Die Werkzeuge stehen Assurance-Kunden kostenlos zur Verfügung und sind für entsprechende Abonnenten auch über TechNet und MSDN verfügbar. Mit dem neuen Microsoft Desktop Optimization Package (MDOP) 2013 aktualisiert Microsoft einige der enthaltenen Produkte, die bei der Verwaltung von Windows-Desktops helfen.
Aktualisierte Tools im MDOP 2013 sind:
• Advanced Group Policy Management (AGPM) 4.0 SP1. Das AGPM ist geeignet für Windows Vista SP1/7/8 und Windows Server 2008/2008 R2/2012.
• Microsoft Application Virtualization 5.0 SP1 (APP-V, ehemals Softgrid)
• Microsoft BitLocker Administration and Monitoring (MBAM) 2.0
• Diagnostic and Recovery Toolset (DaRT) 8.0 SP1
• Microsoft Enterprise Desktop Virtualization 2.0 (MED-V)
• Microsoft User Experience Virtualization (U-EV) 1.0 SP1
Neuerungen in MDOP 2013
Die wichtigste Neuerung in MDOP 2013 ist die vollständige Unterstützung für Windows 8 und Windows Server 2012. Die Vorgängerversion MDOP 2012 unterstützt noch nicht alle Funktionen der aktuellen Windows-Versionen. Die Produkte DaRT, App-V und U-EV sind zwar bereits kompatibel mit Windows 8, bekommen aber ein Service Pack 1 und eine bessere Kompatibilität.
Vor allem die neue Version 2.0 von Microsoft BitLocker Administration and Monitoring (MBAM) 2.0 ist beim Einsatz von Windows 8 und der Verschlüsselung im Unternehmen eine wertvolle Hilfe.
Ältere Tools wie Asset Inventory Service (AIS) und System Center Desktop Error Management (SCDEM) sind kein Bestandteil mehr von MDOP 2013. AIS bietet als Online-Service eine Softwareinventarisierung zur Lizenzüberwachung oder der Überprüfung von Unternehmensrichtlinien. AIS kann die gescannten Inventardaten aufbereiten und Entscheidern Informationen zur Verfügung stellen. SCDEM war eine abgespeckte Version von System Center Operations Manager (SCOM) und wird ebenfalls nicht mehr angeboten.
MED-V bietet eine zentrale Verwaltung für den Windows XP-Modus in Windows 7. Da auch dieser kein Bestandteil mehr in Windows 8 ist, wird MED-V nicht mehr weiterentwickelt und eingestellt.
Microsoft BitLocker Administration and Monitoring (MBAM) 2.0
MBAM 2.0 war in vorherigen Versionen des MDOP noch als Beta-Version dabei, ist inzwischen aber fertig gestellt. In der finalen Version unterstützt MBAM auch Windows To Go, BitLocker-Verschlüsselung von Windows PE, oder das Verschlüsseln des Betriebssystems mit einem Kennwort. Interessant für Anwender ist das Self-Service-Portal. Mit diesem können Anwender selbst Laufwerke wiederherstellen und andere Aufgaben für ihre Rechner ausführen um die Administratoren zu entlasten. Außerdem lässt sich die aktuelle Version problemlos in System Center Configuration Manager 2012 integrieren.
Mit MBAM verwalten Sie zentral die mit Bitlocker verschlüsselten Rechner im Netzwerk und erstellen Berichte der Nutzung. Wie diese Berichte funktionieren lesen Sie in einem Microsoft-Blog. Microsoft stellt auch einen Webcast zur Verfügung, der einen Überblick zu MBAM verschafft. Bestandteil des MBAM ist ein MBAM-Server den Sie über die MDOP-CD installieren. Die Clients verbinden sich mit dem Server zur zentralen Verwaltung von BitLocker und dem Erstellen von Berichten oder der Wiederherstellung von Daten. Dazu ist ein Agent auf den verwalteten Clients notwendig. Den Client können Sie entweder manuell installieren, über System Center Configuration Manager (SCCM) oder mit Gruppenrichtlinien.
Der Client ist der zentrale Bereich von MBAM. Er setzt auf den Clientcomputern die Einstellungen um, die Sie in den Gruppenrichtlinien für MBAM festgelegt haben. Sie können Einstellungen ändern oder die Verschlüsselung einschränken. Ebenfalls dabei ist eine Webkonsole mit der Anwender ihre eigenen Kennwörter ändern können oder einen Wiederherstellungsvorgang starten, wenn der eigene verschlüsselte Computer nicht mehr startet. MBAM unterstützt dazu ein rollenbasiertes Verwaltungsmodell.
Advanced Group Policy Management 4.0 SP1
Unternehmen die verstärkt auf Gruppenrichtlinien im Active Directory setzen und parallel die Änderungen in den Richtlinieneinstellungen protokollieren und versionieren wollen, finden mit dem Advanced Group Policy Management (AGPM) aus der Microsoft Desktop Optimization Pack (MDOP) ein effizientes Werkzeug. Mit der neuen Version 4.0 SP1 ist das AGPM jetzt auch kompatibel mit Windows 8 und Windows Server 2012.
Durch das AGPM erhalten Unternehmen für die Verwaltung der Gruppenrichtlinien eine rollenbasierte Delegierung, Change-Management, eine Versionierung, sowie eine Protokollierung. GPOs lassen sich offline bearbeiten, reparieren, wiederherstellen und als Vorlage speichern.Das AGPM ist eine Erweiterung der herkömmlichen Verwaltung von Gruppenrichtlinien und der standardmäßigen Gruppenrichtlinien-Verwaltungskonsole. Dazu integriert das AGPM ein vollwertiges Change-Management, inklusive Change-Requests und deren Genehmigung, sowie eine rollenbasierte Delegierung von Rechten in die Verwaltung der GPOs.
Dabei erweitert das Tool die herkömmliche Verwaltungskonsole für die Gruppenrichtlinien um einen weiteren Menüpunkt Änderungssteuerung. Über diesen Bereich finden Sie alle Einstellungen und Möglichkeiten des AGPM.
Gruppenrichtlinien müssen Sie vor der Bearbeitung auschecken und später wieder einchecken. Bei diesen Vorgängen können Sie auch Kommentare zu den einzelnen Aktionen hinterlegen die sich später auch anzeigen lassen. Diese Funktion verhindert dass mehrere Administratoren Änderungen gegenseitig überschreiben und ermöglicht auch eine umfassende Dokumentation welcher Mitarbeiter zu welchem Zeitpunkt Änderung an einer Gruppenrichtlinie durchgeführt hat.
Die Version 4.0 des AGPM-Clients sollten Sie nur unter Windows 7/8 installieren, da Sie bei der Installation auf Vorgängerversionen nicht die Richtlinieneinstellungen vornehmen können die für Windows Server 2012 und Windows 8 gelten. Vor der Installation des AGPM-Client müssen Sie unter Windows 8 noch die Remoteserver-Verwaltungstools installieren.
Nach der Installation des Clients müssen Sie diesen noch so konfigurieren, dass er eine Verbindung mit dem Server aufbauen kann. Rufen Sie dazu die Gruppenrichtlinienverwaltung auf und klicken auf die angebundene Gesamtstruktur. Im unteren Bereich sehen Sie den neuen Menüpunkt Änderungssteuerung. Klicken Sie auf diesen Punkt. Anschließend können Sie auf der Registerkarte AGPM-Server den Servernamen und den Port für die Anbindung festlegen. Den Port erfahren Sie bei der Installation des Servers.
Um eine neue Richtlinie in das AGPM einzubinden, klicken Sie in der Gruppenrichtlinienverwaltung mit der rechten Maustaste auf Änderungssteuerung und wählen Neues gesteuertes Gruppenrichtlinienobjekt aus. Im neuen Fenster geben Sie den Namen der GPO ein, die verwendete Vorlage und ob Sie die Richtlinie zunächst nur im Archiv oder gleich in der Produktionsumgebung erstellen wollen. Erstellen Sie eine neue Gruppenrichtlinie, finden Sie diese in der Gruppenrichtlinienverwaltung über den Menüpunkt Änderungsteuerung auf der Registerkarte Inhalt. Auf der Registerkarte Ungesteuert sehen Sie die nicht an AGPM angebundenen Richtlinien.
Die angebundenen (gesteuerten) Richtlinien und ausstehende Richtlinien sehen Sie auf der Registerkarte Gesteuert. Über das Kontextmenü der Richtlinie können Sie die verschiedenen Aufgaben der AGPM-Verwaltung durchführen. Sie können auf diese Weise eine Richtlinie zur Bearbeitung auschecken, oder eine Richtlinie als Vorlage speichern, die andere Administratoren bei der Erstellung von Gruppenrichtlinien verwenden können.
Diagnostic and Recovery Toolset (DaRT) 8.0 SP1
Mit diesem Tool aus dem MDOP erstellen Sie eine mächtige Rettungs-CD für Windows 8. Sie brauchen für DaRT das Windows ADK. Die Komponente Windows-Vorinstallationsumgebung (Windows PE) reicht aus.
Dazu verwenden Sie in DaRT das Tool DaRT Recovery Image. Wie bei den Vorgängerversionen benötigen Sie auch bei DaRT eine Windows-CD mit der Systemarchitektur (32-Bit oder 64-Bit) für die Sie eine Rettungs-CD erstellen wollen. Außerdem müssen Sie die CD auf einem Computer erstellen der dem System entspricht.
32-Bit-Rettungs-CDs können Sie also nur auf Computern mit 32-Bit Windows erstellen, 64-Bit-CDs nur auf Computern mit Windows Server 2012 oder Windows 8. Außerdem können Sie 32-Bit-Rettungs-CDs nur auf Computern mit 32-Bit Windows verwenden und 64-Bit-CDs nur auf Computern mit 64-Bit-System. Im Zweifelsfall benötigen Sie also zwei verschiedene DaRT-CDs.
Eine wichtige Funktion in DaRT ist die Möglichkeit Fernwartung in der Wiederherstellungsumgebung zu aktivieren. Mit dieser Funktion können Anwender ihren PC mit der CD starten und anschließend einem Support-Mitarbeiter Zugriff gewähren, um den Rechner wiederherzustellen. Bei der Erstellung der Rettungs-CD legen Sie bereits fest, ob mit dieser CD eine solche Fernwartung möglich ist.
Nach dem Booten eines Rechners mit DaRT steht als Menüpunkt die Option Remote Connection zur Verfügung. Starten Anwender die Verknüpfung, sehen Sie die IP-Adresse des Computers, den Port auf den DaRT eine Verbindung erwartet und eine Ticketnummer. Für den Verbindungsaufbau benötigen Administratoren den DaRT Remote Connection Viewer. Dieser gehört zum Installationsumfang des DaRT.
Beim Booten können Sie auswählen ob Sie den PC auffrischen oder den Originalzustand wiederherstellen wollen. Diese Punkte können Sie auch mit einer normalen Windows 8-DVD oder einer Windows 8-Rettungs-DVD durchführen. Der Vorteil des DaRT ist aber der Menüpunkt Microsoft Diagnostic and Recovery Toolset.
Die verschiedenen Tools des Diagnostics and Recovery Toolsets
Die Tools in der neuen Version sind vor allem für Windows 8 und Windows Server 2012 optimiert. Setzen Sie im Unternehmen noch Windows Vista und Windows Server 2008 ein, können Sie auch die Version 6.0 von DaRT einsetzen, oder im Fall von Windows 7 die Version 7.0. Auch diese Version ist Bestandteil des MDOP.
Über das DaRT stehen Ihnen vor allem folgende Werkzeuge zur Verfügung:
• Registry Editor - Dieses Tool ermöglicht die Bearbeitung des Windows-Systems auf dem Sie den Datenträger gebootet haben. Die Bedienung entspricht dem ganz normalen Registry-Editor in Windows.
• Locksmith - Mit dem Tool können Sie lokale Kennwörter auf dem Computer zurücksetzen. Dazu können Sie über ein Dropdownmenü bequem das Konto auswählen und ein neues Kennwort setzen.
• Crash Analyzer - Dieser Bereich startet den Assistenten für die Absturzanalyse von BlueScreens.
• File Restore - Mit diesem Tool startet ein sehr umfangreiches Suchfenster, mit dem Sie gelöschte Dateien wiederherstellen können.
• Disk Commander - Das Tool ermöglicht umfassende Reparaturen an den Datenträger und dem Master Boot record (MBR).
• Disk Wipe - Mit diesem Tool können Sie Daten von Festplatten löschen. Zusätzlich bietet das Tool die Option Daten mit mehreren Vorgängen endgültig zu löschen, sodass sich diese nicht mehr wiederherstellen lassen.
• Computer Management - Hierüber starten Sie die Computerverwaltung, die auch im normal gestarteten Windows zur Verfügung steht. Sie können Systeminformationen abrufen, die Ereignisanzeigen lesen, Dienste und Treiber konfigurieren und Festplatten mit der Datenträgerverwaltung konfigurieren. Die Ereignisanzeigen funktionieren auch auf Servern, die Mitglieder einer Domäne sind. Wir haben diese Funktion auch auf Servern mit Windows Server 2012 als Domänencontroller und auf Servern mit Exchange Server 2013 getestet. Alle Daten lassen sich problemlos auslesen. Sie können über die Computerverwaltung auch die Systemdienste des Computers steuern. Das heißt, wenn ein Systemdienst den Server zum Absturz bringt, können Sie diesen über die Computerverwaltung deaktivieren und dann den Server starten.
• Explorer - Mit dem Explorer können Sie Dateien kopieren, auch im Netzwerk. Der Umgang entspricht dem herkömmlichen Windows-Explorer.
• Solution Wizard - Hierüber starten Sie den Assistenten der Sie bei der Lösung des Problems unterstützt.
• TCP/IP Config - Passt die IP-Adresse und Netzwerkkonfiguration des Rechners an.
• Hotfix Uninstall - Macht ein System nach der Installation eines Patches Probleme, können Sie mit diesem Programm bequem Hotfixes vom Computer deinstallieren.
• SFC-Scan - Mit diesem Tool können Sie defekte Systemdateien reparieren lassen. Das Tool scannt die Systemdateien und kann diese automatisch reparieren.
• Search - Hierüber können Sie nach bestimmten Dateien auf dem Computer oder im Netzwerk suchen.
• Defender - Dieses Tool kann Viren und andere Schadsoftware vom Computer entfernen. Sie könnend die Defintionsdateien nach dem Start aktualisieren, sodass diese bei jedem Scanvorgang aktuell sind.
DaRT auf einen bootfähigen USB-Stick kopieren
Anstatt die ISO-Datei auf CD zu brennen, können Sie auch einen bootfähigen USB-Stick erstellen mit dem Sie Computer über die erstellte Rettungs-CD booten können. Sie benötigen für den Betrieb das Befehlszeilentool Diskpart:
1. Starten Sie eine Befehlszeile über das Kontextmenü im Administratormodus
2. Starten Sie die Festplattenverwaltung in der Befehlszeile mit Diskpart.
3. Geben Sie list disk ein.
4. Geben Sie den Befehl select disk <Nummer des USB-Sticks aus list disk> ein.
5. Geben Sie clean ein.
6. Geben Sie create partition primary ein.
7. Geben Sie active ein, um die Partition zu aktivieren, das wird für den Bootvorgang benötigt.
8. Formatieren Sie den Datenträger mit format fs=fat32 quick.
9. Geben Sie den Befehl assign ein.
10. Beenden Sie Diskpart mit exit.
11. Kopieren Sie den Inhalt der erstellten ISO-Datei in das Stammverzeichnis des USB-Sticks. Sie können auf diesem Weg auch beliebig weitere Tools auf den USB-Stick kopieren und diese verwenden, wenn Sie den Computer starten.
Alternativen zu DaRT sind freiverfügbare Rettungs-CDs. Diese haben allerdings den Nachteil meistens auf Linux zu basieren und weniger Hardware zu unterstützen. Haben Sie auf einem Rechner einen Virus, den Sie mit dem lokalen Scanprogramm nicht mehr entfernen können, helfen kostenlose Rettungs-CDs mit integriertem Virenscanner. Es gibt verschiedene Hersteller, die solche CDs anbieten. (mje)