Sysprep: Windows-Image für das Deployment vorbereiten

Während unter XP die unbeaufsichtigte Installation mit einer Antwortdatei das gängige Verfahren zur automatischen Einrichtung des Betriebssystems war, ist seit Vista das Verteilen von WIM-Images die bevorzugte Methode. Viele Administratoren sparen sich daher das langwierige Erstellen einer Antwortdatei mit Windows SIM, weil der Aufwand dafür zu groß ist, um bloß eine Referenzinstallation einzurichten. Diese lässt sich am besten interaktiv mit Windows Setup in einer virtuellen Maschine durchführen und anschließend mit ImageX erfassen.

Bevor man das erfasste Abbild auf andere PCs übertragen kann, müssen alle individuellen Systeminformationen aus der Installation entfernt werden. Zu diesem Zweck bietet sysprep den Parameter /generalize. Das Tool befindet sich unter %SYSTEMROOT%\system32\sysprep, seine Ausführung erfordert Administratorrechte. Wichtig ist, dass man die mit dem Betriebssystem installierte Version von sysprep verwendet.

sysprep /generalize löscht folgende Informationen:

• Alle Einträge in der Ereignisanzeige;
• Alle Wiederherstellungspunkte;
• es deaktiviert das Konto des lokalen Administrators und löscht sein Profil;
• Security Identifier (SID);
• Plug- und Play-Gerätetreiber, die während der Installation hinzugefügt wurden;
• die Mitgliedschaft in Domänen und wechselt den PC in die Arbeitsgruppe "Workgroup".

Sysprep als Teil von Windows-Setup

Auch wenn man bloß eine Referenzinstallation für die Übertragung auf andere PCs vorbereiten möchte, kommt man nicht umhin, sich mit den Konfigurationsschritten des Setup-Programms auseinanderzusetzen. Das beginnt damit, dass /generalize als alleiniger Parameter nicht zulässig ist. Vielmehr ist es erforderlich anzugeben, in welche Setup-Phase Windows nach dem nächsten Start booten soll.

Zur Auswahl stehen die Parameter /oobe und /audit. Ersteres steht für "Out-of-Box experience" und führt zur Willkommensseite, wie man sie nach einer manuellen Installation von Windows erhält. Dies ist die bevorzugte Option für OEMs, um neue Rechner mit Windows auszustatten. Im Unternehmen hingegen möchte man in der Regel die Benutzer nicht mit der Willkommensseite konfrontieren. Die Audit- bzw. Überwachungsphase umgeht daher diesen Modus zur interaktiven Systemkonfiguration und bietet die Möglichkeit, Treiber oder Anwendungen zu installieren.

Sowohl der Option /oobe als auch /audit sind Abschnitte in der Antwortdatei zugeordnet, die Windows-Setup während dieser Phasen abarbeitet und die den Abschluss der Installation auf dem Zielrechner automatisieren können. Im Fall des Überwachungsmodus sind es gleich zwei Konfigurationsschritte, die auditSystem und auditUser heißen. Sowohl /oobe als auch /audit lassen sich auch ohne ein /generalize ausführen.

Windows-Aktivierung kontrollieren

Neben den oben erwähnten Systeminformationen löscht sysprep /generalize auch die Aktivierung des Systems. Abhängig vom Lizenztyp muss man sparsam mit dieser Funktion umgehen. Während OEM-Lizenzen in der Regel nicht aktiviert werden müssen, und für Clients, die mittels KMS aktiviert wurden, eine Neuaktivierung beliebig oft erfolgen darf, kann in den anderen Fällen die Aktivierung nur 3 Mal zurückgesetzt werden. Mit Hilfe des Befehls

slmgr /dlv

kann der Zähler abgefragt werden, der Auskunft darüber gibt, wo oft auf einer Installation die Aktivierung noch zurückgesetzt werden kann.

Wenn man sysprep /generalize öfter ausführen, aber nicht jedes Mal die Aktivierung zurücksetzen möchte, dann muss man eine Antwortdatei erstellen, die für den Konfigurationsschritt generalize unter Microsoft-Windows-Security-SPP den Parameter skiprearm auf den Wert 1 setzt. Den Namen der gewählten Antwortdatei übergibt man sysprep mit Hilfe des Parameters /unattend:[Antwortdatei]. Im Abschnitt generalize lassen sich noch einige andere Einstellungen vornehmen, die von Windows SIM als solche gekennzeichnet werden.

sysprep über die GUI bedienen

Auch wenn die geringe Zahl an möglichen Parametern selbst Kommandozeilenmuffel nicht erschrecken wird, bietet sysprep eine grafische Oberfläche, sobald man es ohne Parameter startet. Über das obere Pulldown-Menü wählt man die Setup-Phase, in die Windows nach erfolgtem sysprep beim nächsten Starten booten soll. Hinter der Checkbox "Verallgemeinern" verbirgt sich der Parameter /generalize, der optional ist.

Irreführend wirken die "Optionen für das Herunterfahren": Sie beziehen sich nicht auf Windows, sondern auf Aktionen, die nach dem Ende von sysprep ausgeführt werden sollen. Neustart (entspricht auf der Kommandozeile /reboot) und Herunterfahren (entspricht /shutdown) bedeuten, dass Windows nach der Ausführung von sysprep neu gestartet oder heruntergefahren werden soll, Beenden heißt dagegen, dass nach sysprep nichts passieren soll (entspricht dem Parameter /quit)

generalize nicht für alle Server-Rollen geeignet

Die Deployment-Tools von Microsoft eignen sich gleichermaßen für Client und Server. Bei der Vorbereitung von Server-Images ist jedoch zu beachten, dass sysprep /generalize nicht auf Images mit allen Server-Rollen angewandt werden kann. Unter Windows Server 2008 R2 sind folgende Rollen mit diesem Befehl kompatibel:

• Anwendungs-Server
• File-Server
• Print-Server
• Hyper-V
• Web-Server
• RDS Session Host (ehemals Terminal Services)

Rollen, die nicht für die Verallgemeinerung durch sysprep vorgesehen sind, müssen nach dem Deployment des Images aktiviert werden.