Sandini Bib
Windows XP Professional
Sandini Bib
Netzwerke, Betriebssysteme, Sicherheit ... hierzu bietet Ihnen die Reihe net.com umfassende, praxisnahe Information. Neben Fragen der Systemverwaltung greift sie auch Themen wie Protokolle, Technologien und Tools auf. Profitieren Sie bei Ihrer täglichen Arbeit vom Praxiswissen unserer erfahrenen Autoren.
Windows Scripting Holger Schwichtenberg 1216 Seiten, € 69,95 [D] ISBN 3-8273-2196-4 Das erfolgreiche Standard-Nachschlagewerk zum Scripting unter Windows ist in der 4. Auflage nochmals erweitert worden: mehr Scripting Hosts, mehr Komponenten, mehr Werkzeuge, mehr Beispiele. Über 900 Code-Lösungen zur automatisierten Administration von Active Directory, Gruppenrichtlinien, Dateisystem, Registry, Diensten, Benutzern, Netzwerk, Hardware, Software, IIS, Exchange, SQL Server, MOM, u.a.. Für Windows 9x/ME/NT4/2000/XP/2003.
Small Business Server 2003 Stephanie Knecht-Thurmann 504 Seiten, € 49,95 [D] ISBN 3-8273-2213-8 Mit diesem Buch kann jeder Administrator sein individuelles Small Business Server System installieren, konfigurieren und betreiben. Eine klare Gliederung in die Themen Betriebssystem, Server und Troubleshooting ermöglichen eine schnelle Orientierung. Ein besonderer Schwerpunkt ist auf die Vermittlung von Hintergrundwissen gelegt, denn nur wer weiß, wie und warum etwas funktioniert, ist vor bösen Überraschungen gefeit.
Sandini Bib
Holger Schwichtenberg (Hrsg.) Stephanie Knecht-Thurmann Manuela Reiss
Windows XP Professional Das Profi-Handbuch für den Unternehmenseinsatz
ADDISON-WESLEY An imprint of Pearson Education München • Boston • San Francisco • Harlow, England Don Mills, Ontario • Sydney • Mexico City Madrid • Amsterdam
Sandini Bib
Bibliografische Information Der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über
abrufbar.
Die Informationen in diesem Produkt werden ohne Rücksicht auf einen eventuellen Patentschutz veröffentlicht. Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Bei der Zusammenstellung von Texten und Abbildungen wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Verlag, Herausgeber und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Für Verbesserungsvorschläge und Hinweise auf Fehler sind Verlag und Herausgeber dankbar. Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in elektronischen Medien. Die gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und Arbeiten ist nicht zulässig. Fast alle Hard- und Softwarebezeichnungen und weitere Stichworte und sonstige Angaben, die in diesem Buch verwendet werden, sind als eingetragene Marken geschützt. Da es nicht möglich ist, in allen Fällen zeitnah zu ermitteln, ob ein Markenschutz besteht, wird das ® Symbol in diesem Buch nicht verwendet. Umwelthinweis: Dieses Buch wurde auf chlorfrei gebleichtem Papier gedruckt. Die Einschrumpffolie – zum Schutz vor Verschmutzung – ist aus umweltverträglichem und recyclingfähigen PE-Material.
10 9 8 7 6 5 4 3 2 1 08 07 06 05 ISBN 3-8273-2257-X © 2005 by Addison-Wesley Verlag, ein Imprint der Pearson Education Deutschland GmbH Martin-Kollar-Straße 10–12, D-81829 München/Germany Alle Rechte vorbehalten Einbandgestaltung: Lektorat: Korrektorat: Herstellung: Satz und Layout: Druck und Verarbeitung: Printed in Germany
atelier für gestaltung, niesner&huber, Wuppertal Sylvia Hasselbach, [email protected] Astrid Schürmann, Jena Claudia Bäurle, [email protected] mediaService, Siegen (www.media-service.tv) Kösel, Krugzell (www.koeselbuch.de)
Sandini Bib
Inhaltsverzeichnis
1
2
Vorwort
21
1.1
22 22 23 24
Betriebssysteminstallation
25
2.1
25 25 28 32 35 36 38 38 39 48 51 56 56 57 63 70 80 86 87 90 92 92 95 98
2.2
2.3
2.4
2.5
3
Über die Autoren 1.1.1 Dr. Holger Schwichtenberg 1.1.2 Stephanie Knecht-Thurmann 1.1.3 Manuela Reiss
Installationsplanung und Vorbereitung 2.1.1 Sicherstellung der Systemanforderungen 2.1.2 Auswahl des Installationsverfahrens 2.1.3 Planung einer mehrsprachigen Umgebung 2.1.4 Sicherung bestehender Systeme 2.1.5 Checkliste zur Installationsvorbereitung Durchführung einer Einzelarbeitsplatz-Installation 2.2.1 Inhalt der Windows XP-Betriebssystem-CD-ROM 2.2.2 Installation starten 2.2.3 Textbasierter Installationsteil 2.2.4 Grafischer Installationsteil Automatisierte Installationsverfahren 2.3.1 Automatisierte Installationsverfahren im Vergleich 2.3.2 Einrichtung eines Distributionsservers 2.3.3 Unbeaufsichtigte Installation mit Antwortdatei 2.3.4 Klonen mit Disk-Images unter Verwendung von SYSPREP 2.3.5 Remote-Installationsdienste (RIS) Übertragen von Dateien und Einstellungen 2.4.1 Assistent zum Übertragen von Dateien und Einstellungen 2.4.2 User State Migration Tool (USMT) Installation von Service Packs und Updates 2.5.1 Installation von Service Pack 2 2.5.2 Windows-Update 2.5.3 Updates zentral verteilen
Hardware-Installation
101
3.1
101 102 105 107
Hardware-Verwaltung unter Windows XP 3.1.1 Plug&Play-Unterstützung 3.1.2 USB-Geräte verwalten 3.1.3 Das Treiberkonzept
5
Sandini Bib
Inhaltsverzeichnis
3.2
3.3
3.4
4
127 129
4.1
129 129 133 135 137 138 138 142 148 150 151 152 157 160 161 161 162 163
4.4
4.5
6
111 111 115 117 117 121 121 122 122 124 125 126
Softwareinstallationen
4.2 4.3
5
Installation neuer Geräte 3.2.1 Plug&Play-Geräte installieren 3.2.2 Nicht-Plug&Play-Geräte installieren Installierte Geräte verwalten 3.3.1 Der Gerätemanager – Leistungsmerkmale 3.3.2 Treiber aktualisieren 3.3.3 Geräte und Treiber deinstallieren Probleme mit Treibern beheben 3.4.1 Treiber reaktivieren 3.4.2 Nicht mehr benötigte Gerätetreiber entfernen 3.4.3 Die Registerkarte „Details“ wird nicht angezeigt 3.4.4 Digitale Signaturen bei Treibern prüfen 3.4.5 Überprüfung von Treibern mit dem Treiberüberprüfungs-Manager
Windows-Installer-Dienst 4.1.1 Grundsätzliches zur Windows-Installer-Technologie 4.1.2 Einsatz und Erstellung von Paketdateien 4.1.3 Das Verhalten des Windows Installer steuern Nicht auf Windows Installer basierende Anwendungen Lokale Installation von Anwendungen 4.3.1 Das Dienstprogramm „Software“ 4.3.2 Umgang mit nicht-kompatiblen Anwendungen 4.3.3 Behebung von Deinstallationsproblemen Softwareverteilung mit Gruppenrichtlinien 4.4.1 Erstellung eines Softwareverteilungspunktes 4.4.2 Bereitstellung eines Softwarepaketes 4.4.3 Bereitgestellte Software verwalten Softwareverteilung mit dem Systems Management Server 4.5.1 SMS im Überblick 4.5.2 Installation der SMS-Clientsoftware 4.5.3 Grundlagen der Softwareverteilung 4.5.4 Der SMS-Installer
Die Benutzeroberfläche
167
5.1
167 168 169 170 172 173 174 176 176
Windows Desktop 5.1.1 Klassischer Stil vs. XP-Stil 5.1.2 Anzeigeeinstellungen 5.1.3 Desktop-Designs 5.1.4 Verwenden des Active Desktop 5.1.5 Den Desktop anderen Benutzern veröffentlichen 5.1.6 Den Desktop aufräumen 5.1.7 Arbeiten mit virtuellen Desktops 5.1.8 Der Aktenkoffer
Sandini Bib
Inhaltsverzeichnis
5.2
5.3
5.4
5.5
5.6
5.7
6
5.1.9 Die Taskleiste 5.1.10 Schriftarten 5.1.11 Tastenkombinationen Windows Explorer 5.2.1 Anzeigeoptionen 5.2.2 Explorer-Leisten 5.2.3 Netzlaufwerke Werkzeuge 5.3.1 Microsoft Powertoys für Windows XP 5.3.2 TweakUI 5.3.3 Windows Support Tools 5.3.4 Windows Resource Kits Hilfe und Support 5.4.1 Das Hilfe- und Supportcenter 5.4.2 Aufruf von Hilfedateien 5.4.3 Die Direkthilfe 5.4.4 Weitere Hilfe- und Informationsressourcen 5.4.5 Der Windows-Support Multimedia 5.5.1 Sound und Audiogeräte 5.5.2 Media Player 5.5.3 Scanner und Kameras 5.5.4 Windows XP Media Center Edition 2005 Die Administrationswerkzeuge 5.6.1 Die Microsoft Management Console (MMC) 5.6.2 Die Systemsteuerung 5.6.3 Das DOS-Fenster bzw. die Eingabeaufforderung 5.6.4 Ausführen 5.6.5 Geplante Tasks Der Remotedesktop 5.7.1 Remote-Unterstützung 5.7.2 Vorbereiten der Remote-Verbindungen 5.7.3 Durchführen der Remote-Unterstützung 5.7.4 Anwenden des Remotedesktop 5.7.5 Probleme 5.7.6 Alternative Werkzeuge zum Remotedesktop
177 180 181 183 184 185 186 187 187 188 189 189 190 190 192 192 193 193 194 194 195 196 197 198 198 204 207 208 209 211 212 213 214 217 219 219
Benutzerverwaltung
221
6.1
222 222
Verwaltung lokaler Benutzerkonten 6.1.1 Das Werkzeug „Benutzerkonten“ für einfache Kontenverwaltung 6.1.2 Zusätzliche Funktionen beim Einsatz von Windows XP in Arbeitsgruppen 6.1.3 Erweiterte Benutzerverwaltung 6.1.4 SID-Verwaltung bei Benutzerkonten 6.1.5 Vordefinierte Benutzerkonten 6.1.6 Lokale Kennwortrichtlinien verwalten
228 230 234 237 239
7
Sandini Bib
Inhaltsverzeichnis
6.2
6.3
7
Verwaltung lokaler Gruppenkonten 6.2.1 Gruppentypen im Vergleich 6.2.2 Vordefinierte lokale Gruppen und ihre Berechtigungen 6.2.3 Integrierte Sicherheitsprinzipale 6.2.4 SID-Verwaltung bei Gruppenkonten 6.2.5 Lokale Gruppenkonten erstellen, löschen und ändern Benutzerprofile im Überblick 6.3.1 Lokale Benutzerprofile unter Windows XP 6.3.2 Administration von Benutzerprofilen
Datenträger und Dateisystem
271
7.1
271 272 273 275 277 277 278 279 280 280 283 284 287 287 292 294 296 296 298 300 301 302 302 303 306 307 308 309 310 312 314 316
Datenträger 7.1.1 Basisdatenträger vs. dynamische Datenträger 7.1.2 Verwaltung von Partitionen 7.1.3 Leistungsoptionen 7.2 Dateisystemtypen 7.2.1 Dateisystemtypen im Vergleich 7.2.2 Formatieren 7.2.3 Konvertieren 7.3 Dateisystemaufbau 7.3.1 Verknüpfungen (Links) 7.3.2 Dateisystemattribute 7.4 Dateisystemrechte 7.5 Dateifreigaben 7.5.1 Komplexe Dateifreigabe 7.5.2 Einfache Dateifreigabe 7.5.3 Zugriff auf Freigaben 7.6 Pflege des Dateisystems 7.6.1 Laufwerksprüfung 7.6.2 Laufwerksbereinigung 7.6.3 Defragmentierung 7.7 Dateien sicher löschen 7.8 Dateien komprimieren 7.9 Dateien verschlüsseln 7.9.1 Dateien verschlüsseln 7.9.2 EFS-Rechte hinzufügen 7.9.3 Einrichten eines Datenwiederherstellungsagenten 7.9.4 Entschlüsseln von Dateien 7.9.5 Optionen zur Steuerung des EFS 7.10 Zusammenbinden von Laufwerken (Mount Points) 7.11 Datenträgerkontingente 7.12 Indexdienst 7.13 CDs brennen
8
242 242 243 249 252 253 256 256 262
Sandini Bib
Inhaltsverzeichnis
8
7.14 Weitere Werkzeuge 7.14.1 Einbinden von Festplattenimage-Dateien 7.14.2 Robustes Kopieren 7.14.3 Suche nach Speicherfressern
319 319 320 320
Windows XP im Netzwerk
323
8.1
323 323 324 327 328 329 330 333 335 336 337 337 340 340 343 345 346 348 350 353
8.2
8.3
8.4 8.5
8.6
8.7
8.8
Die Netzwerkprotokolle unter Windows XP 8.1.1 Das TCP/IP-Protokoll 8.1.2 Die Berechnung von Subnetzen unter TCP/IP 8.1.3 Das IPX/SPX-Protokoll 8.1.4 Das NetBEUI-Protokoll Netzwerke konfigurieren 8.2.1 Adressvergabe 8.2.2 Die Konfiguration einer LAN-Verbindung 8.2.3 Die alternative IP-Konfiguration 8.2.4 Anzahl der gleichzeitigen TCP-Verbindungen Drahtlose Netzwerke konfigurieren 8.3.1 WLANs und deren Übertragungs-Standards 8.3.2 Sicherheitsstandards für WLANs 8.3.3 Die Betriebsarten eines WLAN 8.3.4 Authentifizierungsmechanismen im WLAN 8.3.5 Einsatz einer WLAN-Karte unter Windows XP 8.3.6 Den Client automatisch zum drahtlosen Netzwerk hinzufügen 8.3.7 Konfiguration der WLAN-Verbindung 8.3.8 Konfiguration eines drahtlosen Netzwerks 8.3.9 Der Status der drahtlosen Netzwerkverbindung 8.3.10 Deaktivieren der automatischen drahtlosen Netzwerkkonfiguration Die 802.1x-Authentifizierung 8.4.1 Einrichten der 802.1x-Authentifizierung Vorhandene Netzwerkkomponenten sowie Installation zusätzlicher Komponenten 8.5.1 Weitere Clients 8.5.2 Weitere Dienste 8.5.3 Weitere Protokolle Netzwerkbrücken 8.6.1 Einrichten der Netzwerkbrücke 8.6.2 Bearbeiten einer Netzwerkbrücke Weitere Optionen einer Netzwerkverbindung 8.7.1 Die Netzwerkauslastung 8.7.2 Die Netzwerkeinstellungen mit IPCONFIG überprüfen 8.7.3 Reparieren einer LAN-Verbindung 8.7.4 Deaktivieren einer LAN-Verbindung 8.7.5 Umbenennen einer LAN-Verbindung TCP/IP-Filterung
353 355 356 359 360 360 360 361 363 364 364 365 365 366 367 367 368
9
Sandini Bib
Inhaltsverzeichnis
8.9
8.10 8.11 8.12
8.13 8.14 8.15 8.16 8.17
9
Netzwerknachrichten 8.9.1 Versenden von Nachrichten per Konsolenmeldung 8.9.2 Versenden von Nachrichten über net send Wake-On-LAN Windows 9x-Clients in das Windows XP-Netzwerk einbinden 8.11.1 Die Netzwerkinstallationsdiskette Einrichten von DFÜ- und Breitbandverbindungen für den Internetzugang 8.12.1 Herstellen einer DFÜ-Verbindung 8.12.2 Einrichten der DSL-Geräte 8.12.3 Einrichten der ISDN-Geräte 8.12.4 Einrichten der analogen Geräte 8.12.5 Analoge und ISDN-Anschlüsse im Zusammenspiel mit Telefonanlagen 8.12.6 Das Herstellen einer Verbindung 8.12.7 Gemeinsame Nutzung der Internetverbindung 8.12.8 Die Internetverbindungs-Firewall Verbinden mit dem Firmennetzwerk von außerhalb Erweiterte Verbindungen Netzwerkinstallations-Assistent Netzwerkressourcen Werkzeuge zur Netzwerk-Verwaltung und -Diagnose 8.17.1 Mitgelieferte Kommandozeilenprogramme 8.17.2 Die Windows Support Tools und Resource Kit Tools 8.17.3 Drittanbieterwerkzeuge
373 373 374 375 376 379 381 385 387 387 390 395 401 402 402 405 410
Windows XP in Arbeitsgruppen und Domänen
413
9.1 9.2 9.3 9.4
414 416 418 420 420 422 426 427 429
Peer-to-Peer-Netzwerke Arbeitsgruppen Windows XP in der Domäne Mitgliedschaft in Domänen und Arbeitsgruppen 9.4.1 Nachträgliches Ändern der Mitgliedschaft 9.4.2 Den Computer zu einem Netzwerk hinzufügen 9.5 Anmelde- und Abmeldeskripte 9.5.1 Hinzufügen und Zuweisen eines Anmeldeskripts 9.6 Start- und Herunterfahrenskripte 9.7 Domänenanmeldung über das Kerberos V5-Authentifizierungsprotokoll 9.7.1 Kerberos-Verwendung von TCP statt UDP erzwingen 9.8 NTLM-Authentifizierung an der Windows NT-Domäne 9.8.1 Konfiguration der NTLM-Authentifizierungsebene 9.9 Anmeldung an der Domäne oder Arbeitsgruppe 9.10 Rollen eines XP-Client in einer Arbeitsgruppe und Domäne 9.11 Die Vorteile und Nachteile eines XP-Client als Domänenmitglied
10
369 370 370 370 371 372
431 432 434 434 436 438 439
Sandini Bib
Inhaltsverzeichnis
9.12 Windows XP und Terminaldienste 9.12.1 Der Terminalserver im Netzwerk 9.12.2 Typische Szenarien für den Einsatz eines Terminalservers 9.12.3 Planung und Bereitstellung des Terminalservers 9.12.4 Ansprüche an Terminalserver und Netzwerk 9.13 Das Web Client Network 10 Windows XP in heterogenen Netzen 10.1 Datenaustausch mit Mac OS X-Clients über File-Sharing 10.1.1 Mit Mac OS X auf Windows XP zugreifen 10.1.2 Von Windows XP auf Mac OS X zugreifen 10.1.3 Hinweise zur Verbindungsherstellung 10.2 File-Sharing zwischen Mac OS 8.x / 9.x und Windows 10.2.1 AFP mit den Services for Macintosh (SFM) 10.2.2 AFP ohne die Services for Macintosh 10.2.3 Web Sharing 10.2.4 Verbindungsherstellung zum Apple-Server über SMB 10.2.5 Verbindungsherstellung über SMB zu Nicht-Mac OS-Servern 10.2.6 Weitere Lösungen 10.3 Die Services for Macintosh (SFM) 10.3.1 Freigaben für Macintosh-Clients erstellen 10.3.2 Authentifizierung der Macintosh-Clients an der Domäne 10.3.3 Die standardmäßige Apple-Authentifizierung 10.3.4 Die Microsoft UAM-Authentifizierung 10.4 Unix/Linux-Clients und Windows XP-Clients 10.5 Druckdienste für Unix 10.6 Windows Services for Unix (SFU) 10.6.1 Konfiguration des NFS-Servers 10.6.2 Client for NFS 10.6.3 Telnet-Server 10.6.4 Server for PCNFS 10.6.5 User Name Mapping 10.6.6 Password Synchronization 10.6.7 Server for NIS 10.7 Das Freeware-Tool AD4Unix 10.8 Zugriff über Samba 10.8.1 Konfiguration des Samba Servers 10.8.2 Konfiguration der Windows XP-Clients 10.9 Heterogener Terminal-Zugriff 10.10 Windows-Programme unter Linux nutzen 10.10.1 Wine 10.10.2 CrossOver Office 10.10.3 Einsatz einer virtuellen Maschine 10.10.4 Die Terminal-Lösung 10.11 Dateizugriff von Windows auf eine Linux-Partition
440 441 442 443 443 445 447 447 448 449 450 451 451 451 452 452 452 452 453 454 456 457 458 459 459 460 463 468 469 470 471 473 474 475 477 478 480 481 481 482 487 490 491 491
11
Sandini Bib
Inhaltsverzeichnis
11 Drucken und Faxen 11.1
11.2 11.3
11.4
11.5
Grundlagen und Terminologie des Druckens 11.1.1 Wichtige Komponenten und Begriffe 11.1.2 Der Druckprozess im Überblick 11.1.3 Drucker unter Windows XP verwalten Einrichtung lokaler Drucker Drucken im Netzwerk 11.3.1 Windows XP als Druckserver einrichten 11.3.2 Windows XP als IPP-Druckserver 11.3.3 Netzwerkdrucker auf dem Client einrichten Drucker und Druckaufträge verwalten 11.4.1 Druckereigenschaften konfigurieren 11.4.2 Druckaufträge verwalten Die Faxfunktionen von Windows XP 11.5.1 Faxdienst installieren und konfigurieren 11.5.2 Faxe versenden 11.5.3 Die Faxkonsole
12 Kommunikation 12.1 Internet Explorer 12.1.1 Testen und Absichern der Internetverbindung 12.1.2 Sicherheitseinstellungen im Internet Explorer 12.1.3 Der integrierte Popupblocker 12.1.4 Die Startseite des Internet Explorer ändern 12.1.5 Die Funktion Autovervollständigen 12.1.6 Sperren bestimmter Inhalte und Internetseiten 12.2 Tipps und Tricks rund um den Internet Explorer 12.2.1 Gesperrte Kontextmenüs in Websites wieder aktivieren 12.2.2 Die begrenzte Anzahl gleichzeitiger Downloads heraufsetzen 12.2.3 Autovervollständigen der Internetadresse 12.2.4 Probleme beim Absturz des Internet Explorer 12.3 Weitere Programme für den Internet Explorer 12.3.1 Das Programm DFÜ-Speed 12.3.2 AI Roboform 12.3.3 Die MSN-Toolbar 12.3.4 Die Google-Toolbar 12.4 Internet Explorer Administration Kit (IEAK) 12.4.1 Der IEAK-Anpassungsassistent 12.4.2 Der IEAK-Profil-Manager 12.4.3 Welche Daten erstellt der Profil-Manager? 12.4.4 Erstellen separater INS-Dateien für Gruppen und Benutzer 12.4.5 Einstellen der automatischen Konfiguration 12.4.6 Anpassen der Richtlinienvorlagen 12.4.7 Verschieben des Speicherorts der INS-Datei
12
493 493 493 496 497 498 503 504 513 517 520 520 529 531 531 534 535 537 537 537 539 539 541 541 543 544 545 545 546 547 547 547 548 549 550 550 551 558 560 561 561 562 562
Sandini Bib
Inhaltsverzeichnis
12.5 Die Windows XP-eigenen FTP-Clients 12.5.1 Der grafische FTP-Client 12.5.2 Der konsolenbasierte FTP-Client 12.6 Outlook Express 6 12.6.1 Konfiguration der E-Mail-Konten 12.6.2 Einrichten mehrerer E-Mail-Konten 12.6.3 Verwenden eines Verzeichnisdienstes 12.6.4 Die Backup-Funktion 12.6.5 Sicherheitsfunktionen 12.6.6 Blockieren bestimmter Anhänge 12.6.7 Outlook Express als Newsreader 12.7 Windows Messenger und Microsoft Messenger (MSN) 12.7.1 Download und Einrichtung des MSN-Passport-Kontos 12.7.2 Hinzufügen von Kontakten 12.7.3 Eigener Status und der Status der Kontakte 12.7.4 Persönliche Einstellungen bearbeiten 12.7.5 Senden von Nachrichten und Dateien 12.7.6 Weitere Funktionen 12.7.7 Ausblick: Messenger Codename Istanbul und Microsoft Live Communications Server 2005 12.8 Hyper Terminal 12.8.1 Herstellen einer Verbindung 12.8.2 Arbeiten mit dem Hyper Terminal 12.9 Remotedesktop-Clients 13 System- und Gruppenrichtlinien 13.1 Was sind Gruppenrichtlinien? 13.2 Was sind Systemrichtlinien? 13.2.1 Windows XP-Clients und Systemrichtlinien 13.3 Der Aufbau einer Gruppenrichtlinie 13.3.1 Das Gruppenrichtlinienobjekt (GPO) 13.3.2 Der Gruppenrichtliniencontainer (GPC) 13.3.3 Die Gruppenrichtlinienvorlage (GPT) 13.4 Verknüpfung mit mehreren Gruppenrichtlinien 13.4.1 Die Reihenfolge der Abarbeitung 13.4.2 Die Verknüpfungsmöglichkeiten der GPOs 13.5 Die Inhalte eines GPO 13.5.1 Softwareeinstellungen 13.5.2 Windows-Einstellungen 13.6 .adm-Dateien und Gruppenrichtlinien 13.6.1 Gruppenrichtlinienvorlagen unter Windows XP 13.6.2 Kompatibilität der .adm-Dateien 13.6.3 Verwalten der XP-SP2-Features über Gruppenrichtlinien 13.6.4 Anlegen zusätzlicher .adm-Dateien
563 563 564 565 565 567 567 569 570 571 571 574 576 577 578 579 580 583 583 583 584 585 586 587 587 588 589 589 590 590 590 591 591 591 592 593 593 595 596 597 597 598
13
Sandini Bib
Inhaltsverzeichnis
13.7 Die Group Policy Management Console (GPMC) 13.7.1 Die Administration über die GPMC 13.7.2 Erstellen, Löschen und Verknüpfen von GPOs 13.7.3 Die Einstellungen des GPO anpassen 13.7.4 Backup der GPOs 13.7.5 Wiederherstellung von GPOs 13.7.6 Kopieren von GPOs 13.7.7 Import und Export von GPOs 13.8 Richtlinienverarbeitung beim Computerstart 13.8.1 Besonderheiten bei der Abarbeitung 13.8.2 Spezielle Optionen für die Verarbeitungsreihenfolge 13.8.3 Spezielle Verarbeitungsoptionen 13.8.4 Mehrere Anmeldungen bis zur Wirksamkeit des GPO 13.9 Aktualisieren von Gruppenrichtlinieneinstellungen 13.10 Richtlinien für Softwareeinschränkung 13.10.1 Die Hash-Regeln 13.10.2 Die Internetzonenregeln 13.10.3 Die Pfadregeln 13.10.4 Die Zertifikatsregeln 13.10.5 Die Priorität der Regeln 13.11 Lokale Gruppenrichtlinien 13.12 Der Richtlinienergebnissatz 13.12.1 Gruppenrichtlinienmodellierung und -ergebnisse über die GPMC 13.12.2 Gruppenrichtlinienergebnisse 13.12.3 Erstellen von HTML-Berichten 13.12.4 Gruppenrichtlinienergebnisse über die MMC Richtlinienergebnissatz 13.13 Die lokale Sicherheitsrichtlinie 13.13.1 Arbeiten mit der lokalen Sicherheitsrichtlinie 14 Die Registrierungsdatenbank 14.1 Der Aufbau der Registry 14.2 Die Schlüssel in der Registry 14.2.1 Der Schlüssel HKEY_CLASSES ROOT (HKCR) 14.2.2 Der Schlüssel HKEY_CURRENT_USER (HKCU) 14.2.3 Der Schlüssel HKEY_USERS 14.2.4 Der Schlüssel HKEY_LOCAL_MACHINE (HKLM) 14.2.5 Der Schlüssel HKEY_CURRENT_CONFIG (HKCC) 14.3 Zusammenspiel zwischen Registry und System 14.4 Die Werte in der Registry 14.5 Der Registry-Editor 14.6 Berechtigungen an der Registry 14.6.1 Sperren der Registry für bestimmte Benutzer
14
601 604 605 607 608 611 612 614 615 617 617 619 620 621 622 623 625 626 627 628 629 630 630 634 637 637 641 641 643 643 646 646 646 647 647 648 648 649 651 652 654
Sandini Bib
Inhaltsverzeichnis
14.7 Bearbeiten der Registry 14.7.1 Änderungen an Schlüsseln und Werten vornehmen 14.7.2 Neue Schlüssel und Werte einfügen 14.7.3 Umbenennen von Werten und Schlüsseln 14.7.4 Löschen von Schlüsseln und Werten 14.8 Durchsuchen der Registry 14.9 Die Druckfunktion des Registry-Editors 14.10 Die Favoritenfunktion des Registry-Editors 14.11 Import und Export von Registry-Schlüsseln 14.11.1 Die Exportfunktion 14.11.2 Die Importfunktion 14.11.3 Manuelles Anlegen von .reg-Dateien 14.12 Installation einer .reg-Datei per Doppelklick unterbinden 14.13 Arbeiten mit Strukturen 14.14 Registry-Bearbeitung im Netzwerk 14.15 Weitere Programme zum Bearbeiten der Registry 14.15.1 Problematik so genannter Registry-Cleaner 14.15.2 Erunt 14.15.3 NTREGOPT 14.15.4 Registry Backup 14.15.5 Registrar Lite 14.15.6 Regmon 14.15.7 Registry System Wizard 14.15.8 Regsnap 15 Sicherheit unter Windows XP 15.1 Sicherheitsrisiken im Überblick 15.1.1 Sicherheitsrisiken im Zusammenhang mit dem Internet 15.1.2 Import von gefährlichem Programmcode 15.1.3 Angriffe auf das Authentifizierungssystem 15.2 Neues Feature unter Windows XP 15.3 Die Windows-Firewall 15.3.1 Wie arbeitet eine Firewall? 15.3.2 Die integrierte Windows-Firewall 15.3.3 Einrichten der Windows-Firewall 15.3.4 Gruppenrichtlinieneinstellungen für die Windows-Firewall 15.3.5 Weitere Software-Firewalls 15.4 Automatische Updates 15.4.1 Konfiguration der Update-Optionen 15.4.2 Die Installation der Updates 15.4.3 Updates über Windows Update Services (WUS) 15.4.4 Die Microsoft Update-Website 15.4.5 Update-Installation beim Herunterfahren des Computers
654 655 657 658 658 659 660 661 661 662 662 663 665 665 667 668 669 669 670 670 670 671 671 671 673 673 674 675 676 677 678 679 679 681 686 687 687 688 689 689 690 692
15
Sandini Bib
Inhaltsverzeichnis
15.5 Der Microsoft Baseline Security Analyzer 15.5.1 Durchführen der Sicherheitsanalyse 15.5.2 Auswerten der Prüfergebnisse 15.5.3 Einschränkungen für die Remote-Überprüfung 15.6 Sicherheit im Internet Explorer 15.6.1 Einrichten von Internetzonen 15.6.2 ActiveX-Einstellungen 15.6.3 Skripte und Java 15.6.4 Weitere Sicherheitseinstellungen 15.6.5 Der Umgang mit Cookies 15.6.6 Weitere Sicherheitsmaßnahmen im Internet Explorer 15.6.7 Globale Sicherheitseinstellungen für den Internet Explorer 15.6.8 Testen der Internet Explorer-Einstellungen 15.6.9 Der Nachrichtendienst 15.7 Spyware 15.7.1 Microsoft Windows AntiSpyware 15.7.2 Installation und Einrichtung 15.7.3 Weitere Programmoptionen 15.7.4 Der System Explorer unter Windows AntiSpyware 15.7.5 Tracks Eraser unter Windows AntiSpyware 15.7.6 Weitere Antispy-Programme 15.8 Sicherheitsvorlagen 15.8.1 Übersicht über die Sicherheitsvorlagen 15.8.2 Arbeiten mit einer Sicherheitsvorlage 15.9 Die Sicherheitskonfiguration und Sicherheitsanalyse 15.9.1 Anlegen einer Sicherheitsdatenbank 15.9.2 Die Sicherheitsanalyse 15.10 Die Sicherheitsprotokollierung 15.11 Sicherheit in Benutzerkonten 15.11.1 Die Kennwortrichtlinien 15.11.2 Komplexitätsanforderungen an Kennwörter 15.11.3 Implementieren sicherer Kennwörter 15.11.4 Umbenennen des Administratorkontos 15.11.5 Spezielle Optionen für Administratoren 15.11.6 Die Option „Ausführen als“ 15.12 Virenschutz 15.13 E-Mail-Sicherheit 15.13.1 Nachrichtenverschlüsselung 15.13.2 Spam-Mail 15.13.3 E-Mail-Anhänge 15.14 Schutz vor Dialern 15.15 Rechteverwaltung 15.15.1 Planung von Rechten für Gruppen und Benutzer 15.15.2 Welche Art von Gruppe soll verwendet werden?
16
693 693 695 697 698 698 701 703 706 710 714 720 721 722 723 723 725 727 731 732 732 733 733 734 736 736 737 739 740 740 743 744 746 747 747 749 750 750 751 752 753 754 754 754
Sandini Bib
Inhaltsverzeichnis
15.16 Drahtlose Sicherheit 15.16.1 Drahtlose Tastaturen 15.16.2 Absicherung des W-LAN und Router 15.17 Zertifikate 15.17.1 Verwendungszweck 15.17.2 Der Zertifikatsspeicher 15.17.3 Die Zertifikats-MMC 15.18 Rechtliche Aspekte zur Angriffserkennung und Beweissicherung 15.18.1 Datenschutzrechtliche Grundlagen 15.18.2 Rechtsverwertbarkeit 15.18.3 Gegenmaßnahmen auf einen Angriff 15.18.4 Testen der Sicherheit durch eigene Angriffe 16 Systemüberwachung, -pflege und -optimierung 16.1 Die Systemleistung 16.2 Der Leistungsmonitor 16.2.1 Allgemeine Einstellungen des Leistungsmonitors 16.2.2 Speichern von Ausschnitten der Anzeige 16.3 Leistungsprotokolle 16.3.1 Erstellen eines Leistungsindikatorprotokolls 16.3.2 Aufrufen eines Leistungsprotokolls 16.4 Protokolle der Ablaufverfolgung 16.5 Warnungen 16.6 Starten und Beenden der Protokollierungen 16.7 Benchmark-Programme 16.8 Die Ereignisprotokollierung 16.8.1 Suchen nach bestimmten Ereignissen 16.8.2 Filtern der Ereignisse 16.8.3 Verwalten der Protokolle 16.9 Leistungsoptionen 16.10 Die Auslagerungsdatei 16.10.1 Optimieren des Arbeitsspeichers 16.10.2 Auslagerung des Kernel verhindern 16.10.3 Die Auslagerungsdatei beim Herunterfahren löschen 16.11 Windows-Dienste verwalten 16.11.1 Deaktivieren überflüssiger Dienste 16.12 Prozesse verwalten 16.12.1 Anzeigen weiterer Prozessinformationen 16.12.2 Die Leerlaufzeiten des Systems nutzen 16.12.3 Beenden von Prozessen und Anwendungen 16.13 Den Startvorgang optimieren 16.13.1 Die Prefetch-Funktion im Detail 16.13.2 Programme für Prefetch-Einstellungen 16.13.3 Defragmentierung der Startdateien
757 757 757 759 759 760 761 763 763 763 764 768 769 769 770 772 774 774 775 776 777 778 780 780 781 783 784 784 786 787 789 790 791 791 795 797 799 799 800 801 802 803 805
17
Sandini Bib
Inhaltsverzeichnis
16.14 Weitere Leistungsoptimierungen 16.14.1 Prüfen der Autostarteinträge 16.14.2 Den Taskplaner sinnvoll einsetzen 16.14.3 Die Laufwerksüberwachung 16.15 Tools zur Leistungsüberwachung und -konfiguration 16.15.1 Das Universalprogramm TweakUI 16.15.2 Lavalys Everest 17 Sicherung, Wiederherstellung und Reparatur 17.1 Windows Backup 17.1.1 Sicherungsmedien 17.1.2 Hinweise zu Dateisystemen 17.2 Der Sicherungs-Assistent 17.2.1 Die Typen einer Sicherung 17.2.2 Dateien von der Sicherung ausschließen 17.2.3 Planen der Sicherungsaufträge 17.3 Der Wiederherstellungs-Assistent 17.4 Der Assistent für die automatische Systemwiederherstellung 17.5 Das Befehlszeilenprogramm Ntbackup 17.5.1 Beispiele 17.5.2 Hinweise 17.6 Backup-Programme weiterer Hersteller 17.7 Backup-Strategie 17.7.1 Der richtige Umgang mit den Sicherungsmedien 17.8 Die Sicherung der Registrierungsdatenbank 17.9 Sicherung mit Hilfe von Image-Programmen 17.10 Systemwiederherstellung über Wiederherstellungspunkte 17.10.1 Aktivierung der Systemwiederherstellung 17.10.2 Die Arten von Wiederherstellungspunkten 17.10.3 Manuelles Anlegen eines Wiederherstellungspunktes 17.10.4 Wiederherstellen auf den Status eines Wiederherstellungspunktes 17.10.5 Löschen von Wiederherstellungspunkten 17.10.6 Die Systemwiederherstellung kann nicht gestartet werden 17.11 Die Wiederherstellungskonsole 17.11.1 Verwenden der Wiederherstellungskonsole 17.11.2 Befehle der Wiederherstellungskonsole 17.12 Reparaturzugriffe über Start- und Installationsdisketten 17.12.1 Einsatz einer Startdiskette 17.12.2 Erweitern der Startdisketten-Funktionalität 17.12.3 Einsatz einer Setup-Diskette 17.12.4 Stop-Fehler unter Windows XP 17.13 Reparatur des Master-Boot-Record (MBR) 17.14 Reparatur des Bootloader
18
806 806 807 807 808 808 809 811 811 811 812 814 817 821 821 827 832 832 834 835 836 837 838 838 841 842 842 845 845 846 848 849 850 850 852 854 854 854 856 857 857 858
Sandini Bib
Inhaltsverzeichnis
18 Befehlszeile und Scripting 18.1 Windows XP-Kommandozeilenfenster 18.1.1 Befehle 18.1.2 Konfiguration des Kommandozeilenfensters 18.1.3 Ausgaben und Ausgabeumleitung 18.1.4 Arbeit mit dem Dateisystem 18.1.5 Arbeit mit Prozessen 18.1.6 Die net-Befehlsfamilie 18.1.7 Weitere Kommandozeilenbefehle 18.1.8 Stapelverarbeitung 18.2 WMI-Kommandozeileninterpreter WMIC 18.2.1 WMIC-Befehle 18.2.2 PATH-Befehl 18.2.3 Ausgabeformen 18.2.4 Fernzugriff auf andere Systeme 18.2.5 Stapelverarbeitung 18.3 Windows Script Host (WSH) 18.3.1 Erste Beispiele 18.3.2 Skriptsprache Visual Basic Script (VBScript) 18.3.3 WSCRIPT vs. CSCRIPT 18.3.4 Sicherheit 18.3.5 Werkzeuge 18.3.6 Scripting des Dateisystems 18.3.7 Scripting der Registrierungsdatenbank 18.3.8 Scripting der Softwarekonfiguration 18.3.9 Scripting der Benutzerverwaltung 19 Anwendungsdienste 19.1 Internet Information Services (IIS) 19.1.1 IIS-Dienste 19.1.2 Installation der IIS 19.1.3 WWW-Dienst 19.1.4 Sicherung des IIS-Webservers 19.1.5 FTP-Dienst 19.1.6 SMTP-Dienst 19.2 Datenquellen 19.2.1 Datenzugriffsschnittstellen unter Windows 19.2.2 ODBC-Datenquellen 19.2.3 OLE DB-Datenverknüpfungsdateien 19.3 Komponentendienste 19.3.1 Leistungen der Komponentendienste 19.3.2 Installation von Softwarekomponenten 19.3.3 Konfiguration der Komponentendienste 19.4 .NET Framework-Anwendungen 19.4.1 Installation 19.4.2 Konfiguration
859 859 860 860 861 861 863 863 864 864 866 867 868 868 869 869 870 870 873 877 879 880 881 889 894 898 909 910 910 911 912 920 923 924 925 925 927 928 930 930 930 931 933 934 934
19
Sandini Bib
Inhaltsverzeichnis
20 Ausblick auf Windows 2006/2007 „Longhorn“ 20.1 20.2 20.3 20.4 20.5 20.6 20.7 20.8 A
B
Installation Benutzerschnittstellen-Framework „Avalon“ Benutzerschnittstelle „Aero“ Dateisystem Netzwerk Administrationswerkzeuge Sicherheit Programmierschnittstellen
940 940 942 943 944 945 946 946
Anhang
947
A.1 A.2 A.3 A.4 A.5
947 948 949 951 951
Inhalt der CD-ROM Leser-Service Abkürzungsverzeichnis Die Icons in diesem Buch Literatur und Links
Anhang
953
B.1 B.2 B.3 B.4 B.5 B.6 B.7 B.8 B.9 B.10 B.11
953 953 954 960 961 963 964 967 970 971 972
Installation Benutzeroberfläche Dateisystem Textdateien Netzwerk Kommunikation Sicherheit Systemeinstellungen Systemüberwachung und -pflege Virtualisierung Anwendungsentwicklung
Stichwortverzeichnis
20
939
975
Sandini Bib
1
Vorwort
Liebe Leserin, lieber Leser, noch ein Buch über Windows XP? Ja, aber in einigen Punkten unterscheidet sich dieses Buch von anderen Büchern zum gleichen Thema: 왘
Das Buch richtet sich in erster Linie an professionelle WindowsNutzer und Systemadministratoren, die Windows XP Professional im kommerziellen Umfeld (als Domänenmitglieder oder Stand-Alone-Rechner) einsetzen.
왘
Angesprochen sind fortgeschrittene Anwender, die keine Beschreibung der Symbole und keine schrittweise „Klickanleitung“ benötigen. Dieses Buch bietet Ihnen umfassende Erläuterungen von konzeptionellen Fragen zu Windows XP sowie deren Hintergründe. Wenn erforderlich bietet das Buch Anleitungen zur Bedienung und aussagekräftige Screenshots.
왘
Durch die Unabhängigkeit von Microsoft ist es dem Autorenteam möglich, sich auch kritisch zu einigen Funktionen von Windows XP zu äußern.
왘
Neben von Microsoft produzierten Erweiterungen weist dieses Buch auf (kostenlose) Zusatzwerkzeuge und Produkte anderer Hersteller hin, die den Lieferumfang von Windows XP sinnvoll ergänzen.
왘
Auf die Darstellung von Unterschieden zwischen Windows XP Professional und der Home-Variante wird zugunsten anderer Inhalte verzichtet.
Leser-Service Durch den Kauf des Buches haben Sie Zugang zur Leser-Website. Weitere Informationen über die dort angebotenen Dienstleistungen erhalten Sie im Anhang A.
21
Sandini Bib
1 Vorwort
Dank Meinen Dank für ihre Mithilfe an diesem Buch möchte ich aussprechen an 왘
die Autorinnen Stephanie Knecht-Thurmann und Manuela Reiss, die den großen Teil der Kapitel zu diesem umfangreichen Buch verfasst haben;
왘
die Lektorin Sylvia Hasselbach, die die Idee zu diesem Buch hatte und durch ihre Hartnäckigkeit dafür gesorgt hat, dass ich dieses Projekt durchgeführt habe;
왘
die Korrektorin Astrid Schürmann, die das Buch sprachlich verbessert hat.
Viel Erfolg mit diesem Buch wünscht Ihnen Dr. Holger Schwichtenberg Essen, im Juni 2005
22
1.1
Über die Autoren
1.1.1
Dr. Holger Schwichtenberg
왘
Studium Diplom-Wirtschaftsinformatik an der Universität Essen
왘
Promotion an der Universität Essen im Gebiet der komponentenbasierten Softwareentwicklung
왘
Selbstständig als freier Berater, Dozent, Softwarearchitekt und Fachjournalist seit 1996
왘
17 Fachbücher bei Addison-Wesley, Microsoft Press und dem WEKA-Verlag
왘
Mehr als 300 Beiträge in Fachzeitschriften, ständiger Mitarbeiter der Zeitschriften iX und dotnetpro
왘
Sprecher auf nationalen und internationalen Fachkonferenzen (z.B. TechEd, OOP, Microsoft IT Forum, Wirtschaftsinformatik, Net.Object Days, VS2005, Online, Windows Forum, DOTNETKonferenz, BASTA, XML-in-Action)
왘
Board-Member bei codezone.de
왘
Dozent für Wirtschaftsinformatik an der Fachhochschule für Oekonomie und Management (FOM) in Essen
왘
Zertifikate und Auszeichnungen von Microsoft: 왘
Microsoft Certified Solution Developer (MCSD)
왘
Most Valuable Professional (MVP)
왘
.NET Code Wise-Experte
Sandini Bib
Über die Autoren 왘
왘
왘
Thematische Schwerpunkte: 왘
objektorientierte Programmiersprachen (C#, Java, VB.NET u.a.)
왘
internetbasierte Informationssysteme/Webanwendungen
왘
.NET Framework
왘
Scripting
왘
COM/DCOM
왘
Microsoft Windows Client und Server, Microsoft Serverprodukte
Websites 왘
http://www.IT-Visions.de
왘
http://www.windows-scripting.de
왘
http://www.dotnetframework.de
Kontakt: 왘
왘
[email protected]
Weblog: 왘
http://blog.dotnet-guru.de
1.1.2
Stephanie Knecht-Thurmann
Stephanie Knecht-Thurmann wurde 1975 in Itzehoe geboren, machte 1994 dort das Abitur und studierte im Anschluss Altphilologie (Latein und Altgriechisch) sowie Germanistik an der Christian-Albrechts-Universität in Kiel. Ab 2001 arbeitete sie als Angestellte im Systemhaus OOTO in Hannover. Hier war sie für die technische Dokumentation komplexer IT-Systeme aus dem Bereich System-Management in heterogenen Architekturen verantwortlich. Sie erlangte verschiedene Zertifizierungen u.a. für Novadigm – RADIA. Dabei erarbeitete sie sich auch Erfahrung im Microsoft Windows Umfeld, insbesondere bezogen auf Windows 2000 Server, Small-Business Server und Nachfolger. Stephanie Knecht-Thurmann machte sich 2002 mit der Firma Knecht-Consult in Barsinghausen selbstständig. Seitdem berät sie Unternehmen über Einsatz von Microsoft-Produkten in unternehmenskritischen Bereichen. Ein weiterer Schwerpunkt ihrer Tätigkeit sind neben dem Projektgeschäft (u.a. die Beratung eines namhaften Zeitungsverlages in Vancouver/Kanada), unterschiedliche Migrationsprojekte und Anbindung verschiedener Directory Services an das Active Directory mittels MetadirectoryKonzeptionen) sowie Veröffentlichungen zu diesen Themenberei-
23
Sandini Bib
1 Vorwort
chen mit starkem Praxis-Bezug. Im Jahre 2003 erschien sehr erfolgreich ihr Buch „Active Directory“ bei Addison-Wesley, 2004 das Buch „Small Business Server 2003“ ebenfalls in diesem Verlag. Weitere Veröffentlichungen sind in Arbeit.
1.1.3
Manuela Reiss
Manuela Reiss ist seit mehr als zehn Jahren freiberuflich tätig als Beraterin, Trainerin und Fachbuchautorin im Microsoft WindowsUmfeld. Ihr theoretisches Fachwissen hat sie sich vor allem in zahlreichen Zertifizierungsprogrammen bei Microsoft und Novell erworben. So ist sie u.a. Microsoft Certified Systems Engineer (MCSE) und Microsoft Certified Trainer (MCT) für mehrere Windows-Versionen. Als Microsoft Certified Trainer führt sie seit vielen Jahren Seminare zu den Themen Implementierung und Administration von Windows NT-, Windows 200x- und Windows XP, sowie MCSEAusbildungslehrgänge durch. Darüber hinaus verfügt Sie über langjährige praktische Erfahrungen, die sie in zahlreichen Projekteinsätzen in den Bereichen Administration und Support, schwerpunktmäßig im Banken und Telekommunikationsumfeld, erworben hat. Hervorzuheben ist auch ihre Mitarbeit bei Migrations- und Rollout-Projekten u.a. auf Windows Server 2003 und Windows XP. In den vergangenen Jahren hat sich im Rahmen ihrer Beratertätigkeit verstärkt auf die Bereiche Konzeption und Dokumentation, sowie der Erstellung von Betriebshandbüchern spezialisiert und deckt damit das breite Spektrum von der theoretischen Konzeptionierung über eine prozessoriertierte Planung bis hin zur praktischen Umsetzung ab. Daneben hat sich als Fachbuchautorin einen Namen gemacht und ist seit vielen Jahren als Herausgeberin für den Interest Verlag tätig. Ihre fachlichen Schwerpunkte liegen hierbei vor allem in der Administration heterogener Windows-Netzwerke, sowie im Bereich Troubleshooting. von Windows Server- und Client-Systemen. Dieses Wissen und ihre praktischen Erfahrungen mit Windows XP beim Einsatz in Unternehmensnetzwerken bringt sie in dieses Windows XP-Buch mit ein.
24
Sandini Bib
2
Betriebssysteminstallation Manuela Reiss
Die Einrichtung von Windows XP als Einzelarbeitsplatz auf einem neuen Rechner stellt keine große Herausforderung dar. Die Installation einer größeren Anzahl von Arbeitsstationen mit Windows XP Professional und deren Einbindung in ein bestehendes Unternehmensnetzwerk erfordert hingegen, neben ausreichender Planung und guter Vorbereitung, auch spezielle Installationsverfahren. Das folgende Kapitel trägt diesen besonderen Anforderungen Rechnung und stellt vor allem auch Installationsverfahren vor, die automatisierte Installationen im Unternehmensumfeld ermöglichen.
2.1
Installationsplanung und Vorbereitung
Eine durchdachte Planung und Vorbereitung ist der Grundstein einer erfolgreichen Installation. Hierzu gehört eine Analyse der vorhandenen Infrastruktur, bei der vor allem die folgenden Fragen zu klären sind: 왘
Sind die vorhandenen Computer und deren Peripherie mit Windows XP Professional kompatibel?
왘
Welches Installationsverfahren ist am besten geeignet?
왘
Bestehen besondere Anforderungen beispielsweise hinsichtlich der einzusetzenden Sprachversion?
2.1.1
Sicherstellung der Systemanforderungen
Der folgende Abschnitt hilft bei der Beantwortung der Frage, inwieweit die vorhandenen Computer und deren Peripherie für den Einsatz mit Windows XP Professional geeignet sind.
25
Sandini Bib
2 Betriebssysteminstallation
Hardware-Anforderungen Problemlos: Neue Hardware
Neue Geräte erfüllen in der Regel problemlos die Anforderungen, die Windows XP Professional an die Hardware stellt. Aber welches Unternehmen kann es sich leisten, mit jedem Betriebssystemwechsel auch die Hardware komplett auszutauschen? In aller Regel müssen deshalb auch ältere Rechner verwendet werden. Bei diesen ist eine Überprüfung der folgenden Anforderungen sinnvoll: 왘
Computer/Prozessor Grundsätzlich unterstützt Windows XP Prozessoren ab Intel Pentium II mit mindestens 233 MHz bzw. kompatible Prozessoren, wie etwa der AMD K6/Athlon/Duron-Produktfamilie. Empfehlenswert ist jedoch eine Ausstattung mit mindestens 300 MHz oder höherer Prozessortaktfrequenz. Hierbei unterstützt Windows XP, wie bereits auch Windows NT 4.0 und Windows 2000, bis zu zwei Prozessoren. Unter der Voraussetzung, dass die Anwendung parallel in verschiedenen Threads ausgeführt werden kann, lassen sich damit bei prozessorintensiven Anwendungen deutliche Performance-Steigerungen erreichen.
왘
Arbeitsspeicher Offiziell kommt Windows XP mit 64 MB RAM aus, doch ist damit ein professionelles Arbeiten kaum möglich. 128 MB RAM sollten es deshalb mindestens sein. Maximal unterstützt Windows XP 4 GB Arbeitsspeicher und dabei gilt: je mehr desto besser. Bei älteren Rechnern ist allerdings zu beachten, dass die Mainboards die Grenze definieren, da sie deutlich weniger RAM unterstützen.
왘
Festplatte Microsoft definiert als Mindestgröße für die Festplatte 1,5 GB verfügbaren Festplattenspeicher, von denen für die Installationsdateien 650 MB benötigt werden. Diese Werte überfordern in der Regel selbst ältere Festplatten nicht, wobei ein Austausch älterer Festplatten auch aufgrund der geringeren Geschwindigkeit empfehlenswert ist.
왘
Neuer Standard PCI-e
26
Grafikkarte Eine PCI-Grafikkarte gehört zu den Mindestanforderungen, die Windows XP an das System stellt. Höhere Geschwindigkeiten lassen sich mit AGP (Accelerated Graphics Port) erreichen. Allerdings werden sowohl PCI als auch AGP voraussichtlich von dem neuen PCI Bus-Standard PCI-e(xpress) abgelöst (seriell statt parallel), der sich als neuer Grafikstandard durchzusetzen beginnt. Bei neuen Rechnern findet sich daher immer häufiger gar kein AGP-Steckplatz mehr, sondern stattdessen Steckplätze für PCI-e.
Sandini Bib
Installationsplanung und Vorbereitung
Da aber ohnehin im Unternehmenseinsatz speicherintensive Spiele in den meisten Umgebungen wohl nicht zum Einsatz kommen, kann häufig die vorhandene Grafik-Hardware weiterverwendet werden bzw. sind die zunehmend implementierten Onboard-Lösungen ausreichend. 왘
Weitere Hardware Daneben werden für die Installation von Windows XP eine Tastatur, eine Maus und ein CD-ROM-Laufwerk mit mindestens 12-facher Geschwindigkeit benötigt. Darüber hinaus sind für eine Netzwerkinstallation ein kompatibler Netzwerkadapter und der Zugriff auf eine Netzwerkfreigabe erforderlich.
Kompatibilitätsliste von Microsoft Benutzer früherer Versionen werden sich wahrscheinlich an die Adresse www.microsoft.com/hcl erinnern, unter der die HardwareKompatibilitätsliste zu finden war. Diese gibt es in der bekannten Form für Windows XP nicht mehr. WindowsStattdessen erfolgt bei Eingabe dieser Adresse eine Weiterleitung Katalog auf den Link [wk01], der wiederum einen Verweis auf den Windows-Katalog enthält. Im recht werbeorientierten Windows-Katalog sind Produkte aufgeführt, die mit Windows XP kompatibel oder darüber hinaus Teil des „Designed for Windows XP“-Logo-Programms sind, was bedeutet, dass deren Kompatibilität mit Windows XP von Hardware- und Softwareherstellern oder von Microsoft getestet wurde. Zu beachten ist, dass eine Vielzahl weiterer Produkte mit Windows XP kompatibel ist; sie wurden jedoch von den Herstellern nicht für die Aufnahme in den Windows-Katalog vorgeschlagen. Windows-Update-Ratgeber Windows XP bietet zusätzlich die Möglichkeit, die Systemkompatibilität automatisch mit Hilfe des Update-Ratgebers zu überprüfen. Hierzu ist die Installations-CD-ROM von Windows XP zu verwenden. Im Fenster WILLKOMMEN bietet der Installationsassistent die Option SYSTEMKOMPATIBILITÄT PRÜFEN an. Im nächsten Schritt kann dann eine der folgenden Optionen gewählt werden: 왘
KOMPATIBILITÄTSWEBSEITE ÖFFNEN Diese Option öffnet bei vorhandener Internetverbindung die Microsoft-Webseite mit dem Windows-Katalog.
27
Sandini Bib
2 Betriebssysteminstallation 왘
SYSTEM AUTOMATISCH ÜBERPRÜFEN Diese Option startet den Update-Ratgeber, der eventuelle Konflikte erkennt und gleichzeitig die Möglichkeit bietet, aktualisierte Installationsdateien von der Microsoft-Webseite zu laden. Nach der Prüfung werden alle gefundenen Probleme in einer Übersicht aufgeführt. Außerdem legt der Ratgeber einen Bericht in Form zweier Dateien im Windows-Systemverzeichnis ab (Upgrade. htm bzw. Upgrade.txt).
Abbildung 2.1: Ergebnis des Update-Ratgebers bei Prüfung eines Windows NT 4.0 WorkstationSystems
Der Windows-Update-Ratgeber kann auch über die Eingabeaufforderung gestartet werden, indem aus dem Verzeichnis \I386 der Windows XP-Betriebssystem-CD-ROM das Programm winnt32 mit dem Parameter /checkupgradeonly gestartet wird.
2.1.2 Neuinstallation oder Aktualisierung
Auswahl des Installationsverfahrens
Eine der wichtigsten Entscheidungen in Bezug auf die Installation ist die Wahl des Installationsverfahrens. Hierbei ist zu bestimmen, ob eine Neuinstallation erfolgen soll oder ob ein bestehendes Betriebssystem aktualisiert werden soll bzw. kann. Bei einer Aktualisierung (Update) ersetzt der Installationsassistent für Windows XP vorhandene Windows-Dateien, behält jedoch die vorhandenen Einstellungen und Anwendungen bei. Bei der Wahl des Installationsverfahrens sind verschiedene Aspekte zu berücksichtigen. So ist häufig beispielsweise für Rechner, die derzeit unter Windows 2000 Professional laufen, eine Aktualisierung der schnellste und sinnvollste Weg. Computer, auf
28
Sandini Bib
Installationsplanung und Vorbereitung
denen noch Windows 95 ausgeführt wird, müssen hingegen zwangsläufig neu installiert werden. Dies ist eine Folge davon, dass Windows XP Professional Aktuali- Verfügbare Aktualisierungssierungspfade nur für die folgenden Betriebssysteme anbietet: pfade 왘
Windows 2000 Professional
왘
Windows NT 4.0 Workstation
왘
Windows 98/98SE
왘
Windows ME
왘
Windows XP Home
Eine Aktualisierung von Windows 95, Windows NT 3.51 oder anderen als den oben genannten Betriebssystemen wird nicht unterstützt. Vorteile einer Neuinstallation Ist eine Update-Installation generell möglich, sollten die Vor- und Nachteile gegenüber einer Neuinstallation genau geprüft werden. Eine Aktualisierung bietet den Vorteil, dass Einstellungen und Pro- Identische gramminstallation weiterverwendet werden können. Demgegen- Systemkonfiguration als Basis über steht der Nachteil, dass in der Regel auch viele unnötige und nicht mehr benötigte Einstellungen und Programmleichen in das neue System übernommen werden. Insbesondere im Unternehmensumfeld ist deshalb eine Neuinstallation häufig vorzuziehen, da nur sie eine bekannte und sauber konfigurierte Systemumgebung unter Windows XP gewährleistet. Ein weiterer Vorteil einer Neuinstallation liegt darin, dass alle Systeme mit derselben Konfiguration starten. Dadurch lassen sich vielfach zahlreiche SupportProbleme vermeiden, die durch unterschiedliche Konfigurationen verursacht werden. Migration von Dateien und Einstellungen Dank zweier in Windows XP integrierter Tools kann die Durchführung einer Neuinstallation sehr vereinfacht werden. Hierbei handelt es sich zum einen um den Assistenten zum Übertragen von Dateien und Einstellungen und zum anderen um das User State Migration Tool (USMT). Während ersterer für den Einsatz in kleinen Netzwerkumgebungen konzipiert ist, ermöglicht das USMT das Speichern und Wiederherstellen der Benutzereinstellungen und benutzerspezifischer Dateien auch in großen Unternehmensnetzwerken.
29
Sandini Bib
2 Betriebssysteminstallation Integrierte Tools
Beide Tools bieten eine schnelle und einfache Möglichkeit, benutzerspezifische Dateien und Einstellungen zu kopieren und die normale Produktivität an dem neuen Computer oder mit der neuen Installation von Windows XP fortzuführen. Steht das „alte“ System nach Abschluss der Installation von Windows XP noch zur Verfügung, kann die Übernahme der Einstellungen im Anschluss an die Installation erfolgen. Bei einer Neuinstallation auf dem gleichen System müssen konsequenterweise die Einstellungen auf dem Quellcomputer zuvor gespeichert werden. Eine ausführliche Vorstellung beider Tools finden Sie in Kapitel 2.5, Übertragen von Dateien und Einstellungen. Aktualisierung von Windows 98 oder Windows ME
Update ist problematisch
Eine Aktualisierung von Windows 98 bzw. Windows ME wird zwar als Aktualisierungspfad unterstützt, ist aber vor allem wegen der folgenden Unterschiede problematisch: 왘
Die Registrierungsstrukturen unterscheiden sich und Windows XP verwendet andere Pfade für die Verwaltung der Registrierungsdatenbank.
왘
Anwendungen installieren unter Windows XP Professional andere Dateien als unter Windows 98 oder Windows ME.
왘
Anwendungen führen Aufrufe in Windows 95, Windows 98 oder Windows ME mit spezifischen APIs durch.
Aufgrund der genannten Punkte ist es unbedingt erforderlich, im Vorfeld die Kompatibilität der Unternehmensanwendungen mit Windows XP Professional zu testen. Weiterhin sollten die folgenden Punkte beachtet werden: Potenzielle Problembereiche bei Aktualisierung von Windows 9.x
30
왘
Systemwerkzeuge von Windows 98, wie beispielsweise ScanDisk.exe oder DriveSpace.exe, können nicht auf Windows XP Professional aktualisiert werden.
왘
Auch Clientsoftware zur Unterstützung anderer Netzwerke kann nicht direkt auf Windows XP aktualisiert werden. Für diese muss eine neuere Version erworben werden. Eine Ausnahme bildet der Client32 von Novell, der auf der Windows XP Professional-Betriebssystem-CD-ROM enthalten ist. Beim Update wird eine frühere Version automatisch erkannt und aktualisiert.
Sandini Bib
Installationsplanung und Vorbereitung
Aktualisierung von Windows 2000 oder Windows NT 4.0 Workstation Da diese beiden Betriebssysteme mit Windows XP eine gemeinsame Betriebssystemstruktur und gemeinsame Funktionen wie beispielsweise Dateisystem, Sicherheitskonzept und Registrierungsstruktur nutzen, ist eine Aktualisierung relativ problemlos durchführbar. Trotz der Kompatibilität der beiden Systeme müssen bei einem Update von Windows NT 4.0 die folgenden Punkte beachtet werden: 왘
Von Dateisystemfiltern abhängigen Anwendungen muss besondere Aufmerksamkeit gewidmet werden. Hierzu gehören Antivirenprogramme, Festplatten-Tools und Software für Datenträgerkontingente. Windows XP verwendet gegenüber Windows NT eine neue NTFS-Version (NTFS5), deren Änderungen dazu führen, dass beispielsweise die von den Virenschutzprogrammen verwendeten Filter nach einer Aktualisierung unter Windows XP nicht mehr funktionieren.
왘
Potenziell Probleme bereiten ISDN-Geräte, die unter Windows NT über RAS (Remote Access Service) eingebunden sind. Unter Windows XP werden diese Geräte anders verwaltet und funktionieren deshalb nach einem Update häufig nicht mehr.
왘
Probleme können auch mit Energieverwaltungslösungen und -Tools von Drittherstellern auftreten, da diese unter Windows XP durch die Unterstützung für Advanced Configuration and Power Interface (ACPI) und Advanced Power Management (APM) ersetzt werden. Vor dem Update sollten deshalb auch alle Energieverwaltungslösungen deinstalliert werden.
Potenzielle Problembereiche bei Aktualisierung von Windows NT
ACPI und APM ACPI ist ein offener Industriestandard, der eine flexible und erweiterbare Hardware-Schnittstelle für die Systemplatine definiert. Hierzu gehören beispielsweise intelligente Stromsparfunktionen. Bei ACPI wird das gesamte Powermanagement vom Betriebssystem übernommen, was allerdings voraussetzt, dass die für die einzelnen Geräte eingesetzten Treiber ebenfalls diesem Standard entsprechen. Der Vorteil von ACPI besteht insbesondere darin, dass das Powermanagement sehr genau auf die verschiedenen Geräte und die unterschiedlichen Anwendungen abgestimmt werden kann. Gleichzeitig ist ACPI eine funktionale Erweiterung zu APM.
31
Sandini Bib
2 Betriebssysteminstallation
APM hingegen ist eine Programmierschnittstelle für Anwendungsprogramme, über die Anwendungen dem System mitteilen können, welche Geräte sie brauchen und welche nicht. Der APMTreiber unterrichtet dabei die im BIOS vorhandenen Stromsparfunktionen fortlaufend über den aktuellen Status. Das System kann dann beispielsweise Laufwerke, Modems oder PCMCIAKarten herunterfahren, wenn sie nicht benötigt werden. Andererseits bleibt der PC aufnahmebereit, z.B. um ein Fax zu empfangen.
2.1.3
Planung einer mehrsprachigen Umgebung
Bei international tätigen Unternehmen ist in der Regel der Einsatz unterschiedlicher Sprachversionen erforderlich, was bei der Planung und Vorbereitung der Installation zwingend zu berücksichtigen ist. Hierbei müssen die sprach- und regionsspezifischen Besonderheiten genauso berücksichtigt werden wie die Hardware-seitigen Anforderungen und Einschränkungen. Zu beachten ist auch, ob frühere lokalisierte Windows-Versionen aktualisiert werden müssen. Die Sprachversionen im Überblick Microsoft bietet Windows XP Professional in drei verschiedenen Sprachversionen an: 왘
Internationale Version Bei dieser Version ist die Benutzeroberfläche in englischer Sprache abgefasst. Die Oberflächensprache definiert die Sprache, die für die Menübefehle, Optionen, Dialogfelder und das Hilfesystem verwendet wird.
Oberfläche: Englisch
Zusätzlich beinhaltet die internationale Version die Sprachund Regionsunterstützung für 135 Gebietsschemata, die es Benutzern erlauben, Dokumente in verschiedenen Sprachen zu schreiben und zu lesen. Die internationale Version von Windows XP Professional ist für Unternehmen konzipiert, die ihre Geschäfte vorwiegend in Englisch abwickeln, aber auch andere Sprachoptionen benötigen. 왘
Oberfläche: Lokale Sprache
32
Lokalisierte Versionen Bei den lokalisierten Versionen ist die Benutzeroberfläche des Betriebssystems ausschließlich in der Landessprache und nicht in Englisch. Bei der Unterstützung der Sprach- und Regionsoptionen unterscheiden sich die lokalisierten Versionen hingegen nicht von der internationalen Version. Auch hier können die Benutzer Dokumente in anderen Sprachen lesen und
Sandini Bib
Installationsplanung und Vorbereitung
schreiben. Zusätzlich bieten die lokalisierten Versionen eine größere Kompatibilität als die internationale Version, da sie zusätzliche lokale Treiber enthalten. 왘
Windows XP Professional MUI Pack Benutzer, die das Windows XP Professional MUI Pack einsetzen, Oberfläche: können jede unterstützte Sprache (einschließlich Englisch) als Sprache wählbar Oberflächensprache verwenden bzw. die Oberflächensprache jederzeit ändern..Das MUI Pack basiert auf der internationalen Version von Windows XP Professional, weshalb im Unterschied zu den lokalisierten Versionen darin einige Komponenten des Betriebssystems nicht lokalisiert sind. Hierzu gehören die folgenden Komponenten: 왘
16-Bit-Code
왘
Bitmaps
왘
Einige Registrierungsschlüssel und -werte
왘
INF-Dateien
왘
Einige Systemkomponenten (u.a. MSN Explorer, NetMeeting, Assistent für den Internetzugang)
Die folgende Tabelle zeigt zusammenfassend die verschiedenen Sprachversionen im Vergleich. InternatioLokalisierte nale Version Versionen
MUI Pack
Schreiben und Lesen von Dokumenten in verschiedenen Sprachen
X
X
X
Sprach- und Regionseinstellungen sowie Gebietsschemata (mehr als 135)
X
X
X
Einheitliche Codebasis für internationale Anwendungsentwicklung
X
X
X
X
X
Benutzeroberfläche in Landessprache (lokalisierte Benutzeroberfläche) Installer-Pakete zur individuellen Auswahl der Sprache der Benutzeroberfläche
Tabelle 2.1: Windows XP ProfessionalSprachversionen im Vergleich
X
33
Sandini Bib
2 Betriebssysteminstallation
InternatioLokalisierte nale Version Versionen
MUI Pack
Unterstützung lokalisierter Anwendungen
X
X (eingeschränkter als bei der lokalisierten Version)
Unterstützung lokalisierter Treiber
X
X (eingeschränkter als bei der lokalisierten Version)
Anmeldung in allen unterstützten Sprachen an allen Standorten
X
Gleichzeitige weltweite Bereitstellung von Updates und Service Packs möglich
X
Spezielle Anforderungen für Mehrsprachenunterstützung Ist die Unterstützung mehrerer Sprachen erforderlich, müssen auch bei der Hardware-Auswahl einige Punkte beachtet werden: 왘
Zusätzlicher Festplattenspeicher
Erforderlicher Festplattenspeicher Einige Sprachen stellen größere Anforderungen an den Festplattenspeicher als andere. Sprachen mit komplexen Schriftzeichen und Zeichen mit Rechts-nach-links-Schreibrichtung erfordern beispielsweise 10 MB Speicher und ostasiatische Sprachen ca. 230 MB Festplattenspeicher. Auch ist zu berücksichtigen, dass bei Einsatz des Windows XP Professional MUI Pack zusätzlicher Festplattenspeicher für jede installierte oder unterstützte Benutzeroberflächensprache erforderlich ist. Wie auch die Tabelle 2.1 zeigt, enthält das Windows XP Professional MUI Pack Windows-InstallerPakete, die es Benutzern erlauben, Benutzeroberflächensprachen bei Bedarf zu installieren. Vorteilhaft ist dabei, dass das MUI Pack eine Bereitstellung der Sprachdateien ermöglicht, bei der Benutzer selbst die benötigten Sprachen installieren können, und zwar dann, wenn sie benötigt werden.
34
Sandini Bib
Installationsplanung und Vorbereitung 왘
Spezielle Eingabegeräte Mit der Installation der Sprachdateien können Texte, die in den betreffenden Sprachen verfasst sind, in Dokumenten bzw. Webseiten angezeigt werden. Sollen Texte aber in einer bestimmten Sprache eingegeben werden, sind ggf. spezielle Tastaturen, Eingabeeditoren oder alternative Eingabegeräte erforderlich.
Anwendungsunterstützung in mehrsprachigen Umgebungen Alle Sprachversionen von Windows XP beruhen auf demselben Quellcode. Dies gewährleistet, dass jede Anwendung, die unter einer bestimmten Sprachversion entwickelt wurde, unter jeder anderen Sprachversion von Windows XP korrekt ausgeführt wird, sofern die entsprechende Sprachunterstützung installiert ist. Branchenspezifische Anwendungen oder ältere Programme unterstützen aber eventuell nicht den Unicode und werden daher nicht korrekt ausgeführt, wenn die Sprache der Anwendung nicht mit der Sprache des Betriebssystems übereinstimmt. In einem globalen Unternehmensumfeld sollte im Rahmen der Installationsvorbereitung getestet und sichergestellt werden, dass die Nicht-Standardanwendungen unter jeder Sprachversion von Windows XP korrekt ausgeführt werden. Bei Problemen ist ggf. eine Portierung der Anwendungen erforderlich.
2.1.4
Sicherung bestehender Systeme
Vor jeder Aktualisierung ist ein Backup aller lokal gespeicherten Daten sowie die Vorbereitung einer möglichen Systemwiederherstellung der vorhandenen Systemumgebung im Problemfall erforderlich. Während die Sicherung der Daten mit den systemintegrierten FestplattenWerkzeugen bzw. durch einfaches Kopieren auf ein Netzlaufwerk Image erstellen erfolgen kann, lässt sich die zweite Anforderung am einfachsten durch die Erstellung eines Festplatten-Image lösen, bei dem ein bitweises Abbild (Image) der Festplatte bzw. einer ausgewählten Partition erstellt wird. Hierzu ist ein Festplattenabbildungsprogramm eines Drittanbieters erforderlich. Symantec stellt mit Norton Ghost ein geeignetes Werkzeug zur Verfügung, das es ermöglicht, exakte Kopien von Festplatten und Partitionen zu erstellen, die auf Laufwerken im
35
Sandini Bib
2 Betriebssysteminstallation
Netzwerk oder auf CD-ROM bzw. DVD gespeichert werden können und es im Notfall erlauben, ein System mit allen Anwendungen und Einstellungen wiederherzustellen. Norton Ghost
Aktuell vertreibt Symantec Norton Ghost in der Version 9.0. Diese läuft unter Windows XP (Home und Professional) und unter Windows 2000 Professional. Für Nutzer von Windows 9.x, Windows ME und Windows NT 4.0 Workstation legt Symantec kostenlos Norton Ghost 2003 mit in die Box. Norton Ghost 9.0 Hersteller:
Symantec
Preis:
69,95 EUR (Update 39,95 EUR)
URL:
http://www.symantec.com/region/de/product/ghost/ pe_index.html
Soll Norton Ghost nach dem Abschluss der Installation auch unter Windows XP eingesetzt werden, ist darauf zu achten, dass Norton Ghost 9.0 bei Einsatz von Service Pack 2 nicht mit aktivierter Firewall funktioniert, also zu Systemabstürzen führt. Auch der auf der Webseite von Symantec beschriebene Lösungsansatz mit Änderung der Datenausführungsverhinderungsrichtlinie durch einen Eintrag in der Datei Boot.ini (Symantec Dokument ID:20041027165030976) funktioniert nicht zuverlässig.
2.1.5
Checkliste zur Installationsvorbereitung
Nachstehend finden Sie zusammengefasst noch einmal die wichtigsten Punkte, die überprüft bzw. angepasst oder durchgeführt werden sollten, bevor Sie mit der Installation von Windows XP Professional beginnen: 1. Prüfen Sie, ob der Rechner die Hardware-Mindestvoraussetzungen für die Systeminstallation erfüllt (siehe hierzu die Ausführungen im Abschnitt 2.2.1. WindowsUpdate-Ratgeber
36
2. Überprüfen Sie, ob für alle Hardware-Komponenten aktuelle Treiber für Windows XP zur Verfügung stehen. Verwenden Sie hierzu den Windows-Update-Ratgeber. Geräte, die in der Hardware-Kompatibilitätsliste stehen, werden von Windows XP direkt unterstützt. Für alle anderen Geräte müssen ggf. geeignete Treiber vom Hersteller bezogen werden. Hinweise zur Prüfung der Systemkompatibilität finden Sie im Abschnitt 2.2.1.
Sandini Bib
Installationsplanung und Vorbereitung
3. Testen Sie die Kompatibilität der eingesetzten Unternehmenssoftware mit Windows XP. Insbesondere bei einem geplanten Update ist es erforderlich, den Einsatz der Anwendungen unter Windows XP im Vorfeld zu testen. Ergänzende Hinweise hierzu finden Sie in Kapitel 4.. 4. Prüfen Sie die BIOS-Kompatibilität. Eine wichtige Voraussetzung für die Installation ist ein mit Windows XP kompatibles BIOS. So kann eine BIOS-Aktualisierung beispielsweise erforderlich sein, wenn der Computer über keine ACPI-Funktionen verfügt. Es ist daher sinnvoll, sich vor der Installation ein aktuelles BIOS vom Hersteller zu besorgen. Microsoft selbst bietet keine technische Unterstützung für BIOS-Aktualisierungen. 5. Prüfen Sie, welche Installationsart für Ihr Unternehmen am besten geeignet ist. Müssen nur wenige Computer installiert werden oder handelt es sich um ein Rollout für eine größere Anzahl von Arbeitsplatzrechnern? Legen Sie zum einen fest, ob die Installation mittels Neuinstallation oder mittels Update durchgeführt werden soll (siehe Abschnitt 2.2.2) und zum anderen, ob die Installation im Rahmen von Einzelarbeitsplatz-Installationen (Abschnitt 2.3) oder mit Hilfe automatisierter Installationsmethoden (Abschnitt 2.4 ) erfolgen soll. 6. Ist eine Neuinstallation geplant, bei der Benutzereinstellungen übernommen werden müssen, sollte im bestehenden Betriebssystem vor Beginn der Installation das User State Migration Tool ausgeführt werden. Beachten Sie hierzu die Ausführungen im Abschnitt 2.5.1. 7. Sichern Sie alle lokal gespeicherten Dateien und ggf. die Sys- Wichtig: temkonfiguration vor der Durchführung einer Update-Installa- Datensicherung tion. Im schlimmsten Fall kann ein zuvor funktionierendes System durch eine Update-Installation unbrauchbar werden. Da es in dieser Situation keinen Weg zurück gibt, ist die Sicherung der Startpartition beispielsweise mit Norton Ghost vor Beginn der Installation zu empfehlen. Siehe hierzu die Hinweise in Abschnitt 2.2.4. 8. In international agierenden Unternehmen müssen ggf. die sprach- und regionsspezifischen Besonderheiten sowie die Hardware-seitigen Anforderungen an die Installation unterschiedlicher Sprachversionen und die ggf. vorhandenen Einschränkungen nicht mit den Sprachversionen kompatibler Anwendungen berücksichtigt werden. Beachten Sie hierzu die Erläuterungen in Abschnitt 2.2.3.
37
Sandini Bib
2 Betriebssysteminstallation
2.2
Durchführung einer Einzelarbeitsplatz-Installation
Für die Installation stehen verschiedene Verfahren zur Verfügung, die von der einfachen Installation mit Hilfe der Windows XP Betriebssystem-CD-ROM bis zum automatisierten Setup mit einer bootfähigen Boot-Diskette reichen. Der folgende Abschnitt beschreibt den generellen Installationsablauf bei Durchführung einer Einzelarbeitsplatz-Installation, bevor im anschließenden Abschnitt automatisierte Installationsverfahren vorgestellt werden. Aufgrund der Verwendung von TCP/IP als Standardprotokoll können Windows XP Professional-Computer in eine Reihe verschiedener Netzwerkumgebungen integriert werden. Hierzu gehören neben Windows- auch Novell NetWare- und UNIXsowie Host-basierte Netzwerke. Die hier vorgestellten Installationsverfahren gelten für die Installation von Windows XP Rechnern bei Einbindung in eine Windows Domäne.
2.2.1
Inhalt der Windows XP-BetriebssystemCD-ROM
Das wichtigste Verzeichnis der Betriebssystem-CD-ROM ist das Verzeichnis \I386, in dem sich die Windows XP Setup-Dateien befinden. Daneben enthält die CD-ROM einige nützliche Informationen und Tools, die in drei Hauptverzeichnissen zu finden sind: 왘
Dessen einziges Unterverzeichnis enthält verschiedene Supporttools, die mit dem Programm Setup.exe installiert werden können. Hierbei handelt es sich um eine Sammlung von ca. 40 Tools zur Unterstützung bei Problemen. Die Verwendung der Supporttools ist nur Mitgliedern der Gruppe „Administratoren“ möglich. Eine Erläuterung der Funktionsweise der einzelnen Tools ist zu finden in der ebenfalls in diesem Verzeichnis vorhandenen Datei Readme.htm (in Englisch).
Nützliche Supporttools
왘
Citrix Clientsoftware
38
\Support
\Valueadd Das Verzeichnis \Valueadd (Deutsch: Mehrwertordner) enthält neben dem Unterordner \MSFT mit von Microsoft entwickelter Software auch zusätzliche Komponenten von Drittherstellern, die jedoch nicht offiziell von Microsoft unterstützt werden. Die Lizenzrechte dieser Programme unterliegen dem jeweils relevanten Endbenutzer-Lizenzvertrag der entspre-
Sandini Bib
Durchführung einer Einzelarbeitsplatz-Installation
chenden Software. Beispielsweise ist hier im Verzeichnis \Valueadd\MGMT\Citrix der Citrix ICA-Client zu finden. Mit diesem Client können Computer unter Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000 oder Windows XP Anwendungen remote auf einem Server ausführen, auf dem Citrix MetaFrame oder Citrix WinFrame installiert ist. 왘
\Docs Im Verzeichnis \Docs sind einige Dokumente mit allgemeinen Informationen zur Installation und zu Windows XP zu finden.
2.2.2
Installation starten
Die Möglichkeiten zum Start der Installation von Windows XP hängen u.a. davon ab, ob ein bereits vorhandenes Betriebssystem aktualisiert werden soll oder ob eine Neuinstallation auf einem Rechner ohne Betriebssystem erfolgt. Installation aus einem vorhandenen System heraus starten Im ersten Fall kann die Installation durch einfaches Einlegen der CD-ROM bei aktivierter Autoplay-Funktion bzw. durch Ausführen der Datei Setup.exe erfolgen. Die in Abbildung 2.2 gezeigte Willkommens-Dialogbox bietet die Optionen des Willkommensfolgenden Optionen: Dialogfensters 왘
WINDOWS XP INSTALLIEREN Die Option WINDOWS XP INSTALLIEREN startet das eigentliche Installationsprogramm. Anschließend kann sowohl eine Aktualisierung als auch eine Neuinstallation erfolgen.
왘
OPTIONALE WINDOWS-KOMPONENTEN INSTALLIEREN Diese Option steht nur zur Verfügung, wenn bereits eine Windows XP-Version vorhanden ist und bietet die Möglichkeit Windows-Komponenten hinzu zu fügen bzw. zu entfernen. Es handelt sich hierbei um den gleichen Assistenten, der auch unter SYSTEMSTEUERUNG/SOFTWARE zu finden ist.
왘
ZUSÄTZLICHE AUFGABEN DURCHFÜHREN Hinter dieser Option verbirgt sich eine Reihe von Assistenten zur Durchführung sehr unterschiedlicher Aufgaben. Hierzu zählen u.a. die Einrichtung von Remotedesktop-Verbindungen und das Übertragen von Dateien und Einstellungen mit dem User State Migration Tool.
39
Sandini Bib
2 Betriebssysteminstallation 왘
SYSTEMKOMPATIBILITÄT PRÜFEN Wie bereits in Abschnitt 2.2.1 beschrieben, kann eine automatische Überprüfung der Systemkompatibilität mit dem UpdateRatgeber durchgeführt werden, um mögliche Installationskonflikte im Vorfeld zu erkennen. Die Überprüfung sollte sinnvollerweise im Rahmen der Vorbereitungsarbeiten vor dem Beginn der eigentlichen Installation erfolgen.
Abbildung 2.2: WillkommensDialogfenster des Windows XP SetupAssistenten
Installationsart wählen
Abbildung 2.3: Auswahl des Installationsverfahrens
40
Wird an dieser Stelle die Option WINDOWS XP INSTALLIEREN gewählt, muss im nächsten Schritt festgelegt werden, ob eine Aktualisierung oder eine Neuinstallation erfolgen soll. Bei Auswahl der Option UPDATE (EMPFOHLEN) werden zunächst die vorhandenen Systemeinstellungen ermittelt, bevor nach einem ersten Neustart die Installation in der gleichen Art erfolgt wie bei einem Rechner, auf dem noch kein Betriebssystem installiert ist.
Sandini Bib
Durchführung einer Einzelarbeitsplatz-Installation
Installation durch Booten mit der Windows XPBetriebssystem-CD-ROM Windows XP wird mit einer bootfähigen Installations-CD-ROM geliefert. Um die Installation von dieser CD-ROM zu starten, muss ggf. zuvor die System-Boot-Reihenfolge im BIOS geändert werden: 1. CD-ROM 2. Boot-Festplatte Damit anschließend der Startvorgang von CD-ROM beginnen Beliebige Taste kann, muss eine beliebige Taste gedrückt werden, sobald die drücken entsprechende Aufforderung erfolgt. Bei späteren Neustarts während der Installationsroutine kann die CD-ROM somit im Laufwerk verbleiben; allerdings ist dann ein Drücken von Tasten zu unterlassen. Installation mit Windows XP-Startdiskette Ist eine Installation mittels CD-ROM nicht möglich, erlaubt Windows XP alternativ das Starten mit Disketten. Hierzu stellt Microsoft im Download-Center auf der Webseite unter download.microsoft.com verschiedene Versionen eines Programms bereit, mit dem ein Satz von Startdisketten erzeugt werden kann. Hierzu muss das Programm heruntergeladen und extrahiert werden. Beim Download ist zu beachten, dass die richtige Version ausge- Auf die richtige wählt wird. Zum einen kann mit den Startdisketten für Windows Version achten XP Home Edition keine Installation von Windows XP Professional vorgenommen werden und umgekehrt. Zum anderen wird noch nach der Version des Service Pack unterschieden. So steht jeweils für Windows XP Home und Windows XP Professional eine Version mit der ursprünglichen Fassung, eine Version mit der Fassung mit integriertem Service Pack 1 und eine Version für die aktuelle Fassung mit integriertem Service Pack 2 zur Verfügung. Die Windows XP-Startdisketten laden automatisch die entsprechenden Treiber für den Zugriff auf das CD-ROM-Laufwerk und starten eine neue Setup-Installation. Mit der Windows XP-Startdiskette ist einschränkend nicht die Durchführung einer Aktualisierung möglich. Es gibt insgesamt sechs Windows XP-Startdisketten. Auf diesen Diskettensatz befinden sich die Dateien und Treiber, um das CD-ROM-Lauf- erstellen werk verwenden und die Installation starten zu können. Nachdem alle sechs Disketten erstellt wurden, muss mit der ersten Diskette ein Neustart des Computers durchgeführt werden. Der
41
Sandini Bib
2 Betriebssysteminstallation
Computer muss so konfiguriert sein, dass er von Diskette gestartet wird. Hierfür ist ggf. eine Änderung der System-Boot-Reihenfolge im BIOS erforderlich. Installation mit winnt.exe und winnt32.exe Eine weitere Möglichkeit zum Start der Installation besteht darin, das Setup lokal aus dem Installationsverzeichnis \I386 zu starten. Dies kann durch Aufruf der Programme winnt.exe bzw. winnt32.exe geschehen. Bei winnt.exe handelt es sich um die 16 Bit-Version des Setup, die sich aus DOS oder Windows 3.x heraus aufrufen lässt. winnt32.exe ist als 32 Bit-Version aus allen späteren Windows-Versionen heraus startbar und kann sowohl zur Neuinstallation als auch zur Durchführung eines Updates verwendet werden. Geeignet für Netzwerkinstallationen
Der Aufruf von winnt.exe bzw. winnt32.exe kann entweder direkt von der Installations-CD-ROM oder durch Ablage des Installationsverzeichnisses im Netzwerk erfolgen. Dabei besteht der hauptsächliche Unterschied im Speicherort der Dateien, die zur Installation von Windows XP benötigt werden. Im zweiten Fall muss der zu installierende Rechner über einen Netzwerkzugriff (Leserechte) auf das freigegebene Installationsverzeichnis verfügen. Daneben erfordert eine Netzwerkinstallation die folgenden Arbeitsschritte: 왘
Festlegung und Einrichtung des Distributionsservers Auf dem bzw. den ausgewählten Servern ist der Distributionsordner einzurichten, der alle zur Installation von Windows XP erforderlichen Dateien enthält.
왘
Erstellung einer FAT-Partition auf dem Zielcomputer Auf dem Zielcomputer muss sich eine FAT-Partition befinden, auf die die Installationsdateien kopiert werden können.
왘
Installation eines Netzwerk-Client Ein Netzwerk-Client ist eine Software, mit deren Hilfe der Zielcomputer die Verbindung zum Distributionsserver herstellt. Computer, auf denen bereits Windows 9.x oder Windows NT installiert ist, können ohne weitere Maßnahmen eine Verbindung zum Distributionsserver herstellen. Ein Computer ohne Betriebssystem muss von einer Diskette mit einem Netzwerk-Client gestartet werden.
Genaue Erläuterungen zur Einrichtung eines Distributionsservers und zur Durchführung einer (auch automatisierten) Netzwerkinstallation finden Sie in Kapitel 2.4.
42
Sandini Bib
Durchführung einer Einzelarbeitsplatz-Installation
Das Verhalten von winnt.exe bzw. winnt32.exe kann mit einer Reihe Parameter zur von Parametern gesteuert werden. Die folgende Tabelle zeigt die Setup-Steuerung für winnt.exe verfügbaren Parameter: winnt.exe-Parameter
Erklärung
/a
Windows XP bietet verschiedene Eingabehilfen für behinderte Menschen. Der Parameter aktiviert die Eingabehilfen für das Setup.
/e:Befehl
Gibt einen Befehl an, der vor Abschluss der Installation, d.h. nach dem Ende des grafischen Teils ausgeführt wird.
/r:Verzeichnis
Mit diesem Parameter kann ein zusätzliches Verzeichnis benannt werden, in dem für die Installation zusätzlich verwendbare Daten, beispielsweise Treiber, hinterlegt werden. Nachdem die Installation beendet ist, verbleibt dieses Verzeichnis.
/rx:Verzeichnis
Entspricht dem Parameter /r:Verzeichnis, allerdings wird hierbei das Verzeichnis nach der Installation gelöscht.
/s:Quellpfad
Gibt den Quellpfad der Windows XP-Dateien an. Beim Speicherort muss es sich um einen vollständigen Pfad in der Form x:\Pfad handeln. Alternativ kann auch eine Netzwerkfreigabe in UNC-Schreibweise \\Server\Freigabe\ Pfad angegeben werden.
/t:TemporäresLaufwerk
Hiermit wird dem Installationsprogramm das Verzeichnis zur Speicherung temporärer Dateien explizit angegeben. Beim Speicherort muss es sich um einen vollständigen Pfad in der Form x:\Pfad handeln. Alternativ kann auch eine Netzwerkfreigabe in UNC-Schreibweise \\Server\Freigabe\Pfad angegeben werden. Wenn kein Speicherort genannt wird, versucht das Installationsprogramm, ein Laufwerk auszuwählen.
/u:Antwortdatei
Bei Verwendung dieses Parameters führt das Setup eine unbeaufsichtigte Installation mit Hilfe einer Antwortdatei aus. Die Antwortdatei enthält Antworten auf einige oder alle Eingabeaufforderungen, die während der Installation normalerweise beantwortet werden müssen. Der Parameter erfordert zusätzlich die Angabe des Parameters /s.
Tabelle 2.2: Parameter des Installationsprogramms winnt.exe
43
Sandini Bib
2 Betriebssysteminstallation
winnt.exe-Parameter
Erklärung
/UDB:ID [UDBDatei]
Mit diesem Parameter kann die mit dem Parameter /u:Antwortdatei angegebene Antwortdatei angepasst werden. Die UDB (Uniqueness Database)-Datei überschreibt Werte in der Antwortdatei, indem ein Bezeichner ermittelt, welche Werte in der UDB-Datei verwendet werden. Ohne Angabe einer UDBDatei fordert das Installationsprogramm den Benutzer auf, eine Diskette einzulegen, die die erforderliche Datei enthält.
Die Parameter von winnt32.exe entsprechen weitgehend denen von winnt.exe. Zusätzlich bietet winnt32.exe aber einige spezielle Optionen. Tabelle 2.3: Parameter des Installationsprogramms winnt32.exe
44
winnt32.exeParameter
Erklärung
/checkupgradeonly
Dieser Parameter kann unabhängig von der eigentlichen Installation verwendet werden. Hiermit führt winnt32.exe eine Kompatibilitätsprüfung durch. Standardmäßig werden die Ergebnisse auf dem Bildschirm angezeigt und in einer Berichtsdatei gespeichert. Der Standarddateiname lautet Upgrade.txt im Verzeichnis %SystemRoot%.
/cmd:Befehlszeile
Gibt einen Befehl an, der vor Abschluss der Installation, d.h. nach dem Ende des grafischen Teils ausgeführt wird. Der Parameter kann beispielsweise zur Ausführung der Datei Cmdlines.txt verwendet werden, die angibt, welche Anwendungen direkt nach der Beendigung des Setup installiert werden sollen.
/cmdcons
Hiermit wird die Wiederherstellungskonsole als Startoption installiert. Bei der Wiederherstellungskonsole handelt es sich um eine Befehlszeilenschnittstelle, von der aus Aufgaben, beispielsweise das Starten und Beenden von Diensten sowie der Zugriff auf das lokale Laufwerk (einschließlich NTFS-formatierter Laufwerke), durchgeführt werden können. Die Verwendung dieses Parameters ist unabhängig vom Setup und kann zu jedem Zeitpunkt erfolgen.
Sandini Bib
Durchführung einer Einzelarbeitsplatz-Installation
winnt32.exeParameter
Erklärung
/copydir: Verzeichnisname
Dieser Parameter erstellt ein zusätzliches Verzeichnis, in dem für die Installation zusätzlich verwendbare Daten, beispielsweise Treiber, hinterlegt werden können. Nachdem die Installation beendet ist, wird das Verzeichnis nicht gelöscht. Es können mit /copydir beliebig viele zusätzliche Verzeichnisse erstellt werden.
/copysource: Ordnername
Entspricht dem Parameter /copydir: Verzeichnisname, allerdings wird hierbei das Verzeichnis nach der Installation gelöscht.
/debug[Level]: [Dateiname]
Dieser Parameter erstellt ein Debug-Protokoll auf der angegebenen Ebene. Die Standardprotokolldatei ist C:\systemroot\winnt32.log mit dem angegebenen Level. Die folgenden Protokollebenen sind verfügbar: 0 - Schwerwiegende Fehler 1 - Fehler 2 - Warnungen 3 - Informationen 4 - Detaillierte Informationen zum Debuggen Jede Ebene beinhaltet jeweils die darunter befindlichen Ebenen. Die Standard-DebugEbene ist 2.
/dudisable
Mit diesem Parameter kann das Ausführen eines dynamischen Updates verhindert werden. Das dynamische Update kann vom Installationsprogramm nur mit den Originalinstallationsdateien ausgeführt werden. Diese Option deaktiviert das dynamische Update auch dann, wenn eine Antwortdatei verwendet wird.
/duprepare: Pfadname
Bereitet eine Installationsfreigabe für Dateien vor, die mit der Funktion DYNAMISCHES UPDATE von der Windows-Update-Webseite heruntergeladen wurden. Diese Freigabe kann anschließend zum Installieren von Windows XP für mehrere Clients verwendet werden.
45
Sandini Bib
2 Betriebssysteminstallation
46
winnt32.exeParameter
Erklärung
/dushare:Pfadname
Bereitet eine Installationsfreigabe für die Dateien vor, die mit der Funktion DYNAMISCHES UPDATE von der Windows-Update-Webseite heruntergeladen wurden und für die zuvor duprepare:Pfadname ausgeführt wurde. Bei Ausführung dieser Option auf einem Client wird festgelegt, dass die Client-Installation die aktualisierten Dateien der angegebenen Freigabe verwendet.
/makelocalsource
Hiermit wird das Installationsprogramm angewiesen, alle Installationsquelldateien auf die lokale Festplatte zu kopieren. Damit wird die Installations-CD-ROM nach dem ersten Neustart für den weiteren Installationsverlauf nicht mehr benötigt.
/m:Pfad
Dieser Parameter weist dem Installationsprogramm ein alternatives Verzeichnis für die Installationsdateien zu. Wenn dort Dateien vorhanden sind, werden diese anstelle der Dateien im Standardordner verwendet. Damit können zum Beispiel im unter /m angegebenen Verzeichnis Dateien des aktuellen Service Pack abgelegt werden. Alle anderen Dateien des Service Pack werden bei dieser Konfiguration aus dem Ursprungsverzeichnis für das Service Pack übernommen.
/noreboot
Hiermit wird das Installationsprogramm angewiesen, den Computer nach der ersten Initialisierungsphase nicht neu zu starten, sodass weitere Einstellungen vorgenommen und Befehle ausgeführt werden können.
/s:Quellpfad
Gibt den Quellpfad der Windows XP-Dateien an. Um Dateien gleichzeitig von mehreren Servern zu kopieren, können hiermit bis zu maximal acht Server angegeben werden. Dazu muss der Parameter mehrfach eingetragen werden. Der erste angegebene Server muss zwingend verfügbar sein, sonst schlägt die Installation fehl. Dieser Parameter ermöglicht es, die Installation zu beschleunigen, da die Installationsdateien gleichzeitig von mehreren Servern bereitgestellt werden.
Sandini Bib
Durchführung einer Einzelarbeitsplatz-Installation
winnt32.exeParameter
Erklärung
/syspart:Laufwerk
Bei Verwendung des Parameters /syspart wird das Installationsprogramm veranlasst, die Startdateien des Installationsprogramms auf eine angegebene Festplatte zu kopieren, um den Datenträger anschließend in einem anderen Computer installieren und dort die Installation beenden zu können. Nach dem Umbau der Festplatte und dem Start des anderen Computers wird automatisch die nächste Phase der Installation gestartet. Hierbei muss der Parameter /tempdrive immer zusammen mit dem Parameter /syspart verwendet werden. Der Parameter /syspart kann nur auf Computern unter Windows NT 4.0, Windows 2000 oder Windows XP eingesetzt werden.
/tempdrive:Laufwerksbuchstabe
Der Parameter /tempdrive weist das Installationsprogramm an, temporäre Dateien auf der angegebenen Partition zu speichern. Hierbei ist Folgendes zu beachten: Bei einer Neuinstallation wird Windows XP auch auf der angegebenen Partition installiert. Bei einem Update wirkt sich die Option nur auf die temporären Dateien aus. Der Parameter /syspart muss immer zusammen mit dem Parameter /tempdrive verwendet werden und beide Parameter müssen auf dieselbe Partition verweisen.
/unattend
Wird der Parameter /unattend ohne zusätzliche Spezifikationen verwendet, kann damit ein vorhandenes Betriebssystem (Windows 98, Windows ME, Windows NT 4.0 oder Windows 2000) im unbeaufsichtigten Installationsmodus aktualisiert werden. Sämtliche Benutzereinstellungen werden von der vorherigen Installation übernommen, sodass das Installationsprogramm ohne Benutzereingriff ausgeführt wird.
47
Sandini Bib
2 Betriebssysteminstallation
winnt32.exeParameter
Erklärung
/unattend[Zahl]: [Antwortdatei]
Bei Verwendung dieses Parameters führt Setup eine unbeaufsichtigte Neuinstallation mit Hilfe einer Antwortdatei aus. Die Antwortdatei enthält Antworten auf einige oder alle Eingabeaufforderungen, die während der Installation normalerweise beantwortet werden müssen. Mit Zahl wird die Anzahl der Sekunden angegeben, die zwischen dem Zeitpunkt, zu dem das Installationsprogramm das Kopieren der Dateien beendet hat, und dem Neustart des Computers liegen.
/UDB:ID [UDBDatei]
Mit diesem Parameter kann die mit dem Parameter /unattend[Zahl]:[Antwortdatei] angegebene Antwortdatei angepasst werden. Die UDB (Uniqueness Database)-Datei überschreibt Werte in der Antwortdatei, indem ein Bezeichner ermittelt, welche Werte in der UDB-Datei verwendet werden. Ohne Angabe einer UDB-Datei fordert das Installationsprogramm den Benutzer auf, eine Diskette einzulegen, die die erforderliche Datei enthält.
2.2.3
Textbasierter Installationsteil
Die Installation ist in zwei Teile gegliedert: DenTextmodusabschnitt und in den Abschnitt, der im grafischen Modus erfolgt. Der textbasierte Modus umfasst im Wesentlichen die folgenden Schritte:
Systemwiederherstellung
48
왘
Auswahl zusätzlicher Funktionen
왘
Bestätigung des Lizenzvertrages
왘
Konfiguration der Installationspartition
왘
Kopieren der Installationsdateien
Nach dem Start der Installation gibt es kurzzeitig die Option, durch Auswahl spezieller Funktionen den Installationsverlauf zu beeinflussen. Zum einen wird für kurze Zeit die Option angeboten, durch Drücken der Taste (F1) den ASSISTENTEN FÜR DIE SYSTEMWIEDERHERSTELLUNG zu starten.
Sandini Bib
Durchführung einer Einzelarbeitsplatz-Installation
Zum anderen bietet Windows XP die Möglichkeit, mit der Taste OEM-Treiber (F6) OEM-Festplattentreiber zu laden. Diese sind beispielsweise beim Einsatz eines Hardware-RAID-Controllers erforderlich. Weiterhin kann während die Meldung zum Betätigen der Taste PC-Typ (F6) angezeigt wird, mit der Taste (F5) ein Menü eingeblendet werden, in welchem ein anderer PC-Typ auswählbar ist. Dies kann erforderlich sein, wenn ein ACPI-Rechner im ACPI-Modus nicht stabil läuft. Abbildung 2.4: Menü zur Auswahl des Computertyps
Anschließend verlangt Microsoft die Bestätigung des Lizenzver- Lizenzvertrag trages und ggf. den Nachweis der Berechtigung zur Verwendung einer Update-Version von Windows XP. Im nächsten Schritt ist die Installationspartition auszuwählen. An Installationsdieser Stelle bietet Windows XP auch die Möglichkeit, bestehende partition Partitionen zu löschen und neue zu erstellen. Abhängig von der Vorgehensweise und der Ausgangssituation ist anschließend festzulegen, ob das bestehende Dateisystem beibehalten oder ggf. nach NTFS konvertiert werden soll.
49
Sandini Bib
2 Betriebssysteminstallation Abbildung 2.5: Konfiguration der Installationspartition im textbasierten Setup-Teil
Sinnvolle Festplattenkonfiguration Die Partitionierung und Konfiguration der Festplatte(n) sollte vor der Installation geplant werden. Hierbei sind die folgenden Aspekte zu berücksichtigen. Beim Einsatz im Firmenumfeld gibt es allein aus Sicherheitsgründen zum Dateisystem NTFS keine Alternative. Insofern ist zu empfehlen, eventuell vorhandene FAT- oder FAT32-Partitionen nach NTFS zu konvertieren. Dabei ist jedoch die Erstellung einer neu formatierten NTFS-Partition einer Konvertierung vorzuziehen. Bei Dualboot-Umgebungen ist zu beachten, dass Windows 9.x und Windows ME nur FAT- bzw. FAT32-Partitionen unterstützen. Hinsichtlich der Partitionierung ist eine Aufteilung in eine System- und eine Datenpartition in den meisten Fällen sinnvoll. Hierbei ist zu berücksichtigen, dass Windows XP, wie auch schon Windows 2000, dynamische Datenträger unterstützt. Diese können beispielsweise jederzeit durch Hinzufügen weiterer Festplatten erweitert werden. Da aber die System- und Startpartition nachträglich nicht erweitert werden können, macht allein deshalb eine Unterteilung der Festplatte in mindestens zwei Partitionen Sinn. Zum Abschluss des textbasierten Installationsabschnitts werden die Installationsdateien auf die Festplatte kopiert und der Rechner wird neu gestartet.
50
Sandini Bib
Durchführung einer Einzelarbeitsplatz-Installation
2.2.4
Grafischer Installationsteil
Nach einem Neustart wechselt das Setup in den so genannten GUI-Modus (Graphical User Interface). Der erste Teil in diesem Modus erfolgt selbstständig und ohne Benutzereingriffe. Abbildung 2.6: Startdialogfenster des GUI-Modus
Dynamische Updates Im nächsten Schritt bietet Windows XP Setup an, ein dynamisches Update durchzuführen. Die Funktion DYNAMISCHES UPDATE ermöglicht eine automatische Aktualisierung der erforderlichen Installationsdateien. Hierbei werden die folgenden Dateien aktualisiert: 왘
Treiber Das dynamische Update lädt zum einen Treiber herunter, die nicht in Windows XP enthalten sind. Diese Treiber haben das Logozertifizierungsprogramm durchlaufen. Zum anderen werden Treiber, die in Windows XP enthalten sind und für die es eine Fehlerbehebung gibt, bereitgestellt. Die korrigierten Dateien werden als Ersatzdateien behandelt, da sie auf der Windows XP-Betriebssystem-CD-ROM vorhanden sind; sie werden jedoch nicht als .cab-Dateien geliefert (wie die Treiberdateien, die nicht in Windows enthalten sind).
51
Sandini Bib
2 Betriebssysteminstallation 왘
Ersatzdateien
Ersatzdateien ersetzen Dateien, die auf der Windows XP-Betriebssystem-CD-ROM vorhanden sind. Zu dieser Kategorie gehören: 1. Updates, die Fehlerbehebungen zu beliebigen bereits installierten Dateien enthalten 2. Aktualisierte .inf-Dateien, die während des Aktualisierungsvorgangs nützlich sind 3. innt32-Fehlerbehebungen, die kritische Fehlerbehebungen für winnt32-DLLs (Dynamic Link Libraries) enthalten und die vom Setup-Programm verwendet werden. Voraussetzungen
Die Funktion DYNAMISCHES UPDATE steht nur dann zur Verfügung, wenn die Installation mit winnt32.exe gestartet wurde und wenn eine Verbindung zum Internet oder Zugriff auf eine Netzwerkfreigabe besteht, auf der die vom Unternehmenskatalog heruntergeladenen Updates liegen. Nur bei Erfüllung aller Voraussetzungen wird der Benutzer gefragt, ob er ein dynamisches Update durchführen möchte. Ist keine Internetverbindung oder kein Zugriff auf eine Netzwerkfreigabe vorhanden, wird das dynamische Update übergangen. Abfrage benutzerdefinierter Informationen Während des anschließenden Installationsabschnitts werden die folgenden Informationen abgefragt bzw. sind die folgenden Funktionen zu konfigurieren: 왘
Regions- und Sprachoptionen (einschließlich Tastatur-Layout)
왘
Benutzerinformationen (Name und Organisation)
왘
Produktschlüssel (25-stellige Seriennummer)
왘
Computername und Administratorkennwort
왘
Datum und Uhrzeit sowie Zeitzone
Einrichtung des Netzwerks Der sich an die Abfrage der benutzerdefinierten Informationen anschließende Installationsschritt ermöglicht die Konfiguration der Netzwerkeinstellungen. Windows XP wurde für den Einsatz in Windows-Netzwerken optimiert und erlaubt mit der Option STANDARDEINSTELLUNGEN eine weitgehend automatisierte Einrichtung des Netzwerks. Bei Auswahl dieser Einstellung wird TCP/IP als alleiniges Protokoll mit automatischem Bezug der IP-Adresse von einem DHCP-Server eingerichtet. Die Auswahl der Option BENUTZERDEFINIERTE EINSTELLUNGEN hingegen ermöglicht eine manuelle Konfigura-
52
Sandini Bib
Durchführung einer Einzelarbeitsplatz-Installation
tion der Netzwerkkomponenten, zum Beispiel die Vergabe einer festen IP-Adresse. Weiterhin kann im Rahmen der Netzwerkeinrichtung die Auf- Aufnahme in die nahme des Windows XP-Rechners in eine Domäne erfolgen. Hierzu Domäne sind die gewünschte Domäne und der Name sowie das Kennwort eines berechtigten Benutzers anzugeben. Dieser Schritt kann bei Bedarf auch nach Abschluss der Installation erfolgen. Treten beim Domänenbeitritt Probleme auf, sollte der Rechner zunächst einer Arbeitsgruppe hinzugefügt werden. Nach Abschluss der Installation lassen sich erfahrungsgemäß Netzwerkprobleme leichter lösen. Wenn dann die Netzwerkkonfiguration korrekt funktioniert, kann der Rechner der Domäne hinzugefügt werden. Nachträgliche Aufnahme in die Domäne Für eine nachträgliche Aufnahme eines Windows XP-Client in eine Domäne bzw. zum Ändern der Domänenmitgliedschaft ist folgendermaßen zu verfahren: 1. Wählen Sie in dem Dialogfenster SYSTEMEIGENSCHAFTEN die Registerkarte COMPUTERNAME. Das Dialogfenster SYSTEMEIGENSCHAFTEN erreichen Sie über START/EINSTELLUNGEN/ SYSTEM. 2. Wählen Sie die Option ÄNDERN und tragen Sie unter DOMÄNE den Namen der beizutretenden Domäne ein. 3. Geben Sie, sobald die Aufforderung erscheint, den Namen und das Kennwort eines für die Aufnahme des Computers berechtigten Domänenbenutzers ein. 4. Anschließend ist ein Neustart des Rechners erforderlich. Nach dem Sammeln der erforderlichen Informationen schließt der Assistent für die Setup-Assistent für Windows XP die Installation ab und startet Netzwerkanmeldung den Computer neu. Wenn der Computer mit einem Netzwerk verbunden ist, wird anschließend der Assistent für die Netzwerkanmeldung gestartet. Dieser erlaubt die Einrichtung zusätzlicher lokaler Benutzerkonten.
53
Sandini Bib
2 Betriebssysteminstallation Abbildung 2.7: Aufnahme eines Computers in eine Domäne
Durchführung der Produktaktivierung Produkt-ID basiert auf Produktschlüssel
Mit Windows XP hat Microsoft die Produktaktivierung eingeführt. Diese basiert auf der Tatsache, dass jede einzelne Installation über einen eindeutigen Produktschlüssel verfügen muss. Der Produktschlüssel bildet auch die Grundlage für die Produkt-ID, die bei der Installation von Windows XP erstellt wird. Jede lizenzierte Instanz von Windows XP hat eine eindeutige Produkt-ID, die in den Eigenschaften von ARBEITSPLATZ ermittelt werden kann.
HardwareKennung
Beim Aktivierungsvorgang wird auf der Basis eines mathematischen Verfahrens eine individuelle Installationskennung errechnet. Diese basiert auf der Produkt-ID und einer PC-Kennzeichnung, die auch als Hardware-Kennung bezeichnet wird. Die Hardware-Kennung wiederum wird unter Zuhilfenahme wichtiger Hardware-Parameter, wie beispielsweise der physikalischen Netzwerkadresse, ermittelt. Aus diesem Grund ändert sich die Installationskennung, sobald wesentliche Hardware-Komponenten ausgetauscht werden.
Aktivierungsvorgang
Beim Aktivierungsvorgang wird nur die Installationskennung an Microsoft übermittelt (per Telefon oder per Internet). Hier wird überprüft, ob die Produkt-ID von Microsoft stammt und ob die Installationskennung bereits zur Installation von Windows XP auf einem anderen Rechner verwendet wurde. Wenn die Prüfung problemlos verläuft, erhält der Computer eine Bestätigungs-ID, die den Computer aktiviert.
54
Sandini Bib
Durchführung einer Einzelarbeitsplatz-Installation Abbildung 2.8: Windows XP aktivieren
Bis zur Aktivierung von Windows XP wird in der Taskleiste ein Aktivierungssymbol angezeigt. Die Aktivierung kann jederzeit durch einen Klick auf das Symbol gestartet werden. Nach erfolgter Aktivierung von Windows XP wird dieses Symbol nicht mehr in der Taskleiste angezeigt. Um den Zustand der Aktivierung abzufragen, kann die Option WINDOWS AKTIVIEREN unter START/ PROGRAMME ZUBEHÖR/SYSTEMPROGRAMME verwendet werden. Die Aktivierung muss spätestens 30 Tage nach Fertigstellung der Installation erfolgen. Danach sind sämtliche Funktionen von Windows XP, mit Ausnahme der Produktaktivierungsfunktion, nicht mehr funktionsfähig. Grundsätzlich kann die Aktivierung einer Windows XP-Lizenz beliebig oft durchgeführt werden, vorausgesetzt, dass die Lizenz immer nur auf einem Rechner eingesetzt wird. Allerdings ist eine Aktivierung per Internet nur zweimal möglich, danach bleibt lediglich noch der telefonische Weg. Diese Variante ist computerbasiert rund um die Uhr möglich. Ansprechpartner sind hingegen nur zu den üblichen Geschäftszeiten erreichbar.
55
Sandini Bib
2 Betriebssysteminstallation
2.3
Automatisierte Installationsverfahren
Muss im Unternehmenseinsatz eine größere Anzahl von Rechnern mit Windows XP installiert werden, ist die Durchführung einzelner manueller Installationen der Alptraum eines jeden Administrators. Windows XP Professional enthält für diese Fälle eine Reihe verschiedener Tools, mit denen automatisierte und angepasste Installationen möglich sind, die nur wenige oder gar keine Benutzereingriffe erfordern. Darüber hinaus erlauben automatisierte Installationen beim Ausfall eines Arbeitsplatzrechners in kurzer Zeit die Bereitstellung eines Ersatzrechners.
2.3.1
Automatisierte Installationsverfahren im Vergleich
Auch bei automatisierten Installationen ist zunächst die Installationsmethode (Neuinstallation oder Aktualisierung eines bestehenden Betriebssystems) zu wählen. Steht diese fest, ist zu prüfen, welches automatisierte Installationsverfahren die gewählte Methode unterstützt. Die folgende Tabelle fasst die Methoden einer automatisierten Installation zusammen und gibt an, ob sie für die Aktualisierung, die Neuinstallation oder für beides verwendet werden können. Tabelle 2.4: Automatisierte Installationsmethoden
56
Installationsmethode
Aktualisierung
Neuinstallation
Unbeaufsichtigte Installation mit Antwortdatei und ggf. UDB-Dateien zur automatisierten Installation
Ja
Ja
Klonen mit Disk-Images unter Einsatz des Systemvorbereitungsprogramms SYSPREP. Master- und Zielrechner müssen mit weitgehend identischer Hardware (HAL und Massenspeichergeräte) ausgestattet sein.
Nein
Ja
Klonen mit Disk-Images unter Einsatz von SYSPART für Neuinstallationen auf Computern mit unter-schiedlicher Hardware. SYSPART wird über einen optionalen Parameter von winnt32.exe ausgeführt.
Nein
Ja
Sandini Bib
Automatisierte Installationsverfahren
Installationsmethode
Aktualisierung
Neuinstallation
Remote-Installationsdienste (RIS) zur Remote-Installation eines Abbilds von Windows XP
Nein
Ja
Systems Management Server (SMS). Mit SMS können verwaltete Aktualisierungen von Windows XP auf mehreren Systemen ausgeführt werden. Hierzu gehören insbesondere Systeme, die sich an unterschiedlichen geografischen Standorten befinden.
Ja
Nein
Weiterhin ist zu berücksichtigen, ob nur das Betriebssystem auto- Installation von matisiert installiert werden kann oder ob Anwendungen in die Anwendungen Installation mit einbezogen werden können. Die folgende Tabelle zeigt, welche Installationsmethoden auch zur automatisierten Installation von Anwendungen geeignet sind. Methode
Betriebssyste minstallation
Installation von Anwendungen
Unbeaufsichtigte Installation mit Antwortdatei
Ja
Ja
Klonen mit Disk-Images unter Ein- Ja satz des Systemvorbereitungsprogramms SYSPREP
Ja
Klonen mit Disk-Images unter Ein- Ja satz von SYSPART
Nein
Remote-Installationsdienste (RIS)
Ja
Ja
Microsoft Systems Management Server (SMS)
Ja
Ja
2.3.2
Tabelle 2.5: Eignung der Installationsmethoden für die Installation von Anwendungen
Einrichtung eines Distributionsservers
Der Distributionsserver stellt eine Schlüsselkomponente bei den meisten automatisierten Installationsverfahren und bei Netzwerkinstallationen dar. Bei der Installation über ein Netzwerk beispielsweise stellen die Zielcomputer, auf denen Windows XP installiert werden soll, eine Verbindung zum Distributionsserver her, um dann das Installationsprogramm mit dem Befehl winnt.exe oder winnt32.exe auszuführen.
57
Sandini Bib
2 Betriebssysteminstallation
Distributionsordner anlegen Die Bereitstellung der Installationsdateien von Windows XP Professional erfolgt im Distributionsordner. Hierbei handelt es sich um eine hierarchische Struktur, die die Installationsdateien von Windows XP Professional, Gerätetreiber und andere Dateien enthält, die zum Anpassen einer Installation erforderlich sind. Für alle Clientcomputer kann derselbe Distributionsordner verwendet werden, auch wenn beispielsweise Windows XP Professional auf unterschiedlich konfigurierten Computern installiert werden soll. Bei diesem Szenario muss der Distributionsordner lediglich alle notwendigen Gerätetreiber für die verschiedenen Clientcomputer enthalten. Wenn sich eine Hardware-Komponente ändert, muss nur der Gerätetreiber für die neue HardwareKomponente an die korrekte Position innerhalb der Distributionsordnerstruktur kopiert werden. Änderungen an der Antwortdatei sind in diesem Fall nicht notwendig. Sinnvoll ist die Verwendung mehrerer Distributionsordner, wenn verschiedene lokalisierte Sprachversionen von Windows XP für internationale Zweigstellen der Organisation verwendet werden müssen. In diesem Fall kann für jede lokalisierte Version eine eigene Distributionsfreigabe erstellt werden. Die Verwendung mehrerer Distributionsordner ist bei größerem Installationsaufkommen zur Gewährleistung von Lastenausgleich sinnvoll, weil damit die Kopierphase beschleunigt werden kann. Hervorzuheben ist an dieser Stelle der Parameter /s:Quellpfad. Hiermit wird der Quellpfad der Windows XPDateien auf dem Distributionsserver angegeben. Windows XP kann bis zu acht /s-Optionen verwenden, um für den Zielcomputer auf andere Distributionsserver als Quellspeicherorte für die Installation zu verweisen. winnt32 /s:server1
. . .
/s:server8
Distributionsordnerstruktur Die folgende Abbildung zeigt ein Beispiel für die Struktur eines Distributionsservers. Abbildung 2.9: Grundstruktur des Distributionsordners zur Installation von Windows XP
58
Sandini Bib
Automatisierte Installationsverfahren
Eine Beschreibung der gezeigten Verzeichnisse folgt in der nach- Distributionsordner stehenden Tabelle. Verzeichnis
Erläuterung
\I386
Dieses Verzeichnis enthält alle zur Installation von Windows XP erforderlichen Dateien. Das Verzeichnis muss sich im Stammverzeichnis der Distributionsfreigabe befinden.
\$OEM$
Das Unterverzeichnis $OEM$ (Original Equipment Manufacturer) bietet die notwendige Verzeichnisstruktur für zusätzliche Dateien, die während der Installation auf den Zielcomputer kopiert werden. Das Verzeichnis kann Treiber, Tools, Anwendungen und andere Dateien enthalten, die zum Einrichten von Windows XP innerhalb des Unternehmensnetzwerkes erforderlich sind, und es muss im Distributionsordner direkt unter dem Verzeichnis /I386 erstellt werden. Findet Setup dieses Verzeichnis, werden alle Dateien daraus in das temporäre Verzeichnis kopiert, das während des nichtgrafischen Teils der Installation erstellt wird. Das Unterverzeichnis $OEM$ kann die optionale Datei Cmdlines.txt umfassen, in der eine Liste der Befehle enthalten ist, die während des grafischen Teils von Setup ausgeführt werden. Diese Befehle können zum Installieren zusätzlicher Programme verwendet werden, die in die Installation eingeschlossen werden sollen. Bei Verwendung einer Antwortdatei ist zu beachten, dass diese eine Anweisung OemPreinstall = Yes enthalten muss, um zusätzliche Dateien aus dem Verzeichnis $OEM$ zu verwenden.
\$OEM$\$$
Das Unterverzeichnis $OEM$\$$ entspricht den Umgebungsvariablen %systemroot% oder %windir%. Das Unterverzeichnis enthält zusätzliche Dateien, die in die verschiedenen Verzeichnisse des Windows XP-Installationsverzeichnisses kopiert werden sollen. Jedes Unterverzeichnis muss die Dateien enthalten, die in den entsprechenden Systemordner auf dem Zielcomputer kopiert werden sollen. Die Struktur des Unterordners $OEM$\$$ muss der Struktur einer standardmäßigen Windows XP-Installation entsprechen.
Tabelle 2.6: Die Distributionsordner im Überblick
59
Sandini Bib
2 Betriebssysteminstallation
Verzeichnis
Erläuterung
\$OEM$\$$\help
Dieses Unterverzeichnis enthält zusätzliche angepasste Hilfedateien, die während des Setup in das Verzeichnis %windir%\System32\help kopiert werden.
\$OEM$\$$\ System32
\$OEM$\$$\System32 enthält die zusätzlichen Dateien, die während des Setup in das Verzeichnis %windir%\System32 kopiert werden sollen.
\$OEM$\$1
$OEM$\$1 entspricht dem Systemlaufwerksbuchstaben und verweist auf das Laufwerk, auf dem Windows XP installiert ist. Die Bezeichnung $1 entspricht der Umgebungsvariablen %systemdrive%.
60
\$OEM$\$1\ pnpdrvrs
Mit Hilfe des Unterverzeichnisses $OEM$\$1\ pnpdrvrs können neue oder aktualisierte Treiber für Plug&Play-Geräte, die nicht in Windows XP enthalten sind, im Distributionsordner gespeichert werden. Diese werden in das Verzeichnis %systemdrive%\pnpdrvrs des Zielcomputers kopiert. Bei Verwendung einer Antwortdatei kann dann der Parameter OemPnPDriversPath eingefügt werden, womit veranlasst wird, dass Windows XP während und nach der Installation in den erstellten wie auch in den ursprünglichen Ordnern nach neuen oder aktualisierten Plug&Play-Treibern sucht. Der Name pnpdrvrs kann durch einen anderen Namen mit höchstens acht Zeichen ersetzt werden.
\$OEM$\$1\ Sysprep
Das Unterverzeichnis $OEM$\$1\Sysprep ist optional und beinhaltet die zum Ausführen des Systemvorbereitungsprogramms SYSPREP benötigten Dateien.
\$OEM$\Laufwerksbuchstabe
Im nichtgrafischen Modus wird die Struktur aller $OEM$\Laufwerksbuchstabe-Unterverzeichnisse in das Stammverzeichnis des entsprechenden Laufwerks auf dem Zielcomputer kopiert. Dateien, die zum Beispiel im Verzeichnis $OEM$\E abgelegt sind, werden in das Stammverzeichnis von Laufwerk E: kopiert.
\$OEM$\Laufwerksbuchstabe\ misc
Unterhalb von $OEM$\Laufwerksbuchstabe können auch weitere Verzeichnisse angelegt werden. Beispielsweise sorgt der Eintrag $OEM$\N\Misc dafür, dass Setup den Unterordner \Misc auf Laufwerk N: erstellt.
Sandini Bib
Automatisierte Installationsverfahren
Verzeichnis
Erläuterung
\$OEM$\Textmode
Das Verzeichnis $OEM$\Textmode enthält neue oder aktualisierte Dateien zur Installation der Treiber für Massenspeichergeräte und HardwareAbstraktionsschichten (Hardware Abstraction Layer – HAL). Diese Dateien können OEM-HALs, Treiber für SCSI-Geräte und die Datei Txtsetup.oem enthalten. Die Datei Txtsetup.oem steuert das Laden und Installieren der o.g. Komponenten und wird benötigt, um SCSI-Geräte im nichtgrafischen Modus zu installieren, also bevor die Plug&PlayUnterstützung zur Verfügung steht. Alle Dateien, die sich im Unterverzeichnis $OEM$\Textmode befinden, müssen im Abschnitt OEMBootFiles der ggf. verwendeten Antwortdatei aufgeführt werden.
Zugriff auf den Distributionsserver im Installationsprozess Zur Installation von Windows XP muss das entsprechende Windows XP-Installationsprogramm winnt.exe oder winnt32.exe auf dem Distributionsserver ausgeführt werden. Hingegen ist das Programm winnt.exe nur zu verwenden, wenn auf dem Distributionsserver Windows NT bzw. Windows 9.x ausgeführt wird. Mit der Ausführung von winnt.exe bzw. winnt32.exe geschieht Fol- Installationsablauf gendes: 1. Das temporäre Verzeichnis $WIN_NT$.~LS wird auf dem Zielcomputer erstellt. 2. Die Installationsdateien von Windows XP werden aus dem Distributionsordner und den Unterverzeichnissen in das temporäre Verzeichnis $WIN_NT$.~LS kopiert. 3. Das Setup-Programm startet den Zielrechner neu und beginnt mit der Installation von Windows XP. Sobald die Verbindung zum Distributionsserver hergestellt und Optionen von die Installation mit winnt.exe bzw. winnt32.exe gestartet wurde, winnt32 verläuft die weitere Installation genauso wie die manuelle Installation von CD-ROM. Zu beachten ist, dass für winnt.exe und winnt32.exe verschiedene Optionen zur Verfügung stehen, mit denen der Installationsvorgang abgewandelt werden kann (siehe hierzu Kapitel 2.3.2).
61
Sandini Bib
2 Betriebssysteminstallation
Erstellen eines Distributionsordners mit dem lnstallations-Manager Setupmgr.exe
Am einfachsten kann der Distributionsordner mit Hilfe des INSTALLATIONSMANAGERS erstellt werden. Dieser ist Bestandteil der Datei Deploy.cab im Ordner \Support\Tools auf der Betriebssystem-CDROM von Windows XP Professional. In dieser Kabinettdatei befindet sich unter anderem das hier benötigte Programm Setupmgr.exe. Beachten Sie hierzu auch die Erläuterungen im Abschnitt 2.4.3. Nach dem Start des Assistenten für den Installationsmanager ist zunächst die gewünschte Installationsmethode auszuwählen, d.h. es ist anzugeben, für welchen Zweck der Distributionsserver benötigt wird. In einem späteren Schritt kann festgelegt werden, dass ein Distributionsordner erstellt werden soll. Der Distributionsordner wird auf dem freigegebenen Netzwerklaufwerk erstellt, das die erforderlichen Quelldateien von Windows XP Professional enthält. Anschließend können weitere Dateien oder zusätzliche Gerätetreiber hinzugefügt werden.
Abbildung 2.10: Distributionsordner mit dem Installationsmanager erstellen
Nach der Erstellung des Distributionsordners kann die Installation angepasst werden, indem eine oder mehrere Antwortdateien erstellt und Geräte, Gerätetreiber, Anwendungen, Hilfedateien und weitere Komponenten hinzugefügt werden. Welche Tools zur Anpassung von Windows XP Professional verwendet werden können, hängt von der jeweils benutzten Installationsmethode ab.
62
Sandini Bib
Automatisierte Installationsverfahren
2.3.3
Unbeaufsichtigte Installation mit Antwortdatei
Eine Antwortdatei ist eine Textdatei, die automatisch Antworten auf einige oder alle Eingabeaufforderungen bereitstellt, die Benutzer normalerweise während der Installation angezeigt bekommen. Eine einzelne Antwortdatei kann aber nur die Standardfragen Dateitypen beantworten. Individuelle Konfigurationen, die sich von Rechner zu Rechner unterscheiden, erfordern daher die Verwendung einer zusätzlichen speziellen UDB (Uniqueness Database)-Datei (auch als UDF-Dateien – Uniqueness Database File bezeichnet), in der für die entsprechenden Parameter in der Antwortdatei alternative Werte stehen. Die Antwortdatei gibt allgemeine Informationen an, die für alle Antwortdatei zu installierenden Computer gleich sind, und stellt die Antworten bereit, die der Benutzer beim Ausführen des Installationsassistenten geben würde. Damit ermöglichen sie automatisch ablaufende Installationen bzw. bieten die Möglichkeit, auf mehreren Computern gleichzeitig Windows XP zu installieren. Die UDB-Datei enthält Informationen, die für einen bestimmten UDB-Datei Computer im Netzwerk eindeutig sind, wie zum Beispiel die IPAdresse oder der Computername. Nur die Verwendung einer UDB-Datei zusätzlich zur Antwortdatei ermöglicht die Durchführung einer vollständig unbeaufsichtigten Installation. Antwortdateien legen die Basiskonfigurationen fest, die sich in der UDB-Datei für einzelne Computer bzw. Benutzer individualisieren lassen. Werden in einem Unternehmen mehrere, grundlegend voneinander abweichende Konfigurationen verwendet, ist es sinnvoll, eine entsprechende Anzahl von Antwortdateien (beispielsweise eine Antwortdatei für jede Abteilung) zu erstellen. Die Berücksichtigung einzelner Benutzer und Computer geschieht dann über eine UDB-Datei, die für jeden Computer bzw. Benutzer einen eigenen Abschnitt enthält, der im Minimalfall den Computer- und Benutzernamen festlegt. Der Aufbau einer derartigen Antwortdatei bzw. einer UDB-Datei ist im folgenden Abschnitt zu sehen. Erstellen und Ändern von Antwortdateien Da es sich bei Antwortdateien um ASCII-Textdateien handelt, können sie mit einem beliebigen Texteditor erstellt werden. Sinnvoller ist es jedoch, entweder eine vorhandene Antwortdatei zu bearbeiten oder den ASSISTENTEN FÜR DEN INSTALLATIONSMANAGER zu verwenden.
63
Sandini Bib
2 Betriebssysteminstallation Beispieldatei
Auf der Windows XP-Betriebssystem-CD-ROM befindet sich im Verzeichnis \I386 eine Beispielantwortdatei mit dem Namen Unattend.txt. Diese kann als Vorlage verwendet und individuell angepasst werden. Hilfreich ist auch die Datei Deploy.chm, die eine deutsche Beschreibung aller Parameter enthält. Der Installationsmanager ist Bestandteil der Windows XP-Bereitstellungs-Tools, die sich in der Datei Deploy.cab im Ordner \Support\ Tools auf der Betriebssystem-CD-ROM von Windows XP Professional befinden. Nach einem Doppelklick auf die Datei Deploy.cab kann hier das Programm Setupmgr.exe gestartet werden. Die Datei Deploy.cab beinhaltet die Windows XP-Bereitstellungs-Tools für Unternehmen und damit wichtige Tools für automatisierte Installationen. Microsoft stellte bisher mit den Service Packs auch immer aktualisierte Versionen der Bereitstellungs-Tools im Download-Center zur Verfügung. Es ist unbedingt zu empfehlen, die jeweils aktualisierten Werkzeuge zu verwenden. Die aktuelle Version für Service Pack 2 kann mit der folgenden Datei heruntergeladen werden: WindowsXPKB838080-SP2-DeployTools-DEU.cab. Diese Datei enthält Updates für den Installationsmanager, SYSPREP und die zugehörige Dokumentation.
Vorgehensweise
Nach dem Start des Installationsmanagers ist im ersten Schritt auszuwählen, ob eine neue Antwortdatei erstellt oder eine bestehende geändert werden soll. Bei Auswahl der ersten Option ist anschließend der Typ der zu erstellenden Antwortdatei zu wählen. Hierbei können Antwortdateien für die folgenden Installationsszenarien erstellt werden: 왘
Eine unbeaufsichtigte Windows XP-Installation
왘
Eine Systemvorbereitungsinstallation mit SYSPREP
왘
Remote-Installationsdienste (RIS)
Wenn eine Antwortdatei für eine unbeaufsichtigte Installation benötigt wird, ist hier der erste Punkt auszuwählen und anschließend anzugeben, ob und für welches Windows-Betriebssystem die Antwortdatei benötigt wird. Benutzereingriff festlegen
64
Im Anschluss fordert der Assistent auf, den Benutzereingriff anzugeben. Hier kann unter anderem festgelegt werden, dass nur der Installationsteil, der im Textmodus abläuft, automatisiert wird (Option GUI-GESTEUERT) oder dass der Benutzer in den während des Setup-Prozesses angezeigten Dialogfeldern keine Angaben ändern kann (Option SCHREIBGESCHÜTZT).
Sandini Bib
Automatisierte Installationsverfahren Abbildung 2.11: Auswahl des gewünschten Installationstyps
Abbildung 2.12: Benutzereingriff für eine automatisierte Installation festlegen
Anschließend fragt der Assistent alle benötigten Informationen zur automatischen Erstellung der Antwortdatei ab. Soll eine unbeaufsichtigte Installation von Windows XP auf mehre- Computernamen ren Rechnern durchgeführt werden, müssen einige arbeitsplatzspe- eintragen zifische Informationen, wie beispielsweise der Computername, für jeden Computer eindeutig sein. Zur Festlegung dieser individuellen Einstellungen kann ebenfalls assistentengestützt die benötigte UDB-
65
Sandini Bib
2 Betriebssysteminstallation
Datei erstellt werden. Hierzu ist für den Benutzereingriff die Option VOLLAUTOMATISCH zu wählen. Für die Vorbereitung der Installation mehrerer Computer ist deshalb die in der nachstehenden Abbildung gezeigte Option COMPUTERNAMEN besonders wichtig. Werden an dieser Stelle mehrere Computernamen eingetragen, wird zusammen mit der Antwortdatei eine UDB-Datei mit dem standardmäßigen Namen Unattend.udb erstellt. Kennwort festlegen
Abbildung 2.13: Festlegung der Computernamen
Abbildung 2.14: Verschlüsseltes Kennwort festlegen
66
Beachtenswert ist auch der Parameter Administratorkennwort. Hier kann das Administratorkennwort für die zu installierenden Computer vergeben werden, wobei darauf zu achten ist, dass die entsprechende Option zum Verschlüsseln des Kennworts aktiviert wird. Ansonsten wird das Kennwort in Klarschrift in der Antwortdatei abgelegt.
Sandini Bib
Automatisierte Installationsverfahren
Für die Aufnahme einer Arbeitsstation in eine Domäne sind das Konto und das Kennwort eines berechtigten Benutzers einzutragen. Leider besteht an dieser Stelle nicht die Möglichkeit, das Kennwort zu verschlüsseln, was ein erhebliches Risiko darstellt. Es empfiehlt sich daher, ein spezielles Domänenkonto einzurichten, das ausschließlich für die Aufnahme von Computerkonten in die Domäne berechtigt ist, und nur dieses Benutzerkonto in Antwortdateien zu verwenden. Nach Erfassung aller Informationen ist die Antwortdatei zu speichern. Anstelle des vorgeschlagenen Namens Unattent.txt kann ein beliebiger Name vergeben werden. Lediglich bei einer CDbasierten Installation muss der Name der Antwortdatei zwingend Winnt.sif heißen. Aufbau einer Antwortdatei Antwortdateien sind wie .inf- und .ini-Dateien in Abschnitte unterteilt. Jeder Abschnitt beginnt mit einer Zeile, die den Abschnittsnamen in eckigen Klammern enthält, und kann einen oder mehrere Schlüssel mit zugeordneten Werten enthalten. Die einzelnen Schlüssel und Werte werden vom Setup gelesen Schlüssel und und kontrollieren jeweils ein Element der Konfiguration des zu Werte installierenden Systems. So enthält eine Antwortdatei beispielsweise einen Schlüssel zur Festlegung des Benutzereingriffs, während ein anderer Eintrag bestimmt, ob der Lizenzvertrag angenommen wird. Das folgende Listing zeigt exemplarisch den grundsätzlichen Aufbau einer Antwortdatei. Der tatsächliche Umfang der Antwortdatei ist von den verwendeten Parametern abhängig und in der Regel deutlich größer. Beispiel ;SetupMgrTag [Data] AutoPartition=1 MsDosInitiated="0" UnattendedInstall="Yes"
Listing 2.1: Aufbau einer Unattend.txt-Datei zur automatisierten Installation von Windows XP
[GuiUnattended] AdminPassword= ab2c692336e52be5aad3b435b51404ee4000cd643a4e81999f97177 EncryptedAdminPassword=Yes
67
Sandini Bib
2 Betriebssysteminstallation OEMSkipRegional=1 TimeZone=85 OemSkipWelcome=1 [UserData] ProductKey=1A673-167OP1-34DOZ-96GB5-99EEB FullName="IT Services" OrgName="" ComputerName=* [Unattended] UnattendMode=FullUnattended OemSkipEula=Yes OemPreinstall=No TargetPath=\WINDOWS [TapiLocation] AreaCode=069 [RegionalSettings] LanguageGroup=1 Language=00000407 [SetupMgr] ComputerName0=AW-XPPRO-001 ComputerName1=AW-XPPRO-002 ComputerName2=AW-XPPRO-005 [Branding] BrandIEUsingUnattended=Yes [Proxy] Proxy_Enable=0 Use_Same_Proxy=1 [Identification] JoinDomain=DOMÄNE DomainAdmin=Administrator DomainAdminPassword=beispiel [Networking] InstallDefaultComponents=Yes
UDB-Datei konfigurieren In der UDB-Datei werden dieselben Abschnitte und Schlüssel wie bei den Antwortdateien verwendet, wobei diese Dateien aber erst im grafischen Teil des Setup zum Einsatz kommen. Der textbasierte Teil des Setup ist ausschließlich über Antwortdateien steuerbar. UDB-Dateien haben auch dieselbe Struktur wie Antwortdateien (Abschnitte, Schlüsselnamen und Werte), wobei die Abschnitte hier einzelnen IDs zugeordnet sind. Über diese den IDs zugeordneten
68
Sandini Bib
Automatisierte Installationsverfahren
Abschnitte ersetzen sie gleichnamige Abschnitte der Antwortdatei ganz oder teilweise bzw. ergänzen sie mit zusätzlichen Informationen, die beim Start des grafikorientierten Teils vom Setup in die Antwortdatei übernommen werden. Die UDB-Datei ist in zwei Abschnitte unterteilt: 왘
UniqueIds
왘
UniqueId-Parameter
Aufbau
Sie beginnt mit dem Abschnitt [UniqueIds], der gleichzeitig den einzigen wesentlichen Unterschied zur Antwortdatei darstellt. Die Einträge dieses Abschnitts definieren die IDs und die Abschnitte der Antwortdatei, die zusammengeführt oder ersetzt werden. Als ID werden meist die zukünftigen Computernamen selbst verwendet. Die UniqueIDs-Parameter sind die tatsächlichen Daten, die in der Antwortdatei zusammengeführt oder ersetzt werden. [UniqueIds] ID1 = Abschnitt1,Abschnitt2 ID2 = Abschnitt1,Abschnitt2 ID3 = Abschnitt1,Abschnitt3,Abschnitt4
Für die IDs können beliebige Zeichenfolgen verwendet werden. Die rechte Seite eines ID-Eintrags listet die einzelnen Abschnittsnamen auf, die der jeweiligen ID zugeordnet werden sollen. Auf die in [UniqueIDs] definierten IDs folgen die Abschnitte, die über diese Definitionen zugeordnet werden. Das folgende Beispiel zeigt eine UDB-Datei mit zwei UniqueIDs, für Beispiel diedreiAbschnittedefiniertsind:Userdata,GuiUnattendedundNetwork, die mit den entsprechenden Abschnitten der Antwortdatei zusammengeführt werden oder diese ersetzen. ;SetupMgrTag [UniqueIds]
Listing 2.2: Aufbau einer UDB-Datei
AW-XPPRO-001=UserData AW-XPPRO-002=UserData AW-XPPRO-005=UserData [AW-XPPRO-001:UserData] ComputerName=AW-XPPRO-001 ProductKey=1A673-167OP1-34DOZ-96GB5-99EEB [AW-XPPRO-001:GuiUnattended] TimeZone = 85 [AW-XPPRO-001:Network] JoinDomain = "Zentrale"
69
Sandini Bib
2 Betriebssysteminstallation [AW-XPPRO-002:UserData] ComputerName=AW-XPPRO-002 ProductKey=2GPS4-38527-FO33Z-JD94K-98JJ7 [AW-XPPRO-002:GuiUnattended] TimeZone = 83 [AW-XPPRO-001:Network] JoinDomain = "Marketing"
Installation mit Antwortdatei und UDB starten Um während des Setup eine Antwortdatei und eine UDB-ID einzulesen, ist winnt.exe bzw. winnt32.exe mit den folgenden Parametern auszuführen: winnt32 / U: Antwortdatei
/UDB:ID, UDB-Name
Die ID steht für den Bezeichner, durch den das Setup bestimmt, welche Abschnitte zur Konfiguration nicht aus der Antwortdatei, sondern aus der UDB-Datei verwendet werden sollen. In der Regel ist dies der Name des zu installierenden Computers. Wird der Parameter ohne einen folgenden UDB-Namen angegeben, fordert das Setup den Benutzer während der Installation auf, eine Diskette mit einer Datei namens $unique$.udb einzulegen. Anderenfalls wird die durch Dateiname und Speicherort bezeichnete UDB-Datei verwendet. Der hierfür benutzte Dateiname ist beliebig, seine Namenserweiterung ebenfalls. Beispiel
Im Beispiel müsste die Installation des ersten Computers mit der folgenden Befehlszeile gestartet werden: Winnt.exe bzw. winnt32.exe /u:antwort.txt /udb:AW-XPPRO-001
2.3.4
Klonen mit Disk-Images unter Verwendung von SYSPREP
SYSPREP unterstützt das Klonen von Rechnern. Das Klonen, also das Duplizieren der Systempartition eines vollständig installierten und konfigurierten Computers auf einen anderen Computer, stellt eine komfortable Möglichkeit der Installation dar, die den Vorteil bietet, dass nicht nur das Betriebssystem, sondern auch alle Konfigurationen und alle Anwendungen übernommen werden können. Auf dem Markt gibt es eine Reihe von Programmen, wie beispielsweise Ghost von der Firma Symantec, die dieses Verfahren unterstützen. Hierbei wird ein bitweises Abbild (Image) der Festplatte bzw. einer ausgewählten Partition erstellt. Dieses kann auf die Fest-
70
Sandini Bib
Automatisierte Installationsverfahren
platte eines anderen Computers kopiert werden. Das Ergebnis ist ein identisches System mit allen Programmen, Dateien und Einstellungen des Quellcomputers. Dieses Verfahren hört sich einfach an, hat jedoch eine wesentliche Problem mit Einschränkung. Windows XP benutzt zur Identifikation eines identischer SID jeden Rechners eine eindeutige Identifikationsnummer, den so genannten SID (Security Identifier). Jeder Rechner im Netzwerk muss einen eindeutigen SID besitzen. Wenn nun aber ein vorhandenes Festplatten-Image auf einen anderen Rechner kopiert wird, wird der bereits vorhandene SID auch auf dem anderen Rechner eingesetzt, was zu massiven Problemen im Netzwerk führen kann. Um dieses Problem zu beheben, gibt es eine Reihe von Werkzeugen, mit denen auf duplizierten Rechnern ein neuer SID erstellt werden kann. Hierzu gehört beispielsweise das Werkzeug NewSid, das kostenlos von der Sysinternals-Webseite heruntergeladen werden kann. Mit diesem Werkzeug kann einem Rechner nach dem Klonen per Zufallsalgorithmus ein neuer SID zugewiesen werden. NewSid 4.06 Hersteller:
Sysinternals
Preis:
Freeware
URL:
http://www.sysinternals.com/nt w2k/source/newsid.sht
Das Systemvorbereitungsprogramm SYSPREP Seit Windows 2000 bringt Windows mit dem Systemvorbereitungsprogramm SYSPREP auch ein eigenes Werkzeug mit. SYSPREP unterstützt das Klonen von Rechnern mit eindeutigem SID. Hierzu fügt SYSPREP dem Masterimage einen Systemdienst hinzu. Dieser Dienst erstellt einen eindeutigen lokalen SID, wenn der Computer, auf den das Masterimage kopiert wurde, das erste Mal gestartet wird. Im Vergleich zu Standardinstallationen oder zu Installationen mit Vorteile von Antwortdateien ist bei dieser Methode die Einrichtungszeit sehr SYSPREP kurz. Gleichzeitig wird eine Basis erstellt, die bequem kopiert werden kann, falls es bei einem Rechner zu Problemen kommt. Ein weiterer Vorteil einer SYSPREP-Installation besteht in der Erkennung von Plug&Play-Geräten. Diese werden während der Installation von Windows XP automatisch erkannt, sobald der Computer nach dem Ausführen von SYSPREP wieder eingeschaltet wird. Dies bedeutet, dass auf dem Masterrechner, d.h. dem Rechner, auf dem das Masterimage erstellt wird, und auf den
71
Sandini Bib
2 Betriebssysteminstallation
Zielrechnern verschiedene Plug&Play-Geräte, wie beispielsweise Netzwerkkarten, Modems, Grafikkarten und Soundkarten, verwendet werden können. Das Duplizieren von Festplatten mit SYSPREP bietet sich an, wenn auf mehreren Computern die gleiche Konfiguration installiert werden soll. Dazu müssen Windows XP und alle Anwendungen mit allen gewünschten Einstellungen, die auf den Zielrechnern übernommen werden sollen, auf einem Masterrechner installiert werden. Anschließend ist SYSPREP auszuführen. Plug&PlayErkennung
Dabei wird die Festplatte des Computers so vorbereitet, dass beim nächsten Systemstart die Plug&Play-Erkennung ausgeführt und ein neuer SID erstellt werden kann. Anschließend kann das System mit Hilfe eines externen Programms zur Festplattenduplizierung dupliziert werden. Beim nächsten Start von Windows XP von der vorbereiteten Festplatte oder einer aus diesem Abbild erstellten duplizierten Festplatte wird der Assistent für die MiniInstallation gestartet. Dabei werden die Plug&Play-Geräte vom System erkannt und neu aufgelistet, sodass die Installation und Konfiguration auf dem Zielcomputer abgeschlossen werden kann.
Voraussetzungen
Die Verwendung von SYSPREP setzt voraus, dass der Masterund die Zielrechner die folgenden Bedingungen erfüllen:
72
왘
Beide Rechner müssen über kompatible HALs verfügen. Beispielsweise müssen APIC-basierte (Advanced Programmable Interrupt Controller) Multiprozessorsysteme dieselbe APICHAL verwenden. Ein PIC-basiertes (Programmable Interrupt Controller) System ist weder mit der APIC-HAL noch mit der MPS-HAL kompatibel.
왘
Die ACPI-Unterstützung muss identisch sein.
왘
Beide Rechner müssen über die gleichen Controller für Massenspeichergeräte (SCSI oder IDE) verfügen.
왘
Die Festplatte auf dem Zielcomputer muss mindestens die gleiche Größe wie die Festplatte auf dem Masterrechner aufweisen. Wenn der Zielcomputer eine größere Festplatte enthält, wird die Differenz standardmäßig nicht in die Primärpartition einbezogen.
왘
Der Masterrechner darf keiner Domäne angehören. Gegebenenfalls muss der Computer vorübergehend einer Arbeitsgruppe zugeordnet werden.
Sandini Bib
Automatisierte Installationsverfahren
Wie beschrieben müssen die Festplatten auf dem Masterrechner und dem Zielcomputer mindestens die gleiche Größe aufweisen. Es ist jedoch auch möglich, Festplatten zu benutzen, die über mehr Speicherkapazität verfügen als die ursprüngliche Festplatte des Masterrechners. In diesem Fall kann die Partition des Zielcomputers mit Hilfe des Befehls ExtendOemPartition erweitert werden. Dieses Verfahren funktioniert jedoch nur bei NTFS-Partitionen (weshalb bei Verwendung dieses Parameters vorsichtshalber vorab eine Konvertierung durchgeführt werden sollte) und bei Einsatz einer Antwortdatei. Wenn der Schlüssel ExtendOemPartition in einer Antwortdatei verwendet wird, erweitert Setup die Partition um verfügbare unpartitionierte Bereiche, die sich an diese Partition anschließen. Die nachstehenden Werte können für den Schlüssel ExtendOemPartition gesetzt werden: 왘
0: Setup erweitert die Partition nicht.
왘
1: Setup erweitert die Partition auf die gesamte Festplatte.
왘
Größe in MB: Setup erhöht die aktuelle Partitionsgröße um den angegebenen Wert.
Konfiguration des Masterrechners Der Einrichtungsprozess für den Masterrechner, der zum Duplizieren der Festplatte verwendet werden soll, erfordert die folgenden Arbeitsschritte: 1. Installieren Sie Windows XP Professional auf dem Masterrech- Erforderliche Arbeitsschritte ner. 2. Installieren Sie anschließend alle erforderlichen Anwendungen. Hierbei kann es sich sowohl um Standardanwendungen (wie Virenscanner oder Microsoft Office) als auch um branchenspezifische Programme handeln. Auch die Konfiguration allgemeingültiger Einstellungen, wie beispielsweise lokaler Computerrichtlinien, ist möglich. 3. Löschen Sie individuelle Daten, wie beispielsweise Überwachungs- bzw. Ereignisprotokolle, und alle nicht benötigten Profile. 4. Außerdem ist es sinnvoll, die Auslagerungsdatei zu löschen oder auf eine andere Partition zu verlagern. Da Windows XP insbesondere bei knappem Arbeitsspeicher ohne Auslagerungsdatei Probleme machen kann, ist der zweite Weg vorzuziehen.
73
Sandini Bib
2 Betriebssysteminstallation
5. Der letzte Arbeitsschritt umfasst die Installation und Ausführung von SYSPREP. Dieser Arbeitsschritt wird im folgenden Abschnitt ausführlich vorgestellt. Löschen der Auslagerungsdatei Das Dialogfenster zur Konfiguration der Auslagerungsdatei ist über folgenden Weg zu erreichen: In der Registerkarte ERWEITERT des Dialogfensters SYSTEMEIGENSCHAFTEN (START/EINSTELLUNGEN/SYSTEMSTEUERUNG) ist die Option SYSTEMLEISTUNG/EINSTELLUNGEN zu wählen. In dem sich öffnenden Dialogfenster LEISTUNGSOPTIONEN Registerkarte ERWEITERT kann nun unter VIRTUELLER ARBEITSSPEICHER die Option ÄNDERN gewählt werden. Hier ist entweder die Option KEINE AUSLAGERUNGSDATEI zu aktivieren oder ggf. die Auslagerungsdatei auf einem anderen Laufwerk neu einzurichten. Findet Windows XP nach dem Start auf dem neuen Zielrechner keine Auslagerungsdatei, wird diese automatisch neu erstellt. Abbildung 2.15: Löschen der Auslagerungsdatei auf dem Masterrechner
Installation und Ausführung von SYSPREP SYSPREP ist Bestandteil der Windows XP-Bereitstellungs-Tools, die sich in der Datei Deploy.cab im Ordner \Support\Tools auf der
74
Sandini Bib
Automatisierte Installationsverfahren
Betriebssystem-CD-ROM von Windows XP Professional befinden. Es sollte jedoch immer die jeweils aktuellste Version von SYSPREP verwendet werden. Diese stellt Microsoft im Download-Center zur Verfügung (siehe hierzu die Hinweise in Kapitel 2.4.3). Im ersten Schritt müssen die beiden Dateien Sysprep.exe und Sysprep.exe und Setupcl.exe in den neu einzurichtenden SYSPREP-Ordner im Stamm- Setupcl.exe verzeichnis des Systemlaufwerks (%Systemdrive%\Sysprep) kopiert werden. Zur Durchführung der Änderungen startet SYSPREP das Programm Setupcl.exe. Dieses führt die folgenden Aufgaben durch: 왘
Erstellen eines neuen SID für den Computer
왘
Starten des Assistenten für die Mini-Installation
Anschließend kann SYSPREP entweder manuell oder im Rahmen SYSPREP starten eines automatischen Setup in einer Antwortdatei gestartet werden. Hierzu ist der Abschnitt [GuiRunOnce] der Antwortdatei für die automatische Ausführung von Sysprep.exe zu konfigurieren. Die beiden Dateien Sysprep.exe und Setupcl.exe müssen sich in diesem Fall in dem Distributionsordner des Unterverzeichnisses $OEM$\$1\Sysprep\ befinden. Weiterhin kann eine GUI-basierte Variante von SYSPREP gestartet werden, indem zum Ordner SYSPREP gewechselt und die Datei Sysprep.exe mit einem Doppelklick ausgeführt wird. Das Dialogfeld SYSTEMVORBEREITUNGSPROGRAMM wird nach der SysprepBestätigung des Hinweises über den Neustart angezeigt. Hier las- Benutzeroberfläche sen sich die folgenden Aufgaben durchführen: 왘
Herstellermodus SYSPREP kann im Herstellermodus ausgeführt werden, um eine vollständig vorinstallierte Windows XP-Installation zum Duplizieren zu erstellen. Dazu generiert SYSPREP einen eindeutigen SID für den neuen Computer, sodass dieser problemlos ins Netzwerk eingebunden werden kann. Außerdem können in diesem Modus zusätzliche Treiber und Anwendungen zum SYSPREP-Abbild hinzugefügt werden. Dies entspricht dem Parameter /factory bei Ausführung von SYSPREP von der Eingabeaufforderung.
왘
Überwachungsneustartmodus Dieser Modus ermöglicht das manuelle Testen der Installation im Herstellermodus und erlaubt es, eine fertige Windows XPInstallation zu überprüfen. Dabei wird kein neuer SID generiert.
왘
Neuversiegelungsmodus
75
Sandini Bib
2 Betriebssysteminstallation
SYSPREP erlaubt die Generierung eines Mini-Setup, welches der Benutzer nach dem ersten Einschalten vorfindet. Hier muss er dann nur noch ergänzende Angaben wie die Seriennummer oder seinen Namen vornehmen. Wenn im Herstellermodus Änderungen erfolgt sind, kann der Computer anschließend im Neuversiegelungsmodus in den Auslieferungszustand versetzt werden Dies entspricht dem Parameter /reseal bei Ausführung von SYSPREP von der Eingabeaufforderung. Abbildung 2.16: Die Benutzeroberfläche von SYSPREP
Eingabeaufforderung
Wird SYSPREP von der Eingabeaufforderung aus gestartet, stehen die folgenden optionalen Parameter zur Verfügung: 왘 /quiet
Bei Verwendung dieses Parameters wird SYSPREP ohne Anzeige von Bildschirmmeldungen ausgeführt. 왘 /nosidgen
SYSPREP erstellt in diesem Fall keinen neuen SID. Diese Option ist zu verwenden, wenn der Computer, auf dem SYSPREP ausgeführt wird, nicht dupliziert werden soll. 왘 /pnp
Bei Verwendung dieses Parameters wird eine vollständige Hardware-Erkennung erzwungen, wenn der Computer neu gestartet wird, wobei auch nach Nicht-Plug&Play-Geräten gesucht wird. Da dieser Modus die Dauer des Mini-Setup verlängert, sollte er nur auf Zielcomputern verwendet werden, die Nicht-Plug&Play-fähige Geräte enthalten. 왘 /reboot
76
Sandini Bib
Automatisierte Installationsverfahren
Wird SYSPREP mit diesem Parameter gestartet, führt SYSPREP einen automatischen Neustart durch, nachdem der Computer durch SYSPREP heruntergefahren wurde.
77
Sandini Bib
2 Betriebssysteminstallation 왘 /activated
Verhindert das Zurücksetzen der Windows-Produktaktivierung. Wird dieser Parameter nicht gesetzt, setzt SYSPREP die Produktaktivierung maximal dreimal zurück. 왘 /factory
Das Abbild kann während der Ausführung von SYSPREP nach dem Neustart des Computers um zusätzliche Gerätetreiber und Anwendungen ergänzt werden. Diese Vorgehensweise entspricht dem Herstellermodus bei Ausführung von SYSPREP in der Benutzeroberfläche. 왘 /reseal
Wenn das Abbild im Herstellermodus (mit dem Parameter /factory) modifiziert wurde, kann es mit diesem Parameter erneut versiegelt werden, um den Computer in den Auslieferungszustand zu versetzen. 왘 /msoobe
Zeigt den Windows-Begrüßungsbildschirm beim nächsten Neustart des Computers an. 왘 /forceshutdown
Dieser Parameter ist in Zusammenhang mit dem Parameter /reseal zu verwenden. Damit wird das Betriebssystem entsprechend vorbereitet und danach ohne Benutzereingriff heruntergefahren. 왘 /mini
Führt beim nächsten Neustart des Computers das Mini-Setup aus. Das Windows XP-Systemvorbereitungsprogramm fügt dem Image auf dem Masterrechner einen Mini-Setup-Assistenten hinzu. Der Mini-Setup-Assistent wird nach dem Start des Rechners ausgeführt, auf den das Masterimage kopiert wird. Wird SYSPREP mit dem Parameter /mini ausgeführt, kann optional auch die Antwortdatei Sysprep.inf zur Beantwortung der angeforderten Informationen verwendet werden. Das Ausführen von SYSPREP führt zum einen zur Änderung einiger Sicherheitsparameter und zum anderen zu einer „MiniNeuinstallation“ des Masterrechners durch den Mini-SetupAssistenten nach dem Neustart. Beim Masterrechner sollte es sich deshalb nicht um ein produktiv eingesetztes System handeln.
78
Sandini Bib
Automatisierte Installationsverfahren
Festplatten-Image erstellen Nach der Ausführung von SYSPREP ohne den Befehlszeilenparameter /reboot wird das System heruntergefahren. Wichtig ist, dass nach der Ausführung von SYSPREP auf dem Masterrechner zunächst kein Neustart erfolgt. Nachdem der Rechner heruntergefahren wurde, muss zuerst mit dem Festplattenabbildungsprogramm eines Drittanbieters ein Abbild (Image) der Festplatte erstellt werden. Je nach verwendetem Werkzeug ist es möglich, das Masterfestplatten-Image in einem freigegebenen Ordner im Netzwerk oder auf einer CD-ROM bzw. DVD zu speichern.
SYSPREP ausführen
Bei der Auswahl des Festplattenabbildungsprogramms ist darauf zu achten, dass das NTFS-Dateisystem von Windows 2000/XP unterstützt wird. Weiterhin muss das Programm lange Dateinamen verarbeiten können. Mit Norton Ghost 2005 können alle Aufgaben durchgeführt werden, die das Duplizieren und Kopieren von PC-Festplatten betreffen. So können ganze Datenträger oder ausgewählte Partitionen aktualisiert, gesichert und wiederhergestellt werden. Symantec vertreibt Norton Ghost aktuell in der Version 9.0. Diese läuft unter Windows XP Home, Windows XP Professional und unter Windows 2000 Professional. Für die Duplizierung unterstützt Ghost 9.0 interne und externe Laufwerke mit Schnittstellen für USB, USB2 und FireWire.
Beispiel: Ghost 2005
Ein Vorteil von Ghost 9.0 liegt in der sehr guten Unterstützung der Netzwerkanbindung. So ist es sowohl möglich, eine ImageDatei direkt in einem freigegebenen Verzeichnis im Netzwerk zu speichern, als auch mit Hilfe der bootbaren Ghost-CD-ROM bei einem neuen Rechner Zugriff auf das Netzlaufwerk mit der Image-Datei zu erhalten und die Installation über das Netzwerk zu starten. Dabei lädt Ghost die erforderlichen Netzwerklaufwerke auf den Computer, sodass auf Image-Dateien im Netzwerk zugegriffen werden kann. Voraussetzung ist der Bezug oder die Eingabe einer statischen IP-Adresse und Adresse der Subnetzmaske. Da während der Ausführung des Assistenten zum Wiederherstellen des Systems keine Computernamen aufgelöst werden können, lässt sich das Netzwerk nur mit Hilfe einer IP-Adresse nach einer Image-Datei durchsuchen. Norton Ghost 9.0 Hersteller:
Symantec
Preis:
69,95 EUR (Update 39,95 EUR)
79
Sandini Bib
2 Betriebssysteminstallation
Norton Ghost 9.0 URL:
http://www.symantec.com/region/de/product/ghost/pe_ index.html
Zur Duplizierung einer Windows XP-Installation sollte sinnvollerweise aktuell das Service Pack 2 auf dem Masterrechner installiert sein. In diesem Fall ist darauf zu achten, dass Ghost nicht mit aktivierter Firewall funktioniert, also zu Systemabstürzen führt. Auch die auf der Webseite von Symantec beschriebene Problemlösung mit Änderung der Datenausführungsverhinderungsrichtlinie durch einen Eintrag in der Boot.ini (Symantec Dokument ID:20041027165030976) funktioniert nicht zuverlässig. Einsatz einer Antwortdatei Nach dem Start des Rechners, auf den das Masterimage kopiert wurde, wird der Mini-Setup-Assistent ausgeführt. Standardmäßig führt dieser den Benutzer durch die Eingaben der erforderlichen rechner- und benutzerspezifischen Daten. Dabei werden Dialogfelder zur Eingabe der folgenden Informationen eingeblendet:
Sysprep.inf
80
왘
Endbenutzer-Lizenzvertrag
왘
Produkt-ID
왘
Ländereinstellungen
왘
Benutzername
왘
Firmenbezeichnung
왘
TAPI-Einstellungen (diese werden nur angezeigt, wenn auf dem Computer ein Modem vorhanden ist)
왘
Netzwerkkonfiguration
왘
Mitgliedsdomäne oder -arbeitsgruppe
왘
Zeitzone
SYSPREP erlaubt die Verwendung einer Antwortdatei. Wird SYSPREP mit dem Parameter /MINI ausgeführt, kann optional auch eine Antwortdatei zur Beantwortung der angeforderten Informationen verwendet werden. Diese muss zwingend Sysprep.inf heißen. Die Datei Sysprep.inf enthält Standardparameter, die verwendet werden können, um entsprechende Antworten zur Verfügung zu stellen. Hierdurch werden die erforderlichen Benutzereingaben und somit mögliche Fehler reduziert. Gespeichert werden muss die Datei Sysprep.inf zwingend im Ordner %systemdrive%\ sysprep oder auf einer Diskette.
Sandini Bib
Automatisierte Installationsverfahren
Die Syntax und die Schlüsselnamen dieser .inf-Datei sind mit denen der Setup-Antwortdatei identisch. Eine genaue Beschreibung von Antwortdateien finden Sie in Kapitel 2.4.3. Findet der Mini-Setup-Assistent die Datei Sysprep.inf nicht oder kann auf diese nicht zugegriffen werden, zeigt der Assistent für die Mini-Installation alle vorhandenen Dialogfelder an. Enthalten einige Abschnitte der Datei keine Einträge, zeigt er nur die Dialogfelder an, für die in der Antwortdatei keine Antworten zur Verfügung gestellt werden. Zur Erstellung der Antwortdatei kann ebenfalls der INSTALLATIONSMANAGER Verwendet werden, der Bestandteil der Windows XP-Bereitstellungs-Tools ist, die sich in der Datei Deploy.cab im Ordner \Support\Tools auf der Betriebssystem-CD-ROM von Windows XP Professional befinden. Nach einem Doppelklick auf die Datei Deploy.cab kann hier das Programm Setupmgr.exe gestartet werden. Es ist unbedingt zu empfehlen, die jeweils aktualisierten Tools zu verwenden. Die aktuelle Version für Service Pack 2 kann mit der folgenden Datei aus dem Microsoft Download-Center heruntergeladen werden: WindowsXP-KB838080-SP2-DeployTools-DEU.cab.
Erstellung von Sysprep.inf
Da alle in der Datei Sysprep.inf oder während der Mini-Installation angegebenen Kennwörter nur dann gültig sind, wenn für die ursprüngliche Quelle des Abbilds (Masterrechner) ein leeres Kennwort angegeben wurde, sollte ein leeres Kennwort für das lokale Administratorkonto festgelegt werden. Andernfalls wird das auf dem Mastercomputer verwendete Kennwort auf dem neu installierten Computer benutzt. Dieses kann dann nur geändert werden, indem eine Anmeldung als lokaler Administrator durchgeführt und das Kennwort manuell geändert wird.
2.3.5
Remote-Installationsdienste (RIS)
Der Remote Installation Service (RIS) ist eine Technologie, die mit Windows 2000 eingeführt wurde und die eine unbeaufsichtigte und angepasste unternehmensweite Installation von Windows 2000 Professional und Windows XP über das Netzwerk ermöglicht. Dabei handelt es sich um eine Installation von Images, die von einem RIS-Server über das Netzwerk kopiert werden. RIS dient zur Installation von Client-Rechnern ohne Betriebssystem und ausgefallener Computer, deren Betriebssysteme wiederhergestellt werden muss. Da beim Einsatz von RIS alle Daten von
81
Sandini Bib
2 Betriebssysteminstallation
der Festplatte gelöscht werden, kann RIS nicht zum Upgrade eines bestehenden Betriebssystems verwendet werden. Das Thema RIS ist sehr komplex und kann daher im Rahmen des vorliegenden Buches nur als grundlegende Einführung vorgestellt werden. Der folgende Abschnitt beschränkt sich deshalb auf die Erläuterung der wichtigsten Punkte der Planung und Einrichtung aus der RIS-Client-Perspektive sowie auf die Vorstellung der wichtigsten Assistenten. Die serverseitige Einrichtung von RIS wird nicht betrachtet. Die RIS-Technologie im Überblick RIS-Server
Bei der RIS-basierten Installation greifen die Client-Rechner auf einen RIS-Server zu, der automatisierte und angepasste Versionen von Windows XP zur Installation bereitstellt. Als RIS-Server können sowohl Windows 2000 Server als auch Server mit dem Windows Server 2003-Betriebssystem fungieren. Allerdings ist bei Verwendung eines Windows 2000 Servers ein Patch erforderlich. Erst nach dessen Installation auf dem Windows 2000 Server ist es möglich, Windows XP-Abbilder von einem Windows 2000 RISServer aus zu erstellen oder bereitzustellen. Das Update steht unter dem Dateinamen Q313069_W2K_SPL_x86_en.EXE kostenlos im Microsoft Download Center zur Verfügung. Erforderlich ist eine Festplatte mit mindestens zwei Partitionen, die mit dem ASSISTENTEN ZUR INSTALLATION DER REMOTE-INSTALLATIONSDIENSTE Konfiguriert werden muss. Weiterhin werden Active Directory und DHCP für RIS zwingend vorausgesetzt.
RIS-Clients
Clientseitig werden Computer benötigt, die die Dienste zur Installation von einem RIS-Server und PXE (Preboot eXecution Environment für Remote-Start) unterstützen bzw. über eine Netzwerkkarte verfügen, die von der Remote Installation Service-Boot-Diskette unterstützt wird. Dies ist bei allen marktgängigen Netzwerkkarten der Fall. PXE (Preboot eXecution Environment) RIS verwendet eine Remote-Starttechnologie, um es einem Computer ohne Betriebssystem zu ermöglichen, eine Installation vom Netzwerkadapter aus zu starten, um beispielsweise ein Betriebssystem über das Netzwerk zu installieren. Diese Remote-Starttechnologie wird PXE (Preboot eXecution Environment) genannt.
82
Sandini Bib
Automatisierte Installationsverfahren
Netzwerkkartenhersteller können den PXE-ROM-Code in einem Speicherbaustein als Teil der eigentlichen Netzwerkkarte einbetten. Der Speicherbaustein ist meist ein kleines, aus Silikon bestehendes Teil, das unabhängig vom System-BIOS aktualisiert werden kann. Einige Hersteller produzieren einen auf PXE basierenden Startcode als Teil des Client-Systems. Die meisten mit Net-PC kompatiblen Computer besitzen beispielsweise eine Netzwerkkarte mit PXE-Start-ROM. Falls der Computer den Start mit PXE-Start-ROM nicht unterstützt, wird die Remote-Installation des Betriebssystems mit der Remote-Startdiskette ausgeführt. Die Startdiskette ist ein PXE-Emulator, der über die PCI-Netzwerkkarte eine Verbindung zum RIS-Server herstellt. ISA- und PCMCIA-Netzwerkkarten werden nicht unterstützt. Während der Installation eines Client mit RIS laufen auf dem ClientRechner die folgenden Prozesse ab:
RIS-Prozess
1. Der Client fordert eine IP-Adresse vom DHCP-Server an. 2. Der Client fordert mittels PXE die IP-Adresse eines Startservers an (wenn der Startserver nicht gleichzeitig der DHCP-Server ist). Dazu wird der Active Directory-Verzeichnisdienst überprüft, um festzustellen, welcher Startserver die Client-Anforderung beantworten kann. Dann werden dem Client die Namen des RIS-Servers und der Datei übermittelt, die der Clientcomputer herunterladen muss, um den Installationsprozess zu starten. 3. Der Client nimmt Verbindung zum Startserver auf und lädt den Clientinstallationsassistenten herunter. Danach wird die Installation gestartet. Um RIS innerhalb eines Unternehmens zu installieren, zu konfigurieren und zu implementieren, stehen verschiedene Assistenten zur Verfügung: 왘
ASSISTENT ZUR INSTALLATION DER REMOTE-INSTALLATIONSDIENSTE (RIS-Setup.exe)
RIS-Assistenten
Dieser Assistent unterstützt die Einrichtung des RIS-Servers. RIS kann bereits während der Server-Installation oder auch nachträglich installiert werden. 왘
ASSISTENT ZUR VORBEREITUNG DER REMOTEINSTALLATION (RIPrep.exe) RIPrep ermöglicht die Erstellung eines angepassten Abbilds eines Windows XP Masterrechners. Dabei wird ein Replikat einer Festplatte generiert, das später auf anderen Computern
83
Sandini Bib
2 Betriebssysteminstallation
im Unternehmen installiert werden kann. Das Abbild kann wahlweise nur das Betriebssystem enthalten oder ein vollständiges konfiguriertes Windows XP-System mit allen erforderlichen Desktop-Anwendungen. 왘
CLIENTINSTALLATIONSASSISTENT (OSChooser) OSChooser ist das textbasierende und mit dem RIS-Server kommunizierende Programm auf der Client-Seite. Benutzer von Clients mit Remoteboot-Funktion melden sich mit dem Clientinstallationsassistenten an und wählen BetriebssystemInstallationsoptionen aus. Dabei können die Setup-Bildschirme den Anforderungen des Unternehmens angepasst werden.
Planung und Vorbereitung der Client-Rechner RIS ermöglicht es dem Administrator, Windows XP Professional und weitere Anwendungen für eine bestimmte Benutzergruppe zu konfigurieren. Diese Konfiguration kann anschließend zur Installation des Betriebssystems auf Clientcomputern angewendet werden. Der RIS-Server verfügt dazu über das Betriebssystemabbild, das entweder von der Windows XP-Betriebssystem-CD-ROM oder mit dem ASSISTENTEN ZUR VORBEREITUNG DER REMOTEINSTALLATION installiert wird. Daraus ergeben sich zwei unterschiedliche Arten der Installation von Clients mit RIS: Verfügbare Installationsarten
왘
Installation mit CD-Abbild Bei dieser Installationsart können Netzwerkadministratoren eine Standardkonfiguration mit dem Windows XP-Betriebssystem und Desktop-Anpassungen duplizieren. Nachdem die zugehörigen Dienste und die Standardanwendungen auf einer Windows XP-Arbeitsstation installiert und konfiguriert wurden, wird das Installationsabbild vorbereitet und auf die bzw. den verfügbaren RIS-Server(n) repliziert. Remotebootfähige Clientcomputer können dann die lokale Installation dieses Abbilds von einem RIS-Server im Netzwerk anfordern.
왘
Verwendung von Installationspaketen Die zweite Alternative entspricht dem direkten Einrichten einer Arbeitsstation von der Windows XP-Betriebssystem-CDROM. Diese Option verläuft ähnlich wie das Einrichten eines Client mit CD-ROM. Der Unterschied besteht darin, dass die Quelldateien bei dieser Option auf einem RIS-Server abgelegt sind. RISetup-Abbilder werden mit RISetup.exe erstellt, dem Programm, das ausschließlich auf Servern ausgeführt werden kann und daher nicht Bestandteil von Windows XP ist.
84
Sandini Bib
Automatisierte Installationsverfahren
Um sicherzustellen, dass eine Remote-Installation erfolgreich durchgeführt werden kann, müssen die Clientcomputer für die Installation von einem RIS-Server vorbereitet werden. Hierzu gehören die folgenden Vorarbeiten: 왘
ClientVorbereitung
Sicherstellen der Hardware-Anforderungen des Clientcomputers Riprep.exe ist flexibler als Sysprep.exe, weil es über das Netzwerk im Setup-Textmodus gestartet wird und die Variationsbreite unterstützter Hardware-Plattformen daher größer ist, was den Einsatz unterschiedlicher Massenspeicher-Controller ermöglicht. Wie bei der Installation mit Hilfe von SYSPREP muss die Hardware des Zielcomputers nicht mit der Hardware des Mastercomputers identisch sein, da der Assistent die Plug&Play-Unterstützung nutzt, um die Unterschiede zwischen der Hardware auf dem Masterrechner und auf dem Zielrechner zu ermitteln. Lediglich die HAL-Treiber müssen die gleichen sein, d.h. beide HALs müssen entweder ACPI-basiert oder nicht-ACPI-basiert sein. Dies stellt in der Praxis jedoch selten ein Problem dar, weil die meisten Client-Rechner keine eindeutigen HAL-Treiber benötigen. Allerdings muss das RISetup-Abbild auf derselben Sprache und derselben Version des Betriebssystems basieren wie das Betriebssystem auf dem Masterrechner. Zusätzlich müssen die folgenden Anforderungen von den RISClient-Rechnern erfüllt werden:
왘
왘
Ausstattung mit einem bootfähigen Netzwerkadapter bzw. einer Netzwerkkarte
왘
Die Festplatte des Computers, der abgebildet werden soll, darf nur eine Partition aufweisen. Wenn die Festplatte des Clientcomputers in mehrere Partitionen unterteilt ist, wird eine Meldung angezeigt und nur die Systempartition (mit dem Windows-Ordner) wird kopiert. Werden für die Startund Systempartition unterschiedliche Partitionen verwendet, ist das Abbild unbrauchbar.
왘
Die Festplatte auf dem Zielcomputer muss mindestens die gleiche Größe wie die Festplatte auf dem Masterrechner aufweisen.
왘
Der Clientcomputer darf bei der Abbilderstellung keine verschlüsselten Dateien enthalten.
Konfiguration der Benutzerrechte Damit Benutzer berechtigt sind, RIS zum Installieren von Windows XP auf Clientcomputern zu verwenden, benötigen sie die entsprechenden Berechtigungen zum Erstellen von Computerkonten innerhalb der Domäne.
85
Sandini Bib
2 Betriebssysteminstallation 왘
Festlegung der Installationsoptionen Auf dem RIS-Server können Gruppenrichtlinieneinstellungen verwendet werden, um die Installationsoptionen einzuschränken, die Benutzern während der Remote-Installation zur Verfügung stehen. Eingeschränkte Zugriffsmöglichkeiten auf Abbilder werden über Zugriffsberechtigungen für die Ordner gesteuert, die die Installationsabbilder enthalten.
왘
Konfiguration der Boot-Reihenfolge im BIOS Der Netzwerkadapter des Clientcomputers muss in den BIOSEinstellungen des Systems als Startlaufwerk konfiguriert werden. Dadurch kann der Clientcomputer den Remote-Start vom RIS-Server im Netzwerk anfordern.
Verwenden von RIPrep zur Vorbereitung der Remote-Installation Der ASSISTENT ZUR VORBEREITUNG DER REMOTEINSTALLATION (RIPrep.exe) kann für die Abbildung der Festplatte der Windows XP Professional-Masterinstallation und die anschließende Replikation dieses Abbilds auf einen verfügbaren RIS-Server im Netzwerk verwendet werden. Der Assistent unterstützt jedoch nur die Replikation einer Einzelpartition-Installation (Laufwerk C:). Dies bedeutet, dass sich das Betriebssystem und die in der Standardinstallation enthaltenen Anwendungen auf Laufwerk C: befinden müssen, bevor der Assistent ausgeführt wird. Arbeitsschritte
Insgesamt umfasst die Erstellung eines RIS-Abbilds die folgenden Arbeitsschritte: 1. Installieren Sie das Betriebssystem einschließlich aller Anwendungen auf dem Mastercomputer und konfigurieren Sie den Clientcomputer mit den erforderlichen Unternehmenseinstellungen. Verwenden Sie dazu am besten eine integrierte Installation, bei der das Service Pack 2 bereits während des Installationsprozesses mit installiert wird. Die Konfiguration des Mastercomputers sollte ausreichend getestet werden, da nach der Replikation des Abbilds auf den RIS-Server keine Änderungen am Abbild mehr möglich sind. Insbesondere ist es nachträglich nicht mehr möglich, das Service Pack 2 mit der Option /integrate direkt in ein vorhandenes CD-basiertes Abbild oder RIPrep-Abbild zu integrieren. 2. Löschen Sie individuelle Daten, wie beispielsweise Überwachungs- oder Ereignisprotokolle, und alle nicht benötigten Profile.
86
Sandini Bib
Übertragen von Dateien und Einstellungen
3. Erstellen Sie von dem Mastercomputer eine Verbindung zu einem RIS-Server und führen Sie Riprep.exe aus, um den ASSISTENTEN ZUR VORBEREITUNG DER REMOTEINSTALLATION zu starten. Handelt es sich bei dem RIS-Server um einen Server unter Windows Server 2000, muss zuvor eine aktualisierte Version der Remote-Installationsdienste auf dem Server installiert werden, da Windows 2000 standardmäßig nicht die Erstellung von Windows XP RIS-Abbildern unterstützt. 4. Geben Sie den Namen des RIS-Servers ein, auf den das Abbild des Masterrechners repliziert werden soll, und den Namen des gewünschten Ordners. Der Name des RIS-Servers, von dem der Assistent ausgeführt wird, wird als Voreinstellung verwendet. 5. Anschließend können eine Beschreibung und ein Hilfetext für das Abbild eingegeben werden. Diese Komponenten werden dem Benutzer bei der Auswahl des Betriebssystemabbilds angezeigt und dienen zur Unterscheidung der Abbilder. Nach dem Abschluss aller Einrichtungsarbeiten wird der Prozess für die Vorbereitung des Abbilds und die Replikation gestartet. Dabei werden die Dateien auf den RIS-Server kopiert. Sobald die Abbildreplikation fertig gestellt ist, können Clientcomputer, die die beschriebenen Anforderungen erfüllen. das Abbild mit dem Clientinstallationsassistenten auswählen und installieren. Auf dem Server muss zumindest ein RISetup-Abbild vorhanden sein, damit Benutzer auf die Systemdateien zugreifen können.
2.4
Abschließende Arbeiten
Übertragen von Dateien und Einstellungen
Die Benutzereinstellungen werden in allen Windows-Versionen in den Benutzerprofilen gespeichert. Handelt es sich dabei um serverbasierte Profile, stehen dem Benutzer die darin gespeicherten Einstellungen auch nach dem Wechsel des Betriebssystems auf dem Arbeitsplatzrechner zur Verfügung. Schwieriger wird es, wenn lokale Profile verwendet werden. Bei einer Neuinstallation des Arbeitsplatzrechners gehen diese verloren und der Benutzer verfügt nicht mehr über seine Einstellungen. In dieser Situation können zwei Werkzeuge von Windows XP weiterhelfen, die für verschiedene Benutzer und Situationen ausgelegt sind.
87
Sandini Bib
2 Betriebssysteminstallation
Es handelt sich hierbei einerseits um den ASSISTENTEN ZUM ÜBERTRAGEN VON DATEIEN UND EINSTELLUNGEN und andererseits um das User State Migration Tool (USMT). Während der Assistent zum Übertragen von Dateien und Einstellungen für den Einsatz im privaten Umfeld und in kleinen Netzwerken ausgelegt ist, kann das USMT aufgrund der Scripting-Funktionalität (durch Anpassung von .inf-Dateien) auch in großen Unternehmensumgebungen eingesetzt werden. Hierbei stellt das USMT im Wesentlichen dieselbe Funktionalität wie der Assistent bereit.
2.4.1
Assistent zum Übertragen von Dateien und Einstellungen
Der Assistent vereinfacht die Umstellung auf Windows XP, indem er Benutzern die Migration ihrer Dateien und Einstellungen ermöglicht. Allerdings arbeitet der Assistent benutzerbezogen: Existieren auf dem Quellsystem also mehrere Benutzerkonten, müssen deren Einstellungen einzeln übertragen werden. Einsatzmöglichkeiten Die Übernahme der Einstellungen ist möglich von Computern unter Windows 9.x, Windows ME, Windows NT 4.0 Workstation, Windows 2000 Professional und Windows XP. Übernehmbare Einstellungen
Übernommen werden das Verzeichnis Eigene Dateien und die persönlichen Einstellungen folgender Bereiche: 왘
Darstellung Hierzu zählen Einstellungen wie beispielsweise Hintergrundbild, Farben, akustische Signale und die Position der Taskleiste.
왘
Aktion Dazu gehören Einstellungen wie beispielsweise die Tastenwiederholungsgeschwindigkeit, ob ein Verzeichnis durch Doppelklicken in einem neuen Fenster oder in demselben Fenster geöffnet wird und ob zum Öffnen eines Elements einfach oder doppelt darauf zu klicken ist.
왘
Internet Dies sind Einstelllungen, die die Internetverbindungen und den Browser betreffen. Dazu gehören auch Punkte wie beispielsweise Favoriten, Cookies, Sicherheitseinstellungen, DFÜ-Verbindungen und Proxy-Einstellungen.
88
Sandini Bib
Übertragen von Dateien und Einstellungen 왘
Mail Hierzu zählen Informationen, die zur Verbindung mit dem E-Mail-Server benötigt werden, sowie Signaturdateien, Ansichten, E-Mail-Regeln und lokale E-Mailadressen sowie Kontaktadressen. Unterstützt werden die E-Mail-Clients Outlook und Outlook Express.
Daneben unterstützt der Assistent die Migration spezieller Anwendungseinstellungen, beispielsweise für die Microsoft Office-Produkte. Zu beachten ist, dass hierbei nicht die tatsächlichen Anwendungen migriert werden, sondern lediglich deren Einstellungen. Die Notwendigkeit der Installation dieser Anwendungen bleibt davon unberührt.
Anwendungseinstellungen
Daten auf dem Quellrechner sammeln Im ersten Schritt ist der Assistent auf dem Quellcomputer auszuführen. Der Assistent kann von der Windows XP-BetriebssystemCD-ROM durch einfaches Einlegen der CD-ROM bei aktivierter Autoplay-Funktion bzw. durch Ausführen der Datei Setup.exe gestartet werden. In dem Willkommensdialogfenster ist zunächst die Option ZUSÄTZLICHE AUFGABEN AUSFÜHREN und anschließend die Option DATEIEN UND EINSTELLUNGEN ÜBERTRAGEN auszuwählen. Abbildung 2.17: Auswahl der zu übertragenden Dateien und Einstellungen
89
Sandini Bib
2 Betriebssysteminstallation Speicherort auswählen
Nach der Auswahl der Dateien und Einstellungen beginnt die Sammlung der Informationen. Der Speicherort ist vorab auszuwählen. Hierbei kann es sich um ein Wechselmedium oder um ein Verzeichnis auf einem Netzlaufwerk handeln. Auch die Verwendung einer direkten Verbindung mittels LAN oder seriellem Kabel zwischen Quell- und Zielcomputer (Online-Übertragung) ist möglich. Daten auf dem Zielrechner übernehmen Anschließend muss der Assistent auf dem Zielcomputer ausgeführt werden, auf dem zwingend Windows XP (Home oder Professional) installiert sein muss. Eine Übertragung von Einstellungen oder Dateien von einem Windows XP-Rechner beispielsweise nach Windows 2000 Professional ist nicht möglich. Auf einem Windows XP-Rechner kann der Assistent von der Installations-CD-ROM gestartet werden. Da er hier aber bereits installiert ist, ist der Assistent auch unter SYSTEMPROGRAMME im Startmenü zu finden.
Abbildung 2.18: Auswahl des XP-Rechners als Zielsystem
Im Anschluss an die erfolgreiche Übertragung der Daten ist eine Neuanmeldung am System erforderlich. Hierbei werden die Benutzerrechte für die übertragenden Dateien und Einstellungen aktiviert.
90
Sandini Bib
Übertragen von Dateien und Einstellungen
2.4.2
User State Migration Tool (USMT)
Das User State Migration Tool stellt im Wesentlichen dieselbe Funktionalität bereit wie der Assistent zum Übertragen von Dateien und Einstellungen. Es bietet jedoch zusätzlich die Möglichkeit, mittels Skript die Einstellungen mehrerer Benutzer gleichzeitig zu übertragen und die erzeugten .inf-Dateien zu bearbeiten, um Änderungen an spezifischen Einstellungen vorzunehmen. Das USMT unterstützt als Quellsystem Windows 95, Windows 98, Voraussetzungen Windows NT Workstation 4.0 und Windows 2000. Darüber hinaus erfordert das USMT, dass der Client Mitglied einer Domäne ist. Das User State Migration Tool besteht aus den beiden ausführbaren Dateien ScanState.exe und LoadState.exe sowie aus vier Informationsdateien mit Migrationsregeln (Migapp.inf, Migsys.inf, Miguser.inf und Sysfiles.inf). 왘
ScanState.exe sammelt die Benutzerdaten und -einstellungen basierend auf den Informationen, die in Migapp.inf, Migsys.inf, Miguser.inf und Sysfiles.inf enthalten sind.
왘
LoadState.exe kopiert die Benutzerstatusdaten auf einen Computer, auf dem eine neue (nicht aktualisierte) Installation von Windows XP Professional ausgeführt wird.
Alle Dateien befinden sich auf der Windows XP-BetriebssystemCD-ROM im Verzeichnis \Valueadd\Msft\usmt. Im einfachsten Fall wird die standardmäßige .inf-Datei mit Migrationsregeln (Sysfiles.inf) für die Migration verwendet. Zusätzlich muss ein Skript erstellt werden, das auf der Client-Arbeitsstation ausgeführt wird. Das Skript sollte sinnvollerweise die folgenden Arbeitsschritte ausführen: 왘
ScanState.exe auf der Client-Arbeitsstation ausführen und die Benutzerstatusdaten in einen Zwischenspeicher kopieren
왘
Die Festplatte erneut formatieren und Windows XP Professional und die benötigten Anwendungen installieren. Mit Hilfe von Software zur Duplizierung von Festplatten kann dieser Vorgang automatisiert werden.
왘
Als lokaler Administrator LoadState.exe auf der Client-Arbeitsstation ausführen, um die Benutzereinstellungen wiederherzustellen. (Dies kann als geplanter Task im Kontext des lokalen Administrators ausgeführt werden.)
USMT einsetzen
91
Sandini Bib
2 Betriebssysteminstallation
Die beiden folgenden Tabellen zeigen die Syntax von ScanState.exe und LoadState.exe. scanstate[/c/iinput.inf]*[/lscanstate.log][/vverbosity_level] [/f] [/u] [/x] migration_path Tabelle 2.7: ScanState.exe Parameter
ScanStateParameter
Erklärung
/c
Ignoriert Fehler bei zu langen Dateinamen (filename_ too_long) und protokolliert betroffene Dateien in der Datei Longfile.log.
/f
Gibt an, dass Dateien migriert werden. Dieses Flag dient nur zur Fehlerbehebung.
/i
Gibt eine inf.-Datei mit Regeln an, in der definiert ist, welche Benutzerstatusdaten gesammelt werden. Es können auch mehrere INF-Dateien angegeben werden.
/l
Gibt eine Datei zur Protokollierung von Fehlern an.
/u
Gibt an, dass Benutzereinstellungen migriert werden. Dieses Flag dient nur zur Problembehandlung.
/v
Ermöglicht die ausführliche Ausgabe. Die Syntax ist /v #, wobei # für 1 bis 7 steht (1 ist weniger ausführlich und 7 sehr ausführlich).
/x
Gibt an, dass keine Dateien oder Einstellungen migriert werden sollen.
loadstate[/iinput.inf]*[/lloadstate.log][/v#][/f][/u][/x] migration_path Tabelle 2.8: LoadState.exe Parameter
92
LoadStateParameter
Erklärung
/f
Gibt an, dass Dateien migriert werden. Dieses Flag dient nur zur Fehlerbehebung.
/i
Gibt eine INF-Datei mit Regeln an, um definieren zu können, welcher Status migriert werden soll. Es können auch mehrere INF-Dateien angegeben werden.
/l
Gibt eine Datei zur Protokollierung von Fehlern an.
/v
Ermöglicht die ausführliche Ausgabe. Die Syntax ist /v #, wobei # für 1 bis 7 steht (1 ist weniger ausführlich und 7 sehr ausführlich).
/u
Gibt an, dass Benutzereinstellungen migriert werden. Dieses Flag dient nur zur Problembehandlung.
/x
Gibt an, dass keine Dateien oder Einstellungen migriert werden sollen.
Sandini Bib
Installation von Service Packs und Updates
2.5
Installation von Service Packs und Updates
Mit der Installation des Betriebssystems und ggf. der Übernahme benutzerspezifischer Einstellungen enden jedoch keineswegs die Installationsaufgaben. Vielmehr müssen regelmäßig Updates und auch Service Packs eingepflegt werden. Diese sind erforderlich, um ein System insbesondere sicherheitstechnisch auf dem neuesten Stand zu halten. In einer großen Netzwerkumgebung ist für die regelmäßige Systempflege ein nicht unbeträchtlicher Zeitaufwand erforderlich.
2.5.1
Installation von Service Pack 2
Mit dem Erscheinen von Service Pack 2 hatte Microsoft eine lebhafte Diskussion ausgelöst, ob und wann das Einspielen sinnvoll ist. Schließlich kursierten in den Wochen nach der Freigabe durch Microsoft eine Reihe negativer Installationsberichte. Inzwischen aber ist das Service Pack 2 ein Standard und immer mehr Produkte setzen dessen Installation voraus. Hierzu gehören nicht nur regelmäßige Sicherheits-Updates von Microsoft für Windows XP, sondern auch spezielle Produkte, beispielsweise alternative Verschlüsselungstechniken wie WiFI Protected Access (WPA) oder Bluetooth-Geräte. Die Installation von Service Pack 2 ist mittels der Funktion Win- Windows-Update dows-Update möglich (beachten Sie hierzu auch die Ausführungen in Abschnitt 2.5.2. Bei dieser Variante wird lediglich ein kleines Programm geladen und erst nach dessen Start wird dann das Paket (75 bis 100 MByte) heruntergeladen. Die Übertragung erfolgt im Hintergrund und bei aktiviertem Auto-Update selbstständig, ohne dass der Benutzer etwas tun muss, und zwar immer dann, wenn der PC online und die Leitung nicht ausgelastet ist. Erst nach erfolgreichem vollständigem Download merkt der Benutzer durch eine Rückfrage, dass das Service Pack komplett ist und sich installieren will. Anders als beim Vorgänger, bei dem noch eine Abfrage erfolgte, wird bei der Installation von Service Pack 2 stets eine Kopie der ausgetauschten Systemdateien angelegt, sodass man über die SYSTEMSTEUERUNG unter SOFTWARE das Service Pack (auch im abgesicherten Modus) wieder deinstallieren kann. Allerdings ist eine problemlose Deinstallation nur unmittelbar nach der Installation möglich. Mit jedem nach dem Service Pack zusätzlich installierten Programm schwinden die Chancen auf eine erfolgreiche Deinstallation.
Deinstallation
93
Sandini Bib
2 Betriebssysteminstallation „NetzwerkVariante“
Für eine firmenweite Verteilung von Service Pack 2 ist die beschriebene Methode aber ungeeignet, da bei Neuinstallationen das Service Pack in jedem Einzelfall über das Windows-Update heruntergeladen werden muss. Stattdessen empfiehlt sich in diesen Fällen der Einsatz der „Netzwerk-Variante“, die als Datei (WindowsXP-KB835935-SP2-DEU.exe) aus dem Microsoft Download Center heruntergeladen werden kann. Dieses Installationspaket (Größe etwa 265 MByte) ist für Administratoren und Entwickler konzipiert, die das Paket auf mehreren Computern in einem Netzwerk installieren möchten. Mit dieser Datei wird die deutsche Version des Service Pack zur Verfügung gestellt. Sie lässt sich beliebig oft auf alle WindowsVersionen (Home, Professional, Media Center und Tablet PC Edition, nicht jedoch auf die 64-Bit-XP-Varianten) anwenden. Ferner lässt sich mit dieser Service Pack 2-Variante ein Installationspaket bzw. eine Windows XP-Betriebssystem-CD-ROM für die Installation erstellen, die das Service Pack bereits enthält. Darüber hinaus kann das Service Pack in dieser Form direkt auf die Windows XP-Installationsdateien angewendet und als integrierte Installation mit Hilfe eines freigegebenen Distributionsordners im Netzwerk zur Verfügung gestellt werden. Die hierfür notwendige Vorgehensweise wird nachstehend vorgestellt. Integrierte Installation vom Distributionsserver
Integrierte Installation
Müssen im Unternehmenseinsatz immer wieder neue Computer mit Windows XP installiert werden, ist es sinnvoll, Service Pack 2 zusammen mit Windows XP zu installieren. Hierzu bietet Windows XP die Möglichkeit, eine integrierte Installation auf einem Distributionsserver bereitzustellen. Dieses Verzeichnis enthält dann die Dateien für das Betriebssystem und für das Service Pack 2. Das integrierte Windows XP-Setup enthält damit die Service Pack-Dateien als Teil des normalen Setup-Prozesses und installiert das Betriebssystem zusammen mit dem Service Pack. Wird Service Pack 2 zusammen mit Windows XP im Rahmen einer integrierten Installation installiert, ist es nicht möglich, das Service Pack nachträglich zu entfernen.
94
Sandini Bib
Installation von Service Packs und Updates
Die Erstellung eines integrierten Installationspaketes beinhaltet die folgenden Arbeitsschritte: 왘
Kopieren der Installationsdateien Die Installationsdateien von der Windows XP-BetriebssystemCD-ROM, die das Service Pack nicht enthält, müssen in ein freigegebenes Verzeichnis auf dem Distributionsserver im Netzwerk bereitgestellt werden. Beim Kopieren der Dateien ist darauf zu achten, dass die Einstellungen im Windows Explorer so gesetzt sind, dass versteckte Dateien und Systemdateien angezeigt werden, da diese ansonsten nicht mitkopiert werden.
왘
Bereitstellung der Service Pack-Dateien: Das Service Pack 2 muss als vollständiges Paket auf CD-ROM oder alternativ in bereits entpackter Form auf dem Distributionsserver zur Verfügung gestellt werden. Um das Service Pack 2 zu entpacken, ist folgender Kommandozeilenbefehl zu verwenden: XPsp2.exe /X:Pfad 왘 /X
Extrahiert die Service Pack-Dateien, ohne anschließend die Installation von Service Pack 2 zu starten.
왘 /X:Pfad: Extrahiert die Service Pack-Dateien in den Ordner
Pfad, ohne Nachfrage und ohne anschließend die Installation von Service Pack 2 zu starten. 왘
Integration der Service Pack-Dateien in das Windows XP-Installationsverzeichnis Um die Service Pack-Dateien in das Windows XP-Installationsverzeichnis zu integrieren, ist der folgende Kommandozeilenbefehl zu verwenden: Update.exe /integrate:Pfad.
Hiermit wird das Service Pack 2 mit dem Installationspaket kombiniert, so dass eine integrierte Installation mit Service Pack möglich ist. Boot-CD erstellen Bei Bedarf ist es auch möglich, eine bootbare CD-ROM zu erstellen, mit Hilfe derer eine integrierte Installation neuer Windows XP-Rechner erfolgen kann. Hierzu muss neben dem integrierten Installationsverzeichnis der Windows XP Boot Loader auf die CD-ROM kopiert werden. Diese Funktion wird von den meisten Brennprogrammen unterstützt.
95
Sandini Bib
2 Betriebssysteminstallation Angepasste Installation
Die Installationsdateien für eine integrierte Installation können nun verwendet werden, um beispielsweise eine unbeaufsichtigte Installation durchzuführen, die zusätzlich durch Hinzufügen von OEM-Dateien angepasst werden kann (siehe hierzu die Anleitung zur Erstellung eines Distributionsservers in Abschnitt 2.4.2. Automatische Nachinstallationen von Service Pack 2 Das Service Pack beansprucht bei der Installation rund 900 MByte Platz auf der Festplatte, um temporäre Dateien auszupacken und um die Sicherungsdateien anzulegen. Während der Installation des Service Pack 2 wird im Windows-Verzeichnis ein Verzeichnis ServicePackFiles mit dem Unterverzeichnis I386 angelegt. In diesem befindet sich das komplett entpackte Service Pack 2. Wenn eine Datei durch ein anderes Programm überschrieben wird, kann sie so immer wieder durch die aktualisierte Datei ersetzt werden. Damit ist es nicht notwendig, nach Änderungen im System das Service Pack erneut zu installieren, weil alle Dateien auf der Festplatte gespeichert sind. Um Festplattenplatz zu sparen, können diese Dateien auf CDROM gebrannt oder auf eine andere Partition verschoben werden. Anschließend ist allerdings noch der Pfad im Wert ServicePackSourcePath in der Registrierung anzupassen, sodass dann dieser auf das Verzeichnis auf der CD-ROM oder die entsprechende Partition verweist. Hierzu ist der folgende Registrierungsschlüssel zu verwenden: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
2.5.2 MS Patch Festival Day
Windows-Update
Zusätzlich zur Installation von Service Packs ist das Einspielen der regelmäßig erscheinenden Updates erforderlich. Mittlerweile hat Microsoft einen festen Tag eingeführt, an dem neue Updates erscheinen. Damit hat Microsoft auf die Kritik reagiert, dass mittlerweile im Wochentakt neue Updates und Patches eingespielt werden mussten. Neue Updates erscheinen nun an jedem zweiten Dienstag im Monat (MS Patch Festival Day). Um den Aufwand für die Systempflege möglichst gering zu halten, verfügt Windows XP über die integrierte Funktion WindowsUpdate, mit deren Hilfe das Betriebssystem permanent automatisiert oder manuell auf dem aktuellen Stand gehalten werden kann. Microsoft stellt dazu wichtige Updates mit Erweiterungen (beispielsweise Aktualisierungen und Tools, die zur reibungsloseren Funktion des Computers beitragen können) sowie SicherheitsUpdates zur Verfügung. Windows-Update überprüft den Compu-
96
Sandini Bib
Installation von Service Packs und Updates
ter und stellt eine Auswahl von auf die Soft- und Hardware des Computers bezogenen Updates bereit. Microsoft hat diese Funktion in Windows 2000 ab Service Pack 3 integriert. Mit dem Service Pack 2 für Windows XP wurde die Update-Funktion nochmals dahingehend erweitert, dass nun auch Microsoft-Anwendungen automatisch aktualisiert werden können. Manueller Zugriff auf Windows-Update Auf die Webseite von Windows-Update kann über die Option DEN COMPUTER MIT WINDOWS-UPDATE AUF DEM NEUESTEN STAND HALTEN zugegriffen werden. Die Funktion ist u.a. zu finden im Bereich EINE AUFGABE AUSWÄHLEN im Hilfe- und Supportcenter, das aus dem Startmenü heraus aufgerufen werden kann. Auch der Link [wu01] verweist direkt auf die Windows-Update-Webseite. Abbildung 2.19: Microsoft WindowsUpdate-Webseite
Nach dem Start von Windows-Update wird überprüft, ob die aktuelle Fassung von Windows-Update ActiveX-Control installiert ist. Danach kann die gewünschte Installationsart (SCHNELLINSTALLATION oder BENUTZERDEFINIERTE INSTALLATION) ausgewählt werden.
Ablauf
97
Sandini Bib
2 Betriebssysteminstallation
Bei Auswahl der Schnellinstallationsmethode werden Updates vollautomatisch installiert, während bei der benutzerdefinierten Installation Einfluss auf den Installationsverlauf genommen werden kann. Automatische Updates Neben der Möglichkeit, Updates manuell anzustoßen, bietet Windows XP die Funktion AUTOMATISCHE UPDATES. Hiermit kann Windows automatisch regelmäßig prüfen, ob neue SicherheitsUpdates verfügbar sind, diese herunterladen und sie automatisch nach einem festlegbaren Zeitplan installieren. Ist ein vollautomatischer Updateservice nicht gewünscht, kann die Funktion so konfiguriert werden, dass nur eine Benachrichtigung erfolgt, sobald neue Updates zur Verfügung stehen. Konfiguration
Abbildung 2.20: Die Funktion „Automatische Updates“ konfigurieren
98
Die Funktion zur Einrichtung automatischer Updates ist in der Systemsteuerung bzw. bei installiertem Service Pack im Sicherheitscenter zu finden. Mittels der Optionen für das Einrichten automatischer Updates kann festgelegt werden, wann und wie Updates an den Computer übermittelt werden.
Sandini Bib
Installation von Service Packs und Updates
An erster Stelle steht hier die von Microsoft empfohlene Option Verwaltung im AUTOMATISCH. Hierbei werden bei vorhandener Internetverbin- Sicherheitscenter dung die Updates automatisch installiert. Wenn der Computer während eines geplanten Updates ausgeschaltet ist, installiert Windows die Updates beim nächsten Starten des Computers. Hierbei ist jedoch zu beachten, dass die vollautomatische Update-Funktion nicht nur Sicherheits-Updates, sondern auch Treiber-Updates durchführt. Dies kann Probleme verursachen, wenn herstellereigene Treiber eingesetzt werden, da diese gegebenenfalls bei einem Update durch die Microsoft-eigenen Standardtreiber ersetzt werden. Meist ist es daher sinnvoller, die Option UPDATES HERUNTERLADEN, ABER INSTALLATIONSZEITPUNKT MANUELL FESTLEGEN zu verwenden. Hierbei werden verfügbare Updates automatisch heruntergeladen, aber nicht installiert. Eine Warnung im Infobereich weist auf die neuen Updates hin. Wird dann für die Installation die Methode BENUTZERDEFINIERTE INSTALLATION gewählt, können nicht gewünschte Updates ausgelassen werden. Bei dieser Vorgehensweise kann außerdem festgelegt werden, dass die Updates erst installiert werden, wenn der Computer heruntergefahren wird. Dies verhindert, dass der Benutzer durch einen eventuell erforderlichen Neustart gestört wird. Diese Option steht jedoch nur bei installiertem Service Pack 2 zur Verfügung.
2.5.3
Updates zentral verteilen
Auf der Windows-Update-Webseite führt der Link ADMINISTRATOROPTIONEN zu einer Hinweisseite, auf der die erweiterten Funktionen für die Verwaltung von Updates in Unternehmensnetzen vorgestellt werden. Hier verbirgt sich mit den Windows-Update Services (WUS) der Nachfolger der Update Services (SUS). Hinter dieser Funktion steckt eine Update-Verwaltungskomponente für die Windows Server-Produktfamilie, mit der Administratoren WindowsUpdates im eigenen LAN bereitstellen, verwalten und verteilen können. Zusätzlich können damit die Sicherheitseinstellungen aller Computer im Netzwerk untersucht und entsprechende Auswertungen erstellt werden.
SUS, WUS und WSUS
Allerdings hat Microsoft den Namen WUS nur für die Beta-Versionen verwendet. Aktuell (Stand Mai 2005) bietet Microsoft hierfür den Release Candidate an. Dieser allerdings tritt bereits unter dem endgültigen Namen Windows Server Update Services(WSUS) an.
99
Sandini Bib
Der aktuelle Release Candidate ist in 18 Sprachen verfügbar und kann zum Testen nach der Registrierung unter dem Link [wus01] kostenlos heruntergeladen werden. Der wesentlichste Vorteil von WSUS gegenüber SUS besteht darin, dass WSUS nun auch Patches für das Office-Paket und den SQL- und Exchange-Server verteilen kann. Microsoft hatte WSUS ursprünglich bereits für 2004 angekündigt, musste den geplanten Veröffentlichungstermin jedoch auf Mitte 2005 verschieben.
Sandini Bib
3
HardwareInstallation Manuela Reiss
Windows XP gilt aktuell als das Windows-Betriebssystem, das gegenüber allen anderen Windows-Betriebssystemen am besten mit der Hardware umgehen kann. Dies trifft insbesondere auf neue Hardware-Komponenten zu. Die meisten marktgängigen Komponenten werden von Windows XP in der Tat automatisch erkannt und selbstständig eingerichtet. Zur Unterstützung älterer Geräte bietet Windows XP einige spezielle Funktionen, die die manuelle Einrichtung erleichtern. Das folgende Kapitel behandelt im ersten Abschnitt die wichtigsten Aspekte der Hardware-Verwaltung unter Windows XP. Daran anschließend finden Sie Anleitungen und Hinweise zur Installation neuer Geräte und zur Verwaltung von Geräten und Windows XP. Der letzte Abschnitt ist der Behebung von Treiberproblemen gewidmet.
3.1
Hardware-Verwaltung unter Windows XP
Während der Betriebssysteminstallation führt Windows XP eine Hardware-Erkennung durch. In der Regel werden hierbei die meisten Geräte erkannt und automatisch in das System eingebunden. Hat man dann nicht ein echtes Problemgerät dabei, gibt es eigentlich keinen Anlass mehr, sich mit der Hardware seines Systems auseinander zu setzen. Aber trotz (oder gerade wegen) der vielfältigen Automatisierung ist es wichtig zu wissen, wie die Hardware unter Windows XP verwaltet wird. Dieses Wissen zahlt sich spätestens im Fehlerfall aus. Außerdem erkennt Windows XP häufig zwar die HardwareKomponenten, der Hersteller stellt aber spezielle Treiber zur Verfügung, die eine bessere Unterstützung bieten. Auch in diesem Fall ist ein manuelles Eingreifen erforderlich.
101
Sandini Bib
3 Hardware-Installation
3.1.1
Plug&Play-Unterstützung
Seit seiner Einführung mit Windows 95 hat sich Plug&Play („Reinstecken und Loslegen“) zu einem der wichtigsten Hardware-Standards entwickelt und nichts mehr gemein mit dem müde belächelten „Plug&Pray“ („Reinstecken und Beten“). Heutige Hardware-Komponenten unterstützen in der Regel vollständig den Plug&Play-Standard und können damit über sich selbst Auskunft geben, sodass sie ohne Benutzereingriff in das Betriebssystem eingebunden werden können. ACPIUnterstützung
Auch die Energieversorgung der Geräte erfolgt automatisch. Das Betriebssystem ermittelt, welche Programme aktiv sind, und verwaltet den gesamten Energiebedarf für die Teilsysteme und die Peripheriegeräte des Computers. Voraussetzung hierfür ist ein ACPI (Advanced Configuration and Power Interface)-fähiges System. ACPI ist ein offener Industriestandard, der eine flexible und erweiterbare Hardware-Schnittstelle definiert. Hierzu gehören beispielsweise intelligente Stromsparfunktionen. Bei ACPI wird das gesamte Powermanagement vom Betriebssystem übernommen, was allerdings voraussetzt, dass die für die einzelnen Geräte eingesetzten Treiber ebenfalls diesem Standard entsprechen.
Ressourcenmanagement
Ein weiterer Vorteil der Plug&Play-Technologie besteht in der automatischen Verwaltung der Ressourcen. Jedes installierte Gerät benötigt eine Reihe von Systemressourcen, damit es ordnungsgemäß funktionieren kann. Zu den Systemressourcen zählen: 왘
Hardware-Interrupts (IRQs – Interrupt Request)
왘
Eingabe/Ausgabe-Adressen
왘
Direct Memory Access (DMA)-Kanäle
왘
Einige Hauptspeicherbereiche
Die Systemressourcen gestatten es den Hardware-Komponenten, auf die CPU- und Speicherressourcen zuzugreifen, ohne miteinander in Konflikt zu geraten. Da diese Ressourcen immer begrenzt sind, muss bei der Installation der Komponenten über die Verteilung der jeweils vorhandenen Ressourcen entschieden werden. Einige dieser Ressourcen können auch gemeinsam genutzt werden. Das Plug&Play-Ressourcenmanagement setzt voraus, dass die von den Komponenten verwendeten Gerätetreiber nicht von selbst bestimmte Systemressourcen beschlagnahmen (dies ist bei allen Geräten, die den Plug&Play-Standard erfüllen, der Fall), sondern nur ihren Bedarf an Ressourcen beim System anmelden, entweder bei der Installation, beim Hochfahren des Systems oder beim Anschluss eines Geräts im laufenden Betrieb. Das System
102
Sandini Bib
Hardware-Verwaltung unter Windows XP
erfährt so, welche Ressourcen benötigt werden, welche schon vergeben und welche noch frei sind, und teilt die Ressourcen automatisch so zu, dass alle Geräte ohne Konflikte arbeiten können. Damit alle beschriebenen Plug&Play-Funktionen zur Verfügung stehen, müssen ein ACPI-BIOS und Plug&Play-fähige Geräte und Treiber verwendet werden. Hot Plug&Play Abhängig u.a. vom verwendeten Bustyp können Plug&Play-Geräte im laufenden System installiert bzw. aus diesem entfernt werden (Hot Plug&Play). Hierzu zählen beispielsweise USB- und Firewire (IEEE 1394)-Geräte. Das Betriebssystem erkennt das Einstecken bzw. Entfernen derartiger Hardware-Geräte automatisch und verwaltet die System- und/oder Hardware-Konfiguration entsprechend. Geräte, die Hot Plug&Play nicht unterstützen, beispielsweise PCIKarten, müssen beim Systemstart eingebaut bzw. angeschlossen und eingeschaltet sein, um automatisch erkannt zu werden. Die folgende Tabelle zeigt die verschiedenen Typen von Plug&Play Geräten und gibt an, ob diese im laufenden System installiert bzw. aus einem eingeschalteten System entfernt werden können. Peripherieverbindung
Hot Plug&Play-fähig
USB und Firewire (IEEE 1394)
Ja
PC-Kartengeräte und Card-Bus-Geräte
Ja
ISA, EISA, PCI, P-ATA
Nein
S-ATA
Ja, zunehmend unterstützt
Dockingstation
Meistens unterstützt, abhängig vom Hersteller
SCSI
Ja
Tabelle 3.1: Hot Plug&PlayFähigkeit von Geräteverbindungen
Plug&Play-Geräte sicher entfernen Wie beschrieben gestatten viele Geräte das Entfernen aus dem System im laufenden Betrieb. Bezüglich des Umgangs mit Speichergeräten (externe USB- oder Firewire-Festplatten, USB-Memorysticks u.a.) sollten jedoch die folgenden Punkte beachtet werden: Ist Service Pack 2 nicht installiert, erscheint beim Entfernen beispielsweise einer externen Firewire-Festplatte ein Dialogfenster mit einem Warnhinweis, der auf das fehlerträchtige Vorgehen aufmerksam macht und auf die Funktion HARDWARE SICHER ENTFERNEN im Infobereich der Taskleiste hinweist. Bei Verwendung dieser Funktion wird das System darüber informiert, dass ein
103
Sandini Bib
3 Hardware-Installation
Gerät entfernt werden soll. Dies veranlasst u.a., die Datenübertragung an das Gerät anzuhalten und den Schreib-Zwischenspeicher zu leeren bzw. zu speichern. Plötzliches Entfernen ist besonders für Speichergeräte gefährlich, für die zur Steigerung der SchreibPerformance der Schreib-Zwischenspeicher aktiviert ist, denn wenn derartige Geräte plötzlich entfernt werden, kann es zu Datenverlusten oder -beschädigungen kommen. Ob der Schreib-Zwischenspeicher für ein Gerät aktiviert ist, kann in den Eigenschaften des betreffenden Gerätes ermittelt werden. Um die gewählten Einstellungen des Schreib-Zwischenspeichers für das Gerät anzuzeigen und gegebenenfalls zu ändern, ist im Gerätemanager die Eigenschaftenseite und anschließend die Registerkarte Richtlinien zu wählen. Die Änderungen werden allerdings erst nach einem Systemneustart wirksam. Falls diese Registerkarte nicht angezeigt wird, steht die Option für das ausgewählte Gerät nicht zur Verfügung. Abbildung 3.1: Deaktivierung des Schreib-Zwischenspeichers bei einem Hot Plug&Playfähigen Gerät
Wenn die Zwischenspeicher-Optionen abgeblendet sind, kann das Speichergerät nicht entfernt werden, ohne den Computer auszuschalten, und in dem Dialogfeld wird eine andere Option angezeigt, die es ermöglicht, den Schreib-Zwischenspeicher für das Speichergerät zu deaktivieren. Ab dem Service Pack 2 gelten die folgenden Standardeinstellungen hinsichtlich der Aktivierung des Schreib-Zwischenspeichers für Speichergeräte: 왘
104
Der Schreib-Zwischenspeicher wird standardmäßig für externe Hochleistungsspeichergeräte (wie IEEE 1394-Festplatten und SCSI-Festplatten) aktiviert und darüber hinaus für computerinterne Speichergeräte, die nicht plötzlich entfernt werden können.
Sandini Bib
Hardware-Verwaltung unter Windows XP 왘
Bei als langsam erkannten externen Speichergeräten, wie beispielsweise USB-Memorysticks und Festplatten am USB 1.xAnschluss, wird wie bisher der Schreib-Zwischenspeicher standardmäßig deaktiviert und die Richtlinie für schnelles Entfernen des Gerätes aktiviert. Damit können solche Geräte grundsätzlich während des laufenden Betriebes ohne weitere Vorbereitungen entfernt werden.
Auch wenn ein Gerät für das schnelle Entfernen aus dem System optimiert ist, empfiehlt es sich zu überprüfen, ob im Infobereich das Symbol für „Hardware sicher entfernen“ angezeigt wird, und gegebenenfalls diese Funktion auch zu verwenden.
3.1.2
USB-Geräte verwalten
Die Verbreitung von USB-Geräten nimmt nicht erst seit der Einführung von USB 2.0 ständig zu, weshalb diese Technologie eine nähere Betrachtung verdient. Insbesondere die einfache Handhabung spricht für den Einsatz solcher Geräte. USB steht für „Universal Serial Bus“ oder auch „Universeller serieller Bus“ und beschreibt einen Hardware-Standard für den Anschluss externer Geräte. In der Version 1.1 unterstützt USB für den Datenaustausch zwischen der CPU und den am Bus hängenden Peripheriegeräten eine Bandbreite von maximal 12 MBit/s. Hinzu kommt, dass sich die Bandbreite auf alle angeschlossenen und gleichzeitig sendenden Geräte aufteilt. Mit diesen Übertragungsgeschwindigkeiten konnte USB lange Zeit nicht mit der Firewire (IEEE 1394) konkurrieren. Mit der Version 2.0, die Geschwindigkeiten bis zu 60 MB/s unterstützt, hat USB aber aufgeschlossen und findet zunehmende Verbreitung. USB-Anschlüsse gehören mittlerweile zur Standardausstattung. Windows XP unterstützt seit dem Service Pack 1a USB 2.0 (auch als Hochgeschwindigkeits-USB bezeichnet), das mit der älteren USB-Version kompatibel ist. Wird ein für USB 2.0 ausgelegtes Gerät in einen älteren Bus eingesteckt, der USB 2.0 nicht unterstützt, erscheint ein Hinweis darauf, dass die Kapazität des Geräts an dem älteren Bus nicht voll ausgenutzt werden kann.
105
Sandini Bib
3 Hardware-Installation Ressourcenteilung
An einen USB-Anschluss können bis zu 127 verschiedene Geräte angeschlossen werden. Dabei werden die Geräte in einer Art Baumstruktur aneinander gereiht, wobei auf jeder Zwischenebene so genannte Hubs verwendet werden. Die Geräte können über den Bus auch mit Strom versorgt werden. Für Geräte, die wenig Energie brauchen, reicht das; größere Laufwerke dagegen brauchen in der Regel eine eigene Stromversorgung. Ein wichtiger Vorteil von USB ist, dass nur ein IRQ für den ganzen Gerätebaum benötigt wird. Der USB-Host-Adapter fragt alle jeweils angeschlossenen Geräte nacheinander ab, ob sie Daten senden oder empfangen wollen, und prüft dann, ob genügend Bandbreite frei ist. Wie viel Bandbreite die angeschlossenen Geräte jeweils beanspruchen, kann im Eigenschaftendialogfenster des Gerätes im GERÄTEMANAGER überprüft werden. Hier befindet sich bei aktivierter USB-Unterstützung die Gerätekomponente USB-CONTROLLER. Ist dieser Punkt nicht aufgeführt, ist die USB-Unterstützung möglicherweise im BIOS des Computers deaktiviert. Für die USB-Anschlüsse liegen separate Einträge vor. Unterhalb von USB-CONTROLLER sind mindestens einmal die folgenden Komponenten aufgeführt:
Anzeige von Bandbreitenverwendung und Energiebedarf
왘
Standard PCI-zu-USB universeller Hostcontroller
왘
USB-Root-Hub
Um den Gerätestatus und die Bandbreite der angeschlossenen Geräte zu überprüfen, öffnen Sie die Registerkarte ERWEITERT in den Eigenschaften von STANDARD PCI-ZU-USB UNIVERSELLER HOST CONTROLLER . Hier können Sie überprüfen, wie viel Bandbreite jeder Controller verwendet. In den Eigenschaften von USB-ROOT-HUB können Sie zudem den Energiebedarf der angeschlossenen Geräte feststellen.
106
Sandini Bib
Hardware-Verwaltung unter Windows XP Abbildung 3.2: Überprüfung der Eigenschaften von USB-Geräten
3.1.3
Das Treiberkonzept
Bei jedem Gerät, das hinzugefügt wird, ist die wichtigste Frage, ob es für das Gerät einen passenden Treiber gibt, der es unter Windows XP unterstützt. So können zum Beispiel Windows NT 4.0-Treiber unter Windows XP nicht eingesetzt werden. Hinter einem Treiber verbirgt sich ein ganzes Paket mit Treiberdateien. Dies beinhaltet beispielsweise die System-Treiberdateien, die ein Gerät im Gerätemanager eintragen und gegebenenfalls weitere Treiberdateien, die mittels DLL-Dateien Zugriff auf verschiedene Hardware ermöglichen. Die Treiberdateien installierter Treiber können im GERÄTEMANAGER in den Eigenschaften des jeweiligen Treibers auf der Registerkarte TREIBER unter TREIBERDETAILS angezeigt werden. Starten Sie hierzu den GERÄTEMANAGER über START/EINSTELLUNGEN/SYSTEMSTEUERUNG/SYSTEM/HARDWARE.
107
Sandini Bib
3 Hardware-Installation Abbildung 3.3: Treiberdateien am Beispiel eines Treibers für ein DVD-Laufwerk
Treiberkompatibilität
108
Passende Treiber können von Windows XP mitgebracht oder vom Gerätehersteller zur Verfügung gestellt werden. Aber auch die Verwendung von Treibern früherer Windows-Versionen ist teilweise möglich: 왘
Windows 2000-Treiber können in der Regel verwendet werden.
왘
Von den Treibern, die für Windows ME oder 98 entwickelt worden sind, können diejenigen übernommen werden, die dem WDM-Standard (Win32 Driver Model) entsprechen. Dieses Modell wurde von Microsoft hauptsächlich für USB- und IEEE 1394-Geräte eingeführt, um Treiber zur Verfügung zu stellen, die sowohl unter Windows 98 und Windows ME als auch unter Windows 2000 eingesetzt werden konnten. Die Grundlage des Standards bilden die von Microsoft zur Verfügung gestellten Klassentreiber für eine bestimmte Geräteklasse oder ein Bussystem, die dann durch so genannte Mini-Treiber für das einzelne Gerät ergänzt werden. Diese müssen vom jeweiligen Hersteller bereitgestellt werden.
Sandini Bib
Hardware-Verwaltung unter Windows XP
Treibersignierung Bei dem in Abbildung 3.4 gezeigten Treiber handelt es sich um einen signierten Treiber. Microsoft versucht die Hardware-Hersteller dazu zu bewegen, ihre Treiber jeweils einem Test in den Labors von Microsoft zu unterziehen. Wird der Test bestanden, erhalten die Treiber das „Designed for Windows XP“-Logo. Mit diesem Logo ist eine digitale Signatur verbunden, die belegt, dass der Treiber seit Erteilung des Logos nicht verändert wurde. Ob ein Treiber eine gültige Signatur enthält, wird vor der Installa- Warnung bei tion geprüft. Ist der Treiber nicht signiert, wird standardmäßig unsignierten Treibern eine ziemlich abschreckend formulierte Warnung angezeigt, die den Benutzer auffordert, die Installation möglichst abzubrechen, weil sonst die korrekte Arbeitsweise des Systems nicht gewährleistet werden könne. Da es aber zurzeit noch unmöglich ist, ausschließlich signierte Treiber einzusetzen, finden auf vielen Windows XP-Systemen auch unsignierte Treiber Verwendung und zwar ohne Probleme. In den meisten Fällen kann der betreffende Treiber durchaus eingesetzt werden. Vor dem Einsatz unsignierter Treiber setzt Windows XP einen Wiederherstellungspunkt in der Systemwiederherstellung. Sollte der Treiber Probleme verursachen, kann das System damit sehr einfach in den vorhergehenden Zustand zurückversetzt werden. Wie Windows XP bei der Entdeckung eines nicht signierten Trei- Treibersignaturbers verfahren soll, kann konfiguriert werden. Es ist möglich, die optionen Warnung vor nicht signierten Treibern abzuschalten oder umgekehrt die Kontrolle zu verschärfen und die Installation unsignierter Treiber zu blockieren. Die entsprechenden Optionen finden Sie im Dialogfenster SYSTEM auf der Registerkarte HARDWARE. Die Schaltfläche TREIBERSIGNIERUNG führt Sie zu den entsprechenden Treibersignaturoptionen. 왘
Ignorieren Bei Aktivierung ist das Installieren von unsignierten Treibern erlaubt.
왘
Warnen Bei dieser Option wird der Benutzer benachrichtigt, wenn Dateien nicht digital signiert sind. Der Benutzer kann entscheiden, ob die Installation abgebrochen werden soll oder ob die nicht signierten Dateien installiert werden sollen. Dies ist der Standardwert.
109
Sandini Bib
3 Hardware-Installation 왘
Sperren Ist diese Option aktiviert, wird das Installieren von unsignierten Dateien verweigert.
Abbildung 3.4: Dialogfenster zur Konfiguration der Treibersignaturoptionen
Eine Änderung der Treibersignaturoptionen ist nur im Kontext eines Benutzers mit lokalen Administratorrechten möglich. Mit Aktivierung der Option DIESE AKTION ALS SYSTEMSTANDARD FESTLEGEN gilt diese Einstellung für alle lokal angemeldeten Benutzer. Gruppenrichtlinie einsetzen
In einer Active Directory-basierten Systemumgebung kann das Systemverhalten zum Umgang mit unsignierten Treibern auch zentral mittels Gruppenrichtlinien gesteuert werden. Im GRUPPENRICHTLINIENOBJEKT-EDITOR ist die erforderliche Gruppenrichtlinie im folgenden Container zu finden: BENUTZERKONFIGURATION/ADMINISTRATIVE VORLAGEN/SYSTEM/ CODESIGNATUR FÜR GERÄTETREIBER Die Gruppenrichtlinie bestimmt den Vorgang, der durchgeführt wird, wenn ein Benutzer versucht, nicht digital signierte Gerätetreiberdateien zu installieren. Ist in den Treibersignaturoptionen in der SYSTEMSTEUERUNG ein höherer Sicherheitsgrad festgelegt, wird dieser verwendet. Eine niedrigere Sicherheitseinstellung als die in der Gruppenrichtlinie definierte wird jedoch ignoriert.
110
Sandini Bib
Installation neuer Geräte Abbildung 3.5: Treibersignaturoptionen mittels Gruppenrichtlinien steuern
3.2
Installation neuer Geräte
Bei der Installation ist zwischen Plug&Play-fähigen Geräten und nicht Plug&Play-fähigen Geräten zu unterscheiden. Wie in Abschnitt 3.1.1 beschrieben, kann Windows XP Plug&Play-Geräte erkennen, die Treiberdateien finden und das Gerät selbstständig installieren. Bei Geräten, die Plug&Play nicht unterstützen, sind hingegen zwingend Benutzereingriffe erforderlich. Der folgende Abschnitt beschreibt die wichtigsten Aspekte beider Installationsarten.
3.2.1
Plug&Play-Geräte installieren
Plug&Play funktioniert am besten, wenn das betreffende Gerät die Plug&Play-Kriterien vollständig erfüllt und wenn ein entsprechender Plug&Play-Treiber für dieses Gerät vorhanden ist. Treiber werden ohne Benutzereingriff installiert, wenn sie die folgenden Bedingungen erfüllen: 왘
Für die Installation des Treibers sind keine zusätzlichen Benut- Voraussetzungen zereingaben in Dialogfenstern erforderlich und es müssen keine Optionen ausgewählt werden.
111
Sandini Bib
3 Hardware-Installation 왘
Der Treiber enthält alle für die Installation benötigten Dateien.
왘
Der Treiber steht im System in der Datei Driver.cab zur Verfügung oder wurde zuvor in das Treiberinstallationsverzeichnis installiert.
왘
Der Treiber ist digital signiert.
Sind die genannten Bedingungen erfüllt, wird die Installation des Gerätes ohne weitere Benutzereingriffe durchgeführt. Das System erkennt das neue Gerät automatisch. Eine kleine Meldung in der Taskleiste verkündet in diesem Fall, dass ein neues Gerät gefunden wurde, und teilt mit, um welches Gerät es sich handelt. Nach der Installation des Treibers wird eine zweite Meldung angezeigt, die aussagt, dass das neue Gerät verwendet werden kann. Treiberinstallationsverzeichnis Die auf der Betriebssystem-CD-ROM von Windows XP Professional enthaltenen Gerätetreiber sind in einer .cab-Datei mit dem Namen Driver.cab gespeichert. Diese Datei wird von Setup und anderen Systemkomponenten als Treiberdateiquelle verwendet. Beim Start von Windows XP Professional bzw. beim Erkennen neuer Hardware werden .inf-Dateien durchsucht. Die Installationsdatenbank für Windows XP liegt im Ordner %windir%\inf. Die hier enthaltenen .inf-Dateien sind Textdateien, die mit jedem Texteditor geöffnet werden können. Diese Textdateien liefern die erforderlichen Anfangseinstellungen, damit die neuen Geräte funktionieren. Sie enthalten in mehreren Sektionen Anweisungen zur Installation eines Geräts oder Programms, darunter auch Angaben über den Speicherort der zugehörigen vorhandenen Treiberdateien (in der Regel Driver.cab). Sind die .inf-Datei und der Treiber vorhanden, funktioniert die Installation ohne Rückfrage. Zu jeder .inf-Datei gehört eine .pnf-Datei mit den vorkompilierten Setup-Informationen. Während des Betriebssystem-Setup wird die Datei Driver.cab von der CD-ROM in das Verzeichnis %windir%\Driver Cache\i386 auf der lokalen Festplatte kopiert. Der Ordner, in dem sich die Datei befindet, wird in dem Registrierungsdatenbankeintrag DriverCachePath im Unterschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\Current Version\Setup festgelegt.
112
Sandini Bib
Installation neuer Geräte
Probleme mit Plug&Play-Treibern Ist kein Treiber oder nur ein nicht passender Treiber vorhanden, funktioniert die automatische Installation nicht und es sind Eingriffe des Benutzers erforderlich. Hierbei können drei Situationen unterschieden werden: 왘 Treiber nicht vorhanden
Findet Windows XP die erforderlichen Treiber nicht in der eigenen Treiberdatenbank, erfolgt eine Aufforderung, einen entsprechenden Datenträger (Diskette oder CD-ROM) mit einem passenden Treiber einzulegen, damit er von dort übernommen werden kann. Wird der passende Treiber bereitgestellt, erfolgt die weitere Installation automatisch. 왘 Treiber unterstützt nicht Plug&Play
Wird dagegen für ein Plug&Play-Gerät ein Treiber verwendet, der Plug&Play nicht oder nicht vollständig unterstützt, behandelt Windows XP das Gerät wie ein Gerät, das Plug&Play nicht unterstützt. Daraus folgt, dass die Ressourcen nicht dynamisch zugeteilt werden. Im ungünstigsten Fall kann ein solches Gerät zum Problemfall für das ganze System werden, weil es möglicherweise die Verteilung der Ressourcen auch für die anderen Geräte blockiert. Es sollte deshalb immer darauf geachtet werden, dass für ein Plug&Play-Gerät auch ein entsprechender, aktueller Treiber verwendet wird. 왘 Nur der Treiber unterstützt Plug&Play
Weniger problematisch ist es, wenn ein Gerät zwar noch nicht vollständig Plug&Play unterstützt, aber dafür ein Plug&Play-fähiger Treiber vorhanden ist. In diesem Fall kann Windows XP das Gerät zwar nicht automatisch erkennen und den Treiber installieren; der Treiber stellt Windows XP aber benötigte Informationen zur Verfügung. Damit können Ressourcenkonflikte meist vermieden werden. In diesem Fall ist wie bei der Installation eines nicht automatisch erkannten Plug&Play-Gerätes zu verfahren. Wird ein nicht vollständig unterstütztes Plug&Play-Gerät ange- Gerät wird schlossen, dieses im laufenden Betrieb aber nicht automatisch nicht erkannt erkannt, kann im GERÄTEMANAGER gezielt nach diesem Gerät gesucht werden: 1. Starten Sie den GERÄTEMANAGER beispielsweise über START/ EINSTELLUNGEN/SYSTEMSTEUERUNG/SYSTEM/HARDWARE.
113
Sandini Bib
3 Hardware-Installation
2. Wählen Sie aus dem Menü AKTION die Option NACH GEÄNDERTER HARDWARE SUCHEN. Der ASSISTENT FÜR DAS SUCHEN NEUER HARDWARE sucht nun alle Hardware-Schnittstellen nach angeschlossenen Geräten ab und versucht sie zu erkennen. Anschließend öffnet sich der Assistent mit dem WILLKOMMENSBILDSCHIRM. Hier wird der Name des gefundenen Geräts genannt und Sie werden aufgefordert, den Datenträger einzulegen, der mit dem Gerät mitgeliefert wurde. 3. Für das weitere Vorgehen werden zwei Optionen angeboten. Wählen Sie die empfohlene Option SOFTWARE AUTOMATISCH INSTALLIEREN. Findet Windows XP einen zertifizierten Treiber, wird der Assistent abgeschlossen und der Treiber installiert. Anderenfalls müssen Sie bestätigen, dass der nicht zertifizierte Treiber installiert werden soll. Abbildung 3.6: Geräteinstallation mit dem Assistenten für das Suchen nach neuer Hardware
Hat der Assistent keinen Treiber gefunden, erscheint eine Mitteilung, dass das Gerät nicht installiert werden konnte. Sie können dann zurückgehen und über die zweite Option manuell nach der Treibersoftware suchen. Alternativ können Sie den Vorgang unterbrechen und auf der Website des Herstellers prüfen, ob dort ein aktueller Treiber angeboten wird. Neue Geräte suchen
114
Ganz ähnlich ist die Vorgehensweise, wenn das System beim Hochfahren neue Hardware entdeckt, die nicht die Plug&PlayKriterien erfüllt. Dann meldet sich der ASSISTENT FÜR DAS SUCHEN NEUER HARDWARE und es kann zunächst getestet werden, ob die Option SOFTWARE AUTOMATISCH INSTALLIEREN zum Erfolg führt.
Sandini Bib
Installation neuer Geräte
3.2.2
Nicht-Plug&Play-Geräte installieren
Nicht Plug&Play-fähige Geräte sind zwar selten geworden, aber durchaus noch im Einsatz. Hierzu gehören beispielsweise Geräte, die an der seriellen Schnittstelle angeschlossen werden, sowie manche Drucker und ISA-Steckkarten. Die Installation dieser Geräte erfolgt assistentengestützt mit dem HARDWARE-ASSISTENTEN. Installation mit dem Hardware-Assistenten Der Hardware-Assistent kann sowohl verwendet werden, um neue Hardware zu installieren, als auch, um Probleme mit bestehender Hardware anzugehen. Im Gegensatz zu Windows 2000 ist jedoch das Entfernen von Geräten oder Treibern nicht mehr mit dem Hardware-Assistenten möglich, sondern erfolgt über den GERÄTEMANAGER. 1. Schließen Sie das Gerät an den Computer an und schalten Sie Vorgehensweise es ein. 2. Starten Sie den Hardware-Assistenten über START/SYSTEMSTEUERUNG/HARDWARE. 3. Der Assistent sucht nach neuen Geräten und fragt dann nach, ob das Gerät bereits angeschlossen ist. Dies ist zu bestätigen. 4. In der im nächsten Schritt angebotenen Liste können Sie prüfen, ob das neue Gerät vielleicht doch bereits erkannt wurde und betriebsbereit ist. Steht das Gerät in der Liste, wählen Sie es aus. Im nächsten Dialogfenster wird dann der Status des Gerätes angezeigt. Finden Sie das Gerät nicht in der Liste, wählen Sie die Option NEUE HARDWARE HINZUFÜGEN. 5. Geben Sie nun an, ob Windows automatisch nach zu installierender Hardware suchen soll oder ob Sie das Gerät selbst aus einer Liste auswählen wollen. Anders als bei der automatischen Erkennung Plug&Play-fähiger Geräte überprüft Windows bei dieser Aktion auch solche Anschlüsse, an die keine Plug&Play-Geräte angeschlossen werden können. Häufig ist es sinnvoll, zuerst Windows suchen zu lassen und gegebenenfalls später manuell den Treiber zu wählen. 6. Findet das System kein neues Gerät, kehren Sie automatisch zu der zweiten Option zurück. Wählen Sie zuerst den Gerätetyp aus, dann wird eine Liste aller in der Treiberdatenbank gefundenen Treiber, sortiert nach Herstellern, angezeigt. Wenn Sie dagegen einen passenden Treiber auf Diskette oder CD-ROM vom Hersteller haben, benutzen Sie hier die Schaltfläche DATENTRÄGER.
115
Sandini Bib
3 Hardware-Installation
7. Ist die Auswahl bestätigt, versucht Windows XP, die passenden Treiber zu installieren und das Gerät so in die gegebene Konfiguration einzufügen, dass keine Gerätekonflikte auftreten. In seltenen Fällen werden Sie noch aufgefordert, die Windows XP-Betriebssystem-CD-ROM einzulegen, wenn sich die Treiber nicht schon auf dem Laufwerk befinden. Weiterhin ist in einigen Fällen ein Neustart des Systems erforderlich. Abbildung 3.7: Manuelle Auswahl eines Treibers im HardwareAssistenten
Mit dem beschriebenen Verfahren können auch Treiber für Geräte installiert werden, die noch nicht angeschlossen sind. Treiberdateien eines Herstellers installieren Liefert ein Hersteller mit seinem Gerätetreiber ein Installationsprogramm, so empfiehlt es sich, dieses zu verwenden. Hierbei sollte den jeweiligen Anweisungen des Herstellers gefolgt werden. .inf-Datei installieren
116
Befindet sich auf der Treiber-CD-ROM oder der Diskette des Herstellers eine .inf-Datei, kann die Installation auch direkt mit Hilfe dieser Datei gestartet werden. Hierzu ist die Option INSTALLIEREN zu verwenden, die im Kontextmenü einer jeden .inf-Datei zu finden ist.
Sandini Bib
Installierte Geräte verwalten Abbildung 3.8: Installation eines Treibers aus dem Kontextmenü der .inf-Datei starten
Die Installation eines Geräts mit dem HARDWARE-ASSISTENTEN in der SYSTEMSTEUERUNG oder mit dem GERÄTEMANAGER ist standardmäßig nur Mitgliedern der Gruppe „Administratoren“ gestattet. Im Unternehmensnetzwerk können darüber hinaus Richtlinieneinstellungen für die Domäne das Installieren von Hardware verhindern. Hat allerdings ein Administrator die Treiber für ein Gerät bereits geladen, kann die Installation des Gerätes auch durch einen Benutzer erfolgen.
3.3
Installierte Geräte verwalten
Der GERÄTEMANAGER zeigt alle im System installierten Geräte an, wie in der folgenden Abbildung 3.9 veranschaulicht wird. Bei jedem Start des Computers bzw. bei jeder dynamischen Änderung der Computerkonfiguration, beispielsweise beim Hinzufügen eines neuen Geräts in das laufende System, wird die Anzeige aktualisiert.
3.3.1
Der Gerätemanager – Leistungsmerkmale
Der GERÄTEMANAGER kann verwendet werden, um Geräte zu Einsatzgebiete aktivieren oder zu deaktivieren, Probleme bei Geräten zu beheben, Treiber zu aktualisieren, ein Treiber-Rollback durchzuführen und um die Ressourcenzuweisung für ein Gerät zu ändern. Um den GERÄTEMANAGER zu starten, ist die entsprechende Gerätemanager Option von der Registerkarte HARDWARE zu verwenden. Diese ist starten zu erreichen über START/EINSTELLUNGEN/SYSTEMSTEUERUNG/ SYSTEM/HARDWARE.
117
Sandini Bib
3 Hardware-Installation Abbildung 3.9: Liste der verfügbaren Geräte im Gerätemanager (Anzeige sortiert nach Gerätetyp)
Alternativ kann der Manager direkt über START/AUSFÜHREN mit dem Befehl devmgmt.msc gestartet werden. Weiterhin besteht die Möglichkeit, nicht die Option GERÄTEsondern stattdessen die Computerverwaltung aus der Programmgruppe VERWALTUNG zu verwenden. Hier ist dann der Container SYSTEMINFORMATIONEN zu öffnen.
MANAGER,
Geräte überprüfen Der Gerätebaum kann auf einen Blick zeigen, ob Geräteprobleme vorhanden sind. Bestimmte Symbole im GERÄTEMANAGER zeigen Gerätetypen sowie jegliche Geräteprobleme, z.B. Ressourcenkonflikte oder die Deaktivierung eines Geräts, an. Folgende Symbole verweisen auf Geräteprobleme bzw. deaktivierte Geräte: Problemgeräte erkennen
118
왘
Ein Gerät, das Probleme macht, wird mit einem gelben Ausrufezeichen gekennzeichnet. Das kann bedeuten, dass ein Problem mit dem Treiber oder ein Gerätekonflikt vorliegt. Das gelbe Ausrufezeichen kann aber auch darauf hinweisen, dass ein installiertes Gerät vom System entfernt worden ist, beispielsweise ein ZIP-Laufwerk. Fehlercodes, die die Art des Problems beschreiben, das möglicherweise bei einem Gerät auftritt, werden in dem Eigenschaftendialogfenster des Geräts angezeigt.
왘
Wenn ein Gerät nicht funktioniert und deaktiviert wurde, erscheint ein rotes Kreuz über dem Gerätenamen. In diesem Fall müssen gegebenenfalls neue Treiber installiert werden.
Sandini Bib
Installierte Geräte verwalten 왘
Ein blaues „I“ für „Information“ bedeutet, dass das Gerät Ressourcenkonfigurationen erzwungen hat. Dieses Symbol wird nur in den beiden Ressourcenansichten angezeigt.
Ausführliche Hinweise zum Umgang mit Treiberproblemen finden Sie im Abschnitt 3.4. Aber nicht nur bei der Analyse von Problemgeräten ist der GERÄTEMANAGER eine Hilfe. Vielmehr bieten die Eigenschaftendialogfenster der einzelnen Geräte Zugriff auf eine Reihe nützlicher Funktionen. Bei fast allen Geräten finden sich mindestens die drei Registerkarten ALLGEMEIN, TREIBER und RESSOURCEN u.a. mit den folgenden Bereichen: 왘
Informationen zu Treibername, Hersteller, Datum, Version und zur digitalen Signatur
왘
Dem Gerät zugewiesene Systemressourcen, beispielsweise IRQs, Speicherbereiche sowie E/A-Adressbereiche
왘
Optionen für das Aktualisieren, das Treiber-Rollback und das Deinstallieren des Treibers
Abhängig vom ausgewählten Gerät sind weitere Registerkarten Gerätemit gerätespezifischen Funktionen vorhanden. So befindet sich spezifische Funktionen beispielsweise in den Eigenschaftendialogfenstern von Netzwerkadaptern die Registerkarte ERWEITERT mit Optionen zur Konfiguration des Duplexmodus und der Übertragungsrate. Abbildung 3.10: Konfiguration einer Netzwerkkarte im Gerätemanager
Verschiedene Ansichten des Gerätemanagers verwenden Mit Hilfe der Option ANSICHT können die Geräte in vier verschie- Option Ansicht denen Ansichten dargestellt werden: 왘
Geräte nach Typ Hierbei handelt es sich um die Standardansicht. Zu den Gerätetypen gehören beispielsweise Laufwerke, Netzwerkadapter und verschiedene Systemgeräte.
119
Sandini Bib
3 Hardware-Installation 왘
Geräte nach Verbindung Diese Ansicht zeigt, wie Geräte miteinander verbunden sind. Das kann beispielsweise nützlich sein, wenn Geräte an einen USB-Hub angeschlossen und dann mit anderen Geräten verbunden werden. Hieraus ist ersichtlich, wo sich die jeweiligen Geräte in der Verbindungskette befinden.
왘
Ressourcen nach Typ Diese Ansicht zeigt die vier Standardressourcentypen und alle weiteren, die im System konfiguriert sind. Die vier Standardsystemressourcentypen sind: 왘
Arbeitsspeicher
왘
Direkter Speicherzugriff (DMA)
왘
Eingabe/Ausgabe (E/A)
왘
Interrupt-Anforderung (IRQ).
Angezeigt wird eine Liste der Geräte, die eine Ressource des jeweiligen Typs verwenden. 왘
Ressourcen nach Verbindung Diese Ansicht zeigt die vier Standardressourcentypen und alle weiteren, die im System konfiguriert sind. Angezeigt werden die Gerätetypen, die eine Ressource des jeweiligen Typs verwenden. Außerdem wird dargestellt, wie diese Gerätetypen verbunden sind. Diese Ansicht ist hilfreich, um festzustellen, ob ein untergeordnetes Gerät mehr Speicherressourcen benötigt, als dem übergeordneten Gerät zur Verfügung stehen.
Abbildung 3.11: Der Gerätemanager in der Ansicht „Ressourcen nach Typ“
120
Sandini Bib
Installierte Geräte verwalten
3.3.2
Treiber aktualisieren
Sei es, dass zunächst mit unsignierten Treibern gearbeitet wurde oder ein Update für einen Treiber verfügbar ist, es gibt immer wieder Situationen, in denen es notwendig ist, einen Treiber zu aktualisieren. Am einfachsten lässt sich dies mit Hilfe der Option AKTUALISIEREN erledigen, die im GERÄTEMANAGER in dem Eigenschaftendialogfenster des zu aktualisierenden Gerätes auf der Registerkarte TREIBER zu finden ist. Die Option startet den HARDWARE-UPDATE-ASSISTENTEN, der Hardwareanbietet, den aktualisierten Treiber automatisch zu suchen oder Update-Assistent von einer ausgewählten Quelle zu installieren. In diesem Fall ist letztere Option zu wählen. Der weitere Vorgang unterscheidet sich im Grunde nicht von der Installation eines Nicht-Plug&Play-Gerätes. Verfahren Sie daher im weiteren Verlauf, wie in Abschnitt 3.2.2 beschrieben.
3.3.3
Geräte und Treiber deinstallieren
Wird ein installiertes Gerät nicht mehr benötigt, kann das Gerät bzw. der Treiber im GERÄTEMANAGER entweder im Eigenschaftendialogfenster auf der Registerkarte TREIBER oder im Kontextmenü des Gerätes deinstalliert werden. Windows XP entfernt dabei den Treiber des Gerätes und aktualisiert den Gerätebaum in der Anzeige. Alternativ kann ein Gerät auch vorübergehend deaktiviert werden. Die Deaktivierung kann ebenfalls im Kontextmenü bzw. über die Registerkarte ALLGEMEIN des Eigenschaftendialogfensters erfolgen. Nützlich ist die Funktion zur Deaktivierung von Geräten beispielsweise bei der Verwendung von Hardware-Profilen. Bei Plug&Play-Geräten reicht es aus, sie vom System zu trennen, beispielsweise durch Entfernen eines USB-Gerätes oder durch Herausnehmen einer Karte. Nicht-Plug&Play-Geräte dagegen müssen manuell deinstalliert werden.
121
Sandini Bib
3 Hardware-Installation
3.4 Hauptfehlerquelle Treiber
Probleme mit Treibern beheben
Während bei den frühen Windows-Systemen Geräteprobleme meist durch Ressourcenkonflikte verursacht wurden, spielen diese heute nur noch eine untergeordnete Rolle. Das Ressourcenmanagement von Windows XP bei Plug&Play-Geräten funktioniert in der Regel problemlos und auch Nicht-Plug&Play-Geräte können meist sauber in das System eingebunden werden. Unter Windows XP werden die meisten auftretenden Probleme hingegen von nicht richtig funktionierenden Gerätetreibern verursacht. Der folgende Abschnitt behandelt die häufigsten Problembereiche und deren Lösungsmöglichkeiten.
3.4.1
Treiber reaktivieren
Windows XP verfügt über eine neue Funktion, mit deren Hilfe sich Probleme lösen lassen, die von neu installierten Gerätetreibern verursacht werden. Immer wenn ein vorhandener Gerätetreiber durch einen aktuelleren ersetzt wird, sichert Windows XP diesen Treiber im Verzeichnis %systemroot%\system32\ReinstallBackups und setzt einen entsprechenden Eintrag in der Registrierungsdatenbank. Bereitet nun ein neu installierter Treiber Probleme und führt beispielsweise zu einem instabilen System, kann mit einem einfachen und schnellen Verfahren der alte Treiber reaktiviert werden (Treiber-Rollback). Abbildung 3.12: Für die Wiederherstellung gespeicherte Treiber
Um einen funktionierenden Treiber zu reaktivieren, ist folgendermaßen vorzugehen: 1. Starten Sie den GERÄTEMANAGER. Markieren Sie das betreffende Gerät und öffnen Sie dessen Eigenschaftendialogfenster über das Kontextmenü.
122
Sandini Bib
Probleme mit Treibern beheben
2. In der Registerkarte TREIBER wählen Sie die Option INSTALLIERTER TREIBER. Wenn Sie diese auswählen, versucht das System, den zuvor installierten Treiber wieder zu reaktivieren. Sind keine gesicherten Treiber vorhanden, erhalten Sie eine entsprechende Fehlermeldung, ansonsten werden die Treiber nach einer vorherigen Rückfrage zurückgespielt. Allerdings verwahrt Windows XP jeweils nur die letzte Version eines Treibers; es ist daher nicht möglich, zu einer älteren als der letzten Version zurückzukehren. 3. Abhängig vom Gerätetyp ist anschließend ein Neustart erforderlich, damit der alte Treiber vollständig wieder eingesetzt werden kann. Abbildung 3.13: Durchführung eines Treiber-Rollback
Dieses Verfahren funktioniert nicht bei Druckertreibern.
123
Sandini Bib
3 Hardware-Installation
3.4.2
Nicht mehr benötigte Gerätetreiber entfernen
Es kann vorkommen, dass zurückgelassene Treiber zu längst deinstallierten Geräten Probleme verursachen, die bis hin zu Systeminstabilitäten führen können. Anzeige ausgeblendeter Geräte und Treiber
Es gibt zwei Arten von Geräten, die im GERÄTEMANAGER standardmäßig ausgeblendet werden: 왘 Nicht Plug&Play-fähige Treiber, Drucker und andere Klassen von Geräten, die normalerweise bei der Konfiguration oder Problembehandlung von Hardware wenig nützlich sind 왘 Geräte, die bisher angeschlossen waren, aber derzeit nicht mit dem Computer verbunden sind. Die Anzeige der beiden Arten ausgeblendeter Geräte erfordert eine unterschiedliche Vorgehensweise. Zur Anzeige von nicht Plug&Play-fähigen Treibern, Druckern und anderen Geräten ist im GERÄTEMANAGER im Menü ANSICHT die Option AUSGEBLENDETE GERÄTE ANZEIGEN zu verwenden.
Anzeige derzeit nicht vorhandener Geräte
Bei der Anzeige der derzeit nicht vorhandenen Geräte ist zu unterscheiden, ob diese nur in der aktuellen Instanz des GERÄTEMANAGERS oder bei jedem Aufruf des GERÄTEMANAGERS angezeigt werden sollen. Im ersten Fall genügt es, an der Eingabeaufforderung den folgenden Befehl einzugeben: Devmgmt.msc set DEVMGR_SHOW_NONPRESENT_DEVICES=1
Anschließend muss, wie auch im ersten Fall, im GERÄTEMANAGER im Menü ANSICHT die Option AUSGEBLENDETE GERÄTE ANZEIGEN aktiviert werden. Dauerhafte Einschaltung
Mit der folgenden Vorgehensweise wird im GERÄTEMANAGER die Option eingestellt, nicht vorhandene Geräte jedes Mal anzuzeigen, wenn der GERÄTEMANAGER ausgeführt wird. Erforderlich ist hierzu die Definition einer neuen Umgebungsvariablen: 1. Öffnen Sie die Registerkarte UMGEBUNGSVARIABLEN. Sie finden diese unter START/EINSTELLUNGEN/SYSTEMSTEUERUNG/SYSTEM/ERWEITERT. 2. Das Dialogfeld UMGEBUNGSVARIABLEN enthält zwei Bereiche: BENUTZERVARIABLEN und SYSTEMVARIABLEN. Benutzervariablen gelten nur für einen bestimmten Benutzer. Wenn sich andere Benutzer an diesem Computer anmelden, wird diese Variable für sie nicht eingestellt. Damit eine Variable für alle Benutzer gilt, die sich an diesem Computer anmelden, ist eine neue Systemvariable zu erstellen.
124
Sandini Bib
Probleme mit Treibern beheben
3. Geben Sie in dem Dialogfeld NEUE BENUTZERVARIABLE bzw. NEUE SYSTEMVARIABLE den Variablennamen DEVMGR_SHOW_ NON_PRESENT_DEVICES mit dem Variablenwert 1 ein. 4. Zusätzlich ist auch in diesem Fall im GERÄTEMANAGER im Menü ANSICHT die Option AUSGEBLENDETE GERÄTE ANZEIGEN zu aktivieren. Abbildung 3.14: Erstellung einer Benutzervariablen zur Anzeige ausgeblendeter Geräte im Gerätemanager
3.4.3
Die Registerkarte „Details“ wird nicht angezeigt
Bei Treiberproblemen kann es hilfreich sein, in den erweiterten Treibereigenschaften im GERÄTEMANAGER zusätzliche Informationen zu dem betreffenden Treiber abzufragen. Diese Detailinformationen befinden sich auf der Registerkarte DETAILS, die standardmäßig jedoch nicht angezeigt wird. Wie im vorstehenden Problemfall „Nicht mehr benötigte Gerätetreiber entfernen“, muss auch hier eine Umgebungsvariable gesetzt werden. Für eine einmalige Anzeige genügt es, an der Eingabeaufforderung den folgenden Befehl einzugeben: Devmgmt.msc set DEVMGR_SHOW_DETAILS=1
Um die Anzeige der Registerkarte DETAILS dauerhaft einzuschalten, müssen Sie eine neue Umgebungsvariable unter START/EINSTELLUNGEN/SYSTEMSTEUERUNG/SYSTEM/ERWEITERT definieren. Geben Sie in dem Dialogfeld NEUE BENUTZERVARIABLE bzw. NEUE SYSTEMVARIABLE den Variablennamen DEVMGR_SHOW_DETAILS mit dem Variablenwert 1 ein.
125
Sandini Bib
3 Hardware-Installation Abbildung 3.15: Anzeige ausführlicher Geräteinformationen auf der Registerkarte Details im Gerätemanager
3.4.4
Digitale Signaturen bei Treibern prüfen
Microsoft hat bereits mit Windows 2000 die Treibersignaturen eingeführt. Bei der Installation eines Treibers ohne gültige digitale Signatur wird standardmäßig eine Warnung ausgegeben, dass dieser Treiber möglicherweise zu Beschädigungen des Systems führen kann. Diese Warnung kann übergangen werden. Bisherige Erfahrungen scheinen aber zu belegen, dass für instabile Systeme häufiger unsignierte Treiber verantwortlich sind. Aus diesem Grund kann es bei Störungen nützlich sein, nach unsignierten Treibern zu suchen. Unsignierte Treiber finden
126
Zur Ermittlung unsignierter Treiber kann das Programm Sigverif.exe verwendet werden. Es handelt sich dabei um ein in Windows XP integriertes Tool, das im AUSFÜHREN-Dialogfenster gestartet wird und über eine grafische Bedienoberfläche verfügt. Es ermittelt, ob eine Datei signiert wurde, und bietet darüber hinaus die folgenden Optionen: 왘
Anzeige der Zertifikate von signierten Dateien, um sicherzustellen, dass die Datei nach der Zertifizierung nicht manipuliert wurde
왘
Suche nach signierten Dateien in einem bestimmten Speicherort
왘
Suche nach unsignierten Dateien in einem bestimmten Speicherort
Sandini Bib
Probleme mit Treibern beheben
Standardmäßig werden alle Dateien im Windows XP-Systemverzeichnis %Systemroot% und in allen Unterverzeichnissen überprüft. Nach Beendigung des Prüfvorganges wird eine Liste der nicht signierten Systemdateien ausgegeben. Mit Hilfe der Option ERWEITERT kann Sigverif.exe angepasst und beispielsweise der Ablageort der Protokolldatei geändert werden. Die Protokolldatei, Sigverif.txt, wird standardmäßig im Ordner %SystemRoot% gespeichert. Darüber hinaus kann über die erweiterten Sucheinstellungen festgelegt werden, dass nur bestimmte Dateien in speziellen Ordnern untersucht werden sollen.
3.4.5
Überprüfung von Treibern mit dem Treiberüberprüfungs-Manager
Ein weiteres Werkzeug, das Windows XP mitliefert, ist der Treiberüberprüfungs-Manager (Verifier.exe). Wie der Name bereits andeutet, handelt es sich hierbei um ein Werkzeug zur Überprüfung von Treibern, das jedoch eher für Entwickler gedacht ist. Der Treiberüberprüfungs-Manager verfügt über eine grafische Oberfläche, kann aber auch von der Befehlszeile aus aufgerufen werden. Zur Überprüfung von Treibern gehen Sie grundsätzlich folgendermaßen vor: 1. Starten Sie den Treiberüberprüfungs-Manager. Sie finden die Datei Verifier.exe im Verzeichnis %systemroot%\system32. 2. Wählen Sie die Treiber aus, die Sie einer Prüfung unterziehen wollen. Der Assistent bietet hierfür eine Reihe von nützlichen Voreinstellungen an. Abbildung 3.16: Auswahl der Treiber für eine Überprüfung mit dem Treiberüberprüfungs-Manager
127
Sandini Bib
3 Hardware-Installation
3. Starten Sie das System neu und rufen Sie den Treiberüberprüfungs-Manager erneut auf. Wählen Sie die Option INFORMATIONEN ÜBER VERIFIZIERTE TREIBER ANZEIGEN, um das Ergebnis der aktuell überprüften Treiber anzuzeigen. Der Status „geladen“ bedeutet, dass der Treiber überprüft wird. Mittels der Option WEITER können die Auswertungen der einzelnen Treiber angezeigt werden. Abbildung 3.17: Treiberüberprüfungs-Manager während der Überprüfung
Während des Tests von Treibern mit dem Treiberüberprüfungs-Manager sollten keine Dateien mit sensiblen Daten geöffnet sein, da diese bei einem erkannten Problem und einem gegebenenfalls angezeigten Blue Screen beschädigt werden könnten. Nach Durchführung aller Tests muss der Überprüfungsstatus der Treiber wieder deaktiviert und der Computer neu gestartet werden. Interessanterweise ist das Programm in der Hilfe von Windows XP nicht zu finden. Dafür gibt es aber einen Technet-Artikel, in dem der Treiberüberprüfungs-Manager ausführlich vorgestellt wird [tüm].
128
Sandini Bib
4
Softwareinstallationen Manuela Reiss
Windows XP unterstützt verschiedene Technologien zur Installation und Wartung von Software, von denen einige jedoch nur in Active Directory-basierten Netzwerkumgebungen verfügbar sind. Hierzu gehören beispielsweise Softwareinstallationen mittels Gruppenrichtlinien. Die Grundlage fast aller integrierten Installationstechnologien bildet der Windows Installer zur Installation von Software mittels Windows-Installer-Paketen (.msi-Dateien). Das folgende Kapitel stellt deshalb zunächst im Überblick die Windows-Installer-Technologie vor und zeigt anschließend die wichtigsten Komponenten zur Installation und Verwaltung von Software, die auf dieser Technologie aufsetzen.
4.1
Windows-Installer-Dienst
Windows Installer ist eine in Windows XP integrierte Technologie zur Installation und Deinstallation von Anwendungen. Hierzu wird während des Installationsvorgangs ein Satz von definierten Regeln angewandt. Mit diesen Regeln werden die Installation und die Konfiguration der betreffenden Anwendung definiert. Mit dem Windows Installer können Installationen sowohl lokal erfolgen als auch zentral, beispielsweise unter Einsatz des Systems Management Servers (SMS) oder mit Hilfe von Gruppenrichtlinien zur Softwareverteilung, die ebenfalls eine zentrale Steuerung der Verteilung und der Installation von Anwendungen ermöglichen.
4.1.1
Grundsätzliches zur Windows-InstallerTechnologie
Der Windows Installer ist eine Technologie zur Softwareinstallation und -verwaltung, die Funktionen zur Nachinstallation, zur Änderung und zur Reparatur vorhandener Anwendungen beinhaltet und die folgenden Funktionen bietet:
129
Sandini Bib
4 Softwareinstallationen Funktionen
왘
Deinstallation vorhandener Programme Mit dem Windows Installer installierte Anwendungen verfügen über Deinstallationsroutinen, die eine Deinstallation nach dem erfolgreichen Abschluss der Installation ermöglichen. Hierbei werden die zugehörigen Registrierungsdatenbankeinträge und Anwendungsdateien gelöscht, mit Ausnahme der Dateien, die auch von anderen vorhandenen Programmen genutzt werden.
왘
Reparatur beschädigter Anwendungen Anwendungen, die mit dem Windows Installer installiert wurden, können selbstständig feststellen, ob Dateien fehlen oder beschädigt sind. In diesem Fall repariert Windows Installer die betreffende Anwendung, indem die fehlenden oder beschädigten Dateien erneut kopiert werden.
왘
Vermeiden von DLL-Konflikten Bei Installationen können Konflikte auftreten, wenn beispielsweise die Installation Änderungen an einer dll-Datei vornimmt oder eine dll-Datei löscht, die bereits von einer vorhandenen Datei genutzt wird. Der Windows Installer verwendet Installationsregeln, um derartige Konflikte zu vermeiden.
왘
Nachträgliche Anpassung installierter Anwendungen Mit Windows Installer können zunächst eine minimale lauffähige Version einer Anwendung installiert und zusätzliche Komponenten bei Bedarf zur Verfügung gestellt werden. Dabei kann festgelegt werden, dass die benötigten Komponenten nachinstalliert werden, sobald ein Benutzer auf eine bestimmte Funktion zugreift. Verwendet wird diese Technologie beispielsweise in Microsoft Office ab der Version 2000.
Komponenten Die Windows-Installer-Technologie ist im Wesentlichen in zwei Teile gegliedert, die eng zusammenarbeiten: in den InstallerDienst auf dem Client mit dem Installer-Programm (msiexec.exe) und in die Paketdatei(en) (.msi-Dateien). Installationspaketdatei
130
Das Windows-Installer-Paket enthält sämtliche Informationen, die der Windows Installer benötigt, um Software zu installieren oder zu deinstallieren. Dies kann beispielsweise auch Anweisungen für die Installation einer Anwendung umfassen, die zum Tragen kommen, wenn eine Vorgängerversion der Anwendung bereits installiert ist.
Sandini Bib
Windows-Installer-Dienst
Jedes Paket enthält eine .msi-Datei und die erforderlichen zugehörigen Installationsdateien. Das sind die Anwendungsdateien, die auf der lokalen Festplatte installiert werden. Es enthält außerdem die Produktdateien oder einen Verweis auf einen Installationspunkt, an dem sich die Produktdateien befinden. Anhand der Informationen in der Paketdatei führt das Installer- InstallerProgramm msiexec.exe alle Aufgaben im Rahmen der Installation Programm aus: 왘
Kopieren von Dateien auf die Festplatte
왘
Ändern der Registrierungsdatenbank
왘
Erstellen von Verknüpfungen auf dem Desktop
왘
Anzeigen von Dialogfenstern zum Abfragen der Voreinstellungen für die Installation
Windows Installer installieren Aktuell (Mai 2005) ist Version 3.1 des Windows Installer verfügbar. Windows Diese Version gehört zum Lieferumfang von Microsoft Windows Installer 3.1 Server 2003 Service Pack 1 und ist ein Update von Windows Installer Version 3.0, die im September 2004 veröffentlicht wurde und auch in Windows XP Service Pack 2 enthalten ist. Die Version 3.x des Windows Installer beinhaltet gegenüber der Version 2.x eine Reihe sinnvoller Neuerungen: 왘
Prüfung bereits vorhandener Komponenten
왘
Möglichkeit der Installation im Kontext eines vertrauenswürdigen Benutzers
왘
Neue Kommandozeilenparameter
왘
Verbesserte Integration in das Dienstprogramm SOFTWARE in der Systemsteuerung
Windows Installer Version 3.1 kann kostenlos aus dem Microsoft Downloadcenter heruntergeladen werden [MSI31]. Anwenden von Windows-Installer-Paketdateien Anwendungen, die als Windows-Installer-Paket vorliegen, können auf verschiedenen Wegen installiert werden: 왘
Im Windows Explorer
왘
Über die Befehlszeile
왘
In der Systemsteuerungsoption SOFTWARE
왘
Mittels Gruppenrichtlinien zur Softwareverteilung
왘
Mit dem Systems Management Server (SMS)
131
Sandini Bib
4 Softwareinstallationen
Windows Explorer Anwendungen, die als Windows-Installer-Paket (.msi-Datei) vorliegen, können direkt aus dem Windows Explorer heraus installiert, repariert und deinstalliert werden. Hierzu ist die gewünschte Option im Kontextmenü der MSI-Datei zu wählen. Befehlszeile Mit dem Programm msiexec.exe kann der Windows Installer auch an der Eingabeaufforderung ausgeführt werden. Hier stehen die folgenden Funktionen zur Verfügung:
Syntax
왘
Installieren eines Pakets
왘
Entfernen eines Pakets
왘
Reparieren eines Pakets
왘
Ankündigen eines Pakets
왘
Erstellen eines Admin-Installationspakets
왘
Erstellen einer Installations-Protokolldatei
Der Befehl msiexec.exe hat die folgende Syntax: msiexec/Option<ErforderlicheParameter>[OptionaleParameter]
Eine Erläuterung der Parameter kann mit dem Befehl Msiexec /?
angezeigt werden. Bei der Version Windows Installer 3.x blendet dieser Befehl ein Fenster mit der Beschreibung aller verfügbaren Parameter ein. Abbildung 4.1: Syntax und Parameter von msiexec.exe
132
Sandini Bib
Windows-Installer-Dienst
Systemsteuerungsoption Software Ausführliche Erläuterungen zur Systemsteuerungsoption SOFTWARE finden Sie im Abschnitt 4.3.1. Gruppenrichtlinien zur Softwareverteilung Eine Anleitung zum Umgang mit GRUPPENRICHTLINIEN ZUR SOFTWAREVERTEILUNG finden Sie im Abschnitt 4.4. Systems Management Server (SMS) Einen Überblick über die wichtigsten Aspekte der Softwareverteilung mit dem Systems Management Server finden Sie im Abschnitt 4.5.
4.1.2
Einsatz und Erstellung von Paketdateien
Beim Einsatz des Windows Installer können die folgenden Datei- Paketkategorien typen verwendet werden: 왘
Systemeigene Windows-Installer-Pakete (.msi-Dateien) Systemeigene Windows-Installer-Pakete werden als ein Teil der Anwendung entwickelt und nutzen den Windows Installer in der Regel am besten. Diese Paketdateien werden vom Hersteller einer Anwendung bereitgestellt. Zu den systemeigenen Installer-Paketen zählt beispielsweise die Datei adminpak.msi zur Installation der Server-Verwaltungsprogramme von Windows 2000 Server bzw. Windows Server 2003.
왘
Neu gepackte .msi-Dateien (.msi-Pakete) Neu gepackte Paketdateien arbeiten genauso wie systemeigene Windows-Installer-Pakete, sind in der Regel jedoch nicht so detailliert. Sie können auf der Basis eines VorherNachher-Vergleichs erstellt werden.
왘
.zap-Dateien Eine .zap-Datei ist eine Textdatei, die Anweisungen für das Veröffentlichen einer Anwendung enthält. Diese Dateien haben Ähnlichkeit mit .ini-Dateien. Beim Bereitstellen einer Anwendung mit Hilfe einer .zap-Datei wird die Anwendung mit ihrem ursprünglichen Setup.exe- bzw. Install.exe-Programm installiert.
왘
Patches (.msp-Dateien) Patches, Service Packs und Hotfixes werden häufig in Form von .msp-Dateien verteilt. Für diese Dateien gelten einige Einschränkungen. So ist beispielsweise das Entfernen von Komponenten oder Funktionen nicht möglich.
133
Sandini Bib
4 Softwareinstallationen 왘
Skriptdateien (.aas-Dateien) Diese Dateien enthalten Anweisungen für die Zuweisung oder Veröffentlichung eines Pakets.
왘
Transformationsdateien (.mst-Dateien) Vorhandene oder erstellte Pakete können mit Hilfe von Transformationsdateien (MST – Microsoft Transform) angepasst werden. Eine Transformationsdatei ist ein spezielles Paket, das mit einem Windows-Installer-Paket verknüpft werden kann. Während der Ausführung wird das ursprüngliche WindowsInstaller-Paket geändert, wobei die Werte der .msi-Datei überschrieben werden. So kann anhand einer Transformationsdatei der Windows Installer beispielsweise die Sprache für die Benutzeroberfläche einer Anwendung ändern.
Paketdateien erstellen
In der Regel gehören die Pakete zum Lieferumfang der jeweiligen Anwendung. Falls kein Windows-Installer-Paket für ein Programm vorliegt, muss ein Paket erzeugt werden. Microsoft stellt auf der Windows Server 2000-BetriebssystemCD-ROM das Werkzeug Veritas WinInstall (Limited Edition) kostenlos zur Verfügung. Die Software befindet sich im Ordner Valueadd\3rdparty\Mgmt\Winstle\. Eine kurze Anleitung zum Umgang mit dem Programm liefert Microsoft in dem TechnetArtikel zum Microsoft Installer mit der ID 257718 [Technet 257718]. Darüber hinaus stehen von einer Reihe von Drittanbietern Programme zum Erstellen, Ändern, und Neupacken von Paketen für ein zu installierendes Programm zur Verfügung. Dazu zählen Tools von Veritas und Wise Solutions. WinInstall 7.5 Hersteller:
Veritas Software
Preis:
Ab 1.650,00 EUR für 50 Nodes
URL:
http://www.veritas.com
Wise for Windows Installer 6
134
Hersteller:
Wise Solutions
Preis:
Ab 359,00 EUR (Einzelplatzlizenz)
URL:
http://www.wisesolutions.com
Sandini Bib
Windows-Installer-Dienst
Auf der Windows Server 2003-Betriebssystem-CD-ROM ist zur Erstellung von Windows-Installer-Paketdateien leider kein entsprechendes Werkzeug mehr enthalten. Auch zur Erstellung von Transformationsdateien gibt es Tools, die meist eine einfache Benutzeroberfläche bereitstellen, wie beispielsweise der Custom Installation Wizard (CIW), der von Microsoft bereitgestellt wird. Hier wird mit einer Kopie der .msi-Originaldatei gearbeitet. Wenn Custom die Transformationsdatei am Ende der Sitzung geschrieben wird, Installation Wizard (CIW) wird die Originalversion mit der aktualisierten Version der .msiDatei verglichen und die Änderungen werden in einer .mst-Datei speichert. Der Custom Installation Wizard ist u.a. im Office 2000 bzw. Office 2003 Resource Kit [ORK] enthalten und kann verwendet werden, um Transformationen u. a. für Office-Pakete zu erstellen. Hierbei können über die bekannte Assistentenoberfläche die verschiedenen Änderungen an der Installation von Microsoft Office vorgenommen werden. So kann beispielsweise damit gesteuert werden, welche Funktionen einer Anwendung installiert und wo diese gespeichert werden sollen.
4.1.3
Das Verhalten des Windows Installer steuern
Es ist möglich und sinnvoll, die Einstellungen für den Windows Installer mit Hilfe von Gruppenrichtlinien anzupassen Hierzu gehören z.B. Festlegungen für die Ereignisprotokollierung und die Möglichkeit, die lokale Patch-Verarbeitung zu deaktivieren. Die Deaktivierung der Patch-Verarbeitung verhindert beispielsweise, dass Benutzer den Windows Installer zur Installation nicht autorisierter Updates verwenden können. Zur Konfiguration von lokalen Gruppenrichtlinien zur Steuerung Lokales Gruppenrichtlinienobjekt des Windows Installer gehen Sie wie folgt vor: 1. Öffnen Sie durch Eingabe von gpedit.msc in dem AusführenDialogfenster das Snap-In GRUPPENRICHTLINIE ZUR VERWALTUNG LOKALER GRUPPENRICHTLINIEN. Um das Gruppenrichtlinienobjekt öffnen zu können, müssen Sie über administrative Rechte verfügen.
135
Sandini Bib
4 Softwareinstallationen
Wählen Sie unter COMPUTERKONFIGURATION bzw. BENUTZERKONFIGURATION/ADMINISTRATIVE VORLAGEN/WINDOWS KOMPONENTEN den Container WINDOWS INSTALLER. Abhängig von der zu konfigurierenden Richtlinie ist diese entweder im Bereich COMPUTER oder BENUTZER zu finden. Computerbasierte Richtlinien
Die folgende Abbildung zeigt die für den Windows Installer im Bereich COMPUTERKONFIGURATION verfügbaren Richtlinien.
Abbildung 4.2: Computerbasierte Richtlinien zur Konfiguration des Windows Installer
Einige weitere Richtlinien beziehen sich auf den angemeldeten Benutzer und sind entsprechend im Bereich BENUTZERKONFIGURATION zu konfigurieren. Abbildung 4.3: Benutzerbasierte Richtlinien zur Konfiguration des Windows Installer
136
Sandini Bib
Nicht auf Windows Installer basierende Anwendungen
4.2
Nicht auf Windows Installer basierende Anwendungen
Die zuvor genannten Methoden beschreiben Technologien, die auf der Windows-Installer-Technologie aufsetzen. Eine Reihe von Anwendungen kommt jedoch auch immer noch ohne Installer aus. Bei diesen Anwendungen werden mittels BatchDateien die Programmdateien entpackt und in die Programmverzeichnisse kopiert sowie die erforderlichen Systemverknüpfungen erstellt. Aber auch für den Einsatz solcher Nicht-Windows-Installer-basierten Anwendungen gibt es Möglichkeiten zur Automatisierung beispielsweise mit Hilfe von Skripten. Eine hilfreiche Option im Zusammenhang mit Skripten ist die SkriptautoSkriptautomatisierung. Für diesen Zweck stehen zwei verschie- matisierung dene Freewaretools zur Verfügung. Zum einen handelt es sich um ScriptIt, zum anderen um Maus und Tastatur Recorder. Maus und Tastatur Recorder Hersteller:
Kra-Tonic Corp
Preis:
Freeware
URL:
http://www.kratronic.com
ScriptIt Hersteller:
Microsoft – Resource Kit für Windows NT
Preis:
Freeware
URL:
Verschiedene Downloadmöglichkeiten
ScriptIt war bereits unter Windows NT 4.0 verfügbar, kann aber ScriptIt auch problemlos unter den höheren Versionen Windows 2000 und XP eingesetzt werden. Mit Hilfe dieses Programms können sämtliche Applikationen installiert werden, auch solche, die nicht auf der Windows-Installer-Technologie basieren. Um also über ein Anmeldeskript eine nicht Installer-basierte Applikation automatisch zu installieren, stellt ScriptIt die entsprechenden Funktionen zur Verfügung. Über ScriptIt werden die während des Installationsprozesses notwendigen Tastatureingaben und Mausbewegungen der einzelnen Installationsfenster in einer Skriptdatei aufgezeichnet. Das Skript wird als .ini-Datei angelegt. Diese .ini-Datei wird von der Datei scriptit.exe aufgerufen.
137
Sandini Bib
4 Softwareinstallationen
Bedenken Sie jedoch, dass die Installation von Applikationen nur mit administrativer Berechtigung möglich ist, sodass im Anmeldeskript ein entsprechender SU (Switch User)-Befehl eingebaut sein muss. Bei der Anmeldung sieht der Benutzer die einzelnen Installationsfenster, er muss jedoch keinerlei Eingaben vornehmen. Damit er darüber informiert ist, dass es sich um die gewollte Installation einer Applikation und nicht etwa um einen Virus oder dergleichen handelt, kann man in das Anmeldeskript über echo einen entsprechenden Hinweis einbauen. Die mit ScriptIt erstellten Installationsroutinen können nicht nur über ein Anmeldeskript, sondern auch über ein Startskript verteilt werden, wenn die Applikation unabhängig vom Benutzer auf dem Computer installiert werden soll.
4.3
Lokale Installation von Anwendungen
Zur lokalen Installation von Anwendungen ist die Systemsteuerungsoption SOFTWARE die wichtigste Schnittstelle, in die auch der Windows Installer integriert ist.
4.3.1 Dienstprogramm Software
Das Dienstprogramm „Software“
Um hier eine neue Anwendung zu installieren, gehen Sie wie folgt vor: 왘
Öffnen Sie SOFTWARE in der SYSTEMSTEUERUNG. Alternativ kann im Ausführen-Dialogfenster der Befehl APPWIZ.CPL eingegeben werden.
왘
Öffnen Sie die Option NEUE PROGRAMME HINZUFÜGEN und wählen Sie dann die Option CD ODER DISKETTE. Alternativ kann selbstverständlich das Setup-Programm direkt von der Installations-CD-ROM der Anwendung gestartet werden.
Die weiteren Schritte sind von der zu installierenden Anwendung abhängig und erfolgen assistentengestützt. Die zuvor vorgestellte Vorgehensweise ist vermutlich für keinen Benutzer oder Administrator eine Neuigkeit. Gerade aber weil der Umgang mit der Systemsteuerungsoption SOFTWARE so scheinbar einfach ist, werden häufig einige nützliche Möglichkeiten übersehen.
138
Sandini Bib
Lokale Installation von Anwendungen Abbildung 4.4: Installation einer Anwendung mit dem Dienstprogramm Software
Nützliche Optionen So ist hier beispielsweise die Funktion WINDOWS-UPDATE zu fin- Windows-Update den, die direkten Zugriff auf die Microsoft Update-Webseite bietet [WU01]. Nach dem Start von Windows-Update wird überprüft, ob die aktuelle Fassung von Windows-Update ActiveX Control installiert ist und ob neue Updates vorliegen. Danach kann die gewünschte Installationsart (SCHNELLINSTALLATION oder BENUTZERDEFINIERTE INSTALLATION) ausgewählt werden. Bei Auswahl der Schnellinstallationsmethode werden Updates vollautomatisch installiert, während bei der benutzerdefinierten Installation Einfluss auf den Installationsverlauf genommen werden kann. Weiterhin steht im Bereich PROGRAMME AUS DEM NETZWERK Programme aus mittels Gruppenrichtlinien veröffentlichte Software, dem Netzwerk sortiert nach Kategorien, bereit. Eine ausführliche Anleitung zum Umgang mit Gruppenrichtlinien zur Softwareverteilung finden Sie im Abschnitt 4.4.
HINZUFÜGEN
Wichtig für die Verwaltung installierter Software ist der Bereich Hotfixes PROGRAMME ÄNDERN UND ENTFERNEN. Hier werden alle installier- anzeigen ten Anwendungen aufgelistet. Ist die Option UPDATES ANZEIGEN aktiviert, schließt dies auch alle installierten Hotfixes ein. Abhängig von der ausgewählten Anwendung kann diese nur vom Computer entfernt oder auch angepasst werden. Die zweite Option ist nur bei Windows-Installer-basierten Anwendungen verfügbar. Hierbei startet die Option ÄNDERN den InstallationsAssistenten der jeweiligen Anwendung, der die Durchführung der Änderung dann unterstützt. Interessante Informationen und Möglichkeiten verbergen sich Supporthinter dem bei vielen Anwendungen vorhandenen Hinweis KLI- Informationen anzeigen CKEN SIE HIER, UM SUPPORTINFORMATIONEN ZU ERHALTEN. In dem sich öffnenden Dialogfenster wird nicht nur die genaue Versions-
139
Sandini Bib
4 Softwareinstallationen
nummer angezeigt, sondern häufig auch eine Reparaturfunktion und der Zugriff auf zusätzliche Informationen geboten. Ein Blick auf die verfügbaren Möglichkeiten lohnt sich daher durchaus. Abbildung 4.5: Verwaltung von Anwendungen mit dem Dienstprogramm Software
Abbildung 4.6: Detailinformationen zu installierten Anwendungen anzeigen
Festlegung von Standardprogrammen Beachtenswert ist auch der Bereich PROGRAMMZUGRIFF UND -STANDARDS FESTLEGEN, der nur bei installiertem Service Pack ab der Version 1 verfügbar ist. Hier können Standardprogramme für wichtige Aufgaben festgelegt werden, wie beispielsweise der Standard-Webbrowser und das Standard-E-Mail-Programm. Außerdem kann gesteuert werden, ob für die aufgeführten Programme Symbole im Startmenü, auf dem Desktop oder anderen häufig verwendeten Speicherorten angezeigt werden sollen. Hierzu ist die Option ZUGRIFF AUF DIESES PROGRAMM AKTIVIEREN neben dem Programmnamen zu verwenden.
140
Sandini Bib
Lokale Installation von Anwendungen
Die Einstellungen haben keinen Einfluss auf die Ausführbarkeit der Anwendungen und können jederzeit ohne Einschränkungen wieder geändert werden. In der Auswahl werden lediglich Programme angezeigt, die unter Windows XP installiert wurden. Programme, die nur kopiert werden müssen, wie beispielsweise der Webbrowser FireFox, erscheinen nicht in der Liste. Abbildung 4.7: Konfiguration der Software-Einstellungen zur Festlegung von Standardprogrammen
Hinter den drei hier aufgeführten Optionen verbergen sich die Standardprogramme folgenden Funktionen: festlegen
왘
Microsoft Windows Wenn diese Option ausgewählt wird, werden die in Windows XP enthaltenen Microsoft-Programme als Standardprogramme verwendet. Dies bedeutet beispielsweise, dass Outlook Express als Standard-E-Mail-Programm festgelegt wird. Diese Einstellung ist deshalb beim Einsatz in einem Unternehmensnetzwerk nicht geeignet.
왘
Nicht-Microsoft Diese Funktion legt, im Gegensatz zur vorstehenden Option, die nicht von Microsoft stammenden installierten Programme als Standardprogramme fest, sofern diese installiert sind. Ist dies für einzelne Kategorien nicht der Fall, wird die entsprechende Microsoft-Anwendung benutzt.
141
Sandini Bib
4 Softwareinstallationen
Der Zugriff auf die angegebenen Microsoft Windows-Programme wird in diesem Fall entfernt. Dies kann jedoch jederzeit über PROGRAMMZUGRIFF UND -STANDARDS FESTLEGEN wieder modifiziert werden. 왘
Benutzerdefiniert Diese Option ist die Standardeinstellung und erlaubt eine benutzerdefinierte Konfiguration für die Festlegung von Standardprogrammen.
왘
Computerhersteller Mit dieser Option werden die vom Hersteller gewählten Einstellungen eines Computers wiederhergestellt. Diese Option steht nur zur Verfügung, wenn der Computerhersteller den Computer mit Windows XP (Service Pack 1) vorinstalliert und Einstellungen für diese Funktion konfiguriert hat.
Es können keine unterschiedlichen Standardprogramme für unterschiedliche Benutzer festgelegt werden und auch die Steuerung der Anzeige der Programmsymbole ist nicht benutzerbezogen möglich. Die Optionen der Funktion PROGRAMMZUGRIFF UND -STANDARDS FESTLEGEN werden immer für alle Benutzer des Computers übernommen.
4.3.2
Umgang mit nicht-kompatiblen Anwendungen
Probleme mit nicht-kompatiblen Anwendungen können in zwei Situationen auftreten: 왘
Bei der Aktualisierung eines Computers von einem früheren Betriebssystem auf Windows XP
왘
Bei der Installation einer Anwendung
Probleme im Rahmen der Betriebssystemaktualisierung Die Installation von Windows XP Professional kann im Rahmen der Aktualisierung u.a. von Windows NT 4.0 Workstation, Windows 98 und auch Windows ME erfolgen. Hindernisse
142
Ein Grund für die Übernahme des vorhergehenden Betriebssystems besteht häufig darin, dass die installierten Anwendungen unter Windows XP weiter verwendet werden sollen. Hierbei ist zu beachten, dass Anwendungen unter Windows XP andere Dateien als unter Windows 98 oder Windows ME installieren und Windows XP gegenüber Windows NT eine neue NTFS-Version (NTFS5) verwendet, deren Änderungen dazu führen, dass bei-
Sandini Bib
Lokale Installation von Anwendungen
spielsweise die von den Virenschutzprogrammen verwendeten Filter nach einer Aktualisierung unter Windows XP nicht mehr funktionieren. Vor der Migration sollte zunächst eine Bestandsaufnahme erfolgen, um festzustellen, welche Anwendungen von Microsoft oder anderen Anbietern sich auf dem Rechner befinden. Dann muss im Einzelfall geprüft werden, welche dieser Anwendungen auch unter Windows XP laufen. Helfen kann hierbei ein Blick in den Windows-Katalog, ein von Microsoft Microsoft im Internet bereitgestellter Informationsdienst [WK01]. WindowsKatalog Damit kann man ermitteln, ob eine Anwendung zusammen mit Windows XP verwendet werden kann oder ob eine Aktualisierung erforderlich ist. Im Katalog sind im Bereich SOFTWARE die Softwareprodukte aufgeführt, die mit Windows XP kompatibel sind und in der Regel auch das Designed for Windows XP Logo besitzen, was bedeutet, dass deren Kompatibilität mit Windows XP von den Hardware- und Softwareherstellern oder von Microsoft getestet wurde.
Abbildung 4.8: Abfrage des Zertifizierungsstatus von Software im Microsoft Windows-Katalog
143
Sandini Bib
4 Softwareinstallationen
Zu beachten ist, dass die Listen des Windows-Katalogs nicht unbedingt vollständig sind und dass eine Vielzahl von weiteren Produkten mit Windows XP kompatibel ist, sie von dem jeweiligen Hersteller jedoch nicht für die Aufnahme in den Windows-Katalog vorgeschlagen wurden. Im Zweifelsfall hilft nur ein Test der betreffenden Anwendung. Mögliche Problemfälle
Kompatibilitätsmodus
Bei Problemanwendungen gibt es mehrere Fälle, die unterschieden werden können: 왘
Programme, die nur während der Upgrade-Phase nicht funktionieren und temporär deinstalliert oder deaktiviert werden müssen. In diese Kategorie fallen sehr häufig Virenscanner.
왘
Anwendungen, die einen speziellen Patch oder ein Service Pack benötigen, um mit Windows XP zu laufen
왘
Anwendungen, die überhaupt nicht lauffähig sind unter Windows XP. Hierzu zählen beispielsweise Programme, die speziell für frühere Versionen von Windows geschrieben wurden.
Während die beiden ersten Fälle in der Regel recht einfach zu lösen sind, bedarf es für Anwendungen der dritten Kategorie spezieller Maßnahmen, damit diese dennoch unter Windows XP ausgeführt werden können. Helfen kann der von Windows XP unterstützte Kompatibilitätsmodus für Anwendungen. Hierbei handelt es sich um eine spezielle Funktion, die es ermöglicht, Anwendungen ein anderes Windows-Betriebssystem vorzugaukeln, als tatsächlich installiert ist. Für die Anwendung verhält sich Windows XP dann so wie ein älteres Windows-Betriebssystem, d.h. wie Windows 9.x oder Windows NT 4.0. In diesem Modus lassen sich deshalb Anwendungen ausführen, die im normalen Programmmodus die Zusammenarbeit mit dem Betriebssystem verweigern. Wenn Sie eine Anwendung nach der Betriebssysteminstallation von Windows XP nicht starten können, sollten Sie versuchen, das Programm im Kompatibilitätsmodus zu starten. Dieser lässt sich auf zwei Arten einstellen: 왘
Sie benutzen den Programmkompatibilitäts-Assistenten.
왘
Sie stellen den gewünschten Modus manuell in dem Eigenschaftendialogfenster der Anwendungsdatei ein. Diese Einstellungen sind identisch mit den Optionen im ProgrammkompatibilitätsAssistenten.
Die folgenden Arbeitsschritte beschreiben sowohl die Vorgehensweise mit dem Programmkompatibilitäts-Assistenten als auch diejenige bei manueller Einstellung.
144
Sandini Bib
Lokale Installation von Anwendungen
1. Den Programmkompatibilitäts-Assistenten starten Sie am ein- Programmkompatibilitätsfachsten mit dem Befehl Assistent
hcp://system/compatctr/compatmode.htm
in dem Ausführen-Dialogfenster. 2. Dieser Assistent fordert Sie auf, die Anwendung in verschiedenen Modi, d.h. Betriebssystemumgebungen, und mit verschiedenen Einstellungen zu testen. Ist der Start der Anwendung in einem Modus erfolgreich, wird die Anwendung jedes Mal in diesem Modus starten. Der Assistent ermöglicht es Ihnen außerdem, verschiedene Einstellungen zu testen, beispielsweise mit einer eingeschränkten Farbtiefe oder einer reduzierten Bildschirmauflösung von 640 x 480 Punkten. Abbildung 4.9: Auswahl des Kompatibilitätsmodus im Programmkompatibilitäts-Assistenten
Um den gewünschten Modus manuell in dem Eigenschaftendialogfenster der Anwendungsdatei einzustellen, gehen Sie wie folgt vor: 1. Wählen Sie auf dem Desktop oder im Startmenü die Verknüp- Manuelle fung des Programms, das Sie ausführen möchten, und öffnen Einstellung Sie dessen Eigenschaftendialogfenster über die entsprechende Option im Kontextmenü.
145
Sandini Bib
4 Softwareinstallationen
2. Öffnen Sie die Registerkarte KOMPATIBILITÄT und stellen Sie den gewünschten Kompatibilitätsmodus ein. Zusätzlich können Sie hier auch festlegen, dass das Programm mit einer verminderten Farbtiefe (256 Farben) ausgeführt oder in der VGAStandardauflösung von 640 x 480 Punkten ausgeführt werden soll. Abbildung 4.10: Auswahl des Kompatibilitätsmodus in den Eigenschaften der Anwendung
Probleme bei der Installation einer Anwendung Müssen auch ältere Windows-Programme eingesetzt werden, kann es passieren, dass bei der Installation oder beim Start einer Anwendung eine Fehlermeldung erscheint, mit dem Hinweis, dass die erkannte Windows-Version nicht zulässig sei. Auch in diesem Fall kann der Kompatibilitätsmodus gegebenenfalls weiterhelfen. Die Vorgehensweise ist im Wesentlichen die gleiche, wie im vorstehenden Abschnitt beschrieben. Lässt sich eine Anwendung aufgrund von Kompatibilitätsproblemen nicht unter Windows XP installieren, muss allerdings die Installationsdatei des Programms im Kompatibilitätsmodus ausgeführt werden. Setup-Datei auf CD-ROM
146
Diese kann sich eventuell auch auf einer CD-ROM befinden. Zwar ist ein schreibender Zugriff auf die CD-ROM nicht möglich, doch werden die Einstellungen bei manueller Konfiguration der Eigenschaften temporär gespeichert. Wird der Programmkompatibilitäts-Assistent verwendet, muss die Option DAS PROGRAMM IM CD-ROM-LAUFWERK VERWENDEN ausgewählt werden.
Sandini Bib
Lokale Installation von Anwendungen
Umgang mit 16-Bit- und DOS-Anwendungen Zwar begegnen einem 16-Bit- und DOS-Anwendungen nur noch sehr selten, doch gibt es immer noch Bereiche, in denen ihr Einsatz erforderlich ist. Windows XP unterstützt sowohl 16-Bit- als auch DOS-Anwendungen mit einer Kompatibilitätsschnittstelle in Form einer Virtual DOS Machine (NTVDM). Dabei legt das Betriebssystem eine Umgebung an, die einer DOS-Umgebung entspricht. Im Unterschied zu den 16-Bit-Anwendungen wird aber generell jedes DOS-Programm in einer eigenen virtuellen Maschine ausgeführt, da unter MS-DOS jedes Programm den gesamten Speicher für sich beansprucht. Aber auch 16-Bit-Anwendungen können so konfiguriert werden, 16-Bitdass sie in getrennten Speicherbereichen laufen, wobei mehrere Anwendungen getrennt starten NTVDMs erstellt werden. Standardmäßig wird eine einzelne NTVDM gestartet, wenn die erste 16-Bit-Anwendung gestartet wird. Alle weiteren 16-Bit-Anwendungen werden dann ebenfalls innerhalb dieser NTVDM gestartet. Dies bedeutet, dass sich alle 16-Bit-Anwendungen einen gemeinsamen Speicherbereich teilen. Verursacht eine Anwendung einen Fehler, bleiben auch alle anderen 16-Bit-Anwendungen hängen. Um eine Anwendung in einer eigenen NTVDM zu starten, stehen verschiedene Möglichkeiten zur Verfügung. An der Eingabeaufforderung können Anwendungen mit dem Befehl Start Befehl Start ausgeführt werden. Für die Ausführung von 16-BitAnwendungen sind zwei spezielle Parameter verfügbar. Mit dem Befehl start /separate Pfad und Name der Anwendung
kann eine 16-Bit-Anwendung in einem eigenen Speicherbereich ausgeführt werden. Der Befehl start /shared Pfad und Name der Anwendung
hingegen startet die 16-Bit-Anwendung in einem gemeinsam genutzten Speicherbereich. Wird zu einer 16-Bit-Anwendung eine Verknüpfung erstellt, ent- Verknüpfung hält die Registerkarte VERKNÜPFUNG in dem Dialogfenster EIGEN- verwenden SCHAFTEN die Option GETRENNTER SPEICHERBEREICH.
147
Sandini Bib
4 Softwareinstallationen Abbildung 4.11: Ausführung von 16-Bit-Anwendungen in getrennten Speicherbereichen
DOSAnwendungen
Aber auch für DOS-Anwendungen gibt es eine Reihe von Einstellmöglichkeiten für einen optimierten Einsatz unter Windows XP. Die Konfiguration ist möglich im Eigenschaftendialogfenster, das über das zugehörige Kontextmenü geöffnet werden kann.
4.3.3
Behebung von Deinstallationsproblemen
Es kommt immer wieder vor, dass sich Anwendungen nicht deinstallieren lassen und die Windows-Installer-Deinstallationsroutine mit einer Fehlermeldung abbricht. Die Ursachen hierfür können vielfältig sein, beruhen aber häufig auf fehlerhaften oder schadhaften Einträgen in der Registrierungsdatenbank. Diese können beispielsweise verursacht werden durch eine Beschädigung der Registrierungsdatenbank, durch fehlerhafte manuelle Änderungen oder durch einen unerwarteten Neustart während der Installation mit dem Windows Installer. Mit Hilfe zweier Werkzeuge können derartige Einträge bzw. fehlerhafte Anwendungen entfernt werden.
148
Sandini Bib
Lokale Installation von Anwendungen
Windows Installer Clean-Up Das Tool Windows Installer Clean-Up (msicuu.exe) hilft bei der Msicuu.exe Beseitigung von Programmresten und ist Bestandteil der optional installierbaren Supporttools für Windows XP (zu finden im Unterverzeichnis \Tools des Verzeichnisses \Support auf der Windows XP–Betriebssystem-CD-ROM). In dem nach dem Start angezeigten Dialogfenster werden alle derzeit installierten Programme aufgelistet, die mit Windows Installer registriert wurden. Da auch das Programm msicuu.exe den Windows Installer verwendet, steht es ebenfalls in dieser Liste. Nach der Bestätigung werden alle Dateien und Registrierungsdatenbankeinstellungen entfernt. Abbildung 4.12: Anwendungen deinstallieren mit Windows Installer Clean-Up
Windows Installer Clean-Up entfernt ausschließlich Anwendungen, die mit dem Windows Installer installiert wurden. Nicht entfernt werden kann jedoch der Windows Installer selbst. Msizap.exe Das Programm Windows Installer Clean-Up verwendet die Programmdatei msizap.exe, um Bereinigungsvorgänge an den Registrierungsdatenbankeinstellungen für den Windows Installer durchzuführen.
149
Sandini Bib
4 Softwareinstallationen
An der Eingabeaufforderung kann msizap.exe auch direkt ausgeführt werden. Allerdings sollte miszap.exe sehr umsichtig ausgeführt werden und auch nur, wenn die Bereinigung mit Windows Installer Clean-Up fehlgeschlagen ist. Da msizap.exe weniger Schutzmechanismen umfasst, kann es damit leicht zu Beschädigungen des Systems kommen. Syntax
Der Befehl msizap.exe hat die folgende Syntax: msizap T[A!] {product code} T[A!] {msi package} *[A!] ALLPRODUCTS
Eine Erläuterung der Parameter kann mit dem Befehl Msizap/?
angezeigt werden.
4.4
Softwareverteilung mit Gruppenrichtlinien
In Active Directory-basierten Unternehmensnetzwerken steht eine integrierte Methode zur automatisierten Installation von Software zur Verfügung: SOFTWAREVERTEILUNG MIT GRUPPPENRICHTLINIEN. Hierbei werden Anwendungen mittels Active Directory-Gruppenrichtlinien und mit dem Windows-Installer-Dienst zentral verwaltet, d.h. installiert, gewartet und entfernt. Mit Hilfe einer richtlinienbasierten Methode zum Verwalten der Softwarebereitstellung kann außerdem sichergestellt werden, dass die von den Benutzern benötigten Anwendungen im Bedarfsfall überall verfügbar sind, unabhängig davon, welchen Computer sie gerade benutzen. Voraussetzungen
Um die Funktion für die richtlinienbasierte Softwareinstallation und -wartung nutzen zu können, wird ein Windows 2000 Server oder Windows Server 2003 mit Active Directory benötigt. Die Clientcomputer müssen Windows 2000 Professional oder Windows XP (Home oder Professional) ausführen. Frühere Windows-Versionen unterstützen keine Gruppenrichtlinien und können deshalb für die Softwareverwaltung nicht verwendet werden.
Installationsdateien
Benötigt werden weiterhin Microsoft Installer (MSI)-Paketdateien für die jeweils zu installierenden Anwendungen. Auch .zapDateien können verwendet werden. Durch eine .zap-Datei wird ein ausführbares Setup-Programm angegeben, das in der Systemsteuerung unter SOFTWARE Benutzern, die über Administratorrechte ver-
150
Sandini Bib
Softwareverteilung mit Gruppenrichtlinien
fügen, auf dem lokalen Computer angezeigt wird. Einschränkend können .zap-Dateien nur veröffentlicht werden; für sie ist keine Zuweisung möglich. Nähere Informationen zur Microsoft Installer-Technologie finden Sie im Abschnitt 4.1, Windows-Installer-Dienst ab Seite 137. Die Gruppenrichtlinien für die Softwareverwaltung können, wie alle anderen Gruppenrichtlinien, auf Benutzer oder Computer in einem Standort, in einer Domäne oder in einer Organisationseinheit angewendet werden. Neben der Vorbereitung mit einer Analyse der Softwareanforderungen, dem Erwerb der Software und dem Erwerb von Paketdateien vom Hersteller einer Anwendung bzw. dem Erstellen von Windows-Installer-Paketdateien für eine Anwendung umfasst der Installations- und Bereitstellungsvorgang vor allem die Bereitstellungsphase. Diese gliedert sich im Wesentlichen in zwei Hauptschritte: 왘
Erstellung eines Softwareverteilungspunktes
왘
Erstellung und Konfiguration eines Gruppenrichtlinienobjekts zum Bereitstellen der Anwendung
4.4.1
Erstellung eines Softwareverteilungspunktes
Ein Softwareverteilungspunkt ist ein freigegebener Ordner, der die Paketdateien zum Bereitstellen von Software enthält. Hierbei kann es sich um ein freigegebenes Verzeichnis auf einem Server, um einen DFS (Distributed File System)-Ordner oder um eine CD-ROM mit den Paket- und Installationsdateien handeln. Installer-Pakete und Softwaredateien müssen an einem Softwareverteilungspunkt zur Verfügung stehen, sodass die Dateien beim Installieren von Software auf einem Clientcomputer von diesem Punkt kopiert werden können. Für jede Anwendung sollte ein separater Ordner am Softwareverteilungspunkt erstellt werden. Wichtig ist die Festlegung entsprechender Berechtigungen für den freigegebenen Ordner. Nur Administratoren sollten über Schreibrechte verfügen. Für die Benutzer genügen Leseberechtigungen, um auf die Softwareinstallationsdateien am Softwareverteilungspunkt zugreifen zu können. Benutzer sollten den Inhalt des freigegebenen Ordners am Softwareverteilungspunkt nicht durchsuchen können. Dies kann mit einer verborgenen Freigabe verhindert werden (beispielsweise software$).
151
Sandini Bib
4 Softwareinstallationen
4.4.2
Bereitstellung eines Softwarepaketes
Die Bereitstellung des einzelnen Softwarepaketes umfasst die Erstellung und Konfiguration entsprechender Gruppenrichtlinien im GRUPPENRICHTLINIENOBJEKT-EDITOR unter SOFTWAREEINSTELLUNGEN/SOFTWAREINSTALLATION. Der Bereich SOFTWAREINSTALLATION steht nur in Active Directory-basierten Gruppenrichtlinienobjekten zur Verfügung. Im lokalen Gruppenrichtlinienobjekt eines Windows XP-Rechners fehlt diese Einstellung, d.h. ein Windows XP-Rechner kann nicht selbst mit Hilfe von Gruppenrichtlinien Software an andere Rechner verteilen. Wie die folgende Abbildung zeigt, kann Software sowohl für Benutzerkonten als auch für Computerkonten bereitgestellt werden und ist deshalb sowohl im Bereich BENUTZERKONFIGURATION als auch unter COMPUTERKONFIGURATION zu finden. Abbildung 4.13: Gruppenrichtlinien für die Softwareverteilung
Um ein neues Softwarepaket bereitzustellen, ist im Kontextmenü von SOFTWAREINSTALLATION die Option NEU und PAKET zu verwenden. Hier ist im ersten Schritt das gewünschte Paket und anschließend die Bereitstellungsmethode zu wählen. Unterstützt werden die beiden Bereitstellungsarten Veröffentlichen und Zuweisen. Abbildung 4.14: Auswahl der Bereitstellungsmethode
152
Sandini Bib
Softwareverteilung mit Gruppenrichtlinien
Softwarezuweisung Software kann entweder Benutzern oder Computern zugewiesen oder veröffentlicht werden. 왘
Einem Benutzer zuweisen Wird einem Benutzer Software zugewiesen, wird die Anwendung dem Benutzer beim nächsten Anmelden an einem Windows XP-Rechner angekündigt. Sobald ein Benutzer ein unbekanntes Dokument oder eine Anlage durch Doppelklicken öffnet, prüft der Windows Installer, ob eine zugewiesene und noch nicht installierte Anwendung auf dem Computer des Benutzers bereitsteht.
왘
Einem Computer zuweisen Wird die Software einem Computer zugewiesen, findet keine Ankündigung statt. Stattdessen wird die Software automatisch installiert, wenn der Computer gestartet wird. Durch Zuweisen von Software zu einem Computer kann sichergestellt werden, dass bestimmte Anwendungen auf diesem Computer immer zur Verfügung stehen, unabhängig davon, welcher Benutzer den Computer verwendet. Domänen-Controller bilden hier eine Ausnahme: Ihnen kann keine Software zugewiesen werden.
Zugewiesene Software kann nicht gelöscht werden. Wenn ein Benutzer eine zugewiesene Anwendung mit Hilfe der Option SOFTWARE entfernt, wird die Ankündigungsfunktion beim nächsten Start erneut auf den Computer oder Benutzer angewendet. Software veröffentlichen Softwareveröffentlichung bedeutet, dass die Anwendung den Benutzern zur Installation auf ihren Computern zur Verfügung gestellt wird. Allerdings gibt es auf dem Desktop des Benutzers kein Anzeichen für die Software: Auf dem Computer ist keine Ankündigungsinformation vom Windows Installer über die Software, weder in der Registrierungsdatenbank noch als Verknüpfung auf dem Desktop oder im Startmenü vorhanden. Die Ankündigungsattribute werden stattdessen im Active Directory gespeichert. Da Benutzer die veröffentlichte Software aktiv installieren müssen, kann sie nur für Benutzer, nicht jedoch für Computer veröffentlicht werden.
153
Sandini Bib
4 Softwareinstallationen
Benutzer können veröffentlichte Software auf zwei Arten installieren: 왘
Mit Hilfe der Option SOFTWARE in der SYSTEMSTEUERUNG. Hier wird eine Liste der verfügbaren Anwendungen angezeigt. Der Benutzer kann dann die gewünschte Anwendung auswählen und über HINZUFÜGEN installieren.
왘
Mit Hilfe von Dateiverknüpfungen. Wenn eine Anwendung im Active Directory veröffentlicht ist, sind die Dateinamenerweiterungen für die von ihr unterstützten Dokumente im Active Directory registriert. Wenn ein Benutzer auf einen unbekannten Dateityp doppelt klickt, sendet der Computer eine Abfrage an das Active Directory, um zu bestimmen, ob dieser Dateinamenerweiterung Anwendungen zugeordnet sind. Wenn Active Directory eine solche veröffentlichte Anwendung findet, wird sie installiert.
Nachdem eine Gruppenrichtlinie für eine neue, zu verteilende Anwendung erstellt wurde, wird das Paket im Detailbereich von SOFTWAREINSTALLATION aufgelistet. Hier kann jederzeit der Status der betreffenden Software hinsichtlich Bereitstellungszustand, Upgrade-Typ u. a. abgefragt werden. Eine Aktualisierung des Bereitstellungsstatus erfolgt jeweils bei Bereitstellung einer neuen Software und bei Bereitstellung eines Service Pack oder Updates. Software installieren
Die folgende Abbildung zeigt am Beispiel der SerververwaltungsTools in dem Dialogfenster SOFTWARE bereitgestellte Software. Veröffentlichte Software wird im Register NEUE PROGRAMME HINZUFÜGEN aufgelistet. Wurde der Anwendung in der Gruppenrichtlinie eine Kategorie zugeordnet, muss diese zunächst ausgewählt werden.
Transformationsdatei verwenden
Nur bei der Erstellung eines neuen Paketes im Gruppenrichtlinienobjekt für die Softwarebereitstellung ist es möglich, dem Paket eine .mst-Datei hinzuzufügen (beachten Sie hierzu auch die Erläuterungen im Abschnitt 4.1.1). Hierfür ist ein neues Paket mit der Option ERWEITERT bei der Auswahl der Bereitstellungsmethode zu installieren. Anschließend kann auf der Registerkarte ÄNDERUNGEN die gewünschte Transformationsdatei hinzugefügt werden.
154
Sandini Bib
Softwareverteilung mit Gruppenrichtlinien Abbildung 4.15: Veröffentlichte Anwendungen im Bereich Software
Transformationsdateien können nie allein angewendet bzw. im Rahmen der Softwareverteilung allein bereitgestellt werden, sondern immer nur die Einstellungen eines msi-Paketes ändern. Nachdem ein Softwarepaket mit Hilfe von Gruppenrichtlinien Bereitstellungsbereitgestellt wurde, können die Eigenschaften des Paketes in optionen dem Dialogfenster BEREITSTELLUNGSOPTIONEN geändert werden. Beispielsweise kann bestimmt werden, dass ein zugewiesenes Softwarepaket nicht unter SOFTWARE angezeigt wird. Außerdem ist es möglich, die Option DIESE ANWENDUNG AUTOMATISCH DEINSTALLIEREN WENN SIE AUSSERHALB DES VERWALTUNGSBEREICHS LIEGT zu aktivieren. In diesem Fall wird die bereitgestellte Software automatisch deinstalliert, wenn ein Benutzer oder Computer in eine Organisationseinheit oder Domäne verschoben wird, in der dieses Gruppenrichtlinienobjekt nicht mehr angewendet wird. Wie die folgende Abbildung zeigt, können auf dieser Registerkarte nicht nur die wichtigsten Bereitstellungsoptionen, sondern nachträglich auch die Bereitstellungsart geändert werden. Weiterhin ist die Festlegung der Benutzeroberflächenoptionen für die Installation möglich.
155
Sandini Bib
4 Softwareinstallationen Abbildung 4.16: Konfiguration der Bereitstellungsoptionen eines Softwarepaketes
Windows-Installer-Pakete werden häufig mit zwei verschiedenen Installationsoberflächen geliefert. Die Auswahl der Option EINFACH installiert die Software mit Hilfe von Standardwerten. Bei Auswahl von MAXIMUM wird der Benutzer zur Eingabe von Werten aufgefordert. Softwarekategorien
Abbildung 4.17: Erstellung einer neuen Softwarekategorie
156
Softwarekategorien dienen der logischen Gruppierung von Anwendungen unter einer Überschrift und können Benutzern den Umgang mit bereitgestellter Software erleichtern. Softwarekategorien gelten innerhalb einer gesamten Domäne, d.h. alle vorgenommenen Änderungen wirken sich auf die gesamte Domäne aus. Um eine neue Softwarekategorie hinzuzufügen, ist die Option EIGENSCHAFTEN im Kontextmenü von SOFTWAREINSTALLATION zu wählen. Die hier erstellten Kategorien können anschließend der bereitzustellenden Software zugeordnet werden.
Sandini Bib
Softwareverteilung mit Gruppenrichtlinien
4.4.3
Bereitgestellte Software verwalten
Die Bereitstellung von Software ist in aller Regel kein einmaliger Vorgang, sondern zieht eine regelmäßige Wartung der Anwendungen nach sich. So ist es beispielsweise notwendig, Service Packs einzuspielen und Anwendungen mittels Updates zu aktualisieren, um sicherzustellen, dass die Benutzer immer über die aktuelle Version verfügen. Die Funktion der Softwareverteilung mit Gruppenrichtlinien erlaubt deshalb nicht nur die Bereitstellung von Anwendungen, sondern auch deren Verwaltung. Die Softwareverwaltung umfasst im Wesentlichen die folgenden drei Aufgabengebiete: 왘
Aktualisierungen Diese schließen alle Änderungen mittels Patches und Updates nach der Erstinstallation ein.
왘
Reparaturen Hierzu gehört beispielsweise die automatische Neuinstallation gelöschter Dateien.
왘
Entfernen von Anwendungen Das Entfernen umfasst das vollständige Löschen der Anwendungen vom Computer, wenn diese nicht länger benötigt werden.
Anwendungen aktualisieren Die Aktualisierung installierter Software ist eine der Hauptaufgaben im Rahmen der Anwendungsverwaltung. Nachdem ein Update, ein Service Pack oder ein Patch getestet und für eine Anwendung für die Verteilung freigegeben wurde, hängt die weitere Vorgehensweise von der vorliegenden Software ab. 왘
Software Patch oder Service Pack Patches für eine Anwendung liegen häufig in Form eines neuen .msi-Paketes vor. In diesem Fall genügt es, das alte Paket am Softwareverteilungspunkt durch das neue Paket zu ersetzen. Um ein bereits zugewiesenes oder veröffentlichtes Paket erneut bereitzustellen, kann im Gruppenrichtlinienobjekt-Editor im Kontextmenü des Pakets, mit dem die Software ursprünglich bereitgestellt wurde, die Option ANWENDUNG ERNEUT BEREITSTELLEN ausgewählt werden. Die aktualisierten Dateien werden daraufhin je nachdem, wie das ursprüngliche Paket bereitgestellt wurde, neu angekündigt. 왘
Wenn die Software einem Benutzer zugewiesen wurde, wer- Abhängig von den das Startmenü, die Verknüpfungen auf dem Desktop der Bereitstellungsart und die Registrierungsdatenbankeinstellungen, die sich auf diese Software beziehen, bei der nächsten Anmeldung des
157
Sandini Bib
4 Softwareinstallationen
Benutzers aktualisiert. Wenn der Benutzer die Software das nächste Mal startet, werden das Service Pack oder der Patch automatisch angewendet. 왘
Wenn die Software einem Computer zugewiesen wurde, werden das Service Pack oder der Patch automatisch beim nächsten Starten des Computers angewendet.
왘
Wenn die Software veröffentlicht und installiert wurde, werden, wenn der Benutzer die Software das nächste Mal startet, das Service Pack oder der Patch automatisch angewendet.
Update einer Anwendung Upgrades bzw. Updates von Anwendungen umfassen meist größere Änderungen, die oft auch eine erhebliche Anzahl von Dateien modifizieren. Hier hängt es von der verwendeten Anwendung und dem Aktualisierungspaket ab, ob die vorhandene Anwendung zuvor entfernt werden muss oder ob das neue Paket nur die notwendigen Dateien ersetzt. Unabhängig davon, ob die Originalanwendung zugewiesen oder veröffentlicht wurde, stehen für eine Aktualisierung zwei Optionen zur Verfügung: Aktualisierungsarten
왘
Obligatorische Aktualisierung: Obligatorische Aktualisierungen ersetzen eine alte Softwareversion automatisch durch eine aktualisierte Version. Beim nächsten Computerstart oder bei der nächsten Benutzeranmeldung wird automatisch die neue Version installiert.
왘
Optionale Aktualisierung. Bei einer optionalen Aktualisierung kann der Benutzer selbst entscheiden, ob und wann die Aktualisierung auf die neue Version durchgeführt wird. Jeder, der die Software installiert hat, kann die vorhandene Version weiter verwenden. Benutzer, die die vorhandene Anwendung noch nicht installiert hatten, können entweder die alte oder die neue Version installieren.
Um ein bereits zugewiesenes oder veröffentlichtes Paket erneut bereitzustellen, ist im Gruppenrichtlinienobjekt-Editor zunächst eine neue Gruppenrichtlinie für das Update-Paket zu erstellen und in dessen Eigenschaftendialogfenster die Registerkarte AKTUALISIEREN zu wählen. Soll eine obligatorische Aktualisierung durchgeführt werden, muss die Option VORHANDENE PAKETE AKTUALISIEREN aktiviert werden. Anderenfalls erfolgt die Aktualisierung optional. Die aktualisierten Dateien werden daraufhin je nachdem, wie das ursprüngliche Paket bereitgestellt wurde, neu angekündigt.
158
Sandini Bib
Softwareverteilung mit Gruppenrichtlinien Abbildung 4.18: Auswahl der durch ein Update-Paket zu aktualisierenden Pakete
Anwendungen reparieren Zugewiesene Anwendungen verfügen quasi über eine integrierte Reparaturfunktion. Sie können vom Benutzer nicht gelöscht werden. Wenn ein Benutzer die Anwendung mit Hilfe der Option SOFTWARE entfernt, wird die Ankündigungsoption beim nächsten Start erneut auf den Computer oder Benutzer angewendet. Bereitgestellte Software entfernen Gruppenrichtlinien können nicht nur zum Bereitstellen, sondern auch zum Entfernen von Software verwendet werden. Damit kann die nicht mehr benötigte Software entweder automatisch bzw. beim Start des Clientcomputers entfernt werden oder wenn sich der Benutzer erstmals wieder anmeldet. Um eine Anwendung zu deinstallieren, muss die Softwarepaketeinstellung aus dem Gruppenrichtlinienobjekt, mit dem die Software ursprünglich bereitgestellt wurde, entfernt werden. Zur Entfernung des Paketes sind die folgenden Arbeitsschritte durchzuführen: Im Kontextmenü des gewünschten Paketes ist hierzu die Option Optionen für die ALLE TASKS und ENTFERNEN zu wählen. Die gewünschte Entfer- Deinstallation nungsart kann in dem daraufhin erscheinenden Dialogfensterbox ausgewählt werden.
159
Sandini Bib
4 Softwareinstallationen 왘
Erzwungene Entfernung Bei Auswahl der Option SOFTWARE SOFORT VON BENUTZERN COMPUTERN DEINSTALLIEREN können Benutzer die Software weder weiterhin ausführen noch installieren. Die Anwendung wird automatisch von einem Computer gelöscht, entweder beim nächsten Computerstart oder bei der nächsten Benutzeranmeldung. Das Löschen findet statt, bevor der Desktop angezeigt wird. UND
왘
Optionale Entfernung Bei Auswahl der Option BENUTZER DÜRFEN DIE SOFTWARE WEITERHIN VERWENDEN, ABER NEUINSTALLATIONEN SIND NICHT ZUGELASSEN wird die Anwendung nicht von den Computern entfernt. Sie wird aber nicht mehr unter SOFTWARE aufgelistet und kann nicht mehr installiert werden. Benutzer, die diese Software installiert haben, können sie weiterhin verwenden. Wenn Benutzer die Software jedoch manuell löschen, können sie diese nicht erneut installieren.
Um zu erreichen, dass eine Anwendung entfernt wird, wenn ein Gruppenrichtlinienobjekt nicht länger angewendet wird (beispielsweise weil der Computer in eine andere Domäne verschoben wurde), muss in dem Eigenschaftendialogfenster der Anwendung die Option ANWENDUNG DEINSTALLIEREN, WENN SIE AUSSERHALB DES VERWALTUNGSBEREICHS LIEGT auf der Registerkarte BEREITSTELLUNG VON SOFTWARE aktiviert werden (siehe Abbildung 4.18).
4.5
Softwareverteilung mit dem Systems Management Server
Die Abkürzung SMS steht für Systems Management Server und beschreibt eine umfassende Verwaltungsplattform und ein Managementwerkzeug insbesondere für Windows-basierte PCs. Der Systems Management Server bietet Inventarisierungs-, Installations-, Softwareverteilungs- und Diag-nosefunktionen. Hierbei spielt es keine Rolle, ob das Unternehmen aus einer Reihe von Büros innerhalb eines Gebäudes oder aus mehreren internationalen Niederlassungen besteht. Aktuell (Stand Mai 2005) ist der Systems Management Server in der Version 2003 verfügbar. Aufgrund der Komplexität dieses Themenbereichs können an dieser Stelle nur die allgemeinen Möglichkeiten von SMS bzw. der Softwareverteilung mit SMS vorgestellt werden.
160
Sandini Bib
Softwareverteilung mit dem Systems Management Server
4.5.1
SMS im Überblick
Bei der Erstinstallation von SMS wird standardmäßig ein einzel- Standort ner SMS-Standort eingerichtet. Ein Standort ist die grundlegende SMS-Verwaltungseinheit. Definiert ist ein SMS-Standort über eine Reihe von Ressourcen und Standortsystemen. Abgegrenzt wird er durch Gruppen von lokalen Teilnetzen, welche zu gemeinsamen IP-Subnetzen gehören. Alle auf den Standort bezogenen Informationen, die der SMS über die Ressourcen im Netzwerk sammelt, werden in einer SMS-Standortdatenbank gespeichert. Zur Verwaltung eines SMS-Standortes ist mindestens ein Stand- SMSortserver erforderlich. Einer dieser Standortserver ist für die Ver- Standortserver waltung der SMS-Standortdatenbank zuständig. Computer auf denen die SMS-Clientsoftware installiert ist, wer- SMS-Clients den zu SMS-Clients. Sie werden von einem SMS-Standort verwaltet. Auch Computer, die als SMS-Standortserver dienen, werden standardmäßig gleichzeitig als SMS-Clients eingerichtet. Der SMS speichert seine Informationen in einer Microsoft SQL SMS-Datenbank Serverdatenbank. Diese enthält die Ermittlungsdaten, Konfigurations- und Statusinformationen sowie das Hardware- und das Softwareinventar. Eine Ressource ist ein Objekt, das von SMS verwaltet werden Ressourcen kann. Zu den Ressourcen gehören beim SMS Computer, Router, Hubs, alle anderen Objekte mit einer IP-Adresse (zum Beispiel Drucker), Benutzer und lokale Benutzergruppen. Bevor der SMS für die Verwaltung eingesetzt werden kann, müssen die vorhandenen Ressourcen am Standort ermittelt werden. Als Ermittlung bezeichnet man das Verfahren der Suche nach Ressourcen und der Sammlung von Informationen über diese Ressourcen.
4.5.2
Installation der SMS-Clientsoftware
Für die Ausführung von SMS-Funktionen auf den SMS-Clients, wie beispielsweise Softwareverteilung, Hardware- und Softwareinventar oder Remote-Steuerung, muss die SMS-Clientsoftware auf den Clientcomputern installiert werden. Verknüpft ist der Vorgang der Client-Installation mit der Ressource- Ressourcennermittlung. Diese beschreibt den Vorgang des Zusammenstellens ermittlung von Informationen über die Ressourcen in einem Unternehmensnetzwerk und das Auffüllen der SMS-Standortdatenbank mit den ermittelten Informationen.
161
Sandini Bib
4 Softwareinstallationen
Der gesamte Vorgang der Client-Installation erfolgt in drei Phasen: 왘
Ermittlung Im ersten Schritt werden alle Ressourcen des gesamten Unternehmens ermittelt. Zu diesen Informationen gehören beispielsweise Daten wie der Name der ermittelten Computer, deren Betriebssystem und die IP-Adressen.
왘
Standortzuweisung Während der Ausführung der SMS-Client-Installation wird der Computer einem SMS-Standort zugewiesen.
왘
Installation der Client-Agenten Die Installation der SMS-Clientsoftware umfasst daneben auch die Einrichtung der Client-Agenten (beispielsweise den Agenten für die Remote-Steuerung und den Client-Agenten für angekündigte Programme). Außerdem wird während der ClientInstallation die Option SYSTEMS MANAGEMENT in der SYSTEMSTEUERUNG eingerichtet.
Installationsmöglichkeiten
Zur Installation der SMS-Clientsoftware stehen verschiedene Installationstechniken zur Auswahl: 왘
Client-Push-Installationsmethode in der SMS 2003-Administratorkonsole
왘
Programmdatei auf dem Client zur Installation der Clientsoftware. Dies wiederum kann folgendermaßen erfolgen: 왘
Durch die Anmeldeskript-initiierte Client-Installation
왘
Manuelles Ausführen einer Programmdatei
왘
Verwenden einer Windows-Gruppenrichtlinie
왘
Verwenden der SMS-Softwareverteilung oder einer anderen Softwareverteilungsmethode zum Ankündigen und Ausführen einer Programmdatei
Nach erfolgter Installation der Clientsoftware kann der SMSClient, sofern die entsprechenden Berechtigungen vorliegen, von jeder SMS-Administratorkonsole aus verwaltet werden. Art und Umfang der Remote-Verwaltung werden dabei von den ClientAgenten bestimmt.
4.5.3
Grundlagen der Softwareverteilung
Mit Hilfe der Funktion SOFTWAREVERTEILUNG können beispielsweise gleichzeitig alle Computer an einem Standort mit einer neuen Softwareinstallation aktualisiert werden oder die gleiche Anwendung (zum Beispiel ein Antivirusprogramm) kann auf allen Clientcomputern ausgeführt werden. Es ist aber auch möglich, eine lizenzierte Anwendung an eine Teilmenge der Benutzer zu verteilen.
162
Sandini Bib
Softwareverteilung mit dem Systems Management Server
Hierbei reicht die Spannweite von der Erlaubnis für die Benutzer, eine Anwendung optional auszuführen, bis hin zur verbindlichen Installation einer Anwendung zu einem festgelegten Zeitpunkt. Angekündigte Programme werden in der Systemsteuerungsoption SOFTWARE unter ANGEKÜNDIGTE PROGRAMME AUSFÜHREN aufgeführt. Außerdem werden Benutzer im Infobereich über neue angekündigte Programme benachrichtigt. Sie können dann einfach auf das Symbol doppelklicken, um zu ermitteln, welche neuen Programme verfügbar sind. Um die Verteilung von Software an Clients einzurichten, sind Arbeitsschritte grundsätzlich die folgenden Schritte erforderlich: 왘
Festlegen der Softwareverteilungseinstellungen für den Standort
왘
Vorbereiten des Quellverzeichnisses und ggf. der benutzerdefinierten Skripts oder Batch-Dateien für die Software
왘
Erstellen eines Pakets für die Anwendung
왘
Senden der Paketdaten an einen oder mehrere Verteilungspunkte
왘
Erstellen oder Auswählen einer Sammlung von Clients, die die Anwendung erhalten bzw. ausführen sollen
왘
Erstellen von Ankündigungen für die Anwendung
Wie die Aufstellung zeigt, ist zur Verteilung von Software die Softwarepakete Erstellung von Paketen notwendig, die zur Verteilung von Software an Clients verwendet werden und Informationen darüber beinhalten, wie, wann und wo die verteilten Programme für Clients verfügbar gemacht werden sollen. Die erforderlichen Paketdateien können neu erstellt oder auch importiert werden. Windows-Installer-Pakete beispielsweise enthalten alle Informationen, die zur Erstellung von SMS-Paketen erforderlich sind, und können daher problemlos importiert werden, um daraus SMS-Pakete zu erstellen.
4.5.4
Der SMS-Installer
Der Systems Management Server 2003 enthält mit dem SMSInstaller ein Werkzeug zum Erstellen von Softwareinstallationspaketen. Diese Pakete enthalten alle zur Installation der Anwendung benötigten Informationen, einschließlich eines Skripts zur Steuerung der Installation.
163
Sandini Bib
4 Softwareinstallationen
Funktionen Der SMS Installer erstellt Installationspakete im SMS-InstallerFormat, die Informationen über das aktuelle System sammeln, Dateien installieren und löschen, nach Dateien suchen, vom Benutzer Informationen anfordern sowie Systemdateien und die Registrierungsdatenbank aktualisieren können. Die Pakete können so angepasst werden, dass sie vom Benutzer Informationen anfordern oder unbeaufsichtigt ausgeführt werden. Einsatzmöglichkeiten
Obwohl SMS-Installer-generierte ausführbare Dateien speziell für die Verwendung auf SMS-Clients bestimmt sind, können sie beispielsweise auch über das Internet bereitgestellt oder als Paket auf eine CD-ROM oder Diskette kopiert werden. Außerdem ist mit dem Windows Installer Setup Utility (ISU) ein Befehlszeilen-Tool enthalten, das Setup-Pakete vom SMS-Installer-Format zum Microsoft Windows-Installer-Format migrieren kann. Derartige Windows-Installer-.msi-Paketdateien können wiederum auf jedem Computer ausgeführt werden, der Windows Installer unterstützt.
Paketerstellung
Die Erstellung eines Pakets mit dem SMS-Installer erfolgt auf einem Referenzcomputer, dessen Konfiguration derjenigen des Zielcomputers entsprechen muss. Als Zielcomputer werden die Computer bezeichnet, die das Installationspaket erhalten sollen. Der SMS-Installer sammelt auf dem Referenzcomputer die erforderlichen Konfigurationsdaten und generiert automatisch ein Installationsskript für die Anwendung. Anschließend kann das Installationsskript angepasst werden, um beispielsweise vom Benutzer bestimmte Informationen anzufordern oder um Anweisungen zum Umgang mit vorherigen Installationen einer Anwendung einzufügen. Nach der Erstellung des Installationsskripts kann mit dem SMSInstaller eine SMS-Installer-generierte ausführbare Datei erstellt oder eine Windows-Installer-Datei konvertiert und diese an die Zielcomputer verteilt bzw. dort ausgeführt werden. SetupDateien, die mit dem SMS-Installer erstellt werden, können unter Microsoft Windows 98, Microsoft Windows NT 4.0, Microsoft Windows 2000 und Microsoft Windows XP ausgeführt werden. Installieren des SMS-Installer Der SMS-Installer ist nur per Download [SMSIS] verfügbar und nicht im SMS 2003-Produkt enthalten. Bei der im Microsoft Downloadcenter erhältlichen Datei handelt es sich um eine selbstextrahierende Datei, die auf einem primären SMS 2003-Standortserver ausgeführt werden muss.
164
Sandini Bib
Softwareverteilung mit dem Systems Management Server
Um den SMS-Installer zu installieren, müssen die folgenden Installationsschritte Schritte ausgeführt werden: 왘
Führen Sie die heruntergeladene selbstextrahierende Datei auf einem primären SMS 2003-Standortserver aus. Nachdem der SMS-Installer die korrekte SMS-Konfiguration überprüft hat, wird er mit den ISU-Installationsdateien in das ausgewählte Verzeichnis auf dem Computer kopiert. Der Speicherort des Standardverzeichnisses ist C:\SMS-Installer Setup.
왘
Wechseln Sie im Windows Explorer in das Verzeichnis SMSInstaller Setup. Kopieren Sie die Datei SMSInstl.exe auf den Referenzcomputer und führen Sie sie aus. Alternativ dazu können Sie das Verzeichnis SMS-Installer-Setup freigeben, der Freigabe vom Referenzcomputer aus ein Laufwerk zuordnen und SMSInstl.exe ausführen.
왘
Nachdem Sie den SMS-Installer eingerichtet haben, können Sie entweder über das Startmenü auf die Tools zugreifen oder im Windows Explorer zum Verzeichnis C:\Programme\Microsoft SMS-Installer wechseln. Hier müssen Sie die Datei SMSins32.exe aufrufen.
165
Sandini Bib
Sandini Bib
5
Die Benutzeroberfläche Stephanie Knecht-Thurmann
Dieses Kapitel beschäftigt sich mit den verschiedenen Facetten der Windows XP-Benutzeroberfläche sowie mit den wichtigsten Verwaltungswerkzeugen. Zunächst geht es um die Anpassung des Desktop auf den klassischen Stil und um die Bearbeitung durch verschiedene Designs, die Bereinigung des Desktop sowie die Arbeit mit der Taskleiste. Auch die Verwaltung der Schriftarten und die Zugriffsoptimierung durch Screenshots wird beschrieben. Die nächsten Themen sind neben dem Windows Explorer weitere Werkzeuge wie die Windows Power Toys, Support Tools und Resource Kits. Weiterhin werden die unter Windows XP komplett überarbeitete Hilfe und der Windows Support vorgestellt. Im Kapitel Multimedia werden Hinweise zu Audiogeräten, Scannern und Kameras sowie zum Erstellen von Sound-Schemas gegeben. Außerdem werden der Media Player und die Windows XP Media Center Edition vorgestellt. Danach werden administrative Werkzeuge wie die Microsoft Management Konsole (MMC), die Systemsteuerung, die Eingabeaufforderung, das Ausführen-Fenster sowie die geplanten Tasks. Das letzte Thema bilden die neuen XP-Features Remotedesktop sowie die Remote-Unterstützung und alternative Tools für diese Funktion.
5.1
Windows Desktop
Der Windows Desktop ist für den Benutzer der zentrale Ort, von dem aus er auf seine Applikationen und Daten zugreift. Deshalb kommt der Konfiguration des Desktop eine wichtige Bedeutung zu, da diese einerseits für den Benutzer komfortabel sein soll, andererseits aber auch zweckdienlich.
167
Sandini Bib
5 Die Benutzeroberfläche
5.1.1
Klassischer Stil vs. XP-Stil
Nach der Installation des Betriebssystems verwendet Windows XP standardmäßig den Windows XP-Stil. In dieser Gestalt unterscheidet sich insbesondere das Aussehen des Desktop, des Startmenüs sowie der Fenster teilweise deutlich von der Vorgängerversion Windows 2000 bzw. Windows 9x oder Windows NT 4.0. Gerade in einem Unternehmen, das ein Update auf Windows XP durchgeführt hat, kann die Umstellung auf das neue Design bei den Mitarbeitern zu Problemen führen. Umsteiger von Windows 2000
Zudem ist das neue Design eher auf die Bedürfnisse von Computerneulingen ausgelegt. Einem erfahrenen Umsteiger wird es nicht gefallen, da viele gewohnte Einträge nicht mehr vorhanden sind oder dem neuen Design erst wieder hinzugefügt werden müssten. Deshalb sollten Sie darüber nachdenken, das neue Design wieder auf das klassische Design zurückzusetzen. Dabei haben Sie verschiedene Möglichkeiten. Verschwundene Symbole zum Desktop hinzufügen Nach der Installation von Windows XP befindet sich auf dem Desktop lediglich das Symbol des Papierkorbs. Die gewohnten Symbole wie Arbeitsplatz, Netzwerkumgebung oder Eigene Dateien werden dort nicht mehr angezeigt. Um dem Desktop wieder einzelne Symbole hinzuzufügen, öffnen Sie das Startmenü und wählen aus dem Kontextmenü von ARBEITSPLATZ, NETZWERKUMGEBUNG oder EIGENE DATEIEN den Eintrag AUF DEM DESKTOP ANZEIGEN. Windows XP komplett auf den klassischen Stil zurücksetzen Möchten Sie hingegen den gesamten Desktop im klassischen Stil wiederherstellen, führen Sie die folgenden Schritte aus: 1. Klicken Sie mit der rechten Maus auf einen freien Bereich des Desktop und wählen Sie EIGENSCHAFTEN. 2. Wechseln Sie auf die Registerkarte DARSTELLUNG und wählen Sie unter FENSTER UND SCHALTFLÄCHEN den Eintrag WINDOWS-KLASSISCH (siehe Abbildung 5.1). Klicken Sie dann auf ÜBERNEHMEN. 3. Zur Umstellung des Designs wird der Benutzer kurz ab- und automatisch wieder angemeldet. Sämtliche Fenster und das Startmenü werden wieder im klassischen Design angezeigt, z.B. ohne die abgerundeten Fensterecken.
168
Sandini Bib
Windows Desktop Abbildung 5.1: Unter Windows XP kann das klassische Windows-Design wiederhergestellt werden.
Nur das Startmenü auf den klassischen Stil zurücksetzen Auch das Startmenü kann wieder auf das alte Windows-Design zurückgesetzt werden. 1. Klicken Sie dazu mit der rechten Maus auf START und wählen EIGENSCHAFTEN. 2. Auf der Registerkarte STARTMENÜ wählen Sie die Option KLASSISCHES STARTMENÜ. Über ANPASSEN gelangen Sie in ein weiteres Konfigurationsfenster, in dem Sie bestimmte Einträge wie VERWALTUNG, AUSFÜHREN oder die ABMELDUNG einblenden oder ausblenden können.
5.1.2
Anzeigeeinstellungen
Nachdem Sie das Desktopdesign in einem oder mehreren Punkten angepasst oder auch im neuen Design belassen haben, müssen nun möglicherweise noch einige eher technische Einstellungen wie die Bildschirmauflösung, die verwendete Farbtiefe oder die Monitorfrequenz vorgenommen werden. Bildschirmauflösung In aller Regel sollte die Grafikkarte während der Installation korrekt erkannt worden sein. Die Auflösung wird jedoch beim ersten Start des Systems auf 800x600 Bildpunkte (Pixel) gesetzt. Für moderne Monitore ab 17 Zoll und größer ist diese Einstellung nicht unbedingt geeignet.
169
Sandini Bib
5 Die Benutzeroberfläche
Farbtiefe Die Farbtiefe ist in der Regel auf den Wert 16-Bit gestellt. Möglicherweise bringt jedoch die Einstellung auf 32-Bit Vorteile bei der Qualität und Geschwindigkeit der Darstellung. Diese Einstellung ist von der eingesetzten Grafikkarte abhängig. Hinweise zur empfohlenen Einstellung sollten in der Dokumentation der Karte enthalten sein. Frequenz Die dritte zu ändernde Option ist die Monitorfrequenz. Diese ist standardmäßig auf 60 Hz gesetzt. Diese Einstellung sollte auch beibehalten werden, wenn Sie einen TFT-Monitor verwenden. Bei einem Röhrenmonitor hingegen ist diese Einstellung nicht anzuraten, da sie zu einem flimmernden Bild führt. Eine falsche Einstellung bei der Frequenz kann zu Schäden am Monitor führen. Informieren Sie sich deshalb unbedingt vorab, welche Wiederholraten bei welcher Auflösung der Monitor maximal leisten kann. Es ist maximal dieser Wert einzustellen und nicht ein Wert, den die Grafikkarte noch leisten kann.
5.1.3
Desktop-Designs
Nachdem der Stil des Desktop sowie die technischen Einstellungen festgelegt worden sind, kann das Design des Desktop angepasst werden. Sie können für Fenster und andere Anzeigeelemente benutzerdefinierte Farben und Schriftarten wählen und so dem Desktop Ihre persönliche Note verleihen. 1. Wählen Sie auf einer freien Stelle des Desktop den Kontextmenüeintrag EIGENSCHAFTEN und wechseln auf die Registerkarte DARSTELLUNG. Klicken Sie dort auf ERWEITERT. Sie erhalten das Fenster ERWEITERTE DARSTELLUNG (siehe Abbildung 5.2). 2. Unter ELEMENT finden Sie eine Auflistung aller Anzeigeelemente, die in ihrem Design angepasst werden können. Dazu zählen Desktop, Fenster, Titelleisten, Menü, Quickinfo usw. Je nach gewähltem Eintrag können Sie für diesen verschiedene Farben und Größen wählen. Ist bei einem Element eine 1. Farbe und 2. Farbe verfügbar, können Sie darüber einen Farbverlauf einstellen, z.B. für Titelleisten. Enthält das Element auch Schrift, z.B. Menüs, können Sie dafür auch die Schriftart, die Schriftgröße, die Farbe sowie eine fette und/oder kursive Ausrichtung wählen. Bestätigen Sie sämtliche Änderungen mit OK.
170
Sandini Bib
Windows Desktop Abbildung 5.2: Das Design kann für viele Fenster und Anzeigeelemente angepasst werden.
Ändern der Desktop-Symbole und deren Größe Standardmäßig verwendet Windows XP auf dem Desktop kleine Bildschirmsymbole. Möchten Sie deren Größe ändern, z.B. bei einer hohen Bildschirmauflösung, klicken Sie auf der Registerkarte DARSTELLUNG auf EFFEKTE. Markieren Sie im Fenster EFFEKTE (siehe Abbildung 5.3) die Checkbox GROßE SYMBOLE VERWENDEN. Abbildung 5.3: Einstellen weiterer Effekte für den Desktop
Weiterhin können Sie dort noch Effekte wie das Verwenden von Menüschatten oder Übergangseffekten für Menüs aktivieren. Diese Effekte sehen zwar recht hübsch aus, kosten jedoch auch Performance. Auf einem Computer, der gerade eben die Hardware-Voraussetzungen für Windows XP erfüllt, sollten derartige Effekte abgeschaltet werden.
171
Sandini Bib
5 Die Benutzeroberfläche
Sie können auch für bestehende Desktop-Elemente neue Symbole verwenden. Folgende Vorgehensweise ist dazu zu befolgen: 1. Wählen Sie die Registerkarte DESKTOP über die EIGENSCHAFTEN des Desktop. Klicken Sie dort auf DESKTOP ANPASSEN. 2. Im Fenster DESKTOPELEMENTE wechseln Sie auf die Registerkarte ALLGEMEIN. Dort können Sie über ANDERES SYMBOL für den Arbeitsplatz, Eigene Dateien, die Netzwerkumgebung sowie den vollen und leeren Papierkorb ein neues Symbol wählen. Windows bietet bereits einige Symbole an (siehe Abbildung 5.4.). Über DURCHSUCHEN kann auch ein anderes Symbol ausgewählt werden. Abbildung 5.4: Windows liefert einige vordefinierte Symbole für Desktop-Elemente.
5.1.4 HTML-Seiten als Desktophintergrund
Verwenden des Active Desktop
Neben der Möglichkeit, Bilder als Desktop-Hintergrund zu nutzen, können auch komplette Webseiten als Hintergrund verwendet werden. Man spricht dabei auch vom Active Desktop. Auf dieser Webseite können sich beispielsweise Hyperlinks zu bestimmten Programmen oder Dateien und Ordnern oder Internetlinks befinden. Eine solche benutzerdefinierte Webseite kann mit einem beliebigen HTML-Editor erstellt werden. Sie können jedoch auch eine beliebige Seite aus dem Internet wählen. Um diese Seite als Desktop-Hintergrund festzulegen, führen Sie folgende Schritte durch: 1. Wählen Sie EIGENSCHAFTEN über das Kontextmenü des Desktop und wechseln auf die Registerkarte DESKTOP. 2. Klicken Sie auf DESKTOP ANPASSEN und wechseln auf die Registerkarte WEB. Klicken Sie dort auf NEU und geben den URL der Seite an. Über GALERIE BESUCHEN finden Sie einige von Microsoft vorgefertigte Webseiten (siehe Abbildung 5.5).
172
Sandini Bib
Windows Desktop
3. Sofern Sie eine Seite aus dem Internet ausgewählt haben, muss der Computer auch über eine Internetverbindung verfügen, damit die Seite aktualisiert dargestellt werden kann. Abbildung 5.5: Die Auswahl einer Webseite für den Active Desktop
5.1.5
Den Desktop anderen Benutzern veröffentlichen
Nachdem für einen Benutzer sämtliche Einstellungen am Desktop konfiguriert sind, besteht die Möglichkeit, dieses Aussehen auch anderen Benutzern zur Verfügung zu stellen, die sich an dem Computer anmelden. So müssen diese den Desktop nicht mehr manuell anpassen. Führen Sie dazu die folgenden Schritte aus: 1. Melden Sie sich als Administrator an und wechseln im Explorer zum Ordner C:\DOKUMENTE UND EINSTELLUNGEN\BENUTZER. Es muss sich um den Benutzer handeln, für den die Einstellungen angepasst worden sind. 2. Kopieren Sie den Unterordner \DESKTOP und fügen diesen unter \ALL USERS ein. Damit werden die Einstellungen für sämtliche Benutzer des Computers übernommen. Auf dem Desktop des Benutzers, der bereits über die Anpassungen verfügt, müssen eventuelle doppelte Verknüpfungen danach entfernt werden. 3. Kopieren Sie den Ordner unter \DEFAULT USER, erhält jeder Benutzer, der sich das erste Mal anmeldet, die Anpassungen. 4. Sollen nur ein oder bestimmte vorhandene Benutzer die Einstellungen erhalten, kopieren Sie den Ordner in die betreffenden Benutzerordner.
173
Sandini Bib
5 Die Benutzeroberfläche
5.1.6
Den Desktop aufräumen
Im Laufe der Arbeitszeit wird die Arbeitsfläche des Desktop wahrscheinlich immer unübersichtlicher. Neu installierte Programme legen dort zusätzliche Verknüpfungen an, der Benutzer legt Dateien auf dem Desktop ab, möglicherweise wird der Desktop auch als Zielverzeichnis für Downloads genutzt, kurzum: Es ist höchste Zeit, den Desktop aufzuräumen und zu strukturieren. Zunächst einmal sollten sämtliche Dateien vom Desktop entfernt und in die geeigneten Verzeichnisse verschoben oder gelöscht werden. Danach sollten nur noch Verknüpfungen auf dem Desktop vorhanden sein. Diese können Sie entweder manuell oder über den Desktopbereinigungs-Assistenten entfernen lassen, wenn diese nicht mehr benötigt werden. Um die noch verbliebenen Symbole oder auch wieder neu hinzukommende Symbole von vornherein strukturiert anzulegen, sollten Sie diese in einer bestimmten Form anordnen. Sie können entweder selbst eine logische Gruppierung vornehmen oder dies von Windows erledigen lassen. Führen Sie die Anordnung manuell durch, können Sie den Ort der Symbole selbst wählen, sodass bei einem Hintergrundbild nicht wichtige Teile des Bildes überdeckt werden. Um die Symbole über Windows anordnen zu lassen, wählen Sie aus dem Kontextmenü des Desktop SYMBOLE ANORDNEN NACH. Die Sortierung kann nach Namen, Größe, Typ oder Änderungsdatum erfolgen. Das Anordnen der Symbole kann auch sinnvoll sein, wenn einige der Symbole aus dem Bereich des Desktop herausgerutscht sind und nicht mehr angezeigt werden. Dies kann passieren, wenn mehrere Elemente markiert und gleichzeitig verschoben werden oder wenn nach einem Problem mit der Desktop-Anzeige diese wieder zurückgesetzt wird. Der Desktopbereinigungs-Assistent Windows verfügt über einen Assistenten zur Desktop-Bereinigung, der standardmäßig alle 60 Tage ausgeführt wird und dabei unbenutzte Desktop-Verknüpfungen nach einer Nachfrage entfernt. Auch manuell kann jederzeit ein Aufruf des Assistenten erfolgen. Wählen Sie dazu das Kontextmenü SYMBOLE ANORDNEN NACH/DESKTOPBEREINIGUNGS-ASSISTENT AUSFÜHREN des Desktop (siehe Abbildung 5.6).
174
Sandini Bib
Windows Desktop Abbildung 5.6: Manueller Aufruf des Desktopbereinigungs-Assistenten
Nach dem Aufruf zeigt der Assistent sämtliche DesktopVerknüpfungen sowie den letzten Zugriff darauf an. Die zum Löschen vorgeschlagenen Einträge sind bereits markiert, es können noch zusätzliche hinzugefügt oder gelöscht werden (siehe Abbildung 5.7). Abbildung 5.7: Der Assistent schlägt unbenutzte oder länger nicht benutzte Verknüpfungen zum Löschen vor.
Dieser Assistent ist sicherlich sehr nützlich, andererseits kann ein unachtsamer Benutzer auch rasch zu viele Desktop-Verknüpfungen löschen, die dann erst wieder neu hergestellt werden müssen. Deshalb muss der Assistentnicht zwangsläufig aktiviert sein. Um den Assistenten zu deaktivieren, führen Sie die folgenden Deaktivieren des DesktopSchritte aus:
Bereinigungs-
1. Wählen Sie aus dem Kontextmenü eines freien Bereichs auf Assistenten dem Desktop den Eintrag EIGENSCHAFTEN. 2. Wechseln Sie auf die Registerkarte DESKTOP und klicken Sie auf DESKTOP ANPASSEN. 3. Auf der Registerkarte ALLGEMEIN deaktivieren Sie die Checkbox DESKTOPBEREINIGUNGS-ASSISTENT ALLE 60 TAGE AUSFÜHREN. Übernehmen Sie die Einstellung mit OK.
175
Sandini Bib
5 Die Benutzeroberfläche
Generell sollten Sie die Benutzer dazu erziehen, dass der Desktop keine Dateiablage, kein Papierkorb und auch kein Speicherort für Downloads oder andere Dateien aus dem Netzwerk ist. Sämtliche Daten auf dem Desktop werden dem Benutzerprofil zugeordnet und deshalb beim Start synchronisiert. Je mehr Daten sich also auf dem Desktop befinden (es gibt Benutzer, deren Desktop 2 GB und größer ist), desto länger dauert auch der Anmeldevorgang. Dies gilt nicht nur für die Anmeldung an einer Domäne, sondern auch für die lokale Anmeldung.
5.1.7
Arbeiten mit virtuellen Desktops
Sind auf dem Windows Desktop zahlreiche Fenster geöffnet, verliert man oftmals schnell die Übersicht darüber. Die Lösung sind in diesem Fall virtuelle Desktops, zwischen denen Sie hin- und herschalten können. Auf jedem Desktop befindet sich nur eine überschaubare Anzahl geöffneter Fenster. Virtuelle Desktops sind unter zahlreichen Linux-Distributionen bereits Standard, unter Windows XP benötigen Sie jedoch ein Zusatz-Tool, um diese Funktionalität genießen zu können. Hier bietet sich der Einsatz des Desktop Twister oder Virtual Desktop Manager an. Der Desktop Twister ist Freeware und kann unter http://www.vossware.com downgeloadet werden. Sie können bis zu neun virtuelle Desktops erstellen, zwischen denen Sie schnell, z.B. auch per Hotkey, wechseln können. Der Virtual Desktop Manager ist Bestandteil der Windows Powertoys und steht ebenfalls kostenlos zum Download bereit. Nach der Installation wird über einen Rechtsklick auf die Taskleiste die neue Symbolleiste Desktop Manager hinzugefügt. Sie können entweder zwischen den verschiedenen Desktops wechseln oder eine Übersicht aller Desktops anzeigen lassen. Zur Steuerung können ebenfalls Shortcuts verwendet werden.
5.1.8
Der Aktenkoffer
Das Feature des Aktenkoffers war bereits unter früheren Windows-Versionen vorhanden, ist unter Windows XP jedoch recht gut versteckt und damit in Vergessenheit geraten. Der Aktenkoffer – ein fast vergessenes Feature
176
Der Ordner AKTENKOFFER ist ein spezieller Ordner, in dem häufig benutzte Dokumente abgelegt werden. Wird dieser Ordner beispielsweise vom Desktop-Computer auf ein Laptop oder einen Speicherort im Netzwerk kopiert, werden die enthaltenen Dateien ebenfalls kopiert und können zusätzlich synchronisiert werden,
Sandini Bib
Windows Desktop
sobald der Aktenkoffer wieder auf den Desktop zurückkopiert wird. Öffnen Sie dazu das Fenster des Aktenkoffers und wählen das Menü AKTENKOFFER/ALLES AKTUALISIEREN. Sie erhalten dabei eine Übersicht über die originale und geänderte Datei und können die Änderungen in das Original übernehmen. Klicken Sie dazu auf AKTUALISIEREN. 1. Um den Aktenkoffer auf dem Desktop anzulegen, wählen Sie aus einer freien Stelle des Kontextmenüs den Eintrag NEU/AKTENKOFFER. 2. Doppelklicken Sie das neu erstellte Aktenkoffer-Symbol und klicken auf FERTIG STELLEN im Assistenten.
5.1.9
Die Taskleiste
Eine wichtige Bedeutung fällt auch der Taskleiste als Bestandteil des Desktop zu. Über diese wird nicht nur das Startmenü über START aufgerufen; vielmehr befinden sich im rechten Bereich, dem System Tray oder Infobereich, verschiedene Icons zum Systemstatus (z.B. die Symbole Netzwerkverbindung, Lautstärkeregelung oder MSN Messenger), und in der Schnellstartleiste können bevorzugte Programme mit einem einzigen Mausklick aufgerufen werden. Die Bereiche des System Tray und der Schnellstartleiste können beliebig angepasst werden. Formatieren der Taskleiste Wie Sie in Abbildung 5.8 erkennen, wurde dort die Höhe der Taskleiste geändert. Dies ist sinnvoll, wenn Sie zeitgleich viele verschiedene Anwendungen geöffnet haben und einen Überblick darüber in der Taskleiste behalten möchten. Um die Taskleiste zu vergrößern, klicken Sie mit der linken Maus auf den oberen Rand der Taskleiste, halten die Maustaste gedrückt und ziehen Sie bis an die gewünschte Stelle nach oben. Soll die Taskleiste später wieder verkleinert werden, führen Sie diese Änderung ebenso aus. Soll die Größe und die Position der Taskleiste später nicht mehr änderbar sein oder wollen Sie versehentliche Änderungen vermeiden, klicken Sie mit der rechten Maus an eine beliebige Stelle der Taskleiste und dann auf TASKLEISTE FIXIEREN. Soll die Fixierung später wieder gelöst werden, klicken Sie erneut auf den Eintrag.
Abbildung 5.8: Die angepasste Taskleiste mit zusätzlichen Symbolen in der Schnellstartleiste und im System Tray
177
Sandini Bib
5 Die Benutzeroberfläche
Hinzufügen weiterer Symbolleisten zur Taskleiste Über den Kontextmenüeintrag SYMBOLLEISTEN können zur Taskleiste weitere Symbolleisten hinzugefügt werden. Sie können sechs verschiedene von Windows vorgegebene Symbolleisten oder eine eigene Symbolleiste hinzufügen. Um eine eigene Symbolleiste hinzuzufügen, klicken Sie auf NEUE SYMBOLLEISTE. Die Schnellstartleiste Nach der Installation von Windows XP befinden sich in der Schnellstartleiste drei Symbole. Dieser Leiste können noch weitere Symbole hinzugefügt werden. Dazu bieten sich Applikationen, Ordner oder auch Dokumente an, auf die oft zugegriffen wird und die deshalb mit einem einzigen Mausklick geöffnet werden sollen. Einige Applikationen fragen während der Installation, ob ein Symbol in der Schnellstartleiste erstellt werden soll. Um ein neues Symbol hinzuzufügen, klicken Sie dieses im Windows Explorer oder im Startmenü mit der rechten Maustaste an, halten diese gedrückt und ziehen es an die gewünschte Position in der Schnellstartleiste. Beim Loslassen können Sie zwischen HIERHER KOPIEREN oder HIERHER VERSCHIEBEN wählen. Sie sollten immer die Kopieroption wählen, damit die Datei oder Verknüpfung auch noch von der ursprünglichen Position aus aufgerufen werden kann. Sobald Sie zu den drei bestehenden Symbolen ein weiteres hinzugefügt haben, werden nicht mehr alle Symbole angezeigt, sondern ein Pfeil-Symbol verweist auf die zusätzlichen Einträge. Möchten Sie immer sämtliche Einträge der Schnellstartleiste direkt zur Hand haben, halten Sie das rechte Ende der Schnellstartleiste mit der linken Maus fest und ziehen sie nach rechts, bis alle Symbole zu erkennen sind. Die Reihenfolge der vorhandenen Symbole kann später jederzeit geändert werden. Klicken Sie dazu das Symbol mit der rechten Maus an und ziehen es an die neue Position. Um ein Symbol aus der Schnellstartleiste zu entfernen, wählen Sie aus dessen Kontextmenü den Eintrag LÖSCHEN. Der System Tray bzw. Infobereich Der rechts abgegrenzte Bereich der Taskleiste ist der System Tray bzw. Infobereich. Dort befinden sich standardmäßig bestimmte Symbole wie die Netzwerkverbindung oder das Symbol für Windows-Update. Weitere Symbole werden dort optional bei der Installation zusätzlicher Programme angelegt. Über einen rechten Mausklick auf eines der Symbole werden je nach Programm Konfigurations- oder Startmenüs geöffnet. Auch das Beenden des Programms ist in der Regel direkt über den System Tray möglich.
178
Sandini Bib
Windows Desktop
Inaktive Symbole ausblenden Damit der System Tray nicht zu viel Raum in Anspruch nimmt, wenn dort viele Symbole vorhanden sind, können Sie die inaktiven Symbole ausblenden. Diese bleiben so lange unsichtbar, bis das dahinter stehende Programm Ihre Interaktion erfordert. Die versteckten Symbole können angezeigt werden, indem Sie auf das Pfeilsymbol neben dem System Tray klicken. Sie können jedoch auch wie unter älteren Windows-Versionen sämtliche Symbole eingeblendet lassen. Um die Einstellung anzupassen, führen Sie folgende Schritte durch: 1. Wählen Sie aus dem Kontextmenü von START EIGENSCHAFTEN und wechseln auf die Registerkarte TASKLEISTE. 2. Markieren Sie INAKTIVE SYMBOLE AUSBLENDEN und klicken auf ANPASSEN. Ist die Checkbox deaktiviert, werden immer alle Symbole angezeigt. 3. Unter INFOBEREICH ANPASSEN (siehe Abbildung 5.9) werden alle Symbole aufgelistet, die im System Tray angezeigt werden können. Markieren Sie hier einen Eintrag und wählen dann eine der Optionen AUSBLENDEN, WENN INAKTIV, IMMER EINBLENDEN oder IMMER AUSBLENDEN. Über WIEDERHERSTELLEN werden die Ausgangseinstellungen wiederhergestellt. Abbildung 5.9: Auswahl der Symbole, die bei Inaktivität ausgeblendet werden sollen
Wechsel zwischen Programmen und Fenstern Um auf ein geöffnetes Fenster oder ein aktives Programm zuzugreifen, können Sie dieses aus der Taskleiste heraus aufrufen bzw. über den Kontextmenüeintrag MAXIMIEREN in den Vordergrund bringen. Komfortabler ist jedoch die Methode, über die Tasten-
179
Sandini Bib
5 Die Benutzeroberfläche
kombination (Alt) + (ÿ) zwischen den aktiven Fenstern zu navigieren. Sobald das Fenster erscheint, halten Sie die Taste (Alt) gedrückt und drücken (ÿ) , bis Sie das gewünschte Fenster erreicht haben. Die Reihenfolge der Fenster wird von links nach rechts abgearbeitet. Um von rechts nach links zwischen den Fenstern zu wechseln, drücken Sie die Tastenkombination (Alt) + (ª) + (ÿ) . Lassen Sie die Taste (Alt) los, wird das gewählte Fenster in den Vordergrund geholt.
5.1.10
Schriftarten
Windows XP verfügt über einen eigenen Systemordner namens \FONTS, in dem sämtliche Schriftarten gespeichert werden, die auf dem System installiert werden. Kontrollieren Sie regelmäßig den Inhalt des Schriftartenordners
Weitere Schriftarten können dem Schriftartenordner jederzeit manuell hinzugefügt werden. Auch einige Programme wie z.B. Corel Draw installieren optional zahlreiche zusätzliche Schriftarten. Allerdings sollten Sie bei der Installation immer bedenken, dass sämtliche Schriftarten von Windows XP beim Start geladen werden und im Speicher geladen bleiben. Schriftartenordner, in denen hunderte von Schriftarten beherbergt werden, sollten unbedingt aufgeräumt werden, da es ansonsten zu PerformanceEinbußen kommen wird. Die Schriftarten werden über den gleichnamigen Punkt in der Systemsteuerung verwaltet. Dort werden sämtliche installierten Schriften aufgelistet. Über das Menü DATEI können vorhandene Schriftarten gelöscht oder neue Schriftarten installiert werden. Führen Sie die manuelle Installation einer neuen Schriftart immer über DATEI/NEUE SCHRIFTART INSTALLIEREN aus. Wird die Schriftdatei lediglich in den Ordner \FONTS kopiert, ist diese im System nicht ordnungsgemäß registriert und kann schlimmstenfalls nicht verwendet werden. Um eine Vorschau der Schriftart zu erhalten, wählen Sie aus deren Kontextmenü den Eintrag ÖFFNEN. Sie erhalten einen Beispielsatz in verschiedenen Schriftgrößen angezeigt. Die Schriftarten tragen fast alle die Dateiendung ttf. Diese Abkürzung steht für True Type Font. Einige wenige, wie z.B. MS Sans Serif, tragen die Dateiendung .fon. Dies steht für Font. Bei diesen Schriftarten handelt es sich um Schriften mit festen Größen, z.B. 8 Punkt, 10 Punkt usw. Andere als die vordefinierten Größen können nicht gewählt werden.
180
Sandini Bib
Windows Desktop
Bei der Fülle der Schriftarten ist es sinnvoll zu wissen, welche Schriftarten ähnlich sind. Hierzu bietet Windows die Funktion, ähnliche Schriftarten zu gruppieren. Klicken Sie dazu auf das Icon ÄHNLICHKEIT (siehe Abbildung 5.10) und wählen unter VERGLEICHSKRITERIUM die Schriftart aus, zu der ähnliche Schriftarten herausgefiltert werden sollen. In der Liste werden die Schriften gemäß ihrer Vergleichbarkeit aufgelistet. Abbildung 5.10: Ähnliche Schriftarten können gruppiert werden.
5.1.11
Tastenkombinationen
Wer nicht gern mit der Maus arbeitet, sondern Befehle lieber über die Tastatur eingibt, dem stehen unter Windows XP zahlreiche Tastenkombinationen für nahezu alle Befehle zur Verfügung. Es ist auch möglich, selbst weitere Tastenkombinationen festzulegen. Die Tastenkombinationen werden auch als Shortcuts bezeichnet. In der folgenden Tabelle finden Sie eine Übersicht über die wichtigsten Shortcuts. Tastenkombination Beschreibung (¢)
Entspricht dem linken Mausklick auf das gewählte Objekt.
(Entf)
Löscht den markierten Eintrag.
(ª)+(Entf)
Das Objekt wird sofort gelöscht und nicht im Papierkorb abgelegt.
(Strg)+(Z)
Die letzte Aktion wird rückgängig gemacht.
(Strg)+(C)
Kopiert das markierte Objekt.
(Strg)+(X)
Schneidet das markierte Objekt aus.
Tastenkombinationen sparen viel Zeit bei der Arbeit
Tabelle 5.1: Die wichtigsten Tastenkombinationen unter Windows XP
181
Sandini Bib
5 Die Benutzeroberfläche
Tastenkombination Beschreibung (Strg)+(V)
Fügt das kopierte oder ausgeschnittene Objekt ein.
(Strg) beim Ziehen eines Objekts
Das Element wird kopiert und nicht verschoben.
(Strg)+(A)
Der gesamte Inhalt des Fensters wird kopiert.
(ª)+(F10)
Öffnet das Kontextmenü.
(Entf)
Im Windows Explorer oder Arbeitsplatz wird die nächsthöhere Ebene angezeigt.
(Alt)+(F4)
Das aktuelle Fenster wird geschlossen.
(Strg)+(Esc)
Das Startmenü wird geöffnet
(F3)
Das Dialogfeld SUCHEN wird geöffnet.
(F4)
Im Arbeitsplatz oder Windows Explorer wird die Adressleiste angezeigt.
(F5)
Der Inhalt des Fensters wird aktualisiert.
(F6)
Zwischen Elementen des Desktop oder des Fensters wird gewechselt.
(F10)
Der erste Menüeintrag wird gewählt.
(ª) beim Einlegen einer CD/DVD
Die Wiedergabe über Autostart wird unterdrückt.
Eine komplette Übersicht über alle verfügbaren Tastenkombinationen finden Sie, indem Sie den Suchbegriff Übersicht Tastenkombinationen in der Hilfe eingeben. Unter ÜBERSICHT, ARTIKEL UND LERNPROGRAMME wird der gewünschte Artikel eingeblendet. In sämtlichen Fenstern und darüber hinaus bei Applikationen, für die Shortcuts definiert sind, ist in jedem Menü ein Buchstabe unterstrichen. Dieser Buchstabe ruft in Kombination mit (Alt) die gewünschte Funktion auf. Die unterstrichenen Buchstaben werden jedoch nur angezeigt, wenn die Option UNTERSTRICHENE BUCHSTABEN FÜR TASTATURNAVIGATION AUSBLENDEN nicht gewählt ist. Diese wird auf der Registerkarte DARSTELLUNG unter EFFEKTE gesetzt. Eigene Shortcuts können über das Tool TweakUI (siehe Kapitel 5.3.2) festgelegt werden. Öffnen Sie dazu dort den Eintrag EXPLORER/COMMAND KEYS.
182
Sandini Bib
Windows Explorer
5.2
Windows Explorer
Nahezu sämtliche Zugriffe auf Laufwerke, Dateien und Ordner werden über den Windows Explorer durchgeführt. Der Windows Explorer wird über den Startmenüeintrag PROGRAMME/ZUBEHÖR gestartet. Da Sie dieses Werkzeug jedoch häufig benötigen, sollten Sie eine Verknüpfung auf dem Desktop oder in der Schnellstartleiste erstellen. Im Windows Explorer werden in der linken Fensterhälfte die Laufwerke und Ordner angezeigt. Um einen Eintrag zu expandieren, klicken Sie auf das Plus-Symbol davor. Soll der Eintrag wieder geschlossen werden, klicken Sie auf das Minus-Symbol. Sobald Sie einen Eintrag mit der linken Maustaste einfach anklicken, werden die Inhalte dieses Laufwerks oder Ordners in der rechten Fensterhälfte angezeigt (siehe Abbildung 5.11). Alternativ können Sie auch über die Adressleiste direkt zu einem bestimmten Laufwerk wechseln. Eine Übersicht der zuletzt besuchten Laufwerke und Ordner erhalten Sie über das Menü ANSICHT/WECHSELN ZU. Diese Elemente können direkt aufgerufen werden. Über das Menü FAVORITEN können sämtliche Seiten aufgerufen werden, die im Internet Explorer als Favoriten definiert worden sind. Rufen Sie von dort aus eine Seite auf, wird diese in der rechten Fensterhälfte des Windows Explorer und nicht im Internet Explorer angezeigt.
Abbildung 5.11: Ansicht des Windows Explorer
183
Sandini Bib
5 Die Benutzeroberfläche
5.2.1
Anzeigeoptionen
Für die Ansicht der Objekte in der rechten Fensterhälfte sind verschiedene Ansichtsoptionen konfigurierbar. Über das Menü ANSICHT kann zwischen MINIATURANSICHT, KACHELN, SYMBOLE, LISTE und DETAILS gewählt werden. Die meisten Informationen zu den Dateien erhalten Sie über DETAILS, dafür ist die Übersichtlichkeit mit MINIATURÜBERSICHT oder KACHELN größer. Tabelle 5.2: Übersicht über die verschiedenen Ansichtsoptionen
184
Ansicht
Beschreibung
Miniaturansicht
Die Miniaturansicht bietet eine Vorschaufunktion. In dieser Ansicht sind auf einen Blick die in einem Ordner enthaltenen Elemente erkennbar. Sind darin mehr Objekte enthalten, als angezeigt werden können, werden die ersten enthaltenen Objekte angezeigt. Bilddateien werden ebenfalls als Vorschau angezeigt.
Kacheln
Dateien und Ordner werden nebeneinander angezeigt. Bei Dateien sind zusätzlich Informationen zum Dateityp und zur Dateigröße angegeben.
Symbole
Die Dateien und Ordner werden lediglich mit ihrem Namen nebeneinander angezeigt.
Liste
Die Dateien und Ordner werden lediglich mit ihrem Namen untereinander angezeigt.
Details
Zu jedem Ordner und jeder Datei werden detaillierte Informationen wie Größe, Typ und Änderungsdatum angezeigt. Optional sind noch weitere Details einblendbar.
Sandini Bib
Windows Explorer
Die angezeigten Elemente können nach den Kriterien NAME, GRÖßE, TYP oder ÄNDERUNGSDATUM sortiert werden, sofern die Ansicht DETAILS gewählt ist. Bei den anderen Ansichtsformen sind die Konfigurationen nicht verfügbar. Wählen Sie dazu entweder das Menü ANSICHT/SYMBOLE ANORDNEN NACH oder klicken im Explorer auf die jeweilige Spalte. Dabei ist es möglich, die Elemente in aufsteigender oder absteigender Reihenfolge anzuzeigen. Außer den vier genannten Ansichtsdetails können Sie noch zusätzliche hinzufügen. Wählen Sie dazu das Menü ANSICHT/DETAILS auswählen und markieren die gewünschten Punkte (siehe Abbildung 5.12). Auch die Reihenfolge der Spalten kann über NACH OBEN und NACH UNTEN angepasst werden. Abbildung 5.12: In der Ansicht Details können weitere Details für Dateien und Ordner eingeblendet werden.
5.2.2
Explorer-Leisten
Im Windows Explorer können über das Menü ANSICHT/EXPLORER-LEISTE fünf unterschiedliche Leisten angezeigt werden. Dabei ist immer nur die Anzeige einer Explorer-Leiste zu einer Zeit möglich. In unterschiedlichen Explorer-Fenstern können jedoch auch unterschiedliche Leisten angezeigt werden. Der Inhalt der jeweiligen Leiste wird in der linken Fensterhälfte des Explorer dargestellt. In Abbildung 5.11 sehen Sie den Windows Explorer mit der Explorer-Leiste ORDNER. Diese Explorer-Leisten haben folgende Bedeutung:
185
Sandini Bib
5 Die Benutzeroberfläche Tabelle 5.3: Übersicht über die Explorer-Leisten
Explorer-Leiste
Beschreibung
Suchen
Es wird die Suchfunktion angezeigt, die Sie auch über den Startmenüeintrag SUCHEN aufrufen können.
Favoriten
Es werden die im Internet Explorer definierten Favoriten angezeigt. Wird einer dieser Einträge angeklickt, öffnet sich die Webseite im Windows Explorer statt im Internet Explorer.
Medien
Es werden die Links zu den Medienressourcen des Computers angezeigt. Als „Mini-Media Player“ können die Multimediaelemente in dieser Leiste auch direkt abgespielt werden.
Verlauf
Es wird der Verlauf der besuchten Internetseiten eingeblendet, um auf diese schnell wieder zugreifen zu können. Der Verlauf kann auch direkt im Internet Explorer aufgerufen werden.
Ordner
Dies ist die Standardleiste. Über diese werden, wie in Abbildung 5.11 dargestellt, die Ordner in der linken Fensterhälfte angezeigt.
Ist auf dem System Office 2003 installiert, kommt die zusätzliche Explorer-Leiste RECHERCHIEREN hinzu. Über diese kann auf Recherchen, z.B. in Nachschlagewerken, wieder zugegriffen werden oder es können neue Recherchen erstellt werden.
5.2.3
Netzlaufwerke
Weiterhin können über den Windows Explorer auch Netzlaufwerke verbunden werden. Wählen Sie dazu das Menü EXTRAS/ NETZLAUFWERK VERBINDEN. Im Fenster NETZLAUFWERK VERBINDEN (siehe Abbildung 5.13) wird der Laufwerksbuchstabe basierend auf den bereits vergebenen Buchstaben vorgegeben. Tragen Sie den Freigabenamen in der Form \\SERVERNAME\FREIGABE oder \\IPADRESSE\FREIGABE ein. Ist die Checkbox VERBINDUNG BEI ANMELDUNG WIEDERHERSTELLEN aktiviert, wird die Netzwerkverbindung bei der nächsten Anmeldung automatisch wiederhergestellt und als Netzlaufwerk im Explorer angezeigt. Standardmäßig erfolgt die Verbindungsherstellung unter dem aktuellen Benutzerkonto. Ist dies auf dem Zielrechner nicht vorhanden, klicken Sie auf VERBINDUNG UNTER ANDEREM BENUTZERNAMEN HERSTELLEN und geben ein geeignetes Konto an.
186
Sandini Bib
Werkzeuge Abbildung 5.13: Über den Windows Explorer können auch Netzlaufwerke verbunden werden.
5.3
Werkzeuge
Dieses Kapitel stellt Ihnen einige weitere Werkzeuge vor, die die Windows-Verwaltung und -Konfiguration verbessern oder sogar erweitern. Dazu zählen die Powertoys sowie die Support Tools und Resource Kits von Microsoft und die „Universalwaffe“ TweakUI, die ein Bestandteil der Powertoys ist.
5.3.1
Microsoft Powertoys für Windows XP
Die Microsoft Powertoys sind eine Sammlung von Programmen, die den Funktionsumfang von Windows erweitern. Die Sammlung besteht aus insgesamt elf Programmen, die separat oder als Paket unter http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx downgeloadet werden können. Programmname
Beschreibung
Clear Type Tuner
Über die Clear Type-Funktion wird die Lesbarkeit von Texten am Monitor optimiert. Über einen zusätzlichen Eintrag in der Systemsteuerung kann jederzeit auf Clear Type zugegriffen werden.
HTML Slide Show Wizard
Es kann eine Slideshow aus eigenen Bildern generiert werden, die z.B. in eine Webseite eingebaut werden kann.
Alt-Tab Replacement
Beim Wechsel zwischen geöffneten Fenstern wird nicht mehr das Symbol der Applikation, sondern ein Vorschaufenster des Dokuments angezeigt. Dies erleichtert die Navigation.
Diese Programme sollten Sie unbedingt ausprobieren
Tabelle 5.4: Übersicht über die Microsoft Powertoys
187
Sandini Bib
5 Die Benutzeroberfläche
Programmname
Beschreibung
Open Command Window Here
Das Kontextmenü jedes Ordners im Explorer wird um den Eintrag OPEN COMMAND WINDOWS HERE erweitert, sodass die Eingabeaufforderung mit dem gewählten Ordner als Ausgangsverzeichnis geöffnet wird.
TweakUI
Umfangreiches Tool zum Einstellen diverser Systemoptionen. Eine detaillierte Beschreibung finden Sie im folgenden Kapitel.
Power Calculator
Erweiterter Windows-Rechner, z.B. mit Umrechnungsfunktionen
Image Resizer
Sämtliche Bilddateien erhalten das zusätzliche Kontextmenü RESIZE PICTURE, über das die Grafik ohne ein Bildbearbeitungsprogramm mit einem Klick auf bestimmte Größen angepasst werden kann.
CD Slideshow Generator
Eine Bilder-CD kann als Slideshow betrachtet werden.
Virtual Desktop Manager
Für eine bessere Übersichtlichkeit kann der Desktop in mehrere virtuelle Desktops aufgeteilt werden, zwischen denen Sie hin- und herschalten können.
Taskbar Magnifier
Von der Taskleiste aus können Teile des Desktop vergrößert werden.
Webcam Timershot
In definierbaren Intervallen macht eine angeschlossene Digitalkamera Bilder und speichert diese in einem Ordner.
5.3.2
TweakUI
Das mächtigste Werkzeug der Powertoys ist TweakUI. Mit TweakUI können Sie für verschiedenste Bereiche wie Internet Explorer, Desktop, Taskleiste, Maus usw. Einstellungen vornehmen, die über die Benutzeroberfläche gar nicht oder nur schwierig einzustellen sind. In Abbildung 5.14 sehen Sie beispielsweise die Möglichkeit, bestimmte Einträge der Systemsteuerung zu verbergen, sodass der Benutzer auf diese für Konfigurationsänderungen nicht mehr zugreifen kann. Besonders hervorgehoben seien noch die Einträge ABOUT und REPAIR. Unter ABOUT/TIPS können Sie zahlreiche kurze, aber hilfreiche Tipps rund um das Betriebssystem abrufen. REPAIR stellt eine Reparaturfunktion für bestimmte Ordner zur Verfügung. Auch die Icons, die Schriftarten sowie das Programm regedit können repariert werden, wenn damit Probleme aufgetreten sind.
188
Sandini Bib
Werkzeuge Abbildung 5.14: Das Tool TweakUI; hier die Möglichkeit, Inhalte der Systemsteuerung zu verbergen
5.3.3
Windows Support Tools
Die Support Tools werden für Windows XP auf der InstallationsCD mitgeliefert. Dort befinden sie sich im Ordner \SUPPORT\ TOOLS. Die Installation erfolgt über die Datei adminpak.msi. Die Liste der enthaltenen Programme sowie eine Hilfe zu den einzelnen Programmen erhalten Sie über den Startmenüeintrag PROGRAMME/WINDOWS SUPPORT TOOLS/SUPPORT TOOLS HELP.
5.3.4
Windows Resource Kits
Weiterhin stellt Microsoft Resource Kits für verschiedene Betriebssysteme bereit. In den Resource Kits sind neben weiteren Tools auch ausführliche Dokumentationen zu diesen Tools enthalten. Allerdings sind diese nur in englischer Sprache erhältlich. Eine Übersicht über die enthaltenen Programme sowie die Hilfe zu den einzelnen Programmen finden Sie im Startmenüeintrag PROGRAMME/WINDOWS RESOURCE KIT TOOLS/RESOURCE KIT TOOLS HELP. Eine Übersicht über alle verfügbaren Resource Kits finden Sie unter http://www.microsoft.com/windows/reskits/default.asp.
189
Sandini Bib
5 Die Benutzeroberfläche
5.4
Hilfe und Support
Dieses Kapitel beschäftigt sich mit dem zentralen Hilfe- und Supportcenter und mit den programmspezifischen Windows-Hilfen, die für Elemente wie die MMC, die Eingabeaufforderung oder verschiedene Assistenten verfügbar sind. Auch die WindowsDirekthilfe sowie weitere Hilfe-Ressourcen im Internet werden vorgestellt. Auf den Windows-Support wird ebenfalls kurz eingegangen.
5.4.1
Das Hilfe- und Supportcenter
Auch die Hilfe hat gegenüber Windows 2000 umfassende Änderungen und Neuerungen erfahren. Bereits beim ersten Aufruf der Hilfe, die nun genauer HILFE UND SUPPORTCENTER heißt, über das Startmenü sieht man, dass diese vollständig auf HTML basiert. Außer der Suche nach einem bestimmten Thema können Sie über die Startseite des Hilfe- und Supportcenters bestimmte vordefinierte Themen direkt anwählen (siehe Abbildung 5.15). Dieser Schnellzugriff ist für einige häufig auftretende Fragen und Probleme dort vorgegeben.
Abbildung 5.15: Überblick über das neue Hilfe- und Supportcenter
190
Sandini Bib
Hilfe und Support
Suchen Sie hingegen nach einem bestimmten Begriff, so geben Sie diesen in das Feld SUCHEN ein und klicken auf den grünen Pfeil neben dem Feld. Die Suchergebnisse werden in der linken Fensterhälfte nach Kategorien geordnet dargestellt (siehe Abbildung 5.16). Zunächst werden alle Ergebnisse angezeigt, in denen der Begriff unter den Aufgaben vorkommt. Danach werden die Artikel und Übersichten präsentiert. Zusätzlich werden die Ergebnisse der Volltextsuche dargestellt. Die Suchfunktion kann auch auf die Microsoft Knowledge Base sowie auf die Dokumentation zu den Resource Kit Tools im Internet ausgedehnt werden. Diese beiden Ergebnisse werden als letzte angezeigt. Sobald Sie einen Eintrag anklicken, wird dieser in der rechten Fensterhälfte angezeigt und der Suchbegriff wird im laufenden Text hervorgehoben. Um bessere Suchergebnisse zu erzielen, kann die Suchfunktion angepasst werden. Klicken Sie dazu auf den Link SUCHOPTIONEN FESTLEGEN. Für die verschiedenen Suchbereiche können verschiedene Optionen bestimmt werden. Es können auch bestimmte Bereiche vollständig von der Suche ausgeschlossen werden.
Abbildung 5.16: Für einen Suchbegriff werden die Ergebnisse in den verschiedenen Kategorien angezeigt.
191
Sandini Bib
5 Die Benutzeroberfläche
5.4.2
Aufruf von Hilfedateien
Außer dem zentralen Hilfe- und Supportcenter können Sie in Windows-Komponenten wie der MMC, dem DOS-Fenster, in Windows-Assistenten usw. über das Menü ?/HILFETHEMEN eine Hilfedatei zum speziellen Thema aufrufen. In Abbildung 5.17 sehen Sie die Hilfedatei zur MMC COMPUTERVERWALTUNG. In diesen themenspezifischen Hilfen, die noch im klassischen Stil gehalten sind, finden Sie ausschließlich die Informationen zur z.B. gewählten MMC. Die einzelnen Punkte werden erweitert, die Artikel jeweils in der rechten Fensterhälfte angezeigt. Abbildung 5.17: Die Hilfedatei kann beispielsweise aus jeder MMC heraus themenspezifisch aufgerufen werden.
5.4.3
Die Direkthilfe
Auf jeder Registerkarte, die Sie aufrufen, finden Sie oben rechts ein Symbol mit einem Fragezeichen. Darüber wird die Direkthilfe zu den jeweiligen Optionen aufgerufen. Sobald Sie mit der linken Maustaste einfach auf dieses Symbol klicken, verwandelt sich der Mauszeiger in ein Fragezeichen. Damit können Sie sämtliche dargestellten Elemente anklicken und erhalten dazu eine Direkthilfe in Form eines Quickinfo.
192
Sandini Bib
Hilfe und Support
5.4.4
Weitere Hilfe- und Informationsressourcen
In manchen Fällen wird das Hilfe- und Supportcenter nicht die gewünschte Antworte auf Ihre Frage finden. Dies gilt umso mehr, je technisch spezifischer und komplizierter Ihr Anliegen ist. In diesem Fall sollten Sie eher auf die Microsoft Online-Ressourcen im Internet zurückgreifen, um die gewünschten Informationen zu erhalten. An erster Stelle steht dabei die Microsoft Knowledge Base, die oftmals auch nur als KB bezeichnet wird. Die Knowledge Base finden Sie unter dem Link http://support.microsoft.com/default.aspx?scid= fh;DE;KBHOWTO. Eine weitere wichtige Informationsquelle ist das Microsoft Technet. Die Informationen dort sind online frei verfügbar, auch wenn Sie kein Abonnent des Microsoft Technet sind. Benutzen Sie den Link http://www.microsoft.com/technet/default.mspx. Technisch sehr anspruchsvoll und eher für die Zielgruppe Entwickler oder Administratoren sind die verschiedenen SDKs (Software Development Kits), die Microsoft für diverse Betriebssysteme und Komponenten anbietet. Diese finden Sie unter dem Link http://msdn.microsoft.com/library/default.asp. Auch diese Ressourcen stehen kostenlos zur Verfügung, auch wenn Sie kein Abonnent des MSDN (Microsoft Developer Network) sind. Als Letztes seien noch die Newsgroups erwähnt. Microsoft bietet zu nahezu allen Betriebssystemen, Applikationen und Tools eigene, moderierte Newsgroups an. Eine Übersicht darüber finden Sie unter http://communities.microsoft.com/newsgroups/default.asp.
5.4.5
Der Windows-Support
Um direkt mit dem Windows-Support in Kontakt zu treten, klicken Sie im Hilfe- und Supportcenter auf SUPPORT. Klicken Sie danach auf HILFE VON MICROSOFT ERHALTEN. Es wird geprüft, ob eine Internetverbindung besteht. Sie erhalten dann eine Liste aller verfügbaren Microsoft-Produkte, zu denen Support angeboten wird. Wählen Sie aus dieser das gewünschte Produkt aus. Danach erhalten Sie eine Übersicht der verschiedenen SupportOptionen (E-Mail-Support, Persönlicher Chat-Support oder telefonischer Support) mit den jeweiligen Kontaktadressen, den Kosten sowie Support-Hinweisen für OEM-Installationen oder VolumenLizenzen.
193
Sandini Bib
5 Die Benutzeroberfläche
5.5
Multimedia
Ein weiteres, wenn auch im Unternehmenseinsatz nicht unbedingt zentrales Thema ist Multimedia. Neben dem Einsatz und der Konfiguration von Audiogeräten, Scannern und Kameras spielt der Windows Media Player noch eine wichtige Rolle. Auch die eigenständige Windows XP-Version Media Center Edition 2005 wird kurz vorgestellt.
5.5.1
Sound und Audiogeräte
Die Verwaltung von Sound und Audiogeräten erfolgt über den gleichnamigen Punkt in der Systemsteuerung. Auf der Registerkarte LAUTSTÄRKE können Sie eine Ausgangslautstärke wählen oder den Ton komplett ausschalten. Weiterhin können Sie bestimmen, ob das Symbol für die Lautstärkeregelung in der Taskleiste angezeigt werden soll. Zur Klangoptimierung geben Sie dort auch an, welche Art von Lautsprechern angeschlossen ist, z.B. LaptopLautsprecher oder ein Surround-System. Unter SOUNDS (siehe Abbildung 5.18) können Sie ein SoundSchema wählen. Unter PROGRAMMEREIGNISSE wählen Sie einen Eintrag und ordnen diesem einen bestimmten Sound zu. Ereignissen, denen kein Sound zugewiesen wurde, sind nicht mit dem Lautsprechersymbol gekennzeichnet. Als Sound kann eine beliebige .wav-Datei gewählt werden. Haben Sie ein bestimmtes SoundSchema zusammengestellt, können Sie dieses auch speichern. Abbildung 5.18: Die Konfiguration der WindowsSounds
194
Sandini Bib
Multimedia
Auf den Registerkarten AUDIO und STIMME werden die Geräte für Wiedergabe und Aufnahme der entsprechenden Tonquellen ausgewählt. Unter HARDWARE sind sämtliche auf dem System installierten Audiogeräte aufgelistet. Klicken Sie dort auf PROBLEMBEHANDLUNG, wenn mit dem Gerät Schwierigkeiten aufgetreten sind.
5.5.2
Media Player
Der Windows Media Player ist im Lieferumfang von Windows XP enthalten. Über diesen Player können sowohl Audio-CDs als auch MP3s sowie Filme abgespielt werden. Die aktuelle Version des Media Player ist die Version 10 (siehe Abbildung 5.19). Ältere Versionen können kostenlos upgedatet werden. Zunächst sollten Sie bestimmen, welche Dateitypen im Media Player abgespielt werden sollen. Dies geschieht über das Menü EXTRAS/OPTIONEN auf der Registerkarte DATEIFORMATE. Abbildung 5.19: Der Media Player 10
Zum Steuern des Abspielens werden die selbsterklärenden Symbole benutzt. Über den Schieberegler der Fortschrittsanzeige können Sie auch zu bestimmten Stellen des Films oder Musikstücks springen. In der Abbildung sehen Sie den Media Player in der klassischen Variante, dem VOLLMODUS. Um ein anderes Aussehen zu bestimmen, wechseln Sie nach ANSICHT/DESIGNAUSWAHL und DESIGN-
195
Sandini Bib
5 Die Benutzeroberfläche MODUS. Standardmäßig wird beim Abspielen eines Musikstücks ein schwarzer Hintergrund angezeigt. Über ANSICHT/VISUALISIERUNGEN können Sie jedoch auch eine zur Musik passende Visualisierung auswählen.
Über MEDIENBIBLIOTHEK haben Sie Zugriff auf die auf dem Computer gespeicherten Musikstücke, Videodateien, TV-Sendungen und Wiedergabelisten. Über das Menü DATEI/ZUR MEDIENBIBLIOTHEK HINZUFÜGEN können Sie diese Bibliothek durch Durchsuchen des Computers oder durch Überwachen bestimmter Ordner immer auf dem aktuellen Stand halten. Weiterhin können auch Wiedergabelisten mit bestimmten Titeln erstellt werden. Verwenden Sie dazu das Menü DATEI/NEUE AKTUELLE WIEDERGABELISTE. Eine Synchronisation der Wiedergabelisten ist auf der Registerkarte SYNCHRONISATION. möglich. Über die Registerkarten VON MEDIUM KOPIEREN und BRENNEN können Sie von einer Audio-CD (sofern diese nicht kopiergeschützt ist) die Audio-Tracks herunterkopieren und auf eine neue CD brennen. Beim Abspielen von Musikstücken kann der Media Player automatisch nach weiteren Albeninformationen im Internet suchen, die dann im Wiedergabefenster zusätzlich angezeigt werden. Diese Option wird über EXTRAS/OPTIONEN auf der Registerkarte MEDIENBIBLIOTHEK unter ERGÄNZENDE INFORMATIONEN AUS DEM INTERNET ABRUFEN aktiviert.
5.5.3
Scanner und Kameras
Die Verwaltung von Scannern und Kameras erfolgt über den gleichnamigen Punkt in der Systemsteuerung. Dort sind die installierten Geräte aufgelistet. Um ein neues Gerät hinzuzufügen, klicken Sie links auf BILDVERARBEITUNGSGERÄT HINZUFÜGEN. Wie bei der Installation über den Hardware-Assistenten wählen Sie hier das entsprechende Modell aus der Liste aus oder installieren die erforderlichen Treiber von einer CD aus. Danach kann der Anschluss automatisch erkannt oder angegeben werden. Ist das Gerät installiert, können per Kontextmenüeintrag komfortabel alle enthaltenen Bilder übertragen werden. Es ist kein umständliches Kopieren der Bilder über den Windows Explorer oder das Einlegen der Kamera-Speicherkarte in ein Kartenlesegerät mehr erforderlich.
196
Sandini Bib
Multimedia
Zur Betrachtung größerer Bildserien eines Scanners oder einer Kamera empfiehlt sich die Funktion VORSCHAU, die über das Kontextmenü jeder Grafikdatei aufgerufen werden kann. Im Fenster WINDOWS BILD- UND FAXANZEIGE (siehe Abbildung 5.20) haben Sie zahlreiche Möglichkeiten zur Steuerung über die intuitiven Schaltflächen. Hier können Sie entweder manuell zwischen den Bildern vorwärts und rückwärts blättern oder diese in Form einer Diashow automatisch abspielen. Weiterhin können die Bilder beliebig vergrößert und verkleinert bzw. in der Originalgröße oder der für die Fenstergröße optimalen Größe angezeigt werden. Auch das Drehen der Bilder um 90 Grad nach rechts oder links ist mit einem Klick erledigt. Zusätzlich können die Bilder aus der Anzeige heraus gelöscht, gedruckt oder unter einem anderen Namen gespeichert werden. Auch der Aufruf der Bildbearbeitung ist mit einem Klick durchführbar. Abbildung 5.20: Die Windows Bildund Faxanzeige
5.5.4
Windows XP Media Center Edition 2005
Windows XP Media Center Edition 2005 ist ein eigenständiges Das dritte Betriebssystem, das seinen Schwerpunkt auf Multimedia gesetzt Windows XP hat. Auf einem herkömmlichen Desktop-Rechner oder Laptop im Unternehmen wird dieses Betriebssystem nicht eingesetzt, es kann nur auf spezieller Hardware installiert werden. Daher hat es eher im Bereich des Homeentertainment seine Daseinsberechtigung. Die Produktseite mit allen weiteren Informationen finden Sie unter http://www.microsoft.com/germany/windowsxp/mediacenter/ default.mspx.
197
Sandini Bib
5 Die Benutzeroberfläche
Das Betriebssystem wird auf besonderen Media Center PCs installiert. Neben der Multimediafunktion unterstützen diese Computer auch alle anderen Applikationen, die mit Windows XP kompatibel sind. Damit ist dieselbe Kompatibilität und Sicherheit wie beim normalen Windows XP gegeben. Der Schwerpunkt des Systems liegt aber eindeutig auf dem Bereich Multimedia wie Musik, DVD, Bilder oder Fernsehen. Diese PCs können auch an bereits vorhandene Fernseher oder Stereoanlagen angeschlossen und in die vorhandene Unterhaltungslandschaft integriert werden. Die Media Center Edition besitzt eine spezielle Oberfläche, die für den Zugriff über eine Fernbedienung optimiert wurde. Sämtliche Elemente sind leicht erkennbar, selbst aus weiteren Entfernungen.
5.6
Die Administrationswerkzeuge
Dieses Kapitel beschäftigt sich mit den wichtigsten Administrationswerkzeugen für das Betriebssystem. Dazu zählen die Microsoft Management Console (MMC), die Systemsteuerung, das DOS-Fenster, das Ausführen-Fenster sowie das Einrichten geplanter Vorgänge.
5.6.1
Die Microsoft Management Console (MMC)
Die Microsoft Management Console (MMC) mit ihren vielfältigen Snap-Ins ist unter Windows XP ein wichtiges Verwaltungswerkzeug. In diesem Kapitel lernen Sie zunächst die MMC im Allgemeinen kennen. Hierzu gehören der Aufbau sowie das Erstellen, Speichern und Verwenden von Konsolen. Die MMC führt Verwaltungsprogramme, auch Snap-Ins genannt, aus. Über diese Konsole ist es Ihnen möglich, eine Reihe der Verwaltungsprogramme übersichtlich in einem Fenster anzuordnen und dort auszuführen. Damit sind in Windows XP logisch zusammengehörige Programme in eine Konsole integriert. Dies sorgt für eine bessere Übersichtlichkeit und schnelleren Zugriff. Die Spezifikationen der MMC werden von Microsoft auch anderen Unternehmen zur Verfügung gestellt, sodass andere Softwareanbieter ebenfalls kompatible Applikationen präsentieren können, die über die MMC verwaltet werden. Damit wird gewährleistet, dass sich die MMC als Verwaltungsstandard durchsetzen kann.
198
Sandini Bib
Die Administrationswerkzeuge
Es gibt unter Windows XP eine Reihe bereits vordefinierter einzelner MMCs sowie einen vorgefertigten Satz von MMCs – die Computerverwaltung – mit häufig verwendeten Verwaltungsaufgaben. Außerdem können Sie selbst Konsolen mit den Programmen definieren, die Sie zum Erreichen bestimmter Verwaltungsvorgaben benötigen. Um eine bestimmte einzelne vordefinierte oder benutzerdefinierte MMC zu öffnen, gehen Sie über STARTMENÜ/PROGRAMME/VERWALTUNG auf die gewünschte MMC. Wählen Sie hingegen aus dem Kontextmenü des Arbeitsplatzes den Eintrag VERWALTEN, so erhalten Sie die vordefinierte MMC, welche die am häufigsten benötigten Verwaltungsprogramme für den lokalen Computer zusammenfasst, nämlich die Computerverwaltung. Jedes dieser Verwaltungsprogramme dort wird als Snap-In bezeichnet. Außerdem können Sie alle Konsolen öffnen, indem Sie unter AUSFÜHREN MMC eingeben und dort das Menü KONSOLE/ÖFFNEN wählen. Jede MMC besteht aus einem oder mehreren Fenstern. Jedes dieser Fenster ist in zwei Bereiche unterteilt. Die linke Seite wird als Bereichsabschnitt bezeichnet. Hier wird der Namensraum des jeweiligen Snap-In in einer Baumstruktur hierarchisch angezeigt, so wie Sie es aus dem Windows Explorer kennen. Dort sind alle Elemente aufgelistet, die über diese MMC aktuell verwaltet werden können. Die einzelnen Elemente jedes Snap-In werden auch als Knoten bezeichnet. Ein Knoten kann aus mehreren Containern, Aufgaben oder Objekten bestehen. Wenn Sie im Bereichsabschnitt einen Knoten markieren, wird in der rechten Fensterhälfte, dem Ergebnisabschnitt, der Inhalt dieses Knotens aufgelistet. Abbildung 5.21: Die MMC COMPUTERVERWALTUNG mit mehreren Snap-Ins
199
Sandini Bib
5 Die Benutzeroberfläche
Abbildung 5.21 zeigt die MMC COMPUTERVERWALTUNG. Dort sehen Sie im Bereichsabschnitt links die drei Snap-Ins SYSTEM, DATENSPEICHER sowie DIENSTE UND ANWENDUNGEN. Diese SnapIns haben alle untergeordnete Knoten. Snap-Ins werden unterschieden in eigenständige und Erweiterungs-Snap-Ins. Die eigenständigen Snap-Ins werden meist nur als Snap-Ins bezeichnet. Mit einem Snap-In kann eine bestimmte Verwaltungsaufgabe erledigt werden. Es bietet dafür eine oder mehrere Funktionen an. Die Erweiterungs-Snap-Ins werden oft nur als Erweiterungen bezeichnet. Sie bieten eigenständigen Snap-Ins erweiterte Verwaltungsfunktionalitäten. Erweiterungen können mehreren Snap-Ins zur Verfügung stehen, aber nicht jedes Snap-In muss zwangsläufig Erweiterungen besitzen. Beim Hinzufügen von Erweiterungen werden nur diejenigen angezeigt, die in logischer Art und Weise mit dem Snap-In zusammenarbeiten können. Selbst definierte MMCs Neben den bereits vorkonfigurierten Konsolen haben Sie auch die Möglichkeit, selbst Konsolen zu erstellen, die die von Ihnen benötigten Snap-Ins enthalten. Diese Konsolen können Sie speichern und dann an andere Benutzer weitergeben. Dies bietet sich an, wenn ein Administrator für das Unternehmen standardisierte Konsolen mit bestimmten Snap-Ins vorkonfiguriert hat, die von allen anderen zur Verwaltung delegierten Personen verwendet werden sollen. In den benutzerdefinierten Konsolen können Sie die Anzahl der Snap-Ins auch begrenzen. So ist es z.B. sinnvoll, Sicherungsoperatoren eine MMC zur Verfügung zu stellen, die nur die Snap-Ins des Bandsicherungs-Managers sowie die Ereignisanzeige enthält, damit Fehler überwacht werden können, die im Rahmen der Sicherung aufgetreten sind. Alle anderen Snap-Ins werden von Sicherungsoperatoren nicht benötigt. Durch die individuelle Anpassbarkeit der Konsolen ergibt sich eine bessere Orientierung an den tatsächlichen Aufgaben der Mitarbeiter, weil die einzelnen Snap-Ins sich stark an die Bedürfnisse der Verwaltungsaufgaben anlehnen und keine willkürliche Zusammenstellung von Programmen sind, mit denen die Konsole überfrachtet und der Benutzer überfordert wird. Alle Konsolen tragen die Dateiendung *.msc. Sie befinden sich standardmäßig im Verzeichnis %SYSTEMROOT%\SYSTEM32. Die benutzerdefinierten Konsolen können auf zwei verschiedene Weisen gespeichert werden. Es stehen der Benutzermodus und der Autorenmodus zur Verfügung.
200
Sandini Bib
Die Administrationswerkzeuge
Konsolen im Benutzermodus Insbesondere wenn selbst erstellte Konsolen an andere Benutzer weitergegeben werden sollen, sollten diese im Benutzermodus gespeichert werden. In diesem Modus ist es dem Benutzer nicht möglich, die Konsole durch Hinzufügen oder Entfernen von Snap-Ins zu ändern oder die Konsole verändert zu speichern. Für den Benutzermodus gibt es drei verschiedene Zugriffsebenen, die Sie den Benutzern für die Konsole gewähren können. Zugriffsmodus
Berechtigung
Vollzugriff
Alle Befehle zur Fensterverwaltung verfügbar, Zugriff auf alle Bereiche der Konsolenstruktur, Navigation zwischen mehreren Snap-Ins
Beschränkter Zugriff mit mehreren Fenstern
Zugriff nur auf die Bereiche der Konsolenstruktur, die beim Speichern der Konsole sichtbar waren; Erstellen neuer Fenster, aber kein Schließen der vorhandenen Fenster
Beschränkter Zugriff im Einzelfenster
Zugriff nur auf die Bereiche der Konsolenstruktur, die beim Speichern der Konsole sichtbar waren; kein Öffnen neuer Fenster, nur aktuelles Fenster
Tabelle 5.5: Die Berechtigungen der Zugriffsmodi
Um eine Konsole im Benutzermodus zu speichern, gehen Sie im Menü KONSOLE auf den Punkt OPTIONEN. Standardmäßig ist dort der Autorenmodus eingestellt. Wählen Sie dort die gewünschte Option aus. Wenn die Konsole das nächste Mal geöffnet wird, werden die eingestellten Zugriffsrechte wirksam. Konsolen im Autorenmodus Standardmäßig wird jede neu erstellte Konsole im Autorenmodus gespeichert. In diesem Modus hat jeder Benutzer Vollzugriff auf die Konsole. Er hat dabei die Möglichkeit, Snap-Ins hinzuzufügen oder zu entfernen, die Konsole verändert zu speichern, aus der MMC heraus neue Fenster zu öffnen sowie sämtliche Bereiche in der MMC-Struktur anzusehen. Dieser Modus sollte nicht verwendet werden, wenn die Konsolen weitergegeben werden. Die Benutzer hätten dabei zu viele Möglichkeiten, auf Funktionen oder Objekte zuzugreifen, die sie nicht für ihre Verwaltungsaufgaben benötigen. Sollte ein Benutzer mit ihm nicht vertrauten Programmen und Optionen in der Konsole experimentieren und damit Einstellungen verändern, so haben Sie als Administrator rasch eine Menge Arbeit damit, die Änderungen wieder rückgängig zu machen.
201
Sandini Bib
5 Die Benutzeroberfläche
Also nehmen Sie sich lieber einmal die Zeit, angepasste Konsolen für die Delegierung der Verwaltung zu erstellen. Vorkonfigurierte Konsolen Bei den vordefinierten Konsolen haben Sie nicht die Möglichkeit, die Zugriffsoptionen auf den Autoren- oder Benutzermodus umzustellen, neue Snap-Ins hinzuzufügen bzw. zu entfernen oder die Konsole unter einem anderen Namen zu speichern. Das Menü KONSOLE umfasst bei den benutzerdefinierten Konsolen lediglich den Punkt BEENDEN. Benutzerdefinierte Konsolen anlegen Dieses Kapitel zeigt Ihnen, wie Sie eine benutzerdefinierte Konsole mit eigenständigen Snap-Ins und Erweiterungen einrichten und speichern können. 1. Geben Sie unter AUSFÜHREN MMC (¢) ein. Sie erhalten dadurch eine leere Konsole mit dem Namen KONSOLE 1. 2. Wählen Sie nun das Menü DATEI/SNAP-IN HINZUFÜGEN/ENTFERNEN. 3. Klicken Sie in dem dann erscheinenden Fenster auf HINZUFÜGEN. Sie erhalten eine Liste aller auf dem Computer verfügbaren Snap-Ins (siehe Abbildung 5.22). Um eines davon zur Konsole hinzuzufügen, markieren Sie das gewünschte Snap-In und klicken auf HINZUFÜGEN. Wiederholen Sie den Vorgang, bis Sie alle gewünschten Snap-Ins in die Konsole gebracht haben, und klicken dann auf SCHLIEßEN. Abbildung 5.22: Die auf dem System verfügbaren SnapIns können zu einer MMC hinzugefügt werden.
202
Sandini Bib
Die Administrationswerkzeuge
4. Sie sehen nun in Konsole 1 die ausgewählten Snap-Ins. Auf der Registerkarte ERWEITERUNGEN können Sie für die ausgewählten Snap-Ins festlegen, welche der Erweiterungen in der Konsole verfügbar sein sollen. Sofern für ein Snap-In keine Erweiterungen verfügbar sind, sind die Optionen auf dieser Registerkarte nicht anwählbar. Wenn Sie hier Ihre Einstellungen getroffen haben, klicken Sie auf OK. 5. Sie können nun über den Menüpunkt DATEI/OPTIONEN EINSTELLEN, ob die Konsole im Benutzer- oder Autorenmodus gespeichert werden soll (siehe Abbildung 5.23). Die hier vorgenommene Einstellung wird jedoch erst beim nächsten Öffnen der Konsole sichtbar. Abbildung 5.23: Die neue Konsole kann im Benutzermodus oder Autorenmodus gespeichert werden.
6. Um die Konsole endgültig zu speichern, wählen Sie DATEI/ SPEICHERN UNTER und geben der Konsole einen passenden Namen. Als Zielverzeichnis ist der Ordner VERWALTUNG vorgegeben. Wenn Sie die Konsole dort speichern, können Sie diese direkt über PROGRAMME/VERWALTUNG aufrufen. Mit diesen Schritten haben Sie eine Konsole erstellt, die immer die ausgewählten Snap-Ins enthält. Wollen Sie später wieder eines oder mehrere davon entfernen, so wählen Sie das Menü DATEI/ SNAP-IN HINZUFÜGEN/ENTFERNEN. Markieren Sie das gewünschte Snap-In und klicken auf ENTFERNEN. Mehrfachmarkierungen sind leider nicht möglich. Das Snap-In wird sofort aus der Konsolenstruktur entfernt. Beim Schließen der Konsole müssen Sie bestätigen, dass Sie die aktuellen Änderungen übernehmen möchten. Bis dahin ist die Verknüpfung des Snap-In mit der Konsole noch nicht physikalisch von der Festplatte gelöscht.
203
Sandini Bib
5 Die Benutzeroberfläche
Wenn Sie mit einer selbst definierten Konsole arbeiten, haben Sie auch die Möglichkeit, Snap-Ins nur temporär hinzuzufügen. Wählen Sie hierzu den Menüpunkt SNAP-IN HINZUFÜGEN/ENTFERNEN und dann das gewünschte Snap-In. Damit wird es zwar dem Namensraum der MMC hinzugefügt und Sie können bereits damit arbeiten, aber die Änderungen werden noch nicht auf der Festplatte gespeichert. Beim Schließen der Konsole wählen Sie dann aus, dass die aktuellen Änderungen nicht gespeichert werden sollen. Beim nächsten Starten der Konsole ist das Snap-In nicht mehr in der Konsole enthalten.
5.6.2
Die Systemsteuerung
Wie der Name schon sagt, dient die Systemsteuerung zur Steuerung bzw. Konfiguration unterschiedlichster Komponenten des Betriebssystems. Die Systemsteuerung wird über das Startmenü aufgerufen, sofern sie dort angezeigt wird. Ansonsten erfolgt der Aufruf über den Arbeitsplatz unter ANDERE ORTE. Abbildung 5.24: Übersicht über die Elemente der Systemsteuerung
Die Anzahl der Elemente in der Systemsteuerung kann von System zu System abweichen, da einige Applikationen eigene Einträge in die Systemsteuerung schreiben, in Abbildung 5.24 beispielsweise das Java-Plugin oder das Symantec LiveUpdate. Über die standardmäßig vorhandenen Elemente können die folgenden Konfigurationen ausgeführt werden:
204
Sandini Bib
Die Administrationswerkzeuge
Element
Bedeutung
Anzeige
Die Darstellung des Desktop, z.B. Hintergrund, Farben, Designs, Bildschirmauflösung usw., wird hier eingestellt.
Automatische Updates
Konfiguriert Windows XP für den automatischen Download von Windows-Updates.
Benutzerkonten
Erstellen und Verwalten der lokalen Benutzer und deren Kennwörter
Datum und Uhrzeit
Datum, Uhrzeit sowie Zeitzone können eingestellt werden.
Drahtlose Verbindung
Konfiguration von Infrarotverbindungen für Daten- und Bildübertragung
Drucker und Faxgeräte
Hinzufügen und Anzeigen von Druckern und Faxgeräten
Eingabehilfen
Für z.B. seh- oder hörgeschädigte Benutzer können spezielle Konfigurationen vorgenommen werden.
Energieoptionen
Für den Computer können Energiesparoptionen konfiguriert werden.
Gamecontroller
Hinzufügen und Konfigurieren von Joysticks und Gamepads
Geplante Tasks
Planen von Aufgaben, die zeitgesteuert automatisch ausgeführt werden sollen
Hardware
Installation neuer Hardware sowie Problembehandlung installierter Hardware
Internetoptionen
Einstellungen zur Internetverbindung sowie zum Verhalten des Internet Explorer
Mail
Verwaltung der Microsoft Office Outlook-Profile
Maus
Konfiguration der Mauseinstellungen wie Tastenbelegung, Mauszeiger, Geschwindigkeit usw.
Netzwerkverbindungen
Hier werden die Netzwerk- und Internetverbindungen des Computers eingerichtet.
Ordneroptionen
Ändert Anzeigeeinstellungen für Dateien und Ordner und bearbeitet Dateiverknüpfungen mit Programmen.
Regions- und Sprachoptionen
Landesspezifische Einstellungen für Sprache, Zahlen, Währung, Datum und Uhrzeit
Scanner und Kameras
Hinzufügen und Konfigurieren von Scannern und Kameras
Schriftarten
Hinzufügen und Verwalten der auf dem Computer installierten Schriftarten
Tabelle 5.6: Die Elemente der Systemsteuerung und deren Bedeutung
205
Sandini Bib
5 Die Benutzeroberfläche
Element
Bedeutung
Sounds und Audiogeräte
Konfiguration des Sound-Schemas und Einstellungen der Wiedergabe- und Aufnahmegeräte
Sprachein-/ausgabe
Einstellungen für die Spracherkennung und Text-und-Sprache
System
Informationen über das System sowie Konfiguration von Hardware-, Software- und UpdateEinstellungen
Taskleiste und Startmenü
Konfiguration des Aussehens und der Inhalte von Startmenü und Taskleiste
Tastatur
Konfiguration von Tastatureinstellungen
Telefon- und Modemoptionen
Konfiguration von Wählregeln für ein Modem
Tragbare Mediengeräte
Es werden die mit dem Computer verbundenen tragbaren Mediengeräte angezeigt.
Verwaltung
Über die Computerverwaltung können zentrale Einstellungen wie der Festplattenmanager, die Ereignisanzeige usw. aufgerufen werden.
Die Inhalte der Systemsteuerung werden unter Windows XP in Kategorien dargestellt. Wie bestimmte Inhalte zu Kategorien hinzugefügt werden, ist in Artikel Q292463 der Microsoft Knowledge Base beschrieben. Verbergen von Einträgen in der Systemsteuerung Sämtliche in der Systemsteuerung vorhandenen Einträge können verborgen werden, sodass der Benutzer keinen Zugriff mehr darauf hat und keine ungewollten Änderungen am System vornehmen kann. Alle Einträge der Systemsteuerung werden als .cplDateien gespeichert. Die Elemente, die nicht angezeigt werden sollen, werden in der Registry unter dem Schlüssel HKEY_ CURRENT_USER\ControlPanel\Don’t load gespeichert. Um die Einträge zu verbergen, führen Sie folgende Schritte aus: 1. Starten Sie das Programm TweakUI und öffnen Sie den Eintrag CONTROL PANEL. 2. Deaktivieren Sie dort die Checkboxen aller Elemente, die nicht angezeigt werden sollen. Theoretisch kann der Benutzer trotz dieser Restriktion noch auf die Systemsteuerung zugreifen, indem er die .cpl-Dateien direkt aus dem Systemordner \SYSTEM32 öffnet. Allerdings müsste er dazu über administrative Berechtigungen verfügen.
206
Sandini Bib
Die Administrationswerkzeuge
5.6.3
Das DOS-Fenster bzw. die Eingabeaufforderung
Wie es der Name schon andeutet, war dieses Fenster bereits zu Zeiten von MS DOS im Betriebssystem vorhanden und ist seit dieser Zeit in seinem Funktionsumfang immer weiterentwickelt worden. Das DOS-Fenster wird auch als Eingabeaufforderung bezeichnet. Das DOS-Fenster wird entweder im Startmenü unter AUSFÜHREN über den Befehl cmd geöffnet oder unter PROGRAMME/ZUBEHÖR/ EINGABEAUFFORDERUNG. An der Eingabeaufforderung kann eine Reihe von Programmen aufgerufen werden. Eine vollständige Übersicht über die verfügbaren Befehle, deren Bedeutung und Syntax finden Sie, indem Sie im Hilfe- und Supportcenter nach „Befehlszeilenreferenz“ suchen. Durch die Installation der Windows Support Tools sind ca. 40 weitere Programme verfügbar. Als aktuelles Verzeichnis wird standardmäßig immer das Benutzerverzeichnis des aktuellen Benutzers gezeigt. Verwenden Sie das Windows Powertoy Command Prompt Here, können Sie über das Kontextmenü von jedem beliebigen Ordner aus die Eingabeaufforderung mit dem Ordner als Ausgangsordner aufrufen. So entfällt der lästige Wechsel in ein anderes Verzeichnis. Um in den Ordner der nächsthöheren Ebene zu wechseln, verwenden Sie den Befehl cd.. (¢) . Um in ein Unterverzeichnis zu wechseln, geben Sie cd Ordnername (¢) ein. Sie können auch Wildcards verwenden. Geben Sie dazu die ersten Buchstaben des Ordnernamens gefolgt von einem Stern ein, also z.B. cd ad* (¢) , um in den Ordner ADMINISTRATOR zu wechseln. Alle Befehle, die in der aktuellen Sitzung eingegeben wurden, können über die Taste (½) abgerufen werden. Drücken Sie die Taste beliebig oft, bis Sie den gewünschten Befehl gefunden haben. Zum Beenden schließen Sie das Fenster oder geben den Befehl exit (¢) ein.
Von der Eingabeaufforderung aus ist kein Drag&Drop von Text in eine andere Applikation möglich, auch umgekehrt kann nichts per Drag&Drop in dieses Fenster kopiert werden. Um dennoch die Eingaben oder besonders Ausgaben weiterverarbeiten zu können, klicken Sie mit der linken Maustaste oben links auf das schwarze Symbol der Eingabeaufforderung. Im in Abbildung 5.25 dargestellten Menü wählen Sie den Eintrag BEARBEITEN/MARKIE-
207
Sandini Bib
5 Die Benutzeroberfläche REN.
Sie können nun die gewünschten Teile markieren. Danach rufen Sie das Menü BEARBEITEN/KOPIEREN auf und können den Inhalt in einen Editor einfügen. Abbildung 5.25: Die Eingabeaufforderung
Um umgekehrt Text einzufügen, markieren Sie diesen wie gewohnt in Ihrem Editor oder in der Textverarbeitung und wählen dann das Menü BEARBEITEN/EINFÜGEN. Gerade bei einer längeren Bildschirmausgabe kann die Suchfunktion sinnvoll sein. Diese stellt die Eingabeaufforderung über das Menü BEARBEITEN/SUCHEN zur Verfügung. Das Fenster der Eingabeaufforderung kann auch auf Ihre Bedürfnisse angepasst werden. Verwenden Sie dazu das Menü EIGENSCHAFTEN. So können Sie beispielsweise auf den entsprechenden Registerkarten die Farben oder die Fenstergröße anpassen. Auch Schriftart und Größe des Cursors können geändert werden. Weiterhin können Sie festlegen, ob die Eingabeaufforderung als Fenster oder im Vollbildmodus angezeigt werden soll. Auch die Puffergröße für den Befehlsspeicher ist anpassbar.
5.6.4
Ausführen
Das zweite wichtige Werkzeug zur Befehlseingabe ist neben der Eingabeaufforderung die Befehlszeile AUSFÜHREN. Diese wird im Startmenü über den Eintrag AUSFÜHREN aufgerufen. Möglicherweise muss dieser Eintrag zunächst noch hinzugefügt werden. Die schnelle Alternative für häufig verwendete Aufrufe
208
Über die Eingabeaufforderung werden Ressourcen wie Ordner, Dokumente oder auch Internetressourcen aufgerufen. Über DURCHSUCHEN kann die entsprechende Ressource gewählt werden. Wird beispielsweise ein Word-Dokument aufgerufen, wird dieses in der zugehörigen Anwendung geöffnet. Auf diese Weise können Sie den Aufruf einer Ressource über den Windows Explorer beschleunigen.
Sandini Bib
Die Administrationswerkzeuge
Zusätzlich können auch Programme über AUSFÜHREN aufgerufen werden. In der Regel dürfte AUSFÜHREN benutzt werden, um Werkzeuge oder Dienstprogramme wie MMC oder regedit aufzurufen (siehe Abbildung 5.26). Über den Pfeil rechts können alle bisher eingegebenen Befehle angezeigt und ausgewählt werden, ohne dass sie neu eingegeben werden müssen. Abbildung 5.26: Über die Eingabeaufforderung können Programme und Ressourcen aufgerufen werden.
5.6.5
Geplante Tasks
Die Geplanten Tasks bzw. Geplanten Vorgänge sind ein weiteres Werkzeug für den Administrator. Mit Hilfe der geplanten Tasks können bestimmte Programme oder Befehle automatisch zeitgesteuert ausgeführt werden. Diese Funktion wird entweder über SYSTEMSTEUERUNG/GEPLANTE TASKS oder über PROGRAMME/ZUBEHÖR/SYSTEMPROGRAMME/ GEPLANTE TASKS aufgerufen. Dort können Sie einen neuen Task hinzufügen und bestehende Tasks aufrufen. Um einen neuen Task anzulegen, führen Sie die folgenden Schritte aus: 1. Öffnen Sie den Taskplaner über eine der beiden Methoden und klicken Sie auf GEPLANTEN TASK HINZUFÜGEN. Im ersten Fenster des Assistenten klicken Sie auf WEITER. Im folgenden Fenster (siehe Abbildung 5.27) wählen Sie die auszuführende Applikation aus der Liste aus oder klicken auf DURCHSUCHEN, um eine andere ausführbare Datei auszuwählen. Klicken Sie dann auf WEITER. 2. Nachdem Sie das Programm gewählt haben, bestimmen Sie, in welchem Intervall dieses ausgeführt werden soll (siehe Abbildung 5.28). Klicken Sie dann auf WEITER. 3. Danach wählen Sie die Uhrzeit und je nach in Schritt 2 gewählter Option evtl. noch den oder die Wochentage aus (siehe Abbildung 5.29). Klicken Sie dann auf WEITER. 4. Geben Sie danach den Benutzernamen und das Kennwort an, unter dessen Berechtigung der Task ausgeführt werden soll. Klicken Sie dann auf WEITER und im folgenden Fenster auf FERTIG STELLEN.
209
Sandini Bib
5 Die Benutzeroberfläche Abbildung 5.27: Auswahl des Programms, das über den Taskplaner ausgeführt werden soll
Abbildung 5.28: Auswahl des Intervalls, in dem der Task ausgeführt werden soll
Abbildung 5.29: Auswahl des Zeitpunkts, zu dem der Task ausgeführt werden soll
Damit ist der neue Task eingerichtet. Weitere Einstellungen für diesen Task rufen Sie über dessen Kontextmenü EIGENSCHAFTEN auf.
210
Sandini Bib
Der Remotedesktop
Auf den Registerkarten TASK und ZEITPLAN können die ausführbare Datei, der Benutzerkontext sowie der definierte Zeitplan bearbeitet werden. Unter SICHERHEIT werden Benutzer und deren Berechtigungen für den Task konfiguriert. Die umfangreichsten Optionen bietet die Registerkarte EINSTELLUNGEN (siehe Abbildung 5.30). Hier kann für jeden Task ein Enddatum festgelegt werden, vor dem Task-Start kann eine bestimmte Leerlaufdauer erfolgen oder der Task kann beendet werden, wenn sich der Computer nicht im Leerlauf befindet. Bei einem Laptop kann bestimmt werden, dass der Task nicht ausgeführt wird, wenn es sich im Akkubetrieb befindet oder sobald dieser einsetzt. Außerdem kann der Computer zum Ausführen des Task aus dem Ruhezustand oder Standby-Modus reaktiviert werden. Abbildung 5.30: Weitere Optionen zur Ausführung des Task
5.7
Der Remotedesktop
Über den Remotedesktop können Sie den kompletten Bildschirminhalt eines Windows XP-Computers auf einen anderen Computer übertragen und diesen von dort fernsteuern. Der Windows XP-Remotedesktop ist eine Implementierung der bereits unter NT Server 4.0 eingeführten Terminal Services. Mit Windows XP wird diese Funktionalität erstmals auch für ein ClientBetriebssystem verfügbar. Als quasi dessen Erweiterung bietet Windows XP auch die Funktion der Remote-Unterstützung.
211
Sandini Bib
5 Die Benutzeroberfläche
Durch Remotedesktop sind auf dem Remotecomputer sämtliche Ressourcen und Applikationen verfügbar. Sie merken, außer vielleicht bei der Geschwindigkeit, nicht, dass Sie sich nicht an dem gewohnten Computer befinden. Sobald über den Remotedesktop auf einen Computer zugegriffen wird, wird dieser Computer automatisch gesperrt, sodass kein anderer Benutzer darauf zugreifen kann. Nur Sie selbst können bei der Rückkehr an den Computer die Sperre über (Strg) + (Alt) + (Entf) wieder aufheben. Über den Remotedesktop können auch mehrere Benutzer Remote-Sitzungen auf einem einzelnen Computer öffnen. Sobald sich ein anderer Benutzer anmeldet, bleibt die Remote-Verbindung des ersten Benutzers auf dem aktuellen Status erhalten. Meldet sich kurzzeitig über die schnelle Benutzerumschaltung ein anderer Benutzer an, wird die Remotedesktop-Verbindung getrennt. Stellt der erste Benutzer später die Verbindung wieder her, sind alle beim Trennen der Verbindung geöffneten Applikationen und Ressourcen auch weiterhin geöffnet. Für den Remotedesktop muss ein Computer unter Windows XP Professional vorhanden sein, der über eine Netzwerk- oder Internetverbindung verfügt. Auf dem Computer, über den der Zugriff erfolgt, muss die Remotedesktop-Verbindung installiert sein. Zudem muss er über ZUGRIFF auf das Netzwerk des Remotecomputers haben. Dabei kann es sich um eine LAN-, VPN- oder andere Internetverbindung handeln. Der Remotedesktop ist nur unter Windows XP Professional verfügbar, während die Remote-Unterstützung in Windows XP Home und Professional integriert ist.
5.7.1
Remote-Unterstützung
Die Remote-Unterstützung ist eine Erweiterung des Remotedesktop, über die die komplette Steuerung eines anderen Windows XPClient übernommen werden kann. Auf diese Weise kann eine andere Person, z.B. ein Mitglied des Helpdesk, eine Verbindung zu Ihrem Computer herstellen und diesen steuern. Dieses Feature ist sinnvoll, wenn ein Benutzer Probleme mit seinem System hat, die er selbst nicht zu lösen vermag. Auf dem Computer der Person, die zur Hilfe angefordert wird, muss als Betriebssystem Windows XP oder Windows Server 2003 installiert sein. Mit anderen Betriebssystemen kann die Remote-Unterstützung nicht geleistet werden.
212
Sandini Bib
Der Remotedesktop
Ist die Verbindung hergestellt, kann der Helfer den Desktop des Hilfe Suchenden einsehen und sich per Chat mit ihm unterhalten. Zusätzlich kann der Hilfe Suchende dem Helfer die Möglichkeit geben, dass dieser Tastatur und Maus übernimmt, um den Computer zu steuern. Für den Einsatz der Remote-Unterstützung ist für beide Benutzer entweder der Windows Messenger oder ein MAPI-kompatibles E-Mail-Konto wie MS Outlook oder MS Outlook Express erforderlich. Für die Remote-Unterstützung muss eine Internetverbindung vorhanden sein. Wird die Unterstützung im lokalen Netzwerk durchgeführt, müssen auf den Firewalls die Ports für die Remote-Unterstützung geöffnet sein. Beide Features führen in vielen Unternehmen noch ein recht stiefmütterliches Dasein. Mag es nun daran liegen, dass diese Funktionalität noch nicht vollständig bekannt ist oder auch als zu risikoreich eingeschätzt wird, im Folgenden wird die Konfiguration und Anwendung dieser beiden Features deshalb näher vorgestellt.
5.7.2
Vorbereiten der Remote-Verbindungen
Der Remotedesktop und die Remote-Unterstützung sind aus Sicherheitsgründen standardmäßig deaktiviert. Auch einige Antispy-Programme schalten die Funktion möglicherweise ab. Um die Remotedesktop-Funktion zu aktivieren, führen Sie die folgenden Schritte aus: 1. Öffnen Sie in der Systemsteuerung den Punkt SYSTEM und wechseln auf die Registerkarte REMOTE. Aktivieren Sie dort die Funktionen. 2. Sofern die beiden Computer durch eine Firewall getrennt sind, muss auf dieser der TCP-Port 3389 freigeschaltet werden. Dieser Port wird sowohl vom Remotedesktop als auch von der RemoteUnterstützung benutzt. Soll ein anderer als dieser Standardport verwendet werden, kann dieser in der Registrierungsdatenbank unter dem Schlüssel HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp geändert werden, indem unter PortNumber der neue Wert eingestellt wird. Sobald der Port manuell geändert wurde, benutzt die Unterstützungsanforderung diesen nicht automatisch, sondern verwendet weiterhin den ursprünglichen Port 3389. Dazu muss der neue Port beim Senden des Tickets angegeben werden.
213
Sandini Bib
5 Die Benutzeroberfläche
5.7.3
Durchführen der Remote-Unterstützung
Die Remote-Unterstützung geht immer vom Hilfe Suchenden aus. Er sendet seinem potenziellen Helfer eine Einladung. Diese Einladung ist zeitlich begrenzt. Nur mit dieser Einladung ist ein Benutzer berechtigt, die Verbindung herzustellen und danach die Steuerung des Computers zu übernehmen. Die Gültigkeitsdauer der Einladung wird in der Systemsteuerung unter SYSTEM auf der Registerkarte REMOTE unter ERWEITERT festgelegt (siehe Abbildung 5.31). Abbildung 5.31: Die Gültigkeitsdauer der Einladung für die RemoteUnterstützung ist einstellbar.
1. Um die Remote-Unterstützung anzufordern, kann ein Benutzer diese über eine der beiden folgenden Methoden aufrufen: entweder über den Programmeintrag REMOTEUNTERSTÜTZUNG im Startmenü oder über den Aufruf des Hilfe- und Supportcenter über den Link EINEN BEKANNTEN AUFFORDERN, EINE VERBINDUNG ÜBER REMOTEUNTERSTÜTZUNG MIT IHREM COMPUTER HERZUSTELLEN. 2. Klicken Sie dann auf den Link JEMANDEN EINLADEN, IHNEN ZU HELFEN. Wählen Sie dann aus, ob der Helfer über den Windows Messenger oder per E-Mail benachrichtigt werden soll. Die Einladung kann auch in eine Datei gespeichert werden. Geben Sie dazu den Namen des Eingeladenen, die Gültigkeit der Einladung sowie optional ein Passwort an, das der Benutzer eingeben muss. Dieses müssen Sie dem Helfer auf einem anderen Wege mitteilen. 3. Sobald eine Einladung versendet wurde, können Sie deren Status unter EINLADUNGSSTATUS ANZEIGEN einsehen (siehe Abbildung 5.32). Bereits gesendete Einladungen können auch wieder gelöscht werden, bevor der Helfer in Aktion treten kann.
214
Sandini Bib
Der Remotedesktop Abbildung 5.32: Der Status aller verschickten Einladungen
4. Wurde die Einladung per E-Mail oder Datei verschickt, erhält der Helfer eine Datei namens RAInvitation.msrcincident. Dies ist eine Textdatei, die u.a. den Port und die IP-Adresse des zu unterstützenden Computers enthält. Diese Datei hat folgendes Aussehen:
Listing 5.1: Aussehen der Einladung zur Remote-Unterstützung
5. Sobald der Helfer diese Datei doppelklickt, muss er das Kennwort angeben, sofern vom Hilfe Suchenden eines definiert wurde (siehe Abbildung 5.33). Abbildung 5.33: Der Helfer muss zunächst das vereinbarte Kennwort bestätigen.
6. Sobald der Helfer die Verbindung hergestellt hat, erhält der Hilfe -Suchende einen Hinweis darüber. Er muss bestätigen, dass der Helfer nun Zugriff auf seinen Desktop erhalten darf (siehe Abbildung 5.34).
215
Sandini Bib
5 Die Benutzeroberfläche Abbildung 5.34: Der Hilfe Suchende muss bestätigen, dass der Helfer auf seinen Computer zugreifen darf.
7. Wurde die Anfrage mit JA bestätigt, können der Helfer und der Hilfe Suchende den Desktop sehen (siehe Abbildung 5.35). Allerdings kann der Helfer zu diesem Zeitpunkt den Client noch nicht per Tastatur und Maus steuern. Es ist lediglich möglich zu chatten, eine Sprachverbindung herzustellen oder Dateien zu versenden. In einem Statusfenster kann der Fortgang der Verbindung verfolgt werden. 8. Oben in dem Fenster befindet sich die Schaltfläche STEUERUNG ÜBERNEHMEN. Der Hilfe Suchende muss dieses nochmals bestätigen, dann kann die Steuerung übernommen werden. Die Verbindung kann jederzeit von beiden Seiten aus getrennt werden. Die Steuerungsübernahme kann jedoch nicht gewechselt werden. Aufgrund der wiederholten Sicherheitsabfragen und der Zustimmungen des Hilfe Suchenden ist ein Missbrauch dieser Funktion nahezu ausgeschlossen.
Abbildung 5.35: Auf dem Desktop des Helfers wird der Desktop des Hilfe Suchenden angezeigt und kann sogar gesteuert werden.
216
Sandini Bib
Der Remotedesktop
5.7.4
Anwenden des Remotedesktop
Im Gegensatz zur Remote-Unterstützung ist der Remotedesktop nur unter Windows XP Professional, nicht jedoch unter Windows XP Home verfügbar. Es handelt sich quasi um einen echten Terminalserver für die Anmeldung und den Zugriff auf das entfernte System. 1. Zusätzlich zur Aktivierung des Feature müssen über SYSTEMSTEUERUNG/SYSTEM auf der Registerkarte REMOTE die berechtigten Personen festgelegt werden. Klicken Sie dazu auf REMOTEBENUTZER HINZUFÜGEN und wählen Sie die gewünschten Personen aus. Lediglich für die hier gewählten Benutzer ist eine Anmeldung per Remotedesktop am System erlaubt. 2. Damit sich der Benutzer anmelden kann, verwendet er unter Windows XP die Verknüpfung REMOTEDESKTOPVERBINDUNG. Diese kann auch unter AUSFÜHREN über den Befehl %SystemRoot%\System32\mstsc.exe (¢) aufgerufen werden. Sie erhalten das folgende Anmeldefenster (siehe Abbildung 5.36). Abbildung 5.36: Das Anmeldefenster der Remotedesktop-Verbindung
Die Anmeldung muss nicht von einem Windows XP-Client aus erfolgen. Um von einer älteren Windows-Version (Windows 2000, NT 4.0, 9x) aus zuzugreifen, benötigen Sie jedoch zwangsläufig die Remote Desktop Connection Software. Diese Software kann kostenlos unter http://www.microsoft.com/windowsxp/downloads/tools/ rdclientdl.mspx downgeloadet werden. Im Anmeldefenster geben Sie den Computernamen oder die IPAdresse an. Klicken Sie auf OPTIONEN, um noch weitere Einstellmöglichkeiten zu betrachten (siehe Abbildung 5.37).
217
Sandini Bib
5 Die Benutzeroberfläche Abbildung 5.37: Die erweiterten Einstellungen der RemotedesktopVerbindung
Herstellen der Verbindung über DFÜ Standardmäßig wird die Verbindung über die IP-Adresse hergestellt. Sie können jedoch auch eine neue eingehende Verbindung erstellen, wenn die Einwahl auf den Computer per DFÜ erfolgt. Wählen Sie in den Netzwerkverbindungen eine neue Verbindung (ERWEITERTE VERBINDUNG/ EINGEHENDE VERBINDUNG). Geben Sie dann das Modem oder ISDN-Gerät an. Wählen Sie VPN und den gewünschten Benutzer aus. Dieser muss in Schritt 1 als Remote-Benutzer bestimmt worden sein und zusätzlich über die Berechtigung verfügen, sich auf dem Computer einwählen zu dürfen. Weisen Sie dem Benutzer dann über DHCP eine IP-Adresse zu. Der Remote-Benutzer führt zunächst die Einwahl durch und stellt danach die Remotedesktop-Verbindung her. Unter ALLGEMEIN wird neben dem Zielcomputer das Benutzerkonto und Kennwort sowie optional die Domäne angegeben. Die Einstellungen für diese Verbindung können auch gespeichert werden, sodass Sie diese nicht jedes Mal erneut eingeben müssen. Auf der Registerkarte ANZEIGE werden die Auflösung und Farbtiefe des Desktop festgelegt. Bei einer WAN-Verbindung sollte hier aus Performance-Gründen eine Auflösung von 800x600 Pixeln bei 256 Farben eingestellt werden. Unter LOKALE RESSOURCEN wird festgelegt, ob beispielsweise Sounds abgespielt werden sollen oder ob zu Geräten wie Druckern oder seriellen Anschlüssen ebenfalls eine Verbindung hergestellt werden soll. Optional kann bei der Anmeldung ein bestimmtes Programm gestartet werden, das auf der Registerkarte PROGRAMME definiert werden kann. Über die Registerkarte ERWEITERT können zusätzliche Optimierungsoptionen eingestellt werden, z.B. ob der Desktop-Hintergrund oder spezielle Designs angezeigt werden sollen. Je nach Verbindung sind bereits verschiedene Optimierungsmöglichkeiten vorgegeben. Sobald die Verbindung hergestellt ist, wird der Computer gesperrt. Es kann sich derweil kein anderer Benutzer am System anmelden.
218
Sandini Bib
Der Remotedesktop
Der Remotedesktop kann auch ohne einen speziellen Client über den Internet Explorer aufgerufen werden. Dazu muss auf dem Host-System ein ISS installiert und aktiv sein. Der Remotedesktop wird dann über den Internet Explorer über den URL http://IP-Adresse/tsweb aufgerufen.
5.7.5
Probleme
Kommt es bei der Verbindungsherstellung für die Remote-Unterstützung oder den Remotedesktop zu Problemen, sollten Sie nacheinander die folgenden Punkte überprüfen: 왘
Ist der Standardport 3389 (oder der manuell festgelegte) auf dem Router freigeschaltet und ist die Port-Weiterleitung aktiviert?
왘
Ist in der Einladungsdatei die lokale IP-Adresse statt der externen IP-Adresse angegeben? Öffnen Sie die Datei vor dem Versenden mit einem Texteditor und ändern Sie den entsprechenden Eintrag.
왘
Ist die Windows-Firewall aktiviert, müssen Sie den Remotedesktop-Dienst auf dieser freischalten. Handelt es sich nicht mehr um den Standardport, müssen Sie hier auch den neuen Port angeben.
왘
Für den Zugriff auf den Remotedesktop muss ein Benutzerkonto verwendet werden, das über ein Kennwort verfügt. Die Anmeldung kann mit keinem Konto erfolgen, das ein leeres Kennwort besitzt.
5.7.6
Alternative Werkzeuge zum Remotedesktop
Als kostenloses Beiwerk zum Betriebssystem sind der Remotedesktop und die Remote-Unterstützung sicherlich in vielen Fällen sehr hilfreich. Allerdings fehlen auch Features wie Datenverschlüsselung, Verzeichnissynchronisation oder verschiedene benutzerbezogene Einwahlmöglichkeiten. Eine Alternative kann hier der Einsatz kommerzieller Software sein. Beschränkt sich der Einsatz auf ein LAN, ist man sicher mit der Applikation Dameware Mini Remote Control am besten bedient. Bei anderen Verbindungen (insbesondere ISDN und Kabelverbindungen) stellt Laplink eine interessante Alternative dar. Dieses Programm besitzt zudem einen größeren Funktionsumfang und mehr Flexibilität, ist aber auch in der Konfiguration aufwendiger.
219
Sandini Bib
5 Die Benutzeroberfläche
Ein weiteres Programm zur Fernsteuerung eines Computers ist PC Anywhere. Die aktuelle Version ist 11.5. Auch dies ist eine kommerzielle Software. Über PC Anywhere können sowohl Windows- als auch Linux-Betriebssysteme ferngesteuert werden. Weitere Informationen zur Software finden Sie auf der Herstellerseite http://enterprisesecurity.symantec.de/products/products.cfm?productid=77. Komplett als Freeware wird das Programm VNC der Firma AT&T Research geliefert. Die Applikation besteht aus dem VNC-Server und dem VNC-Viewer. Allerdings gibt es hierbei weder Optimierungs- noch Sicherheitsfunktionen. Dennoch kann dieses Programm in einigen Fällen durchaus ausreichend sein.
220
Sandini Bib
6
Benutzerverwaltung
Manuela Reiss Um Zugriff auf Ressourcen auf einem lokalen Rechner oder einer Domäne zu erhalten, ist in Windows XP ein Benutzerkonto mit eindeutigen Anmeldeinformationen Voraussetzung. Durch ein Benutzerkonto werden die Privilegien des Benutzers festgelegt. Hierbei ist zwischen lokalen Computerkonten und domänenbasierten Konten zu unterscheiden. Mit einem lokalen Computerkonto kann der Benutzer nur auf die Ressourcen des lokalen Computers zugreifen, nicht aber auf Netzwerkressourcen, es sei denn, es ist auch ein anonymer Zugriff auf diese zulässig oder es existiert ein Domänenbenutzerkonto mit der gleichen Benutzer-Kennwort-Kombination. Mit domänenbasierten Konten kann hingegen über einen lokalen Computer auf Netzwerkressourcen zugegriffen werden. Zur einfacheren Administration werden Benutzerkonten in Gruppen zusammengefasst. Jeder Benutzer muss Mitglied mindestens einer Gruppe sein. Die Berechtigungen und Rechte, die einer Gruppe erteilt werden, werden allen Mitgliedern zugewiesen. In einem Unternehmensnetzwerk werden Windows XP-Rechner in der Regel als Clients in einem Active Directory-basierten Netzwerk fungieren und die Benutzer werden daher über domänenbasierte Konten verfügen. Gerade hier ist für eine erfolgreiche Administration die genaue Kenntnis der Zusammenhänge zwischen lokalen Konten und Gruppen und domänenbasierten Konten und Gruppen wichtig. Im folgenden Kapitel finden Sie alle bedeutenden Aspekte zur Verwaltung lokaler Benutzer und Gruppen unter Windows XP. Da im Zusammenhang mit Benutzerkonten die Benutzerprofile eine wichtige Rolle spielen, werden diese im Anschluss betrachtet.
221
Sandini Bib
6 Benutzerverwaltung
6.1
Verwaltung lokaler Benutzerkonten
Zur Verwaltung von Benutzern bietet Windows XP Professional verschiedene Werkzeuge. So ist zum einen die auch unter Windows XP Home verfügbare Funktion BENUTZERKONTEN enthalten. Hierbei handelt es sich im Wesentlichen um eine vereinfachte Sicht auf die Benutzerverwaltung, die in detaillierter und vollständiger Form im Snap-In LOKALE BENUTZER UND GRUPPEN in der COMPUTERVERWALTUNG erfolgen kann. Der folgende Abschnitt stellt die Möglichkeiten beider Werkzeuge vor.
6.1.1
Das Werkzeug „Benutzerkonten“ für einfache Kontenverwaltung
Die Funktion BENUTZERKONTEN befindet sich in der SYSTEMSTEUERUNG und wendet sich eher an Benutzer als an Administratoren. Es bietet nur eingeschränkte Möglichkeiten zur Verwaltung von Benutzerkonten, setzt aber administrative Rechte voraus. Wenn ein Anwender mit Benutzerrechten versucht, auf BENUTZERKONTEN zuzugreifen, erscheint das folgende Dialogfenster. Abbildung 6.1: Dialogfenster zur Authentifizierung für den berechtigten Zugriff auf die Funktion BENUTZERKONTEN
Die Darstellung und der Funktionsumfang des sich anschließend öffnenden Dialogfensters ist davon abhängig, ob der Computer Mitglied einer Domäne oder einer Arbeitsgruppe ist. So stehen beispielsweise nur bei Mitgliedschaft in einer Arbeitsgruppe der XP-WILLKOMMENSBILDSCHIRM mit individuellen Anmeldebildern für die Benutzer und die schnelle Benutzerumschaltung zur Verfügung. Die jeweiligen Optionen zur Administration dieser Funktionen fehlen entsprechend bei der Mitgliedschaft in einer Domäne.
222
Sandini Bib
Verwaltung lokaler Benutzerkonten Abbildung 6.2: Kontenverwaltung mit dem Programm BENUTZERKONTEN
Registerkarte BENUTZER Ist der betreffende Windows XP-Rechner Mitglied in einer Windows-Domäne, sind zur Verwaltung von Benutzerkonten die folgenden Funktionen vorhanden.
Weitere Optionen bei Mitgliedschaft in Arbeitsgruppe
Nur wenn es sich bei dem Rechner um einen allein stehenden Rechner oder um ein Mitglied in einer Arbeitsgruppe handelt, stehen weitere Funktionen wie beispielsweise die Option zur Erstellung einer KENNWORTRÜCKSETZDISKETTE oder zur Zuweisung eines Fotos für Benutzer zur Verfügung. 왘
Hinzufügen und Löschen von Benutzern Standardmäßig wird nach dem Abschluss der Installation unter BENUTZERKONTEN nur das Konto des lokalen Administrators angezeigt. Weitere vordefinierte Konten, wie beispielsweise das Gastkonto, sind nicht in der Liste enthalten. Mittels der Optionen HINZUFÜGEN und ENTFERNEN können Benutzer hinzugefügt und bestehende gelöscht werden. Allerdings ist es an dieser Stelle nicht möglich, neue Benutzer zu erstellen. Vielmehr können bestehende Domänenbenutzerkonten einer lokalen Gruppe hinzugefügt werden, um ihnen Zugriff auf den lokalen Computer zu geben. Gleiches gilt für das Löschen eines Kontos.
223
Sandini Bib
6 Benutzerverwaltung 왘
Eigenschaften eines Benutzers ändern Ist der Computer Mitglied einer Domäne, beschränken sich die Änderungsmöglichkeiten auf das Ändern des Namens und der Gruppenmitgliedschaft von lokalen Benutzerkonten. Änderungen von Domänenbenutzerkonten sind konsequenterweise an dieser Stelle nicht gestattet; hier besteht nur die Möglichkeit, das Konto einer anderen lokalen Gruppe hinzuzufügen. Einschränkend ist weder die Aufnahme eines Benutzerkontos in mehrere lokale Gruppen noch das Erstellen neuer lokaler Gruppen unter BENUTZERKONTEN möglich. Hierzu muss das Snap-In LOKALE BENUTZER UND GRUPPEN in der COMPUTERVERWALTUNG verwendet werden.
Nur eingeschränkte Gruppenverwaltung
Unter BENUTZERKONTEN kann ein Benutzer nur zu einer Gruppe hinzugefügt werden. Verfügbar sind die beiden Zugriffsstufen STANDARDBENUTZER und BENUTZER MIT EINGESCHRÄNKTEM ZUGRIFF sowie unter ANDERE alle anderen lokal vorhandenen Gruppen. Abbildung 6.3: Verwaltung von Gruppenmitgliedschaften
왘
Zurücksetzen von Kennwörtern Die Funktion BENUTZERKONTEN unterstützt das Zurücksetzen von Kennwörtern lokaler Benutzerkonten. Die Kennwörter von Domänenbenutzerkonten können jedoch an dieser Stelle nicht geändert werden.
Das Zurücksetzen eines Kennworts ist erforderlich, wenn der Benutzer das Kennwort für sein Konto vergessen hat. Ein Zurücksetzen kann jedoch problematisch sein, wenn der Benutzer lokal verschlüsselte Daten gespeichert hat. Auf diese besteht nach dem
224
Sandini Bib
Verwaltung lokaler Benutzerkonten
Zurücksetzen kein Zugriff mehr. Der Entschlüsselungsschlüssel wird aus dem Kennwort des Benutzers abgeleitet. Daher kann das System nach dem Zurücksetzen des Kennworts durch den Administrator die verschlüsselten Dateien nicht mehr entschlüsseln. Windows XP bietet mit der Funktion KENNWORTRÜCKSETZ- KennwortrückDISKETTE eine Alternative an. Ist der Computer Mitglied einer setzdiskette erstellen Arbeitsgruppe oder ein allein stehender Computer, ist an dieser Stelle in dem Eigenschaftendialogfenster der Benutzer zusätzlich die Registerkarte VERWANDTE AUFGABEN mit der Option VERGESSEN VON KENNWÖRTERN VERHINDERN vorhanden. Diese startet den ASSISTENTEN FÜR VERGESSENE KENNWÖRTER, der die Erstellung einer Kennwortrücksetzdiskette unterstützt. Falls ein Anwender das Kennwort für sein lokales Benutzerkonto vergisst, kann das Kennwort mit -Hilfe der Kennwortrücksetzdiskette zurückgesetzt werden, sodass er wieder auf den Computer zugreifen kann. Abbildung 6.4: Kennwortrücksetzdiskette für ein Konto erstellen
Ist der Computer Mitglied einer Domäne, fehlt diese Option unter BENUTZERKONTEN. Eine Kennwortrücksetzdiskette kann aber auch in diesem Fall erzeugt werden. Gehen Sie dazu wie folgt vor: 1. Öffnen Sie das Dialogfeld WINDOWS-SICHERHEIT durch Drücken von (STRG)+(ALT)+(ENTF).
225
Sandini Bib
6 Benutzerverwaltung
2. Wählen Sie die Option KENNWORT ÄNDERN. 3. Wählen Sie in dem Feld ANMELDEN AN den lokalen Computer aus. 4. Verwenden Sie anschließend die hinzukommende Option SICHERUNG, um den ASSISTENTEN FÜR VERGESSENE KENNWÖRTER zu starten. Folgen Sie dann den Anweisungen des Assistenten. Einsatz der Kennwortrücksetzdiskette
Um bei der Anmeldung an einem Computer, der Mitglied einer Domäne ist, mit Hilfe einer Kennwortrücksetzdiskette Zugriff auf ein lokales Benutzerkonto zu erhalten, verfahren Sie folgendermaßen: 1. Nach dem Versuch, die Anmeldung mit einem falschen Kennwort in dem Anmeldedialogfenster durchzuführen, wird automatisch das Dialogfenster ANMELDUNG IST FEHLGESCHLAGEN angezeigt. 2. Wählen Sie die Option ZURÜCKSETZEN und legen Sie die Kennwortrücksetzdiskette in das Diskettenlaufwerk ein. Diese Option wird nur angezeigt, wenn für das Benutzerkonto zuvor eine Kennwortrücksetzdiskette erstellt wurde. 3. Folgen Sie anschließend den Anweisungen des Kennwortrücksetz-Assistenten, um ein neues Kennwort zu erstellen. 4. Melden Sie sich mit Hilfe des neuen Kennworts an und bewahren Sie die Kennwortrücksetzdiskette anschließend an einem sicheren Ort auf, für den Fall, dass Sie Ihr Kennwort zu einem späteren Zeitpunkt zurücksetzen müssen. Registerkarte ERWEITERT Einige weitere interessante Funktionen u.a. zur Verwaltung von Kennwörtern verbergen sich auf der Registerkarte ERWEITERT.
Kennwörter speichern
Hier ist es beispielsweise möglich, Kennwörter für ausgewählte Serverzugriffe zu hinterlegen. Die Funktion KENNWÖRTER VERWALTEN stellt die auf dem Client-Rechner hinterlegten Kennwörter zur Verfügung, wenn sie für den Zugriff auf die Netzwerkressourcen erforderlich sind. Dies ermöglicht den Zugriff auf Computer in einer nicht vertrauenswürdigen Domäne ohne Abfrage des Domänenbenutzernamens und des Kennworts. Unter Windows XP Professional können Kennwörter für den Zugriff auf die folgenden Ressourcen hinterlegt werden:
226
왘
Freigaben im Netzwerk
왘
Webseiten
Sandini Bib
Verwaltung lokaler Benutzerkonten 왘
.NET Passport
왘
Anmeldeinformationen, um ein Programm im Kontext eines anderen Benutzers auszuführen
Die Anmeldeinformationen werden als Teil des Benutzerprofils gespeichert. Das bedeutet, dass diese verloren sind, wenn das Profil gelöscht wird. Außerdem gehen die gespeicherten Anmeldeinformationen verloren, wenn das Kennwort für ein Benutzerkonto zurückgesetzt werden muss. Die Anmeldeinformationen werden zwar verschlüsselt abgelegt, trotzdem ist deren Speicherung (insbesondere für Konten mit administrativen Rechten) aus Sicherheitserwägungen sehr bedenklich. Kann sich jemand Zugriff im Kontext des lokalen Benutzers verschaffen, hat er damit automatisch auch Zugriff auf die Netzwerkressourcen. Abbildung 6.5: Speichern von Anmeldeinformationen für Ressourcenzugriffe im Netzwerk
Weiterhin ist im Dialogfenster ERWEITERT die Einrichtung eines .NET-Passport.NET-Passports möglich. Mit einem Passport können sich Anwen- Assistent der unter Verwendung ihrer E-Mail-Adresse auf alle Dienste und Websites, die Passports unterstützen, zugreifen. Der .NET-PassportAssistent hilft bei der Einrichtung eines .NET-Passport-Accounts und bei der Anmeldung mit einem bereits vorhandenen Passport.
227
Sandini Bib
6 Benutzerverwaltung
Ein Passport-Account kann auch für den Zugriffsschutz von Office-Dokumenten und Outlook-Mails verwendet werden, der in Office 2003 integriert ist. Über die Verwaltung von Informationsrechten (Information Rights Management, IRM) und die Möglichkeit zur Vergabe von Bearbeitungsrechten innerhalb des Dokuments kann der Ersteller eines Dokuments festlegen, ob andere Benutzer es lesen, bearbeiten oder nur kommentieren dürfen. Hierbei können auch einzelne Bereiche freigegeben und nur bestimmten Benutzern oder Gruppen Rechte eingeräumt werden. IRM basiert auf Zertifikaten, die entweder von einem Windows Server 2003 oder vom Microsoft Passport-Dienst zur Verfügung gestellt werden können. Sichere Anmeldung deaktivieren
In Einzelfällen (beispielsweise bei öffentlich zugänglichen Rechnern) kann es sinnvoll sein, das standardmäßig erforderliche Drücken der Tastenkombination (STRG)+(ALT)+(ENTF). vor dem Anmelden auszuschalten. Diese stellt sicher, dass der echte Windows-Anmeldebildschirm angezeigt wird (SICHERE ANMELDUNG). Das obligatorische Verwenden von (STRG)+(ALT)+(ENTF).erhöht die Sicherheit und hilft, Programme wie beispielsweise Trojaner abzuwehren. Die Deaktivierung der sicheren Anmeldung sollte daher nur in Ausnahmefällen erfolgen.
6.1.2
Zusätzliche Funktionen beim Einsatz von Windows XP in Arbeitsgruppen
Windows XP führt eindeutige Benutzersitzungen aus, wodurch die Daten der einzelnen Benutzergruppen voneinander getrennt bleiben. Die hierbei verwendeten Benutzerkennwörter werden separat voneinander geschützt gespeichert, sofern sie sich auf einer NTFS-Partition befinden. Schnelle Benutzerumschaltung
Diese Form der Benutzerverwaltung ermöglicht bei Windows XPRechnern, die Mitglied einer Arbeitsgruppe sind, oder bei eigenständigen Computern die Funktion SCHNELLE BENUTZERUMSCHALTUNG. Gehört der Computer zu einer Domäne, erfolgen die Optionen für die Anmeldung nach den Richtlinien, die für die Domäne festgelegt sind. In diesem Fall stehen die nachfolgend beschriebenen Funktionen nicht zur Verfügung. Die schnelle Benutzerumschaltung ermöglicht es, zwischen Benutzern umzuschalten, ohne sich vom Computer abzumelden. Mehrere Benutzer können damit einen Computer gemeinsam nutzen und ihn gleichzeitig verwenden, wobei die Benutzer wechseln können, ohne die Programme, die sie ausführen, schließen zu müssen.
228
Sandini Bib
Verwaltung lokaler Benutzerkonten
Die Funktion für die schnelle Benutzerumschaltung ist standard- Aktivierung bzw. mäßig deaktiviert. Um sie zu aktivieren, muss in der SYSTEMSTEUE- Deaktivierung RUNG zunächst die Option BENUTZERKONTEN und anschließend die Option ART DER BENUTZERANMELDUNG ÄNDERN gewählt werden. Um festzulegen, dass die Programme eines Benutzers weiterhin ausgeführt werden, während sich ein anderer Benutzer am Computer anmeldet, ist das Kontrollkästchen SCHNELLE BENUTZERUMSCHALTUNG zu verwenden. Wenn diese Option aktiviert ist, werden Programme nicht beendet, wenn sich ein anderer Benutzer am Computer anmeldet. Anderenfalls werden die Programme mit dem Abmelden eines Benutzers beendet. Die Funktion für die schnelle Benutzerumschaltung kann jederzeit wieder deaktiviert werden. Hierbei ist jedoch zu beachten, dass zu diesem Zeitpunkt nicht mehrere Benutzer am Computer angemeldet sein dürfen. Abbildung 6.6: Aktivierung der Funktion Schnelle Benutzerumschaltung
Wird die schnelle Benutzerumschaltung verwendet, wird nach der Abmeldung eines Benutzers der Anmeldebildschirm angezeigt mit der Information, welcher bzw. welche Benutzer aktuell angemeldet sind. Abbildung 6.7: Anmeldebildschirm bei Verwendung der schnellen Benutzerumschaltung
Die in der Abbildung 6.8 gezeigten Anmeldebilder sind ebenfalls Anmeldebild nur verfügbar, wenn der Windows XP-Rechner einer Arbeits- ändern gruppe angehört oder als allein stehender Rechner eingesetzt wird.
229
Sandini Bib
6 Benutzerverwaltung
Mit Hilfe der Option EIGENES BILD ÄNDERN (zu erreichen über SYSTEMSTEUERUNG/BENUTZERKONTEN/KONTO ÄNDERN) kann sich jeder Benutzer sein eigenes Anmeldebild aussuchen. Hierbei können auch eigene Bilder verwendet werden. Abbildung 6.8: Auswahl eines Anmeldebildes
6.1.3
Erweiterte Benutzerverwaltung
Administratoren in einem Unternehmensnetzwerk werden kaum (oder nur für ausgewählte Zwecke) die Funktion BENUTZERKONTEN aus der Systemsteuerung nutzen, da diese eine Reihe von Einschränkungen aufweist. Für eine erweiterte Benutzerverwaltung stehen mit der Konsole LOKALE BENUTZER UND GRUPPEN und dem Kommandozeilenbefehl net user entsprechende Schnittstellen zur Verfügung. Das Snap-In „Lokale Benutzer und Gruppen“ Die Konsole LOKALE BENUTZER UND GRUPPEN ist als Snap-In in die COMPUTERVERWALTUNG integriert. Zu erreichen ist die COMPUTERVERWALTUNG über die Option VERWALTEN im Kontextmenü von ARBEITSPLATZ. Weiterhin kann das Snap-In durch Eingabe von lusrmgr.msc
im Ausführen-Dialogfenster geöffnet werden. Die Verwaltung von Domänenbenutzerkonten ist hier nicht möglich. Zur Administration dieser Konten muss das Snap-In ACTIVE DIRECTORY-BENUTZER UND -COMPUTER verwendet werden.
230
Sandini Bib
Verwaltung lokaler Benutzerkonten
Abbildung 6.9: Die COMPUTERVERWALTUNG mit dem Snap-In LOKALE BENUTZER UND GRUPPEN mit den standardmäßig erstellten Konten
Im Container BENUTZER werden alle lokalen Benutzerkonten auf- Funktionen gelistet, die in der Benutzerdatenbank des Computers gespeichert sind. Hier können die folgenden Aufgaben durchgeführt werden: 왘
Neue lokale Benutzerkonten hinzufügen oder bestehende löschen. Mit Ausnahme einiger Benutzerkonten, wie Administrator- und Gastkonto, werden bei der Installation von Windows XP Professional keine lokalen Benutzerkonten automatisch erstellt. Werden weitere Benutzerkonten benötigt, müssen diese angelegt werden. Nur Administratoren (oder Konten-Operatoren auf Domänenebene) können Benutzerkonten erstellen und löschen.
왘
Benutzerkontennamen ändern. Da Benutzerkonten unter Windows ausschließlich über eine eindeutige Kennung unterschieden werden, kann der Benutzername jederzeit geändert werden.
왘
Kennwörter zurücksetzen. Darüber hinaus können in den Eigenschaften der Benutzerkonten die Kennwortoptionen für das betreffende Konto geändert werden.
왘
Die Gruppenmitgliedschaft der Benutzerkonten verwalten
왘
Profil-Einstellungen der einzelnen Benutzerkonten verwalten
왘
Benutzerkonten vorübergehend deaktivieren
231
Sandini Bib
6 Benutzerverwaltung
Mit der Funktion KENNWORT FESTLEGEN im Kontextmenü des Benutzerkontos kann ein Administrator ein vom Benutzer vergessenes Kennwort zurücksetzen. Hierbei ist jedoch zu beachten, dass nach dem Zurücksetzen des Kennworts kein Zugriff mehr auf die lokal liegenden verschlüsselten Daten des Benutzers möglich ist. Der Entschlüsselungsschlüssel wird aus dem Kennwort des Benutzers abgeleitet. Daher kann das System nach dem Zurücksetzen des Kennworts durch den Administrator die verschlüsselten Dateien nicht mehr entschlüsseln. Dieses Verhalten tritt nicht auf, wenn ein Benutzer sein Kennwort im Sicherheitsdialogfenster ändert. In diesem Fall werden die Schlüssel automatisch mit dem neuen Kennwort verschlüsselt Neuen Benutzer erstellen
Um in der Konsole ein neues Benutzerkonto einzurichten, ist im Kontextmenü von BENUTZER die Option NEUER BENUTZER zu wählen. Bei der Einrichtung eines neuen Benutzerkontos sind der Benutzername, der vollständige Name, der in einigen Dialogfenstern zur Anzeige verwendet wird, und eine Beschreibung einzutragen. Weiterhin müssen ein Kennwort vergeben und die Kennwortoptionen festgelegt werden.
Benutzereigenschaften ändern
Spätere Änderungen hinsichtlich der Kennwortoptionen, der Gruppenmitgliedschaften und des Benutzerprofils sind im Eigenschaftendialogfenster des betreffenden lokalen Benutzerkontos jederzeit möglich. Allerdings sucht man hier die Optionen zum Umbenennen eines Benutzerkontos und zum Festlegen eines neuen Kennwortes vergeblich. Diese beiden Optionen können nur direkt im Kontextmenü des betreffenden Benutzerkontos oder im Menü AKTION ausgewählt werden. Wird ein Benutzerkonto gelöscht, ist zu beachten, dass Windows XP intern nicht den Namen, sondern einen Security Identifier verwendet. Wird anschließend ein neuer Benutzer mit dem gleichen Namen erstellt, handelt es sich trotzdem um einen anderen Benutzer. Die Zugriffsrechte des ehemaligen Benutzers sind für diesen deshalb nicht wirksam.
232
Sandini Bib
Verwaltung lokaler Benutzerkonten
Abbildung 6.10: Optionen zum Ändern lokaler Benutzerkonten
Der Befehl net user Das Kommandozeilenprogramm Net.exe ist in Windows XP integriert und bietet eine Menge Alternativen zu den Benutzerschnittstellen in der GUI. Die Verwaltung von Benutzerkonten ist möglich mit dem Befehl net user. Hiermit können Benutzerkonten hinzugefügt und geändert oder Informationen über Benutzerkonten angezeigt werden. Die Syntax hierzu lautet:
Syntax
NET USER [Benutzername [Kennwort|*] [Optionen]] [/DOMAIN] Benutzername {Kennwort|*} /ADD [Optionen] [/DOMAIN] Benutzername [/DELETE] [/DOMAIN]
Bei Verwendung ohne Parameter listet net user alle lokalen Benutzerkonten auf (möglich ist auch die Eingabe von net users). Die Anzeige aller verfügbaren Parameter mit einer sehr hilfreichen Beschreibung ist möglich mit dem Befehl: net help user
Die Einrichtung eines neuen Benutzerkontos kann beispielsweise Benutzerkonto erstellen mit dem folgenden Befehl vollzogen werden: net user %Benutzername% <Passwort> /add [Optionen]
Alle Detailinformationen zu einem Benutzerkonto können mit dem folgenden Befehl angezeigt werden: net user %Benutzername%
233
Sandini Bib
6 Benutzerverwaltung Kennwort ändern
Interessant sind die Möglichkeiten zur Vergabe von Kennwörtern. Beispielsweise kann sehr schnell das Anmeldekennwort für ein Benutzerkonto geändert werden. Hierzu ist der Befehl net user %Benutzername% <Passwort>
einzugeben, wobei <Passwort> für das neue Kennwort steht. Da das Kennwort hierzu in Klarschrift angezeigt wird, ist jedoch folgender Weg vorzuziehen: net user %Benutzername%
„*“
Anschließend erscheint eine weitere Zeile mit der Aufforderung, das Kennwort einzugeben. Der eingetippte Name wird hier nicht angezeigt. Benutzereigenschaften ändern
Aber auch zum Ändern der Eigenschaften eines Kontos bietet der Befehl net user die entsprechenden Parameter. Die folgende Auflistung enthält nur die für die Verwaltung lokaler Benutzer relevanten Optionen. /active:{yes|no}: Deaktiviert oder aktiviert das Konto. /comment:"Beschreibung": Ermöglicht die Eingabe einer Beschreibung für das Benutzerkonto (maximal 48 Zeichen). /fullname:"Name": Der vollständige Name des Benutzers. Der Name muss in Anführungszeichen stehen. /passwordchg:{yes|no}: Legt fest, ob der Benutzer das eigene
Kennwort ändern kann. /passwordreq:{yes|no}: Legt fest, ob ein Benutzerkonto ein
Kennwort haben muss.
6.1.4
SID-Verwaltung bei Benutzerkonten
Benutzerkonten bieten Benutzern die Möglichkeit, sich am Netzwerk oder am lokalen Computer anzumelden und auf lokale und Netzwerkressourcen zuzugreifen. Der Zugriff des Benutzers erfolgt mit seinem Anmeldenamen und dem Kennwort. Jeder Eintrag eines Benutzers wird in der Benutzerdatenbank über einen eindeutigen SID (Security Identifier) geführt.
234
Sandini Bib
Verwaltung lokaler Benutzerkonten
SID (Security Identifier) SIDs werden in einem Windows-System verwendet, um Sicherheitsprinzipale eindeutig zu identifizieren. Unter einem Sicherheitsprinzipal wiederum versteht man Objekte, denen automatisch eine Sicherheitskennung zugewiesen wird. Hierzu zählen Benutzer-, Computer- und Gruppenkonten. Nur Objekte mit einer Sicherheitskennung können sich am Computer oder am Netzwerk anmelden und auf Ressourcen zugreifen. Der SID wird vom System zum Zeitpunkt der Konto- oder Gruppenerstellung zugewiesen. Hierbei wird der SID eines lokalen Kontos oder einer lokalen Gruppe von der lokalen Sicherheitsautorität (LSA) auf dem Computer erstellt und mit anderen Kontoinformationen in einem gesicherten Bereich der Registrierungsdatenbank gespeichert. Der SID eines Domänenkontos oder einer Domänengruppe wird von der Domänensicherheitsautorität erstellt und als Attribut des Benutzerobjekts oder der Gruppe im Active Directory gespeichert. Durch einen SID wird der Sicherheitsprinzipal im ganzen Netzwerk eindeutig identifiziert. Auch wenn der Name geändert wird, bleibt der SID erhalten. Wird beispielsweise ein Benutzer im Netzwerk gelöscht, wird auch sein SID gelöscht. Wird der Benutzer mit dem gleichen Namen wieder neu angelegt, erhält er einen neuen SID, weshalb ihm alle Berechtigungen wieder neu zugewiesen werden müssen. Auch aus diesem Grund ist es besser, Zugriffsrechte auf Gruppen- statt auf Benutzerebene zuzuweisen, da diese erfahrungsgemäß seltener gelöscht und neu angelegt werden als Benutzerkonten. Auch wenn der SID eher für die interne Verwaltung von Benut- SID ermitteln zern und Gruppen vom System verwendet wird, muss man z.B. der SID kennen, um gezielt Registrierungsdatenbankeinträge von Benutzern zu ändern. Am einfachsten kann der SID unter Windows XP Professional mit dem Kommandozeilenprogramm Whoami.exe ermittelt werden. Das Programm ist Bestandteil der optional installierbaren Supporttools. Mit Whoami.exe können SIDs und die Anmelde-IDs sowie Rechte- Whoami.exe und Gruppenzuordnungen des aktuell angemeldeten Benutzers ermittelt werden. Der SID eines Benutzers kann hierbei mit dem folgenden Befehl abgefragt werden: whoami /user /sid
235
Sandini Bib
6 Benutzerverwaltung
Wird der Parameter /all verwendet, werden alle verfügbaren Informationen zum aktuell angemeldeten Benutzer ausgegeben. Dies umfasst die folgenden Parameter: /user /groups /priv (Individuelle Rechte) /logonid /sid
Das Programm hat jedoch die Einschränkung, dass nur Informationen zum aktuellen Benutzer angezeigt werden. Um den SID eines anderen Benutzers zu erhalten, kann das KommandozeilenTool Getsid.exe verwendet werden, das ebenfalls Bestandteil der Supporttools von Windows XP Professional ist. Getsid.exe
Getsid.exe dient eigentlich dazu, zwei SIDs miteinander zu vergleichen. Da die SIDs dabei ausgegeben werden, eignet es sich aber auch zur Ermittlung eines SID. Die Syntax hierfür ist die folgende: getsid \\server1 account \\server2 account
Beispiel SIDVergleich
Das nachstehende Beispiel zeigt den Einsatz von Getsid.exe zum Vergleich den SID zweier Konten auf demselben Server: C:\Programme\Support Tools>getsid \\bspserver administrator \\ bspserver aspnet SID for account bspserver\administrator does not match account bspserver\aspnet SID for account bspserver\administrator is S-1-5-21436374069-1343024091-1957994488-500 SID for account bspserver\aspnet is S-1-5-21-4363740691343024091-1957994488-1009
Beispiel SIDAbfrage
Um nur einen Eintrag abzufragen, sind die gleichen Werte für den Server l und den Server 2 sowie für die beiden Benutzerkonten einzutragen. C:\Programme\Support Tools>getsid \\bspserver administrator \\bspserver administrator SID for account bspserver\administrator matches account bspserver\administrator SID for account bspserver\administrator is S-1-5-21436374069-1343024091-1957994488-500 SID for account bspserver\administrator is S-1-5-21436374069-1343024091-1957994488-500
236
Sandini Bib
Verwaltung lokaler Benutzerkonten
Mit Hilfe von Getsid.exe ist es auch möglich, den SID der integrierten Sicherheitsprinzipale (diese werden im Abschnitt 6.2 vorgestellt) zu ermitteln: C:\Programme\Support Tools>getsid \\ bspserver "Authentifizierte Benutzer" \\ bspserver Interaktiv SID for account NT-AUTORIT–T\Authentifizierte Benutzer does not match account NT-AUTORIT–T\Interaktiv
Beispiel SIDAbfrage Integrierte Sicherheitsprinzipale
SID for account NT-AUTORIT–T\Authentifizierte Benutzer is S-1-5-11 SID for account NT-AUTORIT–T\Interaktiv is S-1-5-4
6.1.5
Vordefinierte Benutzerkonten
Windows XP richtet automatisch einige Benutzerkonten ein: 왘
Administratorkonto Das Administratorkonto wird während der Installation von Windows XP erstellt und ist über das dort eingegebene Kennwort zugänglich.
Aus Sicherheitsgründen sollte für das Administratorkonto ein möglichst sicheres Kennwort festgelegt werden, das den Komplexitätsanforderungen entspricht. Hohe Sicherheit ist mit einem Administratorkennwort gewährleistet, das mindestens neun Zeichen lang ist, mindestens ein Satzzeichen und ein nicht druckbares ASCII-Zeichen (einzugeben über die (ALT)Taste in Kombination mit einem dreistelligen Zahlenschlüssel) enthält. Außerdem sollte das Administratorkonto umbenannt werden, um potenziellen Hackern den Zugriff zu erschweren. Insbesondere das lokale Administratorkonto ist häufig ein Ziel interner Mitarbeiter, die versuchen, darüber höhere Zugriffsberechtigungen zu erlangen. 왘
Gastkonto Ein weiteres vordefiniertes und standardmäßig deaktiviertes Konto ist das Gastkonto. Mit diesem Konto kann verschiedenen Benutzern die Anmeldung am lokalen Computer und der Zugriff auf Ressourcen ermöglicht werden, ohne dass für jeden Benutzer ein Konto eingerichtet werden muss. Aus diesem Grund hat das Gastkonto standardmäßig ein leeres Kennwort. Um das Gastkonto zu verwenden, muss es zuvor aktiviert werden.
237
Sandini Bib
6 Benutzerverwaltung
Da ein personalisierter Systemzugriff in jedem Fall vorzuziehen ist und auch von Seiten der Revision in aller Regel gefordert wird, sollte selbst für Benutzer, die nur vorübergehend Zugriff benötigen, ein eigenes Benutzerkonto eingerichtet werden. 왘
SUPPORT_388945a0 Das Konto wird für den Microsoft Support-Zugriff benötigt und kommt nur über das Hilfe- und Supportcenter zum Einsatz. Es verfügt lediglich über ein Minimum an Privilegien und stellt damit zwar kein großes Risiko dar, ist aber für den Betrieb auch nicht erforderlich. Es kann deaktiviert oder gelöscht werden. Bei vorinstallierten Windows XP-Rechnern fehlt das Konto häufig bereits.
왘
Hilfeassistent Das Konto wird zur Bereitstellung von Remoteunterstützung benötigt. Es wird beim Versand einer Einladung zur Remoteunterstützung automatisch aktiviert.
왘
Aspnet Wurde das .NET Framework 1.1 installiert, ist noch ein weiteres Konto namens Aspnet vorhanden. Microsoft hat dieses Konto eingeführt, damit .NET-Webanwendungen nicht im Kontext des Benutzers laufen müssen. Abhängig von den installierten Webanwendungen wird dieses Konto gegebenenfalls benötigt.
Das Gastkonto Das Gastkonto ist standardmäßig Mitglied der Gruppe „Gäste“. Eine genaue Erläuterung der Gruppen finden Sie in Abschnitt Es handelt sich bei dem Gastkonto jedoch nicht um einen authentifizierten Benutzer. Bei einer interaktiven Anmeldung ist das Gastkonto Mitglied der beiden Gruppen „Gäste“ und „Benutzer“. Bei einer Anmeldung über das Netzwerk ist das Gastkonto jedoch standardmäßig kein Mitglied der Benutzergruppe. Einen weiteren Punkt gilt es hinsichtlich der Netzwerkanmeldung mit dem Gastkonto an einem Rechner unter Windows XP, der nicht Mitglied einer Domäne ist, zu beachten. Auf einem solchen Rechner werden Netzwerkanmeldungen standardmäßig dem Gastkonto zugeordnet. Das erleichtert die Freigabe von Ressourcen in Heimnetzwerken oder kleinen Netzwerken, verhindert aber die Möglichkeit zur Vergabe individueller Berechtigungen.
238
Sandini Bib
Verwaltung lokaler Benutzerkonten
Mittels einer Gruppenrichtlinie können die Verwendung des Gastkontos und das Freigabeverhalten von Windows XP in einer Arbeitsgruppenumgebung administriert werden. Für die Gruppenrichtlinie COMPUTERKONFIGURATION/WINDOWS-EINSTELLUNGEN/SICHERHEITSEINSTELLUNGEN/LOKALE RICHTLINIEN/ SICHERHEITSOPTIONEN stehen zwei Einstellungen zur Auswahl: 왘 Klassisch: Lokale Benutzer werden unter ihrer eigenen Identität
authentifiziert. 왘 Nur Gast: Lokale Benutzer werden über das Konto Gast authen-
tifiziert.
Wird für diese Option die Einstellung KLASSISCH verwendet, werden Netzwerkanmeldungen anhand der verwendeten Anmeldeinformationen authentifiziert. Wird für diese Option die Einstellung NUR GAST festgelegt, werden Netzwerkanmeldungen, die ein lokales Konto verwenden, automatisch dem Gastkonto zugeordnet.
6.1.6
Lokale Kennwortrichtlinien verwalten
Kennwörter gehören zu den wichtigsten Schutzmechanismen und sollten entsprechend aufmerksam behandelt werden. Zwar erfolgt in einem Firmennetzwerk die Umsetzung von Firmenrichtlinien hinsichtlich der Verwaltung von Kennwörtern in aller Regel zentral, die Kenntnis der Steuerungsmöglichkeiten für lokale Konten ist trotzdem erforderlich. In den Eigenschaften bestehen bezüglich der Festlegung für die Kennwortoptionen Kennwortoptionen die folgenden Möglichkeiten: 왘
Benutzer muss Kennwort bei der nächsten Anmeldung ändern Ist diese Option aktiviert, wird der Benutzer bei der ersten Anmeldung aufgefordert, ein neues Kennwort einzugeben. Dies ermöglicht es dem Administrator, einem Benutzer ein einfaches Startkennwort zuzuweisen, das dieser bei der nächsten Anmeldung ändern muss. Weiterhin ist sichergestellt, dass dem Administrator das Benutzerkennwort nicht bekannt ist.
왘
Benutzer kann Kennwort nicht ändern Bei Aktivierung dieser Option kann der Benutzer sein eigenes Kennwort nicht ändern. Diese Option wird in der Regel für Dienstkonten verwendet.
239
Sandini Bib
6 Benutzerverwaltung 왘
Kennwort läuft nie ab Aus Sicherheitsgründen sollten Benutzer gezwungen sein, periodisch ihr Kennwort zu ändern. Die Ablaufdauer kann in der entsprechenden Sicherheitsrichtlinie festgelegt werden und beträgt standardmäßig 42 Tage. Die Aktivierung dieser Option setzt die Einstellungen in der Gruppenrichtlinie für den betreffenden Benutzer außer Kraft. Diese Option sollte daher nur in Ausnahmefällen (beispielsweise für Dienstkonten) aktiviert werden.
Seit Windows 2000 erfolgt die Festlegung genereller Kennworteinstellungen, wie beispielsweise die Erzwingung einer erforderlichen Mindestlänge für Kennwörter oder die Verwendung von Kennwortchroniken, in den mehrfach angesprochenen Gruppenrichtlinien bzw. konkret in den Sicherheitsrichtlinien. Lokales Gruppenrichtlinienobjekt
Gruppenrichtlinien erlauben die Vorgabe von Einstellungen, die zum einen auf den lokalen Computer beschränkt sein können und/oder zum anderen für Bereiche des Active Directory (Standorte, Domänen, Organisationseinheiten oder Subnetze) Anwendung finden. Die lokalen Sicherheitsrichtlinien bzw. SICHERHEITSEINSTELLUNGEN sind ein Bereich im lokalen Gruppenrichtlinienobjekt. Zur Konfiguration von lokalen Sicherheitsrichtlinien gehen Sie wie folgt vor: 1. Öffnen Sie durch Eingabe von gpedit.msc im Ausführen-Dialogfenster das Snap-In GRUPPENRICHTLINIE ZUR VERWALTUNG LOKALER GRUPPENRICHTLINIEN. 2. Wählen Sie unter COMPUTERKONFIGURATION/WINDOWS-EINSTELLUNGEN den Container SICHERHEITSEINSTELLUNGEN. Alternativ können Sie auch im Ausführen-Dialogfenster den Befehl secpol.msc eingeben. Hiermit wird direkt und ausschließlich der Container SICHERHEITSEINSTELLUNGEN geöffnet. 3. Wählen Sie KONTORICHTLINIEN und anschließend KENNWORTRICHTLINIEN.
Abbildung 6.11: Konfiguration der Kennwortrichtlinien in den lokalen Sicherheitseinstellungen
240
Sandini Bib
Verwaltung lokaler Benutzerkonten
Eine gute Absicherung lässt sich mit den folgenden Einstellungen Kennwortsichererzielen, die aber lediglich als Anhaltspunkte dienen können und heit erhöhen dem individuellen Sicherheitsstandard entsprechend angepasst werden müssen: 왘
Die Mindestlänge für Kennwörter sollte sieben Zeichen nicht unterschreiten. Diese Einstellung verhindert auch, dass Benutzer leere Kennwörter verwenden können.
왘
Die maximale Kennwortdauer hängt von der verwendeten Netzwerkkonfiguration ab und sollte nicht mehr als 42 Tage betragen. Dies ist der Standardwert.
왘
Die minimale Kennwortdauer sollte auf einen Wert zwischen einen und sieben Tage gesetzt werden. Der Standardwert Null erlaubt eine sofortige erneute Änderung des Kennwortes, was zu einer Umgehung des Kennworterneuerungszyklus missbraucht werden kann.
왘
Mindestens die letzten sechs Kennwörter sollten in der Kennwortchronik gespeichert werden.
Wichtig ist auch eine Aktivierung der Richtlinie KENNWORT MUSS Komplexe KOMPLEXITÄTSANFORDERUNGEN ENTSPRECHEN. Ist diese Richtlinie Kennwörter aktiviert, müssen bei Vergabe eines neuen Kennwortes mindestens drei der folgenden vier Vorgaben erfüllt sein: 왘
Das Kennwort muss mindestens sechs Zeichen lang sein.
왘
Das Kennwort muss Klein- und Großbuchstaben enthalten.
왘
Das Kennwort muss Ziffern enthalten.
왘
Das Kennwort muss Sonderzeichen enthalten.
Einschränkungen für Konten mit leeren Kennwörtern Neu ist in Windows XP, dass Benutzer, die ein leeres Kennwort verwenden, so beschränkt werden, dass sie sich nur noch an der Konsole des lokalen Computers anmelden können. Konten mit leeren Kennwörtern können damit nicht mehr für eine RemoteAnmeldung an dem Computer oder für sonstige Anmeldeaktivitäten (zum Beispiel für eine Anmeldung mit dem Befehl Runas) verwendet werden. Wird einem lokalen Konto ohne Kennwort in der Folge ein Kennwort zugewiesen, wird diese Einschränkung entfernt. Diese Beschränkung ist standardmäßig mittels aktivierter Sicherheitsrichtlinie (siehe Abbildung 6.12) in Kraft. Die Einstellung hat jedoch keine Auswirkungen auf Anmeldungen, die mit einem Domänenbenutzerkonto erfolgen. Außerdem können Anwendungen, die interaktive Fernanmeldungen verwenden, diese Einstellung umgehen.
241
Sandini Bib
6 Benutzerverwaltung Abbildung 6.12: Sicherheitsrichtlinie zur Einschränkung von Konten mit leeren Kennwörtern auf die Konsolenanmeldung
6.2
Verwaltung lokaler Gruppenkonten
Zur Vereinfachung der Administration werden Berechtigungen und Benutzerrechte in der Regel nicht einzelnen Benutzern, sondern Gruppen erteilt. Wird ein Benutzer zu einer Gruppe hinzugefügt, erhält er nach einer erneuten Anmeldung alle Berechtigungen und Benutzerrechte, die dieser Gruppe zugewiesen sind.
6.2.1
Gruppentypen im Vergleich
Für die Verwaltung eines einzelnen Windows XP-Computers spielen konsequenterweise nur die lokalen Gruppen eine Rolle. In einem Active Directory-basierten Unternehmensnetzwerk mit einem verschachtelten Gruppenmodell gibt es zwangsläufig ein Zusammenspiel mit anderen Gruppentypen, sodass an dieser Stelle ein kurzer Blick auf die in einer Active Directory-Umgebung verfügbaren Gruppen erforderlich ist. Hierbei werden ausschließlich sicherheitsrelevante Gruppen (keine Verteilergruppen) betrachtet. Gruppentypen im Active Directory
242
왘
Computerlokale Gruppen Computerlokale Gruppen werden in der Sicherheitsdatenbank des jeweiligen Computers verwaltet, auf dem sie erstellt wurden, und dienen zur Administration von Rechten und Berechtigungen für Ressourcen auf einem lokalen Computer.
왘
Domänenlokale Gruppen Domänenlokale Gruppen stehen lokal in der jeweiligen Domäne zur Verfügung, in der sie erstellt wurden. Sie dienen zur Administration von Rechten und Berechtigungen für Objekte auf Computern in der Domäne.
Sandini Bib
Verwaltung lokaler Gruppenkonten 왘
Globale Gruppen Globale Gruppen dienen zur Verwaltung und Zusammenfassung von Benutzern, die ein gemeinsames Zugriffsprofil aufweisen. Globale Gruppen können Benutzerkonten und andere globale Gruppen aus der gleichen Domäne enthalten. Durch Aufnahme in die entsprechenden Gruppen können ihnen Berechtigungen für jeden Computer in jeder Domäne einer Gesamtstruktur erteilt werden.
왘
Universelle Gruppen Der Einsatz universeller Gruppen ist in größeren Organisationen sinnvoll, in denen Bedarf besteht, Zugriff für ähnliche Kontengruppen zu gewähren, die in mehreren Domänen einer Gesamtstruktur definiert sind.
왘
Integrierte Sicherheitsprinzipale Eine spezielle Gruppe stellen die „Integrierten Sicherheitsprinzipale“ dar. Diese werden auch als Gruppen für besondere Identitäten oder einfach als Sondergruppen bezeichnet. Anders als die anderen Gruppenarten können diesen keine Mitglieder zugewiesen werden. Vielmehr wird ein Konto Mitglied einer dieser Gruppen durch eine bestimmte Aktion, d.h. sie werden auf alle Konten angewendet, die den Computer auf besondere Weise nutzen, wie beispielsweise anonyme Anmeldungen oder Fernzugriffe. Die „Integrierten Sicherheitsprinzipale“ werden in der Gruppenverwaltung nicht angezeigt, weil sie nicht administrierbar sind. Die Gruppen können jedoch verwendet werden, um beispielsweise Zugriff auf Ressourcen zu gewähren.
Auf einem Windows XP-Computer sind demzufolge die beiden Gruppentypen (computer)lokale Gruppen und die integrierten Sicherheitsprinzipale zu finden. Diese werden daher im Folgenden näher betrachtet.
6.2.2
Vordefinierte lokale Gruppen und ihre Berechtigungen
Nach der Installation von Windows XP Professional sind einige lokale Gruppen vorhanden, die die nächste Abbildung zeigt. Diese Gruppen haben die folgenden Funktionen und Rechte. 왘
Administratoren
Funktionen vordefinierter
Mitglieder dieser Gruppe besitzen die vollständige Kontrolle Gruppen über den lokalen Computer und können sämtliche Funktionen durchführen, die das Betriebssystem unterstützt. Außerdem
243
Sandini Bib
6 Benutzerverwaltung
sind sie berechtigt, sich jedes Recht, das sie nicht standardmäßig besitzen, selbst zu erteilen. Zu den Standardmitgliedern dieser Gruppe zählt bei einer Neuinstallation von Windows XP nur das während der Installation erstellte Konto für den Administrator. Bei einer Aktualisierung bleiben bereits vorhandene Mitglieder der lokalen Gruppe „Administratoren“ und die Mitglieder der Gruppe „Domänenadministratoren“ bestehen. Abbildung 6.13: Standardmäßig verfügbare computerlokale Gruppen
왘
Benutzer Im Gegensatz zu Administratoren haben Mitglieder der Gruppe „Benutzer“ nur eingeschränkten Zugriff auf das System (beachten Sie hierzu den folgenden Abschnitt). Benutzer können weder computerweite Registrierungsdatenbankeinstellungen ändern, noch Systemdateien oder Programmdateien bearbeiten. Außerdem können sie keine Anwendungen installieren. Peripheriegeräte wie beispielsweise Drucker können sie nur dann einrichten, wenn das Treiberpaket bereits im System oder über einen vertrauenswürdigen Pfad zur Verfügung steht, signiert ist und ohne Benutzerschnittstelle installiert werden kann.
왘
Gäste Bis auf wenige Einschränkungen besitzen die Mitglieder der Gruppe „Gäste“ die gleichen Zugriffsrechte wie die Mitglieder der Benutzergruppe. So können Mitglieder der Gruppe „Gäste“ beispielsweise nicht auf das Ereignisprotokoll von Anwendungen und das Systemereignisprotokoll zugreifen. Standardmäßig ist nur das Konto „Gast“ Mitglied dieser Gruppe. Dieses Konto ist geeignet für Benutzer, die sich nur einmal oder gelegentlich an dem Computer anmelden müssen und für die deshalb kein eigenes Konto eingerichtet werden soll. Aus diesem Grund hat das Gastkonto ein leeres Kennwort. Aus Sicherheitsgründen ist es standardmäßig deaktiviert.
244
Sandini Bib
Verwaltung lokaler Gruppenkonten 왘
Hauptbenutzer Hauptbenutzer verfügen über geringeren Systemzugriff als Administratoren, besitzen jedoch mehr Zugriffsrechte als Mitglieder der Benutzergruppe. Standardmäßig besitzen die Mitglieder dieser Gruppe Änderungsberechtigungen für Teile des Systems zusätzlich zu ihrem eigenen Profil. Hierzu gehören folgende Verzeichnisse: 왘
HKEY_LOCAL_MACHINE \Software
왘
Programme
왘
%windir%
왘
%windir%\system32
Weiterhin können Hauptbenutzer zahlreiche systemweite Vorgänge durchführen, die für die Mitglieder der Benutzergruppe eingeschränkt sind. Hierzu zählen das Ändern von Systemzeit und Anzeigeeinstellungen sowie das Erstellen von Benutzerkonten und Freigaben. Hauptbenutzer besitzen zwar die Berechtigungen, die notwendig sind, um die meisten Anwendungen zu installieren, dennoch gibt es Einschränkungen. Zahlreiche Anwendungen prüfen zunächst, ob der Benutzer ein explizites Mitglied der Gruppe „Administratoren“ ist, bevor sie installiert werden können. Andere Anwendungen versuchen, Betriebssystemdateien zu ersetzen, was Hauptbenutzern aber nicht gestattet ist. 왘
Netzwerkkonfigurations-Operatoren Mitglieder dieser Gruppe besitzen eingeschränkte Administratorrechte, die ihnen die Konfiguration von Netzwerkfunktionen gestatten, wie beispielsweise die Konfiguration von TCP/IP-Einstellungen. Sie dürfen jedoch keine andere Hardware konfigurieren.
왘
Remotedesktop-Benutzer Mitglieder dieser Gruppe besitzen das Recht, sich von einem entfernten Standort aus über die Remotedesktop-Funktion am Computer anzumelden. Diese Gruppe hat zunächst keine Mitglieder. Die Mitgliedschaft erfolgt automatisch bei der Konfiguration der Remotedesktop-Einstellungen.
왘
Replikations-Operatoren Mitgliedern dieser Gruppe ist es gestattet, Dateien in einer Domäne zu replizieren.
왘
Sicherungs-Operatoren Die Mitglieder dieser Gruppe können Verzeichnisse und Dateien auf dem Computer (ohne Berücksichtigung der mit diesen Dateien verbundenen Berechtigungen) sichern und
245
Sandini Bib
6 Benutzerverwaltung
wiederherstellen. Der Zugriff auf die Dateien ist ihnen jedoch nur im Rahmen einer Datensicherungsaktion möglich. Sie haben außerdem das Recht, sich lokal am Computer anzumelden und diesen herunterzufahren. Es ist ihnen jedoch nicht erlaubt, die Sicherheitseinstellungen von Dateien und Verzeichnissen zu ändern. 왘
Hilfsdienstgruppe Mitglieder dieser Gruppe erhalten bei installierter Fernwartungsfunktion Fernzugriff, um Systemprobleme zu diagnostizieren. Die Gruppe kann in Verbindung mit den Support- und Hilfeassistent-Benutzerkonten von Mitgliedern des Hilfe- und Supportcenters von Microsoft verwendet werden, um über das Netzwerk auf den Computer zuzugreifen und sich lokal anzumelden.
Standardberechtigungen der Gruppe „Benutzer“ Nur die Gruppen „Administratoren“, „System“ und „ErstellerBesitzer“ erhalten Vollzugriff auf alle Dateisystem- und Registrierungsdatenbankobjekte, die nach Abschluss der Installation von Windows XP vorhanden sind. Die Mitglieder der Gruppe „Benutzer“ verfügen über einen expliziten Schreibzugriff nur für bestimmte Pfade und über Lesezugriff oder geringere Zugriffsrechte für das übrige System. Die nachstehende Tabelle zeigt deren Standardzugriffsberechtigungen bei einem neu installierten Windows XP Professional-Computer. Die Kenntnis der standardmäßig gesetzten Zugriffsberechtigungen kann beispielsweise bei der Fehlersuche hilfreich sein. Tabelle 6.1: Standardmäßige Zugriffsberechtigungen der Benutzergruppe
Objekt
Berechtigung
HKEY_Current_User (Benutzerbestandteil der Registrierungsdatenbank)
Vollzugriff
%UserProfile% (Verzeichnis für das lokale Benutzerprofil)
Vollzugriff
Verzeichnis Gemeinsame Dokumente
Schreiben
Verzeichnis Gemeinsame Anwendungs- Schreiben daten Verzeichnis %Windir%\Temp
246
Synchronisieren, Durchsuchen, Hinzufügen von Dateien und Hinzufügen von Unterverzeichnissen
Sandini Bib
Verwaltung lokaler Gruppenkonten
Standardbenutzerrechte Wichtig ist auch die Kenntnis, über welche Benutzerrechte die vordefinierten Gruppen und Benutzer standardmäßig verfügen. Die folgende Tabelle zeigt die Standardbenutzerrechte bei einem neu installierten Windows XP-Computer. Berücksichtigt wurden nur die vordefinierten Gruppenkonten, nicht jedoch die „Integrierten Sicherheitsprinzipale“. Benutzerrecht
Gruppenkonto
Als Dienst anmelden
Nicht zugewiesen
Ändern der Systemzeit
Administratoren, Hauptbenutzer
Anheben der Zeitplanungspriorität
Administratoren
Anmelden als Stapelverarbeitungsauftrag
Nicht zugewiesen
Anmeldung als Batch-Auftrag verweigern
Nicht zugewiesen
Anmeldung als Dienst verweigern
Nicht zugewiesen
Auf diesen Computer vom Netzwerk aus zugreifen
Administratoren, SicherungsOperatoren, Hauptbenutzer, Benutzer, Jeder
Auslassen der durchsuchenden Überprüfung
Administratoren, SicherungsOperatoren, Hauptbenutzer, Benutzer, Jeder
Debuggen von Programmen
Administratoren
Einsetzen als Teil des Betriebssystems
Nicht zugewiesen
Entfernen des Computers von derDockingstation
Administratoren, Hauptbenutzer, Benutzer
Erhöhen von Datenträgerkontingenten
Administratoren
Ermöglichen, dass Computer- und Benutzerkonten zu Delegierungszwecken vertraut wird
Nicht zugewiesen
Ersetzen eines Token auf Prozessebene
Nicht zugewiesen
Erstellen einer Auslagerungsdatei
Administratoren
Erstellen von dauerhaft freigegebenen Objekten
Nicht zugewiesen
Erstellen eines Token-Objekts
Nicht zugewiesen
Tabelle 6.2: Standardbenutzerrechte
247
Sandini Bib
6 Benutzerverwaltung
Benutzerrecht
Gruppenkonto
Erstellen eines Profils für einen Einzelprozess
Administratoren, Hauptbenutzer
Erstellen eines Profils der Systemleistung
Administratoren
Erzwingen des Herunterfahrens von einem Remote-System aus
Administratoren
Generieren von Sicherheitsüberwachungen
Nicht zugewiesen
Herunterfahren des Systems
Administratoren, SicherungsOperatoren, Hauptbenutzer, Benutzer
Hinzufügen von Arbeitsstationen zur Domäne
Nicht zugewiesen
Laden und Entfernen von Gerätetreibern
Administratoren
Lokal anmelden
Administratoren, SicherungsOperatoren, Hauptbenutzer, Benutzer und Gäste
Lokale Anmeldung verweigern
Nicht zugewiesen
Netzwerkanmeldung verweigern
Nicht zugewiesen
Sichern von Dateien und Verzeich- Administratoren und Sicherungsnissen Operatoren
Benutzerrechte verwalten
Sperren von Seiten im Speicher
Nicht zugewiesen
Übernehmen des Besitzes von Dateien und Objekten
Administratoren
Verwalten von Überwachungsund Sicherheitsprotokollen
Administratoren
Synchronisieren von Verzeichnisdaten
Nicht zugewiesen
Verändern der FirmwareUmgebungsvariablen
Administratoren
Wiederherstellen von Dateien und Verzeichnissen
Administratoren, SicherungsOperatoren
Die Konfiguration der Benutzerrechte erfolgt ebenfalls mittels Sicherheitsrichtlinien. 1. Öffnen Sie durch Eingabe von gpedit.msc im Ausführen-Dialogfenster das Snap-In GRUPPENRICHTLINIE ZUR VERWALTUNG LOKALER GRUPPENRICHTLINIEN.
248
Sandini Bib
Verwaltung lokaler Gruppenkonten
2. Wählen Sie unter COMPUTERKONFIGURATION/WINDOWS-EINSTELLUNGEN den Container SICHERHEITSEINSTELLUNGEN. Alternativ können Sie auch im Ausführen-Dialogfenster den Befehl secpol.msc eingeben. Hiermit wird direkt und ausschließlich der Container SICHERHEITSEINSTELLUNGEN geöffnet. 3. Wählen Sie LOKALE RICHTLINIEN und anschließend ZUWEISEN VON BENUTZERRECHTEN. Abbildung 6.14: Verwaltung von Benutzerrechten
6.2.3
Integrierte Sicherheitsprinzipale
Wie in Abschnitt 6.2.1 beschrieben, dienen die „Integrierten Sicherheitsprinzipale“ zum Verwalten von Rechten und Berechtigungen, die basierend auf der Art der gestarteten Anmeldesitzung auf Benutzer angewendet werden. Die folgenden Gruppen werden auf jedes Benutzerkonto angewendet, das in der angegebenen Weise auf einem Computer unter Windows XP Professional benutzt wird: 왘
Anonymous-Anmeldung Dieser Gruppe werden alle Netzwerkanmeldungen zugeordnet, die keine Anmeldeinformationen (Domäne, Benutzername, Kennwort) verwenden. Hierzu gehören jedoch keine Anmeldungen mit dem Gastkonto. Benutzer können sich gleichzeitig anonym und interaktiv anmelden. Unter Windows XP sind aus Sicherheitsgründen die Mitglieder dieser Gruppe nicht mehr gleichzeitig Mitglied der Gruppe „Jeder“.
왘
Authentifizierte Benutzer Jeder Benutzer, der lokal oder von einem Domänen-Controller authentifiziert wurde, gehört zu dieser Gruppe. Voraussetzung ist, dass ein entsprechendes Benutzerkonto existiert (lokal oder in Active Directory). Benutzer des Gastkontos und der Gruppe „Anonymous-Anmeldung“ sind demzufolge ausgeschlossen.
249
Sandini Bib
6 Benutzerverwaltung 왘
Dialup Jeder Benutzer, der über eine DFÜ-Verbindung auf den Computer zugreift, wird für die Dauer des Zugriffs Mitglied dieser Gruppe.
왘
Ersteller-Besitzer In dieser Gruppe ist der Benutzer Mitglied, der ein Objekt erstellt hat.
왘
Erstellergruppe Wenn ein Benutzer ein Objekt erstellt, wird diese Gruppe seine primäre Erstellergruppe. Wird der Eintrag im Rahmen der Zugriffssteuerung vererbt, wird der SID des Benutzers durch den SID der primären Erstellergruppe ersetzt.
왘
Interaktiv In dieser Gruppe werden alle lokal angemeldeten Benutzer für die Dauer des interaktiven Zugriffs Mitglied.
왘
Interaktive Remoteanmeldung Alle Benutzer, die sich über eine Remotedesktop-Verbindung an dem Computer anmelden, werden in dieser Gruppe erfasst.
왘
Jeder Alle Benutzer, die sich erfolgreich an dem Windows XPComputer angemeldet haben, einschließlich Mitglieder der Gruppen „Gäste“ und „Benutzer“ aus anderen Domänen, sind automatisch Mitglied dieser Gruppe. Ausgenommen sich jedoch anonyme Anmeldungen.
왘
Netzwerk Mitglied dieser Gruppe werden alle Benutzer, die sich über das Netzwerk angemeldet haben.
왘
Terminalserverbenutzer Jeder Benutzer, der über eine Terminalserver-Sitzung auf den Computer zugreift. Diese Gruppe hat jedoch auf einem Windows XP-Computer keine Bedeutung.
Die folgenden Sicherheitsprinzipale werden auf alle Benutzer angewendet, bei denen es sich nicht um Personen handelt: 왘
Batch Eine Benutzeranmeldung kann mittels einer Batch-Datei erfolgen, beispielsweise durch den Taskplaner (Geplante Vorgänge). Mitglied dieser Gruppe ist jeder Batch-Vorgang, der auf eine Ressource auf dem Computer zugreift.
250
Sandini Bib
Verwaltung lokaler Gruppenkonten 왘
Lokaler Dienst Dienste, die lokal auf dem Computer ausgeführt werden, benötigen keine umfangreichen lokalen Privilegien und keinen authentifizierten Netzwerkzugriff. Wenn Dienste, die als „Lokaler Dienst“ ausgeführt werden, auf lokale Ressourcen zugreifen, agieren sie hierbei als Mitglieder der lokalen Benutzergruppe. Beim Zugriff auf Netzwerkressourcen werden sie als anonyme Benutzer behandelt.
왘
Netzwerkdienst Dienste, die keine umfangreichen lokalen Rechte, aber authentifizierten Netzwerkzugriff benötigen, können dieser Gruppe zugewiesen werden. Wenn Dienste, die als „Netzwerkdienst“ ausgeführt werden, auf lokale Ressourcen zugreifen, agieren sie hierbei als Mitglieder der lokalen Benutzergruppe. Für den Zugriff auf Netzwerkressourcen verwenden sie den SID des Computers.
왘
System Diese Gruppe wird vom Betriebssystem selbst für interne Zwecke verwendet und verfügt daher über umfangreiche Zugriffsrechte.
Die „Integrierten Sicherheitsprinzipale“ werden in der Gruppen- Zugriffsverwaltung nicht angezeigt, weil ihnen keine Mitglieder zugewie- steuerung sen werden können. Auch ist es nicht möglich, diese Gruppen zu löschen oder umzubenennen. Die Gruppen können jedoch verwendet werden, um z.B. Zugriff auf Ressourcen zu gewähren. Abbildung 6.15: Verwendung „Integrierter Sicherheitsprinzipale“ zur Steuerung des Zugriffs auf Ressourcen
251
Sandini Bib
6 Benutzerverwaltung
Bei einer Neuinstallation von Windows XP Professional werden die Gruppen „Authentifizierte Benutzer“ und „Interaktiv“ der Benutzergruppe hinzugefügt. Damit ist standardmäßig jeder Benutzer, der kein Administrator ist und interaktiv auf den Computer zugreift, ein Mitglied der Gruppe „Benutzer“. Das Gastkonto und anonyme Anmeldungen gehören unter Windows XP nicht zu den authentifizierten Benutzern. Diese Benutzer erhalten keinen Zugriff auf Benutzerebene über das Netzwerk. Bei der Aktualisierung eines Windows NT 4.0-Rechners auf Windows XP wird hingegen die Gruppe der interaktiven Benutzer der Gruppe „Hauptbenutzer“ hinzugefügt, weil Hauptbenutzer über die gleichen Dateisystem- und Registrierungsdatenbankberechtigungen verfügen wie Mitglieder der Gruppe „Benutzer“ unter Windows NT 4.0.
6.2.4
SID-Verwaltung bei Gruppenkonten
Genau wie Benutzerkonten werden Gruppenkonten intern durch ein SID repräsentiert. Beachten Sie hierzu die Erläuterungen in Abschnitt 6.1.4. Einige Benutzer und Gruppen finden sich in allen Systemen und verfügen über einen stets identischen SID-Wert. Hierzu gehören die vordefinierten Gruppen und die „Integrierten Sicherheitsprinzipale“. Die allgemeine Gruppe „Jeder“ hat zum Beispiel auf allen Systemen den SID 5-1-1-0 und enthält alle Benutzer des betreffenden Computers. Standard-SIDs Tabelle 6.3: Standard-SIDs
252
Die folgende Auflistung zeigt die SIDs der Gruppe „Integrierte Sicherheitsprinzipale“ und der vordefinierten lokalen Gruppen. Gruppenkonto
SID
Jeder
S-1-1-0
Ersteller/Besitzer
S-1-3-0
Erstellergruppe
S-1-3-1
Dial-In
S-1-5-1
Netzwerk
S-1-5-2
Batch
S-1-5-3
Interaktiv
S-1-5-4
Dienst
S-1-5-6
Anonymous-Anmeldung
S-1-5-7
Authentifizierte Benutzer
S-2-5-11
Sandini Bib
Verwaltung lokaler Gruppenkonten
Gruppenkonto
SID
System
S-2-5-18
Netzwerkdienst
S-1-5-20
Lokale Administratoren
S-1-5-32-544
Gäste
S-1-5-32-546
Hauptbenutzer
S-1-5-32-547
Konten-Operatoren
S-1-5-32-548
Server-Operatoren
S-1-5-32-549
Druck-Operatoren
S-1-5-32-550
Sicherungs-Operatoren
S-1-5-32-551
Replikatoren
S-1-5-32-552
Remotedesktop-Benutzer
S-1-5-32-555
Darüber hinaus können die SIDs anderer Gruppen mit dem Tool SID einer Gruppe Getsid.exe ermittelt werden, das eigentlich dazu dient, zwei SIDs ermitteln miteinander zu vergleichen.. Die Syntax hierfür ist die folgende: getsid \\server1 account \\server2 account
Um beispielsweise den SID der Gruppe „Jeder“ zu ermitteln, kann folgender Befehl verwendet werden: C:\Programme\Support Tools>getsid \\ bspserver Jeder \\ bspserver Jeder
Beispiel SIDAbfrage
SID for account NT-AUTORIT–T\Jeder matches account NTAUTORIT–T\Jeder SID for account NT-AUTORIT–T\Jeder is S-1-5-0 SID for account NT-AUTORIT–T\Jeder is S-1-5-0
6.2.5
Lokale Gruppenkonten erstellen, löschen und ändern
Die Verwaltung von Gruppen kann, wie auch die Benutzerverwaltung, mittels der Konsole LOKALE BENUTZER UND GRUPPEN erfolgen. Alternativ ist die Pflege von Gruppenkonten in der Eingabeaufforderung mit dem Befehl net localgroups möglich. Konsole LOKALE BENUTZER UND GRUPPEN Die Konsole LOKALE BENUTZER UND GRUPPEN ist als Snap-In in die COMPUTERVERWALTUNG integriert. Zu erreichen ist die COMPUTERVERWALTUNG über die Option VERWALTEN im Kontextmenü von ARBEITSPLATZ.
253
Sandini Bib
6 Benutzerverwaltung
Weiterhin kann das Snap-In durch Eingabe von lusrmgr.msc
im Ausführen-Dialogfenster geöffnet werden. In dieser Konsole können ausschließlich computerlokale Gruppen verwaltet werden. Zur Administration anderer Gruppentypen (z.B. globaler oder domänenlokaler Gruppen) muss das Snap-In ACTIVE DIRECTORY-BENUTZER UND -COMPUTER verwendet werden, das standardmäßig nur auf Domänen-Controllern verfügbar ist. Unter Windows XP können jedoch ebenfalls die Verwaltungskonsolen für Active Directory verwendet werden. Hierzu müssen die Server-Administrationswerkzeuge von der Windows 2000 Server- oder Windows Server 2003-Betriebssystem-CD-ROM installiert werden (Adminpak.exe aus dem Verzeichnis \i386). Funktionen
Im Container GRUPPEN werden alle lokalen Gruppenkonten, die in der Benutzerdatenbank des Computers gespeichert sind, aufgelistet Hier können neue Gruppenkonten hinzugefügt und bestehende Gruppen gelöscht werden. Außerdem ist die Verwaltung der Mitglieder einer Gruppe möglich. Wird eine neue Gruppe erstellt, können dieser sofort die erforderlichen Mitglieder hinzugefügt werden.
Abbildung 6.16: Erstellung eines neuen Gruppenkontos im Snap-In Lokale Benutzer und Gruppen
254
Sandini Bib
Verwaltung lokaler Gruppenkonten
Befehl Net localgroup Alle Verwaltungsaufgaben für lokale Gruppen können auch mit dem Befehl net localgroup in der Befehlseingabe erfolgen. Das Kommandozeilenprogramm Net.exe. ist in Windows XP integriert. Der Befehl net localgroup hat die folgende Syntax:
Syntax
net localgroup[Gruppenname [/comment:"Text"]][/domain] Gruppenname {/ADD [/comment:"Text"]| /DELETE} Gruppenname Name [ ...] {/ADD|/DELETE} [/DOMAIN]
Ohne Angabe von Parametern werden der Servername und die Namen der lokalen Gruppen auf dem Computer angezeigt. Eine Aufstellung aller Optionen mit einer Beschreibung ist abrufbar mit dem Befehl: net help localgroups
Die Anzeige aller Mitglieder einer lokalen Gruppe, einschließlich Beispiele der enthaltenen globalen Gruppen und der „Integrierten Sicherheitsprinzipale“, ist mit dem folgenden Befehl möglich: net localgroup %gruppenname%
Um ein neues Gruppenkonto zu erstellen, muss folgender Befehl verwendet werden: net localgroup %gruppenname% /add
Auch das Hinzufügen neuer Mitglieder zu einer lokalen Gruppe ist möglich. Bei mehreren Namen müssen die Einträge mit einem Leerzeichen getrennt werden. Als Namen können Benutzer oder globale Gruppen angegeben werden, nicht jedoch andere lokale Gruppen. Ist der Benutzer Mitglied einer anderen Domäne, muss der Domänenname dem Benutzernamen vorangestellt werden. net localgroup %gruppenname% %benutzername%/add
Entsprechend können mit der Option /delete Gruppenkonten gelöscht oder Mitglieder aus einer lokalen Gruppe entfernt werden. net localgroup %gruppenname% /delete
bzw. net localgroup %gruppenname% %benutzername%/delete
255
Sandini Bib
6 Benutzerverwaltung
6.3
Benutzerprofile im Überblick
Für jedes Benutzerkonto wird automatisch vom System ein Benutzerprofil erstellt, das alle persönlichen Daten und Einstellungen des Benutzers enthält. Das Benutzerprofil wird beim ersten Anmelden eines neuen Benutzers angelegt und später automatisch aktualisiert.
6.3.1 Benutzerprofilarten
Lokale Benutzerprofile unter Windows XP
Benutzerprofile können lokal oder auf einem Netzwerkserver gespeichert werden. Entsprechend werden verschiedene Arten von Benutzerprofilen unterschieden. 왘
Lokale Benutzerprofile Ein lokales Benutzerprofil wird beim ersten Anmelden an einem Computer erstellt. Dieses Profil wird auf der lokalen Festplatte des betreffenden Computers gespeichert. Änderungen am lokalen Benutzerprofil gelten lediglich für den Computer, an dem diese Änderungen vorgenommen wurden.
왘
Servergespeicherte Benutzerprofile Servergespeicherte Benutzerprofile (auch als Roaming Profiles oder mitwandernde Benutzerprofile bezeichnet) werden vom Systemadministrator erstellt und auf einem Server abgelegt. Ein servergespeichertes Profil steht jeweils beim Anmelden des Benutzers an einem Computer im Netzwerk zur Verfügung und wird lokal zwischengespeichert. Änderungen am Benutzerprofil erfolgen zunächst am lokalen Profil. Bei der Abmeldung wird dann das Profil auf dem Server durch das geänderte lokale Profil ersetzt.
왘
Verbindliche Benutzerprofile Ein servergespeichertes Profil kann entweder veränderbar oder verbindlich festgelegt sein. Die veränderbare Variante wird als persönliches Profil bezeichnet, die festgelegte als verbindliches Profil (Mandatory Profile). Ein verbindliches Profil ist nicht durch den Benutzer modifizierbar. Mit verbindlichen Benutzerprofilen können Einstellungen für einzelne Benutzer oder Benutzergruppen festgelegt werden. Um Änderungen an den verbindlichen Benutzerprofilen durchführen zu können, sind administrative Rechte erforderlich.
256
Sandini Bib
Benutzerprofile im Überblick
Speicherort und Inhalt lokaler Benutzerprofile Der Standardspeicherort für Profile ist das Verzeichnis %Systemdrive%\Dokumente und Einstellungen. Dieses Verzeichnis wird bei der Installation von Windows XP angelegt. Die einzelnen Benutzerprofile befinden sich jeweils in Unterverzeichnissen davon. Unter Windows NT 4.0 werden Profile im Verzeichnis %Systemroot%\Profiles gespeichert. Bei Computern, die von Windows NT 4.0 auf Windows XP aktualisiert wurden, wird das Verzeichnis %Systemroot%\Profiles beibehalten. Benutzerprofile setzen sich aus einem Ordner mit Unterverzeich- Struktur nissen zur Speicherung von Verknüpfungen und anderer Elemente und einem entsprechenden Unterschlüssel des Registrierungsdatenbank-Teilbaums HKEY_CURRENT_USER zusammen, der in der Datei NTuser.dat abgebildet wird. Abbildung 6.17: Struktur eines lokalen Benutzerprofils
257
Sandini Bib
6 Benutzerverwaltung
Die folgende Tabelle erläutert die Bestandteile des Profilordners. Es müssen jedoch nicht alle Verzeichnisse in jedem Profil vorhanden sein. Tabelle 6.4: Verzeichnisse von Benutzerprofilen
258
Unterordner des Benutzerprofils
Inhalt
Anwendungsdaten
In diesem Verzeichnis speichern die Anwendungen ihre Daten. Der Inhalt hängt von der jeweiligen Anwendung ab.
Cookies
Speicherort für Cookies, die vom Internet Explorer gespeichert werden
Desktop
Das Verzeichnis enthält alle Verknüpfungen, Symbole, Dateien und Hotkeys für den Desktop.
Druckumgebung
Enthält Verknüpfungen zu Symbolen im Druckerordner und Dateien des Windows-Drucksystems (aber keine SpoolDateien).
Eigene Dateien
Standardverzeichnis eines Benutzers für die Dialogfelder ÖFFNEN und SPEICHERN UNTER, für Sitzungen an der Eingabeaufforderung sowie für alle Programme ohne definiertes Arbeitsverzeichnis (ist in den Benutzereigenschaften ein Basisverzeichnis eingetragen, verwendet Windows XP dieses anstelle des Ordners Eigene Dateien).
Favoriten
Standardmäßig der Speicherort für die Favoriteneinträge des Internet Explorer
Lokale Einstellungen
In diesem Verzeichnis speichern (wie auch im Verzeichnis Anwendungsdaten) die Anwendungen ihre Dateien. Beispielsweise befinden sich im Unterverzeichnis Credentials die gespeicherten Anmeldeinformationen, die unter BENUTZERKONTEN verwaltet werden. Auch Outlook legt hier standardmäßig die persönlichen Postfachdateien (.pst-Dateien) ab.
Netzwerkumgebung
Das Verzeichnis enthält temporäre Verknüpfungen zu Symbolen in der Netzwerkumgebung.
SendTo
Das Verzeichnis enthält die Verknüpfungen für das Senden an-Menü im Kontextmenü von Dateien.
Sandini Bib
Benutzerprofile im Überblick
Unterordner des Benutzerprofils
Inhalt
Startmenü
In diesem Verzeichnis finden sich die persönlichen Verknüpfungen für das Startmenü des Benutzers.
UserData
Speicherort für benutzerspezifische Einstellungen für Windows XP-Systemdateien.
Vorlagen
Das Verzeichnis enthält benutzerspezifische Dokumentenvorlagen für Anwendungsprogramme.
Windows
Das Verzeichnis dient zur Speicherung benutzerspezifischer Systemdateien.
Zuletzt verwendete Dokumente
Enthält Verknüpfungen zu den zuletzt benutzten Dokumenten.
Einige der genannten Verzeichnisse, z.B. Netzwerkumgebung, Versteckte Zuletzt verwendete Dokumente und Vorlagen, sind als versteckt Ordner gekennzeichnet. Sie erscheinen nur dann im Explorer, wenn die erweiterten Einstellungen für die Ordneransicht unter EXTRAS/ ORDNEROPTIONEN/ANSICHT so konfiguriert sind, dass versteckte Dateien und Ordner angezeigt werden. Im Stammordner jedes Benutzerprofils ist die Datei NTuser.dat NTuser.dat gespeichert. Diese enthält die Registrierungsdatenbankeinträge für den benutzerspezifischen Unterschlüssel von HKEY_ CURRENT_USER auf dem lokalen Computer, über den die für den momentan angemeldeten Benutzer gültigen Einstellungen abgefragt werden können. Zusammen mit der Datei NTuser.dat beinhaltet das Benutzerprofil eine Transaktionsdatei namens NTuser.dat.log, die Veränderungen an NTuser.dat aufzeichnet und die Wiederherstellung erlaubt, wenn die Datei NTuser.dat während einer Aktualisierung beschädigt werden sollte. Default Users-Profil und All Users-Profil Neben den Benutzerprofilen für die einzelnen Benutzer existieren auf jedem Windows XP-System mindestens zwei weitere Profile: Default Users und All Users. Neue Benutzerprofile werden über eine Kopie des Standardbe- Vorlagenprofile nutzerprofils („Default User“) erstellt, das auf jedem WindowsSystem standardmäßig vorhanden ist. Dieses Profil erscheint in der Registrierungsdatenbank unter dem Schlüssel HKEY_ USERS\DEFAULT und lässt sich bei Bedarf ändern, um Benutzern eine angepasste Systemumgebung vorzugeben.
259
Sandini Bib
6 Benutzerverwaltung
Zusätzlich gibt es noch ein weiteres Standardprofil, das eine Rolle spielt, wenn kein Benutzer lokal angemeldet ist und der Anmeldedialog angezeigt wird. In diesem Fall werden die Farben, der Bildschirmhintergrund und ein eventueller Bildschirmschoner über das System-Standardprofil festgelegt, das im Verzeichnis %systemroot%\system32\config\systemprofil gespeichert ist. Alle Einträge, die im Default User-Profil erfolgen, werden nur bei der Erstellung eines neuen Profils übernommen. Bei bereits bestehenden Benutzerprofilen greifen diese Änderungen nicht. All Users
Das Profil All Users ist ein globales Profil, das Einstellungen für alle jeweils lokal angemeldeten Benutzer zur Verfügung stellt. Einträge beispielsweise im Verzeichnis Desktop von All Users erscheinen bei allen Benutzern auf dem Desktop. Das Ergebnis ist eine Kombination aus dem benutzereigenen und dem globalen Desktop. Änderungen am Profil All Users können nur durch Mitglieder der Gruppe der lokalen Administratoren erfolgen. Funktionsweise Ein lokales Profil wird immer angelegt, wenn sich ein Benutzer zum ersten Mal am System anmeldet. Wenn der Benutzer Änderungen an seiner Arbeitsumgebung vornimmt, werden diese bei der Abmeldung im Profil eingetragen. Das setzt allerdings voraus, dass dieser Benutzer das Recht hat, lokale Profile zu speichern bzw. dass es sich nicht um ein verbindliches Profil handelt. Für den Fall, dass ein Benutzer sich schon einmal angemeldet hatte, das lokale Profil aber gelöscht wurde, wird bei der nächsten Anmeldung automatisch ein neues lokales Profil angelegt. Dies gilt auch, wenn sich der Benutzer an einer Active DirectoryDomäne anmeldet. Das Löschen eines Benutzerkontos umfasst nicht das lokale Profil. Dieses muss manuell entfernt werden. Wird ein Benutzer im Active Directory gelöscht, muss auf jedem Rechner, an dem sich der Benutzer in der Vergangenheit angemeldet hatte, das lokale Profil gelöscht werden. Typischerweise werden in einer Active Directory-Domäne die Profile von Domänenbenutzern zentral als serverbasierte Profile gespeichert. Bei dem Server muss es sich nicht um einen Domänen-Controller handeln.
260
Sandini Bib
Benutzerprofile im Überblick
Um einem Benutzer ein Profil zuzuweisen, ist in den Benutzer- Arbeitsweise eigenschaften der Pfad des freigegebenen Profilverzeichnisses serverbasierter Profile einzutragen. Bei der Anmeldung an einem zur Domäne gehörenden Rechner wird dieses Profil als Vorlage für das lokale Benutzerprofil verwendet. Dazu wird das servergespeicherte Profil bei der Anmeldung auf die Arbeitsstation übertragen. Änderungen erfolgen während der Arbeitssitzung nur an dem lokal zwischengespeicherten Profil. Erst bei der Abmeldung wird das nun geänderte Profil auf den Server übertragen und überschreibt das dort gespeicherte. Bei der nächsten Anmeldung am gleichen lokalen System wird die lokale Kopie des Benutzerprofils herangezogen, mit dem servergespeicherten Profil verglichen und gegebenenfalls synchronisiert. Mit der lokalen Speicherung wird sichergestellt, dass sich Benutzer auch dann anmelden können, wenn der Domänen-Controller bei der Anmeldung nicht verfügbar ist. Ging auf dem System das lokale Profil verloren, wird wiederum auf das zentrale Profil zurückgegriffen. Auch lokalen Benutzerkonten können servergespeicherte Profile Serverbasierte für lokale zugewiesen werden. Hierzu muss in den Benutzereigenschaften Profile Benutzer FAD FÜR ENUTZERPROFIL B der UNC-Pfad zum Verzeichnis unter P eines vorher angelegten Benutzerprofils eingetragen werden. Abbildung 6.18: Konfiguration eines servergespeicherten Benutzerprofils
Im Dialogfenster BENUTZERPROFILE kann überprüft werden, ob Profiltyp ändern das serverbasierte Profil verwendet wird. Außerdem ist es möglich, den Anmeldetyp für das Benutzerprofil temporär zu ändern. Gehen Sie dazu folgendermaßen vor: 1. Öffnen Sie die Registerkarte BENUTZERPROFILE. Sie finden diese unter START/EINSTELLUNGEN/SYSTEMSTEUERUNG/SYSTEM/ERWEITERT.
261
Sandini Bib
6 Benutzerverwaltung
2. Wählen Sie die Option TYP ÄNDERN, um den Anmeldetyp für das Profil auszuwählen. Abbildung 6.19: Anmeldetyp für ein serverbasiertes Profil festlegen
6.3.2
Administration von Benutzerprofilen
Benutzerprofile erfüllen unter Windows XP eine Reihe von Funktionen und haben nichts mehr gemein mit den Profilen früherer Windows–Versionen, bei denen sie lediglich zum Speichern einiger Desktop-Einstellungen für die Benutzer dienten. Entsprechend komplex sind die administrativen Aufgaben, die im Rahmen der Benutzerprofilverwaltung zu bewältigen sind. Im Folgenden werden wichtige Aspekte zur Konfiguration und zur Optimierung vorgestellt. Das Verzeichnis „Eigene Dateien“ administrieren Große Benutzerprofile können dazu führen, dass die Anmeldung sehr lange dauert. Dies ist eines der häufigsten Probleme beim Einsatz servergespeicherter Profile. Werden beispielsweise Multimediadateien wie standardmäßig vorgesehen im Verzeichnis Eigene Dateien gespeichert, kann das Profil schnell einige Gigabyte groß werden. Um diesem Problem zu begegnen, gibt es zwei Möglichkeiten: Zum einen kann das Verzeichnis Eigene Dateien an einen anderen Speicherort verschoben werden und zum anderen kann anstelle des Verzeichnisses Eigene Dateien ein Basisverzeichnis verwendet werden.
262
Sandini Bib
Benutzerprofile im Überblick
1. Um den Speicherort für das Verzeichnis Eigene Dateien zu ver- Eigene Dateien schieben, öffnen Sie das Eigenschaftendialogfenster über das verschieben Kontextmenü des Symbols Eigene Dateien. 2. Geben Sie ein Verzeichnis an, das nicht Bestandteil des Profilordners ist. Hierbei kann es sich um ein lokales Verzeichnis oder um ein Verzeichnis auf einem Netzlaufwerk handeln. Abbildung 6.20: Den Speicherort für den Ordner Eigene Dateien ändern
In einem Unternehmensnetzwerk ist es in der Regel sinnvoller, stattdessen Basisverzeichnisse zu konfigurieren. Ein zugewiesenes Basisverzeichnis kann ein lokaler Ordner oder ein freigegebener Ordner im Netzwerk sein. Dieser kann einem einzelnen Benutzer oder vielen Benutzern zugewiesen werden. Wenn ein Benutzer versucht, eine Datei zu speichern oder zu öffnen, wird von den meisten Programmen ermittelt, ob der Basisordner oder der Ordner Eigene Dateien verwendet werden soll. Ist ein Basisordner zugeordnet, benutzen die Programme diesen beim Öffnen oder beim Speichern von Dateien und ignorieren den Ordner Eigene Dateien. Die Zuweisung eines Basisordners ist möglich in den Benutzereigenschaften, wie in Abbildung 6.20 dargestellt. Ein angepasstes Default User-Profil verwenden Neue Benutzerprofile werden als Kopie des Standardbenutzerprofils („Default User“) erstellt, das auf jedem Windows-System standardmäßig vorhanden ist. Es ist aber auch möglich, ein unternehmensspezifisch angepasstes Profil als Vorlage zur Verfügung zu stellen. Wird nun aber ein entsprechend konfiguriertes Profil, das alle Profilvorlage gewünschten Einstellungen beinhaltet, „einfach“ im Windows erstellen Explorer mit Standardwerkzeugen kopiert, kommt es zu Problemen. In diesem Fall werden auch die Besitzerrechte nur kopiert und der neue Benutzer hat keinen Zugriff auf das Profil.
263
Sandini Bib
6 Benutzerverwaltung Benutzerprofil kopieren
Um ein vorkonfiguriertes Profil als Standardbenutzerprofil verfügbar zu machen, ist vielmehr wie nachstehend gezeigt zu verfahren. 1. Erstellen Sie im Administratorkontext das gewünschte angepasste Benutzerprofil. 2. Öffnen Sie die Registerkarte BENUTZERPROFILE. Sie finden diese unter START/EINSTELLUNGEN/SYSTEMSTEUERUNG/SYSTEM/ ERWEITERT. 3. Markieren Sie das zuvor erstellte Benutzerprofil, das als Standardprofil fungieren soll. 4. Wählen Sie die Option KOPIEREN NACH und tragen Sie den UNC-Namen des Verzeichnisses ein, in das das neue Standardprofil kopiert werden soll. 5. Um alle Benutzer zu berechtigen, dieses Profil zu verwenden, ist es erforderlich, den Benutzereintrag zu ändern. Wählen Sie hierzu die Option ÄNDERN und tragen Sie die Gruppe der „Authentifizierten Benutzer“ ein. Dieser letzte Schritt ist wichtig. Nur damit ist es möglich, das Profil allen Benutzern als Vorlage zuzuweisen.
Abbildung 6.21: Benutzerprofile kopieren
Der beschriebene Weg kann auch zur Erstellung eines einzelnen neuen Profils auf der Grundlage eines vorhandenen Profils angewendet werden. Als Benutzer ist in diesem Fall der neue Benutzer einzutragen.
264
Sandini Bib
Benutzerprofile im Überblick
Benutzerprofile mittels Gruppenrichtlinien verwalten Zur Administration von Benutzerprofilen gibt es einige sehr nützliche Gruppenrichtlinien. Diese sind in einer Active Directorybasierten Umgebung im Gruppenrichtlinienobjekt der Domäne zu finden und können dort zur Steuerung von Benutzerprofilen auf der Ebene der gesamten Domäne oder von Standorten bzw. Organisationseinheiten eingesetzt werden. Als lokale Gruppenrichtlinien erlauben sie die Vorgabe von Einstellungen, die auf die lokalen Benutzerprofile Anwendung finden. Zur Konfiguration von lokalen Gruppenrichtlinien zur Steuerung Lokales Gruppenrichtlinienobjekt von Benutzerprofilen gehen Sie wie folgt vor: 1. Öffnen Sie durch Eingabe von gpedit.msc im Ausführen-Dialogfenster das Snap-In GRUPPENRICHTLINIE ZUR VERWALTUNG LOKALER GRUPPENRICHTLINIEN. Um das Gruppenrichtlinienobjekt öffnen zu können, sind administrative Rechte erforderlich.
Abbildung 6.22: Gruppenrichtlinien zur Verwaltung von Benutzerprofilen
265
Sandini Bib
6 Benutzerverwaltung
Wählen Sie unter COMPUTERKONFIGURATION bzw. BENUTZERKONFIGURATION/ADMINISTRATIVE VORLAGEN/SYSTEM den Container BENUTZERPROFILE. Abhängig von der zu konfigurierenden Richtlinie ist diese entweder im Bereich COMPUTER oder BENUTZER zu finden. Die wichtigsten Gruppenrichtlinien zur Administration von Benutzerprofilen werden nachstehend kurz vorgestellt. Profilgröße beschränken Profilgröße
Standardmäßig besteht keine Größenbeschränkung für Benutzerprofile. Diese Richtlinie legt die maximale Größe von Benutzerprofilen fest und bestimmt das Verhalten des Systems, wenn Benutzerprofile die maximale Größe erreichen. Konfigurierbar sind die folgenden Optionen: 왘
Meldung, die die Benutzer beim Erreichen der definierten Größenbeschränkung erhalten, sofern diese Option aktiviert ist
왘
Maximal erlaubte Benutzerprofilgröße
왘
Festlegen, ob die Registrierungsdatenbankdateien bei der Berechnung der Profilgröße mit einberechnet werden
왘
Festlegen, ob und wie häufig Benutzer beim Überschreiten der Profilgrößenbeschränkung benachrichtigt werden sollen
Verzeichnisse aus dem serverbasierten Profil ausschließen Verzeichnisse ausschließen
Mit Hilfe dieser Richtlinie können einzelne Ordner aus dem servergespeicherten Profil herausgenommen werden. Dies hat den Vorteil, dass das lokale Profil zwar recht groß werden kann, das zum Server übertragene Profil aber trotzdem klein und schnell ladbar bleibt. Ausgeschlossene Ordner werden auch nicht auf die Computer übertragen, die die Benutzer verwenden. Standardmäßig werden bereits die folgenden Ordner aus dem servergespeicherten Profil herausgenommen: 왘
Lokale Einstellungen (dieser Ordner beinhaltet auch die persönlichen Postfachdateien unter %Systemroot\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook)
왘
Temporäre Internetdateien
왘
Verlauf
왘
Temp
Vom Administrator können zusätzlich Ordner ausgeschlossen werden. Hierzu müssen die Richtlinie aktiviert und die auszuschließenden Verzeichnisse eingetragen werden. Die einzelnen Einträge in der Liste müssen jeweils durch ein Semikolon getrennt werden.
266
Sandini Bib
Benutzerprofile im Überblick
Zwischengespeicherte Kopien von servergespeicherten Profilen löschen Bei der Anmeldung an einem zur Domäne gehörenden Rechner wird das servergespeicherte Profil auf den lokalen Computer übertragen. Änderungen erfolgen während der Arbeitssitzung nur an dem lokal zwischengespeicherten Profil. Erst bei der Abmeldung wird das nun geänderte Profil auf den Server übertragen und überschreibt das dort gespeicherte Profil. Standardmäßig wird eine Kopie des servergespeicherten Benutzerprofils bei der Benutzerabmeldung auf der Festplatte des Computers gespeichert, falls der Server, auf dem das Profil gespeichert wird, beim nächsten Neustart des Computers nicht verfügbar ist. Wird diese Richtlinie aktiviert, werden sämtliche Kopien des servergespeicherten Benutzerprofils bei der Benutzerabmeldung gelöscht. Das servergespeicherte Benutzerprofil wird aber weiterhin auf dem Server gespeichert. Diese Einstellung ist beispielsweise sinnvoll für Windows XPRechner, an denen sich viele Benutzer immer nur kurzfristig anmelden. Allerdings darf diese Einstellung nicht bei Verwendung langsamer Verbindungen (beispielsweise bei Fernzugriffen) aktiviert werden, wenn Windows XP Professional so konfiguriert ist, dass langsame Verbindungen ermittelt werden. In diesem Fall ist eine lokale Kopie des servergespeicherten Benutzerprofils erforderlich. Langsame Netzwerkverbindungen nicht erkennen Die Erkennung von langsamen Verbindungen misst die Geschwindigkeit der Verbindung zwischen dem Computer des Benutzers und dem Remoteserver, auf dem das servergespeicherte Benutzerprofil gespeichert wird. Standardmäßig wird eine Verbindung mit weniger als 64 KBit/s als langsame Verbindung behandelt (der Wert kann aber mittels Richtlinie geändert werden). Bei Erkennung einer langsamen Verbindung wird als Standard eine lokale Kopie des Benutzerprofils geladen. Ist diese Richtlinie aktiviert, prüft das System nicht mehr, ob eine langsame Verbindung vorliegt, und ignoriert Einstellungen, die die Systemreaktion bei langsamen Verbindungen festlegen.
267
Sandini Bib
6 Benutzerverwaltung
Zeitlimit für langsame Verbindungen für Benutzerprofile Mit dieser Richtlinie können Schwellenwerte definiert werden, wann eine Verbindung als langsame Verbindung für servergespeicherte Benutzerprofile behandelt wird. Festlegbar sind Schwellenwerte für zwei unterschiedliche Tests: 왘
Der Wert VERBINDUNGSGESCHWINDIGKEIT definiert die Rate, in der der Remoteserver Daten nach einer IP-Ping-Nachricht wiedergibt. Hier kann ein Wert zwischen 0 und 4.294.967.200 eingetragen werden. Diese Zahl bestimmt die minimale zugelassene Übertragungsrate in KB/s. Standardmäßig wird eine Verbindung als langsam erkannt, wenn der Server Daten von weniger als 500 KB/s wiedergibt.
왘
Der Wert ZEIT definiert die maximale zugelassene Verzögerung in Millisekunden für Computer, die nicht mit einem IP-Netzwerk verbunden sind. Die Reaktionszeit wird in diesem Fall über das Dateisystem des Remoteservers gemessen. Zulässig ist ein Wert zwischen 0 und 20.000. Standardmäßig wird eine Verbindung als langsam erkannt, wenn das Dateisystem des Remoteservers nicht innerhalb von 120 Millisekunden reagiert.
Diese Richtlinie wird ignoriert, wenn die Einstellung LANGSAME NETZWERKVERBINDUNGEN NICHT ERKENNEN und/oder die Richtlinie ZWISCHENGESPEICHERTE KOPIEN VON SERVERGESPEICHERTEN PROFILEN LÖSCHEN aktiviert ist, weil damit kein lokales Profil für die Anmeldung verfügbar ist. Benutzer bei langsamen Verbindungen zum Bestätigen auffordern Standardmäßig wird der Benutzer nicht benachrichtigt, wenn eine Verbindung als langsame Verbindung erkannt wird. Ist diese Richtlinie aktiviert, bekommt er ein Auswahl-Dialogfenster angezeigt, in dem er festlegen kann, ob die lokale Kopie des Benutzerprofils verwendet werden soll oder ob er auf sein servergespeichertes Benutzerprofil warten möchte. Die Richtlinie wird ignoriert, wenn die Einstellung LANGSAME NETZWERKVERBINDUNGEN NICHT ERKENNEN und/oder die Richtlinie ZWISCHENGESPEICHERTE KOPIEN VON SERVERGESPEICHERTEN PROFILEN LÖSCHEN aktiviert ist, weil damit kein lokales Profil für die Anmeldung verfügbar ist.
268
Sandini Bib
Benutzerprofile im Überblick
Benutzer bei Fehlschlag des servergespeicherten Profils abmelden Standardmäßig versucht Windows XP, die lokale Kopie des servergespeicherten Benutzerprofils und – wenn nicht vorhanden – das Standardbenutzerprofil, welches unter %Systemroot%\ Dokumente und Einstellungen\Default User gespeichert ist, zu laden, wenn das servergespeicherte Benutzerprofil des Benutzers nicht gefunden werden kann oder das Profil fehlerhaft ist und daher nicht ordnungsgemäß geladen wird. Bei aktivierter Richtlinie wird der Benutzer automatisch abgemeldet, wenn das servergespeicherte Profil nicht geladen werden kann. Maximale Wiederholungsversuche zum Aktualisieren eines Benutzerprofils Wenn sich ein Benutzer vom Computer abmeldet, wird der benutzerspezifische Teil der Registrierungsdatenbank (HKEY_ CURRENT_USER) in der Datei (Ntuser.dat) geladen und die Datei wird aktualisiert. Das System kann jedoch diesen Teil der Registrierungsdatenbank nicht in die Datei laden, wenn zeitgleich ein anderes Programm oder ein anderer Dienst aus der Registrierungsdatenbank liest oder diese bearbeitet. Das System wiederholt diesen Vorgang (einmal pro Sekunde) standardmäßig 60 Mal. Durch Aktivieren dieser Richtlinie und Konfiguration der Einstellung kann die Anzahl der Wiederholungsversuche zum Aktualisieren der benutzerspezifischen Registrierungsdatenbankeinstellungen verändert werden. Wenn die in dieser Einstellung festgelegte Anzahl erreicht wurde, werden keine weiteren Versuche durchgeführt. In diesem Fall ist das Benutzerprofil jedoch möglicherweise nicht aktuell bzw. das lokale und das servergespeicherte Benutzerprofil stimmen nicht überein. Eine Erhöhung des Wertes kann bei Verwendung der Terminaldienste wichtig sein. Da durch die Terminaldienste die Registrierungsdatenbankeinstellungen der Benutzer während der Benutzerabmeldung bearbeitet werden, kommt es häufig vor, dass die ersten Entladungsversuche der Benutzereinstellungen fehlschlagen. Sicherheitsgruppe „Administratoren“ zu servergespeichertem Profil hinzufügen Für neu erstellte Profile sind unter Windows XP Professional die Standarddateiberechtigungen für Benutzer auf „Vollzugriff“ und für Administratoren auf „Keinen Zugriff“ festgelegt, d.h. nur Benutzer haben Vollzugriff auf ihr eigenes Profil und Administra-
269
Sandini Bib
6 Benutzerverwaltung
toren haben keinen Zugriff auf diesen Ordner. Allerdings bleibt davon das Recht der Administratoren unberührt, den Besitz des Ordners zu übernehmen und sich anschließend Dateiberechtigungen zu geben. Wenn diese Gruppenrichtlinie aktiviert ist, wird der Gruppe „Administratoren“ ebenfalls Vollzugriff auf den Profilordner eines Benutzers gegeben und die Gruppe „Administratoren“ wird zur Freigabe der servergespeicherten Benutzerprofile hinzugefügt. Die Einstellungen wirken sich aber nur auf neue Profile aus, auf bereits bestehende haben sie keine Auswirkungen. Nur lokale Profile zulassen Standardmäßig wird, wenn sich ein Benutzer mit einem servergespeicherten Profil an einem Computer anmeldet, dieses Profil auf den lokalen Computer kopiert bzw. gegebenenfalls mit einem bereits vorhandenen lokalen Profil synchronisiert. Bei der Abmeldung des Benutzers wird dann das servergespeicherte Profil aktualisiert. Mit dieser Richtlinie kann verhindert werden, dass Benutzer, die normalerweise ein servergespeichertes Profil verwenden, dieses Profil (auf dem Computer, auf dem die Richtlinie aktiviert wurde) erhalten. In diesem Fall erhält der Benutzer bei der ersten Anmeldung ein neues lokales Profil und nicht das servergespeicherte Profil. Bei der Abmeldung werden Änderungen im lokalen Profil gespeichert. Bei allen weiteren Anmeldungen wird das lokale Profil verwendet. Windows Installer und GruppenrichtliniensoftwareInstallationsdaten belassen Standardmäßig werden beim Löschen eines Benutzerprofils alle Informationen bezüglich eines servergespeicherten Benutzers (dies schließt die Benutzereinstellungen und die Windows Installer-bezogenen Daten ein) gelöscht. Dadurch müssen bei einer erneuten Anmeldung alle Anwendungen, die über eine Anmelderichtlinie veröffentlicht wurden, erneut installiert werden, was die Anmeldezeit verlängert. Bei aktivierter Richtlinie werden die Windows Installer- und/oder die Gruppenrichtlinien-Softwareinstallationsdaten für servergespeicherte Benutzer beim Löschen des Profils auf dem Computer nicht gelöscht. In diesem Fall sind lokale Administratorrechte erforderlich, um die Windows Installer- oder Gruppenrichtlinien-Softwareinstallationsdaten zu entfernen.
270
Sandini Bib
7
Datenträger und Dateisystem Dr. Holger Schwichtenberg
Dieses Kapitel beschäftigt sich mit der persistenten Speicherung von Daten auf Datenträgern. Behandelt werden dabei u.a. Datenträgertypen, Partitionen, Dateisystemtypen, Berechtigungen, Freigaben, Laufwerkspflege, Dateisystemverschlüsselung, Datenträgerkontingente und Indizierung.
7.1
Datenträger
Die Verwaltung der Datenträger erfolgt unter Windows XP im DatenträgerMMC-Snap-In DATENTRÄGERVERWALTUNG, das auch Teil der verwaltung MMC COMPUTERVERWALTUNG ist (Ast DATENSPEICHER).
Abbildung 7.1: Datenträgerverwaltung mit der MMC
271
Sandini Bib
7 Datenträger und Dateisystem
7.1.1 Vergleich der Datenträgertypen
Basisdatenträger vs. dynamische Datenträger
Partitionen sind ein Mechanismus zur Aufteilung von Festplatten in verschiedene Bereiche. Eine Partition erscheint in Windows XP in der Regel als ein eigenständiges Laufwerk. Windows XP unterstützt zur Aufteilung von Festplatten in Partitionen zwei verschiedene Mechanismen: 왘
Basisdatenträger
왘
Dynamische Datenträger
Dynamische Datenträger sind die neuere und flexiblere Form; allerdings werden sie nur ab Windows 2000 unterstützt. Sofern ein Multi-Boot-System mit älteren Windows-Versionen zum Einsatz kommt, können dynamische Datenträger nicht verwendet werden. Tabelle 7.1: Vergleich der Datenträgertypen
Basisdatenträger
Dynamische Datenträger
Partitionsarten
Primäre Partition Erweiterte Partition Logische Laufwerke
Startpartition Systempartition Weitere Partitionen
Anzahl der Betriebssysteme pro Festplatte
Eins pro Partition
Eins pro Laufwerk
Nachträgliche Vergrößerung
Nein
Ja (außer System- und Startpartition)
Zusammenfassung Nein von Speicher aus mehreren Laufwerken
Ja (Übergreifender Datenträger oder Stripe Set)
Umwandlung ohne Datenverlust
Ja
Nein
Zugriff von anderen Betriebssystemen in Multi-Boot-Systemen
Ja
Eingeschränkt (Windows 2000, Windows XP und Windows Server 2003)
Unterstützung für Redundanz (RAID)
Nein
Nein (nur Windows 2000 Server und Windows Server 2003)
Microsoft nennt die Partitionen auf einem dynamischen Datenträger in der deutschen Übersetzung auch „Volume“. Dieser schlechten Übersetzung möchten sich die Autoren dieses Buches nicht anschließen. In diesem Buch wird der etablierte Begriff „Partition“ verwendet.
272
Sandini Bib
Datenträger
Ob dynamische Datenträger überhaupt erlaubt sind, hängt von Erlaubnis für folgendem Registrierungsdatenbank-Eintrag ab: HKEY_LOCAL_ dynamische MACHINE\SYSTEM\CurrentControlSet\Services\dmload\Start
Datenträger
Der Wert 0 bedeutet, dass dynamische Datenträger erlaubt sind. 4 heißt, dass sie nicht erlaubt sind. Sie können diesen Wert mit dem Registry-Editor verändern. Nachträgliche Umwandlung Ein Basisdatenträger kann nachträglich ohne Datenverlust in einen dynamischen Datenträger verwandelt werden. Ein dynamischer Datenträger kann nur in einen Basisdatenträger verwandelt werden, indem alle Partitionen gelöscht werden. Dabei würden alle Daten verloren gehen. Die Umwandlung erfolgt in dem MMC-Snap-In DATENTRÄGERVERWALTUNG im Kontextmenü eines Laufwerks durch den Eintrag IN DYNAMISCHEN DATENTRÄGER VERWANDELN bzw. IN BASISDATENTRÄGER VERWANDELN.
7.1.2
Verwaltung von Partitionen
Die nachstehende Tabelle zeigt, welche Verwaltungstätigkeiten Partitionsauf Partitionen in Abhängigkeit vom Datenträgertyp erlaubt sind. verwaltung Alle Verwaltungstätigkeiten führt man in der MMC DATENTRÄGERVERWALTUNG im Kontextmenü der angezeigten Partitionen bzw. eines leeren Festplattenbereichs aus.
Ändern des Laufwerkbuchstabens einer bestehenden Partition
Basisdatenträger
Dynamische Datenträger
Ja
Ja
Formatieren
Ja
Ja
Löschen
Ja
Ja
Laufwerk erweitern
Nein
Ja
Partition anlegen
Ja
Ja
Tabelle 7.2: Verwaltungsoptionen für Partitionen in der MMC
Partition auf einem Basisdatenträger anlegen Beim Anlegen einer Partition auf einem Basisdatenträger bietet Partition anlegen der Assistent folgende Optionen: 왘
Primäre Partition
왘
Erweiterte Partition
왘
Logisches Laufwerk
273
Sandini Bib
7 Datenträger und Dateisystem
Ein Basisdatenträger kann maximal vier Partitionen enthalten. Sofern mehr Partitionen gewünscht sind, muss als Hilfskonstrukt die erweiterte Partition verwendet werden. Eine erweiterte Partition ist ein Rahmen für eine beliebige Anzahl von logischen Laufwerken, die jeweils im Windows Explorer als eigene Laufwerke erscheinen. Um sechs Partitionen anzulegen, muss man also Folgendes erzeugen: 왘
eine primäre Partition und eine erweiterte Partition mit fünf logischen Laufwerken
왘
oder
왘
zwei primäre Partitionen und eine erweiterte Partition mit vier logischen Laufwerken
왘
oder
왘
drei primäre Partitionen und eine erweiterte Partition mit drei logischen Laufwerken
Anzahl der primären Partitionen Sofern Sie Multi-Boot-Systeme einsetzen, in denen auch noch DOS, Windows 95, Windows 98 oder Windows ME zum Einsatz kommen, dürfen Sie maximal eine primäre Partition verwenden. Weitere primäre Partitionen sind für die älteren Betriebssysteme nicht sichtbar. Partition auf einem dynamischen Datenträger anlegen Dynamische Partition anlegen
Beim Anlegen einer neuen Partition auf einem dynamischen Datenträger (Kontextmenüeintrag NEUES VOLUME in einem freien Bereich auf einem dynamischen Datenträger) erscheint ein Assistent, der drei Optionen bietet: 왘
Einfache Partition: Die Partition existiert nur auf einem Datenträger.
왘
Übergreifende Partition: Die Partition soll freien Speicher mehrerer Datenträger zusammenfassen.
왘
Stripe Set: Die Partition soll freien Speicher von zwei Datenträgern zusammenfassen und dabei eine Anordnung wählen, die einen optimierten Zugriff auf die Daten ermöglicht.
Ob eine Partition Start- oder Systempartition wird, muss nicht konfiguriert werden. Diese Eigenschaften werden bei der Installation des Betriebssystems gesetzt. Die erste Partition der ersten Platte ist die Startpartition. Eine Partition, auf der ein Betriebssystem installiert wird, ist eine Systempartition. Jeder dynamische Datenträger kann maximal eine Systempartition enthalten.
274
Sandini Bib
Datenträger
Hinweise zum Stripe Set Die Option Stripe Set wirkt sich dann spürbar positiv auf die Leistung aus, wenn die Datenträger an verschiedenen Festplatten-Controllern angeschlossen sind. Bei einem Stripe Set müssen die Speicherbereiche auf den beiden Festplatten gleich groß sein. Ist diese Bedingung nicht erfüllt, kann von dem größeren Teil nur der Teil verwendet werden, der der Größe des kleineren Speicherbereichs entspricht, d.h. es geht Speicherplatz verloren. Dynamische Partitionen vergrößern Durch die Funktion LAUFWERK ERWEITERN kann man eine Partition auf einem dynamischen Datenträger nachträglich vergrößern. Dabei kann man in einem Assistenten sowohl Speicherbereich auf dem gleichen Datenträger als auch auf einem anderen Datenträger hinzufügen.
7.1.3
Leistungsoptionen
Windows XP bietet zwei Optionen zur Leistungsverbesserung für Datenträger: 왘
Zwischenspeicherung
왘
Unterstützung für Direct Memory Access (DMA)
Zwischenspeicherung Windows XP verwendet für den Zugriff auf Datenträger ein Zwi- Zwischenspeicherung schenspeicherungsverfahren (Caching): 왘
Lese-Zwischenspeicher: Beim Lesen werden immer „vorsorglich“ mehr Daten von der Festplatte gelesen und in dem Zwischenspeicher verwahrt, sodass diese schneller bereitstehen, wenn sie angefordert werden.
왘
Schreib-Zwischenspeicher Beim Schreiben werden die Daten zunächst im Zwischenspeicher gesammelt und erst auf den Datenträger geschrieben, wenn das System nicht ausgelastet ist.
275
Sandini Bib
7 Datenträger und Dateisystem
Gefahr beim Schreib-Zwischenspeicher Der Schreib-Zwischenspeicher kann bei entnehmbaren Medien (z.B. USB-Stick) gefährlich sein, weil das Medium entnommen werden könnte, bevor die Daten gesichert sind. Während ältere Windows-Versionen deshalb immer eine Funktion zum „Sicheren Entfernen“ eines entnehmbaren Mediums anboten, kann in Windows XP über die Einstellungen eines Laufwerks im Gerätemanager der Schreib-Zwischenspeicher deaktiviert werden. Normalerweise erkennt Windows XP automatisch den Datenträgertyp und wählt die richtige Option aus.
Abbildung 7.2: Einstellung des Schreib-Zwischenspeichers für eine Festplatte
Abbildung 7.3: Einstellung des Schreib-Zwischenspeichers für einen USB-Stick
276
Sandini Bib
Dateisystemtypen
Direct Memory Access (DMA) Direct Memory Access (DMA) ist eine Funktion moderner Fest- DMA platten, mit denen diese direkt ohne Nutzung des Mikroprocessors auf den Hauptspeicher zugreifen können. DMA wird von Windows XP unterstützt, sofern alle Geräte an einem Bus DMA unterstützen. Im Gerätemanager (siehe folgende Abbildung) kann man nachsehen, ob DMA aktiviert ist. Sofern ein Gerät an einem Bus ein anderes daran hindert, den DMA-Modus zu nutzen, sollten Sie in Erwägung ziehen, die Zuordnung der Geräte zu den Bussen zu ändern.
Abbildung 7.4: DMA-Einstellungen für einen IDE-Bus
7.2
Dateisystemtypen
Windows XP unterstützt folgende Dateisystemtypen: 왘
FAT, FAT32 und NTFS für Festplatten
왘
CDFS und UDF für CD- und DVD-Laufwerke
7.2.1
Dateisystemtypvergleich
Dateisystemtypen im Vergleich
Die folgende Tabelle zeigt den Vergleich von FAT und NTFS. Außer im Fall von Multi-Boot-Systemen mit Windows 95, Windows 98 oder Windows ME sollte man immer NTFS einsetzen. Der Hauptnachteil von FAT/FAT32 ist die fehlende Möglichkeit, Berechtigungen auf Dateisystemelemente zu vergeben.
277
Sandini Bib
7 Datenträger und Dateisystem Tabelle 7.3: Vergleich der Dateisystemtypen
FAT/FAT32
NTFS
Cluster-Größen
1 KB bis 64 KB (FAT) 512 Byte bis 16 KB (FAT32)
512 Byte bis 4 KB
Maximale Datenträgergröße
2 GB (FAT) 32 GB (FAT32)
2 TB
Maximale Dateigröße
2 GB (FAT) 4 GB (FAT32)
Unbegrenzt
Maximale Dateianzahl
65524 (FAT) 4 Millionen (FAT32)
4 Milliarden
Cluster-Größe abhängig von Datenträgergröße
Ja
Ja
Cluster-Größe frei wähl- Nein bar bei Formatierung
Ja
Zugriffsrechte auf Ordner und Dateien
Nein
Ja
Automatische Sicherungskopie des BootSektors
Nein
Ja
Komprimieren von Dateien
Nein
Ja
Verschlüsselung
Nein
Ja
Zusammenbinden von Laufwerken (Mount Points)
Nein
Ja
Zugriff von anderen Betriebssystemen in Multi-Boot-Systemen
Ja
Eingeschränkt (nur NT 4.0, Windows 2000, Windows XP und Windows Server 2003)
7.2.2 Partition formatieren
Formatieren
Die Formatierung einer Partition kann man auf folgende Weise vornehmen: 왘
Kontextmenüeintrag FORMATIEREN im Kontextmenü eines Laufwerks im Windows Explorer
왘
Aufruf von Format.exe an der Kommandozeile
Bei der Formatierung ist der Dateisystemtyp anzugeben.
278
Sandini Bib
Dateisystemtypen
Schnellformatierung Sowohl der Windows Explorer als auch format.exe (Option /Q) bieten die so genannte Schnellformatierung. Bei der Schnellformatierung findet keine Oberflächenprüfung statt, d.h. fehlerhafte Teile der Festplatten würden erst im laufenden Betrieb auffallen. Die Schnellformatierung ist aber wesentlich schneller als die normale Formatierung. Abbildung 7.5: Kommandozeilenparameter von format.exe
7.2.3
Konvertieren
Sofern man als Dateisystem beim Formatieren trotz der Nachteile Konvertieren FAT oder FAT32 gewählt hat, kann man das Dateisystem nach- von FAT zu NTFS träglich noch auf NTFS umstellen – ohne Datenverlust. Allerdings ist keine Rückumstellung ohne Neuformatierung nach FAT/ FAT32 möglich. Zum Umstellen des Dateisystems auf NTFS verwendet man das Kommandozeilenwerkzeug convert.exe: convert.exe d: /fs:ntfs
279
Sandini Bib
7 Datenträger und Dateisystem
Es kann sein, dass Windows die Umstellung nicht sofort, sondern erst beim nächsten Neustart des Systems vornimmt, wenn auf dem Laufwerk Dateien in Benutzung sind. Die nachträgliche Umstellung eines Laufwerks auf NTFS führt zu weniger optimalen Ergebnissen im Vergleich zur direkten Formatierung mit NTFS. Wenn Sie eine Partition, auf der ein Betriebssystem installiert ist, nachträglich in NTFS umwandeln, fehlen auch nach der Umwandlung die Berechtigungen auf den Betriebssystemordnern, da diese bei der Installation in FAT/FAT32 nicht gespeichert werden konnten. Dazu müssen Sie das Betriebssystem neu installieren.
7.3 Dateisystemelemente
Dateisystemaufbau
In Windows besteht ein Dateisystem aus folgenden zentralen Elementen: 왘
Laufwerke
왘
Ordner (alias: Verzeichnisse), die Dateien oder Unterordner enthalten
왘
Dateien
왘
Verknüpfungen zu Dateien und Ordnern
7.3.1
Verknüpfungen (Links)
Während die Grundelemente Laufwerke, Ordner und Dateien in einem Profibuch nicht weiter erläutert werden müssen, verdienen die Verknüpfungen eine nähere Betrachtung, da Windows XP zwei Formen von Verknüpfungen kennt: weiche und harte Verknüpfungen. Weiche Verknüpfungen ind die Windows-Dateisystemverknüpfungen, die man mit dem Windows Explorer durch die Kontextmenüfunktion VERKNÜPFUNG ERSTELLEN erzeugen kann. Harte Verknüpfungen bietet nur das NTFS-Dateisystem mit Hardlinks und Junction Points. Der Windows Explorer unterstützt in seiner Grundausstattung nur das Anlegen weicher Links. Weiche Links mit .lnk-Dateien VerknüpfungsDateien
280
Seit Windows 95 unterstützt der Windows Explorer Verknüpfungen im Dateisystem durch .lnk-Dateien. .lnk-Dateien enthalten als Verknüpfungsziel entweder eine Datei oder ein Verzeichnis. Sie werden im Windows Explorer erstellt durch die Kontextmenü-
Sandini Bib
Dateisystemaufbau
funktionen VERKNÜPFUNG ERSTELLEN oder NEU/VERKNÜPFUNG. Windows zeigt die Dateiextension von .lnk-Dateien nicht an. Stattdessen sieht man im Windows Explorer das Icon des Zielobjekts mit einem Pfeil. Ein Doppelklick leitet den Windows Explorer oder einen Datei-Dialog, der .lnk-Dateien unterstützt, zum Ziel. Leider gibt es drei gravierende Nachteile bei auf .lnk-Dateien basierenden Links: 왘
Der Windows Explorer zeigt Verknüpfungen zu Ordnern nicht in der Ordnerhierarchie (links) an, sondern sortiert sie in die Dateiliste (rechts) ein.
왘
Die Verknüpfungen funktionieren nicht an der Kommandozeilenebene.
왘
Windows verfolgt das Ziel nicht beim Umbenennen/Verschieben, sondern sucht stets erst danach, wenn das Ziel nicht mehr auffindbar ist, wobei nicht immer das richtige Ziel gefunden wird.
Feste Verknüpfungen im NTFS-Dateisystem Nutzer von Unix kennen hingegen bessere Verknüpfungen in Form von Hardlinks und Softlinks (Symbolischen Links/Symlinks). Unter Windows können Nutzer von NTFS-Dateisystemen ähnliche Konzepte nutzen. Das NTFS-Dateisystem unterstützt feste Verknüpfungen zu Dateien in Form so genannter Hardlinks und zu Ordnern in Form von Junction Points. Leider werden beide Funktionen nicht direkt im Windows Explorer, sondern nur durch Kommandozeilen- oder Drittanbieterwerkzeuge unterstützt. Hardlinks Ein Hardlink ist eine feste Verknüpfung zu einer Datei. Microsoft Hardlinks liefert dazu in Windows XP und Windows Server 2003 das Kommandozeilenwerkzeug fsutil.exe. Die Syntax zum Erstellen eines Hardlink lautet: fsutil hardlink create
Wenn Sie eine Datei D:\Daten\Kundenliste.txt besitzen, dann können Sie einen Link zu dieser Datei in dem Verzeichnis g:\Kunden mit folgendem Befehl erstellen: fsutil.exe hardlink create g:\Kunden\Kundenliste.txt d:\daten\Kundenliste.txt
Das Werkzeug quittiert die erfolgreiche Verarbeitung mit „Hardlink erstellt“. Danach erscheint die Datei in beiden Verzeichnissen – ohne dass ein Verknüpfungspfeil angezeigt würde. Es handelt
281
Sandini Bib
7 Datenträger und Dateisystem
sich dennoch nicht um eine Kopie; beide Einträge im Verzeichnisbaum weisen auf die gleiche Stelle auf der Festplatte und daher kann die Datei nun an beiden Stellen manipuliert werden. Ein Verschieben der Datei macht überhaupt keine Sorgen. Der Dateiinhalt ist erst dann verloren, wenn beide Einträge im Verzeichnisbaum gelöscht wurden. Es können nur Verknüpfungen zu Dateien auf dem gleichen Laufwerk erstellt werden. Junction Points Junction Points
Junction Points sind das Äquivalent zu Hardlinks für Ordner. Im Gegensatz zu Hardlinks funktionieren Junction Points auch laufwerkübergreifend. Als Werkzeug kommt hier linkd.exe zum Einsatz, das jedoch leider nur mit dem Windows XP Ressource Kit ausgeliefert wird. Bei linkd.exe ist im Gegensatz zu fsutil.exe erst die Quelle und dann das Ziel zu nennen. Der Befehl Linkd D:\Daten\Kunden M:\KundenDateien
erstellt folglich hier eine Verknüpfung, die das Verzeichnis M:\ KundenDateien als Unterverzeichnis Kunden im Ordner D:\Daten einblendet. Junction Points funktionieren auch an der Kommandozeile. So zeigt der Befehl dir D:\Daten\Kunden
den Inhalt von M:\KundenDateien. Der dir-Befehl signalisiert durch den Hinweis in der Dateiliste, dass es sich um einen Junction Point handelt. Der Windows Explorer sortiert einen Junction Point wie einen Ordner in die Ordnerhierarchie auf der linken Seite ein. Einen Junction Point löschen kann man über den Parameter \d in linkd.exe oder durch Löschen des Ordners, der den Junction Point repräsentiert. Wird der eigentliche Ordner gelöscht, entsteht ein verwaister Junction Point. Leider bemerkt Windows das Verschieben eines Ordners nicht, sodass auch in diesem Fall der Junction Point ins Nirvana führt. Werkzeuge Werkzeuge für harte Links
282
Für die Erstellung von Junction Points existieren verschiedene grafische Werkzeuge, z.B. Junction Link Magic und WinbolicLink. Als bestes Werkzeug präsentiert sich das von Michael Elsdörfer entwickelte NTFS Link, das sich in den Windows Explorer integriert und über die Kontextmenüs die direkte Erstellung von Hard-
Sandini Bib
Dateisystemaufbau
links und Junction Points erlaubt – eine Funktion, die eigentlich zur Grundausstattung von Windows zählen sollte. Außerdem werden vorhandene Verknüpfungen durch kleine Verknüpfungspfeile an den Icons im Windows Explorer sichtbar gemacht. Junction Link Magic Hersteller:
Rekenwonder
Preis:
Freeware
URL:
http://www.rekenwonder.com/linkmagic.htm
WinbolicLink Hersteller:
PearlMagik
Preis:
Freeware
URL:
http://www.pearlmagik.com/winbolic/
NTFS Link Hersteller:
Michael Elsdörfer
Preis:
Freeware
URL:
http://www.elsdoerfer.net/ntfslink/
7.3.2
Dateisystemattribute
Alle Dateisystemobjekte verfügen (in Abhängigkeit vom verwendeten Dateisystemtyp) über verschiedene Attribute, z.B. 왘
Schreibgeschützt
왘
Versteckt
왘
System
왘
Komprimiert
왘
Verschlüsselt
Diese Optionen können über den Windows Explorer (Register- Attrib.exe karte ALLGEMEIN, teilweise versteckt hinter der Schaltfläche ERWEITERT) oder über das Kommandozeilenwerkzeug Attrib.exe verändert werden. Zum Beispiel aktiviert der Befehl Attrib c:\Daten\*.bmp +R
den Schreibschutz für alle .bmp-Dateien im Ordner c:\Daten.
283
Sandini Bib
7 Datenträger und Dateisystem
Ob Dateien, die als versteckt oder System gekennzeichnet sind, im Windows Explorer erscheinen, kann über das Menü EXTRAS/ ORDNEROPTIONEN im Windows Explorer gesteuert werden.
7.4 Berechtigungen
Dateisystemrechte
Bei der Verwendung des NTFS-Dateisystems kann man exakt festlegen, welche Benutzer bzw. welche Benutzergruppen welche Aktionen auf welchen Dateisystemelementen (Laufwerke, Ordner, Dateien) ausführen können. Berechtigungen im NTFS-Dateisystem basieren auf Windows-Zugriffsrechtelisten (siehe Kapitel „Sicherheit“). Das Dateisystem kennt eine Vielzahl von Rechten (siehe Abbildung 7.7), die jedoch zur Vereinfachung vom Windows Explorer in der primären Ansicht zu sechs verschiedenen Rechteblöcken zusammengefasst werden (siehe Abbildung Abbildung 7.6). Ein Klick auf die ERWEITERT-Schaltfläche öffnet das Dialogfenster, das in Abbildung 7.7 gezeigt wird. Von dort aus ist über BEARBEITEN die detaillierte Liste erreichbar.
Abbildung 7.6: Einfache Rechteliste
Rechte können erlaubt oder verweigert werden. Meistens wird nur mit Erlaubnisrechten gearbeitet. In einigen Situationen kann aber auch ein verweigertes Recht sinnvoll sein, beispielsweise erlaubt man einer Gruppe „Abteilung 2“ den Zugriff, aber verweigert ihn der Gruppe „Praktikanten“. Da verweigerte Rechte mehr
284
Sandini Bib
Dateisystemrechte
wiegen als erlaubte Rechte, hätten die Praktikanten aus Abteilung 2 keinen Zugriff auf die Dateisystemelemente. Abbildung 7.7: Detaillierte Rechteliste
Abbildung 7.8: Detaillierte Rechteänderung
Das NTFS-Dateisystem ermöglicht die Vererbung von Rechten, Rechtevererbung wobei jedes Element entscheiden kann, ob es von der nächsthöheren Ebene erben möchte. Ein Ordner kann also einem untergeordneten Ordner nicht die Rechte per Vererbung aufzwingen. Das
285
Sandini Bib
7 Datenträger und Dateisystem
Aufzwingen von Rechten an Unterordner ist aber möglich, wenn man die Option BERECHTIGUNGEN FÜR ALLE UNTERGEORDNETEN OBJEKTE DURCH DIE ANGEZEIGTEN EINTRÄGE, SOFERN ANWENDBAR, ERSETZEN aktiviert. Damit werden die Zugriffsrechtelisten der untergeordneten Elemente überschrieben, sobald man die Rechte anwendet. Dieser Vorgang kann sehr lange dauern, wenn es viele Unterelemente gibt. Durch die Option BERECHTIGUNGEN FÜR ALLE UNTERGEORDNETEN OBJEKTE DURCH DIE ANGEZEIGTEN EINTRÄGE, SOFERN ANWENDBAR, ERSETZEN gehen die vorhandenen Zugriffsrechtelisten der untergeordneten Elemente unwiderruflich verloren. Grundsätzlich ist Vererbung die bessere Alternative, weil dabei die Rechte des einzelnen Elements zusätzlich zu den Rechten des übergeordneten Elements wirken. Rechte verändern per Kommandozeile xcalcs.exe
Zur Manipulation von Dateisystemrechten stellt Microsoft im Rahmen der Windows XP Support Tools das Werkzeug xcalcs.exe bereit. Auch möglich ist die Veränderung per Programmcode über die Scripting-Komponenten WMI oder AdsSecurity.dll, jedoch sehr komplex. Auf der Buch-CD-ROM finden Sie im Verzeichnis /Skripte ein entsprechendes Skript. Für die Erläuterung des Skripts sei auf [WS4] verwiesen. xcalcs.exe Hersteller:
Microsoft
Preis:
Kostenloses Add-on im Rahmen der Windows XP Support Tools
URL:
http://www.microsoft.com/downloads/ details.aspx?FamilyID=49ae8576-9bb9-4126-9761ba8011fabf38&displaylang=de
Dateien mit Berechtigungen kopieren Beim Kopieren von Dateien mit dem Windows Explorer oder dem Kommandozeilenbefehl copy gehen die Zugriffsberechtigungen, die den Dateien zugewiesen wurden, verloren. Die Dateien erhalten automatisch die Rechte des Zielordners. Wenn Sie die Rechte mit kopieren wollen, müssen Sie den Befehl xcopy mit dem Parameter /o anwenden, z.B. xcopy c:\quelle\datei.txt d:\ziel\ /o
286
Sandini Bib
Dateifreigaben
7.5
Dateifreigaben
Das Freigeben von Dateisystemordnern ist ein Instrument, um Freigaben anderen Computern zu ermöglichen, auf Dateien in bestimmten Ordnern des lokalen Systems zuzugreifen. Netzwerklaufwerke entsprechen Freigaben auf Dateiservern im Netzwerk. Obwohl Windows XP kein Serverbetriebssystem ist, unterstützt es das Freigeben von Ordnern. Zu jedem Ordner kann es mehrere Freigaben mit unterschiedlichen Namen und unterschiedlichen Zugriffsrechtelisten geben. Zur Konfiguration von Freigaben können in Windows XP zwei Verfahren angewendet werden: 왘
Komplexe Dateifreigabe
왘
Einfache Dateifreigabe
Windows XP unterscheidet in der Benutzeroberfläche nur, ob die einfache Dateifreigabe aktiviert ist oder nicht. Zur besseren Unterscheidung spricht dieses Buch von der einfachen und der komplexen Dateifreigabe. Die einfache Dateifreigabe ist die Standardform der Dateifreigabe, die in Windows XP-Systemen verwendet wird, die nicht Mitglied einer Domäne sind. Bei Domänenmitgliedern steht nur die komplexe Dateifreigabe zur Verfügung.
7.5.1
Komplexe Dateifreigabe
Die komplexe Dateifreigabe ermöglicht die direkte Manipulation Komplexe aller Einstellungen einer Freigabe in dem Stil von Windows 2000. Dateifreigabe Zur Konfiguration von Freigaben existieren vier Möglichkeiten: 왘
Verwendung der Registerkarte FREIGABE im Windows Explorer
왘
Verwendung des MMC-Snap-In FREIGEGEBENE ORDNER
왘
Verwendung des Kommandozeilenwerkzeugs net share
왘
Verwendung von Programmcode (z.B. ein Skript)
Verwendung der Registerkarte Freigabe im Windows Explorer In dem Eigenschaftsfenster eines Ordners oder eines Laufwerks existiert eine Registerkarte FREIGABE. Hier können folgende Daten festgelegt werden: 왘
Name der Freigabe
왘
Beschreibungstext der Freigabe
왘
Zugriffsrechteliste der Freigabe
왘
Anzahl der gleichzeitig erlaubten Benutzer
287
Sandini Bib
7 Datenträger und Dateisystem Abbildung 7.9: Anlegen einer zweiten Freigabe für einen Ordner
Die erste Freigabe für einen Ordner legt man an, indem man die Option DIESEN ORDNER FREIGEBEN aktiviert und dann unter FREIGABENAME einen Namen einträgt. Zum Anlegen weiterer Freigaben auf dem gleichen Ordner dient die Schaltfläche NEUE FREIGABE. Freigabeberechtigungen
In den Berechtigungen einer Freigabe (alias Freigabeberechtigungen) legt man fest, welche Benutzer die Freigabe nutzen können. Im Gegensatz zu den komplexen NTFS-Dateisystemberechtigungen existieren nur drei mögliche Rechte: 왘
Lesen
왘
Ändern
왘
Vollzugriff (umfasst Lesen und Ändern sowie das Recht zum Ändern der Rechte auf den Dateisystemelementen)
Versteckte und administrative Freigaben In der Netzwerkumgebung bzw. mit dem Kommandozeilenbefehl net view \\computername
kann man die Freigabe eines Computers auflisten. Um eine Freigabe in der Auflistung zu verstecken, muss die Freigabe mit dem Sonderzeichen $ enden. Versteckte Freigaben haben den Vorteil, dass Benutzer ihren Namen nicht kennen. Windows XP legt automatisch einige versteckte Freigaben an, z.B. Laufwerksbuchstabe$ (C$, D$ etc.) für alle Laufwerke sowie ADMIN$ als Freigabe für das Windows-Verzeichnis. Nur Administratoren haben Zugriff auf administrative Freigaben.
288
Sandini Bib
Dateifreigaben
Eine im Windows Explorer neu angelegte Freigabe erhält seit Service Pack 2 automatisch das Recht „Lesen“ für die Benutzergruppe „Jeder“. Vor SP2 wurde das Recht „Vollzugriff“ vergeben. Abbildung 7.10: Konfiguration der Freigabeberechtigungen unter Windows XP
Freigaberechte vs. NTFS-Rechte Bei der Verwendung des NTFS-Dateisystems wirken die Dateisystemrechte zusätzlich zu den Freigaberechten, d.h. ein Benutzer kann vom Netzwerk aus nur dann auf den Inhalt einer Freigabe zugreifen, wenn er sowohl die Freigaberechte als auch die NTFSRechte besitzt. Für die Zugriffe lokal angemeldeter Benutzer gelten die Freigaberechte nicht, sondern immer nur die NTFS-Rechte. Verwendung des MMC-Snap-In Freigegebene Ordner Das MMC-Snap-In FREIGEGEBENE ORDNER ist Teil der vordefinier- MMC ten Konsole COMPUTERVERWALTUNG. Das Snap-In zeigt eine Liste aller existierenden Freigaben und ermöglicht das Anlegen einer Freigabe über einen Assistenten.
289
Sandini Bib
7 Datenträger und Dateisystem
Abbildung 7.11: Anlegen einer Freigabe in der MMC Abbildung 7.12: Festlegung der Berechtigungen im Assistenten
290
Sandini Bib
Dateifreigaben Abbildung 7.13: Eigenschaften einer Freigabe in der MMC
Net share-Befehl Der net share Befehl ist ein eingebauter Kommandozeilenbefehl net share in Windows XP. 왘 Net share listet alle Freigaben auf 왘 Net share Kunden listet Informationen über die Freigabe „Kun-
den“ auf. 왘 Net
share
Kunden=c:\Daten
/remark:"Kundendaten" legt
eine neue Freigabe an Auf diesem Weg können keine Zugriffsrechtelisten gesetzt werden. Die so angelegten Freigaben erhalten automatisch die Rechte „Vollzugriff“ für „Jeder“. Freigabe anlegen per Programmcode Microsoft bietet zwei verschiedene Ansätze zum Anlegen von Freigaben per Skript Freigaben per Programmcode: 왘
Active Directory Service Interface (ADSI)
왘
Windows Management Instrumentation (WMI)
WMI hat gegenüber ADSI den Vorteil, dass man damit auch die Zugriffsrechteliste vergeben kann. Leider ist der WMI-Ansatz aber auch wesentlich komplizierter und würde die Seitenrestriktionen dieses Buches sprengen. Daher wird hier nur der ADSIAnsatz gezeigt. Ein WMI-Beispiel finden Sie in [WS4].
291
Sandini Bib
7 Datenträger und Dateisystem Listing 7.1: Skript zum Anlegen einer Freigabe mit ADSI
Option Explicit Dim Netzwerk, Freigabe Const Freigabepfad="C:\Daten" Const Freigabename="Daten" Const Computer="." Set Netzwerk = GetObject("WinNT://" & Computer & "/ lanmanserver") Set Freigabe = Netzwerk.create("Fileshare",Freigabename) Freigabe.path = Freigabepfad Freigabe.Setinfo WScript.Echo "Freigabe wurde erstellt!"
Sowohl ADSI als auch WMI können aus allen gängigen Programmiersprachen inklusive den Skriptsprachen VBScript und JavaScript verwendet werden.
7.5.2 Einfache Dateifreigabe
Einfache Dateifreigabe
Die einfache Dateifreigabe ermöglicht Benutzern die Einrichtung von Freigaben, ohne sich mit der Komplexität der Zugriffsrechtelisten von Windows XP auseinander setzen zu müssen. Die einfache Dateifreigabe ist die Standardoption auf Windows XP-Systemen, die nicht Mitglied einer Domäne sind. Die einfache Dateifreigabe wird in den Optionen des Windows Explorer aktiviert bzw. deaktiviert.
Abbildung 7.14: Aktivieren der einfachen Dateifreigabe
292
Sandini Bib
Dateifreigaben
Sofern die einfache Dateifreigabe aktiviert ist, zeigt die Registerkarte FREIGABE eines Laufwerks bzw. eines Ordners nicht die Liste der Berechtigungen, sondern eine der beiden folgenden Darstellungen. Die Darstellung in Abbildung 7.15 sieht der Nutzer, wenn der Netzwerkinstallationsassistent noch nie ausgeführt wurde. Sobald der Netzwerkinstallationsassistent einmal ausgeführt wurde, sieht man Abbildung 7.16. Abbildung 7.15: Einfache Dateifreigabe, wenn der Netzwerkinstallationsassistent noch nicht ausgeführt wurde
Abbildung 7.16: Konfiguration einer einfachen Dateifreigabe
293
Sandini Bib
7 Datenträger und Dateisystem Optionen bei einfachen Freigaben
Bei der einfachen Dateifreigabe hat der Nutzer nur folgende Optionen: 왘
Freigeben des Ordners zum Lesen (DIESEN ORDNER IM NETZWERK FREIGEBEN)
왘
Freigeben des Ordners zum Lesen und Schreiben (NETZWERKBENUTZER DÜRFEN DATEN ÄNDERN)
왘
Festlegen des Namens für die Freigabe (FREIGABENAME)
Freigeben des Ordners zum Lesen und Schreiben Das Recht „Freigeben des Ordners zum Lesen und Schreiben“ entspricht dem der Berechtigungen „Ändern“ und „Lesen“ für die Benutzergruppe „Jeder“.
7.5.3
Zugriff auf Freigaben
Auf Freigaben kann man auf zwei Arten zugreifen: 왘
Über einen so genannten UNC-Pfad
왘
Über Netzlaufwerke
왘
Über die Netzwerkumgebung
Der Zugriff auf eine Freigabe ist auch von dem System aus möglich, das die Freigabe anbietet. UNC
Ein UNC-Pfad hat die Form \\Computername\\Freigabename und kann überall dort verwendet werden, wo ein Dateisystempfad erwartet wird. Man kann einen UNC-Pfad auch in der Adressleiste des Windows Explorer und des Internet Explorer sowie in dem Dialogfenster AUSFÜHREN von Windows verwenden.
Netzlaufwerke
Netzlaufwerke sind Freigaben, die mit einem Laufwerksbuchstaben assoziiert werden. Die Assoziation kann erstellt werden über das Menü EXTRAS/NETZLAUFWERK VERBINDEN im Windows Explorer oder über den Kommandozeilenbefehl net use, z.B. net use l: \\bochum\h$. Zum Trennen eines Netzlaufwerks kann EXTRAS/NETZLAUFWERK TRENNEN im Windows Explorer bzw. net use l: /del eingesetzt werden.
294
Sandini Bib
Dateifreigaben Abbildung 7.17: Netzlaufwerk verbinden im Windows Explorer
Abbildung 7.18: Netzlaufwerk trennen im Windows Explorer
In Windows XP besteht auch die Möglichkeit, Freigaben in der Netzwerkumgebung aufzulisten. Windows XP sucht selbstständig nach freigegebenen Ressourcen und Universal-Plug&PlayGeräten im Netzwerk und listet diese in der Netzwerkumgebung auf. Über den Link NETZWERKRESSOURCE HINZUFÜGEN kann man auch manuell Freigaben aufnehmen. Suchfunktion ausschalten Die automatische Suche nach Netzwerkressourcen kann deaktiviert werden über das Kontrollkästchen EXTRAS/ORDNEROPTIONEN/ANSICHT/AUTOMATISCH NACH NETZWERKORDNERN UND DRUCKERN SUCHEN (im Windows Explorer).
295
Sandini Bib
7 Datenträger und Dateisystem
Abbildung 7.19: Hinzufügen einer Ressource zur Netzwerkumgebung
7.6
Pflege des Dateisystems
Die Laufwerkspflege dient der Aufrechterhaltung des Betriebs der Datenträger. Windows XP kennt drei Pflegeaktionen auf Laufwerken: 왘
Laufwerksprüfung
왘
Laufwerksbereinigung
왘
Defragmentierung
7.6.1 Laufwerksprüfung
296
Laufwerksprüfung
Die Laufwerksprüfung ist aus älteren Windows-Versionen auch als „CheckDisk“-Funktion bekannt. Diese Prüfung kann auf zwei Wegen aufgerufen werden: 왘
Klick auf FEHLERPRÜFUNG/JETZT PRÜFEN im Eigenschaftenfenster eines Laufwerks
왘
Aufruf der Anwendung chkdsk.exe an der Kommandozeile. Dabei ist das Laufwerk anzugeben; sonst wird das aktuelle Laufwerk geprüft.
Sandini Bib
Pflege des Dateisystems Abbildung 7.20: Aufruf der Laufwerksprüfung
Im Standardfall zeigt die Laufwerksprüfung Fehler nur an. Um die Fehler auch zu beseitigen, ist die Option DATEISYSTEMFEHLER AUTOMATISCH KORRIGIEREN (/F bei der Verwendung von chkdsk.exe) zu aktivieren. Außerdem kann festgelegt werden, ob fehlerhafte Sektoren gesucht und ggf. wiederhergestellt werden (/R) sollen. Abbildung 7.21: Kommandozeilenoptionen von chkdsk.exe
Wenn Windows die Prüfung nicht sofort starten kann, weil einige Dateien auf dem Laufwerk derart in Benutzung sind, dass eine Prüfung nicht möglich ist, wird dem Benutzer vorgeschlagen, dass die Prüfung beim nächsten Systemstart erfolgen soll.
297
Sandini Bib
7 Datenträger und Dateisystem
7.6.2 Speicher freigeben
Laufwerksbereinigung
Die Laufwerksbereinigung unterstützt den Nutzer von Windows XP bei der Freigabe von Speicher auf einem Laufwerk. Die Laufwerksbereinigung kann aufgerufen werden über die Registerkarte ALLGEMEIN in dem Eigenschaftenfenster eines Laufwerks im Windows Explorer. Nach dem Start der Bereinigung ermittelt der Festplattenbereinigungsassistent, welcher Speicher freigegeben werden könnte.
Abbildung 7.22: Aufruf des Assistenten
Festplattenbereinigungsassistent
Der Festplattenbereinigungsassistent macht u.a. folgende Vorschläge: 왘
Entfernen von nicht mehr benötigten Setup-Dateien
왘
Leeren des Papierkorbs
왘
Komprimieren von Dateien, auf die länger nicht zugegriffen wurde
왘
Entfernen älterer Katalogdateien des Indexdienstes
Auf der Registerkarte WEITERE OPTIONEN können Sie außerdem folgende Funktionen starten:
298
왘
Aufruf der Anwendung SOFTWARE aus der Systemsteuerung zum Löschen von Windows-Komponenten oder installierten Programmen
왘
Löschen älterer Systemwiederherstellungspunkte
Sandini Bib
Pflege des Dateisystems Abbildung 7.23: Vorschläge des Assistenten
Abbildung 7.24: Löschen alter Systemwiederherstellungspunkte
299
Sandini Bib
7 Datenträger und Dateisystem
7.6.3 Defragmentierung
Defragmentierung
Microsoft hat lange Zeit hartnäckig behauptet, dass eine Defragmentierung eines NTFS-Dateisystems nicht notwendig sei. Seit Windows 2000 enthält Windows aber ein Defragmentierungswerkzeug (Disk Defragmenter), das sowohl FAT- als auch NTFSDateisysteme defragmentieren kann. Man sollte dieses Werkzeug regelmäßig einsetzen. Die Defragmentierung startet man auf folgenden Wegen: 왘
Schaltfläche DEFRAGMENTIEREN in der MMC COMPUTERVERWALTUNG im Ast DEFRAGMENTIERUNG
왘
Schaltfläche JETZT DEFRAGMENTIEREN im Eigenschaftenfenster eines Laufwerks im Windows Explorer
왘
Kommandozeilenwerkzeug defrag.exe
Vor der eigentlichen Defragmentierung findet zunächst eine Überprüfung statt. Das Windows-Werkzeug bietet vor dem Start der Defragmentierung einen Bericht an. An der Kommandozeile sehen Sie den Bericht nur, wenn Sie die Option –v angeben.
Abbildung 7.25: Start der Defragmentierung
300
Sandini Bib
Dateien sicher löschen Abbildung 7.26: Anzeige des Berichts der fragmentierten Dateien vor dem Start der Defragmentierung
Die Defragmentierung kann nur optional ausgeführt werden, wenn mindestens 15% der Speicherkapazität eines Laufwerks frei sind. In dem GUI-Werkzeug Disk Defragmenter müssen Sie explizit bestätigen, dass Sie das Laufwerk defragmentieren wollen, wenn nicht 15% des Speichers frei sind. An der Kommandozeile ist dazu die Option –F mit anzugeben. Abbildung 7.27: Kommandozeilenoptionen von defrag.exe
7.7
Dateien sicher löschen
Beim Löschen werden Dateien auf lokalen Datenträgern nicht wirklich gelöscht, sondern in den Papierkorb verschoben. Man kann den Papierkorb löschen oder durch Gedrückthalten der (ª)Taste beim Löschen dafür sorgen, dass die Dateien gar nicht erst im Papierkorb landen.
301
Sandini Bib
7 Datenträger und Dateisystem
Auch danach ist aber mit geeigneter Zusatzsoftware eine Wiederherstellung der Dateien möglich, weil Windows zwar den Eintrag der Datei im Verzeichnisbaum löscht, aber den Inhalt auf der Festplatte unangetastet lässt und ihn nur als „frei“ markiert. Überschreiben von Dateiinhalten
Mit dem Kommandozeilenwerkzeug cipher.exe können alle freien Dateibereiche mit Nullen überschrieben werden: Cipher /W:Laufwerk
Dies ist der größtmögliche Schutz, den Windows XP bietet. Durch Ausbauen der Festplatte und Bearbeitung in Spezial-Labors wäre trotzdem eine Wiederherstellung der Daten möglich.
7.8
Dateien komprimieren
Das NTFS-Dateisystem bietet die Option, einzelne Dateien oder ganze Ordner zu komprimieren. Die Komprimierung verschlechtert die Performanz, reduziert aber den Speicherbedarf zum Teil erheblich. Die Komprimierung wird aktiviert/deaktiviert durch: 왘
Das Kontrollkästchen INHALT KOMPRIMIEREN Im Eigenschaftendialog eines Dateisystemelements (Registerkarte ALLGEMEIN, Schaltfläche ERWEITERT)
왘
Das Kommandozeilenwerkzeug Compact.exe
Komprimierte Dateien werden im Windows Explorer blau angezeigt (sofern diese Farbdarstellung in den Optionen des Windows Explorer nicht deaktiviert wurde). Da die Komprimierung nur für unverschlüsselte Dateien aktiviert werden kann, wird durch die Aktivierung der Komprimierung eine eventuelle aktive Verschlüsselung (siehe nächstes Kapitel) aufgehoben.
7.9 EFS
302
Dateien verschlüsseln
NTFS-Laufwerke unterstützen die Verschlüsselung des Dateisystems (Encrypted File System – EFS). Verschlüsselte Daten können nur noch von dem Ersteller gelesen werden. Gegenüber dem Rechtesystem des NTFS-Dateisystems bietet die Verschlüsselung einen weiteren Schutz: Beim Diebstahl der Festplatte kann der Täter die Daten nicht lesen. Das Rechtesystem lässt sich durch den Einbau der Festplatte in einen anderen Computer leicht umgehen.
Sandini Bib
Dateien verschlüsseln
Die Verschlüsselung erfolgt transparent, d.h. die Datei muss nicht explizit entschlüsselt werden, sondern wird automatisch beim Zugriff entschlüsselt, sofern der zugreifende Benutzer dazu berechtigt ist. Ein unberechtigter Benutzer kann die Datei zwar kopieren, aber deren Inhalt nicht lesen. Abbildung 7.28: Fehlermeldung, wenn ein Benutzer eine verschlüsselte Datei nicht entschlüsseln darf
Das EFS arbeitet nicht mit einem einfachen Kennwortverfahren, sondern mit einem Public Key-Verfahren, sodass die Verschlüsselung sehr sicher ist. Trotz der transparenten Nutzung ist EFS ein sehr komplexes Verfahren. Bei Fehlbenutzung besteht die Gefahr, dass auch die berechtigten Benutzer den Inhalt der Dateien nicht mehr lesen können. Vor dem Einsatz von EFS sollten Sie dessen Anwendung unbedingt an Testdaten erproben und die in den folgenden Unterkapiteln dargestellten Risiken gegen den Nutzen abwägen.
7.9.1
Dateien verschlüsseln
Die Verschlüsselung kann für Laufwerke, einzelne Ordner oder Verschlüsselung Dateien in den erweiterten Attributen im Eigenschaftenfenster aktivieren (siehe Abbildung 7.29) oder durch das Kommandozeilenwerkzeug cipher.exe aktiviert werden. Verschlüsselte Dateien werden im Windows Explorer grün angezeigt (sofern diese Farbdarstellung in den Optionen des Windows Explorer nicht deaktiviert wurde). Abbildung 7.29: Aktivierung des EFS
303
Sandini Bib
7 Datenträger und Dateisystem Abbildung 7.30: Optionen des Kommandozeilenwerkzeugs cipher.exe
Schlüsselpaar und Zertifikat
304
Das für die Verschlüsselung notwendige Schlüsselpaar und zugehörige Zertifikat wird für einen Benutzer automatisch beim ersten Verschlüsseln einer Datei erzeugt und im Windows-Zertifikatsspeicher (Anzeige über SYSTEMSTEUERUNG/INTERNETOPTIONEN/ INHALTE/ZERTIFIKATE oder MMC-Snap-In ZERTIFIKATE) abgelegt. Dort ist das Zertifikat mit dem Benutzernamen und dem Kennwort des Benutzers geschützt.
Sandini Bib
Dateien verschlüsseln
Hinweise 왘 Komprimierte Dateien können nicht verschlüsselt werden. 왘 Beim Kopieren oder Verschieben von Dateien in einen verschlüs-
selten Ordner werden die Dateien automatisch verschlüsselt. 왘 Systemdateien dürfen nicht verschlüsselt werden.
Die größte Gefahr bei EFS ist der Verlust des Zertifikats. Ohne das Zertifikat ist ein Zugang zum Inhalt der Datei nicht mehr möglich. Beim normalen Ändern eines Benutzerkennworts wird auch der Zertifikatsspeicher geändert, sodass weiterhin Zugriff auf das Zertifikat besteht. Setzt ein Administrator jedoch das Kennwort zurück, ist kein Zugriff auf das Zertifikat mehr möglich.
Abbildung 7.31: Ein vom EFS angelegtes Zertifikat im Windows-Zertifikatsmanager
305
Sandini Bib
7 Datenträger und Dateisystem
Zum Schutz gegen diesen Fall gibt es drei Möglichkeiten: 왘 Sichern des Zertifikats auf einem anderen Medium (Diskette,
USB-Stift o.Ä.) in Form einer .pfx-Datei (EXPORT-Funktion im Zertifikatsmanager) 왘 Hinzufügen weiterer berechtigter Benutzer (siehe unten) 왘 Einrichten eines Datenwiederherstellungsagenten (siehe unten)
7.9.2 Zertifikate hinzufügen
EFS-Rechte hinzufügen
Im Standardfall hat nur der Erzeuger das Recht, eine verschlüsselte Datei auch wieder zu entschlüsseln. Durch die Verschlüsselungsdetails (Eigenschaftendialogfenster einer Datei, Registerkarte ALLGEMEIN, Schaltfläche ERWEITERT, Schaltfläche DETAILS) kann man weitere Benutzer hinzufügen. Zur Identifikation der Benutzer dient dabei nicht der Benutzerkontoname, sondern ein digitales Zertifikat, das im Windows XP-Zertifikatsmanager (SYSTEMSTEUERUNG/ INTERNETOPTIONEN/INHALTE/ZERTIFIKATE) abgelegt sein muss. Rechte können nur auf Dateiebene, leider nicht auf Ordnerebene hinzugefügt werden.
Abbildung 7.32: Hinzufügen weiterer Zertifikate zu einer verschlüsselten Datei
306
Sandini Bib
Dateien verschlüsseln
7.9.3
Einrichten eines Datenwiederherstellungsagenten
Ein Datenwiederherstellungsagent ist ein Benutzer, der über einen speziellen EFS-Schlüssel verfügt, um die verschlüsselten Dateien anderer Benutzer entschlüsseln zu können, wenn deren Schlüssel verloren gegangen sind. Anders als unter Windows 2000 ist der lokale Administrator nicht automatisch ein Datenwiederherstellungsagent. Der Datenwiederherstellungsagent braucht ein spezielles Zertifi- Zertifikat erstellen kat, das mit dem Befehl Cipher /R:c:\Zertifikatsname
anzulegen ist. Dieses Datenwiederherstellungszertifikat ist dann in der lokalen Zertifikat Sicherheitsrichtlinie (secpol.msc) im Ast SICHERHEITSEINSTELLUN- registrieren GEN/RICHTLINIEN ÖFFENTLICHER SCHLÜSSEL/DATEISYSTEM WIRD VERSCHLÜSSELT einzutragen. Das Datenwiederherstellungszertifikat gibt dem Benutzer, für den es ausgestellt wurde, die Möglichkeitm, alle verschlüsselten Dateien zu entschlüsseln, egal wer die Dateien verschlüsselt hat. Der Datenwiederherstellungsagent gilt nur für Dateien, die nach seiner Anlegung verschlüsselt wurden. Auf alle vorher verschlüsselten Dateien hat der Agent keinen Einfluss. Ein Nutzer, der Dateien verschlüsselt, sieht aus Sicherheitsgründen im Windows Explorer, wer die aktuellen Datenwiederherstellungsagenten sind. Die Zertifikatsdatei des Datenwiederherstellungsagenten wird Zertifikat nicht automatisch in den Zertifikatsspeicher importiert. Sie sollte importieren an einem sicheren Ort aufbewahrt werden und nur in den Zertifikatsspeicher importiert werden, wenn sie tatsächlich gebraucht wird. Anschließend sollte sie sofort entfernt werden. EFS in Windows-Domänen Bei der Verwendung von EFS auf Systemen, die Teil einer Windows-Domäne sind, sollte der Schlüssel des Datenwiederherstellungsagenten in einer Active Directory-Gruppenrichtlinie eingetragen werden.
307
Sandini Bib
7 Datenträger und Dateisystem
Abbildung 7.33: Eintrag des Zertifikats des Wiederherstellungsagenten
7.9.4 Entschlüsseln
Entschlüsseln von Dateien
Um die Verschlüsselung von Dateien aufzuheben, haben Sie folgende Optionen: 왘
Deaktivieren Sie die Option zur Verschlüsselung im Windows Explorer.
왘
Nutzen Sie cipher.exe mit der Option /D.
왘
Verschieben Sie die Dateien auf ein Laufwerk, das nicht mit NTFS formatiert ist.
Kopieren und Verschieben von verschlüsselten Dateien Beim Kopieren und Verschieben von verschlüsselten Dateien von einem zu einem anderen NTFS-Laufwerk (auch über Rechnergrenzen hinweg) bleibt die Verschlüsselung erhalten. Zum Transport über das Netzwerk wird sie allerdings aufgehoben und am Ziel wird erneut verschlüsselt. In diesem Fall ist eine entsprechende Absicherung des Netzwerks notwendig (siehe Kapitel „Sicherheit“).
308
Sandini Bib
Dateien verschlüsseln
7.9.5
Optionen zur Steuerung des EFS
Windows bietet einige Optionen zur Steuerung des EFS: 왘
Deaktivieren der EFS-Funktion für den Computer
Konfiguration des EFS
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\EFS\EfsConfiguration = 1 왘
Anzeigen des Eintrags VERSCHLÜSSELN im Kontextmenü im Windows Explorer HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\ EncryptionContextMenu = 1
왘
Heraufsetzen der Verschlüsselung von Das Verschlüsselungsverfahren ist das Data Encryption Standard Expanded (DESX) auf Triple-DES. MMC SICHERHEITSEINSTELLUNGEN/LOKALE RICHTLINIE SICHERHEITSOPTIONEN/SYSTEMKRYPTOGRAPHIE/FIPS: AKTIVIEREN
Abbildung 7.34: Erhöhung der EFS-Verschlüsselung
309
Sandini Bib
7 Datenträger und Dateisystem
7.10 Zusammenbinden von Laufwerken (Mount Points) Mount Points
Das NTFS-Dateisystem bietet die Möglichkeit, ein Laufwerk als einen Ordner in einem anderen Laufwerk bereitzustellen. Diese Funktion heißt Mount Points. Mit dem NTFS-Dateisystem muss nur das aufnehmende Laufwerk formatiert sein. Es gibt zwei Gründe, Mount Points einzusetzen: 왘
Vergrößerung des Platzes auf einem Laufwerk
왘
Wenn es sehr viele Laufwerke gibt, können diese durch Mount Points übersichtlich zusammengefasst werden.
Die nachstehende Abbildung zeigt das Laufwerk C mit zwei Mount Points: 왘
C:\Archiv ist ein Mount Point, der auf eine andere Festplatte verweist.
왘
C:\CD ist ein Mount Point, der auf ein CD-Laufwerk verweist.
Mount Points werden im Windows Explorer nicht durch normale Ordner-Symbole, sondern durch Symbole entsprechend dem Ziellaufwerktyp dargestellt.
Abbildung 7.35: Anzeige von Mount Points im Windows Explorer
310
Sandini Bib
Zusammenbinden von Laufwerken (Mount Points)
Zum Anlegen von Mount Points bietet Windows XP zwei Mög- Mount Points anlegen lichkeiten: 왘
Funktion LAUFWERKSBUCHSTABEN UND -PFADE ÄNDERN Im MMC-Snap-In DATENTRÄGERVERWALTUNG
왘
Kommandozeilenbefehl mountvol.exe
Sie können einem Laufwerk genau einen Laufwerksbuchstaben und beliebig viele Mount Points zuweisen. Wenn Sie einem Laufwerk mehrere Laufwerksbuchstaben zuweisen wollen, müssen Sie dazu den DOS-Befehl subst verwenden. Mount Points aus der Sicht des aufnehmenden Laufwerks Das Laufwerk, das ein anderes Laufwerk als Mount Point aufnehmen soll, muss einen leeren (!) Ordner bereitstellen. Dieser Ordner dient nach dem Einrichten des Mount Point als Pfad zu dem eingebundenen Laufwerk. Sofern der angegebene Ordner nicht leer ist, wird das Einrichten des Mount Point nicht gelingen.
Abbildung 7.36: Anlegen eines Mount Point in der MMC
311
Sandini Bib
7 Datenträger und Dateisystem Abbildung 7.37: Optionen von mountvol.exe
7.11 Datenträgerkontingente QuotaVerwaltung
Datenträgerkontingente (Quotas) ermöglichen es, einzelnen Benutzern einen bestimmten Teil des Speichers auf einem Datenträger zuzuweisen und erlauben so eine gerechte Verteilung des Platzes. Ohne Datenträgerkontingente hat jeder Benutzer das Recht, so viel Festplattenplatz in Anspruch zu nehmen, wie er möchte, sofern er Schreibrechte auf mindestens einer Datei auf einem Laufwerk hat. Sehr wichtig sind Kontingente auf Netzwerkdateiservern. Auch unter Windows XP steht diese Funktion zur Verfügung und ist sinnvoll, wenn ein Computer von mehreren Personen genutzt wird (z.B. Schulungs-PCs). Da die Datenträgerkontingentverwaltung Systemleistung verbraucht, sollten Sie die Funktion aber wirklich nur dann aktivieren, wenn sie benötigt wird.
Aktivierung der Datenträgerkontingente
312
Datenträgerkontingente sind nur auf NTFS-Laufwerken verfügbar und im Standard nicht aktiviert. Zur Aktivierung dient die Registerkarte KONTINGENT im Eigenschaftenfenster eines Laufwerks im Windows Explorer.
Sandini Bib
Datenträgerkontingente Abbildung 7.38: Aktivierung der Datenträgerkontingente
Auf der Hauptregisterkarte kann man eine Speicherplatzrestrik- Allgemeine und tion festlegen, die für alle Benutzer gilt. Hinter der Schaltfläche individuelle Restriktionen KONTINGENTEINTRÄGE verbirgt sich eine Tabelle, in der festgelegt werden kann, wie viel Speicher ein einzelner Benutzer maximal beanspruchen darf. Hier kann man also Ausnahmen von der Hauptregel definieren. Bitte achten Sie auf die Maßeinheit: Die Standardmaßeinheit für die Einträge ist KB. Mit Speicher in KB-Größe kann ein Benutzer heutzutage nicht mehr sehr viel ausrichten. Sofern ein Benutzer die allgemein oder für ihn speziell festgelegte Speichermenge überschreitet, erhält er die Meldung, dass der Datenträger nicht mehr genug Speicherplatz zur Verfügung stelle. Das kann den Benutzer verwirren, wenn er gleichzeitig in der Laufwerksanzeige im Windows-Arbeitsplatz oder durch ein anderes Werkzeug sieht, dass noch Speicher auf dem Laufwerk zur Verfügung steht. Wenn ein Benutzer sein Kontingent überschritten hat, muss er selbst erstellte Dateien löschen, bevor er neue Dateien speichern kann. Die in der Kontingentverwaltung einstellbare Warnstufe führt nicht Warnstufe zu einer Meldung an den Benutzer, sondern nur zu einem Eintrag im Ereignisprotokoll, sofern die Protokollierung auf der Hauptregisterkarte KONTINGENT im Windows Explorer aktiviert wurde.
313
Sandini Bib
7 Datenträger und Dateisystem
Abbildung 7.39: Einstellung der Kontingente Abbildung 7.40: Fehlermeldung, wenn Kontingent überschritten ist
7.12 Indexdienst Schnelle Suche durch Indizierung
Die in Windows XP integrierte Suchfunktion (START/SUCHEN) ist sehr langsam (insbesondere bei der Suche nach Dateiinhalten), weil sie durch rekursives Durchlaufen (und Öffnen) der Dateien erfolgt. Mit dem in Windows XP integrierten Indexdienst kann die Suche erheblich beschleunigt werden. Der Indexdienst erstellt im Hintergrund einen Katalog der Inhalte ausgewählter Verzeichnisse und ermöglicht die Suche über diesen Katalog. Der Indexdienst wird konfiguriert über das MMC-Snap-In INDEXDIENST, das auch in der COMPUTERVERWALTUNG zur Verfügung steht. Indiziert werden nur Verzeichnisse, die explizit als Katalog eingetragen sind.
314
Sandini Bib
Indexdienst Abbildung 7.41: Erstellen eines Katalogs im Indexdienst
Wenn der Indexdienst gestartet und die Indizierung abgeschlossen ist, wird die Suchfunktion von Windows den Katalog des Indexdienstes automatisch verwenden. Die Suche über den Indexkatalog kann erzwungen werden durch die Verwendung der speziellen Indexdienst-Suchsyntax, z.B. 왘 $contents "Holger Schwichtenberg"
sucht nach dem Namen in den Dateiinhalten 왘 @DocAuthor "Holger Schwichtenberg"
sucht nach von diesem Autor erstellten Dokumenten 왘 #filename *.|(exe|,dll|)
sucht nach allen Dateien mit der Dateiextension .exe und .dll Die sehr umfangreiche Abfragesprache, die mehrere Dutzend Seiten in der Dokumentation füllt, kann hier leider aus Platzgründen nicht wiedergegeben werden. Sie erreichen die Dokumentation der Abfragesprache über START/SUCHEN/BEVORZUGTE EINSTELLUNGEN ÄNDERN/INDEXDIENST/WEITERE INFORMATIONEN ÜBER DEN INDEXDIENST. Der Indexkatalog kann auch direkt aus der MMC INDEXDIENST Suche über MMC heraus durchsucht werden (siehe Abbildung 42).
315
Sandini Bib
7 Datenträger und Dateisystem
Abbildung 7.42: Suche im Indexkatalog in der MMC
7.13 CDs brennen In den Windows Explorer integriertes CDBrennprogramm
Abbildung 7.43: Auswahl nach dem Einlegen einer leeren CD
316
Windows XP ist das erste Microsoft-Betriebssystem, das ein CDBrennprogramm enthält, bei dem also keine Zusatzsoftware zum CD-Brennen mehr notwendig ist. Die CD-Brennfunktion ist so gut in den Windows Explorer integriert, dass sie vielen Windows XPBenutzern gar nicht auffällt.
Sandini Bib
CDs brennen
Abbildung 7.44: Zusammenstellung der CD-Inhalte durch Drag&Drop
Wenn man eine leere CD in den CD-Brenner einlegt, fragt Windows XP in einem Dialogfenster nach, ob ein Fenster zum Brennen geöffnet werden soll. Alternativ kann man dieses Brennfenster, das fast wie ein normaler Dateisystemordner aussieht, auch erreichen, indem man das Laufwerk im Windows Explorer anwählt. Man kann das Brennfenster per Drag&Drop mit Dateien und Ordnern aus dem Windows Explorer bestücken. Alternativ können Sie ein Dateisystemelement auch mit dem Kontextmenüeintrag SENDEN AN an das Brenner-Laufwerk schicken. Abbildung 7.45: Warnung, wenn eine Datei im NTFS-Dateisystem Zusatzinformationen enthält, die nicht im CD-Dateisystem abgebildet werden können
317
Sandini Bib
7 Datenträger und Dateisystem Löschen Optionen
Abbildung 7.46: Einstellungen zum CD-Brenner
Abbildung 7.47: Der Assistent fragt nach dem CD-Namen.
318
Sofern eine CD-RW eingelegt wird, bietet Windows XP in der Aufgabenleiste an, diese zu löschen. Einstellungen zum Brennvorgang verbergen sich an zwei Stellen: 왘
Die Registerkarte AUFNAHME eines Laufwerks, das ein CDBrenner ist, ermöglicht die Einstellung der Schreibgeschwindigkeit und des Zwischenspeicherlaufwerks.
왘
Nach dem Namen der zu brennenden CD fragt Windows XP den Benutzer nach dem Klick auf die Schaltfläche DATEN AUF CD SCHREIBEN.
Sandini Bib
Weitere Werkzeuge
Eingeschränkte Optionen Windows XP legt immer so genannte Multi-Session-CDs an, auf denen in späteren Brennvorgängen weitere Daten ergänzt werden können, sofern noch Speicherplatz vorhanden ist. Wenn Sie aus anderen CD-Brennprogrammen mehr Optionen kennen, wird Windows XP Sie enttäuschen: Mehr Optionen gibt es hier nicht. In diesem Fall müssen Sie doch eine Zusatzsoftware erwerben und installieren.
7.14 Weitere Werkzeuge 7.14.1
Einbinden von Festplattenimage-Dateien
Microsoft liefert für MSDN-Abonennnten zahlreiche Anwendun- Daemon Tools gen in Form von Image-Dateien aus. Windows XP enthält leider keine Möglichkeit, Image-Dateien (z.B. .iso, .nrg, .cue, .pdi, .bwt, .cdi, .b5t, .ccd, .mds) in das Dateisystem als Laufwerke einzubinden, d.h. solche Image-Dateien müssen erst mit einem Brennprogramm auf CD/DVD gebrannt werden, bevor sie in Windows XP verwendet werden können. Das kostenlose Werkzeug Daemon Tools schließt diese Lücke und erlaubt, bis zu vier Image-Dateien als Laufwerke in Windows einzubinden. Daemon Tools Virtual CD/DVD-ROM Emulator Hersteller:
DAEMON's Home
Preis:
Freeware
URL:
http://www.daemon-tools.cc
Abbildung 7.48: Einbinden von Images als Laufwerke mit den Daemon Tools
319
Sandini Bib
7 Datenträger und Dateisystem
7.14.2 Robocopy.exe
Robustes Kopieren
Die bei Windows XP mitgelieferten Kommandozeilenwerkzeuge copy und xcopy lassen beide zahlreiche Wünsche für den professionellen Einsatz übrig. Beispielsweise geben die Programme nach dem ersten fehlgeschlagenen Kopierversuch auf und erlauben kein Synchronisieren zwischen Quelle und Ziel. Diese Lücken füllt das Kommandozeilenwerkzeug robocopy.exe, das Microsoft in den Resource Kit Tools zu Windows 2000, Windows XP und Windows Server 2003 mitliefert. Robocopy.exe Hersteller:
Microsoft
Preis:
Kostenloses Windows-Add-on
URL:
http://www.microsoft.com/downloads/ details.aspx?FamilyID=9d467a69-57ff-4ae7-96eeb18c4790cffd&displaylang=en
Robocopy.exe bietet u.a. folgende Optionen beim Kopieren: 왘
Auswahl der zu kopierenden Dateien über Namen, Namensmuster und Attribute
왘
Löschen von Verzeichnissen und Dateien aus dem Zielordner, wenn diese nicht mehr in der Quelle existieren.
왘
Festlegung der Anzahl der Wiederholungsversuche
왘
Verschiebung von Dateien statt Kopieren
왘
Überwachung eines Quellordners und automatisches Kopieren aller Änderungen
왘
Kopieren der Berechtigungen
왘
Übertragung der Berechtigungen auf vorhandene Dateien
7.14.3 WinDirStat
320
Suche nach Speicherfressern
Oft stellt sich die Frage, welche Dateien und Verzeichnisse an dem hohen Speicherplatzverbrauch innerhalb eines Laufwerks Schuld sind. Sich den Speicherplatzverbrauch im Windows Explorer durch den Tooltipp eines Verzeichnisses anzeigen zu lassen, ist eine sehr aufwändige Methode, um Speicherfresser zu ermitteln. Leider bietet Windows XP hier kein adäquates Werkzeug. Zu empfehlen ist der Einsatz des Open Source-Werkzeugs WinDirStat, das eine sehr übersichtliche vielfarbige grafische Darstellung der Datei- und Ordnergrößen erzeugt.
Sandini Bib
Weitere Werkzeuge
WinDirStat Hersteller:
Open Source Projekt
Preis:
Freeware
URL:
http://windirstat.sourceforge.net/ Abbildung 7.49: Datensammlung in WinDirStat
Abbildung 7.50: Grafische Auswertung des Speicherverbrauchs in WinDirStat
321
Sandini Bib
Sandini Bib
8
Windows XP im Netzwerk Stephanie Knecht-Thurmann
Dieses Kapitel beschäftigt sich mit dem umfangreichen Themengebiet „Netzwerk“. Dabei lernen Sie zunächst die unter Windows XP verfügbaren Netzwerkprotokolle kennen. Danach wird die Konfiguration von TCP/IP-basierten Netzwerkverbindungen und drahtlosen Netzwerken (WLANs) besprochen. Weiterhin wird das Einrichten und Konfigurieren von Wähl- und DSL-Verbindungen zum Herstellen der Internetverbindung thematisiert. Zum Abschluss wird der Netzwerkinstallationsassistent behandelt. Darüber hinaus werden verschiedene Tools vorgestellt, die im Rahmen des Netzwerk- und Internetbetriebs nützlich sind.
8.1
Die Netzwerkprotokolle unter Windows XP
Für die Kommunikation im Netzwerk werden verschiedene Netzwerkprotokolle verwendet. Über ein Protokoll werden die Regeln für die Kommunikation zwischen den unterschiedlichen Netzwerkgeräten festgelegt. Für eine erfolgreiche Kommunikation müssen die Geräte dasselbe Protokoll verwenden. Im Folgenden finden Sie eine Beschreibung der von Windows XP unterstützten Netzwerkprotokolle.
8.1.1
Das TCP/IP-Protokoll
Die Abkürzung TCP/IP steht für Transmission Control Protocol/ Internet Protocol. Das TCP/IP-Protokoll stellt nicht nur das Standardprotokoll für den Internetverkehr dar, sondern ist auch in lokalen Netzwerken zum Standard geworden. Der besondere Vorteil dieses Protokolls liegt darin, dass Computer unterschiedlicher Plattformen auf einfache Weise miteinander kommunizieren können. So ist eine Kommunikation sowohl im Internet als auch im Intranet zwischen Windows- und Unixbasierten Computern möglich. Zudem ist das TCP/IP-Protokoll auf sämtlichen Windows-Plattformen verfügbar. Dazu zählen
323
Sandini Bib
8 Windows XP im Netzwerk
Windows for Workgroups, Windows 95, 98, ME, NT 4.0, 2000, XP und 2003. Auch für Windows 3.1 sowie MS-DOS ist mit Hilfe von Erweiterungen das TCP/IP-Protokoll verfügbar. Weitere Hinweise zum Berechnen von Subnetzen finden Sie in Kapitel 8.1.2. In einem TCP/IP-basierten Netzwerk muss ein Standard-Gateway definiert werden. Hierbei handelt es sich um einen Router, der die Weiterleitung von Paketen aus dem eigenen an ein anderes Netzwerk, beispielsweise das Internet, durchführt. Auch die Weiterleitung von Paketen an ein anderes Intranet in einem anderen Netzwerksegment wird über ein Standard-Gateway vorgenommen. Endgültig auf dem Vormarsch war TCP/IP mit der Integration von DNS (Domain Name System). Durch den Einsatz von DNS muss ein Benutzer nicht mehr die IP-Adresse des gewünschten Zielrechners angeben (die ohne DNS dem Anwender beispielsweise auch für den gewünschten Server im Internet bekannt sein müsste und zudem bei der Eingabe der Zahlen das Risiko von Tippfehlern birgt), sondern er kann den DNS-Namen des Zielservers nennen. Dabei ist es gleichgültig, ob es sich um einen Server im Internet handelt oder einen im Netzwerk. DNS übersetzt für den Benutzer den eingegebenen Namen in die erforderliche IPAdresse.
8.1.2
Die Berechnung von Subnetzen unter TCP/IP
Dieses Kapitel stellt einen kleinen Exkurs in die Berechnung von Subnetzen dar. Hinweise zur Strukturierung des Netzwerks
Die Subnetze werden oft in Form von Bit-Werten angegeben, z.B. 192.168.2.26/24. Dieser Exkurs soll Ihnen zeigen, wie eine dezimale Subnetzadresse in den Binärwert übersetzt werden kann. Als Beispiel wird der Bit-Wert 192.168.2.26/24 genommen. Interessant für die Berechnung des Subnetzes ist nur der Wert 24. Die 24 steht für eine 24-Bit Subnetzmaske. Anhand des Netzwerkteils der IP-Adresse lässt sich bestimmen, welcher Subnetzklasse der Bereich zuzuweisen ist. Es gibt drei Klassen von Subnetzbereichen. In Tabelle 8.1 bedeutet NW „Netzwerkteil“ und Host „Host-Teil“ der IP-Adresse.
324
Sandini Bib
Die Netzwerkprotokolle unter Windows XP
Subnetzklasse Bereich
Netzwerk-/Host-Teil der IP-Adresse
A
1.x.x.x bis 126.x.x.x
NW.Host.Host.Host
B
128.0.x.x bis 191.255.x.x
NW.NW.Host.Host
C
192.0.0.x bis 223.255.255.x
NW.NW.NW.Host
Tabelle 8.1: Die Bereiche der Subnetzklassen
Man sieht also, dass der Netzwerkbereich 192.168.2.26 in den Bereich eines Subnetzes der Klasse C fällt. 192.168.2. sind in der Klasse C der Netzwerkteil der IP-Adresse, 26 der Host-Teil der Adresse. Es ist aber auch möglich, Subnetze zuzuweisen, die nicht zu der jeweiligen Klasse gehören. So kann sich eine IP-Adresse 172.20.20.106 auch ebenso gut in einem Klasse-C-Subnetz befinden, obwohl diese eigentlich zur Klasse B gehört. Dann lautet der Netzwerkteil der IP-Adresse 172.20.20 statt 172.20. Eine Subnetzadresse besteht aus vier Oktetten zu je acht Bit. Im Binärsystem gibt es nur die Werte 1 und 0. Aus diesen beiden Werten werden alle Zahlen zwischen 0 und 255 zusammengestellt. Eine Binärzahl von 8 Bit Länge entspricht der Dezimalzahl 255. Die Darstellung der Dezimalzahlen als Binärwerte entnehmen Sie der Tabelle 8.2. Bit-Nummer
1
2
3
4
5
6
7
8
Dezimalwert
128
64
32
16
8
4
2
1
Binärwert
1
1
1
1
1
1
1
1
Tabelle 8.2: Dezimalzahlen als Binärwerte
Jede Bit-Nummer kann den Wert 1 oder 0 haben. In der Tabelle hat jede Bit-Nummer den Wert 1. Also müssen Sie alle Bit-Nummern, die den Wert 1 haben, anhand des Dezimalwerts zusammenzählen. Dies ergibt in unserem Beispiel: 왘
als Binärwert 11111111 und
왘
als Dezimalwert 128+64+32+16+8+4+2+1= 255
Eine Subnetzmaske von 8 Bit würde also 255.0.0.0 lauten, da nur die ersten acht Bits einen Wert haben. Die 24-Bit-Subnetzmaske setzt sich somit aus dreimal acht Bit zusammen, lautet also 255.255.255.0. Tabelle 8.3 gibt eine Übersicht über die gebräuchlichsten Dezimal-/Binärzahlen.
325
Sandini Bib
8 Windows XP im Netzwerk Tabelle 8.3: Berechnungsbeispiele für Dezimalzahlen als Bit-Werte
Bit-Nummer
Dezimalwert
1
2
3
4
5
6
7
8
Dezimalzahl
128
64
32
16
8
4
2
1
1
1
1
1
1
1
1
1
255
1
1
1
1
1
1
1
0
254
1
1
1
1
1
1
0
0
252
1
1
1
1
1
0
0
0
248
1
1
1
1
0
0
0
0
240
1
1
1
0
0
0
0
0
224
1
1
0
0
0
0
0
0
192
1
0
0
0
0
0
0
0
128
0
1
0
0
0
0
0
0
64
0
0
0
0
0
0
0
0
0
Ein Subnetz von beispielsweise 12 Bit hat also die Maske 255.240.0.0. Die 12 Bit setzen sich zusammen aus den 8 Bit des ersten Oktetts (255) und den 4 Bit des zweiten Oktetts (240). Weiterhin können Sie nun die Anzahl der Subnetze berechnen und wie viele Computer pro Subnetz enthalten sein können. Anzahl der Hosts pro Subnetz Beginnen Sie damit zu berechnen, wie viele Computer in einem bestimmten Subnetz enthalten sein können. 1. Hierzu werfen Sie zunächst einen Blick auf die Tabelle 8.1 und entscheiden, welcher Subnetzklasse Ihre IP-Adresse angehört oder tatsächlich zugeordnet ist. Ermitteln Sie die letzte Zahl des Netzwerkbereichs Ihrer Subnetzadresse. In unserem Beispiel der 192.168.2.26/24 handelt es sich um das Subnetz 255.255.255.0 der Klasse C. Die letzte Zahl des Netzwerkbereichs ist die 255. 2. Wenden Sie dann die folgende Formel an: 256 - (letzte Zahl des Netzwerkbereichs) = X In unserem Beispiel also 256-255 = 1 Merken Sie sich dieses Ergebnis. 3. Dann betrachten Sie die Oktette der Host-Teile Ihrer SubnetzAdresse, in unserem Beispiel also 0. Die Anzahl der Oktette
326
Sandini Bib
Die Netzwerkprotokolle unter Windows XP
variiert je nach Subnetzklasse. In der Klasse C ist es ein Oktett. Der Maximalwert je Host-Oktett kann 256 betragen. Dies wäre der Fall bei 255.255.255.0. Subtrahieren Sie den Wert des HostTeils von 256. Nehmen Sie den Wert aus Schritt 1 (in unserem Beispiel 1) und multiplizieren Sie ihn mit der Anzahl der freien Oktette des Host-Bereichs für jedes Oktett. In unserem Beispiel ergibt das: 1 * (256-0) = 1 * 256 = 256 4. Subtrahieren Sie von dem Wert aus Schritt 2 die 2. Dies ergibt in unserem Beispiel: 256 – 2 = 254 Dies ist die maximale Anzahl der Hosts in dem Subnetz 255.255.255.0. Die IP-Adressen können zwischen 192.168.2.1 und 192.168.2.254 liegen. Gibt es im Host-Bereich der Subnetzadresse kein freies Oktett mehr, z.B. bei 255.255.255.250, so nehmen Sie den letzten Teil des Netzwerkbereichs, hier also 250, und subtrahieren diesen von 256. Das ergibt 6. Dieser Wert wird nicht mit 0 multipliziert, weil es keine freien Host-Oktette mehr gibt, sondern es wird direkt von diesem Wert die 2 subtrahiert. In dem Subnetz 255.255.255.250 kann es also nur vier Hosts geben. Vereinfacht lautet die Formel: 256 – (letzte Zahl des Netzwerkbereichs) = X X * (256 - freie Oktette Host-Bereich) = Y Y – 2 = Anzahl der Hosts pro Subnetz Bei den beiden fett hervorgehobenen Zahlen handelt es sich um Konstanten. Zur Berechnung von Subnetzen, der Bit-Länge von Subnetzen, deren Anzahl sowie der Anzahl der Hosts pro Subnetz stehen Ihnen verschiedene nützliche Programme im Free- und Shareware-Sektor bzw. zum Kauf zur Verfügung.
8.1.3
Das IPX/SPX-Protokoll
Das IPX/SPX-Protokoll (Internetwork Package Exchange/ Sequenced Package Exchange) wurde von der Firma Novell für den Einsatz des Betriebssystems NetWare entworfen. Zuweilen wird das Protokoll auch nur als IPX-Protokoll bezeichnet.
327
Sandini Bib
8 Windows XP im Netzwerk
Durch die relativ weite Verbreitung von NetWare-Clients in der Windows-Welt stellt dieses Protokoll neben TCP/IP quasi den zweiten Standard dar. So bietet Microsoft selbst NetWare-Clients für alle Betriebssysteme von Windows for Workgroups bis hin zu Windows XP und 2003 Server an. Auch Novell selbst offeriert NetWare-Clients für Windows-Clients, die einen größeren Funktionsumfang bieten als die von Microsoft bereitgestellten Clients. IPX/SPX wird in den Netware-Versionen 2.x bis 4.x verwendet. Erst ab der NetWare-Version 5.0 ist IPX/SPX nicht mehr zwingend erforderlich, da die Kommunikation auch über TCP/IP erfolgen kann. Jedoch ist auch weiterhin der Einsatz von IPX/SPX möglich. Ab der NetWare-Version 6.x wird nur noch TCP/IP eingesetzt. Durch diese neuen Implementierungsformen wird das Protokoll sicherlich mittel- bis langfristig an Bedeutung verlieren. Analog zu TCP/IP werden auch hier spezielle IPX/SPX-Router verwendet, um die Kommunikation mit externen Netzwerken herstellen zu können.
8.1.4 Wird unter Windows XP kaum noch eingesetzt
Das NetBEUI-Protokoll
Das dritte, im Gegensatz zu TCP/IP und IPX/SPX jedoch deutlich an Bedeutung verlierende von Windows XP unterstützte Protokoll ist das NetBEUI-Protokoll (NetBIOS Extended User Interface). Hierbei handelt es sich um eine 1985 von Microsoft und IBM angestoßene Weiterentwicklung des NetBIOS (Network Basic Input/Output System), das bereits 1983 von IBM entwickelt wurde. NetBEUI wird von sämtlichen Microsoft-Betriebssystemen von Microsoft for Workgroups bis hin zu Windows XP unterstützt (jedoch nicht mehr von Windows Server 2003 nativ, sondern erst durch die separate Installation des Protokolls). Der große Erfolg dieses Protokolls lag seinerzeit in seiner Simplizität begründet. Es ist keinerlei Einstellungs- und Konfigurationsaufwand nötig (im Gegensatz zu TCP/IP und IPX/SPX), um eine Kommunikation der Geräte sicherzustellen. Es wird dazu lediglich der NetBIOS-Name der Computer benutzt. In diesem damals als Vorteil erachteten Minimalaufwand liegt leider auch der Nachteil, dass dieses Protokoll keine Routing-Funktion bietet. Was seinerzeit in einem kleinen Netzwerk sicherlich noch akzeptabel war, stellt heutzutage schon ein gravierendes Problem dar. Computer, die sich hinter einem Router in einem anderen Netzwerksegment befinden, können beim Einsatz des NetBEUI-Protokolls nicht gesehen werden. Es kann also nur über den NetBIOSNamen die Knotenadresse des Geräts ermittelt werden, nicht aber
328
Sandini Bib
Netzwerke konfigurieren
wie unter TCP/IP und IPX/SPX zusätzlich auch über die Netzwerkadresse das gültige Netzwerksegment. Bei jedem Microsoft-Betriebssystem müssen Sie während der Installation einen Computernamen angeben. Dieser Name wird automatisch als NetBIOS-Name benutzt. In einer DNSbasierten Active Directory-Umgebung unter Windows Server 2000/2003 wird der NetBIOS-Name theoretisch nicht mehr benötigt, ist aber aus Gründen der Abwärtskompatibilität noch enthalten. Sie haben jedoch im reinen Active Directory die Möglichkeit, die NetBIOS-Funktion komplett abzuschalten. Stellen Sie in diesem Fall aber unbedingt sicher, dass Sie weder Applikationen einsetzen, die noch auf den NetBIOS-Namen zurückgreifen, noch Netzwerkgeräte wie Druckserver, die noch nicht DNS-fähig sind.
8.2
Netzwerke konfigurieren
Dieses Kapitel beschäftigt sich mit der Einrichtung von Netzwerkverbindungen. Spezielle Hinweise für drahtlose Netze finden Sie in Kapitel 8.3. Die Konfiguration sämtlicher Netzwerkverbindungen, drahtloser Verbindungen sowie Wählverbindungen (DFÜVerbindungen) und VPN (Virtual Private Network)-Verbindungen geschieht über das Fenster NETZWERKVERBINDUNGEN, das Sie über die NETZWERKUMGEBUNG aufrufen. Die Anzahl der dort hinterlegten Verbindungen kann von einem Computer zum anderen variieren und ist davon abhängig, welche Hardware in Kombination mit welchen Verbindungen eingesetzt wird. In Abbildung 8.1 sehen Sie ein Beispiel für mehrere Netzwerkverbindungen. Abbildung 8.1: Übersicht über mehrere verschiedene, auf einem Windows XP-Client eingerichtete Netzwerkverbindungen
Die Verbindungen sind dort in verschiedene Kategorien eingeteilt. An oberster Stelle im Abschnitt BREITBAND werden Breitbandverbindungen wie z.B. DSL-Verbindungen aufgelistet, sofern die DSL-
329
Sandini Bib
8 Windows XP im Netzwerk
Verbindung nicht über das Netzwerk hergestellt wird. Der nächste Abschnitt DFÜ beinhaltet die Wählverbindungen für die Interneteinwahl. Hier werden sowohl Verbindungen aufgelistet, die über analoge Geräte hergestellt werden, als auch solche über ISDNGeräte. Im Abschnitt LAN ODER HOCHGESCHWINDIGKEITSINTERNET sind die LAN-Verbindungen (Ethernet und WLAN) aufgeführt. Wird der DSL-Zugang über ein Netzwerk hergestellt, wird dazu eine der LAN-Verbindungen benutzt. Auch VPN-Verbindungen werden in diesem Abschnitt dargestellt. Der unterste Punkt VERBINDUNGS-MANAGER ist nur vorhanden, wenn der Windows XP-Client eine Verbindung mit einem Small Business Server 2003 (SBS) herstellt. Beachten Sie, dass nicht alle oben beschriebenen Abschnitte aufgeführt sein müssen. Wenn Sie beispielsweise keine DFÜVerbindungen konfiguriert haben, ist dieser Abschnitt auch nicht verfügbar. Bevor die TCP/IP-Konfiguration einer LAN-Verbindung besprochen wird, erhalten Sie einige Hinweise zu wichtigen Techniken.
8.2.1
Adressvergabe
Eine wichtige Entscheidung für die TCP/IP-Konfiguration besteht darin , ob diese Konfiguration manuell oder automatisch erfolgen soll. Im Falle der automatischen Konfiguration wird in aller Regel ein DHCP (Dynamic Host Configuration Protocol)Server verwendet. Einen Sonderfall stellt hierbei die automatische Adressierung über APIPA dar. Bei einer manuellen Konfiguration müssen Sie dem Client eine eindeutige IP-Adresse, eine zugehörige Subnetzmaske sowie das Standard-Gateway und optional den Eintrag für einen DNS-Server mitgeben. Diese manuelle Konfiguration ist in einem kleinen überschaubaren Netzwerk durchaus sinnvoll, zumal in einer kleinen Arbeitsgruppenumgebung nicht unbedingt ein Server vorhanden sein wird, der als DHCP-Server dient. In einer großen Umgebung mit einigen hundert Clients hingegen werden Sie sicher nicht mehr auf die Idee kommen, die Konfiguration der einzelnen Clients manuell vorzunehmen, da dies ein viel zu hoher (und damit teurer) Verwaltungsaufwand wäre. In diesem Fall erfolgt die automatische Konfiguration über DHCP.
330
Sandini Bib
Netzwerke konfigurieren
Die Funktionsweise von DHCP Um DHCP einsetzen zu können, benötigen Sie mindestens einen DHCP-Server. Hierzu wird ein Serverbetriebssystem benötigt, das einen DHCP-Dienst bereitstellt. Sofern im Netzwerk ein Active Directory eingesetzt wird, wird der DHCP-Server wahrscheinlich unter Windows Server 2000/2003 betrieben. Sie können jedoch auch einen Server unter Windows NT oder sogar einen Unix/ Linux-basierten DHCP-Server einsetzen. Dieser Server stellt automatisch für sämtliche DHCP-Clients eine IP-Adresse bereit. Als DHCP-Client kann jeder Computer mit einem Windows-, Linux-, Unix- oder Macintosh-Betriebssystem eingesetzt werden. Die Leistung des DHCP-Client besteht lediglich darin, dass für diesen die TCP/IP-Konfiguration nicht manuell bestimmt, sondern vom DHCP-Server bezogen wird. Auf dem DHCP-Server wird ein Pool von IP-Adressen bestimmt, die der Server automatisch den Clients zuweisen darf. Sobald ein Client vom Server eine IP-Adresse anfordert, teilt dieser ihm eine noch nicht vergebene Adresse zu. Im Server wird festgelegt, für welche Zeit der Client diese Adresse behalten darf. Dieser Zeitraum wird auch als Lease-Dauer bezeichnet. Ist die Lease-Dauer abgelaufen, wird die Adresse vom Client automatisch wieder an den Server zurückgegeben und zum Pool der freien Adressen hinzugefügt. Diese Adresse kann nun an einen anderen Client vergeben werden. Sie sehen also, dass bei diesem Verfahren ein Client im Laufe der Zeit unterschiedliche IP-Adressen erhalten kann. Das Vergabeverfahren ist dynamisch. Außer der IP-Adresse werden auch die Subnetzmaske, das Standard-Gateway sowie die DNS-Server-Einträge automatisch zugewiesen. Auf Systemen, die als Anwendungs- und Kommunikationsserver (z.B. als Web- oder E-Mail-Server) konfiguriert sind, sollten Sie die IP-Adressen statisch festlegen und nicht per DHCP zuweisen lassen. Viele Anwendungs-Clients haben Probleme mit wechselnden IP-Adressen. Automatic Private IP Addressing (APIPA) Wie bereits weiter oben erwähnt, können IP-Adressen nicht nur über DHCP, sondern auch über APIPA dynamisch zugewiesen werden. APIPA steht für Automatic Private IP Addressing. Die APIPA-Funktion greift, wenn für einen Client die automatische Konfiguration gewählt ist, jedoch keine Verbindung mit einem DHCP-Server hergestellt werden kann. Hierbei werden automatisch IP-Adressen aus dem Bereich 169.254.x.x mit der Subnetz-
331
Sandini Bib
8 Windows XP im Netzwerk
maske 255.255.0.0 zugewiesen. Im Gegensatz zur Verteilung über DHCP wird kein fester Adress-Pool benutzt. Es wird eine zufällige Adresse vergeben, wobei lediglich per Ping geprüft wird, ob die Adresse bereits vorhanden ist. Die Zuweisung eines StandardGateway und des DNS-Servers ist mit APIPA nicht möglich. Dies würde auch wenig Sinn ergeben, da ja die Einträge von Netzwerk zu Netzwerk unterschiedlich sind. APIPA weist auch eine Adresse zu, wenn weder eine statische Adresse festgelegt noch eine alternative Konfiguration (siehe Kapitel 8.2.3) angegeben ist und kein DHCP-Server erreicht werden kann. Konfiguration der Adressvergabe Um herauszufinden, auf welche Weise der LAN-Verbindung die IP-Adresse zugewiesen wird, wählen Sie aus dem Kontextmenü der Verbindung den Eintrag EIGENSCHAFTEN und wechseln auf die Registerkarte NETZWERKUNTERSTÜTZUNG (siehe Abbildung 8.2). Abbildung 8.2: Der Adresstyp der LAN-Verbindung gibt an, wie die IP-Adresse zugeteilt wurde.
Unter ADRESSTYP finden Sie einen der folgenden Einträge:
332
왘
MANUELL KONFIGURIERT, wenn eine statische IP-Adresse zugewiesen wurde
왘
VON DHCP ZUGEWIESEN, wenn die Zuweisung dynamisch über einen DHCP-Server erfolgt
왘
AUTOMATISCH ZUGEWIESENE PRIVATE ADRESSE, wenn diese über APIPA zugeteilt wurde
Sandini Bib
Netzwerke konfigurieren
Haben Sie die Adresszuweisung auf DHCP eingestellt und ist der DHCP-Server nicht erreichbar, kann der Start von Windows XP deutlich verzögert werden, solange nach dem nicht erreichbaren DHCP-Server gesucht wird. Dies kann bis zu einer Minute dauern.
8.2.2
Die Konfiguration einer LAN-Verbindung
Nachdem Sie über die verschiedenen Techniken der Adresszuweisung informiert sind, wird nun zuerst die manuelle Konfiguration der LAN-Verbindung betrachtet. Um eine LAN-Verbindung zu bearbeiten, wählen Sie aus dem Kontextmenü der gewünschten Verbindung den Eintrag EIGENSCHAFTEN (siehe Abbildung 8.4). Abbildung 8.3: Die Eigenschaften einer LANVerbindung
Zunächst sehen Sie oben die von der Verbindung verwendete Netzwerkkarte angezeigt. Über KONFIGURIEREN können Sie Einstellungen an der Hardware vornehmen, z.B. den Treiber aktualisieren oder Ressourceneinstellungen bearbeiten. Im Abschnitt DIESE VERBINDUNG VERWENDET FOLGENDE ELEMENTE finden Sie alle für diese Verbindung installierten Clients, Dienste und Protokolle. Wenn Sie ein Element markieren, erhalten Sie unter BESCHREIBUNG weitere Hinweise dazu. Schließlich können Sie noch festlegen, ob im Infobereich ein Symbol angezeigt werden soll, wenn die Verbindung besteht, und ob Sie bei Verbindungsproblemen benachrichtigt werden möchten.
333
Sandini Bib
8 Windows XP im Netzwerk
Die TCP/IP-Konfiguration für die Verbindung erreichen Sie, indem Sie INTERNETPROTOKOLL (TCP/IP) markieren und dann auf EIGENSCHAFTEN klicken. Sie erhalten damit das in Abbildung 8.4 dargestellte Fenster. Um eine automatische Konfiguration über DHCP einzurichten, klicken Sie auf IP-ADRESSE AUTOMATISCH BEZIEHEN. Möchten Sie eine statische Adresse vergeben, füllen Sie die Felder mit den erforderlichen Werten aus. Bestätigen Sie mit OK. Abbildung 8.4: Das Festlegen von IP-Adresse, Subnetz und weiteren Netzwerkparametern
Weitere Konfigurationsmöglichkeiten erhalten Sie, wenn Sie auf ERWEITERT klicken. Die einzelnen Registerkarten haben die in Tabelle 8.4 aufgeführten Bedeutungen. Tabelle 8.4: Übersicht über die erweiterten Einstellungen der TCP/IP-Konfiguration
334
Registerkarte
Beschreibung
IP-Einstellungen Hier können Sie ebenfalls die IP-Adresse festlegen oder bearbeiten. Weiterhin besteht die Möglichkeit, für eine LAN-Verbindung noch zusätzliche IP-Adressen hinzuzufügen. Damit ist es möglich, dass der Computer auf die Anforderungen verschiedener Adressen reagieren kann. In der Regel wird diese Option bei Clientcomputern jedoch nicht angewendet. Weiterhin können Sie auch zusätzliche Standard-Gateways hinzufügen.
Sandini Bib
Netzwerke konfigurieren
Registerkarte
Beschreibung
DNS
Hier legen Sie den oder die DNS-Server fest. Ist die Option ADRESSEN DIESER VERBINDUNG IN DNS REGISTRIEREN aktiviert, wird die IP-Adresse bei dem festgelegten DNS-Server registriert, sofern der Server über DDNS (Dynamisches DNS) verfügt.
WINS
Hier können Sie optional einen WINS (Windows Internet Name Service)-Server angeben. Weiterhin können Sie festlegen, ob die Abfrage der Datei LMHOSTS aktiviert werden soll und in welcher Weise NetBIOS über TCP/IP genutzt werden soll.
Optionen
Hier können TCP/IP-Filter definiert werden. Mit Hilfe dieser Filter können Sie IP-Pakete abweisen, die nicht für einen bestimmten Port oder ein IP-Protokoll bestimmt sind.
8.2.3
Die alternative IP-Konfiguration
Windows XP bietet Ihnen die Möglichkeit, einem Computer mit nur einer Netzwerkkarte mehrere IP-Adressen zuzuweisen. Es können dabei statische und dynamische IP-Adressen zugewiesen werden. Man spricht auch von der alternativen IP-Konfiguration. In aller Regel wird dieses Feature für Laptops benutzt, die eine Erleichtert die Konfiguration für das Firmennetzwerk und eine zweite Konfigu- Netzwerkkonfiguration ration für das private Netzwerk zu Hause besitzen. Beispielsweise kann es sich einmal um eine per DHCP zugewiesene und daneben um eine fixe IP-Adresse handeln. Um die alternative IP-Konfiguration einzurichten, führen Sie die folgenden Schritte aus: 1. Öffnen Sie die Eigenschaften der Netzwerkverbindung. Markieren Sie dann TCP/IP-PROTOKOLL und klicken Sie auf EIGENSCHAFTEN. 2. Markieren Sie auf der Registerkarte ALLGEMEIN den Eintrag IP-ADRESSE AUTOMATISCH BEZIEHEN. Damit wird die Registerkarte ALTERNATIVE KONFIGURATION verfügbar, auf die Sie nun wechseln. 3. Hier können Sie eine fixe IP-Adresse eintragen, die Sie im Heimnetzwerk verwenden möchten (siehe Abbildung 8.5). Alternativ können Sie auch als zweite Konfiguration eine automatisch zugewiesene private Adresse benutzen. Klicken Sie dann auf OK.
335
Sandini Bib
8 Windows XP im Netzwerk Abbildung 8.5: Bestimmen einer alternativen TCP/IP-Konfiguration
Sobald das System neu gestartet wird, versucht Windows zunächst den DHCP-Server für die automatische Adresszuweisung der ersten Konfiguration zu ermitteln. Ist dies möglich, wird die erste Konfiguration benutzt. Ist kein DHCP-Server erreichbar, so wird automatisch die in der alternativen Konfiguration festgelegte IP-Adresse verwendet.
8.2.4
Anzahl der gleichzeitigen TCPVerbindungen
Durch die Installation des Service Pack 2 wird die Anzahl der maximal gleichzeitig möglichen TCP-Verbindungen auf zehn begrenzt. Dieses Verhalten wurde von Microsoft als Schutz gegen die flutartige Verbreitung von Viren eingebaut. Allerdings kann diese Einschränkung auch zu Problemen bei anderen Programmen führen, so beispielsweise bei Peer-to-Peer-Tauschbörsen. Um den Wert heraufzusetzen, öffnen Sie in der Registry den Schlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\Tcpip\Parameters. Dort legen Sie die gewünschte Anzahl im Wert TcpNumConnections fest.
336
Sandini Bib
Drahtlose Netzwerke konfigurieren
8.3
Drahtlose Netzwerke konfigurieren
Drahtlose Netzwerke, die auch als Wireless LAN oder kurz WLAN bezeichnet werden, finden immer raschere Verbreitung, auch wenn diese bereits seit Mitte der 90er Jahre verfügbar sind. Allerdings waren damals viel zu niedrige Übertragungsraten sowie Probleme bei der Interoperabilität ein hemmender Faktor für die Verbreitung dieser Technologie. Bei neuen Notebooks gehört eine integrierte WLAN-Karte heute nahezu zum Standard, aber selbst für stationäre Workstations werden WLAN-Karten angeboten. Seine Popularität verdankt das WLAN der Unabhängigkeit der Reichweite von verlegten Netzwerkkabeln und daraus resultierender Unabhängigkeit bei der Wahl des Arbeitsplatzes. Wer würde auch nicht an einem schönen Sommertag lieber mit dem Laptop im Freien arbeiten, anstatt den gesamten Tag im Büro verbringen zu müssen? Voraussetzung ist natürlich, dass das Empfangssignal des WLAN auch im Freien noch stark genug ist und der Arbeitgeber nichts gegen den Wechsel des Arbeitsplatzes einzuwenden hat. Da die Kosten für WLAN-Geräte immer weiter sinken, spielt in manchen Fällen, insbesondere beim Erstaufbau eines Netzwerks, sicherlich auch der Kostenfaktor eine Rolle. Beim Einsatz eines WLAN entfallen schließlich sämtliche Kosten für die Netzwerkkabel und deren Verlegung sowie die Arbeitskosten für die Vorbereitung zur Verlegung. Auch im laufenden Betrieb stellt später der Austausch defekter Kabel keinen Kostenfaktor mehr dar. Allerdings sollte auch nicht das Sicherheitsrisiko verschwiegen werden, das bei einer WLAN-Verbindung höher ist als bei einer kabelgebundenen Verbindung. Beim Einsatz von Funk liegt es in der Natur der Sache, dass dieser abgehört werden kann. WLANVerbindungen sind durch Verschlüsselung der Übertragung sowie durch die Zugriffsbeschränkung für definierte Clients abzusichern. Es sollte unbedingt auf die in Kapitel 8.3.2 beschriebenen Sicherheitsstandards geachtet werden.
8.3.1
WLANs und deren ÜbertragungsStandards
Die Funktionsweise des WLAN ist einer Reihe von Standards Auf unterstützte unterworfen, nach denen die erforderliche Hardware arbeiten Standards achten sollte. Wie bereits eingangs erwähnt, stellten sich bei der ersten Generation von WLANs oftmals Probleme bei der Interoperabili-
337
Sandini Bib
8 Windows XP im Netzwerk
tät ein. Diese Probleme lagen damals am Fehlen grundlegender Standards. Aber auch heute kann es aufgrund der Vielzahl von Standards ebenfalls zu Interoperabilitätsproblemen kommen. Der Standard 802.11 Ein erster Standard wurde im Jahre 1997 vom Institute of Electrical and Electronics Engineers (IEEE) eingeführt. Der erste war der 802.11-Standard für WLANs. Dieser Standard besagte, dass die Übertragungsrate bei 2 Mbit/s liegt (mit Möglichkeit zum Fallback auf 1 Mbit/s). Zudem musste ein WLAN im 2,4 GHz-Bandbereich arbeiten. Dieser Bandbereich ist lizenzfrei. Ab diesem Moment waren zwar Standards für den Betrieb des WLAN definiert, allerdings waren die Übertragungsraten von 2 Mbit/s mit den damals 10 Mbit/s und insbesondere den sich durchsetzenden Verbindungen von 100 Mbit/s nicht konkurrenzfähig. Zudem waren WLAN-Geräte unverhältnismäßig viel teurer als kabelgebundene Netzwerkgeräte. Das IEEE hatte auch bei der Standardisierung kabelgebundener Netzwerke entscheidenden Anteil. So wurde von ihm der 802.3-Ethernet-Standard eingeführt. Der Standard 802.11b Der nächste Standard für WLANs wurde im Jahr 1999 ebenfalls vom IEEE festgelegt. Hierbei handelte es sich um den Standard 802.11b. Dieser legte, ebenfalls im 2,4 GHz-Bereich operierend, eine Übertragungsrate von 11 Mbit/s fest. Die Fallback-Möglichkeiten waren für 5,5 Mbit/s sowie 1 Mbit/s definiert. Diese Übertragungsrate war für den Internetzugriff sowie für einfache Dateizugriffe durchaus ausreichend, sodass WLANs nun gegenüber dem ersten Standard schneller Akzeptanz fanden. Der Standard 802.11a Der Standard 802.11a wurde auch im Jahr 1999 vom IEEE festgelegt. Der entscheidende Unterschied zum 802.11b-Standard lag im verwendeten Frequenzbereich. Mit 802.11a wurde der Betrieb auf den 5 GHz-Bereich verlagert. Dies brachte den Vorteil, dass in diesem Frequenzbereich keine störenden Frequenzen wie beispielsweise von Mikrowellen oder Bluetooth mehr auftreten konnten. Dennoch wird auch dieser Frequenzbereich beispielsweise von der Flugsicherung oder zu militärischen Zwecken verwendet. Der Vorteil brachte jedoch auch drei Nachteile mit sich: Erstens durften die Geräte nur innerhalb von Gebäuden und auch dort nur mit einer verringerten Sendeleistung eingesetzt werden, was zu einer
338
Sandini Bib
Drahtlose Netzwerke konfigurieren
geringeren Reichweite führte. Zweitens waren Geräte, die nach dem 802.11a-Standard arbeiteten, nicht mit Geräten des 802.11bStandards kompatibel, und drittens wurde der 5 GHz-Bereich in weiten Teilen Europas bislang nicht für kommerzielle Zwecke genutzt, ganz im Gegensatz zu den USA. So kam es, dass Geräte mit diesem Standard in den USA einen weitaus größeren Absatzmarkt fanden. Die Übertragungsrate lag auch weiterhin bei 11 Mbit/s. Der Standard 802.11h Aufgrund der Probleme mit dem 5 GHz-Bereich in Europa wurde als Nächstes der Standard 802.11h definiert. Dieser Standard besagte nun, dass eine dynamische Frequenzwahl (Dynamic Frequency Selection, DFS) sowie eine veränderbare Sendeleistung (Transmit Power Control, TPC) möglich sein müssen. Dieser Standard wurde speziell für Europa entwickelt. Allerdings wurden amerikanische Geräte mit dem Standard 802.11a zunehmend mit dem europäischen Standard kompatibel, sodass der neue Standard auch als 802.11a/h bezeichnet wird. Die Übertragungsgeschwindigkeit beträgt 11 Mbit/s. Der Standard 802.11b+ Der Standard 802.11b+ ist eine Weiterentwicklung von 802.11b und bezieht sich ebenfalls auf den 2,4 GHz-Bandbereich. Dieser Standard wurde jedoch nicht vom IEEE definiert, sondern basiert auf einem Chip-Satz der Firma Texas Instruments. Die Geschwindigkeit liegt hier bei 22 Mbit/s und kann durch ein Update der Firmware sogar auf 44 Mbit/s heraufgesetzt werden. Auch eine Abwärtskompatibilität zu den 11 Mbit-Netzwerken des 802.11bStandards ist gegeben. Allerdings senkt sich die Übertragungsgeschwindigkeit automatisch von 44 Mbit/s bzw. 22 Mbit/s auf 11 Mbit/s, sobald sich ein 802.11b-Gerät im Netzwerk befindet. Der Standard 802.11g Im Gegensatz zu 802.11b+ wurde der Standard 802.11g wieder vom IEEE definiert. Auch dieser Standard bezieht sich auf die Bandbreite von 2,4 GHz. Die Geschwindigkeit liegt nun bei 54 Mbit/s. Geräte dieses Standards sind auch mit den 11 Mbit/s schnellen Geräten des Standards 802.11b kompatibel. Sobald sich jedoch ein solches Gerät im Netzwerk befindet, verringert sich die Geschwindigkeit des schnelleren Geräts nicht automatisch von 54 Mbit/s auf 11 Mbit/s, sondern nimmt nur unwesentlich ab.
339
Sandini Bib
8 Windows XP im Netzwerk
Weitere Standards Weitere Standards sind bisher vom IEEE nicht definiert worden. Allerdings bringen zahlreiche Hersteller Geräte auf den Markt, die mit höheren Übertragungsraten als 54 Mbit/s arbeiten. Diese Geräte sind in jedem Fall abwärtskompatibel mit niedrigeren Übertragungsraten; die volle Geschwindigkeit bringen sie jedoch nur, wenn sich ausschließlich Geräte desselben Chip-Satzes im Netzwerk befinden. Der 802.11b+-Standard von Texas Instruments war das erste Beispiel für derartige firmenspezifische Standards.
8.3.2
Sicherheitsstandards für WLANs
Neben der Implementierung von Übertragungsstandards wurde auch der Sicherheit von WLANs Rechnung getragen, indem für diesen Bereich ebenfalls Standards definiert wurden. Hier ist wiederum das IEEE zuständig, diesmal mit der speziellen Arbeitsgruppe 802.11i sowie der Wi-Fi-Alliance (Wireless Fidelity). Wi-Fi-Certified Von der Wi-Fi-Gruppe wurde ein Standard für die Interoperabilität mit dem Standard 802.11b erarbeitet. Sämtliche Produkte, die nach einer Prüfung mit diesem Standard kompatibel sind, dürfen die Bezeichnung Wi-Fi-Certified tragen. WEP und WPA Weiterhin wurden von der Wi-Fi auch Sicherheitsmechanismen erarbeitet. Der erste dieser Mechanismen war das WEP (Wired Equivalent Privacy). Nachdem dieser Verschlüsselungsmechanismus jedoch einige Schwächen gezeigt hatte, wurde als neuer Standard WPA (Wi-Fi Protection Access) definiert. Der WPA-Mechanismus ist mit dem 802.11i-Standard vollständig kompatibel.
8.3.3
Die Betriebsarten eines WLAN
Bevor die Windows-seitige Konfiguration des WLAN näher beschrieben werden soll, erhalten Sie zunächst noch einen Überblick über die beiden Betriebsarten, die für ein WLAN eingerichtet werden können. Dabei handelt es sich um ein Ad-hoc-Netzwerk sowie um ein Infrastruktur-Netzwerk.
340
Sandini Bib
Drahtlose Netzwerke konfigurieren
Das Ad-hoc-Netzwerk Ein Ad-hoc-Netzwerk ist vergleichbar mit einem Peer-to-PeerNetzwerk (siehe Abbildung 8.6). Abbildung 8.6: Beispiel für ein kleines Ad-hocNetzwerk mit zwei Geräten innerhalb einer Funkzelle Notebook mit WLAN-Karte
PC mit WLAN-Karte
In dieser Betriebsart verfügt jeder teilnehmende Computer über eine eigene Funknetzwerkkarte, die mit einem der 802.11-Standards kompatibel ist. Die Kommunikation der einzelnen Geräte findet innerhalb einer Funkzelle statt. Da die Kommunikation direkt von einem Gerät zum anderen verläuft, werden keine zusätzlichen Komponenten benötigt, sodass diese Form des WLAN jederzeit spontan aufgebaut werden kann – daher auch der lateinische Name ad hoc. Infrastruktur-Netzwerk Ein Infrastruktur-Netzwerk ist annähernd vergleichbar mit einem Client/Server-Netzwerk (siehe Abbildung 8.7). Hier agiert ein zentrales Gerät, nämlich der Access Point, der die Funksignale sämtlicher Geräte empfängt, verstärkt und weiterleitet. Die Access Points (AP) werden auch als Zugriffspunkte bezeichnet. Da der Access Point die Signale verstärkt, kann auch der Empfangsbereich innerhalb der Funkzelle gegenüber einem Ad-hoc-Netzwerk ausgedehnt werden. Weiterhin können Sie über einen Access Point das WLAN mit einem herkömmlichen, kabelgebundenen Netzwerk verbinden. Somit werden weitere und flexiblere Zugriffsmöglichkeiten als in einem Ad-hoc-Netzwerk eröffnet.
341
Sandini Bib
8 Windows XP im Netzwerk Abbildung 8.7: InfrastrukturNetzwerk, in dem die WLAN-Geräte über den Access Point mit dem Ethernet kommunizieren können
Notebooks mit WLAN-Karte
PCs mit WLAN-Karte
Access Point
Switch im Ethernet
Server mit Ethernet-Karte
PC mit Ethernet-Karte
Notebook mit Ethernet-Karte
Was sind Funkzellen und Funkkanäle? Sie haben gerade gelesen, dass beim Ad-hoc-Netzwerk eine Funkzelle aufgebaut und benutzt wird, während diese im Infrastruktur-Netzwerk durch den Einsatz eines Access Point vergrößert oder durch den Einsatz mehrerer Access Points sogar über überschneidende Bereiche noch großflächiger angelegt werden können. Dabei wird von jedem Access Point eine eigene Funkzelle aufgebaut. Bewegt sich nun ein Benutzer mit seinem Notebook durch einen Bereich mit mehreren Funkzellen, wird automatisch immer nach dem Access Point mit dem stärksten Signal gesucht. Sobald dabei auf einen Access Point mit einem stärkeren Signal zugegriffen wird, wird die bestehende Verbindung nun von diesem übernommen. Der Benutzer bemerkt keine Veränderungen oder Probleme beim automatischen Wechsel der Funkzelle. Windows XP ist in der Lage, beim Wechsel der Funkzelle auch automatisch die TCP/IP-Einstellungen über DHCP zu aktualisieren, sofern für die Verbindung keine fixen Einstellungen festgelegt sind.
342
Sandini Bib
Drahtlose Netzwerke konfigurieren
Die Funksignale werden von den einzelnen Geräten über einen bestimmten Funkkanal übertragen. Dabei einigen sich die Geräte in aller Regel selbst, welcher der verschiedenen Kanäle verwendet werden soll. Sie können aber auch manuell einen bestimmten Kanal festlegen. Achten Sie dann jedoch darauf, dass alle WLANKarten und Access Points denselben Kanal verwenden. Bei der Konfiguration der Kanäle für mehrere Access Points des Standards 802.11b sollten Sie unbedingt darauf achten, dass die gewählten Kanäle um mindestens fünf Kanäle auseinander liegen. Beim Einsatz von zwei Access Points könnten Sie beispielsweise die Kanäle 1 und 6 verwenden, beim Einsatz von drei Access Points die Kanäle 1, 6 und 11. Dies liegt darin begründet, dass die Frequenzen der einzelnen Kanäle nur um jeweils 5 MHz auseinander liegen, während das Funksignal selbst 30 MHz benötigt. Dies setzt sich zusammen aus der Frequenz, die der gewählte Kanal verwendet (Mittelfrequenz), und den zwei äußeren Grenzfrequenzen.
8.3.4
Authentifizierungsmechanismen im WLAN
Bevor sich ein WLAN-Gerät authentifizieren kann, muss es zunächst die Verbindung mit einem WLAN herstellen und sich mit diesem identifizieren. Für eine Identifikation des WLAN werden verschiedene Identifikationsnamen benutzt. 왘
SSID
Aus Sicherheitsgründen sollte eine dieser Authentifizierungsmechanismen benutzt werden
Service Set Identifier. Der SSID stellt den Namen des WLAN dar. Dieser Name wird sowohl am Access Point als auch an den einzelnen WLAN-Geräten angegeben. Der SSID muss für alle Geräte desselben WLAN identisch sein. 왘
ESSID Extended Service Set Identifier. Der ESSID gibt den Namen des WLAN an, wenn dieses im Infrastruktur-Modus betrieben wird. Sofern dort mehrere Access Points verwendet werden, müssen sie alle denselben ESSID besitzen.
왘
IBSSID Independent Basic Service Set Identifier. Über den IBSSID wird ein Ad-hoc-Netzwerk identifiziert, in dem keine Access Points eingesetzt werden.
343
Sandini Bib
8 Windows XP im Netzwerk
Die Authentifizierungsmechanismen Open System und Shared Key Bei der Authentifizierung am WLAN können zwei verschiedene Mechanismen verwendet werden: Open System und Shared Key. Beim Mechanismus Open System handelt es sich jedoch um keinen sicherheitsbringenden Mechanismus. Er besagt lediglich, dass jedes Gerät des 802.11b-Standards eine Authentifizierung anfordern kann. Damit ist jedoch nicht ausgeschlossen, dass unbefugte Personen auf das WLAN zugreifen können. Der Open KeyMechanismus wird automatisch angewendet, sofern Sie in der Konfiguration des Access Point keinen Schlüssel festlegen. Standardmäßig ist auf keinem Access Point eine Verschlüsselung aktiviert. Abbildung 8.8: Konfigurationsmenü für einen Access Point
Ein besserer Schutz ist gegeben, wenn der Mechanismus Shared Key angewendet wird. Hierbei wird ein WEP (Wired Equivalent Privacy)-Schlüssel zur Verschlüsselung sämtlicher übertragener Daten verwendet. WEP-Schlüssel können Verschlüsselungsstärken von 64 Bit, 128 Bit und 256 Bit besitzen (siehe Abbildung 8.8). Mit Hilfe eines solchen Schlüssels wird der unbefugte Zugriff erschwert; dennoch ist es nicht unmöglich, dass ein WEP-Schlüssel entschlüsselt werden kann. Deshalb sollten Sie den WEP-Schlüssel von Zeit zu Zeit ändern. Allerdings bringt eine regelmäßige Änderung des WEP-Schlüssels auch einen nicht unerheblichen Arbeitsaufwand mit sich. Da alle Geräte des WLAN denselben Schlüssel verwenden müssen, muss auf jedem Gerät die entsprechende Ein-
344
Sandini Bib
Drahtlose Netzwerke konfigurieren
stellung vorgenommen werden. Dieses Verfahren kann (noch) nicht automatisiert werden – es ist also Handarbeit gefragt. WEP-Schlüssel Wie eben bereits erwähnt, können für die WEP-Schlüssel unter- WEP-Schlüssel schiedliche Längen festgelegt werden. Tabelle 8.5 gibt einen Über- standardmäßig einsetzen blick über die verschiedenen Schlüssellängen. Schlüsselname
Länge in Byte
Länge in Bit
WEP-64
5
40
WEP-128
13
104
WEP-256
29
232
Tabelle 8.5: Übersicht über die verschiedenen WEPSchlüssellängen
Sie können einen WEP-Schlüssel entweder im ASCII-Format oder als hexadezimalen Wert angeben. Für einen WEP-64Schlüssel ist also entweder eine 5-stellige ASCII-Zeichenfolge oder aber ein 10-stelliger hexadezimaler Wert anzugeben. Auf den meisten 802.11b-kompatiblen Access Points und Netzwerkgeräten können bis zu vier verschiedene WEP-Schlüssel definiert werden. Dazu müssen alle Geräte eines WLAN denselben WEP-Schlüssel verwenden, damit eine Kommunikation untereinander möglich ist. Überprüfen Sie zusätzlich, ob es erforderlich ist, dass auf dem Access Point derselbe Schlüsselindex wie auf den WLAN-Karten eingestellt ist. Weitere Hinweise dazu entnehmen Sie den entsprechenden Hardware-Dokumentationen. Sobald nun ein WLAN-Gerät mit einem Access Point eine Verbindung herstellt, wird diesem Gerät mitgeteilt, dass zur Authentifizierung ein WEP-Schlüssel erforderlich ist. Sofern das Gerät über den korrekten WEP-Schlüssel verfügt, erfolgt eine Authentifizierung und die gesamte folgende Kommunikation wird über den WEP-Schlüssel verschlüsselt.
8.3.5
Einsatz einer WLAN-Karte unter Windows XP
Bevor die WLAN-Karte genutzt werden kann, muss sie zunächst unter Windows XP installiert und konfiguriert werden. Die meisten Karten sollten ohne zusätzliche Treiber per Plug&Play erkannt werden. Bei in Notebooks integrierten WLAN-Karten ist die automatische Erkennung in der Regel auch sichergestellt oder aber die erforderlichen Treiber werden mit dem Notebook mitgeliefert.
345
Sandini Bib
8 Windows XP im Netzwerk
Nach der Hardware-seitigen Erkennung verlangt eine WLANKarte im Gegensatz zu einer Ethernet-Karte einige zusätzliche Konfigurationseinstellungen. Hierzu sollte sich im Lieferumfang der Karte eine Konfigurationssoftware des Kartenherstellers befinden. Da sich diese von Hersteller zu Hersteller unterscheidet, sehen Sie in Abbildung 8.9 lediglich ein Beispiel. Abbildung 8.9: Herstellereigenes Konfigurationsprogramm für eine WLAN-Karte
In einer derartigen Konfigurationssoftware können Sie beispielsweise Einstellungen zur Energieverwaltung oder Verschlüsselungsoptionen festlegen. Da durch eine Konfigurationssoftware von einem Benutzer möglicherweise mehr Schaden als Nutzen angerichtet wird, lassen sich viele dieser Programme nur mit administrativer Berechtigung installieren.
8.3.6
Den Client automatisch zum drahtlosen Netzwerk hinzufügen
Um den Windows XP-Client zu einem bestehenden drahtlosen Netzwerk hinzufügen zu können, müssen Sie den SSID des Netzwerks kennen. Sofern das Netzwerk zusätzlich durch WEPSchlüssel gesichert ist, müssen Sie auch diesen Schlüssel kennen, um auf das Netzwerk zugreifen zu können.
346
Sandini Bib
Drahtlose Netzwerke konfigurieren
Ohne diese Informationen ist nur der Zugriff auf ein ungesichertes bzw. offenes drahtloses Netzwerk möglich, beispielsweise wenn der bei vielen Access Points standardmäßig gesetzte Name ANY nicht geändert und keinerlei WEP-Schlüssel eingerichtet ist. Solche ungesicherten Netzwerke können missbraucht werden, um entweder Daten auszuspionieren oder „nur“ kostenlos eine Internetverbindung aufbauen zu können. Um das Hinzufügen zu einem drahtlosen Netzwerk zu erleichtern, bietet Microsoft für Windows XP das Feature der automatischen drahtlosen Netzwerkkonfiguration, auch als WZC (Wireless Zero Configuration) bezeichnet. Hiermit wird es ermöglicht, sämtliche drahtlosen Netzwerke, die sich in Reichweite befinden, anzuzeigen und das gewünschte Netzwerk auszuwählen. Haben Sie die Funknetzwerkkarte installiert und wird ein WLAN gefunden, erhalten Sie im Infobereich der Taskleiste einen InfoBallon mit dem Text DRAHTLOSE NETZWERKVERBINDUNG. MINDESTENS EIN DRAHTLOSES NETZWERK IST VERFÜGBAR. Sobald Sie auf dieses Hinweisfeld bei der Netzwerkverbindung klicken bzw. aus deren Kontextmenü den Eintrag VERFÜGBARE DRAHTLOSE NETZWERKE ANZEIGEN auswählen, öffnet sich das Fenster DRAHTLOSE NETZWERKVERBINDUNG. Dieses Fenster kann variieren, je nachdem, wie viele drahtlose Netzwerke gefunden werden und ob diese als sicher (siehe Abbildung 8.11) oder nicht sicher (siehe Abbildung 8.10) eingestuft werden. Abbildung 8.10: Ein von Windows gefundenes Netzwerk, das als nicht sicher eingestuft wird
Ein Netzwerk wird als nicht sicher eingestuft, wenn kein WEPSchlüssel für das Netzwerk eingerichtet ist. Möchten Sie dennoch
347
Sandini Bib
8 Windows XP im Netzwerk
eine Verbindung zum unsicheren Netzwerk herstellen, so markieren Sie die entsprechende Checkbox und klicken auf VERBINDEN. Abbildung 8.11: Ein von Windows gefundenes Netzwerk, das als sicher eingestuft wird
Wird ein gefundenes drahtloses Netzwerk als sicher eingestuft, müssen Sie den WEP-Schlüssel für dieses Netzwerk angeben. Zur Sicherheit geben Sie diesen noch ein zweites Mal in das Feld NETZWERKSCHLÜSSEL BESTÄTIGEN ein. Sie können den Schlüssel entweder als ASCII-Zeichenfolge oder als hexadezimalen Wert bestimmen. Daraus ermittelt Windows automatisch, ob es sich um einen WEP-64- oder WEP-128-Schlüssel handelt. Sofern im Netzwerk die 802.1x-Authentifizierung verwendet wird, markieren Sie die Checkbox IEEE 802.1X-AUTHENTIFIZIERUNG FÜR DIESES NETZWERK AKTIVIEREN. In diesem Fall müssen Sie den WEP-Schlüssel nicht eingeben, da dieser automatisch bereitgestellt wird. Um weitere Einstellungen für das WLAN vorzunehmen, gleichgültig ob es sich um die Verbindung zu einem gesicherten oder ungesicherten WLAN handelt, klicken Sie auf ERWEITERT.
8.3.7
Konfiguration der WLAN-Verbindung
Im Fenster EIGENSCHAFTEN VON DRAHTLOSE NETZWERKVERBINDUNG können Sie nun weitere Konfigurationseinstellungen für die WLAN-Karte vornehmen. In den folgenden Beschreibungen wird vorausgesetzt, dass der Access Point für das drahtlose Netzwerk bereits eingerichtet und die Verbindung der Netzwerkkarte mit diesem hergestellt ist. Weitere Hinweise dazu sollten Sie in der Dokumentation der entsprechenden Geräte finden.
348
Sandini Bib
Drahtlose Netzwerke konfigurieren
Die Eigenschaften einer drahtlosen Netzwerkverbindung verfügen im Gegensatz zu einer herkömmlichen Netzwerkverbindung über die zusätzliche Registerkarte DRAHTLOSE NETZWERKE (siehe Abbildung 8.12). Allerdings muss die WLAN-Karte dazu den Standard 802.11 erfüllen. Ansonsten ist diese Registerkarte nicht verfügbar. Auf dieser Karte können Sie die drahtlose Netzwerkverbindung konfigurieren und verwalten. Im Abschnitt VERFÜGBARE NETZWERKE sehen Sie nur die Netzwerke, die momentan von der drahtlosen Verbindung erreicht werden können. Lediglich für die verfügbaren Netzwerke ist die Konfiguration möglich. Weiterhin können Sie über AKTUALISIEREN eine neue Suche nach verfügbaren Netzwerken starten, wenn ein Netzwerk nicht in der Liste vorhanden ist. Abbildung 8.12: Die zusätzliche Registerkarte Drahtlose Netzwerke
Standardmäßig ist immer die Checkbox WINDOWS ZUM KONFIGURIEREN DER EINSTELLUNGEN VERWENDEN markiert. Somit kann die Verbindung zusammen mit der im letzten Kapitel beschriebenen automatischen Konfiguration bearbeitet werden. Es werden dann automatisch der SSID, die Netzwerk-Betriebsart sowie ein evtl. vorhandener WEP-Schlüssel konfiguriert. Im Abschnitt VERFÜGBARE NETZWERKE werden alle Netzwerke angezeigt, die momentan für die WLAN-Karte erreichbar sind. Diese Auflistung wird regelmäßig automatisch im Hintergrund aktualisiert. Daneben haben Sie die Möglichkeit, über die Schaltfläche AKTUALISIEREN eine manuelle Aktualisierung der Netzwerksuche durchzuführen.
349
Sandini Bib
8 Windows XP im Netzwerk
Im Bereich BEVORZUGTE NETZWERKE sehen Sie eine Liste aller Netzwerke, die auf dem Computer eingerichtet worden sind. Hier wird ein Netzwerk, mit dem über die automatische drahtlose Netzwerkkonfiguration eine Verbindung hergestellt worden ist, automatisch an die oberste Position von BEVORZUGTE NETZWERKE gesetzt. Anhand des Statussymbols sehen Sie, ob dieses Netzwerk verfügbar ist oder nicht. Sofern mehrere Netzwerke gleichzeitig verfügbar sind, können Sie die Priorität des zu benutzenden Netzwerks über die Schaltflächen NACH OBEN und NACH UNTEN festlegen. Sobald Sie eine drahtlose Netzwerkverbindung nach einer Deaktivierung wieder aktivieren, wird automatisch versucht, eine Verbindung zu dem bevorzugten Netzwerk herzustellen, ist dies nicht verfügbar, zu dem an zweiter Stelle aufgeführten Netzwerk usw. Weitere bevorzugte Netzwerke können auch über eine Gruppenrichtlinie definiert und dem Windows XP-Client bereitgestellt werden. Weiterhin können Sie ein neues Netzwerk hinzufügen oder ein bestehendes löschen. Das Hinzufügen eines Netzwerks entspricht weitgehend der Konfiguration eines bestehenden Netzwerks (Schaltfläche KONFIGURIEREN im Bereich VERFÜGBARE NETZWERKE) und wird im folgenden Kapitel beschrieben. Über EIGENSCHAFTEN gelangen Sie ebenfalls in die Netzwerkkonfiguration.
8.3.8
Konfiguration eines drahtlosen Netzwerks
Um ein verfügbares drahtloses Netzwerk zu konfigurieren oder ein neues hinzuzufügen, klicken Sie auf die entsprechende Schaltfläche in Abbildung 8.13. Auf der Registerkarte ZUORDNUNG wird zunächst der Netzwerkname angegeben. Dieser wird auch als SSID bezeichnet. Geben Sie hier einen aussagekräftigen Namen ein, beispielsweise den Herstellernamen oder einen Standort. Der standardmäßige SSID vieler Access Points lautet ANY. Diesen Netzwerknamen sollten Sie aus Sicherheitsgründen bereits bei der Konfiguration des Geräts ändern. Um das drahtlose Netzwerk weiter abzusichern, sollten Sie die Option DATENVERSCHLÜSSELUNG (WEP AKTIVIERT) auswählen. Sobald diese Checkbox aktiviert ist, wird automatisch die Checkbox SCHLÜSSEL WIRD AUTOMATISCH BEREITGESTELLT markiert. Dazu
350
Sandini Bib
Drahtlose Netzwerke konfigurieren
müssen Sie die 802.1x-Authentifizierung aktivieren (siehe Abbildung 8.13). Deaktivieren Sie die Checkbox, wenn Sie diese Form der Authentifizierung nicht verwenden. Sie müssen in diesem Fall den WEP-Schlüssel manuell in das Feld NETZWERKSCHLÜSSEL eintragen sowie ein zweites Mal in das Feld NETZWERKSCHLÜSSEL BESTÄTIGEN. Haben Sie mehrere Netzwerkschlüssel eingerichtet, bestimmen Sie über die Pfeile unter SCHLÜSSELINDEX (ERWEITERT) den Schlüsselindex. Dieser bezeichnet den Ort bzw. die Reihenfolge, an dem bzw. der der Schlüssel gespeichert ist. Werden zum Senden und Empfangen unterschiedliche Schlüssel verwendet, geben Sie zu jedem Schlüssel die zugehörige Position ein. Weiterhin können Sie auch die Checkbox NETZWERKAUTHENTIFIZIERUNG (GEMEINSAMER MODUS) aktivieren. Standardmäßig ist diese deaktiviert. In dieser Einstellung wird der Shared-KeyModus verwendet, was voraussetzt, dass ein WEP-Schlüssel definiert ist. Verwenden Sie keinen Schlüssel, wird im Open-SystemModus gearbeitet. Bedenken Sie, dass in diesem Fall keinerlei Schutzmechanismen für das drahtlose Netzwerk definiert sind. Abbildung 8.13: Die Registerkarte Zuordnung der drahtlosen Netzwerkverbindung
Ist der Computer nicht Bestandteil eines Infrastruktur-Netzwerks, sondern stellt eine Ad-hoc-Verbindung her, so markieren Sie die Checkbox DIES IST EIN COMPUTER-MIT-COMPUTERNETZWERK (ADHOC); DRAHTLOSE ZUGRIFFSPUNKTE WERDEN NICHT VERWENDET. Die Einstellungen auf der zweiten Registerkarte AUTHENTIFIZIERUNG in den Netzwerkeigenschaften sind nur möglich, sofern Sie unter ZUORDNUNG die Checkbox DATENVERSCHLÜSSELUNG (WEP
351
Sandini Bib
8 Windows XP im Netzwerk AKTIVIERT) aktiviert haben. Anderenfalls können die folgenden Optionen nicht eingestellt werden. Weitere Hinweise zur Funktionsweise der 802.1x-Authentifizierung (die auch für EthernetNetzwerke konfiguriert werden kann), finden Sie in Kapitel 8.4.
Abbildung 8.14: Die Registerkarte Authentifizierung der drahtlosen Netzwerkverbindung
Auf der Registerkarte DRAHTLOSE NETZWERKE befindet sich unten die Schaltfläche ERWEITERT. Darüber können Sie festlegen, auf welchen Netzwerktyp zugegriffen werden soll (siehe Abbildung 8.15). Standardmäßig ist hier immer die Option VERFÜGBARES NETZWERK (ZUGRIFFSPUNKT BEVORZUGT) in Kombination mit AUTOMATISCH MIT NICHT BEVORZUGTEN NETZWERKEN VERBINDEN gewählt. Möchten Sie hingegen, dass nur auf Ad-hoc-Netzwerke oder Infrastruktur-Netzwerke zugegriffen werden soll, so wählen Sie die entsprechenden Optionen und klicken auf SCHLIEßEN. Abbildung 8.15: Auswahl des drahtlosen Netzwerktyps, auf den der Zugriff erfolgen soll
Damit haben Sie die Konfiguration eines drahtlosen Netzwerks abgeschlossen und sollten eine Netzwerkverbindung herstellen können.
352
Sandini Bib
Drahtlose Netzwerke konfigurieren
8.3.9
Der Status der drahtlosen Netzwerkverbindung
Nachdem die Verbindung aktiviert wurde, können Sie den Status der Verbindung betrachten. Wählen Sie dazu entweder aus dem Kontextmenü der drahtlosen Verbindung im Infobereich der Taskleiste oder in den Netzwerkverbindungen den Eintrag STATUS. Sie erhalten das in Abbildung 8.16 dargestellte Fenster. Abbildung 8.16: Der Status einer drahtlosen Netzwerkverbindung
Sie sehen hier eine Übersicht über den Status (Verbindung hergestellt), die Dauer der Verbindung, die Übertragungsrate sowie die Signalstärke. Zusätzlich werden Sie über die Anzahl der gesendeten und empfangenen Pakete informiert. Es handelt sich hierbei um ein reines Informationsfenster, in dem Sie keinerlei Einstellungen vornehmen können.
Das Einblenden des Status ist bei Problemen mit der Verbindung sinnvoll
Sofern Sie die Maus über das Symbol der drahtlosen Verbindung im Infobereich der Taskleiste halten, bekommen Sie Informationen über den verwendeten Access Point, die Übertragungsrate und die Signalstärke.
8.3.10
Deaktivieren der automatischen drahtlosen Netzwerkkonfiguration
Standardmäßig wird die Konfiguration einer drahtlosen Netzwerkkarte von Windows automatisch vorgenommen. Diese automatische Konfiguration kann jedoch zu Problemen führen, wenn Sie eine Netzwerkkarte verwenden, für die lediglich Treiber für Windows 2000, nicht jedoch für Windows XP vorliegen. Die Netzwerkkarte lässt sich zwar installieren und auch aktivieren, jedoch ist es nicht möglich, eine Netzwerkverbindung herzustellen. In
353
Sandini Bib
8 Windows XP im Netzwerk
aller Regel sind die Windows 2000-Treiber auch für Windows XP einsetzbar. Bei Treibern für drahtlose Netzwerkkarten ergibt sich jedoch das Problem, dass Windows 2000 die von Windows XP angewandte automatische Netzwerkkonfiguration (WZC) nicht beherrscht. Deshalb sind im Windows 2000-Treiber auch keine Informationen vorhanden, die von der automatischen Konfiguration ausgewertet werden können. Sobald Sie auf der Registerkarte DRAHTLOSE NETZWERKE (siehe Abbildung 8.16) die Checkbox WINDOWS ZUM KONFIGURIEREN DER EINSTELLUNGEN VERWENDEN deaktivieren, haben Sie für die gewählte Karte die automatische Konfiguration abgeschaltet. Sobald jedoch eine weitere WLAN-Karte mit dem Windows XPComputer verbunden wird, wird für diese erneut eine automatische Konfiguration versucht. Um diese automatische Konfiguration vollständig abzuschalten, führen Sie die folgenden Schritte aus: 1. Stellen Sie sicher, dass keine WLAN-Karte mit dem Computer verbunden ist, für die keine automatische Konfiguration durchgeführt werden kann. 2. Öffnen Sie VERWALTUNG/DIENSTE und doppelklicken Sie den Eintrag KONFIGURATIONSFREIE DRAHTLOSE VERBINDUNG. Der Dienstname lautet WZCSVC (Wireless Zero Configuration Service). Sie erhalten das in Abbildung 8.17 gezeigte Fenster. Abbildung 8.17: Vollständiges Deaktivieren der automatischen Konfiguration von WLAN-Karten durch Deaktivieren des Dienstes WZCSVC
3. Stellen Sie sicher, dass Sie unter STARTTYP die Option DEAKTIVIERT wählen. Bestätigen Sie dann die Einstellung mit OK.
354
Sandini Bib
Die 802.1x-Authentifizierung
8.4
Die 802.1x-Authentifizierung
Die 802.1x-Authentifizierung ist ein Standard des IEEE für die Zugriffssteuerung im Netzwerk. Sie gilt gleichermaßen für den Zugriff auf kabelgebundene Ethernet-Netzwerke wie für drahtlose Netzwerke, die dem Standard 802.11 (siehe Kapitel 8.3.1) unterliegen. Diese Zugriffssteuerung arbeitet anschlussbasiert, d.h. die Geräte eines LAN werden an ihrem Anschluss authentifiziert. Schlägt eine Authentifizierung fehl, wird kein Zugriff auf den Anschluss gestattet. In dieser Konstellation gibt es einen Anforderer Supplicant und einen Authentifizierer (Authenticator). Jeder dieser beiden wird durch einen LAN-Anschluss repräsentiert. Ein Authentifizierer erzwingt die Authentifizierung, bevor ein Benutzer auf die Dienste des Anschlusses zugreifen darf. Der Anforderer fordert den Zugriff auf die von einem Anschluss bereitgestellten Dienste an. Der Authentifizierer, der auch gleichzeitig ein Authentifizierungsserver sein kann (dieser kann jedoch auch separat sein), erhält vom Anforderer den Auftrag, die Anmeldeinformationen zu prüfen. Erst wenn der Authentifizierungsserver (Authentication Server) die Zustimmung zum Zugriff erteilt, kann dieser erfolgen. Die Authentifizierung erfolgt über EAP (Extensible Authentication Protocol). Dieses Protokoll wird weiter unterteilt, je nachdem, ob ein LAN oder WLAN genutzt wird. So gibt es EAPOL (EAP over LAN) und EAPOW (EAP over Wireless). Der Mechanismus, nach dem die Kommunikation zwischen dem Anforderer und Authentifizierer abgewickelt wird, wird als PAE (Port Access Entity) bezeichnet. Ein LAN-Anschluss kann somit zwei logische Zugriffspunkte für das LAN repräsentieren. Zum einen handelt es sich um einen kontrollierten Anschluss. Dieser ermöglicht ausschließlich den Datentransfer zwischen einem authentifizierten Benutzer und einem Authentifizierer. Zum anderen kann der LAN-Anschluss auch ein unkontrollierter Anschluss sein. In diesem Fall ist ein Datentransfer zwischen dem Authentifizierer und jedem beliebigen Benutzer möglich. Der Benutzer muss nicht authentifiziert sein. In Abbildung 8.18 sehen Sie die Funktionsweise der 802.1x-basierten Authentifizierung.
355
Sandini Bib
8 Windows XP im Netzwerk Abbildung 8.18: Die Funktionsweise der 802.1x-basierten Authentifizierung
PAE
PAE EAP over Wireless (EAPOW)
Anforderer, z.B. Notebook mit WLAN-Karte
EAP over LAN (EAPOL) Anforderer, z.B. PC mit Ethernet-Karte PAE
Authentifizierer, z.B. Access Point oder Switch
8.4.1
Einrichten der 802.1x-Authentifizierung
Die 802.1x-Authentifizierung können Sie sowohl für eine Ethernet-Verbindung als auch für eine drahtlose Netzwerkverbindung einrichten. 1. Öffnen Sie bei einer Ethernet-Verbindung unter NETZWERKVERBINDUNGEN deren EIGENSCHAFTEN und wechseln auf die Registerkarte AUTHENTIFIZIERUNG (siehe Abbildung 8.19). Abbildung 8.19: Das Einrichten der 802.1x-Authentifizierung für eine EthernetVerbindung
2. Um die 802.1x-Authentifizierung für eine drahtlose Verbindung einzurichten, öffnen Sie über die EIGENSCHAFTEN die Registerkarte DRAHTLOSE NETZWERKE. Dort markieren Sie unter VERFÜGBARE NETZWERKE das Gewünschte und klicken auf KONFIGURIEREN. Sie erhalten auf der Registerkarte AUTHENTIFIZIERUNG den Hinweis, dass die 802.1x-Authentifizierung bei
356
Sandini Bib
Die 802.1x-Authentifizierung
drahtlosen Netzwerken nur aktiviert werden kann, wenn im Netzwerk eine Datenverschlüsselung über einen WEP-Schlüssel eingerichtet ist (siehe Abbildung 8.20). Weitere Hinweise zur Konfiguration von WEP-Schlüsseln finden Sie in Kapitel 8.3.4. Abbildung 8.20: Das Einrichten der 802.1x-Authentifizierung für eine drahtlose Netzwerkverbindung
3. Auf der Registerkarte AUTHENTIFIZIERUNG in der Listbox EAPTYP (Extensible Authentication Protocol) wählen Sie den EAPTyp aus, der für die Verbindung benutzt werden soll. Sie können die Optionen SMARTCARD ODER ANDERES ZERTIFIKAT oder GESCHÜTZTES EAP (PEAP) auswählen. 4. Haben Sie die Option SMARTCARD ODER ANDERES ZERTIFIKAT gewählt, klikken Sie auf EIGENSCHAFTEN für weitere Konfigurationsoptionen. Sie erhalten das Fenster SMARTCARD- ODER ANDERE ZERTIFIKATSEIGENSCHAFTEN (siehe Abbildung 8.21). Wählen Sie die Option EIGENE SMARTCARD VERWENDEN, wenn Sie für die Authentifizierung das Zertifikat auf der Smartcard benutzen möchten. Möchten Sie hingegen das Zertifikat aus dem Zertifikatsspeicher des Computers verwenden, so wählen Sie ZERTIFIKAT AUF DIESEM COMPUTER VERWENDEN. Zusätzlich können Sie die Checkbox SERVERZERTIFIKAT ÜBERPRÜmarkieren. Dadurch wird geprüft, ob das für den Computer vergebene Zertifikat noch auf dem Server gültig ist. Unter VERBINDUNG MIT DIESEN SERVERN HERSTELLEN können Sie festlegen, dass nur dann eine Verbindung hergestellt wird, wenn sich der Server in einer bestimmten Domäne befindet. Geben Sie hier den Namen der gewünschten Domäne an, nicht den des Servers. FEN
357
Sandini Bib
8 Windows XP im Netzwerk Abbildung 8.21: Weitere Einstellungen für Smartcard und Zertifikat
Unter VERTRAUENSWÜRDIGE STAMMZERTIFIZIERUNGSSTELLEN können Sie die gewünschte Zertifizierungsstelle auswählen. Mit einem Doppelklick auf den Eintrag erhalten Sie weitere Informationen zu dem jeweiligen Zertifikat. Sofern der aktuelle Benutzername im Zertifikat oder in der Smartcard nicht mit dem Benutzernamen in der Anmeldedomäne übereinstimmt, markieren Sie die Checkbox ANDEREN BENUTZERNAMEN FÜR DIE VERBINDUNG VERWENDEN. Haben Sie als EAP-TYP die Option GESCHÜTZTES EAP (PEAP) (Protected EAP) ausgewählt, stehen Ihnen bis auf die beiden Auswahlmöglichkeiten EIGENE SMARTCARD VERWENDEN und ZERTIFIKAT AUF DIESEM COMPUTER VERWENDEN dieselben Konfigurationsoptionen wie für SMARTCARD ODER ANDERES ZERTIFIKAT zur Verfügung. Bestätigen Sie Ihre Auswahl mit OK. Auf der Registerkarte AUTHENTIFIZIERUNG können Sie noch zwei weitere Einstellungen vornehmen. Wählen Sie die Option ALS COMPUTER AUTHENTIFIZIEREN, WENN COMPUTERINFORMATIONEN VERFÜGBAR SIND. In diesem Fall wird der Computer eine Netzwerkauthentifizierung durchführen, auch wenn kein Benutzer angemeldet ist und somit keine Benutzerinformationen vorliegen. Ist die Checkbox ALS GAST AUTHENTIFIZIEREN, WENN BENUTZERODER COMPUTERINFORMATIONEN NICHT VERFÜGBAR SIND markiert, so versucht der Computer eine Netzwerkauthentifizierung als Gast, sofern weder Computer- noch Benutzerinformationen vorliegen. Diese Option ist standardmäßig immer ausgewählt.
358
Sandini Bib
Vorhandene Netzwerkkomponenten sowie Installation zusätzlicher Kompo-
8.5
Vorhandene Netzwerkkomponenten sowie Installation zusätzlicher Komponenten
In den Eigenschaften einer Netzwerkverbindung sind im Bereich DIESE VERBINDUNG VERWENDET FOLGENDE ELEMENTE die von der LAN-Verbindung benutzten Netzwerkkomponenten aufgelistet. Die Liste der Komponenten kann sich bei jedem Computer anders gestalten, je nachdem, welche der Komponenten installiert sind. Insgesamt gibt es drei verschiedene Typen von Komponenten, Netzwerknämlich Clients, Dienste und Protokolle. Über die Schaltfläche verbindung erweitern HINZUFÜGEN können Sie zusätzliche Komponenten installieren, über DEINSTALLIEREN wieder entfernen. Für einige der Komponenten ist auch das Dialogfeld EIGENSCHAFTEN verfügbar. Nach einer standardmäßigen Installation des Netzwerks sind die folgenden vier Komponenten vorhanden (siehe Abbildung 8.22): 왘
CLIENT FÜR MICROSOFT-NETZWERKE Dieser Client ermöglicht den generellen Zugriff auf Ressourcen in einem Microsoft-Netzwerk.
왘
DATEI- UND DRUCKERFREIGABE FÜR MICROSOFT-NETZWERKE Über diesen Dienst können andere Computer des MicrosoftNetzwerks auf die freigegebenen Ressourcen des Computers zugreifen.
왘
QOS-PAKETPLANER Der Dienst QoS-Planer (Quality of Service) steuert den Netzwerkverkehr, z.B. bezüglich der Übertragungsraten oder Prioritäten.
왘
INTERNETPROTOKOLL (TCP/IP) Das TCP/IP-Protokoll ist das Standardprotokoll für den Datenaustausch im Netzwerk.
Zusätzlich zu diesen vorhandenen Komponenten können Sie noch weitere hinzufügen. Wählen Sie jeweils die gewünschte Komponente aus und klicken Sie auf OK. Für die Installation einiger Komponenten ist ein abschließender Neustart erforderlich. Um einen Client, ein Protokoll oder einen Dienst hinzuzufügen, der bzw. das nicht in der Auswahlliste vorgegeben ist, klicken Sie in der jeweiligen Auswahl auf DATENTRÄGER. Sie können nun die Installationsquelle angeben und die Installation fortsetzen.
359
Sandini Bib
8 Windows XP im Netzwerk Abbildung 8.22: Die Netzwerkkomponenten einer LAN-Verbindung
8.5.1
Weitere Clients
Außer dem Client für Microsoft-Netzwerke können Sie noch den CLIENT SERVICE FÜR NETWARE installieren. Über diesen Client ist die Anmeldung an NetWare-Servern sowie der Zugriff auf deren Ressourcen möglich.
8.5.2
Weitere Dienste
Zusätzlich zu den beiden standardmäßig vorhandenen Diensten Datei- und Druckerfreigabe für Microsoft-Netzwerke sowie QoSPaketplaner können Sie den Dienst SERVICE ADVERTISING-PROTOKOLL hinzufügen. Über dieses Protokoll werden Server und Adressen im Netzwerk bekannt gegeben.
8.5.3
Weitere Protokolle
Neben dem TCP/IP-Protokoll können Sie die folgenden Protokolle installieren: 왘
MICROSOFT TCP/IP VERSION 6 Dies ist die aktuellste Version des Internetprotokolls (IP).
왘
NETZWERKMONITORTREIBER Treiber für den Netzwerkmonitor Netmon, über den Sie die Netzwerkaktivität überwachen können.
360
Sandini Bib
Netzwerkbrücken
TCP/IPv6 Die Vorgängerversion von IPv6 ist IPv4. Aufgrund der Adressknappheit, aber auch, um einige der Probleme zu lösen, die sich im Zuge der großräumigen Verwendung von IPv4 gezeigt hatten, begann man bereits im Jahre 1995 mit den Arbeiten an IPv6. IPv6 bietet die folgenden Neuerungen und Vorteile: 왘 Vergrößerung des Adressraums von 232 (bei IPv4) auf 2128 왘 Autokonfiguration, Mobile IP und automatische Umnumme-
rierung 왘 Dienste wie IPSec, QoS und Multicast sind standardmäßig ent-
halten 왘 Vereinfachung und Optimierung der Protokollrahmen (Header)
Netzwerkmonitor Der Netzwerkmonitor ist ein LAN-Analyzer der klassischen Art. Derartige Produkte analysieren den Datenverkehr in Echtzeit, während die Verbindung zum Übertragungsmedium hergestellt ist. Weitere Produkte, die ähnlich wie der Netzwerkmonitor arbeiten, sind z.B. Sniffer (Network General), EtherPeek (WildPackets), Observer (Networks Instruments) oder Ethereal (Open Source/GPL License). Neuere Entwicklungen der LANAnalyzer setzen verstärkt auf die Offline-Analyse der aufgezeichneten Daten. Es wird bei diesem Ansatz keine Echtzeitanalyse mehr angewendet. 왘
NWLINK IPX/SPX/NETBIOS KOMPATIBLES TRANSPORTPROTOKOLL
Zusätzlich zum TCP/IP-Protokoll wird das IPX/SPX-Protokoll installiert. Dies kann beispielsweise in älteren Novell NetWare-Umgebungen erforderlich sein.
8.6
Netzwerkbrücken
Eine Netzwerkbrücke wird erforderlich, wenn Sie verschiedene Netzwerktypen miteinander verbinden möchten. Dabei kann es sich beispielsweise um ein 100Base-TX-Ethernet und ein 1394/ Firewire handeln. Die Netzwerkbrücke, die auch als Bridge bezeichnet wird, koppelt die verschiedenen physikalischen Netzwerke miteinander. Damit können die Geräte beider Netzwerke direkt miteinander kommunizieren. Eine Netzwerkbrücke ist jedoch nicht in jedem Fall erforderlich, wenn Sie zwei verschie-
361
Sandini Bib
8 Windows XP im Netzwerk
dene Netzwerktypen verwenden. So kann ein drahtloses Netzwerk über den RJ45-Ausgang mit dem Switch beispielsweise eines 100Base-TX-Ethernet verbunden werden. Als Netzwerkbrücke kann sowohl eine Hardware- als auch eine Softwarelösung eingesetzt werden. Windows XP bietet eine softwarebasierte Lösung, die sicherlich nicht so umfassende Funktionen beinhaltet wie eine Hardware-Netzwerkbrücke, die jedoch auch deutlich mit Anschaffungskosten zu Buche schlägt. In jedem Fall ist abzuwägen, ob der Einsatz einer softwarebasierten Netzwerkbrücke ausreichend ist. Sobald der Windows XP-Computer, auf dem die Netzwerkbrücke eingerichtet ist, ausgeschaltet wird, besteht keine Verbindung mehr zwischen den beiden durch die Brücke verbundenen Netzwerken. In Abbildung 8.23 sehen Sie zwei verschiedene Netzwerke, zum einen ein 100Base-TX-Ethernet und zum anderen ein 10Base2Netzwerk. In diesem befindet sich ein Druckserver mit mehreren Druckern. Über die Netzwerkbrücke des Windows XP-Computers haben auch die Computer des 100Base-TX-Ethernet die Möglichkeit, auf diese Drucker zuzugreifen. Abbildung 8.23: Einsatz einer Netzwerkbrücke auf einem Windows XPComputer, um die Kommunikation zwischen zwei verschiedenen Netzwerken herzustellen
100Base-TX-Ethernet Switch Client
Client
Windows XPComputer mit Netzwerkbrücke
10Base-2-Ethernet
Printserver mit Druckern
Client
362
Sandini Bib
Netzwerkbrücken
8.6.1
Einrichten der Netzwerkbrücke
Bevor Sie eine Netzwerkbrücke einrichten können, müssen Sie auf dem Windows XP-Computer zunächst jeweils eine Netzwerkkarte der zu verbindenden Netzwerktypen installieren. Über die Netzwerkbrücke werden sämtliche TCP/IP-Einstellungen weitergereicht. Dies gilt auch, wenn diese Einstellungen per DHCP bezogen werden. So können auch die Clients in den überbrückten Netzwerken die DHCP-Einstellungen beziehen. 1. Nachdem alle notwendigen Netzwerkkarten installiert sind, öffnen Sie die Netzwerkverbindungen. Markieren Sie dort alle Netzwerkverbindungen, die überbrückt werden sollen, indem Sie dabei die Taste (Strg) gedrückt halten. 2. Wählen Sie den Kontextmenüeintrag VERBINDUNGEN ÜBERBRÜCKEN. Damit wird die Netzwerkbrücke eingerichtet. In den Netzwerkverbindungen sehen Sie danach den neuen Eintrag NETZWERKBRÜCKE (siehe Abbildung 8.24), unter der die überbrückten LAN-Verbindungen aufgelistet sind. Abbildung 8.24: Die Netzwerkbrücke als neuer Netzwerktyp in den Netzwerkverbindungen
Auch die Eigenschaftsseiten der überbrückten LAN-Verbindungen haben sich geändert. Sie haben hier nun nicht mehr die Möglichkeit, die TCP/IP-Einstellungen der Verbindung zu bearbeiten. Dies geschieht ausschließlich über die Eigenschaftsseite der Netzwerkbrücke (siehe Abbildung 8.25). Um eine Verbindung wieder zu entfernen, deaktivieren Sie im Bereich ADAPTER einfach die Checkbox der entsprechenden Verbindung.
363
Sandini Bib
8 Windows XP im Netzwerk Abbildung 8.25: Die Eigenschaften der Netzwerkbrücke vereinen die Eigenschaften der überbrückten Verbindungen
8.6.2
Bearbeiten einer Netzwerkbrücke
Eine Netzwerkbrücke können Sie wie eine herkömmliche LANVerbindung deaktivieren und wieder aktivieren sowie löschen und umbenennen. Nachdem die Brücke eingerichtet worden ist, können Sie auch einzelne Verbindungen wieder daraus entfernen. Markieren Sie dazu die Verbindung und wählen Sie aus dem Kontextmenü den Eintrag VON DER BRÜCKE ENTFERNEN. Sofern sich nur noch eine LAN-Verbindung unterhalb der Netzwerkbrücke befindet, ist diese nicht mehr funktionsfähig, wird aber dennoch unter den Netzwerkverbindungen angezeigt. Dies gilt auch für eine leere Brücke, von der sämtliche Verbindungen entfernt worden sind.
8.7
Weitere Optionen einer Netzwerkverbindung
Im Folgenden finden Sie eine Übersicht über weitere wichtige Einstellmöglichkeiten sowie Funktionen einer Netzwerkverbindung. Diese gelten gleichermaßen für kabelgebundene und drahtlose Verbindungen.
364
Sandini Bib
Weitere Optionen einer Netzwerkverbindung
8.7.1
Die Netzwerkauslastung
Für jede LAN-Verbindung können Sie sich die aktuelle Netzwerkauslastung anzeigen lassen. Starten Sie dazu den Task-Manager über (Strg) + (Alt) + (Entf) und wechseln Sie auf die Registerkarte NETZWERK (siehe Abbildung 8.26). Abbildung 8.26: Anzeige der Netzwerkauslastung über den TaskManager
Sind im Computer mehrere Netzwerkkarten vorhanden, so wird das Fenster geteilt und zeigt für jede Verbindung ein eigenes Übersichtsfenster an.
8.7.2
Die Netzwerkeinstellungen mit IPCONFIG überprüfen
Um einen schnellen Überblick über sämtliche TCP/IP-Einstellun- Die erste Wahl gen der verschiedenen LAN-Verbindungen zu bekommen, ver- zur Konfigurationsprüfung wenden Sie den Befehl ipconfig an der Eingabeaufforderung. Hiermit erhalten Sie Informationen über IP-Adresse, Subnetz und Standard-Gateway aller Verbindungen. Ausführlichere Informationen erhalten Sie über den Befehl ipconfig –all (¢) (siehe Listing 8.1). Windows-IP-Konfiguration Hostname. . . . . . . Primäres DNS-Suffix . Knotentyp . . . . . . IP-Routing aktiviert. WINS-Proxy aktiviert.
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
: : : : :
borussia Hybrid Nein Nein
Listing 8.1: Ausgabe der TCP/ IP-Informationen über den Befehl ipconfig –all
365
Sandini Bib
8 Windows XP im Netzwerk Ethernetadapter Drahtlose Netzwerkverbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : ELSA Vianect WLAN MC-11 Physikalische Adresse . . . . . . : 00-02-2D-3C04-5A DHCP aktiviert. . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.2.26 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.2.1 DNS-Server. . . . . . . . . . . . : 192.168.2.1
Um weitere Optionen des Programms ipconfig kennen zu lernen, benutzen Sie den Befehl ipconfig -? (¢) .
8.7.3
Reparieren einer LAN-Verbindung
Um eine LAN-Verbindung zu reparieren, wählen Sie aus dem Kontextmenü der Verbindung im Infobereich (oder, falls diese dort nicht angezeigt wird, unter NETZWERKVERBINDUNGEN) den Eintrag REPARIEREN. Um die Reparatur durchführen zu dürfen, müssen Sie über administrative Berechtigungen verfügen. Anderenfalls ist der Kontextmenüeintrag nicht verfügbar. Während des Reparaturvorgangs führt Windows XP nacheinander die folgenden Schritte aus: 왘
Löschen der folgenden Caches: DNS, NetBIOS sowie ARP (Address Resolution Protocol)
왘
Erneuerung der TCP/IP-Konfiguration durch Anfrage an den DHCP-Server
왘
Neue Registrierung am DNS-Server (und WINS-Server, falls vorhanden)
왘
Re-Authentifizierung, sofern eine 802.1x-Authentifizierung verwendet wird
Während des Reparaturvorgangs, der in der Regel nur einige Sekunden dauert, erhalten Sie eine entsprechende Statusmeldung. Ist die Reparatur abgeschlossen, erhalten Sie entweder eine Erfolgsmeldung (siehe Abbildung 8.27) oder eine Misserfolgsmeldung. Abbildung 8.27: Die Statusmeldung über den Reparaturvorgang an einer Netzwerkverbindung
366
Sandini Bib
Weitere Optionen einer Netzwerkverbindung
Erwarten Sie keine Wunder von dieser Reparaturfunktion. Sollten beispielsweise Hardware-bedingte Probleme an einem Switch oder Router aufgetreten sein, kann die Reparatur selbstverständlich nicht durchgeführt werden. Sie erhalten leider von dem Betriebssystem auch keinen Hinweis dazu, warum eine Reparatur fehlgeschlagen ist.
8.7.4
Deaktivieren einer LAN-Verbindung
Soll eine LAN-Verbindung vorübergehend nicht zur Verfügung stehen, so können Sie diese Verbindung jederzeit deaktivieren und später wieder aktivieren. Sämtliche Einstellungen dieser Verbindung bleiben beim Deaktivieren erhalten und sind wieder verfügbar, sobald die Verbindung wieder aktiviert ist. Eine deaktivierte Netzwerkverbindung wird im Infobereich der Taskleiste nicht mehr angezeigt. Unter den NETZWERKVERBINDUNGEN finden Sie in der Spalte STATUS den Eintrag DEAKTIVIERT.
Das Deaktivieren unbenutzer Verbindungen erhöht die Sicherheit
Um eine LAN-Verbindung zu deaktivieren, wählen Sie entweder im Infobereich oder unter NETZWERKVERBINDUNGEN den Eintrag DEAKTIVIEREN aus dem Kontextmenü der Verbindung. Soll die Verbindung später wiederhergestellt werden, wählen Sie unter NETZWERKVERBINDUNGEN den Kontextmenüeintrag AKTIVIEREN. Eine LAN-Verbindung wird auch deaktiviert, wenn Sie im GeräteManager die Netzwerkkarte deaktivieren, welche die entsprechende Verbindung herstellt. Auch in diesem Fall bleiben sämtliche Einstellungen erhalten, wenn die Karte später wieder aktiviert wird.
8.7.5
Umbenennen einer LAN-Verbindung
Standardmäßig erhalten sämtliche LAN-Verbindungen wenig aussagekräftige Namen wie LAN-Verbindung, LAN-Verbindung 2 oder Drahtlose Netzwerkverbindung. Gerade wenn Sie mehrere Verbindungen benutzen, ist es sinnvoll, diesen aussagekräftigere Namen zu geben, um die einzelnen Verbindungen besser unterscheiden zu können. Auch beim Einsatz einer Netzwerkbrücke ist das Umbenennen sinnvoll. Um eine Verbindung umzubenennen, wählen Sie entweder aus deren Kontextmenü oder aus der Liste der Netzwerkaufgaben den Eintrag Umbenennen und tragen den neuen Titel ein.
367
Sandini Bib
8 Windows XP im Netzwerk
8.8
TCP/IP-Filterung
Die TCP/IP-Filterung wird verwendet, um eingehende Zugriffe zu steuern. Diese Methode ist aus Sicherheitsaspekten sehr empfehlenswert, da sie im Kernel-Modus des Betriebssystems abläuft. Andere Steuermechanismen, wie z.B. IPSec-Richtlinienfilter oder Routing- und RAS-Server, werden im Benutzermodus oder Arbeitsstations- und Serverdienst ausgeführt. Da mit Hilfe der TCP/IP-Filterung nur der eingehende TCP/IPZugriff gesteuert werden kann, sollten Sie dieses Verfahren mit IPSec-Filterung sowie RAS-Paketfilterung für den ausgehenden Zugriff kombinieren. Zur Konfiguration der TCP/IP-Filterung führen Sie die folgenden Schritte durch: 1. Markieren Sie die Netzwerkverbindung, die für die Steuerung des eingehenden Zugriffs konfiguriert werden soll, und klicken in deren Kontextmenü auf EIGENSCHAFTEN. 2. Auf der Registerkarte ALLGEMEIN klicken Sie unter VERBINDUNGSEIGENSCHAFTEN VON [NAME DES ADAPTERS] auf INTERNETPROTOKOLL (TCP/IP) und EIGENSCHAFTEN. 3. Im Fenster EIGENSCHAFTEN VON INTERNETPROTOKOLL (TCP/ IP) klicken Sie auf ERWEITERT und dann auf die Registerkarte OPTIONEN. 4. Klicken Sie auf EIGENSCHAFTEN. 5. Markieren Sie hier die Checkbox TCP/IP-FILTER AKTIVIEREN (ALLE ADAPTER). Hiermit ist zwar die TCP/IP-Filterung für alle Adapter aktiviert, die Filterkonfiguration muss jedoch für jeden Adapter separat durchgeführt werden. Zur Konfiguration können Sie entweder die Option ALLE ZULASSEN wählen oder nur für bestimmte IP-Protokolle, TCP- und UDP-Ports eingehende Verbindungen gestatten. Beispiel: Wird für die Netzwerkkarte nur der Port 80 für eingehenden Verkehr zugelassen, so wird von ihm nur der Internetverkehr zugelassen. Ist für die interne Netzwerkkarte die Option ALLE ZULASSEN gewählt, so ist auf dieser Karte eine uneingeschränkte Kommunikation möglich. 6. Für die TCP/IP-Filterung können Sie die folgenden drei Spalten konfigurieren: TCP-PORTS, UDP-PORTS und IP-PROTOKOLLE. Für jede dieser drei Spalten können Sie die Option ALLE ZULASSEN oder NUR ZULASSEN auswählen. Im zweiten Fall können Sie den TCP- und UDP-Verkehr beschränken. Klicken Sie dazu auf HINZUFÜGEN und tragen im Fenster FILTER HINZU-
368
Sandini Bib
Netzwerknachrichten
die Portnummer oder die Protokollnummer ein. Haben Sie lediglich die Option NUR ZULASSEN aktiviert, jedoch keine Eintragungen in die Liste vorgenommen, ist keine Kommunikation der Netzwerkkarte möglich. Dies gilt gleichermaßen für interne wie für externe Verbindungen. FÜGEN
Folgende Blockierungen sind jedoch nicht möglich: TCP- und UDP-Verkehr können nicht blockiert werden, indem Sie für die Spalte IP-Protokolle die Option NUR ZULASSEN wählen und dann die Protokollnummern 6 (TCP, Transfer Control Protocol) und 17 (UDP, User Datagram Protocol) eintragen. ICMP (Internet Control Message)-Meldungen können generell nicht blockiert werden, auch nicht, indem Sie für die Spalte IPProtokolle die Option NUR ZULASSEN wählen und dann die Protokollnummer 1 eintragen. Die hier eingestellten Filteroptionen beziehen sich nur auf den eingehenden Verkehr. Um den ausgehenden Verkehr ebenfalls zu kontrollieren, verwenden Sie am besten IPSec-Richtlinien.
8.9
Netzwerknachrichten
In einem Netzwerk haben Sie die Möglichkeit, an andere Netzwerkbenutzer Nachrichten zu senden. Dies ist beispielsweise sinnvoll, um die Benutzer zu informieren, dass sie sich von einem bestimmten Server abmelden sollen, weil dieser vorübergehend außer Betrieb genommen wird, oder um den Benutzern eine Kurzinformation zu geben, dass ein Drucker oder ein Kopiergerät nicht verfügbar ist. Dieses Senden einer Nachricht ist weniger aufwendig, als sämtliche Benutzer persönlich oder per Telefon auf das Ereignis hinzuweisen. Zum Senden von Nachrichten bietet Windows XP zwei verschiedene Möglichkeiten. So können die Nachrichten entweder an der Eingabeaufforderung über den Befehl net send oder in der grafischen Oberfläche der Konsolenmeldung verschickt werden. Um Nachrichten senden und empfangen zu können, muss auf dem jeweiligen Computer der Nachrichtendienst aktiv sein. Prüfen Sie dies über VERWALTUNG/DIENSTE.
369
Sandini Bib
8 Windows XP im Netzwerk
8.9.1
Versenden von Nachrichten per Konsolenmeldung
Um über die grafische Oberfläche eine Nachricht an das Netzwerk zu verschicken, öffnen Sie den Pfad SYSTEMSTEUERUNG/VERWALTUNG/COMPUTERVERWALTUNG. Aus dem Kontextmenü von COMPUTERVERWALTUNG wählen Sie den Eintrag ALLE TASKS/ KONSOLENMELDUNG SENDEN. Dort geben Sie in das Feld NACHRICHT die gewünschte Nachricht ein. Im Feld EMPFÄNGER werden die Empfänger der Nachricht angezeigt. Hier haben Sie die Möglichkeit, weitere Empfänger hinzuzufügen oder Empfänger aus der Liste zu entfernen. Um die Nachricht zu verschicken, klicken Sie auf die Schaltfläche SENDEN.
8.9.2
Versenden von Nachrichten über net send
Alternativ zum eben beschriebenen Verfahren können Sie auch an der Eingabeaufforderung den Befehl net send benutzen. Für diesen Befehl ist die folgende Syntax verfügbar: Net send Name Nachricht (¢) : Geben Sie den Benutzer- oder Computernamen an, an den die Nachricht gesendet werden soll. Sind in dem Namen Leerzeichen enthalten, so setzen Sie diese in Anführungszeichen. Net send * Nachricht (¢) : Über diesen Befehl senden Sie die
Nachricht an sämtliche Benutzer der Arbeitsgruppe oder Domäne, zu der der Windows XP-Computer gehört. Net send /domain:Name Nachricht (¢) : Die Nachricht wird an
sämtliche Namen in der angegebenen Arbeitsgruppe oder Domäne geschickt. Geben Sie anstelle des Namens den Namen der Arbeitsgruppe oder Domäne an. Net send /users Nachricht (¢) : Die Nachricht wird an alle Benutzer gesendet, die mit dem Computer verbunden sind.
8.10 Wake-On-LAN Wake-On-LAN, auch als WOL abgekürzt, beschreibt die Fähigkeit eines Computers, über das Netzwerk gestartet werden zu können. Die Funktion des Wake-On-LAN ist nicht an Windows XP gebunden, sondern kann vielmehr auf alle Computer angewendet werden, die über entsprechende Hardware-Voraussetzungen verfügen.
370
Sandini Bib
Windows 9x-Clients in das Windows XP-Netzwerk einbinden
Um Wake-On-LAN einzusetzen, benötigen Sie mindestens zwei Computer. Dabei übernimmt einer die Rolle des Zielrechners (Schläfer) und einer die Rolle des Quellrechners (Wecker).
Mainboards und Netzwerkkarten sollten WOLfähig sein
Auf dem Zielrechner müssen die folgenden Voraussetzungen erfüllt sein: 왘
Eine Netzwerkkarte, die Wake-On-LAN unterstützt
왘
Weiterhin muss auch das Mainboard-BIOS des Computers die WOL-Funktion unterstützen. Möglicherweise ist die Funktionalität dort deaktiviert. Hinweise zum Hardware-seitigen Aktivieren von Netzwerkkarte und Mainboard finden Sie in den jeweiligen Herstellerdokumentationen.
왘
Netzteil mit der ATX-Spezifikation 2.01. Dies muss mit mindestens 720 mA Standby-Strom zur Versorgung der Netzwerkkarte liefern.
왘
Als Betriebssystem können Sie die folgenden Windows-Systeme verwenden: XP, 2003, 2000, NT 4.0, 98SE, 98 und 95.
Sinnvoll ist die Wake-On-LAN-Funktion in einem Netzwerk, wenn abends sämtliche Computer ausgeschaltet werden, aber beispielsweise in den Nachtstunden auf den Windows-Clients automatisch Windows-Updates installiert werden sollen. In diesem Fall werden die Clients einige Minuten vor dem geplanten Download der Updates aufgeweckt und gestartet. Nach einem vorher definierten Zeitraum können die Clients automatisch wieder heruntergefahren werden. Wake-On-LAN können Sie auch verwenden, wenn Sie nachts Sicherungen der Clients durchführen möchten. Der Quellrechner muss lediglich über eine Netzwerkverbindung mit dem oder den Zielrechner(n) verfügen. Zur softwareseitigen Implementierung von Wake-On-LAN stehen Ihnen verschiedene Freeware- und Shareware-Programme zur Verfügung, z.B. LANStart (http://www.spettel.de/).
8.11 Windows 9x-Clients in das Windows XP-Netzwerk einbinden Das Einbinden von Windows 9x- bzw. ME-Clients in ein Windows XP-Netzwerk ist möglich, ohne dass diese dazu Mitglied einer Domäne werden müssen. Diese Mischform eignet sich somit sowohl für ein Heimnetzwerk als auch für ein kleines Firmennetzwerk. Beide Arten von Clients
371
Sandini Bib
8 Windows XP im Netzwerk
können gemeinsam Freigaben benutzen. Allerdings müssen Sie noch einige weitere Schritte durchführen, bevor die 9x-Clients auf die XP-Freigaben zugreifen können. 1. Damit der Benutzer des Windows 9x-Client auf eine Freigabe eines Windows XP-Computers zugreifen kann, muss das Benutzerkonto des 9x-Benutzers auf dem XP-Computer eingerichtet sein. Erstellen Sie also auf dem XP-Rechner die Benutzerkonten aller Benutzer, die von Windows 9x aus zugreifen sollen. Achten Sie darauf, dass Sie beim Anlegen des Benutzerkontos exakt denselben Benutzernamen und auch exakt dasselbe Kennwort (einschließlich der Groß- und Kleinschreibung) verwenden, den bzw. das der Benutzer unter Windows 9x benutzt. Anderenfalls wird der Zugriff fehlschlagen. Sie müssen diese Benutzerkonten unter Windows XP anlegen, weil Windows 9x und ME im Gegensatz zu Windows NT/ 2000/XP/2003 Freigaben lediglich auf Geräteebene kennen, während die NT-basierten Betriebssysteme Freigaben auf Benutzerebene verwenden. 2. Nachdem Sie den Benutzer angelegt haben, prüfen Sie, ob dieser auf die XP-Freigabe zugreifen kann. Ist dies nicht der Fall und kann auch umgekehrt der XP-Benutzer nicht die Freigaben auf dem 9x-Client sehen, prüfen Sie die Netzwerkeinstellungen. Kann hingegen nur der XP-Benutzer die 9x-Freigaben sehen, aber nicht umgekehrt, so ist unter Windows 9x möglicherweise die falsche Anmeldeform eingestellt. Stellen Sie sicher, dass dort als Anmeldung CLIENT FÜR MICROSOFT-NETZWERKE gesetzt ist und nicht WINDOWS-ANMELDUNG. 3. Sollte diese Umstellung immer noch nicht zum Erfolg führen, so ändern Sie in der Registry des Windows XP-Rechners im Schlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters den Wert NodeType auf 1 und starten danach den Rechner neu.
8.11.1
Die Netzwerkinstallationsdiskette
Ebenfalls für den Betrieb von Windows 9x-Clients zusammen mit Windows XP ist die Netzwerkinstallationsdiskette gedacht. Sie benötigen diese Diskette, wenn Sie die älteren Clients in die Windows XP-Arbeitsgruppe aufnehmen möchten. Diese Diskette können Sie herstellen, nachdem Sie den Netzwerkassistenten beendet
372
Sandini Bib
Einrichten von DFÜ- und Breitbandverbindungen für den Internetzugang
haben. Sie enthält die Datei Netsetup.exe. Auf den Windows 9xClients wird dadurch der Netzwerkinstallationsassistent aufgerufen und es werden einige zusätzliche Dateien installiert.
8.12 Einrichten von DFÜ- und Breitbandverbindungen für den Internetzugang Nachdem Sie einen Überblick über die Konfiguration von TCP/ IP-basierten Netzwerkverbindungen gewonnen haben, geht es im Folgenden um die Einrichtung von DFÜ-Verbindungen für die Einwahl ins Internet. Bei einer DFÜ-Verbindung handelt es sich um eine Wahlverbindung, die entweder über ein analoges Modem oder ein ISDN-Modem hergestellt wird. Das Einrichten dieser DFÜ-Verbindungen ist ebenfalls möglich, wenn keinerlei weitere Netzwerkverbindungen vorhanden sind. Bei einer DSLVerbindung spricht man auch von einer Breitbandverbindung. Ist der Computer direkt mit dem DSL-Modem verbunden, müssen Sie die Verbindung separat konfigurieren. Haben Sie hingegen einen DSL-Router im Einsatz, über den mehrere Clients gleichzeitig die Internetverbindung herstellen, so wird der DSL-Zugang direkt auf dem Router eingerichtet. Die Clients greifen dann über ihre herkömmliche LAN-Verbindung auf den Router und somit auf das Internet zu.
8.12.1
Herstellen einer DFÜ-Verbindung
Bevor Sie den Internetzugang herstellen können, müssen Sie sicherstellen, dass die dazu erforderliche Hardware korrekt von Windows erkannt wird. Je nach Anschlussart verwenden Sie eine der folgenden Hardware-Gruppen: 왘
DSL-Anschluss Netzwerkkarte und DSL-Modem oder USB-fähiges DSLModem sowie DSL-Splitter
왘
ISDN-Anschluss interne ISDN-Karte oder externes ISDN-Modem oder USBfähige ISDN-Telefonanlage, z.B. Eumex der Deutschen Telekom
왘
Analoganschluss Internes oder externes analoges Modem
373
Sandini Bib
8 Windows XP im Netzwerk
Werden mehrere Computer eingesetzt, die denselben Internetanschluss benutzen, verwenden Sie wahrscheinlich einen Router. Alternativ können Sie in diesem Fall jedoch auch einen gemeinsamen Internetzugang über einen Computer einrichten, der dann quasi als Gateway fungiert. Weitere Hinweise dazu finden Sie in Kapitel 8.12.7. Je nach Hardware wird diese entweder automatisch erkannt oder Sie müssen den mitgelieferten Treiber installieren. Wurde für das Gerät kein Treiber für Windows XP mitgeliefert, schauen Sie auf der Internetseite des Herstellers nach, ob es zwischenzeitlich einen XP-Treiber gibt. Ist dies nicht der Fall, können Sie auch die Installation mit dem Windows 2000-Treiber durchführen. Sofern der Treiber nicht für Windows XP signiert ist, erhalten Sie einen entsprechenden Hinweis, können die Installation jedoch fortsetzen. Die folgenden Kapitel beschreiben die Einrichtung der Internetverbindung für DSL, ISDN und Analoganschluss.
8.12.2
Einrichten der DSL-Geräte
Für die Hochgeschwindigkeits-DSL-Verbindung benötigen Sie im Computer lediglich eine Netzwerkkarte. Weiterhin sind ein DSLModem sowie ein DSL-Splitter erforderlich. Diese beiden Geräte können vom Dienstanbieter, z.B. der Deutschen Telekom, bezogen werden. Der DSL-Splitter trennt die DSL-Daten von den Telefonsignalen. Dabei ist es unerheblich, ob DSL parallel zu einem analogen oder einem ISDN-Anschluss verwendet wird. Der Splitter wird zwischen die Telefondose und die Endgeräte installiert. Anleitungen für die Verkabelungen finden sich jeweils im Lieferumfang der Geräte. Das DSL-Modem wird mit der Netzwerkkarte des Computers verbunden. Alternativ können Sie auch ein USB-Modem benutzen. In diesem Fall ist keine Verkabelung mit der Netzwerkkarte erforderlich. Das DSL-Modem kann statt mit einem einzigen Computer auch mit einem Router oder Switch/Hub verbunden werden. Durch die Konfiguration des Modems und die Einstellungen der Einwahl führt Sie ein herstellerspezifischer Assistent. Da dieser bei jedem der verschiedenen Anbieter wie Telekom, AOL, 1&1 usw. abweicht, seien Sie dazu auf die jeweilige Dokumentation verwiesen.
374
Sandini Bib
Einrichten von DFÜ- und Breitbandverbindungen für den Internetzugang
8.12.3
Einrichten der ISDN-Geräte
Für eine ISDN (Integrated Service Digital Network)-Verbindung benötigen Sie eine ISDN-Karte oder ein externes ISDN-Modem, das über den seriellen oder USB-Anschluss verbunden wird. Auch eine per USB verbundene ISDN-Telefonanlage kann eingesetzt werden. Lesen Sie sich zunächst in der Dokumentation die Installationsreihenfolge durch. Bei einigen Geräten müssen Sie zuerst die mitgelieferte Software installieren, bevor Sie das Gerät mit dem Telefonanschluss verbinden; bei anderen hingegen müssen Sie zunächst die Verkabelung durchführen und erst danach die Software installieren. Im Verlauf der Installation werden von Ihnen einige ISDN-Konfigurationsparameter abgefragt. Exemplarisch sehen Sie die Fenster des Installationsassistenten bei einer AVM Fritzcard PCMCIA. Diese Daten werden jedoch auch bei jeder anderen ISDN-Karte abgefragt. Im Fenster ISDN-VERMITTLUNGSTYP UND D-KANALPROTOKOLL müssen Sie die Einstellung EUROPÄISCHES ISDN (DSS1) wählen. Die übrigen Einstellungen sind für Telefonnetze in den USA gedacht. Weiterhin müssen Sie im Fenster ISDN-MEHRFACHRUFNUMMERN (MSN) dem Gerät eine MSN zuweisen. Für einen ISDN-Anschluss bekommen Sie in der Regel drei Telefonnummern zugeteilt, die den drei MSNs entsprechen. Wählen Sie nun eine dieser MSNs oder mehrere aus. Erst mit diesen beiden Informationen können Sie die Installation des Gerätetreibers abschließen. Diese Einstellung können Sie auch nachträglich im Geräte-Manager ändern. Wählen Sie dazu über die Eigenschaften des ISDN-Geräts die Registerkarte ISDN (siehe Abbildung 8.28). Über KONFIGURIEREN können Sie auch die MSNEinstellung ändern.
375
Sandini Bib
8 Windows XP im Netzwerk Abbildung 8.28: Die Einstellungen für das ISDN-Protokoll sowie die zugewiesene MSN
CAPI-Treiber und NDIS-WAN-Treiber Leider sind Sie mit der Installation des Gerätetreibers noch nicht so weit, dass Sie die ISDN-Internetverbindung herstellen können. Es fehlen jetzt noch weitere Treiber, damit die Applikationen mit dem ISDN-Gerät kommunizieren können. Hierzu werden entweder ISDN CAPI-Port-Treiber oder ISDN NDIS-WAN CAPI-Treiber benutzt. Beide Treiber verwenden die CAPI (Common ISDN Application Program Interface)-Schnittstelle. Ein ISDN CAPI-PortTreiber stellt virtuelle Modems zur Verfügung für die Kommunikationsprogramme, während ein ISDN NDIS-WAN CAPI-Treiber einen Netzwerktreiber dafür bereitstellt. Diese Treiber werden ebenfalls vom Hersteller mitgeliefert. Für weitere Installationshinweise lesen Sie sich die entsprechenden Handbücher durch. Einige Kommunikationsprogramme wie z.B. AOL benötigen noch einen cFos-Treiber, der in der Regel von der Software automatisch eingerichtet wird. Weitere Hinweise zu cFos-Treibern finden Sie unter dem Link http://www.cfos.de.
8.12.4
Einrichten der analogen Geräte
Während die Konfiguration von DSL-Modems und ISDN-Karten in der Regel recht problemlos funktioniert, gibt es bei der Installation analoger Modems zuweilen Schwierigkeiten. Ein großes Problem sind veraltete Treiber, die nicht unter Windows XP laufen. Informieren Sie sich deshalb, ob Ihr Modem Windows XPkompatibel ist, und suchen Sie auf der Seite des Herstellers nach einem Windows XP-Treiber.
376
Sandini Bib
Einrichten von DFÜ- und Breitbandverbindungen für den Internetzugang
Ist kein Windows XP-Treiber verfügbar, so können Sie die Installation auch mit einem Windows 2000-Treiber durchführen. Dieser ist zwar nicht für Windows XP signiert und Sie erhalten eine Fehlermeldung, dass der Treiber nicht den XPLogotest bestanden hat, Sie können die Installation aber fortsetzen. Verwenden Sie jedoch niemals einen Treiber für Windows NT unter Windows XP. Schlägt die automatische Installation des Geräts fehl, so führen Sie die folgenden Schritte aus: 1. Öffnen Sie in der Systemsteuerung den Eintrag TELEFON- UND MODEMOPTIONEN und wechseln Sie auf die Registerkarte MODEMS. Sofern der Installationsassistent nicht automatisch startet, klicken Sie auf die Schaltfläche HINZUFÜGEN. 2. Stellen Sie sicher, dass das Modem angeschlossen und eingeschaltet ist. Möchten Sie keine automatische Erkennung des Modems vornehmen, etwa weil dies bereits zu Problemen geführt hat, aktivieren Sie die Checkbox MODEM AUSWÄHLEN (KEINE AUTOMATISCHE ERKENNUNG). Klicken Sie dann auf WEITER. 3. Im Fenster NEUES MODEM INSTALLIEREN (siehe Abbildung 8.29) wählen Sie ein Modem aus der Liste HERSTELLER aus. Ist der Hersteller bzw. das betreffende Modell nicht aufgeführt, klicken Sie auf DATENTRÄGER und legen die mitgelieferte CD oder Diskette ein. Klicken Sie dann auf WEITER. Abbildung 8.29: Die Auswahl des zu installierenden Modems
4. Als Nächstes weisen Sie dem Modem einen Anschluss zu (siehe Abbildung 8.30). Bei einem Modem, das an die serielle Schnittstelle angeschlossen ist, wählen Sie den Anschluss COM1. Bei einem im Laptop eingebauten Modem ist es in der
377
Sandini Bib
8 Windows XP im Netzwerk
Regel der Anschluss COM3. Klicken Sie dann auf WEITER. Das Modem wird nun installiert. Abbildung 8.30: Auswahl des Anschlusses für das Modem
Um das Modem weiter zu konfigurieren, wechseln Sie wieder auf die Registerkarte MODEMS und klicken dort auf EIGENSCHAFTEN. Dort finden Sie, abhängig vom Modem, diverse Registerkarten für die Konfiguration (siehe Abbildung 8.31). Wichtig für die Konfiguration sind die Registerkarten MODEM und DIAGNOSE. Unter MODEM müssen Sie darauf achten, dass die MAXIMALE ÜBERTRAGUNGSRATE des Modems korrekt eingestellt ist. Unter DIAGNOSE haben Sie die Möglichkeit, verschiedene Modemfunktionen abzufragen. Abbildung 8.31: Die Eigenschaftsseiten eines Modems mit einigen Konfigurationsoptionen
378
Sandini Bib
Einrichten von DFÜ- und Breitbandverbindungen für den Internetzugang
8.12.5
Analoge und ISDN-Anschlüsse im Zusammenspiel mit Telefonanlagen
Ein großes Problem bei Wählverbindungen ergibt sich oftmals, wenn die Verbindung über eine Telefonanlage hergestellt werden muss. Das erste und noch schnell zu lösende Problem kann auftreten, wenn das Modem vor dem Wählen der Verbindung auf ein Freizeichen wartet, dieses aber von der Telefonanlage nicht gegeben wird, da diese ihrerseits darauf wartet, dass die Ziffer 0 gewählt wird. In dieser Konstellation müssen Sie auf der Eigenschaftsseite des Modems (siehe Abbildung 8.32) die Checkbox VOR DEM WÄHLEN AUF FREIZEICHEN WARTEN deaktivieren. Damit wird es dem Modem ermöglicht, vorweg eine 0 zu wählen, ohne das Freizeichen der Telefonanlage abwarten zu müssen.
Telefonalagen erweisen sich oft als Tücke bei der Konfiguration der Wählverbindung
Wird ein Laptop an verschiedenen Orten, z.B. in Hotels, für den Internetzugang benutzt, so sollten Sie auf die Windows-Wählregeln zurückgreifen. Um diese zu konfigurieren, führen Sie die folgenden Schritte aus: 1. Öffnen Sie in der Systemsteuerung den Eintrag TELEFON- UND MODEMOPTIONEN. 2. Um eine neue Regel zu erstellen, klicken Sie auf der Registerkarte WÄHLREGELN auf NEU. Sie erhalten dadurch ein neues Fenster (siehe Abbildung 8.32). Alternativ können Sie auch einen bereits bestehenden Eintrag ändern. Abbildung 8.32: Die Konfiguration von Wählregeln für ein Modem
379
Sandini Bib
8 Windows XP im Netzwerk
3. Tragen Sie dann in das Feld ORTSKENNZAHL die aktuelle Vorwahl ein. Sofern eine Nummer für die Amtsleitung vorweg gewählt werden muss, tragen Sie diese in den beiden Feldern AMTSKENNZIFFER FÜR ORTSGESPRÄCHE und AMTSKENNZIFFER FÜR FERNGESPRÄCHE ein. Unter WÄHLVERFAHREN sollte die Option TON (MFV) gewählt werden, da das deutsche Telefonnetz bereits vor einigen Jahren auf diese Technik umgestellt worden ist. Auf diese Weise können Sie für verschiedene Standorte separate Wählregeln bestimmen. Je nachdem, an welchem Standort Sie sich befinden, markieren Sie diesen in der Liste (siehe Abbildung 8.33). Abbildung 8.33: Das Auswählen des Standorts, für den bestimmte Wählregeln konfiguriert sind
Damit die hier konfigurierten Wählregeln auch angewendet werden, müssen Sie sicherstellen, dass in den Eigenschaften der DFÜVerbindung die Checkbox WÄHLREGELN VERWENDEN aktiviert ist (siehe Abbildung 8.34).
380
Sandini Bib
Einrichten von DFÜ- und Breitbandverbindungen für den Internetzugang Abbildung 8.34: Die konfigurierten Wählregeln müssen für die Internetverbindung angewendet werden.
8.12.6
Das Herstellen einer Verbindung
Nachdem Sie das Gerät konfiguriert haben, können Sie die Zugangssoftware des Internetanbieters installieren. Diese Software fragt alle relevanten Daten ab und erstellt sämtliche WindowsEinstellungen automatisch. Dieses Verfahren erfordert wenig Aufwand. Mit der Zugangssoftware von T-Online erhalten Sie zusätzlich eine spezielle Portalseite, über die Sie schnell auf Funktionen wie E-Mail, Internet-Banking etc. zugreifen können. Möchten Sie diese Zugangssoftware nicht verwenden, haben Sie auch die Möglichkeit, die Verbindung manuell zu erstellen. Dies wird im Folgenden anhand einer T-Online-Verbindung via ISDN sowie einer DSL-Breitbandverbindung gezeigt. Herstellen einer ISDN-Verbindung (DFÜ) 1. Öffnen Sie im Fenster NETZWERKVERBINDUNGEN den Link NEUE VERBINDUNG ERSTELLEN und klicken Sie auf WEITER. 2. Im Fenster NETZWERKVERBINDUNGSTYP wählen Sie die Option VERBINDUNG MIT DEM INTERNET HERSTELLEN (siehe Abbildung 8.35). Klicken Sie dann auf WEITER.
381
Sandini Bib
8 Windows XP im Netzwerk Abbildung 8.35: Außer einer Verbindung zum Internet können noch weitere Verbindungen per Assistent eingerichtet werden.
3. Wählen Sie im Fenster VORBEREITUNG den Eintrag VERBINDUNG MANUELL EINRICHTEN (siehe Abbildung 8.36) und klicken Sie auf WEITER. Abbildung 8.36: Entscheiden Sie, ob die Verbindung manuell, per CD oder Auswahl aus einer Liste erfolgen soll.
4. Im Fenster INTERNETVERBINDUNG (siehe Abbildung 8.37) wählen Sie die Verbindungsart aus. Wählen Sie die erste Option, wenn Sie eine analoge oder ISDN-Verbindung besitzen, die zweite, wenn Sie einen DSL-Zugang besitzen, und die dritte bei einer Breitbandverbindung. Klicken Sie dann auf WEITER.
382
Sandini Bib
Einrichten von DFÜ- und Breitbandverbindungen für den Internetzugang Abbildung 8.37: Die Auswahl der Verbindungsart für die Internetverbindung
5. Sind auf dem Computer mehrere Modems oder ISDN-Karten installiert, müssen Sie im Fenster GERÄT AUSWÄHLEN (siehe Abbildung 8.38) das gewünschte Gerät markieren. Abbildung 8.38: Die Auswahl des Geräts zum Herstellen der Verbindung
6. Bei einer ISDN-Verbindung sollten Sie nach Möglichkeit immer die Option ALLE VERFÜGBAREN ISDN-LEITUNGEN SIND MEHRFACH VERBUNDEN auswählen. Klicken Sie dann auf WEITER. 7. Im Fenster VERBINDUNGSNAME legen Sie einen Namen für die Verbindung fest, z.B. T-Online ISDN. Klicken Sie dann auf WEITER.
383
Sandini Bib
8 Windows XP im Netzwerk
8. Im Fenster ZU WÄHLENDE RUFNUMMER tragen Sie die Nummer ein, die zur Verbindungsherstellung gewählt werden soll. Für T-Online lautet diese Nummer 0191011. Sofern es erforderlich ist, eine Ziffer vorweg zu wählen, so tragen Sie diese hier ebenfalls ein. Beachten Sie in diesem Zusammenhang auch die Hinweise zu den Wählregeln in Kapitel 8.12.5. Klicken Sie dann auf WEITER. 9. Im Fenster INTERNETKONTOINFORMATIONEN (siehe Abbildung 8.39) tragen Sie die Benutzerkennung und das Kennwort ein. Für T-Online hat die Benutzerkennung die folgende Form (alles ohne Leerzeichen): AnschlusskennungT-Online-NummerMitbenutzerkennung
Sofern Anschlusskennung und T-Online-Nummer nicht 12-stellig sind, müssen die einzelnen Nummern durch die Raute (#) getrennt werden. Abbildung 8.39: Die Angabe der Benutzerinformationen und des Kennworts für die Verbindung
An dieser Stelle müssen Sie nicht zwingend eine Eingabe vornehmen. Der Assistent wird auch fortgesetzt, wenn Sie alle Felder leer lassen. Sie werden dann bei der Herstellung der Internetverbindung nach den entsprechenden Angaben gefragt. Eine gute Praxis ist es, hier lediglich den Benutzernamen, nicht aber das Kennwort einzugeben. So minimieren Sie die Gefahr, dass unbefugte Personen am Computer eine Internetverbindung herstellen können. Außerdem ist so auch das Auslesen der Kennwortdatei nicht möglich, weil sie leer ist.
384
Sandini Bib
Einrichten von DFÜ- und Breitbandverbindungen für den Internetzugang
Weiterhin können Sie festlegen, ob diese Verbindung nur für den aktuellen Benutzer oder für alle Benutzer des Computers zur Verfügung steht, ob es sich bei dieser Verbindung um die Standardverbindung handelt und ob die Internetverbindungs-Firewall (siehe Kapitel 8.12.8) für diese Verbindung aktiviert werden soll. Klicken Sie dann auf WEITER und auf FERTIG STELLEN. Herstellen einer DSL-Verbindung (Breitband) Das Herstellen einer DSL-Verbindung verläuft sehr ähnlich wie das eben beschriebene Verfahren der DSL-Verbindung: 1. Führen Sie die Schritte 1 bis 3 wie oben beschrieben durch. Im Fenster INTERNETVERBINDUNG wählen Sie den Eintrag VERBINDUNG ÜBER EINE BREITBANDVERBINDUNG HERSTELLEN, DIE BENUTZERNAME UND KENNWORT ERFORDERT. Diese Option stand unter Windows 2000 noch nicht zur Verfügung, sodass die DSL-Konfiguration dort aufwendiger war. Klicken Sie dann auf WEITER. 2. Geben Sie nun einen Namen für die Verbindung an und klicken Sie auf WEITER. 3. Da es sich um keine Wählverbindung handelt, müssen Sie auch keine Nummer angeben. Sie gelangen direkt zum Fenster INTERNETKONTOINFORMATIONEN. Tragen Sie hier den Benutzernamen in der folgenden Form ein: AnschlusskennungT-Online-NummerMitbenutzerkennung@ t-online.de
Sofern Anschlusskennung und T-Online-Nummer nicht 12stellig sind, müssen die einzelnen Nummern durch die Raute (#) getrennt werden. 4. Klicken Sie dann auf WEITER und FERTIG STELLEN.
8.12.7
Gemeinsame Nutzung der Internetverbindung
Im letzten Kapitel wurde beschrieben, wie Sie die Internetverbin- Preisgünstiger dung auf einem Windows XP-Computer einrichten, der dann als der Einsatz eines Routers allein diese Verbindung benutzt. Windows XP bietet Ihnen zusätzlich noch die Möglichkeit, die Internetverbindung so zu konfigurieren, dass mehrere Computer gemeinsam die Verbindung benutzen können. In diesem Fall dient der Computer, auf dem die gemeinsame Verbindung eingerichtet wird, als Gateway, und die an der Verbindung partizipierenden Computer sind die Clients. Selbstverständlich wird in dieser Konstellation vorausgesetzt, dass der Gateway-Computer eingeschaltet ist, damit die übrigen Computer die Internetverbindung herstellen können.
385
Sandini Bib
8 Windows XP im Netzwerk
Die gemeinsame Nutzung einer Internetverbindung kann auch nachträglich konfiguriert werden, wenn Sie diese nicht über den Netzwerkinstallationsassistenten (siehe Kapitel 8.15) konfiguriert haben. Man bezeichnet die gemeinsame Nutzung der Internetverbindung auch als Internet Connection Sharing (ICS). Um das Internet Connection Sharing einzurichten, führen Sie die folgenden Schritte aus: 1. Öffnen Sie die NETZWERKVERBINDUNGEN und wählen das Kontextmenü EIGENSCHAFTEN der gewünschten Verbindung. 2. Wechseln Sie auf die Registerkarte ERWEITERT (siehe Abbildung 8.40). Markieren Sie dort die Checkbox ANDEREN BENUTZERN IM NETZWERK GESTATTEN, DIE INTERNETVERBINDUNG DIESES COMPUTERS ZU BENUTZEN. Abbildung 8.40: Legen Sie fest, ob und mit welchen Optionen die gemeinsame Internetverbindung eingerichtet werden soll.
3. Damit wird die Schaltfläche EINSTELLUNGEN verfügbar. Auf der Seite Dienste (siehe Abbildung 8.41) können Sie Dienste auswählen, hinzufügen und löschen, auf die die Internetbenutzer zugreifen dürfen. Wenn Sie einen Dienst markiert haben, öffnet sich ein weiteres Fenster, in dem Sie den Namen oder die IP-Adresse des Computers angeben, auf dem der Dienst ausgeführt wird. Zusätzlich geben Sie noch die interne und externe Portnummer des Dienstes an. Übernehmen Sie die Einstellungen mit OK.
386
Sandini Bib
Verbinden mit dem Firmennetzwerk von außerhalb Abbildung 8.41: Auswahl der Dienste, auf die die Benutzer des ICS zugreifen dürfen
8.12.8
Die Internetverbindungs-Firewall
Weiterhin können Sie zum Schutz der Internetverbindung eine Internetverbindungs-Firewall einrichten. Dieses Verfahren wird jedoch gesondert im Kontext des Kapitels Sicherheit in Kapitel 15 abgehandelt.
8.13 Verbinden mit dem Firmennetzwerk von außerhalb Über den Assistenten zum Herstellen einer neuen Verbindung können Sie auch eine Verbindung herstellen, um beispielsweise von zu Hause aus über das Internet auf das Firmennetzwerk zuzugreifen. Hierzu können eine DFÜ-Verbindung sowie eine VPN-Verbindung verwendet werden. 1. Starten Sie dazu wie oben beschrieben den Assistenten, wählen Sie im Fenster NETZWERKVERBINDUNGSTYP die Option VERBINDUNG MIT DEM NETZWERK AM ARBEITSPLATZ HERSTELLEN und klicken Sie auf WEITER. 2. Als Nächstes müssen Sie entscheiden, ob Sie eine DFÜ- oder eine VPN-Verbindung herstellen möchten. Klicken Sie dann auf WEITER.
387
Sandini Bib
8 Windows XP im Netzwerk
Verwenden einer DFÜ-Verbindung 3. Wählen Sie dann das DFÜ-Gerät aus, welches für die Verbindung benutzt werden soll (siehe Abbildung 8.38). Diese Option erscheint nicht, wenn nur ein DFÜ-fähiges Gerät vorhanden ist. Klicken Sie danach auf WEITER. 4. Im Fenster VERBINDUNGSNAME tragen Sie im Feld FIRMENNAME den Namen des Netzwerks ein, mit dem Sie sich verbinden möchten, und klicken auf WEITER. 5. Im Fenster ZU WÄHLENDE RUFNUMMER tragen Sie die Telefonnummer ein, die zur Verbindungsherstellung benutzt werden soll. Klicken Sie dann auf WEITER und stellen Sie den Assistenten fertig. Danach werden Sie aufgefordert, den Benutzernamen und das Kennwort für diese Verbindung anzugeben. Verwenden einer VPN-Verbindung
Was ist eine VPN-Verbindung? VPN steht für „Virtuelles privates Netzwerk“. Als VPN-Verbindung wird eine Verbindung zwischen zwei Computern oder auch Netzwerken bezeichnet, über die private Daten über ein öffentliches Netzwerk wie z.B. das Internet ausgetauscht werden. Diese virtuelle Verbindung ahmt somit eine direkte physische Verbindung zwischen den beiden Computern oder Netzwerken nach. Diese Verbindung wird auch als Tunnel bezeichnet. Dabei werden die privaten Daten auf der einen Seite eingekapselt, gekapselt versendet und erst vom Empfänger wieder ausgepackt und verwendet. Eine besondere Bedeutung kommt der Verschlüsselung von Daten in einer VPN-Verbindung zu. Weitere Hinweise dazu finden Sie im Kontext der Sicherheit in Kapitel 15. 6. Sie erhalten das Fenster VERBINDUNGSNAME; tragen Sie dort den Firmennamen ein und klicken auf WEITER. 7. Im Fenster ÖFFENTLICHES NETZWERK (siehe Abbildung 8.42) legen Sie fest, ob vor dem Aufbau der VPN-Verbindung eine Internetverbindung hergestellt werden soll oder nicht. Sofern eine Verbindung hergestellt werden soll, müssen Sie dafür eine DFÜ- oder Breitbandverbindung auswählen. Diese muss bereits angelegt sein. Klicken Sie dann auf WEITER. Diese Option kann später jederzeit über die Eigenschaften der VPN-Verbindung wieder geändert werden.
388
Sandini Bib
Verbinden mit dem Firmennetzwerk von außerhalb Abbildung 8.42: Herstellen der Verbindung zum öffentlichen Netzwerk, bevor die VPN-Verbindung aufgebaut wird
8. Im folgenden Fenster VPN-SERVERAUSWAHL (siehe Abbildung 8.43) geben Sie den Namen des VPN-Servers an, mit dem die Verbindung hergestellt werden soll. Dabei kann es sich um den vollständigen DNS-Namen oder die IP-Adresse des Servers handeln. Klicken Sie dann auf WEITER und beenden den Assistenten. Abbildung 8.43: Angabe des VPN-Servers der Firma, mit dem die Verbindung hergestellt werden soll
9. Wenn Sie die Verbindung zum ersten Mal starten, erhalten Sie im Fenster URSPRÜNGLICHE VERBINDUNG (siehe Abbildung 8.44) den Hinweis, dass zuerst eine Verbindung hergestellt werden muss (sofern Sie die entsprechende Option in Schritt 7 gewählt haben). Bestätigen Sie diese Meldung.
389
Sandini Bib
8 Windows XP im Netzwerk Abbildung 8.44: Hinweisfenster beim erstmaligen Start der VPNVerbindung
8.14 Erweiterte Verbindungen Eine weitere Möglichkeit des Assistenten zur Herstellung von Netzwerkverbindungen ist der Aufbau einer erweiterten Verbindung. Hierzu zählen Verbindungen, die über den seriellen oder parallelen Anschluss oder über einen Infrarotanschluss hergestellt werden. Um eine erweiterte Verbindung herzustellen, führen Sie die folgenden Schritte aus: 1. Wählen Sie im Installationsassistenten die Option EINE ERWEITERTE VERBINDUNG einrichten und klicken auf WEITER. 2. Im Fenster NETZWERKTYP (siehe Abbildung 8.45) müssen Sie entscheiden, ob Sie entweder nur eingehende Verbindungen zulassen oder eine direkte Verbindung mit einem anderen Computer herstellen möchten. Klicken Sie dann auf WEITER. Abbildung 8.45: Die Auswahl des Verbindungstyps
390
Sandini Bib
Erweiterte Verbindungen
3. Haben Sie diese Option gewählt, wird der Computer so konfiguriert, dass andere Computer auf diesen zugreifen können. Die Verbindung zu diesem Computer kann dabei über eine Internetverbindung, über eine direkte Verbindung oder eine Infrarotverbindung realisiert werden. Wählen Sie dazu das oder die Geräte aus, die für die eingehende Verbindung benutzt werden sollen (siehe Abbildung 8.46). Klicken Sie dann auf WEITER. Abbildung 8.46: Auswahl der Geräte, über die die eingehende Verbindung hergestellt werden soll
4. Als Nächstes legen Sie fest, ob auf den Computer über eine VPN-Verbindung zugegriffen werden darf (siehe Abbildung 8.47). Klicken Sie dann auf WEITER. Der Zugriff auf den Computer via VPN ist nur möglich, wenn dieser eine im Internet registrierte IP-Adresse oder einen Namen hat. Da dies in der Regel aber nur bei Servern der Fall ist, müssen Sie sich eines Hilfsmittels bedienen, um dem Windows XP-Computer einen im Internet registrierten Namen zu geben. Verwenden Sie hierzu das so genannte Dynamische DNS (DynDNS). Dabei wird auf dem Computer ein DynDNSClient installiert, der ihm einen festen, von Ihnen definierten Namen zuweist, über den er über das Internet erreichbar ist. Eine ausführliche Anleitung zur Funktionsweise und Installation des DynDNS finden Sie unter http://www.dyndns.org/.
391
Sandini Bib
8 Windows XP im Netzwerk Abbildung 8.47: Bestimmen Sie, ob der Computer eine eingehende VPNVerbindung zulassen soll oder nicht.
5. Im Fenster BENUTZERBERECHTIGUNGEN (siehe Abbildung 8.48) wählen Sie die Benutzer aus, die eine eingehende Verbindung mit dem Computer herstellen dürfen. Sie können auch zusätzliche Benutzer hinzufügen. Klicken Sie dann auf WEITER. Abbildung 8.48: Auswahl der Benutzer, die die eingehende Verbindung herstellen dürfen
6. Im Fenster NETZWERKSOFTWARE (siehe Abbildung 8.49) wird ausgewählt, für welche auf dem Computer installierten Netzwerkprotokolle, Clients und Dienste die eingehende Verbindung aktiviert werden soll. Sie können an dieser Stelle auch, wie schon in Kapitel 8.5 beschrieben, zusätzliche Netzwerkkomponenten für den Computer hinzufügen. Klicken Sie dann
392
Sandini Bib
Erweiterte Verbindungen
auf WEITER. Im nächsten Fenster stellen Sie den Assistenten für die neue Verbindung fertig. Abbildung 8.49: Auswahl der Netzwerkkomponenten, auf die über die eingehende Verbindung zugegriffen werden darf
7. Haben Sie die Option VERBINDUNG DIREKT MIT ANDEREM COMPUTER HERSTELLEN ausgewählt, so wird zunächst bestimmt, ob der Computer als Host oder Gast fungieren soll (siehe Abbildung 8.50). Ein Computer wird als Host eingerichtet, wenn sich auf diesem die Informationen befinden, auf die ein anderer Computer zugreifen darf. Ist der Computer als Gast konfiguriert, so kann er auf die Informationen eines anderen Hostcomputers zugreifen. Klicken Sie dann auf WEITER.
Verbindung direkt mit anderem Computer herstellen
Abbildung 8.50: Bestimmen der Host- oder Gastrolle des Computers in der direkten Verbindung
393
Sandini Bib
8 Windows XP im Netzwerk
Einrichten des Host 8. Haben Sie die Rolle des Host ausgewählt, legen Sie als Nächstes im Fenster VERBINDUNGSGERÄT fest, über welchen Anschluss auf den Host zugegriffen werden soll (siehe Abbildung 8.51). Soll der Zugriff über mehrere Anschlüsse möglich sein, so müssen Sie für jeden Anschluss eine separate Verbindung erstellen. Klicken Sie dann auf WEITER. Abbildung 8.51: Auswahl des Anschlusses, über den auf den Host zugegriffen werden darf
9. Danach wählen Sie noch, wie bereits in Schritt 5 beschrieben, die Benutzer aus, die auf den Host zugreifen dürfen. Klicken Sie dann auf WEITER und schließen Sie den Assistenten ab. Einrichten des Gasts
10. Haben Sie sich entschieden, den Computer als Gast einzurichten, so geben Sie zunächst im Fenster VERBINDUNGSNAME (siehe Abbildung 8.52) den Namen für die Verbindung an. 11. Danach legen Sie, wie in Schritt 8 beschrieben, den Anschluss für die Verbindung fest. Klicken Sie dann auf WEITER und beenden Sie den Assistenten.
394
Sandini Bib
Netzwerkinstallations-Assistent Abbildung 8.52: Festlegen des Namens für die Verbindung
8.15 Netzwerkinstallations-Assistent Der Netzwerkinstallations-Assistent kann entweder direkt über den Link der NETZWERKAUFGABEN aufgerufen werden oder im Assistenten für neue Verbindungen über die Option EIN HEIMODER EIN KLEINES FIRMENNETZWERK EINRICHTEN. Mit Hilfe des Netzwerkinstallations-Assistenten können Sie die folgenden vier Aufgaben durchführen: 왘
Gemeinsame Nutzung der Internetverbindung
왘
Einrichtung der Internetverbindungs-Firewall
왘
Freigabe von Dateien und Ordnern
왘
Gemeinsame Verwendung eines Druckers
Diese vier Aufgaben werden nacheinander abgearbeitet. Bevor Sie mit der Ausführung des Assistenten beginnen, müssen Sie sicherstellen, dass die benötigten Netzwerkkarten und Modems korrekt installiert und verbunden sind. Externe Modems und Drucker müssen eingeschaltet werden. Außerdem muss die Internetverbindung bereits bestehen.
Dieser Assistent eignet sich nicht für große Netzwerke
1. Starten Sie den Assistenten über NETZWERKUMGEBUNG/KLEINES FIRMEN- ODER HEIMNETZWERK EINRICHTEN. Klicken Sie zunächst auf WEITER und prüfen dann, ob die Voraussetzungen erfüllt sind. Klicken Sie abermals auf WEITER. Ist beispielsweise eine Netzwerkkarte nicht verbunden, erhalten Sie einen entsprechenden Hinweis. Soll die dort aufgeführte Hardware nicht benutzt werden, markieren Sie die Checkbox AUSGEWORFENE HARDWARE IGNORIEREN und klicken auf WEITER.
395
Sandini Bib
8 Windows XP im Netzwerk
2. Im Fenster WÄHLEN SIE EINE VERBINDUNGSMETHODE AUS (siehe Abbildung 8.53) bestimmen Sie, wie der Windows XP-Computer mit dem Internet verbunden ist. In der Regel stellt der Computer eine direkte Verbindung mit dem Internet her. Dies ist der Fall, wenn an den Computer direkt ein Modem angeschlossen ist oder die Netzwerkkarte des Computers direkt mit dem DSL-Modem verbunden ist. In diesem Fall wählen Sie die erste Option. Verwenden Sie hingegen einen Router oder ein anderes Gateway, so wählen Sie die zweite Option. Sind Sie nicht sicher, können Sie jeweils auf den Link BEISPIEL ANZEIGEN klicken, um sich eine Übersichtsgrafik anzeigen zu lassen. Abbildung 8.53: Die Auswahl der Verbindungsmethode im NetzwerkinstallationsAssistenten
3. Wählen Sie die dritte Option ANDERE METHODE, so erhalten Sie das zusätzliche Fenster WEITERE INTERNETVERBINDUNGSMETHODEN (siehe Abbildung 8.54). Klicken Sie danach auf WEITER. Internetverbindung wird direkt hergestellt
396
4. Sofern Sie unter Schritt 1 die erste Option gewählt haben, müssen Sie nun die Netzwerkverbindung oder DFÜ-Verbindung auswählen, über die die Internetverbindung hergestellt werden soll (siehe Abbildung 8.55). Klicken Sie dann auf WEITER.
Sandini Bib
Netzwerkinstallations-Assistent Abbildung 8.54: Die Auswahl einer nicht standardmäßigen Internetverbindung
Abbildung 8.55: Auswahl der Netzwerkverbindung, über die die Internetverbindung hergestellt werden soll
5. Im nächsten Schritt geben Sie für den Computer den Namen und eine Beschreibung an (siehe Abbildung 8.56). Der Name muss nicht dem aktuellen Computernamen entsprechen, der während der Installation festgelegt wurde. Sie können ihn an dieser Stelle ändern. Klicken Sie dann auf WEITER.
397
Sandini Bib
8 Windows XP im Netzwerk Abbildung 8.56: Legen Sie den Namen und eine Beschreibung für den Computer fest.
6. Im folgenden Fenster (siehe Abbildung 8.57) legen Sie den Namen für die Arbeitsgruppe fest, zu der der Computer gehören soll. Klicken Sie dann auf WEITER. Abbildung 8.57: Festlegen des Arbeitsgruppennamens
7. Im Fenster DATEI- UND DRUCKERFREIGABE (siehe Abbildung 8.58) bestimmen Sie, ob die Dateien, die sich im Ordner GEMEINSAME DOKUMENTE unter DOKUMENTE UND EINSTELLUNGEN\ALL USERS befinden, für alle Benutzer des Heimnetzwerks verfügbar sein sollen und ob ebenfalls für alle Benutzer der Zugriff auf einen freigegebenen Drucker erfolgen soll, sofern Sie einen solchen eingerichtet haben. Wird der Zugriff zugelassen, wird die Windows-interne Firewall so eingerich-
398
Sandini Bib
Netzwerkinstallations-Assistent
tet, dass die Datei- und Druckerfreigabe im Netzwerk ermöglicht wird. Anderenfalls blockiert die Firewall den Zugriff. Auch für aktuell bereits erstellte Freigaben auf Dateien oder Drucker ist dann kein Zugriff über das Netzwerk mehr möglich. Klicken Sie dann auf WEITER. Abbildung 8.58: Bestimmen Sie, ob die Datei- und Druckerfreigabe durch die Firewall zugelassen wird oder nicht.
8. Sie erhalten dann das Fenster NETZWERKEINSTELLUNGEN KÖNNEN ÜBERNOMMEN WERDEN. Dies zeigt eine Zusammenfassung Ihrer Einstellungen. Klicken Sie hier auf WEITER und beenden Sie den Assistenten. 9. Haben Sie in Schritt 1 die zweite Option gewählt, können Sie, sofern der Computer über mehrere Netzwerkverbindungen verfügt, bestimmen, ob die Verbindungen automatisch oder manuell ausgewählt werden sollen (siehe Abbildung 8.59). Dabei können mehrere Verbindungen zu einer Netzwerkbrücke (siehe Kapitel 8.6) zusammengefasst werden. Klicken Sie dann auf WEITER. Ist nur eine Netzwerkverbindung vorhanden, fahren Sie mit Schritt 10 fort.
Die Internetverbindung wird über einen anderen Computer hergestellt
399
Sandini Bib
8 Windows XP im Netzwerk Abbildung 8.59: Automatische oder manuelle Auswahl der Verbindung
10. Haben Sie sich für die manuelle Auswahl entschieden, müssen Sie nun die zu überbrückenden Verbindungen auswählen (siehe Abbildung 8.60). Damit die Brücke korrekt funktioniert, müssen Sie von dieser sämtliche Netzwerkverbindungen entfernen, die eine direkte Verbindung mit dem Internet herstellen. Standardmäßig sind sämtliche Netzwerkverbindungen so markiert, dass sie eine Verbindung zu dem Computer herstellen, der die Internetverbindung aufbaut. Deaktivieren Sie deshalb die Checkbox der direkten Internetverbindung, sofern eine solche besteht. Klicken Sie dann auf WEITER. Abbildung 8.60: Auswahl der Netzwerkverbindungen, die der Netzwerkbrücke hinzugefügt werden sollen
400
Sandini Bib
Netzwerkressourcen
11. Tragen Sie nun, wie in den Schritten 4 bis 6 beschrieben, die Angaben zu Computername, Beschreibung, Arbeitsgruppenname sowie Datei- und Druckerfreigabe ein und beenden den Assistenten.
8.16 Netzwerkressourcen Windows XP bietet einen Assistenten, mit dem Sie neue Ressourcen zum Netzwerk hinzufügen können. Mit Ressourcen sind in diesem Fall Verknüpfungen mit Freigaben, aber auch Websites oder FTP-Server gemeint. Sie starten den Assistenten in der NETZWERKUMGEBUNG über die NETZWERKAUFGABEN unter NETZWERKRESSOURCE HINZUFÜGEN
1. Klicken Sie im Assistenten zunächst auf WEITER. Tun Sie dies auch im Fenster WO SOLL DIE NETZWERKRESSOURCE ERSTELLT WERDEN?. 2. Im Fenster WELCHE ADRESSE VERWENDET DIESE NETZWERKRESSOURCE? (siehe Abbildung 8.61) geben Sie die Adresse oder den Pfad zu der gewünschten Ressource an. Abbildung 8.61: Auswahl der Netzwerkressource, die hinzugefügt werden soll
3. Um eine Freigabe hinzuzufügen, klicken Sie entweder auf DURCHSUCHEN oder geben den Pfad in der Form \\COMPUTERNAME\FREIGABENAME an.
401
Sandini Bib
8 Windows XP im Netzwerk
4. Möchten Sie hingegen eine Webfreigabe oder eine FTP-Site hinzufügen, so geben Sie die Adresse in der folgenden Form an: 왘
http://www.Webserver.Domäne/Freigabe für eine Webfreigabe oder
왘
ftp://ftp.Domäne.de zur Freigabe einer FTP-Site.
5. Im Fenster WIE SOLL DIESE NETZWERKRESSOURCE HEIßEN? bestimmen Sie einen Namen. Dieser wird später in der Liste der verfügbaren Ressourcen angezeigt und sollte deshalb einen aussagekräftigen Namen besitzen. Klicken Sie dann auf WEITER. Schließen Sie im nächsten Fenster den Assistenten ab. Weiterhin können Sie diesen Assistenten auch benutzen, um eine Verbindung zu einem Dienst herzustellen, der Onlinespeicherplatz für Dateien anbietet. Allerdings müssen Sie sich zuvor bei einem solchen Dienst angemeldet haben.
8.17 Werkzeuge zur NetzwerkVerwaltung und -Diagnose Dieses Kapitel stellt Ihnen verschiedene Programme und Tools rund um das Netzwerk vor. Darin enthalten sind auch die Befehle der Eingabeaufforderung, die Sie bei der Diagnose von Problemen unterstützen können.
8.17.1
Mitgelieferte Kommandozeilenprogramme
Windows XP stellt Ihnen einige Kommandozeilenprogramme bereit, die Sie zur Diagnose bei Netzwerkproblemen heranziehen können. ARP ARP steht für Address Resolution Protocol. Über dieses Protokoll werden Adressen im LAN an die Arbeitsstationen verteilt. Über den Befehl ARP können Sie den lokalen ARP-Cache des Computers anzeigen sowie weitere Einträge hinzufügen. Die wichtigsten Parameter für ARP finden Sie in der folgenden Tabelle.
402
Sandini Bib
Werkzeuge zur Netzwerk-Verwaltung und -Diagnose
Parameter
Bedeutung
-a oder -g
Zeigt die aktuellen ARP-Einträge der Netzwerkkarte an. Sind mehrere vorhanden, werden die ARP-Einträge für alle Karten angegeben.
-s
Ein Host-Eintrag wird zum ARP-Cache hinzugefügt. Geben Sie für den statischen Eintrag die IP-Adresse und MAC-Adresse an, z.B. arp –s 192.168.2.56 00-02-
Tabelle 8.6: Die wichtigsten Parameter für den Befehl ARP
2D-3C-04-5A
-d
Löscht einen durch die IP-Adresse zu definierenden HostEintrag
IP_Adr
Gibt die Internetadresse an
Eth_Adr
Gibt die physikalische Netzwerkadresse an (MACAdresse)
HOSTNAME Dieser einfache Befehl Host gibt den Host-Namen des Computers an. IPCONFIG Über den Befehl IPCONFIG können Sie zahlreiche Informationen zur TCP/IP-Konfiguration abrufen. Die wichtigsten Parameter finden Sie in Tabelle 8.7. Parameter
Bedeutung
-all
Sämtliche Konfigurationseinstellungen aller vorhandenen Netzwerkverbindungen werden angezeigt.
-release
Freigabe der IP-Adresse
-renew
Erneuerung der IP-Adresse
-flushdns
Der DNS-Auflösungs-Cache wird auf dem Computer geleert.
Tabelle 8.7: Wichtige Parameter für IPCONFIG
-registerdns Aktualisierung des DHCP-Leases sowie neue Registrierung des DNS-Namens -displaydns
Der DNS-Auflösungs-Cache wird angezeigt.
-?
Ruft die umfangreiche Hilfe auf.
NBTSTAT Mit Hilfe des Befehls NBTSTAT können Sie den Status der aktuellen NetBIOS over TCP/IP-Verbindungen (NetBT-Verbindungen) anzeigen. Die verfügbaren Optionen können Sie über den Befehl NBTSTAT (¢) aufrufen.
403
Sandini Bib
8 Windows XP im Netzwerk
NETSH Über den Befehl NETSH können Sie die Netzwerkkonfiguration des lokalen oder auch eines Remotecomputers anzeigen und sogar bearbeiten. Eine Liste aller Befehle rufen Sie mit netsh -? (¢) auf. Um weitere Informationen zu einem speziellen Befehl zu erhalten, benutzen Sie netsh Befehlsname ?, also z.B. netsh firewall ? (¢) . NETSTAT NETSTAT gibt Ihnen eine Übersicht über sämtliche TCP- und UDP-Ports sowie die Statistiken zu den IP- und ICMP-Protokollen. Die Ergebnisse werden dabei in der folgenden Form angezeigt: Listing 8.2: Ausgabe einer Netzwerkstatistik über den Befehl NETSTAT
Proto TCP
Lokale Adresse
Remoteadresse
borussia:4167 baym-cs324.msgr.hotmail.com:1863
Status HERGESTELLT
NSLOOKUP Über den Befehl NSLOOKUP können Sie an einen DNS-Server DNSAbfragen senden. Listing 8.3: Anfrage via NSLOOKUP an einen DNS-Server
C:\Dokumente und Einstellungen\Administrator>nslookup Standardserver: Address:
ips-hann-a.hannover.de.ibm.com
9.139.245.110
PATHPING Geben Sie den Befehl PATHPING gefolgt von dem Namen oder der IP-Adresse des Computers an, dessen Pfad Sie verfolgen möchten. Diese Ablaufverfolgung kann über maximal 30 Abschnitte vorgenommen werden. Dabei werden statistische Informationen wie die benötigte Zeit sowie die Anzahl von Paketverlusten angegeben. PING Über den Befehl PING wird geprüft, ob ein Computer im Netzwerk erreichbar ist und antwortet. Sie können entweder den Namen oder die IP-Adresse des Host angeben. Sie erhalten dabei ebenfalls Angaben über die Reaktionszeit des Remote-Rechners sowie Angaben zur Anzahl verlorener Pakete.
404
Sandini Bib
Werkzeuge zur Netzwerk-Verwaltung und -Diagnose
ROUTE Über den Befehl ROUTE können Sie die Routing-Tabelle des Windows XP-Computers anzeigen und modifizieren. In der RoutingTabelle befinden sich die Einträge statischer Routen. Unter Routing versteht man die Weiterleitung eines IP-Pakets von einem Quellcomputer an den Zielcomputer. Eine ausführliche Hilfe zu diesem Befehl rufen Sie über ROUTE (¢) auf. TRACERT Mit Hilfe des Befehls TRACERT können Sie ebenfalls die Route zu einem bestimmten Host nachverfolgen. Dabei ist es unerheblich, ob sich dieser im lokalen Netzwerk oder im Internet befindet. In der Ablaufverfolgung werden sämtliche in der Route vorhandenen Router aufgelistet. Im folgenden Beispiel sehen Sie die Ablaufverfolgung für den Internethost www.microsoft.de. C:\Dokumente und Einstellungen\Administrator>tracert www.microsoft.de Routenverfolgung zu www.microsoft.de [212.184.80.190] über maximal 30 Abschnitte: 1 2 3 4 5
Listing 8.4: Routenverfolgung über TRACERT für den Host www.microsoft.de
2087 ms 5 ms 4 ms 192.168.2.1 52 ms 69 ms 59 ms 217.5.98.101 50 ms 50 ms 50 ms 217.237.160.26 63 ms 62 ms 63 ms s-ag3.S.net.DTAG.DE [62.154.22.222] 70 ms 68 ms 85 ms 01364-1-4-gw.S.net.DTAG.DE [62.154.26.24]
8.17.2
Die Windows Support Tools und Resource Kit Tools
Microsoft bietet eine Reihe frei erhältlicher Programme und Werkzeuge. Diese beziehen sich nicht nur auf die Netzwerkkonfiguration, sondern auf nahezu sämtliche Windows-Komponenten und Funktionen. Dabei handelt es sich um die Support Tools und die Resource Kit Tools. Die Resource Kit Tools können unter dem Link http://www.microsoft.com/windows/reskits/default.asp downgeloadet werden. Die Supporttools finden Sie auf der Windows XP-CD im Verzeichnis \SUPPORT\TOOLS. Installieren Sie diese über die Datei setup.msi. Die Resource Kit Tools können Sie kostenlos aus dem Internet beziehen. Die verschiedenen Programme können Sie jeweils aus dem Installationsverzeichnis aufrufen; eine umfassende Hilfe zu diesen Programmen finden Sie beim Aufruf von SUPPORT TOOLS HELP bzw.
405
Sandini Bib
8 Windows XP im Netzwerk
WINDOWS RESOURCE KIT TOOLS HELP im Programmeintrag des Startmenüs. Eine Vorstellung aller dieser Programme würde an dieser Stelle den Rahmen des Buches sprengen; deshalb wird hier lediglich auf ausgewählte Programme eingegangen. Netzwerkdiagnose Die Windows-Funktion zur Netzwerkdiagnose können Sie auf zweierlei Arten aufrufen. Wenn Sie die Resource Kit Tools installiert und die Hilfe dazu aufgerufen haben, finden Sie in der linken Spalte TOOLS den Eintrag NETZWERKDIAGNOSE. Klicken Sie diesen an und danach im rechten Fensterabschnitt auf SYSTEM ÜBERPRÜFEN. Sie können die Netzwerkdiagnose auch ohne Installation der Resource Kit Tools über den Befehl netsh diag gui (¢) an der Eingabeaufforderung aufrufen. Es dauert eine Weile, bis Windows die erforderlichen Informationen gesammelt und angezeigt hat. Sie erhalten eine Zusammenfassung über die verschiedenen Netzwerk- und Modemverbindungen sowie die unter Outlook Express konfigurierten E-Mail- und Newsgroup-Konten (siehe Abbildung 8.62). Sie können die Ergebnisse auch in einer HTMLDatei speichern. Abbildung 8.62: Die Netzwerkdiagnose des Windows Resource Kit
Weitere Prüfoptionen können Sie dort ebenfalls festlegen. Klicken Sie dazu auf den Link ÜBERPRÜFUNGSOPTIONEN FESTLEGEN.
406
Sandini Bib
Werkzeuge zur Netzwerk-Verwaltung und -Diagnose
Netdiag Mit dem Kommandozeilenprogramm NETDIAG der Windows Support Tools können Sie 25 verschiedene netzwerkspezifische Tests durchführen. Treten auf einem Client oder auch unter den Domänen-Controllern Verbindungsprobleme auf, so sollten Sie immer erst dieses Programm anwenden. Es ist sehr komfortabel zu bedienen, weil es mit sehr wenigen Parametern auskommt. Folgende optionale Parameter stehen zur Verfügung (siehe Tabelle 8.8): Parameter
Beschreibung
/test:Testname
Es können auch nur einzelne der gültigen Tests aufgerufen werden. Die Testnamen sind weiter unten aufgelistet.
/l
Die Ergebnisse werden ins NetDiag.log im Installationsverzeichnis geschrieben.
/q
Quiet-Modus, es werden nur die Fehler ausgegeben.
/v
Ausführlicherer Ausgabemodus
/debug
Noch ausführlicherer Ausgabemodus als /v
/fix
Berichtigt automatisch leichte Fehler, die durch NETDIAG aufgedeckt werden.
/d:Domänenname
Findet einen Domänen-Controller in der angegebenen Domäne.
/DcAccountEnum
Zählt die Domänen-Controller-Computerkonten auf.
Tabelle 8.8: Die Parameter für das Programm NETDIAG
Mit NETDIAG können die folgenden Tests durchgeführt werden: 1. Ndis – Abfrage der Netzwerkkarten 2. IpConfig – IP-Konfigurationstest 3. Member – Prüfung der Domänenmitgliedschaft 4. NetBTTransports – NetBT Transport-Test 5. Autonet – Autonet-Adresstest 6. IpLoopBk – IP Loopback Ping-Test 7. DefGw – Prüfung des Standard-Gateway 8. NbtNm – NetBT-Namenstest 9. WINS – Test des WINS-Dienstes 10. Winsock – Test von Winsock 11. DNS – DNS-Test 12. Browser – Redir- und Browser-Test
407
Sandini Bib
8 Windows XP im Netzwerk
13. DsGetDc – Suchen der Domänen-Controller 14. DcList – Auflisten der Domänen-Controller 15. Trust – Test der Vertrauensstellungen 16. Kerberos – Kerberos-Test 17. Ldap – LDAP-Test 18. Route – Test der Routing-Tabelle 19. Netstat – Test der Netstat-Informationen 20. Bindings – Verbindungstest zwischen Netzwerkadapter und Kommunikationsprotokoll 21. WAN – WAN-Konfigurationstest 22. Modem – Modem-Diagnose 23. Netware – Test der Netware-Konfiguration 24. IPX – IPX-Test 25. IPSec – Test von IPSec In der Log-Datei sehen Sie, sofern nicht der Parameter /q gesetzt ist, zu jedem einzelnen Test ein ausführliches Ergebnis und zu einigen Fehlern auch Hinweise zur Lösung des Problems. Die Fehler werden dabei in verschiedene Schwierigkeitsgrade eingeteilt. Leichte Fehler können dabei möglicherweise mit der Option /fix behoben werden. Dnscmd DNSCMD ist ein Kommandozeilenprogramm der Support Tools, mit dem Informationen über DNS-Server und deren Konfiguration angezeigt und Probleme behoben werden können, wenn auf der Client-Seite Probleme mit der Namensauflösung auftreten. Tabelle 8.9 gibt Ihnen einen Überblick über die wichtigsten Befehle. Alle weiteren Befehle finden Sie über den Aufruf dnscmd -? (¢). Um die Parameter der jeweiligen Befehle zu erhalten, rufen Sie dnscmd gefolgt von dem jeweiligen Befehl auf, also z.B. dnscmd / ZoneInfo (¢). Alle Befehle werden nach dem folgenden Schema ausgeführt: Dnscmd <Server> [optionale Parameter]
Unter <Server> können Sie einen Punkt (.) für den lokalen Server setzen oder Remote Procedure Calls (RPCs) auf andere DNS-Server über die IP-Adresse oder den DNS-Namen durchführen.
408
Sandini Bib
Werkzeuge zur Netzwerk-Verwaltung und -Diagnose
Funktion
Befehl
Zeigt die Informationen über den DNS-Server an.
/Info
Setzt die Informationen des DNS-Servers oder der Zone zurück. Sollten nach dem Befehl
/Config
Tabelle 8.9: Die Befehle für DNSCMD
dnscmd /Config ..AllZones /AllowUpdate 0x2 beim Start im Ereignisprotokoll des
DNS-Servers Fehlermeldungen mit der ID 500 oder 501 auftreten, so müssen Sie unter Windows 2000 das Service Pack 3 installieren. Listet die eingerichteten DNS-Zonen auf.
/EnumZones
Löscht den DNS-Cache des Servers. Sofern nicht mindestens das Service Pack 2 unter Windows 2000 installiert ist, können Sie folgende Fehlermeldung erhalten: failed: status = 9718 (0x000025f6)
/ClearCache
Hinzufügen von IP-Adressen von weiteren DNS-Servern für Abfragen
/ResetLis-
Hinzufügen von DNS-Servern, an die rekursive Abfragen gesendet werden können
/ResetForwarders
Zeigt die Informationen der Zone an.
/ZoneInfo
tenAddresses
Erstellt eine neue DNS-Zone. Bei Active Direc/ZoneAdd tory-integrierten Zonen müssen Sie darauf achten, dass die Zonennamen keine von Windows reservierten Wörter enthalten. Reservierte Wörter sind: CON, AUX, COM1, COM2, COM3, COM4, LPT1, LPT2, LPT3, PRN und NUL. Eine Zone darf also z.B. nicht nul.ktc.de heißen. Löscht eine DNS-Zone.
/ZoneDelete
Hält eine DNS-Zone vorübergehend an.
/ZonePause
Startet eine DNS-Zone neu.
/ZoneResume
Lädt eine Zone neu aus der Datenbank (dem Active Directory oder der Textdatei).
/ZoneReload
Erzwingt die Aktualisierung einer sekundären Zone vom Master.
/ZoneRefresh
Aktualisiert die Daten einer Active Directoryintegrierten Zone mit den Daten aus dem Active Directory.
/ZoneUpdateFromDs
Ändert den Zonentyp Active Directory-integriert, Standard primär und sekundär.
/ZoneResetType
Erstellt die Master-Server für eine sekundäre Zone neu.
/ZoneResetMasters
409
Sandini Bib
8 Windows XP im Netzwerk
Linkspeed Linkspeed ist ein Programm des Resource Kit. Mit Linkspeed kann die Verbindungsgeschwindigkeit zwischen zwei Computern im Netzwerk gemessen werden. Auch dieses Programm wird an der Kommandozeile ausgeführt. Das Programm wird mit der Syntax Linkspeed {/s system | / DC} [/T Wert] (¢) aufgerufen. Die Parameter haben folgende Bedeutung: 왘 /S system
gibt den Namen des Remotecomputers an, zu dem die Verbindungsgeschwindigkeit ermittelt werden soll.
왘 /DC gibt die Verbindungsgeschwindigkeit zum Domänen-Con-
troller an. 왘 / T Wert kann optional angegeben werden. Unter Wert wird in
Bytes der minimale Schwellenwert angegeben, der ermittelt werden soll.
8.17.3
Drittanbieterwerkzeuge
Dieses Kapitel zeigt Ihnen eine Auswahl nützlicher Drittanbieterwerkzeuge für die Netzwerkverwaltung. A1Monitor Network Monitor Über den A1Monitor Network Monitor können Sie z.B. HTTP-, HTTPS-, oder FTP-Server überwachen. Das Programm verfügt auch über eine Benachrichtigungsfunktion. Der A1Monitor Network Monitor ist Shareware (69 US-Dollar) und kann unter der Adresse http://www.a1monitor.com/ downgeloadet werden. Active Ports Das Programm Active Ports zeigt sämtliche offenen TCP- und UDP-Ports des lokalen Rechners an. Sie können erkennen, welcher Port zu welcher laufenden Applikation gehört. Für jede bestehende Verbindung werden die lokale sowie die Remote-IPAdresse angezeigt sowie der zugehörige Prozess. Dieses Programm eignet sich besonders, um zu überprüfen, ob sich auf dem System Trojaner befinden. Der Downloadlink lautet http:// www.protect-me.com/freeware.html. Das Programm ist kostenlos.
410
Sandini Bib
Werkzeuge zur Netzwerk-Verwaltung und -Diagnose
AdvancedRemoteInfo Mit AdvancedRemoteInfo haben Sie die Möglichkeit, Informationen über die Computer, Betriebssysteme, Hard- und Software sowie laufende Dienste zu erhalten. Weiterhin können Nachrichten zentral über das Netzwerk versendet und Rechner heruntergefahren werden sowie per Wake-On-LAN gestartet werden. Dieses Programm können Sie kostenlos unter http://www.heise.de/software/ default.shtml? prg=8358&osg=1 herunterladen. Es ist in deutscher Sprache verfügbar. N-View Eines der umfassendsten Tools zur Netzwerküberwachung ist das Programm N-View. Sie können eine kostenlose Demoversion unter dem Link http://www.n-view.de/ herunterladen. Eine Vollversion kostet 50 Euro. Die aktuelle Version liegt bei 2.10, demnächst ist jedoch auch eine Betaversion 3.0 verfügbar. Das Programm ist in deutscher Sprache. Neben diversen Windows-Plattformen ist dieses Programm auch für verschiedene Linux-Versionen, Sun, HPUX sowie Mac OS X verfügbar. NetCat Das Programm NetCat umfasst einen Portscanner und ist auch ein funktionelles Werkzeug, um Daten per TCP oder UDP in Netzwerkverbindungen lesen und schreiben zu können. Sie können NetCat kostenlos unter http://www.computec.ch/download.php?view.467 herunterladen. Nmap Nmap ist ein kommandozeilenbasierter Portscanner, mit dem Sie andere Computer auf offene Ports hin überprüfen können. Sie können dieses Programm kostenlos unter dem Link http:// www.insecure.org/ herunterladen. Servers Alive? Das Programm Servers Alive? überwacht im Netzwerk die Server und sendet benutzerdefinierte Alarmfunktionen. Das Programm arbeitet plattformübergreifend und benötigt keinerlei Agents. Sie können es unter dem Link http://www.woodstone.nu/salive/ herunterladen. Es handelt sich um Shareware (ab 139 US-Dollar), eine freie Demoversion ist ebenfalls verfügbar.
411
Sandini Bib
8 Windows XP im Netzwerk
ServersCheck Mit ServersCheck können Sie eine Reihe von Serverdiensten von einem Windows XP-Client aus überwachen. Sie können das Programm kostenlos unter http://www.serverscheck.de herunterladen.
412
Sandini Bib
9
Windows XP in Arbeitsgruppen und Domänen Stephanie Knecht-Thurmann
In diesem Kapitel erhalten Sie zunächst einen kurzen Überblick über die verschiedenen Netzwerkmodelle, in die Windows XP als Client eingebunden werden kann. Danach wird beschrieben, wie der XP-Client manuell oder per Assistent zu einer Domäne oder Arbeitsgruppe hinzugefügt werden kann und wie Sie die Mitgliedschaft zu einem späteren Zeitpunkt ändern können. Bei beiden Formen der Mitgliedschaft können dem Client oder dem Computer für die An- und Abmeldung bzw. den Start und das Herunterfahren Skripte zugewiesen werden. Das Zuweisen dieser Skripte sowie einige Hinweise zur Skriptoptimierung finden Sie ebenfalls in diesem Kapitel. Für die Anmeldung an einer Windows 2003/2000-Domäne verwendet der XP-Client standardmäßig das Kerberos V5-Authentifizierungsprotokoll. Erfolgt die Anmeldung an einer Windows NT 4.0-Domäne, wird die NTLM-Authentifizierung angewendet. Beide Mechanismen sowie Konfigurationsoptionen werden beschrieben. Der Windows XP-Client kann nicht nur als normaler Arbeitsplatzund Desktopcomputer in der Arbeitsgruppe oder Domäne verwendet werden. Vielmehr kann er auch weitere Rollen z.B. als Datei- oder Druckserver oder Intrusion Detection System erfüllen. Es werden noch weitere Einsatzgebiete des XP-Client vorgestellt. Bei der Einrichtung des Netzwerks wird bereits festgelegt, ob eine Domäne oder Arbeitsgruppe eingerichtet werden soll. Sie finden Vor- und Nachteile aufgelistet, die für bzw. gegen den Einsatz des Client in einer Domäne oder Arbeitsgruppe sprechen. Ein weiteres Thema ist der Einsatz des XP-Client in einer Terminalserver-Umgebung als Terminalserver-Client. In diesem Abschnitt erhalten Sie auch einige generelle Hinweise und Empfehlungen für den sinnvollen Einsatz eines Terminalservers. Den letzten Punkt dieses Kapitels bildet das Web Client Network. Unter dieser neuen Windows XP-Komponente werden sämtliche Netzwerkverbindungen des Client aufgeführt, die über WebDAV hergestellt werden.
413
Sandini Bib
9 Windows XP in Arbeitsgruppen und Domänen
9.1 Peer-to-PeerNetzwerke werden heute kaum noch eingesetzt
Abbildung 9.1: Die Konstellation in einem Peer-to-PeerNetzwerk
Peer-to-Peer-Netzwerke
Die ursprüngliche Form der Vernetzung von mehreren Computern stellt das Peer-to-Peer-Netzwerk dar. Zuweilen wird das Peer-to-Peer-Netzwerk auch mit der Bezeichnung P2P versehen. So war es zu Beginn der Vernetzung nur wichtig, dass beispielsweise ein Computer eine Ordner-Freigabe oder einen freigegebenen Drucker besaß, worauf die anderen Clients Zugriff hatten. Im Peer-to-Peer-Netzwerk fungiert somit jeder Computer mit einer Freigabe als Server, während die restlichen Computer die Clients zu diesem bilden (siehe Abbildung 9.1). Computer 1
Computer 1 fungiert als Client, Computer 2 als Server
Freigegebene Ressourcen Computer 1 fungiert als Server, Computer 2 als Client
Computer 2
Freigegebene Ressourcen
Aus diesem Modell ergibt sich, dass sämtliche Computer des Peer-to-Peer-Netzwerks gleichberechtigt sind und gleichermaßen die Rolle des Servers und des Client ausfüllen können. Gegenüber einem serverbasierten Netzwerk befinden sich hier die freigegebenen Ressourcen verteilt auf verschiedenen Rechnern, wodurch eine zentrale Verwaltung nicht möglich ist. Auch Aspekte wie Sicherung und Rechteverwaltung erfordern in einem Peer-toPeer-Netzwerk einen wesentlich höheren Verwaltungsaufwand.
414
Sandini Bib
Peer-to-Peer-Netzwerke
Um auf eine Freigabe zugreifen zu können, muss der Benutzer über die entsprechenden Berechtigungen verfügen. Dabei werden zwei verschiedene Varianten bezüglich der Freigabekennwörter verwendet: Die Kennwörter für den Zugriff auf Freigabeebene und auf Benutzerebene. 왘
Zugriff auf Freigabeebene Bei dieser Variante wird beim Anlegen der Freigabe ein Kennwort für diese festgelegt. Das Kennwort für die Freigabe wird dabei auf dem jeweiligen Computer gespeichert. Der Zugriff kann danach durch jeden Benutzer erfolgen, dem dieses Kennwort bekannt ist. Eine Kopplung an Benutzerrechte ist bei dieser Methode nicht gegeben. Deshalb ermöglichen die Kennwörter für den Zugriff auf Freigabeebene auch nur bedingt Sicherheit. Dieses Zugriffsverfahren ist Standard unter Windows for Workgroups, Windows 9x und ME. Es kann zwar auch unter Windows 2000 und XP verwendet werden, ist aber nicht anzuraten. Da in der Regel für jede Freigabe ein separates Kennwort festgelegt wird, hat der Benutzer den Nachteil, dass er sich eine Reihe unterschiedlicher Kennwörter merken muss. Andererseits besteht auch schnell die Gefahr, dass Benutzer die Kennwörter erfahren, deren Kenntnis eigentlich nicht erwünscht ist.
왘
Zugriff auf Benutzerebene Bei dieser Methode wird beim Erstellen der Freigabe festgelegt, welche lokalen Benutzer Zugriff auf die Freigabe erhalten sollen. Zudem wird der Umfang der Berechtigungen bestimmt, z.B. nur lesender oder auch schreibender Zugriff. Hierzu verwendet der Computer seine lokale Benutzerkonten-Datenbank. Darin besitzt jeder Benutzer sein eigenes Kennwort, was die Sicherheit bereits erhöht. Sobald nun ein Benutzer über das Netzwerk eine Verbindung mit der Freigabe herstellt, muss er das Benutzerkonto und zugehörige Kennwort angeben. Dieses Konto muss auf dem lokalen Rechner definiert sein. Ein Benutzer kann nach der erfolgreichen Authentifizierung auf sämtliche Freigaben des Computers zugreifen (sofern er für diese auch über die entsprechenden Berechtigungen verfügt) und muss nicht für jede Freigabe ein separates Kennwort angeben. Bei der Zugriffssteuerung auf Benutzerebene handelt es sich um das Standardverfahren der Betriebssysteme Windows NT 4.0, Windows 2000 und Windows XP. Die Informationen der lokalen Benutzerdatenbank werden unter Windows NT 4.0 in der SAMDatenbank (Security Account Manager) vorgehalten, in einer Domäne unter Windows 2000/2003 im Active Directory.
415
Sandini Bib
9 Windows XP in Arbeitsgruppen und Domänen
Unter Windows XP wird diese Methode jedoch nur dann verwendet, wenn nicht die einfache Dateifreigabe aktiviert ist. Diese wird auch als Gast-Authentifizierung bezeichnet. Standardmäßig ist diese aktiviert, nachdem der Netzwerk-Installationsassistent ausgeführt wurde. Somit werden zunächst alle Zugriffe auf den Windows XP-Client unter dem Gast-Konto mit eingeschränkten Berechtigungen durchgeführt. Um die Zugriffssteuerung auf Benutzerebene auch unter Windows 9x und ME im Zusammenspiel mit Windows XP sowie auch Windows 2000 und NT 4.0 einsetzen zu können, öffnen Sie unter Windows 9x/ME in den NETZWERKEIGENSCHAFTEN die Registerkarte ZUGRIFFSSTEUERUNG. Aktivieren Sie dort die Checkbox ZUGRIFFSSTEUERUNG AUF BENUTZEREBENE und wählen Sie unter BENUTZER- UND GRUPPENLISTE BEZIEHEN einen Computer mit Windows XP/2000/NT 4.0 aus. Es wird nun die lokale Benutzerdatenbank des gewählten Computers herangezogen, um die Authentifizierung eines Netzwerkbenutzers durchzuführen.
9.2 Arbeitsgruppe als verbessertes Peer-to-PeerNetzwerk
Abbildung 9.2: In einer Arbeitsgruppe werden alle dazugehörigen Computer aufgelistet, nicht die einzelnen Freigaben.
416
Arbeitsgruppen
Als nächster Schritt zur besseren Verwaltung und auch aus Gründen der Übersichtlichkeit und Sicherheit wurden von Microsoft die Arbeitsgruppen (Workgroups) eingeführt. In einer Arbeitsgruppe werden mehrere Computer eines Netzwerks zusammengefasst. Im Gegensatz zum Peer-to-Peer-Netzwerk bringt dies für die Benutzer den Vorteil, dass sie nun nicht mehr alle Freigaben einzeln in der Netzwerkumgebung angezeigt bekommen – unabhängig davon, auf welchem Computer sie sich befinden –, sondern die einzelnen Computer der jeweiligen Arbeitsgruppe (siehe Abbildung 9.2). Klicken Sie dazu auf NETZWERKUMGEBUNG/ ARBEITSGRUPPENCOMPUTER ANZEIGEN.
Sandini Bib
Arbeitsgruppen
Erst beim Auswählen eines Computers werden die auf ihm vorhandenen Freigaben angezeigt (siehe Abbildung 9.3). Abbildung 9.3: Die Freigaben werden gesondert für jeden Computer angezeigt.
Eine Arbeitsgruppe dient also in erster Linie der logischen Strukturierung der Netzwerkressourcen. Dies wird in Abbildung 9.4 dargestellt.
Arbeitsgruppe A
Abbildung 9.4: Die Struktur von Arbeitsgruppen
Computer 1
Computer 2
Computer 3
Arbeitsgruppe B
Computer 1
Computer 2
417
Sandini Bib
9 Windows XP in Arbeitsgruppen und Domänen
Um in einer anderen Arbeitsgruppe oder Domäne nach weiteren Netzwerkressourcen zu suchen, klicken Sie in der NETZWERKUMGEBUNG unter ANDERE ORTE auf MICROSOFT WINDOWS-NETZWERK. Dort werden alle Arbeitsgruppen und Domänen angezeigt, die sich in demselben Adressbereich wie der Client befinden. Auch in diesen Arbeitsgruppen und Domänen werden auf erster Ebene die Mitgliedscomputer angezeigt und erst auf zweiter Ebene die jeweiligen freigegebenen Ressourcen. Nachdem Sie auf den Link MICROSOFT WINDOWS-NETZWERK geklickt haben, wird anschließend der Link GESAMTES NETZWERK angezeigt. Sie haben nun noch die beiden weiteren Optionen MICROSOFT-TERMINALDIENSTE und WEB CLIENT NETWORK. Diese werden in Kapitel 9.13 beschrieben. Einer Arbeitsgruppe kann jeder Windows-Client beitreten, von Windows for Workgroups bis hin zu Windows XP und Server 2003. Die Zugehörigkeit zu einer Arbeitsgruppe wird bereits während der Installation des Betriebssystems bestimmt. Wird dort eine Arbeitsgruppe angegeben, die zu diesem Zeitpunkt noch nicht existiert, so wird die Arbeitsgruppe neu angelegt. Auch nachträglich kann die Zugehörigkeit zu einer bestimmten Arbeitsgruppe noch geändert werden. Weitere Hinweise dazu finden Sie in Kapitel 9.4. Allerdings ist bei dieser logischen Gruppierung der Computer keine zentrale Kontrolle möglich. Diese erfolgt erst im Client/Server- bzw. Domänenmodell. Zudem erschwert die dezentrale Pflege der Benutzerkonten die Administration. Selbst wenn lediglich zehn Computer mit insgesamt 15 Benutzern gemeinsame Ressourcen wie Freigaben und Drucker auf den einzelnen Computern benutzen, müssen sämtliche 15 Benutzer in jeder der zehn lokalen Benutzerdatenbanken gepflegt werden. Eine Synchronisation der einzelnen lokalen Benutzerdatenbanken ist nicht möglich.
9.3
Windows XP in der Domäne
Die Domäne stellt in der Reihe der Peer-to-Peer-Netzwerke und Arbeitsgruppen quasi die höchste Form dar. Eine Domäne wird auch als Client/Server-Netzwerk bezeichnet, wobei jeder einzelne Arbeitsplatz einen Client repräsentiert. In einer Domäne sind die einzelnen Clients unter der zentralen Verwaltung des Servers, d.h. des Domänen-Controllers, miteinander verbunden. Dabei bietet die Domäne drei entscheidende Vorteile:
418
Sandini Bib
Windows XP in der Domäne
1. Der Benutzer benötigt in der Domäne nur eine einmalige Anmeldung an der Domäne. So wird aufgrund seines Benutzerkontos und der damit verknüpften Berechtigungen festgelegt, auf welche Ressourcen (wie Freigaben und Drucker) er nun in welcher Weise Zugriff besitzt. Das einzelne Anmelden mit verschiedenen Kennwörtern entfällt somit. 2. Die Freigabe der Ressourcen erfolgt zentral durch einen Administrator. Dabei ist es unerheblich, auf welchem Computer sich die Ressource befindet. Der Benutzer kann sich ohne weiteres Kennwort mit dieser verbinden, sofern er eine entsprechende Berechtigung besitzt. 3. Die Verwaltung der Benutzerkonten und der Berechtigungen für die verschiedenen Konten erfolgt nur noch zentral an einer Stelle auf dem Domänen-Controller. Das Vorhalten der lokalen Benutzerkonten auf den einzelnen Rechnern entfällt vollständig. Abbildung 9.5 zeigt die Strukturübersicht einer Windows-Domäne. Abbildung 9.5: Die Strukturübersicht einer Domäne
Domänencontroller
Freigegebene Ressourcen auf dem Domänencontroller Zentrale Benutzer- und Freigabenverwaltung
Client 1
Client 2
Client 3
Freigegebene Ressourcen auf den Clients
Domäne
Um eine Domäne verwenden zu können, müssen Sie mindestens einen Server besitzen, der eines der folgenden Betriebssysteme ausführt: 왘
Windows Server NT 4.0
왘
Small Business Server 4.5
419
Sandini Bib
9 Windows XP in Arbeitsgruppen und Domänen 왘
Windows Server 2000
왘
Windows Server 2003 (jedoch nicht die Web-Edition)
왘
Small Business Server 2000 oder 2003
Im Gegensatz zum Domänenmodell unter Windows Server NT 4.0 und Small Business Server 4.5 können Sie mit dem Domänenmodell des Active Directory ab Windows Server 2000 ein wesentlich größeres und flexibleres Domänenmodell verwirklichen, das die Struktur des Unternehmens widerspiegelt. Während im NTDomänenmodell nur gleichrangige Domänen möglich waren, können Sie im Active Directory eine übergeordnete Domäne mit zahlreichen untergeordneten Domänen anlegen. Für den Einsatz als Domänen-Clients im Active Directory können Sie die Betriebssysteme Windows 2000 sowie Windows XP Professional und auch Tablet PC Edition, nicht jedoch Windows XP Home verwenden.
9.4
Mitgliedschaft in Domänen und Arbeitsgruppen
Ein Windows XP-Client kann Mitglied einer Domäne oder einer Arbeitsgruppe sein. Die Mitgliedschaft zu einer Domäne oder Arbeitsgruppe kann jederzeit geändert werden, allerdings kann der Client immer nur gleichzeitig Mitglied einer Domäne oder Arbeitsgruppe sein. Die aktuelle Mitgliedschaft sehen Sie in den Eigenschaften des Arbeitsplatzes auf der Registerkarte COMPUTERNAME (siehe Abbildung 9.6).
9.4.1
Nachträgliches Ändern der Mitgliedschaft
Sobald der Client Mitglied einer Arbeitsgruppe oder Domäne ist, ist es möglich, diese Mitgliedschaft wieder zu ändern. Dabei sind die folgenden Änderungsrichtungen möglich: 왘
Domäne A zu Domäne B
왘
Domäne A zu Arbeitsgruppe A
왘
Arbeitsgruppe A zu Arbeitsgruppe B
왘
Arbeitsgruppe A zu Domäne A
Die Änderungen werden in allen Fällen in gleicher Weise durchgeführt. Sie können entweder die neue Mitgliedschaft manuell festlegen oder die Netzwerkkennung über einen Assistenten ändern lassen.
420
Sandini Bib
Mitgliedschaft in Domänen und Arbeitsgruppen Abbildung 9.6: Anzeige der aktuellen Arbeitsgruppen- oder Domänenmitgliedschaft
1. Um die Änderung der Mitgliedschaft ohne den Assistenten durchzuführen, klicken Sie auf der Registerkarte COMPUTERNAME auf ÄNDERN. Dort kann im Feld COMPUTERNAME der Name geändert werden (siehe Abbildung 9.7). Der neue Name darf innerhalb der Domäne noch nicht vorhanden sein. Er darf auch nicht gleichlautend mit dem Namen einer Domäne sein. Im Bereich MITGLIED VON wird die neue Domäne oder Arbeitsgruppe eingetragen. Soll der Computer einer Domäne hinzugefügt oder die Mitgliedschaft der Domäne geändert werden, müssen Sie mit administrativer Berechtigung am lokalen Computer angemeldet sein. Abbildung 9.7: Ändern des Computernamens und der Mitgliedschaft
421
Sandini Bib
9 Windows XP in Arbeitsgruppen und Domänen
2. Über die Schaltfläche WEITERE gelangen Sie zum Fenster DNSSUFFIX UND NETBIOS-COMPUTERNAME (siehe Abbildung 9.8). Dort können Sie das DNS-Suffix, also z.B. firma.de, eintragen. Ist die Checkbox PRIMÄRES DNS-SUFFIX BEI DOMÄNENMITGLIEDSCHAFTSÄNDERUNG ÄNDERN markiert, wird das Suffix automatisch geändert, wenn der Client zu einer anderen Domäne hinzugefügt wird. Diese automatische Änderung ist nur in Windows-Domänen möglich. Abbildung 9.8: Angabe des primären DNS-Suffixes für den Computernamen
9.4.2
Den Computer zu einem Netzwerk hinzufügen
Klicken Sie auf der Registerkarte COMPUTERNAME auf NETZWERKKENNUNG, wird ein Assistent gestartet, der die Verbindung zum gewünschten Netzwerk herstellt. Dabei kann der Computer zu einer Domäne oder einer Arbeitsgruppe hinzugefügt werden. 1. Im Willkommensfenster des Assistenten klicken Sie auf WEITER. Im Fenster WIE MÖCHTEN SIE DEN COMPUTER VERWENDEN? (siehe Abbildung 9.9) wird bestimmt, ob dieser zu einem Firmennetzwerk gehört oder nicht. Klicken Sie dann auf WEITER. Abbildung 9.9: Den Computer für ein Firmennetzwerk einrichten
422
Sandini Bib
Mitgliedschaft in Domänen und Arbeitsgruppen
2. Im folgenden Fenster WELCHE ART VON NETZWERK VERWENDEN SIE? (siehe Abbildung 9.10) geben Sie an, ob ein Netzwerk mit oder ohne Domäne eingesetzt wird. Klicken Sie dann auf WEITER. Abbildung 9.10: Der Computer kann zu einem Netzwerk mit oder ohne Domäne hinzugefügt werden.
3. Haben Sie die Option ES WIRD EIN NETZWERK MIT DOMÄNE Hinzufügen zu VERWENDET gewählt, informiert Sie das Fenster NETZWERKIN- einem Netzwerk mit Domäne FORMATIONEN darüber, dass Sie die folgenden Informationen benötigen, um den Vorgang fortzusetzen: Benutzername, Kennwort, Domäne des Benutzerkontos sowie möglicherweise auch den Computernamen und die Computerdomäne. Klicken Sie dann auf WEITER. 4. Im Fenster INFORMATIONEN ZU BENUTZERKONTO UND DOMÄNE (siehe Abbildung 9.11) geben Sie den Namen und das Kennwort Ihres Benutzerkontos sowie den Namen der Domäne an. Klicken Sie dann auf WEITER. 5. Möglicherweise müssen Sie im folgenden Fenster COMPUTERDOMÄNE (siehe Abbildung 9.12) noch den Namen des Computers und die Domäne, in der sich das Computerkonto befindet, angeben. Dies ist der Fall, wenn sich das Computerkonto in einer anderen als der Anmeldedomäne des Benutzers befindet. Klicken Sie auch hier auf WEITER.
423
Sandini Bib
9 Windows XP in Arbeitsgruppen und Domänen Abbildung 9.11: Angabe des Benutzerkontos, des Kennworts und der Domäne, in der sich das Benutzerkonto befindet
Abbildung 9.12: Angabe des Computerkontos und der Domäne, in der sich das Computerkonto befindet
6. Nachdem der Computer zur Domäne hinzugefügt wurde, können Sie im Fenster BENUTZERKONTO (siehe Abbildung 9.13) optional dem Computer ein Benutzerkonto hinzufügen. Wird ein Benutzer hinzugefügt, so erhält dieser Zugriff auf sämtliche Ressourcen des Computers und auf die Netzwerkressourcen. Standardmäßig wird der Benutzer vorgeschlagen, den Sie unter Schritt 4 angegeben haben. Diese Informationen können jedoch geändert werden. Soll kein Benutzer hinzugefügt werden, wählen Sie die Option JETZT KEINEN BENUTZER HINZUFÜGEN. Klicken Sie danach auf WEITER.
424
Sandini Bib
Mitgliedschaft in Domänen und Arbeitsgruppen Abbildung 9.13: Optional kann dem Computer ein bestimmtes Benutzerkonto zugewiesen werden.
7. Haben Sie einen Benutzer selektiert, wird für diesen im Fenster ZUGRIFFSSTUFE (siehe Abbildung 9.14) eine Berechtigungsebene ausgewählt. Standardmäßig ist die Option STANDARDBENUTZER gewählt. Es kann aber auch jede andere Windows-Gruppe wie Administratoren, Gäste, Sicherungsoperatoren usw. bestimmt werden. Die hier getroffene Wahl kann später in der Benutzerverwaltung des Active Directory jederzeit wieder geändert werden. Klicken Sie dann auf WEITER. Abbildung 9.14: Für den Benutzer wird eine bestimmte Zugriffsstufe festgelegt.
8. Sie erhalten eine abschließende Zusammenfassung. Klicken Sie hier auf FERTIG STELLEN. Damit wird die Netzwerkanmeldung abgeschlossen. Anschließend ist ein Neustart des Computers erforderlich.
425
Sandini Bib
9 Windows XP in Arbeitsgruppen und Domänen
Hinzufügen zu einem Netzwerk ohne Domäne Haben Sie sich in Schritt 2 für die Option ES WIRD EIN NETZWERK OHNE DOMÄNE VERWENDET entschieden, so müssen Sie im Fenster
ARBEITSGRUPPE (siehe Abbildung 9.15) den Namen der Arbeitsgruppe angeben, zu der der Computer hinzugefügt werden soll. Standardmäßig wird immer der Arbeitsgruppenname WORKGROUP vorgeschlagen, dieser kann jedoch beliebig geändert werden. Klicken Sie dann auf WEITER. Im folgenden Fenster klicken Sie auf FERTIG STELLEN, um den Vorgang abzuschließen. Danach ist ein Neustart des Computers notwendig. Abbildung 9.15: Auswahl der Arbeitsgruppe, zu der der Computer hinzugefügt werden soll
9.5
Anmelde- und Abmeldeskripte
Ein Anmeldeskript ist eine einem Benutzerkonto zugewiesene Datei mit Befehlen, die ausgeführt werden, sobald sich der Benutzer am Computer anmeldet. Analog dazu führen Abmeldeskripte Befehle beim Abmelden des Benutzers aus. Darüber kann vom Administrator die Arbeitsumgebung des Benutzers konfiguriert werden. Für einen Benutzer können Anmelde- und Abmeldeskripte definiert werden. Zusätzlich können für den Computer noch Skripte hinterlegt werden, die beim Starten und/oder Beenden des Computers ausgeführt werden. Ein Anmelde-/ Abmeldeskript kann einem oder mehreren Computern zugewiesen werden, ebenso wie ein Skript zum Starten/Beenden einem oder mehreren Computern zugeordnet werden kann.
426
Sandini Bib
Anmelde- und Abmeldeskripte
Abhängig davon, ob der Computer Mitglied einer Arbeitsgruppe oder einer Domäne ist, unterscheidet sich auch die Konfiguration der entsprechenden Skripte. Ist der Computer Mitglied einer Domäne, befinden sich die Anmelde- und Abmeldeskripte auf dem Domänen-Controller, genauer gesagt in dessen Ordner &SYSTEMROOT%\SYSVOL\SYSVOL. Darin befindet sich ein Unterordner mit dem Namen der Domäne und in diesem ein weiterer Ordner namens SCRIPTS. Dieser Ordner ist unter dem Namen NETLOGON freigegeben.
Benutzereinstellungen in einer Arbeitsgruppe zentral steuern
In dieses Verzeichnis können Skripte und Routinen der folgenden Dateiformate gespeichert werden: .vbs, .exe, .bat und .cmd. Das domänenbasierte Anmeldeskript wird dem Benutzer in der MMC ACTIVE DIRECTORY-BENUTZER UND COMPUTER auf der Registerkarte PROFIL unter ANMELDESKRIPT zugewiesen. Ist der Computer nicht Mitglied einer Domäne, befinden sich die An-/Abmeldeskripte im Verzeichnis %SYSTEMROOT%\ SYSTEM32\ GROUPPOLICY\USER\SCRIPTS\, die Skripte zum Starten und Herunterfahren im Verzeichnis %SYSTEMROOT%\SYSTEM32\GROUPPOLICY\MACHINE\SCRIPTS\.
9.5.1
Hinzufügen und Zuweisen eines Anmeldeskripts
Anmelde- und Abmeldeskripte können nur auf einen oder mehrere Benutzer angewendet werden. Die in den Skripten enthaltenen Routinen werden beim An- bzw. Abmelden des Benutzers ausgeführt. Der Einsatz dieser Skripte ist sinnvoll, um Konfigurationen zu verteilen oder automatisch Software zu installieren, die speziell für einen bestimmten Benutzer gelten soll, unabhängig davon, an welchem Computer sich der Benutzer anmeldet. Diese Art von Skripten wird einem Benutzer über die Gruppenrichtlinie zugewiesen. Öffnen Sie dazu in der Gruppenrichtlinienverwaltung bzw. in der lokalen Richtlinie den Eintrag BENUTZERKONFIGURATION/WINDOWS-EINSTELLUNGEN(SKRIPTS (ANMELDEN/ABMELDEN). Dort finden Sie die Einträge ANMELDEN und ABMELDEN. Um ein neues Skript hinzuzufügen, doppelklicken Sie das gewünschte Element und klicken auf HINZUFÜGEN (siehe Abbildung 9.16).
427
Sandini Bib
9 Windows XP in Arbeitsgruppen und Domänen Abbildung 9.16: Das Hinzufügen eines Anmeldeskripts
Sind dem Benutzer mehrere Skripte zugeordnet, kann deren Abarbeitungsreihenfolge über NACH OBEN und NACH UNTEN geändert werden. Über BEARBEITEN kann der Inhalt des Skripts angezeigt und modifiziert werden. Ein zugewiesenes Skript wird dem Computer über ENTFERNEN genommen. Damit wird das Skript jedoch nicht von seinem Speicherort gelöscht, sondern ist weiterhin zur Auswahl verfügbar. Nachdem ein oder mehrere Skripte für die Anmeldung erstellt worden sind, werden diese einem Benutzer oder auch mehreren zugewiesen. Um einem lokalen Benutzer ein Anmeldeskript zuzuweisen, führen Sie die folgenden Schritte aus: 1. Öffnen Sie den Startmenüeintrag PROGRAMME/VERWALTUNG/ COMPUTERVERWALTUNG. 2. Doppelklicken Sie den Eintrag LOKALE BENUTZER UND GRUPPEN und klicken auf BENUTZER. 3. Markieren Sie das gewünschte Benutzerkonto und wählen den Kontextmenüeintrag EIGENSCHAFTEN. 4. Wechseln Sie auf die Registerkarte PROFIL und tragen unter ANMELDESKRIPT den Pfad und Namen der Skriptdatei ein (siehe Abbildung 9.17). Übernehmen Sie diese Einstellung mit OK.
428
Sandini Bib
Start- und Herunterfahrenskripte Abbildung 9.17: Hinzufügen eines Anmeldeskripts zum Benutzerprofil
Standardmäßig werden lokale Anmeldeskripte im Ordner %SYSTEMROOT%\SYSTEM32\REPL\IMPORTS\SCRIPTS abgelegt. Nach der Windows-Installation ist dieser Ordner noch nicht vorhanden und muss zunächst erstellt werden. Nachdem der Ordner erstellt wurde, muss er unter dem Namen NETLOGON freigegeben werden. Soll die Freigabe NETLOGON in einem anderen Ordner erstellt werden, kann das Skript auch darin abgelegt werden. Befindet sich das Anmeldeskript auf einem Domänen-Controller im Pfad \SYSVOL\DOMÄNENNAME\SCRIPTS, geben Sie vor dem Dateinamen den relativen Pfad an.
9.6
Start- und Herunterfahrenskripte
Start- und Herunterfahrenskripte können nur auf einen Computer angewendet werden. Die in den Skripten enthaltenen Routinen werden beim Start bzw. beim Herunterfahren des Computers ausgeführt. Der Einsatz dieser Skripte ist sinnvoll, um Konfigurationen zu verteilen oder automatisch Software zu installieren, die speziell für den Computer gelten soll, unabhängig davon, welcher Benutzer sich aktuell an dem Computer anmeldet.
429
Sandini Bib
9 Windows XP in Arbeitsgruppen und Domänen Computererein- Diese Art von Skripten wird einem Computer über die Gruppenstellungen in richtlinie zugewiesen. Öffnen Sie dazu in der Gruppenrichteiner Arbeitsgruppe zentral linienverwaltung bzw. in der lokalen Richtlinie den Eintrag COMPUsteuern TERKONFIGURATION/WINDOWS-EINSTELLUNGEN/SKRIPTS (START/
HERUNTERFAHREN). Dort finden Sie die Einträge STARTEN und HERUm ein neues Skript hinzuzufügen, doppelklicken Sie das Element und klicken auf HINZUFÜGEN (siehe Abbildung 9.18). UNTERFAHREN.
Abbildung 9.18: Das Hinzufügen eines Herunterfahrenskripts für den lokalen Computer
Um sämtliche verfügbaren Skripte anzuzeigen, klicken Sie auf DATEIEN ANZEIGEN. Damit werden alle Skripte angezeigt, die sich im Standardverzeichnis der Start-/Herunterfahrenskripte unter %SYSTEMROOT%\SYSTEM32\GROUPPOLICY\MACHINE\SCRIPTS\STARTUP bzw. \SHUTDOWN befinden. Sind dem Computer mehrere Skripte zugeordnet, kann deren Abarbeitungsreihenfolge über NACH OBEN und NACH UNTEN geändert werden. Über BEARBEITEN kann der Inhalt des Skripts angezeigt und modifiziert werden. Ein zugewiesenes Skript wird dem Computer über ENTFERNEN genommen. Damit wird das Skript jedoch nicht von seinem Speicherort gelöscht, sondern ist weiterhin zur Auswahl verfügbar.
430
Sandini Bib
Domänenanmeldung über das Kerberos V5-Authentifizierungsprotokoll
9.7
Domänenanmeldung über das Kerberos V5-Authentifizierungsprotokoll
Das Kerberos V5-Authentifizierungsprotokoll ist das primäre Authentifizierungsprotokoll in einer Windows 2000- und Windows 2003-Domäne für jeden Windows XP- und 2000-Client. Das Kerberos V5-Authentifizierungsprotokoll ist ein festgelegter Industriestandard. Die NTLM-Authentifizierung wird nur bei Nicht-Windows 2000/XP-Clients bzw. von Nicht-Windows 2000/2003-Domänen-Controllern angewandt. Beim KerberosVerfahren erhalten die Benutzer über einen einzigen Anmeldevorgang Zugriff auf alle Ressourcen von Umgebungen, die Interoperabilität mit diesem Protokoll bieten. Außerdem werden die Kennwörter nicht im Klartext, sondern verschlüsselt über das Netzwerk gesendet.
Kerberos als Standardauthentifizierung einsetzen
Bei dieser Art der Authentifizierung werden so genannte Tickets für den Zugriff auf die Netzwerkdienste ausgestellt. Ein Ticket besteht aus verschlüsselten Daten, z.B. auch aus einem verschlüsselten Kennwort. Damit wird die Identität des Benutzers gegenüber dem Netzwerkdienst verifiziert und bestätigt. Dieser Vorgang der Authentifizierung läuft für den Benutzer unsichtbar ab. Die Kerberos-Tickets werden in einem speziellen Teil des RAM gecacht. Aus Sicherheitsgründen wird dieser Speicherbereich nicht in die Pagefile ausgelagert und damit auf die Festplatte geschrieben. Hierin ist es auch begründet, dass nur Windows XPund 2000-Computer diese Art der Authentifizierung unterstützen, weil ausschließlich sie den speziellen Speicherbereich verwenden können. Ältere Clients bieten diese Funktion nicht. Zum Erstellen des Tickets muss auf jedem Domänen-Controller der KDC-Dienst ausgeführt werden. KDC bedeutet Key Distribution Center (Schlüsselverteilungscenter). Im KDC sind alle Kennwörter und Kontoinformationen der Clients gespeichert. Der KDC-Dienst ist im Active Directory integriert. Bei der Kerberos V5-Authentifizierung werden die folgenden Schritte durchgeführt: 1. Der Client-Benutzer muss sich mit seinem Kennwort am KDC des Domänen-Controllers authentifizieren. 2. Daraufhin erstellt der KDC ein Ticket genehmigendes Ticket für den Client. Dieses Ticket wird im GruppenrichtlinienEditor auch als Benutzerticket bezeichnet. Über den Gruppen-
431
Sandini Bib
9 Windows XP in Arbeitsgruppen und Domänen
richtlinien-Editor können die Kerberos-Richtlinien für Benutzer- und Gruppenkonten geändert werden. 3. Mit diesem vorläufigen Ticket greift der Client auf den Ticket Genehmigenden Dienst (TGS = Ticket Granting Service) zu. Der TGS ist fester Bestandteil der Kerberos V5-Authentifizierung auf dem Domänen-Controller. 4. Daraufhin erstellt der TGS ein Dienstticket für den Client. 5. Der Client übergibt dieses endgültige Ticket an den erforderlichen Netzwerkdienst. Dadurch wird die Identität des Benutzers und auch der Netzwerkdienste überprüft. Deshalb wird der Vorgang auch gegenseitige Authentifizierung genannt. Die Kerberos-Dienste werden auf allen Windows 2003/2000Domänen-Controllern installiert. Damit ist jeder Domänen-Controller automatisch ein KDC. Der Kerberos-Client wird auf jedem Computer mit Windows XP oder 2000 installiert. Wenn sich ein Client an der Domäne anmelden möchte, wird über den DNSDienst der nächste zur Verfügung stehende Domänen-Controller mit KDC ermittelt. Sollte dieser Domänen-Controller im Laufe der Client-Sitzung ausfallen oder aus anderen Gründen nicht mehr verfügbar sein, so wird vom Client ein anderer Domänen-Controller als KDC zur Authentifizierung gesucht. Die Kerberos V5-Authentifizierung beschränkt sich nicht nur auf Windows 2003/2000-Domänen. In einer Windows 2003/2000Domäne können auch Konten für UNIX-Server und Clients angelegt werden, die dann über das Kerberos-Protokoll vom Windows-Domänen-Controller authentifiziert werden können.
9.7.1
Kerberos-Verwendung von TCP statt UDP erzwingen
Sobald der Kerberos-Client die Verbindung zum KDC herstellt, sendet dieser über den Port 88 ein UDP-Datagramm (User Datagram Protocol) an das KDC. Das KDC antwortet dem Client mit einem Antwortdatagramm. In RFC 1510 ist definiert, dass dabei UDP als erstes Protokoll versucht werden muss. Aufgrund des Einsatzes von UDP kann es bei der Anmeldung an der Domäne zu der folgenden Fehlermeldung kommen: Ereignisprotokollfehler 5719 Quelle NETLOGON Für Domäne Domäne ist kein Windows NT- oder Windows 2000-Domänencontroller verfügbar. Folgender Fehler ist aufgetreten:
432
Sandini Bib
Domänenanmeldung über das Kerberos V5-Authentifizierungsprotokoll Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten.
Von Windows XP (wie auch Windows 2000) wird standardmäßig UDP verwendet, sofern die Daten in den Paketen eine Größe von 2.000 Bytes nicht überschreiten. Bei den Daten, die größer als 2.000 Bytes sind, wird TCP für die Paketübertragung verwendet. Der Höchstwert ist jedoch über einen Registry-Eintrag modifizierbar. Führen Sie dazu die folgenden Schritte aus: 1. Navigieren Sie im Registryeditor zum Schlüssel HKEY_ LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ Lsa\Kerberos\Parameters. Ist dieser Schlüssel nicht vorhanden, erstellen Sie ihn neu. 2. Fügen Sie dann einen Wert mit den folgenden Spezifikationen hinzu: 왘
Name: MaxPacketSize
왘
Typ: DWORD
왘
Wert: Jeder beliebige Wert zwischen 1 und 2000
3. Beenden Sie den Registryeditor und starten den Computer neu. Der definierte Wert gibt die Maximalgröße eines Pakets an, für dessen Sendung UDP verwendet wird. Ist das Paket größer als der definierte Wert, wird automatisch TCP benutzt. Ist kein Wert definiert, wird der Standardwert 2000 verwendet. Wird der Wert auf 1 gesetzt, unterbinden Sie damit auch die Verwendung von UDP, sodass ausschließlich TCP für die Übertragung benutzt wird. Dadurch wird das Problem bei der Domänenanmeldung behoben. Außerdem tritt damit auch nicht mehr das Problem auf, dass der Clientcomputer während der Anmeldung in der Phase BENUTZEREINSTELLUNGEN WERDEN GELADEN nicht mehr zu reagieren scheint. Dies ist ebenfalls ein Phänomen bei der Verwendung von UDP während der Kerberos-Authentifizierung. Weitere Hinweise zu Kerberos finden Sie im RFC-Dokument 1510.
433
Sandini Bib
9 Windows XP in Arbeitsgruppen und Domänen
9.8 Verwenden Sie diese Form nur, wenn der DomänenController noch unter NT 4.0 ausgeführt wird
NTLM-Authentifizierung an der Windows NT-Domäne
Windows XP-Clients unterstützen neben der Kerberos-Authentifizierung auch noch die NTLM-Authentifizierung (NT LAN-Manager). Diese Authentifizierungsart wird jedoch nur angewendet, wenn in der Domäne der Domänen-Controller unter Windows NT 4.0 ausgeführt und noch kein Active Directory eingesetzt wird. Unter Windows NT 4.0 und früheren Versionen war NTLM das Standardprotokoll zur Netzwerkauthentifizierung. Man bezeichnet die NTLM-Authentifizierung auch als integrierte Windows-Authentifizierung. Im Gegensatz zur Kerberos-Authentifizierung ist die NTLMAuthentifizierung wesentlich unsicherer (beispielsweise werden Kennwörter unverschlüsselt übertragen) und wird lediglich aus Kompatibilitätsgründen noch von Windows XP unterstützt.
9.8.1
Konfiguration der NTLMAuthentifizierungsebene
Die Konfiguration der NTLM-Authentifizierungsebene wird für den Windows XP-Client über die Gruppenrichtlinie unter COMPUTERKONFIGURATION\WINDOWS-EINSTELLUNGEN\SICHERHEITSEINSTELLUNGEN\LOKALE RICHTLINIEN\SICHERHEITSOPTIONEN festgelegt. Der gültige Wert wird in der Richtlinie NETZWERKSICHERHEIT: LANMANAGER-AUTHENTIFIZIERUNGSEBENE festgesetzt. Dort wird bestimmt, welches Authentifizierungsprotokoll für das Senden von Anfragen und das Empfangen von Antworten bei der Netzwerkanmeldung benutzt werden soll. Insgesamt gibt es dort sechs verschiedene Optionen (siehe Abbildung 9.19). Abbildung 9.19: Die Optionen zur Konfiguration der NTLM-Authentifizierungsebene
434
Sandini Bib
NTLM-Authentifizierung an der Windows NT-Domäne
Die Bedeutung der verschiedenen Optionen wird in Tabelle 9.1 beschrieben. Die Abkürzungen stellen Folgendes dar: 왘
LM = LAN-Manager. Diese Form der Authentifizierung wird von Windows 95 und Windows 98 benutzt.
왘
NTLM = NT LAN-Manager. Wird von Windows NT 4.0 bereitgestellt.
왘
NTLMv2 = NT LAN-Manager in der Version 2. Diese kann unter Windows NT 4.0 erst ab Service Pack 4 unterstützt werden. Diese Version ist abwärtskompatibel mit NTLM.
Option
Beschreibung
LM- und NTLM-Antworten senden Die Clients verwenden lediglich die LM- und NTLM-, nicht jedoch die NTLMv2-Sitzungssicherheit. Der Domänen-Controller akzeptiert alle drei Formen der Authentifizierung. LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden wenn ausgehandelt)
Die Clients verwenden die LModer NTLM-Authentifizierung. Die NTLMv2-Sitzungssicherheit wird nur verwendet, wenn der Domänen-Controller dies unterstützt. Der Domänen-Controller akzeptiert alle drei Formen der Authentifizierung.
Nur NTLM-Antworten senden
Die Clients verwenden nur die NTLM-Authentifizierung oder NTLMv2-Sitzungssicherheit, sofern diese unterstützt wird, jedoch nicht LM. Der DomänenController akzeptiert alle drei Formen der Authentifizierung.
Nur NTLMv2-Antworten senden
Die Clients verwenden nur die NTLMv2-Authentifizierung bzw. NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird. Der Domänen-Controller akzeptiert alle drei Formen der Authentifizierung.
Tabelle 9.1: Die Optionen der NTLM-Authentifizierungsebene
435
Sandini Bib
9 Windows XP in Arbeitsgruppen und Domänen
Option
Beschreibung
Nur NTLMv2-Antworten senden\ LM verweigern
Die Clients verwenden nur die NTLMv2-Authentifizierung bzw. NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird. Der Domänen-Controller verweigert die LM-Authentifizierung und unterstützt nur NTLM und NTLMv2.
Nur NTLMv2-Antworten senden\ LM & NTLM verweigern
Dies ist die Standardeinstellung unter Windows XP. Die Clients verwenden nur die NTLMv2-Authentifizierung bzw. NTLMv2Sitzungssicherheit, wenn dies vom Server unterstützt wird. Der Domänen-Controller verweigert die LM- und NTLM-Authentifizierung und unterstützt nur NTLMv2.
9.9
Anmeldung an der Domäne oder Arbeitsgruppe
Sobald sich ein Benutzer an seinem Computer anmeldet, kann er entscheiden, ob die Anmeldung lokal oder an der Domäne erfolgen soll. Ist der Computer lediglich Mitglied einer Arbeitsgruppe, kann nur die lokale Anmeldung erfolgen. Bei der Mitgliedschaft in einer Domäne erfolgt die Anmeldung am Domänen-Controller. Auch wenn der Domänen-Controller für die Anmeldung vorübergehend nicht zur Verfügung steht, kann sich der Benutzer an der Domäne anmelden. Dies liegt an dem Feature des Login Caching des Client. Dieses Feature ist bei Windows XP- und 2000Clients verfügbar. Dabei wird bei jeder erfolgreichen Anmeldung des Client an der Domäne das Login zwischengespeichert. Standardmäßig können so auf dem Client zehn Einträge vorgehalten werden. Dieser Wert kann jedoch in den Sicherheitsrichtlinien geändert werden. Versucht der Client nach mindestens einer erfolgreichen Anmeldung zu einem späteren Zeitpunkt erneut die Anmeldung an der Domäne, kann dabei aber keine Verbindung zum Domänen-Controller herstellen, so kann dennoch die Anmeldung an der Domäne erfolgen. Aus dem Login-Cache des Client werden die Einstellungen bezüglich der Gruppenmitgliedschaft, Benutzer-
436
Sandini Bib
Anmeldung an der Domäne oder Arbeitsgruppe
rechte usw. der letzten erfolgreichen Anmeldung ausgelesen. Auch wenn die Einstellungen auf dem Domänen-Controller seit der letzten erfolgreichen Anmeldung geändert worden sind, sind die Einstellungen aus dem lokalen Cache noch gültig. Der Cache wird dann bei der nächsten erfolgreichen Verbindung zum Domänen-Controller aktualisiert. Um den Wert des Cache zu ändern, öffnen Sie die LOKALE SICHERHEITSRICHTLINIE und darin den Eintrag LOKALE RICHTLINIEN/ SICHERHEITSOPTIONEN. In der Richtlinie INTERAKTIVE ANMELDUNG: ANZAHL ZWISCHENZUSPEICHERNDER VORHERIGER ANMELDUNGEN (FÜR DEN FALL, DASS DER DOMÄNENCONTROLLER NICHT VERFÜGBAR IST) geben Sie den gewünschten Wert ein (siehe Abbildung 9.20). Abbildung 9.20: Die Anzahl der Login-CacheEinträge kann in der Sicherheitsrichtlinie geändert werden.
Ist der Wert auf 0 gesetzt (dies ist standardmäßig auch bei einer Mitgliedschaft in einer Arbeitsgruppe der Fall, weil das Login Caching in diesem Fall ja auch keinen Sinn ergibt), kann der Benutzer sich nicht an der Domäne anmelden, wenn keine Verbindung zum Domänen-Controller hergestellt werden kann. Das Feature ist damit deaktiviert.
Das Login Caching wird zwar vom Windows XP-Client bereitgestellt, kann aber nur bei der Anmeldung an einer Active Directory-Domäne unter Windows 2003 oder 2000 angewendet werden. Erfolgt die Anmeldung an einer Domäne unter Windows NT 4.0 oder einer NetWare-Domäne, kann dieses Feature nicht greifen. Ist der Domänen-Controller einer Windows NTDomäne nicht verfügbar, kann sich der Benutzer nicht anmelden und erhält keinen Zugriff auf seine Netzwerkressourcen.
437
Sandini Bib
9 Windows XP in Arbeitsgruppen und Domänen
9.10 Rollen eines XP-Client in einer Arbeitsgruppe und Domäne Windows XP wird sicherlich in den meisten Fällen als Arbeitsplatzrechner in einer Domäne oder Arbeitsgruppe eingesetzt. Dabei kann das Betriebssystem durchaus noch weitere Rollen übernehmen als die Rolle des einfachen Client. Windows XPClient – mehr als ein Desktopbetriebssystem
In einer Arbeitsgruppe wie auch in einer Domäne kann ein Windows XP-Computer auch als Datei- oder Druckserver eingesetzt werden. Aus kostentechnischer Sicht ist ein Windows XP-Client in dieser Funktionalität günstiger als ein Server, der nur als Dateiund Druckserver eingesetzt wird, weil die Lizenz für Windows XP wesentlich günstiger ist als für einen Windows 2003 oder 2000 Server. Ansonsten ist als Dateiserver lediglich genügend Speicherplatz Voraussetzung, die bei einem echten Server aber ebenso erfüllt sein müsste. Auch als Druckserver kann Windows XP gut eingesetzt werden. Das Betriebssystem verfügt sogar über eigene Druckdienste für Unix/Linux-Clients. Als Terminalclient kann Windows XP ebenso eingesetzt werden. In diesem Fall muss die Hardware des Computers noch nicht einmal den Anforderungen des Betriebssystems entsprechen, da sämtliche Applikationen auf dem Terminalserver ausgeführt und über das Netzwerk lediglich die Tastatureingaben übertragen werden. In dieser Konstellation kann möglicherweise bei einer Migration sogar die alte Hardware weiterverwendet werden. Eine weitere Einsatzmöglichkeit des Windows XP-Computers ist die Verwendung als Gateway für die Internetverbindungsfreigabe. In dieser Konstellation muss lediglich dieser eine Computer die Internetverbindung über die angeschlossene Hardware herstellen, die die übrigen Clients mitbenutzen. Der Windows XPClient dient so als Router. Auch als Firewall oder Intrusion Detection-System kann Windows XP in Kombination mit einer geeigneten Software eingesetzt werden. Dabei kann es sich z.B. um eine zusätzliche Firewall zu einer bestehenden Hardware-Firewall oder zu einem ISA Server handeln.
438
Sandini Bib
Die Vorteile und Nachteile eines XP-Client als Domänenmitglied
9.11 Die Vorteile und Nachteile eines XP-Client als Domänenmitglied Bereits bei der Implementierung eines Netzwerks fällt die Entscheidung, ob dieses als Domäne oder Arbeitsgruppe eingerichtet werden soll. Diese Entscheidung hängt natürlich in erster Linie von der Größe des Unternehmens ab. Verfügt das Unternehmen über einige hundert Clients, wird hoffentlich kein Administrator auf die Idee kommen, diese in einer Arbeitsgruppe verwalten zu wollen. Allein in kleinen Umgebungen bis maximal 20 Clients ist die Einrichtung einer Arbeitsgruppe sinnvoll. Gegenüber einem Windows XP-Client in einer Arbeitsgruppe besitzt die Mitgliedschaft in einer Domäne Vorteile, die sich vor allen Dingen auf den minimierten Verwaltungsaufwand durch den Administrator beziehen. Dazu zählen die zentralen Konfigurationsmöglichkeiten über die Gruppenrichtlinien des Active Directory. Für die verschiedenen Hierarchieebenen des Active Directory können Clients in den verschiedenen erforderlichen Konfigurationen hergerichtet werden. Auch für unterschiedliche Benutzergruppen in unterschiedlichen Ebenen kann eine zentrale Konfiguration erfolgen. In einer Arbeitsgruppe ist lediglich die lokale Gruppenrichtlinie anwendbar, die auf jedem Mitglied der Arbeitsgruppe separat konfiguriert werden muss. Auch weitere Features wie beispielsweise die automatische Softwareverteilung über IntelliMirror sind nur über die Gruppenrichtlinien des Active Directory möglich. Ebenfalls einen hohen Konfigurationsaufwand erfordert die Planung und Erstellung der Benutzergruppen. Im Gegensatz zur Arbeitsgruppe können in der Domäne Benutzer mit ähnlichen Aufgabenbereichen zu Benutzergruppen zusammengefasst werden, für die dann dieselben Konfigurationseinstellungen am System gelten. Auch die Verwaltung der Berechtigungen der Benutzer an den Ressourcen ist in der Domäne wesentlich einfacher und effektiver. Für den Benutzer bietet die Mitgliedschaft in einer Domäne ebenfalls Vorteile, vor allen Dingen in Bezug auf die Anmeldung an unterschiedlichen Netzwerkressourcen. In einer Domäne ist vom Administrator festgelegt, auf welche Ressourcen er mit welchen Berechtigungen zugreifen darf. Dazu ist lediglich die einmalige Anmeldung an der Domäne mit einem einzigen Passwort notwendig. Sind mit einer Active Directory-Domäne weitere Ressourcen, wie z.B. andere Verzeichnisdienste oder Datenbanken,
439
Sandini Bib
9 Windows XP in Arbeitsgruppen und Domänen
verbunden und werden diese miteinander synchronisiert, z.B. über die Metadirectory Services, so ist für den Benutzer nur eine einzige Anmeldung notwendig. Dieses Szenario der Single-Signon-Strategie sollte das Ziel einer jeden benutzerfreundlichen und administrativ wenig aufwendigen Netzwerkumgebung sein. In einer Arbeitsgruppe hingegen benötigt der Benutzer bei jedem Ressourcenzugriff auf einen anderen Computer eine separate Anmeldung mit einem anderen Kennwort. Gegenüber all diesen aufgeführten Vorteilen ist dennoch immer abzuwägen, ob die Investitionen in einen Server lohnen. Bedenken Sie, dass außer den einmaligen Hardware- und Softwarekosten auch die Administration des Servers durch eine geschulte Person erfolgen muss. Diese Person muss sowohl die Grundkonfiguration der Domäne vornehmen als auch später im laufenden Betrieb die Pflege der Domäne betreiben. Bei Problemen mit der Domäne muss der Administrator zur Stelle sein oder zumindest über einen Remote-Zugriff auf den Domänen-Controller verfügen. Diese Punkte sind alle mit Kosten verbunden. Small Business Server 2003
In einem kleinen oder mittleren Unternehmen bis maximal 75 Mitarbeiter kann auch der Small Business Server 2003 eine kostengünstige Alternative darstellen. Dieser beinhaltet außer den normalen Serverfunktionalitäten noch einen Exchange Server 2003 sowie die SharePoint Services und in der Premiumversion zusätzlich noch den SQL Server 2000 und den ISA (Internet Security and Acceleration Server) 2000.
9.12 Windows XP und Terminaldienste Wie schon erwähnt, kann Windows XP auch als Client eines Terminalservers eingesetzt werden. Als Terminalserver kann ein Windows Server 2003 – wie auch schon seine Vorgänger Windows Server 2000 und NT – eingerichtet werden. In dieser Rolle stellt der Server von einem zentralen Ort aus für die Terminalserver-Clients den Windows-Desktop sowie Windows-basierte Applikationen bereit. Bei einem Terminalserver-Client muss es sich nicht zwangsläufig um einen Windows-Client, z.B. unter Windows XP, handeln. Auch Macintosh- oder Unix-basierte Clients können (z.T. mit Addons) eine Terminalsitzung durchführen. Bei einer Sitzung zwischen dem Terminalserver und seinem Client wird vom Server die Benutzeroberfläche an den Client übertragen. Der Client sendet an den Server lediglich die Tastaturein-
440
Sandini Bib
Windows XP und Terminaldienste
gaben und Mausklicks. Dadurch wird die zu übertragende Datenmenge zwischen Client und Server auf einem minimalen Level gehalten. Für die Übertragung dieser Daten benutzen der Terminalserver und seine Clients das Remote Desktop Protocol (RDP). Die Verwaltung der Client-Eingaben erfolgt auf dem Server und benötigt keinerlei Rechenkapazität des Clientcomputers. Der Einsatz eines Terminalservers bringt somit den Vorteil, dass an die Hardware eines Terminal-Client gegenüber einem herkömmlichen Client deutlich weniger Ansprüche gestellt werden. Dies spart zum einen Kosten in der Anschaffung der Hardware, zum anderen sparen Sie auch Zeit und Kosten für die Einrichtung und Pflege der Clients. Ein weiterer Verwendungszweck des Terminalservers kann darin bestehen, spezielle Anwendungen zu hosten und dadurch die Administration der Programme und Daten im Netzwerk zentral an einer Stelle im Netzwerk durchführen zu können. Allerdings müssen Sie in diesem Fall sicherstellen, dass die Applikation auch mit dem Terminalserver kompatibel ist. Jeder Benutzer kann während der Verbindung mit dem Terminalserver immer nur seine eigene aktuelle Sitzung sehen, nicht jedoch die der anderen verbundenen Benutzer.
9.12.1
Der Terminalserver im Netzwerk
Auf dem Terminalserver können sämtliche Windows-kompatiblen Applikationen ausgeführt werden. Beim Einsatz in einer SBS-Domäne können auf dem Terminalserver auch die Komponenten des SBS 2003, nämlich Outlook 2003 oder die Faxdienste, ausgeführt werden. Allerdings muss hier ein separater Server als Terminalserver eingerichtet werden. Der SBS 2003 selbst kann nicht als Terminalserver dienen. Beim Einsatz eines Terminalservers in einem SBS-Netzwerk ergibt sich also folgende Konstellation (siehe Abbildung 9.21) Der Terminalserver wird auf einem anderen Server als der SBS 2003 selbst ausgeführt. So können einerseits die herkömmlichen SBS-Clients direkt auf ihren SBS-Server zugreifen, führen aber ihre Applikationen selbst aus, benutzen den SBS als Datenspeicher und erhalten von diesem ihre Konfigurations- und Sicherheitseinstellungen. Die Terminalserver-Clients stellen eine Verbindung zum Terminalserver her und führen mit dessen Hilfe ihre Anwendungen aus.
441
Sandini Bib
9 Windows XP in Arbeitsgruppen und Domänen Abbildung 9.21: Der Einsatz eines Terminalservers in einem SBS-Netzwerk
SBS 2003
SBS-Clients
9.12.2
Terminalserver
TerminalserverClients
Typische Szenarien für den Einsatz eines Terminalservers
Einige typische Beispiele für die Verwendung von Terminalservern sind: 왘
Lokationen mit geringer Bandbreite In Lokationen, die über keine oder nur eine hochpreisige Verbindung mit hoher Bandbreite verfügen, verbessert der Terminalserver bei Remote-Benutzern die Performance, weil nur wenige Daten über die langsame Verbindung übertragen werden müssen.
442
왘
Einsatz von Thin Clients Thin Clients sind Computer, die über keine eigene Festplatte verfügen. Sie sind beispielsweise für den Einsatz an Terminals konzipiert und in den Anschaffungs- und Wartungskosten günstiger als ein herkömmlicher Clientcomputer. Thin Clients eignen sich z.B. gut für die Benutzung durch Personen, die hauptsächlich Eingaben in Datenbanken durchführen, wobei der Terminalserver die eigentliche Datenbankapplikation ausführt.
왘
Benutzer fremder Betriebssystemplattformen Sofern Sie Benutzer haben, die fast ausschließlich unter einem anderen Betriebssystem als Windows arbeiten, z.B. ein Grafikdesigner, der unter einem Macintosh-System arbeitet, aber dennoch zeitweise den Zugriff auf eine Windows-basierte Applikation benötigt, so müssen Sie für diese Benutzer keine separate Hardware bereitstellen, damit sie die Windows-Soft-
Sandini Bib
Windows XP und Terminaldienste
ware benutzen können. Der Grafikdesigner kann beispielsweise über den Terminalserver von seinem Macintosh-System aus auf die entsprechenden Applikationen zugreifen. 왘
Software, die sich in der Entwicklung befindet Wird eine Software, die sich noch in der Entwicklung befindet, auf dem Terminalserver gehostet, können Sie sicherstellen, dass für alle Benutzer stets die aktuelle Version zur Verfügung steht, da jedes Update für die Applikation mit wenig Verwaltungsaufwand immer aktuell auf den Server aufgespielt werden kann.
9.12.3
Planung und Bereitstellung des Terminalservers
Nachdem Sie die Installation und Konfiguration des Windows Servers abgeschlossen haben, können Sie mit der Planung und Bereitstellung des Terminalservers beginnen. Diese Planungsund Bereitstellungsphase kann man in folgende Schritte gliedern: 1. Ansprüche für den Terminalserver und das Netzwerk festlegen 2. Einen Server als Terminalserver einrichten 3. Einrichten eines Administratorkontos und eines Computerkontos für den Terminalserver 4. Einrichten des Terminalserver-Lizenzservers 5. Umleiten des Ordners Eigene Dateien 6. Installation der Client-Applikationen 7. Konfiguration der Terminalserver-Clients
9.12.4
Ansprüche an Terminalserver und Netzwerk
Das Einsatzgebiet des Terminalservers ist natürlich abhängig von den Erfordernissen Ihres Unternehmens. Zudem hat das Einsatzgebiet auch Auswirkungen auf die Planung des Servers beispielsweise bezüglich der Hardware-Anforderungen. Im Folgenden sehen Sie eine Auflistung typischer Einsatzgebiete: 왘
Benutzer für eingeschränkte Aufgabenbereiche Haben Sie Benutzer, die lediglich eine bestimmte Aufgabe durchführen und keinen weiteren Zugriff auf andere Ressourcen besitzen sollen, bietet sich für diese ein Terminalserverbasierter Arbeitsplatz an.
443
Sandini Bib
9 Windows XP in Arbeitsgruppen und Domänen 왘
Administrative Verwaltungsaufgaben Sollen Administratoren bzw. Personen, die nur zeitweise administrative Aufgaben ausführen, für ihre herkömmlichen Aufgaben lediglich Benutzerrechte am lokalen Client besitzen, bietet es sich an, auf dem Terminalserver Verwaltungswerkzeuge zu installieren, für die Administrator- oder Domänenadministratorberechtigungen erforderlich sind. So muss der Benutzer nur auf dem Terminalserver über die administrativen Berechtigungen verfügen, was aus Sicherheitsaspekten durchaus sinnvoll sein kann.
왘
Einsatz von Applikationen, die an ein Betriebssystem gebunden sind Verwenden Sie eine bestimmte Applikation, die nur auf einem bestimmten Betriebssystem ausgeführt werden kann, das jedoch nicht auf den Clients installiert ist, so sollten Sie ebenfalls über einen Zugriff auf diese Applikation über den Terminalserver nachdenken. Dieses Szenario ist beispielsweise denkbar, wenn eine Applikation lediglich unter Windows NT 4.0 lauffähig ist, Sie jedoch die Desktops der Benutzer auf Windows 2000 oder XP aktualisieren möchten.
왘
Applikationen mit einem großen zentralen Daten-Pool Auch für Applikationen, die regelmäßig auf eine bestimmte zentrale Datenquelle zugreifen, ist der Betrieb auf dem Terminalserver sinnvoll, weil somit der Netzwerkverkehr für die einzelnen Datenzugriffe entlastet wird, die nun nicht mehr an die einzelnen Benutzer gesendet werden müssen, sondern zentral auf dem Terminalserver erfolgen.
왘
Einsatz von älterer Hardware Verwenden Sie noch ältere Hardware, die nicht oder nur bedingt für den Einsatz von Windows 2000 oder Windows XP geeignet ist, können Sie diese Hardware ähnlich wie Thin Clients verwenden, um auf die Applikationen auf dem Terminalserver zuzugreifen. Möglicherweise lassen sich so Kosten bei der Anschaffung neuer Hardware einsparen.
Weiterhin stellt sich die Frage, ob der Terminalserver nur einzelne Applikationen oder den kompletten Desktop von Clients hosten soll. Meldet sich ein Benutzer an, wird ihm sein kompletter Desktop mit all seinen Einstellungen vom Terminalserver bereitgestellt.
444
Sandini Bib
Das Web Client Network
9.13 Das Web Client Network Wenn Sie in der Netzwerkumgebung den Eintrag GESAMTES NETZWERK öffnen, findet sich dort an dritter Stelle der Eintrag WEB CLIENT NETWORK (siehe Abbildung 9.22). Sobald Sie dieses Symbol doppelklicken, sind in der Regel keine weiteren Einträge darunter vorhanden. So fragen Sie sich sicherlich, welche Bedeutung dieses leere Icon in der Benutzeroberfläche besitzt. Abbildung 9.22: Das Web Client Network in der Netzwerkumgebung
Unter dem Web Client Network werden die WebDAV-Verbindungen des Windows XP-Computers angezeigt. Da die meisten Computer keinerlei WebDAV-Verbindungen besitzen, werden dort logischerweise auch keine Verbindungen angezeigt. Was ist WebDAV? WebDAV steht als Abkürzung für Web-Based Distributed Authoring and Versioning. Es handelt sich dabei um eine httpErweiterung, die einer Gruppe von Benutzern die gemeinsame Bearbeitung und Verwaltung von Webseiten auf einem Webserver gestattet. Der Schwerpunkt liegt dabei auf der Arbeit im Team. Die WebDAV-Arbeitsgruppe des IETF hat das Ziel, Standards zu entwickeln, sodass das http-Protokoll von einem rein lesenden Protokoll zu einem lesenden und schreibenden Protokoll werden kann. Windows-Clients können unterschiedliche Netzwerkprotokolle für den Dateizugriff auf anderen Computern verwenden. Jedes auf dem Computer installierte Netzwerkprotokoll erhält einen eigenen Eintrag unter GESAMTES NETZWERK. So werden unter MICROSOFT WINDOWS-NETZWERK sämtliche Computer aufgelistet, die das den Windows-Clients und -Servern native SMB-Protokoll verwenden. Auf sämtliche dort angezeigten Computer wird über das SMB-Protokoll zugegriffen.
445
Sandini Bib
9 Windows XP in Arbeitsgruppen und Domänen
Ab Windows XP besteht zusätzlich die Möglichkeit, dass Clients auch über das WebDAV-Protokoll eine Verbindung zu Computern herstellen können. Bei WebDAV handelt es sich um ein Filesharing-Protokoll, das auf Webserve,rn wie beispielsweise unter http:/ /www.msnusers.com verwendet wird. Sofern eine derartige Verbindung besteht, wird diese unter WEB CLIENT NETWORK angezeigt.
446
Sandini Bib
10
Windows XP in heterogenen Netzen Stephanie Knecht-Thurmann
Dieses Kapitel beschäftigt sich mit Windows XP-Clients in heterogenen Umgebungen. Die beiden häufigsten Varianten sind dabei sicherlich Windows XP im Zusammenspiel mit Apple Mac OSClients sowie Linux/Unix-Clients. Um diese Clients für einen gemeinsamen Datei- oder sogar Druckerzugriff zu konfigurieren, sind teilweise spezielle Anwendungen notwendig, so z.B. Samba, die Services for Unix (SFU) oder die Services for Macintosh (SFM). Allerdings ist für die Unterstützung der SFM zwingend ein Windows 2000/2003-Server erforderlich, weil sich diese Komponente nur auf einem Serverbetriebssystem installieren lässt. Ein direkter Zugriff auf die Macintosh-Clients ohne den Einsatz eines Servers ist ohne weitere Software nur unter Mac OS X möglich. Für ältere Mac OS-Clients müssen die SFM oder ein anderes Verfahren genutzt werden. Diese und weitere Möglichkeiten werden vorgestellt. Für die Zusammenarbeit mit Linux/Unix-Clients bieten sich die Services for Unix (SFU) an. Diese können auf einem Windows XPClient oder auf einem Windows Server installiert werden. Ein weiteres wichtiges Kapitel ist die Nutzung von Windows-Applikationen unter Linux/Unix. Die dafür zur Verfügung stehenden Applikationen werden am Ende dieses Kapitels vorgestellt.
10.1
Datenaustausch mit Mac OS XClients über File-Sharing
Neben den Unix- bzw. Linux-Clients sind Macintosh-Computer die häufigsten Clients, die in einer gemischten Umgebung mit Windows-Clients oder auch im Active Directory vorkommen. Der große und für die Konfiguration entscheidende Entwicklungsschritt erfolgte zwischen den Versionen Mac OS 9.x und Mac OS X. Da Mac OS X und die neueren Versionen 10.2 und 10.3 auf einem Unix-Kern basieren, ist es einfacher, diese Versionen zu integrieren, weil Mac OS wie ein Unix behandelt werden kann.
447
Sandini Bib
10 Windows XP in heterogenen Netzen
Mac OS bietet die Möglichkeit, für den Datenaustausch mit Windows-Clients das File-Sharing zu nutzen. Das File-Sharing entspricht der Netzwerkumgebung eines Windows-Client. Ab der Version Mac OS X ist die Implementierung des File Sharing recht leicht geworden: Alle erforderlichen Komponenten sind bereits im Betriebssystem enthalten oder können als Freeware bezogen werden. Hinweise zum File-Sharing unter Mac OS 8.x und 9.x finden Sie in Kapitel 10.2. Auf der Windows-Seite wird für die Datei- und Druckfreigabe das SMB-Protokoll (Server Message Block) benutzt, das bereits in den 80er Jahren von Microsoft entwickelt wurde. Das SMB-Protokoll wird zwischenzeitlich auch von anderen Betriebssystemen benutzt und ebenfalls als Common Internet File System (CIFS) bezeichnet. Auf der Unix-Seite hingegen hat sich Samba durchgesetzt, das den Zugriff auf Unix-Computer für Windows möglich macht. Weitere Hinweise zu Samba finden Sie in Kapitel 10.8. Da Mac OS ab der Version X ebenfalls auf einem Unix-Kern basiert, ist Samba auch für den Macintosh-Client verfügbar.
10.1.1
Mit Mac OS X auf Windows XP zugreifen
Ab der Version Mac OS 10.1 sind sämtliche Komponenten für den Zugriff auf Windows-Clients in das Betriebssystem integriert. Allerdings funktionieren diese erst ab der Version 10.1.3 wirklich stabil. Um auf einen Windows-Computer zuzugreifen, führen Sie die folgenden Schritte aus: 1. Öffnen Sie im FINDER das Menü GEHE ZU/MIT SERVER VERBINDEN. 2. Tragen Sie in das Feld ADRESSE den Namen des Windows-Client sowie den Namen der Freigabe ein. Vor den Namen muss der Eintrag smb:// gesetzt werden, der Name des Protokolls. 3. Klicken Sie dann auf VERBINDEN. Sie erhalten ein neues Fenster, in dem Sie den Benutzernamen und das Passwort für den Zugriff auf den Windows-Computer angeben müssen. Sind diese Angaben korrekt, wird die Windows-Freigabe als eigenständiges Laufwerk auf dem Mac OS-Desktop angezeigt.
448
Sandini Bib
Datenaustausch mit Mac OS X-Clients über File-Sharing
10.1.2
Von Windows XP auf Mac OS X zugreifen
Auch der umgekehrte Weg, der Zugriff von einem Windows XPClient über die Netzwerkumgebung auf freigegebene Daten eines Macintosh-Client, ist machbar. Dazu sind auf beiden Seiten der Betriebssysteme einige Einstellungen notwendig. File-Sharing unter Mac OS X einrichten Bevor die Macintosh-Konfiguration vorgenommen wird, ist entscheidend, welche Version eingesetzt wird. Ab der Version 10.2 sind sämtliche Komponenten im Betriebssystem enthalten, für alle älteren Mac OS X-Versionen muss zunächst das Programm Samba for Mac OS X installiert werden. Dieses Programm ist kostenlos und kann unter http://xamba.sourceforge.net/index.shtml heruntergeladen werden. Installieren Sie dieses Programm. Führen Sie dann die folgenden Schritte aus; die Beschreibung bezieht sich auf Mac OS X 10.2, bei anderen Versionen kann es zu leichten Abweichungen kommen: 1. Damit der Windows-Client auf die Mac OS X-Daten zugreifen kann, müssen Sie dort die Dateifreigabe aktivieren. Öffnen Sie dazu in den Systemeinstellungen den Eintrag SHARING. 2. Markieren Sie den Eintrag WINDOWS FILE SHARING und klicken auf START. Sobald das File-Sharing aktiviert ist, können sämtliche WindowsComputer im Netzwerk auf den Macintosh-Computer zugreifen. Besteht eine Verbindung mit dem Internet, kann theoretisch auch über das Internet ein Zugriff auf den Macintosh-Computer erfolgen. 3. Notieren Sie sich den Computernamen, der unter NETZWERKADRESSE angezeigt wird. Dieser Name wird später bei der Windows-Konfiguration benötigt. 4. Sobald das File-Sharing gestartet wurde, öffnen Sie in den Systemeinstellungen den Punkt BENUTZER. Prüfen Sie, ob für den betreffenden Benutzer die Option WINDOWS-BENUTZER DÜRFEN SICH ANMELDEN aktiviert ist. Wählen Sie auf diese Weise sämtliche Benutzer aus, denen Sie den Zugriff von Windows aus auf den Macintosh-Computer gestatten möchten. Klicken Sie dann auf SICHERN. Damit ist auf der Macintosh-Seite die Konfiguration abgeschlossen.
449
Sandini Bib
10 Windows XP in heterogenen Netzen
Windows XP für den Zugriff konfigurieren Jetzt muss auf dem Windows XP-Computer die Verbindung zum Macintosh-Computer hergestellt werden. Führen Sie dazu die folgenden Schritte durch: 1. Öffnen Sie den Windows Explorer und geben den Namen des Macintosh-Computers an, den Sie sich in Schritt 3 notiert haben. An diesen Namen fügen Sie den Namen des Ordners an, auf den Sie zugreifen möchten. 2. Sie erhalten dann das Fenster VERBINDUNG ZU COMPUTERNAME HERSTELLEN. Geben Sie dort den Namen und das Kennwort eines Benutzers ein, für den unter Mac OS X in Schritt 4 der Zugriff von Windows aus gestattet wurde. Klicken Sie dann auf OK. 3. Nachdem die Anmeldung erfolgt ist, erscheint der Ordner des Macintosh-Computers unter Windows. Die Dateien können wie unter einem herkömmlichen Windows-Netzlaufwerk ausgetauscht werden.
10.1.3
Hinweise zur Verbindungsherstellung
Im Gegensatz zu einer Verbindung zu einem Netzlaufwerk mit einem anderen Windows-Computer sind einige Punkte zu beachten.
450
왘
In Schritt 5 wird der Computername des Macintosh-Computers angegeben. Dieser kann entweder als der DNS-Name oder auch die IP-Adresse des Computers angeben werden.
왘
Der Name des Macintosh-Laufwerks oder -Ordners muss angegeben werden. Dazu erfolgt keine separate Aufforderung. In dem Namen darf kein Leerzeichen enthalten sein.
왘
Wird eine Verbindung zu zwei oder mehr Macintosh-Volumes gleichzeitig hergestellt, kann u.U. ein Kernel-Fehler auftreten. Ist dies der Fall, ziehen Sie das Volume in den Papierkorb, um es auszuwerfen. Erst dann kann die Verbindung zu einem anderen Volume hergestellt werden.
왘
Haben Sie ein falsches Kennwort oder einen falschen Benutzernamen für die Anmeldung am Macintosh-Computer angegeben, erhalten Sie lediglich die Fehlermeldung, dass unter dem angegebenen URL kein File Server zur Verfügung steht. Bevor Sie den Macintosh-Computer auf die Verfügbarkeit des Volume hin überprüfen, probieren Sie zunächst nochmals die Anmeldung mit den korrekten Eingaben. In den meisten Fällen ist damit das Problem behoben.
왘
Für die Verbindung zu SMB verwendet Mac OS X das TCP/IPProtokoll, nicht jedoch das NetBIOS-Protokoll.
Sandini Bib
File-Sharing zwischen Mac OS 8.x / 9.x und Windows
10.2
File-Sharing zwischen Mac OS 8.x / 9.x und Windows
Setzen Sie Mac OS in der Version 8.x oder 9.x ein, kann das File-Sharing ebenfalls aktiviert werden, allerdings ist dieses Feature nicht in das Betriebssystem integriert. Es gibt verschiedene Möglichkeiten, um den Datenaustausch einzurichten; sie alle erfordern jedoch einen höheren Konfigurationsaufwand als das File-Sharing unter Mac OS X. Aber selbst in einer gemischten Umgebung mit Mac OS X-Clients und älteren Mac OS-Clients kann nicht nur das eben beschriebene File-Sharing eingesetzt werden.
Hoher Konfigurationsaufwand unter älteren Mac OSSystemen
Die folgenden Kapitel stellen die verschiedenen Methoden vor, die auch miteinander kombiniert werden können. Welche letztendlich genutzt werden soll, hängt von verschiedenen Faktoren ab. Verfügen Sie z.B. über keinen Windows-Server, können die Services for Macintosh nicht eingesetzt werden. Außerdem ist es entscheidend, ob die Verbindung von der Windows- oder der Macintosh-Seite aus aufgebaut werden soll.
10.2.1
AFP mit den Services for Macintosh (SFM)
Setzen Sie einen Windows Server der Betriebssysteme NT 4.0, 2000 oder 2003 ein, können Sie die Services for Macintosh (SFM) auf diesem installieren. Dabei wird das Apple Filing Protocol (AFP) aktiviert. Dies ist das native Sharing-Protokoll der Macintosh-Clients. Die Freigaben, auf die der Mac OS-Computer zugreifen kann, werden direkt auf dem Server erstellt. Der Server wird über die Auswahl direkt aufgerufen. Aufgrund der Komplexität der Konfiguration ist den SFM das gesamte Kapitel 10.3 gewidmet.
10.2.2
AFP ohne die Services for Macintosh
Wird im Netzwerk kein Windows Server eingesetzt, entfällt die Lösung per SFM, da diese den Aufwand für die Lizenzkosten und Hardware eines Servers nicht rechtfertigen, zumal es andere Softwarelösungen gibt, die auf den Macintosh-Clients installiert werden, um eine Verbindung zu den Windows-Clients herzustellen. Dabei handelt es sich um Produkte wie Dave (Thursby Software), Mocha SMB (MochaSofts) oder DoubleTalk (ehemals Connectix). Weitere Informationen zu Produktumfang und Kosten finden Sie im Internet auf den entsprechenden Herstellerseiten.
451
Sandini Bib
10 Windows XP in heterogenen Netzen
10.2.3
Web Sharing
Windows-Computer können über ihren Webbrowser über das HTTP-Protokoll eine Verbindung zum Macintosh-Computer herstellen. Dazu muss im Kontrollfeld WEB SHARING die Funktion Web Sharing aktiviert sein. Auf diese Weise können sämtliche Computer, die eine HTTP-Verbindung herstellen können, Daten vom Macintosh-Computer abrufen.
10.2.4
Verbindungsherstellung zum AppleServer über SMB
Verwenden Sie entweder den AppleShare IP 6-Server oder den Mac OS X-Server ab der Version 10.0.3 oder höher, können Sie einen SMB-Server bereitstellen, auf den die Windows-Clients zugreifen können. Weitere Hinweise dazu finden Sie in der entsprechenden Produktdokumentation.
10.2.5
Verbindungsherstellung über SMB zu Nicht-Mac OS-Servern
Kann auf der Macintosh-Seite kein SMB-Server bereitgestellt werden, so können Sie auf den Windows-Clients eine Software installieren, die eine Verbindung zum AFP-Server ermöglicht. Geeignete Produkte sind beispielsweise PC Mac LAN (Miramar) oder TSTalk (Thursby).
10.2.6
Weitere Lösungen
Auch im Bereich der Freeware und Shareware finden sich Lösungen, die für Ihre Anforderungen und Ihr Budget geeignet sind. So kann beispielsweise unter Mac OS 8 oder 9 eine Serverfunktion über FTP bereitgestellt werden. Da dieses Protokoll plattformübergreifend arbeitet, bestehen keine Kommunikationsprobleme zwischen den beiden Plattformen. Um nach geeigneter Software zu suchen, verwenden Sie bei der Suche eine Kombination der folgenden Schlüsselworte: file, server, ftp, sharing, internet, networking, cross-platform, plattformübergreifend usw.
452
Sandini Bib
Die Services for Macintosh (SFM)
10.3
Die Services for Macintosh (SFM)
Die Services for Macintosh (SFM) stellen einige Komponenten bereit, die den Datei- und Druckerzugriff von Macintosh-Clients auf Windows ermöglichen. Die SFM sind im Lieferumfang des Windows 2000/2003-Servers enthalten und benötigen keine separate Lizenz.
Windows 2000/ 2003-Serverlizenz ist zwingend erforderlich
Unter Windows XP ist diese Komponente nicht verfügbar; Sie benötigen also zwingend einen Windows 2000 oder 2003-Server in der Arbeitsgruppe oder Domäne. Sobald die SFM auf einem Windows-Server installiert worden sind, kann dieser als Datei- und Druckserver, RAS-Server oder als AppleTalk-Router fungieren. Der Vorteil für die Macintosh-Clients besteht darin, dass auf ihnen keine zusätzliche Software installiert werden muss. Weiterhin können Sie für den Mac OS-Client die MSUAM (Microsoft User Authentication Module) verwenden, sodass sich dieser beim Start automatisch am Windows-Server anmeldet. Der in den SFM enthaltene File Server – auch als MacFile bezeichnet –, erstellt auf dem Windows-Server, nicht auf den WindowsClients, eine für den Mac zugängliche Freigabe, organisiert die Berechtigungen und stellt sicher, dass die Macintosh-Dateinamen auch für das Dateisystem NTFS gültige Namen sind. Für das AFP (Apple Filing Protocol) bietet MacFile TCP/IP-Unterstützung an. Sie können somit das Apple-Talk-Protokoll komplett aus dem Netzwerk entfernen, sofern die Mac-Clients ebenfalls auf TCP/IP eingestellt sind. Mac-Clients unterstützen TCP/IP nativ ab der Version 8.x. Für ältere Versionen müssen Sie Zusatzsoftware wie z.B. MacTCP benutzen. Über den Printserver MacPrint können die Mac-Clients Druckaufträge an die Drucker eines Windows-Servers schicken. Die Druckaufträge werden direkt weitergeleitet; der Mac-Client kann seine Arbeit fortsetzen, bevor der Druckauftrag beendet wurde. Außerdem werden den Macintosh-Clients weitere Features von Windows XP/2003 zuteil. Dazu zählen die Unterstützung von Dateisystem-Filtern, wie z.B. dem EFS (Encrypted File System)Filter. Es werden alle vom Macintosh-Client in die Freigabe geschriebenen Daten sofort verschlüsselt und beim Abrufen wieder entschlüsselt. Damit ist auch für die Macintosh-Daten auf einem Windows-Server hohe Sicherheit gewährleistet. Außerdem
453
Sandini Bib
10 Windows XP in heterogenen Netzen
können für die Macintosh-Clients auf Benutzerbasis Datenträgerkontingente eingerichtet werden, um den verfügbaren Speicherplatz zu begrenzen. Um die SFM auf einem Windows-Server zu installieren (sofern diese nicht bereits bei der Erstinstallation mitinstalliert worden sind), führen Sie die folgenden Schritte aus: 1. Öffnen Sie SYSTEMSTEUERUNG/SOFTWARE/WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN. Dort wählen Sie den Menüpunkt WEITERE DATEI- UND DRUCKDIENSTE FÜR DAS NETZWERK. 2. Über die Schaltfläche DETAILS werden dann die Komponenten DATEIDIENSTE FÜR MACINTOSH und DRUCKDIENSTE FÜR MACINTOSH ausgewählt. 3. Nach der Installation laufen die Dienste DATEISERVER FÜR MACINTOSH und SFM DRUCKSERVER zusätzlich auf dem Windows-Server.
10.3.1
Freigaben für Macintosh-Clients erstellen
Freigaben für Macintosh-Clients können lediglich auf Windows 2000/2003-Servern, nicht jedoch auf den Windows XP-Clients selbst eingerichtet werden. Deshalb können die Windows-Clients auch nicht direkt mit den Macintosh-Clients im Netzwerk kommunizieren, selbst wenn beide Seiten ausschließlich TCP/IP verwenden. Ein Windows XP-Client kann nur per FTP oder Telnet auf den Macintosh-Computer zugreifen. Eine weitere Voraussetzung für die Macintosh-Freigabe auf dem Server ist, dass sie sich auf einem Laufwerk mit NTFS5 befinden muss. Außerdem kann auf CDs (CDFS-Format) zugegriffen werden. Um eine Freigabe zu erstellen, führen Sie die folgenden Schritte aus: 1. Öffnen Sie aus dem Kontextmenü des Arbeitsplatzes den Menüpunkt VERWALTEN. 2. Navigieren Sie zum Snap-In FREIGEGEBENE ORDNER. Wählen Sie dort aus dem Kontextmenü von FREIGABEN den Eintrag NEUE DATEIFREIGABE. In der Eingabemaske (siehe Abbildung 10.1) wählen Sie den freizugebenden Ordner. Standardmäßig ist nur die Checkbox FOLGENDEN CLIENTS ZUGRIFF GEWÄHREN für MICROSOFT WINDOWS aktiviert. Aktivieren Sie auch die Checkbox APPLE MACINTOSH und geben einen Freigabenamen für die Mac-Freigabe an. Klicken Sie dann auf WEITER.
454
Sandini Bib
Die Services for Macintosh (SFM)
3. Sie können nun die Freigabeberechtigungen konfigurieren. Haben Sie die Berechtigung nur für Macintosh-Clients eingerichtet, steht lediglich die Option FREIGABE- UND ORDNERBERECHTIGUNGEN ANPASSEN zur Verfügung. Da mit den Freigabeberechtigungen nur der Netzwerkzugriff gesteuert wird, sollten Sie die Berechtigungen lieber auf Datei- oder Ordnerebene festlegen. Damit der Macintosh-Client die Größe des Volume korrekt erkennt, muss auf ihm der AppleShare-Client in mindestens der Version 3.8 installiert sein. Anderenfalls wird die Größe als 2 oder 4 GB angegeben, auch wenn ein freigegebenes Laufwerk größer ist. Serverseitig ist in den SFM zur Behebung dieses Problems die AFP-Spezifikation 2.2 implementiert. Abbildung 10.1: Erstellen einer Macintosh-Freigabe unter Windows
Unter den vorhandenen Freigaben erscheinen diese Verzeichnisse dann mit Typ MACINTOSH. Das Einrichten von Macintosh-Freigaben kann auch an der Kommandozeile über macfile vorgenommen werden. Dazu bietet Windows eine ausführliche Hilfe. Standardmäßig ist immer die Macintosh-Freigabe MICROSOFT UAM-DATENTRÄGER vorhanden. Diese Freigabe enthält das Installationsprogramm für die UAM-Authentifizierung. Sobald ein Macintosh-Client auf eine Freigabe zugegriffen hat, befinden sich darin zwei zusätzliche Objekte, die vom Finder des Macintosh-Betriebssystems angelegt werden, nämlich NETWORK TRASH FOLDER sowie ICON. Im Ordner NETWORK TRASH FOLDER werden alle Dateien der Freigabe abgelegt, die vom Mac-Client in den Papierkorb verschoben worden sind. Außerdem wird eine Datei namens ICON angelegt.
455
Sandini Bib
10 Windows XP in heterogenen Netzen
10.3.2
Authentifizierung der Macintosh-Clients an der Domäne
Sobald die SFM auf einem Domänen-Controller ausgeführt werden, können sich die Macintosh-Clients an diesem authentifizieren. Zuerst sollten Sie am Server jedoch die akzeptierten Anmeldearten konfigurieren. 1. Wählen Sie hierzu aus dem Kontextmenü von FREIGABEN in der MMC COMPUTERVERWALTUNG den Eintrag DATEISERVER FÜR MACINTOSH KONFIGURIEREN. 2. Auf der Registerkarte KONFIGURATION können Sie den Servernamen bestimmen, der den Mac-Clients angezeigt werden soll. Optional können Sie einen Anmeldetext verfassen. 3. In der Sektion SICHERHEIT können Sie bestimmen, ob der MacClient die Kennwörter lokal speichern darf oder nicht. Werden die Passwörter lokal gespeichert, muss der Benutzer diese nicht jedes Mal angeben, wenn die Freigaben beim Start automatisch verbunden werden. 4. Dann müssen Sie eine der Authentifizierungsmethoden wählen (siehe Abbildung 10.2). Standardmäßig ist die Option APPLEKLARTEXT ODER MICROSOFT aktiviert. Bei dieser Einstellung kann der Benutzer selbst entscheiden, ob er die Standard-MacintoshAnmeldung oder die Microsoft-UAM-Authentifizierung verwenden möchte. Weitere Möglichkeiten sind APPLE VERSCHLÜSSELT ODER MICROSOFT, NUR MICROSOFT, APPLE KLARTEXT und APPLE VERSCHLÜSSELT. Außerdem können Sie die Anzahl der gleichzeitigen Sitzungen zu diesem Server beschränken. Richten Sie die reine Microsoft-Authentifizierung erst ein, wenn auf allen Mac-Clients der MS-UAM-Installer (siehe Kapitel 10.3.4) ausgeführt wurde. Die Clients benötigen für den Zugriff auf den Installer noch eine Standard-Apple-Authentifizierungsmöglichkeit. Ansonsten sind sie von der Installation ausgesperrt. Selbstverständlich müssen auf dem Windows-Server die Benutzerkonten für die Macintosh-Benutzer angelegt sein. Ist dies noch nicht der Fall, müssen diese eingerichtet werden. Damit ist die serverseitige Konfiguration abgeschlossen.
456
Sandini Bib
Die Services for Macintosh (SFM) Abbildung 10.2: Auswahl der AppleAuthentifizierung
10.3.3
Die standardmäßige Apple-Authentifizierung
Ein Macintosh-Client muss sich nicht zwangsläufig am WindowsNetzwerk anmelden. Solange er nur auf Ressourcen anderer Macintosh-Computer zugreift, kann dies nicht vom DomänenController kontrolliert werden. Um den Mac-Client für den Zugriff auf den Server über die standardmäßige Apple-Authentifizierung zu konfigurieren, führen Sie die folgenden Schritte aus. Die Beschreibung bezieht sich auf Mac OS 9.1. 1. Öffnen Sie das Apfel-Menü und das Dienstprogramm AUSWAHL. Markieren Sie das Objekt APPLESHARE. 2. Sie sehen im rechten Fenster eine Liste aller verfügbaren Windows-Server, auf denen die SFM installiert sind. 3. Wird die Verbindung jedoch nur über TCP/IP hergestellt, klicken Sie auf SERVER IP-ADRESSE und geben die Adresse des Servers an. Klicken Sie dann auf VERBINDEN. 4. Nun müssen Sie noch ein gültiges Benutzerkonto und Kennwort für die Anmeldung am Server angeben. Bei der standardmäßigen Apple-Authentifizierung wird das Passwort unverschlüsselt gesendet, zudem darf es maximal acht Zeichen umfassen. Sie merken also, dass diese Methode bestenfalls für sehr kleine Netzwerke geeignet ist, in denen das interne Sicherheitsrisiko nicht sehr hoch ist.
457
Sandini Bib
10 Windows XP in heterogenen Netzen
5. Sie sehen nun alle Macintosh-Freigaben, die auf dem Server vorhanden sind (siehe Abbildung 10.3). Aktivieren Sie die Checkboxen der Freigaben, mit denen beim Start automatisch eine Verbindung hergestellt werden soll. Diese werden automatisch als Volume gemountet. Abbildung 10.3: Das Apple-Menü Auswahl
Da diese Anmeldung insbesondere in großen Netzwerken erhebliche Sicherheitsrisiken birgt, sollten Sie lieber die MS-UAMAuthentifizierung einrichten.
10.3.4
Die Microsoft UAM-Authentifizierung
Um diese Authentifizierung zu ermöglichen, muss auf dem MacClient zunächst das Programm Microsoft UAM (User Authentication Method) installiert werden. Dieses befindet sich in der Freigabe MICROSOFT UAM-DATENTRÄGER jedes Servers mit SFM. Stellen Sie über den NETZWERKBROWSER und MIT SERVER VERBINDEN eine Verbindung zu einem Server her. Dort sehen Sie alle Freigaben des Servers. Starten Sie aus der Freigabe das MS-UAM-Installationsprogramm (siehe Abbildung 10.4). Abbildung 10.4: Das UAM-Installationsprogramm
458
Sandini Bib
Unix/Linux-Clients und Windows XP-Clients
Die Installation dauert nicht sehr lange. Sie sollten dann eine Meldung erhalten, dass die Systemerweiterung erfolgreich installiert wurde. Starten Sie danach den Macintosh-Client neu. Wählen Sie nun aus dem Apfel-Menü den Eintrag AUSWAHL. Klicken Sie auf APPLESHARE und auf den gewünschten Server. Sie sehen, dass Ihnen nun die Apple-Standardauthentifizierung sowie die UAMAuthentifizierung zur Wahl stehen. Wählen Sie Letztere und geben Sie gültige Benutzerinformationen an. Sie haben nun alle Macintosh-Freigaben auf diesem Server aufgelistet. Allerdings hat diese sichere Authentifizierungsmethode einen kleinen Nachteil gegenüber der Standard-Apple-Authentifizierung. Bei der Microsoft-Authentifizierung ist es leider nicht möglich, Laufwerke beim Start automatisch als Volumes zu mounten. Verwenden Sie die Apple-Authentifizierung, werden Sie, bevor der Finder erscheint, nach den gültigen Benutzerdaten für die Windows-Freigaben gefragt. Ist das Passwort lokal gespeichert, erfolgt die Anmeldung am Server automatisch. Dieses Verhalten ist bei der Microsoft-Anmeldung aus Sicherheitsgründen nicht möglich. So soll vermieden werden, dass automatisch auf Windows-Daten zugegriffen werden könnte. Versuchen Sie die Datenträger für den automatischen Start zu konfigurieren, erhalten Sie eine entsprechende Fehlermeldung. Wollen Sie die sichere Authentifizierung verwenden, müssen Sie nach jedem Start über das APFELMENÜ/AUSWAHL eine neue Verbindung zum Windows-Server herstellen.
10.4
Unix/Linux-Clients und Windows XP-Clients
Nachdem die unterschiedlichen Zugriffsmöglichkeiten in einem heterogenen Netzwerk unter Windows und Macintosh beschrieben worden sind, geht es nun um die entsprechenden Möglichkeiten für die Linux- bzw. Unix-Clients.
10.5
Druckdienste für Unix
Windows XP bietet die Druckdienste für Unix an. Über diese Dienste kann ein Unix/Linux-Client jeden Drucker verwenden, der an den Windows XP-Computer angeschlossen ist, auf dem die Dienste installiert sind. Um diese Komponente zu installieren, führen Sie die folgenden Schritte aus:
459
Sandini Bib
10 Windows XP in heterogenen Netzen
1. Öffnen Sie unter SYSTEMSTEUERUNG/SOFTWARE den Link WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN. 2. Navigieren Sie zum Eintrag WEITERE DATEI- UND DRUCKDIENSTE FÜR DAS NETZWERK. Klicken Sie auf Details und markieren die Checkbox DRUCKDIENSTE FÜR UNIX. 3. Klicken Sie auf OK und WEITER. Die erforderlichen Dateien werden kopiert. Die Installations-CD ist dazu nicht erforderlich. Klicken Sie dann auf FERTIG STELLEN.
10.6 Für SFU 3.5 ist der Einsatz eines Windows Servers nicht mehr notwendig
Windows Services for Unix (SFU)
Der gemeinsame Datenzugriff zwischen Windows- und UnixClients ist nicht so einfach einzurichten wie die Druckdienste für Unix. Sie benötigen in diesem Fall die Services for Unix (SFU). Diese Komponente wird von Microsoft kostenlos bereitgestellt. Aktuell ist die Version 3.5. Die Installation der SFU kann auf den folgenden Betriebssystemen erfolgen: 왘
Windows 2000 Professional
왘
Windows 2000 Server
왘
Windows XP Professional
왘
Windows 2003 Server
Sie können die Installations-CD entweder kostenlos bei Microsoft bestellen oder die SFU-Installationsdatei herunterladen. Die Datei ist ca. 220 MB groß. Das Programm ist lediglich in einer englischen Version verfügbar. Alle weiteren Informationen finden Sie unter dem Link http://www.microsoft.com/windows/sfu/. An erster Stelle der Programme für die Integration von Unix/Linux in eine Windows 2000/2003-Umgebung stehen die Windows Services for Unix (SFU). Aktuell ist die Version 3.5. Die Version 2.0 war bereits für Windows NT verfügbar. Sie kann aber wie die Version 3.0 auch unter Windows 2000 und 2003 installiert werden. Bei der Installation der SFU wird auch das Active Directory-Schema um Klassen und Attribute erweitert, die für die Kommunikation zwischen Windows und Unix erforderlich sind. Dabei unterscheiden sich die Schemaänderungen der SFU-Versionen. Offiziell benennt Microsoft die folgenden Unix-Versionen, die mit SFU 3.5 getestet worden sind und problemlos zusammenarbeiten:
460
왘
Solaris 7 und 8
왘
HP-UX 11i
Sandini Bib
Windows Services for Unix (SFU) 왘
AIX 5L 5.2
왘
Red Hat Linux 8.0
Die SFU umfassen einen großen Satz an Komponenten. Diese reichen von der Passwortsynchronisation über NFS-Clients (Network File System), Server und Gateways bis hin zu einer InterixEntwicklungsumgebung und dem Interix SDK, um Unix-Anwendungen Windows-kompatibel zu machen (siehe Abbildung 10.5). In der nachfolgenden Beschreibung wird jedoch nur auf die Komponenten der SFU 3.5 eingegangen, die Client-relevante Themen wie Benutzerverwaltung, Passwortsynchronisation oder Dateifreigaben betreffen. Abbildung 10.5: Die installierbaren Komponenten der Services for Unix 3.5
Durch die Installation führt Sie ein Assistent. Nach Abschluss der Installation ist ein Neustart erforderlich. Die Installation der SFU muss auf jedem Computer der Domäne durchgeführt werden, der als Server for NFS dienen soll. Die Verwaltung der SFU erfolgt über eine zentrale MMC, über die alle installierten Komponenten administriert werden können (siehe Abbildung 10.6). Diese MMC finden Sie unter STARTMENÜ/ PROGRAMME/WINDOWS SERVICES FOR UNIX/SERVICES FOR UNIX ADMINISTRATION. Mit dieser Konsole werden die SFU-Einstellungen des lokalen Computers vorgenommen. Soll ein anderer Computer mit installierten SFU verwaltet werden, wählen Sie aus dem Kontextmenü von SERVICES FOR UNIX (LOKAL) den Eintrag CONNECT TO OTHER COMPUTER und geben den Namen oder die IP-Adresse dieses Computers an.
461
Sandini Bib
10 Windows XP in heterogenen Netzen
Abbildung 10.6: Die Verwaltungskonsole der SFU 3.5
Weiterhin finden sich im Startmenü die Verknüpfungen zur Hilfe zu den SFU und zu einer Readme-Datei, einem Telnet-Client sowie zur C Shell und Korn Shell. Durch die Installation der SFU erhalten Sie nicht nur die zusätzliche Verwaltungs-MMC, sondern sämtliche Active DirectoryBenutzer bekommen in den Eigenschaften die zusätzliche Registerkarte UNIX ATTRIBUTES (siehe Abbildung 10.7). Hier tragen Sie für die Benutzer Unix-spezifische Angaben wie NIS-Domäne, UID, Login-Shell, Home-Directory und GID ein. Abbildung 10.7: Die erweiterten Benutzereigenschaften nach der Installation der SFU
In den folgenden Kapiteln werden die wichtigsten Elemente der SFU sowie deren Konfigurationsmöglichkeiten beschrieben.
462
Sandini Bib
Windows Services for Unix (SFU)
10.6.1
Konfiguration des NFS-Servers
Dieses Kapitel beschreibt, wie Sie nach der Installation der SFU den NFS-Server konfigurieren. Die Konfiguration ist Voraussetzung für alle weiteren Einstellungen. Markieren Sie dazu in der SFU-MMC das übergeordnete Snap-In SERVICES FOR UNIX und wählen im Detailbereich die Registerkarte SETTINGS. Hier müssen Sie den Namen des User Name Mapping-Servers angeben. Mit dem Server for NFS kann der Windows-Administrator Verzeichnisse als exportierte NFS-Shares freigeben. Die Unix-Clients können dieses Verzeichnis wie ein NFS-Share eines Unix-Servers mounten. Über das User Name Mapping wird sichergestellt, dass die UID und GID des Unix-Client dem Windows-Benutzerkonto zugemappt werden. Damit gelten für den Unix-Benutzer die unter Windows definierten Berechtigungen. Als Nächstes legen Sie unter SERVER FOR NFS auf der Registerkarte LOGGING (siehe Abbildung 10.8) die gewünschten Einstellungen fest. Dort können Sie bestimmen, welche Ereignisse protokolliert werden sollen. Neben den Ereignissen wie Lesen, Schreiben und Löschen können auch die Mount-Vorgänge überwacht werden. Für diese überwachten Vorgänge kann entweder eine separate Datei bestimmt werden oder die Einträge können dem Ereignisprotokoll hinzugefügt werden.
Abbildung 10.8: Die Einstellungen zum Logging des NFS-Servers
463
Sandini Bib
10 Windows XP in heterogenen Netzen
Sämtliche Einstellungen werden mit APPLY übernommen. Um den Ausgangswert wiederherzustellen, verwenden Sie die Schaltfläche RELOAD. Über das Symbol des roten Kreises mit dem weißen Fragezeichen wird die Hilfe zum entsprechenden Konfigurationseintrag aufgerufen, den Sie mit dem Symbol anklicken. Auf der Registerkarte LOCKING (siehe Abbildung 10.9) wird festgelegt, wie lange ein Client auf die Wiederherstellung der Verbindung zum NFS-Share warten muss, wenn diese unterbrochen worden ist. In der Liste CLIENTS THAT HOLD LOCKS sind die entsprechenden Clients aufgeführt. Zum Schluss müssen noch Einstellungen auf der Registerkarte SERVER SETTINGS (siehe Abbildung 10.10) vorgenommen werden. Hier wählen Sie unter SERVER OPTIONS das Verbindungsprotokoll. Standardmäßig ist NFS Version 3 aktiviert; es ist aber auch möglich, parallel TCP zu aktivieren. NFS V3 arbeitet mit TCP- und UDP-Protokollen.
Abbildung 10.9: Die Locking-Einstellungen am NFS-Server
464
Sandini Bib
Windows Services for Unix (SFU)
Abbildung 10.10: Die Servereinstellungen des NFS-Servers
Bei der Einstellung des Verzeichnis-Cache bedenken Sie die folgenden Punkte: Ist der Cache aktiviert, wird die Performance gesteigert. Je größer der Cache, desto schneller können die Clients im Speicher-Cache suchen, desto weniger Speicher bleibt aber auch für andere Zwecke. Weiterhin können Sie unter AUTHENTICATION OPTIONS den Zeitraum bestimmen, nach dem sich ein Benutzer neu authentifizieren muss, wenn die Verbindung zwischen Client und Server nur im Leerlauf bestand. Diese erneute Authentifizierung kann auch komplett abgeschaltet werden. In dem Abschnitt FILE NAME HANDLING werden die Einstellungen getroffen, wie die Dateinamen zwischen Windows und Unix gehandhabt werden sollen. Dies ist wichtig, weil für NTFS und das Unix-Dateisystem unterschiedliche Zeichen in Dateinamen ungültig sind. So dürfen z.B. Dateinamen unter Windows keinen Doppelpunkt (:) enthalten, unter Unix ist dies gestattet. Sie können hier nun die entsprechenden Übersetzungsregeln konfigurieren. Unix-Dateien, die mit einem Punkt (.) beginnen, können unter Windows als versteckte Datei dargestellt werden. Zusätzlich legen Sie unter CASE SENSITIVITY fest, wie die Großund Kleinschreibung der Windows-Dateien gehandhabt werden soll. Diese Übersetzungsregeln werden in einer Datei gespeichert. Stellen Sie unbedingt sicher, dass lediglich der Administrator und
465
Sandini Bib
10 Windows XP in heterogenen Netzen
das System Vollzugriff auf diese Datei haben, die Benutzer nur lesenden Zugriff. Nachdem der Server konfiguriert worden ist, müssen Client Groups angelegt werden. Über die Client Groups wird bestimmt, welche Zugriffsberechtigungen für welche Computer gelten. Öffnen Sie die Registerkarte CLIENT GROUPS im Container SERVER FOR NFS (siehe Abbildung 10.11). Geben Sie der Gruppe einen Namen und klicken auf NEW. Um dieser Gruppe Computer hinzuzufügen, klicken Sie auf ADVANCED und geben die IP-Adressen der gewünschten Computer an. Es können Gruppen ausgewählt, neu erstellt, umbenannt und gelöscht werden. Im letzten Schritt müssen Sie den Ordner auswählen, auf den die Unix-Clients zugreifen dürfen. Sobald Sie aus dem Kontextmenü des Ordners FREIGABE gewählt haben, sehen Sie, dass durch die Installation der SFU eine neue Registerkarte namens NFSSHARING (siehe Abbildung 10.12) hinzugekommen ist. Auf dieser Registerkarte werden lediglich Einstellungen für die Unix-Clients vorgenommen. Umgekehrt sind die Unix-Clients nicht von den Einstellungen auf der Karte FREIGABE betroffen. Geben Sie wie gewohnt einen Namen für die Freigabe an. Als Codierungstyp wird standardmäßig ANSI vorgeschlagen. Schließlich müssen Sie noch festlegen, ob Sie den anonymen Zugriff auf den Ordner zulassen möchten. Um die Zugriffsberechtigungen detaillierter festzulegen, klicken Sie auf PERMISSIONS.
Abbildung 10.11: Die Konfiguration der Client Groups
466
Sandini Bib
Windows Services for Unix (SFU) Abbildung 10.12: Die zusätzliche Registerkarte NFSSharing nach der Installation der SFU
Standardmäßig verfügen alle Computer nur über die Leseberechtigung für den Ordner. Sie können nun bestimmte Client Groups hinzufügen, für die Sie andere Berechtigungen festlegen. Markieren Sie die Checkbox ALLOW ROOT ACCESS, so besteht die Zugriffsberechtigung nicht nur für den gewählten Ordner, sondern für den gesamten Verzeichnisbaum, in dem sich der Ordner befindet. Dabei werden für andere Freigaben möglicherweise eingeschränkte Berechtigungen ignoriert. Stellen Sie unbedingt sicher, dass die Server for NFS-Authentifizierung auf allen Domänen-Controllern aktiviert ist, die Konten enthalten, denen der Zugriff auf die Freigaben gestattet ist. Ist diese Authentifizierung nicht aktiviert, wird lediglich der anonyme Zugriff zugelassen. Außerdem sollten sich die Freigaben ausschließlich auf NTFS-Laufwerken befinden. Hier können Sie die NTFS-Berechtigungen zusätzlich zu den NFS-Rechten konfigurieren. Um vom Windows-Domänen-Controller aus die Unix-Clients mit ihren Freigaben zu sehen, öffnen Sie in der Netzwerkumgebung das gesamte Netzwerk und darin das NFS-NETWORK. Dort sind die Clients mit ihren Freigaben aufgelistet.
467
Sandini Bib
10 Windows XP in heterogenen Netzen
10.6.2
Client for NFS
Mit dem Client for NFS kann auf Windows-Computern einem Laufwerksbuchstaben ein exportiertes NFS-Share zugemappt werden. Zur Verbindungsherstellung können UNC-Namen benutzt werden. Die Unix-Authentifizierungsinformationen können über User Name Mapping oder einen PCNFS-Server bezogen werden. Windows-Benutzer können ohne weitere zusätzliche Software auf die NFS-Shares zugreifen. Die NFS-Shares sieht der Benutzer als herkömmliche Windows-Netzwerkfreigaben. Sie können unter FILE PERMISSIONS (siehe Abbildung 10.13) für alle neu auf dem NFS-Server erstellten Dateien und Ordner bereits im Voraus über Checkboxen die Berechtigungen im Unix-Format festlegen (write, read, execute für Benutzer, Gruppe und Andere). Unter PERFORMANCE werden weitere Verbindungseinstellungen vorgenommen. Hier können die Anzahl der erneuten Zugriffsversuche sowie das Intervall zwischen den einzelnen Versuchen bestimmt werden. Auch die Größe des Lese- und Schreibpuffers wird hier eingestellt. Weiterhin werden das Transportprotokoll (standardmäßig UDP, auch TCP ist möglich) sowie der MountTyp festgelegt.
Abbildung 10.13: Der Client for NFS
468
Sandini Bib
Windows Services for Unix (SFU)
10.6.3
Telnet-Server
Der Telnet-Server sowie der Client in der SFU-Version 3.5 wurden für die Unterstützung von IPv6 erweitert. Auch weitere Sicherheitsmechanismen wie die Zonenprüfung bezüglich der NTLMCredentials wurden implementiert, sodass keine NTLM-Nutzung außerhalb der vertrauten Zone möglich ist. Es werden zwei verschiedene Telnet-Server angeboten: der als Windows-Dienst laufende Telnet Server sowie telnetd-Server, der als Teil des Interix-Subsystems ausgeführt wird. Der Windows Telnet Server verwendet die CMD.EXE als Shell. Ist die InterixVersion TELNETD aktiviert, wird die Interix-Shell statt der Windows-Shell benutzt. Beide Server verwenden denselben Port. Deshalb muss der Windows-Telnetdienst zunächst deaktiviert werden, bevor telnetd aktiviert wird. Die Aktivierung von telnetd geschieht über die Konfigurationsdatei /etc/inetd.conf. Auf der Registerkarte AUTHENTICATION wird festgelegt, ob als Authentifizierungsmethode der Telnet-Benutzer die NTLM-Authentifizierung und/oder die Authentifizierung im Klartext erfolgen soll. Sind beide Methoden aktiviert, wird zunächst die sicherere NTLMMethode benutzt. Kann diese nicht umgesetzt werden, erfolgt das Senden der Anmeldedaten im Klartext. Ist diese Methode nicht aktiviert und unterstützt der Client keine NTLM-Authentifizierung, kann keine Anmeldung am Telnet Server erfolgen. Die Einstellungen des Telnet Servers werden unter SERVER SET(siehe Abbildung 10.14) vorgenommen. Dort sind folgende Optionen verfügbar: TINGS 왘
Anzahl der gleichzeitigen Verbindungen zum Telnet Server
왘
Maximale Anzahl der fehlgeschlagenen Anmeldeversuche
왘
Telnet Port. Der Standardport 23 kann geändert werden.
왘
Ausführungsmodus. Zur Wahl stehen Konsolen- oder StreamModus.
왘
Name der Domäne
왘
Möglichkeit der automatischen Verbindungstrennung nach einer definierbaren Leerlaufzeit
왘
Interpretationsmöglichkeit der Tastenkombination (Strg)+(A) als (Alt)
왘
Bestimmen, ob nach der Client-Abmeldung sämtliche Programme beendet oder ob die über den Befehl bgjob gestarteten Programme weiterhin ausgeführt werden sollen
469
Sandini Bib
10 Windows XP in heterogenen Netzen
Abbildung 10.14: Die Einstellungen des Telnet Servers unter SFU
Unter SESSIONS finden Sie einen Überblick über die aktuellen Telnet-Sitzungen. Im Feld MESSAGE können Sie eine Nachricht eintragen, die an ausgewählte oder sämtliche verbundenen Telnet-Clients gesendet werden soll.
10.6.4
Server for PCNFS
Windows-Clients, auf denen der SERVER FOR NFS oder CLIENT FOR NFS ausgeführt wird, können auf das NFS-Dateisystem zugreifen, wobei die notwendigen Authentifizierungsinformationen für Unix bereitgestellt werden. Werden ein Benutzername und ein Passwort an einen PCNFS-Server gesendet, werden diese mit der Passwort-Datei verglichen. Stimmen die Werte überein, gibt der SERVER FOR PCNFS die UID und GID des Benutzers aus, die zur Verbindung mit dem NFS-Server benötigt werden. Auf den Registerkarten USERS und GROUPS (siehe Abbildung 10.15) können Sie neue Benutzer und Gruppen anlegen und diesen die Unix-Informationen UID, GID, Login-Name und Passwort mitgeben. Bestehende Benutzer und Gruppen können auch bearbeitet werden.
470
Sandini Bib
Windows Services for Unix (SFU)
Abbildung 10.15: Der Server for PCNFS
10.6.5
User Name Mapping
Das User Name Mapping ist das zentrale Werkzeug zur Verbindungsherstellung zwischen den Benutzerkonten unter Windows und den Unix-Konten der Benutzer und Gruppen. Somit können Windows- und Unix-Benutzer wechselseitig auf ihre Dateien auf dem anderen Betriebssystem zugreifen. Auf der Registerkarte CONFIGURATION (siehe Abbildung 10.16) bestimmen Sie, ob auf die Unix-Konten von PCNFS- oder NISServern aus zugegriffen werden soll. Auch das Synchronisationsintervall kann bestimmt werden. Über MAPS wird die Art der Verbindungen festgelegt. Verwenden die Windows- und Unix-Benutzer denselben Namen, markieren Sie die Checkbox SIMPLE MAPS. Zur Konfiguration der ADVANCED MAPS werden die gewünschten Einträge aus den bestehenden User- und Group-Maps gewählt. Um die bestehenden WindowsBenutzer- oder Gruppen-Maps zu betrachten, klicken Sie auf den jeweiligen Link. Es können nun die Einstellungen für die Windows- und die Unix-Seite vorgenommen werden (siehe Abbildung 10.17).
471
Sandini Bib
10 Windows XP in heterogenen Netzen
Abbildung 10.16: Die Konfiguration des User Name Mapping
Abbildung 10.17: Die Konfiguration über Advanced Maps
472
Sandini Bib
Windows Services for Unix (SFU)
Weiterhin können Sie unter MAP MAINTENANCE Pfade festlegen, an denen ein Backup der User Name Mapping-Daten angelegt werden soll bzw. von wo aus Daten wiederhergestellt werden sollen. Nach der Angabe eines Pfades kann das Backup oder die Wiederherstellung über die entsprechende Schaltfläche erfolgen. Dies bietet Sicherheit, wenn die Daten überschrieben wurden oder aus einem anderen Grund nicht mehr darauf zugegriffen werden kann.
10.6.6
Password Synchronization
Über die Komponente Password Synchronization (siehe Abbildung 10.18) oder zu gut deutsch Kennwortsynchronisation wird sichergestellt, dass entweder bei der Passwortänderung eines Benutzers unter Windows dieses auch unter Unix geändert wird (SYNCHRONIZE PASSWORD CHANGES FROM COMPUTERS THAT RUN WINDOWS TO COMPUTERS THAT RUN UNIX) oder nur umgekehrt (SYNCHRONIZE PASSWORD CHANGES FROM COMPUTERS THAT RUN UNIX TO COMPUTERS THAT RUN WINDOWS) oder in beiden Fällen. Damit muss nur ein Benutzerpasswort für beide Systeme gepflegt werden, was den Verwaltungsaufwand und den Komfort für die Benutzer verbessert.
Abbildung 10.18: Die Konfiguration der Password Synchronization
473
Sandini Bib
10 Windows XP in heterogenen Netzen
Weiterhin wird auf der Registerkarte DEFAULT festgelegt, welcher Schlüssel für die Verschlüsselung der Passwörter benutzt werden soll. Es kann über NEW KEY jederzeit ein neuer Schlüssel erstellt werden. Auch der Port (standardmäßig 6677) sowie erweiterte Protokollierung werden hier eingestellt. Zusätzlich ist die Anzahl der erneuten Versuche sowie das Intervall zwischen den einzelnen Versuchen für die Synchronisation der Passwörter festlegbar. Auf der Registerkarte ADVANCED können Sie zusätzliche UNIXComputer angeben, zwischen denen eine Kennwortsynchronisation vom aktuellen Computer aus stattfinden soll. Sollen die standardmäßigen Einstellungen eines Unix-Computers überschrieben werden, markieren Sie diesen in der Liste der Computer und klicken auf CONFIGURE.
10.6.7
Server for NIS
Mit dieser Komponente wird die Administration eines UnixNetzwerks über einen Windows-Domänen-Controller ermöglicht. Auf der Unix-Seite wird das Unix Network Information System (NIS) benutzt, auf Windows-Seite das Active Directory. Der Server for NIS ist für die Übersetzung der beiden Umgebungen zuständig. Über einen Wizard können NIS-Domänen-Maps als Active Directory-Einträge exportiert werden. Somit wird der DomänenController, der die SFU ausführt, zum Master-Server für die NISDomäne. Die aktuelle Version unterstützt md5-Verschlüsselung sowie bis zu 64.000 Benutzer. Über das Snap-In SERVER FOR NIS (siehe Abbildung 10.19) wird allgemein das Intervall festgelegt, in dem der Server in den NIS-Domänen, für die er als Master zuständig ist, nach Aktualisierungen der Maps suchen soll, um diese Daten an die untergeordneten (Slave) Master weiterzugeben. Die Komponente Server for NIS ist nur auf einem WindowsDomänen-Controller verfügbar. In der lokalen Konsole des Windows XP-Computers ist dieser Eintrag nicht vorhanden. Für jede einzelne NIS-Domäne können Sie über die Registerkarte SERVERS zusätzliche NIS-Slave-Server hinzufügen. Es darf aber nur einen Master geben. Auf der Registerkarte MAPS können Sie aus einer Reihe von Maps (z.B. hosts, passwd, netid usw.) wählen, welche davon vom Master an die Slave-Server weitergegeben werden sollen. Slave-Server können lediglich diese vom Master weitergereichten Maps erhalten.
474
Sandini Bib
Das Freeware-Tool AD4Unix
Abbildung 10.19: Konfiguration des Servers for NIS
10.7
Das Freeware-Tool AD4Unix
Das Freeware-Tool AD4Unix bietet wie die SFU Erweiterungsmöglichkeiten für die Interoperabilität zwischen Linux-/UnixClients und dem Active Directory. Der Schwerpunkt liegt hier auf einer gemeinsamen Benutzerkontendatenbank für Windows- und Unix-Benutzer im Active Directory, damit eine gegenseitige Authentifizierung erfolgen kann. Die .msi-Datei wird als Erweiterungs-Plug-In auf den Domänen-Controllern des Active Directory installiert. Es nimmt ebenso wie die SFU Änderungen am Schema vor. Dabei entsprechen die Modifikationen eher denen der SFU in der Version 2.0 als denen der aktuellen Version 3.5. Weiterhin werden auch die Benutzer- und Gruppeneigenschaften um eine Registerkarte für die Unix-Einstellungen erweitert. Die Installation dieses Programms erfolgt auf einem Domänen-Controller unter Windows Server 2003 oder Windows Server 2000 ab Service Pack 2. Das Programm kann kostenlos unter der Adresse http://www.padl.com /download/MKSADPlugins.msi heruntergeladen werden.
475
Sandini Bib
10 Windows XP in heterogenen Netzen
Während der Installation kommt es des Öfteren zu Fehlermeldungen bezüglich der DisplaySpecifier und der verwendeten Sprachversion des Betriebssystems, die aber die Funktionsweise nicht beeinflussen. Da bei der Installation Änderungen am Active Directory-Schema vorgenommen werden, muss zuvor auf dem Schema-Master das Zulassen von Änderungen aktiviert werden. Während der Installation müssen Sie einen NIS-Namen angeben. Dies kann der Name der Windows-Domäne sein. Wird die Benutzerpflege nicht auf dem Domänen-Controller, sondern von einer Workstation aus vorgenommen, so müssen Sie AD4Unix auch auf diesem Computer installieren. Nach der Installation können Sie über die MMC ACTIVE DIRECTORY-BENUTZER UND -COMPUTER die erweiterten Unix-Eigenschaften der Benutzer festlegen. Bei der Installation wurde die Registerkarte UNIX-SETTINGS hinzugefügt. Hier legen Sie die Werte für die NIS-Domäne, die UID und GID fest. Die Einträge im Feld DESCRIPTION ersetzen die Sektion COMMENT der Datei /etc/ passwd. Unter HOME-FOLDER geben Sie den Pfad zum Home-Verzeichnis des Benutzers an. Die Spezifizierung der Shell hängt davon ab, ob dem Benutzer die interaktive Anmeldung gestattet werden soll oder nicht. Sind interaktive Anmeldungen erforderlich, so geben Sie z.B. /bin/bash an. Sind interaktive Anmeldungen untersagt, behalten Sie /bin/false bei. Diese Einstellungen repräsentieren den Inhalt der Datei /etc/passwd. Auch in den Eigenschaften der Benutzergruppen ist eine zusätzliche Registerkarte namens UNIX-SETTINGS hinzugekommen (siehe Abbildung 10.19). Hier werden der Unix-Gruppenname sowie die GID festgelegt. Das Hinzufügen von Benutzern zu Unix-Gruppen geschieht genauso wie das Hinzufügen von Benutzern zu einer Windows-Benutzergruppe. Nachdem Sie entweder die SFU oder AD4Unix installiert, konfiguriert und Benutzer angelegt haben, ist die Einrichtung auf der Windows-Seite abgeschlossen. Danach steht auf Seiten der UnixComputer die Konfiguration der Authentifizierung an. Dazu können verschiedene Authentifizierungsmethoden wie pam_ldap oder nss_ldap oder der OpenLDAP-Client verwendet werden.
476
Sandini Bib
Zugriff über Samba Abbildung 10.20: Die erweiterten Benutzereigenschaften nach der Installation von AD4Unix
10.8
Zugriff über Samba
Bei Samba handelt es sich um einen Datei- und Druckserver, dem das SMB (Server Message Block)-Protokoll und das LAN-ManagerProtokoll zugrunde liegen. Samba wurde bereits 1985 entwickelt und hatte die Aufgabe, verschiedene Computer ohne den Einsatz eines Servers untereinander zu verbinden. Heute wird Samba vielfach eingesetzt. Es ermöglicht den Dateizugriff für WindowsClients auf einem Linux/Unix-Client. Die aktuelle Samba-Version ist 3.5. Es können jedoch auch ältere Samba-Versionen eingesetzt werden. Download-Möglichkeiten verschiedener Samba-Versionen finden Sie an zahlreichen Stellen im Internet. Um Samba verwenden zu können, ist zunächst die Konfiguration des Samba Servers und danach die des Windows XP-Client notwendig.
477
Sandini Bib
10 Windows XP in heterogenen Netzen
10.8.1
Konfiguration des Samba Servers
Die Konfiguration des Samba Servers geschieht über dessen Konfigurationsdatei smb.conf. Diese befindet sich im Verzeichnis /ETC/SAMBA. Nach den Änderungen an dieser Konfigurationsdatei muss der Samba Server beendet und wieder neu gestartet werden. Benutzen Sie dazu die beiden folgenden Befehle: ./smbd stop (¢) ./smbd start (¢)
Nach jeder Änderung an der Samba-Konfigurationsdatei sollten Sie den Befehl testparm ausführen. Damit können Sie prüfen, ob keinerlei Fehler, z.B. durch falsche Schreibweise eines Eintrags, enthalten sind. Für ein weiter reichendes Verständnis der verschiedenen Abschnitte der smb.conf sei auf die Hilfe der Manpage smb.conf verwiesen. Führen Sie dann an der smb.conf die folgenden Änderungen durch: Sektion Global [global] logon drive = p: // Setzen des Laufwerksbuchstaben encrypt passwords = yes /* Sollen nur bestimmte Computer Zugriff erhalten, führen Sie im folgenden Eintrag die gewünschten Hosts auf. In jedem Fall muss der Eintrag localhost dort vorhanden sein. */ hosts allow = IP-address, 127.0.0.1/255.255.255.0 logon home = \\netbiosname\%U // Die Home-Verzeichnisse werden bei der Anmeldung des Benutzers gemountet. passwd program = /usr/bin/passwd %u wins support = yes //Aktivieren der WindowsUnterstützung dns proxy = no netbios name = Name //Eintragen des NetBIOS-Namens netbios aliases = Aliasname //Setzen des Alias, dieser Eintrag ist optional.
478
Sandini Bib
Zugriff über Samba unix password sync = No //Synchronisieren der Passwörter. (Samba bezieht seine Konfigurationseinstellungen aus der Datei smb.conf. Diese Datei wird während der Installation im Verzeichnis /etc/samba erstellt. Unter FreeBSD hingegen werden alle Dateien der Systemkonfiguration im Verzeichnis /usr/ local/etc abgelegt. In diesem Fall gibt es zwei Konfigurationsdateien auf dem System. Deshalb wird ein Link von der Datei /etc/samba/smb.conf zur aktuellen Datei /usr/local/etc/smb.conf gesetzt. Damit wird sichergestellt, dass der Samba Server die richtige Version der Konfigurationsdatei verwendet. Um PasswortProbleme zu lösen, wurde die smb.conf modifiziert, die Synchronisierung zwischen Samba und Unix/LinuxPasswörtern zu entfernen.) logon path = \\Aliasname\profiles\%U // Teilt dem Samba Server mit, an welcher Stelle die Home-Verzeichnisse erstellt werden sollen. workgroup = workgroup.firma.local // Sämtliche Clients sollten sich in derselben Gruppe befinden. os level = 64 // Setzen des OS-Level // Die folgenden Einträge sind wichtig, um den Samba Server als Domänen-Controller für die Windows-Clients zu repräsentieren. domain logons = yes pam password change = yes preferred master = yes domain master = yes local master = yes
Sektion Homes [homes] comment = Home-Verzeichnisse browseable = no writable = yes valid users = %S read only = no create mode = 0600 directory mode = 0700 logon home = \\Aliasname\%U // Gibt das Home-Verzeichnis des Benutzers an. hide files = /*.pst/
479
Sandini Bib
10 Windows XP in heterogenen Netzen
Sektion Profiles In dieser Sektion wird über die Variable Path bestimmt, an welcher Stelle sich die Profile befinden, und es wird gewährleistet, dass die Verzeichnisse unter dem richtigen Namen erstellt werden. [profiles] create mode = 0600 directory mode = 0700 path = /home/samba/profiles/ profile acls = yes read only = no writable = yes
10.8.2
Konfiguration der Windows XP-Clients
Nachdem die Konfiguration des Samba-Servers abgeschlossen wurde, müssen die Windows XP-Clients für den Samba-Zugriff vorbereitet werden. Zur Samba-Domäne können lediglich Windows XP ProfessionalClients hinzugefügt werden, nicht jedoch Clients mit Windows XP Home. Führen Sie nacheinander die folgenden Schritte aus: 1. Stellen Sie sicher, dass die XP-Clients zu derselben Arbeitsgruppe gehören wie der Sambaserver. Sie sollten auch über eine fixe IP-Adresse verfügen. 2. Öffnen Sie die Registry und navigieren Sie zum Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\netlogon\parameters. Tragen Sie dort unter RequireSignOrSeal den Wert 00000000 vom Typ DWORD ein. 3. Navigieren Sie dann zum Registry-Schlüssel HKEY_LOCAL_ MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\ CompatibleRUPSecurity. Setzen Sie den Wert vom Typ DWORD auf 1. 4. Öffnen Sie den Gruppenrichtlinien-Editor und navigieren Sie zum Eintrag COMPUTERKONFIGURATION\ADMINISTRATIVE VORLAGEN\SYSTEM\BENUTZERPROFILE. Aktivieren Sie dort die Richtlinie BESITZRECHTE VON ORDNERN SERVERGESPEICHERTER PROFILE NICHT PRÜFEN.
480
Sandini Bib
Heterogener Terminal-Zugriff
5. Öffnen Sie das Kontextmenü EIGENSCHAFTEN des Arbeitsplatzes. Auf der Registerkarte COMPUTERNAME klicken Sie auf ÄNDERN und tragen unter DOMÄNE den Namen der SambaDomäne ein. Treten Sie das erste Mal der Samba-Domäne bei, geben Sie als Benutzernamen ROOT sowie das Samba-Passwort an. Stellen Sie sicher, dass sich in der Datei smbpasswd ein Passwort-Eintrag für den Benutzer ROOT befindet. 6. Danach muss der Windows XP-Client neu gestartet werden.
10.9
Heterogener Terminal-Zugriff
Mit Linux/Unix-Clients ist auch über einen Terminal-Client der Zugriff auf einen Windows-basierten Terminalserver möglich. Ein guter Terminal-Client ist rdesktop. Dabei handelt es sich um ein Open-Source-Projekt. Rdesktop verwendet nativ das Remote Desktop Protocol (RDP) und ermöglicht den Zugriff auf Terminalserver unter Windows Server NT 4.0, 2000 sowie 2003. Rdesktop kann auf zahlreichen Linux/Unix-Plattformen betrieben werden, die unter X-Windows ausgeführt werden können. Die aktuelle Version von rdesktop ist 1.4.0. Das Programm kann unter der Adresse http://www.rdesktop.org/ heruntergeladen werden. Dort sind auch ältere stabile Versionen verfügbar. Eine ausführliche Dokumentation ist dem Programm beigefügt.
10.10 Windows-Programme unter Linux nutzen Prinzipiell können unter Linux keine Windows-basierten Programme ausgeführt werden. In der Regel gibt es für Linux eigene Programme, die die Funktionalitäten (teils schlechter, teils besser) eines Windows-Programms beherrschen. Dennoch kann es in einigen Fällen wünschenswert sein, vorhandene WindowsProgramme unter Linux auszuführen, wenn beispielsweise einige Clients aus Lizenzkostengründen nicht unter Windows XP, sondern unter Linux betrieben werden, für die Windows-Applikationen jedoch die Lizenzen vorhanden sind und auch genutzt werden sollen. Zudem ist so sicher auch eine bessere Effektivität im Umgang und in der Ausnutzung der Applikation gegeben, da der Benutzer das Programm bereits aus der Windows-Welt kennt. Ein weiterer Einsatzzwang besteht auch, wenn für einen bestimmten Zweck keine Linux-Applikation zur Verfügung steht und nur eine Windows-Applikation genutzt werden kann.
481
Sandini Bib
10 Windows XP in heterogenen Netzen
Insgesamt gibt es vier verschiedene Möglichkeiten, WindowsApplikationen unter Linux zu nutzen: Wine, CrossOver Office, VMWare sowie eine Terminal-Lösung. Für einfache Dateizugriffe von Windows XP aus auf eine Linux-Partition leistet das Programm Explore2fs gute Dienste. Die Möglichkeiten sowie die Vor- und Nachteile dieser Lösungen werden in den folgenden Kapiteln vorgestellt.
10.10.1 Wine Der Name Wine ist eine Abkürzung für „Wine is not an Emulator“. Wine ist ein unter Linux lauffähiges Programmpaket, das wichtige Grundfunktionen der Betriebssysteme Windows 9x, 2000 und XP bereitstellt. Es handelt sich jedoch um keinen wirklichen Emulator. Wine fängt lediglich die API-Aufrufe der Windows-Programme ab. Dann versucht Wine, diesen Aufruf in einen passenden LinuxAufruf umzusetzen. Je nach Programm kann das Resultat alles zwischen einer problemlosen Ausführung bis hin zu einer kompletten Installations-Verweigerung des Programms ergeben. So wird jedoch – zumindest bei einigen Programmen – die Ausführung von Windows-basierten Programmen unter Linux möglich. Da jedoch über Wine nur Grundfunktionen des Windows-Betriebssystems bereitgestellt werden, sind eben nicht alle WindowsApplikationen unter Wine lauffähig. Weiterhin bietet Wine nicht die unter Windows gewohnten komfortablen Aufrufmöglichkeiten eines Programms wie z.B. über das Startmenü oder eine Desktop-Verknüpfung. Um diese Möglichkeiten zu offerieren, ist auf der Linux-Seite in jedem Fall ein nicht zu unterschätzender Konfigurationsaufwand notwendig. Deshalb ist es sinnvoll, sich zunächst zu informieren, ob das betreffende Programm überhaupt unter Wine ausgeführt werden kann. Dazu gibt es im Internet verschiedene Kompatibilitätslisten. Nutzen Sie hierzu die Links http://www.winehq.com/ oder http:// www.frankscorner.org/. Außer der Kompatibilitätsliste finden sich dort auch Tipps und Hinweise darauf, wie einige Programme für den Einsatz unter Wine konfiguriert werden müssen. Die richtige Wine-Version benutzen Wie andere Programme wird auch Wine von Version zu Version stabiler und umfangreicher in der Unterstützung der WindowsProgramme. Deshalb sollten Sie unbedingt darauf achten, dass Sie über eine aktuelle Wine-Version verfügen. Der Download ist kostenlos unter http://www.winehq.com/ möglich.
482
Sandini Bib
Windows-Programme unter Linux nutzen
Selbst wenn Sie eine aktuelle Linux-Version einsetzen, ist nicht sichergestellt, dass in dieser auch eine aktuelle Wine-Version enthalten ist. Beispielsweise ist die Wine-Version der aktuellen SuSE-Distribution bereits über ein Jahr alt. Deshalb muss die alte Version zunächst entfernt werden. Im Beispiel für SuSE sind dafür die folgenden Schritte erforderlich: 1. Starten Sie das Konfigurationsprogramm /YAST über SYSTEM aus dem K-MENÜ. Die Anmeldung daran muss als ROOT erfolgen. 2. Markieren Sie SOFTWARE und klicken Sie dann auf SOFTWARE INSTALLIEREN ODER LÖSCHEN. 3. Wählen Sie unter FILTER den Eintrag SUCHE aus. Geben Sie dort wine (¢) ein. 4. Wählen Sie aus dem Kontextmenü des Paketes WINE den Eintrag LÖSCHEN. Klicken Sie danach auf ÜBERNEHMEN. Damit wird das Programmpaket entfernt. Danach muss die neue Wine-Version heruntergeladen und installiert werden. Dazu sind die folgenden Schritte notwendig: 1. Verwenden Sie unter SuSE den Konqueror, wechseln Sie in den Download-Ordner und klicken Sie das Paket WINE an. 2. Darauf öffnet sich der KDE-Dateimanager. Dieser zeigt eine Beschreibung des Programms sowie sämtliche Dateien an, die sich in dem RPM-Installationspaket befinden. 3. Klicken Sie auf INSTALL PACKAGE WITH YAST, um Wine zu installieren. 4. Geben Sie im folgenden Fenster das root-Passwort des Administrators an. 5. Danach wird YaST gestartet. Es werden dabei die Abhängigkeiten geprüft, ob für Wine noch zusätzliche Software installiert werden muss. Die Installation wird durchgeführt. 6. Es startet automatisch das Tool der Systemverwaltung, um die Konfigurationsdateien zu aktualisieren, und es wird automatisch wieder beendet. Damit ist die Installation abgeschlossen. Unter anderen Linux-Distributionen ist die Installation ebenfalls unkompliziert vorzunehmen. Konfiguration von Wine Wine wird über die Kommandozeile gestartet und erscheint deshalb auch nicht im Startmenü. Bevor ein Programm unter Wine installiert werden kann, muss Wine zunächst konfiguriert werden.
483
Sandini Bib
10 Windows XP in heterogenen Netzen
Wurde bereits eine frühere Version von Wine auf dem System benutzt, muss zuerst der alte Konfigurationsordner .WINE im Home-Verzeichnis umbenannt werden. Dabei handelt es sich um eine versteckte Datei. Damit diese im Konqueror angezeigt werden kann, wählen Sie das Menü ANSICHT/VERSTECKTE DATEIEN ANZEIGEN. Danach kann der Ordner .WINE über den Kontextmenüeintrag UMBENENNEN umbenannt werden. Bei der Wine-Installation wird auch das Programm winecfg installiert. Mit diesem Konfigurationsprogramm wird die Verzeichnisstruktur für Wine angelegt. Um das Programm zu starten, geben Sie an der KDE-Konsole den Befehl winecfg (¢) ein. Sie erhalten zunächst einige Hinweise zum Programm. Beim Programmstart wird ein neuer Ordner namens .WINE im HomeVerzeichnis angelegt. In diesem Ordner werden die beiden Unterverzeichnisse DRIVE_C und DOSDEVICES angelegt. Im Ordner DRIVE_C befindet sich eine virtuelle Windows C-Partition mit den Unterordnern wie PROGRAMME, WINDOWS, MY DOCUMENTS usw. Unter SuSE wird von wincfg zusätzlich eine Beispielkonfiguration geschrieben. Sie finden diese Datei unter /HOME/NAME DES BENUTZERS/.WINE/CONFIG. Im Unterordner DOSDEVICES befinden sich Verknüpfungen zu den Laufwerken, die von Wine als Windows-Laufwerke erkannt werden. Installation einer Windows-Applikation Zur Installation wird die Windows-Installationsdatei über Wine aufgerufen. Verwenden Sie dazu an der KDE-Konsole den Befehl Wine /Programmpfad/setup.exe (¢)
Dabei kann der Programmpfad in zweierlei Weisen angegeben werden. Entweder benutzen Sie die Linux-übliche Schreibweise wie z.B. Wine /home/benutzername/programme/setup.exe (¢)
oder Sie verwenden die Laufwerksangabe, wie Sie es unter Windows gewohnt sind. Vom Linux-Root-Verzeichnis wird Wine als Laufwerk Z: angesehen. In dieser Form muss als Ordnernamenbegrenzer der Backslash (\), wie unter Windows üblich, verwendet werden. Der Befehl lautet dann: Wine ’Z:\home\benutzername\programme\setup.exe’ (¢)
484
Sandini Bib
Windows-Programme unter Linux nutzen
Die Pfadangabe sollte immer von zwei Apostrophen eingeschlossen sein, um Probleme mit möglicherweise vorhandenen Leerzeichen in den Ordner- und Dateinamen vorzubeugen. Benutzen Sie die Linux-Schreibweise, können Sie die Funktion Autovervollständigen der Shell nutzen. Bei der Windows-Schreibweise ist dies nicht möglich. Die Autovervollständigung erfolgt über die Taste (ÿ) . Sofern Wine die Installationsdatei verarbeiten kann, wird wie unter Windows der Installationsassistent aufgerufen. Dabei werden die Dateien in das Verzeichnis /HOME/BENUTZERNAME/ .WINE/DRIVE_C kopiert. Ändern Sie während der Installation die Pfadvorgaben der Applikation nicht, so werden diese in den Unterordner PROGRAMME/APPLIKATIONSNAME kopiert. Nachdem die Applikation erfolgreich installiert wurde, wird diese ebenfalls über die Kommandozeile gestartet. Der Programmaufruf kann beispielsweise lauten: Wine /home/benutzername/.wine/drive_c/programme/applikationsname/programm.exe (¢)
Für diesen Aufruf muss der Dateiname der ausführbaren Datei bekannt sein. Ist dieser nicht präsent, kann er über den Konqueror ermittelt werden. Suchen Sie dort nach Dateien des Typs .exe im Verzeichnis PROGRAMME. Alternativ können die Programme auch über das K-Menü gestartet werden. Sofern die Applikation unter Windows einen Eintrag im Startmenü erstellt, erkennt Wine dies und erstellt eine Verknüpfung im Ordner WINE des K-Menüs. Bei einigen Applikationen ist nach deren Installation sogar eine Verknüpfung auf dem Desktop vorhanden, so z.B. bei der Installation von WinZip. Sofern bei den beiden Startmöglichkeiten jedoch Probleme auftreten, sollten Sie den Start in jedem Fall über die KDE-Konsole ausführen. Um ein hängendes Programm zu beenden, geben Sie in der KDEKonsole die Tastenkombination (Strg)+(C) ein. Damit wird Wine beendet. In einigen Fällen erhalten Sie dabei eine Fehlermeldung, die die Ursache des Fehlers beschreibt. Probleme mit Programmen unter Wine Selbst die erfolgreiche Installation einer Windows-Applikation gewährleistet noch nicht, dass das Programm fehlerfrei und vor allen Dingen vollständig wie unter einem nativen WindowsSystem ausgeführt werden kann. Bei einigen Applikationen kann es vorkommen, dass ältere Versionen besser funktionieren als
485
Sandini Bib
10 Windows XP in heterogenen Netzen
neuere. Ein Beispiel hierfür ist CorelDraw. Während die aktuelle Version 12 nicht installiert werden kann, funktioniert die Version 8 relativ problemlos. Weitere für ein Unternehmen interessante Produkte wie die Microsoft Word- und Excel-Viewer können unter Wine problemlos ausgeführt werden. Dies gilt auch für WinZip oder den Dateimanager Total Commander. Die größten Probleme entstehen bei Programmen, die den Internet Explorer voraussetzen. Es gibt zwar eine Anleitung zur Installation des Internet Explorer 6 SP1 unter Wine unter dem Link http:// www.frankscorner.org/index.php?p=ie6, allerdings kann es passieren, dass bereits unter Wine installierte Programme nach der Installation des Internet Explorer nicht mehr oder nur noch unvollständig funktionieren. Anpassen der Wine-Konfigurationsdatei Ein häufiges Problem besteht darin, dass eine Applikation eine oder mehrere Dateien nicht finden und deswegen nicht starten kann. Zuweilen hilft der Trick, an der Konsole in das Installationsverzeichnis der Applikation zu wechseln, also z.B. Cd /home/benutzername/.wine/drive_c/programme/applikationsname (¢)
Führt dies nicht zum Erfolg, hat das Windows-Programm (vor allem ältere Programme) ein Problem, weil unter Linux im Gegensatz zu Windows ein Windows-Manager die Fenster auf dem Desktop verwaltet. Über die Wine-Konfigurationsdatei kann versucht werden, der Applikation den gewohnten Windows-Desktop vorzuspielen. Dazu sind die folgenden Schritte erforderlich: 1. Legen Sie zunächst an einer beliebigen Stelle im Verzeichnis / HOME/BENUTZERNAME/.WINE eine Sicherungskopie der Datei config an. 2. Öffnen Sie über die Tastenkombination (Alt)+(F2) ein Schnellstartfenster und geben Sie den Befehl kwrite /home/benutzername/.wine/config (¢) ein. Damit wird die Konfigurationsdatei in einem Texteditor geöffnet. 3. Öffnen Sie das Menü BEARBEITEN/SUCHEN und geben Sie im Suchfenster den Begriff Managed ein. 4. Das Programm wechselt zur Zeile mit dem Inhalt „Managed“ = „Y“. Ändern Sie dort den Wert Y in N ab.
486
Sandini Bib
Windows-Programme unter Linux nutzen
5. Zwei Zeilen tiefer finden Sie den Eintrag ;„Desktop“ = „640x480“. Das Semikolon dient als Kommentarzeichen und wird entfernt. Ändern Sie zusätzlich den Wert auf 800x600. 6. Zum Schluss müssen Sie die geänderte Datei speichern und beenden. Durch diese Änderung wird der Desktop, den Wine erzeugt, in einer Auflösung von 800x600 Bildpunkten angezeigt. Diese Modifikation ist bei vielen Problemen schon ausreichend. Schwieriger wird es, wenn ein Programm nicht funktioniert, weil es mit den .dll-Dateien unter Wine Probleme hat. In diesem Fall kann Abhilfe geschaffen werden, indem eine oder mehrere Windows-DLLs in das Wine-Verzeichnis kopiert werden. Allerdings müssen Sie dazu zunächst wissen, welche DLLs das Programm verwendet. Um dies herauzufinden, führen Sie die folgenden Schritte aus: 1. Installieren Sie das Programm unter Windows, sofern es dort noch nicht installiert ist. 2. Legen Sie die Windows XP-CD ins Laufwerk und wechseln Sie in den Ordner \SUPPORT\TOOLS. Installieren Sie die SupportTools über die setup.exe, sofern diese noch nicht installiert sind. 3. Öffnen Sie den Eintrag STARTMENÜ/PROGRAMME/WINDOWS SUPPORT TOOLS/COMMAND PROMPT. Geben Sie an dieser Eingabeaufforderung den Befehl depends.exe (¢) ein. 4. Öffnen Sie das Menü FILE/OPEN und markieren Sie die gewünschte Programmdatei. Drücken Sie dann die Taste (¢). 5. Depends.exe listet sämtliche .dll-Dateien auf, auf welche die Applikation zugreift. Sofern Wine eine Fehlermeldung ausgegeben hat, was nicht immer der Fall ist, finden Sie hier die Datei, die in das Wine-Verzeichnis kopiert werden muss. Haben Sie keine weiteren Anhaltspunkte, um welche Datei es sich handeln könnte, sollten Sie mehrere Dateien nacheinander kopieren, bis das Problem behoben ist. Schlägt auch diese Maßnahme fehl, müssen Sie sich mit dem Gedanken anfreunden, dass die Applikation nicht unter Linux ausgeführt werden kann.
10.10.2 CrossOver Office CrossOver Office ist eine Weiterentwicklung von Wine und wird auch abgekürzt als CXOffice bezeichnet. Es handelt sich hierbei um ein kommerzielles Produkt. Im Gegensatz zu Wine ist hier der Bedienkomfort höher, dafür werden aber auch nur bestimmte gän-
487
Sandini Bib
10 Windows XP in heterogenen Netzen
gige Windows-Applikationen unterstützt. CXOffice ist nur in wenigen Linux-Distributionen enthalten. Für die Installation müssen Sie über das root-Kennwort verfügen. Eine aktuelle Übersicht über die unterstützten Applikationen finden Sie auf der Herstellerseite unter http://www.codeweavers.com/. Darunter sind u.a. folgende Programme: 왘
Microsoft Office XP (Word, Excel, PowerPoint)
왘
Microsoft Office 2000 (Word, Excel, PowerPoint, Access)
왘
Microsoft Office 97 (Word, Excel, PowerPoint)
왘
Microsoft Visio 2000
왘
Microsoft Internet Explorer 5.0, 5.5 und 6.0
왘
Browser Plug-Ins wie Quicktime oder Media Player
왘
Adobe Photoshop 7
왘
Lotus Notes 5.0 und 6.5.1
Bedenken Sie, dass die unterstützten Applikationen nicht zum Lieferumfang des CXOffice gehören und Sie für deren Installation das Medium sowie die entsprechende Lizenz benötigen. Nach der Installation von CXOffice muss lediglich über OFFICEKONFIGURATION das vorgegebene Verzeichnis für die Installation von Browser-Plug-Ins bestätigt werden. Damit CXOffice automatisch Updates der installierten Applikationen herunterladen kann, müssen Sie möglicherweise noch die Adresse des Proxy-Servers angeben, sofern dieser eingesetzt wird. Sinnvoll ist auch die Anzeige der unter Windows gewohnten Dateierweiterungen. Möchten Sie, dass eine Datei als dokument.doc statt nur als dokument angezeigt wird, wechseln Sie in der Grundkonfiguration auf die Registerkarte SETTINGS und deaktivieren dort die Option DATEIENDUNGEN VERSTECKEN. Weiterhin können noch die kostenlos verfügbaren Microsoft TrueType-Schriftarten installiert werden. Wechseln Sie dazu auf die Registerkarte FONTS und fügen Sie die gewünschten Schriftarten über ADD A FONT hinzu. Bereits installierte Schriftarten sind mit einem * gekennzeichnet. Installation einer Applikation 1. Um eine Applikation unter CXOffice zu installieren, legen Sie das Installationsmedium ein. Starten Sie dann CROSSOVER/OFFICEKONFIGURATION und klicken Sie auf der Registerkarte HINZUFÜGEN/ENTFERNEN auf INSTALL.
488
Sandini Bib
Windows-Programme unter Linux nutzen
2. Es erscheint die Liste der unterstützten Applikationen. Markieren Sie hier die Applikation und klicken Sie auf WEITER. Befindet sich die Applikation nicht in der Liste, klicken Sie auf ALLE UNTERSTÜTZTEN ANWENDUNGEN ANZEIGEN. Damit werden weitere Applikationen angezeigt, die zwar installiert werden können, in der Anwendung zuweilen aber noch Probleme bereiten. Ist die Applikation auch in dieser Liste nicht enthalten, klicken Sie auf NICHT UNTERSTÜTZTE SOFTWARE. Es kann zwar nicht garantiert werden, dass die Installation oder Programmausführung erfolgreich verläuft, aber auf einen Versuch sollten Sie es ankommen lassen. 3. Als Nächstes geben Sie das Quellverzeichnis der Installationsdateien an. Über PFAD WECHSELN kann ein anderer Pfad als das CD-Laufwerk bestimmt werden. 4. Danach erscheint derselbe Installationsassistent wie unter Windows. Belassen Sie den Installationspfad bei Laufwerk C. In diesem Fall werden die Programmdateien im Home-Verzeichnis unter /CXOFFICE abgelegt. 5. Sofern nach der Installation ein Neustart erforderlich ist, muss dieser auch bei der Installation unter CXOffice durchgeführt werden. Dabei wird lediglich die in CXOffice simulierte Windows-Umgebung neu gestartet, selbstverständlich nicht der Linux-Rechner. 6. Sobald die Installation vollständig durchgeführt wurde, werden automatisch Konfigurationseinstellungen wie das Erstellen neuer Menüs und das Verknüpfen von Dokumenttypen mit der Applikation vorgenommen. 7. Stehen für die Applikation Service Packs oder weitere Patches bereit, so sollten diese auch in der emulierten Umgebung installiert werden. Klikken Sie dazu in der CXOffice-Konfiguration nochmals auf INSTALL. In der Liste der Applikationen befinden sich nun auch die Patches der Applikation. Auch wenn Sie nicht sicher sind, ob für die Applikation Patches bereitstehen, sollten Sie dies mit diesem Schritt überprüfen. Bei einigen Applikationen, wie z.B. Microsoft Office, lädt CXOffice die Updates selbst aus dem Internet. Allerdings geht die Installation der Updates zuweilen nur mit der englischen Version der Applikation reibungslos vonstatten. Deshalb sollten Sie die Updates für die deutschen Versionen zunächst manuell herunterladen und auf der Festplatte speichern. Danach geben Sie über ERWEITERTE INSTALLATIONSOPTIONEN den Pfad der Patch-Dateien an.
489
Sandini Bib
10 Windows XP in heterogenen Netzen
Einsatz der installierten Programme Nach der Installation befinden sich die installierten WindowsProgramme unter WINDOWS APPLICATIONS/PROGRAMS und werden wie ein Linux-Programm gestartet. Da CXOffice automatisch die Verknüpfung zwischen den Dateitypen und den Applikationen herstellt, öffnet sich beispielsweise automatisch Word unter CXOffice, wenn Sie im Konqueror eine .doc-Datei doppelklicken. Von CXOffice wird automatisch das Linux-Home-Verzeichnis als Laufwerk Y: für die Windows-Programme eingerichtet. Das übrige Linux-System wird als Laufwerk Z: repräsentiert. Ein Problem stellt allerdings die Zwischenablage dar. Der reibungslose Austausch ist nur mit unformatiertem, reinem Text möglich. So können Sie beispielsweise kein Diagramm unter Excel kopieren, um dieses unter Word einzufügen. Weitere Abstriche müssen Sie noch bezüglich der Schriftarten hinnehmen. In der Grundkonfiguration können Sie zwar die freien TrueType-Schriftarten herunterladen sowie die des Linux-Systems benutzen, jedoch können keine PostScript-Schriftarten (Level 1) verwendet werden. Außerdem gibt es Probleme beim Erkennen und Umsetzen der Schriftart Courier. Hat ein Windows-Programm ein Problem verursacht und ist abgestürzt bzw. reagiert nicht mehr, wird die Umgebung über CROSSOVER/CROSSOVER ZURÜCKSETZEN vollständig beendet.
10.10.3 Einsatz einer virtuellen Maschine Eine weitere Möglichkeit ist der Einsatz einer virtuellen Maschine. Dazu wird eine Software installiert, die eine Emulation eines Betriebssystems inklusive dem dazugehörigen Computer ist. Über diese Emulation wird ein anderes Betriebssystem (Guest) auf dem Computer (Host) ausgeführt. Die beiden bekanntesten Lösungen sind VMWare sowie Microsoft Virtual PC. VMWare steht jeweils in einer Version für Linux und für Windows zur Verfügung. Sie können auf diese Art beispielsweise ein vollständiges Windows XP mit all seinen Applikationen in einem separaten Fenster unter Linux ausführen oder umgekehrt ein vollständiges Linux unter Windows XP. Virtual PC hingegen kann nur unter Windows installiert werden, sodass nur eine Emulation eines Linux-Computers durchgeführt werden kann. In diesem Szenario ist zwar eine vollständige Funktion der Applikationen unter Linux sichergestellt, allerdings sprechen gegen diese Lösung die Hardware-Anforderungen an den Linux-Client, die Kosten für VMWare sowie die Tatsache, dass für Windows XP ebenfalls eine Lizenz notwendig ist.
490
Sandini Bib
Dateizugriff von Windows auf eine Linux-Partition
10.10.4 Die Terminal-Lösung Wie schon ausführlicher in Kapitel 9 für den Windows XP-Client besprochen wurde, kann auch der Linux-Client eine Verbindung mit einem Terminalserver unter Windows herstellen. Die Windows-basierten Applikationen werden auf dem Terminalserver ausgeführt. Auf dem Linux-Client wird ein spezielles TerminalFenster geöffnet, in dem die auf dem Terminalserver ausgeführte Applikation angezeigt wird. Die Steuerung des Programms erfolgt vom Linux-Client aus, über das Netzwerk werden dabei lediglich die Tastatur- und Mauseingaben des Linux-Systems übertragen. Diese Lösung ist in den meisten Fällen die beste. Allerdings muss für dieses Szenario ein Server als Terminalserver konfiguriert werden. Die Zugriffslizenzen der Clients müssen ebenfalls vorhanden sein. Weitere Hinweise zu Einsatzszenarien und Konfigurationsmöglichkeiten eines Terminalservers finden Sie in Kapitel 9.
10.11 Dateizugriff von Windows auf eine Linux-Partition Nach den in den letzten Kapiteln beschriebenen Möglichkeiten, Windows-Applikationen in Emulatoren oder auf virtuellen Maschinen auszuführen, mutet die Zugriffskonfiguration für Windows XP auf eine native Linux-Partition beinahe lapidar an. Sind auf einem System Windows XP und Linux parallel installiert, kann es vorkommen, dass Sie von Windows aus auf eine Datei zugreifen möchten, die unter Linux abgelegt wurde. Der Einsatz eines Sambaservers für den Zugriff ist in diesem Szenario nicht praktikabel, da das parallel installierte Linux nicht in Betrieb ist. Wurde die Linux-Partition mit dem Dateisystem Ext2 formatiert, ist ein Zugriff von Windows aus möglich, indem Sie das Programm Explore2fs verwenden. Das Programm kann kostenlos unter dem Link http://uranus.it.swin.edu.au/~jn/linux/explore2fs.htm heruntergeladen werden. Dieses Programm wurde bereits vor einigen Jahren entwickelt und war schon unter Windows 9x und NT lauffähig. Es wird direkt aus dem Ordner aufgerufen, in den es entpackt wurde. Ist auf der Festplatte eine Partition des Dateisystems Ext2 vorhanden, wird diese in einem separaten Fenster angezeigt (siehe Abbildung 10.21). Eine Navigation ist in diesem Fenster wie im Windows Explorer möglich. Die Dateien können betrachtet und auf eine Windows-Partition kopiert werden.
491
Sandini Bib
10 Windows XP in heterogenen Netzen
Abbildung 10.21: Das Programm Explore2fs ermöglicht den lesenden Zugriff auf Ext2-Linux-Partitionen.
Ein Zugriff auf Linux-Partitionen, die mit dem neueren Dateisystem Ext3 oder ReisiserFS formatiert sind, kann mit Explore2fs nicht erfolgen. Die Funktion ist auf Ext2 beschränkt. Weiterhin ist es auch nicht möglich, Windows-Dateien auf die Linux-Partition zu kopieren: Es droht ein Datenverlust. Sofern Sie eine neuere Linux-Distribution einsetzen, die als Dateisystem NTFS5 lesend unterstützt, ist es jederzeit möglich, umgekehrt von Linux aus auf die Daten unter Windows XP zuzugreifen.
492
Sandini Bib
11
Drucken und Faxen Manuela Reiss
Das Thema „Drucken“ gehört in jedem Netzwerk zu den zentralsten Punkten. Und auch um das Thema „Faxen“ kommt kaum eine Firma herum, auch wenn heute der Fax-Versand zugunsten des Versands von E-Mails immer weiter zurückgeht. Dieses Kapitel beschreibt neben den technischen Grundlagen die Möglichkeiten, die es unter Windows XP zur Einrichtung und zur Konfiguration lokaler Drucker gibt. Die Rolle, die Windows XP Professional als Druckserver spielen kann, wird ebenfalls erläutert. Ein Spezialfall des Druckens sind Faxe; Windows XP bietet hierfür eine integrierte Faxlösung. Diesem Thema ist der letzte Abschnitt dieses Kapitels gewidmet.
11.1
Grundlagen und Terminologie des Druckens
Wenn ein Benutzer einem Administrator mitteilt, dass sein „Drucker“ nicht funktioniert, so meint er damit das Gerät, das vor ihm steht und aus dem zu diesem Zeitpunkt kein Papier herauskommt. Für den Administrator ist dies jedoch längst nicht so eindeutig, denn dieser unterscheidet bei der Druckerverwaltung zwischen logischen und physischen Druckern. Wie das kleine Beispiel zeigt, ist es für das Verständnis, wichtig, sich zunächst mit der Terminologie und den grundlegenden Mechanismen des Druckens vertraut zu machen.
11.1.1
Wichtige Komponenten und Begriffe
Bei allen aktuellen Windows-Betriebssystemen werden die im Folgenden beschriebenen Begriffe verwendet: Logische und physische Drucker Das Hardware-Gerät, das zur Druckausgabe dient, wird als physischer Drucker oder auch als Druckgerät bezeichnet.
493
Sandini Bib
11 Drucken und Faxen Drucker und Druckgeräte
Der Begriff Drucker oder logischer Drucker steht hingegen für die Softwareschnittstelle zwischen dem Betriebssystem und dem Druckgerät. Diese Schnittstelle legt die Druckparameter fest und bestimmt, wie ein Dokument zu einem Druckgerät gelangt (über einen lokalen Port oder über Netzwerkverbindungen). Logische Drucker werden unter Windows mit der Installation eines Druckertreibers eingerichtet. Ein einzelner logischer Drucker kann mehrere Druckjobs auf verschiedene physische Drucker verteilen. Umgekehrt ist es auch möglich, dass mehrere logische Drucker letztendlich ein einziges Druckgerät benutzen. Unter Novell NetWare und Unix werden derartige logische Drucker als Druckerwarteschlangen bezeichnet. In der Terminologie von Windows bezeichnet eine Warteschlange hingegen eine Gruppe von Dokumenten, die auf den Ausdruck warten.
Druckausgabe in Datei
Die Trennung zwischen physischen und logischen Druckern schafft eine hohe Flexibilität, weil es damit möglich ist, einen logischen Drucker für die Druckausgabe zu verwenden, ohne dass ein physischer Drucker angeschlossen ist, beispielsweise bei offline geschalteten Druckgeräten. Anwendung findet dieses Verfahren auch bei der Druckausgabe in eine Datei. Druckertreiber Druckertreiber sind Programme, die eine Softwareschnittstelle zwischen den Anwendungen und dem Betriebssystem auf der einen Seite und der (spezifischen) Sprache des Druckgeräts auf der anderen Seite definieren. Sie übersetzen die Informationen, die vom Computer gesendet werden, in für den Drucker verständliche Befehle. Jedes Druckgerät benötigt einen eigenen Druckertreiber. Dieser ist erforderlich, weil jeder Drucker über eigene Besonderheiten, beispielsweise doppelseitige Druckausgabe, spezielle Papierformate oder Optimierungen, verfügt.
DruckertreiberDateien
Im Allgemeinen setzen sich Druckertreiber aus drei Dateitypen zusammen: 왘
Konfigurationsdatei Sie dient zur Anzeige der Dialogfelder EIGENSCHAFTEN und EINSTELLUNGEN beim Konfigurieren eines Druckers. Diese Datei hat die Dateinamenerweiterung .dll.
왘
Datendatei Diese Datei liefert Informationen über die Leistungsdaten, wie Auflösung, Unterstützung von beidseitigem Druck, Papierformate u.a. Diese Datei hat die Dateinamenerweiterung .dll, .pcd, .gpd oder .ppd.
494
Sandini Bib
Grundlagen und Terminologie des Druckens 왘
Druckergrafiktreiberdatei Diese Datei übersetzt DDI (Device Driver Interface)-Befehle in für den Drucker verständliche Befehle. Jeder Treiber ist für die Übersetzung einer anderen Druckersprache zuständig. Die Datei Pscript.dll beispielsweise übersetzt in die Druckersprache PostScript. Diese Datei hat die Dateinamenerweiterung .dll.
Alle drei Dateien arbeiten zusammen. Wird ein neuer Drucker eingerichtet, durchsucht die Konfigurationsdatei die Datendatei und zeigt die verfügbaren Druckeroptionen an. Beim Drucken durchsucht dann die Grafiktreiberdatei die Konfigurationsdatei nach den gesetzten Einstellungen, um die entsprechenden Druckerkommandos zu erstellen. Die Druckgeräte lassen sich prinzipiell in drei Kategorien einteilen: Rastergeräte, PostScript-Geräte und Plotter. Entsprechend können auch drei Grundtypen von Druckertreibern unterschieden werden: Druck-Spooler Spooling bedeutet, dass der Inhalt eines Druckauftrags als Datei auf die Festplatte geschrieben wird und dort bis zum Ende der Druckausgabe erhalten bleibt. Auf diese Weise wird sichergestellt, dass Druckvorgänge auch dann gespeichert und gedruckt werden, wenn der physische Drucker nicht verfügbar ist oder es zu Strom- und/oder Hardware-Ausfällen kommt. Diese Datei wird als Spool-Datei bezeichnet. Beim Despooling wird die SpoolDatei gelesen und ihr Inhalt an den physischen Drucker gesendet. Standardmäßig werden die Spool-Dateien im Verzeichnis %Systemroot%\System32\Spool \Printer gespeichert. Die Aufgabe des Spooler besteht darin, Druckaufträge entgegenzunehmen, zu verarbeiten, die zeitliche Steuerung dafür zu übernehmen und sie zu verteilen. Der Druck-Spooler selbst besteht wiederum aus einer Reihe von Komponenten und dynamischen Bibliotheken (DLL-Dateien), u.a aus dem Druck-Router, dem lokalen Druckanbieter, dem Remote-Druckanbieter und dem Sprach- und Anschlussmonitor. Druckmonitore Der Ausdruck Druckmonitor wird für die Beschreibung von zwei Arten von Druckmonitoren verwendet: Sprachmonitor und Anschlussmonitor (Portmonitor). Ein Sprachmonitor wird benötigt, wenn der Drucker bidirektionales Sprachmonitor Drucken unterstützt, wenn also eine beidseitige Kommunikation zwischen dem Drucker und dem Spooler auf dem Druckserver existiert. Der Spooler kann dann auf die Konfigurations- und Statusinformationen des Druckers zugreifen.
495
Sandini Bib
11 Drucken und Faxen Anschlussmonitor
Der wichtigere Monitor ist der Anschlussmonitor, der den E/AAnschluss zum Drucker steuert. Ein Druckeranschluss ist eine Schnittstelle, über die ein Drucker mit einem Computer kommuniziert. Die Auswahl eines Anschlusses hängt davon ab, wie der Drucker an den Computer oder das Netzwerk angeschlossen ist. Ist der Drucker physisch an den Computer angeschlossen, sind die entsprechenden lokalen Anschlüsse (LPT1 bis LPT3 für parallele und COM1 bis COM4 für serielle Anschlüsse) zu wählen. Wenn ein Client auf einem Druckeranschluss File druckt, wird nach dem Dateinamen gefragt und die Ausgabedatei wird auf dem Clientcomputer gespeichert. Druckjobs/Druckaufträge Druckjobs oder Druckaufträge stellen Quelltexte für den Drucker dar. Sie enthalten sowohl die auszugebenden Daten als auch Befehle für ihre Verarbeitung im Rahmen dieser Ausgabe. Sie werden nach Datentypen klassifiziert. Einige Datentypen legen fest, dass der Spooler den Druckauftrag modifiziert, beispielsweise durch das Anhängen einer Trennseite, bei anderen Datentypen bleibt der ursprüngliche Auftrag unverändert. Rendering und Graphical Device Interface
GDI
Rendering bezeichnet die Umsetzung von Druckbefehlen einer Anwendung in Befehle, die der physische Drucker verstehen und direkt verarbeiten kann. Die grafische Geräteschnittstelle von Windows (GDI: Graphical Device Interface) für die Ausgabe von Anwendungsdaten auf dem Bildschirm oder einem Druckgerät übernimmt die von einer Anwendung gesendeten Dokumenteninformationen, ruft den für das Druckgerät zuständigen Druckertreiber auf und erzeugt auf diese Weise einen Druckauftrag in der Druckersprache des Geräts. Dieser wird dann an den DruckSpooler weitergeleitet. In Windows XP ist eine gegenüber früheren Windows-Versionen erweiterte GDI-Technologie implementiert. Die Verbesserungen betreffen vor allem die Performance und die Funktionalität, aber auch die Grafikausgabe auf dem Bildschirm.
11.1.2
Der Druckprozess im Überblick
In diesem Abschnitt wird ein Druckprozess unter Windows XP betrachtet. Es handelt sich hierbei um einen modularen Prozess. Client-Vorgänge
496
1. Ein Benutzer veranlasst in einer Anwendung die Druckausgabe eines Dokuments.
Sandini Bib
Grundlagen und Terminologie des Druckens
Im ersten Schritt ruft die Anwendung die Funktionen der grafischen Geräteschnittstelle auf, die ihrerseits den für den physischen Zieldrucker zuständigen Druckertreiber abfragt. Mit Hilfe der von der Anwendung stammenden Dokumentinformationen führen die GDI und der Treiber einen Datenaustausch durch und übertragen so den Druckauftrag in die Druckersprache des Druckers. 2. Die GDI-Schnittstelle leitet den Druckauftrag an den Spooler Spooler-Prozess weiter. Dieser ruft seinerseits den Druck-Router Spoolss.dll auf. Der Router übergibt den Druckauftrag der lokalen Druckunterstützung (Localspl.dll), die ihrerseits für das eigentliche Spooling, also das Zwischenspeichern der Druckdaten auf der Festplatte, sorgt. 3. Der Druckauftrag wird bei Bedarf modifiziert. Die lokale Druckunterstützung (Localspl.dll) fragt die installierten Druckprozessoren ab und übergibt den Auftrag an den ersten Druckprozessor, der sich für den Datentyp des Druckauftrags zuständig erklärt. Dieser nimmt gegebenenfalls Anpassungen, beispielsweise das Anhängen eines Seitenvorschubs oder das Erzeugen eines Bitmap, vor. 4. Der Trennseiten-Prozessor bekommt den Druckauftrag übergeben und stellt den Daten eine Trennseite voran (falls angegeben). 5. Der Druckauftrag wird an den Druckmonitor weitergegeben.
Druckervorgänge
Der Auftrag wird an einen geeigneten Druckeranschlussmonitor gesendet. Wenn das Druckgerät mit bidirektionaler Kommunikation arbeitet, kommt hier zuerst ein Sprachmonitor zum Einsatz, der die Kommunikation mit dem Druckgerät abwickelt und dann den Druckauftrag einem Portmonitor übergibt. Bei physischen Druckern mit unidirektionaler Kommunikation geht der Druckauftrag dagegen direkt an den Portmonitor, der für die Übertragung der Daten an den physischen Drucker oder an einen anderen Server sorgt. 6. Das Druckgerät erhält die Daten in seiner Druckersprache, generiert daraus ein Bitmap und gibt dieses auf Papier (oder einem anderen Medium) aus.
11.1.3
Drucker unter Windows XP verwalten
Die in Windows XP für Drucker zentrale Verwaltungsschnittstelle ist das Dialogfenster DRUCKER UND FAXGERÄTE (die entsprechende Option ist in der SYSTEMSTEUERUNG zu finden). Hier sind zum einen alle im System registrierten Drucker und Faxgeräte
497
Sandini Bib
11 Drucken und Faxen
(lokale Drucker und Netzwerkdrucker) zu finden und zum anderen können mit den Optionen im Bereich DRUCKERAUFGABEN neue Drucker hinzugefügt bzw. Drucker und Druckaufträge verwaltet werden. Abbildung 11.1: Benutzerschnittstelle zur Verwaltung von Druckern und Faxgeräten
11.2
Einrichtung lokaler Drucker
Aktuelle Druckgeräte mit USB-, Firewire- oder InfrarotAnschluss, die während des laufenden Betriebs an den Rechner angeschlossen werden können, erkennt Windows XP automatisch. Dank dieser Plug&Play-Unterstützung erweist sich die Einrichtung eines lokalen Druckers in der Regel als einfacher und schnell durchzuführender Vorgang. Drucker manuell installieren
In Einzelfällen kann es erforderlich sein, einen Drucker manuell einzurichten. Dieser Vorgang wird vom DRUCKERINSTALLATIONSASSISTENTEN unterstützt. Einen lokalen Drucker installieren Sie wie folgt: 1. Wählen Sie in der SYSTEMSTEUERUNG die Option DRUCKER UND FAXGERÄTE. Um einen neuen Drucker hinzuzufügen, wählen Sie die Option DRUCKER HINZUFÜGEN.
498
Sandini Bib
Einrichtung lokaler Drucker
2. Klicken Sie im WILLKOMMENSBILDSCHIRM auf WEITER und wählen Sie die Option LOKALER DRUCKER, DER AN DEN COMPUTER ANGESCHLOSSEN IST. Abbildung 11.2: Auswahl im Druckerinstallations-Assistenten bei Installation eines lokalen Druckers
Die Option PLUG&PLAY-DRUCKER AUTOMATISCH ERMITTELN UND INSTALLIEREN ermöglicht es, ein Druckgerät automatisch erkennen zu lassen, das bei Anschluss an den Computer nicht selbstständig erkannt wurde. So müssen beispielsweise Drucker, die noch über die parallele Schnittstelle mit dem Rechner verbunden sind, beim Systemstart angeschlossen sein, um vom Hardware-Assistenten erkannt zu werden. Dies funktioniert allerdings nur bei Druckern, die eine bidirektionale Kommunikation mit dem Rechner unterstützen. Diese können sich bei der Abfrage durch das Betriebssystem identifizieren und so die Treibereinbindung vereinfachen. In allen anderen Fällen ist es möglich, einen nicht automatisch erkannten Plug&Play-Drucker vom DRUCKERINSTALLATIONSASSISTENTEN durch Aktivierung dieser Option erkennen zu lassen. 3. Im nächsten Schritt ist der Port auszuwählen, an den das Druckgerät angeschlossen ist. Lokale angeschlossene Druckgeräte werden meist an LPT1 angeschlossen; bei den meisten Rechnern gibt es nur diesen einen Druckeranschluss. Für den Anschluss eines normalen lokalen Arbeitsplatzdruckers an einen PC gibt es heute praktisch drei Möglichkeiten: ParallelPort, USB oder die Infrarot-Schnittstelle (IrDA), die vor allem bei Notebooks zum Einsatz kommt.
499
Sandini Bib
11 Drucken und Faxen
Mit dem Drucker-Port, den Sie während der Installation oder später dem Drucker zuordnen, legen Sie fest, wie Druckdaten aus dem logischen Drucker weiterverarbeitet werden: ob sie zur Ausgabe an einen physischen Drucker weitergeleitet oder ob sie in eine Datei oder an ein Fax weitergegeben werden. Abbildung 11.3: Auswahl des Anschlusses bei Installation eines lokalen Druckers
Druck in Datei
Soll die Druckausgabe in eine Datei erfolgen, müssen Sie den Anschluss-Port FILE auswählen. Bei der Druckausgabe erfolgt in diesem Fall eine Aufforderung einen Pfad und Dateinamen anzugeben. Bei Auswahl des Anschluss-Port FILE ist zu beachten, dass die Datei mit dem für den Port definierten Druckertreiber generiert wird. Der Drucker, auf dem die Datei letztendlich gedruckt wird, sollte deshalb mit dem gewählten Treiber kompatibel sein. Im Übrigen ist es meist einfacher, aus der Anwendung heraus in eine Datei zu drucken. Dies wird von den meisten Anwendungen unterstützt. 4. Nach der Festlegung des Anschlusses muss das Druckermodell bzw. der Hersteller ausgewählt werden. In der angezeigten Liste finden Sie die von Windows XP standardmäßig unterstützten Druckertreiber, die die Informationen zur Hardware und zur internen Sprache eines bestimmten Druckers enthalten, sowie alle bis zu diesem Zeitpunkt installierten Druckertreiber. Falls das verwendete Druckermodell in der Liste fehlt, können Sie den passenden Treiber auch von einem Datenträger installieren, mit Windows-Update über das Internet nach neuen Treibern suchen oder einen Treiber von der Website des Herstellers herunterladen. In diesem Fall ist die Option DATENTRÄGER zu wählen, um den Speicherort für die Druckertreiberdatei anzugeben.
500
Sandini Bib
Einrichtung lokaler Drucker
Bei den im Lieferumfang von Windows XP enthaltenen Treibern Standardmäßig handelt es sich ausschließlich um signierte Treiber. Versuchen signierte Treiber Sie, den unsignierten Treiber eines Herstellers zu installieren, werden Sie später darauf hingewiesen. Abbildung 11.4: Auswahl des Druckerherstellers und -modells
5. Ist bereits ein Druckertreiber für das Modell vorhanden, Treiber erfolgt eine Rückfrage, ob der vorhandene Treiber beibehalten auswählen oder ein neuer installiert werden soll. Liegt ein aktuellerer Treiber vor, können Sie diesen selektieren. Anderenfalls wählen Sie die Option VORHANDENEN TREIBER BEIBEHALTEN. 6. Geben Sie anschließend einen Namen an, unter dem sich der Drucker in der Benutzeroberfläche präsentiert. Außerdem kann bereits hier der Drucker als Standarddrucker festgelegt werden. Abbildung 11.5: Vergabe des Druckernamens
501
Sandini Bib
11 Drucken und Faxen
Danach können Sie festlegen, ob der Drucker im Netzwerk freigegeben werden soll. Wenn ja, geben Sie einen Freigabenamen an, unter dem er im Netzwerk angezeigt wird. Ist der Windows XP-Rechner Mitglied in einer Active DirectoryDomäne, wird der freigegebene Drucker auch im Verzeichnis veröffentlicht. Abbildung 11.6: Drucker im Netzwerk freigeben
Plug&Play-Drucker, deren Installation automatisch erfolgt, werden nicht standardmäßig freigegeben. Für sie muss in den Druckereigenschaften die Freigabe nachträglich konfiguriert werden. 7. Danach können Sie für den Drucker noch den Standort angeben und einen kurzen Kommentar eintragen. 8. Im letzten Schritt ist festzulegen, ob eine Testseite gedruckt werden soll. Bevor der Assistent abgeschlossen wird, haben Sie noch einmal die Gelegenheit, alle Angaben zu überprüfen und gegebenenfalls zurückzugehen, um Änderungen vorzunehmen. PDF-Writer
Einen Sonderfall des Ausdrucks in eine Datei stellen so genannte „virtuelle Drucker“ dar. Hierbei handelt es sich um Drucker mit einem speziellen Druckertreiber, der den Ausdruck in eine Datei in anwendungsspezifisch aufbereiteter Form ermöglicht. Ein Beispiel hierfür sind PDF-Writer (z.B. der Adobe PDF-Writer). Hierbei handelt es sich um Druckertreiber mit allen Optionen zur Ausgabe in eine .pdf-Datei. In diesem speziellen Fall bietet ein PDF-Drucker den Vorteil, dass .pdf-Dokumente erstellt und weitergegeben werden, ohne den teuren Acrobat Destiller einsetzen zu müssen. Eine ähnliche Funktion erfüllt der Microsoft Office Document Image Writer, der zum Lieferumfang von Office 2003 gehört. Damit können Office-Dokumente als .mdi (Bild)-Dateien ausgege-
502
Sandini Bib
Drucken im Netzwerk
ben werden. Diese .mdi-Dateien können auf dem Zielsystem auch dann angezeigt werden, wenn die entsprechende Anwendung nicht installiert ist. Für die Ausgabe von .pdf-Dokumenten bieten verschiedene Hersteller PDF-Writer an. Hierzu gehören die beiden Tools AcroPDF und pdfFactory Pro. Beide Werkzeuge unterstützen die Verschlüsselung des erzeugten .pdf-Dokuments mit einem Passwort. Für den privaten Gebrauch sind beide Tools kostenlos. Allerdings wird in der Fußzeile jeweils eine Werbezeile im .pdf-Dokument eingetragen. Dieser Werbeeintrag entfällt in der Vollversion. AcroPDF Hersteller:
AcroPDF Sytems Inc.
Preis:
Freeware bzw. ab 59,00 EUR für die Vollversion
URL:
http://www.acropdf.com/products.html
pdfFactory Hersteller:
FinePrint Software
Preis:
Freeware bzw. 99 US-Dollar für die Vollversion (verschiedene Bundle-Optionen)
URL:
http://www.fineprint.com/
11.3
Drucken im Netzwerk
In einem Unternehmensnetzwerk spielt der Einsatz lokaler Drucker eine meist untergeordnete Rolle. Stattdessen werden die Druckgeräte gemeinsam im Netzwerk genutzt. Netzwerkdruckerressourcen bestehen aus vier wesentlichen Druckkomponenten: aus logischen Druckern, Druckertreibern, Druckservern und physischen Druckgeräten. Diese Komponenten wirken zusammen, um einen Druckvorgang durchzuführen: 1. Der Druckbefehl wird an den logischen Drucker auf dem Com- Netzwerkputer weitergeleitet, auf dem der Befehl ausgegeben wurde. Druckvorgang Diese Komponente bestimmt, wie ein Druckauftrag verarbeitet und an sein Ziel weitergeleitet wird.
503
Sandini Bib
11 Drucken und Faxen
2. Die GDI-Schnittstelle leitet den Druckauftrag an den Spooler weiter. Dieser ruft seinerseits den Druck-Router Spoolss.dll auf. Die Client-Seite des Spooler (Winspool.drv) sendet gegebenenfalls einen Prozeduraufruf (RPC) an den Spooler des Druckservers (Spoolss.exe). Der Druckbefehl wird vom logischen Drucker an den Druckserver gesendet. Ein Druckserver ist der Computer, der die von Clientcomputern übertragenen Druckbefehle empfängt und verarbeitet. Bei einem Druckserver kann es sich um einen beliebigen Computer im Netzwerk handeln, der für die Verwaltung von Druckern ausgewiesen wurde. 3. Der Druckserver kommuniziert anhand der Druckertreiber, die auf ihm installiert sind, mit den Druckern im Netzwerk. Jedes Modell eines Druckgeräts verfügt über einen bestimmten Druckertreiber, der dem Druckserver das Konvertieren eines Druckbefehls in eine bestimmte Druckersprache, z.B. PostScript, ermöglicht. 4. Wenn der Druckbefehl in eine bestimmte Druckersprache konvertiert wurde, wird er an das physische Druckgerät weitergeleitet. Anschlussmöglichkeiten
Es gibt grundsätzlich zwei Möglichkeiten, Drucker in einem Netzwerk gemeinsam zu nutzen: 1. Ein lokal an einem PC angeschlossener Drucker kann über das Netzwerk freigegeben werden, um anderen Benutzern den Zugriff zu ermöglichen. 2. Ein Netzwerkdrucker wird mit einer eigenen Netzwerkkarte direkt ans Netzwerk angeschlossen und ist dort für alle erreichbar. Diese Druckgeräte müssen nicht physisch an einen Druckserver angeschlossen sein, können aber ebenfalls von diesem verwaltet werden. Der Aufstellungsort spielt keine Rolle, sofern die Druckgeräte netzwerktechnisch erreichbar sind.
11.3.1
Windows XP als Druckserver einrichten
Windows XP unterstützt beide Möglichkeiten. Lokal an einen Windows XP-Computer angeschlossene Druckgeräte können im Netzwerk freigegeben werden. In diesem Fall fungiert der Windows XP-Rechner als Druckserver und verwaltet eine gemeinsam genutzte Druckerwarteschlange für alle Rechner, die auf den am Druckserver installierten Drucker zugreifen dürfen. Auch ein echter Netzwerkdrucker kann über eine Druckerwarteschlange auf einem Druckserver zur Verfügung gestellt werden.
504
Sandini Bib
Drucken im Netzwerk
Allerdings ist zu beachten, dass aufgrund einer von Microsoft Limitiert auf 10 implementierten Beschränkung auf zehn Verbindungen gleich- gleichzeitige Zugriffe zeitig nur jeweils zehn Benutzer auf einen Druckserver unter Windows XP zugreifen können. Außerdem unterstützt ein solcher Druckserver keine Macintosh- oder NetWare-Dienste. Diese Beschränkungen existieren nicht beim Einsatz eines Druckservers unter Windows 2000 Server oder Windows Server 2003. Drucker auf einem Windows XP-Rechner freigeben Die einfachste Variante, einen Drucker im Netzwerk zu nutzen, ist die Freigabe eines an einen Rechner angeschlossenen Druckers. Die Freigabe kann bereits während der Installation erfolgen oder nachträglich über die Eigenschaften des Druckers geändert werden. 1. Öffnen Sie das Dialogfenster DRUCKER UND FAXGERÄTE und wählen Sie im Kontextmenü des Druckers, den Sie freigeben wollen, die Option EIGENSCHAFTEN. 2. Aktivieren Sie auf der Registerkarte FREIGABE die Option DRUCKER FREIGEBEN und tragen Sie einen Freigabenamen ein. Werden im Netzwerk noch ältere Betriebssysteme genutzt, sollten Sie den Freigabenamen aus Gründen der Kompatibilität auf acht Zeichen beschränken und auch keine Leer- und Sonderzeichen verwenden. 3. Ist der Computer Teil einer Active Directory-Domäne, wird Drucker zusätzlich das Kontrollkästchen IM VERZEICHNIS FREIGEBEN veröffentlichen angezeigt und standardmäßig aktiviert. Damit wird der Drucker im Active Directory veröffentlicht und kann von den Anwendern über START/SUCHEN/DRUCKER SUCHEN gefunden werden. 4. Sollen Computer, die unter älteren Windows-Versionen laufen, auf den Drucker zugreifen, können Sie über ZUSÄTZLICHE TREIBER weitere Druckertreiber bereitstellen. Dadurch wird vermieden, dass Benutzer, die auf den Drucker zugreifen wollen, zunächst zur Installation der Treiber aufgefordert werden. Stattdessen stellt der Druckserver, d.h. der Windows XP-Rechner, beim ersten Zugriff auf einen Drucker den notwendigen Treiber zur Verfügung. Um beispielsweise für Windows NT-Clients einen Treiber Client-Treiber bereitzustellen, muss die Version WINDOWS NT ODER WINDOWS bereitstellen 2000 aktiviert werden. Anschließend müssen Sie angeben, wo die Windows NT 4.0-Treiberdateien für diesen Drucker gespeichert sind.
505
Sandini Bib
11 Drucken und Faxen Abbildung 11.7: Zusätzliche Treiber zur Unterstützung von Clients mit älteren Betriebssystemen hinzufügen
Druckserver für TCP/IP-Drucker einrichten Windows XP kann alternativ auch für Drucker, die nicht an einen Rechner, sondern mit eigener Netzwerkkarte direkt ans Netz angeschlossen sind, als Druckserver fungieren. Diese Möglichkeit bietet sich für kleinere Netzwerke an, die mehrere physische Drucker, aber keinen Server im Einsatz haben. Zu beachten ist, dass jeweils nur zehn Benutzer gleichzeitig einen solchen Druckserver nutzen können.
506
LPR
Für die Einbindung von Netzwerkdruckern über das TCP/IP-Protokoll bietet Windows XP (wie auch die Vorgängerversionen, einschließlich Windows NT) Unterstützung von LPR-Anschlüssen. LPR (Line Printer Remote) ist ein Protokoll der TCP/IP-Protokollfamilie und wurde ursprünglich als Standard für die Übertragung von Druckaufträgen zwischen Computern unter Berkeley Unix entwickelt. Der LPR-Anschlussmonitor dient in erster Linie dem Einbinden von Druckern, die auf Unix-Druckservern bereitgestellt werden.
SPM
Windows XP bietet jedoch noch eine Alternative zu LPRAnschlüssen. Der neue Portmonitor, der seit der Version Windows 2000 verfügbar ist, wird als Standard-Portmonitor (SPM) bezeichnet. SPM wird auf einem Windows XP-System standardmäßig zusammen mit TCP/IP installiert.
Sandini Bib
Drucken im Netzwerk
Standard-Portmonitor (SPM) Mit Hilfe des Standard-Portmonitors (SPM) können Drucker, die über das TCP/IP-Protokoll im Netzwerk erreichbar sind und die Standards gemäß RFC 1759 einhalten, auf einem Druckserver verwaltet werden. Dieser auch als Simple Network Management Protocol (SNMP) bezeichnete Standard definiert, wie entsprechende Drucker im Netzwerk miteinander kommunizieren. Der SPM ist leistungsfähiger und besser konfigurierbar als der LPR-Anschlussmonitor, u.a. weil er SNMP einsetzt, um die Konfiguration des Zieldruckers zu lesen und dessen Status zu ermitteln. Nach Angabe der erforderlichen IP-Adresse oder des Namens des Druckservers kann die weitere Installation meist automatisch vonstatten gehen. Insofern zeichnet sich der SPM auch durch eine einfache Einbindung auf der Client-Seite und eine vereinfachte Administration aus. Falls der SPM den Zieldrucker nicht mit den standardmäßigen TCP-Anschlüssen des SPM und SNMP konfigurieren kann, verwendet er das LPRProtokoll, sofern dieses von dem Druckgerät unterstützt wird. Im Gegensatz zu LPR verwendet der SPM standardmäßig den Anschluss 9100 als Zielanschluss und wählt nach dem Zufallsprinzip einen offenen Quellanschluss größer als 1023 aus. Um einen TCP/IP-Drucker über einen Standard-TCP/IP-Port auf SPM-Drucker einem Windows XP-Rechner einzurichten, der als Druckserver einrichten fungiert, gehen Sie folgendermaßen vor: 1. Öffnen Sie das Dialogfenster DRUCKER UND FAXGERÄTE und wählen Sie DRUCKER HINZUFÜGEN. 2. Wählen Sie LOKALER DRUCKER und deaktivieren Sie das Kontrollkästchen PLUG&PLAY-DRUCKER AUTOMATISCH ERMITTELN UND INSTALLIEREN. 3. Im nächsten Fenster aktivieren Sie die Option EINEN NEUEN ANSCHLUSS ERSTELLEN und wählen aus der Auswahlliste STANDARD-TCP/IP-PORT. 4. Anschließend wird ein weiterer Assistent zum Hinzufügen eines Standard-TCP/IP-Druckerport gestartet. Geben Sie die IP-Adresse (oder den Host-Namen) des physischen Druckgeräts ein. Der Anschlussname wird automatisch generiert, sie können ihn jedoch ändern.
507
Sandini Bib
11 Drucken und Faxen Abbildung 11.8: Einrichtung eines neuen StandardTCP/IP-Port
Abbildung 11.9: Eintragung von IP-Adresse und Portname
5. Wenn Sie den Assistenten fortsetzen, versucht der SPM, seine Anfangsabfrage für das Gerät auszuführen und konfiguriert dann das Gerät auf der Grundlage der von SNMP übermittelten Antworten. Werden das Druckermodell und verfügbare Optionen über SNMP ermittelt, erfolgt die weitere Konfiguration automatisch. Kann das ermittelte Gerät jedoch nicht bestimmt werden, fragt der Assistent die zusätzlich benötigten Informationen ab. LPR-Drucker einrichten
Wenn das Druckgerät SMP nicht unterstützt, muss der LPRAnschlussmonitor verwendet werden. Diese unter Unix weit verbreitete Methode zur Anbindung von Netzwerkdruckern wird unter Windows XP durch einen entsprechenden LPR-Client unterstützt. Gegenüber SMP ist die Einbindung aber weniger komfortabel. Damit der LPR-Port überhaupt genutzt werden kann, müssen die Unix-Druckdienste installiert werden. Anderenfalls steht, wie in Abbildung 11.10 gezeigt, kein LPR-Port zur Verfügung.
508
Sandini Bib
Drucken im Netzwerk
1. Öffnen Sie über das Startmenü die Systemsteuerung und wählen Sie hier NETZWERK und anschließend NETZWERKVERBINDUNGEN. Im Menü ERWEITERT finden Sie die Option OPTIONALE NETZWERKKOMPONENTEN. Hiermit wird der ASSISTENT FÜR OPTIONALE WINDOWS- UND NETZWERKKOMPONENTEN gestartet, der auch über die Systemsteuerungsoption SOFTWARE erreichbar ist. 2. Wählen Sie hier WEITERE DATEI- UND DRUCKDIENSTE FÜR DAS NETZWERK und aktivieren Sie unter DETAILS die DRUCKDIENSTE FÜR UNIX. Mit der Installation der Unix-Druckdienste sind automatisch auch alle freigegebenen Drucker unter Windows XP über LPR von anderen Computern über das Netzwerk erreichbar. Als Druckername wird jeweils der Name der entsprechenden Druckerfreigabe verwendet. Nach Abschluss der Installation der Unix-Druckdienste bietet der LPR-Port erstellen Druckerinstallations-Assistent bei der Option zur Auswahl eines neuen Anschlusses auch die Möglichkeit, einen LPR-PORT zu erstellen. Bei der weiteren Einrichtung müssen dessen Host-Name oder die IP-Adresse sowie der Name des Druckers (meist lp) angegeben werden. Abbildung 11.10: Verfügbarer LPRPort nach Installation der UnixDruckdienste
Den Druckserver konfigurieren Es ist nicht erforderlich, Windows XP explizit als Druckserver zu konfigurieren. Nachdem die nötigen Arbeitsschritte eines der beiden zuvor beschriebenen Verfahren erledigt wurden, fungiert das System ganz automatisch als Druckserver. Trotzdem lohnt sich ein Blick das Eigenschaftendialogfenster von DRUCKSERVER. Dies gilt vor allem bei auftretenden Problemen, denn nicht selten handelt es sich beispielsweise um Probleme mit der Spool-Datei oder mit der Formularverwaltung. In vielen dieser Fälle können Änderungen in der Konfiguration des Druckservers helfen.
509
Sandini Bib
11 Drucken und Faxen
Die häufig wenig beachtete Option SERVEREIGENSCHAFTEN befindet sich im Druckerordner im Menü DATEI. Die hier gesetzten Einstellungen gelten für alle freigegebenen Drucker. Abbildung 11.11: Option Servereigenschaften zur Konfiguration des Druckservers
510
Formulare
Auf der Registerkarte FORMULARE befinden sich alle Papierformate, die der Druckserver generell über seine freigegebenen Drucker anbieten kann. Über die standardmäßig vorhandenen Formulare hinaus können mit Hilfe der Option NEUES FORMULAR eigene Formulare definiert werden, die dann von den Benutzern des freigegebenen Druckers im Netzwerk verwendet werden können. Dabei besteht die Möglichkeit, nicht nur die Papiergröße, sondern auch den bedruckbaren Bereich festzulegen. Wegen dieser Möglichkeit der Angabe eines nicht bedruckbaren Randes (neben der eigentlichen Bogengröße) werden diese Papierformate als Formulare bezeichnet.
Anschlüsse
Die Registerkarte ANSCHLÜSSE ermöglicht die zentrale Verwaltung aller verfügbaren Anschlüsse. Neben der Verwaltung der lokalen Schnittstellen eignet sich dieses Dialogfenster vor allem zum Einrichten weiterer Netzwerkverbindungen, wie beispielsweise Ports zu TCP/IP-Druckern. Hier können sowohl neue Anschlussports hinzugefügt als auch vorhandene gelöscht werden.
Sandini Bib
Drucken im Netzwerk Abbildung 11.12: Erstellung eines neuen Formulars in den DruckserverEigenschaften
Abbildung 11.13: Verwaltung von Anschlüssen in den DruckserverEigenschaften
Auf der Registerkarte TREIBER werden alle Treiber aufgelistet, die Treiber bisher auf dem Rechner installiert wurden, auch wenn der zugehörige logische Drucker im Netzwerk wieder gelöscht wurde. Hier können Treiber endgültig vom System entfernt bzw. Druckertreiber auf dem Druckserver installiert werden. Dabei werden neben dem Druckermodell und dem Typ auch verschiedene Treiber für unterschiedliche Windows-Versionen angeboten, falls ältere Rechner auch auf den Druckserver zugreifen.
511
Sandini Bib
11 Drucken und Faxen Abbildung 11.14: Verwaltung installierter Druckertreiber in den DruckserverEigenschaften
Erweiterte Optionen
Einige wichtige Funktionen befinden sich auf der Registerkarte ERWEITERTE OPTIONEN. So kann hier beispielsweise der Speicherort für die Spool-Datei festgelegt werden. Die Druckdaten werden über den Druck-Spooler in Spool-Dateien zwischengespeichert. Dazu werden pro Druckjob zwei Dateien standardmäßig in dem folgenden Verzeichnis angelegt: %Systemroot%\System32\Spool\Printers. 왘 .SPL Hierbei steht für einen Dateinamen, der aus einem fünfstelligen numerischen Zähler gebildet wird. In der SPLDatei werden die reinen Druckdaten abgelegt, welche an den Drucker gesendet werden. 왘
.SHD Der Dateiname der SHD-Datei entspricht der zugehörigen SPL-Datei. In der SHD-Datei werden administrative Informationen zum Druckjob, wie der Benutzer- und der Dokumentname, gespeichert.
Außerdem kann hier bestimmt werden, welche Vorgänge protokolliert werden, ob bei Fehlern von Remote-Aufträgen ein Signalton ausgegeben werden soll und ob Benachrichtigungen über das Beenden eines Druckauftrags für lokale und/oder Netzwerkdrucker angezeigt werden sollen. Die erste Option BENACHRICHTIGEN,
512
Sandini Bib
Drucken im Netzwerk WENN REMOTEAUFTRÄGE GEDRUCKT WURDEN zeigt ein Hinweisfenster am Bildschirm des Druckservers, die zweite Option COMPUTER BENACHRICHTIGEN, WENN REMOTEAUFTRÄGE GEDRUCKT WURDEN zeigt ein Hinweisfenster am Bildschirm des Client, der den Druckauftrag abgegeben hat.
Die Optionen über die Druckerbenachrichtigungen für Clients sind nur dann relevant, wenn Rechner mit früheren Betriebssystemversionen im Netzwerk eingesetzt werden. Abbildung 11.15: Verwaltung der Spooler-Datei in den DruckserverEigenschaften
11.3.2
Windows XP als IPP-Druckserver
Ein IPP-Druckserver stellt seine Dienste über das Internet Printing Protocol (IPP) zur Verfügung. IPP erlaubt das Drucken über eine Webverbindung, also über das Protokoll HTTP. Dabei werden die IPP-Pakete in HTTP-Pakete gekapselt. Das Protokoll ist in der Lage, die technischen Daten der Drucker und verschiedene Statusmeldungen, Druckaufträge, den Inhalt der Druckerwarteschlange sowie einige Verwaltungsaufgaben zu übertragen. Bereits mit Windows 2000 wurde die Unterstützung für IPP eingeführt. In Windows XP wird, wie bei Windows 2000, die Spezifikation IPP 1.0 unterstützt. Dabei kann ein Windows XP ProfessionalComputer sowohl als IPP-Client als auch als IPP-Server fungieren. Der IPP-Druckserver kann im Intranet oder, sofern der Druckserver als echter Webserver läuft und über eine ständige IP-Adresse aus dem Internet erreichbar ist, auch über das Internet verwendet werden.
513
Sandini Bib
11 Drucken und Faxen
IPP-Druckserver einrichten und nutzen Um einen Windows XP-Rechner als IPP-Druckserver nutzen zu können, müssen die Internet-Informationsdienste (IIS) installiert sein, die bei einer Standardinstallation von Windows XP nicht automatisch installiert werden. Außerdem muss mindestens ein lokaler Drucker auf dem Druckserver freigegeben sein. IIS sind Voraussetzung
Gehen Sie folgendermaßen vor, um die Internet Informationsdienste zu installieren: 1. Starten Sie den Assistenten für WINDOWS-KOMPONENTEN, der über die Systemsteuerungsoption SOFTWARE/WINDOWS-KOMPONENTEN HINZUFÜGEN UND ENTFERNEN erreichbar ist. 2. Aktivieren Sie hier die Komponente INTERNET-INFORMATIONSDIENSTE (IIS) und starten Sie nach dem Abschluss der Installation den Rechner neu. Die IIS laufen zwar sofort nach der Installation; damit die Druckserverfunktionen genutzt werden können, ist jedoch ein Neustart erforderlich.
Zugriff testen
Der Zugriff auf einen IPP-Druckserver erfolgt im Internetbrowser, indem in der Adresszeile die folgende Adresse eingegeben wird: http://[Servername]/printers. Anstelle des Servernamens ist es auch möglich, die IP-Adresse einzugeben.
IPP-Druckserver testen
Um zu testen, ob IPP funktioniert, sollte versucht werden, auf den Druckserver zunächst lokal zuzugreifen. Hierzu ist die folgende Adresse einzugeben: http://localhost/printers Ist alles ordnungsgemäß eingerichtet, wird die Website des lokalen Systems mit allen freigegebenen Druckern einschließlich Status und Standort, die Anzahl der Druckaufträge, das Drukcermodell sowie den in den Druckereigenschaften eingegebenen Kommentar angezeigt.
Drucker über IPP konfigurieren
514
Die Anzeige der Druckerwarteschlange ist durch einen Klick auf den Namen des gewünschten Druckers möglich. Außerdem sind im Menü auf der linken Seite weitere Konfigurationsmöglichkeiten verfügbar. Für jeden einzelnen Drucker können damit die Dokumentenliste, die Druckerwarteschlange, die Druckereigenschaften sowie der Gerätestatus angezeigt werden. Weiterhin können Druckvorgänge angehalten, fortgesetzt oder abgebrochen werden.
Sandini Bib
Drucken im Netzwerk
Abbildung 11.16: Anzeige lokaler Drucker auf einem IPP-Druckserver Abbildung 11.17: Verwaltung eines Druckers über IPP
Die Druckerwarteschlange eines bestimmten Druckers kann auch direkt angezeigt werden mit http://[Servername]/printers/[Freigabename]/.printer. Zugriffssicherheit konfigurieren Die Konfiguration von IPP ist im Rahmen der Konfiguration der Internet-Informationsdienste möglich und wichtig. Hier kann beispielsweise das gewünschte Authentifizierungsverfahren festgelegt werden.
515
Sandini Bib
11 Drucken und Faxen Kein anonymer Zugriff
Der Zugriff auf den IPP-Druckserver sollte nur autorisierten Benutzern zur Verfügung stehen und ist daher standardmäßig so konfiguriert, dass kein anonymer Zugriff gestattet ist. Um diese und andere sicherheitsrelevante Eigenschaften zu ändern, ist wie folgt vorzugehen: 1. Öffnen Sie beispielsweise über ARBEITSPLATZ/VERWALTEN die COMPUTERVERWALTUNG des Windows XP-Rechners, auf dem die Internet-Informationsdienste installiert sind. Alternativ können Sie auch den Befehl Compmgmt.msc im Ausführen-Dialogfenster eingeben. 2. Das Snap-In INTERNET-INFORMATIONSDIENSTE wird unter DIENSTE UND ANWENDUNGEN automatisch bei der Installation von IIS eingefügt. Hier müssen Sie zunächst WEBSITES und dann STANDARDWEBSITE wählen. 3. Die Konfiguration der Sicherheitseinstellungen von IPP erfolgt unter PRINTERS. Öffnen Sie hier im Eigenschaftendialogfenster über die entsprechende Option im Kontextmenü. 4. Zum Dialogfenster AUTHENTIFIZIERUNGSMETHODEN gelangen Sie über die Registerkarte VERZEICHNISSICHERHEIT und BEARBEITEN im Bereich STEUERUNG DES ANONYMEN ZUGRIFFS UND DER AUTHENTIFIZIERUNG. Für den IPP-Druckserver stehen mehrere Authentifizierungsverfahren zur Verfügung, bei Verwendung in einem Intranet ist die Voreinstellung INTEGRIERTE WINDOWS-AUTHENTIFIZIERUNG sinnvoll.
Authentifizierungsmethoden
516
왘
Bei der Standardauthentifizierung werden der Benutzername und das Kennwort unverschlüsselt über das Internet übertragen. Dies stellt eine sehr niedrige Sicherheitsstufe dar, weil diese Informationen mit entsprechenden Programmen abgehört werden könnten.
왘
Die Digest-Authentifizierung steht nur für Webserver in einer Windows-Domäne zur Verfügung. Bei Aktivierung dieser Option werden Anmeldeinformationen verschlüsselt über das Netz gesendet.
왘
Die Integrierte Windows-Authentifizierung bietet die höchste Sicherheit und ermöglicht den Austausch verschlüsselter Anmeldeinformationen zwischen dem Webbrowser des Client und dem Server.
Sandini Bib
Drucken im Netzwerk Abbildung 11.18: Konfiguration der IPP-Sicherheitseinstellungen
11.3.3
Netzwerkdrucker auf dem Client einrichten
In den vorstehenden Abschnitten wurden die Möglichkeiten vorgestellt, Windows XP als Druckserver einzurichten. Allerdings wird diese Option in Unternehmensnetzwerken eine eher untergeordnete Rolle spielen. Zu den häufigsten Administrationsaufgaben gehört hingegen die clientseitige Einbindung von im Netzwerk verfügbaren Druckern. Damit Rechner auf einen im Netzwerk verfügbaren Drucker zugreifen können, muss der Netzwerkdrucker erst noch eingerichtet werden. Zur Einbindung eines Netzwerkdruckers gibt es verschiedene Möglichkeiten, von denen die am häufigsten angewendeten im Folgenden kurz erläutert werden. Netzwerkdrucker in der Netzwerkumgebung installieren Am einfachsten kann die Einbindung eines Netzwerkdruckers in der Netzwerkumgebung erfolgen, vorausgesetzt, der Name des Druckservers ist bekannt. Unter DRUCKER UND FAXGERÄTE werden alle verfügbaren Drucker des gewählten Druckservers angezeigt. Um einen Drucker einzubinden, genügt es, die Option VERBINDEN Im Kontextmenü zu wählen.
517
Sandini Bib
11 Drucken und Faxen Treiber automatisch übernommen
Falls auf dem Client-Rechner noch kein Druckertreiber vorhanden ist, bezieht er ihn direkt und ohne weitere Rückfrage vom Druckserver, vorausgesetzt, der passende Treiber für das ClientSystem wurde dort bereitgestellt.
Abbildung 11.19: Netzwerkdrucker in der Netzwerkumgebung verbinden
Netzwerkdrucker mit dem Assistenten installieren Da in Unternehmensnetzwerken für Benutzer meist der Zugriff auf die Netzwerkumgebung gesperrt ist, entfällt häufig die erste Möglichkeit. Arbeitsschritte
Alternativ kann auch hier der DRUCKERINSTALLATIONS-ASSISTENT verwendet werden. 1. Wählen Sie in der SYSTEMSTEUERUNG die Option DRUCKER UND FAXGERÄTE und anschließend die Option DRUCKER HINZUFÜGEN. 2. Klicken Sie im WILLKOMMENSBILDSCHIRM auf WEITER und wählen Sie die Option NETZWERKDRUCKER ODER DRUCKER, DER AN EINEN ANDEREN COMPUTER ANGESCHLOSSEN IST. 3. Wenn Sie die genaue Netzwerkadresse des zu installierenden Druckers nicht wissen, genügt es im nächsten Schritt, die erste Option EINEN DRUCKER SUCHEN zu wählen und ohne etwas einzutragen auf WEITER zu klicken. Windows durchsucht dann das Netzwerk nach freigegebenen Druckern und listet sie auf. Wählen Sie dann den gewünschten Drucker aus der Liste aus. 4. Ist der Rechner Teil einer Domäne, kann der Drucker auch im Active Directory mit der Option EINEN DRUCKER IM VERZEICHNIS SUCHEN gesucht werden. Hier haben Sie zusätzliche Möglichkeiten, den Drucker nach bestimmten Kriterien auszuwählen. 5. Abschließend müssen Sie noch angeben, ob der Drucker als Standarddrucker verwendet werden soll. 6. Falls auf dem Client-Rechner noch kein Druckertreiber vorhanden ist, bezieht er ihn direkt und ohne weitere Rückfrage vom Druckserver, vorausgesetzt, der passende Treiber für das Client-System wurde dort, wie beschrieben, bereitgestellt.
518
Sandini Bib
Drucken im Netzwerk Abbildung 11.20: Auswahl des gewünschten Netzwerkdruckers im Druckerinstallations-Assistenten
Netzwerkdrucker über IPP installieren Wird das Internet Printing Protocol (IPP) im Netzwerk eingesetzt, kann ein Drucker auch direkt aus der Webseite über den IPPDruckserver eingebunden werden. Beachten Sie hierzu die Hinweise zu IPP im Abschnitt 11.3.2. 1. Geben Sie im Internetbrowser die folgende Adresse ein: http:// [Servername]/printers. Anstelle des Servernamens ist es auch möglich, die IP-Adresse zu verwenden. Abbildung 11.21: Installation eines Netzwerkdruckers über IPP
519
Sandini Bib
11 Drucken und Faxen
2. Wählen Sie im Bereich DOKUMENTENVORGÄNGE die Option VERBINDUNG HERSTELLEN. Gegebenenfalls müssen Sie sich vor der Installation beim System mit Benutzernamen und Kennwort authentifizieren. 3. Der Drucker wird damit als Netzwerkdrucker in den Ordner DRUCKER UND FAXGERÄTE eingetragen und steht sofort zur Verfügung. Netzwerkdrucker mit Net Use installieren Alternativ können Verbindungen zu Netzwerkdruckern auch mit dem Net use-Befehl hergestellt werden. Das Kommandozeilenprogramm Net.exe ist in Windows XP integriert und bietet Alternativen zu den Benutzerschnittstellen in der GUI. Syntax
Der Befehl Net use verbindet einen Computer mit einer freigegebenen Ressource (hierbei kann es sich auch um einen Drucker handeln) oder trennt die Verbindung und zeigt Informationen zu Verbindungen eines Computers an. Bei Verwendung ohne Parameter präsentiert net use eine Liste der Netzwerkverbindungen. Die Syntax von Net use lautet:
Syntax
net use [{Gerätename | *}] [\\Computername\ Freigabename[\Volume]] [{Kennwort | *}]] [/ user:[Domänenname\]Benutzername] [/user:[punktierter_ Domänenname\]Benutzername] [/user: [Benutzername@punktierter_Domänenname] [/savecred] [/smartcard] [{/delete | /persistent:{yes | no}}]
Der Net use-Befehl zur Einrichtung von Netzwerkverbindungen wird vor allem genutzt, um Benutzern im Anmeldeskript Netzlaufwerke und Drucker zuzuweisen.
11.4
Drucker und Druckaufträge verwalten
Die im Folgenden beschriebenen Konfigurationsmöglichkeiten gelten sowohl für lokale Drucker als auch für Netzwerkdrucker.
11.4.1
Druckereigenschaften konfigurieren
Im Bereich DRUCKER UND FAXGERÄTE der SYSTEMSTEUERUNG werden die installierten Drucker verwaltet. Zugriff auf die Verwaltungsoptionen ist u.a. über das Kontextmenü des betreffenden Druckers möglich.
520
Sandini Bib
Drucker und Druckaufträge verwalten Abbildung 11.22: Optionen zur Druckerverwaltung
Umfangreiche Konfigurationsoptionen stehen zusätzlich zu den in den vorhergehenden Abschnitten bereits beschriebenen in dem Eigenschaftendialogfenster des ausgewählten Druckers zur Verfügung. Die Konfigurationsmöglichkeiten hängen vom gewählten Drucker ab. Auf der Registerkarte ALLGEMEIN können u.a. für einen lokal Allgemein installierten Drucker der Name geändert sowie der Standort und ein Kommentar eingetragen werden. Weiterhin können mittels der Schaltfläche DRUCKEINSTELLUNGEN Feineinstellungen zu Papierformat, Papier- und Druckqualität vorgenommen werden. Außerdem ist von hier aus das Drucken einer Testseite möglich. Auf der Registerkarte FREIGABE kann der Drucker nachträglich für Freigabe die Benutzung durch andere Rechner im Netzwerk freigegeben werden, wenn Sie dies nicht bereits während der Installation getan haben. Den Anschluss, an dem der Drucker angeschlossen ist, konfigu- Anschlüsse rieren Sie auf der Registerkarte ANSCHLÜSSE. Hier können auch neue Anschlüsse definiert werden. Genaue Erläuterungen zur Freigabe von Druckern und zur Konfiguration neuer Anschlüsse finden Sie in Abschnitt 11.3. Auf der Registerkarte GERÄTEEINSTELLUNGEN können die GeräteeinStandardvorgaben für bestimmte Einstellungen am Druckgerät stellungen vorgenommen werden. Abhängig vom Druckertyp können hier Papierformat und -zufuhr konfiguriert werden. Bei Farb- oder PostScript-Druckern stehen hier zusätzliche Optionen zur Verfügung.
521
Sandini Bib
11 Drucken und Faxen
Abbildung 11.23: Konfiguration der Druckeinstellungen in den Druckereigenschaften Abbildung 11.24: Konfiguration der Geräteeinstellungen in den Druckereigenschaften
Interessante Möglichkeiten bietet die Registerkarte ERWEITERT. Hier kann beispielsweise festgelegt werden, ob der Drucker immer oder nur zu eingeschränkten Zeiten zur Verfügung steht. Druckerpriorität
522
Auch die Festlegung der DRUCKERPRIORITÄT ist möglich. Diese legt die Reihenfolge fest, in der ein bestimmter Drucker im Vergleich zu anderen verfügbaren Druckern ausgewählt wird. Die Druckerpriorität legt jedoch nur die Reihenfolge fest, in der ein
Sandini Bib
Drucker und Druckaufträge verwalten
Drucker mehrere Druckaufträge ausführt. Ein Drucker wird die Verarbeitung eines bereits begonnenen Druckauftrags nicht unterbrechen, selbst wenn der Spooler einen Druckauftrag mit einer höheren Priorität empfängt, der für einen Drucker mit einer höheren Priorität am gleichen Anschluss bestimmt ist. Die Konfiguration der Druckerpriorität ist sinnvoll, wenn mehrere logische Drucker für einen physischen Drucker definiert sind. In Zusammenhang mit unterschiedlichen Zugriffsberechtigungen kann einzelnen Benutzern damit ein bevorzugter Zugriff auf ein Druckgerät ermöglicht werden. Weiterhin ist auf dieser Registerkarte die Installation eines neuen Neuer Treiber Druckertreibers möglich. Hierzu steht die Option NEUER TREIBER zur Verfügung. Benutzer, die über Administratorrechte verfügen, können außer- Spoolerdem das Spoolen von Druckaufträgen über die Registerkarte Einstellungen ERWEITERT konfigurieren. Ein Druckauftrag kann entweder an den Spooler oder direkt an den Drucker gesendet werden. An den Spooler gesendete Druckaufträge können so konfiguriert werden, dass der Drucker entweder mit dem Drucken beginnt, sobald dies möglich ist oder nachdem die letzte Seite des Druckauftrags an den Spooler gesendet worden ist. Hierbei werden auf dem Druckserver Druckaufträge gespoolt, die über das Netzwerk übertragen werden, und auf dem lokalen Computer werden Druckaufträge gespoolt, wenn der Drucker direkt angeschlossen ist. Der Spooler ist ein temporärer Speicherort auf der Festplatte, an dem der Druckauftrag so lange gespeichert wird, bis er an den Drucker abgegeben werden kann. Dadurch kann eine Anwendung einen Druckauftrag schneller abwickeln und muss nicht erst auf die Fertigstellung des Druckauftrags warten. Dies ist die Standardeinstellung. Der einzige Grund, den Spooler nicht zu verwenden, wäre Platzmangel auf der Festplatte, was bei den heutigen Kapazitäten aber kaum ein Problem sein dürfte. Wenn der Druckserver mit dem Spooler nicht zur Verfügung steht, kann der Druckauftrag nicht abgewickelt werden. In diesem Fall muss gewartet werden, bis der Spooler wieder verfügbar ist. Wie die vorstehende Abbildung zeigt, können außerdem der Druckprozessor und der zu verwendende Datentyp ausgewählt werden.
523
Sandini Bib
11 Drucken und Faxen Abbildung 11.25: Konfiguration des Datentyps in den erweiterten Druckereigenschaften
Druckprozessor und Datentypen
Der Druckprozessor übergibt den Druckauftrag an den Spooler entsprechend dem ausgewählten Datentyp. Beim Drucken unter Windows werden normalerweise fünf Standarddatentypen unterstützt. Die zwei am häufigsten verwendeten Datentypen sind hierbei EMF und RAW. 왘
524
EMF (Enhanced MetaFile) EMF ist das standardmäßig verwendete Format. Hierbei wird der Druckauftrag vom Client vor dem Spoolen vom GDI (Graphical Device Interface) und nicht wie bei RAW-Druckerdaten vom Druckertreiber erstellt. Nach dem Erstellen von EMFDateien wird die Steuerung an den Benutzer zurückgegeben, die EMF-Datei im Hintergrund interpretiert und an den Druckertreiber übergeben. Die eigentliche Verarbeitung erfolgt damit im Spooler. Wenn der Spooler auf einem Druckserver im Netzwerk läuft, wird der lokale Client erheblich entlastet.
Sandini Bib
Drucker und Druckaufträge verwalten
EMF-Dateien sind besser übertragbar als RAW-Dateien. Eine EMF-Datei kann auf jedem Druckgerät ausgegeben werden, wohingegen eine RAW-Datei nur auf einem Druckgerätemodell gedruckt werden kann. Darüber hinaus ist der Satz der EMF-Dateien, der alle Seiten eines Druckauftrags umfasst, kleiner als eine RAW-Datei, die denselben Druckauftrag beinhaltet. Außerdem stellt das EMF-Format sicher, dass die auf dem Client angegebenen Schriftarten den vom Druckserver verwendeten entsprechen. 왘
RAW (Rohdatenformat) RAW ist das Standardformat für alle Clients, die nicht unter Windows laufen. Die Daten werden nicht im Spooler geändert, sondern direkt an den Drucker übergeben. Der RAW-Datentyp teilt dem Spooler mit, dass der Druckauftrag in keiner Weise geändert werden darf und in der vorliegenden Form druckbereit vorliegt. Es werden zwei RAW-Datentypen unterschieden: 왘
RAW [FF Appended] Dieser Datentyp teilt dem Spooler mit, dass der Druckauftrag von einer Anwendung stammt, die dem Ende des Druckauftrags kein Seitenvorschubzeichen hinzufügt. Ohne einen Seitenvorschub-Nachspann würde die letzte Seite des Druckauftrags bei PCL-Druckgeräten nicht ausgegeben. Der Spooler fügt dem Ende des Druckauftrags ein Seitenvorschubzeichen hinzu, führt jedoch keine weiteren Änderungen durch. Bricht ein Programm den Druckprozess ab, ohne die Seite zu füllen, wartet der Drucker auf den Abschluss. Mit dieser Option erzwingen Sie den abschließenden Umbruch.
왘
RAW [FF Auto] Dieser Datentyp ähnelt dem RAW [FF Appended]-Datentyp, jedoch weist der RAW [FF Auto]-Datentyp den Spooler an, den Druckauftrag auf ein Seitenvorschubzeichen am Ende des Auftrags hin zu überprüfen. Ist das der Fall, unternimmt der Spooler nichts, ansonsten wird der Seitenumbruch angehängt.
왘
TEXT Mit der Einstellung TEXT werden reine ANSI-Daten gesendet, die nicht vom Spooler modifiziert werden. Der Drucker gibt diese in seiner Standardschriftart aus. Dies eignet sich besonders, wenn der Druckauftrag aus einfachem Text besteht und das Druckgerät (beispielsweise ein PostScript-Drucker) Aufträge mit einfachem Text nicht interpretieren kann.
525
Sandini Bib
11 Drucken und Faxen Sicherheit
Windows XP wendet auch beim Drucken differenzierte Zugriffsrechte an, die auf der Registerkarte SICHERHEIT geändert werden können. Hier können Berechtigungen für das Drucken, das Verwalten des Druckers und das Verwalten von Dokumenten eingestellt werden. Außerdem können spezielle Berechtigungen konfiguriert werden. Die hier konfigurierten Sicherheitseinstellungen gelten auch für die Nutzung des Druckers über das Netzwerk. Es gibt drei Ebenen von Druckerberechtigungen: Drucken, Dokumente verwalten und Drucker verwalten. Mit diesen drei Berechtigungsstufen sind die folgenden Rechte verbunden:
Tabelle 11.1: Berechtigungsebenen für die Druckerverwaltung
Beinhaltet Berechtigung für
Drucken
Dokumente verwalten
Drucker verwalten
Dokumente drucken
Ja
Ja
Ja
Herstellen der Verbindung zu einem Netzwerkdrucker
Ja
Ja
Ja
Eigene Druckaufträge anhalten, abbrechen, erneut planen
Ja
Ja
Ja
Alle Druckaufträge anhalten, abbrechen, erneut planen oder umleiten
Nein
Ja
Ja
Verwalten von Druckern (Freigeben eines Druckers, Ändern der Druckereigenschaften u.a.)
Nein
Nein
Ja
Standardberechtigungen
Standardmäßig verfügen alle Benutzer als Mitglieder der Gruppe „Jeder“ über die Berechtigung „Drucken“. Auf einem Windows XP-Rechner besitzen außerdem Administratoren und Hauptbenutzer die Berechtigung „Dokumente verwalten“. Das Recht „Dokumente verwalten“ hat nur der Besitzer des jeweiligen Dokuments.
Berechtigungen zuweisen
Um den Zugriff auf einen Drucker einzuschränken, können die Einstellungen der Druckerberechtigungen für eine bestimmte Gruppe oder einen bestimmten Benutzer geändert werden. Wenn ein Benutzer Mitglied von zwei Gruppen ist und eine Gruppe keinen Zugriff auf den Drucker hat, überschreibt die Einstellung unter VERWEIGERN die Einstellung unter ZULASSEN.
526
Sandini Bib
Drucker und Druckaufträge verwalten Abbildung 11.26: Konfiguration von Druckerberechtigungen
Die Registerkarte FARBVERWALTUNG Ermöglicht die Verwaltung Farbmanagevon Farbprofilen. Windows XP unterstützt wie schon seine Vor- ment gänger den ICC-Farbmanagementstandard und bietet mit dem Image Color Management (ICM) eine Schnittstelle, die dabei hilft, eine genaue und konsistente Farbdarstellung auf allen Ausgabegeräten sicherzustellen. In der Regel unterscheidet sich die Farbausgabe zwischen Scannern, Bildschirmen, Druckern und Anwendungen. Ohne ein Standard-Farbverwaltungssystem würden die Ergebnisse hinsichtlich der Farbdarstellung zwischen Programmen und der Ausgabe auf den verschiedenen Hardware-Komponenten sehr unterschiedlich ausfallen. Ein Farbverwaltungssystem hilft dabei, diese Schwierigkeiten zu umgehen, indem es standardisierte Farbprofile bereitstellt und die Erstellung zusätzlicher Farbprofile ermöglicht. Bei jedem Hinzufügen eines neuen Geräts zum Computer wird Farbprofile ein Farbprofil installiert, das bei allen Scan-, Anzeige- oder Druckvorgängen für Farben verwendet wird. Farbprofile übermitteln die Farbeigenschaften eines Geräts an das Farbverwaltungssystem Die Farbverwaltung läuft standardmäßig automatisch ab, kann bei besonderen Anforderungen aber manuell konfiguriert werden, indem angegeben wird, welches Farbprofil für einen Scanner, Bildschirm oder Drucker verwendet wird. Hierfür stellt ICM eine Methode zur Auswahl alternativer Profile bereit.
527
Sandini Bib
11 Drucken und Faxen Abbildung 11.27: Konfiguration der FarbmanagementEinstellungen
Um beispielsweise die Farbwiedergabe von Bildschirm und Drucker zu synchronisieren, können Sie folgendermaßen verfahren: 1. Öffnen Sie in dem Grafikprogramm, in dem Sie die Seite oder das Bild erstellt haben, im Menü DATEI die FARBVERWALTUNG. Das Grafikprogramm muss die Bildfarbverwaltung (Image Color Management, ICM) 2.0 unterstützen. 2. Wählen Sie die Option FARBVERWALTUNG AKTIVIEREN und anschließend GRUNDLEGENDE FARBVERWALTUNG. 3. Wählen Sie unter MONITORPROFIL das Farbprofil, das Sie für den Bildschirm verwenden möchten. 4. Wählen Sie unter DRUCKERPROFILE das Farbprofil, das Sie für den Drucker verwenden möchten. 5. Klicken Sie im Feld WIEDERGABEPRIORITÄT auf die gewünschte Wiedergabepriorität. Hierbei handelt es sich um eine Methode, mit der die Farben, die in einer Grafikdatei angegeben sind, auf die Farbskala eines Druckers oder des Bildschirms abgebildet werden. Weitere Register
528
Bei einigen Druckermodellen werden weitere Registerkarten verwendet. Abhängig vom verwendeten Drucker finden sich hier beispielsweise Dienste zur Wartung von Tintenpatronen.
Sandini Bib
Drucker und Druckaufträge verwalten Abbildung 11.28: Druckermodellabhängige Einstellungen zur Wartung von Tintenpatronen
11.4.2
Druckaufträge verwalten
Neben der Verwaltung von Druckern und Druckservern gehört auch die Verwaltung der Dokumente in einer Druckerwarteschlange zu den administrativen Aufgaben im Druckerumfeld. Sobald ein Druckauftrag abgeschickt ist, erscheint so lange ein Druckerwartekleines Druckersymbol im Infobereich der Taskleiste, bis der schlange öffnen Druckauftrag an den Spooler weitergeleitet wurde. Gibt es dabei Probleme, wird dem Symbol ein rotes Fragezeichen hinzugefügt. Mit einem Doppelklick auf das Symbol kann die Druckerwarteschlange geöffnet werden. Alternativ kann diese auch über SYSTEMSTEUERUNG/DRUCKER UND FAXGERÄTE durch einen Doppelklick auf den betreffenden Drucker geöffnet werden. In diesem Fenster können alle wesentlichen Vorgänge in Zusammenhang mit dem Drucken bzw. der zu druckenden Dokumente in der Druckerwarteschlage gesteuert werden: 왘
Anhalten oder Fortsetzen des Druckvorgangs
왘
Neustart des Druckvorgangs vom Beginn des Dokuments an
왘
Löschen eines Dokuments
529
Sandini Bib
11 Drucken und Faxen 왘
Anzeigen (nicht Ändern) von Papiergröße, Papierquelle, Seitenausrichtung und Anzahl der Exemplare
왘
Anzeigen und Ändern verschiedener Dokumenteinstellungen wie beispielsweise die Priorität des Dokuments und die beim Abschluss des Druckvorgangs zu benachrichtigende Person
왘
Drucker anhalten und einen angehaltenen Drucker wieder in Betrieb nehmen oder alle Druckaufträge abbrechen
Abbildung 11.29: Optionen zur Verwaltung eines in der Druckerwarteschlange stehenden Dokuments
Zu druckende Dokumente verwalten
Abbildung 11.30: Eigenschaftendialogfenster eines in der Druckerwarteschlange stehenden Dokuments
530
Im Kontext jedes zu druckenden Dokuments befinden sich Optionen, mit denen der Druckvorgang für das einzelne Dokument angehalten, fortgesetzt oder abgebrochen werden kann. Zusätzlich können im Eigenschaftendialogfenster des Druckauftrags die Priorität und der Zeitplan modifiziert werden. Andere Eigenschaften können zwar eingesehen, aber nicht bearbeitet werden.
Sandini Bib
Die Faxfunktionen von Windows XP
11.5
Die Faxfunktionen von Windows XP
Mit dem integrierten Faxdienst können direkt aus Windows XP heraus Faxe gesendet und empfangen werden. Benötigt wird hierzu nur ein Faxmodem oder ein ISDN-Adapter; gesonderte Software ist nicht erforderlich. Aus Anwendersicht ist das Versenden eines Dokuments als Fax nichts anderes als das Abschicken eines Druckauftrags an den Faxdrucker. Ist der Faxdienst installiert, stehen die folgenden Möglichkeiten Leistungsmerkmale zur Verfügung: 왘
Faxe senden und empfangen
왘
Faxaktivitäten nachverfolgen und überwachen
왘
Faxe archivieren sowie auf archivierte Faxe zugreifen
11.5.1
Faxdienst installieren und konfigurieren
Bei einer Standardinstallation von Windows XP wird das integrierte Faxprogramm nicht installiert. Es kann nachträglich installiert werden, bevor die Funktionen des Faxdruckers genutzt werden können. Zur Durchführung der Installation sind Administratorrechte erforderlich. Gehen Sie wie folgt vor, um den Faxdienst zu installieren: 1. Um den Faxdienst in Windows XP nachträglich zu installieren, wählen Sie START/SYSTEMSTEUERUNG/SOFTWARE und dann WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN. 2. Aktivieren Sie die Option FAXDIENSTE und klicken Sie auf WEITER. Gegebenenfalls wird die Windows XP-Betriebssystem-CDROM angefordert. Anschließend wird der Faxdienst installiert. Alternativ können Sie auch im Ordner DRUCKER UND FAXGERÄTE prüfen, ob der Faxdienst bereits installiert ist. Ist dies nicht der Fall, finden Sie unter DRUCKERAUFGABEN die Option FAXINSTALLATION. Sie werden ebenfalls aufgefordert, die Windows XP-Installations-CD-ROM einzulegen, alles Weitere geschieht automatisch. Die anschließende Installation eines lokalen Faxdruckers verläuft sehr einfach. Im Ordner DRUCKER UND FAXGERÄTE erscheint als spezielle Ordneraufgabe die Option LOKALEN FAXDRUCKER INSTALLIEREN, sobald der Faxdienst läuft. Mit einem Klick auf
531
Sandini Bib
11 Drucken und Faxen
diese Option wird der lokale Faxdrucker installiert und erscheint in der Liste der Drucker mit dem Eintrag FAX. Abbildung 11.31: Option zur Installation des Faxdruckers im Ordner Drucker und Faxgeräte
Ist ein Faxmodem oder ISDN-Gerät installiert, wird mit einem weiteren Doppelklick auf den neu erzeugten Faxdrucker der Faxkonfigurations-Assistent gestartet, der durch die Ersteinrichtung führt. Auch beim ersten Start der Faxkonsole über START/ALLE PROGRAMME/ZUBEHÖR/KOMMUNIKATION/FAX/FAXKONSOLE erscheint der Faxkonfigurations-Assistent, der dabei hilft, die vollständige Absenderinformation einzugeben sowie das Faxgerät auszuwählen. Hier kann außerdem das Senden und/oder Empfangen von Faxen aktiviert werden. Für den Empfang ist anzugeben, ob der Faxanruf manuell oder automatisch entgegengenommen wird. In dem letzten Dialogfenster ist die Absenderkennung einzutragen, die auf den versendeten Faxen erscheinen soll. FaxdruckerEigenschaften
Danach können die Faxeinstellungen konfiguriert werden. Das Eigenschaftendialogfenster des Faxdruckers unterscheidet sich von anderen Druckern durch die zusätzlichen Registerkarten GERÄTE, NACHVERFOLGUNG, ARCHIVE und FAXSICHERHEIT. 왘
532
Registerkarte Geräte Unter GERÄTE werden alle automatisch erkannten Faxgeräte aufgelistet. Sind mehrere Geräte angeschlossen, kann ausgewählt werden, mit welchem Faxe gesendet werden sollen. Mit Hilfe der Option EIGENSCHAFTEN können die Geräteeigenschaften des jeweils ausgewählten Geräts angezeigt werden.
Sandini Bib
Die Faxfunktionen von Windows XP 왘
Registerkarte Nachverfolgung Auf der Registerkarte NACHVERFOLGUNG kann eingestellt werden, für welche Faxereignisse Benachrichtigungen auf dem Bildschirm gezeigt werden sollen: 왘
Fortschritt beim Senden oder Empfangen von Faxen
왘
Erfolg oder Fehler bei ein- und ausgehenden Faxen
Hier kann auch festgelegt werden, wann der Faxmonitor automatisch eingeblendet wird (beim Senden und/oder beim Empfangen von Faxen). Zusätzlich können akustische Benachrichtigungen aktiviert oder deaktiviert werden. 왘
Registerkarte Archive Auf der Registerkarte ARCHIVE wird der Speicherort für eingehende und für verschickte Faxe festgelegt. Standardmäßig erfolgt die Ablage in den folgenden Ordnern: Eingehende Faxe: C:\Dokumente und Einstellungen\All Users\ Anwendungsdaten\Microsoft\Windows NT\MSFax\Inbox Ausgehende Faxe: C:\Dokumente und Einstellungen\All Users\ Anwendungsdaten\Microsoft\Windows NT\MSFax\SentItems
왘
Registerkarte Faxsicherheit Die Registerkarte FAXSICHERHEIT ermöglicht es, Berechtigungen für das Versenden von Faxen sowie für die Verwaltung von Faxdokumenten einzustellen.. Abbildung 11.32: Eigenschaftendialogfenster eines Faxdruckers
533
Sandini Bib
11 Drucken und Faxen
11.5.2
Faxe versenden
Einfache Faxe, die nur aus einem Deckblatt bestehen, können direkt aus dem DRUCKER UND FAXGERÄTE-Dialogfenster gesendet werden. Mehrseitige Faxe werden aus der jeweiligen Anwendung heraus verschickt, in der sie erstellt wurden. Assistent zum Senden von Faxen
In beiden Fällen öffnet sich der ASSISTENT ZUM SENDEN VON FAXEN. Der Versand eines Faxes mit diesem Assistenten umfasst die folgenden Arbeitsschritte: 1. Nach dem Willkommensfenster des Assistenten geben Sie den Empfänger und die Faxnummer des Empfängers ein. Weitere Adressaten können mit Hilfe der Option HINZUFÜGEN EINER LISTE hinzugefügt werden. .
Abbildung 11.33: Faxversand mit dem Assistenten zum Senden von Faxen
Sie können an dieser Stelle auf Ihr Outlook-Adressbuch zugreifen. Falls das Adressbuch Faxnummern enthält, können Sie mit der Schaltfläche ADRESSBUCH Daraus die gewünschten Adressen auswählen. 2. Im nächsten Fenster geben Sie an, ob ein Deckblatt verwendet wird. In der Auswahlliste DECKBLATTVORLAGE erscheinen vier vorgefertigte Deckblätter sowie gegebenenfalls mit dem Deckblatt-Editor selbst gestaltete Deckblätter zur Auswahl. Geben Sie außerdem eine Betreffzeile und eventuell Anmerkungen an.
534
Sandini Bib
Die Faxfunktionen von Windows XP
3. Bestimmen Sie, ob das Fax sofort oder zu einer bestimmten Zeit, in der verbilligte Tarife gelten, verschickt werden soll und stellen Sie die Priorität mit Hoch, Normal oder Niedrig ein. 4. Im letzten Schritt werden Ihre Angaben noch einmal zusammengefasst und Sie erhalten Gelegenheit, das Fax in der Vorschau zu betrachten,.. 5. Wenn das Fax verschickt wird, zeigt der Faxmonitor Informationen über den Status des Versendens auf dem Bildschirm an.
11.5.3
Die Faxkonsole
Die Faxkonsole ist das eigentliche Programmfenster, in dem der Faxdienst verwaltet wird. In deren linken Bereich befinden sich vier Einstellungsoptionen Ordnerstruktur EINGEHEND: Hier werden alle Meldungen aufgelistet, die Vorgänge um eingehende Faxe betreffen; im EINGANGSFACH werden eingehende Faxe abgelegt; im AUSGANGSFACH werden ausgehende Faxe so lange gespeichert, bis sie versendet wurden; danach erscheinen sie unter GESENDETE ELEMENTE. Abbildung 11.34: Ordnerstruktur der Faxkonsole
Der Menübefehl EXTRAS/FAXDRUCKERKONFIGURATION öffnet dasselbe Dialogfeld, das auch über die Eigenschaften des lokalen Faxdruckers im Ordner DRUCKER UND FAXGERÄTE zugänglich ist. Hier können die Angaben zum Absender und zum verwendeten Faxgerät geändert werden. Weiterhin kann hier mit der Option PERSÖNLICHE DECKBLÄTTER/ FaxdeckblattNEU im Menü EXTRAS der Deckblatt-Editor gestartet werden. Es Editor handelt sich hierbei um ein einfaches Programm, in dem vorgefertigte Textfelder sowie einfache geometrische Formen eingefügt und positioniert werden können.
535
Sandini Bib
Sandini Bib
12
Kommunikation
Stephanie Knecht-Thurmann In diesem Kapitel werden Ihnen die zentralen Kommunikationsanwendungen des Windows XP-Betriebssystems vorgestellt. Dazu zählen in erster Linie der Internet Explorer sowie die Anpassungsund Konfigurationsoptionen über das Internet Explorer Administration Kit, aber auch die integrierten FTP-Clients, Outlook Express und der Microsoft Messenger.
12.1
Internet Explorer
In diesem Kapitel lernen Sie zahlreiche Funktionalitäten des Internet Explorer kennen. Dies reicht von verschiedenen Sicherheitseinstellungen bis hin zum Internet Explorer Administration Kit (IEAK). Eine Menge Tipps und Tricks rund um den Internet Explorer runden das Kapitel ab.
12.1.1
Testen und Absichern der Internetverbindung
Nach der in Kapitel 8 beschriebenen Konfiguration der Internetverbindung sollten Sie diese nun testen und zugleich absichern. Wenn Sie die angelegte Verbindung aufrufen, sind abhängig davon, ob Sie im Rahmen der Konfiguration den Benutzernamen und das Kennwort angegeben haben, diese beiden Einträge bereits vorhanden (siehe Abbildung 12.1). Weiterhin können Sie bestimmen, ob diese Angaben für sämtliche Benutzer oder nur für den eigenen Benutzer verwendet werden sollen. Deaktivieren Sie hingegen die Checkbox BENUTZERNAMEN UND KENNWORT SPEICHERN FÜR, so müssen Sie die Einträge bei jedem Verbindungsaufruf neu eingeben. Allerdings besteht so auch eine geringere Gefahr, dass die Verbindungsdaten ausgelesen werden – es sei denn, Sie speichern das Kennwort in einer Datei auf dem Computer, sodass es von dort aus gelesen werden kann.
537
Sandini Bib
12 Kommunikation Abbildung 12.1: Testen und Absichern der Internetverbindung
Über die Schaltfläche EIGENSCHAFTEN können Sie weitere Optionen für die Verbindung bestimmen. Auf der Registerkarte ALLGEMEIN sollten Sie die Checkbox SYMBOL BEI VERBINDUNG IM INFOBEREICH ANZEIGEN markieren. So haben Sie stets im Blick, ob die Verbindung aktiv ist oder nicht. Sobald Sie dieses Symbol im Infobereich mit der rechten Maus anklicken, können Sie darüber auch die Verbindung trennen. Auf der Registerkarte OPTIONEN können Sie festlegen, welche Statusinformationen während der Einwahl angezeigt werden und wie viele Wahlwiederholungen durchgeführt werden sollen. Besonders interessant ist hier die Auswahl für LEERLAUFZEIT, NACH DER AUFGELEGT WIRD. Bei Wahlverbindungen ist hier standardmäßig der Wert 20 MINUTEN eingetragen, bei einer Breitbandverbindung der Wert NIEMALS. Diese Werte können in verschiedene Intervalle von 1 MINUTE bis 24 STUNDEN und NIEMALS geändert werden. Der Eintrag NIEMALS bei einer Breitbandverbindung ist lediglich bei einer Flatrate sinnvoll, aber selbst in diesem Fall sollten Sie eine Trennung nach maximal 24 Stunden in Betracht ziehen. Beim Einsatz von T-Online wird diese Trennung automatisch alle 24 Stunden durch T-Online vorgenommen und danach wiederhergestellt. Dabei wird eine neue IP-Adresse zugeordnet. Automatisches Trennen der Internetverbindung Standardmäßig sollten Sie, sobald Sie den Internet Explorer schließen, ein Hinweisfenster erhalten, in dem Sie gefragt werden, ob Sie die Verbindung trennen möchten. Dieses Fenster erscheint auch, wenn beispielsweise Outlook oder Outlook Express eine
538
Sandini Bib
Internet Explorer
Internetverbindung hergestellt hat und Sie das Programm beenden. Allerdings kann es z.B. durch die Installation bestimmter Software dazu kommen, dass dieses Fenster nicht mehr angezeigt wird. Sie können dann entweder die Verbindung über das entsprechende Symbol im Infobereich trennen oder aber das Fenster auf folgende Weise zurückholen: 1. Öffnen Sie im Internet Explorer das Menü EXTRAS/INTERNETOPTIONEN und wechseln auf die Registerkarte VERBINDUNGEN. 2. Markieren Sie die gewünschte DFÜ-Verbindung und klicken auf EINSTELLUNGEN. In dem dann erscheinenden Fenster klicken Sie auf ERWEITERT. 3. Im Fenster ERWEITERTE EINSTELLUNGEN FÜR DFÜ-NETZWERK (siehe Abbildung 12.2) markieren Sie die Checkbox VERBINDUNG TRENNEN, WENN DIESE NICHT MEHR BENÖTIGT WIRD. Klicken Sie dann auf OK. Sie sollten nun beim Schließen des Internet Explorer wieder das Abfragefenster erhalten. Führt diese Methode nicht zum Erfolg, müssen Sie den Internet Explorer neu installieren. Abbildung 12.2: Wiederherstellen des Fensters zur Verbindungstrennung beim Schließen des Internet Explorer
12.1.2
Sicherheitseinstellungen im Internet Explorer
Nachdem Sie die Internetverbindung hergestellt haben, sollten Sie weitere Sicherheitsmaßnahmen am Internet Explorer konfigurieren. Diese Einstellungen haben nichts mit der ICF (Internet Connection Firewall) zu tun und sollten auch dann vorgenommen werden, wenn Sie die ICF benutzen.
Generelle Absicherung des Internet Explorer
Da die Internet Explorer-Sicherheitseinstellungen nicht nur für den Internet Explorer selbst, sondern auch für andere Anwendungen (z.B. Outlook Express) gelten, sind diese im Abschnitt Sicherheit unter Kapitel 15.6 erläutert.
12.1.3
Der integrierte Popupblocker
Mit der Installation des Service Pack 2 wird der Internet Explorer Neues Feature um einen integrierten Popupblocker erweitert. Damit dieses neue Feature auch seinen Zweck erfüllen kann, sind einige Konfigurationsschritte notwendig.
539
Sandini Bib
12 Kommunikation
Abbildung 12.3: Diese Informationsleiste erscheint, wenn ein Popup blockiert worden ist.
Im Menü EXTRAS des Internet Explorer finden Sie den zusätzlichen Eintrag POPUPBLOCKER. Darüber können Sie den Popupblocker komplett deaktivieren, Popups temporär oder für die aktuelle Seite immer zulassen. Das Zulassen von Popups für eine bestimmte Seite ist sinnvoll, wenn sich beispielsweise für Anmeldeinformationen ein Popup-Fenster öffnet. Würde dieses nicht zugelassen, könnte die Anmeldung nicht durchgeführt werden. Sobald ein Popup blockiert worden ist, erhalten Sie unterhalb der Adresszeile eine zusätzliche Zeile im Internet Explorer (siehe Abbildung 12.3), die auf die Blockade hinweist. Abbildung 12.4: Konfigurationsoptionen für den Popupblocker
Über das Menü EXTRAS können Sie auch generelle Einstellungen für den Popupblocker vornehmen (siehe Abbildung 12.4). Im Feld ADRESSE DER WEBSITE, DIE ZUGELASSEN WERDEN SOLL tragen Sie die Internetadressen der Seiten ein, auf denen die Popups nicht blockiert werden sollen. Klicken Sie dann auf HINZUFÜGEN. Aus dem Bereich ZUGELASSENE SITES können Sie diese später auch wieder entfernen. Weiterhin können Sie festlegen, ob ein Sound ausgegeben werden soll, wenn ein Popup geblockt wird, und ob die
540
Sandini Bib
Internet Explorer
Informationsleiste angezeigt werden soll. Schließlich können Sie noch eine von drei Filterungsstufen für die Blockade auswählen: 왘
NIEDRIG Es werden die Popups der Seiten zugelassen, die als sicher eingestuft sind.
왘
MITTEL Mit dieser Einstellung werden die meisten Popups blockiert. Hierbei handelt es sich um die Standardeinstellung.
왘
HOCH Es werden sämtliche Popups blockiert. Allerdings können Sie die Blockade durch Drücken der Taste (Strg) aufheben.
12.1.4
Die Startseite des Internet Explorer ändern
Sobald Sie den Internet Explorer starten, öffnet sich standardmäßig die Seite www.msn.de. Man bezeichnet diese Seite auch als Startseite. Verwenden Sie beispielsweise den von T-Online bereitgestellten Internet Explorer, so wird als Startseite die Seite von T-Online angezeigt. Hierbei handelt es sich um gewollte Einstellungen. Es besteht jedoch auch die Gefahr, dass sich einige Seiten (vorzugsweise aus dem Erotikbereich) ungefragt als neue Startseite eintragen. Dieses Risiko können Sie zwar ausschließen, wenn Sie Skripte und ActiveX deaktivieren, jedoch sollte in diesem Fall trotzdem eine andere Startseite gewählt werden, wenn sich eine unliebsame Seite eingetragen hat. Öffnen Sie dazu das Menü EXTRAS/INTERNETOPTIONEN. Im Bereich STARTSEITE können Sie eine leere Seite als Startseite wählen. Diese wird mit der Adresse (about:blank) in der Adressleiste angezeigt. Über AKTUELLE SEITE wird die gerade im Browser angezeigte Seite als Startseite festgelegt und über Standardseite wird wiederum die Seite www.msn.de oder im Falle des T-OnlineInternet Explorer die T-Online-Seite eingerichtet. Bestätigen Sie die Auswahl mit OK.
12.1.5
Die Funktion Autovervollständigen
Der Internet Explorer bietet die Funktion, Formularfelder auto- Nützliche, aber matisch auszufüllen, sobald Sie einmal eine Eingabe in einem sol- auch riskante Funktion chen Feld vorgenommen haben. Diese Funktion hat einerseits den Vorteil, dass Sie immer wiederkehrende Eingaben nicht jedes Mal neu vornehmen müssen, andererseits stellen die gespeicherten
541
Sandini Bib
12 Kommunikation
Autovervollständigen-Einträge auch ein Sicherheitsrisiko dar. Sobald Sie im Internet Explorer zum ersten Mal ein Formularfeld ausfüllen, werden Sie gefragt, ob Sie diese Funktion aktivieren möchten oder nicht. Diese Einstellung können Sie später wieder ändern. Öffnen Sie dazu das Menü EXTRAS/INTERNETOPTIONEN und wechseln auf die Registerkarte INHALTE. Dort klicken Sie auf AUTOVERVOLLSTÄNDIGEN. Sie können nun festlegen, für welche Bereiche Autovervollständigen genutzt werden soll (siehe Abbildung 12.5). Aus Sicherheitsgründen sollten Sie mit der Option BENUTZERNAMEN UND KENNWÖRTER FÜR FORMULARE vorsichtig umgehen. Haben Sie diese Option aktiviert, stellen Sie in jedem Fall sicher, dass NACHFRAGEN, OB KENNWÖRTER GESPEICHERT WERDEN SOLLEN aktiviert ist. So gewährleisten Sie, dass Kennwörter nicht unbemerkt gespeichert werden. Zusätzlich haben Sie die Möglichkeit, über die entsprechenden Schaltflächen sämtliche vorhandenen Formulareinträge und/oder Kennwörter zu löschen. Abbildung 12.5: Die Konfiguration des Feature Autovervollständigen
Löschen einzelner Einträge aus der Liste Möchten Sie aus der Liste der Einträge einen bestimmten Eintrag löschen, etwa weil Sie sich verschrieben haben oder ein Eintrag nicht mehr aktuell ist, so öffnen Sie eine Website mit einem Formularfeld und klicken in dieses hinein. Unterhalb des Feldes erscheint nun die Liste aller verfügbaren Einträge. Navigieren Sie mit Hilfe der Tasten (¼) und (½) zum gewünschten Eintrag und drücken Sie dann die Taste (Entf) . Auf diese Weise können Sie gezielt Einträge löschen.
542
Sandini Bib
Internet Explorer
12.1.6
Sperren bestimmter Inhalte und Internetseiten
Sollen bestimmte Inhalte oder spezielle Internetseiten nicht verfügbar gemacht werden, so können Sie diese Sperrung auf zweierlei Arten vornehmen. Sperren bestimmter Internetseiten Soll der Zugriff auf Seiten verhindert werden, deren explizite Adresse Sie kennen, so führen Sie die folgenden Schritte aus: 1. Öffnen Sie die Datei hosts mit einem beliebigen Texteditor. Diese befindet sich im Verzeichnis \WINDOWS\SYSTEM32\DRIVERS\ ETC. In dieser Datei sind Namen der Computer und zugehörige IP-Adressen für die Namensauflösung eingetragen, sofern diese nicht per DNS erfolgt. 2. Tragen Sie hier die IP-Adresse 127.0.0.1 für die unerwünschte Website ein (siehe Abbildung 12.6). Damit erreichen Sie, dass der Aufruf der Seite auf die IP-Adresse des lokalen Systems (localhost) umgeleitet wird. Anstelle der gewünschten Seite erhält der Benutzer die Meldung DIE SEITE KANN NICHT ANGEZEIGT WERDEN im Internet Explorer. 3. Speichern Sie die Änderungen und starten den Computer neu. Abbildung 12.6: Fügen Sie die Adresse der unerwünschten Website zur Datei hosts hinzu.
Sperren bestimmter Inhalte Möchten Sie hingegen generell bestimmte Inhalte und nicht nur spezielle Adressen sperren, so verwenden Sie den Inhaltsratgeber des Internet Explorer. Dieses Feature ist zwar in erster Linie als Kindersicherung gedacht, lässt sich aber auch in einem Unternehmen einsetzen, um die Mitarbeiter vor Inhalten wie Sex, Porno usw. zu schützen. Oder sollte man eher sagen, ihnen diese Inhalte zu verweigern?
543
Sandini Bib
12 Kommunikation
1. Öffnen Sie in den Internetoptionen die Registerkarte INHALTE und klicken unter INHALTSRATGEBER auf AKTIVIEREN. 2. Sie können nun auf der Seite FILTER eine der vier vordefinierten Kategorien auswählen und über den Schieberegler die Stufe festlegen, die Sie zur Betrachtung freigeben (siehe Abbildung 12.7). Für jede der Stufen finden Sie eine kurze Beschreibung. Es stehen jeweils vier Stufen zur Verfügung. Bestätigen Sie Ihre Auswahl mit OK. Abbildung 12.7: Festlegen der Konfiguration für den Inhaltsratgeber
3. Um die Einstellungen später wieder zu ändern, klicken Sie auf EINSTELLUNGEN. Sehr wichtig ist es, auf der Registerkarte ALLGEMEIN unter SUPERVISORKENNWORT ein Passwort anzugeben. Anderenfalls könnten sämtliche hier vorgenommenen wohlgemeinten Einstellungen durch den Mitarbeiter wieder außer Kraft gesetzt werden.
12.2
Tipps und Tricks rund um den Internet Explorer
In diesem Kapitel finden Sie eine Reihe von Tipps und Tricks, die die Arbeit mit dem Internet Explorer vereinfachen.
544
Sandini Bib
Tipps und Tricks rund um den Internet Explorer
12.2.1
Gesperrte Kontextmenüs in Websites wieder aktivieren
Wahrscheinlich haben Sie auch schon mit der einen oder anderen Website Bekanntschaft gemacht, in der das Kontextmenü der rechten Maustaste nicht verfügbar ist. Führen Sie auf einer solchen Seite einen Rechtsklick aus, erhalten Sie ein nettes Hinweisfenster, dass das Kontextmenü deaktiviert ist. In aller Regel werden solche Schutzmechanismen eingebaut, um den Besucher davon abzuhalten, über das Kontextmenü Bilder zu speichern, Inhalte zu kopieren usw. Dennoch gibt es eine Methode, die in den meisten Fällen funktioniert und das Kontextmenü wieder verfügbar macht. Sie besteht nicht darin, die Verarbeitung der Skripte zu deaktivieren (dann wird wahrscheinlich ein Großteil der Seite auch nicht mehr funktionieren). Sobald sich das Hinweisfenster geöffnet hat, halten Sie die rechte Maustaste gedrückt und schließen das Fenster, indem Sie die Taste (Leertaste) drücken. Danach sollte das Kontextmenü wieder verfügbar sein.
12.2.2
Die begrenzte Anzahl gleichzeitiger Downloads heraufsetzen
Möglicherweise haben Sie bereits festgestellt, dass unter Windows Mehr als zwei XP (wie auch unter Windows Server 2003) nur zwei gleichzeitige gleichzeitige Downloads Downloads möglich sind. Leiten Sie einen dritten Download ein, während die beiden ersten noch laufen, so wird dieser erst gestartet, nachdem einer der beiden anderen beendet ist. Diese Funktionseinschränkung mag ja für Benutzer einer langsamen Modemoder ISDN-Verbindung noch verständlich sein, der Benutzer einer (DSL-)Breitbandverbindung wundert sich hingegen nur. Um diese Beschränkung aufzuheben, führen Sie die folgenden Schritte durch: 1. Entscheiden Sie, ob Sie die Änderungen für den Computer oder für den Benutzer vornehmen möchten. 2. Sollen die Einstellungen für den Computer modifiziert werden, öffnen Sie in der Registry den Schlüssel HKEY_LOCAL_ MACHINE\Software\Microsoft\Windows\CurrentVersion\InternetSettings. Sollen die Einstellungen für den aktuellen Benutzer geändert werden, öffnen Sie unter dem Hauptschlüssel HKEY_CURRENT_USER denselben Pfad.
545
Sandini Bib
12 Kommunikation
3. Fügen Sie dort zwei Werte vom Typ DWORD ein und geben diesen die Namen MaxConnectionsPerServer und MaxConnectionsPer1_0Server. Für den ersten Wert legen Sie als Wert 8 fest, für den zweiten 16. 4. Damit die Änderungen übernommen werden, müssen Sie den Computer neu starten.
12.2.3
Autovervollständigen der Internetadresse
Standardmäßig geben Sie in die Adresszeile des Internet Explorer die Adresse im Format www.Microsoft.com ein. Sofern Ihnen die jedoch zu viel Tipparbeit ist, können Sie auch einfach nur den Namen der Domäne, hier also Microsoft, eingeben und danach gleichzeitig die Tasten (Strg)+(¢) drücken. Dadurch wird der Domänenname automatisch um den Eintrag www und um die Top Level Domain (TLD), hier .com, ergänzt. Dieser Trick funktioniert jedoch nur mit .com-Domänen. Andere TLDs wie beispielsweise .de oder .info können nicht automatisch hinzugefügt werden. Dazu ist erst eine weitere Anpassung notwendig, damit automatisch nach weiteren TLDs gesucht wird. Der Internet Explorer verwendet dazu die so genannte AutoscanListe. Gemäß dieser Liste werden Domänen in der folgenden Reihenfolge gesucht: .com, .org, .net und .edu. Es besteht jedoch die Möglichkeit, dieser Liste z.B. die TLD .de hinzuzufügen und die Reihenfolge der Liste zu ändern. Dazu muss folgende Modifikation an der Registry vorgenommen werden: 1. Navigieren Sie zum Schlüssel HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/UrlTemplate. 2. Tragen Sie dort weitere TLDs ein. Als Name des Werts wird eine fortlaufende Ziffer angegeben. Diese Ziffern bestimmen die Reihenfolge der Suche. In Abbildung 12.8 sehen Sie, wie eine angepasste Einstellung der TLD-Suchpriorität aussehen kann. Abbildung 12.8: Die geänderte Suchreihenfolge der TLDs
546
Sandini Bib
Weitere Programme für den Internet Explorer
12.2.4
Probleme beim Absturz des Internet Explorer
Sobald der Internet Explorer einen Absturz verursacht und in diesem Moment mehrere Fenster des Internet Explorer geöffnet sind, werden diese alle geschlossen und nicht nur das Fenster, welches für den Absturz verantwortlich war. Zudem kann auch das Betriebssystem selbst Schaden nehmen. Dieses Verhalten kann jedoch geändert werden, sodass lediglich das problembehaftete Fenster geschlossen wird. Dazu ist eine Änderung an der Registry notwendig. Öffnen Sie den Schlüssel HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer. Fügen Sie dort einen Wert mit dem Namen BrowseNewProcess hinzu und setzen diesen auf yes. Durch diese Änderung wird jede Instanz des Internet Explorer in einem eigenen Prozess ausgeführt. Allerdings wird durch diese Änderung auch etwas mehr Arbeitsspeicher in Anspruch genommen.
12.3
Weitere Programme für den Internet Explorer
Im Folgenden werden einige Programme vorgestellt, die Ihnen die Arbeit mit dem Internet Explorer erleichtern.
12.3.1
Das Programm DFÜ-Speed
Mit Hilfe des Programms DFÜ-Speed können Sie für jede DFÜ-Ver- Optimieren der bindung die TCP/IP-Einstellungen optimieren. Die von Windows Verbindungsgeschwindigkeit gesetzten Standardeinstellungen bringen in den meisten Fällen nicht die optimale Leistung. Mit Hilfe dieses Freeware-Programms können Sie die Geschwindigkeit jedoch deutlich steigern. Sie können das Programm DFÜ-Speed kostenlos unter dem Link http:// www.voodooclub.de/dfue-speed.html herunterladen. Es ist nicht nur unter Windows XP, sondern auch unter allen früheren WindowsVersionen von 95 bis 2000 lauffähig (siehe Abbildung 12.9). Sie bestimmen hier anhand der vordefinierten Werte für verschiedene Internetverbindungen wie DSL, ISDN oder Analog die Angaben zur Optimierung des Datenflusses. Dazu zählen die Werte MTU (Maximum Transmission Unit), RWIN (Maximale Datenlänge) sowie TTL (Time to live). Durch einen Neustart wer-
547
Sandini Bib
12 Kommunikation
den die Daten übernommen und die entsprechenden Änderungen in der Registry vorgenommen. Der Zugriff auf den Port 139 bezieht sich nur auf ältere Windows-Systeme und ist für Windows XP irrelevant. Über diesen Port ist eine Fernsteuerung von Verbindungen möglich. Möchten Sie die Änderungen später wieder rückgängig machen, klicken Sie auf REG. LÖSCHEN. Damit werden die modifizierten Registry-Schlüssel wieder zurückgesetzt. Abbildung 12.9: Über DFÜ-Speed können die Einstellungen für die Geschwindigkeit der Internetverbindung optimiert werden.
12.3.2
AI Roboform
Sind Sie auch schon in die Situation geraten, auf einer weniger häufig besuchten Webseite nach einiger Zeit wieder den Benutzernamen und das Kennwort angeben zu müssen? Das Kennwort ist nicht mehr präsent? Oder Sie besuchen eine Seite regelmäßig und ärgern sich, jedes Mal erneut den Benutzernamen und das Kennwort angeben zu müssen? In diesem Fall sollten Sie über das Programm AI Roboform nachdenken. Hierbei handelt es sich um einen automatischen Formularausfüller sowie eine Passwortverwaltung. Sie können eine kostenlose Version in deutscher Sprache unter dem Link http://www.roboform.com/de/index.html herunterladen. Mit dieser Version können Sie Ihre persönlichen Daten sowie die Anmeldeeinstellungen für zehn Seiten speichern. Benötigen Sie die Vollversion, so ist diese zum Preis von derzeit 26,99 Euro erhältlich.
548
Sandini Bib
Weitere Programme für den Internet Explorer
Sobald Sie auf eine Seite kommen, die die Eingabe eines Benutzernamens und Kennworts erfordert, und Sie diese Informationen eingegeben haben, erscheint ein Fenster von AI Roboform, sodass Sie die Informationen für die Seite speichern können. Rufen Sie diese Seite erneut auf, können Sie die Felder automatisch ausfüllen lassen. Auch das Sperren von Seiten für automatisches Ausfüllen ist möglich. Im Bereich AUS PASSCARD finden Sie die Einträge, die bereits für die aufgerufene Seite vorliegen. Es können für eine Seite auch mehrere Einträge gespeichert werden. Unter AUS IDENTITÄT können komplette Formularfelder mit Ihren persönlichen Daten ausgefüllt werden (siehe Abbildung 12.10). Abbildung 12.10: Mit AI Roboform können Sie automatisch Formulardaten ausfüllen lassen.
Auch das automatische Ausfüllen von Identitäten ist möglich. Hier können Sie beliebige Angaben vom Namen über die Adresse, Telefon- und Faxnummern bis hin zu Kontoverbindungen, Kreditkartennummer usw. automatisch eintragen lassen. Die Auswahl der automatisch ausgefüllten Einträge bleibt Ihnen überlassen. Um die Daten zu schützen, können diese auch mit einem Kennwort versehen werden.
12.3.3
Die MSN-Toolbar
Als zusätzliche Symbolleiste für den Internet Explorer stellt Microsoft die MSN-Toolbar bereit. Darüber kann direkt auf MicrosoftKomponenten wie HOTMAIL, MESSENGER und MYMSN zugegriffen werden. Über das Textfeld der Suche wird direkt die MSN-Suchmaschine aufgerufen. Um die Schlüsselwörter in den Suchergebnissen schneller zu finden, können diese über HERVORHEBEN markiert werden.
549
Sandini Bib
12 Kommunikation Popupblocker
Als weitere Funktion bietet die MSN-Toolbar auch einen integrierten Popupstopper. Wie bei dem integrierten Popupblocker des Internet Explorer können auch für diesen Stopper Ausnahmen konfiguriert werden, wenn auf bestimmten Seiten Popups zugelassen werden sollen. Sie sehen hier immer die aktuelle Anzahl der blockierten Popups. Bei 999 wird der Zähler wieder auf 0 zurückgesetzt. Über OPTIONEN können noch weitere Einstellungen vorgenommen werden. Diese sind jedoch selbsterklärend und müssen hier nicht weiter erläutert werden.
Abbildung 12.11: Die MSN-Toolbar als Symbolleiste des Internet Explorer
12.3.4
Die Google-Toolbar
Auch Google stellt unter http://www.google.de eine eigene Symbolleiste zum Download bereit. Im Gegensatz zur MSN-Toolbar verwendet diese die Suchmaschine Google als Suchbasis. Gefundene Schlüsselwörter können ebenfalls hervorgehoben werden, zudem wird der interne Google-Seitenrang zu jeder Seite angezeigt (siehe Abbildung 12.12). Über OPTIONEN können weitere Einstellungen vorgenommen werden. Als Zubehör kann dort auch ein Popupblocker aktiviert werden. Abbildung 12.12: Die Google-Toolbar
12.4
Internet Explorer Administration Kit (IEAK)
Anpassen des Das Internet Explorer Administration Kit (IEAK) ist eine von Internet Explorer Microsoft bereitgestellte Werkzeugsammlung, mit der Systemzur Verteilung an die Clients administratoren den Internet Explorer verwalten, anpassen und an
Clients verteilen können. Die Versionsnummer des IEAK orientiert sich an der Versions- und Service Pack-Nummer des Internet Explorer. So ist die aktuelle Version des IEAK die Version 6 SP1. Das IEAK können Sie unter dem Link http://www.microsoft.com/windows/ieak/downloads/ieak6/ieak6sp1.mspx kostenlos herunterladen. Die Hardware-Anforderungen sind minimal, es werden 12 MB freier Speicherplatz benötigt. Das IEAK ist auch in einer deutschen Sprachversion erhältlich.
550
Sandini Bib
Internet Explorer Administration Kit (IEAK)
Die beiden Werkzeuge des IEAK sind der Internet Explorer Anpassungsassistent sowie der IEAK–Profil-Manager. Zudem ist eine sehr ausführliche Hilfe im Lieferumfang enthalten. Mit Hilfe der beiden Programme können Sie für die Installation im Unternehmen angepasste Installationspakete des Internet Explorer erstellen. So ist es möglich, den Internet Explorer bei der Installation automatisch mit Verbindungseinstellungen und weiteren Konfigurationsund Sicherheitseinstellungen zu versehen, wenn das Installationspaket mit dem IEAK angepasst worden ist. Im Gegensatz zum IEAK 5.5 wurde nun auch die Lizenzierung vereinfacht. Während der Installation wählen Sie aus, für welchen Zweck das Tool eingerichtet werden soll (Firmenadministrator, Entwickler usw.). Das Beschaffen separater Lizenzcodes entfällt damit.
12.4.1
Der IEAK-Anpassungsassistent
Über den Anpassungsassistenten können benutzerdefinierte Versionen des Internet Explorer an die Benutzer verteilt werden. Die Ausführung dieses Programms gliedert sich in fünf Schritte: 1. Sammeln der benötigten Informationen 2. Angeben der Installationsparameter 3. Anpassen der Installation 4. Anpassen des Browsers 5. Anpassen der Komponenten Schritt 1: Sammeln der Informationen In diesem ersten Schritt wird festgelegt, von welchem Medium aus und in welchem Zielverzeichnis das Paket angelegt werden soll. 1. Im Fenster SPEICHERORT geben Sie das Installationsziel an. Standardmäßig wird der Ordner \BUILDS auf der Systempartition benutzt. Für jede Version wird ein neuer Ordner erstellt, der das aktuelle Datum trägt, z.B. \BUILDS\03272005. 2. Im Fenster ZIELSPRACHE wird die gewünschte Sprache gewählt. Auf diese Weise können verschiedene lokalisierte Versionen des Internet Explorer erstellt werden. Für jede Sprachversion muss ein separater Durchlauf des IEAK erfolgen.
551
Sandini Bib
12 Kommunikation
3. Als Nächstes wird unter MEDIENAUSWAHL festgelegt, in welcher Form der angepasste Internet Explorer den Clients zur Installation bereitgestellt werden soll. Folgende Optionen stehen zur Wahl: 왘
DOWNLOAD Die Clients können das Paket von einem Webserver herunterladen. Bei dieser Wahl muss lediglich der URL des Servers angegeben werden.
왘
CD-ROM Soll die Installationsdatei auf einer CD verteilt werden, können Informationen für einen benutzerdefinierten Begrüßungsbildschirm sowie CD-Autorun angegeben werden.
왘
FLAT Hierbei befinden sich sämtliche Dateien in einem Verzeichnis. Diese Option sollte gewählt werden, wenn die Installation von einer anderen Anwendung aus oder über das Netzwerk durchgeführt werden soll.
왘
SINGLE DISK BRANDING Bei dieser Option wird keine Installation erstellt. Dieses Verfahren kann lediglich bei Clients angewendet werden, auf denen bereits der Internet Explorer installiert wurde.
4. Es folgt das Fenster FEATUREAUSWAHL. Hier werden sämtliche Features des Internet Explorer ausgewählt, für die eine Anpassung über das IEAK erfolgen soll (siehe Abbildung 12.13). Abhängig von der hier getroffenen Auswahl erfolgen die weiteren Anpassungsschritte im IEAK. Abbildung 12.13: Die Auswahl der über das IEAK anzupassenden Features des Internet Explorer
552
Sandini Bib
Internet Explorer Administration Kit (IEAK)
Schritt 2: Angabe der Installationsparameter Nach der Eingabe der Basisdaten werden im zweiten Schritt die Installationsoptionen des Internet Explorer festgelegt. 1. Im Fenster AUTOMATISCHE VERSIONSSYNCHRONISIERUNG werden die aktuellen Komponenten des Internet Explorer auf dem System mit der aktuellen Microsoft-Version verglichen. Wählen Sie dazu SYNCHRONISIEREN. Über UPDATES erhalten Sie eine Liste der Komponenten, die seit dem Release des Internet Explorer von Microsoft aktualisiert wurden. Erst wenn alle Komponenten mit einem grünen Häkchen versehen sind, sollten Sie fortfahren. So ist garantiert, dass aktuelle Versionsdaten verwendet werden. 2. Unter BENUTZERDEFINIERTE KOMPONENTEN HINZUFÜGEN können bis zu zehn zusätzliche Komponenten angegeben werden, die bei der Installation des Internet Explorer auch installiert werden. Dieser Schritt ist optional. Für jede Komponente muss eine .exe- oder eine .cab-Datei angegeben werden. Bei einer .cabDatei ist zusätzlich der auszuführende Befehl zu nennen. Schritt3: Anpassen der Installation In diesem Teil werden Installationsoptionen und das Aussehen der Installation festgelegt. Auch Versionsnummern und Installationsverzeichnis werden bestimmt. 1. Unter ANPASSEN DER INSTALLATION können der Text für die Titelleiste des Setup-Assistenten sowie der Pfad für die Bitmaps angegeben werden. Wurden benutzerdefinierte Komponenten gewählt, kann auch für diese ein Titel benannt werden. 2. Im Fenster INSTALLATIONSOPTIONEN wird die Art der Installation bestimmt. Es gibt drei Möglichkeiten: 왘
INTERAKTIVE INSTALLATION Dies ist die Standardvariante, bei der der Benutzer in die Installation eingreifen kann und sämtliche Fortschrittsanzeigen und Fehlermeldungen sieht.
왘
HANDS-FREE INSTALLATION Der Benutzer sieht nur die Fortschrittsanzeigen, er kann jedoch selbst keine Einstellungen vornehmen.
왘
VOLLSTÄNDIG AUTOMATISCHE INSTALLATION Der Benutzer kann weder in die Installation eingreifen, noch sieht er Fortschrittsanzeigen.
553
Sandini Bib
12 Kommunikation
3. Im nächsten Fenster (siehe Abbildung 12.14) INSTALLATIONSOPTIONEN werden für die Installationsoptionen MINIMAL, TYPISCHE und VOLLSTÄNDIG die jeweils zu installierenden Komponenten ausgewählt. Zudem kann eine Beschreibung der Installationsoption festgelegt werden. Aus der Liste VERFÜGBARE KOMPONENTEN können weitere Komponenten zur Liste ZU INSTALLIERENDE KOMPONENTEN hinzugefügt und umgekehrt auch aus dieser wieder entfernt werden. Abbildung 12.14: Für die verschiedenen Installationsarten können die enthaltenen Komponenten bestimmt werden.
4. Im Fenster DOWNLOADSITES FÜR KOMPONENTEN ist mindestens eine Site anzugeben, von der aus das Paket übertragen werden kann. Es sind Name und URL dieser Site festzulegen. 5. Als Nächstes folgt das Fenster KOMPONENTENDOWNLOAD. Hierüber kann der URL für das Menü EXTRAS/WINDOWS UPDATE angepasst werden. Die Option WINDOWS UPDATE kann entweder vollständig entfernt werden oder es bleiben die Standardeinstellungen erhalten. Als dritte Variante kann auch ein benutzerdefinierter URL angegeben werden. 6. Im Fenster INSTALLATIONSVERZEICHNIS wird der Zielordner für die Installation benannt. Es kann auch bestimmt werden, ob der Benutzer selbst einen Zielordner auswählen darf oder nicht. Die Anzeige der Fenster in den folgenden Schritten ist abhängig davon, welche Features zur Anpassung unter Schritt 1: Sammeln der Informationen in Schritt 4 gewählt wurden.
554
Sandini Bib
Internet Explorer Administration Kit (IEAK)
7. Im folgenden Fenster INSTALLATIONSOPTIONEN können zusätzliche Installationskomponenten angegeben werden. Da sich diese weitgehend auf den Kompatibilitätsmodus bei der Bereitstellung des Internet Explorer 4.0 und des damit verbundenen Desktop-Updates beziehen, sind sie für Windows XP nicht weiter relevant. Zudem kann gewählt werden, ob der Internet Explorer als Standardbrowser festgelegt werden soll oder nicht. 8. Unter ERWEITERTE INSTALLATIONSOPTIONEN können Sie bestimmen, ob bei einer bereits installierten Komponente vom Setup geprüft werden soll, ob diese mit der aktuellen Version des Internet Explorer kompatibel ist. Markieren Sie die Checkbox OPTIMIEREN DES WEBDOWNLOADS (KOMPATIBLE VERSIONEN NICHT HERUNTERLADEN), wenn nicht ausschließlich die aktuelle Version genutzt werden muss. 9. Im Fenster KOMPONENTEN AUF DEM MEDIUM werden Komponenten angezeigt, die sich zwar auf dem Installationsmedium befinden, aber erst bei Bedarf des Benutzers bereitgestellt werden. Dabei handelt es sich um Unterstützung und Texteingabeunterstützung für asiatische Sprachen. 10. Wurde über das Administration Kit für den Assistenten für den Internetzugang (CMAK) ein benutzerdefiniertes Profil mit eigenem Logo, eigenen Support-Informationen des Unternehmens usw. erstellt, kann der Profilpfad im Fenster ANPASSEN DES VERBINDUNGSMANAGERS angegeben werden. CMAK steht im Windows Server und in den Verwaltungsprogrammen zur Verfügung. 11. Im Fenster DIGITALE SIGNATUREN werden der Firmenname im Zertifikat und die spc-Datei für Zertifikate von Softwareherausgebern sowie die pvk-Datei für Privatschlüssel angegeben. Schritt 4: Anpassen des Browsers In diesem Bereich werden Browser-Anpassungen wie Titelleiste, Startseite, vordefinierte Favoriten usw. vorgenommen. 1. Unter BROWSERTITEL kann ein neuer Name angegeben werden. Der Name, den Sie in das Feld TEXT DER TITELLEISTE eintragen, wird in folgender Weise übernommen: MICROSOFT INTERNET EXPLORER BEREITGESTELLT VON (IHRE EINGABE). 2. Im Fenster ANPASSEN DER SYMBOLLEISTE können die Hintergründe für die Windows-Standardsymbolleistenhintergründe modifiziert werden. Weiterhin können auch vorhandene Symbolleisten-Schaltflächen gelöscht und eigene Symbole hinzugefügt werden.
555
Sandini Bib
12 Kommunikation
3. Im nächsten Fenster BENUTZERDEFINIERTES LOGO UND ANIMIERTE BITMAPS kann ein benutzerdefiniertes Logo für die obere rechte Ecke des Browsers festgelegt werden. Es ist auch möglich, dort ein eigenes animiertes Logo einzufügen. 4. Unter WICHTIGE URLS können vordefinierte Angaben für die Startseite, die Suchleiste sowie die Onlinesupport-Seite gemacht werden. 5. Im folgenden Fenster FAVORITEN UND LINKS können ebenfalls Einträge vorgegeben werden. Weiterhin kann die Position dieser Favoriten definiert werden. Es ist auch möglich, bereits vorhandene Einträge zu löschen. 6. Unter WILLKOMMEN-SEITE kann das Aussehen der Seite angepasst werden, die beim ersten Start des Internet Explorer angezeigt wird. 7. Im Fenster BENUTZERAGENTENTEXT kann ein benutzerdefinierter Text angegeben werden. Ein Benutzeragententext wird für Identifikations- und Statistikzwecke vom Browser an andere Server gesendet. 8. Unter VERBINDUNGSEINSTELLUNGEN wird bestimmt, ob die Verbindungseinstellungen nicht geändert oder die aktuellen Einstellungen dieses Computers importiert werden sollen. Zudem ist es möglich, bereits vorhandene DFÜ-Einstellungen löschen zu lassen. 9. Unter AUTOMATISCHE KONFIGURATION wird festgelegt, wie nach der Bereitstellung Updates durchgeführt werden sollen. Dazu kann ein URL, eine INS-Datei oder ein AutoProxy-URL angegeben werden. Auch die automatische Ermittlung der Konfiguration kann eingestellt werden. 10. Wird ein Proxy-Server eingesetzt, werden unter PROXYEINSTELLUNGEN die Proxy-Adresse und der Port für die verschiedenen Protokolle festgelegt. Zudem können Ausnahmen definiert werden für Seiten, bei deren Zugriff der Proxy-Server umgangen wird. 11. Im Fenster SICHERHEIT können die Einstellungen für Zertifizierungsstellen sowie Authenticode angepasst werden. Zum Ändern müssen zunächst die aktuellen Einstellungen vom Computer importiert werden. 12. Über SICHERHEITS- UND DATENSCHUTZEINSTELLUNGEN können die Einstellungen für die Zonen des Internet Explorer sowie die Inhaltsfilter angepasst werden. Auch hier müssen zum Ändern zunächst die aktuellen Einstellungen importiert werden.
556
Sandini Bib
Internet Explorer Administration Kit (IEAK)
Schritt 5: Anpassen der Komponenten Die hier gezeigten Schritte sind nur erforderlich, wenn dem Internet Explorer zusätzliche Komponenten zur Installation hinzugefügt werden sollen. 1. Unter PROGRAMME können die Einstellungen der Programme bearbeitet werden. Dazu muss zunächst die aktuelle Konfiguration importiert werden. 2. Im Fenster OUTLOOK EXPRESS-KONTEN können bereits der Posteingangs- und -ausgangsserver sowie der Newsserver definiert werden. Weiterhin ist es möglich, dem Benutzer zu verweigern, dass er Kontoeinstellungen ändert bzw. Konten hinzugefügt oder entfernt . 3. Unter BENUTZERDEFINIERTER INHALT FÜR OUTLOOK EXPRESS kann der Infobereich, der im unteren Teil angezeigt wird, über eine HTML-Seite angepasst werden. Auch die Willkommensnachricht im Posteingang der Benutzer kann modifiziert werden. 4. Weitere Anpassungen werden im Fenster BENUTZERDEFINIERTE EINSTELLUNGEN FÜR OUTLOOK vorgenommen. Hier kann Outlook Express als Standardprogramm für E-Mail und News festgelegt werden, es können Newsgroups abonniert sowie Dienstnamen und -URLs hinzugefügt werden, um nach der Konfiguration zusätzliche E-Mail-Konten zu erhalten. 5. Das Erscheinungsbild wird im Fenster ANZEIGEEINSTELLUNGEN FÜR OUTLOOK EXPRESS eingestellt. Hier wird gewählt, welche Elemente und Symbolleisten angezeigt werden sollen. Auch das Aussehen des Vorschaufensters ist einstellbar. 6. Im folgenden Fenster können Signaturen für E-Mail und News definiert werden. Auch das Standardformat zum Erstellen neuer E-Mails und News ist wählbar. 7. Im Fenster ADRESSBUCH-VERZEICHNISDIENST kann ein LDAPServer für das Windows-Adressbuch konfiguriert werden. Sämtliche Einstellungen für diesen Server sind hier vorzunehmen. 8. Über ZIELGERICHTETE RICHTLINIEN UND EINSCHRÄNKUNGEN können Richtlinieneinstellungen für eine konsistente DesktopUmgebung gewählt werden. Je nachdem, ob die Benutzer über administrative Berechtigungen verfügen und für welche Betriebssysteme die Installation bereitgestellt werden soll, wählen Sie die Art der Richtlinien. 9. Im Fenster RICHTLINIEN UND EINSCHRÄNKUNGEN (siehe Abbildung 12.15) werden für verschiedene Bereiche Einstellungen angeboten. Markieren Sie die gewünschte Richtlinie und tragen in der rechten Fensterhälfte den erforderlichen Wert ein.
557
Sandini Bib
12 Kommunikation Abbildung 12.15: Die Richtlinieneinstellungen über das IEAK
10. Nun kann der Assistent beendet werden. Klicken Sie dazu auf WEITER. Sie sehen die Fortschrittsanzeige für die Erstellung des Installationspakets. Dieser Vorgang kann nicht mehr abgebrochen werden. Klicken Sie danach auf FERTIG STELLEN.
12.4.2
Der IEAK-Profil-Manager
Über den IEAK-Profil-Manager können die über das IEAK angepassten Konfigurationseinstellungen des Internet Explorer für die Clientcomputer gewartet werden. INS-Dateien und Autokonfigurationsdateien können geöffnet und modifiziert bzw. neu erstellt werden. Wie Sie bereits in Kapitel 12.4.1, Schritt 4: Anpassen des Browsers, unter Schritt 9 gesehen haben, kann die automatische Konfiguration bereits im IEAK aktiviert werden. Diese kann jedoch auch im Profil-Manager aktiviert werden, sodass aktualisierte INS-Dateien von der automatischen Konfiguration erkannt und verwendet werden. Damit die automatische Konfiguration angewendet werden kann, muss ein Profil erstellt werden. Dieses besteht aus einer INS-Datei sowie aus CAB-Dateien, die vom Profil-Manager erzeugt werden. Das Profil wird auf dem Server gespeichert. Hierbei handelt es sich um den im IEAK angegebenen Serverspeicherpfad. Sobald eine Änderung an der INS-Datei vorgenommen wurde, wird die neue
558
Sandini Bib
Internet Explorer Administration Kit (IEAK)
Konfiguration beim nächsten Start des Internet Explorer auf dem Clientcomputer wirksam. Es kann auch ein Zeitplan erstellt werden, nach dem den Clients die Änderungen mitgeteilt werden. Bevor der Profil-Manager gestartet werden kann, muss mindestens einmal eine Anpassung des Internet Explorer über das IEAK durchgeführt worden sein. Um eine neue INS-Datei zu erstellen, klicken Sie auf das Menü DATEI/NEU. Soll eine bereits bestehende INS-Datei bearbeitet werden, wählen Sie DATEI/ÖFFNEN. Erst nach einer dieser beiden Aktionen sind die Richtlinieneinstellungen anwählbar. Die vom IEAK generierte Autokonfigurationsdatei heißt standardmäßig install.ins und befindet sich im Verzeichnis des angepassten IEInstallationspaketes. Zunächst muss beim Erstellen einer neuen Datei entschieden werden, welche Richtlinien angezeigt werden sollen. Über das Menü VERWALTEN kann entweder ALLE RICHTLINIEN oder RICHTLINIEN FÜR NICHT-ADMINISTRATOREN gewählt werden. Verfügen die Client-Benutzer über keine administrativen Berechtigungen, sollte die zweite Auswahl getroffen werden. In Abbildung 12.16 werden alle Richtlinien dargestellt.
Abbildung 12.16: Die Richtlinieneinstellungen im Profil-Manager des IEAK
559
Sandini Bib
12 Kommunikation
12.4.3
Welche Daten erstellt der Profil-Manager?
Nachdem über den Profil-Manager Änderungen vorgenommen oder eine neue INS-Datei angelegt wurde, werden die folgenden Dateien gespeichert: Tabelle 12.1: Die vom ProfilManager erstellten Dateien
Dateityp
Zweck
INS-Datei (Autokonfigurationsinstallation)
In der INS-Datei sind die Konfigurationseinstellungen für den Internet Explorer und mögliche Zusatzkomponenten enthalten. Diese Datei enthält sämtliche Einstellungen, die im Profil-Manager im Zweig EINSTELLUNGEN FÜR DEN ASSISTENTEN vorgenommen werden.
CAB-Dateien (Kabinettdateien)
Die CAB-Dateien umfassen die Installationsdateien, die der Benutzer auf seinen Computer downloadet. Aus Sicherheitsgründen sollten Sie diese Dateien mit einer digitalen Signatur versehen. In den CAB-Dateien der automatischen Konfiguration sind zusätzlich noch INF-Dateien enthalten.
INF-Dateien (Informationsdateien)
In den INF-Dateien sind die Systemrichtlinien und Einschränkungen enthalten, die vom Betriebssystem zur Aktualisierung der Systemkonfiguration auf den Clientcomputern verwendet werden. Es handelt sich um die Einstellungen, die im Zweig PRAKTIKEN UND EINSCHRÄNKUNGEN des Profil-Managers vorgenommen werden. Zusätzlich sind in den INF-Dateien Versionsinformationen enthalten. Bei Änderungen werden automatisch die INF-Dateien sowie deren Version geändert und die zugehörigen CAB-Dateien neu zusammengestellt.
Der Internet Explorer führt den Download der INS-Datei durch und nimmt die Konfigurationsänderungen vor. Die CAB-Dateien werden nach dem Download entpackt und vom Betriebssystem verarbeitet. CAB-Dateien werden jedoch nicht downgeloadet, wenn sich die Versionsnummer der INS-Datei nicht geändert hat. Die Versionsnummer besteht aus dem Änderungsdatum der INSDatei sowie deren Revisionsnummer.
560
Sandini Bib
Internet Explorer Administration Kit (IEAK)
12.4.4
Erstellen separater INS-Dateien für Gruppen und Benutzer
Mit Hilfe des Profil-Managers ist es auch möglich, mehrere unterschiedliche Konfigurationseinstellungen anzulegen, die auf die verschiedenen Anforderungen von Benutzern und Gruppen zugeschnitten sind. Jede INS-Datei sollte dazu unter dem eindeutigen Namen der Benutzergruppe oder des Benutzers gespeichert werden, für die bzw. den die Konfiguration gelten soll, z.B. marketing.ins oder müller.ins. Die zugehörigen CAB-Dateien legt der Profil-Manager automatisch mit an.
12.4.5
Einstellen der automatischen Konfiguration
Über einen URL für die automatische Konfiguration erhält der Internet Explorer des Benutzers einen direkten Verweis auf das IEAK-Profil. Dazu wird die INS-Datei angegeben. Alternativ kann auch eine ASP-Datei (Active Server Pages) festgelegt werden, die automatisch eine INS-Datei erzeugt. Der URL lautet http://Freigabe/name.ins. Um die automatische Konfiguration zu aktivieren, führen Sie folgende Schritte aus: 1. Erstellen Sie im Profil-Manager eine neue Datei oder öffnen eine vorhandene INS-Datei. 2. Wählen Sie unter EINSTELLUNGEN FÜR DEN ASSISTENTEN den Eintrag AUTOMATISCHE BROWSERKONFIGURATION. 3. Markieren Sie dort die Checkbox AUTOMATISCHE KONFIGURATION AKTIVIEREN. 4. Unter URL FÜR AUTOKONFIGURATION (INS-DATEI) tragen Sie den entsprechenden URL ein. 5. Soll auch ein Autoproxy-Skript für die Proxy-Einstellungen verwendet werden, tragen Sie den URL unter URL FÜR AUTOPROXY (JS, JVS ODER PAC-DATEI) ein. 6. Optional kann unter AUTOMATISCHE KONFIGURATION ALLE NN MINUTEN DURCHFÜHREN ein Aktivierungsintervall in Minuten festgelegt werden. Ist hier kein Wert bestimmt, wird bei jedem Öffnen des Browsers eine Aktualisierung vorgenommen.
561
Sandini Bib
12 Kommunikation
12.4.6
Anpassen der Richtlinienvorlagen
Der Profil-Manager greift auf einen Standardsatz von WindowsRichtlinienvorlagendateien (.adm-Dateien) zurück, über die die Systemrichtlinien und Einschränkungen festgelegt werden. Wie Sie in Kapitel 13 noch näher erfahren werden, können Sie auch benutzerdefinierte .adm-Dateien erstellen, die weitere Einstellungen und Einschränkungen enthalten. Diese können auch in den Profil-Manager importiert werden. In diesem Fall erzeugt der Profil-Manager eine zugehörige INFDatei, die das Dateinamenpräfix der importierten .adm-Datei trägt. So wird aus der importierten Datei eigenconfig.adm die zugehörige Datei eigenconfig.inf. Die CAB-Dateien werden wieder automatisch hinzugefügt.
12.4.7
Verschieben des Speicherorts der INS-Datei
Der Profil-Manager wird auch benutzt, wenn der Speicherort der INS-Datei geändert werden muss. Hierbei muss lediglich der URL für die automatische Konfiguration geändert werden. Ist ein bestimmtes Aktualisierungsintervall festgelegt, wird die Änderung erst nach Ablauf von zwei Intervallen wirksam. Um den Pfad der INS-Datei zu ändern, vollziehen Sie im ProfilManager folgende Aktionen nach: 1. Wählen Sie unter EINSTELLUNGEN FÜR DEN ASSISTENTEN den Eintrag AUTOMATISCHE BROWSERKONFIGURATION. 2. Markieren Sie dort die Checkbox AUTOMATISCHE KONFIGURATION AKTIVIEREN. 3. Unter URL FÜR AUTOKONFIGURATION (INS-DATEI) tragen Sie den neuen URL ein, der auf den Serverpfad weist. 4. Klicken Sie dann auf das Menü DATEI/SPEICHERN UNTER und geben einen Namen für die INS-Datei an. Denken Sie daran, auch sämtliche CAB-Dateien aus dem Versionsordner in den Ordner am neuen Speicherort zu kopieren, an dem auch die INS-Datei gespeichert ist. Die alte INS-Datei sollte erst von ihrer ursprünglichen Lokation gelöscht werden, nachdem die Konfigurationseinstellungen sämtlicher Benutzer aktualisiert worden sind. Sobald der Benutzer seinen
562
Sandini Bib
Die Windows XP-eigenen FTP-Clients
Internet Explorer startet oder eine nach dem Zeitplan definierte Aktualisierung fällig ist, wird die Änderung auf dem Computer gespeichert. Allerdings wird zu diesem Zeitpunkt noch die INSDatei des ursprünglichen Speicherorts aufgerufen. Erst beim nächsten Start des Browsers oder bei der nächsten Aktualisierung wird die INS-Datei am neuen Speicherort benutzt. Nach diesem zweiten Start kann die alte INS-Datei dann gelöscht werden.
12.5
Die Windows XP-eigenen FTP-Clients
FTP steht für File Transfer Protocol. Sie benötigen einen FTP- FTP-FunkClient, wenn Sie entweder Dateien von einem FTP-Server herun- tionalität unter Windows XP terladen oder Websites auf einen Server heraufladen möchten. Windows XP verfügt über zwei verschiedene integrierte FTPClients: einen FTP-Client mit grafischer Benutzeroberfläche und einen konsolenbasierten. Neben den beiden in Windows XP integrierten FTP-Clients finden Sie auch eine Reihe freier und kostenpflichtiger FTP-Clients. Da die FTP-Funktionalität jedoch integriert ist, sind diese Zusatzprogramme nicht unbedingt erforderlich. Zusätzlich besteht die Möglichkeit, den Internet Explorer als FTPClient zu verwenden. Geben Sie zur Anmeldung in der Adressleiste den URL ftp://Benutzer:[email protected] ein.
12.5.1
Der grafische FTP-Client
Im Folgenden finden Sie Hinweise zur Konfiguration des grafischen FTP-Client. 1. Um den FTP-Client aufzurufen, öffnen Sie die NETZWERKUMGEBUNG und darin den Link NETZWERKRESSOURCE HINZUFÜGEN. Ein Assistent begleitet Sie durch die Erstellung. 2. Klicken Sie zunächst auf WEITER. Danach folgt ein kurzes Statusfenster. Im folgenden Fenster WO SOLL DIESE NETZWERKRESSOURCE ERSTELLT WERDEN? klicken Sie auf WEITER, weil sich noch keine Einträge in der Liste befinden. 3. Geben Sie in das Feld INTERNET- ODER NETZWERKADRESSE (siehe Abbildung 12.17) die Adresse des FTP-Servers ein bzw. klicken auf DURCHSUCHEN. Klicken Sie auf BEISPIELE ANZEIGEN, um sich die mögliche Syntax anzeigen zu lassen. Klicken Sie dann auf WEITER.
563
Sandini Bib
12 Kommunikation Abbildung 12.17: Angabe der Adresse für die Netzwerkressource
4. Im Fenster BENUTZERNAME UND KENNWORT tragen Sie im Feld BENUTZERNAME diesen ein. Ein Kennwort wird hier noch nicht angegeben, da dieses erst bei der Verbindungsherstellung mit dem FTP-Server abgefragt wird. Unterstützt der FTP-Server auch eine anonyme Anmeldung, so aktivieren Sie die Checkbox ANONYM ANMELDEN. Es wird in diesem Fall automatisch der Benutzername ANONYMUS mit einem leeren Kennwort verwendet. Klicken Sie dann auf WEITER. 5. Als Letztes geben Sie einen Namen für die Verknüpfung mit der Netzwerkressource an. Klicken Sie danach auf WEITER und auf FERTIG STELLEN. Wenn Sie die eben erstellte Ressource später in der NETZWERKUMGEBUNG doppelklicken, müssen Sie den Benutzernamen und das Kennwort angeben, sofern Sie keine anonyme Verbindung benutzen. Die Navigation innerhalb des FTP-Verzeichnisses entspricht der Navigation im Windows Explorer.
12.5.2
Der konsolenbasierte FTP-Client
Wer hingegen lieber an der Konsole arbeitet, kann auch den Befehl ftp verwenden. Um sich mit einem FTP-Server zu verbinden, geben Sie an der Eingabeaufforderung den Befehl ftp ftp.servername.Domäne (¢) an. Danach werden Sie aufgefordert, einen Benutzernamen und ein Kennwort zu nennen (siehe Abbildung 12.18).
564
Sandini Bib
Outlook Express 6 Abbildung 12.18: Verbinden mit einem FTP-Server über das Kommandozeilenprogramm ftp
Eine komplette Übersicht über die möglichen Befehle finden Sie, indem Sie ftp help (¢) aufrufen.
12.6
Outlook Express 6
Der E-Mail-Client Outlook Express ist in der Version 6 Bestandteil von Windows XP. Wie der Name schon andeutet, handelt es sich bei Outlook Express (OE) um eine funktionsreduzierte Version des „großen“ Outlook, welches Bestandteil der Microsoft OfficeSuite ist. Für die Einsatzplanung eines E-Mail-Client im Unternehmen ist Outlook oder abzuwägen, ob die Einschränkungen von OE gegenüber Outlook Outlook Express? ausreichend sind, um die Vollversion von Outlook mit den zugehörigen Lizenzen für die Clients anzuschaffen. Für die Zusammenarbeit mit Exchange 2000 und 2003 ist OE ebenso geeignet wie Outlook.
12.6.1
Konfiguration der E-Mail-Konten
Dieses Kapitel beschreibt, wie ein neues E-Mail-Konto unter OE erstellt wird. 1. Verwenden Sie das Menü EXTRAS/KONTEN und HINZUFÜGEN/ E-MAIL. 2. Als Erstes geben Sie den Namen in der Form an, wie er später im Feld VON erscheinen soll, wenn Sie eine E-Mail verschicken. Klicken Sie dann auf WEITER. 3. Im Fenster INTERNET-E-MAIL-ADRESSE tragen Sie die E-MailAdresse ein, die für das Senden und Empfangen verwendet werden soll. Klicken Sie dann auf WEITER. 4. Danach tragen Sie im Fenster NAMEN DER E-MAIL-SERVER (siehe Abbildung 12.19) die Adressen des Posteingangs- und -ausgangsservers ein. Zunächst müssen Sie bestimmen, ob es sich beim Posteingangsserver um einen POP3-, HTTP- oder IMAP-Server handelt. Danach geben Sie die entsprechenden Namen der Server an.
565
Sandini Bib
12 Kommunikation
5. Benutzen Sie beispielsweise eine T-Online-E-Mail-Adresse, so wählen Sie POP3, als Eingangsserver pop.t-online.de und als SMTP-Server mailto.t-online.de. Benutzen Sie Freemail-Adressen (z.B. GMX) oder E-Mail-Adressen der eigenen Domäne über Ihren Internetdienstleister (z.B. Strato), so finden Sie die erforderlichen Angaben in der Hilfe des jeweiligen Anbieters. Klicken Sie dann auf WEITER. Abbildung 12.19: Angabe des Posteingangs- und -ausgangsservers für den E-MailVerkehr
6. Im folgenden Fenster INTERNET-E-MAIL-ANMELDUNG tragen Sie den Kontonamen sowie das zugehörige Kennwort ein. Der Kontoname wird bei T-Online in Form der T-Online-Nummer und Anschlusskennung angegeben, bei GMX müssen Sie die Kundennummer nennen usw. Beachten Sie auch hier jeweils die Hinweise des E-Mail-Anbieters. Prüfen Sie dort auch, ob der Anbieter eine gesicherte Kennwortauthentifizierung (Secure Password Authentication, SPA) offeriert und aktivieren Sie gegebenenfalls die entsprechende Checkbox. Klicken Sie dann auf WEITER. Im folgenden Fenster klicken Sie auf FERTIG STELLEN, um das Konto einzurichten. 7. Standardmäßig wird das neue Konto nach dem Namen des Posteingangsservers benannt. Ein Konto für T-Online heißt demnach pop.t-online.de. Um die Konten umzubenennen, öffnen Sie das Menü EXTRAS/KONTEN und doppelklicken das Konto. Auf der Seite ALLGEMEIN können Sie einen neuen Namen für das Konto eintragen.
566
Sandini Bib
Outlook Express 6
12.6.2
Einrichten mehrerer E-Mail-Konten
Es können auch mehrere E-Mail-Konten unter OE erstellt werden, die dann in jeweils einem Durchgang auf neu eingegangene E-Mails hin abgerufen werden können. Sie müssen also nicht mehr unterschiedliche Seiten von Freemail-Diensten, T-Online, AOL usw. aufrufen. Auch der Versand der E-Mails über die verschiedenen Konten ist zentral über OE möglich.
Mehrere Konten in einem Arbeitsgang abrufen
Haben Sie mehrere Konten eingerichtet, definieren Sie eines davon als Standardkonto. Dieses Konto wird automatisch zum Versenden neu erstellter E-Mails benutzt. Um ein Konto auszuwählen, öffnen Sie das Menü EXTRAS/KONTEN, markieren das gewünschte Konto und klicken auf ALS STANDARD. Wie bereits gesagt, können diese Konten alle in einem Durchgang abgerufen werden. Möchten Sie jedoch bestimmte Konten vom automatischen Abrufen ausschließen, so ist dies ebenfalls möglich. Öffnen Sie dazu die Eigenschaftsseite des Kontos und deaktivieren Sie die Checkbox DIESES KONTO BEIM EMPFANGEN ODER SYNCHRONISIEREN VON E-MAILS EINBEZIEHEN (siehe Abbildung 12.20). Abbildung 12.20: Nicht alle E-MailKonten müssen in das Empfangen der E-Mails über OE einbezogen werden.
12.6.3
Verwenden eines Verzeichnisdienstes
Unter OE können auch Konten für Verzeichnisdienste eingerichtet werden. Über einen Verzeichnisdienst können weltweit Personen und Unternehmen gesucht werden. Der Zugriff auf bekannte Verzeichnisdienste wie Bigfoot oder WhoWhere ist bereits für OE
567
Sandini Bib
12 Kommunikation
integriert. Für die Zugriffsfunktion verwendet das Adressbuch das Verzeichnisdienstzugriffsprotokoll LDAP (Lightweight Directory Access Protocol). Um ein Verzeichnisdienst-Konto einzurichten, sind folgende Schritte erforderlich: 1. Über das Menü EXTRAS/KONTEN wechseln Sie auf die Registerkarte VERZEICHNISDIENSTE. 2. Um den Windows-Verzeichnisdienst Active Directory zu konfigurieren, markieren Sie diesen und klicken auf EIGENSCHAFTEN. Sie erhalten das in Abbildung 12.21 dargestellte Fenster. Abbildung 12.21: Unter Outlook Express kann auch ein Konto für einen Verzeichnisdienst wie das Active Directory eingerichtet werden.
3. Tragen Sie dort unter SERVERNAME, KONTONAME und KENNWORT die entsprechenden Angaben ein. Achten Sie darauf, dass die Checkbox ANMELDUNG DURCH GESICHERTE KENNWORTAUTHENTIFIZIERUNG aktiviert ist. 4. Auf der Registerkarte ERWEITERT kann ein Port für die Suche festgelegt werden. OE trägt automatisch den Port 3286 ein. Über die Schaltfläche STANDARD VERWENDEN kann wieder der Standard-LDAP-Port 389 eingetragen werden. Weiterhin können auch ein Suchzeitlimit sowie die maximale Anzahl der Übereinstimmungen festgelegt werden. Bestätigen Sie sämtliche Änderungen mit OK.
568
Sandini Bib
Outlook Express 6
12.6.4
Die Backup-Funktion
Unter OE können die bestehenden Daten gesichert und später wieder importiert werden. Dieses Verfahren bietet sich an, wenn Windows XP komplett neu installiert werden soll oder muss. Sie können die enthaltenen E-Mails, Kontakte und Kontoeinstellungen sichern. Die Ordner für OE werden unter Windows XP in dem Verzeichnis \DOKUMENTE UND EINSTELLUNGEN\KONTONAME\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\IDENTITIES\ abgelegt. Hier befindet sich der Ordner mit der Class-ID von OE, z.B. {51F5D8AB-F90F-43B7-BCED-F1B4B30C584D}. Darin findet sich der Ordner \MICROSOFT\OUTLOOK EXPRESS. Darunter sind als .dbx-Dateien die Outlook-Inhalte gespeichert. Die Kontakte bzw. das Adressbuch befinden sich im Ordner \DOKUUND EINSTELLUNGEN\KONTONAME\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\ADDRESS BOOK. Das Adressbuch ist als wab-Datei gespeichert. MENTE
Die Inhalte dieser beiden Ordner können Sie über den Windows Explorer per Drag&Drop in ein Sicherungsverzeichnis ziehen und bei Bedarf wieder an den ursprünglichen Speicherort zurückkopieren. Um die Verbindungseinstellungen für ein E-Mail-Konto zu sichern, öffnen Sie über das Menü EXTRAS/KONTEN die Registerkarte E-MAIL und klicken auf EXPORTIEREN. Der Export geschieht über eine .iaf-Datei. Sollen die Kontoeinstellungen später wieder zurückgespielt werden, klicken Sie auf IMPORTIEREN. Auch die Einstellungen für die News-Konten können über die Registerkarte NEWS in dieser Form gesichert und zurückgespielt werden. So ist auch der Austausch von Kontoinformationen zwischen zwei verschiedenen Computern möglich. Zusätzlich bietet OE noch einen Import- und Exportassistenten für diese Daten an. Sie erreichen diesen über das Menü DATEI/ EXPORTIEREN bzw. DATEI/IMPORTIEREN. Beim Export können Sie wählen, ob das Adressbuch oder die E-Mail-Nachrichten exportiert werden sollen. Für den Import können Sie das OutlookAdressbuch, ein anderes Adressbuch, Nachrichten, E-Mail- sowie News-Kontoeinstellungen auswählen. Für die Adressbücher und Nachrichten sind viele Formate verfügbar, die von OE unterstützt werden. In Abbildung 12.22 sehen Sie die Möglichkeiten für ANDERES ADRESSBUCH.
569
Sandini Bib
12 Kommunikation Abbildung 12.22: Verschiedene unterstützte Formate für den Import eines Adressbuches
12.6.5
Sicherheitsfunktionen
Für den Umgang mit ActiveX-Steuerelementen und Skripten in HTML-basierten E-Mails verwendet Outlook Express die Zoneneinstellungen des Internet Explorer. Diese Zonen und deren Einstellungen werden in Kapitel 15.5 beschrieben. Um diese Einstellung anzupassen, öffnen Sie das Menü EXTRAS/ OPTIONEN und wechseln auf die Registerkarte SICHERHEIT (siehe Abbildung 12.23). Standardmäßig ist dort die Einstellung ZONE FÜR EINGESCHRÄNKTE SITES (SICHERER) ausgewählt. Sie können jedoch auch die etwas weniger restriktiven Einstellungen der INTERNETZONE wählen. Abbildung 12.23: Die Sicherheitseinstellungen unter Outlook Express
570
Sandini Bib
Outlook Express 6
12.6.6
Blockieren bestimmter Anhänge
Über die Nachrichtenregeln von OE können bestimmte Anhänge Sicherheitsrisiken blockiert werden, sodass diese nicht auf den Clientcomputer down- vermeiden geloadet werden. Darunter können E-Mails fallen, deren Anhänge unter eine bestimmte Größenbeschränkung oder einen bestimmten Dateityp fallen. Außer der kompletten Blockade dieser Anhänge können diese z.B. auch zu einem bestimmten Zeitpunkt downgeloadet werden. Dies ist sinnvoll, wenn ein Internettarif gewählt ist, der zu bestimmten Zeiten günstigere Tarife bietet. Zur Umsetzung der Nachrichtenregel sind folgende Schritte nötig: 1. Wählen Sie das Menü EXTRAS/NACHRICHTENREGELN und E-MAIL. 2. Im Fenster NEUE E-MAIL-REGEL (siehe Abbildung 12.24) wählen Sie die Bedingungen und Aktionen für die Regel aus. Die Regel wird durch die Auswahl im unteren Fensterbereich zusammengesetzt. Dort klicken Sie auf die Markierung GRÖßER ALS und tragen den gewünschten Wert ein. Abschließend erhält die Regel noch einen Namen. Abbildung 12.24: Definieren einer Regel, nach der Anhänge ab einer bestimmten Größe nicht vom Server downgeloadet werden
12.6.7
Outlook Express als Newsreader
Im Gegensatz zum „großen“ Outlook können Sie OE auch als Newsreader für NNTP-basierte Newsgroups benutzen. Outlook unterstützt diese Funktion nicht. Sicherlich gibt es auch eine Reihe freier Newsreader im Internet, dennoch überzeugt Outlook Express in dieser Funktion.
571
Sandini Bib
12 Kommunikation
Weder Outlook noch Outlook Express enthalten jedoch bislang einen Blogreader für Weblogs. 1. Um die Newsreader-Funktion nutzen zu können, müssen Sie zunächst eine neue Newsgroup hinzufügen. Dazu öffnen Sie das Menü EXTRAS/KONTEN. Unter HINZUFÜGEN wählen Sie den Eintrag NEWS. 2. Im Fenster NAME geben Sie den Namen in der Form an, in der er später in der Newsgroup erscheinen soll. Klicken Sie dann auf WEITER. Verwenden Sie hier einen vollständigen Namen und keine Nicknames oder sonstigen Kürzel, da dies in vielen Newsgroups als schlechtes Benehmen gilt und oftmals auch Benutzer der Newsgroups Beiträge von Benutzern, die keinen vollständigen Namen angeben, einfach ignorieren und nicht beantworten. Und schließlich möchten Sie doch eine Antwort auf Ihre Beiträge in der Newsgroup erhalten?! 3. Als Nächstes geben Sie Ihre E-Mail-Adresse an, an die Nachrichten direkt gesendet werden können. In der Regel sollten die Antworten in einer Newsgroup zwar immer öffentlich für alle einsehbar an die Newsgroup gepostet werden, aber es kann auch sinnvoll sein, Beiträge direkt an die E-Mail-Adresse des Newsgroup-Mitglieds zu schicken, sodass diese nicht öffentlich nachzulesen sind. Klicken Sie dann auf WEITER. 4. Im Fenster NEWSSERVERNAME geben Sie den vollständigen DNS-Namen des Newsservers an. Diesen Namen erfahren Sie im Internet auf der Website der Newsgroup, für die Sie Outlook Express als Newsreader einsetzen. Beispielsweise lautet der Name des Newsserver der Microsoft-Newsgroups msnews.microsoft.com. 5. Sofern eine Anmeldung an dem Newsserver erforderlich ist, markieren Sie die entsprechende Checkbox. Im folgenden Fenster geben Sie dann den Kontonamen und das zugehörige Kennwort an. 6. Klicken Sie dann auf WEITER und FERTIG STELLEN, um den gewählten Newsserver in die Kontenliste einzubinden. Auswahl der Newsgroups auf einem Newsserver Nachdem Sie den gewünschten Newsserver hinzugefügt haben, können Sie entweder direkt die News von diesem empfangen, sofern dieser nur eine Newsgroup bereithält, oder aber Sie
572
Sandini Bib
Outlook Express 6
müssen zunächst die gewünschten Groups auswählen. Dies ist im Falle des Newsservers msnews.microsoft.com notwendig, da dieser über eine große Auswahl an Groups verfügt. 1. Nachdem Sie das Konto eingerichtet haben, werden Sie automatisch gefragt, ob Sie Newsgroups herunterladen möchten (siehe Abbildung 12.25). Klicken Sie hier auf JA. Wenn Sie den Vorgang jetzt abbrechen, kann er später fortgesetzt werden. Abbildung 12.25: Download von Newsgroups vom eingerichteten Konto
2. Je nach Anzahl der Newsgroups auf dem Server sehen Sie möglicherweise ein Statusfenster des Download-Fortschritts. 3. Im Fenster NEWSGROUPABONNEMENTS (siehe Abbildung 12.26) sehen Sie in der linken Spalte KONTO/KONTEN alle unter Outlook Express eingerichteten Konten. Auf der Registerkarte ALLE werden in alphabetischer Reihenfolge sämtliche Newsgroups des Servers angezeigt. Im Suchfeld können Sie die Namen der Newsgroups nach Stichwörtern durchsuchen. Markieren Sie die Checkbox BESCHREIBUNGEN DURCHSUCHEN, wird zusätzlich auch in den Newsgroup-Beschreibungen nach dem Stichwort gesucht. Haben Sie die gewünschte Newsgroup gefunden, markieren Sie diese und klicken auf ABONNIEREN. Abbildung 12.26: Auswahl der zu abonnierenden Newsgroups vom Newsserver
573
Sandini Bib
12 Kommunikation
Gerade bei der Fülle von Microsoft-Newsgroups ist eine Auswahl über die Suchfunktion anzuraten. Möchten Sie in der Auswahlliste beispielsweise nur deutsche Newsgroups sehen, so geben Sie in der Suche die Zeichenfolge .de ein. 4. Sobald eine Newsgroup abonniert ist, wird sie vor dem Eintrag in der Liste mit einem entsprechenden Symbol versehen. Möchten Sie diese Group doch wieder löschen, so klicken Sie auf KÜNDIGEN. Über ZURÜCKSETZEN können Sie die Liste der verfügbaren Newsgroups auf dem Server neu laden. 5. Haben Sie bereits zu einem früheren Zeitpunkt einige Newsgroups abonniert, so finden Sie diese unter der Registerkarte ABONNIERTE. Auch dort können Sie bestehende Abonnements kündigen. Auf der Registerkarte NEUE finden Sie sämtliche Newsgroups, die seit dem letzten Abrufen der Liste auf dem Newsserver hinzugekommen sind. 6. Um die ausgewählten Newsgroups in Outlook Express downzuloaden, klicken Sie auf OK. Haben Sie hingegen nur eine Newsgroup ausgewählt, können Sie auch auf GEHE ZU klicken. In diesem Fall wird die Newsgroup direkt downgeloadet. Wenn Sie das E-Mail-Konto unter OE lediglich für die Newsgroup benutzen, den E-Mail-Verkehr selbst jedoch über Outlook oder einen anderen E-Mail-Client abwickeln, sollten die E-MailNachrichten dieses Kontos nicht automatisch downgeloadet werden. Deaktivieren Sie wie in Abbildung 12.20 gezeigt die Checkbox DIESES KONTO BEIM EMPFANGEN ODER SYNCHRONISIEREN VON E-MAILS EINBEZIEHEN für das Konto.
12.7
Windows Messenger und Microsoft Messenger (MSN)
Unter Windows XP ist der Windows Messenger bereits in das Betriebssystem integriert. Mit der Installation des Service Pack wird automatisch die aktuellste Version des Windows Messenger installiert. Außer dem Windows Messenger können Sie auch den MSN Messenger einsetzen. Dieser kann unter dem Link http:// messenger.msn.com/ downgeloadet werden. Der MSN Messenger ist nicht an Windows XP SP 2 gebunden, sondern kann auch auf anderen Windows-Betriebssystemen installiert werden. Sofern eine neuere Version verfügbar ist (aktuell ist im Moment die Version 7.0), werden Sie darüber vom Messenger informiert und
574
Sandini Bib
Windows Messenger und Microsoft Messenger (MSN)
können diese automatisch installieren lassen. Sofern Sie zu diesem Zeitpunkt nicht die neue Version installieren, ist eine Anmeldung am Messenger nicht mehr möglich. So trägt Microsoft dazu bei, dass eine neue, überarbeitete Version rasch einheitlich eingesetzt wird und evtl. fehlerhafte oder mit Sicherheitslücken behaftete Versionen nicht mehr funktionieren. Allerdings werden in Unternehmen häufig Argumente gegen den Einsatz des Messenger angeführt. 왘
Der Messenger stellt durch Sicherheitslücken ein Risiko für die Sicherheit im Unternehmensnetzwerk dar.
왘
Es müssen in der Firewall weitere Ports geöffnet werden – auch dies erhöht das Sicherheitsrisiko.
왘
Die Inhalte des Messenger werden unverschlüsselt übertragen. Damit besteht die Gefahr, dass vertrauliche Inhalte abgehört werden können.
왘
Die Mitarbeiter chatten privat miteinander während der Arbeitszeit.
Diese Punkte werden zwar immer wieder angeführt. Allerdings Live können die Sicherheitslücken des Messenger durch regelmäßige Communications Server 2005 Updates geschlossen werden. Der Schutz der Firewall wird nicht durch die zusätzlichen Ports ausgehebelt. Um die Abhörgefahr der unverschlüsselten Übertragung zu verhindern, sollten Sie die Mitarbeiter daran gewöhnen, dass vertrauliche Inhalte nicht über den Messenger gesendet werden. Zudem bietet der neue Microsoft Live Communications Server 2005 Methoden zur Verschlüsselung. Und gegen den Privat-Chat der Mitarbeiter sollten im Unternehmen Regeln definiert werden, die dies deutlich untersagen und entsprechende Konsequenzen nach sich ziehen. Denn bei aller Kritik am Messenger darf nicht übersehen werden, dass es sich um ein durchaus nützliches Werkzeug innerhalb des Unternehmens handeln kann. So kann ein Mitarbeiter den Status seines Kollegen sehen. Ist dieser beispielsweise gerade nicht am Arbeitsplatz, weiß der Kollege, dass er ihn momentan nicht über das Telefon erreichen kann. Ist ein Kollege nicht angemeldet, ist es sinnvoller, diesen gleich über sein Handy anzurufen. Außerdem ist in vielen Fällen eine kurze Mitteilung schneller erledigt als ein Anruf oder eine E-Mail. Dies gilt besonders, weil über den Messenger auch Dateien übertragen werden können.
575
Sandini Bib
12 Kommunikation
12.7.1
Download und Einrichtung des MSN-Passport-Kontos
Die jeweils aktuelle Version des Messenger wird entweder automatisch bei der Benachrichtigung oder manuell über den Link http://www.messenger.msn.de downgeloadet. Je nachdem, ob Sie bereits für den Messenger registriert sind oder nicht, müssen Sie eventuell noch eine E-Mail-Adresse für den Messenger registrieren. Danach erfolgen Download und Installation. Während der Installation haben Sie die Möglichkeit, die MSN-Toolbar (siehe Kapitel 12.3.3) zu installieren. Zusätzlich kann MSN als Startseite und Standardsuchmaschine eingerichtet werden. Nach Abschluss der Installation erfolgt automatisch die Anmeldung. MSN-Passport kann nicht nur für die Anmeldung am Messenger, sondern auch für die Anmeldung an weiteren Internetseiten genutzt werden. Standardmäßig erfolgt die Anmeldung am Messenger automatisch beim Start des Betriebssystems. Für die Anmeldung wird das beim Erstellen des MSN-Kontos gewählte Messenger-Konto benutzt, sofern Sie die Option gewählt haben, dass die Anmeldung immer unter diesem Konto erfolgen soll. Diese Einstellung ist jedoch nur an einem Computer sinnvoll, der ausschließlich von Ihnen genutzt wird. Ansonsten sollten Sie die automatische Anmeldung deaktivieren. Aber auch wenn Sie mit Ihrem Konto angemeldet sind, haben Sie die Möglichkeit, sich unter einem anderen Konto anzumelden. Dazu wählen Sie zunächst aus dem Kontextmenü des Messenger den Eintrag ABMELDEN und danach ANMELDEN. Sie werden dann aufgefordert, das Konto anzugeben (siehe Abbildung 12.27). Abbildung 12.27: Die Anmeldung am Messenger kann automatisch immer mit demselben Konto erfolgen.
576
Sandini Bib
Windows Messenger und Microsoft Messenger (MSN)
Danach erhalten Sie das zentrale Fenster MSN MESSENGER (siehe Abbildung 12.28), über das der Messenger verwaltet wird. Abbildung 12.28: Die Hauptseite des Messenger nach der Anmeldung
12.7.2
Hinzufügen von Kontakten
Nachdem Sie ein MSN-Passport-Konto erstellt haben, können Sie sich mit diesem am Messenger anmelden. Um jedoch mit anderen Personen kommunizieren zu können, müssen Sie zunächst weitere Kontakte zum Messenger hinzufügen. Klicken Sie dazu auf den entsprechenden Link. Sie können entweder eine E-Mail-Adresse manuell eingeben oder einen Eintrag aus Ihrem Adressbuch auswählen. Ist der gewünschte Kontakt noch nicht für den Messenger registriert, so klicken Sie auf E-MAIL SENDEN. Der Benutzer erhält dann eine E-Mail mit Hinweisen zu Download und Vorteilen des Messenger. Klicken Sie nun auf FERTIG STELLEN. Zum Hinzufügen weiterer Kontakte klicken Sie auf WEITER und wiederholen den Vorgang. Der Inhaber der angegebenen E-Mail-Adresse erhält eine Benach- Kontakte müssen richtigung auf seinem Messenger, dass Sie ihn zu Ihrer Kontakt- bestätigt werden liste hinzufügen möchten. Erst wenn er dies bestätigt hat, können Sie den Benutzer Ihrer Liste hinzufügen. Hierbei handelt es sich
577
Sandini Bib
12 Kommunikation
um einen Sicherheitsmechanismus, damit nicht ein Benutzer beliebige Adressen für eine unerwünschte Kommunikation hinzufügen kann. Ist der Benutzer zum Zeitpunkt des Aufnahmebegehrens in die Kontaktliste nicht am Messenger angemeldet, erhält er eine E-Mail an die angegebene Adresse und kann diese dann bestätigen. Ist die Kontaktperson jedoch online, erscheint ein entsprechendes Meldungsfenster (siehe Abbildung 12.29). Hier haben Sie die Möglichkeit, die Kontaktanforderung anzunehmen oder zu verweigern. Weiterhin kann der neue Kontakt in das Adressbuch aufgenommen werden. Sobald Sie zustimmen, sieht der andere Kontakt, dass Sie angemeldet sind. Abbildung 12.29: Ist die Kontaktperson online, kann die Anforderung sofort bestätigt oder abgelehnt werden.
12.7.3
Eigener Status und der Status der Kontakte
Nach der Anmeldung am Messenger lautet der eigene Status standardmäßig ONLINE. Außerdem sehen Sie auch den Status Ihrer Kontakte (siehe Abbildung 12.30). Abbildung 12.30: Bei der Anmeldung sehen Sie auch den Status Ihrer Kontakte.
Unter ONLINE sind alle Personen aufgelistet, die aktuell am Messenger angemeldet sind, unter OFFLINE alle zurzeit nicht am Computer angemeldeten Personen. Für die angemeldeten Benutzer gibt es verschiedene Statuseinstellungen. Die Aktualisierung des Status bei den übrigen Kontakten erfolgt in Echtzeit.
578
Sandini Bib
Windows Messenger und Microsoft Messenger (MSN)
Status
Beschreibung
Online
Der Messenger kann in vollem Umfang benutzt werden. Sie können Nachrichten schreiben und empfangen.
Beschäftigt
Wird eine Anwendung im Vollbildmodus ausgeführt, z.B. eine PowerPoint-Präsentation, wird dieser Status automatisch gesetzt. Dabei können keine Nachrichten empfangen werden.
Bin gleich zurück
Zeigt den übrigen Kontakten, dass Sie zurzeit nicht am Computer sind; Nachrichten können dennoch empfangen werden.
Abwesend
Zeigt den übrigen Kontakten, dass Sie zurzeit nicht am Computer sind; Nachrichten können dennoch empfangen werden. Standardmäßig wird dieser Status auch nach fünf Minuten Inaktivität am Computer gesetzt.
Am Telefon
Zeigt den übrigen Kontakten, dass Sie zurzeit am Telefon statt am Computer sind; Nachrichten können dennoch empfangen werden.
Mittagspause
Zeigt dem Kontakt an, dass Sie für eine Weile abwesend sind. Nachrichten können derweil empfangen werden.
Tabelle 12.2: Übersicht über die Status-Einstellungen am Messenger
Als offline anzeigen Der Benutzer ist zwar weiterhin online, wird aber als offline angezeigt. Sämtliche vorhandenen Gesprächsfenster werden geschlossen. Es können keine Nachrichten gesendet oder empfangen werden.
12.7.4
Persönliche Einstellungen bearbeiten
Die persönlichen Einstellungen werden entweder über das Menü EXTRAS/OPTIONEN auf der Registerkarte PERSÖNLICHE ANGABEN eingestellt oder indem Sie auf den Namen Ihres Messenger-Kontos und auf PERSÖNLICHE EINSTELLUNGEN klicken. Dort stehen sechs verschiedene Registerkarten zur Verfügung. 왘
PERSÖNLICHE ANGABEN Sobald Sie den Kontakt hinzugefügt haben, erscheint dieser unter dem Namen der E-Mail-Adresse in der Kontaktliste. Auch Ihr eigener Name wird nur als E-Mail-Adresse angegeben. Anstelle der E-Mail-Adresse können Sie jedoch einen beliebigen anderen Anzeigenamen verwenden. Sobald der Name geändert ist, wird der neue Name in Echtzeit angezeigt. Weiterhin können Sie hier Ihr öffentliches Profil bearbeiten und ein anderes Bild als das standardmäßige Symbol wählen oder hinzufügen.
579
Sandini Bib
12 Kommunikation 왘
NACHRICHTEN Hier können Optionen für die verwendeten Schriftarten und Emoticons eingestellt werden. Weiterhin können der Speicherort für empfangene Dateien sowie die Lokation des Virenscanners zum Prüfen der Dateien angegeben werden. Optional kann auch ein Ordner bestimmt werden, in dem die Unterhaltungen archiviert werden sollen. Diese Funktion ist standardmäßig deaktiviert.
왘
TELEFON Hier können Sie eine private und eine geschäftliche Telefonnummer sowie eine Handynummer angeben, die den Kontakten angezeigt werden kann. Über die MOBILEN EINSTELLUNGEN können Sie Optionen festlegen, damit Nachrichten an Ihr mobiles Gerät gesendet werden können.
왘
PRIVATSPHÄRE Auf dieser Seite können Kontakte blockiert werden, sodass sie Ihren Online-Status nicht sehen und Ihnen keine Nachrichten senden können. Weiterhin können Sie prüfen, bei welchen Kontakten Sie auf der Kontaktliste stehen. Darüber hinaus kann die Anzeige persönlicher Registerkarten und Adressbücher unterbunden werden, wenn es sich um einen öffentlichen Computer handelt, zu dem mehrere Benutzer Zugang haben.
왘
ALLGEMEIN Hier können mehrere Optionen für den Anmeldevorgang sowie für den Empfang von Nachrichten festgelegt werden. Weiterhin können Sie am Customer Experience-Programm für den Messenger teilnehmen. In diesem Fall werden auch anonym Daten an Microsoft übertragen.
왘
VERBINDUNG Normalerweise wird für den Messenger die Standard-Internetverbindung benutzt. Sollte es dabei zu Problemen kommen, können Sie eine andere Verbindung konfigurieren.
12.7.5
Senden von Nachrichten und Dateien
Die Hauptaufgabe des Messenger besteht im Senden und Empfangen von Nachrichten. Zusätzlich zu den Nachrichten können auch Dateien über den Messenger verschickt werden. Diese Methode ist noch schneller, als eine Datei per E-Mail zu versenden.
580
Sandini Bib
Windows Messenger und Microsoft Messenger (MSN)
Senden von Nachrichten Um eine Nachricht zu versenden, wählen Sie den gewünschten Kontakt (dieser muss online sein!) und aus dem Kontextmenü den Eintrag SOFORTNACHRICHT SENDEN. Auch über das Symbol in der Taskleiste können Sie diesen Kontextmenüeintrag wählen und danach den Empfänger selektieren. Dadurch gelangen Sie in das Fenster UNTERHALTUNG (siehe Abbildung 12.31).
Nachrichten werden unverschlüsselt gesendet
Abbildung 12.31: Das Fenster Unterhaltung im Messenger
Im unteren Teil geben Sie Ihre Nachricht ein und verschicken diese über SENDEN. Über das Smiley-Icon können Sie aus einer vordefinierten Liste Emoticons auswählen, die in den Text eingefügt werden sollen. Im oberen Fensterteil wird die laufende Unterhaltung angezeigt. Senden von Dateien Um eine Datei direkt über den Messenger zu versenden, klicken Sie auf DATEIEN SENDEN. Wählen Sie dann die Datei aus. Sie erhalten folgende Ansicht im Fenster UNTERHALTUNG (siehe Abbildung 12.32). Solange der Empfänger die Datei noch nicht angenommen hat, können Sie den Vorgang auch abbrechen. Auf Seiten des Empfängers erscheint ebenfalls ein Hinweis im Fenster UNTERHALTUNG (siehe Abbildung 12.33). Über ANNEHMEN wird die Datei in dem unter PERSÖNLICHE EINSTELLUNGEN definierten Ordner abgelegt. Nach der Annahme erscheint ein Link zu diesem Ordner im Fenster UNTERHALTUNG. Über SPEICHERN UNTER kann die Datei an einem anderen Ort gespeichert werden. In beiden Fällen muss noch der Sicherheitshinweis bestätigt wer-
581
Sandini Bib
12 Kommunikation
den, dass eine Datei potenziell gefährlich sein kann. Die Annahme der Datei kann auch über ABLEHNEN verweigert werden. Auch der Versender erhält eine Meldung, wenn die Datei korrekt übertragen worden ist. Abbildung 12.32: Das Senden einer Datei über den Messenger
Abbildung 12.33: Das Empfangen einer Datei über den Messenger
Weitere Kontakte zur Unterhaltung einladen Standardmäßig wird eine Unterhaltung zwischen zwei Kontakten durchgeführt. Sie können jedoch auch weitere Kontakte zu dieser Unterhaltung hinzufügen. Klicken Sie dazu auf EINLADEN und wählen Sie einen oder mehrere Kontakte aus.
582
Sandini Bib
Hyper Terminal
12.7.6
Weitere Funktionen
Der Messenger unterstützt auch Audio- und Videofunktionalität. So kann für eine Unterhaltung auch eine Webcam eingesetzt werden. Ein Assistent führt Sie dabei durch die Bereitstellung und Konfiguration der Webcam. Eine weitere wichtige Funktion ist die Remoteunterstützung über den Messenger. Auf diese Weise kann ein Benutzer von einem seiner Kontakte Hilfe anfordern, sodass dieser die Steuerung seines Systems übernehmen kann. Die über den Messenger angeforderte Remoteunterstützung verfügt über denselben Funktionsumfang wie die über das Netzwerk durchgeführte Remoteunterstützung. Allerdings kann es bei der Übertragung über den Messenger zu Verzögerungen aufgrund einer langsamen Verbindung kommen.
12.7.7
Ausblick: Messenger Codename Istanbul und Microsoft Live Communications Server 2005
Im März 2005 wurde der Öffentlichkeit erstmalig der neue Messenger mit dem Codenamen Istanbul vorgestellt. Dieser Messenger hat nicht viel mit dem MSN Messenger zu tun, sondern kann nur in Verbindung mit dem Microsoft Live Communications Server 2005 genutzt werden. Damit wendet sich diese Lösung an Unternehmen und nicht an den privaten Endnutzer. In der Istanbul-Version des Messenger ist z.B. auch eine Verschlüsselung der übertragenen Daten möglich oder die Einbindung von Exchange-Kalendern und die Integration in die Microsoft SharePoint-Services. Weitere Informationen zum Live Communications Server 2005 stellt Microsoft unter dem Link http://www.microsoft.com/germany/ office/server/livecomm/default.mspx bereit.
12.8
Hyper Terminal
Mit Hilfe des Programms Hyper Terminal können über ein Modem, ein Nullmodemkabel oder eine Ethernet-Verbindung Verbindungen zu Remotecomputern, Telnet-Sites, Onlinediensten oder Hostcomputern hergestellt werden. Es können beliebig viele Verbindungen erstellt werden. In einer Sitzung des Hyper Terminal kann immer nur eine Verbindung geöffnet sein. Sie können jedoch mehrere Fenster des Hyper Terminal öffnen und in jedem eine andere Verbindung öffnen. Allerdings muss dabei für jede Verbindung ein anderer Kommunikationsanschluss genutzt werden.
583
Sandini Bib
12 Kommunikation
Hyper Terminal wird im Startmenü über PROGRAMME/ZUBEHÖR/ KOMMUNIKATION aufgerufen. Beim erstmaligen Aufruf des Programms werden Sie gefragt, ob Hyper Terminal als StandardTelnetprogramm verwendet werden soll.
12.8.1
Herstellen einer Verbindung
Um eine neue Verbindung herzustellen, führen Sie die folgenden Schritte durch: 1. Öffnen Sie Hyper Terminal wie oben beschrieben. Im Fenster BESCHREIBUNG DER VERBINDUNG (siehe Abbildung 12.34) geben Sie einen Namen für die Verbindung an und wählen ein Symbol aus. Klicken Sie dann auf OK. Abbildung 12.34: Herstellen einer neuen Verbindung im Hyper Terminal
Abbildung 12.35: Konfiguration der Verbindung
2. Im folgenden Fenster VERBINDEN MIT (siehe Abbildung 12.35) geben Sie die zu wählende Rufnummer ein und bestimmen das Gerät bzw. den Anschluss, über das bzw. den die Verbindung hergestellt werden soll. Wird ein Kommunikationsanschluss gewählt, müssen Sie natürlich keine Rufnummer angeben.
584
Sandini Bib
Hyper Terminal
Haben Sie TCP/IP selektiert, geben Sie stattdessen die IPAdresse des Host sowie den Port an. Standardmäßig wird für Telnet-Sitzungen Port 23 verwendet. Klicken Sie dann auf OK. Die Verbindung wird hergestellt. Wurde eine Verbindung eingerichtet, wird ein neuer Unterordner \HYPER TERMINAL unter \ZUBEHÖR erstellt. Aus diesem heraus können die Verbindungen direkt aufgerufen werden. Die Verbindung kann statt über die GUI auch über das Kommandozeilenprogramm hypertrm.exe eingerichtet werden. Weitere Hinweise zu diesem Programm erhalten Sie über den Aufruf hypertrm -? (¢) .
12.8.2
Arbeiten mit dem Hyper Terminal
Sobald die Verbindung hergestellt wurde, erhalten Sie das Hyper Terminal-Fenster (siehe Abbildung 12.36). Darin wird die Kommunikation mit dem Remotecomputer abgewickelt. Zunächst müssen Sie sich mit einem gültigen Benutzernamen und Kennwort am Telnetserver anmelden. Um eine Datei an den Remotecomputer zu übertragen, verwenden Sie das Menü ÜBERTRAGUNG/DATEI SENDEN oder /TEXTDATEI SENDEN und wählen die gewünschte Datei sowie das Übertragungsprotokoll aus. Um eine Datei zu empfangen, legen Sie über ÜBERTRAGUNG/DATEI EMPFANGEN den Zielordner für die Datei fest und geben das Übertragungsprotokoll an, das der Remotecomputer verwendet. Klicken Sie dann auf SENDEN bzw. EMPFANGEN, um die Übermittlung der Daten zu starten.
Abbildung 12.36: Das Hyper Terminal
585
Sandini Bib
12 Kommunikation
Um empfangenen Text zu speichern, wählen Sie das Menü ÜBERTRAGUNG/TEXT AUFZEICHNEN und geben das Zielverzeichnis für die Textdatei an. Klicken Sie dann auf STARTEN. Soll die Textausgabe direkt an einen Drucker erfolgen, benutzen Sie das Menü ÜBERTRAGUNG/AM DRUCKER AUFZEICHNEN. Unten im Fenster werden die Verbindungsdauer sowie der verwendete Kommunikationsanschluss angezeigt.
12.9
Remotedesktop-Clients
Remotedesktop-Clients werden auch abgekürzt als RDP-Clients bezeichnet. Die Remotedesktop-Verbindung instrumentalisiert das Remotedesktop-Protokoll. Dieses Protokoll setzt auf dem Terminalserver-Verbindungsprotokoll auf. Für die Remotedesktop-Verbindung werden aber keine Terminalserver-Lizenzen fällig. Der Windows XP-Client nutzt den Terminalserver-Dienst. Jeder Windows XP-Client kann als so genannter Server fungieren; auf diesen können RDP-Clients zugreifen und ihn steuern. Diese Funktion steht nur unter XP/2003 Server zur Verfügung. Darum lassen sich nur solche Rechner per RDP fernsteuern. Remotedesktop-Clients, von denen aus XP-Rechner ferngesteuert werden können, gibt es auch für 95/98/98SE/ME/2000/NT4. Die Software für den entsprechenden RDP-Client muss auf den Systemen erst installiert werden. Sie kann unter http://www.microsoft.com/ windowsxp/downloads/tools/rdclientdl.mspx heruntergeladen werden. Die Installationsquelle unterstützt auch unbeaufsichtigte (unattended) Installationen, z.B. Microsoft Systems Management Server (SMS) oder IntelliMirror. Weitere Details zu Remotedesktop-Verbindungen finden Sie in Kapitel 5.
586
Sandini Bib
13
System- und Gruppenrichtlinien Stephanie Knecht-Thurmann
Dieses Kapitel beschäftigt sich mit den Gruppen- und Systemrichtlinien sowie mit den Sicherheitsrichtlinien unter Windows XP. Richtlinien ermöglichen es, den Client automatisch so einzurichten, wie der Administrator dies festgelegt hat. Beim Einsatz von Gruppenrichtlinien ist die zentrale Konfiguration für Benutzer und Computer einer Active Directory-Domäne realisierbar. Dabei sind Differenzierungen je nach Zugehörigkeit eines Computers oder Benutzers zu einem bestimmten Standort oder einer Organisationseinheit möglich. Sicherheitsrichtlinien hingegen beziehen sich immer nur auf den lokalen Computer.
13.1
Was sind Gruppenrichtlinien?
Gruppenrichtlinien sind eine unter Windows Server 2000 eingeführte Komponente, mit der Computer der Betriebssysteme Windows 2000, XP und 2003 zentral verwaltet werden können. Die in den Gruppenrichtlinien vorgenommenen Einstellungen können sich entweder auf einen Computer oder auf einen Benutzer beziehen. Gruppenrichtlinien werden in zwei Kategorien unterschieden: Active Directory-basierte Gruppenrichtlinienobjekte sowie das lokale Gruppenrichtlinienobjekt. Erstere werden im Active Directory gespeichert und zwischen den Domänen-Controllern repliziert. Es kann beliebig viele dieser Objekte geben. Ein lokales Gruppenrichtlinienobjekt hingegen ist nur einmalig auf jedem Windows XP-Client vorhanden und wird dort lokal gespeichert. Active Directory-basierte Gruppenrichtlinien können nie von Gruppenrichtim Active Windows XP an sich, sondern lediglich im Umfeld einer Active linien Directory Directory-Domäne unter Windows Server 2000/2003 eingesetzt werden. Deshalb können auch keine Gruppenrichtlinien für Windows XP Home oder Windows Media Center eingerichtet werden, wohl aber für Windows XP Tablet Edition. Die Anzahl der verfügbaren Richtlinien erhöhte sich von Windows 2000 bis hin zum Service Pack 2 von Windows XP beträchtlich. Dennoch ist sichergestellt, dass ein älterer Client die Einstellungen einer
587
Sandini Bib
13 System- und Gruppenrichtlinien
neueren Gruppenrichtlinie ignoriert, sodass es zu keinen Fehlern kommen kann. Bei vielen Richtlinien wird zudem angezeigt, ab welcher Betriebssystem- oder Service Pack-Version sie angewendet werden können. Die Gruppenrichtlinien, die im Active Directory gespeichert sind, stellen die Grundlage der IntelliMirror-Technologie dar. Mit der IntelliMirror-Technologie können Sie gewährleisten, dass ein Benutzer unabhängig vom Computer, an dem er sich aktuell anmeldet, grundsätzlich den Desktop mit allen zugehörigen persönlichen Einstellungen sowie alle seine Applikationen und Dokumente vorfindet.
13.2 Ein Relikt aus Windows NT 4.0Zeiten
Was sind Systemrichtlinien?
Die Systemrichtlinien sind als Vorgänger der Gruppenrichtlinien anzusehen. Eine Systemrichtlinie wird auch als Policy bezeichnet. Unter Windows NT konnten über den Systemrichtlinien-Editor (poledit.exe) in der Registry gespeicherte Computer- und Benutzerkonfigurationen festgelegt werden. Über eine Systemrichtlinie konnte die Arbeitsumgebung eines Client gesteuert werden, sodass die Konfigurationseinstellungen angewendet wurden. Das Programm Poledit.exe ist Bestandteil des Windows NT Server 4.0 und Windows Server 2000. Die Systemrichtlinie unter Windows NT bestand aus lediglich 72 Optionen zur Richtlinienerstellung – eine Gruppenrichtlinie enthält mehr als zehnmal so viele Konfigurationsoptionen. Diese Steigerung der Konfigurationsoptionen basiert auf der Zunahme der Funktionen in den modernen Betriebssystemen wie Windows XP und 2000 (z.B. Remote Desktop, Media Player usw.). Weiterhin war es beim Einsatz der Systemrichtlinie nur möglich, dass eine einzige Policy von einem Computer oder Benutzer der Domäne verarbeitet wurde. Beim Einsatz von Gruppenrichtlinien können verschiedene Gruppenrichtlinienobjekte in verschiedenen Levels der Active Directory-Hierarchie mit unterschiedlichen Containern verbunden werden. Das Gruppenrichtlinienmodell ist somit wesentlich flexibler als die Systemrichtlinien. In einer modernen Netzwerkumgebung mit einem Active Directory werden die Systemrichtlinien nicht mehr eingesetzt. Lediglich wenn noch eine Domäne unter Windows NT 4.0 betrieben wird, werden über den NT-PDC die Systemrichtlinien konfiguriert.
588
Sandini Bib
Der Aufbau einer Gruppenrichtlinie
13.2.1
Windows XP-Clients und Systemrichtlinien
Da der Windows XP-Client standardmäßig die Gruppenrichtlinien des Active Directory verwendet, muss dieser angepasst werden, wenn er in einer Windows NT-Domäne benutzt wird. Zur Verteilung der Systemrichtlinie sind die folgenden Schritte erforderlich: 1. Starten Sie das Programm poledit.exe und nehmen alle Konfigurationseinstellungen vor. 2. Speichern Sie die Datei z.B. unter dem Namen winxp.pol und kopieren diese in eine Freigabe, z.B. NETLOGON. 3. Auf dem XP-Client muss festgelegt werden, wo dieser seine pol-Datei findet. Dies geschieht über den folgenden RegistrySchlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Update
Legen Sie dort einen neuen Wert vom Typ Zeichenketten (REG_SZ) mit dem Namen NetworkPath an. Tragen Sie den Pfad zur polDatei ein, z.B. \\Server\Freigabe\winxp.pol. Beim Start des XP-Client werden die Einstellungen der Systemrichtlinie abgearbeitet und übernommen. Weitere Hinweise zum gemeinsamen Einsatz von System- und Gruppenrichtlinien finden Sie in Kapitel 13.8.1.
13.3
Der Aufbau einer Gruppenrichtlinie
Eine Gruppenrichtlinie ist ein Sammelsurium verschiedenster Konfigurationseinstellungen für Benutzer und Computer. Die Umsetzung dieser Einstellungen wird zentral gesteuert. Gruppenrichtlinien werden über das Active Directory verteilt. Im Kontext der Gruppenrichtlinien werden Sie immer wieder auf bestimmte Begrifflichkeiten und Abkürzungen stoßen. Diese Schlüsselbegriffe werden nun näher erläutert: GPO bedeutet Gruppenrichtlinienobjekt (Group Policy Object), ein GPC ist ein Gruppenrichtliniencontainer (Group Policy Container) und GPT heißt Gruppenrichtlinienvorlage (Group Policy Template).
589
Sandini Bib
13 System- und Gruppenrichtlinien
13.3.1
Das Gruppenrichtlinienobjekt (GPO)
Der am häufigsten auftretende Begriff ist GPO. Ein GPO besteht aus einer Reihe von einzelnen Gruppenrichtlinien, die Sie einem Benutzer oder Computer zuweisen können. Für jede der einzelnen Richtlinien kann ein Wert zugeteilt werden, einzelne Richtlinien können auch deaktiviert werden. Alle Einstellungen und Daten einer Gruppenrichtlinie werden in einem GPO gespeichert. Sobald Sie ein GPO für einen Benutzer oder Computer implementiert haben, enthält dieses einen GPC und eine GPT.
13.3.2
Der Gruppenrichtliniencontainer (GPC)
Im Gruppenrichtliniencontainer (GPC) befinden sich die GPOInformationen wie Version oder Status der Richtlinien (aktiviert oder deaktiviert). Der GPC enthält Untercontainer für die Richtlinien der Computer und Benutzer. Im GPC werden alle Eigenschaften der Richtlinie gespeichert, die nicht häufigen Änderungen unterworfen sind, also quasi die Beschreibung der Richtlinie.
13.3.3
Die Gruppenrichtlinienvorlage (GPT)
In der Gruppenrichtlinienvorlage (GPT) werden die Einstellungen für die Richtlinie gespeichert. Dazu zählen z.B. Skripte oder Sicherheitseinstellungen. Diese Daten können sich häufiger ändern. Die Ordnerstruktur der GPT wird beim Erstellen des GPO angelegt. Sie finden die GPT-Daten für domänenbasierte Gruppenrichtlinienobjekte im Verzeichnis %SYSTEMROOT%\SYSVOL\[DOMÄNENNAME]\POLICIES\[GUID DES JEWEILIGEN GPO]. Zusätzlich sind im Verzeichnis \USER\SCRIPTS\ bzw. \MACHINE\SCRIPTS\ von SYSVOL die Anmelde- und Abmeldeskripte für das GPO gespeichert. Auf jedem Windows XP-Client befindet sich auch ein lokales GPO – unabhängig davon, ob der Computer Mitglied einer Domäne ist oder nicht. Dieses lokale GPO finden Sie im Verzeichnis %SYSTEMROOT%\SYSTEM32\GROUPPOLICY. Einige der Funktionen wie z.B. Softwareverteilung oder Ordnerumleitung sind in den lokalen GPOs im Gegensatz zu domänenbasierten GPOs nicht verfügbar.
590
Sandini Bib
Verknüpfung mit mehreren Gruppenrichtlinien
13.4
Verknüpfung mit mehreren Gruppenrichtlinien
Gruppenrichtlinien können auf mehreren Ebenen angelegt werden. Flexible Außer einer lokalen Gruppenrichtlinie, über die jeder Windows Konfigurationsmöglichkeiten XP-Client verfügt, können weitere Gruppenrichtlinien auf Standort-, Domänen- und Organisationseinheitenebene angelegt und auf den Client angewendet werden. Wenn sich der Client nicht in einer Domäne befindet, ist für ihn nur die lokale Gruppenrichtlinie gültig. Befindet er sich jedoch in einer Domäne, können die Einstellungen der lokalen Gruppenrichtlinie durch die der Domäne überschrieben werden.
13.4.1
Die Reihenfolge der Abarbeitung
Gruppenrichtlinien für Computer, die Mitglieder in einer Active Directory-Domäne sind, werden in dieser Gültigkeitsreihenfolge abgearbeitet: 1. Lokales GPO 2. GPO des Standorts 3. GPO der Domäne 4. GPO der Organisationseinheit Als Erstes werden also die Einstellungen des lokalen GPO geprüft. Dann werden die Einstellungen des GPO für den Standort abgearbeitet. Ist eine Richtlinie nur auf Standortebene definiert, wird sie zu den bestehenden Richtlinieneinstellungen des lokalen GPO addiert. Ist auf der Standortebene eine vom lokalen GPO abweichende Einstellung getroffen, so überschreibt das GPO des Standorts das lokale GPO. In dieser Weise werden alle GPOs bis zur Ebene der Organisationseinheit abgearbeitet. Wenn Sie eine Hierarchie von OUs und Unter-OUs eingerichtet haben, werden die OU-GPOs bis zu der untersten OU abgearbeitet. Man spricht hierbei als Merksatz auch von der LSDOU-Reihenfolge (Lokal – Standort – Domäne – Organisationseinheit).
13.4.2
Die Verknüpfungsmöglichkeiten der GPOs
Ein einzelnes GPO kann mit mehreren Containern wie Standorten, Domänen und Organisationseinheiten verbunden sein. Andererseits kann aber auch einer dieser Container mehrere GPOs beinhalten. Selbstverständlich kann auch ein GPO in nur einem Container angewendet werden.
591
Sandini Bib
13 System- und Gruppenrichtlinien
So kann ein Container Domäne mit zwei verschiedenen GPOs, z.B. GPO 1 und 2 verknüpft sein, während andererseits ein GPO 3 mit zwei verschiedenen Containern verknüpft ist, z.B. Organisationseinheit 1 und 2. Ein einzelner Container, z.B. Standort, kann auch mit nur einem GPO verknüpft werden. Das eben beschriebene Modell geht davon aus, dass pro Hierarchieebene jeweils nur ein Container vorhanden ist, also beispielsweise nur eine Organisationseinheit ohne weitere OU-Untercontainer. Befinden sich aber in einem Container weitere Container (eine OU ist durch weitere OUs strukturiert), so gilt auch für Gruppenrichtlinien der standardmäßige Weg der Vererbung: Der übergeordnete Container vererbt die konfigurierten Richtlinien an alle Benutzer und Computer der untergeordneten Container. Dies gilt jedoch nur für Richtlinien, die entweder aktiviert oder deaktiviert sind. Die nicht konfigurierten Richtlinien werden nicht weiter vererbt. Haben Sie jedoch in einem untergeordneten Container einige spezielle Richtlinien konfiguriert, werden diese vorrangig vor den vom übergeordneten Container geerbten behandelt. Sind im über- und untergeordneten Ordner mehrere Richtlinien konfiguriert, die sich nicht widersprechen, so werden diese addiert. Widersprechen sich jedoch die Einträge in der Richtlinie des über- und untergeordneten Containers, werden die Einstellungen des untergeordneten Containers verwendet, die des übergeordneten Containers werden in diesem Fall nicht vererbt. Wenn in einem untergeordneten Container eine bestimmte Richtlinie nicht konfiguriert ist, sondern nur in dem übergeordneten Container, wird daraus die Einstellung übernommen.
13.5
Die Inhalte eines GPO
Jedes GPO ist in die Bereiche COMPUTERKONFIGURATION und BENUTZERKONFIGURATION unterteilt (siehe Abbildung 13.1). In der Computerkonfiguration werden nur maschinenbezogene Einstellungen festgelegt. Sie werden bei jedem Start des Computers angewendet. Dabei ist es gleichgültig, welcher Benutzer sich an dem Computer anmeldet. Umgekehrt bezieht sich die Benutzerkonfiguration nur auf den Benutzer. Dabei spielt es keine Rolle, an welchem Computer sich der Benutzer anmeldet. In beiden Konfigurationsbereichen befinden sich die Untercontainer SOFTWAREEINSTELLUNGEN, WINDOWS-EINSTELLUNGEN und ADMINISTRATIVE VORLAGEN.
592
Sandini Bib
Die Inhalte eines GPO
Abbildung 13.1: Im Gruppenrichtlinien-Editor können die Richtlinien bearbeitet werden.
13.5.1
Softwareeinstellungen
In beiden Konfigurationen befindet sich standardmäßig nur der Eintrag SOFTWAREINSTALLATION. Über diesen Punkt können neue Pakete für die Softwareverteilung erstellt und konfiguriert werden. Mit Hilfe dieser Gruppenrichtlinien kann eine automatische Installation von Software benutzer- oder computerbezogen durchgeführt werden. Als einzige Voraussetzung dazu müssen die Installationspakete im .msi-Format vorliegen. Andere Installationsmethoden als der Windows Installer werden nicht unterstützt.
13.5.2
Windows-Einstellungen
Unter den WINDOWS-EINSTELLUNGEN finden Sie für beide Konfigurationen die Knoten SKRIPTS und SICHERHEITSEINSTELLUNGEN. Zusätzlich sind in der Benutzerkonfiguration noch INTERNET EXPLORER-WARTUNG, REMOTE-INSTALLATIONSDIENSTE sowie ORDNERUMLEITUNG vorhanden. Die folgende Tabelle zeigt die Bedeutung der einzelnen Knoten.
593
Sandini Bib
13 System- und Gruppenrichtlinien Tabelle 13.1: Die WindowsEinstellungen in einem GPO
Knoten
Beschreibung
Skripts
Hier können Sie Skripte für das An- und Abmelden von Benutzern sowie für das Starten und Herunterfahren des Rechners definieren. Es sind Skripte in Form von Stapelverarbeitungen (*.cmd/*.bat) oder auch Visual Basic-, Java- oder Perl-Skripte möglich. Wenn mehrere Skripte eingesetzt werden, kann auch deren Reihenfolge bestimmt werden. Beim Starten eines Rechners wird erst das Startskript und bei der Benutzeranmeldung das Anmeldeskript verarbeitet. Beim Herunterfahren wird zunächst das Abmeldeskript und dann das Skript zum Herunterfahren abgearbeitet. Standardmäßig darf die Verarbeitung der Skripte maximal zehn Minuten in Anspruch nehmen. Dieser Wert kann jedoch bei Bedarf heraufgesetzt werden.
Sicherheitseinstellungen
Hier können Sie detaillierte Sicherheitseinstellungen für die Maschinen oder Benutzer festlegen. Dazu zählen Kontorichtlinien (Kennwort und Kontensperrung), das Zuweisen von Benutzerrechten oder Überwachungsrichtlinien. Weiterhin können Sie hier die Startoptionen für Windows-Systemdienste einstellen, für bestimmte RegistrySchlüssel und Dateien Sicherheitseinstellungen konfigurieren sowie die Richtlinien öffentlicher Schlüssel festlegen.
Internet ExplorerWartung
Hier können Sie den Internet Explorer für die Client-Computer konfigurieren. Dazu zählen beispielsweise ein geändertes Logo, angepasste Symbolleisten, vordefinierte Verbindungen wie Proxy-Einstellungen usw., Links, die automatisch hinzugefügt werden, oder auch das Anpassen des Sicherheitsfilters.
Remote-Installationsdienste
Hier können Sie bestimmen, ob automatische oder benutzerdefinierte Remote-Installationen gestattet werden oder nicht und ob nach der Installation ein Neustart durchgeführt werden soll oder nicht.
Ordnerumleitung
Über die Ordnerumleitung können einige WindowsOrdner wie Eigene Dateien oder Startmenü vom standardmäßigen Benutzerprofil an eine zentrale Stelle im Netzwerk umgeleitet werden.
Die MMC-Knoten SOFTWAREEINSTELLUNGEN (Zuweisung, Installation etc.), REMOTE-INSTALLATION sowie ORDNERUMLEITUNG sind nur verfügbar, wenn eine Domäne mit Active Directory eingerichtet worden ist.
594
Sandini Bib
.adm-Dateien und Gruppenrichtlinien
13.6
.adm-Dateien und Gruppenrichtlinien
Die Grundlage für den Bereich ADMINISTRATIVE VORLAGEN in der Benutzer- und Computerkonfiguration eines Gruppenrichtlinienobjekts sind .adm-Dateien. Diese Dateien werden auch als Vorlagendateien bezeichnet. Sie können mit einem beliebigen Texteditor geöffnet und modifiziert werden. Insgesamt gibt es je nach Betriebssystem verschiedene .admDateien. Die Bedeutung dieser unter Windows XP vorhandenen Dateien zeigt die folgende Tabelle. .adm-Datei
Beschreibung
Conf.adm
Richtlinien für Netmeeting, die für die Benutzerund Computerkonfiguration gelten. Diese Vorlage sollte nur geladen werden, wenn Netmeeting eingesetzt wird.
Inetcorp.adm
Richtlinie für die Wartung des Internet Explorer in der Benutzerkonfiguration
Inetres.adm
Richtlinien für den Internetzugriff, die für die Benutzer- und Computerkonfiguration gelten
Inetset.adm
Enthält zusätzliche Richtlinien für die Steuerung des Internet Explorer.
System.adm
Systembezogene Richtlinien, die für die Benutzerund Computerkonfiguration gelten
Wmplayer.adm
Benutzerbezogene Gruppenrichtlinien für den Windows Media Player
Wuau.adm
Computerbezogene Gruppenrichtlinien für den Windows Update Service
Tabelle 13.2: Übersicht über die .adm-Dateien und deren Bedeutung
Für die Einstellungen einer Organisationseinheit (OU), die Computer beinhaltet, sind die .adm-Dateien inetres.adm, system.adm sowie wuau.adm von Interesse, für eine OU, die die Benutzer enthält, die Dateien inetres.adm, wmplayer.adm sowie system.adm. Um .adm-Dateien zu einer Gruppenrichtlinie hinzuzufügen, öffnen Sie die Eigenschaften dieser Richtlinie und klicken auf BEARBEITEN. Navigieren Sie zur COMPUTERKONFIGURATION und zu ADMINISTRATIVE VORLAGEN. Wählen Sie aus dem Kontextmenü den Eintrag VORLAGEN HINZUFÜGEN/ENTFERNEN und selektieren Sie die gewünschten Dateien.
595
Sandini Bib
13 System- und Gruppenrichtlinien
Nach dem Laden der .adm-Dateien werden diese nicht immer sofort angezeigt. Schließen Sie deshalb zunächst den Gruppenrichtlinien-Editor und öffnen Sie das GPO erneut. Prüfen Sie, ob nun alle Einträge vorhanden sind.
13.6.1
Gruppenrichtlinienvorlagen unter Windows XP
Windows XP verfügt über die sieben bereits genannten Vorlagendateien für Gruppenrichtlinien. Diese .adm-Dateien befinden sich im Verzeichnis \WINDOWS\INF. Die Dateien können auch auf einen Domänen-Controller des Active Directory kopiert werden und von dort aus die Konfiguration der Windows XP-Clients beeinflussen. Dazu müssen die .adm-Dateien in das Verzeichnis auf dem Domänen-Controller kopiert werden, in dem sich die Vorlagendateien – auch die selbst erstellten – für die Gruppenrichtlinien befinden. Versionen der Vorlagendateien Ein besonderes Augenmerk ist auf die verschiedenen Versionen der Vorlagendateien zu richten. Dies gilt ganz besonders, weil die Vorlagendateien unter Windows XP, Windows Server 2003 und Windows Server 2000 dieselben Namen tragen. Beachten Sie unbedingt die Versionen der Vorlagedateien
Verwenden Sie Windows XP in einem Windows 2000-basierten Active Directory, so sind die Vorlagedateien von Windows XP aktueller als die von Windows 2000. Die zusätzlichen Optionen für Windows XP sind in den Vorlagendateien des Windows 2000 Server nicht enthalten. Allerdings besitzen die .adm-Dateien beider Betriebssysteme denselben Namen. Sie sollten also die XP-Dateien zunächst umbenennen und dann in das Verzeichnis %SYSTEMROOT%\INF des Windows Server 2000 kopieren. Andernfalls würden beispielsweise bei einer Installation eines Windows 2000 Service Pack wieder die alten Dateien zurückgeschrieben, da die Vorlagendateien des Service Pack inhaltlich nicht aktualisiert wurden. Die aktuellere XP-Version mit den zusätzlichen Features ist danach nicht mehr vorhanden. Wird der Windows Server 2003 eingesetzt, so sind in diesem alle .adm-Dateien enthalten, die auch Windows XP mit Service Pack 1 besitzt. Durch die Installation des Windows XP Service Pack 2 kommen jedoch wieder neue Richtlinien hinzu. Beim Kopieren der XP-Dateien in das Verzeichnis %SYSTEMROOT%\INF auf dem Windows Server 2003 werden zunächst die aktuelleren XP-Versionen übernommen. Sie sollten jedoch auch in diesem Fall die
596
Sandini Bib
.adm-Dateien und Gruppenrichtlinien
XP-Dateien wieder umbenennen, damit diese nicht bei der Installation eines Service Pack für Windows Server 2003 wieder überschrieben werden. Befinden sich mehrere Domänen-Controller im Active Directory, so müssen sämtliche Domänen-Controller über dieselben Vorlagendateien, also die aktualisierten XP-Dateien, verfügen. Die XP-Dateien müssen also auf jedem Domänen-Controller in das Verzeichnis %SYSTEMROOT%\INF kopiert werden. Erleichtern Sie sich die Verteilung, indem Sie die aktuellen XPDateien auf einem Domänen-Controller in die Freigabe \NETLOGON kopieren. Dadurch werden die Inhalte automatisch an die übrigen Domänen-Controller repliziert. Sie müssen sich danach an jedem der Domänen-Controller anmelden und die aktuellen .adm-Dateien aus der Freigabe \NETLOGON in den Ordner %SYSTEMROOT%\INF kopieren.
13.6.2
Kompatibilität der .adm-Dateien
Nicht in jedem Unternehmen ist eine reine Windows XP- und Windows 2003-Landschaft vorhanden. In vielen Fällen werden noch Clients unter Windows 2000 eingesetzt. In einer solchen gemischten Umgebung können dennoch die Windows XP-basierten Vorlagendateien zum Einsatz kommen, da diese mit Windows 2000 abwärtskompatibel sind. Das bedeutet, dass sämtliche Einstellungen, die auch für Windows 2000 angewendet werden können, für dieses Betriebssystem ebenfalls umgesetzt werden. Neuere Einstellungen hingegen, die nicht mit Windows 2000 kompatibel sind (z.B. Einstellungen zum Remotedesktop), werden ignoriert und nicht auf Windows 2000, sondern lediglich auf Windows XP angewendet.
13.6.3
Verwalten der XP-SP2-Features über Gruppenrichtlinien
Mit dem Windows XP Service Pack 2 wurden auch Änderungen an den Verwaltungswerkzeugen der Gruppenrichtlinien durchgeführt. Die Datei gptext.dll sowie die Funktion LISTBOX ADDITIVE im Zusammenhang mit .adm-Dateien wurden geändert. Um die neuen Richtlinieneinstellungen auf einem Computer mit Windows 2000 ab SP3, Windows XP bis SP1 oder Windows Server 2003 zu verwalten, muss auf diesen Computern unbedingt ein Hotfix installiert werden. Die entsprechenden Hotfixes sowie weitere Hinweise dazu sind in Artikel 842933 der Microsoft Knowledge Base zu finden. Ohne dieses Hotfix können die neuen Richtlinieneinstellungen nicht korrekt im Gruppenrichtlinienobjekt-Editor angezeigt werden.
597
Sandini Bib
13 System- und Gruppenrichtlinien
Wird die Verwaltung der Gruppenrichtlinien ausschließlich von einem oder mehreren Computern mit Windows XP SP2 durchgeführt, so müssen keine weiteren Hotfixes installiert werden. In diesem Fall werden beim Öffnen des GPO die .adm-Dateien von Windows XP SP2 auf den Domänen-Controller geladen und das GPO wird dort aktualisiert. Befinden sich mehrere Domänen-Controller in der Domäne, so wird die .adm-Datei automatisch auf diese repliziert. Wird das GPO von einem anderen Computer aus geöffnet, der nicht das erwähnte Hotfix installiert hat, so erhalten Sie beim Öffnen eine Reihe von Fehlermeldungen. Diese haben alle den folgenden Inhalt: Der folgende Eintrag im Abschnitt "[strings]" ist zu lang und wurde abgeschnitten.
Diese Fehlermeldung kommt zustande, weil die alten Versionen des GPO-Editors einige Zeichenketten mit mehr als 255 Zeichen nicht korrekt interpretieren können. Derartige Zeichenfolgen sind in einigen aktualisierten .adm-Dateien enthalten.
13.6.4
Anlegen zusätzlicher .adm-Dateien
Über die vom Betriebssystem bereitgestellten .adm-Dateien können bereits viele Einstellungen zentral über Gruppenrichtlinien gesteuert werden. Außer diesen vordefinierten .adm-Dateien sind auch für verschiedene Applikationen .adm-Dateien verfügbar, so z.B. für Microsoft Office. .adm-Dateien für Microsoft Office befinden sich nicht im Lieferumfang des Office-Pakets, sondern werden durch die Installation des Office Resource Kit ebenfalls im Ordner \WINDOWS\INF bereitgestellt. Für jede der Office-Komponenten ist dann dort eine eigene Vorlagedatei vorhanden. Der größte Vorteil liegt jedoch darin, dass für viele Registry-Einstellungen ebenfalls eigene .adm-Dateien erstellt werden können, sodass Sie nicht auf die Auslieferung von .adm-Dateien durch einen bestimmten Hersteller angewiesen sind. Über die Gruppenrichtlinien können sämtliche Einstellungen der Registry-Schlüssel HKEY_LOCAL_MACHINE sowie HKEY_CURRENT_USER beeinflusst werden. Die übrigen Schlüssel können jedoch nicht über Gruppenrichtlinien modifiziert werden.
598
Sandini Bib
.adm-Dateien und Gruppenrichtlinien
Für diese Aufgabe ist das Programm Registry System Wizard gut geeignet. Wechseln Sie im Programm auf die Registerkarte WINDOWS XP. Dort werden nach Kategorien geordnet die Einstellmöglichkeiten aufgelistet (siehe Abbildung 13.2).
Abbildung 13.2: Das Programm Registry System Wizard
Über das Menü TIPPS haben Sie die Möglichkeit, .adm-Dateien und .reg-Dateien zu erstellen. Der Eintrag .ADM-FILE VOM AKTUELLEN TIPP ERSTELLEN ist in diesem Menü nur verfügbar, wenn sich der entsprechende Registry-Eintrag auf einen der beiden Schlüssel HKEY_LOCAL_MACHINE oder HKEY_CURRENT_USER bezieht. Auf diese Weise kann eine eigene .adm-Datei erstellt werden. Im Folgenden sehen Sie den Aufbau einer .adm-Datei, die zwei Richtlinien enthält. Class USER CATEGORY "RSW-ADM-Datei" CATEGORY "Passwörter müssen Zahlen enthalten" KEYNAME "SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\System" POLICY "AlphanumPwds" VALUENAME "AlphanumPwds" ValueON "1" ValueOFF DELETE PART "Mit dieser Funktion können Sie einstellen, dass Passwörter aus Buchstaben und " TEXT END PART PART "Zahlen bestehen müssen, wodurch die
Listing 13.1: Beispiel für den Aufbau einer ..adm-Datei
599
Sandini Bib
13 System- und Gruppenrichtlinien Sicherheit erhöht wird. " TEXT END PART END POLICY END CATEGORY END CATEGORY Class MACHINE CATEGORY "RSW-ADM-Datei" CATEGORY "Passwörter müssen Zahlen enthalten" KEYNAME "SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\System" POLICY "AlphanumPwds" VALUENAME "AlphanumPwds" ValueON "1" ValueOFF DELETE PART "Mit dieser Funktion können Sie einstellen, dass Passwörter aus Buchstaben und " TEXT END PART PART "Zahlen bestehen müssen, wodurch die Sicherheit erhöht wird. " TEXT END PART END POLICY END CATEGORY END CATEGORY
In der Sektion CLASS MACHINE sind die Einstellungen der Computerkonfiguration aufgeführt, in der Sektion CLASS USER die der Benutzerkonfiguration. Diese beiden CLASSES werden durch Kategorien weiter strukturiert. Eine Kategorie beginnt mit CATEGORY Kategorienname und endet mit END CATEGORY. Es können beliebig viele Kategorien in einer CLASS enthalten sein. In einer Kategorie wird unter KEYNAME der Registry-Schlüssel angegeben. In diesem befinden sich die unter VALUENAMES aufgelisteten Werte. Die Richtlinie wird unter POLICY benannt, mit END POLICY wird das Ende der Richtlinie angegeben. Optional kann für die Richtlinie eine Beschreibung festgelegt werden. Diese Beschreibung wird zwischen die Schlüsselwörter Part sowie Text and Part gesetzt. In den .adm-Dateien von Windows 2000 und XP befinden sich die Beschreibungen hingegen ganz am Ende hinter END CATEGORY in der Sektion [strings]. Bearbeiten Sie niemals die originalen Windows-.adm-Dateien, da diese bei der Installation eines Service Pack überschrieben werden und Ihre Änderungen dadurch verloren gehen. Modifizierte Dateien sollten grundsätzlich einen anderen Namen als die Originaldatei tragen.
600
Sandini Bib
Die Group Policy Management Console (GPMC)
13.7
Die Group Policy Management Console (GPMC)
Die Group Policy Management Console oder kurz GPMC ist ein neues Werkzeug zur Verwaltung von Gruppenrichtlinien. Diese Konsole kann auf einem Windows XP-Client als kostenloses Addon installiert werden, um von dort aus die zentrale Verwaltung der Gruppenrichtlinien in der Domäne bzw. Struktur vorzunehmen.
Vereinfacht die Verwaltung der Gruppenrichtlinien
Außer dem Anlegen, Zuweisen und Konfigurieren der GPOs können viele weitere Aufgaben über die GPMC erledigt werden. Dazu zählen Backup und Wiederherstellung an einem beliebigen Ort im Netzwerk sowie Im- und Export von GPOs und Sicherheitseinstellungen. Ferner werden HTML-Berichte über die GPOEinstellungen sowie die Auswirkungen von GPO-Einstellungen ausgegeben. Letzteres wird auch als Resultant Set of Policy (RSoP) beschrieben. Zusätzlich ist eine GPO-Modellierung möglich. Die letzten drei Punkte werden aufgrund ihrer Komplexität gesondert in Kapitel 13.12 behandelt. Auch die Verwaltung der Sicherheitsaspekte wird in der GPMC simplifiziert. Zusätzlich besteht die Möglichkeit, WMI-Filter anzuwenden. Mit Hilfe dieser Filter werden Anfragen an eine WMIDatenbank auf einem Zielcomputer gesendet. Die Datenbank wertet dies dann als wahr oder falsch aus. Sämtliche Operationen, die Sie über die GUI der GPMC vornehmen können, können auch skriptgesteuert erfolgen. Jedoch kann die Einstellung an den GPOs nicht via Skript vorgenommen werden. Die Zentralisierung in der GPMC stellt eine deutliche Verbesserung der Administration dar. Ohne den Einsatz der GPMC müssen zahlreiche unterschiedliche MMCs geöffnet werden, um die Einstellungen vornehmen zu können. Weiterhin ist in der GPMC auch die Übersichtlichkeit der GPO-Verknüpfungen sowie die Anzeige der Richtlinienauswirkungen wesentlich komfortabler geworden. In der GPMC sind die folgenden Komponenten enthalten: 왘
die MMCs ACTIVE DIRECTORY-BENUTZER UND -COMPUTER sowie ACTIVE DIRECTORY STANDORTE UND DIENSTE,
왘
RSoP (Resultant Set of Policy),
왘
der Delegierungs-Assistent sowie
왘
der ACL-Editor.
Diese Funktionalitäten sind nun über einen zentralen Aufruf erreichbar.
601
Sandini Bib
13 System- und Gruppenrichtlinien
Sobald jedoch die GPMC installiert ist, kann die Administration der GPOs nicht mehr wie bisher gewohnt durchgeführt werden. Wollen Sie den Gruppenrichtlinien-Editor beispielsweise über die Verwaltungskonsole ACTIVE DIRECTORY-BENUTZER UND COMPUTER aufrufen, so erhalten Sie die Meldung, dass Sie zur Verwaltung die GPMC benutzen mögen. Die Registerkarte GRUPPENRICHTLINIE in den EIGENSCHAFTEN von Domänen oder Organisationseinheiten ist nicht länger verfügbar. Die GPMC ist eine separate freie Komponente des Windows Server 2003. Sie wird u.a. auch in einer deutschen Version angeboten. Diese Version kann unter https://www.microsoft.com/downloads/details.aspx? displaylang=de&FamilyID=F39E9D60-7E41-4947-82F53330F37ADFEB heruntergeladen werden. Über die GPMC können sowohl Windows 2000- als auch Windows 2003-Domänen verwaltet werden. Bedenken Sie aber, dass die erweiterten Funktionalitäten der GPMC wie z.B. WMI-Filter in einer reinen Windows 2000-Umgebung nicht verfügbar sind. Der Computer, auf dem die GPMC zur Verwaltung installiert ist, muss entweder ein Windows Server 2003 oder ein Windows XP Professional Client sein. Im Falle von Windows XP müssen zusätzlich die folgenden Komponenten installiert sein: 왘
Windows XP SP1 oder höher sowie
왘
Microsoft .NET Framework
Zusätzlich wird das Post SP1-Hotfix Q326469 benötigt. Dies ist in der GPMC enthalten und wird während der Installation der GPMC mitinstalliert. Neben den genannten neuen Kernfunktionen können mit der GPMC auch in weiteren Bereichen Verwaltungsaufgaben durchgeführt und simplifiziert werden. Tabelle 13.3 gibt Ihnen einen Überblick über weitere Funktionen der GPMC.
602
Sandini Bib
Die Group Policy Management Console (GPMC)
Feature
Beschreibung
Neue Gruppenrichtlinieneinstellungen
Der Windows Server 2003 enthält über 150 zusätzliche GPO-Einstellungen. Diese beziehen sich u.a. auf die Bereiche Terminal Server, DNS, Fehler-Reporting oder Roaming Profiles.
Webansicht der administrativen Vorlagen
Sobald eine bestimmte Richtlinieneinstellung gewählt wird, zeigt die Webansicht detaillierte Informationen zu den Einstellungen sowie dem Zweck der Einstellungen. Die Webansicht ist auch für die Registerkarte „Erklärung“ jeder Einstellung verfügbar.
GPO-Modeling
Das GPO-Modeling bietet die Möglichkeit, Richtlinieneinstellungen, Sicherheit und Applikationen in einem „Was-Wenn-Szenario“ zu untersuchen. Diese Funktion ist bei einer Umstrukturierung oder Expansion sehr hilfreich. Bevor eine Änderung durchgeführt wird, können zahlreiche Tests ausgeführt werden, um die Konsequenzen für einen Benutzer oder eine Gruppe abzusehen.
DNS-Client
Die DNS-Client-Einstellungen auf einem Windows 2003 Server wie z.B. die dynamische Registrierung der DNS-Records oder die Übernahme des primären DNS-Suffixes können vereinfacht über die Gruppenrichtlinie eingestellt werden.
Netzwerkverbindungen
Über die Gruppenrichtlinie kann die GUI zur Einstellung der Netzwerkverbindungen nur bestimmten Benutzern verfügbar bzw. nicht verfügbar gemacht werden.
Softwareinstallation bei der Anmeldung
Bei der Softwareverteilung besteht nun die Möglichkeit, dem Benutzer zugewiesene Software vollständig bei seiner Anmeldung zu installieren und nicht erst bei Bedarf.
Software Support-URL
Für jedes installierte Softwarepaket kann der Benutzer über SYSTEMSTEUERUNG/SOFTWARE/ HINZUFÜGEN/ENTFERNEN einen URL aufrufen, über den er direkt auf die Support-Seite des Herstellers gelangt. Dies entlastet den firmeninternen Support und Helpdesk.
Tabelle 13.3: Weitere Features der GPMC
603
Sandini Bib
13 System- und Gruppenrichtlinien
Feature
Beschreibung
WMI-Filter
Über WMI (Windows Management Instrumentation) werden Hard- und SoftwareInventory-Daten sowie weitere Konfigurationseinstellungen aus der Registry, dem Dateisystem, aus Treibern, Active Directory, Windows Installer, SNMP, Netzwerk, SQL und Exchange ausgelesen. Beim WMI-Filtering kann festgelegt werden, ob ein GPO auf einem WMI-Filter beruhen soll. Ein WMIFilter ist eine Abfrage der WMI-Daten. Über diesen Filter können Sie festlegen, auf welche Benutzer und Computer ein GPO angewendet werden soll. Diese Funktion ist sinnvoll, wenn an alle Benutzer einer OU ein bestimmtes Softwarepaket verteilt werden soll, wofür jedoch genügend Festplattenkapazität zur Verfügung stehen muss. Sie können in diesem Fall einen WMI-Filter verwenden, der die Applikation lediglich bei den Benutzern installiert, die über mindestens 500 MB freien Festplattenplatz verfügen.
13.7.1
Die Administration über die GPMC
Nach der Installation der GPMC befindet sich im STARTMENÜ/VERWALTUNG der neue Eintrag GRUPPENRICHTLINIENVERWALTUNG. Beim Start dieser Verwaltungskonsole werden Sie aufgefordert, sich mit einem gültigen Domänenbenutzerkonto anzumelden, sofern der Verwaltungscomputer lediglich Mitglied einer Arbeitsgruppe ist. Die Anmeldung kann nur mit einem Domänenkonto erfolgen. Abbildung 13.3 zeigt eine Übersicht über die GPMC. Abbildung 13.3: Die Group Policy Management Console (GPMC)
604
Sandini Bib
Die Group Policy Management Console (GPMC)
In der MMC wird die Hierarchie des Netzwerks von der obersten Ebene der Gesamtstruktur über Domänen, Standorte und OUs bis hin zu den einzelnen GPOs abgebildet. Standardmäßig werden dort keine Standorte und weiteren Domänen außer der aktuellen angezeigt. Um der MMC weitere Objekte hinzuzufügen, wählen Sie aus dem Kontextmenü von DOMÄNEN bzw. STANDORTE den Eintrag DOMÄNEN ANZEIGEN bzw. STANDORTE ANZEIGEN. Aus der Liste selektieren Sie die Standorte bzw. Domänen, die in der MMC angezeigt werden sollen. Mehrere Gesamtstrukturen können nur dann angezeigt werden, wenn Vertrauensstellungen zwischen Gesamtstrukturen aktiviert sind. Hierzu müssen jedoch alle Domänen-Controller unter Windows Server 2003 im Gesamtstrukturfunktionsmodus Windows Server 2003 betrieben werden.
13.7.2
Erstellen, Löschen und Verknüpfen von GPOs
Um in der GPMC ein neues GPO zu erstellen, wählen Sie eine Domäne und klicken dort auf GRUPPENRICHTLINIENOBJEKTE. Aus dem Kontextmenü wählen Sie NEU und vergeben einen Namen für das neue GPO. Soll das neue GPO zugleich mit der Domäne verknüpft werden, so wählen Sie GRUPPENRICHTLINIENOBJEKT HIER ERSTELLEN UND VERKNÜPFEN. Soll ein bestehendes GPO mit einer Domäne, einem Standort oder einer OU verknüpft werden, wählen Sie aus dem jeweiligen Kontextmenü den Eintrag VORHANDENES GRUPPENRICHTLINIENOBJEKT VERKNÜPFEN. Nachdem das Objekt erstellt ist, wählen Sie aus dessen Kontextmenü BEARBEITEN. Es öffnet sich der GruppenrichtlinienobjektEditor, mit dem Sie alle Einstellungen bearbeiten können. Bedenken Sie, dass sich die Änderungen an einem bestehenden GPO auf sämtliche Container auswirken, mit denen das GPO verknüpft ist. Bei Änderungen gibt die GPMC jeweils eine Warnmeldung aus, die Sie an diese Tatsache erinnert. Jedes GPO verfügt über insgesamt vier Registerkarten. Unter BEREICH (siehe Abbildung 13.4) sehen Sie, mit welchen Standorten, Domänen und OUs das GPO verknüpft ist, für welche Benutzergruppen es angewendet wird und mit welchen WMI-Filtern es verbunden ist. Die Registerkarte DETAILS gibt Auskunft über Erstell- und Änderungsdatum, GUID, Besitzer, Domäne sowie über den Objektstatus.
605
Sandini Bib
13 System- und Gruppenrichtlinien
Abbildung 13.4: Die Registerkarte Bereich eines GPO
Die Registerkarte EINSTELLUNGEN (siehe Abbildung 13.5) zeigt, welche Bereiche des GPO konfiguriert worden sind. Für die Computer- und Benutzerkonfiguration finden Sie eine übersichtliche Auflistung der Richtlinien, die aktiviert oder deaktiviert sind. Nicht konfigurierte Einstellungen werden nicht angezeigt.
Abbildung 13.5: Die Registerkarte Einstellungen eines GPO
606
Sandini Bib
Die Group Policy Management Console (GPMC)
Die vierte Registerkarte DELEGIERUNG zeigt an, welche Benutzer und Gruppen welche Berechtigungen für das GPO besitzen. Über die Einträge im Kontextmenü der Gruppen und Benutzer können die Berechtigungen auch modifiziert werden. Bevor Sie ein GPO löschen, sollten Sie auf dessen Registerkarte BEREICH prüfen, ob noch domänenübergreifende Verknüpfungen bestehen. Wählen Sie dazu aus der Dropdown-Liste VERKNÜPFUNGEN FÜR DIESES VERZEICHNIS ANZEIGEN DEN EINTRAG [GESAMTSTRUKTUR]. Nun können Sie alle bestehenden Verknüpfungen löschen, bevor das GPO selbst endgültig gelöscht wird. Die beiden GPOs Default Domain Controllers Policy und Default Domain Policy können nicht gelöscht werden. Über den Kontextmenüeintrag STATUS DER GRUPPENRICHTLINIE jedes GPO können Sie den Status der Richtlinien festlegen. Sie können das GPO aktivieren, separat die Einstellungen der Benutzeroder Computerkonfiguration oder das gesamte GPO deaktivieren.
13.7.3
Die Einstellungen des GPO anpassen
Sobald Sie ein GPO in der Konsolenstruktur doppelklicken, öffnet sich zum Bearbeiten der Einstellungen der Gruppenrichtlinienobjekt-Editor. Dort navigieren Sie zum gewünschten Ordner und doppelklicken die Richtlinie. Dadurch erhalten Sie das Fenster EIGENSCHAFTEN (siehe Abbildung 13.6). Abbildung 13.6: Die Konfiguration einer Richtlinie
607
Sandini Bib
13 System- und Gruppenrichtlinien
Jede Richtlinie kann einen der folgenden drei Status besitzen: 왘
NICHT KONFIGURIERT Für die Richtlinie sind keine Einstellungen definiert worden.
왘
AKTIVIERT Die festgelegten Eigenschaften werden angewendet. Je nach Richtlinie ist es entweder ausreichend, die entsprechende Checkbox zu markieren oder Daten einzugeben, in unserem Beispiel das DNS-Suffix.
왘
DEAKTIVIERT Die festgelegten Eigenschaften werden nicht angewendet.
Um sämtliche Richtlinien eines Containers zu konfigurieren, sollten Sie diese nacheinander über die Schaltflächen VORHERIGE EINSTELLUNG und NÄCHSTE EINSTELLUNG durcharbeiten. Zu jeder Richtlinie gibt es auf der Registerkarte ERKLÄRUNG weitere Hinweise zu Auswirkungen und Einstellmöglichkeiten.
13.7.4
Backup der GPOs
Beim Backup eines GPO werden sämtliche Bestandteile des GPO gesichert, die im Active Directory selbst sowie in der Dateistruktur im Ordner SYSVOL enthalten sind. Dazu zählen die GUID des GPO sowie die Domäne, die Einstellungen, die Zugriffsberechtigungen für das GPO sowie der Verweis auf möglicherweise verknüpfte WMI-Filter. Die WMI-Filter selbst werden beim Backup eines GPO jedoch nicht gesichert. Dasselbe gilt auch für IPSecRichtlinien, die auf ein GPO angewendet werden können. Dies liegt darin begründet, dass beispielsweise für einen WMI-Filter andere Berechtigungen gelten als für das GPO selbst. Es wäre also möglich, dass einem Administrator beim Backup oder Wiederherstellen eines GPO nicht die erforderlichen Berechtigungen für einen WMIFilter oder eine IPSec-Richtlinie zur Verfügung stehen. Zusätzlich wäre es unnötig, WMI-Filter oder IPSec-Richtlinien zusammen mit jedem GPO zu speichern, wenn diese mit mehreren GPOs verknüpft sind. Für das Backup der WMI-Filter verwenden Sie in der GPMC die Export- und Importfunktion des WMI-Filters selbst. Ein Backup der IPSec-Richtlinien führen Sie über die Import- und Exportfunktion des Snap-In IP-SICHERHEITSRICHTLINIEN IN DEM JEWEILIGEN GPO DURCH. Beim Backup eines GPO wird ein XML-basierter Bericht erstellt. Dieser Bericht enthält einen Zeitstempel, optional eine Beschreibung sowie die GPO-Einstellungen. Jeder Backup-Vorgang wird durch eine eindeutige Nummer gekennzeichnet. So ist es möglich,
608
Sandini Bib
Die Group Policy Management Console (GPMC)
mehrere Sicherungen desselben GPO an demselben Speicherort abzulegen. Die XML-basierten Backup-Berichte können über die GPMC als HTML betrachtet werden. Damit ein Backup durchgeführt werden kann, muss für das GPO die Berechtigung LESEN bestehen. Für den Speicherort des Backup muss Schreibzugriff vorhanden sein. Zum Anlegen eines GPOBackup führen Sie die folgenden Schritte durch: 1. Wählen Sie aus dem Kontextmenü des gewünschten GPO den Eintrag SICHERN. 2. Sie erhalten das Fenster GRUPPENRICHTLINIENOBJEKT SICHERN. Über die Schaltfläche DURCHSUCHEN legen Sie den Speicherort fest. In das Textfeld BESCHREIBUNG können Sie optional einen Kommentar eingeben. Klicken Sie dann auf SICHERN. Während des Sicherungsvorgangs werden Sie über den Status sowie den Erfolg oder Misserfolg informiert. Wollen Sie mehrere GPOs gleichzeitig sichern, so klicken Sie in der GPMC auf den Knoten GRUPPENRICHTLINIENOBJEKTE. Auf der Registerkarte INHALT markieren Sie nun ein GPO oder mehrere. Wollen Sie mehrere GPOs markieren, halten Sie dabei die Taste (Strg) gedrückt. Es werden dann alle gewählten GPOs gesichert. Wollen Sie sämtliche vorhandenen GPOs sichern, wählen Sie aus dem Kontextmenü des Knotens GRUPPENRICHTLINIENOBJEKTE den Eintrag ALLE SICHERN. Es werden dann alle vorhandenen GPOs gesichert. Für die Sicherung der GPOs können Sie auch Skripte verwenden. Sie können entweder eigene Skripte schreiben oder ein vordefiniertes Skript benutzen. Die vordefinierten Skripte befinden sich im Verzeichnis GPMC\SCRIPTS. Mit Hilfe des Skripts BackupGPO.wsf können Sie die Sicherung eines GPO durchführen; das Skript BackupAllGPO.wsf führt eine Sicherung sämtlicher GPOs durch. Verwalten mehrerer Backups Außer der Erstellung von Sicherungen ist über die GPMC auch die Verwaltung der Backups möglich. Um das Dialogfenster zur Backup-Verwaltung aufzurufen, wählen Sie aus dem Kontextmenü entweder des DOMÄNEN-Containers oder des Containers GRUPPENRICHTLINIENOBJEKTE den Eintrag SICHERUNGEN VERWALTEN. Im ersten Fall werden alle gesicherten GPOs der kompletten Gesamtstruktur angezeigt, im zweiten Fall lediglich die GPOs der aktuellen Domäne. Die Verwaltungsmöglichkeiten sind in beiden Fällen dieselben (siehe Abbildung 13.7).
609
Sandini Bib
13 System- und Gruppenrichtlinien Abbildung 13.7: Die Verwaltung mehrerer gesicherter GPOs
Im Fenster SICHERUNGEN VERWALTEN sehen Sie unter SICHERUNGSVERZEICHNIS den Pfad zu der Lokation, in der sich die angezeigten Sicherungen der GPOs befinden. Zu jedem gesicherten Objekt wird der Name der Domäne, der Name des GPO, der Zeitpunkt des Backup, eine optionale Beschreibung sowie die eindeutige GUID des GPO angegeben. Sofern Sie die Checkbox FÜR JEDES GRUPPENRICHTLINIENOBJEKT NUR DIE NEUESTE VERSION ANZEIGEN aktivieren, wird für ein GPO, das mehrmals gesichert wurde, lediglich der Eintrag angezeigt, der den neuesten Zeitstempel trägt. Im unteren Bereich befinden sich drei Schaltflächen, über die Sie ein gesichertes GPO wiederherstellen oder löschen können. Jede dieser beiden Aktionen muss vor ihrer Durchführung separat bestätigt werden. Auch das Anzeigen der GPO-Einstellungen ist möglich. Hierzu öffnet sich der standardmäßige Webbrowser des Benutzers und zeigt die Einstellungen als HTML-Seite an. Die Verwaltung mehrerer Sicherungen kann auch skriptgesteuert erfolgen. Verwenden Sie hierzu das Beispielskript QueryBackupLocation.wsf, das sich im Verzeichnis GPMC\SCRIPTS befindet.
610
Sandini Bib
Die Group Policy Management Console (GPMC)
13.7.5
Wiederherstellung von GPOs
Die Wiederherstellung eines GPO darf nicht mit dem Import oder Kopieren eines GPO (siehe Kapitel 13.7.6) verwechselt werden. Beim Wiederherstellen wird das GPO auf einen früheren Status zurückgesetzt. Dies kann erforderlich werden, wenn ein GPO wieder auf einen funktionierenden älteren Status gebracht werden soll (Rollback) oder wenn ein GPO versehentlich gelöscht worden ist. Bei der Wiederherstellung behält das GPO seine ursprüngliche GUID. Ersetzt werden die Einstellungen des GPO, seine Berechtigungen sowie die verknüpften WMI-Filter. Sind beim Löschen eines GPO auch seine Verknüpfungen gelöscht worden, so müssen diese manuell wiederhergestellt werden. Dieser Prozess ist nicht Bestandteil der GPO-Wiederherstellung. Um die Verknüpfungen schneller wiederherstellen zu können, sehen Sie sich den Sicherungsbericht des GPO an, in dem all seine Verknüpfungen innerhalb der Domäne aufgeführt sind. Ein gesichertes GPO kann nicht wiederhergestellt werden, wenn zwischenzeitlich die Domäne umbenannt worden ist. Sie sollten also grundsätzlich sämtliche GPOs sichern, sobald eine Domäne umbenannt wurde. Wiederherstellen vorhandener GPOs Um ein vorhandenes GPO mit seinen ursprünglichen Einstellungen wiederherzustellen, führen Sie die folgenden Schritte aus: 1. Wählen Sie aus dem Kontextmenü des GPO den Eintrag VON SICHERUNG WIEDER HERSTELLEN. Damit wird der Wiederherstellungsassistent gestartet. 2. Geben Sie zunächst den Ordner an, in dem sich die Sicherungen der GPOs befinden. Sie können auch über die Schaltfläche DURCHSUCHEN nach einem Ordner suchen. Klicken Sie dann auf WEITER. 3. Nachdem Sie einen Sicherungsordner ausgewählt haben, werden alle Sicherungen des GPO angezeigt, die sich in diesem Ordner befinden. Zur besseren Orientierung werden für jede Sicherung der Zeitstempel sowie die optionale Beschreibung angezeigt. Über die Schaltfläche EINSTELLUNGEN ANZEIGEN können Sie die Details des GPO betrachten. Markieren Sie dann die gewünschte Sicherung und klicken Sie auf WEITER. 4. Sie erhalten eine Zusammenfassung über die gewählten Schritte. Klicken Sie hier auf FERTIG STELLEN. Damit wird das gesicherte GPO mit seinen Einstellungen wiederhergestellt und über-
611
Sandini Bib
13 System- und Gruppenrichtlinien
schreibt die aktuellen Werte des GPO. Die Versionsnummer wird dabei um einen Wert erhöht. Das ist erforderlich, damit die Clients, auf die das GPO angewendet wird, das wiederhergestellte GPO übernehmen. 5. Um ein GPO wiederherstellen zu können, müssen Sie über Berechtigungen verfügen, die ein Löschen, Ändern der Sicherheitseinstellungen sowie Bearbeiten der Einstellungen zulassen. Zudem müssen Sie über Lesezugriff auf das Quellverzeichnis des gesicherten GPO verfügen. Es ist jedoch nicht die Berechtigung zum Erstellen von GPOs erforderlich. Wiederherstellen bereits gelöschter GPOs Um ein versehentlich gelöschtes GPO wiederherzustellen, öffnen Sie das Fenster SICHERUNGEN VERWALTEN (siehe Abbildung 13.7). Markieren Sie dort den gewünschten Eintrag und klicken Sie auf die Schaltfläche WIEDERHERSTELLEN. Wenn Sie ein bereits gelöschtes GPO wiederherstellen, wird die Versionsnummer des gesicherten GPO beibehalten. Das wiederhergestellte GPO trägt also dieselbe Versionsnummer wie das gesicherte GPO. Um ein gelöschtes GPO wiederherstellen zu können, müssen Sie über die Berechtigung verfügen, GPOs in der Domäne erstellen zu dürfen. Die Person, die das GPO wiederherstellt, wird zudem zum neuen Ersteller-Besitzer des GPO. Skriptgesteuerte Wiederherstellung von GPOs Um ein GPO skriptgesteuert wiederherzustellen, können Sie entweder ein eigenes Skript schreiben oder auf die vordefinierten Skripte im Verzeichnis GPMC\SCRIPTS zurückgreifen. Verwenden Sie das Skript RestoreGPO.wsf, um ein einzelnes GPO wiederherzustellen, und das Skript RestoreAllGPOs.wsf, um sämtliche GPOs wiederherzustellen.
13.7.6
Kopieren von GPOs
Ob GPOs zwischen zwei Domänen kopiert werden sollen oder ein Import des GPO von einer Domäne in die andere durchgeführt werden soll, ist davon abhängig, ob zwischen den Domänen eine Vertrauensstellung besteht oder nicht. Ist dies der Fall, können die GPOs kopiert werden, andernfalls ist ein Import durchzuführen (siehe Kapitel 13.7.7). Man spricht im zweiten Fall auch von einer Migration der GPOs. Über die GPMC ist es möglich, GPOs zwischen Domänen und sogar zwischen Gesamtstrukturen auszutauschen. Im letzten Fall müssen jedoch alle Domänen-Controller der Gesamtstrukturen
612
Sandini Bib
Die Group Policy Management Console (GPMC)
unter Windows Server 2003 im Gesamtstrukturmodus 2003 ausgeführt werden. Ist dies nicht der Fall, besteht die Möglichkeit, GPOs aus einer Domäne zu exportieren und in eine Domäne derselben oder einer anderen Gesamtstruktur zu importieren. So können beispielsweise GPOs, die in einer Testdomäne erstellt, getestet und validiert worden sind, in die produktive Umgebung übernommen werden. Allerdings sollten GPOs immer nur innerhalb einer lokalen Domäne benutzt werden, da das Abarbeiten von GPO-Verknüpfungen über Domänengrenzen hinweg kompliziert ist und zusätzlich die Anmeldedauer eines Benutzers erhöht werden kann. In diesem Fall sollten Sie besser lediglich sämtliche Einstellungen eines GPO in ein anderes importieren, sodass keine Verknüpfung zwischen den beiden Objekten besteht. Beim Kopieren eines GPO werden dessen sämtliche Einstellungen in ein neues GPO am Zielort geschrieben. Dieser Zielort kann sich entweder in derselben Domäne, in einer anderen Domäne derselben Gesamtstruktur oder sogar in einer anderen Domäne einer anderen Gesamtstruktur befinden. Zwischen der Quell- und der Zieldomäne muss lediglich eine Vertrauensstellung bestehen. Zudem müssen Sie in der Zieldomäne über die Berechtigung verfügen, GPOs erstellen zu dürfen; für die Quelldomäne muss Lesezugriff bestehen. Besteht keine Vertrauensstellung, müssen Sie das Programm Gespeicherte Benutzernamen und Kennwörter benutzen. Das Programm Gespeicherte Benutzernamen und Kennwörter Wollen Sie das GPO in eine Domäne kopieren, zu der keine Vertrauensstellung besteht, so müssen Sie die Anmeldeinformationen für diese Domäne mit Hilfe des Programms Gespeicherte Benutzernamen und Kennwörter hinzufügen. Dieses Programm finden Sie auf einem Windows Server 2003 unter SYSTEMSTEUERUNG/GESPEICHERTE BENUTZERNAMEN UND KENNWÖRTER. Um dort die Domäne hinzuzufügen, klicken Sie auf HINZUFÜGEN und geben den Namen der Domäne sowie ein gültiges Benutzerkonto an. Öffnen Sie dann die GPMC-MMC und deaktivieren Sie unter den Optionen auf der Registerkarte ALLGEMEIN die Möglichkeit, Vertrauensstellungen automatisch zu erkennen. Fügen Sie dann die Gesamtstruktur hinzu (Kontextmenüeintrag GESAMTSTRUKTUR HINZUFÜGEN des Knotens GRUPPENRICHTLINIENVERWALTUNG).
613
Sandini Bib
13 System- und Gruppenrichtlinien
Um ein GPO zu kopieren, wählen Sie aus dem Kontextmenü den Eintrag KOPIEREN. Markieren Sie dann die Zieldomäne und wählen Sie aus deren Kontextmenü den Eintrag EINFÜGEN. Sie werden dann gefragt, ob Sie das GPO mit der Domäne verknüpfen möchten. Sobald Sie die Meldung bestätigt haben, ist das GPO an die neue Lokation kopiert. Die neue Verknüpfung wird auf der Registerkarte BEREICH des GPO angezeigt. Sie können das GPO auch kopieren, indem Sie es per Drag&Drop in die neue Zieldomäne verschieben. Auch ein skriptgesteuerter Kopiervorgang ist möglich. Hierzu finden Sie im Ordner GPMC\ SCRIPTS das Skript CopyGPO.wsf. Je nachdem, ob Sie ein GPO innerhalb derselben Domäne oder zwischen zwei verschiedenen Domänen kopieren, gibt es einige Unterschiede. Beim Kopieren eines GPO innerhalb derselben Domäne bleiben die Verknüpfungen mit WMI-Filtern und IPSecRichtlinien bestehen. Wird das GPO in eine andere Domäne kopiert, werden die Verknüpfungen mit dem WMI-Filter gelöscht, da diese Filter nur mit GPOs innerhalb der eigenen Domäne verknüpft werden können. Auch die Verknüpfungen mit IPSecRichtlinien werden beim Kopieren in eine andere Domäne nicht beibehalten, weil nicht sichergestellt werden kann, dass sich eine übereinstimmende Richtlinie in der Zieldomäne befindet. Das Festlegen der Zugriffsberechtigungen gestaltet sich ebenfalls in beiden Fällen unterschiedlich. Befinden sich Quelle und Ziel innerhalb derselben Domäne, werden die Berechtigungen beibehalten. Andernfalls wird ein Assistent gestartet, mit dem die Einstellungen vorgenommen werden können.
13.7.7
Import und Export von GPOs
Der Importvorgang von GPOs wird auch als Migration bezeichnet. Beim Migrieren von GPOs sind verschiedene Punkte zu bedenken, weil die Daten sehr komplex sind, an verschiedenen Stellen gespeichert werden und einige dieser Daten domänenspezifisch sind. Damit diese domänenspezifischen Daten ebenfalls korrekt migriert werden können, verwendet die GPMC Migrationstabellen. Darin können die domänenbezogenen Daten mit den neuen Werten für das GPO eingetragen werden. Beim Import werden die Einstellungen eines GPO in ein vorhandenes GPO transferiert. Als Quelle dient die Sicherung des GPO. Wie beim Kopieren kann sich das Ziel-GPO entweder in derselben Domäne, in einer anderen Domäne derselben Gesamtstruktur oder sogar in einer anderen Domäne einer anderen Gesamtstruktur befinden. Allerdings muss in diesem Fall keine Vertrauensstellung
614
Sandini Bib
Richtlinienverarbeitung beim Computerstart
zwischen den Domänen existieren. Es muss lediglich von der Zieldomäne aus Zugriff auf den Speicherort der GPOs in der Quelldomäne bestehen. Das Ziel-GPO, in das die Einstellungen transferiert werden, behält seine Sicherheitseinstellungen sowie die Verknüpfungen mit seinen WMI-Filtern. Um ein GPO zu importieren, führen Sie die folgenden Schritte durch: 1. Wählen Sie aus dem Kontextmenü des GPO den Eintrag EINSTELLUNGEN IMPORTIEREN. Damit wird ein Assistent gestartet. 2. Da die aktuellen Einstellungen des GPO beim Import überschrieben werden, können Sie diese sichern. Wollen Sie eine Sicherung durchführen, klicken Sie auf die Schaltfläche SICHERN. Sie können dann einen Speicherort angeben. Klicken Sie danach auf WEITER. 3. Als Nächstes wählen Sie den Sicherungsordner aus, in dem sich das zu importierende GPO befindet. Sind dort mehrere GPOs vorhanden, wählen Sie das gewünschte aus. Klicken Sie dann auf WEITER. 4. Nun wird die ausgewählte Sicherung daraufhin überprüft, ob sich in ihr UNC-Pfade oder Sicherheits-Principals befinden, die übertragen werden müssen. Ist dies der Fall, kommen die Migrationstabellen zum Zuge. Andernfalls klicken Sie auf WEITER. Sie erhalten eine Zusammenfassung. Klicken Sie hier auf FERTIG STELLEN. Auch ein skriptgesteuerter Import ist möglich. Hierzu finden Sie im Ordner GPMC\SCRIPTS das Skript ImportGPO.wsf, um ein GPO zu importieren, sowie das Skript ImportAllGPOs.wsf, um sämtliche GPOs zu importieren.
13.8
Richtlinienverarbeitung beim Computerstart
Dieses Kapitel beschreibt, in welcher Reihenfolge die Einstellungen der Gruppenrichtlinien für Computer und Benutzer beim Start des Computers und bei der Benutzeranmeldung übernommen werden. 1. Während des Betriebssystemstarts werden das Netzwerk, der RPC (Remote Procedure Call)-Dienst sowie der MUP (Multiple Universal Naming Convention Provider) gestartet. Standardmäßig wird unter Windows XP nicht der Start des Netzwerks abgewartet, bevor mit der Verarbeitung der Gruppenrichtlinien begonnen wird.
615
Sandini Bib
13 System- und Gruppenrichtlinien
2. Es wird eine Liste der GPOs abgerufen, die auf den Computer angewendet werden. Dabei wird geprüft, ob Active Directorybasierte GPOs gelten und welche GPOs welcher Hierarchieebene zugewiesen sind. Es wird ebenfalls geprüft, ob seit dem letzten Start die GPO-Liste geändert wurde. Weiterhin wird nach der speziellen Einstellung ERZWUNGEN für die Verarbeitung gesucht. Die spezielle Option ERZWUNGEN wurde früher als KEIN VORRANG bezeichnet, jedoch aufgrund der Missverständlichkeit des Begriffs umbenannt. 3. Es werden die Einstellungen aus dem Bereich COMPUTERKONFIGURATION des oder der GPOs angewendet. Dabei gilt die GPO-Reihenfolge Lokal-Standort-Domäne-OU (LSDOU). Die Abarbeitung der maschinenbezogenen Richtlinien erfolgt, während das Fenster COMPUTEREINSTELLUNGEN WERDEN ÜBERNOMMEN beim Startvorgang angezeigt wird. 4. Sind Startskripte definiert, werden diese ausgeführt. Dieser Vorgang erfolgt synchron, d.h. die Ausführung eines Skripts muss abgeschlossen oder aufgrund einer Zeitüberschreitung abgebrochen worden sein. Standardmäßig liegt das Zeitlimit bis zum Abbruch bei 600 Sekunden. Windows XP Professional wurde für eine schnellere Anmeldung nach einem Neustart optimiert. Es wird nicht erst der Start des Netzwerks abgewartet, sondern nach der Benutzeranmeldung erfolgt die Richtlinienverarbeitung im Hintergrund. Dadurch werden beim Start des Computers die früheren Richtlinieneinstellungen verwendet. Wurde eine Änderung vorgenommen, die nur beim Start des Computers umgesetzt werden kann, kann diese erst beim nächsten Start des Computers übernommen werden. 5. Der Benutzer meldet sich über die Tastenkombination (Strg) + (Alt) + (Entf) an. Danach wird das Benutzerprofil geladen. 6. Es wird eine Liste der GPOs abgerufen, die für den Benutzer definiert sind. Auch dabei wird geprüft, ob Active Directorybasierte GPOs vorliegen und in welcher Hierarchieebene sich diese befinden. Zusätzlich wird geprüft, ob die Funktion LOOPBACK aktiviert ist. Weiterhin wird nach der speziellen Einstellung ERZWUNGEN gesucht.
616
Sandini Bib
Richtlinienverarbeitung beim Computerstart
7. Die Einstellungen aus dem Bereich BENUTZERKONFIGURATION des oder der GPOs werden angewendet. Dabei gilt die GPOReihenfolge Lokal-Standort-Domäne-OU (LSDOU). All dies geschieht im Hintergrund, während das Fenster BENUTZERDEFINIERTE EINSTELLUNGEN WERDEN GELADEN angezeigt wird. 8. Die Anmeldeskripte werden ausgeführt. Gruppenrichtlinienbasierte Anmeldeskripte werden asynchron ausgeführt. 9. Die Benutzeroberfläche wird angezeigt. Dabei gelten die Einstellungen aus den Gruppenrichtlinien.
13.8.1
Besonderheiten bei der Abarbeitung
Einige Besonderheiten bei der Abarbeitung ergeben sich, wenn eine gemischte Umgebung aus Active Directory und Windows NT 4.0-Domäne eingesetzt wird: 왘
Befindet sich das Computerkonto in der NT 4.0-Domäne und das Benutzerkonto im Active Directory, werden bei der Benutzeranmeldung lediglich die Systemrichtlinien für den Computer, nicht jedoch für den Benutzer verarbeitet. Danach erfolgt die Abarbeitung der Gruppenrichtlinien der Benutzerkonfiguration, nicht jedoch die der Computerkonfiguration.
왘
Befindet sich das Computerkonto im Active Directory und das Benutzerkonto in der NT 4.0-Domäne, werden beim Computerstart lediglich die Gruppenrichtlinien der Computerkonfiguration, nicht jedoch die der Benutzerkonfiguration abgearbeitet. Nachdem sich der Benutzer angemeldet hat, werden die Systemrichtlinien für den Benutzer, nicht jedoch die für den Computer verarbeitet.
왘
Befinden sich sowohl das Benutzer- als auch das Computerkonto in der NT 4.0-Domäne, wird bei der Benutzeranmeldung lediglich die Systemrichtlinie für Benutzer und Computer angewendet. Gruppenrichtlinien werden in dieser Konstellation nicht verarbeitet.
13.8.2
Mischumgebung Windows NT 4.0 und Active Directory
Spezielle Optionen für die Verarbeitungsreihenfolge
Standardmäßig werden mehrere GPOs gemäß der LSDOU-Regel nacheinander abgearbeitet und die Einstellungen angewendet. Jedoch können für diese Reihenfolge auch Ausnahmen definiert werden. Diese drei Ausnahmemöglichkeiten lauten ERZWUNGEN, DEAKTIVIERT und LOOPBACK. Die Option ERZWUNGEN entspricht der früheren Option KEIN VORRANG. Standardmäßig sind diese Optionen nicht aktiv.
617
Sandini Bib
13 System- und Gruppenrichtlinien
Option Erzwungen ERZWUNGEN: Diese Option bewirkt, dass keine Eigenschaft der Richtlinien dieses GPO überschrieben und damit außer Kraft gesetzt werden kann. Die Durchsetzung der so markierten Richtlinie wird dadurch erzwungen. Sind mehrere GPOs mit dieser Option markiert, so gilt diese Einstellung für das in der Hierarchie höchste Objekt. Sind also ein GPO auf Domänen- und eines auf OU-Ebene auf ERZWUNGEN gesetzt, gilt die Option für das ranghöhere OU-GPO. Durch dieses können die Einstellungen des erzwungenen Domänen-GPO überschrieben werden. Um die GPO-Einstellungen zu erzwingen, navigieren Sie in der GPMC zu Standort, Domäne oder OU. Aus der Liste der verknüpften GPOs markieren Sie das zu erzwingende und wählen aus dem Kontextmenü den Eintrag ERZWUNGEN. In der Liste der GPOs wird dies entsprechend gekennzeichnet. Option Deaktiviert DEAKTIVIERT: Mit der Deaktivierung werden die Einstellungen am GPO im jeweiligen Container nicht angewendet. Das Deaktivieren ist nur möglich, wenn das GPO nicht auf ERZWUNGEN gesetzt ist. Um ein GPO zu deaktivieren, navigieren Sie in der GPMC zum GPO und wählen aus dem Kontextmenü STATUS DER GRUPPENRICHTLINIE einen der Einträge ALLE EINSTELLUNGEN DEAKTIVIERT, BENUTZERKONFIGURATIONSEINSTELLUNGEN DEAKTIVIERT oder COMPUTERKONFIGURATIONSEINSTELLUNGEN DEAKTIVIERT. Auch dieser Status wird angezeigt (siehe Abbildung 13.8). Es kann auch alternativ festgelegt werden, dass für einen Container die Verarbeitung aller Richtlinien höherer Ebenen deaktiviert wird. In diesem Fall werden aber dennoch Richtlinien höherer Ebenen angewendet, wenn diese mit der Option ERZWUNGEN gekennzeichnet sind.
Abbildung 13.8: Für das GPO1 ist die Option Erzwungen gesetzt worden, das GPO2 wurde deaktiviert.
618
Sandini Bib
Richtlinienverarbeitung beim Computerstart
Option Loopback Eine weitere Option zur Steuerung der GPO-Verarbeitung ist LOOPBACK. Um diese Option anzuwenden, öffnen Sie den folgenden Pfad: GPO/COMPUTERKONFIGURATION/ADMINISTRATIVE VORLAGEN/ SYSTEM/GRUPPENRICHTLINIEN. Dort finden Sie die Richtlinie LOOPBACK-VERARBEITUNGSMODUS FÜR BENUTZERGRUPPENRICHTLINIE. Die Loopback-Funktion ist für Computer sinnvoll, an denen die Benutzerrichtlinie je nach Computer geändert werden muss – unabhängig vom Benutzer. Hierzu zählen etwa Laboratorien oder Unterrichtsräume. Standardmäßig werden alle Benutzereinstellungen aus der GPO-Liste von Standort, Domäne und OU abgerufen, und zwar unter den Vererbungsbedingungen, wie sie vom Administrator konfiguriert sind. Um dieses Verhalten zu ändern, stehen beim Aktivieren dieser Richtlinie die Möglichkeiten ERSETZEN und ZUSAMMENFÜHREN zur Verfügung. ERSETZEN: Wenn Sie diese Option wählen, wird statt der GPO-Liste für den Benutzer die GPO-Liste für den Computer verwendet. Die Richtlinieneinträge der Computer ersetzen vollständig die Einträge des Benutzers, die normalerweise verwendet würden. ZUSAMMENFÜHREN: In diesem Fall wird sowohl die GPO-Liste des Computers als auch die des Benutzers bei der Anmeldung verwendet. Allerdings wird die GPO-Liste des Computers an die Benutzerliste angehängt und somit als zweites bearbeitet. Treten nun Konflikte zwischen den Einstellungen der beiden Listen auf, so überschreiben die Computereinstellungen die des Benutzers, weil die Computer-GPO-Liste als zweite verarbeitet wird.
13.8.3
Spezielle Verarbeitungsoptionen
Neben der Reihenfolge des Abarbeitens können auch noch weitere spezielle Einstellungen für die Richtlinien der Benutzerund Computerkonfiguration getroffen werden. Dazu zählen das Aktualisierungsintervall und die synchrone bzw. asynchrone Anwendung des GPO. Sie erreichen diese Optionen über /COMPUTERKONFIGURATION/ADMINISTRATIVE VORLAGEN/SYSTEM/ GRUPPENRICHTLINIEN. Dort stehen Ihnen die folgenden Optionen zur Verfügung: 왘
HINTERGRUNDAKTUALISIERUNG DER GRUPPENRICHTLINIE DEAKTIVIEREN
Ist diese Richtlinie aktiviert, werden die Richtlinien für die Computer- und Benutzerkonfiguration nicht im laufenden Betrieb des Computers aktualisiert, sondern erst nach der Abmeldung
619
Sandini Bib
13 System- und Gruppenrichtlinien
des Benutzers. Ist die Richtlinie deaktiviert, werden die Richtlinien in einem definierbaren Intervall aktualisiert. 왘
GRUPPENRICHTLINIEN-AKTUALISIERUNGSINTERVALL FÜR COMPUTER
Sie können über das Intervall festlegen, wie oft die Richtlinien für die Computerkonfiguration im Hintergrund während des laufenden Betriebes auf dem Computer aktualisiert werden sollen. Es ist ein Wert zwischen 0 und 64.800 Minuten (= 45 Tage) möglich. Damit nicht alle Clients gleichzeitig ihre Aktualisierung durchführen, ist eine Verzögerung des Intervalls konfigurierbar. Der Standardwert liegt bei 30 Minuten, kann aber bis auf 24 Stunden ausgedehnt werden. Wird im Hintergrund eine Richtlinie der Computerkonfiguration aktualisiert, kann der Benutzer dies u.U. daran bemerken, dass sich der Desktop aktualisiert oder geöffnete Menüs geschlossen werden. Über die Richtlinie GRUPPENRICHTLINIEN-AKTUALISIERUNGSINTERVALL FÜR DOMÄNENCONTROLLER können dieselben Einstellungen auch für die Domänen-Controller getroffen werden. Weiterhin können Sie z.B. für Registry, Internet Explorer, Ordnerumleitung, Datenträgerkontingente, Skripte oder Softwareinstallation Optionen wie Hintergrundaktualisierung, Erkennen von langsamen Verbindungen oder die Aktualisierung ohne Änderungen konfigurieren.
13.8.4
Mehrere Anmeldungen bis zur Wirksamkeit des GPO
Wie gerade erwähnt, erfolgt die schnelle Benutzeranmeldung unter Windows XP durch das Cachen der letzten Benutzeranmeldung. Sind nun in der Zwischenzeit Änderungen an den Benutzereinstellungen – z.B. eine neue Ordnerumleitung – vorgenommen worden, so können diese Einstellungen bei der asynchronen Richtlinienverarbeitung beim erstmaligen Einloggen des Benutzers nicht übernommen werden. Nachdem aber alle Richtlinien abgearbeitet sind, werden die Änderungen den gecachten Daten hinzugefügt und somit die Anmeldeeinstellungen aktualisiert. Dabei wird für den nächsten Anmeldevorgang die asynchrone Verarbeitung deaktiviert, damit die Änderungen umgesetzt werden können. Der Benutzer erhält also erst bei seiner zweiten Anmeldung nach der Änderung der Richtlinie die entsprechenden Einstellungen.
620
Sandini Bib
Aktualisieren von Gruppenrichtlinieneinstellungen
Ebenso verhält es sich, wenn einem Benutzer über die Softwareinstallation neue Software zugewiesen wurde. Bei der asynchronen Verarbeitung kann die Software nicht installiert werden, wenn für den Benutzer bereits der Desktop verfügbar ist. Stattdessen wird nicht der Benutzer, sondern der Computer darüber informiert, dass eine neue Software zu installieren ist. Bei der nächsten Anmeldung des Benutzers sorgt dann der Computer für die synchrone Richtlinienverarbeitung des Benutzers, sodass die Software installiert werden kann. Um unter Windows XP wie unter Windows 2000 standardmäßig alle Änderungen bei einem Startvorgang und Einloggen wirksam werden zu lassen, müssen Sie unter COMPUTERKONFIGURATION/ ADMINISTRATIVE VORLAGEN/SYSTEM/ANMELDUNG die Richtlinie BEIM NEUSTART DES COMPUTERS UND BEI DER ANMELDUNG IMMER AUF DAS NETZWERK WARTEN aktivieren.
13.9
Aktualisieren von Gruppenrichtlinieneinstellungen
Sobald an einer Gruppenrichtlinie Änderungen durchgeführt worden sind, sollten diese Änderungen möglichst schnell repliziert werden. Standardmäßig erfolgt eine Aktualisierung im Hintergrund automatisch alle 90 Minuten. Dazu kommt noch eine Toleranzzeit von bis zu 30 Minuten Verzögerung. Dieses Aktualisierungsintervall kann jedoch angepasst werden. Öffnen Sie dazu in der COMPUTERKONFIGURATION den Eintrag ADMINISTRATIVE VORLAGEN/SYSTEM/GRUPPENRICHTLINIEN und klicken Sie auf GRUPPENRICHTLINIEN-AKTUALISIERUNGSINTERVALL FÜR COMPUTER. Um das Intervall für Benutzer zu ändern, öffnen Sie den entsprechenden Pfad in der Benutzerkonfiguration und klicken auf GRUPPENRICHTLINIEN-AKTUALISIERUNGSINTERVALL FÜR BENUTZER. Soll eine Änderung ohne Zeitverzögerung repliziert werden, müssen Sie an der Eingabeaufforderung den Befehl gpupdate verwenden. Dabei wird die folgende Syntax benutzt: Gpupdate /target:{computer|user} /force /wait:Wert / logoff /boot (¢)
621
Sandini Bib
13 System- und Gruppenrichtlinien
Die Parameter haben folgende Bedeutung: /target:{computer|user}: Standardmäßig werden die Einstellungen der Computer- und Benutzerkonfiguration verarbeitet, es kann jedoch auch nur ein Bereich ausgewählt werden, z.B. /target:user, um die Einstellungen der Benutzerkonfiguration zu aktualisieren. /force: Die Verarbeitung wird erzwungen, alle anderen Verarbei-
tungseinstellungen werden dabei ignoriert. /wait: Wert: Gibt die Anzahl der Sekunden an, die mit dem Been-
den der Richtlinienverarbeitung gewartet wird. Der Standardwert liegt bei 600. Mit dem Wert 0 erfolgt kein Warten, mit -1 ein unbegrenztes Warten. /logoff: Nach Ende der Aktualisierung wird eine Abmeldung
durchgeführt. Damit wird eine Aktualisierung der Einstellungen erreicht, die bei der Anmeldung des Benutzers, nicht aber im Zuge einer Hintergrundaktualisierung durchgeführt wird. Dazu zählen z.B. Ordnerumleitungen oder Softwareinstallationen. /boot: Nach Ende der Aktualisierung erfolgt ein Neustart des
Computers. Damit wird eine Aktualisierung der Einstellungen erreicht, die bei dem Neustart des Computers, nicht aber im Zuge einer Hintergrundaktualisierung durchgeführt wird. Dazu zählt die Softwareinstallation durch den Computer. Unter Windows 2000 wurde zu diesem Zweck der Befehl secedit verwendet. Dieser ist unter Windows XP nicht mehr verfügbar. Soll ein Update unter Windows 2000 erzwungen werden, benutzen Sie den Befehl secedit /refreshpolicy machine-policy / enforce (¢) oder secedit /refreshpolicy user-policy /enforce (¢) .
13.10 Richtlinien für Softwareeinschränkung Neues Feature zur Erhöhung der Sicherheit
622
Die Richtlinien für Softwareeinschränkung sind ein neues Feature unter Windows XP und Windows Server 2003. Über diese Richtlinien können Sie festlegen, ob bestimmte Software auf dem Computer ausgeführt werden darf oder nicht. Sie erleichtern Administratoren die Standardisierung verwendeter Software, indem dem Benutzer das Benutzen und Ausführen zusätzlicher Applikationen verweigert werden kann, die nicht dem Unternehmensstandard entsprechen. Es sind in diesem Fall nicht nur Moorhühner und andere Spiele, die auf diese Weise gesichtet werden, sondern auch
Sandini Bib
Richtlinien für Softwareeinschränkung
kleine Programme und Tools, die der Anwender zwar im guten Glauben installiert hat, damit seine Arbeit zu erleichtern, die aber möglicherweise im Zusammenspiel mit den Applikationen des Unternehmens in Konflikt treten können oder sogar möglicherweise Viren oder Trojaner enthalten. Durch diese zu lösenden Konflikte werden Helpdesk und Administratoren unnötig belastet. Unter Windows 9x kann der Benutzer quasi installieren, was er möchte. Aber auch die Betriebssysteme Windows NT/2000/XP minimieren bei einem gewöhnlichen Benutzer lediglich die Installationsmöglichkeiten, schließen sie aber keinesfalls vollständig aus. Die Richtlinien für Softwarebeschränkung basieren auf Regeln, welche die Benutzung von Software reglementieren. Dabei wird zunächst jede Applikation identifiziert und in einem zweiten Schritt daraufhin geprüft, ob sie auf dem Computer des Benutzers autorisiert ist. Je nachdem, welche Sicherheitsebene angewendet wird, kann einer Applikation die Funktion untersagt oder gestattet werden. Über insgesamt vier Regeln können Sie das Ausführen oder Verweigern einer Applikation steuern. Dabei handelt es sich um die Hash-, Internetzonen-, Pfad- sowie Zertifikatsregeln. Bei jeder dieser vier Regeln müssen Sie sich für eine der beiden möglichen Sicherheitsstufen entscheiden. Diese beiden Einstellungen finden Sie unter RICHTLINIEN FÜR SOFTWAREEINSCHRÄNKUNG/SICHERHEITSEBENEN. Die Option NICHT ERLAUBT verweigert das Ausführen einer Applikation auch in dem Fall, dass der Benutzer über ausreichende Berechtigungen verfügt. Mit der Option NICHT EINGESCHRÄNKT ist dem Benutzer der Zugriff auf die Applikation gestattet. Die Ausführung wird in diesem Fall nur dann verweigert, wenn dem Benutzer keine ausreichenden Zugriffsberechtigungen für die Applikation zur Verfügung stehen.
13.10.1 Die Hash-Regeln Jede Datei wird eindeutig über ihren Hash identifiziert. Ein Hash ist eine Zahl, die auf einem bestimmten mathematischen Algorithmus basiert und für jede Datei einmalig ist. Häufig verwendete Algorithmen sind der MD5-Algorithmus sowie der Secure Hash Algorithm (SHA-1). Die Hash-Regeln erkennen erlaubte und unerlaubte Dateien anhand dieser Hash-Information. Da Dateien ihren Hash unabhängig von ihrem Installationspfad beibehalten, können sie auch gefunden werden, wenn sie sich in keinem standardisierten Pfad wie dem Ordner PROGRAMME befinden. Dies gilt auch, wenn der Benutzer die Datei umbenennt oder verschiebt. Allerdings ändert sich der Hash einer Datei, wenn die
623
Sandini Bib
13 System- und Gruppenrichtlinien
komplette Applikation modifiziert wird. Dies ist bei der Installation eines Service Pack der Fall. Die angewendete Hash-Regel für diese Applikation ist dann nicht länger gültig. Beim Definieren einer Hash-Regel müssen Sie den originalen Hash der Software benutzen. Sie können keinen neuen Hash importieren, der von einer anderen Softwarekomponente als der Software der Richtlinienbeschränkung errechnet wurde, auch nicht, wenn Sie denselben Hash-Algorithmus und Namen verwenden. 1. Um eine neue Hash-Regel zu erstellen, wählen Sie aus dem Kontextmenü von RICHTLINIEN FÜR SOFTWAREBESCHRÄNKUNG/ZUSÄTZLICHE REGELN den Eintrag NEUE HASHREGEL. Sie erhalten das Fenster NEUE HASHREGEL (siehe Abbildung 13.9). Abbildung 13.9: Erstellen einer neuen Hash-Regel
2. Sie müssen nun über DURCHSUCHEN die Datei auswählen, für die eine Hash-Regel definiert werden soll. Sobald Sie die Datei ausgewählt haben, werden automatisch die Felder DATEIHASH sowie DATEIINFORMATIONEN ausgefüllt. Optional können Sie eine Beschreibung für die neue Regel angeben. 3. Abschließend legen Sie die Sicherheitsstufe fest. Hier haben Sie die Wahlmöglichkeiten NICHT ERLAUBT und NICHT EINGESCHRÄNKT. Im ersten Fall darf die Applikation nicht benutzt werden; im zweiten Fall ist das Ausführen gestattet, sofern keine Zugriffsrechte des Benutzers dagegen sprechen.
624
Sandini Bib
Richtlinien für Softwareeinschränkung
13.10.2 Die Internetzonenregeln Die Internetzonenregeln basieren auf dem Konzept der Sicherheitseinstellungen an den Internet-Explorer-Zonen. Ob das Ausführen einer Applikation gestattet ist oder nicht, hängt bei Anwendung dieser Regel davon ab, aus welcher Internetzone die Software stammt. Die größte Einschränkung dieser Regel besteht darin, dass sie nur für Applikationen angewendet werden kann, die die Windows Installer-Technologie verwenden. Selbstverständlich müssen Sie vor dem Einsatz dieser Regel die Internetzonen entsprechend Ihren Anforderungen eingerichtet haben. 1. Um eine neue Internetzonenregel zu erstellen, wählen Sie aus dem Kontextmenü von RICHTLINIEN FÜR SOFTWAREBESCHRÄNKUNG/ZUSÄTZLICHE REGELN den Eintrag NEUE INTERNETZONENREGEL. 2. Wählen Sie nun aus der Listbox INTERNETZONE eine der vorhandenen Internetzonen aus (siehe Abbildung 13.10). Sämtliche Windows Installer-Dateien, die aus der angegebenen Zone stammen, dürfen nun je nach der gewählten Sicherheitsstufe ausgeführt werden oder nicht. Auch hier haben Sie die Wahlmöglichkeiten NICHT ERLAUBT und NICHT EINGESCHRÄNKT. Das Ausführen sollten Sie nur für Dateien gestatten, die von vertrauenswürdigen Internetseiten stammen. Abbildung 13.10: Erstellen einer Internetzonenregel
625
Sandini Bib
13 System- und Gruppenrichtlinien
13.10.3 Die Pfadregeln Bei Verwendung der Pfadregeln ist der Pfad der Applikation entscheidend dafür, ob das Programm ausgeführt werden darf oder nicht. Sie können z.B. eine Regel definieren, die lediglich das Ausführen von Programmen erlaubt, die sich in C:\PROGRAMME\ befinden. Diese Regeln greifen jedoch nur, wenn der Benutzer die vom Unternehmen vorgegebenen Applikationen nicht in beliebigen Verzeichnissen installieren kann. Ansonsten wäre der Zugriff auf diese nicht mehr möglich. Die Pfadregeln unterstützen den Gebrauch von Variablen wie %Systemroot%, %Windir% oder %Temp%. 1. Um eine neue Pfadregel zu erstellen, wählen Sie aus dem Kontextmenü von RICHTLINIEN FÜR SOFTWAREBESCHRÄNKUNG/ZUSÄTZLICHE REGELN den Eintrag NEUE PFADREGEL. Sie erhalten das Fenster NEUE PFADREGEL (siehe Abbildung 13.11). 2. Geben Sie hier lediglich den gewünschten Pfad ein bzw. wählen Sie diesen über DURCHSUCHEN aus. Danach entscheiden Sie sich für die gewünschte Sicherheitsstufe und geben eine optionale Beschreibung für diese Regel an. Abbildung 13.11: Erstellen einer Pfadregel
Wenn Sie erreichen möchten, dass möglichst wenige Applikationen ausgeführt werden können, sollten Sie eine Pfadregel definieren, die es Programmen untersagt, in dem Pfad %WINDIR%\ SYSTEM32\DLLCACHE ausgeführt zu werden. Dies ist der Pfad zu einem Cache-Ordner, der oftmals die Kopien von Applikationen enthält. Die Applikation kann von diesem Cache-Ordner aus auch dann starten, wenn für das eigentliche Installationsverzeichnis eine Pfadregel definiert ist, die das Ausführen untersagt.
626
Sandini Bib
Richtlinien für Softwareeinschränkung
13.10.4 Die Zertifikatsregeln Die vierte Möglichkeit stellen die Zertifikatsregeln dar. Zertifikatsregeln können lediglich auf Windows Installer-Pakete sowie -Skripte angewendet werden. Sie funktionieren nicht bei .exe- oder .dllDateien. Die Anwendung dieser Regel bietet sich für Applikationen an, deren Installationsquelle sich innerhalb der gesicherten Domäne befindet. In diesem Fall müssen die Benutzer bei der Installation nicht mehr entscheiden, ob sie bestimmte Signaturen akzeptieren. Ihnen wird auch nicht mehr angezeigt, von welcher Instanz der Programmcode signiert wurde. Natürlich können über die Zertifikatsregeln auch bestimmte Zertifikate verweigert werden. Leider gibt es nicht die Möglichkeit, unsignierten Code zu verweigern. 1. Um eine neue Zertifikatsregel zu erstellen, wählen Sie aus dem Kontextmenü von RICHTLINIEN FÜR SOFTWAREBESCHRÄNKUNG/ ZUSÄTZLICHE REGELN den Eintrag NEUE ZERTIFIKATSREGEL. Sie erhalten das Fenster NEUE ZERTIFIKATSREGEL (siehe Abbildung 13.12). Abbildung 13.12: Erstellen einer Zertifikatsregel
Beim Erstellen einer neuen Zertifikatsregel wird die bisherige Standardsicherheitsstufe überschrieben, die mit einem signierten Skript oder einem Windows Installer-Paket verbunden ist.
627
Sandini Bib
13 System- und Gruppenrichtlinien
2. Wählen Sie über DURCHSUCHEN das neue Zertifikat aus, das Sie für die Regel verwenden möchten. Setzen Sie dann die gewünschte Sicherheitsstufe und geben Sie eine Beschreibung an. Die Beschreibung sollte bei den Zertifikatsregeln obligatorisch sein, weil die Zertifikate alle sehr ähnlich aussehen und erst durch einen entsprechenden Zusatz besser identifiziert werden können.
13.10.5 Die Priorität der Regeln Nachdem Sie nun die verschiedenen Regeln kennen gelernt haben, wird nun die Priorität beschrieben, nach der die einzelnen Regeln abgearbeitet und angewendet werden. Diese Reihenfolge ist wichtig, weil sich die Einstellungen der verschiedenen Regeln untereinander widersprechen können. Oberste Priorität besitzen die Hash-Regeln. Danach folgen die Zertifikats- und Pfadregeln und mit niedrigster Priorität die Internetzonenregeln. Gestattet also eine Hash-Regel das Ausführen einer Applikation, während die Zertifikatsregel es verbietet, so gilt die Einstellung der übergeordneten Hash-Regel. Diese Regeln können sowohl für sämtliche Computer im Netzwerk als auch nur für einen bestimmten lokalen Computer angewendet werden. Im ersten Fall benutzen Sie die Gruppenrichtlinie, im zweiten Fall die lokale Sicherheitsrichtlinie eines Computers. Bevor Sie neue Richtlinien zur Softwarebeschränkung produktiv einsetzen, sollten Sie diese ein bis zwei Wochen lang testen. In dieser Zeit können Sie unerwünschte Nebeneffekte feststellen und beseitigen. Je restriktiver Sie diese Richtlinien einsetzen, desto höher wird auch die Wahrscheinlichkeit, dass solche Applikationen nicht mehr einwandfrei funktionieren, die nicht von den Richtlinien betroffen sein sollten. Komplexe Applikationen wie etwa das Microsoft Office-Paket rufen ihrerseits weitere Applikationen oder Skripte für bestimmte Funktionen auf. Ferner sollten Sie nachsehen, welche Programme beim Start automatisch ausgeführt werden sollen. Zu restriktiv gesetzte Richtlinien können etwa Startskripte in ihrer Funktion behindern. Überprüfen Sie, welche Programme sich im Autostart-Ordner befinden und welche Einträge zusätzlich im Registry-Schlüssel HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\ Run eingetragen sind.
628
Sandini Bib
Lokale Gruppenrichtlinien
13.11 Lokale Gruppenrichtlinien Das lokale Gruppenrichtlinienobjekt befindet sich auf jedem Win- Mitgliedschaft dows XP-Client. Ist der Client lediglich Mitglied einer Arbeits- in einer Arbeitsgruppe gruppe, jedoch nicht einer Domäne, so wird nur das lokale GPO abgearbeitet. Um die lokalen Gruppenrichtlinien aufzurufen und einzurichten, geben Sie unter AUSFÜHREN den Befehl gpedit.msc ein. Es öffnet sich der in Abbildung 13.13 dargestellte lokale GruppenrichtlinienEditor. Auch in den lokalen Gruppenrichtlinien können Sie Einstellungen für die Computer- und Benutzerkonfiguration vornehmen. Abbildung 13.13: Die MMC zur Konfiguration der lokalen Gruppenrichtlinien
Soll die Verwaltungskonsole der lokalen Gruppenrichtlinie im Startmenü dauerhaft verfügbar sein oder möchten Sie auf die lokale Gruppenrichtlinie eines anderen Computers zugreifen, so führen Sie folgende Schritte aus: 1. Öffnen Sie eine leere MMC, wählen Sie aus dem Menü KONSOLE den Eintrag SNAP-IN HINZUFÜGEN/ENTFERNEN und klicken Sie im folgenden Fenster auf HINZUFÜGEN. 2. Wählen Sie dann das eigenständige Snap-In GRUPPENRICHTLINIE aus und klicken Sie auf HINZUFÜGEN. 3. In dem dann folgenden Fenster GRUPPENRICHTLINIENOBJEKT AUSWÄHLEN klicken Sie auf FERTIG STELLEN. Um das GPO eines anderen Computers zu öffnen, klicken Sie auf DURCHSUCHEN. Geben Sie dazu den Namen oder die IP-Adresse des Computers in die Textbox ein oder klicken Sie auf DURCHSUCHEN. Es erscheint der Eintrag REMOTE-COMPUTER COMPUTERNAME. Klicken Sie dann ebenfalls auf FERTIG STELLEN.
629
Sandini Bib
13 System- und Gruppenrichtlinien
Das lokale GPO umfasst allerdings weniger Richtlinien als ein domänenbasiertes GPO. Beispielsweise fehlen hier die Einstellungen zur Softwareverteilung, Gruppenrichtlinien oder Benutzerprofile, da diese nur in einer Domäne zur Verfügung stehen. Die Konfiguration der Richtlinien des lokalen GPO erfolgt genauso wie die der domänenbasierten GPOs. Auf die Konfiguration SICHERHEITSEINSTELLUNGEN der lokalen Gruppenrichtlinie wird in Kapitel 13.14 eingegangen.
13.12 Der Richtlinienergebnissatz Die Funktion der MMC RICHTLINIENERGEBNISSATZ ist auch in die GPMC unter GRUPPENRICHTLINIENERGEBNISSE integriert. Über diese MMC können Sie entweder eine angewendete Richtlinie anzeigen oder die Ergebnisse einer auf einen Computer oder Benutzer anzuwendenden Richtlinie voraussagen. Der Richtlinienergebnissatz wird auch als RSoP (Resultant Set of Policy) bezeichnet. Diese Funktion ist nicht vom Einsatz der GPMC oder der Mitgliedschaft in einer Domäne abhängig. Die MMC RICHTLINIENERGEBNISSATZ ist standardmäßig nicht in der Verwaltung des XP-Client vorhanden, sondern das entsprechende Snap-In muss zunächst zu einer Konsole hinzugefügt werden.
13.12.1 Gruppenrichtlinienmodellierung und -ergebnisse über die GPMC Voraussehen der GruppenrichtlinienEinstellungen
Über die Gruppenrichtlinienmodellierung der GPMC können Sie wie bei Windows XP-Clients über RSoP die Verteilung von Gruppenrichtlinien simulieren und die Ergebnisse der Gruppenrichtlinieneinstellungen ausgeben lassen. Um dieses Feature nutzen zu können, muss mindestens ein Domänen-Controller in der Gesamtstruktur unter Windows Server 2003 ausgeführt werden. Andernfalls ist in der GPMC der Knoten GRUPPENRICHTLINIENMODELLIERUNG nicht verfügbar. Um die Verteilung einer Gruppenrichtlinie und deren Auswirkungen zu simulieren, führen Sie die folgenden Schritte durch: 1. Wählen Sie in der GPMC aus dem Kontextmenü des Knotens GRUPPENRICHTLINIENMODELLIERUNG den Eintrag GRUPPENRICHTLINIENMODELLIERUNGS-ASSISTENT.
630
Sandini Bib
Der Richtlinienergebnissatz
2. Nach der Willkommensmeldung wählen Sie beim Aufruf über die GPMC einen Domänen-Controller aus, auf dem die Simulation durchgeführt werden soll (siehe Abbildung 13.14). Hierbei muss es sich um einen Domänen-Controller handeln, auf dem Windows Server 2003 ausgeführt wird. Sie können einen beliebigen oder einen speziellen Domänen-Controller auswählen. Klicken Sie dann auf WEITER. Abbildung 13.14: Auswahl des Domänen-Controllers für die Simulation
Abbildung 13.15: Auswahl des Benutzers oder Computers, für den die Richtlinie simuliert werden soll
631
Sandini Bib
13 System- und Gruppenrichtlinien
3. Als Nächstes legen Sie fest, ob die Richtlinien für einen bestimmten Benutzer und/oder Computer simuliert werden sollen oder für einen Container, in dem sich Benutzer-/Computerinformationen befinden (siehe Abbildung 13.15). Markieren Sie die gewünschte Checkbox und wählen Sie dann den Container, den Benutzer oder den Computer aus. Klicken Sie anschließend auf WEITER. 4. Dann können Sie optional zusätzliche Simulationsparameter angeben (siehe Abbildung 13.16). Sie können eine langsame Netzwerkverbindung (DFÜ-Verbindung) simulieren. Auch die Loopback-Verarbeitung mit ihren Optionen ERSETZEN und ZUSAMMENFÜHREN (siehe Kapitel 13.8.2) ist wählbar. Weiterhin können Sie einen bestimmten Standort für die Simulation festlegen. Klicken Sie dann auf WEITER. Abbildung 13.16: Angabe optionaler Simulationsparameter
5. Weiterhin können Sie alternative Active Directory-Pfade für den Benutzer- und den Computerstandort angeben. Für diese Einstellungen werden die Richtlinien simuliert. Klicken Sie dann auf WEITER. 6. Als Nächstes können Sie die Zugehörigkeit des gewählten Benutzers zu den Sicherheitsgruppen bestimmen. In der Liste SICHERHEITSGRUPPEN werden die aktuellen Zugehörigkeiten angezeigt. Über die Schaltflächen HINZUFÜGEN und ENTFERNEN können Sie die Mitgliedschaften modifizieren. Klicken Sie danach auf WEITER. 7. Wie im letzten Fenster für den Benutzer kann auch für den Computer die Gruppenzugehörigkeit bearbeitet werden. Klicken Sie im Anschluss auf WEITER.
632
Sandini Bib
Der Richtlinienergebnissatz
8. Darüber hinaus können Sie WMI-Filter für die Benutzer auswählen, die mit dem GPO verknüpft werden sollen. Sie haben die Möglichkeit, alle mit dem GPO verknüpften oder nur einzelne WMI-Filter zu wählen. Klicken Sie dann auf WEITER. 9. Auch für die Computer können WMI-Filter ausgewählt werden. Die Auswahl funktioniert genauso wie im letzten Schritt beschrieben. Klicken Sie danach auf WEITER. 10. Sie erhalten nun eine Zusammenfassung Ihrer Auswahl. Um die Gruppenrichtlinienmodellierung zu starten, klicken Sie hier auf WEITER und im folgenden Fenster auf FERTIG STELLEN. Nachdem Sie den Modellierungsassistenten beendet haben, befindet sich unter dem Knoten GRUPPENRICHTLINIENMODELLIERUNG ein neuer Eintrag. Der Knoten selbst zeigt auf der Registerkarte INHALT für alle vorhandenen Objekte Informationen über den verwendeten Domänen-Controller, den gewählten Benutzer und Computer sowie das Durchführungsdatum an. Markieren Sie eines der Objekte, erhalten Sie die spezifischen Angaben zu diesem Objekt (siehe Abbildung 13.17). Die Registerkarte ZUSAMMENFASSUNG enthält einen HTML-basierten Bericht für die Benutzer- und Computerkonfiguration über die Gruppenmitgliedschaften, GPOs sowie WMI-Filter. Auf der Registerkarte EINSTELLUNGEN finden Sie einen HTML-Bericht über die simulierten Richtlinieneinstellungen. Die Registerkarte ABFRAGE enthält die Parameter, die Sie für die Generierung der Simulation eingegeben haben.
Abbildung 13.17: Die Gruppenrichtlinienmodellierung in der GPMC
633
Sandini Bib
13 System- und Gruppenrichtlinien
Über das Kontextmenü des modellierten Objekts können Sie dieselbe Abfrage erneut ausführen, eine neue Abfrage erstellen, die auf dieser basiert, sowie einen Bericht erstellen. Wählen Sie aus dem Kontextmenü den Eintrag ERWEITERTE ANSICHT, wird die MMC RICHTLINIENERGEBNISSATZ geöffnet (siehe Abbildung 13.18). In dieser MMC sind dieselben Daten enthalten wie in dem HTML-Bericht. Abbildung 13.18: Die MMC Richtlinienergebnissatz mit den Daten der Gruppenrichtlinienmodellierung
Allerdings zeigt der HTML-Bericht nur den aktuellen Wert einer Richtlinie sowie das GPO, das diesen Wert setzt. Sind mehrere GPOs zugewiesen, so wird nur in der MMC RICHTLINIENERGEBNISSATZ die Liste aller GPOs sowie deren Verarbeitungsreihenfolge angezeigt.
13.12.2 Gruppenrichtlinienergebnisse Die Gruppenrichtlinienergebnisse können nicht nur für Benutzer und Computer angezeigt werden, für die eine Gruppenrichtlinienmodellierung durchgeführt wurde, sondern auch für reale Benutzer und Computer. Es handelt sich hier also um reale Daten, die von einem vorhandenen Computer gesammelt werden. Es erfolgt keine Simulation auf einem Domänen-Controller. Der Zielcomputer muss dafür unter Windows XP oder Windows Server 2003 betrieben werden. Von Computern mit dem Betriebssystem Windows 2000 können keine Gruppenrichtlinienergebnisse bezogen werden. Um Gruppenrichtlinienergebnisse vom Zielcomputer beziehen zu können, muss der Benutzer über lokale Administratorrechte für diesen Computer verfügen. Diese Berechtigung kann an andere Benutzer delegiert werden. Für die Delegierung von Richtlinienergebnisdaten ist es jedoch erforderlich, dass in der Gesamtstruktur das Windows 2003-Schema vorhanden ist. Benutzen Sie hierfür das Programm ADPREP. Ein Domänen-Controller unter Windows Server 2003 ist nicht erforderlich.
634
Sandini Bib
Der Richtlinienergebnissatz
Um die Gruppenrichtlinienergebnisse anzuzeigen, führen Sie die folgenden Schritte durch: 1. Wählen Sie aus dem Kontextmenü des Knotens GRUPPENRICHTLINIENERGEBNISSE den Eintrag GRUPPENRICHTLINIENERGEBNIS-ASSISTENT. 2. Klicken Sie bei der Willkommensmeldung auf WEITER. Danach wählen Sie den Computer aus, für den die Gruppenrichtlinienergebnisse angezeigt werden sollen (siehe Abbildung 13.19). Sie können den aktuellen Computer oder einen beliebigen anderen auswählen. Wollen Sie für den Computer keine Richtlinienergebnisse anzeigen, so aktivieren Sie die Checkbox KEINE RICHTLINIENEINSTELLUNGEN FÜR DEN AUSGEWÄHLTEN COMPUTER IM ERGEBNIS ANZEIGEN. Klicken Sie dann auf WEITER. Abbildung 13.19: Auswahl des Computers für die Gruppenrichtlinienergebnisse
3. Wählen Sie nun den Benutzer aus (siehe Abbildung 13.20). Sie können den aktuellen oder einen anderen Benutzer selektieren. Wollen Sie für den Benutzer keine Richtlinienergebnisse anzeigen, so aktivieren Sie die Checkbox KEINE BENUTZERRICHTLINIENEINSTELLUNGEN IM ERGEBNIS ANZEIGEN. Klicken Sie dann auf WEITER. 4. Sie erhalten eine Zusammenfassung Ihrer Einstellungen. Klicken Sie hier auf WEITER und dann auf FERTIG STELLEN. 5. Der neu erstellte Richtlinienergebnissatz ist als neuer Knoten unter GRUPPENRICHTLINIENERGEBNISSE vorhanden. Standardmäßig hat dieser Ergebnissatz einen Namen im Format BENUTZERNAME AUF COMPUTERNAME. Er verfügt über die drei Registerkarten ZUSAMMENFASSUNG, EINSTELLUNGEN und RICHTLINIENEREIGNISSE. Die beiden Karten ZUSAMMENFASSUNG
635
Sandini Bib
13 System- und Gruppenrichtlinien
und EINSTELLUNGEN enthalten dieselben Informationen wie unter der Gruppenrichtlinienmodellierung. Die Registerkarte RICHTLINIENEREIGNISSE (siehe Abbildung 13.22) enthält alle sicherheitsbezogenen Ereignisse (Informationen, Warnungen und Fehlermeldungen) des Ereignisprotokolls vom Zielcomputer. Hierzu muss der Benutzer über die Berechtigung verfügen, per Remote-Zugriff das Ereignisprotokoll lesen zu können. Unter Windows XP besitzen alle Benutzer diese Berechtigung, nicht jedoch unter Windows Server 2003. Abbildung 13.20: Auswahl des Benutzers für die Gruppenrichtlinienergebnisse
Abbildung 13.21: Die Richtlinienereignisse der Richtlinienergebnisse
636
Sandini Bib
Der Richtlinienergebnissatz
13.12.3 Erstellen von HTML-Berichten Um einen HTML-Bericht für ein GPO zu erstellen, wählen Sie in der GPMC zunächst das gewünschte GPO aus der OU oder der Domäne. Im Detailbereich klicken Sie nun auf die Registerkarte EINSTELLUNGEN (siehe Abbildung 13.4). Aus dem Kontextmenü des Einstellungsberichts wählen Sie nun DRUCKEN oder BERICHT SPEICHERN. Diese Funktion ist nur über die GPMC verfügbar. Berichte werden im HTML-Format gespeichert und können im Internet Explorer angezeigt werden. Hierzu ist entweder der Internet Explorer in der Version 6 oder der Netscape Navigator in der Version 7 erforderlich. Über EIN-/AUSBLENDEN können Sie auswählen, welche Informationen über die GPOs der Bericht enthalten soll. Ist im Internet Explorer eine erhöhte Sicherheitskonfiguration aktiviert, so müssen Sie beim Anzeigen der Berichte jeweils eine Bestätigung geben, weil ein Skript ausgeführt wird. Um diese Bestätigung zu umgehen, fügen Sie zur Liste vertrauenswürdiger Sites im Internet Explorer den Eintrag about:security_ mmc.exe hinzu.
13.12.4 Gruppenrichtlinienergebnisse über die MMC Richtlinienergebnissatz Ähnlich wie über die Funktion GRUPPENRICHTLINIENERGEBNISSE in der GPMC können diese auch über die MMC RICHTLINIENERGEBNISSATZ (RSoP) auf dem Windows XP-Client abgerufen werden. RSoP ist eine Suchmaschine, die die bestehenden Gruppenrichtlinien abfragt und die Ergebnisse der Abfrage ausgibt. Die Ergebnisse bezieht RSoP aus der CIMOM-Datenbank (Common Information Model Object Manager), die auch als WMI (Windows Management Instrumentation) bezeichnet wird. Damit kann ein Administrator bereits im Vorfeld sämtliche GPOs sowie deren Priorität sehen, die auf einen bestimmten Computer und Benutzer angewendet werden. So können Probleme frühzeitig erkannt werden. RSoP fragt für einen bestimmten Benutzer oder Computer alle auf lokaler, Standort-, Domänen- und OU-Ebene existierenden GPOs ab. Es werden sämtliche Einstellungen angezeigt, die von einem Administrator vorgenommen worden sind. Dazu zählen etwa die administrativen Vorlagen, Ordnerumleitungen oder Skripte. Weiterhin wird auch die Softwareinstallation nach Applikationen durchsucht, die mit einem bestimmten Benutzer oder Computer verbunden sind.
637
Sandini Bib
13 System- und Gruppenrichtlinien
Um RSoP auszuführen, arbeiten Sie die folgenden Schritte durch: 1. Öffnen Sie die MMC RICHTLINIENERGEBNISSATZ und wählen Sie den Kontextmenüeintrag RICHTLINIENERGEBNISSATZDATEN GENERIEREN. 2. Wählen Sie nun den PROTOKOLLIERUNGSMODUS oder PLANUNGSMODUS aus (siehe Abbildung 13.22). Zur Protokollierung werden die Konfigurationen eines bestimmten Benutzers und/oder Computers selektiert. Im Planungsmodus wird die Implementierung von Richtlinien simuliert. In diesem Modus wird auf die bestehenden Daten des Active Directory zurückgegriffen. Klicken Sie dann auf WEITER. Abbildung 13.22: Auswahl des RSoP-Modus
3. Sie gelangen nun zur Auswahl des Computers (siehe Abbildung 13.23). Sie können entweder die GPO-Einstellungen für den aktuellen oder einen beliebigen anderen Computer analysieren. Ist die Checkbox KEINE RICHTLINIENEINSTELLUNGEN FÜR DEN AUSGEWÄHLTEN COMPUTER IM ERGEBNIS ANZEIGEN MARKIERT, werden nur die Einstellungen der Benutzerkonfiguration angezeigt. Klicken Sie dann auf WEITER. 4. Nun müssen Sie den Benutzer auswählen, für den die GPOEinstellungen angezeigt werden sollen (siehe Abbildung 13.24). Sie können entweder den aktuellen oder einen anderen Benutzer selektieren. Aktivieren Sie die Checkbox KEINE BENUTZERRICHTLINIENEINSTELLUNGEN IM ERGEBNIS ANZEIGEN, werden keine Einstellungen aus der Benutzerkonfiguration angezeigt, sondern ausschließlich die der Computerkonfiguration. Klicken Sie dann auf WEITER.
638
Sandini Bib
Der Richtlinienergebnissatz Abbildung 13.23: Die Auswahl des Computers der RSoP-Anzeige
Abbildung 13.24: Die Benutzerauswahl für die RSoP-Ergebnisse
5. Sie erhalten nun eine Zusammenfassung Ihrer Auswahl. Klicken Sie hier auf WEITER. Anhand des Statusbalkens wird Ihnen der Fortschritt angezeigt. Schließen Sie dann das Fenster FERTIG STELLEN DES ASSISTENTEN.
639
Sandini Bib
13 System- und Gruppenrichtlinien
6. Sie erhalten wieder das Fenster EIGENSTÄNDIGES SNAP-IN HINZUFÜGEN. Klicken Sie hier auf SCHLIESSEN. Klicken Sie dann im Fenster SNAP-IN HINZUFÜGEN/ENTFERNEN auf OK. Sie erhalten eine neue MMC, in der das RSoP-Ergebnis angezeigt wird. Öffnen Sie nun den Knoten des Benutzers und Sie erhalten alle seine Richtlinien, die in den einzelnen GPOs für ihn aktiviert sind. Um auch den Benutzern die Auswirkungen der ihnen zugewiesenen Richtlinien zu veranschaulichen, können Sie sich über das Support Center eine benutzerfreundliche Zusammenstellung der verwendeten Richtlinien ausgeben lassen. Um das RSoP-Support Center zu starten, haben die Sie zwei Möglichkeiten. 1. Öffnen Sie im Startmenü HILFE UND SUPPORT. Wählen Sie unter der Überschrift EINE AUFGABE AUSWÄHLEN den Link TOOLS ZUM ZEIGEN VON COMPUTERINFORMATIONEN UND ERMITTELN VON FEHLERURSACHEN VERWENDEN. 2. Klicken Sie dann auf ERWEITERTE SYSTEMINFORMATIONEN und anschließend auf ANGEWENDETE GRUPPENRICHTLINIENEINSTELLUNGEN ANZEIGEN. Sie erhalten einen Statusbalken, während die Informationen ausgelesen werden. Danach sehen Sie eine Zusammenfassung in Form einer Website (siehe Abbildung 13.25).
Abbildung 13.25: Ausgabe der RSoP-Ergebnisse
640
Sandini Bib
Die lokale Sicherheitsrichtlinie
Alternativ dazu können Sie das Support Center auch über folgende Adresse im Webbrowser erreichen: hcp://system/sysinfo/RSoP.htm# Den RSoP-Bericht können Sie im HTML-Format abspeichern. Den entsprechenden Link dazu finden Sie am Ende des Berichts.
13.13 Die lokale Sicherheitsrichtlinie Die lokale Sicherheitsrichtlinie ist auf jedem Windows XP-Client vorhanden und bestimmt dessen lokale Einstellungen in verschiedenen Bereichen der Sicherheit wie Benutzer- und Ressourcenzugriff oder Protokollierung der Benutzeraktionen. Es können Kontorichtlinien sowie lokale Richtlinien bearbeitet werden. Die Inhalte der lokalen Sicherheitsrichtlinie sind ein Bestandteil der RICHTLINIE FÜR LOKALER COMPUTER (gpedit.msc).
Wichtiger Bestandteil der lokalen Gruppenrichtlinie
Sobald der lokale Computer zu einer Domäne hinzugefügt wird, werden die Richtlinien des Active Directory wirksam. Durch diese kann die lokale Sicherheitsrichtlinie überschrieben werden. Werden an der lokalen Sicherheitsrichtlinie Änderungen vorgenommen, so wirken sich diese nur auf den lokalen Computer aus. Die Änderung erfolgt sofort ohne Verzögerung. Diese Änderungen bleiben so lange bestehen, bis die Einstellungen durch eine Gruppenrichtlinie überschrieben werden. Die Aktualisierung der Sicherheitseinstellungen erfolgt auf einem Clientcomputer wie auf einem Server alle 90 Minuten. Auf einem Domänen-Controller wird diese alle fünf Minuten durchgeführt.
13.13.1 Arbeiten mit der lokalen Sicherheitsrichtlinie Um die lokale Sicherheitsrichtlinie zu bearbeiten, rufen Sie über STARTMENÜ/PROGRAMME die MMC LOKALE SICHERHEITSRICHTLINIE auf. Diese MMC ist im Gegensatz zur MMC RICHTLINIEN FÜR LOKALER COMPUTER bereits in der Verwaltung vorhanden. Sie wird in Abbildung 13.26 dargestellt. Die Konfiguration der einzelnen Richtlinien erfolgt ähnlich wie die einer Gruppenrichtlinie. Doppelklicken Sie die gewünschte Richtlinie und wählen Sie den passenden Wert. Einstellungen für AKTIVIERT, DEAKTIVIERT oder NICHT KONFIGURIERT sind hier nicht möglich.
641
Sandini Bib
13 System- und Gruppenrichtlinien Abbildung 13.26: Die MMC Lokale Sicherheitsrichtlinie
Die aktuelle Einstellung einer Richtlinie sehen Sie in der Spalte SICHERHEITSEINSTELLUNG (siehe Abbildung 13.27). Abbildung 13.27: Die Einstellung einer Richtlinie der lokalen Sicherheitsrichtlinie
642
Sandini Bib
14
Die Registrierungsdatenbank Stephanie Knecht-Thurmann
Die Registrierungsdatenbank, die auch kurz als Registrierung oder mit dem englischen Begriff Registry bezeichnet wird, beinhaltet sämtliche Konfigurationseinstellungen für Windows XP. Das erste Betriebssystem, das über eine Registry verfügte, war Windows 95. Diese Registry war bei weitem noch nicht so komplex wie unter Windows XP, stellte jedoch seinerzeit einen gewaltigen Fortschritt gegenüber den älteren Systemen mit einzelnen Konfigurationsdateien wie config.sys, autoexec.bat, system.ini usw. dar. Die Einträge in der Registry können wie die Inhalte jeder anderen Datenbank betrachtet und modifiziert werden. Bedenken Sie jedoch immer, dass Sie durch unbedachte Änderungen Schäden am Betriebssystem verursachen können, sodass Windows XP nicht mehr in der Lage ist zu starten. In diesem Fall bringt Ihnen auch eine Sicherung der Registry keine Hilfe mehr, da diese nur in ein laufendes Windows XP zurückgespielt werden kann. Sie müssen stattdessen an eine Wiederherstellung des Systems gehen. Auch wenn Sie sich beispielsweise in der Microsoft Knowledge Base bereits über die permanenten Hinweise zur Gefahr bei Änderungen an der Registry geärgert haben: Nehmen Sie diese Hinweise unbedingt ernst. Schnell haben Sie mit der Maus auf einen falschen Registry-Schlüssel geklickt oder einen für Windows fatalen Zahlen- oder Buchstabendreher bei der Eingabe eines Werts verursacht.
14.1
Der Aufbau der Registry
Die Registry bildet eine feste Struktur aus Werten und Schlüsseln, Werte und die wiederum Unterschlüssel enthalten können. Jedem Schlüssel ist Schlüssel ein Wert zugewiesen. Dabei gibt es unterschiedliche Werte der Typen String, Binary usw. Es kann sich jedoch auch um einen leeren Wert handeln. Jeder Wert besteht unabhängig von seinem Typ aus einem Namen und einem Wert.
643
Sandini Bib
14 Die Registrierungsdatenbank
Abbildung 14.1: Ein erster Blick auf die Struktur der Registry mit ihren Schlüsseln und Werten
Wenn Sie die Registry mit dem Registrierungseditor betrachten (siehe Abbildung 14.1), erinnert sie zunächst in gewisser Weise an den Windows Explorer. Auf oberster Hierarchieebene finden Sie den Arbeitsplatz, darunter die verschiedenen Schlüssel und Unterschlüssel, die mit dem Ordnersymbol versehen sind, sowie die Werte, die Sie sich wie Dateien vorstellen können. Die Werte können analog zu Dateien verschiedenen Typs sein. Um die Registry zu öffnen und später auch zu modifizieren, verwenden Sie das Programm regedit.exe. Geben Sie unter AUSFÜHREN den Befehl regedit ein, um das Fenster des Registry-Editors zu öffnen. Mit Hilfe dieses Editors können Sie Schlüssel und Werte hinzufügen, bearbeiten und löschen. Änderungen an der Registry können über den Registry-Editor nicht wieder rückgängig gemacht werden.
Unter früheren Windows-Versionen konnten Sie die Registry auch über das Programm regedt32.exe öffnen. Dieses Programm steht unter Windows XP und Windows Server 2003 nicht mehr zur Verfügung. Sofern Sie den Befehl regedt32 unter AUSFÜHREN eingeben, öffnet sich dasselbe Fenster wie nach dem Aufruf von regedit.
644
Sandini Bib
Der Aufbau der Registry
Die Registry besteht grundsätzlich aus fünf Hauptschlüsseln. Die Anzahl und Art der Unterschlüssel ist auf jedem System unterschiedlich und richtet sich nach dessen Hardware- und Softwarekonfiguration. Tabelle 14.1 zeigt einen Überblick über die fünf Hauptschlüssel. Diese fünf Schlüssel können nicht gelöscht werden. Schlüsselname
Bedeutung
HKEY_CLASSES_ROOT (HKCR)
Hier befinden sich die auf dem System registrierten Dateitypen sowie Konfigurationsdaten zu COM-Komponenten wie z.B. ActiveX oder OLE-Handler.
HKEY_CURRENT_USER (HKCU)
Sobald sich ein Benutzer anmeldet, wird dieser Schlüssel erstellt. Dabei werden die Informationen für den aktuellen Benutzer aus dem Schlüssel HKEY_USERS bezogen. HKCU beinhaltet sämtliche benutzerbezogenen Einträge wie z.B. installierte Programme oder Einstellungen an seinem GUI.
HKEY_USERS (HKU)
Hier sind die Konfigurationseinstellungen für sämtliche auf dem System hinterlegten Benutzer gespeichert.
HKEY_LOCAL_MACHINE (HKLM)
In diesem Schlüssel sind die Konfigurationen für den Computer hinterlegt. Dabei handelt es sich sowohl um die Hardware- als auch um die Softwareeinstellungen der Programme, die für alle Benutzer des Computers installiert sind.
HKEY_CURRENT_CONFIG (HKCC)
Hier sind die aktuellen Konfigurationsparameter des Computers hinterlegt.
Tabelle 14.1: Übersicht über die fünf Hauptschlüssel der Registry
Im Begriff HKEY steht das H für Handle.
645
Sandini Bib
14 Die Registrierungsdatenbank
14.2
Die Schlüssel in der Registry
Dieses Kapitel gibt Ihnen einen detaillierten Überblick über die fünf Hauptschlüssel der Registry.
14.2.1
Der Schlüssel HKEY_CLASSES ROOT (HKCR)
Im Schlüssel HKCR werden sämtliche Informationen im Zusammenhang mit registrierten Dateitypen, Drag&Drop-Funktionen sowie COM-Komponenten hinterlegt. Alle Einträge dieses Hauptschlüssels sind auch im Schlüssel HKLM\SOFTWARE\Classes abgelegt. Die Datentypen der Dateierweiterungen sind mit jeweils einem eigenen Schlüssel unter HKCR gespeichert. Zusätzlich besitzt dort jeder Schlüssel noch einen Unterschlüssel mit den Eigenschaften des Dateityps. Zu den Eigenschaften gehören beispielsweise das Icon oder die im Kontextmenü angezeigten Befehle für die Datei. Alle Dateitypen, die unter HKCR registriert sind, können per Doppelklick vom Benutzer geöffnet werden.
14.2.2
Der Schlüssel HKEY_CURRENT_USER (HKCU)
Sobald sich ein Benutzer anmeldet, wird aus dem Schlüssel HKEY_ USERS der Unterschlüssel für sein Benutzerkonto mit seinen aktuellen Einstellungen für Desktop, Startmenü usw. in diesen Schlüssel kopiert. Nimmt er Änderungen an diesen Einstellungen vor, werden diese unter HKCU und zugleich auch im jeweiligen Schlüssel unter HKEY_USERS gespeichert. Der Schlüssel HKCU enthält die in Tabelle 14.2 genannten Unterschlüssel. Tabelle 14.2: Die Unterschlüssel unter HKCU
646
Unterschlüssel
Beschreibung
AppEvents
Pfade zu den Windows-Sound-Dateien, die bei Windows-Ereignissen wie Fehlermeldungen usw. abgespielt werden
Console
Einstellungen der Konsole wie z.B. Schriftart, Puffergröße usw.
Control Panel
Einträge, die sich über die Systemsteuerung modifizieren lassen
Environment
Die Umgebungsvariablen auf dem System, z.B. zum Ordner \TEMP des Benutzerkontos
Identities
Angaben zur Benutzeridentifizierung wie z.B. ursprüngliche und aktuelle User-ID
Keyboard Layout
Gibt das Tastatur-Layout (Schema sowie zugehörige .dll-Dateien) an.
Sandini Bib
Die Schlüssel in der Registry
Unterschlüssel
Beschreibung
Network
Auflistung der Netzwerkpfade des Benutzers unter Angabe von Zielcomputer und Anmeldename
Printers
Auflistung der zur Verfügung stehenden Drucker sowie seiner persönlichen Einstellungen daran
RemoteAccess
Einstellungen für Fernzugriff, z.B. zum zugehörigen Internetprofil
Software
Benutzerdefinierte Softwareeinstellungen, wie z.B. die zuletzt geöffneten Dateien
Volatile Environment
Angaben zum Anmeldeserver und Pfadangaben zu \DOKUMENTE UND EINSTELLUNGEN
14.2.3
Der Schlüssel HKEY_USERS
Im Schlüssel HKEY_USERS sind die benutzerspezifischen Einstellungen enthalten. Für jeden auf dem System hinterlegten Benutzer ist ein eigener Schlüssel abgelegt. Der Schlüssel trägt als Namen die SID des jeweiligen Benutzers. Darin werden sämtliche Einstellungen gespeichert, die der aktuell angemeldete Benutzer beispielsweise am Desktop oder am Startmenü vornimmt. Die Standardeinstellungen sind im Unterschlüssel \.Default hinterlegt. Sobald sich ein neuer Benutzer das erste Mal am System anmeldet, werden die Inhalte dieses Schlüssels komplett in einen neuen Unterzweig von HKEY_USERS kopiert. Als Name wird die SID des Benutzerkontos gesetzt.
14.2.4
Der Schlüssel HKEY_LOCAL_MACHINE (HKLM)
Der Schlüssel HKLM beherbergt die Hardware-Informationen und globalen Softwareeinstellungen für den Computer. Diese Informationen gelten immer, unabhängig davon, welcher Benutzer aktuell angemeldet ist. In Tabelle 14.3 finden Sie eine Übersicht über die Unterschlüssel. Unterschlüssel Beschreibung HARDWARE
Hier sind alle auf dem Computer installierten Hardware-Komponenten sowie deren Einstellungen hinterlegt.
SOFTWARE
Speicherort für die globalen Softwareeinstellungen der auf dem Computer installierten Programme
SYSTEM
Hier sind sämtliche Dateien für den Windows-Start enthalten. Dazu zählen beispielsweise Computereinstellungen oder zu startende Dienste.
Tabelle 14.3: Die Unterschlüssel unter HKLM
647
Sandini Bib
14 Die Registrierungsdatenbank
14.2.5
Der Schlüssel HKEY_CURRENT_CONFIG (HKCC)
Im Schlüssel HKCC befinden sich die aktuellen Konfigurations- und Hardware-Einstellungen des Computers. So finden Sie hier beispielsweise die aktuelle Auflösung und Farbtiefe der Grafikkarte oder den Verbindungsstatus des Druckers. Verwechseln Sie diese Einträge nicht mit der Beschreibung der Computerhardware unter HKLM. Im Unterschlüssel \Software sind Informationen zu den Bildschirmschriften oder der Internetverbindung zu finden.
14.3
Zusammenspiel zwischen Registry und System
Nachdem Sie nun einen kurzen Überblick über die Hauptschlüssel erhalten haben, sollen diese nun nochmals im Kontext mit den jeweils relevanten Windows-Komponenten und -Dateien vorgestellt werden. Eine Übersicht finden Sie in Abbildung 14.2. Abbildung 14.2: Übersicht über die Beziehungen zwischen WindowsKonfigurationsdateien und Registry-Schlüsseln
Registry
Computer
HKLM RAM
RAM
SAM
SAM
Security
Security
Software
Software
System
System
HKCU
Default
.Default Ntuser.dat SID Usrclass.dat SID CLASSES
HKCC HKCR HKCU
648
Sandini Bib
Die Werte in der Registry
Die Einstellungen der Registry sind in verschiedenen WindowsDateien abgelegt. Diese verschiedenen Dateien haben die folgenden Funktionen: 왘
System.dat=Systemkonfiguration
왘
User.dat=Benutzerprofil
왘
Classes.dat=Dateierweiterungen, Dateitypen und COM-Komponenten
왘
Default=Benutzerprofil mit Standardeinstellungen
왘
Sam=Security Account Manager (Benutzerkontendatenbank) für die Steuerung der Zugriffs- und Systemberechtigungen
왘
Software=allgemeine Informationen zur Software
왘
Usrclass.dat=benutzerspezifische Softwareeinstellungen
왘
Ntuser.dat=Konfigurationseinstellungen des Benutzerprofils
Im Ordner %WINDIR%\SYSTEM32\CONFIG finden Sie verschiedene Windows-Konfigurationsdateien. Dabei handelt es sich um die Dateien Default, Sam, Security, Software sowie System. Diese Dateien bestimmen die jeweilige Struktur. Sie tragen keine Dateierweiterung, jedoch gehört zu jeder Datei auch eine gleichnamige .logDatei, z.B. System und System.log. Diese fünf Dateien spiegeln die Inhalte der jeweiligen Registry-Schlüssel wider. Benutzerinformationen speichert Windows in der Datei ntuser.dat unter %SYSTEMROOT%\DOKUMENTE UND EINSTELLUNGEN\BENUTZERNAME. In diesem Benutzerordner befindet sich unter \LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS die Datei usrclass.dat. Hier werden die benutzerspezifischen Softwareeinstellungen gespeichert. Diese Einstellungen sind relevant, wenn z.B. ein Benutzer Änderungen am Desktop oder am Startmenü vornimmt oder eine bestimmte Applikation nicht für alle Benutzer installiert ist. Alle eben genannten Konfigurationsdateien können auch als separate Struktur zum Bearbeiten in die Registry geladen werden. Weitere Hinweise dazu finden Sie in Kapitel 14.13.
14.4
Die Werte in der Registry
Wie Sie bereits in Abbildung 14.1 gesehen haben, können die Datenwerte in der Registry verschiedene Typen haben. Im Beispiel sehen Sie die beiden Werte REG_SZ und REG_BINARY. Tabelle 14.4 zeigt eine Übersicht über die verschiedenen Typen. Die hier aufgelisteten Typen können Sie auch zur Erstellung neuer Werte benutzen
649
Sandini Bib
14 Die Registrierungsdatenbank Tabelle 14.4: Übersicht über die möglichen Typen für die Registry-Werte, die Sie selbst für neue Werte verwenden können
Typ
Name
Beschreibung
REG_SZ
String
Dieser Typ beinhaltet Zeichenfolgen (Strings), die entweder Texte oder Zahlenwerte enthalten können. Die Werte dieses Typs müssen grundsätzlich von Anführungszeichen umschlossen sein; so sind z.B. “c:\windows“ oder “1024,768“ gültige Werte für den Typ REG_SZ.
REG_MULTI_SZ
Multistring
In einem solchen Wert können mehrere Teilstrings gespeichert werden, die jeweils durch ein Nullbyte separiert sind.
REG_EXPAND_SZ Expandable String
Unter diesem Typ können erweiterbare Daten aufgenommen werden. In aller Regel handelt es sich dabei um Umgebungsvariablen in der Form %SystemRoot%, die zur Laufzeit in den aktuellen Pfad erweitert, d.h. aufgelöst werden.
REG_BINARY
Binary
Die Länge des Binärwerts ist nach oben hin nicht begrenzt. Die Binärwerte werden beispielsweise von der Systemsteuerung eingepflegt. Die Binärcodierung kann voneinander abweichen. Ändern Sie diese Einträge deshalb besser nicht manuell.
REG_DWORD
DWORD
Die Länge dieses Werts darf maximal 32 Bit betragen. Es muss sich dabei um eine Zahl handeln, die in dezimaler oder hexadezimaler Form dargestellt werden kann.
Bei der Anzeige der Werte im Registry-Editor können Sie anhand des Symbols erkennen, ob es sich bei dem Wert um einen Zahlenwert oder um einen Zeichenwert handelt (siehe Abbildung 14.5). Tabelle 14.5 zeigt die Aufstellung weiterer Typen. Diese können Sie jedoch nicht verwenden, wenn Sie selbst neue Werte in der Registry erstellen möchten.
650
Sandini Bib
Der Registry-Editor
Typ
Beschreibung
REG_FULL_RESOURCE_ DESCRIPTOR
Dieser Typ enthält Hardware-Informationen wie z.B. IRQ-Angaben oder DMA-Einträge. Die Werte werden standardmäßig in hexadezimaler Form angegeben, können aber auch in anderen Formaten ausgegeben werden.
REG_DWORD_BIG_ ENDIAN
Die Daten sind als 32-Bit-Wert gespeichert. Der höchste Byte-Wert vom Typ DWORD mit langer Endung (Big Endian) wird an den Anfang gestellt bzw. als Erster behandelt.
REG_LINK
Im Unicode-Format gespeicherte Linked Data
REG_NONE
Verfügt ein Wert über keinen Datentyp oder sind die Daten verschlüsselt und somit nicht auslesbar, wird dieser Typ angegeben.
14.5
Tabelle 14.5: Auflistung der Typen, die Sie nicht zum Erstellen eigener Werte benutzen können
Der Registry-Editor
Um die Registry einsehen und bearbeiten zu können, verwenden Sie den Registry-Editor. Dieses Programm wird über die Datei regedit.exe aufgerufen, die sich im Verzeichnis WINDOWS befindet. Starten Sie den Editor durch Eingabe von regedit (¢) unter AUSFÜHREN oder an der Eingabeaufforderung oder legen sich eine Verknüpfung auf dem Desktop an.
Änderungen können nicht wieder rückgängig gemacht werden!
Der Registry-Editor hat eine große Ähnlichkeit mit dem Windows Explorer (siehe Abbildung 14.3). Auch seine Handhabung bezüglich Öffnen und Auswahl der Einträge ist identisch. Betrachten Sie die Schlüssel quasi als Ordner und die Werte als Dateien.
Abbildung 14.3: Einblick in die Schlüssel und Werte über den Registry-Editor
651
Sandini Bib
14 Die Registrierungsdatenbank
Jeder Schlüssel besteht aus mindestens einem Wert. Besitzt ein Schlüssel mehrere Werte, so ist ein Wert als (Standard) gekennzeichnet. Für diesen muss jedoch nicht zwangsläufig ein Wert gesetzt sein. Ist dies nicht der Fall, finden Sie in der Spalte WERT den Eintrag (Wert nicht gesetzt). Ein Schlüssel kann über mehrere Werte verschiedener Typen verfügen. Eine vollständige Beschreibung sämtlicher Werte und Schlüssel der Registry würde den Rahmen dieses Buches sprengen.
14.6
Berechtigungen an der Registry
Im Registry-Editor haben Sie die Möglichkeit, für jeden Schlüssel und Unterschlüssel separat die Berechtigungen für die Benutzer festzulegen. Hierzu müssen Sie jedoch über Administratorberechtigungen verfügen. Um für einen Hauptschlüssel oder einen untergeordneten Schlüssel die Berechtigungen zu ändern, markieren Sie diesen und wählen entweder das Menü BEARBEITEN/BERECHTIGUNGEN oder aus dem Kontextmenü den Eintrag BERECHTIGUNGEN. Sie erhalten dadurch das Fenster BERECHTIGUNGEN FÜR (siehe Abbildung 14.4). Dieses Fenster gleicht dem Fenster einer Zugriffssteuerungsliste (Access Control List, ACL) für eine herkömmliche Datei oder einen Ordner. Abbildung 14.4: Die Zugriffssteuerungsliste (ACL) für den Schlüssel HKLM
652
Sandini Bib
Berechtigungen an der Registry
Für die Benutzer sind die Berechtigungen VOLLZUGRIFF, LESEN und SPEZIELLE BERECHTIGUNGEN vorhanden. Die Benutzer ADMINISTRATOR und SYSTEM verfügen über die Rechte VOLLZUGRIFF und LESEN, für JEDER und EINGESCHRÄNKTER ZUGRIFF ist nur die Leseberechtigung gesetzt. Wenn Sie auf die Schaltfläche ERWEITERT klicken und danach auf BEARBEITEN, können Sie spezielle Berechtigungen für einen Benutzer konfigurieren (siehe Abbildung 14.5). Abbildung 14.5: Spezielle Berechtigungen zum Bearbeiten der Registry
Beim Bearbeiten können Sie eine Reihe spezifischer Berechtigungen festlegen. In Tabelle 14.6 sehen Sie eine Übersicht über die einzelnen Berechtigungen. Zusätzlich können Sie unter ÜBERNEHMEN FÜR festlegen, ob die speziellen Berechtigungen für den aktuellen Schlüssel und dessen Unterschlüssel oder nur für den aktuellen Schlüssel oder Unterschlüssel gelten sollen. Berechtigung
Beschreibung
Vollzugriff
Beinhaltet sämtliche Berechtigungen
Wert abfragen
Werte können ausgelesen werden
Wert festlegen
Neue Werte können erstellt werden
Unterschlüssel erstellen
Unterschlüssel können erstellt werden
Unterschlüssel auflisten
Unterschlüssel können angezeigt werden
Benachrichtigungen
Benachrichtigungen von einem RegistrySchlüssel aus
Tabelle 14.6: Übersicht über die speziellen Berechtigungen zum Bearbeiten der Registry
653
Sandini Bib
14 Die Registrierungsdatenbank
Berechtigung
Beschreibung
Verknüpfung erstellen
Erstellen von Verknüpfungen in einem Schlüssel
Löschen
Der Schlüssel und/oder Wert kann gelöscht werden.
DACL schreiben
Für den Schlüssel darf die DACL (Discretionary Access Control List) geschrieben werden. Die DACL ist ein Teil der Zugriffssteuerungsliste (ACL).
Besitzer festlegen
Der Besitzer des gewählten Schlüssels darf geändert werden.
Lesekontrolle
Öffnen der DACL für einen Schlüssel
14.6.1 Registry zum Schutz des Systems sperren
Sperren der Registry für bestimmte Benutzer
Änderungen an der Registry sollten nur von erfahrenen Benutzern vorgenommen werden. In einer Netzwerkumgebung sollte der Administrator die einzige Person sein, die auf die Registry zugreifen darf. Deshalb verfügen standardmäßig auch nur die Benutzer ADMINISTRATOR und SYSTEM über Vollzugriff auf den RegistryEditor. Somit verhindern Sie, dass die Benutzer vorgegebene Einstellungen ändern oder am System Schaden anrichten können. Besteht die Gefahr, dass weitere Benutzer versuchen, Änderungen an der Registry vorzunehmen, wäre es sinnvoll, lediglich dem Administrator Zugriff auf den Registry-Editor zu gewähren. Zum Sperren des Editors führen Sie die folgenden Schritte aus: 1. Melden Sie sich am Computer mit dem Benutzerkonto des Benutzers an, für den der Zugriff gesperrt werden soll. 2. Öffnen Sie in der Registry den Pfad HKCU\Software\Microsoft\Windows\CurentVersion\Policies\System. 3. Erstellen Sie einen neuen Wert vom Typ DWORD mit dem Namen DisableRegistryTools und setzen für diesen den Wert 1. 4. Nachdem der Computer neu gestartet wurde, kann nur noch der Administrator den Registry-Editor aufrufen.
14.7
Bearbeiten der Registry
Dieses Kapitel beschreibt, wie und in welchem Umfang Änderungen an der Registry vorgenommen werden können. Für sämtliche Einstellungen ist immer vorausgesetzt, dass Sie über die entsprechenden Berechtigungen verfügen.
654
Sandini Bib
Bearbeiten der Registry
14.7.1
Änderungen an Schlüsseln und Werten vornehmen
Manuelle Änderungen an der Registry sind zwar aufgrund des Gefahrenpotenzials nicht unbedingt empfohlen, können aber dennoch erforderlich werden, wenn Sie beispielsweise die Reste nicht korrekt deinstallierter Programme manuell aus der Registry entfernen oder Performance-Einstellungen vornehmen möchten. Auch wenn für eine Einstellung keine grafische Oberfläche unter Windows zur Verfügung steht, ist ein direkter Zugriff notwendig. Um einen Wert zu ändern, klicken Sie den zum Wert gehörenden Schlüssel in der Baumstruktur doppelt an. Danach können Sie den Wert entweder über das Kontextmenü ÄNDERN, das Menü BEARBEITEN/ÄNDERN oder per Doppelklick öffnen. Das sich dann öffnende Bearbeitungsfenster variiert je nach gewähltem Wert. REG_SZ und REG_EXPAND_SZ bearbeiten Zum Bearbeiten von REG_SZ sowie REG_EXPAND_SZ-Werten erhalten Sie das in Abbildung 14.6 dargestellte Fenster. Bei REG_ EXPAND_SZ-Werten können Sie den Wert in Form von Umgebungsvariablen angeben, im Beispiel %SystemRoot%. Geben Sie hingegen einen Wert als Text ein, so muss dieser in Anführungszeichen gesetzt werden, z.B. “C:\Windows“. Um den Wert zu übernehmen, klicken Sie auf OK. Abbildung 14.6: Bearbeiten eines Werts vom Typ REG_EXPAND_SZ
REG_MULTI_SZ bearbeiten Zum Bearbeiten von REG_MULTI_SZ-Werten erhalten Sie das in Abbildung 14.7 dargestellte Fenster. Hier können mehrere Werte enthalten sein, theoretisch auch nur einer, was aber sehr selten ist. Jede Zeile stellt einen Teilstring des Wertes dar. Um einen neuen Teilstring einzufügen, geben Sie diesen in eine neue Zeile ein. Bestehende Zeilen werden zum Bearbeiten markiert. Die Trennung der verschiedenen Teilstrings erfolgt automatisch per Nullbyte. Bestätigen Sie die Änderungen mit OK.
655
Sandini Bib
14 Die Registrierungsdatenbank Abbildung 14.7: Bearbeiten eines Werts vom Typ REG_MULTI_SZ
REG_BINARY bearbeiten Um einen REG_BINARY-Wert zu ändern, verwenden Sie das in Abbildung 14.8 dargestellte Fenster. Ein Binärwert kann aus mehreren Bytes bestehen. Die Maximalgröße sollte laut einer Microsoft-Empfehlung jedoch 64 KB nicht übersteigen, sodass dieser Typ zum Speichern großer Dateneinträge verwendet wird. Die Darstellung im Registry-Editor erfolgt als Hexbyte/ASCII. Achten Sie unbedingt darauf, dass Sie den alten Wert im Bearbeitungsfenster markieren, bevor Sie ihn ändern. Andernfalls werden die neuen Werte hinzugefügt, was höchstwahrscheinlich zu einer Fehlfunktion des Systems führen wird. Bestätigen Sie Ihre Änderung mit OK. Abbildung 14.8: Bearbeiten eines Werts vom Typ REG_BINARY
656
Sandini Bib
Bearbeiten der Registry
REG_DWORD bearbeiten Zur Bearbeitung eines REG_DWORD-Wertes benutzen Sie das in Abbildung 14.9 dargestellte Fenster. Ein solcher Wert kann maximal eine Größe von 32 Bit haben. Der Wert kann in hexadezimaler und in dezimaler Form angegeben werden. Achten Sie beim Ändern des REG_DWORD-Wertes unbedingt darauf, dass Sie unter BASIS die Auswahl DEZIMAL treffen, wenn Sie den Wert in dieser Form eingeben möchten, da standardmäßig die Option HEXADEZIMAL ausgewählt ist. Verwechslungen können hier fatale Folgen haben. Bestätigen Sie dann die Änderung mit OK. Abbildung 14.9: Bearbeiten eines Werts vom Typ DWORD
Für jeden der Werttypen gilt, dass Sie die Änderungen über ABBRECHEN verwerfen können. Beachten Sie, dass Sie den Typ eines vorhandenen Wertes nicht ändern können. Bei bereits vorhandenen Werten ist dies ohnehin nicht sinnvoll, weil Windows die Werte festgelegt hat. Haben Sie hingegen selbst einen neuen Wert angelegt (siehe Kapitel 14.7.2) und diesem einen falschen Typ zugeordnet, so müssen Sie diesen Wert komplett löschen und danach korrekt neu erstellen.
14.7.2
Neue Schlüssel und Werte einfügen
Für einen bestehenden Wert können Sie zusätzliche Unterschlüssel oder Werte hinzufügen. Um einen neuen Schlüssel anzulegen, wählen Sie aus dem Kontextmenü oder dem Menü BEARBEITEN den Eintrag NEU/SCHLÜSSEL. Dieser trägt zunächst den Namen Neuer Schlüssel #1. Geben Sie den neuen Namen ein. Der Schlüssel besteht zuerst nur aus einem Wert vom Typ REG_SZ namens Standard und einem nicht gesetztem Wert.
657
Sandini Bib
14 Die Registrierungsdatenbank
Um einen neuen Wert hinzuzufügen, wählen Sie aus dem Kontextmenü NEU oder dem Menü BEARBEITEN/NEU einen der folgenden Einträge (siehe Abbildung 14.10). Abbildung 14.10: Auswahl des neu zu erstellenden Werts
Tabelle 14.7 zeigt Ihnen die Zuordnung der Namen zu den einzelnen Typen. Nachdem Sie den Wert angelegt haben, enthält er jedoch noch keinen Inhalt, sondern lediglich den Standardwert (nicht gesetzt). Zur Änderung dieses Standardwertes verfahren Sie, wie in den vorangegangenen Kapiteln beschrieben wurde. Tabelle 14.7: Zuordnung der im Menü angegebenen Namen zu den verschiedenen Werttypen
Name
Werttyp
Zeichenfolge
REG_SZ
Binärwert
REG_BINARY
DWORD-Wert
DWORD
Wert der mehrteiligen Zeichenfolge
REG_MULTI_SZ
Wert der erweiterbaren Zeichenfolge
REG_EXPAND_SZ
14.7.3
Umbenennen von Werten und Schlüsseln
Bestehende Werte und Schlüssel können auch umbenannt werden. Verwenden Sie dazu entweder den Kontextmenüeintrag UMBENENNEN oder das Menü BEARBEITEN/UMBENENNEN. Danach können Sie einen neuen Namen eingeben. Beachten Sie hierbei die folgenden Regeln: 왘
Gültige Zeichen sind Buchstaben, Zahlen sowie der Unterstrich (_).
왘
In der aktuellen Hierarchieebene darf der Name noch nicht vorhanden sein. So darf beispielsweise ein Schlüssel nicht zwei gleichnamige Werte oder Unterschlüssel besitzen.
14.7.4
Löschen von Schlüsseln und Werten
Zum Löschen eines Schlüssels oder Werts markieren Sie diesen und wählen den Kontextmenüeintrag LÖSCHEN oder das Menü BEARBEITEN/LÖSCHEN. In dem dann folgenden Fenster müssen Sie den Löschvorgang mit JA bestätigen. Handelt es sich beim Löschen um einen Schlüssel, der noch weitere Unterschlüssel umfasst, so werden diese ebenfalls alle gelöscht.
658
Sandini Bib
Durchsuchen der Registry
Überlegen Sie sich gründlich, ob Sie einen Schlüssel oder Wert wirklich löschen möchten, da der Löschvorgang endgültig ist und sich nicht mehr rückgängig machen lässt. Eine Alternative zum Löschen stellt das Umbenennen dar. So ist der Wert für Windows zwar nicht mehr verfügbar; sollten jedoch später Probleme auftreten, können Sie durch das Zurück-Benennen wieder den alten Zustand herstellen. Sind keinerlei Probleme aufgetreten, können Sie auch den umbenannten Eintrag löschen. Sämtliche hier beschriebenen Aktionen wie das Ändern und Erweitern der Registry sowie das Löschen von Schlüsseln und Werten können Sie nicht nur über die Benutzeroberfläche des Editors durchführen, sondern auch mit Hilfe selbst geschriebener .regDateien, die Sie dann importieren. Weitere Hinweise dazu finden Sie in Kapitel 14.11.3.
14.8
Durchsuchen der Registry
Da das Durchsuchen der Registry nach einem bestimmten Wert oder Schlüssel sehr zeitaufwendig werden kann, wenn Sie manuell in der Baumstruktur suchen, bietet die Registry eine eigene Suchfunktion. Um die Registry zu durchsuchen, verwenden Sie entweder das Menü BEARBEITEN/SUCHEN oder die Tastenkombination (Strg)+ (F). Es erscheint das in Abbildung 14.11 gezeigte Fenster. Abbildung 14.11: Die Suchfunktion innerhalb der Registry
In das Feld SUCHEN NACH tragen Sie den Begriff oder einen Teilbegriff ein. Das Zeichen * als Platzhalter ist für die Suche möglich. Weiterhin wählen Sie aus, welche der Optionen SCHLÜSSEL, WERTE oder DATEN durchsucht werden soll. Verwenden Sie in der Suche nur Teilbegriffe, so dürfen Sie nicht die Checkbox GANZE ZEICHENFOLGE VERGLEICHEN markieren.
659
Sandini Bib
14 Die Registrierungsdatenbank
Wird ein gesuchter Eintrag gefunden, öffnet der Registry-Editor die Registry an der entsprechenden Stelle und hebt den Eintrag dabei hervor. Sofern mehrere Suchergebnisse gefunden wurden, können Sie die Suche über das Menü BEARBEITEN/WEITERSUCHEN oder die Taste [F3] fortsetzen. Wurde die Registry vollständig durchsucht, erhalten Sie eine Information darüber.
14.9
Die Druckfunktion des Registry-Editors
Der Registry-Editor stellt Ihnen die Möglichkeit bereit, die komplette Registry oder einzelne Zweige daraus ausdrucken. Dieses kann beispielsweise im Zuge einer Dokumentation sehr hilfreich sein. Markieren Sie im Registry-Editor den gewünschten Schlüssel und wählen aus dem Menü DATEI den Eintrag DRUCKEN. Sie können die Druckfunktion auch über die Tastenkombination (Strg)+(P) aufrufen. Dann erhalten Sie den in Abbildung 14.12 dargestellten Druckdialog. Abbildung 14.12: Das Dialogfeld Drucken des Registry-Editors
Unter DRUCKBEREICH ist standardmäßig der Schlüssel eingetragen, den Sie ausgewählt haben. Sie können jedoch auch über die Option ALLES den kompletten Inhalt der Registry ausdrucken. Dies ist jedoch ein sehr zeitaufwendiger und komplexer Vorgang, der zudem wenig sinnvoll ist. Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf DRUCKEN.
660
Sandini Bib
Die Favoritenfunktion des Registry-Editors
Sie erhalten einen Ausdruck in folgender Form (siehe Listing 14.1): Schlüsselname: HKEY_LOCAL_MACHINE\Software\ThinkPad Klassenname: Letzter Schreibzugriff: 29.06.2004 – 14:34 Schlüsselname: HKEY_LOCAL_MACHINE\Software\ThinkPad\ Access ThinkPad Klassenname: Letzter Schreibzugriff: 29.06.2004 – 14:34 Schlüsselname: HKEY_LOCAL_MACHINE\Software\ThinkPad\ Access ThinkPad\1.00 Klassenname: Letzter Schreibzugriff: 29.06.2004 – 14:34
Listing 14.1: Informationen, die aus der Registry ausgedruckt werden können
14.10 Die Favoritenfunktion des Registry-Editors Um die Suche nach bereits besuchten Schlüsseln zu erleichtern, stellt der Registry-Editor ähnlich wie der Internet Explorer eine Favoritenfunktion zur Verfügung. Sobald Sie einen Schlüssel markiert haben, auf den Sie noch öfters Zugriff benötigen, klicken Sie im Menü FAVORITEN auf ZU FAVORITEN HINZUFÜGEN. Sie werden dann aufgefordert, einen Namen festzulegen. Standardmäßig ist der Name des Schlüssels eingetragen.
Nutzen Sie diese Funktion für oft besuchte Schlüssel
Um auf einen Favoriten zuzugreifen, öffnen Sie das Menü FAVORIund wählen den gewünschten Eintrag aus. Zum Löschen eines Eintrags klicken Sie auf FAVORITEN ENTFERNEN. Wählen Sie dort die gewünschten Einträge aus und klicken auf OK. TEN
Die Favoriteneinträge werden in der Registry in dem Schlüssel HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\Favorites abgelegt. Auch dort können Sie die Einträge löschen.
14.11 Import und Export von Registry-Schlüsseln Ein wichtiger Punkt ist auch der Import und Export von RegistrySchlüsseln. Ein Export ist sinnvoll, wenn Sie bestimmte Einträge für spätere Aufgaben, beispielsweise auf einem anderen Computer, nutzen möchten. Zum Einspielen des Exports wird der Import verwendet.
661
Sandini Bib
14 Die Registrierungsdatenbank
14.11.1 Die Exportfunktion Um einen Schlüssel aus der Registry zu exportieren, markieren Sie diesen und wählen aus dem Menü DATEI den Eintrag EXPORTIEREN. Wie beim Speichern einer beliebigen Datei müssen Sie auch hier einen Dateinamen und den Speicherort festlegen. Die Datei wird mit der Dateiendung .reg versehen. Diese Datei können Sie mit jedem beliebigen Texteditor betrachten (siehe Abbildung 14.13). Die Datei kann auch als Text- oder Hive-Datei gespeichert werden. Wählen Sie im zweiten Fall den Eintrag REGISTRIERUNGSSTRUKTURDATEIEN aus der Auswahlliste. Dabei handelt es sich um die Binärform der .-Datei. Klicken Sie die .reg-Datei zum Betrachten nicht doppelt. Ein Doppelklick bewirkt (nach vorheriger Nachfrage) die Installation der Registry-Daten. Wählen Sie stattdessen aus dem Kontextmenü den Eintrag BEARBEITEN. Abbildung 14.13: Der Inhalt eines exportierten Registry-Schlüssels kann in jedem Texteditor betrachtet werden.
14.11.2 Die Importfunktion Für den Import von .reg-Dateien gibt es zwei verschiedene Möglichkeiten. Sie können entweder im Registry-Editor das Menü DATEI/IMPORTIEREN aufrufen und die gewünschte Datei auswäh-
662
Sandini Bib
Import und Export von Registry-Schlüsseln
len oder eine .reg-Datei doppelklicken bzw. aus dem Kontextmenü den Eintrag ZUSAMMENFÜHREN wählen. In den beiden letzten Fällen müssen Sie nur noch die Sicherheitsabfrage bestätigen. Für den Import müssen Sie nicht zwangsläufig vordem einen Export durchgeführt haben. Sie können auch selbst eine .reg-Datei erstellen. Dies macht Sinn, wenn Sie selbst bestimmte Schlüssel oder Werte zur Registry hinzufügen möchten, aber Ihnen der Einsatz des Registry-Editors nicht zusagt. Mit Hilfe einer .reg-Datei können Sie sämtliche in Kapitel 14.7 beschriebenen Modifikationen an der Registry vornehmen. Ist beim Import der zu importierende Schlüssel bereits vorhanden, so werden die vorhandenen Daten überschrieben. Sind Schlüssel oder Werte noch nicht vorhanden, werden diese der Registry hinzugefügt.
14.11.3 Manuelles Anlegen von .reg-Dateien Um die Struktur zum Anlegen einer eigenen .reg-Datei zu verdeutlichen, sehen Sie in Listing 14.2 zunächst ein Beispiel. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Ipswitch\iFtpSvc\Global] "SecurityDirectory"="C:\\iFtpSvc\\Security" "LogDirectory"="F:\\WS_FTP Server 4.0\\Logs" "InstallDirectory"="F:\\WS_FTP Server 4.0" "TopDirectory"="F:\\WS_FTP Server 4.0" "HostName"="LOCALHOST" "Port"=dword:00000015 "Flags"=dword:00000008
Listing 14.2: Beispiel-Listing eines RegistrySchlüssels
Die oberste Zeile gibt die Version des Registry-Editors an. 5.00 ist die Version unter Windows XP. Es ist auch möglich, .reg-Dateien früherer Versionen zu importieren. Wenn Sie selbst eine .reg-Datei schreiben, müssen Sie diese Zeile immer angeben. Ansonsten kann der Import nicht ordnungsgemäß durchgeführt werden. Jeder Schlüssel wird in eine eckige Klammer gesetzt. Unterhalb des Schlüssels finden Sie alle seine zugehörigen Werte. Der Name des Werts wird in Anführungszeichen gesetzt. Der Name von (STANDARDWERT) wird nicht angegeben, sondern beim Erstellen einer .reg-Datei durch das Zeichen @ angegeben (siehe auch Kapitel 14.12). Hinter dem Gleichheitszeichen werden die Daten des Werts genannt. Die Textstrings der Werte werden dabei wie der Wertname in Anführungszeichen gesetzt. Wird ein spezieller Typ angegeben, erfolgt dies in dem Format =dword:.
663
Sandini Bib
14 Die Registrierungsdatenbank
Hinzufügen neuer Schlüssel und Werte Um einen neuen Schlüssel mit zwei Werten einzufügen, verwenden Sie folgende Syntax: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Neu] “Testverzeichnis“=“d:\\Testsoftware” “Flags”=dword:00000011
Sind diese Werte bereits vorhanden, werden sie ersetzt, anderenfalls hinzugefügt. Löschen von Schlüsseln Möchten Sie einen bestehenden Schlüssel löschen, benutzen Sie folgende Syntax: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Neu]
Um den Schlüssel mit allen Unterschlüsseln zu löschen, fügen Sie zwischen die eckige Klammer und den Namen des Schlüssels ein Minuszeichen ein. Ist der hier angegebene Schlüssel jedoch nicht vorhanden, so wird er stattdessen neu angelegt. Auf diese Weise können Sie zwar Unterschlüssel löschen, nicht jedoch die Hauptschlüssel der Registry. Löschen von Werten Möchten Sie einen bestimmten Wert aus einem Schlüssel löschen, verwenden Sie die folgende Syntax: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Neu] “Wert”=-
Zum Löschen von Werten geben Sie den Namen des Werts wie gewohnt an. Hinter dem Gleichheitszeichen muss jedoch ein Minuszeichen stehen.
664
Sandini Bib
Installation einer .reg-Datei per Doppelklick unterbinden
14.12 Installation einer .reg-Datei per Doppelklick unterbinden Standardmäßig öffnet ein Doppelklick auf eine .reg-Datei nicht den Editor zum Betrachten oder Bearbeiten, sondern führt nach einer Sicherheitsabfrage die Installation aus. So kann es schnell zu einem Problem kommen, wenn der Benutzer die Abfrage ohne weiteres Durchlesen bestätigt. Deshalb ist es sinnvoll, eine .reg-Datei so zu konfigurieren, dass sie nach einem Doppelklick standardmäßig den Editor öffnet, anstatt sich zu installieren. Diese Einstellung wird, wie sollte es auch anders sein, über die Registry vorgenommen. Um das eben Erlernte zum Erstellen eigener .reg-Dateien nochmals zu üben, wird eine entsprechende Datei erstellt. Schreiben Sie dazu folgende Zeilen in einen Editor und speichern die Datei unter der Endung .reg. Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\regfile\shell] @=”edit”
In der ersten Zeile wird der betreffende Schlüssel aufgerufen. In der zweiten Zeile verwenden Sie das Zeichen @, um den Standardwert aufzurufen. Dieser bekommt nun den Wert edit zugewiesen. Wenn Sie das Kontextmenü einer .reg-Datei betrachten, sehen Sie, dass der Eintrag ZUSAMMENFÜHREN dort hervorgehoben ist. Dieser Befehl leitet die Installation ein. Dass dieser Eintrag hervorgehoben ist, bedeutet, dass dies das Standardverhalten bei einem Doppelklick ist. Nachdem Sie jedoch die .reg-Datei installiert haben, sehen Sie, dass nun im Kontextmenü der Eintrag BEARBEITEN hervorgehoben ist und somit als Standard gilt. Die Installation ist jetzt nicht mehr per Doppelklick möglich, sondern nur noch über den Kontextmenüeintrag ZUSAMMENFÜHREN.
14.13 Arbeiten mit Strukturen Wie Sie bereits in Kapitel 14.3 gelesen haben, setzen sich einige Teile der Registry aus Konfigurationsdateien zusammen. Diese Teile werden als Strukturen bezeichnet. Eine Struktur besteht wie ein anderer Bereich der Registry auch aus Schlüsseln, Unterschlüsseln und Werten. Sie wird in einer Datei mit einer zugehörigen LOGDatei gespeichert, z.B. Security und Security.log. Strukturen werden
665
Sandini Bib
14 Die Registrierungsdatenbank
auch als Hives bezeichnet. In der Registry ist lediglich in den beiden Hauptschlüsseln HKEY_LOCAL_MACHINE sowie HKEY_ USERS das Arbeiten mit Strukturen möglich. Sie haben die Möglichkeit, über den Registry-Editor Strukturen zu laden oder besser gesagt zu verknüpfen und auch wieder zu entfernen. Das Bearbeiten einer Strukturdatei kann so im RegistryEditor durchgeführt werden. 1. Markieren Sie im Registry-Editor zunächst den Schlüssel HKEY_LOCAL_MACHINE oder HKEY_USERS. Da die Strukturdateien nur auf diese beiden Schlüssel wirken, können Sie für die übrigen Hauptschlüssel keine Struktur laden. Wählen Sie dann aus dem Menü DATEI den Eintrag STRUKTUR LADEN. 2. Wählen Sie nun die Strukturdatei aus, die Sie zum Bearbeiten in die Registry laden möchten. Haben Sie in Schritt 1 den Schlüssel HKEY_LOCAL_MACHINE ausgewählt, selektieren Sie nun eine der Strukturdateien, die Sie im Verzeichnis %WINDIR%\SYSTEM32\CONFIG finden. Die Wahl der folgenden Dateien ist möglich: 왘
System.dat=Systemkonfiguration
왘
Classes.dat=Dateierweiterungen, Dateitypen und COMKomponenten
왘
Default=Benutzerprofil mit Standardeinstellungen
왘
Sam=Security Account Manager (Benutzerkontendatenbank) für die Steuerung der Zugriffs- und Systemberechtigungen
왘
Software=allgemeine Informationen zur Software
3. Haben Sie hingegen den Schlüssel HKEY_USERS gewählt, suchen Sie eine Strukturdatei aus dem Benutzerverzeichnis. Im Ordner %SYSTEMROOT%\DOKUMENTE UND EINSTELLUNGEN\ BENUTZERNAME befindet sich die Datei ntuser.dat mit den Konfigurationseinstellungen des Benutzerprofils und in diesem Verzeichnis unter \LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS die Datei usrclass.dat. In dieser Datei sind die benutzerspezifischen Softwareeinstellungen gespeichert. Da es sich um Dateien handelt, können Sie diese auch von einem anderen Computer im Netzwerk laden und auf dem lokalen Computer bearbeiten.
666
Sandini Bib
Registry-Bearbeitung im Netzwerk
4. Nachdem Sie eine Strukturdatei ausgewählt haben, erhalten Sie das Fenster STRUKTUR LADEN. Geben Sie hier einen Namen ein, unter dem die Datei als Schlüssel in der Registry angezeigt werden soll, und klicken auf OK. Ist die Datei durch einen anderen Prozess in Benutzung, so kann sie nicht geladen werden und Sie erhalten eine entsprechende Fehlermeldung. 5. Der Inhalt der Strukturdatei wird nun als Schlüssel in der Registry angezeigt (siehe Abbildung 14.14). Dort ist der geladene Schlüssel Teststruktur neben den übrigen Schlüsseln präsent. Abbildung 14.14: Die in die Registry geladene Strukturdatei ntuser.dat wird als zusätzlicher Schlüssel im Registry-Editor angezeigt.
6. Nachdem die Struktur geladen worden ist, können Sie diese wie jeden anderen Registry-Schlüssel auch bearbeiten. Die Änderungen werden in die jeweilige Strukturdatei übernommen. 7. Haben Sie die Bearbeitung des Schlüssels abgeschlossen, sollten Sie diesen wieder entfernen. Wählen Sie dazu den Menüpunkt DATEI/STRUKTUR ENTFERNEN. Achten Sie darauf, dass Sie dabei den korrekten Schlüssel markiert haben, und bestätigen die Sicherheitsabfrage mit JA.
14.14 Registry-Bearbeitung im Netzwerk Die bislang beschriebenen Einstellungen an der Registry wurden lediglich an dem lokalen Computer vorgenommen. Sie haben jedoch auch die Möglichkeit, auf die Registry eines anderen Computers im Netzwerk zuzugreifen und diese zu bearbeiten. Wählen Sie dazu im Registry-Editor das Menü DATEI/MIT NETZWERKREGISTRIERUNG VERBINDEN. Zunächst müssen Sie dann über die in
667
Sandini Bib
14 Die Registrierungsdatenbank
Abbildung 14.15 dargestellte Suchmaske den Zielcomputer auswählen. Für die Suche ist als Suchpfad standardmäßig die Arbeitsgruppe oder Domäne eingetragen, zu der der Computer gehört. Sie können jedoch über PFADE auch eine andere Arbeitsgruppe oder Domäne auswählen. Unter OBJEKTTYPEN ist der Eintrag COMPUTER vorgegeben – in anderen Objekten ergäbe die Suche nach einer Registry schließlich auch keinen Sinn. Im unteren Textfeld geben Sie den Namen des gesuchten Computers ein. Klicken Sie auf den Link BEISPIELE, um sich anzusehen, in welcher Form der Computername angegeben werden kann. Alternativ können Sie auch die IPAdresse des Computers eintragen. Abbildung 14.15: Auswahl des Netzwerkcomputers zum Bearbeiten der Registry
Nachdem Sie den Computer ausgewählt haben, müssen Sie sich gegebenenfalls an diesem mit einem Benutzernamen und einem Kennwort authentifizieren. Dieses Benutzerkonto muss auf dem Netzwerkcomputer über Administratorberechtigungen verfügen. Danach können Sie auf diesem Computer die Registry bearbeiten. Beachten Sie unbedingt diesen Schritt
Haben Sie die Arbeiten an der Registry auf dem Netzwerkcomputer abgeschlossen, klicken Sie auf das Menü DATEI/VON NETZWERKREGISTRIERUNG TRENNEN. Damit wird verhindert, dass am Netzwerkrechner weitere Registry-Änderungen vorgenommen werden, die sich eigentlich wieder auf den lokalen Rechner beziehen sollten.
14.15 Weitere Programme zum Bearbeiten der Registry In den vorherigen Kapiteln haben Sie schon verschiedene Funktionen des Registry-Editors kennen gelernt. Dennoch gibt es eine Reihe weiterer Free- und Shareware-Programme, die für die Verwaltung der Registry interessant sind. Im Folgenden sehen Sie eine Übersicht über einige Programme. Die Liste erhebt jedoch keinen Anspruch auf Vollständigkeit.
668
Sandini Bib
Weitere Programme zum Bearbeiten der Registry
14.15.1 Problematik so genannter Registry-Cleaner Zunächst noch ein Wort zu den so genannten Registry-Cleanern. Diese werden oftmals mit dem Argument angepriesen, Windows XP zu verschlanken und somit eine Verbesserung der Performance zu bringen. Viele dieser Programme gehen dabei leider so weit, dass sie zwar viele Einträge aus der Registry löschen (einige betreiben schon fast einen Kahlschlag), aber in den wenigsten Fällen werden Sie einen Performance-Gewinn erzielen. Die Wahrscheinlichkeit ist wesentlich höher, dass Sie sich Probleme einhandeln, die aufgrund einer zu massiven Verschlankung entstanden sind. Wie soll eine Software zuverlässig und unfehlbar entscheiden können, ob ein bestimmter Registry-Schlüssel überflüssig ist oder nicht? Der beste Weg, seine Registry nicht von unerwünschten Schlüsseln befreien zu müssen, liegt bereits in der sorgfältigen Auswahl der zu installierenden Programme. Auf einer produktiven Maschine sollten Sie nur wirklich benötigte Programme installieren. Um Programme zu testen, die Sie wahrscheinlich doch wieder deinstallieren werden (und deren Deinstallationsroutinen nur zu gern Reste in der Registry hinterlassen), verwenden Sie einen Testrechner oder zumindest eine virtuelle Maschine.
14.15.2 Erunt Das Programm Erunt eignet sich für die Sicherung und Wiederherstellung der Registry. Die aktuelle Version ist 1.1g. Dieses Programm können Sie unter dem Link http://www.larshederer. homepage.t-online.de/erunt/ herunterladen. Es handelt sich dabei um Freeware. Es gibt eine deutsche und eine englische Sprachversion; die Dateigröße beträgt knapp 500 KB. Mit Erunt können Sie die Strukturdaten des Betriebssystems (siehe Kapitel 14.3) komfortabel aus Windows XP heraus sichern. Die entsprechenden Registry-Schlüssel werden an einem frei wählbaren Speicherort abgelegt. Mit Hilfe dieser gesicherten Dateien können Sie eine beschädigte Registry von DOS aus wieder herstellen – vorausgesetzt, die gesicherten Dateien befinden sich nicht auf einem NTFS-Datenträger und Erunt liegt auf einer Diskette und nicht nur auf dem System bereit. Neben der Arbeit über die GUI kann Erunt auch über eine BatchDatei mit Parametern aufgerufen werden. In Kombination mit dem Windows-Taskplaner können Sie regelmäßige Sicherungen der Registry durchführen.
669
Sandini Bib
14 Die Registrierungsdatenbank
14.15.3 NTREGOPT NTREGOPT ist ein Defragmentierungsprogramm für die Registry. Die aktuelle Version dieses Programms ist 1.1f. Sie können es ebenfalls unter dem Link http://www.larshederer.homepage.t-online.de/ erunt/ herunterladen. Auch dieses Programm ist Freeware und liegt in deutscher und englischer Sprache vor. Die Dateigröße beträgt knapp 150 KB. Im Laufe der Zeit werden die Registry-Dateien fragmentiert. Sie ver(sch)wenden dadurch zusätzlichen Speicherplatz und minimieren zudem die Systemleistung. Mit Hilfe von NTREGOPT werden die Registry-Dateien neu geschrieben und dadurch vollständig defragmentiert. Nachdem NTREGOPT seine Arbeit abgeschlossen hat, müssen Sie sofort den Computer neu starten, weil bei einem späteren Neustart alle nach Abschluss von NTREGOPT vorgenommenen Änderungen an der Registry verloren gehen.
14.15.4 Registry Backup Wie der Name schon sagt, ist Registry Backup ein Programm zur Sicherung der Registry. Sie können das Programm unter dem Link http://www.ascomp.net/ herunterladen. Für den privaten Gebrauch ist das Programm kostenlos. Es liegt in deutscher Sprache vor. Die Dateigröße beträgt 1,5 MB. Registry Backup unterstützt Sie dabei, zusammen mit der herkömmlich eingesetzten Backupsoftware die Programmeinstellungen und Konfigurationen zu sichern und wiederherzustellen. Sie können automatisch oder auch zeitgesteuert bestimmte Registry-Schlüssel sichern lassen. Die Dateien werden als .reg-Dateien der Version 4.00 und 5.00 gespeichert, sodass Sie diese auch ohne spezielle Wiederherstellungsoptionen wieder einspielen können (siehe Kapitel 14.11.2).
14.15.5 Registrar Lite Registrar Lite stellt einen eigenen Registry-Editor dar, der einen größeren Funktionsumfang bietet als der Windows-eigene Registry-Editor. Dieses Programm können Sie unter http://www.resplendence.com/ herunterladen. Es ist lediglich in englischer Sprache verfügbar, wobei es eine freie und eine Shareware-Version gibt.
670
Sandini Bib
Weitere Programme zum Bearbeiten der Registry
Dieser Editor bietet umfangreiche Zusatzfunktionen, wie z.B. Schlüssel und Werte mit Kommentaren versehen, farblich markieren oder Schlüssel und Werte zu Kategorien zuordnen. Zudem verfügt Registrar Lite über eine Adresszeile, eine Suchen/Ersetzen-Funktion sowie Import/Export- und Favoritenverwaltung.
14.15.6 Regmon Regmon ist ein Überwachungsprogramm für die Registry. Es steht zum Download unter dem Link http://www.sysinternals.com/nt w2k/source/regmon.shtml bereit. Die aktuelle Version ist 6.12. Regmon ist nur in englischer Sprache erhältlich. Es handelt sich um Freeware. Mit Hilfe von Regmon werden sämtliche Zugriffe auf die Registry in Echtzeit protokolliert. Auch Änderungen an der Registry werden aufgezeichnet. Die Einträge werden in eine permanente Protokolldatei geschrieben. Zusätzlich ist es möglich, Windows XP bereits beim Start zu überwachen. Dazu haben Sie die Möglichkeit, Regmon als den ersten zu ladenden Treiber einzurichten, sodass sämtliche Zugriffe weiterer Dienste und Prozesse protokolliert werden können.
14.15.7 Registry System Wizard Für den privaten Gebrauch ist der Registry System Wizard kostenlos. Sie können ihn unter http://www.winfaq.de/ herunterladen. Die Version ist in deutscher Sprache. Mit Hilfe des Registry System Wizard können Sie vordefinierte Registry-Schlüssel (ca. 500 Einstellungen am System) über eine GUI bearbeiten, anstatt die Änderungen über den Registry-Editor oder eine .reg-Datei vornehmen zu müssen. Zudem werden hier auch Erläuterungen zu den möglichen Einstellungen geboten. Die verschiedenen Einstellmöglichkeiten sind dabei nach Kategorien geordnet. Auch eine Sicherungsfunktion ist in diesem Programm enthalten.
14.15.8 Regsnap Das Programm Regsnap setzen Sie ein, um verschiedene Zustände der Registry miteinander zu vergleichen. Sie können eine kostenlose Demoversion unter dem Link http://lastbit.com/regsnap/ default.asp herunterladen. Die Vollversion ist jedoch kostenpflichtig. Die Software gibt es nur in englischer Sprache.
671
Sandini Bib
14 Die Registrierungsdatenbank
Mit Regsnap haben Sie die Möglichkeit, zwei oder noch mehr Zustände der Registry miteinander zu vergleichen. Dies ist auch möglich, wenn auf dem Computer, z.B. bei der Installation neuer Software, ein Neustart erforderlich wurde. Die Unterschiede zwischen den Zuständen werden wahlweise in einer .html- oder einer .reg-Datei ausgegeben.
672
Sandini Bib
15
Sicherheit unter Windows XP Stephanie Knecht-Thurmann
Dieses Kapitel beschäftigt sich mit dem breitgefächerten Feld der Sicherheit. Hierzu zählen nicht nur die Einrichtung eines komplexen Kennworts (das dann auch bitte nicht mit einem Post-it am Monitor befestigt wird), der Einsatz einer Firewall und die Installation einer Anti-Viren-Software oder die durchdachte Rechteverwaltung und eine regelmäßige Systemsicherung. Dies sind zwar alles wichtige Punkte, jedoch ist eine Sicherheitsstrategie weitaus komplexer. Als Einleitung finden Sie zunächst eine ausführliche Übersicht über die verschiedenen Sicherheitsrisiken, mit denen der Windows XP-Client konfrontiert werden kann. Mit Service Pack 2 wurden unter Windows XP verschiedene neue oder weiterentwickelte Sicherheitsmechanismen implementiert. Dazu zählen die folgenden Punkte: 왘
Das Sicherheitscenter Über diese zentrale Schaltstelle können die Sicherheitseinstellungen des Computers aufgerufen und bearbeitet werden.
왘
Die Windows-Firewall Die nun standardmäßig aktivierte Firewall schützt den Computer vor Risiken aus dem Internet und kann zusätzlich auch Netzwerkzugriffe einschränken.
왘
Internet Explorer und Outlook Express Hier wurden weitere Sicherheitseinstellungen zur Gefahrenabwehr implementiert. Neu ist auch der in den Internet Explorer integrierte Popupblocker, der das unkontrollierte Öffnen von Popup-Fenstern unterbindet. Auch Outlook Express hat weitere Sicherheitsmechanismen zur Abwehr gefährlicher E-MailAnhänge erhalten.
15.1
Sicherheitsrisiken im Überblick
Bevor es in den nächsten Kapiteln daran geht, Strategien aufzuzeigen, auf welche Weise Windows XP abgesichert werden kann, erhalten Sie zunächst einen nach Kategorien geordneten Überblick über verschiedene Sicherheitsrisiken.
673
Sandini Bib
15 Sicherheit unter Windows XP
15.1.1
Sicherheitsrisiken im Zusammenhang mit dem Internet
Die größte Gefahr stellen Internetbrowser dar, die es zulassen, dass aus dem Internet Programme wie Java-Applets, Cookies, Java Script- oder ActiveX-basierte Anwendungen heruntergeladen werden. Der unbedarfte Benutzer ist sich oftmals nicht der Gefahr bewusst, die mit einem derartigen heruntergeladenen Programm verbunden sein kann. Cookies Ein Cookie stellt ein relativ geringes Sicherheitsrisiko dar, ein potenzieller Angreifer erhält lediglich Informationen. Unter Cookies versteht man einen ursprünglich von Netscape entwickelten Mechanismus. Sobald ein Webbrowser auf eine Seite im Internet zugreift, wird dieser Zugriff normalerweise als ein neuer Zugriff gewertet. Werden hingegen von der Website Cookies auf den Computer des Internetbenutzers transferiert, so wird der Zugriff nicht mehr als neu bewertet, sobald der Benutzer zum zweiten Mal auf die Seite zugreift. Java Java ist eine Programmiersprache, die auf jeder Rechnerplattform lauffähig ist. Dazu ist lediglich eine Laufzeitumgebung, genauer gesagt die Java Virtual Machine, erforderlich. Diese Virtual Machine ist frei verfügbar. Sobald nun Java-Applikationen, JavaApplets oder Java-Skripte heruntergeladen werden, können diese auf dem Computer ein Sicherheitsrisiko darstellen. Es kann zu unbefugten Zugriffen auf die Computer-Ressourcen kommen. ActiveX ActiveX-Steuerelemente sind in Webseiten eingebettet und erscheinen dort für gewöhnlich als kleine, interaktive Grafik. Diese Steuerelemente werden vom Internet Explorer unterstützt. Der Benutzer hat praktisch keine Gelegenheit, den Binärcode der Steuerelemente zu betrachten und ist insofern auf die Ehrlichkeit des Seitenanbieters angewiesen. Auch über Zertifizierungsstellen ist kein 100%iger Schutz vor bösartigen ActiveX-Steuerelementen gewährleistet. MIME MIME steht für Multi-purpose Internet Mail Extension und kann besonders in E-Mails gefährlich werden. Beispielsweise kann in einer MIME-Nachricht von einem Rechner per Skript eine Datei angefordert und in ein Benutzerverzeichnis kopiert werden.
674
Sandini Bib
Sicherheitsrisiken im Überblick
CGI Die Abkürzung CGI steht für Common Gateway Interface. Hierbei handelt es sich um eine Schnittstellenspezifikation, über die ein Webbrowser dynamisch Daten aus einer Datenbank zusammenstellen kann, um daraus HTML-Code zu generieren. WWW Spoofing (Pishing) Das WWW-Spoofing (alias Pishing) beruht auf der Technik des Dieses URL-Rewriting. Dabei wird ein URL auf einen präparierten Web- Sicherheitsrisiko nimmt stetig zu server umgelenkt, der über eine nahezu identische Benutzeroberfläche verfügt wie der eigentliche Server, der hinter diesem URL steht. Besonders beliebt ist diese Methode bei Bankportalen oder anderen Seiten, bei denen der Benutzer sensible Daten wie Kontonummern, Pins oder Kreditkarteninformationen angibt. So ist es dem Angreifer möglich, eine Seite http://www.bank.de auf die gefälschte Seite http://www.angreifer.de/www.bank.de umzuleiten. Der Benutzer kann anhand der Statusanzeige des Browsers sehen, auf welcher Seite er sich tatsächlich befindet.
15.1.2
Import von gefährlichem Programmcode
Unter gefährlichem Programmcode werden verschiedene Gefahrenpotenziale wie Dialer, Viren oder Trojaner zusammengefasst, die beispielsweise per E-Mail auf den Computer gelangen und dort Schaden anrichten können. Die Höhe des Schadens ist dabei abhängig von dem hinter dem Programm stehenden Code. Dialer Ein Dialer (Einwahlprogramm) ist ein Programm, das über ein analoges oder ein ISDN-Gerät eine ungewollte Verbindung zum Internet herstellt. Es gibt außer den von den Internetprovidern bereitgestellten Einwahlprogrammen auch Dialer, die ohne Wissen des Benutzers Verbindungen zu ominösen 0190-Nummern aufbauen, wobei ein hohes Entgelt als Verbindungskosten anfällt. Oftmals installiert und konfiguriert sich der Dialer als neue Standardverbindung auf dem System. Zuweilen werden auch ungewollte Verbindungen hergestellt. Ist der Dialer entdeckt, ist die Deinstallation oft nur mit speziellen Tools möglich. Lediglich für DSL-Benutzer besteht die Gefahr von Dialern nicht, sofern nicht noch ein analoges Gerät als redundante Verbindung eingerichtet ist. Ein Dialer kann zwar downgeloadet werden, hat aber keinerlei Wirkung auf dem System.
675
Sandini Bib
15 Sicherheit unter Windows XP
Würmer Ein Wurm ist ein Programm, das sich selbst kopiert und über das Netz weiterverbreitet. Ein Wurm agiert im Gegensatz zu einem Virus unabhängig. Um von einem Netz in das nächste zu gelangen, nutzt ein Wurm Sicherheitslücken des Systems aus. Viren Ein Virus ist ein sich selbst replizierendes Programm. Er kann auch in Trojanischen Pferden versteckt sein und erst zu einem festgelegten Zeitpunkt Schaden anrichten (Zeitbombeneffekt). Ein Virus kann ein bestimmtes Programm und durch Eigenkopie weitere Programme befallen. Er besteht aus einer bestimmten Codesequenz, wodurch das Erkennen des Virus durch einen Virenscanner möglich wird. Viren werden unterschieden in transiente und residente Viren. Ein transienter Virus bzw. dessen Code wird beendet, sobald das davon befallene Programm geschlossen wird. Ein residenter Virus bleibt auch beim Schließen der Applikation im Speicher aktiv. Der Virus wird grundsätzlich mit denselben Benutzerrechten ausgeführt wie das befallene Programm. Verfügt es über Administrator-Berechtigung, kann beträchtlicher Schaden angerichtet werden. Trojanische Pferde Trojanische Pferde oder auch kurz Trojaner werden eingesetzt, um Informationen, insbesondere Kennwortinformationen, auf dem Computer zu sammeln. So können die Benutzereingaben sämtlicher Login-Prozesse aufgezeichnet und an den Urheber des Trojanischen Pferdes weitergeleitet werden. Trapdoors Bei Trapdoors (deutsch: Hintertüren oder Falltüren) wird eine Sicherheitslücke genutzt, um einen bestehenden Sicherheitsmechanismus auszuhebeln und in den Besitz weiterer Berechtigungen zu kommen.
15.1.3
Angriffe auf das Authentifizierungssystem
Sämtliche Aktionen, bei denen Kennwörter bei der OnlineAuthentifizierung im Klartext gesendet werden, sind von den folgenden Gefahren betroffen.
676
Sandini Bib
Neues Feature unter Windows XP
Erraten von Kennwörtern Zum Erraten von Kennwörtern werden vom Angreifer in aller Regel elektronische Wörterbücher verwendet. Dabei wird das Kennwort des Benutzers mit den Wörterbucheinträgen verglichen. Ein Benutzerkennwort ist potenziell unsicher, wenn es sich über ein Wörterbuch finden lässt. Durch das Fehlverhalten des Benutzers, ein unsicheres Kennwort zu wählen, kann der Angreifer Zugriff auf die Ressourcen des Computers erlangen. Lauschangriff Werden Kennwörter im Klartext über das Netzwerk gesendet, besteht die Gefahr, dass diese über einen Lauschangriff abgehört werden können. Insbesondere bei Broadcast-Netzen ist die Gefahr sehr hoch. Da Lauschangriffe nicht durch Protokollierungsmechanismen erkennbar sind, bleiben sie vielfach unentdeckt.
15.2
Neues Feature unter Windows XP
Durch die Installation des Service Pack 2 erhalten Sie im Infobereich Das Sicherheitsder Taskleiste ein zusätzliches Icon WINDOWS-SICHERHEITSWAR- center NUNGEN (siehe Abbildung 15.1), das Sie über mögliche Sicherheitsrisiken auf dem Computer informiert, beispielsweise wenn noch keine Antivirensoftware installiert ist. Doppelklicken Sie dieses Symbol, um in das Sicherheitscenter zu gelangen. Sie können das Sicherheitscenter auch über die Systemsteuerung aufrufen.
Nachdem Sie das Sicherheitscenter aufgerufen haben (siehe Abbildung 15.2), sehen Sie dort eine Übersicht über den Status der drei wichtigsten Sicherheitseinstellungen: Firewall, Automatische Updates und Virenschutz. Korrekt angewendete Sicherheitsmaßnahmen sind dort in grün gekennzeichnet (im Bild die FIREWALL), zu bearbeitende Einträge in gelb (im Bild die AUTOMATISCHEN UPDATES), und fehlende Elemente sind in rot dargestellt (im Bild der VIRENSCHUTZ).
Abbildung 15.1: Das Icon-Sicherheitswarnungen informiert, wenn Sicherheitsrisiken auf dem Computer aufgedeckt werden.
Um auf eines der Elemente zur weiteren Konfiguration zuzugreifen, klicken Sie auf den jeweiligen Abschnitt. Die verschiedenen Optionen werden Ihnen jeweils in einem separaten Kapitel vorgestellt.
677
Sandini Bib
15 Sicherheit unter Windows XP Abbildung 15.2: Überblick über das Windows XPSicherheitscenter
15.3 Mit SP2 verbessert und erweitert
Die Windows-Firewall
Die in Windows XP integrierte Firewall wurde im Rahmen von Service Pack 2 (SP2) stark verbessert. Vor SP2 konnten Sie die Firewall lediglich für Internetverbindungen (InternetverbindungsFirewall) konfigurieren. Die neue Firewall wurde erweitert und kann nun auch Zugriffe innerhalb des Netzwerks verhindern. In der Standardeinstellung ist die neue Firewall für alle Netzwerkverbindungen aktiviert. Es wird also die Sicherheitsphilosophie vertreten, zunächst einmal sämtliche Zugriffsmöglichkeiten zu schließen und diese dann erst vom Benutzer angepasst Schritt für Schritt wieder zu öffnen. Dieses Verfahren ist sicherlich effektiver als eine zunächst geöffnete Firewall, die vom Benutzer nach und nach geschlossen werden muss. Hierbei ist die Gefahr wesentlich höher, dass Einstellungen übersehen werden und somit ein Risiko bestehen bleibt.
678
Sandini Bib
Die Windows-Firewall
15.3.1
Wie arbeitet eine Firewall?
Bei einer Firewall kann es sich sowohl um eine Software-Firewall als auch um eine Hardware-Firewall handeln. Beispiele für SoftwareFirewalls sind der ISA-Server (Internet Security and Acceleration Server) von Microsoft oder die in Windows XP integrierte Firewall. Zur Erhöhung des Schutzes können in einem Unternehmen auch Hardware- und Software-Firewalls miteinander gekoppelt werden. Die Firewall schützt ein privates Netzwerk, also beispielsweise ein Unternehmensnetzwerk, vor dem öffentlichen Netzwerk, z.B. dem Internet. So wird die direkte Kommunikation zwischen den Computern des Netzwerks mit einem Computer außerhalb des Netzwerks und umgekehrt verhindert. Von der Firewall werden sämtliche Zugriffe zunächst geprüft und erst danach weitergeleitet, wenn sie nicht als Angriffsversuch erkannt werden. Eine Firewall protokolliert sämtliche Zugriffsversuche, zu denen die IP-Adresse des Computers sowie die zugehörigen Befehle verzeichnet werden. Im Gegensatz zu einer Hardware-Firewall, bei der ein Gerät an zentraler Stelle im Netzwerk den Verkehr überwacht, wird die Windows-Firewall auf jedem Client separat ausgeführt und dort konfiguriert.
15.3.2
Die integrierte Windows-Firewall
Windows XP verfügt über eine integrierte Software-Firewall zum Schutz der Internetverbindung. Zusätzlich können über die Firewall auch Netzwerkzugriffe überwacht werden. Besonders sinnvoll ist der Einsatz der Firewall, wenn Sie eine gemeinsam genutzte Internetverbindung eingerichtet haben. Sie sollten die Firewall auf allen Computern einrichten, die über eine direkte Internetverbindung verfügen. Dabei ist es unerheblich, ob die Verbindung über ein DSL- oder ein DFÜ-Modem hergestellt wird. Jedoch sollten Sie die Firewall nicht für eine VPN-Verbindung aktivieren. Sie können in der Liste der Netzwerkverbindungen erkennen, ob für eine Verbindung die Firewall aktiviert ist. Im Bereich DETAILS des Fensters NETZWERKVERBINDUNGEN sehen Sie dann den Hinweis MIT FIREWALL. Funktionsweise der Windows-Firewall Die Windows-Firewall überwacht den Datenverkehr zwischen dem Internet und dem privaten Netzwerk bzw. dem Computer. Dabei werden die Quell- und Zieladressen der Nachrichten überprüft. Man bezeichnet die Internet Connection Firewall (ICF) auch
679
Sandini Bib
15 Sicherheit unter Windows XP
als statusbehaftete Firewall. Zur Prüfung benutzt ICF eine spezielle Tabelle, in der die gesamte Kommunikation des Computers enthalten ist (bei Verwendung des Internet Connection Sharing (ICS) ist darin die Kommunikation sämtlicher angeschlossenen Computer enthalten). Sobald aus dem Internet ein Kommunikationsversuch gestartet wird, wird in der Tabelle nachgesehen, ob die Kommunikationsanforderung von dem Computer mit ICF (bzw. von einem per ICS angeschlossenen Computer) ausging. Ist dies der Fall, darf der Datenstrom passieren; anderenfalls wird die Kommunikation blockiert, da sie als unaufgefordert angesehen wird. Sobald ein Kommunikationsversuch blockiert wurde, wird ein Eintrag in das Sicherheitsprotokoll der ICF vorgenommen. Weitere Meldungen erhält der Benutzer zur Laufzeit nicht. Hinweise zum Einsatz der Windows-Firewall Wie bereits erwähnt, sollten Sie die Windows-Firewall auf jedem Computer aktivieren, der über eine direkte Internetverbindung verfügt. Bei Computern hingegen, die ihre Internetverbindung über eine gemeinsam genutzte Internetverbindung (ICS) herstellen, ist die Firewall nicht sinnvoll, weil es zu Problemen oder sogar Unterbrechungen bei der Kommunikation mit anderen Computern im Netzwerk kommen kann. Deshalb ist es auch nicht möglich, über den Netzwerkinstallationsassistenten ICF für die Verbindung zwischen dem ICS-Host und den ICS-Clients zu konfigurieren. Achten Sie darauf, dass im Netzwerk auch diejenigen Computer mit ICF versehen werden, die ihre Verbindung via ICS herstellen, aber über Hardware zur Herstellung einer eigenen Internetverbindung verfügen. Da die ICF lediglich verbindungsorientiert arbeitet, kann sie nicht erkennen, wenn auf einem der ICS-Clients nicht ICS, sondern eine eigene Verbindung genutzt wird. Hier könnten Sicherheitslücken im Netzwerk entstehen. Kombination mit einer HardwareFirewall
Weiterhin muss die Windows-Firewall aktiviert werden, wenn im Netzwerk bereits eine andere Hardware- oder Software-Firewall eingesetzt wird. Auch wenn Sie einen Proxy-Server einsetzen, ist die Firewall theoretisch überflüssig. Dennoch ist die Kombination der Windows-Firewall mit einem anderen Produkt sinnvoll, um so redundante Schutzmechanismen zu erzielen. Bedenken Sie auch, dass Sie freigeschaltete Dienste und Anwendungen auf jedem Computer mit der Windows-Firewall separat angeben müssen.
680
Sandini Bib
Die Windows-Firewall
15.3.3
Einrichten der Windows-Firewall
Die Windows-Firewall können Sie direkt von der Systemsteuerung aus aufrufen. Alternativ können Sie die Firewall auch über die EIGENSCHAFTEN einer Netzwerk- oder DFÜ-Verbindung aufrufen. Wechseln Sie dort auf die Registerkarte ERWEITERT und klicken auf EINSTELLUNGEN im Abschnitt WINDOWS-FIREWALL. Sie erhalten damit ein Übersichtsfenster (siehe Abbildung 15.3). Der aktuelle Status der Firewall-Einstellungen für den Computer wird oben auf der Seite angezeigt. Generell können Sie für die Firewall den Zustand AKTIV (EMPFOHLEN) oder INAKTIV (NICHT EMPFOHLEN) auswählen. Bestätigen Sie diese Grundauswahl mit OK. Abbildung 15.3: Das Hauptfenster der WindowsFirewall
Ist die Firewall aktiviert, können Sie zusätzlich noch festlegen, ob bestimmte Ausnahmen für eingehende Netzwerkverbindungen zugelassen werden sollen, so z.B. die Datei- und Druckfreigabe. Diese Einstellungen werden über die Registerkarte AUSNAHMEN vorgenommen (siehe Abbildung 15.4). Haben Sie jedoch die Checkbox KEINE AUSNAHMEN ZULASSEN aktiviert, so werden sämtliche Einstellungen auf der Seite AUSNAHMEN ignoriert. Diese Checkbox können Sie beispielsweise temporär aktivieren, wenn Sie eine Verbindung von einem potenziell weniger sicheren Netzwerk aus herstellen.
681
Sandini Bib
15 Sicherheit unter Windows XP
Auf der Seite AUSNAHMEN werden standardmäßig vier Programme vorgeschlagen, für deren Zugriffsversuch Sie das Blockieren durch die Firewall verhindern können. Möchten Sie für eines dieser Programme den Zugriff gestatten, so markieren Sie die entsprechende Checkbox. Um weitere Programme hinzuzufügen, klicken Sie auf PROund wählen die entsprechende Applikation aus. Weiterhin können Sie auch bestimmte Ports selektieren. Klicken Sie dazu auf PORT und geben dann den Namen sowie die TCP- oder UDPPortnummer an. Darüber hinaus kann ein Eintrag in der Liste auch modifiziert werden. Klicken Sie dazu auf BEARBEITEN. GRAMM
Abbildung 15.4: Auf der Registerkarte Ausnahmen werden eingehende Netzwerkverbindungen ausgewählt, die nicht von der Firewall blockiert werden sollen.
Auf jeder Konfigurationsseite für PROGRAMM, PORT und BEARBEITEN befindet sich die Schaltfläche BEREICH ÄNDERN. Im gleichnamigen Fenster (siehe Abbildung 15.5) haben Sie drei verschiedene Möglichkeiten, den Bereich der Computer zu bestimmen, deren Zugriff über eine Applikation, einen Dienst oder einen Port nicht blockiert wird. Mit der ersten Option ALLE COMPUTER (EINSCHLIEßLICH DER IM INTERNET) geben Sie den Zugriff für jeden beliebigen Computer frei, was ein Risiko trotz der aktivierten Firewall darstellt. Voreingestellt ist die Option NUR FÜR EIGENES NETZWERK (SUBNETZ). Dadurch haben nur die Computer desselben Subnetzes Zugriff auf den Computer. Über die BENUTZERDEFINIERTE LISTE können Sie selbst die Computer auswählen, für die der Zugriff gestattet ist.
682
Sandini Bib
Die Windows-Firewall Abbildung 15.5: Festlegen des Bereichs, aus dem der ComputerZugriff nicht durch die Firewall blockiert wird
Auf der Registerkarte ERWEITERT (siehe Abbildung 15.6) können Sie noch einige zusätzliche Einstellungen vornehmen. Im Abschnitt NETZWERKVERBINDUNGSEINSTELLUNGEN sind alle Netzwerk- und DFÜ-Verbindungen des Computers aufgelistet. Um die Firewall für eine der Verbindungen zu deaktivieren, entfernen Sie das Häkchen aus der entsprechenden Checkbox. Durch das Deaktivieren der Firewall für eine Verbindung entfernen Sie den gesamten Schutzmechanismus. Alle Einstellungen bleiben jedoch gespeichert und müssen nicht wieder neu vorgenommen werden, wenn Sie später für die Verbindung die Firewall erneut aktivieren. Abbildung 15.6: Die Registerkarte Erweitert für zusätzliche FirewallEinstellungen
683
Sandini Bib
15 Sicherheit unter Windows XP
Klicken Sie bei einer der Verbindungen auf EINSTELLUNGEN, können Sie genauso wie für ICS bestimmte Dienste wie z.B. FTP oder SMTP auswählen, auf die der Internetbenutzer zugreifen darf (siehe Abbildung 15.7). Die Liste der Dienste kann ergänzt und bearbeitet werden. Abbildung 15.7: Die Auswahl der Dienste, auf die ein Zugriff erfolgen darf
Die Sicherheitsprotokollierung der Windows-Firewall Um herauszufinden, ob und wann die Windows-Firewall aktiv geworden ist, müssen Sie die Einträge des Sicherheitsprotokolls lesen. Dieses Protokoll wird wie auch die Protokolle weiterer Analyse-Tools im erweiterten W3C-Format erstellt. Standardmäßig ist die Sicherheitsprotokollierung der Windows-Firewall deaktiviert und muss erst aktiviert werden. Abbildung 15.8: Die Einstellungen für die Sicherheitsprotokollierung der ICF
684
Sandini Bib
Die Windows-Firewall
Um die Protokollierung zu aktivieren, klicken Sie auf der Registerkarte ERWEITERT auf SICHERHEITSPROTOKOLLIERUNG auf EINSTELLUNGEN. Sie erhalten das Fenster PROTOKOLLEINSTELLUNGEN (siehe Abbildung 15.8). Wählen Sie zunächst aus, ob verworfene Pakete und/oder erfolgreiche Verbindungen protokolliert werden sollen. Weiterhin können Sie den Namen, den Speicherort sowie die maximale Größe der Protokolldatei bestimmen. Standardmäßig heißt diese pfirewall.log und wird im Ordner WINDOWS angelegt. Übernehmen Sie die Einstellungen mit OK. Sobald die Datei die festgelegte Größe überschreitet, wird die alte Datei in pfirewall.log.1 umbenannt und ebenfalls im Ordner WINDOWS gespeichert, während wieder eine neue Datei mit dem Namen pfirewall.log geschrieben wird. Das Festlegen der maximalen Größe ist sinnvoll, um damit einen beispielsweise durch Dienstverweigerungsangriffe verursachten Protokollüberlauf zu verhindern. ICMP-Einstellungen Auf der Registerkarte ERWEITERT können Sie unter ICMP (Internet Control Message Protocol) das Verhalten der Firewall für verschiedene ICMP-Optionen wie z.B. EINGEHENDE ECHOANFORDERUNG ZULASSEN, NICHT VERFÜGBARES AUSGEHENDES ZIEL ZULASSEN usw. konfigurieren (siehe Abbildung 15.9). Eine Beschreibung der einzelnen Optionen finden Sie unten im gleichnamigen Bereich des Fensters. Abbildung 15.9: Die ICMPEinstellungen
685
Sandini Bib
15 Sicherheit unter Windows XP
Die Firewall und E-Mail-Programme Einige Worte sind noch über das Verhalten der Windows-Firewall im Zusammenspiel mit E-Mail-Programmen zu verlieren. Dies liegt daran, dass einige Programme regelmäßig den Mailserver abfragen, z.B. Outlook oder Outlook Express, während andere auf eine Benachrichtigung vom Server warten, z.B. Outlook 2000 in Verbindung mit Exchange. Outlook und Outlook Express prüfen selbstständig in vom Benutzer festgelegten Intervallen den Mailserver auf neue Nachrichten. Liegt eine neue Nachricht vor, wird der Benutzer benachrichtigt. Die Firewall lässt diese Benachrichtigung passieren, da sie von einem Computer hinter der Firewall ausging. Die ausgehende Outlook-Kommunikation wurde von der Firewall in die Tabelle eingetragen. Die Benachrichtigung des Mailservers wird mit diesem Eintrag in Zusammenhang gebracht, sodass diese an den Computer weitergeleitet wird. Einsatz von Outlook und Exchange
Setzen Sie hingegen beispielsweise Outlook 2000 in Verbindung mit Exchange ein, sieht die Sache ein wenig anders aus. Exchange benutzt RPC-Aufrufe (Remote Procedure Calls), um eine Benachrichtigung über neue Nachrichten an die Clients zu senden. In diesem Fall geht die Kommunikation von einem Exchange Server außerhalb der Firewall aus. Die Firewall findet keinen Anforderungseintrag in der Tabelle und leitet deshalb die Benachrichtigung nicht weiter, sondern löscht sie. Dies hat zur Folge, dass die Benutzer zwar Nachrichten senden und empfangen können, jedoch manuell über SENDEN/EMPFANGEN den Mailserver auf neue Nachrichten überprüfen müssen.
15.3.4
Gruppenrichtlinieneinstellungen für die Windows-Firewall
Ist der Windows XP-Computer Mitglied einer Domäne, so können auch verschiedene Gruppenrichtlinieneinstellungen für die Windows-Firewall definiert werden. Da diese Einstellungen auf dem Domänen-Controller vorgenommen werden müssen, erfolgt hier nur ein kurzer Überblick über die verschiedenen Möglichkeiten. Für weitere Hinweise zur Konfiguration von Gruppenrichtlinien sei auf die Dokumentation des Windows Server 2003/2000 verwiesen. Bevor diese neuen Richtlinieneinstellungen verfügbar sind, muss gegebenenfalls zunächst ein Hotfix installiert werden. Weitere Hinweise dazu finden Sie in Kapitel 13.
686
Sandini Bib
Automatische Updates
15.3.5
Weitere Software-Firewalls
Nach dem Prinzip „Doppelt hält besser“ kann neben der WindowsFirewall noch eine weitere Software-Firewall auf dem Windows XP-Client installiert werden. Es gibt eine Reihe von Software-Firewalls, die teils Freeware, teils aber auch kostenpflichtig sind. Die folgende Tabelle liefert Ihnen eine Übersicht über verschiedene Produkte sowie deren Bezugsquellen und Kosten. Produkt
Bezugsquelle
Norton
http://www.symantec.com/region/de/product/index_ smb.html Dort sind die Lösungen für verschiedene Unternehmensgrößen vorsortiert.
McAfee Desktop Firewall
http://www.mcafeesecurity.com/de/products/home.htm Kostenlos beim Kauf einer Antiviren-Lösung der Firma McAfee
Zone Alarm
http://www.zonelabs.com Freeware-Variante für Privatanwender, daneben eine Pro-Version sowie Zone Alarm mit integrierter AntivirenLösung
Sophos Enterprise Solutions
http://www.sophos.de/products/es/ Enthält u.a. eine Gateway- und Antivirenlösung.
Tabelle 15.1: Übersicht über verschiedene Software-Firewalls
Selbstverständlich kann die Windows-Firewall auch zusammen mit einer im Unternehmen implementierten Hardware-Firewall oder dem Microsoft ISA Server (Internet Security and Acceleration Server) eingesetzt werden. In einem solchen Szenario schützt die Hardware-Firewall bzw. der ISA Server das Netzwerk vor Angriffen von außen. Sofern die Gefahrenquelle jedoch von einem Client innerhalb des Netzwerks ausgeht, z.B. von einem Laptop, der von zu Hause oder einem anderen Netzwerk potenziell gefährliche Inhalte mitgebracht hat, kann über die WindowsFirewall der Schutz der übrigen internen Clients erfolgen.
15.4
Automatische Updates
Sobald Sie das Service Pack 2 installiert und den Computer neu gestartet haben, erhalten Sie die Möglichkeit, auf der Seite SCHÜTZEN SIE DEN COMPUTER DURCH DIE AUTOMATISCHEN UPDATES zu konfigurieren. Sie können die Konfiguration jedoch auch zu einem späteren Zeitpunkt aktivieren oder bearbeiten.
687
Sandini Bib
15 Sicherheit unter Windows XP
15.4.1
Konfiguration der Update-Optionen
Um die Konfigurationsoptionen für die automatischen Updates einzurichten, rufen Sie diese entweder über das Sicherheitscenter, über SYSTEMSTEUERUNG/AUTOMATISCHE UPDATES oder über die Eigenschaften des Arbeitsplatzes auf der Registerkarte AUTOMATISCHE UPDATES auf. Für den Download und die Installation der Updates stehen Ihnen verschiedene Optionen zur Verfügung (siehe Abbildung 15.10). Abbildung 15.10: Die Konfigurationsoptionen für die automatischen Updates
Sobald Sie die Option AUTOMATISCH (EMPFOHLEN) auswählen, wird zusätzlich das Auswahlfeld für den Download- und Installationszeitpunkt verfügbar. Sie können den Zeitpunkt entweder für täglich oder für jeweils einen bestimmten Wochentag wählen und dazu die gewünschte Stunde angeben. Sofern der Computer zum gewählten Zeitpunkt in Betrieb ist, werden die Updates automatisch downgeloadet und danach installiert. Etwaige Neustarts werden automatisch durchgeführt. Der Installationszeitpunkt sollte so gewählt werden, dass der Benutzer durch den Installationsprozess und einen eventuell erforderlichen Neustart nicht in seiner Arbeit gestört wird. Deshalb bietet sich ein Zeitpunkt außerhalb der regulären Arbeitszeit an. Werden die Rechner heruntergefahren, so können sie für die Update-Prozedur per Wake-on-LAN zum gewünschten Zeitpunkt wieder gestartet werden.
688
Sandini Bib
Automatische Updates
Ist der Computer zum angegebenen Zeitpunkt nicht eingeschaltet, werden der Download und die Installation automatisch durchgeführt, sobald er das nächste Mal hochgefahren wird. Wählen Sie die Option UPDATES HERUNTERLADEN, ABER INSTALLATIONSZEITPUNKT MANUELL FESTLEGEN, so wird in regelmäßigen Intervallen geprüft, ob neue Updates vorliegen. Ist dies der Fall, werden sie automatisch downgeloadet und der Benutzer wird über ein Icon im Infobereich der Taskleiste darüber informiert, dass die neuen Updates nun installiert werden können. Mit BENACHRICHTIGEN, ABER NICHT AUTOMATISCH HERUNTERLADEN ODER INSTALLIEREN wird lediglich in regelmäßigen Intervallen geprüft, ob neue Updates bereitstehen. Ist dies der Fall, wird der Benutzer ebenfalls informiert. Er kann jedoch selbst bestimmen, ob er den Download und die Installation sofort vornehmen möchte. Die Option AUTOMATISCHE UPDATES DEAKTIVIEREN sollten Sie nur dann anwenden, wenn die Updates stattdessen regelmäßig über die Microsoft Update-Website installiert werden. Über den angegebenen Link gelangen Sie direkt auf die entsprechende Seite.
15.4.2
Die Installation der Updates
Während die Updates installiert werden, können Sie im Infobereich das Icon anklicken, um den Status der Installation zu betrachten. Ist die Installation abgeschlossen, werden Sie darüber informiert. Ist ein Neustart erforderlich, können Sie diesen sofort oder zu einem späteren Zeitpunkt durchführen. Wird der Neustart nicht sofort ausgeführt, werden Sie später in regelmäßigen Abständen darüber informiert. Sie erhalten jeweils ein Popup-Fenster, das anbietet, den Neustart sofort oder automatisch in fünf Minuten durchzuführen. Brechen Sie dieses Fenster nicht ab, läuft der Countdown von fünf Minuten, bis der Neustart automatisch erfolgt.
15.4.3
Updates über Windows Update Services (WUS)
Bei dem eben beschriebenen Update-Verfahren bezieht jeder Client einzeln seine erforderlichen Updates direkt von Microsoft. Dies erfordert erhöhte Netzwerkkapazitäten, weil jeder Client eine eigene Verbindung herstellt sowie dieselben Updates auf jeden Rechner einzeln überträgt. Eine hilfreiche Funktion zur zentralen Steuerung der automatischen Updates stellt Microsoft mit den Windows Update Services (WUS) bereit. Hierbei handelt es sich um eine kostenlose Verwaltungskomponente, die auf einem Windows 2000 und 2003-Server ausgeführt werden kann.
Der WUS-Einsatz ist bereits ab zehn Clients sinnvoll
689
Sandini Bib
15 Sicherheit unter Windows XP
Beim Einsatz der WUS werden alle erforderlichen Updates nur einmalig auf den zentralen WUS-Server downgeloadet. Sie können die Betriebssysteme sowie die Sprachversionen auswählen, für die die Updates bezogen werden sollen. Weiterhin kann WUS auch für verschiedene Office- und Microsoft Server-Komponenten Updates bereitstellen. Zur Installation verbindet sich der Client nun nicht mehr mit dem Microsoft-Server im Internet, sondern mit dem WUS-Server im lokalen Netzwerk. Die WUS können Sie direkt bei Microsoft herunterladen. Die ClientKomponente, die auf jeder Arbeitsstation installiert werden muss, welche die WUS nutzen soll, ist darin ebenfalls enthalten. Weitere Hinweise finden Sie unter dem Link http://www.microsoft.com/ germany/ms/windowsserver2003/wus.htm.
15.4.4
Die Microsoft Update-Website
Sofern Sie die Installation der automatischen Updates deaktiviert haben und auch keine WUS einsetzen, sollten Sie in jedem Fall regelmäßig die Microsoft Update-Website besuchen. Über diese Seite können Sie Patches, Updatesund Treiber für Microsoft Windows und Office beziehen. Sie gelangen auf die Update-Website, indem Sie im Startmenü auf WINDOWS UPDATE klicken. Die Seite erreichen Sie auch direkt über den Link http://www.windowsupdate.microsoft.com. Sobald Sie diese Seite das erste Mal öffnen und das WindowsUpdate noch nie durchgeführt wurde, erhalten Sie das Fenster INTERNET EXPLORER-SICHERHEITSWARNUNG (siehe Abbildung 15.11). In diesem werden Sie aufgefordert, eine Applikation namens Windows Update zu installieren. Diese Datei ist über den Microsoft Windows Publisher signiert und erforderlich, damit das automatische Update durchgeführt werden kann. Klicken Sie auf INSTALLIEREN. Auch wenn eine neue Version des Update-Client vorliegt, werden Sie aufgefordert, diesen zu installieren. Abbildung 15.11: Aufforderung zur Installation des Windows UpdateClient
690
Sandini Bib
Automatische Updates
Nachdem auf der Seite die Version des Betriebssystems überprüft worden ist, haben Sie zwei verschiedene Installationsoptionen. Bei der SCHNELLINSTALLATION werden sämtliche wichtigen Updates für den Computer installiert. Über die BENUTZERDEFINIERTE INSTALLATION haben Sie zusätzlich die Möglichkeit, auch nach optionalen Updates, wie z.B. Treiber-Updates, zu suchen. Nachdem Sie eine Option ausgewählt haben, erscheint kurz das Statusfenster ES WIRD NACH VERFÜGBAREN UPDATES GESUCHT. Danach werden die wichtigen Updates aufgelistet, die unbedingt installiert werden sollten (siehe Abbildung 15.12). Hierbei handelt es sich durchweg um sicherheitsrelevante oder fehlerbeseitigende Patches. Möchten Sie einige der Patches nicht installieren, so deaktivieren Sie die jeweiligen Checkboxen. Anderenfalls klicken Sie entweder auf UPDATES INSTALLIEREN oder wechseln in den Bereich OPTIONALE SOFTWAREUPDATES AUSWÄHLEN oder OPTIONALE HARDWAREUPDATES AUSWÄHLEN, um noch zusätzliche Installationen durchzuführen.
Abbildung 15.12: Die Windows Update-Website zeigt die zu installierenden wichtigen Updates an.
691
Sandini Bib
15 Sicherheit unter Windows XP
Um zu einem Update nähere Informationen zu erhalten, klicken Sie auf den jeweiligen Namen. Zusätzlich können Sie die Checkbox DIESES UPDATE AUSBLENDEN markieren. Diese Option steht jedoch nicht für die wichtigen Updates zur Verfügung. Wenn Sie ein Update ausblenden, wird es in der Liste der verfügbaren Updates nicht mehr angezeigt. Sie können die ausgeblendeten Updates jedoch über den Link AUSGEBLENDETE UPDATES WIEDER AUFLISTEN und wieder anzeigen lassen. Einige Updates, wie z.B. Service Packs, müssen separat installiert werden. Sie finden in diesem Fall einen Hinweis darauf. Sollen noch weitere Updates installiert werden, müssen Sie nach Abschluss der Service Pack-Installation die Windows Update-Website erneut aufrufen und die weiteren Installationen durchführen. Im Bereich OPTIONALE SOFTWAREUPDATES AUSWÄHLEN sind Updates weiterer Windows-Komponenten, z.B. für den Media-Player oder das .NET-Framework, aufgelistet. Hierbei handelt es sich durchweg um nicht sicherheitsrelevante Updates. Unter OPTIONALE HARDWAREUPDATES AUSWÄHLEN können Sie aktualisierte Treiber für Ihre Hardware herunterladen. Prüfen Sie jedoch zuvor immer erst auf der Herstellerseite nach, ob dieser Treiber auch mit weiteren Anwendungen des Systems kompatibel ist. Haben Sie bereits einige der Patches installiert, können Sie unter INSTALLATIONSVERLAUF ANZEIGEN überprüfen, welche Installationen noch durchzuführen und welche bereits abgeschlossen sind. Unter EINSTELLUNGEN können Sie eine andere Sprache wählen, in der die Update-Website angezeigt werden soll.
15.4.5
Update-Installation beim Herunterfahren des Computers
Sofern Updates auf den Computer downgeloadet, aber noch nicht installiert worden sind, haben Sie beim Herunterfahren des Computers die zusätzliche Option UPDATES INSTALLIEREN UND DANACH HERUNTERFAHREN (siehe Abbildung 15.13). Diese Option wird standardmäßig gesetzt, wenn die Updates noch nicht installiert sind. Sie können jedoch auch jede andere verfügbare Option auswählen.
692
Sandini Bib
Der Microsoft Baseline Security Analyzer Abbildung 15.13: Die zusätzliche Option beim Herunterfahren des Computers, wenn die Updates noch nicht installiert sind
15.5
Der Microsoft Baseline Security Analyzer
Der Microsoft Security Baseline Analyzer (MBSA) ist ein kleines, Pflichtwerkaber sehr nützliches Zusatzprogramm, mit dem Sie Windows- zeug des Administrators basierte Computer auf diverse Sicherheitslücken und Angriffspotenzial hin überprüfen können. Für die Sicherheitsanalyse unter Windows XP mit Service Pack 2 benötigen Sie zwingend die Version 1.2.1 oder höher des MBSA. Diese können Sie unter dem Link http://www.microsoft.com/technet/security/tools/mbsahome.mspx kostenlos herunterladen. Mit Hilfe des MBSA können Sie sowohl den lokalen Computer als auch weitere Computer im Netzwerk überprüfen. Außer Windows XP-Clients können auch die folgenden Betriebssysteme geprüft werden: Windows Server 2003, Windows 2000 sowie Windows NT 4.0. Der MBSA sollte das Standardwerkzeug eines jeden Administrators zum Aufspüren von Sicherheitslücken auf den Computern im Netzwerk sein.
15.5.1
Durchführen der Sicherheitsanalyse
Nachdem Sie das Programm gestartet haben, wählen Sie zunächst den zu prüfenden Computer sowie die Prüfkriterien aus (siehe Abbildung 15.14).
693
Sandini Bib
15 Sicherheit unter Windows XP
Abbildung 15.14: Auswahl eines Computers für die Analyse durch den MBSA
Der Computer kann entweder mit seinem Namen oder seiner IPAdresse angegeben werden. Sollen mehrere Computer geprüft werden, so klicken Sie auf MEHRERE COMPUTER ZUR ÜBERPRÜFUNG WÄHLEN und geben entweder den Domänennamen an, sodass sämtliche Mitglieder geprüft werden, oder einen IP-Adressbereich. Weiterhin können Sie noch die Prüfkriterien bestimmen. Dazu haben Sie folgende Optionen: 왘
ÜBERPRÜFUNG AUF WINDOWS-ANFÄLLIGKEITEN In diesem Testbereich wird das Dateisystem ermittelt, es wird auf FAT/FAT32-Laufwerke hingewiesen. Weiterhin werden Freigaben, Dienste, Überwachungseinstellungen usw. analysiert.
왘
AUF SCHWACHE KENNWÖRTER ÜBERPRÜFEN Mit diesem Test werden die Kennwörter aller lokalen Benutzerkonten geprüft. Es wird ermittelt, ob es Kennwörter gibt, die nicht ablaufen, und ob einigen Benutzerkonten leere oder nicht komplexe Kennwörter zugeordnet sind.
왘
AUF IIS-ANFÄLLIGKEITEN ÜBERPRÜFEN Diese Prüfung sollte nur auf Windows-Servern aktiviert sein, auf denen der Webserver-Dienst Internet Information Services (IIS) ausgeführt wird. Für Windows XP können Sie diese Prüfung deaktivieren.
694
Sandini Bib
Der Microsoft Baseline Security Analyzer 왘
AUF SQL-ANFÄLLIGKEITEN ÜBERPRÜFEN Diese Prüfung sollte nur durchgeführt werden, wenn die MSDE (Microsoft SQL Server Desktop Engine) als Datenbank-Engine auf dem Windows XP-Computer ausgeführt wird. Auch auf einem SQL Server sollte dieses Prüfkriterium aktiviert sein.
왘
AUF SICHERHEITSUPDATES ÜBERPRÜFEN Durch diesen Test wird ermittelt, ob für das Betriebssystem die wichtigen und die optionalen Updates installiert sind. Auch die Überprüfung für Microsoft Office ist beinhaltet.
15.5.2
Auswerten der Prüfergebnisse
Nachdem der Test abgeschlossen wurde, erhalten Sie eine Auflistung der Ergebnisse (siehe Abbildung 15.15). Im oberen Bereich erhalten Sie allgemeine Hinweise zum geprüften Computer und unter SICHERHEITSBEWERTUNG ein zusammenfassendes Ergebnis zur Sicherheit des Computers. Weiterhin können Sie festlegen, in welcher Reihenfolge die Ergebnisse angezeigt werden sollen. Verwenden Sie dazu die Listbox SORTIERREIHENFOLGE. Dieses Gesamtergebnis setzt sich aus den Einzelergebnissen der verschiedenen Prüfungen zusammen. Je nachdem, mit welchem Ergebnis die Prüfung abgeschlossen wurde, erhalten Sie in der Spalte WERTUNG ein rotes, gelbes oder grünes Symbol. Das rote Kreuzchen weist auf schwerwiegende Risiken hin, das gelbe Kreuzchen auf leichtere Probleme, ein grünes Häkchen symbolisiert, dass kein Problem vorliegt. Liegt in der Spalte WERTUNG ein schwerwiegendes oder leichtes Problem vor, so finden Sie in der Spalte ERGEBNIS die beiden Links ERGEBNISDETAILS und VORGEHENSWEISE ZUR BEHEBUNG. Über den Link ERGEBNISDETAILS können Sie sich nähere Hinweise zu den Prüfungsergebnissen anzeigen lassen (siehe Abbildung 15.16). Im Beispiel werden die fehlenden Sicherheits-Updates auf dem Computer angezeigt. Auf diese Weise können Sie schnell ermitteln, ob die Patches auch wirklich korrekt auf dem Computer installiert worden sind. Ist dies bei einzelnen Computern nicht der Fall, sollten Sie in jedem Fall versuchen, die betroffenen Patches manuell nachzuinstallieren. In der Regel zeigt der MBSA für die fehlenden Patches sowohl die MS-Nummer (z.B. MS04-40) als auch die KB-Nummer (z.B. 889293) an. Weitere Hinweise zum Zuordnen dieser Nummern sowie Installationshinweise finden Sie unter dem Link http://www.microsoft.com/technet/security/current.aspx.
695
Sandini Bib
15 Sicherheit unter Windows XP
Abbildung 15.15: Ergebnis der Prüfung durch den MBSA
Abbildung 15.16: Die Ergebnisdetails nach der Prüfung durch den MBSA, hier die Prüfung auf Sicherheits-Updates
696
Sandini Bib
Der Microsoft Baseline Security Analyzer
Einige der Prüfungen können nur durchgeführt werden, wenn der Computer Mitglied einer Domäne ist. Bei der Mitgliedschaft in einer Arbeitsgruppe werden die Punkte ausgelassen. Dazu zählen: 왘
Automatische Anmeldung
왘
Kennwortablauf
왘
Überwachung
왘
Die Makrosicherheit kann nur geprüft werden, wenn ein Microsoft Office-Produkt installiert ist.
15.5.3
Einschränkungen für die RemoteÜberprüfung
Bei der Remote-Überprüfung durch den MBSA bedenken Sie die folgenden Punkte: 왘
Stellen Sie sicher, dass ein Zugriff auf die Registry des Computers möglich ist. Anderenfalls können die Informationen zu den Sicherheits-Updates nicht ausgelesen werden. Um die Sicherheits-Updates, die Makrosicherheit und die Internet ExplorerZonen prüfen zu können, muss auf dem Remotecomputer der Dienst Remote-Registrierung gestartet sein. Standardmäßig ist dieser auf die Startart MANUELL gesetzt. Starten Sie den Dienst vor Beginn der Prüfung – sonst erhalten Sie im Prüfergebnis eine entsprechende Fehlermeldung.
왘
Die Firewall-Überprüfung kann nicht remote durchgeführt werden.
왘
Die Sicherheitsprüfung für Microsoft Office kann nur auf dem lokalen Computer durchgeführt werden, jedoch nicht auf dem Remotecomputer.
Befindet sich ein zu überwachender Computer nicht in derselben Domäne wie der Computer, von dem die Prüfung ausgeht, so müssen Sie den MBSA in einem anderen Benutzerkontext starten. Legen Sie dazu zunächst ein Benutzerkonto auf dem MBSA-Rechner an, das auf dem zu prüfenden Computer vorhanden ist. Dieses Konto muss über administrative Berechtigungen verfügen. Anschließend starten Sie den MBSA über die Funktion RUNAS. Ist auf dem zu überprüfenden Computer ein Benutzer angemeldet, der nicht über administrative Berechtigungen verfügt, schlägt die Prüfung fehl.
697
Sandini Bib
15 Sicherheit unter Windows XP
15.6
Sicherheit im Internet Explorer
Ein weiteres großes Sicherheitsrisiko stellt der Internet Explorer dar. Das Ausmerzen von Sicherheitslücken geschieht im Rahmen der Windows Updates. Patches für den Internet Explorer gehören dort stets zur Kategorie wichtiger Updates, die immer installiert werden. In diesem Kapitel geht es nun um die Sicherheitseinstellungen, die am Internet Explorer vorgenommen werden können.
15.6.1
Einrichten von Internetzonen
Wie bereits in Kapitel 12 besprochen, wird der Internet Explorer nicht nur zum Aufrufen von Internetseiten benutzt. Aufgrund der vielfältigen Einsatzmöglichkeiten und deren Absicherung wurde im Internet Explorer das Konzept von Internetzonen implementiert. Man bezeichnet diese auch als Webinhaltszonen. Insgesamt werden dort vier dieser Zonen angezeigt. Es gibt jedoch noch eine versteckte fünfte Zone. Sie können diese Zonen einstellen, indem Sie in den INTERNETOPTIONEN auf die Registerkarte SICHERHEIT wechseln (siehe Abbildung 15.17). Für jede dieser Zonen können Sie bestimmte Websites hinzufügen und die Sicherheitseinstellungen modifizieren. Abbildung 15.17: Die vier verschiedenen Internetzonen
698
Sandini Bib
Sicherheit im Internet Explorer
Die vier aufgeführten Zonen haben die folgenden Bedeutungen: 왘
INTERNET Zu dieser Zone gehören sämtliche Websites, die keiner der anderen Zonen zugeordnet sind, also alle Seiten aus dem Internet. Hierbei handelt es sich um die größte Gruppe. Die Sicherheitseinstellung sollte für diese risikoreiche Gruppe möglichst hoch angesetzt werden. Allerdings besteht durch diese Einstellung auch die Gefahr, dass einige Seiten nicht mehr korrekt ausgeführt werden können.
왘
LOKALES INTRANET Hierzu zählen alle Websites des lokalen Intranet, ebenso aber auch im Intranet gespeicherte Websites. Sie können festlegen, welche Server und Freigaben in diese Zone miteinbezogen werden sollen. Theoretisch könnten für diese Zone weniger strenge Sicherheitseinstellungen konfiguriert werden. Sofern aber lokal gespeicherte Websites dazukommen, sollte die Sicherheit heraufgesetzt werden.
왘
VERTRAUENSWÜRDIGE SITES Hier werden die Seiten zusammengefasst, deren Herausgeber vertrauenswürdig ist, z.B. die Windows-Update-Seite oder die Portalseite des Internetbanking. Für diese Zone können Sie die Sicherheitseinstellungen etwas lockern, indem Sie beispielsweise signierte ActiveX-Komponenten zulassen.
왘
EINGESCHRÄNKTE SITES In dieser Zone sollten Sie die Seiten zusammenfassen, von denen eine erhöhte potenzielle Gefahr ausgeht. Für diese Zone sollten maximale Sicherheitseinstellungen gelten.
Um eine bestimmte Website zu der Zone VERTRAUENSWÜRDIGE SITES oder EINGESCHRÄNKTE SITES hinzuzufügen, markieren Sie die Zone und klicken auf SITES. Dort können Sie die Adressen der gewünschten Seiten hinzufügen und wieder entfernen. Für die Zone VERTRAUENSWÜRDIGE SITES können Sie zusätzlich noch bestimmen, dass nur Seiten mit einer Server-Prüfung (HTTPS) möglich sind. Für die Zone LOKALES INTRANET können Sie definieren, welche Websites des Intranet in diese Zone aufgenommen werden sollen (siehe Abbildung 15.18). So können die Intranetseiten, die nicht zu anderen Zonen gehören, Netzwerkpfade und Seiten, die keinen Proxy-Server verwenden, in diese Zone aufgenommen werden.
699
Sandini Bib
15 Sicherheit unter Windows XP Abbildung 15.18: Konfigurationsoptionen für die Zone Lokales Intranet
Zur Zone INTERNET können Sie keine Seiten hinzufügen. Zu dieser Zone gehören automatisch alle Seiten, die keiner der anderen Zonen zugeordnet sind. Wie schon erwähnt, gibt es noch eine zusätzliche fünfte Zone namens ARBEITSPLATZ. Diese deckt sämtliche lokal auf dem Computer gespeicherten Webinhalte ab. Für die auf dem Computer gespeicherten Skripte und ActiveX-Controls gelten die Sicherheitseinstellungen dieser Zone. Um diese Einstellungen ändern zu können, müssen Sie die Zone zunächst auf der Registerkarte SICHERHEIT anzeigen. Führen Sie dazu die folgenden Schritte aus: 1. Öffnen Sie in der Registry den Schlüssel HKEY_CURRENT_ USER\Software\Microsoft\Windows\CurrentVersion\Internet Stettings\Zones\0. 2. Der Wert Flags vom Typ DWORD ist auf 33 dezimal bzw. 21 hexadezimal gesetzt. Ändern Sie diesen Wert auf 1 (dezimal) ab. 3. Starten Sie den Computer neu. Die neue Zone ARBEITSPLATZ kann nun wie die übrigen Zonen bearbeitet werden. Die Sicherheitseinstellungen der Zonen ändern Im unteren Bereich der Registerkarte SICHERHEIT können Sie für jede Zone die Sicherheitseinstellungen anpassen. Standardmäßig ist für jede Zone bereits eine bestimmte Sicherheitsstufe vordefiniert. Diese können Sie aufrufen, indem Sie auf STANDARDSTUFE bei der jeweiligen Zone klicken. Es gibt die vier Einstellungen HOCH, MITTEL, NIEDRIG und SEHR NIEDRIG. Diese sind folgendermaßen zugeordnet: Tabelle 15.2: Übersicht über die Zonen und deren standardmäßige Sicherheitseinstellungen
700
Zone
Stufe
Internet
Mittel
Lokales Intranet
Niedrig
Vertrauenswürdige Sites
Sehr niedrig
Eingeschränkte Sites
Hoch
Arbeitsplatz
Keine Standardstufe, diese muss benutzerdefiniert angepasst werden.
Sandini Bib
Sicherheit im Internet Explorer
Um die Sicherheitseinstellungen der Zone zu ändern, können Sie entweder über den Schieberegler eine andere Stufe wählen oder auf STUFE ANPASSEN klicken, um benutzerdefinierte Einstellungen vorzunehmen. Sind für eine Zone benutzerdefinierte Einstellungen vorgenommen worden, sehen Sie anstelle des Schiebereglers den Vermerk BENUTZERDEFINIERT. Die Einstellungen nehmen Sie im Fenster SICHERHEITSEINSTELLUNGEN (siehe Abbildung 15.19) vor.
Abbildung 15.19: Die benutzerdefinierten Sicherheitseinstellungen für eine Internetzone
Die wichtigsten hier möglichen Einstellungen werden in den folgenden Kapiteln näher erläutert. Die Einstellungen des Fensters SICHERHEITSEINSTELLUNGEN gelten jeweils nur für die ausgewählte Zone. Um sämtliche Internetzonen zu konfigurieren, müssen Sie also nacheinander alle Zonen aufrufen und alle Einstellungen vornehmen. Globale Sicherheitseinstellungen für den Internet Explorer nehmen Sie auf der Registerkarte ERWEITERT der INTERNETOPTIONEN vor. Diese Einstellungen gelten gleichermaßen für alle Zonen.
15.6.2
ActiveX-Einstellungen
Sobald Sie generell das Ausführen von ActiveX-Steuerelementen blockieren, werden Sie schnell feststellen, dass eine Reihe von Seiten, wie z.B. die Windows-Update-Website, derartige Steuerelemente benötigt und ohne diese nicht korrekt funktioniert. Sie sollten deshalb den Internet Explorer so konfigurieren, dass Sie
701
Sandini Bib
15 Sicherheit unter Windows XP
vor der Installation einer ActiveX-Komponente gefragt werden, ob diese installiert werden soll (siehe Abbildung 15.20). Abbildung 15.20: Die Sicherheitswarnung vor der Installation einer ActiveXKomponente
Um zusätzliche Informationen über die Signatur der Komponente zu erhalten, klicken Sie auf den entsprechenden Link in dem Fenster. ActiveX-Steuerelemente ausführen, die für Scripting sicher sind Beim Erstellen eines ActiveX-Steuerelements kann der Autor bestimmen, ob dieses in Bezug auf die in der Website enthaltenen Skripte sicher ist oder nicht. Ein Steuerelement ist unsicher, wenn es beispielsweise Befehle enthält, um auf Dateien oder die Registry zuzugreifen. Da wie gesagt die Spezifikation, ob es sich um ein sicheres oder unsicheres Steuerelement handelt, von dessen Autor bestimmt wird, ist natürlich das Gefahrenpotenzial hoch, dass ein unsicheres Steuerelement vom Autor als sicher deklariert wird. Ob Sie diese Steuerelemente aktivieren, deaktivieren oder nach einer Eingabeaufforderung darüber entscheiden möchten, stellen Sie auf der Seite SICHERHEITSEINSTELLUNGEN unter ACTIVEX-STEUERELEMENTE AUSFÜHREN, DIE FÜR SCRIPTING SICHER SIND ein. Für die Zonen INTERNET UND EINGESCHRÄNKTE SITES sollten Sie die Funktion deaktivieren. Für VERTRAUENSWÜRDIGE SITES kann die Funktion aktiviert werden. Lassen Sie sich jedoch von der Funktion des Deaktivierens nicht in die Irre führen. Sie besagt lediglich, dass das Steuerelement nicht von einem in der Website enthaltenen Skript gesteuert werden kann. Der Aufruf über VBScript oder JScript ist damit unterbunden. Allerdings ist dieser Schutzmechanismus ausgehebelt, wenn der Autor das Skript als sicher deklariert hat.
702
Sandini Bib
Sicherheit im Internet Explorer
ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind Diese Funktion können Sie ebenfalls aktivieren, deaktivieren oder sich eine Eingabeaufforderung ausgeben lassen. Diese Einstellung bezieht sich auf alle ActiveX-Steuerelemente, die der Autor als nicht sicher deklariert hat. Hier ist die Initialisierung mit aufgenommen, da diese bereits auf dem Computer Schaden anrichten kann. Für die Zonen EINGESCHRÄNKTE SITES UND INTERNET sollten Sie die Funktion deaktivieren und die Adresse der Seiten, für die ein unsicheres Steuerelement erforderlich ist und auch keinen Schaden anrichtet (z.B. Online-Virenscan), zu den vertrauenswürdigen Sites hinzufügen. Für die Zone sollten Sie die Eingabeaufforderung wählen. ActiveX-Steuerelemente und Plug-Ins ausführen Über diese Einstellung wird festgelegt, ob ActiveX-Steuerelemente und Plug-Ins für den Internet Explorer verfügbar sind. Ist die Funktion deaktiviert, kann es z.B. beim Acrobat Reader oder bei Office-Dokumenten, die im Browser angezeigt werden, zu Problemen kommen. Die Funktion sollte deshalb nur für die Eingeschränkte Zone deaktiviert werden. Download von signierten ActiveX-Steuerelementen Unter einem signierten Steuerelement versteht man den Umstand, dass dessen Autor durch Signatur und Zertifikat ausweisbar ist. Diese Signatur sagt zwar nichts über die Sicherheit aus, aber ein Anbieter, der sich beispielsweise über ein VeriSignZertifikat ausweist, wird wohl kaum einen Virus o. Ä. verbreiten. Am besten ist es, für die Zonen INTERNET und VERTRAUENSWÜRDIGE SITES die Option EINGABEAUFFORDERUNG zu wählen. Download von unsignierten ActiveX-Steuerelementen Bei den unsignierten Steuerelementen kann sich der Urheber nicht ausweisen. Diese Elemente stellen eine potenziell höhere Gefahr dar als die signierten. Deshalb sollte für sämtliche Zonen die Einstellung DEAKTIVIEREN gewählt werden.
15.6.3
Skripte und Java
Weitere Sicherheitsvorkehrungen sind für Skripte und Java-Applets zu treffen. Java-Applets sind in Websites integriert und stellen Zusatzfunktionen bereit, z.B. für Bildbetrachtung usw. Für die Ausführung der Java-Applets wird die Java Virtual Machine genutzt, die auch die Kontrolle über Zugriffe auf das Betriebssystem übernimmt.
703
Sandini Bib
15 Sicherheit unter Windows XP
Die Java Virtual Machine ist nicht Bestandteil des Windows XPBetriebssystems bzw. des Internet Explorer 6.0. Eine aktuelle Version der Java Virtual Machine können Sie direkt vom Hersteller Sun oder von Microsoft herunterladen. Java Virtual Machine Die Einstellungen für die Virtual Machine werden in der Sektion MICROSOFT VM vorgenommen. Für die EINGESCHRÄNKTE ZONE sollte JAVA DEAKTIVIEREN gewählt werden. Für die vertrauenswürdige Zone und das Internet sollten Sie die MITTLERE SICHERHEIT bzw. HOHE SICHERHEIT einstellen. Haben Sie die Auswahl Benutzerdefiniert getroffen und klicken auf JAVA-EINSTELLUNGEN, erhalten Sie ein zusätzliches Konfigurationsfenster (siehe Abbildung 15.21), in dem die Einstellungen detaillierter festgelegt werden können. Abbildung 15.21: Die erweiterten Java-Einstellungen im Internet Explorer
Skripte Sämtliche nachfolgend beschriebene Skript-Optionen sind automatisch deaktiviert, wenn für eine Zone die Sicherheitsstufe Hoch gewählt worden ist. Weiterhin können im Internet Explorer auch Skripte ausgeführt werden, die in den Skriptsprachen VBScript oder JScript (JavaScript) abgefasst sind. Diese Art von Skripten ist in den HTML-
704
Sandini Bib
Sicherheit im Internet Explorer
Quelltext eingebettet und wird im Internet Explorer ausgeführt. Die folgenden Angaben beziehen sich nicht auf serverbasierte Skripte wie cgi-Skripte. Über Skripte werden zahlreiche Funktionen gesteuert. Diese reichen von der Navigationsfunktion auf der Website über das Öffnen von Popup-Fenstern bis hin zum Öffnen neuer Seiten in neuen Fenstern. Allerdings ist ein generelles Abschalten der Skriptfunktion auch keine Lösung, weil dadurch zahlreiche Internetseiten nicht mehr richtig angezeigt werden können. Setzen Sie die Einstellung EINGABEAUFFORDERUNG, so werden Sie sich spätestens nach fünf Minuten Aufenthalt im Internet ärgern, wenn Sie jedes Mal das Ausführen eines Skripts genehmigen müssen. Da selbst bei der Eingabeaufforderung dem Benutzer nicht offensichtlich ist, welche Skriptbefehle aufgerufen werden, ist diese Variante auch nicht unbedingt als Schutzmechanismus geeignet. Im Abschnitt SCRIPTING der Sicherheitseinstellungen sind die folgenden Optionen am besten praktikabel: 왘
ACTIVE SCRIPTING Für die EINGESCHRÄNKTE ZONE sollte die Funktion auf jeden Fall deaktiviert sein; für die INTERNETZONE muss individuell entschieden werden, ob ein Funktionsverlust durch Deaktivieren schwerer wiegt als ein potenzielles Sicherheitsrisiko durch Aktivieren. Nur für die vertrauenswürdigen Websites sollte Active Scripting aktiviert werden.
왘
EINFÜGEOPERATIONEN ÜBER EIN SKRIPT ZULASSEN Ist diese Funktion aktiviert, kann ein Skript beispielsweise auf die Zwischenablage zugreifen. Derartige Funktionen stellen ein Sicherheitsrisiko dar und sollten deshalb für die Zonen INTERNET und EINGESCHRÄNKTE SITES deaktiviert werden. Für VERTRAUENSWÜRDIGE SITES kann die Einstellung Eingabeaufforderung gewählt werden.
왘
SCRIPTING VON JAVA-APPLETS Sofern es sich bei der besuchten Website nur um eine einzelne HTML-Seite handelt, erhalten Sie lediglich eine Eingabeaufforderung (sofern diese Option gewählt ist). Umfasst sie hingegen mehrere HTML-Seiten oder mehrere aktive Objekte, so wäre das Bestätigen jeder Seite und jedes Objekts erforderlich. Die Option EINGABEAUFFORDERUNG sollten Sie deshalb nur für VERTRAUENSWÜRDIGE SITES setzen. Für EINGESCHRÄNKTE SITES und die INTERNETZONE sollten Sie die Funktion aus Sicherheitsgründen deaktivieren.
705
Sandini Bib
15 Sicherheit unter Windows XP
15.6.4 Von Microsoft nur wenig erläutert
Weitere Sicherheitseinstellungen
Dieses Kapitel beschreibt weitere wichtige Abschnitte für die Konfiguration der Sicherheitseinstellungen. Benutzerauthentifizierung Über diese Einstellung wird festgelegt, wie sich ein Benutzer an einer Website, die einen Benutzernamen und ein Kennwort erfordert, anmelden soll. Wählen Sie ANONYME ANMELDUNG, wird die Authentifizierung via HTTP deaktiviert. Dies sollten Sie nicht wählen. Mit AUTOMATISCHE ANMELDUNG MIT AKTUELLEM BENUTZERNAMEN UND KENNWORT erfolgt eine NTLM-Authentifizierung, die für den Benutzer unsichtbar ist. Auch diese Methode ist nicht sicher. Haben Sie AUTOMATISCHES ANMELDEN IN DER INTRANETZONE ausgewählt, erfolgt die automatische Anmeldung lediglich in der Zone Intranet. Für die übrigen Zonen müssen Sie jedoch eine andere Option auswählen. Sofern Sie NACH BENUTZERNAME UND KENNWORT FRAGEN selektieren, erhält der Benutzer ein Fenster, in dem er den Benutzernamen und das Kennwort eingeben muss. Je nachdem, ob die Option gewählt ist, das Kennwort zu speichern, wird dieses beim erneuten Zugriff auf die Seite wieder abgefragt; der Benutzername muss nicht wieder neu angegeben werden. Diese Option sollten Sie für sämtliche Zonen außer möglicherweise der Intranetzone wählen. Datei-Download und Schriftarten-Download Beim Datei-Download bezieht sich die gewählte Einstellung auf die Website, auf der sich der Downloadlink befindet, nicht jedoch auf die Seite, welche die eigentliche Datei enthält. Sollen Downloads generell verhindert werden, setzen Sie die Funktion auf DEAKTIVIEREN. In jedem Fall sollten Sie dies für die EINGESCHRÄNKTEN SITES einstellen. Bei einem Download-Versuch wird der Benutzer darüber informiert, dass die Einstellungen des Internet Explorer den Download nicht zulassen. Werden auf einer Website Schriftarten verwendet, die sich noch nicht unter Windows XP befinden, so ist es möglich, diese Schriftarten zusätzlich herunterzuladen und im System zu installieren. Bedenken Sie jedoch, dass beim Aktivieren dieser Funktion der Schriftartenordner schnell beträchtlich an Größe zunehmen und das System durch das Laden zusätzlicher Schriftarten langsamer werden kann.
706
Sandini Bib
Sicherheit im Internet Explorer
Auf Datenquellen über Domänengrenzen hinweg zugreifen Mit dieser etwas umständlichen Formulierung sind Zugriffe gemeint, die nicht auf der geöffneten Website, sondern auf einer anderen Seite einer anderen Domäne ausgeführt werden. Ein klassisches Beispiel dafür sind Datenbankzugriffe, wobei sich die Datenbank auf einem Server in einer anderen Domäne befindet. Diese Zugriffsmöglichkeit stellt ein gewisses Sicherheitsrisiko dar. Sie sollten diese Funktion deshalb für die VERTRAUENSWÜRDIGEN und EINGESCHRÄNKTEN SITES deaktivieren und für die Internetzone auf Eingabeaufforderung setzen. Dauerhaftigkeit der Benutzerdaten Diese Einstellungen beziehen sich auf den Umgang mit Cookies. Haben Sie die Option AKTIVIEREN ausgewählt, bleiben die Cookies auch auf dem Computer gespeichert, nachdem die Internetsitzung beendet wurde. Mit DEAKTIVIEREN werden Sie nach Sitzungsende gelöscht. Die Funktion sollte für die eingeschränkten Sites und die Internetzone in jedem Fall deaktiviert werden. Für die vertrauenswürdigen Sites können Sie Cookies weniger restriktiv behandeln und die Funktion aktivieren. Gemischte Inhalte anzeigen Diese Einstellungen beziehen sich auf Webseiten, die einer bestimmten Zone zugeordnet sind, jedoch einige Komponenten von einer anderen Seite beziehen, die nicht zu dieser Zone gehört, z.B. wenn eine vertrauenswürdige Site Bilder oder ActiveXElemente von einer Seite der Internetzone erhält. Diese Funktion sollten Sie für vertrauenswürdige und eingeschränkte Sites deaktivieren und für die Internetzone auf Eingabeaufforderung setzen. Installation von Desktop-Objekten Bei Desktop-Objekten handelt es sich um Dateien, deren HTMLInhalte Verknüpfungen zu Desktop-Symbolen oder zum Startmenü beinhalten können. Theoretisch wird diese Funktion zwar nicht oft genutzt, aber dennoch sollten Sie sie für die eingeschränkten Sites sowie für die Internetzone auf jeden Fall deaktivieren; für die vertrauenswürdigen Sites können Sie die Option Eingabeaufforderung auswählen. Keine Aufforderung zur Clientzertifikatsauswahl, wenn kein oder nur ein Zertifikat vorhanden ist Über diese Option wird festgelegt, ob der Client eine Auswahlmöglichkeit für ein Zertifikat erhalten soll, wenn vom Server entweder nur ein einziges oder gar kein Zertifikat bereitgestellt wird. In der Regel wird diese Option auf Deaktivieren gesetzt.
707
Sandini Bib
15 Sicherheit unter Windows XP
META REFRESH zulassen Der Befehl Refresh ist ein Bestandteil von Meta Tags. Über diesen wird die automatische Umleitung auf eine andere Webseite gesteuert. Das vollständige Meta Tag lautet <meta http-equiv=“Refresh“ Content=“5;URL=www.zielseite.de“>. Diese Funktion wird oft benutzt, wenn eine Website umgezogen ist. Sie erhalten dann den Hinweis, dass Sie innerhalb von zehn Sekunden automatisch weitergeleitet werden, sofern Ihr Browser die automatische Weiterleitung unterstützt. Damit ist diese Funktion gemeint. Zusätzlich sollte immer noch ein Link auf der alten Seite vorhanden sein, über den Sie manuell auf die neue Seite wechseln können. Diese Funktion sollte lediglich für vertrauenswürdige Sites aktiviert werden. Für eingeschränkte Sites und die Internetzone ist die Gefahr zu groß, dass eine Umleitung auf eine gefährliche Seite erfolgt. Programme und Dateien in einem IFRAME starten Bei IFRAME handelt es sich um eine Funktion des Internet Explorer. Über das Tag IFRAME kann innerhalb einer Webseite ein Rahmen angezeigt werden, in dem Daten dargestellt werden können. Bei diesen Daten muss es sich nicht um HTML-Inhalte handeln. Deshalb besteht auch die Gefahr, dass innerhalb des Rahmens gefährliche Programme oder Skripte angezeigt werden. Aus diesem Grund sollte die Funktion für vertrauenswürdige Sites auf Eingabeaufforderung und für eingeschränkte Sites und die Internetzone auf Deaktivieren gesetzt werden. Subframes zwischen verschiedenen Domänen bewegen Eine Webseite kann in verschiedene Frames unterteilt sein. In jedem dieser Frames wird eine einzelne Website dargestellt. Dabei kann es sich auch um eine Webseite einer anderen Domäne handeln. So besteht die Möglichkeit, fremde Inhalte in einem Teil der eigenen Seite anzuzeigen. Diese Funktion sollte in sämtlichen Internetzonen deaktiviert werden. Lediglich für vertrauenswürdige Sites und die Internetzone können Sie die Funktion auf Eingabeaufforderung setzen, wenn es Probleme bei der Darstellung der Seiten gibt. Unverschlüsselte Formulardaten übermitteln Über Formulardaten können vielfältige Daten abgefragt werden. Die häufigsten Beispiele sind Benutzernamen und Kennwort, Kreditkartennummern oder Bankverbindungen. Wird für die Übertragung dieser Daten das HTTP-Protokoll verwendet, so ist die Übertragung unsicher und die übermittelten Daten können möglicherweise ausgelesen werden. Derartige Daten sollten immer verschlüsselt über HTTPS übertragen werden. Sie erkennen eine verschlüsselte Über-
708
Sandini Bib
Sicherheit im Internet Explorer
tragung an dem Schloss-Symbol in der Statusleiste des Internet Explorer. Sobald Sie dieses Symbol anklicken, können Sie sich über das zugehörige Zertifikat informieren, sodass die Gefahr eines Missbrauchs ausgeschlossen werden kann. Das Übermitteln unverschlüsselter Formulardaten sollte bei den eingeschränkten Sites deaktiviert werden. Für die Internetzone ist eine Eingabeaufforderung sinnvoll, und lediglich bei den vertrauenswürdigen Sites kann die Funktion aktiviert werden. Ziehen und Ablegen oder Kopieren und Einfügen von Daten Über diese Funktion wird gesteuert, ob per Drag&Drop Dateien aus dem Fenster des Internet Explorer herausgezogen oder in das Fenster hineingezogen werden können. Diese Funktion ist besonders bei E-Mail-Anhängen unter Outlook Express wichtig. Sie sollte nur für die vertrauenswürdigen Sites aktiviert werden. Für eingeschränkte Sites ist die Deaktivierung angemessen, für die Internetzone eine Eingabeaufforderung. Zugriffsrechte für Softwarechannel Unter Softwarechannels versteht man bestimmte Websites, die ein Benutzer abonnieren kann. Diese Seiten liefern dann aktuelle Informationen, sobald der Computer eine Verbindung zum Internet hergestellt hat. Beispiel hierfür sind Nachrichten- oder Wetterdaten-Abonnements. Da auch von diesen Seiten eine Gefahr ausgehen kann, sollte für die eingeschränkten Sites und die Internetzone die Einstellung HOHE SICHERHEIT gewählt werden. Lediglich für die vertrauenswürdigen Sites kann die MITTLERE SICHERHEIT eingestellt werden. Auch Outlook Express verwendet die Zoneneinstellungen des Internet Explorer. So werden in HTML-basierten E-Mails aktive Inhalte wie Active-X-Steuerelemente oder Skripte gemäß den Einstellungen der Internetzonen gehandhabt. Sie können unter Outlook Express festlegen, ob das Programm die Einstellungen der Internetzone oder der Eingeschränkten Sites verwenden soll. Diese Auswahl wird über das Menü EXTRAS/OPTIONEN auf der Registerkarte SICHERHEIT getroffen.
709
Sandini Bib
15 Sicherheit unter Windows XP
15.6.5
Der Umgang mit Cookies
Wörtlich übersetzt heißt Cookie „Keks“, jedoch kann diese „Nascherei“ zu unerwünschten Nebenwirkungen führen. Als Cookie wird der Vorgang bezeichnet, dass eine Webseite, die Sie besucht haben, eine kleine Textdatei auf dem Computer ablegt. Darin sind z.B. Informationen enthalten, um den Benutzer beim erneuten Besuch der Internetseite zu identifizieren, z.B. wird er mit seinem Nehmen begrüßt und benutzerdefinierte Einstellungen an der Darstellung der Website können erhalten bleiben. In dieser Hinsicht stellen Cookies eine durchaus sinnvolle Erfindung dar. Nur leider können sie auch missbraucht werden, um das Verhalten des Benutzers im Internet auszuspionieren. Deshalb sollten Sie die Cookies regelmäßig vom Computer entfernen. Dazu rufen Sie im Internet Explorer das Menü EXTRAS/INTERNETOPTIONEN auf und klicken auf der Registerkarte ALLGEMEIN auf COOKIES LÖSCHEN. Damit werden sämtliche Cookies von der Festplatte gelöscht. Es bleibt lediglich die Datei index.dat erhalten. Diese Datei wird automatisch zur Optimierung des Seitenzugriffs angelegt. In der index.dat befinden sich auch Einträge über die besuchten Internetseiten. Diese Datei kann mit jedem beliebigen Editor geöffnet werden und lässt sich nicht löschen, solange Sie mit dem aktuellen Benutzerkonto angemeldet sind. Zusätzlich müssen Sie zum Löschen der Datei über administrative Berechtigungen verfügen. Eine Möglichkeit bestünde also darin, sich mit einem anderen Konto, das ebenfalls über administrative Rechte verfügt, anzumelden und die Datei index.dat des anderen Benutzerkontos zu löschen. Die Datei befindet sich im Ordner DOKUMENTE UND EINSTELLUNGEN des Benutzers. Wechseln Sie dort in den Unterordner COOKIES. Da diese Datei aber beim nächsten Start des Internet Explorer wieder angelegt wird, bringt das Verfahren keinen echten Vorteil. Cookie-Einstellungen im Internet Explorer Eine bessere Methode besteht darin, das Cookie-Verhalten bereits über den Internet Explorer einzustellen. Mit dem Internet Explorer 6.0 stellt Microsoft hierzu einige Verwaltungsoptionen bereit. Öffnen Sie dazu das Menü EXTRAS/INTERNETOPTIONEN und wechseln auf die Registerkarte DATENSCHUTZ (siehe Abbildung 15.22).
710
Sandini Bib
Sicherheit im Internet Explorer Abbildung 15.22: Einstellungen für die Annahme von Cookies in der Zone Internet
Sie können hier über den Schieberegler verschiedene Stufen für die Handhabung und Annahme der Cookies einstellen. Diese reichen in sechs Stufen von ALLE COOKIES ANNEHMEN bis zu ALLE COOKIES SPERREN. Standardmäßig wird die Einstellung MITTEL als Kompromiss zwischen Sicherheit und Nutzbarkeit vorgeschlagen. Diese Einstellung gilt gemeinsam für alle Internetzonen. Um hier weiter zu differenzieren, benutzen Sie die Schaltfläche ERWEITERT. Über IMPORTIEREN können Sie auch benutzerdefinierte Einstellungen laden. Die entsprechende Konfigurationsdatei muss dazu lokal vorliegen. Derartige Einstellungen können beispielsweise von Datenschutzorganisationen als Download bezogen werden. Sollen die Standardeinstellungen später wiederhergestellt werden, klicken Sie auf STANDARD. Über ERWEITERT können zusätzliche CookieEinstellungen vorgenommen werden (siehe Abbildung 15.23). Sind Cookies generell gesperrt, können einige Webseiten nicht mehr uneingeschränkt funktionieren. Dies gilt insbesondere für Webshops, bei denen im Laufe des Einkaufs Cookies abgelegt werden müssen. In der Regel werden Sie auf einer solchen Seite auch darüber informiert, dass Cookies zugelassen sein müssen.
Sperren von Cookies kann die Funktion von Webseiten einschränken
711
Sandini Bib
15 Sicherheit unter Windows XP Abbildung 15.23: Erweiterte Einstellungen für die Cookie-Verwaltung
Um die über den Schieberegler eingestellte Cookie-Behandlung außer Kraft zu setzen, markieren Sie die Checkbox AUTOMATISCHE COOKIEBEHANDLUNG AUFHEBEN. Bei COOKIES VON ERSTANBIETERN handelt es sich um Cookies, die aus der Domäne stammen, die im Internet Explorer aufgerufen wurde. COOKIES VON DRITTANBIETERN sind Cookies, die nicht direkt von der Domäne, sondern von darin eingebundenen Dritten stammen. Die eigentlich beste Einstellung besteht in der Auswahl EINGABEAUFFORDERUNG. So können Sie erkennen, wann ein Cookie downgeloadet wird. Dennoch können Sie durch Annehmen der Cookies auch die Funktionalität der Webseiten sicherstellen. Allerdings werden Sie nach spätestens zehn Minuten bemerken, wie viele Cookies sich auf dem Computer niederlassen möchten. Das stets damit verbundene Ablehnen oder Zulassen des Cookie kann so sehr schnell die Freude am Besuch der Internetseiten trüben. Haben Sie die Checkbox SITZUNGSCOOKIES IMMER ZULASSEN aktiviert, können die Cookies zwar von einer Webseite bezogen werden. Sobald die Sitzung jedoch beendet ist, werden die Cookies automatisch gelöscht. Sobald nun ein Cookie abgelegt werden soll und die Eingabeaufforderung aktiviert ist, erhalten Sie eine solche. Darin sollten Sie die Checkbox FESTLEGUNG AUF ALLE COOKIES DIESER WEBSITE ANWENDEN markieren (siehe Abbildung 15.24). Anderenfalls erhalten Sie bei jedem einzelnen Cookie dieser Seite eine Eingabeaufforderung. Dieses mehrmalige Ablegen von Cookies durch eine Webseite liegt meistens in einer bestimmten Implementierung von Active Server Pages begründet. Sobald Sie im Fenster DATENSCHUTZHINWEIS auf DETAILS klicken, erhalten Sie zusätzliche Informationen zu dem abzulegenden Cookie.
712
Sandini Bib
Sicherheit im Internet Explorer Abbildung 15.24: Ist die Eingabeaufforderung für die Cookies aktiviert, muss für jedes Cookie das Fenster bestätigt werden.
Weiterhin besteht noch die Möglichkeit, für bestimmte Seiten generell Cookies zuzulassen oder zu verweigern. In diese Liste können Sie z.B. bestimmte Webshops oder andere Seiten eintragen, die Cookies ablegen dürfen, oder auch einige Seiten komplett sperren. Um diese Einstellungen vorzunehmen, klicken Sie auf der Registerkarte DATENSCHUTZ auf BEARBEITEN (siehe Abbildung 15.25). In diese Liste werden automatisch alle Seiten aufgenommen, für die Sie über die Eingabeaufforderung das Ablegen von Cookies gestatten oder sperren. Um das Verhalten für eine Webseite zu bestimmen, geben Sie die Adresse der Seite in das entsprechende Feld ein und klicken auf SPERREN oder ZULASSEN. Sollen diese Einträge später geändert werden, können sie unter VERWALTETE WEBSITES wieder entfernt werden. Das Eintragen von regelmäßig besuchten Webseiten in diese Listen ist sicherlich der bequemere Weg, als generell bei jeder Seite die Cookies einzeln zu bestätigen. Tragen Sie hier möglichst viele Seiten ein, sodass sich die Eingabeaufforderung auf weniger häufig besuchte Seiten beschränken kann. Für die Seiten der vertrauenswürdigen Zone können Sie Cookies zulassen, für die der eingeschränkten Zone sollten die Cookies gesperrt werden.
713
Sandini Bib
15 Sicherheit unter Windows XP Abbildung 15.25: Cookie-Optionen für bestimmte Seiten separat festlegen
15.6.6
Weitere Sicherheitsmaßnahmen im Internet Explorer
Jedes Mal, wenn ein Benutzer den Internet Explorer öffnet und mit diesem durchs Internet surft, hinterlässt er auf seinem System zahlreiche Spuren. Damit diese nicht nur neugierigen Zeitgenossen, die den Rechner als Nächste benutzen, sondern auch Personen, die mit diesen Informationen bösartige Dinge beabsichtigen könnten, nicht ohne Weiteres zugänglich sind, gilt es, die folgenden Regeln zu beachten. Verlauf leeren
Sobald in das Adressfeld des Internet Explorer eine Adresse eingegeben wird, wird dieser URL in die Liste VERLAUF aufgenommen. In dieser Liste befinden sich, nach Zeiträumen geordnet, alle vom Benutzer besuchten Webseiten. Über die Schaltfläche VERLAUF (siehe Abbildung 15.26) im Internet Explorer können diese Seiten angezeigt werden.
Abbildung 15.26: Die Schaltfläche Verlauf im Internet Explorer
Anstelle der Favoriten öffnet sich links im Internet Explorer der Bereich Verlauf (siehe Abbildung 15.27). Hier sehen Sie, welche Seiten in der letzten Zeit besucht worden sind. Welche Zeiträume angezeigt werden, ist davon abhängig, wie die Größe des Verlaufsspeichers eingestellt worden ist.
714
Sandini Bib
Sicherheit im Internet Explorer Abbildung 15.27: Übersicht im Verlauf über die in der letzten Zeit besuchten Webseiten
Zusätzlich zu den besuchten Internetseiten werden unter ARBEITSPLATZ alle auf dem Computer besuchten Dateien dargestellt. Hierbei handelt es sich um sämtliche Dateitypen von Word- oder ExcelDokumenten über Bilddokumente bis hin zu simplen Textdateien. Diese Liste ist wesentlich ausführlicher als die unter DOKUMENTE im Startmenü angezeigten zuletzt besuchten Dateien. Diese Informationen sagen schon einiges über die Arbeits- und Surf-Gewohnheiten des Benutzers aus. Weiterhin werden bereits besuchte Seiten auch angezeigt, wenn in das Adressfeld der Anfangsbuchstabe eines URL eingetippt wird (siehe Abbildung 15.28).
Abbildung 15.28: Sobald der Anfangsbuchstabe eines URL eingetippt wird, erhalten Sie eine Liste aller Seitenmit diesem Anfangsbuchstaben, die von diesem Computer aus aufgerufen wurden.
715
Sandini Bib
15 Sicherheit unter Windows XP
MRU-Liste Diese Liste wird auch als MRU-Liste bezeichnet (Most Recently Used). Beide Funktionen sind ursprünglich für den komfortableren Umgang des Benutzers gedacht gewesen. So kann er schnell eine Seite auswählen und muss nicht erneut die komplette Adresse eingeben. Über den Verlauf können Seiten gefunden werden, deren vollständige Adresse dem Benutzer nach einer oder drei Wochen nicht mehr präsent ist. Die Verlaufsliste wird im Windows Explorer im Ordner DOKUMENTE UND EINSTELLUNGEN\ BENUTZERNAME\LOKALE EINSTELLUNGEN\VERLAUF gespeichert. Sofern an einem Computer mehrere Personen unter demselben Benutzernamen angemeldet sind, kann ein Benutzer die Datenspuren des anderen auslesen. Dies ist z.B. der Fall, wenn nur ein einzelner Computer von sämtlichen Benutzern für den Internetzugang benutzt wird, während an den Arbeitsplatzrechnern ein Zugriff auf das Internet nicht möglich ist. Abhilfe schafft hier, dass für jeden Benutzer eine separate Anmeldung mit einem eigenen Benutzernamen und Kennwort erforderlich ist. Auf den Inhalt des Ordners DOKUMENTE UND EINSTELLUNGEN\ BENUTZERNAME\LOKALE EINSTELLUNGEN\VERLAUF hat nur der jeweilige Benutzer sowie der Administrator Zugriff, sofern das Dateisystem NTFS benutzt wird. Verwenden Sie hingegen FAT32 als Dateisystem, genügt ein beliebiges Konto mit administrativer Berechtigung, um auf diesen Ordner zugreifen zu können. Es muss nicht das Konto Administrator selbst sein. Spurenbeseitigung auf dem lokalen Computer Damit auf dem Computer die Einträge des Verlaufs nicht zu viele Spuren hinterlassen, haben Sie zwei Möglichkeiten: Sie können entweder den Inhalt manuell löschen oder den Speicherplatz für den Verlauf minimieren und dadurch weniger Inhalte speichern lassen. Achten Sie in jedem Fall darauf, dass auf dem Computer nicht die Inhalte verschlüsselter Internetseiten gespeichert werden, da dies ein großes Sicherheitsrisiko darstellt. Um das zu verhindern, öffnen Sie die Registerkarte ERWEITERT über das Menü EXTRAS/INTERNETOPTIONEN und markieren im Bereich SICHERHEIT die Checkbox VERSCHLÜSSELTE SEITEN NICHT AUF FESTPLATTE SPEICHERN.
716
Sandini Bib
Sicherheit im Internet Explorer
Um den Inhalt manuell zu löschen, öffnen Sie im Internet Explorer das Menü EXTRAS/INTERNETOPTIONEN und wechseln auf die Registerkarte ALLGEMEIN. Klicken Sie dort im Abschnitt VERLAUF auf VERLAUF LEEREN. Des Weiteren sollten Sie sich überlegen, welche Einstellung unter TAGE, DIE DIE SEITEN IN VERLAUF AUFBEWAHRT WERDEN sinnvoll ist. Standardmäßig liegt die Einstellung bei 20 Tagen. Sie kann jedoch deutlich minimiert werden. Zusätzlich können Sie auch die im Browsercache hinterlegten Dateien löschen. Diese Dateien sind bereits lokal abgelegt und werden bei einem erneuten Besuch der Seite nicht wieder geladen, wenn sich die Inhalte nicht zwischenzeitlich geändert haben. Klicken Sie dazu auf DATEIEN LÖSCHEN. Danach müssen Sie entscheiden, ob auch die Offline-Inhalte gelöscht werden sollen (siehe Abbildung 15.29). Werden diese gelöscht, muss zur Anzeige dieser Seiten wieder eine Internetverbindung hergestellt werden. Abbildung 15.29: Neben den temporären Dateien können auch die OfflineInhalte gelöscht werden.
Es besteht ebenfalls die Möglichkeit, die temporären Inhalte des Browsercache bei jedem Schließen des Internet Explorer automatisch zu löschen. Hierzu wechseln Sie über das Menü EXTRAS/INTERNETOPTIONEN auf die Registerkarte ERWEITERT und markieren dort die Checkbox LEEREN DES ORDNERS TEMPORARY INTERNET FILES BEIM SCHLIEßEN. Damit auf der Festplatte keine zu große Anzahl von Daten im Browsercache abgelegt wird, sollte die Größe des Cache-Speichers verkleinert werden. Dies ist auch für den Verlaufsspeicher möglich. Auf diese Weise sparen Sie sich das manuelle Löschen umfangreicherer Einträge. Um den Browsercache zu verkleinern, öffnen Sie über EXTRAS/ INTERNETOPTIONEN die Registerkarte ALLGEMEIN. Klicken Sie dort auf EINSTELLUNGEN. Über den Schieberegler können Sie die Größe des Browsercache bestimmen (siehe Abbildung 15.30). Je größer die Partition ist, desto größer ist standardmäßig auch die Größe des Browsercache eingestellt. So könnte die eingestellte Größe, natürlich abhängig von den Surfgewohnheiten des Benutzers, theoretisch Daten des letzten Vierteljahres vorhalten. Sinnvoll sind Werte von maximal 5 MB.
717
Sandini Bib
15 Sicherheit unter Windows XP Abbildung 15.30: Die Größe des Browsercache und Optionen für die Seitenaktualisierung festlegen
Weiterhin kann auf dieser Seite bestimmt werden, in welcher Weise nach aktuelleren Versionen bereits gespeicherter, also im Cache vorhandener Seiten gesucht werden soll. Die folgende Tabelle zeigt die verschiedenen Optionen. Tabelle 15.3: Optionen zur Aktualisierung gespeicherter Seiten
718
Option
Beschreibung
Bei jedem Zugriff auf die Seite
Sobald wieder auf eine bereits besuchte Seite zurückgekehrt wird, wird diese neu geladen. Mit dieser Option werden die meisten Einträge in den temporären Internetdateien vorgenommen. Zudem kann sich der Zugriff je nach Verbindungsgeschwindigkeit deutlich verlangsamen.
Bei jedem Start von Internet Explorer
Beim Zurückkehren auf eine besuchte Seite werden die Inhalte nicht neu geladen. Dies geschieht erst wieder beim Besuch der Seite nach dem nächsten Start des Internet Explorer.
Automatisch
Dies ist die Standardeinstellung. Wird innerhalb einer Sitzung auf die Seite zurückgekehrt, wird nicht nach Aktualisierungen gesucht, sondern erst wieder in der nächsten Sitzung. Stellt der Internet Explorer im Laufe der Zeit fest, dass sich auf einer Seite die Bildinhalte nur selten ändern, wird auch weniger häufig nach Bildaktualisierungen gesucht. Diese Einstellung sollten Sie beibehalten, weil sie einen guten Kompromiss aus Schnelligkeit und Aktualität bietet.
Nie
Wird wieder auf eine Seite zurückgekehrt, wird generell nie nach Aktualisierungen gesucht. Haben sich die Inhalte geändert, muss die Seite über AKTUALISIEREN oder [F5] neu geladen werden.
Sandini Bib
Sicherheit im Internet Explorer
Um die Größe des Verlaufsspeichers herabzusetzen, wählen Sie auf der Registerkarte ALLGEMEIN unter VERLAUF die Anzahl der Tage, die die angezeigten Seiten vorgehalten werden sollen. Einzelne Einträge aus dem Browsercache und Verlauf löschen In den eben beschriebenen Verfahren werden die kompletten Inhalte des Browsercache und des Ordners VERLAUF gelöscht. Möchten Sie hingegen einige Inhalte beibehalten und nur bestimmte Einträge löschen, sollten Sie auf der Registerkarte ALLGEMEIN auf EINSTELLUNGEN klicken. Klicken Sie in dem dann folgenden Fenster auf DATEIEN ANZEIGEN. Darauf öffnet sich im Windows Explorer der Ordner TEMPORARY INTERNET FILES. Dort können Sie nun die gewünschten Dateien markieren und entfernen. Um einzelne Einträge aus dem Ordner VERLAUF zu löschen, rufen Sie diesen Ordner im übergeordneten Verzeichnis LOKALE EINSTELLUNGEN auf. Alternativ dazu können Sie auch den Verlauf im Internet Explorer einblenden, dort einen Eintrag markieren und über den entsprechenden Kontextmenüeintrag löschen. Weitere Informationen über hinterlassene Spuren Weiterhin werden vom Betriebssystem selbst sowie vom Internet Explorer einige Informationen bereitgestellt, die ein potenzieller Angreifer nutzen kann, um sich ein Bild von möglichen Sicherheitslücken des Zielcomputers zu machen. Dazu zählen das Betriebssystem, das Service Pack-Level, der Browser-Typ mit zugehöriger Version, die IP-Adresse usw. Als Letztes werden auch noch bei dem zuständigen Internetprovider Informationen hinterlassen. Diese Daten beinhalten die Verbindungszeiten, die zugewiesene IP-Adresse sowie die besuchten Internetseiten. Diese Informationen werden benutzt, wenn es z.B. zu Abrechnungsproblemen im Zusammenhang mit Dialern kommt. Weiterhin müssen die Internetprovider diese Daten bereitstellen, wenn sie auf gerichtliche Anordnung hin in einem Straf- oder Ermittlungsverfahren benötigt werden. Diese Daten beim Internetprovider werden immer gesammelt und es gibt dafür keine Ausnahme. Die Daten werden jedoch nach einem halben Jahr automatisch gelöscht. Sie sehen also, dass Sie – mit Ausnahme der Provider-Daten – beim Besuch des Internets eine Menge an Spuren hinterlassen. Diese Spuren hinterlassen Sie auch, wenn Sie sich von einem öffentlichen Computer aus, z.B. in einem Internetcafé, in das
719
Sandini Bib
15 Sicherheit unter Windows XP
Internet einwählen. Sie sollten also dort auf keinen Fall vertrauliche Internetseiten wie z.B. E-Mails, Online-Shops oder gar Internetbanking aufrufen. Eine komfortable Funktion zum Beseitigen diverser Datenspuren auf dem Computer bietet der Tracks Eraser, der Bestandteil von Microsoft Windows AntiSpyware ist. Weitere Hinweise zu diesem Programm finden Sie in Kapitel 15.7.5.
15.6.7
Globale Sicherheitseinstellungen für den Internet Explorer
Im Gegensatz zu den in den vergangenen Kapiteln beschriebenen Einstellungen, die sich jeweils nur auf die gewählte Zone beziehen, werden die globalen Sicherheitseinstellungen des Internet Explorer auf der Registerkarte ERWEITERT (siehe Abbildung 15.31) vorgenommen. Abbildung 15.31: Die Registerkarte Erweitert zur Konfiguration der globalen Internet ExplorerEinstellungen
Um zu einer der dort aufgeführten Optionen weitere Informationen zu erhalten, wählen Sie das Kontextmenü DIREKTHILFE zu einem bestimmten Eintrag.
720
Sandini Bib
Sicherheit im Internet Explorer
15.6.8
Testen der Internet Explorer-Einstellungen
Nachdem Sie anhand der Inhalte der letzten Kapitel den Internet Explorer abgesichert haben, sollten Sie diese Einstellungen auch in der Praxis testen. Dies gilt insbesondere für Internetbrowser, über deren Sicherheitsstand Sie sich zunächst informieren möchten. Zum Test müssen Sie nun nicht wahllos durchs Internet surfen Sicherheitslücken und sich auf dubiose Seiten begeben. Vielmehr besteht die Mög- aufspüren lichkeit, von seriösen Anbietern online Sicherheits-Checks durchführen zu lassen. Sehr umfangreiche Tests stellt Heise bereit. Weitere Hinweise finden Sie unter dem Link http://www.heise.de/security/dienste/ browsercheck/demos/. Bei VeriSign können Sie unter dem Link http:// www.verisign.com/advisor/check.html ebenfalls Informationen zu Sicherheitslücken im Internet Explorer erhalten. Den detailliertesten Test erhalten Sie jedoch unter http://browsercheck.qualys.com/index.php. Hier werden Ihnen sämtliche Angaben Ihres Systems angezeigt, die ein potenzieller Angreifer auslesen kann (siehe Abbildung 15.32). Klicken Sie hier auf CLICK HERE TO SEE WHAT ELSE I CAN FIND, werden weitere simulierte Angriffe auf das System durchgeführt. Dazu zählen beispielsweise das Auslesen der Zwischenablage, das Ausführen von Programmen und Dateien oder der Umgang mit Cookies.
Abbildung 15.32: Dieser Online-Test zeigt, welche Informationen von einem potenziellen Angreifer ausgelesen werden können.
721
Sandini Bib
15 Sicherheit unter Windows XP
15.6.9
Der Nachrichtendienst
Ein großes Sicherheitsrisiko kann auch der Nachrichtendienst darstellen. Dieser bietet zwar in Netzwerken den Vorteil schneller Kommunikation, besonders bei Meldungen, die der Administrator schnell an sämtliche Benutzer leiten möchte. Verwechseln Sie den Nachrichtendienst nicht mit dem Windows Messenger. Es handelt sich um zwei völlig verschiedene Dienste. Mißbrauch über das Internet
Allerdings kann diese Funktion auch über das Internet missbraucht werden. Sei es nur für Werbezwecke, aber auch für das Verteilen von Dialern, Viren usw.: Ein Absender kann seine Nachrichten an Blöcke öffentlicher IP-Adressen senden. Selbst wenn nur ein Bruchteil dieser IP-Adressen zur Zeit der Versendung im Internet genutzt wird, bietet sich eine breite Zielgruppe für den Versender. Eine über den Nachrichtendienst gesendete Meldung erscheint wie ein Popup-Fenster im Internet Explorer, jedoch kann diese Nachricht von einem Popupstopper nicht blockiert werden. Besonders häufig sind Meldungen, dass auf dem Computer ein bestimmter Virus oder eine Sicherheitslücke entdeckt wurde. Im Nachrichtenfenster wird ein Link angezeigt, der zum Download eines vermeintlichen Patch oder Updates führt. Es muss wohl kaum noch erwähnt werden, dass es sich dabei nicht um ein Update, sondern vielmehr um einen Dialer, Wurm, Virus, Trojaner o.Ä. handeln wird. Ein Benutzer, der im guten Glauben die angebotene Datei herunterlädt und installiert, hat dadurch seinen eigenen Computer zu einem Sicherheitsrisiko gemacht. Um dem Missbrauch des Nachrichtendienstes vorzubeugen, gibt es drei Möglichkeiten. Die erste Möglichkeit besteht darin, das Personal entsprechend anhand praktischer Beispiele zu schulen, welche Risiken eine solche Nachrichtenmeldung in sich bergen kann. Trauen Sie Ihren Mitarbeitern nicht die nötige Konsequenz zu, Nachrichten zu ignorieren, so können Sie entweder den Nachrichtendienst komplett deaktivieren oder die Windows-Firewall entsprechend konfigurieren. Beim Einsatz der Firewall ist der Nachrichtendienst nur noch für das lokale Netzwerk verfügbar, beim Deaktivieren überhaupt nicht mehr. Mit Service Pack 2 ist die Firewall standardmäßig aktiviert, sodass ein Zugriff auf den Computer von einem anderen Computer außerhalb des lokalen Netzwerks automatisch blockiert wird.
722
Sandini Bib
Spyware
Um den Nachrichtendienst komplett zu deaktivieren, öffnen Sie den Programmeintrag VERWALTUNG/DIENSTE und doppelklicken den Eintrag NACHRICHTENDIENST. Unter STARTTYP auf der Registerkarte ALLGEMEIN wählen Sie den Eintrag DEAKTIVIERT. Bedenken Sie jedoch, dass der Dienst nun nicht mehr verfügbar ist. Auch wenn eine Anwendung den Nachrichtendienst benötigt, kann dies zu Problemen führen. Um den Starttyp des Dienstes zu ändern, müssen Sie entweder mit einer administrativen Berechtigung angemeldet sein oder alternativ die Option AUSFÜHREN ALS (siehe Kapitel 15.11.6) verwenden.
15.7
Spyware
Neben den eben beschriebenen Gefahren droht aus dem Internet Den Benutzer noch eine weitere Gefahr: Spyware. Bei Spyware handelt es sich ausspionieren um Software, die ohne Wissen des Benutzers Informationen über diesen sammelt. Dabei können diese Informationen unterschiedlich weit reichen. Es ist möglich, dass nur die vom Benutzer besuchten Websites protokolliert werden; es können aber auch sicherheitsrelevante Informationen wie Benutzernamen und Kennwörter über Spyware ermittelt werden. Spyware lauert an vielen Stellen im Internet: Eine solche Software kann beim Download aus unbekannten Quellen oder auch über File-Sharing-Programme wie z.B. in Musik-Tauschbörsen auf den Computer gelangen. Die Anzeichen dafür, dass auf dem Computer Spyware vorhanden ist, können vielfältig sein: Die Internetgeschwindigkeit ist deutlich langsamer, es erscheinen Popup-Fenster (auch wenn Sie gerade nicht im Internet surfen), am Internet Explorer wurden Konfigurationseinstellungen geändert (z.B. die Startseite) oder der Computer reagiert oftmals gar nicht mehr. Da Spyware den Benutzer ausspionieren soll, laufen sämtliche Prozesse dieser Programme im Hintergrund ab, direkte äußerliche Hinweise gibt es nicht. Um einen Computer daraufhin zu untersuchen, ob sich auf ihm Spyware befindet, gibt es eine Reihe von Programmen. Das neueste Programm wird direkt von Microsoft bereitgestellt. Es handelt sich um Microsoft Windows AntiSpyware.
15.7.1
Microsoft Windows AntiSpyware
Das Programm Microsoft Windows AntiSpyware befindet sich momentan noch im Beta-Stadium, läuft aber bereits sehr stabil. Die Beta-Version ist momentan nur in der englischen Variante zu
723
Sandini Bib
15 Sicherheit unter Windows XP
bekommen, die endgültige Version wird auch in deutscher Sprache erhältlich sein. Windows AntiSpyware kann unter Windows XP, Windows 2000 sowie Windows Server 2003 eingesetzt werden. Das Programm steht kostenlos zum Download bereit. Nutzen Sie dazu den Link http://www.microsoft.com/athome/security/spyware/ software/default.mspx. Funktionsweise Windows AntiSpyware überprüft, ob sich auf dem Computer Spyware befindet, und entfernt diese. Damit Windows AntiSpyware ein Programm als Spyware identifizieren kann, muss dieses als unerwünschte Software bekannt sein. Dabei spielt die weltweite SpyNet-Community eine wichtige Rolle. Über diese Community wird festgelegt, welche Software als Spyware klassifiziert wird. Von Microsoft werden laufend Updates entwickelt, um neu erkannter Spyware entgegenzuwirken. Diese Programm-Updates werden automatisch auf den Computer downgeloadet. Windows AntiSpyware überwacht mehr als 50 verschiedene Wege, über die die Spyware auf den Computer gelangen kann. Hierbei handelt es sich um eine Echtzeitüberwachung. Diese über 50 Überwachungspunkte werden jedes Mal von Windows AntiSpyware analysiert, wenn ein Programm Änderungen an der Windows-Konfiguration vornimmt. Solche Änderungen treten bei der Installation eines Programms auf, unabhängig davon, ob es sich um Spyware oder um eine bewusst installierte Applikation handelt. Windows AntiSpyware informiert Sie, sobald eine Änderung an einem der Überwachungspunkte vorgenommen werden soll. Sie haben dann die Möglichkeit, die Änderung zuzulassen oder sie zu blockieren. So kann die Installation einer erwünschten Applikation ohne Probleme durchgeführt werden. Echtzeitüberwachung
Um die Echtzeitüberwachung zu konfigurieren, wählen Sie das Menü OPTIONS/SETTINGS. Klicken Sie dann links auf REAL-TIME PROTECTION und wählen die gewünschte Option zum Aktivieren oder Deaktivieren der Echtzeitüberwachung. Klicken Sie danach auf ALERTS, um die vom Echtzeitschutz bereitgestellten Alarmtypen zu betrachten und auszuwählen. Sobald Windows AntiSpyware feststellt, dass sich auf dem Computer Spyware befindet, werden Informationen über dieses Programm angezeigt. Dazu zählen der Speicherort auf der Festplatte, das Risiko, das von der Spyware ausgeht, sowie eine empfohlene Handlungsaktion. Windows AntiSpyware kann Spyware auf zwei verschiedene Weisen unschädlich machen: Sie kann entweder vom Computer entfernt oder vorübergehend deaktiviert werden. Dazu wird die Funktion der Spyware-Quarantäne benutzt.
724
Sandini Bib
Spyware
15.7.2
Installation und Einrichtung
Zur Installation von Windows AntiSpyware folgen Sie den Anweisungen des Assistenten. Beim ersten Start des Programms wird der Setup-Assistent aufgerufen, über den in vier Schritten die Grundeinstellungen konfiguriert werden (siehe Abbildung 15.33). Abbildung 15.33: Festlegen der Grundeinstellungen für Windows AntiSpyware
1. Im Fenster KEEP YOUR COMPUTER IN THE KNOW können Sie festlegen, ob das Programm automatisch Updates herunterladen soll. Da es sich hierbei um die Aktualisierungen zum Erkennen neuer Spyware handelt, sollte das automatische Update aktiviert werden. 2. Im folgenden Fenster MEET YOUR COMPUTER ’S NEW BODYGUARDS kann der Echtzeitschutz durch den Security Agent aktiviert werden. Durch diesen Echtzeitschutz werden die über 50 Überwachungspunkte permanent auf Änderungen hin kontrolliert. Sie erhalten bei Änderungen eine Meldung über den Agenten und können entscheiden, ob diese zugelassen werden sollen oder nicht. 3. Als dritten Schritt können Sie im Fenster SPYNET: THE ANTI-SPYWARE COMMUNITY bestimmen, ob Sie an der Community teilnehmen möchten oder nicht. Sobald der erste Computer der Community eine bisher unbekannte Spyware entdeckt hat, kann mit der Reaktion auf diesen neuen Code begonnen werden. Um die Einstellungen zu übernehmen, klicken Sie auf FINISH.
725
Sandini Bib
15 Sicherheit unter Windows XP
4. Im letzten Schritt wird das System auf Spyware hin untersucht. Klicken Sie dazu im Fenster SPYWARE’S FINAL STEP auf RUN QUICK SCAN NOW. Weiterhin kann auch der regelmäßige Scan zu einer bestimmten Tageszeit aktiviert werden. Die genaue Uhrzeit für diesen Vorgang kann später eingestellt werden. Danach wird der Scan des Systems durchgeführt. Es werden Dateien, Registry-Schlüssel sowie Speicherprozesse analysiert. Sie sehen dabei Statusanzeigen und abschließend das Fenster der Zusammenfassung (siehe Abbildung 15.34). Abbildung 15.34: Nach dem Scan des Systems wird eine umfassende Zusammenfassung mit Vorschlägen zu Aktionen angezeigt.
Hier werden alle gefundenen verdächtigen Elemente aufgelistet. Unter THREAT LEVEL wird zu jedem Element der Level des Gefahrenpotenzials angegeben. Markieren Sie einen Eintrag, werden unter ITEM DETAILS weitere Hinweise zu dieser Spyware angezeigt. Sobald Sie unter dem Namen der Spyware auf das kleine Kreuzchen klicken, werden alle Pfade bzw. Registry-Schlüssel aufgelistet, unter denen die Spyware ihre Spuren hinterlassen hat. AntiSpyware schlägt für jedes gefundene Element unter RECOMMENDED ACTION eine Aktion vor, die vom Gefährdungsgrad des Elements abhängig ist. Über REMOVE werden die Daten vom Computer entfernt, QUARANTINE setzt die Funktion außer Kraft und isoliert die Dateien in ein Quarantäne-Verzeichnis. Bei weniger kritischen Ergebnissen kann auch die Aktion IGNORE oder ALWAYS IGNORE gewählt werden. Nachdem Sie die gewünschten Aktionen ausgewählt haben,
726
Sandini Bib
Spyware
klicken Sie auf CONTINUE. Optional kann noch über die Checkbox CREATE RESTORE POINT ein Wiederherstellungspunkt im Betriebssystem gesetzt werden. Im folgenden Fenster müssen Sie die Angaben nochmals bestätigen. Sofern noch ein oder mehrere Fenster des Internet Explorer geöffnet sind, müssen diese vor Beginn der Bereinigung geschlossen werden. Dies kann AntiSpyware automatisch erledigen.
15.7.3
Weitere Programmoptionen
Nachdem die gewählten Aktionen erstmalig durchgeführt worden sind, erscheint ein Fenster, über das Sie die Einstellungen des Internet Explorer automatisch wieder auf die Ausgangswerte zurücksetzen können, sobald diese von einem Programm manipuliert worden sind (siehe Abbildung 15.35). Abbildung 15.35: Festlegen der Optionen des Internet Explorer, die nach einer Manipulation automatisch wiederhergestellt werden sollen
Im rechten Bereich sehen Sie die Standardwerte für den Internet Explorer. In die einzelnen Felder können benutzerdefinierte Werte eingegeben werden. Zudem können Sie so schnell erkennen, ob bereits ungewollte Änderungen an den Einstellungen vorgenommen worden sind. Klicken Sie dann auf CONTINUE. Zeitgesteuerte Scan-Funktion Um einen Computer regelmäßig auf Spyware zu prüfen, sollte der Scan zu festen Zeiten erfolgen. Rufen Sie dazu die entsprechende Konfigurationsseite über TOOLS/SPYWARE SCAN/MANAGE SPYWARE SCAN SCHEDULE auf (siehe Abbildung 15.36).
727
Sandini Bib
15 Sicherheit unter Windows XP Abbildung 15.36: Die Scan-Funktion kann zeitgesteuert regelmäßig zu festen Zeiten durchgeführt werden.
Der Scan kann täglich, wöchentlich oder monatlich zu frei definierbaren Zeiten und Tagen durchgeführt werden. Das gewählte Intervall wird über UPDATE SCHEDULE bestätigt. Soll keine zeitgesteuerte Prüfung erfolgen, markieren Sie die Checkbox DISABLE SCHEDULE. Zusätzlich können noch weitere Scan-Optionen festgelegt werden. So kann wahlweise automatisch ein gründlicher Scan durchgeführt werden, verdächtige Elemente können automatisch gelöscht oder ins Quarantäneverzeichnis isoliert werden und Zusammenfassungen sowie Fortschrittsanzeigen können ausgeblendet werden. Generelle Einstellungen Die bei der Erstkonfiguration vorgenommenen Grundeinstellungen können später wieder modifiziert werden. Verwenden Sie dazu das Menü OPTIONS/SETTINGS. Dort können die Einstellungen für das automatische Update, den Echtzeitschutz, die Alarmmeldungen, die Spyware-Community, den Scan-Vorgang sowie generelle Einstellungen bearbeitet werden (siehe Abbildung 15.37).
728
Sandini Bib
Spyware Abbildung 15.37: Die Grundeinstellungen des Programms bearbeiten
Die Agents AntiSpyware verfügt über drei verschiedene Agents. Dabei handelt es sich um den Internet Agent, den System Agent und den Application Agent. Über diese Agents werden die verschiedenen Kontrollpunkte überwacht, die zum Erkennen potenzieller Spyware verwendet werden. Der Status dieser Agents kann über das Kontextmenü SECURITY AGENTS STATUS des Tray-Icon geändert werden. Es ist jedoch empfohlen, diese Agents grundsätzlich aktiviert zu lassen. Für jeden der drei Agents können die zu prüfenden Checkpoints modifiziert werden. Diese Konfiguration kann über das Menü TOOLS/REAL-TIME-PROTECTION aufgerufen werden. Wählen Sie dazu den Agent und den Eintrag VIEW CHECKPOINTS. Dort werden, wie in Abbildung 15.38 dargestellt, sämtliche verfügbaren Kontrollpunkte aufgelistet. Standardmäßig sind diese alle aktiviert. Um einen bestimmten Punkt zu deaktivieren, markieren Sie ihn und klicken auf DEACTIVATE CHECKPOINT. Zur Funktion des aktuellen Kontrollpunkts erhalten Sie über LEARN MORE ABOUT THIS CHECKPOINT weitere detaillierte Informationen. Zusätzlich existiert für jeden Agent das Menü VIEW BLOCKED EVENTS. Hier werden die Aktionen aufgelistet, bei denen der jeweilige Agent eine Blockade einer verdächtigen Aktion vorgenommen hat.
729
Sandini Bib
15 Sicherheit unter Windows XP Abbildung 15.38: Die Kontrollpunkte des Internet Agent auswählen
Neben den drei eben aufgeführten Agents gibt es noch einen Security Agent. Über diesen werden weitere sicherheitsrelevante Ereignisse protokolliert. Diese Ereignisliste wird über das Menü TOOLS/REAL-TIME-PROTECTION/VIEW SECURITY AGENT EVENTS aufgerufen (siehe Abbildung 15.39). Die Protokolle können über die entsprechenden Links archiviert und zu einem späteren Zeitpunkt wieder aufgerufen werden. Abbildung 15.39: Übersicht über die blockierten Ereignisse des Security Agent
730
Sandini Bib
Spyware
15.7.4
Der System Explorer unter Windows AntiSpyware
Neben den verschiedenen Optionen zur Erkennung von Spyware verfügt Windows AntiSpyware noch über zwei zusätzliche Tools: über den System Explorer und den Tracks Eraser. Diese Tools werden über das Menü TOOLS/ADVANCED TOOLS aufgerufen. Über den System Explorer können in verschiedenen Kategorien (Applikationen, Internet Explorer, Netzwerk und System) Einstellungen vorgenommen werden, die ansonsten nur sehr schwierig zu konfigurieren sind, z.B. installierte Hilfe-Objekte im Internet Explorer. In Abbildung 15.40 werden beispielsweise sämtliche Programme dargestellt, die beim Windows-Start ausgeführt werden. Diese Programme können blockiert oder auch dauerhaft vom Autostart entfernt werden. Verdächtige Einträge können zur Prüfung an die Spynet-Community gesendet werden. Dabei werden keine persönlichen Daten übertragen. Abbildung 15.40: Der System Explorer
Um von dem jeweiligen Konfigurationspunkt wieder in das Hauptmenü zu gelangen, müssen Sie auf die Registerkarte an der linken Seite klicken.
731
Sandini Bib
15 Sicherheit unter Windows XP
15.7.5 Löschen Sie Ihre Spuren im Internet
Tracks Eraser unter Windows AntiSpyware
Sie wurden bereits darüber informiert, auf welche Weisen Datenspuren vom Computer beseitigt werden können. Dabei handelte es sich um die Spuren, bei denen die Gefahr am größten ist, dass sie ausgelesen werden könnten. Der Tracks Eraser bietet noch wesentlich weitergehende Möglichkeiten zur Spurentilgung. In einer Liste sind diverse Anwendungen aufgeführt, aus denen automatisch Datenspuren getilgt werden können. Hierbei handelt es sich um weit verbreitete Applikationen von Adobe Acrobat, ICQ, über diverse Internet Explorer- und Windows-Anwendungen bis hin zu Winrar oder Winzip. Der Tracks Eraser erkennt automatisch, welche dieser Programme auf dem System installiert sind. Diese werden in der Liste hervorgehoben (siehe Abbildung 15.41). Markieren Sie dann das gewünschte Programm und klicken auf ERASE TRACKS. Zu jeder Applikation wird angezeigt, welche Datenspuren im Einzelnen gelöscht werden können.
Abbildung 15.41: Der Tracks Eraser
15.7.6
Weitere Antispy-Programme
Neben dem ausführlich vorgestellten Programm Microsoft AntiSpyware gibt es noch eine Reihe weiterer Antispy-Programme, die teils als Freeware, teil in einer Kaufversion angeboten werden. Tabelle 15.4 informiert Sie über weitere wichtige Programme dieser Kategorie.
732
Sandini Bib
Sicherheitsvorlagen
Produktname
Anmerkungen
XP-Antispy
http://www.xp-antispy.org/ VORSICHT: Unter den Links http://www.xpantispy.de sowie http://www.xpantispy.de befinden sich 0900-Dialer. Diese Seiten haben nichts mit dem XP-Antispy-Projekt zu tun.
McAfee AntiSpyware Enterprise
http://www.mcafeesecurity.com/de/products/ mcafee/antivirus/desktop/vs_spyware.htm
Spybot Search&Destroy
http://www.safer-networking.org/de/spybotsd/ index.html
Ad-Aware
http://www.lavasoftusa.com/default.shtml.de
Spycop
http://www.spycops.com/spycop-corporate.html
15.8
Tabelle 15.4: Übersicht über weitere AntispyProgramme
Sicherheitsvorlagen
Eine Sicherheitsvorlage ist eine einzelne Datei, in der eine Reihe von vorkonfigurierten Einstellungen der Sicherheitsrichtlinie gespeichert ist. Die Vorlagen werden alle als .inf-Datei gespeichert. Es gibt eine Reihe von Vorlagen, die Sicherheitseinstellungen für verschiedene Sicherheitslevel umfassen. Die Sicherheitsvorlagen können auf Benutzer und Computer in lokalen und domänenweiten GPOs angewendet werden.
15.8.1
Übersicht über die Sicherheitsvorlagen
Insgesamt stellt Windows XP sieben verschiedene Sicherheitsvorlagen bereit. Selbstverständlich können alle diese Vorlagen nach dem Import in ein GPO noch weiter angepasst werden. Sämtliche Vorlagen befinden sich im Verzeichnis %SYSTEMROOT%\SECURITY\TEMPLATES. Tabelle 15.5 gibt Ihnen eine Übersicht über die Sicherheitsvorlagen und deren Einsatzgebiet. Sicherheitsvorlage
Beschreibung
Compatws.inf
Kompatible Sicherheitseinstellungen für Server und Clientcomputer
Hisecdc.inf
Hochsicherheitseinstellungen für DomänenController
Hisecws.inf
Hochsicherheitseinstellungen für Server und Clientcomputer
Rootsec.inf
Einstellungen zur Stammsicherheit des Systems
Tabelle 15.5: Die Sicherheitsvorlagen und ihre Bedeutungen
733
Sandini Bib
15 Sicherheit unter Windows XP
Sicherheitsvorlage
Beschreibung
Securedc.inf
Sichere Sicherheitseinstellungen für DomänenController
Securews.inf
Sichere Sicherheitseinstellungen für Server und Clientcomputer
Setup security.inf
Vordefinierte standardmäßige Sicherheitseinstellungen
Die kompatible Sicherheitseinstellung (compat*.inf) schränkt die Berechtigungen der Gruppe Hauptbenutzer ein. Dieser Gruppe gehören unter Windows standardmäßig alle authentifizierten Benutzer an. Allerdings kann diese Gruppenzugehörigkeit ein zu hohes Risiko bedeuten, sodass die Benutzer lieber nur mit den Berechtigungen der Gruppe Benutzer ausgestattet werden sollten. Die Berechtigungen werden für Dateien, Ordner oder auch Registry-Schlüssel so eingestellt, dass die Benutzer zwar noch ihre Applikationen ausführen können, aber keine darüber hinausgehenden Rechte besitzen. Die Hochsicherheitseinstellungen (hisec*.inf) sorgen für hohe Sicherheit im Netzwerkverkehr. Deshalb können die Windows 2000/XP/2003-Computer, die eine Hochsicherheitsvorlage benutzen, nur mit anderen Windows 2000/XP/2003-Computern kommunizieren. Ein Austausch mit Computern, die das Betriebssystem Windows 9x oder NT ausführen, ist nicht möglich. Über die sicheren Sicherheitsvorlagen (secure*.inf) werden sichere, empfohlene Einstellungen an allen Bereichen außer Dateien, Ordnern und Registry-Schlüsseln durchgesetzt. Die Bereiche der Registry und des Dateisystems sind bereits standardmäßig sicher konfiguriert.
15.8.2
Arbeiten mit einer Sicherheitsvorlage
Um mit den Sicherheitsvorlagen arbeiten zu können, sollten Sie zunächst eine eigene MMC einrichten. Fügen Sie dazu das Snap-In SICHERHEITSVORLAGEN zu einer leeren MMC hinzu. In dieser MMC können Sie nun darangehen, die eben beschriebenen Vorlagen zu bearbeiten. Wenn Sie eine Vorlage öffnen, befinden sich darin die Knoten, die auch in der Sicherheitsrichtlinie enthalten sind (siehe Abbildung 15.42). Sie können hier nun beliebige Änderungen und Anpassungen durchführen.
734
Sandini Bib
Sicherheitsvorlagen Abbildung 15.42: Die MMC Sicherheitsvorlagen
Nach Abschluss der Änderungen sollten Sie die neue Vorlage unter einem anderen Namen speichern. Diese neue Vorlage erscheint dann ebenfalls in der MMC. Wählen Sie aus dem Kontextmenü der neuen Vorlage BESCHREIBUNG FESTLEGEN und geben dann eine Beschreibung für die neue Vorlage an. So werden Sie immer den Überblick über die Inhalte der selbst definierten Vorlagen behalten. Um eine neue Sicherheitsvorlage zu erzeugen, wählen Sie aus dem Kontextmenü des Pfades NEUE VORLAGE. Geben Sie der neuen Vorlage einen Namen und eine Beschreibung. Die neue Vorlage beinhaltet alle Knoten, die auch die übrigen Sicherheitsvorlagen enthalten. Sie können hier nun die gewünschten Richtlinien einrichten. Sämtliche Vorlagen können auch importiert bzw. Einstellungen daraus können exportiert werden. 1. Um eine Sicherheitsvorlage in ein GPO zu importieren, wählen Sie in der MMC des GPO den Knoten COMPUTERKONFIGURATION/WINDOWS-EINSTELLUNGEN/SICHERHEITSEINSTELLUNGEN und aus dessen Kontextmenü den Eintrag RICHTLINIE IMPORTIEREN. 2. Im folgenden Fenster sehen Sie dann alle Vorlagen, die im Pfad %SYSTEMROOT%\SECURITY\TEMPLATES abgelegt sind. Wählen Sie dort die gewünschte Vorlage aus. Die neue Sicherheitsvorlage wird erst ab dem Moment gültig, in dem das GPO auf den Computer angewendet wird.
735
Sandini Bib
15 Sicherheit unter Windows XP
Weiterhin besteht die Möglichkeit, Einstellungen an den Sicherheitsrichtlinien zu exportieren. Wählen Sie dazu STARTMENÜ/ PROGRAMME/VERWALTUNG/LOKALE SICHERHEITSRICHTLINIE. Aus dem Kontextmenü des Knotens SICHERHEITSEINSTELLUNGEN wählen Sie RICHTLINIE EXPORTIEREN. Sie können dann entscheiden, ob Sie die lokale oder effektive Richtlinie exportieren möchten. Als Zielverzeichnis zum Speichern wird Ihnen der Ordner %SYSTEMROOT%\SECURITY\TEMPLATES angegeben. Das Exportieren der lokalen Richtlinie kann sinnvoll sein, um diese Einstellungen zu einem späteren Zeitpunkt wieder zurückzuspielen, da das lokale GPO von domänenbasierten GPOs außer Kraft gesetzt wird.
15.9
Die Sicherheitskonfiguration und Sicherheitsanalyse
Die Sicherheitskonfiguration und -analyse wird zum Überprüfen und Einstellen der Sicherheit verwendet. Hierzu wird eine eigene Sicherheitsdatenbank benutzt. Zur Einrichtung und Steuerung kann die MMC SICHERHEITSKONFIGURATION UND -ANALYSE erstellt werden. Fügen Sie dazu einer leeren Konsole das gleichnamige Snap-In hinzu.
15.9.1
Anlegen einer Sicherheitsdatenbank
Wenn Sie die neue MMC erstellt haben, befinden sich noch keine untergeordneten Knoten darin. Als Erstes müssen Sie eine Sicherheitsdatenbank anlegen. Diese Datenbank ist das Arbeitsverzeichnis für sämtliche Konfigurations- und Analysevorgänge. Wählen Sie aus dem Kontextmenü DATENBANK ÖFFNEN. Sie können nun entweder eine neue Sicherheitsdatenbank (.sdb-Datei) anlegen oder eine bereits bestehende öffnen. Wenn Sie eine neue Datenbank angelegt haben, müssen Sie im Fenster VORLAGE IMPORTIEREN eine Sicherheitsvorlage auswählen, die in die Datenbank geladen werden soll. Sie haben alle Vorlagen des Verzeichnisses %SYSTEMROOT%\SECURITY\TEMPLATES zur Auswahl. Sobald die Datenbank angelegt ist, erscheinen die Knoten mit ihren Einstellungen in der MMC. Sie haben auch die Möglichkeit, mehrere Datenbanken anzulegen und in jede Datenbank eine Vorlage zu importieren. Die Inhalte der verschiedenen Arbeitsdatenbanken werden automatisch zu einer Verbundvorlage zusammengefasst. Wollen Sie hingegen in eine bestehende Datenbank eine neue Vorlage importieren, die die
736
Sandini Bib
Die Sicherheitskonfiguration und Sicherheitsanalyse
bereits geladene Vorlage überschreiben soll, so wählen Sie aus dem Kontextmenü VORLAGE IMPORTIEREN und aktivieren die Checkbox DATENBANK VOR DEM IMPORTIEREN AUFRÄUMEN bei der Auswahl der Vorlage (siehe Abbildung 15.43). Abbildung 15.43: Importieren von Vorlagen in die Sicherheitsdatenbank
Wird die Checkbox nicht aktiviert, so gelten bei Unterschieden zwischen den Vorlagen die Einstellungen der zuletzt importierten Sicherheitsvorlage. Außerdem wird keine Verbundvorlage angelegt, wenn das Überschreiben aktiviert ist.
15.9.2
Die Sicherheitsanalyse
Anhand der in die Arbeitsdatenbank importierten Sicherheitsvorlagen können Sie die Sicherheit des Systems analysieren. Dabei wird der aktuelle Sicherheitsstand des Computers mit der importierten Sicherheitsvorlage verglichen. Bei der Wahl der geladenen Vorlagen sollten Sie immer darauf achten, dass diese zum Typ des zu prüfenden Rechners passen. Es macht wenig Sinn, Vorlagen für Domänen-Controller auf einem Clientcomputer zu testen oder umgekehrt. Um die Analyse zu starten, wählen Sie aus dem Kontextmenü COMPUTER JETZT ANALYSIEREN. Geben Sie dann den Pfad an, in dem das Protokoll der Analyse gespeichert werden soll. Während der Durchführung der Analyse erhalten Sie Statusinformationen über den gerade analysierten Bereich (siehe Abbildung 15.44).
737
Sandini Bib
15 Sicherheit unter Windows XP Abbildung 15.44: Die Statusanzeige während der Sicherheitsanalyse
Um die Ergebnisse zu betrachten, wählen Sie aus dem Kontextmenü PROTOKOLLDATEI ANSEHEN. Im Detailbereich der MMC sehen Sie alle getesteten Bereiche. Wollen Sie für spezielle Richtlinien die Ergebnisse sehen, so markieren Sie diese Richtlinien. Sie finden eine Gegenüberstellung der Datenbankeinstellung und der aktuellen Computereinstellung. Dabei werden übereinstimmende Werte mit einem grünen Häkchen gekennzeichnet, während Fehler ein rotes Kreuz aufweisen (siehe Abbildung 15.45). Sind an einigen Richtlinieneinstellungen keine Symbole vorhanden, befand sich diese Richtlinie nicht in der importierten Vorlage und konnte deshalb nicht analysiert werden.
Abbildung 15.45: Die Sicherheitsanalyse vergleicht die Datenbankeinstellung der Richtlinien mit der aktuellen Einstellung des Computers.
738
Sandini Bib
Die Sicherheitsprotokollierung
Die in die Arbeitsdatenbank importierten Vorlagen können nach der Analyse auf den Computer angewendet werden. Wählen Sie dazu aus dem Kontextmenü COMPUTER JETZT KONFIGURIEREN. Geben Sie einen Pfad für die Protokolldatei an. Während der Konfiguration sehen Sie wie bei der Analyse einen Statusbalken mit dem aktuellen Fortschritt. Die bei der Konfiguration vorgenommenen Änderungen werden jedoch nicht in der Sicherheitsvorlage, sondern in der Verbundvorlage in der Arbeitsdatenbank gespeichert. Um die Sicherheitsvorlage endgültig zu überschreiben, müssen Sie die Konfiguration unter demselben Namen wie die ursprüngliche Sicherheitsvorlage abspeichern. Alternativ können Sie die Verbundvorlage der Arbeitsdatenbank auch als neue Sicherheitsvorlage exportieren. Wählen Sie dazu aus dem Kontextmenü VORLAGE EXPORTIEREN und geben Sie einen Namen und Pfad für die Datei an.
15.10 Die Sicherheitsprotokollierung Über die Sicherheitsprotokollierung können erfolgreiche und/oder fehlgeschlagene Zugriffsversuche, Anmeldeversuche, Kontorichtlinien usw. überwacht werden. Standardmäßig ist die Sicherheitsprotokollierung deaktiviert und Aktivieren Sie muss erst manuell aktiviert werden. Dazu sind die folgenden diese Funktion Schritte erforderlich: 1. Öffnen Sie eine leere Konsole, fügen dieser das Snap-In GRUPPENRICHTLINIENOBJEKT-EDITOR hinzu und wählen als Objekt LOKALER COMPUTER, sofern Sie diese Konsole noch nicht im Zuge der Gruppenrichtlinienverwaltung eingerichtet haben. 2. Navigieren Sie in der Konsole zum Eintrag ÜBERWACHUNGSRICHTLINIE. Dieser befindet sich in dem Pfad COMPUTERKONFIGURATION/WINDOWS-EINSTELLUNGEN/SICHERHEITSEINSTELLUNGEN/LOKALE RICHTLINIE/ÜBERWACHUNGSRICHTLINIE. Sie sehen dort verschiedene Ereignisse, die überwacht werden können (siehe Abbildung 15.46). 3. Selektieren Sie das gewünschte zu überwachende Ereignis und wählen Sie aus dessen Kontextmenü den Eintrag EIGENSCHAFTEN. In diesem Fenster (siehe Abbildung 15.47) können Sie festlegen, ob erfolgreiche oder fehlgeschlagene Versuche oder beide protokolliert werden sollen. 4. Wählen Sie auf diese Art nacheinander alle Ereignisse aus, die protokolliert werden sollen.
739
Sandini Bib
15 Sicherheit unter Windows XP
Abbildung 15.46: Die Überwachungsrichtlinien in einem Gruppenrichtlinienobjekt des lokalen Computers Abbildung 15.47: Auswahl der zu protokollierenden Aktivität
15.11 Sicherheit in Benutzerkonten Der folgende Abschnitt beschäftigt sich mit Sicherheitseinstellungen in Windows-Benutzerkonten. Dazu zählen das Einrichten von Kennwortrichtlinien, der Umgang mit dem Administrator-Konto sowie die Option AUSFÜHREN ALS.
15.11.1 Die Kennwortrichtlinien Über Kennwortrichtlinien können bestimmte Grundsätze wie Komplexität, Kennwortlänge oder -alter für die Benutzer durchgesetzt werden. Auf diese Weise kann den Anwendern ein festes Prinzip zur Auswahl des Kennworts nahe gebracht werden. Zudem sind die Benutzer beim Einsatz der Richtlinien gezwungen, sich an die vom Administrator festgelegten Regeln zu halten.
740
Sandini Bib
Sicherheit in Benutzerkonten
Die Kennwortrichtlinien eines lokalen sowie eines Active Directory-basierten GPObesitzen identische Konfigurationsoptionen. Diese bestehen aus insgesamt sechs verschiedenen Richtlinien (siehe Abbildung 15.48). Abbildung 15.48: Die Kennwortrichtlinien festlegen
Diese sechs Kennwortrichtlinien haben folgende Bedeutung: Kennwortrichtlinie
Bedeutung
Kennwort muss Komplexitätsvoraussetzungen entsprechen
Das Kennwort muss gemäß der in Kapitel 15.11.2 definierten Anforderungen ausgewählt worden sein.
Kennwortchronik erzwingen
In der Kennwortchronik wird die Anzahl der eindeutigen, neuen Kennwörter gezählt. Erst wenn die darin bestimmte Anzahl erreicht ist, darf ein Benutzer wieder ein bereits früher verwendetes Kennwort erneut verwenden. Gültige Werte für die Kennwortchronik liegen zwischen 0 und 24. Über den Wert 0 wird die Verwendung der Kennwortchronik deaktiviert.
Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern
Diese Richtlinie ist fast vergleichbar mit dem Speichern unverschlüsselter Kennwörter. Deshalb sollte die Richtlinie auch nur dann aktiviert werden, wenn das Speichern des Kennworts mit umkehrbarer Verschlüsselung unbedingt erforderlich ist und gegenüber Sicherheitsaspekten Vorrang haben muss. Dies gilt lediglich für Anwendungen, deren Protokolle zur Benutzerauthentifizierung das Kennwort des Benutzers kennen müssen.
Tabelle 15.6: Die Kennwortrichtlinien und deren Bedeutung
741
Sandini Bib
15 Sicherheit unter Windows XP
Kennwortrichtlinie
Bedeutung Zwingend notwendig ist die Aktivierung dieser Richtlinie, wenn das Authentifizierungsprotokoll CHAP (Challenge Handshake Authentication Protocol) von RASoder IAS-Diensten (Internet Authentication Service) verwendet wird. Auch wenn unter IIS (Internet Information Services) die Digest-Authentifizierung benutzt wird, muss diese Richtlinie aktiviert werden.
742
Maximales Kennwortalter
Das Maximale Kennwortalter gibt die Anzahl der Tage an, die das Kennwort verwendet werden kann, bevor es durch den Benutzer geändert werden muss. Gültige Werte liegen zwischen 0 und 999, wobei der Wert 0 den Ablauf eines Kennworts deaktiviert. Standardmäßig liegt der Wert bei 42 Tagen. Geringere Intervalle können zwar theoretisch die Sicherheit erhöhen, es steigt aber auch die Gefahr, dass die Benutzer ihre Kennwörter vergessen und dadurch ein höherer Verwaltungsaufwand durch das Zurücksetzen von Kennwörtern erforderlich wird. Ein größeres Intervall erhöht hingegen das Risiko, dass das Kennwort von Unbefugten herausgefunden wird.
Minimale Kennwortlänge
Die Minimale Kennwortlänge bestimmt die Mindestanzahl an Zeichen, die das Kennwort besitzen muss. Gültige Werte liegen zwischen 0 und 14, wobei durch den Wert 0 auch die Eingabe eines leeren Kennworts möglich ist. Standardmäßig wird der Wert 8 empfohlen, der einen Kompromiss aus Sicherheit und Komfort für den Benutzer darstellt. Obwohl hier maximal der Wert 14 gesetzt werden kann, ist Windows XP (wie auch Windows 2000 und 2003 Server) in der Lage, Kennwörter mit maximal 28 Zeichen zu verarbeiten.
Sandini Bib
Sicherheit in Benutzerkonten
Kennwortrichtlinie
Bedeutung
Minimales Kennwortalter
Das Minimale Kennwortalter legt fest, wie viele Tage das Kennwort benutzt werden muss, bevor der Benutzer es ändern kann. Die gültigen Werte liegen zwischen 0 und 999. Mit der Einstellung 0 kann der Wert jederzeit wieder geändert werden. Die Empfehlung liegt bei 2 Tagen. Diese Richtlinie wurde implementiert, um die Benutzer daran zu hindern, die Kennwörter nicht gemäß der in der Kennwortchronik festgelegten Anzahl hintereinander zu ändern und danach wieder das ursprüngliche Kennwort zu benutzen.
15.11.2 Komplexitätsanforderungen an Kennwörter Damit ein Kennwort den Komplexitätsanforderungen genügt, müssen die folgenden Voraussetzungen erfüllt sein: 왘
Das Kennwort muss über mindestens sechs Zeichen verfügen.
왘
Aus mindestens drei der folgenden fünf Kategorien müssen Zeichen enthalten sein:
왘
왘
Großbuchstaben A-Z
왘
Kleinbuchstaben a-z
왘
Zahlen 0-9
왘
Sonderzeichen wie z.B. !, $, #, %
왘
Unicode-Zeichen
Das Kennwort darf nicht in mehr als drei Zeichen dem Namen des Benutzerkontos entsprechen. Besteht der Name des Benutzerkontos aus weniger als drei Zeichen, wird diese Komplexitätsprüfung nicht durchgeführt, da zu viele Kennwörter abgelehnt werden würden.
Besteht der Benutzername aus mehreren Teilen, so wird darin nach den Zeichen Leerzeichen, Bindestrich, Unterstrich, Komma, Punkt, Raute und Tabulator als Trennzeichen gesucht. Durch diese Zeichen wird der Benutzername in mehrere Tokens aufgeteilt. Jeder Token, der drei oder mehr Zeichen umfasst, wird mit dem Kennwort abgeglichen. Ist dieser im Kennwort enthalten, wird das Kennwort von Windows abgelehnt. Bei der Prüfung wird jedoch nicht zwischen Groß- und Kleinschreibung unterschieden.
743
Sandini Bib
15 Sicherheit unter Windows XP
Die hier beschriebenen Anforderungen an das Kennwort werden beim Erstellen bzw. beim Ändern des Kennworts erzwungen. Solange der Benutzer kein den Regeln entsprechendes Kennwort gewählt hat, kann er sich nicht an dem System anmelden. Allerdings sollte vor der Implementierung der Komplexitätsregeln den Benutzern mitgeteilt werden, welche Anforderungen an das Kennwort gestellt werden. Lautet der Benutzername beispielsweise Anton-B. Meier, so wird der Name in die drei Tokens Anton, B und Meier eingeteilt. Der zweite Token B wird automatisch ignoriert, da er weniger als drei Zeichen umfasst. Im Kennwort des Benutzers darf also an keiner Stelle die Zeichenfolge anton oder meier vorkommen.
15.11.3 Implementieren sicherer Kennwörter Wichtige KennwortregelnNeben dem Implementieren sicherer Kennwörter, die die Windows-Komplexitätsanforderungen erfüllen, sollten noch weitere Regeln für die Auswahl des Kennworts beachtet werden. Für die Wahl des Kennworts sollten die Benutzer keine Begriffe wählen, die ein potenzieller Angreifer entweder durch persönliche Kenntnis des Benutzers oder durch andere Suchmethoden herausfinden könnte. Dazu zählen die folgenden Begriffe: 왘
Namen von Kindern, Ehegatten, Haustieren oder Freunden
왘
Ein beliebiges Wort, das sich in einem Wörterbuch finden lässt
왘
Ein Geburtsdatum, eine Telefonnummer oder weitere persönliche Nummern wie KFZ-Kennzeichen oder Kontonummer
왘
Ebenso wenig sollte ein Kennwort wieder benutzt werden, das bereits früher verwendet worden ist.
Auch über diese Kennwortanforderungen bzw. Hinweise zur Sicherung des Kennworts müssen die Benutzer informiert werden. Weiterhin ist die Schulung der Benutzer im Umgang mit dem Kennwort erforderlich. Es soll ja immer noch genügend Benutzer geben (selbst Administratoren), die ihr Kennwort auf einem Zettel unter der Tastatur oder an den Monitor geklebt aufbewahren. Insbesondere der Nutzen des regelmäßigen Kennwortänderns sowie der Anforderungen sollte den Benutzern eingehend nahe gebracht werden. Erklären Sie den Benutzern, dass sie ihr Kennwort genauso geheim halten sollten wie beispielsweise die PIN ihrer Kreditkarte.
744
Sandini Bib
Sicherheit in Benutzerkonten
Kennwörter für Bildschirmschoner Ein weiteres wichtiges Thema ist die Vergabe eines Kennworts für den Bildschirmschoner. Diese Funktion ist standardmäßig deaktiviert. Ist für den Bildschirmschoner kein Kennwort aktiviert, kann zumindest der neugierige Kollege auf den Computer zugreifen. In diesem Fall hindert ihn auch das sicherste und komplexeste Kennwort nicht daran. Die Eingabe eines Kennworts zum Beenden des Bildschirmschoners kann entweder manuell auf dem Computer festgelegt oder per Gruppenrichtlinie gesteuert werden. Für die Kennwortaktivierung per Gruppenrichtlinie sind die folgenden Schritte erforderlich: 1. Öffnen Sie im GPO den Pfad BENUTZERKONFIGURATION/ADMINISTRATIVE VORLAGEN/SYSTEMSTEUERUNG/ANZEIGE. 2. Doppelklicken Sie die Richtlinie PROGRAMMNAME DES BILDSCHIRMSCHONERS und wählen AKTIVIERT. Geben Sie dann als Programmnamen beispielsweise scrnsave.scr oder den Namen eines anderen Bildschirmschoners ein und klicken auf OK. Scrnsave.scr stellt als Bildschirmschoner lediglich einen schwarzen Hintergrund dar. 3. Doppelklicken Sie dann die Richtlinie KENNWORTSCHUTZ FÜR DEN BILDSCHIRMSCHONER VERWENDEN und wählen AKTIVIERT. Klicken Sie anschließend auf OK. Die Richtlinien sollten nun wie in Abbildung 15.49 konfiguriert sein. Um auf dem Computer manuell das Kennwort für den Bildschirmschoner zu aktivieren, sind folgende Schritte nötig: 1. Öffnen Sie SYSTEMSTEUERUNG/ANZEIGE und wechseln auf die Registerkarte BILDSCHIRMSCHONER. 2. Wählen Sie dort den gewünschten Bildschirmschoner aus und markieren die Checkbox KENNWORTEINGABE BEI REAKTIVIERUNG (siehe Abbildung 15.50). Klicken Sie dann auf OK.
Abbildung 15.49: Die Kennworteingabe für den Bildschirmschoner per Richtlinie erzwingen
745
Sandini Bib
15 Sicherheit unter Windows XP Abbildung 15.50: Aktivieren der Option Kennworteingabe bei Reaktivierung
Eine weitere Möglichkeit zum Schutz vor unberechtigtem Zugriff auf den Computer ist das Sperren des Computers. Vor Verlassen des Computers wird über die Tastenkombination (Strg) + (Alt) + (Entf) das Fenster WINDOWS SICHERHEIT aufgerufen. Klicken Sie dort auf COMPUTER SPERREN. Um auf den Computer zugreifen zu können, muss zunächst wieder das Kennwort eingegeben werden.
15.11.4 Umbenennen des Administratorkontos Sobald ein Angreifer in das System eingedrungen ist und Zugriff auf die Liste der Benutzerkonten hat, wird er immer versuchen, das Administratorkonto in seine Gewalt zu bekommen. Um ihm dies zu erschweren, sollten Sie das Administratorkonto umbenennen. Sicherlich wird es für den Angreifer auch trotzdem möglich sein, aus der Anzahl der lokalen Konten herauszufinden, z.B. durch Ausprobieren, welches das getarnte Admin-Konto sein könnte. Je höher jedoch die Anzahl der Konten ist, desto schwieriger wird dies und der Angreifer gibt möglicherweise auf. Besonders sinnvoll ist das Umbenennen des Administratorkontos in einer Domäne. Bei der Anzahl der Domänenbenutzerkonten auf einem Domänen-Controller wird es schwierig herauszufinden, welches das gewünschte Konto ist, insbesondere wenn die Kontennamen alle nach einem bestimmten Schema vergeben werden.
746
Sandini Bib
Sicherheit in Benutzerkonten
Um das Administratorkonto lokal auf dem Windows XP-Client umzubenennen, führen Sie die folgenden Schritte durch: 1. Öffnen Sie die Konsole PROGRAMME/VERWALTUNG/COMPUTERVERWALTUNG und darin den Eintrag LOKALE BENUTZER UND GRUPPEN. 2. Markieren Sie das Konto ADMINISTRATOR im Container BENUTZER und wählen aus dem Kontextmenü den Eintrag UMBENENNEN. Geben Sie dann den neuen Namen ein. Beim Umbenennen eines Benutzerkontos bleibt dessen SID erhalten. Damit bleiben auch alle zugehörigen Eigenschaften wie Gruppenmitgliedschaften, Kennwörter, zugewiesene Richtlinien usw. bestehen. Zum Umbenennen von DomänenadministratorKonten in der Domäne verwenden Sie die MMC ACTIVE DIRECTORY-BENUTZER UND COMPUTER.
15.11.5 Spezielle Optionen für Administratoren Aus Sicherheitsaspekten sollte der Administrator des Windows XP-Computers nur dann unter dem Benutzerkonto Administrator oder unter einem anderen Konto mit Administratorrechten angemeldet sein, wenn er Aufgaben erledigen muss, für die er die entsprechenden Rechte benötigt. Ansonsten sollte der Administrator sich mit einer Benutzerkennung mit weniger privilegierten Rechten anmelden. Ist er mit vollen Admin-Rechten angemeldet und fängt sich während eines Internetbesuches einen Virus oder Trojaner ein, werden alle Tätigkeiten des Virus ermöglicht, die dem aktuellen Benutzerkonto möglich sind. Bei Administratorrechten können so Daten gelöscht oder Festplatten formatiert werden. Melden Sie sich deshalb über ein Konto an, dem nur minimale, aber dennoch ausreichende Berechtigungen zugewiesen sind. Sollte es dabei jedoch vorkommen, dass unvorhergesehen das Ausführen einer bestimmten Aufgabe die Administratorrechte verlangt, so kann diese Aktion dennoch unter dem gerade aktuellen Benutzerkonto ausgeführt werden, ohne dass eine Abmeldung und Neuanmeldung als Administrator am Computer erfolgen muss. Hierzu gibt es die Option Ausführen als in der grafischen Oberfläche sowie die Kommandozeilenoption RUNAS.
15.11.6 Die Option „Ausführen als“ Sie können jede ausführbare Datei, jede MMC und jedes Element der Systemsteuerung mit der Option Ausführen als starten. Dazu müssen Sie lediglich über einen Benutzernamen und ein Passwort
747
Sandini Bib
15 Sicherheit unter Windows XP
verfügen, womit das gewünschte Programm ausgeführt werden darf. Es kann jedoch möglich sein, dass diese Option fehlschlägt, wenn Sie über das Netzwerk ein Programm auf einem anderen Computer ausführen möchten. Dies ist der Fall, wenn das Benutzerkonto, das Sie bei Ausführen als angeben, nicht mit dem Konto identisch ist, von dem das Programm ursprünglich gestartet wurde, selbst wenn die Rechte des Ausführen-Kontos ausreichend sind. Um die Option Ausführen als zu benutzen, führen Sie die folgenden Schritte aus: 1. Stellen Sie fest, ob unter DIENSTE der Dienst DIENST AUSFÜHREN ALS gestartet ist. Falls dies nicht der Fall ist, starten Sie den Dienst manuell. 2. Markieren Sie die Programmdatei, Verknüpfung, MMC oder das Systemsteuerungselement, das Sie ausführen möchten, und wählen dann aus dem Kontextmenü AUSFÜHREN ALS. 3. Geben Sie nun an, unter welchem Konto Sie das Programm ausführen möchten. Dazu sind Angaben zu Benutzername, Kennwort und Domäne notwendig (siehe Abbildung 15.51). Abbildung 15.51: Die Option Ausführen als
Das Programm RUNAS wird von der Kommandozeile aus gestartet. Es erfüllt denselben Zweck wie das eben beschriebene Ausführen als. Prüfen Sie auch hier zuvor, ob unter DIENSTE der Dienst DIENST AUSFÜHREN ALS gestartet ist. RUNAS bietet die folgenden Optionen: runas [/profile] [/env] [/netonly] /user:Kontoname Programmpfad
748
Sandini Bib
Virenschutz
Die optionalen Parameter haben folgende Bedeutung: /profile: Profilpfad des Benutzerkontos, nur nötig, wenn ein Pro-
fil geladen werden muss /env: wenn die Netzwerkumgebung statt der lokalen Umgebung verwendet werden soll /netonly: wenn die Benutzerinformationen nur für den Remote-
Zugriff gültig sind /user: im Format Computername\Konto bzw. unter 2000 Konto@Computername
Programmpfad: Pfad zur ausführbaren Datei. Befinden sich Leerzeichen im Programmpfad, müssen die Angaben in Anführungszeichen gesetzt werden. Eine RUNAS-Befehlszeile könnte folgendermaßen aussehen: runas /user: [email protected] "mmc %windir%\system32\Konsole1.msc" (¢)
Das Passwort für das Konto können Sie nach Aufforderung eingeben.
15.12 Virenschutz Unverzichtbar zum Schutz des Betriebssystems ist natürlich eine Antivirensoftware. Hierzu bietet Microsoft allerdings (noch) keine eigene Lösung an. Die Herstellerpalette ist breit gefächert. Welche Applikation vom Funktionsumfang und von den Lizenzkosten her die günstigste Wahl ist, wird jeder Administrator für sich selbst entscheiden müssen. Möglicherweise sind für ein Unternehmensnetzwerk auch Lösungen interessant, bei denen die Clients von einem Server aus mit der Antivirensoftware und den erforderlichen Updates versorgt werden.
Virenschutz wird trotz aller Risiken oft vernachlässigt
Um zunächst verschiedene Versionen zu testen, sollten Sie sich von den einzelnen Herstellern Demoversionen besorgen. Diese werden vielfach auch zum Download bereitgestellt. In Tabelle 15.7 finden Sie eine Übersicht zur Demosoftware der wichtigsten Antivirensoftware-Hersteller. Produkt
Hinweise
Norton Antivirus 2005
http://www.symantec.com/region/de/ Demoversion verfügbar, diverse DownloadMöglichkeiten im Internet
Kaspersky Anti-Virus
Demoversionen finden Sie unter http:// www.kaspersky.com/de/downloads
Tabelle 15.7: Übersicht über Demosoftware der gängigsten Antivirenlösungen
749
Sandini Bib
15 Sicherheit unter Windows XP
Produkt
Hinweise
McAfee System Protection
http://www.mcafeesecurity.com/de/ products/mcafee/antivirus/category.htm Demoversionen finden Sie unter http:// www.mcafeesecurity.com/de/downloads/ evals/
F-Secure Anti-Virus
http://www.f-secure.de/solutions/enterprise.shtml
Sophos Enterprise Solutions
http://www.sophos.de/products/es/ Enthält u.a. eine Gateway- und Antivirenlösung.
Trend Micro
http://de.trendmicro-europe.com/enterprise/products/product_overview.php
15.13 E-Mail-Sicherheit Zum Thema E-Mail-Sicherheit gehören drei wesentliche Punkte: Die Verschlüsselung von Nachrichten, der Umgang mit Dateianhängen sowie das Verhindern von Spam-Mail. Im Folgenden finden Sie für jeden der drei Punkte einige Hinweise zur Sicherheitsmaximierung.
15.13.1 Nachrichtenverschlüsselung Eine E-Mail wird standardmäßig im Klartext über das Internetprotokoll versendet. Daraus ergibt sich das Problem, dass die E-Mail nicht nur während des gesamten Sendevorgangs über das Internet, sondern auch später im Postfachspeicher des Mail-Client ausgelesen werden kann. Auch wenn sich eine Kopie der E-Mail noch auf dem Server des Internetproviders befindet, liegt diese dort im Klartext vor. Abhilfe schafft in diesem Fall die Verschlüsselung der E-Mail. Systeme aufeinander abstimmen
Bei der Verschlüsselung ist zu bedenken, dass der Sender die E-Mail verschlüsselt, der Empfänger sie aber auch wieder entschlüsseln können muss. Da es verschiedene Verschlüsselungssysteme gibt, muss oftmals zum Ver- und Entschlüsseln dieselbe Software verwendet werden. Benutzt der Empfänger nun eine andere Verschlüsselungssoftware als der Sender, kann er die E-Mail möglicherweise nicht entschlüsseln. Eine übergreifende Möglichkeit dazu ist die PGP-Verschlüsselung (Pretty Good Privacy). Die Installation und Konfiguration ist zwar nicht ganz einfach, dennoch ist PGP ein sehr weit verbreitetes Verfahren. Weitere Hinweise finden Sie auf der Homepage http:// www.pgp.com.
750
Sandini Bib
E-Mail-Sicherheit
Die wichtigste Software zur E-Mail-Verschlüsselung ist die Steganos Security Suite, aktuell in der Version 7. Weitere Hinweise sowie eine kostenlose Testversion dieser deutschsprachigen Software finden Sie auf der Homepage http://www.steganos.com.
15.13.2 Spam-Mail Spam-Mails sind unerwünschte Werbe-Mails. In den meisten Fällen werden Produkte wie z.B. Viagra, Microsoft-Produkte für 50 US-$, ominöse Kredite oder die Aussicht auf 50.000 US-$ in einem Monat usw. beworben. Diese E-Mails stellen zwar keine unmittelbare Gefahr dar; dennoch ist es lästig, und vor allem auch zeitaufwendig, diese Spam-Mails aus dem Posteingang auszusortieren. Die Absender der Spam-Mails suchen die E-Mail-Adressen in aller Regel mit Hilfe automatisierter Programme. Wurde Ihre E-MailAdresse einmal über ein solches Programm gefunden, können Sie ziemlich sicher sein, dass Ihre Adresse auch von weiteren Programmen gefunden wird oder die E-Mail-Listen weiterverkauft werden. Dies bedeutet, dass künftig noch mehr Spam-Mails im Postfach landen werden. Sofern noch keine Spam-Mails eingetroffen sind, sollten Sie die folgenden Ratschläge beherzigen, um das Auffinden der E-MailAdresse zu erschweren. 왘
Wenn Sie Ihre E-Mail-Adresse im Internet hinterlegen, geben Sie diese nicht in der Form name@domäne.de an, sondern verwenden Sie die Form nameATdomäne.de. Diese Form ist inzwischen weit verbreitet und wird von anderen Internetbenutzern verstanden.
왘
Besitzen Sie eine eigene Domäne und verfügt diese über mehrere E-Mail-Adressen, so sollten Sie für verschiedene Zwecke eigene E-Mail-Adressen einrichten. Abonnieren Sie einen Newsletter beispielsweise unter der Adresse newsletter1@domäne.de, einen anderen unter newsletter2@domäne.de und kaufen Sie in einem Webshop unter shop@domäne.de ein. Auf diese Weise können Sie zurückverfolgen, über welche Seite Ihre E-Mail-Adresse an eine Spam-Liste gelangt ist. Löschen Sie dann die entsprechende Adresse und melden Sie sich gegebenenfalls mit einer anderen E-Mail-Adresse wieder an.
왘
Möchten Sie die E-Mail-Adressen der eigenen Domäne nicht verwenden, können Sie sich auch mehrere Konten bei E-MailDiensten wie GMX, Hotmail oder Yahoo einrichten.
751
Sandini Bib
15 Sicherheit unter Windows XP 왘
Haben Sie sich auf einer Seite registriert, beachten Sie unbedingt, welche zusätzlichen Angaben u.U. automatisch ausgewählt sind. Auf vielen Seiten findet sich die Auswahloption „Senden Sie mir regelmäßig E-Mails von uns und unseren Partnern“. Haben Sie dieser Option zugestimmt, darf Ihre E-Mail-Adresse rechtlich gesehen auch weitergegeben werden.
Sind Sie bereits geplagter Empfänger von Spam-Mails, sollten Sie darüber nachdenken, ob Sie nicht Ihre E-Mail-Adresse ändern und dann die genannten Sicherheitsratschläge konsequent anwenden. Spam-Filter Spam-Filter sind Programme, die automatisch versuchen, SpamMails auszusortieren und nicht in den Posteingang zu versenden. Die unterschiedlichen Anbieter solcher Programme setzen dabei verschiedene Erkennungsmuster ein. So kann entweder in der Betreffzeile einer E-Mail oder auch im Text nach verdächtigen Schlagwörtern oder Zeichenfolgen gesucht werden, z.B. nach Viagra oder der auch beliebten Form v*i*a*g*r*a. Eine andere Möglichkeit besteht darin, die Absender-Domänen der Spam-Mails ausfindig zu machen und alle Mails dieser Domänen automatisch zu blockieren. Einige dieser Spam-Filter werden ähnlich wie ein Antivirenprogramm online aktualisiert und sind somit immer auf einem aktuellen Stand. Je nach Programmoption werden die Spam-Mails entweder in einem separaten Ordner gespeichert oder gleich gelöscht. Auch freie E-Mail-Dienste wie z.B. GMX bieten den so genannten Spamverdacht-Ordner, in dem alle potenziellen Werbe-Mails abgelegt werden.
15.13.3 E-Mail-Anhänge Schulen Sie die Benutzer im Umgang mit Dateianhängen
Die beste Maßnahme, sich vor Viren in E-Mail-Anhängen zu schützen, besteht darin, die Anhänge unbekannter Absender nicht zu öffnen. Allerdings können Sie auch über einen vermeintlich sicheren Absender einen Virus bekommen: Sofern der Virus auf dem Computer des Absenders sein Unwesen treibt und sich selbstständig an die Einträge seines Adressbuchs weiterverbreitet. Natürlich kann auch unbewusst ein virenbehafteter Dateianhang versendet worden sein. Besondere Beachtung sollte Dateianhängen der Typen *.exe, *.bat sowie *.scr geschenkt werden. Auch in Office-Dateien wie *.doc, *.xls oder *.ppt können Gefahren durch Makroviren lauern.
752
Sandini Bib
Schutz vor Dialern
Um einen Dateityp immer zu erkennen, sollte die Anzeige der Dateinamenerweiterung aktiviert sein. Öffnen Sie dazu in einem Explorer-Fenster das Menü EXTRAS/ORDNEROPTIONEN. Auf der Registerkarte ANSICHT deaktivieren Sie die Option ERWEITERUNGEN BEI BEKANNTEN DATEITYPEN AUSBLENDEN.
15.14 Schutz vor Dialern Ein Computer ist dem Problem von Dialern ausgesetzt, wenn er die Internetverbindung über ein Modem, eine ISDN-Karte oder eine externe Telefonanlage herstellt. Anstelle des gewöhnlichen Einwahlprogramms, z.B. über T-Online, kann über einen Dialer eine kostenträchtige Verbindung über eine 0190- oder 0900-Nummer hergestellt werden. Die Kosten liegen bei einem Dialer im günstigsten Fall bei drei bis vier Euro pro Minute, jedoch gibt es auch Dialer, bei denen die Minutengebühr bei 50 Euro und mehr liegt. Sie sehen also, dass ein Dialer ein recht teurer Spaß werden kann. Auch wenn Sie gegen die in der Telefonrechnung aufgelisteten Verbindungen Einspruch erheben können und in vielen Fällen rechtlich gesehen auch auf der sicheren Seite sind, bringt dies zusätzlichen Ärger und kostet Zeit. Verwenden Sie hingegen einen DSL-Anschluss, so besteht nicht die Gefahr, dass ein Dialer eine ungewollte Wählverbindung aufbaut, weil die Internetverbindung über eine LAN-Verbindung hergestellt wird. Sofern sich jedoch in einem über DSL verbundenen Computer zusätzlich eine ISDN-Karte befindet und diese konfiguriert ist, etwa um beim Ausfall des DSL dennoch eine Verbindung herstellen zu können, so ist dieser Computer genauso gefährdet wie die übrigen nicht DSL-basierten Computer. Der sicherste Schutz gegen das Herstellen ungewollter Verbindun- Sperren gen ist das Sperren sämtlicher 0190- und 0900-Nummern bei Ihrem bestimmter Rufnummern Telefonanbieter, z.B. der Telekom. Sind diese Nummern gesperrt, können sie von Ihrem Telefonanschluss aus nicht mehr gewählt werden. Müssen Sie zu einem späteren Zeitpunkt eine kostenpflichtige 0190-Hotline anrufen , können Sie dies vom Handy aus erledigen. Eine softwareseitige Lösung zum Schutz vor Dialern stellt das Programm Steganos Internet Security dar. Aktuell ist die Version 7. Das Programm ist in deutscher Sprache. Weitere Hinweise finden Sie auf der Herstellerseite http://www.steganos.de. Auch Programme wie SpyBot Search&Destroy, Download Sniffer 10.0 oder 0190 Warner bieten einen umfangreichen Schutz vor Dialern.
753
Sandini Bib
15 Sicherheit unter Windows XP
15.15 Rechteverwaltung Für die Absicherung von Daten gegen den missbräuchlichen Zugriff ist eine konsequente Umsetzung der Rechteverwaltung erforderlich. Zahlreiche Zugriffe auf eigentlich vertrauliche Daten erfolgen aus den Reihen der eigenen Mitarbeiter. Dabei muss den Mitarbeitern nicht unbedingt eine böse Absicht unterstellt werden. Aber angenommen, die vertraulichen Daten des Unternehmens sind so wenig gesichert, dass Mitarbeiter Müller auf der Suche nach Projektdaten auf dem Dateiserver –begünstigt durch eine mangelnde Struktur in der Ablage der Daten – auf einen Ordner Arbeitsverträge stößt und, angetrieben von ein wenig Neugierde, so an die Gehaltsinformationen des Kollegen Meier gelangt, haben Sie in Ihrem Unternehmen ein Sicherheitsproblem durch falsche Vergabe von Benutzer- und/oder Dateirechten. Je größer ein Unternehmen ist, desto komplexer ist auch die Planung von Berechtigungen. Sofern die Windows XP-Clients Mitglieder einer Domäne sind, vereinfacht sich das Zuweisen von Benutzerrechten, indem Sie die Benutzer bestimmten Gruppen hinzufügen. Da bereits in Kapitel 9 die Vorteile der Clients in einer Domäne gegenüber einer Arbeitsgruppe vorgestellt wurden, setzen die folgenden Konzepte zur Rechteplanung eine Domäne voraus.
15.15.1 Planung von Rechten für Gruppen und Benutzer In diesem Kapitel lernen Sie nun das Anwenden der verschiedenen Gruppen kennen. Zunächst bekommen Sie eine Übersicht über die planerische Strategie, um bestimmte Benutzer bestimmten Gruppen zuzuweisen. Auch die Simplifizierung der Gruppenverwaltung über Verschachtelung von Gruppen wird Ihnen vorgestellt.
15.15.2 Welche Art von Gruppe soll verwendet werden? Benutzergruppen werden in die beiden drei Gruppenbereiche Global, Domänenübergreifend lokal sowie Universell unterteilt. Tabelle 15.8 gibt eine Übersicht über die Eigenschaften dieser Gruppenbereiche. Erfahren Sie nun, wie Sie Benutzer den verschiedenen Gruppen sinnvoll zuordnen können. Dabei sollten Sie auch an Aspekte wie Flexibilität und Wachstum denken.
754
Sandini Bib
Rechteverwaltung
Gruppenbereich
Mitgliedschaft
Ressourcenzugriff
Global
Mitglieder der lokalen Domäne
auf Ressourcen beliebiger Domänen
Domänenübergreifend lokal
Mitglieder aus einer beliebigen Domäne
auf Ressourcen der lokalen Domäne
Universell
Mitglieder aus einer beliebigen Domäne
auf Ressourcen beliebiger Domänen
Tabelle 15.8: Eigenschaften der Gruppenbereiche
Gruppenzuordnung im gemischten Betriebsmodus Die erste beschriebene Strategie bezieht sich auf die Verteilung globaler und domänenübergreifender Gruppen im gemischten Betriebsmodus des Active Directory. Beziehen Sie die folgenden Punkte in die Planung mit ein: 왘
Untersuchen Sie zunächst, wie Sie allgemeine Tätigkeitsfelder der Benutzer in Ihrem Unternehmen zusammenfassen und benennen können. Sie könnten etwa Gruppen wie Personalabteilung, Buchhaltung, Vertrieb usw. definieren. Legen Sie diese Gruppen als globale Gruppen fest und weisen ihnen die Benutzerkonten zu.
왘
Prüfen Sie dann, welche Ressourcen von den eben erstellten globalen Gruppen gemeinsam genutzt werden müssen. Hierzu gehören z.B. bestimmte freigegebene Ordner oder Drucker. Erstellen Sie für diese Ressourcen eigene domänenübergreifende Gruppen.
왘
Fügen Sie in einem dritten Schritt nun die globalen Benutzergruppen zur domänenübergreifenden lokalen Gruppe hinzu und konfigurieren die Zugriffsrechte für die domänenübergreifende Gruppe. Damit erhalten alle globalen Gruppen automatisch dieselben Zugriffsrechte, weil sie Mitglied der domänenübergreifenden Gruppe sind.
왘
Durch das Aufteilen der Gruppen in globale und domänenübergreifende Gruppen erzielen Sie eine hohe Flexibilität, da Sie domänenübergreifende Mitgliedschaften und Zugriffe auf Ressourcen miteinander kombinieren. Würden Sie alle Benutzer und Ressourcen nur in globalen Gruppen zusammenfassen, so könnten die Benutzer zwar auf Ressourcen aller Domänen zugreifen, aber Sie müssten bei der Verwendung mehrerer Domänen für jede globale Gruppe separat die Zugriffsrechte einrichten, auch wenn alle globalen Gruppen dieselben Rechte erhalten sollen.
왘
Richten Sie hingegen ausschließlich domänenübergreifende lokale Gruppen ein, so können Sie den Mitgliedern keine Berechtigungen für Ressourcen zuweisen, die sich außerhalb
755
Sandini Bib
15 Sicherheit unter Windows XP
der Domäne befinden. Sollte sich Ihr Netzwerk vergrößern und die Einrichtung neuer Domänen erfordern, so bleibt den Benutzern der Zugriff auf die Ressourcen der übrigen Domänen verwehrt. Gruppenzuordnung im einheitlichen Betriebsmodus Führen Sie Ihre Domäne bereits im einheitlichen Modus aus, sollten Sie die folgende Strategie anwenden. Dies gilt auch für den Betriebsmodus Windows Server 2003 in der Domänen- und Gesamtstrukturfunktionsebene. 왘
Fassen Sie die Benutzer in universellen Gruppen zusammen, die auf Ressourcen in mehreren Domänen zugreifen müssen. Im Gegensatz zu globalen Gruppen sind Sie bei universellen Gruppen nicht mehr darauf beschränkt, dass die Benutzer einer Domäne angehören müssen. Fügen Sie mehrere globale Gruppen als Mitglied einer universellen Gruppe hinzu.
왘
Wenn Sie die Mitgliedschaft universeller Gruppen ändern, müssen diese Änderungen an alle Domänen-Controller repliziert werden, aus deren Domänen Sie Mitglieder in der Gruppe haben bzw. hinzufügen oder entfernen. Um hier die Belastung zu minimieren, fügen Sie nur Mitglieder zu universellen Gruppen hinzu, die diese Mitgliedschaft langfristig behalten sollen.
Tabelle 15.9 gibt Ihnen eine Zusammenfassung der möglichen Mitglieder der drei Gruppenbereiche in den beiden Windows 2000Betriebsmodi: Tabelle 15.9: Übersicht über die Gruppenmitgliedschaften
Gruppenbereich Gemischter Modus
Einheitlicher Modus
Global
Benutzer und globale Alle Benutzer derselben Domäne Gruppen derselben Domäne
Domänenübergreifend
Benutzer und globale Gruppen aller Domänen
Benutzer, globale und universelle Gruppen aller Domänen, domänenübergreifende Gruppen derselben Domäne
universell
Nicht verfügbar
Benutzer, globale und universelle Gruppen aller Domänen
Sie sehen also, dass Sie die größte Freiheit bei der Zusammenstellung von Gruppenmitgliedern in der Verwendung von universellen Gruppen haben. Fügen Sie aber nur Mitglieder zu universellen Gruppen hinzu, wenn dies absolut notwendig ist.
756
Sandini Bib
Drahtlose Sicherheit
Verschachteln von Gruppen Auch das Verschachteln von Gruppen, das auch Zusammenführen von Gruppen genannt wird, kann Ihnen die Administration der Gruppen erleichtern. Angenommen, Sie haben in jeder Domäne eine Gruppe Verkäufer. Konfigurieren Sie die entsprechenden Eigenschaften für jede Gruppe. Um anschließend nur allen Verkäufern aller Domänen Zugriff auf bestimmte Ressourcen zu ermöglichen, führen Sie die einzelnen Verkäufergruppen zu einer übergeordneten Verkäufergruppe zusammen. Sie müssen dann ausschließlich für diese übergeordnete Gruppe den Ressourcenzugriff konfigurieren statt für jede einzelne Verkäufergruppe.
15.16 Drahtlose Sicherheit Wenn Sie den Begriff Drahtlose Sicherheit hören, denken Sie Nicht nur WLAN bestimmt zunächst an die Absicherung des drahtlosen Netzwerks. Dies ist zwar richtig, aber ebenso sollten Sie sich auch Gedanken über andere drahtlose Geräte wie z.B. drahtlose Tastaturen machen. Diese Geräte können ebenfalls ein großes Sicherheitsrisiko darstellen.
15.16.1 Drahtlose Tastaturen Sofern Sie eine drahtlose Tastatur verwenden oder auch die Anschaffung eines solchen Geräts planen, sollten Sie darauf achten, dass die Verschlüsselung der Funksignale der Tastatur möglich ist. Sind die Funksignale nicht verschlüsselt, können übertragenen Signale der Tastatureingaben mitverfolgt und aufgezeichnet werden. Gerade in dicht bebauten Komplexen oder Bürohochhäusern ist diese Gefahr nicht zu unterschätzen. Hinweise darauf, ob eine drahtlose Tastatur die Funksignale verschlüsseln kann, finden Sie auch auf den Herstellerseiten im Internet.
15.16.2 Absicherung des W-LAN und Router Verwenden Sie für die Internetverbindung einen Router, der gleichzeitig noch als Firewall und als Wireless Access Point dient, so müssen Sie eine korrekte, sichere Konfiguration dieses Geräts sicherstellen. Verfügt der Router zugleich auch über das Feature eines Wireless Access Point und werden in Ihrem Unternehmen keine WirelessGeräte eingesetzt, sollten Sie die Funktionalität des Router unbedingt abschalten. Ansonsten besteht das Risiko, dass sich fremde Benutzer unauthorisiert Zugang zu Ihrem Netzwerk verschaffen können. Genaue Hinweise zum Deaktivieren dieses Feature
757
Sandini Bib
15 Sicherheit unter Windows XP
finden Sie in der Dokumentation Ihres Router. Benutzen Sie hingegen Wireless-Geräte, so müssen Sie den Access Point entsprechend absichern, um den unauthorisierten Zugriff auszuschließen oder zumindest stark zu minimieren. Dazu zählt, dass Sie zunächst ein Passwort für die Konfiguration des Router festlegen. Dabei sollte es sich nicht um das Standardpasswort handeln, das die Hersteller für ihre Geräte vergeben. Als Nächstes sollten Sie die Verschlüsselung aktivieren. Dazu können Sie entweder die WEP-Verschlüsselung (Wired Equivalent Privacy) oder die 802.1x-Authentifizierung anwenden. Die 802.1x-Authentifizierung ist neuer und sicherer als WEP. Bei beiden Verfahren handelt es sich um ein Sicherheitsprotokoll, bei dem die Daten bei der Übertragung über die Radiowellen von einem Gerät zum anderen verschlüsselt werden. Bei der WEP-Verschlüsselung müssen Sie manuell einen Sicherheitsschlüssel erstellen, der dann zwischen dem Access Point und den Wireless-Geräten ausgetauscht wird. Unter 802.1x wird dieser Sicherheitsschlüssel automatisch generiert. Wenn Sie bei der WEP-Verschlüsselung die Wahl zwischen einem 64 Bit- und einem 128 Bit-Schlüssel haben, sollten Sie immer den längeren Schlüssel benutzen. Für weitere Sicherheit sollten Sie die MAC-Filterung (Media Access Control) aktivieren. Hierzu müssen Sie die MAC-Adressen der im Netzwerk verwendeten Wireless-Karten herausfinden und die Liste der Adressen im Router eintragen. Damit wird sichergestellt, dass nur die Karten mit den aufgelisteten MAC-Adressen Zugriff auf den Access Point haben. Um die MAC-Adresse einer Netzwerkkarte auszulesen, geben Sie an der Eingabeaufforderung den Befehl ipconfig /all ein. Die MAC-Adresse wird unter Physikalische Adresse (siehe Abbildung 15.52) angezeigt. Abbildung 15.52: Das Ermitteln der MAC-Adresse einer Wireless-Netzwerkkarte
Haben Sie die MAC-Filterung aktiviert, müssen Sie die Liste auf dem Router aktualisieren, sobald Sie eine neue Wireless-Karte im Netzwerk hinzufügen oder eine Karte entfernen. Ausführliche Beschreibungen aller dieser Sicherheitsimplementierungen wurden bereits in Kapitel 8 gegeben.
758
Sandini Bib
Zertifikate
15.17 Zertifikate Ein Zertifikat ist ein Nachweis, dass ein bestimmter öffentlicher Schlüssel eines Verschlüsselungsverfahrens zu dem angegebenen Benutzer, Computer oder Dienst gehört. Über ein Zertifikat können Daten verschlüsselt und digital signiert werden. Durch diese Signatur werden die Integrität und Authentizität der Daten sichergestellt. Nahezu alle Zertifikate beruhen auf dem X.509.v3-Standard. Bei der Verwendung von Zertifikaten gibt es immer einen Antrag- Aufbau der steller. Dies ist der Empfänger des Zertifikates undeine Zertifizie- ZertifikatsInfrastruktur rungsstelle, die das Zertifikat ausstellt. Die Zertifizierungsstelle wird auch als CA (Certification Authority) abgekürzt. Ein Zertifikat kann auch nachträglich von der CA gesperrt werden. In einem Zertifikat sind die folgenden Informationen enthalten: 왘
Name des Inhabers
왘
Öffentlicher Schlüssel des Inhabers
왘
Seriennummer
왘
Gültigkeitsdauer
왘
Name der Zertifizierungsstelle
Die Inhalte des Zertifikates werden mit dem privaten Schlüssel der Zertifizierungsstelle signiert und können mit deren öffentlichem Schlüssel geprüft werden. Ist der Schlüssel eines Zertifikates nicht mehr sicher, können die Zertifikate gesperrt werden. Damit ein Zertifikat als echt gekennzeichnet ist, erhält es die Signatur einer vertrauenswürdigen Instanz, z.B. einer Behörde. Über deren Signatur kann die Echtheit des Zertifikats bewiesen werden. Da hierzu jedoch auch der öffentliche Schlüssel der Zertifizierungsstelle prüfbar sein muss, muss es eine oberste Zertifizierungsinstanz geben. In Deutschland werden sämtliche Zertifizierungsanbieter wie z.B. VeriSign in einer Liste der Regulierungsbehörde für Telekommunikation und Post (RegTP) geführt. Anbieter, die nicht in dieser Liste enthalten sind, gelten als nicht vertrauenswürdig.
15.17.1 Verwendungszweck Im Unternehmen gibt es unterschiedliche Verwendungszwecke für Zertifikate. Alle haben das gemeinsame Ziel, die Sicherheit zu erhöhen. In einem großen Unternehmen kann es auch mehrere Zertifizierungsstellen geben, die alle einer Stammzertifizierungsstelle untergeordnet sind. So kann ein Benutzer Zertifikate unterschiedlicher Anbieter besitzen, die aber alle auf einer Vertrauensstellung zur Stammzertifizierungsstelle beruhen.
759
Sandini Bib
15 Sicherheit unter Windows XP
In einem Unternehmen können Sie Zertifikate für Benutzer einrichten. Es können von einer kommerziellen Zertifizierungsstelle wie VeriSign Zertifikate erworben und zum Senden verschlüsselter oder digital signierter E-Mails verwendet werden. Der Empfänger kann prüfen, ob der Absender und der Inhalt der E-Mail geändert wurden. Dazu muss er derselben Zertifizierungsstelle vertrauen, die das Zertifikat für den Absender ausgestellt hat. Ist die Nachricht zusätzlich noch verschlüsselt, kann nur der Empfänger diese entschlüsseln. Auch für die Client-Authentifizierung am Server, z.B. bei einer VPN-Verbindung, können Zertifikate verwendet werden. So kann der VPN-Server den VPN-Client authentifizieren, bevor der Datenaustausch beginnt. Außer der Authentifizierung am VPN-Server kann das Client-Zertifikat noch weitere Zwecke erfüllen, z.B. Zugriff auf Datenbankressourcen oder Intranetseiten. Für die im Zertifikatsspeicher vorhandenen Zertifikate auf dem Computer gibt es vier grundlegende Quellen: 1. Das Zertifikat ist im Lieferumfang von Windows XP enthalten und auf der Windows XP-CD gespeichert. 2. Sie verwenden eine Anwendung, z. B. einen Internetbrowser für eine SSL-Sitzung, in deren Verlauf nach dem Herstellen einer Vertrauensstellung Zertifikate auf dem Computer gespeichert werden. 3. Sie haben ein Zertifikat explizit akzeptiert, z. B. wenn Sie Software installieren oder eine verschlüsselte oder digital signierte E-Mail von anderen Benutzern erhalten. 4. Sie fordern ein Zertifikat von einer Zertifizierungsstelle an, z. B. ein Zertifikat für den Zugriff auf bestimmte Ressourcen einer Organisation.
15.17.2 Der Zertifikatsspeicher Alle vom Internet Explorer oder von Windows verwendeten Zertifikate werden im Zertifikatsspeicher des Computers abgelegt. Diese können von unterschiedlichen Stellen ausgestellt worden sein und unterschiedliche Verwendungszwecke aufweisen. Über die Zertifikats-MMC können die Zertifikate nach ihrem Verwendungszweck oder ihrem logischen Speicher angezeigt werden. Über dieses Verwaltungsinstrument kann gezielt nach Zertifikaten im Zertifikatsspeicher gesucht werden. Es ist auch möglich, Zertifikate zu importieren und zu exportieren.
760
Sandini Bib
Zertifikate
15.17.3 Die Zertifikats-MMC Über die Zertifikats-MMC kann der Administrator sowohl den eigenen Zertifikatsspeicher als auch den Speicher aller Computer und Dienste verwalten. Er muss dazu lediglich über die entsprechenden Berechtigungen verfügen. Die MMC ist standardmäßig nicht in der Computerverwaltung enthalten. Sie können entweder das Snap-In ZERTIFIKATE zu einer neuen MMC hinzufügen oder diese unter AUSFÜHREN über den Aufruf certmgr.msc (¢) starten. In der MMC werden die Zertifikate des aktuellen Benutzers angezeigt. Sollen die Zertifikate eines Computer- bzw. Dienstkontos angezeigt werden, fügen Sie das Snap-In ZERTIFIKATE zu einer neuen MMC hinzu und wählen das gewünschte Konto aus. Dieses kann sich auf dem lokalen oder einem Netzwerkcomputer befinden. Abbildung 15.53 zeigt die MMC für den aktuellen Benutzer. Abbildung 15.53: Die MMC Zertifikate mit den Einträgen des aktuellen Benutzers
In der MMC werden die Inhalte des Zertifikatsspeichers nach logischen Gruppen sortiert angezeigt. Um im Zertifikatsspeicher nach einem bestimmten Zertifikat zu suchen, wählen Sie aus dem Kontextmenü von ZERTIFIKATE – ALLE BENUTZER oder einem der Unterordner den Eintrag ZERTIFIKATE SUCHEN. Als Suchkriterium können der Antragsteller, der Ausstellende, die Seriennummer oder ein Hash-Wert (siehe Abbildung 15.54) verwendet werden.
761
Sandini Bib
15 Sicherheit unter Windows XP Abbildung 15.54: Die Suchoptionen für ein Zertifikat
Weiterhin können über die MMC Zertifikate importiert und exportiert werden. Wählen Sie für den Import im entsprechenden Unterordner den Kontextmenüeintrag ALLE TASKS/IMPORTIEREN und für den Export den Eintrag /EXPORTIEREN des Zertifikats. Durch beide Vorgänge werden Sie von einem ausführlichen Assistenten geleitet. Um weitere Informationen zu einem Zertifikat zu erhalten, wählen Sie aus dessen Kontextmenü den Eintrag ÖFFNEN. Auf der Registerkarte ALLGEMEIN wird der Zweck des Zertifikats angegeben. Zudem erhalten Sie eine Information, wenn das Zertifikat noch nicht oder nicht mehr gültig ist. Auf der Seite DETAILS (siehe Abbildung 15.55) werden umfangreiche Informationen zum Zertifikat und zu dessen Inhalt angezeigt. Über EIGENSCHAFTEN BEARBEITEN können die Zertifikatseigenschaften modifiziert werden. Unter ZERTIFIZIERUNGSPFAD wird die hierarchische Position der Zertifizierungsstelle angezeigt. Abbildung 15.55: Details eines Zertifikats anzeigen
762
Sandini Bib
Rechtliche Aspekte zur Angriffserkennung und Beweissicherung
15.18 Rechtliche Aspekte zur Angriffserkennung und Beweissicherung Als letztes Kapitel der Sicherheit werden Ihnen hier nun einige, Die Verantrechtliche Informationen im Zusammenhang mit Angriffen, Gegen- wortung des Administrators maßnahmen und Beweissicherung vorgestellt. Die im Rahmen der Angriffserkennung (Intrusion Detection, ID) gesammelten Daten müssen zwei wesentliche Kriterien erfüllen: Sie müssen einerseits datenschutzrechtlich behandelt und andererseits auch rechtsverwertbar in der späteren Beweisführung sein.
15.18.1 Datenschutzrechtliche Grundlagen Auch die im Rahmen der Intrusion Detection gesammelten Daten müssen datenschutzrechtlichen Grundsätzen entsprechen. Hierbei sind besonders die folgenden Paragraphen zu beachten: 왘
Bundesdatenschutzgesetz (BDSG) § 14,4 sowie § 31
왘
Betriebsverfassungsgesetz (BtrVG) § 87,1 für nicht-öffentliche sowie öffentlich-rechtliche Wettbewerbsunternehmen
왘
Personalvertretungsrecht des Bundes oder Landes für öffentliche Stellen
왘
Gesetz über die Nutzung von Telediensten (TDG)
왘
Gesetz über den Datenschutz bei Telediensten (TDSG) § 4 bis 6
15.18.2 Rechtsverwertbarkeit Die von einem ID-System gesammelten Audit-Daten sind kein rechtsverbindliches Beweismittel wie beispielsweise Urkunden nach § 416 der Zivilprozessordnung (ZPO), sondern werden im Rahmen der freien Beweisführung, ähnlich wie eine Zeugenaussage, verwendet. Der Wert dieser Daten liegt damit im Ermessensbereich des Gerichts oder eines Sachverständigen. Der vermeintlich geringere Beweiswert der Audit-Daten liegt darin begründet, dass diese theoretisch nachträglich modifiziert oder auch unvollständig dargebracht werden können. Dieses Problem stellt sich weniger, wenn Sie ein ID-System verwenden, das über eine automatische Integritätssicherung verfügt, z.B. eine digitale Signatur der Audit-Daten. Allerdings muss dann auch sichergestellt sein, dass der Schlüssel für die Signatur vertraulich behandelt wird.
763
Sandini Bib
15 Sicherheit unter Windows XP
Folgende Rechtsnormen sind anwendbar: 왘
Strafprozessordnung (sSTPO), § 72 ff.
왘
Zivilprozessordnung (ZPO), § 415
Um den rechtlichen Ansprüchen zu genügen, müssen in jedem Fall die folgenden Voraussetzungen erfüllt sein: 왘
Sind die Audit-Daten personenbezogen, so muss die Person darüber informiert werden, dass diese Daten gesammelt werden.
왘
Nach Beendigung der Nutzung der personenbezogenen Daten müssen diese gelöscht werden.
왘
Die Nutzungsdaten müssen zusätzlich pseudonymisiert werden.
왘
Die Audit- und Nutzungsdaten müssen fälschungssicher zertifiziert sein. Nach Sammlung der Daten muss deren Integrität gewährt bleiben, z.B. durch Ausdruck, Speichern auf CD usw.
15.18.3 Gegenmaßnahmen auf einen Angriff Die Gegenmaßnahmen auf einen Angriff werden auch als Intrusion Response (IR) bezeichnet. Die zu ergreifenden Maßnahmen auf einen Angriff müssen vom Unternehmen im Betriebsführungshandbuch in den Gesamtsicherheitsrichtlinien festgelegt sein. Sie sollten dort ein eigenes Kapitel IR-Richtlinien bilden. Um eine Gegenmaßnahme einleiten zu können, müssen zunächst Informationen über den Angreifer bekannt sein. Es ist also nicht immer ratsam, die Verbindung zum Angreifer sofort zu trennen. Es kann durchaus sinnvoll sein, ihn zunächst kontrolliert seine Angriffe durchführen zu lassen. Dabei muss es eine Regelung geben, welche Angriffe zumindest temporär gestattet werden sollen. Dies mag sich zwar auf den ersten Blick wenig sinnvoll anhören, hat aber durchaus seine Berechtigung. Das wichtigste Ziel der Identifikation besteht darin, die richtige IP-Adresse des Angreifers zu ermitteln. Diese Aufgabe ist umso anspruchsvoller, als ein Angreifer in den seltensten Fällen den Angriff direkt von seinem Rechner aus starten wird, sondern entweder einen anderen Computer quasi als Sprungbrett benutzt oder IP-Adressen-Spoofing anwendet. Der Zweck der IR liegt in zwei Zielen: den Angreifer ausfindig machen und weitere Schäden abwenden bzw. bereits entstandene Schäden beheben.
764
Sandini Bib
Rechtliche Aspekte zur Angriffserkennung und Beweissicherung
Insgesamt gibt es drei Möglichkeiten, die Maßnahmen der IR umzusetzen: 왘
automatische Maßnahmen, die vom verwendeten IR-System automatisch ausgeführt werden,
왘
halbautomatische Maßnahmen, bei denen automatische IR-Maßnahmen sowie weitere manuelle Schritte zusammenspielen sowie
왘
rein manuelle IR-Maßnahmen.
Die Kunst besteht darin, im Einzelfall des Angriffs zu entscheiden, welche Maßnahmenstrategie die beste ist. Dies ist abhängig vom Angriffsverhalten sowie von den betroffenen Computern und den darauf gespeicherten Daten. Zudem müssen die Maßnahmen mit den vom Unternehmen definierten Sicherheitsrichtlinien in Einklang stehen. Schadensbegrenzung durch Abschottung Sobald ein Computer angegriffen worden ist, sollte der folgende Katalog von Sofortmaßnahmen angewendet werden. Bedenken Sie jedoch bei jedem Schritt, dass ein Ziel der IR auch die Identifikation des Angreifers sein soll und deshalb die Verbindung nicht zu schnell abgebrochen werden darf. 왘
Schließen Sie die betroffenen TCP/UDP-Ports.
왘
Lehnen Sie sämtliche Datagramme ab, die von der IP-Adresse des Angreifers stammen.
왘
Beenden Sie Programme und Dienste.
왘
Sofern der Angriff aus einer internen Quelle stammt, muss das betreffende Benutzerkonto sofort gesperrt werden.
Das Ablehnen der Datagramme sollte immer der erste Schritt sein, bevor Dienste oder Anwendungen beendet werden. Hierzu muss kurzfristig eine Konfigurationsänderung auf der Firewall oder dem Router vorgenommen werden. Während dieser Rekonfiguration muss natürlich gewährleistet sein, dass Firewall oder Router weiterhin ihre Funktion wahrnehmen können. Zudem muss sich das IR-System auch gegenüber dem rekonfigurierten System wieder authentifizieren können. Sobald ein Dienst beendet wurde, muss sichergestellt sein, dass dieser nach einer gewissen Zeit wieder neu gestartet werden kann. Ansonsten wäre es dem Angreifer möglich, gegen diesen Dienst oder sogar gegen das gesamte System DoS-Attacken zu starten.
765
Sandini Bib
15 Sicherheit unter Windows XP
Schadensbegrenzung durch Gegenangriff Geltendes Recht muss beachtet werden.
Im Gegensatz zur Abschottungsstrategie ist diese Maßnahme vor allen Dingen rechtlich wesentlich brisanter. Sobald ein System angegriffen wird, kann es einen automatischen Gegenangriff starten. Ziel dieses Angriffs ist in aller Regel eine DoS-Attacke (Denial of service), um dadurch den Angriffsrechner außer Gefecht zu setzen. Diese Angriffsform hört sich zwar recht einfach in der Umsetzung an, dennoch müssen in jedem Fall die folgenden Punkte bedacht werden: 왘
Es ist zunächst sicherzustellen, dass der angreifende Computer der wirkliche Angreifer ist und nicht nur für diesen Zweck missbraucht wird.
왘
Es ist die richtige IP-Adresse des Angreifers ermittelt worden. Bedenken Sie, dass IP-Spoofing als probates Mittel zur Verschleierung der IP-Adresse angewendet sein kann.
왘
Der Gegenangriff muss gerechtfertigt sein. Bedenken Sie hier Punkte wie Verhältnismäßigkeit und Selbstjustiz.
Nicht jeder rein technisch durchführbare Gegenangriff ist auch juristisch vertretbar. Und die Durchführung des automatischen Gegenangriffs sollte nicht unbedingt im Gerichtssaal mit einer Klage gegen Ihr Unternehmen enden. Identifikation des Angreifers Zur Identifikation des Angreifers ist eine umfassende Protokollierung notwendig. Das eingesetzte Intrusion Detection System (IDS) sollte in der Lage sein, diese Protokollierung im Falle eines Angriffs selbsttätig zu starten. Während der Identifikation sind dem Angreifer zunächst weitere Aktionen möglich. Allerdings sollte man ihn hierzu in eine Art „Gummizelle“ locken, in der er keinen weiteren Schaden anrichten kann. Hierbei handelt es sich um einen zuvor für derartige Zwecke präparierten Computer. Sofern der Angreifer weitere Computer als Sprungbretter benutzt, muss auch auf diesen eine ausführliche Protokollierung aktiviert werden. Folgende weitere Identifikationsmöglichkeiten bieten sich an:
766
왘
DNS-Suche nach dem betreffenden Computer. Dies wird jedoch in den seltensten Fällen zum Erfolg führen, da der Angreifer eigene Schutzmechanismen verwendet.
왘
Benachrichtigen eines CERT (Computer Emergency Response Team)
Sandini Bib
Rechtliche Aspekte zur Angriffserkennung und Beweissicherung 왘
Alarmierung der Administratoren der Computer, die als Sprungbretter benutzt werden. Der schnellste und sinnvollste Weg ist hier das Telefon und nicht die E-Mail. Auf diese Weise kann auch auf diesen Computern die Protokollierung aktiviert werden.
Sofern der Angreifer seine Aktionen jedoch über eine Telefonleitung oder einen X.25-Zugang ausübt, wird seine Nachverfolgung wesentlich schwieriger. Um Telefonleitungen abzuhören, ist in jedem Fall eine richterliche Genehmigung erforderlich. Schadensbegrenzung und -beseitigung Ein weiteres Ziel der IR ist die Schadensbegrenzung und -beseitigung auf den betroffenen Systemen. Die hier einzuleitenden Maßnahmen sind abhängig von der Art des Angriffs sowie der dadurch entstandenen Schäden. Ein wichtiges Mittel sind Sicherungskopien, um wieder den Status vor Beginn des Angriffs herstellen zu können. Hierbei sind jedoch zwei Punkte entscheidend: Wurde der Angriff rechtzeitig erkannt, sodass die Aktualität der Sicherungskopie gewährleistet ist? Und kann zudem sichergestellt werden, dass die Inhalte der Sicherung nicht vom Angreifer verfälscht worden sind? Befindet sich auf dem System ein Trojanisches Pferd, so muss gewährleistet sein, dass dieses auch nach Einspielen der Sicherung nicht mehr vorhanden ist. Ansonsten kann der Angreifer nach wie vor auf den Computer zugreifen. Entstandene Schäden lassen sich in die folgenden Schadensklassen einteilen: 왘
Integritätsverlust Der Angreifer konnte auf dem System auf Daten zugreifen und diese manipulieren. Auch geänderte Konfigurationseinstellungen fallen in diese Kategorie.
왘
Verfügbarkeitsverlust Auf dem System wurden Daten gelöscht oder durch andere Daten ersetzt.
왘
Authentizitätsverlust Der Angreifer kann seine Handlungen unter einem anderen Benutzernamen ausführen. Ihm ist es möglich gewesen, Informationen wie den Autor einer E-Mail oder eines Dokuments zu fälschen.
767
Sandini Bib
15 Sicherheit unter Windows XP 왘
Vertraulichkeitsverlust Der Angreifer hat Zugriff auf vertrauliche, geschützte Dateien erlangt, die nur bestimmten Personen zugänglich sind, z.B. Passwortdateien oder sensible Bilanzdaten. Bei dieser Form handelt es sich um die schwerwiegendste Schadensklasse, da die Vertraulichkeit im Gegensatz zu den übrigen Punkten nicht wiederhergestellt werden kann.
15.18.4 Testen der Sicherheit durch eigene Angriffe Ein sehr probates Mittel zum Testen der Sicherheitseinstellungen ist der eigene Angriff auf das Netzwerk und die Computer. Bevor derartige Maßnahmen durchgeführt werden, muss in jedem Fall Rücksprache mit der Geschäftsführung gehalten werden. Diese muss den Angriffsversuchen aus den eigenen Reihen auf das Unternehmen vorher unbedingt zustimmen. Anderenfalls könnten die Angriffe falsch interpretiert werden und der im guten Glauben handelnde Administrator wird zu einem Verdächtigen oder Sündenbock. Um vielschichtige Angriffe ausführen zu können, sollten Sie natürlich auch über die Programme und Werkzeuge verfügen, die ein potenzieller Hacker einsetzt. Besonders hilfreich ist in diesem Zusammenhang die Zusammenstellung derartiger Hackertools auf der Sicherheits-CD Hackers best friend. Diese CD wird ca. einmal jährlich aktualisiert herausgegeben. Diese CD enthält eine umfangreiche Sammlung von Tools und Programmen mit ausführlichen Anleitungen, sodass der Administrator rasch in die Rolle des Hackers schlüpfen kann, um zu versuchen, in sein eigenes Netzwerk zu gelangen und dieses anzugreifen.
768
Sandini Bib
16
Systemüberwachung, -pflege und -optimierung Stephanie Knecht-Thurmann
Dieses Kapitel beschäftigt sich mit der Überwachung und Pflege des Windows XP-Systems. Dazu zählen die Überwachung der Systemleistung, der Leistungsmonitor, Einblicke in die Ereignisprotokolle und die Verwaltung von Diensten und Prozessen. Einen weiteren Schwerpunkt nimmt auch die Leistungsoptimierung ein. Zu diesem Zweck verfügt Windows XP über eine Reihe von effektiven Bordmitteln. Zur Überwachung des Systems stehen verschiedene Möglichkeiten zur bereit, beispielsweise die Systemleistung, der Leistungsmonitor oder die Leistungsprotokolle.
16.1
Die Systemleistung
Einen schnellen Überblick über die aktuelle Systemleistung und -auslastung bekommen Sie über den Task-Manager. Dieser wird über die Tastenkombination (Strg)+(Alt)+(Entf) aufgerufen. Wechseln Sie dort auf die Registerkarte SYSTEMLEISTUNG (siehe Abbildung 16.1). Hier lesen Sie in Echtzeit die aktuellen Werte der CPU-Auslastung und die Größe der Auslagerungsdatei. Für diese beiden Angaben sehen Sie zusätzlich auch einen Verlauf der Leistungsdaten. Über das Menü ANSICHT können Sie die Aktualisierungsgeschwindigkeit der Anzeige anpassen. In diesem Menü können Sie auch die Option KERNEL-ZEITEN ANZEIGEN wählen. In diesem Fall werden in dem Diagramm der CPU-Auslastung die Anteile des Kernel daran in roter Farbe dargestellt. Sobald der Task-Manager minimiert wird, erhalten Sie im Infobereich der Taskleiste ein zusätzliches Symbol. In diesem grünen Balkendiagramm wird die aktuelle Auslastung der CPU angezeigt. Dazu darf im Menü OPTIONEN nicht der Eintrag AUSBLENDEN, WENN MINIMIERT aktiviert sein.
769
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
Weiterhin erhalten Sie Angaben zur Anzahl der laufenden Handles, Threads und Prozesse sowie für den Physikalischen Speicher (RAM) und den Kernel-Speicher zu dem insgesamt verfügbaren, ausgelagerten und nicht ausgelagerten Speicher. Abbildung 16.1: Die Registerkarte Systemleistung im Task-Manager
16.2 Umfangreiche Informationen zur Computerleistung
Der Leistungsmonitor
Wesentlich mehr und aussagekräftigere Leistungsdaten des Systems als die Systemleistung liefert der Leistungsmonitor. Um diesen aufzurufen, wählen Sie in der Verwaltung den Eintrag LEISTUNG oder geben unter AUSFÜHREN den Befehl perfmon.msc ein. Sie erhalten dann die in Abbildung 16.2 dargestellte Verwaltungskonsole. Ein Leistungsindikator ist ein vom Systemmonitor gelieferter Wert für das damit verknüpfte Leistungsobjekt. So liefert z.B. der Leistungsindikator Prozessorzeit einen Wert für das Leistungsobjekt Prozessor. Im rechten Fenster sehen Sie eine in Echtzeit verlaufende Darstellung verschiedener Leistungsindikatoren des Computers. Sobald dabei die senkrechte rote Linie den rechten Rand erreicht hat, wechselt sie nach links und stellt von dieser Seite an wieder die aktuellen Daten dar.
770
Sandini Bib
Der Leistungsmonitor Abbildung 16.2: Der Leistungsmonitor zeigt eine Reihe von Indikatoren zur Überwachung an.
Standardmäßig sind drei Leistungsindikatoren für die Anzeige aktiviert (SEITEN/S für das Leistungsobjekt SPEICHER, DURCHSCHNITTL. WARTESCHLANGENLÄNGE DES DATENTRÄGERS für das Objekt DATENTRÄGER sowie PROZESSORZEIT für das Objekt PROZESSOR). Um weitere Indikatoren hinzuzufügen, klicken Sie entweder auf das Symbol des Pluszeichens oder Sie klicken mit der rechten Maustaste in einen Bereich der Grafik und wählen den Eintrag LEISTUNGSINDIKATOREN HINZUFÜGEN. Sie erhalten dann das in Abbildung 16.3 dargestellte Fenster. Abbildung 16.3: Hinzufügen zusätzlicher Leistungsindikatoren
Im oberen Bereich wählen Sie aus, für welchen Computer die Leistungsindikatoren angezeigt werden sollen.
771
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
Unter DATENOBJEKT können Sie aus einer langen Liste von knapp 50 Objekten das gewünschte auswählen. Die Anzahl der verfügbaren Indikatoren ist abhängig von der auf dem System installierten Software. Zu diesem Objekt können Sie entweder ALLE LEISTUNGSINDIKATOREN oder nur bestimmte Indikatoren wählen. Sofern für die Indikatoren verschiedene Instanzen verfügbar sind, können Sie auch hier ALLE INSTANZEN oder nur bestimmte Instanzen wählen. Klicken Sie dann auf HINZUFÜGEN. Sind alle Leistungsindikatoren gewählt, klicken Sie auf SCHLIEßEN. Haben Sie einmal die Schaltfläche ERKLÄRUNG angeklickt, erscheint unter dem Fenster ein zusätzliches Fenster (siehe Abbildung 16.4), in dem zum markierten Leistungsindikator eine Beschreibung angezeigt wird. Abbildung 16.4: Für jeden Leistungsindikator kann eine umfangreiche Erläuterung angezeigt werden.
Sobald ein neuer Leistungsindikator ausgewählt worden ist, wird dieser in einer neuen Farbe im Diagramm angezeigt. Möchten Sie einen Indikator wieder entfernen, markieren Sie diesen und klicken auf das X-Zeichen.
16.2.1
Allgemeine Einstellungen des Leistungsmonitors
Über das Symbol EIGENSCHAFTEN (viertes von rechts) oder die Tastenkombination (Strg) + (Q) können Sie verschiedene Grundeinstellungen des Leistungsmonitors bearbeiten. Ein großer Teil dieser Einstellungen bezieht sich auf die Darstellungsweise der Daten (siehe Abbildung 16.5). Über die Menüleiste (siehe Abbildung 16.6) stehen noch weitere Optionen zur Verfügung. Diese 16 Symbole haben folgende Bedeutung (siehe Tabelle 16.1).
772
Sandini Bib
Der Leistungsmonitor Abbildung 16.5: Über die Eigenschaften des Leistungsmonitors können verschiedene Darstellungsoptionen gewählt werden.
Abbildung 16.6: Die Symbolleiste des Leistungsmonitors
SymbolNummer
Beschreibung
1
Es wird ein neuer Satz an Indikatoren erstellt. Die aktuell gewählten Indikatoren gehen dabei verloren.
2
Löschen der aktuellen Indikator-Leistungsanzeige und Aufbau einer neuen Grafik
3
Es werden die aktuellen Werte der Indikatoren und keine gespeicherten Werte angezeigt.
4
Es können Protokolldaten aufgezeichneter Protokolle dargestellt werden. Diese werden dann statt der aktuellen Daten angezeigt.
5
Schaltet den standardmäßigen Grafikmodus ein.
6
Zeigt die Leistungsindikatoren in einem Histogramm an.
7
Zeigt einen Bericht der Leistungsindikatoren an.
8
Hinzufügen eines neuen Leistungsindikators
9
Löschen eines bestehenden Leistungsindikators
10
Hebt den im unteren Fenster gewählten Indikator in der Grafik hervor.
11
Der aktuelle Satz an Indikatoren wird kopiert.
12
Der kopierte Satz der Indikatoren wird eingefügt.
Tabelle 16.1: Übersicht über die Symbole des Leistungsmonitors
773
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
SymbolNummer
Beschreibung
13
Öffnet das Eigenschaftsfenster des Leistungsmonitors.
14
Die Anzeige wird angehalten, sodass ein bestimmter Status länger betrachtet werden kann.
15
Nur verfügbar, wenn die Anzeige angehalten ist. Die Grafik wird in Einzelschritten aktualisiert.
16
Aufruf der Hilfe
16.2.2 ScreenshotFunktion des Leistungsmonitors
Speichern von Ausschnitten der Anzeige
Der Leistungsmonitor bietet auch eine Screenshot-Funktion für die aktuelle Anzeige. Um den jeweils aktuell angezeigten Inhalt zu erfassen, klicken Sie mit der rechten Maustaste in die Anzeige und wählen aus dem Kontextmenü den Eintrag SPEICHERN UNTER. Sie haben die Möglichkeit, den aktuellen Inhalt in eine .HTMLDatei zu speichern, die später mit einem beliebigen Webbrowser betrachtet werden kann. Auch in der HTML-Ansicht können Sie bestimmte Einträge hervorheben oder die Ansichtsoptionen wechseln. Außer im HTMLFormat kann der aktuelle Inhalt als Bericht im Tabulator-getrennten Format abgespeichert werden. Sie können diese Datei mit einem Texteditor oder komfortabler mit Microsoft Excel öffnen.
16.3
Leistungsprotokolle
Sie können zur Ansicht der Leistungsprotokolle entweder auf den entsprechenden Eintrag in der Konsole LEISTUNG zurückgreifen oder das Snap-In LEISTUNGSPROTOKOLLE UND WARNUNGEN zu einer neuen Konsole hinzufügen, wenn Sie lieber für jede Aufgabe eine separate Konsole verwenden möchten (siehe Abbildung 16.7).
Abbildung 16.7: Die MMC Leistungsprotokolle und Warnungen
774
Sandini Bib
Leistungsprotokolle
16.3.1
Erstellen eines Leistungsindikatorprotokolls
Die Leistungsindikatoren können auch in ein Protokoll gespeichert Protokolle für werden. Dies ist sinnvoll, um frühere Leistungsdaten zum Ver- statistische Auswertungen gleich abrufen zu können, etwa wenn die Hardware-Ausstattung des Computers verbessert wurde und dabei untersucht werden soll, ob sich die Leistung verbessern konnte. Die Leistungsprotokolle werden als .blg-Datei (Binary Performance Log) gespeichert. Diese Dateien können mit einem beliebigen Texteditor geöffnet werden. Um ein Leistungsindikatorprotokoll zu erstellen, wählen Sie aus dem Kontextmenü von LEISTUNGSINDIKATORPROTOKOLLE den Eintrag NEUE PROTOKOLLEINSTELLUNGEN und geben einen Namen für das Protokoll an. Es öffnet sich dann das in Abbildung 16.8 dargestellte Fenster. Abbildung 16.8: Auswahl der Objekte oder Indikatoren für die Protokollierung
Klicken Sie hier auf OBJEKTE HINZUFÜGEN oder INDIKATOREN HINZUFÜGEN, um im letzteren Fall nur einzelne Indikatoren und nicht ein vollständiges Leistungsobjekt hinzuzufügen. Bereits hinzugefügte Elemente können auch wieder entfernt werden. Zusätzlich können Sie das Protokollierungsintervall bestimmen. Auf der Registerkarte PROTOKOLLDATEIEN können Sie das Format der Datei bestimmen. Sie kann als Komma-getrennte oder Tabulator-getrennte Textdatei, Binärdatei, Binäre Zirkulärdatei oder SQLDatenbank gespeichert werden. Zusätzlich stehen verschiedene
775
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
Optionen für die Dateierweiterung zur Verfügung. So kann dort beispielsweise automatisch das Datum in verschiedenen Formaten eingefügt werden. Über die Registerkarte ZEITPLAN kann für die Protokollierung ein Zeitplan eingestellt werden, nach dem diese automatisch durchgeführt wird. Sie können hier die Start- und Endzeit für die Protokollierung bestimmen. Weiterhin kann bestimmt werden, ob nach Abschluss der Protokollierung ein neues Protokoll angelegt werden soll.
16.3.2
Aufrufen eines Leistungsprotokolls
Nachdem Sie ein Leistungsprotokoll erstellt haben, können Sie dessen Daten wieder laden. Hierzu klicken Sie im Leistungsmonitor auf die Schaltfläche PROTOKOLLDATEN ANZEIGEN oder verwenden die Tastenkombination (Strg)+(L). Wechseln Sie dann auf die Registerkarte QUELLE (siehe Abbildung 16.9). Klicken Sie dort auf HINZUFÜGEN und wählen Sie eine Protokolldatei aus. Standardmäßig befinden sich diese Dateien im Ordner PERFLOGS auf der Systempartition. Gültige Dateiendungen einer Protokolldatei sind .blg, .csv und .tsv. Haben Sie das Protokoll als SQL-Datenbank gespeichert, wählen Sie diese unter DATENBANK aus. Weiterhin können Sie über die Schaltfläche ZEITRAUM nur einen bestimmten Abschnitt der Protokollierung anzeigen lassen. Um den Zeitraum einzugrenzen, ziehen Sie rechts und links den Schieberegler in die gewünschte Position. Ist die Schaltfläche ZEITRAUM nicht gewählt, wird der gesamte Inhalt des Protokolls angezeigt. Klicken Sie auf OK. Im Leistungsmonitor wird damit von der Echtzeiteinstellung in die statische Einstellung der protokollierten Einträge gewechselt. Auch hier haben Sie die Möglichkeit, Einträge hervorzuheben oder die Art der Darstellung zu ändern. Leistungsprotokolle und Sätze von Leistungsindikatoren können nicht nur wie eben beschrieben über die GUI angelegt werden. Sie können stattdessen auch das Kommandozeilenprogramm logman benutzen. Weitere Hinweise zu den verfügbaren Kommandozeilenoptionen erhalten Sie über den Aufruf logman -? (¢).
776
Sandini Bib
Protokolle der Ablaufverfolgung Abbildung 16.9: Auswahl des anzuzeigenden Protokolls und dessen Optionen
16.4
Protokolle der Ablaufverfolgung
Ein weiterer Punkt unter den Leistungsdatenprotokollen lautet Aktuelle, PROTOKOLLE DER ABLAUFVERFOLGUNG. Ein Protokoll der Ablauf- kontinuierliche Daten verfolgung beinhaltet Daten bestimmter Leistungsindikatoren. Im Gegensatz zum Leistungsprotokoll werden hier jedoch die Daten kontinuierlich gemessen. Um ein Ablaufprotokoll zu erstellen, wählen Sie aus dem Kontextmenü den Eintrag NEUE PROTOKOLLEINSTELLUNGEN und legen einen Namen für das Protokoll fest. Sie können für dieses Protokoll verschiedene Einstellungen vornehmen (siehe Abbildung 16.10). Zunächst müssen Sie auswählen, welche Ereignisse protokolliert werden sollen. Sie können entweder unter VOM SYSTEMANBIETER PROTOKOLLIERTE EREIGNISSE vordefinierte Ereignisse auswählen. Alternativ können Sie über ANBIETERSTATUS eine andere Option wählen oder über NICHT-SYSTEMANBIETER einen anderen Anbieter hinzufügen. Die Einstellungen unter PROTOKOLLDATEIEN und ZEITPLAN entsprechen denen der Leistungsprotokolle. Ein Ablaufverfolgungsprotokoll trägt die Dateiendung .etl. Zusätzlich können auf der Registerkarte ERWEITERT Puffereinstellungen für das Protokoll festgelegt werden. Bevor das Protokoll in die Datei geschrieben
777
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
wird, werden die Daten temporär vom Protokolldienst in den Speicherpuffer geschrieben. Sobald die hier zu wählende Puffergröße (Standard 4 KB) mit Daten gefüllt ist, werden die Daten in die Protokolldatei geschrieben. Abbildung 16.10: Die Konfigurationsoptionen für ein Ablaufverfolgungsprotokoll
16.5
Warnungen
Um eine neue Warnung zu konfigurieren, wählen Sie aus dem Kontextmenü den Eintrag NEUE WARNUNGSEINSTELLUNGEN und legen einen Namen dafür fest. Danach nehmen Sie die Konfigurationseinstellungen vor (siehe Abbildung 16.11). Zunächst müssen Sie über HINZUFÜGEN einen oder mehrere Leistungsindikatoren auswählen. Für jeden dieser Indikatoren ist dann unter LIMIT ein Wert einzutragen, bei dessen Unter- oder Überschreiten eine Warnung ausgegeben wird. Die Art der Warnung wird auf der Registerkarte AKTION festgelegt (siehe Abbildung 16.12). Standardmäßig wird ein Eintrag in das Ereignisprotokoll der Anwendung vorgenommen. Als weitere Optionen können Sie noch eine oder mehrere der folgenden Einstellungen auswählen: Über NETZWERKMELDUNG SENDEN AN erhält ein zu bestimmender Benutzer eine Meldung über den Nachrichtendienst des Netzwerks. Soll eine weitere Protokollierung gestartet werden, wählen Sie unter LEISTUNGSDATENPROTOKOLL STARTEN
778
Sandini Bib
Warnungen
das gewünschte Protokoll aus. Die dritte Möglichkeit besteht darin, ein bestimmtes Programm zu starten. Für den Programmstart können optional noch Startparameter angegeben werden. Abbildung 16.11: Auswahl der Leistungsindikatoren und der Grenzwerte, bei denen eine Warnung ausgegeben werden soll
Abbildung 16.12: Auswahl der Aktion, die als Warnung ausgegeben werden soll
Auf der Registerkarte ZEITPLAN können wie bei den Leistungsund Ablaufverfolgungsprotokollen Start- und Endzeiten für die Protokollierung festgelegt werden.
779
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
16.6
Starten und Beenden der Protokollierungen
Die im Folgenden beschriebenen Hinweise beziehen sich auf die Leistungsprotokolle, die Ablaufverfolgungsprotokolle und die Warnungen. Öffnen Sie eine der Protokollgruppen, so sehen Sie dort eine Liste der angelegten Protokolle. Wird ein Protokoll mit einem grünen Symbol dargestellt, ist die Protokollierung aktiv. Um diese zu beenden, wählen Sie den entsprechenden Kontextmenüeintrag oder das Symbol in der Symbolleiste. Ist eine Protokolldatei mit einem roten Symbol dargestellt, so ist die Protokollierung nicht aktiv. Sie kann jedoch jederzeit wieder gestartet werden.
16.7 Vergleichswerte zu anderen Computern
Benchmark-Programme
Außer den Angeboten der Windows-Bordmittel zur Leistungsüberwachung stehen auch diverse Benchmark-Programme von Drittanbietern zur Verfügung. Diese Programme messen die Leistungsfähigkeit des Computers und setzen die ermittelten Werte in Relation zu bestimmten, vom Programm definierten Referenzcomputern. Eine große Sammlung verschiedener Benchmarks findet sich auf der Website http://www.mrfreefree.com/free_software/free_memory_ processor_benchmarks.html. Zu jedem Benchmark ist dort eine umfangreiche Beschreibung angegeben. Momentan sind dort 20 verschiedene Benchmarks verfügbar. Weitere gute Benchmark-Programme sind z.B. die Programme Dr. Hardware und Heavyload. Das Programm Dr. Hardware können Sie unter der Adresse http://www.drhardware.de/pghgload.htm herunterladen. Das Programm Heavyload steht unter dem Link www.jamsoftware.com zum Download bereit. Beide Programme sind kostenlos. Weitere Benchmark-Programme, die sich teilweise nur auf bestimmte Bereiche des Systems beziehen, finden Sie auch auf Begleit-CDs verschiedener PC-Magazine.
780
Sandini Bib
Die Ereignisprotokollierung
16.8
Die Ereignisprotokollierung
Abbildung 16.13: Die MMC Ereignisanzeige
Bezog sich die bisher besprochene Überwachung nur auf die Überwachung von Systemressourcen, so sind über die Ereignisprotokollierung weitere Überwachungsfunktionen verfügbar. Im Gegensatz zur kontinuierlichen Leistungsüberwachung werden in der Ereignisprotokollierung Zustände und Ausnahmen aufgezeichnet.
Kann auch zur Fehlersuche eingesetzt werden
Um diese Funktion aufzurufen, wählen Sie unter PROGRAMME/ VERWALTUNG den Eintrag EREIGNISANZEIGE. Sie erhalten die in Abbildung 16.13 dargestellte Konsole. Unter der Ereignisanzeige befinden sich standardmäßig drei verschiedene Protokolle. Zu jedem dieser Protokolle wird auch die Größe angezeigt. 왘
ANWENDUNG Hier werden die von den Anwendungen erzeugten Ereignisse aufgelistet. Dabei kann es sich um Installationen, Deinstallationen oder den Dienststart einer Anwendung handeln.
왘
SICHERHEIT
In diesem Protokoll werden Überwachungen von Gruppenrichtlinienobjekten protokolliert. Die Sicherheitsprotokollierung ist standardmäßig nicht aktiv und muss zunächst manuell aktiviert werden. Weitere Hinweise zur Sicherheitsprotokollierung finden Sie im Kontext des Themas Sicherheit in Kapitel 15. 왘 SYSTEM Hier werden alle vom System generierten Ereignisse aufgelistet. Dabei kann es sich beispielsweise als Quelle um Drucker, den Windows-Zeitdienst oder den Service Control Manager handeln.
781
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
Abbildung 16.14: Übersicht über verschiedene Eintragstypen in einem Protokoll
Für die Protokolle und Anwendungen werden die Ereignisse in drei Kategorien dargestellt. INFORMATIONEN geben lediglich einen Hinweis auf einen bestimmten Vorgang. Diese Einträge weisen nicht auf einen Fehler hin. WARNUNGEN beschreiben ein Problem. Bei dieser Kategorie von Einträgen sind die beschriebenen FEHLER jedoch nicht systemkritisch. Lediglich der Eintrag FEHLER weist auf ein schwerwiegendes Problem hin, das umgehend behoben werden sollte. In Abbildung 16.14 sehen Sie einen Ausschnitt aus dem System-Protokoll mit verschiedenen Kategorien von Einträgen. Um eine Warnmeldung oder einen Fehler beheben zu können, benötigen Sie weitere Informationen. Im Protokolleintrag finden sich in den Spalten EREIGNIS, QUELLE und BENUTZER bereits erste Hinweise auf das Problem. Weitere Einzelheiten erhalten Sie nach einem Doppelklick auf den Protokolleintrag. Dieser präsentiert sich wie in Abbildung 16.15 dargestellt. Abbildung 16.15: Zu jedem Ereignis werden in den Eigenschaften weitere Informationen angezeigt.
782
Sandini Bib
Die Ereignisprotokollierung
Im oberen Bereich stehen nochmals die Informationen, die bereits in der Protokollübersicht enthalten sind. Im Feld BESCHREIBUNG befinden sich ausführlichere Informationen zum aufgetretenen Fehler und oftmals auch ein direkter Link auf die Webseiten der Microsoft Knowledge Base. Sind die hier angebotenen Informationen nicht aussagekräftig genug oder finden Sie auch auf der Microsoft-Seite keine Lösung, so versuchen Sie es am besten unter dem Link http:// www.eventid.net. Auf dieser Seite geben Sie die Ereignis-ID des Fehlers an und können in einer Datenbank auf Hinweise und Lösungsansätze zugreifen, die von anderen Benutzern mit demselben Problem bereits angewendet worden sind. Die Eintragsliste der Protokollierungen kann jederzeit aktualisiert werden. Wählen Sie dazu entweder das Menü AKTION/AKTUALISIEREN oder die Taste (F5). Dadurch werden alle seit dem Aufruf oder der letzten Aktualisierung neu hinzugefügten Ereignisse angezeigt.
16.8.1
Suchen nach bestimmten Ereignissen
Eine wichtige Aufgabe ist das Suchen nach bestimmten Ereignissen innerhalb der Protokolleinträge. Sie können zwar die Einträge nach den verfügbaren Spalten sortieren und so z.B. alle Fehler mit einer bestimmten Ereignis-ID oder einer bestimmten Quelle untereinander anzeigen lassen, die Suchfunktion (siehe Abbildung 16.16) bietet jedoch komplexere Suchkriterien. Um die Suche zu starten, wählen Sie das Menü ANSICHT/SUCHEN. Tragen Sie dort die gewünschten Kriterien ein und klicken Sie auf WEITERSUCHEN. Sobald ein passender Eintrag gefunden wurde, wird zu diesem gesprungen und der Eintrag wird hervorgehoben. Anstelle der eben beschriebenen Verfahren zum Suchen von Ereignissen über die GUI können Sie auch das Kommandozeilenprogramm eventquery verwenden. Alle gültigen Parameter und deren Beschreibungen erhalten Sie über den Aufruf event query -? (¢).
783
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung Abbildung 16.16: Die Suche nach bestimmten Ereignissen in den Protokollen des lokalen Computers
16.8.2
Filtern der Ereignisse
Eine Alternative zur Suchfunktion ist das Filtern der Ereignisse. Über diese Funktion werden die angezeigten Ereignisse auf diejenigen reduziert, die mit den Filterkriterien übereinstimmen. Außer den auch in der Suchfunktion verfügbaren Kriterien kann für die Filter zusätzlich noch über VON und BIS ein bestimmter Zeitraum spezifiziert werden. Die Filterfunktion wird über das Menü ANSICHT/FILTER aufgerufen. Nachdem die Filter ausgewählt sind, werden nur noch die passenden Ergebnisse angezeigt. Um danach wieder in die vollständige Ansicht zu gelangen, wählen Sie das Menü ANSICHT/ALLE EINTRÄGE.
16.8.3
Verwalten der Protokolle
Um mit den Einträgen der Protokolle effektiv arbeiten zu können, sollten Sie die allgemeinen Eigenschaften der Protokolldateien bearbeiten und Einträge regelmäßig speichern und löschen. Für jede Protokolldatei kann eine maximale Größe bestimmt werden. Auch das Datum der ältesten erhaltenen Einträge kann eingestellt werden. Wählen Sie dazu aus dem Kontextmenü des Protokolls den Eintrag EIGENSCHAFTEN. Dort (siehe Abbildung 16.17) können die Größe der Protokolldatei sowie Optionen zum Überschreiben älterer Ereignisse konfiguriert werden.
784
Sandini Bib
Die Ereignisprotokollierung Abbildung 16.17: Die Eigenschaften eines Protokolls
Protokolle archivieren Das Archivieren der Ereignisprotokolle ist zwar nicht zwingend erforderlich, kann aber sinnvoll sein, wenn Sie zu einem späteren Zeitpunkt bestimmte Einträge als Vergleich heranziehen möchten. Zur Speicherung eines Protokolls wählen Sie den Kontextmenüeintrag PROTOKOLLDATEI SPEICHERN UNTER. Die Datei wird unter der Dateiendung .evt abgelegt. Um eine archivierte Datei zu einem späteren Zeitpunkt wieder zu betrachten, wählen Sie den Kontextmenüeintrag PROTOKOLLDATEI ÖFFNEN. Das ausgewählte Protokoll wird dann als zusätzliches Element in der Konsole angezeigt. Protokolle löschen Um den Überblick in den Protokolleinträgen zu behalten, sollten die Protokolle nach der Speicherung gelöscht werden. Durch den Löschvorgang werden sämtliche Einträge entfernt und ein neues Protokoll wird erstellt. Zum Löschen markieren Sie das gewünschte Protokoll und wählen aus dessen Kontextmenü den Eintrag ALLE EREIGNISSE LÖSCHEN. Sie können dann entscheiden, ob die Ereignisse vor dem Löschen gespeichert werden sollen oder nicht. Automatisch werden grundsätzlich die ältesten Ereignisse in den Protokollen überschrieben, sobald die Maximalgröße der Protokolldatei erreicht wird.
785
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
16.9 Computerspezifische Anpassungen je nach Leistungsstärke
Leistungsoptionen
Die Leistungsoptionen bestimmen die Systemleistung. Diese Optionen können für verschiedene Punkte wie z.B. visuelle Effekte, virtueller Speicher oder Speichernutzung konfiguriert werden. Um die Leistungsoptionen aufzurufen, führen Sie die folgenden Schritte aus: 1. Wählen Sie aus dem Kontextmenü des Arbeitsplatzes den Eintrag EIGENSCHAFTEN. 2. Wechseln Sie auf die Registerkarte ERWEITERT und klicken Sie unter SYSTEMLEISTUNG auf EINSTELLUNGEN. 3. Auf den beiden Registerkarten VISUELLE EFFEKTE und ERWEITERT (siehe Abbildung 16.18) können Sie verschiedene Einstellungen vornehmen.
Abbildung 16.18: Die Einstellungen unter den Leistungsoptionen
Die PROZESSORZEITPLANUNG bezieht sich auf die Zuweisung von Rechenzeit für die verschiedenen laufenden Prozesse. Standardmäßig ist die Zeitplanung für Programme optimiert. Dadurch wird Programmen eine höhere Rechenzeit zugewiesen als den im Hintergrund laufenden Diensten. Setzen Sie die Einstellung auf HINTERGRUNDDIENSTE um, wird allen Programmen dieselbe Rechenzeit zugewiesen. Hierdurch wird zwar eine bessere Leistung beim Wechsel zwischen verschiedenen Programmen erzielt, aber dennoch sollte die Standardeinstellung beibehalten werden.
786
Sandini Bib
Die Auslagerungsdatei
Die Auswahl HINTERGRUNDDIENSTE ist nur sinnvoll, wenn auf dem Computer speicherintensive Programme zur Grafikbearbeitung oder zum Rendering ausgeführt werden. Über SPEICHERNUTZUNG legen Sie fest, ob der größere Anteil des Arbeitsspeichers für Programme oder den Systemcache genutzt werden soll. Für einen herkömmlich genutzten Desktop-Rechner sollten Sie die Standardeinstellung PROGRAMME beibehalten. Eine Änderung auf SYSTEMCACHE ist nur sinnvoll, wenn der Computer schwerpunktmäßig Server-Funktionalitäten im Netzwerk ausführt, und wird deshalb auch eher bei Server-Betriebssystemen gewählt. Ist hier die Option SYSTEMCACHE gewählt, wird in dem Registry-Schlüssel HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\ MemoryManagement der Wert für LargeSystemCache von 0 auf 1 umgesetzt, wodurch der Cache-Speicher maximiert wird und somit größere Teile des Betriebssystems im Speicher gehalten werden können. Damit die Änderungen wirksam werden, ist ein Neustart erforderlich.
16.10 Die Auslagerungsdatei Die Auslagerungsdatei wird in der Datei Pagefile.sys gespeichert. Aus Gründen der Speicheroptimierung werden in der Auslagerungsdatei Seiten des Speichers abgelegt, die momentan nicht mehr benötigt werden. Dadurch werden im Arbeitsspeicher wieder leere Seiten geschaffen, in die neuer Programmcode geladen werden kann. Allerdings kommt es zu Leistungseinbußen, wenn auf dem System mehrere Applikationen aktiv sind und nicht alle Speicherseiten in den Arbeitsspeicher aufgenommen werden können. In diesem Fall werden die Seiten der Applikation, die weitere Seiten benötigt, in den Arbeitsspeicher geladen und dafür Seiten einer anderen laufenden Applikation in die Auslagerungsdatei verschoben. Sobald nun aber für diese Applikation wieder Speicherseiten benötigt werden, müssen diese aus der Auslagerungsdatei gelesen werden, wodurch der Vorgang wesentlich verlangsamt wird.
Je mehr Arbeitsspeicher vorhanden ist, desto weniger muss ausgelagert werden
Standardmäßig wird die Auslagerungsdatei auf derselben Partition wie das System angelegt. Sofern sich im System jedoch eine zweite Festplatte befindet, sollte die Auslagerungsdatei auf diese verschoben werden. Dies bringt einen höheren Datendurchsatz und damit Leistungsgewinn.
787
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
Zum Verschieben der Auslagerungsdatei führen Sie die folgenden Schritte aus: 1. Öffnen Sie die Registerkarte ERWEITERT über die Eigenschaften des Arbeitsplatzes und klicken unter SYSTEMLEISTUNG auf ERWEITERT. 2. Klicken Sie unter VIRTUELLER ARBEITSSPEICHER auf ÄNDERN. 3. Im Fenster VIRTUELLER ARBEITSSPEICHER (siehe Abbildung 16.19) markieren Sie zunächst die Partition, auf der Sie die Auslagerungsdatei anlegen wollen, und bestimmen dann entweder eine dynamische Größe oder lassen die Größe vom System verwalten. Klicken Sie auf FESTLEGEN, um die Einstellungen zu übernehmen. Um die Auslagerungsdatei von der ursprünglichen Partition zu entfernen, markieren Sie diese und tragen in die Felder ANFANGSGRÖßE und MAXIMALE GRÖßE jeweils den Wert 0 ein. 4. Die Größe der Auslagerungsdatei kann auch in der Registry im Schlüssel HKLM\SYSTEM\CurrentControlset\Control\SessionManager\MemoryManagement bearbeitet werden. Tragen Sie die beiden Werte in den Schlüssel PagingFiles ein. 5. Die Option KEINE AUSLAGERUNGSDATEI sollten Sie nur in Ausnahmefällen wählen, wenn der Computer über so viel Arbeitsspeicher verfügt, dass er nie Teile des Systems auslagern muss. Ist nämlich diese Option gewählt und steht kein physikalischer Arbeitsspeicher mehr zur Verfügung, können Sie nicht mehr mit dem System arbeiten und es kann zum Systemabsturz kommen. Abbildung 16.19: Bearbeiten der Optionen für die Auslagerungsdatei
788
Sandini Bib
Die Auslagerungsdatei
6. Damit die Änderungen wirksam werden, muss der Computer neu gestartet werden. Erhalten Sie im Laufe der Arbeit die Fehlermeldung, dass die Auslagerungsdatei zu klein ist, sollten Sie entweder eine höhere Maximalgröße festlegen oder die Option GRÖßE WIRD VOM SYSTEM VERWALTET wählen. Beides setzt natürlich voraus, dass sich auf der gewählten Partition noch Speicherplatzreserven befinden.
16.10.1 Optimieren des Arbeitsspeichers Für die Optimierung des Arbeitsspeichers werden auch zahlreiche Programme angeboten. In den meisten Fällen handelt es sich dabei jedoch nicht um Freeware. Die Ergebnisse dieser Programme sind höchst unterschiedlich und nicht immer unbedingt ihr Geld wert. Zudem arbeiten alle nach demselben Prinzip, das Sie mit Hilfe eines kleinen Skripts selbst anwenden können. Je länger Windows XP nach dem Start in Betrieb ist, desto mehr Kleines Skript, unnötige Daten werden auch im Arbeitsspeicher gehalten, wodurch große Wirkung der freie Speicherplatz mehr und mehr abnimmt. Um diesen wieder freizugeben, muss eine Applikation, im folgenden Beispiel das Skript, eine große Menge Speicher anfordern und sofort wieder freigeben. Dadurch werden die nicht mehr benutzten Seiten in die Auslagerungsdatei verschoben und im Arbeitsspeicher steht wieder mehr Platz zur Verfügung. Wird dieses Skript in regelmäßigen Intervallen ausgeführt, bleibt immer genügend freier Arbeitsspeicher. Um das Skript zu erstellen, tragen Sie die folgenden Zeilen in einen Texteditor ein und speichern die Datei unter dem Namen Speicherfreigabe.vbs. Wsript.Sleep 300000 Tmp = Space(32000000) Set oWsh = CreateObject(“Wscipt.Shell“) oWsh.Run “Speicherfreigabe.vbs” ,0
Im Folgenden finden Sie eine kurze Zusammenfassung über die Auswirkungen des Skripts. Das Skript ist in der Sprache VBScript geschrieben und wird über WSH (Windows Scripting Host) aufgerufen.
Listing 16.1: Ein VBScript für die regelmäßige Freigabe des Arbeitsspeichers
Über die erste Codezeile wird festgelegt, dass das Skript nach seinem Start zunächst fünf Minuten inaktiv bleiben und erst danach ausgeführt werden soll. Die Zeitangabe ist in Millisekunden anzugeben. Um hier den geeigneten Wert zu finden, müssen Sie gegebenenfalls einige Werte ausprobieren.
789
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
In der zweiten Zeile wird eine Zeichenkette angelegt, die aus 32 Millionen Leerzeichen besteht. Diese wird der Variablen tmp zugewiesen. Damit diese Zeichenkette angelegt werden kann, wird eine große Menge an Speicher angefordert. Dadurch werden nicht mehr benötigte Speicherseiten aus dem Arbeitsspeicher verschoben. Sobald das Skript abgearbeitet ist, wird dieser Arbeitsspeicher wieder freigegeben. Um diese Speicherfreigabe in regelmäßigen Intervallen ausführen zu können, wird das Skript über die beiden letzten Zeilen über die Methode Run kopiert und startet nach Ablauf des in Zeile 1 bestimmten Intervalls erneut. Um zu überprüfen, wie viel Speicher durch dieses Skript freigegeben wurde, lassen Sie sich über den Task-Manager auf der Registerkarte SYSTEMLEISTUNG den Wert VERFÜGBAR im Bereich PHYSIKALISCHER SPEICHER anzeigen. Im Beispiel in Abbildung 16.20 wurden knapp 40 MB Arbeitsspeicher freigegeben. Abbildung 16.20: Durch das Skript wurden fast 40 MB Arbeitsspeicher freigegeben.
16.10.2 Auslagerung des Kernel verhindern Beim Auslagern der Speicherseiten kann es allerdings passieren, dass Teile des Betriebssystems ausgelagert werden. Sobald jedoch Teile des Betriebssystem-Kernel ausgelagert worden sind, nimmt die Leistung des Systems stark ab. Um diese Auslagerung zu verhindern, müssen Sie einen Wert in der Registry ändern. Navigieren Sie dort zum Schlüssel HKLM\SYSTEM\CurrentControlSet\ Control\SessionManager\MemoryManagement. Ändern Sie den Wert für DisablePagingExecutive auf 1. Diese Maßnahme ist jedoch nur auf Systemen praktikabel, die mindestens 256 MB Arbeitsspeicher, am besten jedoch mindestens 512 MB besitzen. Sobald nach dieser Modifikation der Speicher erschöpft ist, können keine neuen Applikationen mehr geladen werden.
790
Sandini Bib
Windows-Dienste verwalten
16.10.3 Die Auslagerungsdatei beim Herunterfahren löschen Standardmäßig bleiben die Inhalte der Auslagerungsdatei erhalten, wenn Sie den Computer herunterfahren. Dabei können sich jedoch zwei Probleme ergeben: Erstens ist es möglich, dass Windows bei einem Problem falsche Einträge in die Auslagerungsdatei schreibt, sodass es beim Neustart des Systems zu Fehlern kommen kann, und zweitens besteht die Gefahr, dass die Inhalte der Auslagerungsdatei unrechtmäßigerweise von Dritten ausgelesen werden. Deshalb bietet Windows die Option an, die Auslagerungsdatei bei jedem Herunterfahren zu löschen und beim Start wieder neu anzulegen. Allerdings dauert es dadurch länger, bis das System wieder heruntergefahren ist. Um diese Option zu aktivieren, müssen Sie in der Registry im Schlüssel HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement den Wert für ClearPageFileAtShutdown auf 1 setzen. Ist dieser Wert nicht vorhanden, müssen Sie ihn neu erstellen.
16.11 Windows-Dienste verwalten Dienste sind Programme oder Prozesse, die auf niedriger, Hardware-naher Ebene Systemfunktionen für andere Programme unterstützen. Sie laufen grundsätzlich im Hintergrund und besitzen fast nie eine eigene grafische Oberfläche. Dienste können auch über das Netzwerk bereitgestellt werden. Dabei ist eine Veröffentlichung der Dienste im Active Directory möglich. Zur Verwaltung der Dienste steht eine eigene Verwaltungskonsole zur Verfügung. Sie erreichen diese Verwaltungskonsole über den Programmeintrag VERWALTUNG/DIENSTE. In der gleichnamigen Konsole finden Sie eine Übersicht über alle unter Windows XP installierten Dienste (siehe Abbildung 16.21). Zu jedem Dienst ist eine Beschreibung, sein Status, die Startart sowie die zugehörige Anmeldung angegeben.
791
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
Abbildung 16.21: Übersicht über die Konsole Dienste
Alle weiteren Einstellungen zu den Diensten werden über deren Eigenschaften vorgenommen. Öffnen Sie diese über das Kontextmenü des jeweiligen Dienstes. Auf der Registerkarte ALLGEMEIN (siehe Abbildung 16.22) finden Sie abermals die Beschreibung des Dienstes sowie den Pfad zur ausführbaren Datei des Dienstes. Unter STARTTYP legen Sie die Startart des Dienstes fest. Bei AUTOMATISCH wird der Dienst beim Windows-Start bzw. beim Start eines Dienstes, der von diesem abhängig ist, automatisch gestartet. Bei der Startart MANUELL erfolgt der Start, wenn dieser beispielsweise von einer Anwendung angefordert wird. Haben Sie DEAKTIVIERT gewählt, wird der betreffende Dienst niemals gestartet. Dies kann zu Problemen führen, wenn andere Dienste davon abhängig sind. Auf der Registerkarte ANMELDEN können Sie ein Benutzerkonto und Kennwort angeben, unter denen der Dienst gestartet werden soll. Standardmäßig starten Dienste unter dem Konto LOKALES SYSTEM. Weiterhin können bestimmte Hardware-Profile ausgewählt werden, für die ein Dienst ausschließlich verfügbar sein soll. Über AKTIVIEREN und DEAKTIVIEREN können Sie die Verfügbarkeit steuern.
792
Sandini Bib
Windows-Dienste verwalten Abbildung 16.22: Über die Registerkarte Allgemein können Dienste gestartet und die Startoptionen bestimmt werden.
Die Einstellungen der Registerkarte WIEDERHERSTELLEN (siehe Abbildung 16.23) sind wichtig, wenn ein Dienst nicht gestartet werden konnte oder der Dienst ausfällt. Sie können separat für den ersten, den zweiten und weitere Fehlschläge eine auszuführende Aktion bestimmen. 왘
KEINE AKTION DURCHFÜHREN Dies ist die Standardeinstellung. Kann der Dienst beim Windows-Start nicht gestartet werden, erhalten Sie lediglich ein Hinweisfenster.
왘
DIENST NEU STARTEN Hierdurch wird versucht, den Dienst erneut zu starten. Geben Sie in das Feld DIENST NACH MINUTEN NEU STARTEN den gewünschten Wert ein. Konnte der Dienst erstmalig nicht gestartet werden, weil ein anderer abhängiger Dienst noch nicht verfügbar war, sollte das Problem danach behoben sein.
왘
ALS EIN PROGRAMM AUSFÜHREN Beim Fehlschlag kann auch ein Programm ausgeführt werden. Geben Sie dieses unter PROGRAMM an und fügen gegebenenfalls Befehlszeilenparameter hinzu.
왘
COMPUTER NEU STARTEN Soll der Computer neu gestartet werden, können Sie über NEUSTARTOPTIONEN bestimmen, nach wie vielen Minuten der Neustart erfolgen soll, und optional eine Nachricht eingeben, die vor dem Neustart des Computers im Netzwerk gesendet werden soll.
793
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
Weiterhin können Sie festlegen, nach wie vielen Tagen der Zähler für die Fehlschläge des Dienstes wieder auf den Wert 0 zurückgesetzt werden soll. Abbildung 16.23: Auf der Registerkarte Wiederherstellen wird definiert, welche Aktion beim Ausfall des Dienstes ausgeführt werden soll.
Dienstabhängigkeiten bei der Startreihenfolge beachten
Auf der vierten Registerkarte ABHÄNGIGKEITEN (siehe Abbildung 16.24) sehen Sie unter DIESER DIENST IST VON DIESEN SYSTEMKOMPONENTEN ABHÄNGIG eine Liste der Dienste, von denen der gewählte Dienst abhängig ist. Ist einer dieser Dienste beim Start des Dienstes noch nicht gestartet, kann auch der aktuelle Dienst nicht gestartet werden. Im Bereich DIESE SYSTEMKOMPONENTEN SIND VON DIESEM DIENST ABHÄNGIG befindet sich eine Auflistung der Dienste, für deren Funktion der aktuelle Dienst korrekt gestartet vorhanden sein muss. Öffnen Sie die Struktur der Dienste weiter, sehen Sie auch alle in der Hierarchie weiterhin abhängigen bzw. abhängenden Dienste. Einstellungen sind auf dieser Registerkarte nicht möglich, sie dient lediglich der Information.
794
Sandini Bib
Windows-Dienste verwalten Abbildung 16.24: Die Registerkarte Abhängigkeiten zeigt Systemkomponenten, von denen und zu denen eine Abhängigkeit des Dienstes besteht.
16.11.1 Deaktivieren überflüssiger Dienste Überflüssige Dienste benötigen nicht nur unnötig Ressourcen auf dem System, sondern stellen möglicherweise auch ein Sicherheitsrisiko dar. Es gibt kein Patentrezept, welche Dienste auf einem System unbedingt deaktiviert werden müssen. Dies ist immer von den Gegebenheiten und Erfordernissen der jeweiligen Umgebung abhängig. Die folgende Tabelle liefert jedoch einige Ansätze, welche Dienste deaktiviert werden können. Dienst
Beschreibung
Ablagemappe
Ermöglicht der Ablagemappe, Informationen zu speichern und mit Remotecomputern auszutauschen. Wenn dieser Dienst beendet wird, wird die Ablagemappe keine Informationen mehr mit Remotecomputern austauschen können.
Automatisches Update
Aktiviert den Download und die Installation für wichtige Updates von Windows Update. Dieser Dienst sollte nur dann deaktiviert werden, wenn das Betriebssystem ausschließlich manuell über die Windows Update-Website aktualisiert werden soll.
Erhöht die Performance und Sicherheit des Systems
Tabelle 16.2: Übersicht über die Dienste, die möglicherweise deaktiviert werden können
795
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
Dienst
Beschreibung
Eingabegerätezugang Ermöglicht einen Standardeingabezugang für Eingabegeräte (HID-Geräte), welcher die Verwendung von vordefinierten Schnelltasten auf Tastaturen, Fernbedienungen und anderen Multimediageräten aktiviert und unterstützt. Wenn dieser Dienst beendet wird, werden die von diesem Dienst gesteuerten Schnelltasten nicht mehr funktionieren. Werden solche Geräte nicht eingesetzt, ist der Dienst überflüssig.
796
Fehlerberichterstattungsdienst
Ermöglicht die Fehlerberichterstattung für Dienste und Anwendungen, die in nicht standardgemäßen Umgebungen ausgeführt werden.
Indexdienst
Dateiinhalte und -eigenschaften werden für schnelleren Zugriff auf lokalen und Remotecomputern indiziert. Allerdings wird der Computer dadurch insgesamt langsamer.
IPSEC-Dienste
Wird für die Verwaltung der IP-Sicherheitsrichtlinien verwendet (sofern diese eingesetzt werden) und startet den IKE-Treiber (ISAKMP/ Oakley) sowie den IP-Sicherheitstreiber.
Kryptografie
Stellt drei Verwaltungsdienste bereit: 1. den Katalogdatenbankdienst, der die Signaturen von Windows-Dateien bestätigt, 2. den Dienst für geschützten Stammspeicher, der Zertifikate vertrauenswürdiger Stammzertifizierungsstellen zu diesem Computer hinzufügt und entfernt, und 3. den Schlüsseldienst, der diesen Computer bei Einschreibungen in Zertifikate unterstützt.
Nachrichten
Dieser Dienst überträgt NET SEND- und Warndienstnachrichten zwischen Computern. Der Warndienst überträgt keine Nachrichten, falls er beendet wird.
NetMeeting-RemoteDesktop-Freigabe
Ermöglicht einem autorisierten Benutzer an einem anderen Computer, dass er auf diesen Computer mit NetMeeting über ein Firmenintranet zugreifen kann. Wenn dieser Dienst beendet wird, ist die Remotedesktop-Freigabe nicht mehr verfügbar.
Sandini Bib
Prozesse verwalten
Dienst
Beschreibung
Netzwerk DDE
Ermöglicht Netzwerktransport und Sicherheit für den dynamischen Datenaustausch (DDE) von Programmen, die auf dem gleichen Computer oder auf verschiedenen Computern ausgeführt werden. Wenn dieser Dienst beendet wird, stehen der DDE-Transport und die DDESicherheit nicht mehr zur Verfügung. Diese Funktion wird in der Praxis kaum angewendet.
Smartcard
Verwaltet den Zugriff auf Smartcards, die von diesem Computer gelesen werden. Wenn dieser Dienst beendet wird, kann der Computer keine Smartcards mehr lesen. Werden keine Smartcards eingesetzt, ist der Dienst überflüssig.
Terminaldienste
Ermöglicht mehreren Benutzern das Herstellen interaktiver Verbindungen mit anderen Computern sowie das Anzeigen von Desktop und Anwendungen auf Remotecomputern. Terminaldienste bilden die Grundlage für Remotedesktops (einschließlich Remotedesktop für Administratoren), schnelle Benutzerumschaltung, Remote-Unterstützung und Terminalserver.
Unterbrechungsfreie Stromversorgung
Verwaltet eine an den Computer angeschlossene unterbrechungsfreie Stromversorgung (USV). Wird kein derartiges Gerät verwendet, ist der Dienst überflüssig.
Windows-Zeitgeber
Verwaltet die Datums- und Uhrzeitsynchronisierung auf allen Clients und Servern im Netzwerk. Wenn dieser Dienst beendet wird, ist die Datums- und Uhrzeitsynchronisierung nicht verfügbar.
WMI-Leistungsadapter
Bietet Leistungsbibliotheksinformationen der WMI-HiPerf-Anbieter. Auch diese Funktion wird oftmals nicht benutzt.
16.12 Prozesse verwalten Prozesse sind in einem definierten Speicherbereich zur Laufzeit ausgeführte Programme. Von einem Programm können auch mehrere Prozesse gestartet werden. Jedem dieser Prozesse wird vom Betriebssystem eine bestimmte Prioritäten der Rechenzeit zugewiesen. Für jeden Prozess ist eine der Stufen Nied- Prozesse rig, Niedriger, Normal, Höher, Hoch und Echtzeit festgelegt (siehe
797
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
Abbildung 16.25). Je höher die Priorität ist, desto mehr Rechenzeit wird vom System zugewiesen. Um die Priorität eines Prozesses zu ändern, öffnen Sie im TaskManager die Registerkarte PROZESSE und wählen aus dem Kontextmenü des Prozesses den Eintrag PRIORITÄT FESTLEGEN. Entscheiden Sie sich für eine neue Priorität und bestätigen Sie das Fenster mit der Warnmeldung. Dadurch wird die Priorität des Prozesses zu seiner Laufzeit geändert. Abbildung 16.25: Die laufenden Prozesse und ihre zugeordneten Prioritäten
Ein Prozess einer niedrigeren Stufe wird nur dann verarbeitet, wenn in der darüber liegenden Stufe Rechenkapazität frei ist. So wird beispielsweise ein Prozess der Stufe Höher zuerst abgearbeitet. Erst wenn für diesen keine Rechenkapazität erforderlich ist, werden die normal priorisierten Prozesse abgehandelt. Und erst wenn auch diese keinerlei Rechenkapazität mehr benötigen, werden auf die Stufe Niedriger festgelegte Prozesse abgearbeitet. Weiterhin haben Sie die Möglichkeit, die Priorität zur Startzeit der Anwendung zu ändern. Dies kann sinnvoll sein, wenn eine bestimmte Applikation eine höhere oder niedrigere Priorität erhalten soll. Um die Priorität zu ändern, dürfen Sie die gewünschte Applikation nicht per Doppelklick oder Verknüpfung öffnen, sondern müssen die folgende Syntax an der Eingabeaufforderung verwenden:
798
Sandini Bib
Prozesse verwalten Start /high notepad.exe dokument.txt (¢)
In diesem Beispiel wird Notepad mit einer höheren Priorität gestartet. Möchten Sie eine niedrigere Priorität verwenden, so nehmen Sie folgenden Befehl: Start /low notepad.exe dokument.txt (¢)
16.12.1 Anzeigen weiterer Prozessinformationen Außer den standardmäßigen Informationen zu den einzelnen Prozessen können noch weitere Spalten mit Informationen zur Registerkarte PROZESSE hinzugefügt werden. Wählen Sie dazu das Menü ANSICHT/SPALTEN AUSWÄHLEN (siehe Abbildung 16.26) und suchen Sie die gewünschten Informationen aus. Abbildung 16.26: Hinzufügen weiterer Spalten, die in den Prozessinformationen angezeigt werden
16.12.2 Die Leerlaufzeiten des Systems nutzen Windows XP verfügt über eine interne Funktion zur dynamischen Systemoptiim Optimierung. Dabei werden alle drei Tage im Hintergrund, wenn mierung Leerlauf sich der Computer im Leerlauf befindet, Optimierungsfunktionen durchgeführt. Dazu zählen beispielsweise die Systemwiederherstellung oder das Anordnen von Dateien und Ordnern auf den Festplatten. Die dazu im Leerlauf des Computers startenden Programme werden auch als Idle Tasks bezeichnet. Wie bereits gesagt, starten die Idle Tasks alle drei Tage automatisch. Sie haben aber auch die Möglichkeit, diese manuell aufzurufen. Verwenden Sie dazu unter AUSFÜHREN den folgenden Befehl: Rundll32.exe advapi32.dll,processidletasks (¢)
799
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
Damit werden alle anstehenden Idle Tasks, die beim nächsten Intervall abgearbeitet werden müssen, sofort abgearbeitet. Somit werden schneller wieder Ressourcen für Vordergrundprozesse frei. Bedenken Sie jedoch, dass nach Ausführen des Befehls für bis zu 15 Minuten die Gesamtleistung des Systems sinken kann und auch zahlreiche Zugriffe auf die Festplatte vorgenommen werden. Der Befehl sollte also nur dann ausgeführt werden, wenn innerhalb der nächsten Viertelstunde keine intensive Arbeit am Computer betrieben wird. Dieser Befehl kann auch über den Taskplaner zu bestimmten Zeiten ausgeführt werden. Sie können dort eine Zeit angeben, in der der Computer – z.B. während einer festen Mittagspause – nicht genutzt wird.
16.12.3 Beenden von Prozessen und Anwendungen Über den Task-Manager können Sie Prozesse und Anwendungen auch beenden. Da dies jedoch zu einem instabilen System führen kann, sollten Sie Prozesse und Tasks nur manuell beenden, wenn eine Applikation nicht mehr reagiert und vom System nicht mehr beendet werden kann. Um eine bestimmte Applikation zu beenden, wechseln Sie auf die Registerkarte ANWENDUNGEN. In der Liste STATUS erkennen Sie eine nicht mehr reagierende Applikation an dem Eintrag KEINE RÜCKMELDUNG (siehe Abbildung 16.27). Zudem ist in aller Regel die CPU-Auslastung mit 100% angegeben. Um die Applikation zu beenden, klicken Sie auf TASK BEENDEN. Ist auch so das Beenden der Applikation nicht möglich, wechseln Sie auf die Registerkarte PROZESSE. Wählen Sie dort den zur fehlerhaften Applikation zugehörigen Prozess aus und beenden diesen. In unserem Beispiel wäre also der Prozess iexplore.exe zu beenden. Bestätigen Sie die Warnmeldung. Beenden Sie niemals einen Prozess, bei dem Sie nicht sicher sind, auf welche Funktion er sich bezieht. Im schlimmsten Fall haben Sie dadurch ein inkonsistentes System, das einen Neustart unausweichlich macht.
800
Sandini Bib
Den Startvorgang optimieren Abbildung 16.27: Eine nicht mehr reagierende Applikation im TaskManager
Nachdem Sie eine Anwendung oder deren zugehörigen Prozess beendet haben, können Sie diese(n) über den Task-Manager auch wieder neu starten. Wechseln Sie dazu erneut auf die Registerkarte ANWENDUNGEN und klicken auf NEUER TASK. Geben Sie dort den Namen der neu zu startenden Applikation ein. Die Dienstprogramme Taskkill und Tskill Bei Taskkill und Tskill handelt es sich um zwei Kommandozeilenprogramme, mit denen Sie bestimmte Tasks oder auch Prozesse beenden können. Diese Programme stellen dieselbe Funktionalität bereit wie das Beenden von Tasks und Prozessen über die GUI des Task-Managers.
16.13 Den Startvorgang optimieren Im Gegensatz zu Windows 2000 erfolgt der Startvorgang unter Windows XP wesentlich schneller. Die wesentlichen Faktoren für die Dauer des Startvorgangs sind der Zeitraum, den Treiber und Startdateien zum Laden in den Arbeitsspeicher benötigen, und die vom Computer abhängige Rechenzeit, um den Code des Startprogramms abzuarbeiten. Zudem können auch beim Zugriff eines Treibers auf die Hardware Leerlaufzeiten oder besser gesagt Wartezeiten entstehen.
801
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
Auf die Startdateien erfolgt bereits ein schnellerer Zugriff, da diese von Windows XP automatisch auf die äußeren Sektoren der Festplatte verschoben werden. Auf diese äußeren Sektoren werden auch andere, häufig benötigte Dateien verschoben. Dieser Vorgang geschieht automatisch in Leerlaufphasen des Systems. PrefetchFunktion
Die zu optimierenden Dateien werden im Ordner WINDOWS\ PREFETCH aufgelistet. Diese Dateien tragen den Namen der Anwendung, eine 8-stellige Zahlenkombination (der hexadezimale Wert des Datei- oder Hash-Pfades) sowie die Dateiendung .pf (siehe Abbildung 16.28). Weiterhin ist in diesem Ordner die Datei Layout.ini enthalten. In dieser sind die zu optimierenden Applikationen mit den zugehörigen Dateien aufgeführt.
Abbildung 16.28: Im Ordner Prefetch aufgelistete Dateien, die automatisch optimiert werden
16.13.1 Die Prefetch-Funktion im Detail Im Folgenden finden Sie weitere Details zur Speichernutzung und zur Prefetch-Funktion unter Windows XP. Das Betriebssystem arbeitet mit einem segmentierten Arbeitsspeicher, sodass immer nur der aktuell ausgeführte Codeteil eines Programms im Arbeitsspeicher gehalten wird. Da nur Teile von Programmen im Arbeitsspeicher gehalten werden müssen, können so parallel mehrere Programme ausgeführt werden, die in ihrer kompletten Größe nicht in den Speicher geladen werden könnten. Wird in einem Speichersegment ein Codeteil ausgeführt, der auf weiteren Code verweist, welcher jedoch außerhalb der aktuellen Seite liegt, so kann der Code entweder direkt weiter ausgeführt werden, wenn er auf der Zielseite bereits enthalten ist. Wenn sich der benötigte Code nicht im Arbeitsspeicher befindet, führt es im Prozessor zu einem Speicherfehler (Page Fault). Dabei handelt es sich nicht wirklich um einen Fehler, sondern um einen Mechanismus, den benötigten Codeteil aus der Auslagerungsdatei oder der Programmdatei in den Arbeitsspeicher zu laden. Sobald ein Speicherfehler auftritt, verlangsamt sich das Laden der zugehörigen Anwendung.
802
Sandini Bib
Den Startvorgang optimieren
Da diese Verlangsamung natürlich nicht allzu häufig auftreten sollte, verfügt Windows XP über den Cache-Manager, der die oft benutzten Speicherseiten zwischenspeichert. Durch den Cache-Manager werden sowohl der Boot-Vorgang als auch der Start von Applikationen überwacht. Dabei werden alle Speicherfehler gezählt. Je nachdem, welche der in Tabelle 16.3 dargestellten Bedingungen zuerst erfüllt ist, werden die Speicherfehler unterschiedlich lange gezählt. Bedingung
Zähler
Boot-Vorgang beendet
Zwei Minuten
Initialisierung sämtlicher Win32-Dienste
Eine Minute
Start der Benutzer-Shell
30 Sekunden
Start einer Anwendung
10 Sekunden
Tabelle 16.3: Der Cache-Manager und dessen SpeicherfehlerZählungen
Sobald eine Anwendung gestartet wurde, werden die ersten zehn Sekunden lang die Speicherfehler, die aus Zugriffen auf das Dateisystem resultieren, aufgezeichnet. Diese Aufzeichnungen werden vom internen Task Scheduler analysiert und als .pf-Dateien in den Ordner PREFETCH geschrieben. Wird nun das System oder eine Anwendung erneut gestartet, sieht der Cache-Manager nach, ob sich die entsprechende Datei im Ordner PREFETCH befindet. Ist dies der Fall, versucht der Cache-Manager, die erforderlichen Daten vor der Benutzung in leere Speicherseiten einzulesen. Ist ein komplettes Laden der Daten möglich, ist der Festplattenzugriff schneller, weil die Daten nun nicht mehr von verschiedenen Positionen auf der Festplatte aus gelesen werden müssen.
16.13.2 Programme für Prefetch-Einstellungen Obwohl Windows XP die Prefetch-Funktion automatisch verwaltet, können Sie mit Hilfe von Zusatzprogrammen Einfluss auf diese Funktionalität nehmen. Hierzu steht an erster Stelle das englischsprachige Programm Windows XP Prefetch Clean and Control, das als Freeware erhältlich ist. Dieses Programm wird in diversen Download-Sammlungen angeboten. Suchen Sie im Internet nach dem Namen des Programms. Beim Start des Programms erhalten Sie das in Abbildung 16.29 dargestellte Fenster.
803
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung Abbildung 16.29: Das Programm Windows XP Prefetch Clean and Control
Über CLEAN PREFETCH FOLDER NOW können Sie aus dem Ordner \PREFETCH sämtliche Inhalte löschen. Die weiteren Optionen haben folgende Bedeutung: 왘
DISABLE PREFETCH Hierüber wird die automatische Prefetch-Funktion abgeschaltet. Es wird keine Optimierung mehr vorgenommen.
왘
MONITOR APPLICATION LAUNCH ONLY Mit dieser Option werden lediglich die Startvorgänge von Anwendungsprogrammen überwacht.
왘
MONITOR BOOT FILE LAUNCH ONLY Ist diese Option gewählt, wird lediglich der Boot-Vorgang überwacht.
왘
MONITOR APPLICATION AND BOOT FILE LAUNCH Über diese Einstellung werden sowohl der Boot-Vorgang als auch die Startvorgänge von Applikationen überwacht.
Um eine Einstellung zu übernehmen, klicken Sie auf SET PREFETCH PARAMETERS. Danach muss der Computer neu gestartet werden. Um dauerhaft eine optimale Einstellung zu erzielen, führen Sie die folgenden Schritte aus: 1. Löschen Sie die Inhalte des PREFETCH-Ordners. 2. Deaktivieren Sie die Funktion AUTOSTART für sämtliche Programme, die diesen auf dem System vollziehen. 3. Wählen Sie die Option MONITOR BOOT FILE LAUNCH ONLY und starten den Computer neu.
804
Sandini Bib
Den Startvorgang optimieren
4. Wählen Sie dann die Option MONITOR APPLICATION LAUNCH ONLY und starten die Anwendungen, die automatisch beim Systemstart starten sollen. 5. Als Letztes schalten Sie die automatische Optimierung über DISABLE PREFETCH aus. Damit bleiben die Optimierungsoptionen für den Startvorgang und die Anwendungsprogramme erhalten. Das Programm Bootvis von Microsoft Von Microsoft wurde das Programm Bootvis entwickelt, mit dem der Windows-Start analysiert und optimiert werden konnte. Da der Einsatz dieses Programms jedoch nur auf einigen Computern den gewünschten Erfolg brachte, auf anderen hingegen das System deutlich verlangsamte, hat Microsoft dieses Programm vor einiger Zeit von der Download-Seite entfernt. Jedoch finden sich im Internet noch andere Bezugsquellen dieser Datei. Führen Sie dazu eine Suche nach bootvis.exe aus. Da der Erfolg dieses Programms nicht zwangsläufig sichergestellt ist, sollte es nur testweise eingesetzt werden. Möglicherweise gehört Ihr System ja zu denjenigen, auf denen der Einsatz von Bootvis einen Performance-Gewinn beim Startvorgang bringt.
16.13.3 Defragmentierung der Startdateien Ein weiterer Leistungsgewinn ist durch das Defragmentieren der Startdateien zu erzielen. Insbesondere nach Treiberinstallationen ist diese Defragmentierung sehr sinnvoll. Um diese Funktion zu aktivieren, muss in der Registry ein Schlüssel angepasst werden. Öffnen Sie den Schlüssel HKLM\SOFTWARE\Microsoft\Dfrg\ BootoptimizeFunction. Setzen Sie dort den Wert für Enable auf Y. O&O Defrag Ein bekanntes Programm mit dem Feature der Boot-Time-Defragmentierung (und natürlich auch für „herkömmliches“ Defragmentieren) ist O&O Defrag. Mit diesem Feature können Sie beim Start Dateien defragmentieren, die zur Laufzeit des Systems gesperrt sind. So können auch die Auslagerungsdatei, die Registry oder der MFT (Master File Table) defragmentiert und optimiert werden. Der Preis für die aktuelle Version 6.5 liegt derzeit bei 49 Euro für eine Einzelplatzlizenz. Weitere Informationen zu diesem Produkt finden Sie unter dem Link http://www.oo-software.com/de/.
805
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
16.14 Weitere Leistungsoptimierungen Dieses Kapitel zeigt einige weitere Punkte auf, die Sie zur Leistungsoptimierung unbedingt prüfen und umsetzen sollten.
16.14.1 Prüfen der Autostarteinträge Im Laufe der Zeit werden immer mehr Programme installiert und Windows benötigt immer mehr Zeit für den Systemstart. Sie haben möglicherweise schon zu Recht vermutet, dass an diesem Phänomen Programme Schuld sind, die beim Windows-Start ebenfalls automatisch starten. Deshalb haben Sie auch bereits die überflüssigen Einträge aus dem AUTOSTART-Ordner im Startmenü gelöscht. Eine Besserung ist dennoch nicht eingetreten? Dann öffnen Sie in der Registry den folgenden Schlüssel und schauen sich die Einträge an: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run
Überflüssige Werte können Sie dort direkt löschen. In diesen Schlüssel kopieren sich auch selbsttätig unerwünschte Programme wie Viren oder Trojaner, sodass sie beim nächsten Systemstart automatisch aktiv werden können. Abbildung 16.30: Über die Systemkonfiguration können die Autostart-Einträge geprüft werden.
Bevorzugen Sie hingegen die Verwaltung der Einträge über die grafische Oberfläche, so benutzen Sie das Systemkonfigurationsprogramm. Sie starten dieses unter AUSFÜHREN über den Befehl msconfig.exe. Wechseln Sie danach auf die Abbildung 16.30 Registerkarte SYSTEMSTART.
806
Sandini Bib
Weitere Leistungsoptimierungen
Um einen dieser Autostart-Einträge zu löschen, muss die entsprechende Checkbox deaktiviert werden. Danach ist ein Neustart des Computers erforderlich.
16.14.2 Den Taskplaner sinnvoll einsetzen Der Taskplaner kann einerseits eine Leistungsbremse des Systems sein, sinnvoll eingesetzt jedoch wesentlich zur Optimierung des Systems beitragen. Prüfen Sie zunächst, welche Einträge sich im Taskplaner befinden. Überflüssige sollten Entfernen Sie hier alle überflüssigen Einträge, deren Ausführung Tasks gelöscht werden das System unnötig belastet. Um diese Einträge zu entfernen, öffnen Sie SYSTEMSTEUERUNG/GEPLANTE TASKS und löschen die überflüssigen Einträge. Sind Sie sich nicht sicher, ob Sie einen Task endgültig entfernen können, so können Sie diesen auch zunächst nur deaktivieren. Deaktivierte Tasks erkennen Sie in der Liste an dem Symbol des roten Kreises mit dem weißen Kreuz. Möglicherweise kann es auch schon ausreichend sein, das Intervall der Ausführung des Task anzupassen. Wählen Sie dazu aus dem Kontextmenü den Eintrag EIGENSCHAFTEN und wechseln auf die Registerkarte ZEITPLAN. Einige Verwaltungsaufgaben sollten jedoch regelmäßig auf dem System durchgeführt werden. Dazu zählen die Defragmentierung sowie der Antiviren-Check des kompletten Systems, die wenigstens einmal wöchentlich durchgeführt werden sollten. Um diese neuen Einträge hinzuzufügen, starten Sie über GEPLANTEN TASK HINZUFÜGEN den entsprechenden Assistenten.
16.14.3 Die Laufwerksüberwachung Standardmäßig ist unter Windows XP die Laufwerksüberwachung aktiviert. Dabei werden Änderungen aufgezeichnet und diese Informationen für die Systemwiederherstellung (siehe Kapitel 17) verwendet. Weiterhin wird der freie Speicherplatz der Partitionen überwacht. Steht auf einem Laufwerk nur noch wenig Speicherplatz zur Verfügung, werden Sie im Infobereich der Taskleiste darüber benachrichtigt. Diese Meldung kann jedoch sehr störend sein, insbesondere wenn (sei es auch nur temporär) auf einem Laufwerk nicht mehr viel freier Speicher ist. Die entsprechende Warnmeldung erfolgt in regelmäßigen Intervallen. Um diese Meldung auszuschalten, müssen Sie in der Registry im Schlüssel HKCU\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer den Wert NoLowDiscSpaceCheck auf 1 setzen. Soll die Funktion später wieder aktiviert werden, setzen Sie den Wert wieder auf 0.
807
Sandini Bib
16 Systemüberwachung, -pflege und -optimierung
16.15 Tools zur Leistungsüberwachung und -konfiguration Im Folgenden finden Sie eine Übersicht über einige Programme, mit denen Sie die Konfiguration des Computers komfortabel bearbeiten und auslesen können und mit denen auch Leistungssteigerungen des Systems möglich sind.
16.15.1 Das Universalprogramm TweakUI Das von Microsoft kostenlos bereitgestellte Programm TweakUI ist ein Bestandteil der Windows XP Powertoys. Sie können das Programm unter dem Link http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx herunterladen. Das Programm ist lediglich in englischer Sprache verfügbar. TweakUI ist ein umfangreiches Programm, mit dem Sie diverse Einstellungen für Leistungsoptimierungen am Betriebssystem vornehmen können. Diese Einstellungen beziehen sich beispielsweise auf die Bereiche Windows Explorer, Internet Explorer, Systemsteuerung, Desktop usw. Hier werden zahlreiche Optionen angeboten, die über die herkömmliche Benutzeroberfläche nicht konfiguriert werden können. In Abbildung 16.31 sehen Sie eine Übersicht über die vielfältigen Einstellmöglichkeiten. Abbildung 16.31: Microsofts TweakUI ist ein Bestandteil der Windows XP Powertoys.
808
Sandini Bib
Tools zur Leistungsüberwachung und -konfiguration
16.15.2 Lavalys Everest Weniger zum Optimieren als mehr zum Auslesen der Systemkonfiguration ist das Programm Everest geeignet. Everest Home der Firma Lavalys ist für den Privatgebrauch kostenlos, eine ClientVersion von Everest Professional für ein Unternehmen kostet je nach Anzahl der Clients zwischen 14 und 30 US-Dollar. Es müssen dazu mindestens zehn Lizenzen erworben werden. Sie können das Programm unter dem Link www.lavalys.com herunterladen. Das Programm verfügt über eine deutschsprachige Benutzeroberfläche (siehe Abbildung 16.32). Besonders hervorzuheben ist an diesem Programm das Erstellen von Berichten. Hierzu steht ein eigener Assistent zur Verfügung, über den vollständige Berichte oder auch nur Teilberichte zu einigen Sektionen erstellt werden können. Diese Berichte sind sehr umfangreich mit vielen sonst kaum enthaltenen Informationen. Komplettberichte über das System können 75 Seiten und mehr umfassen. Zusätzlich beinhaltet Everest einige Benchmark-Tests.
Abbildung 16.32: Das Programm Everest Home der Firma Lavalys
809
Sandini Bib
Sandini Bib
17
Sicherung, Wiederherstellung und Reparatur Stephanie Knecht-Thurmann
Dieses Kapitel widmet sich den beiden wichtigen Themen Sicherung und Wiederherstellung des Betriebssystems. Für die Sicherung und Wiederherstellung kann das umfangreiche Windows-eigene Backup-Programm genutzt werden. Dieses Programm ist auch in einer Variante für die Kommandozeile verfügbar. Zusätzlich werden weitere Backup-Programme von anderen Anbietern kurz vorgestellt. Auch auf das Sicherungsverfahren über Images sowie deren Vor- und Nachteile wird eingegangen. Neu unter Windows XP ist das Feature der Systemwiederherstellung über Wiederherstellungspunkte. Den Abschluss dieses Kapitels bildet die Wiederherstellungskonsole, die bei Problemen mit dem Betriebssystem anstelle des herkömmlichen Startvorgangs verwendet werden kann. Weitere Optionen in diesem Zusammenhang sind der Einsatz von Start- und Setup-Disketten zu Reparaturzwecken.
17.1
Windows Backup
Windows Backup ist das Windows-eigene Sicherungsprogramm, mit dem Daten vor Verlust geschützt werden, wenn sie versehentlich gelöscht worden sind oder wenn es zu Hardware- oder anderen Problemen kommt, die den Zugriff auf die Daten unmöglich machen.
17.1.1
Sicherungsmedien
Als Sicherungsmedium für die Daten kann ein Wechseldatenträger wie z.B. ein Bandlaufwerk oder eine DVD, eine separate Festplatte oder eine Bibliothek von Bändern oder anderen Datenträgern verwendet werden, die über einen Medien-Pool verwaltet werden. Bei einem Medien-Pool handelt es sich um eine Sammlung von Wechselmedien. Sie werden zur Zugriffssteuerung auf Datenträger oder Sicherungsbänder innerhalb der durch Wechselmedien verwalteten Bibliotheken eingesetzt. Insgesamt gibt es vier verschiedene Medien-Pools: Importmedien, nicht erkannte Medien, freie Medien sowie anwendungsspezifische Medien. Ein Medien-Pool kann
811
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur
lediglich andere Medien-Pools oder Datenträger umfassen. Beim Einsatz von Medien-Pools funktioniert sogar das Wechseln der Bänder für die Sicherung automatisch. Vom Sicherungsmedium werden die nicht mehr erreichbaren Daten wiederhergestellt. Windows Backup verwendet das Feature der Volumenschattenkopie. Dadurch ist es möglich, eine genaue Kopie eines bestimmten Zeitpunkts zu erstellen, wobei auch alle aktuell geöffneten oder vom System benutzten Daten miteinbezogen werden. So können die Benutzer während der Sicherungsdurchführung weiterhin auf die Daten zugreifen. Das Risiko eines Datenverlusts besteht nicht. Über Windows Backup können die folgenden Arten von Sicherungen und Wiederherstellungen vorgenommen werden: 왘
Sichern frei wählbarer Dateien und Ordner der lokalen Festplatte
왘
Wiederherstellen dieser Dateien und Ordner auf der Festplatte oder auf einem anderen Datenträger
왘
Automatische Systemwiederherstellung, in der alle Systemdaten und Konfigurationseinstellungen für eine Wiederherstellung nach einem Systemfehler gesichert werden
왘
Kopieren der Daten des Remote-Speichers sowie der bereitgestellten Laufwerke
Der Remote-Speicher ist ein Datenverwaltungsdienst, über den weniger häufig genutzte Dateien aus dem lokalen Speicher in den Remote-Speicher übertragen werden. Wird eine dort befindliche Datei geöffnet, wird sie durch die Anforderung durch den Benutzer wieder zurückgerufen. 왘
Kopieren der System- und Startpartition sowie der bei einem Netzwerk- oder Computerfehler benötigten Dateien zum Start
왘
Kopieren der Systemstatusdaten (Registry, Komponentendienste, AD, Zertifikats-DB
왘
Zeitgesteuerte automatische Sicherungen, sodass diese stets auf einem aktuellen Stand sind
17.1.2
Hinweise zu Dateisystemen
Für ein Backup des Systems stehen verschiedene Möglichkeiten zur Verfügung. Im Lieferumfang des Betriebssystems befindet sich das Windows-eigene Backup-Programm. Weiterhin gibt es zahlreiche Hersteller, die ebenfalls Backup-Programme mit einem ähnlichen oder erweiterten Funktionsspektrum anbieten.
812
Sandini Bib
Windows Backup
Windows Backup kann Dateien auf NTFS- und FAT-Partitionen sichern. Die Dateien, die von einer NTFS-Partition gesichert worden sind, sollten in jedem Fall auch wieder auf einer NTFS-Partition und nicht auf einer FAT-Partition wiederhergestellt werden, da ansonsten die NTFS-spezifischen Datei- und Ordnereigenschaften verloren gehen. Dazu zählen NTFS-Berechtigungen, EFS (Encrypted File System)-Einstellungen oder Einstellungen für Datenträgerkontingente.
Als Dateisystem sollte möglichst NTFS eingesetzt werden
Um das Windows Backup-Programm zu starten, rufen Sie es über PROGRAMME/ZUBEHÖR/SYSTEMPROGRAMME/SICHERUNG im Startmenü auf. Beim ersten Start des Programms können Sie entscheiden, ob Sie es im Assistentenmodus oder im erweiterten Modus starten möchten. Weitere Grundlage ist in diesem Kapitel der erweiterte Modus. Im Assistentenmodus werden Standardeinstellungen benutzt, während der erweiterte Modus benutzerdefinierte Einstellungen ermöglicht. Auf der Registerkarte WILLKOMMEN (siehe Abbildung 17.1) stehen drei verschiedene Optionen zur Verfügung: SICHERUNGS-ASSISTENT (ERWEITERT), WIEDERHERSTELLUNGS-ASSISTENT (ERWEITERT) sowie ASSISTENT FÜR DIE AUTOMATISCHE SYSTEMWIEDERHERSTELLUNG.
Abbildung 17.1: Windows Backup stellt mehrere Optionen zur Verfügung.
813
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur
17.2
Der Sicherungs-Assistent
Der Sicherungs-Assistent führt den Anwender mit folgenden Schritten durch die notwendigen Einstellungen: 1. Auf der Willkommensseite klicken Sie auf WEITER. Im folgenden Fenster ZU SICHERNDE DATEN (siehe Abbildung 17.2) bestimmen Sie eine der Sicherungsoptionen ALLES AUF DIESEM COMPUTER SICHERN, AUSGEWÄHLTE DATEIEN, LAUFWERKE ODER NETZWERKDATEN SICHERN oder NUR DIE SYSTEMSTATUSDATEN SICHERN. Klicken Sie dann auf WEITER. Abbildung 17.2: Die Auswahl der zu sichernden Daten
Haben Sie die Option ALLES AUF DIESEM COMPUTER SICHERN gewählt, müssen Sie entweder mit den Berechtigungen eines Administrators oder eines Sicherungs-Operators angemeldet sein. Als Mitglied der Gruppe Benutzer oder Hauptbenutzer müssen Sie entweder der Besitzer der zu sichernden Dateien sein oder über eine der Berechtigungen Vollzugriff, Lesen, Lesen und Ausführen oder Ändern verfügen. 2. Haben Sie die Option AUSGEWÄHLTE DATEIEN, LAUFWERKE ODER NETZWERKDATEN SICHERN gewählt, erhalten Sie das Fenster ZU SICHERNDE ELEMENTE (siehe Abbildung 17.3). Wählen Sie hier alle gewünschten Objekte aus und klicken auf WEITER. 3. Das Fenster TYP, SPEICHERORT UND NAME DER SICHERUNG (siehe Abbildung 17.4) erscheint bei jeder der drei verschiedenen Sicherungsoptionen. In diesem Fenster geben Sie den Speicherort sowie einen Namen für die Sicherung ein.
814
Sandini Bib
Der Sicherungs-Assistent Abbildung 17.3: Auswahl der zu sichernden Dateien und Ordner
Abbildung 17.4: Festlegen des Sicherungstyps, Speicherorts und Namens der Sicherung
Die Dropdown-Liste WÄHLEN SIE DEN SICHERUNGSTYP ist nur dann anwählbar, wenn auf dem Computer ein Bandgerät installiert und angeschlossen ist. In diesem Fall erfolgt die Verwaltung der Medien über die Wechselmedienverwaltung. Die zweite Option DATEI ist immer verfügbar. Die Sicherungsdatei trägt die Dateiendung .bkf (Backup File). Klicken Sie dann auf WEITER. 4. Im Fenster FERTIGSTELLEN DES ASSISTENTEN (siehe Abbildung 17.5) sehen Sie eine Zusammenfassung Ihrer Auswahl. Sie können entweder über FERTIG STELLEN die Sicherung einleiten oder über ERWEITERT noch zusätzliche Optionen konfigurieren.
815
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur Abbildung 17.5: Fertigstellen des Assistenten sowie Auswahl zusätzlicher Sicherungsoptionen
5. Haben Sie über ERWEITERT die zusätzlichen Optionen aufgerufen, können Sie im Fenster TYP DER SICHERUNG (siehe Abbildung 17.6) die Art der Sicherung auswählen. Dazu stehen die folgenden fünf Möglichkeiten zur Verfügung. Abbildung 17.6: Die Auswahl des Sicherungstyps
816
Sandini Bib
Der Sicherungs-Assistent
17.2.1
Die Typen einer Sicherung
Diese fünf verschiedenen Typen der Sicherung haben folgende Bedeutung: 왘
NORMAL Dieser Typ ist der standardmäßige Sicherungstyp. Dieses Verfahren wird benutzt, wenn der erste Sicherungssatz erstellt wird. Es werden dabei sämtliche gewählten Daten kopiert. Die Daten werden als gesichert markiert, d.h. das Attribut ARCHIV wird gelöscht. Um eine Sicherung dieses Typs wiederherzustellen, benötigen Sie lediglich den letzten Sicherungssatz dieses Typs.
왘
KOPIEREN Es werden sämtliche ausgewählten Daten kopiert. Die so gesicherten Dateien werden nicht als gesichert markiert, d.h. das Attribut ARCHIV wird nicht gelöscht. Diese Art der Sicherung sollte gewählt werden, wenn Daten zwischen den Sicherungstypen Normal und Inkrementell/Differentiell hinzugefügt werden sollen. Der Sicherungstyp KOPIEREN nimmt keinen Einfluss auf diese anderen Sicherungstypen.
왘
INKREMENTELL Es werden lediglich die Daten gesichert, die seit der letzten Sicherung des Typs NORMAL oder INKREMENTELL geändert oder neu erstellt wurden. Die so gesicherten Dateien werden als gesichert markiert, d.h. das Attribut ARCHIV wird gelöscht.
Bei einer Kombination von normalen und inkrementellen Sicherungen ist es unbedingt erforderlich, dass für die Wiederherstellung der letzte Satz der normalen sowie alle inkrementellen Sicherungssätze vorliegen. 왘
DIFFERENTIELL Es werden sämtliche Daten kopiert, die seit der letzten Sicherung vom Typ NORMAL oder INKREMENTELL geändert wurden. Die so gesicherten Dateien werden nicht als gesichert markiert, d.h. das Attribut ARCHIV wird nicht gelöscht.
Bei einer Kombination von normalen und differentiellen Sicherungen ist es unbedingt erforderlich, dass für die Wiederherstellung der letzte Satz der normalen und inkrementellen Sicherung vorliegt.
817
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur 왘
TÄGLICH Es werden sämtliche ausgewählten Daten kopiert, die an dem Tag geändert wurden, an dem die Sicherung vom Typ TÄGLICH durchgeführt wird. Die so gesicherten Dateien werden nicht als gesichert markiert, d.h. das Attribut ARCHIV wird nicht gelöscht.
Kombination von Sicherungstypen Die verschiedenen Sicherungstypen sind miteinander kombinierbar, um so effektivere Prozesse durchführen zu können. Bringt effektive Resultate
Wird die normale mit der inkrementellen Sicherung kombiniert, ist der wenigste Speicherplatz erforderlich. Zudem nimmt die Sicherung die kürzeste Zeit in Anspruch. Bei der Wiederherstellung hingegen ist ein hoher Zeitaufwand erforderlich, da sämtliche Sicherungen der inkrementellen Methode zurückgespielt werden müssen, die nach der letzten normalen Sicherung erstellt worden sind. Eine weitere gängige Methode ist die Kombination der normalen und differentiellen Sicherung. Bei diesem Verfahren nimmt die Sicherung mehr Zeit in Anspruch, insbesondere wenn häufig Änderungen an den Daten durchgeführt werden. Allerdings kann die Wiederherstellung schneller vollzogen werden, weil lediglich der letzte Datensatz der normalen und der differentiellen Sicherung zurückgespielt werden müssen. Der Standardtyp der Sicherung kann auch über das Menü EXTRAS/OPTIONEN auf der Registerkarte SICHERUNGSART bestimmt werden. Alle künftigen Sicherungen werden danach immer als der gewählte Typ durchgeführt, können aber manuell geändert werden. Der Speicherort der Systemstatusdateien kann sich nur auf dem lokalen Computer, nicht jedoch auf einem entfernten Computer befinden. Die Sicherung kann auch direkt über die Registerkarte SICHERN (siehe Abbildung 17.7) aufgerufen werden. Hierbei können jedoch nur bestimmte oder alle Dateien und Ordner ausgewählt werden. Die Sicherung des Systemstatus ist hierüber nicht möglich.
818
Sandini Bib
Der Sicherungs-Assistent
Abbildung 17.7: Die Sicherung über die Registerkarte Sichern starten
Unter SICHERUNGSMEDIUM UND DATEINAME tragen Sie die entsprechenden Informationen ein und klicken dann auf SICHERUNG STARTEN. Sie erhalten dann das Fenster INFORMATIONEN ZUM SICHERUNGSAUFTRAG (siehe Abbildung 17.8). Dort können Sie über ZEITPLAN Optionen für die regelmäßige Ausführung dieses Sicherungsauftrags festlegen. Weitere Hinweise dazu finden Sie in Kapitel 17.2.3. Abbildung 17.8: Die Informationen zum Sicherungsauftrag
Über die Schaltfläche ERWEITERT gelangen Sie zum Fenster ERWEITERTE SICHERUNGSOPTIONEN (siehe Abbildung 17.9). Neben der Sicherungsart können dort noch folgende Einstellungen getroffen werden:
819
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur
DATEN IM REMOTESPEICHER SICHERN: Es werden die im RemoteSpeicher gespeicherten Daten gesichert, genauer gesagt, die Analysepunkte bzw. Platzhalterdateien. Die Daten des Remote-Speichers können nur auf einer mit NTFS formatierten Partition wiederhergestellt werden. Legen Sie keine Daten im Remote-Speicher ab, muss die Option nicht gewählt werden. Es ist auch nicht nötig, diese Option zu selektieren, wenn die Remote-Speicherdatenbank gesichert werden soll, da beim Sichern des Ordners %SYSTEMROOT% automatisch von der Wechselmediendatenbank eine Sicherung erstellt wird. DATEN NACH DER SICHERUNG ÜBERPRÜFEN: Die gesicherten Daten werden nach Abschluss der Sicherung mit den Originaldaten verglichen. Dadurch nimmt die Sicherung jedoch wesentlich mehr Zeit in Anspruch. Bandlaufwerk
GESICHERTE DATEN KOMPRIMIEREN: Diese Option ist nur wählbar, wenn ein Bandlaufwerk angeschlossen ist, das die Daten komprimie/ren kann. Anderenfalls ist diese Checkbox nicht anwählbar. GESCHÜTZTE SYSTEMDATEIEN AUTOMATISCH MIT DEM SYSTEMSTATUS SICHERN: Außer den Daten des Systemstatus werden auch sämtliche Systemdaten des Ordners %SYSTEMROOT% gesichert. Dadurch kann sich die zu sichernde Datenmenge rasch um einige hundert Megabyte erhöhen. VOLUMENSCHATTENKOPIE DEAKTIVIEREN: Ist diese Option deaktiviert, können Daten und Ordner, die zum Zeitpunkt der Sicherung in Benutzung oder geöffnet sind, möglicherweise nicht gesichert werden. Diese Dateien und Ordner werden von der Sicherung übersprungen.
Abbildung 17.9: Die erweiterten Sicherungsoptionen
820
Sandini Bib
Der Sicherungs-Assistent
17.2.2
Dateien von der Sicherung ausschließen
Bei einer Komplettsicherung des Systems werden standardmäßig bestimmte Daten von der Sicherung ausgeschlossen. Dabei handelt es sich z.B. um die Dateien pagefile.sys, hiberfile.sys oder Ordner wie \TEMPORARY INTERNET FILES. Um weitere Dateien auszuschließen, rufen Sie über das Menü EXTRAS/OPTIONEN die Registerkarte DATEIEN AUSSCHLIEßEN (siehe Abbildung 17.10) auf. Abbildung 17.10: Bestimmen der Dateien, die von der Sicherung ausgeschlossen werden sollen
Zu dieser vordefinierten Liste können weitere Dateien und Ordner hinzugefügt oder vorhandene Einträge gelöscht werden. Markieren Sie einen Eintrag und klicken auf BEARBEITEN, so können Sie zusätzlich aus der Liste der Dateitypen diejenigen auswählen, die nicht gesichert werden sollen. Es kann zusätzlich zu der Liste, die für alle Benutzer gilt, noch eine separate Liste erstellt werden, die nur für den Benutzer Administrator gilt.
17.2.3
Planen der Sicherungsaufträge
Um eine kontinuierliche Sicherung zu gewährleisten, sollten die Sicherungsaufträge regelmäßig durchgeführt werden. Wechseln Sie dazu im Hauptfenster auf die Registerkarte AUFTRÄGE PLANEN und klicken auf AUFTRAG HINZUFÜGEN. Führen Sie dann die folgenden Schritte aus.
821
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur
1. Zunächst startet der bereits bekannte Sicherungs-Assistent, in dem Sie die zu sichernden Dateien auswählen (Gesamtsicherung, Ausgewählte Einträge oder Systemstatus). Sie legen dann wie gewohnt den Speicherort und den Namen sowie den Typ der Sicherung fest. Klicken Sie anschließend auf WEITER. 2. Im folgenden Fenster SICHERUNGSOPTIONEN (siehe Abbildung 17.11) stehen drei verschiedene Optionen zur Verfügung. Mit DATEN NACH DER SICHERUNG ÜBERPRÜFEN werden nach Abschluss der Sicherung die gesicherten Daten mit den Originaldaten verglichen. Diese Methode benötigt zwar mehr Zeit, bietet aber auch größere Sicherheit. Die Option HARDWAREKOMPRIMIERUNG VERWENDEN, WENN VERFÜGBAR kann nur gewählt werden, wenn ein Bandlaufwerk angeschlossen ist, das dieses Feature beherrscht. Über VOLUMENSCHATTENKOPIE DEAKTIVIEREN kann diese Funktion ausgeschaltet werden. Beim Deaktivieren ist kein Zugriff auf verwendete und geöffnete Dateien und Ordner möglich, sodass diese bei der Sicherung übersprungen werden. Klicken Sie dann auf WEITER. Abbildung 17.11: Sicherungsoptionen für die Prüfung und Komprimierung der Daten
3. Sie erhalten dann ein weiteres Fenster SICHERUNGSOPTIONEN (siehe Abbildung 17.12). Hier wird der Umgang mit bereits vorhandenen Sicherungskopien bestimmt. Die aktuelle Sicherung kann entweder an bereits bestehende Sicherungen angehängt werden oder schon vorhandene Kopien überschreiben. Standardmäßig wird die Sicherungskopie angehängt. Wird die Ersetzen-Option gewählt, kann zusätzlich bestimmt werden, ob lediglich der Administrator und der Besitzer der Daten Zugriff auf die gesicherten Daten und daran angehängte Sicherungen erhalten sollen. Klicken Sie dann auf WEITER.
822
Sandini Bib
Der Sicherungs-Assistent Abbildung 17.12: Optionen zum Überschreiben oder Anhängen der Sicherung an bestehende Sicherungsdaten
4. Im Fenster ZEITPUNKT DER SICHERUNG (siehe Abbildung 17.13) wird bestimmt, ob die Sicherung sofort oder später durchgeführt werden soll. Für die Option SPÄTER wird automatisch ein Zeitpunkt vom System vorgeschlagen. Unter AUFTRAG geben Sie eine Bezeichnung für die Sicherung ein. Soll dieser Auftrag regelmäßig durchgeführt werden, klicken Sie auf ZEITPLAN FESTLEGEN. Abbildung 17.13: Die Auswahl des Sicherungszeitpunkts
5. Im Fenster AUFTRAG PLANEN (siehe Abbildung 17.14), das Sie über ZEITPLAN FESTLEGEN erhalten, wählen Sie auf der Registerkarte ZEITPLAN diesen aus. Der Sicherungsauftrag kann einmalig, täglich, wöchentlich und monatlich sowie bei Systemstart, bei der
823
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur
Anmeldung und im Leerlauf zur angegebenen Zeit durchgeführt werden. Soll der Sicherungsauftrag zu mehreren Zeiten durchgeführt werden, markieren Sie die Checkbox MEHRFACHE ZEITPLÄNE ANZEIGEN. Über ERWEITERT kann zusätzlich noch ein Enddatum für diesen Auftrag definiert werden. Abbildung 17.14: Festlegen des Zeitplans für die Sicherung
6. Auf der Registerkarte EINSTELLUNGEN (siehe Abbildung 17.15) können weitere Optionen bestimmt werden. So kann der entsprechende Task automatisch gelöscht oder erst gestartet werden, wenn zu definierende Leerlaufzeiten für den Computer zutreffen. Weiterhin kann unter ENERGIEVERWALTUNG festgelegt werden, ob bei einem Laptop die Sicherung gestartet werden soll, wenn sich dieser im Akkubetrieb befindet, oder ob ein Computer für den Sicherungsauftrag reaktiviert werden soll, wenn er sich im Standby-Modus oder im Ruhezustand befindet. Bestätigen Sie sämtliche Einstellungen mit OK. 7. Als Nächstes müssen Sie den Kontonamen und das Kennwort für ein Konto mit administrativer Berechtigung oder das Konto des Sicherungs-Operators angeben, in dessen Benutzerkontext der Auftrag ausgeführt werden soll. Haben Sie bei der Auswahl des Startzeitpunkts eine Uhrzeit ausgewählt, die sich vor der aktuellen Uhrzeit befindet, erhalten Sie an dieser Stelle einen entsprechenden Hinweis und können eine neue Startzeit auswählen. Klicken Sie dann auf FERTIG STELLEN, um den neuen Auftrag zu generieren.
824
Sandini Bib
Der Sicherungs-Assistent Abbildung 17.15: Erweiterte Einstellungen für die Planung der Sicherungsaufträge
Sobald ein oder mehrere Aufträge eingerichtet worden sind, werden diese auf der Registerkarte AUFTRÄGE PLANEN (siehe Abbildung 17.16) angezeigt. Für jeden Auftrag wird als Symbol der Typ der Sicherung angezeigt, z.B. N für Normal oder I für Inkrementell, sowie als weiteres Symbol die Auswahl der Sicherung, z.B. Komplett oder ausgewählte Dateien und Ordner.
Abbildung 17.16: Wurden Sicherungsaufträge definiert, werden diese auf der Registerkarte Aufträge planen angezeigt.
825
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur
Sämtliche Sicherungsaufträge werden automatisch dem Taskplaner hinzugefügt. Die Aufträge können so auch über SYSTEMSTEUERUNG/GEPLANTE TASKS eingesehen werden. Um bestehende Sicherungsaufträge wieder zu löschen, klicken Sie das Symbol des Auftrags im Kalenderelement an. Im Fenster OPTIONEN FÜR GEPLANTE AUFTRÄGE (siehe Abbildung 17.17) klicken Sie auf LÖSCHEN. Nach einer Sicherheitsabfrage wird der Sicherungsauftrag entfernt. Abbildung 17.17: Vorhandene Sicherungsaufträge können auch wieder gelöscht werden.
Im Benutzerverzeichnis unter \DOKUMENTE UND EINSTELLUNGEN verfügt Windows Backup über einen eigenen Ordner unter dem Pfad \L OKALE E INSTELLUNGEN \A NWENDUNGSDATEN \M ICRO SOFT\WINDOWS NT\NTBACKUP. Im Unterordner \DATA befinden sich die Sicherungsaufträge. Diese tragen die Dateiendung .job. Die .bks-Dateien (Backup-Skript) werden angelegt, sobald ein Sicherungsauftrag erstellt wird. In diesen Skriptdateien sind die zu sichernden Dateien und Ordner sowie die von der Sicherung ausgeschlossenen Elemente aufgelistet. Weiterhin befindet sich in diesem Verzeichnis eine Protokolldatei. Diese trägt die Dateiendung .log. Der Umfang des Protokolls wird über das Menü EXTRAS/OPTIONEN auf der Registerkarte SICHERUNGSPROTOKOLL eingestellt. Um das Protokoll anzusehen, klicken Sie auf das Menü EXTRAS/BERICHT.
826
Sandini Bib
Der Wiederherstellungs-Assistent
17.3
Der WiederherstellungsAssistent
Über den Wiederherstellungs-Assistenten werden die Sicherungen wieder auf das System zurückgespielt. Das Thema Wiederherstellen ist bei vielen Administratoren oftmals sehr heikel. Es werden zwar (hoffentlich) regelmäßig Sicherungen durchgeführt, aber eine Wiederherstellung der Daten erfolgt zu Testzwecken in der Regel gar nicht. Dabei sollte sich jeder Administrator auch mit dem Zurückspielen und Überprüfen der zurückgespielten Daten beschäftigen. Führen Sie diese Aufgabe lieber einige Male testweise durch, anstatt bei einem wirklichen Ausfall vor der netten Aufgabe zu stehen, die Daten innerhalb kürzester Zeit wiederherstellen zu müssen. Sollte es dabei zu Verzögerungen oder sogar Problemen kommen, wird der Chef sicherlich nicht die nettesten Worte für seinen Administrator parat haben. Um den Wiederherstellungs-Assistenten auszuführen, starten Sie ihn über die Registerkarte WILLKOMMEN. 1. Im Willkommensfenster klicken Sie auf WEITER. Im Fenster WIEDERHERZUSTELLENDES OBJEKT (siehe Abbildung 17.18) finden Sie unter dem Eintrag DATEI alle als Datei gesicherten Objekte. Wurden auch Sicherungen auf einem Bandlaufwerk angelegt, ist dort ein zusätzlicher Eintrag vorhanden. Um den Inhalt der vorhandenen Sicherungssätze anzuzeigen, doppelklicken Sie das gewünschte Element. Der Mauszeiger verwandelt sich in das Symbol eines blauen Häkchens, mit dem Sie das wiederherzustellende Element markieren. Klicken Sie dann auf WEITER. 2. Werden in der Liste mehrere Sicherungssätze angezeigt, ist es immer nur möglich, einen einzigen Satz zu markieren und wiederherzustellen. Sollen mehrere Elemente wiederhergestellt werden, müssen diese in jeweils einem separaten Durchlauf des Assistenten wiederhergestellt werden. 3. Sie sehen nun eine Zusammenfassung. Klicken Sie auf FERTIG STELLEN, um die Wiederherstellung zu starten. Über ERWEITERT können noch zusätzliche Wiederherstellungsoptionen definiert werden.
827
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur Abbildung 17.18: Auswahl der gesicherten Objekte, die wiederhergestellt werden sollen
4. Es wird der ZIELORT DER WIEDERHERSTELLUNG bestimmt (siehe Abbildung 17.19). Dafür stehen die folgenden Optionen zur Verfügung: Verschiedene Orte zur Wiederherstellung
왘
URSPRÜNGLICHER BEREICH Die Dateien werden an dem ursprünglichen Speicherort wiederhergestellt. Diese Option wird verwendet, wenn beschädigte oder gelöschte Dateien wiederhergestellt werden sollen.
왘
ALTERNATIVER BEREICH Mit dieser Option werden die Daten in einem anderen Ordner hergestellt. Die Ordnerstruktur bleibt dabei erhalten. Sie sollten diese Option nutzen, wenn ältere Dateien erforderlich sind, die sich nicht mehr auf dem aktuellen System befinden. Dadurch wird erreicht, dass die aktuelle Ordnerstruktur nicht überschrieben wird. Geben Sie den gewünschten Ordner an, in den die Inhalte zurückgespielt werden sollen.
왘
EINZELNER ORDNER Bei dieser Auswahl werden die gesicherten Daten in einem einzelnen Ordner wiederhergestellt. Die ursprüngliche Struktur bleibt dabei nicht erhalten. Sie sollten diese Option benutzen, wenn eine bestimmte Datei benötigt wird, deren genauer Pfad nicht bekannt ist. Geben Sie den gewünschten Ordner an, in den die Inhalte zurückgespielt werden sollen.
Klicken Sie dann auf WEITER.
828
Sandini Bib
Der Wiederherstellungs-Assistent Abbildung 17.19: Bestimmen des Zielorts für die Wiederherstellung
5. Im Fenster OPTIONEN DER WIEDERHERSTELLUNG (siehe Abbildung 17.20) wird festgelegt, wie die Wiederherstellung der Dateien erfolgen soll, die sich bereits auf dem Computer befinden. Auch hierfür stehen drei verschiedene Optionen zur Verfügung: 왘
VORHANDENE DATEIEN BEIBEHALTEN (EMPFOHLEN)
Optionen zur WiederherAuf diese Weise wird sichergestellt, dass bereits auf der Fest- stellung
platte vorhandene Dateien nicht durch die der Sicherung überschrieben werden. Dies ist die Standardeinstellung. 왘
DATEIEN NUR ERSETZEN, WENN SIE ÄLTER SIND ALS DIE SICHERUNGSDATEIEN
Wurden die lokalen Dateien seit der letzten Sicherung geändert, gehen auf diese Weise die Änderungen nicht verloren. 왘
VORHANDENE DATEIEN ERSETZEN Mit dieser Option werden sämtliche Dateien auf der Festplatte durch die der Sicherung überschrieben. Wurden die Dateien seit der letzten Sicherung geändert, gehen diese Änderungen verloren.
Klicken Sie dann auf WEITER.
829
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur Abbildung 17.20: Optionen zum Ersetzen vorhandener Dateien bei der Wiederherstellung
6. Im folgenden Fenster ERWEITERTE WIEDERHERSTELLUNGSOPTIONEN (siehe Abbildung 17.21) können Optionen für die Wiederherstellung von Sicherheitseinstellungen und Systemdateien konfiguriert werden. Diese Optionen haben folgende Bedeutung: 왘
SICHERHEITSEINSTELLUNGEN WIEDERHERSTELLEN Diese Option ist standardmäßig aktiviert. Es werden bei der Wiederherstellung auch die Sicherheitseinstellungen der Dateien und Ordner hergestellt.
왘
NUR ABZWEIGPUNKTE WIEDERHERSTELLEN, NICHT DIE ORDNER UND DATEIDATEN, AUF DIE VERWIESEN WIRD Es werden lediglich die Abzweigungspunkte wiederhergestellt. Ein Abzweigungspunkt ist ein physischer Standort auf der Festplatte, über den auf Daten verwiesen wird, die sich an einem anderen Standort der Platte oder auf einem anderen Speichergerät befinden. Die Abzweigungspunkte werden beim Erzeugen eines bereitgestellten Laufwerks angelegt. Diese Punkte können auch über das Kommandozeilenprogramm linkd angelegt werden. Standardmäßig ist diese Option nicht aktiviert.
왘
VORHANDENE BEREITSTELLUNGSPUNKTE BEIBEHALTEN Mit dieser Option werden bereits vorhandene Bereitstellungspunkte auf der Partition beim Wiederherstellen nicht überschrieben. Sie sollten diese Option aktivieren, wenn der Inhalt eines gesamten Laufwerks oder einer Partition wiederhergestellt werden soll.
830
Sandini Bib
Der Wiederherstellungs-Assistent
Klicken Sie dann auf WEITER und FERTIG STELLEN, um die Wiederherstellung zu starten. Abbildung 17.21: Die erweiterten Wiederherstellungsoptionen
Die Wiederherstellung kann wie auch die Sicherung direkt über die Registerkarte MEDIEN WIEDERHERSTELLEN UND VERWALTEN (siehe Abbildung 17.22) erfolgen. Abbildung 17.22: Die Registerkarte Medien wiederherstellen und verwalten
Wie bereits beschrieben, selektieren Sie das wiederherzustellende Medium. Das Wiederherstellungsziel wird über die Listbox DATEIEN WIEDERHERSTELLEN IN ausgewählt. Um die weiteren beschriebenen Optionen einzustellen, klicken Sie auf WIEDERHERSTELLUNG STARTEN und dann auf ERWEITERT.
831
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur
17.4
Der Assistent für die automatische Systemwiederherstellung
Über diesen Assistenten wird eine Diskette für die Systemwiederherstellung nach einem Systemfehler sowie eine Sicherung des Systemstatus erstellt. Dazu sind folgende Schritte erforderlich: 1. Im Willkommensfenster klicken Sie auf WEITER. 2. Im Fenster SICHERUNGSZIEL geben Sie den Pfad an, unter dem die Systemstatusdaten gespeichert werden sollen. Klicken Sie dann auf WEITER. 3. Klicken Sie danach auf FERTIG STELLEN. Es wird zunächst die Sicherung des Systemstatus durchgeführt. Anschließend legen Sie eine Diskette ein, um die Systemwiederherstellungsdiskette erstellen zu lassen.
17.5 Sicherungen per Batch-Datei durchführen
Das Befehlszeilenprogramm Ntbackup
Die Sicherung kann nicht nur, wie in den vorangegangenen Kapiteln beschrieben, über den Assistenten, sondern auch über das Befehlszeilenprogramm ntbackup.exe erfolgen. Auf diese Weise kann die Sicherung auch über eine Batch-Datei durchgeführt werden. Eine Wiederherstellung der Daten ist auf diesem Weg jedoch nicht möglich. Alle Parameter, die in eckigen Klammern [ ] stehen, sind optional. Die Syntax von ntbackup.exe lautet ntbackup backup [systemstate] "BKS_Dateiname" /J "Auftragsname" [/P "Poolname"] [/G "GUID_Name"] [/T "Bandname"] [/N "Medienname"] [/F "Dateiname"] [/D "Beschreibung"] [/A] [/V:yes|no] [/R:yes|no] [/L:f|s|n] [/M Sicherungsart] [/RS:yes|no] [/HC:on|off] [/UM] [/SNAP:on|off]
Die einzelnen Parameter haben folgende Bedeutung:
832
Sandini Bib
Das Befehlszeilenprogramm Ntbackup
Parameter
Beschreibung
systemstate
Gibt an, dass die Systemstatusdaten gesichert werden sollen. Dabei können nur die Sicherungsarten Normal oder Kopieren verwendet werden.
BKS_Dateiname
Bezeichnet den Namen der Sicherungsauswahldatei (BKS-Datei). In dieser Datei befinden sich Informationen über die zur Sicherung ausgewählten Dateien und Ordner. Diese Datei muss zuvor über die GUI des Backup-Programms erstellt worden sein.
/J "Auftragsname"
Bezeichnet den Namen für den Sicherungsauftrag, der in der Protokolldatei verwendet wird. Im Namen sollten eine Beschreibung sowie Uhrzeit und Datum der Sicherung enthalten sein.
/P "Poolname"
Bezeichnet den Medien-Pool, aus dem die Medien entnommen werden sollen. Wird dieser Parameter gesetzt, dürfen die Parameter /A, /G, / F und /T nicht verwendet werden.
/G "GUID_Name"
Gibt die GUID (Globally Unique Identifier) des Pools an.
/T "Bandname"
Das Band kann überschrieben bzw. angehängt werden. Dieser Parameter darf nicht zusammen mit /P benutzt werden.
/N "Medienname"
Bezeichnet den neuen Namen für das Band. Dieser Parameter darf nicht zusammen mit /A benutzt werden.
/F "Dateiname"
Es werden der Pfad sowie der Dateiname angegeben. Dieser Parameter darf nicht mit /P, /G und /T benutzt werden.
/D "Beschreibung"
Gibt die Beschreibung für den Sicherungssatz an.
/A
Die Objekte werden angehängt. Es muss dabei der Parameter /G oder /T gesetzt werden. /P darf nicht verwendet werden.
/V:yes|no
Die Daten können nach Ende der Sicherung überprüft werden.
/R:yes|no
Der Zugriff auf das Band ist nur für Administratoren sowie den Besitzer der Dateien möglich.
/L:f|s|n
Es wird der Umfang der Protokollierung bestimmt. Ein vollständiges Protokoll wird mit f erstellt, eine Zusammenfassung mit s und keine Protokollierung mit n.
Tabelle 17.1: Die Parameter des Programms Ntbackup
833
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur
Parameter
Beschreibung
/M Sicherungsart
Beschreibt den Sicherungstyp. Die folgenden Optionen sind möglich: Normal = Normale Sicherung, copy = Kopieren, differencial = Differentielle Sicherung, incremental = Inkrementelle Sicherung und daily = Tägliche Sicherung
/RS:yes|no
Die Wechselmedien-Datenbank kann gesichert werden.
/HC:on|off
Die Hardware-Komprimierung des Bandlaufwerks kann eingeschaltet werden, falls diese von der Hardware unterstützt wird.
/UM
Es wird das erste verfügbare Medium für die Sicherung gesucht und formatiert. Für diesen Befehl muss unter /P ein Medien-Pool angegeben worden sein. Die Medien-Pools werden in folgender Reihenfolge durchsucht: Pool freier Medien, Pool für Importmedien, Pool unerkannter Medien und Sicherungs-Pool. Das zuerst gefundene Medium wird gewählt. Dieser Befehl kann nur bei eigenständigen Bandlaufwerken, jedoch nicht bei Bandladegeräten benutzt werden.
/SNAP:on|off
Schaltet die Funktion Schattenkopie ein und aus.
Das Programm ntbackup.exe unterstützt keine Wildcards. So ist es beispielsweise nicht möglich, mit der Eingabe von *.doc sämtliche Word-Dokumente zu sichern.
17.5.1
Beispiele
Im Folgenden finden Sie einige Beispiele zur Verwendung der umfangreichen Parameter von ntbackup.exe. Beispiel 1 Es wird ein normales Backup namens Backup 1 des Netzlaufwerks \\Computer\c$ durchgeführt. Dazu wird ein Sicherungsband aus dem Medien-Pool Backup genommen und Sicherung Backup 1 genannt. Die Beschreibung des Sicherungsauftrags lautet Sicherungsauftrag Backup 1. Nach Abschluss der Sicherung werden die Daten überprüft, der Zugriff wird nicht auf die Benutzer Administrator bzw. Besitzer beschränkt und als Protokollierung wird eine Zusammenfassung angezeigt. Daten des Remote-Speichers werden nicht gesichert und die Hardware-Komprimierung ist aktiviert.
834
Sandini Bib
Das Befehlszeilenprogramm Ntbackup ntbackup backup \\Computer\c$ /m normal /j "Backup 1" /p "Backup" /n "Sicherung Backup 1" /d "Sicherungsauftrag Backup 1" /v:yes /r:no /l:s /rs:no /hc:on (¢)
Beispiel 2 In den folgenden Beispielen wird ein Backup als Datei angelegt. Es werden die in der GUI-Version eingestellten Standardwerte für den Sicherungstyp, die Überprüfung der Sicherung, die Protokollierung, die Hardware-Komprimierung sowie Zugriffsbeschränkungen verwendet. In Beispiel A wird das Netzlaufwerk \\Computer\c$ in die Datei Sicherung.bkf gespeichert. Als Pfad für die Sicherungsdatei kann auch der vollständige UNC-Name angegeben werden und nicht der Laufwerksbuchstabe wie in den Beispielen. In Beispiel B wird dieselbe Sicherung an die bestehende Sicherungsdatei angehängt. Unter Beispiel C wird die bestehende Sicherungsdatei durch die Sicherung überschrieben. Beispiel A ntbackup backup \\Computer\c$ /j "Sicherung Backup 2" /f "D:\Sicherung.bkf" (¢)
Beispiel B ntbackup backup \\Computer\c$ /j " Sicherung Backup 3" / f "D:\ Sicherung.bkf" /a (¢)
Beispiel C ntbackup backup \\Computer\c$ /j " Sicherung Backup 4" / f "D:\ Sicherung.bkf" (¢)
17.5.2
Hinweise
Für die folgenden Parameter gelten die Werte, die in der GUI-Version des Backup-Programms eingestellt worden sind, sofern nicht explizit andere Werte über die Kommandozeile angegeben werden: /V, /R, /L, /M, /RS sowie /HC
Wurde unter dem Menü EXTRAS/OPTIONEN beispielsweise die Hardware-Komprimierung eingeschaltet und wird der Parameter /HC in der Befehlszeile nicht gesetzt, wird die Hardware-Komprimierung eingesetzt. Nur wenn explizit /HC:off angegeben wird, wird die Einstellung der GUI nicht verwendet. Die Systemstatusdaten eines Computers können nur auf dem zugehörigen Computer gesichert werden. Als Speicherort für die Sicherung kann kein Remotecomputer verwendet werden.
835
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur
Werden die Medien mit dem Remote-Speicher verwaltet oder wird die Speicherung der Daten über den Remote-Speicher vorgenommen, müssen die folgenden Ordner in regelmäßigen Abständen gesichert werden, damit sämtliche Daten der Wechselmedienverwaltung sowie des Remote-Speichers wiederhergestellt werden können: %SYSTEMROOT%\SYSTEM32\NTMSDATA und %SYSTEMROOT%\SYSTEM32\REMOTESTORAGE.
17.6
Backup-Programme weiterer Hersteller
Neben dem Windows-eigenen Backup-Programm gibt es auf dem Markt zahlreiche Backup-Programme verschiedenster Hersteller, die teilweise über einen wesentlich erweiterten Funktionsumfang verfügen. Gerade in einem Unternehmen wird ab einer bestimmten Größe nicht mehr die Sicherung jedes Client separat durchgeführt. Hier werden eher serverbasierte Lösungen eingesetzt, die neben den Client-Sicherungen auch Sicherungen weiterer Anwendungsserver durchführen. In einer Active Directory-Umgebung sollten Sie in jedem Fall darauf achten, dass das gewählte Produkt auch für das Backup des Active Directory geeignet ist. Veritas Backup Exec Aktuell ist die Version Veritas Backup Exec 10. Es werden zwei verschiedene Versionen angeboten, eine speziell für den Small Business Server und eine für Windows Server. Das Programm bietet eine zentrale Sicherung und Wiederherstellung aller Windows-, Unix- und Linux-basierten Serverdaten sowie der Desktops und Laptops. Weitere Informationen finden Sie unter http://www.veritas.com. CA BrightStor ARCserve Einen ähnlichen Funktionsumfang bietet auch das Programm BrightStor ARCserve Backup for Windows der Firma Computer Associates. Aktuell ist die Version 11. Es gibt auch hier eine spezielle Version für den Small Business Server. Es können sämtliche Windows Server-Daten sowie Desktops von Windows-, Unix-, Linux- sowie Macintosh-Clients gesichert werden. Weitere Informationen finden Sie unter http://www3.ca.com.
836
Sandini Bib
Backup-Strategie
Lösungen für große Unternehmen Speziell für große Unternehmen, die NAS als Datenspeicher verwenden, sind die Produkte HP StorageWorks Rapid Backup Solutions sowie IBM TotalStorage NAS Backup and Recovery Solutions konzipiert. Das IBM-Tool ist auch für die Zusammenarbeit mit Tivoli ausgelegt.
17.7
Backup-Strategie
Als Grundlage für das Durchführen der Sicherungen muss eine Grundlage für Backup-Strategie erstellt werden. Unabhängig davon, welches die Sicherung Programm für die Sicherung benutzt wird, müssen einige grundlegende Punkte geklärt werden. 왘
Zu welcher Zeit soll das Backup durchgeführt werden? Es ist wenig sinnvoll, die Backups der Clients zu den Hauptarbeitszeiten durchzuführen. Diese Aufgabe sollte besser auf die Abend- oder Nachtstunden verlegt werden.
왘
Wie viele Desktops können gleichzeitig gesichert werden? Diese Frage ist abhängig vom verwendeten Backup-Produkt. Auch die Netzwerkkapazität spielt dabei eine wichtige Rolle.
왘
In welchen Intervallen muss das Backup durchgeführt werden? Muss das Intervall auf allen Computern gleich sein? Computer, die nicht täglich genutzt werden, müssen sicherlich weniger häufig gesichert werden. Die Computer können nach Typen kategorisiert werden, für die verschiedene BackupIntervalle gelten können.
왘
Wann soll welcher Sicherungstyp durchgeführt werden? Ist die Kombination von normaler und inkrementeller Sicherung oder normaler und differentieller Sicherung besser? Dies ist davon abhängig, ob ein größerer Schwerpunkt auf eine schnellere Durchführung der Sicherung oder der Wiederherstellung gelegt wird. Möglicherweise werden bei unterschiedlichen Client-Typen auch verschiedene Kombinationen von Sicherungstypen angewendet.
왘
Bei der Verwendung von Sicherungsbändern und MedienPools muss auch deren Katalogisierung und Bereitstellung geplant werden.
837
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur
17.7.1
Der richtige Umgang mit den Sicherungsmedien
Die beste Backup-Strategie ergibt nur dann Sinn, wenn auch der Umgang und insbesondere die Aufbewahrung der Backups durchdacht wird. Allein schon aus Sicherheitsgründen sollten die Backup-Medien wie Bänder oder CDs/DVDs grundsätzlich nicht an derselben Stelle aufbewahrt werden wie die Sicherungsgeräte oder Server. Hier wäre die Gefahr zu groß, dass einerseits unbefugte Personen im Falle eines Zutritts zu den Computern auch die Sicherungsmedien mitnehmen und auf einen beliebigen Computer zurückspielen können, um so an die Daten zu gelangen. Andererseits besteht auch im Falle höherer Gewalt wie Feuer die Gefahr, dass neben der Hardware auch sämtliche gesicherten Daten verloren gehen, wenn diese gemeinsam aufbewahrt werden. In diesem Fall wäre der Verlust der Daten der weitaus größere Schaden gegenüber dem Verlust oder der Beschädigung der Hardware. Deshalb sollten die Sicherungsmedien an einem separaten Ort aufbewahrt werden. In Frage kommt hier beispielsweise ein feuerfester Tresor oder sogar die Lagerung der Medien völlig außerhalb des Unternehmens, beispielsweise beim zuständigen SicherungsAdministrator. Dieses Verfahren ist auf jeden Fall mit der Unternehmensleitung zu besprechen. Welcher Ort auch immer zur sicheren Lagerung gewählt wird: Es muss gewährleistet sein, dass die Backups bei Bedarf in einem angemessenen Zeitraum beschafft und wiedereingespielt werden können.
17.8
Die Sicherung der Registrierungsdatenbank
Beim Einsatz eines Sicherungsprogramms und auch beim Anwenden der Systemwiederherstellung (siehe Kapitel 17.10) wird die Registry ebenfalls gesichert. Allerdings benötigen Sie ein laufendes Windows-System, um die Registry zurückspielen zu können. Es gibt jedoch auch ein Verfahren, die Registry ohne weitere Komponenten des Betriebssystems zu sichern. Dies kann sinnvoll sein, wenn an einem Testrechner bestimmte Änderungen an der Registry getestet werden sollen. Im Fall eines Fehlschlags muss lediglich die Registry zurückgespielt werden. Die Exportfunktion des Registryeditors sichert zwar auch Schlüssel, jedoch nicht die komplette Registry. Sämtliche Sicherheitsschlüssel werden dabei nicht exportiert und gesichert.
838
Sandini Bib
Die Sicherung der Registrierungsdatenbank
Wesentlich praktischer ist in diesem Zusammenhang das Programm ERUNT. ERUNT steht für Emergency Recovery Utility Tool und ist kostenlos erhältlich. Sie können es direkt vom Entwickler unter http://www.larshederer.homepage.t-online.de/erunt/ herunterladen. Beim Aufruf des Programms geben Sie unter SICHERUNG ERSTELden Zielordner an. Standardmäßig wird als Name für den Unterordner immer das aktuelle Datum angegeben (siehe Abbildung 17.23). Sie können bestimmen, ob zur Systemregistrierung auch noch die Registrierung des aktuellen Benutzers oder andere geöffnete Benutzerregistrierungen gesichert werden sollen.
LEN IN
Abbildung 17.23: Auswahl des Sicherungsordners unter ERUNT
Während der Sicherung werden Sie über den Status informiert. Ist die Sicherung abgeschlossen, erhalten Sie einen Hinweis zum späteren Zurückspielen der Registry (siehe Abbildung 17.24). Abbildung 17.24: Statusmeldung und Hinweis zum Zurückspielen
Im Sicherungsverzeichnis befinden sich die gesicherten RegistryDaten (siehe Abbildung 17.25). In diesem Verzeichnis liegt auch die Datei ERDNT.EXE. Über diese Datei wird das Zurückspielen der Registry durchgeführt.
839
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur Abbildung 17.25: Der Inhalt einer mit ERUNT angelegten Registry-Sicherung
Nachdem Sie die Datei ERDNT.EXE ausgeführt haben, erhalten Sie das Fenster WIEDERHERSTELLEN EINER SICHERUNG (siehe Abbildung 17.26). Hier können Sie bestimmen, ob mit der Systemregistrierung auch die Schlüssel des aktuellen Benutzers und/oder weiterer gesicherter Benutzer wiederhergestellt werden sollen. Es ist also auch möglich, lediglich die computerbasierten Teile der Registry zurückzuspielen, die benutzerbasierten Schlüssel jedoch auszulassen. Unter WIEDERHERSTELLUNGSMODUS ist standardmäßig die Funktion AUTO aktiviert. Diese sollte auch nur deaktiviert werden, wenn es Probleme beim Zurückspielen der Sicherung gab. Unter Windows XP kann nur der Modus NT aktiviert werden. Weiterhin ist auch die Option BACKUP DER AKTUELLEN REGISTRIERUNGSDATEIEN grundsätzlich aktiviert und kann nicht ausgeschaltet werden. Um die Wiederherstellung einzuleiten, klicken Sie auf OK. Abbildung 17.26: Wiederherstellen der Registry
840
Sandini Bib
Sicherung mit Hilfe von Image-Programmen
17.9
Sicherung mit Hilfe von Image-Programmen
Außer den klassischen Backup-Programmen werden auch ver- Nur bedingt für mehrt Images von Systemen angelegt und bei Problemen wieder die Sicherung geeignet zurückgespielt. Diese Methode hat zwar den Vorteil, dass das Zurückspielen eines Image von einer CD oder DVD wesentlich weniger Zeit in Anspruch nimmt als das Neuaufsetzen eines Betriebssystems und das anschließende Zurückspielen der Daten. Allerdings kann über ein Image nur der Screenshot eines bestimmten Zustands erstellt werden. Es ergibt durchaus Sinn, von einem neu aufgesetzten Clientcomputer ein Image zu erstellen, sodass dieses zurückgespielt werden kann, wenn das System nicht mehr gestartet werden kann. Allerdings bietet Windows auch hier mit Hilfe der Rescue Disk und den gesicherten Systemstatusdaten die Möglichkeit, das System wiederherzustellen. Sofern sich die Daten des Benutzers auf einer separaten Partition befinden, die nicht per Image wiederhergestellt wird, ist dieses Verfahren sicherlich praktikabel. Anderenfalls müsste zusätzlich zum Einspielen des Image noch das Backup der Benutzerdaten wiederhergestellt werden, damit der Benutzer wieder auf einem (relativ) aktuellen Stand ist. Zudem spricht in einer produktiven Umgebung der relativ hohe Arbeitsaufwand gegen den Einsatz von Images. So muss mindestens einmalig nach der Installation ein Image von jedem einzelnen Clientcomputer erstellt werden. Diese Images müssen katalogisiert und aufbewahrt werden, damit im Bedarfsfall schnell auf sie zugegriffen werden kann. Eine sehr gute Lösung ist der Einsatz von Image-Programmen in einer Testumgebung, in der nahezu keine benutzerspezifischen Daten existieren. So kann hier schnell wieder ein neues, sauberes System aufgezogen werden, wenn das alte aufgrund missratener Testszenarien seinen Dienst verweigert. Insgesamt ist das Imaging als Backup-Methode lediglich für eine Testumgebung, nicht jedoch für ein produktives Umfeld zu empfehlen. Das bekannteste Image-Programm ist Norton Ghost. Die aktuelle Version lautet 9. Weitere Informationen zu diesem Programm finden Sie unter dem Link http://www.symantec.com.
841
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur
17.10 Systemwiederherstellung über Wiederherstellungspunkte Ein wichtiges und neues Feature unter Windows XP ist die Systemwiederherstellung über Wiederherstellungspunkte. Mit Hilfe von Wiederherstellungspunkten können Sie das Betriebssystem wieder auf einen früheren, funktionierenden Stand bringen, wenn das System beispielsweise nach einer Installation nicht mehr starten kann. Um die Systemwiederherstellung unter Windows XP einrichten zu können, müssen sämtliche Laufwerke über mindestens 200 MB freien Festplattenspeicher verfügen. Es ist nicht möglich, ein Laufwerk, auf dem sich nicht genügend freier Speicherplatz befindet, von der Systemwiederherstellung auszuschließen. Erst nachdem die Wiederherstellung gestartet wurde, können einzelne Laufwerke manuell von der Systemwiederherstellung ausgenommen werden. Sofern sich auf einem Laufwerk nicht genügend freier Speicherplatz befindet, werden Sie darüber informiert und können die Datenträgerbereinigung starten, um freien Speicherplatz zu schaffen.
17.10.1 Aktivierung der Systemwiederherstellung Standardmäßig ist die Systemwiederherstellung deaktiviert. Sie können entweder einen Assistenten zum Einrichten der Systemwiederherstellung verwenden oder die Einstellungen manuell vornehmen. Um dieses Feature manuell zu aktivieren, öffnen Sie in den Eigenschaften des Arbeitsplatzes die Registerkarte SYSTEMWIEDERHERSTELLUNG (siehe Abbildung 17.27). Stellen Sie sicher, dass dort die Checkbox SYSTEMWIEDERHERSTELLUNG AUF ALLEN LAUFWERKEN DEAKTIVIEREN nicht markiert ist. Im Bereich LAUFWERKSEINSTELLUNGEN sehen Sie einen Statusüberblick über die Systemwiederherstellung auf allen Laufwerken. Dieser Status kann lauten: ANGEHALTEN oder WIRD ÜBERWACHT. Um für die einzelnen Laufwerke festzulegen, wie viel Speicherplatz für die Systemwiederherstellung genutzt werden darf, markieren Sie das Laufwerk und klicken auf EINSTELLUNGEN. Sie erhalten dann das gleichnamige Fenster (siehe Abbildung 17.28). Dort kann über den Schieberegler der gewünschte Wert eingestellt
842
Sandini Bib
Systemwiederherstellung über Wiederherstellungspunkte
werden. Je größer der verfügbare Speicherplatz ist, desto mehr Wiederherstellungspunkte können angelegt werden. Steht weniger Speicherplatz zur Verfügung, müssen möglicherweise häufiger ältere Wiederherstellungspunkte gelöscht werden. Bestätigen Sie Ihre Eingabe mit OK. Abbildung 17.27: Überblick über den Status der Systemwiederherstellung auf den einzelnen Partitionen
Bei allen Laufwerken, bei denen es sich nicht um die Systempartition handelt, ist im Fenster EINSTELLUNGEN zusätzlich die Checkbox SYSTEMWIEDERHERSTELLUNG AUF DIESEM LAUFWERK DEAKTIVIEREN vorhanden. Das Deaktivieren ist auf Partitionen sinnvoll, auf denen lediglich Daten abgelegt sind, aber keine Installationen vorgenommen werden. Auf diese Weise kann auf einer Datenpartition Speicherplatz gespart werden. Wenn die Systemwiederherstellung auf dem Systemlaufwerk deaktiviert wird, erfolgt die Deaktivierung automatisch auch auf allen anderen Laufwerken. Generell ist auf allen anderen Laufwerken die manuelle Deaktivierung möglich. Ist die Systemwiederherstellung aktiviert, legt Windows XP automatisch Wiederherstellungspunkte an. Dies geschieht alle 24 Stunden. Befindet sich der Computer im Dauerbetrieb, wird alle zehn Stunden ein Wiederherstellungspunkt gesetzt. Zusätzlich werden Wiederherstellungspunkte bei Installationen gesetzt.
843
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur Abbildung 17.28: Einstellungen zur Speicherplatznutzung der Systemwiederherstellung
Im Ordner %SYSTEMROOT%\SYSTEM32\RESTORE befindet sich die Datei Filelist.xml. Darin sind die Ordner und Dateien aufgelistet, die von der Systemwiederherstellung auf Änderungen hin überwacht werden. Ebenso befindet sich dort auch eine Ausschlussliste, deren Inhalte nicht überwacht werden. In der Registry sind die Konfigurationseinstellungen für die Systemwiederherstellung im Schlüssel HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore gespeichert. Der Wert DISKPERCENT gibt die maximale Größe des Wiederherstellungsspeichers in Prozent des Laufwerks an. Er steht standardmäßig auf 12. Dieser Wert kann modifiziert werden; danach ist ein Neustart erforderlich. Wird nun ein neuer Wert über den Schieberegler festgelegt, wird sich die Änderung entsprechend auswirken. Auch nachdem die Systemwiederherstellung einmalig aktiviert wurde, müssen Sie darauf achten, dass immer mindestens 200 MB freier Speicher auf jedem Laufwerk verfügbar sind. Ist dies auf mindestens einem Laufwerk nicht mehr der Fall, wird die Systemwiederherstellung automatisch angehalten. Dies bedeutet auch, dass keine neuen Wiederherstellungspunkte mehr angelegt werden können. Sie müssen in diesem Fall zunächst freien Speicherplatz schaffen und danach die Systemwiederherstellung erneut manuell aktivieren. Windows übernimmt dies nicht automatisch.
844
Sandini Bib
Systemwiederherstellung über Wiederherstellungspunkte
17.10.2 Die Arten von Wiederherstellungspunkten Insgesamt gibt es drei Arten von Wiederherstellungspunkten, die auf dem System angelegt werden können. 왘
Manuelle Wiederherstellungspunkte Ein manueller Wiederherstellungspunkt kann jederzeit angelegt werden. Diese Art wird allein vom Benutzer und nicht vom System generiert. Das Anlegen der manuellen Wiederherstellungspunkte wird im folgenden Kapitel beschrieben.
왘
Systemprüfpunkte Die Systemprüfpunkte werden automatisch vom Betriebssystem angelegt. Dies geschieht standardmäßig alle 24 Stunden, im Dauerbetrieb des Computers alle zehn Stunden.
왘
Installationswiederherstellungspunkte Die Installationswiederherstellungspunkte werden automatisch bei der Installation eines neuen Programms angelegt.
17.10.3 Manuelles Anlegen eines Wiederherstellungspunktes Wie bereits erwähnt, legt Windows zwar automatisch Wiederherstellungspunkte an, aber dennoch sollten Sie vor der Installation eines Treibers oder einer anderen Software manuell einen solchen einrichten. Um einen neuen Wiederherstellungspunkt anzulegen, öffnen Sie im Startmenü den Programmeintrag ZUBEHÖR/SYSTEMPROGRAMME/SYSTEMWIEDERHERSTELLUNG. Sie haben zunächst die Optionen COMPUTER ZU EINEM FRÜHEREN ZEITPUNKT WIEDERHERSTELLEN und EINEN WIEDERHERSTELLUNGSPUNKT ERSTELLEN. Haben Sie die zweite Option gewählt, geben Sie in dem in Abbildung 17.29 dargestellten Fenster einen Namen für diesen Wiederherstellungspunkt an und klicken auf ERSTELLEN. Wählen Sie dabei einen aussagekräftigen Namen. Die Angabe von Datum und Uhrzeit im Dateinamen ist nicht erforderlich, weil diese Angaben automatisch hinzugefügt werden. Damit wird der neue Wiederherstellungspunkt angelegt. Nach dem Anlegen des Wiederherstellungspunktes erhalten Sie ein abschließendes Statusfenster.
845
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur
Abbildung 17.29: Für den neuen Wiederherstellungspunkt ist ein Name zu definieren.
17.10.4 Wiederherstellen auf den Status eines Wiederherstellungspunktes Um das System wieder auf den Status eines bestimmten Punktes zu bringen, starten Sie die Wiederherstellung über den Programmeintrag ZUBEHÖR/SYSTEMPROGRAMME/SYSTEMWIEDERHERSTELLUNG im Startmenü. Im ersten Fenster des Assistenten wählen Sie die Option COMPUTER ZU EINEM FRÜHEREN ZEITPUNKT WIEDERHERSTELLEN aus. Klicken Sie dann auf WEITER und Sie erhalten das in Abbildung 17.30 dargestellte Fenster. Im Kalenderelement links sind alle Daten fett hervorgehoben, an denen ein Wiederherstellungspunkt angelegt wurde. Dies erleichtert das Auffinden. Über die Pfeile neben dem Monatsfeld können Sie zwischen den Monaten wechseln. Markieren Sie einen Eintrag im Kalenderfeld, wird im rechten Fenster der zugehörige Wiederherstellungspunkt angezeigt. Dieser enthält das Erstelldatum sowie die eigene oder vom System gewählte Beschreibung. Markieren Sie diesen Eintrag und klicken auf WEITER.
846
Sandini Bib
Systemwiederherstellung über Wiederherstellungspunkte
Abbildung 17.30: Auswahl eines Wiederherstellungspunktes aus dem Kalenderelement
Sie erhalten dann ein Hinweisfenster, welches Sie darüber informiert, dass während der Systemwiederherstellung das System heruntergefahren und neu gestartet wird. Bevor die Wiederherstellung gestartet wird, sollten sämtliche Programme und Dateien geschlossen werden. Es werden zunächst die Informationen des Wiederherstellungspunktes ausgelesen, sodass eine Verzögerung bis zum Neustart des Systems eintritt. Wurde durch das Wiederherstellen des gewählten Status nicht der gewünschte Effekt erzielt, lässt sich die letzte vorgenommene Systemwiederherstellung rückgängig machen. Nach der erstmaligen Anmeldung erhalten Sie ein Hinweisfenster, dass eine Systemwiederherstellung durchgeführt worden ist. Rufen Sie dann die Systemwiederherstellung auf. Dort ist nun die zusätzliche Option LETZTE WIEDERHERSTELLUNG RÜCKGÄNGIG MACHEN verfügbar (siehe Abbildung 17.31). Klicken Sie auf WEITER. Sie erhalten wiederum das Hinweisfenster. Klicken Sie dort abermals auf WEITER, um die Wiederherstellung rückgängig zu machen.
847
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur
Abbildung 17.31: Nach einer Systemwiederherstellung kann dieser Schritt wieder rückgängig gemacht werden.
Es kann jeweils nur die letzte durchgeführte Systemwiederherstellung rückgängig gemacht werden.
17.10.5 Löschen von Wiederherstellungspunkten Je mehr Wiederherstellungspunkte angelegt sind, desto flexibler sind zwar die Auswahlmöglichkeiten, einen bestimmten Status wiederherzustellen. Andererseits belegen die Wiederherstellungspunkte auch Ressourcen an Speicherplatz. Und wer würde schon in die Verlegenheit kommen, exakt den Systemzustand wiederherstellen zu müssen, der vor genau vier Monaten auf dem System vorlag? Deshalb bietet es sich an, die nicht mehr benötigten Punkte zu löschen. Dazu sind die folgenden Schritte erforderlich: 1. Öffnen Sie die Eigenschaften des gewünschten Laufwerks und klicken auf die Schaltfläche BEREINIGEN. 2. Es erscheint ein Statusfenster, in dem berechnet wird, wie viel Speicherplatz freigegeben werden kann. Dieser Vorgang kann je nach Größe und Belegung des Laufwerks einige Minuten in Anspruch nehmen.
848
Sandini Bib
Systemwiederherstellung über Wiederherstellungspunkte
3. Im Fenster BEREINIGEN DES DATENTRÄGERS wechseln Sie auf die Registerkarte WEITERE OPTIONEN. 4. Klicken Sie dort im Abschnitt SYSTEMWIEDERHERSTELLUNG auf BEREINIGEN (siehe Abbildung 17.32). Abbildung 17.32: Löschen der alten Wiederherstellungspunkte bis auf den letzten eines Laufwerks.
5. Bestätigen Sie die folgende Sicherheitsabfrage mit JA. Auf diese Weise werden alle vorhandenen Wiederherstellungspunkte bis auf den letzten gelöscht. Eine Wiederherstellung ist dann nur noch auf den Status dieses letzten Punktes möglich.
17.10.6 Die Systemwiederherstellung kann nicht gestartet werden Möglicherweise erhalten Sie beim Start der Systemwiederherstellung die folgende Fehlermeldung: Systemwiederherstellung kann erst nach dem Neustart des Computers ausgeführt werden. Starten Sie das System neu und führen Sie Systemwiederherstellung erneut aus.
In diesem Fall sollten Sie zunächst den Computer neu starten und danach erneut versuchen, die Systemwiederherstellung auszuführen. Sofern Sie immer noch die Fehlermeldung erhalten, befindet sich auf dem System im Ordner \Windows eine Datei mit dem Namen wininit.ini. Eine solche Datei wird erstellt, wenn eine Applikation nicht vollständig installiert oder deinstalliert wurde oder es bei einer Aktualisierung des Systems zu Problemen kam und noch Änderungen an den Systemdateien ausstehen.
Listing 17.1: Fehlermeldung beim Starten der Systemwiederherstellung
849
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur
Um die Systemwiederherstellung starten zu können, müssen Sie die Datei wininit.ini umbenennen. Verwenden Sie die WindowsSuchfunktion, um die Datei zu finden und dann beispielsweise in wininit.old umzubenennen. Sie können auch versuchen, das Problem zu lösen, indem Sie in der Registry zum Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager navigieren und dort die Einträge im Schlüssel PendingFileRenameOperations entfernen.
17.11 Die Wiederherstellungskonsole Wenn das Betriebssystem nicht mehr vollständig hochfährt oder startet, muss über geeignete Reparaturmethoden nachgedacht werden, da die Systemwiederherstellung nur bei einem laufenden Betriebssystem ausgeführt werden kann. Auch der Großteil der Diagnoseprogramme kann lediglich unter einem laufenden Betriebssystem ausgeführt werden. Im Falle der Startverweigerung stehen nur noch Werkzeuge wie die Wiederherstellungskonsole oder der Einsatz von Start- und Setup-Disketten zur Verfügung. Problemlösungen unter einem MiniWindows
Über die Wiederherstellungskonsole kann ein behelfsmäßiges Windows XP geladen werden, wenn der normale Systemstart nicht mehr möglich ist. Darüber kann versucht werden, die Fehler zu beheben, die den Windows XP-Start verhindern. Die Wiederherstellungskonsole sollte in jedem Fall eingesetzt werden, bevor die Neuinstallation des Betriebssystems in Erwägung gezogen wird, bei der sämtliche vorhandenen Konfigurationseinstellungen des Systems verloren gingen. Dennoch ist die Wiederherstellungskonsole kein Wundermittel, mit dem jedes System wiederhergestellt werden kann.
17.11.1 Verwenden der Wiederherstellungskonsole Im Folgenden finden Sie eine Handlungsanweisung für den Einsatz der Wiederherstellungskonsole. 1. Um die Wiederherstellungskonsole zu starten, legen Sie die Windows XP-CD ein und starten von dieser. Unterstützt der Computer keinen Start von einer CD, lesen Sie die Hinweise zum Thema Setup-Diskette in Kapitel 17.12.3.
850
Sandini Bib
Die Wiederherstellungskonsole
2. Es wird ein rudimentäres Betriebssystem geladen. Danach erhalten Sie einen Auswahldialog, in dem die Wiederherstellungskonsole mit der Taste R ausgewählt wird. Anschließend wird die Konsole geladen. 3. Es wird eine Erkennung der installierten Windows-Versionen versucht. Um sich als Administrator an einem der Systeme anzumelden, geben Sie die angezeigte Nummer des Betriebssystems ein. 4. Geben Sie dann das Administrator-Passwort für das System an. 5. Ist das Passwort korrekt, gelangen Sie zur Eingabeaufforderung der Wiederherstellungskonsole. Dort sind die in Tabelle 17.2 beschriebenen Befehle möglich. Die verfügbaren Befehle werden auch über den Aufruf von help (¢) angezeigt. Über die Wiederherstellungskonsole ist jedoch standardmäßig aus Sicherheitsgründen nicht der Zugriff auf sämtliche Verzeichnisse möglich. Lediglich auf die folgenden Ordner kann zugegriffen werden: 왘
auf den Stammordner jedes Datenträgers
왘
auf das Windows-Verzeichnis
왘
auf die Ordner auf austauschbaren Datenträgern
왘
auf den Ordner \CMDCONS sowie dessen Unterverzeichnisse
Auf weitere Ordner wie z.B. Benutzerordner oder Programme kann nicht zugegriffen werden. Der Zugriff wird aufgrund mangelnder Berechtigungen von Windows XP verhindert. Außerdem sind ausschließlich die Befehle der Wiederherstellungskonsole möglich; weitere Befehle können nicht ausgeführt werden. Allerdings kann Windows XP ausgetrickst werden, sodass der Zugriff auf beliebige Ordner dennoch möglich wird. Dies geschieht über den set-Befehl an der Konsole, über den die Umgebungsvariablen gesetzt werden können. Dazu sind folgende Einstellungen notwendig: 1. Damit der set-Befehl verwendet werden kann, muss Windows diese erweiterte Funktionalität der Wiederherstellungskonsole zulassen. Dazu muss auf dem noch funktionsfähigen Windows eine Anpassung an der Registry vorgenommen werden. 2. Navigieren Sie im Registryeditor zum Schlüssel HKEY_ LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Setup\RecoveryConsole. 3. Setzen Sie den Wert für SetCommand von 0 auf 1.
851
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur
Danach kann der set-Befehl zum Setzen der Umgebungsvariablen an der Wiederherstellungskonsole benutzt werden. Geben Sie für den Zugriff auf sämtliche Ordner den Befehl set AllowAllPath = true (¢) ein. Um noch komfortabler mit Wildcards arbeiten zu können, wird der Befehl set AllowWildCards (¢) benutzt.
17.11.2 Befehle der Wiederherstellungskonsole An der Wiederherstellungskonsole sind lediglich die in der folgenden Tabelle beschriebenen Befehle möglich. Tabelle 17.2: Lediglich die hier aufgeführten Befehle können an der Wiederherstellungskonsole ausgeführt werden.
852
Befehl
Beschreibung
Attrib
Die Attribute einer Datei oder eines Ordners können geändert werden.
Batch
Sind in einer Textdatei Befehle hinterlegt, können diese über den batch-Befehl ausgeführt werden. Die Ausgabe dieser Befehle kann in einer anderen Textdatei erfolgen.
Bootcfg
Die Datei boot.ini kann konfiguriert und wiederhergestellt werden.
Cd oder ChDir
Es wird in das angegebene Verzeichnis gewechselt. Ist keines angegeben, wird der Inhalt des aktuellen Verzeichnisses aufgelistet.
Chkdsk
Der Datenträger wird überprüft und das Ergebnis anschließend angezeigt.
Cls
Die Anzeige auf dem Bildschirm wird gelöscht.
Copy
Es können einzelne Dateien in einen anderen Ordner kopiert werden.
Del oder delete
Die angegebene(n) Datei(en) oder Ordner werden gelöscht.
Dir
Es werden die im angegebenen Verzeichnis enthaltenen Dateien und Unterordner aufgelistet.
Disable
Es kann ein Hardware-Treiber oder der WindowsSystemdienst deaktiviert werden.
Diskpart
Die vorhandenen Partitionen können verwaltet werden.
Enable
Es kann ein Hardware-Treiber oder der WindowsSystemdienst aktiviert werden.
Exit
Die Wiederherstellungskonsole wird beendet und der Computer neu gestartet.
Sandini Bib
Die Wiederherstellungskonsole
Befehl
Beschreibung
Expand
Es kann eine Datei aus einem Archiv extrahiert werden. Die Datei kann sich entweder in einer .cab-Datei oder einem anderen Archiv befinden, das Sie an einem Unterstrich als letztem Zeichen der Dateiendung erkennen.
Fixboot
Auf der angegebenen Partition wird ein neuer Boot-Sektor geschrieben.
Fixmbr
Auf dem angegebenen Datenträger wird der MBR (Master-Boot-Record) repariert.
Format
Der angegebene Datenträger wird formatiert, wobei alle darauf enthaltenen Daten verloren gehen.
Help
Es wird die Liste der verfügbaren Befehle der Wiederherstellungskonsole angezeigt.
Listsvc
Die auf dem System verfügbaren Treiber und Dienste werden aufgelistet.
Logon
An einer vorhandenen Windows-Installation kann eine Anmeldung erfolgen.
Map
Die Zuordnung der Laufwerke zu den Laufwerksbuchstaben wird angezeigt.
Md oder Mkdir
Der angegebene Ordner wird an der aktuellen Position neu erstellt.
More
Eine Textdatei wird in Abschnitten auf dem Monitor angezeigt. Der Befehl wird mit | more nachgestellt.
Net use
Eine Netzwerkfreigabe wird einem Laufwerksbuchstaben zugeordnet.
Ren oder Rename
Die angegebene Datei oder der Ordner wird umbenannt.
Rd oder rmdir
Ein angegebenes Verzeichnis wird gelöscht.
Set
Es können Umgebungsvariablen angezeigt und gesetzt werden.
Systemroot
Es wird das Verzeichnis Systemroot als das aktuelle Verzeichnis des Betriebssystems festgelegt, an dem Sie aktuell angemeldet sind.
Type
Eine Textdatei wird seitenweise angezeigt.
Weitere Anwendungshinweise zu den einzelnen Befehlen erhalten Sie durch den Aufruf des jeweiligen Befehls ohne weitere Parameter. Im Gegensatz zum „Austricksen“ der Wiederherstellungskonsole bei der Anwendung des Set-Befehls gibt es keine Möglichkeit, weitere Befehle an der Konsole auszuführen.
853
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur
17.12 Reparaturzugriffe über Startund Installationsdisketten Bevor Sie auf die komplexe Wiederherstellungskonsole zurückgreifen, können Sie zunächst den Zugriff auf Windows XP über eine Start- oder Setup-Diskette probieren.
17.12.1 Einsatz einer Startdiskette Sogar eine Windows 9xStartdiskette kann hilfreich sein
Startdisketten sind eigentlich ein Relikt früherer WindowsBetriebssysteme und werden unter Windows XP nicht mehr eingesetzt. Dies bedeutet jedoch nicht, dass dieses Werkzeug nicht doch noch angewendet werden kann. Mit Hilfe dieser Diskette kann geprüft werden, ob es möglich ist, den Computer unter MSDOS hochzufahren. Sofern Sie eine Startdiskette des Betriebssystems Windows 9x besitzen, können Sie diese verwenden. Ist das nicht der Fall, kann sie unter Windows XP erstellt werden. Da dies nur auf einem laufenden System möglich ist, sollten Sie diese Diskette vorsorglich erstellen; anderenfalls müssen Sie sie von einem anderen Windows XP-Computer aus anlegen. Hierzu führen Sie die folgenden Schritte aus: 1. Legen Sie eine leere Diskette ins Laufwerk und öffnen den Arbeitsplatz. 2. Wählen Sie aus dem Kontextmenü des Diskettenlaufwerks den Befehl FORMATIEREN. 3. In dem dann folgenden Fenster wählen Sie die Option MSDOS-STARTDISKETTE ERSTELLEN. Wie der Name schon sagt, handelt es sich um eine reine Startdiskette ohne zusätzliche Programme. Sofern der Computer mit dieser Diskette startet, liegt das Problem an der Windows XPKonfiguration. Ist auch ein Start mit dieser Diskette nicht möglich, ist der Fehler eher auf Seiten der Hardware oder deren Konfiguration zu suchen.
17.12.2 Erweitern der StartdiskettenFunktionalität Der größte Nachteil der Startdiskette besteht darin, dass mit dieser nicht auf NTFS-Laufwerke oder CD-Laufwerke zugegriffen werden kann – was natürlich ein Problem darstellt, weil ein Windows XP mit diesem Dateisystem formatiert sein sollte.
854
Sandini Bib
Reparaturzugriffe über Start- und Installationsdisketten
In diesem Zusammenhang leistet das Programm NTFSDOS gute Die Startdiskette Dienste. Weitere Hinweise finden Sie bei der schwedischen Her- lernt NTFS stellerfirma Inuit unter http://www.inuit.se. Das Programm sollte mindestens in der Version 4.0 verwendet werden. NTFSDOS kann auf die Startdiskette kopiert werden, sodass lesender und schreibender Zugriff auf die NTFS-Partitionen möglich ist. Wird nur lesender Zugriff auf die NTFS-Partitionen benötigt, kann auch das Freewaretool Active@NTFS Reader for DOS verwendet werden. Weitere Hinweise zu diesem Produkt finden Sie unter dem Link http://www.ntfs.com/products. Auch dieses Programm wird auf die Startdiskette kopiert und über ReadNTFS.exe aufgerufen. Die gefundenen Partitionen werden gescannt, sodass die vorhandenen Ordner und Dateien angezeigt werden. Eine Navigation ist über die Tasten (¼) und (½) möglich. Dateien werden über die Tastenkombination (Strg)+(C) kopiert, mit (Esc) werden Aktionen abgebrochen. Außer der Verwendung eines Tool für den NTFS-Zugriff kann auch eine spezielle XP-Startdiskette erstellt werden, die den Zugriff auf das installierte Windows XP ermöglicht. Der Einsatz einer solchen Diskette ist sinnvoll, wenn der Boot-Sektor einen Fehler aufweist oder Dateien wie die boot.ini oder NTLDR bzw. Ntdetect.com gelöscht wurden. Auch beim Virusbefall des MasterBoot- Record (MBR) ist der Einsatz einer solchen Diskette hilfreich. Sind hingegen Systemdateien beschädigt oder kann das Betriebssystem nicht vollständig geladen werden, hilft auch die Diskette nicht. Um diese spezielle Diskette zu erstellen, sind die folgenden Schritte erforderlich: 1. Legen Sie eine leere Diskette ins Diskettenlaufwerk. 2. Geben Sie an der Eingabeaufforderung den Befehl Format a: (¢) ein. Nach der Formatierung kann optional eine Bezeichnung für die Diskette angegeben werden. 3. Öffnen Sie den Windows Explorer und kopieren die in Tabelle 17.3 genannten Dateien auf die Diskette. Diese Dateien befinden sich im Root-Verzeichnis der Systempartition. Um die Dateien kopieren zu können, muss über das Kontextmenü EIGENSCHAFTEN das Attribut SCHREIBGESCHÜTZT gelöscht werden. 4. Nachdem die Diskette erstellt wurde, testen Sie sie. Beschriften Sie danach die Diskette, lagern Sie sie an einem sicheren Ort und versehen sie mit einem Schreibschutz.
855
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur Tabelle 17.3: Übersicht über die auf eine erweiterte Startdiskette zu kopierenden Dateien
Datei
Beschreibung
Boot.ini
In dieser Textdatei sind die Informationen für den Bootloader enthalten, der das BootMenü anzeigt. Der Bootloader ist auch für das Laden der Betriebssysteme zuständig und dabei auf die Dateiinformation angewiesen.
Ntdetect.com
Der Bootloader ruft dieses Programm auf, das eine Analyse der Hardware durchführt.
NTLDR
Hierbei handelt es sich um den Bootloader des Betriebssystems. Dieser zeigt das BootMenü an.
Optional: Bootsect.dos
Diese Datei ist nur vorhanden, wenn auf dem Computer auch ein Windows 9x installiert ist. In ihr ist der ursprüngliche BootSektor enthalten, der bei der Installation von Windows XP überschrieben wurde.
Optional: Ntbootdd.sys
Diese Datei ist nur beim Einsatz von SCSIGeräten vorhanden, wenn der Treiber in diesen Namen umbenannt worden ist. Der Original-SCSI-Treiber kann von der TreiberCD kopiert und umbenannt werden.
Allerdings besteht gegenüber einer Setup-Diskette immer noch der Nachteil, dass kein Zugriff auf das CD-Laufwerk möglich ist.
17.12.3 Einsatz einer Setup-Diskette Die SetupDiskette besitzt mehr Funktionen als die Startdiskette
Selbst gegenüber einer mit dem Zugriff auf NTFS-Partitionen ausgerüsteten Startdiskette besitzt die Setup-Diskette den Vorteil, dass sie auch auf das CD-Laufwerk zugreifen kann. Damit ist der Zugriff auf die Installations-CD sichergestellt, sodass von dort aus das Installationsprogramm aufgerufen werden kann. Standardmäßig sollte jeder neuere und für Windows XP angemessene Computer in der Lage sein, von der CD aus zu booten. Deshalb kommen Setup-Disketten eigentlich nicht mehr zum Einsatz. Besitzen Sie jedoch eine Hardware, die den Start vom CD-Laufwerk aus nicht unterstützt, sind Sie auf diese Disketten angewiesen. Insgesamt handelt es sich um sechs Setup-Disketten für Windows XP, die von Microsoft kostenlos zum Download angeboten werden. Zum Download und für weitere Hinweise zu diesen Disketten lesen Sie den Artikel 310994 in der Microsoft Knowledge Base.
856
Sandini Bib
Reparatur des Master-Boot-Record (MBR)
17.12.4 Stop-Fehler unter Windows XP Sofern es beim Laden des Betriebssystems oder auch im laufenden Betrieb zu einem Stop-Fehler (der berühmte „Blue-Screen“) kommt, kann dessen Ursache ermittelt werden, um so dem dahinter stehenden Problem auf die Spur zu kommen. Eine Übersicht über sämtliche Stop-Fehler und deren Bedeutung sowie Hinweise zur Abhilfe finden sich unter dem Link http:// www.theeldergeek.com/stop_error_messages.htm.
17.13 Reparatur des Master-BootRecord (MBR) Ein sehr häufiges Problem, welches das Starten des Betriebssystems verhindert, ist ein beschädigter Master-Boot-Record (MBR). Beim MBR handelt es sich um den ersten Sektor auf der Boot-Partition. Auf diesem befinden sich die Partitionstabelle sowie der Loader für das Betriebssystem. Ist der MBR nicht mehr vorhanden oder beschädigt, kann das Betriebssystem nicht mehr von der Festplatte aus gestartet werden. Ein Verlust oder eine Beschädigung des MBR kann durch einen Virus zustande kommen. Auch bei der Neupartitionierung einer Festplatte kann der MBR beschädigt werden. Die Wiederherstellung des MBR erfolgt in der Wiederherstellungskonsole über den Befehl fixmbr.exe. Bei den meisten Systemen befindet sich der MBR auf Laufwerk C der ersten Festplatte. In diesem Fall lautet der vollständige Befehl Fixmbr /device/harddisk0 (¢)
Befindet der MBR sich auf einer anderen Festplatte, muss der Wert für harddisk entsprechend angepasst werden. Wird beim Aufruf des Befehls keine Standardpartition gefunden oder diese als fehlerhaft bezeichnet, müssen Sie das Überschreiben des MBR bestätigen. Kommt es zu dieser Nachfrage, sollten Sie den Vorgang nur dann bestätigen, wenn sichergestellt ist, dass der MBR durch einen Virus beschädigt worden ist. Ansonsten besteht die Gefahr, dass die Partitionstabelle beschädigt wird und Sie auf sämtliche Daten der Festplatte keinen Zugriff mehr haben.
857
Sandini Bib
17 Sicherung, Wiederherstellung und Reparatur
17.14 Reparatur des Bootloader Eine weitere häufige Fehlerquelle ist der Bootloader. Er befindet sich im Root-Verzeichnis der Systempartition und kann versehentlich gelöscht werden. Ohne diese Datei kann das Betriebssystem nicht gestartet werden. Bei Multi-BootUmgebungen die Installationsreihenfolge der Betriebssysteme beachten
Problematisch für den Bootloader ist auch die nachträgliche Installation eines zusätzlichen älteren Betriebssystems zu Windows XP, z.B. Windows 2000 oder Windows NT. Dabei wird die alte Version des Bootloader über die XP-Version installiert. Der Aufruf von Windows XP ist zwar über den neuen (oder besser gesagt alten) Bootloader möglich, es folgen aber diverse Fehlermeldungen, dass bestimmte Systemdateien fehlerhaft seien. Bei näherer Betrachtung ergibt sich, dass die Dateien keinesfalls fehlerhaft sind oder fehlen. Der nahe liegendste Versuch, die Dateien von der Installations-CD zu kopieren, bringt nicht die gewünschte Lösung; die Fehlermeldungen bleiben bestehen. Abhilfe schafft hier der Einsatz der erstellten Startdiskette (siehe Kapitel 17.12.2). Kopieren Sie von dieser Diskette den Bootloader NTLDR auf die Festplatte, nachdem Sie das System über die Diskette gestartet haben. Sie können den Bootloader auch über die Wiederherstellungskonsole aus dem Verzeichnis \i386 der XP-CD zurückkopieren.
858
Sandini Bib
18
Befehlszeile und Scripting Dr. Holger Schwichtenberg
Windows XP bietet komfortable grafische Benutzerschnittstellen (Graphical User Interfaces – GUIs). Viele wiederkehrende administrative Aufgaben lassen sich aber besser durch Kommandozeilenschnittstellen (Command Line Interfaces – CLIs) lösen. Windows XP beinhaltet drei verschiedene Kommandozeilenschnittstellen: Zum einen wird weiterhin das auf der alten DOS-Batch-Sprache basierende Windows-Kommandozeilenfenster, zum anderen ein Kommandozeileninterpreter für die mächtige Windows Management Instrumentation (WMI) unterstützt sowie der sehr flexible Windows Script Host (WSH).
18.1
Windows XPKommandozeilenfenster
Das in Windows XP enthaltene Kommandozeilenfenster (EINGA- cmd.exe BEAUFORDERUNG) basiert in seiner Grundstruktur und Syntax noch auf der alten DOS-Sprache. Das Windows XP-Kommandozeilenfenster ist implementiert in cmd.exe. Der alte Kommandozeileninterpreter command.exe ist auch in Windows XP noch vorhanden, sollte jedoch nur für alte Anwendungen verwendet werden, die Probleme mit cmd.exe haben. Abbildung 18.1: Das leere Kommandozeilenfenster
859
Sandini Bib
18 Befehlszeile und Scripting
18.1.1 Interne und externe Befehle
Befehle
Das Kommandozeilenfenster unterstützt zwei Arten von Befehlen: 왘
Interne Befehle, die direkt in der cmd.exe enthalten sind. Dies sind Basisbefehle wie cd, copy und dir.
왘
Externe Anwendungen, die in .exe-Dateien vorliegen. Dies können sowohl Kommandozeilenanwendungen als auch WindowsAnwendungen sein.
Sie können auch Dokumente wie z.B. Microsoft Word-Dateien (.doc) direkt im Kommandozeilenfenster aufrufen. Das Kommandozeilenfenster nutzt die in der Registrierungsdatenbank hinterlegten Informationen, um die passende Anwendung zu starten, die das ausgewählte Dokument laden kann. Auch Skripte für den Windows Script Host (WSH) können auf diese Weise direkt aus dem Kommandozeilenfenster gestartet werden. Die meisten Befehle liefern Hilfeinformationen, wenn man sie mit der Option /? oder /h aufruft. Mit den Cursor-Tasten (½) (¼) kann man im Kommandozeilenfenster zwischen den zuletzt eingegebenen Befehlen wechseln. Auch die Funktionstasten (F1) bis (F9) bieten Unterstützung für den Aufruf zuvor eingegebener Befehle.
18.1.2 Menü
Konfiguration des Kommandozeilenfensters
Das Kommandozeilenfenster bietet ein Menü mit Einstellungen zur Fenstergröße, -farbe und -schriftart sowie zur Nutzung der Windows-Zwischenablage zur Übertragung von Texten aus dem bzw. in das Kommandozeilenfenster.
Abbildung 18.2: Menü des Kommandozeilenfensters
860
Sandini Bib
Windows XP-Kommandozeilenfenster
18.1.3
Ausgaben und Ausgabeumleitung
Fast alle Kommandozeilenbefehle liefern Textausgaben in das Umleitung Kommandozeilenfenster. Mit dem Befehl echo kann man Ausgaben erzeugen, ohne weitere Aktionen auszuführen. echo Guten Tag
Die Ausgabe jedes Kommandozeilenbefehls kann in eine Datei umgeleitet werden, indem nach dem [>] Zeichen ein Dateiname angegeben wird. dir >d:\daten\verzeichnisinhalt.txt
Mit dem Pipe-Befehl [|] können Ausgaben an andere Befehle wei- Pipe tergeleitet werden, sofern diese Zeichenketten als Eingabe verarbeiten können. tasklist | more
18.1.4
Arbeit mit dem Dateisystem
Jeweils ein Verzeichnis ist das aktuelle Verzeichnis im Kommandozeilenfenster. Nach dem Start des Kommandozeilenfensters ist normalerweise das Profil-Verzeichnis des angemeldeten Benutzers das aktuelle Verzeichnis. Leider bietet der Windows XP Explorer keine Möglichkeit, ein Erweitern des Kommandozeilenfenster direkt für ein bestimmtes Verzeichnis zu Windows Explorer öffnen. Sie können diese Funktion jedoch sehr einfach ergänzen, indem Sie eine Änderung in der Registrierungsdatenbank vornehmen. Dies erledigt die nachstehende Registrierungsdatenbankdatei. Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\Folder\shell\MenuText] @="Kommandozeilenfenster" [HKEY_CLASSES_ROOT\Folder\shell\MenuText\Command] @="cmd.exe /k cd \"%1\""
Listing 18.1: Registry-Datei zur Erweiterung des Windows Explorer [Kommandozeilenfenster.reg] Abbildung 18.3: Erweiterung des Windows Explorer
861
Sandini Bib
18 Befehlszeile und Scripting
Wechseln des Verzeichnisses cd
Um das Verzeichnis zu wechseln, steht der Befehl cd (Change Directory) zur Verfügung. Der cd-Befehl wechselt aber nur das Verzeichnis für das jeweils aktuelle Laufwerk. Um von einem Laufwerk zu einem anderen zu wechseln, muss man den Laufwerksnamen gefolgt von einem Doppelpunkt als eigenständigen Befehl eingeben.
Abbildung 18.4: Wechsel des aktuellen Verzeichnisses
Mit der (ÿ)-Taste können Sie eine AutovervollständigenFunktion für Datei- und Verzeichnisnamen verwenden. (ÿ) ermöglicht den Wechsel durch alle Dateien/Verzeichnisse, die auf die aktuelle Eingabe zutreffen. Sie können (ÿ) verwenden, ohne zuvor einen Buchstaben eingegeben zu haben. In der Regel ist es aber sinnvoll, einen oder mehrere Anfangsbuchstaben vorzugeben. Aus dem Windows Explorer heraus können Sie eine Datei oder ein Verzeichnis per Drag&Drop in das Kommandozeilenfenster ziehen. Dadurch wird der Pfad als Text in das Kommandozeilenfenster eingefügt. Dies ist hilfreich, wenn die Pfadangabe sehr lang ist. Verzeichnis auflisten Zum Auflisten eines Verzeichnisses dient der Befehl dir (Directory). Durch zahlreiche Optionen kann die Art der Anzeige gesteuert werden, z.B.: 왘 dir /b
zeigt nur die Namen an.
왘 dir /p
unterbricht die Anzeige nach jeweils einer Bildschirm-
seite. 왘 dir /s
listet rekursiv auch alle Unterverzeichnisse auf.
Dateisystemoperationen md und rd
Mit dem Befehl md (Make Directory) erzeugt man ein Verzeichnis im Dateisystem. Mit dem Befehl rd (Remove Directory) löscht man ein Verzeichnis. md Buch rd Buch
862
Sandini Bib
Windows XP-Kommandozeilenfenster
Weitere wichtige Dateisystembefehle sind: 왘 Copy
zum Kopieren von Dateien und Verzeichnissen
왘 Move
zum Verschieben von Dateien und Verzeichnissen
왘 Del
zum Löschen von Dateien und Verzeichnissen
왘 Ren
zum Umbenennen von Dateien und Verzeichnissen
18.1.5
Copy, Move, Del, Ren
Arbeit mit Prozessen
Der Befehl tasklist liefert eine Liste der laufenden Prozesse. Der tasklist und taskkill Befehl taskkill dient dem Beenden eines Prozesses.
18.1.6
Die net-Befehlsfamilie
Der net-Befehl ist ein sehr häufig eingesetzter Befehl, mit dem net viele verschiedene Systembausteine von Windows XP abgefragt bzw. beeinflusst werden können, die bei weitem nicht alle etwas mit dem Netzwerk zu tun haben. Der net-Befehl steht in keiner Beziehung zum Microsoft .NET Framework. Die folgende Liste zeigt einige Beispiele: 왘 net accounts listet die Benutzerkontenrichtlinien auf. 왘 net localgroup
listet die vorhandenen lokalen Benutzergrup-
pen auf. 왘 net
localgroup /add Autoren erzeugt eine neue Benutzer-
gruppe mit Namen „Autoren“. 왘 net localgroup /add Autoren hs
fügt den Benutzer hs der
lokalen Gruppe „Autoren“ hinzu. 왘 net start w3svc 왘 net stop w3svc
startet den WWW-Dienst.
stoppt den WWW-Dienst.
왘 net view Bochum
liefert eine Liste der veröffentlichten Ressourcen (Drucker und Freigaben) auf dem Computer Bochum.
왘 net share
listet alle Freigaben des lokalen Systems auf.
왘 net share temp=d:\temp
gibt das Verzeichnis d:\temp unter
dem Namen temp frei. 왘 net share temp /delete 왘 net helpmsg 1638
entfernt die Freigabe temp.
liefert den Fehlertext zur Betriebssystem-
fehlernummer 1638.
863
Sandini Bib
18 Befehlszeile und Scripting
Eine Liste aller verfügbaren net-Befehle erhält man durch die Eingabe von net /?
Mit net help Befehlsname
erhält man detailliertere Hilfe zu dem angegebenen Befehl. Bitte beachten Sie, dass einige net-Befehle nur auf Windows Domänen-Controllern ausgeführt werden dürfen.
18.1.7
Weitere Kommandozeilenbefehle
Die Erläuterungen zu zahlreichen weiteren Kommandozeilenbefehlen – z.B. zur Steuerung der Registry, der Benutzerverwaltung und der Netzwerkkonfiguration – finden Sie in den entsprechenden Kapiteln.
18.1.8
Stapelverarbeitung
Das Windows-Kommandozeilenfenster unterstützt die Stapelverarbeitung (die Ausführung mehrerer Befehle) durch zwei Mechanismen: 왘
Verknüpfung von Befehlen in einer Zeile mit den Operatoren &, && und ||.
왘
Batch-Dateien (.bat) sind Textdateien, in denen jede Zeile einen Befehl enthält.
Befehlsverknüpfung &, &&, ||
Das kaufmännische Und trennt verschiedene Befehle in einer Befehlszeile voneinander ab. Alle Befehle werden ausgeführt, unabhängig davon, ob einzelne Befehle in der Liste erfolgreich waren oder nicht. echo "Verzeichnisinhalt" & dir c:\ & echo "Fertig!"
In dem folgenden Befehl wird ein Verzeichnis angelegt und anschließend versucht, eine Datei in dieses Verzeichnis zu kopieren, unabhängig davon, ob das Verzeichnis tatsächlich angelegt werden konnte. Dies ist insofern nicht unsinnig, als md auch dann einen Fehler meldet, wenn das Verzeichnis schon existiert. In diesem Fall kann das Kopieren der Datei gelingen, obwohl md einen Fehler gemeldet hat. md Buecher & copy d:\autoreninfo.doc buecher
864
Sandini Bib
Windows XP-Kommandozeilenfenster
Das doppelte kaufmännische Und bewirkt, dass der Befehl nach diesem Zeichen nur dann ausgeführt wird, wenn der vorhergehende Befehl erfolgreich gewesen ist. In dem folgenden Befehl wird nur versucht, die Datei zu kopieren, wenn das Anlegen des Verzeichnisses erfolgreich war. md Buecher && copy d:\autoreninfo.doc buecher
Das doppelte Verkettungszeichen bewirkt, dass der Befehl nach diesem Zeichen nur dann ausgeführt wird, wenn der vorhergehende Befehl fehlgeschlagen ist. In dem folgenden Befehl erscheint eine Meldung, wenn ein Verzeichnis nicht angelegt werden konnte. md Buecher || echo Verzeichnis kann nicht angelegt werden.
Mit Klammern können Befehlsblöcke gruppiert werden. Der folgende Befehl bewirkt, dass eine Datei kopiert wird, wenn das Zielverzeichnis angelegt werden konnte. War eine der beiden Teilaktionen nicht erfolgreich, wird eine Meldung ausgegeben. (md Buecher && copy d:\Autoreninfo.doc buecher) || echo Datei wurde nicht kopiert
Batch-Dateien In Batch-Dateien können alle Kommandozeilenbefehle vorkom- .bat men. Auch Befehlsverknüpfungen können verwendet werden. Die folgende Batch-Datei legt ein Verzeichnis an und kopiert anschließend eine Datei. Normalerweise wird an der Kommandozeile immer der gerade ausgeführte Befehl einer Batch-Datei ausgegeben. Mit echo off wird diese Ausgabe unterdrückt. Alle Ausgaben der Kommandozeilenbefehle sowie die mit echo explizit erzeugten Ausgaben erscheinen jedoch weiterhin. echo off cd e:\Daten md Buecher || echo Verzeichnis kann nicht angelegt werden. (copy d:\Autoreninfo.doc buecher && echo Datei kopiert!) || echo Datei wurde nicht kopiert
Windows-Batch-Dateien können aus dem Kommandozeilenfenster Editoren oder in der Windows-Oberfläche mit einem Doppelklick gestartet werden. Zur Erstellung von Windows-Batch-Dateien kann jeder beliebige Texteditor (auch Windows Notepad) eingesetzt werden. Es existieren jedoch Editoren, die für Windows-Batch-Dateien erweiterte Funktionen bieten. Der Editor OnScript markiert die Kommandozeilenbefehle in einer anderen Farbe und erlaubt die Ausführung der Batch-Dateien direkt aus dem Editor heraus.
865
Sandini Bib
18 Befehlszeile und Scripting
Abbildung 18.5: Editieren und Ausführen einer Batch-Datei mit OnScript
OnScript Hersteller:
XLNow (Schweiz)
Preis:
Ab 60 Euro
URL:
http://www.onscript.com/
18.2 wmic.exe
866
WMI-Kommandozeileninterpreter WMIC
WMIC (Windows Management Instrumentation Command Line Tool) ist ein eigener Kommandozeileninterpreter zur interaktiven Kommunikation mit der Windows Management Instrumentation (WMI). Sie können wmic.exe innerhalb eines Kommandozeilenfensters starten. Im Gegensatz zu einem normalen Kommandozeilenfenster zeigt das WMIC-Fenster keinen Dateisystempfad, sondern WMIC: gefolgt vom aktuellen WMI-Namensraum vor jedem Befehl an. WMIC wurde mit Windows XP neu eingeführt.
Sandini Bib
WMI-Kommandozeileninterpreter WMIC Abbildung 18.6: WMIC-Kommandozeileninterpreter
18.2.1
WMIC-Befehle
Beispiele für WMIC-Befehle sind:
WMIC-Befehle
왘 service
Liste aller Windows-Dienste 왘 service where
state="running"
Liste aller gestarteten Dienste 왘 service where
name="w3svc"
Anzeige des World Wide Web Publishing-Dienstes 왘 service where
name="w3svc" call stopservice
Beenden des World Wide Web Publishing-Dienstes 왘 service /?
Hilfe zum Service-Befehl 왘 process
Liste der laufenden Prozesse 왘 process where name="iexplore.exe" call terminate
Beenden alle Internet Explorer-Prozesse 왘 share
Liste aller Freigaben 왘 quit
oder exit
Beendet WMIC Bei einigen Aktionen stellt WMIC erst eine Sicherheitsrückfrage. In der mehrsprachigen Version von Windows XP kommt es dabei zu dem unangenehmen Seiteneffekt, dass WMIC in der Ausgabe auffordert, die Tasten (J) oder (N) zu drücken, in Wirklichkeit aber die englischen Buchstaben (Y) und (N) erwartet.
867
Sandini Bib
18 Befehlszeile und Scripting
18.2.2 PATH
PATH-Befehl
Die Befehle share, service u.a. sind Abkürzungen für WMI-Klassen (z.B. Win32_Share, Win32_Service), die im WMI-Repository definiert sind. Der WMIC-Nutzer kann auch direkt den Klassennamen angeben. Dann muss allerdings das Wort PATH vorangestellt werden, z.B. 왘 PATH Win32_Share 왘 PATH Win32_UserAccount 왘 PATH Win32_OperatingSystem 왘 PATH Win32_Processor 왘 PATH Win32_Process
Welche WMI-Klassen verfügbar sind, hängt vom Installationsumfang des Betriebssystems und den installierten Anwendungen ab. Das WMI-Repository kann man mit dem WMI Object Browser und dem WMI Class Browser ermitteln. Beide Werkzeuge sind Teil der kostenlosen Microsoft WMI Tools, die Sie zusätzlich installieren müssen [CD:/Kap18/WMI]. Nicht für alle WMI-Klassen existieren Aliase und die Aliase entsprechen auch nicht notwendigerweise dem Klassennamen ohne das Präfix Win32. Welche Aliase definiert sind, erfährt man durch Eingabe des Befehls ALIAS GET FriendlyName, Target
18.2.3 GET
Ausgabeformen
Durch den GET-Befehl kann die Form der Ausgabe beeinflusst werden. Die Standarddarstellung ist die Tabellenform. PATH Win32_UserAccount GET /format:list
erzeugt eine Listendarstellung. Gültige Formatnamen sind Table, List, RawXML, HTable, HForm, HXML, MOF, HMOF und CSV. Um die Ausgabe in eine Datei umzuleiten, müssen Sie dem Befehl den Schalter /output voranstellen: /output:Benutzer.htm PATH Win32_UserAccount GET / format:htable
Nach GET kann man auch angeben, welche Attribute der WMIObjekte man sehen will. Dadurch kann die Ausgabe wesentlich übersichtlicher werden. PATH Win32_UserAccount GET caption, description
868
Sandini Bib
WMI-Kommandozeileninterpreter WMIC
Abbildung 18.7: Ausgabe der Benutzerliste in einer HTML-Tabelle
18.2.4
Fernzugriff auf andere Systeme
Durch den Schalter /node kann WMIC auf andere Systeme zugrei- /node fen, auf denen ein WMI-Dienst läuft. WMIC muss dort nicht vorhanden sein, sodass WMIC auch ältere Windows-Betriebssysteme abfragen kann. Der folgende Befehl ermittelt alle laufenden Prozesse auf dem Computer mit Namen „Essen“. /node:Essen service state="running"
18.2.5
Stapelverarbeitung
WMIC-Befehle können auch mit vorangestelltem wmic.exe direkt von der Windows-Kommandozeile aus aufgerufen werden und damit in Windows-Batch-Dateien zum Einsatz kommen. wmic PATH win32_processor GET /format:list
869
Sandini Bib
18 Befehlszeile und Scripting
18.3 WSH
Windows Script Host (WSH)
Ende der Neunzigerjahre hat Microsoft mit dem Windows Script Host (WSH) eine Alternative zur DOS-Kommandozeilenprogrammierung veröffentlicht. Der WSH ist Teil der so genannten Active Scripting-Architektur, zu der auch das Scripting im Internet Explorer und die Active Server Pages (ASP) im Internet Information Server (IIS) sowie zahlreiche anderen Microsoft-Produkte gehören. In Windows XP ist der WSH in der Version 5.6 enthalten. Der Windows Script Host hieß in seiner ersten Version noch Windows Scripting Host. Sie werden beide Begriffe synonym in Microsoft-Dokumentationen und in der Literatur finden. Der Windows Script Host besitzt keine eigene Programmiersprache, sondern arbeitet mit zahlreichen verschiedenen Programmiersprachen zusammen. Microsoft liefert die Sprachen Visual Basic Script (VBScript) und JScript. Von anderen Herstellern kann man Perl, REXX, Python, Haskell und Ruby in Versionen bekommen, die jeweils mit dem WSH kooperieren. In diesem Buch kommt Visual Basic Script zum Einsatz, die im WSH am meisten verwendete Programmiersprache. Nicht jede Programmiersprache arbeitet automatisch mit dem WSH zusammen. Eine Programmiersprache muss eine spezielle Schnittstelle zur Active Scripting-Architektur besitzen, um „WSH-fähig“ zu sein. Anders als bei den Windows-Kommandozeilen und WMIC gibt es beim WSH keinen interaktiven Modus, d.h. Skripte müssen immer zur Stapelverarbeitung in Textdateien abgelegt und dann gestartet werden. Eine direkte Ausführung einzelner Befehle in einem Eingabefenster ist nicht möglich.
18.3.1
Erste Beispiele
Wenn Sie noch nie ein Skript unter Windows erstellt haben, wird Ihnen das folgende Beispiel erste Erfolgserlebnisse bereiten. Hello World Ihr erstes Skript
So erstellen Sie Ihr erstes Skript für den WSH in der Sprache Visual Basic Script: 왘
870
Legen Sie eine Textdatei an, indem Sie irgendwo auf dem Desktop oder in einem Verzeichnis im Dateisystem im Kontextmenü NEU|TEXTDATEI wählen. Es erscheint eine Datei Neue Textdatei.txt.
Sandini Bib
Windows Script Host (WSH) 왘
Benennen Sie die Datei in ErstesSkript.vbs um. Bestätigen Sie die Nachfrage des Betriebssystems, ob die Dateiextension wirklich geändert werden soll.
왘
Wählen Sie aus dem Kontextmenü der Datei BEARBEITEN, sodass sich der Windows Editor „Notepad“ öffnet. (Sofern Sie einen anderen Editor installiert haben, mag jetzt dieser gestartet werden.)
왘
Geben Sie Folgendes in die erste Zeile ein: WScript.Echo "Ab heute kann ich skripten!"
Bitte beachten Sie das Leerzeichen (Leertaste) nach Echo und die Anführungszeichen ("). 왘
Speichern Sie die Änderungen ab. Sie können den Editor schließen, müssen es aber nicht.
왘
Doppelklicken Sie auf die Datei ErstesSkript.vbs. Wenn Sie alles richtig gemacht haben und das System Ihnen wohlgesonnen ist, wird die nachstehend abgebildete Dialogbox erscheinen. Abbildung 18.8: Skriptdatei, Quellcode und Ausgabe des ersten Skripts
Das Skript besteht nur aus einem einzigen Befehl: WScript.Echo. Die BildschirmBedeutung des Punktes zwischen den Wörtern WScript und Echo ausgabe wird später in diesem Buch erläutert. Nach dem Befehl folgt ein Leerzeichen, um den Befehl von seinen Parametern zu trennen. Danach steht ein Parameter, in diesem Fall eine Zeichenkette. WScript.Echo erzeugt eine Ausgabe auf dem Bildschirm. Der Parameter gibt an, was ausgegeben werden soll. Die Groß- und Kleinschreibung der Befehle ist übrigens irrelevant. Visual Basic Script unterscheidet (im Gegensatz zu einigen anderen Programmiersprachen) nicht zwischen einem Großund einem Kleinbuchstaben. Bezüglich der auszugebenden Meldung ist die Unterscheidung natürlich wichtig, weil der WSH die Meldung genau so anzeigt, wie Sie sie eingegeben haben.
871
Sandini Bib
18 Befehlszeile und Scripting
Versionsnummern ermitteln Ihr zweites Skript
Listing 18.2: Ermittlung der Versionsnummern
Das zweite Skript dient dazu, die Versionsnummer des installierten WSH und der installierten Sprachversion von Visual Basic Script zu ermitteln. WScript.Echo _ "Dies ist der " & WScript.Name & _ " Version " & WScript.Version WScript.Echo _ "Dies ist die Sprache " & ScriptEngine & _ " Version " & _ ScriptEngineMajorVersion & "." & _ ScriptEngineMinorVersion & "." & _ ScriptEngineBuildVersion
Kaufmännisches Und (&)
Geben Sie dieses Skript genauso ein wie das erste. In dem Skript kommen neben dem WScript.Echo-Befehl auch verschiedene andere Befehle vor, die Informationen über die Versionsnummer liefern. Das kaufmännische Und (&) verknüpft dabei die Ausgabetexte mit diesen Befehlen und erzeugt eine gemeinsame Ausgabezeichenkette.
Unterstriche
Achten Sie aber auf die Unterstriche _ am Zeilenende: Diese sind notwendig, um den Zusammenhalt der Zeile zu definieren. Das Skript besteht eigentlich nur aus zwei Befehlen und jeder Befehl muss in genau einer Zeile stehen. Mit dem Unterstrich kann man eine Zeile jedoch aufspalten und dies ist hier sinnvoll, weil man in einem Buch nicht so viel in eine Zeile bekommt wie im Notepad auf dem Bildschirm. Ohne die Unterstriche machen Einsteiger an dieser Stelle oft den Fehler, dass sie etwas im Editor in zwei Zeilen tippen, weil es im Buch aus satztechnischen Gründen in zwei Zeilen steht. Um dieses Problem zu vermeiden, sind die Zeilen hier durch die Unterstriche aufgetrennt.
Abbildung 18.9: Ausgabe des VersionsnummernSkripts
872
Sandini Bib
Windows Script Host (WSH)
18.3.2
Skriptsprache Visual Basic Script (VBScript)
Dieses Buch kann aufgrund des begrenzten Umfangs nur einen Schnellkurs in VBScript enthalten. Grundregeln Als Erstes einige einfache Regeln für die formale Struktur (Syntax) Sprachsyntax von VBScript: 왘
Grundsätzlich enthält jede Zeile genau einen Befehl.
왘
Es ist möglich, mehrere Befehle getrennt durch einen Doppelpunkt in eine Zeile zu schreiben. Auf diese Möglichkeit sollten Sie aber aus Gründen der Übersichtlichkeit verzichten.
왘
Wenn Befehle sich über mehr als eine Zeile erstrecken sollen, müssen alle Zeilen mit nicht abgeschlossenen Befehlen mit einem Unterstrich „_“ enden.
왘
Leerzeilen, Leerzeichen und Tabulatoren sind in beliebiger Häufung erlaubt, um den Skriptcode übersichtlicher zu machen.
왘
VBScript ist nicht case-sensitive: Die Groß- und Kleinschreibung der Schlüsselwörter ist also ebenso ohne Bedeutung wie die Schreibweise Ihrer selbst gewählten Bezeichner für Variablen, Unterroutinen, etc.
Visual Basic Script ist eine Interpreter-Sprache, dennoch meldet sie manchmal einen „Kompilierungsfehler“. Dieser Begriff ist nicht korrekt, es sollte besser „Skript-Struktur-Fehler“ heißen. Das bedeutet, dass Ihr Skript nicht korrekt aufgebaut ist und daher gar nicht erst gestartet werden kann. Ausgaben Innerhalb von VBS-Skripten im WSH stehen folgende Ausgabe- MsgBox und WScript.Echo optionen zur Verfügung: 왘 Msgbox() erzeugt immer ein Dialogfenster. 왘 WScript.Echo() erzeugt abhängig von der verwendeten WSH-
Variante ein Dialogfenster oder eine Ausgabe in das Kommandozeilenfenster. Variablen und Konstanten VBS kennt keine expliziten Datentypen; alle Variablen und Kon- Option Explicit stanten besitzen automatisch den generischen Typ Variant, der alle Arten von Daten aufnehmen kann. Variablen müssen vor ihrer ersten Verwendung nur dann deklariert werden, wenn das Skript
873
Sandini Bib
18 Befehlszeile und Scripting
mit dem Befehl Option Explicit beginnt. Um Fehler in Variablennamen zu erkennen, ist die Verwendung von Option Explicit aber sinnvoll. Option Explicit Dim Computerliste ' Liste der Computer Dim Computername' aktueller Computer Dim a ' Zähler a = 0 ' Wertzuweisung
Operationen VBS unterstützt alle mathematischen Operationen (+, -, *, /, etc.) sowie die Zeichenkettenverknüpfung mit dem kaufmännischen Und &. a = a +1
Bedingte Ausführung If…Then…Else.. End If
Für die bedingte Ausführung ist das wichtigste Konstrukt If…Then…Else...End If. If Error = 0 Then WScript.Echo "Die Installation war erfolgreich." Else WScript.Echo "Bei der Installation ist " &_ "folgender Fehler aufgetreten: " & Error End If
Schleifen VBS besitzt verschiedene Schleifenkonstrukte: 1. Schleife mit Zähler For a = 1 To 10 WScript.echo a Next
2. Schleife über alle Elemente einer Liste Dim Buecherliste, buch Buecherliste = Array("Windows- und BackOfficeScripting", "Windows Scripting 2. Auflage", "Windows Scripting 3. Auflage", "COM-Komponenten-Handbuch", "Programmierung mit der .NET Klassenbibliothek", "Webforms", ".NET 2.0 Crashkurs") For Each Buch In Buecherliste WScript.Echo buch Next
874
Sandini Bib
Windows Script Host (WSH)
3. Schleife mit Bedingung am Schleifenbeginn a = 0 Do While a < 10 WScript.echo a a = a +1 Loop
4. Schleife mit Bedingung am Schleifenende a = 0 Do WScript.echo a a = a +1 Loop While a < 10
Unterroutinen Um die Übersichtlichkeit eines Skripts zu verbessern und Wieder- Sub und Function holungen von Programmcode an mehreren Stellen im Skript zu vermeiden, besteht die Möglichkeit, wiederkehrende Programmzeilen in Unterroutinen zu kapseln und anstelle der wiederkehrenden Befehle nur noch diese Unterroutinen aufzurufen. VBS unterscheidet zwischen Unterroutinen mit Rückgabewerten (Function) und ohne (Sub). Zu beachten ist, dass beim Aufruf einer Function runde Klammern um die Parameter gesetzt werden müssen, während beim Aufruf einer Sub diese Klammern nicht erlaubt sind. ' === Aufruf einer Unterroutine ohne Rückgabewert Unterroutine1 "Holger Schwichtenberg" ' === Aufruf einer Unterroutine mit Rückgabewert WScript.Echo Unterroutine2("Holger Schwichtenberg") ' === Unterroutine ohne Rückgabewert Sub Unterroutine1(parameter) WScript.echo "Name = " & parameter End Sub ' === Unterroutine mit Rückgabewert Function Unterroutine2(parameter) Unterroutine2 = "Name = " & parameter End Function
Eingebaute Funktionen VBS besitzt zahlreiche eingebaute Funktionen, z.B. 왘
Ermittlung des aktuellen Datums: Date()
왘
Ermittlung der aktuellen Zeit: Time()
왘
Erzeugen einer Zufallszahl: Rnd()
왘
Ersetzen von Zeichen in einer Zeichenkette: Replace()
875
Sandini Bib
18 Befehlszeile und Scripting
Objekte CreateObject
Der WSH und auch VBS sind objektbasiert. Objekte sind Programmiersprachenkonstrukte, die Daten enthalten und Operationen auf diesen Daten bereitstellen. Die Daten werden Attribute genannt, die Operationen Methoden. Methoden werden üblicherweise durch ein Klammernpaar ( ) von Attributen abgegrenzt. Die objektorientierte Verarbeitung beginnt mit der Erzeugung des Objekts. Die folgende Skriptzeile generiert ein Objekt, welches das Dateisystem repräsentiert. Das Objekt wird in der Variablen FSO gespeichert. Set Dateisystem = CreateObject("Scripting.FileSystemObject")
Objekte können dazu verwendet werden, andere Objekte zu erzeugen. In diesem Fall liefert die Methode GetFile() ein anderes Objekt vom Typ File: Set Datei = Dateisystem.GetFile("d:\daten\buch.doc")
Objekte können Daten liefern, z.B. die Dateigröße (Size). WScript.Echo "Größe der Datei: " & Datei.Size & " Bytes."
Zwischen dem Variablennamen und dem Attribut bzw. der Methode ist immer ein Punkt zu verwenden. Bei der Zuweisung von Objekten an Variablen ist das Schlüsselwort Set voranzustellen. Einige Objekte müssen mit GetObject() statt CreateObject() erzeugt werden. Ein Beispiel dafür ist der Zugriff auf einen Benutzer: Set Benutzer = GetObject("WinNT://Marl/ HolgerSchwichtenberg")
Eigentlich soll der Unterschied zwischen GetObject() und CreateObject() sein, dass der erste Fall für Objekte verwendet wird, die bereits vorhanden sind. Wenn man sich länger mit dem WSH bzw. dem zugrunde liegenden Component Object Model (COM) beschäftigt, so erkennt man schnell, dass Microsoft diese beiden Befehle extrem inkonsistent verwendet. Welcher Befehl im Einzelfall der richtige ist, ist leider eine Frage des Wissens und nicht des logischen Ableitens. Softwarekomponenten Klassen und Komponenten
876
Klassen sind Vorlagen für Objekte. Sie werden benötigt, um Objekte zu erzeugen. Klassen sind in Softwarekomponenten implementiert, die in Form von DLLs Teil des Betriebssystems sind oder zusätzlich installiert werden müssen. Softwarekomponenten, die zum Scripting eingesetzt werden, nennt man auch Scripting-Komponenten oder WSH-Komponenten.
Sandini Bib
Windows Script Host (WSH)
Alle in diesem Buch verwendeten Scripting-Komponenten, namentlich 왘
Scripting Runtime (ScrRun)
왘
Active Directory Service Interface (ADSI) und
왘
Windows Management Instrumentation (WMI)
sind automatisch in Windows XP installiert.
18.3.3
WSCRIPT vs. CSCRIPT
Der WSH ist genau genommen nicht nur ein Scripting Host, sondern er umfasst zwei eng verwandte Scripting Hosts: WScript und CScript. Beide Scripting Hosts sind hinsichtlich ihres Befehlsumfangs fast identisch. Sie unterscheiden sich lediglich darin, wohin die Ausgaben gehen: 왘
Bei WScript (WScript.exe) erfolgt die Ausführung als Windows- WSH für Anwendung. Alle Ausgaben werden in Form von einzelnen Windows Dialogfenstern dargestellt. Wenn das Skript viele Ausgaben macht, kann dies sehr lästig sein, da jedes Dialogfenster einzeln bestätigt werden muss. Zudem ist jedes Dialogfenster modal: Das Skript hält an und wartet auf die Bestätigung. WScript eignet sich also für die unbeaufsichtigte Ausführung nur dann, wenn das Skript keine Ausgaben macht. Gut geeignet ist WScript jedoch, wenn der Benutzer über jeden einzelnen Schritt informiert werden und dabei die jeweils erfolgten Veränderungen überprüfen möchte (also beispielsweise beim Debugging, also der Fehlersuche).
왘
Bei CScript (implementiert in CScript.exe) erfolgt die Ausfüh- WSH für DOS rung des Skripts im Kontext eines Kommandozeilenfensters. Die Form der Ausgabe hängt von den verwendeten Ausgabebefehlen ab: Alle Ausgaben über die Methode WScript.Echo erfolgen in das Kommandozeilenfenster. Alle Ausgaben über die spracheigenen Ausgabemethoden (z.B. MsgBox() in VBScript) werden weiterhin als modale Dialogboxen dargestellt. Ein Vorteil von CScript ist, dass es mit der Methode WScript.StdIn.ReadLine das Einlesen von Eingaben des Benutzers im Kommandozeilenfenster unterstützt. Ausgaben können mit dem Umleitungsbefehl ((>)) in eine Textdatei oder an einen Drucker umgeleitet werden.
Wenn Sie nicht vorher Veränderungen an Ihrem System vorgenommen haben, dann wurde das erste Beispiel mit WScript gestartet. Denn WScript ist auf einem „normalen“ Windows die Standardeinstellung.
877
Sandini Bib
18 Befehlszeile und Scripting Skriptstart
Um das Skript mit CScript zu starten, gehen Sie wie folgt vor: 왘
Öffnen Sie die DOS-Eingabeaufforderung.
왘
Tippen Sie „cscript“ ein. Bitte beachten Sie das Leerzeichen (Leertaste) nach dem Befehl!
왘
Geben Sie dahinter den Pfad zu Ihrem Skript ein, z.B. "c:\Dokumente und Einstellungen\hs.marl\Desktop\ErstesSkript.vbs". Wenn der Pfad Leerzeichen enthält, müssen Sie den Pfad in Anführungszeichen (") setzen.
왘
Als Gesamtbefehl erhalten Sie dann: cscript "c:\Dokumente und Einstellungen\hs.marl\Desktop\ErstesSkript.vbs"
왘
Führen Sie den Befehl durch Drücken der Eingabetaste (¢) aus.
Sie werden feststellen, dass die Ausgabe nun in das Kommandozeilenfenster geht. Abbildung 18.10: Ausführung des ersten Skripts mit CScript im Kommandozeilenfenster
Wenn Sie Gefallen daran gefunden haben, dass Ihre Skripte im Kommandozeilenfenster ausgeführt werden, dann ist Ihnen vielleicht auch das Eintippen von „CScript“ mit der Zeit lästig und Sie möchten CScript zu Ihrem Standard-Scripting-Host machen. Das ist möglich, indem an der Kommandozeile einmalig folgender Befehl eingegeben wird: cscript //H:cscript (¢) Standard-ScriptHost
878
Danach werden alle Skripte automatisch mit CScript gestartet. Wenn Sie eine Skriptdatei per Doppelklick im Windows Explorer starten, werden Sie sehen, dass sich ein Kommandozeilenfenster öffnet. Dieses Kommandozeilenfenster schließt sich aber auch sofort nach Skriptende wieder. Wenn man die Ausgaben betrachten will, muss man
Sandini Bib
Windows Script Host (WSH) 왘
entweder vorher selbst eine DOS-Eingabeaufforderung öffnen und dort das Skript starten (hier brauchen Sie dann kein einleitendes „cscript“ mehr, es reicht der Pfad zum Skript)
왘
oder Sie stellen den Befehl MsgBox("Ende") an das Ende des Skripts. Dann bekommen Sie nach Ablauf des Skripts auf jeden Fall eine Dialogbox. Das Kommandozeilenfenster ist dann so lange sichtbar, bis Sie das Dialogfenster bestätigt haben.
Die Einstellung von CScript als Standard-Scripting-Host kann man auch rückgängig machen: cscript //H:wscript (¢)
18.3.4
Sicherheit
Eine häufig gestellte Frage ist, welche Aktionen man per Skript Windowsausführen kann. Grundsätzlich gilt: Die Windows-Sicherheit Sicherheit wirkt natürlich auch für Skripte, d.h. ein Benutzer kann per Skript nur die Aktionen ausführen, die er mittels eines geeigneten Werkzeuges auch von der grafischen Benutzerschnittstelle ausführen könnte. In den folgenden Beispielen finden Sie sowohl Aktionen, die unter normalen Rechte-Einstellungen jeder Benutzer ausführen kann (z.B. Dateien beschreiben, Inhalte eines Ordners auflisten), als auch Aktionen, die Administratoren vorbehalten sind (Benutzer anlegen, Registry ändern). Wenn Skripte nicht funktionieren, sollten Sie zunächst prüfen, ob Sie Sicherheitsbeschränkungen (z.B. durch System- oder Gruppenrichtlinien) unterliegen, die diese Aktion verbieten. Viele Scripting-Klassen unterstützen den entfernten Zugriff auf andere Systeme. In diesem Fall wird vorausgesetzt, dass der Benutzer, der das Skript aufruft, auch die notwendigen Rechte auf dem entfernten System besitzt. In vielen Fällen ist es ebenfalls möglich, entfernte Systeme unter einem anderen Benutzerkonto anzusprechen. Die dazu notwendigen Erläuterungen würden jedoch den Rahmen dieses Buches sprengen. Sie finden diese in [Sch04].
879
Sandini Bib
18 Befehlszeile und Scripting
18.3.5 Skript-Editoren
Werkzeuge
Die Effizienz und der Spaß bei der Entwicklung von Skripten hängen wesentlich davon ab, wie einfach und komfortabel die Erfassung der Skripte und die Fehlersuche in den Skripten sind. Grundsätzlich können WSH-Skripte mit jedem beliebigen Texteditor entwickelt werden – auch mit dem in Windows XP integrierten einfachen Texteditor Notepad. Microsoft stellt leider keinen Texteditor mit speziellen Fähigkeiten für WSH-Skripte bereit. Solche Editoren werden jedoch von Drittanbietern hergestellt. Sie bieten z.B. die farbliche Hervorhebung von Schlüsselwörtern (Syntax Coloring), Eingabehilfen (IntelliSense) und Assistenten zur Skripterstellung. Derzeit werden auf dem Markt die Produkte PrimalScript, SystemScripter, OnScript Editor, Admin Script Editor und VBSEdit/ JSEdit angeboten. Einen detaillierten Vergleich dieser Produkte finden Sie unter [ITV01]. PrimalScript Hersteller:
Sapien (USA)
Preis:
Ab 179 US-Dollar
URL:
http://www.sapien.com/
OnScript Hersteller:
XLNow (Schweiz)
Preis:
Ab 60 Euro
URL:
http://www.onscript.com/
SystemScripter Hersteller:
Dr. Tobias Weltner (Deutschland)
Preis:
Ab 49 Euro
URL:
http://www.scriptinternals.de
Admin Script Editor
880
Hersteller:
iTripoli (USA)
Preis:
99 US-Dollar
URL:
http://www.adminscripteditor.com/
Sandini Bib
Windows Script Host (WSH)
VBSEdit / JSEdit Hersteller:
Adersoft (USA)
Preis:
30 US-Dollar
URL:
http://www.adersoft.com/
Zur Fehlersuche in WSH-Skripten kann der Microsoft Script Debugger eingesetzt werden [CD:/Kap18/WSH-Werkzeuge].
18.3.6
Scripting des Dateisystems
Die Funktionen zum Dateisystemzugriff stecken in der Scripting Scripting Runtime-Komponente (kurz: ScrRun), die in der scrrun.dll imple- RuntimeKomponente mentiert ist. Die Scripting Runtime-Komponente bietet folgende Dateisystem-Aktionen: 왘
Direkter Zugriff auf einzelne Laufwerke, Ordner und Dateien
왘
Iteration über Laufwerke und Ordner
왘
Zusammensetzung und Aufspaltung von Pfadangaben
왘
Anlegen, Verschieben, Kopieren und Löschen von Ordnern
왘
Verschieben, Kopieren und Löschen von Dateien jedes Typs
왘
Anlegen, Lesen und Beschreiben von Textdateien
왘
Lesen und Verändern von Laufwerks-, Ordner- und Dateieigenschaften
왘
Direkter Zugriff auf Sonderordner
왘
Zugriff auf die Standardein- bzw. -ausgabe
왘
Ändern von Dateiattributen
왘
Zugriff auf Dateilänge und Daten
왘
Versionsinformationen von DLLs
Folgende Funktionen, die im Zusammenhang mit dem Dateisystem anfallen, deckt die Komponente jedoch nicht ab: 왘
Anlegen, Lesen und Beschreiben von binären Dateien
왘
Suchfunktion über das Dateisystem
왘
Zugriff auf den Sperrstatus einer Datei
왘
Zugriff auf Sicherheitsinformationen
왘
Zugriff auf Verzeichnisfreigaben
왘
Zugriff auf erweiterte Dateiattribute (z.B. Autorenname bei Word-Dokumenten)
왘
Zugriff auf die Kontextmenüeinträge einer Datei
왘
Überwachung von Dateisystem-Änderungen (neue Datei, Dateiänderung, etc.)
881
Sandini Bib
18 Befehlszeile und Scripting
Zugriff auf Ordner und Dateien FileSystemObject
Die Scripting Runtime-Komponente bietet mit FileSystemObject eine sehr mächtige zentrale Klasse, von der alle Aktivitäten auf dem Dateisystem ausgehen (siehe folgende Abbildung). Am Anfang eines jeden Dateisystem-Skripts steht die Instanziierung dieser Klasse. Set FSO = CreateObject("Scripting.FileSystemObject")
Aus dieser Klasse heraus können dann Objekte des Typs File (Datei) oder Folder (Verzeichnis) erzeugt werden. Es gibt verschiedene Möglichkeiten, an ein File-Objekt und damit an eine bestimmte Datei heranzukommen. Die gebräuchlichsten sind die GetFile()-Methode in der FileSystemObject-Klasse, an die der Pfad der gewünschten Datei übergeben werden muss, sowie die Files-Objektmenge eines Folder-Objekts. Analog zu GetFile() gibt es auch GetFolder(). Abbildung 18.11: Die Objekthierarchie in der Scripting RuntimeKomponente
FileSystemObject "Scripting.FileSystemObject" CreateFolder(pfad)
GetStandardStream(StandardStreamType)
Drives Drives Drive
Drive GetDrive(driveletter)
Drive
ParentFolder RootFolder
Folder
ParentFolder
GetFolder(path)
Subfolders
Files
Folders
Files
File Getfile(path)
OpenAsTextStream()
Textstream
CreateTextFile(path), OpenTextFile(path) © [email protected]
Auflisten von Dateien Folder
Eine der häufigsten Aufgaben beim Umgang mit Dateien ist sicherlich das Auflisten der Dateien in einem Ordner im Dateisystem. Das erste Skript listet alle Unterordner und Dateien des Verzeichnisses c:\Daten auf. Nach den Variablendeklarationen wird ein FileSystemObject-Objekt erstellt und die Referenz in der Variablen FSO gespeichert. Mit der Methode FolderExists() wird zunächst geprüft, ob das aufzulistende Verzeichnis überhaupt existiert. Nun wird durch die GetFolder()-Methode des FileSystemObject eine Referenz auf das Verzeichnis in Form eines Folder-Objekts in der Variablen Verzeichnis gespeichert. Die erste For Each-Schleife durchläuft die SubFolders-Objektmenge des Folder-Objekts. Die Menge enthält einzelne Folder-Objekte für jeden einzelnen Unterordner. Die
882
Sandini Bib
Windows Script Host (WSH)
nachfolgende For Each-Schleife durchläuft die Files-Objektmenge des Folder-Objekts und gibt die Namen der Dateien aus. Die Files-Objektmenge enthält für jede einzelne im Ordner vorhandene Datei einzelne File-Objekte. Dabei wird durch die Echo()-Methode des WScript-Objekts das Attribut Name jedes einzelnen File-Objekts bzw. Folder-Objekts ausgegeben. Option Explicit ' Deklaration der Variablen Dim FSO, Verzeichnis, UnterVerzeichnis, Datei ' Konstanten definieren Const VerzeichnisName="c:\daten" 'Objekt erzeugen Set FSO = CreateObject("Scripting.FileSystemObject") ' Wenn das Verzeichnis existiert if FSO.FolderExists(VerzeichnisName) then Set Verzeichnis = FSO.GetFolder(VerzeichnisName) WScript.Echo "Inhalt von " & Verzeichnis 'Alle Unterverzeichnisse auflisten for each UnterVerzeichnis in Verzeichnis.subfolders Wscript.echo UnterVerzeichnis.Name next 'Alle Dateien auflisten 'Über alle Dateien im Verzeichnis iterieren For Each Datei In Verzeichnis.Files WScript.Echo Datei.Name Next else WScript.Echo "Fehler: Das Verzeichnis " & VerzeichnisName & " existiert nicht!" end if
Listing 18.3: Auflisten der Dateien in einem Verzeichnis [Verzeichnisinhalt.vbs]
Dateieigenschaften bestimmen und verändern Jedes File-Objekt verfügt über Eigenschaften in Datumsform File (DateCreated, DateLastAccessed, DateLastModified) sowie in Ja/ Nein-Form (engl. Flags, siehe folgende Tabelle); manche werden durch das Betriebssystem vergeben, andere durch den Anwender. Attributwert
Beschreibung
1
schreibgeschützt
2
versteckt
4
System
8
Laufwerk
32
Archiv
64
Verknüpfung
128
komprimiert
Tabelle 18.1: Dateieigenschaften
883
Sandini Bib
18 Befehlszeile und Scripting
Das nächste Skript überprüft nach der Variablendeklaration und Erstellung der FileSystemObject-Referenz, ob der in der Konstante Dateiname definierte Dateiname existiert (FileExists()-Methode). Ist dies der Fall, wird durch die GetFile()-Methode in der Variablen Datei eine Referenz auf die Datei gespeichert. Durch die Echo()Methode des WScript-Objekts erfolgt die Ausgabe der Attribute des File-Objekts. In diesem Fall sind das die Attribute Size, welches die Dateigröße ermittelt, sowie DateCreated, DateLastAccessed und DateLastModified für die Datumsinformationen des File-Objekts. Attributes
Listing 18.4: Ausgabe von Dateiattributen [DateiAttribute.vbs]
884
Außerdem wird die Attributes-Eigenschaft ausgegeben, welche mehrere Ja/Nein-Eigenschaften der Datei enthält. Das Attribut Attributes beinhaltet eine Zahl, die die Summe der gesetzten Dateieigenschaften enthält. Beispielsweise besitzt eine Datei, die schreibgeschützt, versteckt und komprimiert ist, in Attributes den Wert 131 (1+2+128). Um die eigentlichen Attribute zu ermitteln, wird der numerische Attributwert mit dem logischen Und-Operator (and) in die einzelnen Werte zerlegt. Für jeden gefundenen Wert wird eine passende Zeichenkette in der Variablen Ausgabe abgelegt. Am Schluss des Skripts werden störende Leerzeichen durch die Trim()-Funktion entfernt und die Attributwerte ausgegeben. Option Explicit ' Deklaration der Variablen Dim FSO, Datei, Ausgabe ' Konstanten definieren Const Dateiname="D:\test\Brief.txt" 'Objekt erzeugen Set FSO = CreateObject("Scripting.FileSystemObject") ' Gibt es die Datei? if FSO.FileExists(Dateiname) then Set Datei = FSO.GetFile(Dateiname) WScript.Echo "Größe der Datei: " & Datei.Size & " Bytes." WScript.Echo "Typ der Datei: " & Datei.Type WScript.Echo "Attribute der Datei: " & Datei.Attributes WScript.Echo "Erstellt am " & Datei.DateCreated WScript.Echo "Geändert am " & Datei.DateLastAccessed WScript.Echo "Letzter Zugriff " & Datei.DateLastModified ' Dateiattribute ermitteln If Datei.attributes and 0 Then Ausgabe = Ausgabe & "Normal " If Datei.attributes and 1 Then Ausgabe = Ausgabe & "Nur-Lesen " If Datei.attributes and 2 Then Ausgabe = Ausgabe & "Versteckt " If Datei.attributes and 4 Then Ausgabe = Ausgabe & "System "
Sandini Bib
Windows Script Host (WSH) If Datei.attributes and 32 Then Ausgabe = Ausgabe & "Archiv " If Datei.attributes and 64 Then Ausgabe = Ausgabe & "Link " If Datei.attributes and 128 Then Ausgabe = Ausgabe & "Komprimiert " else WScript.Echo "Datei " & Dateiname & " wurde nicht gefunden!" end if WScript.Echo "Die Datei " & Dateiname & _ " besitzt die Attribute [" & Trim(Ausgabe) & "]"
Die Änderung von in Flags gespeicherten Dateieigenschaften Attribute ändern geschieht auf zwei Wegen durch Veränderung von Attributes: Das Entfernen von Flags erfolgt durch die logische Verknüpfung des aktuellen Attributwerts mit dem zu invertierenden Attributwert (NOT x) durch den and-Operator, während das Setzen von Attributen durch die logische Verknüpfung über den or-Operator erfolgt. Datei.Attributes = Schreibschutz-Flag Datei.Attributes = Flag entfernen Datei.Attributes = setzen Datei.Attributes = setzen
Datei.Attributes and not 1 ' entfernen Datei.Attributes and not 32 ' ArchivDatei.Attributes or 1 ' Schreibschutz Datei.Attributes or 32' Archiv-Flag
Namen ändern Man kann auch schreibend auf die Dateieigenschaften zugreifen, Umbenennen wie folgendes Beispiel zum Umbenennen einer Datei zeigt. Die Benennung einer Datei ist leicht möglich, indem man dem Attribut Name einen Wert zuweist. Wichtig ist, dass dabei als neuer Name nur der Dateiname, nicht der komplette Pfad anzugeben ist. Option Explicit ' Deklaration der Variablen Dim Dateisystem, Datei ' Konstanten definieren Const DateiPfadAlt="c:\alt.xml" Const DateiNameNeu="neu.xml" 'FSO-Objekt erzeugen Set DateiSystem = CreateObject("Scripting.FileSystemObject") 'File-Objekt gewinnen Set Datei = Dateisystem.GetFile(DateiPfadAlt) 'Neuen Namen setzen Datei.Name = DateiNameNeu 'Erfolgsmeldung ausgeben MsgBox "Datei wurde umbenannt!"
Listing 18.5: Umbenennen einer Datei [DateiUmbenennen.vbs]
885
Sandini Bib
18 Befehlszeile und Scripting
Dateisystemoperationen Die Klasse Scripting.FileSystemObject bietet Methoden für alle wichtigen Dateisystem-Operationen (Anlegen, Löschen, Kopieren und Verschieben), sodass diese Klasse auch hier zu Beginn des Skripts zu instanziieren ist. Anlegen
Das Anlegen eines Verzeichnisses erledigt die Methode CreateFolder(), die genau einen Parameter erwartet: den Pfad. Der Backslash am Ende ist optional; es wird immer ein Verzeichnis angelegt (für Dateien gibt es eine andere Methode).
Listing 18.6: Verzeichnis anlegen
Dim fso ' für Scripting.FileSystemObject Set fso = CreateObject("Scripting.FileSystemObject") wscript.Echo "Ordner anlegen" fso.CreateFolder "d:\Daten\"
Zu beachten ist, dass jeweils nur eine Ordnerebene angelegt werden darf. Die Pfadangabe d:\Daten\WindowsXP Buch\ ist also ungültig, wenn d:\Daten\ noch nicht existiert. Diese Aktion muss dann auf zwei Methodenaufrufe aufgeteilt werden. Listing 18.7: Verzeichnis anlegen [OrdnerOperationen.vbs]
wscript.Echo "Ordner anlegen" fso.CreateFolder "d:\Daten\" wscript.Echo "Unterordner anlegen" fso.CreateFolder "d:\Daten\WindowsXP Buch"
Das Skript bricht sofort mit einem Fehler ab, wenn der anzulegende Ordner bereits existiert. Daher sollte man die Existenz des Ordners immer vorher abfragen. if fso.FolderExists("D:\Daten") then fso.DeleteFolder "D:\Daten" Löschen
Listing 18.8: Verzeichnis löschen [OrdnerOperationen.vbs] Kopieren und Löschen
886
Beim Löschen eines Ordners ist ebenfalls zu beachten, dass es sofort eine Fehlermeldung gibt, wenn der zu löschende Ordner nicht vorhanden ist. FSO.DeleteFolder() bietet neben dem Pfad einen optionalen zweiten Parameter: Mit true erzwingt man das Löschen des Ordners, auch wenn dieser schreibgeschützt ist. Der Parameter true hilft allerdings nicht, wenn der Ordner in Benutzung ist. if fso.FolderExists(pfad) Then fso.DeleteFolder pfad, true WScript.Echo "Ordner gelöscht: " & pfad
Weitere mögliche Operationen sind das Kopieren von Ordnern (FSO.CopyFolder()) und das Verschieben (FSO.MoveFolder()). In beiden Fällen werden jeweils zwei Parameter erwartet: Quell- und Zielpfad. Bei CopyFolder() kann mit true als drittem Parameter die Dateisystem-Komponente angewiesen werden, einen vorhan-
Sandini Bib
Windows Script Host (WSH)
denen Zielordner zu überschreiben. Bei MoveFolder() ist dies nicht vorgesehen: Existiert das Ziel, gibt es immer einen Fehler. wscript.echo "Kopiere Verzeichnis..." fso.CopyFolder "D:\Daten", "D:\Daten_Backup" wscript.Echo "Ordner verschieben" fso.MoveFolder "D:\Daten\WindowsXP Buch", "D:\Daten_ archiv\"
Listing 18.9: Verzeichnis kopieren und bewegen [OrdnerOperationen.vbs]
Für Dateien gibt es äquivalente Methoden: MoveFolder(), CopyFolder() und DeleteFolder(). Außerdem gibt es einen Satz von Methoden, der sowohl auf Dateien als auch auf Ordnern arbeitet: Move(), Copy() und Delete(). Textdateien lesen Die Scripting Runtime-Komponente erlaubt auch die Arbeit mit TextStream Textdateien (nicht aber mit Binärdateien). Zum Lesen von Textdateien bietet die Klasse Scripting.FileSystemObject die Methode OpenTextFile() an, die ein TextStream-Objekt liefert. Als erster Parameter ist der Dateipfad anzugeben. Der zweite Parameter (Wert 1) besagt, dass die Datei zum Lesen geöffnet werden soll. Das folgende Skript zeigt einen Anwendungsfall, der in diesem Kapitel noch sehr häufig vorkommen wird: Das Auslesen einer Menge von Computernamen aus einer Textdatei mit dem Namen ComputerListe.txt, die im gleichen Verzeichnis wie das Skript liegen soll. Das Verzeichnis des Skripts wird mit GetSkriptDir() ermittelt. In diesem Listing wird die Menge der Computernamen anschließend ausgegeben; in den späteren Skripten wird die Liste als Eingabe für die Skripte verwendet, um eine Aktion auf mehreren Computersystemen auszuführen. Den von OpenTextFile() gelieferten TextStream kann man sequenziell mit ReadLine() (ganze Zeile) oder Read() (einzelnes Zeichen) auslesen. Das Attribut Line liefert immer die Nummer der aktuellen Zeile, in der man sich befindet; Column liefert die Spaltennummer, die aber bei der Verwendung von ReadLine immer 1 ist. Die Position des Cursors ändert sich mit jedem Schreib- und Lesezugriff. Sie kann auch durch zwei Skip()-Methoden beeinflusst werden, jedoch nur in eine Richtung: zum Dateiende hin. Eine Rückwärtsbewegung erlaubt Textstream leider nicht. Skip(n) setzt den Cursor n Zeichen nach vorne. Ein negativer Wert für n (was einer Rückwärtsbewegung gleichkäme) ist nicht erlaubt. SkipLine() überspringt alle Zeichen bis zum Ende der Zeile. Leider kann man hier nicht angeben, dass mehrere Zeilen zugleich übersprungen werden sollen. Dies muss der Skriptprogrammierer über eine Schleife, die SkipLine() n-fach aufruft, nachbilden.
887
Sandini Bib
18 Befehlszeile und Scripting Listing 18.10: Auslesen einer Textdatei [Datei_LesenUndSchreiben.vbs]
Option Explicit Dim Dim Dim a =
Computerliste ' Liste der Computer Computername' aktueller Computer a ' Zähler 0
' --- Schleife über alle Computer Computerliste = ComputerlisteEinlesen For Each Computername In Computerliste a = a +1 WScript.echo a & ". Computer: " & Computername Next
' === Einlesen der Computerliste Function ComputerlisteEinlesen Dim FSO ' Dateisystem-Objekt Dim objTX ' Textdatei-Objekt für die Liste der zu durchsuchenden Computer Dim Scriptfile ' Datei, die das Skript enthält Dim Pathname' Ordner, in dem das Skript liegt Dim Computername' aktueller Computer Dim Eingabedatei' Name und Pfad der Eingabedatei Dim Computerliste() Set FSO = CreateObject("Scripting.FileSystemObject") Dim a Eingabedatei = GetSkriptDir & "computerliste.txt" ' --- Auslesen der Computerliste Set objTX = FSO.OpenTextFile(Eingabedatei) a = 0 ' --- Schleife über alle Computer Do While Not objTX.AtEndOfStream a = a +1 Computername = objTX.Readline Redim Preserve Computerliste(a) Computerliste(a-1) = Computername Loop objTX.Close ComputerlisteEinlesen = Computerliste End Function ' === Ermittelt das Verzeichnis, in dem das Skript liegt Function GetSkriptDir Dim FSO Dim Scriptfile ' Datei, die das Skript enthält Set FSO = CreateObject("Scripting.FileSystemObject") Dim Ausgabedatei' Name und Pfad der Ausgabedatei Set Scriptfile = FSO.GetFile (WScript.ScriptFullName) GetSkriptDir = Replace(Scriptfile.Path, Scriptfile.Name, "") End Function
888
Sandini Bib
Windows Script Host (WSH)
Textdateien beschreiben Die Scripting Runtime-Komponente bietet auch eine Methode zum Anlegen und Beschreiben von Textdateien. Das nachfolgende Skript zeigt ein typisches Anwendungsbeispiel für die Verwendung einer Textdatei beim Scripting: Es schreibt Protokolleinträge in die Datei Protokoll.txt relativ zum Standort des Skripts. Option Explicit Protokoll Now & " erster Eintrag!" Protokoll Now & " zweiter Eintrag!"
Listing 18.11: Protokollierung in eine Textdatei [Datei_LesenUndSchreiben.vbs]
' === Protokollierung in eine Textdatei Sub Protokoll(s) Dim FSO, objTextFile Dim Ausgabedatei' Name und Pfad der Ausgabedatei Ausgabedatei = GetSkriptDir & "protokoll.txt" Set FSO = CreateObject("Scripting.FileSystemObject") ' Ausgabedatei öffnen Set objTextFile = FSO.OpenTextFile(Ausgabedatei, 8, True) objTextFile.WriteLine s objTextFile.Close WScript.Echo s End Sub
Die Methode CreateTextFile() erzeugt immer eine neue Datei. CreateTextFile() Die Methode OpenTextFile(), die im obigen Skript verwendet und OpenTextFile() wurde, ist flexibler. Sie erlaubt – gesteuert über Parameter – alle Zugriffsarten. Durch ForAppending (Wert 8) wird festgelegt, dass an eine Datei angehängt werden soll. Mit True schaltet man die Methode auf Toleranz: Wenn die Datei noch gar nicht da ist, wird sie erzeugt. Durch TristateTrue (Wert -1) wird eine UnicodeDatei erzeugt; 0 bedeutet ASCII. Rückgabewert der Methode OpenTextFile() ist ein Textstream- Write() und Objekt. Dieses bietet verschiedene Methoden. Oben wurde Write- WriteLine() Line() verwendet, wodurch immer eine komplette Zeile erzeugt wird. Mit Write() kann man auch einzelne Zeichen schreiben und die Zeilenumbrüche bei Bedarf mit Write vbCRLF selbst erzeugen (vbCRLF ist eine in VBScript vordefinierte Konstante für Wagenrücklauf+Zeilenvorschub).
18.3.7
Scripting der Registrierungsdatenbank
Für das Scripting der Registrierungsdatenbank kommt die Windows Management Instrumentation (WMI), die umfangreichste und mächtigste aller Scripting-Komponenten, zum Einsatz. WMI ist die Microsoft-Implementierung des Web Based Enterprise
889
Sandini Bib
18 Befehlszeile und Scripting
Management (WBEM), eines plattformübergreifenden Standards zum Zugriff auf alle möglichen Arten von System- und Netzwerkinformationen. WMI stellt unter Windows XP je nach installierten Programmen zwischen 5000 und 7000 Scripting-fähige Klassen bereit. StdRegProv
Die Möglichkeiten zur Bearbeitung der Registrierungsdatenbank konzentrieren sich in WMI auf eine einzige Klasse: StdRegProv im Namensraum \root\default. Die Klasse bietet zahlreiche Methoden an: CreateKey(), DeleteKey(), EnumKey(), EnumValues(), DeleteValue(), SetDWORDValue(), GetDWORDValue(), SetStringValue(), GetStringValue(), SetMultiStringValue(), GetMultiStringValue(), SetExpandedStringValue(), GetExpandedStringValue(), SetBinaryValue(), GetBinaryValue() und CheckAccess(). Dabei gilt für alle diese Methoden: 왘
Im ersten Parameter wird der zu verwendende Hive in Form eines LONG-Werts übergeben. Const HKEY_CURRENT_USER = &H80000001 Const HKEY_LOCAL_MACHINE = &H80000002
Tabelle 18.2: Überblick über die Methoden zum Schreiben und Lesen von Registrierungsdatenbank-Werten
890
왘
Im zweiten Parameter wird der Schlüsselpfad als Zeichenkette übergeben.
왘
Die Methoden zum Zugriff auf einzelne Werte haben im dritten Parameter den Namen des Wertes.
왘
Die Methoden zum Schreiben von Werten erwarten im vierten Parameter den zu schreibenden Wert.
왘
Die Methoden zum Lesen von Werten erwarten im vierten Parameter eine leere Variant-Variable, in der sie per Call-byReference den gelesenen Wert zurückliefern können.
Wert-Typ in der Registrierungsdatenbank
Methode zum Schreiben
Methode zum Lesen
Hinweis
Zeichenkette
SetString Value()
GetString Value()
Vierter Parameter ist Variant/String
DWORDWert (Zahl)
SetDWORD Value()
GetDWORD Value()
Vierter Parameter ist Variant/Long
Erweiterte Zeichenkette
SetExpanded String Value()
GetExpanded tringValue()
Vierter Parameter ist Variant/String
Sandini Bib
Windows Script Host (WSH)
Wert-Typ in der Registrierungsdatenbank
Methode zum Schreiben
Methode zum Lesen
Hinweis
MehrSetMulti wertige Zei- String chenkette Value()
GetMultiString Value()
Vierter Parameter ist ein Array
Binär-Wert
GetBinary Value()
Vierter Parameter ist ein Array
SetBinary Value()
Auslesen und Setzen eines Wertes Das erste Beispiel zeigt, wie man den Registrierungsdatenbank-Wert HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\Error Reporting\DoReport auf einer Menge von Computern auf den Wert 0 setzt. Damit wird die Fehlerberichterstattung an Microsoft abgeschaltet.
GetDWORDValue() und SetDWORDValue()
In dem Skript kommen die in Kapitel 18.3.6 besprochenen Routinen zum Auslesen einer Menge von Computernamen aus einer Textdatei (ComputerlisteEinlesen()) und zum Erzeugen einer Protokolldatei (Protokoll()) zum Einsatz. Diese Routinen werden hier nicht erneut abgedruckt, um Platz für andere Inhalte zu sparen. Jede Zeile in ComputerListe.txt ist Name oder IP-Adresse eines abzufragenden Computers. Dabei repräsentiert ein Punkt (.) den lokalen Computer. Option Explicit Dim Dim Dim a =
Computerliste ' Liste der Computer Computername' aktueller Computer a ' Zähler 0
Listing 18.12: Wert in Registrierungsdatenbank ändern [Registry_ DiverseBeispiele.vbs]
' --- Schleife über alle Computer Computerliste = ComputerlisteEinlesen For Each Computername In Computerliste a = a +1 Protokoll a & ". Computer: " & Computername Registry_WertSetzen(Computername) Next ' === Eigentliche Aktion: Registry ändern Sub Registry_WertSetzen(Computername) Const HKEY_CURRENT_USER = &H80000001 Const HKEY_LOCAL_MACHINE = &H80000002 Const pfad = "SOFTWARE\Microsoft\PCHealth\
891
Sandini Bib
18 Befehlszeile und Scripting ErrorReporting\" Dim oReg Set oReg = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _ Computername & "\root\default:StdRegProv") Dim wert oReg.GetDWORDValue HKEY_LOCAL_MACHINE, pfad, "DoReport", wert Protokoll "Alter Wert: " & wert oReg.SetDWORDValue HKEY_LOCAL_MACHINE, pfad, "DoReport", 0 Protokoll "Neuer Wert: " & wert End Sub
In den folgenden Beispielen wird aus Platzgründen auch auf den Abdruck der Schleife über die Computernamen verzichtet. Auf der CD zum Buch finden Sie die vollständigen Skripte. Erzeugen eines neuen Registrierungsdatenbank-Schlüssels CreateKey()
Listing 18.13: Schlüssel anlegen [Registry_DiverseBeispiele.vbs]
Das folgende Beispiel zeigt das Anlegen einer Menge von neuen Registrierungsdatenbank-Schlüsseln mit der Methode CreateKey() und das anschließende Setzen von Werten in den neuen Schlüsseln. ' === Eigentliche Aktion: Schlüssel anlegen Sub Registry_SchluesselAnlegen(Computername) Dim BuecherKuerzel, BuecherTitel Dim i Const HKEY_CURRENT_USER = &H80000001 Const HKEY_LOCAL_MACHINE = &H80000002 Dim oReg Set oReg = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _ Computername & "\root\default:StdRegProv") BuecherKuerzel = Array("WBS", "WS2", "WS3", "CKH", "FCL", "WF", "N2C") BuecherTitel = Array("Windows- und BackOfficeScripting", "Windows Scripting 2. Auflage", "Windows Scripting 3. Auflage", "COM-Komponenten-Handbuch", "Programmierung mit der .NET-Klassenbibliothek", "Webforms", ".NET 2.0 Crashkurs") For i = 0 To UBound(BuecherKuerzel) Dim Schluessel Schluessel = "SOFTWARE\www.IT-Visions.de\Buecher\" & BuecherKuerzel(i)
892
Sandini Bib
Windows Script Host (WSH) oReg.CreateKey HKEY_LOCAL_MACHINE, Schluessel Protokoll "Schlüssel " & Schluessel & " angelegt." oReg.SetStringValue HKEY_LOCAL_MACHINE, Schluessel, , "Ein Buch von Dr. Holger Schwichtenberg" oReg.SetStringValue HKEY_LOCAL_MACHINE, Schluessel, "Titel", BuecherTitel(i) oReg.SetStringValue HKEY_LOCAL_MACHINE, Schluessel, "angelegt", CStr(Now) Protokoll "Werte für " & Schluessel & " gesetzt." Next End Sub
Auflisten von Schlüsseln Das vorherige Beispiel bildet die Basis für den Einsatz von EnumKey() EnumKey(). Diese Methode gibt im dritten Parameter ein Array of String mit den Namen der Unterschlüssel eines bestimmten Schlüssels zurück. ' === Aktion: Schlüssel auflisten Sub Registry_SchluesselAuflisten(Computername) Const HKEY_CURRENT_USER = &H80000001 Const HKEY_LOCAL_MACHINE = &H80000002 Dim oReg, pfad, Schluessel, SchluesselMenge Set oReg = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _ Computername & "\root\default:StdRegProv") pfad = "SOFTWARE\www.IT-Visions.de\Buecher\" oReg.EnumKey HKEY_LOCAL_MACHINE, pfad, SchluesselMenge For Each Schluessel In SchluesselMenge Protokoll Schluessel Next End Sub
Listing 18.14: Unterschlüssel auflisten [Registry_ DiverseBeispiele.vbs]
Löschen von Schlüsseln Die DeleteKey()-Methode erlaubt nur das Löschen eines einzel- DeleteKey() nen Schlüssels. Die Methode kann nicht gleichzeitig beliebig viele Ebenen löschen. Diese Limitation der DeleteKey()-Methode wird durch die nachfolgende Unterroutine beseitigt, welche mittels EnumKey() die Unterschlüssel auflistet und rekursiv löscht. ' === Aktion: Rekursives Schlüssel-Löschen (Löschen über beliebig viele Ebenen) Sub Registry_SchluesselLoeschen(Computername, OberSchluessel) Const HKEY_CURRENT_USER = &H80000001 Const HKEY_LOCAL_MACHINE = &H80000002 Dim oReg, pfad, Schluessel, SchluesselMenge OberSchluessel = Replace(OberSchluessel, "\\", "\") Set oReg =
Listing 18.15: Hilfsroutine für rekursives Löschen von RegistrierungsdatenbankSchlüsseln [WMI_ Registry_Funktionen.vbs]
893
Sandini Bib
18 Befehlszeile und Scripting GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _ Computername & "\root\default:StdRegProv") oReg.EnumKey HKEY_LOCAL_MACHINE, OberSchluessel, SchluesselMenge If IsArray(SchluesselMenge) Then For Each Schluessel In SchluesselMenge Registry_SchluesselLoeschen Computername, OberSchluessel & "\" & Schluessel Next End If oReg.DeleteKey HKEY_LOCAL_MACHINE, OberSchluessel Protokoll OberSchluessel & " gelöscht" End Sub
18.3.8 Win32_Product
Scripting der Softwarekonfiguration
Auch die installierten Anwendungen können über WMI verwaltet werden. WMI bietet dazu die Klasse Win32_Product an. Software inventarisieren Für die Inventarisierung der installierten Software gibt es viele große und kleine Lösungen. Hier soll ein einfaches, aber wirkungsvolles WSH-Skript die installierten Anwendungen ermitteln und in eine Textdatei speichern.
WQL
Der Kern des Skripts besteht aus der Routine SWInventar, die die Liste der installierten Programme für den als Parameter angegebenen Computer holt. Die Routine enthält fünf Befehle. Mit GetObject() verschafft sich das Skript den Zugriff auf das WMI-Repository des angegebenen Computers. Mit ExecQuery() können WQL-Befehle (WQL steht für WMI Query Language, welche der Sprache SQL sehr ähnlich ist) auf dem WMI-Repository ausgeführt werden. In diesem Fall werden alle Instanzen der WMI-Klasse Win32_Product angefordert. Der Rest des Skripts bietet den Komfort darum herum: Das Skript öffnet die Datei ComputerListe.txt, die im selben Verzeichnis wie das Skript liegen muss. Die Ausgabe sendet das Skript an die Datei Software.csv, die das Skript im selben Verzeichnis erzeugt. Jede Zeile in der Ausgabedatei ist ein installiertes Programm. Die einzelnen Angaben werden durch ein Semikolon getrennt. Als erste Angabe wird der Name des Computers in die Datei geschrieben. Die CSV-Datei kann auf einfache Weise in Excel oder Access eingelesen werden.
894
Sandini Bib
Windows Script Host (WSH)
Zum Zugriff auf die Ein- und Ausgabedatei verwendet das Skript die Scripting Runtime-Komponente, insbesondere die Klasse TextStream, deren Instanz man mit OpenTextFile() erhält. Option explicit Const Trenner = ";" ' Trennzeichen Dim computer ' Name des Computers Dim ergebnis ' Ergebnismenge in Form eines WbemScripting.SWbemObjectSet Dim objTX ' Textdatei-Objekt für die Liste der zu durchsuchenden Computer Dim a ' Zähler Dim FSO ' Dateisystem-Objekt Dim Scriptfile ' Datei, die das Skript enthält Dim Pathname' Ordner, in dem das Skript liegt Dim Eingabedatei' Name und Pfad der Eingabedatei Dim Ausgabedatei' Name und Pfad der Ausgabedatei
Listing 18.16: Softwareinventarskript [Softwareinventar.vbs]
' --- Global benötigtes Objekt Set FSO = CreateObject("Scripting.FileSystemObject") ' --- Ermitteln der Ausgabedatei Set ScriptFile = FSO.GetFile (WScript.ScriptFullName) Pathname = Replace(Scriptfile.Path, Scriptfile.Name, "") Ausgabedatei = Pathname & "software.csv" Eingabedatei = Pathname & "computerliste.txt" ' --- Auslesen der Computerliste Set objTX = FSO.OpenTextFile(Eingabedatei) WScript.Echo "Die Ausgabe erfolgt in der Datei: " &_ vbCrLf & Ausgabedatei &vbCrLf ' --- Überschriften einfügen out _ "Computer" & Trenner & _ "Name" & Trenner & _ "Beschreibung" & Trenner & _ "Identifikationsnummer" & Trenner & _ "Installationsdatum" & Trenner & _ "Installationsverzeichnis" & Trenner & _ "Zustand der Installation" & Trenner & _ "Paketzwischenspeicher" & Trenner & _ "SKU Nummer" & Trenner & _ "Hersteller" & Trenner & _ "Version" ' --- Schleife über alle Computer Do While Not objTX.AtEndOfStream computer = objTX.ReadLine a = a + 1 WScript.Echo "Computer #" & a & ":" & computer
895
Sandini Bib
18 Befehlszeile und Scripting SWInventar Computer Loop ' --- Fertig objTX.Close MsgBox "Softwareinventarisierung beendet!",,"Inventarskript (C) Dr. Holger Schwichtenberg" ' === Softwareinventar für einen Computer erstellen Sub SWInventar(Computer) Dim colSoftware, objWMIService, objSoftware ' --- Zugriff auf WMI Set objWMIService = GetObject("winmgmts:" &_ "{impersonationLevel=impersonate}!\\" & Computer &_ "\root\cimv2") ' --- Liste anfordern Set colSoftware = objWMIService.ExecQuery _ ("SELECT * FROM Win32_Product") ' --- Liste ausgeben For Each objSoftware in colSoftware out _ Computer & Trenner & _ objSoftware.Name & Trenner & _ objSoftware.Caption & Trenner & _ objSoftware.Description & Trenner & _ objSoftware.IdentifyingNumber & Trenner & _ objSoftware.InstallDate & Trenner & _ objSoftware.InstallLocation & Trenner & _ objSoftware.InstallState & Trenner & _ objSoftware.PackageCache & Trenner & _ objSoftware.SKUNumber & Trenner & _ objSoftware.Vendor & Trenner & _ objSoftware.Version Next End sub ' === Ausgabe Sub out(s) Dim objTextFile ' Ausgabedatei öffnen Set objTextFile = FSO.OpenTextFile(Ausgabedatei, 8, true) objTextFile.WriteLine s objTextFile.Close WScript.Echo s End sub
896
Sandini Bib
Windows Script Host (WSH)
Abbildung 18.12: Ergebnis der Softwareinventarisierung
Software installieren Mit Hilfe von WMI können Sie auch Software installieren – sogar Install() auf entfernten Systemen. Die Win32_Product-Klasse besitzt die Methode Install(), die drei Parameter erwartet. Der erste Parameter spezifiziert in einer Zeichenkette das zu installierende Softwareprodukt. In dem folgenden Beispiel wird die Gruppenrichtlinienverwaltungskonsole (gpmc.msi) installiert. Durch eine weitere Zeichenkette können bei dem Methodenaufruf der Installationsroutine Parameter in Form von Attribut=Wert-Paaren übergeben werden. Der dritte Parameter gibt an, ob das zu installierende Softwareprodukt für alle Benutzer des Rechners verfügbar sein soll. Der Erfolg der Softwareinstallation wird durch einen Rückgabe- Rückgabewert wert signalisiert, sofern dieser den Wert 0 hat. Alle davon verschiedenen Werte zeigen einen Fehler an (z.B. 2 = Installationsdatei ist nicht vorhanden). Dieses Beispiel ist wieder eingebettet in die bereits bei den Registrierungsdatenbank-Beispielen verwendete Umgebung, sodass die Routine auf alle Computer in der Datei Computerliste.txt angewendet wird, die im selben Verzeichnis liegen muss. ' === Aktion: Software installieren Function Software_Installieren(Computername) Dim objWBemLocator, objConnection, objSoftware Dim User, Password, Computer, Software, Error Software = GetSkriptDir & "gpmc.msi" Protokoll "Installieren... " & Software Set objSoftware =
Listing 18.17: Software installieren [Software_ DiverseBeispiele.vbs]
897
Sandini Bib
18 Befehlszeile und Scripting GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _ Computername & "\root\cimv2:Win32_Product") Error = objSoftware.Install(Software,"",True) If Error = 0 Then WScript.Echo "Die Installation war erfolgreich." Else WScript.Echo "Bei der Installation ist " &_ "folgender Fehler aufgetreten: " & Error End If End Function
Software deinstallieren Uninstall()
Listing 18.18: Software deinstallieren [Software_ DiverseBeispiele.vbs]
Zur Deinstallation eines Softwareprodukts wird die Uninstall()Methode des Win32_Product-Objekts verwendet. Zuvor muss das richtige Win32_Product-Objekt mit einer WQL-Abfrage ermittelt werden. Die Abfrage sollte nur ein Element in der Ergebnismenge besitzen. ' === Aktion: Software deinstallieren Function Software_DeInstallieren(Computername) Dim objWMIService, colSoftware, objSoftware Dim ProductName, objWBemLocator, objConnection ProductName = "Microsoft Gruppenrichtlinienverwaltungskonsole mit SP1" Set objWBemLocator = CreateObject("WbemScripting.SWbemLocator") Set objConnection = objWBemLocator.ConnectServer _ (Computername, "root\cimv2") Set colSoftware = objConnection.ExecQuery ("SELECT * FROM " & _ "Win32_Product WHERE Name = """ & ProductName & """") Protokoll "Anzahl gefundener Pakete: " & colSoftware.Count For Each objSoftware In colSoftware Protokoll "Deinstalliere..." & objSoftware.Name objSoftware.Uninstall() Next End function
18.3.9 ADSI
898
Scripting der Benutzerverwaltung
Für das Scripting der Benutzerverwaltung kommt eine Komponente mit dem Namen Active Directory Service Interface (ADSI) zum Einsatz. Anders als der Name vermuten lässt, ist ADSI nicht
Sandini Bib
Windows Script Host (WSH)
auf die Verwaltung von Active Directory-basierten Verzeichnisdiensten beschränkt. Auch die auf der alten Windows NT-Benutzerverwaltung basierende Benutzerverwaltung von Windows XP kann per ADSI gesteuert werden. Andere Novell- und LDAPbasierte Verzeichnisdienste kann ADSI ebenso verwalten. In diesem Unterkapitel wird die Verwaltung der lokalen Benutzerdatenbank eines Windows XP-Systems via ADSI beschrieben. Das auf jedem Windows XP-System automatisch vorhandene ADSI kann auch dazu eingesetzt werden, ein Active Directory von einem Windows XP-System aus zu verwalten. Dies ist jedoch ein Thema für ein Windows Server-Buch und findet daher keinen Platz in diesem Werk. Das Thema Active Directory-Scripting wird ausführlich behandelt in [Sch04]. Auflisten der vorhandenen Benutzerkonten Zur Einstimmung soll ein Beispiel dienen, das eine Liste aller Benutzer auf einem Computersystem oder in einer Domäne ausgibt. Ausgegeben werden der Benutzername, der Anzeigename und die Beschreibung zu jedem Benutzer. Zu Beginn der Arbeit mit ADSI muss zunächst die Bindung an GetObject() den Computer-Container hergestellt werden. Dazu wird bei GetObject() ein ADSI-Pfad zu einem Computer angegeben. Der Pfad ist sehr einfach: WinNT://COMPUTERNAME
Ersetzen Sie in allen nachstehenden Skripten das Wort „Essen“ durch den Namen eines Computers. Wichtig: WinNT müssen Sie mit großem W, N, T und kleinem i, n schreiben. Die häufigste Ursache für nicht funktionierende ADSI-Skripte ist die falsche Schreibweise dieses Begriffs. Der Grund für diesen Fehler liegt darin, dass die Relevanz der Groß- und Kleinschreibung in der VBScript-Programmierung sehr selten ist. Const Name = "Essen" Set oDomain = GetObject("WinNT://" & Name) oDomain.Filter = Array("user") wscript.echo "Benutzerliste des Computers/der Domäne: " & oDomain.Name For Each oUser In oDomain wscript.echo oUser.Name & ";" & _ oUser.FullName & ";" & _ oUser.Description Next
Listing 18.19: Auflisten der Benutzer
899
Sandini Bib
18 Befehlszeile und Scripting
Würden Sie dieses Skript mit einem Doppelklick starten, erhielten Sie für jeden Benutzer ein eigenes Dialogfenster, das sie einzeln bestätigen müssten. Das wäre sehr lästig! Sie sollten das Skript daher unbedingt mit cscript.exe starten, indem Sie im Kommandozeilenfenster eingeben: cscript.exe C:\PFAD\SKRIPTNAME.vbs
wobei Sie bitte C:\PFAD\SKRIPTNAME durch den Pfad und Namen Ihres Skripts ersetzen. Die Ausgaben gehen dann ins Kommandozeilenfenster. Diese Ausgabe in eine Textdatei umzuleiten ist kein Problem: cscript.exe C:\PFAD\SKRIPTNAME.vbs >c:\Protokoll.vbs
Die Textdatei wiederum in Microsoft Excel oder Microsoft Access zu importieren, ist in wenigen Mausklicks erledigt. Das vorherige Skript funktioniert sowohl für eine NT4-Domäne, eine Windows 2000-Domäne, eine Windows 2003-Domäne als auch für die lokalen Benutzerdatenbanken unter Windows NT4, Windows 2000 Professional und Windows XP: Anstelle des Computernamens können Sie auch einen Domänennamen angeben. Benutzergruppen
Möchten Sie Benutzergruppen statt Benutzer auslesen, ersetzen Sie die Zeile oDomain.Filter = Array("user") durch oDomain.Filter = Array("group"). Sowohl Gruppen als auch Benutzer erhalten Sie mit oDomain.Filter = Array("user", "group"). Anlegen eines Benutzerkontos
Create()
Grundsätzlich wird in ADSI ein Objekt mit der Methode Create() angelegt. Bei der Methode Create() sind der Verzeichnisklassenname user und als zweiter Parameter der gewünschte Benutzername anzugeben. Erst mit dem Aufruf von SetInfo() wird der Benutzer tatsächlich angelegt.
Attribute
Die Verzeichnisklasse User verlangt keine Pflichtattribute; im Skript werden allerdings die folgenden optionalen Attribute verwendet: 왘 FullName: kennzeichnet den Anzeigenamen des Benutzers 왘 Description: eine Beschreibung des Benutzers 왘 HomeDirectory:
der Pfad zu dem Verzeichnis, in dem der Benutzer seine Daten ablegt
왘 AccountExpirationDate:
Datum, an dem das Kennwort des Kontos abläuft. Hier wird der Wert auf das aktuelle Datum gesetzt, um den Benutzer zu veranlassen, sein Kennwort bei der nächsten Anmeldung zu ändern.
900
Sandini Bib
Windows Script Host (WSH) 왘 LoginScript: das bei der Anmeldung des Benutzers auszufüh-
rende Skript Bitte passen Sie in diesem Skript unbedingt den Namen des Containers an, bevor Sie es testen. Tragen Sie in die Konstante CONTAINERNAME den Namen eines Computers oder einer Domäne ein, der bzw. die bei Ihnen erreichbar ist. Sie müssen Administrator-Rechte auf dem Computer bzw. der Domäne besitzen, um das Skript ausführen zu können. Option Explicit ' Variablen deklarieren Dim Benutzer Dim Container ' Name des Containers, in dem der Benutzer angelegt werden soll Const CONTAINERNAME = "Essen" ' Computername oder Domänenname Const KLASSE = "Computer" ' oder: "Domain" ' Zugriff auf Domain-Objekt Set Container = GetObject("WinNT://" & CONTAINERNAME & "," & KLASSE) ' Benutzer anlegen Set Benutzer= Container.Create("user", "HolgerSchwichtenberg") ' Setzen von Eigenschaften ' Voller Name Benutzer.FullName = "Holger Schwichtenberg" ' Beschreibung des Benutzers Benutzer.Description = "Dr. Holger Schwichtenberg (Autor)" ' Home-Verzeichnis des Benutzers Benutzer.HomeDirectory = "e:\benutzer\ HolgerSchwichtenberg " ' Ablaufdatum des Kontos Benutzer.AccountExpirationDate = Now() ' Verweis auf das Login-Skript Benutzer.LoginScript = "HolgerSchwichtenberg.bat" ' Festschreiben der Werte Benutzer.SetInfo ' Meldung ausgeben WScript.Echo "Benutzer angelegt!"
Listing 18.20: Benutzer anlegen [BenutzerAnlegen.vbs]
Umbenennen eines Benutzers Der NT4-Verzeichnisdienst erlaubt die Umbenennung eines NamensBenutzerkontos nach dem Anlegen, da für die eindeutige Identifi- änderung zierung nicht der Kontoname, sondern der Security Identifier (SID) des Kontos maßgeblich ist. Das Konto verliert also nicht
901
Sandini Bib
18 Befehlszeile und Scripting
seine Gruppenzuordnungen oder Rechte. Die Methode zur Umbenennung heißt in ADSI MoveHere(). Diese Methode wird sowohl von der Computer- als auch der Domain-Klasse unterstützt. Es ist nicht möglich, ein Benutzerkonto im WinNT-Verzeichnisdienst zu verschieben, da es nur einen Container für Benutzer geben kann. Eine Verschiebung zwischen Domänen ist ebenfalls nicht möglich. Das Skript deklariert die benötigten Variablen für die Objekte. Durch den Aufruf von GetObject() wird eine Instanz des DomainObjekts erzeugt und der Variablen Container zugewiesen. Als Parameter werden der WinNT-Provider und der Name des Computers angegeben, auf dem sich das Benutzerkonto befindet. Umbenennen durch Verschieben
Listing 18.21: Benutzer umbenennen [BenutzerUmbenennen.vbs]
Der Aufruf der MoveHere()-Methode des Domain-Objekts mit dem ADSI-Pfad des Benutzers sowie dem neuen Benutzernamen führt die Umbenennung durch. Die erfolgreiche Umbenennung wird durch eine Meldung angezeigt. Option Explicit ' Konstanten - bitte anpassen!!! Const CONTAINERNAME = "Essen" ' Computername oder Domänenname Const ALTERNAME = "HolgerSchwichtenberg" Const NEUERNAME = "HS" ' Notwendige Variablen deklarieren Dim Container ' Zugriff auf Domain-Objekt Set Container = GetObject("WinNT://" & CONTAINERNAME) ' MoveHere ausführen Container.MoveHere _ "WinNT://" & CONTAINERNAME & "/" & ALTERNAME,NEUERNAME ' Meldung ausgeben Wscript.Echo "Benutzer umbenannt!"
Durch die MoveHere()-Methode wird nur der Benutzername selbst, nicht aber die anderen Attribute wie Fullname und Description beeinflusst. Bitte beachten Sie, dass nach Ausführung dieses Skripts das Benutzerkonto „HolgerSchwichtenberg“ nicht mehr existiert. Da die nachfolgenden Skripte „HolgerSchwichtenberg“ verwenden, sollten Sie mit dem ersten Skript in diesem Kapitel „HolgerSchwichtenberg“ wieder anlegen.
902
Sandini Bib
Windows Script Host (WSH)
Kennwort eines Benutzers ändern Das Passwort für einen Benutzer kann erst gesetzt werden, nachdem das Anlegen mit SetInfo() vollzogen wurde. Grundsätzlich gibt es zwei Möglichkeiten, ein Passwort mit ADSI zu setzen: 왘
Bei SetPassword() ist die Angabe des bisherigen Passworts ChangePassword() nicht nötig.
왘
Bei der Methode ChangePassword() muss das bisherige Pass- SetPassword() wort angegeben werden.
ChangePassword()sollteangewendetwerden,wennsichergestellt werden soll, dass nur der betreffende Benutzer selbst das Passwort ändert. Die Methode lässt sich nur ausführen, wenn die Kontorichtlinien dies erlauben (Wenn Sie das Skript ausgeführt haben, das die minimale Passwortdauer auf zehn Tage setzt, kann ChangePassword() erst nach zehn Tagen zum ersten Mal ausgeführt werden!).
Für den Administrator ist die Methode SetPassword() gedacht, weil das alte Kennwort nicht bekannt sein muss. SetPassword() kann nicht nur beim erstmaligen Setzen, sondern zu beliebiger Zeit ausgeführt werden. Dim Benutzer ' Bitte ADSI-Pfad anpassen: WinNT://CONTAINER/ BENUTZERNAME Set Benutzer = GetObject("WinNT://Essen/ HolgerSchwichtenberg,user") Benutzer.SetPassword "geheim" Msgbox "Kennwort gesetzt!"
Listing 18.22: Kennwort setzen [KennwortAendern 1.vbs]
Dim Benutzer ' Bitte ADSI-Pfad anpassen: WinNT://CONTAINER/ BENUTZERNAME Set Benutzer = GetObject("WinNT://Essen/ HolgerSchwichtenberg,user") Benutzer.ChangePassword "geheim", "geheimer" Msgbox "Kennwort geändert!"
Listing 18.23: Kennwort ändern [KennwortAendern 2.vbs]
Um den Benutzer zu veranlassen, sein Kennwort bei der nächsten Anmeldung zu ändern, wird die Eigenschaft AccountExpirationDate auf das aktuelle Datum und die aktuelle Uhrzeit gesetzt.
903
Sandini Bib
18 Befehlszeile und Scripting
Anlegen einer Benutzergruppe Andere Klasse
Das Einrichten einer Gruppe erfolgt analog zur Erstellung eines User-Objekts. Beachten Sie aber den bei Create() anzugebenden Klassennamen Group.
Lokal oder global
GroupType ist ein Pflichtattribut des WinNT-Verzeichnisdienstes,
das aber automatisch auf den Wert 2 (globale Gruppe) gesetzt wird, wenn der ADSI-Client keinen Wert vorgibt. Das Beispielskript allerdings erzeugt eine lokale Gruppe (Wert 4). Listing 18.24: Anlegen einer Benutzergruppe [GruppeAnlegen.vbs]
Option Explicit ' Variablen deklarieren Dim Container Dim Gruppe ' Konstanten definieren Const GRUPPENNAME = "Autoren" ' Name des Containers, in dem der Benutzer angelegt werden soll Const CONTAINERNAME = "Essen" ' Computername oder Domänenname ' Zugriff auf Domain-Objekt Set Container = GetObject("WinNT://" & CONTAINERNAME) ' Erzeugen der Gruppe Set Gruppe = Container.Create("group", GRUPPENNAME) ' Gruppentyp setzen ' 4 = Lokale Gruppe, 2= Globale Gruppe Gruppe.Put "Grouptype", 4 ' Beschreibungstext setzen Gruppe.Description = "Liste aller Beamten" ' Festschreiben der Änderungen Gruppe.SetInfo ' Meldung ausgeben WScript.Echo "Gruppe " & GRUPPENNAME & " wurde angelegt!"
Einen Benutzer einer Gruppe hinzufügen Gruppieren
Das folgende Skript ordnet einen bestehenden Benutzer einer existierenden Gruppe zu. Das Skript deklariert die benötigte Variable für das Group-Objekt. Durch den Aufruf von GetObject() wird eine Instanz des Group-Objekts erzeugt und der Variablen Gruppe zugewiesen. Durch Aufruf der Add()-Methode des GroupObjekts wird der als Parameter übergebene Benutzer der Gruppe zugeordnet. Der Befehl SetInfo() ist hier nicht notwendig, die Änderung wird sofort wirksam.
904
Sandini Bib
Windows Script Host (WSH)
Der Benutzer muss bereits vorhanden sein, ansonsten wird die Fehlermeldung „Ein Mitglied konnte in der lokalen Gruppe nicht hinzugefügt oder entfernt werden, da das Mitglied nicht vorhanden ist.“ ausgegeben. Option Explicit ' Variablen deklarieren Dim Gruppe ' Zugriff auf das Gruppen-Objekt Set Gruppe = GetObject("WinNT://Essen/Autoren,Group") ' Hinzufügen des Benutzer-Objekts zur Gruppe Gruppe.Add ("WinNT://Essen/HolgerSchwichtenberg") ' Meldung ausgeben Wscript.Echo "Benutzer HolgerSchwichtenberg zur Gruppe Autoren hinzugefügt!"
Listing 18.25: Benutzer in Benutzergruppe aufnehmen [BenutzerzuGruppe.vbs]
Einen Benutzer aus einer Gruppe entfernen Das nachfolgende Skript LoescheBenutzerausGruppe.vbs entfernt Benutzer einen Benutzer aus einer Benutzergruppe. Zentraler Befehl ist die entfernen Methode Remove(), die auf einem Group-Objekt ausgeführt wird. Als Parameter erwartet Remove() den ADSI-Pfad des Benutzers, der aus der Gruppe entfernt werden soll. Der Variablen Gruppe wird durch GetObject() ein Verweis auf Identifikation das Group-Objekt der betreffenden Gruppe zugewiesen. Danach wird Remove() ausgeführt. Der Befehl SetInfo() ist hier nicht notwendig, die Änderung wird sofort wirksam. Option Explicit Dim Benutzer Dim Gruppe ' Zugriff auf das Gruppen-Objekt Set Gruppe = GetObject("WinNT://Essen/Autoren,group") ' Benutzer-Objekt aus der Gruppe entfernen Gruppe.Remove("WinNT://Essen/HolgerSchwichtenberg,user") Wscript.Echo "Der Benutzer HolgerSchwichtenberg wurde aus der " &_ "Gruppe Autoren entfernt."
Listing 18.26: Benutzer aus Gruppe entfernen [LoescheBenutzerausGruppe.vbs]
Deaktivieren eines Benutzerkontos Soll einem Benutzer der Zugang zum Netzwerk nur kurzfristig Konto sperren entzogen werden, muss das Konto nicht gelöscht werden, sondern es kann deaktiviert werden. Das nachfolgende Beispiel zeigt, wie mit Hilfe des Attributs AccountDisabled ein Benutzer deaktiviert werden kann, sodass er sich nicht mehr am System anmelden kann. Dazu wird mit GetObject() ein Verweis auf das User-Objekt erstellt und in der Variab-
905
Sandini Bib
18 Befehlszeile und Scripting
len Benutzer gespeichert. Durch Setzen der Eigenschaft AccountDisabled auf den Wert True wird das User-Objekt angewiesen, das Konto zu sperren. Die Sperrung erfolgt erst mit dem Aufruf von SetInfo(). Entsperrung Listing 18.27: Benutzerkonto deaktivieren [DeaktiviereKonto.vbs]
Die Umkehrung der Aktion ist mit der Zuweisung des booleschen Wertes False an die Eigenschaft AccountDisabled möglich. Option Explicit ' Variablen deklarieren Dim Benutzer ' Zugriff auf User-Objekt Set Benutzer= GetObject("WinNT://Essen/ HolgerSchwichtenberg,user") ' Deaktivierung Benutzer.AccountDisabled = True ' = False zum Reaktivieren! ' Cache schreiben Benutzer.SetInfo ' Meldung ausgeben Wscript.Echo "Benutzer HolgerSchwichtenberg deaktiviert!"
Löschen einer Gruppe Delete()
Zentraler Befehl beim Löschen eines Objekts ist die Methode Delete(), die nur von Container-Objekten (also den Klassen Domain und Computer) bereitgestellt wird. Delete() erwartet nicht nur den Namen des zu löschenden Objekts, sondern zuvor im ersten Parameter auch den Klassennamen. Bitte verwechseln Sie nicht die Methoden Remove() und Delete(). Remove() entfernt einen Benutzer aus einer Gruppe. Eine Gruppe gilt nicht als ein Container-Objekt, weil die Gruppe den Benutzer im engeren Sinne nicht enthält, sondern nur einen Verweis auf ihn speichert. Ein Objekt kann immer nur in einem Container sein. Wäre die Gruppe ein Container, könnte der Benutzer nur Mitglied einer einzigen Gruppe sein. Nach einem Remove() ist das Benutzerkonto immer noch vorhanden. Delete() dagegen entfernt einen Benutzer aus einem Container, sodass eine permanente Löschung stattfindet. Im nächsten Beispiel wird das Löschen einer Gruppe demonstriert. Dazu wird nach der Variablendeklaration der Variablen Container der Verweis auf das durch GetObject() erzeugte Domain- oder Computer-Objekt zugewiesen. Unter Angabe des Klassennamens Group und des Gruppennamens löscht die Delete()-Methode die Gruppe aus dem Container.
906
Sandini Bib
Windows Script Host (WSH)
Ein expliziter Aufruf von SetInfo() ist hier nicht notwendig. Die Löschung wird sofort durchgeführt. Option Explicit ' Variablen deklarieren Dim Container ' Konstanten definieren Const GRUPPENNAME ="Autoren" ' Zugriff auf Domain-Objekt Set Container = GetObject("WinNT://Essen") ' Löschen der Gruppe Container.Delete "group", GRUPPENNAME ' Meldung ausgeben Wscript.Echo "Gruppe " & GRUPPENNAME & " wurde gelöscht!"
Listing 18.28: Benutzergruppe löschen [LoescheGruppe.vbs]
Löschen eines Benutzers Ein Benutzer wird gelöscht durch den Aufruf der Delete()- Verwechslungen Methode des Containers, in dem er enthalten ist. Das folgende möglich Beispiel zeigt das Löschen eines Domänenbenutzers. Bei der Delete()-Methode ist – wie beim Erzeugen – der Klassenname User anzugeben, um Verwechslungen mit eventuell gleichnamigen Group-Objekten zu vermeiden. Der Aufruf von SetInfo() ist nicht notwendig; Delete() wird sofort ausgeführt! Option Explicit ' Variable deklarieren Dim Container ' Zugriff auf Domain-Objekt Set Container = GetObject("WinNT://Essen") ' Benutzer löschen Container.Delete "user", "HolgerSchwichtenberg" ' Meldung ausgeben WScript.Echo "Benutzer gelöscht!"
Listing 18.29: Benutzergruppe löschen [LoescheBenutzer.vbs]
907
Sandini Bib
Sandini Bib
19
Anwendungsdienste Dr. Holger Schwichtenberg
Administration der Anwendungsdienste Als Anwendungsdienste werden hier solche Funktionen bezeichnet, die den Betrieb von Softwareanwendungen auf Basis von Windows XP ermöglichen. In diesem Kapitel werden die nachstehenden Funktionen von Windows XP in Hinblick auf administrative Aufgaben angesprochen: 왘
die Internet Information Services (IIS) zum Betrieb von Webanwendungen
왘
Datenquellen zum Betrieb von datengetriebenen Anwendungen
왘
die Komponentendienste zum Betrieb von COM- und .NETSoftwarekomponenten
왘
das .NET Framework zum Betrieb von .NET-Anwendungen
Das vorliegende Buch beschäftigt sich ausschließlich mit administrativen Aufgaben beim Betrieb dieser Anwendungen. Die Entwicklung von Anwendungen auf Basis dieser Anwendungsdienste liegt außerhalb des Fokus dieses Buches. Hierzu existieren zahlreiche sehr umfangreiche Fachbücher für Softwareentwickler, z.B. [Sch01], [Sch03], [Sch04] und [Sch05]. Einsatzgebiete Aufgrund der Beschränkung auf zehn gleichzeitige Netzwerkverbindungen ist Windows XP als Server für Netzwerkanwendungen nur in sehr begrenzten Szenarien einsetzbar. Die Anwendungsdienste von Windows XP spielen aber bei Entwurf und Entwicklung solcher Anwendungen eine große Rolle, da dieses Client-Betriebssystem alle Funktionen bereitstellt, um eine Vielzahl verschiedener Anwendungen zu entwickeln und später auf ein Server-Betriebssystem (z.B. Windows 2000 Server oder Windows Server 2003) zu portieren.
909
Sandini Bib
19 Anwendungsdienste
19.1 IIS 5.1
Internet Information Services (IIS)
Die Internet Information Services (IIS) sind eine Sammlung von drei Diensten, mit denen man Internetangebote entwickeln und bereitstellen kann. Unter Windows XP Professional (und Windows XP Tablet PC Edition) können die IIS in der Version 5.1 als optionale Windows-Komponente installiert werden. Die bei Windows XP Professional mitgelieferten Internet Information Services sind der kleine Bruder der schon in Windows 2000 enthaltenen Internet Information Services Version 5.0. Die IIS in Windows XP tragen die Versionsnummer 5.1 und sind trotz der höheren Versionsnummer funktional eingeschränkt im Vergleich zu den IIS 5.0 auf einem Windows 2000-Server.
19.1.1 Dienste
IIS-Dienste
Die IIS-Dienste von Windows XP umfassen folgende Funktionen: 왘
World Wide Web-Dienst (WWW-Dienst) Webserver zur Bereitstellung von statischen und dynamischen Webseiten über das Hypertext Transfer Protocol (HTTP)
왘
FTP-Dienst Ablage und Herunterladen von Dateien über das File Transfer Protocol (FTP)
왘
SMTP-Diens Versenden und Empfangen von E-Mails mit dem Simple Mail Transfer Protocol (SMTP)
Bitte beachten Sie folgende Hinweise:
910
왘
Der Name „World Wide Webdienst“ ist etwas irreführend, denn auch lokale Webangebote (Intranets) können mit dem Dienst bereitgestellt werden. Besser wäre daher der Name „Webdienst“ gewesen.
왘
Windows XP stellt keinen POP3 (Post Office Protocol Version 3)-Dienst bereit, d.h. man kann nicht verschiedene Empfänger-Postfächer mit Windows XP betreiben. Die E-Mails aller Empfänger landen in einer gemeinsamen Ablage. Einen POP3-Dienst stellt erst Windows Server 2003 zur Verfügung.
Sandini Bib
Internet Information Services (IIS)
왘
Früher stand die Abkürzung IIS für Internet Information Server statt Services. Daher werden Sie an vielen Stellen in der Dokumentation, in Büchern und Artikeln auch »der IIS« statt »die IIS« lesen.
19.1.2
Installation der IIS
Bei Windows XP gehören die IIS nicht zum Standardin- Nachinstallation Systemstallationsumfang, sondern müssen über SYSTEMSTEUERUNG/ über steuerung SOFTWARE/ WINDOWS-KOMPONENTEN/INTERNET INFORMATIONSDIENSTE (IIS) nachinstalliert werden. Unter den DETAILS wählt man dann die zu installierenden Dienste sowie die Zusatzwerkzeuge mit aus (siehe Abbildung 19.1). IIS und Windows XP Home Windows XP Home enthält die IIS nicht in den Installationsoptionen. Ein Beitrag im Internet [Pöp01] beschreibt, wie man Windows XP Home dennoch dazu bringen kann, die IIS zu installieren. Dieser Weg steht aber möglicherweise nicht in Einklang mit den Lizenzbestimmungen von Microsoft.
Abbildung 19.1: Nachträgliche Installation der IIS
911
Sandini Bib
19 Anwendungsdienste
19.1.3 Anwendungsarten
Statische Anwendungen
WWW-Dienst
Der WWW-Dienst (alias Webserver) ist der wichtigste der drei IISDienste. Er dient der Bereitstellung von 왘
statischen Webanwendungen (Dateien des Typs HTML, CSS, GIF, JPEG etc.)
왘
Webanwendungen mit clientseitiger Dynamik (Einsatz von JavaScript in HTML-Seiten)
왘
Webanwendungen mit serverseitiger Dynamik (Dateien des Typs ASP, ASPX, HTX, CGI etc.)
Statische Webanwendungen sowie Webanwendungen mit clientseitiger Dynamik kann man grundsätzlich auch im Dateisystem ohne Einsatz eines Webservers entwickeln und nutzen. Alle modernen Webbrowser (Internet Explorer, Mozilla Firefox etc.) ermöglichen die Ausführung solcher Webanwendungen aus dem Dateisystem heraus. Dabei ist der Browser-Adresse anstelle des HTTP:// als Protokoll FILE:// voranzustellen, z.B. FILE://c:/Webanwendungen/MeineAnwendung/index.htm Viele Softwarehersteller liefern Dokumentationen in Form von Webanwendungen aus, die auf diese Weise ohne einen Webserver betrachtet werden können.
Serverseitige Dynamik
Während bei statischen Webanwendungen sowie Webanwendungen mit clientseitiger Dynamik die Dokumente unangetastet an den Webbrowser weitergeleitet werden, erfolgt bei Webanwendungen mit serverseitiger Dynamik auf dem Webserver eine Verarbeitung/Veränderung der Dokumenteninhalte. Aus diesem Grund können solche Anwendungen nur über einen Webserver mit entsprechenden Erweiterungen für die jeweilige dynamische Technik (z.B. CGI, ASP, PHP) betrieben werden. Eine Webanwendung kann mit den IIS 5.1 lokal entwickelt und dann regelmäßig an den produktiven Webserver (bei einem Provider) übermittelt werden. Während in größeren Webentwicklungsabteilungen üblicherweise ein Windows 2000 Server (mit IIS 5.0) oder ein Windows Server 2003 (mit IIS 6.0) zur Verfügung steht, kommen die IIS 5.1 als Entwicklungsserver bei Einzelkämpfern, Privatleuten und den Notebooks von Profi-Entwicklern zum Einsatz.
912
Sandini Bib
Internet Information Services (IIS)
Dynamische Webtechniken Ebenso wie die IIS auf den Windows-Server-Versionen verarbeiten die IIS 5.1 die folgenden dynamischen Webtechniken: 왘
Active Server Pages (ASP) 3.0
왘
ASP.NET 1.0 (sofern das .NET Framework 1.0 installiert ist)
왘
ASP.NET 1.1 (sofern das .NET Framework 1.1 installiert ist)
왘
ASP.NET 2.0 (sofern das .NET Framework 2.0 installiert ist)
왘
Internet Information Service Application Programming Interface (ISAPI)
왘
Common Gateway Interface (CGI)
왘
Internet Database Connector (IDC)
왘
Server Side Includes (SSI)
Andere dynamische Webservertechniken wie PHP und JSP können durch Zusatzprodukte in den IIS integriert werden. Microsoft selbst liefert aber keine Unterstützung dafür. Installation eines Webservers Für die Nutzung von Windows XP als Webserver müssen unter Installation SYSTEMSTEUERUNG/SOFTWARE/WINDOWS-KOMPONENTEN/INTERNET INFORMATIONSDIENSTE (IIS) folgende Punkte aktiviert werden: 왘
WORLD WIDE WEB SERVICE (der eigentliche Windows-Dienst)
왘
INTERNET INFORMATION SERVICES SNAP-IN (die MMC-basierte Verwaltungskonsole, die man zwingend braucht)
왘
FRONTPAGE 2000 SERVER EXTENSIONS (wird von Werkzeugen wie FrontPage und Visual Studio/Visual Studio .NET zum Zugriff auf den Server benötigt)
Die Installation der Dokumentation und der beiden anderen IISDienste (SMTP und FTP) ist optional. Den SMTP-Dienst muss man nur dann installieren, wenn die Webanwendung E-Mails versenden soll. Den FTP-Dienst benötigt man, wenn die Webanwendung entweder Dateien per FTP zum Download bereitstellen soll oder aber Nutzern die Möglichkeit zum Hochladen von Dateien gegeben werden soll. Nach der Installation testet man durch Eingabe eines der folgen- Test den URLs, ob der Webserver funktioniert: http://localhost http://Computername http://IPAdresse
913
Sandini Bib
19 Anwendungsdienste
Abbildung 19.2: Erster Test des installierten Webservers
Danach sollten sich zwei Fenster öffnen: ein Begrüßungsbildschirm und ein Fenster mit der Dokumentation (siehe Abbildung 19.2), sofern diese mitinstalliert wurde und kein Popupblocker aktiv ist. Beim Fernzugriff von einem anderen System wird aus Sicherheitsgründen nur eine „Under Construction“-Seite erscheinen. Die Willkommensseite, die Dokumentation und die „Under Construction“-Seite befinden sich physikalisch im Verzeichnis c:\ Inetpub\wwwroot, das bei der Installation angelegt wurde. Ihre eigenen Webanwendungen können Sie an beliebiger Stelle im Dateisystem ablegen. Zuordnung von IP-Adresse und Portnummer zu Dateisystemverzeichnissen Der IIS-Webserver verwendet als Speicher das Windows-Dateisystem. Dazu bildet er HTTP-URL-Pfadangaben (z.B. http://essen/ Kunden/Produkte/start.aspx) auf physikalische Dateisystempfade ab. Hierbei sind drei Konzepte zu unterscheiden: 왘
914
Ein physikalischer Webserver ist ein Computersystem mit einem Webdienst, der mehrere virtuelle Webserver beheimaten kann.
Sandini Bib
Internet Information Services (IIS) 왘
Ein virtueller Webserver ist eine Zuordnung einer Kombination aus IP-Adresse und TCP-Portnummer zu einem Dateisystemverzeichnis.
왘
Ein virtuelles Verzeichnis ist eine Zuordnung einer Kombination aus IP-Adresse, TCP-Portnummer und Verzeichnisname zu einem Dateisystemverzeichnis.
Die Grafik 19.3 zeigt verschiedene Abbildungsmöglichkeiten: 왘
Die URLs http://1.2.3.4:1234, http://1.2.3.5:1234 und http://1.2.3.5 sind die Kombination aus IP-Adresse und Port, die dem Verzeichnis c:\website zugeordnet sind. Dieses Verzeichnis ist das Wurzelverzeichnis des Webservers. Unter Windows XP kann es nur ein solches Wurzelverzeichnis geben. Die Angabe einer Portnummer ist beim dritten URL nicht notwendig, da diese IPAdresse auf die Standardportnummer 80 konfiguriert wurde.
왘
http://1.2.3.5/Admin adressiert das Unterverzeichnis /Admin entsprechend der physikalischen Struktur des Dateisystems.
왘
Auch die Unterverzeichnisse /Kunden/Produkte und /Kunden/ News sind entsprechend ihrer physikalischen Struktur erreichbar. Zusätzlich wurden hier aber auch virtuelle Verzeichnisse konfiguriert, die ermöglichen, dass die Verzeichnisse alternativ auch über http://1.2.3.5/Produkte und http://1.2.3.5/Neuigkeiten erreichbar sind.
왘
Das physikalische Ziel von virtuellen Verzeichnissen muss nicht unterhalb des Wurzelverzeichnisses des Webservers liegen. Die Beispiele http://1.2.3.5/Kundendaten und http:// 1.2.3.5/Lieferantendaten zeigen, dass auch Dateisystempfade von anderen Laufwerken in die logische Verzeichnisstruktur des Webservers eingebunden werden können.
Beispiel
Die IIS 5.1 erlauben im Gegensatz zu den Server-Versionen der IIS nur einen virtuellen Webserver, d.h. unter Windows XP sind die Begriffe physikalischer Webserver und virtueller Webserver identisch. Der Webserver erscheint unter dem Namen STANDARDWEBSITE (in der englischen Version oder der MUI-Version DEFAULT WEB SITE) in der grafischen Administrationsoberfläche, die man über VERWALTUNG/INTERNET-INFORMATIONSDIENSTE erreicht.
915
Sandini Bib
19 Anwendungsdienste Abbildung 19.3: Zuordnung von IPAdresse und Portnummer zu Dateisystemverzeichnissen
h ttp://1.2.3.5 :1 23 4 h ttp ://1 .2 .3.5
h ttp://1.2 .3 .4 :1 23 4 h ttp ://1.2 .3 .5/A d m in
c:\ W ebsite c:\ W ebsite \ A dm in
c:\ c:\ ebsite WWeb site\ \ unden KKun de n
h ttp ://1 .2 .3.5/K u nd e n/P ro du kte h ttp://1.2.3.5/P ro du kte
c:\ W ebsite\ P rodukte
h ttp ://1.2 .3.5/K u nd e n/N ew s h ttp ://1 .2 .3 .5 /N eu igke ite n c:\ W ebsite\ N ew s
e:\D aten
h ttp ://1 .2.3.5/K u nd e nd a te n e:\D aten\ K unden
h ttp ://1.2.3.5/L ie fe ra nten d aten e:\D aten\ Lieferanten
Basiskonfiguration des Webservers Standardkonfiguration
Nach der Installation ist der IIS-Webserver wie folgt konfiguriert: Alle IP-Adressen des Rechners werden beim Zugriff über Port 80 auf das Wurzelverzeichnis c:\Inetpub\wwwroot abgebildet. Um diese Einstellung zu ändern, können Sie die IIS-Verwaltungskonsole (VERWALTUNG/INTERNET-INFORMATIONSDIENSTE) nutzen. In den Eigenschaften der Standardwebsite sind folgende Einstellungen vorzunehmen:
Website
916
왘
Auf der Registerkarte WEBSITE sind die IP-Adresse und die TCP-Portnummer festzulegen. Die Einstellung (KEINE ZUGEORDNET) für die IP-Adresse bedeutet, dass der WWW-Dienst auf alle dem Computer in der Netzwerkkonfiguration zugeordneten IP-Adressen reagiert. Durch das Dialogfenster ERWEITERT können dem Webserver weitere synonyme Kombinationen aus IP-Adresse und Portnummer zugeordnet werden.
Sandini Bib
Internet Information Services (IIS)
Abbildung 19.4: Basiskonfiguration des Webservers 왘
Auf der Registerkarte BASISVERZEICHNIS unterhalb des Eingabefeldes LOKALER PFAD erfolgt die Zuordnung zu einem Verzeichnis im Dateisystem, in dem sich die Dateien der Webanwendung befinden.
Basisverzeichnis
In dem Bereich ANWENDUNGSEINSTELLUNGEN ist eine Ausfüh- Anwendungseinstellungen rungsberechtigung zu wählen: 왘
Wählen Sie KEINE, wenn nur statische Webseiten auf dem Server liegen.
왘
Wählen Sie NUR SKRIPTS, wenn Sie Techniken wie ASP, ASP.NET, IDC oder SSI nutzen wollen.
왘
Wählen Sie SKRIPTS UND AUSFÜHRBARE DATEIEN, wenn Sie ISAPI und/oder CGI nutzen wollen.
Bitte beachten Sie folgende Hinweise: 왘
Sie müssen das Kontrollkästchen SKRIPTZUGRIFF nicht aktivieren, wenn Sie Skripte ausführen wollen. Dies ist eine Sonderfunktion für das Herunterladen von Skriptquellcode. In diesem Bereich reicht üblicherweise die Einstellung LESEN.
917
Sandini Bib
19 Anwendungsdienste
왘
Sofern Sie das NTFS-Dateisystem verwenden, müssen Sie dem Benutzer IUSR_Computername, der automatisch bei der Installation der IIS angelegt wird, die Leserechte auf das konfigurierte Basisverzeichnis geben, da sonst der IIS-Webserver die Dateien nicht aus dem Dateisystem entnehmen kann. Ändern Sie das Authentifizierungsverfahren (siehe Kapitel 19.1.4), so müssen Sie die Rechte auf Benutzer- bzw. Gruppenebene vergeben.
Startdokument festlegen Dokumente
Nutzer von Webanwendungen sind es gewohnt, dass sie URLs der Form http://www.servername.de eingeben können, ohne dabei den Namen eines Dokuments anzugeben. In diesem Fall wird das Startdokument angezeigt. Als Betreiber eines Webservers müssen Sie festlegen, welches das Startdokument sein soll. Diese Einstellung erfolgt auf der Registerkarte DOKUMENTE. Vorkonfiguriert sind hier die Startdokumente default.htm, default.asp, index.htm und iistart.asp. Für ASP.NET-basierte Webanwendungen ist hier in der Regel default.aspx zu ergänzen. Um dem Webanwendungsbenutzer zu gestatten, eine Liste der in dem Verzeichnis verfügbaren Dateien einzusehen, um selbst eine Datei auszuwählen, ist das Kontrollkästchen VERZEICHNIS DURCHSUCHEN AUF DER REGISTERKARTE BASISVERZEICHNIS zu aktivieren. Nutzen Sie diese Option aber mit Vorsicht, weil ein Webbenutzer dadurch Informationen erhalten könnte, die nicht für ihn bestimmt sind. Konfiguration von virtuellen Verzeichnissen Zum Erzeugen eines virtuellen Verzeichnisses gibt es zwei Wege:
918
IIS-Konsole
왘
Die erste Möglichkeit besteht in der Nutzung der IIS-Verwaltungskonsole. Wählen Sie in VERWALTUNG/INTERNETINFORMATIONSDIENSTE auf dem Zweig STANDARDWEBSITE den Kontextmenüeintrag NEU/VIRTUELLES VERZEICHNIS. Ein Assistent fragt dann nacheinander einen Namen (ALIAS), einen Pfad (VERZEICHNIS) und die gewünschten Rechte von Ihnen ab. Bei den Rechten, deren Benennung hier leider von der Registerkarte BASISVERZEICHNIS abweicht, sind üblicherweise LESEN und SKRIPTS AUSFÜHREN auszuwählen.
Windows Explorer
왘
Die zweite Möglichkeit zum Anlegen von virtuellen Verzeichnissen existiert im Windows Explorer. Navigieren Sie dort direkt zu dem Verzeichnis im Dateisystem, das Sie in den
Sandini Bib
Internet Information Services (IIS)
WWW-Dienst einbinden wollen. Wählen Sie dann die Registerkarte WEBFREIGABE und HINZUFÜGEN. Leider hat Microsoft hier wieder einen anderen Dialog verwendet. In diesem Fall müssen Sie für die Ausführung von ASP, ASP.NET & Co. LESEN und ANWENDUNGSBERECHTIGUNGEN/SKRIPTS aktivieren, nicht SKRIPTZUGRIFF. Abbildung 19.5: Anzeigen einer Webfreigabe im Windows Explorer
Das Anlegen eines virtuellen Verzeichnisses über den Windows Explorer hat den Vorteil, dass dadurch automatisch auch eine so genannte IIS-Anwendung erzeugt wird. Eine IIS-Anwendung isoliert den enthaltenen Programmcode von dem Programmcode in anderen IIS-Anwendungen. Einige Webanwendungen (insbesondere ASP.NET-Anwendungen) erfordern eine eigene IIS-Anwendung. Beim Anlegen eines virtuellen Verzeichnisses über den Assistenten in der MMC-Konsole INTERNET-INFORMATIONSDIENSTE steht eine solche IIS-Anwendung nicht automatisch zur Verfügung und muss manuell durch einen Klick auf die Schaltfläche ERZEUGEN in den ANWENDUNGSEINSTELLUNGEN auf der Registerkarte BASISVERZEICHNIS in den Eigenschaften des virtuellen Verzeichnisses in der IIS-Verwaltungskonsole aktiviert werden.
919
Sandini Bib
19 Anwendungsdienste
19.1.4 Der IIS als Käferfänger
Sicherung des IIS-Webservers
Der IIS-Webserver war durch CodeRed, Nimda und andere Schädlinge sehr lange als Käferfänger berüchtigt. Die Anfälligkeit für Schädlinge war nicht nur Folge unzulänglicher Programmierung, sondern wurde auch begünstigt durch die Strategie, den IIS-Webserver während der Installation immer mit voller Funktionalität auszustatten, obwohl die meisten Anwender nur ein Bruchteil davon konkret brauchen. Zur Sicherung des IIS-Webservers sollte man unter Windows XP zwei Maßnahmen ergreifen: 1. Beschränken Sie Ihre IIS-Installationen auf die notwendige Funktionalität durch Einsatz des IIS Lockdown-Werkzeugs. 2. Aktivieren Sie die IIS-Authentifizierung, sodass auf den Webserver nur die Benutzer zugreifen können, die ihn brauchen. Beschränkung der IIS-Installation auf die notwendige Funktionalität
IIS Lockdown Tool
Eine gute Methode zum Schutz vor Angriffen ist die Reduzierung der Angriffsfläche, die man potenziellen Angreifern bietet. Konkret bedeutet dies, dass man alle nicht benötigten Funktionen einer Software deaktivieren sollte. Bei der Installation der IIS 5.1 hat man in der SYSTEMSTEUERUNG leider nur wenige Auswahlmöglichkeiten. Durch Aktivierung des WWW-Dienstes werden automatisch alle Webserver-Funktionen (einschließlich aller dynamischen Webtechniken) installiert. Die nachträgliche Deaktivierung einzelner Funktionen war lange Zeit eine mühsame Aufgabe, da die Kontrolle über diese Funktionen an vielen verschiedenen Stellen der IIS-Verwaltungskonsole verstreut liegt. Microsoft stellt inzwischen aber ein kostenloses Addon mit Namen IIS Lockdown Tool zur Deaktivierung von IIS-Funktionen bereit. IIS Lockdown Tool
920
Hersteller:
Microsoft
Preis:
Kostenloses Add-on
URL:
http://www.microsoft.com/downloads/ details.aspx?FamilyID=dde9efc0-bb30-47eb-9a61fd755d23cdec&displaylang=en
Sandini Bib
Internet Information Services (IIS)
Das nur in englischer Sprache verfügbare Werkzeug (siehe Abbildung 19.6) bietet verschiedene Vorlagen oder individuelle Auswahlmöglichkeiten (Option Other). Für den Betrieb der IIS 5.1 unter Windows XP Professional kommen üblicherweise die Optionen 왘
STATIC WEB SERVER (erlaubt keine Verarbeitung auf dem Webserver) oder
왘
DYNAMIC WEB SERVER (erlaubt ASP, ASP.NET, SSI etc.)
in Frage. Wenn der Webdienst auf statische Webanwendungen beschränkt wurde, beantwortet er eingehende Anfragen für ASPund ASP.NET-Webseiten nur mit der Meldung „Object Disabled“. Die anderen Optionen beziehen sich auf die in den Windows-Server-Versionen enthaltene Version des IIS-Webservers. Die IIS 6.0 in Windows Server 2003 enthalten das IIS Lockdown-Werkzeug in veränderter Form bereits in der IIS-Konsole. Ein erneuter Aufruf des IIS Lockdown Tool stellt den vorhergehenden Zustand des IIS-Webservers wieder her. Abbildung 19.6: IIS LockdownAssistent
Das IIS Lockdown Tool bietet außerdem die Option, einen ISAPIFilter mit Namen URLScan zu installieren, der eingehende HTTP-Anfragen auf mögliche Angriffe (z.B. Pufferüberläufe) hin überprüft.
921
Sandini Bib
19 Anwendungsdienste
Aktivieren Sie die Authentifizierung
Abbildung 19.7: Deaktivieren der Anonymen Authentifizierung
Im Standard ist im IIS-Webserver der so genannte anonyme Zugriff aktiviert, d.h. ein Benutzer muss sich gegenüber den IIS 5.1 nicht authentifizieren. Sofern die IIS nicht explizit als öffentlicher Webserver zum Einsatz kommen sollen, ist dringend anzuraten, den anonymen Zugriff zu deaktivieren STANDARDWEBSITE/ VERZEICHNISSICHERHEIT/ANONYMER ZUGRIFF UND AUTHENTIFIZIERUNG/BEARBEITEN (siehe Abbildung 19.7). Authentifizierungsverfahren
In einer reinen Windows-Umgebung mit dem Internet Explorer als Webclient reicht die INTEGRIERTE WINDOWS-AUTHENTIFIZIERUNG, die sicherstellt, dass ein Client, der sich nicht an der WindowsDomäne angemeldet hat, keinen Zugriff auf die Webanwendungen bekommt. Wenn die Voraussetzungen Windows-Domäne und Internet Explorer als Client nicht erfüllt sind, bleibt noch die STANDARDAUTHENTIFIZIERUNG. Hier würde das Kennwort der Benutzer aber im Klartext zum Webserver übertragen. Nach Aktivierung der Authentifizierung erfolgen alle Zugriffe von dem Webserver auf das Dateisystem unter Nutzung des Benutzerkontos des Aufrufers. Bei Verwendung des NTFS-Dateisystems
922
Sandini Bib
Internet Information Services (IIS)
müssen Sie sicherstellen, dass alle möglichen Benutzer die Zugriffsrechte haben. Durch unterschiedliche Zugriffsrechtelisten können Sie Teile einer Webanwendung für bestimmte Benutzer sperren. Eine Beschränkung des Zugriffs auf den IIS-Webserver auf IP-Adressebene ist leider nur in den Server-Versionen der IIS verfügbar.
19.1.5
FTP-Dienst
Der FTP-Dienst der IIS besitzt grundsätzlich die gleiche Architek- Dateitransferdienst einrichten tur wie der WWW-Dienst: 왘
Ein Windows XP-System verfügt maximal über einen virtuellen FTP-Server.
왘
Ein FTP-Server kann beliebig viele virtuelle Verzeichnisse enthalten.
Der Standardpfad für den FTP-Server ist c:\inetpub\ftproot. Der Pfad kann über die Eigenschaften des Astes DEFAULT FTP SITE geändert werden. Über den Kontextmenüeintrag NEU/VIRTUELLES VERZEICHNIS können andere Pfade eingebunden werden (siehe Abbildung 19.8).
Abbildung 19.8: Einrichtung eines virtuellen Verzeichnisses für FTP-Server
923
Sandini Bib
19 Anwendungsdienste
19.1.6
SMTP-Dienst
Ein Windows XP-System kann maximal einen SMTP-Server enthalten (VIRTUELLER STANDARDSERVER FÜR SMTP), sofern die SMTPOption unter SYSTEMSTEUERUNG/SOFTWARE/WINDOWS-KOMPONENTEN/INTERNET INFORMATIONSDIENSTE (IIS) aktiviert wurde. Domänen
Die Konfiguration erfolgt im Ast DOMÄNEN. Hier kann festgelegt werden, für welche Domänen der SMTP-Server E-Mails empfangen soll. Zwar können mehrere Domänen konfiguriert werden, jedoch gibt es nur ein Ablageverzeichnis für alle eingehenden Nachrichten. Ebenso wenig kann eine Unterscheidung in verschiedene Benutzerpostfächer erfolgen.
Ablageverzeichnis
In den Eigenschaften des als Standarddomäne gekennzeichneten Eintrags kann das Ablageverzeichnis konfiguriert werden. Das Standardverzeichnis ist c:\inetpub\mailroot\drop. Alle eingehenden E-Mails werden als .eml-Dateien dort abgelegt. .eml-Dateien können mit Outlook Express geöffnet werden.
Domänen hinzufügen
Über den Kontextmenüeintrag NEU/DOMÄNE können neue Domänen hinzugefügt werden: 왘
Alias-Domänen sind alternative Domänennamen für die Standarddomäne.
왘
Remote-Domänen sind Domänennamen, für die eingehende E-Mails an andere E-Mail-Server weitergeleitet werden.
Abbildung 19.9: Festlegung des Ablageverzeichnisses für den SMTP-Server
924
Sandini Bib
Datenquellen
19.2
Datenquellen
Anwendungen, die auf Datenbanken und andere Datenquellen Datengetriebene zugreifen, müssen konfigurierbar sein, um zum Installationszeit- Anwendungen punkt den Speicherort der Daten wählen zu können. Beispielsweise darf bei einer Anwendung, die einen Microsoft SQL Server verwendet, der Name des Datenbankservers nicht fest im Programm hinterlegt sein, sondern der Administrator, der die Anwendung installiert, muss den Servernamen angeben können. Viele Anwendungen haben eigene Speicherorte und Konfigurationswerkzeuge für Datenquelleninformationen. Windows stellt jedoch zwei Standardmechanismen zur Konfiguration von Datenquellen bereit, die Anwendungen nutzen können: 왘
ODBC Data Source Names (DSN)
왘
OLEDB Universal Data Links (UDL)
Anwendungen, die sich auf diese Standardmechanismen verlassen, erkennen Sie oft daran, dass sie Dateien des Typs .udl oder .dsn im Anwendungsverzeichnis enthalten. Durch Veränderung dieser Konfigurationsdateien können Sie die Datenquelle für diese Anwendungen ändern.
19.2.1
Datenzugriffsschnittstellen unter Windows
Im Veröffentlichen von Datenbankschnittstellen hat Microsoft in Von ODBC zu ADO.NET den letzten zehn Jahren eine rekordverdächtige Vielfalt erreicht: 왘
Open Database Connectivity (ODBC)
왘
Object Linking and Embedding Database (OLEDB)
왘
Remote Data Objects (RDO)
왘
Data Access Objects (DAO)
왘
ActiveX Data Objects (ADO)
왘
ActiveX Data Objects .NET (ADO.NET)
Unterscheiden muss man dabei zwischen Low-Level- und High- Low-LevelLevel-Schnittstellen. ODBC, OLEDB und ADO.NET bieten Low- Techniken Level-Techniken mit direktem Zugriff auf die Schnittstellen der Datenbank. Jede dieser drei Low-Level-Techniken verwendet ein Treiberkonzept, um auf eine Vielzahl von Datenbanken zugreifen zu können.
925
Sandini Bib
19 Anwendungsdienste
U nm anaged C ode
M anaged C ode
ADO.NET S Q LS erver .N E T D ata P rovider
(ActiveX Data Objects .NET)
O LE D BP rovider für S Q LS erver
(ActiveX Data Objects )
RDO
(Rem ote Data Objects)
DAO
(Data Access Objects )
ODBC .N E T D ata P rovider
O LE D B .N E T D ata P rovider
OLE DB
ADO
(Object Linking and Em bedding Database))
JE T O LE D B P rovider
O LE D B P rovider für...
O LE D B P rovider für O D B C
ODBC ODBCTreiber für A ccess
(Open D atabase Connectivity)
O D B CTreiber für D B ase
O D B CTreiber für...
D B aseD atenbank datei
andere D atenquellen
Netzwerk
M icrosoft S Q L S erver
A ccessD atenbankdatei
(C ) H olg er@ S ch wich tenb e rg .de 20 02
Abbildung 19.10: Datenzugriffschnittstellen in Windows
Diese Treiber heißen:
High-LevelSchnittstellen
왘
ODBC Driver für ODBC
왘
OLEDB Provider für OLE DB
왘
Managed Data Provider für ADO.NET (.NET Data Provider)
RDO, DAO und ADO sind High-Level-Schnittstellen, die auf den Low-Level-Schnittstellen basieren. Die Remote Data Objects (RDO) und die Data Access Objects (DAO) gelten dabei als veraltet. ADO.NET ist High- und Low-Level-Schnittstelle zugleich. Die High-Level-Schnittstellen sind nur aus der Sicht der Programmierung interessant. Für die Administration sind die Low-LevelSchnittstellen und die zugehörigen Provider von Interesse. Viele Anwendungen einschließlich die Microsoft Office-Anwendungen können bislang nur ODBC oder OLEDB nutzen. ADO.NET kann nur von Anwendungen verwendet werden, die in .NET-Code (alias Managed Code) geschrieben wurden.
926
Sandini Bib
Datenquellen
19.2.2
ODBC-Datenquellen
ODBC ist eine relativ alte Datenzugriffsschnittstelle, die aber auch heute noch Bedeutung hat, da es für einige Datenquellen nur ODBC-Treiber gibt. ODBC verwendet zur Spezifikation einer Datenquelle einen so genannten Data Source Name (DSN). Zur Konfiguration von DSNs liefert Windows XP das Werkzeug DATENQUELLEN (ODBC) im Ordner START/SYSTEMSTEUERUNG/ VERWALTUNG mit. Die Anwendung kann auch über odbcad32.exe gestartet werden. Es gibt drei Arten von DSNs: 왘
Ein Benutzer-DSN steht nur einem bestimmten Benutzerkonto Benutzer-DSN zur Verfügung. Die Verbindungsinformationen werden daher (User-DSN) in der Registrierungsdatenbank benutzerbezogen gespeichert. Die Benutzer-DSNs des aktuell angemeldeten Benutzers befinden sich unter HKEY_CURRENT_USER\Software\odbc\ odbc.ini.
왘
Datenquellen, die allen Benutzern eines Computers zur Verfü- System-DSN gung stehen sollen, müssen als System-DSN abgespeichert werden. Diese Informationen liegen in der Registrierungsdatenbank unter HKEY_LOCAL_MACHINE\ Software\odbc\ odbc.ini.
왘
Ein Datei-DSN wird nicht in der Registrierungsdatenbank, Datei-DSN sondern in Form von Dateien gespeichert. Diese Dateien (File-DSN) haben die Extension .dsn und werden in einem zentralen Verzeichnis gespeichert. .dsn-Dateien sind einfache ASCII-Textdateien mit der Struktur einer .ini-Datei. Den Namen dieses Verzeichnisses finden Sie in der Registrierungsdatenbank unter HKEY_LOCAL_MACHINE\Software\ODBC\odbc.ini\ ODBC File DSN\DefaultDSNDir. [ODBC] DRIVER=SQL Native Client UID=HS DATABASE=WWWings WSID=E45 APP=Microsoft Data Access Components Trusted_Connection=Yes SERVER=E45 Description=E45
Listing 19.1: Beispiel für eine .dsn-Datei
927
Sandini Bib
19 Anwendungsdienste
Abbildung 19.11: Einrichtung eines ODBC-System-DSN für einen Microsoft SQL Server
19.2.3
OLE DB-Datenverknüpfungsdateien
OLE DB Data Links
Während ODBC-Verbindungen in der Windows-Systemsteuerung definiert werden, können Verbindungen zu OLE DB-Datenquellen überall im Dateisystem in Form von so genannten Microsoft Datenlink-Dateien definiert werden. Datenlink-Dateien haben die Dateiextension .udl. Leider gibt es in Windows XP im Windows Explorer keine direkte Möglichkeit zum Anlegen einer .udl-Datei.
Erstellen einer .udl-Datei
Zum Erstellen einer .udl-Datei legt man zunächst eine reine Textdatei an und ändert deren Extension in .udl. Durch einen Doppelklick auf diese Datei erscheint das Dialogfenster DATENVERKNÜPFUNGSEIGENSCHAFTEN. Das Fenster besitzt vier Registerkarten. Auf der ersten Registerkarte ist der Datenprovider auszuwählen. Auf der zweiten Registerkarte (VERBINDUNG) sind abhängig vom gewählten Provider Angaben zur Datenquelle zu machen, z.B.
928
왘
Rechnername des Datenbankservers bei Oracle-Datenbanken
왘
Rechnername des Datenbankservers und der Name der Datenbank bei Microsoft SQL Server-Datenbanken
왘
Pfad zur .mdb-Datei bei Microsoft Access-Datenbanken
Sandini Bib
Datenquellen Abbildung 19.12: Erstellung einer .udl-Datei für einen Microsoft SQL Server
Die Speicherung erfolgt in Unicode-Textdateien, die auch direkt Verbindungsmit einem Unicode-fähigen Texteditor bearbeitet werden können. zeichenfolgen Eine .udl-Datei enthält die Spezifikation der Datenquelle in Form einer so genannten Verbindungszeichenfolge, bei der die einzelnen Parameter durch Semikola getrennt sind. [oledb] ; Everything after this line is an OLE DB initstring Provider=Microsoft.Jet.OLEDB.4.0;Persist Security Info=False;User ID=admin;Data Source=D:\buch\daten.mdb
Sie sollten eine .udl-Datei nur dann direkt mit einem Texteditor Listing 19.2: manipulieren, wenn Sie mit der Bedeutung der einzelnen Einstel- Beispiel für eine lungen gut vertraut sind. Sie müssen bei diesem Vorgehen selbst .udl-Datei auf die Konsistenz der Einstellungen achten, was normalerweise das UDL-GUI für Sie erledigt. Sicherheitshinweis In .udl- und .dsn-Dateien gespeicherte Kennwörter werden nicht verschlüsselt.
929
Sandini Bib
19 Anwendungsdienste
19.3
Komponentendienste
Zum Standardinstallationsumfang von Windows XP gehört ein Anwendungsserver für Softwarekomponenten, die gemäß dem Component Object Model (COM) oder dem .NET Framework entwickelt wurden. Der Anwendungsserver wird auch COM+ oder .NET Enterprise Services genannt. Die Komponentendienste wurden erstmalig mit dem Windows NT 4.0 Option Pack eingeführt und hießen dort noch Microsoft Transaction Server (MTS).
19.3.1 Dienste für Komponenten
Der Anwendungsserver bietet für Softwarekomponenten insbesondere folgende Funktionen an: 왘
Distributed Transaction Coordinator (verteilte Transaktionen über unterschiedliche Datenbanken)
왘
Just-in-Time-Activation (Bevorratung von Softwarekomponenten im Speicher)
왘
Objekt-Pooling (Bevorratung von Objektinstanzen im Speicher)
왘
Shared Properties (gemeinsame Datenbereiche für alle Instanzen verschiedener Klassen)
왘
Queued Components (Warteschlangen für Methodenaufrufe)
왘
Rollenbasierte Sicherheitseinstellungen auf Schnittstellen- und Methodenebene
왘
Bereitstellung von Komponenten als Windows-Dienste
왘
Bereitstellung von Komponenten zum Aufruf via HTTP/ SOAP
19.3.2 Installation
Leistungen der Komponentendienste
Installation von Softwarekomponenten
Softwarekomponenten, die die Komponentendienste nutzen wollen, müssen durch eine spezielle Prozedur im Katalog der Komponentendienste registriert werden. Dazu gibt es verschiedene Wege: 왘
Verwendung eines MSI-Installationspakets
왘
Manuelle Installation über das MMC-Snap-In KOMPONENTENDIENSTE
왘
930
Manuelle Installation mit dem Kommandozeilenwerkzeug Regsvcs.exe
Sandini Bib
Komponentendienste 왘
Nutzung der Scripting-fähigen COM-Komponente zur Steuerung des Komponentendienste-Katalogs (comadmin.dll)
왘
.NET-Softwarekomponenten können sich beim ersten Start automatisch in den Katalog eingetragen, wenn diese dort noch nicht vorhanden sind (First Use Lazy Registration).
Nicht alle COM- oder .NET-Komponenten benötigen die Windows-Komponentendienste. Komponenten, die die Dienste nicht benötigen, sind hier auch nicht registriert. Der Ast DCOMKONFIGURATION enthält Konfigurationsdaten für viele nicht in den Komponentendiensten registrierte COM-Komponenten. Ein zentraler Konfigurationsort für .NET-Komponenten existiert nicht. Diese werden – sofern überhaupt notwendig – dezentral über XML-basierte Konfigurationsdateien gesteuert.
19.3.3
Konfiguration der Komponentendienste
Der Anwendungsserver wird über das MMC-Snap-In KOMPO- KonfigurationsNENTENDIENSTE konfiguriert. Übliche Konfigurationsaufgaben für aufgaben den Administrator sind hier: 왘
Erstellen einer neuen Anwendung (NEU/ANWENDUNG im Kontextmenü des Astes COM+-ANWENDUNGEN)
왘
Aufnahme von Komponenten (NEU/KOMPONENTE im Ast KOMPONENTEN der jeweiligen Anwendung)
왘
Konfiguration der zu nutzenden Dienste im Eigenschaftenfenster einer Komponente
왘
Einrichten von Rollen (NEU/ROLLE im Ast ROLLEN)
왘
Zuordnung von Windows-Benutzern bzw. -Gruppen zu Rollen (NEU/BENUTZER im Ast ROLLEN/ROLLENNAME/BENUTZER)
왘
Vergabe von Rechten für Benutzer in der Registerkarte SICHERHEIT in den Eigenschaften einer Komponente, Schnittstelle oder Methode
왘
Auswertung der Transaktionsstatistik (Ast DISTRIBUTED TRANSACTION COORDINATOR/TRANSAKTIONSSTATISTIK)
931
Sandini Bib
19 Anwendungsdienste
Abbildung 19.13: Zuordnung eines Windows-Benutzers zu einer Rolle in den Komponentendiensten
Abbildung 19.14: Zuordnung von Aufrufrechten für eine Schnittstelle zu einer Rolle
932
Sandini Bib
.NET Framework-Anwendungen
Abbildung 19.15: Anzeige der Transaktionsstatistik
Die einzelnen Einstellungsmöglichkeiten für die Dienste in dem Application Server sollen hier nicht weiter erörtert werden, weil dies ein sehr entwicklungslastiges Thema ist, das viele fortgeschrittene Programmierkenntnisse erfordert. Wenn Sie als Administrator mit der Konfiguration einer Anwendung konfrontiert werden, die die Komponentendienste nutzt, sollte der Hersteller der Anwendung Informationen über die für diese spezielle Anwendung sinnvollen Optionen liefern.
19.4
.NET FrameworkAnwendungen
Das Microsoft .NET Framework ist eine Laufzeitumgebung für Managed Code Anwendungen, die mit einer so genannten .NET-fähigen Programmiersprache (z.B. C#, Visual Basic ab Version 7.0, J# etc.) entwickelt wurden. .NET-Anwendungen, die auch als Managed Code bezeichnet werden, können nur mit dieser Laufzeitumgebung ausgeführt werden. Das .NET Framework gehört nicht zum Standardinstallationsumfang von Windows XP, da die Version 1.0 des Framework erst im Januar 2002 erschienen ist.
933
Sandini Bib
19 Anwendungsdienste
.NET für Unix, Linux und Mac OS Mit dem Open Source-Produkt Novell Mono [MON01] steht inzwischen eine kompatible Portierung des .NET Framework für andere Betriebssysteme zur Verfügung, sodass viele Anwendungen ohne Neukompilierung portiert werden können.
19.4.1 Installation
Installation
Die .NET Framework-Versionen 1.0, 1.1 und 2.0 können in Windows XP als optionales Add-on installiert werden. Die drei Framework-Versionen können dabei parallel vorhanden sein (Verzeichnis c:\Windows\Microsoft .NET\Framework) und jeweils Anwendungen bedienen, die für die entsprechende FrameworkVersion geschrieben wurden. Um die Webentwicklungsplattform ASP.NET zu nutzen, sollte man zunächst den IIS-Webdienst installieren und erst danach das Microsoft .NET Framework. Durch die Installation des .NET Framework wird ASP.NET automatisch in einem vorhandenen lokalen IIS-Webserver registriert. Wenn das .NET Framework schon vorhanden ist und die IIS nachträglich installiert werden, muss man allerdings nicht das komplette .NET Framework neu installieren. Im Installationsverzeichnis des .NET Framework (c:\Windows\.NET Framework\\) existiert zur Kopplung von ASP.NET und dem Webdienst ein Kommandozeilenwerkzeug aspnet_regiis.exe, das man zur Registrierung von ASP.NET im IIS-Webserver so aufruft: aspnet_regiis –i
19.4.2 Aufgaben für die Administration
Konfiguration
Administrative Aufgaben können im .NET Framework an zwei Stellen anfallen: 왘
Konfiguration des .NET-Sicherheitssystems
왘
Konfiguration der Abhängigkeiten von Softwarekomponenten
Konfiguration des .NET-Sicherheitssystems Das .NET-Sicherheitssystem (alias Code Access Security – CAS) besteht aus zwei Kernbausteinen: Code-Gruppen
934
왘
Mit Codegruppen (Code Groups) grenzt man verschiedene Herkunftsquellen von Programmcode voneinander ab. Eine CodeGruppe basiert auf einer Eigenschaft der Anwendung oder
Sandini Bib
.NET Framework-Anwendungen
Herkunftsbedingung. Mögliche Bedingungen sind Hash, Publisher, Site, Strong Name, URL, Zone. 왘
Ein Berechtigungssatz (Permission Set) ist eine definierte Menge Berechtigungsvon Rechten. Es gibt verschiedene Systemobjekte, auf die sätze Rechte vergeben werden können. Systemobjekte sind zum Beispiel DIRECTORY SERVICES, DNS, EVENT LOG, FILE IO, OLE DB, PRINTING, REGISTRY, USER INTERFACE und FILE DIALOG.
Ein Administrator kann im MMC-Snap-In .NET FRAMEWORKKONFIGURATION im Ast LAUFZEITSICHERHEITSRICHTLINIE sowohl Code-Gruppen als auch Berechtigungssätze definieren. Häufig wird es aber nur erforderlich sein, dass man einer vorhandenen (bzw. bei Installation einer Anwendung erzeugten) Gruppe einen bestimmten Berechtigungssatz zuweist. Die Speicherung dieser Informationen erfolgt in XML-Dateien im Verzeichnis c:\Windows\.NET Framework\\config.
Abbildung 19.16: Zuordnung eines Berechtigungssatzes zu einer Code-Gruppe
935
Sandini Bib
19 Anwendungsdienste
Konfiguration der Abhängigkeiten von Softwarekomponenten Assembly Resolver
Anwendungskonfigurationsdateien bearbeiten
936
Softwarekomponenten im .NET Framework (alias Assemblies) können auf andere Komponenten (.exe oder .dll) verweisen und diese nutzen. Das .NET Framework verwendet im Gegensatz zu früheren Ansätzen zum Auffinden einer referenzierten Komponente weder ein zentrales Verzeichnis wie System32 noch die Registrierungsdatenbank, sondern ein so genannter Assembly Resolver sucht die Komponente relativ zum Standort der Anwendung. Dabei wird die in der Anwendung hinterlegte Versionsnummer der referenzierten Softwarekomponente berücksichtigt. Durch XML-basierte Anwendungskonfigurationsdateien mit der doppelten Dateiextension .exe.config kann die Arbeit des Assembly Resolver spezifisch für jede einzelne Anwendung beeinflusst werden.Hier können zwei typische Konfigurationsaufgaben anfallen: 왘
Festlegung der Suchpfade für den Assembly Resolver
왘
Umlenkung einer Version, sodass der Assembly Resolver eine Softwarekomponente in einer anderen Version als der in der Anwendung hinterlegten akzeptiert. Diese Option existiert nur für digital signierte Softwarekomponenten.
Anwendungskonfigurationsdateien können direkt durch einen XML-Editor (oder einen einfachen Texteditor) bearbeitet werden oder durch das MMC-Snap-In .NET FRAMEWORK-KONFIGURATION. In der MMC muss eine zu konfigurierende Anwendung zunächst zum Ast ANWENDUNGEN hinzugefügt werden (HINZUFÜGEN im Kontextmenü). In den Eigenschaften der Anwendung können dann Suchpfade für die verwendeten Komponenten angegeben werden. Im Ast KONFIGURIERTE ASSEMBLIES können Versionsumlenkungen oder dedizierte Standorte für einzelne Assemblies festgelegt werden.
Sandini Bib
.NET Framework-Anwendungen
Abbildung 19.17: Festlegung von Suchpfaden
Abbildung 19.18: Festlegung einer Versionsumlenkung
937
Sandini Bib
Sandini Bib
20
Ausblick auf Windows 2006/ 2007 „Longhorn“ Dr. Holger Schwichtenberg
Mitte des Jahres 2006 soll das nächste Windows-Client-Betriebs- Nachfolger für system als Nachfolger von Windows XP erscheinen. Für Mitte XP und 2003 2007 ist dann auch ein neues Server-Betriebssystem als Nachfolger von Windows Server 2003 angekündigt. Der Codename für beide Projekte ist „Longhorn“. Dieses Kapitel gibt Ihnen einen Ausblick auf die neuen Funktionen in Longhorn. Ursprünglich war Longhorn nur als Client-Betriebssystem vorgesehen. Im April 2004 hat Microsoft seine Meinung dazu geändert [CW01]. Windows Longhorn wird die Versionsnummer 6.0 tragen. Windows 2000 war 5.0, Windows XP war 5.1, Windows Server 2003 war 5.2. Zu erwarten sind also mehr Neuerungen als in XP und 2003. Aktuelle Version 6.0.4074 Dieses Kapitel basiert auf der Longhorn-Version 6.0.4074, die auf der Windows Hardware Engineering Conference (WinHEC)-Konferenz im Mai 2004 verteilt wurde und für MSDN-Abonnenten zugänglich ist. Die erste Beta-Version soll im Sommer 2005 erscheinen – leider einige Tage nach dem Redaktionsschluss für dieses Buch. Der Name „Longhorn“ Ein „Longhorn“ ist eine amerikanische Rinderrasse. Eigentlicher Namensgeber ist aber nicht das Rind, sondern eine Gaststätte (amerik.: „Saloon“) in British Columbia. Der Saloon „Longhorn“ liegt zwischen den Bergen Whistler und Blackcomb. Whistler war der Codename für Windows XP und Windows Server 2003. Blackcomb war der ursprüngliche Codename für den Nachfolger von Whistler. Microsoft hat sich dann aber entschlossen, noch eine Zwischenversion auf den Markt zu bringen. Der Saloon „Longhorn“ liegt auf dem Weg von Whistler nach Blackcomb.
939
Sandini Bib
20 Ausblick auf Windows 2006/2007 „Longhorn“
20.1 Image-Technik
Windows Longhorn nutzt bei der Installation eine Image-Technik, bei der nicht mehr einzelne Dateien installiert werden, sondern die ganze Struktur des Windows-Verzeichnisses komplett auf die Festplatte transferiert wird. Nach dem Kopiervorgang erfolgt die Anpassung an die vorhandene Hardware. Der Installationsvorgang soll in der endgültigen Version von Longhorn nur 15 Minuten dauern.
20.2 Avalon
Installation
BenutzerschnittstellenFramework „Avalon“
Windows Longhorn wird nicht nur eine neue Benutzeroberfläche besitzen, sondern auch ein völlig neues Framework zur Erstellung von Benutzeroberflächen mit Namen „Avalon“. Dieses Framework kann von Entwicklern auch zur Erstellung eigener Anwendungen genutzt werden. Avalon soll ebenfalls als Add-on für Windows XP und Windows Server 2003 bereitgestellt werden. Neue Funktionen Gegenüber dem bisherigen Windows-GUI soll Avalon u.a. folgende Vorteile bieten:
940
왘
Avalon ist komplett vektorbasiert und liefert damit in jeder Bildschirmauflösung eine optimale Darstellung.
왘
Avalon unterstützt neben dem starren Layout auch ein an die Fenstergröße angepasstes Fluss-Layout wie bei HTML (Adaptive Flow).
왘
Beliebige Steuerelemente können transparent werden.
왘
Steuerelemente können in jedem beliebigen Winkel rotieren.
왘
Steuerelemente können dreidimensional dargestellt werden.
왘
Für alle Texteingabesteuerelemente werden Dienste wie Rechtschreibprüfung sowie Sprach- und Stifteingabe vom Betriebssystem angeboten.
Sandini Bib
Benutzerschnittstellen-Framework „Avalon“
Grundkonzept Mit Avalon überträgt Microsoft das Grundkonzept von ASP.NET- Trennung von bzw. DHTML-Webanwendungen auf Windows-Benutzerober- Code und Layout flächen: 왘
Das Layout wird durch eine tagbasierte Sprache beschrieben. Diese Sprache ist eine XML-Sprache, die Microsoft XML Application Markup Language (XAML) nennt.
왘
Das Verhalten wird in davon separaten Codeblöcken oder -dateien definiert. Als Programmiersprache können hier alle .NET-Sprachen eingesetzt werden.
Wie bei den bisherigen Windows-Anwendungen besteht ein Fenster aus einer Menge von Steuerelementen. Neu für die WindowsProgrammierung ist, dass wie in ASP.NET die Steuerelemente durch XML-Elemente definiert und hinsichtlich ihrer Eigenschaften beschrieben werden. Ebenfalls aus ASP.NET übernommen wurde das Konzept, dass zu jedem XML-Elementtyp genau eine .NET-Klasse gehört. Tagbasierte Windows-Anwendungen waren bisher nur durch so genannte HTAs (HTML Applications) möglich, die jedoch kaum Verwendung fanden. Avalon Demo (C) Dr. Holger Schwichtenberg Border> Bitte geben Sie Ihren Benutzernamen ein! Benutzername TextBox> <Button DockPanel.Dock="Top" Height="30px" Width="100px" Margin="10,10,10,10">Login
Listing 20.1: XAML-Code einer einfachen AvalonAnwendung
941
Sandini Bib
20 Ausblick auf Windows 2006/2007 „Longhorn“
20.3
Benutzerschnittstelle „Aero“
„Aero“ ist der Codename für die konkrete Benutzerschnittstelle in Windows Longhorn, die auf Basis von Avalon entwickelt wird. Aero wird u.a. folgende Neuerungen bieten: 왘
Vertikale Sidebar zur Anzeige/Ablage von Informationen
왘
Windows Explorer mit neuen Anzeigeoptionen für Dateien und mit schneller Dateisuche
Sidebar Vertikale Leiste
Die neue vertikale Leiste dient der Anzeige von (aktuellen) Informationen. Die Informationen können sowohl vom lokalen System stammen als auch vom Netzwerk bezogen werden. Informationen werden in so genannten Tiles angezeigt, die man mit einer .NETSprache entwickeln kann. Im derzeitigen Auslieferungszustand enthält die Sidebar u.a. eine Uhr, Schnellstart-Symbole, eine Dia-Show sowie eine Zwischenablage für Dateien. Die Datei-Zwischenablage nennt sich Basket. Durch Drag&Drop einer Datei auf den Basket erstellt der Windows-Nutzer dort eine Verknüpfung zu der Datei. Durch eine Animation zeigt der Basket beim Fallenlassen der Datei, wie viele Dateien sich aktuell im Basket befinden. Nach Ende der Animation werden die enthaltenen Dateien durch überlappende, leicht verzerrte Symbole dargestellt.
Abbildung 20.1: Windows "Longhorn" Startmenü und Sidebar mit Basket
942
Sandini Bib
Dateisystem
Windows Explorer 6.0 Im Windows Explorer 6.0 findet man u.a. folgende Neuerungen: 왘
Zoom-Regler zur Steuerung der Ansichten der Dateien
왘
Für Grafik-Dateien zeigt der Windows Explorer beim Berühren mit der Maus eine Vergrößerung an.
왘
Dateien können nach Kriterien gruppiert werden. Der Windows Explorer zeigt die Gruppen in Stapeln unterschiedlicher Höhe an.
왘
Die Geschwindigkeit der Suche nach Dateien soll erheblich beschleunigt werden.
Neue Dateiexplorer
Abbildung 20.2: Windows Explorer mit Stapeln und Bildvergrößerung
Systemsteuerung Die neue Windows-Systemsteuerung soll eine dreidimensionale Intuitivere Darstellung der verschiedenen Hardware-Bausteine zusammen Systemsteuerung mit einem aufgabenbasierten Menü bieten. Unerfahrene Benutzer sollen somit schneller zum Ziel kommen.
20.4
Dateisystem
Microsoft entwickelt im Rahmen von Windows Longhorn ein WinFS neues Dateisystem WinFS, das auf einer Microsoft SQL Server 2005-Datenbank basiert. WinFS ist kein Ersatz für, sondern ein Aufsatz auf NTFS.
943
Sandini Bib
20 Ausblick auf Windows 2006/2007 „Longhorn“
WinFS soll im Sinne des Unified Storage-Ansatzes ein universeller Datenspeicher für Dateien, editierbare Metadaten, E-Mails und Kontakte werden. Die speicherbaren Daten sind durch Anwendungen erweiterbar. Die Synchronisation mit anderen Datenspeichern (z.B. WinFS auf anderen Computern sowie Pocket PCs und Exchange Server) soll möglich sein. Vorteile des WinFS-Konzepts sind: 왘
Zentrale Speicherung von Daten, die auch eine zentrale Sicherung ermöglicht
왘
Möglichkeit, Informationen miteinander zu verknüpfen
왘
Schnelle Suche nach Informationen
Terminverschiebung Microsoft hat inzwischen aber angekündigt, dass WinFS nicht Mitte 2006 zusammen mit dem Longhorn Client erscheinen wird, sondern später als kostenloses Add-on angeboten werden wird.
20.5 IE 7.0, IIS 7.0, Indigo, NAP
944
Netzwerk
Im Bereich der Netzwerkdienste und -anwendungen sind u.a. folgende Neuerungen angekündigt: 왘
Der Internet Explorer 7.0 wird neue Sicherheitsfunktionen sowie das Browsen mit Registerkarten (Tabbed Browsing) unterstützen.
왘
In Windows Longhorn wird bereits im Client der neue Webserver Internet Information Server 7.0 enthalten sein. Gegenüber dem bisherigen IIS 5.1 in Windows XP soll der neue Webserver fast alle Funktionen des IIS 6.0 von Windows Server 2003 erhalten. Außerdem vereinfachte Microsoft die Konfiguration und Administration des Servers, indem das aus ASP.NET bekannte XML-basierte Konfigurationsmodell auf den Server übertragen wird. Der IIS 7.0 ist komplett durch .NET-Code programmierbar.
왘
Die Kommunikationsinfrastruktur Indigo bietet Entwicklern ein neues Programmiermodell für verteilte Anwendungen. Bisherige Konzepte von DCOM, MSMQ, .NET Remoting und XML-Webservices sollen darin enthalten sein.
왘
Network Access Protection (NAP) beschränkt den Netzwerkzugang für Computer, die bestimmte Voraussetzungen (z.B. installierte Virenscanner) nicht erfüllen.
Sandini Bib
Administrationswerkzeuge 왘
Für Heimanwender und kleine Firmen will Microsoft ein neues Konzept für die gemeinsame Nutzung von Benutzerkonten auf mehreren Computern integrieren. Das „Castle“ genannte Konzept ermöglicht die Vergabe von Rechten für Benutzerkonten auf anderen Computern ohne die Notwendigkeit, eine eigene Domäne zu betreiben.
20.6
Administrationswerkzeuge
Für die Administration bietet Longhorn u.a. folgende Neuerungen: 왘
Der Windows-Zeitplandienst wird zum Ereignisagenten ausge- Agenten baut, der auf beliebige Zustandsänderungen im System mit Benachrichtigungen oder vorher festgelegten Aktionen reagiert.
왘
Das Windows-Ereignisprotokoll wird eine stärkere Strukturie- Ereignisprotokoll rung von Daten unterstützen. Ereignisprotokolle mehrerer Rechner sollen auf einem Computer aggregiert werden können.
왘
Ein neues Command Line Interface mit Namen Microsoft Shell MSH (MSH) bietet ein Pipelining mit strukturierten Objekten, sodass komplexe Befehlsketten möglich werden, ohne dass Zeichenketten analysiert werden müssen. Die Befehlsfolge get-process | sort-object –p cpu | out-excel
exportiert eine nach CPU-Belastung sortierte Liste der laufenden Prozesse in eine Excel-Tabelle. MSH ist eine Unix-artige Shell, die aber intern komplett auf dem .NET Framework basiert. Die MSH wird auch für Windows XP und Windows Server 2003 verfügbar sein. Eine Stärke der MSH ist auch die Bereitstellung von mächtigen Befehlen zur Kommunikation mit Datenquellen und Anwendungen. get-process
|
sort-object –p cpu
|
out-excel DownstreamCommandlet
UpstreamCommandlet
Commandlet #3 out-excel
Inputpipeline
Outputpipeline
Commandlet #2 sort-object
Inputpipeline
Objekt vom Typ System.Diagnostics.Process
Outputpipeline
Commandlet #1 get-process
Abbildung 20.3: Pipelining mit Objekten in der Microsoft Shell
MSH Pipeline Processor .
945
Sandini Bib
20 Ausblick auf Windows 2006/2007 „Longhorn“
Abbildung 20.4: Ausgabe von Prozessdaten in ein Windows-Fenster mit der MSH
20.7 NGSCB
Microsoft hat für Longhorn eine neue Sicherheitsarchitektur mit dem Namen Next-Generation Secure Computing Base (NGSCB, Codename „Palladium“), angekündigt, welche Anwendungen von dem Betriebssystem und anderen Anwendungen abschotten und die Fähigkeiten der Anwendungen beschneiden kann. Dadurch soll nicht nur schädliche Software isoliert, sondern auch das Abspielen nicht lizenzierter Medien beschränkt werden.
20.8 WinFX
946
Sicherheit
Programmierschnittstellen
Longhorn besitzt eine neue, auf Managed .NET-Code basierende Programmierschnittstelle mit Namen Windows Frameworks (WinFX). WinFX ist ein weiterer Schritt auf dem Weg, das Betriebssystem in .NET-Code zu reimplementieren.
Sandini Bib
A
Anhang
A.1
Inhalt der CD-ROM
Diesem Buch liegt eine CD-ROM bei. Die CD-ROM enthält Werkzeuge, Skripte und Windows-Add-on, die in diesem Buch genannt sind. Diese Inhalte sind kapitelweise sortiert. Als kostenloses Bonusmaterial enthält die CD-ROM alle Skripte Bonusmaterial aus dem Buch Holger Schwichtenberg: Windows Scripting Lernen 2. Auflage Addison Wesley, 2004 ISBN 3-8273-2170-0 http://www.it-visions.de/books/wl2.aspx Hinweise des Verlags zu der CD Bei einem physikalischen Defekt senden Sie bitte die CD mit einer genauen Fehlerbeschreibung an unseren Support. Diese wird Ihnen dann kostenlos ausgetauscht. Vorher sollten Sie die CD aber testen, testen und nochmals testen. Keinen Support können wir Ihnen für Programme von Drittanbietern, sei es Shareware, Freeware oder Demo-Software, geben. In diesem Fall wenden Sie sich bitte an den entsprechenden Hersteller des Produkts. Kontaktadressen finden Sie gewöhnlich in der jeweiligen Readme-Datei. Shareware-Programme dürfen für eine festgelegte Testzeit kostenlos getestet werden. Nach Ablauf dieser Testzeit müssen Sie diese Programme entweder von der Festplatte löschen oder Sie müssen sich als Benutzer bei dem entsprechenden Hersteller registrieren lassen. In der Regel ist die Software, die in unseren Büchern besprochen wird, nicht Teil des Lieferumfangs. Bei Fragen dazu wenden Sie sich an den entsprechenden Software-Hersteller.
947
Sandini Bib
A Anhang
Kontaktieren können Sie uns unter: Addison-Wesley Verlag Technischer Support Martin-Kollar-Straße 10 - 12 81829 München Telefon: 089/46003-371 E-Mail: [email protected]
A.2
Leser-Service
Den Lesern dieses Buches werden von den Autoren einige Service-Leistungen im Rahmen einer zugangsbeschränkten Website angeboten. Service-Angebot Auf der Leser-Website stehen u.a. folgende Angebote für registrierte Leser bereit: 왘
Diskussionsrunde: Webbasiertes Forum mit der Möglichkeit, Fragen an die Autoren zu stellen. Bitte beachten Sie jedoch, dass dies eine freiwillige Leistung der Autoren ist und kein Anspruch auf eine kostenlose Betreuung besteht.
왘
Downloads: Aktualisierte und ergänzte Versionen der CDInhalte zu diesem Buch sowie zahlreiche weitere Skripte.
왘
Newsletter: Alle registrierten Leser erhalten mehrmals jährlich einen Newsletter.
왘
Leser-Bewertung: Geben Sie Noten für dieses Buch und lesen Sie nach, was andere Leser von diesem Buch halten.
왘
Errata: Trotz eines erprobten Vorgehensmodells und der mehrfachen Qualitätskontrolle ist es möglich, dass sich einzelne Fehler in dieses Buch eingeschlichen haben. Im Webportal können Sie nachlesen, welche Fehler gefunden wurden. Sie können hier auch selbst Fehler melden, die Ihnen auffallen.
Zugang zum Leser-Portal Der URL für den Zugang zum Leser-Portal lautet: http://www.IT-Visions.de/leser Bei der Anmeldung müssen Sie das Kennwort DeepSpace9 angeben.
948
Sandini Bib
Abkürzungsverzeichnis
A.3 ACPI
Abkürzungsverzeichnis Advanced Configuration and Power Interface
AFP
Apple Filing Protocol
AGP
Accelerated Graphics Port
APIPA
Automatic Private IP Addressing
APM
Advanced Power Management
CA
Certification Authority
CDFS
Compact Disk File System
CGI
Common Gateway Interface
CIM
Custom Installation Wizard
CLI
Command Line Interface
DDI
Device Driver Interface
DHCP
Dynamic Host Configuration Protocol
DMA
Direct Memory Access
DSN
Data Source Name
EFS
Encrypted File System
EMF
Enhanced MetaFile
FAT
File Allocation Table
FTP
File Transfer Protocol
GDI
Graphical Device Interface
GPC
Gruppenrichtliniencontainer
GPMC
Group Policy Management Console
GPO
Gruppenrichtlinienobjekt
GPT
Gruppenrichtlinienvorlage
GUI
Graphical User Interface
ICMP
Internet Control Message Protocol
ID
Intrusion Detection
IEAK
Internet Explorer Administration Kit
IIS
Internet Information Services
IPP
Internet Printing Protocol
IRM
Information Rights Management
IRQ
Interrupt Request
ISU
Installer Setup Utility
KDC
Key Distribution Center
LAN
Local Area Network
LPR
Line Printer Remote
949
Sandini Bib
A Anhang
LSA
950
Lokale Sicherheitsautorität
MBR
Master-Boot-Record
MBSA
Microsoft Baseline Security Analyzer
MIME
Multi-purpose Internet Mail Extension
MMC
Microsoft Management Console
MRU
Most Recently Used
MSUAM
Microsoft User Authentication Method
NAP
Network Access Protection
NGSCB
Next-Generation Secure Computing Base
NTFS
New Techology File System
NTLM
NT LAN Manager
NTVDM
Virtual DOS Machine
OE
Outlook Express
P2P
Peer-to-Peer
PCI-e
PCI-Express
PIC
Programmable Interrupt Controller
PNP
Plug&Play
POP3
Post Office Protocol Version
PXE
Preboot eXecution Environment
RAID
Redundant Array of Inexpensive Disks
RAS
Remote Access Service
RIS
Remote-Installationsdienste
RPC
Prozeduraufruf
RSoP
Resultant Set of Policy
SFM
Services for Macintosh
SFU
Services for Unix
SID
Security Identifier
SMS
Systems Management Server
SMTP
Simple Mail Transfer Protocol
SNMP
Simple Network Management Protocol
SPM
Standard-Portmonitor
ttf
True Type Font
UDB
Uniqueness Database
UDF
Uniqueness Database File
UDF
Universal Disk Format
UNC
Universal Naming Convention
Sandini Bib
Die Icons in diesem Buch
UPNP
Universal Plug&Play
USB
Universal Serial Bus
USMT
User State Migration Tool
VPN
Virtual Private Network
WDM
Win32 Driver Model
WebDAV
Web-Based Distributed Authoring and Versioning
WEP
Wired Equivalent Privacy
WLAN
Wireless LAN
WMI
Windows Management Instrumentation
WMIC
Windows Management Instrumentation Command Line Tool
WOL
Wake-On-LAN
WSUS
Windows Server Update Services
WUS
Windows Update Services
WZC
Wireless Zero Configuration
A.4
Die Icons in diesem Buch
Im vorliegenden Buch sind wichtige Hinweise und Einschübe durch einen grauen Kasten hinterlegt. Zusätzlich werden drei Icons verwendet, um bestimmte Informationen besonders hervorzuheben: Interessante Hintergrundinformationen, die Besonderheiten des gerade besprochenen Themas beinhalten. Warnung vor Bugs oder möglichen Schwierigkeiten
Tipps und Tricks
A.5
Literatur und Links
[CW01]
Sinneswandel: Longhorn kommt nun doch als Server
http://www.computerwoche.de/index.cfm?pageid =255&artid=60413
[ITV01]
WSH-Script-Editoren im Vergleich
http://www.it-visions.de/ Scripting/ScriptEditoren.aspx
951
Sandini Bib
A Anhang
952
[MON01]
Novell Mono Website
http://www.go-mono.org
[MSI31]
Windows-Installer 3.1
http://support.microsoft.com/?id=893803
[ORK]
Office Resource Kit
http://office.microsot.com/ dede/assistance/default.aspx
[Pöp01]
Christian Pöpel: IIS unter Windows XP Home Edition
http://www.devtrain.de/ news.aspx?artnr=799
[Sch01]
H. Schwichtenberg: COM-Komponentenhandbuch
Addison-Wesley, 2001
[Sch02]
H. Schwichtenberg: Microsoft Press, 2003 ASP.NET - Das Entwicklerbuch
[Sch04]
H. Schwichtenberg: Windows Scripting, 4. Auflage
Addison-Wesley, 2004
[Sch04b]
H. Schwichtenberg: Windows Scripting Lernen, 2. Auflage
Addison-Wesley, 2004
[Sch05]
H. Schwichtenberg: .NET 2.0 Crashkurs
Microsoft Press, 2005
[SMSIS]
SMS-Installer
http://www.microsof.com/ smserver/downloads.
[Technet244617]
Verwendung der Treiber- Technet-Artikel Nummer überprüfung zur Be244617 handlung von Treiberproblemen in Windows
[Technet257718]
Erstellen eines MSIDrittanbieterpakets (Microsoft Installer)
Technet-Artikel Nummer 257718
[WK01]
Windows-Katalog
http://www.microsoft.com/ whdc/hcl/default.mspx
[WS01]
Deutsche Windows Scripting-Website
http://www.windows-scripting.com
[WU01]
Windows-Update
http://www.windowsupdate.com
[WUS01]
Windows-Update Services
http://www.microsoft.com/ windowsserversystem/wus/ default.mspx
Sandini Bib
B
Anhang
Dieser Anhang enthält eine Referenz von Zusatzwerkzeugen für Windows XP. Ein Teil dieser Werkzeuge wurde in diesem Buch vorgestellt oder erwähnt. Diese Liste erhebt keinen Anspruch auf Vollständigkeit. Eine ständig aktualisierte Liste zusammen mit kurzen Beschreibungen der Werkzeuge finden Sie unter http://www.IT-Visions.de/Windows/Tools.aspx
B.1
Installation
Ghost Hersteller: Symantec http://www.symantec.com/region/de/product/ghost/ pe_index.html WinInstall Hersteller: Veritas Software http://www.veritas.com Wise for Windows-Installer Hersteller: Wise Solutions http://www.wisesolutions.com
B.2
Benutzeroberfläche
Telltime Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/Desktop/ PC-Stop-it Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/ System-Tools/
953
Sandini Bib
B Anhang
ShutDownKönig Hersteller: Rainer Kolbeck http://www.shutdownking.de/ Desktop Twister Hersteller: Vossware http://www.vossware.com Winexit-Pro Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/SystemTools/ MECK Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/Desktop/ Hotkey-Detektiv Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/Desktop/ Ghostwriter Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/Desktop/ Formfiller Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/Desktop/ Copy 'n' Paste Hersteller: Internetdienste Sebastian Albrecht http://www.inseal.de/software/copynpaste.html
B.3
Dateisystem
Fast File Undelete Hersteller: Dtidata.com http://www.dtidata.com/products_ff_undelete.asp File Works Hersteller: innovative bytes http://www.gkoeder.de/ Click-Crypt Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/DateiTools/
954
Sandini Bib
Dateisystem
WinRar Hersteller: Rarlab http://www.winrar.de/ Partition Image Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/ System-Tools/ WinDirStat Hersteller: Open Source http://windirstat.sourceforge.net/ Dircomp Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/ Datei-Tools/ NTFS Link Hersteller: Michael Elsdörfer http://www.elsdoerfer.net/ntfslink/ WinbolicLink Hersteller: pearlmagik http://www.pearlmagik.com/winbolic/ Junction Link Magic Hersteller: Rekenwonder Software http://www.rekenwonder.com/linkmagic.htm Nero Hersteller: Ahead http://www.nero.com/de/ Flooter Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/ System-Tools/ Autorun-Manager Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/ CD-Utilitys/ Disk-Space-Meter-XP Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/ System-Tools/
955
Sandini Bib
B Anhang
Context Magic Hersteller: Context Magic http://www.contextmagic.com/menu-extension/ Recover For All Hersteller: Advanced Utilities GmbH http://ourworld.compuserve.com/homepages/Kaus/ homepage.htm Rename-It Hersteller: SCP-Solutions http://www.scp-solutions.com/renameit.html Hash Tab Hersteller: Cody Batt http://beeblebrox.org/hashtab/ Dir-it Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/ Datei-Tools/ TestDisk Hersteller: Open Source http://www.cgsecurity.org/index.html?testdisk.html CD-Autostart-Manager Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/ CD-Utilitys/ DiskSpy Hersteller: Miray http://www.miray.de/de/products/sat.diskspy.html Total Copy Hersteller: Ranvik http://www.ranvik.net/totalcopy/ Chainsaw Hersteller: Gerhard Schmeusser http://www.schmeusser.siw.de/software/chainsaw_ge.html Context ThumbView Hersteller: Context Magic http://www.contextmagic.com/image-viewer/ FAT-Rite Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/ System-Tools/
956
Sandini Bib
Dateisystem
Veritas Backup Exec Hersteller: Veritas Software http://www.veritas.com VolumeID Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/misc.shtml# volumeid Daemon Tools Virtual CD/DVD-ROM Emulator Hersteller: DAEMON's Home http://www.daemon-tools.cc Streams Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/ misc.shtml#streams Junction Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/misc.shtml# junction DiskView Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/misc.shtml# diskview DiskExt Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/misc.shtml# diskext Space-Meter Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/ System-Tools/ NTFSInfo Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/ntfsinfo.shtml Handle Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/freeware/handle.shtml FileSplitter Hersteller: Michael Puff http://www.luckie-online.de/programme/FileSplitter/ index.shtml
957
Sandini Bib
B Anhang
O&O Defrag Hersteller: O&O Software http://www.oo-software.com/de/ FAT 32 for Windows NT 4.0 Hersteller: Mark Russinovich & Bryce Cogswell http://www.sysinternals.com/ntw2k/freeware/fat32.shtml CA BrightStor ARCserve Hersteller: Computer Associates International http://www3.ca.com Active@NTFS Reader for DOS Hersteller: NTFS.com http://www.ntfs.com BackUp Maker Hersteller: ASCOMP Software GmbH http://www.ascomp.net/ Net Synchronizer Hersteller: ASCOMP Software GmbH http://www.ascomp.net/ Active Undelete Hersteller: Active Data Recovery Software http://www.active-undelete.com/ Undelete Hersteller: Executive Software http://www.executive.com/undelete/undelete.asp R-Undelete Hersteller: R-tools Technology Inc. http://www.r-undelete.com Diskmon Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/freeware/diskmon.shtml Partition Magic Hersteller: Symantec http://www.powerquest.com/partitionmagic/ Filemon Hersteller: Mark Russinovich & Bryce Cogswell http://www.sysinternals.com/ntw2k/source/filemon.shtml 1-4a Rename Hersteller: 1-4a.com http://www.1-4a.com/rename/
958
Sandini Bib
Dateisystem
Joe Hersteller: Tools & More http://toolsandmore.biz/Central/Produkte/Software/ Datei-Tools/Joe/ Fundelete for Windows NT Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/fundelete.shtml SendMan Hersteller: Tools & More http://toolsandmore.biz/Central/Produkte/Software/ Desktop/Sendman/ TotalSize Hersteller: Moveax http://www.moveax.com/ 7Zip Hersteller: Open Source http://www.7-zip.org/ ExifReader Hersteller: Michael Puff http://www.luckie-online.de/programme/ExifReader/ index.shtml Total Commander Hersteller: C. Ghisler & Co. (KG) http://www.ghisler.com/ NTFS for Windows 98 Hersteller: Mark Russinovich & Bryce Cogswell http://www.sysinternals.com/ntw2k/freeware/ ntfswin98.shtml NTFSDOS Professional Edition Hersteller: Mark Russinovich & Bryce Cogswell http://www.sysinternals.com/ntw2k/freeware/ ntfsdospro.shtml NTFSDOS Hersteller: Mark Russinovich & Bryce Cogswell http://www.sysinternals.com/ntw2k/freeware/ntfsdos.shtml
959
Sandini Bib
B Anhang
B.4
Textdateien
Crimson Editor Hersteller: Ingyu Kang http://www.crimsoneditor.com/ ExamDiff Hersteller: PrestoSoft http://www.prestosoft.com/ps.asp?page=edp_examdiff Winmerge Hersteller: Open Source http://winmerge.sourceforge.net/ TextPipe Hersteller: DataMystic http://www.crystalsoftware.com.au/textpipe.html Ultra Edit Hersteller: IDM Computer Solutions, Inc. http://www.ultraedit.com Editplus Hersteller: ES-Computing http://www.editplus.com/ jEdit Hersteller: Open Source http://www.jedit.org/ File Analyzer Hersteller: Vadim Tarasov http://www.softpedia.com/public/cat/5/6/5-6-1.shtml Vim Hersteller: Open Source http://www.vim.org/ FCKeditor Hersteller: Open Source http://www.fckeditor.net/ Strings Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/ misc.shtml#strings Gawk Hersteller: Open Source http://gnuwin32.sourceforge.net/packages/gawk.htm
960
Sandini Bib
Netzwerk
B.5
Netzwerk
PC Anywhere Hersteller: Symantec http://enterprisesecurity.symantec.de/products/ products.cfm?productid=77 Multi Router Traffic Grapher (MRTG) Hersteller: Tobias Oetiker, Dave Rand (Open Source) http://people.ee.ethz.ch/~oetiker/webtools/mrtg/ AdvancedRemoteInfo Hersteller: Matthias Zirngibl http://masterbootrecord.de/docs/advancedremoteinfo.php HostName Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/misc.shtml# hostname Active Ports Hersteller: SmartLine Inc. http://www.protect-me.com/freeware.html ServersCheck Hersteller: ServersCheck BVBA http://www.serverscheck.de TightVNC Hersteller: Open Source http://www.tightvnc.com/ AD4Unix Hersteller: PADL Software Pty Ltd http://www.padl.com/download/MKSADPlugins.msi DFÜ-Speed Hersteller: Voodooclub http://www.voodooclub.de/dfue-speed.html LANStart Hersteller: Ralf Spettel http://www.spettel.de/ Ethereal Hersteller: Open Source http://www.ethereal.com/ Network Stumbler Hersteller: Marius Milner http://www.stumbler.net/
961
Sandini Bib
B Anhang
WinSCP Hersteller: Open Source http://winscp.net/ Explore2fs Hersteller: John Newbigin http://uranus.it.swin.edu.au/~jn/linux/explore2fs.htm Wine Hersteller: Open Source http://www.winehq.com/ A1Monitor Network Monitor Hersteller: A1Tech, Inc. http://www.a1monitor.com/ Packetyzer Hersteller: Network Chemistry (Open Source) http://www.networkchemistry.com/products/packetyzer/ Adblock Hersteller: Open Source http://adblock.mozdev.org/ Offline Explorer Hersteller: MetaProducts Corporation http://www.metaproducts.com/mp/mpProducts_Detail.asp?id=1 Filezilla Hersteller: Open Source http://filezilla.sourceforge.net/ Nmap Hersteller: Open Source http://www.insecure.org/nmap/ OpenVPN Hersteller: Open Source http://openvpn.net/ Putty Hersteller: Open Source http://www.chiark.greenend.org.uk/~sgtatham/putty/ N-View Hersteller: Wolfgang Ullrich http://www.n-view.de/ UltraVnc Hersteller: Open Source http://ultravnc.sourceforge.net/website/
962
Sandini Bib
Kommunikation
Rdesktop Hersteller: Open Source http://www.rdesktop.org/ Servers Alive Hersteller: Woodstone http://www.woodstone.nu/salive/ NetCat Hersteller: Open Source http://netcat.sourceforge.net/ Angry IP-Scanner Hersteller: Angryziber Software http://www.angryziber.com/ipscan/ TCPView Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/tcpview.shtml TDIMon Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/freeware/tdimon.shtml Apache Hersteller: Apache Software Foundation http://www.apache.org/ SSHTerm Professional Hersteller: 3SP http://3sp.com/products/applications/sshterm-pro/ sshterm-pro.jsp RealVNC Hersteller: RealVNC Ltd http://www.realvnc.com/
B.6
Kommunikation
Auto-Mail-Checker Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/Internet/ E-Mail/ Thunderbird Hersteller: Open Source http://www.thunderbird-mail.de/
963
Sandini Bib
B Anhang
BookmarkChecker Hersteller: Michael Puff http://www.luckie-online.de/programme/BookmarkChecker/ index.shtml Firefox Hersteller: Open Source http://firebird-browser.de/ Foxit PDF Reader Hersteller: Foxit Software http://www.foxitsoftware.com/pdf/rd_intro.php X-Chat Hersteller: Open Source http://www.xchat.org/ Mozilla Sunbird Hersteller: Open Source http://www.mozilla.org/projects/calendar/sunbird.html Croque-Mort Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/Internet/ E-Mail/ AcroPDF Hersteller: AcroPDF Sytems Inc. http://www.acropdf.com/products.html AI Roboform Hersteller: Siber Systems Inc. http://www.roboform.com/de/index.html pdfFactory Hersteller: FinePrint Software http://www.fineprint.com/
B.7
Sicherheit
Zone Alarm Hersteller: Zone Labs http://www.zonelabs.com ShareEnum Hersteller: Bryce Cogswell http://www.sysinternals.com/ntw2k/source/shareenum.shtml
964
Sandini Bib
Sicherheit
McAfee Desktop Firewall Hersteller: McAfee http://www.mcafeesecurity.com/de/products/home.htm Sophos Enterprise Solutions Hersteller: Sophos http://www.sophos.de/products/es/ McAfee Anti-Spyware Enterprise Hersteller: McAfee http://www.mcafeesecurity.com/de/products/mcafee/ antivirus/desktop/vs_spyware.htm Z-Dbackup Hersteller: IMU Hard- und Softwareservice http://www.z-dbackup.de/ Kaspersky Anti-Virus Hersteller: Kaspersky Lab http://www.kaspersky.com/de/downloads Eraser Hersteller: Heidi Computers Ltd. http://www.heidi.ie/eraser/ Steganos Security Suite Hersteller: Steganos http://www.steganos.com TokenMon Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/tokenmon.shtml AccessEnum Hersteller: Bryce Cogswell http://www.sysinternals.com/ntw2k/source/accessenum.shtml InterScan Messaging Security Suite Hersteller: Trend Micro http://de.trendmicro-europe.com/enterprise/products/ product_overview.php EFSDump Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/misc.shtml# efsdump McAfee System Protection Hersteller: McAfee http://www.mcafeesecurity.com/de/products/mcafee/ antivirus/category.htm
965
Sandini Bib
B Anhang
NTRecover Hersteller: Winternals Software LLC http://www.sysinternals.com/ntw2k/freeware/ntrecover.shtml Norton Antivirus 2005 Hersteller: Symantec http://www.symantec.com/region/de/ Sync Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/misc.shtml#sync Spycop Hersteller: InfoBureau.net Co. http://www.spycops.com/spycop-corporate.html Ad-Aware Hersteller: Lavasoft http://www.lavasoftusa.com/default.shtml.de Spybot Search&Destroy Hersteller: Patrick M. Kolla http://www.safer-networking.org/de/spybotsd/index.html NewSID Hersteller: Mark Russinovich & Bryce Cogswell http://www.sysinternals.com/ntw2k/source/newsid.shtml F-Secure Anti-Virus Hersteller: F-Secure http://www.f-secure.de/solutions/enterprise.shtml RunAsUser Hersteller: Michael Puff http://www.luckie-online.de/programme/RunAsUser/ index.shtml Sygate Personal Firewall Hersteller: Sygate http://smb.sygate.com/products/spf_standard.htm File Scavenger Hersteller: QueTek Consulting Corporation http://www.de.quetek.com/ SpyBot - Search and Destroy Hersteller: Safer Networking Limited http://www.safer-networking.org/de/index.html
966
Sandini Bib
Systemeinstellungen
ClamWin Hersteller: Open Source http://www.clamwin.com/ MAIL PASSWORD RECOVERY Hersteller: Aleksandar Boros http://www.gsmblog.com/freeware/mpr/ Firewall Leakage Tester Hersteller: Gibson Research Corporation http://grc.com/lt/leaktest.htm FTP PASSWORD RECOVERY Hersteller: Aleksandar Boros http://www.gsmblog.com/freeware/fpr/ Filecrypter Hersteller: Michael Puff http://www.luckie-online.de/programme/FileCrypter/ index.shtml Offline NT Password Editor Hersteller: Open Source http://home.eunet.no/~pnordahl/ntpasswd/ Knoppix Hersteller: Klaus Knopper http://www.knopper.net/knoppix/
B.8
Systemeinstellungen
Registrar Lite Hersteller: Resplendence http://www.resplendence.com/ Ctrl2Cap for Windows NT Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/ctrl2cap.shtml xpy Hersteller: Open Source http://xpy.whyeye.org/ Registry System Wizard Hersteller: Eschweiler Multimedia http://www.winfaq.de/
967
Sandini Bib
B Anhang
xp-AntiSpy Hersteller: Christian Taubenheim http://www.xp-antispy.org/ Registry Backup Hersteller: ASCOMP Software GmbH http://www.ascomp.net/ Erunt Hersteller: Lars Hederer http://www.larshederer.homepage.t-online.de/erunt/ Autostart-Manager Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/ System-Tools/ FireDaemon lite Hersteller: Sublime Solutions Pty Ltd http://www.firedaemon.com/ Autologon Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/misc.shtml# autologon Virtual Dimension Hersteller: Open Source http://virt-dimension.sourceforge.net/ AutoRuns Hersteller: Mark Russinovich & Bryce Cogswell http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml Everest Home Edition Hersteller: Lavalys http://www.lavalys.com/products.php NTREGOPT Hersteller: Lars Hederer http://www.larshederer.homepage.t-online.de/erunt/ Bootedit Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/ System-Tools/ Registry Crawler Hersteller: 4Developers LLC. http://www.4developers.com/regc/
968
Sandini Bib
Systemeinstellungen
RemoteKeys Hersteller: Detlev Schäfer http://www.freewarehits.de/RemoteKeys.htm MultiKeys Hersteller: www.Delphi-Soft.de http://www.delphi-soft.de/multikeys.htm DesktopIconManager Hersteller: Sebastian Gerling http://www.pix-art.com/system.php?nav=dim Autostart Explorer Hersteller: Mischel Internet Security http://www.misec.net/products/autostartexplorer/ X-Setup Pro Hersteller: XQDC Ltd. http://www.x-setup.net/product/home.asp?lang=de Microsoft RegClean Hersteller: Microsoft http://support.microsoft.com/default.aspx?scid=kb; en-us;299958 ClockRes Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/misc.shtml# clockres Regsnap Hersteller: LastBit Software http://lastbit.com/regsnap/default.asp Slowdown Hersteller: Wirth New Media Sarl http://toolsandmore.de/Central/Produkte/Software/ System-Tools/ Task Wizard Hersteller: ASCOMP Software GmbH http://www.ascomp.net/index.php?php=prog&prog= taskwizard
969
Sandini Bib
B Anhang
B.9
Systemüberwachung und -pflege
PageDefrag Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/freeware/ pagedefrag.shtml Frob Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/freeware/frob.shtml Contig Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/freeware/contig.shtml CacheSet Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/cacheset.shtml Dr. Hardware Hersteller: Peter A. Gebhard Softwareentwicklung http://www.drhardware.de/pghgload.htm Heavyload Hersteller: JAM Software http://www.jam-software.com Memtest86 Hersteller: Open Source http://www.memtest86.com/ DebugView Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/freeware/ debugview.shtml Pmon Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/freeware/pmon.shtml Starter Hersteller: CodeStuff http://codestuff.cjb.net/ RegMon Hersteller: Mark Russinovich & Bryce Cogswell http://www.sysinternals.com/ntw2k/source/regmon.shtml
970
Sandini Bib
Virtualisierung
CPUMon Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/freeware/cpumon.shtml PortMon Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/freeware/portmon.shtml PsTools Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/freeware/pstools.shtml ListDLLs Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/freeware/listdlls.shtml PendMoves Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/misc.shtml# pendmoves LogonSessions Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/ misc.shtml#logonsessions LoadOrder Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/source/misc.shtml# loadorder BgInfo Hersteller: Bryce Cogswell http://www.sysinternals.com/ntw2k/freeware/bginfo.shtml ProcessExplorer Hersteller: Mark Russinovich http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
B.10 Virtualisierung VMWare Hersteller: vmware http://www.vmware.com/ Bochs Hersteller: Open Source http://bochs.sourceforge.net/
971
Sandini Bib
B Anhang
DosBox Hersteller: Open Source http://dosbox.sourceforge.net/news.php?show_news=1
B.11 Anwendungsentwicklung OnScript Hersteller: XLNow http://www.onscript.com/ PHP Hersteller: Open Source http://www.php.net/ Dev-C++ Hersteller: Bloodshed Software http://www.bloodshed.net/devcpp.html Cygwin Hersteller: Open Source http://www.cygwin.com/ BugTracker.NET Hersteller: Corey Trager http://btnet.sourceforge.net/bugtrackernet.html Nant Hersteller: Open Source http://nant.sourceforge.net/ Dev-PHP Hersteller: Open Source http://devphp.sourceforge.net/ Antelope Hersteller: Open Source http://antelope.tigris.org/ PrimalScript Hersteller: Sapien http://www.sapien.com/ SystemScripter Hersteller: Dr. Tobias Weltner http://www.scriptinternals.de Admin Script Editor Hersteller: iTripoli http://www.adminscripteditor.com/
972
Sandini Bib
Anwendungsentwicklung
VBSEdit Hersteller: Adersoft http://www.adersoft.com/ SharpDevelop Hersteller: Open Source http://www.icsharpcode.net/OpenSource/SD/ JSEdit Hersteller: Adersoft http://www.adersoft.com/ Bugzilla Hersteller: Open Source http://www.bugzilla.org/ TortoiseSVN Hersteller: Open Source http://tortoisesvn.tigris.org/ Apache Ant Hersteller: Apache Software Foundation http://ant.apache.org/ WinCVS Hersteller: Open Source http://www.wincvs.org/ Subversion Hersteller: Open Source http://subversion.tigris.org/ CVSNT Hersteller: Open Source http://www.cvsnt.org/wiki Java JDK Hersteller: Sun http://java.sun.com/j2se/index.jsp Eclipse Hersteller: Eclipse Foundation http://www.eclipse.org/ PyPE (Python Programmers Editor) Hersteller: Open Source http://pype.sourceforge.net/ DrPython Hersteller: Open Source http://drpython.sourceforge.net/
973
Sandini Bib
B Anhang
Nvu Hersteller: Open Source http://www.nvu.com/ XAMPP Hersteller: Open Source http://www.apachefriends.org/de/xampp-windows.html Python Hersteller: Open Source http://www.python.org/ JUnit Hersteller: Open Source http://www.junit.org/index.htm System Script Host Hersteller: Netal Franz Krainer http://www.netal.com/ssh.htm TortoiseCVS Hersteller: Open Source http://www.tortoisecvs.org/
974
Sandini Bib
Stichwortverzeichnis A Ablaufverfolgungsprotokoll 777 Abmeldeskript 426, 594 Accelerated Graphics Port 26 Access Control List 654 ACL siehe Access Control List ACPI siehe Advanced Configuration and Power Interface ACPI-Modus 49 ACPI-Rechner 49 Active Data Objects .NET 925–926 Active Directory 23, 82, 150, 153–154, 235, 240, 242, 254, 260, 291, 329, 331, 409, 420, 425, 431, 434, 439, 447, 475, 505, 518, 568, 587–589, 594, 596, 601, 608, 617, 638, 641, 791, 836, 877, 898– 899 Active Directory Service 291, 877, 898 Active Directory Service Interface 291–292, 877, 898–900, 902–903 Active Scripting 705 Active Server Pages 712, 870, 913 Active Server Pages .NET 913, 919, 934, 941, 944 ActiveX 541, 645, 925 ActiveX Data Objects 925–926 ActiveX Data Objects .NET 925 AD4Unix 475–476 Address Resolution Protocol 366, 402–403 Ad-hoc-Netzwerk 340–343 ADM-Dateien 595–598 Admin Script Editor 880 Administratoren 84, 94, 99, 151, 193, 230–231, 244, 248, 260, 269–270, 288, 444, 526, 550, 559, 622– 623, 767, 827, 833, 879 Administratorkonto 81, 237, 746–747 adminpak.msi 133 ADO siehe ActiveX Data Objects ADO.NET siehe Active Data Objects .NET Advanced Configuration and Power Interface 31, 102 Advanced Power Management 31–32 Aero 942 AFP siehe Apple Filing Protocol AI Roboform 548–549 Aktenkoffer 176–177 Aktualisierungspfad 30 Alternative IP-Konfiguration 335 Angriffserkennung 763 Ankündigung 153 Anmeldebild 229–230 Anmeldeskript 137–138, 426–429, 520, 594 Anonymer Zugriff 221, 516, 922 Anschlussmonitor 497, 506, 508
Antwortdatei 43–45, 48, 56–61, 63–67, 69–70, 73, 75, 78, 80–81 Anzeigeeinstellungen 205, 557 Anzeigeoptionen 942 API siehe Application Programming Interface APIPA siehe Automatic Private IP Addressing APM siehe Advanced Power Management Apple Filing Protocol 451, 453 Apple-Authentifizierung 457 Apple-Server 452 Application Programming Interface 913 Appwiz.cpl 138 Arbeitsgruppe 53, 72, 222–223, 225, 228–229, 340, 370, 372, 398, 413, 416–418, 420–422, 426–427, 430, 437–440, 445, 453, 480, 604, 668, 697, 754 Arbeitsspeicher 26, 73–74, 547, 787–790, 801–802 ARP siehe Address Resolution Protocol ASP siehe Active Server Pages ASP.NET siehe Active Server Pages .NET Aspnet 236, 238 Assembly 936 Assembly Resolver 936 Ausführbare Datei 164, 209 Ausführen als 723, 747–748 Auslagerungsdatei 73–74, 787–789, 791, 802 Authentifizierte Benutzer 237 Authentifizierung der Macintosh-Clients 456 Automatic Private IP Addressing 330–332 Automatisierte Installation 65, 137 Autovervollständigen 485, 542, 546 Avalon 940–942
B Backup 35, 473, 601, 608–609, 670, 811–813, 815, 826, 832, 834–837, 840–841 Backup-Programm 811, 813, 836 Backup-Strategie 837–838 Bandlaufwerk 811, 820, 822, 827 Basisdatenträger 272–274 Benutzeranmeldung 158, 229, 250, 594, 615–617, 620 Benutzerauthentifizierung 741 Benutzerebene 235, 252, 372, 415–416 Benutzergruppe 84, 245, 252, 289, 294, 561, 863, 904–905, 907 Benutzerkontennamen 231 Benutzerkonto 67, 218–219, 221–227, 229–234, 236–238, 241, 243, 245–247, 249, 252, 256, 258, 261, 372, 415, 418–419, 423–426, 428, 456–457, 463, 471, 604, 613, 617, 646, 654, 668, 694, 697, 710, 746–747, 755, 765, 792, 879, 902, 906, 927, 945
975
Sandini Bib
Stichwortverzeichnis Benutzeroberfläche 32–33, 134–135, 167, 188, 287, 440, 445, 501, 563, 617, 659, 675, 808–809, 940 Benutzerprofil 176, 256, 259, 261, 264, 267–269, 594, 616, 649, 666 Benutzerstatusdaten 91–92 Benutzerumschaltung 212, 222, 228–229 Benutzervariable 125 Benutzerverwaltung 228, 230, 425, 864, 898–899 Bereitstellungsvorgang 151 Betriebsmodus 755–756 Beweissicherung 763 Bildschirmauflösung 145, 205, 940 Bildschirmschoner 260, 745 Blackcomb 939 Boot Loader 95 Bootloader 856, 858 Bootvis 805 Breitbandverbindung 381, 385, 388, 538, 545 Brennprogramm 316 Browsercache 717–719
C CAPI-Treiber 376 CAS siehe Code Access Security CGI siehe Common Gateway Interface checkupgradeonly 28 CIFS siehe Common Internet File System CIM siehe Common Information Model CIM siehe Custom Installation Wizard Clean-Up 149–150 CLI siehe Command Line Interface Client for NFS 468, 470 Client für Microsoft-Netzwerke 360, 372 Code Access Security 934 COM siehe Component Object Model COM+ 930 COM-Komponente 931 Comma Separated Value 776 Command Line Interface 945 Common Gateway Interface 675, 913, 917 Common Information Model 637 Common Internet File System 448 Common Type System 925–926 Compact Disk File System 277 Compmgmt.msc 516 Component Object Model 41, 176, 446, 546, 573, 780, 809, 855, 876, 930 Computerkonto 221, 423–424, 617 Computerverwaltung 118, 199, 206, 222, 224, 230– 231, 253, 271, 300, 314, 370, 456, 516, 747, 761 Cookie 674, 710, 712–713 CrossOver Office 487 CSV siehe Comma Separated Value CTS siehe Common Type System Custom Installation Wizard 135
976
D Data Source Name 925, 927–928 Datei- und Druckerfreigabe für MicrosoftNetzwerke 360 Datei-Download 706 Dateifreigabe 287, 292–294, 416, 449 Dateisystem 49–50, 79, 268, 271, 279–281, 284–285, 302, 307, 310, 317, 453, 465, 470, 491–492, 694, 716, 803, 813, 854, 870, 876, 881–882, 885, 912, 914, 918, 922, 928, 943 Dateisystemfehler 297 Dateisystemtyp 278 Datenpartition 50, 843 Datenquelle 444, 925, 927–929 Datenträger 47, 50, 79, 113–114, 271–275, 312–313, 377, 455, 458–459, 500, 669, 771, 811–812, 852– 853 Datenträgerverwaltung 271, 273 Datenwiederherstellungsagent 307 DAV siehe Distributed Authoring and Versioning DDI siehe Device Driver Interface Debugger 881 Default Users-Profil 259 Defragmentierung 300–301, 805, 807 Deinstallation 93, 129–130, 675, 898 Desktop 140, 145, 153, 157, 160, 167–168, 170–177, 182–183, 188, 211–213, 215–219, 260, 440–441, 444, 448, 481, 485–486, 588, 620–621, 647, 649, 651, 687, 695, 797, 808, 870 Desktopbereinigungs-Assistent 174–175 Desktopdesign 169 Details 107, 125–126, 184–185, 306, 454, 460, 509, 586, 605, 611, 679, 695–696, 712, 726, 762, 802, 911 Device Driver Interface 495 Devmgmt.msc 118, 124–125 DFÜ-Speed 547–548 DFÜ-Verbindung 250, 373, 380, 387, 396, 539, 547, 681 DHCP siehe Dynamic Host Configuration Protocol Dialer 675, 753 Dienst 71, 83, 129–130, 143, 150–151, 219, 228, 247, 269, 314–315, 331, 359–360, 368–369, 386, 402, 431–432, 469, 531, 535, 557, 567–568, 615, 682, 694, 697, 722–723, 748, 759, 765, 778, 781, 791– 797, 841, 852, 869, 901–902, 910, 912–913, 916, 919, 921, 923, 934, 945 Digitale Signatur 109, 763 Direct Memory Access 102, 275, 277 Direkthilfe 190, 192, 720 Disk Defragmenter 301 Diskettensatz 41 Distributed Authoring and Versioning 413, 445–446 Distributed Transaction Coordinator 930 Distributionsordner 42, 58–62, 75
Sandini Bib
Stichwortverzeichnis Distributionsordnerstruktur 58 Distributionsserver 42, 57–58, 61–62, 94–95 Dnscmd 408–409 Domänenanmeldung 431, 433 Domänenmitgliedschaft 53 dotnetpro 22 Drahtlose Sicherheit 757 Drahtlose Tastatur 757 Drahtloses Netzwerk 347–348, 350, 362 Driver.cab 112 Druckauftrag 453, 496–497, 503–504, 513, 523–525, 529 Druckbefehl 503–504 Druckdienste für Unix 459 Drucker 115, 124, 205, 244, 362, 369, 395, 398–399, 414, 418, 453, 459, 493–515, 517–523, 525–532, 534–535, 586, 647, 863, 877 Druckerpriorität 522–523 Druckertreiber 494, 496–497, 500–502, 505, 511– 512, 518, 524 Druckerwarteschlange 504, 513–515, 529–530 Druckgerät 493–494, 496–497, 499, 504, 507–508, 521, 523, 525 Druckjob 512 Druckprozessor 523–524 Druckserver 362, 413, 438, 454, 493, 495, 504–507, 509–511, 513–514, 516–517, 519, 523–524 DSL-Verbindung 330, 373–374, 385 DSN siehe Data Source Name DTC siehe Distributed Transaction Coordinator Dualboot-Umgebungen 50 Dynamic Host Configuration Protocol 82, 218, 330–335, 342, 363, 366 Dynamischer Datenträger 273
E EFS siehe Encrypted File System Eingabeaufforderung 28, 76, 124–125, 132, 147, 150, 188, 190, 207–209, 253, 258, 369–370, 406, 487, 564, 621, 651, 702–703, 705, 707–709, 712– 713, 758, 798, 851, 855, 879 Eingehende Verbindung 218, 391–393 Eingeschränkte Sites 570, 699, 702–703, 705, 707– 709 E-Mail-Konto 213, 565, 569, 574 E-Mail-Sicherheit 750 EMF siehe Enhanced MetaFile Encrypted File System 302–303, 305, 307, 453, 813 Energieverwaltung 346, 824 Enhanced MetaFile 524 Entschlüsselungsschlüssel 225, 232 Ereignisanzeige 200, 206, 781 Ereignisprotokoll 244, 409, 463, 636, 778, 945 Ereignisprotokollierung 135, 781 Erraten von Kennwörtern 677 Ersatzdateien 51–52 Ersteller-Besitzer 612 Erstellergruppe 250
Erunt 669, 839–840 Exchange Server 440, 686 Expansion 603 Explore2fs 482, 491–492 Explorer-Leiste 185–186 Extensible Markup Language 215, 941 ExtentOemPartition 73
F Farbprofil 527 Farbtiefe 145–146, 169–170, 218, 648 Farbverwaltung 527–528 Farbverwaltungssystem 527 Farbwiedergabe 528 FAT-Partition 42, 813 Fax 32, 500, 531, 534–535 Faxdienst 531, 535 Faxdrucker 531–532 Faxgerät 532 Faxkonsole 532, 535 Faxmodem 531–532 Faxsicherheit 533 Fernanmeldungen 241 Festplattenabbildungsprogramm 35, 79 Festplattenbereinigungsassistent 298 Festplattenspeicher 34, 842 File Allocation Table 277, 279 File Transfer Protocol 452, 454, 563–565, 663, 684, 910, 913, 923 File-Sharing 448–449, 451 Firewire 103, 105, 361 Formulardaten 549, 708–709 Formulare 510, 542 Freigabe 27, 43, 45–46, 52, 58–59, 93, 151, 165, 186, 238, 270, 287–294, 298, 359–360, 372, 395, 398– 399, 401–403, 414–416, 419, 429, 448–449, 453– 455, 458, 466, 502, 505, 509, 521, 597, 789–790, 796, 853, 863, 919 Freigabeebene 415 Frequenz 169–170 FrontPage 913 FTP siehe File Transfer Protocol FTP-Client 563 FTP-Site 402
G Gastkonto 237–239, 244, 252 GDI siehe Graphical Device Interface GDI siehe Graphics Device Interface Gegenangriff 766 Gemeinsame Nutzung der Internetverbindung 386 Gerätekonflikt 118 Gerätemanager 104, 106–107, 113, 117–121, 124– 126, 276–277 Gerätetreiber 58, 62, 102, 112, 116, 122, 124–125 Gerätetyp 115 Getsid.exe 236–237, 253
977
Sandini Bib
Stichwortverzeichnis Global Unique Identifier 148, 590, 608, 610, 833 Globale Gruppe 755 GPC siehe Gruppenrichtliniencontainer gpedit.msc 135, 240, 248, 265, 629 GPMC siehe Group Policy Management Console GPO siehe Group Policy Objects GPO siehe Gruppenrichtlinienobjekt GPO-Backup 609 GPT siehe Gruppenrichtlinienvorlage Grafikkarte 26, 169–170, 648 Graphical Device Interface 497, 524 Graphical User Interface 406, 585, 601, 603, 669, 671, 776, 783, 801, 833, 835, 929, 940 Graphics Device Interface 497, 524 Group Policy Management Console 601–602, 604–605, 608–609, 612, 614, 618, 630–631, 637 Group Policy Objects 589–592, 596, 598, 604–615, 618, 629–630, 633, 637, 733, 735–736, 745 Gruppenkonto 255 Gruppenmitgliedschaft 224, 231 Gruppenrichtlinie 110, 135, 154, 158, 239–240, 248, 265, 270, 307, 350, 427, 430, 434, 439, 588–591, 595, 602–603, 607, 618–619, 621, 629–630, 641, 745 Gruppenrichtliniencontainer 589–590 Gruppenrichtlinienmodellierung 630, 633–634 Gruppenrichtlinienobjekt 135, 152, 154–155, 160, 265, 587, 589–592, 596, 598, 604–615, 618, 629– 630, 633, 637, 733, 735–736, 740, 745 Gruppenrichtlinienobjekt-Editor 110, 152, 157– 158, 597, 739 Gruppenrichtlinienvorlage 589–590 Gruppentypen 242–243 GUI siehe Graphical User Interface GUID siehe Global Unique Identifier GUI-Modus 51
H Hardlink 281 Hardware 26–27, 56, 61, 85, 97, 101, 103, 105, 107, 112, 114–115, 117, 124, 195, 197, 205, 245, 329, 333, 337, 373–374, 395, 438, 441–442, 444, 451, 500, 648, 680, 692, 780, 801, 834, 838, 854, 856, 939 Hash 623–624 Hash-Regel 624, 628 Hauptbenutzer 245, 252, 526, 734, 814 Heterogener Terminal-Zugriff 481 Hilfe- und Supportcenter 190, 192–193, 207, 214, 238 Hilfedatei 192 HKEY_CLASSES ROOT 646 HKEY_CURRENT_CONFIG 645, 648 HKEY_CURRENT_USER 246, 257, 259, 545, 598– 599, 645–646, 890–893 HKEY_LOCAL_MACHINE 245, 598–599, 645, 647, 666, 890–893 HKEY_USERS 645–647, 666
978
Hochgeschwindigkeits-USB 105 HTML-Berichte 601 HTTP over SSL 708 HTTP siehe Hypertext Transfer Protocol HTTPS siehe HTTP over SSL Hyper Terminal 583–585 Hypertext Transfer Protocol 706, 910
I ICMP siehe Internet Control Message Protocol Identifier 232, 901 Identifikation des Angreifers 765–766 IFRAME 708 IIS 7.0 siehe Internet Information Server 7.0 IIS siehe Internet Information Server IIS siehe Internet Information Services Image-Programm 841 Indexdienst 314–315 Indigo 944 Infobereich 103, 105, 163, 179, 333, 347, 353, 366– 367, 529, 538–539, 677, 689, 769, 807 Information Rights Management 44, 78, 222, 228– 229, 496, 499, 513, 518, 527–528, 533, 535, 552, 852, 872, 914 Infrastruktur-Netzwerk 341–342 Inkrementelle Sicherung 834 INS-Datei 556, 558–563 Installationsart 37, 40, 84, 97, 139 Installationsassistent 27–28, 84, 293, 323, 373, 377, 416, 485, 489 Installationsfreigabe 45–46 Installationsmanager 62–64, 81 Installationsmethode 56, 62, 98, 139 Installationspaket 94–95, 164, 483, 551 Installationspartition 49–50 Installationsplanung 25 Installationsprogramm 43–48, 57, 61, 455, 458, 856 Installationsverfahren 25, 37–38, 42, 56–57 Installationsvorbereitung 35 Installer-Paket 130, 134, 627 Internet Control Message Protocol 369, 685 Internet Explorer 183, 186, 219, 258, 486, 488, 537– 542, 544, 546–547, 549–553, 555–561, 563, 594– 595, 637, 661, 673–674, 698, 701, 703–706, 709– 710, 712, 714, 717–721, 723, 727, 760, 870, 922, 944, 949 Internet Explorer Administration Kit 537, 550– 552, 558–559 Internet Explorer-Sicherheitseinstellungen 539 Internet Information Server 514, 516, 742, 870, 910–913, 915, 918, 920–923, 934, 944 Internet Information Server 7.0 944 Internet Information Services 514, 516, 694, 742, 909–913, 915, 918, 920–923, 934, 944 Internet Printing Protocol 513–516, 519, 599 Internet Services Application Programming Interface 917 Internetprotokoll (TCP/IP) 334, 368
Sandini Bib
Stichwortverzeichnis Internetverbindung 52, 99, 173, 193, 205, 212–213, 323, 347, 373–374, 376, 381–382, 384–388, 395– 397, 399–400, 438, 537, 539, 548, 580, 648, 679– 680, 717, 753, 757 Internetzone 570, 625, 705, 707–709 Internetzonenregel 625 Interoperabilität 337–338, 340, 431, 475 Interrupt Request 102, 106 Intrusion Detection 413, 763, 766 IPCONFIG 365–366, 403, 407, 758 IPP siehe Internet Printing Protocol IPP-Druckserver 513–514, 516, 519 IPX/SPX-Protokoll 327, 361 IRM siehe Information Rights Management ISAPI siehe Internet Services Application Programming Interface ISDN-Gerät 218, 376, 532, 675 ISDN-Verbindung 381–383, 545
J Java 674, 703–704 Java Virtual Machine 703–704 JavaScript 292, 912 JScript 702, 704 JsEdit 880 Junction Point 282 JVM siehe Java Virtual Machine
K Kacheln 184 Kamera 188, 197 KDC siehe Key Distribution Center Kennwortchronik 241, 741, 743 Kennwortdauer 241 Kennworterneuerungszyklus 241 Kennwortrücksetzdiskette 223, 225–226 Kennwortsicherheit 241 Kerberos_V5-Authentifizierungsprotokoll 431 Kernel 769, 790 Key Distribution Center 431–432 Kommandozeilenfenster 859–862, 864–866, 877– 879, 900 Kompatibilitätsliste 27, 36, 482 Kompatibilitätsmodus 144–146, 555 Kompatibilitätswebseite 27 Komplexitätsanforderungen 237, 241, 743–744 Komprimierung 302, 822, 834–835 Konfigurationsdatei 469, 478–479, 486, 495, 559, 711 Kontakte 569, 577–578, 580, 582–583, 944 Kontenverwaltung 223
L LAN siehe Local Area Network LAN-Verbindung 330, 332–334, 337, 359–360, 364–367, 373, 753 Laufwerk 27, 35, 41, 43–44, 60, 62, 74, 79, 86, 90, 116, 146, 165, 183, 186, 226, 263, 273, 275, 280,
282, 294–297, 301, 308, 310–313, 317, 448, 450, 454–455, 484, 487, 489–490, 807, 811, 820, 822, 827, 835, 842–844, 854, 856–857, 862 Laufwerksbereinigung 298 Laufwerksprüfung 296–297 Laufwerksüberwachung 807 Lauschangriff 677 LDAP siehe Lightweight Directory Access Protocol Leistungsindikator 770, 772 Leistungsindikatorprotokoll 775 Leistungsmonitor 769, 771, 774, 776 Leistungsprotokoll 776–777 Leistungsüberwachung 780–781, 808 Leistungsverbesserung 275 Lightweight Directory Access Protocol 408, 476, 568 Line Printer Remote 506–507, 509 Linkspeed 410 Linux 460–461, 481–482, 486–487, 490–492, 934 Linux-Partition 482, 491–492 Live Communications Server 2005 575, 583 Local Area Network 90, 98–99, 211, 330, 337–338, 340–341, 343–345, 347–348, 355, 366, 370–371, 402, 411, 452, 530, 559, 563, 688, 757, 776–777, 779, 819, 823, 950 Lockdown-Werkzeug 921 Logischer Drucker 494 Lokale Gruppenrichtlinie 439, 591, 629 Lokale Sicherheitsautorität 366 Lokale Sicherheitsrichtlinie 437, 628, 641 Lokales Benutzerprofil 256 Lokales Intranet 699 Longhorn 939–940, 943–946 Loopback 407, 616 LPR siehe Line Printer Remote LPR-Anschlussmonitor 506, 508 LPR-Drucker 508 LPT1 496, 499 LSA siehe Lokale Sicherheitsautorität LSDOU-Reihenfolge 591
M Mac OS 411, 447–452, 457 Managed Code 933 Managed Object Format 868 Manueller Wiederherstellungspunkt 845 Master-Boot-Record 853, 857 Masterrechner 72–73, 78–80, 85 MBR siehe Master-Boot-Record MBSA siehe Microsoft Baseline Security Analyzer Media Player 167, 194–196, 588 Medien-Pool 811, 834 Messenger Codename Istanbul 583 META REFRESH 708 Microsoft Access 900 Microsoft Baseline Security Analyzer 693, 695, 697
979
Sandini Bib
Stichwortverzeichnis Microsoft Certified Solution Developer 22 Microsoft Database Engine 695 Microsoft Installer 133–134, 150, 475 Microsoft Live Communications Server 2005 575, 583 Microsoft Management Console 192, 198–202, 204, 209, 271, 273, 300, 309, 315, 427, 456, 461, 463, 476, 605, 613, 629–630, 634, 637–638, 641– 642, 734–736, 738, 747–749, 760–762, 774, 781, 936 Microsoft Messenger 574 Microsoft Shell 945 Microsoft SQL Server 695, 925, 943 Microsoft Transaction Server 930 Microsoft Visio 488 Microsoft Windows AntiSpyware 720, 723 Microsoft XML 941 Migration 29, 37, 39, 88–89, 91, 143, 438, 612, 614, 951 MIME siehe Multi-purpose Internet Mail Extension Miniaturansicht 184 MMC siehe Microsoft Management Console Mono 934 Mount Point 311 MSDE siehe Microsoft Database Engine MSH siehe Microsoft Shell MSI siehe Microsoft Installer msiexec.exe 131–132 MSN-Passport-Konto 577 MSN-Toolbar 549–550, 576 MSSQL siehe Microsoft SQL Server MSXML siehe Microsoft XML MTS siehe Microsoft Transaction Server MUI Pack 33–34 Multi-Boot-System 272 Multimedia 167, 197–198 Multi-purpose Internet Mail Extension 674 Multipurpose Internet Mail Extensions 674
Netzwerkdienst 431 Netzwerkdrucker 504, 512, 517–520 Netzwerkeinrichtung 53 Netzwerkinstallation 27, 42 Netzwerkinstallations-Assistent 395 Netzwerkinstallationsdiskette 372 Netzwerkkonfiguration 53, 241, 335, 350, 354, 404, 864, 916 Netzwerkmonitor 360–361 Netzwerkprotokoll 445 Netzwerkressource 295, 401–402, 563–564 Netzwerkumgebung 93, 168, 172, 288, 295, 329, 401, 416, 418, 440, 445, 448–449, 467, 517–518, 563–564, 588, 654, 749 Neuinstallation 28–30, 37, 39–40, 47–48, 56, 87, 157, 244, 252, 850 New Technology File System 49–50, 277, 279–280, 282–283, 308, 453, 465, 716, 813, 820, 855 Newsgroup 572–574 Next-Generation Secure Computing Base 946 NFS-Server 463, 468, 470 NGSCB siehe Next-Generation Secure Computing Base Nimda 920 Notepad 799, 872 NSLOOKUP 404 NT LAN Manager 434–436 Ntbackup 832, 835 NTFS 49–50, 277, 279–280, 282–283, 308, 453, 465, 716, 813, 820, 855 NTFS siehe New Technology File System NTFSDOS 855 NTLM siehe NT LAN Manager NTLM-Authentifizierung 413, 431, 434–436, 469 NTLMv2 435 NTREGOPT 670 Ntuser.dat 257, 259, 649, 666–667 NTVDM siehe Virtual DOS Machine
O N Nachrichtendienst 369, 722–723, 778 NAP siehe Network Access Protection NBTSTAT 403 net send 369–370 net share 291, 863 net view 288, 863 NetBEUI-Protokoll 328 Netdiag 407 NETSH 404, 406 NETSTAT 404, 408 Network Access Protection 671–672, 944 Netzlaufwerk 35, 79, 90, 186, 263, 294–295, 450, 835 Netzwerkauslastung 365 Netzwerkbrücke 361–364, 367, 399–400 Netzwerkdiagnose 406
980
Oberflächensprache 32–34 Object Browser 868 Object Linking and Embedding 925 Object Linking and Embedding Database 925, 928–929 Objektmenge 882–883 OEM-Dateien 96 OEM-Festplattentreiber 49 OLE DB siehe Object Linking and Embedding Database OLE siehe Object Linking and Embedding Open System 344 Organisation 58 Outlook Express 141, 213, 406, 537–538, 557, 565, 568, 570–574, 673, 686, 709, 924 als Newsreader 572
Sandini Bib
Stichwortverzeichnis
P
R
P2P siehe Peer-to-Peer Pagefile 431 Paketdatei 130–131 Papierformat 521 Papierkorb 172, 176, 181, 301, 455 Partition 35, 37, 42, 47, 49–50, 70, 72–73, 85, 96, 228, 272–275, 278, 482, 484, 491–492, 551, 717, 787–789, 812–813, 820, 830, 841, 843, 853, 857–858 Partitionierung 50, 857 Passport-Account 228 Password Synchronization 473 PATHPING 404 PDF-Writer 502–503 Peer-to-Peer 414 Peer-to-Peer-Netzwerk 341, 414, 416 Pfadregel 626 PGP-Verschlüsselung 750 Ping 332, 404, 463, 468, 471 Pipelining 945 Plug&Play 102–103, 111, 113, 345 Plug&Play-Drucker 499, 507 Plug&Play-Erkennung 72 Plug&Play-Gerät 113 PNP siehe Plug&Play POP3 siehe Post Office Protocol Popupblocker 539–540, 550 Portmonitor 506–507 Portnummer 369, 386, 682, 914–916 Post Office Protocol 910 Powertoys 176, 187–188 Preboot eXecution Environment 82–83 Prefetch-Funktion 802–804 Produktaktivierung 54, 78 Produkt-ID 54 Profilgröße 266 Programmierschnittstelle 32, 946 Programmkompatibilitäts-Assistent 146 Programmmodus 144 Programmzugriff 140, 142 Proxy 365, 478, 561 Prozeduraufruf 504, 615 Prozess 73, 83, 87, 496, 525, 547, 611, 667, 688, 797–798, 800–801 Prozessor 26, 497, 523–524, 802 PXE siehe Preboot eXecution Environment PXE-Start-ROM 83
RAS siehe Remote Access Service RAW 180, 525 RDO siehe Remote Data Objects RDP-Client 586 Rechteverwaltung 414, 673, 754 REG_BINARY 656 REG_DWORD 657 REG_EXPAND_SZ 655 REG_MULTI_SZ 655 REG_SZ 649, 655, 657 reg-Datei 662–663, 665, 671–672 regedit.exe 651 Registrar Lite 670–671 Registrierung 96, 100, 366, 403, 603, 643, 667–668, 697, 839–840, 934 Registrierungsdatenbank 164, 213, 235, 259, 269, 860–861, 889–891, 927 Registry System Wizard 599, 671 Registry-Editor 273, 644, 650–652, 654, 656, 660– 662, 666–667, 670–671 Registry-Schlüssel 480, 548, 594, 598, 600, 628, 643, 649, 653, 667, 669–671, 726, 734, 787 Regmon 671 Regsnap 671–672 Remote Access Service 31, 167, 194, 196, 535, 540 Remote Data Objects 925–926 Remote-Installation 594 Remote-Installationsdienste 57, 64, 81–85, 87, 460, 593 Rendering 496, 787 Resource Kit 189, 191, 405–406, 598 Resource Kit Tools 189, 191, 405–406 Ressource 120, 135, 137, 161, 208, 250, 282, 295– 296, 401–402, 419, 520, 563–564 Resultant Set of Policy 601, 630, 637–638 Richtlinienbasierte Softwareinstallation 150 Richtlinienergebnissatz 630, 634–635, 637–638 Richtlinienverarbeitung 615–616, 620–622 Richtlinienvorlage 589–590 RIPrep.exe 85, 87 RIS siehe Remote-Installationsdienste RIS-Server 81–87 Roaming Profiles 256 Rollen eines XP-Client 438 ROUTE 405, 408 Router 219, 328, 367, 373–374, 396, 405, 453, 497, 504, 757–758, 765 RPC siehe Prozeduraufruf RSoP siehe Resultant Set of Policy RUNAS 748–749
Q QoS-Paketplaner 360 Quellcomputer 30, 89, 405
981
Sandini Bib
Stichwortverzeichnis
S SAM siehe Security Account Manager Samba 448–449, 477–479 Samba Server 478–479 Scanner 73, 196, 205, 411, 676 Schadensbegrenzung und -beseitigung 767 Schleife 874–875, 882–883, 888, 891–892, 895 Schnelle Benutzerumschaltung 212, 222, 228–229 Schnellformatierung 279 Schnellinstallation 97, 139, 691 Schnellstartleiste 177–178, 183 Schnittstelle 31–32, 102, 115, 147, 244, 377, 494, 496–499, 504, 870, 879, 926, 931–932, 942, 946 Schreib-Zwischenspeicher 276 Schriftart 180–181, 208, 490, 525, 860 SCM siehe Service Control Manager Scripting 702, 705, 789, 870, 874, 876–877, 881–882, 887, 889, 892, 894–895, 898–899 ScriptIt 137–138 secpol.msc 240, 249 Security Account Manager 102–103, 105, 147, 228, 239, 268, 314, 372, 385, 503–504, 621, 649, 666, 679–680, 711, 755, 787, 789, 838 Security Identifier 71–72, 75, 232, 234–237, 250– 253, 343, 346, 350, 647, 747, 901 Server for NIS 474 Server for PCNFS 470 Servereigenschaften 510 Servergespeichertes Benutzerprofil 268 Server-Verwaltungsprogramme 133 Service Control Manager 781 Service Pack 36, 41, 46, 64, 80–81, 86, 93–99, 103– 105, 131, 140, 142, 144, 154, 157–158, 289, 336, 409, 435, 475, 539, 574, 587, 596–597, 600, 624, 673, 677–678, 687, 693, 722 Service Pack 2 36, 41, 64, 80–81, 86, 93–97, 99, 103– 104, 131, 289, 336, 409, 539, 587, 596–597, 673, 677–678, 687, 693, 722 Service Set Identifier Description 343, 346, 350 Services for Macintosh 447, 451, 453–457 Services for Unix 447, 460–463, 466, 474–476 Setup-Diskette 850, 854, 856 SFM siehe Services for Macintosh SFU siehe Services for Unix Shared Key 344 Sichere Anmeldung 228 Sicherheitsanalyse 693, 738 Sicherheitscenter 98, 677 Sicherheitsdatenbank 242, 736 Sicherheitskonfiguration 637, 736 Sicherheitsprotokollierung 684–685, 739, 781 Sicherheitsrichtlinie 240–242, 307, 437, 628, 641, 734, 935 Sicherheitsrisiko 237, 337, 457, 542, 674–675, 698, 705, 707, 716, 722, 757, 795 Sicherheits-Updates 695, 697 Sicherheitsvorlage 733–737, 739
982
Sicherung 35, 37, 200, 241, 308, 338, 414, 539, 543, 609, 611, 614–615, 643, 669–670, 698, 744, 754, 757, 763, 767, 811–826, 829, 831–841, 920, 944 Sicherungs-Assistent 813–814 Sicherungsauftrag 819, 823–824, 826, 834–835 Sicherungsmedium 811–812, 819 Sicherungstyp 815, 817, 837 SID siehe Security Identifier Simple Mail Transfer Protocol 684, 910, 913 Simple Network Management Protocol 507–508 Skript 91, 137–138, 164, 292, 426–430, 520, 561, 594, 601, 609–610, 612, 614–615, 627, 637, 674, 702, 705, 789–790, 870–875, 877–879, 882, 884, 886– 889, 891, 894–896, 900–905 Small Business Server 2003 330, 440 SMB-Server 452 SMS siehe Systems Management Server SMS-Clientsoftware 161–162 SMS-Installer 163–165 SMS-Standortserver 161 SMTP siehe Simple Mail Transfer Protocol SNMP siehe Simple Network Management Protocol Softwareeinstellungen 594, 645, 647, 649, 666 Software-Firewall 679–680, 687 Softwarehersteller 912 Softwareinstallation 129, 150, 152, 154, 156, 162, 603, 620–622, 637, 897 Softwarekomponente 624, 936 Softwareveröffentlichung 153 Softwareverteilung 133, 139, 150, 155, 157, 160, 162, 439, 590, 593, 603 Softwareverteilungspunkt 151, 157 Softwareverwaltung 150–151, 157 Sound 194, 540 Spam-Filter 752 SPM siehe Standard-Portmonitor SPM-Drucker 507 Spool-Datei 495 Spooler 495–497, 504, 512, 523–525, 529 Spoolss.dll 497, 504 Sprachmonitor 495, 497 Sprachversion 35, 476, 550–551, 872 Spurenbeseitigung 716 Spyware 720, 723–727, 729, 731–733 SSID siehe Service Set Identifier Description Stammzertifizierungsstelle 759 Standardbenutzer 224, 425 Standardbenutzerrechte 247 Standardberechtigungen 246 Standarddrucker 501, 518 Standard-Portmonitor 506–507 Standardprogramme 140–142 Standardressourcentypen 120 Standard-TCP/IP-Port 507 Standardtreiber 99 Stapelverarbeitung 864, 870 Startdiskette 41, 83, 854–856, 858
Sandini Bib
Stichwortverzeichnis Startmenü 90, 97, 145, 153, 165, 168–169, 177–178, 182, 190, 204, 206–208, 214, 462, 482, 485, 509, 584, 594, 629, 640, 646–647, 649, 690, 707, 715, 806, 813, 845, 942 Startpartition 37, 50, 812 Startskript 138, 594 Startvorgang 41, 616, 621, 801, 805 Status 92, 106, 115, 128, 143, 154, 177, 212, 214–215, 353, 367, 403, 409, 507, 514, 535, 575, 578–580, 590, 607–609, 611, 618, 648, 677, 681, 689, 729, 767, 774, 777, 800, 818, 820, 832, 839, 842–843, 846–849, 881 Statusinformationen 495, 538, 737 Stop-Fehler 857 Storage 837 Stream 887 Stripe Set 275 Subnetze 324–326 Symbol 55, 105, 119, 163, 168, 172, 177–179, 183, 187, 192, 194, 207, 333, 353, 445, 464, 529, 538–539, 574, 579, 581, 584, 644, 709, 771–772, 780, 807, 825–827 SYSPREP 60, 64, 70–72, 74–80, 85 SYSPREP-Ordner 75 System Explorer 731 System Tray 177–179 System.adm 595 Systemdateien 87, 93, 95, 127, 164, 244–245, 305, 820, 830, 849, 855, 858 Systeminstallation 36, 144 Systemkompatibilität 27, 31, 36, 40 Systemleistung 312, 769–770, 786, 788, 790 Systemressourcen 102 Systemrichtlinie 588–589, 617 Systems Management Server 57, 131, 133, 160–165, 586 Systemsteuerung 93, 98, 110, 117, 150, 162, 180, 187–189, 204–206, 213–214, 222, 229–230, 298, 377, 379, 497–498, 509, 518, 520, 603, 646, 650, 677, 681, 747, 920, 928, 943 Systemvariable 124–125 Systemvorbereitungsprogramm 71, 75, 78 Systemwiederherstellung 35, 48, 799, 807, 811, 832, 838, 842–844, 846–850
T Taskkill 801, 863 Taskleiste 55, 103, 112, 176–179, 188, 194, 206, 347, 353, 367, 529, 581, 677, 689, 769, 807 Taskplaner 209–210, 250, 669, 800, 807, 826 Tastenkombination 180, 228, 469, 485–486, 616, 659–660, 746, 769, 772, 776, 855 TCP/IP-Filterung 368 TCP/IP-Protokoll 323–324, 335, 359–361, 506–507
Telefonanlage 375, 379, 753 Telnet-Server 469 Terminalserver 217, 438, 440–444, 481, 491 Testseite 502, 521 Textdatei 585–586, 710, 852–853, 856, 870, 877, 887–889, 891, 894, 900, 928 Textmodusabschnitt 48 TRACERT 405 Tracks Eraser 732 Transformationsdatei 134–135, 154 Treiber 31–33, 36, 41, 49, 51, 58, 60–62, 75, 85, 99, 101–103, 107–109, 111–119, 121–128, 196, 333, 345, 353–354, 360, 374, 376–377, 494–497, 500–502, 505–506, 511–512, 518, 523–524, 671, 690, 692, 796, 801, 852–853, 856, 918, 926–927 Treiberinstallationsverzeichnis 112 Treiberkonzept 107 Treiber-Rollback 117, 119 Treibersignierung 109 Treiberüberprüfungs-Manager 127–128 Trennseiten-Prozessor 497 Tskill 801 TweakUI 182, 188, 206, 808
U Überprüfungsstatus 128 UDB siehe Uniqueness Database UDB-Datei 44, 48, 63, 66, 68–70 UDF siehe Uniqueness Database File UDL siehe Universal Data Link Unbeaufsichtigte Installation 43, 56–57, 63–65, 96 UNC siehe Universal Naming Convention Uniqueness Database 44, 48, 63, 66, 70, 950 Uniqueness Database File 63, 277 Universal Data Link 925 Universal Disk Format 277 Universal Naming Convention 615 Universal Serial Bus 103, 105–106, 375, 499 Unix 281, 447, 459–463, 465, 470, 473–476, 479, 494, 506, 508 Unterroutine 875, 893 Update 30–31, 36–37, 40, 45–47, 51–52, 79, 82, 93–94, 96–97, 99, 121, 131, 139, 158, 168, 339, 409, 443, 500, 554, 595, 621–622, 689–690, 692, 725, 728, 951 Update-Installation 692 Update-Ratgeber 28, 36, 40 Update-Website 689–692, 795 USB siehe Universal Serial Bus USB-Controller 106 USB-Root-Hub 106 User Name Mapping 463, 468, 471 User State Migration Tool 29, 37, 88, 91 User.dat 257, 259, 649, 666–667 USMT siehe User State Migration Tool
983
Sandini Bib
Stichwortverzeichnis
V VBsEdit 881 Verknüpfung 145, 147, 178, 183, 203, 217, 280–281, 485, 490, 564, 591, 613–614, 651, 654, 798, 864, 874, 885, 942 Verschlüsselung 302–304, 308–309, 337, 344, 350–351, 357, 388, 474, 503, 583, 741, 750–751, 757–758 Vertrauenswürdige Sites 699, 702–703, 705, 708 Verzeichnisdienst 83, 557, 567–568, 901–902 Verzeichnisklassenname 900 Virenschutz 749 Virtual Desktop Manager 176 Virtual DOS Machine 147 Virtual Private Network 218, 329, 388, 391 Virus 138, 676, 703, 722, 747, 749, 752, 857 Visio 488 Visual Basic 870–873, 933 Visual Basic .NET 23 Visual Basic Script 870–873 Visual Studio .NET 913 Volume 274, 450, 455, 458 Volumenschattenkopie 820, 822 VPN siehe Virtual Private Network VPN-Verbindung 387–389, 391–392, 679 VS.NET siehe Visual Studio .NET
W Wake-On-LAN 370–371, 411, 688 Warnung 99, 109, 126, 690, 702, 778–779 Web Client Network 445–446 Web Sharing 452 Web-Based Distributed Authoring and Versioning 413, 445–446 WebDAV siehe Web-Based Distributed Authoring and Versioning Webfreigabe 402, 919 Wechseldatenträger 811 WEP siehe Wired Equivalent Privacy Whistler 939 Whoami.exe 235 Wiederherstellungs-Assistent 813 Wiederherstellungskonsole 44, 850–854, 857–858 Wiederherstellungspunkt 109, 727, 843, 845–846 Wi-Fi Protected Access 340 Wi-Fi-Certified 340 Win32 siehe Windows 32 API Windows 32 API 108, 951 Windows 9x-Client 372 Windows AntiSpyware 720, 723–725, 731 Windows Backup 811–813, 826 Windows Desktop 167, 176 Windows Explorer 95, 165, 167, 178, 182–183, 185– 187, 196, 199, 208, 263, 274, 279–284, 289, 294, 302–303, 310, 313, 316–317, 450, 491, 569, 651, 716, 719, 855, 861–862, 878, 919, 928, 942–943 Windows File System 943–944
984
Windows Frameworks 946 Windows Hardware Engineering Conference 939 Windows Installer 131, 270, 593 Windows Management Instrumentation 286, 291–292, 604, 637, 859, 866, 868, 877, 889–890, 894, 897, 951 Windows Management Instrumentation Command Line Tool 866–867, 869–870 Windows Messenger 213–214, 574 Windows Script Host 789, 859–860, 870–873, 876– 877 Windows Scripting 789, 870, 874, 892 Windows Scripting File 609 Windows Server Update Services 100 Windows Services for Unix 460 Windows Support Tools 207, 405, 407 Windows Update Services 99, 689–690 Windows XP Media Center Edition 2005 197 Windows-Dienst 469 Windows-Einstellungen 240, 249, 381, 592–594 Windows-Firewall 219, 679–681, 684, 686–687, 722 Windows-Installer 129–136, 138, 149–150, 153, 164 Windows-Installer-Paket 130, 134 Windows-Installer-Technologie 137 Windows-Katalog 27, 143–144 Windows-Support 190, 193 Windows-Update-Ratgeber 36, 40 Wine 482–487 WinFS siehe Windows File System WinFX siehe Windows Frameworks WinHEC siehe Windows Hardware Engineering Conference winnt.exe 42–43, 57, 61, 70 winnt32 28, 58, 70 Wired Equivalent Privacy 340, 344, 350, 352 Wireless LAN 337–338, 340–341, 343–345, 347– 348, 355, 366 Wireless Zero Configuration 347, 354 WLAN siehe Wireless LAN WMI Command Line Utility 866–867, 869–870 WMI Query Language 894 WMI siehe Windows Management Instrumentation Wmplayer.adm 595 WOL siehe Wake-On-LAN World Wide Web 867, 913 WPA siehe Wi-Fi Protected Access WSF siehe Windows Scripting File WSH siehe Windows Script Host WSUS siehe Windows Server Update Services Wuau.adm 595 Wurm 676 WUS siehe Windows Update Services WWW siehe World Wide Web WWW Spoofing 675 WZC siehe Wireless Zero Configuration
Sandini Bib
Stichwortverzeichnis
X
Z
XAML siehe XML Application Markup Language XML Application Markup Language 941 XML siehe Extensible Markup Language
Zertifikat 304–305, 307, 357–358, 555, 628, 703, 707, 709, 759–762 Zertifikatsmanager 306 Zertifikats-MMC 760–761 Zertifikatsregel 627–628 Zertifikatsspeicher 304–305, 307, 357, 760–761 Zertifizierungsstelle 358, 759–760, 762 Zielcomputer 42, 58–61, 72–73, 85, 90, 164, 218, 601, 634, 647, 668 Zugriffsrechteliste 287, 291 Zwischenspeicher 91, 104–105, 275–276
985
Sandini Bib
Copyright Daten, Texte, Design und Grafiken dieses eBooks, sowie die eventuell angebotenen eBook-Zusatzdaten sind urheberrechtlich geschützt. Dieses eBook stellen wir lediglich als persönliche Einzelplatz-Lizenz zur Verfügung! Jede andere Verwendung dieses eBooks oder zugehöriger Materialien und Informationen, einschliesslich •
der Reproduktion,
•
der Weitergabe,
•
des Weitervertriebs,
•
der Platzierung im Internet, in Intranets, in Extranets,
•
der Veränderung,
•
des Weiterverkaufs
•
und der Veröffentlichung
bedarf der schriftlichen Genehmigung des Verlags. Insbesondere ist die Entfernung oder Änderung des vom Verlag vergebenen Passwortschutzes ausdrücklich untersagt! Bei Fragen zu diesem Thema wenden Sie sich bitte an: [email protected] Zusatzdaten Möglicherweise liegt dem gedruckten Buch eine CD-ROM mit Zusatzdaten bei. Die Zurverfügungstellung dieser Daten auf unseren Websites ist eine freiwillige Leistung des Verlags. Der Rechtsweg ist ausgeschlossen. Hinweis Dieses und viele weitere eBooks können Sie rund um die Uhr und legal auf unserer Website
http://www.informit.de herunterladen