Desktop-Management mit Windows Intune

Beispiel: Windows-7-Rollout

Am Beispiel einer fiktiven Firma sei kurz erläutert, wie man Windows Intune konkret nutzen kann. Die Situation dürfte in vielen Unternehmen nachvollziehbar sein.

Unsere fiktive Firma hat einige hundert PC-Arbeitsplätze, vor allem in der Verwaltung, also zu 90 Prozent stationäre Endgeräte. Die Desktop-Hardware ist relativ alt und läuft seit vielen Jahren auf Basis von Windows XP. Ein Upgrade auf Windows 7 erfordert den Austausch eines großen Teils dieser Hardware. Die Desktop-Verwaltung ist nur rudimentär, sie basiert auf manuellen Installationen und Fehlersuche vor Ort. Zentrale Überwachung, Steuerung und Berichtswesen gibt es nicht.

Die Firma subskribiert nun Windows Intune für alle PCs. Bei denjenigen, die Windows-7-fähig sind, wird auf Basis der vorhandenen Windows-XP-Lizenz das Upgrade-Recht genutzt und dort Windows 7 Enterprise Edition installiert. Über Windows Intune wird Anti-Malware und Windows Firewall eingerichtet, und Microsoft-Updates werden verteilt.

Für die anderen PCs, die auf Windows XP bleiben müssen, wird eine Hosted-Desktop-Lösung implementiert. Dazu wird der kostenlose Microsoft-Hyper-V Server verwendet, auf dem virtuelle Maschinen mit Windows 7 Enterprise Edition erstellt werden. Dies geschieht auf der Basis von Differencing Disks und somit mit minimalem Festplattenplatz auf dem Server. Die Automatisierung erfolgt über PowerShell, hierfür gibt es im Windows Skripting Center reichlich Beispiele und Vorlagen. Windows-7-Lizenzen für die Hosted Desktops sind nicht notwendig, es muss lediglich der Zugriff lizenziert sein, was ja über Virtual Desktop Access als Teil von Windows Intune bereits enthalten ist.

Die Windows-XP-Desktops werden nun quasi zu Windows-XP-Terminals. Die lokale Windows-Firewall wird so konfiguriert, dass nur noch die für den Hosted-Desktop-Betrieb nötigen Protokolle durchgelassen werden (beispielsweise RDP), und die Benutzer bekommen nur minimale Rechte. Das Log-on wird so gestaltet, dass automatisch eine RDP-Verbindung zum Hosted Desktop hergestellt wird und der Benutzer den lokalen Desktop gar nicht mehr zu sehen bekommt.

Mithilfe von App-v werden die meisten Applikationen virtualisiert, sowohl auf den Hosted Desktops als auch auf den Windows-7-Endgeräten. Auf den Windows-XP-Endgeräten werden keinerlei Applikationen mehr bereitgestellt. Als Ergebnis haben nun alle Benutzer Windows 7, und jeder Desktop sieht gleich aus und funktioniert identisch, obwohl unterschiedliche Technologien für die Bereitstellung genutzt werden. (mje)