• English
Shop

| | Modern Workplace 0

Windows 10 Enterprise Serie – Windows Provisioning

>> zur Übersicht und Einleitung der Blogserie “Windows Enterprise Serie”

Mit Windows 10 können Bereitstellungspakete erstellt werden, die das schnelle und effiziente Konfigurieren eines Geräts ermöglichen ohne ein neues OS Image installieren zu müssen.
Bereitstellungspakete sind so einfach aufgebaut, dass Benutzer ohne technischen Hintergrund nur eine kurze schriftliche Anleitung benötigen, um damit ihr Gerät zu konfigurieren. Dies kann eine erhebliche Einsparung in Bezug auf den Zeitaufwand bedeuten, der zum Konfigurieren einer größeren Zahl von Geräten in einem Unternehmen anfällt.

Voraussetzungen

Bereitstellungspakete können auf jeder Windows 10 Edition (inkl. Mobile) ohne weitere Softwareinstallationen angewendet werden.
Für die Erstellung von Bereitstellungspaketen wird lediglich der Windows Imageerstellungs- und Konfigurationsdesigner (ICD) benötigt, der Bestandteil des Windows 10 Assessment and Deployment Kits (Windows ADK) ist.

 

Was ist Provisioning?

Bei traditionellen Deployments von Betriebssystemen wird das Image entweder bereits vor seiner Verteilung durch den Administrator angepasst oder im Rahmen eines automatisierten OS Deployments zum Zeitpunkt der Verteilung konfiguriert. Später gewünschte Änderungen an Kernkomponenten des Betriebssystems führen in den meisten Fällen zu einem Neuaufsetzen (Wipe and Load) des Gerätes.
Mit Windows 10 führt Microsoft nun Provisioning ein, welches dem Administrator erlaubt, das Betriebssystem auch im laufenden Betrieb ohne Neuaufsetzen des Systems anzupassen. Dies geschieht durch die Verteilung von Bereitstellungspaketen, die dann auf sehr einfache Art und Weise sogar von unerfahrenen Benutzern auf ihrem System angewendet werden können.

Vorteile von Bereitstellungspaketen

  • Schnelles Konfigurieren eines neuen Geräts ohne Installation eines neuen Images
  • Konfiguration von mobilen Geräten und Desktops bzw. Notebook mit einem Bereitstellungspaket
  • Schnelles Konfigurieren der eigenen Geräte von Mitarbeitern in einer Organisation ohne Infrastruktur für die mobile Geräteverwaltung (MDM)
  • Einrichten eines Geräts, ohne dass für das Gerät eine Netzwerkverbindung besteht

Was sind Bereitstellungspakete?

  • Format der Bereitstellungspakete ist *.PPKG (WIM Container)
  • Inhalt von Bereitstellungspaketen

– Einstellungen
– Profile
– Inhalt (Daten, Setups, …)

Einstellungen von Bereitstellungspaketen

  • Editionsupgrades

– Angabe des Lizenzschlüssels für ein Editionsupgrade
– Kein Re-Imaging erforderlich

  • Initiales Setup

– Computername (Prefix + Zufallszahl oder Seriennummer)
– Start einer Anwendung nach Abschluss des Willkommensassistenten
– Anlegen von lokalen Benutzern, Passworten und Gruppen

  • Integration in Unternehmen

– Beitritt in ein lokales Active Directory
– Beitritt in ein Azure Active Directory
– MDM Enrollment mit Benutzernamen und Passwort oder Zertifikat

  • Windows Apps

– Installation von mit einem Unternehmenszertifikat signierten Business Apps
– Installation von Store Apps mit einer Business Lizenz
– Deinstallation bereits vorhandener Apps

  • Win32 Scripts

– Installation von MSI Paketen
– Ausführung von Scripts (Powershell)

  • Konnektivitätsprofile

– WLAN
– Proxyeinstellungen
– E-Mail

  • Unternehmensrichtlinien/Sicherheitseinschränkungen

– Kennwort
– Gerätesperre
– Kamera usw.
– Verschlüsselung
– Aktualisierungseinstellungen

  • Zertifikate

– Stammzertifizierungsstelle (CA)
– Clientzertifikate

  • Datenressourcen

– Dokumente
– Musik
– Videos
– Bilder

  • Anpassung des Startmenüs

– Layout des Startmenüs
– Anheften von Anwendungen

Erstellung von Bereitstellungspaketen

Bereitstellungpakete können mit dem Windows Imageerstellungs- und Konfigurationsdesigner (ICD) erstellt werden, und anschließend als eigenständiges Paket abgespeichert oder in ein bestehendes Windows 10 Image im WIM-Format integriert werden.

Der Windows Imageerstellungs- und Konfigurationsdesigner (ICD) ist Teil des Windows Assessment and Deployment Kits für Windows 10, das hier heruntergeladen werden kann: http://go.microsoft.com/fwlink/p/?LinkId=526740

Für die Verwendung des Windows Imageerstellungs- und Konfigurationsdesigners (ICD) müssen bei der Installation folgende Feature ausgewählt werden:
– Bereitstellungstools
– Windows-Vorinstallationsumgebung (Windows PE)
– Windows Imageerstellungs- und Konfigurationsdesigner (ICD)
– Windows-EasyTransfer (Windows User State Migration Tool, USMT)

Bereitstellungspakete können für alle Editionen, Desktop, Mobile oder IoT Geräte erstellt werden


Bereitstellungspakete können mittels eines Passworts verschlüsselt werden um ihren Inhalt zu schützen, und mit einem Zertifikat signiert werden um Anwender vor möglicherweise schädlichen Bereitstellungspaketen zu schützen.

Bereitstellung von Bereitstellungspaketen

  • Wechselmedien, z. B. SD-Karte oder USB-Stick
  • Als Anhang einer E-Mail
  • Per Download von einer Netzwerkfreigabe oder einer URL
  • Integration in ein Unternehmensimage

Anwendung von Bereitstellungspaketen

Anwendungsarten

  • Neue Geräte / Willkommensassistent (First Run Experience) – 5-mal Drücken der Windowstaste

– Wechselmedien, z. B. SD-Karte oder USB-Stick auf Desktop und Mobilgeräten
– NFC nur auf Mobilgeräten

  • Zur Laufzeit auf bereits installierten Geräten

– Doppelklick auf ein Bereitstellungspaket (*.PPKG) (Email, lokale Festplatte, Wechselmedium, URL)

– Einstellungen->Konten->Arbeitsplatzzugriff->Verwaltungspaket hinzufügen oder entfernen

– Beim Anwenden von Bereitstellungspaketen zur Laufzeit sind lokale Administratorrechte auf dem Gerät erforderlich

  • Offline Anwendung

– Per Kommandozeile (beispielsweise innerhalb einer Config Manager OSD Task Sequenz):

•    DISM /Image:C:\ /Add-ProvisioningPackage /PackagePath:Sepago.ppkg

  • Einbinden ins Image

– Anwendung beim initialen Anwenden und beim Zurücksetzen des Betriebssystems
– Einbindung über:
•    DISM /Mount-Wim /WimFile:C:\install.wim /MountDir:c:\Mount /index:1
•    DISM.exe /Image:C:\Mount /Add-ProvisioningPackage /PackagePath:Sepago.ppkg
•    DISM /Unmount-Image /MountDir:C:\Mount /commit

Anwendungsreihenfolge

Es ist möglich, auf einem Windows 10 Gerät mehrere Bereitstellungspakete anzuwenden. Da diese Bereitstellungspakete potentiell gleiche Einstellungen verändern können, muss es eine Möglichkeit geben die Priorität der einzelnen Bereitstellungspakete zu definieren. Dies geschieht zum Einen durch die Zuweisung eines Besitzers des Bereitstellungspaketes. Die Priorität der einzelnen Benutzerklassen in absteigender Reihenfolge ist der untenstehenden Aufzählung zu entnehmen. Einstellungen von IT Admins überschreiben also beispielsweise immer Einstellungen, die von Microsoft vorgenommen worden sind. Innerhalb der einzelnen Benutzerklassen lässt sich in den einzelnen Bereitstellungspaketen zum Erstellungszeitpunkt zusätzlich ein Rang definieren, der die Priorität angibt. Je niedriger der Rang, desto höher die Priorität.
Reihenfolge der Ausführung von Bereitstellungspaketen

  • Besitzer

– IT Admin
– Mobile operator
– System integrator
– OEM
– Silicon vendor
– Microsoft

  • Rang

– 0-99

Sicherheit von Bereitstellungspaketen

Da Bereitstellungspakete sicherheitsrelevante Daten, wie beispielsweise Passwörter, enthalten können, besteht die Möglichkeit sie zum Zeitpunkt der Erstellung mit einem automatisch generierten und damit sicheren Passwort zu verschlüsseln. Dieses muss vom Anwender vor der Installation des jeweiligen Bereitstellungspaketes eingegeben werden.
Zusätzlich können Bereitstellungspakete zum Zeitpunkt der Erstellung mit einem Unternehmenszertifikat signiert werden. Auf diese Art signierte Pakete können vom Benutzer ohne weitere Rückfrage installiert werden. Bei der Anwendung eines nicht signierten Bereitstellungspaketes erscheint eine Sicherheitswarnung für den Benutzer:

Mittels einer Einstellung, die durch ein Bereitstellungspaket verteilt wird, kann durch den Administrator darüber hinaus erzwungen werden, dass nur signierte Bereitstellungspakete installiert werden können.

Verwaltung von Bereitstellungspaketen

Unter Einstellungen->Konten->Arbeitsplatzzugriff->Verwaltungspaket hinzufügen oder entfernen können neue Bereitstellungspakete installiert und bereits installierte Bereitstellungspakete verwaltet werden. Es besteht die Möglichkeit, Details der einzelnen Pakete durch Benutzer installierte Pakete anzuzeigen und installierte Pakete zu entfernen. Bereitstellungspakete, die ins Image integriert und im System-Kontext installiert wurden, lassen sich jedoch nicht entfernen. Das Löschen eines Bereitstellungspaketes entfernt jedoch keine durch dieses Paket gemachten Änderungen vom System.

Bereitstellungspakete erhalten zum Erstellungszeitpunkt eine GUID und sind damit immer eindeutig identifizierbar. Außerdem kann der Administrator eine Versionsnummer im Format Major.Minor (1.0) vergeben. Damit kann sichergestellt werden, dass die Installation einer neuen Version eines Bereitstellungspaketes die vorgenommenen Änderungen der älteren Version ersetzt.

Troubleshooting

  • Mobilgeräte

– Field Medic

  • Desktop und Notebook

– Windows Performance Recorder
– Windows Performance Analyzer