Sysprep: Windows-Image für das Deployment vorbereiten

Die GUI von sysprepSysprep alias System Preparation Tool, ist schon seit Windows 2000 ein wichtiges Werkzeug für PC-Hersteller und Admins, wenn sie die Installation des Betriebssystems automatisieren möchten. Sein wesentlicher Zweck besteht darin, eine individuell angepasste Referenzinstallation für das Kopieren auf andere PCs vorzubereiten. Dabei ist es gleichgültig, ob man für das Klonen des Images anschließend die kostenlosen Tools das Windows AIK oder Produkte von Drittanbietern verwendet.

Obwohl sein Funktionsumfang überschaubar ist, gibt es immer wieder Missverständnisse über den Zweck von sysprep und seine Funktionsweise. Das liegt vor allem am komplizierten Windows-Setup mit seinen verschiedenen Konfigurationsphasen und den ebenfalls nicht einfachen Antwortdateien, mit denen sysprep verknüpft ist. Und schließlich wirkt sich sysprep auch auf die Aktivierung des Betriebssystems aus, für die ebenfalls eigene Regeln gelten.

Systeminformationen aus Image entfernen

Während unter XP die unbeaufsichtigte Installation mit einer Antwortdatei das gängige Verfahren zur automatischen Einrichtung des Betriebssystems war, ist seit Vista das Verteilen von WIM-Images die bevorzugte Methode. Viele Administratoren sparen sich daher das langwierige Erstellen einer Antwortdatei mit Windows SIM, weil der Aufwand dafür zu groß ist, um bloß eine Referenzinstallation einzurichten. Diese lässt sich am besten interaktiv mit Windows Setup in einer virtuellen Maschine durchführen und anschließend mit ImageX erfassen.

Bevor man das erfasste Abbild auf andere PCs übertragen kann, müssen alle individuellen Systeminformationen aus der Installation entfernt werden. Zu diesem Zweck bietet sysprep den Parameter /generalize. Das Tool befindet sich unter %SYSTEMROOT%/system32/sysprep, seine Ausführung erfordert Administratorrechte. Wichtig ist, dass man die mit dem Betriebssystem installierte Version von sysprep verwendet.

sysprep /generalize löscht folgende Informationen:

  • Alle Einträge in der Ereignisanzeige;
  • Alle Wiederherstellungspunkte;
  • es deaktiviert das Konto des lokalen Administrators und löscht sein Profil;
  • Security Identifier (SID);
  • Plug- und Play-Gerätetreiber, die während der Installation hinzugefügt wurden;
  • die Mitgliedschaft in Domänen und wechselt den PC in die Arbeitsgruppe "Workgroup".

Sysprep als Teil von Windows-Setup

Auch wenn man bloß eine Referenzinstallation für die Übertragung auf andere PCs vorbereiten möchte, kommt man nicht umhin, sich mit den Konfigurationsschritten des Setup-Programms auseinanderzusetzen. Das beginnt damit, dass /generalize als alleiniger Parameter nicht zulässig ist. Vielmehr ist es erforderlich anzugeben, in welche Setup-Phase Windows nach dem nächsten Start booten soll.

Zur Auswahl stehen die Parameter /oobe und /audit. Ersteres steht für "Out-of-Box experience" und führt zur Willkommensseite, wie man sie nach einer manuellen Installation von Windows erhält. Dies ist die bevorzugte Option für OEMs, um neue Rechner mit Windows auszustatten. Im Unternehmen hingegen möchte man in der Regel die Benutzer nicht mit der Willkommensseite konfrontieren. Die Audit- bzw. Überwachungsphase umgeht daher diesen Modus zur interaktiven Systemkonfiguration und bietet die Möglichkeit, Treiber oder Anwendungen zu installieren.

Setup-Konfigurationsphase "audit"Sowohl der Option /oobe als auch /audit sind Abschnitte in der Antwortdatei zugeordnet, die Windows-Setup während dieser Phasen abarbeitet und die den Abschluss der Installation auf dem Zielrechner automatisieren können. Im Fall des Überwachungsmodus sind es gleich zwei Konfigurationsschritte, die auditSystem und auditUser heißen. Sowohl /oobe als auch /audit lassen sich auch ohne ein /generalize ausführen.

Windows-Aktivierung kontrollieren

Neben den oben erwähnten Systeminformationen löscht sysprep /generalize auch die Aktivierung des Systems. Abhängig vom Lizenztyp muss man sparsam mit dieser Funktion umgehen. Während OEM-Lizenzen in der Regel nicht aktiviert werden müssen, und für Clients, die mittels KMS aktiviert wurden, eine Neuaktivierung beliebig oft erfolgen darf, kann in den anderen Fällen die Aktivierung nur 3 Mal zurückgesetzt werden. Mit Hilfe des Befehls

slmgr /dlv

kann der Zähler abgefragt werden, der Auskunft darüber gibt, wo oft auf einer Installation die Aktivierung noch zurückgesetzt werden kann.

Windows-Aktivierung mit Hilfe einer Antwortdatei vor dem Zurücksetzen durch sysprep bewahrenWenn man sysprep /generalize öfter ausführen, aber nicht jedes Mal die Aktivierung zurücksetzen möchte, dann muss man eine Antwortdatei erstellen, die für den Konfigurationsschritt generalize unter Microsoft-Windows-Security-SPP den Parameter skiprearm auf den Wert 1 setzt. Den Namen der gewählten Antwortdatei übergibt man sysprep mit Hilfe des Parameters /unattend:[Antwortdatei]. Im Abschnitt generalize lassen sich noch einige andere Einstellungen vornehmen, die von Windows SIM als solche gekennzeichnet werden.

sysprep über die GUI bedienen

Die GUI von sysprepAuch wenn die geringe Zahl an möglichen Parametern selbst Kommandozeilenmuffel nicht erschrecken wird, bietet sysprep eine grafische Oberfläche, sobald man es ohne Parameter startet. Über das obere Pulldown-Menü wählt man die Setup-Phase, in die Windows nach erfolgtem sysprep beim nächsten Starten booten soll. Hinter der Checkbox "Verallgemeinern" verbirgt sich der Parameter /generalize, der optional ist.

Irreführend wirken die "Optionen für das Herunterfahren": Sie beziehen sich nicht auf Windows, sondern auf Aktionen, die nach dem Ende von sysprep ausgeführt werden sollen. Neustart (entspricht auf der Kommandozeile /reboot) und Herunterfahren (entspricht /shutdown) bedeuten, dass Windows nach der Ausführung von sysprep neu gestartet oder heruntergefahren werden soll, Beenden heißt dagegen, dass nach sysprep nichts passieren soll (entspricht dem Parameter /quit)

generalize nicht für alle Server-Rollen geeignet

Die Deployment-Tools von Microsoft eignen sich gleichermaßen für Client und Server. Bei der Vorbereitung von Server-Images ist jedoch zu beachten, dass sysprep /generalize nicht auf Images mit allen Server-Rollen angewandt werden kann. Unter Windows Server 2008 R2 sind folgende Rollen mit diesem Befehl kompatibel:

  • Anwendungs-Server
  • File-Server
  • Print-Server
  • Hyper-V
  • Web-Server
  • RDS Session Host (ehemals Terminal Services)

Rollen, die nicht für die Verallgemeinerung durch sysprep vorgesehen sind, müssen nach dem Deployment des Images aktiviert werden.

10 Kommentare

Bild von Roderich Foramitti
Roderich Foramitti (Besucher) sagt:

sehr interessantes zusatzpgogramm, habe vorher noch nie etwas davon
gehoert. beabsichtige es in zukunft zu abonnieren.
mfg roderich foramitti

Bild von Robert Dannhauer
Robert Dannhauer (Besucher) sagt:

Danke für diesen höchst informativen Beitrag!
Da ich momentan für die Imageverwaltung zuständig bin, hat mir dieser Beitrag sehr geholfen. Danke!

Bild von V. Imre
V. Imre (Besucher) sagt:

Guten Morgen,

sind Sie sicher, dass das korrekt ist?

"* es deaktiviert das Konto des lokalen Administrators und löscht sein Profil;"

In dem Fall würde "CopyProfile" in der unattend.xml nicht funktionieren, da dies erst im "specialize pass" nach dem Neustart des ausgebrachten Images durchgeführt wird.

MfG
V. Imre

Bild von Wolfgang Sommergut

Es ist schon einige Zeit her, dass ich den Beitrag geschrieben habe, aber ich habe es damals ausprobiert und bin daher ziemlich sicher. Im TechNet habe ich keinen Beleg dafür gefunden, aber es gibt in diversen Foren Anfragen, wie man das Löschen des Admin-Profiles verhindern kann. Im übrigen scheint es sinnvoll, die Daten und Einstellungen des Admin-Kontos zu entfernen, wenn man ein generisches Image haben möchte.

Bild von MVC-Computertechnik
MVC-Computertechnik (Besucher) sagt:

Hallo zusammen,

ich finde diesen Beitrag sehr informativ und würde diesen weiterempfehlen.
Es stimmt das beim "Sysrep /generalize" das lokale Administrator Konto deaktiviert wird. Man kann diesen aber wieder über die Unattended.xml aktivieren und diesem ein Passwort zuweisen.

Ich erstelle meine Unattended.xml mit dem Windows System Image Manager (WAIK), unter dem Punkt 7.oobeSystem / AutoLogon --> trage ich den lokalen Administrator und ein Passwort (das ich frei vergebe) ein und setzte bei "Enabled" true ein. Somit ist der Admin Account wieder aktiv!

Eine komplette Anleitung werde ich in den nächsten Tage auch auf meinem Blog hochladen.

Bild von azubi
azubi (Besucher) sagt:

schlechte Zusammenfassung, ich wusste vorher nicht was es macht und jetzt auch nicht. Hier fehlen beispiele, was ist wenn ich ein Master Abbild erstellen möchte, das ich später von einem WDS Server verteilen möchte??? wie kann ich einen referenz client erstellen und dieses sysprep dafür nutzen ..? viele offene fragen ..diese Zusammenfassung hat mir null gebracht ..danke trotzdem

Bild von Gast1
Gast1 (Besucher) sagt:

Ich suche auch schon länger nach der Möglichkeit mehr Einstellungen für sysprep anzuwenden.
Beispielsweise eine Domäne & lokales Adminkennwort zu hinterlegen.
Bei Windows xp waren diese Daten einfach in einer Textdatei gespeichert.
Bei Windows 7 gibt es nur den komplizierten Weg über ein PE Image mit WAIK?

Danke für die Info

Bild von CF
CF (Besucher) sagt:

Sorry, aber hier von schlechter Zusammenfassung zu reden, wo sich doch jemand kostenlos die Mühe macht, etwas Licht in den Informatik-Dschungel zu bringen, halte ich für ziemlich unangebracht...

Bild von daniel
daniel (Besucher) sagt:

community.certbase.de/blogs/mg/archive/...

da steht alles was nötig ist. Im Übrigen aus dem handbuch von waik.

btw, ein IT-"Fachmann" der nichts von sysprep gehört hat, sollte sich mehr mit dem Thema befassen. außerdem bin ich der meinung, das Drittanbieter-Software, womöglich noch Freeware, nichts in den essentials von IT-"Fachmännern" verloren hat, wenn es ums Verteilen von Software über ein Netzwerk (Firmennetzwerk) geht.

Microsoft liefert alles was man dafür braucht. Ob nun ein Server eingesetzt wird der die Software verteilt oder ob man die Installation manuell anwirft und automatisiert laufen lässt.

Bild von flint
flint (Besucher) sagt:

Nur weil etwas kostenlos ist, bedeutet dies doch noch lange nicht, dass Kritik gleich unangebracht ist. So zu denken wäre doch recht kurzsichtig.

Mir hat der Artikel leider auch nicht alle gewünschten Antworten liefern können, wenn er auchgleich in Bezug auf Sysprep erschöpfend schien. Direkte Anwenundgsbeispiele wären sehr wünschenswert gewesen.

Warum ein IT-ler sich mehr mit sysprep befassen sollte (was gibt es da schon groß zu wissen) kann ich nicht ganz nachvollziehen. Die IT besteht ja nicht nur aus diesem Bereich und ein, sagen wir mal Programmierer, braucht über sysprep gar nichts zu wissen.

Auch hat diesbezüglich hat der Artikel auch nach meinem Wissen alles ausgeschöpft. Nur fehlen einfach praktische Beispiele in Kombination mit WIM, SIM WDS, Windows AIK etc.pp. So konnte ich nur dank Vorwissen dem ganzen folgen, dennoch fühle ich mich jetzt genau so sehr in der Lage dies alles umzusetzen, wie zuvor.

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht angezeigt. Wenn mit Ihrer angegebenen Mail-Adresse ein Gravatar verknüpft ist, dann wird dieser neben Ihrem Kommentar eingeblendet.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.
  • Mail-Adressen werden im Seitenquelltext unkenntlich gemacht, um sie vor dem automatischen Erfassen durch Spammer zu schützen.

Weitere Informationen über Formatierungsoptionen