Statt GPOs: Windows 10 konfigurieren mit Runtime Provisioning

    Packages hinzufügen in der App EinstellungenMicrosoft empfiehlt sowohl für den Umstieg auf Windows 10 als auch für seine weitere Aktua­li­sierung die Nutzung von Updates, wogegen eine Neuinstallation künftig eher die Ausnahme bleibt. Aber daneben gibt es mit Runtime Provisioning ein drittes Verfahren, das Installationen dynamisch anpassen und damit teilweise die Aufgaben von GPOs übernehmen kann.

    Windows Update mutiert in Windows 10 zum Migrations-Tool, indem es vorhandene Installationen von Windows 7 und 8.x auf die neueste Version des Betriebssystems aktualisieren kann. Dabei bleiben die bisherigen Einstellungen und die Benutzerdaten erhalten. Wie in der Vergangenheit dient dieser Mechanismus aber nur dem Einspielen von neuen System­komponenten, die Konfiguration des Rechners fällt nicht in seine Zuständigkeit.

    Konfiguration von neuen Firmen-PCs durch Re-Imaging

    Die Anpassung des Systems erfolgt bis dato vor seinem Deployment, wenn man sich für das traditionelle Wipe-and-Load-Verfahren entscheidet. Dabei konfiguriert der Administrator eine Referenzinstallation nach den Anforderungen des Unternehmens, erfasst diese Musterumgebung mit Tools wie DISM und verteilt sie auf die vorgesehenen Zielsysteme. Je nachdem, ob man sich für Thin oder Thick Images entscheidet, installiert man auch Anwendungen in das Abbild.

    Zu einem solchen Re-Imaging gehört oft auch ein angepasstes Standardprofil für die Benutzer, in dem ein großer Teil der Konfiguration gespeichert ist. Alternativ zu diesem statischen Ansatz kann man die meisten Einstellungen zur Laufzeit über Gruppenrichtlinien dynamisch zuweisen.

    Windows 10 ohne Neuinstallation anpassen

    Windows 10 bringt nun mit Runtime Provisioning einen neuen Mechanismus, der das Aufspielen von kompletten Images auf neue PCs vermeidet und die dynamische Anpassung des Systems während der Laufzeit erlaubt. Das Verfahren beruht auf der Verteilung von Packages, die neben Einstellungen auch Benutzerprofile und Anwendungen (Store Apps oder MSI-Dateien) enthalten können.

    Die Komponenten eines PPKG-Pakets für das Runtime Provisioning.

    Im Unterschied zu Gruppenrichtlinien lassen sich solche Pakete nicht nur auf Desktops und Laptops innerhalb einer Domäne anwenden, sondern auch auf mobile Geräte und PCs, die nicht einmal einen Zugang zum Netzwerk haben. Daher eignen sie sich besonders auch für Aufgaben, die vor dem Domain Join anstehen. Dazu zählen:

    • der Wechsel der Windows-Edition (etwa von Home zu Pro oder von Pro zu Enterprise)
    • das Umbenennen des Computers
    • das Entfernen von vorgegebenen Store Apps
    • das Installieren von Root-Zertifikaten
    • das Einrichten von WLAN-Profilen

    Auch der Beitritt zur Domäne selbst lässt sich auf diesem Weg bewerkstelligen, und mobile Geräte können sich damit bei einem MDM-System registrieren.

    Die wichtigsten Anwendungen von PPKG-Dateien sind Microsoft zufolge MDM, Domain Join und Compliance.

    Konfiguration von Desktops und mobilen Geräten

    Neben diesen Aufgaben, die typischerweise bei neuen PCs oder Smartphones anstehen, bevor sie die Ressourcen eines Firmennetzwerks nutzen können, lassen Provisioning Packages auch später im laufenden Betrieb eine Vielzahl von Anpassungen zu.

    Dazu gehören einerseits zahlreiche Policies, die besonders das Management von mobilen Geräten vereinfachen. Darunter fallen zum Beispiel Einstellungen wie AllowBluetooth, AllowCamera, AllowCellularDataRoaming, AllowNFC oder MinDevicePasswordLength.

    Viele der PPKG-Einstellungen treffen auf Desktops und mobile Geräte zu.

    Diese Mobile-spezifischen Optionen sollen jedoch nicht darüber hinwegtäuschen, dass ein großer Teil der Richtlinien auch auf Desktops anwendbar sind. Schließlich ist es erklärtes Ziel von Microsoft, das Management von Windows über alle Geräteklassen hinweg zu vereinheitlichen.

    Daher bieten ppkg-Dateien mehrere Einstellungen, die Administratoren traditionell über Gruppenrichtlinien konfigurieren. Darunter fällt nicht nur eine Reihe von Policies (wie etwa AllowCortana, für das es auch eine GPO-Entsprechung gibt), sondern auch solche zur generellen Anpassung des Systems:

    • Konfiguration des IE
    • Pfade für Dokumente
    • Aussehen des Startmenüs und des System Tray
    • Themes

    Startmenü und System Tray lassen sich nur eingeschränkt konfigurieren.

    Im Vergleich zu Gruppenrichtlinien bieten sie jedoch viel weniger Optionen und können somit GPOs längst noch nicht ersetzen. Allerdings ist es nicht unwahrscheinlich, dass der neue Package-Mechanismus mittel- oder längerfristig so weit ausgebaut wird, bis er ähnlichen Funktionsumfang bietet wie die etablierte Technik.

    Packages erstellen und verteilen

    Microsofts Tool, mit dem sich Provisioning Packages erstellen lassen, ist der Windows Imaging and Configuration Designer. Er ist Bestandteil des ADK für Windows 10. Für die Verwaltung von Paketen ist die App Einstellungen zuständig, die aktive Packages und die darin enthaltenen Einstellungen anzeigt.

    Als Methode zur Verteilung solcher Packages kommt fast alles in Frage, das Dateien übertragen kann. Dazu zählen E-Mail, USB-Sticks, NFC und USB-Tethering (nur für mobile Geräte). Die Benutzer müssen für die Erstkon­figuration nur das Package durch Doppelklick starten, um es zu importieren und zu aktivieren. Administratoren können die .ppkg-Dateien signieren und verschlüsseln, so dass unautorisierte Veränderungen der Systeme unterbunden werden.

    Provisioning Packages lassen sich beim Export verschlüsseln und signieren, um ihre vertrauenswürdige Herkunft zu belegen.

    In der Regel wird der Administrator nicht sämtliche Einstellungen in ein Package pressen, sondern wie bei GPOs einen modularen Ansatz wählen. Auf diese Weise lassen sich redundante Einstellungen vermeiden und spezifische Anforderungen durch die Kombination von Paketen abdecken.

    Die nötigen Rechte vorausgesetzt, können User installierte .ppkg-Dateien entfernen und so alle dadurch verursachten Anpassungen rückgängig machen. Dies ist eine interessante Option für mobile Geräte, die den Mitarbeitern gehören und die nicht Mitglied einer Domäne sind.

    1 Kommentar

    Messerschmidt sagt:
    10. März 2017 - 10:12

    Noch bin ich zwar nicht bei Windows 10 angekommen, aber ich bin kein Freund irgendwelcher Imaging Varianten. Nach immer wieder auftretenden Problemen (egal welche Win-Version) von PCs nach Image- oder Update Installation bevorzuge ich derzeit noch immer die direkte Installation des Betriebssystems (zZ als boot von USB-Stick) mit anschließenden automatischen Scriptabfolgen für reboot, Treiberinstallationen, Programme übers übers Netzwerk, ...usw.... und Aktivierung.
    Dabei werden nur die notwendigsten Rechnerkonfigurationen bereits über die Scripte mit abgearbeitet. Alle weiteren Anpassungen erfolgen dann über !eine! zentrale Instanz (GPO)
    >>>> also USB-Stick anstecken -> PC starten -> Taste drücken -> weggehen
    Anschließend ist der PC voll einsatzfähig mit allen Standardprogrammen komplett installiert und der Domäne beigetreten.
    Selbst neue Treiber werden von mir nur noch dazu kopiert. Ansonsten aktualisiere ich gelegentlich nur noch bei Notwendigkeit einzelne Programme über das entsprechende Script.
    Daher ist eine PC Neuinstallation bei uns jederzeit auch von einen non-Admin durchführbar. Weitere Aktualisierungen werden anschließend von einer vorhandenen Update-Instanz durchgeführt.

    Während der Installation könnte der Nutzer dank servergespeicherter Profile ohne Probleme an einem anderen Rechner weiter arbeiten. (Wartezeit gleich null)
    Einmal alles durchkonfiguriert beläuft sich daher mein aktueller administrativer Aufwand für eine PC Neuinstallationen selbst während meiner Abwesenheit (Urlaub, Krankheit, etc.) auch in entfernten Standorten ..... >>> Stopp - Moment mal - "Aufwand" ??? Das ist eigentlich kein Aufwand mehr. Zusätzlich ist es auch noch kostengünstig (nur USB-Stick und vorhandenes LAN)
    Der größte Aufwand ist einen defekten PC zu tauschen.

    Eine Paketverwaltung welche auch die nicht bzw. kaum verfügbaren mobilen Geräte mit Windows 10 mit einbezieht halte ich derzeit für überflüssig.
    Ansonsten lasse ich mich überraschen, welche zusätzlichen Vorteile das Runtime Provisioning bringen könnte. Derzeit bin ich der Meinung, dass es durch die zusätzliche mögliche Instanz für Konfigurationen eher zu Verwirrungen und zu umfangreicheren Fehlersuchen in Firmenumgebungen führen wird.

    Bei allen was Microsoft derzeit rund um Windows 10 anpasst kann ich mich nicht des Eindrucks entziehen, dass die administrative Kontrolle in Firmenumgebungen immer mehr erschwert werden soll. Oder hat Microsoft vielleicht nur keine Lust mehr die führende Erfahrung für und in Firmenumgebungen fortzusetzen?