droppedconnections enable netsh advfirewall set currentprofile logging droppedconnections disable 왘 Liste sämtlicher Regeln ausgeben

netsh advfirewall firewall show rule all 왘 Eine Regel anlegen oder löschen

netsh advfirewall firewall add rule netsh advfirewall firewall delete rule

Die beiden Befehle unterstützen eine Vielzahl von Parametern, die Online-Hilfe, die erscheint, wenn sie ohne weitere Parameter eingegeben werden, bietet eine ganze Reihe von Beispielen.

8.4

Netzwerkkopplung

Netzwerke bestehen meist aus mehr als nur einem einzigen Netzwerksegment, für diese Probleme bietet Windows 7 verschiedene Lösungswege an. Im Folgenden betrachten wir einen Teil eines größeren Netzwerks, das nach folgendem Schema aufgebaut ist: Abbildung 8.28 Netzwerk aus zwei Teilsegmenten

Ethernet A

Ethernet B

Internet PC1 Netzwerkadapter A

PC2 Netzwerkadapter B

Das hier betrachtete Teilnetz besteht aus zwei physikalisch voneinander getrennten Netzwerksegmenten Ethernet A und Ethernet B. Das System PC1 besitzt zwei Netzwerkadapter, die an den jeweiligen Netzwerksegmenten angeschlossen sind.

400

Netzwerkkopplung

8.4.1

Netzwerkrouten

Im einfachsten Fall wird das System PC1 als Router konfiguriert. Hierzu sind folgende Adressvergaben notwendig: Die Systeme in Ethernet B bekommen IP-Adressen aus einem anderen Subnetz zugewiesen, als sie in Ethernet A verwendet werden. Hier im Beispiel verwenden wir das Netz 192.168.88.0 für Ethernet B und vergeben dort die IP-Adressen 192.168.88.88 für Netzwerkadapter B in PC1 und 192.168.88.90 für PC2. Auf PC2 wird als Standardgateway die IP-Adresse von PC1 im dortigen Segment (192.168.88.88) eingetragen. Sobald für den Adapter in PC2 das Standardgateway festgelegt wird, erkennt das System, dass es sich in einem unbekannten Netzwerk befindet, und fordert zur Einstellung des Netzwerkprofils auf. Hier wählen Sie Heimnetzwerk aus. Als dritten Schritt müssen Sie den Systemen im Netzwerk Ethernet A mitteilen, wie diese die Systeme im Ethernet B erreichen können. Diese Information wird in Form einer Route angelegt und mit dem Programm route.exe eingetragen: Auf PC1 muss dieser Befehl nicht gegeben werden, dieser kennt das andere Netzwerk bereits durch seine zweite Netzwerkkarte. >route add 192.168.88.0 mask 255.255.255.0 192.168.0.240 metric 2 OK!

Im Einsatz in einer produktiven Umgebung würde man den Aufruf noch mit dem Parameter –p versehen, um diese Route permanent im System zu konfigurieren, damit sie auch nach einem Neustart wieder zur Verfügung steht. Am einfachsten richten Sie diese Route auf dem System ein, das die anderen Systeme im Ethernet A als Gateway verwenden. Den Systemen in Ethernet B muss keine separate Route eingetragen werden, da für diese sämtliche Verbindungen über Netzwerkadapter B laufen, der als Standardgateway konfiguriert ist.

8

Als letzten Schritt muss dem TCP/IP auf dem System PC1 noch mitgeteilt werden, dass es ab sofort dafür vorgesehen ist, IP-Pakete zwischen den beiden Netzwerkadaptern weiterzuleiten. Hierfür gibt es keine Funktion in der Oberfläche, diese Einstellung muss über die Registry durchgeführt werden. Setzen Sie dazu im Schlüssel HKLM\SYSTEM\CurrentControlSet\ Services\Tcpip\Parameters den Wert IPEnableRouter von 0 auf 1, und starten Sie das System neu. Den Erfolg der Konfiguration erkennen Sie in der Ausgabe von ipconfig /all durch die angezeigte Zeile IP-Routing aktiviert: Ja. Windows-IP-Konfiguration Hostname . . . . . . Primäres DNS-Suffix . Knotentyp . . . . . . IP-Routing aktiviert WINS-Proxy aktiviert DNS-Suffixsuchliste .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

: : : : : :

ADMIN-PC Hybrid Ja Nein rid

...

401

Kapitel 8 Erweiterte Netzwerkfunktionen

Nach dem Neustart können Sie von dem System PC2 aus alle Systeme im Ethernet A erreichen, sofern diese über eine Route zurück zum Ethernet B verfügen. Routen müssen immer in Hin- und Rückrichtung konfiguriert sein, da über die eine Richtung die Anfragen der Clients an die Server und in der anderen Richtung die Antworten der Server an die Clients erfolgen.

8.4.2

Netzwerkbrücken

Während ein Router auf der Ebene des IP-Protokolls arbeitet, funktioniert eine Netzwerkbrücke (Network Bridge) auf einer der weiter unten liegenden ISO-Ebenen. Die Brücke verbindet zwei physikalisch getrennte Netzsegment, sodass diese für die oberen Protokolle wie ein einziges Aussehen. Starten Sie hierzu das Netzwerk- und Freigabecenter und klicken dort auf Adaptereinstellungen ändern. Sie sehen eine Auflistung aller aktuell vorhandenen Netzwerkadapter. Abbildung 8.29 Netzwerkadapter anzeigen

Klicken Sie jetzt zunächst den ersten Adapter an und halten dann die (Strg)-Taste gedrückt, während Sie den zweiten Adapter anklicken. Alternativ können Sie auch, wie in einem Zeichenprogramm, um beide Adapter mit gedrückter Maustaste einen Rahmen ziehen. Klicken Sie nun mit der rechten Maustaste auf einen der markierten Adapter, und wählen Sie im Kontextmenü den Befehl Verbindungen überbrücken aus. Nach Abschluss des Vorgangs sehen Sie in der Adapterübersicht einen neuen Adapter.

402

Netzwerkkopplung Abbildung 8.30 Eine neue Netzwerkbrücke

Wenn Sie versuchen, die Eigenschaften der einzelnen Adapter anzusehen, werden Sie feststellen, dass sie zwar noch die Hardware-Eigenschaften des Netzwerkadapters einstellen können, die Einstellmöglichkeiten für die Protokolle und Dienste aber nicht mehr angezeigt werden. Diese Einstellungen sind jetzt ausschließlich über die Eigenschaften der Netzwerkbrücke erreichbar. Abbildung 8.31 Eigenschaften der Netzwerkbrücke

8

Standardmäßig sind die IP-Einstellungen auf den Betrieb mit einem DHCP- Über sieben Server eingestellt, sodass in unserem Beispiel keine weiteren Einstellungen Brücken musst mehr auf PC1 vorgenommen werden müssen (der Adapter LAN-Verbin- du gehen ... dung in Listing 8.4 verwendete auch DHCP). Während im Beispiel mit dem

403

Kapitel 8 Erweiterte Netzwerkfunktionen

Routing auf PC2 noch eine separate IP-Adresse fest vergeben werden musste, ist dies hier nicht notwendig. Über die Netzwerkbrücke erreicht auch PC2 den DHCP-Server in Ethernet A, sodass auch hier die Einstellung DHCP verwenden eingestellt werden kann.

Brücke verändern oder wieder entfernen In der Übersicht der einzelnen Netzwerkadapter können Sie einen der separaten Netzwerkadapter über sein Kontextmenü mit der Funktion Von der Brücke entfernen aus einer bestehenden Brücke herausnehmen, entsprechend einen nicht zur Brücke gehörigen Adapter mit der Funktion Zu Brücke hinzufügen einfügen. Die gleiche Funktion können Sie auch in den Eigenschaften der Brücke über die Kontrollkästchen der einzelnen Netzwerkadapter im oberen Teil von Abbildung 8.31 erreichen. Es ist sogar möglich, eine Brücke als Netzwerkadapter zu haben, der keinerlei Adapter zugeordnet sind. In diesem Fall sollten Sie die Brücke dann über ihr Kontextmenü auch löschen. Ein Netzwerkadapter, der aus einer Brücke entfernt wird, erhält wieder seine vorherige IP-Konfiguration.

8.4.3

Gemeinsame Nutzung der Internetverbindung

Ähnlich wie ein heutiger DSL-Router einen einzigen Internetanschluss für mehrere Rechner zur Verfügung stellt, kann diese Funktion auch ein System mit Windows 7 übernehmen. Das Verfahren nennt sich Gemeinsame Nutzung der Internetverbindung. Eingeführt wurde diese Funktion bei Windows XP, war damals aber nur für Wählverbindungen verfügbar. Abbildung 8.32 Gemeinsame Nutzung

404

Netzwerkkopplung

Nur auf einem System, das über mehr als einen Netzwerkadapter ver- Nur wer viel hat, fügt, steht die Registerkarte Freigabe in den Eigenschaften der Netzwerk- kann teilen adapter zur Verfügung. In unserem Beispielnetzwerk aus Abbildung 8.28 sollen die Systeme in Netzsegment Ethernet B den Anschluss von PC1 an Ethernet A nutzen. Demzufolge müssen wir Netzwerkadapter A freigeben. Das Kontrollkästchen Anderen Benutzer im Netzwerk gestatten zu verwenden müssen Sie dort aktivieren, das Kontrollkästchen Anderen Benutzer im Netzwerk gestatten ... zu steuern ist nur für Wählverbindungen relevant und kann in diesem Beispiel ignoriert werden. Nach Betätigen der Schaltfläche OK erscheint ein Warnhinweis, dass diese Aktion die IP-Adresse der anderen LAN-Verbindung abändern wird, die Adresse wird dabei auf ein noch freies Subnetz im privaten IP-Bereich (192.168.x.1) gelegt. Abbildung 8.33 Verbindungsfreigabe fordert andere IP-Adressen.

Unter Windows XP wurde diese Adresse noch fest auf 192.168.0.1 eingestellt. Durch die Aktivierung der gemeinsamen Nutzung wurde auf dem System automatisch ein kleiner eigener DHCP-Server aktiviert, der nun für die Clients am zweiten Netzwerkadapter (Ethernet B) zur Verfügung steht. Stellen Sie also das System PC2 auf die Adressvergabe durch DHCP um, beziehungsweise führen Sie die Kommandos ipconfig /release und ipconfig /renew dort aus, um eine neue Zuweisung einer IP-Adresse zu erzwingen.

8

Nun hat das System PC2 eine IP-Adresse aus dem Netz 192.168.137.0 Netzwerkbekommen, als DNS und Standardgateway werden die IP 192.168.137.1 maskerade verwendet. Greift man jetzt mit diesem System auf einen Server zu, der im Ethernet A steht, so wird dort der Zugriff nicht mit der IP-Adresse von PC2 registriert, sondern mit der IP-Adresse von Netzwerkadapter A von PC1. Das komplette Subnetz, in dem sich PC2 befindet, existiert für das restliche Netzwerk nicht. Auf diese Weise besteht natürlich auch ein gewisser Schutz für die Systeme in Ethernet B, da diese nicht von außen erreicht werden können. Dieses Verfahren der Netzwerkkopplung wird auch als NATRouter (Network Address Translation) bezeichnet.

Dienste veröffentlichen Es ist allerdings möglich, gezielt einige Dienste von Systemen aus Ethernet B auch für Systeme in Ethernet A verfügbar zu machen. Hierzu klicken Sie auf die Schaltfläche Einstellungen der Freigabesteuerung.

405

Kapitel 8 Erweiterte Netzwerkfunktionen Abbildung 8.34 Veröffentlichung einer Anwendung

Hier finden Sie bereits einige vordefinierte Dienste, die Sie veröffentlichen können. Aktivieren Sie einen der vordefinierten Dienste, so müssen Sie angeben, zu welchem System im Inneren (also in Ethernet B) eine Verbindung von außen verbunden werden soll. Die Angaben für die Portnummern lassen sich dabei nicht verändern. Möchte man einen eigenen Dienst veröffentlichen oder benötigt man eine spezielle Zuordnung der Ports, so kann man diese Daten über die Schaltfläche Hinzufügen auch einzeln festlegen. Abbildung 8.35 Einen eigenen Dienst anbieten

Im Beispiel in Abbildung 8.35 läuft beispielsweise ein Dienst auf dem Port 23456/tcp auf dem System mit dem Namen WIN-RVOJVLD55U6. Von außerhalb soll das System jedoch über den Port 12345 zu erreichen sein. Derartige Portumschreibungen sind zum Beispiel notwendig, wenn man auf zwei Systemen im Netzwerk jeweils den gleichen Dienst auf identischen Portnummern anbieten will. Eine Liste aller Systeme, die aktuell die Freigabe verwenden, findet sich in der Datei hosts.ics, die im gleichen Verzeichnis wie die Datei hosts liegt. Man sollte jedoch den Inhalt dieser Datei nicht manuell ändern. Welche der drei Möglichkeiten der Netzwerkkopplung für den spezifischen Einsatzzweck die passende ist, lässt sich nicht allgemein sagen, jede Variante hat ihre Vor- und Nachteile.

406

Domänenmitgliedschaft und Funktionen in Active Directory

8.5

Domänenmitgliedschaft und Funktionen in Active Directory

Die Windows 7 Editionen Professional, Ultimate und Enterprise können Mitglied einer Domäne werden, die Home-Versionen unterstützten diese Funktion nicht. Eine Domäne ist dabei als eine Verwaltungseinheit zu sehen, die sowohl Benutzer als auch Computer beinhaltet. Um die Funktionen einer Domäne nutzen zu können, muss sowohl der Benutzer als auch der Computer in der Domäne angemeldet sein. Diese Anmeldungen werden in der Domäne von sogenannten Domänencontrollern (DC, Domain Controller) durchgeführt, auf denen auch die Verwaltungsinformationen über die Domänen gespeichert werden. Nur Systeme mit einer Serverversion von Windows können diese Rolle übernehmen. Der erste Schritt auf diesem Weg ist deshalb die Aufnahme des Computers in die Domäne. Auch wenn die Hauptverwaltungseinheit zunächst eine Active Directory-Gesamtstruktur (Forest) ist, zu der dann mehrere Active DirectoryDomänen gehören können, wollen wir im Folgenden nur eine einzelne Domäne betrachten, die mit ihrem Forest identisch ist.

8.5.1

Einer Domäne beitreten

Um einen Computer in eine Domäne aufzunehmen, sind zwei Vorraussetzungen zu erfüllen: 1. Der Computer muss in der Lage sein, DNS-Informationen über die Active Directory-Domäne erhalten zu können. 2. Der Computer muss eine Netzwerkverbindung zu einem der Active Directory-Domänencontroller aufbauen können. Beide Anforderungen lassen sich am einfachsten erfüllen, wenn sowohl die Clients als auch die Domänencontroller im gleichen LAN installiert sind. Am einfachsten sollte der Client einen der Domänencontroller als DNS verwenden, dann ist automatisch die erste Voraussetzung erfüllt. Befinden sich zwischen dem Client und dem Domänencontroller eine Firewall (oder auch mehrere), muss eine ganze Reihe von Regeln in der Firewall eingetragen werden, um dem Client den notwendigen Kontakt zu ermöglichen. Bei Microsoft gibt es unter [ADFW] einen KB-Artikel, der die dazu notwendigen Regeln beschreibt.

8

Vorbereitungen für den Beitritt Um der Domäne beizutreten, muss das System in der Lage sein, die Domänencontroller der Domäne zu identifizieren. Dies lässt sich mit einer DNSAbfrage feststellen: >nslookup -q=ANY _LDAP._TCP.dc._msdcs.contoso.com Server: win2008.contoso.com Address: 192.168.0.200

Listing 8.9 Identifikation eines Domänencontrollers

407

Kapitel 8 Erweiterte Netzwerkfunktionen _LDAP._TCP.dc._msdcs.contoso.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = win2008.contoso.com win2008.contoso.com internet address = 192.168.0.200

Mit dieser Abfrage über nslookup wird nach der oder den Adressen für die Domänencontroller der Domäne contoso.com gefragt, diese sind im aktuellen Beispiel identisch mit dem gerade verwendeten DNS. Sofern bei diesem Prozess der DC nicht gefunden wird, gibt der Artikel unter [ADDNS] Hilfen zur Fehlersuche. Ist sichergestellt, dass das System die DC der Domäne erreichen kann, kann der zweite Schritt durchgeführt werden, Um das System in die Domäne aufzunehmen, öffnen Sie die Eigenschaften des Computer-Eintrags im Startmenü oder Systemsteuerung/System und Sicherheit/System. Dort wählen Sie dann den Link Einstellungen ändern im Bereich Einstellungen für Computernamen, Domäne und Arbeitsgruppe aus. Um diese Aktion durchzuführen, müssen Sie über Administratorrechte verfügen. Abbildung 8.36 Änderungen zur Aufnahme in die Domäne

In diesem Dialogfeld können Sie zwischen zwei Vorgehensweisen wählen: 왘 Schaltfläche Netzwerk-ID – Die Aufnahme in die Domäne wird durch einen Assistenten durchgeführt, der einige einfache Fragen stellt, anhand derer der Domänenname oder Rechnername ausgewählt werden kann. Zum Abschluss des Assistenten bekommt man noch die Möglichkeit, einen Domänenbenutzer als Administrator des lokalen Rechners einzutragen, etwa wenn ein Benutzer der Domäne besondere Berechtigungen auf dem System braucht. 왘 Schaltfläche Ändern – Der Administrator kann direkt in einem Dialogfeld auswählen, dass das System statt in einer Arbeitsgruppe nun in einer Domäne Mitglied sein soll. Für den Namen der Domäne kann

408

Domänenmitgliedschaft und Funktionen in Active Directory

wahlweise der NetBIOS-Name oder der DNS-Name eingegeben werden, wobei die Variante mit DNS schneller ist. Abbildung 8.37 Änderung der Domänenmitgliedschaft

Um ein System in eine Domäne aufzunehmen, muss dieser Vorgang autorisiert sein. Oftmals wird behauptet, dass dieser Vorgang zwangsläufig von einem Domänenadministrator durchgeführt werden muss. Das ist nicht in jedem Fall richtig. Abbildung 8.38 Wer nimmt auf?

8 Die Kontrolle darüber, wer ein System in eine Domäne aufnehmen darf, wird durch eine Sicherheitsrichtlinie auf dem Domänencontroller gesteuert. Unter Lokale Richtlinien/Zuweisen von Benutzerrechten findet sich der Eintrag Hinzufügen von Arbeitsstationen zur Domäne und steht im Normalfall auf Authentifizierte Benutzer. Somit kann faktisch jeder Benutzer einer Domäne neue Computer zur Domäne hinzufügen. Dieser Vorgang funktioniert allerdings nur maximal zehn Mal. Ein Domänenadministrator kann natürlich beliebig viele Systeme in die Domäne aufnehmen. Abbildung 8.39 Willkommen!

409

Kapitel 8 Erweiterte Netzwerkfunktionen

Nachdem der Prozess erfolgreich verlaufen ist, wird dies mit einer entsprechenden Meldung angezeigt. Damit der Vorgang abgeschlossen werden kann, muss das System neu gestartet werden. Nach dem Neustart bleibt zwar weiterhin der Willkommenbildschirm erhalten, hier werden aber nicht mehr wie bislang sämtliche auf dem Rechner angelegten Benutzer im Auswahlbildschirm präsentiert. Bei der Aufnahme des Systems in die Domäne wird dort ein Konto für das System erstellt (Computerkonto). Dieses wird standardmäßig im Container Computers angelegt, falls man dies nicht möchte, muss man entweder das Konto nachträglich in den passenden Container verschieben oder dort das Konto schon vorab anlegen. Über die Lage des Computerobjektes im entsprechenden Container von Active Directory ergeben sich auch die Verwaltungsmöglichkeiten mittels Gruppenrichtlinien, siehe hierzu Kapitel 11. Abbildung 8.40 Eigenschaften des Computerobjektes in Active Directory

In diesem Computerobjekt wird eine ganze Reihe von Verwaltungsinformationen über das System gespeichert, in Abbildung 8.40 kann man zum Beispiel die Edition des Betriebssystems und dessen genaue Versionsnummer erkennen.

Folgen des Beitritts für lokale Benutzer und Gruppen Sobald ein System einer Domäne beitritt, ergeben sich auch Änderungen bei den lokalen Benutzern und Gruppen. Die zunächst augenfälligste Änderung betrifft den Bereich der Benutzerkonten in der Systemsteuerung. Die Einträge zum Hinzufügen oder Ändern der lokalen Benutzerkonten werden nicht mehr angezeigt. Die noch existierenden lokalen Benutzer und Gruppen kann man über den Link Benutzerkonten verwalten auf der Registerkarte Erweitert und mit anschließendem Klick auf die Schaltfläche Erweitert im Bereich Erweiterte Benutzerverwaltung oder über den Aufruf von lusrmgr.msc erreichen.

410

Domänenmitgliedschaft und Funktionen in Active Directory >net localgroup Administratoren Aliasname Administratoren Beschreibung Administratoren haben uneingeschränkten Vollzugriff auf den Computer bzw. die Domäne.

Listing 8.10 Änderungen an lokalen Gruppen

Mitglieder -----------------------------------------------------------------admin Administrator CONTOSO\Domänen-Admins Der Befehl wurde erfolgreich ausgeführt. >net localgroup Benutzer Aliasname Benutzer Beschreibung Benutzer können keine zufälligen oder beabsichtigten Änderungen am System durchführen und dürfen die meisten herkömmlichen Anwendungen ausführen. Mitglieder -----------------------------------------------------------------CONTOSO\Domänen-Benutzer NT-AUTORITÄT\Authentifizierte Benutzer NT-AUTORITÄT\INTERAKTIV Der Befehl wurde erfolgreich ausgeführt.

Dem Listing 8.10 können Sie entnehmen, dass die beiden globalen Gruppen der Domäne (CONTOSO\Domänen-Admins und CONTOSO\DomänenBenutzer) Mitglied der entsprechenden lokalen Gruppen geworden sind. Somit hat jeder Benutzer, der ein Konto in der Domäne hat, automatisch auch die Rechte eines Benutzers auf dem lokalen System.

Einer Domäne offline beitreten Für Windows 7 ist es auch möglich, einer Domäne beizutreten, wenn zu dem Zeitpunkt keine Netzwerkverbindung zwischen Client und Domänencontroller besteht. Für diesen Zweck wurde das Programm djoin.exe entwickelt, das sowohl den Serverpart (Erstellung des Computerkontos in der Domäne) als auch den Clientpart (Integration in die Domäne) vornimmt. Dieses Tool existiert auf Serverseite erst ab Windows Server 2008R2, man kann jedoch das Programm auch auf einem Windows 7-System ausführen, das bereits Mitglied der Domäne ist. Der angemeldete Benutzer muss hierbei über die Berechtigung verfügen, ein neues Computerkonto erstellen zu dürfen. >djoin /provision /domain contoso.com /machine admin-pc /savefile domain.data /downlevel Das Computerkonto wird bereitgestellt... [admin-pc] wurde erfolgreich in der Domäne [contoso.com] bereitgestellt. Die Bereitstellungsdaten wurden erfolgreich in [domain.data] gespeichert.

8

Listing 8.11 Erstellung eines Computerkontos im Offline-Verfahren

411

Kapitel 8 Erweiterte Netzwerkfunktionen Die Computerkontobereitstellung wurde erfolgreich abgeschlossen. Der Vorgang wurde erfolgreich beendet.

Die bei dem Verfahren erstellte Datei ist nicht wirklich sehr aussagekräftig, enthält aber trotzdem sensible Informationen. Sie enthält in der Kodierung Base64 Daten über Ihre Domäne, unter anderen das Systemkennwort für das neu zu erstellende Computerobjekt. Bewahren Sie die Datei unbedingt an einem geschützten Platz gesichert vor unbefugtem Zugriff auf. Listing 8.12 Datendatei, um ein System offline einer Domäne hinzuzufügen

C:\Users\adm>type domain.data ARAIAMzMzMyQAwAAAAAAAAAAAgABAAAAAQAAAAQAAgABAAAAAQAAAGgDAAAIAAIAa AMAAAEQCADMzMzMWAMAAAAAAAAAAAIABAACAAgAAgAMAAIADgAQABAAAgAWABgAFA ... AAtAEYAaQByAHMAdAAtAFMAaQB0AGUALQBOAGEAbQBlAAAAGAAAAAAAAAAYAAAARA BlAGYAYQB1AGwAdAAtAEYAaQByAHMAdAAtAFMAaQB0AGUALQBOAGEAbQBlAAAAAAA AAA==

Nach der Vorbereitung der Domäne und Erstellung der Beitrittsdatei muss die Datei zum aufzunehmenden System transportiert werden. Nachdem die Datei dort abgekommen ist, kann die Aufnahme in die Domäne über ein administratives Kommandofenster erfolgen: Listing 8.13 Ein System wird per Kommandozeile in die Domäne aufgenommen.

>djoin /requestodj /loadfile domain.data /windowspath c:\Windows /localos Die Bereitstellungsdaten werden aus der folgenden Datei geladen: [domain.data]. Die Anforderung zum Offline-Domänenbeitritt wurde erfolgreich abgeschlossen. Ein Neustart ist erforderlich, damit die Änderungen wirksam werden. Der Vorgang wurde erfolgreich beendet.

Auf diese Weise wird zwar das System in die Domäne integriert, es werden jedoch keinerlei Benutzeraccounts übertragen. Dies hat zur Folge, dass das System ohne Netzverbindung keinem Benutzer der Domäne das Anmelden erlaubt, da noch keinerlei zwischengespeicherte Benutzeraccounts vorhanden sind. Dieses Verfahren zum Beitritt eignet sich somit eher für die Vorbereitung von automatisch ablaufenden Installationen, bei denen man schon vorab die Systeme an einer bestimmten Stelle in die Domäne aufnehmen will. Unter der Adresse [DJOIN] sind einige Anwendungsbeispiele beschrieben.

8.5.2 Sag' beim Abschied leise Server

412

Eine Domäne verlassen

Einer Domäne kann man nicht nur beitreten, man kann sie auch wieder verlassen. Um die Domäne zu verlassen, rufen Sie die Eigenschaftsseite des Computereintrags im Startmenü auf. Etwa in der Mitte des Fensters sehen Sie auf der rechten Seite die Information über den Computernamen und den Namen der Domäne, in der der Computer Mitglied ist. Klicken Sie dort auf Einstellungen ändern und im neuen Dialogfeld auf die Schaltfläche Ändern. Im nun erscheinenden Dialogfeld ändern Sie die Einstellung Mitglied von Domäne um in Mitglied von Arbeitsgruppe, und wählen Sie einen Namen der gewünschten Arbeitsgruppe aus. Nach Betätigung

Domänenmitgliedschaft und Funktionen in Active Directory

der Schaltfläche OK erscheint ein Dialogfeld, das Sie daran erinnert, dass nach Abschluss der Aktion auf dem System keine Benutzer aus der Domäne mehr existieren, Sie also das Kennwort eines lokal auf dem System vorhandenen Benutzerkontos benötigen. Abbildung 8.41 Lokale Benutzer werden benötigt.

Nachdem Sie einige Male mit OK die verschiedenen Dialogfelder bestätigt haben, erhalten Sie am Schluss die Mitteilung, dass der Vorgang erst nach einem Neustart abgeschlossen werden kann. Sie erhalten hier die Möglichkeit, diesen Neustart auch sofort auszuführen.

Aufräumarbeiten Die bei der Aufnahme in die Domäne zu den lokalen Gruppen hinzugefügten Domänengruppen werden bei dem Prozess automatisch wieder entfernt. Eventuell manuell zu den lokalen Gruppen hinzugefügte Elemente der Domäne bleiben davon unberührt, hier muss man diese selber auch manuell wieder entfernen. Erkennbar ist so ein Überbleibsel daran, dass kein Benutzername, sondern die SID angezeigt wird. Abbildung 8.42 Ein Domänenbenutzer blieb übrig.

8

Selbstverständlich bleiben auch die lokalen Arbeitsverzeichnisse all jener Domänenmitglieder übrig, die sich im Laufe der Zeit auf dem System angemeldet hatten. Diese Profile können über die Eigenschaften des Computer-Eintrags im Startmenü, Link Erweiterte Systemeinstellungen, Registerkarte Erweitert und Schaltfläche Einstellungen im Bereich Benutzerprofile gelöscht werden. In der Liste, die im Dialogfeld erscheint, erkennen Sie eine Reihe von Profilen, für die Konto unbekannt angezeigt wird. Markieren Sie diese, und entfernen Sie sie mit der Schaltfläche Löschen.

413

Kapitel 8 Erweiterte Netzwerkfunktionen

In der Domäne verbleibt das Computerkonto des Systems in Active Directory zurück. Dieses sollte man auch dort manuell löschen.

8.6

Fernbedienung

Sofern man mit einem Computerproblem als Anwender nicht weiterkommt, wird man sich an jemanden wenden, der sich mit dem Problem (hoffentlich) auskennt, am einfachsten geht dies, wenn der Supporter die Möglichkeit hat, das Gleiche auf dem Bildschirm zu sehen wie derjenige, der die Hilfe benötigt. Für diesen Einsatzzweck existiert eine ganze Reihe von Anwendungen von Drittanbietern, hier konzentrieren wir uns aber auf die bei Windows 7 mitgelieferten Möglichkeiten der Remoteunterstützung und des Remotedesktops. Es existiert noch eine weitere Möglichkeit in Form des Programms SharedView, dies wird in Kapitel 16 kurz vorgestellt. Abbildung 8.43 Remoteeinstellungen

Nach der Installation ist die Remoteunterstützung aktiviert und der Remotedesktop deaktiviert, dies können Sie über die Systemsteuerung/ System und Sicherheit/System und den Link Remoteeinstellungen im linken Teil des Dialogfeldes ändern. Obwohl beide technisch ähnlich sind, unterscheiden sie sich im Wesentlichen durch die Art und Weise, wie die Verbindung initiiert wird. Während bei der Remoteunterstützung die Anfrage vom Benutzer des Computers ausgeht, der eine Anforderung an einen Support herausgibt, um dann mit diesem gemeinsam das Problem zu lösen, geht Remotedesktop den umgekehrten Weg. Die Anforderung kommt von außen, und der Supporter löst das Problem alleine, egal ob aktuell ein Benutzer angemeldet ist oder nicht.

414

Fernbedienung

8.6.1

Nach Hilfe fragen

Bei der Remoteunterstützung stellt der Hilfesuchende eine Anfrage an den Support, auf die dieser reagieren muss. Die Hilfe kann hierbei auf zwei Weisen erfolgen: 1. Passiv – Der Support sieht nur, was auf dem Bildschirm passiert, und kann Kommentare über eine Chat-Funktion geben. 2. Aktiv – Der Support kann die Tastatur und Maus übernehmen und selbst Aktionen durchführen. Über die Schaltfläche Erweitert in Abbildung 8.43 kann eingestellt werden, ob generell nur der passive Modus zugelassen werden soll. Weiterhin kann auch die Zeitdauer eingestellt werden, für welche die Einladung noch gültig sein soll, der Standardwert von sechs Stunden kann hier möglicherweise zu hoch sein. Zudem kann kontrolliert werden, ob der Zugang nur Systemen erlaubt sein soll, die mindestens Windows Vista ausführen. Die Zeitangabe ist wichtig, weil mit dem Senden der Anfrage zur Remoteunterstützung ein Serverdienst auf dem System gestartet wird, der auf die ankommende Verbindung des Helfers wartet. Durch die Zeitbeschränkung wird sichergestellt, dass diese Funktion nicht unnötig lange zur Verfügung gestellt wird. Um die Hilfe anzufordern, können Sie entweder im Startmenü Hilfe und Support aufrufen, dort dann im Hilfecenter unten auf den Link Mehr Supportoptionen anklicken. Dort findet sich unter der Überschrift Fragen Sie eine Person nach Hilfe ein Link Windows-Remoteunterstützung. Zweite Möglichkeit: Sie gehen in die Systemsteuerung, suchen dort nach Problem und klicken links in der Leiste auf Einen Freund fragen. Schneller geht es vermutlich, wenn Sie im Startmenü nach Remote suchen, der Eintrag Windows-Remoteunterstützung ist der zweite in der Liste. Abbildung 8.44 Hilfe anfordern oder Hilfe geben?

415

8

Kapitel 8 Erweiterte Netzwerkfunktionen Hilfst du mir?

Zunächst kommt die generelle Frage, ob Sie Hilfe erwarten oder Hilfe geben möchten, klicken Sie hier auf das obere Feld. Dann müssen Sie entscheiden, auf welche Weise Sie die Einladung übermitteln wollen.

Abbildung 8.45 Wie soll die Anfrage übermittelt werden?

Sofern Sie die Einladung als Datei speichern, müssen Sie diese auf irgendeine Weise zum PC desjenigen bringen, der Ihnen helfen soll. Falls auf Ihrem System ein unterstütztes E-Mail-Programm installiert ist, können Sie diese Datei direkt von diesem Dialogfeld aus versenden, ansonsten können Sie die Datei beispielsweise über eine Dateifreigabe zu Ihrem Supporter übermitteln.

Hilfe im Internet und Probleme mit dem Netz Das Problem bei diesem Prozess ist, dass der Helfende eine direkte Verbindung von seinem Rechner zum Rechner des um Hilfe Bittenden herstellen muss. In einer LAN-Umgebung ist dies meist kein Problem, sofern aber dieser in einem abgeschlossenen Netzwerk hinter einem NAT-Router steht, wird dies problematisch. Schon bei Windows XP bestand das Problem darin, dass der Client nicht in jedem Fall wusste, welche externe IP-Adresse ihm zugeteilt war, er kannte nur seine eigene und schrieb diese in die Anforderungsdatei hinein. Beim Betrieb hinter einem NAT-Router musste dann eine entsprechende Regel für den Zugriff auf Port 3389 von außen auf den Port des anfordernden Rechnern von innen im Router eingetragen werden. Mit Windows Vista (und somit auch mit Windows 7) wurde eine weitere Schwierigkeit eingebaut. Während bei XP noch ein statischer Port verwendet wurde, um die Verbindung aufzubauen, ist dieser nun dynamisch, was es faktisch unmöglich macht, den Port vorab in einem NAT-Router zu konfigurieren. Um dieses Problem zu lösen, wurde bei Windows 7 eine neue Version der Übertragung der Einladungsdaten mit dem Namen Easy Connect entwickelt. Diese Variante stellt allerdings gewisse Anforderungen an das Netzwerk, dass nämlich ein Router verwendet wird, der das sogenannte Peer Name Resolution Protocol (PNRP – siehe PNRP) unterstützt. Das gesamte Protokoll arbeitet auf Basis von IPv6, was seine heutigen Einsatzmöglichkei-

416

Fernbedienung

ten doch stark schrumpfen lässt. Bis auf Weiteres wird man also bei der Remoteunterstützung auf herkömmliche Einladungsdateien ausweichen.

Listing 8.14 Einladungsdatei Einladung. msrcIncident

In der Einladungsdatei in Listing 8.14 erkennt man am Ende die IPAdresse des Systems (192.168.0.98) und den aktuell verwendeten Port (49226). Die restlichen Daten enthalten in verschlüsselter Form das Kennwort, welches das System generiert, wenn es die Datei erstellt. Hat man das System so konfiguriert, dass Einladungen nur von Systemen mit mindestens Windows Vista empfangen werden können, so sind diese Informationen nicht mehr im Klartext in der Datei lesbar, sie kann auch von einem System mit Windows XP nicht mehr geöffnet werden. Sendet ein System hinter einem NAT-Router auf Basis der Verbindungsfreigabe (siehe den Abschnitt 8.4.3 ab Seite 404), so erkennt die Remoteunterstützung automatisch die Topologie des Netzwerkes und passt die Einladungsdatei entsprechend an:

Listing 8.15 Einladungsdatei hinter einem NATRouter

8

Sie können hier in der Datei sehen, dass sowohl die IP-Adresse des anfragenden Systems (192.168.137.219) mit seiner Portnummer (49835) als auch die externe IP-Adresse des NAT-Routers (192.168.0.97) mit einer dort gültigen Portnummer (56628) eingetragen ist. Parallel dazu wird auf dem NAT-Router automatisch eine entsprechende Veröffentlichungsregel eingetragen. Diese Regel wird nach Beendigung der Remoteunterstützung auch automatisch wieder ausgetragen.

417

Kapitel 8 Erweiterte Netzwerkfunktionen Abbildung 8.46 Veröffentlichung der Remoteunterstützung

Nachdem also die Einladungsdatei (mit der Erweiterung msrcIncident) unter einem frei wählbaren Namen gespeichert wurde, erscheint ein Fenster mit dem für diese Einladung geltenden Kennwort, und der Computer wartet auf den Verbindungsversuch des Unterstützers. Abbildung 8.47 Kennwort für die Unterstützungsanfrage

Mittels Rechtsklick auf das Kennwort lässt sich eine Kopie in die Zwischenablage übernehmen. Wird das Fenster geschlossen, wird die Einladungsdatei nutzlos und kann nicht erneut verwendet werden. Auf dem Computer, von dem aus die Hilfe erfolgen soll, muss die empfangene Einladungsdatei gestartet werden, es erfolgt dann die Abfrage des Kennworts. Abbildung 8.48 Kennwortabfrage bei der Einladung (Windows XP links, Windows 7 rechts)

Sofern das Kennwort korrekt ist, wird die Verbindung mit dem Computer des Hilfesuchenden aufgebaut, der dortige Benutzer muss diesen Vorgang allerdings bestätigen. In einer Firmenumgebung kann man den Prozess auch über ein Skript automatisieren, speichern Sie einfach den folgenden Befehl in einer Datei hilfe.cmd ab, und stellen Sie diese Datei Ihren Benutzern zur Verfügung:

418

Fernbedienung

msra /saveasfile \\server\ra\%COMPUTERNAME%.msrcIncident 12345678

Der Befehl msra.exe startet die Remoteunterstützung, die Freigabe \\server\ra ist ein Bereich auf einem Dateiserver, wo die Anfrage abgelegt werden soll, der Name der Anfrage wird über die Variable %COMPUTERNAME% aus dem Rechnernamen gebildet, und das Kennwort für die Anfrage wird fest auf 12345678 gesetzt. Es ist natürlich vom Sicherheitsstandpunkt aus nicht gut, ein festes und allgemein bekanntes Kennwort zu verwenden, aber die Berechtigungen des Verzeichnisses können ja so gesetzt werden, dass dort von den Benutzern die Dateien nur geschrieben und nicht gelesen werden können. Benötigt nun einer der Benutzer Hilfe, so startet er die Datei hilfe.cmd, und die Hilfeanforderung wird automatisch auf einen Server im Bereich des Supportdienstleisters abgelegt. Abbildung 8.49 Hilfe annehmen?

Nachdem die Verbindung steht, erscheint der Hilfebildschirm auf dem Computer des Unterstützers, hierbei läuft dort die Anwendung helpctr.exe. Abbildung 8.50 Remoteunterstützung von Windows XP aus

8

419

Kapitel 8 Erweiterte Netzwerkfunktionen

Abbildung 8.51: Remoteunterstützung von Windows 7 aus

Die Ansicht der Remoteunterstützung ähnelt sich bei Windows XP und Windows 7, jedoch sind einige Bedienelemente anders angeordnet. Am linken Rand findet sich ein Textbereich, in dem die Kommunikation zwischen den beiden Teilnehmern aufgezeichnet wird, eingeleitet wird die Kommunikation, indem der Helfer unten links seinen Text eingibt und auf die Schaltfläche Senden (bzw. die grüne Pfeiltaste) klickt. Der Hilfeempfänger kann die Kommunikation starten, indem er in dem kleinen Kontrollfenster auf den Menübefehl Chat klickt. Beim Betrachten der beiden Oberflächen in Abbildung 8.50 und Abbildung 8.51 fällt auf, dass kein Bildschirmhintergrund angezeigt wird, die Desktopoberfläche ist einfarbig weiß beziehungsweise schwarz. Dies liegt daran, dass die Verbindung zunächst auf niedrige Bandbreite optimiert wurde. Über den Menüeintrag Einstellungen auf dem System des Hilfesuchenden kann dies aber geändert werden: Abbildung 8.52 Einstellungen für die Übertragung

420

Fernbedienung

Über den Schieberegler Bandbreitenverwendung kann in vier Stufen die Nutzung der Verbindung eingestellt werden, im Erklärungstext rechts davon wird entsprechend angezeigt, welche Bildschirmelemente nicht beziehungsweise nur eingeschränkt übertragen werden. Auf der Helferseite kann über die Schaltflächen Fenster anpassen und Tatsächliche Größe (bei Windows XP rechts über dem Fenster, bei Windows 7 links in der Menüleiste) kontrolliert werden, wie die Darstellung erfolgen soll. Entweder wird das entfernte Bild in den Darstellungsbereich eingepasst, oder die Darstellung erfolgt 1:1, und es werden (sofern der Bildschirmbereich des Helfers nicht groß genug ist) Bildlaufleisten verwendet, um den ganzen Bildschirm zugänglich zu machen. Die Remoteunterstützung unter Windows XP bietet die Funktion Datei senden an, dies führt zwar dazu, dass aufseiten von Windows 7 diese Anfrage ankommt, jedoch bricht der Prozess dann auf Seite von XP mit einer Fehlermeldung ab. Unter Windows 7 ist diese Funktion nicht mehr verfügbar.

Schutz der Privatsphäre Oftmals hat man auf dem Bildschirm Daten stehen, die man einem Supporter nicht zugänglich machen will. Oder man möchte Aktionen ausführen, die dieser nicht sehen soll. Hierfür kann man in der Kontrollanwendung über den Menüeintrag Anhalten beziehungsweise Fortsetzen temporär die Übertragung der Bildschirmansicht unterbrechen, Der Helfer sieht während der Zeit einen komplett schwarzen Bildschirm, eine Kommunikation per Chat ist aber weiterhin möglich.

Kontrolle übernehmen Zunächst kann der Helfer nur beobachten und per Chat kommunizieren, eine Eingriffsmöglichkeit hat er nicht. Sofern er selbst auch Aktionen auf dem fremden System durchführen will, muss er die Kontrolle zunächst anfordern (Schaltfläche Steuerung übernehmen beziehungsweise Steuerung anfordern), der andere kann ihm diese nach Nachfrage dann gestatten oder eben nicht.

8 Abbildung 8.53 Geben Sie die Kontrolle ab?

Das Kontrollkästchen Antwort auf ... Benutzerkontensteuerung zulassen bezieht sich auf den Umgang im UAC-Abfragen bei bestimmten administrativen Aufgaben. Ist dieses Kontrollkästchen nicht aktiviert, so ist der Helfer nicht in der Lage, eine derartige UAC-Abfrage zu beantworten. Kommt eine

421

Kapitel 8 Erweiterte Netzwerkfunktionen

Abfrage, so wird der Bildschirm des Helfers dunkel, und nur der Anwender vor dem lokalen Bildschirm kann das Dialogfeld bedienen. Ist das Kontrollkästchen aktiviert, kann der Helfer die Abfrage wie jedes andere Dialogfeld bedienen. Zum Beenden der Kontrolle kann einer der beiden Teilnehmer die entsprechende Schaltfläche Freigabe beenden bestätigen, die komplette Verbindung wird getrennt, indem entweder der Helfer bei seinem System die Schaltfläche Verbindung trennen betätigt oder die Kontrollapplikation auf dem anderen System geschlossen wird.

Hörspiel und großes Kino Sofern die entsprechende Option (siehe Abbildung 8.52) gesetzt ist, werden die Aktionen während der Remoteunterstützung protokolliert. Hierbei werden aber nicht die Aktionen protokolliert, die zum Beispiel der Helfer auf dem System ausführt, sondern es werden die Aktionen in Bezug auf die Remoteunterstützung und somit insbesondere die Kommunikation im Chat mitgeschrieben. Die Dateien hierzu finden sich im Verzeichnis Remote Assistance Logs unterhalb des Dokumente-Verzeichnisses im Datenbereich des Benutzers. Film ab? Kamera läuft!

Oftmals hat man das Problem, dass man ein Problem nur sehr schlecht in Worte fassen kann, hier ist es hilfreich, wenn man das Problem in Form einer Bilderfolge illustrieren kann. Hierfür existiert bei Windows 7 ein Programm, mit dem man derartige kommentierte Bilderfolgen erstellen kann. Die Funktion kann über die Systemsteuerung im Bereich System und Sicherheit/Wartungscenter gestartet werden. Dann am unteren Ende auf Problembehandlung und in der linken Leiste auf Einen Freund fragen klicken. Im unteren Teil des Fensters wählen Sie darauf Problemaufzeichnung aus. Schneller geht es, wenn einfach das Programm psr.exe (Problemaufzeichnung) gestartet wird.

Abbildung 8.54 Probleme aufzeichnen

Das Programm muss zunächst über die Schaltfläche Aufzeichnung starten aktiviert werden, ab da werden alle Aktionen mitnotiert. Bei Mausaktionen mag es etwas irritieren, dass bei einem Mausklick an der Stelle des Mauscursors ein roter Ball erscheint, der langsam ausgeblendet wird. Über die Schaltfläche Kommentar einfügen kann man die Aufzeichnung mit Text versehen, um die aktuelle Aktion näher zu erläutern. Ein Klick auf die Schaltfläche Aufzeichnung beenden stoppt alles, und die gespeicherten Daten werden in Form eines Zip-Archivs abgelegt. Abbildung 8.55 Das Problemarchiv wird erstellt.

422

Fernbedienung

In dem Archiv liegt eine einzige Datei mit dem Typ MHTML-Dokument (Erweiterung .mht), diese lässt sich beispielsweise mit dem Internet Explorer öffnen, wenn die Archivdatei zu einem Supporter übermittelt wurde, der dann die aufgezeichneten Aktionen analysieren soll. Abbildung 8.56 Ansicht des Problemberichtes

In der Datei sieht man dann die einzelnen Bildschirmfotos gegebenenfalls zusammen mit den Kommentaren. Sofern der Benutzer bestimmte Elemente der Oberfläche bedient, werden diese Aktionen auch automatisch mit entsprechenden Kommentaren versehen: Problemaufzeichnung 16: (08.11.2009 11:05:24) Klick mit der linken Maustaste durch Benutzer auf "Dateityp: (Kombinationsfeld)" in "Speichern unter"

8.6.2

8

Fernsteuerung ohne Zuschauer – Remotedesktop

Im Gegensatz zur Remoteunterstützung, bei der die beiden Teilnehmer zusammen einen Computer bedienen, arbeitet beim Remotedesktop nur derjenige, der sich aus der Ferne mit dem Computer verbindet. Aus Lizenzgründen kann dabei immer nur ein Benutzer mit dem Desktop am System arbeiten. Bei Systemen mit einer Version von Windows Server beträgt dieses Limit drei Benutzer (einer an der lokalen Konsole, zwei per Remotedesktop) im sogenannten Administrationsmodus. Im Terminalservermodus können beliebig viele dort arbeiten, dies muss allerdings separat lizenziert werden.

423

Kapitel 8 Erweiterte Netzwerkfunktionen

Nachdem Remotedesktop aktiviert wurde (siehe Abbildung 8.43, unterer Teil), kann man sich von einem anderen System aus mit der Remotedesktopverbindung (mstsc.exe) an dem System anmelden, diese Anwendung ist unter gleichem Namen auch auf Windows XP verfügbar. Für noch ältere Systeme wie Windows 2000, Windows NT 4.0 oder Windows 95/98 kann die Anwendung unter [DOWN] geladen werden. Abbildung 8.57 Remotedesktopverbindung

Wen soll ich kontrollieren?

424

Im Normalfall müssen Sie einfach nur dem Namen oder die IP-Adresse des gewünschten Computers eingeben und die Schaltfläche Verbinden klicken. Über den Link Optionen kann die Verbindung gesondert konfiguriert werden, hierbei sind die folgenden Einstellungen auf den dann sichtbaren Registerkarten möglich: 왘 Allgemein – Sie können einen Benutzername angeben, der für die Anmeldung am anderen System verwendet werden soll. Zudem können Sie die kompletten Verbindungsinformation (auf Wunsch auch inklusive Kennwort) in einer .rdp-Datei speichern. Wollen Sie später die Verbindung erneut aufbauen, reicht der Aufruf dieser Datei aus. Dies empfiehlt sich beispielsweise für Administratoren, die regelmäßig auf bestimmte Systeme zugreifen müssen. 왘 Anzeige – Hier können Sie kontrollieren, mit welcher Auflösung und Farbtiefe Sie arbeiten wollen. Für rein administrative Aufgaben kann man hier Bandbreite sparen und Geschwindigkeit gewinnen, wenn man von den maximalen Werten Abstand nimmt. 왘 Lokale Ressourcen – Eine Besonderheit beim Remotedesktop besteht darin, dass Geräte, die am lokalen Arbeitsplatz vorhanden sind, auch auf dem kontaktierten Gerät zur Verfügung stehen, etwa Drucker oder lokale Laufwerke. Hier kann kontrolliert werden, welche tatsächlich verfügbar gemacht werden. 왘 Programme – Hier kann ein Programm angegeben werden, das automatisch nach Aufbau der Verbindung startet. Diese Funktionalität ist allerdings nur verfügbar bei Verbindung mit einem Terminalserver. 왘 Erweitert – In Abhängigkeit von der Bandbreite der Verbindung können verschiedene Elemente der Darstellung unterdrückt werden, die Einstellmöglichkeiten reichen dabei von Verbindungen über Modem mit 56 KBit/s bis bin zu LAN mit 10 MBit/s oder höher. Die einzelnen Bildelemente können auch separat ausgewählt werden. Zudem kann angegeben werden, ob bei einem Verbindungsabbruch die Verbindung erneut hergestellt werden soll.

Fernbedienung 왘 Leistung – Der Name ist ziemlich unpassend gewählt. Tatsächlich geht

es hier um Sicherheit. Mit der Einstellung Serverauthentifizierung kann kontrolliert werden, ob sich auch der angefragte Server gegenüber dem Client ausweisen muss, etwa um zu verhindern, dass ein falscher Server versehentlich die Anmeldedaten entgegennimmt. Bei Verbindung mit einem System mit Windows 7 oder Windows Server 2008 präsentiert der Server ein Zertifikat, in dem der Name des Servers steht. Dieser Name sollte übereinstimmen mit der Adresse, die im Remotedesktopclient zum Verbindungsaufbau verwendet wird (analog einer SSL-Verbindung zu einer HTTPS-Seite im Web). Ist dies nicht der Fall, so erscheint, je nach gewählter Einstellung, entweder eine Warnung (siehe Abbildung 8.58), oder die Verbindung wird nicht zugelassen. Im Bereich Verbindung von überall aus herstellen können Sie die Verbindung über einen Gatewayserver konfigurieren. Mit einem solchen Server kann in einer Firmenumgebung die Verbindung zu einem Remotedesktop im Inneren des LAN von außen über eine HTTPS-Verbindung hergestellt werden. Abbildung 8.58 Falsche Identität beim Remotedesktop?

8

Nachdem der gewünschte Benutzername und das Kennwort eingegeben sind und gegebenenfalls die Zertifikatswarnung bestätigt wurde, hängt der weitere Ablauf davon ab, mit welchem System man sich verbindet und wer dort aktuell angemeldet ist. 왘 Anmelden an Windows Server 2008, verwendeter Benutzer ist lokal an Konsole angemeldet – Benutzer an Konsole wird abgemeldet, kompletter Desktop erscheint auf Remotedesktop. 왘 Anmelden an Windows Server 2008, verwendeter Benutzer ist nicht lokal angemeldet – Die lokale Anmeldung am Server bleibt bestehen, die Anmeldung per Remotedesktop arbeitet als zusätzlicher Benutzer parallel. 왘 Anmelden an Windows 7, verwendeter Benutzer lokal an Konsole angemeldet – Benutzer an Konsole wird abgemeldet, kompletter Desktop erscheint auf Remotedesktop. 왘 Anmelden an Windows 7, verwendeter Benutzer ist nicht lokal angemeldet – Zunächst erhält der Remotebenutzer eine Mitteilung, dass lokal bereits ein Benutzer arbeitet, er muss bestätigen, dass er dessen

425

Kapitel 8 Erweiterte Netzwerkfunktionen

Arbeit abbrechen will (siehe Abbildung 8.59), er bekommt dabei nicht angezeigt, wer gerade lokal am System arbeitet. Hat er diese Meldung bestätigt, wird der lokale Benutzer darüber informiert, dass ein anderer Benutzer die Kontrolle über das System übernehmen will (siehe Abbildung 8.60), dies kann er entweder bestätigen oder ablehnen. Tut er nichts, so geht die Kontrolle nach 30 Sekunden automatisch auf den Remotebenutzer über. Abbildung 8.59 Eine Anmeldemeldung: Arbeit unterbrechen?

Abbildung 8.60 Lassen wir uns unterbrechen?

Abbildung 8.61 Nein, lassen wir nicht!

Lehnt der Benutzer ab, so erhält man eine entsprechende Nachricht. Der gleiche Prozess läuft auch, wenn sich ein Benutzer lokal anmelden will, während ein anderer Benutzer remote auf das System zugreift.

8.6.3

Gastarbeiter – RemoteApp

In Zusammenarbeit mit einem Windows Server 2008 als Terminalserver ist eine besondere Form der Fernarbeit möglich: RemoteApp. Hierbei werden einzelne Anwendungen auf dem Terminalserver publiziert, sodass ein Benutzer über das Netzwerk nicht mehr den kompletten Desktop, sondern nur noch die einzelne Anwendung auf seinem lokalen Bild-

426

Fernbedienung

schirm sieht. Die derartig publizierten Anwendungen können dann beispielsweise in Form einer .rdp-Datei gespeichert werden, die zu den jeweiligen Clientrechnern übertragen werden. Startet ein Benutzer auf seinem System eine dieser .rdp-Dateien, wird automatisch die betreffende Anwendung auf dem Server gestartet, aber wie eine lokale Anwendung auf dem eigenen System dargestellt.

Abbildung 8.62: Zweimal calc.exe

Im Beispiel in Abbildung 8.62 wurde von dem Server die Anwendung „Wichtige“ calc.exe publiziert und über die entsprechende .rdp-Datei auch gestartet Programme (links). Parallel dazu wurde auch die lokale Anwendung calc.exe gestartet überall verfügbar (rechts). Der linke Taschenrechner wird im Task-Manager als (remote) gekennzeichnet, wird aber tatsächlich vom Programm mstsc.exe dargestellt. Im Info-Bildschirm erkennt man die Herkunft der beiden Anwendungen. Zudem ist klar, dass der linke Taschenrechner nicht direkt auf dem lokalen System läuft, da die angegebene Größe des physikalischen Speichers nicht für Windows 7 ausreichend wäre. Die Anzeige dieser RemoteApps kann auch auf Windows XP erfolgen.

Wofür kann man RemoteApp einsetzen? Generell eignen sich die Terminalservices dann, wenn man Applikationen nicht mehr auf einer Vielzahl von Systemen installieren und pflegen möchte oder wenn die Anforderungen der Anwendung an das System zu hoch für den Client am Arbeitsplatz sind. Das Problem besteht aber darin, dem Anwendern klarzumachen, dass sie dann quasi zwei Bildschirme (einen lokal, einen remote) vor sich haben und wie sie jeweils zwischen denen wechseln können und müssen. Mit den RemoteApps verschwindet der zusätzliche Desktop, alle laufenden Anwendungen des Benutzers sehen wie ganz normale Fenster aus und können auch entsprechend behandelt werden.

427

8

Kapitel 8 Erweiterte Netzwerkfunktionen

8.7

Datei- und Druckfreigabe

Die gemeinsame Nutzung von Dateien (und Druckern) durch verschiedene Geräte über ein Netzwerk wurde von Microsoft erstmals mit MSDOS 3.0 eingeführt, indem für Anwendungsprogramme eine Programmierschnittselle (API) angeboten wurde, die es zuließ, den Zugriff auf Daten einer Datei über ein Netzwerk umzuleiten. Die Anwendungsprogramme mussten dabei nicht verändert werden und erfahren im Allgemeinen nicht, dass die Datei, die sie gerade bearbeiten, nicht auf dem lokalen System liegt.

8.7.1

Dateien und Drucker freigeben

Um Dateien und Drucker freigeben zu können, müssen zunächst einige Voraussetzungen erfüllt sein: 왘 Der entsprechende Dienst muss aktiviert sein – Der Dienst heißt Server und hat den Kurznamen LanmanServer. 왘 Der Dienst muss an einem oder mehrere Netzwerkadapter gebunden sein (siehe Abbildung 8.4). 왘 Der Dienst muss in dem aktuellen Netzwerkprofil aktiviert sein (siehe Abbildung 8.11). 왘 Der Zugriff auf den Dienst muss in der Firewall ermöglicht sein (siehe den Abschnitt 8.3 ab Seite 389). Erst dann kann der Benutzer eine Freigabe eines Objektes aktivieren. Prinzipiell werden bei einer Freigabe (etwa eines Ordners) immer auch sämtliche in diesem Ordner enthaltenen Elemente (Unterordner und Dateien) mit freigegeben. Für den Zugriff auf die Elemente in der Freigabe wird der Zugriff des externen Benutzers durch den Benutzeraccount ersetzt, mit dem sich der Benutzer am freigegebenen System anmeldet. Welche Berechtigungen dann möglich sind, ergibt sich nicht allein aus den Berechtigungen im Dateisystem (NTFS-Berechtigungen, siehe Kapitel 6), sondern zusätzlich auch über die Freigabeberechtigungen. Die tatsächlichen Berechtigungen ergeben sich dann immer aus der Kombination der beiden Berechtigungen, eine Berechtigung wird also nur erteilt, wenn sie sowohl von den NTFS-Berechtigungen als auch von den Freigabeberechtigungen gestattet wird. Sofern ein Bereich auf einem Datenträger freigegeben wird, der mit FAT formatiert wurde, gelten nur die Freigabeberechtigungen. Während die NTFS-Berechtigungen bis auf die Ebene einer einzelnen Datei separat eingestellt werden können, gelten die Freigabeberechtigungen immer für die komplette Freigabe. Ebenso können die NTFS-Berechtigungen sehr granular eingestellt werden, bei den Freigabeberechtigungen sind nur drei Optionen möglich:

428

Datei- und Druckfreigabe

Freigabeberechtigung

Auswirkung

Vollzugriff

Enthält die Berechtigungen Ändern und Lesen und zusätzlich noch das Recht über die Netzwerkverbindung, auch die NTFS-Berechtigungen auf dem Datenträger zu ändern.

Ändern

Dateien können geschrieben und verändert werden.

Lesen

Dateien können gelesen, Verzeichnisse können angezeigt werden, Programme können ausgeführt werden.

Tabelle 8.1 Freigabeberechtigungen

Abbildung 8.63 Freigabeberechtigungen

Es ist durchaus möglich, dass ein Benutzer, der über das Netzwerk auf eine Datei zugreift, weniger Berechtigungen hat, als wenn er direkt lokal am System sitzen würde.

8

Gedanken zur Auswahl der Freigabeberechtigungen Wenn eine Freigabe neu eingerichtet wird, legt das System diese meist mit der Berechtigung Jeder: Vollzugriff an und überlässt es den NTFS-Berechtigungen, auf Dateiebene für den Zugriffsschutz zu sorgen. Dieses Verfahren ist meiner Meinung nach zwar bequem, sollte aber trotzdem nicht so angewendet werden. Bei der Gestaltung der Freigaben und der Freigabeberechtigungen sollten folgende Punkte beachtet werden: 왘 Möglichst für getrennte Benutzergruppen auch getrennte Freigaben einrichten. 왘 Zugriff auf die Freigabe nur für diejenigen Gruppen und Benutzer einrichten, die prinzipiell Bedarf an dem Zugriff haben, nach Möglichkeit keine Berechtigung für Jeder. 왘 Nach Möglichkeit auch nicht die Berechtigung Vollzugriff verwenden, damit die Benutzer über das Netzwerk nicht versehentlich die NTFSBerechtigungen setzen können.

429

Kapitel 8 Erweiterte Netzwerkfunktionen

Eine Freigabe einrichten Um eine Freigabe einzurichten, sind verschiedene Verfahrensweisen möglich. 왘 Über den Explorer – Navigieren Sie im Explorer zu dem Verzeichnis, welches das freizugebende Verzeichnis enthält. Dann wählen Sie aus dem Kontextmenü des Verzeichnisses oder der Menüleiste des Explorers den Eintrag Freigeben für und dann die gewünschte Aktion aus. 왘 Über den Explorer – Navigieren Sie im Explorer zu dem Verzeichnis, welches das freizugebende Verzeichnis enthält. Dann wählen Sie aus den Eigenschaften des Ordners die Registerkarte Freigabe und darin die Schaltfläche Freigabe. Abbildung 8.64 Registerkarte Freigabe

Diese beiden Verfahren arbeiten mit der sogenannten einfachen Freigabe. Hierbei werden in einem Schritt sowohl die Berechtigungen der Freigabe als auch die dazu passenden NTFS-Berechtigungen gesetzt. Ein zusätzlicher Effekt tritt ein, wenn der jeweilige Ordner Unterordner eines bereits freigegebenen Ordners ist, in diesem Fall wird keine neue Freigabe erstellt, sondern dem Benutzer einfach der entsprechend längere Netzwerkpfad (Zugriffspfad) auf die Freigabe angezeigt. Listing 8.16 Verzeichnis vor der Freigabe ...

>cacls \verzeichnis C:\verzeichnis WIN-RVOJVLD55U6\jochenr-admin:(OI)(CI)F VORDEFINIERT\Administratoren:F VORDEFINIERT\Administratoren:(OI)(CI)(IO)F NT-AUTORITÄT\SYSTEM:F NT-AUTORITÄT\SYSTEM:(OI)(CI)(IO)F >cacls \verzeichnis C:\verzeichnis WIN-RVOJVLD55U6\jochenr-admin:(OI)(CI)F VORDEFINIERT\Administratoren:F VORDEFINIERT\Administratoren:(OI)(CI)(IO)F

430

Datei- und Druckfreigabe NT-AUTORITÄT\SYSTEM:F NT-AUTORITÄT\SYSTEM:(OI)(CI)(IO)F WIN-RVOJVLD55U6\HomeUsers:(OI)(CI)F

Im Vergleich von Listing 8.16 und Listing 8.17 erkennt man die Berechtigungen eines Verzeichnisses der Hauptebene vor und nachdem es mit der Funktion Freigeben für/Heimnetzgruppe (Lesen/Schreiben) bearbeitet wurde. Die Heimnetzgruppe wird hierbei durch die lokale Gruppe HomeUsers dargestellt. Wird diese Freigabe über die Funktion Freigeben für/Niemand wieder entfernt, so werden die Berechtigungen für diese Gruppe ebenfalls entfernt.

Listing 8.17 ... und nach der Freigabe für die Heimnetzgruppe

Wird die Funktion Freigeben für/Bestimmte Personen ausgewählt beziehungsweise die Schaltfläche Freigabe, so erhält man die Möglichkeit, gezielt einzelnen Benutzern Freigabeberechtigungen zu erteilen. Abbildung 8.65 Gezielte Auswahl von Benutzern und deren Berechtigungen

Im oberen Listenfeld links neben der Schaltfläche Hinzufügen können Sie die lokal auf dem System vorhandenen Benutzer hinzufügen. Mit dem Dreieckssymbol in der Spalte Berechtigungsebene können Sie für den jeweiligen Benutzer die gewünschte Berechtigung einstellen beziehungsweise den Benutzer wieder von den Berechtigungen entfernen, Nach einem Klick auf die Schaltfläche Freigabe werden die entsprechenden Änderungen auch in den NTFS-Berechtigungen im Dateisystem durchgeführt.

8

Die erweiterte Freigabe Mit der Schaltfläche Erweiterte Freigabe in Abbildung 8.66 können weitere Einstellungen im Bereich der Freigaben erstellt werden. Mit dem Kontrollkästchen Diesen Ordner freigeben kann generell die Freigabe aktiviert beziehungsweise deaktiviert werden. Wird hierdurch eine Freigabe beendet, die zuvor mit der einfachen Freigabe freigegeben wurde, so bleiben die damals gesetzten NTFS-Berechtigungen erhalten.

431

Kapitel 8 Erweiterte Netzwerkfunktionen Abbildung 8.66 Erweiterte Freigaben

Mit den Schaltflächen Hinzufügen und Entfernen können zusätzliche Namen für die Freigabe vergeben werden, die dann auch jeweils unterschiedliche Freigabeberechtigungen erhalten können. Diese Funktion kann man beispielsweise verwenden, wenn man die Dateien einer Freigabe auf unterschiedliche Datenträger verlagern will. Hierbei legt man zunächst eine zweite Freigabe an und stellt alle Klienten auf die Verwendung des neuen Freigabenamens um. Erst wenn dieser Schritt vollzogen ist, trennt man die jeweiligen Verzeichnisse auch physisch. Wird der Freigabename mit einem $-Zeichen beendet, wird die Freigabe nicht beim Durchsuchen des Computers im Netzwerk angezeigt. Üblicherweise hat jedes System, bei dem die Datei- und Druckfreigabe aktiviert ist, auch automatisch sogenannte Administrative Freigaben eingerichtet. Diese sind sämtliche lokale Datenträger (zum Beispiel C$ für Laufwerk C:) sowie das Windows-Systemverzeichnis unter dem Namen ADMIN$. Möchte man diese Freigaben verhindern, so muss man dies über die Registry ausführen, allerdings kann dies ungewollt andere Probleme verursachen. Generell sind diese Freigaben kein Risiko, da nur ein Benutzer mit administrativen Rechten auf sie zugreifen kann; hat allerdings ein Angreifer bereits administrative Berechtigungen auf einem System, so hat man noch ganz andere Probleme als nur die administrativen Freigaben. Eine detaillierte Auflistung von möglichern Problemen bei der Abschaltung der Freigaben ist unter [ADMIN] zu erhalten. Mit der Einstellung Zugelassene Benutzeranzahl kann man die Anzahl der gleichzeitigen Verbindungen beschränken, die hier gezeigte Anzahl von 20 entspricht der maximalen Anzahl gleichzeitiger Verbindungen, die gemäß der Lizenz für dieses Betriebssystem zugelassen sind. Wichtiger ist diese Einstellung bei den Serverversionen, die keine derartige Limitierung kennen. In das Kommentarfeld kann ein Text eingegeben werden, dieser ist sichtbar, wenn man die Freigaben lokal (siehe Listing 8.19) oder remote (siehe Listing 8.20) auflistet. Mit der Schaltfläche Berechtigungen erhält man die Möglichkeit, die Freigabeberechtigungen einzustellen (siehe Abbildung 8.63), hierbei hat man

432

Datei- und Druckfreigabe

Zugriff auf alle vorhandenen Benutzer und Gruppen zur Rechtevergabe und nicht nur auf die eingeschränkte Auswahl wie im entsprechenden Dialogfeld der einfachen Freigabe. Mit der Schaltfläche Zwischenspeichern kann man kontrollieren, ob und wie Dateien in dieser Freigabe auf Clients verfügbar gemacht werden, wenn das freigebende System nicht verfügbar ist (siehe hierzu den Abschnitt 8.8 ab Seite 442).

Freigabe auf der Kommandozeile einrichten Mit dem Befehl net share lassen sich Freigaben sowohl erstellen als auch wieder entfernen, erstaunlicherweise können normale Benutzer zwar eine Freigabe erstellen, zum Beenden der Freigabe müssen sie aber über administrative Berechtigungen verfügen. >net share verzeichnis=c:\verzeichnis verzeichnis wurde erfolgreich freigegeben. >net share verzeichnis=c:\verzeichnis /grant:user,read /grant:jochenr-admin,change verzeichnis wurde erfolgreich freigegeben.

Listing 8.18 Freigaben erstellen und löschen mit net share

>net share verzeichnis /delete verzeichnis wurde erfolgreich gelöscht.

Bei der ersten Freigabe in Listing 8.18 werden keine Angaben über die Freigabeberechtigungen gemacht, die Freigabe wird somit mit Leseberechtigung für Jeder angelegt. Bei der zweiten Freigabe werden die Berechtigungen entsprechend der Argumente gesetzt.

8.7.2

Der öffentliche Ordner und der Gast

Im Bereich der Erweiterten Freigabeeinstellungen im Netzwerk- und Freigabecenter gibt es zwei Einstellungen, die sich speziell auf die öffentlichen Ordner und den Umgang mit dem Benutzer Gast beziehen.

8

Die eine Einstellung ist Freigabe des öffentlichen Ordners. Wird diese bei einem der Netzwerkprofile aktiviert, so werden die NTFS-Berechtigungen des Ordners \users\public mit der Berechtigung Jeder:Full versehen. Die zweite Einstellung ist Kennwortgeschütztes Freigeben. Ist diese Einstellung ausgeschaltet, wird der Benutzer Gast aktiviert, alle Zugriffe, die über das Netz erfolgen, werden dann auf dem System mit dem Benutzer Gast durchgeführt. Die Kombination der beiden Einstellungen Keine Freigabe des öffentlichen Ordners und Kein kennwortgeschütztes Freigeben bereiten hierbei Probleme, weil die erste Einstellung die Berechtigung für Jeder (die Gruppe, die auch Gast enthält) entfernt und die zweite jede Anmeldung eines Benutzers (auch wenn er mit gleichem Kennwort lokal existiert) durch den Benutzer Gast ersetzt. In Kombination bedeutet dies, dass sich fremde System zwar mit dem Rechner verbinden dürfen, dort jedoch aufgrund mangelnder Berechtigungen nicht zugreifen können.

433

Kapitel 8 Erweiterte Netzwerkfunktionen

8.7.3

Freigaben nutzen

Während lokale Dateien aus einem Laufwerksbuchstaben, einer Reihe von Verzeichnisnamen und einem Dateinamen bestehen, reicht diese Namensgebung für Zugriffe auf ein Netzwerk nicht mehr aus. Hier wird der Pfad zur Datei mit der Angabe des Rechnernamens und der dortigen Freigabe begonnen, beispielsweise \\server\freigabe\verzeichnis\datei.txt. Die Angabe server kann dabei sowohl ein NetBIOS-Kurzname, ein DNS-Name (FQDN) als auch eine IP-Adresse sein. Der Zugriff auf das Netzwerk erfolgt am einfachsten über den Eintrag Netzwerk in der linken Spalte der Computer-Anzeige aus dem Startmenü. Nach dem Klick auf den Eintrag baut sich im Hauptfenster eine Übersicht über alle aktuell im Netz gefundenen Computer auf. Diese Systeme werden aber nur erkannt, wenn im aktuellen Netzwerkprofil die Einstellung Netzwerkerkennung einschalten aktiviert ist (siehe Abbildung 8.11). Wenn Sie häufiger das Netzwerk durchsuchen müssen, können Sie mit der Funktion Desktopsymbole in der Systemsteuerung auch dafür sorgen, dass das Netzwerk-Symbol direkt auf dem Desktop angezeigt wird. Abbildung 8.67 Das Netzwerk durchsuchen

Im Bereich Multimedia werden die Geräte angezeigt, die Multimediadaten zur Verfügung stellen, wahlweise als Freigabe oder als Stream (Übertragung der Dateiinhalte als kontinuierliche Bytefolge). Im Bereich Netzwerkinfrastruktur werden Geräte angezeigt, die aufgrund von UPnP (Universal Plug and Play) erkannt werden. Sobald man doppelt auf eines der Computersymbole klickt, bekommt man alle Freigaben angezeigt, die dieser Computer anbietet, mit Ausnahme der Freigaben, die durch ein $-Zeichen am Ende des Namens als verborgen markiert wurden.

Netzfreigaben mit Laufwerksbuchstaben verknüpfen Greift man häufiger auf eine bestimmte Freigabe zu, kann man der Kombination aus Servername und Freigabename (eventuell ergänzt durch weitere Verzeichnisse) einen eigenen Laufwerksbuchstaben zuordnen.

434

Datei- und Druckfreigabe

Auf Wunsch kann diese Zuordnung auch automatisch nach einem Neustart erneut vorgenommen werden. Den Zusammenhang zwischen lokaler Datei auf dem Server und Datei auf dem Client erläutert die folgende Abbildung 8.68. Auf dem Server wird das Verzeichnis D:\verz1\verz2\ verz3 unter dem Namen freigabe freigegeben. Der Client verbindet das Laufwerk X: mit dem Netzwerkpfad \\server\freigabe\verz4. Somit greift der Client, der die Datei X:\verz5\datei.txt öffnet, tatsächlich auf die Datei D:\verz1\verz2\verz3\verz4\verz5\datei.txt auf dem Server zu. Bei der Freigabe von tief verschachtelten Ordnern müssen Sie aufpassen, dass Sie dann auf der Server-Seite nicht versehentlich Pfadnamen erzeugen, die länger als 255 Zeichen sind, da diese von den Systemfunktionen nicht mehr bearbeitet werden können. Der Artikel unter [MAXPATH] zeigt hierzu verschiedene Verfahren zur Umgehung des Problems.

Server

D:\verz1\verz2\verz3\verz4\verz5\datei.txt \\server\freigabe \\server\freigabe\verz4\verz5\datei.txt

Abbildung 8.68 Zuordnung zwischen Dateinamen lokal und remote

X: = \\server\freigabe\verz4

Client

X:\verz5\datei.txt

Öffnet man den Eintrag Computer im Startmenü, erkennt man die verbundenen Netzlaufwerke daran, dass sie mit einem anderen Symbol dargestellt werden und in einer separaten Gruppe zusammengefasst sind. Abbildung 8.69 Lokale und Netzwerkdatenträger

Über das Kontextmenü eines derartigen Laufwerkes kann mit der Funktion Trennen die Verbindung wieder unterbrochen werden.

435

8

Kapitel 8 Erweiterte Netzwerkfunktionen

Um die Verbindung herzustellen, gibt es prinzipiell zwei Möglichkeiten: 1. Man weiß sowohl den Namen des Servers als auch den der Freigaben. 2. Man weiß es nicht und muss danach im Netzwerk erst suchen. Die Verbindung Rufen Sie zunächst die Funktion Netzlaufwerk verbinden auf, diese befindet ist vielleicht sich rechts vom Eintrag Programm deinstallieren oder ändern in der Menüverborgen? leiste, möglicherweise müssen Sie dort zunächst auf >> klicken. Das Her-

stellen der Verbindung wird dann über einen Assistenten durchgeführt.

Abbildung 8.70 Suchen einer Freigabe im Netzwerk

Im Feld Laufwerk wird der nächste verfügbare Laufwerksbuchstabe angezeigt, für Netzwerke werden die Buchstaben dabei von Z: an abwärts vergeben, um nicht mit den lokalen Buchstaben, die von C: an aufwärts vergeben werden, zu kollidieren. Falls Sie einen bestimmten Buchstaben verwenden möchten (etwa P: für ein Projektverzeichnis), so können Sie dies entsprechend abändern. In das Feld Ordner können Sie den Namen der Freigabe direkt eintragen, wenn Sie ihn kennen, ansonsten können Sie über die Schaltfläche Durchsuchen die Systeme und deren Freigaben anzeigen lassen (in der Abbildung 8.70 sehen Sie beispielsweise, dass auf dem Rechner ADMIN-PC eine Freigabe Users existiert, unter der verschiedene Unterverzeichnisse vorhanden sind). Mit dem Kontrollkästchen Verbindung bei Anmeldung wiederherstellen können Sie festlegen, ob die Laufwerksverbindung automatisch beim erneuten Anmelden wieder eingetragen werden soll. Diese Einstellung sollten Sie nur für die Verbindungen setzen, die Sie tatsächlich dauerhaft benötigen. Ist das Kontrollkästchen aktiviert, verzögert sich die Anmeldung so lange, bis die Laufwerke tatsächlich verbunden sind. Das Kontrollkästchen Verbindung mit anderen Anmeldeinformationen herstellen müssen Sie verwenden, falls Ihr lokaler Benutzeraccount auf dem anderen Server nicht bekannt ist. Diese Einstellung wird allerdings nicht beim Durchsuchen der Freigaben verwendet. Dies findet immer mit dem aktuellen Benutzerkonto und Kennwort statt.

436

Datei- und Druckfreigabe Abbildung 8.71 Einen anderen Benutzer verwenden

Mit dem Kontrollkästchen Anmeldedaten speichern kann man die hier festgelegten Einstellungen für weitere Verbindungen zu dem Server erneut nutzen, ansonsten muss man für jede Verbindung die Daten erneut eingeben.

Gespeicherte Kennwörter verwalten Die derartig verwendeten Kennwörter können über Systemsteuerung/ Benutzerkonten und Jugendschutz/Anmeldeinformationsverwaltung kontrolliert werden. Alternativ können Sie auch nach dem Eintrag Netzwerkkennwörter verwalten suchen. Diese Kennwörter werden in einem als Tresor bezeichneten Element gespeichert. Über die Links Tresor sichern und Tresor wiederherstellen kann eine Sicherungsdatei dieser Daten (Dateityp .crd) erstellt beziehungsweise restauriert werden. Aus Sicherheitsgründen muss diese Datei natürlich mit einem Kennwort gesichert werden. Damit dieses Kennwort nicht kompromittiert werden kann, muss es dabei über einen sicheren Desktop (analog einer UAC-Abfrage) eingegeben werden. Abbildung 8.72 Gespeicherte Kennwörter

8

437

Kapitel 8 Erweiterte Netzwerkfunktionen

Im Bereich Windows-Anmeldeinformationen sehen Sie sämtliche Systeme, für die Sie Kontoinformationen gespeichert haben und wann dies erfolgt ist. Mit den Symbolen (½) und (¼) können Sie die Details jeweils aus- und einblenden. Zu jedem System können Sie dann sehen, mit welchem Benutzernamen Sie sich an dem dortigen System angemeldet haben, mit den beiden Links direkt darunter können die Daten abgeändert (wenn sich beispielsweise das Kennwort auf dem Server geändert hat) oder entfernt werden. Auf Wunsch können Sie auch bereits vorab über den Link Windows-Anmeldeinformationen hinzufügen für einen Computer diese Daten festlegen. Wenn aus Sicherheitsgründen eine derartige Speicherung der Kennwörter verhindert werden soll, kann dies über eine Gruppenrichtlinie im Bereich Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen/Netzwerkzugriff: Speicherung von Kennwörtern nicht zulassen untersagt werden.

Freigaben per Kommandozeile verbinden Über die Kommandozeile kann mit dem Befehl net use sowohl eine Auflistung der vorhandenen Verbindungen angezeigt als auch eine neue hergestellt werden. Ohne jeglichen Parameter werden alle Laufwerke angezeigt, die über eine Netzwerkverbindung angebunden sind. Möchte man eine Verbindung herstellen, so gibt man im einfachsten Fall einfach den Befehl net use * \\server\freigabe an. Der Parameter * gibt hierbei an, dass der nächste freie Laufwerksbuchstabe verwendet wird, ansonsten muss man einen expliziten Buchstaben angeben, die Verbindung wird hierbei mit dem aktuellen Benutzernamen hergestellt. Mit weiteren Parametern kann man den Benutzernamen bestimmen, der verwendet werden soll, die genaue Erläuterung finden Sie in der Online-Hilfe mit net use /?.

Probleme beim Verbinden Generell ist es nicht möglich, mit einem Serversystem zwei Verbindungen aufzubauen, die jeweils getrennte Benutzer zur Verbindung verwenden. Versucht man eine solche zweite Verbindung herzustellen, erhält man folgende Fehlermeldung: Abbildung 8.73 Doppelte Namen sind untersagt.

Es gibt jedoch eine Möglichkeit, diese Beschränkung zu umgehen: Verbinden Sie anstelle mit dem Namen mit der IP-Adresse des Rechners.

438

Datei- und Druckfreigabe >net use * \\WIN-RVOJVLD55U6\verzeichnis /user:user Systemfehler 1219 aufgetreten. Mehrfache Verbindungen zu einem Server oder einer freigegebenen Ressource von demselben Benutzer unter Verwendung mehrerer Benutzernamen sind nicht zulässig. Trennen Sie alle früheren Verbindungen zu dem Server bzw. der freigegebenen Ressource, und versuchen Sie es erneut. >net use * \\192.168.137.219\verzeichnis /user:user Geben Sie das Kennwort für "user" ein, um eine Verbindung mit "192.168.137.219" herzustellen: Laufwerk Z: ist jetzt mit \\192.168.137.219\verzeichnis verbunden. Der Befehl wurde erfolgreich ausgeführt.

8.7.4

Freigaben kontrollieren

Es gibt verschiedene Befehle, um den Status der Freigaben zu kontrollieren beziehungsweise anzuzeigen, welche Freigaben und Dateien genutzt werden.

Freigabekontrolle mittels Computerverwatung Wenn Sie die Funktion Verwalten aus dem Kontextmenü des Computer-Eintrags im Startmenü aufrufen, können Sie unter System/Freigegebene Ordner in den drei Unterordnern die folgenden Funktionen ausführen: 왘 Freigaben – Listet die aktuell eingerichteten Freigaben auf, über das Kontextmenü lässt sich die Freigabe beenden, lassen sich die Freigabeberechtigungen einstellen und ein Explorer in dem freigegebenen Verzeichnis starten. In der Übersicht wird angezeigt, wie viele Klienten aktuell mit der Freigabe verbunden sind. Über das Kontextmenü des freien Bereiches kann auch eine neue Freigabe über einen Assistenten eingerichtet werden. Abbildung 8.74 Freigabe-Assistent

439

8

Kapitel 8 Erweiterte Netzwerkfunktionen 왘 Sitzungen – Für jede Verbindung wird angezeigt, welcher Nutzer von

welchem System aus mit einer Freigabe verbunden ist. Zudem wird angezeigt, wie viele Dateien der Benutzer geöffnet hat, wann die Verbindung hergestellt wurde und wie viel Zeit seit der letzten Aktion (Leerlaufzeit) vergangen ist. Über das Kontextmenü der Verbindung kann diese zwangsweise geschlossen werden. 왘 Geöffnete Dateien – Alle geöffneten Dateien werden angezeigt, zudem wird angegeben, in welchem Modus diese geöffnet und ob Sperren auf der Datei eingetragen sind. In Abbildung 8.75 können Sie sehen, dass nicht nur einzelne Dateien als geöffnet angezeigt werden, sondern auch die Verzeichnisse, in denen diese Dateien liegen. Abbildung 8.75 Geöffnete Dateien in der Computerverwaltung

Auflisten, welche Freigaben lokal auf dem System existieren Der Befehl net share gibt an, welche Freigaben eingerichtet sind. In der Auflistung sehen Sie den Namen der Freigabe, den die Clients verwenden, um sich zu verbinden, welche lokale Ressource freigegeben ist und einen optionalen Kommentar. Listing 8.19 Auflisten der Freigaben mit net share

>net share Name Ressource Beschreibung --------------------------------------------------------------C$ C:\ Standardfreigabe IPC$ Remote-IPC ADMIN$ C:\Windows Remoteverwaltung testdaten C:\testdaten Users C:\Users verzeichnis C:\verzeichnis Eine Freigabe Der Befehl wurde erfolgreich ausgeführt.

Ruft man den Befehl mit dem Namen einer Freigabe als Parameter auf, erhält man eine Auflistung der Freigabeberechtigungen.

440

Datei- und Druckfreigabe

Auflisten, welche Freigaben auf einem entfernten System existieren Mit dem Befehl net view kann angezeigt werden, welche Freigaben auf einem entfernten System existieren. Diese Angabe besagt allerdings noch nicht, dass man sich auch mit diesen Freigaben verbinden kann. >net view \\WIN-RVOJVLD55U6.mshome.net Freigegebene Ressourcen auf \\WIN-RVOJVLD55U6.mshome.net Freigabename Typ Verwendet als Kommentar --------------------------------------------------------------testdaten Platte Z: Users Platte verzeichnis Platte Eine Freigabe Der Befehl wurde erfolgreich ausgeführt.

Listing 8.20 Auflisten der Freigaben eines entfernten Systems

Im Vergleich von Listing 8.19 mit Listing 8.20 fällt auf, dass die Freigaben, deren Namen mit einem $-Zeichen enden (C$, IPC$, ADMIN$), auf dem anderen System nicht gesehen werden. Das $-Zeichen am Ende des Freigabenamens kennzeichnet eine verborgene Freigabe.

Anzeige der aktiven Verbindungen und offenen Dateien Mit den beiden Befehlen net session und net files kann angezeigt werden, welche Verbindungen zu einem System hergestellt und welche Dateien dabei geöffnet sind. Beide Befehle können nur mit administrativen Berechtigungen ausgeführt werden. >net session Computer Benutzername Clienttyp Öffn. Ruhezeit -----------------------------------------------------------------\\192.168.137.1 user 4 00:10:27

Listing 8.21 Die Befehle net files und net session

>net files ID Pfad Benutzername Anz. der Sperrungen -------------------------------------------------------------------54 C:\testdaten\ user 0 74 C:\testdaten\ user 0 150 C:\verzeichnis\ user 0 155 C:\verzeichnis\ user 0 252 C:\verzeichnis\ver1\ver2\ver3\date2.odt user 0 Der Befehl wurde erfolgreich ausgeführt.

8

Freigaben im Netz überprüfen Mit dem Programm ShareEnum aus der Sammlung von Sysinternals kann man sein komplettes Netzwerk durchsuchen und sowohl Systeme als auch die darauf freigegebenen Ordner anzeigen. Für jeden Rechner, auf dem der ausführende Benutzer administrative Berechtigungen hat, werden die Freigaben und die dafür eingetragenen Freigabeberechtigungen angezeigt. Am besten lässt es sich deswegen in einer Domäne unter dem Account eines Domänen-Administrators einsetzen.

441

Kapitel 8 Erweiterte Netzwerkfunktionen Abbildung 8.76 ShareEnum zur Netzwerkkontrolle

8.8

Offlinedateien und BranchCache

Freigaben im Netzwerk sind naturgemäß nur dann nützlich, wenn der Server, von dem man die Freigabe bezieht, auch verfügbar ist. Insbesondere Nutzer, die häufig mit einem Laptop mobil unterwegs sind, haben deshalb oft das Problem, dass sie unterwegs keinen Zugriff auf die Serverlaufwerke in der Firma haben. Bislang bestand die Lösung darin, dass man die Daten, die man unterwegs nutzen wollte, auf die lokale Platte kopierte und somit auch remote im Zugriff hatte. Das führte in der Folge zu zwei Problemen: 1. Man musste immer daran denken, die Daten lokal zu kopieren, bevor man den Laptop vom Firmennetz trennte. Vergaß man dies, hatte man unter Umständen veraltete Daten auf seinem System. 2. Sobald man Daten auf dem lokalen System bearbeitet hat, musste man bei der erneuten Verbindung mit dem Firmennetz daran denken, die geänderten Daten auch wieder in das Firmennetz zu kopieren.

8.8.1

Offlinedateien

Der erste Lösungsansatz zu diesem Problem waren die Offlinedateien. Hierbei wird für einen Teil einer Freigabe automatisch eine lokale Kopie der Dateien angelegt, die sich automatisch mit dem Original auf dem Server synchronisiert. Hierzu wird aus dem Kontextmenü eines Ordners in einer Freigabe die Aktion Immer offline verfügbar ausgewählt. Je nach Umfang der ausgewählten Dateien benötigt das System dann einige Zeit, um die lokale Kopie der Daten anzulegen. Abbildung 8.77 Eine lokale Kopie wird angelegt.

442

Offlinedateien und BranchCache

In der Anzeige des Explorers erkennt man den Offlinestatus am unteren Rand, wenn ein Objekt markiert ist. Zugleich gibt es am oberen Rand die Schalfläche Offlinebetrieb, mit der man die Verbindung zum Server zwangsweise unterbrechen kann. Abbildung 8.78 Offlinestatus in der Statusleiste

Betrachtet man die Eigenschaften einer Datei, die als Offline markiert wurde, erkennt man eine neue Registerkarte Offlinedateien. Auf dieser Datei kann man im oberen Teil ersehen, ob die Datei aktuell online, offline ohne Änderungen oder offline mit nicht synchronisierten Änderungen ist. Sofern die Datei online ist, kann man über das Kontrollkästchen Immer offline verfügbar das Element auch zurück in den Nur-Online-Status setzen. Normalerweise erbt ein Element automatisch den Offlinestatus seines ihn enthaltenden Containers. Abbildung 8.79 Status einer Offlineund einer Onlinedatei

8

Kontrolle der Synchronisation Kontrolliert wird der Status der Offlinedateien über das Synchronisierungscenter der Systemsteuerung (im Startmenü nach sync suchen). Im Synchronisierungscenter sieht man zunächst nur den Eintrag Offlinedateien.

443

Kapitel 8 Erweiterte Netzwerkfunktionen

An dieser Stelle sollen zukünftig auch Mediengeräte wie etwa ein MP3Player oder ein Smartphone erscheinen, die dann über die in Windows eingebaute Synchronisierung mit Daten versorgt werden, anstatt wie bisher eigene Software für diesen Zweck vorzuhalten. Diese Variante wird von Microsoft in Zusammenarbeit mit dem Hardware-Herstellern unter dem Namen Device Stage entwickelt, es bleibt abzuwarten, bis die ersten Geräte mit dieser Ausstattung auf dem Markt sind. Klickt man auf den Eintrag doppelt, so sieht man alle externen Systeme, von denen Offlinedateien auf dem System vorhanden sind. Für jede Freigabe können Sie sehen, wann die Synchronisation zuletzt erfolgt ist, beziehungsweise einen Fortschrittsbalken, wenn sie gerade durchgeführt wird. Positioniert man die Maus über einen der angezeigten Einträge, werden zusätzlich mögliche Fehler und Konflikte der letzten Synchronisation angezeigt. Abbildung 8.80 Status der Offlinedateien

Über die Schaltfläche Alle synchronisieren kann eine zwangsweise Synchronisation aller aufgelisteten Synchronisationspartner erreicht werden. Über das Kontextmenü eines Eintrags lässt sich dieser gezielt synchronisieren. Per Klick auf die Schaltfläche Zeitplan können Sie zusätzliche Zeitpläne für die Synchronisation der Offlinedateien festlegen. In der Aufgabenplanung (Aufgabenplanungsbibliothek/Microsoft/Windows/Offline Files, siehe den Abschnitt 15.4) können Sie nachsehen, dass es zunächst zwei Zeitpläne gibt: einer, der im Hintergrund alle sechs Stunden startet, und einer, der nach dem Anmelden eines Benutzers startet. Zunächst müssen Sie bei einem neuen Zeitplan angeben, für welchen der Synchronisationspartner der Zeitplan gelten soll. Im nächsten Schritt müssen Sie auswählen, ob Sie die Synchronisation nach Zeitplan oder nach einem Ereignis auslösen möchten. Zum Schluss müssen Sie dem Zeitplan einen Namen geben, unter dem Sie ihn später identifizieren können. Zu den hierbei möglichen Zeitplanungsoptionen lesen Sie bitte im Abschnitt 15.4 nach. Sobald der erste benutzerdefinierte Zeitplan eingetragen wurde, können Sie über die Schaltfläche Zeitplan zwischen den Aktionen Einen neuen Plan erstellen, Einen vorhandenen Plan anzeigen und bearbeiten und Einen Plan

444

Offlinedateien und BranchCache

löschen auswählen. Auch diese Aufgaben werden über die Aufgabenplanung ausgeführt. Allerdings werden diese Zeitpläne in einem Unterordner von Aufgabenplanungsbibliothek/Microsoft/Windows/SyncCenter gespeichert.

Probleme bei der Synchronisation Probleme treten dann auf, wenn eine Datei sowohl lokal auf dem Server als auch in den Offlinedateien auf dem Client bearbeitet wurde, während die beiden Systeme keine Netzwerkverbindung miteinander hatten. Ein derartiges Problem wird als Konflikt bezeichnet und muss vom Benutzer gelöst werden. Das System bietet hierbei eine Hilfestellung, indem es die beiden Daten gegenüberstellt, sodass man entscheiden kann, welche Version der Datei man behalten möchte. Es ist auch möglich, beide zu behalten, um dann manuell zu versuchen, die Inhalte zu kombinieren. Abbildung 8.81 Konflikte bei der Synchronisation

In der Synchronisationsübersicht (siehe Abbildung 8.80) wird entsprechend unter dem jeweiligen Partner angezeigt, ob dort Konflikte aufgetreten sind. Klickt man dort auf den entsprechenden Link oder im Synchronisationscenter links auf den Eintrag Synchronisationskonflikte anzeigen, so erhält man eine Auflistung der betroffenen Dateien und kann dort über das Kontextmenü für jede Datei versuchen, den Konflikt zu lösen (siehe Abbildung 8.81). Als Alternative kann auch die Datei zukünftig ignoriert werden.

8

Abbildung 8.82 Konflikte im Synchronisationscenter

445

Kapitel 8 Erweiterte Netzwerkfunktionen

Offlinedateien verwalten Über den Link Offlinedateien verwalten im Synchronisationscenter erhält man die Möglichkeit, die Verwendung zu kontrollieren. Insbesondere kann man den Platz kontrollieren, der von den Offlinedateien auf der lokalen Festplatte belegt wird. Hier wird vom System ein Limit von 20 % der Größe des Datenträgers vorgesehen. Je nach Umfang des Arbeitens mit Offlinedateien kann man dieses Limit verändern. Um die Sicherheit zu erhöhen, können die Offlinedateien auch lokal (mit EFS, siehe Kapitel 13) verschlüsselt werden, da ansonsten Dateien aus dem Netzwerk ungesichert auf einem Client liegen würden.

8.8.2

BranchCache

Während Offlinedateien immer eine lokale Angelegenheit des einzelnen Rechners sind, ist BranchCache die Fortsetzung des Prinzips auf ganze Netzwerkstandorte (etwa in einem Außenbüro), die nur eine schwache oder störungsanfällige Anbindung zu einem zentralen Firmenserver haben. BranchCache unterstützt dabei zwei Betriebsarten: 왘 Verteilter Zwischenspeicher (Distributed Cache) – Alle im lokalen Netzwerk vorhandenen Systeme mit Windows 7 speichern Daten, die über die WAN-Anbindung geladen werden müssen, zwischen und tauschen sich untereinander aus, um gegebenenfalls Daten (sowohl Dateiserver als auch Webseiten) aus dem Zwischenspeicher eines lokalen Systems anstatt über die WAN-Leitung zu laden. 왘 Serverbasierter Zwischenspeicher (Hosted Cache) – Ein System auf Basis Windows Server 2008R2 bildet den zentralen Zwischenspeicher für die Zweigstelle. Alle Clients auf Windows 7-Basis fragen bei Anforderung externer Daten zunächst den Server, ob dieser die geforderten Daten zur Verfügung hat. In beiden Fällen werden nur Leseoperationen durch den Zwischenspeicher behandelt, für Schreiboperationen findet immer ein Zugriff auf die originale Datenquelle statt. Im Gegensatz zu den Offlinedateien, bei denen immer sofort eine lokale Kopie der angeforderten Daten angelegt wird, werden im BranchCache nur Dateien abgelegt, die auch tatsächlich genutzt werden. Dies verringert die Nutzung der WAN-Leitung. Technisch gesehen werden größere Inhaltsdateien (ab 64 KByte Größe) zunächst auf Serverseite ersetzt durch eine Folge von Hash-Werten für einzelne Teilbereiche der Datei. Dies wird als Content Metadata bezeichnet. Diese Hash-Werte werden an den anfragenden Klienten übertragen. Findet dieser die entsprechenden Hash-Werte in seinem BranchCache, so verzichtet er auf die Übertragung der kompletten Datei und verwendet stattdessen die lokale Kopie. Die Server, auf die zugegriffen werden kann, müssen sowohl als Webserver als auch als Dateiserver unter Windows Server 2008R2 betrieben werden. Außerdem ist dort die Generierung dieser Metadaten zu aktivieren. Nur an Clients, die in ihrer Anfrage an den Server bekannt geben, dass sie BranchCache verstehen (also Systeme mit Windows 7 oder Windows Server 2008R2), werden zunächst die Metadaten gesendet. Alle ande-

446

Heimnetzgruppe

ren Systeme bekommen sofort die Daten. Aktiviert wird der BranchCache entweder per netsh oder über eine Gruppenrichtlinie. Die Standardeinstellung ist, die Funktion nicht zu nutzen. Um das Modell des verteilten Zwischenspeichers zu verwenden, dürfen sich maximal 50 Systeme an dem Zwischenspeicher beteiligen, und diese dürfen sich auch nur in einem Subnetz befinden.

8.9

Heimnetzgruppe

Bislang mussten Benutzer zum Zugriff auf Ressourcen eines anderen Systems immer dort auch über Benutzername und Kennwort verfügen. Dies erforderte bei vielen verschiedenen Benutzern in einer Arbeitsgruppe auch entsprechend viel Aufwand, wenn eines dieser Kennwörter geändert werden musste. Um in diesem Fall den Aufbau eines Netzwerks zu vereinfachen, hat Microsoft in Windows 7 das Konzept der Heimnetzgruppe (Home Group) eingeführt. Diese Funktion ist in allen Editionen verfügbar, wobei es unter Windows 7 Starter und Windows 7 Home Basic nur möglich ist, einer bestehenden Heimnetzgruppe beizutreten, selbst aber keine aufstellen können. Systeme mit Windows Vista oder älter können nicht Mitglied einer Heimnetzgruppe sein, hier muss auf die klassische Dateifreigabe zurückgegriffen werden. Problem bei der Vernetzung im Heimbereich sind zwei sich eigentlich widersprechende Tatsachen: 1. Auf den lokalen Systemen existiert meist nur ein lokaler Benutzer, dem meist kein Kennwort zugewiesen ist. 2. Die Netzwerkfunktionen von Windows verlangen die Angabe eines Benutzers mit Kennwort, wenn über das Netzwerk zugegriffen werden soll. Um beide Voraussetzungen zu erfüllen, wurde folgende Lösung implemen- Kenn' ich dich? tiert: Grundlage des Sicherheitsmodells sind der verborgene Nutzer HomeGroupUser$ und dessen Gruppe HomeUsers. Bei der Gründung einer Heimgruppe werden sowohl der Benutzer als auch die Gruppe eingerichtet, zudem wird ein gemeinsames Kennwort der Heimnetzgruppe bestimmt. Ab dann kann jeder Computer, der dieses Kennwort kennt, in die Heimgruppe aufgenommen werden. Dieses Kennwort wird initial beim ersten System, das eine neue Heimnetzgruppe begründet, automatisch generiert und dem Begründer der Gruppe angezeigt. Alle Computer, die danach das Steuerelement der Heimnetzgruppe aufrufen, bekommen sofort angezeigt, dass bereits eine Heimnetzgruppe existiert, und werden gefragt, ob sie beitreten möchten. Die Gründung einer zweiten Heimnetzgruppe im gleichen Subnetz ist nicht möglich. Sobald dann ein System in der Heimnetzgruppe auf die Ressource eines anderen Systems zugreifen will und der lokale Benutzer des ersten Systems auf dem zweiten System nicht bekannt ist, wird die Verbindung über den Benutzer HomeGroupUser$ hergestellt.

447

8

Kapitel 8 Erweiterte Netzwerkfunktionen Listing 8.22 Verbindung über den unbekannten Benutzer

>net session Computer Benutzername Clienttyp Öffn. Ruhezeit -------------------------------------------------------------------\\192.168.0.97 HomeGroupUser$ 5 00:00:08 Der Befehl wurde erfolgreich ausgeführt.

Abbildung 8.83 Eine Heimnetzgruppe existiert. Wollen Sie beitreten?

Auch später noch kann dieses angezeigt werden, indem man dazu auf den Link Heimnetzgruppen- und Freigabeoptionen im Netzwerk- und Freigabecenter klickt und dann den Eintrag Kennwort ... anzeigen oder drucken auswählt. An gleicher Stelle kann auch ein neues Kennwort vergeben werden. Abbildung 8.84 Das Kennwort der Heimnetzgruppe

Sofern bei einem Computer der Heimnetzgruppe dieses Kennwort geändert wird, müssen die anderen Systeme in der Gruppe diese Änderung manuell nachträglich durchführen. In der Statusanzeige der Heimnetzgruppe bekommen diese eine entsprechende Mitteilung angezeigt. Dies unterscheidet die Heimnetzgruppe von der Domäne, in der Kennwortänderungen automatisch verbreitet werden.

448

Heimnetzgruppe Abbildung 8.85 Das Kennwort der Heimnetzgruppe wurde geändert.

An gleicher Stelle können die Benutzer auch angeben, welche ihrer Bibliotheken standardmäßig für die Heimnetzgruppe freigegeben werden sollen. Dies zeigt auch, dass mit einer Heimnetzgruppe die Sicherheit eines Systems recht stark aufgeweicht wird, da mit dieser Einstellung die NTFS-Berechtigungen auf allen angegebenen Bibliotheken für die Gruppe HomeUsers auf Lesen gesetzt werden. In dieser Gruppe sind aber nicht nur die über das Netz zugreifenden Benutzer enthalten, sondern auch alle lokal auf dem System angelegten Benutzer. Dieses Dialogfeld der Heimnetzwerkfreigabe müssen alle Benutzer aufrufen, die ihre Bibliotheken freigeben wollen. Am Anfang werden nur die Bibliotheken des Benutzers, der die Gruppe einrichtet, mit Ausnahme seiner Dokumente, freigegeben. Standardmäßig erfolgt die Freigabe schreibgeschützt. Möchten Sie die Daten auch zum Schreiben freigeben, müssen Sie dies über die bekannten Freigabemechanismen durchführen (siehe den Abschnitt 8.7.1 ab Seite 428). Diese Freigabepolitik hat Ähnlichkeit mit einer Privatwohnung, in der die einzelnen Mitglieder untereinander die Zimmertüren nicht abschließen. Jeder kann sich der Mediensammlung der anderen bedienen, der private Schriftverkehr wird aber trotzdem abgeschlossen aufbewahrt.

8.9.1

8

Keine Heimnetzgruppe möglich

Eine Heimnetzgruppe kann nur eingerichtet werden, wenn die Netzwerklokation auf Privat eingestellt ist. In den anderen Profilen ist diese Möglichkeit nicht gegeben. Das Kennwort der Heimnetzgruppe ist nicht identisch mit dem Kennwort des Benutzers HomeGroupUser$. Ein Versuch, sich mit diesem Benutzernamen und Kennwort von einem Windows XP- oder Windows Vista-System aus an einer Freigabe anzumelden, gelingt nicht. Mit diesen Systemen muss man also mit der klassischen Freigabe und einem vorhandene lokalen Benutzer arbeiten.

449

Kapitel 8 Erweiterte Netzwerkfunktionen

8.10 Netzwerkdrucker Ab einer bestimmten Größe werden Drucker nicht mehr lokal an einem Computer angeschlossen, sondern verfügen über einen direkten Netzanschluss. Für kleinere Modelle gibt es auch sogenannte Druckserver, die die Kopplung zwischen dem Druckeranschluss (parallel oder USB) und dem Netzwerk herstellen. Zur Kommunikation mit dem Netzwerk unterstützten diese Systeme meist viele unterschiedliche Protokolle. Die wichtigsten abseits der üblichen Freigabemechanismen sind LPR/LDP (Line Printer Remote Protocol/Line Printer Daemon Protocol) und IPP (Internet Printing Protocol), wobei LPR das ältere der beiden ist. Abbildung 8.86 Ein Druckserver mit Weboberfläche

Auf der Kontrolloberfläche des Druckservers in Abbildung 8.86 können Sie sehen, dass das Gerät sowohl LPR als auch IPP unterstützt, während die Druckmethoden AppleTalk und NetWare deaktiviert wurden. Zusätzlich ist auch noch das Drucken über die Windows Datei- und Druckerfreigabe (SMB) möglich. Eine ähnliche Möglichkeit zur Konfiguration bieten heute eigentlich alle netzwerkfähigen Drucker und Druckserver, weil die Konfiguration über die wenigen Bedienelemente des Druckers für die vielfältigen Möglichkeiten nicht möglich beziehungsweise nur umständlich durchzuführen ist. Um mit einem derartigen Drucker zu arbeiten, müssen Sie ihn speziell hinzufügen, da diese Netzwerkdrucker nicht über die normalen Suchoperationen im Netzwerk gefunden werden. Klicken Sie dazu im Assistenten Drucker hinzufügen zunächst auf die Option Einen Netzwerk-, Drahtlos- oder Bluetoothdrucker hinzufügen und dann auf die Schaltfläche Beenden, um die erfolglose Suche abzubrechen, und schließlich auf Der gesuchte Drucker ist nicht aufgeführt.

450

Netzwerkdrucker Abbildung 8.87 Netzwerkdrucker anschließen

왘 IPP – Für einen Anschluss per IPP geben Sie im Feld Freigegebenen Dru-

cker über den Namen auswählen die Konfiguration ein, wie sie vom Netzwerkdrucker vorgegeben ist. Für den hier verwendeten Druckserver wäre dies http://192.168.0.220:631/lpt1. Nähere Angaben entnehmen Sie bitte dem Handbuch zum Drucker oder Druckserver. 왘 LPR – Für diese Variante müssen Sie zunächst nur die IP-Adresse oder den Namen des Druckservers angeben, Windows 7 versucht dann festzustellen, von welchem Typ das Gerät ist. Für eine ganze Reihe von Typen bietet es bereits fertige Einstellungen und gegebenenfalls auch besondere Konfigurationsoptionen. Im Zweifelsfall verwenden Sie einfach die Option Generic Network Card.

8

Abbildung 8.88 Welcher Druckserver kann es denn sein?

451

Kapitel 8 Erweiterte Netzwerkfunktionen

Sobald die Verbindung mit dem Drucker hergestellt wurde, erscheint das übliche Auswahldialogfeld für den passenden Druckertreiber. Zum Abschluss kann eine Testseite gedruckt werden. Auf dieser sind auch die Einstellungen des Druckeranschlusses ersichtlich. Abbildung 8.89 Testseite des Netzwerkdruckers

Wie wird gedruckt?

Den Unterschied zwischen LPR und IPP sieht man bei den Eigenschaften des jeweiligen Druckeranschlusses. Während sich bei LPR nur der Druckmodus auswählen lässt (RAW oder LPR), mit dem sich das System mit dem Drucker verbindet, kann man bei IPP auch (sofern vom IPP-Gerät gefordert) eine Anmeldung mittels Benutzername und Kennwort vornehmen.

Abbildung 8.90 Eigenschaften eines IPP-Anschlusses

Die Anbindung des Druckers per LPR bietet die Möglichkeit, diesen Drucker, der sich im Netzwerk befindet, genauso wie einen lokalen Drucker freizugeben, sodass auch für andere Systeme, die nicht mit LPR drucken können, der Drucker benutzbar ist. Bei IPP ist dies nicht möglich. Auch wenn LPR keine Authentisierung auf Benutzerebene unterstützt, so bieten die Druckserver doch meist eine Möglichkeit, das Drucken auf verschiedene IP-Adressbereiche einzuschränken. Dies können Sie dazu nutzen, um den LPR-Drucker nur für ein System anzubieten und dort dann eine Freigabe nur für spezielle Benutzer einzurichten.

452

Netzwerkdrucker Abbildung 8.91 Einen Netzwerkdrucker freigeben

8.10.1

Zusätzliche Netzwerkdruckdienste

Über die Systemsteuerung können Sie die beiden Windows-Funktionen Druck- und Dokumentendienste/LPD-Druckdienst und Druck- und Dokumentendienste/LPR-Anschlussmonitor hinzufügen. Damit erhalten Sie folgende zusätzliche Funktionen: 왘 LPD-Druckdienst – Sämtliche aktuell vorhandenen Drucker werden über das LPR-Protokoll freigegeben. Andere Systeme können so auf die angeschlossenen Drucker zugreifen, auch ohne dass diese explizit freigegeben werden. In die Firewall wird bei der Installation automatisch eine entsprechende Regel eingetragen. Diese sollte man anpassen, da sie zunächst keinerlei Einschränkungen beinhaltet. 왘 LPR-Anschlussmonitor – Die von Unix her bekannten Anwendungen lpr.exe (Ausdruck einer Datei auf einen LPR-Drucker) und lpq.exe (Statusabfrage eines LPR-Druckers) werden installiert. >lpr -S admin-pc -P bro test.txt >lpq -S admin-pc -P bro -lst.txt Windows LPD-Server Drucker \\192.168.137.1\bro

Listing 8.23 Ausdruck mit lpr, Statusabfrage mit lpq

Besitzer Status Auftragsname Auftragk. Größe Seiten Priorität ------------------------------------------------------------------jochenr-adm Warten test.txt 4 843 0 1

Zwar kann Windows 7 auch ohne die Komponente LPR-Anschlussmonitor auf LPR-Druckern drucken, jedoch kann man die Programme lpr.exe und lpq.exe einfacher in eigene Skripte einbauen.

453

8

Kapitel 8 Erweiterte Netzwerkfunktionen

8.11 WLAN sicher konfigurieren WLAN hat sich in den vergangenen Jahren zur Boomtechnik im Netzwerkbereich überhaupt entwickelt. Und dies insbesondere im privaten Umfeld, in dem die Versorgung von Wohnungen mit Kabelkanälen und doppelten Böden mit Bodentanks zur verdeckten Verlegung der notwendigen Kabel eher selten ist. Die Möglichkeit, auf Kabel zu verzichten, birgt allerdings auch die Gefahr, dass sich über die Funkübertragung auch ungebetene Gäste mit dem eigenen Netzwerk verbinden.

8.11.1

Was keine WLAN-Sicherheit ist

Das folgende Teilkapitel ist angelehnt an den Text The six dumbest ways to secure a wireless LAN (Die sechs dümmsten Wege, ein WLAN zu sichern) von George Ou (siehe Google). Der Text ist zwar schon vier Jahre alt, aber was damals geschrieben wurde, gilt heute immer noch. 1. MAC-Filterung – Jede Netzwerkkarte wird bei ihrer Produktion mit einer eindeutigen Kennung versehen, genannt MAC-Adresse (siehe das Programm arp in Abschnitt 8.2.3 ab Seite 381). Bei einem WLANZugangspunkt kann man nun eine Liste all derjenigen MAC-Adressen hinterlegen, denen man Zugang gewähren will. Das Problem hierbei ist, dass man zum einen diese Kennung bei den meisten Adaptern auch per Software setzen und sich andererseits die Adressen, die zugelassene Adapter verwenden, per Funk auslesen lassen kann. Jemand, der in das WLAN eindringen möchte, muss also zunächst nur ein Weilchen den Funkverkehr belauschen, um eine gültige MAC-Adresse zu finden. 2. SSID verstecken – Jeder WLAN-Zugangspunkt sendet eine Kennung aus. Diese Kennung ist quasi dessen Name und wird als SSID (Service Set Identifier) bezeichnet. Sucht man mit einem normalen Rechner mit WLAN-Karte im Umfeld nach Netzwerken, wird diese SSID angezeigt, damit man das gewünschte Netzwerk auswählen kann (siehe Abbildung 8.94). Diese Kennung wird allerdings vom WLAN auf insgesamt fünf verschiedene Weisen ausgesendet (beacon, probe request, probe response, association request und reassociation request). Nur die erste Methode wird bei der Unterdrückung der SSID tatsächlich ausgeschaltet. Mit spezieller WLAN-Prüfsoftware (WLAN-Sniffer) kann man problemlos auch derartige verstecke Funkzellen aufspüren. 3. LEAP und EAP-FAST – Diese beiden Protokolle wurden von Cisco entwickelt, um eine stärkere Verschlüsselung für den Zugang zu ihren WLAN-Produkten zu erreichen. Leider sind aber sowohl LEAP (Lightweight Extensible Authentification Protocol) als auch dessen Nachfolger EAP-FAST (Extensible Authentication Protocol – Flexible Authentication via Secure Tunneling) zum einen auf Cisco-Produkte beschränkt und zum anderen auch nicht sicher vor kryptografischen Angriffen. Die verwendeten Kennwörter können heutzutage relativ einfach errechnet werden. 4. DHCP abschalten – DHCP dient dazu, einem Client eine dynamische IP-Adresse zusammen mit Verwaltungsinformationen zu übermitteln. Indem man den DHCP-Server abschaltet, versucht man, diese Informa-

454

WLAN sicher konfigurieren

tion vor einem Angreifer zu verbergen. Dieser kann sich diese Information allerdings leicht aus abgefangenen Funksendungen zusammensuchen oder einfach erraten. 5. Antenne umbauen – Funkwellen werden über eine Antenne abgestrahlt. Erreichen die Funkwellen den Empfänger nicht, kann dieser nicht das Netz angreifen. Es hat nun allerdings wenig Zweck, die Antenne des WLAN möglichst zentral zu setzen und die Sendeleistung zu reduzieren, um einem Angreifer von außen den Zugriff zu verwehren. Der Angreifer hat immer noch eine stärkere Antenne, die er nutzen kann. Der Weltrekord für eine WLAN-Verbindung liegt momentan bei 382 km. 6. 803.11a oder Bluetooth verwenden – Hat nichts mit Sicherheit zu tun, sondern beschreibt nur andere Funkübertragungsvarianten, die sich im Protokoll und in den verwendeten Frequenzen vom normalen WLAN unterscheiden.

8.11.2

Wie man ein WLAN sichern kann

Die einzige Möglichkeit, ein WLAN abzusichern, besteht darin, dass der Funkverkehr verschlüsselt wird und sich die Clients am System anmelden müssen. Das erste dieser Verfahren war WEP (Wired Equivalent Privacy – Privatsphäre wie bei Drahtverbindungen). Der Datenverkehr wurde zwischen Client und Zugangspunkt mit einem Kennwort verschlüsselt. Nur ein Client mit dem richtigen Kennwort ist in der Lage, eine Datenverbindung aufzubauen. Allerdings kann dieser Schlüssel inzwischen sehr leicht aus aufgefangenen Datenpaketen errechnet werden. Bei einem normal genutzten Netzwerk ist dies inzwischen in wenigen Minuten möglich. Der Nachfolger von WEP war WPA (Wi-Fi Protected Access). Hierbei wurden zum einen kryptografisch stärkere Verfahren verwendet (dynamisches Wechseln der Schlüssel), zum anderen konnte man sowohl direkt einen festen Schlüssel definieren, den alle Clients gleichzeitig verwenden (PSK, Pre Shared Key – Vorab verteilter Schlüssel), zum anderen konnte man einen externen Server mit der Überprüfung der Kennwörter beauftragen (RADIUS-Server, Remote Authentication Dial-In User Service – Authentifizierungsdienst für sich einwählende entfernte Benutzer). Auf diese Weise war es möglich, dass jeder Benutzer eines Accesspoints seinen eigenen Schlüssel verwenden konnte. Der Nachfolger von WPA war dann WPA2, bei dem nochmals stärkere Verschlüsselungsverfahren verwendet wurden.

8

Jede Verschlüsselung ist nur so gut wie das Kennwort, das dafür verwendet wird. Gerade WLAN-Kennwörter, die man nicht permanent eingeben muss, sollten somit bei einem PSK-gestützten Verfahren nicht zu einfach sein. Immerhin erlauben WPA und WPA2 eine Länge von bis zu 63 Zeichen. Es gibt im WWW eine ganze Reihe von Seiten, die Kennwörter beliebiger Länge generieren, zudem bieten viele WLAN-Router die Option, ein sicheres Kennwort automatisch zu generieren.

455

Kapitel 8 Erweiterte Netzwerkfunktionen

8.11.3

Eigenschaften eines WLAN-Adapters

Ruft man über das Netzwerk- und Freigabecenter die Eigenschaften eines WLAN-Adapters auf, erkennt man im Vergleich mit einem kabelgebundenen Adapter sowohl eine Anzeige der aktuellen Signalqualität als auch eine Schaltfläche Drahtloseigenschaften.

Abbildung 8.92: Eigenschaften eines WLAN-Adapters

Die angezeigten Werte bei der Schaltfläche Drahtloseigenschaften beziehen sich immer auf das jeweils aktive Funknetzwerk, das auf dem linken Dialogfeld in Abbildung 8.92 unter dem Eintrag Kennung (SSID) vermerkt ist. Für jedes erkannte Netzwerk, mit dem sich das System verbindet, können also die Einstellungen getrennt vergeben werden. Auf der Registerkarte Verbindung können Sie angeben, ob Sie sich mit dem aktuellen Netzwerk automatisch verbinden möchten, sobald dieses Netzwerk in Reichweite ist. Diese Einstellung empfiehlt sich für Netzwerke, mit denen man häufiger in Kontakt steht, etwa dem WLAN im Büro oder zu Hause. Falls das Netzwerk keine Kennung sendet, können Sie trotzdem die Verbindung erzwingen. Mit dem Link Dieses Netzwerkprofil auf ein USBFlashlaufwerk kopieren können Sie auf einfache Weise weitere Systeme (ab Windows XP) mit den gleichen Zugangsdaten konfigurieren. Die Daten werden dabei zusammen mit einem Setup-Programm auf einen USB-Stick kopiert, sodass beim nächsten System die Daten automatisch per Autostart integriert werden. Auf diese Weise können auch beispielsweise WLANDrucker mit dem Netz verbunden werden. Auf der Registerkarte Sicherheit können Sie das zu verwendende Protokoll zur Anmeldung an den Accesspoint einstellen. Windows 7 unterstützt hier alle gebräuchlichen Methoden. Sie sollten immer WPA2 in Ihrem WLAN verwenden. Viele WLANGeräte bieten auch einen Modus an, in dem sowohl WPA als auch WPA2 unterstützt werden. Sofern Sie keine Systeme einsetzen, die nur WPA unterstützten, sollten Sie hier einstellen, dass ausschließlich WPA2 verwendet wird.

456

WLAN sicher konfigurieren

Abhängig vom eingestellten Sicherheitstyp stehen nur bestimmte Verschlüsselungstypen zur Auswahl, was hier gewählt wird, richtet sich nach den Einstellungen des WLAN-Zugangspunktes. Auf Wunsch kann das eingegebene Kennwort bei PSK (Personal-Verfahren) im Klartext angezeigt werden. Bei den Enterprise-Verfahren ist eine ganze Reihe weiterer Konfigurationsdaten anzugeben. Die genauen Werte ergeben sich hierbei aus dem Aufbau des jeweiligen Netzwerkes. Abbildung 8.93 Erweiterte Einstellungen der EnterpriseAuthentisierungen

8.11.4

Mit einem WLAN Verbindung aufnehmen

Sofern man mit einem Netzwerk einen Kontakt herstellen möchte, mit dem Funk finden man bislang noch keine Verbindung hatte, muss man zunächst im Netzwerk- und Freigabecenter den Link Neue Verbindung oder neues Netzwerk einrichten aufrufen. Sofern das Netzwerk seine SSID sendet, wählen Sie Verbindung mit dem Internet herstellen, ansonsten wählen Sie Manuell mit einem Drahtlosnetzwerk verbinden aus und klicken auf Weiter. Im zweiten Schritt wählen Sie dann Drahtlosverbindung aus. Sie bekommen nun eine Liste sämtlicher Netzwerke angezeigt, die aktuell von Ihrem System empfangen werden. Wenn Sie mit der Maus über die einzelnen Netzwerksymbole fahren, werden in einem Popup-Fenster weitere Informationen über den Verschlüsselungstyp angezeigt. Sobald Sie eines der Netzwerke mit der Maus anklicken, bekommen Sie die Schaltfläche Verbinden angezeigt und ein Kontrollkästchen, das Ihnen anbietet, die Verbindung mit diesem Netzwerk in Zukunft automatisch wieder herzustellen. Sobald Sie auf die Schaltfläche Verbinden klicken, bekommen Sie, je nach Sicherheitseinstellung des Netzwerkes, noch ein Dialogfeld zur Eingabe des Kennworts angezeigt.

8

457

Kapitel 8 Erweiterte Netzwerkfunktionen

Möchten Sie sich mit einem Netzwerk verbinden, das bereits bekannt ist, wählen Sie im Netzwerk- und Freigabecenter die Option Verbindung mit einem Netzwerk herstellen aus. Sie bekommen wieder die Liste der empfangenen Netzwerke angezeigt. Ist ein Netzwerk mit der Einstellung Automatisch verbinden dabei, wird die Verbindung automatisch hergestellt. Abbildung 8.94 Unverbundene (links) und bekannte (rechts) WLAN

Sofern das dann verbundene Netzwerk noch nicht bekannt ist, erscheint das Dialogfeld zur Auswahl des Netzwerkstandortes.

458

9

Drucken und Faxen

Das Thema „Drucken“ gehört in jedem Netzwerk zu den zentralsten Themen. Und auch das Thema „Faxen“ spielt in den meisten Unternehmen noch eine wichtige Rolle, selbst wenn heute der Versand von Faxen zugunsten des Versands von E-Mails immer weiter zurückgeht. Dieses Kapitel beschreibt neben den technischen Grundlagen die Möglichkeiten, die es unter Windows 7 zur Einrichtung und zur Konfiguration lokaler Drucker gibt. Erleichtert wird die Verwaltung von Druckern bei Windows 7 durch die Druckverwaltungskonsole. Dabei werden auch die Einsatzmöglichkeiten von Windows 7 als Druckserver vorgestellt. Anschließend lernen Sie in einem eigenen Abschnitt die Faxfunktion von Windows 7 kennen.

9.1

Grundlagen und Terminologie des Druckens

Wenn ein Benutzer einem Administrator mitteilt, dass sein „Drucker“ nicht funktioniert, meint er damit das Gerät, das vor ihm steht und aus dem zu diesem Zeitpunkt kein Papier herauskommt. Für den Administrator ist dies jedoch längst nicht so eindeutig, denn dieser unterscheidet bei der Druckansteuerung zwischen logischen und physischen Druckern. Wichtig für das Verständnis ist es, wie das kleine Beispiel zeigt, sich zunächst mit der Terminologie und den grundlegenden Mechanismen des Druckens vertraut zu machen.

459

Kapitel 9 Drucken und Faxen

9.1.1

Wichtige Komponenten und Begriffe

Bei allen aktuellen Windows-Betriebssystemen werden die folgenden Begriffe verwendet: Logische und physische Drucker Das Hardwaregerät, das zur Druckausgabe dient, wird als physischer Drucker oder auch als Druckgerät bezeichnet. Drucker und Druckgeräte

Der Begriff Drucker oder logischer Drucker steht hingegen für die Software-Schnittstelle zwischen dem Betriebssystem und dem Druckgerät. Diese Schnittstelle legt die Druckparameter fest und bestimmt, wie ein Dokument zu einem Druckgerät gelangt (über einen lokalen Port oder über Netzwerkverbindungen). Logische Drucker werden unter Windows mit der Installation eines Druckertreibers eingerichtet. Ein einzelner logischer Drucker kann mehrere Druckjobs auf verschiedene physische Drucker verteilen. Umgekehrt ist es auch möglich, dass mehrere logische Drucker letztendlich ein einziges Druckgerät benutzen. Unter Novell NetWare und Unix werden derartige logische Drucker als Drucker-Warteschlangen bezeichnet. In der Terminologie von Windows bezeichnet eine Warteschlange hingegen eine Gruppe von Dokumenten, die auf den Ausdruck warten.

Druckausgabe in Datei

Die Trennung zwischen physischen und logischen Druckern schafft eine hohe Flexibilität, da es damit möglich ist, einen logischen Drucker für die Druckausgabe zu verwenden, ohne dass ein physischer Drucker angeschlossen ist, beispielsweise bei offline geschalteten Druckgeräten. Anwendung findet dieses Verfahren auch bei der Druckausgabe in eine Datei. Druckertreiber Druckertreiber sind Programme, die eine Software-Schnittstelle zwischen den Anwendungen und dem Betriebssystem auf der einen Seite und der (spezifischen) Sprache des Druckgeräts andererseits definieren. Sie übersetzen die Informationen, die vom Computer gesendet werden, in für den Drucker verständliche Befehle. Jedes Druckgerät benötigt einen eigenen Druckertreiber. Dieser ist erforderlich, da jeder Drucker über eigene Besonderheiten, wie beispielsweise doppelseitige Druckausgabe, spezielle Papierformate oder Optimierungen, verfügt.

DruckertreiberDateien

460

Druckertreiber sind jedoch keine einzelnen Dateien, sondern ein ganzes Paket von Dateien, das mindestens die folgenden Dateitypen beinhaltet: 왘 Konfigurationsdatei Sie dient zur Anzeige der Dialogfelder Eigenschaften und Einstellungen beim Konfigurieren eines Druckers. Diese Datei hat die Dateinamenerweiterung .dll. 왘 Datendatei Diese Datei liefert Informationen über die Leistungsdaten, wie Auflösung, Unterstützung von beidseitigem Druck, Papierformate u.a. Diese Datei hat die Datennamenerweiterung .dll, .pcd, .gpd oder .ppd.

Grundlagen und Terminologie des Druckens 왘 Treiberdatei

Diese Datei übersetzt DDI-Befehle (Device Driver Interface) in für den Drucker verständliche Befehle. Jeder Treiber ist für die Übersetzung einer anderen Druckersprache zuständig. Die Datei Pscript.dll beispielsweise übersetzt in die Druckersprache PostScript. Diese Datei hat die Dateinamenerweiterung .dll. Diese Dateien arbeiten zusammen. Wird ein neuer Drucker eingerichtet, durchsucht die Konfigurationsdatei die Datendatei und zeigt die verfügbaren Druckeroptionen an. Beim Drucken durchsucht dann die Grafiktreiberdatei die Konfigurationsdatei nach den gesetzten Einstellungen, um die entsprechenden Druckerkommandos zu erstellen. Druckspooler Spooling bedeutet, dass der Inhalt eines Druckauftrags als Datei auf die Festplatte geschrieben wird und dort bis zum Ende der Druckausgabe erhalten bleibt. Auf diese Weise wird sichergestellt, dass Druckvorgänge auch dann gespeichert und gedruckt werden, wenn der physische Drucker nicht verfügbar ist oder es zu Strom- und/oder Hardware-Ausfällen kommt. Diese Datei wird als Spool-Datei bezeichnet. Beim Despooling wird die SpoolDatei gelesen und ihr Inhalt an den physischen Drucker gesendet. Standardmäßig werden die Spool-Dateien im Verzeichnis %Systemroot%\System32\ Spool\Printers gespeichert. Die Aufgabe des Spoolers besteht darin, Druckaufträge entgegenzunehmen, zu verarbeiten, die zeitliche Steuerung dafür zu übernehmen und sie zu verteilen. Der Druckspooler selbst besteht wiederum aus einer Reihe Komponenten und dynamischer Bibliotheken (.dll-Dateien), u.a. dem Druckrouter, dem lokalen Druckanbieter, dem Remotedruckanbieter und dem Sprachund Anschlussmonitor. Druckmonitore Der Ausdruck Druckmonitor wird für die Beschreibung von zwei Arten von Druckmonitoren verwendet: Sprachmonitor und Anschluss- bzw. Portmonitor. Ein Sprachmonitor wird benötigt, wenn der Drucker bidirektionales Dru- Sprachmonitor cken unterstützt, d.h., eine beidseitige Kommunikation zwischen dem Drucker und dem Spooler auf dem Druckserver existiert. Der Spooler kann dann auf die Konfigurations- und Statusinformationen des Druckers zugreifen. Der wichtigere Monitor ist der Anschlussmonitor, der den E/A-Anschluss Anschlusszum Drucker steuert. Ein Druckeranschluss ist eine Schnittstelle, über die ein monitor Drucker mit einem Computer kommuniziert. Die Auswahl eines Anschlusses hängt davon ab, wie der Drucker an den Computer oder das Netzwerk angeschlossen ist. Ist der Drucker physisch an den Computer angeschlossen, sind die entsprechenden lokalen Anschlüsse (LPT1 bis LPT3 für parallele und COM1 bis COM4 für serielle Anschlüsse) zu wählen. Wenn ein Client auf einem Druckeranschluss File druckt, wird nach dem Dateinamen gefragt, und die Ausgabedatei wird auf dem Client-Computer gespeichert.

461

9

Kapitel 9 Drucken und Faxen

Druckjobs/Druckaufträge Druckjobs oder Druckaufträge stellen Quelltexte für den Drucker dar. Sie enthalten sowohl die auszugebenden Daten als auch Befehle für ihre Verarbeitung im Rahmen dieser Ausgabe. Sie werden nach Datentypen klassifiziert. Einige Datentypen legen fest, dass der Spooler den Druckauftrag modifiziert, beispielsweise durch das Anhängen einer Trennseite, bei anderen Datentypen bleibt der ursprüngliche Auftrag unverändert. GDI

Rendering und Graphical Device Interface Rendering bezeichnet die Umsetzung von Druckbefehlen einer Anwendung in Befehle, die der physische Drucker verstehen und direkt verarbeiten kann. Die grafische Geräteschnittstelle von Windows (GDI: Graphical Device Interface) für die Ausgabe von Anwendungsdaten auf dem Bildschirm oder einem Druckgerät übernimmt die von einer Anwendung gesendeten Dokumentinformationen, ruft den für das Druckgerät zuständigen Druckertreiber auf und erzeugt auf diese Weise einen Druckauftrag in der Druckersprache des Geräts. Dieser wird dann an den Druckspooler weitergeleitet.

9.1.2

Der Druckprozess im Überblick

Der Druckprozess unter Windows ist ein modularer Prozess, der die folgenden Schritte umfasst: Clientvorgänge

1. Ein Benutzer veranlasst in einer Anwendung die Druckausgabe eines Dokuments. Im ersten Schritt ruft die Anwendung die Funktionen der grafischen Geräteschnittstelle (GDI) auf, die ihrerseits den für den physischen Zieldrucker zuständigen Druckertreiber abfragt. Mithilfe der von der Anwendung stammenden Dokumentinformationen führen die GDI und der Treiber einen Datenaustausch durch und übertragen so den Druckauftrag in die Druckersprache des Druckers. Spoolprozess 2. Die GDI-Schnittstelle leitet den Druckauftrag an den Spooler weiter. Dieser ruft seinerseits den Druckrouter Spoolss.dll auf. Der Router übergibt den Druckauftrag der lokalen Druckunterstützung (Localspl.dll), die ihrerseits für das eigentliche Spooling, d.h. das Zwischenspeichern der Druckdaten auf der Festplatte, sorgt. 3. Der Druckauftrag wird bei Bedarf modifiziert. Die lokale Druckunterstützung fragt die installierten Druckprozessoren ab und übergibt den Auftrag an den ersten Druckprozessor, der sich für den Datentyp des Druckauftrags zuständig erklärt. Dieser nimmt gegebenenfalls Anpassungen, wie beispielsweise das Anhängen eines Seitenvorschubs oder das Erzeugen einer Bitmap, vor. 4. Der Trennseiten-Prozessor bekommt den Druckauftrag übergeben und stellt den Daten eine Trennseite voran (falls angegeben). Druckervorgänge 5. Der Druckauftrag wird an den Druckmonitor weitergegeben. Der Auftrag wird an einen geeigneten Druckeranschlussmonitor gesendet. Wenn das Druckgerät mit bidirektionaler Kommunikation arbeitet, kommt hier zuerst ein Sprachmonitor zum Einsatz, der die Kommunika-

462

Drucker installieren und im Netzwerk bereitstellen

tion mit dem Druckgerät abwickelt und dann den Druckauftrag einem Portmonitor übergibt. Bei physischen Druckern mit unidirektionaler Kommunikation geht der Druckauftrag dagegen direkt an den Portmonitor, der für die Übertragung der Daten an den physischen Drucker oder an einen anderen Server sorgt. 6. Das Druckgerät erhält die Daten in seiner Druckersprache, generiert daraus eine Bitmap und gibt diese auf Papier (oder ein anderes Medium) aus.

9.2

Drucker installieren und im Netzwerk bereitstellen

Frühere Windows-Versionen enthalten einen Ordner Drucker, der die zentrale Verwaltungsschnittstelle für Drucker und Faxgeräte darstellt. In Windows 7 wurde der Ordner Drucker durch den Ordner Geräte und Drucker ersetzt. Hiermit können alle an den PC angeschlossenen Peripheriegeräte verwaltet werden. Abbildung 9.1 Zentrale Verwaltung aller Peripheriegeräte im Dialogfeld Geräte und Drucker

9

Das Aussehen und die Funktionsweise der neuen Option Geräte und Drucker ist zwar unterschiedlich, aber es werden auch weiterhin alle wichtigen

463

Kapitel 9 Drucken und Faxen

Aufgaben im Zusammenhang mit dem Drucken ausgeführt, für die früher der Ordner Drucker verwendet wurde. Hier sind zum einen alle im System registrierten Drucker und Faxgeräte (lokale Drucker und Netzwerkdrucker) zu finden, und zum anderen können u.a. Drucker hinzugefügt bzw. Drucker und Druckaufträge verwaltet werden. Am schnellsten erfolgt der Zugriff auf das Dialogfeld Geräte und Drucker durch Auswahl der entsprechenden Option im Startmenü oder durch Eingabe des Begriffs Drucker im Suchfeld des Startmenüs und anschließende Auswahl der Option Geräte und Drucker.

9.2.1

Installation lokaler Drucker

Aktuelle Druckgeräte mit USB-, FireWire- oder Infrarot-Anschluss, die während des laufenden Betriebs an den Rechner angeschlossen werden können, erkennt Windows 7 automatisch. Dank dieser Plug&Play-Unterstützung erweist sich die Einrichtung eines lokalen Druckers in der Regel als einfacher Vorgang, der keinerlei Benutzereingriff erfordert. Drucker manuell installieren

In Einzelfällen kann es erforderlich sein, einen Drucker manuell einzurichten, beispielsweise wenn Windows 7 keinen Treiber für den Drucker findet oder das Druckgerät am parallelen Port angeschlossen ist, der kein Plug&Play unterstützt. Ausführliche Erläuterungen zur Installation von Geräten und Treibern sowie Hinweise zum Umgang mit Treiberproblemen finden Sie in Kapitel 3. Einen lokalen Drucker installieren Sie wie folgt: 1. Wählen Sie im Systemsteuerungsbereich Hardware und Sound/Geräte und Drucker die Option Drucker hinzufügen. 2. Um einen lokalen Drucker zu installieren, ist in dem ersten Dialogfeld die Option Einen lokalen Drucker hinzufügen zu wählen.

Abbildung 9.2 Installation eines lokalen Druckers mithilfe des Druckerinstallations-Assistenten

464

Drucker installieren und im Netzwerk bereitstellen

3. Im nächsten Schritt ist der Port auszuwählen, an den das Druckgerät angeschlossen ist. Mit dem Druckerport, den Sie während der Installation oder später dem Drucker zuordnen, legen Sie fest, wie Druckdaten aus dem logischen Drucker weiterverarbeitet werden: ob sie zur Ausgabe an einen physischen Drucker weitergeleitet oder ob sie in eine Datei oder an ein Fax weitergegeben werden. Lokal angeschlossene Druckgeräte verwenden meist den LPT1-Port. Bei Windows 7 steht darüber hinaus mit dem XPSPort ein zusätzlicher lokaler Anschluss zur Verfügung (siehe dazu den Abschnitt 9.3.3 ab Seite 459). Abbildung 9.3 Auswahl des Anschlusses bei Installation eines lokalen Druckers

Soll die Druckausgabe in eine Datei erfolgen, müssen Sie den Anschlussport FILE: auswählen. Bei installiertem Microsoft Office 2007 ist auch die Ausgabe als PDF-Dokument oder in OneNote möglich. Bei der Druckausgabe erhält der Benutzer in diesem Fall die Aufforderung, einen Pfad und Dateinamen anzugeben. Bei Auswahl des Anschlussports zur Ausgabe in eine Datei ist zu beachten, dass die Datei mit dem für den Port definierten Druckertreiber generiert wird. Der Drucker, auf dem die Datei letztendlich gedruckt wird, sollte deshalb zum gewählten Treiber kompatibel sein. Im Übrigen ist es meist einfacher, aus der Anwendung heraus in eine Datei zu drucken. Dies wird von den meisten Anwendungen unterstützt.

9

4. Nach der Festlegung des Anschlusses muss das Druckermodell bzw. der Hersteller ausgewählt werden. In der angezeigten Liste finden Sie die von Windows 7 standardmäßig unterstützten Druckertreiber, welche die Informationen zur Hardware und zu der internen Sprache eines bestimmten Druckers enthalten, sowie alle bis zu diesem Zeitpunkt installierten Druckertreiber. Falls das verwendete Druckermodell in der Liste fehlt, können Sie den passenden Treiber auch von einem Datenträger installieren, mit Win-

465

Kapitel 9 Drucken und Faxen

dows Update über das Internet nach neuen Treibern suchen oder einen Treiber von der Website des Herstellers herunterladen. In diesem Fall ist die Option Datenträger zu wählen, um den Speicherort für die Druckertreiberdatei anzugeben. Standardmäßig signierte Treiber

Abbildung 9.4 Auswahl des Druckerherstellers und -modells

Treiber auswählen

Bei den im Lieferumfang von Windows 7 enthaltenen Treibern handelt es sich ausschließlich um signierte Treiber. Versuchen Sie, den unsignierten Treiber eines Herstellers zu installieren, müssen Sie dies zusätzlich bestätigen. p

5. Ist ein Druckertreiber für das Modell bereits installiert, erfolgt eine Rückfrage, ob der momentan verwendete Treiber beibehalten oder ein neuer Treiber installiert werden soll. Liegt ein aktuellerer Treiber vor, können Sie diesen wählen. 6. Geben Sie anschließend einen Namen ein, unter dem der Drucker gefunden werden soll. Außerdem kann bereits hier der Drucker als Standarddrucker festgelegt werden.

Abbildung 9.5 Festlegung des Druckernamens

7. Damit sind alle Informationen vollständig, und Windows 7 installiert den Drucker.

466

Drucker installieren und im Netzwerk bereitstellen

8. Damit aber ist der Assistent zur Druckerinstallation noch nicht abgeschlossen. In weiteren Dialogfeldern besteht die Möglichkeit, den Drucker im Netzwerk zur gemeinsamen Verwendung freizugeben und eine Testseite zu drucken. o

Abbildung 9.6 Drucker im Netzwerk freigeben

Nicht immer wird die Installation eines Druckers problemlos möglich sein. Treiberprobleme Kann Windows 7 ein Gerät nicht erkennen oder treten Probleme mit der beheben Installation des Treibers auf, wird das Gerät im Geräte-Manager als Problemgerät unter Andere Geräte aufgeführt und mit einem Ausrufezeichen gekennzeichnet. Der Gerätestatus liefert dabei eine Beschreibung des Problems und einen Fehlercode. In der Mehrzahl der Fälle liegt ein Problem mit dem Treiber vor, beispielsweise weil kein Treiber gefunden werden konnte oder weil ein Treiber installiert wurde, der für eine frühere Windows-Version entwickelt wurde. Versuchen Sie in diesem Fall zunächst, einen aktuellen Treiber über Windows Update zu laden. Hierzu kann im Kontextmenü des Gerätes die Option Treibersoftware aktualisieren auf der Registerkarte Treiber verwendet werden. Bei der automatischen Suche durchsucht Windows auch das Windows Update-Treiberrepository im Internet, sofern die entsprechende Funktion in den Geräteinstallationseinstellungen aktiviert wurde. In einigen Fällen kann es erforderlich sein, den Aktualisierungsprozess mehrfach durchzuführen. Die Aktualisierung eines Treibers ist auch erforderlich, wenn ein Treiber akzeptiert und installiert wurde, das Gerät aber nur eingeschränkt mit diesem Treiber funktioniert. Bleibt die Suche erfolglos, sollte versucht werden, vom Hersteller einen kompatiblen Treiber oder Software zu erhalten. Steht für ein Problemgerät kein neuer Treiber zur Verfügung, bleibt noch die Möglichkeit, einen Windows XP-, bzw. Windows Vista-Treiber im Kompatibilitätsmodus zu installieren. Hierbei handelt es sich um eine spezielle Funktion, die es ermöglicht, Anwendungen, d.h. in diesem Fall dem Treiberinstallationsprogramm ein anderes Windows-Betriebssystem vorzugaukeln, als tatsächlich installiert ist. Für die Anwendung verhält sich Windows 7 dann so wie ein älteres Windows-Betriebssystem, d.h. wie beispielsweise Windows XP oder Windows Vista. Nähere Informationen zum Umgang mit Problemen bei der Installation von Geräten finden Sie in Kapitel 2.

467

9

Kapitel 9 Drucken und Faxen

9.2.2

Mit einem Netzwerkdrucker verbinden

In einem Unternehmensnetzwerk spielt der Einsatz lokaler Drucker eine meist untergeordnete Rolle. Stattdessen werden die Druckgeräte gemeinsam im Netzwerk genutzt. Zu den häufigsten Aufgaben gehört deshalb die Herstellung einer Einbindung zu einem im Netzwerk freigegebenen Drucker. Die Verbindungsherstellung kann auf unterschiedliche Art und Weise erfolgen. Die wichtigsten Möglichkeiten werden im Folgenden erläutert.

Einrichtung in der Netzwerkumgebung im Windows-Explorer Sehr einfach kann eine Verbindung zu einem Netzwerkdrucker in der Netzwerkumgebung im Windows-Explorer hergestellt werden, vorausgesetzt der Name des Druckservers ist bekannt. Nach Auswahl des Servers, der den gewünschten Drucker verwaltet, werden mithilfe der Option Remotedrucker anzeigen alle verfügbaren Drucker des gewählten Druckservers angezeigt. Um einen Drucker einzubinden, genügt es, die Option Verbinden im Kontextmenü zu wählen. Treiber automatisch übernommen

Falls auf dem Clientrechner noch kein Druckertreiber vorhanden ist, bezieht er ihn direkt vom Druckserver, vorausgesetzt der passende Treiber für das Clientsystem wurde dort bereitgestellt. Die Installation eines neuen Treibers erfordert hingegen erhöhte Rechte und muss daher bestätigt werden, was an dem Sicherheitssymbol erkennbar ist.

Abbildung 9.7 Die Installation des Druckertreibers muss bestätigt werden.

Netzwerkdrucker mithilfe des Assistenten installieren Da in Unternehmensnetzwerken für Benutzer meist der Zugriff auf die Netzwerkumgebung gesperrt ist, entfällt zumindest für diese häufig die erste Möglichkeit. Arbeitsschritte

468

Alternativ kann der Druckerinstallations-Assistent verwendet werden: 1. Wählen Sie beispielsweise im Windows-Explorer oder in dem Dialogfeld Geräte und Drucker die Option Drucker hinzufügen. 2. Um eine Verbindung mit einem Netzwerkdrucker herzustellen, muss die zweite Option Einen Netzwerk-, Drahtlos- oder Bluetooth-Drucker hinzufügen gewählt werden.

Drucker installieren und im Netzwerk bereitstellen

3. Das System durchsucht dann das Netzwerk nach freigegebenen Druckern und listet diese auf. 4. Ist der gesuchte Drucker nicht in der Liste enthalten, sollte die Option Der gesuchte Drucker ist nicht aufgeführt verwendet werden. Im folgenden Dialogfeld kann der Drucker anhand unterschiedlicher Kriterien (Freigabename, IP-Adresse u.a.) ermittelt werden. Ist der Rechner Teil einer Domäne, kann der Drucker auch in Active Directory mit der Option Einen Drucker im Verzeichnis anhand des Standorts oder der Druckerfunktion suchen gesucht werden. Die Suche kann nicht mit verschiedenen Kriterien eingegrenzt werden. 5. Ist der Drucker in der Liste vorhanden, genügt es, den Druckernamen zu bestätigen und anzugeben, ob der Drucker als Standarddrucker verwendet werden soll. 6. Falls auf dem Clientrechner noch kein Druckertreiber vorhanden ist, bezieht er ihn direkt vom Druckserver, vorausgesetzt der passende Treiber für das Clientsystem wurde dort bereitgestellt (beachten Sie hierzu die Ausführungen in Kapitel 3).

Abbildung 9.8 Auswahl des gewünschten Netzwerkdruckers im Druckerinstallations-Assistenten

9

469

Kapitel 9 Drucken und Faxen

Standarddrucker festlegen Die Möglichkeit, einen Standarddrucker festzulegen, ist nicht neu. Bereits in früheren Windows-Versionen kann ein Drucker als bevorzugter Drucker ausgewählt werden. Dieser wird dann immer automatisch verwendet, wenn kein anderer Drucker gewählt wird, und ist in allen Anwendungen die Standardeinstellung. Im Ordner Geräte und Drucker ist der Standarddrucker mit einem grünen Symbol gekennzeichnet. Soll der Standarddrucker geändert werden, ist dies jederzeit durch Aktivierung der entsprechenden Option im Kontextmenü des gewünschten Druckers möglich. Drucken am Aufenthaltsort

Windows 7 bietet nun mit der neuen Funktion Drucken an Aufenthaltsort die Möglichkeit, den Standarddrucker automatisch umzustellen, wenn festgestellt wird, dass der Rechner sich in einem anderen Netzwerk befindet. Möglich wird dies mithilfe eines Dienstes namens NLA – Network Location Awareness. Dieser sammelt und speichert Konfigurationsinformationen für das Netzwerk und benachrichtigt Programme, wenn diese Informationen geändert werden. Für jedes Netzwerk kann deshalb ein eigener Standarddrucker festgelegt werden, und wenn sich das Netzwerk ändert, ändert Windows den Standarddrucker. Für die Verwendung dieser Funktion kann die Option Standarddrucker verwalten im Kontextmenü eines beliebigen Druckers verwendet werden. Nach Aktivierung der Option Beim Ändern des Netzwerks den Standarddrucker ändern kann für jedes aufgelistete Netzwerk ein gesonderter Standarddrucker konfiguriert werden. Aufgelistet wird hier jedes Netzwerk, zu dem mindestens einmal eine Verbindung hergestellt worden ist.

Steht nur auf mobilen Rechnern zur Verfügung

Allerdings gibt es einige Einschränkungen. Zum einen steht die Funktion nur in den Premium-Editionen von Windows 7 zur Verfügung, und zum anderen muss es sich bei dem Rechner um ein Notebook oder ein anderes tragbares Gerät mit einem Akku handeln. Auf Desktoprechnern fehlt die genannte Option.

9.2.3

Windows 7-Client als Druckserver einrichten

Auch wenn Windows 7 als Druckserver in Unternehmensnetzen nur selten genutzt wird, darf das Thema an dieser Stelle nicht fehlen. Es gibt grundsätzlich zwei Möglichkeiten, Drucker in einem Netzwerk für die gemeinsame Nutzung bereitzustellen: 왘 Ein lokal an einem Rechner (Arbeitsplatzrechner oder Server) angeschlossener Drucker kann über das Netzwerk freigegeben werden, um anderen Benutzern den Zugriff zu ermöglichen. 왘 Ein Netzwerkdrucker wird mit einer eigenen Netzwerkkarte direkt ans Netzwerk angeschlossen und ist dort für alle erreichbar. Diese Druckgeräte müssen nicht physisch an einen Druckserver angeschlossen sein, können aber ebenfalls von diesem verwaltet werden. Der Aufstellungsort spielt in diesem Fall keine Rolle, sofern das Druckgerät netzwerktechnisch erreichbar ist.

470

Drucker installieren und im Netzwerk bereitstellen

Windows 7 unterstützt beide Möglichkeiten. Lokal an einen Windows 7Rechner angeschlossene Druckgeräte können im Netzwerk freigegeben werden. In diesem Fall fungiert der Windows 7-Rechner als Druckserver und verwaltet eine gemeinsam genutzte Druckerwarteschlange für alle Rechner, die auf den am Druckserver installierten Drucker zugreifen dürfen. Zusätzlich können Drucker mit eigenem Netzanschluss über eine Druckerwarteschlange auf einem als Druckserver fungierenden Windows 7Rechner freigegeben werden.

Drucker auf einem Windows 7-Rechner freigeben Die einfachste Variante, einen Drucker im Netzwerk zu nutzen, ist die Freigabe eines an einen Rechner angeschlossenen Druckers nach Abschluss von dessen Installation. 1. Öffnen Sie im Systemsteuerungsbereich Geräte und Drucker, und wählen Sie im Kontextmenü des Druckers, den Sie freigeben wollen, die Option Druckereigenschaften und anschließend die Registerkarte Freigabe. 2. Für die Verwaltung von Druckerfreigaben sind administrative Rechte erforderlich, daher müssen nach Auswahl der Option ggf. noch der Name und das Kennwort eines berechtigten Benutzers angegeben bzw. der Vorgang bestätigt werden. 3. Aktivieren Sie auf der Registerkarte Freigabe das Kontrollkästchen Drucker freigeben, und tragen Sie einen Freigabenamen ein. Werden im Netzwerk noch ältere Betriebssysteme genutzt, sollten Sie den Freigabenamen aus Gründen der Kompatibilität auf acht Zeichen beschränken und auch keine Leer- und Sonderzeichen verwenden. 4. Ist der Computer Teil einer Active Directory-Domäne, ist zusätzlich Drucker veröfdas Kontrollkästchen Im Verzeichnis anzeigen verfügbar. Damit kann fentlichen der Drucker in Active Directory veröffentlicht werden. Abbildung 9.9 Drucker auf einem Windows 7-Rechner freigeben

9

471

Kapitel 9 Drucken und Faxen

Freigegebene Drucker werden mit einem Freigabe-Gruppensymbol in der Liste der Drucker gekennzeichnet.

Netzwerkdrucker einrichten Windows 7 kann alternativ auch für Drucker, die nicht an einen Rechner, sondern mit eigener Netzwerkkarte direkt ans Netz angeschlossen sind, als Druckserver fungieren. Diese Möglichkeit bietet sich für kleinere Netzwerke an, die mehrere physische Drucker, aber keinen Server im Einsatz haben. LPR

Für die Einbindung von Netzwerkdruckern über das TCP/IP-Protokoll bietet Windows 7 (wie auch die Vorgängerversionen) Unterstützung für LPRAnschlüsse. LPR (Line Printer Remote-Dienst) ist ein Protokoll der TCP/ IP-Protokollfamilie und wurde ursprünglich als Standard für die Übertragung von Druckaufträgen zwischen Computern unter Berkeley Unix entwickelt. Der LPR-Anschlussmonitor dient in erster Linie zum Einbinden von Druckern, die auf Unix-Druckservern bereitgestellt werden. Standard-TCP/IP-Port einrichten Windows 7 bietet jedoch noch eine Alternative zu LPR-Anschlüssen. Der zusätzliche Portmonitor, der seit der Version Windows 2000 verfügbar ist, wird als Standard-Portmonitor (SPM) bezeichnet. SPM wird standardmäßig zusammen mit TCP/IP installiert.

Standard-Portmonitor (SPM) Mithilfe des Standardmonitors (SPM) können Drucker, die über das TCP/IP-Protokoll im Netzwerk erreichbar sind und die Standards gemäß RFC 1759 einhalten, auf einem Druckserver verwaltet werden. Dieser auch als Simple Network Management Protocol (SNMP) bezeichnete Standard definiert, wie entsprechende Drucker im Netzwerk miteinander kommunizieren. Der Standardmonitor ist leistungsfähiger und besser konfigurierbar als der LPR-Anschlussmonitor, u.a. weil er SNMP einsetzt, um die Konfiguration des Zieldruckers zu lesen und dessen Status zu ermitteln. Nach Angabe der erforderlichen IP-Adresse oder des Namens des Druckservers kann die weitere Installation meist automatisch vonstatten gehen. Insofern zeichnet sich SPM auch durch eine einfache Einbindung auf Clientseite und eine vereinfachte Administration aus. Falls der SPM den Zieldrucker nicht mit den standardmäßigen TCP-Anschlüssen des SPM und SNMP konfigurieren kann, verwendet er das LPR-Protokoll, sofern dieses von dem Druckgerät unterstützt wird. Im Gegensatz zu LPR verwendet SPM standardmäßig den Anschluss 9100 als Zielanschluss und wählt nach dem Zufallsprinzip einen offenen Quellanschluss größer als 1023 aus. SPM-Drucker einrichten

472

Um einen TCP/IP-Drucker über einen Standard-TCP/IP-Port auf einem Windows 7-Rechner, der als Druckserver fungiert, einzurichten, gehen Sie folgendermaßen vor:

Drucker installieren und im Netzwerk bereitstellen

1. Wählen Sie im Systemsteuerungsbereich Hardware und Sound/Geräte und Drucker die Option Drucker hinzufügen. 2. Wählen Sie in dem ersten Dialogfeld die Option Einen lokalen Drucker hinzufügen. 3. Im nächsten Fenster aktivieren Sie die Option Neuen Anschluss erstellen und wählen in der Auswahlliste den Eintrag Standard-TCP/IP-Port aus. Abbildung 9.10 Einrichtung eines neuen StandardTCP/IP-Ports

4. Anschließend ist die IP-Adresse (oder der Hostname) des physischen Druckgeräts einzutragen. Der Anschlussname wird automatisch generiert, Sie können diesen jedoch ändern. Abbildung 9.11 Konfiguration eines SPM-Anschlusses

9

5. Falls ausgewählt, versucht der SPM, den Drucker abzufragen und den Treiber auf der Grundlage der von SNMP übermittelten Antworten automatisch auszuwählen. Werden das Druckermodell und verfügbare Optionen über SNMP ermittelt, erfolgt die weitere Konfiguration automatisch. Kann das ermittelte Gerät jedoch nicht bestimmt werden, fragt der Assistent die zusätzlich benötigten Informationen ab.

473

Kapitel 9 Drucken und Faxen LPR-Drucker einrichten

LPR-Port einrichten Alternativ können die beide Anschlussarten LPR Port und Standard TCP/IP Port verwendet werden. Gegenüber SMP ist deren Einrichtung aber weniger komfortabel. Damit der LPR-Port überhaupt genutzt werden kann, müssen die Druckdienste, wie nachstehend beschrieben, aktiviert werden. Andernfalls steht kein LPR-Port zur Verfügung.

Während jedoch in früheren Windows-Versionen die in Windows integrierten Programme und Funktionen installiert bzw. zum Deaktivieren auf dem Computer vollständig deinstalliert werden mussten, sind unter Windows 7 alle Funktionen auf der Festplatte gespeichert. Damit entfällt auch die Notwendigkeit für den Zugriff auf das Installationsmedium. Beim Deaktivieren wird die Funktion nicht deinstalliert, sodass sich auch der verwendete Festplattenspeicher nicht verringert. Damit ist es aber möglich, die Funktion bei Bedarf jederzeit wieder zu aktivieren. 1. Die erforderliche Option Windows-Funktionen aktivieren oder deaktivieren ist zu finden in der Systemsteuerung unter Programme und Programme und Funktionen. 2. Wählen Sie hier Druckdienste, und aktivieren Sie den LPD-Druckdienst. Wird auch die Option LPR-Anschlussmonitor aktiviert, sind automatisch auch alle freigegebenen Drucker unter Windows 7 über LPR von anderen Computern über das Netzwerk erreichbar. Als Druckername wird jeweils der Name der entsprechenden Druckerfreigabe verwendet. Abbildung 9.12 Für die Verwendung von LPR-Ports ist die Aktivierung des LPD-Druckdienstes erforderlich.

Nachdem die erforderlichen Arbeitsschritte eines der beiden zuvor beschriebenen Verfahren durchgeführt wurden, fungiert das System ganz automatisch als Druckserver. Es ist nicht erforderlich, Windows 7 explizit als Druckserver zu konfigurieren.

9.3

Druckserver, Drucker und Druckaufträge verwalten

Die im Folgenden beschriebenen Konfigurationsmöglichkeiten gelten sowohl für lokal eingerichtete Drucker als auch für Netzwerkdrucker.

474

Druckserver, Drucker und Druckaufträge verwalten

Vorgestellt werden im Folgenden sowohl die Verwaltungsmöglichkeiten im „ klassischen“ Druckerverwaltungsdialogfeld als auch die Möglichkeiten der integrierten Druckverwaltungskonsole.

9.3.1

Druckereigenschaften konfigurieren

Im Bereich Geräte und Drucker werden alle installierten Drucker aufgeführt und können hier auch verwaltet werden. Zugriff auf die Verwaltungsoptionen der aufgelisteten Drucker ist u.a. über das Kontextmenü des betreffenden Druckers und die Option Druckereigenschaften (nicht zu verwechseln mit der Option Eigenschaften) möglich. Hier stehen umfangreiche Konfigurationsoptionen zur Verfügung, allerdings hängen die tatsächlich verfügbaren Konfigurationsmöglichkeiten vom gewählten Drucker ab. In der Regel sind die folgenden Registerkarten vorhanden: Registerkarte Allgemein Auf der Registerkarte Allgemein kann u.a. für Die Registerkareinen lokal installierten Drucker der Name geändert sowie der Standort ten im Überblick

und ein Kommentar können eingetragen werden. Weiterhin können mittels der Schaltfläche Einstellungen Feineinstellungen zu Papierformat, Papierund Druckqualität vorgenommen werden. Außerdem ist von hier aus das Drucken einer Testseite möglich. Registerkarte Freigabe Auf der Registerkarte Freigabe kann der Drucker für

die Benutzung durch andere Rechner im Netzwerk freigegeben werden. Registerkarte Anschlüsse Den Anschluss, mit dem der Drucker verbun-

den ist, konfigurieren Sie auf der Registerkarte Anschlüsse. Hier können auch neue Anschlüsse definiert bzw. vorhandene Anschlüsse gelöscht werden. Genaue Erläuterungen zur Freigabe von Druckern und zur Konfiguration neuer Anschlüsse finden Sie im Abschnitt 9.2.3 ab Seite 470. Registerkarte Geräteeinstellungen Auf der Registerkarte Geräteeinstellungen können die Standardvorgaben für bestimmte Einstellungen am Druckgerät vorgenommen werden. Abhängig vom Druckertyp können hier das Papierformat und die Papierzufuhr konfiguriert werden. Bei Farb- oder PostScript-Druckern stehen zusätzliche Optionen zur Verfügung. Registerkarte Erweitert Interessante Möglichkeiten bietet die Register-

9

karte Erweitert. Hier kann beispielsweise festgelegt werden, ob der Drucker immer oder nur zu eingeschränkten Zeiten zur Verfügung steht. Auch die Festlegung der Druckerpriorität ist möglich. Die Druckerpriorität Druckerpriorität legt die Reihenfolge fest, in der ein bestimmter Drucker im Vergleich zu anderen verfügbaren Druckern ausgewählt wird. Die Druckerpriorität legt jedoch nur die Reihenfolge fest, in der ein Drucker mehrere Druckaufträge ausführt. Ein Drucker wird die Verarbeitung eines bereits begonnenen Druckauftrags nicht unterbrechen, selbst wenn der Spooler einen Druckauftrag mit einer höheren Priorität empfängt, der für einen Drucker mit einer höheren Priorität am gleichen Anschluss bestimmt ist.

475

Kapitel 9 Drucken und Faxen

Die Konfiguration der Druckerpriorität ist sinnvoll, wenn mehrere logische Drucker für einen physischen Drucker definiert sind. In Zusammenhang mit unterschiedlichen Zugriffsberechtigungen kann einzelnen Benutzern damit ein bevorzugter Zugriff auf ein Druckgerät ermöglicht werden. Neuer Treiber

Weiterhin ist auf dieser Registerkarte die Installation eines neuen Druckertreibers möglich. Hierzu steht die Schaltfläche Neuer Treiber zur Verfügung.

SpoolerEinstellungen

Benutzer, die über Administratorrechte verfügen, können außerdem das Spoolen von Druckaufträgen über die Registerkarte Erweitert konfigurieren. Ein Druckauftrag kann entweder an den Spooler oder direkt an den Drucker gesendet werden. Der Spooler ist ein temporärer Speicherort auf der Festplatte, an dem der Druckauftrag so lange gespeichert wird, bis er an den Drucker abgegeben werden kann. Dadurch kann eine Anwendung einen Druckauftrag schneller abwickeln und muss nicht erst auf die Fertigstellung des Druckauftrags warten. Dies ist die Standardeinstellung. Der einzige Grund, den Spooler nicht zu verwenden, wäre Platzmangel auf der Festplatte, was bei den heutigen Festplattenkapazitäten aber kaum zum Problem werden dürfte. Druckaufträge, die an den Spooler gesendet werden, können so konfiguriert werden, dass der Drucker entweder mit dem Drucken beginnt, sobald dies möglich ist oder nachdem die letzte Seite des Druckauftrags an den Spooler gesendet worden ist. Wenn der Druckserver mit dem Spooler nicht zur Verfügung steht, kann der Druckauftrag nicht abgewickelt werden. In diesem Fall muss gewartet werden, bis der Spooler wieder verfügbar ist.

Abbildung 9.13 Konfiguration der erweiterten Druckereigenschaften

Druckprozessor und Datentypen

476

Wie die vorstehende Abbildung zeigt, können außerdem der Druckprozessor und der zu verwendende Datentyp ausgewählt werden. Der Druckprozessor übergibt den Druckauftrag an den Spooler entsprechend dem aus-

Druckserver, Drucker und Druckaufträge verwalten

gewählten Datentyp. Beim Drucken unter Windows werden in der Regel fünf Standard-Datentypen unterstützt. Die beiden am häufigsten verwendeten Datentypen sind hierbei EMF und RAW. Gelegentlich kommt auch der Datentyp Text zum Einsatz. 왘 EMF (Enhanced Meta File) EMF ist das standardmäßig verwendete Format. Hierbei wird der Druckauftrag vom Client vor dem Spoolen vom GDI (Graphical Device Interface) und nicht wie bei RAW-Druckerdaten vom Druckertreiber erstellt. Nach dem Erstellen von EMF-Dateien wird die Steuerung an den Benutzer zurückgegeben, und die EMF-Datei im Hintergrund werden interpretiert und an den Druckertreiber übergeben. Die eigentliche Verarbeitung erfolgt damit im Spooler. Wenn der Spooler auf einem Druckserver im Netzwerk läuft, wird der lokale Client erheblich entlastet. EMF-Dateien sind besser übertragbar als RAW-Dateien. Eine EMFDatei kann auf jedem Druckgerät ausgegeben werden, wohingegen eine RAW-Datei nur auf einem Druckgerätemodell gedruckt werden kann. Darüber hinaus ist der Satz der EMF-Dateien, der alle Seiten eines Druckauftrags umfasst, kleiner als eine RAW-Datei, die denselben Druckauftrag beinhaltet. Außerdem stellt das EMF-Format sicher, dass die auf dem Client angegebenen Schriftarten den vom Druckserver verwendeten entsprechen. 왘 RAW RAW ist das Standardformat für alle Clients, die nicht unter Windows laufen. Die Daten werden nicht im Spooler geändert, sondern direkt an den Drucker übergeben. Der RAW-Datentyp teilt dem Spooler mit, dass der Druckauftrag in keiner Weise geändert werden darf und in der vorliegenden Form druckbereit vorliegt. Es werden zwei verschiedene RAW-Datentypen unterschieden: 왘 RAW [FF appended] Dieser Datentyp teilt dem Spooler mit, dass der Druckauftrag von einer Anwendung stammt, die dem Ende des Druckauftrags kein Seitenvorschubzeichen hinzufügt. Ohne einen SeitenvorschubNachspann würde die letzte Seite des Druckauftrags bei PCLDruckgeräten (PCL – Die Printer Command Language ist eine von Hewlett-Packard entwickelte Befehlssprache zum Steuern von Druckern) nicht ausgegeben werden. Der Spooler fügt dem Ende des Druckauftrags ein Seitenvorschubzeichen hinzu, führt jedoch keine weiteren Änderungen durch. Bricht ein Programm den Druckprozess ab, ohne die Seite zu füllen, wartet der Drucker auf den Abschluss. Mit dieser Option erzwingen Sie den abschließenden Umbruch. 왘 RAW [FF auto] Dieser Datentyp ähnelt dem RAW [FF appended]-Datentyp, jedoch weist der RAW [FF auto]-Datentyp den Spooler an, den Druckauftrag auf ein Seitenvorschubzeichen am Ende des Auftrags hin zu überprüfen. Ist das der Fall, unternimmt der Spooler nichts, andernfalls wird der Seitenumbruch angehängt.

9

477

Kapitel 9 Drucken und Faxen 왘 TEXT

Mit der Einstellung TEXT werden reine ANSI-Daten gesendet, die nicht vom Spooler modifiziert werden. Der Drucker gibt diese in seiner Standardschriftart aus. Dies eignet sich besonders, wenn der Druckauftrag aus einfachem Text besteht und das Druckgerät (beispielsweise ein PostScript-Drucker) Aufträge mit einfachem Text nicht interpretieren kann. Registerkarte Sicherheit Windows 7 wendet auch beim Drucken diffe-

renzierte Zugriffsrechte an, die auf der Registerkarte Sicherheit geändert werden können. Dies umfasst die Festlegung von Berechtigungen für das Drucken, das Verwalten des Druckers und das Verwalten von Dokumenten. Zusätzlich können spezielle Berechtigungen konfiguriert werden. Die hier konfigurierten Sicherheitseinstellungen gelten auch für die Nutzung des Druckers über das Netzwerk. Es gibt drei Ebenen von Druckerberechtigungen: Drucken, Dokumente verwalten und Drucker verwalten. Mit diesen drei Berechtigungsstufen sind die folgenden Rechte verbunden: Tabelle 9.1 Berechtigungsebenen für die Druckerverwaltung

Beinhaltet Berechtigung für:

Drucken Dokumente verwalten

Drucker verwalten

Dokumente drucken

Ja

Ja

Ja

Herstellen der Verbindung zu einem Netzwerkdrucker

Ja

Ja

Ja

Eigene Druckaufträge anhalten, abbrechen, erneut planen

Ja

Ja

Ja

Alle Druckaufträge anhalten, abbrechen, erneut planen oder umleiten

Nein

Ja

Ja

Verwalten von Druckern (Freigeben eines Druckers, Ändern der Druckereigenschaften u.a.)

Nein

Nein

Ja

Standardmäßig besitzen alle Benutzer als Mitglieder der Gruppe Jeder die Berechtigung Drucken. Administratoren verfügen über die Berechtigung Drucken, Drucker verwalten und Dokumente verwalten. Außerdem ermöglicht die Standardberechtigung Dokumente verwalten für die Gruppe Ersteller/Besitzer, dass Benutzer ihre eigenen Druckaufträge verwalten können. Berechtigungen zuweisen

Um den Zugriff auf einen Drucker einzuschränken, müssen die Einstellungen der Druckerberechtigungen für die ausgewählte Gruppe oder einen Benutzer geändert werden. Wenn ein Benutzer Mitglied in mehreren Gruppen ist und einer Gruppe der Zugriff auf den Drucker verweigert wird, überschreibt diese Einstellung unter Verweigern die Einstellung unter Zulassen.

478

Druckserver, Drucker und Druckaufträge verwalten Abbildung 9.14 Konfiguration von Druckerberechtigungen

Registerkarte Farbverwaltung Die Registerkarte Farbverwaltung ermöglicht die Konfiguration von Farbprofilen. Windows 7 unterstützt wie schon seine Vorgänger den ICC-Farbmanagementstandard und bietet mit dem Image Color Management (ICM) eine Schnittstelle, die dabei hilft, eine genaue und konsistente Farbdarstellung auf allen Ausgabegeräten sicherzustellen.

In der Regel unterscheidet sich die Farbausgabe zwischen Scannern, Bildschirmen, Druckern oder Anwendungen. Ohne ein Standard-Farbverwaltungssystem würden die Ergebnisse hinsichtlich der Farbdarstellung zwischen Programmen und der Ausgabe auf den verschiedenen Hardwarekomponenten sehr unterschiedlich ausfallen. Ein Farbverwaltungssystem hilft dabei, diese Schwierigkeiten zu umgehen, indem es standardisierte Farbprofile bereitstellt und die Erstellung zusätzlicher Farbprofile ermöglicht. Bei jedem Hinzufügen eines neuen Geräts zum Computer wird ein Farbpro- Farbprofile fil installiert, das bei allen Scan-, Anzeige- oder Druckvorgängen für Farben verwendet wird. Farbprofile übermitteln die Farbeigenschaften eines Geräts an das Farbverwaltungssystem. Die Farbverwaltung läuft standardmäßig automatisch ab, kann bei besonderen Anforderungen aber manuell konfiguriert werden, indem angegeben wird, welches Farbprofil für einen Scanner, Bildschirm oder Drucker verwendet wird. Hierfür stellt ICM eine Methode zur Auswahl alternativer Profile bereit.

9

479

Kapitel 9 Drucken und Faxen Abbildung 9.15 Konfiguration der FarbmanagementEinstellungen in den Druckereigenschaften

Weitere Registerkarten Bei einigen Druckermodellen werden weitere

Registerkarten verwendet. Abhängig vom verwendeten Drucker kann beispielsweise eine Registerkarte zur Wartung von Tintenpatronen vorhanden sein. Ein Doppelklick auf den gewünschten Drucker im Dialogfeld Geräte und Drucker öffnet das nachstehend gezeigte Dialogfeld. Mithilfe der hier verfügbaren Optionen können ebenfalls die zuvor beschriebenen Registerkarten erreicht werden. Abbildung 9.16 Verwaltungsdialogfeld eines ausgewählten Druckers

480

Druckserver, Drucker und Druckaufträge verwalten

9.3.2

Druckaufträge verwalten

Neben der Verwaltung von Druckern und Druckservern gehört die Verwaltung der Dokumente in einer Druckerwarteschlange zu den wichtigsten Aufgaben im Druckerumfeld. Sobald ein Druckauftrag abgeschickt ist, erscheint so lange ein kleines Dru- Druckerwarteckersymbol im Infobereich der Taskleiste, bis der Druckauftrag an den schlange verwalSpooler weitergeleitet wurde. Gibt es dabei Probleme, wird dem Symbol ten ein rotes Fragezeichen hinzugefügt. Mit einem Doppelklick auf das Symbol kann die Druckerwarteschlange geöffnet werden. Alternativ kann die Druckerwarteschlange auch durch Auswahl von Geräte und Drucker im Startmenü und Auswahl der Option Druckaufträge anzeigen geöffnet werden. Im Kontextmenü jedes zu druckenden Dokuments befinden sich Optionen, mit denen der Druckvorgang für das einzelne Dokumente angehalten, fortgesetzt oder abgebrochen werden kann. Zusätzlich können im Eigenschaftendialogfeld des Druckauftrags die Priorität und dessen Zeitplan modifiziert werden. Andere Eigenschaften können zwar eingesehen, aber nicht bearbeitet werden. Abbildung 9.17 Optionen zur Verwaltung eines in der Druckerwarteschlange stehenden Dokuments

Darüber hinaus können druckerbezogene Aufgaben durchgeführt werden. So ist es u.a. möglich, alle Druckaufträge gleichzeitig zu löschen oder den Drucker als Standarddrucker festzulegen.

9.3.3

XPS-Datenaustauschformat

Die XML Paper Specification (XPS) ist ein plattformübergreifendes Daten- Was ist XPS? austauschformat, das Microsoft als direktes Konkurrenzprodukt zum PDFDateiformat von Adobe platzieren möchte. XPS ist wie PDF eine Seitenbeschreibungssprache, die es erlaubt, alle für das Erscheinungsbild eines Dokumentes relevanten Komponenten in eine einzige Datei verpackt zu transportieren. Dazu werden alle Komponenten des XPS-Dokuments, d.h. die Inhalte Grafiken, Farbe und Schriftarten, getrennt in Form eines ZipArchivs verwaltet. Alle neuen Office-Formate sind nach demselben Prinzip organisiert.

9

Aus diesem Grund genügt es, bei einem XPS-Dokument den Dateinamen von .xps in .zip zu ändern, um direkten Zugriff auf alle Komponenten des Dokumentes zu haben. Die im Dokument enthaltenen Bilder befinden sich zum Beispiel im Verzeichnis Resources.

481

Kapitel 9 Drucken und Faxen Abbildung 9.18 Inhalt einer XPS-Datei

XPS-Dokumente erstellen Bereits seit Windows Vista stellt Microsoft die Werkzeuge zur Erstellung von XPS-Dokumenten kostenfrei zur Verfügung. So lassen sich XPS-Dokumente sehr einfach aus jeder Anwendung über den mit Windows 7 mitgelieferten Druckertreiber oder direkt aus einer Office 2007-Anwendung mithilfe der Option Speichern unter erstellen. XPS-Drucker

Der XPS-Drucker (auch als XPS-Dokument-Generator bezeichnet) wird standardmäßig unter Windows 7 eingerichtet und steht wie jeder andere Drucker in den Anwendungen zur Verfügung. Der Vorgang der Erstellung entspricht dem Drucken in eine Datei, es muss lediglich ein Speicherort angegeben werden.

XPS-Viewer

Zur Anzeige von XPS-Dokumenten ist ein XPS-Viewer erforderlich. Dieser arbeitet mit dem Internet Explorer zusammen und wird bei Windows 7 automatisch eingerichtet.

Abbildung 9.19 Der XPS-Drucker ist bei Windows 7 standardmäßig installiert.

Microsoft XPS Essentials Pack

482

Bei Windows XP und Windows Server 2003 kann die XPS-Tauglichkeit durch die Installation von .NET Framework 3.0 nachgerüstet werden. Alternativ zu .NET Framework gibt es auch die Möglichkeit, mittels des Microsoft XPS Essentials Packs nur die XPS-Funktionen nachzurüsten [XPS-VIEW].

Druckserver, Drucker und Druckaufträge verwalten

Das Microsoft XPS Essentials Pack Version 1.1 unterstützt die Anzeige, Erstellung und Indizierung von XLM-Dateien. Enthalten sind der XPSViewer zum Anzeigen von XPS-Dokumenten und der Microsoft XPS Document Writer zum Erstellen von Dokumenten im XPS-Format. Die Version 1.1 kann unter Windows XP, Windows Server 2003 und Windows Vista installiert werden. Abbildung 9.20 Beispieldokument im XPS-Viewer von Windows 7

Zwei Optionen innerhalb des Viewers verdienen besondere Aufmerksamkeit: Digitale Signaturen und Berechtigungen.

XPS-Dokumente digital signieren Mithilfe einer digitalen Signatur wird die Integrität eines Dokuments sichergestellt und gewährleistet, dass das Dokument nach dem Signieren nicht geändert wurde. Zum digitalen Signieren eines Dokuments ist ein digitales Zertifikat erforderlich.

9 Abbildung 9.21 Signieren eines XPS-Dokuments bestätigen

483

Kapitel 9 Drucken und Faxen

Festlegen von Berechtigungen für ein XPS-Dokument Mittels der Option Berechtigungen im XPS-Viewer kann festgelegt werden, wer ein XPS-Dokument anzeigen, drucken, kopieren oder digital signieren kann. Um die Sicherheit zu verbessern, lässt sich zudem festlegen, wie lange jede Person das Dokument anzeigen oder ändern kann. Der XPS-Viewer wendet Dokumentberechtigungen mithilfe der WindowsTechnologie der Rechteverwaltungsdienste (RMS) an. RMS-basierte Berechtigungen werden zusammen mit dem Dokument gespeichert und sind immer wirksam, unabhängig davon, wo das Dokument gespeichert oder angezeigt und für wen es freigegeben wird. Zum Festlegen von Berechtigungen für ein XPS-Dokument muss zusätzlich ein WindowsRechtekontozertifikat (RAC) auf den Computer heruntergeladen werden. Über die Verwaltung von Informationsrechten (Information Rights Management: IRM) und die Möglichkeit zur Vergabe von Bearbeitungsrechten innerhalb des Dokuments kann der Ersteller eines solchen festlegen, ob andere Benutzer es lesen, bearbeiten oder nur kommentieren dürfen. Hierbei können auch einzelne Bereiche freigegeben und nur bestimmten Benutzern oder Gruppen Rechte eingeräumt werden. IRM basiert auf Zertifikaten, die entweder von einem Zertifikatserver oder vom Microsoft Passport-Dienst zur Verfügung gestellt werden können.

9.3.4

Zentrale Druckerverwaltung mit der Druckverwaltungskonsole

Bereits mit der in Windows Server 2003 R2 eingeführten Print Management Console (PMC) hat Microsoft ein Management-Konsolen-Snap-in für die zentrale Verwaltung von Druckern und Druckservern eingeführt. In Windows 7 ist diese Konsole unter dem Namen Druckverwaltung zu finden. Die erforderlichen administrativen Berechtigungen vorausgesetzt, können mit der Druckverwaltung alle Druckserver und Drucker von zentraler Stelle aus verwaltet werden. Die Konsole bietet Zugriff auf alle installierten Drucker, die auf Druckservern mit Windows 2000 oder höher ausgeführt werden. Zentrale Verwaltung aller Druckserver

484

Administratoren können damit u.a. zentral neue Drucker und Druckertreiber hinzufügen und vorhandene Drucker löschen. Neue Drucker können unter Verwendung der automatischen Erkennungsfunktion von entfernten Systemen aus installiert werden. Diese Funktion ermittelt Drucker im lokalen Subnetz und installiert Drucker auf dem lokalen Druckserver. Wenn ein Druckermodell ein Webinterface zur Verwaltung zur Verfügung stellt, können erweiterte Informationen zur Fehlerbehebung bereitgestellt und Fehler eingegrenzt werden.

Druckserver, Drucker und Druckaufträge verwalten Abbildung 9.22 Die Konsole Druckverwaltung ermöglicht die zentrale Verwaltung von Druckservern, Druckern und Druckaufträgen.

Druckserver verwalten Standardmäßig wird der lokale Rechner als Druckserver eingefügt, weitere können jederzeit der Druckverwaltungskonsole mithilfe der Option Server hinzuzufügen/entfernen im Kontextmenü zum Eintrag Druckverwaltung hinzugefügt werden. Jedem Druckserver werden automatisch vier Objekte zugeteilt, die als Filter für Informationen über den Drucker dienen: 왘 Treiber 왘 Formulare 왘 Anschlüsse 왘 Drucker Alternativ können zur Verwaltung von Treibern, Formularen und Anschlüssen, wie auch bei den Vorgängerversionen, die jeweiligen Registerkarten im Eigenschaftendialogfeld des Druckservers verwendet werden. Abbildung 9.23 Druckserver verwalten

9

485

Kapitel 9 Drucken und Faxen

Anpassungen sind vor allem bei auftretenden Problemen erforderlich. Hierbei zählen Probleme mit der Spooldatei oder mit der Formularverwaltung zu den häufigsten. In vielen dieser Fälle können Änderungen in der Konfiguration des Druckservers helfen. Registerkarte Formulare Auf der Registerkarte Formulare befinden sich alle Papierformate, die der Druckserver generell über seine freigegebenen Drucker anbieten kann. Zu den standardmäßig vorhandenen Formularen können mithilfe der Option Neues Formular eigene Formulare definiert werden, die dann von den Benutzern des freigegebenen Druckers im Netzwerk verwendet werden können. Dabei besteht die Möglichkeit, nicht nur die Papiergröße, sondern auch den bedruckbaren Bereich festzulegen. Wegen dieser Möglichkeit der Angabe eines nicht bedruckbaren Randes (neben der eigentlichen Bogengröße) werden diese Papierformate als Formulare bezeichnet. Abbildung 9.24 Erstellung eines neuen Formulars in den DruckserverEigenschaften

Registerkarte Anschlüsse Die Registerkarte Anschlüsse ermöglicht die zentrale Verwaltung aller verfügbaren Anschlüsse. Neben der Verwaltung der lokalen Schnittstellen eignet sich dieses Dialogfeld vor allem zum Einrichten weiterer Netzwerkverbindungen, wie beispielsweise Ports zu TCP/IPDruckern. Hier können sowohl neue Anschlussports hinzugefügt als auch vorhandene gelöscht werden.

486

Druckserver, Drucker und Druckaufträge verwalten Abbildung 9.25 Verwaltung von Anschlüssen in den Druckserver-Eigenschaften

Registerkarte Treiber Auf der Registerkarte Treiber werden alle Treiber

aufgelistet, die bislang auf dem Rechner installiert wurden, auch wenn der zugehörige logische Drucker im Netzwerk wieder gelöscht wurde. Dabei werden neben dem Druckermodell und dem Typ auch verschiedene Treiber für unterschiedliche Windows-Versionen angeboten, falls ältere Rechner auch auf den Druckserver zugreifen. Abbildung 9.26 Verwaltung installierter Druckertreiber in den Druckserver-Eigenschaften

9

487

Kapitel 9 Drucken und Faxen

Hilfreich ist diese Funktion, um Treiber zu löschen, die nicht richtig funktionieren oder fehlerhaft installiert wurden, zumal mit dieser Funktion auch die Treiberpakete aus dem Driver Store entfernt werden können (ausführliche Erläuterungen zum Treiberspeicher finden Sie in Kapitel 3). Leider werden nämlich Drucker im Geräte-Manager nicht angezeigt, sodass die Deinstallation der Treiberdateien dort nicht möglich ist. Registerkarte Erweiterte Optionen Einige wichtige Funktionen befinden

sich auf der Registerkarte Erweiterte Optionen. So kann hier beispielsweise der Speicherort für die Spooldatei festgelegt werden. Die Druckdaten werden über den Druckspooler in Spooldateien standardmäßig im Verzeichnis %Systemroot%\system32\Spool\Printers zwischengespeichert. Außerdem kann festgelegt werden, welche Vorgänge protokolliert werden, ob bei Fehlern von Remoteaufträgen ein Signalton ausgegeben und ob Benachrichtigungen über das Beenden eines Druckauftrags für lokale und/oder Netzwerkdrucker angezeigt werden sollen. Die erste Option Informative Benachrichtigungen für lokale Drucker anzeigen zeigt ein Hinweisfenster am Bildschirm des Druckservers, die zweite Option, Informative Benachrichtigungen für Netzwerkdrucker anzeigen, zeigt ein Hinweisfenster am Bildschirm des Clients, der den Druckauftrag abgegeben hat. Abbildung 9.27 Verwaltung der Spooldatei in den DruckserverEigenschaften

Drucker und Druckaufträge verwalten Nachdem die Möglichkeiten zur Verwaltung von Druckern und Druckaufträgen bereits in Abschnitt 9.3.1 (ab Seite 475) sowie in Abschnitt 9.3.2 (ab Seite 481) vorgestellt wurden, werden an dieser Stelle ausschließlich die ergänzenden Möglichkeiten der Druckverwaltungs-Konsole vorgestellt. In der Struktur der Druckverwaltung gibt es drei Positionen, an denen Informationen zu Druckern gespeichert werden: Benutzerdefinierte Filter, Druckserver und Bereitgestellte Drucker.

488

Druckserver, Drucker und Druckaufträge verwalten

Über die Kontextmenüs der Drucker kann auf alle Verwaltungsfunktionen zugegriffen werden. So lassen sich beispielsweise Drucker zur Veröffentlichung in Active Directory hinzufügen bzw. entfernen und Drucker freigeben. Abbildung 9.28 Druckerverwaltungsoptionen im Kontextmenü zum Drucker

Mithilfe des Befehls Aktion/Erweiterte Ansicht einblenden können zusätz- Druckaufträge lich im unteren Bereich des Fensters bei einem Drucker die jeweils aktuel- verwalten len Druckaufträge verwaltet werden. Abbildung 9.29 In der erweiterten Ansicht können auch Druckaufträge verwaltet werden.

9 Hervorzuheben sind die Filterfunktionen. Damit können benutzerdefi- Benutzerdefinierte Ansichten für Drucker und Treiber erstellt werden. Insbesondere nierte Filter wenn sehr viele Drucker zu verwalten sind, ist die Verwendung von gefil- definieren terten Anzeigen hilfreich. So ist es beispielsweise möglich, Drucker mit bestimmten Fehlerzuständen oder Drucker in ausgewählten Gebäuden unabhängig vom verwendeten Druckserver herauszufiltern. Alle Ansichten sind dynamisch, d.h., die Daten sind immer aktuell.

489

Kapitel 9 Drucken und Faxen

Mit der Druckverwaltung werden einige Standardfilter zur Verfügung gestellt: Alle Drucker, Alle Treiber, Drucker mit Aufträgen und Drucker nicht bereit. Abbildung 9.30 Standardmäßig vorhandene Filter

Zusätzlich können eigene Filter definiert werden. Um eine gefilterte Ansicht einzurichten, wählen Sie im Kontextmenü von Benutzerdefinierter Filter entweder die Option Neue Druckerfilter hinzufügen oder Neue Treiberfilter hinzufügen. Im entsprechenden Assistenten müssen Sie im ersten Schritt einen Namen für den Filter eingeben. Im nächsten Schritt sind die Filterkriterien festzulegen. Für jeden Filter, den Sie erstellen, können Sie festlegen, dass bei Erfüllen der Filterkriterien eine E-Mail-Benachrichtigung gesendet oder ein Skript ausgeführt wird. Dies ist hilfreich, wenn Sie über Druckerprobleme benachrichtigt werden möchten, insbesondere in einer Organisation mit mehreren Gebäuden und Administratoren. Zum Weiterleiten der Nachricht muss ein SMTP-Server angegeben werden. Sie können damit beispielsweise eine Ansicht für alle Drucker einrichten, die von einem bestimmten Druckserver verwaltet werden und deren Druckstatus Nicht bereit lautet. Wenn der Status eines Druckers von Bereit zu einem anderen Status wechselt, könnte der Administrator in diesem Fall eine Benachrichtigungs-E-Mail von der Druckverwaltung erhalten. Abbildung 9.31 Konfiguration benutzerdefinierter Filter

490

Druckserver, Drucker und Druckaufträge verwalten

Drucker mit Gruppenrichtlinien bereitstellen Neben grundlegenden Druckermanagement-Funktionen bietet die Konsole die Möglichkeit festzulegen, welche Drucker über Gruppenrichtlinien für Benutzer oder Computer bereitgestellt werden. Damit ist es möglich, zentral zu steuern, welche Drucker auf welchen Clientsystemen eingerichtet werden dürfen. Mithilfe der Option Mit Gruppenrichtlinie bereitstellen im Kontextmenü der Vorgehensweise jeweiligen Drucker kann einem vorhandenen Gruppenrichtlinienobjekt in Active Directory eine Druckerverbindungseinstellung hinzugefügt werden. Bevor Sie Drucker mithilfe der Gruppenrichtlinie installieren können, muss für die Druckerverbindungseinstellungen ein Gruppenrichtlinienobjekt vorhanden sein, das den entsprechenden Benutzern und Computern zugewiesen wurde. Um das Gruppenrichtlinienobjekt zum Verwalten von Druckern verwenden zu können, benötigen Sie Schreibzugriff auf das Objekt. Zum Erstellen eines Gruppenrichtlinienobjekts können Sie den Editor für lokale Gruppenrichtlinien oder das Snap-in Active DirectoryBenutzer und -Computer bzw. die Gruppenrichtlinienverwaltungskonsole (GPMC) verwenden. Um einem Gruppenrichtlinienobjekt die Druckerverbindungseinstellung zuzuweisen, führen Sie einen oder beide der folgenden Schritte aus: 왘 Aktivieren Sie für eine Einzelbenutzereinstellung das Kontrollkästchen Die Benutzer, auf die dieses Gruppenrichtlinienobjekt angewendet wird (pro Benutzer). 왘 Aktivieren Sie für eine Einzelcomputereinstellung das Kontrollkästchen Die Computer, auf die dieses Gruppenrichtlinienobjekt angewendet wird (pro Computer). Abbildung 9.32 Drucker mithilfe von Gruppenrichtlinien bereitstellen

9

491

Kapitel 9 Drucken und Faxen

Zu beachten ist, dass ein Drucker, der mithilfe einer benutzerspezifischen Verbindung installiert wurde, für diesen Benutzer immer verfügbar ist, unabhängig davon, auf welchem Computer innerhalb des Netzwerks er sich anmeldet. Eine Druckerverbindung, die mit einer computerspezifischen Verbindung installiert wurde, wird hingegen im Druckerordner angezeigt und kann von allen Benutzern dieses Computers verwendet werden. Auf Computern unter Windows 2000 werden nur Druckerverbindungen für Benutzer unterstützt. Für Computerdruckerverbindungen ist eine Version von Windows XP bzw. Windows Server 2003 oder höher erforderlich. Wenn die Verarbeitung der Gruppenrichtlinien auf Client-Computern ausgeführt wird, werden die Druckerverbindungseinstellungen auf die mit dem Gruppenrichtlinienobjekt verknüpften Benutzer bzw. Computer angewendet. Die so bereitgestellten Drucker werden in der Druckverwaltung unter Bereitgestellte Drucker angezeigt, wenn der mit ihnen verbundene Druckserver überwacht wird. Die Funktion zur Bereitstellung von Druckern mittels Gruppenrichtlinien verwendet das Dienstprogramm PushPrinterConnections.exe. Dieses liest die im Gruppenrichtlinienobjekt vorgenommenen Druckerverbindungseinstellungen und fügt den Benutzern bzw. Computern, auf die das Gruppenrichtlinienobjekt angewendet wird, die bereitgestellten Druckerverbindungen hinzu. Computer unter Windows 7 und Windows Server 2008 verfügen über eine integrierte Unterstützung für über Gruppenrichtlinien bereitgestellte Druckerverbindungen. Auf Computern, auf denen eine frühere Windows-Version ausgeführt wird, muss in einem Startskript (bei computerabhängigen Verbindungen) oder in einem Anmeldeskript (bei benutzerabhängigen Verbindungen) das Tool PushPrinterConnections.exe ausgeführt werden.

9.4

Die Faxfunktionen von Windows 7

Mit Windows-Fax und -Scan bringt Windows 7 ein Programm mit, das alle erforderlichen Funktionen zum Faxen und Scannen in einer Benutzerschnittstelle vereinigt. Windows-Fax und -Scan ist nach einer Standardinstallation von Windows 7 im Startmenü unter Alle Programme zu finden. Am einfachsten kann das Programm durch Eingabe von Fax im Suchfeld des Startmenüs aufgerufen werden. Nach dem Start präsentiert sich das Programm mit der nachstehend gezeigten Begrüßungsseite.

492

Die Faxfunktionen von Windows 7 Abbildung 9.33 Begrüßungsseite von Windows-Fax und -Scan

9.4.1

Konfiguration der Faxfunktion

Grundsätzlich ist das Versenden und Empfangen von Faxnachrichten auf zwei Wegen möglich, die beide von Windows 7 unterstützt werden: 왘 Über einen Faxserver im Netzwerk 왘 Über ein lokales Faxmodem Bei einem Faxserver handelt es sich um einen Rechner mit entsprechender Hardware für den Anschluss an das Telefonnetz und einer entsprechenden Software (zum Beispiel einem Unified-Messaging-Programm) für den Versand bzw. den Empfang von Faxen. Im einfachsten Fall wird ein spezieller Druckertreiber eingerichtet, der es aus jeder beliebigen Anwendung (aus der gedruckt werden kann) ermöglicht, Faxe zu versenden. Alternativ kann ein analoges internes bzw. extern angeschlossenes Modem verwendet werden. Verfügt der Computer über ein integriertes Faxmodem, wird es von Windows automatisch während der Einrichtung erkannt. Wird ein ISDN-Modem verwendet, muss dieses in der Lage sein, mithilfe eines entsprechenden CAPI-Port-Treibers ein Modem zu emulieren. CAPI (Common ISDN Application Programming Interface) ist eine standardisierte Schnittstelle, mit deren Hilfe ein Computer Zugriff auf ISDN-Hardware bereitstellen kann, ohne dass Kenntnisse der eingesetzten, herstellerspezifischen ISDN-Karte notwendig sind.

9

Telefon- und Modemoptionen konfigurieren Bevor mit Windows-Fax und -Scan Faxe versendet bzw. empfangen werden können, müssen die Telefon- und Modemoptionen mithilfe der gleichnamigen Option im Systemsteuerungsbereich Hardware und Sound konfiguriert werden. Das nachfolgend dargestellte Dialogfeld wird geöffnet, nachdem mindestens die Ortskennzahl eingetragen wurde.

493

Kapitel 9 Drucken und Faxen Abbildung 9.34 Konfigurationsmöglichkeiten für Telefon- und Modemoptionen

Hier können zum einen die Wählregeln angepasst werden, wozu auch die Auswahl des Wählverfahrens (Ton- oder Impulswahl) zählt. TAPI-Anbieter konfigurieren

Zum anderen können die Einstellungen der auf der Registerkarte Erweitert aufgeführten Telefonanbieter angepasst oder neue TAPI-Anbieter hinzugefügt werden. TAPI (Telephony Application Programming Interface) ist eine Schnittstelle, die Anwendern die Nutzung von Modems oder ISDN ermöglicht.

Faxkonten einrichten Nachdem die erforderliche Hardware eingerichtet wurde, muss in der Anwendung Windows-Fax und -Scan mindestens ein Faxkonto für den jeweils angemeldeten Benutzer eingerichtet werden. Am einfachsten ist es, hierfür den Anweisungen im Begrüßungsfenster zu folgen und die Option Neues Fax zu wählen. Wird diese Option das erste Mal gewählt, startet automatisch der Fax-Setup-Assistent, der die Einrichtung eines neuen Faxkontos unterstützt. Die Einrichtung weiterer Faxkonten ist später jederzeit mithilfe der Option Faxkonten im Menü Extras möglich. Im Assistenten ist zunächst auszuwählen, ob ein Faxmodem oder ein Faxserver verwendet wird. Wurde bereits ein Faxkonto mit einer Verbindung eingerichtet, ist die erste Option nicht wählbar. Dies ist darin begründet, dass eine Verbindung nur zu einem lokalen Faxmodem, nicht aber zu mehreren Faxservern oder -geräten in einem Netzwerk hergestellt werden kann. Im nächsten Schritt ist ein Name für das Faxkonto zu vergeben. Anschließend kann festgelegt werden, ob mit diesem Konto auch Faxe empfangen werden sollen und wie die Benachrichtigung erfolgen soll.

494

Die Faxfunktionen von Windows 7 Abbildung 9.35 Auswahl der Faxverbindung im Fax-Setup-Assistenten

Abbildung 9.36 Einrichtung eines Faxkontos für den Faxempfang

Zur Einrichtung der beiden ersten Optionen sind Administratorrechte erforderlich, da diese die Faxeinstellungen ändern, die global für alle Benutzer gelten. Standardbenutzer ohne entsprechende Rechte müssen daher zwingend die Option Später auswählen; Fax jetzt erstellen auswählen. Hiermit wird der Computer nur für den Faxversand eingerichtet, d.h., es können Faxe gesendet, aber nicht empfangen werden, solange der Computer nicht von einem Administrator auch für den Faxempfang konfiguriert wurde. Eingerichtete Faxkonten können jederzeit mit der Option Faxkonten im Menü Extras angezeigt, bearbeitet und gelöscht werden.

9 Abbildung 9.37 Einrichtung eines Faxkontos für den Faxempfang

495

Kapitel 9 Drucken und Faxen

Faxeinstellungen anpassen Im Menü Extras der Faxkonsole von Windows-Fax und -Scan ist die Option Faxeinstellungen zu finden, die eine Anpassung der global für alle geltenden Faxeinstellungen ermöglicht und daher administrative Rechte erfordert. Außerdem kann hier der Rechner auch für den Faxempfang konfiguriert werden, sofern dies nicht bereits während der Einrichtung des Faxkontos geschehen ist. Abbildung 9.38 Faxeinstellungen anpassen in der Faxkonsole von Windows-Fax und -Scan

왘 Registerkarte Allgemein

Sind mehrere Modemgeräte angeschlossen, kann hier ausgewählt werden, mit welchem Modem Faxe gesendet werden sollen. Hier kann außerdem das Senden und/oder der Empfang von Faxen aktiviert werden. Für den Empfang ist anzugeben, ob der Faxanruf manuell oder automatisch entgegengenommen wird. 왘 Registerkarte Nachverfolgung Über die Registerkarte Nachverfolgung kann eingestellt werden, für welche Faxereignisse Benachrichtigungen auf dem Bildschirm ausgegeben werden sollen: 왘 Fortschritt beim Senden oder Empfangen von Faxen 왘 Erfolg oder Fehler bei ein- und ausgehenden Faxen Hier kann auch festgelegt werden, wann der Faxmonitor automatisch eingeblendet wird (beim Senden und/oder beim Empfangen von Faxen). Zusätzlich können akustische Benachrichtigungen aktiviert oder deaktiviert werden. 왘 Registerkarte Erweitert Auf dieser Registerkarte kann u.a. der Speicherort für eingehende und für verschickte Faxe festgelegt werden. Standardmäßig erfolgt die Ablage in den folgenden Ordnern:

496

Die Faxfunktionen von Windows 7

Eingehende Faxe: C:\ProgramData\Microsoft\Windows NT\MSFax\ Inbox Ausgehende Faxe: C:\ProgramData\Microsoft\Windows NT\MSFax\ SentItems 왘 Registerkarte Sicherheit Die Registerkarte Sicherheit ermöglicht es, Berechtigungen für das Versenden von Faxen sowie für die Verwaltung von Faxdokumenten und der Konfiguration vorzunehmen. Standardmäßig dürfen lokal angemeldete Benutzer, d.h. Mitglieder der Gruppe INTERAKTIV, Faxe senden und empfangen. Die Faxkonfiguration ändern und Faxdokumente verwalten dürfen nur Administratoren. Abbildung 9.39 Sicherheitseinstellungen für die Faxfunktion

9.4.2

Faxe versenden und empfangen

Einfache Faxe, die nur aus einem Deckblatt bestehen, können direkt in der Faxkonsole von Windows-Fax und -Scan erstellt und versendet werden. Dokumente, die beispielsweise in Word oder Excel erstellt wurden, können auch aus der jeweiligen Anwendung heraus verschickt werden. Im zweiten Fall erscheint das Dokument als beigefügte Datei.

9

In beiden Fällen öffnet sich das nachstehend gezeigte Dialogfeld zum Fax senden Senden von Faxen. Hier sind die folgenden Informationen festzulegen: 왘 Geben Sie den bzw. die Empfänger und die Faxnummer des bzw. der Empfänger ein. Sie können an dieser Stelle auf Ihr Outlook-Adressbuch zugreifen. Falls das Adressbuch Faxnummern enthält, können Sie mit der Schaltfläche Adressbuch daraus die gewünschten Adressen auswählen.

497

Kapitel 9 Drucken und Faxen 왘 Legen Sie fest, ob ein Deckblatt verwendet werden soll. In der Auswahl-

liste Deckblatt erscheinen vier vorgefertigte Deckblätter sowie gegebenenfalls weitere selbst gestaltete Deckblätter zur Auswahl. 왘 Geben Sie eine Betreffzeile an. 왘 Fügen Sie ggf. ein Dokument, ein Bild oder ein eingescanntes Dokument ein. 왘 Unter Optionen können Sie u.a. festlegen, ob das Fax sofort oder zu einer bestimmten Zeit, in der verbilligte Tarife gelten, verschickt werden soll, und eine Übermittlungsbestätigung anfordern. Abbildung 9.40 Festlegen der Optionen für den Faxversand

Faxe empfangen

Nach Auswahl von Senden zeigt der Faxmonitor Informationen über den Stand des Versands auf dem Bildschirm an. Die Art des Faxempfangs hängt davon ab, ob der Computer an einen Faxserver oder an ein Faxmodem angeschlossen ist. Besteht eine Verbindung zu einem Faxserver, sind lokal keine weiteren Einstellungen erforderlich. Bei jeder Verbindungsherstellung zum Netzwerk werden neue Faxnachrichten automatisch an den Posteingang von Windows-Fax und -Scan übermittelt. Bei Verwendung eines integrierten oder externen Faxmodems muss die Art des Faxempfangs in den Faxeinstellungen festgelegt werden. Eingehende Faxe werden standardmäßig im Posteingang von Windows-Fax und -Scan gespeichert. Wurde der Computer für den Faxempfang eingerichtet, benachrichtigt Windows über eingehende Anrufe. Werden Faxnachrichten nicht automatisch empfangen, muss der Empfang manuell bestätigt werden.

498

10

Virtuelle Netzwerke

Oftmals hat man das Problem, dass sich ein System nicht direkt über das Internet mit dem gewünschten Netzwerk verbinden kann oder sich zwar verbinden könnte, aber der Weg dahin über viele ungesicherte oder ungeeignete Stationen erfolgen würde. An dieser Stelle kommen Virtuelle Netzwerke ins Spiel. Dies sind allgemein gesehen Netzwerke, die ihren Datenverkehr über ein anderes Netzwerk hindurch transportieren, sodass dieses äußere Netzwerk den Datenverkehr im inneren Netzwerk nicht mitverfolgen oder stören kann.

10.1 Ein fast virtuelles Netzwerk Auch wenn diese Lösung in der heutigen Zeit eher altmodisch wirkt, ist es auch mit Windows 7 immer noch möglich, eine direkte Wählverbindung zu einem Netzwerk einzurichten, das für diesen Zweck etwa eine Rufnummer mit einem analogen Modem oder einer ISDN-Karte vorsieht.

499

Kapitel 10 Virtuelle Netzwerke Abbildung 10.1 Wählverbindung zum Firmennetzwerk

Technik des vorigen Jahrtausends

Derartige Verbindungen erfüllen natürlich die heutigen Anforderungen an Bandbreite nicht mehr. Es sind aber Einsatzzwecke denkbar, etwa bei ansonsten hermetisch abgeschotteten Netzwerken, bei denen ein derartiger direkter Zugang zu Wartungszwecken eingerichtet werden kann. Sobald eine solche Verbindung eingerichtet wurde, steht sie auch im Netzwerkund Freigabecenter unter dem Punkt Verbindung mit einem Netzwerk herstellen zur Verfügung, sofern denn die benötigte Hardware einsatzbereit wäre.

Abbildung 10.2 Wählverbindung ohne Modem?

Die derart eingerichteten Verbindungen können über die Funktion Netzwerkverbindungen anzeigen bearbeitet beziehungsweise gelöscht werden.

500

IPv6-Tunneltechniken

10.2 IPv6-Tunneltechniken Die Entwicklung von IPv6 wird zum großen Teil dadurch gebremst, dass keine IPv6-Anschlüsse von den Internetprovidern zur Verfügung gestellt werden. Um dieses Problem zu umgehen und generell die Koexistenz zwischen IPv4 und IPv6 zu ermöglichen, hat man Tunneltechniken entwickelt, mit denen IPv6-Daten durch ein IPv4-basiertes Netzwerk übertragen werden können. IPv6-Paket

IPv6 Header

IPv4 Header

Extension Header

Abbildung 10.3 IPv6 in IPv4 IPv6-Daten

IPv4-Daten

IPv4-Paket

Das IPv4-Paket wird hierbei zwischen den Endpunkten des Tunnels verschickt. Auf der Strecke dazwischen ist nichts über seinen Inhalt bekannt. Am jeweiligen Endpunkt des Tunnels, der sowohl eine IPv4- als auch eine IPv6-Adresse hat, wird der Rahmen um das IPv6-Paket herum entfernt und das somit erhaltene IPv6-Paket weitergeleitet, in der weiteren Kette ist dann nicht mehr ersichtlich, dass das Paket ursprünglich mal in einem IPv4-Paket enthalten war. Diese Tunneltechniken sind in [RFC2893] beschrieben: 왘 Router-zu-Router – Zwei Teilnetze auf IPv6-Basis werden jeweils über zwei IPv4-Adressen gekoppelt. 왘 Host-zu-Router oder Router-zu-Host – Ein einzelner Host auf IPv6Basis und ein Teilnetz auf IPv6-Basis werden miteinander verbunden. Das Netzwerk zwischen den beiden versteht nur IPv4. 왘 Host-zu-Host – Zwei Systeme, die eigentlich im IPv4-Netzwerk stehen, sollen trotzdem untereinander mit IPv6 kommunizieren können Diese Tunnel können entweder manuell konfiguriert werden oder automatisch entstehen. Beispiele für diese automatischen Tunnel, bei denen die jeweiligen Endpunkte automatisch festgelegt werden, sind ISATAP, 6to4 und Teredo. Ein Protokoll für einen statischen Tunnel ist zum Beispiel 6in4.

10

501

Kapitel 10 Virtuelle Netzwerke

10.3 Statische Tunnel mit 6in4 Ein statischer Tunnel zeichnet sich dadurch aus, dass die beteiligten IPAdressen und hierbei insbesondere die IPv6-Adressen statisch sind. Demzufolge kann man einen derartigen Tunnel auch verwenden, um auf einem derartigen System einen IPv6-basierten Server zu betreiben. Für einen derartigen Tunnel benötigt man im Prinzip zwei Internetprovider: einen, der die Verbindung ins IPv4 herstellt, und einen, der darüber dann die Verbindung ins IPv6 herstellt. Den ersten wird man gewöhnlich bereits haben, den zweiten bekommt man heutzutage netterweise auch kostenlos. Im Folgenden zeigen wir den Aufbau eines 6in4-Tunnels (siehe [RFC4213]) mithilfe des IPv6-Providers Hurricane Electric. Rufen Sie zunächst die Adresse [TUNNEL] auf, und registrieren Sie sich. Die Zugangsdaten bekommen Sie per E-Mail an die angegebene Adresse gesendet. Nachdem Sie die Bestätigungsmail erhalten haben, können Sie sich auf der Seite anmelden und dann am linken Rand über den Link Create Regular Tunnel den gewünschten Tunnel erstellen. Abbildung 10.4 Wo soll der Tunnel enden?

Als Erstes müssen Sie den IPv4-Endpunkt des Tunnels auf Ihrer Seite angeben. Insbesondere wenn Sie sich hinter einem NAT-Router befinden, haben Sie eventuell Probleme herauszufinden, welches Ihre öffentliche IP-Adresse ist. Die Seite zeigt Ihnen allerdings an, von welcher IP-Adresse aus Sie sich aktuell mit dem Server verbinden. Kopieren Sie also einfach diese IP-Adresse in das jeweilige Feld. In dem Feld darunter wurde bereits der netztopologisch günstigste andere Endpunkt des Tunnels ausgewählt. Diesen Wert sollten Sie nach Möglichkeit nicht verändern. Klicken Sie dann auf Submit. Gehen Sie nun zurück zur Hauptseite (Main Page). Am Ende der Seite finden Sie eine Auflistung aller von Ihnen definierten Tunnel.

502

Statische Tunnel mit 6in4 Abbildung 10.5 Definierte IPv6-Tunnel

Die angezeigten Namen der Tunnel sind gleichzeitig die FQDN der Ihnen nun zugeteilten IPv6-Adressen: >nslookup jochenmuenchen-1.tunnel.tserv6.fra1.ipv6.he.net Name: jochenmuenchen-1.tunnel.tserv6.fra1.ipv6.he.net Address: 2001:470:1f0a:a4d::1

10.3.1

Lokales System und NAT-Router konfigurieren

Klicken Sie nun auf den Link zum Tunnel am Ende der Seite, und Sie sehen die Konfigurationsparameter des Tunnels. Am Ende der Seite sehen Sie eine Schaltfläche Show Config, mit der Sie sich für verschiedene Betriebssysteme Beispielkonfigurationen anzeigen lassen können. Wählen Sie hier Windows Vista/2008 aus, und Sie erhalten folgende Zeilen: netsh interface ipv6 add v6v4tunnel IP6Tunnel 78.53.231.151 216.66.80.30 netsh interface ipv6 add address IP6Tunnel 2001:470:1f0a:a4d::2 netsh interface ipv6 add route ::/0 IP6Tunnel 2001:470:1f0a:a4d::1

Mit diesen Zeilen können Sie allerdings nicht direkt arbeiten, da diese Befehle davon ausgehen, dass das System selbst die IP-Adresse 78.53.231.151 besitzt. An dieser Stelle müssen Sie die lokale IP-Adresse des Systems (hier 192.168.0.99) einsetzen. 왘 Die erste Zeile erzeugt einen neuen IPv6-IPv4-Tunnel und legt die beiden Endpunkte des Tunnels fest. Der Name lautet IP6Tunnel. 왘 Die zweite Zeile vergibt die IPv6-Adresse für das lokale System. 왘 Die dritte Zeile legt für den kompletten IPv6-Bereich das Standardgateway fest.

10

503

Kapitel 10 Virtuelle Netzwerke

Mit ipconfig sieht man den Erfolg der Befehle: Tunneladapter IP6Tunnel: Verbindungsspezifisches DNS-Suffix: IPv6-Adresse. . . . . . . . . . . : Verbindungslokale IPv6-Adresse . : Standardgateway . . . . . . . . . :

rid.local 2001:470:1f0a:a4d::2 fe80::2c71:f16e:8317:2735%29 2001:470:1f0a:a4d::1

Nun weiß zwar das lokale System, wie es mit IPv6 umgehen soll, aber die Konfiguration auf dem Router fehlt noch. Die Pakete werden im Tunnel in Form von IPv4-Paketen mit der Protokollnummer 41 übertragen. Auf dem Router muss also für dieses Protokoll eine Weiterleitung eingetragen werden, hier beispielhaft gezeigt an einem Router von D-Link: Abbildung 10.6 Portweiterleitung im NAT-Router

Die IPv6-Verbindung kann man neben bekannten Adressen wie http:// ipv6.google.com oder http://www.six.heise.de auch mit einem von Tunnelbroker angebotenen IPv6-Portscan überprüfen. Der Link hierzu findet sich in der linken Leiste der Seite. Listing 10.1 IPv6-Portscan

Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-23 02:40 PST Interesting ports on jochenmuenchen-1-pt.tunnel. tserv6.fra1.ipv6.he.net (2001:470:1f0a:a4d::2): Not shown: 997 filtered ports PORT STATE SERVICE 23/tcp open telnet 515/tcp open printer 3389/tcp open ms-term-serv Nmap done: 1 IP address (1 host up) scanned in 13.43 seconds

Die drei als offen angezeigten Dienste sind der Telnet-Server, der LPRDruckserver und der Remotedesktop, für die entsprechende Ausnahmen in der Firewall existieren.

Probleme beim statischen Tunnel Ein Problem gibt es allerdings. Bedingt durch die IPv4-Anbindung ist natürlich der lokale Endpunkt des Tunnels nicht statisch, sondern wechselt bei jeder neuen Verbindung des NAT-Routers seine Adresse. Dies muss dann der Tunnelkonfiguration entsprechend mitgeteilt werden. Zum Glück lässt sich dieser Prozess automatisieren.

504

Dynamische Tunnel REM https://ipv4.tunnelbroker.net/ipv4_end.php?ipv4b=$IPV4ADDR& pass=$MD5PASS&user_id=$USERID&tunnel_id=$GTUNID rem $IPV4ADDR = The new IPv4 Endpoint (AUTO to use the requesting client's IP address) set IPV4ADDR=AUTO

Listing 10.2 Batchdatei zum Setzen der Tunnelparameter

rem $MD5PASS = The MD5 Hash of your password set MD5PASS=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX rem $USERID = The UserID from the main page of the tunnelbroker (not your username) set USERID=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX rem $GTUNID = The Global Tunnel ID from the tunnel_details page set GTUNID=XXXXX wget --no-check-certificate "https://ipv4.tunnelbroker.net/ ipv4_end.php?ipv4b=%IPV4ADDR%&pass=%MD5PASS%& user_id=%USERID%&tunnel_id=%GTUNID%"

Die Batchdatei aus Listing 10.2 müssen Sie mit den für Ihren Tunnel gülti- Automatisches gen Parametern versehen. Der Wert AUTO für IPV4ADDR gibt an, dass Tunnelbohren die Adresse als Tunnelendpunkt konfiguriert werden soll, von der der Zugriff erfolgt, die Werte von USERID und GTUNID können Sie direkt aus der Tunnelkonfigurationsseite ablesen. Der Wert MD5PASS ist das Kennwort, das Ihnen anfänglich per E-Mail zugesendet wurde, allerdings in einem MD5-Hash umgewandelt. Es gibt im Netz eine ganze Reihe von Seiten, bei denen Sie online diesen Wert berechnen lassen können. Das Programm wget.exe ist ebenfalls im Internet zu finden.

10.4 Dynamische Tunnel Dynamische Tunnel zeichnen sich dadurch aus, dass die verwendeten Adressen nicht vorab festgelegt werden. Insbesondere die IPv6-Adressen der beteiligten Systeme sind hierbei nicht fest einem bestimmten System zuzuordnen. Dies schränkt natürlich die Verwendung dieser Tunneltechniken für IPv6-basierte Serversysteme erheblich ein.

10.4.1

ISATAP

ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) beschreibt ein Verfahren, mit dem Systeme automatisch aus ihrer IPv4-Adresse eine IPv6Adresse generieren und zudem automatisch eigenständige IPv6-Teilnetze über das IPv4-Netzwerk adressieren können. Die Definition des Protokolls findet sich in [RFC4214].

10

505

Kapitel 10 Virtuelle Netzwerke Adressen aufpumpen

Die Systeme, die dieses Protokoll verwenden, erzeugen aus den 32 Bit ihrer IPv4-Adresse automatisch eine 128-Bit-IPv6-Adresse, indem sie zunächst die Adresse mit der Bytefolge 0000:5efe auf 64 Bit erweitern. Die weiteren 64 Bit werden dann aus einem netzspezifischen 64-Bit-Vorsatz gebildet, etwa dem Link local-Präfix (fe80:0) oder einem global eindeutigen Site-Identifier. Auf diese Weise kann ein ISATAP-Host jeden anderen ISATAP-Host im gleichen lokalen Netz erreichen, indem er einfach aus der gewünschten IPv6-Adresse die IPv4-Adresse des Hosts extrahiert, um zu wissen, zu welchem IPv4-Host er seine eingekapselten IPv6-Pakete senden muss. Die dabei zwischendrin beteiligten Router brauchen selbst kein IPv6 zu verstehen, da diese nie ein IPv6-Datenpaket als solches sehen. Um nun unterschiedliche IPv6-ISATAP-Netz zu verbinden, muss es in dem Netzwerk mindestens einen ISATAP-fähigen Router geben, auf dem die entsprechenden Routen zu den anderen IPv6-Teilnetzen konfiguriert werden. Dieser ISATAP-Router führt neben der Routingfunktion auch die Bekanntgabe der für dieses Netz gültigen Site-Identifier durch, sodass die angeschlossenen Clients neben der Link local-Adresse auch eine globale IPv6-Adresse erzeugen können. Die Clients finden diesen ISATAP-Router im lokalen Netzwerk, indem sie auf unterschiedliche Arten versuchen, dem Namen isatap eine IPv4-Adresse zuzuordnen.

Listing 10.3 Adressgenerierung am ISATAPAdapter

Tunneladapter isatap.rid.local: Verbindungsspezifisches DNS-Suffix: rid.local IPv6-Adresse. . . . . . . . . : 2001::1f0a:a4d:0:5efe:192.168.0.99 Verbindungslokale IPv6-Adresse: fe80::5efe:192.168.0.99%18 Standardgateway . . . . . :

In Listing 10.3 können Sie sehen, wie dem Tunneladapter sowohl eine Link local (verbindungslokale) IPv6-Adresse als auch eine mit der globalen Netz-ID 2001::1f0a:a4d:0 zugewiesen wurde. Unter [ISATAP] wird beschrieben, wie man mittels ISATAP schrittweise ein Intranet von IPv4 auf IPv6 umstellen kann, wobei Windows Server 2008 die Rolle des ISATAP-Routers übernimmt.

10.4.2

6to4

Beim Protokoll 6to4 wird das komplette IPv4-Internet als Subnetz des IPv6Adressraums betrachtet. Die IPv6-Adresse wird gebildet, indem zunächst ein 16-Bit-Präfix mit dem Wert 2002 (dezimal 8194) vorangestellt wird. Dann folgen die 32 Bit der IPv4-Adresse, und der Rest der Adresse wird typischerweise mit Nullen gefüllt. Die Kopplungsglieder zwischen IPv4 und IPv6 werden hierbei 6to4 Relay genannt. Dieses Protokoll ist nur zur Verwendung in einer Übergangsphase gedacht und nicht geeignet, um Datenverbindungen zwischen IPv4- und IPv6-Adressen aufzubauen.

506

Dynamische Tunnel

10.4.3

Teredo

Bei den obigen beiden Tunnelverfahren werden IPv6-Pakete in IPv4-Pakete eingepackt und mit der Protokollnummer 41 verschickt. Dies geht so lange gut, bis der Host, der die Pakete empfangen soll, hinter einem NAT-Router in einem privaten Netz steht, das nicht dafür eingerichtet ist, diese Pakete auch nach innen weiterzuleiten. Für diese Einsatzzwecke wurde Teredo entwickelt, Das Verfahren wird unterstützt von allen Versionen von Windows Vista, Windows Server 2008 und Windows 7 sowie den Systemen Windows Server 2003 ab SP1, Windows XP ab SP2 und Windows XP mit SP1 und dem Advanced Networking Pack. Computerspezialisten und Namen, ein neuer Abschnitt in einem endlosen Thema: Der Entwickler des Protokolls (Christian Huitema) wählte ursprünglich den Namen Shipworm (Schiffsbohrwurm) für sein Protokoll, da es, ähnlich wie der Bohrwurm durch hölzerne Schiffsplanken, Löcher durch die normalerweise geschlossenen Wände eines NAT-Routers bohren konnte. Bald allerdings entschied er sich zur Umbenennung, um Verwechselungen mit den Computerwürmern (Schadprogramme, die sich selbst über Netzwerke verbreiten) zu umgehen. Er wählte Teredo in Anlehnung an Teredo Navalis, dem lateinischen Namen einer weit verbreiteten Art der Bohrwürmer. In der Welt von Teredo existiert eine Reihe von unterschiedlichen Systemtypen, die alle jeweils verschiedene Aufgaben erfüllen: 왘 Teredo-Client – Ein System, das hinter einem NAT-Router eine Verbindung zum IPv4-Internet aufbauen kann. 왘 Teredo-Server – Ein System, das den Teredo-Client initial Informationen über die Verwaltung der Teredo-Verbindungen mitteilt. Diese Server leiten selbst keine Daten weiter, sodass sie nur eine geringe Anforderung an notwendiger Bandbreite haben. 왘 Teredo-Relay – Ein System, das tatsächlich den Datentransfer zwischen IPv4 und IPv6 übernimmt. Die von diesem System verwendete Bandbreite ist abhängig von der Anzahl der Teredo-Clients, die sich mit dem Relay verbinden. 왘 Host-spezifisches Teredo-Relay – Leitet den empfangenen IPv6-Verkehr nicht zu anderen Systemen im IPv6-Internet weiter, sondern nur zu eigenen IPv6-Adressen. Systeme mit Windows Vista, Windows 7 oder Windows Server 2008 können sowohl als Teredo-Client als auch als host-spezifisches Teredo-Relay agieren. In der IPv6-Adresse, die einem Teredo-Client zugeordnet wird, sind verschiedene Informationen über seine aktuelle Netzkonfiguration enthalten: Abbildung 10.7 Aufbau einer Teredo-Adresse

507

10

Kapitel 10 Virtuelle Netzwerke

Das Teredo-Präfix lautet gemäß [RFC4380] 2001::/32; in den ersten TeredoImplementierungen von Windows XP vor SP3 wurde noch 3ffe:8317 verwendet. In der Konstruktion der IPv6-Adresse werden sowohl die externe Adresse des NAT-Routers als auch der dort verwendete UDP-Port verwendet, beide Angaben werden invertiert dort eingetragen. Dies hat natürlich zur Folge, dass der Teredo-Client keine feste IPv6-Adresse bekommt, da diese immer auch von der öffentlichen IP-Adresse seines IPv4-NAT-Routers anhängt.

Teredo-Tunnel aufbauen Im Folgenden haben wir ein System mit Windows 7, das mit der IPAdresse 192.168.0.99 hinter einem NAT-Router mit der öffentlichen IPAdresse 78.53.231.151 sitzt. Zunächst muss der Status des Teredo-Protokolls festgestellt werden: >netsh interface ipv6 show teredo Teredo-Parameter --------------------------------------------Typ : disabled Servername : teredo.ipv6.microsoft.com. Clientaktual.-intervall : 30 Sekunden Clientport : unspecified Status : offline Fehler : Client befindet sich in einem verwalteten Netzwerk

Aus dieser Angabe kann man ersehen, dass die Teredo-Verbindungsparameter von dem System teredo.ipv6.microsoft.com geliefert werden und aktuell das Teredo-Protokoll nicht aktiv ist (Typ: disabled). Aus der letzten Zeile kann man ersehen, dass das Netzwerk als verwaltet erkannt wird, es sich also in einer Domäne befindet. Somit muss das Protokoll mit dem Befehl >netsh interface ipv6 set teredo enterpriseclient OK.

aktiviert werden. Bei einem unverwalteten Netzwerk würde der letzte Parameter client statt enterpriseclient lauten. Dieser Befehl muss mit administrativen Berechtigungen ausgeführt werden. Danach ist das Protokoll zwar aktiv, hat aber noch keine Verbindung mit dem IPv6-Relay aufgenommen (Status: dormant). >netsh interface ipv6 show teredo Teredo-Parameter --------------------------------------------Typ : enterpriseclient Servername : teredo.ipv6.microsoft.com. Clientaktual.-intervall : 30 Sekunden Clientport : unspecified Status : dormant

Erst wenn der Client von sich aus Verbindung mit dem IPv6 aufnimmt, etwa durch ping –6 iv6.google.com, wechselt das Protokoll in den aktiven Status.

508

Dynamische Tunnel C:\Users\jochenr-admin>netsh interface ipv6 show teredo Teredo-Parameter --------------------------------------------Typ : enterpriseclient Servername : teredo.ipv6.microsoft.com. Clientaktual.-intervall : 30 Sekunden Clientport : unspecified Status : qualified Clienttyp : Teredo client Netzwerk : managed NAT : restricted NAT-spezifisches Verhalten : UPNP: Ja, Portbeibehaltung: Ja Lokale Zuordnung : 192.168.0.99:59712 Externe NAT-Zuordnung : 78.53.231.151:59712

Die Angabe NAT-spezifisches Verhalten gibt an, auf welche Weise der Client den NAT-Router kontrollieren kann und wie dieser die Verbindungen nach außen aufbaut. Nun ist auch dem IPv6-Netzwerkadapter eine IPv6Netzwerkadresse zugewiesen worden: Tunneladapter Teredo Tunneling Pseudo-Interface: Verbindungsspezifisches DNS-Suffix: IPv6-Adresse. . . . . . . . : 2001:0:d5c7:a2d6:8d0:16bf:b1ca:1868 Verbindungslokale IPv6-Adresse: fe80::8d0:16bf:b1ca:1868%13 Standardgateway . . . . . . . . . : ::

Die erhaltene IPv6-Adresse 2001:0:d5c7:a2d6:8d0:16bf:b1ca:1868 lässt sich wie folgt analysieren: Tabelle 10.1 Analyse einer Teredo-Adresse

IPv6-Daten

Bedeutung

2001:0

Teredo-Präfix

d5c7:a2d6

Adresse des Teredo-Servers teredo.ipv6.microsoft.com entspricht 213.199.162.214

8d0

Flags

16bf

Externe Portnummer, entspricht invertiert 59712

b1ca:1868

Externe IP, entspricht invertiert 78.53.231.151

Betrachtet man nun auf dem vorgeschalteten NAT-Router den Datenverkehr zwischen Internet und lokalem Teredo-Client, so erkennt man folgende Verbindungen: Local 192.168.0.99:59712 192.168.0.99:59712 192.168.0.99:59712

Internet 216.66.80.30:3545 213.199.162.214:3544 *.*.*.*:*

Protocol Dir UDP Out UDP Out UDP

Listing 10.4 Teredo-Verbindungen auf dem NATRouter

Aus Listing 10.4 können Sie ersehen, dass der NAT-Router von dem IPv6Verkehr nichts erkennt, er sieht nur den IPv4-Datenverkehr zu dem Teredo-Relay tserv6.fra1.ipv6.he.net (216.66.80.30) und dem Teredo-Server.

509

10

Kapitel 10 Virtuelle Netzwerke Listing 10.5 Traceroute im IPv6

>tracert -6 ipv6.google.com Routenverfolgung zu ipv6.l.google.com [2001:4860:a003::68] über maximal 30 Abschnitte: 1 455 ms 41 ms 40 ms teredo.bit.nl [2001:7b8:3:27:87:251:43:68] 2 42 ms 41 ms 41 ms teredo-gw.jun1.kelvin.network.bit.nl [2001:7b8:3:27::2] 3 250 ms 41 ms 47 ms pr61.ams04.net.google.com [2001:7f8:1::a501:5169:1] 4 * * * Zeitüberschreitung der Anforderung. 5 * * * Zeitüberschreitung der Anforderung. 6 61 ms 49 ms 50 ms fx-in-x68.1e100.net [2001:4860:a003::68] Ablaufverfolgung beendet.

Beim Traceroute in Listing 10.5 wird über den Parameter –6 die Verwendung von IPv6-Adressen erzwungen. Ansonsten würde der tracert-Befehl versuchen, den Namen ipv6.google.com zu einer IPv4-Adresse aufzulösen, was nicht gelingt. Anhand der aufgezeichneten Zwischenstationen können Sie erkennen, dass der Datentransport zwischen NAT-Router und Teredo-Relay für das IPv6-Protokoll unsichtbar bleibt. Möchten Sie die Teredo-Verbindung wieder beenden, können Sie dies mit dem Befehl netsh interface ipv6 set teredo disable tun.

Teredo-Tunnel im Einsatz Sobald man den Tunnel wie oben beschrieben konfiguriert hat, will man natürlich auch ausprobieren, wie eine Website über IPv6 aussieht. Die Antwort ist ziemlich kurz und ernüchternd: gar nicht. Jedenfalls nicht, wenn man versucht, sie über den Namen anzusprechen. Ein Satz mit X

510

Der Grund liegt hierbei weniger an IPv6 als an einer Optimierung, die Microsoft mit Windows Vista eingeführt hat. Unter [IPV6OPT] ist dies genau erklärt. Die Kurzform lautet: Wenn Vista (und somit auch Windows 7) feststellt, dass es selbst nur IPv6-Adressen aus dem Bereich der Link local- oder Teredo-Adressen hat, ist es der festen Meinung, dass es sinnlos ist, nach IPv6Adressen (AAAA-Record) im DNS zu suchen, und sucht demzufolge nur nach IPv4-Adressen (A.Record). Demzufolge findet er für Adressen wie http://ipv6.google.com keinen IPv4-Eintrag und stellt die Seite demzufolge nicht dar. Ruft man die Seite jedoch direkt mit der IPv6-Adresse als Adresse auf, wird der Inhalt angezeigt.

VPN Abbildung 10.8 Google in IPv6

Es bleibt zu hoffen, dass dieses Verhalten sich in Zukunft konfigurierbar gestalten lässt.

10.5 VPN Als VPN (Virtual Private Network) bezeichnet man Verfahren, mit denen einzelne Systeme oder komplette Teilnetze miteinander über ein offenes Netzwerk gekoppelt werden, ohne dass andere Teilnehmer in diesem Außennetz den Datenverkehr innerhalb des VPN abhören oder stören können. Ein VPN ist somit mit den IPv6-Tunnenlösungen verwandt, allerdings werden hierbei üblicherweise IPv4-Pakete über IPv4-Pakete getunnelt. Für ein VPN sind dabei immer zwei Komponenten wichtig: 왘 Im Firmennetzwerk der VPN-Server, mit dem sich die VPN-Clients von außen verbinden. 왘 Auf dem VPN-Client die Komponenten, die dafür sorgen, dass Datenverkehr von und zu dem Firmennetzwerk nicht über das öffentliche Internet übertragen wird, sondern über den VPN-Tunnel. Die Rolle des VPN-Servers übernehmen hierbei klassischerweise Firewallsysteme der großen Anbieter von Netzwerkkomponenten wie etwa Cisco, Juniper oder Checkpoint. Diese stellen dann gewöhnlich auch die Clientkomponenten. Das Problem vieler dieser Lösungen ist allerdings, dass bestimmte Anforderungen an die Netzanbindung der jeweiligen Clients bestehen. Bisweilen werden dabei Protokolle verwendet, die nur schwer durch übliche Netzanschlüsse durchgeführt werden können. Zudem unterstützten viele dieser Lösungen bislang einzig IPv4-Verbindungen.

10

511

Kapitel 10 Virtuelle Netzwerke

Von Microsoft wurde für diesen Zweck mit Windows Server 2008R2 DirectAccess eingeführt, ein Verfahren, mit dem Systeme unter Windows 7 über diesen Server eine Verbindung ins Intranet der Firma herstellen können. Grundvoraussetzung ist hierbei die Existenz von Active Directory, in dem sowohl der DirectAccess-Server als auch die Clients Mitglied sind. Möchte man zudem noch die Tunnelverbindungen zwischen den beiden Endpunkten absichern, benötigt man zusätzlich noch eine PKI (Public Key Infrastructure), um die Verbindungen zwischen den Systemen mittels IPsec abzusichern. Auf diesen Verbindungen verläuft dann der Datenverkehr mit IPv6. Eine Einführung in das Thema DirectAccess ist unter der Adresse [DAW2008] zu finden.

512

11

Lokale Richtlinien und Gruppenrichtlinien

Sobald ein Netzwerk wächst, stellt sich das Problem, dass man nicht mehr jedes System einzeln manuell konfigurieren möchte und kann, und es werden vom Administrator Lösungen gesucht, wie sich diese Aufgabe zentralisieren und vereinheitlichen lassen kann.

11.1 Was sind Richtlinien? Richtlinien sind dem Wortsinn nach Vorschriften, wie man sich zu verhalten hat. Im Computerbereich beschreiben Richtlinien ein gewünschtes Verhalten eines Systems. Im Bereich von Windows in seinen verschiedenen Varianten sind dies zum einen vorab festgelegte Konfigurationswerte und zum anderen Privilegien, die bestimmten Benutzern und Gruppen erlaubt oder verweigert werden.

11.2 Unterschiede zwischen lokalen und Gruppenrichtlinien Prinzipiell kann man diese Richtlinien sowohl auf einem Einzelplatzsystem als auch in einer Domänenumgebung verwenden. Bei der Anwendung in einer Domäne wird auch von Gruppenrichtlinien gesprochen, in Abgrenzung zu den lokalen Richtlinien, die sich immer nur auf ein System beziehen. Im ersten Fall wird die einzelne Richtlinie auch als Gruppenrichtlinienobjekt (Group Policy Object, GPO) bezeichnet. Basis einer Gruppenrichtlinie ist immer das Computer- beziehungsweise Richtlinien im Benutzerobjekt in Active Directory. Dieses ist in eine Baumstruktur ein- größeren sortiert, wobei der Container, in dem das Objekt liegt, als Organisations- Rahmen 513

Kapitel 11 Lokale Richtlinien und Gruppenrichtlinien

einheit (englisch Organisational Unit – OU) bezeichnet wird. Jeder derartige Container ist wiederum in einen weiter oben liegenden Container eingebettet beziehungsweise ist direkt Mitglied der Hauptebene, also der Domäne selber. Abbildung 11.1 Baumstruktur in Active Directory

In Abbildung 11.1 kann man erkennen, dass die OU Aussen in der OU Vertrieb enthalten ist. Diese wiederum gehört zur OU Benutzer, und die ist schlussendlich nur noch Mitglied der Domänenebene. Neben diesen Containern gibt es dann die Gruppenrichtlinien, die einem oder mehreren dieser Container zugeordnet sind. Eine derartig zugeordnete Richtlinie wirkt dann auf alle in der jeweiligen OU enthaltenen Objekte (und damit auch auf alle Objekte in darin enthaltenen OUs). Wird also eine Richtlinie dem Container Aussen zugeordnet, wirkt diese auf alle Benutzer- und Computerobjekte in diesem Container, nicht jedoch auf jene im Container Innen. Abbildung 11.2 Lage der Gruppenrichtlinienobjekte in Active Directory

Das besondere ist jetzt, dass diese Richtlinie nicht fest mit den jeweiligen Objekten verbunden ist. Wird also zum Beispiel ein Benutzer aus der OU Aussen in die OU Innen verschoben, werden die Einstellungen, die über die GPO der OU Aussen auf ihn wirkten, automatisch wieder entfernt.

514

Unterschiede zwischen lokalen und Gruppenrichtlinien

Insbesondere in größeren Active Directory-Umgebungen kann ein Administrator somit durch geschickte Anordnung der Organisationseinheiten und entsprechende Platzierung von Benutzern und Computern viele Konfigurationsaufgaben automatisieren. Im Folgenden beschränkt sich die Darstellung auf die Anwendung lokaler Richtlinien. Die Arbeit mit Gruppenrichtlinien in einer Active Directory-Umgebung finden Sie thematisch eher in Büchern über Windows Server 2008 und Windows Server 2003. Im Gegensatz zu Gruppenrichtlinien wirken lokale Richtlinien immer nur auf dem jeweiligen System, auf dem sie festgelegt wurden. Auch ist hier nur sehr begrenzt ein Einsatz von verschiedenen Richtlinien für unterschiedliche Benutzergruppen möglich. Generell gilt bei Richtlinien immer, dass die Änderungen, die ein Administrator in einer Richtlinie vorgegeben hat, von einem normalen Benutzer nicht abgeändert werden können. Aus diesem Grund bieten viele Einstellungen auch drei Konfigurationsmöglichkeiten: Aktiviert, Deaktiviert und Nicht konfiguriert.

11.2.1

Wann werden die Richtlinien angewendet?

Richtlinien werden in der Registry abgespeichert, wobei lokale Richtlinien sofort dort eingetragen werden, sobald sie gesetzt werden. Es hängt dann von der jeweiligen Anwendung ab, ob diese die Werte auch im laufenden Betrieb kontrolliert und dann ihr Verhalten ändert. Spätestens bei einem Neustart (Computerrichtlinien) oder einer Benutzeranmeldung (Benutzerrichtlinien) werden die Einstellungen übernommen. Bei Gruppenrichtlinien ist es etwas problematischer. Diese werden auf einem Domänencontroller definiert und müssen dann zunächst per Replikation auf alle anderen Domänencontroller übertragen werden. Erst dann kann man bei einem Neustart oder einer Anmeldung sicher sein, dass die Richtlinie angewendet wird. Vorab kann nicht garantiert werden, welcher Domänencontroller für die Bereitstellung der Richtlinien angefragt wird. Möchte man eine sofortige Anwendung der Richtlinien erzwingen, kann man das Programm gpupdate.exe verwenden.

Tätowierungen Unter Windows NT gab es bereits eine Vorform der Richtlinien, damals Manche Systemrichtlinien genannt. Diese hatten allerdings das Problem, dass Ände- Erinnerung rungen, die über eine derartige Richtlinie gesetzt wurden, auch noch vor- bleibt ewig handen waren, nachdem die Richtlinie entfernt wurde. Diese Arbeitsweise wurde Tätowierung (englisch Tattoo) genannt. Diese Einstellungen blieben so lange erhalten, bis sie entweder durch eine neue Anwendung der Richtlinie explizit anders gesetzt oder die Daten manuell aus der Registrierung entfernt wurden.

11 515

Kapitel 11 Lokale Richtlinien und Gruppenrichtlinien

Mit Windows 2000 wurde dieses Problem angegangen, indem für die neuen Gruppenrichtlinien eine Reihe von Schlüsseln in der Registrierung festgelegt wurde, an denen eine derartige permanente Speicherung verhindert wird. Diese Schlüssel sind: HKLM\SOFTWARE\Policies HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies HKCU\Software\Policies HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

Alle Daten, die unter diesen Schlüsseln abgespeichert werden, entfernt das Betriebssystem automatisch, sobald die entsprechende Richtlinie nicht mehr aktiv ist. Mit der Einführung dieses Konzepts hat Microsoft auch gleichzeitig dafür gesorgt, dass die meisten seiner Programme ebendort nach ihren Einstellungen suchen. Anders sieht das allerdings bei eigenen Richtlinien aus, die man selber entwirft. Bei der Entwicklung eigener Applikationen sollte man darauf achten, dass man Einstellungen, die ein Administrator per Gruppenrichtlinien setzen möchte, in den angesprochenen Bereichen sucht. Windows bezeichnet die Richtlinien, die wieder entfernt werden können, als Verwaltete Richtlinien, die anderen dementsprechend als Nicht verwaltet. Diese Unterscheidung lässt sich für die Filterung von Richtlinien (siehe den Abschnitt 11.4.2 ab Seite 525) einsetzen.

11.3 Administrative Vorlagen Richtlinien werden auf Basis von Vorlagen verwendet. Diese Vorlangen enthalten die Angaben, welche Daten in der Registrierung gesetzt werden können, welche möglichen Werte diese annehmen können sowie noch weitere Informationen. Dazu gehört beispielsweise eine Erklärung für die Werte und deren Bedeutung oder eine Angabe, welche Betriebssysteme diese Daten verwenden, die über die Richtlinie gesteuert werden können. Neues System, neues Format

516

Bis Windows 2003 gab es diese Vorlagen mit der Erweiterung .adm, mit Windows Vista wurde ein neues Format mit den Erweiterungen .admx und .adml eingeführt. Der Unterschied zwischen den beiden Versionen besteht darin, dass .adm-Dateien einfache Textdateien waren, die alle Informationen über die Richtlinien enthielten. Da auch die Erklärungen enthalten waren, hatte dies zur Folge, dass diese Dateien sprachspezifisch angelegt waren. Bei den .admx- und .adml-Dateien hat man die Richtlinie (.admx) von den erklärenden Texten (.adml) getrennt und beide in ein XML-Format überführt. Damit einher geht auch eine Verlagerung der betreffenden Dateien. Unter Windows 2003 lagen diese noch in %Systemroot%\inf, nun liegen sie unter %Systemroot%\PolicyDefinitions. Die sprachspezifischen .adml-Dateien liegen dabei in einem Unterverzeichnis entsprechend der jeweiligen Sprache, die deutschen Dateien also in %Systemroot%\PolicyDefinitions\de-DE. Auf diese Verzeichnisse haben normale Benutzer nur lesenden Zugriff. Ein schreibender Zugriff erfordert administrative Berech-

Administrative Vorlagen

tigungen. Die Unterschiede zwischen dem alten und dem neuen Format können Sie am folgenden Beispiel sehen, bei dem die gleiche Einstellung einmal in der Datei system.adm unter Windows 2003 und einmal in WindowsExplorer.admx unter Windows 7 zu finden ist. KEYNAME "Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer" POLICY !!NoViewOnDrive #if version >= 4 SUPPORTED !!SUPPORTED_Win2k #endif EXPLAIN !!NoViewOnDrive_Help PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME "NoViewOnDrive" ITEMLIST NAME !!ABOnly VALUE NUMERIC 3 NAME !!COnly VALUE NUMERIC 4 NAME !!DOnly VALUE NUMERIC 8 NAME !!ABConly VALUE NUMERIC 7 NAME !!ABCDOnly VALUE NUMERIC 15 NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive) NAME !!RestNoDrives VALUE NUMERIC 0 END ITEMLIST END PART END POLICY NoViewOnDrive="Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen" SUPPORTED_Win2k="Mindestens Microsoft Windows 2000" NoViewOnDrive_Help="Verhindert, dass Benutzer über "Arbeitsplatz" Zugang zu Inhalten ausgewählter Laufwerke erhalten.\n\nWenn Sie die ... ABOnly="Nur Laufwerke A und B beschränken" ...

Listing 11.1 system.adm unter Windows 2003









Listing 11.2 WindowsExplorer .admx unter Windows 7

11 517

Kapitel 11 Lokale Richtlinien und Gruppenrichtlinien











Listing 11.3 WindowsExplorer.adml unter Windows 7

Nur Laufwerke A, B, C und D beschränken Nur Laufwerke A, B und C beschränken ...

Im Vergleich der beiden Versionen fallen einige Gemeinsamkeiten auf. Schon bei Windows 2003 waren die Erklärungen der Einstellungen nicht direkt in den einzelnen Elementen enthalten, sondern wurden über das Symbol !! referenziert und erst später definiert. Abbildung 11.3 Darstellung der Richtlinie

518

Administrative Vorlagen

Einmal in der Zeile KEYNAME und einmal im Wert Key wird auf den Teil der Registrierung Bezug genommen, in dem der Wert angelegt wird: Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. Der dort angelegte Wert ist NoViewOnDrive. Aus der Gestaltung des Listenfeldes erkennt man, dass dieser Wert numerisch ist. Die im Listenfeld in Abbildung 11.3 dargestellten Auswahlwerte entsprechen den Werten, die in der ITEMLIST beziehungsweise NoDrivesDropdown aufgeführt wurden. Der entsprechende Registrierungswert erlaubt allerdings deutlich mehr Optionen, als hier angeboten werden. Um diese Werte zu setzen, müsste man entweder die Vorlage erweitern oder den Wert manuell setzen. Die Einstellungen sind inzwischen auf mehr Dateien verteilt; dies macht Teile und den Support der Vorlagen deutlich einfacher. Während unter Windows herrsche 2003 noch zehn Dateien mit 2,3 MB Daten vorlagen, existieren unter Windows 7 148 Dateien mit 4,3 MB Daten sowie 148 Dateien mit weiteren 2,4 MB im Sprachverzeichnis. Unter Windows 7 kann man also auch deutlich mehr Richtlinien setzen als unter seinen Vorgängerversionen.

11.3.1

Weitere administrative Vorlagen

Bei der Administration sind Sie nicht beschränkt auf die im System bereits vorhandenen Vorlagen. Die Sammlung an Vorlagen kann auch erweitert und an eigene Bedürfnisse angepasst werden. Sie können jederzeit für eigene Zwecke auch eigene Vorlagen entwickeln. Alle notwendigen Daten erhalten Sie unter DOWN, wenn Sie nach dem Suchbegriff administrative template suchen. An dieser Stelle finden Sie für viele Anwendungen fertige Richtlinienvorlagen insbesondere für die Produkte aus der Office-Reihe. Gerade im Firmeneinsatz kann man hiermit sehr viele Aspekte der Benutzung von Word oder Excel schon vorab festlegen. Abbildung 11.4 Fehlende Sprachdatei für eine Vorlage

Die Installation neuer Vorlagen erfolgt auf denkbar einfache Weise. Man muss lediglich die betreffende .admx-Datei in das PolicyDefinitions-Verzeichnis abspeichern und die .adml-Datei in das Sprachverzeichnis. Sofern Sie keine deutsche Sprachversion der .adml-Datei erhalten haben, bleiben Ihnen zwei Möglichkeiten: 1. Die vorhandene (vermutlich englische) .adml-Datei übersetzen. In Listing 11.3 können Sie sehen, dass Sie einfach nur Texte austauschen müssen. 2. Die vorhandene (vermutlich englische) .adml-Datei einfach in das passende Sprachverzeichnis kopieren. Dann allerdings erscheinen die Texte der Richtlinie in der eigentlich falschen Sprache, siehe Abbildung 11.5 mit den englischen Bezeichnungen.

11 519

Kapitel 11 Lokale Richtlinien und Gruppenrichtlinien Fremdsprachen gefordert

Es ist nicht möglich, eine .admx-Datei ohne die zur Sprache gehörige .admlDatei zu verwenden. Dieser Versuch wird mit einer Fehlermeldung quittiert (siehe Abbildung 11.4), Windows verlangt zwingend das Vorhandensein einer zur aktuellen Sprache passenden Datei mit den notwendigen Texten.

Abbildung 11.5 Eine eigene .admxDatei wird angezeigt.

Die Richtlinie aus Abbildung 11.5 ist dem Paket Group Policy Sample ADMX Files (über die Download-Seite DOWN von Microsoft zu beziehen) entnommen. Eigene Richtlinien kann man mit dem ADMX Migrator (auch über DOWN zu finden) in einer grafischen Oberfläche bearbeiten. Dies ist somit auch Administratoren möglich, die sich vorher nicht intensiv mit der Syntax der Dateiformate beschäftigen möchten. Dieses Tool kann man auch dazu verwenden, um bestehende Richtlinien zu überarbeiten. Abbildung 11.6 Erstellung einer eigenen Richtlinie im ADMX Migrator

520

Administrative Vorlagen

Nachdem die erstellten Dateien manuell in das Systemverzeichnis der Installation noch Richtlinien kopiert wurden, kann die Richtlinie im Editor für lokale Gruppen- manuell richtlinien bearbeitet werden. Abbildung 11.7 Der Wert der Richtlinie wird gesetzt.

Sobald der Wert in der Gruppenrichtlinie definiert ist, kann man den Erfolg der Aktion auch im Registrierungs-Editor erkennen: Abbildung 11.8 Der Wert im Registrierungs-Editor

Bedingt durch die Lage des gesetzten Wertes in der Registrierung (HKCU\ Software\Meine Firma\Meine Software) tritt hier das Problem der Tätowierung auf. Hat man den Wert einmal gesetzt und löscht dann die zugehörige administrative Vorlage, bleibt der Wert erhalten.

11.3.2

Verwendung alter .adm-Dateien

Auch wenn sich das Format der administrativen Vorlagen geändert hat, kann man diese trotzdem weiterhin unter Windows 7 verwenden. Entweder werden diese in den Editor für lokale Gruppenrichtlinien importiert, oder man verwendet ein Tool wie den ADMX Migrator zur Konvertierung. Möchte man die Richtlinien nur in den Editor importieren, ruft man ihn auf, selektiert den Knoten Administrative Vorlagen wahlweise im Knoten

11 521

Kapitel 11 Lokale Richtlinien und Gruppenrichtlinien

Computerkonfiguration oder in Benutzerkonfiguration und ruft im zugehörigen Kontextmenü den Befehl Vorlagen hinzufügen/entfernen auf. Abhängig vom Inhalt der .adm-Datei werden die Richtlinien gegebenenfalls auch in den anderen Zweig importiert. Abbildung 11.9 Alte .adm-Dateien verwenden

Digitale Altlasten

In dem nun folgenden Dialogfeld sieht man die aktuell geladenen .admDateien samt Angabe von Größe und Datum. Über die Schaltfläche Hinzufügen lassen sich dann weitere Dateien aufrufen. Das Listenfeld startet direkt im Verzeichnis %systemroot%\inf, in dem die alten Vorlagen bislang gespeichert wurden. Nicht mehr benötigte Vorlagen können markiert und über die Schaltfläche Entfernen entladen werden. Die hier durchgeführte Einstellung ist persistent. Mit Schließen kann das Dialogfeld beendet werden. Die geladenen Vorlagen sind anschließend unter Administrative Vorlagen\Klassische administrative Vorlage (ADM) zu finden.

11.4 Richtlinien setzen und bearbeiten Bearbeitet werden die Richtlinien über den Editor für lokale Gruppenrichtlinien. Dieser wird über die Eingabe von gpedit.msc oder Gruppenrichtlinie in das Suchfeld des Startmenüs gestartet. Eine beschränkte Auswahl der möglichen Richtlinien lässt sich auch über den Weg Systemsteuerung/System und Sicherheit/Verwaltung/Lokale Sicherheitsrichtlinie (secpol.msc) aufrufen. Als dritte Möglichkeit kann man noch das Gruppenrichtlinien-Objekt zur Microsoft Management Console mmc.exe hinzufügen (siehe hierzu den Abschnitt 11.4.3 ab Seite 527). Richtlinien beziehen sich entweder auf den Computer oder auf den Benutzer. Dementsprechend sind im Editor auch die beiden Bereiche Computerkonfiguration und Benutzerkonfiguration getrennt dargestellt. Im Bereich der Administrativen Vorlagen finden Sie all jene Einstellungen, die von den Dateien im PolicyDefinitions-Ordner festgelegt werden. Einige Einstellungen können sowohl im Bereich Computer als auch im Bereich Benutzer eingestellt werden, sodass man je nach Anwendungszweck wahlweise eine Einstellung einem Benutzer auf allen von ihm verwendeten Systemen oder etwa allen Benutzern auf einem System zuordnen kann. Angegeben wird dies bei der Festlegung der betreffenden Vorlagendatei. Im Beispiel aus Listing 11.2 ergibt die Angabe

522

Richtlinien setzen und bearbeiten . 4. Im nun folgenden Dialogfeld werden Sie gefragt, welches Gruppenrichtlinienobjekt Sie bearbeiten möchten. Dort steht aktuell Lokaler Computer. Klicken Sie nun auf die Schaltfläche Durchsuchen. 5. Wählen Sie das gewünschte Objekt aus. Aktuell ist die Registerkarte Computer aktiv und dort der Eintrag Dieser Computer. Klicken Sie auf die Registerkarte Benutzer. 6. Im nun folgenden Dialogfeld sehen Sie zum einen eine Liste aller aktuell auf dem System vorhandenen Benutzer und zum anderen die beiden Gruppen Administratoren und Nicht-Administratoren. Hinter dem Namen folgt noch die Angabe, ob für diesen Benutzer oder diese Gruppe bereits ein Gruppenrichtlinienobjekt vorhanden ist oder nicht. Selektieren Sie den Namen, für den Sie die Gruppenrichtlinie bearbeiten wollen, und klicken Sie die Schaltfläche OK. Benutzer, die auf dem System zwar angelegt sind, sich aber noch nicht erstmalig angemeldet haben, tauchen noch nicht in der Liste auf. Abbildung 11.14 Gruppenrichtlinienobjekte für Benutzer und Gruppen

11 527

Kapitel 11 Lokale Richtlinien und Gruppenrichtlinien Maßarbeit in der Verwaltung

Diesen Vorgang können Sie auch mehrfach wiederholen, um sich eine Management Console mit unterschiedlichen Benutzern und Gruppen zusammenzustellen, indem sie diese dann abspeichern. Im Auswahldialogfeld aus Abbildung 11.14 können Sie auch über das Kontextmenü der rechten Maustaste eine bereits vorhandene Richtlinie wieder löschen. Brechen Sie dann den Vorgang des Hinzufügens eines Snap-Ins einfach mit der Schaltfläche Abbrechen ab.

Abbildung 11.15 Benutzerkonfiguration für unterschiedliche Gruppen

Wenn lokale Richtlinien für einen Benutzer gleich mehrfach zutreffen können, gilt immer die Richtlinie, die am spezifischsten für den jeweiligen Benutzer ist. Eine Richtlinie nur für ihn hat Vorrang vor einer Richtlinie, die nur für eine Gruppe oder für alle Benutzer angelegt wurde. Es ist nicht möglich, einem neuen Benutzer bereits vorab eine Richtlinie zuzuordnen. Ein neuer Benutzer wird zunächst nur jene Richtlinie zugeordnet, die ihm aufgrund seiner Mitgliedschaft oder eben Nichtmitgliedschaft in der Gruppe der Administratoren zugewiesen wird.

11.5 Richtlinien überprüfen und dokumentieren Um angewendete Richtlinien zu kontrollieren und zu dokumentieren, ist der Editor für lokale Gruppenrichtlinien ein eher ungeeignetes Werkzeug. Für diese Aufgabe dienen zwei andere Programme.

11.5.1

Das Snap-In Richtlinienergebnissatz

Fügt man der Microsoft Management Console mmc.exe das Snap-In Richtlinienergebnissatz hinzu, erhält man die Möglichkeit, sich die Auswirkungen der Richtlinien auf bestimmte Objekte anzeigen zu lassen. Nachdem das Snap-In hinzugefügt wurde, wählt man aus dem Menü Aktion den Eintrag

528

Richtlinien überprüfen und dokumentieren

RSoP-Daten generieren (Resultant Set of Policies, Sammlung von Ergebnissen zur Richtlinienanwendung) aus. In dem nun folgenden Assistenten müssen Sie einige Seiten durchklicken, bis Sie zur Auswahl des zu kontrollierenden Objektes gelangen. Hier können Sie den Report wahlweise für den eigenen Benutzer, einen anderen Benutzer oder den ausgewählten Computer abfragen. Wird das Snap-In von einem nicht administrativen Benutzer aufgerufen, kann dieser nur seine eigenen Einstellungen überprüfen. Zudem kann er keine Einstellungen auf Computerebene einsehen. Abbildung 11.16 Welche Richtlinie soll abgefragt werden?

Nachdem der Assistent abgeschlossen wurde, kann man in der Baumstruktur der administrativen Vorlagen alle jene Knoten sehen, in denen konfigurierte Werte enthalten sind. Klickt man auf einen dieser Knoten, sieht man in der rechten Auflistung der Richtlinienobjekte sowohl deren Status (nicht aber weitere Daten) und eine Angabe, wo diese Richtlinie definiert wurde. Abbildung 11.17 Wo werden welche Richtlinien festgelegt?

Im Beispiel in Abbildung 11.17 kann man sehen, dass die Richtlinie Menüoption "Kommentare" aus der Richtlinie für alle Benutzer kommt, während die Menüoption "Tour" durch eine Richtlinie für die lokale Administratorengruppe kommt. Klickt man eine der Richtlinien doppelt an, erhält man die Möglichkeit, auf der Registerkarte Einstellung den konfigurierten Wert zu kontrollieren. Auf der Registerkarte Erklärung findet sich die gleiche Erklärung, die man auch im Editor sieht. Am interessantesten ist allerdings die

11 529

Kapitel 11 Lokale Richtlinien und Gruppenrichtlinien

Registerkarte Rangfolge. Hier kann man erkennen, ob eine bestimmte Einstellung eventuell von mehreren Richtlinien gesetzt wird und in welcher Reihenfolge diese ausgewertet werden. Abbildung 11.18 Einmal hü, einmal hott: Richtlinien im Wettstreit

Im Beispiel in Abbildung 11.18 kann man sehen, dass die gewählte Einstellung von zwei Richtlinien gesetzt wird. Da allerdings die Richtlinie für die Gruppenmitgliedschaft größeren Einfluss als die Richtlinie für alle Benutzer hat, gilt deren Wert. Über das Kontextmenü des obersten Knotens kann man die Abfrage aktualisieren lassen, etwa wenn man in einer Active DirectoryUmgebung zwischenzeitlich die Gruppenrichtlinien angepasst oder den Benutzer in einen anderen Container verschoben hat. Abbildung 11.19 Gruppenrichtlinienstapel in einer Active DirectoryUmgebung

Gestapelte Richtlinien

530

Beim Betrachten der Gruppenrichtlinien in Abbildung 11.19 kann man sehr genau die Anwendung der Richtlinien in der Reihenfolge ihrer Festlegung in der Baumstruktur des Active Directory aus Abbildung 11.2 sehen.

Richtlinien überprüfen und dokumentieren

11.5.2

Richtlinienanwendung planen

In einer Active Directory-Umgebung bietet der Richtlinienergebnissatz noch eine zusätzliche Funktion: Anstelle des Protokollierungsmodus, in dem die Anwendung der aktuellen Richtlinien beschrieben wird, kann der Planungsmodus aufgerufen werden. In diesem Modus kann simuliert werden, was passieren würde, wenn das aktuelle Benutzer- und Computerobjekt in einem anderen Active Directory-Container gespeichert wäre. Abbildung 11.20 Wo könnte das Objekt liegen?

Weiterhin kann der Effekt einer langsamen Netzwerkanbindung simuliert werden, da dies ebenfalls Auswirkungen auf die Anwendung von Gruppenrichtlinien haben kann. Auch der Standort in Active Directory kann simuliert werden, da es möglich ist, Richtlinien in Abhängigkeit vom IP-Subnetz des Systems festzulegen. Auf diese Weise lassen sich in größeren Umgebungen sehr genau die Auswirkungen der Gruppenrichtlinien auf Benutzer und Computer vorab testen, ohne die Änderungen tatsächlich durchführen zu müssen.

11.5.3

Richtlinien dokumentieren mit gpresult.exe

Das Programm gpresult.exe wurde zusammen mit der Einführung von Gruppenrichtlinien bei Windows 2000 vorgestellt und kann dazu verwendet werden, eine Dokumentation der erfolgten Richtlinien zu erstellen. Mit Windows Vista SP1 und Windows Server 2008 wurde eine neue Version dieses Programms eingeführt, mit dem auch optisch ansprechende Reports der Gruppenrichtlinien erzeugt werden können, ähnlich wie es auch die Gruppenrichtlinienverwaltung bei Windows Server 2008 vorführt.

11 531

Kapitel 11 Lokale Richtlinien und Gruppenrichtlinien Abbildung 11.21 Protokollierung der Gruppenrichtlinien unter Windows Server 2008

Dokumentation in „hübsch“

Listing 11.4 Ausgabe einer Richtlinie als XML-Datei

Die beiden neuen Optionen von gpresult.exe sind /x zur Erstellung eines XML-Berichtes und /h zur Erstellung einer HTML-Seite mit den Richtlinieninformationen. Die XML-Ausgabe kann man zum Beispiel verwenden, um die Daten in eine Datenbank zu importieren. Die HTML-Daten kann als lesbare Dokumentation aufbewahrt werden. >gpresult /scope user /x test.xml Bericht wird erstellt ... >type trst.xml

2009-10-25T18:19:01.4835683Z LoggedData

2228228 CONTOSO\user5 contoso.com contoso.com/Benutzer/Vertrieb/Innen Default-First-Site-Name ...

Bei der Produktion einer HTML-Datei ist beim Anzeigen der Datei zu beachten, dass die Datei Skriptanteile enthält, um ein dynamisches Aufund Zuklappen der einzelnen Abschnitte zu erreichen. Dies führt bei der Anzeige zu einer Warnmeldung im Internet Explorer, die zunächst bestätigt werden muss, um die volle Funktionalität der Seite zu erhalten. Zu jeder Einstellung wird der Pfad zur Richtlinie dokumentiert und welches Gruppenrichtlinienobjekt letztendlich für den Wert verantwortlich ist.

532

Ausgewählte Anwendungsbeispiele Abbildung 11.22 HTML-Ansicht auf eine Gruppenrichtlinie

11.6 Ausgewählte Anwendungsbeispiele Leider lässt sich hier im Buch nicht für jede der mehrere Tausenden Einstellungen umfassende Liste der Richtlinien ein Anwendungsbeispiel anführen. Die hier präsentierten Beispiele sollen nur ein Hinweis für eigene Erkundungen sein.

11.6.1

Internet Explorer konfigurieren

Jeder Benutzer, der zum ersten Mal den Internet Explorer startet, wird von Willkommen einem Startdialog genervt, in dem bestimmte Einstellungen abgefragt wer- bei ... den. Dieses Dialogfeld kann man seinen Benutzern ersparen. Setzen Sie die folgenden Werte in einer Richtlinie: 왘 Benutzerkonfiguration/Administrative Vorlagen/Windows Komponenten/Internet Explorer 왘 Anzeige von "Einstellung anpassen" beim ersten Programmstart verhindern 왘Aktiviert: Direkt zur Startseite springen 왘 Änderungen am Standardsuchanbieter einschränken 왘Aktiviert 왘 Benutzerkonfiguration/Windows-Einstellungen/Internet Explorer-Wartung/ URLs 왘 Wichtige URLs 왘URL der Startseite: about:blank

11 533

Kapitel 11 Lokale Richtlinien und Gruppenrichtlinien

Mit diesen Einstellungen erhält ein neuer Benutzer einen sofort einsetzbaren Internet Explorer, ohne sich zunächst mit einer Konfiguration des Suchanbieters oder der MSN-Startseite beschäftigen zu müssen. Theoretisch wäre auch eine Konfiguration des Suchanbieters möglich, hierzu ist allerdings eine eigene ADMX-Vorlage notwendig, eine Beschreibung des Vorgangs findet sich in der Erklärung zur obigen Einstellung. Wahlweise können Sie natürlich auch statt der leeren Seite about:blank die Adresse der Firmenhomepage eintragen. An dieser Stelle ist es auch möglich, dem Internet Explorer gleich eine Liste mit Eintragungen für die Favoriten mitzugeben.

11.6.2

USB-Geräte kontrollieren

In der heutigen Zeit hat man oftmals die Anforderung, die Verwendung von USB-Massenspeichern zu verhindern, um den Abfluss von Daten zu unterbinden. In früheren Versionen von Windows bedeutete dies, dass man die USB-Anschlüsse komplett sperren musste. Ein etwas problematischer Ansatz, wenn man den USB-Anschluss für Maus und Tastatur verwendet. Um diesem Problem zu begegnen, können Sie an zwei Stellen das System entsprechend konfigurieren.

Geräteinstallation verbieten Kein Treiber, keine Nutzung

Zum Zugriff auf ein Gerät (egal ob USB oder ein anderer Typ) braucht Windows einen zu dem Gerät passenden Treiber. Normalerweise wird dieser Treiber geladen, sobald das entsprechende Gerät zum ersten Mal mit dem System verbunden wird, im Systray kann man die entsprechenden Meldungen erkennen. Mit den Gruppenrichtlinien im Bereich Computerkonfiguration/Administrative Vorlagen/System/Geräteinstallation/Einschränkungen bei der Geräteinstallation kann konfiguriert werden, welche Geräte installiert werden dürfen und welche nicht. Die Einstellungen in diesem Bereich arbeiten eng mit der Hardwareerkennung von Windows 7 zusammen. Wichtig sind hierbei Geräteklassen und Geräte-ID (siehe Kapitel 2). Beide Angaben lassen sich im Geräte-Manager der Computerverwaltung einsehen, wenn Sie die Registerkarte Details eines installieren Gerätes öffnen. Sofern Sie hier nicht sehr diffizil vorgehen wollen, gibt es auch die Richtlinie Installation von Wechselgeräten verhindern. Diese kann allerdings auch ungewollt mehr sperren, als ursprünglich gedacht. In diesem Bereich ist vieles nur durch Ausprobieren und Testen zu erreichen.

Aktionen auf USB-Geräten verbieten Deutlich granularer lassen sich Richtlinien einsetzen, die angeben, welche Aktionen ein Benutzer mit bestimmten Typen von Datenspeichern durchführen kann. Die folgenden Richtlinien existieren sowohl im Bereich der Computer- als auch im Bereich der Benutzerkonfiguration, sodass diese auch selektiv nur für bestimmte Anwender verwendet werden können. Die Richtlinien finden Sie im Bereich Computerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff und im Bereich Benutzerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff. Für die Geräte-

534

Ausgewählte Anwendungsbeispiele

klassen CD und DVD, Diskettenlaufwerke, Wechseldatenträger, Bandlaufwerke und Mediageräte (MP3-Player, Mobiltelefone) kann jeweils getrennt festgelegt werden, ob ein lesender, schreibender oder ausführender Zugriff erlaubt oder verboten ist. Auf diese Weise könnte man beispielsweise dafür sorgen, dass zwar Daten eines USB-Sticks gelesen, jedoch keine Daten darauf gespeichert werden können. Im Zusammenhang mit der BitLocker-Verschlüsselung (siehe Kapitel 13) kann über die Richtlinien in Computerkonfiguration/Administrative Vorlagen/ Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Wechseldatenträger festgelegt werden, dass ein schreibender Zugriff auf einen Wechseldatenträger nur erlaubt wird, wenn dieser auch verschlüsselt wurde. Zudem können über eine weitere Richtlinie Vorschriften für das zu verwendende Kennwort definiert werden. Diese Einstellungen lassen sich nur auf Ebene der Computerkonfiguration festlegen.

11.6.3

Sicherheit erhöhen

Um die Sicherheit eines System zu erhöhen, sind (neben vielen anderen Vertrauen ist gut, Einstellungen) zwei Dinge wichtig: die eigenen Benutzer zur Verwendung Kontrolle ist von guten Kennwörtern anzuleiten und festzustellen, ob jemand versucht, besser in das System einzubrechen. Beide Ziele lassen sich mittels Gruppenrichtlinien erreichen.

Kennwörter ändern 왘 Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/

Kontorichtlinien/Kennwortrichtlinien 왘 Kennwort muss Komplexitätsvoraussetzungen entsprechen 왘Aktiviert 왘 Kennwortchronik erzwingen 왘vier gespeicherte Kennwörter 왘 Maximales Kennwortalter 왘Aktiviert: 42 Tage 왘 Minimale Kennwortlänge 왘acht Zeichen 왘 Minimales Kennwortalter 왘ein Tag Welche Auswirkungen haben diese Einstellungen? Zunächst wird verhindert, dass ein Benutzer Trivialkennwörter wie etwa 12345678 verwendet. Zudem wird festgelegt, dass ein Kennwort mindestens acht Zeichen lang sein muss. Spätestens alle 42 Tage muss sich der Benutzer ein neues Kennwort ausdenken, und er darf dabei keines seiner bisherigen vier letzten Kennwörter verwenden. Um zu verhindern, dass der Benutzer einfach in schneller Folge zwischen Kennwort1, Kennwort2, Kennwort3 und Kennwort4 wechselt, muss er jedes Kennwort mindestens einen Tag lang verwenden. In den Einstellungen des Benutzers im Bereich Lokale Benutzer und Gruppen im Bereich der Computerverwaltung kann für einen Benutzer die Option

11 535

Kapitel 11 Lokale Richtlinien und Gruppenrichtlinien

Kennwort läuft nie ab gesetzt werden, womit die Aufforderung zum Ändern des Kennworts für diesen Benutzer unterbleibt. Ansonsten erhält ein Benutzer mit abgelaufenem Kennwort beim Anmelden eine entsprechende Meldung und die Aufforderung zum Ändern desselben. Diese Einstellung eignet sich besonders für Dienst-Accounts, die speziell nur für die Verwendung bei einer nicht interaktiven Anmeldung gedacht sind. Diese Einstellung kann in einer Active Directory-Domäne für die Domänenaccounts nur in der Domain Policy festgelegt werden und gilt dann gleichermaßen für alle Benutzeraccounts. Erst mit Windows Server 2008 kann man hierbei unterschiedliche Richtlinien für einzelne Teile des Active Directory festlegen.

Konten bei Missbrauchsverdacht sperren 왘 Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/

Kontorichtlinien/Kontosperrungsrichtlinie 왘 Kontensperrungsschwelle – drei ungültige Anmeldeversuche 왘 Kontosperrdauer – 30 Minuten 왘 Zurücksetzungsdauer des Kontosperrungszählers – 30 Minuten Mit diesen Einstellungen kann man ein System gegenüber einem Einbruchsversuch durch Ausprobieren möglicher Kennwörter schützen. Werden bei einem Benutzerkonto innerhalb von 30 Minuten mehr als drei fehlerhafte Kennworteingaben festgestellt, wird das Konto automatisch für 30 Minuten gesperrt. Nach Ablauf dieser 30 Minuten wird die Sperre automatisch wieder aufgehoben, auch ohne manuellen Eingriff eines Administrators. Wird die Sperrdauer auf 0 gesetzt, findet keine automatische Entsperrung statt.

Anmeldungen überwachen 왘 Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/

Lokale Richtlinien/Überwachungsrichtlinie 왘 Anmeldeergebnisse überwachen – Fehler 왘 Anmeldeversuche überwachen – Fehler 왘 Systemereignisse überwachen – Fehler Durch diese Einstellungen werden Versuche, auf geschützte Bereiche des Systems zuzugreifen, im Sicherheitsprotokoll mitnotiert. Findet man dort beispielsweise massenhaft fehlgeschlagene Zugriffsversuche von einem System aus, sollte man dieses System auf das Vorkommen einer Schadsoftware überprüfen, die versucht, andere Systeme über erratene Kennwörter zu infizieren.

536

12

Die Registrierungsdatenbank

Zur Speicherung von Konfigurations- und anderen Informationen bietet Windows 7 wie auch schon die Vorgängersysteme eine Registrierungsdatenbank an, oft auch kürzer mit dem englischen Ausdruck Registry benannt. Erstmals wurde die Registry mit Windows 95 vorgestellt, war damals allerdings noch nicht so umfangreich wie heute. Da frühere Windows-Versionen (bis 3.11) die Konfigurationsinformationen in einzelnen Dateien ansammelten (config.sys und autoexec.bat für den Systemstart, win.ini und system.ini für Windows selber und weitere .ini-Dateien für andere Anwendungen), ergab dies eine wilde, undurchsichtige Mischung, in der es durchaus vorkommen konnte, dass zwei Anwendungen die gleiche Konfigurationsdatei verwenden wollten. Zudem ergab sich die Frage, wo man die Dateien abspeichern sollte. Für Programmierer, die diese Konfigurationsdateien in eigenen Anwendungen verwenden wollten, ergab sich zudem noch das Problem, dass sie in ihren Programmen jeweils Routinen einbauen mussten, die zum Beispiel Zahlen in Textdarstellung aus der Datei lesen und dann zur Verarbeitung umwandeln mussten. Ein weiteres Problem bei Konfigurationsdateien betrifft die Berechtigung, Probleme bei auf bestimmte Werte zuzugreifen können. Dies kann immer nur auf der einfachen Ebene der kompletten Konfigurationsdatei geschehen, eine Unterteilung auf Dateien einzelne Werte wäre nur möglich, wenn die Konfigurationsdateien in einzelne Dateien aufgeteilt würden. Aus diesem Grund würde für die Registry ein datenbankähnlicher Aufbau gewählt. Für die Programmierer wurden spezielle API-Funktionen zur Verfügung gestellt, mit denen auf die Werte der Registry zugegriffen werden kann. Diese Funktionen beachten dabei die Zugriffsrechte auf die einzelnen Elemente. Diese Datenbankstruktur schuf aber gleichzeitig auch Probleme. Bei einer Konfigurationsdatei kann man leicht eine Kopie der Datei zur Seite legen

537

Kapitel 12 Die Registrierungsdatenbank

und nach einer Änderung durch einen einfachen Textvergleich feststellen, welche Änderungen erfolgt sind. Man kann auf diese Weise viele verschiedene Generationen solcher Dateien archivieren und so die Entwicklung eines Systems über lange Zeit verfolgen. Bei der Registry ist dies nicht so einfach möglich, hierzu benötigt man Zusatzprogramme (siehe den Abschnitt 12.9.2 ab Seite 578). Zudem kann man bei Änderungen in einer Textdatei sich vor dem Speichern immer noch überlegen, ob man diese Änderungen wirklich durchführen will. Anders als in einem Texteditor werden Änderungen, die zum Beispiel mit dem RegistrierungsEditor (siehe den Abschnitt 12.3 ab Seite 558) durchgeführt werden, sofort im System aktiv, eine Rückgängig-Funktion existiert nicht. In den Artikeln der Microsoft Knowledge Base steht bei jeder Aktion, welche die Registry betrifft, ein Warnhinweis, dass diese Änderungen ungeahnte Folgen haben können. Nehmen Sie diese Warnungen ernst! Eine Rücksicherung eines vorigen Backups der Registry hilft ihnen erst einmal nichts, wenn nach der Änderung das Betriebssystem nicht mehr startet.

12.1 Der Aufbau der Registry Bäume, Schlüssel und Werte

Ähnlich dem Dateisystem bildet auch die Registry eine Baumstruktur aus Schlüsseln und Unterschlüsseln, in der Werte die Rolle der Dateien übernehmen. Für einen ersten Blick auf die Registry verwenden Sie den Registrierungs-Editor. Diese Anwendung ist nicht im Startmenü von Windows 7 verlinkt, sondern muss direkt über den Programmnamen regedit.exe aufgerufen werden. Klicken Sie auf die Start-Schaltfläche, und schreiben Sie in das Suchfeld das Wort regedit. Das gefundene Programm wird oben in der Liste angezeigt und kann durch einen Doppelklick oder durch Drücken der Taste (¢) gestartet werden.

Abbildung 12.1 UAC-Abfrage beim Start von regedit.exe

Regedit nur nach UAC-Abfrage

538

Sofern Sie mit einem Konto mit administrativen Berechtigungen angemeldet sind, müssen Sie den Aufruf durch eine UAC-Abfrage bestätigen. Als normaler Standardnutzer erfolgt diese Abfrage nicht, allerdings haben Sie dann auch nur sehr eingeschränkte Zugriffsrechte auf bestimmte Teile der Registry. Dies gilt auch, wenn in einer Active Directory-Umgebung ein Benutzer Mitglied der Gruppe der Domänen-Administratoren ist.

Der Aufbau der Registry

Im linken Fenster sehen Sie eine Baumstruktur, die Sie beim Klick auf das weiße Dreieck vor einem Schlüsselnamen auf- und beim Klick auf das schwarze Dreieck vor dem Schlüsselnamen wieder zuklappen können. Im rechten Fenster sehen Sie dann alle Werte, die unter dem links markierten Schlüssel liegen. Hier im Beispiel sehen Sie den Wert InstallRoot im Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework, unter dem die Zeichenkette C:\Windows\... abgespeichert ist. Abbildung 12.2 Ein erster Blick auf die Registry mit Schlüsseln und Unterschlüsseln

Genau wie im Explorer können Sie die Zweige der Baumstruktur mit den Cursortasten auf- beziehungsweise zuklappen und durch Eingabe von Buchstabenfolgen zum nächsten passenden Eintrag springen. Mit der Taste (ÿ) wechseln Sie zwischen der linken und rechten Hälfte des Fensters. Die Schlüsselnamen der obersten Ebene (also direkt unterhalb von Com- Hauptschlüssel puter) sind bei allen Systemen identisch und haben bestimmte vordefi- der Registry nierte Namen, die auch bei allen Versionen von Windows gleich sind. Dies sorgt für die Kompatibilität von Programmen. Im Englischen werden diese Schlüssel der obersten Ebene auch als Hive (Haufen) bezeichnet und meistens mit ihrer in der folgenden Tabelle in Klammern stehenden Kurzform angesprochen. Im Folgenden wird aus Gründen der Lesbarkeit im Fließtext immer die verkürzte Form verwendet. Schlüssel

Verwendung

HKEY_CLASSES_ ROOT (HKCR)

In diesem Schlüssel verwaltet Windows 7 alle Einstellungen zum Thema Dateitypen, also zum Beispiel welche Dateitypen es gibt, welche Dateinamenserweiterungen zu einem Dateityp gehören und welche Aktionen mit einer derartigen Datei möglich sind. Der Schlüssel ist hierbei tatsächlich eine Kombination der Informationen aus HKLM\SOFTWARE\ Classes und HKCU\Software\Classes.

Tabelle 12.1: Übersicht über die Schlüssel der obersten Ebene

539

12

Kapitel 12 Die Registrierungsdatenbank

Schlüssel

Verwendung

HKEY_CURRENT_ USER (HKCU)

In diesem Schlüssel liegen alle benutzerbezogenen Daten, die Windows 7 für den aktuell angemeldeten Benutzer vorhält. Dieser Schlüssel wird beim Anmelden geladen und beim Abmelden wieder entfernt.

HKEY_LOCAL_ MACHINE (HKLM)

In diesem Schlüssel liegen alle maschinenbezogenen Daten, zum Beispiel die Informationen über die installierten Programme.

HKEY_USERS (HKU) In diesem Schlüssel sind all die einzelnen HKCU-Schlüssel der aktuell am System aktiven Benutzer gesammelt. HKEY_CURRENT_ CONFIG (HKCC)

In diesem Schlüssel finden sich alle Informationen über das beim Systemstart verwendete Hardwareprofil.

Tabelle 12.1: Übersicht über die Schlüssel der obersten Ebene (Forts.)

12.1.1

Sonderfälle in der Registry

Mit dem Aufkommen von 64-Bit-Systemen und Windows Vista ergaben sich einige Spezialfälle, die im Bereich der Registry zu besonderen Effekten führen.

64-Bit-Systeme Mit der Vorstellung der 64-Bit-Systeme bei Windows XP, Windows Vista und jetzt Windows 7 hat Microsoft eine weitere Komplikation in die Registry eingebaut. Damit die Möglichkeit besteht, einer 32-Bit-Applikation, die auf einem 64-Bit-System läuft, eine andere Konfiguration zu geben als der gleichen 64-Bit-Applikation, wurde eine Spezialbehandlung für den Schlüssel HKLM\SOFTWARE eingeführt. Sofern ein 32-Bit-Programm auf einer 64-BitPlattform auf den Schlüssel HKLM\SOFTWARE zugreift, wird in Wirklichkeit ein Zugriff auf den Schlüssel HKLM\SOFTWARE\Wow6432Node durchgeführt. Listing 12.1 Unterschiede zwischen 32-Bitund 64-BitApplikationen

\>regxp32 query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion /v ProgramFilesDir ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion ProgramFilesDir REG_SZ C:\Program Files (x86) \>reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion /v ProgramFilesDir HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion ProgramFilesDir REG_SZ C:\Program Files C:\>reg query HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\ Windows\CurrentVersion /v ProgramFilesDir HKEY_LOCAL_MACHINE\SOFTWARE\WoWMicrosoft\Windows\CurrentVersion ProgramFilesDir REG_SZ C:\Program Files (x86)

Im Beispiel in Listing 12.1 wurde auf einer 64-Bit-Installation von Windows 7 die Anwendung reg.exe einer 32-Bit-Installation von Windows XP (mit dem Namen regxp32) ausgeführt. Man kann hierbei sehen, dass 32-Bit- und 64-

540

Der Aufbau der Registry

Bit-Applikationen jeweils eine unterschiedliche Angabe für die Lage des Installationsverzeichnisses für neue Anwendungen (der Eintrag ProgramFilesDir) bekommen.

Reflector und Redirector In Windows Vista und Windows Server 2008 wurde eine Technik mit der Bezeichnung Registry Reflection verwendet, die automatisch Informationen zwischen bestimmten Teilen der Registry kopiert hat. Dieses Verfahren wurde mit Windows 7 und Windows Server 2008 R2 wieder eingestellt. Mit Windows 7 und Windows Server 2008 R2 wurde jetzt neu die Funktion des Registry Redirectors eingeführt. Hierbei greifen Programme auf den Pfad unterhalb von HLKM\SOFTWARE zu und werden automatisch auf den jeweiligen Key im passenden Teil der Registry ungeleitet. Dies geschieht transparent für die jeweilige Anwendung. Bei manchen Unterschlüsseln findet jedoch keine Umleitung statt, da diese sowohl für 32-Bit- als auch für 64-Bit-Anwendungen den gleichen Inhalt präsentieren müssen. Die genaue Funktionsweise dieses System können Sie auf der Seite [REGRED1] nachlesen. Unter [REGRED2] finden Sie eine Auflistung aller Schlüssel, die vom Registry Redirector speziell behandelt werden.

Virtualisierung Mit Windows Vista wurde zudem eine Technik mit dem Namen Registry Virtualisierung eingeführt. Diese richtet sich speziell an ältere (32-Bit-) Anwendungen, die für frühere Versionen von Windows erstellt wurden. Bei diesen Programmen erwarteten die Programmierer oftmals, dass ihre Anwendung vollen Zugriff auf alle Bereich des Systems hatte. Dies führte insbesondere dazu, dass diese Programme schreibend auf Bereiche im System zugegriffen haben, in denen normale Benutzer keinen Zugriff erhalten sollen. Unter Windows XP hatte man dann die Wahl, entweder den Benutzer zum Administrator des Computers zu erheben oder erweiterte Berechtigungen auf bestimmte Teile des Systems zu vergeben. Beides ist vom Standpunkt der Systemsicherheit her nicht optimal. Mit der Virtualisierung hat Microsoft eine Möglichkeit geschaffen, bei der Hilfe für schreibende Zugriffe einer Anwendung auf eigentlich geschützte Bereiche Altprogramme des Systems (Registry und Dateisystem) auf einen dem Benutzer zugeordneten Teil des System umgeleitet werden. Für die Anwendung sieht es weiterhin so aus, als ob sie schreibend auf den geschützten Bereich zugreifen könnte. Tatsächlich wird der Zugriff aber auch in einen anderen Bereich umgeleitet. Näher wird dieses Konzept auf [REGVIR] von Mark Russinovich (dem Schöpfer von Sysinternals) erläutert.

12.1.2

Registry und Dateisystem

Die einzelnen Schlüssel der Registry werden in Dateien im Dateisystem abgespeichert. Für den Zugriff auf diese Dateien hat Windows 7 (wie auch schon Windows Vista) einige Hürden eingebaut, selbst für Benutzer

541

12

Kapitel 12 Die Registrierungsdatenbank

mit administrativen Rechten. Zunächst stellt sich das Problem, dass der Zugriff auf das Verzeichnis %SystemRoot%\System32\config (also typischerweise C:\Windows\System32\config) von den NTFS-Berechtigungen im Dateisystem unterbunden wird. Beim Versuch des Zugriffs mit dem Explorer erscheint eine Fehlermeldung. Abbildung 12.3 Zugriffsversuch auf den Ordner config

Sobald Sie den Zugriff mit Fortsetzen erlauben, werden die NTFS-Berechtigungen des Ordners erweitert, um Ihrem Benutzeraccount (der natürlich über administrative Berechtigungen verfügen muss) den Zugriff auf den Ordner und die enthaltenen Dateien zu gestatten. Unter Windows XP und Windows 2003 Server war normalen Benutzern der lesende Zugriff auf diesen Ordner noch erlaubt. Die Erweiterung der Zugriffsberechtigungen sollten Sie allerdings besser nur auf einem Testsystem durchführen, da diese Änderung zum einen die Sicherheit des Systems schwächt und zum anderen nicht wieder rückgängig gemacht werden kann. Einige der Dateien selbst sind nicht direkt lesbar und werden von Windows 7 auch im Explorer üblicherweise nicht dargestellt; sie sind mit dem Attribut Hidden (Verborgen) versehen (siehe Kapitel 6). Um die Dateien anzuzeigen, müssen Sie im Explorer folgende Einstellung ändern: Organisieren/Ordner- und Suchoptionen/Ansicht und dann unter Erweiterte Einstellungen das Kontrollkästchen Geschütze Systemdateien ausblenden (empfohlen) deaktivieren sowie die Einstellung Versteckte Dateien und Ordner umstellen auf Ausgeblendete Dateien, Ordner und Laufwerke anzeigen. Diese Einstellung müssen Sie über ein Dialogfeld bestätigen. Abbildung 12.4 Sicherheitsabfrage im Explorer

Registry in Registry

542

Die einzelnen Dateien können Sie nach der Änderung der Einstellungen im genannten Verzeichnis %SystemRoot%\System32\config vorfinden. Die genaue Liste, welche Dateien aktuell an welcher Position in der Registry verbunden sind, steht selbst wiederum in der Registry an HKLM\ SYSTEM\CurrentControlSet\Control\hivelist. In Listing 12.2 können Sie sehen, welche Dateien aktuell an welcher Stelle in der Registry geladen sind.

Der Aufbau der Registry C:\>reg query HKLM\SYSTEM\CurrentControlSet\Control\hivelist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist \REGISTRY\MACHINE\HARDWARE REG_SZ \REGISTRY\MACHINE\BCD00000000 REG_SZ \Device\HarddiskVolume2\Boot\BCD \REGISTRY\MACHINE\SOFTWARE REG_SZ \Device\HarddiskVolume3\Windows\System32\config\software \REGISTRY\MACHINE\SYSTEM REG_SZ \Device\HarddiskVolume3\Windows\System32\config\system \REGISTRY\USER\.DEFAULT REG_SZ \Device\HarddiskVolume3\Windows\System32\config\default \REGISTRY\MACHINE\SECURITY REG_SZ \Device\HarddiskVolume3\Windows\System32\config\security \REGISTRY\MACHINE\SAM REG_SZ \Device\HarddiskVolume3\Windows\System32\config\sam \REGISTRY\USER\S-1-5-20 REG_SZ \Device\HarddiskVolume3\Windows\ServiceProfiles\ NetworkService\ntuser.dat \REGISTRY\USER\S-1-5-19 REG_SZ \Device\HarddiskVolume3\Windows\ServiceProfiles\ LocalService\ntuser.dat \Registry\User\S-1-5-21-...-1001 REG_SZ \Device\HarddiskVolume3\Users\jochenr\ntuser.dat \Registry\User\S-1-5-21-...1001_Classes REG_SZ \Device\HarddiskVolume3\Users\jochenr\ AppData\Local\Microsoft\Windows\UsrClass.dat \REGISTRY\MACHINE\COMPONENTS REG_SZ \Device\HarddiskVolume3\Windows\System32\config\components

Listing 12.2 Dateien der Registry in der Registry

Der Pfad zu den Dateien wird nicht mit Laufwerksbuchstaben gekennzeichnet, sondern die einzelnen Laufwerke im System werden mit einer Bezeichnung HarddiskVolume3 benannt. Dies ist deshalb notwendig, weil sich ja die Laufwerksbuchstaben auch ändern lassen. Den aktuellen Laufwerksbuchstaben können Sie sich mittels Systemsteuerung/System und Sicherheit/Verwaltung/Computerverwaltung/Datenträgerverwaltung (oder einfach part in das Suchfeld der Systemsteuerung eingeben) ansehen. Abbildung 12.5 Auflistung der Laufwerke in der Datenträgerverwaltung

In Abbildung 12.5 erkennen Sie, dass das in der Registry vermerkte HardDiskVoume3 tatsächlich den Laufwerksbuchstaben C (dritter Block in der Zeile Datenträger 0) besitzt. Die Dateien der Registry, die dort als \Device\ HarddiskVolume3\Windows\System32\config\software vermerkt sind, liegen also tatsächlich in C:\Windows\System32\config\software. Zu jeder dieser Dateien führt Windows 7 zusätzlich noch eine Reihe von Logdateien. Diese sind aber nur für die interne Verarbeitung von Windows relevant. Unterhalb des Verzeichnisses config existiert seit Windows Vista noch ein Eingebautes Verzeichnis RegBack, in dem automatisch von einem Systemprozess ein Backup Backup der Registry kopiert wird. Diesen Prozess können Sie über die

543

12

Kapitel 12 Die Registrierungsdatenbank

Aufgabenplanung kontrollieren (siehe Kapitel 14): Systemsteuerung/System und Sicherheit/Verwaltung/Aufgabenplanung. Im linken Fenster der Aufgabenplanung navigieren Sie zu Aufgabenplanung (Lokal)/Aufgabenplanungsbibliothek/Microsoft/Registry (siehe Abbildung 12.6). Wenn Sie dann im rechten Fenster unten auf Eigenschaften klicken, können Sie beispielsweise auf der Registerkarte Trigger den Zeitplan abändern oder auf der Registerkarte Bedingungen angeben, dass die Aufgabe nur ausgeführt werden soll, wenn der Computer mit Netzteil betrieben wird. Abbildung 12.6 Registry-Backup als definierte Aufgabe

Bei den auf diese Weise erzeugten Sicherungskopien wird allerdings immer nur die letzte Version aufbewahrt, und zur Rücksicherung kann man nicht das aktuell laufende Betriebssystem verwenden. Die typische Vorgehensweise beim Rücksichern derartiger Sicherungsdateien ist deshalb das Booten mit der Windows 7-Installations-DVD und der Auswahl der Sicherungskonsole (siehe den Abschnitt 12.8.1 ab Seite 574). Von den fünf Hauptschlüsseln der Registry finden wir allerdings keinen, der alleinig aus einer Datei besteht. Aus der Übersicht (Listing 12.2) lässt sich erkennen, dass der Zweig HKLM aus insgesamt sieben Dateien zusammengesetzt ist, die jede einen einzelnen Unterschlüssel von HKLM abdeckt. Gleiches gilt für den Zweig HKU, hier sind im aktuellen Beispiel fünf Unterschlüssel geladen. Die Hauptschlüssel HKCR, HKCU und HKCC tauchen überhaupt nicht in der Liste auf. Im Abschnitt 12.2 ab Seite 550 werden die einzelnen Unterschlüssel genauer erläutert.

12.1.3

Datentypen in der Registry

Die Registry ist in der Lage, sehr unterschiedliche Typen von Daten aufzunehmen, eine vollständige Auflistung aller Typen findet sich bei Microsoft auf der Seite [REGDAT]. Hier werden nur die für die praktische Arbeit wichtigsten Typen vorgestellt. Zudem können auch nicht alle möglichen

544

Der Aufbau der Registry

Werte mit den Programmen regedit.exe (siehe den Abschnitt 12.3 ab Seite 558) oder reg.exe (siehe den Abschnitt 12.4 ab Seite 569) erzeugt werden. Datentyp Verwendung REG_ BINARY

Enthält unstrukturierte Binärdaten. Die Applikation, die diese Daten verwendet, bestimmt den genaueren Inhalt. Beim Editieren von Binärdaten sollte man besonders vorsichtig sein. Im Eingabedialog von regedit.exe für Binärdaten ist es nicht möglich, einzelne Bytes zu entfernen oder hinzuzufügen. Hierfür müssen Sie den Umweg über den Export und Import einer Registry-Datei gehen (siehe den Abschnitt 12.3.5 ab Seite 564).

REG_ DWORD

Eine Zahl zwischen 0 und 232–1 = 4.294.967.295 (32 Bit Wort, 4 Byte). Die Varianten _LITTLE_ENDIAN und _BIG_ENDIAN beschreiben, wie die einzelnen Byte mit welcher Wertigkeit in den Daten angeordnet sind. Bei Prozessoren vom Pentium-Typ wird hier immer die LITTLE-ENDIAN-Reihenfolge angewendet. Näher wird dieses Prinzip unter [ENDIAN] erklärt.

REG_SZ

Eine Zeichenkette, die (je nach verwendeter Zugriffsfunktion) ANSI- oder Unicode-codierte Zeichen enthält. Wichtig, wenn Sie mit einem Programm, das in C geschrieben ist, auf diese Werte zugreifen wollen. Das abschließende Nullbyte (0x0) wird nicht in der Registry abgespeichert.

REG_ EXPAND_ SZ

Im Prinzip wie REG_SZ, allerdings können in der Zeichenkette Verweise auf Umgebungsvariablen eingefügt sein, die automatisch beim Auslesen ersetzt werden. Damit kann man zum Beispiel Pfadgaben flexibel gestalten, also %USERPROFILE%\ Desktop verwenden, statt der festen Angabe C:\Users\ \Desktop. Wird dann das Benutzerprofil verschoben, zum Beispiel auf ein anderes Laufwerk, enthält die Zeichenkette automatisch den korrekten Wert.

REG_ MULTI_SZ

Eine Ansammlung von mehrzeiligen Zeichenketten. Die einzelnen Zeilen werden durch Nullbytes (0x0) voneinander abgetrennt, Ein doppeltes Nullbyte (0x0 0x0) kennzeichnet das Ende des Wertes.

REG_LINK

Dieser Wert bezeichnet einen Verweis innerhalb der Registry. Damit lassen sich spezielle Registry-Pfadangaben erzeugen. Microsoft empfiehlt, diesen Datentyp nur dann zu verwenden, falls dies für bestimmte Applikationen unbedingt notwendig sein sollte.

REG_ QWORD

Bezeichnet einen Zahlenwert, der 64 Bit enthält, also doppelt so viele Daten wie ein REG_DWORD. Dieser Datentyp wurde erstmal in Windows 2000 verwendet, damals noch als spezielle Form von REG_BINARY. Erst seit Windows Vista steht dieser Datentyp auch in regedit.exe zur Verfügung.

Tabelle 12.2 Datentypen der Werte in der Registry

Zwar können theoretisch auch sehr große Datenwerte in der Registry gespeichert werden (ein REG_BINARY-Wert von knapp 1 MB Größe ist problemlos möglich), aber Microsoft selbst empfiehlt, keine einzelnen Datenfelder in der Registry abzuspeichern, die größer als 2.048 Byte sind. Muss man

545

12

Kapitel 12 Die Registrierungsdatenbank

größere Werte speichern, sollte man diese in einer separaten Datei ablegen und in der Registry einen Verweis auf den Dateinamen abspeichern.

12.1.4 Schlüssel sind wie Dateien

Berechtigungen in der Registry

Genauso wie bei Dateien in einem NTFS-Dateisystem verwaltet Windows 7 auch bei Schlüsseln und Werten in der Registry Berechtigungen, wer die Daten lesen oder wer sie verändern darf. Wählen Sie im RegistrierungsEditor im linken Fenster einen Schlüssel oder im rechten Fenster einen Wert aus, und klicken Sie im Menü auf Bearbeiten/Berechtigungen. Bei einem Schlüssel können Sie auch mit der rechten Maustaste das Kontextmenü des Schlüssels aufrufen und dort den Befehl Berechtigungen auswählen. In beiden Fällen sind allerdings die Berechtigungen des Schlüssels als kleinste adressierbare Einheit anzugeben. Es ist nicht möglich, die Berechtigungen auf einzelne Werte unabhängig von ihrem sie enthaltenden Schlüssel zu vergeben.

Abbildung 12.7 Kontextmenü eines Schlüssels

Abbildung 12.8 Berechtigungen eines Schlüssels

Analog zum Dateisystem werden auch in der Registry die Berechtigungen vererbt, sodass es zum Beispiel ausreicht, die Berechtigungen auf einem Schlüssel abzuändern, um die Berechtigungen bei allen enthaltenen Werten

546

Der Aufbau der Registry

und Unterschlüsseln ebenfalls zu ändern. Wenn Sie im Dialogfeld oben im Feld Gruppen- oder Benutzernamen einen Namen auswählen, können Sie an dem Status der Kontrollkästchen unten ersehen, welche Berechtigungen der gewählte Benutzer oder die gewählte Gruppe haben. Per Klick auf Hinzufügen können Sie zusätzliche Namen in die Liste aufnehmen, um weiteren Benutzern Zugriffsrechte zuzuweisen oder zu versagen. Ebenso wie im Dateisystem gilt auch hier, dass das Versagen eines Zugriffsrechts immer Vorrang gegenüber dem Erlauben besitzt. Wird einem Benutzer also zum Beispiel das Recht zum Lesen versagt und bekommt er gleichzeitig vollen Zugriff als Mitglied einer Gruppe zugeteilt, so hat er trotzdem keinen Zugriff. Abbildung 12.9 Hinzufügen von Benutzern zu den Berechtigungen

Sie können den Namen eines Benutzers oder einer Gruppe entweder direkt in das Feld Objektnamen eintippen, oder Sie können über die Schaltfläche Erweitert eine Suchfunktion aufrufen. Die Funktion werden Sie insbesondere in einer Active Directory-Umgebung mit vielen Benutzern und Gruppen verwenden. In diesem eher schlichten Dialogfeld hat man nur die Möglichkeit, die Berechtigungen Vollzugriff und Lesen zu vergeben. Wenn diese Berechtigungen nicht fein genug unterteilt sind, lassen sich durch die Schaltfläche Erweitert in Abbildung 12.8 genauer gegliederte Berechtigungen vergeben. Abbildung 12.10 Detailansicht auf Berechtigungen

547

12

Kapitel 12 Die Registrierungsdatenbank

Für jeden Benutzer und jede Gruppe, denen Zugriffsrechte zugewiesen sind, erkennt man: 왘 ob eine Berechtigung zugelassen oder verweigert wird 왘 welche Berechtigung vergeben wurde 왘 ob die Berechtigung aus einer übergeordneten Ebene vererbt wurde 왘 ob die Berechtigung an Unterschlüssel bzw. Werte im Schlüssel weiter vererbt werden sollen Erben ohne Erbschaftssteuer

Mit dem Kontrollkästchen Vererbbare Berechtigungen einschließen kann man steuern, ob die Berechtigungen des übergeordneten Schlüssels auf den aktuellen Schlüssel übertragen werden sollen oder nicht. Deaktiviert man das Kontrollkästchen, hat man die Wahl, ob man die bisherigen Berechtigungen belassen will (Schaltfläche Hinzufügen) oder ob man mit einer komplett leeren Berechtigungsliste beginnen möchte (Schaltfläche Entfernen). Mit dem Kontrollkästchen Alle Berechtigungen ersetzen kann man diese Änderung quasi wieder auf oberer Ebene zurücksetzen. Hierdurch werden alle Berechtigungen der aktuellen Ebene auf die darunter liegenden Schlüssel vererbt und dort sämtliche separat vergebenen Berechtigungen entfernt. Insbesondere auf den oberen Ebenen der Registry sollte man diese beiden Funktionen mit Vorsicht verwenden.

Abbildung 12.11 Abschalten der Vererbung

Insbesondere wenn es darum geht, einer (schlecht programmierten) Applikation Zugriffrechte auf einen Teil der Registry zu geben, kann man hier die Berechtigungen passend einstellen. Beachten muss man dabei, dass man nicht die Sicherheit eines Systems unnötig weit lockert. Als Alternative kann man auch mit der Registry-Virtualisierung (siehe den Abschnitt 12.1.1 ab Seite 540) arbeiten. Informationen, wie sich erkennen lässt, auf welche Teile der Registry man welchen Zugriff gestatten muss, finden Sie in Abschnitt 12.9.3 ab Seite 582. Spezielle Berechtigungen

548

Über das Listenfeld Übernehmen für können Sie bestimmen, inwieweit die gewählte Einstellung auch für Unterschlüssel oder Werte im aktuellen Schlüssel übernommen werden soll. Die meisten dieser Berechtigungen sind vom Namen her selbsterklärend, einige spezielle sollen trotzdem erläutert werden.

Der Aufbau der Registry Abbildung 12.12 Detaillierte Zugriffsrechte vergeben

Berechtigung

Funktion

Benachrichtigen

Erlaubt, Mitteilungen über Zugriffe auf diesen Schlüssel zu erhalten.

Verknüpfung erstellen

Erlaubt, eine Verknüpfung auf diesen Schlüssel zu erstellen (siehe den Datentyp REG_LINK im Abschnitt 12.1.3 ab Seite 544)

DAC schreiben

Erlaubt, die Zugriffsberechtigungen (DAC, Discretionary Access Control) auf den Schlüssel zu verändern

Besitzer festlegen

Erlaubt, den Besitzer des Schlüssels (siehe Registerkarte Besitzer in Abbildung 12.10) zu ändern

Lesekontrolle

Erlaubt das Anzeigen der Zugriffsberechtigungen

Tabelle 12.3 Spezielle RegistryBerechtigungen

Die Kontrolle der aktuell gesetzten Berechtigungen erfolgt über die Registerkarte Effektive Berechtigungen. Zunächst klicken Sie die Schaltfläche Auswählen an und geben dort den Namen eines Benutzers oder einer Gruppe ein. Dann können Sie im Feld Effektive Berechtigungen für die einzelnen Berechtigungen sehen, ob diese erlaubt sind oder nicht.

549

12

Kapitel 12 Die Registrierungsdatenbank Abbildung 12.13 Berechtigungen, die für einen Benutzer vergeben sind

12.2 Die Schlüssel der Registry Eines der größten Probleme im Umgang mit der Registry ist ihre Komplexität und dabei insbesondere die Antwort auf die Frage: Welche Auswirkung hat die Änderung dieses Wertes auf mein System? Bei einer separaten Konfigurationsdatei kann man ja derartige Informationen in Form eines Kommentars innerhalb der Datei unterbringen, bei der Registry bleibt einem als eingeschränkte Kommentarfunktion nur der Name der Schlüssel und Werte. Im Folgenden werden wir deshalb nur einen groben Überblick über die Hauptzweige der Registry und über das, was man dort für Informationen vorfinden kann, geben. Für detaillierte Informationen, welche Schlüssel und Werte mit einem gegebenen Problem zusammenhängen, ist man auf Nachschlagewerke angewiesen. Für Applikationen und Betriebssystem von Microsoft sind hier insbesondere Microsoft TechNet (siehe [TECHNET]) und das Microsoft Developer Network (siehe [MSDN]) zu nennen. Auch wenn viele Inhalte dieser beiden Seiten inzwischen auch auf Deutsch vorliegen, empfiehlt es sich, immer nach englischen Suchbegriffen zu suchen. Gehen Sie zum Beispiel zur TechNet-Seite, und geben Sie oben in das Suchfeld TCP/IP registry settings ein. Eventuell müssen Sie den Suchvorgang wiederholen und zusätzlich das Kontrollkästchen Englische Ergebnisse einbeziehen aktivieren. Sofern Sie bei den Ergebnissen keine Resultate finden, die direkt zu Windows 7 passen, kann es sich lohnen, innerhalb der technisch ähnlichen Systeme Windows Vista oder Windows Server 2008 zu suchen.

12.2.1 Der aktuelle Benutzer

550

HKEY_CLASSES_ROOT (HKCR)

Der Schlüssel HKEY_CLASSES_ROOT dient als Sammelstelle für Informationen über Dateitypen, COM-Objekte und ActiveX-Controls. Insbe-

Die Schlüssel der Registry

sondere der Explorer verwendet die Informationen aus HKCR, um zu entscheiden, was er mit einer vom Benutzer angeklickten Datei machen soll. In der folgenden Abbildung wird dieser Vorgang erklärt. Datei.txt

HKCR\.txt

Standardname txtfile

HKCR\txtfile

HKCR\txtfile\shell

HKCR\txtfile\shell\ open\command

%SystemRoot%\ system32\ NOTEPAD.EXE

Abbildung 12.14 Verarbeitung von Dateien im Explorer

Beim Klick auf die Datei (im Beispiel Datei.txt) stellt der Explorer zunächst die Dateierweiterung fest. Diese sucht er (mit vorangestelltem Punkt) als Schlüssel direkt unterhalb von HKCR. Typischerweise findet er dort zunächst eine längere, ausgeschriebene Bezeichnung für den Dateitypen (hier .txtfile). Diesen wiederum sucht er als Schlüssel unterhalb von HKCR. Unterhalb dieses Schlüssels liegt der Schlüssel shell. Die Unterschlüssel von shell wiederum beschreiben alle Aktionen, die der Explorer mit dieser Datei durchführen kann. Diese Schlüssel werden angezeigt, wenn man die Datei im Explorer mit der rechten Maustaste anklickt. Abbildung 12.15 Aktionen im Explorer

In Abschnitt 12.1.1 ab Seite 540 konnten Sie sehen, dass für den Schlüssel HKCR kein Verweis auf eine Datei mit den Daten im Zweig existiert. Tatsächlich ist der Schlüssel HKCR nur virtuell vorhanden und wird programmatisch aus den Bereichen HKLM\SOFTWARE\Classes und HKCU\Software\ Classes zusammengesetzt. Diese Methode wird seit Windows 2000 einge-

551

12

Kapitel 12 Die Registrierungsdatenbank

setzt, bei NT4 gab es den Bereich HKCU\Software\Classes noch nicht. Wird ein Schlüssel oder Wert aus HKCR abgefragt, so wird zunächst überprüft, ob dieser unterhalb von HKCU\Software\Classes existiert. Falls ja, wird der dortige Wert zurückgegeben, andernfalls der Wert unter HKLM\SOFTWARE\ Classes. Existiert der Wert sowohl unter HKCU\... als auch unter HKLM\..., wird nur der Wert unter HKCU\... zurückgegeben. Ein zusammengesetzter Schlüssel

Beim schreibenden Zugriff wird es komplizierter. Zunächst gilt zu beachten, dass der schreibende Zugriff sowohl auf HKCR als auch auf HKLM nur Administratoren gestattet ist und dort auch nur, sofern die UAC aktiviert wurde. Somit kann ein administrativer Benutzer trotzdem nicht schreibend auf HKCR zugreifen, wenn das Programm, mit dem er arbeitet, keine UACAbfrage durchführt. Dies betrifft zum Beispiel auch das Programm reg.exe (siehe den Abschnitt 12.4 ab Seite 569). Sofern allerdings ein Schlüssel zuvor unter HKCU angelegt wurde, sind danach auch schreibende Zugriffe auf HKCR möglich, selbst für normale Benutzer ohne administrative Berechtigungen.

Welchen Zweck verfolgt diese Aufspaltung? Microsoft verfolgt mit diesem Ansatz den Zweck, sowohl kompatibel mit alten Programmen zu bleiben als auch neue Möglichkeiten zu erlauben. 왘 Unterschiedliche Benutzer können unterschiedliche Programme zur Bearbeitung bestimmter Dateitypen einstellen. Insbesondere bei der Bearbeitung von Quelltexten hat jeder Programmierer so seine persönlichen Vorlieben. 왘 Die Abfrage des Schlüssels HKCR bleibt auch für alte Programme erhalten. Diese müssen nicht auf die neue, getrennte Lage der Schlüssel angepasst werden.

12.2.2

HKEY_CURRENT_USER (HKCU)

In diesem Zweig der Registry finden sich alle benutzerbezogenen Einstellungen. Diese Daten werden im lokalen Profil des Benutzers in der Datei ntuser.dat direkt im Profilverzeichnis gespeichert, die mit den Attributen System und Hidden (Verborgen) gekennzeichnet wird. Der Subschlüssel HKCU\Software\Classes liegt in der Datei UsrClass.dat, die sich in dem Unterverzeichnis AppData\Local\Microsoft\Windows des Profils befindet (unter XP wurde dieser Pfad noch eingedeutscht). In Active DirectoryUmgebungen ist es auch möglich, dass diese Profildaten beim Anmelden des Benutzers von einem zentralen Server geladen werden und nicht allein auf der lokalen Arbeitsstation liegen (sog. Roaming Profile). Sofern zwei Anwendungen unter unterschiedlichen Benutzern auf einem System laufen, sehen diese auch jeweils unterschiedliche Inhalte unter dem Schlüssel HKCU. Die wichtigsten Unterschlüssel von HKCU sind in Tabelle 12.4 aufgeführt.

552

Die Schlüssel der Registry

Schlüssel

Verwendung

Console

Einstellungen für das Aussehen des Kommandozeilenfensters cmd.exe.

Control Panel

Einstellungen, die üblicherweise über die Systemsteuerung vorgenommen werden. Die einzelnen Unterschlüssel entsprechen jeweils den einzelnen Systemsteuerungskomponenten.

Tabelle 12.4 Unterschlüssel von HKCU

Environment Entsprechen den Umgebungsvariablen, die für den Benutzer definiert sind. Entspricht dem Dialogfeld Systemsteuerung/System und Sicherheit/System/Erweiterte Systemeinstellungen/Erweitert/Umgebungsvariablen. Software

Der Platz, an dem Anwendungen ihre Konfigurationsdaten abspeichern können. Der Bereich sollte so organisiert sein wie der korrespondierende Bereich unter HKLM\SOFTWARE.

Volatile Dieser Bereich enthält Umgebungsvariablen (siehe Schlüssel Environment Environment), die vom System dynamisch gesetzt werden, zum Beispiel %USERNAME%.

Auf diesen Schlüssel haben nur der jeweilige Benutzer und die Administratoren vollen Zugriff, andere Benutzer haben keinen Zugriff auf diesen Schlüssel.

12.2.3

HKEY_USERS (HKU)

Der Schlüssel HKEY_USERS ist die Ansammlung der Registry aller aktiven Benutzer auf einem Computer. Sobald ein Prozess unter einem bestimmten Benutzernamen gestartet wird, lädt Windows 7 die Registrierungsdatenbank des Benutzers als Unterschlüssel von HKU. Als Schlüsselname wird dabei nicht der Benutzername, sondern die SID des Benutzers verwendet. In der Literatur findet man manchmal die Aussage HKU enthalte die Profile aller vorhandenen Benutzer. Dies ist allerdings falsch. Vorhandene Benutzerkonten, mit denen kein Prozess im System läuft, finden sich nicht in HKU. Abbildung 12.16 Angemeldete Benutzer und ihre SID

553

12

Kapitel 12 Die Registrierungsdatenbank

In Abbildung 12.1 lässt sich erkennen, dass es auch auf einem Einzelplatzsystem mehr als einen angemeldeten Benutzer gibt und es für den einen Benutzer mit einer längeren SID zwei Unterschlüssel gibt. Die kurzen SID (S-1-5-18, S-1-5-19 und S-1-5-20) gehören zu den sogenannten well-known Security Identifiers (gut bekannte Sicherheitsidentitäten). Diese SID sind auf allen Windows-Systemen gleich, während die SID der normalen Benutzer (eigentlich) eindeutig sind und bei der Generierung des Benutzerkontos dynamisch erzeugt werden. Eine Auflistung über alle diese bekannten SID finden Sie unter [SID]. Die hier aufgeführten sind die SID für Local System (eigene Prozesse des Betriebssystems), Local Service (deutsch: Lokaler Dienst, spezielle Benutzerkennung für lokale Dienste) und Network Service (deutsch: Netzwerkdienst, spezielle Benutzerkennung für netzwerkbasierte Dienste). In der Abbildung 12.17 können Sie im Task-Manager die einzelnen Prozesse der jeweiligen Benutzer erkennen. Abbildung 12.17 Unterschiedliche Benutzer und ihre Prozesse

Wenn Sie jetzt das Listing 12.2 mit der Abbildung 12.16 vergleichen, werden Sie sehen, dass es zwar einen Eintrag für den Schlüssel HKU\.DEFAULT, aber nicht für HKU\S-1-5-18. Die Erklärung ist einfach, aber nicht besonders einleuchtend: Die beiden Schlüssel sind identisch, und HKU\S-1-5-18 ist nur ein Alias von HKU\.DEFAULT. Oft wird behauptet, im Schlüssel HKU\.DEFAULT lägen die Einstellungen, die neuen Benutzern initial zugewiesen würden. Dies ist falsch! In den beiden Einträgen, die mit der längeren SID gekennzeichnet sind, finden sich die beiden Bestandteile der Benutzerregistrierung, die in Abschnitt 12.2.2 ab Seite 552 vorgestellt wurden.

554

Die Schlüssel der Registry

Ein Template für neue Benutzer Es gibt eine Vorlage, die Windows 7 verwendet, wenn neue Benutzer angelegt werden, aber diese ist nicht HKU\.DEFAULT, sondern die Datei ntuser.dat (typischerweise) im Verzeichnis C:\Benutzer\Default. Diese Datei ist jedoch nicht permanent in der Registry geladen und muss zum Bearbeiten manuell als Struktur geladen werden (siehe den Abschnitt 12.3.6 ab Seite 568). Leider ist der Umgang mit diesem Template nicht ganz so einfach. Zunächst ist die direkte Manipulation dieser Datei keine von Microsoft offiziell unterstütze Vorgehensweise. Weiterhin werden auch nicht alle dort vorgenommenen Änderungen auch tatsächlich in das Profil eines neuen Benutzers übernommen. So kann man zwar Schlüssel und Werte zum Beispiel in den Schlüsseln Software oder Environment einbauen, die auch übernommen werden. Eintragungen im Bereich Control Panel\Desktop werden jedoch nicht übernommen.

12.2.4

HKEY_LOCAL_MACHINE (HKLM)

Dieser Schlüssel enthält alle Einstellungen, die für die betreffende Maschine zuständig sind und nicht vom aktuellen Benutzer abhängen. In diesem Schlüssel existieren verschiedene Unterschlüssel.

BCD00000000 Während Windows XP seinen Startprozess noch über die Datei C:\boot.ini Auswahl beim gesteuert hat, wurde dieser Prozess mit Windows Vista durch die Boot Con- Systemstart figuration Data abgelöst. In diesem Zweig der Registry sind die einzelnen Konfigurationsdaten dafür zu finden. Man sollte jedoch keine manuellen Änderungen dort vornehmen, sondern hierzu Programme wie etwa bcdedit.exe verwenden. Sofern auf einem System Windows Vista und Windows 7 parallel installiert sind, teilen sich beide Programme diesen Speicherbereich.

HARDWARE Der Schlüssel HKLM\HARDWARE wird vom System beim Start dynamisch mit Informationen über die aktuell vorhandene Hardware gefüllt, dieser Schlüssel wird nicht in einer Datei gespeichert. Unter dem Schlüssel HKLM\ HARDWARE\DESCRIPTION\System können beispielsweise die Informationen über die aktuell im System installieren Prozessoren eingesehen werden.

SAM und SECURITY In diesen beiden Schlüsseln speichert Windows 7 die sicherheitsrelevanten Informationen über Benutzer, Gruppen und weitere Informationen. Der Zugriff auf diese beiden Schlüssel ist deshalb auch besonders abgesichert. Normale Benutzer dürfen die beiden Schlüssel nicht ansehen, Administratoren dürfen sie sehen, bekommen jedoch keine Inhalte präsentiert. Nur der lokale Systembenutzer SYSTEM hat Zugriff auf die dort enthaltenen Daten. Mit der folgenden Anleitung können Sie trotzdem Zugriff erlangen, es wäre deshalb eine Untertreibung zu behaupten, der Zugriff auf beide Schlüssel wäre kompliziert.

555

12

Kapitel 12 Die Registrierungsdatenbank

1. Laden Sie aus der Sammlung von SysInternals das Tool PsExec.exe herunter, Sie finden es unter Utilities/Process Utilities. 2. Starten Sie über cmd.exe eine Eingabeaufforderung mit Administratorrechten. Tippen Sie hierzu cmd in das Suchfeld des Startmenüs ein, klicken Sie den anschließend gezeigten Link mit der rechten Maustaste an, und wählen Sie im Kontextmenü den Eintrag Als Administrator aus. 3. Im daraufhin geöffneten Befehlsfenster geben Sie die Anweisung PsExec –i –s regedit.exe ein. Nun startet der Registrierungs-Editor unter dem Account des lokalen SYSTEM-Benutzers, und Sie können die beiden Schlüssel erkunden. Abbildung 12.18 Sicherheitsinformationen in der Registry

Generell sind keine Informationen über den internen Aufbau dieser beiden Zweige der Registry verfügbar, weder über die enthaltenen Schlüssel und Werte noch über den Aufbau der dortigen REG_BINARY-Daten. Aus Abbildung 12.18 kann man jedoch ersehen, dass der dort abgebildete Eintrag wohl das Benutzerkonto Administrator beschreibt, man erkennt den Benutzernamen und im Anschluss die Benutzerbeschreibung.

SOFTWARE Der Zweig HKLM\SOFTWARE ist der wohl umfangreichste Zweig der Registry. Er enthält Informationen über die installierte Software auf einem System und deren Konfigurationsdaten. Selbst auf einem frisch installieren System ohne weitere installierte Anwendungen enthält dieser Zweig bereits über 20 MB an Daten. Generell sollten die Zweige innerhalb dieser Struktur dem folgenden Schema folgen: HKLM\SOFTWARE\ Firma\Produkt\Versionsnummer. Auf diese Weise wäre sichergestellt, dass sich einzelne Anwendungen nicht gegenseitig stören und auch unterschiedliche Versionen einer Anwendung getrennt voneinander konfiguriert wären. Leider halten sich nicht alle Anwendungsprogrammierer an dieses Schema.

556

Die Schlüssel der Registry

SYSTEM Die wichtigsten Schlüssel unterhalb von HKLM\SYSTEM nennen sich CurrentControlSet und ControlSet???, wobei die ??? eine dreistellige Nummer am Ende bilden. Jeder dieser Schlüssel beinhaltet jeweils ein komplettes Abbild der Konfigurationsinformationen über den Systemstatus (Status der Dienste und Gerätetreiber). Diese Informationen werden über den Schlüssel HKLM\SYSTEM\Select kontrolliert. Wert

Bedeutung

Current

Dieser Wert gibt an, welcher der Schlüssel ControlSet??? der aktuell aktiven Konfiguration entspricht. Der Schlüssel HKLM\SYSTEM\CurrentControlSet zeigt dann auf diesen Schlüssel.

Default

Dieser Wert entspricht typischerweise dem Wert Current.

Failed

Dieser Wert gibt an, bei welchem der Schlüssel ControlSet??? beim Systemstart eine Fehlfunktion aufgetreten ist.

LastKnownGood

Dieser Wert gibt an, bei welchem der Schlüssel ControlSet??? zuletzt ein erfolgreicher Systemstart durchgeführt werden konnte.

Tabelle 12.5 Werte in HKLM\ SYSTEM\Select

Wenn Sie bei einer Fehlfunktion (System startet nicht mehr) feststellen wollen, woran es gelegen haben könnte, bietet sich folgendes Verfahren an. Man kann zwar versuchen, einen derartigens Fehler mit der Systemstartreparatur zu umgehen, jedoch erfährt man hierbei nicht, woran der Fehler gelegen hat. 1. Starten Sie das System mit der Option Letzte als funktionierend bekannte Konfiguration (erweitert). Drücken Sie hierzu während des Bootvorgangs die Taste (F8). 2. Kontrollieren Sie den Schlüssel HKLM\SYSTEM\Select. Merken Sie sich die Werte Current und Failed. 3. Exportieren Sie die beiden Schlüssel HKLM\SYSTEM\ControlSet??? als .reg-Datei. Die ??? entsprechen dabei den beiden im vorigen Schritt gemerkten Nummern. 4. Ersetzen Sie in den beiden .reg-Dateien alle Vorkommen von ControlSet??? durch einen Fülltext, beispielsweise sowohl ControlSet001 als auch ControlSet002 durch ControlSetXXX. 5. Vergleichen Sie die beiden Dateien zeilenweise miteinander. Wenn das Programm, das Sie für das Vergleichen verwenden, keine Unterstützung für Unicode bietet, müssen Sie im vorigen Schritt darauf achten, die Datei als ANSI-codiert abzuspeichern (siehe den Abschnitt 12.3.5 ab Seite 564). Dieses Verfahren ist nur etwas für Leute, die sehr viel Zeit haben. Die Suche nach den Unterschieden ist sehr langwierig und wird Ihnen auch nichts bringen, wenn zum Beispiel die Konfiguration eines Dienstes gleich geblieben ist, aber die verwendete Treiberdatei geändert wurde.

557

12

Kapitel 12 Die Registrierungsdatenbank

Bei fast allen Änderungen im Schlüssel CurrentControlSet können Sie davon ausgehen, dass die Änderungen erst nach einem Neustart des Systems oder zumindest des betreffenden Dienstes aktiv werden.

CurrentControlSet\services In diesem Schlüssel finden Sie alle Gerätetreiber und Dienste, die Windows 7 kennt. Für jeden Treiber und jeden Dienst existiert ein eigener Schlüssel. Der Name des Schlüssels ist nicht identisch mit dem Namen, der in dem Dienste-Applet der Systemsteuerung angezeigt wird. Abbildung 12.19 Ein Dienst im Dienste-Applet und im RegistrierungsEditor

In Abbildung 12.19 kann man den Dienst DNS-Client sowohl im Dialogfeld des Dienste-Applets der Systemsteuerung als auch in der Registry sehen. Der Eintrag Dnscache als Dienstname im Dialogfeld bezeichnet den Schlüssel, unter dem der Dienst unter HKLM\SYSTEM\CurrentControlSet\services in der Registry zu finden ist. Während der Eintrag Pfad zur EXE-Datei im Dialogfeld statisch ist, könnte man diesen Eintrag als Wert ImagePath in der Registry ändern.

12.2.5 Alte Altlasten

HKEY_CURRENT_CONFIG

Dieser Schlüssel stammt ursprünglich aus Windows 95 und enthält Informationen über das aktuell verwendete Hardware-Profil des Systems. Mit Windows NT wurde dieser Schlüssel ersetzt durch einen Verweis auf HKLM\ SYSTEM\CurrentControlSet\Hardware Profiles\Current.