Windows-7-Deployment: dünne versus dicke Images

BildSeit Vista favorisiert Microsoft bei der Verteilung des Betriebssystems das Imaging auf Basis von WIM-Archiven, so dass die vorher übliche unbeaufsichtigte Installation mit Antwortdateien stark an Bedeutung verliert. Der Vorteil des neuen Verfahrens besteht darin, dass eine Referenzinstallation erfasst und auf eine Vielzahl von Rechnern mit unterschiedlicher Hardware-Ausstattung übertragen werden kann. Allerdings stellt sich die Frage, ob und wie viele Applikationen in das Image aufgenommen werden sollten.

Bei der Bereitstellung von Images für die Verteilung mit Hilfe von Deployment-Tools bieten sich grundsätzlich 3 verschiedene Strategien an:

Thick Image

Dieses enthält nicht nur das Betriebssystem inklusive verschiedener Anpassungen und Security Updates, sondern möglichst alle Anwendungen und Treiber, die auf den vorgesehenen PCs benötigt werden. Dieser traditionelle Ansatz eignet sich vor allem für kleinere Firmen, in denen alle Mitarbeiter ähnliche Anforderungen haben und nur eine Sprachversion von Windows benötigen.

Vorteile

  • Thick Images lassen sich relativ einfach bereitstellen. Nach dem Verallgemeinern mit Sysprep und Erfassen der Referenzinstallation mit ImageX muss das Abbild nur mehr auf die Zielrechner übertragen werden, etwa mit den Windows Deployment Services. Tools für die Verteilung von Anwendungen sind nicht erforderlich.
  • Da ein dickes Image alle nötigen Programme enthält, sind Benutzer nach der Installation des Systems sofort einsatzbereit. Sie müssen nicht darauf warten, bis alle Setup-Routinen gelaufen sind, um die benötigte Software zu installieren (etwa bei einer Verteilung über Gruppenrichtlinien).

Nachteile

  • Das größte Problem von Thick Images ist ihre Wartung. Da Rechner nicht nur anlässlich der Migration auf Windows 7 mit dem Standard-Image betankt werden, sondern bei jeder notwendigen Neuinstallation (kaputt konfiguriertes Windows, Anschaffung neuer PCs), muss es auf dem neuesten Stand gehalten werden. Updates und Service Packs für Windows und Office lassen sich offline mit DISM einspielen. Aber Patches für Software anderer Anbieter sowie generell neue Programmversionen kann man so nicht ins Image aufnehmen. Dafür muss die Referenzinstallation gebootet, aktualisiert, generalisiert und neu erfasst werden.
  • Die meisten Thick Images enthalten wahrscheinlich Programme, die von einem Teil der Mitarbeiter nicht benötigt werden. Dadurch entstehen unnötige Kosten für Lizenzen.
  • Aufgrund ihres Umfangs lassen sich solche Komplett-Images nur schlecht verteilen, wenn sie über ein WAN an Außenstellen transferiert werden müssen.

Thin Image

Während Thick Images unter XP im Zusammenspiel mit Cloning-Tools häufig eingesetzt werden, geht der Trend nun klar zu schlanken Systemabbildern. Dafür gibt es mehrere Ursachen: Zum einen stellt Microsoft mit dem Deployment Toolkit 2010 auch ein kostenloses Werkzeug zu Verfügung, das die nachträgliche Installation von Anwendungen automatisieren kann. Zum anderen fördern sowohl die Desktop- als auch die Applikations-Virtualisierung einen modularen Desktop, der im Widerspruch zur herkömmlichen Installation von Software steht. Im Extremfall enthält ein Thin Image nur Windows ohne irgendwelche Anpassungen.

Vorteile

  • Das Software-Angebot lässt sich besser auf die tatsächlichen Anforderungen der Benutzer zuschneiden, auf die Weise lassen sich Lizenzkosten einsparen.
  • Die Wartung eines solchen schlanken Abbilds verursacht einen relativ geringen Aufwand, da nur Patches und Service Packs für Windows eingespielt werden müssen.
  • Die Neuinstallation eines Rechners geht schnell vonstatten, wenn die Benutzerprofile durch entsprechende Software vom Betriebssystem losgelöst verwaltet werden, und wenn Anwendungen über RDS oder Applikations-Virtualisierung bereitgestellt werden.
  • Die Verteilung schlanker Images lässt sich über langsame Verbindungen eher bewerkstelligen als mit Thick Images.

Nachteile

  • Wenn, wie in den meisten Fällen üblich, die meisten Anwendungen noch auf klassische Weise installiert werden, sind entsprechende Tools für das System-Management erforderlich, die ein unbeaufsichtigtes Setup ermöglichen. Beim Einsatz von MDT 2010 müssen die Systemverwalter mit einigem Lernaufwand rechnen.
  • Je nach Distributionsmethode kann nach dem Aufspielen von Windows noch einige Zeit vergehen, bis der Benutzer über alle notwendigen Anwendungen verfügt.

Hybride Images

In der Praxis dürfte dieser Typus am häufigsten verbreitet sein, sogar bei virtuellen Desktops, wo die Hersteller die reine Lehre des schlanken Systemabbilds predigen. Dieser Ansatz beschreitet einen Mittelweg, indem er Anwendungen wie Office, die alle Benutzer brauchen, in das Image installiert. Hinzu kommen meistens noch Virenscanner oder ein VPN-Client. Abhängig davon, ob das hybride Image mehr in Richtung thin oder thick tendiert, handelt man sich die Vor- und Nachteile dieser beiden Typen ein.

3 Kommentare

Bild von Kurt Maurer
Kurt Maurer (Besucher) sagt:

Hallo,

mich würde interessieren, wie der Satz "Hinzu kommen meistens noch Virenscanner oder ein VPN-Client" genau gemeint ist.
Ist es empfehlenswert, Virenscanner und VPN-Clients (z.B. Cisco VPN CLient) ins Image zu integrieren oder erst zu installieren (Gruppenrichtlinie, MDT-Tasksequence, Skript), nachdem das Image aufgebracht wurde?
Zumindest in unserer Umgebung hatten wir mit älteren Rechnern (nVidia NForce 2) Probleme wenn der Cisco VPN CLient ins Win7-Image integriert war. Sporadisch ging die Netzwerkkonnektivität verloren. Nach Deinstallation des VPN-Clients trat der Fehler nicht mehr auf.

Danke und Gruß,

Bild von Wolfgang Sommergut

Gemeint ist damit, dass Microsoft seit Vista Thin Images favorisiert, aber dass sich die reine Lehre, wonach das Abbild nur Windows enthalten sollte, in der Praxis kaum durchsetzt. Es ist nämlich meistens sinnvoll, solche Anwendungen in das Image aufzunehmen, die von allen Benutzern benötigt werden.

Ähnlich sieht es bei virtuellen Desktops aus, wo Hersteller wie Citrix vom Golden Image sprechen, von dem alle VMs booten sollen. Hier ist die Situation allerdings etwas anders, weil es etwa nicht wünschenswert ist, einen Virenscanner in jeder VM laufen zu lassen. Vielmehr ist hier eine Host-basierte Lösung zu bevorzugen.

Bild von Christian Wimmer
Christian Wimmer (Besucher) sagt:

Wir haben mittlerweile nur noch 'Thin Images'. Unser Paketiermeister hat dadurch mehr Zeit um sich um andere Dinge wie regelmäßigere Updates von Adobe Reader & Co. zu kümmern als ständig die zig verschiedenen Images zu pflegen.

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht angezeigt. Wenn mit Ihrer angegebenen Mail-Adresse ein Gravatar verknüpft ist, dann wird dieser neben Ihrem Kommentar eingeblendet.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.
  • Mail-Adressen werden im Seitenquelltext unkenntlich gemacht, um sie vor dem automatischen Erfassen durch Spammer zu schützen.

Weitere Informationen über Formatierungsoptionen