Windows 10 anpassen mit ICD: Benutzer, Zertifikate, WiFi- und VPN-Profile

    Windows DeploymentDas ADK für Windows 10 enthält mit dem Imaging and Confi­guration Designer (ICD) ein neues Tool, dessen Provi­sioning Packages viele Ein­stel­lungen von Windows 10 zur Lauf­zeit ändern können. Dazu zählen etwa die Edition, das Aus­sehen des Desktops, WLAN-und VPN-Profile, Zerti­fikate oder Benutzerkonten.

    Das Deployment von Windows in Unternehmen beruhte bisher fast immer auf dem so genannten Wipe-and-Load-Verfahren, bei dem der Administrator ein angepasstes Image auf die Rechner aufspielt und damit die alte Installation überschreibt.

    Erstellen von Images und Packages

    Der Imaging and Configuration Designer eignet sich neben anderen Tools wie etwa dem MDT ebenfalls dazu, solche firmen­spezifischen Systemabbilder zu erstellen. In dieser Funktion richtet sich ICD besonders an OEMs oder System Builder.

    Daneben kann der ICD aber auch die Konfiguration alleine in so genannten Provisioning Packages (.ppkg) speichern, die anschließend auf vorhandenen Installationen von Windows 10 ausgeführt werden.

    Anpassung von OEM-Windows auf Neugeräten

    Diese Option ist besonders dann interessant, wenn Unternehmen nicht mit einem großen Migrations-Projekt komplett auf Windows 10 umsteigen, sondern das aktuellste Betriebssystem nach und nach einführen, indem sie die PCs laufend erneuern. Diese enthalten in der Regel bereits eine OEM-Version, die sich mit Hilfe von ICD ohne OS-Neuinstallation anpassen lässt.

    Die wichtigsten Anwendungen von PPKG-Dateien sind Microsoft zufolge MDM, Domain Join und Compliance.

    Eine weitere Anwendung dieser Technik, die Microsoft Dynamic Provisioning nennt, ist die Konfiguration von PCs in Workgroups. Nachdem dort keine zentralen Gruppen­richtlinien zur Verfügung stehen, können Provisioning Packages deren Aufgaben zu einem gewissen Grad übernehmen. Sie bieten zwar nur einen Bruchteil der Einstellungen von GPOs, darunter sind aber viele gängige Parameter.

    Neues Package erstellen

    Um ein Provisioning Package zu erzeugen, muss man im ICD erst ein neues Projekt anlegen. Dazu klickt man auf seiner Startseite auf die Kachel Neues Bereitstellungspaket. Nach der Vergabe des Projektnamens wählt man die Variante von Windows aus, die man konfigurieren möchte.

    Für ein neues Bereitstellungspaket legt man ein entsprechendes Projekt über die Kachel auf der Startseite an.

    Das voreingestellte Common to all Windows Editions zeigt anschließend bei den Einstellungen nur den kleinsten gemeinsamen Nenner zwischen Desktop- und mobilen Versionen. Wenn man mit einem Paket nur PCs konfigurieren möchte, dann wird man sich daher für All Desktop Editions entscheiden. Der nächste Dialog erlaubt den Import eines Packages zu seiner weiteren Bearbeitung, man wird ihn zumeist überspringen.

    Nur Laufzeiteinstellungen nutzbar

    Nach Abschluss des Wizards kann man sich daran machen, die im linken Rahmen angezeigten Einstellungen zu konfigurieren. Für das Dynamic Provisioning eignen sich nur die Optionen in der Kategorie Laufzeit­einstellungen. Möchte man diese Auswahl für den typischen Gebrauch durch Administratoren einschränken, dann wählt man aus dem Pulldown-Menü den Eintrag Allgemeine IT-Pro-Einstellungen.

    Unter den Laufzeiteinstellungen kann man unter anderem WLAN-Profile hinzufügen.

    Angesichts der kärglichen Dokumentation ist jedoch unklar, welche Einstellungen sich unter welchen Bedingungen anwenden lassen. Packages können nämlich nach der Ausführung von sysprep auf eine Installation angewendet werden, die in die OOBE oder den Audit Mode booten, aber auch auf ein bereits im Einsatz befindliches Windows 10.

    Konfiguration von vielen Systemkomponenten

    Zu den gängigsten Optionen zählt das Hinzufügen von Benutzerkonten, das Einrichten von Verbindungsprofilen für VPN, WLAN oder Exchange, das Upgrade der Windows-Edition sowie das Anpassen des Startmenüs (dessen Einstellungen man vorher von einem Muster-PC exportiert hat). Hinzu kommt eine Liste von Policies für Systemkomponenten, darunter Bitlocker, Suche, Cortana, Browser oder Defender.

    Packages lassen sich vor dem Exportieren verschlüsseln und signieren.

    Hat man die gewünschten Einstellungen für ein Package konfiguriert, dann kann man dieses über den entsprechenden Befehl exportieren. Dieser startet einen Wizard, der im ersten Dialog die Eingabe der Versionsnummer und die Auswahl des Besitzers erwartet (IT-Administrator hat die höchste Priorität).

    Anschließend besteht die Möglichkeit, das Paket zu verschlüsseln, um es gegen das Auslesen von sensiblen Daten zu schützen. Außerdem lassen sie sich hier mit einem Zertifikat signieren, um zu belegen, dass sie aus einer vertrauenswürdigen Quelle stammen.

    Verteilen und Entfernen von .ppkg-Dateien

    Provisioning Packages können auf Netzlaufwerke oder Wechseldatenträger kopiert und von dort direkt ausgeführt werden.

    Nachfrage beim Ausführen einer .ppkg-Datei

    Beim Verteilen über einen USB-Stick kann man ein Paket auch über die App Einstellungen importieren, indem man dort nach Konten => Arbeitsplatzzugriff wechselt und dem Link Paket für Arbeitsplatz oder Schule hinzufügen oder entfernen folgt. Die App zeigt beim Import eine Liste der Kategorien an, unter welche die Einstellungen im Package fallen. Diese Übersicht erhält man auch für bereits vorhandene Pakete.

    Provisioning Packages lassen sich über die App Einstellungen hinzufügen und entfernen.

    Die importierten .ppkg-Dateien werden unter %ProgramData%\­Microsoft\­Provisioning abgelegt. Möchte man sie wieder entfernen, dann kann man das über die genannte Funktion in der App Einstellungen tun.

    Keine Kommentare