Sie sind auf Seite 1von 1090

Windows 7 im Unternehmen

Netzwerke, Betriebssysteme, Sicherheit ... hierzu bietet Ihnen die Reihe


net.com umfassende, praxisnahe Information. Neben Fragen der Systemverwaltung greift sie auch Themen wie Protokolle, Technologien und
Tools auf. Profitieren Sie bei Ihrer tglichen Arbeit vom Praxiswissen
unserer erfahrenen Autoren.

Windows Server 2008 R2


Eric Tierling
1400 Seiten, 59,80 [D]
ISBN 978-3-8273-2907-3
Dieses Buch zu Windows Server 2008 R2 knpft an die
Bestseller zu Windows Server 2003 und 2008 an und wurde komplett auf die Neuerungen von R2 aktualisiert. Installation auf virtueller Festplatte, Remoteverwaltung mit
dem Server-Manager, Verwaltung ber Windows PowerShell-Cmdlets, IPv6, Active Directory-Papierkorb, Einrichtung verwalteter Dienstkonten, Offline-Domnenbeitritt,
AppLocker-Anwendungssteuerungsrichtlinien, DirectAccess, BranchCache, die Remotedesktopdienste sowie
Hyper-V sind einige der im Buch beschriebenen Highlights.

Windows PowerShell 2.0 - Das Praxisbuch


Holger Schwichtenberg
800 Seiten, 49,80 [D]
ISBN 978-3-8273-2926-4
Dieses Handbuch zur Windows PowerShell 2.0 bietet
eine fundierte Einfhrung in die automatisierte Windows-Administration und zeigt darber hinaus anhand
zahlreicher auch weiterfhrender Beispiele, wie die
PowerShell in der Praxis eingesetzt wird. Das Buch
behandelt alle wichtigen Neuerungen wie die grafische
Oberflche und die vollstndige Integration in Windows
7 und Windows Server 2008 R2.

Holger Schwichtenberg
Manuela Reiss
Jochen Ruhland

Windows 7 im Unternehmen
Das Handbuch fr Administratoren

An imprint of Pearson Education


Mnchen Boston San Francisco Harlow, England
Don Mills, Ontario Sydney Mexico City
Madrid Amsterdam

Bibliografische Information der Deutschen Nationalbibliothek


Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie;
detaillierte bibliografische Daten sind im Internet ber http://dnb.d-nb.de abrufbar.

Die Informationen in diesem Produkt werden ohne Rcksicht auf einen eventuellen Patentschutz
verffentlicht. Warennamen werden ohne Gewhrleistung der freien Verwendbarkeit benutzt.
Bei der Zusammenstellung von Texten und Abbildungen wurde mit grter Sorgfalt vorgegangen.
Trotzdem knnen Fehler nicht vollstndig ausgeschlossen werden. Verlag, Herausgeber und Autoren
knnen fr fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch
irgendeine Haftung bernehmen.
Fr Verbesserungsvorschlge und Hinweise auf Fehler sind Verlag und Herausgeber dankbar.
Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in
elektronischen Medien. Die gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und
Arbeiten ist nicht zulssig.
Fast alle Hard- und Softwarebezeichnungen und weitere Stichworte und sonstige Angaben,
die in diesem Buch verwendet werden, sind als eingetragene Marken geschtzt.
Da es nicht mglich ist, in allen Fllen zeitnah zu ermitteln, ob ein Markenschutz besteht,
wird das Symbol in diesem Buch nicht verwendet.
Umwelthinweis:
Dieses Buch wurde auf chlor- und surefreiem PEFC-zertifiziertem Papier gedruckt.
Die Einschrumpffolie - zum Schutz vor Verschmutzung - ist aus umweltvertrglichem
und recyclingfhigem Material.

10 9 8 7 6 5 4 3 2 1
12 11 10
ISBN 978-3-8273-2886-1

2010 by Addison-Wesley Verlag,


ein Imprint der Pearson Education Deutschland GmbH,
Martin-Kollar-Strae 1012, D-81829 Mnchen/Germany
Alle Rechte vorbehalten
Einbandgestaltung: Marco Lindenbeck, mlindenbeck@webwo.de
Fachlektorat: Georg Weiherer, georg.weiherer@freenet.de
Lektorat: Sylvia Hasselbach, shasselbach@pearson.de
Korrektorat: Sandra Gottmann, sandra.gottmann@t-online.de
Herstellung: Claudia Burle, cbaeurle@pearson.de
Satz: mediaService, Siegen, www.media-service.tv
Druck und Verarbeitung: Ksel, Krugzell, www.KoeselBuch.de
Printed in Germany

Inhaltsverzeichnis

Vorwort

23

ber die Autoren

25

Die Icons und Verweise in diesem Buch

27

Die CD zum Buch

28

Betriebssysteminstallation

29

1.1

Installationsplanung und Vorbereitung


1.1.1 Sicherstellung der Systemanforderungen
1.1.2 Die Editionen von Windows 7 im Vergleich
1.1.3 Neuinstallation versus Upgrade
1.1.4 Sichern bestehender Systeme vor Beginn der Migration
1.1.5 Checkliste zur Installationsvorbereitung

29
30
34
35
39
40

1.2

Durchfhrung einer Einzelarbeitsplatz-Installation


1.2.1 Unterschiede zu frheren Windows-Installationen
1.2.2 Ablauf einer Neuinstallation
1.2.3 Ablauf einer Upgrade-Installation
1.2.4 Durchfhrung einer Parallelinstallation
1.2.5 Abschlieende Aufgaben nach Installationsabschluss

41
41
43
53
55
56

1.3

Bereitstellung von Windows 7 im Unternehmensnetzwerk


1.3.1 Die Bereitstellungsfunktionen im berblick
1.3.2 Planung und Vorbereitung der Bereitstellung
1.3.3 Bereitstellung von Windows 7 mit Windows AIK
1.3.4 Aktivierung fr Unternehmenskunden Volumenaktivierung
1.3.5 Bereitstellung von Updates und Service Packs

60
61
68
73
86
88

Hardwareinstallation

95

2.1

Hardware installieren
2.1.1 Automatische Gerteinstallation
2.1.2 Gerte manuell installieren

95
96
101

2.2

Gerte verwalten
2.2.1 Gerteverwaltung mit der Funktion Gerte und Drucker
2.2.2 Gerteverwaltung im Gerte-Manager
2.2.3 Treiber aktualisieren
2.2.4 Gerte deinstallieren
2.2.5 Starttyp fr nicht Plug&Play-fhige Gerte ndern

104
104
108
112
113
114
5

Inhaltsverzeichnis

2.3

Mit Treiberproblemen richtig umgehen


2.3.1 Das Treibermodell von Windows 7
2.3.2 Probleme whrend der Hardwareinstallation
2.3.3 Probleme mit der Treibersignierung
2.3.4 Problemberichte zur Fehleranalyse

115
116
118
123
124

2.4

Berechtigungen zur Gerteinstallation verwalten


2.4.1 Gerte zur Installation bereitstellen
2.4.2 Installation verbotener Gerte verhindern

126
126
129

Software verwalten und installieren

133

3.1

Anwendungen lokal installieren und verwalten


3.1.1 Programme installieren
3.1.2 Installierte Anwendungen verwalten

133
134
136

3.2

Ein Blick auf die Technik dahinter der Windows Installer-Dienst


3.2.1 Grundstzliches zur Windows Installer-Technologie
3.2.2 Das Verhalten von Windows Installer mit
Gruppenrichtlinien steuern

144
145

3.3

Nicht kompatible Anwendungen unter Windows 7 nutzen


3.3.1 Ursachen fr Anwendungsinkompatibilitten
3.3.2 Anwendungsprfung vor Beginn der Migration
3.3.3 Einsatzmglichkeiten des Kompatibilittsmodus
3.3.4 Anwendungen im Kompatibilittsmodus installieren
3.3.5 Anwendungen im Windows XP-Modus ausfhren
3.3.6 Umgang mit 16-Bit-Windows- und DOS-Anwendungen

152
152
153
155
158
159
161

3.4

Softwareverwaltung mit Gruppenrichtlinien


3.4.1 Softwareverteilung mit Gruppenrichtlinien
3.4.2 Anwendungssteuerung mit Gruppenrichtlinien

162
162
171

151

Konfiguration der Benutzerschnittstellen

175

4.1

Benutzeroberflche
4.1.1 Leistungsmerkmale der Aero-Oberflche
4.1.2 Anpassung des Desktops
4.1.3 Konfiguration der Anzeige und des Bildschirms

175
175
178
186

4.2

Startmen
4.2.1 Ausschaltoptionen
4.2.2 Das Startmen konfigurieren

191
192
194

4.3

Windows-Taskleiste
4.3.1 Arbeiten mit der Taskleiste
4.3.2 Taskleiste konfigurieren

196
196
198

Inhaltsverzeichnis

4.4

Windows-Explorer
4.4.1 Windows-Explorer starten
4.4.2 Arbeiten mit dem Windows-Explorer
4.4.3 Ansichten des Windows-Explorers anpassen
4.4.4 Bibliotheken verwenden

200
200
201
209
213

4.5

Einsatzmglichkeiten der Windows-Suche


4.5.1 Volltextsuche nach Stichwrtern
4.5.2 Indizierte Suche

216
217
220

4.6

Tastenkombinationen in Windows 7
4.6.1 Tastenkombinationen mit der Windows-Taste
4.6.2 Tastenkombinationen fr den Internet Explorer
4.6.3 Tastenkombination in Windows 7 zur Steuerung des
Windows-Explorers und zur Dateiverwaltung

223
223
224
224

Benutzerverwaltung

227

5.1

Die Benutzerkontensteuerung
5.1.1 Die Benutzerkontensteuerung im praktischen Einsatz
5.1.2 Sicherheitslevel der Benutzerkontensteuerung konfigurieren

227
228
233

5.2

Benutzer verwalten
5.2.1 Das Dienstprogramm Benutzerkonten fr einfache
Kontenverwaltung
5.2.2 Erweiterte Benutzerverwaltung
5.2.3 SID-Verwaltung bei Benutzerkonten
5.2.4 Vordefinierte Benutzerkonten
5.2.5 Kennwortrichtlinien verwalten

238
238
241
244
245
247

5.3

Verwaltung lokaler Gruppenkonten


5.3.1 Gruppentypen im Vergleich
5.3.2 Vordefinierte lokale Gruppen und ihre Berechtigungen
5.3.3 Lokale Gruppenkonten erstellen, lschen und ndern

251
251
252
257

5.4

Benutzerprofile unter Windows 7


5.4.1 Verwaltung lokaler Benutzerprofile
5.4.2 Verwaltung serverbasierter Profile in heterogenen Netzwerken

259
259
265

Daten, Datentrger und Dateisysteme

267

6.1

Datentrger aus Sicht der Hardware


6.1.1 HW-Adapter fr Datentrger
6.1.2 iSCSI im Einsatz
6.1.3 Virtueller Speicher im Einsatz

267
268
269
272

6.2

Partitionen, physische und logische Laufwerke


6.2.1 MBR oder GPT-Datentrger?
6.2.2 Basis oder dynamisch?
6.2.3 Vom Datentrger zum Laufwerksbuchstaben

273
273
275
276
7

Inhaltsverzeichnis

6.3

Daten und Dateisysteme


6.3.1 FAT
6.3.2 NTFS
6.3.3 NTFS Berechtigungen
6.3.4 NTFS-Berechtigungen auf der Kommandozeile
6.3.5 Dateiattribute

279
280
280
291
300
305

6.4

Datentrger erstellen

309

6.5

Konfiguration von Laufwerken in der GUI


6.5.1 Aktionen auf der Ebene der Datentrger
6.5.2 Verwalten von Datentrgerbereichen

310
311
313

6.6

Datentrgerverwaltung auf der Kommandozeile


6.6.1 Diskpart FDISK und mehr in neuer Verpackung
6.6.2 fsutil der Allesknner
6.6.3 Laufwerksbuchstaben erzeugen subst.exe
6.6.4 Verknpfungen symbolische und harte

317
317
322
328
329

6.7

Datentrger berprfen

331

6.8

Datentrger defragmentieren

335

Netzwerkgrundlagen

341

7.1

Netzwerk theoretisch

341

7.2

Netzwerk-Hardware
7.2.1 Netzwerkadapter fr lokale Verbindungen
7.2.2 Drahtlose Netzwerke
7.2.3 Netzwerke fr Punkt-zu-Punkt-Verbindungen
7.2.4 WAN-Netzwerke und die Anbindung ganzer lokaler Netzwerke

343
346
347
347
348

7.3

Netzwerkprotokolle
7.3.1 Alte Bekannte und Exoten
7.3.2 Das IP-Protokoll Version 4
7.3.3 Das IP-Protokoll Version 6

348
349
349
357

7.4

Netzwerkanwendungen Server und Client


7.4.1 Web Internetinformationsdienste (IIS) und IE
7.4.2 Fernarbeit Telnet, Remotedesktop und Remoteuntersttzung
7.4.3 Datei- und Druckerfreigabe SMB, CIFS und NFS

359
359
360
363

Erweiterte Netzwerkfunktionen

365

8.1

365
366
367

Netzwerkeinstellungen
8.1.1 Status eines Netzwerkadapters
8.1.2 Netzwerkadapter, Protokolle und Dienste
8.1.3 Unterschiedliche Netzwerkprofile und die Kopplung zwischen
Protokollen und Diensten

369

Inhaltsverzeichnis

8.2

TCP/IP-Einstellungen
8.2.1 Erweiterte TCP/IP-Einstellungen
8.2.2 Gesichertes TCP/IP IPsec
8.2.3 TCP/IP-Prfprogramme auf der Kommandozeile

374
375
380
381

8.3

Netzwerkschutz die Firewall


8.3.1 Status der Firewall
8.3.2 Neue Serverprogramme blocken
8.3.3 Firewallprofile
8.3.4 Firewallregeln
8.3.5 Firewallregeln bearbeiten
8.3.6 Die Firewall und die Kommandozeile

389
390
391
392
395
399
399

8.4

Netzwerkkopplung
8.4.1 Netzwerkrouten
8.4.2 Netzwerkbrcken
8.4.3 Gemeinsame Nutzung der Internetverbindung

400
401
402
404

8.5

Domnenmitgliedschaft und Funktionen in Active Directory


8.5.1 Einer Domne beitreten
8.5.2 Eine Domne verlassen

407
407
412

8.6

Fernbedienung
8.6.1 Nach Hilfe fragen
8.6.2 Fernsteuerung ohne Zuschauer Remotedesktop
8.6.3 Gastarbeiter RemoteApp

414
415
423
426

8.7

Datei- und Druckfreigabe


8.7.1 Dateien und Drucker freigeben
8.7.2 Der ffentliche Ordner und der Gast
8.7.3 Freigaben nutzen
8.7.4 Freigaben kontrollieren

428
428
433
434
439

8.8

Offlinedateien und BranchCache


8.8.1 Offlinedateien
8.8.2 BranchCache

442
442
446

8.9

Heimnetzgruppe
8.9.1 Keine Heimnetzgruppe mglich

447
449

8.10 Netzwerkdrucker
8.10.1 Zustzliche Netzwerkdruckdienste

450
453

8.11 WLAN sicher konfigurieren


8.11.1 Was keine WLAN-Sicherheit ist
8.11.2 Wie man ein WLAN sichern kann
8.11.3 Eigenschaften eines WLAN-Adapters
8.11.4 Mit einem WLAN Verbindung aufnehmen

454
454
455
456
457

Inhaltsverzeichnis

Drucken und Faxen

459

9.1

Grundlagen und Terminologie des Druckens


9.1.1 Wichtige Komponenten und Begriffe
9.1.2 Der Druckprozess im berblick

459
460
462

9.2

Drucker installieren und im Netzwerk bereitstellen


9.2.1 Installation lokaler Drucker
9.2.2 Mit einem Netzwerkdrucker verbinden
9.2.3 Windows 7-Client als Druckserver einrichten

463
464
468
470

9.3

Druckserver, Drucker und Druckauftrge verwalten


9.3.1 Druckereigenschaften konfigurieren
9.3.2 Druckauftrge verwalten
9.3.3 XPS-Datenaustauschformat
9.3.4 Zentrale Druckerverwaltung mit der Druckverwaltungskonsole

474
475
481
481
484

9.4

Die Faxfunktionen von Windows 7


9.4.1 Konfiguration der Faxfunktion
9.4.2 Faxe versenden und empfangen

492
493
497

10 Virtuelle Netzwerke
10.1 Ein fast virtuelles Netzwerk

499

10.2 IPv6-Tunneltechniken

501

10.3 Statische Tunnel mit 6in4


10.3.1 Lokales System und NAT-Router konfigurieren

502
503

10.4 Dynamische Tunnel


10.4.1 ISATAP
10.4.2 6to4
10.4.3 Teredo

505
505
506
507

10.5 VPN

511

11 Lokale Richtlinien und Gruppenrichtlinien

10

499

513

11.1 Was sind Richtlinien?

513

11.2 Unterschiede zwischen lokalen und Gruppenrichtlinien


11.2.1 Wann werden die Richtlinien angewendet?

513
515

11.3 Administrative Vorlagen


11.3.1 Weitere administrative Vorlagen
11.3.2 Verwendung alter .adm-Dateien

516
519
521

11.4 Richtlinien setzen und bearbeiten


11.4.1 Einzelne Richtlinien definieren
11.4.2 Richtlinien suchen
11.4.3 Lokale Richtlinien fr Benutzer eingrenzen

522
523
525
527

Inhaltsverzeichnis

11.5 Richtlinien berprfen und dokumentieren


11.5.1 Das Snap-In Richtlinienergebnissatz
11.5.2 Richtlinienanwendung planen
11.5.3 Richtlinien dokumentieren mit gpresult.exe

528
528
531
531

11.6 Ausgewhlte Anwendungsbeispiele


11.6.1 Internet Explorer konfigurieren
11.6.2 USB-Gerte kontrollieren
11.6.3 Sicherheit erhhen

533
533
534
535

12 Die Registrierungsdatenbank

537

12.1 Der Aufbau der Registry


12.1.1 Sonderflle in der Registry
12.1.2 Registry und Dateisystem
12.1.3 Datentypen in der Registry
12.1.4 Berechtigungen in der Registry

538
540
541
544
546

12.2 Die Schlssel der Registry


12.2.1 HKEY_CLASSES_ROOT (HKCR)
12.2.2 HKEY_CURRENT_USER (HKCU)
12.2.3 HKEY_USERS (HKU)
12.2.4 HKEY_LOCAL_MACHINE (HKLM)
12.2.5 HKEY_CURRENT_CONFIG

550
550
552
553
555
558

12.3 Bearbeiten der Registry mit dem Registrierungs-Editor


12.3.1 Navigation in der Registry
12.3.2 Favoriten in der Registry
12.3.3 Werte in der Registry ndern
12.3.4 Werte und Schlssel anlegen, lschen und umbenennen
12.3.5 Export, Import und Drucken von Daten
12.3.6 Arbeit mit kompletten Strukturen

558
559
560
561
563
564
568

12.4 Arbeit mit dem Programm reg.exe

569

12.5 Das Programm regini.exe

571

12.6 Die Registry ber das Netzwerk bearbeiten

572

12.7 Die Registry mit eigenen Programmen bearbeiten

573

12.8 Die Registry offline bearbeiten


12.8.1 Durchfhren eines Offline-Restore

574
574

12.9 Weitere Programme zum Bearbeiten der Registry


12.9.1 Registry-Cleaner
12.9.2 Registry-Backup und -Restore
12.9.3 Zugriff auf die Registry berwachen RegMon und ProcMon

578
578
578
582

12.10 Tipps zur Erhhung der Sicherheit


12.10.1 .reg-Dateien nicht per Doppelklick installieren
12.10.2 Aufruf des Registrierungs-Editors verbieten

584
584
585
11

Inhaltsverzeichnis

13 Sicherheit

12

587

13.1 Sichere Entwicklung SDL

587

13.2 Benutzerkontensteuerung UAC


13.2.1 Warum diese Einschrnkung?
13.2.2 Wie funktioniert UAC?

588
589
591

13.3 Integritt von Objekten


13.3.1 Verbindlichkeitsstufen ein Beispiel

591
592

13.4 Wartungscenter
13.4.1 Action-Center konfigurieren

594
597

13.5 Antivirus-Programme
13.5.1 Fr eine AV-Lsung sprechen
13.5.2 Gegen eine AV-Lsung sprechen
13.5.3 Prfung von AV-Programmen durch das Wartungscenter

597
598
598
598

13.6 Windows Defender und Microsoft Security Essentials


13.6.1 Manuelle berprfung anstoen
13.6.2 Erkennung von schdlichen Dateien
13.6.3 Wo ist der Software-Explorer?
13.6.4 Verlaufskontrolle
13.6.5 Einstellungen von Windows Defender
13.6.6 Hilfe neue Definitionen
13.6.7 Microsoft Security Essentials

599
600
601
603
603
604
608
608

13.7 Systemkonfiguration mit msconfig.exe


13.7.1 Registerkarte Allgemein
13.7.2 Registerkarte Start
13.7.3 Registerkarte Dienste
13.7.4 Registerkarte Systemstart
13.7.5 Registerkarte Tools
13.7.6 Informationsspeicher

609
609
610
613
614
615
615

13.8 Startkontrolle mit Autoruns

616

13.9 Windows-Firewall
13.9.1 Firewall-Konzeption

617
617

13.10 Windows Updates


13.10.1 Welche Updates gibt es?
13.10.2 Updates auswhlen und installieren
13.10.3 Kontrolle ber vorhandene, installierte und
unerwnschte Updates
13.10.4 Windows Update im betrieblichen Umfeld
13.10.5 Updates ohne Netzwerk

617
619
621

13.11 Verschlsselung Grundlagen


13.11.1 Symmetrische Verschlsselung
13.11.2 Asymmetrische Verschlsselung

625
626
626

623
624
625

Inhaltsverzeichnis

13.11.3 Schlssellngen starke und schwache Verschlsselung


13.11.4 Zertifikate und Zertifikatshierarchien

627
628

13.12 EFS Encrypting File System


13.12.1 Ablauf der Verschlsselung
13.12.2 Verschlsselung in der Praxis
13.12.3 Schutz der Schlssel bei EFS
13.12.4 Datenwiederherstellung bei EFS
13.12.5 EFS auf der Befehlszeile und mit anderen Programmen

629
632
632
636
637
647

13.13 Verschlsselung kompletter Laufwerke BitLocker


13.13.1 TPM Trusted Platform Module
13.13.2 Operationsmodi von BitLocker
13.13.3 Systemlaufwerke und Datenlaufwerke verschlsseln
13.13.4 Weitere Sicherheitsmglichkeiten
13.13.5 BitLocker-Verwaltung
13.13.6 BitLocker to Go

650
651
655
656
661
664
665

13.14 Jugendschutzeinstellungen
13.14.1 nderungen gegenber Windows Vista
13.14.2 Steuerungsmglichkeiten beim Jugendschutz
13.14.3 Spielfreigaben
13.14.4 Einstellungen fr einen Benutzer vornehmen
13.14.5 Windows-Spieleexplorer intern
13.14.6 Programme zulassen und blockieren
13.14.7 Webseiten-Filter

667
667
668
669
672
675
679
681

13.15 Datenausfhrungsverhinderung

681

14 Systemberwachung

685

14.1 Was tut das System gerade?


14.1.1 Vter und Shne
14.1.2 Und was ist ein Thread?
14.1.3 Task-Manager
14.1.4 Process Explorer
14.1.5 Prozesse und die Befehlszeile

685
686
686
686
697
700

14.2 Ereignisse kontrollieren


14.2.1 Wie charakterisiert man ein Ereignis?

702
702

14.3 Die Ereignisanzeige


14.3.1 Lage und Gre der Protokolle
14.3.2 Ereignisse ansehen
14.3.3 Import und Export
14.3.4 Ansichten filtern und definieren
14.3.5 Ereignisse von anderen Systemen sammeln
14.3.6 Auf Ereignisse reagieren

703
704
705
708
709
712
712

13

Inhaltsverzeichnis

14.3.7 Ereignisse selbst erzeugen


14.3.8 Ereignisse und die Befehlszeile
14.4 Aufgabenplanung
14.4.1 Aufgaben anlegen
14.4.2 Aufgaben ndern
14.4.3 Kontrolle ber laufende Aufgaben
14.4.4 Aufgaben und die Befehlszeile at.exe und schtasks.exe

714
716
716
718
718

14.5 Leistung kontrollieren


14.5.1 Ressourcenmonitor perfmon.exe
14.5.2 Leistungsberwachung perfmon.msc
14.5.3 Leistungsbewertung fr Rennfahrer
14.5.4 Leistungsindex

720
720
722
728
728

14.6 Professioneller Support


14.6.1 Zuverlssigkeit Stabilittsindex

730
731

15 Datensicherung

733

15.1 Datensicherung in lteren Versionen von Windows und heute

733

15.2 Arten und Formen der Datensicherung


15.2.1 Datensicherung und Sicherheit

734
736

15.3 Sicherung durchfhren


15.3.1 Sicherung einrichten
15.3.2 Systemabbild erstellen
15.3.3 Systemreparaturdatentrger erstellen
15.3.4 Systemsicherung durch Wiederherstellungspunkte
15.3.5 Weitere Programme zur Datensicherung wbadmin
und robocopy

737
739
746
748
749

15.4 Daten restaurieren


15.4.1 Rcksicherung eines kompletten Systems
15.4.2 Wiederherstellen von Dateien
15.4.3 Systemzustand durch Wiederherstellungspunkte zurcksetzen

753
754
760
765

16 Kommunikation im Netzwerk

14

714
714

751

769

16.1 Gemeinsam Arbeiten im Netz SharedView


16.1.1 Funktionen von SharedView

769
771

16.2 Windows Live Essentials die Komponenten Mail,


Messenger und Family Safety
16.2.1 Windows Live-ID eintragen
16.2.2 Windows Mail
16.2.3 Windows Messenger
16.2.4 Family Safety

772
774
774
776
778

Inhaltsverzeichnis

17 Windows 7-Batchdateien

783

17.1 Konfiguration des Kommandozeilenfensters

783

17.2 Ein alternatives Kommandozeilenfenster

784

17.3 Kommandozeilenfenster und Benutzerkontensteuerung

786

17.4 Befehle

787

17.5 Ausgaben und Ausgabeumleitung

788

17.6 Arbeit mit dem Dateisystem


17.6.1 Wechseln des Verzeichnisses
17.6.2 Verzeichnis auflisten
17.6.3 Dateisystemoperationen

788
789
791
791

17.7 Arbeit mit Prozessen

791

17.8 Die net-Befehlsfamilie

791

17.9 Weitere Kommandozeilenbefehle

792

17.10 Stapelverarbeitung
17.10.1 Befehlsverknpfung
17.10.2 Textbasiertes Pipelining
17.10.3 Batch-Dateien

792
792
793
793

18 Windows Management Instrumentation (WMI)

795

18.1 WMI-Funktionsumfang
18.1.1 WMI-Klassen und WMI-Objekte
18.1.2 WMI-Namensrume (Namespaces)
18.1.3 Lokalisierung
18.1.4 WMI-Pfade
18.1.5 WMI-Schema
18.1.6 WMI-Repository
18.1.7 WMI-Systemdienst
18.1.8 WMI-Provider
18.1.9 Managed Object Format (MOF)
18.1.10 WMI-Sicherheit
18.1.11 WMI Query Language (WQL)
18.1.12 WMI-Ereignissystem
18.1.13 WMI-Programmierschnittstellen
18.1.14 WMI-Werkzeuge

796
797
801
802
802
804
804
805
805
806
808
809
812
814
814

18.2 WMIC-Konsolenanwendung
18.2.1 WMIC-Befehle
18.2.2 PATH-Befehl
18.2.3 Ausgabeformen
18.2.4 Fernzugriff auf andere Systeme
18.2.5 Stapelverarbeitung

817
817
818
818
820
820

15

Inhaltsverzeichnis

19 Windows Script Host (WSH)

16

821

19.1 berblick ber den WSH in Windows 7

822

19.2 Erste WSH-Beispiele


19.2.1 Hello World
19.2.2 Versionsnummern ermitteln

822
822
823

19.3 WSCRIPT vs. CSCRIPT

824

19.4 Skriptsprache Visual Basic Script (VBScript)


19.4.1 Grundregeln
19.4.2 Ausgaben
19.4.3 Variablen und Konstanten
19.4.4 Operationen
19.4.5 Bedingte Ausfhrung
19.4.6 Schleifen
19.4.7 Unterroutinen
19.4.8 Objekte
19.4.9 Softwarekomponenten

826
826
826
827
827
827
827
828
829
829

19.5 WSH-Sicherheit

830

19.6 WSH und Benutzerkontensteuerung

830

19.7 Scripting mit entfernten Systemen


19.7.1 Ein Skript kann man von einem Netzlaufwerk starten
19.7.2 Eine Aktion auf einem entfernten System ausfhren

833
833
834

19.8 WSH-Werkzeuge

834

19.9 Scripting des Dateisystems


19.9.1 Zugriff auf Ordner und Dateien
19.9.2 Auflisten von Dateien
19.9.3 Dateieigenschaften bestimmen und verndern
19.9.4 Namen ndern
19.9.5 Dateisystemoperationen
19.9.6 Textdateien lesen
19.9.7 Textdateien beschreiben

836
836
837
838
839
840
841
843

19.10 Scripting der Registrierungsdatenbank


19.10.1 Auslesen und Setzen eines Wertes
19.10.2 Erzeugen eines neuen Registrierungsdatenbank-Schlssels
19.10.3 Auflisten von Schlsseln
19.10.4 Lschen von Schlsseln

843
844
845
846
847

19.11 Scripting der Softwarekonfiguration


19.11.1 Software inventarisieren
19.11.2 Software installieren
19.11.3 Software deinstallieren

847
847
850
851

Inhaltsverzeichnis

19.12 Scripting der Benutzerverwaltung


19.12.1 Auflisten der vorhandenen Benutzerkonten
19.12.2 Anlegen eines Benutzerkontos
19.12.3 Umbenennen eines Benutzers
19.12.4 Kennwort eines Benutzers ndern
19.12.5 Anlegen einer Benutzergruppe
19.12.6 Einen Benutzer einer Gruppe hinzufgen
19.12.7 Einen Benutzer aus einer Gruppe entfernen
19.12.8 Deaktivieren eines Benutzerkontos
19.12.9 Lschen einer Gruppe

20 .NET Framework

851
852
853
854
855
856
856
857
857
858

861

20.1 Was ist das .NET Framework?

863

20.2 Weitere Eigenschaften des .NET Frameworks

864

20.3 .NET-Klassen
20.3.1 Namensgebung von .NET-Klassen (Namensrume)
20.3.2 Namensrume und Softwarekomponenten
20.3.3 Bestandteile einer .NET-Klasse
20.3.4 Vererbung
20.3.5 Schnittstellen
20.3.6 Konfiguration von .NET-Anwendungen
20.3.7 Konfiguration des .NET-Sicherheitssystems

865
865
867
868
869
869
870
870

21 Einfhrung in die Windows PowerShell (WPS)

873

21.1 Was ist die Windows PowerShell?

873

21.2 Geschichte

874

21.3 Bestandteil von Windows 7

875

21.4 Architektur

875

21.5 PowerShell versus WSH

876

21.6 Einzelbefehle der PowerShell


21.6.1 Commandlets
21.6.2 Aliase
21.6.3 Ausdrcke
21.6.4 Externe Befehle
21.6.5 Dateinamen

880
880
883
889
890
891

21.7 Hilfe
21.7.1 Verfgbare Befehle
21.7.2 Erluterungen zu den Befehlen
21.7.3 Dokumentation der .NET-Klassen

891
891
892
894

17

Inhaltsverzeichnis

18

21.8 Objektorientiertes Pipelining


21.8.1 Grundlagen
21.8.2 Objektorientierung
21.8.3 Analyse des Pipeline-Inhalts
21.8.4 Filtern
21.8.5 Zusammenfassung von Pipeline-Inhalten
21.8.6 Kastrierung von Objekten in der Pipeline
21.8.7 Sortieren
21.8.8 Gruppierung
21.8.9 Berechnungen
21.8.10 Zwischenschritte in der Pipeline
21.8.11 Verzweigungen in der Pipeline
21.8.12 Vergleiche
21.8.13 Beispiele

895
895
896
899
904
905
906
906
907
907
908
908
909
909

21.9 Ausgabefunktionen
21.9.1 Standardausgabe
21.9.2 Seitenweise Ausgabe
21.9.3 Einschrnkung der Ausgabe
21.9.4 Ausgabe einzelner Werte
21.9.5 Unterdrckung der Ausgabe
21.9.6 Weitere Ausgabefunktionen

911
912
913
914
914
915
915

21.10 Fernausfhrung von Befehlen

916

21.11 Navigationsmodell
21.11.1 Navigation in der Registrierungsdatenbank
21.11.2 Provider und Laufwerke
21.11.3 Navigationsbefehle
21.11.4 Pfadangaben
21.11.5 Eigene Laufwerke definieren

917
918
919
920
920
921

21.12 PowerShell Language (PSL)


21.12.1 Hilfe zu der PowerShell-Sprache
21.12.2 Befehlstrennung
21.12.3 Kommentare
21.12.4 Variablen
21.12.5 Zahlen
21.12.6 Zeichenketten
21.12.7 Datum und Uhrzeit
21.12.8 Arrays und assoziative Arrays (Hashtable)
21.12.9 Operatoren
21.12.10Kontrollkonstrukte

922
922
922
923
923
924
926
928
929
932
933

Inhaltsverzeichnis

21.13 PowerShell-Skripte
21.13.1 Beispiel
21.13.2 Start eines Skripts
21.13.3 Sicherheitsfunktionen fr PowerShell-Skripte
21.13.4 PowerShell-Skripte als Commandlets verwenden
21.13.5 Commandlets fr Skriptausfhrung
21.13.6 Skripte einbinden
21.13.7 Fehlerbehandlung

934
934
935
936
938
941
941
941

21.14 Eingabe

946

21.15 Anbindung an Klassenbibliotheken


21.15.1 WMI-Klassen
21.15.2 .NET-Klassen
21.15.3 COM-Klassen

946
947
953
956

21.16 Fehlersuche

956

21.17 PowerShell-Werkzeuge
21.17.1 PowerShell-Konsole
21.17.2 PowerShell Integrated Scripting Environment (ISE)
21.17.3 PowerShellPlus
21.17.4 PowerShell Analyzer
21.17.5 PrimalScript
21.17.6 PowerShell Help
21.17.7 PowerTab
21.17.8 VS Command Shell

957
957
960
962
964
965
965
966
966

21.18 Commandlet-Erweiterungen
21.18.1 Aktivieren von Snap-ins
21.18.2 Aktivieren von PowerShell-Modulen
21.18.3 Verfgbare Commandlet-Erweiterungen

967
967
968
969

21.19 Tipps und Tricks


21.19.1 Befehlsgeschichte
21.19.2 Systeminformationen
21.19.3 Alle Anzeigen lschen
21.19.4 Profileinstellungen fr die PowerShell-Konsole
21.19.5 Aufzhlungen

973
973
974
975
975
981

21.20 Weitere Funktionen

981

21.21 Weitere Informationen ber die PowerShell


21.21.1 Websites zur PowerShell
21.21.2 Weblogs zur PowerShell

982
982
982

19

Inhaltsverzeichnis

22 Systemautomatisierung mit der PowerShell

20

983

22.1 Dateisystem
22.1.1 Laufwerke
22.1.2 Inhalt eines Verzeichnisses
22.1.3 Dateisystemoperationen
22.1.4 Dateieigenschaften lesen und verndern
22.1.5 Freigaben

983
984
985
985
986
986

22.2 Dokumente & Datenbanken


22.2.1 Textdateien
22.2.2 Binrdateien
22.2.3 CSV-Dateien
22.2.4 XML-Dateien
22.2.5 HTML-Dokumente
22.2.6 Relationale Datenbanken

992
992
992
993
993
995
996

22.3 Registrierungsdatenbank (Registry)


22.3.1 Schlssel auslesen
22.3.2 Schlssel anlegen und lschen
22.3.3 Abkrzungen definieren
22.3.4 Werte anlegen und lschen
22.3.5 Werte auslesen
22.3.6 Praxisbeispiel

997
997
998
998
999
1000
1000

22.4 Computerverwaltung

1001

22.5 Hardwareverwaltung

1002

22.6 Softwareverwaltung
22.6.1 Inventarisierung
22.6.2 Installation von Anwendungen
22.6.3 Deinstallation von Anwendungen
22.6.4 Praxisbeispiel: Installationstest
22.6.5 Versionsnummer

1003
1003
1006
1006
1007
1008

22.7 Prozessverwaltung

1008

22.8 Druckerverwaltung

1009

22.9 Systemdienste

1010

22.10 Netzwerk
22.10.1 Ping
22.10.2 Netzwerkkonfiguration
22.10.3 Abruf von Daten von einem HTTP-Server

1011
1011
1012
1013

22.11 Ereignisprotokolle

1014

22.12 Leistungsdaten

1015

Inhaltsverzeichnis

22.13 Sicherheitseinstellungen
22.13.1 Grundlagen
22.13.2 Zugriffsrechtelisten auslesen
22.13.3 Einzelne Rechteeintrge auslesen
22.13.4 Besitzer auslesen
22.13.5 Benutzer und SID
22.13.6 Hinzufgen eines Rechteeintrags zu einer Zugriffsrechteliste
22.13.7 Entfernen eines Rechteeintrags aus einer Zugriffsrechteliste
22.13.8 Zugriffsrechteliste bertragen
22.13.9 Zugriffsrechteliste ber SSDL setzen

1015
1016
1017
1019
1020
1020
1023
1025
1026
1027

22.14 Active Directory


22.14.1 Architektur und Installation
22.14.2 Aktivieren des Active Directory-Moduls
22.14.3 Active Directory-Navigationsprovider
22.14.4 Objektmodell
22.14.5 berblick ber die Commandlets
22.14.6 Allgemeine Verwaltungscommandlets
22.14.7 Filtern und Suchen
22.14.8 Verwaltung von Organisationseinheiten
22.14.9 Verwaltung von Benutzerkonten
22.14.10Verwaltung von Benutzergruppen
22.14.11Informationen ber die Active Directory-Struktur

1028
1028
1030
1031
1033
1034
1035
1037
1038
1039
1041
1042

22.15 Grafische Benutzeroberflche


22.15.1 Eingabemaske
22.15.2 Universelle Objektdarstellung

1046
1047
1048

Abkrzungsverzeichnis

1051

Literatur und Links

1055

Stichwortverzeichnis

1061

21

Vorwort
Liebe Leserin, lieber Leser,
Mit Windows 7 ist Microsoft wirklich ein groer Wurf gelungen. Whrend sich Windows Vista insbesondere im Unternehmensumfeld sehr
schwer getan hat es gab zu viele Meldungen ber Schwierigkeiten mit
der Hardware und ber den Leistungshunger gibt es von Windows 7
Erfolgsmeldungen am laufenden Band:
Allein an den ersten zwei Tagen nach Verkaufsstart wurde Windows 7
in Deutschland fnf Mal so oft verkauft wie damals Vista.1, Windows 7
kommt nirgends besser an als in Deutschland2 Statistiken belegen
Erfolg von Windows 73. Natrlich muss man diese Meldungen von Microsoft auch vor dem Hintergrund bewerten, dass Microsoft bei Windows
7 zum Erfolg verdammt ist.
Da aber viele Unternehmen Windows Vista bersprungen haben, ist der
Wechsel mehr als acht Jahre nach dem Start von Windows XP berfllig.
Laut einer Umfrage des TechNet NewsFlash vom 17.12. 2009 sehen 42,3 %
der Befragten das Betriebssystem-Upgrade als wichtigstes IT-Projekt fr
2010 an.
Tatschlich beseitigt Windows 7 viele der Unzulnglichkeiten von Vista.
Das tut Windows 7 so gut, das man sagen knnte: Windows 7 ist ein Service Pack fr Windows Vista. Sptestens jetzt sollten Sie sich mit diesem
Betriebssystem beschftigen.
Mit diesem Gemeinschaftswerk von drei erfahrenen Windows-Spezialisten mchten wir Sie fr die neuen Features von Windows 7 begeistern
und Sie bei Installation, Konfiguration und Verwaltung untersttzen
fr eine reibungslose Migration zu Windows 7.
Das Buch richtet sich in erster Linie an professionelle Windows-Nutzer
und Systemadministratoren, die Windows 7 Professional/Enterprise
(oder Ultimate) im kommerziellen Umfeld (als Domnenmitglieder oder
Arbeitsgruppen-Rechner) einsetzen.
Angesprochen sind fortgeschrittene Anwender, die keine Beschreibung
der Symbole und keine seitenweisen Klickanleitungen bentigen. Konzeptionelle Fragen und deren Hintergrnde werden umfassend erlutert.
Schritt-fr-Schritt-Anleitungen sind, soweit Sie dem tieferen Verstndnis
dienen, enthalten ebenso wie aussagekrftige Bildschirmabbildungen.
Neben von Microsoft produzierten Erweiterungen, weisen wir auch auf
(kostenlose) Zusatzwerkzeuge und Produkte anderer Hersteller hin, die
den Lieferumfang von Windows 7 sinnvoll ergnzen.
1
2
3

http://www.n-tv.de/technik/computer/Microsoft-vom-Erfolg-ueberraschtarticle570876.html
http://www.gamestar.de/hardware/news/betriebssysteme/2311252/windows_7.html
http://winfuture.de/news,52637.html

23

Vorwort

Ein Schwerpunkt des Buches liegt auf der automatisierten Systemadministration mit dem Windows Script Host (WSH) und der Windows
PowerShell (WPS).

Leser-Service
Zu diesem Buch gibt es eine Leser-Website mit folgenden Diensten:
Downloads: Die aktuellen Versionen der in diesem Buch abgedruckten
Skripte sowie weitere Skripte und Codebeispiele.
Foren: Wenn Sie Fragen haben oder Ihre Meinung zu einem Thema dieses
Buches uern mchten, dann knnen Sie sich hier mit anderen Nutzern
austauschen.
Leser-Bewertung: Bewerten Sie dieses Buch und lesen Sie nach, was
andere Leser von diesem Buch halten.
Bug-Report: Melden Sie hier Fehler, die Sie in diesem Buch gefunden haben!
Hier knnen Sie auch nachlesen, welche Fehler anderen nach Drucklegung
aufgefallen sind.
Newsletter: Alle registrierten Leser erhalten in unregelmigen Abstnden einen Newsletter.
Der URL fr den Zugang zum Leser-Portal lautet:
http://www.IT-Visions.de/leser
Bei der Anmeldung mssen Sie das Kennwort BUFFY angeben.

Viel Erfolg mit diesem Buch wnschen Ihnen

Dr. Holger Schwichtenberg, Manuela Reiss und Jochen Ruhland

24

1
ber die Autoren

ber die Autoren


Dr. Holger Schwichtenberg
Ausbildung:
Studium Diplom-Wirtschaftsinformatik an
der Universitt Essen
Promotion an der Universitt Essen im Gebiet
komponentenbasierter Softwareentwicklung
Ttig in der Softwareentwicklung seit 1996
Aktuelle Ttigkeit:
Leitung der Firma www.IT-Visions.de
Softwareentwicklung und Softwarearchitektur im Kundenauftrag
Beratung und Schulung von Softwareentwicklern
Individueller Support fr Softwareentwicklungsprojekte
Gutachter in den Wettbewerbsverfahren der EU gegen Microsoft
Kernkompetenzen:
Einfhrung von .NET Framework und Visual Studio/Migration auf
.NET
.NET-Strategie / Auswahl von .NET-Technologien
Webanwendungsentwicklung mit IIS, ASP.NET und AJAX
Enterprise .NET
Verteilte Systeme mit .NET insbesondere Windows Communication
Foundation
C#, Visual Basic (VB/VB.NET/VBS/VBA)
Component Object Model (COM), Windows Scripting (WSH), Windows
PowerShell (WPS)
Relationale Datenbanken, XML und Object Relational Mapping (ORM)
Active Directory-Programmierung und Windows Management Instrumentation (WMI)
Verffentlichungen und Vortrge:
ber 40 Fachbcher bei Addison-Wesley, Microsoft Press und dem Carl
Hanser-Verlag
Mehr als 500 Beitrge in Fachzeitschriften
Stndiger Mitarbeiter der Zeitschriften iX und dotnetpro sowie bei
heise.de
Sprecher auf nationalen und internationalen Fachkonferenzen (z. B.
TechEd, OOP, Microsoft Launch Event, MSDN Summit, BASTA, Advanced Developers Conference, Microsoft IT Forum, Wirtschaftsinformatik,
VS One, u.a.)
Sprecher in MSDN Webcasts

25

Vorwort

Ehrenamtliche Community-Ttigkeiten:
Vorstandsmitglied bei codezone.de
Sprecher fr die International .NET Association (INETA)
Betrieb der Community-Websites www.dotnetframework.de und
www.windows-scripting.de
Zertifikate und Auszeichnungen von Microsoft:
Most Valuable Professional (MVP)
Microsoft Certified Solution Developer (MCSD)
.NET Code Wise Community-Experte
Codezone Premier Site Member
Firmen-Website:
http://www.IT-Visions.de
Weblog:
http://www.dotnet-doktor.de (bei Heise.de)
Kontakt:
hs@IT-Visions.de
0201 7490-700 (Bro www.IT-Visions.de)

Manuela Reiss
Manuela Reiss ist seit mehr als 18 Jahren
selbststndig ttig als Beraterin, Trainerin
und Fachbuchautorin im Microsoft Windows-Umfeld.
Ihr theoretisches Fachwissen hat sie sich in
zahlreichen Zertifizierungsprogrammen vor
allem bei Microsoft erworben. So ist sie u.a.
Microsoft Certified Systems Engineer (MCSE)
fr mehrere Versionen von Windows-Serversystemen. Darber hinaus verfgt Sie
ber langjhrige praktische Erfahrungen,
die sie in zahlreichen Projekteinstzen in
den Bereichen Administration und Support, schwerpunktmig im Banken
und Telekommunikationsumfeld sowie in der ffentlichen Verwaltung
erworben hat.
In den vergangenen Jahren hat sie sich im Rahmen der Beraterttigkeit verstrkt auf die Bereiche Konzeption und Dokumentation spezialisiert und
deckt damit das breite Spektrum von der theoretischen Konzeptionierung
ber eine prozessorientierte Planung bis hin zur praktischen Umsetzung
ab. Als zertifizierte Projektmanagement Fachfrau (GPM) untersttzt sie
Firmen im Bereich Projektmanagement und IT Service Management sowie
bei allen Fragen rund um das Thema Dokumentation.

26

1
Die Icons und Verweise in diesem Buch

Daneben hat sie sich als Fachbuchautorin einen Namen gemacht und ist
seit vielen Jahren u.a. fr den Addison-Wesley Verlag als Autorin ttig.
Ihre fachlichen Schwerpunkte liegen hierbei, neben dem Themenschwerpunkt IT-Dokumentation, vor allem in der Administration und Migration
heterogener Windows-Netzwerke, sowie im Bereich Troubleshooting von
Windows Server- und Client-Systemen.

Jochen Ruhland
Nach Abschluss als Diplom-Mathematiker
mit Schwerpunkt Informatik ist er seit mehr
als zwanzig Jahren im Bereich Systemadministration ttig, inzwischen als freiberuflicher IT-Consultant in Mnchen. In dieser
Zeit hat er die Umwandlung lokaler Netzwerke mit Windows NT 4 hin zu globalen
Netzwerken mit Windows Server 2008 aus
nchster Nhe erlebt. Daneben hat er als
Autor oder Fachlektor an Publikationen zu
verschiedenen Themen im Bereich Betriebssysteme, Anwendungsprogramme und -server oder Programmierung mitgearbeitet.
Sein besonderes Interesse gilt hierbei der
Entwicklung der Windows-Plattform. Zeitweise war er Microsoft Most Valuable Professional (MVP) im Bereich Windows Client-Networking.

Die Icons und Verweise in diesem Buch


Im vorliegenden Buch sind wichtige Hinweise und Einschbe durch
einen grauen Kasten hinterlegt. Zustzlich werden drei Icons verwendet,
um bestimmte Informationen besonders hervorzuheben:
Interessante Hintergrundinformationen, die Besonderheiten des gerade
besprochenen Themas beinhalten.

Warnung vor Bugs oder mglichen Schwierigkeiten

Tipps und Tricks

27

Vorwort

Um den Lesefluss nicht durch lange Internetlinks zu stren, sind Literaturhinweise und Verweise auf Quellen aus dem Internet im Text durch
Krzel in eckigen Klammern gekennzeichnet, z.B. [ACT], was fr Application Compatibility Toolkit steht. In Anhang B Literatur und Links finden
Sie eine Liste mit den vollstndigen Links und Literaturverweisen.

Die CD zum Buch


Auf der beiliegenden CD finden Sie
das Buch als farbiges eBook, damit Sie auch unterwegs schnell Informationen finden,
die Beispielskripte aus den Kapiteln 17 bis 21,
Erweiterungen, Komponenten, Sprachen und Tools fr das Windows
Scripting (zum Teil als Vollversionen, zum Teil als Demo-Versionen),
Dokumentationen zu Visual Basic Script, dem WSH und einigen der
besprochenen Komponenten
Video-Lektionen zum Thema Desktopvirtualisierung mit den Remotedesktopdiensten.

28

Betriebssysteminstallation

Wer schon einmal Windows Vista installiert hat, dem wird der Installationsablauf bekannt vorkommen. Denn die Installationsroutine von Windows 7 beruht eindeutig auf Windows Vista mit kleinen nderungen in
der Ablaufreihenfolge. Und wie bereits Windows Vista bietet Windows 7
vielfache Untersttzungen fr eine einfache automatisierte Verteilung in
Unternehmensnetzwerken. Neben den Voraussetzungen fr die Installation
von Windows 7 und der detaillierten Beschreibung einer Einzelplatzinstallation, werden in diesem Kapitel deshalb auch im berblick Technologien vorgestellt, die eine Verteilung von Windows 7 in Unternehmensnetzwerken
untersttzen.

1.1

Installationsplanung und
Vorbereitung

Eine durchdachte Planung und Vorbereitung ist der Grundstein einer


jeden erfolgreichen Installation. Vor jeder Installation sollten deshalb die
folgenden Fragen geklrt werden:
Windows 7 stellt besondere Anforderungen an die Hardware. Sind die
vorhandenen Computer und deren Peripherie mit Windows 7 kompatibel? Welche Anforderungen mssen neue Rechner erfllen? (Siehe
hierzu den folgenden Abschnitt 1.1.1)
Welche Edition von Windows 7 wird bentigt bzw. ist am besten geeignet? (Siehe hierzu Abschnitt 1.1.2 ab Seite 34)
Welches Installationsverfahren ist am besten geeignet? (Siehe hierzu
Abschnitt 1.1.3 ab Seite 35)
Ist die Einrichtung einer mehrsprachigen Systemumgebung erforderlich? (Siehe hierzu Abschnitt 1.3.3 ab Seite 82)
29

Kapitel 1 Betriebssysteminstallation

1.1.1

Sicherstellung der Systemanforderungen

Der folgende Abschnitt erlutert die Anforderungen von Windows 7 und


soll auch bei der Beantwortung der Frage helfen, inwieweit die vorhandenen Computer und deren Peripherie fr den Einsatz mit Windows 7
geeignet sind.

Hardwareanforderungen
Die von Microsoft empfohlenen Mindestanforderungen liegen (bis auf die
Hauptspeicherkapazitt) nicht hher als die fr Windows Vista, sodass
die heute erhltlichen Komplettsysteme die Anforderungen in der Regel
problemlos erfllen.
Bei lteren Systemen aber ist zu hinterfragen, ob diese fr den Einsatz von
Windows 7 geeignet sind. Dabei ist zu unterscheiden, ob die Hardware so
ausgelegt ist, dass Windows 7 darauf grundstzlich lauffhig ist, aber nicht
alle spezifischen Funktionen untersttzt, oder ob alle Neuerungen von Windows 7 nutzbar sind. Dies betrifft insbesondere die grafikintensive Benutzeroberflche, die Microsoft bereits mit Windows Vista unter dem Namen Aero
eingefhrt hat sowie die erweiterten Multimediafunktionen von Windows 7.

Authentic, Energetic, Reflective, Open = Aero


Aero steht fr die neue vektorbasierte Benutzeroberflche von Windows.
Diese bietet im sogenannten Aero-Glass-Modus dem Benutzer frei skalierbare Fenster mit Schattenwurf, halbtransparente Rahmen sowie flssige Animationen beim Minimieren, Maximieren, Schlieen und ffnen
von Fenstern.
Hinsichtlich der Hardwareanforderungen sollten die folgenden Punkte
beachtet werden.
Prozessor
Grundstzlich ist Windows 7 auf allen aktuellen Prozessoren von Intel
und AMD lauffhig und untersttzt alle Funktionen. Gem Microsoft
gengt fr die Nutzung der Basisfunktionen ein 1-GHz-Prozessor mit
32 Bit oder 64 Bit. In der Praxis sollte es jedoch mindestens ein 2-GHzProzessor sein. Empfehlenswert ist der Einsatz von Dual-Core-Prozessoren, die von Hause aus eine effizientere Leistungserbringung gewhrleisten. berlegenswert ist auch, mit Windows 7 eventuell auf die
64-Bit-Prozessortechnologie umzusteigen. Erleichtert wird der Umstieg
dadurch, dass Microsoft alle Editionen auch als 64-Bit-Variante zur
Verfgung stellt. Allerdings ist zu beachten, dass bei Einsatz einer
64-Bit-Version einige zustzliche Anforderungen bestehen. So knnen
beispielsweise nur noch signierte Treiber verwendet werden. Es sollte
daher im Vorfeld sichergestellt werden, ob fr die eingesetzte Hardware 64-Bit-Treiber zur Verfgung stehen.
Im Gegensatz zu den Treibern knnen die meisten Programme, die fr
die 32-Bit-Version von Windows entwickelt wurden, auch unter der
64-Bit-Version ausgefhrt werden. Allerdings laufen 64-Bit Anwendungen in der Regel schneller, da diese die Vorteile der 64-Bit-Architektur
vollstndig nutzen.

30

1
Installationsplanung und Vorbereitung
Grafikkarte

Eine wesentliche Bedeutung kommt der verwendeten Grafikkarte zu,


insbesondere wenn ein Aero-Desktopdesign verwendet werden soll. Fr
deren Einsatz muss die Grafikkarte das Windows Display Driver Model
(WDDM) untersttzen. Auf dieses setzt u.a. auch der Multimediastandard DirectX 10 auf, der bereits mit Windows Vista Einzug gehalten hat.
Zwar luft Windows 7 auch mit DirectX 9, das Shader-Modell 4.0 sowie
WDDM wird jedoch nur von DirectX 10 benutzt. Zustzlich untersttzt
Windows 7 die Version DirectX 11.
Auerdem muss die Grafik-CPU ber mindestens 128 MB Arbeitsspeicher verfgen.
Bei Systemen mit integrierter Grafik-CPU sollte darauf geachtet werden,
dass der Chipsatz WDDM-Untersttzung bietet. Um auch Grafikkarten
ohne WDDM verwenden zu knnen, verwendet Windows 7 automatisch einen anderen Grafikmodus bzw. ein Basisdesign ohne Aero-Funktionen. In diesem Modus wird die Oberflche von der CPU statt von der
Grafikkarte erzeugt.
Arbeitsspeicher

Offiziell kommt Windows 7 mit 1 GB RAM aus, fr x64-Rechner werden


2 GB empfohlen. Dies stellt jedoch die unterste Grenze dar. Insbesondere
bei Einsatz einer x64-basierten Windows 7-Edition, ist zu beachten, dass
64-Bit-Anwendungen mehr Arbeitsspeicher bentigen. Maximal untersttzt Windows 7 32-Bit-Versionen mit 4 GB, von denen aber aufgrund
von Beschrnkungen im 32-Bit-System nur 3,25 GB genutzt werden
knnen. Die 64-Bit-Versionen Ultimate, Enterprise und Professional von
Windows 7 knnen bis zu 192 GB Arbeitsspeicher verwalten (weit mehr
als auch der Poweruser normalerweise bentigt), wodurch sie fr ganz
spezielle Computeraufgaben, die enorme Arbeitsspeichermengen erfordern, wie das Rendern von 3D-Grafiken, ideal geeignet sind. Die 64-Bit
Versionen untersttzen bis zu maximal 192 GB (abhngig von der eingesetzten Edition).
Festplatte

Microsoft definiert als Mindestgre fr die Festplatte 16 GB verfgbaren Festplattenspeicher auf einer mindestens 20 GB groen Festplatte.
Die 64-Bit-Version erfordert 20 GB Platz. Diese Werte berfordern in der
Regel selbst ltere Festplatten nicht, wobei ein Austausch lterer Festplatten auch aufgrund deren geringeren Geschwindigkeit empfehlenswert ist.
Zu beachten ist auch, dass Windows 7 einige neue Funktionen im Bereich
der Bildbearbeitung mitbringt und der Speicherplatzbedarf allein aus
diesem Grund stark ansteigen kann. Wird ein Rechner fr diese Zwecke
eingesetzt, sollte bereits bei der Anschaffung darauf geachtet werden,
dass dieser ber mglichst viel Speicherplatz verfgt und, noch wichtiger, dass er spter durch zustzliche Festplatten erweiterbar ist.
Windows 7 akzeptiert fr das System nur Festplattenpartitionen, die
mit dem Dateisystem NTFS formatiert sind. Fr weitere (Nicht-System-)
Partitionen werden auch FAT und FAT32 als Dateisystem untersttzt.

31

Kapitel 1 Betriebssysteminstallation
BIOS

Das BIOS muss ACPI (Advanced Configuration and Power Interface)


untersttzen. ACPI ist ein offener Industriestandard, der eine flexible
und erweiterbare Hardwareschnittstelle fr die Systemplatine definiert. Hierzu gehren beispielsweise intelligente Stromsparfunktionen. Vor der Installation sollte berprft werden, ob der Hersteller
eine aktualisierte BIOS-Funktion zur Verfgung stellt.
Weitere Hardware

Fr eine Installation vom Installationsmedium ist ein DVD-Laufwerk


erforderlich, da Windows 7 nicht mehr auf eine CD-ROM passt.
Darber hinaus sollte mindestens eine 100-MBit-Ethernetkarte bzw.
bei Notebooks alternativ eine 802.11-WLAN-Netzwerkkarte vorhanden sein.
Wer die Festplattenverschlsselungsfunktion BITLOCKER nutzen mchte,
bentigt auerdem einen TPM-Chip, welcher der Spezifikation 1.2 der
Trusted Computing Group (TCG) entspricht, sowie ein TCG-kompatibles BIOS. Alternativ ist fr den Einsatz von BitLocker To Go ein USB-Flashlaufwerk erforderlich.
Windows 7Logos

Wie bereits bei den Vorgngerversionen gibt es auch fr Windows 7 die sogenannten Logo Requirements, die festlegen, welche Anforderungen Hardware
fr den Betrieb mit Windows 7 erfllen muss, um das Windows 7-Logo tragen zu drfen. Microsoft beschreibt die Anforderungen an Komplettrechner
und PC-Komponenten sehr detailliert. Dabei unterscheiden sich die Anforderungen an Logo-taugliche Hardware laut Microsoft nur wenig von den
Logo-Anforderungen von Windows Vista. Allerdings ist der Zugriff auf den
sogenannten LogoPoint und damit auf die komplette Logo-RequirementsDatenbank nur noch Microsoft-Partnerfirmen mit Winqual-Account mglich. Dieser wiederum erfordert ein digitales VeriSign-Zertifikat. Alle anderen Anwender knnen lediglich einen ffentlichen Newsletter abonnieren
[WHDC].

Abbildung 1.1
Diese Logos signalisieren, dass
die Hardware
bestimmte Anforderungen fr
den Betrieb mit
Windows 7 erfllt.

Prfung der Windows 7-Tauglichkeit eines Computers


Neue Gerte erfllen in der Regel die Anforderungen, die Windows 7 an
die Hardware stellt. Anders hingegen ist es mit lteren Rechnern. Und welches Unternehmen kann es sich leisten, mit jedem Betriebssystemwechsel
auch die Hardware komplett auszutauschen? In aller Regel mssen deshalb auch ltere Rechner verwendet werden.
Windows 7
Upgrade Advisor

32

Um festzustellen, ob ein vorhandener Rechner fr den Einsatz von Windows


7 geeignet ist, bietet Microsoft den Nachfolger des bereits fr Windows Vista
verfgbaren Upgrade Advisors an. ist. Der kostenlose Windows 7 Upgrade

1
Installationsplanung und Vorbereitung

Advisor berprft Hardware, Gerte und installierte Programme auf bekannte Kompatibilittsprobleme, gibt Hilfestellung beim Beheben erkannter
potenzieller Probleme und empfiehlt Aktionen, die vor dem Upgrade ausgefhrt werden sollten. Damit knnen mgliche Installationshindernisse aufgesprt und vor Beginn der Installation beseitigt werden [ADVISOR].
Der Windows 7 Upgrade Advisor analysiert die vorhandene Hardware
und Software und gibt Auskunft darber, ob fr alle Hardwarekomponenten Treiber zur Verfgung stehen, listet die Programme auf, die unter 7
nicht lauffhig sind, und schlgt eine geeignete Windows 7-Edition vor.
Nach Durchfhrung des Prflaufs wird der nachfolgend abgebildete exemplarische Ergebnisbericht angezeigt. Dieser zeigt in verschiedenen Registerkarten die Tauglichkeit fr den Einsatz der unterschiedlichen 7er-Editionen
und weist ggf. auf noch erforderliche Manahmen hinsichtlich Systemausstattung, vorhandener Gerte und installierter Anwendungen hin. Allerdings beschrnken sich die Ratschlge meist darauf, die Website des Herstellers aufzusuchen.
Abbildung 1.2
Ergebnis der
Windows 7Upgrade-AdvisorPrfung

33

Kapitel 1 Betriebssysteminstallation

Ausfhrbar ist Windows 7 Upgrade Advisor unter Windows XP, Windows Vista und Windows 7. Der Einsatz auf Windows 7-Systemen
kann dazu dienen, um festzustellen, ob der Einsatz anderer Windows
7-Editionen mglich ist.

1.1.2

Die Editionen von Windows 7 im


Vergleich

Wie bereits die Vorgngerversionen Windows XP und Windows Vista ist


auch Windows 7 in unterschiedlichen Editionen erhltlich. Whrend jedoch
bei Windows XP die eingesetzte Hardware die Auswahl der Edition
bestimmte, wie beispielsweise bei der Windows XP Tablet PC Edition, sind
bei Windows Vista und Windows 7 die Editionen auf den Einsatzzweck
ausgerichtet. So wendet sich Windows 7 Home Premium an Privatanwender, whrend Windows 7 Professional fr den Einsatz in Unternehmen ausgelegt ist.
Alle Editionen
auch als x64Variante

Windows 7 ist in den nachstehend aufgefhrten Editionen erhltlich, die


jeweils einem unterschiedlichen Nutzungsprofil entsprechen. Mit Ausnahme der Starter-Edition gibt es alle Editionen sowohl in einer 32-BitVariante als auch in einer 64-Bit-Variante. Bei den im Handel erhltlichen
Retail-Editionen kann ausgewhlt werden, ob die 32-Bit- oder die 64-BitVersion installiert werden soll. (Windows 7 System-Builder- und OEMVersionen beinhalten jeweils nur die 32-Bit- oder die 64-Bit-Version.)
Windows 7 Starter
Die kleinste Variante ist in Deutschland nicht verfgbar. Diese Edition wird
besonders preiswert vertrieben und ist vornehmlich fr Entwicklungslnder bzw. Schwellenlnder konzipiert. Der Funktionsumfang dieser Edition ist stark eingeschrnkt und insbesondere fr die Verwendung auf leistungsschwacher Hardware wie beispielsweise Netbooks gedacht. Sie ist
auch die einzige Edition, die nur in einer 32-Bit-Variante erhltlich ist.
Windows 7 Home Basic
Windows Home Basic ist ebenfalls nicht in Deutschland erhltlich. Als stark
abgespeckte Edition wird sie nur in speziellen Mrkten vertrieben. Dieser
Edition fehlt die Aero-Oberflche, das Media Center sowie die Tauglichkeit,
einer Domne beizutreten. Die Zielgruppe dieser Edition sind Heim-PCAnwender, die ein preiswertes Windows-Betriebssystem suchen und denen
es vor allem auf die Grundfunktionen von Windows ankommt.
Windows 7 Home Premium
Windows 7 Home Premium ist jene Edition, die sich auf den meisten Consumer-PCs finden wird. Sie beinhaltet smtliche Multimedia-Features einschlielich des Windows Media Centers. Im Unternehmensbereich ist diese
Edition nicht einsetzbar, unter anderem schon deshalb, weil kein Beitritt zu
einer Domne mglich ist.

34

1
Installationsplanung und Vorbereitung

Windows 7 Professional
Die Professional-Edition ersetzt die Windows Vista Business Edition. Sie ist
fr den Einsatz in Unternehmen konzipiert und untersttzt beispielsweise
die Mitgliedschaft in Active Directory-Domnen, stellt Technologien fr
eine automatisierte Bereitstellung im Unternehmensnetzwerk bereit und
ist darber hinaus mit Tablet-PC-Technologie ausgestattet. Einschrnkend
bietet sie keine Premium-Funktionen (u.a. BitLocker, AppLocker, DirectAccess, BranchCache und Multilanguage-Support).
Windows 7 Enterprise und Ultimate
Windows 7 Enterprise und Windows 7 Ultimate spielen eine Sonderrolle.
Im Gegensatz zu den Windows Vista-Editionen unterscheiden sich diese
beiden Editionen nicht in der Ausstattung, sondern lediglich in der Art und
Weise der Lizenzierung. So ist die Enterprise Edition ausschlielich fr
Volumenlizenzkunden mit Software Assurance erhltlich und erlaubt die
Aktivierung ber einen unternehmenseigenen Schlsselverwaltungsdienst
[VAMT]. Beide Editionen verfgen ber smtliche Premium-Funktionen
und sind fr den Einsatz in komplexen IT-Infrastrukturen konzipiert.
Ursprnglich hatte Microsoft fr Europa mit Windows 7 E (ohne Internet Spezielle EuropaExplorer 8) und Windows 7 N (ohne Internet Explorer 8 und zustzlich ohne Editionen waren
Windows Media Player) zwei spezielle OEM-Versionen zur Vorinstallation geplant
angekndigt.
Diese Versionen wollte Microsoft anbieten, um die Auflagen der EU-Kommission zu erfllen. Stattdessen aber ist nun geplant (Stand 12/2009), den
Browser-Auswahlbildschirm Ballot-Screen zu implementieren. Anwender
knnen damit einen anderen Browser als den Internet Explorer unter Windows 7 installieren.

1.1.3

Neuinstallation versus Upgrade

Eine der wichtigsten Entscheidungen bei einer Betriebssystemmigration in


Bezug auf die Installation ist die Wahl des Installationsverfahrens. Hierbei
ist zu entscheiden, ob eine Neuinstallation (Clean install) erfolgen oder ob
ein bestehendes Betriebssystem mittels Aktualisierung (In-Place-Upgrade)
aktualisiert werden soll bzw. kann.
Allerdings ist im Fall von Windows 7 die Entscheidung meist einfach, denn Aktualisierung
Windows Vista ist die einzige Windows-Version, von der aus direkt auf nur von Windows
Windows 7 aktualisiert werden kann. Bei Einsatz einer lteren Windows- Vista untersttzt
Version wie beispielsweise Windows XP bleibt nur, Windows 7 frisch zu
installieren und danach bei Bedarf zumindest die Benutzereinstellungen
mit Windows-EasyTransfer auf Windows 7 zu bertragen. Leider mssen
in diesem Fall alle Anwendungen neu installiert werden.
Der Grund ist technisch bedingt. Fr Windows Vista hat Microsoft ein
In-Place-Upgrade von Windows XP als Upgrade-Pfad zwar implementiert, doch war das Ergebnis nicht immer zufriedenstellend, da Windows
XP und alle brigen Vorgngerversionen in vielen Bereichen grundstzlich andersartige Technologien als Windows Vista verwenden.

35

Kapitel 1 Betriebssysteminstallation

Um derartigen Problemen vorzubeugen, wird eine Aktualisierung auch


von Windows XP nicht mehr untersttzt. Aus diesem Grund sollte auch auf
den Workaround verzichtet werden, zuerst auf eine Testversion von Windows Vista und von dort aus dann weiter zu Windows 7 zu aktualisieren.
Schlielich bietet eine Neuinstallation auch die Chance, sich von Altlasten
zu befreien.

Aktualisierung versus Neuinstallation


Bei der Aktualisierung einer vorhandenen Windows-Version ersetzt der
Installations-Assistent fr Windows 7 vorhandene Windows-Dateien, behlt jedoch die vorhandenen Einstellungen und Anwendungen bei.
Bei einer Benutzerdefinierten Installation (Neuinstallation) muss Windows
7 neu installiert werden. Die Installation kann bei einer Neuinstallation
wahlweise aus einem vorhandenen Betriebssystem heraus oder durch
Booten mit der Windows 7-Installations-DVD gestartet werden. Zustzlich ist es mglich, Windows 7 neu zu installieren (auf dem gleichen
oder einem anderen Rechner), dabei jedoch die Einstellungen und
Dateien des alten Systems zu bernehmen. Ein solcher Umzug ist mglich von Rechnern, auf denen Windows 2000 oder hher ausgefhrt
wird. Hierbei werden die Daten vom alten Computer eingesammelt
und dann auf dem neuen Computer wiederhergestellt. Microsoft
bezeichnet ein derartiges Vorgehen ebenfalls als Upgrade (im Gegensatz
zum In-Place-Upgrade). Hierbei handelt es sich tatschlich um eine
Neuinstallation mit einer zustzlichen Migration von Benutzereinstellungen, Dokumenten und Anwendungen.

Untersttzte Upgrade-Szenarien
Zu beachten ist, dass nicht von jeder Windows Vista-Edition ein Upgrade auf
jede Windows 7-Edition technisch untersttzt wird. Die folgende Tabelle
zeigt die zulssigen Upgrade-Mglichkeiten zu den verschiedenen Windows Vista-Editionen.
Tabelle 1.1
Zulssige Windows
7-In-PlaceUpgrade-Pfade

36

Windows Vista-Edition

Untersttzte Windows 7-Edition

Windows Vista Home Basic

Windows 7 Home Premium und Ultimate

Windows Vista Home Premium Windows 7 Home Premium und Ultimate


Windows Vista Ultimate

Windows 7 Ultimate

Windows Vista Business

Windows 7 Professional, Enterprise und


Ultimate

Windows Vista Enterprise

Windows 7 Enterprise

1
Installationsplanung und Vorbereitung

Es ist zu beachten, dass architekturbergreifende direkte Upgrades, d.h.


von einer 32-Bit- auf eine 64-Bit-Version, nicht untersttzt werden. Weiterhin gilt, dass die genannten Upgrade-Mglichkeiten nicht fr alle
Sprachversionen gelten. So wird beispielsweise ein Upgrade bzw. eine
Aktualisierung bei der bulgarischen Sprachversion von Windows Vista
auf die entsprechende Sprachversion von Windows 7 nicht untersttzt.
Dies muss im Einzelfall vor der Installation geprft werden.

bernahme von Dateien und Einstellungen


Dank zweier Programme kann die Durchfhrung einer Neuinstallation
auerdem deutlich vereinfacht werden. Hierbei handelt es sich zum einen
um Windows-EasyTransfer und zum anderen um das User State Migration
Tool (USMT).
Beide Programme bieten eine schnelle und einfache Mglichkeit, benutzer- Verschiedene
spezifische Dateien und Einstellungen zu kopieren. Whrend Windows- Einsatzzwecke
EasyTransfer zum Migrieren von Einstellungen und Dateien aller oder einzelner Benutzer von einem einzelnen Computer auf einen anderen Computer verwendet werden kann, erlaubt es das User State Migration Tool
(USMT), gleichzeitig die Dateien und Einstellungen fr mehrere Benutzer
auf mehreren Computern zu migrieren, und untersttzt damit die Bereitstellung von Windows 7 in Unternehmensnetzwerken.
Da USMT typischerweise im Rahmen der Bereitstellung von Windows
auf den Clientrechnern in Unternehmensnetzwerken eingesetzt wird, finden Sie eine detaillierte Beschreibung dieses Programms in Abschnitt 1.3.2
ab Seite 69.
Windows-EasyTransfer ist ein kostenloses Tool und kann in verschiede- Windows-Easynen Sprachversionen aus dem Microsoft Download Center heruntergela- Transfer
den werden.
Das Tool kann zum Verschieben von Benutzerkonten, Dateien und Ordnern, Interneteinstellungen und Favoriten sowie E-Mail-Einstellungen von
einem vorhandenen Windows-Computer mit Windows XP [EASYTRANS_
XP] oder Windows Vista [EASYTRANS_VISTA32 und [EASYTRANS_
VISTA64] auf einen neuen Computer mit Windows 7 verwendet werden.
Die bertragung von Programmen ist jedoch nicht mglich, was bedeutet,
dass alle Anwendungen nach einer Neuinstallation zwingend neu installiert werden mssen.
Die bertragung der Dateien mit Windows EasyTransfer kann mithilfe
der folgenden Medien erfolgen:
Netzwerkverbindung
Wechselmedien, wie beispielsweise USB-Laufwerk oder externe Festplatte
USB-EasyTransfer-Kabel

37

Kapitel 1 Betriebssysteminstallation

In Windows 7 ist die Software bereits integriert. Es ist daher nicht erforderlich, auf dem Computer, auf dem Windows 7 ausgefhrt wird, Windows-EasyTransfer zu installieren.
Die bertragung mithilfe von Windows-EasyTransfer umfasst die folgenden Arbeitsschritte:
1. Nachdem Windows-EasyTransfer heruntergeladen wurde, muss es auf
dem Quellrechner installiert werden. Alternativ kann EasyTransfer auf
einen USB-Stick oder auf eine Netzfreigabe kopiert und von dort gestartet werden.
2. Damit Einstellungen von einem Computer auf einen anderen bertragen werden knnen, muss Windows-EasyTransfer auf beiden Computern gestartet werden. ffnen und starten Sie Windows-EasyTransfer
zuerst auf dem Quellrechner. Folgen Sie den Anweisungen des Assistenten. Aus Sicherheitsgrnden ist fr den Transfer die Verwendung
eines bertragungsschlssels erforderlich.
3. ffnen und starten Sie Windows-EasyTransfer dann auf dem Computer, auf dem Windows 7 ausgefhrt wird. Geben Sie hierzu im Suchfeld
des Startmens Easy ein, und klicken Sie dann auf Windows-EasyTransfer.
4. Mithilfe des Windows EasyTransfer-Assistenten knnen anschlieend
die zu bertragenden Einstellungen und Dateien ausgewhlt werden.
Dabei knnen sowohl die Einstellungen aller Benutzer des Quellrechners als auch nur die des angemeldeten Benutzers gewhlt werden.
Sobald die Dateien und Einstellungen von dem alten Computer gesammelt und gespeichert wurden, muss wiederum zum Windows 7-Zielcomputer gewechselt werden, um den Assistenten abzuschlieen.
Abbildung 1.3
Der Windows-EasyTransfer-Assistent
fhrt durch den
bernahmeprozess.

Steht das alte System nach Abschluss der Installation von Windows 7 noch
zur Verfgung, kann die bernahme der Einstellungen im Anschluss an die

38

1
Installationsplanung und Vorbereitung

Installation erfolgen. Bei einer Neuinstallation auf dem gleichen System


mssen die Einstellungen auf dem Quellcomputer zuvor gespeichert werden.
Bei der Migrationsplanung sollte sorgfltig ausgewhlt werden, welche Ele- Daten sorgfltig
mente migriert werden (persnliche Benutzereinstellungen, Anwendun- auswhlen
gen, Anwendungseinstellungen, persnliche Datendateien und Ordner).
Hierbei gilt, dass auf dem Zielsystem nur die Informationen wiederhergestellt werden drfen, die wirklich bentigt werden. Das Wiederherstellen
von Daten und Einstellungen fr Anwendungen, die auf dem Zielsystem
nicht mehr installiert werden, ist redundant und fhrt unter Umstnden
sogar zu Instabilitt auf dem neuen Windows 7-Zielrechner.

1.1.4

Sichern bestehender Systeme vor Beginn


der Migration

Sind auf einem Rechner, der nach Windows 7 migriert werden soll, lokale
Daten gespeichert, mssen diese zwingend vor der Migration gesichert
werden. Dies gilt auch fr den Fall, dass eine Aktualisierung des Betriebssystems erfolgen soll. Beim Speichern der wichtigen lokalen Daten richten sich die Mglichkeiten nach dem ursprnglichen Betriebssystem und
den verfgbaren Sicherungsoptionen. Mglich ist die Verwendung folgender Backup-Methoden:
Verwendung systemintegrierter Werkzeuge (Windows-Backup) oder
anderer Sicherungssoftware
Sicherung der Daten in einen Netzwerkordner
Brennen der Daten auf eine CD oder DVD
Sicherung auf einer externen Festplatte
Abhngig von der Wichtigkeit des Arbeitsplatzrechners kann es notwendig Festplattensein, eine Fallback-Mglichkeit einzuplanen, um bei Problemen whrend Image erstellen
der Migration das bisherige System wiederherstellen zu knnen. Whrend
die Sicherung der Daten beispielsweise durch einfaches Kopieren auf ein
Netzlaufwerk erfolgen kann, lsst sich die zweite Anforderung am einfachsten durch Erstellung eines Speicherabbilds der Festplatte bzw. einer ausgewhlten Partition lsen.
Dies ist mit Windows-Bordmitteln jedoch nicht mglich. In diesem Fall
mssen spezielle Festplattenabbildungsprogramme beispielsweise von
den Anbietern Symantec oder Acronis verwendet werden, die es ermglichen, exakte Kopien von Festplatten und Partitionen zu erstellen, die auf
Laufwerken im Netzwerk oder auf CD-ROM bzw. DVD gespeichert werden knnen und es im Notfall erlauben, ein System mit allen Anwendungen und Einstellungen wiederherzustellen.
Aktuell (Stand 12/09) vertreibt Symantec Norton Ghost in der Version 15.0. Norton Ghost
Diese luft unter Windows XP (Home und Professional) und unter Windows
Vista (Home, Business und Ultimate). Norton Ghost stellt, neben diversen
anderen Funktionen, Backup-Funktionen zur Sicherung des gesamten
Inhalts einer Festplatte oder Partition (Festplatten-Image).

39

Kapitel 1 Betriebssysteminstallation

Norton Ghost 15

Acronis True
Image

Hersteller:

Symantec

Preis:

34,99 EUR

URL:

http://www.symantecstore.com/dr/v2/ec_Main.Entry
17c?SID=27679&SP=10023&CID=178299&PID=
952080&PN=1&V1=952080&CUR=978

Alternativ kann beispielsweise Acronis True Home 2010 eingesetzt werden.


Dieses Tool ermglicht ebenfalls das Erstellen exakter Images von Festplatten bzw. Partitionen inklusive aller Daten, des Betriebssystems und der Programme und dateibasierte Backups fr wichtige Dateien und Verzeichnisse
von Rechnern mit Microsoft Windows XP (Home, Professional und Professional x64 Edition), Windows Vista (alle Editionen) sowie Windows 7 (alle
Editionen). Da Acronis True Home 2010 bereits Windows 7 untersttzt, kann
das Programm nach erfolgter Migration auch zum Sichern des Windows 7Rechners verwendet werden.
Darber hinaus bietet das Programm einige spezielle Funktionen fr
den Einsatz in Unternehmensnetzwerken. Hierzu zhlen u.a. eine zentrale
Administration und Remotesicherung bzw. -wiederherstellung sowie die
Mglichkeit, Sicherungen auf direkt angeschlossenen Speichergerten
und NAS- oder SAN-Volumes zu speichern.
Acronis True Home 2010
Hersteller:

Acronis

Preis:

49,95 EUR

URL:

http://www.acronis.de

1.1.5

Checkliste zur Installationsvorbereitung

Nachstehend finden Sie zusammengefasst noch einmal die wichtigsten


Punkte, die berprft bzw. angepasst oder durchgefhrt werden sollten,
bevor Sie mit der Installation von Windows 7 beginnen:
1. Prfen Sie, ob der Rechner bzw. die Rechner die Hardware-Mindestvoraussetzungen fr die Systeminstallation erfllt bzw. erfllen. Beachten Sie hierzu die Ausfhrungen in Abschnitt 1.1.1 ab
Seite 30.
2. berprfen Sie, ob Windows 7 die verwendeten Hardwarekomponenten untersttzt. Verwenden Sie hierzu das Programm Windows
7 Upgrade Advisor. Hinweise zur Prfung der Windows 7-Tauglichkeit finden Sie in Abschnitt 1.1.1 ab Seite 32.
3. Testen Sie die Kompatibilitt der eingesetzten Unternehmenssoftware
mit Windows 7. Insbesondere bei einem geplanten Upgrade ist es
erforderlich, den Einsatz der Anwendungen unter Windows 7 im Vorfeld zu testen. Ergnzende Hinweise hierzu finden Sie in Kapitel 3.

40

1
Durchfhrung einer Einzelarbeitsplatz-Installation

4. Prfen Sie, welche Installationsart fr Ihr Unternehmen am besten


geeignet ist. Mssen nur wenige Computer installiert werden, oder
handelt es sich um ein Rollout fr eine grere Anzahl von Arbeitsplatzrechnern? Legen Sie zum einen fest, ob die Installation mittels
Neuinstallation oder mittels Update durchgefhrt werden soll (siehe
Abschnitt 1.1.3 ab Seite 35), und zum anderen, ob die Installation im
Rahmen von Einzelarbeitsplatz-Installationen (Abschnitt 1.2 ab Seite
41) oder mithilfe automatisierter Installationsmethoden (Abschnitt 1.3
ab Seite 60) erfolgen soll.
5. Ist eine Neuinstallation geplant, bei der Benutzereinstellungen bernommen werden mssen, sollte vor Beginn der Installation entweder
das Programm Windows-EasyTransfer oder das User State Migration
Tool ausgefhrt werden. Beachten Sie hierzu die Ausfhrungen in
Abschnitt 1.1.3 ab Seite 37 bzw. in Abschnitt 1.3.2 ab Seite 68.
6. Sichern Sie alle lokal gespeicherten Dateien und ggf. die Systemkonfiguration vor Beginn der Migration eines bestehenden Systems. Im
schlimmsten Fall kann ein zuvor funktionierendes System durch eine
Update-Installation unbrauchbar werden. Da es in dieser Situation
keinen Weg zurck gibt, ist die Sicherung der Startpartition beispielsweise mit Norton Ghost oder Acronis True Image vor Beginn der
Installation zu empfehlen (siehe hierzu die Hinweise in Abschnitt 1.1.4
ab Seite 39).
7. In international agierenden Unternehmen werden ggf. verschiedene
Sprachversionen bentigt. Die Mglichkeiten zur Verwendung von
Sprachpaketen werden vorgestellt in Abschnitt 1.3.3 ab Seite 82.

1.2

Durchfhrung einer
Einzelarbeitsplatz-Installation

Die einfachste Form der Installation besteht auch bei Windows 7 in der
Ausfhrung des Setups mithilfe der Windows 7-Betriebssystem-DVD auf
einem einzelnen Rechner. Der folgende Abschnitt beschreibt den generellen Installationsablauf bei Durchfhrung einer Einzelarbeitsplatz-Installation, bevor im anschlieenden Abschnitt automatisierte Installationsverfahren vorgestellt werden.
Aufgrund der Verwendung von TCP/IP als Standardprotokoll knnen
Windows 7-Computer in eine Reihe verschiedener Netzwerkumgebungen
integriert werden. Hierzu gehren neben Windows- auch Novell NetWareund Unix- sowie host-basierte Netzwerke.

1.2.1

Unterschiede zu frheren WindowsInstallationen

Bereits mit Windows Vista hat Microsoft einige grundlegende nderungen


beim Installationsprozess eingefhrt. Diese vereinfachen insbesondere die

41

Kapitel 1 Betriebssysteminstallation

automatisierte Bereitstellung von Windows 7 in Unternehmensnetzwerken, wie spter noch gezeigt wird, haben aber auch Auswirkungen auf den
Installationsprozess eines Einzelarbeitsplatz-Rechners.

Keine Installation im Textmodus mehr


Der grundlegende Prozess zur Installation war bislang seit Windows NTZeiten unverndert und umfasste einen anfnglichen Textmodus-Installationsteil, bei dem jede einzelne Betriebssystemdatei dekomprimiert und
installiert, alle Registrierungseintrge erstellt und smtliche Sicherheitseinstellungen zugewiesen wurden. Diese Textmodus-Installationsphase gibt es
bei Windows 7 nicht mehr. Stattdessen wird die Installation von einem
neuen Setup-Programm komplett im grafikbasierten Modus durchgefhrt.

Windows PE statt Startdisketten


Die Vorgngerversionen von Windows 7 bzw. Windows Vista ermglichten
alternativ zum Starten der Installation von CD-ROM die Verwendung von
Startdisketten. Diese Mglichkeit existiert nicht mehr. Stattdessen verwendet
Windows 7 das Windows Pre-Installation Environment (Windows PE).
Bei Windows PE handelt es sich um eine Minimalversion von Windows, mit
der eine Untermenge der Windows-Systemumgebung ber das Netzwerk
oder ein Wechselmedium gestartet wird und die Programme zur Installation
und zur Wiederherstellung des Microsoft Windows 7-Betriebssystems zur
Verfgung stellt. Hierbei wird standardmig unter Verwendung einer
RAM-Disk gebootet. Auf der Installations-DVD liegen die Setup-Dateien
nicht mehr einzeln, sondern gepackt im Windows Image Format (WIM) vor.
Entwickelt wurde Windows PE als Ersatz fr MS-DOS als Pr-Installationsumgebung und lst damit die DOS-Bootdiskette bzw. die DOS-BootUmgebung ab. Windows PE kann aufgrund der Gre (ca. 260 MB) nicht
auf einer Diskette gespeichert werden. Untersttzt wird das Speichern u.a.
auf CD, DVD und USB-Sticks. Im brigen wird bei jeder Installation von
Windows 7 Windows PE ausgefhrt. Dem Anwender begegnet Windows
PE als grafische Oberflche, in der whrend der Setup-Phase die Konfigurationsinformationen abgefragt werden. Aber auch wenn jede Windows 7Installation mit Windows PE beginnt, wird man als Anwender dessen
Existenz gar nicht bemerken.

Windows Image Format (WIM)


WIM ist ein dateibasiertes Imageformat fr die Erstellung von Festplatten-Abbilddateien, das gegenber den allgemein gebruchlichen sektorbasierten Imageformaten deutlich Vorteile bietet und die Erstellung und
Verwaltung von Betriebssystemabbildern (Images) sehr erleichtert. So
ermglicht es dieses Format beispielsweise, nur ein Image fr mehrere
verschiedene Konfigurationen zu nutzen.
Auerdem knnen WIM-basierte Images jederzeit nachtrglich gendert
und angepasst werden. Treiber, Updates und andere Windows-Komponenten knnen offline und ohne einen einzigen Start des Images hinzuefgt und entfernt werden.

42

1
Durchfhrung einer Einzelarbeitsplatz-Installation

Windows 7 bringt Programme mit, mit denen Images direkt bearbeitet


werden knnen. Eine ausfhrliche Beschreibung der Bereitstellung von
Windows 7 mithilfe der neuen Imagefunktionen finden Sie in Abschnitt
1.3 ab Seite 60.

\i386 gibt es nicht mehr


Das noch bei Windows XP wichtige Verzeichnis \i386 gibt es bei Windows 7
nicht mehr (weder auf der DVD noch spter nach dem Abschluss der Installation auf der Festplatte des Rechners). Stattdessen werden alle Komponenten, ob installiert oder nicht, im Windows-Verzeichnis gespeichert. Bei Installation einer neuen Komponente werden die erforderlichen Dateien aus
diesem Speicherort abgerufen.
Entsprechend sucht man auch die beiden Installationsdateien WINNT.EXE
und WINNT32.EXE vergeblich, die sich bei den Vorgngerversionen von
Windows Vista im Installationsverzeichnis \i386 befinden. Um die Installation von Windows 7 zu starten, ist stattdessen die Datei Setup.exe aus dem
Stammverzeichnis der Windows 7-DVD zu verwenden.

1.2.2

Ablauf einer Neuinstallation

Die Mglichkeiten zum Start der Installation von Windows 7 hngen vor
allem davon ab, ob bereits ein Betriebssystem vorhanden ist, aus dem heraus
die Installation angestoen werden kann, oder ob eine Neuinstallation auf
einem Rechner ohne Betriebssystem erfolgt.
Dieser Abschnitt beschreibt ausfhrlich den Vorgang der Installation von
Windows 7 auf einem leeren Rechner ohne vorhandenes Betriebssystem.
Der Ablauf einer Upgrade-Installation unterscheidet sich nur geringfgig
von dem einer Neuinstallation und wird im anschlieenden Abschnitt 1.2.3
ab Seite 53 beschrieben.
Windows 7 wird auf einer bootfhigen Installations-DVD geliefert. Um die Booten mit der
Installation von dieser DVD starten zu knnen, muss ggf. zuvor die Sys- Windows 7-DVD
tembootreihenfolge im BIOS gendert werden:
1. CD-ROM
2. Boot-Festplatte
Damit anschlieend der Startvorgang von der DVD beginnen kann, muss
eine beliebige Taste gedrckt werden, sobald die entsprechende Aufforderung erfolgt. Bei spteren Neustarts whrend der Installationsroutine
kann die DVD somit im Laufwerk verbleiben, allerdings ist dann ein Drcken von Tasten zu unterlassen.
Eine weitere Mglichkeit, die Installation zu starten, besteht darin, Setup.exe Installation mit
aus dem Stammverzeichnis der Windows 7-Installations-DVD auszufhren. Setup.exe
Der Aufruf von Setup.exe kann entweder direkt von der DVD oder durch
Ablage des Installationsverzeichnisses im Netzwerk erfolgen. Dabei besteht
der hauptschliche Unterschied im Speicherort der Dateien, die zur Installation von Windows 7 bentigt werden. Im zweiten Fall muss der zu installie-

43

Kapitel 1 Betriebssysteminstallation

rende Rechner ber einen Netzwerkzugriff (Leserechte) auf das freigegebene Installationsverzeichnis verfgen.
Das Verhalten von Setup.exe kann mit einer Reihe von Parametern gesteuert
werden. Die folgende Tabelle zeigt die fr Setup.exe verfgbaren Parameter.
Tabelle 1.2
Parameter von
Setup.exe

Installation
erfolgt in
drei Phasen

44

Setup.exe-Parameter

Erklrung

/1394debug:<Kanal>

Aktiviert das Kernel-Debugging ber einen IEEE


1394-Anschluss.

/debug:<Anschluss>
/baudrate:<Baudrate>

Aktiviert das Kernel-Debugging ber den angegebenen Port.

/emsport:<Anschluss>
/usebiossettings /
/emsbaudrate:<Baudrate>

Aktiviert/Deaktiviert die Notverwaltungsdienste


Emergency Management Services (EMS). Mit EMS
knnen Rechner in Problemsituationen remote
verwaltet werden, ohne dass eine lokale Tastatur,
Maus oder ein Monitor angeschlossen ist.

/noreboot

Hiermit wird das Installationsprogramm angewiesen, den Computer nach der ersten Initialisierungsphase nicht neu zu starten, sodass weitere
Einstellungen vorgenommen und beziehungsweise Befehle ausgefhrt werden knnen. Alle
anderen Neustarts werden wieder automatisch
durchgefhrt.

/m:<Ordnername>

Mit diesem Parameter kann ein zustzliches Verzeichnis benannt werden, in dem fr die Installation zustzlich verwendbare Daten, wie
beispielsweise Treiber, hinterlegt werden.

/tempdrive:
<Laufwerkspfad>

Hiermit wird dem Installationsprogramm das


Verzeichnis zur Speicherung temporrer Dateien
explizit angegeben. Beim Speicherort muss es
sich um einen vollstndigen Pfad in der Form
x:\Pfad handeln. Alternativ kann auch eine
Netzwerkfreigabe in UNC-Schreibweise \\Server\
Freigabe\Pfad angegeben werden.

/unattend:
<Antwortdatei>

Bei Verwendung dieses Parameters fhrt das


Setup eine unbeaufsichtigte Installation mithilfe
einer Antwortdatei aus. Die Antwortdatei enthlt Antworten auf einige oder alle Eingabeaufforderungen, die whrend der Installation
normalerweise beantwortet werden mssen.

/usbdebug:<Zielname>

Aktiviert das Kernel-Debugging ber einen


USB 2.0-Anschluss.

Die Installation erfolgt in drei Teilen und wird komplett im grafikbasierten Modus durchgefhrt, eine Textmodus-Installationsphase gibt es bei
Windows nicht mehr.
Sammeln von Information
Installation von Windows 7
Durchfhrung der Erstkonfiguration und Personalisierung

1
Durchfhrung einer Einzelarbeitsplatz-Installation

Sammeln von Informationen


Das erste Dialogfeld, das nach dem Start der Installation angezeigt wird, Auswahl der
fragt die gewnschte Installations- und Tastatursprache sowie das Uhr- Installations- und
Tastatursprache
zeit- und Whrungsformat ab.
Abbildung 1.4
Erstes Dialogfeld
nach dem Start des
Installations-Assistenten

Interessant ist der folgende Abfragedialog. Hier kann mit der Option Jetzt Start der
installieren das eigentliche Installationsprogramm gestartet werden. Dane- Installation
ben besteht die Mglichkeit, die Option Wissenswertes vor der WindowsInstallation zu whlen. Diese Option ruft eine Hilfe- und Supportseite mit
Hinweisen und Anleitungen zur Installation von Windows 7 auf.
Abbildung 1.5
Alternativ zum
Start der Installation kann an dieser
Stelle die Systemwiederherstellung
(Computerreparaturoptionen) aufgerufen werden.

45

Kapitel 1 Betriebssysteminstallation
Wiederherstellungsoptionen

Alternativ knnen an dieser Stelle mittels der Option Computerreparaturoptionen die Systemwiederherstellungsoptionen angezeigt werden. Gibt es
bei einem Windows 7-Rechner im Produktivbetrieb Probleme, kann hierber
u.a. die Wiederherstellungskonsole geffnet oder der Rechner mittels einer
Sicherung wiederhergestellt werden.
Fr den Zugriff auf die Reparaturoptionen ist zunchst die zu reparierende Betriebssysteminstallation zu whlen. Anschlieend stehen die in
dem folgenden Dialogfeld gezeigten Optionen zur Verfgung.

Abbildung 1.6
Mithilfe der Wiederherstellungsoptionen
kann ein vorhandenes Windows 7 repariert oder ein frherer
Zustand wiederhergestellt werden.

Um an dieser Stelle wieder in den Installationsmodus zurckzukehren, gengt es, auf das Schliefeld in der rechten oberen Fensterecke
zu klicken.
Anschlieend ist festzulegen, ob neuere Updates und Treiber vor bzw. whrend der Installation aus dem Internet heruntergeladen werden sollen. Hierbei handelt es sich um eine Funktion, die Microsoft als Dynamisches Update
bezeichnet. Diese erlaubt es, whrend der Installation wichtige Updates
und Treiber herunterzuladen, die fr den Konfigurationsprozess erforderlich sind. Hierbei werden die folgenden Dateien aktualisiert:
Treiber:
Das dynamische Update ldt zum einen Treiber herunter, die nicht
auf der Windows 7-Installations-DVD verfgbar sind. Es werden ausschlielich Gertetreiber von der Windows-Aktualisierungswebseite
heruntergeladen, nicht von Herstellerseiten. Diese Treiber haben das
Logozertifizierungsprogramm durchlaufen. Zum anderen werden
Treiber, die in Windows 7 enthalten sind und fr die es eine Fehlerbehebung gibt, bereitgestellt. Derartig korrigierte Dateien werden als
kritische Updates behandelt.

46

1
Durchfhrung einer Einzelarbeitsplatz-Installation
Kritische Updates:

Diese ersetzen Dateien, die auf der Windows 7-Installations-DVD


vorhanden sind. Zu dieser Kategorie gehren:
1. Updates, die Fehlerbehebungen zu beliebigen bereits installierten
Dateien enthalten.
2. Aktualisierte .Installationsdateien, die whrend des Aktualisierungsvorgangs bentigt werden.
3. Fehlerbehebungen, die kritische Fehlerbehebungen fr DLLs (Dynamic Link Libraries) enthalten und die vom Setup-Programm verwendet werden.
Die Besttigung, Updates herunterzuladen, bedingt, dass der Computer
whrend der Installation mit dem Internet verbunden bleiben muss. Wenn
dies nicht mglich oder nicht gewnscht ist, muss entsprechend die zweite
Option ausgewhlt werden.
Abbildung 1.7
Whrend der
Installation knnen
aktuelle Updates
heruntergeladen
werden.

Die Ausfhrung des dynamischen Updates ist standardmig eingeschaltet. Bei der Durchfhrung unbeaufsichtigter Installationen kann
die Funktion mit dem folgenden Parameter deaktiviert werden:
DUDisable

In dem folgenden Dialogfeld ist, wie auch bei allen Installationen frherer
Windows-Versionen, die Akzeptanz der Lizenzbedingungen zu besttigen.
Im nchsten Schritt bietet der Installations-Assistent scheinbar die Wahl Update-Option
zwischen einer Upgrade-Installation und einer benutzerdefinierten Installa- nur scheinbar
tion, d.h. einer Neuinstallation. Wurde aber das Setup von einem Installa- verfgbar
tionsmedium aus gestartet, erscheint bei Auswahl der ersten Option lediglich ein Auszug aus dem Kompatibilittsbericht. Dieser weist darauf hin,
dass ein Upgrade nur mglich ist, wenn das Setup aus dem zu aktualisierenden Betriebssystem heraus gestartet wird.

47

Kapitel 1 Betriebssysteminstallation
Abbildung 1.8
Wurde das Setup
von DVD gestartet,
muss an dieser Stelle
die Option Benutzerdefiniert (erweitert)
gewhlt werden.

Festplattenpartitionierung

Im letzten Schritt der ersten Phase ist die Installationspartition auszuwhlen. An dieser Stelle bietet Windows 7 auch die Mglichkeit, bestehende
Partitionen zu lschen und neue zu erstellen.

Abbildung 1.9
Festlegung der
Installationspartition

Sinnvolle Festplattenkonfiguration
Die Partitionierung und Konfiguration der Festplatte(n) sollten sinnvollerweise vor Beginn der Installation geplant werden. Hierbei sind
die folgenden Aspekte zu bercksichtigen.

48

1
Durchfhrung einer Einzelarbeitsplatz-Installation

Im Gegensatz zu Windows XP und frheren Versionen akzeptiert Windows 7 fr das System nur Festplattenpartitionen, die mit dem Dateisystem NTFS formatiert sind. FAT- und FAT32-Partitionen werden jedoch fr
Anwendungsdaten vollstndig untersttzt.
In den meisten Fllen ist eine Aufteilung in eine Systempartition und
eine Datenpartition sinnvoll. Allerdings ist das Datentrgermanagement
mit Windows 7 deutlich einfacher geworden, sodass Planungsfehler spter noch korrigiert werden knnen. So ist es beispielsweise problemlos
und ohne Neustart mglich, auch die Systempartition im laufenden
Betrieb dynamisch zu verkleinern bzw. zu vergrern.
Auerdem ist es im Gegensatz zu Windows Vista nicht mehr erforderlich, manuell die fr den Betrieb von BitLocker (unter Windows 7 Ultimate) notwendige unverschlsselte Startpartition anzulegen. Diese wird
beim Setup von Windows 7 automatisch angelegt. Zudem erhlt diese
Systempartition auch keinen Laufwerkbuchstaben mehr und wird nicht
im Ordner Computer angezeigt. Dies soll u.a. ein versehentliches Speichern von Daten auf dem unverschlsselten Laufwerk verhindern.
Damit ist die Sammlung der Informationen abgeschlossen, und Windows Installations7-Setup startet die nchste Phase. Bei den Vorgngerversionen endete an phase
dieser Stelle der textbasierte Installationsabschnitt.

Installation von Windows 7


Whrend der Installationsphase werden die Installationsdateien auf die
Festplatte kopiert bzw. extrahiert und der Rechner mehrmals neu gestartet. Benutzereingriffe sind in dieser Phase nicht erforderlich.
Abbildung 1.10
Phase 2 der Installation: Windows 7
wird installiert.

49

Kapitel 1 Betriebssysteminstallation

Erstkonfiguration und Personalisierung


Nach dem Abschluss der reinen Installationsphase wird der Rechner neu
gestartet. Whrend des sich anschlieenden Installationsabschnitts werden
die folgenden Informationen abgefragt bzw. sind die folgenden Funktionen zu konfigurieren:
Administratorname
Computername
Auswahl einer Sicherheitsstufe
Datum und Uhrzeit sowie Zeitzone
Administratorkonto einrichten

Im ersten Schritt dieser letzten Phase sind ein Benutzerkonto und dessen
Kennwort festzulegen. Dieses Konto wird automatisch Mitglied der Gruppe
der lokalen Administratoren.
Aus Sicherheitsgrnden wird das standardmige Administratorkonto vom System deaktiviert. Soll dieses spter verwendet werden,
muss es zunchst aktiviert und ein Kennwort festgelegt werden.

Abbildung 1.11
Da Windows 7 das
Standard-Administratorkonto deaktiviert, muss zunchst
ein neues Konto
eingerichtet werden.

Computernamen
festlegen

In demselben Dialogfeld ist auch der Name fr den Rechner einzutragen.


Dieser darf maximal 15 Zeichen lang sein und muss aus alphanumerischen
Zeichen bestehen. Auerdem drfen Bindestriche verwendet werden.
Andere Sonderzeichen sich nicht erlaubt. Auch die ausschlieliche Verwendung von Ziffern ist nicht gestattet.
Anschlieend kann das Kennwort vergeben und zustzlich ein Kennworthinweis eingetragen werden. An dieser Stelle greifen noch nicht die Komplexittsanforderungen, und auch ein leeres Kennwort wird zugelassen.
Da dieses Konto aber ber Administratorrechte verfgt, sollte dringend ein
sicheres Kennwort vergeben werden.

50

1
Durchfhrung einer Einzelarbeitsplatz-Installation

Im nchsten Schritt erfolgt die Abfrage des Produktschlssels. Dieser ist


in fnf Gruppen gegliedert und ohne Bindestriche einzugeben.
Abbildung 1.12
Dialogfeld zur
Eingabe des
Produktschlssels.
Die Eingabe des
Schlssels ist an
dieser Stelle nicht
zwingend erforderlich.

An dieser Stelle kann die Installation auch ohne Eingabe des Produktschlssels fortgesetzt werden. Wird kein Schlssel eingegeben, kann Windows 7
maximal 30 Tage uneingeschrnkt betrieben werden. Nach Ablauf der Frist
muss ein gltiger Produktschlssel eingegeben und das Systems 7 aktiviert
werden. Allerdings lsst sich diese Frist maximal dreimal verlngern, was
aber wohl nur fr den Einsatz auf Testsystemen relevant sein drfte.

Eingabe des
Produktschlssels
auch spter mglich

Standardmig ist die Option zur automatischen Aktivierung von Windows 7 aktiviert. Ist dies nicht gewnscht oder wird die Installation ohne
Eingabe eines Produktschlssels fortgesetzt, muss das Kontrollkstchen
Windows automatisch aktivieren, wenn eine Internetverbindung besteht im
Dialogfeld zur Eingabe des Produktschlssels deaktiviert werden.
Das folgende Dialogfeld verlangt die Auswahl des Sicherheitsstatus fr Sicherheitsstufe
den Computer. Die Option Empfohlene Einstellungen verwenden schliet die auswhlen
folgenden Festlegungen ein:
Windows-Firewall: Wie bereits Windows XP und Windows Vista bringt
Windows 7 eine Desktop-Firewall mit. Diese wird standardmig aktiviert.
Aktivierung von automatischen Updates: Sicherheitspatches und andere
Updates werden automatisch heruntergeladen und installiert.
Spyware-Schutz: Mit dem Dienstprogramm Windows Defender enthlt
Windows 7 ein Antispyware-Programm, das den Rechner vor Spyware
und unerwnschter Software schtzt und die Sicherheit beim Surfen im
Internet erhht. Ist Windows Defender aktiviert, prft das Programm
zweimal pro Tag den Rechner auf Spyware und andere mglicherweise
schdliche Software.

51

Kapitel 1 Betriebssysteminstallation
Automatische Fehlerbermittlung an Microsoft: Die Auswahl der hchsten

Sicherheitsstufe umfasst auch die Festlegung, dass im Fehlerfall automatisch eine Meldung an Microsoft gesendet wird. Die hierfr verwendete
Komponente ist der Microsoft-Fehlerberichterstellungsdienst (engl. Error
Reporting Service).
Treiber-Update: Windows 7 bietet eine automatische berprfung auf
neue Treiber fr Gerte, einschlielich der Mglichkeit, aktuelle Gertemetadaten automatisch herunterzuladen. Bei Auswahl dieser Option
wird die automatische Suche nach Gertetreibern aktiviert.
Internet Explorer-Phishingfilter: Der Internet Explorer 8 enthlt mit dem
SmartScreen-Filter einen Schutz, der beim Besuch von Webseiten, die
typische Phishing-Charakteristika aufweisen, warnt. Die Annahme
der empfohlenen Einstellungen schaltet den Phishingfilter mit automatischer Webseitenprfung ein.
Alle Einstellungen knnen spter gendert werden. Natrlich ist es auch
mglich, an dieser Stelle auf die automatische Aktivierung der Sicherheitsfunktionen zu verzichten und diese nach Abschluss der Installation
manuell zu aktivieren und zu konfigurieren.
Abbildung 1.13
Die Auswahl der
hchsten Sicherheitsstufe aktiviert
eine Reihe implementierter Sicherheitsfunktionen.

Im nchsten Schritt ist die Zeitzone auszuwhlen, und falls erforderlich


das Datum und die Uhrzeit sind anzupassen.
Ist der Computer an ein Netzwerk angeschlossen, fragt Windows abschlieend, um welche Art von Netzwerk es sich handelt. Bei einem Einsatz im
Unternehmensnetzwerk ist hier die Option Arbeitsplatznetzwerk auszuwhlen. Ausfhrliche Informationen zum Einsatz von Windows 7 finden Sie in
Kapitel 8.

52

1
Durchfhrung einer Einzelarbeitsplatz-Installation
Abbildung 1.14
Ist der Computer an
ein Netzwerk angeschlossen, ist die Art
des Netzwerks anzugeben.

Damit ist der Installationsvorgang abgeschlossen, und Windows 7 kann


erstmals gestartet werden.

1.2.3

Ablauf einer Upgrade-Installation

Der Ablauf einer Upgrade-Installation unterscheidet sich von der einer


Neuinstallation (abgesehen vom Start der Installation) nur geringfgig.
Die folgenden Ausfhrungen beschrnken sich daher auf die Beschreibung der Unterschiede im Ablauf beider Installationsarten.
Um ein vorhandenes Betriebssystem auf Windows 7 zu aktualisieren, muss
die Installation zwingend aus dem vorhandenen Betriebssystem heraus
gestartet werden. Dies kann durch einfaches Einlegen der Windows 7-DVD
bei aktivierter Autoplay-Funktion bzw. durch Ausfhren der Datei Setup.exe
von der Windows 7-Installations-DVD erfolgen.
Die Upgrade-Installation startet mit dem in nachstehender Abbildung
gezeigten Willkommens-Dialogfeld, das im Gegensatz zum Begrungsdialogfeld bei einer Neuinstallation die Option Kompatibilitt online prfen
enthlt. Diese Option fhrt zu einer Webseite, von der das Programm Windows 7 Upgrade Advisor heruntergeladen werden kann. Wie bereits in
Abschnitt 1.1 ab Seite 29 beschrieben, ermglicht das Programm eine berprfung der Systemkompatibilitt mit Windows 7, um mgliche Installationskonflikte im Vorfeld zu erkennen. Die berprfung sollte sinnvollerweise bereits im Rahmen der Vorbereitungsarbeiten vor dem Beginn der
eigentlichen Installation erfolgen.

53

Kapitel 1 Betriebssysteminstallation
Abbildung 1.15
Begrungsbildschirm von
Windows 7 bei einer
Upgrade-Installation

Weiter wie bei


Neuinstallation

Die nachfolgenden Arbeitsschritte entsprechen denen einer Neuinstallation.


1. Besttigung des dynamischen Updates
2. Annahme der Lizenzbedingungen
Erst nach Durchfhrung der genannten Arbeitsschritte fordert der Windows 7-Installations-Assistent zur Auswahl der gewnschten Installationsart Upgrade oder Benutzerdefiniert (erweitert) auf.

Prfung der
UpgradeFhigkeit

Abbildung 1.16
Die Auswahl der
Option Upgrade
startet einen
Kompatibilittsassistenten.

54

Wird die Upgrade-Option gewhlt, erfolgt anschlieend eine Kompatibilittsprfung. Nach Abschluss der Prfung wird ein Kompatibilittsbericht
angezeigt, der auf Installationshindernisse und mgliche Auswirkungen
hinweist. Steht beispielsweise, wie in Abbildung 1.16 gezeigt, kein ausreichender Festplattenspeicher zur Verfgung bzw. fehlt ein Service Pack,
kann die Installation entweder abgebrochen oder mit einer Neuinstallation
fortgesetzt werden. Gleiches gilt, wenn die zulssigen Upgrade-Pfade nicht
eingehalten werden (beachten Sie hierzu die Tabelle 1.1 auf Seite 36).

1
Durchfhrung einer Einzelarbeitsplatz-Installation

Bei Auswahl der Option Upgrade erfolgt zunchst ein Kompatibilittstest.


Anschlieend werden die vorhandenen Systemeinstellungen ermittelt,
bevor die Installation in der gleichen Art erfolgt wie bei einem Rechner,
auf dem noch kein Betriebssystem installiert ist.

1.2.4

Durchfhrung einer Parallelinstallation

Insbesondere zu Testzwecken kann es sinnvoll sein, Windows 7 parallel


zu einem bestehenden Betriebssystem zu installieren. Dies ist problemlos
mglich. In diesem Fall richtet Windows 7 ein Boot-Men ein, das alternativ den Start der Vorgngerversion ermglicht.
Die Installation parallel zu einem bestehenden Betriebssystem unterscheidet sich nicht von einer Upgrade- oder einer Neuinstallation. Auch
der Start der Installation kann entweder von der Setup-DVD oder dem
bestehenden Betriebssystem heraus erfolgen.
Windows 7 kann entweder auf einer logischen Partition oder auf einer zwei- Bootmanager auf
ten primren Partition installiert werden. Auf der als aktiv gekennzeichne- aktiver Partition
ten Partition richtet Windows 7 den versteckten Systemordner Boot ein, der
die Informationen fr den Boot-Manager von 7 enthlt. Wird Windows 7 auf
einer zweiten primren, als aktiv gesetzten Partition installiert, wird der
Systemordner Boot ebenfalls auf dieser Partition eingerichtet. In diesem Fall
kann Windows 7 das andere Betriebssystem aber nicht in das Bootmen
aufnehmen, d.h., das andere System kann nicht gestartet werden.
Abbildung 1.17
BCDEdit ermglicht die Konfiguration des StartkonfigurationsdatenSpeichers.

Allerdings verwendet Windows 7 nicht mehr die Datei Boot.ini zur Verwaltung der Bootkonfiguration. Stattdessen werden die Konfigurationsinformationen im Startkonfigurationsdaten-Speicher BCD.Store (Boot Configuration
Data Store) gespeichert. Auch hierbei handelt es sich um eine Datei, die aller-

55

Kapitel 1 Betriebssysteminstallation

dings im Binrformat gespeichert wird und daher nicht so leicht zu handhaben ist wie die Boot.ini. Zur Bearbeitung der Konfigurationsdatei muss das
Befehlszeilentool BCDEDIT.EXE verwendet werden.
Muss die Bootkonfiguration gendert werden, ist es erfreulicherweise aber
nicht erforderlich, das sehr komplexe Befehlszeilentool BCDEDIT zu verwenden, da Tools mit einer grafischen Schnittstelle von Drittherstellern zur
Verfgung stehen.
Mit EasyBCD den
Windows 7Bootloader
bearbeiten

Hierzu gehrt beispielsweise EasyBCD, mit dessen Hilfe u.a. das Boot-Men
bearbeitet und Bootsektoren wiederhergestellt werden knnen. Auerdem
bietet es Anzeigeoptionen, mit denen lteren Betriebssystemen ein Windows
7-Look gegeben werden kann.
EasyBCD 1.72
Hersteller:

NeoSmart Technologies

Preis:

Freeware

URL:

http://neosmart.net/dl.php?id=1

1.2.5

Abschlieende Aufgaben nach


Installationsabschluss

Unter Windows wurde der Benutzer nach dem ersten Start mit einem Begrungscenter empfangen. Dieses hat Microsoft bei Windows 7 eingespart.
Alternativ sollte zunchst das Wartungscenter besucht werden, da dieses
Zugriff auf die meisten abschlieenden Aufgaben bietet.
Sicherheit: Falls nicht bereits whrend der Installation geschehen, sollten
im ersten Schritt die Sicherheitseinstellungen berprft bzw. konfiguriert werden. Hierzu zhlt die Konfiguration von Virenschutz, Firewall,
Windows Update u.a. Nhere Informationen hierzu erhalten Sie in Kapitel 13.
Einstellungen der Benutzerkontensteuerung: Standardmig verwendet
Windows 7 einen niedrigeren Level bei der Benutzerkontensteuerung
als Windows Vista. Aus Sicherheitsgrnden sollte der hchstmgliche
Level einstellt werden. Erluterungen zur Benutzerkontensteuerung
finden Sie in Kapitel 5.
Probleme ermitteln: Nach der Installation und dem ersten Start stellt sich
heraus, ob Windows alle Gerte automatisch erkennen und installieren
konnte oder nicht. Im Wartungscenter werden Probleme gemeldet, die
Windows 7 beim ersten Start erkannt hat. Zustzlich knnen die Einstellungen zur Problembehandlung angepasst werden. Ausfhrliche Erluterungen, wie Sie Hardware- und Treiberprobleme beheben knnen,
finden Sie in Kapitel 2.
Sicherung einrichten: Windows 7 bietet implementierte Funktionen zur
Erstellung regelmiger Sicherungen. Standardmig sind keine Sicherungsmanahmen aktiviert. Beachten Sie hierzu Kapitel 15.

56

1
Durchfhrung einer Einzelarbeitsplatz-Installation
Wiederherstellung einrichten: Die Wiederherstellung in der Systemsteu-

erung umfasst mehrere Optionen, mit deren Hilfe Sie einen Computer
nach einem schwerwiegenden Fehler wiederherstellen knnen. Auch
hierzu finden Sie nhere Informationen in Kapitel 15.
Weiterhin ist es hierber mglich, Details zum Leistungsindex anzuzeigen
und die Produktaktivierung zu starten. Die beiden letztgenannten Aufgaben werden im Folgenden ausfhrlicher betrachtet.
Abbildung 1.18
Das Wartungscenter von
Windows 7

Produktaktivierung
Mit Windows XP hat Microsoft die Produktaktivierung eingefhrt. Diese
basiert auf einer eindeutigen Product ID, die bei der Installation von Windows 7 erstellt und unter System angezeigt wird, sowie auf dem whrend
der Installation einzugebenden Produktschlssel.
Beim Aktivierungsvorgang wird auf der Basis eines mathematischen Verfah- Hardwarerens eine individuelle Installationskennung errechnet. Neben der Product ID kennung
bzw. dem Produktschlssel wird hierzu eine PC-Kennzeichnung herangezogen, die auch als Hardwarekennung bezeichnet wird. Die Hardwarekennung
wiederum wird unter Zuhilfenahme wichtiger Hardwareparameter, wie beispielsweise der physikalischen Netzwerkadresse, ermittelt. Im Gegensatz zu
Windows XP ist bei Windows 7 keine Neuaktivierung erforderlich, solange
die Festplatte nicht gewechselt wird. In diesem Fall ndert sich die Installationskennung, was eine erneute Aktivierung zur Folge hat.
Whrend der Aktivierung wird nur die Installationskennung an Microsoft Aktivierungsbermittelt (per Telefon oder per Internet). Hier wird berprft, ob die Pro- vorgang
duct ID von Microsoft stammt und ob die Installationskennung bereits zur

57

Kapitel 1 Betriebssysteminstallation

Installation von Windows 7 auf einem anderen Rechner verwendet wurde.


Wenn die Prfung problemlos verluft, erhlt der Computer eine Besttigungs-ID, die den Computer aktiviert. Anderenfalls erfolgt automatisch
eine Weitervermittlung an einen Mitarbeiter von Microsoft.
Wie bereits erwhnt, ist es whrend der Installation nicht erforderlich, einen
Produktschlssel einzugeben. In diesem Fall wird ein Standardschlssel zur
Installation benutzt, der auf den Aktivierungsservern geblockt ist. Bei Windows 7 bedeutet dies, dass die Installation 30 Tage als initiale Evaluierungsphase luft. Wer mehr als 30 Tage braucht, kann die Testphase dreimal um
30 Tage, also auf insgesamt 120 Tage verlngern.
Skript slmgr.vbs

Bestandteil bereits von Windows Vista ist das Skript slmgr.vbs mit dessen
Hilfe die Aktivierung des Systems abgeprft und durchgefhrt werden
kann. Durch Eingabe des Befehls slmgr.vbs dli im Suchfeld des Startmens
werden ausfhrliche Informationen ber den Aktivierungszustand des
Computers angezeigt. Bis das Informationsfenster angezeigt wird, kann es
ein paar Sekunden dauern. Im Fenster wird genau angezeigt, wie viel Zeit
noch fr die Aktivierung bleibt.
Die interessanteste Option des Aktivierungsskriptes slmgr.vbs ist slmgr.vbs
rearm. Durch Eingabe dieses Befehls wird die 30-Tage-Testdauer wieder
zurckgesetzt. Anwender knnen dadurch weitere 30 Tage mit Windows 7
uneingeschrnkt arbeiten. Das Skript kann insgesamt dreimal ausgefhrt
werden, bevor die Ausfhrung gesperrt wird. Fr diesen Befehl werden
Administratorrechte bentigt. Nach Eingabe des Befehls muss der Computer neu gestartet werden, und die Testphase ist wieder auf 30 Tage zurckgesetzt.
Durch Eingabe des Befehls slui im Suchfeld des Startmens kann der
Aktivierungsdialog gestartet werden. ber den Befehl slui 0x03 wird ein
Dialogfeld geffnet, in das ein neuer Produktschlssel eingegeben werden kann.
Wurde whrend der Installation von Windows 7 die automatische
Online-Aktivierung besttigt, versucht Windows selbststndig drei
Tage nach der Erstanmeldung die Aktivierung.
Aber auch in der GUI ist es mglich, den Zustand der Aktivierung abzufragen bzw. die Aktivierung durchzufhren. Hierzu ist es am einfachsten, das
Wort Aktivierung im Suchfeld des Startmens einzugeben und anschlieend auf Windows aktivieren zu klicken.
Und auch unter System wird der Status der Produktaktivierung angezeigt.
Besonders schnell aufrufen knnen Sie das Dialogfeld System mit der Tastenkombination () + (Pause).

Aktivierung auch
fr Volumenlizenzkunden

58

Auch Volumenlizenzkunden mssen Windows 7 innerhalb von 30 Tagen


aktivieren. Alle Aktivierungskomponenten fasst Microsoft unter Volume
Activation 2.0 zusammen, die das Verfahren der Aktivierung fr Volumenlizenzkunden erleichtern soll. Erluterungen zur Volumenaktivierung erhalten Sie in Abschnitt 1.3.4 ab Seite 86

1
Durchfhrung einer Einzelarbeitsplatz-Installation
Abbildung 1.19
Der Status der
Produktaktivierung
kann jederzeit ermittelt werden.

berprfung des Leistungsindex


Nicht nur wenn nach Abschluss der Installation Probleme auftreten oder
erwartete Funktionen, wie beispielsweise die Aero-Benutzeroberflche, nicht
zur Verfgung stehen, sollte der Leistungsindex des Rechners ermittelt werden.
Das Dienstprogramm Windows-Leistungsindex (engl. System Assessment
Program) ist ein in Windows 7 integriertes Benchmark-Programm, das den
Rechner in fnf Leistungsklassen einstuft. Zwar wird die Aussagefhigkeit dieses Wertes kontrovers diskutiert, zum Aufspren von Schwachstellen bietet der Leistungsindex aber ein gutes Hilfsmittel.
Nach dem Start fhrt der Windows-Leistungsindex auf dem Computer Ermittlung auf
eine Reihe von Tests durch und bewertet ihn anschlieend auf einer Skala der Basis von
Tests
von 1 bis 7,9 (wobei eins fr das schlechteste Ergebnis steht).
Zu den Komponenten, die in die Wertung mit einbezogen werden, gehren u.a. der Prozessor und der Speicher, die primre Festplatte, die Grafikleistung und die Qualitt von Gaming-Grafiken. Die einzelnen Tests
messen die Rechengeschwindigkeit der CPU, den Durchsatz und die
Menge des Hauptspeichers, die Transferrate der Festplatte und zwei Werte
fr die Grafik: die Speicherbandbreite der GPU und die Gaming-Grafikleistung. Auf der Basis der ermittelten Werte und eines speziellen
Algorithmus wird dann die Gesamtleistung des Windows-Systems
bewertet. Der gesamte Leistungsindex ergibt sich dann aus dem niedrigsten der fnf Werte, und zwar nach unten abgerundet.

59

Kapitel 1 Betriebssysteminstallation

Im folgenden Beispiel fhrte die niedrige Bewertung der Grafikleistung


(Windows 7 wurde in einer virtuellen Maschine ausgefhrt) zur Herabwertung des Gesamtsystems auf den Wert 1.
Abbildung 1.20
Beispiel einer
Windows-Leistungsindexbewertung. Die
schwchste Komponente bestimmt das
Gesamtergebnis.

Jederzeit
ausfhrbar

ndert sich die Hardwarekonfiguration oder soll die Bewertung berprft werden, kann der Windows-Leistungsindex jederzeit erneut ausgefhrt werden. Zu finden ist die Leistungsbewertungsoption unter Systemsteuerung/Alle Systemsteuerungselemente/Leistungsinformationen und Tools.
Um den Leistungsindex aktuell zu halten, will Microsoft die einzelnen
Messwerte, die den Index bilden, regelmig anpassen. Wer sich also beim
Verkaufsstart von Windows 7 einen Rechner mit einem Index von drei
gekauft hat, muss beispielsweise nach einem Jahr Prozessor oder Grafikkarte aufrsten, um diesen Wert halten zu knnen.

1.3

Bereitstellung von Windows 7


im Unternehmensnetzwerk

Muss im Unternehmenseinsatz eine grere Anzahl von Rechnern mit


Windows 7 bereitgestellt oder mssen im Produktivbetrieb immer wieder einzelne Rechner neu installiert werden, ist die Durchfhrung einzelner manueller Installationen nicht praktikabel. Hier mssen vielmehr
Technologien eingesetzt werden, die es ermglichen, Referenzsysteme
mit den spezifischen Komponenten und Einstellungen einzurichten und
diese fr die Erstellung von Images zu verwenden.

60

1
Bereitstellung von Windows 7 im Unternehmensnetzwerk

Bereits mit Windows Vista hat Microsoft einen breiten Fokus auf die
Bereitstellung in Unternehmensnetzwerken gelegt. Mit Windows 7 wurden die Mglichkeiten noch erweitert, sodass nun mit den nun in Windows 7 enthaltenen Funktionen und Programmen der gesamte Prozess
der Bereitstellung von der Planung ber die Bereitstellung bis hin zur
Implementierung mit weniger Aufwand und weniger kostenintensiv als
bislang abgebildet werden kann.

1.3.1

Die Bereitstellungsfunktionen im
berblick

Beim Einsatz von Windows XP und frheren Versionen nutzen Unternehmen entweder die Funktionalitt zur Imageerstellung von Systems
Management Server (SMS) 2003 OS Deployment Feature Pack oder aber ein
Imageerstellungsprogramm anderer Anbieter wie beispielsweise Ghost
von Symantec. Ein eigenes integriertes Programm zur Imageerstellung
stellt Microsoft erst seit Einfhrung von Windows Vista und Windows
Server 2008 zur Verfgung.
Die Bereitstellung des Betriebssystems auf Clientrechnern basiert bei Windows Vista und Windows 7 auf Images (System-Abbildern). Diese beheben
einen der grten Nachteile von Windows XP und Windows 2000, der darin
bestand, dass die mithilfe der verfgbaren Imaging-Funktionen erstellten
Images zu unflexibel waren. Daraus resultierte, dass verschiedene Images
allein aufgrund unterschiedlicher Hardware und ggf. weitere Anpassungen
fr rollenspezifische Arbeitspltze und Sprachen bentigt wurden. Dass
auerdem fr die reine Erstellung der Images zustzliche Programme von
Drittanbietern verwendet werden mussten, machte die Situation nicht besser.
Mit Windows 7 setzt Microsoft in Bezug auf eine imagebasierte Bereitstel- Ziele von
Windows 7
lung die folgenden Ziele um:
Bereitstellung von Funktionen zur kompletten Abbildung des ImageProzesses einschlielich Erstellung, Wartung und Verteilung von Abbildern
Reduktion der Anzahl der bentigten Images Ein Image fr alles
Verbesserung des Imaging-Prozesses durch Scripting und Mglichkeiten zur automatisierten Verteilung

Installationstechnologien
Windows 7 bringt eine ganze Reihe von Technologien und Tools mit, die
automatisierte Installationen untersttzen. Es wrde jedoch den Rahmen
dieses Buchs sprengen, alle Verfahren und Tools vorzustellen. Die folgenden Erluterungen beschrnken sich daher auf die Vorstellung der wichtigsten Technologien im berblick.
WIM-Imageformat Windows Imaging Format (WIM) ist eine der neuen
Kernkomponenten von Windows 7.

Im Gegensatz zu sektorbasierten Imageformaten, wie sie derzeit fast berall eingesetzt werden, sind WIM-Images nicht sektorbasiert, sondern basie-

61

Kapitel 1 Betriebssysteminstallation

ren auf Dateien, sodass es beispielsweise keine Probleme bei unterschiedlich groen Datentrgern oder Partitionen gibt.
Hinzufgen von
separaten
Treibern

Auch ermglicht diese Technologie, Images offline (d.h., ohne dass das
Image zuvor auf einem Referenzcomputer installiert werden muss) zu bearbeiten. Damit ist es beispielsweise mglich, Updates und Gertetreiber offline hinzuzufgen und damit Windows 7 bereits bei der Installation wichtige Startgertetreiber mitzugeben. Die frhere Methode der Verwendung
von OEMPnPDriverPath als Mechanismus zum Hinzufgen von Gertetreibern wird unter Windows Vista und Windows 7 nicht mehr untersttzt.
Zusammenfassend bieten WIM-Images die folgenden Vorteile:

Vorteile von
WIM-Images

Das WIM-Imageformat ist unabhngig von der Hardwareabstraktions-

62

ebene (Hardware Abstraction Layer, HAL). Sie knnen ein einzelnes Windows-Abbild verwalten, das fr alle HAL-Typen gilt. Das bedeutet, dass
technisch nur noch ein Image fr verschiedene Hardwarekonfigurationen bentigt wird. Bislang musste fr jedes Gert mit unterschiedlichem
HAL ein eigenes Abbild erstellt werden. Die einzige Einschrnkung
betrifft den CPU-Typ. Fr 32-Bit- und 64-Bit-Prozessoren sind jeweils
eigene Images notwendig.
WIM-Imagedateien sind deutlich kleiner als Dateien anderer Imageformate. Erreicht wird dies durch eine starke Kompression und zudem
durch eine Technik, die als Einzelinstanz-Speicherung (Single Instance
Storage SIS) bezeichnet wird. Dabei wird jede Datei nur einmal gespeichert. Ist ein und dieselbe Datei Bestandteil von drei verschiedenen
Images, wird die Datei tatschlich nur einmal gespeichert. Statt der
Datei steht an allen anderen Stellen nur ein Verweis auf die Datei.
Die Pflege von WIM-Images ist einfach. Treiber, Updates und andere
Windows-Komponenten knnen offline und ohne einen einzigen Start
des Images hinzugefgt und entfernt werden. Windows 7 bringt Programme mit, mit denen Images direkt bearbeitet werden knnen.
In einer WIM-Datei knnen mehrere Images gespeichert werden, was
die Verwaltung erleichtert. So knnen beispielsweise in einer WIMDatei verschiedene Images mit und ohne Anwendungen integriert werden. Da auerdem bei mehreren Images in einer WIM-Datei dank der
Komprimierung das einzelne Image deutlich kleiner wird, spart dies
Festplattenspeicher.
Das WIM-Imageformat erlaubt dank des dateibasierten Formates eine
Bereitstellung, bei der wahlweise auch vorhandene Dateien auf dem
Datentrger erhalten bleiben (Nichtdestruktive Bereitstellung).
Im Gegensatz zu sektorbasierten Imageformaten knnen Images mit
dem WIM-Imageformat auf Partitionen jeder Gre installiert werden.
Sektorbasierte Images bentigen eine Partition der gleichen Gre oder
eine grere Partition.
Windows 7 stellt eine API fr das WIM-Imageformat zur Verfgung:
WIMGAPI (Windows Imaging API). Diese knnen Entwickler fr die
Arbeit mit WIM-Imagedateien nutzen.
Zustzlich wurden neue Programme integriert, die das WIM-Dateiformat untersttzen und die Bereitstellung von Images ermglichen.

1
Bereitstellung von Windows 7 im Unternehmensnetzwerk
Windows PE Bei Windows PE (Windows Preinstallation Environment, Win-

dows PE) handelt es sich um eine Minimalversion von Windows, die Kernel-Funktionen von Windows 7 enthlt und die umfangreiche Programme
zur Installation und zur Wiederherstellung des Microsoft Windows 7Betriebssystems zur Verfgung stellt. Zu den von Windows PE bereitgestellten Komponenten zhlen u.a. NTFS-Support, vollstndige Netzwerkuntersttzung und Untersttzung fr in Windows 7 integrierte Programme
(Regedit, Notepad u.a.). Auerdem knnen Plug&Play-Hardwaregerte
whrend der Ausfhrung von Windows PE erkannt und installiert werden.
Hierdurch werden alle mitgelieferten PnP-Gerte untersttzt, einschlielich
Wechselmedien und Massenspeichergerten.
Entwickelt wurde Windows PE als Ersatz fr MS-DOS als Pr-Installationsumgebung vor allem fr die folgenden Einsatzbereiche:
Installation von Microsoft Windows 7: Bei jeder Installation von Windows Windows PE:
7 wird Windows PE ausgefhrt. Dem Anwender begegnet Windows PE Einsatzbereiche
als grafische Oberflche, in der whrend der Setup-Phase die Konfigurationsinformationen abgefragt werden. Aber auch wenn jede Windows
7-Installation mit Windows PE beginnt, wird der normale Benutzer die
Existenz von Windows PE in der Regel gar nicht bemerken.
Erstellung von Images: Innerhalb der Windows PE-Umgebung knnen
Images zur automatisierten Bereitstellung von Windows 7 in Unternehmensnetzwerken erstellt werden. Hierzu bedarf es einer Masterinstallation und einer Antwortdatei, auf deren Basis die Verteilung im Netzwerk
erfolgen soll.
Fehlersuche und Wiederherstellung: Zwar ist der primre Zweck von Windows PE die Installation von Windows 7, es kann jedoch auch zur Fehlersuche und zur Wiederherstellung genutzt werden. Wenn beispielsweise
Windows 7 aufgrund von beschdigten Systemdateien nicht gestartet
werden kann, knnen diese in der Windows-Wiederherstellungsumgebung (Windows Recovery Environment Windows RE) ersetzt werden.
Windows PE wird dabei automatisch in der Wiederherstellungsumgebung gestartet, wenn Windows 7 nicht mehr korrekt startet. Whrend
dieses Vorgangs bietet Windows PE Zugriff auf das Netzwerk oder auf
andere Ressourcen. Zum Beispiel kann nach dem Start eine weitere DVD
mit Treibern oder Software verwendet werden.
Windows PE ist bereits seit Einfhrung von Windows XP in verschiede- Windows PEVersionen
nen Versionen erhltlich:
Windows PE 1.0: Die erste von Microsoft verffentlichte Version basierte
bereits auf Windows XP.
Windows PE 1.1: Diese Version basierte ebenfalls auf Windows XP und
untersttzte aus Sicherheitsgrnden einige Funktionen, wie beispielsweise die Wiederherstellungskonsole, offiziell nicht mehr.
Windows PE 1.2: Diese Version basierte auf Windows XP, Windows XP
SP1 oder Windows Server 2003 und bot erweiterte API-Untersttzung
sowie eine VBScript-Umgebung.
Windows PE 2004 (1.5): Die Version basierte erstmals nur noch auf Windows XP SP2. Neu in dieser Version waren die Plug&Play-Treiberuntersttzung sowie WMI-Funktionen.

63

Kapitel 1 Betriebssysteminstallation
Windows PE 2005 (1.6): Die Version basiert auf Windows XP SP2 und

Windows 2003 Server und untersttzt auch PXE-Bootumgebungen


anderer Hersteller.
Windows PE 2.0: Whrend alle genannten Vorgngerversionen ausschlielich Nutzern mit Volumenvertrgen zur Verfgung standen, ist
Windows PE 2.0 die erste Version, die als Teil von Windows AIK 1.0 von
allen Nutzern kostenlos heruntergeladen werden kann.
Windows PE 2.1: Diese Version basiert auf Windows Vista SP1 sowie
Windows Server 2008 und kann als Teil des Windows AIK Kit 1.1 bezogen werden [WAIK 1.1].
Windows PE 3.0: Mit Windows 7 stellt Microsoft auch eine neue Windows PE-Version bereit. Windows PE 3.0 ist Bestandteil von Windows
AIK 2.0 [WAIK 2.0].
Einschrnkungen
von Windows PE

Windows PE ist kein standardmiges Betriebssystem und kann nicht als


Betriebssystemersatz verwendet werden. Es dient lediglich der Installation
und Diagnose bzw. Reparatur von Windows 7. Um dies zu verhindern, hat
Microsoft Windows PE so konfiguriert, dass es sptestens nach 72 Stunden
automatisch neu startet. Weiterhin gelten u.a. die folgenden Voraussetzungen bzw. Einschrnkungen fr den Einsatz von Windows PE:
Windows PE kann aufgrund der Gre (ca. 260 MB) nicht auf einer Diskette gespeichert werden. Untersttzt wird das Speichern u.a. auf CD,
DVD und USB-Flash-Speichergerten.
Windows PE kann nicht als Dateiserver oder Terminalserver fungieren.
(Remotedesktop wird nicht untersttzt.) Von einem anderen Computer
aus kann damit nicht auf Dateien oder Ordner auf dem Computer
unter Windows PE zugegriffen werden.
Windows PE untersttzt keine MSI-Anwendungen.
Windows PE untersttzt ausschlielich TCP/IP (IPv4 und IPv6) als
Netzwerkprotokoll.
Windows PE bietet keine Untersttzung fr 802.1x.
Windows PE untersttzt nicht .NET Framework und Common Language Runtime ((CLR).
Da Windows PE nur eine Basis-Betriebssystemumgebung und damit
auch Windows 7 Win32-APIs bereitstellt, knnen Anwendungen, die auf
die folgenden APIs zurckgreifen, nicht eingesetzt werden: Zugriffssteuerung, NetShow Theater Administration, OpenGL, Energieoptionen,
Drucken und Druckerwarteschlangen, Bandsicherungen, Terminaldienste, Benutzerprofile, Windows-Station und -Desktop, WindowsMultimedia und die Windows-Shell.

Zusammenspiel
von Windows PE
und WIM

Um Windows PE bereitzustellen, ist der beste Weg die Verwendung einer


WIM-Datei, in der ein oder mehrere Images gespeichert sind. Da Images in
einer WIM-Datei als bootfhig gekennzeichnet werden knnen, ist es mglich, Windows PE direkt aus der WIM-Datei, die sich auf einem bootfhigen Medium wie einer DVD befindet, heraus zu booten.

64

1
Bereitstellung von Windows 7 im Unternehmensnetzwerk

Genau diesen Weg wendet Microsoft bei der Installation von Windows 7 an,
d.h., auch bei der Windows 7-Installations-DVD handelt es sich um ein
Image, das von Microsoft mithilfe von Sysprep erstellt wurde. Diese Images
wurden von einem bereits installierten Windows 7-Referenzrechner erstellt
und ergeben extrahiert das eigentliche Betriebssystem. Da Windows PE
direkt aus einer WIM-Datei heraus gestartet werden kann, wird bei der
Installation von Windows 7 zunchst mit Windows PE gestartet.
Ein bootfhiger Windows PE-Datentrger (CD, DVD oder USB-Stick), der Erstellen einer
einen Computer mithilfe von Windows PE startet, kann mit dem WAIK Windows PE-DVD
selbst erstellt werden. Im folgenden Beispiel wird eine Windows PE-DVD
fr die Plattform x86 erstellt. Fr die Erstellung bentigen Sie das Windows
Automated Installation Kit Windows AIK [WAIK 2.0]. Nhere Erluterungen zu WAIK 2.0 erhalten Sie im Abschnitt 1.3.3 ab Seite 73. Nach dem Herunterladen von WAIK sind folgende Arbeitsschritte erforderlich:
1. ffnen Sie die WAIK-Befehlszeile im Administratormodus. Diese Eingabeaufforderung wird nach der Installation von WAIK dem Startmen als Verknpfung hinzugefgt.
2. Fhren Sie an der Eingabeaufforderung das Skript Copype.cmd aus.
Verwenden Sie hierzu den Befehl
copype.cmd <Systemvariante> <Verzeichnis>

Dieses Skript bewirkt, dass die Verzeichnisstruktur erstellt und die


notwendigen Dateien fr diese Architektur kopiert werden. Als Systemvariante kann entweder x86, amd64 oder ia64 verwendet werden,
abhngig davon, welches System eingesetzt wird. Als Verzeichnis
geben Sie ein beliebiges Verzeichnis auf der Festplatte des lokalen
Rechners an, zum Beispiel Windows PE. Ein Beispiel fr die Eingabe
des Befehls ist:
copype.cmd x86 c:\Windows PE

Das Verzeichnis muss vorher nicht erstellt werden, der Assistent erstellt
dieses automatisch und legt die Dateien im Anschluss in diesem Verzeichnis ab.
3. Anschlieend knnen Sie zustzliche Tools in dieses Verzeichnis kopieren, das Sie beim Starten von Windows PE bentigen. Zumindest das
Imaging-Programm imagex.exe sollten Sie in das Verzeichnis kopieren.
Sie finden imagex.exe unter C:\Program files\Windows AIK\Tools\x86\
imagex.exe. Kopieren Sie imagex.exe in das Unterverzeichnis ISO im PEVerzeichnis auf Ihrer Festplatte.
4. Sie knnen eine optionale Konfigurationsdatei mit dem Namen winscript.ini erstellen, die das Tool ImageX anweist, bestimmte Dateien
whrend der Aufzeichnung auszuschlieen. Beim Starten von ImageX
verwendet dieses Tool automatisch die Datei wimscript.ini, wenn sich
diese im gleichen Verzeichnis befindet.
5. Im nchsten Schritt wird die ISO-Datei erstellt, die schlielich die
Windows PE-Installation enthlt. Auch fr diese Aufgabe gibt es im
Windows AIK ein entsprechendes Tool mit der Bezeichnung Oscdimg.
Um die ISO-Datei zu erstellen, wechseln Sie wieder in die Befehlszeile

65

Kapitel 1 Betriebssysteminstallation

und gehen in das Verzeichnis C:\Program Files\Windows AIK\Tools\


PETools. Geben Sie den folgenden Befehl ein:
Oscdimg n -m -o bc:\Windows PE\etfsboot.com c:\Windows PE\ISO c:\
Windows PE\Windows PE.iso

Verwenden Sie als Verzeichnisnamen den Namen, den Sie bei sich
verwendet haben und in dem sich die PE-Dateien befinden. Das Tool
erstellt im Anschluss die ISO-Datei.
6. Brennen Sie im Anschluss diese ISO-Datei auf eine DVD. Sie verfgen
nun ber eine startbare Windows PE-DVD mit dem Tool ImageX.
Abbildung 1.21
Eingabeaufforderung fr Bereitstellungstools von
Windows AIK fr
Windows 7

Ausfhrliche Erluterungen zu Windows PE 3.0 finden Sie im Windows


PE-Benutzerhandbuch, das Bestandteil von Windows AIK ist [WAIK 2.0].
Modulare Betriebssystemstruktur Windows Vista war das erste Betriebs-

system von Microsoft, das modular aufgebaut ist. Windows 7 verwendet


die gleiche Architektur. Dies bringt vor allem Vorteile hinsichtlich der
Anpassungsmglichkeiten:
Microsoft kann einzelne Komponenten des Betriebssystems ndern,
ohne das gesamte Betriebssystem zu beeinflussen. Damit mssen beispielsweise Patches und Service Packs nicht mehr sequenziell aufeinander aufbauen.
Einzelne Komponenten von Windows 7 knnen an unternehmensspezifische Bedrfnisse angepasst werden.
Gertetreiber, Service Packs und Hotfixes knnen einfacher zu Windows 7 hinzufgt werden.
Windows 7 ist sprachneutral. Alle Komponenten sind optional und
knnen einzeln zum Betriebssystem hinzugefgt werden. Es ist damit
nicht mehr notwendig, separate Images fr jede Sprache anzulegen.

Bereitstellungswerkzeuge
Mit den vielfltigen Funktionen zur Bereitstellung liefert Microsoft notwendigerweise auch neue Werkzeuge und Programme. Dabei kommen
whrend der drei Phasen des Bereitstellungsprozesses
Planung und Vorbereitung
Erstellung und Wartung
Vorhaltung und Bereitstellung

66

1
Bereitstellung von Windows 7 im Unternehmensnetzwerk

unterschiedliche Programme zum Einsatz. Die folgende Tabelle gibt einen


berblick ber die notwendigen Programme im Kontext der drei Bereitstellungsphasen.
Funktion

Programm

Planung
und Vorbereitung

Anwendungsanalyse und
Test der Anwendungskompatibilitt
bernahme von Dateien
und Benutzereinstellungen

Application Compatibility
Toolkit 5.5: Mit diesem aktualisierten Tool kann berprft werden, ob Anwendungen mit Windows 7 kompatibel sind.
User State Migration Tool 4.0: Ein aktualisiertes Tool
zum Erfassen und Wiederherstellen von Benutzereinstellungen. USMT ist fr automatisierte Bereitstellungen in groen Umgebungen ausgelegt. Mssen nur
wenige Computer migriert werden, kann Windows 7
Windows-EasyTransfer verwenden werden.

Erstellung
und
Wartung

Erstellung WIM-basierter
Images
Anpassung der Images
durch Hinzufgen von
Treibern, Sprachpaketen
und Anwendungen u.a.
Erstellung und Anpassung XML-basierter
Antwortdateien

ImageX: ImageX ist eine Abbildtechnologie von Microsoft, die speziell fr die Bereitstellung in Unternehmen
entwickelt wurde. ImageX untersttzt das WIM-Dateiformat-Befehlszeilentool und wird zum Sammeln,
Verteilen und ndern von Abbildern verwendet.
ImageX ist ein Befehlszeilenprogramm, das auf Imaging-APIs fr Windows basiert. Dabei wird die Single
Instance Storage Technologie verwendet.
Windows Systemabbild Manager (System Image
Manager WSIM): Grafisches Tool, das zum Erstellen
von Antwortdateien fr den unbeaufsichtigten Windows Setup-Modus dient. Auerdem knnen Pakete
eingebunden werden, die im Verlauf von WindowsSetup installiert werden sollen.
Sysprep: Fr Windows 7 aktualisierte und verbesserte
Version des Systemvorbereitungsprogramms. Sysprep
bereitet einen Computer fr die Erstellung von Datentrgerabbildern (Images) vor.
Deployment Image Servicing and Management DISM:
Ein Befehlszeilentool zur Online- oder Offline-Wartung
bzw. -Verwaltung von Images. Mit DISM knnen beispielsweise Sprachpakete und Treiber hinzugefgt
oder entfernt, Windows-Funktionen deaktiviert oder
aktiviert und internationale Einstellungen konfiguriert
werden.

Tabelle 1.3: Ntzliche Werkzeuge fr die Bereitstellung von Windows 7

67

Kapitel 1 Betriebssysteminstallation

Vorhaltung und
Bereitstellung

Funktion

Programm

Remotebereitstellung
von Windows 7
Installation der Images
Durchfhrung eines
Upgrades bzw. einer
Aktualisierung.
Dynamische Aktualisierung durch Hinzufgen
von Updates zu Standardimages whrend der
Installation.

Windows Setup: Das Installationsprogramm fr


Windows 7, das WINNT und WINNT32 ersetzt.
Windows Setup verwendet die neue Technologie IBS
(Image-based Setup, abbildbasiertes Setup).
Windows Deployment Services (WDS) von Windows
Server 2008: WDS ersetzt RIS (Microsoft Remote
Installation Services) und ermglicht die Speicherung,
Verwaltung und Bereitstellung von Images. Es nutzt
den PXE-Bootprozess zur Installation. Alle bentigten
Einstellungen fr eine unbeaufsichtigte Installation
werden in Antwortdateien ber den WSIM festgelegt
und danach dem jeweiligen Abbild zugewiesen.
System Center Configuration Manager 2007 (SCCM):
Fr grere Unternehmen kann der Nachfolger des
Systems Management Servers 2003 eine hilfreiche,
allerdings kostenpflichtige Alternative zu WDS sein.
SCCM ist eine Unternehmenslsung, mit der Clients in
einer IT-Infrastruktur verwaltet, konfiguriert und berwacht werden knnen, So beinhaltet SCCM u.a. Software- und Hardwareinventur, Update-Verwaltung,
Softwareverteilung, Berichterstellung und Betriebssysteminstallation.

Tabelle 1.3: Ntzliche Werkzeuge fr die Bereitstellung von Windows 7 (Forts.)


Nicht mehr
verwendete Tools

Fr das Deployment von Windows 7 und Windows Server 2008 werden


die folgenden Tools nicht mehr bentigt.
Remote Installation Services: RIS wurde durch WDS ersetzt, bietet unter
Windows Server 2003 jedoch noch Legacy-Untersttzung; RIPREP und
RISETUP knnen bei Windows 7 und Windows Server 2008 bzw. Windows Server 2008 R2 nicht verwendet werden.
Setup Manager/Notepad: Verwenden Sie zum Bearbeiten der Konfigurationsdateien fr die unbeaufsichtigte Installation stattdessen den
Windows System Image Manager.
WINNT.EXE und WINNT32.EXE: Verwenden Sie stattdessen SETUP.
SYSOCMGR: Ersetzt durch OCSETUP, PKGMGR.
MS-DOS-Startdisketten: Nicht mehr ntig. Verwenden Sie Windows PE.

1.3.2

Planung und Vorbereitung der


Bereitstellung

Eine durchdachte Planung und Vorbereitung ist der Grundstein einer jeden
erfolgreichen Installation, dies gilt umso mehr bei der Bereitstellung von
Windows 7 in Unternehmensnetzwerken. Hier ist neben den in Abschnitt
1.1 ab Seite 29 beschriebenen Aufgaben noch Augenmerk auf die Windows
7-Tauglichkeit der eingesetzten Anwendungen und auf eine mglichst
automatisierte bernahme von Benutzereinstellungen zu legen.

68

1
Bereitstellung von Windows 7 im Unternehmensnetzwerk

Zustzlich sollten mindestens die folgenden Fragen beantwortet werden.


Diese knnen helfen, die geeignete Installationsmethode fr die Bereitstellung zu ermitteln.
Auf wie vielen Rechnern soll Windows 7 ausgerollt werden?
Erfolgt die Installation auf vorhandener Hardware? Wenn ja, welche
und wie unterschiedlich sind die zu verwendenden Rechner?
Mssen Benutzerdaten und Einstellungen bernommen werden?
Sollen die Benutzer die Installation selbst durchfhren, oder ist eine
unbeaufsichtigte Installation geplant?
Wie hoch ist der Aufwand fr Anpassungsarbeiten nach Abschluss
der Installation?
Sollen die Rechner Mitglied einer Active Directory-Domne werden?
Die vorstehende Liste ist nicht vollstndig und muss individuell ergnzt
werden. Sie soll in erster Linie Anregungen liefern, welche Fragestellungen ggf. bei einem Unternehmens-Client-Rollout zu bercksichtigen sind.

Sicherstellung der Anwendungskompatibilitt


Eine der grten Herausforderungen, mit denen Unternehmen bei der
Bereitstellung eines neuen Desktop-Betriebssystems konfrontiert werden,
ist die Migration der installierten Anwendungen, ohne dass deren Funktion
beeintrchtigt wird. Hier gilt es, Kompatibilittsprobleme im Vorfeld zu
erkennen, um Schwierigkeiten, die sogar ein Upgrade verhindern knnen,
wirksam zu begegnen.
Microsoft stellt mit dem Application Compatibility Program Kit (ACT) 5.5
[ACT] ein kostenloses Tool fr Entwickler und Administratoren zur Prfung der Kompatibilitt von Webseiten und Software bereit. Die Version 5.5
untersttzt Windows 7 sowie Windows Vista SP2 und erlaubt eine Kompatibilittsprfung von Anwendungen fr den Einsatz unter Windows Vista
und Windows 7 sowie im Zusammenspiel mit dem Internet Explorer. Das
Werkzeug dient dazu, Anwendungen zu erkennen, fr die mglicherweise
weitere Tests erforderlich sind, und Kompatibilittsfixes fr Anwendungen
zur Verfgung zu stellen.
Beachten Sie hierzu auch die Erluterungen in Kapitel 3. Eine ausfhrliche
Beschreibung von ACT finden Sie im Microsoft ACT: Bereitstellungshandbuch unter Microsoft Technet [ACTDOK].

Migration von Benutzerdaten mit dem


User State Migration Tool
Werden in Unternehmensnetzwerken Rechner neu mit Windows 7 installiert, dann reicht es nicht nur, dem Anwender eine neue Installation hinzustellen. In der Regel hatte der Anwender zuvor bereits einen Rechner, und
es mssen lokale Dateien, Favoriten, Anwendungseinstellungen, Active
Directory-Eintrge und Berechtigungen bernommen werden.

69

Kapitel 1 Betriebssysteminstallation

Ein wichtiger Faktor fr den Erfolg der Bereitstellung von Betriebssystemen


in Unternehmensnetzwerken ist daher die Migration der Benutzereinstellungen, also das Erfassen aller benutzerdefinierten Einstellungen auf vorhandenen Systemen und ihre Wiederherstellung auf dem neuen System.
Bei Windows 7 wird dieser Vorgang durch die aktuelle Version von User
State Migration Tool (USMT) 4.0 vereinfacht. USMT ist im Gegensatz zu
frheren Versionen Bestandteil von Windows AIK fr Windows 7. Nach
der Installation von WAIK ist USMT zu finden unter: C:\Program Files\
Windows AIK\Tools\USMT.
USMT kontra
Windows
EasyTransfer

Mit USMT knnen Desktop-, Netzwerk- und Anwendungseinstellungen


sowie Benutzerdateien von einem Rechner auf einen anderen bernommen
werden. Damit stellt USMT im Wesentlichen dieselbe Funktionalitt bereit
wie Windows-EasyTransfer (siehe Abschnitt 1.1.3 ab Seite 37). Es gibt jedoch
einige wichtige Unterschiede zwischen USMT und Windows-EasyTransfer.
Whrend mit Windows-EasyTransfer die Operation fr jeden Benutzer im
System wiederholt werden muss, kann USMT skriptgesteuert im Stapelmodus ausgefhrt werden. USMT nutzt hierbei die beiden Befehlszeilenprogramme ScanState und LoadState sowie zustzlich UsmtUtils. Die Programme knnen mithilfe von XML-Dateien komplett an die individuellen
Bedrfnisse angepasst werden.
Standardmig ermglicht USMT 4.0 die Migration der folgenden Objekte:
Ordner Eigene Dateien einschlielich der Unterordner Eigene Bilder, Eigene
Videos und Eigene Musik
Microsoft Internet Explorer-Einstellungen
Microsoft Outlook PST-Dateien
Favoriten
DF-Verbindungen
Desktop-Einstellungen
Telefon- und Modemoptionen
Eingabehilfen
Einstellungen der Eingabeaufforderung
Schriftarten
Ordneroptionen
Einstellungen der Taskleiste
Maus- und Tastatureinstellungen
Schnellstarteinstellungen
Bildschirmschoner
Klangeinstellungen
Regionsoptionen
Einschrnkend kann USMT derzeit keine Anwendungen, Treiber, Einstellungen der Hardware oder Passwrter migrieren. Auch Synchronisierungsdateien, .dll-Dateien oder andere ausfhrbare Dateien sowie Encrypting File
System-(EFS-)Zertifikate werden nicht untersttzt.

Leistungsmerkmale

70

Die neue USMT-Version 4.0 fr Windows 7 enthlt gegenber den Vorgngerversionen einige nderungen und Verbesserungen und zeichnet
sich u.a. durch folgende Leistungsmerkmale aus:

1
Bereitstellung von Windows 7 im Unternehmensnetzwerk
Als Quellbetriebssystem sind alle 32-Bit- und 64-Bit-Versionen von Win-

dows XP, Windows Vista und Windows 7 erlaubt. Einschrnkend


untersttzt USMT 4.0 keine Windows Server-Betriebssysteme und
darber hinaus auch nicht Windows 2000 und die Starter-Editionen
von Windows XP, Windows Vista oder Windows 7. Auerdem untersttzt USMT 4.0 nur die Migration von Windows XP mit Service Pack
2 oder Service Pack 3. Als Zielbetriebssystem werden alle Versionen von
Windows Vista und Windows 7 untersttzt.
USMT 4.0 bietet die Mglichkeit, Profile zu verschieben, die mit EFS
verschlsselte Dateien enthalten.
Der Befehl ScanState schtzt die Gre des Migrationsspeichers sowie
den zustzlich fr die Erstellung des Migrationsspeichers bentigten
temporren Festplattenspeicher und nun auch die Gre des komprimierten Migrationsspeichers. Dies verringert die Migrationsfehler
aufgrund von unzureichendem Festplattenspeicher.
Mit USMT 4.0 ist es mglich, eine vollstndige Migration von Domnenbenutzerkonten auszufhren, ohne Zugriff aus dem Domnencontroller zu besitzen. Der Zielcomputer muss der Domne hinzugefgt
werden, bevor die neu hinzugefgten Domnenkonten verwendet
werden knnen.
USMT 4.0 bietet eine verbesserte Anbindung an die Microsoft-Bereitstellungstools.
Im Gegensatz zu den Vorgngerversionen bietet USMT 4.0 Untersttzung fr Volumenschattenkopie. Mit der Befehlszeilenoption /vsc kann
der Befehl ScanState jetzt den Volumenschattenkopie-Dienst verwenden, um Dateien zu erfassen, die durch andere Anwendungen fr die
Bearbeitung gesperrt sind.
Die Migration lokaler Gruppen wird untersttzt. Sie knnen den
Abschnitt <ProfileControl> in der Datei Config.xml verwenden, um whrend der Migration die Mitgliedschaft von Benutzern in lokalen Gruppen zu konfigurieren. Damit ist es beispielsweise mglich, die Mitgliedschaft von Benutzern in der lokalen Administratorgruppe zu einer
Mitgliedschaft in der lokalen Benutzergruppe zu ndern.
USMT 4.0 untersttzt mit dem erweiterten Verschlsselungsstandard
(Advanced Encryption Standard, AES) einen strkeren Verschlsselungsalgorithmus.

USMT besteht aus den beiden ausfhrbaren Dateien ScanState.exe und Ausfhrbare
LoadState.exe sowie der mit USMT 4.0 neu eingefhrten Datei Usmtutils.exe. USMT-Dateien
Diese ergnzt die Funktionen von ScanState.exe und LoadState.exe.
ScanState.exe sammelt die Benutzerdaten und -einstellungen basierend
auf den Informationen, die in Migapp.xml, MigSys.xmlinf, Miguser.xml
und Config.xml enthalten sind.
LoadState.exe kopiert die Benutzerstatusdaten auf einen Computer, auf
dem eine neue (nicht aktualisierte) Installation von Windows Vista oder
Windows 7 ausgefhrt wird. Im Unterschied zu frheren Versionen
mssen die Dateien, die fr ScanState angegeben werden, nun auch fr
LoadState angegeben werden.

71

Kapitel 1 Betriebssysteminstallation
XML-Standarddateien fr USMT

Zu USMT gehren standardmig verschiedene .xml-Dateien, welche die


Migration untersttzen. Die Dateien knnen an die unternehmensspezifischen Anforderungen angepasst werden. Zustzlich knnen selbst
erstellte benutzerdefinierte .xml-Dateien verwendet werden.
MigApp.xml steuert, welche Anwendungseinstellungen migriert werden. Die in dieser Datei aufgelisteten Anwendungen knnen in die
Migration eingeschlossen oder von ihr ausgenommen werden.
MigUser.xml steuert, welche Ordner, Dateien, Dateitypen und Desktop-Einstellungen eines Benutzers migriert werden. Die Datei hat keinen Einfluss darauf, welche Benutzer migriert werden.
Config.xml ist eine optionale benutzerdefinierte Datei, die dazu verwendet werden kann, um Komponenten von der Migration auszuschlieen.
Sie wird verwendet, um eine benutzerdefinierte Konfigurationsdatei zu
erstellen, welche die Benutzer-, Betriebssystem- und Anwendungseinstellungen enthlt, die von jedem Computer des Unternehmens migriert
werden sollen. Mithilfe des Tools ScanState und der Option /genconfig
kann die Datei Config.xml erstellt und bearbeitet werden. Weiterhin kann
diese Datei einige der in USMT 4.0 neuen Migrationsoptionen steuern. Ist
Config.xml nicht vorhanden, migriert USMT alle Standardkomponenten.

USMT einsetzen

Der Einsatz von USMT 4.0 umfasst im Wesentlichen die folgenden Arbeitsschritte:
Vorbereitung der USMT-Dateien
Die fr die Migration bentigten .xml-Dateien mssen angepasst bzw.
es mssen ggf. benutzerdefinierte .xml-Dateien erstellt werden. Sollen Komponenten von der Migration ausgeschlossen werden, wird
zustzlich die Datei Config.xml bentigt.
Ausfhren von ScanState

Auf dem zu migrierenden Rechner wird zunchst ScanState ausgefhrt. ScanState sammelt die Dateien und Einstellungen auf dem Quellrechner, gesteuert durch die .xml-Konfigurationsdateien, und erzeugt
standardmig eine komprimierte USMT.mig-Datei. Die gesamten persnlichen Dateien des Anwenders lassen sich dann auf einem anderen
Rechner zwischenspeichern.
Installation des Zielrechners

Installation von Windows 7 und aller bentigten Anwendungen. Mithilfe von Images kann dieser Vorgang automatisiert werden.
LoadState ausfhren

Nachdem der neue PC mit dem Betriebssystem ausgestattet wurde,


kommt LoadState zum Einsatz. Auf dem Zielrechner liest LoadState
gesteuert durch die XML-Konfigurationsdateien die USMT.mig-Datei
und stellt die Benutzereinstellungen wieder her. Dies kann als geplanter Task im Kontext des lokalen Administrators ausgefhrt werden.
Die Durchfhrung der Migration mithilfe von USMT wurde an dieser Stelle
nur im berblick dargestellt. Eine ausfhrliche Anleitung zur Nutzung von
USMT 4.0 stellt Microsoft im sehr ausfhrlichen Benutzerhandbuch fr
USMT 4.0 (User State Migration Tool) bereit [USMT].

72

1
Bereitstellung von Windows 7 im Unternehmensnetzwerk

1.3.3

Bereitstellung von Windows 7 mit


Windows AIK

Soll eine grere Anzahl von Computern mit Windows 7 installiert werden, beispielsweise whrend einer Migration im Unternehmen von einer
frheren Windows-Version hin zu Windows 7, knnen Betriebssystemabbilder ber WDS (Windows Deployment Services) oder SCCM (System
Center Configuration Manager) verteilt werden. SCCM bietet den Vorteil,
dass er nicht nur zur Neuinstallation, sondern auch zur Migration,
Update-Verwaltung, Softwareverteilung und zum Asset-Management
verfgbar sind. Je nach gewhlter Bereitstellungsstrategie kann damit der
Installationsprozess vom Einschalten des Computers ber die Installation
bis hin zur Auerbetriebstellung vollstndig automatisiert werden.
Mit dem Windows Automated Installation Kit (Windows AIK) fr Windows 7
stellt Microsoft kostenlos Tools zur Verfgung, mit deren Hilfe der gesamte
Bereitstellungsprozess abgebildet werden kann. Windows AIK ist eine
Sammlung aus Werkzeugen, Handbchern und Anleitungen, die Administratoren in Unternehmen und OEMs (Original Equipment Manufacturers)
bei der Bereitstellung von Windows untersttzen.
Speziell auf System-Builder ausgerichtet und auch nur fr diese verfgbar ist das Windows OEM Preinstallation Kit (Windows OPK). Hier finden
Sie die gleichen Features wie im WAIK, allerdings verfgt das OPK ber
einige zustzliche Konfigurationsmglichkeiten.

Installation von Windows AIK


Microsoft stellt Windows AIK kostenlos im Download-Bereich bereit. Nach
dem Download der ca. 1,6 GByte groen .iso-Datei (abhngig von der
gewhlten Sprache) muss die Datei als Image auf DVD gebrannt werden.
Installiert werden kann das Windows AIK auf einem Rechner, auf dem Untersttzte
Systeme
eines der folgenden Betriebssysteme ausgefhrt wird:
Windows Server 2003 SP1
Windows XP SP2
Windows Vista
Windows Server 2003 with Service Pack 2
Windows Vista SP1
Windows Server 2008
Windows Server 2008 R2
Windows 7
Whrend der Installation fgt Windows AIK dem Startmen einige Verknpfungen hinzu. Zugriff auf alle Dokumente und Tools erhlt man jedoch
nur im WAIK-Programmordner unter C:\Program Files\Windows AIK.\

73

Kapitel 1 Betriebssysteminstallation
Abbildung 1.22
Windows AIKProgrammordner

Der Bereitstellungsprozess im berblick


Wie bereits dargestellt, knnen mit Windows AIK der gesamte Bereitstellungsprozess sowie die Verwaltung abgebildet werden. Gem Windows
AIK knnen die damit verbundenen Aufgaben fnf Phasen zugeordnet
werden:
Phase 1 Planung: In dieser Phase mssen u.a. die Bereitstellungsmethode festgelegt und der Ablauf des Rollouts geplant werden.
Phase 2 Vorbereitung: Diese Phase beinhaltet im Wesentlichen die
Bereitstellung der Bereitstellungsumgebung. Eine Bereitstellungsumgebung enthlt einen Referenzcomputer, auf dem Windows System
Image Manager (Windows SIM) und ein Windows PE-Medium (Windows Preinstallation Environment) ausgefhrt werden. Dringend zu
empfehlen ist die Einrichtung einer Testumgebung, in der alle Phasen
der Bereitstellung getestet werden knnen.
Phase 3 Anpassung: Diese Phase umfasst u.a. die Vorbereitung und
Anpassung der Windows-Abbilder sowie die Erstellung erforderlicher
Antwortdateien. Der Umfang der Aufgaben ist abhngig von der
Bereitstellungsmethode.
Phase 4 Bereitstellung: Abhngig von der gewhlten Bereitstellungsmethode (Installation von einem Abbild aus, Installation von einem Konfigurationssatz aus oder Installation von DVD) wird in dieser Phase das
neue Betriebssystem mithilfe von Windows-Setup, ImageX, WDS oder
anderen Bereitstellungstools ausgerollt.
Phase 5 Wartung: Die letzte Phase beinhaltet die Verwaltung und
Anpassung der Windows-Abbilder.
Die Phasen entsprechen einem typischen Bereitstellungslebenszyklus.
Fr jede Phase stehen im Windows AIK geeignete Tools und Dokumente
bereit.

74

1
Bereitstellung von Windows 7 im Unternehmensnetzwerk

Eine Beschreibung aller Tools und Szenarien wrde den Rahmen des
Buchs bersteigen. Die nachstehenden Ausfhrungen beschrnken sich
daher auf einige ausgewhlte Komponenten. Ausfhrliche Beschreibungen, Anleitungen, Beschreibungen verschiedener Szenarien und Skripte
sind in der Windows AIK-Dokumentation und im Microsoft Technet
Center zu finden.

Die Bereitstellungsmethoden im Vergleich


Es gibt mehrere Mglichkeiten fr eine automatisierte Installation von
Windows 7. In diesem Abschnitt werden die drei untersttzten Bereitstellungsmethoden beschrieben, die von Microsoft folgendermaen bezeichnet werden: Installation von einer DVD, von einem Abbild und von einem
Konfigurationssatz.
Diese Methode stellt die einfachste Mglichkeit einer automatisierten Ver- Installieren
teilung dar. Hierbei wird fr den manuellen Installationsvorgang eine von DVD
sogenannte Antwortdatei erstellt, die alle Angaben enthlt, die whrend des
manuellen Installationsvorgangs abgefragt wrden. Mithilfe der Antwortdatei kann die Installation von der Windows 7-DVD vllig unbeaufsichtigt
durchgefhrt werden.
Dazu wird die Antwortdatei auf ein Wechselmedium wie eine CD-ROM
oder einen USB-Stick kopiert. Whrend des Installationsvorgangs sucht
der Installations-Assistent auf den Wechselmedien nach einer Antwortdatei mit dem Namen Autounattend.xml. Ist diese vorhanden, werden
beim Windows-Setup alle in der Antwortdatei festgelegten Einstellungen
angewendet. Die nachstehende Abbildung zeigt den Bereitstellungsprozess dieser Methode im berblick.
Abbildung 1.23
Ablauf der Bereitstellung bei Installation von DVD
(Quelle: Microsoft
WAIK fr
Windows 7)

75

Kapitel 1 Betriebssysteminstallation

Die DVD-Startmethode ist leicht vorzubereiten und eignet sich fr Flle, in


denen hin und wieder einzelne Computer neu aufgesetzt werden sollen,
setzt aber voraus, dass die Computer ber eigene DVD-Laufwerke verfgen. Die Antwortdatei kann mit dem Windows System Image Manager (Windows SIM) erstellt werden.
Wenn Windows-Setup abgeschlossen ist, knnen weitere Anpassungen
erfolgen. Auerdem kann beispielsweise abschlieend der Befehl Sysprep mit
den Optionen /Oobe, /Generalize und /Shutdown ausgefhrt werden, bevor der
Computer an den Kunden ausgeliefert wird. Ausfhrliche Erluterungen zu
Sysprep finden Sie im nachfolgenden Abschnitt.
Die Installation von einer DVD aus kann auch eingesetzt werden, um bei
abbildbasierten Bereitstellungen eine Referenzinstallation zu erstellen.
Installation von
einem Konfigurationssatz aus

Alternativ kann man den Computer auch ber eine bootfhige Windows
PE-Umgebung starten, beispielsweise von einem USB-Stick aus, und sich
dann mit einer Netzwerkfreigabe verbinden, wo die Installationsdaten
Windows Setup zu finden sind. Auch hier kann eine Antwortdatei hinterlegt werden und so der Installationsvorgang ber das Netzwerk automatisiert ablaufen.
Die Konfigurationssatz-Installationsmethode ist geeignet, wenn nur eine
geringe Anzahl von Computern installiert werden muss und die Erstellung
und Verwaltung von Abbilddateien nicht effizient ist. Die Einrichtung der
erforderlichen Infrastruktur nimmt, im Gegensatz zur nachstehend beschriebenen Abbild-Methode, zwar weniger Zeit in Anspruch, aber das Herstellen
der einzelnen Computer dauert lnger. Die nachstehende Abbildung zeigt
den Bereitstellungsprozess dieser Methode im berblick.

Abbildung 1.24
Ablauf der Bereitstellung bei Installation von einem
Konfigurationssatz
(Quelle: Microsoft
WAIK fr
Windows 7)

Auch bei dieser Methode knnen nach dem Abschluss der Installation weitere Anpassungen erfolgen bzw. knnen die Computer mittels Sysprep fr
die Auslieferung an Kunden vorbereitet werden.

76

1
Bereitstellung von Windows 7 im Unternehmensnetzwerk

Soll eine grere Anzahl von Computern mit Windows 7 bestckt wer- Installation von
den, beispielsweise whrend einer Migration im Unternehmen, bieten die einem Abbild aus
zuvor beschriebenen Methoden nicht ausreichende Flexibilitt. In diesem
Fall ist eine abbildbasierte Bereitstellung vorzuziehen. Hierbei knnen
Abbilder von Referenzinstallationen an einer Netzwerkfreigabe bereitgestellt oder beispielsweise ber WDS oder SCCM verteilt werden.
Diese Methode bietet die grte Flexibilitt und ermglicht es, viele Computer schnell zu duplizieren. Durch das Erstellen eines Basisabbilds kann
das Systemabbild auf mehrere Computer mit identischer Konfiguration
angewendet werden. Das Basisabbild kann zu jedem Zeitpunkt an erforderliche nderungen angepasst werden.
Zur Aufzeichnung des Abbilds der Referenzinstallation kann das Tool
ImageX verwendet werden. Anschlieend muss das Abbild auf einer Distributionsfreigabe gespeichert werden, die von Windows SIM (Windows
Systemabbild Manager) bereitgestellt werden kann.
Durch Verwendung unterschiedlicher Implementierungen der Antwortdatei Unattend.xml kann der eigentliche Installationsprozess ganz oder
teilweise automatisiert werden. Allerdings erfordert das vollstndige
Implementieren einer automatischen Version dieser Methode mehr Vorbereitungszeit. In dem folgenden Diagramm ist der Prozess einer abbildbasierten Bereitstellung dargestellt.
Abbildung 1.25
Ablauf der Bereitstellung bei Installation von einem
Abbild (Quelle:
Microsoft WAIK fr
Windows 7)

Das Systemvorbereitungsprogramm Sysprep


In den vorstehenden Abschnitten wurde mehrfach auf das Tool Sysprep
verwiesen. Sysprep ist ein kostenloses Zusatztool, mit dem Systemimages
so vorbereitet werden, dass diese auf andere Computer bertragen werden
knnen. Dies bietet den Vorteil, dass nicht nur das Betriebssystem, sondern
auch alle Konfigurationen und alle Anwendungen bernommen werden
knnen.
Entscheidend ist dabei, dass Sysprep dem Zielrechner eine neue SID Problem mit
zuweist. Windows benutzt zur Identifikation eines jeden Rechners eine identischer SID
eindeutige Identifikationsnummer, die sogenannte SID (Security Identi-

77

Kapitel 1 Betriebssysteminstallation

fier). Jeder Rechner im Netzwerk muss eine eindeutige SID besitzen.


Wenn nun aber ein vorhandenes Festplattenimage auf einen anderen
Rechner kopiert wird, wird die bereits vorhandene SID auch auf dem
anderen Rechner eingesetzt, was zu massiven Problemen im Netzwerk
fhren kann.
Seit Windows 2000 bringt Windows mit dem Systemvorbereitungsprogramm Sysprep ein eigenes Programm mit, welches das Duplizieren von
Rechnern mit eindeutiger SID erlaubt. Hierzu fgt Sysprep dem Image
einen Systemdienst hinzu. Dieser Dienst entfernt systemspezifische Daten
und erstellt eine eindeutige lokale SID, wenn der Computer, auf den das
Image kopiert wurde, das erste Mal gestartet wird.
Bei Windows XP und Windows Server 2003 verhindern jedoch technische
Einschrnkungen die Erstellung eines einzigen Image, das auf allen Computern bereitgestellt werden kann. Unterschiedliche HAL-Schichten (Hardware Abstraction Layer) bedeuten, dass mehrere Images gepflegt werden
mssen. Seit Windows Vista bestehen diese technischen Einschrnkungen
nicht mehr; das Betriebssystem ist in der Lage, die bentigte HAL festzustellen und sie automatisch zu installieren.
Sysprep-Neuerungen unter
Windows Vista
und Windows 7

78

Sysprep wurde mit Windows Vista in den folgenden Bereichen verbessert:


Fr die Windows-Versionen vor Windows Vista wird Sysprep im Windows OPK (OEM Preinstallation Kit) bzw. in der Datei Deploy.cab auf
der Windows-CD oder im neuesten Service Pack bereitgestellt. Unter
Windows Vista und Windows 7 ist Sysprep Teil der Installation und
standardmig im Ordner %WINDIR%\System32\sysprep zu finden.
Sysprep bereitet einen Computer fr die Erstellung von Images oder
die Auslieferung an einen Kunden vor, indem der Computer so konfiguriert wird, dass nach dem Neustart eine neue Sicherheitskennung
erstellt wird. Darber hinaus bereinigt die neue Version von Sysprep
auch benutzer- und computerspezifische Einstellungen und Daten,
die nicht auf einen Zielcomputer kopiert werden sollen.
Sysprep konfiguriert Windows zum Starten im berwachungsmodus.
Der berwachungsmodus ermglicht es, Anwendungen und Gertetreiber von Drittanbietern zu installieren sowie die Funktionalitt des
Computers zu testen.
Mit Sysprep kann die Windows-Produktaktivierung bis zu drei Mal
zurckgesetzt werden.
Sysprep-Images werden als WIM-basierte Images gespeichert. Dies hebt
einige der Beschrnkungen, die bei den Vorgngerversionen bestanden,
auf. Wie beschrieben sind WIM-Imageformate hardwareunabhngig.
Die Rechner mssen daher nicht mehr zwingend ber kompatible
HALs oder ber die gleichen Controller fr Massenspeichergerte (SCSI
oder IDE) verfgen. Nur fr 32-Bit- und 64-Bit-Prozessoren sind jeweils
eigene Images notwendig. Auch muss die Festplatte auf dem Zielcomputer nicht mehr mindestens die gleiche Gre wie die Festplatte auf
dem Masterrechner aufweisen.
Die Datei Sysprep.inf gibt es nicht mehr. Die neue Version verwendet
nur noch eine einzige Antwortdatei im .xml-Format (Unattend.xlm).

1
Bereitstellung von Windows 7 im Unternehmensnetzwerk

Sysprep kann gestartet werden, indem die Datei C:\Windows\System32\


Sysprep\Sysprep.exe ausgefhrt wird. Werden keine Parameter angegeben,
wird Sysprep im grafikbasierten Modus gestartet. Grundstzlich umfasst
der Einrichtungsprozess fr den Referenzrechner, der zum Duplizieren der
Festplatte verwendet werden soll, die folgenden Arbeitsschritte:
1. Installieren Sie das Betriebssystem auf dem Referenzrechner.
Erforderliche
2. Installieren Sie auf dem Referenzrechner alle erforderlichen Anwendun- Arbeitsschritte
gen. Hierbei kann es sich sowohl um Standardanwendungen wie
Virenscanner oder Microsoft Office als auch um branchenspezifische
Programme handeln. Auch die Konfiguration allgemeingltiger Einstellungen, wie beispielsweise lokaler Computerrichtlinien, ist mglich.
3. Fhren Sie Sysprep.exe aus. Beim Ausfhren von Sysprep auf dem Referenzcomputer werden alle benutzer- und computerspezifischen Einstellungen und Daten entfernt, der Produktaktivierungscountdown auf
30 Tage zurckgesetzt und die Erstellung einer neuen Sicherheits-ID
(Security Identifier, SID) beim Neustart aktiviert.
Abbildung 1.26
Die grafische Benutzeroberflche von
Sysprep

Entsprechend den beiden Startarten, in denen ein Computer auf der Basis
eines Sysprep-Images gestartet werden kann, lassen sich, wie in vorstehender Abbildung gezeigt, die beiden folgenden Modi auswhlen:
Out-of-Box Experience (OOBE)
Standardmig wird beim ersten Start von Windows 7 zunchst die
Windows-Willkommensseite angezeigt. Die Windows-Willkommensseite, auch bezeichnet als Computer-OOBE (Out-of-Box Experience =
Standardverhalten), ist die erste Seite, die ein Endbenutzer sieht. Diese
Seite ermglicht dem Benutzer das Anpassen der Windows-Installation. Dazu gehren das Erstellen von Benutzerkonten, die Annahme
der Microsoft-Softwarelizenzbedingungen sowie die Auswahl von
Sprache und Zeitzone.
Systemberwachungsmodus

Im Gegensatz zum OOBE-Modus kann der Endanwender bei Start im


Systemberwachungsmodus (Audit-Modus) keine Einstellungen vornehmen, da die Windows-Willkommensseite umgangen wird. Der berwachungsmodus ermglicht Administratoren in Unternehmen und
Herstellern das Anpassen von Images an die eigenen Erfordernisse.
Hier knnen zustzliche Treiber oder Anwendungen hinzugefgt
und die Installation getestet werden. Notwendige Einstellungen knnen hierbei aus einer Antwortdatei kommen.

79

Kapitel 1 Betriebssysteminstallation
Sysprep mit
Parametern
ausfhren

Alternativ kann Sysprep an der Befehlszeile mit der folgender Syntax


ausgefhrt werden:
Sysprep.exe [/quiet] [/generalize) [/audit | /oobe] [/reboot | /shutdown
| /quit] [/unattend:<Dateiname>]
/quiet: Bei Verwendung dieses Parameters wird Sysprep ohne Anzeige

von Bildschirmmeldungen ausgefhrt. Diese Option ist ntzlich, um


den Computer zu berwachen und um sicherzustellen, dass die Erstausfhrung korrekt funktioniert.
/generalize: Weist Sysprep an, systemspezifische Daten aus der Windows-Installation zu entfernen. Die systemspezifischen Informationen
umfassen Ereignisprotokolle, Sicherheitskennungen (SIDs), Systemwiederherstellungspunkte und Eintrge in Protokolldateien. Auerdem wird der Aktivierungszhler auf 30 Tage zurckgesetzt. Diese
Option sollte immer gesetzt werden, damit Windows auf die Erstellung
eines Images vorbereitet wird.
/audit: Startet den Rechner im Systemberwachungsmodus.
/oobe: Startet den Computer im Out-of-Box-Experience-(OOBE-)Modus.
/reboot: Wird Sysprep mit diesem Parameter gestartet, fhrt das System einen automatischen Neustart durch.
/shutdown: Mit diesem Parameter wird das Betriebssystem nach dem
Beenden von Sysprep ohne Benutzereingriff heruntergefahren.
/quit: Nach dem Ausfhren wird Sysprep beendet.
/unattend:<Antwortdatei>: Wendet whrend der Ausfhrung von Sysprep Einstellungen aus einer Antwortdatei an. Dies ermglicht eine
unbeaufsichtigte Installation. Mit dem Parameter Antwortdatei werden
der Pfad und der Dateiname der zu verwendenden Antwortdatei konfiguriert.

Ausfhrliche Erluterungen zum Systemvorbereitungstool Sysprep.exe


finden Sie ebenfalls in der Windows AIK-Dokumentation und im Microsoft Technet Center.

Images erstellen und bearbeiten mit ImageX


ImageX ist ebenfalls Bestandteil von Windows AIK. Hierbei handelt es
sich um ein Befehlszeilenprogramm, das auch unter Windows PE ausgefhrt werden kann und es erlaubt, Images zu erstellen, zu bearbeiten und
bereitzustellen. Weiterhin knnen damit WIM-Images als Ordner bereitgestellt und so offline bearbeitet werden.
Da es sich um ein befehlszeilenbasiertes Programm handelt, kann es auch
gut in Skripten eingesetzt werden. Einschrnkend ist es mit ImageX nicht
mglich, Anwendungen einem Image hinzuzufgen.
Funktionsweise

80

Mit ImageX lassen sich Images aufzeichnen, die jedoch zunchst vorbereitet werden mssen. Hierzu gibt es mehrere Mglichkeiten:

1
Bereitstellung von Windows 7 im Unternehmensnetzwerk
Mit dem Windows System Image Manager (Windows SIM) wird ein Instal-

lationsabbild erstellt, das spter mit ImageX aufgezeichnet werden kann.


Mithilfe von Sysprep kann die Aufzeichnung eines Images vorbereitet

werden. Bei der Vorbereitung mit Sysprep auf dem Masterrechner


werden alle benutzer- und computerspezifischen Einstellungen und
Daten entfernt, und die Erstellung einer neuen Sicherheitskennung
nach dem Neustart wird aktiviert.
Um anschlieend das Image zu erstellen, muss der Referenzcomputer in
der Windows PE-Umgebung gestartet werden.
Mit ImageX knnen u.a. Partitionen in einer WIM-Datei gespeichert und Befehlszeileneine WIM-Datei in einer Partition wiederhergestellt werden. Hierfr stellt optionen
ImageX die folgenden Befehle zur Verfgung:
Abbildung 1.27
Die Syntax von
ImageX

/append: Fgt einer vorhandenen WIM-Datei ein Image hinzu.


/apply: Stellt ein Image in einem bestimmten Laufwerk wieder her.
/capture: Erstellt ein Image in einer neuen WIM-Datei.
/delete: Lscht ein Image aus einer WIM-Datei .
/dir: Zeigt eine Liste der Dateien und Ordner in einem Image an,

ohne dass dieses zuvor bereitgestellt werden muss.


/export: bertrgt ein Image von einer WIM-Datei zu einer anderen.
/info: Zeigt die XML-Beschreibungen fr eine ausgewhlte WIM-Datei
an.
/split: Teilt eine vorhandene WIM-Datei in mehrere schreibgeschtzte
Teile.
/mount: Stellt ein Image schreibgeschtzt in einem ausgewhlten leeren Ordner bereit.
/mountrw: Stellt ein Image mit Lese- und Schreibzugriff in einem
bestimmten Ordner bereit.

81

Kapitel 1 Betriebssysteminstallation
/remount: Stellt die Verbindung zu einem bereitgestellten Abbild erneut

her.
/commit: Speichert die nderungen an einer bereitgestellten WIM-

Datei, ohne die Bereitstellung der WIM-Datei aufzuheben.


/unmount: Hebt die Bereitstellung eines Images in einem ausgewhlten

Ordner auf.
/cleanup: Lscht alle Ressourcen, die einem bereitgestellten, abgebro-

chenen Abbild zugeordnet sind. Bei diesem Befehl wird weder die aktuelle Bereitstellung von Abbildern aufgehoben, noch werden Abbilder
gelscht, die ber den Befehl imagex /remount wiederhergestellt werden
knnen.
Hervorzuheben ist die Option /mount. Diese bietet die Mglichkeit, ein
Image in einem Ordner bereitzustellen. Anschlieend kann das Image
wie jeder andere Ordner auch bearbeitet werden, d.h., es knnen Dateien
wie beispielsweise Treiberdateien oder Schriftendateien hinzugefgt und
daraus entfernt werden. Anschlieend kann die Bereitstellung mit der
Option /unmount sehr einfach wieder aufgehoben werden.
Ausfhrliche Erluterungen zur Funktionsweise und zu den Einsatzmglichkeiten von ImageX finden Sie im Benutzerhandbuch zum Windows AIK.

Windows 7 in einer mehrsprachigen Umgebung bereitstellen


Bei international ttigen Unternehmen ist in der Regel der Einsatz unterschiedlicher Sprachversionen erforderlich.
Da Windows 7 aufgrund der modularen Struktur sprachunabhngig ist,
knnen komfortabel ein oder mehrere Sprachpakete hinzugefgt werden.
Sprachpakete dienen zum Aktivieren der Untersttzung fr bestimmte
Sprachen und Gebietsschemata. Benutzer haben damit auf der WindowsWillkommensseite bzw. in der Systemsteuerung die Mglichkeit, die Standardsprache und das Gebietsschema fr den Computer auszuwhlen.
Einschrnkend werden verschiedene Sprachpakete nur von den Editionen
Windows 7 Ultimate oder Enterprise untersttzt. Alle anderen WindowsVersionen untersttzen zwar keine vollstndige Sprachumschaltung, es
steht jedoch eine eingeschrnkte Variante, die auf Language Interface Packs
(LIPs) zurckgreift, zur Verfgung. Hierbei werden nur die gebruchlichsten Bereiche der Benutzeroberflche in eine andere Sprache bersetzt.
Und bereits mit Windows Vista hat Microsoft die Bereitstellung von
mehrsprachigen Computern deutlich erleichtert. Administratoren sind
dadurch in der Lage, fr Regionen mit mehreren Sprachen und Gebietsschemaeinstellungen dasselbe Image bereitzustellen. Dabei ersetzen die
Sprachpakete in Windows 7 die MUI-(Multilingual User Interface-)Dateien
aus frheren Versionen von Windows. Im Gegensatz zu MUI-Dateien
knnen beispielsweise Sprachpakete einem Windows-Offline-Image hinzugefgt werden.

82

1
Bereitstellung von Windows 7 im Unternehmensnetzwerk

Fr Windows 7 stehen zwei Arten von Sprachpakettypen zur Verfgung: Sprachpaket Vollstndiges Language Pack: Bei diesen Sprachpaketen sind in der Regel typen
alle Ressourcen fr die betreffende Sprache und das Gebietsschema lokalisiert. Allerdings sind bei bestimmten Sprachen nicht alle Sprachressourcen in der angegebenen Sprache lokalisiert. In einem solchen Fall wird
das Language Pack als teilweise lokalisiertes Language Pack bezeichnet. So
ist beispielsweise Arabisch (Saudi-Arabien) ein teilweise lokalisiertes
Sprachpaket, bei dem 80 Prozent der Sprachressourcen in Arabisch, die
verbleibenden 20 Prozent der Sprachressourcen entweder englisch oder
franzsisch sind.
Benutzeroberflchen-Sprachpaket (Language Interface Pack, LIP): Hierbei
handelt es sich um teilweise lokalisierte Sprachpakete, die nur ber ein
vollstndig lokalisiertes Sprachpaket installiert werden knnen. Weil
LIPs lizenzfrei und kostenlos sind und weil es LIPs fr alle Weltsprachen gibt, sind sie eine gute Alternative, wenn die eingesetzte Windows-Version keine Language Packs untersttzt.
Lizenzrechtlich bedingt untersttzen nur die Windows Ultimate Edition
und die Windows Enterprise Edition die Verwendung von Sprachpaketen.
Nur bei diesen Editionen knnen mehrere Sprachpakete installiert werden.
Beachten Sie hierzu die Erluterungen in Abschnitt 1.3.3 ab Seite 82. Alle
anderen Windows-Editionen entfernen automatisch alle nicht standardmigen Sprachpakete. Hingegen untersttzen alle Windows-Editionen eine
unbegrenzte Anzahl von LIPs (Language Interface Packs).
Im Microsoft Technet-Bereich finden Sie eine Liste mit allen untersttzten Language Packs und Benutzeroberflchen-Sprachpaketen, die fr
Windows 7 und Windows Server 2008 R2 verfgbar sind [LANGUAGE].
LIPS knnen Sie kostenlos herunterladen von der Microsoft Unlimited
Potential Site [LIP].
Es gibt verschiedene Mglichkeiten, Sprachpakete in eine Windows 7- Sprachpakete
Installation zu integrieren. Das Hinzufgen eines Language Packs zu installieren
einem Windows-Abbild kann im Zuge mehrerer Bereitstellungsphasen
erfolgen. So knnen Language Packs hinzugefgt werden, whrend das
Windows-Abbild offline ist, im Rahmen einer automatisierten Installation
unter Verwendung von Windows Setup und einer Antwortdatei fr die
unbeaufsichtigte Installation (Unattend.xml) oder im laufenden Betrieb des
Betriebssystems. Hierbei ist Folgendes zu beachten: Ein Systemabbild kann
so viele Language Packs enthalten wie ntig, allerdings nimmt durch jedes
zustzliche Language Pack die Gre des Abbilds zu. Dies verlngert ggf.
auch die Zeit, die fr das Ausfhren bestimmter Wartungsaufgaben bentigt wird. Werden Language Packs mithilfe einer Antwortdatei fr die
unbeaufsichtigte Installation hinzugefgt, empfiehlt Microsoft, maximal 20
Language Packs gleichzeitig hinzuzufgen. Dieser Wert drfte allerdings
in den meisten Fllen mehr als ausreichend sein.
Ausfhrliche Erluterungen zur Funktionsweise und zur Installation von
Sprachpaketen finden Sie im Benutzerhandbuch zum Windows AIK.

83

Kapitel 1 Betriebssysteminstallation

Erstellung und Anpassung XML-basierter Antwortdateien


Bei den Vorgngerversionen von Windows Vista konnte der unbeaufsichtigte Installationsprozess durch eine Reihe textbasierter Antwortdateien,
wie beispielsweise der Datei Unattend.txt oder Sysprep.inf, gesteuert werden. Diese Antwortdateien ermglichten die Automatisierung whrend
einer bestimmten Phase der Installation und die Bereitstellung von Windows, indem sie die Antworten fr eine Reihe von Dialogfeldern der grafischen Benutzeroberflche bereitstellten.
Nur noch eine
XML-basierte
Antwortdatei

Seit Windows Vista wird bei der unbeaufsichtigten Installation eine einzelne .xml-basierte Antwortdatei (Unattend.xml) fr alle Installations- und
Bereitstellungsphasen von Windows verwendet. Diese Bereitstellungsphasen werden als Konfigurationsphasen bezeichnet.
Konfigurationsphasen sind die Phasen einer Windows-Installation, whrend derer ein Abbild angepasst werden kann. In der Regel knnen die
Einstellungen fr die unbeaufsichtigte Windows-Installation in mehreren
Konfigurationsphasen angewendet werden. Das Verstndnis dafr, wie
und wann Konfigurationsphasen ausgefhrt werden, ist entscheidend
fr die Entwicklung einer geeigneten Bereitstellungsstrategie.

Konfigurationsphasen

84

Windows 7 unterscheidet die folgenden Konfigurationsphasen:


windowsPE: Die Einstellungen fr diese Phase konfigurieren Windows
PE-Optionen sowie grundlegende Windows Setup-Optionen. Hierzu
gehren u.a. das Festlegen des Produktschlssels sowie das Konfigurieren der Datentrger.
offlineServicing: In dieser Phase werden Updates, Sprachpakete und
andere Sicherheitspatches auf das Image angewendet.
specialize: Die Einstellungen fr diese Phase legen systemspezifische
Informationen fest und wenden sie an. Hierzu zhlen u.a. Netzwerkeinstellungen, internationale Einstellungen und Informationen zur
Domnenmitgliedschaft.
generalize: Whrend dieser Konfigurationsphase werden computerspezifische Informationen aus der Windows-Installation entfernt, sodass das
Windows-Abbild auf unterschiedliche Computer angewendet werden
kann. Der Befehl sysprep /generalize beispielsweise entfernt systemspezifische Informationen aus dem Image. Dies umfasst neben der eindeutigen Sicherheits-ID (SID) und hardwarespezifischen Einstellungen auch
das Zurcksetzen der Aktivierung.
auditSystem: In dieser Konfigurationsphase werden Einstellungen fr
die unbeaufsichtigte Installation verarbeitet, whrend Windows im Systemkontext ausgefhrt wird und bevor sich ein Benutzer im berwachungsmodus am Computer anmeldet. Die Phase auditSystem wird nur
ausgefhrt, wenn die unbeaufsichtigte Installation im berwachungsmodus durchgefhrt wird.
auditUser: Die Einstellungen fr diese Phase werden verarbeitet, nachdem sich ein Benutzer im berwachungsmodus am Computer angemeldet hat. Auch die Phase auditUser wird nur ausgefhrt, wenn die
unbeaufsichtigte Installation im berwachungsmodus durchgefhrt
wird.

1
Bereitstellung von Windows 7 im Unternehmensnetzwerk
oobeSystem: Im Durchlauf oobeSystem werden die Einstellungen fr

den ersten Start durch den Endbenutzer, d.h. die Windows-Willkommensseite, konfiguriert und vor der ersten Anmeldung eines Benutzers bei Windows verarbeitet.
Die nachstehende Abbildung aus dem Windows AIK fr Windows 7
zeigt die Beziehung zwischen den Konfigurationsphasen im Rahmen von
Windows PE, Windows Setup und Sysprep.
Abbildung 1.28
Die Konfigurationsphasen einer
Windows-Installation

Zum Erstellen und Verwalten von Antwortdateien kann Windows SIM Antwortdateien
(System Image Manager) verwendet werden. Hierzu stellt Windows SIM mit dem WSIM
eine grafische Benutzeroberflche zur Verfgung, in der alle Aufgaben erstellen
komfortabel erledigt werden knnen. Damit ist es beispielsweise mglich, eine Antwortdatei zu erstellen, mit der whrend des Installationsprozesses ein Datentrger partitioniert und formatiert, ein zustzliches
Sprachpaket installiert und Windows zum Starten im berwachungsmodus nach der Installation konfiguriert wird.
Darber hinaus ermglicht es der Windows System Image Manager, die vorhandenen Einstellungen eines Windows-Abbilds anzuzeigen und offline
Software-Updates, Gertetreiber sowie Sprachpakete u.a. hinzuzufgen.
Fr die Verteilung der Images gibt es mehrere Mglichkeiten. Einige
Mglichkeiten unter Nutzung der Windows AIK Tools wurden zuvor
im Abschnitt 1.3.1 ab Seite 75 vorgestellt.
Ausfhrliche Erluterungen zur Funktionsweise und zur Installation
von Antwortdateien sowie zu deren Bearbeitung mit dem Windows
System Image Manager finden Sie im Benutzerhandbuch zum Windows AIK.

85

Kapitel 1 Betriebssysteminstallation
Abbildung 1.29
Offline-Bearbeitung
von Images mit dem
Windows System
Image Manager

1.3.4

Aktivierung fr Unternehmenskunden
Volumenaktivierung

Windows Vista ist das erste Betriebssystem von Microsoft bei dem die Aktivierung nicht mehr umgangen werden kann. Auch Unternehmen mssen
das Betriebssystem daher aktivieren. Fr Windows XP und Office 2003 hat
Microsoft noch die Volume Activation 1.0 eingesetzt. Bei dieser Aktivierung erhielten Unternehmenskunden Seriennummern, die nicht extra aktiviert werden mussten. Bei der neuen Volume Activation 2.0, das mit Windows Vista und Windows Server 2008 verffentlicht wurde, gibt es diese
Mglichkeit nicht mehr. Alle Produkte, die unter die VA 2.0 fallen, mssen
immer aktiviert werden.
Das Systemverhalten von Windows Server 2008 und Windows Vista sowie
Windows Server 2008 R2 und Windows 7 bei der Aktivierung ist daher
grundstzlich gleich. Fr Letztere enthalten die Aktivierungstechnologien
jedoch einige Verbesserungen vor allem in Hinblick auf eine vereinfachte
Verwaltung. Fr Office 2007 gelten die genannten Einschrnkungen brigens nicht. Office 2007 fllt noch unter Volume Activation 1.0. Hier erhalten
Unternehmenskunden eine Seriennummer, die keine Aktivierung erfordert.
Grundlagen der
Volumenaktivierung

86

Wird Windows 7 installiert, generiert das System auf Basis der verwendeten Hardware eine eindeutige Identifizierungsnummer (ID), die zur Aktivierung verwendet wird. ndert sich Hardware im Computer, stimmt
die ID von Windows unter Umstnden nicht mehr mit der AktivierungsID berein, sodass erneut aktiviert werden muss. Dazu arbeitet Windows
mit einem Toleranzwert, der nicht unterschritten werden darf. Hierzu
wird jeder Komponente im Computer eine bestimmte Punktzahl und
damit Gewichtung zugeordnet. Wird eine Komponente ausgetauscht,

1
Bereitstellung von Windows 7 im Unternehmensnetzwerk

nhert sich das System dem Toleranzbereich, innerhalb dessen erneut


aktiviert werden muss. So muss zum Beispiel beim Wechseln der CPU,
des Mainboards oder der Festplatte oft neu aktiviert werden, allerdings
hngt das vom einzelnen System ab. Diese drei Komponenten sind am
hchsten gewichtet.
Diese Vorgehensweise gilt auch fr Volumenlizenzen. Mit Volumenlizenzschlsseln ist es mglich, eine bestimmte Anzahl an Computern
mit dem gleichen Schlssel zu installieren und anschlieend zu aktivieren. Solche Lizenzschlssel gibt es nur fr die Professional- und Enterprise-Editionen von Windows 7.
Um aber Unternehmen bei der erforderlichen Aktivierung ihrer Systeme zu
untersttzen, stellt Microsoft fr die Volumenaktivierung spezielle Technologien und Tools zur Verfgung. Hierzu zhlt u.a. das Volume Activation
Management Tool (VAMT), das die zentrale Verwaltung der Volumenlizenzen ber einen Key Management Service (KMS) oder ber Multiple Activation Keys (MAK) untersttzt. Der KMS-Dienst wird auf einem Computer
mit einem eigenen Schlssel aktiviert, der lediglich auf dem KMS-Host und
nicht auf jedem einzelnen Computer zu finden ist. Der MAK wird auf den
einzelnen Computern gespeichert, ist jedoch verschlsselt und wird in
einem vertrauenswrdigen Speicher aufbewahrt, sodass Benutzer diesen
Schlssel nie zu sehen bekommen und auch nicht nachtrglich auslesen
knnen. Als Schlssel verwendet Microsoft Cipher Block Chaining Message
Authentication Code (CBC-MAC) mit dem Advanced Encryption Standard
(AES) als grundlegende Verschlsselungstechnologie.
Bei der MAK-Aktivierung findet ein hnlicher Prozess statt wie bei MSDN- Multiple Actioder Action Pack-Versionen fr Microsoft-Partner. Jeder Produktschlssel vation Key (MAK)
kann fr eine vorgegebene Anzahl an Computern verwendet werden, die
dann auch aktiviert werden knnen. Die MAK-Aktivierung muss nur einmal durchgefhrt werden und erlaubt beliebige nderungen an der Hardware des Computers. Die MAK-Aktivierung kann ber das Internet oder
telefonisch durchgefhrt werden. Vor allem bei mobilen Computern, die
sich nicht stndig mit dem Netzwerk verbinden, ist die MAK-Aktivierung
der bessere Weg, da keine stndige Verbindung zum KMS-Server bentigt
wird und nur einmal aktiviert werden muss. Bei der Aktivierung ber
KMS mssen sich die Clients alle 180 Tage erneut mit dem Server verbinden knnen, der den KMS-Dienst zur Verfgung stellt. Wie viele Clients
mit einem MAK aktiviert werden knnen, hngt vom individuellen Vertrag ab, den Ihr Unternehmen mit Microsoft geschlossen hat.
Es gibt zwei verschiedene Varianten der MAK-Aktivierung:
MAK Proxy Activation: Bei dieser Variante knnen mehrere Computer
durch eine Verbindung bei Microsoft aktiviert werden. Microsoft stellt
dazu das Volume Activation Management Tool (VAMT) zur Verfgung.
Mit dem Tool ist eine grafische Oberflche zur Verwaltung des Volumenaktivierungsprozesses der Produktschlssel verfgbar.
MAK Independent Activation: Bei dieser Variante muss jeder Computer
durch eine eigene Verbindung bei Microsoft aktiviert werden.

87

Kapitel 1 Betriebssysteminstallation
Abbildung 1.30
Das Volume Activation Management
Tool ist Bestandteil
von Windows AIK
fr Windows 7.

Key Management
Service (KMS)
Activation

Bei der KMS-Variante knnen Sie die Aktivierung der eingesetzten Windows Vista-, Windows 7- oder Windows Server 2008-Computer ber einen
lokalen Server durchfhren, eine Verbindung zu Microsoft ist nicht notwendig. Dazu muss auf allen zu aktivierenden Computern der Key
Management Service (KMS) installiert werden. Zur Aktivierung versuchen
die KMS-Client, alle zwei Stunden eine Verbindung zum KMS-Host aufzubauen, und mssen diesen innerhalb von 30 Tagen erreichen knnen.
Anschlieend wird dieser KMS-Host in den Cache des Clients geschrieben.
Bei der nchsten Aktivierung wird dann versucht, direkt diesen KMS-Host
zu verwenden. Wenn ein KMS-Host nicht antwortet, versucht ein Client
automatisch, andere KMS-Hosts zu erreichen. Computer, die durch KMSAktivierung aktiviert worden sind, mssen alle 180 Tage die Aktivierung
am KMS-Host erneuern. Eine weitere Mglichkeit ist die manuelle Verbindung der Clients zum KMS-Host mit Direct Connection.
Windows 7 Professional und Windows 7 Enterprise sind bereits standardmig auf eine Aktivierung per KMS ausgelegt, ohne dass eine Benutzereingabe erfolgen muss. Die Computer versuchen, sich in einem Active
Directory per SRV-Record mit einem KMS-Host zu verbinden und sich
selbststndig zu aktivieren.

1.3.5
Microsoft
Patch Day

Bereitstellung von Updates und


Service Packs

Das Einspielen von Service Packs und Sicherheitsupdates ist heute fester
Bestandteil der Systemwartung. Seit 2003 verffentlicht Microsoft jeweils
an einem festen Tag im Monat, dem Patch Day, neue Updates und Sicherheitspatches.
Um den Aufwand fr das Update-Management mglichst gering zu halten,
haben alle aktuellen Windows-Systeme die Funktion WINDOWS UPDATE
integriert, mit deren Hilfe das Betriebssystem permanent automatisiert oder
manuell auf dem aktuellen Stand gehalten werden kann. Microsoft stellt
dazu wichtige Updates mit Erweiterungen, wie Aktualisierungen und Tools,

88

1
Bereitstellung von Windows 7 im Unternehmensnetzwerk

die zur reibungsloseren Funktion des Computers beitragen knnen, sowie


Sicherheitsupdates zur Verfgung. Windows Update berprft den Computer und stellt eine Auswahl von auf die Soft- und Hardware des Computers
bezogenen Updates bereit. Diese Funktion ist bereits seit Windows 2000 Service Pack 3 Bestandteil, wurde jedoch laufend erweitert und verbessert.
Bereits mit Windows Vista sind nochmals einige Verbesserungen hinzugekommen. Hierzu zhlen die Reduzierung von Neustarts, eine effiziente Nutzung der verfgbaren Bandbreite sowie die Mglichkeit, den Verlauf der
Update-Installation zu berprfen. Auerdem wird der Windows Update
Agent (WUA) als eigenstndige Anwendung verwaltet.
Updates knnen entweder direkt bei Microsoft oder von einem internen Mglichkeiten
Update-Server heruntergeladen werden. Windows Update verwendet in der UpdateBereitstellung
beiden Fllen die gleiche Benutzeroberflche.
In Unternehmensnetzwerken beziehen die einzelnen Rechner ihre Updates
meist von einem lokalen Update-Server. Microsoft liefert mit dem Windows
Software Update Service (WSUS) hierzu eine eigene Zusatzlsung. Mit der
aktuellen Version WSUS Service Pack 2 werden auch Windows 7-Clients
untersttzt. Der Vorteil dabei ist, dass die Pakete nur einmal von dem Microsoft-Update-Server geladen werden mssen; das spart Bandbreite. Zudem
kann der Administrator die Patches evaluieren und hat die Kontrolle, wann
und ob ein Update installiert wird.

Updates lokal verwalten


Windows Update ist unter Windows 7 eine eigenstndige Anwendung, die Updates manuell
unter Systemsteuerung/System und Wartung/Windows Updates oder im Start- herunterladen
men unter Alle Programme zu finden ist.
Abbildung 1.31
Dialogfeld zur
Verwaltung von
Windows-Updates

89

Kapitel 1 Betriebssysteminstallation
Updates manuell
herunterladen

Mithilfe der Option Nach Updates suchen kann das Herunterladen von
Updates an dieser Stelle jederzeit manuell gestartet werden. Werden
Updates gefunden, wird dies gemeldet, und die Updates knnen entweder direkt installiert oder zunchst angezeigt und einzeln ausgewhlt
werden.
Aus Sicherheitsgrnden ist aber zu empfehlen Windows Update fr den
automatischen Bezug von Updates zu konfigurieren. Ist Windows Update
nicht aktiv, meldet das Wartungscenter eine Sicherheitslcke im Bereich
Sicherheit und zeigt zustzlich im Infobereich der Taskleiste ein rot markiertes Fhnchen an.

Automatische
Updates konfigurieren

Wird die Funktion aktiviert, berprft Windows 7, ob neue Updates vorliegen, ldt diese herunter und installiert diese automatisch nach einem festlegbaren Zeitplan. Ist ein vollautomatischer Update-Service nicht gewnscht,
kann die Funktion so konfiguriert werden, dass nur eine Benachrichtigung
erfolgt, sobald neue Updates zur Verfgung stehen, und diese dann manuell
oder zum gewnschten Zeitpunkt installiert werden. Hierzu ist die Option
Einstellungen ndern in dem in Abbildung 1.32 gezeigten Dialogfeld zu verwenden.

Abbildung 1.32
Windows 7 fr den
automatischen
Bezug von Updates
konfigurieren

An erster Stelle steht hier die von Microsoft empfohlene Option Updates
automatisch installieren (empfohlen). Hierbei werden bei vorhandener Internetverbindung die Updates automatisch installiert. Wenn der Computer
whrend eines geplanten Updates ausgeschaltet ist, installiert Windows
die Updates beim nchsten Starten des Computers. Hierbei ist jedoch zu
beachten, dass die vollautomatische Update-Funktion nicht nur Sicher-

90

1
Bereitstellung von Windows 7 im Unternehmensnetzwerk

heitsupdates, sondern auch kritische Treiberupdates durchfhrt. Dies


kann Probleme verursachen, wenn herstellereigene Treiber eingesetzt
werden, da diese gegebenenfalls bei einem Update durch die Microsofteigenen Standardtreiber ersetzt werden.
Es kann daher sinnvoll sein, die Option Updates herunterladen, aber Installation manuell ausfhren zu verwenden. Hierbei werden verfgbare Updates
automatisch heruntergeladen, aber nicht installiert. Die zu installierenden
Updates knnen hierbei ausgewhlt werden. Es kann auerdem festgelegt
werden, dass die Updates erst zu einem angegebenen Zeitpunkt installiert
werden.
Die genannten Einstellungen beziehen sich standardmig ausschlielich Zu installierende
auf die sogenannten wichtigen, d.h. verbindlichen Updates. Zustzlich Updates anzeigen
kann festgelegt werden, wie mit optionalen Updates (empfohlene Updates)
zu verfahren ist. Werden diese nicht automatisch installiert, sollte regelmig die Liste der zu installierenden Updates berprft werden.
Abbildung 1.33
Die Liste der zu
installierenden
Updates ermglicht
die gezielte Auswahl
bentigter Updates.

Wird Windows 7 Ultimate Edition oder Enterprise Edition eingesetzt,


enthlt die Liste der optionalen Updates auch die verfgbaren Sprachpakete. Gewnschte Sprachpakete knnen damit installiert werden.
Nhere Informationen zum Einsatz von Sprachpaketen finden Sie in
Abschnitt 1.3.3 ab Seite 82.
Hilfreich ist die Option Updateverlauf anzeigen, mit der unter Windows 7
die korrekte Installation von Updates berprft werden kann.

91

Kapitel 1 Betriebssysteminstallation
Abbildung 1.34
Die erfolgreiche
Installation von
Updates kann im
Updateverlauf berprft werden.

Updates zentral bereitstellen


Zumindest in groen Unternehmensnetzwerken ist die Einrichtung einer
zentral administrierbaren Patchverwaltung unumgnglich. Microsoft stellt
mit Microsoft Windows Server Update Services (WSUS) kostenlos ein Patchund Update-Verwaltungsprogramm als zustzliche Komponente fr Microsoft Windows Server zur Verfgung, mit der Administratoren WindowsUpdates im eigenen LAN bereitstellen, verwalten und verteilen knnen.
Zustzlich knnen damit die Sicherheitseinstellungen aller Computer im
Netzwerk analysiert und entsprechende Auswertungen erstellt werden.
Hierzu stellt WSUS eine Verwaltungsinfrastruktur bereit, die aus den folgenden drei Elementen besteht:
Microsoft Update Website: Die Microsoft-Website, mit der die WSUSServer zum Herunterladen von Updates fr Microsoft-Produkte eine
Verbindung herstellen.
Windows Server Update Services-Server: Beschreibt die Serverkomponente, die auf einem Computer installiert ist. Der WSUS-Server stellt
die Funktionen bereit, die zum Verwalten und Verteilen von Updates
ber ein webbasiertes Tool bentigt werden. Darber hinaus kann ein
WSUS-Server als Update-Quelle fr andere WSUS-Server dienen. In
einer WSUS-Infrastruktur muss mindestens ein WSUS-Server im
Netzwerk eine Verbindung mit Microsoft Update herstellen, um verfgbare Updates abzurufen.
WSUS-Clients: Rechner, die mithilfe der Windows Update-Funktion
Updates von einem WSUS-Server herunterladen. Bei WSUS-Clients
kann es sich sowohl um Server als auch Clientcomputer handeln.
Um die Verteilung bernehmen zu knnen, muss WSUS auf einem zentral verfgbaren Server installiert werden. Der WSUS-Server prft vor
der Installation eines Updates, ob es fr den Zielrechner geeignet ist. Zur
Speicherung seiner Konfigurationsdaten und der Rckmeldungen der
WSUS-Clients ber installierte Updates verwendet WSUS eine SQLDatenbank. In kleineren Organisationen kann auch die mit WSUS ausgelieferte Datenbank eingesetzt werden. Zustzliche Informationen finden
Sie auf der WSUS-Infoseite unter dem folgenden Link: [WSUS]

92

1
Bereitstellung von Windows 7 im Unternehmensnetzwerk

Die aktuelle Version WSUS 3.0 (Stand 10/2009) mit Service Pack 2 bietet
auch Untersttzung fr Windows 7 und Windows Server 2008 R2.
Abbildung 1.35
WSUS 3.0 bietet
umfangreiche Funktionen zur Konfiguration des WSUSServers.

93

Hardwareinstallation

Ein Gert ist ein Stck Hardware, mit dem Windows interagiert, um eine
Funktion des Gertes bereitzustellen. Hierbei kann Windows nur ber
die Gertetreibersoftware mit der Hardware kommunizieren.
Zur Installation eines Gertetreibers fhrt das System eine Erkennung des
Gertes durch, ermittelt den Gertetyp und sucht dann einen passenden
Gertetreiber. Seit der Einfhrung von Plug&Play-fhiger Hardware stellt
die Installation neuer Gerte kaum noch eine Herausforderung dar vorausgesetzt man verfgt ber den passenden Treiber und die erforderlichen
Berechtigungen.
Was bei Windows 7 in Bezug auf die Installation und die Verwaltung von
Treibern dennoch zu beachten ist und wie mglichen Problemen mit Treibern begegnet werden kann, ist Gegenstand dieses Kapitels. Dabei werden
die Installation und Verwaltung von Gerten zuerst aus Anwendersicht
betrachtet, was auch die DeviceStage-Funktionen und die integrierten Funktionen zur Behandlung von Problemen einschliet. Darber hinaus werden
die Mglichkeiten zur Bereitstellung von Treibern im Unternehmensnetzwerk und zur Steuerung von Installationsberechtigungen aufgezeigt.

2.1

Hardware installieren

Windows untersttzt die Plug&Play-Spezifikation, durch die definiert


wird, auf welche Weise ein Computer neue Hardware erkennen bzw. konfigurieren und den Gertetreiber automatisch installieren kann. Whrend
der Installation fhrt Windows 7 eine Hardwareerkennung durch. Hat
man, was zu empfehlen ist, im Vorfeld der Installation die Kompatibilitt
der Hardware berprft und sichergestellt, werden die Gerte erkannt und
automatisch in das System eingebunden. Dies gilt grundstzlich auch fr
die nachtrgliche Installation von Hardware.

95

Kapitel 2 Hardwareinstallation

Dennoch ist es wichtig zu wissen, wie der Installationsprozess abluft (auch


um im Fehlerfall gezielt eingreifen zu knnen) und welche Steuerungsmglichkeiten bestehen.

2.1.1

Automatische Gerteinstallation

Alle Gerte, die den Plug&Play-Standard untersttzen, knnen automatisch installiert werden. Einige Besonderheiten sind bei Hot-Plug-fhigen
Gerten zu beachten.

Plug&Play-fhige Gerte installieren


Heutige Hardwarekomponenten untersttzen in der Regel vollstndig den
Plug&Play-Standard und geben ber sich selbst Auskunft, sodass sie ohne
Benutzereingriff in das Betriebssystem eingebunden werden knnen.
ACPI-Untersttzung

Auch die Konfiguration der Energieversorgung erfolgt bei Plug&Play-Gerten automatisch. Das Betriebssystem ermittelt, welche Programme aktiv
sind, und verwaltet den gesamten Energiebedarf fr die Teilsysteme und die
Peripheriegerte des Computers. Voraussetzung hierfr ist ein ACPI(Advanced Configuration and Power Interface-)fhiges System. ACPI ist ein
offener Industriestandard, der eine flexible und erweiterbare Hardwareschnittstelle definiert. Hierzu gehren beispielsweise intelligente Stromsparfunktionen. Bei ACPI wird das gesamte Powermanagement vom Betriebssystem bernommen, was allerdings voraussetzt, dass die fr die einzelnen
Gerte eingesetzten Treiber ebenfalls diesem Standard entsprechen.

RessourcenManagement

Ein weiterer Vorteil der Plug&Play-Technologie besteht in der automatischen Verwaltung der Ressourcen. Jedes installierte Gert bentigt eine
Reihe Systemressourcen, damit es ordnungsgem funktionieren kann.
Zu den Systemressourcen zhlen u.a.:
Hardware-Interrupts (IRQs Interrupt Request Line)
Eingabe-/Ausgabeadressen
DMA-Kanle
Einige Hauptspeicherbereiche
Die Systemressourcen gestatten es den Hardwarekomponenten, auf die
CPU- und Speicherressourcen zuzugreifen, ohne miteinander in Konflikt zu
geraten. Da diese Ressourcen immer begrenzt sind, muss bei der Installation
der Komponenten ber die Verteilung der jeweils vorhandenen Ressourcen
entschieden werden. Einige dieser Ressourcen knnen auch gemeinsam
genutzt werden.
Das Plug&Play-Ressourcen-Management setzt voraus, dass die von den
Komponenten verwendeten Gertetreiber nicht von selbst bestimmte
Systemressourcen beschlagnahmen (dies ist bei allen Gerten, die den
Plug&Play-Standard erfllen, der Fall), sondern nur ihren Bedarf an Ressourcen beim System anmelden, entweder bei der Installation, beim
Hochfahren des Systems oder beim Anschluss eines Gerts im laufenden
Betrieb. Das System erfhrt so, welche Ressourcen bentigt werden bzw.
welche schon vergeben und welche noch frei sind, und teilt die Ressourcen automatisch so zu, dass alle Gerte ohne Konflikte arbeiten knnen.

96

Hardware installieren

Grundstzlich umfasst die Gerteinstallation unter Windows 7 die fol- Installationsablauf


genden Schritte:
1. Wird ein neues Gert angeschlossen, erkennt Windows dies und bermittelt dem Plug&Play-Dienst ein Signal.
2. Der Plug&Play-Dienst identifiziert das Gert.
3. Anschlieend durchsucht der Plug&Play-Dienst den Treiberspeicher
(engl. Driver Store) nach einem passenden Treiberpaket fr das Gert.
Hierbei handelt es sich um einen sicheren Bereich, in dem Windows
die Treiberinstallationspakete bis zur Installation speichert. Alle Treiberpakete werden zwingend im Treiberspeicher bereitgestellt. Wird
dort kein geeigneter Treiber gefunden, werden weitere Speicherorte
durchsucht. Anderenfalls wird der Vorgang mit Schritt 5 fortgesetzt.
4. Der Plug&Play-Dienst durchsucht zunchst die in der Registrierungseinstellung DevicePath angegebenen Ordner. Wird dort kein geeigneter
Treiber gefunden, wird die Windows Update-Website in die Suche einbezogen. Steht auch dort kein Treiber zur Verfgung, wird der Benutzer
aufgefordert, einen Datentrger mit dem Treiber einzulegen bzw. ein
Medium anzugeben.
Anschlieend berprft Windows, ob der Benutzer berechtigt ist, das
Treiberpaket im Treiberspeicher abzulegen. Der Benutzer muss dazu
ber Administratorrechte verfgen, oder die entsprechende Computerrichtlinie muss so konfiguriert sein, dass der Benutzer zum Installieren dieses Gertes berechtigt ist.
Weiterhin berprft Windows, ob das Treiberpaket eine gltige digitale
Signatur besitzt. Ist das Zertifikat zwar gltig, jedoch nicht im Zertifikatspeicher Vertrauenswrdige Herausgeber enthalten, wird der Benutzer
zur Besttigung aufgefordert.
Danach speichert Windows eine Kopie des Treiberpakets im Treiberspeicher.
5. Der Plug&Play-Dienst konfiguriert anschlieend die Registrierung, um
Windows anzuweisen, wie die neu installierten Treiber zu verwenden
sind, und kopiert die Treiberdateien aus dem Treiberspeicher in die entsprechenden Verzeichnisse des Betriebssystems. Dies ist standardmig das Verzeichnis %systemroot%\windows32\drivers.
6. Im letzten Schritt werden die neu installierten Treiber gestartet. Dieser
Vorgang wird bei jedem Computerneustart wiederholt, um die Treiber
erneut zu laden.

Wenn die Gertetreibersoftware von Windows 7 automatisch installiert


werden kann, wird nach dem Abschluss der Installation ein Hinweis in der
Taskleiste angezeigt, dass sich das entsprechende Gert verwenden lsst.
Wurde eine der beschriebenen Sicherheitsberprfungen nicht erfolgreich
abgeschlossen oder konnte kein geeigneter Gertetreiber gefunden werden, wird der Vorgang beendet.
Auerdem muss der Treiber eine gltige digitale Signatur besitzen und
im Zertifikatspeicher Vertrauenswrdige Herausgeber enthalten sein.

97

Kapitel 2 Hardwareinstallation

Mithilfe einer Gruppenrichtlinie kann die Meldung unterdrckt werden,


sodass der Anwender von der Installation nichts bemerkt. Auch die
Dauer der Treiberinstallation kann dort begrenzt werden. Standardmig
bricht Windows eine Gerteinstallation erst ab, wenn sie innerhalb von
fnf Minuten nicht abgeschlossen werden konnte. Die entsprechenden
Richtlinien finden Sie im Gruppenrichtlinieneditor im Ordner: Computerkonfiguration/Administrative Vorlagen/System/Gerteinstallation.
Der lokale Gruppenrichtlinieneditor kann durch Eingabe von gpedit.msc
im Suchfeld des Startmens geffnet werden.
Die im obigen Schritt 4 beschriebenen Vorgnge werden als Bereitstellung
bezeichnet. Die Bereitstellung von Treiberpaketen kann auch separat erfolgen. Damit haben Administratoren die Mglichkeit, Gertetreiberpakete fr
Benutzer bereitzustellen, die diese dann ohne zustzliche Berechtigungen
installieren knnen. Beachten Sie hierzu auch den Abschnitt 2.4 ab Seite 126.
Der Installationsvorgang kann nur dann erfolgreich abgeschlossen werden, wenn mindestens einer der folgenden Punkte zutrifft:
Das Gert wird von einem Treiberpaket untersttzt, das in Windows
enthalten ist. In Windows enthaltene Treiberpakete knnen von Standardbenutzern installiert werden.
Der Administrator hat das Treiberpaket im Treiberspeicher bereitgestellt. Im Treiberspeicher enthaltene Treiberpakete knnen von Standardbenutzern installiert werden.
Der Benutzer besitzt ein Medium mit dem entsprechenden Treiberpaket, das vom Hersteller bereitgestellt wurde (beachten Sie hierzu
auch die Hinweise in Abschnitt 2.3 ab Seite 115), und ist berechtigt, das
entsprechende Gert zu installieren.
Auerdem muss der Treiber eine gltige digitale Signatur besitzen und
im Zertifikatspeicher Vertrauenswrdige Herausgeber enthalten sein.
Bei manchen Gerten ist es erforderlich, die Treibersoftware vor dem
Anschlieen des Gertes zu installieren. Hierzu sollten Sie die Hinweise
des Herstellers beachten.
Unbekanntes
Gert beim
Systemstart
gefunden
Abbildung 2.1
Dialogfeld bei
Erkennung neuer
unbekannter
Hardware

98

Findet Windows 7 beispielsweise beim Hochfahren neue Hardware, kann


diese aber nicht erkennen, oder findet beim Anschluss eines neuen Gertes keinen Treiber, erscheint eine Mitteilung, dass das Gert nicht installiert
werden konnte.

Hardware installieren

Wie im einem solchen Fall zu verfahren ist und wie Sie am besten mit
Treiberproblemen umgehen, erfahren Sie in Abschnitt 2.3 ab Seite 115.

Einsatz von Hot-Plug-Gerten


Abhngig u.a. vom verwendeten Bustyp knnen Plug&Play-Gerte im laufenden System installiert bzw. aus diesem entfernt werden (Hot-Plug).
Hierzu zhlen beispielsweise USB- und Firewire-(IEEE 1394-)Gerte. Das
Betriebssystem erkennt das Einstecken bzw. Entfernen derartiger Hardwaregerte automatisch und verwaltet die System- und/oder Hardwarekonfiguration entsprechend. Gerte, die den Hot-Plug-Modus nicht untersttzen,
wie beispielsweise PCI-Karten, mssen beim Systemstart eingebaut bzw.
angeschlossen und eingeschaltet sein, um automatisch erkannt zu werden.
Bezglich des Umgangs mit Speichergerten (externe USB-Flashlauf- Hot-Plug-Gerte
werke, Firewire-Festplatten, USB-Memorysticks u.a.) ist hierbei Folgen- sicher entfernen
des zu beachten. Mglicherweise erscheint beim Anschlieen eines Gertes das nachfolgend gezeigte Dialogfeld.
Wird hier die Option berprfen und reparieren (empfohlen) ausgewhlt,
bietet Windows 7 anschlieend die Mglichkeit, eine Datentrgerprfung
zu starten.
Abbildung 2.2
Fehlermeldung beim
Anschlieen eines
USB-Gerts

Das Problem kann auftreten, wenn das Speichergert entfernt wurde, bevor Problembereich
alle Informationen auf dem Gert korrekt gespeichert werden konnten. Um Schreibcache
das zu vermeiden, sollte ein Gert, sofern dieses ber eine Aktivittsanzeige
verfgt, erst ein paar Sekunden nach Erlschen der Aktivittsanzeige entfernt werden. Noch sicherer ist es, die Funktion Hardware sicher entfernen zu
verwenden, die im Infobereich der Taskleiste zu finden ist. Hierbei wird das
System darber informiert, dass ein Gert entfernt werden soll. Dieses veranlasst u.a. die Datenbertragung, das Gert anzuhalten und den Schreibcache zu leeren bzw. zu speichern. Pltzliches Entfernen ist besonders fr
Speichergerte gefhrlich, fr die zur Steigerung der Schreib-Performance
der Schreibcache aktiviert ist, denn wenn derartige Gerte pltzlich entfernt
werden, kann es zu Datenverlusten oder -beschdigungen kommen.

99

Kapitel 2 Hardwareinstallation

Ob der Schreibcache fr ein Gert aktiviert ist, kann in den Eigenschaften


des betreffenden Gertes im Gerte-Manager ermittelt werden.
Eine schnelle Mglichkeit, Anwendungen zu starten, bietet das Suchfeld des Startmens. Im Falle des Gerte-Managers gengt bereits die
Eingabe der Buchstaben Gerte, um alle Anwendungen zur Verwaltung
von Gerten aufgelistet zu erhalten.
Um die gewhlten Einstellungen des Schreibcaches fr das Gert anzuzeigen und gegebenenfalls zu ndern, ist im Gerte-Manager die Eigenschaftenseite und anschlieend die Registerkarte Richtlinien zu whlen. Falls
diese Registerkarte nicht angezeigt wird, steht die Option fr das ausgewhlte Gert nicht zur Verfgung.
Abbildung 2.3
Deaktivierung des
Schreibcaches bei
einem Hot-Plugfhigen Gert

Standardeinstellungen

Standardmig verwendet Windows 7 die folgenden Einstellungen hinsichtlich der Aktivierung des Schreibcaches fr Speichergerte:
Der Schreibcache wird standardmig fr externe Hochleistungsspeichergerte (wie IEEE 1394-Festplatten und SCSI-Festplatten) und darber hinaus fr computerinterne Speichergerte, die bautechnisch nicht
pltzlich entfernt werden knnen, aktiviert.
Bei als extern erkannten Speichergerten, wie beispielsweise USB-Flashspeichergerten oder Festplatten am USB-Anschluss, wird der Schreibcache standardmig deaktiviert, indem die Funktion Schnelles Entfernen
aktiviert wird. Damit knnen solche Gerte grundstzlich whrend des
laufenden Betriebes ohne weitere Vorbereitungen entfernt werden.
Auch wenn ein Gert fr das schnelle Entfernen aus dem System optimiert
ist, empfiehlt es sich zu berprfen, ob im Infobereich das Symbol fr Hardware sicher entfernen angezeigt wird, und diese Funktion dann trotzdem zu
verwenden.

Automatische
Wiedergabe

100

Welche Aktionen Windows nach dem Anschluss eines solchen Gertes startet, ist u.a. abhngig von den Einstellungen der automatischen Wiedergabe.

Hardware installieren

Die Automatische Wiedergabe ist eine Funktion von Windows, die eine Festlegung ermglicht, welche Programme verwendet werden sollen, um verschiedene Arten von Medien zu starten, beispielsweise Musik-CDs oder
CDs und DVDs mit Fotos und welche Aktionen bei Anschluss von Gerten
durchgefhrt werden sollen. Sind auf dem Computer mehrere Medienwiedergabeprogramme installiert, kann der Computer so eingerichtet werden,
dass eine CD oder DVD beim Einlegen automatisch mit dem gewnschten
Programm abgespielt wird.

Die Funktion erinnert damit an die auch in lteren Windows-Versionen


verfgbare Funktion Autorun, unterscheidet sich von dieser aber durch
die umfangreichen Konfigurationsmglichkeiten.
Abbildung 2.4
Ausschnitt aus dem
Dialogfeld zur
Konfiguration der
Einstellungen fr
die automatische
Wiedergabe beim
Anschluss von
Medien und Gerten

2.1.2

Gerte manuell installieren

Nicht Plug&Play-fhige Gerte sind zwar selten geworden, aber durchaus noch im Einsatz. Hierzu gehren beispielsweise Gerte, die an der
seriellen Schnittstelle angeschlossen werden, sowie manche Drucker. Bei
diesen Gerten sind zwingend Benutzereingriffe erforderlich. Aber auch
bei Plug&Play-fhigen Gerten kann eine manuelle Installation erforderlich werden, beispielsweise wenn ein Gert, das erst spter angeschlossen
wird, installiert werden soll.

Neue Gerte installieren im Bereich Gerte und Drucker


Wie bereits zuvor beschrieben, gibt es auch unter Windows 7 noch den vertrauten Gerte-Manager, doch rckt dieser mit der neu in Windows 7 eingefhrten Funktion Gerte und Drucker zumindest fr die Anwender in den
Hintergrund. Hier knnen alle zustzlich angeschlossenen Hardware und
mobilen Gerte an einer zentralen Stelle verwaltet werden. Die DeviceStage-Funktion kann zudem fr jedes der angeschlossenen Gerte die entsprechenden Treiber und Updates automatisch herunterladen und aktualisieren. Mssen bei den Vorgngerversionen beispielsweise zur Verwaltung

101

Kapitel 2 Hardwareinstallation

von Druckern, Scannern, Handys oder MP3-Playern noch unterschiedliche


Funktionen und Fenster geffnet werden, zeigt Windows 7 alle Gerte, die
an den Computer angeschlossen sind, nun in einem einzigen Fenster.
Zu finden ist die Funktion Gerte und Drucker unterhalb von Hardware und
Sound in der Systemsteuerung. Hier knnen zentral die Eigenschaften der
Hardware konfiguriert, Problemgerte behandelt, aber auch Gerte einschlielich Drucker hinzugefgt werden. Die Option Gert hinzufgen startet die automatische Suche nach neuen Gerten, die Option Drucker hinzufgen ermglicht die Installation eines neuen Druckers.
Abbildung 2.5
Zentrale Verwaltung aller Peripheriegerte im Bereich
Gerte und Drucker

Installation mit dem Hardware-Assistenten


Den vertrauten Hardware-Assistenten von Windows XP sucht man im Ordner Gerte und Drucker jedoch vergeblich. Dieser versteckt sich im GerteManager und kann hier mithilfe der Option Lecacyhardware hinzufgen im
Men Aktion aufgerufen werden. Mithilfe des Assistenten kann Treibersoftware fr (ltere) Gerte installiert werden, die nicht automatisch erkannt
werden.
Eine schnelle Mglichkeit, den Gerte-Manager zu starten, bietet das
Suchfeld des Startmens. Hier gengt bereits die Eingabe der Buchstaben Gerte, um alle Anwendungen zur Verwaltung von Gerten aufgelistet zu erhalten.

102

Hardware installieren

Der Hardware-Assistent kann sowohl verwendet werden, um neue Hardware zu installieren, als auch um Probleme mit bestehender Hardware
anzugehen. Das Entfernen von Gerten oder Treibern ist jedoch mit dem
Hardware-Assistenten nicht mglich. Wie bei den Vorgngerversionen von
Windows 7 mssen Gerte manuell im Gerte-Manager entfernt werden.

Die Installation neuer Hardware mithilfe des Assistenten umfasst die folgenden Schritte:
1. Schlieen Sie das Gert an den Computer an, schalten Sie es ein, und Vorgehensweise
starten Sie den Hardware-Assistenten.
2. Im ersten Schritt ist anzugeben, ob Windows automatisch nach zu
installierender Hardware suchen soll oder ob Sie das Gert selbst aus
einer Liste auswhlen wollen. Anders als bei der automatischen Erkennung Plug&Play-fhiger Gerte berprft Windows bei dieser Aktion
auch solche Anschlsse, an die keine Plug&Play-Gerte angeschlossen
werden knnen. Hufig ist es sinnvoll, zuerst Windows suchen zu lassen und gegebenenfalls spter manuell den Treiber zu whlen.
3. Findet das System kein neues Gert, bietet das System an, das Gert
manuell auszuwhlen. Whlen Sie zuerst den Gertetyp aus, wird
anschlieend eine Liste aller in der Treiberdatenbank gefundenen Treiber, sortiert nach Hersteller, angezeigt. Wenn Sie dagegen einen passenden Treiber vom Hersteller beispielsweise auf CD-ROM haben, benutzen Sie hier die Schaltflche Datentrger.
4. Ist die Auswahl besttigt, versucht Windows 7, die passenden Treiber
zu installieren und das Gert so in die gegebene Konfiguration einzufgen, dass keine Gertekonflikte auftreten. In einigen Fllen ist ein
Neustart des Systems erforderlich.
Abbildung 2.6
Manuelle Auswahl
eines Treibers im
Hardware-Assistenten

Mit dem beschriebenen Verfahren knnen auch Treiber fr Gerte installiert werden, die noch nicht angeschlossen sind.

103

Kapitel 2 Hardwareinstallation

Treiberdateien eines Herstellers installieren


Liefert ein Hersteller mit seinem Gertetreiber ein Installationsprogramm,
empfiehlt es sich, dieses zu verwenden. Hierbei sollte den jeweiligen
Anweisungen des Herstellers gefolgt werden.
INF-Datei
installieren

Befindet sich auf der Treiber-CD-ROM des Herstellers eine INF-Datei, kann
die Installation auch direkt mithilfe dieser Datei gestartet werden. Hierzu ist
die Option Installieren zu verwenden, die im Kontextmen einer jeden INFDatei zu finden ist. Diese Installationsmethode wird unter Windows 7 jedoch
nicht von allen INF-Dateien untersttzt.
Eine schnelle Mglichkeit, den Gerte-Manager zu starten, bietet das
Suchfeld des Startmens. Hier gengt bereits die Eingabe der Buchstaben
Gerte, um alle Anwendungen zur Verwaltung von Gerten aufgelistet zu
erhalten.

Abbildung 2.7
Installation eines
Treibers aus dem
Kontextmen der
INF-Datei heraus
starten

2.2

Gerte verwalten

Wie im vorherigen Abschnitt ausgefhrt, ist bei Windows 7 die Funktion


Gerte und Drucker die zentrale Benutzerschnittstelle zur Verwaltung
zustzlich installierter Gerte. Aber auch der Gerte-Manager spielt nach
wie vor eine wichtige Rolle, vor allem zur Behebung von Problemen mit
Gerten. Beide Schnittstellen erlutert dieser Abschnitt.

2.2.1

Gerteverwaltung mit der Funktion


Gerte und Drucker

Mit Gerte und Drucker hat Microsoft eine neue Funktion in Windows 7 eingefhrt. Mithilfe dieser Funktion knnen Anwender alle extern anzuschlieenden Gerte zentral verwalten. Dabei werden dank der DeviceStage-

104

Gerte verwalten

Funktion alle genau zu dem Gert passenden Funktionen aufgelistet. Dies


kann bei einem Handy der Ladezustand des Akkus und die Information darber sein, wie viele Bilder oder MP3-Dateien auf dem Gert abgelegt sind.

Im Ordner Gerte und Drucker knnen die folgenden Gerte verwaltet werden:
Der Computer selbst
Mobile Gerte, die gelegentlich mit dem Computer verbunden werden
wie beispielsweise Mobiltelefone, tragbare Musikwiedergabegerte
und Digitalkameras.
Alle USB-Gerte, wie beispielsweise externe USB-Festplattenlaufwerke, Flashlaufwerke, Webcams, Tastaturen und Muse.
Alle mit dem Computer verbundenen Drucker, unabhngig davon, ob
diese mit einem USB-Kabel, ber das Netzwerk oder drahtlos angebunden sind.
Mit dem Computer verbundene Drahtlosgerte, beispielsweise Bluetooth-Gerte und Drahtlos-USB-Gerte.
Mit dem Computer verbundene Gerte im Netzwerk, wie beispielsweise netzwerkfhige Scanner oder NAS-Gerte (Network Attached
Storage).

Gerte verwalten
Die neue Gerteansicht bildet, sofern verfgbar, alle Gerte mit einem
fotorealistischen Symbol ab, sodass das zu verwaltende Gert auf einen
Blick erkannt werden kann. Alle aufgelisteten Gerte stellen in ihrem
Kontextmen entsprechende Optionen zur Verwaltung bereit. Zustzlich
werden in der Symbolleiste fr das gewhlte Gerte verfgbare Funktionen bereitgestellt.
Abbildung 2.8
Funktionen zur
Verwaltung eines
ausgewhlten
Gertes

105

Kapitel 2 Hardwareinstallation

Die Funktionen des DeviceStage dienen dazu, Anwendern einen einfachen Zugriff auf angeschlossene Gerte zu ermglichen. Hierfr sind
keine administrativen Rechte erforderlich. Administrative Aufgaben,
wie beispielsweise die Installation eines neuen Treibers, die Administratorrechte erfordert, stehen deshalb hier nicht zur Verfgung. Hierfr ist
der Gerte-Manager zu verwenden.
Sind fr ein Gert DeviceStage-Informationen verfgbar, gengt ein Doppelklick, um eine mageschneiderte Bedienoberflche fr dieses Gert zu
ffnen.
Abbildung 2.9
DeviceStage-Funktionen ermglichen
den Zugriff auf alle
wichtigen Funktionen eines Gertes.

Ob fr ein Gert DeviceStage-Informationen vorhanden sind oder nicht,


zeigt ein Blick in das Kontextmen. Befindet sich im Kontextmen der
Befehl ffnen, kann damit die DeviceStage-Ansicht des Gerts geffnet werden. Fehlt der ffnen-Befehl, gibt es fr dieses Gert (noch) keine DeviceStage-Ansicht.
Bei mobilen Gerten mit DeviceStage-Untersttzung stehen gegebenenfalls zudem erweiterte, gertespezifische Funktionen zur Verfgung (beispielsweise Synchronisieren mit einem Mobiltelefon oder ndern von
Klingeltnen). Wird beispielsweise eine Kamera an den Windows 7-Rechner angeschlossen, dann hat der Anwender Zugriff auf alle ihre Funktionen und kann die dort abgelegten Bilder mit dem Rechner synchronisieren,
vorausgesetzt der Hersteller stellt die entsprechenden Informationen fr
den DeviceStage bereit. Soll eine bestimmte Aktion jedes Mal ausgefhrt
werden, wenn das Gert angeschlossen wird, kann dies ebenfalls festgelegt
werden. Diese Einstellungen entsprechen den Festlegungen der Funktion
Automatische Wiedergabe (siehe hierzu den Abschnitt 2.1.1 ab Seite 96).
Technisch werden die Gerteinformationen ber ein XML-Dokument bereitgestellt, das vom Hersteller des Gertes zu erstellen ist. Dieses XML-Doku-

106

Gerte verwalten

ment muss von Microsoft signiert und wieder an die Hersteller zurckgegeben werden, damit dieser es mit seinem Gert ausliefern kann.

Windows speichert die DeviceStage-Pakete u.a. im Device MetaData Cache.


Dieser Speicher befindet sich im Ordner %PROGRAMDATA%\Microsoft\
DeviceStage. Die einzelnen Pakete liegen hier unkomprimiert vor.
Abbildung 2.10
DeviceStage-Fenster bei Anschluss
einer Digitalkamera

Tritt bei einem Gert ein Problem auf, wird dieses mit einem gelben Warn- Problemsymbol gekennzeichnet. Dies kann bedeuten, dass ein Problem mit dem behandlung
Treiber besteht oder ein Gertekonflikt vorliegt. Mithilfe der Funktion Problembehandlung kann das System selbststndig versuchen, das Problem zu
erkennen und zu beheben.
Die nachfolgende Abbildung zeigt das Ergebnis einer durchgefhrten
Problembehandlung.
Abbildung 2.11
Ausfhrlicher
Problembehandlungsbericht nach
erfolgter Problembehandlung

107

Kapitel 2 Hardwareinstallation

DeviceStage-Einstellungen konfigurieren
Auch wenn Sie in den Windows Update-Einstellungen festgelegt haben,
dass alle wichtigen und empfohlenen Updates automatisch heruntergeladen und installiert werden, erhalten Sie nicht automatisch alle fr die
Gerte verfgbaren aktualisierten Treiber. Ausfhrliche Informationen
zum Windows Update-Dienst finden Sie in Kapitel 1.
Zustzlich knnen aber die Einstellungen so konfiguriert werden, dass in
Windows Update berprft wird, ob neue Treiber, Informationen oder Symbole fr die angeschlossene Hardware verfgbar sind. Um die Einstellungen anzupassen, ist im Ordner Gerte und Drucker die im Kontextmen des
Computers verfgbare Option Gerteinstallationseinstellungen zu verwenden. Anschlieend kann beispielsweise festgelegt werden, dass Windows
Update immer aktualisierte Treibersoftware und Symbole verwendet.
Abbildung 2.12
Windows UpdateEinstellungen fr
aktualisierte Treiber
und Symbole konfigurieren

2.2.2

Gerteverwaltung im Gerte-Manager

Der Gerte-Manager ist auch unter Windows 7 unentbehrlich. Als Schnittstelle fr Administratoren kann er verwendet werden, um Gerte zu aktivieren oder zu deaktivieren, Probleme bei Gerten zu beheben, Treiber zu
aktualisieren, ein Treiber-Rollback durchzufhren und um die Ressourcenzuweisung fr ein Gert zu ndern. Und im Gegensatz zur Funktion Gerte
und Drucker werden hier nicht nur extern angeschlossene Gerte verwaltet,
sondern auch interne Gerte wie Grafikkarten, Controller, Netzwerkadap-

108

Gerte verwalten

ter und Systemgerte. Da dies weitreichende nderungen darstellt, sind


fr den Zugriff auf den Gerte-Manager Administratorrechte erforderlich.

2
Abbildung 2.13
Der Zugriff auf den
Gerte-Manager
erfordert administrative Rechte.

Zum ffnen des Gerte-Managers stehen verschiedene Optionen zur Verf- Gerte-Manager
gung. Ein schneller Zugriff auf den Gerte-Manager ist durch Eingabe von starten
Gerte im Suchfeld des Startmens mglich. Anschlieend ist die entsprechende Option zu whlen. Weiterhin ist der Zugriff auf den Gerte-Manager
u.a. mglich im Bereich Hardware und Sound der Systemsteuerung, innerhalb
der Konsole Computerverwaltung und auch im Fenster Gerte und Drucker
per Rechtsklick auf eine freie Flche.
Die nachstehende Abbildung zeigt die Benutzeroberflche des GerteManagers. Bei jedem Start des Computers bzw. bei jeder dynamischen
nderung der Computerkonfiguration, beispielsweise beim Hinzufgen
eines neuen Gerts in das laufende System, wird die Anzeige aktualisiert.
Abbildung 2.14
Liste der verfgbaren Gerte im
Gerte-Manager
(Anzeige sortiert
nach Gertetyp)

Ansichten des Gerte-Managers


Innerhalb des Gertebaums werden die Gerte (bei Auswahl der Ansicht Option Ansicht
Gerte nach Typ) in Typklassen sortiert angezeigt. Mithilfe der Option Ansicht
knnen die Gerte in vier verschiedenen Ansichten dargestellt werden:

109

Kapitel 2 Hardwareinstallation
Gerte nach Typ

Hierbei handelt es sich um die Standardansicht. Zu den Gertetypen


gehren beispielsweise Laufwerke, Netzwerkadapter und Systemgerte.
Gerte nach Verbindung

Diese Ansicht zeigt, wie Gerte miteinander verbunden sind. Dies kann
beispielsweise ntzlich sein, wenn Gerte an einen USB-Hub angeschlossen und diese dann mit anderen Gerten verbunden werden. Hiermit ist
ersichtlich, wo sich die jeweiligen Gerte in der Verbindungskette befinden.
Ressourcen nach Typ

Diese Ansicht zeigt die vier Standardressourcentypen und alle weiteren, die im System konfiguriert sind. Die vier Standardsystemressourcentypen sind:
Arbeitsspeicher
Direkter Speicherzugriff (DMA)
Ein-/Ausgabe (E/A)
Interruptanforderung (IRQ)
Angezeigt wird eine Liste der Gerte, die eine Ressource des jeweiligen Typs verwenden.
Ressourcen nach Verbindung

Diese Ansicht zeigt die vier Standardressourcentypen und alle weiteren,


die im System konfiguriert sind. Angezeigt werden die Gertetypen, die
eine Ressource des jeweiligen Typs verwenden. Auerdem wird dargestellt, wie diese Gertetypen verbunden sind. Diese Ansicht ist hilfreich,
um festzustellen, ob ein untergeordnetes Gert mehr Speicherressourcen bentigt, als dem bergeordneten Gert zur Verfgung stehen.
Abbildung 2.15
Der GerteManager in
der Ansicht
Ressourcen
nach Typ

Gerte verwalten im Gertebaum


Anhand spezifischer Symbole knnen Problemgerte im Gertebaum leicht
erkannt werden:

110

Gerte verwalten
Problemgerte werden mit einem gelben Ausrufezeichen gekennzeich-

Problemgerte

net. Das kann bedeuten, dass ein Problem mit dem Treiber besteht oder erkennen
ein Gertekonflikt vorliegt. Das gelbe Ausrufezeichen kann aber auch
darauf hinweisen, dass ein installiertes Gert vom System entfernt worden ist, beispielsweise ein Zip-Laufwerk. Zustzliche Hinweise liefert
der Fehlercode, der in dem Eigenschaftendialogfeld des Gerts zu finden ist.
Ein deaktiviertes Gert wird durch einen nach unten gerichteten schwarzen Pfeil markiert. Deaktivierte Gerte knnen jederzeit wieder aktiviert
werden.
Ausfhrliche Hinweise zum Umgang mit Treiberproblemen finden Sie
in Abschnitt 2.3 ab Seite 115.
Aber nicht nur bei der Analyse von Problemgerten ist der Gerte-Manager
hilfreich. Vielmehr bietet das Eigenschaftendialogfeld der einzelnen Gerte
Zugriff auf eine Reihe ntzlicher Funktionen. Bei fast allen Gerten finden
sich mindestens die drei Registerkarten Allgemein, Treiber und Details u.a.
mit den folgenden Bereichen:
Informationen zum Treibernamen, Hersteller, Datum, zur Version und
zur digitalen Signatur.
Ausfhrliche Gertebeschreibungen mit Kennungen (Hardware-ID,
Gerteklasse, Treiberschlssel u.a.) und diverse Statuskennungen.
Optionen fr das Aktualisieren, das Treiber-Rollback und das Deinstallieren des Treibers.
Abhngig vom ausgewhlten Gert sind weitere Registerkarten mit ger- Gertespezifitespezifischen Funktionen vorhanden. So befindet sich beispielsweise in sche Funktionen
dem Eigenschaftendialogfeld von Netzwerkadaptern die Registerkarte
Erweitert mit Optionen beispielsweise zur Konfiguration des Duplexmodus und der bertragungsrate.
Abbildung 2.16
Konfiguration einer
Netzwerkkarte im
Gerte-Manager

111

Kapitel 2 Hardwareinstallation

Ausfhrliche zustzliche Informationen sind auch fr USB-Gerte im


Bereich USB-Controller verfgbar. Fehlt diese Komponente, ist die USBUntersttzung mglicherweise im BIOS des Computers deaktiviert.
Fr die USB-Anschlsse liegen separate Eintrge vor. Unterhalb von USBController sind mindestens einmal die folgenden Komponenten aufgefhrt:
USB universeller Host-Controller
USB-Root-Hub
Anzeige von
Bandbreitenverwendung und
Energiebedarf

Um den Gertestatus und die Bandbreite der angeschlossenen Gerte zu


berprfen, ffnen Sie die Registerkarte Erweitert in den Eigenschaften von
USB universeller Host Controller. Hier knnen Sie berprfen, wie viel Bandbreite jeder Controller verwendet.
In den Eigenschaften von USB-Root-Hub kann zudem der Energiebedarf
der angeschlossenen Gerte ermittelt werden.

Abbildung 2.17
berprfung der
Eigenschaften von
USB-Gerten

2.2.3

Treiber aktualisieren

Sei es, dass zunchst mit unsignierten Treibern gearbeitet wurde oder ein
Update fr einen Treiber verfgbar ist, es gibt immer wieder Situationen,
in denen es notwendig ist, einen Treiber zu aktualisieren.
Am einfachsten lsst sich dies mithilfe der Option Treiber aktualisieren erledigen, die im Gerte-Manager im Kontextmen des zu aktualisierenden
Gertes zu finden ist.
Die Option startet einen Assistenten, der anbietet, automatisch nach aktueller Treibersoftware zu suchen oder von einer auszuwhlenden Quelle
manuell zu installieren. Der weitere Vorgang unterscheidet sich im Grunde
nicht von der Erstinstallation. Wird kein aktuellerer Treiber gefunden,
erscheint ein entsprechender Hinweis.

112

Gerte verwalten
Abbildung 2.18
Den Treiber fr ein
installiertes Gert
aktualisieren

Bei der automatischen Suche durchsucht Windows auch das Windows Suche ber WinUpdate-Treiber-Repository im Internet, sofern die entsprechende Funk- dows Update
tion in den Gerteinstallationseinstellungen aktiviert wurde.
Abbildung 2.19
Besttigungsdialogfeld zur Onlinesuche

2.2.4

Gerte deinstallieren

Plug&Play-Gerte mssen im Normalfall nicht deinstalliert werden. Es


gengt, die Gerte vom Computer zu trennen oder zu entfernen, damit
Windows den Treiber nicht mehr ldt oder verwendet.
Wird ein nicht Plug&Play-fhiges, installiertes Gert nicht mehr bentigt,
muss es jedoch im Gerte-Manager entfernt werden. Dies kann entweder im
Eigenschaftendialogfeld auf der Registerkarte Treiber oder im Kontextmen des Gertes mittels der Option Deinstallieren erfolgen. Windows 7
entfernt dabei den Treiber des Gerts und aktualisiert die Anzeige des
Gertebaums.

113

Kapitel 2 Hardwareinstallation
Abbildung 2.20
Hardware im
Gerte-Manager
deinstallieren

Anstatt ein Gert zu deinstallieren, das mglicherweise spter erneut


angeschlossen wird, ist es mglicherweise sinnvoller, dieses zu deaktivieren. In diesem Fall kann das Gert weiterhin physisch mit dem Computer verbunden bleiben, von Windows wird jedoch die Systemregistrierung aktualisiert, sodass die Gertetreiber fr das Gert beim Starten
des Computers nicht mehr geladen werden.

2.2.5

Starttyp fr nicht Plug&Play-fhige


Gerte ndern

Bei nicht Plug&Play-fhigen Gerten wird beim erstmaligen Installieren


eines Treibers standardmig der von dem Treiber bentigte Starttyp eingestellt. Bei Problemen mit diesem Gert kann es erforderlich sein, den
Starttyp zu ndern.
Dies ist mglich im Gerte-Manager im Bereich Nicht-PnP-Treiber des Gertebaums. Dieser Bereich wird nur angezeigt, wenn im Men Ansicht die
Option Ausgeblendete Gerte anzeigen aktiviert ist.
StarttypOptionen

114

Fr den Starttyp knnen die nachstehenden Optionen verwendet werden:


Automatisch: Startet das Gert bei jedem Systemstart, nachdem die Startund Systemgerte gestartet wurden. Diese Option sollte fr Gerte
gewhlt werden, die fr den grundlegenden Systembetrieb nicht relevant sind.

Mit Treiberproblemen richtig umgehen


Start: Startet das Gert bei jedem Systemstart, bevor andere Gerte

gestartet werden. Diese Option sollte fr systemkritische Gerte gewhlt


werden, die fr den Systembetrieb entscheidend sind.
Bei Bedarf: Startet das Gert, wenn das Gert erkannt oder fr ein
bestimmtes Ereignis bentigt wird. Diese Option sollte fr Gerte
gewhlt werden, die fr den grundlegenden Systembetrieb nicht entscheidend sind.
System: Startet das Gert bei jedem Systemstart (nach erfolgtem Start
der Startgerte). Diese Option sollte gewhlt werden, um kritische
Gerte auszuwhlen, die fr den Systembetrieb entscheidend sind.

Abbildung 2.21
Die Startart fr
einen nicht
Plug&Playfhigen Gertetreiber festlegen

2.3

Mit Treiberproblemen richtig


umgehen

Whrend bei frhen Windows-Systemen Gerteprobleme meist durch


Ressourcenkonflikte verursacht wurden, spielen diese heute nur noch
eine untergeordnete Rolle. Das Ressourcen-Management von Windows 7
bei Plug&Play-Gerten funktioniert in der Regel problemlos, und auch
nicht Plug&Play-Gerte knnen problemlos in das System eingebunden
werden.
Treten dennoch Probleme auf, werden diese in der Regel von nicht kompatiblen bzw. nicht richtig funktionierenden Gertetreibern verursacht.
Der folgende Abschnitt behandelt die hufigsten Problembereiche und
deren Lsungsmglichkeiten.

115

Kapitel 2 Hardwareinstallation

2.3.1

Das Treibermodell von Windows 7

Hinter einem Treiber verbirgt sich ein ganzes Paket mit Treiberdateien.
Dies beinhaltet mindestens die System-Treiberdateien und gegebenenfalls weitere Treiberdateien, die Zugriff mittels DLL-Anwendungen auf
verschiedene Hardware ermglichen.
Die Treiberdateien installierter Treiber knnen im Gerte-Manager in den
Eigenschaften des jeweiligen Treibers auf der Registerkarte Treiber unter
Treiberdetails angezeigt werden.
Abbildung 2.22
Treiberdateien am
Beispiel eines
GrafikkartenTreibers

Kompatible Treiber mssen entweder von Windows 7 selbst oder vom


Gertehersteller zur Verfgung gestellt werden. Bei den meisten Gerten
funktionieren auch die Windows Vista-Treiber, und sogar die Verwendung von Windows XP-Treibern ist zumindest teilweise mglich.
Anforderungen
an Treiber

116

Dies hngt damit zusammen, dass Microsoft bereits mit Windows Vista
eine Reihe von nderungen am Treibermodell vollzogen hat, das auch
Windows 7 verwendet. Treiber, die fr Vorgngerversionen erstellt wurden, sind damit aber nur noch bedingt einsatzfhig. Hierbei lassen sich
die folgenden Problembereiche lokalisieren:
Die mit Windows Vista neu eingefhrte Benutzerkontensteuerung (User
Account Control, UAC) fhrt dazu, dass in der Standardeinstellung jede
Anwendung mit den Rechten eines Standardbenutzers ausgefhrt wird,
auch wenn ein Mitglied der Administratorgruppe angemeldet ist. Wird

Mit Treiberproblemen richtig umgehen

eine Anwendung gestartet, fr die Administratorberechtigungen erforderlich sind, muss diese explizit besttigt werden. Diese Funktion hat
auch auf den Installationsprozess von Treibern Auswirkungen.
Bei Einsatz einer 64-Bit-Windows 7-Edition mssen alle Treiber digital
signiert sein. Nicht signierte Treiber werden nicht untersttzt und
knnen in x64-basierten Windows 7-Editionen nicht installiert werden. Die Prfung der digitalen Signatur erfolgt sowohl whrend der
Installation als auch in der Zeit, in welcher der Treiber geladen wird.
Das Grafik-Treibermodell von Windows 7 basiert auf dem Windows
Display Driver Model (WDDM). Auf dieses setzt u.a. auch der Multimediastandard DirectX 10 auf, der bereits mit Windows Vista Einzug
gehalten hat. Zwar luft Windows 7 auch mit DirectX 9, das ShaderModell 4.0 sowie WDDM werden jedoch nur von DirectX 10 benutzt.
Zustzlich untersttzt Windows 7 die Version DirectX 11.
Whrend jedoch unter Windows Vista die verbesserten Grafikeffekte von
DirectX 10 nur mit der entsprechenden DirectX 10-tauglichen Hardware
genutzt werden knnen, ermglicht es Windows 7 mittels der neuen
Funktion Direct3D 10Level9 DirectX-10, auch auf alter Hardware auszufhren. Besitzer einer DirectX 9-Grafikkarte beispielsweise knnen
also auch Direct3D 10-Effekte nutzen, was allerdings zulasten der Performance geht.
nderungen gegenber Windows XP hat es im Treibermodell auch
fr Soundgerte gegeben. Diese sind teilweise noch umfangreicher als
im Grafikbereich. Im Gegensatz zu den Vorgngern ist der AudioHAL nicht mehr im System integriert. Dies fhrt dazu, dass Anwendungen (u.a. Spiele) nicht mehr direkt auf die Hardware der Soundkarte zugreifen knnen, mit deren Hilfe die Surround-Effekte erstellt
werden. Somit sind alle EAX-Effekte, die sich als Quasistandard
durchgesetzt haben, unter Vista und Windows 7 nicht mehr nutzbar.
Windows 7 stellt derartige Funktionalitten nunmehr ber den eigenen Softwaremixer zur Verfgung, wobei jedoch nicht alle EAXEffekte angeboten werden. Um die EAX-Funktionalitten trotzdem
nutzen zu knnen, ist ein Umweg ber die Open AL-Schnittstelle
erforderlich.
Der TCP/IP-Protokolltreiber von Windows 7 wurde auf NDIS 6.20
aktualisiert. Neben Windows 7 untersttzt auch Windows Server 2008
die Netzwerktreiber-Spezifikation NDIS 6.20. Zu den wichtigsten
Neuerungen von NDIS 6.20 gehrt neben der Power-ManagementSchnittstelle die Untersttzung von mehr als 64 Prozessoren.
Abwrtskompatibilitt bietet NDIS 6.20 allerdings nur fr die NDISVersionen 6.1 und 6.0. NDIS 5.0 und frhere NDIS-Treiber werden von
Windows 7 nicht mehr untersttzt. Nicht mehr untersttzt werden
auch IrDA-Miniporttreiber, ATM- und Token-Ring-Treiber, WAN-Miniport-Treiber sowie 802.11-Treiber, die 802.3 emulieren.

Abgesehen von den genannten Punkten, die definitiv eine Weiterverwendung lterer Treiber unter Windows 7 verhindern, ist es leider nicht mglich, im Vorfeld zu bestimmen, ob ein vorhandener Treiber unter Windows 7 funktioniert. Dies lsst sich nur durch Ausprobieren feststellen.

117

Kapitel 2 Hardwareinstallation

NDIS Network Device Interface Specification


NDIS ist eine Treiberspezifikation von Microsoft und 3Com, welche die
Verbindung zwischen Betriebssystem und LAN-Adapter spezifiziert.
NDIS setzt auf OSI-Schicht zwei und drei auf und besteht aus drei Komponenten (MAC-Treiber, Protokolltreiber und Protokoll-Manager).
Durch den modularen Aufbau wird eine Unabhngigkeit des Adapters von den hheren ISO/OSI-Protokollen erreicht. Damit erlaubt es
NDIS, bis zu vier Protokoll-Stacks gleichzeitig ber eine Karte laufen
zu lassen (beispielsweise TCP/IP, NWLink und OSI). NDIS ist in den
aktuellen Windows-Versionen in folgenden Versionen implementiert:
NDIS 6.20: Windows 7
NDIS 6.1: Windows Server 2008/Windows Vista SP1
NDIS 6.0: Windows Vista
NDIS 5.2: Windows Server 2003 SP2
NDIS 5.1: Windows XP/Windows Server 2003

2.3.2

Probleme whrend der


Hardwareinstallation

Beim Auftreten von Problemen bei der Installation knnen mehrere Situationen unterschieden werden. In allen Fllen ist zwingend der Eingriff des
Benutzers erforderlich.

Fehlermeldung beim Installieren eines Gertes


Kann Windows 7 ein Gert nicht erkennen oder treten Probleme mit der
Installation des Treibers auf, wird das Gert im Gerte-Manager als Problemgert unter Andere Gerte aufgefhrt und mit einem Ausrufezeichen gekennzeichnet. Der Gertestatus liefert dabei eine Beschreibung des Problems und
einen Fehlercode. Konnte ein Gert nicht installiert werden, wird meist der
Fehlercode 28 Die Treiber fr dieses Gert wurden nicht installiert ausgegeben. In diesem Fall muss der Treiber manuell installiert werden.
In diesem Fall sollten zunchst die folgenden Arbeitsschritte durchgefhrt werden:
Starten Sie den Computer neu. Das Neustarten des Computers kann
helfen, wenn ein Treiber nicht korrekt installiert wurde.
Wenn es sich bei dem Gert um ein USB-Gert handelt, trennen Sie es,
und schlieen Sie es dann an einen anderen USB-Anschluss an. Liegt
das Problem beim USB-Anschluss, sollte nun das Gert von Windows
erkannt und die Treiber sollten installiert werden.

118

Mit Treiberproblemen richtig umgehen


Abbildung 2.23
Das Gert kann
nach der Installation
der Treibersoftware
nicht gestartet
werden.

In der Mehrzahl der Flle liegt jedoch eine Inkompatibilitt vor, beispiels- Typischer Fehler
weise weil ein Treiber installiert wurde, der fr eine frhere Windows-Ver- bei Inkompatibision entwickelt wurde. Versuchen Sie in diesem Fall zunchst, einen aktuel- litt
len Treiber ber Windows Update zu laden. Hierzu kann im Kontextmen
des Gertes die Option Treibersoftware aktualisieren auf der Registerkarte
Treiber verwendet werden. Bei der automatischen Suche durchsucht Windows auch das Windows Update-Treiber-Repository im Internet, sofern die
entsprechende Funktion in den Gerteinstallationseinstellungen aktiviert
wurde (siehe hierzu den Abschnitt 2.2.2 ab Seite 108). In einigen Fllen kann
es erforderlich sein, den Aktualisierungsprozess mehrfach durchzufhren.
Die Aktualisierung eines Treibers ist auch erforderlich, wenn ein Treiber
akzeptiert und installiert wurde, das Gert aber nur unzureichend mit diesem Treiber luft.
Bleibt die Suche erfolglos, sollte versucht werden, vom Hersteller einen
kompatiblen Treiber oder Software zu erhalten. Beispielsweise funktionieren unter Windows Vista und Windows 7 einige USB-Headsets der Firma
Sennheiser nicht mehr. Sennheiser stellt aber fr die betroffenen Headsets
eine Software zum Firmware-Update zur Verfgung, die das Problem
behebt.
Steht fr ein Problemgert kein neuer Treiber zur Verfgung, bleibt noch Treiber im Komdie Mglichkeit, den Windows XP- bzw. Windows Vista-Treiber im Kom- patibilittsmopatibilittsmodus zu installieren. Hierbei handelt es sich um eine spezielle dus installieren
Funktion, die es ermglicht, Anwendungen, d.h. in diesem Fall dem Treiberinstallationsprogramm, ein anderes Windows-Betriebssystem vorzugaukeln, als tatschlich installiert ist. Fr die Anwendung verhlt sich
Windows 7 dann so wie ein lteres Windows-Betriebssystem, d.h. wie beispielsweise Windows XP oder Windows Vista. Nhere Informationen zum
Kompatibilittsmodus finden Sie in Kapitel 3.

119

Kapitel 2 Hardwareinstallation

Plug&Play-Eigenschaften eines Treibers sind inkompatibel


Wird fr ein Plug&Play-Gert ein Treiber verwendet, der jedoch Plug&Play
nicht oder nicht vollstndig untersttzt, behandelt Windows 7 das Gert wie
ein Gert, das Plug&Play nicht untersttzt.
Daraus folgt, dass die Ressourcen nicht dynamisch zugeteilt werden. Im
ungnstigsten Fall kann ein solches Gert zum Problemfall fr das ganze
System werden, weil es die Verteilung der Ressourcen auch fr die anderen
Gerte mglicherweise blockiert. Es sollte deshalb immer darauf geachtet
werden, dass fr ein Plug&Play-Gert auch ein entsprechender, aktueller
Treiber verwendet wird.
Der umgekehrte Fall ist hingegen weniger problematisch. Wenn ein Gert
zwar noch nicht vollstndig Plug&Play untersttzt, aber dafr ein
Plug&Play-fhiger Treiber vorhanden ist, kann Windows 7 das Gert zwar
nicht automatisch erkennen und den Treiber installieren, der Treiber stellt
aber alle bentigten Informationen zur Verfgung. Damit knnen Ressourcenkonflikte meist vermieden werden. In diesem Fall ist wie bei der Installation eines nicht automatisch erkannten Plug&Play-Gertes zu verfahren.

Im Gerte-Manager wird ein nicht erkanntes Gert gemeldet


Es kann jedoch vorkommen, dass keinerlei Informationen zu einem Gert
verfgbar sind, d.h., der Gerte-Manager meldet lediglich ein unbekanntes
Gert. Kann das Gert nicht ermittelt werden, ist es schwierig, einen passenden Treiber zu beschafften. Weiterhelfen knnen hierbei die Informationen,
die im Eigenschaftendialogfeld des betreffenden Treibers auf der Registerkarte Details unter Hardware-IDs zu finden sind und die fr weitere Recherchen verwendet werden knnen.
Abbildung 2.24
Die Informationen
unter Hardware-IDs
knnen bei der
Recherche nach
einem unbekannten
Gert helfen.

Unter Wert steht der Typ des Busses (beispielsweise PCI oder USB), mit dem
das Gert in das System integriert ist, gefolgt von einem Krzel (USB: VID,
PCI: VEN), der Identifikationsnummer des Herstellers und einer Gertenummer (USB: PID, PCI: DEV).

120

Mit Treiberproblemen richtig umgehen

Mithilfe dieser Kennungen ist es hufig mglich, im Internet den Hersteller Gert anhand der
bzw. das Gert zu ermitteln. Beispielsweise kann auf der Website PCIData- Gerte-ID ermitbase.com [DEV] das Gert anhand der VEN-Identifikationsnummer ermit- teln
telt werden. Die Datenbank liefert allerdings nur Informationen zu dem
Gert. Die Treiber mssen, sofern verfgbar, von der Internetseite des Herstellers heruntergeladen werden.
Abbildung 2.25
Beispiel fr die
Ermittlung eines
Gertes anhand der
Gerte-ID

Aber auch ein Blick auf das Gert selbst (sofern mglich) kann weiterhelfen. Suche anhand
Vielfach befindet sich auf der Rckseite der Gerte eine FCC (Federal Com- der FCC-ID
munications Commission) ID. Diese ID kann fr viele Treiberseiten als Suchkriterium eingesetzt werden. Eine direkte FCC-Suche ist mglich auf der
Homepage der Kommission [FCC].

FCC Federal Communications Commission


Die Federal Communications Commission ist eine unabhngige Behrde
in den Vereinigten Staaten, deren Aufgabe es u.a. ist, Identifikationsnummern fr Gerte zu vergeben, die eine eindeutige Identifizierung des
Produkts und somit auch des Herstellers erlauben. Gerte ohne diese
Nummer drfen in den USA nicht vertrieben und auch nicht importiert
werden.

121

Kapitel 2 Hardwareinstallation

Kann ein Gert auch nach Anwendung aller genannten Mglichkeiten


nicht installiert werden, bleibt noch die Mglichkeit, das Gert im Windows XP-Modus zu installieren. Allerdings kann der XP-Modus nur
unter Windows 7 Professional, Enterprise und Ultimate verwendet werden. Erluterungen zum Windows XP-Modus finden Sie in Kapitel 3.

Systemprobleme nach Treiberinstallation


Windows 7 verfgt ber eine Funktion, mit deren Hilfe sich Probleme
lsen lassen, die von neu installierten Gertetreibern verursacht werden.
Immer wenn ein vorhandener Gertetreiber durch einen aktuelleren
ersetzt wird, sichert Windows 7 diesen Treiber und setzt einen entsprechenden Eintrag in der Registrierung. Bereitet nun ein neu installierter
Treiber Probleme und fhrt beispielsweise zu einem instabilen System,
kann mit einem einfachen und schnellen Verfahren der alte Treiber reaktiviert werden (Treiber-Rollback).
Um einen funktionierenden Treiber zu reaktivieren, ist folgendermaen
vorzugehen:
1. Starten Sie den Gerte-Manager. Markieren Sie das betreffende Gert,
und ffnen Sie dessen Eigenschaftendialogfeld ber das Kontextmen.
2. Auf der Registerkarte Treiber whlen Sie die Option Vorheriger Treiber.
Wenn Sie diese auswhlen, versucht das System, den zuvor installierten
Treiber nach einer vorherigen Rckfrage wieder zu reaktivieren. Sind
keine gesicherten Treiber vorhanden, ist die entsprechende Option abgeblendet. Allerdings verwahrt Windows 7 jeweils nur die letzte Version
eines Treibers, es ist daher nicht mglich, zu einer lteren als der letzten
Version zurckzukehren.
3. Abhngig vom Gertetyp ist anschlieend ein Neustart erforderlich,
damit der alte Treiber vollstndig wieder eingesetzt werden kann.
Einschrnkend funktioniert dieses Verfahren jedoch nicht bei Druckertreibern.
Abbildung 2.26
Registerkarte Treiber
mit aktivierter
Option Vorheriger
Treiber

122

Mit Treiberproblemen richtig umgehen

Standardmig erstellt Windows 7 bei der Installation eines neuen


Gertetreibers einen Wiederherstellungspunkt, sofern die Systemwiederherstellung aktiviert ist. Bei Problemen mit einem neuen Treiber
knnen bestehende Probleme daher auch ggf. mit einer Systemwiederherstellung behoben werden.

2.3.3

Probleme mit der Treibersignierung

Der in der Abbildung 2.26 gezeigte Treiber ist ein signierter Treiber. Bei
einem signierten Treiber handelt es sich um Treibersoftware, die eine digitale Signatur enthlt. Diese stellt sicher, dass ein Treiber bestimmte Kriterien
erfllt und die Software auch wirklich von einem legitimen Herausgeber
stammt. Auerdem kann anhand der Signatur berprft werden, ob
jemand die ursprnglichen Inhalte des Treibersoftwarepakets gendert hat.
Alle Gertetreiber und Betriebssystemdateien, die im Lieferumfang von
Windows 7 enthalten sind, verfgen ber eine digitale Signatur von Microsoft.
x64-basierte Versionen von Windows 7 untersttzen nur noch signierte Treiber. Nicht signierte 64-Bit-Treiber knnen in 64-Bit-Windows 7-Versionen
nicht installiert werden. Dies gilt auch fr Anwendungen bzw. Komponenten, die 16-Bit-EXE-Dateien, 16-Bit-Installer oder 32-Bit-Kernel-Treiber
benutzen. Diese starten in einer 64-Bit-Edition von Windows 7 entweder gar
nicht oder funktionieren nicht korrekt. Die Prfung der digitalen Signatur
erfolgt sowohl whrend der Installation als auch in der Zeit, in welcher der
Treiber geladen wird. Microsoft begrndet den Schritt mit einem Sicherheitsgewinn insbesondere fr Unternehmen.
Wird versucht, eine Treibersoftware zu installieren, die nicht von einem Typische FehlerHerausgeber signiert wurde, der seine Identitt nicht bei einer Zertifizie- meldungen
rungsstelle besttigt hat, oder die seit ihrer Verffentlichung gendert
wurde, wird entsprechend eine der folgenden Meldungen angezeigt:
Der Verleger dieser Treibersoftware kann von Windows nicht besttigt werden. In diesem Fall fehlt die digitale Signatur, oder die Treibersoftware
wurde mit einer digitalen Signatur signiert, die nicht von einer Zertifizierungsstelle berprft wurde.
Diese Treibersoftware wurde manipuliert. Dies bedeutet, dass die Treibersoftware gendert wurde, nachdem sie von einem besttigten Herausgeber digital signiert wurde.
Das Programm bzw. die Funktion [exepath]\[app16bit].exe kann auf Grund
von Inkompatibilitt mit 64-Bit-Versionen von Windows nicht starten bzw.
laufen oder: Diese Treibersoftware kann von Windows nicht installiert werden. Diese beiden Meldungen werden nur bei Ausfhrung einer 64-BitEdition von Windows 7 angezeigt. Treibersoftware, die keine gltige
digitale Signatur aufweist oder die nach der Signierung gendert
wurde, kann auf x64-basierten Versionen von Windows nicht installiert werden. In diesem Fall bleibt nur die Beschaffung signierter Treibersoftware fr das betreffende Gert.

123

Kapitel 2 Hardwareinstallation
Installationseinschrnkungen

Die genannten Meldungen haben bei 32-Bit-basierten Windows 7-Editionen unterschiedliche Auswirkungen abhngig davon, wer die Installation durchfhrt bzw. um welche Art von Treibertyp es sich handelt.
Standardmig drfen nur Administratoren unsignierte Treiber installieren.
Durch vorherige Bereitstellung des Treibers (siehe hierzu den Abschnitt
2.4.1 ab Seite 126) kann dieses Problem umgangen werden. Auerdem mssen Treiber, die mit geschtzten Inhalten in Berhrung kommen, prinzipiell
auch bei 32-Bit-Versionen signiert sein. Hierzu gehren Audiotreiber, welche PUMA (Protected User Mode Audio) oder PAP (Protected Audio Path)
nutzen, sowie Video-treiber, die den Medienschutz PVP-OPM (Protected
Video Path-Output Protection Management) verwenden. Damit kann u.a.
sichergestellt werden, dass die Videoausgnge des Computers die Anforderungen an Verschlsselung erfllen und nicht manipuliert worden sind.

2.3.4

Problemberichte zur Fehleranalyse

Tritt bei einem Gert ein Problem auf, wird dieses mit einem gelben Warnsymbol gekennzeichnet. Das kann bedeuten, dass ein Problem mit dem
Treiber besteht oder dass ein Gertekonflikt vorliegt.
Fr zustzlich angeschlossene Gerte steht, wie bereits in Abschnitt 2.2.1 ab
Seite 104 beschrieben, die Funktion Problembehandlung zur Verfgung.
Damit kann das System selbststndig versuchen, das Problem zu erkennen
und zu beheben. Die nachfolgende Abbildung zeigt das Ergebnis einer
durchgefhrten Problembehandlung.
Abbildung 2.27
Ergebnis einer
Problembehandlung
bei einem Problem
mit einem Drucker

Darber hinaus knnen bei der Lsung von Problemen mit einem Gert
die von Windows 7 bereitgestellten Funktionen des Wartungscenters hilfreich sein. Hier stellt Windows u.a. Problemberichte bereit, um die auf dem
Computer aufgetretenen Probleme zu identifizieren und den Anwender
optional darber zu benachrichtigen. Diese Funktion ersetzt das in frheren Versionen integrierte Analysetool fr Systemfehler und -abstrze Dr.
Watson. Zu finden ist das Wartungscenter in der Systemsteuerung im Bereich
System und Wartung.

124

Mit Treiberproblemen richtig umgehen


Abbildung 2.28
Das Wartungscenter von Windows 7
ermglicht umfangengreiche Problemanalysen.

Abbildung 2.29
Erkannte Probleme
in der bersicht zu
den Problemberichten und -lsungen

Mithilfe des Links Zu meldende Probleme anzeigen knnen hier Problembe- Problemrichte aufgerufen werden, die alle aufgetretenen Probleme mit Namen des bersicht
beispielsweise nicht mehr funktionsfhigen Programms, Datum und Uhr-

125

Kapitel 2 Hardwareinstallation

zeit, zu der ein Problem aufgetreten ist, und der Version des betroffenen
Programms auflisten.
Hilfreiche Detailinformationen

Hilfreich knnen die jeweils zu einem Problem anzeigbaren Detailinformationen sein. Weiterhin ist es mglich, fr auswhlbare Probleme nach
Lsungen suchen zu lassen. Hierbei wird ein Problembericht an Microsoft gesendet.

2.4

Berechtigungen zur
Gerteinstallation verwalten

Wenn ein Benutzer die Option Treibersoftware suchen und installieren auswhlt, ist der Erfolg des Installationsvorgangs davon abhngig, ob das Treiberpaket fr das Gert bereits im Treiberspeicher bereitgestellt ist. Standardmig knnen nur Mitglieder der Gruppe Administratoren Gerte auf
einem Computer installieren, fr die kein Treiber im Treiberspeicher verfgbar ist. Dies liegt darin begrndet, dass nur ein Administrator das fr
die Installation erforderliche Treiberpaket im Treiberspeicher ablegen darf.
Der Treiberspeicher ist ein geschtzter Bereich eines Computers, der Gertetreiberpakete enthlt, die fr die Installation auf dem Computer genehmigt wurden. Zu finden ist der Treiberspeicher standardmig im Ordner
%systemdrive%\system32\driverstore.
Mithilfe von Gruppenrichtlinien knnen aber auch Standardbenutzer
berechtigt werden, Gerte ausgewhlter Gertesetupklassen zu installieren.
Im umgekehrten Fall kann es auch erforderlich sein, die Installationsrechte
fr ausgewhlte Gerte weiter zu beschrnken, beispielsweise um das
Anschlieen eines USB-Flashspeichers zu verhindern. Dies kann bei Windows 7 ebenfalls mithilfe von Gruppenrichtlinien gesteuert werden.

2.4.1

Gerte zur Installation bereitstellen

Die Erstinstallation eines Gertes umfasst, wie in Abschnitt 2.1.1 ab Seite 96


beschrieben, die Phase der Bereitstellung. In dieser Phase durchsucht der
Plug&Play-Dienst zunchst die in der Registrierungseinstellung DevicePath
angegebenen Ordner und die Windows Update-Website nach einem Treiber, berprft anschlieend, ob der Benutzer berechtigt ist, das Treiberpaket
im Treiberspeicher abzulegen, und stellt fest, ob das Treiberpaket eine gltige digitale Signatur besitzt. Die Phase der Bereitstellung endet mit dem
Speichern einer Kopie des Treiberpakets im Treiberspeicher (Driver Store).

Treiber im Treiberspeicher bereitstellen


Die Bereitstellung kann von Administratoren auch separat durchgefhrt
werden, was Vorteile bietet. Nachdem ein Treiberpaket erfolgreich bereitgestellt wurde, kann jeder Benutzer, der sich an diesem Computer anmeldet, die Treiber installieren. Hierzu muss lediglich das jeweilige Gert

126

Berechtigungen zur Gerteinstallation verwalten

angeschlossen werden. Es werden keine Eingabeaufforderungen abgefragt


oder spezielle Berechtigungen bentigt, da alle erforderlichen Sicherheitsberprfungen bereits mit der Bereitstellung abgeschlossen sind.

Zur Bereitstellung kann das in Windows 7 integrierte Befehlszeilen-Tool PnPUtil.exe


PnPUtil.exe verwendet werden. Die nachstehende Abbildung zeigt die Syntax von PnPUtil.
Abbildung 2.30
Syntax von
PnPUtil.exe

Beispielsweise kann mit der folgenden Anweisung in der Befehlszeile das


Treiberpaket Tpmdrv.inf aus dem Ordner C:\Treiber dem Treiberspeicher
hinzugefgt werden:
PnPUtil.exe -a C:\treiber\tpmdrv.inf

Nach dem Abschluss der Bereitstellung meldet PnPUtil einen verffentlichten Namen, der diesem Paket im Treiberspeicher automatisch zugewiesen wird.
Soll das Treiberpaket zu einem spteren Zeitpunkt aus dem Speicher Pakete aus Treigelscht werden, muss dieser Name verwendet werden. Hierzu ist der berspeicher
lschen
folgende Befehl zu verwenden:
PnPUtil.exe d [Verffentlichter Name]

Es ist auch mglich, mit dem nachstehenden Befehl verffentlichte Namen


fr ein Treiberpaket zu ermitteln:
PnPUtil.exe -e

Der Befehl listet alle im Treiberspeicher bereitgestellten Treiberpakete von


Drittanbietern auf.

Benutzer zur Bereitstellung von Gerten berechtigen


Anstatt Treiberpakete fr alle Benutzer bereitzustellen, ist es auch mglich, eine Gruppenrichtlinie zu konfigurieren, mit der Benutzern selbst
die Bereitstellung von Gerten fr eine bestimmte Gerteklasse ermglicht wird. Windows erzwingt diese Richtlinie whrend der Bereitstellung des Gertetreibers im Treiberspeicher. Dadurch kann ein Standardbenutzer ohne erhhte Berechtigungen Treiber fr das Gert installieren.
Zur Einrichtung der bentigten Gruppenrichtlinie sind die folgenden
Arbeitsschritte erforderlich:

127

Kapitel 2 Hardwareinstallation
Vorgehensweise

1. ffnen Sie im Gruppenrichtlinien-Editor das lokale Gruppenrichtlinienobjekt. Am schnellsten kann der Gruppenrichtlinien-Editor durch Eingabe von gpedit.msc im Suchfeld des Startmens geffnet werden.
2. Whlen Sie im Container Computerkonfiguration/Administrative Vorlagen/System/Treiberinstallation die Richtlinie Installation von Treibern
fr diese Gertesetupklassen ohne Administratorrechte zulassen.
Wird diese Richtlinie konfiguriert und aktiviert, knnen Mitglieder der
Gruppe Benutzer neue Treiber fr die angegebenen Gertesetupklassen
installieren. Voraussetzung ist jedoch, dass die Treiber nach der Signierrichtlinie fr Windows-Treiber oder von Herausgebern signiert sind, die
sich bereits im Speicher fr vertrauenswrdige Herausgeber befinden.

Abbildung 2.31
Richtlinie zur
Berechtigung von
Benutzern zur
Bereitstellung von
ausgewhlten
Gerteklassen

Zur Aktualisierung der Gruppenrichtlinien kann das Befehlszeilenprogramm gpupdate verwendet werden. Mit dem Befehl gpupdate /force wird
eine sofortige Wirksamkeit der Gruppenrichtlinien erzwungen.
Gerteklasse
bestimmen

128

Die fr die Zuweisung bentigte Gerteklasse-GUID kann direkt in der


INF-Datei des betreffenden Gertetreiberpakets ermittelt werden:
1. ffnen Sie die .inf-Datei eines Gertetreiberpakets im Editor.
2. Suchen Sie den Abschnitt, der mit Version beginnt.
3. Suchen Sie die Zeile, die mit der Textzeichenfolge ClassGuid= beginnt.
4. Tragen Sie den rechts neben dem Gleichheitszeichen stehenden Wert
im Dialogfeld der Gruppenrichtlinie ein.

Berechtigungen zur Gerteinstallation verwalten


Abbildung 2.32
Exemplarischer
Ausschnitt aus einer
INF-Datei

Ist das Gert bereits auf einem anderen Rechner installiert, kann die GerteGUID auch im Gerte-Manager in dem Eigenschaftendialogfeld der Treibers
auf der Registerkarte Details ermittelt werden.

ADMX-Dateien zentral bereitstellen


Grundstzlich knnen Richtlinien auf einem einzelnen Computer oder
innerhalb einer Active Directory-Domne konfiguriert werden. Richtlinien im Container Administrative Vorlagen werden seit der Einfhrung
von Windows Vista in ADMX-Dateien verwaltet. Mit den ADMXDateien fhrt Microsoft ein neues Format fr die registrierungsbasierten
Richtlinien ein.
In einer Active Directory-Umgebung knnen derartige ADMX-Dateien
in einem zentralen Speicher bereitgestellt werden. Bei den Vorgngerversionen, die anstelle von ADMX-Dateien ADM-Dateien verwenden,
musste einzeln fr jedes Gruppenrichtlinienobjekt sichergestellt werden, dass die korrekte Kopie der aktualisierten ADM-Datei geladen
war. Der zentrale Speicherort ist im Ordner SYSVOL auf einem Domnencontroller einmalig fr jede Active Directory-Domne manuell einzurichten. Hierbei spielt es keine Rolle, ob es sich um einen Server mit
Windows 2000 oder Windows Server 2003 handelt. Zu beachten ist
jedoch, dass nur Computer mit Windows Vista bzw. Windows 7 und
nur diejenigen, die einer Active Directory-Domne angehren, das
Vorhandensein eines zentralen Speichers berprfen und die dort
gespeicherten Dateien verwenden.

2.4.2

Installation verbotener Gerte verhindern

Auf USB-Flashspeichern und hnlichen Gerten knnen mittlerweile mehrere GByte Daten gespeichert werden. Damit stellen USB-Gerte eine der
grten Gefahrenquellen fr Datendiebstahl dar. Eine Sperrung der USBAnschlsse ist aber selten mglich, da auch erwnschte Gerte wie Tastatu-

129

Kapitel 2 Hardwareinstallation

ren und Muse diese verwenden. In Unternehmen besteht daher vielfach


der Wunsch, die Installation von Gerten differenziert steuern zu knnen.
Windows 7 stellt hierfr einige Gruppenrichtlinien zur Verfgung.

Die Installation aller Gerte verhindern


Windows 7 bringt eine Reihe von Gruppenrichtlinien mit, die steuern, wer
welche Gerte installieren darf. Diese Richtlinien sind im Container Computerkonfiguration/Administrative Vorlagen/System/Gerteinstallation/Einschrnkungen
bei der Gerteinstallation zu finden:
Richtlinien zur
Einschrnkung
von Gerteinstallationen

Administratoren das Auerkraftsetzen der Richtlinien unter Ein-

schrnkungen bei der Gerteinstallation erlauben


Benutzerdefinierte Meldung anzeigen, wenn Installation durch eine

Richtlinie verhindert wird (Hinweistext)


Benutzerdefinierte Meldung anzeigen, wenn Installation durch eine

Richtlinie verhindert wird (Hinweistitel)


Installation von Gerten mit diesen Gerte-IDs verhindern
Installation von Gerten mit diesen Gerte-IDs zulassen
Installation von Gerten mit Treibern verhindern, die diesen Gerte

setupklassen entsprechen
Installation von Gerten mit Treibern zulassen, die diesen Gertesetupklassen entsprechen
Installation von Gerten verhindern, die nicht in anderen Richtlinien
beschrieben sind
Installation von Wechselgerten verhindern
Zeit (in Sekunden) bis zum Erzwingen eines Neustarts, wenn dieser
fr das Inkrafttreten von Richtliniennderungen erforderlich ist

Um beispielsweise zu verhindern, dass Benutzer Gerte installieren und


damit USB-Gerte anschlieen knnen, und um Administratoren dies aber
zu ermglichen, ist zweistufig vorzugehen:
Konfiguration einer Richtlinie, die bei den Benutzern das Installieren
und Aktualisieren von Gerten verhindert
Konfiguration einer Richtlinie, die den Administratoren das Installieren und Aktualisieren von Gerten ermglicht
Im Einzelnen ist folgendermaen vorzugehen:
Vorgehensweise

130

1. ffnen Sie im Gruppenrichtlinien-Editor das lokale Gruppenrichtlinienobjekt. Am schnellsten kann der Gruppenrichtlinien-Editor durch Eingabe von gpedit.msc im Suchfeld des Startmens geffnet werden.
2. Aktivieren Sie die Richtlinie Installation von Gerten verhindern, die nicht
in anderen Richtlinien beschrieben sind. Wird diese Richtlinie aktiviert,
knnen Gerte, die nicht in anderen Richtlinien als Ausnahmen eingetragen sind, weder installiert noch knnen die Treiber aktualisiert werden. Wenn es sich bei dem Computer um einen Terminalserver handelt,
wirkt sich die Aktivierung dieser Richtlinie auch auf die Umleitung der
angegebenen Gerte von einem Terminaldiensteclient an diesen Computer aus.

Berechtigungen zur Gerteinstallation verwalten

3. Aktivieren Sie die Richtlinie Administratoren das Auerkraftsetzen der


Richtlinien unter "Einschrnkungen bei der Gerteinstallation" erlauben.
Diese Richtlinie ermglicht es den Mitgliedern der Gruppe Administratoren, die Treiber fr alle Gerte unabhngig von anderen Richtlinieneinstellungen zu installieren und zu aktualisieren.

Sobald die Gruppenrichtlinien aktualisiert wurden, erhalten Benutzer beim


Versuch, den Gerte-Manager zu ffnen, die nachfolgend dargestellte Meldung angezeigt.
Abbildung 2.33
Meldung, wenn die
Installation von
Gerten mittels
Gruppenrichtlinie
verhindert wird

Zulassen der Installation autorisierter Gerte


Aufbauend auf dem Szenario, das die Installation aller Gerte fr Benutzer verhindert, kann eine Ausnahmeliste erstellt werden, die Benutzern
die Installation ausgewhlter Gerte erlaubt.
Die Ausnahmeliste kann entweder auf der Basis von Gerteklassen oder
Hardware-IDs erfolgen. Hierzu gibt es wahlweise die beiden Richtlinien
Installation von Gerten mit Treibern zulassen, die diesen Gertesetupklassen
entsprechen oder Installation von Gerten mit diesen Gerte-IDs zulassen.
Beide Richtlinien sind zu finden im Container Computerkonfiguration/
Administrative Vorlagen/System/Gerteinstallation/Einschrnkungen bei der
Gerteinstallation des gewhlten Gruppenrichtlinienobjekts.
Die fr die Zuweisung bentigte Gerteklasse kann u.a. in der .inf-Datei des
betreffenden Gertetreiberpakets ermittelt werden. Ist das Gert bereits auf
einem anderen Rechner installiert, sind die Gerteklassen-GUID und die
Hardware-ID auch im Gerte-Manager in dem Eigenschaftendialogfeld des
Treibers auf der Registerkarte Details zu finden (siehe hierzu Abbildung 2.24).
Alternativ ist es mglich, den Benutzern die Installation der meisten
Gerte zu erlauben, jedoch die Installation ausgewhlter Gerte zu verbieten. So kann beispielsweise ausschlielich die Installation von Wechselmedien verhindert werden. Auch fr dieses Szenario stehen entsprechende Richtlinien im gleichen Container bereit.

131

Software verwalten
und installieren

Trotz der vielen neuen Funktionen und Programme, die zum Lieferumfang
von Windows 7 gehren ohne die Installation zustzlicher Anwendungen
geht es nicht.
Wie bereits seine Vorgnger untersttzt Windows 7 verschiedene Technologien zur Installation und Verwaltung von Software, von denen einige jedoch
nur in Active Directory-basierten Netzwerkumgebungen verfgbar sind.
Hierzu gehren beispielsweise Softwareinstallationen mittels Gruppenrichtlinien. In diesem Kapitel erfahren Sie, welche Mglichkeiten Windows 7 zur
Installation und Verwaltung von Anwendungen bereitstellt und welche Mglichkeiten der neue Windows Installer 5.0 bietet. Aber nicht in jedem Fall mssen Anwendungen neu installiert werden. Wird ein Windows Vista-Rechner
auf Windows 7 aktualisiert, knnen vorhandene Anwendungen in der Regel
problemlos ausgefhrt werden. Einschrnkungen kann es jedoch bei Anwendungen geben, die fr eine frhere Version von Windows entwickelt wurden.
Diese werden mglicherweise nur eingeschrnkt oder gar nicht ausgefhrt.
Was es in diesem Fall zu beachten gilt und wie Sie mit derartigen Kompatibilittsproblemen umgehen, ist ebenfalls Gegenstand dieses Kapitels.
Darber hinaus erfahren Sie, wie Sie Anwendungen im Unternehmen
komfortabel mithilfe von Bordmitteln bereitstellen knnen.

3.1

Anwendungen lokal
installieren und verwalten

Die lokale Installation von Anwendungen unterscheidet sich bei Windows


7 nicht wesentlich von der bei anderen Windows-Versionen. Bei der Verwaltung installierter Software aber hat sich insbesondere gegenber Windows XP und frheren Versionen einiges gendert.
133

Kapitel 3 Software verwalten und installieren

3.1.1

Programme installieren

Unabhngig davon, ob die Installationsdateien auf einem Installationsmedium, im Netzwerk oder im Internet liegen, der Vorgang der Installation ist
immer weitgehend gleich. Unterschiede gibt es nur, wenn Anwendungen im
Unternehmensnetzwerk von Administrationsseite bereitgestellt werden.
Sowohl Windows 7 als auch bereits Windows Vista arbeiten intern
ausschlielich in englischer Sprache. Viele im Explorer sichtbare Ordner stellen daher lediglich Verweise in lokalisierter Sprache dar und
sind nicht als reale Ordner existent. Aus diesem Grund sollten manuelle Anpassungen an Programmordnern nur in Ausnahmefllen und
mit besonderer Umsicht erfolgen.

Installation durch Ausfhrung der Setup-Datei


Der Zugriff auf die Installationsroutine einer Anwendung ist natrlich
abhngig vom verwendeten Installationsmedium. Steht das bentigte Programm im Internet zum Download zur Verfgung, gibt es in der Regel die
Mglichkeit, die Anwendung sofort zu installieren oder zunchst die
Installationsdatei auf den Computer herunterzuladen. Hierbei ist die
zweite Vorgehensweise zu empfehlen, da in diesem Fall die Installationsdatei vor Beginn der Installation einer Virenprfung unterzogen wird.
Viele Anwendungen werden auf CDs oder DVD ausgeliefert. Abhngig
von den Einstellungen fr die Automatische Wiedergabe startet automatisch
ein Installations-Assistent fr das Programm, nachdem der Datentrger
mit den Installationsdateien eingelegt wurde (Erluterungen zur Konfiguration der Automatischen Wiedergabe finden Sie in Abschnitt 3.1.2 ab Seite
136). Alternativ wird ein Dialogfeld angezeigt, in dem ausgewhlt werden
kann, ob der Assistent ausgefhrt werden soll.
Wird die Installation eines Programms nicht automatisch gestartet, muss
der Installationsdatentrger nach der Setup-Datei des Programms durchsucht werden, die in der Regel den Dateinamen Setup.exe oder Install.exe
trgt. Gleiches gilt, wenn die Installationsdateien in einem freigegebenen
Ordner im Netzwerk liegen.
Alle weiteren Schritte sind von der zu installierenden Anwendung abhngig und erfolgen in der Regel assistentengesttzt.
Erforderliche
Berechtigungen

134

Fr die Installation der meisten Programme sind administrative Berechtigungen erforderlich. Dies ist darin begrndet, dass u.a. das Schreiben
die jeweiligen Programmordner, nderungen an der Registry und das
Schreiben und ndern von Dateien im Systemverzeichnis administrative
Privilegien erfordern. Versucht ein Standardbenutzer, eine Anwendung
zu installieren, wird er durch die Benutzerkontensteuerung aufgefordert,
die Installation in einem anderen Benutzerkontext fortzusetzen.

Anwendungen lokal installieren und verwalten

Welche Vorteile bietet die Benutzerkontensteuerung?


Bei Windows Versionen vor Windows XP mussten Benutzer Administratorrechte auf ihren Computern haben, um neue Softwareversionen zu
installieren. In vielen Fllen lag dies daran, dass fr eine Installation ein
Zugriff auf die lokale Registrierung (HKLM) oder auf die Windowsoder System32-Verzeichnisse erforderlich war. Das bedeutete, dass viele
Benutzer, hufig sogar stndig, im Administratorkontext arbeiteten, was
ein schwerwiegendes Sicherheitsproblem darstellte.

Seit Windows Vista mssen Benutzer nicht als Administrator angemeldet sein, um eine Anwendung zu installieren. Hier arbeiten alle Benutzer
als Standardbenutzer, und der administrative Zugriff ist auf autorisierte
Prozesse eingeschrnkt. Wenn eine Installation zustzliche Berechtigungen erfordert, bietet Windows 7 dem Benutzer die Mglichkeit, seine
Berechtigungen vorbergehend zu erhhen, um die Installation durchzufhren. Ausfhrliche Erluterungen zur Benutzerkontensteuerung
finden Sie in Kapitel 5.
Trgt das Installationsprogramm keine digitale Signatur, kann Windows Digitale
7 den Herausgeber nicht identifizieren. Digitale Signaturen sollen sicher- Signaturen
stellen, dass ein Programm von einer serisen Quelle stammt und nicht
nachtrglich verndert wurde, also zum Beispiel von einem Virus infiziert ist. Fehlt die Signatur, erscheint zustzlich ein Sicherheitshinweis
mit der Warnung, dass ein nicht identifiziertes Programm auf den Computer zugreifen mchte.
In dem Eigenschaftendialogfeld des Installationsprogramms kann auf der
Registerkarte Digitale Signaturen bereits vor der Installation einer Anwendung der Signaturgeber verifiziert werden.

Abbildung 3.1
Verifizierung des
Signaturgebers eines
Installationsprogramms

135

Kapitel 3 Software verwalten und installieren

Die meisten Programme knnen nach Abschluss der Installation direkt


gestartet werden. In diesem Fall wird die Anwendung aber noch im
administrativen Kontext mit all seinen Rechten ausgefhrt. Aus Sicherheitsgrnden sollte zunchst der Installationsvorgang vollstndig beendet und anschlieend das Programm beispielsweise ber den Eintrag
im Startmen gestartet werden.

Bereitgestellte Anwendungen installieren


In einer Active Directory-Umgebung ist es darber hinaus mglich, Anwendungen mittels Gruppenrichtlinien zu verffentlichen. Derart bereitgestellte
Programme knnen ber die Systemsteuerung installiert werden. Eine ausfhrliche Anleitung zum Umgang mit Gruppenrichtlinien zur Softwareverteilung finden Sie im Abschnitt 3.4 ab Seite 162.
Um unter Windows 7 eine verffentlichte Anwendung zu installieren,
gehen Sie wie folgt vor:
ffnen Sie Programme in der Systemsteuerung. Whlen Sie in dem in
Abbildung 3.3 auf Seite 137 gezeigten Dialogfeld die Option Programme
und Funktionen. Alternativ knnen Sie im Suchfeld des Startmens den
Befehl Appwiz.cpl eingeben.
ffnen Sie die Option Programm vom Netzwerk installieren, und whlen
Sie das gewnschte Programm aus.
Abbildung 3.2
Ein im Netzwerk
verffentlichtes
Programm installieren

3.1.2

Installierte Anwendungen verwalten

Die von den lteren Windows-Versionen bekannte Option Software sucht


man in der Systemsteuerung vergeblich. Stattdessen stellt Windows 7, wie
bereits auch Windows Vista, alle relevanten Funktionen zur Verwaltung
von Anwendungen im Bereich Programme der Systemsteuerung bereit.

Der Bereich Programme im berblick


Wie die nachstehende Liste der Funktionen zeigt, verbergen sich in diesem Bereich neben bekannten und altbewhrten Funktionen auch einige
interessante Neuerungen von Windows 7:

136

Anwendungen lokal installieren und verwalten


Programme und Funktionen: Dieser Bereich gehrt zu den wichtigsten und

wird nachstehend ausfhrlich vorgestellt. Beispielsweise findet man hier


Funktionen zum Installieren und Deinstallieren von Anwendungen.
Standardprogramme: Hinter dieser Option versteckt sich nicht nur die
seit Windows 2000 integrierte Option zum Festlegen von Standardprogrammen, wie Webbrowser und E-Mail-Programm. Vielmehr handelt
es sich um die zentrale Verwaltungsstelle fr Dateiverknpfungen und
Autorun-Einstellungen.
Minianwendungen: Die mit Windows Vista eingefhrte Windows-Sidebar ist in Windows 7 nicht mehr enthalten. Stattdessen knnen Minianwendungen auf dem Desktop frei platziert werden. Bei den Minianwendungen handelt es sich um kleine Programme, die Informationen auf
einen Blick bereitstellen oder einen einfachen Zugriff auf hufig verwendete Tools bieten. Beispielsweise kann eine Uhr, ein Whrungsrechner
oder ein Tachometer zur Anzeige der CPU-Nutzung als Minianwendung auf dem Desktop platziert werden.

Abbildung 3.3
Die Systemsteuerungsoption
Programme

Die wichtigsten Funktionen werden im Folgenden genauer vorgestellt.

Programme deinstallieren
Wichtig fr die Verwaltung installierter Software ist der Bereich Programm
deinstallieren.
Hier werden alle installierten Anwendungen aufgelistet und knnen,
abhngig von der ausgewhlten Anwendung, entweder nur vom Computer entfernt oder auch gendert werden. Ist eine Anwendung als MSIPaket ausgeliefert oder mit dem Microsoft lnstaller erstellt worden, sind
sowohl Reparaturen als auch nderungen mglich, um Komponenten
nachzuinstallieren. Hierbei startet die Option ndern den InstallationsAssistenten der jeweiligen Anwendung, der die Durchfhrung der nderung dann untersttzt.

137

Kapitel 3 Software verwalten und installieren


Abbildung 3.4
Verwaltung von
Anwendungen in
der Konsole
Programme und
Funktionen

Bevor Sie eine Anwendung deinstallieren, sollten Sie sicherstellen, dass


keine weiteren Benutzer angemeldet sind bzw. auf das Programm zugreifen. Da sich in diesem Fall mglicherweise noch einige Dateien im Zugriff
befinden, kann das Programm nur unvollstndig entfernt werden. Windows weist mit einem Warnhinweis darauf hin.
Abbildung 3.5
Vor der Deinstallation eines
Programms sollten
alle anderen Benutzer abgemeldet
werden.

Umgang mit Deinstallationsproblemen


Es kommt immer wieder mal vor, dass sich Anwendungen nicht deinstallieren lassen und die Windows Installer-Deinstallationsroutine mit einer
Fehlermeldung abbricht.
Die Ursachen hierfr knnen vielfltig sein, beruhen aber hufig auf fehlerhaften oder schadhaften Eintrgen in der Registrierung. Diese knnen
beispielsweise verursacht werden durch eine Beschdigung der Registrierung, fehlerhafte manuelle nderungen oder durch einen unerwarteten Neustart whrend der Installation mit dem Windows Installer.
Windows Installer Clean Up

In diesem Fall bleibt nur der Einsatz eines Uninstaller-Tools. Microsoft


selbst bietet mit Windows Installer Clean Up kostenlos ein entsprechendes
Tool an. Windows Installer Clean Up dient zur Deinstallation bzw. zur
Beseitigung von Resten von Programmen, die mit dem Windows Installer
installiert wurden, und entfernt auch Konfigurationsdaten der ausgewhlten Anwendung. Hierzu gehren u.a. die entsprechenden Registrierungseinstellungen [CLEANUP].
Leider untersttzt die aktuelle Version zwar alle lteren Versionen von
Microsoft Windows, einschlielich Windows Vista, jedoch nicht Windows
7 bzw. Windows Server 2008. Es ist jedoch zu erwarten, dass Microsoft eine
aktualisierte Version von Installer Clean Up bereitstellen wird, die dann
auch Windows 7 untersttzt.

138

Anwendungen lokal installieren und verwalten

In dem nach dem Start von msicuu2.exe angezeigten Dialogfeld werden alle
derzeit installierten Programme aufgelistet, die mit Windows Installer registriert wurden. Da auch das Programm msicuu2.exe den Windows Installer
verwendet, steht das Programm ebenfalls in dieser Liste. Nach der Besttigung werden alle Dateien und Registrierungseinstellungen entfernt.

Windows Installer Clean Up entfernt ausschlielich Anwendungen,


die mit dem Windows Installer installiert wurden. Nicht entfernt werden kann jedoch der Windows Installer selbst.

Windows-Komponenten aktivieren
Eine weitere wichtige Funktion verbirgt sich hinter der Option WindowsFunktionen aktivieren oder deaktivieren, die Anwendern frherer Versionen
unter dem Namen Windows-Komponenten hinzufgen/entfernen bekannt ist.
Wie auch bei den Vorgngerversionen mssen einige in Windows 7 integrierte Programme und Funktionen vor der Verwendung aktiviert werden.
Hierzu gehren beispielsweise die Internetinformationsdienste (IIS), das
Subsystem fr Unix-basierte Anwendungen sowie die einfachen TCP/IPDienste und -Druckdienste.
Whrend jedoch in frheren Windows-Versionen die Funktionen installiert bzw. zum Deaktivieren auf dem Computer vollstndig deinstalliert
werden mussten, sind unter Windows 7 alle Funktionen auf der Festplatte gespeichert. Damit entfllt auch die Notwendigkeit fr den Zugriff
auf das Installationsmedium. Beim Deaktivieren wird die Funktion nicht
deinstalliert, so dass sich auch der verwendete Festplattenspeicher nicht
verringert. Damit ist es aber mglich, die Funktion bei Bedarf jederzeit
wieder zu aktivieren.
Abbildung 3.6
Windows-Komponenten werden
aktiviert bzw. deaktiviert, aber nicht
mehr installiert bzw.
deinstalliert.

Eine interessante Funktion verbirgt sich hinter dem Windows-TIFFIFilter. Dieser stellt eine OCR-Funktion zum Auslesen der Inhalte von
TIFF-Dateien zur Verfgung und ermglicht damit eine textbasierte
Aufnahme von TIFF-Bildern in den Suchindex von Windows 7.

139

Kapitel 3 Software verwalten und installieren

Updates verwalten
Zur besseren bersicht werden Updates von den brigen Anwendungen
getrennt verwaltet. Hierzu ist die Option Installierte Updates anzeigen zu whlen. Die Gruppierung der Updates nach dem jeweiligen Programm erleichtert dabei den Zugriff auf ein gesuchtes Update.
Abbildung 3.7
Updates werden in
einem eigenen
Bereich aufgelistet.

Ausfhrliche Informationen zum Windows Update-Dienst finden Sie in


Kapitel 1.
Marketplace und
Ultimate Extras

Anwender von Windows Vista werden an dieser Stelle vermutlich die


Market Place-Funktionen sowie den Bereich zur Verwaltung der zustzlichen Updates fr die Ultimate-Edition von Windows Vista vermissen.
Beide Funktionen stehen unter Windows 7 jedoch nicht mehr zur Verfgung.

Standardprogramme und -zugriffe konfigurieren


Beachtenswert ist auch der Bereich Standardprogramme. Hier knnen Standardprogramme und Einstellungen fr wichtige Aufgaben festgelegt werden, wie beispielsweise der Standard-Webbrowser und die Einstellungen
fr die automatische Wiedergabe.
Whrend mit den Einstellungen fr Standardprogramme festlegen jeder
Benutzer die Programmzuordnungen ndern kann, gelten die unter
Programmzugriff und Computerstandards festlegen getroffenen Einstellungen fr alle Benutzerkonten des Computers und erfordern administrative Rechte fr den Zugriff.

140

Anwendungen lokal installieren und verwalten


Abbildung 3.8
Der Bereich Standardprogramme
bietet Zugriff auf
verschiedene
Einstellungen.

Mit der Option Standardprogramme festlegen wird eine Liste der Programme Standardproangezeigt, die als Standard fr Dateitypen und Protokolle festgelegt werden gramme festknnen. Sollte ein installiertes Programm in der Auflistung nicht erschei- legen
nen, wird diese Funktion noch nicht vom Hersteller untersttzt. In diesem
Fall ist eine manuelle Zuordnung ber den Dateityp erforderlich.
Abbildung 3.9
Die Festlegungen
als Standardprogramm knnen
bequem in einem
Dialogfeld konfiguriert werden.

141

Kapitel 3 Software verwalten und installieren

Die folgende Abbildung zeigt am Beispiel des Internet Explorers die zugeordneten Dateitypen und Protokolle.
Abbildung 3.10
Dateityp und Protokollzuordnungen am
Beispiel des Internet
Explorers

Programmzugriff und Computerstandards

Hingegen knnen unter Programmzugriff und Computerstandards festlegen


die Standardanwendungen fr die folgenden Aufgabenbereiche konfiguriert werden:
Browser
E-Mail-Programm
Medienwiedergabe
Instant Messaging-Programm
Virtual Machine fr Java
Die Zuordnung kann innerhalb von vier Konfigurationen erfolgen:
Microsoft Windows
Wenn diese Option ausgewhlt wird, werden die in Windows 7 enthaltenen Microsoft-Programme als Standardprogramme verwendet.
Nicht-Microsoft

Diese Konfiguration legt, im Gegensatz zur vorstehenden Option, die


nicht von Microsoft stammenden installierten Programme als Standardprogramme fest, sofern diese installiert sind. Ist dies fr einzelne
Kategorien nicht der Fall, wird die entsprechende Microsoft-Anwendung verwendet. Der Zugriff auf die angegebenen Microsoft Windows-Programme wird in diesem Fall entfernt.

142

Anwendungen lokal installieren und verwalten


Benutzerdefiniert

Diese Option erlaubt eine benutzerdefinierte Konfiguration fr die Festlegung von Standardprogrammen. Dies ist die Standardeinstellung.
Computerhersteller

Mit dieser Option werden die vom Hersteller des Computers gewhlten Einstellungen wieder hergestellt. Diese Option steht nur zur Verfgung, wenn der Hersteller den Computer mit Windows 7 vorinstalliert
und Einstellungen fr diese Funktion konfiguriert hat.

3
Abbildung 3.11
Dialogbox zur Festlegung von
Programmzugriff
und Computerstandards fr Standardanwendungen

Es knnen keine unterschiedlichen Standardprogramme fr unterschiedliche Benutzer festgelegt werden, d.h., die Einstellungen der Funktion Programmzugriff- und Computerstandards festlegen werden immer
fr alle Benutzer des Computers bernommen.
Abschlieend lohnt noch ein Blick auf den Bereich Automatische Wiedergabe.
Die automatische Wiedergabe ist eine Funktion von Windows, die eine
Festlegung ermglicht, welche Programme verwendet werden sollen, um
verschiedene Arten von Medien zu starten, beispielsweise Musik-CDs
oder CDs und DVDs mit Fotos. Sind auf dem Computer mehrere Medienwiedergabeprogramme installiert, kann der Computer so eingerichtet werden, dass eine CD oder DVD beim Einlegen automatisch mit dem
gewnschten Programm abgespielt wird.
Die Funktion Automatische Wiedergabe erinnert damit an die auch in frheren Windows-Versionen verfgbare Funktion Autorun, unterscheidet sich
von dieser aber durch die umfangreichen Konfigurationsmglichkeiten.

143

Kapitel 3 Software verwalten und installieren


Abbildung 3.12
Dialogfeld zur
Konfiguration der
Einstellungen
fr die Medienwiedergabe

3.2

Ein Blick auf die Technik


dahinter der Windows
Installer-Dienst

Windows Installer ist eine Technologie zur Installation und Deinstallation


von Anwendungen. Hierzu wird ein Satz von definierten Regeln whrend des Installationsvorgangs angewandt. Mit diesen Regeln werden die
Installation und die Konfiguration der zu installierenden Anwendung
definiert.
Mit dem Windows Installer knnen Installationen sowohl lokal erfolgen,
als auch beispielsweise mithilfe von Gruppenrichtlinien zur Softwareverteilung, die eine zentrale Steuerung der Verteilung und der Installation
von Anwendungen ermglichen.
Version 5.0 in
Windows 7 enthalten

144

Neu ist diese Technologie allerdings nicht. Bereits mit Windows 2000 hat
Microsoft diesen integrierten Windows Installer-Dienst eingefhrt. In
Windows 7 ist der Windows Installer in der neuen Version 5.0 integriert.

Ein Blick auf die Technik dahinter der Windows Installer-Dienst

Die folgende Auflistung zeigt ausschnittsweise, welche Version von Windows Installer in den verschiedenen Windows-Versionen integriert ist:
Windows 2000: Windows Installer Version 1.1
Windows 2000 SP3: Windows Installer Version 2.0
Windows ME: Windows Installer Version 1.2
Windows XP: Windows Installer Version 2.0
Windows XP SP2: Windows Installer Version 3.0
Windows Server 2003: Windows Installer Version 2.0
Windows Server 2003 SP1: Windows Installer Version 3.1
Windows Server 2008: Windows Installer Version 4.0
Windows Vista: Windows Installer Version 4.0
Windows Vista SP 2: Windows Installer Version 4.5
Windows Server 2008 R2: Windows Installer Version 5.0
Windows 7: Windows Installer Version 5.0

Um auch jeweils ltere Windows-Versionen auf die aktuelle Version des


Windows Installers zu aktualisieren, stellt Microsoft entsprechende
Updates zur Verfgung. Derzeit (Stand Januar 2010) gibt es allerdings
noch kein Windows Installer 5.0-Installationspaket, mit dem ein Update
des Windows Installers fr ltere Windows-Versionen vor Windows 7
mglich ist.

3.2.1

Grundstzliches zur Windows


Installer-Technologie

Der Windows Installer ist eine Technologie zur Softwareinstallation und


-verwaltung, die Funktionen zur Nachinstallation, zur nderung und
zur Reparatur vorhandener Anwendungen beinhaltet und die folgenden
Funktionen bietet:
Deinstallation vorhandener Programme

Funktionen

Mit dem Windows Installer installierte Anwendungen verfgen ber


Deinstallationsroutinen, die eine Deinstallation nach dem erfolgreichen
Abschluss der Installation ermglichen. Hierbei werden die zugehrigen Registrierungseintrge und Anwendungsdateien gelscht, mit
Ausnahme der Dateien, die auch von anderen vorhandenen Programmen genutzt werden.
Reparatur beschdigter Anwendungen

Anwendungen, die mit dem Windows Installer installiert wurden, knnen selbststndig feststellen, ob Dateien fehlen oder beschdigt sind. In
diesem Fall repariert Windows Installer die betreffende Anwendung,
indem die fehlenden oder beschdigten Dateien erneut kopiert werden.

145

Kapitel 3 Software verwalten und installieren


Vermeidung von DLL-Konflikten

Bei Installationen knnen Konflikte auftreten, wenn beispielsweise die


Installation nderungen an einer DLL-Datei vornimmt oder eine DLLDatei lscht, die bereits von einer vorhandenen Datei genutzt wird. Der
Windows Installer verwendet Installationsregeln, um derartige Konflikte zu vermeiden.
Nachtrgliche Anpassung installierter Anwendungen

Mit Windows Installer kann zunchst eine minimale lauffhige Version


einer Anwendung installiert und knnen zustzliche Komponenten bei
Bedarf zur Verfgung gestellt werden. Dabei kann festgelegt werden,
dass, sobald ein Benutzer auf eine bestimmte Funktion zugreift, die
bentigten Komponenten nachinstalliert werden. Verwendet wird diese
Technologie beispielsweise bei Microsoft Office ab der Version 2000.

Komponenten
Die Windows Installer-Technologie ist im Wesentlichen in zwei Teile gegliedert, die eng zusammenarbeiten: der Installer-Dienst auf dem Client mit
dem eigentlichen Installer-Programm (Msiexec.exe) und die Paketdatei(en)
(.msi-Dateien).
Installationspaketdatei

Das Windows Installer-Paket enthlt smtliche Informationen, die der


Windows Installer bentigt, um Software zu installieren oder zu deinstallieren. Dies kann beispielsweise auch Anweisungen fr die Installation
einer Anwendung umfassen, die zum Tragen kommen, wenn eine Vorgngerversion der Anwendung bereits installiert ist.
Jedes Paket enthlt eine .msi-Datei und die erforderlichen zugehrigen
Installationsdateien. Die zugehrigen Installationsdateien sind die Anwendungsdateien, die auf der lokalen Festplatte installiert werden. Es enthlt
auerdem die Produktdateien oder einen Verweis auf einen Installationspunkt, an dem sich die Produktdateien befinden.

InstallerProgramm

Anhand der Informationen in der Paketdatei fhrt das Installer-Programm Msiexec.exe alle Aufgaben im Rahmen der Installation aus:
Kopieren von Dateien auf die Festplatte
ndern der Registrierung
Erstellen von Verknpfungen auf dem Desktop
Anzeigen von Dialogfeldern zum Abfragen der Voreinstellungen fr
die Installation

Leistungsmerkmale von Windows Installer 5.0


Bereits mit Windows Vista hat Microsoft einige neue Technologien eingefhrt, die auch auf die Installation von Anwendungen Auswirkungen
haben. Aus diesem Grunde wurden viele erforderliche neue Funktionen
bereits in der in Windows Vista integrierten Version 4.0 des Windows
Installers implementiert. Hierzu gehren die nachstehenden Funktionen:

146

Ein Blick auf die Technik dahinter der Windows Installer-Dienst


Untersttzung fr das Verringern erforderlicher Neustarts

Windows Vista und Windows 7 verwenden den Restart-Manager, um


die Anzahl der notwendigen Neustarts bei der Installation und bei
Update-Vorgngen zu verringern. Hierzu handhabt der Restart-Manager die Interaktionen mit anderen Ressourcen-Managern, fhrt Programme aus und ffnet Dateien, um Dienste oder Anwendungen nach
Bedarf dynamisch freizugeben und erneut auf sie zuzugreifen. Windows Installer untersttzt die Interaktion mit dem Restart-Manager ab
der Version 4.0.

Untersttzung fr Benutzerkontensteuerung (User Account Control, UAC)

Windows Installer 4.0 und hher untersttzt die Funktion fr die


Benutzerkontensteuerung, die Microsoft mit Windows Vista eingefhrt
hat. Hauptziel der Benutzerkontensteuerung ist die Reduzierung der
Angriffsflche des Betriebssystems.
Untersttzung mehrsprachiger Benutzeroberflchen (Multilingual User

Interface MUI)
Windows Installer 4.0 und hher untersttzt die Installation mehrsprachiger Anwendungen. Windows Vista und hher ist aufgrund seiner
modularen Struktur sprachunabhngig. Deshalb ersetzen die Sprachpakete von Windows Vista und hher die MUI-(Multilingual User
Interface-)Dateien aus frheren Versionen von Windows.
Untersttzung des Ressourcenschutzes (Windows Resource Protection, WRP)

Seit Windows Vista bringt das System mit dem Ressourcenschutz eine
neue Funktion mit, die Schutz vor potenziell gefhrlichen Konfigurationsnderungen bietet. Hiermit werden u.a. Systemdateien und
-einstellungen sowie System-Registrierungseinstellungen vor versehentlichen nderungen durch Benutzer oder durch nicht autorisierte
Software verhindert. Dieses Verhalten wird vom Windows Installer ab
der Version 4.0 bercksichtigt.
Ab der Version 5.0 speichert das Windows Installer-Paket zustzlich

die MsiLockPermissionsEx-Tabelle. Diese enthlt Sicherheitsbeschreibungen wie Berechtigungen oder die Vererbung von Berechtigungen
von einer bergeordneten Ressource.
Wie bereits im vorstehenden Abschnitt ausgefhrt, ist fr eine Installation mit dem Windows Installer ein Windows Installer-Paket erforderlich,
das smtliche Informationen enthlt, die der Windows Installer bentigt,
um Software zu installieren oder zu deinstallieren. Dies schliet beispielsweise auch Anweisungen fr die Installation einer Anwendung ein, die
zum Tragen kommen, wenn eine Vorgngerversion der Anwendung
bereits installiert ist. Jedes Paket enthlt eine .msi-Datei und die erforderlichen zugehrigen Installationsdateien.

Anwenden von Windows Installer-Paketdateien


Beim Einsatz des Windows Installers knnen die folgenden Dateitypen
verwendet werden:

147

Kapitel 3 Software verwalten und installieren


Systemeigene Windows Installer-Pakete (.msi-Dateien)

Systemeigene Windows Installer-Pakete werden als ein Teil der Anwendung entwickelt und nutzen den Windows Installer in der Regel am besten. Diese Paketdateien werden vom Hersteller einer Anwendung
bereitgestellt. Zu den systemeigenen Installer-Paketen zhlt beispielsweise die Datei adminpak.msi zur Installation der Server-Verwaltungsprogramme von Windows 2000 Server bzw. Windows Server 2003.
Neu gepackte .msi-Dateien (.msi-Pakete)

Neu gepackte Paketdateien arbeiten genauso wie systemeigene Windows Installer-Pakete, sind in der Regel jedoch nicht so detailliert. Sie
knnen auf der Basis eines Vorher-nachher-Vergleichs erstellt werden.
.zap-Dateien

Eine .zap-Datei ist eine Textdatei, die Anweisungen fr das Verffentlichen einer Anwendung enthlt. Diese Dateien haben hnlichkeit mit
.ini-Dateien. Beim Bereitstellen einer Anwendung mithilfe einer .zapDatei wird die Anwendung mit ihrem ursprnglichen Setup.exe- bzw.
Install.exe-Programm installiert.
Patches (.msp-Dateien)

Service Packs und Patches werden hufig in Form von .msp-Dateien verteilt. Fr diese Dateien gelten einige Einschrnkungen. So ist beispielsweise das Entfernen von Komponenten oder Funktionen nicht mglich.
Auch bei den Anpassungsdateien fr Office handelt es sich zum Teil um
.msp-Dateien.
Skriptdateien (.aas-Dateien)

Diese Dateien enthalten Anweisungen fr die Zuweisung oder Verffentlichung eines Pakets.
Transformationsdateien (.mst-Dateien)

Vorhandene oder erstellte Pakete knnen mithilfe von Transformationsdateien (Microsoft Transform, MST) angepasst werden. Eine
Transformation ist ein spezielles Softwarepaket, das mit einem Windows Installer-Paket verknpft werden kann, Whrend der Ausfhrung wird das ursprngliche Windows Installer-Paket gendert,
wobei die Werte der .msi-Datei berschrieben werden.
MSI-Pakete
installieren

Anwendungen, die als Windows Installer-Paket vorliegen, knnen auf


verschiedenen Wegen installiert werden.
Im Windows-Explorer
ber die Befehlszeile
Im Bereich Programme und Funktionen
Mithilfe von Gruppenrichtlinien zur Softwareverteilung
Mit serverbasierten Anwendungen zur Softwareverteilung
Windows-Explorer Anwendungen, die als Windows Installer-Paket (.msiDatei) vorliegen, knnen direkt aus dem Windows-Explorer heraus installiert, repariert und deinstalliert werden. Hierzu ist die gewnschte Option
im Kontextmen der MSI-Datei zu whlen.

148

Ein Blick auf die Technik dahinter der Windows Installer-Dienst


Abbildung 3.13
Die Installation
eines MSI-Installationspakets ist
mithilfe der entsprechenden Option im
Kontextmen
mglich.

Befehlszeile Mit dem Programm msiexec.exe kann der Windows Installer

auch an der Eingabeaufforderung ausgefhrt werden. Hier stehen die folgenden Funktionen zur Verfgung:
Installieren eines Pakets
Entfernen eines Pakets
Reparieren eines Pakets
Ankndigen eines Pakets
Erstellen eines Admin-Installationspakets
Erstellen einer Installations-Protokolldatei
Der Befehl msiexec.exe hat die folgende Syntax:
msiexec /Option <Erforderliche Parameter> [Optionale Parameter]

Syntax von
msiexec.exe

Eine Erluterung der Parameter kann mit dem folgenden Befehl angezeigt
werden:
msiexec /?

Dieser Befehl blendet ein Fenster mit der Beschreibung aller verfgbaren
Parameter ein.
Abbildung 3.14
Syntax und Parameter von msiexec.exe

149

Kapitel 3 Software verwalten und installieren


Bereich Programme und Funktionen In Abschnitt 3.1.2 ab Seite 136 werden alle wichtigen Optionen zur Verwaltung von Anwendungen in dieser
Konsole vorgestellt.
Gruppenrichtlinien zur Softwareverteilung Eine Anleitung zum Umgang
mit Gruppenrichtlinien zur Softwareverteilung finden Sie in Abschnitt 3.4 ab
Seite 162.
Softwareverteilung mit Softwareverteilungstools Beispielsweise stellt
Microsoft mit dem System Center Configuration Manager 2007 (SCCM) eine
komplexe Verwaltungssoftware u.a. zur Softwareverteilung und Softwareupdateverwaltung bereit. Informationen hierzu finden Sie in Kapitel 1.

Windows Installer-Pakete erstellen


In der Regel gehren die Pakete zum Lieferumfang der jeweiligen Anwendung. Insbesondere im Rahmen der Softwareverteilung wird es aber auch
immer wieder erforderlich, seine eigenen MSI-Pakete zu erstellen.
Zum Erstellen, ndern und Neupacken von Paketen fr ein zu installierendes Programm stehen diverse professionelle Programme von einer Reihe
von Drittanbietern zur Verfgung. Diese bieten in der Regel eine Reihe
zustzlicher Funktionen. Hierzu gehren neben erweiterten Funktionen
zur Verwaltung von Paketen beispielsweise die Untersttzung mobiler
Gerte und die Verwaltung digitaler Rechte.
Auch zur Erstellung von Transformationsdateien und Anpassungsdateien
gibt es Tools, die meist eine einfache Benutzeroberflche bereitstellen, wie
beispielsweise der Custom Installation Wizard, CIW, der von Microsoft vor
allem im Zusammenhang mit der Anpassung von Office bekannt ist. [CIW]
Der Custom Installation Wizard ist u.a. im Office 2000 bzw. Office 2003
Resource Kit enthalten und kann verwendet werden, um Anpassungsdateien fr Office-Pakete zu erstellen. Hierbei knnen ber die bekannte
Assistentenoberflche die verschiedenen nderungen an der Installation
von Microsoft Office vorgenommen werden. So kann beispielsweise damit
gesteuert werden, welche Funktionen einer Anwendung installiert und wo
diese gespeichert werden sollen. Hierbei wird mit einer Kopie der .msi-Originaldatei gearbeitet. Wenn die Anpassungsdatei am Ende der Sitzung
geschrieben wird, wird die Originalversion mit der aktualisierten Version
der .msi-Datei verglichen, und die nderungen werden in einer .mst-Datei
gespeichert.
Office Customization Tool

150

Fr Windows 2007 steht mit dem Office Customization Tool (OCT) ebenfalls
ein Anpassungstool zur Verfgung, mit dem Office 2007 angepasst und
die Anpassungen in einer Setup-Anpassungsdatei (MSP-Datei) gespeichert werden knnen. [ORK07]

Ein Blick auf die Technik dahinter der Windows Installer-Dienst

3.2.2

Das Verhalten von Windows Installer mit


Gruppenrichtlinien steuern

Es ist mglich und sinnvoll, die Einstellungen fr den Windows Installer


mithilfe von Gruppenrichtlinien anzupassen Hierzu gehren beispielsweise Festlegungen fr die Ereignisprotokollierung und die Mglichkeit,
die lokale Patchverarbeitung zu deaktivieren. Die Deaktivierung der
Patchverarbeitung verhindert beispielsweise, dass Benutzer den Windows
Installer zur Installation nicht autorisierter Updates verwenden knnen.

Zur Konfiguration von lokalen Gruppenrichtlinien zur Steuerung des Lokales Gruppenrichtlinienobjekt
Windows Installers gehen Sie wie folgt vor:
1. ffnen Sie durch Eingabe von gpedit.msc in dem Suchfeld im Startmen das Snap-in Gruppenrichtlinienobjekt-Editor. Um den Editor fr
lokale Gruppenrichtlinien ffnen zu knnen, mssen Sie ber administrative Rechte verfgen.
2. Whlen Sie unter Computerkonfiguration bzw. Benutzerkonfiguration/
Administrative Vorlagen/Windows-Komponenten den Container Windows
Installer. Abhngig von der zu konfigurierenden Richtlinie ist diese entweder im Bereich Computer oder Benutzer zu finden.
Die folgende Abbildung zeigt die fr den Windows Installer im Bereich Computerbasierte Richtlinien
Computerkonfiguration verfgbaren Richtlinien.
Abbildung 3.15
Computerbasierte
Richtlinien zur
Konfiguration des
Windows Installers

Einige weitere Richtlinien beziehen sich auf den angemeldeten Benutzer


und sind entsprechend im Bereich Benutzerkonfiguration zu konfigurieren.

151

Kapitel 3 Software verwalten und installieren


Abbildung 3.16
Benutzerbasierte
Richtlinien zur
Konfiguration des
Windows Installers

3.3

Nicht kompatible
Anwendungen unter
Windows 7 nutzen

Leider lassen sich nicht alle alten Anwendungen ohne Einschrnkungen


unter Windows 7 nutzen. Durch die grundlegenden Unterschiede in den
Sicherheitseinstellungen von Windows XP bzw. lteren Versionen und
Windows 7 kann es vorkommen, dass Anwendungen nicht unter Windows 7 funktionieren, die noch unter Windows XP hervorragend ihren
Dienst verrichtet haben. Bei Problemanwendungen gibt es mehrere Flle,
die unterschieden werden knnen:
Programme, die nur whrend der Upgrade-Phase nicht funktionieren
und temporr deinstalliert oder deaktiviert werden mssen. In diese
Kategorie fallen sehr hufig Virenscanner.
Anwendungen, die einen speziellen Patch oder ein Service Pack bentigen, um mit Windows 7 zu laufen.
Anwendungen, die unter Windows 7 berhaupt nicht lauffhig sind.
Hierzu zhlen beispielsweise Programme, die speziell fr frhere Versionen von Windows geschrieben wurden.
Whrend die beiden ersten Flle in der Regel recht einfach zu lsen sind,
bedarf es fr Anwendungen, die in die dritte Kategorie fallen, spezieller
Manahmen, damit diese dennoch unter Windows 7 ausgefhrt werden
knnen. Welche Mglichkeiten Windows 7 bietet, um derartigen Anwendungsinkompatibilitten zu begegnen, zeigt dieser Abschnitt.

3.3.1

Ursachen fr
Anwendungsinkompatibilitten

Whrend bei Windows Vista vor allem die Behandlung von Inkompatibilitten mit Anwendungen im Rahmen der Betriebssystemaktualisierung
eine Rolle spielt, kann dieser Bereich bei Windows 7 vernachlssigt werden. Dies liegt daran, dass Microsoft als einzigen Update-Pfad eine Aktualisierung von Windows Vista (SP1/SP2) auf Windows 7 untersttzt. Und

152

Nicht kompatible Anwendungen unter Windows 7 nutzen

Anwendungen, die ohne Probleme unter Windows Vista funktionieren,


werden in aller Regel auch unter Windows 7 keine Probleme verursachen.
Bei lteren Anwendungen jedoch kann es vor allem aufgrund der grundlegenden Unterschiede in den Sicherheitseinstellungen von Windows XP
bzw. frheren Versionen und Windows 7 zu Problemen bei der Installation
bzw. bei der Ausfhrung kommen. Treten Inkompatibilitten auf, sind
diese vor allem in den folgenden Funktionen von Windows 7 zu suchen.
Benutzerkontensteuerung: In der Standardeinstellung wird jede Anwendung in Windows 7 mit den Rechten eines Standardbenutzers ausgefhrt. Fr die Installation sind Administratorrechte erforderlich, die
explizit angefordert werden. Dieses Verhalten mssen Anwendungen
fr eine Installation unter Windows 7 untersttzen.
Windows Resource Protection (WRP): Der Windows-Ressourcenschutz
schtzt die folgenden Komponenten System-Registrierungseinstellungen, die versehentlich durch den Benutzer oder durch nicht autorisierte
Software gendert werden knnten, Systemdateien und -einstellungen,
die durch andere Prozesse als den Windows-Installer gendert werden
knnten, und Anwendungen wie den Microsoft Internet Explorer, die
durch mglicherweise nicht vertrauenswrdige oder schdliche COMErweiterungen von Drittanbietern beeinflusst werden knnten. Anwendungen, die versuchen, auf geschtzte Ressourcen zu schreiben, knnen
daher mglicherweise nicht installiert oder nicht ausgefhrt werden.
NTFS-formatierte Systempartition: Windows 7 fordert fr die Systempartition zwingend eine Formatierung mit dem Dateisystem NTFS.
Dies kann ggf. ebenfalls Probleme mit einzelnen Anwendungen verursachen.
Geschtzter Modus des Internet Explorers: In Windows 7 luft der Microsoft Internet Explorer standardmig im geschtzten Modus mit stark
eingeschrnkten Rechten. Anwendungen, die den Internet Explorer
nutzen, knnen damit Probleme haben.
x64-basierte Windows 7-Version: Anwendungen, die 16-Bit-EXE-Dateien,
16-Bit-Installer oder 32-Bit-Kernel-Treiber benutzen, starten entweder
gar nicht oder funktionieren in einer 64-Bit-Edition von Windows 7
nicht richtig.

3.3.2

Anwendungsprfung vor Beginn der


Migration

Vor der Migration sollte zunchst eine Bestandsaufnahme erfolgen, um


festzustellen, welche Anwendungen von Microsoft oder anderen Anbietern sich auf dem Rechner befinden und welche mglicherweise unter
Windows 7 nicht oder nur eingeschrnkt laufen werden.

Windows 7 Upgrade Advisor


Bei der Prfung der Anwendungskompatibilitt kann zum einen der Windows 7 Upgrade Advisor helfen, der sich in erster Linie an Endanwender richtet. Microsoft bietet dieses kostenlose Programm an, mit dem sich herausfin-

153

Kapitel 3 Software verwalten und installieren

den lsst, ob ein PC fr eine Aktualisierung auf Windows 7 geeignet ist,


welche Funktionen von Windows 7 auf dem PC ausgefhrt werden knnen
und welche mglichen Installationshindernisse existieren. Das schliet eine
Prfung der Kompatibilitt installierter Anwendungen ein. Einsetzbar ist
Windows 7 Upgrade Advisor auf Rechnern, auf denen Windows XP, Windows Vista oder Windows 7 ausgefhrt wird [UPADVISOR]. Weiterfhrende Informationen zum Windows 7 Upgrade Advisor finden Sie in Kapitel 1.
Abbildung 3.17
Ergebnis der berprfung eines
Windows-Rechners
mit Windows 7
Upgrade Advisor

Microsoft Application Compatibility Toolkit 5.5


Weiterhin stellt Microsoft mit dem Microsoft Application Compatibility Toolkit ACT [ACT] ein ebenfalls kostenloses Tool fr Entwickler und Administratoren zur Prfung der Kompatibilitt von Webseiten und Software
bereit. Die Version 5.5 untersttzt Windows 7 sowie Windows Vista SP2
und erlaubt eine Kompatibilittsprfung mit Windows Vista und Windows 7 sowie dem Internet Explorer. Das Werkzeug dient dazu, Anwendungen zu erkennen, fr die mglicherweise weitere Tests erforderlich
sind, und um Kompatibilittsfixes fr Anwendungen zur Verfgung zu
stellen.

154

Nicht kompatible Anwendungen unter Windows 7 nutzen

Das Microsoft Application Compatibility Toolkit 5.5 stellt die folgenden Werkzeuge
im ACT
Funktionen bzw. Werkzeuge bereit:
Werkzeuge zur Kompatibilittsbewertung. Damit knnen benutzerdefinierte Kompatibilittsberichte erstellt werden, die alle umgebungsspezifischen Aufgaben und Anforderungen zusammenfassen. Zustzlich
knnen individuelle Quick Reports erstellt werden.
Bestandsdatensammler (Inventory Collector). Dieser kann unternehmensweit installierte Anwendungen und Systeminformationen ermitteln.
Kompatibilittsbewertung der Benutzerkontensteuerung (User Account
Control Compatibility Evaluator). Damit knnen potenzielle Kompatibilittsprobleme aufgrund von Berechtigungseinschrnkungen identifiziert
werden, die durch die Benutzerkontensteuerung erzwungen werden.
Analyse von Aktualisierungsauswirkungen (Update Impact Analyzer). Das
Werkzeug ermglicht es, potenzielle Probleme zu erkennen, die durch
die Bereitstellungen von Windows Updates entstehen knnen.
Kompatibilittsbewertung fr Internet Explorer (Internet Explorer Compatibility Evaluator). Diese Funktion ermglicht die Erkennung potenzieller Probleme mit Webanwendungen und Websites.
Paket zur Datensammlung (Data Collection Package): Hierbei handelt es
sich um ein Werkzeug, das alle Tools zur Kompatibilittsbewertung
fr die Bereitstellung auf Client-Computern in einer einzigen Installation kombiniert. Es installiert die Werkzeuge und stellt eine Benutzeroberflche bereit, mit der Bewertungszeitplne verwaltet sowie
Kompatibilittsdaten gesammelt und in einer Datenbank verwaltet
werden knnen. Die Data Collection Packages knnen zur besseren
Unterscheidung/Filterung der damit gewonnenen Daten mit einem
Kennzeichen versehen werden.

Application Quality Cookbook


Dieses Dokument wendet sich an Anwendungsentwickler. Neben zahlreichen Anleitungen zur Prfung von Anwendungskompatibilitten bietet es
auch eine bersicht ber bekannte Anwendungskompatibilittsprobleme
in Windows 7 und Windows Server 2008 R2. [COOKBOOK]

3.3.3

Einsatzmglichkeiten des
Kompatibilittsmodus

Um auch lteren Anwendungen die Ausfhrung zu ermglichen, bringt


Windows 7 eine Funktion mit, die es ermglicht, Programme im sogenannten Kompatibilittsmodus zu starten. Hierbei handelt es sich um eine spezielle Funktion, die Anwendungen ein anderes Windows-Betriebssystem
bzw. eine passende Umgebung vorgaukelt. Fr die Anwendung verhlt
sich Windows 7 dann so wie ein lteres Windows-Betriebssystem, d.h. beispielsweise wie Windows XP, Windows Server 2003 oder auch Windows
NT 4.0. In diesem Modus lassen sich deshalb auch Anwendungen ausfhren, die im normalen Programmmodus die Zusammenarbeit mit dem
Betriebssystem verweigern.

155

Kapitel 3 Software verwalten und installieren


Automatisch
angewendet

Die Kompatibilittseinstellungen fr ltere Software werden dabei hufig


angewendet, ohne dass der Anwender es bemerkt. Windows 7 beinhaltet
eine interne Datenbank, die Kompatibilittseinstellungen fr viele gngige
ltere Programme enthlt. Wird ein solches Programm gestartet, wendet
Windows die passenden Kompatibilittseinstellungen automatisch an. Mithilfe des Application Compatibility Toolkit (ACT) knnen Sie angezeigt und
erweitert werden.
Aber nicht alle Inkompatibilitten werden automatisch erkannt. Wenn Sie
eine Anwendung nach der Installation nicht starten knnen oder beispielsweise die Fehlermeldung Falsche Windowsversion angezeigt wird, muss die
Anwendung manuell im Kompatibilittsmodus gestartet werden.
Der Kompatibilittsmodus lsst sich auf zwei Arten einstellen:
Sie benutzen den Programmkompatibilitts-Assistenten.
Sie stellen den gewnschten Modus manuell in dem Eigenschaftendialogfeld der Anwendungsdatei der betreffenden Anwendung ein.
Diese Einstellungen sind identisch mit den Optionen im Programmkompatibilitts-Assistenten.
Die folgenden Arbeitsschritte beschreiben die Vorgehensweise sowohl
mit dem Programmkompatibilitts-Assistenten als auch bei manueller
Einstellung.

ProgrammkompatibilittsAssistent

1. Den Programmkompatibilitts-Assistenten knnen Sie zum einen aus


der Windows 7-Hilfe heraus starten. Suchen Sie hierfr nach dem Begriff
Programmkompatibilitt. Verwenden Sie anschlieend den Link ffnen der
Problembehandlung fr die Programmkompatibilitt. Alternativ knnen Sie
die Option Behandeln von Kompatibilittsproblemen im Kontextmen der
Problemanwendung verwenden.

Abbildung 3.18
Ermittlung von
Anzeigeproblemen
im Programmkompatibilitts-Assistenten

2. Der Assistent fordert Sie auf, die problematische Anwendung auszuwhlen, und fhrt anschlieend durch verschiedene Problemszenarien.
Ist der Start der Anwendung in einem Modus erfolgreich, wird die

156

Nicht kompatible Anwendungen unter Windows 7 nutzen

Anwendung jedes Mal in diesem Modus starten. Der Assistent ermglicht es Ihnen auerdem, verschiedene Einstellungen zu testen, beispielsweise die Ausfhrung des Programms mit einer eingeschrnkten
Farbtiefe, einer reduzierten Bildschirmauflsung von 640 x 480 Pixel
oder im Kontext eines Administrators.
Um den Kompatibilittsmodus manuell im Eigenschaftendialogfeld der
Datei der Anwendung einzustellen, gehen Sie wie folgt vor:

1. Whlen Sie im Explorer das Programm, das Sie ausfhren mchten, Manuelle
und ffnen Sie dessen Eigenschaftendialogfeld ber die entsprechende Einstellung
Option im Kontextmen.
2. ffnen Sie die Registerkarte Kompatibilitt, und stellen Sie den
gewnschten Kompatibilittsmodus ein. Zustzlich knnen Sie auch
hier festlegen, dass das Programm mit einer verminderten Farbtiefe
(256 Farben) ausgefhrt oder beispielsweise im Administratorkontext
ausgefhrt werden soll. Letztere Option hilft zwar in einigen Fllen
weiter, ist aber auch wegen der Benutzerkontensteuerung keine langfristig praktikable Lsung.
Abbildung 3.19
Konfiguration der
Kompatibilittseinstellungen in den
Eigenschaften einer
Anwendung

Behebt die Ausfhrung im Kompatibilittsmodus das Problem nicht, sollte Dateiausfhdie Datenausfhrungsverhinderung-Funktion berprft werden. Diese rungsverhindeFunktion, die bereits in Windows XP integriert ist, kann auch unter Windows rung
7 den Start von Anwendungen verhindern. Mithilfe der Datenausfhrungsverhinderung werden Programme berwacht, um die sichere Verwendung
des Systemspeichers durch die Programme sicherzustellen. Wenn ein Programm versucht, Code aus dem Speicher auf unzulssige Weise auszufhren, wird das Programm durch die Datenausfhrungsverhinderung (Data
Execution Prevention, DEP) geschlossen. Startet eine Anwendung nicht, hilft
es entweder, diese Funktion zu deaktivieren oder die Anwendung von der
berprfung auszunehmen. Zur Konfiguration der Dateiausfhrungsverhinderung gelangen Sie mit den folgenden Schritten:

157

Kapitel 3 Software verwalten und installieren


Geben Sie im Suchfeld des Startmens Erweiterte Systemeinstellungen

anzeigen ein.
Whlen Sie auf der Registerkarte Erweitert und anschlieend im

Bereich Leistung die Schaltflche Einstellungen.


Verwenden Sie die Registerkarte Datenausfhrungsverhinderung.

Wenn die Dateiausfhrungsverhinderung ein Programm immer wieder


schliet, dem Sie vertrauen, knnen Sie die Datenausfhrungsverhinderung fr das geschlossene Programm deaktivieren.
Abbildung 3.20
Die Dateiausfhrungsverhinderung
ist manchmal die
Ursache, wenn
Anwendungen
nicht starten.

3.3.4

Anwendungen im Kompatibilittsmodus
installieren

Beim Versuch, ltere Windows-Programme zu installieren, kann es passieren, dass bei der Installation oder beim Start einer Anwendung eine Fehlermeldung erscheint mit dem Hinweis, dass das Programm nicht richtig
installiert wurde.
Abbildung 3.21
Hinweis, wenn
Windows 7 ein
Programm wegen
Kompatibilittsproblemen nicht installieren konnte

158

Nicht kompatible Anwendungen unter Windows 7 nutzen

Auch in diesem Fall kann der Kompatibilittsmodus gegebenenfalls weiterhelfen. Die Option Erneut mit den empfohlenen Einstellungen installieren
ruft den Programmkompatibilitts-Assistenten auf.
Alternativ kann bereits die Installationsdatei des Programms im Kompati- Setup-Datei auf
bilittsmodus ausgefhrt werden. Diese kann sich gegebenenfalls auch auf CD-ROM
einer CD-ROM befinden. Zwar ist ein schreibender Zugriff auf die CDROM nicht mglich, doch werden die Einstellungen bei manueller Konfiguration der Eigenschaften temporr gespeichert. Wird der Programmkompatibilitts-Assistent verwendet, muss die Option Programm im CD-Laufwerk
verwenden ausgewhlt werden.
Der Kompatibilittsmodus steht nicht fr .msi-Dateien zur Verfgung.
Diese knnen weder mit dem Assistenten noch manuell im Kompatibilittsmodus installiert werden
Kann das Problem auch durch Installation im Kompatibilittsmodus nicht
behoben werden, zeigt Windows 7 ein entsprechendes Hinweisfenster an.
In diesem Fall sollte versucht werden, ein Update oder eine aktuelle Version vom Programmhersteller zu beziehen oder das Programm im Windows XP-Modus auszufhren.
Abbildung 3.22
Kann auch die
Ausfhrung im
Kompatibilittsmodus das Problem
nicht beheben,
erscheint ein
entsprechender
Hinweis.

3.3.5

Anwendungen im Windows XP-Modus


ausfhren

Benutzern von Windows 7 Professional, Enterprise und Ultimate steht


noch ein weiterer Weg offen. Bei diesen Editionen stellt Microsoft den
sogenannten XP-Modus zur Verfgung. Der XP-Modus ist eine Kombination aus Microsofts Virtualisierungssoftware Virtual PC und einer verschlankten vorab aktivierten und voll lizenzierten Installation von Windows XP mit Service Pack 3. Allerdings wird der XP-Modus nicht mit
Windows 7 mitgeliefert. Wer ihn bentigt, muss beide Komponenten von
der Website von Microsoft herunterladen.
Den XP-Modus fhrt Microsoft in Windows 7 ein, um auch Anwendern
den Umstieg zu ermglichen, die Anwendungen verwenden, die unter
Windows Vista bzw. unter Windows 7 nicht laufen. Damit will Microsoft
insbesondere Unternehmen untersttzen, die mit Windows Vista bzw.
Windows 7 inkompatible Unternehmenslsungen einsetzen und deshalb
den Umstieg auf Windows Vista gescheut haben [XPMODE].

159

Kapitel 3 Software verwalten und installieren


Umfangreiche
Systemanforderungen

Wer den XP Modus einsetzen will, muss allerdings beachten, dass damit
die Anforderungen an die Hardware steigen. Fr den XP-Modus empfiehlt
Microsoft mindestens zwei Gigabyte Arbeitsspeicher und 15 Gigabyte
mehr zustzlichen Platz auf der Festplatte. Entscheidender aber ist, dass
eine prozessorseitige Untersttzung fr die Virtualisierung vorhanden sein
muss. Um eine mglichst gute Anbindung an die PC-Hardware zu erreichen, verwendet Microsoft fr seinen XP-Modus Virtualisierungsfunktionen aktueller PC-Prozessoren. Bei Intel heien diese Intel Virtualization
Technology (Intel VT), bei AMD kurz AMD-V.
Intel beispielsweise bietet mit dem Processor Identification Utility ein Gratistool, mit dem sich prfen lsst, ob ein Prozessor die geforderten Virtualisierungsfunktionen beherrscht. Das Tool kann als direkt startbare Version
heruntergeladen werden [INTEL].
Zustzlich muss die BIOS-Version des Mainboard-Herstellers eine Funktion fr hardwareseitige Virtualisierung enthalten, und diese muss auch
aktiviert sein. Insbesondere bei Notebooks fr Privatanwender ist diese
Option blicherweise deaktiviert.

Arbeitsweise des
XP-Modus

Ist der Windows XP-Modus installiert, lassen sich virtualisierte Anwendungen direkt vom Desktop ber Verknpfungen starten. Sie werden
dann in einem ganz normalen Fenster von Windows 7 angezeigt und
nicht etwa in einer im Fenster laufenden virtuellen Maschine. Hierzu
mssen die gewnschten Anwendungen in dem virtuellen PC installiert
werden. Die in den virtuellen Computern installierten Anwendungen
lassen sich ber die sogenannten Integrationsfeatures direkt in Windows
7 einblenden und erscheinen dann in dessen Startmen unter Windows
XP Mode Anwendungen. Wird eine solch virtualisierte Anwendung gestartet, ffnet sie sich in einem eigenen Fenster und verschmilzt mit dem
brigen Desktop.
Auerdem erhalten die im XP-Modus ausgefhrten Programme Zugriff
auf alle Laufwerke, auf die auch von Windows 7 aus Zugriff besteht
sowie auf die gemeinsame Zwischenablage. Damit ist fr den Anwender
die Ausfhrung der Programme im XP-Modus vollstndig transparent.
Lediglich die Darstellung der Anwendungen im XP-Design macht deutlich, dass er eine Anwendung im XP-Modus ausfhrt.

Nachteile des
XP-Modus

160

Da der Windows XP-Modus die virtuelle Maschine mit XP nicht vollstndig vom Host-Betriebssystem abschottet, muss das XP-Betriebssystem in
vollem Umfang vor mglichen Sicherheitsrisiken geschtzt werden. Dies
bedeutet, dass nicht nur ein Antivirus-Programm installiert werden
muss, sondern dass auch alle weiteren Schutzmanahmen wie das regelmige Einspielen von Sicherheitsupdates erforderlich ist. Insbesondere
Unternehmen mssen daher, neben den Kosten fr die erhhten Systemanforderungen, auch den erhhten Supportaufwand einkalkulieren.

Nicht kompatible Anwendungen unter Windows 7 nutzen

3.3.6

Umgang mit 16-Bit-Windows- und


DOS-Anwendungen

Zwar begegnen einem 16-Bit- und DOS-Anwendungen nur noch sehr selten, doch kann es immer noch Bereiche geben, in denen ihr Einsatz erforderlich ist.

Windows 7 untersttzt, wie auch alle Vorgngerversionen, sowohl 16-BitAnwendungen als auch DOS-Anwendungen mit einer Kompatibilittsschnittstelle in Form einer Virtual DOS Machine (NTVDM). Dabei legt
das Betriebssystem eine Umgebung an, die einer DOS-Umgebung entspricht.
Im Unterschied zu den 16-Bit-Anwendungen wird aber generell jedes DOSProgramm in einer eigenen virtuellen Maschine ausgefhrt, da unter MS
DOS jedes Programm den gesamten Speicher fr sich beansprucht.
Aber auch 16-Bit-Anwendungen knnen so konfiguriert werden, dass sie in 16-Bit-Anwengetrennten Speicherbereichen laufen, wobei mehrere NTVDMs erstellt wer- dungen getrennt
den. Standardmig wird eine einzelne NTVDM gestartet, wenn die erste starten
16-Bit-Anwendung gestartet wird. Alle weiteren 16-Bit-Anwendungen werden dann ebenfalls innerhalb dieser NTVDM gestartet. Dies bedeutet, dass
sich alle 16-Bit-Anwendungen einen gemeinsamen Speicherbereich teilen.
Verursacht eine Anwendung einen Fehler, bleiben auch alle anderen 16-BitAnwendungen hngen.
Um eine Anwendung in einer eigenen NTVDM zu starten, stehen verschiedene Mglichkeiten zur Verfgung.
An der Eingabeaufforderung knnen Anwendungen mit dem Befehl Start Befehl Start
ausgefhrt werden. Fr die Ausfhrung von 16-Bit-Anwendungen sind
zwei spezielle Parameter verfgbar. Mit dem Befehl
start /separate Pfad und Name der Anwendung

kann eine 16-Bit-Anwendung in einem eigenen Speicherbereich ausgefhrt werden. Der Befehl
start /shared Pfad und Name der Anwendung

hingegen startet die 16-Bit-Anwendung in einem gemeinsam genutzten


Speicherbereich.
Wird zu einer 16-Bit-Anwendung eine Verknpfung erstellt, kann auf der
Registerkarte Verknpfung die Option Erweitert gewhlt werden. Im Dialogfeld Erweiterte Eigenschaften steht damit die Option In getrenntem
Speicherbereich ausfhren zur Verfgung.
Aber auch fr DOS-Anwendungen gibt es eine Reihe von Einstellmg- DOS-Anwendunlichkeiten fr einen optimierten Einsatz unter Windows 7. Die Konfigura- gen
tion ist mglich im Eigenschaftendialogfeld, das ber das zugehrige
Kontextmen geffnet werden kann.

161

Kapitel 3 Software verwalten und installieren


Abbildung 3.23
Parameter der
Anwendung Start

3.4

Softwareverwaltung mit
Gruppenrichtlinien

Die Bereitstellung von Software in Unternehmensnetzwerken ist ohne


Lsungen fr eine automatisierte Verteilung kaum zu handhaben. Windows 7 fgt sich dabei gut in bestehende Lsungen ein, wie der folgende
Abschnitt am Beispiel von Gruppenrichtlinien zur Softwareverteilung
zeigt.

3.4.1
Voraussetzungen

162

Softwareverteilung mit
Gruppenrichtlinien

In Active Directory-basierten Unternehmensnetzwerken steht eine integrierte Methode zur automatisierten Installation von Software zur Verfgung: Softwareverteilung mit Gruppenrichtlinien. Hierbei werden Anwendungen mittels Active Directory-Gruppenrichtlinien und dem Windows
Installer-Dienst zentral verwaltet, d.h. installiert, gewartet und entfernt.
Mithilfe einer richtlinienbasierten Methode zum Verwalten der Softwarebereitstellung kann auerdem sichergestellt werden, dass die von den
Benutzern bentigten Anwendungen im Bedarfsfall berall verfgbar
sind, unabhngig davon, welchen Computer sie gerade benutzen.

Softwareverwaltung mit Gruppenrichtlinien

Um die Funktion fr die richtlinienbasierte Softwareinstallation und


-wartung nutzen zu knnen, wird Active Directory bentigt. Die ClientComputer mssen Windows 2000 Professional, Windows XP (Professional), Windows Vista oder Windows 7 (ausgenommen sind jeweils die
Home-Editionen) ausfhren. Frhere Windows-Versionen untersttzen
keine Gruppenrichtlinien und knnen deshalb fr die Softwareverwaltung nicht verwendet werden.

Bentigt werden weiterhin Microsoft Installer-(MSI-)Paketdateien fr die Installationsjeweils zu installierenden Anwendungen. Auch .zap-Dateien knnen ver- dateien
wendet werden. Durch eine .zap-Datei wird ein ausfhrbares Setup-Programm angegeben, das in der Systemsteuerung unter Software Benutzern,
die ber Administratorrechte verfgen, auf dem lokalen Computer angezeigt wird. Einschrnkend knnen .zap-Dateien nur verffentlicht werden, fr sie ist keine Zuweisung mglich.
Nhere Informationen zur Microsoft Installer-Technologie finden Sie im
Abschnitt 3.2 ab Seite 144.
Die Gruppenrichtlinien fr die Softwareverwaltung knnen, wie alle anderen Gruppenrichtlinien, auf Benutzer oder Computer in einem Standort, in
einer Domne oder in einer Organisationseinheit angewendet werden. Der
Installations- und Bereitstellungsvorgang umfasst, neben der Vorbereitung
mit einer Analyse der Softwareanforderungen, den Erwerb der Software
und den Erwerb von Paketdateien vom Hersteller einer Anwendung bzw.
das Erstellen von Windows Installer-Paketdateien fr eine Anwendung,
vor allem die Bereitstellungsphase. Diese gliedert sich im Wesentlichen in
zwei Hauptschritte:
Erstellung eines Softwareverteilungspunktes
Erstellung und Konfiguration eines Gruppenrichtlinienobjekts zum
Bereitstellen der Anwendung

Erstellung eines Softwareverteilungspunktes


Installer-Pakete und Softwaredateien mssen an einem Softwareverteilungspunkt zur Verfgung stehen, sodass die Dateien beim Installieren von Software auf einem Client-Computer von diesem Punkt kopiert werden knnen.
Ein Softwareverteilungspunkt ist ein freigegebener Ordner, der die Paketdateien zum Bereitstellen von Software enthlt. Hierbei kann es sich um ein
freigegebenes Verzeichnis auf einem Server, um einen DFS-(Distributed File
System-)Ordner oder um eine CD-ROM mit den Paket- und Installationsdateien handeln.
Fr jede Anwendung sollte ein separater Ordner am Softwareverteilungspunkt erstellt werden. Wichtig ist die Festlegung entsprechender Berechtigungen fr den freigegebenen Ordner. Nur Administratoren sollten ber
Schreibrechte verfgen. Fr die Benutzer gengen Leseberechtigungen, um
auf die Softwareinstallationsdateien am Softwareverteilungspunkt zugreifen zu knnen.

163

Kapitel 3 Software verwalten und installieren

Benutzer sollten den Inhalt des freigegebenen Ordners am Softwareverteilungspunkt nicht durchsuchen knnen. Dies kann mit einer verborgenen Freigabe verhindert werden (beispielsweise software$).

Bereitstellung eines Softwarepakets


Die Bereitstellung des einzelnen Softwarepakets umfasst die Erstellung
und Konfiguration entsprechender Gruppenrichtlinien gem Abbildung
3.24 Gruppenrichtlinienverwaltungs-Editor unter Softwareeinstellungen/Softwareinstallation.
Der Bereich Softwareinstallation steht nur in Active Directory-basierten
Gruppenrichtlinienobjekten zur Verfgung. Im lokalen Gruppenrichtlinienobjekt von Windows 7-Rechnern fehlt diese Einstellung. Ein Windows 7-Rechner kann daher nicht zur Verteilung von Software mit
Gruppenrichtlinien an andere Rechner verwendet werden.
Wie die folgende Abbildung zeigt, kann Software sowohl fr Benutzerkonten als auch fr Computerkonten bereitgestellt werden und ist deshalb sowohl im Bereich Benutzerkonfiguration als auch unter Computerkonfiguration zu finden.
Abbildung 3.24
Gruppenrichtlinien
fr die Softwareverteilung

Einsatz der Gruppenrichtlinienverwaltungskonsole unter


Windows 7
Zum Verwalten der Domnengruppenrichtlinien kann die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console,
GPMC) verwendet werden. Die Gruppenrichtlinien-Verwaltungskonsole besteht aus einem MMC-Snap-in und einem Satz skriptfhiger Schnittstellen zum Verwalten der Gruppenrichtlinie. In Windows 7
ist GPMC allerdings nicht standardmig integriert, sondern muss
zusammen mit den Remoteserver-Verwaltungstools (RSAT) nachtrglich installiert werden.

164

Softwareverwaltung mit Gruppenrichtlinien

Wie auch bei den Vorgngerversionen stellt die Microsoft Remoteserver-Verwaltungstools (Remote Server Administration Tools RSAT)
fr Windows 7 zum kostenlosen Download bereit [RSAT]. Damit knnen von Computern unter Windows 7 Rollen und Funktionen auf
Remotecomputern mit Windows Server 2008 R2, Windows Server 2008
oder Windows Server 2003 verwaltet werden. Durch das Installieren
von RSAT wird die GPMC allerdings nicht automatisch installiert. Wie
auch bei den Vorgngerversionen, mssen einige in Windows-7 integrierte Programme und Funktionen vor der Verwendung im Bereich
Windows-Funktionen aktivieren oder deaktivieren aktiviert werden.

Ausfhrliche Erluterungen zur Aktivierung zustzlicher Funktionen


finden Sie in Abschnitt 3.1.2 ab Seite 136.
Um ein neues Softwarepaket bereitzustellen, sind im Kontextmen von
Softwareinstallation die Optionen Neu und Paket zu verwenden. Hier sind
im ersten Schritt das gewnschte Paket und anschlieend die Bereitstellungsmethode zu whlen. Untersttzt werden die beiden Bereitstellungsarten Verffentlichen und Zuweisen.
Abbildung 3.25
Auswahl der Bereitstellungsmethode

Software zuweisen
Software kann entweder Benutzern oder Computern zugewiesen oder
verffentlicht werden.
Einem Benutzer zuweisen
Wird einem Benutzer Software zugewiesen, wird die Anwendung
dem Benutzer beim nchsten Anmelden des Benutzers angekndigt.
Sobald ein Benutzer ein unbekanntes Dokument oder eine Anlage per
Doppelklick ffnet, prft der Windows Installer, ob eine zugewiesene
Anwendung auf dem Computer des Benutzers bereitsteht, die
Anwendung jedoch noch nicht installiert wurde.
Einem Computer zuweisen
Wird die Software einem Computer zugewiesen, findet keine Ankndigung statt. Stattdessen wird die Software automatisch installiert, wenn
der Computer gestartet wird. Durch Zuweisen von Software zu einem
Computer kann sichergestellt werden, dass bestimmte Anwendungen
auf diesem Computer immer zur Verfgung stehen, unabhngig davon,
welcher Benutzer den Computer verwendet. Domnencontroller bilden
hier eine Ausnahme, diesen kann keine Software zugewiesen werden.

165

Kapitel 3 Software verwalten und installieren

Zugewiesene Software kann nicht gelscht werden. Wenn ein Benutzer die Anwendung im Bereich Programme und Funktionen entfernt,
wird die Ankndigungsoption beim nchsten Start erneut auf den
Computer oder Benutzer angewendet.
Nachdem eine Gruppenrichtlinie fr eine neue zu verteilende Anwendung
erstellt wurde, wird das Paket im Detailbereich von Softwareinstallation im
Gruppenrichtlinienobjekt aufgelistet. Hier kann jederzeit der Status der
betreffenden Software hinsichtlich Bereitstellungszustand, Upgrade-Typ
u.a. abgefragt werden. Eine Aktualisierung des Bereitstellungsstatus erfolgt
jeweils bei Bereitstellung einer neuen Software und bei Bereitstellung eines
Updates oder Service Packs.

Software verffentlichen
Softwareverffentlichung bedeutet, dass die Anwendung den Benutzern
zur Installation auf ihren Computern zur Verfgung gestellt wird. Allerdings gibt es auf dem Desktop des Benutzers kein Anzeichen fr die Software. Es ist keine Ankndigungsinformation vom Windows Installer ber
die Software auf dem Computer, weder in der Registrierung noch als Verknpfungen auf dem Desktop oder im Startmen, vorhanden. Die Ankndigungsattribute werden stattdessen in Active Directory gespeichert.
Da Benutzer die verffentlichte Software aktiv installieren mssen, kann
Software nur fr Benutzer, nicht jedoch fr Computer verffentlicht werden.
Benutzer knnen verffentlichte Software auf zwei Arten installieren:
Mithilfe der Option Programme und Funktionen
Am schnellsten knnen Sie diese Konsole ffnen, indem Sie im Suchfeld des Startmens den Befehl Appwiz.cpl eingeben. Unter Programm
vom Netzwerk installieren wird eine Liste der verfgbaren Anwendungen angezeigt. Der Benutzer kann dann die gewnschte Anwendung
auswhlen und installieren.
Mithilfe von Dateiverknpfungen
Wenn eine Anwendung in Active Directory verffentlicht ist, sind die
Dateinamenerweiterungen fr die von ihr untersttzten Dokumente in
Active Directory registriert. Wenn ein Benutzer auf einen unbekannten
Dateityp doppelt klickt, sendet der Computer eine Abfrage an Active
Directory, um zu bestimmen, ob dieser Dateinamenerweiterung Anwendungen zugeordnet sind. Wenn Active Directory eine solche verffentlichte Anwendung findet, wird diese Anwendung installiert.
Software
installieren

166

Die folgende Abbildung zeigt am Beispiel der Server-Verwaltungstools


im Dialogfeld Programm vom Netzwerk beziehen verffentlichte Software.

Softwareverwaltung mit Gruppenrichtlinien


Abbildung 3.26
Verffentlichte
Anwendungen im
Bereich Programme

Nur bei der Erstellung eines neuen Pakets im Gruppenrichtlinienobjekt fr


die Softwarebereitstellung ist es mglich, dem Paket eine Anpassungsdatei
bzw. Transformationsdatei hinzuzufgen. Erluterungen zum Umgang mit
Transformationsdateien finden Sie in Abschnitt 3.2.1 ab Seite 145.
Hierfr ist ein neues Paket mit der Option Erweitert bei Auswahl der TransformationsBereitstellungsmethode zu installieren. Anschlieend kann auf der Regis- datei verwenden
terkarte nderungen die gewnschte Transformationsdatei hinzugefgt
werden.
Transformationsdateien knnen nie allein angewendet bzw. im Rahmen
der Softwareverteilung allein bereitgestellt werden, sondern immer nur
ein bestehendes .msi-Paket ndern.
Nachdem ein Softwarepaket mithilfe von Gruppenrichtlinien bereitgestellt Bereitstellungswurde, knnen die Eigenschaften des Pakets in dem Dialogfeld Bereitstel- optionen
lung von Software gendert werden.
Es kann beispielsweise bestimmt werden, dass ein zugewiesenes Softwarepaket nicht unter Programme und Funktionen angezeigt wird. Auerdem ist
es mglich, die Option Anwendung deinstallieren, wenn sie auerhalb des Verwaltungsbereichs liegt zu aktivieren. In diesem Fall wird die bereitgestellte
Software automatisch deinstalliert, wenn ein Benutzer oder Computer in
eine Organisationseinheit oder Domne verschoben wird, in der dieses
Gruppenrichtlinienobjekt nicht mehr angewendet wird.
Wie die folgende Abbildung zeigt, knnen auf dieser Registerkarte nicht
nur die wichtigsten Bereitstellungsoptionen gendert werden, sondern
nachtrglich auch die Bereitstellungsart. Weiterhin ist die Festlegung der
Benutzeroberflchenoptionen fr die Installation mglich.

167

Kapitel 3 Software verwalten und installieren


Abbildung 3.27
Konfiguration der
Bereitstellungsoptionen eines Softwarepakets

Windows Installer-Pakete werden hufig mit zwei verschiedenen Installationsoberflchen geliefert. Die Auswahl der Option Einfach installiert
die Software mithilfe von Standardwerten. Bei Auswahl von Maximum
wird der Benutzer zur Eingabe von Werten aufgefordert.

Bereitgestellte Software verwalten


Die Bereitstellung von Software ist in aller Regel kein einmaliger Vorgang,
sondern zieht die regelmige Wartung der Anwendungen nach sich. So ist
es beispielsweise notwendig, Service Packs einzuspielen und Anwendungen mittels Updates zu aktualisieren, um sicherzustellen, dass die Benutzer
immer ber die aktuelle Version verfgen. Die Funktion der Softwareverteilung mit Gruppenrichtlinien erlaubt deshalb nicht nur die Bereitstellung
von Anwendungen, sondern auch deren Verwaltung. Die Softwareverwaltung umfasst im Wesentlichen die folgenden drei Aufgabengebiete:
Aktualisierungen: Diese schlieen alle nderungen mittels Patches
und Updates nach der Erstinstallation ein.
Reparaturen: Hierzu gehrt beispielsweise die automatische Neuinstallation gelschter Dateien.
Entfernen von Anwendungen: Das Entfernen umfasst das vollstndige
Lschen der Anwendungen vom Computer, wenn diese nicht lnger
bentigt werden.
Anwendungen
aktualisieren

168

Die Aktualisierung installierter Software ist eine der Hauptaufgaben im


Rahmen der Anwendungsverwaltung. Nachdem ein Update, ein Service
Pack oder ein Patch getestet und fr eine Anwendung fr die Verteilung

Softwareverwaltung mit Gruppenrichtlinien

freigegeben wurde, hngt die weitere Vorgehensweise von der vorliegenden Software ab:
Software Patch oder Service Pack
Patches fr eine Anwendung liegen hufig in Form eines neuen .msiPakets vor. In diesem Fall gengt es, das alte Paket am Softwareverteilungspunkt durch das neue Paket zu ersetzen.
Um ein bereits zugewiesenes oder verffentlichtes Paket erneut bereitzustellen, kann im Gruppenrichtlinienobjekt-Editor im Kontextmen
des Pakets, mit dem die Software ursprnglich bereitgestellt wurde, die
Option Anwendung erneut bereitstellen ausgewhlt werden. Die aktualisierten Dateien werden daraufhin zu den Benutzern kopiert und, je
nachdem, wie das ursprngliche Paket bereitgestellt wurde, neu angekndigt.
Wenn die Software einem Benutzer zugewiesen wurde, werden
das Startmen, die Verknpfungen auf dem Desktop und die
Registrierungseinstellungen, die sich auf diese Software beziehen,
bei der nchsten Anmeldung des Benutzers aktualisiert. Wenn der
Benutzer die Software das nchste Mal startet, werden das Service
Pack oder der Patch automatisch angewendet.
Wenn die Software einem Computer zugewiesen wurde, werden
das Service Pack oder der Patch automatisch beim nchsten Starten des Computers angewendet.
Wenn die Software verffentlicht und installiert wurde, wird,
wenn der Benutzer die Software das nchste Mal startet, das Service Pack oder der Patch automatisch angewendet.
Update einer Anwendung
Upgrades bzw. Updates von Anwendungen umfassen meist grere
nderungen, die oft auch eine erhebliche Anzahl von Dateien ndern.
Hier hngt es von der verwendeten Anwendung und dem Aktualisierungspaket ab, ob die vorhandene Anwendung zuvor entfernt werden
muss oder ob das neue Paket nur die notwendigen Dateien ersetzt.

Unabhngig davon, ob die Originalanwendung zugewiesen oder verffentlicht wurde, stehen fr eine Aktualisierung zwei Optionen zur Verfgung:
Obligatorische Aktualisierung: Obligatorische Aktualisierungen ersetzen

Aktualisierungs-

eine alte Softwareversion automatisch durch eine aktualisierte Version. arten


Beim nchsten Computerstart oder bei der nchsten Benutzeranmeldung wird automatisch die neue Version installiert.
Optionale Aktualisierung: Bei einer optionalen Aktualisierung kann der
Benutzer selbst entscheiden, ob und wann die Aktualisierung auf die
neue Version durchgefhrt wird. Jeder, der die Software installiert
hat, kann die vorhandene Version weiter verwenden. Benutzer, welche die vorhandene Anwendung noch nicht installiert hatten, knnen
entweder die alte oder die neue Version installieren.
Um ein bereits zugewiesenes oder verffentlichtes Paket erneut bereitzustellen, ist im Gruppenrichtlinienobjekt-Editor zunchst eine neue
Gruppenrichtlinie fr das Update-Paket zu erstellen und in dessen
Eigenschaftendialogfeld die Registerkarte Aktualisieren zu whlen. Soll

169

Kapitel 3 Software verwalten und installieren

eine obligatorische Aktualisierung durchgefhrt werden, muss die


Option Vorhandene Pakete aktualisieren aktiviert werden. Andernfalls
erfolgt die Aktualisierung optional.
Die aktualisierten Dateien werden daraufhin zu den Benutzern kopiert
und, je nachdem, wie das ursprngliche Paket bereitgestellt wurde, neu
angekndigt.
Anwendungen
reparieren

Zugewiesene Anwendungen verfgen quasi ber eine integrierte Reparaturfunktion. Sie knnen vom Benutzer nicht gelscht werden. Wenn ein
Benutzer die Anwendung mithilfe der Option Software entfernt, wird die
Ankndigungsoption beim nchsten Start erneut auf den Computer oder
Benutzer angewendet.

Bereitgestellte
Software
entfernen

Gruppenrichtlinien knnen nicht nur zum Bereitstellen, sondern auch


zum Entfernen von Software verwendet werden. Damit kann die nicht
mehr bentigte Software entweder automatisch oder beim Start des Client-Computers entfernt werden oder wenn sich der Benutzer erstmals
wieder anmeldet.
Um eine Anwendung zu deinstallieren, muss die Softwarepaketeinstellung aus dem Gruppenrichtlinienobjekt, mit dem die Software ursprnglich bereitgestellt wurde, entfernt werden. Zur Entfernung des Pakets
sind die folgenden Arbeitsschritte durchzufhren:
Im Kontextmen des gewnschten Pakets ist hierzu die Option Alle Tasks
und Entfernen zu whlen. Die gewnschte Entfernungsart kann in dem
daraufhin erscheinenden Dialogfeld ausgewhlt werden.
Erzwungene Entfernung
Bei Auswahl der Option Software sofort von Benutzern und Computern
deinstallieren knnen Benutzer die Software weder weiterhin ausfhren
noch installieren. Die Anwendung wird automatisch von einem Computer gelscht, entweder beim nchsten Computerstart oder bei der
nchsten Benutzeranmeldung. Die Entfernung findet statt, bevor der
Desktop angezeigt wird.
Optionale Entfernung
Bei Auswahl der Option Benutzer drfen die Software weiterhin verwenden, aber Neuinstallationen sind nicht zugelassen wird die Anwendung
nicht von den Computern entfernt. Sie wird aber nicht mehr unter Software aufgelistet und kann nicht mehr installiert werden. Benutzer, die
diese Software installiert haben, knnen sie weiterhin verwenden.
Wenn Benutzer die Software jedoch manuell lschen, knnen sie diese
nicht erneut installieren.
Um zu erreichen, dass eine Anwendung entfernt wird, wenn ein
Gruppenrichtlinienobjekt nicht lnger angewendet wird (beispielsweise weil der Computer in eine andere Domne verschoben wurde),
muss in dem Eigenschaftendialogfeld der Anwendung die Option
Anwendung deinstallieren, wenn sie auerhalb des Verwaltungsbereichs liegt
auf der Registerkarte Bereitstellung von Software aktiviert werden (siehe
Abbildung 3.27 auf Seite 168

170

Softwareverwaltung mit Gruppenrichtlinien

3.4.2

Anwendungssteuerung mit
Gruppenrichtlinien

Windows 7 und Windows Server 2008 R2 bringen eine neue Funktion


mit, mit deren Hilfe dediziert festgelegt werden kann, welche Anwendungen von Benutzern ausgefhrt werden knnen. Die als AppLocker
bezeichnete Funktion ermglicht das Angeben der Benutzer oder Gruppen, die bestimmte Anwendungen ausfhren knnen. Mithilfe von
Gruppenrichtlinien kann Folgendes gesteuert werden:
Welche Anwendungen darf ein Benutzer ausfhren?
Welcher Benutzer darf eine Software installieren?
Welche Anwendungsversionen sind erlaubt?
Wie sollen lizenzierte Anwendungen gesteuert werden?

Die AppLocker-Anwendungssteuerungsrichtlinien sind eine Weiterentwicklung der bereits seit Windows XP bzw. Windows 2004 verfgbaren
Richtlinien fr Softwareeinschrnkungen. Allerdings kennt AppLocker
mehr Optionen, und die Abstufungen sind feiner. So ermglicht AppLocker beispielsweise die Definition eines Regelbereichs fr ausgewhlte
Benutzer und Gruppen.
AppLocker ist in allen Editionen von Windows Server 2008 R2 und in SystemvorausWindows 7 Ultimate und Windows 7 Enterprise verfgbar. Hierbei ist setzungen
Folgendes zu beachten:
Zum Erstellen von AppLocker-Regeln wird Windows Server 2008,
Windows 7 Enterprise, Ultimate oder Professional bentigt. Auerdem
mssen auf mindestens einem Computer die Gruppenrichtlinien-Verwaltungskonsole (GPMC) oder die Remoteserver-Verwaltungstools
(Remote Server Administration Tools, RSAT) installiert sein, um die
AppLocker-Regeln zu hosten.
AppLocker-Regeln knnen auf Computern unter Windows 7 Ultimate und Enterprise, nicht jedoch unter Windows 7 Professional
erzwungen werden. Auf Computern, auf denen Windows-Versionen
vor Windows 7 eingesetzt werden, knnen ebenfalls keine AppLocker-Richtlinien erzwungen werden.

AppLocker-Regeln konfigurieren
Die AppLocker-Anwendungssteuerungsrichtlinien sind im Gruppenrichtlinienobjekt in den Sicherheitseinstellungen zu finden.
In Windows 7 und in Windows Server 2008 R2 sind sowohl die lteren
Richtlinien fr Softwareeinschrnkung als auch die AppLocker-Anwendungssteuerungsrichtlinien implementiert. Allerdings kann nur eine
der beiden Technologien verwendet werden, und sobald Sie AppLocker
einsetzen, werden ltere Softwareeinschrnkungsregeln ignoriert.

171

Kapitel 3 Software verwalten und installieren

In Active Directory-Umgebungen, in denen sowohl Softwareeinschrnkungsrichtlinien als auch AppLocker-Richtlinien verwendet werden
sollen, kann das Problem durch Verwendung unterschiedlicher Gruppenrichtlinienobjekte (Group Policy Object, GPO) umgangen werden.
Abbildung 3.28
AppLocker-Richtlinien steuern,
welche Anwendungen von Benutzern
ausgefhrt werden
knnen.

Verfahrensweise

Das AppLocker-Snap-in ist in drei Bereiche unterteilt.


Erste Schritte
Regelerzwingung konfigurieren
bersicht
Die Regelsammlung unterscheidet wiederum vier Regelarten. Die vier
Regelsammlungen sind ausfhrbare Dateien, Skripts, Windows InstallerDateien und DLL-Dateien. Diese Sammlungen ermglichen eine differenzierte Erstellung von Regeln fr verschiedene Anwendungstypen und
die Steuerung folgender Anwendungstypen: Ausfhrbare Dateien (EXE
und COM), Skripte (JS, PS1, VBS, CMD und BAT), Windows InstallerDateien (MSI und MSP) sowie DLL-Dateien (DLL und OCX).
Die DLL-Regelsammlung ist standardmig nicht aktiviert, da DLL-Regeln
nur in seltenen Fllen, d.h. in sicherheitssensiblen Bereichen, bentigt werden. Auf der Registerkarte Erweitert muss diese gesondert aktiviert werden.

172

Softwareverwaltung mit Gruppenrichtlinien


Abbildung 3.29
DLL-Regeln knnen
erst nach gesonderter Aktivierung
erstellt werden.

Die Erstellung einer neuen Regel wird durch einen Assistenten untersttzt.
Ob eine Datei ausgefhrt werden darf, kann im Dialogfeld anhand von
drei Kriterien festgelegt werden, die als Regelbedingungen bezeichnet werden. Die drei primren Regelbedingungen sind Herausgeber, Pfadregel und
Dateihash:
Dateihash: Wenn eine Dateihash-Bedingung ausgewhlt ist, berechnet
das System einen kryptografischen Hash, also eine Prfsumme fr
die Datei. Diese muss allerdings bei jedem Update erneuert werden.
Pfadregel: Entscheidet je nach genauem Dateinamen plus Pfad, ob eine
Datei ausgefhrt werden kann. Kann allerdings durch Kopieren der
betreffenden Datei unterlaufen werden.
Herausgeber: Diese Bedingung identifiziert eine Anwendung basierend
auf der digitalen Signatur und den erweiterten Attributen. Die digitale
Signatur enthlt Informationen zum Ersteller der Anwendung (dem
Herausgeber). Die erweiterten Attribute, die von der Binrressource
beibehalten werden, enthalten den Produktnamen der Anwendung
und ihre Versionsnummer. Hier sind sehr feine Abstufungen mglich.
So knnen Sie beispielsweise von einer bestimmten EXE-Datei eine
Mindestversionsnummer verlangen, um etwa eine Software zwar prinzipiell zu erlauben, jedoch nicht die Ausfhrung veralteter Versionen
mit eventuell bekannten Sicherheitslcken.

Assistent zur
Regelerstellung

173

Kapitel 3 Software verwalten und installieren

Regeln testen im Audit-Modus


Grundstzlich gilt: Sobald Sie mindestens eine Regel definiert haben,
werden automatisch alle Programme gesperrt, die nicht ausdrcklich von
einer Regel zugelassen sind. Daher muss die AppLocker-Funktion mit
sehr viel Umsicht konfiguriert werden.
Hilfreich ist hierbei der Audit-Modus. Hierbei werden keine Programme
eingeschrnkt, aber protokolliert, wie sich Regeln auswirken wrden,
sobald AppLocker die Regeln erzwingt. Damit ist es mglich zu testen, ob
die vorhandenen Regeln wie gewnscht funktionieren oder ob Sie weitere Regeln hinzufgen mssen, um das gewnschte Ziel zu erreichen.
Audit-Modus
aktivieren

Der Audit-Modus kann gesondert fr die vier Regelsammlungen eingeschaltet werden. Verwenden Sie hierzu die Option Regelerzwingung konfigurieren. Die Auswahl Nur berwachen schaltet fr die gewhlte Regelsammlung den Audit-Modus ein.

Abbildung 3.30
Audit-Modus fr
die gewnschte
Regelsammlung
aktivieren

Wenn die Tests ergeben, dass die Regeln den Anforderungen entsprechen,
kann AppLocker vom Analyse- in den Erzwingen-Modus geschaltet werden. Damit werden alle Regeln erzwungen, und nicht zugelassene Programme lassen sich beispielsweise nicht mehr starten.

174

Konfiguration der
Benutzerschnittstellen

Wer bereits mit Windows Vista gearbeitet hat, findet bei Windows 7 eine
weitgehend vertraute Benutzeroberflche vor. Dies liegt vor allem an der
mit Vista eingefhrten Aero-Glas-Oberflche, welche die Fenster in einem
transparenten Modus anzeigt.
Und doch gibt es auch gegenber Windows Vista eine Reihe von nderungen, denn bei Windows 7 rckt Microsoft die Bedienung und das effiziente Arbeiten mit dem PC strker in den Vordergrund. So gibt es insbesondere bei der Taskleiste eine Reihe von Vernderungen gegenber den
Vorgngerversionen.
Dieses Kapitel stellt mit dem Desktop, der Startleiste, der Taskleiste und
dem Windows-Explorer die wichtigsten Benutzerstellen fr die Arbeit
mit Windows 7 vor und erlutert die Mglichkeiten, um diese an die eigenen Bedrfnisse anzupassen.

4.1

Benutzeroberflche

Das zentrale Merkmal der Benutzeroberflche von Windows 7 heit Aero


und ist ein spezieller Grafikmodus, der die 3D-Funktionen der Grafikkarte
fr die Darstellung spezieller Desktopeffekte nutzt.

4.1.1

Leistungsmerkmale der Aero-Oberflche

Die Windows-Aero-Oberflche baut auf einer Basisoberflche auf und


ergnzt diese um die nachstehenden Funktionen:
Transparenter Glaseffekt
Flssige Fensteranimationen
Windows Flip/Flip-3D zum komfortablen Wechseln zwischen laufenden Anwendungen.
Vorschaufenster in Taskleiste
175

Kapitel 4 Konfiguration der Benutzerschnittstellen

Selbstverstndlich kann Windows 7 auch ohne Aero-Effekte verwendet


werden. Darauf wird in diesem Kapitel ebenfalls eingegangen. Dabei sollte
der neue Transparenzmodus nicht als Spielerei abgetan werden. Durch
die transparenten Fenster kommt der Inhalt in den Vordergrund, und die
Navigation wird erleichtert. Auch die Vorschaufenster in der Taskleiste,
die in diesem Kapitel besprochen wird, optimieren Windows 7 deutlich in
Richtung verbesserter Navigation und bersichtlichkeit. Die nachstehende Auflistung stellt die wichtigsten der nur im Aero-Modus verfgbaren Desktopeffekte vor.
AeroDesktopeffekte

Windows Glas

Hinter diesem Begriff verbergen sich die Transparenzeffekte der Fensterrahmen und des Startmens. Aero-Glass bietet dem Benutzer
Anwendungsfenster mit Schattenwurf, halbtransparenten Rahmen
sowie flssige Animationen beim Minimieren. Diese Funktion wurde
bereits mit Windows Vista eingefhrt.
Aero Peek

Aero Peek ist eine neue Funktion in Windows 7, die alle geffneten
Fenster ausblendet und nur deren Rahmen anzeigt und damit den
Blick auf den Desktop freigibt. Der kleine Balken ganz rechts in der
Taskleiste aktiviert Aero Peek. Alternativ kann die Tastenkombination
()+(Leertaste) verwendet werden. Alle Fenster werden durchsichtig, solange Sie die ()-Taste gedrckt halten.
Flip und Flip-3D

Halten Sie die (Alt)-Taste fest, und drcken Sie dann (), zeigt Windows in der Bildmitte ein Vorschaufenster aller geffneten Fenster.
Jeder Druck der ()-Taste schaltet ein Fenster vorwrts. Auf dem
Desktop ist nur das jeweils gewhlte Fenster sichtbar, alle anderen
werden mit Aero Peek in den Umrissmodus geschaltet. Lassen Sie die
(Alt)-Taste los, schaltet Windows zum aktuell markierten Fenster
um. Ohne Aero funktioniert diese Tastenkombination ebenfalls, zeigt
dann aber weder Vorschaugrafiken noch Umrissmodus. Diese Funktion wurde bereits mit Windows Vista eingefhrt.
Abbildung 4.1
Umschalten
zwischen Anwendungen mithilfe von
Aero-Flip

Mit Flip-3D werden geffnete Fenster in einem Stapel angezeigt. Oben


auf dem Stapel sehen Sie ein geffnetes Fenster. Zum Anzeigen weiterer Fenster blttern Sie einfach durch den Stapel. Sie knnen Flip-3D
ffnen, indem Sie ()+() drcken. Sie knnen dann () drcken,
um durch die Fenster zu blttern. Zum Schlieen von Flip-3D drcken
Sie (Esc). Diese Funktion wurde mit Windows Vista eingefhrt.

176

Benutzeroberflche
Abbildung 4.2
Umschalten
zwischen Anwendungen mithilfe von
Aero-Flip-3D

4
Superbar-Vorschau

Wird der Mauszeiger ber einem Anwendungssymbol in der Taskleiste


platziert und wird diese Anwendung gerade ausgefhrt, blendet Windows eine Vorschau des Fensterinhalts ein. Bei mehreren laufenden
Instanzen reiht Windows die einzelnen Fensterinhalte nebeneinander
auf. Wird dann der Mauszeiger ber eine Vorschaugrafik platziert, werden alle brigen Fenster mit Aero Peek in den Umrissmodus geschaltet.
Ein Klick auf eine Vorschau springt zu diesem Fenster. Diese Funktion
wurde in Windows 7 gegenber Windows Vista nochmals erweitert.
Animationen

Beim Minimieren, Maximieren und Schlieen von Fenstern zeigt Windows eine kleine Animation und lsst das Fenster sanft in sein Symbol
in der Taskleiste fliegen. Diese Funktion wurde mit Windows Vista eingefhrt.
Windows Desktop Manager

Aero verwaltet alle Fensterinhalte in eigenen Bildschirmspeichern und


ermglicht eine stabilere Darstellungsqualitt. Reagiert ein Programm
nicht oder nur langsam, bernimmt versucht Aero, den Fensterinhalt
mit dem letzten vom Programm gelieferten Inhalt zu aktualisieren.
Reagiert ein Programm berhaupt nicht mehr, blendet Windows den
Fensterinhalt ab und zeigt darin das zuletzt empfangene Bild des Programms. Auerdem erscheint ein Dialogfeld, das anbietet, das Fenster
zu schlieen oder online nach einer Problemlsung zu suchen. Diese
Funktion wurde mit Windows Vista eingefhrt.
Mit Windows 7 fhrt Microsoft auerdem einige Neuerungen ein, die das Interessante
Neuerungen bei
Arbeiten mit Fenstern deutlich erleichtern.
Windows 7
Um ein Fenster zu maximieren, gengt es, den Fensterrahmen zum
oberen Bildschirmrand zu ziehen. Um die ursprngliche Gre wiederherzustellen, mssen Sie umgekehrt das Fenster vom oberen Bildschirmrand wegziehen. Wird das Fenster an den unteren Fensterrahmen gezogen, wird es vertikal erweitert.

177

Kapitel 4 Konfiguration der Benutzerschnittstellen


Um alle geffneten Fenster gleichzeitig zu minimieren, gengt ein

Klick auf die Schaltflche in der rechten unteren Ecke der Startleiste.
Alternativ knnen Sie durch Schtteln eines Fensters mit der Maus
alle Fenster mit Ausnahme des aktuellen Fensters minimieren.
Um die Inhalte zweier Fenster zu vergleichen, knnen Sie ein Fenster zu
einer Seite des Bildschirms und das andere Fenster zur gegenberliegenden Seite des Bildschirms ziehen. Die Gre der Fenster wird so
angepasst, dass ein Fenster jeweils die Hlfte des Bildschirms einnimmt.

4.1.2

Anpassung des Desktops

In diesem Abschnitt erfahren Sie nicht nur, wie Sie die neuen visuellen
Mglichkeiten von Windows 7 nutzen knnen, sondern auch, welche Manahmen bei der Behebung von Problemen mit dem Aero-Modus helfen.

Desktop-Eigenschaften konfigurieren
Die Optionen der Oberflche von Windows 7 lassen sich sehr detailliert
anpassen. Wenn Sie mit der rechten Maustaste auf den Desktop klicken, knnen Sie ber den Kontextmenbefehl Anpassen das nachstehend gezeigte
Dialogfeld anzeigen:
Abbildung 4.3
Windows 7 liefert
eine Reihe von Standarddesigns mit und
ohne Aero-Effekte.

178

Benutzeroberflche

In dem in Abbildung 4.3 gezeigten Dialogfeld kann entweder ein vorkonfiguriertes Designpaket gewhlt oder ein Design individuell zusammengestellt werden. Aktivieren Sie ein Designpaket, ndern sich damit der Bildschirmhintergrund, die Windows-Klnge, der Bildschirmschoner, der
Mauszeiger, die Desktopsymbole und die Fensterfarben abhngig davon,
welche Einstellungen das Designpaket enthlt
Soll der Aero-Modus verwendet werden, muss ein Design aus der Kategorie Aero-Design aktiviert werden. Bei Auswahl eines Designs aus der
Kategorie Basisdesigns wird Aero nicht verwendet.

Fehlerbehebung bei Aero

Fehlt die Gruppe Aero-Designs in der Designauswahl, hat Windows 7


festgestellt, dass der Aero-Grafikmodus nicht zur Verfgung steht. Aero
wird nur dann angeboten, wenn der PC die Voraussetzungen erfllt. Eine
wesentliche Bedeutung kommt dabei der verwendeten Grafikkarte zu. Fr
die Nutzung von Aero muss der Rechner das Windows Display Driver Model
(WDDM) untersttzen und mit einer Aero-fhigen Grafikkarte bestckt
sein. Auerdem muss die Grafik-CPU ber mindestens 128 MB Arbeitsspeicher verfgen.
Wenn Sie den Monitor mit einer Auflsung von 1.024 x 768 Bildpunkten
betreiben, sollte die Grafikkarte ber 128 MB RAM verfgen. Zustzlich
muss ein WDDM-Treiber installiert sein. Bei dieser Art von Treiber laufen
groe Teile im Benutzermodus, nicht im Kernel des Betriebssystems.
Durch diese neue Technik ist sichergestellt, dass Abstrze aufgrund des
Grafiktreibers vermieden werden. Wenn der PC diesen Voraussetzungen
nicht entspricht, wird zwar trotzdem die neue Oberflche angezeigt,
allerdings ohne die Transparenzeffekte. Der Treiber der Grafikkarte muss
Aero ebenfalls untersttzen. Die Voraussetzungen fr die Aero-Darstellung sind zusammengefasst folgende:
Die Grafikkarte muss mindestens DirectX 9 untersttzen.
Es muss ein aktueller Grafikkartentreiber fr Windows 7 installiert sein.
Damit wirklich alle Aero-Effekte funktionieren, ist es wichtig, einen aktuellen Treiber Ihrer Grafikkarte, der 7-tauglich ist, zu installieren.
Die Grafikkarte muss Pixel Shader 2.0 untersttzen. Pixel Shader sind
kleine Programme, die von 3D-Grafikkarten zum Rendern verwendet
werden, um die einzelnen Pixel so anzuzeigen, dass komplexe Grafiken
dargestellt werden knnen. Oft werden die Chips auf den Grafikkarten,
die fr das Rendern zustndig sind, selbst als Pixel Shader bezeichnet.
Grafikkarten, die diesen Modus untersttzen, sind zum Beispiel ATI
Radeon 95009800, X300X600 oder die GeForce-FX-Serie von NVIDIA.
ltere Karten untersttzen meistens Pixel Shader 1.0, die aktuellsten
Grafikkarten bereits 3.0 (Radeon X1x-Serie, GeForce 6, GeForce 7) oder
4.0 (Radeon X2x, GeForce 8).
Die Grafikkarte muss ber 128 MB RAM verfgen. Bei einer Bildschirmauflsung von 1.600 x 1.200 Bildpunkten sind 256 MB angebracht.

179

Kapitel 4 Konfiguration der Benutzerschnittstellen


Zustzlich muss ein WDDM-Treiber installiert sein. Um auch Grafik-

karten ohne WDDM einsetzen zu knnen, verwendet Windows 7


automatisch einen anderen Grafikmodus bzw. ein Basisdesign ohne
Aero-Funktionen. In diesem Modus wird die Oberflche von der CPU
statt von der Grafikkarte erzeugt.
Unter Wartungscenter/Leistungsinformationen und -tools/Detaillierte Leistungs- und Systeminformationen anzeigen und drucken knnen Sie erkennen, ob Ihre Grafikkarte DirectX 9 untersttzt.
Treiberprobleme

Falls ein Treiber Probleme bereitet, sollte dieser gegen eine aktuellere Version ausgetauscht werden. Die Effekte und auch die Geschwindigkeit des
PC werden am besten mit einem Treiber direkt vom Hersteller untersttzt,
da diese deutlich besser an die Karten angepasst sind als die Treiber von
Microsoft. Sie sollten daher immer einen aktuellen Treiber von der Herstellerseite laden, auch wenn Ihrer Grafikkarte ein passender Treiber von Windows 7 zugewiesen wird. Ist fr ein Gert weder ein Windows 7- noch ein
Windows Vista-Treiber zu erhalten, knnen Sie versuchen, den Windows
XP-Treiber zu verwenden. Windows 7 untersttzt im Kompatibilittsmodus auch einige XP-Treiber.
Ausfhrliche Hinweise zur Behandlung von Treiberproblemen finden Sie
in Kapitel 2.
Wenn trotz aller Voraussetzungen die Oberflche nicht mit den Aero-Effekten angezeigt wird, kann der Problemlsungs-Assistent fr Aero Hilfestellung bieten. Um diesen zu starten, klicken Sie in der Systemsteuerung unterhalb der Kategorie System und Sicherheit auf den Link Probleme erkennen und
beheben und anschlieend unter Darstellung und Anpassung auf den Link
Aero-Desktopeffekte anzeigen.

Abbildung 4.4
Der Aero-Problemlsungs-Assistent
kann bei Problemen
mit Aero helfen.

180

Benutzeroberflche

Manche ltere Programme sind nicht mit Aero kompatibel. Wird ein solches Programm gestartet, deaktiviert Windows unter Umstnden Aero.
Nachdem ein inkompatibles Programm wieder beendet wurde, sollte
Aero wieder angezeigt werden. Falls dies nicht der Fall ist, stellen Sie in
den Anzeigeeinstellungen sicher, dass das Aero-Design und die Transparenz im Men Fensterfarbe und -darstellung des Desktops aktiviert sind.

Konfiguration eigener Designs


Dieser Abschnitt geht nher auf die Konfiguration der integrierten Designpakete in Windows 7 ein. Sie werden ber das bereits erwhnte Fenster zur
Konfiguration der Oberflche angesteuert.

Einzeln knnen hier die folgenden Komponenten angepasst werden:


Fensterfarbe- und -darstellung
Desktophintergrund
Sounds
Bildschirmschoner

Fensterfarbe
Fr das Aussehen der Oberflche sind die beiden Funktionen Desktophintergrund und Fensterfarbe zustndig.
Sie knnen einstellen, welche Farben die Fenster haben sollen, ob diese
transparent sein sollen, und eigene Farbmischungen kreieren. Auch die
detaillierte Transparenz der Fenster kann an dieser Stelle angepasst werden. Alle Einstellungen, die Sie an dieser Stelle vornehmen, werden sofort
angewendet.
Abbildung 4.5
Auswahl der Fensterfarbe fr ein
Aero-Design

181

Kapitel 4 Konfiguration der Benutzerschnittstellen

Wenn Sie das Kontrollkstchen Transparenz aktivieren abschalten, werden


die Fensterrahmen nicht mehr transparent angezeigt. Windows entfernt
selbst das Hkchen, wenn die Hardware des PC keine Transparenz untersttzt. Wenn Sie das Hkchen selbst wieder manuell setzen, wird zwar
kurzzeitig unter Umstnden die Transparenz aktiviert, diese jedoch von
Windows 7 anschlieend selbststndig wieder deaktiviert, um die Stabilitt
des Systems nicht zu gefhrden.
Das in Abbildung 4.5 gezeigte Dialogfeld wird nur dargestellt, wenn Sie
ein Windows Aero-Design aktivieren. Bei der Auswahl eines der Basisdesigns erscheint das von den Vorgngerversionen bekannte Dialogfeld
Fensterfarbe und -darstellung.
Abbildung 4.6
Konfiguration der
Desktopeinstellungen fr ein Basisdesign

Desktophintergrund
Auch auf Unternehmens-PCs spielt die Auswahl eines Hintergrundbildes
eine wichtige Rolle; sei es fr PCs auf Messen oder Veranstaltungen, aber
auch auf den Arbeitsstationen der Mitarbeiter. Die Arbeit mit einem schnen Hintergrundbild ist auch fr Profis wesentlich angenehmer, als nur auf
einen eintnigen Bildschirm zu sehen, wenn man zwischen Anwendungen
wechselt.
Mithilfe der Option Desktophintergrund im Anpassungsfenster knnen Sie
einstellen, welches Hintergrundbild verwendet werden soll. Dazu stehen
Ihnen verschiedene hochauflsende Bilder zur Verfgung. Sie knnen den
Desktop aber auch einfarbig gestalten und die Farbe an dieser Stelle auswhlen. Windows 7 ist mit einer ganzen Reihe von Beispielbildern ausgestattet. Weitere Bilder fr Windows 7 finden Sie zum Beispiel auf der
Internetseite des offiziellen Fotografen der Hintergrundbilder fr Windows Vista: www.hamaddarwish.com. Auerdem knnen natrlich auch
eigene Bilder verwendet werden.

182

Benutzeroberflche

Wenn Sie die Bilddateien in Ihr Windows-Profil kopiert haben, finden


Sie dieses im Ordner C:\Benutzer\<Benutzername> bzw. in der Bibliothek Bilder. Nhere Informationen zur Anwendung von Bibliotheken
finden Sie im Abschnitt 4.4.4 ab Seite 213.
Wenn Sie die Beispielbilder von Windows verwenden wollen, finden
Sie diese im Verzeichnis C:\Benutzer\ffentlich\ffentliche Bilder\Beispielbilder.
Wie bereits bei den Vorgngerversionen kann die Bildposition angepasst
und das Bild beispielsweise zentriert werden. Bei einem zentrierten Hintergrundbild wird dieses in seiner originalen Auflsung dargestellt.
Wenn Sie den Monitor in einer hheren Auflsung betreiben, erscheint
um das Bild ein Rahmen, da nicht der gesamte Desktop ausgefllt wird.
Hat das Bild eine hhere Auflsung als Ihr PC, wird das Bild nicht komplett dargestellt. Sie knnen das Bild strecken lassen, damit es sich auf
den kompletten Desktop ausstreckt.

Abbildung 4.7
Auswhlen des Desktophintergrunds in
Windows 7

Vielen Anwendern ist es zu eintnig, immer das gleiche Hintergrundbild Regelmiger


zu verwenden, aber auch zu aufwendig, jedes Mal das Bild ber das Men Wechsel des
in Windows zu wechseln. Auch in Unternehmen kann es durchaus sinnvoll Hintergrunds
sein, Benutzern das Wechseln von Hintergrundbildern zu erlauben.
Mithilfe der Option Bild ndern alle xxx Minuten kann festgelegt werden,
wie hufig der Desktophintergrund gewechselt werden soll.

183

Kapitel 4 Konfiguration der Benutzerschnittstellen

Sound
Windows kann Ereignisse mit Klngen untermalen, wofr natrlich eine
Soundkarte und Lautsprecher erforderlich sind. Ein Ereignis kann eine
vom Benutzer ausgefhrte Aktion sein, beispielsweise das Anmelden
beim Computer oder eine vom Computer ausgefhrte Aktion, beispielsweise um auf den Eingang einer neuer E-Mail hinzuweisen.
Windows enthlt verschiedene Soundschemas (Sammlungen verwandter
Sounds) fr allgemeine Ereignisse.
Ein Klick auf Sounds ffnet die Klangzentrale, in der Sie ein anderes
Soundschema whlen oder ein vorhandenes Soundshema ndern knnen. Welche Klnge ein Soundschema tatschlich enthlt, sehen Sie in der
Liste darunter. Klicken Sie auf ein Ereignis, kann der zugewiesene Klang
mit der Schaltflche Testen angespielt werden.
Abbildung 4.8
Konfiguration der
Windows-Systemklnge

Bildschirmschoner
Zwar schonen Bildschirmschoner schon lange keine Bildschirme mehr,
trotzdem kann die Verwendung eines Bildschirmschoners sinnvoll sein.
Weil Bildschirmschoner automatisch aktiv werden, wenn der Computer
eine Zeit lang nicht benutzt wird, erhhen sie die Sicherheit, sofern sie mit
einem Kennwortschutz versehen sind. Das Bildschirmschonerkennwort ist
identisch mit dem Kennwort, das fr die Anmeldung bei Windows verwendet wird.
Um einen Bildschirmschoner zu aktivieren, klicken Sie in dem in Abbildung 4.9 gezeigten Dialogfeld in der Liste Bildschirmschoner auf eine
Option und klicken auf OK. Aktivieren Sie dann die Option Anmeldeseite
bei Reaktivierung, und legen Sie fest, nach wie vielen Minuten der Bildschirmschoner gestartet werden soll. Die Wartezeit sollte nicht zu lang
sein, sodass nicht autorisierte Personen keine Gelegenheit haben, auf
Ihren Computer zuzugreifen. Gleichzeitig sollten Sie aber auch keine zu
kurze Wartezeit whlen, damit der Bildschirmschoner den Computer
nicht sofort sperrt, wenn er nur fr einen Moment nicht verwendet wird.

184

Benutzeroberflche
Abbildung 4.9
Auswahl und Konfiguration eines Bildschirmschoners

Minianwendungen
Abschlieend lohnt noch ein Blick auf die integrierten Minianwendungen. In Windows 7 sind bereits einige Minianwendungen (sogenannte Gadgets) enthalten, die das Wetter, aktuelle Brsenkurse aus dem Internet oder
RSS-Feeds von Nachrichtenseiten anzeigen.
Alle Minianwendungen dienen immer nur einem ganz bestimmten Zweck.
Der Anwender kann daher sehr przise entscheiden, welche Applikationen er angezeigt bekommen will und welche nicht. Alle verfgbaren Minianwendungen werden in der Minianwendungsgalerie aufgelistet und knnen hier per Doppelklick dem Desktop hinzugefgt werden.
Abbildung 4.10
Minianwendungsgalerie

185

Kapitel 4 Konfiguration der Benutzerschnittstellen

Die Windows-Sidebar ist in Windows 7 nicht mehr enthalten. Stattdessen knnen nun die Minianwendungen auf dem Desktop beliebig
positioniert werden.

4.1.3

Konfiguration der Anzeige und des


Bildschirms

Hinter der Option Anzeige im Anpassungsfenster des Desktops verbirgt


sich eine Reihe von Funktionen zur Anpassung der Anzeige und zur Verbesserung der Lesbarkeit auf dem Bildschirm. So knnen Sie hier beispielsweise die Auflsung des Bildschirms sowie die Untersttzung fr mehrere
Bildschirme konfigurieren.
Abbildung 4.11
Das Dialogfeld
Anzeige bietet eine
Reihe wichtiger
Funktionen zur
Konfiguration der
Bildschirmeinstellungen.

Anzeigeeinstellungen und Auflsung


Wenn Sie an Ihrem Desktop-PC zustzlich einen weiteren Monitor anschlieen, zum Beispiel am DVI-Eingang, knnen Sie den Desktop auf einen
zustzlichen Monitor erweitern. Auch Notebook-Anwender knnen diese
Funktion nutzen. So knnen Sie zum Beispiel auf dem zweiten Bildschirm
Outlook ffnen und auf dem ersten Monitor beispielsweise mit Microsoft
Word arbeiten.
Durch einen zustzlichen Monitor erreichen viele Anwender eine optimale
und effiziente Arbeitsumgebung. So eignen sich zwei 19-Zoll-Monitore
deutlich besser zum Arbeiten als ein einzelner 21- oder 22-Zoll-Monitor.
Sie knnen in dem in Abbildung 4.12 gezeigten Dialogfeld durch einfache
Bewegung mit der Maus zwischen den Bildschirmen hin und her wechseln
und beispielsweise mittels Drag&Drop die Reihenfolge der Monitore bestimmen sowie fr jeden angeschlossenen Monitor eine eigene Auflsung whlen.

186

Benutzeroberflche
Abbildung 4.12
Konfiguration der
Anzeige von
Windows 7 mit
mehreren Monitoren

Wenn Sie die Schaltflche Identifizieren anklicken, wird auf jedem Bildschirm die Nummer angezeigt, die Windows diesem zugewiesen hat.
ber den Link Erweiterte Einstellungen knnen Sie darber hinaus tiefer
gehende Systemeinstellungen vornehmen (siehe Abbildung 4.13).
Abbildung 4.13
Erweiterte Einstellungen fr die
Anzeige

Sie erkennen an dieser Stelle die Ausstattung der Grafikkarte und knnen
ber die Schaltflche Eigenschaften die Konfiguration des aktiven Treibers
der Grafikkarte konfigurieren. Auf der Registerkarte Treiber wird die Version des aktuellen Treibers angezeigt. ber die Schaltflche Treiber aktualisieren knnen Sie einen neuen Treiber fr Ihre Grafikkarte installieren.

187

Kapitel 4 Konfiguration der Benutzerschnittstellen

Wenn nach der Installation eines Grafikkartentreibers Probleme auftreten, sollten Sie die Option Vorheriger Treiber verwenden. Dadurch wird
der letzte Treiber aktiviert, mit dem das Gert funktioniert hat. Dieses
Vorgehen funktioniert brigens nicht nur bei Grafikkarten, sondern
auch fr alle anderen Gerte.
Auf der Registerkarte Monitor in den erweiterten Einstellungen der Anzeige
wird Ihnen die Bildwiederholrate des Monitors angezeigt. Wenn Sie einen
TFT-Monitor verwenden, sind 60 Hertz in der Regel in Ordnung. Beim Einsatz eines herkmmlichen Rhrenmonitors sollten hier aber mindestens
75 Hertz eingestellt sein, besser mehr, da ansonsten viele Anwender bei
ihrem Monitor ein Flimmern feststellen.
Abbildung 4.14
Eigenschaften des
Monitors in den
erweiterten
Einstellungen

In dem in der Abbildung 4.14 gezeigten Dialogfeld versteckt sich auch die
Option Farbtiefe. Achten Sie auch darauf, in den Anzeigeeinstellungen
eine 32-Bit-Farbtiefe zu aktivieren, ansonsten werden die Aero-Effekte
nicht immer angezeigt.

Desktopsymbole und Schriftgrad ndern


Viele Anwender wollen nicht die groen Symbole auf dem Desktop nutzen,
die in Windows 7 standardmig eingestellt sind. Im Dialogfeld Anzeige
kann die Gre der Systemschriften und die der grafischen Elemente allgemeingltig angepasst werden. Dazu verringern Sie die Skalierung fr DPI
(Dots Per Inch). Je grer die Anzahl der Punkte pro Zoll, desto hher ist
die Auflsung.
Soll nur die Gre der Symbole auf dem Desktop angepasst werden, ist
jedoch eine andere Funktion vorzuziehen. Indem Sie mit der rechten Maustaste auf den Desktop klicken und im daraufhin geffneten Kontextmen
einen geeigneten Eintrag im Untermen Ansicht auswhlen, kann die Symbolgre jederzeit einfach gendert werden.

188

Benutzeroberflche

Noch schneller kann die Gre der Desktop-Symbole mit der Maus
angepasst werden. Klicken Sie dazu mit der linken Maustaste auf den
Desktop, und halten Sie dann die (Strg)-Taste gedrckt. Mit dem
Scrollrad der Maus lsst sich die Gre der Symbole jetzt stufenlos
anpassen. Dieser Trick funktioniert auch in so gut wie allen anderen
Fenstern in Windows 7, auch innerhalb von Ordnern.
Sie knnen die Symbole fr jedes beliebige Programm auf dem Desktop
ndern, wenn Sie auf die Schaltflche Anderes Symbol in den Eigenschaften
der Verknpfung klicken. Die Verknpfungen der Programme sind die
Symbole auf dem Desktop. Wenn Sie ein solches Symbol auf dem Desktop
mit der rechten Maustaste anklicken, knnen Sie ber das Kontextmen
die Eigenschaften ffnen. Die meisten Windows 7-Symbole stehen Ihnen
zur Verfgung, wenn Sie zur Symbolauswahl die Schaltflche Durchsuchen
anklicken und anschlieend die Datei C:\Windows\System32\imageres.dll
auswhlen.

Vor allem Anwender mit Monitoren und Grafikkarten, die hohe Auflsun- Systemschriftart
gen untersttzen, stren bei diesen Auflsungen oft die kleinen Schriftar- vergrern
ten auf dem Desktop. Die Gre der Schriften kann ebenfalls im Dialogfeld
Anzeige angepasst werden. Dazu lassen sich vordefinierte Werte verwenden oder benutzerdefinierte Einstellungen vornehmen.
Abbildung 4.15
Festlegung einer
benutzerdefinierten
Textgre

ClearType und Antialiasing


Die Option ClearType-Text anpassen im Anzeige-Dialogfeld startet einen Assistenten zur Konfiguration der Kantenglttung durch ClearType. Dahinter verbirgt sich das eigenstndige Programm ClearType-Tuner, das auch mithilfe
des Befehls cttune.exe gestartet werden kann.
ClearType dient dazu, Computerschriftarten klar und mit gegltteten ClearType
Kanten anzuzeigen. Bildschirmtext kann mithilfe von ClearType detaillierter dargestellt werden und ist daher ber einen lngeren Zeitraum
besser zu lesen, da die Augen nicht belastet werden. Jedes Pixel in einer
Schriftart besteht aus drei Teilen: Rot, Blau und Grn. ClearType verbessert die Auflsung, indem die einzelnen Farben im Pixel aktiviert und
deaktiviert werden. Ohne ClearType muss das gesamte Pixel aktiviert
oder deaktiviert werden. Durch diese genauere Steuerung der Rot-, Blau-

189

Kapitel 4 Konfiguration der Benutzerschnittstellen

und Grnanteile eines Pixels kann die Deutlichkeit auf einem LCD-Monitor deutlich verbessert werden.
ClearType nutzt die Besonderheit der LCD-Technologie, bei der sich Pixel
an einer festen Position befinden, indem Teile des Pixels aktiviert und
deaktiviert werden. Daher funktioniert ClearType auf einem CRT-Monitor
nicht auf die gleiche Weise, da in einem CRT-Monitor ein Elektronenstrahl
verwendet wird, um Pixel anzuregen oder zu bewegen, anstatt die Pixel an
festen Positionen zu belassen. Dennoch kann der Einsatz von ClearType
die Deutlichkeit auf CRT-Monitoren verbessern, da die gezackten Kanten
der einzelnen Buchstaben durch ClearType geglttet werden. Dies wird als
Antialiasing bezeichnet.
ClearType ist in Windows 7 standardmig aktiviert. Wird ClearType
ausgeschaltet, verwendet Windows die klassische Schriftenglttung.
Der in Windows 7 integrierte ClearType-Tuner ermglicht es, die Schriftenglttung auf die vorhandene Hardware und Ihr persnliches Empfinden abzustimmen. Dazu stellt der Tuner zuerst die optimale Bildschirmauflsung ein und stellt dann verschiedene Textbeispiele zur Auswahl.
Durch das Feedback kann ClearType erkennen, welche Geometrie die
Hardware verwendet, und die Schriftenglttung optimal abstimmen.
Abbildung 4.16
Ein Assistent hilft,
die optimale ClearType-Einstellung zu
finden.

Vor allem die Schriftarten Constantia, Cambria, Corbel, Candara, Calibri und Consolas werden mit ClearType optimal dargestellt.

190

Startmen

4.2

Startmen

Zu den wichtigsten Benutzerschnittstellen unter Windows 7 zhlt sicherlich das Startmen. So sind beispielsweise alle installierten Programme
im Startmen zu finden. Sie knnen durch die Programme navigieren
bzw. ein Programm starten, indem Sie mit der Maus auf die Verknpfung
klicken, es ist kein Doppelklick notwendig.
Bei den am hufigsten bentigten Programmen, die wie bisher in einer kurzen bersicht angezeigt werden, sind unter Windows 7 nun oft verwendete Funktionen oder zuletzt geffnete Dateien mit einem Klick auf einen
kleinen Pfeil am jeweiligen Eintrag zugnglich.

Das Startmen besteht aus fnf Bereichen, die einzeln anpassbar sind:
Programmbereich mit den zuletzt verwendeten Programmen
Alle Programme ermglicht Zugriff auf alle installierten Anwendungen
Suchfeld fr die Volltextsuche
Systembereich ermglicht Zugriff auf die wichtigsten WindowsFunktionen
Ausschaltoptionen
Abbildung 4.17
Das Startmen in
Windows 7

Wenn Sie auf das Benutzersymbol klicken, kommen Sie direkt zur Einstellung der Benutzerkonten in der Systemsteuerung.
Jeder Bereich des Startmens bietet ein eigenes Kontextmen an, das alle
spezifischen Funktionen fr den gewhlten Bereich bereitstellt.

191

Kapitel 4 Konfiguration der Benutzerschnittstellen

Wenn Sie es zum Beispiel gewohnt sind, die Option Arbeitsplatz zum
Erreichen der Systemeigenschaften zu verwenden, knnen Sie hierfr
den Menbefehl Computer, der unter Windows 7 dem Arbeitsplatz von
Windows XP entspricht, verwenden. Im Kontextmen von Computer in
der Startleiste finden Sie alle Optionen, die Sie bisher auch ber Arbeitsplatz erreichen konnten.
Abbildung 4.18
Kontextmen
einzelner Bereiche
im Startmen

Anwender frherer Windows-Versionen werden mglicherweise die


Schnellstartleiste fr den schnellen Zugriff auf ausgewhlte Anwendungen
vermissen. Diese existiert unter Windows 7 nicht mehr. Stattdessen knnen
Anwendungen auf der Taskleiste verankert werden. ffnen Sie beispielsweise das Kontextmen eines Anwendungssymbols im Startmen, haben
Sie die Mglichkeit, das Programm an die Taskleiste anzuheften. Whlen
Sie in diesem Fall im Kontextmen den Eintrag An Taskleiste anheften aus
(siehe Abbildung 4.19).
Abbildung 4.19
Kontextmen
einzelner Bereiche
im Startmen

4.2.1

Ausschaltoptionen

Zu den wichtigsten Bereichen des Startmens gehrt sicherlich das Men


Herunterfahren.
Abbildung 4.20
Die Ausschaltoptionen in Windows 7

192

Startmen

Hier stehen die folgenden Mglichkeiten zur Verfgung:


Benutzer wechseln Bei der Auswahl dieses Befehls bleibt die derzeitige Sitzung ganz normal aktiv, es erscheint aber ein weiteres Fenster
zur Benutzeranmeldung. An dieser Stelle kann sich jetzt ein weiterer
Anwender am PC anmelden. Der neue Anwender verwendet seine
eigene Sitzung, und es kann jederzeit wieder zur anderen Sitzung
gewechselt werden, da diese nicht abgemeldet wurde.
Abmelden Mit diesem Befehl wird der derzeitige Benutzer vom PC
abgemeldet, und es erscheint ein Anmeldefenster, ber das sich ein
Benutzer anmelden kann, um mit dem PC zu arbeiten. Diese Option
ist sinnvoll, wenn sich mehrere Anwender einen PC teilen.
Sperren Dieser Befehl sperrt den Computer. In diesem Fall bleibt der
derzeitig angemeldete Benutzer weiterhin angemeldet, alle Programme
bleiben gestartet, aber man kann erst wieder arbeiten, wenn das Kennwort des Anwenders eingegeben oder der PC neu gestartet wird. Sie
knnen den PC auch ber die Tastenkombination ()+(L) sperren.
Neu starten Nach Auswahl dieses Befehls wird der PC neu gestartet.
Der Benutzer wird also abgemeldet, der PC fhrt herunter und startet
kurz darauf automatisch wieder neu.
Energie sparen Mit dieser Option wird der Rechner in den Energiesparmodus versetzt. Der PC ist dabei allerdings nicht vollkommen ausgeschaltet, der Arbeitsspeicher wird noch mit Strom versorgt. Beim
Starten des PC muss nicht erst neu gebootet werden, sondern der
Zustand beim Beenden wird sehr schnell wiederhergestellt. Es kommt
keine Zwischenfrage mehr, sondern die Aktion wird sofort durchgefhrt.
Ruhezustand Bei Auswahl dieses Befehls wird der Inhalt des Arbeitsspeichers auf die Festplatte gespeichert und der PC ausgeschaltet. Im
Gegensatz zum Energiesparmodus wird der PC tatschlich komplett
ausgeschaltet. Aus dem Ruhezustand wird der PC schneller wieder
zum aktuellen Stand beim Speichern zurckgefhrt als bei einem
Neustart.
Herunterfahren Beim Auswhlen dieser Option wird der PC heruntergefahren und bei aktueller Hardware auch automatisch ausgeschaltet. Bei aktuellen PCs und Notebooks fhrt der Rechner auch
herunter, wenn Sie einmal auf den Ausschaltknopf drcken. Wenn Sie
den Knopf lnger gedrckt halten, wird der PC ausgeschaltet, ohne
Windows herunterzufahren. Sie sollten den PC aber nur ausnahmsweise auf diese Weise ausschalten, wenn er nicht mehr reagiert.

Die standardmig vorhandene Schaltflche Herunterfahren kann


gegen eine andere Funktion ersetzt werden. In den Eigenschaften von
Startmen ist es mglich, die Standardaktion fr Beenden beispielsweise
auf Energie sparen oder Sperren zu ndern.

193

Kapitel 4 Konfiguration der Benutzerschnittstellen


Alternative:
Shutdown.exe

Zum Herunterfahren und Neustarten knnen Sie auch den Befehl shutdown.exe verwenden. Die wichtigsten Optionen des Shutdown-Befehls sind:
/i Zeigt eine grafische Benutzeroberflche an. Dies muss die erste
Option sein.
/l Meldet den aktuellen Benutzer ab. Diese Option kann nicht zusammen mit den Optionen /m oder /d verwendet werden.
/s Fhrt den Computer herunter.
/r Fhrt den Computer herunter und startet ihn neu.
/a Bricht das Herunterfahren des Systems ab.
/p Schaltet den lokalen Computer ohne Zeitlimitwarnung aus. Kann
mit den Optionen /d und /f verwendet werden.
/h Versetzt den lokalen Computer in den Ruhezustand.
/m \\<Computer> Legt den Zielcomputer fest.
/t xxx Stellt die Zeit vor dem Herunterfahren auf xxx Sekunden ein.
Der gltige Bereich ist von 0 bis 600, der Standardwert ist 30. Die Verwendung von /t setzt voraus, dass die Option /f verwendet wird.
/c "Kommentar" Kommentar bezglich des Neustarts bzw. Herunterfahrens. Es sind maximal 512 Zeichen zulssig.
/f Erzwingt das Schlieen ausgefhrter Anwendungen ohne Vorwarnung der Benutzer. /f wird automatisch angegeben, wenn die Option /t
verwendet wird.
/d [p|u:]xx:yy Gibt die Ursache fr den Neustart oder das Herunterfahren an. p gibt an, dass der Neustart oder das Herunterfahren geplant ist. u
gibt an, dass die Ursache vom Benutzer definiert ist. Wenn weder p noch
u angegeben ist, ist das Neustarten oder Herunterfahren nicht geplant.
Der Shutdown-Befehl kann auch zum Herunterfahren bzw. dem Neustart von Remotecomputern verwendet werden.

Beispiele

Wenn Sie den Befehl shutdown r f t 0 eingeben, fhrt der PC sofort herunter. Die Option f zwingt den PC zum Beenden der laufenden Anwendungen, auch wenn nicht gespeichert wurde.
Der Befehl shutdown s f fhrt den PC herunter und startet ihn nicht neu.
Mit dem Befehl shutdown a kann der aktuelle Vorgang abgebrochen werden, wenn der PC noch nicht mit dem Herunterfahren begonnen hat, sondern die Zeit noch luft.

4.2.2

Das Startmen konfigurieren

Darber hinaus kann auch das Startmen an die Benutzerbedrfnisse mithilfe der Option Eigenschaften im Kontextmen von Start angepasst werden.
Vor allem den Befehl Ausfhren, um beispielsweise die Eingabeaufforderung
direkt zu ffnen, werden viele Power-User im Startmen zunchst vermissen. Diesen Befehl beispielsweise knnen Sie dem Startmen hinzufgen,
vorausgesetzt Sie verfgen ber die entsprechenden Berechtigungen.

194

Startmen
Abbildung 4.21
Hinzufgen des
Befehls Ausfhren
zum Startmen

ber die restlichen Registerkarten in diesem Dialogfeld knnen Sie das


Aussehen der Startleiste anpassen und festlegen, welche zustzlichen
Symbolleisten auf dem Desktop angezeigt werden sollen.
Hierbei ist jedoch zu beachten, dass viele Programme auch direkt ber Anwendungen
im Suchfeld
das Suchfeld des Startmens gestartet werden knnen.
starten
Abbildung 4.22
Anwendungen
starten mithilfe des
Suchfeldes im Startmen

Der Befehl cmd beispielsweise startet eine Eingabeaufforderung, ber


regedit wird der Registrierungs-Editor gestartet, und auch die anderen
Programme knnen wie gewohnt gestartet werden.
Den Teil des Startmens, das Sie ber Start/Alle Programme erreichen kn- Startmen im
nen, ist eine Sammlung von Verknpfungen, die in Ordnern dargestellt WindowsExplorer
werden.
Sie knnen den Inhalt des Startmens auch im Windows-Explorer anpassen und Verknpfungen erstellen sowie Ordner oder Verknpfungen
umbenennen. Viele Funktionen erreichen Sie zwar grundstzlich auch
direkt ber das Startmen und das Kontextmen, bequemer ist allerdings
oft die direkte Bearbeitung im Windows-Explorer. Das Startmen setzt

anpassen

195

Kapitel 4 Konfiguration der Benutzerschnittstellen

sich allerdings nicht nur aus einem einzelnen Verzeichnis auf der Festplatte zusammen, sondern aus den beiden Verzeichnissen:
C:\Benutzer\<Benutzername>\AppData\Roaming\Microsoft\Windows\
Startmen
C:\ProgramData\Microsoft\Windows\Startmen
Das Startmen, das Sie im Windows-Explorer sehen, ist eine gemeinsame
Ansicht dieser beiden Verzeichnisse. Wenn Sie also einen Eintrag aus dem
einen Verzeichnis lschen, kann der entsprechende Eintrag noch immer im
Startmen angezeigt werden, da dieser noch im anderen Verzeichnis enthalten ist. Damit Sie diese Verzeichnisse angezeigt bekommen, mssen Sie die
versteckten Dateien anzeigen lassen. Gehen Sie hierzu folgendermaen vor:
1. ffnen Sie, zum Beispiel ber Start/Computer, den Windows-Explorer.
2. Klicken Sie auf Organisieren/Ordner- und Suchoptionen.
3. Holen Sie die Registerkarte Ansicht in den Vordergrund.
4. Deaktivieren Sie das Kontrollkstchen Geschtzte Systemdateien ausblenden (empfohlen).
5. Aktivieren Sie im Abschnitt Versteckte Dateien und Ordner die Option
Ausgeblendete Dateien, Ordner und Laufwerke anzeigen.

4.3

Windows-Taskleiste

Bei keiner anderen Benutzerschnittstelle sind die Neuerungen gegenber


den Vorgngerversionen so augenfllig wie bei der neuen, von Microsoft
als Superbar bezeichneten Taskleiste von Windows 7.

4.3.1

Arbeiten mit der Taskleiste

Der wohl grte Unterschied fllt schon beim ersten Blick auf die Taskleiste ist grer geworden. Dies erleichtert zum einen die Erkennbarkeit
der Symbole bei hohen Auflsungen und soll vor allem Benutzern von
berhrungsempfindlichen Bildschirmen ermglichen, die Taskleiste mit
den Fingern zu bedienen. Durch die etwas grere Darstellung der Symbole und Programmfenster lassen sich diese besser mit den Fingern treffen. Auf Wunsch knnen die Symbole aber auch in der verkleinerten Darstellung der Vorgngerversionen angezeigt werden.
Neuerungen der
Superbar

196

Aber auch in ihrer Funktionalitt hat die neue Taskleiste deutlich hinzugewonnen. Zu den wichtigsten Leistungsmerkmalen zhlen:
Wie bei den Vorgngerversionen werden laufende Anwendungen in
der Taskleiste angezeigt. Der Anwender kann mit einem Klick auf das
jeweilige Symbol zur gewnschten Anwendung wechseln.
Zugleich bernimmt die Superbar die Rolle der frheren SchnellstartSymbolleiste. Mithilfe der Option An Taskleiste anheften und auch per
Drag&Drop knnen die wichtigsten Anwendungen dauerhaft auf der
Taskleiste platziert werden. Das Anheften ist nur durch den Anwender selbst mglich, Programme knnen dies whrend ihrer Installation nicht selbst durchfhren.

Windows-Taskleiste
Abbildung 4.23
Programme an
Taskleiste anhaften

Ist ein Programm angeheftet, verbleibt dessen Symbol auch nach dem

Schlieen weiterhin in der Taskleiste. Es ist jedoch schon etwas Aufmerksamkeit erforderlich, um zu erkennen, ob der Klick auf ein Symbol zu dem Programm wechselt oder es neu startet.
Um die Zustnde geladener und nicht geladener Tasks zu unterscheiden, wird das Symbol von einem Rahmen hinterlegt, woran sich
erkennen lsst, dass es derzeit aktiv ist. Holt man ein Fenster in den
Vordergrund, wird der Symbolhintergrund aufgehellt dargestellt.
Verlangt ein Programm die Aufmerksamkeit des Nutzers, blinkt das
Symbol zudem in der jeweiligen Farbe.
Sind mehrere Fenster der gleichen Software geffnet, werden diese
gruppiert angezeigt. Normalerweise wird dazu ein Mehrfachrahmen
hinter das jeweilige Symbol gelegt, um so zu verdeutlichen, dass tatschlich mehrere Fenster geffnet sind.

Die Superbar-Icons knnen per Maus beliebig sortiert und verscho-

ben werden. Dies gilt sowohl fr dauerhaft angeheftete ProgrammFavoriten als auch fr laufende Programme.
Die Instanzen bzw. Fenster einer Anwendung erscheinen beim Mouse
over (ohne Klick) auf das Symbol als Vorschaufenster. Fhrt man dann
ber die Vorschaubilder, kann man die geffneten Fenster bei Bedarf
schlieen oder spezielle Funktionen des jeweiligen Programms nutzen.
Alle weiteren Fenster werden beim Mouse over auf ein Vorschaufenster
ausgeblendet. Dazu kommt die Funktion Aero Peek zum Einsatz. Aero
Peek ist eine neue Funktion der Aero-Oberflche. Sie blendet die
Inhalte der Programmfenster aus, zeigt aber ihre Rahmen an der bestehenden Position weiter an. Dadurch wird der Blick auf den Desktop
frei. Der kleine Balken ganz rechts in der Taskleiste minimiert ebenfalls
alle Fenster und gibt den Blick auf den Desktop frei.
Die Arbeit mit dauerhaft angehefteten Symbolen wird durch zwei
sehr ntzliche Tastenkombinationen untersttzt:
()+Mausklick auf das Superbar-Icon startet eine neue Instanz
der angeklickten Anwendung.
()+(Strg)+Mausklick auf das Superbar-Icon startet eine neue
Instanz mit Administratorrechten.
Jede Anwendung der Superbar bietet ein erweitertes Kontextmen.
Diese als Sprungliste (engl. Jumplist) bezeichnete Liste erscheint nach
einem Klick mit der rechten Maustaste auf das Tasksymbol. Alternativ

Abbildung 4.24
Laufende Anwendungen erscheinen
neben ProgrammFavoriten

197

Kapitel 4 Konfiguration der Benutzerschnittstellen

kann man mit gedrckter linker Maustaste das Symbol festhalten und
die Maus nach oben bewegen. Der Inhalt einer Jumplist hngt vom
gewhlten Programm ab. Manchmal bieten sie auch den Schnellzugriff
auf Befehle fr Aufgaben wie das Verfassen neuer E-Mail-Nachrichten
oder das Wiedergeben von Musik. In der Jumplist fr Internet Explorer 8 werden beispielsweise hufig besuchte Websites angezeigt, und
der Windows Media Player 12 enthlt hufig abgespielte Musiktitel.
Auerdem knnen dort beliebige Dateien angeheftet werden.
Abbildung 4.25
Sprunglisten bieten
einen schnellen
Zugriff auf hufig
benutzte Dateien
oder Links.

Bei einigen Tasks dient die Superbar als Fortschrittsanzeige. Hierzu

fllt sich das Tasksymbol mit Farbe, beispielsweise bei Kopieraktionen


mit dem Windows-Explorer oder bei Downloads ber den Internet
Explorer. Ldt man zum Beispiel eine Datei mit dem Internet Explorer
herunter, fllt sich der Rahmen langsam mit einem grnen Balken, der
erkennen lsst, wie weit der Download vorangeschritten ist.
Die meisten der beschriebenen Funktionen setzen die Aero-Desktopeffekte voraus. Ist Aero abgeschaltet, zeigt Windows beispielsweise
anstelle der Live-Vorschau nur ein Men mit der Liste der aktiven
Fenster wie bei den Vorgngerversionen an.

4.3.2

Taskleiste konfigurieren

Natrlich knnen das Aussehen und das Verhalten der Taskleiste angepasst werden. Bei Bedarf lsst sich beispielsweise auch die Abschaltung
der Aero-Effekte erzwingen. Statt transparent zu erscheinen, haben Fenster und die Taskleiste in diesem Modus eine vollflchige Fllung.
ber das Kontextmen knnen Sie die Eigenschaften der Taskleiste aufrufen. Auf der Registerkarte Taskleiste steht eine Reihe ntzlicher Optionen
zur Verfgung. So ist es beispielsweise mglich, die Fixierung der Taskleiste aufzuheben. Ist diese Option aktiviert, knnen die Gre und die
Position der Taskleiste sowie die der Symbolleisten nicht verndert werden. Mchten Sie die Gre oder die Position der Taskleiste oder die der
Symbolleisten anpassen, muss dieser Punkt zunchst deaktiviert werden.
Weiterhin kann festgelegt werden, ob die Programmsymbole gruppiert
werden sollen. Bei Aktivierung dieser Option werden zum Beispiel alle

198

Windows-Taskleiste

geffneten Fenster nicht mehr als eigenes Symbol angezeigt, sondern als ein
Symbol, das darstellt, dass mehrere Instanzen momentan geffnet sind.
Abbildung 4.26
Konfiguration der
Taskleiste

Am rechten (oder je nach Position auch unteren) Rand der Taskleiste befin- Infobereich
det sich der Infobereich mit seinen zahlreichen Symbolen. Diese informie- konfigurieren
ren beispielsweise ber den Zustand des Akkus und der Netzwerkverbindungen oder informieren ber eingegangene Mails in Outlook.
Abbildung 4.27
Dialogfeld zur
Konfiguration des
Infobereichs der
Taskleiste

Der Infobereich konnte schon unter Vista so konfiguriert werden, dass nur
noch die wirklich relevanten Symbole erscheinen. Die Superbar bietet hierzu

199

Kapitel 4 Konfiguration der Benutzerschnittstellen

erweiterte Filtermglichkeiten. Man hat nun die Mglichkeit, fr jedes einzelne Symbol genau festzulegen, ob es angezeigt oder versteckt werden soll.
Dabei trennt Microsoft systemeigene Symbole von denen zustzlicher Programme. Im Dialogfeld Infobereichsymbole knnen Sie bestimmen, welche
Elemente im Infobereich neben der Uhr eingeblendet werden.
Symbolleisten
konfigurieren

ber die Registerkarte Symbolleisten knnen Sie die vorhandenen Symbolleisten einblenden lassen, aber auch eigene neue Symbolleisten erstellen.

Abbildung 4.28
Auswahl der
Symbolleisten, die
innerhalb der
Taskleiste angezeigt
werden sollen

4.4

Windows-Explorer

Der Windows-Explorer ist noch immer die Schaltzentrale von Windows


zur Navigation innerhalb von Verzeichnissen und zur Verwaltung von
Dateien.
Und dank einiger neuer ntzlicher Funktionen wird die Arbeit mit dem
Windows-Explorer unter Windows 7 deutlich vereinfacht. Alle Neuerungen vorzustellen wrde den Rahmen dieses Buches sprengen, weshalb
sich die nachstehenden Abschnitte auf die wichtigsten Bereiche und Aufgaben des Windows-Explorers konzentrieren.

4.4.1

Windows-Explorer starten

Es mag merkwrdig anmuten, dem Start einer Anwendung einen ganzen


Abschnitt zu widmen. Da aber der Windows-Explorer nicht nur als Befehl
im Startmen vertreten ist, sondern ber eine Vielzahl unterschiedlicher
Varianten mit unterschiedlicher Ansicht geffnet werden kann, lohnt ein
Blick auf die verschiedenen Mglichkeiten.
Die am meisten verbreiteten Varianten zum ffnen des Windows-Explorers sind folgende:
Klicken Sie mit der rechten Maustaste auf das Symbol des Startmens,
und whlen Sie im Kontextmen die Option Windows-Explorer ffnen.
Der Windows-Explorer ffnet sich und zeigt die persnlichen Bibliotheken des Benutzers in der bersicht.
Sie knnen den Windows-Explorer auch starten, indem Sie im Suchfeld des Startmens den Begriff Explorer eingeben und die Auswahl
Windows-Explorer besttigen.
Auerdem lsst sich der Windows-Explorer ffnen, indem Sie einen
der mglichen Befehle im Startmen verwenden. Der gesamte obere
Bereich der rechten Spalte des Startmens startet den Windows-Explo-

200

Windows-Explorer

rer in unterschiedlichen Ansichten. So ffnet beispielsweise ein Klick


auf den Benutzernamen den persnlichen Ordner des Benutzers.
Mit der Tastenkombination ()+(E) wird der Explorer in der Computeransicht geffnet.
Unter Windows 7 kann der Windows-Explorer auch aus der Taskleiste
heraus geffnet werden, denn dort ist er standardmig angeheftet
(wie Sie Programme an die Taskleiste anheften knnen, erfahren Sie im
Abschnitt 4.3.1 ab Seite 196. Ist der Windows-Explorer bereits gestartet,
gengt es, mit der Maus auf das Explorer-Symbol zu zeigen. In diesem
Fall erscheint eine Vorschau smtlicher geffneter Explorer-Fenster.
Sie knnen sich mit einem Klick der rechten Maustaste auf den Desktop und Auswahl von Neu/Verknpfung eine Verknpfung zum Windows-Explorer auf dem Desktop anlegen. Geben Sie als Befehlszeile
explorer ein.

Die Erstellung einer Verknpfung bietet den Vorteil, dass der Windows- Startoptionen fr
Explorer mit verschiedenen Startoptionen aufgerufen werden kann. Ver- den Windowsfgbar sind die folgenden Parameter, die auch miteinander kombiniert Explorer
werden knnen:
Explorer <Pfad> Sie knnen den Windows-Explorer direkt gefolgt
von einem Pfad starten. In diesem Fall ffnet der Windows-Explorer
mit dem Fokus auf diesen Pfad.
/n ffnet ein neues Einzelfenster fr die Standardauswahl. Dies ist in
der Regel der Stamm des Laufwerks, auf dem Windows installiert ist.
/e Startet den Windows-Explorer mit der Standardansicht.
/root, <Ordner> ffnet eine Fensteransicht mit dem angegebenen
Ordner.
/select, <Ordner> ffnet eine Fensteransicht, wobei der angegebene
Ordner, die Datei oder das Programm ausgewhlt sind.
Explorer /root, C:\Windows Mit diesem Befehl wird der Ordner C:\
Windows geffnet und als Stammverzeichnis definiert. Innerhalb dieses Explorer-Fensters kann nicht zu einem bergeordneten Ordner
gewechselt werden. Achten Sie in diesem Fall auch auf das Komma
nach der Option /root.
Beispiele:
Explorer /select, C:\Windows\regedit.exe Dieser Befehl ffnet den
Explorer im Ordner C:\Windows und markiert die Datei regedit.exe
Explorer /root, \\<Server>\<Freigabe>, select, einkauf.xls Durch die
Kombination des Befehls wird als Stammverzeichnis die konfigurierte
Freigabe geffnet und die Datei einkauf.xls automatisch ausgewhlt.

4.4.2

Arbeiten mit dem Windows-Explorer

Im folgenden Abschnitt werden die Komponenten und Bereiche des Windows-Explorers im berblick vorgestellt.

201

Kapitel 4 Konfiguration der Benutzerschnittstellen

Der Navigationsbereich
Der Navigationsbereich in der linken Spalte ist das zentrale Element des
Windows-Explorers. Der Explorer markiert in diesem Bereich den Ort,
den er gerade anzeigt. Andere Orte knnen direkt durch einen Mausklick
angesprungen werden.
Abbildung 4.29
Der Navigationsbereich des
Windows-Explorers
befindet sich an der
linken Fensterseite.

ber das kleine Pfeilsymbol knnen jeweils Unterebenen ein- und ausgeblendet werden. Wenn Sie auf das kleine Dreieck neben einem Ordner
einmal mit der linken Maustaste klicken, werden die Unterverzeichnisse
angezeigt. Ein weiterer Klick blendet die Unterverzeichnisse wieder aus.
Ordner- und Dateiansichten Zur Visualisierung welche Inhalte ein Lauf-

werk, ein Ordner oder eine Bibliothek enthlt, bietet der Windows-Explorer verschiedene Darstellungsmglichkeiten an. Welche die passende ist,
richtet sich vor allem nach dem Inhalt Ihrer Dateien. Und auch die Sortierung der Dateien kann selbstverstndlich an die eigenen Erfordernisse
angepasst werden.
Um zwischen den mglichen Ansichten umzuschalten, klicken Sie in der
Symbolleiste auf das Symbol Ansicht ndern. Jeder Klick auf diese Schaltflche ndert die Darstellung. Alternativ knnen Sie das in der Abbildung
4.30 gezeigte Men ffnen.
Abhngig von der gewhlten Ansicht eines Ordners knnen Sie beispielsweise Bewertungen von Dateien im Explorer-Fenster anzeigen lassen und
das Fenster nach der Bewertung sortieren oder nach Dateien mit bestimmten Bewertungen suchen lassen. Sie knnen aber auch benutzerdefinierte
Markierungen fr Dateien eingeben, nach denen Sie auch suchen knnen,
oder nach diesen sortieren.

202

Windows-Explorer
Abbildung 4.30
Auswahl der
Ordneransicht

4
Neu ist unter Windows 7 die Ansicht Inhalt. Diese zeigt in einer bersichtlichen zweizeiligen Liste die Dateien mit Dateinamen und Symbol sowie die wichtigsten Dateiinformationen.
Die Ansicht wird nach der Spalte sortiert, auf deren Spaltenberschrift Sie
mit der Maus klicken. Wenn Sie fter auf eine Spaltenberschrift klicken,
wird die Sortierung umgekehrt. Bei Dateinamen wrde dann beispielsweise aus einer zunchst alphabetisch aufsteigenden Sortierung (AZ) eine
alphabetisch absteigende (ZA).
Abbildung 4.31
Sortieren innerhalb
eines Verzeichnisses

Im Windows-Explorer knnen Sie auch die Gre der einzelnen Spalten in der Details-Ansicht mit der Maus verndern. Eine Spalte lsst
sich automatisch an den lngsten darin enthaltenen Eintrag anpassen,
indem Sie auf den Spaltentrenner doppelklicken, whrend der Pfeil
zum Vergrern oder Verkleinern der Spalte angezeigt wird.
Dateivorschau anzeigen Eine weitere Mglichkeit der besseren bersicht
ist das Vorschaufenster im Windows-Explorer. Wenn Sie dieses ber Organisieren/Layout/Vorschaufenster einblenden lassen, wird auf der rechten Seite
des Windows-Explorers eine Vorschau der momentan markierten Datei
angezeigt. Sie knnen die Gre der Vorschau stufenlos erhhen, wenn Sie

203

Kapitel 4 Konfiguration der Benutzerschnittstellen

den Bereich des Vorschaufensters im Explorer vergrern. Wenn Sie mit der
rechten Maustaste auf das Vorschaufenster klicken, werden die Aufgaben
eingeblendet, die Sie mit dieser Datei durchfhren knnen. Bilder knnen
gedreht, ausgedruckt, geffnet oder als Hintergrundbild festgelegt werden.
Abbildung 4.32
Dateiansicht mit
aktiviertem
Vorschaufenster

Wenn Sie eine Audiodatei markieren, knnen Sie im Windows-Explorer die


vielfltigen Informationen erkennen sowie im Vorschaufenster die Datei
abspielen.
Sollte bei Ihnen trotz aktiviertem Vorschaufenster keine Vorschau von
Dateien angezeigt werden, berprfen Sie nach Aufruf des Menbefehls
Organisieren/Ordner- und Suchoptionen auf der Registerkarte Ansicht, ob
das Kontrollkstchen Vorschauhandler im Vorschaufenster anzeigen aktiviert ist.
Dateiinformation
en hinterlegen
und anzeigen

Details von Dateien anzeigen Die Detailansicht im Windows-Explorer


zeigt abhngig vom markierten Element detaillierte Informationen ber das
Verzeichnis, das Laufwerk oder die markierte Datei an. Sie knnen in diesem
Fenster bei Dateien zum Beispiel einen Autor, einen Titel oder ein Thema
hinterlegen, nach dem wiederum in der erweiterten Suche gesucht werden
kann. Ebenfalls besteht die Mglichkeit, Dateien zu bewerten, indem Sie die
Sterne aktivieren, die im Detailfenster angezeigt werden. Auch nach dieser
Bewertung kann gesucht werden.

Durch diese Mglichkeit, Dateien bestimmte Markierungen (auch als Tags


bezeichnet) hnlich wie bei MP3-Dateien zuzuweisen, knnen Dateien in
Windows 7 sehr effizient verwaltet werden. Um ein Feld zu pflegen, mssen Sie lediglich mit der Maus auf dieses Feld im Detailfenster klicken. Sie
knnen die Gre dieses Fensters, wie alle Bereiche im Windows-Explorer,
anpassen, indem Sie auf den Rand des Bereichs fahren und diesen so gro
ziehen, wie Sie ihn haben mchten.

204

Windows-Explorer
Abbildung 4.33
Detailfenster im
neuen WindowsExplorer

Sie knnen bei Bildern das Aufnahmedatum ndern oder hinterlegen und
per Doppelklick auf das Vorschaufenster die entsprechende Datei ffnen.
Abbildung 4.34
Bearbeiten von
Dateieigenschaften
im Detailfenster

4
Alternativ knnen Sie die gewnschte Datei markieren und mit der rechten Maustaste die Eigenschaften aufrufen. Hier knnen Sie auf der Registerkarte Details noch umfangreicher die Daten der Datei anpassen (siehe
Abbildung 4.35).
Abbildung 4.35
Bearbeiten der
Details von Dateien
und Markierungen

Damit Sie Daten eingeben knnen, mssen Sie neben der entsprechenden
Eigenschaft in die Spalte Wert klicken. Danach verwandelt sich der entsprechende Bereich in ein Eingabefeld. Die einzelnen Werte knnen jeweils
durch ein Semikolon (;) voneinander getrennt werden.
Sie knnen auch die Markierungen mehrerer Dateien gleichzeitig konfigurieren. Dazu markieren Sie einfach die entsprechenden Dateien und
rufen deren Eigenschaften auf. Jetzt knnen Sie die Werte auf der Registerkarte Details fr smtliche Dateien gleichzeitig anpassen. Auch hier
knnen Sie Dateien mehrere verschiedene Werte zuweisen, die jeweils
durch ein Semikolon voneinander getrennt werden. So knnen einzelne
Dateien unterschiedlichen Autoren zugewiesen werden oder mehreren
Kategorien, zum Beispiel Urlaub und Urlaub 2009.

205

Kapitel 4 Konfiguration der Benutzerschnittstellen

Sie knnen die Eigenschaften auch wieder auf den Standardwert des
Betriebssystems zurcksetzen lassen. Verwenden Sie dazu den Link
Eigenschaften und persnliche Informationen entfernen, den Sie unten auf der
Registerkarte Details in den Eigenschaften der Dateien finden.

Navigations- und Auswahlhilfen


Die Navigation im Windows-Explorer wird durch zahlreiche Schaltflchen und Leisten erleichtert.
Vor- und Zurck-Tasten Oben links im Windows-Explorer-Fenster wer-

den eine Vor- und Zurckschaltflche eingeblendet. Mit diesen kann zum
vorher geffneten Verzeichnis zurckgewechselt werden. Diese Funktion
wurde vom Internet Explorer bernommen und erleichtert deutlich die
Navigation.
Adressleiste Die Adressleiste zeigt den genauen Standort des derzeitig
geffneten Verzeichnisses an. Sie knnen entweder direkt auf einen bergeordneten Ordner klicken, um diesen zu ffnen, oder ber das kleine
Dreieck neben jedem Ordner dessen Unterordner anzeigen und zu diesen
navigieren (siehe Abbildung 4.36).

Wenn Sie auf den ersten Pfeil in der Adressleiste klicken, werden Ihnen
einige Standardordner des Betriebssystems angezeigt.
Abbildung 4.36
Navigation ber die
Adressleiste im
Explorer

ber diese Standardordner knnen Sie jetzt auch die eigenen Dateien ffnen, die nicht mehr unter dieser Bezeichnung angezeigt werden, sondern
als Benutzername des angemeldeten Benutzers. Sie knnen dadurch im
Windows-Explorer zu jeder Zeit in den Stammordner Ihrer persnlichen
Dokumente wechseln.
Wenn Sie mit der rechten Maustaste auf die Adressleiste klicken, knnen
Sie den derzeitigen Pfad in die Zwischenablage kopieren und in einem
anderen Programm wieder einfgen. Mit einem Doppelklick auf den
Pfad wechselt die Ansicht in ein Eingabefeld, und Sie knnen den Pfad
manuell eintragen, der im Explorer angezeigt werden soll.
Wie beim Internet Explorer kann auch beim Windows-Explorer die
Ansicht durch (F5) oder per Klick auf die Aktualisierungsschaltflche
neben der Adressleiste aktualisiert werden (siehe Abbildung 4.37).

206

Windows-Explorer
Abbildung 4.37
Ansicht des Explorers aktualisieren

Suchleiste Mit Einfhrung von Windows Vista hat Microsoft die Such-

funktionen deutlich verbessert. Die erweiterten Suchmglichkeiten werden ausfhrlich im Abschnitt 4.5 ab Seite 216 vorgestellt. An dieser Stelle
werden daher die Suchfunktionen des Windows-Explorers nur im berblick behandelt.
Der Windows-Explorer bietet rechts oben ein Suchfeld, in das Sie ein oder
mehrere Stichwrter eingeben knnen. Noch whrend der Eingabe beginnt
der Windows-Explorer mit dem Durchsuchen und zeigt nur noch diejenigen Informationen an, die Ihrem Suchkriterium entsprechen, also alle
angegebenen Stichwrter enthalten.

Auf diese Weise lsst sich gezielt filtern, wonach gesucht werden soll. Sie
knnen beliebige Suchbegriffe eingeben und festlegen, ob im WindowsExplorer nur nach Dateien oder auch in und nach E-Mails gesucht werden soll. Auch innerhalb von Dateien kann die Windows-Suche nach
Informationen recherchieren.
Abbildung 4.38
Suchleiste im
Windows-Explorer

Standardmig sucht der Explorer das eingegebene Suchwort in smtlichen verfgbaren Kriterien eines Dokuments, also im Dateinamen, im
Dateiinhalt und in den sogenannten Metadaten wie Autorenname oder
Datum der letzten nderung. Hilfreich ist, dass die gefundenen Suchwrter in der Ergebnisliste markiert werden. Um die Menge der Suchergebnisse einzuschrnken, knnen Suchfilter verwendet werden. Damit kann
beispielsweise die Suche auf ausgewhlte Dokumenttypen begrenzt werden. Dabei ist der Einsatz von Suchfiltern sehr einfach, da der WindowsExplorer standardmig zum Stichwort passende Suchfilter vorschlgt.
Abbildung 4.39
Das Suchfeld zeigt
standardmig
passende Suchfilter.

Das Dialogfeld zeigt je nach ausgewhltem Filter unterschiedliche Auswahlmglichkeiten an. Soll beispielsweise nach einem Dokument gesucht
werden, das an einem bestimmten Tag erstellt wurde, ist der Filter nde-

207

Kapitel 4 Konfiguration der Benutzerschnittstellen

rungsdatum zu verwenden. Der Explorer blendet jetzt ein Kalenderblatt ein,


in dem das gewnschte Datum gewhlt werden kann.
Dynamische Menleiste Seit Windows Vista verfgt der Windows-Explo-

rer ber eine dynamische Menleiste des Explorers. Diese zeigt abhngig
vom Inhalt des Ordners jene Menbefehle an, die zum Inhalt des Ordners
passen. Die Befehle Organisieren, und Brennen werden immer angezeigt, die
anderen sind dynamisch und abhngig vom Ordnerinhalt.
Wird beispielsweise der Ordner Bibliotheken ausgewhlt, ndern sich die
Befehle in der Symbolleiste. Jetzt knnten Sie per Klick auf Neuer Ordner
einen neuen Ordner anlegen oder den Inhalt der ganzen Bibliothek (oder
eines markierten Ordners) mit einem Klick auf Brennen auf eine CD-ROM
oder DVD brennen.
ber den Menbefehl Organisieren knnen die wichtigsten Aufgaben fr
Windows-Ordner ausgewhlt werden, wie Sie in Abbildung 4.40 erkennen
knnen.
Abbildung 4.40
Die Menleiste von
Windows 7 ist
kontextsensitiv.

Die Menleiste, mit der noch unter Windows XP oder Windows 2000 im
Windows-Explorer Aktionen ausgelst wurden, wird standardmig nicht
mehr angezeigt. Sie knnen diese jedoch ber Organisieren/Layout/Menleiste ebenfalls anzeigen lassen.
Wenn Sie die Menleiste nicht dauerhaft einblenden wollen, sondern nur
dann, wenn Sie sie bentigen, knnen Sie diese mit der (Alt)-Taste aktivieren. Sobald Sie wieder in das Explorer-Fenster wechseln oder nochmals die (Alt)-Taste drcken, wird die Menleiste wieder deaktiviert.
Linkfavoriten Ebenfalls hilfreich ist der Bereich Favoriten (siehe Abbil-

dung 4.41). Hier werden automatisch die Verzeichnisse angezeigt, die am


hufigsten verwendet werden. Diese Liste wird automatisch und dynamisch aufgebaut und zeigt Ihnen auf einen Blick die Ordner an, zu denen
Sie am hufigsten navigiert sind.

208

Windows-Explorer

Sie knnen den Inhalt in dieser Ansicht selbst definieren. Wenn Sie einzelne
Linkfavoriten nicht verwenden wollen, knnen Sie mit der rechten Maustaste in den Bereich der Linkfavoriten klicken und den Menpunkt Link
entfernen auswhlen. Auf diesem Weg knnen Sie alle unntigen Linkfavoriten entfernen.
Abbildung 4.41
Linkfavoriten im
Windows-Explorer

4
Die Mglichkeit, Linkfavoriten zu verwenden, wird natrlich nur dann
richtig sinnvoll, wenn Sie auch selbst bestimmen knnen, welche Linkfavoriten angezeigt werden. Sie knnen eigene Ordner auswhlen, die in
den Linkfavoriten angezeigt werden. Sobald Sie im Explorer auf einen
solchen Linkfavoriten klicken, springen Sie sofort zu diesem Ordner, was
die Navigation enorm vereinfacht.
Um einen Linkfavoriten zu erstellen, navigieren Sie zunchst zu dem
Ordner, den Sie als Linkfavoriten festlegen wollen. Im Anschluss klicken
Sie mit der linken Maustaste auf den Ordner und ziehen diesen in den
Bereich der Linkfavoriten. Im Anschluss wird eine Verknpfung dieses
Ordners in den Linkfavoriten erstellt.

4.4.3

Ansichten des Windows-Explorers


anpassen

Der Windows-Explorer lsst sich sehr detailliert an die Bedrfnisse des


Anwenders anpassen. Hauptschlich findet diese Anpassung ber das
bereits beschriebene Men Organisieren/Layout statt.
Eine etwas detaillierte Mglichkeit, die Ansichten von Ordnern im WindowsExplorer anzupassen, stellt der Menbefehl Organisieren/Ordner- und Suchoptionen dar. Wenn Sie diese Option whlen, wird ein neues Fenster mit drei
Registerkarten eingeblendet. ber diese Registerkarten knnen Sie grundlegende Anpassungen fr die Ansicht des Windows-Explorers durchfhren
(siehe Abbildung 4.42).
Auf der Registerkarte Allgemein stehen Ihnen die drei Optionen Ordner Registerkarte
durchsuchen, Auswhlen von Elementen und Navigationsbereich zur Verf- Allgemein
gung. Hier knnen Sie folgende Einstellungen vornehmen:
Jeden Ordner im selben Fenster ffnen Auch diese Option ist standardmig aktiviert. Wenn Sie im Windows-Explorer durch verschiedene
Ordner navigieren, werden diese immer im gleichen Fenster geffnet.
Durch die Vor- und Zurck-Schaltflche knnen Sie zu den bereits
besuchten Ordnern wechseln.

209

Kapitel 4 Konfiguration der Benutzerschnittstellen


Jeden Ordner in einem eigenen Fenster ffnen Wenn Sie diese Option

aktivieren, bleibt die Navigation zunchst gleich. Wenn Sie jedoch im


Windows-Explorer auf einen Ordner doppelklicken, ffnet sich ein
neues Explorer-Fenster, das diesen Ordner anzeigt. Dadurch erhht
sich die Anzahl der Fenster auf dem Desktop, und Sie knnen die Vorund Zurck-Schaltflche nicht mehr uneingeschrnkt nutzen, da
diese nur innerhalb eines Fensters funktionieren.
Die Optionen im Bereich Auswhlen von Elementen sind selbsterklrend. Durch die Auswahl der Option ffnen durch einfachen Klick muss
zum ffnen einer Datei nicht mehr auf diese doppelgeklickt werden,
sondern es gengt, diese einmal anzuklicken, genau wie einen Link
im Internet Explorer.
Abbildung 4.42
Anpassen der
Ordneroptionen im
Windows-Explorer

Registerkarte
Ansicht

210

Die Registerkarte Ansicht ist die wichtigste Registerkarte, um die Anzeige


von Dateien und Ordnern zu konfigurieren. Hier finden Sie eine Vielzahl
von Mglichkeiten. Die meisten Optionen sind bereits durch die Erluterung selbsterklrend. Auf die wichtigsten Optionen geht die folgende
Auflistung ein:
Erweiterungen bei bekannten Dateitypen ausblenden Diese Option ist standardmig aktiviert und sollte deaktiviert werden. Wenn diese Option
aktiv ist, zeigt Windows keine Dateiendungen an, die im System registriert sind. Der Anwender muss aus dem Symbol erraten, um welche
Datei es sich handelt. Sie sollten diese Option deaktivieren, damit Dateiendungen immer angezeigt werden. Wenn die bekannten Dateitypen
ausgeblendet werden, schleichen sich auch schneller Viren ein. Ein
Virenprogrammierer kann zum Beispiel seine Datei hallo.doc.vbs nennen.
Da nur die letzte Endung zhlt, wird die Datei als hallo.doc angezeigt
und der Anwender damit verleitet, ein scheinbar harmloses WordDokument zu ffnen.

Windows-Explorer
Freigabe-Assistent verwenden (empfohlen) Wenn Sie diese Option aktivie-

ren, wird bei der Freigabe von Dateien ein Assistent verwendet, der die
Mglichkeiten der Berechtigungen stark einschrnkt. Vor allem wenn Sie
mit den administrativen Freigaben (c$, d$) arbeiten, knnen ber das
Netzwerk oft Freigaben nicht geffnet werden. Wenn Sie planen, Dateien
in einem Netzwerk freizugeben, sollten Sie diese Option deaktivieren.
Geschtzte Systemdateien ausblenden (empfohlen) Diese Option ist standardmig aktiviert und unterdrckt die Anzeige von Systemdateien
im Windows-Explorer. Erst wenn Sie diese Option deaktivieren, werden smtliche Dateien im Windows-Explorer angezeigt.
Kontrollkstchen zur Auswahl von Elementen verwenden Wie bereits
unter frheren Windows-Versionen knnen Sie zum Markieren mehrerer Dateien im Windows-Explorer mit der Maus einen Rahmen um die
betreffenden Dateien ziehen, die (Strg)-Taste gedrckt halten und die
nicht aufeinanderfolgenden Dateien markieren oder die ()-Taste
gedrckt halten, um mehrere aufeinanderfolgende Dateien zu markieren. Mit Windows Vista ist noch eine weitere Mglichkeit hinzugekommen. Wenn Sie diese Option aktivieren, wird bei jedem Ordner ein
kleines Kstchen angezeigt, wenn Sie mit der Maus darberfahren.
Durch dieses Kstchen knnen Dateien wesentlich effizienter markiert
werden (siehe Abbildung 4.43). Vor allem Anwender, die hufiger mehrere, aber nicht alle Dateien in einem Ordner markieren, sollten diese
Option aktivieren.

Abbildung 4.43
Erweiterte Einstellungen fr die
Ansicht von
Ordnern

Ausgeblendete Dateien, Ordner und Laufwerke anzeigen Durch Auswahl

dieser Option werden auch die versteckten Dateien angezeigt. Sie mssen
diese Option aktivieren, wenn smtliche Dateien im Windows-Explorer
angezeigt werden sollen. Damit auch die Systemdateien angezeigt werden, mssen Sie zustzlich noch das Kontrollkstchen Geschtzte Systemdateien ausblenden deaktivieren. Nur in dieser Kombination erhalten Sie
wirklich alle Dateien und Ordner auf Ihrem Rechner angezeigt.

211

Kapitel 4 Konfiguration der Benutzerschnittstellen

Einige Ansichten werden erst dann auf alle Ordner im Windows-Explorer


bernommen, wenn Sie die Ansicht mit der Schaltflche Fr Ordner bernehmen aktivieren. Die in diesem Abschnitt besprochenen Optionen werden automatisch auf alle Ordner angewendet, Sie mssen nicht erst die
Schaltflche anklicken.
ber die Schaltflche Wiederherstellen auf den einzelnen Registerkarten
knnen Sie abgenderte Einstellungen wieder auf den Systemstandard zurcksetzen.
Registerkarte
Suchen

Auf der Registerkarte Suchen knnen Sie schlielich festlegen, wie sich die
Windows-Suche verhalten soll, wenn Sie im Suchfeld des Explorers oder
der erweiterten Suche einen Begriff eingeben.

Abbildung 4.44
Konfiguration der
Suche im WindowsExplorer

Wenn Sie hufig Dokumente oder Inhalte in Dokumenten suchen, sollten


Sie diese Registerkarte an Ihre Bedrfnisse anpassen. Hier knnen Sie vor
allem anpassen, wo und ob die Suche auch innerhalb von Dateien suchen
soll und ob auch Archive wie beispielsweise Zip-Dateien bercksichtigt
werden sollen.
Was soll
durchsucht
werden?

Im Bereich Was mchten Sie suchen knnen Sie festlegen, wie sich die Windows-Suche bezglich des Inhaltes von Dateien verhalten soll. Standardmig ist die Option In indizierten Orten Dateinamen und -inhalte suchen, in
nicht indizierten Orten nur Dateinamen suchen aktiviert. Dadurch ist sichergestellt, dass in indizierten Ordnern der eingegebene Suchbegriff nicht nur
im Dateinamen auftauchen soll, sondern auch im Inhalt der Datei, sofern
dieser von Windows gelesen werden kann.
Alternativ knnen Sie festlegen, dass die Suche auch in nicht indizierten
Bereichen nach dem Inhalt suchen soll. Da in diesen Bereichen der Inhalt
noch nicht indiziert wurde, dauert die Suche entsprechend lnger, da
Windows nicht nur nach Dateinamen suchen muss, sondern jede lesbare
Datei auch nach dem Inhalt durchforstet werden muss.

212

Windows-Explorer

Im Bereich Wie mchten Sie suchen knnen Sie einstellen, wie sich die Win- Wie soll gesucht
dows-Suche generell verhalten soll. Standardmig werden bei der Suche werden?
auch Unterordner des aktuellen Ordners durchsucht. Wenn Sie das nicht
wollen, knnen Sie das entsprechende Kontrollkstchen einfach an dieser
Stelle deaktivieren.
ber die Option Teiltreffer finden knnen Suchergebnisse angezeigt werden, die nicht exakt der Suche entsprechen, aber Teilberschneidungen
aufweisen.
Darber hinaus knnen Sie smtliche Eigenschaften, die fr die Feinabstimmung von Suchvorgngen verfgbar sind, auch fr Suchen mit natrlicher
Sprache verwenden. Der Unterschied ist, dass Sie gelufigere Formulierungen verwenden knnen. Aktivieren Sie dazu das Kontrollkstchen Unter
Verwendung natrlicher Sprache suchen. Im Folgenden sehen Sie einige Beispiele fr gngige Suchen mittels natrlicher Sprache:
E-Mail-Nachrichten von Thomas, heute gesendet
Dokumente, die im letzten Monat gendert wurden
Rockmusik, Bewertung: ****
Bewerbungen aus Juli 2009

4.4.4

Bibliotheken verwenden

Zu den aufflligsten nderungen beim Start des Windows-Explorers


gehren sicherlich die neu mit Windows 7 eingefhrten Bibliotheken.
Hinter den sogenannten Bibliotheken (engl. Libraries) verbergen sich virtuelle Ordner, die den Inhalt mehrerer echter Ordner zusammenfassen
knnen. Diese virtuellen Ordner bzw. Bibliotheken knnen Inhalte zentral anzeigen, obwohl sie eigentlich an verschiedenen Orten gespeichert
sind. Damit knnen smtliche Daten zu gewnschten Themen ber eine
zentrale Schnittstelle erreicht werden, ohne sie aufwendig aus diversen
Ordnern zusammentragen zu mssen. Physisch handelt es sich bei den
Bibliotheken um XML-Dateien, deren hauptschlicher Inhalt aus einer
Liste der in der Bibliothek enthaltenen Orte besteht.
Der Vorteil der Bibliotheken liegt in der zentralen Anzeige von Dateien, die
an beliebigen Orten gespeichert sind. Auerdem ist es mglich, Dateien
mehreren Bibliotheken zuzuordnen, ohne dass die physische Datei mehrfach vorhanden sein muss.
Standardmig richtet Windows 7 vier vordefinierte Bibliotheken ein:
Die Standard Bilder Hier knnen Fotos, Bilder, eingescannte Grafiken etc. abgelegt bibliotheken
werden.
Dokumente Diese Bibliothek ist fr Dokumente wie z.B. PowerPointPrsentationen oder Word-Dokumente gedacht.
Musik Fr alle digitalen Musikinhalte
Videos Spezielle Bibliothek fr Videos

213

Kapitel 4 Konfiguration der Benutzerschnittstellen


Abbildung 4.45
Die Standardbibliotheken
von Windows 7

Wird eine dieser Bibliotheken mit einem Doppelklick geffnet, so werden


die Inhalte dieser je nach Bibliothekentyp unterschiedlich angezeigt. Dokumente werden beispielsweise standardmig in einer Liste, Bilder mit einer
Vorschau angezeigt.
Integrierte
Ordner anzeigen

Ist eine Bibliothek geffnet, wird in der berschrift angezeigt, aus wie vielen physischen Ordnern der Inhalt stammt. Mit einem Klick auf Orte ffnet
sich ein Dialogfeld, das die tatsachlichen Ordner anzeigt, die in dieser
Bibliothek zusammengefasst werden. Die Bibliothek Dokumente besteht
also beispielsweise standardmig aus den Inhalten der Ordner Eigene
Dokumente und ffentliche Dokumente.
Die einbezogenen Ordner, die in einer Bibliothek enthalten sind, werden
auerdem im Navigationsbereich als Unterordner der Bibliothek aufgefhrt.

Abbildung 4.46
Anzeige der in der
Bibliothek enthaltenen physischen
Ordner

Bibliotheken verwalten
Neue Ordner knnen sehr einfach einer Bibliothek hinzugefgt werden.
Hierzu kann entweder die Option In Bibliothek aufnehmen im Kontextmen des gewnschten Ordners verwendet werden, oder der Ordner
wird per Drag&Drop in die gewnschte Bibliothek gezogen. Dabei knnen in eine Bibliothek Ordner von vielen verschiedenen Orten einbezo-

214

Windows-Explorer

gen werden beispielsweise Ordner auf dem lokalen Laufwerk, auf einer
externen Festplatte oder auf einem Netzlaufwerk.
Abbildung 4.47
Ordner knnen
einer Bibliothek sehr
einfach hinzugefgt
werden.

4
Grundstzlich ist die Einbeziehung der folgenden Speicherorte in eine
Bibliothek mglich:
Lokale Laufwerke
Externe Festplatten (einschrnkend sind die Inhalte nur verfgbar,
wenn die externe Festplatte angeschlossen ist)
USB-Flashlaufwerk (nur wenn das Gert im Navigationsbereich unter
Computer im Bereich Festplatten angezeigt wird. Dies wird vom Gertehersteller festgelegt. Auerdem sind die Inhalte nur verfgbar, wenn
das Laufwerk angeschlossen ist.)
Netzwerklaufwerke (Voraussetzung ist, dass der Netzwerkpfad indiziert ist oder offline verfgbar gemacht wurde.)
Wechselmedium wie beispielsweise CDs oder DVDs knnen nicht in
Bibliotheken einbezogen werden.
Mchten Sie einen Speicherort aus einer Bibliothek wieder entfernen, ver- Ordner aus
wenden Sie entweder das Dialogfeld zur Verwaltung der Orte einer Biblio- Bibliothek
thek, oder Sie klicken im Navigationsbereich des Explorers auf den kleinen entfernen
Pfeil vor der Bibliothek und whlen den Ordner aus, den Sie aus der Bibliothek entfernen mchten. Verwenden Sie hier die Option Ort aus Bibliothek
entfernen im Kontextmen des Ordners.
Wenn Sie einen Ordner aus einer Bibliothek mit den beschriebenen
Optionen entfernen, werden die physischen Dateien und Ordner am
Ursprungsort nicht gelscht. Das Gleiche gilt, wenn Sie eine komplette
Bibliothek lschen.
Wenn Sie Dateien oder Ordner aus einer Bibliothek jedoch lschen,
werden diese auch am ursprnglichen Ort gelscht. Soll ein Element
lediglich aus der Bibliothek (und nicht am eigentlichen Speicherort)
entfernt werden, muss die Option Ort aus Bibliothek entfernen verwendet werden.
hnlich verhlt es sich, wenn Sie einen Ordner in eine Bibliothek einbeziehen und den Ordner anschlieend am ursprnglichen Ort lschen.
Der Ordner ist dann nicht mehr in der Bibliothek verfgbar.

215

Kapitel 4 Konfiguration der Benutzerschnittstellen

Neue Bibliotheken erstellen


Zustzlich zu den vier Standardbibliotheken knnen jederzeit neue benutzerdefinierte Bibliotheken erstellt werden.
Hierzu ist die Option Neu/Bibliothek im Kontextmen des Ordners Bibliotheken zu verwenden und ein Name fr die neue Bibliothek einzugeben.
Bevor Dateien in der neuen Bibliothek gespeichert werden knnen, muss
zuerst ein Ordner in die Bibliothek aufgenommen werden. Der erste
erstellte Ordner wird automatisch zum Standardspeicherort fr die Bibliothek. Der Standardspeicherort wird verwendet, wenn Elemente in die
Bibliothek kopiert oder verschoben werden.
Der Standardspeicherort und auch der Dateityp, fr den eine Bibliothek
optimiert ist, knnen jederzeit in den Bibliothekseigenschaften gendert
werden.
Abbildung 4.48
Dialogfeld zur
Verwaltung der
Eigenschaften einer
Bibliothek

4.5

Einsatzmglichkeiten der
Windows-Suche

Bereits mit Windows Vista hatte Microsoft eine neue Suchfunktion eingefhrt, die weit ber die Mglichkeiten der Suchfunktionen der Vorgngerversionen hinausgeht. Mit Windows 7 wurden die Suchfunktionen
nochmals erweitert. So untersttzt der Suchdienst nun auch sogenannte
Federated Searches und ermglicht damit, die Suche auf andere Computer,
Dateiserver oder Informationsquellen wie den SharePoint Server oder
das Internet auszudehnen.

216

Einsatzmglichkeiten der Windows-Suche

4.5.1

Volltextsuche nach Stichwrtern

Eine Suche kann auf unterschiedliche Weise ausgefhrt werden. Am einfachsten lsst sich eine Suche mithilfe der allgegenwrtigen Suchleiste
durchfhren. Sowohl im Startmen als auch am oberen Rand eines jeden
Explorer-Fensters wird die Suchleiste angezeigt. Die Suche wird automatisch gestartet, sobald Sie mit der Eingabe beginnen.
Die Suche nach Dateien erfolgt anhand von Text im Dateinamen, von Text Suche im
innerhalb der Datei, von Markierungen und von anderen gngigen Datei- Windowseigenschaften, die Sie an die Datei angefgt haben. Hierbei schliet die Explorer-Fenster
Suche den aktuellen Ordner und alle Unterordner ein.

Noch whrend der Eingabe filtert beispielsweise im Explorer die Windows-Suche den aktuellen Inhalt und zeigt nur noch diejenigen Informationen an, die Ihrem Suchkriterium entsprechen, also alle angegebenen
Stichwrter enthalten. Auerdem werden alle Suchbegriffe, die dem eingegebenen Stichwort entsprechen, gelb hervorgehoben. .
Abbildung 4.49
Volltextsuche im
Windows-Explorer
nach einem Stichwort

Um die Menge der Suchergebnisse einzuschrnken, knnen Suchfilter verwendet werden. Damit kann beispielsweise die Suche auf ausgewhlte
Dokumenttypen eingeschrnkt werden. Dabei ist der Einsatz von Suchfiltern
sehr einfach, da der Windows-Explorer standardmig zum Stichwort passende Suchfilter vorschlgt. Das Dialogfeld zeigt je nach ausgewhltem Filter
unterschiedliche Auswahlmglichkeiten an. Soll beispielsweise nach einem
Dokument gesucht werden, das an einem bestimmten Tag erstellt wurde, ist
der Filter nderungsdatum zu verwenden. Der Explorer blendet jetzt ein
Kalenderblatt ein, in dem das gewnschte Datum gewhlt werden kann.
Die Suche kann auch auf mehrere Suchbegriffe erweitert werden. Geben
Sie mehrere Schlssel-Wert-Paare durch Leerzeichen getrennt an, mssen alle gemeinsam erfllt sein (eine logische Und-Verknpfung). Soll
nur ein Kriterium erfllt sein, muss zwischen die Schlssel-Wert-Paare
das Wort oder geschrieben werden (siehe Abbildung 4.50).

217

Kapitel 4 Konfiguration der Benutzerschnittstellen


Abbildung 4.50
Suche nach mehreren Stichwrtern

Suche im
Startmen
Abbildung 4.51
Volltextsuche im
Startmen nach
einen Stichwort

218

Wird eine Suche im Startmen durchgefhrt, verwandelt sich das Startmen in eine Liste mit in Kategorien unterteilten Suchergebnissen. Am
Anfang stehen jeweils die besten Treffer aus jeder Kategorie.

Einsatzmglichkeiten der Windows-Suche

Sortiert werden die Treffen jeweils nach deren Relevanz. Bei Anwendungen und Dateien ergibt sich die Relevanz aus der Verwendungshufigkeit.
Je hufiger Sie also beispielsweise ein Programm starten bzw. je hufiger
Sie es verwenden, desto wichtiger wird es eingestuft und umso hher ist
seine Relevanz im Suchergebnis.
Die Stichwortsuche im Startmen kann auch verwendet werden, um
schnell ein bestimmtes Programm zu starten. Nach der Eingabe des
Namens der Anwendung gengt ein Mausklick auf das richtige Suchergebnis, um das Programm zu ffnen.
Wenn Sie eine Suche mit mehreren Filtern definieren mssen, knnen Sie Suchabfragen
die erstellte Suche speichern. Die Einstellungen einer gespeicherten Suche speichern
mssen bei der nchsten Verwendung der Suche nicht erneut angepasst
werden. Es gengt, die gespeicherte Suche zu ffnen, um die neuesten
Dateien, die der ursprnglichen Suchanfrage entsprechen, anzuzeigen.
Um eine Suche zu speichern, sind folgende Schritte erforderlich:
Fhren Sie den gewnschten Suchvorgang aus.
Klicken Sie nach Abschluss der Suche auf der Symbolleiste auf Suche
speichern.
Geben Sie im Feld Dateiname einen Namen fr die Suche ein, und klicken Sie dann auf Speichern.
Abbildung 4.52
Suchabfragen
knnen gespeichert
werden.

Die gespeicherte Suche wird im Ordner Suchvorgnge im persnlichen


Ordner unter Computer gespeichert. Zustzlich wird im Favoritenbereich
des Navigationsbereichs eine Verknpfung mit der gespeicherten Suche
hinzugefgt.

219

Kapitel 4 Konfiguration der Benutzerschnittstellen

4.5.2

Indizierte Suche

Bereits in Windows Vista hat Microsoft die Suche mit einem Suchindex ausgestattet. Mithilfe des Index kann die Suche nach Dateien erheblich
beschleunigt werden. Anstatt die ganze Festplatte nach einem Dateinamen
oder einer Dateieigenschaft durchsuchen zu mssen, muss Windows lediglich den Index berprfen, sodass das Ergebnis in einem Bruchteil der Zeit
verfgbar ist, die fr eine Suche ohne Index bentigt wrde.
Standardmig werden alle in Bibliotheken einbezogenen Ordner (beispielsweise der gesamte Inhalt der Dokumentbibliothek) sowie E-Mails
und Offline-Dateien indiziert. Programm- und Systemdateien hingegen
werden nicht indiziert.

Ordner zur Indizierung hinzufgen


Da standardmig alle Bibliotheken indiziert werden, knnen andere
Ordner sehr einfach durch die Aufnahme in eine Bibliothek dem Suchindex hinzugefgt werden. Der Inhalt des entsprechenden Ordners wird
dann automatisch indiziert.
Dem Index knnen auch ohne Verwendung von Bibliotheken Elemente hinzugefgt werden. Um das Dialogfeld zur Indexverwaltung zu ffnen, geben
Sie am einfachsten den Begriff Indizierung im Suchfeld des Startmens ein
und whlen anschlieend in der Liste die Option Indizierungsoptionen.
Ein Dialogfeld ffnet sich, in dessen oberen Teil Sie erkennen knnen, wie
viele Elemente der Suchindex derzeit indiziert hat und ob der Index aktuell ist oder neue Daten indiziert. Im unteren Teil werden die Ordner aufgelistet, die der Suchindex berwacht.
Abbildung 4.53
Dialogfeld zur
Verwaltung des
Suchindex

220

Einsatzmglichkeiten der Windows-Suche

So knnen Sie einen Indizierungsort hinzufgen oder entfernen:


Indizierungsort
hinzufgen oder
1. Klicken Sie auf ndern.
entfernen
2. Zum Hinzufgen eines Speicherorts mssen Sie diesen in der Liste
Ausgewhlte Orte ndern aktivieren und dann auf OK klicken. Klicken
Sie auf Alle Orte anzeigen, wenn Ihnen nicht alle Speicherorte auf Ihrem
Computer in der Liste Ausgewhlte Orte ndern angezeigt werden (siehe
Abbildung 4.54).
3. Wenn Sie einen Ordner, jedoch nicht seine Unterordner in den Index einschlieen mchten, mssen Sie den Ordner erweitern und dann die
Kontrollkstchen smtlicher Ordner deaktivieren, die Sie nicht indizieren mchten. Diese Ordner werden in der Spalte Ausschlieen angezeigt.
Abbildung 4.54
Indizierte Orte
verwalten

Administratorrechte vorausgesetzt, finden Sie unter Erweitert zustzliche Den Suchindex


Funktionen zur Verwaltung des Suchindex. So knnen Sie hier beispiels- verwalten
weise den Index neu erstellen lassen oder die Standardeinstellungen wiederherstellen. Wichtig sind vor allem die folgenden Optionen:
Verschlsselte Dateien indizieren Normalerweise indiziert der Suchindex keine mit EFS (Encrypting File System) verschlsselten Dateien,
da die Anzeige der Schlsselwrter im Suchindex ein Sicherheitsrisiko darstellen kann. Zwar ist auch der Suchindex verschlsselt, verwendet aber einen niedrigeren Sicherheitsstandard.

221

Kapitel 4 Konfiguration der Benutzerschnittstellen


Indizierungsort Dieser Eintrag legt fest, wo der Suchindex gespeichert

wird. Ist beispielsweise auf dem angegebenen Laufwerk zu wenig Speicherplatz frei, kann der Suchindex auf ein anderes Laufwerk verschoben werden. Sobald der Suchindex neu gestartet wird, beispielsweise
nach einem Neustart, verwendet er den neu angegebenen Ort.
Problembehandlung Diese Option ist hilfreich, wenn der Suchindex
stndig falsche oder unvollstndige Ergebnisse liefert. In diesem Fall
sollte der Index neu erstellt werden.
Bei der Neuerstellung des Index ist zu beachten, dass die komplette Neuerstellung des Index mehrere Stunden dauern kann. Daher ist es sinnvoll,
zunchst die Option Problembehandlung fr den Suchdienst im Dialogfeld
Indizierungsoptionen zu starten.
Abbildung 4.55
Indexeinstellungen
in den erweiterten
Optionen verwalten

Der Suchindex durchsucht nicht jede Datei. Auf der Registerkarte Dateitypen sehen Sie, welche Dateien indiziert werden knnen.
Hier knnen Sie auch zustzliche Dateitypen hinterlegen und bestimmen,
welche Eigenschaften indiziert werden sollen. Fr jeden Dateityp kann
festgelegt werden, ob der Index nur seine Eigenschaften (Dateiname, Metadaten) oder auch seinen Inhalt durchsuchen soll.

222

Tastenkombinationen in Windows 7
Abbildung 4.56
In den Index einbezogene Dateitypen

4.6

Tastenkombinationen in
Windows 7

In diesem Abschnitt finden Sie die wichtigsten Tastenkombinationen zur


Bedienung von Windows 7 zusammengefasst.

4.6.1

Tastenkombinationen mit der


Windows-Taste

() ffnen oder Schlieen des Startmens


()+(Pause) Anzeigen des Dialogfeldes Systemeigenschaften
()+() Umschalten zwischen Programmen auf der Taskleiste mit-

hilfe von Windows Flip-3D


()+(T) Umschalten zwischen Programmen auf der Taskleiste
(Strg)+()+() Verwenden der Pfeiltasten zum Umschalten zwi

schen Programmen auf der Taskleiste mithilfe von Windows Flip-3D


()+(Leertaste) Mittels Aero Peek werden alle Fenster durchsichtig, solange Sie die ()-Taste gedrckt halten. Diese Funktion ist neu
in Windows 7.
()+(M) Alle Fenster minimieren
()+()+(M) Alle minimierten Fenster wiederherstellen
()+(D) Desktop anzeigen
()+(E) ffnen von Computer
()+(F) Eine Datei oder einen Ordner suchen
(Strg)+()+(F) Suchen nach Computern (wenn Sie sich in einem
Netzwerk befinden)

223

Kapitel 4 Konfiguration der Benutzerschnittstellen


()+(G) Umschalten zwischen Sidebar-Minianwendungen
()+(L) Computer sperren, wenn dieser mit einer Netzwerkdo-

mne verbunden ist, bzw. den Benutzer wechseln, wenn dies nicht
der Fall ist
()+(R) Dialogfeld Ausfhren ffnen
()+(U) Center fr erleichterte Bedienung ffnen
()+(F1) Windows-Hilfe anzeigen

4.6.2

Tastenkombinationen fr den
Internet Explorer

(Strg)+Klicken ffnen von Links in einer neuen Registerkarte im

Hintergrund
(Strg)+()+Klicken ffnen von Links in einer neuen Registerkarte

im Vordergrund
(Strg)+(T) ffnen einer neuen Registerkarte im Vordergrund
(Strg)+() oder (Strg)+()+() Umschalten zwischen Register

karten
(Strg)+(W) Die aktuelle Registerkarte schlieen (oder das aktuelle
Fenster, wenn das Browsen mit Registerkarten deaktiviert ist)
(Alt)+() ffnen einer neuen Registerkarte im Vordergrund aus
der Adressleiste heraus
(Strg)+(n) (wobei n eine Zahl zwischen 1 und 8 ist) Wechseln zu
einer Registerkarte mit einer bestimmten Nummer
(Strg)+(9) Wechseln zur letzten Registerkarte
(Strg)+(Alt)+(F4) Schlieen der anderen Registerkarten
(Strg)+(Q) Schnelle Registerkarten (Miniaturansicht) ein- und ausschalten

4.6.3

Tastenkombination in Windows 7 zur


Steuerung des Windows-Explorers und
zur Dateiverwaltung

Im folgenden Abschnitt finden Sie die wichtigsten Tastenkombinationen


des Windows-Explorers erlutert:
(Strg)+(C) Kopieren
(Strg)+(V) Einfgen
(Strg)+(X) Ausschneiden
(Strg)+(Z) Rckgngig
(F1) Hilfe anzeigen
()+(F1) Kontextbezogene Hilfefunktion aktivieren (Direkthilfe)
()+(F10) Kontextmen zum momentan aktiven Element anzeigen
(Leertaste) Markieren (entspricht einem einfachen Mausklick)
(Esc) Abbrechen

224

Tastenkombinationen in Windows 7
(Alt) Menleiste aktivieren oder deaktivieren
(Alt)+() Nchstes Hauptfenster anzeigen
(Alt)+(Esc) Nchstes Fenster anzeigen
(Alt)+(Leertaste) Systemmen fr Fenster anzeigen
(Alt)+(-) Systemmen fr das aktive untergeordnete Fenster an-

zeigen
(Alt)+() Eigenschaften anzeigen
(Alt)+(F4) Aktives Fenster schlieen
(Alt)+(F6) Zum nchsten Fenster innerhalb der Anwendung wech

seln
(Alt)+(Druck) Aktiven Fensterinhalt in die Zwischenablage kopieren
(Druck) Desktop-Inhalt in die Zwischenablage kopieren
(Strg)+(Esc) Schaltflche Start in der Taskleiste aktivieren
(F2) Umbenennen
(F3) Suchen
(Entf) Lschen
()+(Entf) Datei endgltig lschen (ohne Papierkorb)
(Alt)+(Doppelklick) Eigenschaften anzeigen
(Strg)+(F6) Nchstes untergeordnetes Fenster anzeigen
(Strg)+() Nchste Registerkarte oder nchstes untergeordnetes
Fenster anzeigen.
(F4) Adressleiste im Windows-Explorer ffnen und Eingabefokus in
die Liste setzen
(F5) Anzeige aktualisieren
(F6)+() Fokus auf den nchsten Fensterbereich im Windows-Explorer verschieben
(Strg)+(Z) Rckgngig
(Strg)+(A) Alles markieren
(__) Zum bergeordneten Ordner wechseln

225

Benutzerverwaltung

Um Zugriff auf Ressourcen auf einem lokalen Rechner oder einer Domne
zu erhalten, ist ein Benutzerkonto mit eindeutigen Anmeldeinformationen
Voraussetzung. Durch ein Benutzerkonto werden die Privilegien des Benutzers festgelegt. Hierbei ist zwischen lokalen Computerkonten und domnenbasierten Konten zu unterscheiden.
Bereits mit Windows Vista hatte Microsoft einige Neuerungen im Bereich der
Desktop-Benutzerverwaltung eingefhrt, die vor allem der Verbesserung der
Sicherheit der lokalen Benutzerkonten dienen. Kernkomponente ist die Benutzerkontensteuerung, die eine strikte Trennung von Administrator- und Benutzerkonten ermglicht. In diesem Kapitel gehen wir auf alle wichtigen Aspekte
zur Verwaltung lokaler Benutzer und Gruppen unter Windows 7 ein.
In einem Unternehmensnetzwerk aber werden Windows 7-Rechner in der
Regel als Clients in einem Active Directory-basierten Netzwerk fungieren
und die Benutzer daher ber domnenbasierte Konten verfgen. Gerade
hier ist eine genaue Kenntnis der Zusammenhnge zwischen lokalen Konten und Gruppen und domnenbasierten Konten und Gruppen fr eine
erfolgreiche Administration wichtig. Diese Zusammenhnge einschlielich
der damit verbundenen Benutzerprofile werden ebenfalls betrachtet.

5.1

Die Benutzerkontensteuerung

Zu den zentralen Benutzerverwaltungsfunktionen gehrt die Benutzerkon- User Account


tensteuerung (englisch: User Account Control UAC). Es handelt sich hier- Control UAC
bei um eine Sicherheitsfunktion, die dafr sorgt, dass alle Benutzer Anwendungen und Aufgaben unter einem Standard-Benutzerkonto ausfhren,
auch wenn sie Mitglied der Gruppe der lokalen Administratoren sind.

227

Kapitel 5 Benutzerverwaltung

Damit werden zwei Problemfelder frherer Windows-Versionen adressiert.


Zum einen ist es bei Windows-Versionen vor Windows Vista immer wieder
erforderlich, Benutzerkonten der lokalen Gruppe Administratoren als Mitglieder hinzuzufgen, da Benutzer fr die Installation, Aktualisierung und
Ausfhrung vieler Anwendungen administrative Rechte bentigen. Das
gilt leider auch fr einfachste, aber notwendige Aufgaben, wie beispielsweise das ndern der Systemzeit. Endbenutzern administrative Rechte zu
geben, birgt jedoch ein hohes Risiko und sorgt u.a. dafr, dass Computer
und Netzwerke verwundbar fr Schadsoftware werden.
Ersetzt
Ausfhren als

Zum anderen verwenden Administratoren hufig ihr administratives Konto


zur Erledigung nicht administrativer Aufgaben. Seit der Verffentlichung
von Windows 2000 gibt es zwar mit der Funktion Ausfhren als die Mglichkeit, Anwendungen als Administrator auszufhren, whrend man als Standardbenutzer angemeldet ist, doch wird diese Mglichkeit vielfach nicht
genutzt.
Bei Windows 7 werden administrative Aufgaben von normalen Aufgaben
getrennt. Damit knnen Endbenutzer alle wesentlichen Aufgaben erledigen, und Administratoren knnen die meisten Anwendungen, Komponenten und Prozesse mit eingeschrnkten Privilegien erledigen, haben aber
gleichzeitig die Mglichkeit, bestimmte Aufgaben oder Anwendungen mit
administrativen Rechten auszufhren.

5.1.1

Die Benutzerkontensteuerung im
praktischen Einsatz

Der folgende Abschnitt stellt die Leistungsmerkmale der Benutzerkontensteuerung vor.

Der Benutzermodus
Hauptziel der Benutzerkontensteuerung ist eine Reduzierung der Angriffsflche des Betriebssystems. Hierzu arbeiten alle Benutzer als Standardbenutzer. Allerdings haben Standardbenutzer seit Windows Vista erweiterte Privilegien. Zu den Berechtigungen fr Standardbenutzer gehren u.a. die
folgenden:
Anzeigen der Systemuhr und des Kalenders
ndern der Zeitzone
ndern der Anzeigeeinstellungen
ndern der Energiesparoptionen
Installation von Schriftarten
Installation von Wired Equivalent Privacy (WEP), um eine WLANVerbindung aufzubauen
Installation von Druckern und anderen Gerten, fr die ein Treiber im
Treiberspeicher vorhanden ist
Einrichten und Konfigurieren von VPN-Verbindungen
Herunterladen und Installieren von Updates

228

Die Benutzerkontensteuerung

Zustzlich ist es Standardbenutzern mglich, administrative Aufgaben aus- Kein Wechsel des
zufhren, sofern sie ein Administratorkonto und dessen Kennwort kennen. Benutzerkontos
Administrative Rechte sind beispielsweise in den folgenden Bereichen erforderlich
erforderlich: Installation und Deinstallation von Anwendungen und Gertetreibern, Verwaltung von Benutzerkonten, Systemkonfiguration, Zugriffe
auf Systemdateibereiche und Partitionierung der Festplatte.
Wenn ein Benutzer versucht, eine Anwendung zu starten, die hhere Rechte
erfordert, zum Beispiel eine Softwareinstallation, wird er nach einem administrativen Kennwort gefragt. Wenn er das Kennwort des lokalen Administrators kennt, kann er dieses eingeben. Alternativ kann er den Administrator
um Hilfe bitten. Administratoren knnen letztere Mglichkeit auch ausschalten. In diesem Fall wird der Benutzer lediglich darber informiert, dass er die
gewnschte Aufgabe nicht ausfhren darf (siehe hierzu Abschnitt 5.1.2 ab
Seite 233).
Im Anhebungsdialog (engl. Elevation) wird die Anwendung bzw. die
Datei genannt, die den Dialog aufgerufen hat. ber Details anzeigen kann
deren Speicherort ermittelt werden.

5
Abbildung 5.1
Anhebungsdialog
bei Anforderung
administrativer
Rechte

Fr welche Aktionen administrative Rechte erforderlich sind, wird jeweils


-Symbol
durch ein Symbol gekennzeichnet. Dieses wird fr alle Befehle verwendet, kennzeichnet
fr die administrative Rechte erforderlich sind, und findet sich im gesam- erforderliche
Administratorten Betriebssystem wieder.
rechte

229

Kapitel 5 Benutzerverwaltung
Abbildung 5.2
Anhand des Sicherheitssymbols ist auf
einen Blick erkennbar, welche Funktionen administrative
Rechte erfordern.

Die Gruppe Hauptbenutzer


Die Gruppe Hauptbenutzer war in den frheren Windows-Versionen
dazu da, den Benutzern bestimmte administrative Rechte zu geben.
Damit konnte zumindest teilweise vermieden werden, dass Benutzer
in die Gruppe der Administratoren aufgenommen werden mussten,
nur um bestimmte Aufgaben auszufhren.
Mit der Benutzerkontensteuerung wird die Gruppe der Hauptbenutzer
nicht mehr bentigt. Standardbenutzer knnen die meisten normalen
Konfigurationsaufgaben ausfhren, und ltere Anwendungen, die
administrative Rechte bentigen, funktionieren aufgrund der Virtualisierung. Aus Grnden der Abwrtskompatibilitt ist allerdings auch
in Windows 7 die Gruppe Hauptbenutzer mit eingeschrnkten administrativen Rechten verfgbar.

Der Administratormodus
Besttigungsmodus

Administratoren arbeiten bei Windows 7 ebenfalls standardmig mit


dem Zugriffstoken des Standardbenutzers, d.h., allen Prozessen werden
nach der Anmeldung als Administrator zunchst nur die Zugriffsrechte
des Standardbenutzers gewhrt.
Im Hintergrund passiert dabei Folgendes: Meldet sich ein Benutzer an
einem Windows 7-Rechner an, erstellt das System ein Zugriffstoken fr
den Benutzer. Das Token enthlt alle erforderlichen Zugriffsinformationen
einschlielich eines Security Identifiers (SID). Meldet sich ein Administra-

230

Die Benutzerkontensteuerung

tor am System an, werden zwei Zugriffstoken erstellt: ein Standardbenutzer-Token und ein Administrator-Token. Das Standardbenutzer-Token enthlt zwar die gleichen Informationen wie das Administrator-Token, aber
ohne administrative Zugriffsrechte und SID. Damit kann das Standardbenutzer-Token nicht zum Start von Anwendungen oder fr den Zugriff auf
Ressourcen verwendet werden, fr die administrative Rechte erforderlich
sind.
Damit sind auch Benutzer, die im Administratorkontext arbeiten, vor
ungewollten Installationen und vor der Ausfhrung bsartiger Software
geschtzt. Erfordert die Ausfhrung eines Programms erhhte Rechte,
wird das nachfolgende Besttigungsdialogfeld eingeblendet. Im Gegensatz
zum Standardbenutzer muss hier der Zugriff nur besttigt werden, d.h.,
die Eingabe des Kennwortes entfllt. Dieses Verhalten wird als Besttigungsmodus (engl. Admin Approval Mode) bezeichnet.
Generiert ein Prozess weitere abhngige Prozesse, wird das Zugriffstoken
an diese vererbt. Eine erneute Besttigung ist nicht notwendig, sofern alle
Prozesse denselben Integrittslevel besitzen.

5
Abbildung 5.3
Besttigungsdialog,
wenn eine Anwendung erhhte Rechte
bentigt

Anwendungen als Administrator starten


In frheren Versionen von Windows gibt es den Befehl Ausfhren als, mit
dessen Hilfe Standardbenutzer bzw. Benutzer mit eingeschrnkten Rechten Anwendungen starten knnen, die hhere Rechte erfordern, zum Beispiel eine Softwareinstallation. Administratoren, die im Kontext eines
Benutzerkontos arbeiten, mssen sich damit nicht erst abmelden und als
Administrator neu anmelden.
In Windows 7 wurde anstelle des Befehls Ausfhren als der neue Befehl Als
Administrator ausfhren implementiert. Dank der Benutzerkontensteuerung wird man als Administrator diesen Befehl aber wohl nur selten bentigen, da Windows bei Bedarf automatisch zur Eingabe eines Administratorkennworts auffordert.
Fr einige ltere Programme muss jedoch mglicherweise der Befehl Als
Administrator ausfhren dennoch verwendet werden, damit Sie sich nicht
erst abmelden und erneut anmelden mssen. Zu finden ist der Befehl im
Kontextmen der Anwendung.

231

Kapitel 5 Benutzerverwaltung
Abbildung 5.4
Option Als Administrator ffnen im
Kontextmen von
Remotedesktopverbindung

Als Alternative zu Als Administrator ausfhren kann ber die Tastenkombination (Strg)+()+() eine Anwendung mit erhhten Rechten
gestartet werden. Geben Sie zum Beispiel in das Suchfeld des Startmens
cmd ein, und drcken Sie die Tastenkombination. Danach wird die
Benutzerkontensteuerung aufgerufen, das zur Besttigung auffordert.
Das Ausfhren von cmd mit erhhten Rechten ist vor allem ntzlich, wenn
man auf der Befehlszeilenebene viele administrative Schritte auf einmal
ausfhren mchte. In diesem Prozess gestartete Programme laufen dann
automatisch im Administratorkontext.

Sicherer Desktop
Die angezeigten Besttigungs- und Anhebungsdialoge werden standardmig auf dem sogenannten sicheren Desktop angezeigt. Optisch
ist dieser dadurch gekennzeichnet, dass alle anderen Fenster in einen
abgeblendeten Hintergrund gelegt werden. Nur das Zustimmungsdialogfeld wird in normaler Helligkeit angezeigt. Auerdem ist kein
Zugriff auf die anderen Fenster mglich.
Hintergrund dieser Manahme ist, dass aus Sicherheitsgrnden auf
dem sicheren Desktop nur Prozesse ausgefhrt werden knnen, die im
Kontext System laufen. Damit soll verhindert werden, dass Programme
das Besttigungsdialogfeld grafisch imitieren knnen, um Kennwrter
abzufangen.
Mit einer Gruppenrichtlinie kann die Verwendung des sicheren Desktops abgeschaltet werden (siehe hierzu die Gruppenrichtlinien-Erluterungen im nchsten Abschnitt).

232

Die Benutzerkontensteuerung

5.1.2

Sicherheitslevel der
Benutzerkontensteuerung konfigurieren

Seit der Einfhrung der Benutzerkontensteuerung mit Windows Vista


steht diese in der Kritik, Anwender und Administratoren mit viel zu vielen lstigen und zum Teil sogar mehrmaligen Abfragen zu nerven. Und
da eine dedizierte Konfiguration unter Windows Vista nicht mglich ist,
haben nicht wenige Anwender diese ntzliche Sicherheitsfunktion gleich
ganz abgeschaltet.
Um diesem Problem zu begegnen, hat Microsoft die Benutzerkontensteuerung in Windows 7 gleich an mehreren Stellen angepasst. Zum einen fragt
das System standardmig sehr viel seltener und nicht gleich mehrfach
nach, und zum anderen bietet Windows 7 die Mglichkeit, die Warnstufe
einzustellen.
Allerdings geht dies auf Kosten der Sicherheit, denn in der Standardeinstel- AutoElevation
lung ist UAC so konfiguriert, dass es bestimmte nderungen automatisch verringert die
mit dem Administrator-Token ausfhrt, ohne dass es einer Besttigung Sicherheit
bedarf (AutoElevation). Dazu verwendet Windows u.a. eine Art Positivliste
(Whitelist) von betriebssystemeigenen Komponenten, denen die AutoElevation gestattet ist. Zu den sicheren Verzeichnissen zhlen beispielsweise das
Anwendungsverzeichnis und der System32-Ordner im Installationsverzeichnis. Auch einige privilegierte Prozesse erhalten automatisch AutoElevateRechte. Allerdings funktioniert die AutoElevation nur, wenn der angemeldete Benutzer ber Administratorrechte verfgt, denn fr Standardbenutzer
gibt es im Hintergrund kein Administrator-Token.
Das Problem dabei ist, dass auf diese Weise in vielen Situationen der
Effekt von UAC entfllt, auf mgliche gefhrliche nderungen aufmerksam zu machen. Und anders als in der strikten Handhabung von Windows Vista ist es auf diese Weise auch mglich, dass Malware gezielt die
neuen Mechanismen ausnutzt, um unbemerkt an administrative Rechte
zu gelangen.
Aus den genannten Grnden ist dringend zu empfehlen, die Standardeinstellung der Benutzerkontensteuerung zu ndern und die UAC-Einstellungen auf die hchste Stufe (immer benachrichtigen) und damit wieder auf das Niveau von Windows Vista zu bringen. Dazu stellt Microsoft
einen Schieberegler zur Verfgung, der die UAC-Einstellungen in vier
Stufen verndert oder diese Meldungen komplett deaktiviert.
Zu finden sind die Einstellungsmglichkeiten im Bereich Benutzerkonten Benutzerkontenund Jugendschutz der Systemsteuerung. Der Zugriff auf diesen Bereich steuerung konfierfolgt am schnellsten durch Eingabe von uac im Suchfeld des Startmens gurieren
und Auswahl der Option Einstellungen der Benutzerkontensteuerung ndern.
In dem sich ffnenden Dialogfeld knnen die Sicherheitseinstellung per
Schieberegler eingestellt werden. Standardmig ist die zweithchste Stufe
eingestellt.

233

Kapitel 5 Benutzerverwaltung
Abbildung 5.5
Die Benutzerkontensteuerung sollte
auf das hchste
Niveau eingestellt
werden.

Auswhlbar sind die folgenden Einstellungen:


Immer benachrichtigen: Dies ist die sicherste Einstellung. Bei Auswahl
dieser Option werden Sie benachrichtigt, bevor von einem Programm
nderungen am Computer oder an den Einstellungen von Windows
vorgenommen werden, fr die Administratorberechtigungen erforderlich sind.
Nur benachrichtigen, wenn nderungen an meinem Computer von Programmen vorgenommen werden: Dies ist die Standardeinstellung. Sie
werden benachrichtigt, bevor von einem Programm nderungen am
Computer vorgenommen werden, fr die Administratorberechtigungen erforderlich sind und wenn von einem Programm auerhalb von
Windows versucht wird, nderungen an einer Windows-Einstellung
vorzunehmen. Sie werden jedoch nicht benachrichtigt, wenn Sie nderungen an Einstellungen von Windows vornehmen, fr die Administratorberechtigungen erforderlich sind.
Nur benachrichtigen, wenn nderungen an meinem Computer von
Programmen vorgenommen werden (Desktop nicht abblenden): Bei
dieser Einstellung handelt es sich um die gleiche Einstellung wie bei
Nur benachrichtigen, wenn nderungen an meinem Computer von Programmen vorgenommen werden, jedoch erfolgt die Benachrichtigung
hier nicht auf dem sicheren Desktop.
Nie benachrichtigen: Da nderungen am Computer ohne Benachrichtigung erfolgen, ist dies die unsicherste Einstellung. Sie sollte nur in isolierten Testumgebungen verwendet werden. In diesem Fall muss sehr
genau darauf geachtet werden, welche Programme ausgefhrt werden,
da diese den gleichen Zugriff auf den Computer besitzen wie Sie selbst.
Programmen wird zudem das Kommunizieren und bertragen von
Informationen ber smtliche Verbindungen ermglicht, die fr den

234

Die Benutzerkontensteuerung

Computer hergestellt werden einschlielich der Internetverbindung.


Auerdem ist bei dieser Einstellung zu beachten, dass Standardbenutzern alle nderungen, fr die Administratorberechtigungen
erforderlich sind, automatisch verweigert werden.

Konfiguration mittels Gruppenrichtlinien


Eine alternative bzw. erweiterte Konfiguration der Benutzerkontensteuerung ist mithilfe von Gruppenrichtlinien mglich. Beispielsweise kann
hier dediziert die Anzeige des Besttigungsdialogs bei der Installation
von Anwendungen ausgeschaltet werden.
Zur Konfiguration der Benutzerkontensteuerung gehen Sie wie folgt vor:
1. ffnen Sie durch Eingabe von gpedit.msc im Suchfeld des Startmens
den Editor fr lokale Gruppenrichtlinien. Hierfr sind administrative
Rechte erforderlich.
2. Whlen Sie unter Computerkonfiguration/Windows-Einstellungen den
Container Sicherheitseinstellungen.
Alternativ knnen Sie im Suchfeld des Startmens den Befehl Sicherheitsrichtlinie oder secpol.msc eingeben. Hiermit wird direkt und ausschlielich der Container Sicherheitseinstellungen geffnet.
3. Whlen Sie Lokale Richtlinien und anschlieend Sicherheitsoptionen.

Abbildung 5.6: Sicherheitsrichtlinien zur Konfiguration der Benutzerkontensteuerung

Die Richtlinien zur Steuerung der Benutzerkontensteuerung bieten die


nachfolgend beschriebenen Konfigurationsmglichkeiten.
Benutzerkontensteuerung: Administratorbesttigungsmodus fr das inte- Richtlinien fr
grierte Administratorkonto Mit dieser Richtlinie kann der Besttigungs- die Benutzerkondialog fr die Ausfhrung mit erhhten Rechten fr das integrierte Admi- tensteuerung

nistratorkonto deaktiviert werden. Ist der Besttigungsmodus deaktiviert,


wird das integrierte Administratorkonto im XP-kompatiblen Modus angemeldet, was bedeutet, dass alle Anwendungen und Prozesse mit vollstndiger Administratorberechtigung ausgefhrt werden. Bemerkenswerterweise ist im Gegensatz zu Windows Vista diese Richtlinie unter Windows 7
standardmig deaktiviert.

235

Kapitel 5 Benutzerverwaltung
Benutzerkontensteuerung: Alle Administratoren im Administratorbesttigungsmodus ausfhren Mithilfe dieser Richtlinie kann die Benutzerkon-

tensteuerung fr die administrativen Konten aktiviert bzw. deaktiviert werden. Ist der Besttigungsmodus deaktiviert, werden alle Administratorkonten im XP-kompatiblen Modus angemeldet, was bedeutet, dass alle
Anwendungen und Prozesse mit vollstndiger Administratorberechtigung
ausgefhrt werden.
Damit diese Richtlinie wirksam wird, muss der Rechner neu gestartet werden. Diese Richtlinie ist standardmig aktiviert.
Benutzerkontensteuerung: Anwendungsinstallationen erkennen und
erhhte Rechte einfordern Eine Installation wird ber heuristische

Erkennungsmechanismen von Windows 7 erkannt, und der Anhebungsdialog zur Eingabe des Administratorkennwortes wird bei Verwendung
eines Standardbenutzerkontos angezeigt. Wird diese Option deaktiviert,
schaltet Windows 7 die automatische Erkennung ab. Anwendungen werden sich dann mglicherweise mit dem Hinweis melden, dass Administratorrechte zur Ausfhrung ntig sind, und die Installation verweigern.
In Unternehmen, in denen automatisierte Verfahren zur Bereitstellung
von Anwendungen verwendet werden, sollte diese Richtlinie deaktiviert
werden. Standardmig ist die Richtlinie aktiviert.
Benutzerkontensteuerung: Bei Eingabeaufforderung nach erhhten Rechten zum sicheren Desktop wechseln Mit dieser Richtlinie wird bestimmt,

ob die Anforderung erhhter Rechte als Fenster auf dem interaktiven Benutzerdesktop oder auf dem sicheren Desktop angezeigt wird. Standardmig
ist die Richtlinie aktiviert, d.h., alle Anforderungen nach erhhten Rechten
werden auf dem sicheren Desktop angezeigt.
Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren Diese Sicherheitseinstellung ermg-

licht es, Legacy-Anwendungen in virtualisierte geschtzte Speicherbereiche der Registrierung und des Dateisystems zu schreiben. Durch die Virtualisierung wird das Ausfhren von Legacy-Anwendungen mglich,
die anderenfalls nicht im Kontext eines Standardbenutzers ausgefhrt
werden knnten. Werden nur Windows 7-kompatible Anwendungen
ausgefhrt, kann diese Funktion deaktiviert werden. In diesem Fall wird
fr Anwendungen, die Daten in geschtzte Speicherorte schreiben wollen wie in vorherigen Windows-Versionen auch, ein Fehler zurckgegeben. Standardmig ist die Richtlinie aktiviert.
Benutzerkontensteuerung: Nur ausfhrbare Dateien heraufstufen, die
signiert und berprft sind Mit dieser Sicherheitseinstellung werden Sig-

naturberprfungen fr interaktive Anwendungen erzwungen, die erhhte


Rechte erfordern. Ist die Richtlinie aktiviert, wird der Dialog Ein nicht identifiziertes Programm mchte auf den Computer zugreifen nicht eingeblendet und
ein Zugriff von vornherein blockiert. Standardmig ist die Richtlinie deaktiviert.

236

Die Benutzerkontensteuerung
Benutzerkontensteuerung: Erhhte Rechte nur fr UIAccess-Anwendungen, die an sicheren Orten installiert sind Mit dieser Richtlinie wird die

Anforderung erzwungen, dass sich Anwendungen, die eine Ausfhrung


mit einer UIAccess-Integrittsebene anfordern, an einem sicheren Speicherort im Dateisystem befinden mssen. Sichere Speicherorte sind auf
die folgenden Verzeichnisse begrenzt:
\Programme\ (einschlielich Unterverzeichnisse)
\Windows\system32\
\Programme (x86)\ (einschlielich der Unterverzeichnisse fr 64-BitVersionen von Windows)
Unabhngig vom Status dieser Richtlinie wird eine Signaturberprfung
fr jede interaktive Anwendung erzwungen, die eine Ausfhrung mit
einer UIAccess-Integrittsebene anfordert. Standardmig ist die Richtlinie
aktiviert.
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung fr erhhte
Rechten fr Administratoren im Administratorbesttigungsmodus Diese

Richtlinieneinstellung steuert das Verhalten der Eingabeaufforderung


zur Anforderung erhhter Rechte fr Administratoren. Die Einstellungen
entsprechen im Wesentlichen den Optionen, die im Dialogfeld Einstellungen fr Benutzerkontensteuerung zu finden sind:
Erhhte Rechte ohne Eingabeaufforderung
Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren
Desktop
Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop
Eingabeaufforderung zu Anmeldeinformationen
Eingabeaufforderung zur Zustimmung
Eingabeaufforderung zur Zustimmung fr Nicht-Windows-Binrdateien (Standardeinstellung)
Eine detaillierte Beschreibung der einzelnen Einstellungen ist auf der Registerkarte Erklrung im Konfigurationsdialogfeld der Richtlinie zu finden.
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung fr erhhte
Rechten fr Standardbenutzer Diese Richtlinie bestimmt das Verhalten

der Eingabeaufforderung mit erhhten Rechten fr Standardbenutzer.


Bei Auswahl der Option Aufforderung zur Eingabe der Anmeldeinformationen bzw. Aufforderung zur Eingabe der Anmeldeinformationen auf dem sicheren Desktop wird der Benutzer zur Eingabe eines Benutzernamens und
Kennworts mit Administratorrechten aufgefordert. Falls der Benutzer
gltige Anmeldeinformationen eingibt, wird der Vorgang mit dem entsprechenden Recht fortgesetzt.
Ist die Option Anhebungsaufforderung automatisch abweisen ausgewhlt, wird
dem Standardbenutzer eine Fehlermeldung angezeigt, wenn er versucht,
einen Vorgang auszufhren, fr den erhhte Rechte erforderlich sind.

237

Kapitel 5 Benutzerverwaltung
Benutzerkontensteuerung: UIAccess-Anwendungen knnen erhhte Rechte
ohne sicheren Desktop anfordern Standardmig kann der sichere Desk-

top nur von einem Administrator auf dem Computer oder ber Deaktivierung der Gruppenrichtlinie Bei Benutzeraufforderung nach erhhten Rechten
zum sicheren Desktop wechseln deaktiviert werden. Wird die Richtlinie aktiviert, knnen UIAccess-Programme, einschlielich der Windows-Remoteuntersttzung, den sicheren Desktop fr Eingabeaufforderungen fr
erhhte Rechte automatisch deaktivieren. Erforderlich ist dies bei bestimmten UIAccess-Szenarien, beispielsweise beim Bereitstellen von Remoteuntersttzung fr Standardbenutzer. Standardmig ist die Richtlinie deaktiviert.

5.2

Benutzer verwalten

Zur Verwaltung von Benutzern sind in Windows 7 verschiedene Werkzeuge


integriert. Welche im Einzelfall zur Verfgung stehen, ist von der eingesetzten Edition abhngig. So knnen in den Home-Editionen Benutzerkonten
ausschlielich mittels der Funktion Benutzerkonten verwaltet werden. Hierbei handelt es sich im Wesentlichen um eine vereinfachte Sicht auf die
Benutzerverwaltung, die in detaillierter und vollstndiger Form im Snap-in
Lokale Benutzer und Gruppen in der Computerverwaltung zu finden ist. Diese
Konsole steht jedoch nur in den Business-Editionen zur Verfgung. Der folgende Abschnitt stellt die Mglichkeiten beider Werkzeuge vor.

5.2.1

Das Dienstprogramm Benutzerkonten


fr einfache Kontenverwaltung

Die Funktion Benutzerkonten befindet sich in der Systemsteuerung und wendet sich vorrangig an Benutzer, die ihr eigenes Konto verwalten mchten. So
knnen Benutzer hier beispielsweise das Kennwort fr das eigene Konto
ndern oder ein neues Bild auswhlen. Welche Funktionen dem Benutzer
zur Verfgung stehen, ist von der verwendeten Edition bzw. davon abhngig, ob der Computer Mitglied einer Domne oder einer Arbeitsgruppe ist.
Am schnellsten kann das nachstehend gezeigte Dialogfeld durch einen
Mausklick auf das Bild im Startmen geffnet werden. Danach wird der
Anhebungsdialog aufgerufen, der zur Besttigung auffordert.
Anderes Konto
verwalten

238

Auch die Verwaltung anderer Konten ist Benutzern mit administrativen


Rechten an dieser Stelle mglich. Hierzu ist die Option Benutzerkonten
verwalten zu verwenden. Standardmig werden nach dem Abschluss
der Installation unter Benutzerkonten nur das whrend der Installation
eingerichtete Administratorkonto sowie das vordefinierte Gastkonto
angezeigt. Allerdings beschrnken sich die nderungsmglichkeiten auf
die lokalen Benutzerkonten. nderungen von Domnenbenutzerkonten
sind konsequenterweise an dieser Stelle nicht mglich.

Benutzer verwalten
Abbildung 5.7
Der Systemsteuerungsbereich Benutzerkonten bei
Mitgliedschaft des
Computers in einer
Domne

Die verfgbaren Optionen ermglichen das Erstellen und Lschen neuer


Konten sowie die nderung von Namen und Beschreibung und der
Gruppenmitgliedschaft eines ausgewhlten Kontos. Einschrnkend knnen an dieser Stelle keine neuen lokalen Gruppen erstellt werden. Hierzu
muss das Snap-in Lokale Benutzer und Gruppen in der Computerverwaltung
verwendet werden.
Abbildung 5.8
Verwaltung anderer
Konten im Dialogfeld Benutzerkonten
bei Mitgliedschaft
des Computers in
einer Domne

Einige weitere interessante Funktionen sind auf der Registerkarte Erweitert zu finden. Hierzu zhlt auch die Option Kennwrter verwalten. Damit

239

Kapitel 5 Benutzerverwaltung

ist es beispielsweise mglich, Kennwrter fr ausgewhlte Serverzugriffe


zu hinterlegen. Die verbundene Funktion Anmeldeinformationen fr automatisches Anmelden speichern stellt die auf dem Clientrechner hinterlegten
Kennwrter zur Verfgung, wenn sie fr den Zugriff auf die Netzwerkressourcen erforderlich sind. Dies ermglicht u.a. den Zugriff auf Computer
in einer nicht vertrauenswrdigen Domne ohne Abfrage des Domnenbenutzernamens und des Kennworts.

Abbildung 5.9: Verwaltung der eigenen Anmeldeinformationen

Die Anmeldeinformationen werden als Teil des Benutzerprofils gespeichert.


Das bedeutet, dass diese verloren sind, wenn das Profil gelscht wird.
Auerdem gehen die gespeicherten Anmeldeinformationen verloren, wenn
das Kennwort fr ein Benutzerkonto zurckgesetzt werden muss. Zu diesem Zweck bietet Windows 7 die Mglichkeit, die Anmeldeinformationen
auf Festplatte oder auf einen Wechseldatentrger zu speichern.
Anmeldeinformationen werden zwar verschlsselt abgelegt, trotzdem
ist das Speichern von Anmeldeinformationen (insbesondere fr Konten
mit administrativen Rechten) aus Sicherheitserwgungen bedenklich.
Kann sich jemand Zugriff im Kontext des lokalen Benutzers verschaffen, hat er damit automatisch auch Zugriff auf die Netzwerkressourcen.
Kennwortrcksetzdiskette
erstellen

Ist der Computer Mitglied einer Arbeitsgruppe oder ein allein stehender
Computer, besteht im Rahmen der Benutzerverwaltung zustzlich die
Mglichkeit, einmalig eine Kennwortrcksetzdiskette zu erstellen. Falls ein
Anwender das Kennwort fr sein lokales Benutzerkonto vergisst, kann
das Kennwort mithilfe des gespeicherten Kennworts zurckgesetzt werden, sodass er wieder auf den Computer zugreifen kann. Mglich ist die
Speicherung des Kennworts auf Diskette oder ein USB-Flashlaufwerk.
Sofern sich der Computer in einer Domne befindet, steht diese Option
nicht zur Verfgung.

240

Benutzer verwalten

Bei der Anmeldung an einem Computer kann ein vergessenes Kennwort Kennwort
mithilfe der Option Kennwort zurcksetzen und des gespeicherten Kenn- zurcksetzen
worts ersetzt werden. Stecken Sie dazu das Wechselmedium ein, und folgen
Sie anschlieend den Anweisungen des Assistent fr vergessene Kennwrter,
um ein neues Kennwort zu erstellen. Melden Sie sich mithilfe des neuen
Kennwortes an, und bewahren Sie die Kennwortrcksetzdiskette bzw. den
USB-Speicherstick anschlieend an einem sicheren Ort auf, falls Sie Ihr
Kennwort zu einem spteren Zeitpunkt erneut zurcksetzen mssen.

5.2.2

Erweiterte Benutzerverwaltung

Administratoren in einem Unternehmensnetzwerk, die eine der BusinessEditionen von Windows 7 verwenden, werden die Systemsteuerungsfunktion Benutzerkonten nur selten nutzen, da diese eine Reihe von Einschrnkungen aufweist. Eine umfassende Benutzerverwaltung ist in diesem Fall
nur mit dem Snap-in Lokale Benutzer und Gruppen mglich. Alternativ kann
auch in der Befehlszeile die Anweisung net user verwendet werden.

Das Snap-in Lokale Benutzer und Gruppen


Die Konsole Lokale Benutzer und Gruppen ist als Snap-in in die Computerverwaltung integriert. Separat kann die Konsole am schnellsten durch Eingabe von lusrmgr.msc im Suchfeld des Startmens geffnet werden. Die
Verwaltung von Domnenbenutzerkonten ist an dieser Stelle nicht mglich. Zur Administration dieser Konten muss das Snap-in Active Directory-Benutzer und -Computer verwendet werden.
Wie auch bei den Vorgngerversionen stellt Microsoft die Remoteserver-Verwaltungstools (Remote Server Administration Tools RSAT) fr
Windows 7 zum kostenlosen Download bereit [RSAT]. Damit knnen
von Computern unter Windows 7 Rollen und Funktionen auf Remotecomputern mit Windows Server 2008 R2, Windows Sserver 2008 oder
Windows Server 2003 verwaltet werden.
Die Remoteserver-Verwaltungstools fr Windows 7 knnen auf Computern mit Windows 7 Enterprise, Professional oder Ultimate installiert werden. Untersttzt werden sowohl die x86- als auch die x64basierten Windows 7-Versionen. Detaillierte Informationen zu den
Tools, die in Remoteserver-Verwaltungstools fr Windows 7 verfgbar
sind, finden Sie im Knowledge-Base-Artikel 958830 [KBRSAT].

Abbildung 5.10: Snap-in Lokale Benutzer und Gruppen


241

Kapitel 5 Benutzerverwaltung
Funktionen

Im Container Benutzer werden alle lokalen Benutzerkonten, die in der Benutzerdatenbank des Computers gespeichert sind, aufgelistet. Hier knnen die
folgenden Aufgaben durchgefhrt werden:
Neue lokale Benutzerkonten hinzufgen oder bestehende lschen.
Mit Ausnahme einiger Benutzerkonten, wie dem Administrator- und
dem Gastkonto, werden standardmig whrend der Installation von
Windows 7 keine lokalen Benutzerkonten erstellt. Werden weitere
Benutzerkonten bentigt, mssen diese erstellt werden. Hierzu sind
entsprechende Rechte erforderlich.
Benutzerkontennamen und Beschreibung ndern. Da Benutzerkonten
unter Windows ausschlielich ber eine eindeutige Kennung unterschieden werden, kann der Benutzername jederzeit gendert werden.
Kennwortoptionen ndern. Darber hinaus knnen in den Eigenschaften der Benutzerkonten die Kennwortoptionen fr das betreffende
Konto gendert werden. So kann beispielsweise festgelegt werden, dass
der Benutzer das Kennwort nicht ndern kann.
Die Gruppenmitgliedschaft der Benutzerkonten verwalten.
Profileinstellungen der einzelnen Benutzerkonten verwalten.
Benutzerkonten vorbergehend deaktivieren
Einen neuen Benutzer erstellen
Um in der Konsole ein neues Benutzerkonto einzurichten, ist im Kontextmen von Benutzer die Option Neuer Benutzer zu whlen.
Bei der Einrichtung eines neuen Benutzerkontos sind der Benutzername,
der vollstndige Name, der in einigen Dialogfeldern zur Anzeige verwendet wird, und eine Beschreibung einzutragen. Weiterhin mssen ein
Kennwort vergeben und die Kennwortoptionen festgelegt werden.
Wird ein Benutzerkonto gelscht, ist zu beachten, dass Windows 7
intern nicht den Namen, sondern einen Security Identifier verwendet.
Wird anschlieend ein neuer Benutzer mit dem gleichen Namen erstellt,
handelt es sich trotzdem um einen anderen Benutzer. Die Zugriffsrechte
des ehemaligen Benutzers sind fr diesen deshalb nicht wirksam.

Benutzereigenschaften ndern

nderungen hinsichtlich der Kennwortoptionen, Gruppenmitgliedschaften und Benutzerprofile sind in dem Eigenschaftendialogfeld des betreffenden lokalen Benutzerkontos jederzeit mglich. Allerdings sucht man
hier die Mglichkeit zum Umbenennen eines Benutzerkontos und zum
Festlegen eines neuen Kennwortes vergeblich. Diese beiden Optionen knnen nur direkt im Kontextmen des betreffenden Benutzerkontos oder im
Men Aktion ausgewhlt werden.
Mit der Funktion Kennwort festlegen im Kontextmen des Benutzerkontos kann ein Administrator ein vom Benutzer vergessenes Kennwort
zurcksetzen. Hierbei ist jedoch zu beachten, dass nach dem Zurcksetzen des Kennworts kein Zugriff mehr auf die lokal liegenden verschlsselten Daten des Benutzers mglich ist.

242

Benutzer verwalten

Der Entschlsselungsschlssel wird aus dem Kennwort des Benutzers


abgeleitet. Daher kann das System die verschlsselten Dateien nach
dem Zurcksetzen des Kennworts durch den Administrator nicht mehr
entschlsseln.
Dieses Verhalten tritt nicht auf, wenn ein Benutzer sein Kennwort
selbst ndert. In diesem Fall werden die Schlssel automatisch mit
dem neuen Kennwort verschlsselt.
Abbildung 5.11
Kontextmen zur
Konfiguration eines
ausgewhlten lokalen Benutzerkontos

Der Befehl net user


Das bereits bei den Vorgngerversionen integrierte Befehlszeilenprogramm Net.exe bietet eine Alternative zu den Benutzerschnittstellen in der
GUI. Die Verwaltung von Benutzerkonten ist mglich mit dem Befehl net
user. Hiermit knnen Benutzerkonten hinzugefgt und gendert oder
Informationen ber Benutzerkonten angezeigt werden.
Die Syntax hierzu lautet:
NET USER [Benutzername
Benutzername
Benutzername
Benutzername

Syntax

[Kennwort|*] [Optionen]] [/DOMAIN]


{Kennwort|*} /ADD [Optionen] /DOMAIN]
[/DELETE] [/DOMAIN]
[/TIMES:Zeiten |ALL]

Bei Verwendung von net user ohne Parameter werden alle lokalen Benutzerkonten aufgelistet (mglich ist auch die Eingabe von net users). Die
Anzeige aller verfgbaren Parameter mit einer sehr hilfreichen Beschreibung ist mglich mit dem Befehl:
net help user

Die Einrichtung eines neuen Benutzerkontos ist beispielsweise mit dem Benutzerkonto
erstellen
folgenden Befehl mglich:
net user <Benutzername> <Kennwort> /add [Optionen]

Alle Detailinformationen zu einem Benutzerkonto knnen mit dem folgenden Befehl angezeigt werden:
net user <Benutzername>

243

Kapitel 5 Benutzerverwaltung
Kennwort ndern

Interessant sind die Mglichkeiten zur Vergabe von Kennwrtern. Beispielsweise kann sehr schnell das Anmeldekennwort fr ein Benutzerkonto gendert werden. Hierzu ist der Befehl
net user <Benutzername> <Kennwort>

einzugeben, wobei <Kennwort> fr das neue Kennwort steht. Da das Kennwort hierzu in Klarschrift angezeigt wird, ist jedoch folgender Weg vorzuziehen:
net user <Benutzername> "*"

Anschlieend erscheint eine weitere Zeile mit der Aufforderung, das Kennwort einzugeben. Der eingetippte Name wird hier nicht angezeigt.
Benutzereigenschaften ndern

Aber auch zum ndern der Eigenschaften eines Kontos bietet der Befehl
net user die entsprechenden Parameter. Die folgende Auflistung enthlt
nur die fr die Verwaltung lokaler Benutzer relevanten Optionen.
/active:{yes|no}: Deaktiviert oder aktiviert das Konto.
/comment:"Beschreibung": Ermglicht die Eingabe einer Beschreibung fr

das Benutzerkonto (maximal 48 Zeichen).


/fullname:"Name": Der vollstndige Name des Benutzers. Der Name muss
in Anfhrungszeichen stehen.
/kennwordchg:{yes|no}: Legt fest, ob der Benutzer das eigene Kennwort

ndern kann.
/kennwordreq:{yes|no}: Legt fest, ob ein Benutzerkonto ein Kennwort haben

muss.

5.2.3

SID-Verwaltung bei Benutzerkonten

Benutzerkonten bieten Benutzern die Mglichkeit, sich am Netzwerk oder


am lokalen Computer anzumelden und auf lokale und Netzwerkressourcen
zuzugreifen. Der Zugriff des Benutzers erfolgt mit seinem Anmeldenamen
und dem Kennwort. Jeder Eintrag eines Benutzers wird in der Benutzerdatenbank ber eine eindeutige SID (Security Identifier) gefhrt.
SID ermitteln

Auch wenn die SID nur fr die interne Verwaltung von Benutzer- und
Gruppenkonten verwendet wird, ist es in einigen Fllen erforderlich, die
SID eines Kontos zu kennen, beispielsweise um gezielt Registrierungseintrge von Benutzern zu ndern.

SID (Security Identifier)


SIDs werden in einem Windows-System verwendet, um Sicherheitsprincipals eindeutig zu identifizieren. Unter einem Sicherheitsprincipal
wiederum versteht man Objekte, denen automatisch eine Sicherheitskennung zugewiesen wird. Hierzu zhlen Benutzerkonten, Computerkonten und Gruppenkonten. Nur Objekte mit einer Sicherheitskennung
knnen sich am Computer oder am Netzwerk anmelden und auf Ressourcen zugreifen.

244

Benutzer verwalten

Die SID wird vom System zum Zeitpunkt der Konto- oder Gruppenerstellung zugewiesen. Hierbei wird die SID eines lokalen Kontos oder
einer lokalen Gruppe von der lokalen Sicherheitsautoritt (Local Security Authority, LSA) auf dem Computer erstellt und mit anderen Kontoinformationen in einem gesicherten Bereich der Registrierung gespeichert. Die SID eines Domnenkontos oder einer Domnengruppe wird
von der Domnensicherheitsautoritt erstellt und als Attribut des
Benutzerobjekts oder der Gruppe im Active Directory gespeichert.
Durch eine SID wird der Sicherheitsprincipal im ganzen Netzwerk eindeutig identifiziert. Auch wenn der Name gendert wird, bleibt die SID
erhalten. Wird beispielsweise ein Benutzer im Netzwerk gelscht, wird
auch seine SID gelscht. Wird der Benutzer mit dem gleichen Namen
wieder neu angelegt, erhlt er eine neue SID, weshalb ihm alle Berechtigungen wieder neu zugewiesen werden mssen. Auch aus diesem
Grund ist es besser, Zugriffsrechte auf Gruppen- statt auf Benutzerebene
zuzuweisen, da diese erfahrungsgem seltener gelscht und neu angelegt werden als Benutzerkonten.

Am einfachsten kann unter Windows 7 die SID mit dem Befehlszeilen- Whoami.exe
programm Whoami.exe ermittelt werden.
Whoami.exe kann die SIDs und die Anmelde-IDs sowie Rechte- und Gruppenzuordnungen des aktuell angemeldeten Benutzers ermitteln und ausgeben. Die SID eines Benutzers kann mit dem folgenden Befehl abgefragt
werden:
whoami /user

Ausgesprochen ntzlich kann der Parameter /all sein, mit dem alle verfgbaren Informationen zu dem aktuell angemeldeten Benutzer ausgegeben werden. Dies umfasst die folgenden Parameter:
/user
/groups
/priv (Individuelle Rechte)
/logonid
/sid

Das Programm hat jedoch die Einschrnkung, dass nur Informationen


zum aktuellen Benutzer angezeigt werden.

5.2.4

Vordefinierte Benutzerkonten

Windows 7 richtet standardmig zwei Benutzerkonten ein:


Administratorkonto
Das Administratorkonto wird whrend der Installation von Windows 7
erstellt und ist standardmig deaktiviert. Um es verwenden zu knnen, muss es zunchst aktiviert werden. Hierbei wird zur Eingabe
eines neuen Kennworts aufgefordert.

245

Kapitel 5 Benutzerverwaltung

Aus Sicherheitsgrnden sollte fr das Administratorkonto ein mglichst


sicheres Kennwort festgelegt werden, das den Komplexittsanforderungen entspricht. Hohe Sicherheit ist mit einem Administratorkennwort
gewhrleistet, das mindestens neun Zeichen lang ist, mindestens ein Satzzeichen und ein nichtdruckbares ASCII-Zeichen (einzugeben ber die
(Alt)-Taste in Kombination mit einem dreistelligen Zahlenschlssel) enthlt. Auerdem sollte das Administratorkonto umbenannt werden, um
potenziellen Hackern den Zugriff zu erschweren. Insbesondere das lokale
Administratorkonto ist hufig ein Ziel interner Mitarbeiter, die versuchen, darber hhere Zugriffsberechtigungen zu erlangen.
Gastkonto

Ein weiteres vordefiniertes und standardmig deaktiviertes Konto


ist das Gastkonto. Mit diesem Konto knnen verschiedenen Benutzern die Anmeldung am lokalen Computer und der Zugriff auf Ressourcen ermglicht werden, ohne dass fr jeden Benutzer ein Konto
eingerichtet werden muss.
Da ein personalisierter Systemzugriff in jedem Fall vorzuziehen ist
und auch vonseiten der Revision in aller Regel gefordert wird, sollte
auch fr Benutzer, die nur vorbergehend Zugriff bentigen, ein eigenes Benutzerkonto eingerichtet werden.

Das Gastkonto
Das Gastkonto ist standardmig Mitglied der Gruppe Gste. Eine
genaue Erluterung der Gruppen finden Sie in Abschnitt 5.3.2 ab Seite 252.
Bei einer interaktiven Anmeldung ist das Gastkonto Mitglied der beiden
Gruppen Gste und Benutzer. Bei einer Anmeldung ber das Netzwerk ist
das Gastkonto jedoch standardmig kein Mitglied der Benutzergruppe.
Einen weiteren Punkt gilt es hinsichtlich der Netzwerkanmeldung mit
dem Gastkonto an einem Rechner unter Windows 7, der nicht Mitglied
einer Domne ist, zu beachten. Auf diesen werden Netzwerkanmeldungen standardmig dem Gastkonto zugeordnet. Dies erleichtert die Freigabe von Ressourcen in Heimnetzwerken oder kleinen Netzwerken, verhindert aber die Mglichkeit zur Vergabe individueller Berechtigungen.
Mittels einer Gruppenrichtlinie knnen die Verwendung des Gastkontos
und das Freigabeverhalten von Windows 7 in einer Arbeitsgruppenumgebung administriert werden.
Fr die Gruppenrichtlinie Computerkonfiguration/Windows-Einstellungen/
Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen/Netzwerkzugriff:
Modell fr gemeinsame Nutzung und Sicherheitsmodell fr lokale Konten stehen zwei Einstellungen zur Auswahl:
Klassisch: Lokale Benutzer werden unter ihrer eigenen Identitt authentifiziert. Dies ist die Standardeinstellung fr Computer, die Mitglied einer
Domne sind.

246

Benutzer verwalten
Nur Gast: Lokale Benutzer werden ber das Konto Gast authentifi-

ziert. Alle Benutzer werden dabei gleich behandelt und erhalten die
gleiche Zugriffsstufe fr eine Ressource. Dies ist die Standardeinstellung fr Computer, die Mitglied einer Arbeitsgruppe sind.
Wird fr diese Option die Einstellung Klassisch verwendet, werden
Netzwerkanmeldungen anhand der verwendeten Anmeldeinformationen authentifiziert. Wird fr diese Option die Einstellung Nur Gast festgelegt, werden Netzwerkanmeldungen, die ein lokales Konto verwenden,
automatisch dem Gastkonto zugeordnet.

5.2.5

Kennwortrichtlinien verwalten

Kennwrter gehren zu den wichtigsten Schutzmechanismen und sollten


entsprechend aufmerksam behandelt werden. Zwar erfolgt in einem Firmennetzwerk die Umsetzung von Firmenrichtlinien hinsichtlich der Verwaltung von Kennwrtern in aller Regel zentral, die Kenntnis der Steuerungsmglichkeiten fr lokale Benutzerkonten ist trotzdem erforderlich.

Hinsichtlich der Festlegung fr die Kennwortoptionen sind im Eigen- Kennwortoptionen


schaftenfenster von Benutzerkonten die folgenden Optionen zu finden:
Benutzer muss Kennwort bei der nchsten Anmeldung ndern
Ist diese Option aktiviert, wird der Benutzer bei der ersten Anmeldung aufgefordert, ein neues Kennwort einzugeben. Dies ermglicht
es dem Administrator, einem Benutzer ein einfaches Startkennwort
zuzuweisen, das der Benutzer bei der nchsten Anmeldung ndern
muss. Weiterhin ist sichergestellt, dass dem Administrator das Benutzerkennwort nicht bekannt ist.
Benutzer kann Kennwort nicht ndern
Bei Aktivierung dieser Option kann der Benutzer sein eigenes Kennwort nicht ndern. Diese Option wird in der Regel fr Dienstkonten
verwendet.
Kennwort luft nie ab
Aus Sicherheitsgrnden sollten Benutzer gezwungen sein, periodisch
ihr Kennwort zu ndern. Die Ablaufdauer kann in der entsprechenden Sicherheitsrichtlinie festgelegt werden und betrgt standardmig 42 Tage.
Die Aktivierung dieser Option setzt die Einstellungen in der Gruppenrichtlinie fr den betreffenden Benutzer auer Kraft. Diese Option
sollte daher nur in Ausnahmefllen (beispielsweise fr Dienstkonten)
aktiviert werden.

247

Kapitel 5 Benutzerverwaltung
Abbildung 5.12
Kennwortoptionen
fr einzelne Benutzerkonten

Zustzlich knnen zentral Kennworteinstellungen fr den Computer


bzw. die Domne konfiguriert werden. Seit Windows 2000 erfolgt die
Festlegung genereller Kennworteinstellungen, wie beispielsweise fr die
Erzwingung einer erforderlichen Mindestlnge fr Kennwrter oder die
Verwendung von Kennwortchroniken, in den mehrfach angesprochenen
Gruppenrichtlinien bzw. konkret den Sicherheitsrichtlinien.
Kennwrter mit
Gruppenrichtlinien konfigurieren

Gruppenrichtlinien erlauben die Vorgabe von Einstellungen, die zum


einen auf den lokalen Computer beschrnkt sein knnen und/oder zum
anderen fr Bereiche des Active Directory (Standorte, Domnen, Organisationseinheiten oder Subnetze) Anwendung finden.
Die lokalen Sicherheitsrichtlinien bzw. Sicherheitseinstellungen sind im lokalen Gruppenrichtlinienobjekt zu finden. Zur Konfiguration lokaler Sicherheitsrichtlinien gehen Sie wie folgt vor:
1. ffnen Sie durch Eingabe von gpedit.msc im Suchfeld des Startmens den
Editor fr lokale Gruppenrichtlinien. Hierfr sind administrative Rechte
erforderlich.
2. Whlen Sie unter Computerkonfiguration/Windows-Einstellungen den
Container Sicherheitseinstellungen.
Alternativ knnen Sie im Suchfeld des Startmens den Befehl Sicherheitsrichtlinie oder secpol.msc eingeben. Hiermit wird direkt und ausschlielich der Container Sicherheitseinstellungen geffnet.
3. Whlen Sie Kontorichtlinien und anschlieend Kennwortrichtlinien.

248

Benutzer verwalten
Abbildung 5.13
Konfiguration der
Kennwortrichtlinien in den lokalen
Sicherheitseinstellungen

Eine gute Absicherung lsst sich mit den folgenden Einstellungen erzie- Kennwortsicherlen, die aber lediglich als Anhaltspunkte dienen knnen und dem indivi- heit erhhen
duellen Sicherheitsstandard entsprechend angepasst werden mssen:
Die Mindestlnge fr Kennwrter sollte sieben Zeichen nicht unterschreiten.
Die maximale Kennwortdauer hngt von der verwendeten Netzwerkkonfiguration ab und sollte nicht mehr als 42 Tage betragen. Dies
ist der Standardwert.
Die minimale Kennwortdauer sollte auf einen Wert zwischen einem
und sieben Tagen gesetzt werden. Der Standardwert null erlaubt eine
sofortige erneute nderung des Kennworts, was zu einer Umgehung
des Kennworterneuerungszyklus missbraucht werden kann.
Mindestens die letzten sechs Kennwrter sollten in der Kennwortchronik gespeichert werden.
Wichtig ist die Aktivierung der Richtlinie Kennwort muss Komplexittsvoraus- Komplexe
setzungen entsprechen. Ist diese Richtlinie aktiviert, mssen bei Vergabe eines Kennwrter
neuen Kennwortes mindestens drei der folgenden vier Vorgaben erfllt sein:
Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als
zwei Zeichen enthalten, die nacheinander im vollstndigen Namen des
Benutzers vorkommen.
Das Kennwort muss mindestens sechs Zeichen lang sein.
Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
Grobuchstaben (A bis Z)
Kleinbuchstaben (a bis z)
Zahlen zur Basis 10 (0 bis 9)
Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
Hierbei ist zu beachten, dass die Komplexittsvoraussetzungen nur
erzwungen werden, wenn Kennwrter gendert oder erstellt werden.

249

Kapitel 5 Benutzerverwaltung
Kennwrter auf
Sicherheit prfen

Zur berprfung der Sicherheit von Passwrtern stellt Microsoft einen


Online-Passwort-Checker [MSPW] zur Verfgung. Dieser kann jedoch
nur einen ersten Ansatz bieten, da er ein Passwort wie Microsoft bereits
mit der Sicherheitsstufe Medium und Microsoft123 mit der Sicherheitsstufe Strong bewertet.
Sehr gut geeignet ist hingegen der Passwort-Checker, der vom Datenschutzbeauftragten des Kantons Zrich bereitgestellt wird. Die Auswertung gibt zustzliche Hinweise auf Schwachstellen des geprften Kennwortes. Auerdem erfolgt die bertragung der Kennwrter verschlsselt
[KZPW].

Einschrnkungen fr Konten mit leeren Kennwrtern


Seit der Version Windows XP werden Benutzer, die ein leeres Kennwort verwenden, bei Netzwerkzugriffen standardmig beschrnkt.
Konten mit leeren Kennwrtern knnen nicht mehr fr eine Remoteanmeldung an dem Computer verwendet werden. Wird einem lokalen
Konto ohne Kennwort in der Folge ein Kennwort zugewiesen, wird
diese Einschrnkung entfernt.
Die Einstellung hat jedoch keine Auswirkungen auf Anmeldungen, die
mit einem Domnenbenutzerkonto erfolgen. Auerdem knnen Anwendungen, die interaktive Remoteanmeldungen verwenden, diese Einstellung umgehen.
Wie Windows 7 mit leeren Kennwrtern umgehen soll, wird mithilfe
einer Richtlinie im Container Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen gesteuert.
Mit der Richtlinie Konten: Lokale Kontenverwendung von leeren Kennwrtern
auf Konsolenanmeldung beschrnken wird festgelegt, ob lokale Konten, die
nicht kennwortgeschtzt sind, verwendet werden knnen, um sich ber
das Netzwerk von anderen Standorten aus anzumelden. Standardmig
ist diese Einschrnkung aktiviert.
Abbildung 5.14
Sicherheitsrichtlinie
zur Einschrnkung
von Konten mit
leeren Kennwrtern
auf die Konsolenanmeldung

250

Verwaltung lokaler Gruppenkonten

5.3

Verwaltung lokaler
Gruppenkonten

Zur Vereinfachung der Administration werden Berechtigungen und


Benutzerrechte in der Regel nicht einzelnen Benutzern, sondern Gruppen
erteilt. Wird ein Benutzer einer Gruppe hinzugefgt, erhlt er nach einer
erneuten Anmeldung alle Berechtigungen und Benutzerrechte, die dieser
Gruppe zugewiesen sind. Nach der Installation von Windows 7 ist bereits
eine Reihe von Gruppen angelegt, deren Mitglieder hierber entsprechende Rechte erhalten. Zustzlich knnen benutzerdefinierte Gruppen
eingerichtet werden.

5.3.1

Gruppentypen im Vergleich

Fr die Verwaltung eines einzelnen Windows 7-Computers spielen konsequenterweise nur die lokalen Gruppen eine Rolle. In einem Active
Directory-basierten Unternehmensnetzwerk mit einem verschachtelten
Gruppenmodell gibt es zwangslufig ein Zusammenspiel mit anderen
Gruppentypen, sodass an dieser Stelle ein kurzer Blick auf die in einer
Active Directory-Umgebung verfgbaren Gruppentypen erforderlich ist.
Hierbei werden ausschlielich sicherheitsrelevante Gruppen (keine Verteilergruppen) betrachtet.
(Computer)lokale Gruppen

Gruppentypen in

Lokale Gruppen werden in der Sicherheitsdatenbank des jeweiligen Active Directory


Computers verwaltet, auf dem sie erstellt wurden, und dienen zur
Administration von Rechten und Berechtigungen fr Ressourcen auf
einem lokalen Computer.
Domnenlokale Gruppen

Domnenlokale Gruppen stehen lokal in der jeweiligen Domne zur


Verfgung, in der sie erstellt wurden. Sie dienen zur Administration
von Rechten und Berechtigungen fr Objekte auf Computern in der
Domne.
Globale Gruppen
Globale Gruppen dienen zur Verwaltung und Zusammenfassung von
Benutzern, die ein gemeinsames Zugriffsprofil aufweisen. Globale Gruppen knnen Benutzerkonten aus der gleichen Domne und andere globale Gruppen aus der gleichen Domne enthalten. Durch Aufnahme in
die entsprechenden Gruppen knnen ihnen Berechtigungen fr jeden
Computer in jeder Domne einer Gesamtstruktur erteilt werden.
Universelle Gruppen

Der Einsatz universeller Gruppen ist in greren Organisationen sinnvoll, in denen Bedarf besteht, Zugriff fr hnliche Kontengruppen zu
gewhren, die in mehreren Domnen einer Gesamtstruktur definiert
sind.

251

Kapitel 5 Benutzerverwaltung
Sondergruppen

Eine spezielle Gruppe stellen die Gruppen fr besondere Identitten


dar. Hierzu zhlt beispielsweise die Gruppe Jeder oder Ersteller-Besitzer.
Anders als die anderen Gruppenarten knnen diesen keine Mitglieder
zugewiesen werden. Vielmehr wird ein Konto Mitglied einer dieser
Gruppen durch eine bestimmte Aktion, d.h., sie werden auf alle Konten
angewendet, die den Computer auf besondere Weise nutzen, wie beispielsweise anonyme Anmeldungen oder Remotezugriffe.
Die Sondergruppen werden in der Gruppenverwaltung nicht angezeigt, da sie nicht administrierbar sind. Sie knnen jedoch verwendet
werden, um beispielsweise Zugriff auf Ressourcen zu gewhren.

5.3.2

Vordefinierte lokale Gruppen und ihre


Berechtigungen

Nach der Installation von Windows 7 sind die in der nachstehenden


Abbildung gezeigten integrierten lokalen Gruppen zu finden.
Abbildung 5.15
Standardmig
verfgbare computerlokale Gruppen

Diese Gruppen haben die folgenden Funktionen und Rechte:


Funktionen
vordefinierter
Gruppen

Administratoren

Mitglieder dieser Gruppe besitzen die vollstndige Kontrolle ber den


lokalen Computer und knnen smtliche Funktionen durchfhren, die
das Betriebssystem untersttzt. Auerdem sind sie berechtigt, sich
jedes Recht, das sie nicht standardmig besitzen, selbst zu erteilen.
Zu den Standardmitgliedern dieser Gruppe zhlen bei einer Neuinstallation von Windows 7 nur das whrend der Installation erstellte Konto
sowie das standardmig eingerichtete und deaktivierte Administratorkonto. Bei der Aktualisierung eines Windows Vista-Rechners bleiben bereits vorhandene Mitglieder der lokalen Gruppe Administratoren
und ggf. die Mitglieder der Gruppe Domnenadministratoren bestehen.
Benutzer

Im Gegensatz zu Administratoren haben Mitglieder der Gruppe Benutzer nur eingeschrnkten Zugriff auf das System (beachten Sie hierzu
den Abschnitt 5.1.1 ab Seite 228).

252

Verwaltung lokaler Gruppenkonten

Benutzer knnen weder computerweite Registrierungseinstellungen


ndern noch Systemdateien oder Programmdateien bearbeiten. Auch
knnen sie keine Anwendungen installieren. Peripheriegerte, wie
beispielsweise Drucker, knnen sie nur dann einrichten, wenn das
Treiberpaket bereits im Treiberspeicher zur Verfgung steht, signiert
ist und ohne Benutzerschnittstelle installiert werden kann (beachten
Sie hierzu die Ausfhrungen in Kapitel 3).
Distributed COM-Benutzer

Mitglieder dieser Gruppe knnen DCOM-Objekte auf einem Computer


starten, aktivieren und verwenden. Damit hat er Zugriff auf Anwendungen, die Objekte verteilt im Netzwerk zur Verfgung stellen. Darber hinaus erhalten Mitglieder dieser Gruppe keine Standardbenutzerrechte.
Ereignisprotokollleser

Standardbenutzer sind nicht zur Anzeige aller Protokolle im Ereignisprotokoll berechtigt. Da dieses Benutzerrecht auch nicht mittels Gruppenrichtlinien zugewiesen werden kann, mussten in frheren WindowsVersionen Benutzer, die das Ereignisprotokoll auswerten sollten, einer
administrativen Gruppe hinzugefgt werden. Unter Windows 7 steht
hierfr die Gruppe Ereignisprotokollleser zur Verfgung. Mitglieder dieser Gruppe knnen Leistungszhler, Protokolle und Warnungen auf dem
Computer lokal und ber Remoteclients lesen, ohne Mitglied der
Gruppe Administratoren sein zu mssen.

Gste

Bis auf wenige Einschrnkungen besitzen die Mitglieder der Gruppe


Gste die gleichen Zugriffsrechte wie die Mitglieder der Benutzergruppe. Standardmig ist nur das Konto Gast Mitglied dieser
Gruppe. Dieses Konto ist geeignet fr Benutzer, die sich nur einmal
oder gelegentlich an dem Computer anmelden mssen und fr die
deshalb kein eigenes Konto eingerichtet werden soll. Aus diesem
Grund hat das Gastkonto ein leeres Kennwort. Aus Sicherheitsgrnden ist das Gastkonto standardmig deaktiviert.
Hauptbenutzer

Bei Windows 7 erhalten Mitglieder dieser Gruppe nicht mehr Benutzerrechte als ein Standardbenutzer. Die Gruppe Hauptbenutzer ist hier nur
noch aus Kompatibilittsgrnden vorhanden und diente in vorherigen
Windows-Versionen dazu, Benutzern ausgewhlte Administratorrechte
und -berechtigungen zu geben, um allgemeine Systemaufgaben ausfhren zu knnen. Bei Windows 7 knnen Standardbenutzerkonten ohnehin
viele Konfigurationsaufgaben ausfhren, wie beispielsweise das ndern
von Zeitzonen, sodass diese Gruppe hier nicht mehr bentigt wird.
IIS_IUSRS

Hierbei handelt es sich um eine integrierte Gruppe, die von den Internetinformationsdiensten (Internet Information Services, IIS) verwendet und
beispielsweise bei der Installation eines Webservers bentigt wird.

253

Kapitel 5 Benutzerverwaltung
Kryptografie-Operatoren

Mitglieder dieser Gruppe sind autorisiert, kryptografische Vorgnge


auszufhren und den Zertifikat-Manager im administrativen Kontext
zu ffnen.
Leistungsprotokollbenutzer

Mitglieder dieser Gruppe knnen alle Leistungszhler, Protokolle und


Warnungen auf dem Computer lokal und ber Remoteclients verwalten, ohne Mitglied der Gruppe Administratoren sein zu mssen.
Leistungsberwachungsbenutzer

Im Gegensatz zur vorstehenden Gruppe knnen die Mitglieder dieser


Gruppe ausschlielich lokal oder remote auf Leistungszhlerdaten
zugreifen und diese verwalten.
Netzwerkkonfigurations-Operatoren

Mitglieder dieser Gruppe besitzen eingeschrnkte Administratorrechte, die ihnen die Konfiguration von Netzwerkfunktionen gestatten,
wie beispielsweise die Konfiguration von TCP/IP-Einstellungen. Sie
drfen jedoch keine andere Hardware konfigurieren.
Remotedesktopbenutzer

Mitglieder dieser Gruppe besitzen das Recht, sich von einem Remotestandort aus ber die Remotedesktop-Funktion am Computer anzumelden. Diese Gruppe hat standardmig keine Mitglieder.
Replikations-Operator

Mitgliedern dieser Gruppe ist es gestattet, Dateien in einer Domne


zu replizieren.
Sicherungs-Operatoren

Die Mitglieder dieser Gruppe knnen Verzeichnisse und Dateien auf


dem Computer (ohne Bercksichtigung der mit diesen Dateien verbundenen Berechtigungen) sichern und wiederherstellen. Der Zugriff
auf die Dateien ist ihnen jedoch nur im Rahmen einer Datensicherungsaktion mglich. Es ist ihnen auch nicht mglich, die Sicherheitseinstellungen von Dateien und Verzeichnissen zu ndern.
Sie haben auerdem das Recht, sich lokal am Computer anzumelden
und diesen herunterzufahren.
Wichtig ist auch die Kenntnis, ber welche Benutzerrechte standardmig
die vordefinierten Gruppen und Benutzer verfgen. Die folgende Tabelle
zeigt die Standardbenutzerrechte bei einem neu installierten Windows 7Computer.

254

Verwaltung lokaler Gruppenkonten

Benutzerrecht

Gruppenkonto

ndern der Systemzeit

LOKALER DIENST, Administratoren

ndern der Zeitzone

LOKALER DIENST, Administratoren,


Benutzer

Anheben der Zeitplanungsprioritt

Administratoren

Anmelden als Batchauftrag verweigern

Nicht zugewiesen

Anmelden als Dienst

NT SERVICE\ALL SERVICES

Anmelden als Dienst verweigern

Nicht zugewiesen

Anmelden als Stapelverarbeitungsauftrag

Administratoren, Sicherungs-Operatoren, Leistungsprotokollbenutzer

Anmelden ber Remotedesktopdienste verweigern

Nicht zugewiesen

Anmelden ber Remotedesktopdienste zulassen

Administratoren, Remotedesktopbenutzer

Annehmen der Clientidentitt nach


Authentifizierung

LOKALER DIENST, NETZWERKDIENST,


Administratoren, DIENST

Anpassen von Speicherkontingenten


fr einen Prozess

LOKALER DIENST, NETZWERKDIENST,


Administratoren

Arbeitssatz eines Prozesses vergrern

Benutzer

Auf Anmeldeinformations-Manager
als vertrauenswrdigem Aufrufer
zugreifen

Nicht zugewiesen

Auf diesen Computer vom Netzwerk


aus zugreifen

Administratoren, Sicherungs-Operatoren, Benutzer, Jeder

Auslassen der durchsuchenden berprfung

LOKALER DIENST, NETZWERKDIENST,


Administratoren, Sicherungs-Operatoren, Benutzer, Jeder

Debuggen von Programmen

Administratoren

Durchfhren von Volumenwartungsaufgaben

Administratoren

Einsetzen als Teil des Betriebssystems

Nicht zugewiesen

Entfernen des Computers von der


Dockingstation

Administratoren, Benutzer

Ermglichen, dass Computer- und


Benutzerkonten fr Delegierungszwecke vertraut wird

Nicht zugewiesen

Ersetzen eines Tokens auf Prozessebene

LOKALER DIENST, NETZWERKDIENST

Erstellen einer Auslagerungsdatei

Administratoren

Erstellen eines Profils der Systemleistung

Administratoren

Erstellen eines Profils fr einen Einzelprozess

Administratoren, NT SERVICE

Tabelle 5.1: Standard-Benutzerrechte

255

Kapitel 5 Benutzerverwaltung

Benutzerrecht

Gruppenkonto

Erstellen eines Tokenobjekts

Nicht zugewiesen

Erstellen globaler Objekte

LOKALER DIENST, NETZWERKDIENST,


Administratoren, DIENST

Erstellen symbolischer Verknpfungen

Administratoren

Erstellen von dauerhaft freigegebenen


Objekten

Nicht zugewiesen

Erzwingen des Herunterfahrens von


einem Remotesystem aus

Administratoren

Generieren von Sicherheitsberwachungen

LOKALER DIENST, NETZWERKDIENST

Herunterfahren des Systems

Administratoren, Sicherungs-Operatoren, Benutzer

Hinzufgen von Arbeitsstationen zur


Domne

Nicht zugewiesen

Laden und Entfernen von Gertetreibern

Administratoren

Lokal anmelden verweigern

Gast (hat Vorrang vor Lokal anmelden


zulassen)

Lokal anmelden zulassen

Administratoren, Sicherungs-Operatoren, Benutzer, Gast

Sichern von Dateien und Verzeichnissen

Administratoren und SicherungsOperatoren

Sperren von Seiten im Speicher

Nicht zugewiesen

Synchronisieren von Verzeichnisdienstdaten

Nicht zugewiesen

bernehmen des Besitzes von Dateien


und Objekten

Administratoren

Verndern der Firmwareumgebungsvariablen

Administratoren

Verndern einer Objektbezeichnung

Administratoren

Verwalten von berwachungs- und


Sicherheitsprotokollen

Administratoren

Wiederherstellen von Dateien und


Verzeichnissen

Administratoren, Sicherungs-Operatoren

Zugriff vom Netzwerk auf diesen


Computer verweigern

Gast

Tabelle 5.1: Standard-Benutzerrechte (Forts.)


Benutzerrechte
verwalten

256

Die Konfiguration der Benutzerrechte erfolgt mittels Sicherheitsrichtlinien.


Die Sicherheitsrichtlinien bzw. Sicherheitseinstellungen sind ein Bereich im
Gruppenrichtlinienobjekt. Zur Konfiguration von lokalen Sicherheitsrichtlinien gehen Sie wie folgt vor:

Verwaltung lokaler Gruppenkonten

1. ffnen Sie durch Eingabe von gpedit.msc im Ausfhren-Dialogfeld


den Editor fr lokale Gruppenrichtlinien.
2. Whlen Sie unter Computerkonfiguration/Windows-Einstellungen den
Container Sicherheitseinstellungen.
Alternativ knnen Sie auch im Ausfhren-Dialogfeld den Befehl
secpol.msc eingeben. Hiermit wird direkt und ausschlielich der Container Sicherheitseinstellungen geffnet.
3. Whlen Sie Lokale Richtlinien und anschlieend Zuweisen von Benutzerrechten.

5.3.3

Lokale Gruppenkonten erstellen, lschen


und ndern

Die Verwaltung von Gruppen kann, wie auch die Benutzerverwaltung, mittels der Konsole Lokale Benutzer und Gruppen erfolgen. Alternativ ist die
Pflege von Gruppenkonten in der Eingabeaufforderung mit dem Befehl net
localgroups mglich.

Das Snap-in Lokale Benutzer und Gruppen


Die Konsole Lokale Benutzer und Gruppen ist als Snap-in in die Computerverwaltung integriert. Diese kann durch Eingabe von lusrmgr.msc im Suchfeld
des Startmens geffnet werden. In dieser Konsole knnen ausschlielich
lokale Gruppen verwaltet werden. Zur Administration anderer Gruppentypen, wie beispielsweise globaler oder domnenlokaler Gruppen, muss
das Snap-in Active Directory-Benutzer und -Computer verwendet werden,
das standardmig nur auf Domnencontrollern verfgbar ist.
Wie auch bei den Vorgngerversionen stellt Microsoft die Remoteserver-Verwaltungstools fr Windows 7 zum kostenlosen Download
bereit [RSAT]. Damit knnen von Computern unter Windows 7 Rollen
und Funktionen auf Remotecomputern mit Windows Server 2008 R2,
Windows Server 2008 oder Windows Server 2003 verwaltet werden.
Die Remoteserver-Verwaltungstools fr Windows 7 knnen auf Computern mit Windows 7 Enterprise, Professional oder Ultimate installiert werden. Untersttzt werden sowohl die x86- als auch die x64basierten Windows 7-Versionen.
Im Container Gruppen werden alle lokalen Gruppenkonten aufgelistet, die Funktionen
in der Benutzerdatenbank des Computers gespeichert sind. Hier knnen
neue Gruppenkonten hinzugefgt und bestehende Gruppen gelscht werden. Auerdem ist die Verwaltung der Mitglieder einer Gruppe mglich.
Wird eine neue Gruppe erstellt, knnen dieser sofort die erforderlichen Mitglieder hinzugefgt werden.

257

Kapitel 5 Benutzerverwaltung
Abbildung 5.16
Erstellung eines
neuen Gruppenkontos im Snap-in
Lokale Benutzer und
Gruppen

Der Befehl net localgroup


Alle Verwaltungsaufgaben fr lokale Gruppen knnen auch mit dem
Befehl net localgroup in der Befehlseingabe erfolgen. Das Befehlszeilenprogramm Net.exe ist in Windows integriert.
Syntax

Der Befehl net localgroup hat die folgende Syntax:


net localgroup[Gruppenname [/comment:"Text"]][/DOMAIN]
Gruppenname {/ADD [/comment:"Text"]|/DELETE} [/DOMAIN]
Gruppenname Name [...] {/ADD|/DELETE} [/DOMAIN]

Ohne Angabe von Parametern werden der Servername und die Namen
der lokalen Gruppen auf dem Computer angezeigt.
Eine Aufstellung aller Optionen mit einer Beschreibung ist abrufbar mit
dem Befehl:
net help localgroup
Beispiele

Die Anzeige aller Mitglieder einer lokalen Gruppe, einschlielich der enthaltenen globalen Gruppen und der Sondergruppen, ist mit dem folgenden Befehl mglich:
net localgroup <Gruppenname>

Um ein neues Gruppenkonto zu erstellen, muss folgender Befehl verwendet werden:


net localgroup <gruppenname> /add

Auch das Hinzufgen neuer Mitglieder zu einer lokalen Gruppe ist mglich. Bei mehreren Namen mssen die Eintrge mit einem Leerzeichen
getrennt werden. Als Namen knnen Benutzer oder globale Gruppen
angegeben werden, nicht jedoch andere lokale Gruppen. Ist der Benutzer
Mitglied einer anderen Domne, muss der Domnenname dem Benutzernamen vorangestellt werden.
net localgroup <gruppenname> <benutzername>/add

Entsprechend knnen mit der Option /delete Gruppenkonten gelscht


oder Mitglieder aus einer lokalen Gruppe entfernt werden:
net localgroup <gruppenname> /delete

bzw.
net localgroup <gruppenname> <benutzername>/delete

258

Benutzerprofile unter Windows 7

5.4

Benutzerprofile unter
Windows 7

Seit Windows NT werden benutzerspezifische Daten in sogenannten Benutzerprofilen organisiert, deren Aufgabe es ist, die persnlichen und personalisierten Inhalte in einem eigenen Ordner zusammenzufassen. Allerdings
haben die Benutzerprofile von Windows 7 kaum noch etwas gemein mit den
Profilen frherer Windows-Versionen, bei denen sie vor allem zum Speichern einiger Desktop-Einstellungen fr die Benutzer dienten. Denn bereits
mit Windows Vista hat Microsoft eine komplett neue Profilstruktur eingefhrt, deren Kenntnis insbesondere fr die Durchfhrung von Migrationen
wichtig ist.

5.4.1

Verwaltung lokaler Benutzerprofile

Fr jedes Benutzerkonto wird automatisch vom System ein Benutzerprofil


erstellt, das alle persnlichen Daten und Einstellungen des Benutzers enthlt. Das Benutzerprofil wird beim ersten Anmelden eines neuen Benutzers angelegt und spter automatisch aktualisiert.

Grundstzlich knnen Benutzerprofile lokal oder auf einem Netzwerkserver gespeichert werden. Entsprechend werden verschiedene Arten
von Benutzerprofilen unterschieden.
Lokale Benutzerprofile

BenutzerprofilEin lokales Benutzerprofil wird beim ersten Anmelden an einem Com- arten

puter erstellt. Dieses Profil wird auf der lokalen Festplatte des betreffenden Computers gespeichert. nderungen am lokalen Benutzerprofil
gelten lediglich fr den Computer, an dem diese nderungen vorgenommen wurden.
Servergespeicherte Benutzerprofile
Servergespeicherte Benutzerprofile (auch als Roaming Profiles oder
mitwandernde Benutzerprofile bezeichnet) werden vom Systemadministrator erstellt und auf einem Server abgelegt. Ein servergespeichertes Profil steht jeweils beim Anmelden des Benutzers an einem
Computer im Netzwerk zur Verfgung und wird lokal zwischengespeichert. nderungen am Benutzerprofil erfolgen zunchst am
lokalen Profil. Bei der Abmeldung wird dann das Profil auf dem Server durch das genderte lokale Profil ersetzt.
Verbindliche Benutzerprofile
Ein servergespeichertes Profil kann entweder vernderbar oder verbindlich festgelegt sein. Die vernderbare Variante wird als persnliches Profil bezeichnet, die festgelegte als verbindliches Profil (Mandatory Profile).
Ein verbindliches Profil ist nicht durch den Benutzer nderbar.
Mit verbindlichen Benutzerprofilen knnen Einstellungen fr einzelne
Benutzer oder Benutzergruppen festgelegt werden. Um nderungen
an den verbindlichen Benutzerprofilen durchfhren zu knnen, sind
administrative Rechte erforderlich.

259

Kapitel 5 Benutzerverwaltung

Speicherort und Inhalt lokaler Benutzerprofile


Der Standardspeicherort fr lokale Profile ist das Verzeichnis
%Systemdrive%\Benutzer. Dieses Verzeichnis wird bei der Installation
von Windows 7 angelegt. Die einzelnen Benutzerprofile befinden sich
jeweils in Unterverzeichnissen.
Benutzerprofile setzen sich aus einem Ordner mit Unterverzeichnissen zur
Speicherung von Verknpfungen und anderer Elemente und einem entsprechenden Unterschlssel des Registrierungs-Teilbaums HKEY_CURRENT_
USER zusammen, der in der Datei NTuser.dat abgebildet wird.
Die Verzeichnisse mit dem kleinen Pfeil sind keine echten Verzeichnisse,
sondern Verknpfungen, die einen virtuellen Ordner darstellen, der in
Wirklichkeit auf einen ganz anderen Pfad verweist. Diese Links sind aus
Abwrtskompatibilittsgrnden vorhanden.
Abbildung 5.17
Struktur eines lokalen Benutzerprofils

260

Versteckte
Ordner

Einige Dateien und Verzeichnisse sind als versteckt gekennzeichnet. Sie


erscheinen nur dann im Windows-Explorer, wenn die erweiterten Einstellungen fr die Ordneransicht unter Organisieren/Ordner- und Suchoptionen/
Ansicht so konfiguriert sind, dass alle Dateien und Ordner angezeigt werden.

NTuser.dat

Im Stammordner jedes Benutzerprofils ist die Datei NTuser.dat gespeichert.


Diese enthlt die Registrierungseintrge fr den benutzerspezifischen
Unterschlssel von HKEY_CURRENT_USER auf dem lokalen Computer,
ber den die fr den momentan angemeldeten Benutzer gltigen Einstellungen abgefragt werden knnen.

Benutzerprofile unter Windows 7

Zusammen mit der Datei NTuser.dat beinhaltet das Benutzerprofil mindestens eine Transaktionsdatei namens NTuser.dat.log, die Vernderungen an
NTuser.dat aufzeichnet und die Wiederherstellung erlaubt, wenn die Datei
NTuser.dat whrend einer Aktualisierung beschdigt werden sollte.
Sowohl Windows 7 als auch bereits Windows Vista arbeiten intern
ausschlielich in englischer Sprache. Viele im Windows-Explorer
sichtbare Ordner stellen daher lediglich Verweise in lokalisierter Sprache dar und sind nicht als reale Ordner existent. Aus diesem Grund
sollten manuelle Anpassungen an Systemordnern nur in Ausnahmefllen und mit besonderer Umsicht erfolgen.
Ein lokales Profil wird immer angelegt, wenn sich ein Benutzer zum ersten Mal am System anmeldet. Wenn der Benutzer nderungen an seiner
Arbeitsumgebung vornimmt, werden diese bei der Abmeldung im Profil
eingetragen. Das setzt allerdings voraus, dass dieser Benutzer das Recht
hat, lokale Profile zu speichern, bzw. dass es sich nicht um ein verbindliches Profil handelt.

Fr den Fall, dass ein Benutzer sich schon einmal angemeldet hatte, das
lokale Profil aber gelscht wurde, wird bei der nchsten Anmeldung
automatisch ein neues lokales Profil angelegt. Dies gilt auch, wenn sich
der Benutzer an einer Active Directory-Domne anmeldet.
Das Lschen eines Benutzerkontos beinhaltet nicht das lokale Profil. Dieses muss manuell entfernt werden. Wird ein Benutzer in Active Directory gelscht, muss auf jedem Rechner, an dem sich der Benutzer in der
Vergangenheit angemeldet hatte, das lokale Profil gelscht werden.
Typischerweise werden in einer Active Directory-Domne die Profile von
Domnenbenutzern zentral als serverbasierte Profile gespeichert. Bei dem
Server, auf dem die Profile gespeichert werden, muss es sich nicht um einen
Domnencontroller handeln.
Um einem Benutzer ein Profil zuzuweisen, ist in den Benutzereigenschaf- Arbeitsweise
ten der Pfad des freigegebenen Profilverzeichnisses einzutragen. Bei der serverbasierter
Anmeldung an einem zur Domne gehrenden Rechner wird dieses Profil Profile
als Vorlage fr das lokale Benutzerprofil verwendet. Dazu wird das servergespeicherte Profil bei der Anmeldung auf die Arbeitsstation bertragen.
nderungen erfolgen whrend der Arbeitssitzung nur an dem lokal zwischengespeicherten Profil. Erst bei der Abmeldung wird das nun genderte
Profil auf den Server bertragen und berschreibt das dort gespeicherte.
Bei der nchsten Anmeldung am gleichen lokalen System wird die lokale
Kopie des Benutzerprofils herangezogen, mit dem servergespeicherten
Profil verglichen und gegebenenfalls synchronisiert. Mit der lokalen Speicherung wird sichergestellt, dass sich Benutzer auch dann anmelden knnen, wenn der Domnencontroller bei der Anmeldung nicht verfgbar
ist. Ging auf dem System das lokale Profil verloren, wird wiederum auf
das zentrale Profil zurckgegriffen.

261

Kapitel 5 Benutzerverwaltung
Serverbasierte
Profile fr lokale
Benutzer

Auch lokalen Benutzerkonten knnen servergespeicherte Profile zugewiesen werden. Hierzu muss in den Benutzereigenschaften unter Profilpfad der
UNC-Pfad zum Verzeichnis eines vorher angelegten Benutzerprofils eingetragen werden.

Abbildung 5.18
Konfiguration eines
servergespeicherten
Benutzerprofils in
der Konsole Active
Directory-Benutzer
und -Computer

Profiltyp ndern

Abbildung 5.19
Nur wenn das Profil
als servergespeichertes Profil konfiguriert wird, kann an
dieser Stelle der
Profiltyp gendert
werden.

262

Im Dialogfeld Benutzerprofile kann berprft werden, ob das serverbasierte Profil verwendet wird. Auerdem ist es mglich, den Anmeldetyp
fr das Benutzerprofil temporr zu ndern. Gehen Sie dazu folgendermaen vor:
1. ffnen Sie die Registerkarte Benutzerprofile. Dies geschieht am schnellsten durch Eingabe von Benutzerkonten im Suchfeld des Startmens
und anschlieende Auswahl der Option Erweiterte Benutzerprofileigenschaften konfigurieren.
2. Klicken Sie auf die Schaltflche Typ ndern, um den Anmeldetyp fr
das Profil auszuwhlen.

Benutzerprofile unter Windows 7

Vordefinierte Profile
Neben den Benutzerprofilen fr die einzelnen Benutzer existieren auf jedem
Windows 7-System mindestens drei weitere Profile: Default, All Users und
das Profil ffentlich.
Neue Benutzerprofile werden ber eine Kopie des Standardbenutzerpro- Vorlagenprofile
fils (Default) erstellt, das auf jedem Windows-System standardmig vorhanden ist. Dieses Profil erscheint in der Registrierung unter dem Schlssel HKEY_USERS\DEFAULT und lsst sich bei Bedarf ndern, um
Benutzern eine angepasste Systemumgebung vorzugeben.
Alle Eintrge, die im Default-Profil erfolgen, werden nur bei der Erstellung eines neuen Profils bernommen. Bei bereits bestehenden Benutzerprofilen greifen diese nderungen nicht.
Das Profil All Users ist ein globales Profil, das Einstellungen fr alle jeweils All Users
lokal angemeldeten Benutzer zur Verfgung stellt und bei Windows 7 aus
einer Reihe von Verweisen auf andere Ordner besteht. Eintrge beispielsweise im Ordner Desktop von All Users erscheinen bei allen Benutzern auf
dem Desktop. Das Ergebnis ist eine Kombination aus den benutzereigenen
Desktop-Einstellungen und dem globalen Desktop. nderungen am Profil
All Users knnen nur durch Mitglieder der Gruppe der lokalen Administratoren erfolgen.

Zustzlich gibt es mit dem Profil ffentlich ein weiteres Standardprofil. Die- ffentliches Proses Profil wird fr die in Windows 7 neu eingefhrten Bibliotheken ben- fil in Bibliotheken
tigt. Bibliotheken (Libraries) erlauben es, Dateien unabhngig von deren verwenden
Speicherort zu organisieren und darauf zuzugreifen. Hierzu knnen in
einer Bibliothek Dateien zusammengefasst werden, die in verschiedenen
Ordnern gespeichert sind. Diese werden als zentrale Sammlung angezeigt,
aber an ihrem jeweiligen Speicherort belassen. Die Aufgabe von Bibliotheken ist es, die Verwaltung von Dateien, die ber mehrere Laufwerke verstreut sind, zu vereinfachen.
Abbildung 5.20
Bibliotheken beinhalten standardmig auch die Ordner
des ffentlichen
Benutzerprofils.

263

Kapitel 5 Benutzerverwaltung

Windows 7 wird mit den Bibliotheken Dokumente, Musik, Bilder und


Videos ausgeliefert. Alle Bibliotheken beinhalten einen persnlichen und
einen ffentlichen Ordner. Dabei handelt es sich um die im Benutzerprofil
beziehungsweise im ffentlichen Profil hinterlegten Pfade.

Benutzerprofile mittels Gruppenrichtlinien verwalten


Zur Administration von Benutzerprofilen gibt es einige sehr ntzliche
Gruppenrichtlinien, mit denen beispielsweise festgelegt werden kann,
wie mit dem Profil zu verfahren ist, wenn die Anmeldung remote ber
eine langsame Netzwerkverbindung erfolgt. Die Richtlinien sind in einer
Active Directory-basierten Umgebung im Gruppenrichtlinienobjekt der
Domne zu finden und knnen dort zur Steuerung von Benutzerprofilen
auf der Ebene der gesamten Domne oder von Standorten bzw. Organisationseinheiten eingesetzt werden.
Als lokale Gruppenrichtlinien erlauben sie die Vorgabe von Einstellungen, die auf die lokalen Benutzerprofile Anwendung finden.
Lokales Gruppenrichtlinienobjekt

Zur Konfiguration von lokalen Gruppenrichtlinien zur Steuerung von


Benutzerprofilen gehen Sie wie folgt vor:
1. ffnen Sie durch Eingabe von gpedit.msc im Suchfeld des Startmens
das lokale Gruppenrichtlinienobjekt. Hierzu sind administrative
Rechte erforderlich.
2. Whlen Sie unter Computerkonfiguration bzw. Benutzerkonfiguration/
Administrative Vorlagen/System den Container Benutzerprofile. Abhngig
von der zu konfigurierenden Richtlinie ist diese entweder im Bereich
Computer oder Benutzer zu finden.

Abbildung 5.21: Gruppenrichtlinien zur Verwaltung von Benutzerprofilen

264

Benutzerprofile unter Windows 7

5.4.2

Verwaltung serverbasierter Profile in


heterogenen Netzwerken

Wie bereits ausgefhrt, hat Microsoft mit Windows Vista die Struktur der
Benutzerprofile merklich gendert. So wurden zum Beispiel die beiden Ordner Anwendungsdaten und Application Data zum Ordner AppData zusammengefasst, und der Ordner Eigene Dateien wurde in Dokumente umbenannt, aus
dem aber die Ordner Musik, Videos u.a. ausgegliedert wurden. Auerdem
befinden sich die Ordner an unterschiedlichen Speicherorten:
Windows XP-Neuinstallation
%Systemdrive%\Dokumente und Einstellungen\%Username%
Windows Vista und Windows 7
%Systemdrive%\Benutzer\%Username%
Dies wirft die Frage auf, was passiert, wenn sich ein Benutzer mit einem
serverbasierten Profil abwechselnd an einem Windows XP-Rechner und
einem Windows 7-Rechner anmeldet, da die unterschiedliche Struktur
eine gemeinsame Nutzung des Profils ausschliet. Frhere WindowsVersionen hatten eine weitgehend gleiche Profilstruktur und konnten
sich daher ein gemeinsames Profil teilen, auch wenn dies in der Praxis
nicht immer problemlos funktioniert hat.

Profilversionierung bei serverbasierten


Profilen

Zur Lsung dieses Problems hat Microsoft eine Versionierung der Profile
eingefhrt. Alle Profile vor Windows Vista sind Version 1, auf Windows
Vista sowie Windows 7 basierende Profile gehren zur Version 2. Damit
erhalten alle Windows-Profile automatisch als Ordnernamen den Benutzernamen mit einer angehngten Endung .v2. Auf dem Server befinden
sich damit fr jeden Benutzer zwei Profilpfade.
Die Speicherung des Windows 7-basierten
Profils auf dem Server erfolgt automatisch,
sobald sich ein Benutzer mit einem serverbasierten Profil erstmals an einem Windows 7Rechner anmeldet. Dabei werden alle vorhandenen Einstellungen und Dateien (beispielsweise die Favoriten und die OutlookProfileinstellungen) aus dem vorhandenen
Profil in das neue Windows 7-Profil bernommen.

Abbildung 5.22
Servergespeichertes
Profil in der Version
1 und der Version 2

Hierbei ist zu beachten, dass der Profilname


in den Konteneigenschaften nicht gendert
werden muss. Unter Profilpfad ist unabhngig
vom verwendeten Clientbetriebssystem der
UNC-Pfad fr das Profil gem nachstehendem Format einzutragen: \\<server>\<Freigabe>\%Username%.

265

Daten, Datentrger
und Dateisysteme

Computer sind nicht nur im Laufe der Jahre immer schneller geworden,
sie haben auch immer mehr Speicherplatz in Form von permanentem
Speicher erhalten. Hatte der erste IBM-PC mit einer Festplatte (IBM PC XT
im Jahr 1983) noch einen Speicherplatz von 10 MB, so werden heute Systeme verkauft, deren Speicherplatz um den Faktor 1 Million hher liegt.
Parallel zur Entwicklung der Technologie von permanenten Speichermglichkeiten fr Daten entwickelten sich auch Technologien, wie diese Daten
auf einem Datentrger organisiert und verwaltet werden knnen.

6.1

Datentrger aus Sicht der


Hardware

Prinzipiell werden in diesem Kapitel nur Datentrger behandelt, die einen Nicht alles, was
direkten und wahlfreien Zugriff auf die enthaltenen Informationen erlau- Daten trgt, ist
ben. Dies bedeutet, dass es sich hier nur um Festplatten, USB-Speicher, opti- ein Datentrger
sche Laufwerke und verschiedene Formen von virtuellen oder netzwerkbasierten Speichern handelt, nicht aber um Massenspeicher wie beispielsweise
Bandlaufwerke, weil bei diesen kein direkter Zugriff auf einen bestimmten
Bereich des Datentrgers besteht. Die Betrachtung von Disketten unterlassen wir, da die Speicherkapazitt heutigen Ansprchen nicht mehr gengt
und zudem viele Systeme meist nicht mehr ber ein Diskettenlaufwerk verfgen. Ebenfalls nicht betrachtet werden hier ber Netzwerkfreigaben eingebundene Laufwerke, diese werden in Kapitel 8 behandelt.
Aus Sicht des Systems wird ein solcher Datentrger durch zwei Eigenschaften charakterisiert, die eine Einordnung gem folgender Matrix erlauben:

267

Kapitel 6 Daten, Datentrger und Dateisysteme


Tabelle 6.1
Klassifikation von
Datentrgern

Lschbar
Stationr

Festplatte

Wechselbar

USB-Stick, Speicherkarte
USB-Festplatte
iSCSI, SAN
Virtuelle HD

6.1.1

Nicht lschbar

CD/DVD

HW-Adapter fr Datentrger

Parallel mit der Gre der Festplatten entwickelten sich auch die verschiedenen Mglichkeiten, wie eine Festplatte mit dem Computer verbunden
werden konnte. Fr Windows sind vor allem drei Aspekte bei der Hardware fr den Anschluss eines Datentrgers wichtig:
Setup Untersttzt die Setup-Routine der Windows-Installation und
die Ansprache des Datentrgers.
Sofern die Setup-CD oder -DVD von Windows den betreffenden Datentrger nicht nativ untersttzt (wie beispielsweise bei XP und SATALaufwerken), so mssen Sie whrend des Setups manuell einen zustzlichen Datentrger mit dem passenden Treiber zufhren.
Boot Untersttzt der Datentrger das initiale Laden des Betriebssystems durch das BIOS beim Systemstart.
Sofern das ROM-BIOS des Systems keine Mglichkeit bietet, von dem
gewnschten Datentrger zu booten, kann man von einem anderen
Datentrger starten und erst spter auf diesen Datentrger zugreifen.
Aus diesem Grund enthalten beispielsweise separate SCSI-Adapter ein
eigenes BIOS, welches das ROM-BIOS ergnzt.
Regelbetrieb Kann ein installiertes Windows ber Treiber auf die
Informationen des Datentrgers zugreifen.
Nur ein Datentrger, der alle drei Aspekte anbietet, kann vollumfnglich
von Windows 7 genutzt werden, dies betrifft smtliche aktuell verfgbaren Technologien in dem Bereich.
Reale und irreale
Datentrger

268

Neben realen physischen Datentrgern untersttzt Windows 7 auch drei


Formen von mehr oder minder virtuellen Datentrgern:
SAN (Storage Area Network) Diese ursprnglich aus dem Rechenzentrum und dem Grorechnerbereich stammende Technologie verbindet
ber spezielle (oftmals optische) Adapter das System mit seinem Datenspeicher (zum Beispiel Fibre Channel). Im SAN-Datenspeicher sitzt meist
eine intelligente Verwaltung, die beispielsweise die Abtrennung der einzelnen Datenspeicher fr die verschiedenen angeschlossenen Systeme
untereinander vornimmt oder die in der Lage ist, die Daten eigenstndig
auf Archivierungsmedien zu sichern. Bedingt durch den hohen Preis
derartiger Lsungen findet man diese eher selten im Desktop-Bereich.
iSCSI Internet SCSI (Small Computer System Interface) ist angelehnt an
die seit langen Jahren bekannte Technologie SCSI, die ursprnglich
zum direkten Anschluss von Festplatten und Gerten wie Scanner,

Datentrger aus Sicht der Hardware

Bandlaufwerke oder optische Laufwerke an ein Bussystem vorgesehen war. Der bisher kabelgebundene Datentransfer wird stattdessen in
Form von IP-Paketen zwischen den iSCSI-Servern (iSCSI Targets
genannt) und den iSCSI-Clients (iSCSI Initiators genannt) vermittelt.
Auf diese Weise knnen die Systeme und ihre Datentrger fast beliebig
weit auseinander entfernt aufgestellt werden. Die bisherigen Beschrnkungen der maximalen Kabellnge von hchstens einigen Metern bei
SCSI werden aufgehoben. Auf welcher Hardware die Daten aufseiten
des Targets tatschlich abgespeichert werden, bleibt dem Initiator verborgen. Prinzipiell unterscheidet es sich in der Funktionsweise nur
wenig von groen SAN-Lsungen, ist jedoch durch den geringen Preis
deutlich attraktiver auch fr den Einsatz auf Desktop-Systemen.
Virtual HD Ursprnglich aus der Entwicklung von Virtualisierungslsungen kommend, ist es seit Windows 7 auch mglich, .vhd-Dateien auf
einer normalen Festplatte als eigenstndiges Laufwerk einzubinden.
Um erste Experimente mit iSCSI durchzufhren, knnen Sie unter
[STAR] nach Registrierung eine kostenlose Testversion eines iSCSITargets laden. Diese luft auf allen gngigen Windows-Installationen.

6.1.2

iSCSI im Einsatz

Um mit Windows 7 eine Verbindung mit einem iSCSI-Target herzustellen, RechenzentrumTechnologie im


sind zwei Schritte notwendig:
Eigenbau
1. Konfiguration des iSCSI-Initiators
2. Herstellung der Verbindung
Starten Sie zunchst die Konfiguration des iSCSI-Initiators, indem Sie
Systemsteuerung/System und Sicherheit/Verwaltung/iSCSI-Initiator aufrufen.
Hierzu ist eine UAC-Abfrage notwendig. Beim ersten Aufruf dieser
Funktion wird Ihnen mitgeteilt, dass der iSCSI-Dienst nicht ausgefhrt
wird. Besttigen Sie die entsprechende Frage, ob der Dienst knftig automatisch starten soll.
Abbildung 6.1
Start des iSCSIDienstes erlauben?

Im nun angezeigten Dialogfeld sind zunchst noch keine Ziele zu sehen.


Aktivieren Sie deshalb die Registerkarte Suche. Per Klick auf die Schaltflche Portal ermitteln knnen Sie die Verbindung zu einem iSCSI-Target herstellen. Geben Sie zunchst die IP-Adresse oder den Namen des Zielsystems ein. Sofern Ihr Target keine besondere Konfiguration aufweist,
belassen Sie die Einstellung fr den Port auf dem Standardwert 3260.

269

Kapitel 6 Daten, Datentrger und Dateisysteme

Was ist ein iSNS? hnlich wie man im DNS nach IP-Adressen suchen
kann, gibt es fr iSCSI-Systeme eine eigene Verwaltungsstruktur, diese
wird iSNS (Internet Storage Name Service) genannt. iSCSI-Targets registrieren sich bei einem iSNS-Server, iSCSI-Initiatoren knnen einen
iSNS-Server nach einem fr sie verfgbaren iSCSI-Target befragen.
Der Einsatz lohnt sich allerdings eher in greren Umgebungen, in
denen es mehr als ein iSCSI-Target gibt.
Wechseln Sie zurck zur Registerkarte Ziele, und in der Liste der erkannten Ziele erscheinen die Datentrger, die das im vorigen Schritt hinzugefgte iSCSI-Target fr den Client anbietet.
Abbildung 6.2
Ziel erkannt!

Markieren Sie nun das Ziel in der Liste, und klicken Sie auf die Schaltflche Verbinden. Auf Wunsch knnen Sie im Dialogfeld markieren, dass das
gewhlte Ziel ein bevorzugtes Ziel sein soll. Die Verbindung mit einem
derartigen Ziel wird automatisch beim Systemstart erneut hergestellt.
Im aktuellen Fall hat das iSCSI-Target keine Authentifizierung verlangt.
Sofern der iSCSI-Server eine Authentifizierung verlangt, mssen Sie die
Schaltflche Erweitert bettigen und die notwendigen Anmeldedaten eingeben.
Aus Grnden der Sicherheit kann man sowohl den Client sich gegenber dem Server ausweisen lassen als auch zustzlich den Server gegenber dem Client (wechselseitige Authentifizierung).

270

Datentrger aus Sicht der Hardware

So ist sichergestellt, dass kein bswilliger Server die Anmeldeinformationen des Clients abgreift. Welches Anmeldeverfahren genau verwendet
wird, muss mit dem Administrator des iSCSI-Targets abgeklrt werden.
Abbildung 6.3
Verbinden mit
Anmeldung

6
Starten Sie nun die Datentrgerverwaltung ber Systemsteuerung/System
und Sicherheit/Verwaltung/Datentrgerverwaltung, und Sie werden zunchst
gefragt, ob Sie den neuen Datentrger initialisieren mchten. Danach steht
Ihnen das iSCSI-Laufwerk als zustzliches Laufwerk zur Verfgung.

Dreh- und
Angelpunkt
Datentrgerverwaltung
Abbildung 6.4
Ein Netzwerklaufwerk in der Datentrgerverwaltung

Mehr zur Verwendung der Datentrgerverwaltung erfahren Sie in Abschnitt


6.5.2 ab Seite 313.

271

Kapitel 6 Daten, Datentrger und Dateisysteme

6.1.3

Virtueller Speicher im Einsatz

Wenn man einen sehr groen Datentrger unterteilen will, kann man zum
einen natrlich die vorhandene Partition zunchst verkleinern und dann
eine neue Partition anlegen (siehe hierzu Abschnitt 6.5.2). Mchte man aber
nur temporr fr Testzwecke einen separaten Datentrger nutzen, bietet sich
mit Windows 7 die Variante Virtuelle Festplatte an. Eine solche Festplatte ist
nichts weiter als eine einzelne Datei (Image), die im normalen Dateisystem
liegt. Um eine solche Platte anzulegen, whlen Sie in der Datentrgerverwaltung den Befehl Aktion/Virtuelle Festplatte erstellen aus. Im nun erscheinenden Dialogfeld mssen Sie drei Angaben machen:
Ort In welchem Verzeichnis und mit welchem Namen soll die Imagedatei der neuen Festplatte angelegt werden? Diese Datei hat standardmig den Typ .vhd (Virtual Hard Disk). Das Verzeichnis muss bereits
existieren.
Gre Wie gro soll die neue Festplatte sein? Hierzu geben Sie eine
Zahl und die gewnschte Maeinheit (Mega-, Giga- oder Terabyte) an.
Format Alternativ kann entweder eine dynamische oder eine feste Festplatte angelegt werden.
Dynamisch Bei der dynamischen Gre wird nur eine maximale
Gre festgelegt. Sobald dann tatschlich Daten auf den Datentrger
gespeichert werden, wird Zug um Zug die Imagedatei vergrert.
Dies hat den Vorteil, dass man fr Testzwecke einen theoretisch sehr
groen Datenspeicher anlegen kann, ohne real viel Platz zu verbrauchen. Im Einsatz steht jedoch der Platz fr das virtuelle Laufwerk in
Konkurrenz zu dem Platz der anderen Dateien auf dem realen Laufwerk. Zudem bentigt das Erweitern des Speicherplatzes Rechenzeit, die von der Leistung des Computers fr die Anwendung, die
den Speicherplatz bentigt, abgeht.
Fest Bei der festen Gre wird sofort nach der Erstellung bereits die
Imagedatei mit ihrer maximalen Gre angelegt. Dies hat den Vorteil,
dass der Speicherbereich der virtuellen Platte spter nicht mehr von
Dateien auf dem realen Datentrger belegt werden kann. Zudem
muss whrend der Verwendung des virtuellen Datentrgers nicht
noch zustzlich Zeit fr dessen Erweiterung aufgewendet werden.
Abbildung 6.5
Anlegen einer irrealen realen Platte

272

Partitionen, physische und logische Laufwerke


>dir
Datentrger in Laufwerk H: ist Huge
Volumeseriennummer: 080E-5CBF
Verzeichnis von H:\
13.08.2009 21:42
256 test.txt
1 Datei(en),
256 Bytes
0 Verzeichnis(se), 1.610.333.184.000 Bytes frei

Listing 6.1
Viel hilft viel: virtuelles Laufwerk mit
1,5 TB Speicherplatz

Nachdem das virtuelle Laufwerk angelegt worden ist, kann es wie jedes Angewandter
reale Laufwerk verwendet werden, es muss also zunchst initialisiert und Grenwahnsinn
es mssen Partitionen angelegt werden, siehe hierzu den Abschnitt 6.2 ab
Seite 273. Nheres, um die virtuelle Festplatte wieder zu entfernen, finden Sie im Abschnitt 6.5.1 ab Seite 311.
Eine bereits bestehende Datei einer virtuellen Festplatte knnen Sie ber
den Befehl Aktion/Virtuelle Festplatte anfgen erneut zum System hinzufgen.

6.2

Partitionen, physische und


logische Laufwerke
6

Frher war die Welt noch einfacher: Es gab physische Laufwerke, diese
wurden mittels Partitionen unterteilt, und eine Partition entsprach einem
Laufwerksbuchstaben. Heute ist das alles etwas komplizierter. Das, was
ein Computer als physisches Laufwerk ansieht, knnen tatschlich mehrere Laufwerke sein, die der Festplattencontroller dem System gegenber
als ein Laufwerk ausweist. Oder sie sind (wie im obigen iSCSI-Beispiel)
ganz woanders oder eine reine Dateilsung. Prinzipiell gilt aber immer
noch: Das, was der Computer als physisches Laufwerk sieht, muss auf
die eine oder andere Weise aufgeteilt werden.

6.2.1

MBR oder GPT-Datentrger?

Prinzipiell ist eine Partition die Bezeichnung fr einen bestimmten, fest


definierten Bereich eines physischen Laufwerks. Die Auflistung aller dieser Partitionen nennt man Partitionstabelle. Aktuell gibt es zwei Weisen,
wie auf der Festplatte die Information ber die vorhandenen Partitionen
vermerkt werden kann:

MBR
Das erste Format wurde als MBR (Master Boot Record) bezeichnet, weil die Alt und bewhrt
Partitionsinformationen zusammen mit dem Startcode fr den Bootprozess des Systems im ersten Sektor der Festplatte notiert wurden. Weil in
dem Sektor auer den Partitionsinformationen zustzlich auch noch der
Programmcode untergebracht werden musste, war im Master-Boot-Sektor
nur Platz fr die Informationen von vier Partitionen. Eine dieser Partitionen konnte als erweiterte Partition angelegt werden. Diese war eine Kopie
des MBR in einem weiteren Sektor der Festplatte mit Platz fr vier weitere

273

Kapitel 6 Daten, Datentrger und Dateisysteme

Partitionen. Dieser Sektor konnte auch eine Kette mit anderen Sektoren bilden, um so eine grere Anzahl von Laufwerken zu definieren.
Beim Start des Systems ldt das BIOS den ersten Sektor der Festplatte in
den Speicher und bertrgt danach die Kontrolle auf den somit geladenen
Programmcode. Dieser wertet die Informationen der Partitionstabelle aus
und identifiziert die erste Partition, die mit dem Merkmal Aktiv gekennzeichnet ist. Der Code im MBR ldt daraufhin den ersten Sektor dieser Partition in den Speicher und startet den dort enthaltenen Code, der wiederum
das Betriebssystem startet.
Da die Partitionsinformationen nur einmal auf dem Datentrger abgespeichert werden, war dieses Konzept natrlich fehleranfllig. Informationen
zum internen Aufbau der MBR-Partitionstabelle finden sich unter [MBR].

GPT
Neu, schick
und cool

Zusammen mit dem neuen BIOS-Typ EFI (Extensible Firmware Interface),


den Intel und andere Hardwarehersteller als Nachfolger des klassischen
IBM PC-BIOS vorgestellt hatten, wurde auch ein neues Format fr die
Partitionsinformationen eingefhrt: GPT (GUID Partition Table). Dieses
Format sollte die Nachteile des alten MBR-Format beheben, insbesondere
die geringe Anzahl mglicher Partitionen und die Fehleranflligkeit, da
bei einem MBR die Partitionsinformationen nur einmal auf der Platte
abgespeichert werden.
Auf einer mit GPT partitionierten Festplatte findet sich kein Startcode mehr
im MBR, der Code fr den Startprozess findet sich alleinig im EFI-BIOS.
Windows XP kann in der 32-Bit-Version berhaupt nicht mit GPT-Partitionen umgehen, unter Windows XP in der 64-Bit-Version lassen sich
GPT-Partitionen als Datenpartitionen verwenden. Die 32-Bit-Version
von Windows Server 2003 kann ab SP 1 auch von GPT-Partitionen starten. Fr alle Versionen von Windows Vista, Windows Server 2008 und
Windows 7 bestehen keine Einschrnkungen mehr.

Doppelt hlt
besser!

Die Informationen ber die vorhandenen Partitionen sind zweimal auf der
Platte gespeichert, einmal auf den Sektoren am Anfang der Platte und in
einer Kopie in den Sektoren am Ende der Platte. Auf diese Weise erreicht
man eine gewisse Toleranz gegenber Plattenfehlern, die ansonsten die
Informationen auf der Platte unzugnglich machen knnten. Damit nicht
versehentlich ein Betriebssystem, das nur den MBR-Typ erkennt, auf eine
GPT-Platte zugreift, wird auch bei einer GPT-Platte in den ersten Sektor der
Platte ein Platzhalter in Form eines MBR geschrieben, der eine Partition
definiert, welche die komplette Platte umfasst. Ab dem zweiten Sektor
folgt dann der Bereich der Partitionsdaten (siehe [GPT]).
Whrend eine MBR-Platte nur ein Byte fr den Typ der Partition untersttzte, dient fr diese Kennzeichnung bei einer GPT-Platte gleich eine
16 Byte groe GUID-Angabe (deshalb auch der Name). Zustzlich bekommt
jede einzelne Partition auch eine eigene GUID zugewiesen.

274

Partitionen, physische und logische Laufwerke

Frher wurden Bereiche auf einer Platte noch direkt adressiert, indem
spezifiziert wurde, auf welcher Spur der Platte (Cylinder) welcher Lesekopf (Head) welchen Sektor zu lesen hatte. Diese sog. CHS-Angabe war
aber auch nach mehreren Erweiterungsverfahren auf Festplatten von
maximal knapp 8 GB beschrnkt. Aus diesem Grund werden moderne
Platten direkt ber die Angabe der gewnschten Blocknummer (LBA,
Logical Block Addressing) angesprochen. Die Umsetzung der LBAAngabe in eine tatschliche Lokation auf der physischen Platte obliegt
nun dem Controller, der direkt in der Festplatte verbaut ist. Whrend
in einem MBR noch beide Angaben vorhanden sind, wird die GPT nur
noch mit LBA-Angaben angegeben.
Welchen Typ eine Festplatte hat, knnen Sie ersehen, wenn Sie in der
Datentrgerverwaltung in der linken Spalte der Darstellung mit der rechten Maustaste auf den betreffenden Datentrger klicken und dann Eigenschaften auswhlen. Den Partitionstyp finden Sie auf der Registerkarte
Volumes. Ein Wechsel zwischen den beiden Typen ist mglich, jedoch nur
dann, wenn der Datentrger keinerlei Daten mehr enthlt.
Abbildung 6.6
Partitionstyp eines
Datentrgers

6.2.2

Basis oder dynamisch?

Windows kennt zwei Arten von Datentrgern: Basis (Basic) und Dyna- Dynamisch in die
misch. Dynamische Datentrger wurden mit Windows 2000 eingefhrt und Zukunft
bieten die Mglichkeit, mehrere Partitionen zu einem gemeinsamen Datenbereich zusammenzuschlieen. Einige ltere Betriebssysteme sind jedoch
nicht in der Lage, von einem dynamischen Datentrger zu starten. Whrend des Setups legt Windows 7 bei der Partitionierung nur Basisdatentrger an. Ein Wechsel von einem Basisdatentrger in einen dynamischen
Datentrger ist mglich. Klicken Sie dazu mit der rechten Maustaste auf
den Datentrger in der linken Spalte der Datentrgerverwaltung, und whlen Sie In dynamischen Datentrger konvertieren aus.

275

Kapitel 6 Daten, Datentrger und Dateisysteme


Abbildung 6.7
Umwandlung in
einen dynamischen
Datentrger

Sie werden vor der Umwandlung zur Sicherheit auf die mglichen Konsequenzen hingewiesen. Je nach Anzahl der vorhandenen Partitionen auf
dem Datentrger kann der Vorgang auch etwas lnger dauern, die Daten
auf dem Datentrger bleiben dabei erhalten. Der Weg von einem dynamischen Datentrger zurck zu einem Basisdatentrger ist nur mglich, wenn
keine Partitionen mehr auf dem Datentrger vorhanden sind. Ob ein Datentrger vom Typ Basis oder Dynamisch ist, knnen Sie in der entsprechenden
Spalte der Datentrgerverwaltung ersehen (siehe Abbildung 6.10).
Daten? Logisch!

Bei einem dynamischen Datentrger werden in der Partitionstabelle keine


Informationen mehr gespeichert, die Informationen ber die dort als Volume
bezeichneten Plattenbereiche werden in einer Art Datenbank mit dem
Namen Logical Volume Manager (LVM) oder auch Logical Data Manager
(LDM) gespeichert. Bei einem dynamischen Datentrger auf einer MBRPlatte wird nur eine Partition vom Typ 0x42 angelegt, die die komplette
Platte belegt. Bei einer GPT-Platte werden zwei Partitionen angelegt, eine
vom Typ LDM Metadata Partition, welche die Informationen der einzelnen
Volumes enthlt, und eine vom Typ LDM Data Partition, welche die tatschlichen Partitionsdaten der Volumes enthlt.

6.2.3
Ausfallschutz
und mehr

276

Vom Datentrger zum


Laufwerksbuchstaben

Um bei Festplatten eine grere Ausfallsicherheit, Fehlertoleranz und grere Kapazitten zu erreichen, hat man im Bereich der Hardware die Technologie RAID (Redundant Array of independent Disks redundanter Stapel
unabhngiger Platten) entwickelt, mit der mehrere Festplatten logisch zu
einer einzigen kombiniert wurden. Im professionellen Einsatz wird dies
durch spezielle Festplattencontroller angeboten, die dafr dann auch entsprechende Steuerprogramme anbieten.

Partitionen, physische und logische Laufwerke

RAID-Level

Name

Funktion

Stripeset

Die Daten werden auf zwei oder mehr Datentrger verteilt, quasi werden die Daten streifenweise
(stripe) auf verschiedene Datentrger aufgeteilt.
Dies bewirkt eine Vergrerung der Kapazitt
und eine Erhhung der Geschwindigkeit, da
mehrere Platten parallel arbeiten. Maximal untersttzt Windows hierbei die Koppelung von 32
Datentrgern. Ein Defekt an einer der Platten
fhrt allerdings zum Datenverlust auf allen Platten, es existiert also hier keine Redundanz.

Spiegelsatz
Mirror

Die Daten werden parallel auf zwei oder mehr


Datentrger geschrieben. Solange noch mindestens ein Datentrger funktionstchtig ist, knnen
die Daten noch gelesen werden.

Stripeset mit
Paritt

Mindestens drei Festplatten werden verwendet.


Die Information wird mit einer Parittsinformation zur Fehlerkorrektur zusammen gleichmig
auf den Datentrgern abgespeichert. Dies hat zur
Folge, dass der Ausfall einer einzelnen Platte
noch keinen Datenverlust nach sich zieht. Wird
die fehlerhafte Platte ersetzt, kann die komplette
Information wieder hergestellt werden. Bedingt
durch die Parittsberechnung und die gleichmige Aktion auf allen Platten ist diese Methode
die langsamste.

Tabelle 6.2
RAID-Level, die bei
Windows verwendet werden

Es gibt noch eine Reihe weiterer RAID-Level, die jedoch in der Praxis eher
selten zum Einsatz kommen.
Viele moderne IDE- und SATA-Adapter untersttzen RAID-1 (Mirroring), wenn zwei gleichartige Platten angeschlossen sind. Dies sollte man
aus Grnden der Sicherheit bei Serversystemen unbedingt anwenden.
berprfen Sie in der Anleitung des Controllers, wie diese Funktion
berwacht werden kann. Die Ausfallsicherheit ntzt nichts, wenn Sie
den Ausfall einer Platte nicht bemerken und darauf reagieren knnen.
Die in Tabelle 6.2 aufgefhrten RAID-Level 0 und 1 kann Windows auch Software-RAID,
selbst softwaremig nachbilden. Dies ist natrlich deutlich langsamer besser als nichts
gegenber einem speziell dafr ausgerichteten Festplattencontroller. Der
fr sensible Datenbestnde ausgerichtete RAID-Level 5 wird von Windows 7 nicht untersttzt, auch wenn die entsprechende Option in der
Datentrgerverwaltung vorgesehen ist. Um eine entsprechende Plattenkombination einzurichten, bentigen Sie nur eine entsprechende Anzahl
freier Datentrger.

277

Kapitel 6 Daten, Datentrger und Dateisysteme


Abbildung 6.8
Spiegelung anlegen,
ausgehend von
Volume G:

Einrichten einer Spiegelung


Am einfachsten geht dies bei einer Spiegelung. Sofern auf dem System
ein freier Datentrger vorhanden ist, der mindestens so gro ist wie die
gewnschte Zielpartition, knnen Sie einfach die Zielpartition mit der
rechten Maustaste anklicken und Spiegelung hinzufgen auswhlen. Diese
Aktion ist nur auf einem dynamischen Datentrger mglich. Sofern sich
die zu spiegelnde Partition auf einem Basisdatentrger befindet, erhalten
Sie vorab eine entsprechende Warnung, dass der Datentrger zunchst
konvertiert werden muss.
Abbildung 6.9
Ziel fr die Spiegelung auswhlen

Spieglein,
Spieglein auf
der Platte ...

278

Im nchsten Schritt mssen Sie das Ziel fr die Spiegelaktion auswhlen,


auch wenn nur ein Datentrger als Ziel mglich ist. Der eigentliche Vorgang der Spiegelung luft automatisch ab und kann anhand einer Prozentanzeige in der Datentrgerverwaltung verfolgt werden. Nach Mglichkeit
sollten whrenddessen keine Anwendungen auf die zu spiegelnde Platte
zugreifen.

Daten und Dateisysteme


Abbildung 6.10
Daten werden
gespiegelt.

Die weiteren Optionen der Datentrgerverwaltung werden in den entsprechenden Abschnitten 6.5.2 ab Seite 313 und 6.6 ab Seite 317 beschrieben.

6.3

Daten und Dateisysteme

Ein Datentrger alleine ist zunchst nichts weiter als eine Ansammlung von Daten mit
Speicherplatz ohne jegliche Verwaltungsinformation. Damit man Daten Ordnung bilden
und Dateien darauf abspeichern (und wiederfinden) kann, muss ein Daten- ein Dateisystem
trger mit einem Dateisystem formatiert werden. Ein Dateisystem erfllt
dabei drei wesentliche Aufgaben:
Benennung von Speicherplatz und Anordnung der Namen in eine
Baumstruktur zur Organisation auch grerer Namensrume.
Zuweisung von Speicherplatz, Verhinderung der Doppelvergabe von
Speicherplatz und Organisation des nicht zugeordneten Speicherplatzes.
Vergabe und Kontrolle von Berechtigungen, um gezielt den Zugang
zu bestimmten Informationen zu erlauben oder zu verweigern.
Unter Windows werden heutzutage im Wesentlichen zwei Dateisysteme
untersttzt: NTFS und FAT. Unter Windows NT 4.0 war auch noch eine
Untersttzung von HPFS (fr OS/2) vorhanden, diese wurde zwischenzeitlich entfernt. Eine detaillierte bersicht ber die Unterschiede und Grenrestriktionen bei FAT und NTFS ist im Dokument Local File Systems for Windows unter der Adresse [FSYS] zu erhalten.

279

Kapitel 6 Daten, Datentrger und Dateisysteme

6.3.1
FAT will
never die!

FAT

Die FAT (File Allocation Table) wurde erstmals mit der ersten Version von
MS/PC-DOS eingefhrt, die zunchst nur Disketten untersttzte. Im Laufe
der Jahre hat es verschiedene Varianten von FAT gegeben (FAT-12, FAT-16,
FAT32, VFAT, exFAT), die aber alle eines gemeinsam haben: Es gibt kein
Berechtigungskonzept, jeder hat Zugriff auf alle Dateien eines Datentrgers.
Die FAT selbst ist eine einfache Liste von Clustern (Gruppe von mehreren
Sektoren). Sofern eine Datei mehr als einen Cluster bentigt, steht im Eintrag fr den ersten Cluster die Nummer des zweiten Clusters, im Eintrag
des letzten Clusters steht eine Endmarkierung. Diese Tabelle wird aus
Redundanzgrnden zweimal auf dem Datenspeicher abgelegt. Eine genauere Erklrung des FAT-Formats findet sich auf der Seite [FAT] und weiteren
dort verlinkten Seiten. Im Laufe der Zeit ist FAT immer wieder mit seinen
Maximalwerten fr Dateigre und Datentrgergre an die Grenzen der
technischen Entwicklung gestoen. Die letzte Entwicklungsstufe ist aktuell
exFAT, das Anfang 2009 von Microsoft fr die Systeme Windows XP SP2,
Windows Vista SP1 und Windows 7 eingefhrt wurde. Entwickelt wurde
exFAT zunchst fr Windows CE 6.0 unter besonderer Bercksichtigung
der Anforderungen fr Flash-Speicher (USB-Sticks).
Aktuell wird FAT vorwiegend bei solchen Systemen verwendet, bei
denen eine Implementierung von NTFS nicht mglich oder nicht sinnvoll
erscheint, beispielsweise bei Digitalkameras oder MP3-Musikgerten.
Auf bestimmten Aspekten der FAT-Implementierung besteht immer
noch Patentschutz der Firma Microsoft. Die Verwendung von FAT in
anderen Gerten kann deshalb Lizenzzahlungen nach sich ziehen.

6.3.2

NTFS

NTFS wurde von Microsoft erstmals mit Windows NT 3.1 eingefhrt und
ist inzwischen in der Version 3.1 erschienen, die mit Windows XP vorgestellt wurde. Gegenber FAT bietet NTFS eine ganze Reihe zustzlicher
Fhigkeiten.
Fhigkeit

Funktionsweise

Journal

Smtliche Operationen im Dateisystem werden in einer Journaldatei


protokolliert, bei Fehlern kann nachvollzogen werden, an welcher
Stelle ein Abbruch erfolgte, dies erleichtert die Wiederherstellung.

Bereitstellungspunkt
Mountpoints

Datentrger knnen auer als eigenstndiger Laufwerksbuchstabe


auch unterhalb eines Verzeichniseintrages eingebunden werden,
sodass beispielsweise G:\ auf einem anderen physischen Laufwerk
liegt als G:\temp.

Verzeichnisse in
Baumstruktur

Insbesondere bei greren Verzeichnissen knnen die einzelnen Eintrge effektiver gefunden werden, da die Eintrge in Form eines binren Baums abgespeichert werden.

Tabelle 6.3: Fhigkeiten von NTFS

280

Daten und Dateisysteme

Fhigkeit

Funktionsweise

Optimierter Speicherplatz fr kleine


Dateien

Sehr kleine Dateien werden gleich im Verzeichniseintrag der Datei


abgespeichert und belegen keinen zustzlichen Platz auf dem Datentrger, der zudem in einer separaten I/O-Operation gelesen werden
msste.

Zugriffsschutz (ACL
Access Control List)

Fr Dateien und Verzeichnisse knnen Zugriffsberechtigungen vergeben werden, um Datenschutz und Datensicherheit zu gewhrleisten.

Komprimierung

Daten knnen komprimiert gespeichert werden, ohne sie zuvor in spezielle Containerdateien zu packen (.zip-Dateien).

Harte Verknpfungen
(Hard Links)

Eine Datei auf einem Datentrger kann unter verschiedenen Namen


erreicht werden.

Symbolische Verknpfungen (Sym Links)


auf Verzeichnisse

Der Name eines Verzeichnisses wird beim Zugriff automatisch durch


den Namen eines anderen Verzeichnisses ersetzt, dies kann auch auf
einem anderen Datentrger liegen.

Verschlsselung
(Encryption)

Dateien knnen verschlsselt werden, nher wird dieses Konzept in


Kapitel 13 behandelt.

Kontingente (Quotas)

Das System berwacht automatisch die Nutzung des Datenspeichers


pro Benutzer, es knnen Grenzwerte angegeben werden, um die bermige Belegung des Datenspeichers zu verhindern.

Dateien mit geringer


Datendichte (Sparse
Files)

In bestimmten Anwendungsfllen hat man es mit Dateien zu tun, in


denen nur sehr wenige Datenwerte stehen. Mit diesen Sparse Files ist
es mglich, nur diese Datenwerte und nicht auch den Leerraum dazwischen abzuspeichern.

Alternative Datenstrme (Alternate


Data Streams)

Es ist mglich, zu einer Datei mehr als nur die reinen Nutzdaten abzuspeichern. Diese ADS-Daten knnen nur ber spezielle Funktionen
gelesen werden, sodass sie fr normale Dateifunktionen unsichtbar
bleiben. Ein Beispiel sind die Links im Favoriten-Ordner des Internet
Explorers. Das Symbol einer Webseite ist im ADS der .url-Datei gespeichert.

Unicode-Zeichensatz

Die Namen von Dateien und Verzeichnissen knnen mit dem UnicodeZeichensatz angegeben werden. Dies hat zur Folge, dass deutsche
Umlaute oder andere fremdsprachige Zeichenstze in den Namen verwendet werden knnen.

Analysepunkte

Anwendungen knnen gezielt Aktionen im Dateisystem berwachen,


und beim Vorliegen bestimmter Rahmenbedingungen werden aus
dem Dateisystemtreiber heraus Routinen der Anwendung aufgerufen.
Auf diese Weise knnen einfach zustzliche Funktionalitten des
Dateisystems implementiert werden.

Tabelle 6.3: Fhigkeiten von NTFS (Forts.)

Die kleinste Verwaltungseinheit eines NTFS-Dateisystems ist der Cluster,


eine Folge von Sektoren auf einem Datentrger. Die Gre eines Clusters
wird bei der Formatierung festgelegt (siehe den Abschnitt 6.4 ab Seite
309), die Gre eines Sektors ergibt sich aus der verwendeten Hardware
des Datentrgers (im Allgemeinen 512 Byte).

281

Kapitel 6 Daten, Datentrger und Dateisysteme

Die Master File Table


Alles ist eine
Datei

Die Verwaltungsinformationen von NTFS werden selber in Form von


Dateien abgespeichert, die sich wiederum auf dem NTFS-Datentrger befinden. Diese Dateien lassen sich von normalen und administrativen Benutzern
nicht ansehen oder bearbeiten, man erkennt jedoch, dass bestimmte Dateinamen bereits belegt sind. Dreh- und Angelpunkt aller NTFS-Laufwerke ist
die Master File Table (MFT), die unter dem Namen $mft im Wurzelverzeichnis jedes NTFS-Volumes liegt.
C:>dir > \$mft
Zugriff verweigert

Von der MFT existieren mindestens zwei Exemplare auf dem Datentrger
(erkennbar in der Ausgabe von fsutil fsinfo ntfsinfo in Listing 6.2). Die Kopie
hat den Namen \$MftMirr (erkennbar an der Ausgabe von fsutil volume
querycluster mit den beiden Angaben fr MFT-Start-LCN und MFT2-StartLCN). Die Kopie ist nicht vollstndig, sondern enthlt nur die ersten vier
Eintrge ($Mft, $MftMirr, $Logfile und $Volume) der MFT.
Listing 6.2
Informationen
ber die MFT

>fsutil fsinfo ntfsinfo c:\


...
MFT-Start-LCN :
MFT2-Start-LCN :
MFT-Zonenstart :
MFT-Zoneende :
...
>fsutil volume querycluster
Cluster 0x00000000000c0000,
>fsutil volume querycluster
Cluster 0x0000000000000002,

0x00000000000c0000
0x0000000000000002
0x000000000021aaa0
0x000000000021dc60
c: 0x00000000000c0000
verwendet von -S--D \$Mft::$DATA
c: 0x0000000000000002
verwendet von -S--D \$MftMirr::$DATA

Im Gegensatz zur FAT, die immer am Anfang eines Datentrgers gespeichert wird, kann die MFT prinzipiell berall auf der Platte angelegt werden, im Allgemeinen wird sie in der Mitte des Datentrgers angelegt. In
frheren Versionen von Windows wurde dafr 12,5 % des Plattenplatzes
fr die MFT reserviert, seit Windows Vista wird initial eine Gre von
200 MB festgelegt. In diesem reservierten Bereich werden zunchst keine
Dateien angelegt, um eine Fragmentierung der MFT bei deren Wachstum
zu vermeiden. Dieser Bereich wird als MFT-Zone bezeichnet (siehe
Angaben zu Start und Ende in Listing 6.2). Die Gre dieser Zone lsst
sich durch den Wert NtfsMftZoneReservations im Schlssel HKLM\
SYSTEM\CurrentControlSet\Control\FileSystem kontrollieren, siehe
hierzu den Artikel [MFT].

Zeitstempel
Fr jede Datei auf dem System wird ein Eintrag (Record) fr die zur Datei
gehrigen Verwaltungsinformationen in der MFT angelegt. Sofern die
Datei klein genug ist, wird sie direkt in diesem Eintrag mit abgespeichert.
Zu den Verwaltungsinformationen gehren unter anderem die Zeitangaben, wobei NTFS hier drei unterschiedliche Zeitstempel verwaltet: Zeit

282

Daten und Dateisysteme

der Erzeugung (create time), Zeit des letzten schreibenden Zugriffs (write
time) und Zeit des letzten lesenden Zugriffs (access time). Die drei Zeitangaben kann man beim DIR-Befehl mit den Optionen /TC, /TW und /TA
getrennt ausgeben lassen. Ohne Angabe wird immer die write time ausgegeben.
C:\Users\adm>dir /tc test.txt
26.08.2009 09:43
1.477 test.txt
C:\Users\adm>dir /tw test.txt
26.08.2009 09:44
1.477 test.txt
C:\Users\adm>dir /ta test.txt
30.08.2009 00:29
1.477 test.txt

Aus Effizienzgrnden ist die Vernderung der Zeit des lesenden Zugriffs
deaktiviert. Dies lsst sich mit dem Befehl fsutil behavior query DisableLastAccess ndern.
Fr gelschte Dateien wird der betreffende MFT-Record wieder freigegeben, um erneut belegt zu werden. Er wird jedoch nicht von der MFT entfernt, sodass die MFT im Laufe der Zeit immer grer wird.

Reicht der Platz innerhalb des MFT-Records nicht fr die Nutzdaten der
Datei aus (ab circa 1.400 Byte), werden fr diese separate Cluster reserviert. In der MFT wird dann ein Zeiger auf die derartig zugeteilten Cluster
notiert. Eine derartige Folge von Datenclustern wird auch als Lauf (data
rum) bezeichnet. Wchst die Datei und mssen weitere Cluster hinzugefgt werden, kann es passieren, dass man den Lauf nicht weiter erweitern kann, weil er auf Cluster stt, die bereits von anderen Dateien belegt
sind. In diesem Fall wird ein neuer Lauf angefangen und in den MFTRecord eingetragen. Man spricht in diesen Fall davon, dass die Datei fragmentiert ist. Werden so viele Lufe angelegt, dass die Informationen ber
die Lufe nicht mehr in den ursprnglichen MFT-Record passen, wird ein
neuer MFT-Record angelegt, der die Informationen aufnimmt. Trotz dieser
mglichen Fragmentierung erfolgt der Zugriff auf die Datei trotzdem
noch relativ zgig, da ein Zugriff auf ein bestimmtes Element der Datei
recht schnell in der Kette der Lufe identifiziert werden kann, ohne wie
bei FAT die Kette der Cluster schrittweise abarbeiten zu mssen.

Verzeichnisse bei NTFS


Ein Verzeichnis ist bei NTFS im Grunde genommen zunchst nur eine
Datei mit speziellen Attributen. Auch hier werden kurze Verzeichnisse
komplett in ihren zugehrigen MFT-Record gespeichert. In dem Record liegen dann Verweise auf die MFT-Records, die die Informationen ber die
einzelnen Dateien enthalten. Bei greren Verzeichnissen mit vielen enthaltenen Dateien werden entsprechend mehr MFT-Records belegt. Durch die
Anordnung der einzelnen Dateien innerhalb der jeweiligen MFT-Records
ergibt sich eine Baumstruktur der Eintrge.

283

Kapitel 6 Daten, Datentrger und Dateisysteme

Bei NTFS ist auch das Wurzelverzeichnis eines Volumes ein Verzeichnis wie jedes andere auch. Dies bedeutet, dass, im Gegensatz zu FAT12 und FAT-16, die maximale Anzahl der Verzeichniseintrge im Wurzelverzeichnis nicht begrenzt ist. Bei FAT-12 und FAT-16 betrgt die
maximale Anzahl von Eintrgen ins Wurzelverzeichnis 512 Eintrge,
wobei Eintrge mit langen Namen auch mehr als einen Eintrag verbrauchen knnen.
Weitere Dateien und Verzeichnisse, die NTFS fr die eigene Verwaltung
verwendet und in den ersten Records der MFT speichert sind:
$logfile Enthlt Logeintrge ber alle auf der Platte durchgefhrten
Aktionen. Kann im Fehlerfall oder bei Systemabstrzen dazu verwendet werden, um entstandene Fehler im Dateisystem zu reparieren.
$volume Enthlt Informationen ber den Namen des Datentrgers, die
Version des NTFS-Dateisystems und die Information, ob das Volume
ordnungsgem heruntergefahren wurde.
$AttrDef Informationen ber Attribute des Dateisystems.
. Der Eintrag . (dot) bildet das Wurzelverzeichnis des Dateisystems.
$Bitmap Enthlt eine Bitmap, die den Belegungsstatus jedes einzelnen
Clusters auf dem Datentrger widerspiegelt.
$boot Enthlt auf startfhigen Datentrgern den Bootsektor und den
Bootcode zum Start des Betriebssystems.
$BadClus Enthlt Informationen ber beschdigte Cluster auf dem
Datentrger. Diese werden zuknftig nicht mehr vom System verwendet.
$Secure Enthlt Sicherheitsinformationen.
$Upcase Enthlt zur Generierung der 8.3-Dateinamen eine Umwandlungstabelle, die fr die Unicode-Zeichen der NTFS-Dateinamen den
entsprechenden DOS-tauglichen Grobuchstaben enthlt.
$Extend Bildet ein Verzeichnis, in dem weitere Verwaltungsinformationen stehen, zum Beispiel die Informationen fr die Kontingentverwaltung.
Verborgene
Informationen

Listing 6.3
Die ersten Eintrge
in der MFT

284

Einen tieferen Einblick in den Aufbau der MFT kann man mit dem Programm nfi.exe gewinnen, das ber die Adresse [OEM] als Bestandteil der
OEM Support Tools heruntergeladen werden kann. In der hier gezeigten
Form listet es in aufsteigender Reihenfolge die einzelnen Records in der
MFT auf.
nfi c:
NTFS File Sector Information Utility.
Copyright (C) Microsoft Corporation 1999. All rights reserved.
File 0
Master File Table ($Mft)
$STANDARD_INFORMATION (resident)
$FILE_NAME (resident)
$DATA (nonresident)
logical sectors 6291456-6376959 (0x600000-0x614dff)
logical sectors 17596352-17651135 (0x10c7fc0-0x10d55bf)

Daten und Dateisysteme


$BITMAP (nonresident)
logical sectors 6291448-6291455 (0x5ffff8-0x5fffff)
logical sectors 2597256-2597279 (0x27a188-0x27a19f)
File 1
Master File Table Mirror ($MftMirr)
$STANDARD_INFORMATION (resident)
$FILE_NAME (resident)
$DATA (nonresident)
logical sectors 16-23 (0x10-0x17)
File 2
Log File ($LogFile)
$STANDARD_INFORMATION (resident)
$FILE_NAME (resident)
$DATA (nonresident)
logical sectors 6027928-6158999 (0x5bfa98-0x5dfa97)
File 3
DASD ($Volume)
$STANDARD_INFORMATION (resident)
$FILE_NAME (resident)
$OBJECT_ID (resident)
$SECURITY_DESCRIPTOR (resident)
$VOLUME_NAME (resident)
$VOLUME_INFORMATION (resident)
$DATA (resident)

Plattenplatzberwachung
Auch in der heutigen Zeit haben Festplatten die unangenehme Eigenschaft, Platten sind
irgendwann voll zu sein. Insbesondere auf Systemen, die von vielen Benut- immer zu klein
zern gleichzeitig verwendet werden, muss ein Administrator immer darauf
achten, dass nicht einzelne Benutzer bermig viel Platz mit ihren Dateien
belegen. Um diesen Prozess zu automatisieren, hat man ein System zur Kontingentverwaltung auf Datentrgern (Quota) eingerichtet. Generell unterscheidet man immer zwischen zwei Grenzen: einer weichen und einer harten
Grenze. Die weiche Grenze kennzeichnet einen Wert, ab dem die Plattenbelegung nicht mehr als normal angesehen wird, unter Windows wird dies als
Warnstufe bezeichnet. Die harte Grenze ist jene, ab der ein Benutzer damit
rechnen muss, dass er keine weiteren Daten mehr abspeichern kann.
Ausgangspunkt der Verwaltung ist immer der Datentrger, auf den sich
die Kontingentangabe bezieht. Es ist also nicht mglich, die Platzbelegung
nur in einem Unterverzeichnis festzulegen. Starten Sie deshalb zunchst
ber Start/Computer den Blick auf smtliche Laufwerke des Systems. Dann
whlen Sie das gewnschte Laufwerk aus und ffnen die Eigenschaften
und dort dann die Registerkarte Kontingent. Alternativ knnen Sie auch die
Eigenschaften ber das Kontextmen des Datentrgers in der Datentrgerverwaltung aufrufen. Fr die weiteren Aktionen mssen Sie ber administrative Berechtigungen verfgen oder sich diese ber die Schaltflche Kontingenteinstellungen anzeigen zunchst beschaffen.

285

Kapitel 6 Daten, Datentrger und Dateisysteme

Zunchst werden die Datentrgerkontingente deaktiviert sein. Aktivieren


Sie diese, indem Sie das Kontrollkstchen Kontingentverwaltung aktivieren
einschalten. Diese Aktion kann insbesondere bei greren Laufwerken
geraume Zeit dauern und muss deshalb separat besttigt werden.
Abbildung 6.11
Kontingentverwaltung wirklich
nutzen?

Wie geht man


mit DateiMessies um?

Abbildung 6.12
Einstellungen der
Kontingentverwaltung

286

Im Dialogfeld knnen bei aktivierter Kontingentverwaltung nun folgende


Einstellungen vorgenommen werden:
Speicherplatz bei berschreitung der Kontingentgrenze verweigern Sobald
ein Benutzer versucht, mehr Speicher anzufordern, als ihm als Grenzwert zugewiesen wurde, verweigert das System die Zuweisung von
mehr Speicher. Das betroffene Anwendungsprogramm erhlt eine entsprechende Fehlermeldung.
Speicherplatz beschrnken auf Die Einstellung hier betrifft nur die
Aktionen neuer Benutzer, fr die noch keine eigene Grenze festgelegt
wurde. Sobald ein derartiger Benutzer das erste Mal auf den Datentrger zugreift, bekommt er diese Grenzwerte zugewiesen. Es ist nicht
mglich, nur eine Grenze zuzuweisen.
Ereignis bei berschreitung der Kontingentgrenze protokollieren Sobald
das System feststellt, dass ein Benutzer die jeweilige Grenze berschritten hat, kann eine Meldung in das Ereignisprotokoll geschrieben
werden. Auf diese Weise kann ein Administrator schnell einen berblick ber den Zustand der Kontingentverwaltung bekommen.

Daten und Dateisysteme

ber die Schaltflche Kontingenteintrge erhlt man Einblick in die aktuell


von den Benutzern belegte Datenmenge und ihre Grenzwerte. Beim
Betrachten von Abbildung 6.13 fllt auf, dass aktuell nur der Benutzer user3
ein begrenztes Kontingent zugewiesen bekommen hat. Dies liegt darin
begrndet, dass die anderen Benutzer bereits Daten auf dem Datentrger
abgelegt hatten, bevor die Kontingentverwaltung aktiviert wurde. Der
Benutzer user3 hat erst danach erstmalig auf den Datentrger zugegriffen
und bekam deshalb die Grenzwerte fr neue Benutzer zugewiesen.
Abbildung 6.13
Kontingente sind
festgelegt.

Per Doppelklick auf einen der Eintrge oder die Menfunktion Kontingent/
Eigenschaften lassen sich die aktuellen Grenzen des betreffenden Benutzers
verndern. Auch hier gilt wieder, dass man immer beide Grenzwerte setzen muss. Fr Benutzer, die noch nicht auf den Datentrger zugegriffen
haben oder die andere Grenzen als die Standardwerte fr neue Benutzer
zugewiesen bekommen sollen, kann man ber das Symbol Neuer Kontingenteintrag oder die entsprechende Funktion aus dem Men Kontingent
auch vorab bereits einen entsprechenden Eintrag anlegen.

Abbildung 6.14
Einstellung der
Kontingente fr
einen Benutzer

Durch Markieren einer oder mehrerer Eintrge und Ausfhren der Funk- Bericht zur Lage
tion Bearbeiten/Kopieren kann eine Darstellung der Daten in Textform in der Platte
die Zwischenablage bertragen werden, zum Beispiel zur Verwendung
in Dokumentationen ber das jeweilige System.

287

Kapitel 6 Daten, Datentrger und Dateisysteme


Listing 6.4
Kopie der QuotaEintrge in der
Zwischenablage

Kontingenteintrge fr Volume (I:)


Status
Name Anmeldename
Belegter Speicher (MB)
Kontingentgrenze (MB) Warnstufe (MB) Prozent belegt
Begrenzung berschritten user2 win7\user2 3,1
2
1
155
Warnung user3 user3@contoso.com 1,83
2
1
91
OK
user2 user2@contoso.com 0
3
1,5
0
OK
adm
adm@contoso.com 0
Unbegrenzt
Unbegrenzt Nicht zutreffend

Aus der Aufstellung aus Listing 6.4 lsst sich erkennen, dass Benutzer
win7\user2 seine Kontingentgrenze berschritten hat. Dies kann durch
zwei Aktionen passieren: Entweder ist das Kontrollkstchen Speicherplatz
bei berschreitung der Kontingentgrenze verweigern nicht aktiviert, oder die
Grenze wurde manuell herabgesetzt. ber die Befehle Kontingent/Importieren und Kontingent/Exportieren kann eine maschinenlesbare Darstellung
der Kontingenteintrge in einer separaten Datei erzeugt werden, etwa
um die Eintrge auf einem anderen Laufwerk zu restaurieren.
Abbildung 6.15
Kontingentereignisse in der
Ereignisanzeige

In der Ereignisanzeige knnen die Ereignisse der Kontingentverwaltung im


Systemprotokoll unter der Ereignisquelle Ntfs angesehen werden. Ein Benutzer, fr den ein Kontingent auf einem Laufwerk angelegt wurde, sieht nicht
mehr die tatschliche freie Gre des Laufwerks, sondern nur noch den
Platz, der ihm durch sein Kontingent zur Verfgung steht.
Es ist nicht mglich, ber die GUI einer Gruppe ein Kontingent zuzuweisen, das dann fr alle Mitglieder der Gruppe gemeinsam gilt. Man
kann jedoch mit dem Befehl fsutil (siehe den Abschnitt 6.6.2 ab Seite
322) ein Kontingent auf eine Gruppe setzen. Dies gilt jedoch dann nur
fr die Dateien, deren Besitzer die Gruppe direkt ist.

288

Daten und Dateisysteme


Abbildung 6.16
Platzbeschrnkung
durch Kontingente

Alternate Data Streams


Als ADS (Alternate Data Stream) bezeichnet man eine Technik, bei der zu
einer Datei weitere Daten gespeichert werden, die fr die normalen Dateioperationen wie Lesen und Schreiben quasi unsichtbar sind. Gleichzeitig
sind sie aber direkt mit der Datei gekoppelt, sodass sie beispielsweise vom
Kopieren ebenfalls mit erfasst werden. Mglich ist diese Technik nur bei
NTFS, bei FAT wird sie nicht untersttzt. Dies hat auch zur Folge, dass man
diese ADS mit Programmen, die nicht speziell fr NTFS entwickelt wurden, nicht bearbeiten oder entdecken kann. Gleichfalls mssen diese Programme aber darauf achten, dass sie solche Daten nicht bearbeiten knnen,
wenn sie diese von einem FAT-Datentrger beziehen.

Um anzuzeigen, welche Dateien mit derartigen ADS versehen sind, kann Verborgenes
man die Option /R des Befehls DIR oder das Programm Streams von Sysin- sichtbar machen
ternals (siehe [SYS]) verwenden. Um die Streams zu sehen und ihren Inhalt
zu manipulieren oder sie zu lschen, dient das Programm AlternateStreamView von [ASV]. Windows selbst verwendet ADS zum Beispiel im Internet
Explorer. Hier werden die Symbole der Favoriten in ADS gespeichert und
eine Information ber die Herkunft einer heruntergeladenen Datei hinterlegt.
>\streams Autoruns.zip
Streams v1.56 - Enumerate alternate NTFS data streams
Copyright (C) 1999-2007 Mark Russinovich
Sysinternals - www.sysinternals.com
C:\Users\adm\Downloads\Autoruns.zip:
:Zone.Identifier:$DATA
26

Listing 6.5
Geheime Daten
in ADS

>more < Autoruns.zip:Zone.Identifier:$DATA


[ZoneTransfer]
ZoneId=3

289

Kapitel 6 Daten, Datentrger und Dateisysteme

>dir
26.08.2009 09:43
1.477 test.txt
17.07.2009 10:22
791.393 badapp.exe
0 Verzeichnis(se), 13.211.062.272 Bytes frei
>type badapp.exe > test.txt:geheim
>dir test.txt
26.08.2009 09:44
1.477 test.txt
0 Verzeichnis(se), 13.210.251.264 Bytes frei
> streams test.txt
Streams v1.56 - Enumerate alternate NTFS data streams
Copyright (C) 1999-2007 Mark Russinovich
Sysinternals - www.sysinternals.com
C:\Users\adm\test.txt:
:geheim:$DATA 791393
C:\Users\adm>dir /r test*
26.08.2009 09:44
1.477 test.txt
791.393 test.txt:geheim:$DATA

In Listing 6.5 knnen Sie folgende Aktionen sehen:


Mit dem Programm Streams wird berprft, ob die Datei Autoruns.zip
mit ADS versehen ist. Das Programm listet einen gefundenen Stream
mit dem Namen Zone.Identifier:$DATA auf. Dieser wird danach ber
Eingabeumleitung an das Programm more bergeben und ausgegeben. Sie sehen den Inhalt ZoneId=3.
Im zweiten Teil wird die Anwendung badapp.exe ber Ausgabeumleitung in den ADS test.txt:geheim der Datei test.txt gespeichert. Die
Dateilnge verndert sich dadurch nicht, aber Sie knnen erkennen,
dass der freie Plattenplatz sich von 13.211.062.272 auf 13.210.251.264
Byte verringert, die Differenz von 811.008 Byte entspricht in etwa der
Gre der im ADS gespeicherten Daten, zuzglich etwas Verschnitt
durch Clustergren. Mit dem Befehl DIR /R knnen Sie sehen, dass
der ADS keinen eigenen Zeitstempel besitzt.
Weder type noch more verstehen ADS-Namen, deshalb wird in den
Beispielen jeweils mit der Ein-/Ausgabeumleitung des Kommandoprozessors gearbeitet. Das Problem ist hierbei die Namenskonvention
Dateiname Doppelpunkt ADS-Name, da der Doppelpunkt sonst bei
Dateinamen nur am Anfang als Kennzeichnung des Laufwerksbuchstaben verwendet wird.
Die Datei kommt
aus Feindesland

290

Die Zoneninformation verwendet der Explorer zum Beispiel, um zu entscheiden, ob eine Datei sicher ist oder nicht. Eine mit der angegebenen Info
ist fr ihn nicht sicher, und er zeigt dies entsprechend auch in den Eigenschaften der Datei an. Mit der Schaltflche Zulassen wird der ADS gelscht.
Eine ausfhrbare Datei mit einem derartigen ADS fhrt der Explorer nicht
aus, sondern prsentiert eine Warnmeldung, die der Benutzer erst besttigen muss.

Daten und Dateisysteme


Abbildung 6.17
Unsichere Datei
dank ADS

6.3.3

NTFS Berechtigungen

ndern

Lesen & Ausfhren

Verzeichnis auflisten

Ordner auflisten/Daten lesen

Attribute lesen

Schreiben

Vollzugriff

Ordner durchsuchen/Datei ausfhren

Lesen

Erweiterte Berechtigung

Zu jeder Datei und zu jedem Verzeichnis verwaltet NTFS eine Zugriffskon- Wer darf was?
trollliste (ACL, Access Control List). In dieser Liste ist vermerkt, welche
Benutzer und Gruppen welche Aktionen mit dem betreffenden Objekt ausfhren oder nicht ausfhren drfen. Zustzlich wird auch noch vermerkt,
wer der Besitzer der Datei oder des Verzeichnisses ist, im Normalfall ist
dies derjenige, der die Datei auch angelegt hat. Beim Anlegen einer neuen
Datei erhlt diese als Zugriffsrechte zunchst die vererbten Zugriffsrechte
des Ordners zugewiesen, in dem die Datei angelegt wird. Die Berechtigungen werden bei NTFS in zwei Stufen dargestellt, eine Basisstufe mit einer
eher groben Einteilung der Berechtigungen und einer erweiterten Stufe mit
sehr detaillierten Einstellungen. Die einzelnen Basisstufen beinhalten die
folgenden erweiterten Stufen:

Tabelle 6.4: Zusammenhang zwischen einfachen und erweiterten Berechtigungen

291

Vollzugriff

ndern

Lesen & Ausfhren

Verzeichnis auflisten

Lesen

Erweiterte Attribute lesen

Dateien erstellen/Daten schreiben

Ordner erstellen/Daten anhngen

Attribute schreiben

Erweiterte Attribute schreiben

Lschen

Unterordner und Dateien lschen

Berechtigungen lesen

Berechtigungen ndern

Besitz bernehmen

Schreiben

Erweiterte Berechtigung

Kapitel 6 Daten, Datentrger und Dateisysteme

Tabelle 6.4: Zusammenhang zwischen einfachen und erweiterten Berechtigungen


(Forts.)

Die Berechtigung Lesen & Ausfhren beinhaltet die Berechtigung Lesen, die
Berechtigung ndern die Berechtigungen Lesen & Ausfhren und Schreiben.
Zulassen oder
verweigern?

Jede einzelne Berechtigung kann entweder Zugelassen oder Verweigert werden. Hierbei haben Verweigerungen immer Prioritt gegenber Zulassungen. Besitzt ein Benutzer also als Mitglied einer Gruppe das Recht zur
nderung und ist ihm als Benutzer das Recht Attribute schreiben verweigert, besitzt er alle in der Spalte ndern aufgefhrten Rechte mit Ausnahme
des einen speziellen Rechts. Sobald man eine entsprechende Berechtigung
setzt, wird man auf diesen Umstand extra hingewiesen.

Abbildung 6.18
Zugriffsverweigerungen haben
Vorfahrt!

Bestimmte Aktionen knnen durch mehrere Berechtigungen ermglicht


werden. Um beispielsweise eine Datei zu lschen, muss er entweder fr
die Datei das Recht Lschen besitzen, oder er bentigt fr den Ordner, in
dem die Datei liegt, das Recht Unterordner und Dateien lschen.

292

Daten und Dateisysteme

Zu beachten ist der Unterschied zwischen den Aktionen Lesen und Ausfhren. Fr echte ausfhrbare Programme (also .com- und .exe-Dateien)
besteht ein Unterschied, ob eine Datei vom Datentrger gelesen wird, um
ausgefhrt zu werden, oder ob eine Kopie der Datei angelegt werden soll.
Fr Skriptdateien (zum Beispiel .cmd-Dateien) ist jedoch nur die Berechtigung zum Lesen relevant, da diese Dateien nicht zum Ausfhren in den
Speicher geladen werden. Diese Dateien werden vom Kommandointerpreter (zum Beispiel cmd.exe) als normale Datendatei eingelesen. Den
Ablauf einer solchen Skriptdatei kann man also nicht dadurch verhindern, dass man die Berechtigung zur Ausfhrung entzieht.

Vererbung
Um nicht fr jede Datei einzeln Berechtigungen vergeben zu mssen, Was du ererbt
existiert das Konzept der Vererbung. Hierbei erhalten Objekte in einem hast von deinen
Container (ein Verzeichnis) automatisch bestimmte Berechtigungen ber- Containern ...
tragen, sobald sie dort neu angelegt werden. Mchte man nun ein derartiges ererbtes Recht verndern, hat man nur die Mglichkeit, zustzliche
Berechtigungen zu vergeben, wahlweise als Erlaubnisse oder Verweigerungen. Berechtigungen zu entfernen geht auf diese Weise nicht!
Betrachten Sie dazu ein Beispiel: Einem Benutzer A wurde die Berechtigung
Schreiben auf einem Verzeichnis V1 verweigert. Nun soll ihm das Schreiben auf einem Unterverzeichnis V1\V2 erlaubt werden. Zwar kann man
ihm die Berechtigung Schreiben auf V1\V2 erteilen, diese steht jedoch im
Widerspruch zu der ererbten Berechtigung Schreiben:verweigert, und
diese hat bekanntermaen Vorrang. Um dieses Problem zu umgehen, gibt
es die Mglichkeit, die Vererbung aufzulsen, womit das Objekt mit einer
neuen ACL ohne Altlasten starten kann. Bei dem Vorgang bekommt man
die Mglichkeit, die bestehende ACL zu kopieren, um dann einfacher die
gewnschten nderungen durchfhren zu knnen.

Berechtigungen kontrollieren und manipulieren


In den Eigenschaften einer Datei existieret eine ganze Reihe von Dialog- Vertrauen ist gut,
feldern, mit denen die Berechtigungen einer Datei angesehen und mani- Kontrolle ist
puliert werden knnen. Der Einstieg erfolgt immer ber die Registerkarte besser!
Sicherheit der Dateieigenschaften.
Im oberen Teil des Dialogfeldes aus Abbildung 6.19 sieht man alle Benutzer
und Gruppen, denen spezielle Berechtigungen auf dem jeweiligen Objekt
zugewiesen wurden. Sobald im oberen Teil ein Benutzer oder eine Gruppe
selektiert wurde, wird im unteren Teil der Status der einfachen Berechtigungen angezeigt. Sobald die Kombination der erweiterten Berechtigungen
nicht mehr zu einer der Basisberechtigungen passt, erscheint ein Hkchen
bei Spezielle Berechtigungen. Hkchen, die eher blass dargestellt werden,
kennzeichnen ererbte Berechtigungen, eher dunkle Hkchen kennzeichnen
direkt zugewiesene Berechtigungen. In der Abbildung 6.19 kann man beispielsweise sehen, dass die Zulassung fr die Berechtigung Schreiben
ererbt, die Verweigerung jedoch direkt zugewiesen wurde.

293

Kapitel 6 Daten, Datentrger und Dateisysteme


Abbildung 6.19
Kontrolle der
Berechtigungen

Durch Bettigung der Schaltflche Bearbeiten kann man die Basisberechtigungen verndern. Oben im Dialogfeld von Abbildung 6.20 stehen wieder
die einzelnen Gruppen oder Benutzernamen. Selektiert man eine davon,
werden im unteren Teil die entsprechenden Berechtigungen angezeigt
und knnen mit den Kontrollkstchen verndert werden.
Abbildung 6.20
Basisberechtigungen verndern

Hierbei lassen sich aber nicht alle davon bearbeiten. Hier sieht man, dass
zum Beispiel das Kstchen ndern in der Spalte Zulassen einen Haken hat,
dieser aber ausgegraut ist und er sich somit nicht entfernen lsst. Dies
bedeutet, dass die Berechtigung ererbt ist und deshalb nicht entfernt werden kann. Das Kstchen Vollzugriff ist in beiden Spalten aktivierbar, da
dieses Recht nicht vererbt worden ist. Gleiches gilt fr die Verweigerungen der brigen Rechte. ber die Schaltflche Hinzufgen lassen sich neue
Benutzer- und Gruppennamen hinzufgen, wahlweise aus dem lokalen
System oder aus dem Active Directory, sofern das System Mitglied einer

294

Daten und Dateisysteme

Domne ist. Entfernen lassen sich Benutzer, indem sie selektiert werden
und danach die Schaltflche Entfernen bettigt wird. Dies kann allerdings
nur erfolgen, sofern der betreffende Benutzer oder die Gruppe nicht ber
Vererbung auf die ACL gekommen ist.
Abbildung 6.21
Vererbte Berechtigungen bleiben
erhalten.

Erweiterte Sicherheitseinstellungen
Im unteren Teil des Dialogfeldes aus Abbildung 6.19 knnen Sie durch Bet- Erweiterte
tigung der Schaltflche Erweitert die erweiterten Berechtigungen sowie die Sicherheit
Vererbung einstellen. Im Dialogfeld sehen Sie alle Eintrge der ACL. Fr
jeden Eintrag knnen Sie in den einzelnen Spalten der Anzeige Folgendes
erkennen:
Ob es sich um eine Zulassung oder eine Verweigerung handelt.
Auf welchen Benutzer oder welche Gruppe sich die Zeile bezieht.
Welche Berechtigung erteilt wird. Sofern hier wieder die Kombination
der erweiterten Berechtigungen nicht zu einer der Basisberechtigungen passt, wird Speziell angezeigt.
Die Angabe Geerbt von gibt an, von welchem Verzeichnis die Einstellung geerbt wurde. Dies muss nicht zwingend das aktuelle Verzeichnis
sein, in dem das Objekt liegt, sondern kann auch ein weiter oben im
Dateibaum liegendes Verzeichnis sein. Wenn keine Vererbung stattgefunden hat und die Angabe direkt dem Objekt zugewiesen wurde,
steht hier <nicht geerbt>.

Abbildung 6.22
Erweiterte Berechtigungen

295

Kapitel 6 Daten, Datentrger und Dateisysteme

Mit der Schaltflche Berechtigungen ndern gelangt man zu einem Dialogfeld, das dem bisherigen ziemlich hnlich scheint.
Abbildung 6.23
Erweiterte Berechtigungen ndern

Mit den drei Schaltflchen unter der Liste der Eintrge in der ACL kann
man die Liste manipulieren:
Hinzufgen Ein neuer Eintrag fr einen Benutzer oder eine Gruppe
wird hinzugefgt.
Bearbeiten Der in der Liste markierte Eintrag wird zum Bearbeiten
angezeigt. Ein Eintrag, der nicht geerbt wurde, kann komplett bearbeitet werden. Bei einem geerbten Eintrag knnen prinzipbedingt nur
Eintrge hinzukommen. Diese werden dann als neue Zeile in die Liste
aufgenommen.
Entfernen Es knnen nur Eintrge entfernt werden, die nicht geerbt
wurden.
Mit dem Kontrollkstchen Vererbbare Berechtigungen des bergeordneten
Objektes einschlieen kann eine bestehende Vererbung aufgehoben beziehungsweise eingerichtet werden. Hebt man die Vererbung auf, hat man die
Mglichkeit, entweder alle geerbten Berechtigungen zu bernehmen oder
sie zu entfernen, sodass nur die aktuell nicht geerbten Berechtigungen
erhalten bleiben.
Abbildung 6.24
Nicht vererben,
sondern behalten?

Wenn Sie das Dialogfeld aus Abbildung 6.23 mit den Schaltflchen OK
oder bernehmen besttigen, werden die nderungen sofort durchgefhrt, auch wenn Sie danach die Dialogfelder durch Abbrechen beenden.

296

Daten und Dateisysteme

Berechtigungen auf Verzeichnissen


Sofern es sich bei dem Objekt, dessen Berechtigungen gerade bearbeitet
werden, um ein Verzeichnis handelt, erscheint im Dialogfeld aus Abbildung 6.23 ein weiteres Kontrollkstchen.
Abbildung 6.25
Zusatzoption fr
Verzeichnisse

Mit dem Kontrollkstchen Alle Berechtigungen fr untergeordnete Objekte


knnen auf smtliche in dem Verzeichnis enthaltenen Unterverzeichnisse
und Dateien die Berechtigungen angewendet werden, die im aktuellen
Verzeichnis als vererbbar gekennzeichnet sind. Hierbei werden smtliche
bislang unterhalb explizit vergebenen Berechtigungen entfernt.
Abbildung 6.26
Erben ist nicht
problemlos

Diese Option, an falscher Stelle gesetzt, kann problemlos ausgefeilte


Berechtigungsstrukturen zerstren.
Beim Zuweisen von Berechtigungen zu Verzeichnissen kann man sehr
detailliert einstellen, wie sich diese Berechtigungen an welche Elemente vererben sollen. Fr jede der drei Gruppen (das Verzeichnis selber, Unterverzeichnisse, enthaltene Dateien) kann individuell bestimmt werden, ob die
Berechtigung auf das untergeordnete Element wirken sollen oder nicht.
Abbildung 6.27
Wer darf erben?

297

Kapitel 6 Daten, Datentrger und Dateisysteme


Geschickte
Erbschaften

Mit geschickter Vererbung lassen sich einige Aufgabenstellungen automatisieren, die anderweitig manuell von einem Administrator durchgefhrt
werden mssten. Folgende Aufgabenstellung ist zu erfllen:
Es gibt einen gemeinsamen Speicherbereich, in dem Benutzer Daten
ablegen sollen.
Andere Benutzer sollen keinen Zugriff auf die Daten erhalten.
Es soll den Benutzern aber ermglicht werden, selbst anderen Benutzern Zugang zu erteilen.
Um diese Aufgabe zu erfllen, befolgen Sie folgende Schritte:
1. Anlage eines neuen Ordners C:\Storage
2. Deaktivierung der Vererbung fr den Ordner, bernahme der bisherigen Berechtigungen
3. Die Berechtigungen fr SYSTEM und Administratoren belassen
4. Die Berechtigung fr Benutzer abndern auf:
bernehmen fr: Nur diesen Ordner
Berechtigungen: Ordner durchsuchen, Ordner auflisten, Ordner erstellen
5. Berechtigung fr ERSTELLER-BESITZER hinzufgen:
bernehmen fr: Nur Unterordner und Dateien
Berechtigungen: Vollzugriff
Das Sicherheitsobjekt ERSTELLER-BESITZER ist ein spezieller Benutzer, der bei der Erstellung eines neuen Objektes durch den aktuellen
Benutzer ersetzt wird.
Die Auswirkungen dieser Einstellungen sind folgende:
Im Ordner C:\Storage knnen die Benutzer keine Dateien anlegen,
sondern nur neue Ordner (Schritt 4).
Auf die neu angelegten Ordner haben zunchst nur Sie selbst Zugriff
(Schritt 5).
Sie knnen jedoch anderen Benutzern den Zugriff gestatten (die
Berechtigung Vollzugriff in Schritt 5 beinhaltet auch die Berechtigung
Berechtigungen ndern).

berwachung des Zugriffs


Die Mglichkeiten der Registerkarte berwachung werden in Kapitel 14
erklrt.

Besitzer berprfen und festlegen


Jede Datei und jedes Verzeichnis auf einem NTFS-Datentrger hat einen
Besitzer, der in dem Moment festgelegt wird, in dem das betreffende Objekt
angelegt wird. Bei einer unbekannten Datei, die Sie irgendwo im Verzeichnis finden, knnen Sie anhand des Besitzers zumindest eine Ahnung
bekommen, wer die Datei dort abgelegt hat. Im Explorer knnen Sie die

298

Daten und Dateisysteme

Spalte Besitzer zustzlich einblenden lassen. ber die Befehlszeile lsst sich
beim Befehl DIR mit der Option /Q die Anzeige des Benutzers erreichen:
C:\Users\Public\Documents>DIR /Q
Datentrger in Laufwerk C: ist Volume
Volumeseriennummer: 5A53-E976
Verzeichnis von C:\Users\Public\Documents
25.08.2009 15:49
<DIR>
VORDEFINIERT\Administra.
25.08.2009 15:49
<DIR>
VORDEFINIERT\Administra..
02.08.2009 12:44
509 win7lap\jochenr-admin dir.txt
25.08.2009 15:49
685 win7lap\kind
dir2.txt

Listing 6.6
Anzeige des Besitzers mit DIR

Bei der Anzeige von DIR /Q steht nur eine begrenzte Anzahl von Zeichen fr die Anzeige zur Verfgung, lngere Benutzernamen werden
abschnitten.
In den erweiterten Eigenschaften des Sicherheitsdialogfeldes im Explorer
kann man auf der Registerkarte Besitzer sowohl den aktuellen Besitzer
festlegen als auch einen neuen bestimmen.
Abbildung 6.28
Besitzer anzeigen
und ndern

Durch Bettigung der Schaltflche Bearbeiten in Abbildung 6.28 gelangt man


nach einer UAC-Abfrage zu einem Dialogfeld, mit dem man einen anderen
Benutzer des Objektes festlegen kann. Dies geht natrlich nur, wenn der ausfhrende Benutzer selbst die Berechtigung Besitz bernehmen innehat.

Anzeigen der effektiven Berechtigungen


Insbesondere bei ausgefeilten Berechtigungskonzepten, die mit vielen, auch
ineinander verschachtelten, Gruppen arbeiten, ist es manchmal schwierig
nachvollziehbar, welche Berechtigungen ein Benutzer oder eine Gruppe am
Ende tatschlich hat. Hierbei hilft die Registerkarte Effektive Berechtigungen.
Zunchst navigiert man zum fraglichen Objekt, dessen Berechtigungen man
berprfen mchte, und ruft dann das Dialogfeld auf.

299

Kapitel 6 Daten, Datentrger und Dateisysteme


Abbildung 6.29
Anzeige der effektiven Berechtigungen

Wer darf was?

Durch Bettigung der Schaltflche Auswhlen selektiert man den interessierenden Benutzer oder die Gruppe und bekommt dann im Feld Effektive
Berechtigungen angezeigt, welche Berechtigungen der gewhlte Benutzer
bzw. die gewhlte Gruppe in Bezug auf das Objekt hat. Sofern bei einer
Berechtigung kein Haken angezeigt wird, erhlt man allerdings keine
Informationen darber, ob dies durch eine Verweigerung oder durch eine
fehlende Erlaubnis passiert ist.

6.3.4

NTFS-Berechtigungen auf der


Kommandozeile

Um NTFS-Berechtigungen auf der Kommandozeile zu kontrollieren und zu


bearbeiten, diente bis einschlielich Windows Server 2003 SP1 das Programm cacls.exe. Mit Windows Server 2003 SP2 wurde ein erweiterter Nachfolger vorgestellt, das Programm icacls.exe. Das alte Programm ist aber weiterhin in Windows 7 vorhanden, sodass alte Skripte, die Berechtigungen
setzen, weiterhin funktionieren. In diesem Buch wird es aber nicht behandelt, es sei hierzu auf die Online-Hilfe cacls.exe /? verwiesen.

Anzeige der Berechtigungen mit icacls.exe


Ruft man icacls.exe mit dem Namen einer Datei oder eines Verzeichnisses
auf der Kommandozeile auf, erhlt man eine Textdarstellung der aktuell
vergebenen Berechtigungen. Diese Funktion ist genauso wie in cacls.exe
implementiert. Nach Angabe des zu prfenden Objektes knnen noch
zustzliche Parameter angegeben werden:
/T Zeigt nicht nur das Objekt an, sondern auch in dem Objekt enthaltene Unterverzeichnisse.
/C Arbeitet auch nach Fehlern weiter. Normalerweise wird die Verarbeitung abgebrochen, sobald ein Objekt nicht bearbeitet werden
kann.

300

Daten und Dateisysteme


/Q Am Ende der Verarbeitung wird keine zusammenfassende Statis-

tik der Aktionen ausgegeben.


/L Es werden auch die Informationen aus symbolischen Verknp-

fungen ausgegeben.
Die Ausgabe von icacls.exe sieht dann wie folgt aus:
>icacls c:\storage /t /c
c:\storage VORDEFINIERT\Administratoren:(OI)(CI)(F)
NT-AUTORITT\SYSTEM:(OI)(CI)(F)
VORDEFINIERT\Benutzer:(S,RD,AD,X)
ERSTELLER-BESITZER:(OI)(CI)(IO)(F)

Listing 6.7
Ausgabe des Kommandos icacls.exe

c:\storage\aclfile.txt VORDEFINIERT\Administratoren:(I)(F)
NT-AUTORITT\SYSTEM:(I)(F)
c:\storage\kind VORDEFINIERT\Administratoren:(I)(OI)(CI)(F)
NT-AUTORITT\SYSTEM:(I)(OI)(CI)(F)
win7lap\kind:(I)(F)
ERSTELLER-BESITZER:(I)(OI)(CI)(IO)(F)
c:\storage\kind-1 VORDEFINIERT\Administratoren:(I)(OI)(CI)(F)
NT-AUTORITT\SYSTEM:(I)(OI)(CI)(F)
win7lap\kind:(I)(F)
ERSTELLER-BESITZER:(I)(OI)(CI)(IO)(F)
...
c:\storage\kind\abc VORDEFINIERT\Administratoren:(I)(OI)(CI)(F)
NT-AUTORITT\SYSTEM:(I)(OI)(CI)(F)
win7lap\kind:(I)(F)
ERSTELLER-BESITZER:(I)(OI)(CI)(IO)(F)
...
9 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein
Verarbeitungsfehler aufgetreten.

Beim Betrachten der Ausgabe in Listing 6.7 fallen zwei Dinge auf:
Bei der Verarbeitung der Baumstruktur durch die Option / T werden nach
dem Basiselement (c:\storage) zunchst alle Elemente der oberen Ebene
(c:\storage\aclfile.txt, c:\storage\kind, c:\storage\kind-1) bearbeitet, bevor
dann in die zweite Ebene (c:\storage\kind\abc) gewechselt wird.
Bei der Auflistung der Berechtigungen werden diese in folgender Reihenfolge angezeigt: die explizit zugewiesenen Verweigerungen, die
expliziten Berechtigungen, die erworbenen Verweigerungen und die
erworbenen Berechtigungen. Bei einer Berechtigung folgt zuerst der
Name des Sicherheitsobjektes, dann ein Doppelpunkt und dahinter
eine Folge von in Klammern eingeschlossenen Berechtigungsmasken.
Hier ein Beispiel fr Verweigerungen (Zeilen 2 und 4) und direkt zuge- Verweigerte
wiesene Berechtigungen (Zeilen 2 und 3) und ererbte Berechtigungen Erlaubnisse
(Zeilen 3 bis 6).

301

Kapitel 6 Daten, Datentrger und Dateisysteme


Listing 6.8
Vererbungen
und direkte
Zuweisungen

1 >icacls datei.txt
2 datei.txt win7lap\kind3:(DENY)(S,REA,RA)
3
win7lap\kind2:(S,RD,AD)
4
win7lap\kind3:(I)(DENY)(S,AD)
5
win7lap\jochenr-admin:(I)(F)
6
NT-AUTORITT\SYSTEM:(I)(F)
7
VORDEFINIERT\Administratoren:(I)(F)

Zeilen mit einem (I) kennzeichnen ererbte Berechtigungen (inherited), die


weiteren Klammern mit einem I kennzeichnen die Weise, wie diese vererbt werden:
(OI). Einstellung wird auf Objekte (Dateien) vererbt.
(CI) Einstellung wird auf Container (Verzeichnisse) vererbt.
(IO) Einstellung wird nicht auf das Objekt angewandt, sondern nur
vererbt (inherit only).
(NP) Einstellung wird nur auf das Objekt angewandt und nicht vererbt (no propagation).
Zeilen mit (DENY) kennzeichnen Verweigerungen. Die restlichen Klammerpaare beschreiben Berechtigungen, mehrere Berechtigungen knnen in
einem Klammerpaar durch Kommata getrennt zusammengefasst werden.
Die einzelnen Berechtigungen knnen sowohl einfache als auch erweiterte
Berechtigungen sein.
Tabelle 6.5
Attributbezeichnungen fr icacls.exe

302

Basisberechtigung

Erweiterte Berechtigung

Lschen

AD

Ordner erstellen/Daten anhngen

Vollzugriff

AS

Systemsicherheitszugriff

ndern

DC

Unterordner und Dateien lschen

Kein Zugriff

DE

Lschen

Lesen

GA

Vollzugriff

RX

Lesen & Ausfhren

GE

Entspricht den erweiterten Berechtigungen RD, RA und RC

Schreiben

GR

Entspricht Basisberechtigung R

GW

Entspricht Basisberechtigung W

MA

Maximal zulssig

RA

Attribute lesen

RC

Berechtigungen Lesen

RD

Ordner auflisten/Daten lesen

REA

Erweiterte Attribute lesen

Synchronisieren

WA

Attribute schreiben

WD

Daten schreiben/Datei hinzufgen

WDAC

Berechtigungen schreiben

WEA

Erweiterte Attribute schreiben

WO

Besitz bernehmen

Ordner durchsuchen/Datei ausfhren

Daten und Dateisysteme

Die Berechtigung Synchronisieren hat nur Einfluss auf das Verhalten von
Multithreaded-Programmen auf entsprechenden Systemen mit mehreren
Prozessoren. Auf Dateien mit dieser Berechtigung knnen die Benutzer
mit Mitteln der Prozesssynchronisation zugreifen. Im Explorer wird dieses Attribut nicht angezeigt.
Die Attribute Systemsicherheitszugriff und Maximal zulssig knnen
zwar gesetzt werden, sind aber weder im Explorer noch bei der berprfung mit icacls.exe abrufbar. Ihre Funktion bleibt unklar. Generell ist
es nicht schn, dass die Online-Hilfe des Programms die Berechtigungen anders bezeichnet, als dies der Explorer in seinen Dialogfeldern tut.

Aktionen mit icacls.exe


Mit verschiedenen Aktionen lassen sich mittels icacls.exe die Berechtigungen einer oder mehrere Dateien und Verzeichnisse manipulieren. Die
genaue Syntax der Befehle knnen Sie der Online-Hilfe icacls.exe /? entnehmen.
/grant und /deny Mit den Optionen lassen sich Berechtigungen (/grant)
und Verweigerungen (/deny) zuweisen. Im Anschluss daran folgen der
Name eines Benutzers oder einer Gruppe, ein Doppelpunkt und die
betreffende Berechtigung. Das Format entspricht dem Format beim
Anzeigen der Berechtigungen.
/remove Das angefhrte Sicherheitsobjekt wird aus der ACL entfernt,
durch Hinzufgen von :g oder :d kann das Entfernen auf Erlaubnisse
oder Verweigerungen beschrnkt werden.
/save Die bestehenden ACL werden in eine Datei abgespeichert.
Zwei Dinge gilt es hierbei zu beachten:
Die Datei wird im Unicode-Format abgespeichert und kann deshalb auch nur mit einem entsprechen Unicode-geeigneten Editor
bearbeitet werden.
Die Sicherheitsobjekte werden mit ihrer SID dargestellt und nicht
mit ihrem Namen wie bei der Anzeige. Dies hat zur Folge, dass
diese Datei nicht so einfach auf anderen Computer importiert
werden kann.
Die Berechtigungen der in Listing 6.8 dargestellten Datei werden wie
folgt abgespeichert:

datei.txt
D:AI(D;;SWLO;;;S-1-5-21-2096581879-31003820493730528235-1004)(A;;0x100005;;;S-1-5-21-20965818793100382049-3730528235-1003)(D;ID;LC;;;S-1-5-212096581879-3100382049-3730528235-1004)(A;ID;FA;;;
S-1-5-21-2096581879-3100382049-37305282351000)(A;ID;FA;;;SY)(A;ID;FA;;;BA)

303

Kapitel 6 Daten, Datentrger und Dateisysteme

Dieses Format wird SDDL (Security Descriptor Definition Language)


genannt und an verschiedenen Stellen von Windows 7 verwandt. Eine
genaue Erklrung hierzu findet sich in [SDDL]. Ein Beispiel fr ihre
Anwendung ist die Datei %windir%\inf\defltbase.inf, mit der die Berechtigungen fr das Dateisystem und die Registrierungsdatenbank ber den
Befehl secedit.exe wieder auf den Installationszustand zurckgestellt werden knnen.
/restore Eine mit der Option /save erzeugte Datei mit Berechtigungen
wird wieder auf die Objekte angewandt. Durch den Parameter /substitute ist es mglich, bestimmte SID aus der Datei durch andere SID zu
ersetzen. Dies ist hilfreich, wenn man eine derartige Datei auf einem
anderen System oder einer anderen Installation einsetzen will.
/setowner Setzt den Besitzer einer Datei. Leider gibt es keine Option,
um den Besitzer anzuzeigen.
/findsid Die angegebenen Dateien werden nach einer Berechtigung
(gleich welcher Art) durchsucht, in der die angegebene SID enthalten
ist. Hierbei werden nur explizite Erwhnungen angezeigt. Eine
Berechtigung fr eine Gruppe, in der der angegebene Benutzer Mitglied ist, wird nicht angezeigt.
/reset Bei Dateien, deren Vererbung unterbrochen wurde, wird die
Vererbung wieder aktiviert.
/inheritance Fr Objekte kann kontrolliert werden, ob sie Eigenschaften vererbt bekommen sollen oder nicht. Zudem kann angegeben
werden, ob beim Verlust der Vererbung die bisherigen ACL kopiert
werden sollen.
/setintegritylevel Kontrolliert die Verbindlichkeitsstufe (Integrittsniveau) des Objektes. Dieses Konzept wird nher in Kapitel 13 erklrt.
/verify Dient zur berprfung der ACL auf mgliche Fehler in den
Verwaltungsstrukturen.

Andere Programme zur Anzeige und Manipulation von


Berechtigungen
Bedingt durch den grundlegenden Charakter der NTFS-Berechtigungen
existiert eine ganze Reihe von Programmen, mit denen diese bearbeitet
werden knnen.
Beim Programm xcopy.exe kann mit der Option /O erreicht werden, dass
die ACL und der Besitzer der zu kopierenden Dateien mit bertragen
werden. Ohne diese Option erhalten die kopierten Daten die Berechtigungen, die sie von ihrem Zielordner vererbt bekommen.
Aus der Sysinternals-Sammlung (siehe [SYS]) stammt das Programm
AccessChk, mit dem die Berechtigungen sowohl auf das Dateisystem als
auch auf die Registry oder Windows-Dienste angezeigt werden knnen.

304

Daten und Dateisysteme

AccessChk liefert einerseits eine kompaktere Darstellung als icacls.exe und


andererseits mehr Informationen als icacls.exe /findsid.
>accesschk.exe kind d*.txt
Accesschk v4.23 - Reports effective permissions for securable
objects
Copyright (C) 2006-2008 Mark Russinovich
Sysinternals - www.sysinternals.com
C:\Users\Public\Documents\dir.txt
RW C:\Users\Public\Documents\dir2.txt

Listing 6.9
AccessChk im
Einsatz

>accesschk.exe d*.txt
Accesschk v4.23 - Reports effective permissions for securable
objects
Copyright (C) 2006-2008 Mark Russinovich
Sysinternals - www.sysinternals.com
C:\Users\Public\Documents\dir.txt
Medium Mandatory Level (Default) [No-Write-Up]
RW VORDEFINIERT\Administratoren
RW win7lap\jochenr-admin
RW NT-AUTORITT\SYSTEM
RW NT-AUTORITT\INTERAKTIV
RW NT-AUTORITT\DIENST
RW NT-AUTORITT\BATCH
C:\Users\Public\Documents\dir2.txt
Medium Mandatory Level (Default) [No-Write-Up]
RW VORDEFINIERT\Administratoren
RW win7lap\kind
RW NT-AUTORITT\SYSTEM
RW NT-AUTORITT\INTERAKTIV
RW NT-AUTORITT\DIENST
RW NT-AUTORITT\BATCH

Der erste Aufruf des Befehls liefert Informationen ber die Berechtigungen des Benutzers kind auf alle Dateien, die durch die Dateimaske erfasst
werden. Der zweite Aufruf gibt alle definierten Zugriffsrechte auf die
Dateien aus.

6.3.5

Dateiattribute

Eine ganze Reihe von Dateiattributen existiert sowohl unter FAT als auch
unter NTFS. Die FAT-Attribute wurden bereits von den ersten DOS-Versionen untersttzt, die NTFS-Attribute kamen erst spter hinzu. Die folgende Tabelle listet diese Attribute auf.

305

Kapitel 6 Daten, Datentrger und Dateisysteme


Tabelle 6.6
Dateiattribute bei
FAT und NTFS

306

Attribut

FAT/NTFS

Bedeutung

Archiv

Beide

Sobald eine Datei gespeichert oder anderweitig


manipuliert wurde, wird automatisch dieses
Attribut gesetzt. Dies wird vorwiegend zur
Datensicherung verwendet, da Backup-Programme Dateien anhand dieses Attributes auswhlen knnen. Ein Beispiel hierfr sind die
Optionen /A und /M des Kommandos
xcopy.exe. Nhere Informationen hierzu in
Kapitel 15.

Schreibgeschtzt

Beide

Dateien mit diesem Attribut werden von normalen Systemfunktionen nicht zum Schreiben
geffnet oder gelscht. Auf diese Weise kann
selbst auf FAT ein gewisser Schutz vor ungewollten Vernderungen vorgenommen werden. Dieses Attribut hat keine Relevanz fr
Verzeichnisse.

Versteckt

Beide

Dateien und Verzeichnisse mit diesem Attribut


werden normalerweise vom Kommando DIR,
von Anwendungsprogrammen oder dem
Explorer nicht angezeigt. Im Explorer und in
dem Dateiauswahldialogfeld von Anwendungsprogrammen knnen diese Dateien ber
die Einstellung Organisieren/Ordner- und Suchoptionen/Ansicht/Versteckte Dateien und Ordner/Ausgeblendete anzeigen sichtbar gemacht
werden, fr das Kommando DIR hilft der Parameter /A:H. Das Kommando xcopy.exe kopiert
auch versteckte Dateien mit dem Parameter /H.

System

Beide

Dateien mit diesem Attribut werden als Systemdateien angesehen und auch normalerweise nicht angezeigt. Zudem werden
bestimmte Aktionen aus Sicherheitsgrnden
nicht fr derartige Dateien durchgefhrt (zum
Beispiel Defragmentierung). Das Kommando
DIR muss mit dem Parameter /A:S versehen
werden, um diese Dateien anzuzeigen, das
Kommando xcopy.exe mit dem Parameter /H,
um die Dateien zu kopieren.

Indizierbar

NTFS

Windows 7 arbeitet standardmig mit der


integrierten Desktop-Suche. Bei einer Datei mit
diesem Attribut werden nicht nur die Verwaltungsinformationen wie etwa der Name in den
Index aufgenommen, sondern zustzlich auch
der Inhalt. Besitzt ein Verzeichnis dieses Attribut, so wird es auf alle neu in dem Verzeichnis
angelegten Dateien vererbt.

Daten und Dateisysteme

Attribut

FAT/NTFS

Bedeutung

Komprimiert

NTFS

Die Datei wird transparent komprimiert, sodass


Anwendungen, die die Datei ffnen wollen,
selber keine eigenen Routinen fr die Komprimierung enthalten mssen.

Verschlsselt NTFS

Die Datei wird mit Zertifikaten verschlsselt,


nheres zu diesem Thema in Kapitel 13. Die beiden Attribute Komprimiert und Verschlsselt
knnen nicht zusammen verwendet werden.
Abbildung 6.30
Dateiattribute bei
NTFS (links) und
FAT (rechts)

Abbildung 6.31
Erweiterte Dateiattribute bei NTFS

In den Eigenschaften einer Datei knnen die Attribute (mit Ausnahme Der Explorer
von System) berprft werden, die erweiterten Attribute bei NTFS-Daten- kann auch mehr
trgern durch Bettigen der Schaltflche Erweitert. Die Anzeige im Explorer kann man um die Darstellung der Attributinformationen erweitern.
Klicken Sie hierzu mit der rechten Maustaste in einen der Spaltenkpfe
der Explorer-Anzeige. Dort whlen Sie den Befehl Weitere aus und aktivieren im Dialogfeld das Kontrollkstchen Attribute.

307

Kapitel 6 Daten, Datentrger und Dateisysteme


Abbildung 6.32
Erweitern der
Anzeige im Explorer

Die Attribute werden dann als einzelne Buchstaben hinter den restlichen
Angaben angezeigt, das Attribut Schreibgeschtzt durch den Buchstaben R
fr Read only. Ein Buchstabe D bedeutet, dass der Eintrag ein Verzeichnis
(Directory) ist.
Abbildung 6.33
Attribute im
Explorer

Attribute auf der Kommandozeile


Mit dem Befehl attrib.exe knnen die Dateiattribute sowohl berprft als
auch manipuliert werden. Beim Aufruf mit einer Dateimaske als Parameter
werden alle Dateien angezeigt, die auf die Dateimaske passen, und vor
dem Dateinamen die jeweiligen Attribute der Dateien. Das Attribut I kennzeichnet allerdings Dateien, die nicht indiziert werden, die Anzeige ist also
genau anders als im Explorer-Fenster von Abbildung 6.31. Durch Ergnzung des Parameters /S zu dem Kommando werden auch alle Dateien in
Unterverzeichnissen angezeigt. Wird zustzlich noch der Parameter /D
angegeben, werden auch die Attribute der gefundenen Verzeichnisse aufgefhrt.

308

Datentrger erstellen
attrib *.txt
A
I
S:\Neues Textdokument.txt
.
S:\test.txt
A
S:\test1.txt
A H
S:\test2.txt
A S
S:\test3.txt

Eine Sonderbehandlung existiert fr Verknpfungen, siehe hierzu den


Abschnitt 6.6.4 ab Seite 329.
Einzelne Attribute knnen durch Voranstellen des jeweiligen Buchsta- Attribute plus
bens zusammen mit einem Plus- oder Minuszeichen gesetzt beziehungs- und minus
weise gelscht werden, die Attribute knnen dabei auch kombiniert werden. Der Befehl
attrib.exe +s h *.txt

setzt also fr alle Textdateien im aktuellen Verzeichnis das System- und


lscht das Verborgen-Attribut.

6.4

Datentrger erstellen

Beim Formatieren des Datentrgers kann die Gre eines Clusters konfi- Groe Platten
guriert werden, standardmig verwendet Windows folgende Cluster- stckchenweise
gren in Abhngigkeit von der Gesamtkapazitt des Datentrgers:
Gesamtgre

Clustergre

Bis 512 MB

512 Byte

Zwischen 512 MB und 1 GB

1 KByte

Zwischen 1 GB und 2 GB

2 KByte

Grer als 2 GB

4 KByte

Tabelle 6.7
Abhngigkeit zwischen Datentrgergre und
Clustergre bei
NTFS

Die maximale Gre eines Clusters betrgt 64 KByte sowohl fr FAT als
auch NTFS, hier gelten allerdings zwei Einschrnkungen:
Bestimmte Programme knnen bei einer Clustergre von 64 KByte
den freien Platz auf einer Platte nicht mehr korrekt berechnen, dies
betrifft insbesondere ltere Setup-Programme.
Die transparente Komprimierung von Dateien kann bei NTFS nur bis
zu einer Clustergre von 4 KByte durchgefhrt werden, bei Platten
mit einer greren Clustergre steht die Mglichkeit der Komprimierung nicht mehr zur Verfgung.
Bei der Wahl der Clustergre muss man immer eine Abwgung treffen
zwischen hohem Verwaltungsaufwand durch eine Vielzahl kleiner Cluster
und hoher Verschwendung durch nur unzureichend mit Daten gefllten
groen Clustern. Man sollte also immer bedenken, welchen Einsatzzweck
das Laufwerk spter erfllen soll. Generell ist es ungnstig, auf einem
Datentrger sowohl sehr kleine als auch sehr groe Dateien zu mischen.

309

Kapitel 6 Daten, Datentrger und Dateisysteme

Es ist nicht mglich, die Clustergre eines Datentrgers nachtrglich


zu ndern. Hierfr mssen alle Daten zunchst gesichert, das Laufwerk danach formatiert und die Daten restauriert werden.

6.5

Konfiguration von Laufwerken


in der GUI

Starten Sie nun die Datentrgerverwaltung ber Systemsteuerung/System


und Sicherheit/Verwaltung/Datentrgerverwaltung, oder geben Sie im Suchfeld des Startmens Partition ein und whlen den Eintrag Festplattenpartitionen erstellen und Formatieren aus. Mit der Datentrgerverwaltung lassen
sich optische Wechselmedien (CD/DVD), Festplatten, USB-Laufwerke und
-Speicher sowie virtuelle Datentrger wie VHD und iSCSI verwalten. Der
Aufruf der Anwendung ist nur administrativen Benutzern nach UACAbfrage gestattet.
Abbildung 6.34
Datentrgerverwaltung

Ein Anwendung,
zwei Teile

310

Der Bildschirm der Anwendung (siehe Abbildung 6.34) ist horizontal in


zwei Teile geteilt, fr beide Teile lsst sich ber die Menfunktion Ansicht/
Anzeige oben beziehungsweise Ansicht/Anzeige unten bestimmen, welche
Daten dort angezeigt werden. Standardmig wird oben die Volumenliste
und unten die Grafische Ansicht dargestellt. Die Trennlinie zwischen den
beiden Bereichen lsst sich mit der Maus verschieben.

Konfiguration von Laufwerken in der GUI

In der Volumenliste erscheint eine Auflistung aller aktuell vom System


erkannten Laufwerksbuchstaben samt einiger Verwaltungsinformationen
ber das Laufwerk wie Gesamtgre oder Gre des freien Speichers. Hier
erkennt man auch den Typ des verwendeten Dateisystems (FAT oder NTFS,
RAW bedeutet, dass der Datentrger noch nicht formatiert wurde) sowie ob
es sich um einen Basisdatentrger oder einen dynamischen Datentrger handelt (siehe den Abschnitt 6.2.2 ab Seite 275).
In der grafischen Ansicht sind alle aktuell erkannten Datentrger aufgelistet. In der linken Spalte findet man den Typ (erkannt werden CD/DVD,
Basis, Dynamisch oder Wechseldatentrger) sowie die Gre des Datentrgers. In der rechten Spalte findet man fr jeden Datentrger eine grafische
Darstellung der auf dem Datentrger vorhandenen Partitionen beziehungsweise Volumes. Die Gre der dargestellten Bereiche ist in der Standardansicht weder innerhalb eines Datentrgers noch zwischen unterschiedlichen Datentrgern direkt vergleichbar. In der Abbildung 6.34 ist
beispielsweise der Datentrger 2 mit einer Gesamtgre von 224 MB halb
so gro dargestellt wie Datentrger 1, der etwa zehnmal so gro ist.
Diese Darstellung kann man ber die Funktion Ansicht/Einstellungen/
Skalierung anpassen, im Normalfall ist hier jeweils eine logarithmische
Skalierung sowohl fr die Datentrger als auch fr die Datentrgerbereiche (Partitionen und Volumes) eingestellt. Insbesondere bei sehr
groen Unterschieden zwischen den einzelnen dargestellten Elementen ist die lineare Skalierung extrem unpraktisch.

In der Statusleiste am unteren Rand der Anwendung findet sich eine Erklrung zu den einzelnen, in verschiedenen Farben dargestellten Datentrgerbereichen. Diese Zuordnung kann ber Ansicht/Einstellungen/Darstellung
abgendert werden.

6.5.1

Aktionen auf der Ebene der Datentrger

Sobald ein Datentrger neu in das System integriert wird oder komplett
gelscht wurde, wird er mit dem Status Unbekannt und Nicht initialisiert
angezeigt. Entweder durch Klick mit der rechten Maustaste auf den Datentrger in der linken Spalte oder durch Selektierung des Datentrgers und
Auswahl der Menfunktion Aktion/Alle Aufgaben muss nun zunchst die
Aktion Datentrgerinitialisierung ausgefhrt werden. Bei dieser wird eine
Signatur auf die Platte geschrieben, mit dieser merkt Windows, dass die
Platte nicht mehr vllig leer ist. Gleichzeitig wird dabei auch festgelegt, ob
die Platte im MBR- oder im GPT-Format angelegt werden soll (siehe den
Abschnitt 6.2.1 ab Seite 273).

311

Kapitel 6 Daten, Datentrger und Dateisysteme


Abbildung 6.35
Auswahl des Partitionsformates

Fertig zum
Speichern!

Sobald dieser Vorgang abgeschlossen ist, wechselt der Status des Datentrgers auf Basis und Online. Im gleichen Men finden sich nun die Funktionen Zu GPT-Datentrger konvertieren und Zu MBR-Datentrger konvertieren, wobei Letzterer nur ausfhrbar ist, wenn der Datentrger leer ist.
Ebenso sind hier auch die Funktionen In einen Basisdatentrger konvertieren
und In dynamischen Datentrger konvertieren zu finden (siehe den Abschnitt
6.2.2 ab Seite 275). Fr Wechseldatentrger (USB-Stick) sind diese Partitionierungsoptionen nicht verfgbar, da auf diesen keine Partitionen
angelegt werden, dies geht nur mit speziellen Programmen.
Fr Wechseldatentrger wird die Funktion Auswerfen angeboten. Diese
bildet die gleiche Funktion wie das Auswerfen-Symbol im Systemtray.
Bei einer virtuellen Festplatte (siehe den Abschnitt 6.1.3 ab Seite 272) gibt
es die Funktion Virtuelle Festplatte trennen. Diese gibt zustzlich auch
die Mglichkeit, die Datei, auf der der virtuelle Datentrger beruht, zu
lschen.
Sofern ein Datentrger mit dem Status Fremd angezeigt wird, ist dies ein
Datentrger, der zuvor von einem anderen System verwendet wurde.
Dieser muss zunchst ber die Menfunktion Fremde Datentrger importieren dem System bekannt gemacht werden. Der Inhalt des Datentrgers
wird Ihnen zuvor noch zur Besttigung angezeigt. Nach erfolgreichem
Import steht der Datentrger dann zur Verwendung bereit. Sofern auf
dem importierten Datentrger ein unformatierter Datentrgerbereich zu
finden ist, werden Sie gefragt, ob Sie diesen formatieren mchten.

Abbildung 6.36
Import besttigen

312

Konfiguration von Laufwerken in der GUI

6.5.2

Verwalten von Datentrgerbereichen

Bei den Datentrgerbereichen muss man unterscheiden zwischen den Erst Platz
bereits existierenden Teilen und den noch nicht belegten, freien Bereichen belegen
(als Nicht zugeordnet gekennzeichnet). Fr jeden Bereich sind entsprechend
unterschiedliche Aktionen mglich.

Neuen Datentrgerbereich erstellen


Beim Erstellen eines neuen Datentrgers bietet die Datentrgerverwaltung
anders als frher FDISK oder jetzt diskpart.exe nur eine sehr eingeschrnkte
Mglichkeit, genau zu spezifizieren, welcher Typ von Datentrger angelegt
werden soll. Generell werden immer drei Schritte nacheinander durchgefhrt:
1. Angabe der Gre des gewnschten Bereiches, diese kann entsprechend maximal der Gre des unbelegten Speicherplatzes entsprechen
2. Festlegung, wie der Bereich angesprochen werden soll. Hier kann angegeben werden, ob der Partition ein eigener Laufwerksbuchstabe zugewiesen sein oder ob der Datentrger anstelle eines bereits bestehenden
Unterverzeichnisses verwendet werden soll. Die Option, weder Laufwerksbuchstabe noch Pfad zuzuweisen, ist eher fr diejenigen interessant, die einen Speicherbereich fr ein anderes Betriebssystem einrichten wollen.
3. Angabe des Dateisystems, falls der Datentrger formatiert werden soll.
Hierbei knnen der Typ des Dateisystems (FAT oder NTFS), die Gre
der Zuordnungseinheit (Cluster) und eine Volumenbezeichnung angegeben werden. Die Option Schnellformatierung durchfhren bedeutet
hierbei, dass nicht der komplette Platz des neuen Laufwerks initial mit
einem Startwert berschrieben wird, sondern nur ausgewhlte Bereiche. Dieses berschreiben insbesondere bei sehr groen Datentrgern
kann enorm Zeit kosten. Die Option Komprimierung aktivieren bedeutet
nicht, dass nur damit eine Komprimierung der Inhalte mglich wre.
Bei Aktivierung der Option werden automatisch alle Dateien und Ordner, die auf der Platte neu angelegt werden, komprimiert abgelegt.
Geeignet ist dies beispielsweise fr Archivierungsfestplatten, auf die
eher selten zugegriffen wird.

Prinzipiell werden vier unterschiedliche Aktionen angeboten, wenn in


einem freien Bereich die rechte Maustaste geklickt oder die Menfunktion Aktion/Alle Aufgaben ausgewhlt wird. Folgende Aktionen sind bei
der Anlage eines neuen Datentrgers durchfhrbar:
Neues einfaches Volume
Ein einfaches Volume ist eine Partition oder ein Volume, das allein fr
sich den kompletten Datentrger bildet. Auf einen Basisdatentrger
werden zunchst maximal drei primre Partitionen angelegt, bevor
die vierte mgliche Partition in eine neue erweiterte Partition angelegt wird. Hierdurch kann es zu unerwnschten Effekten kommen, in
diesem Fall sollte man die Partitionierung ber diskpart.exe vornehmen, weil dort eine genauere Kontrolle ber die Art der erstellen Partitionen mglich ist. Auf dynamischen Datentrgern besteht dieses

313

Kapitel 6 Daten, Datentrger und Dateisysteme

Problem nicht, da dort keine Unterscheidung zwischen primren und


erweiterten Partitionen besteht.
Neues bergreifendes Volume
Ein bergreifendes Volumen ist ein Datenbereich, der auf mehr als einem
Datentrger verteilt angelegt wird. Anders als beim Stripeset mssen
diese Bereiche nicht von identischer Gre sein. Dieser Typ kann nur auf
einem dynamischen Datentrger angelegt werden, beim Versuch, diesen
Typ auf einem Basisdatentrger anzulegen, erhlt man die Aufforderung, diesen zum Typ dynamisch umzustellen. Beim Anlegen muss man
mindestens zwei Datentrger angeben, auf denen das Volume angelegt
wird. In einem Auswahldialogfeld (siehe Abbildung 6.37) werden de
mglichen Datentrger angezeigt, die man mit der Schaltflche Hinzufgen > zum neuen Datentrger hinzufgen kann. Die im rechten Teil des
Dialogfeldes hinter dem Datentrgernamen angegebene Zahl bezeichnet
die Gre des auf diesem Datentrger angelegten Teils des Gesamtdatentrgers. Selektieren Sie oben den Datentrger, und verndern Sie unten
die Grenangabe.
Abbildung 6.37
Anlage eines bergreifenden Volumes

Neues Stripesetvolume

Auch Stripesets knnen nur auf dynamischen Datentrgern angelegt


werden. Das Dialogfeld ist identisch mit dem aus Abbildung 6.37, allerdings kann man hier die Gre der beiden Bereiche auf dem Datentrger nicht individuell einrichten, bedingt durch die Konstruktion eines
Stripesets mssen beide jeweils die gleiche Gre haben.
Neues gespiegeltes Volume
Auch gespiegelte Volumen knnen nur auf dynamischen Datentrgern
angelegt werden. Das Dialogfeld ist identisch mit dem aus Abbildung
6.37, die maximale Gre des gespiegelten Volumens bestimmt sich aus
der Gre des kleineren der freien Bereiche auf dem Datentrger.

314

Konfiguration von Laufwerken in der GUI

Freie Bereiche auf einem Datentrger werden automatisch mit sich


anschlieenden freien Bereichen zusammengelegt. Eine Funktion, um
ein zwischen zwei freien Bereichen liegendes Volume an den Anfang
oder das Ende eines solchen Bereiches zu verschieben, existiert nicht.
Hier bleibt nur der Weg ber ein Sichern und Wiederherstellen der
Daten, whrend zwischenzeitlich die Partition komplett neu angelegt
wird, oder der Einsatz von speziellen Programmen zur Partitionsmanipulation wie etwa Partition Manager der Firma Paragon Software.

Bestehende Datentrgerbereiche manipulieren


Nach Auswahl eines bereits bestehenden Datentrgers lassen sich im
Kontextmen oder im Men ber Aktion/Alle Aufgaben verschiedene
Aktionen auslsen.
ffnen und Durchsuchen Diese beiden Aktionen starten direkt auf
dem ausgewhlten Laufwerk einen Explorer beziehungsweise seine
Suchfunktion darauf. Diese Funktionen werden dann aber nicht mehr
wie die Datentrgerverwaltung durch einen Prozess mit hoher Verbindlichkeit ausgefhrt.
Partition als aktiv markieren Diese Funktion steht nur auf MBR-Datentrgern zur Verfgung. Hier hat maximal eine Partition pro Datentrger die Eigenschaft Aktiv, diese wird beim Systemstart dann verwendet,
um das Betriebssystem zu laden. Beim Wechsel von einer Partition auf
eine andere erhlt man eine Warnmeldung, in der darauf hingewiesen
wird, dass auf der Partition, die man als aktiv kennzeichnen mchte,
ein Betriebssystem vorhanden sein muss.
Laufwerksbuchstaben und -pfade ndern Mit dieser Aktion kann der
Name verndert werden, unter dem der Datentrgerbereich im Dateisystem angesprochen wird. Erstaunlicherweise kann ein Datentrger
unter verschiedenen Verzeichnisnamen gleichzeitig erreicht werden,
jedoch nur unter einem Laufwerksbuchstaben.

Abbildung 6.38
Laufwerksbuchstabe
oder -pfad zuweisen

Formatieren Hiermit kann ein Bereich mit einem neuen Dateisystem

versehen werden. Man hat hierbei die Auswahl zwischen NTFS, FAT
und FAT32. Bei einer derartigen Formatierung gehen alle Daten auf
dem Volume verloren, deshalb ist diese Option nicht fr den Systemdatentrger verfgbar.

315

Kapitel 6 Daten, Datentrger und Dateisysteme


Volume erweitern und Volume verkleinern Hiermit lsst sich die Gre

eines Datentrgerbereiches verndern. Beim Verkleinern ist dabei zu


bedenken, dass ein Datentrger nur so weit verkleinert werden kann,
wie sich ein freier, unbenutzter Bereich am Ende des Datentrgers
befindet. Diese Funktion ist nicht in der Lage, von sich aus die vorhandenen Dateien auf andere Bereiche der Platte zu verschieben. Bei
einem alten, schon lnger in Gebrauch befindlichen Volume lsst sich
deshalb meist nur wenig Platz gewinnen.
Abbildung 6.39
Kleiner geht's nicht.

Wie in der Abbildung 6.39 erkennbar, lassen sich nach Abschluss der
Aktion Informationen ber sie in der Ereignisanzeige nachsehen, insbesondere kann man hier Informationen erhalten, welche Dateien
einer weiteren Verkleinerung im Wege stehen.
Protokollname: Application
Quelle:
Microsoft-Windows-Defrag
Datum:
29.08.2009 19:23:42
Ereignis-ID: 259
Aufgabenkategorie:Keine
Ebene:
Informationen
Schlsselwrter:Klassisch
Benutzer:
Nicht zutreffend
Computer:
win7.contoso.com
Beschreibung:
Fr das Volume "VOLUME (H:, S:\temp3)" wurde eine
Volumeverkleinerungsanalyse initiiert. Dieser
Ereignisprotokolleintrag enthlt ausfhrliche
Informationen zur letzten nicht verschiebbaren
Datei, von der mglicherweise die maximale Menge
freigebbarer Bytes beschrnkt wird.
Diagnosedetails:
- Wahrscheinlich letzte nicht verschiebbare Datei:
"\$BitMap::$DATA"
- Nicht verschiebbarer Cluster der Datei: "0x5b4f"
- Potenzielles Verkleinerungsziel (LCN-Adresse):
"0x89e7"
- NTFS-Dateikennzeichen: "-S--D"
- Verkleinerungsphase: "<analysis>"

316

Datentrgerverwaltung auf der Kommandozeile

Ausfhrlichere Informationen zu dieser Datei


erhalten Sie durch Ausfhren des Befehls "fsutil
volume querycluster \\?\Volume{b3a9ee4d-7307-4d70-91e1162cbfd69d14} 0x5b4f".

Die hier erwhnte Datei \$BitMap::$DATA gehrt zu den Systemdateien eines NTFS-Dateisystems und lsst sich schwerlich manipulieren.
Volume lschen Diese Aktion versteht sich von selbst. Zu beachten ist
hierbei, dass sie sich nicht auf dem Systemlaufwerk ausfhren lsst.
Eigenschaften Erlaubt den Zugriff auf die Laufwerkseigenschaften.
Den gleichen Zugriff erhlt man, wenn man ber Start/Computer die
Eigenschaften der Laufwerke aufruft.

Weitere Aktionen
Im Men Aktion existieren noch weitere Funktionen, die sich auf das System
als Ganzes auswirken. Mit Aktualisieren wird einfach die Anzeige erneuert,
etwa wenn sich durch Netzwerkzugriffe der Belegungsstand einer Festplatte
gendert hat. Diese Funktion kann auch ber die Taste (F5) ausgelst werden. Mit Datentrger neu einlesen kann man eine erneute Hardwareerkennung der angeschlossenen Datentrger erzwingen, etwa wenn ein Datentrger sich im Status Unlesbar befindet.

Die Aktionen Virtuelle Festplatte erstellen und Virtuelle Festplatte anfgen


dienen dem Umgang mit virtuellen Datentrgern; sie wurden bereits in
Abschnitt 6.1.3 behandelt.

6.6

Datentrgerverwaltung auf der


Kommandozeile

Die Verwaltung der Datentrger in der grafischen Darstellung ist zwar


intuitiv, und man kann schnell einen berblick bekommen, aber sobald
man bestimmte Aktionen in ein Skript packen will (etwa um identische
Einstellungen auf mehreren Systemen zu erhalten), whlt man besser die
Kommandozeile fr seine Ttigkeit aus.

6.6.1

Diskpart FDISK und mehr in neuer


Verpackung

Mit dem Erscheinen der ersten DOS-Version, die Festplatten untersttzte,


wurde auch das Programm fdisk,exe eingefhrt, das die Verwaltung von
Partitionen auf einem sehr elementaren Niveau ermglichte. Wesentlich
mehr als Partitionen anzuzeigen, anzulegen und zu lschen war damit
nicht mglich. Mit Windows NT wurde dann mit dem Festplattenmanager
eine grafische Ausgestaltung des Verwaltungswerkzeugs eingefhrt.
Dessen Mglichkeiten wurden bei Windows 2000 noch erweitert, aber

317

Kapitel 6 Daten, Datentrger und Dateisysteme

gleichzeitig wurde auch wieder ein nicht grafisches Tool eingefhrt zur
Verwaltung: diskpart.exe. Ein grafisches Tool ist gut fr die interaktive Verwendung, jedoch eher ungeeignet, wenn es darum geht, auf mehreren
Systemen reproduzierbare Aktionsfolgen durchzufhren.
Fr diesen Zweck wurde diskpart.exe geschaffen. Neben einer Verwendung
als interaktives Programm auf der Kommandozeile kann man es auch
zusammen mit einer Skriptdatei aufrufen, um komplexe Operationen automatisch ausfhren zu lassen. In einer solchen Skriptdatei sind die gleichen
Kommandos enthalten, wie man sie auch auf der Eingabeaufforderung
angeben wrde. Hier ist es also mglich, zunchst an einem Prototypen die
Kommandofolgen zu testen, um diese spter dann 1:1 in die Skriptdatei zu
bernehmen.
Bedingt durch die Funktion des Programms muss beim Start zunchst
eine UAC-Abfrage besttigt werden; wurde das Programm von der
Kommandozeile aus aufgerufen, luft es danach in einem eigenen
Kommandofenster.

Wo ist der Fokus?


Um die Aktionen von Diskpart zu verstehen, muss man das Konzept der
Applikation betrachten. Intern fhrt sie einen Zeiger auf das jeweilige aktuelle Element. Diesen Fokus kann man mit dem Kommando select auf ein
anderes Element verschieben. Es gibt jeweils einen aktuellen Datentrger
(disk), eine aktuelle Partition und so weiter. Wird mittels select der Datentrger gewechselt, so ist danach zunchst keine Partition mehr aktuell und
muss neu mit select ausgewhlt werden. Ein kleines Beispiel mge dies verdeutlichen. Die Zeilen mit DISKPART> am Anfang kennzeichnen die
jeweils eingegebenen Befehle.
Listing 6.10
Fokuswechsel bei
diskpart.exe

318

Microsoft DiskPart-Version 6.1.7100


Copyright (C) 1999-2008 Microsoft Corporation.
Auf Computer: WIN7
DISKPART> list disk
Datentrger ### Status
Gre
Frei
Dyn GPT
-------- ------------- ------- ------- --- --Datentrger 0
Online
23 GB
0 B
Datentrger 1
Online
24 GB
0 B
Datentrger 2
Online
100 MB 1984 KB
DISKPART> select disk 0
Datentrger 0 ist jetzt der gewhlte Datentrger.
DISKPART> list partition
Partition ### Typ
Gre
Offset
------------- ---------------- ------- ------Partition 1
Primr
2048 MB 1024 KB
Partition 2
Primr
100 MB 2049 MB
Partition 3
Primr
21 GB 2149 MB
DISKPART> select partition 3
Partition 3 ist jetzt die gewhlte Partition.
DISKPART> detail partition

Datentrgerverwaltung auf der Kommandozeile


Partition 3
Typ
: 07
Versteckt: Nein
Aktiv
: Nein
Offset in Byte: 2253389824
Volume ###
Bst Bezeichnung DS
Typ
Gre
Status
Info
---------- --- ----------- ----- ---------- --------------- -------* Volume 3
C SysDrive
NTFS Partition
21 GB
Fehlerfre Startpar
DISKPART> select disk 1
Datentrger 1 ist jetzt der gewhlte Datentrger.
DISKPART> detail partition
Es wurde keine Partition ausgewhlt.
Whlen Sie eine Partition, und wiederholen Sie den Vorgang.

Es werden folgende Kommandos nacheinander ausgefhrt:


Befehl

Bedeutung

list disk

Es wird die Liste aller dem System bekannten Datentrger ausgegeben.

select disk 0

Der erste Datentrger (= Index 0) wird selektiert.

list partition

Es wird die Liste der Partitionen auf dem aktuell selektierten Datentrger ausgegeben.

select partition 3

Der Fokus wird auf die Partition 3 gesetzt.

detail partition

Es werden Detailinformationen ber die aktuelle Partition ausgegeben. Beachten Sie hierbei, dass bei dem
Befehl nicht angegeben wird, von welcher Partition
man die Daten erhalten will. Dies wurde durch den
vorhergehenden select-Befehl bereits festgelegt.

select disc 1

Der Fokus wird auf den Datentrger 1 verschoben.

detail partition

Es erfolgt eine Fehlermeldung, weil mit dem Fokuswechsel auf einen anderen Datentrger zunchst
keine Partition mehr aktuell ist.

Tabelle 6.8
Kommandofolge in
diskpart.exe

Sofern diskpart.exe bei Eingabe eines Befehls noch weitere Eingaben erwartet, gibt es eine bersicht der mglichen Ergnzungen aus. Die Eingabe des
Kommandos help vor den auszufhrenden Befehl gibt eine lngere Erklrung zu dem Befehl und seinen mglichen Ausgaben aus.

Die wichtigsten Befehle


Die wichtigsten und am hufigsten gebrauchten Befehle von diskpart.exe
sind:
SELECT DISK Dient zur Auswahl eines Datentrgers. Wird gefolgt
von der Angabe, welcher Datentrger selektiert werden soll. Zudem
kann mit der Angabe SYSTEM der Datentrger ausgewhlt werden,
auf dem Startdateien liegen. Mit der Angabe NEXT wird der nchste

319

Kapitel 6 Daten, Datentrger und Dateisysteme

320

mgliche Datentrger ausgewhlt. Wird keine Angabe ber das Ziel


gettigt, wird der aktuelle Datentrger ausgegeben.
SELECT PARTITION Dient zur Auswahl einer Partition auf dem
gerade aktuellen Datentrger. Whrend der Parameter disk ab 0 gezhlt
wird, beginnt die Zhlung von partition bei 1, eine Angabe von NEXT
ist nicht mglich.
SELECT VOLUME Dient zur Auswahl eines Volumes auf einem
Datentrger. Ist der aktuelle Datentrger ein Basisdatentrger, so wird
automatisch auch der entsprechende Datentrger und die Partition
selektiert. Die Angabe, welche Partition zu selektieren sei, kann ber
eine Nummer oder den Laufwerksbuchstabens erfolgen.
SELECT VDISK Selektiert eine virtuelle Festplatte, zur Auswahl
muss zustzlich noch die Angabe FILE=Pfad zur vhd-Datei erfolgen.
LIST Bentigt als Parameter noch die Angabe, welcher Typ aufgelistet werden soll, mglich sind die Auflistungen DISK, PARTITION,
VOLUME und VDISK. Fr die Auflistung der Partitionen muss zuvor
ein Datentrger ausgewhlt sein. In der Auflistung wird das jeweils
aktuelle Element mit einem * in der ersten Spalte ausgezeichnet.
DETAIL Bentigt als Parameter noch die Angabe, welche Detailinformation angezeigt werden soll, mglich sind die Auflistungen disk,
partition, volume und vdisk. Zuvor muss mittels select das entsprechende Objekt ausgewhlt werden.
CREATE PARTITION Kann eine Vielzahl von Partitionstypen anlegen, insbesondere knnen die fr MBR-Datentrger mglichen Partitionstypen PRIMARY, EXTENDED und LOGICAL explizit ausgewhlt
werden, was bei Verwendung der Datentrgerverwaltung nicht mglich ist. Auer der Gre der zu erstellenden Partition kann auch angegeben werden, wo sie auf der Platte angelegt werden soll. Eine
detaillierte Erklrung der Parameter liefert der Befehl help create partition primary. Dieser Befehl arbeitet nur auf Basisdatentrgern.
CREATE VOLUME Legt auer einfachen Datentrgern auch Stripeund Spiegeldatenstze an (siehe den Abschnitt 6.2.3 ab Seite 276). Die
Option RAID wird zwar in der Hilfe angezeigt, ist jedoch unter Windows 7 nicht implementiert. Dieser Befehl arbeitet nur auf dynamischen Datentrgern.
CREATE VDISK Dient zum Anlegen einer virtuellen Festplatte (siehe
den Abschnitt 6.1.3 ab Seite 272). Gegenber der grafischen Oberflche
knnen hier deutlich mehr Optionen eingestellt werden.
ATTACH VDISK Eine vorher per select vdisk ausgewhlte .vhd-Datei
wird in das System integriert.
DETACH VDISK Eine vorher per select vdisk ausgewhlte .vhd-Datei
wird aus dem System wieder entfernt. Die in der GUI angebotene Mglichkeit, die entsprechende .vhd-Datei zu lschen, existiert hier nicht.
CONVERT Wandelt ber die Optionen MBR oder GPT den ausgewhlten Datentrger in den Partitionstabellentyp MBR oder GPT um.
Mit den Optionen BASIC und DYNAMIC wird der Datentrger ent-

Datentrgerverwaltung auf der Kommandozeile

sprechend in den jeweiligen Typ umgewandelt, sofern mglich. Gleichzeitig wird ein bislang nicht initialisierter Datentrger initialisiert.
IMPORT Datentrger, die ursprnglich aus einem anderen Computersystem stammen, werden zunchst nicht erkannt, sie werden bei
der Anzeige von LIST DISK mit dem Status fremd angezeigt. Mit dem
Befehl IMPORT werden diese Datentrger ins System eingebunden.
CLEAN Der aktuelle Datentrger wird gelscht, selbst wenn sich noch
Partitionen oder Volumes darauf befinden. Zudem wird das erste und
letzte MB des Datentrgerbereiches mit Nullen berschrieben, um die
vorhandenen Partitionsinformationen komplett zu lschen. Wird
zustzlich der Parameter ALL bergeben, so werden auch die restlichen
Datenbereiche berschrieben. Dies verhindert recht sicher eine Wiederherstellung von Daten, kann aber bei greren Datentrgern entsprechend lange dauern.
FILESYS Gibt Informationen ber das in der aktuellen Partition verwendete Dateisystem und die auf dieser Partition mglichen Dateisysteme an.
DELETE Lscht das jeweils aktuelle angegebene Objekt DISK, PARTITION oder VOLUME, sofern es gerade nicht verwendet wird. Mit
dem zustzlichen Parameter OVERRIDE kann das Lschen erzwungen werden.
ASSIGN LETTER Dem aktuell gewhlten Volume wird ein Laufwerksbuchstabe zugewiesen.
EXIT Beendet das Programm.
REM Dient in Skriptdateien zur Kommentierung.

Die Kommandos und Parameter kann man in vielen Fllen auf drei
Buchstaben krzen, insbesondere bei der Gestaltung von Skriptdateien sollte man aber die Kommandos ausschreiben, um die Lesbarkeit
zu erhhen.
Sofern man das Kommando mit dem Parameter /s und einem Dateinamen aufruft, liest diskpart.exe die Kommandos aus der Datei ein und beendet sich danach von selbst.
CREATE VDISK FILE=S:\myvdisk.vhd MAXIMUM=150
SELECT VDISK FILE=S:\myvdisk.vhd
ATTACH VDISK
REM die neu angelegte Disk ist die selektierte
CONVERT MBR
CREATE PARTITION PRIMARY SIZE=50 OFFSET=10240
REM die neue angelegte Partition ist die selektierte
FORMAT FS=FAT UNIT=4096 LABEL="50 MB FAT"
ASSIGN LETTER=T
CREATE PARTITION EXTENDED
CREATE PARTITION LOGICAL SIZE=30
FORMAT LABEL="NTFS Part"
ASSIGN LETTER=N

Listing 6.11
Steuerdatei fr
diskpart.exe

321

Kapitel 6 Daten, Datentrger und Dateisysteme

Die hier in Listing 6.11 gezeigte Kommandofolge erstellt zunchst eine


neue virtuelle Festplatte und bindet diese ins System ein. Danach wird
diese mit einer MBR-Partitionstabelle angelegt. Im Anschluss werden
dann zunchst eine primre Partition und eine erweiterte Partition angelegt und in der erweiterten Partition ein logisches Laufwerk. Direkt nach
dem Anlegen der jeweiligen Partition wird diese formatiert, einmal mit
FAT und einmal mit dem Systemstandard, also NTFS. Beiden Laufwerken wird noch ein Laufwerksbuchstabe gegeben.

6.6.2

fsutil der Allesknner

Das Programm fsutil.exe bietet allerhand Funktionen rund um die Verwaltung und Manipulation von Dateisystemen und gehrt standardmig
zu Windows 7 dazu. Es bentigt zum Ablaufen administrative Berechtigungen, ist aber im Gegensatz zu diskpart.exe nicht in der Lage, selber eine
entsprechende UAC-Abfrage zu erzeugen. Sie mssen also zunchst das
Programm cmd.exe mit administrativen Privilegien starten, ehe Sie das
Programm fsutil.exe verwenden knnen.
Dieses Programm arbeitet immer nur mit Optionen auf der Kommandozeile, nach dem Befehlsnamen fsutil folgt zunchst die Angabe, in welchem Bereich das Kommando arbeiten soll, danach folgt der Befehl, welcher ausgefhrt werden soll, zusammen mit weiteren Optionen. Sofern
fsutil ohne die notwendigen Parameter ausgefhrt wird, zeigt es einen
Hilfetext an, der die nun mglichen Ergnzungen auffhrt.

Lange und kurze Dateinamen


Lang und kurz
gemeinsam

Dateien knnen unter NTFS einen Namen mit bis zu 255 Zeichen Lnge
aufweisen. Unter den ersten DOS-Versionen war ein Dateiname noch auf
acht Zeichen fr den Dateinamen und drei Zeichen fr die Dateierweiterung (Extension) beschrnkt. Dieses Format wird auch als 8dot3 bezeichnet.
Um kompatibel zu alten Programmen zu bleiben, die nur einen derartigen
kurzen Dateinamen erwalten, bildet das Dateisystem automatisch fr
jeden Namen, der lnger ist, einen kurzen Namen. Eine solche Datei kann
man sowohl ber ihren normalen, langen Namen als auch ihren kurzen
Namen ansprechen, ansehen kann man diese Namen mit der Option /X des
Kommandos DIR.

Listing 6.12
Lange und kurze
Namen

C:\Users\adm>DIR /X *.txt
26.07.2009 00:31
15.08.2009 17:55

21.266
small.txt
1.025 TESTDA~1.TXT testdatei.txt

In Listing 6.12 knnen Sie erkennen, dass fr die Datei, deren Name in das
8.3-Schema passt (small.txt), kein separater kurzer Name angelegt wurde,
fr die Datei, die nicht zum Schema passt (testdatei.txt), ein kurzer Name
(TESTDA~1.TXT) angelegt wurde. Die Erzeugung und Speicherung dieser
zustzlichen Eintrge verbrauchen sowohl Rechenzeit als auch Speicherplatz. Sofern sichergestellt ist, dass keine alten Anwendungen mehr verwendet werden, die mit den langen Namen nicht umgehen knnen, kann
man die automatische Erzeugung dieser Namen auch abstellen.

322

Datentrgerverwaltung auf der Kommandozeile


fsutil behavior query Disable8dot3
Der Registrierungsstatus von "NtfsDisable8dot3NameCreation" ist die
Standardeinstellung "2" (Volumeebeneneinstellung).

Dieser Befehl gibt die globale Einstellung fr alle Laufwerke aus. Alternativ kann auch das Kommando durch eine Laufwerksbezeichnung am
Ende ergnzt werden, um das Verhalten fr ein bestimmtes Laufwerk
abzufragen.
fsutil behavior set Disable8dot3 S: 1
Das Verhalten fr "8dot3name" wurde erfolgreich festgelegt.

Nach dieser Einstellung werden fr neue Dateien mit langem Namen


keine kurzen Namen automatisch angelegt, die bereits bestehenden kurzen Namen bleiben allerdings erhalten.
dir /X s:\*.txt
16.08.2009 01:06
28.07.2009 11:00

7
einlanger.txt
19 NEUEST~1.TXT Neues Textdokument.txt

Den kurzen Namen kann man auch manuell einstellen.


fsutil behavior set Disable8dot3 S: 0
Das Verhalten fr "8dot3name" wurde erfolgreich festgelegt.
fsutil file setshortname s:\einlanger.txt kurz.doc
dir /X s:\*.txt
16.08.2009 01:06

6
7 KURZ.DOC

einlanger.txt

Zunchst wird die Erzeugung der Kurznamen wieder aktiviert, da ansonsten auch keine Kurznamen manuell angelegt werden knnen. Im zweiten
Schritt wird fr die Datei s:\einlanger.txt der kurze Name kurz.doc festgelegt. Eine Angabe von Laufwerk und Pfad kann hierbei unterbleiben, da
der Kurzname automatisch im gleichen Verzeichnis wie die Originaldatei
angelegt wird. Zum Schluss wird die Aktion mit DIR /X berprft. Ein derartig manuell vergebener kurzer Name wird automatisch wieder gelscht
bzw. verndert, wenn die originale Datei umbenannt wird.
Es gibt eine ganze Reihe von Werten, die mit dem Kommando fsutil behavior
abgefragt und manipuliert werden knnen, die meisten dieser Kommando
beeinflussen Werte in der Registry unterhalb des Schlssels HKLM\
SYSTEM\CurrentControlSet\Control\FileSystem. Oftmals werden die Einstellungen erst nach einem Neustart aktiv.
Diese kurzen Dateinamen knnen zur Tarnung von Schadprogrammen verwendet werden, da sowohl der normale DIR-Befehl als auch
der Explorer die kurzen Namen normal nicht anzeigen. Ein ausfhrbares Programm kann also problemlos als Datendatei getarnt werden
und wird als ausfhrbares Programm dann ber den verborgenen
kurzen Namen gestartet.

323

Kapitel 6 Daten, Datentrger und Dateisysteme

Leere Dateien fr alle Gelegenheiten


Manchmal braucht man fr Testzwecke einfach mal schnell eine Datei
von fester Gre. Mit dem Befehl
fsutil file createnew s:\eindatei.txt 123456
Die Datei s:\eindatei.txt wurde erstellt.

wird eine Datei mit der genau angegebenen Lnge erzeugt, die Datei enthlt nur Nullbytes (0x00). Mit dem Befehl
fsutil file setzerodata offset=123 length=456 s:\eindatei.txt
Keine Daten wurden gendert.

werden in der angegebenen Datei ab der mit offset bezeichneten Stelle insgesamt length Bytes mit einem Nullwert berschrieben, auch wenn die
Ausgabe des Befehls etwas anderen anzudeuten scheint.

Dateien und Datei-ID


Jede Datei hat in NTFS eine eindeutige ID, hnlich wie die inode-Nummer
einer Datei unter Unix. Mit diesem Befehl lassen sich die Zuordnungen
zwischen Dateinamen und Datei-ID ausgeben.
fsutil file queryfileid c:\Users\adm\testdatei.txt
Datei-ID: 0x007e00000000b5e4

Die Datei c:\Users\adm\testdatei.txt hat die Datei-ID 0x007e00000000b5e4.


Da eine Datei mehrere Namen besitzen kann (Harte Verknpfungen,
siehe den Abschnitt 6.6.3 ab Seite 328), kann bei der rckwrtigen Zuordnung Datei-ID zu Dateiname nicht garantiert werden, dass ein bestimmter Name zurckgegeben wird.
fsutil file queryfilenamebyid c:\ 0x007e00000000b5e4
Beliebiger Linkname zu dieser Datei: \\?\C:\Users\adm\testdatei.txt

Fr diese Zuordnung muss zustzlich noch der Datentrger angegeben


werden, da jeder Datentrger ber eine eigenstndige Sammlung von
Datei-IDs verfgt. Die Datei-IDs werden nicht in aufsteigender Folge vergeben, eine Suche von Dateien anhand einer geratenen Datei-ID scheint
wenig sinnvoll zu sein.

Schmutzig oder nicht?


Plattenputzen
notwendig?

324

Fr jeden Datentrger verwaltet Windows eine Kennzeichnung, ob der


Datentrger ordentlich heruntergefahren wurde oder nicht. Diese Kennzeichnung wird als dirty-Flag bezeichnet. Beim ordnungsgemen Herunterfahren eines Systems werden in diesem Prozess alle Datentrger abgemeldet und somit sichergestellt, dass zum Beispiel keine Dateien mehr offen
sind. Ein derartiger Datentrger ist dann sauber. Wird das System jedoch
wegen einer Fehlfunktion nicht ordnungsgem beendet, so verbleiben
einige oder alle Datentrger im Status dirty. Beim nchsten Systemstart stellt
der Kernel fest, wenn ein Datentrger sich im Status dirty befindet, und startet dann automatisch das Programm chkdsk.exe, um den Datentrger zu
berprfen (siehe den Abschnitt 6.7 ab Seite 331). Mit dem Befehl

Datentrgerverwaltung auf der Kommandozeile


fsutil dirty query s:
Volume - s: ist NICHT fehlerhaft.

kann der Status eines Laufwerks oder Mountpunkts abgefragt werden,


mit dem Befehl
fsutil dirty set s:
Volume - s: ist jetzt als fehlerhaft markiert

wird die Kennzeichnung gesetzt, einen Befehl, um sie manuell wieder


zurckzusetzen, gibt es nicht, dies kann von einem erfolgreichen Durchlauf des Prfprogramms chkdsk.exe bewerkstelligt werden.

Laufwerksinformationen und -statistik


Mit dem Befehl
fsutil fsinfo drives
Laufwerke: A:\ C:\ D:\ E:\ S:\ W:\ Z:\

erhlt man eine Auflistung aller aktuell im System verwendeten Laufwerksbuchstaben. Hierbei werden auch Laufwerke angezeigt, die mit dem
Programm subst.exe erzeugt wurden oder die als Netzwerkfreigabe verbunden sind. Mit dem Befehl
fsutil fsinfo drivetype c:
c: - Eingebautes Laufwerk
fsutil fsinfo drivetype e:
e: - CD-ROM-Laufwerk
fsutil fsinfo drivetype a:
a: - Austauschbares Laufwerk
fsutil fsinfo drivetype z:
z: - Remote-/Netzlaufwerk

kann man sich Informationen ber den Typ des betreffenden Laufwerks
angeben lassen. Detaillierte Informationen ber die Fhigkeiten eines Laufwerks erhlt man mit dem Befehl:
fsutil fsinfo volumeinfo c:
Volumename : SysDrive
Volumeseriennummer : 0x74759422
Maximale Komponentenlnge : 255
Dateisystemname : NTFS
Untersttzt die Gro-/Kleinschreibung von Dateinamen
Behlt die Gro-/Kleinschreibung von Dateinamen
Untersttzt Unicode-Dateinamen
Behlt und erzwingt Zugriffsteuerungslisten (ACL)
Untersttzt dateibasierte Komprimierung
Untersttzt Datentrgerkontingente
Untersttzt Dateien mit geringer Datendichte
Untersttzt Analysepunkte
Untersttzt Objektkennungen
Untersttzt EFS
Untersttzt benannte Streams
Untersttzt Transaktionen
Untersttzt feste Links.

325

Kapitel 6 Daten, Datentrger und Dateisysteme


Untersttzt erweiterte Attribute.
Untersttzt das ffnen nach Datei-ID.
Mit USN-Journal-Untersttzung

Einige der angezeigten Werte ergeben sich automatisch aus dem angegebenen Dateisystemtyp, andere (etwa Untersttzt EFS) lassen sich ber fsutil
behaviour-Befehle einstellen (siehe hierzu Kapitel 13). Bei der Anzeige von
Netzwerklaufwerken werden die angezeigten Werte auch immer noch
zustzlich von den Mglichkeiten des Serversystems bestimmt.
Mit dem Befehl
fsutil fsinfo ntfsinfo c:
NTFS-Volumeseriennummer :
0x887475a274759422
Version :
3.1
Anzahl der Sektoren :
0x0000000002aac7ff
Gesamtzahl Cluster :
0x00000000005558ff
Freie Cluster :
0x000000000030bdf4
Insgesamt reserviert :
0x00000000000007a0
Bytes pro Sektor :
512
Bytes pro Cluster :
4096
Bytes pro Dateidatensatzsegment : 1024
Cluster pro Dateidatensatzsegment : 0
MFT-gltige Datenlnge :
0x00000000043c0000
MFT-Start-LCN :
0x00000000000c0000
MFT2-Start-LCN :
0x0000000000000002
MFT-Zonenstart :
0x000000000022c6e0
MFT-Zoneende :
0x0000000000234cc0
RM-Bezeichner:
978E7CAB-42E3-11DE-965B-D615E89F222A
Glaube nur der
Statistik ...

lassen sich Informationen ber die Organisation des NTFS-Dateisystems


auf dem angegebenen Laufwerk ausgeben. Eine hnliche Ausgabe fr
Laufwerke mit FAT-Dateisystem existiert nicht. Mit dem Befehl
fsutil fsinfo statistics c:
Dateisystem :
NTFS
UserFileReads :
UserFileReadBytes :
UserDiskReads :
UserFileWrites :
UserFileWriteBytes :
UserDiskWrites :
MetaDataReads :
MetaDataReadBytes :
MetaDataDiskReads :
MetaDataWrites :
MetaDataWriteBytes :
MetaDataDiskWrites :

16133
453742080
15834
1082
18267976
1138
2509
11812864
3215
1237
6225920
1829

MFT-Lesevorgnge:
MFT-Lesevorgnge Bytes:
MFT-Schreibvorgnge:
MFT-Schreibvorgnge Bytes:

326

2154
9187328
957
4558848

Datentrgerverwaltung auf der Kommandozeile


MFT2-Schreibvorgnge:
0
MFT2-Schreibvorgnge Bytes:
0
Stammindexlesevorgnge:
0
Stammindexlesevorgnge Byte : 0
Stammindexschreibvorgnge:
0
Stammindexschreibvorgnge Bytes: 0
Bitmaplesevorgnge:
1
Bitmaplesevorgnge Bytes:
1048576
Bitmapschreibvorgnge:
145
Bitmapschreibvorgnge Bytes:
753664
MFT-Bitmaplesevorgnge :
4
MFT-Bitmaplesevorgnge Bytes: 16384
MFT-Bitmapschreibvorgnge:
51
MFT-Bitmapschreibvorgnge Bytes: 278528
Benutzerindexlesevorgnge:
794
Benutzerindexlesevorgnge Bytes: 5070848
Benutzerindexschreibvorgnge:
585
Benutzerindexschreibvorgnge Bytes: 2711552
Protokolldateilesevorgnge:
7
Protokolldateilesevorgnge Bytes:
28672
Protokolldateischreibvorgnge:
2217
Protokolldateischreibvorgnge Bytes:
14753792
Protokolldatei voll:
0

lassen sich allerhand statistische Informationen ber die Anzahl bestimmter Operationen, die auf einem Laufwerk erfolgt sind, abfragen. Die Zahlen
beginnen bei jedem Neustart wieder von 0 an zu zhlen.

Kontingentverwaltung
Mit dem Befehl fsutil quota lassen sich verschiedene Operationen fr die Jede Platte ist
Kontingentverwaltung aufrufen. Anstelle der Anzeige Unbegrenzt wie im endlich
Explorer wird allerdings eine aberwitzig groe Zahl angezeigt.
>fsutil quota query c:
Kontingente sind auf dem Volume c: nicht aktiviert.
>fsutil quota query i:
FileSystemControlFlags = 0x00000032
Kontingente werden auf diesem Volume berwacht und erzwungen.
Protokollierung fr Kontingentgrenzen und -schwellen aktivieren
Die Kontingentwerte sind aktuell.

Listing 6.13
Kontingentanzeige
auf der Kommandozeile

Standardkontingentschwelle = 0x0000000000100000
Standardkontingentgrenze = 0x0000000000200000
...
SID-Name
= CONTOSO\user2 (Benutzer)
nderungszeit
= Dienstag, 25. August 2009
Verwendetes Kontingent = 3072
Kontingentschwelle
= 1572864
Kontingentgrenze = 3145728

20:22:46

327

Kapitel 6 Daten, Datentrger und Dateisysteme


SID-Name
= CONTOSO\adm (Benutzer)
nderungszeit
= Dienstag, 25. August 2009
Verwendetes Kontingent = 2048
Kontingentschwelle
= 18446744073709551615
Kontingentgrenze = 18446744073709551615

18:44:35

Der in der Ausgabe angegebene Schwellwert von 18.446.744.073.


709.551.615 entspricht in hexadezimaler Darstellung 0xFFFFFFFFFFFF
FFFF und somit 2641 oder auch 16 Exabyte. Das sollte fr einige Zeit
als Grenangabe fr Festplatten ausreichend sein.
Die Angabe Die Kontingentwerte sind aktuell bezieht sich darauf, dass Windows normalerweise im Stundentakt die Einhaltung der Grenzwerte berprft, diese Zeitspanne knnen Sie mit dem Befehl fsutil behavior query quotanotify kontrollieren beziehungsweise mit fsutil behavior set quotanotify
abndern. Die Angabe erfolgt hier in Sekunden.
Mit dem Befehl fsutil quota modify kann die Kontingentangabe fr einen
Benutzer (und eine Gruppe) gesetzt werden, die Angabe der Gre erfolgt
hierbei in Byte, leider werden Grenangaben wie K (fr KByte) oder M
(fr MByte) nicht untersttzt.

6.6.3

Laufwerksbuchstaben erzeugen
subst.exe

Verzeichnisbume haben die Eigenschaft, sich bisweilen recht tief zu verschachteln. Damit man nicht immer eine komplette, lngliche Pfadangabe
eingeben muss, besteht die Mglichkeit, einen Laufwerksbuchstaben quasi
als Abkrzung zu einem bestimmten Punkt innerhalb des Baumes zu verwenden. Mit dem Befehl
subst x: c:\users\adm\ein\ganz\langer\pfad

wird dynamisch ein neuer Laufwerksbuchstabe x: erzeugt, dessen Wurzelverzeichnis durch das reale Verzeichnis c:\users\adm\ein\ganz\langer\pfad gebildet wird. Der Pfad muss dabei bereits existieren, der Laufwerksbuchstabe darf noch keinem anderen Laufwerk zugeordnet sein.
Ruft man das Kommando ohne Parameter auf, erhlt man eine Liste aktuell erzeugter Laufwerksbuchstaben:
subst
X:\: => C:\users\adm\ein\ganz\langer\pfad

Durch Angabe des Parameters /D zusammen mit dem Laufwerksbuchstaben wird die Zuordnung wieder gelscht.
subst /d x:

Den Befehl subst.exe kann man verwenden, um auf einem Serversystem die gleichen Laufwerksbuchstaben wie auf den Clients zu erzeugen, welche die Freigaben zu einem bestimmten Laufwerksbuchstaben verbinden.

328

Datentrgerverwaltung auf der Kommandozeile

6.6.4

Verknpfungen symbolische und harte

Bei Windows 7 gibt es in der Standardinstallation keine Programme, mit


denen man harte oder symbolische Verknpfungen hnlich einfach im
NTFS-Dateisystem manipulieren kann wie mit dem Programm ln unter
Unix-artigen Betriebssystemen: Anzeigen kann man zumindest die symbolischen Links direkt ber den DIR-Befehl. Hier ein Beispiel fr die automatisch von Windows 7 angelegten Verknpfungen im Benutzerprofil:
Der Befehl DIR /A:L zeigt auch die Verlinkungen an, die mit dem Attribut Verborgen (hidden) gekennzeichnet sind.
C:\Users\jochenr-admin>DIR /A:L
Datentrger in Laufwerk C: ist Volume
Volumeseriennummer: 5A53-E976

Listing 6.14
Symbolische Verknpfungen im
Benutzerprofil

Verzeichnis von C:\Users\jochenr-admin


18.07.2009 22:56
<VERBINDUNG> Anwendungsdaten
[C:\Users\jochenr-admin\AppData\Roaming]
18.07.2009 22:56
<VERBINDUNG> Cookies
[C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\Cookies]
18.07.2009 22:56
<VERBINDUNG> Druckumgebung
[C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\
Printer Shortcuts]
18.07.2009 22:56
<VERBINDUNG> Eigene Dateien
[C:\Users\jochenr-admin\Documents]
18.07.2009 22:56
<VERBINDUNG> Lokale Einstellungen
[C:\Users\jochenr-admin\AppData\Local]
18.07.2009 22:56
<VERBINDUNG> Netzwerkumgebung
[C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\
Network Shortcuts]
18.07.2009 22:56
<VERBINDUNG> Recent
[C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\Recent]
18.07.2009 22:56
<VERBINDUNG> SendTo
[C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\SendTo]
18.07.2009 22:56
<VERBINDUNG> Startmen
[C:\Users\jochenr-admin\AppData\Roaming\Microsoft\
Windows\Start Menu]
18.07.2009 22:56
<VERBINDUNG> Vorlagen
[C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\Templates]
0 Datei(en),
0 Bytes
10 Verzeichnis(se), 61.685.010.432 Bytes frei

Wie man in Listing 6.14 erkennen kann, wird diese Technik von Windows
selbst dazu genutzt, die in die Landessprache bersetzten Namen (zum
Beispiel Eigene Dateien) auf ihren realen Namen umzusetzen. Unter Windows XP wurden diese Verzeichnisnamen noch real angelegt, sodass Programme bisweilen Probleme hatten, den verwendeten Namen bei einer
anderen Sprachversion herauszufinden.

329

Kapitel 6 Daten, Datentrger und Dateisysteme

Die Programme attrib.exe (Anzeige und Manipulation von Dateiattributen), icacls.exe und cacls.exe (Anzeige und Manipulation von Dateiberechtigungen) verwenden den Parameter /L, um die Verknpfung
anstelle des Verknpfungsziels zu bearbeiten.
Aus anderen Quellen gibt es einige Programme, mit denen man ebenfalls
Verknpfungen manipulieren kann:
linkd.exe Das Tool stammt ursprnglich aus den Windows Server 2003
Resource Kit Tools und ist ber die Adresse [RES] zu erhalten. Obwohl
im Namen Server steht, lsst sich die Tool-Sammlung nach Besttigung einer Warnmeldung ber bekannte Kompatibilittskonflikte
auch auf Windows 7 installieren. Das Programm linkd lsst sich nicht
dazu verwenden, Verknpfungen zu bearbeiten, die mit den Attributen Versteckt (Hidden) oder System versehen sind.
junction.exe Das Programm kommt aus der Softwaresammlung Sysinternals (siehe [SYS]). Im Gegensatz zu linkd.exe kann es auch automatisch alle Unterverzeichnisse durchsuchen, um die symbolischen
Verknpfungen anzuzeigen. Zustzlich hat es keine Probleme mit der
Anzeige von verborgenen Dateien.
hlscan.exe Das Programm stammt ebenfalls aus den Windows Server
2003 Resource Kit Tools und dient zur Anzeige von harten Verknpfungen
(Hard Links). Wie aus dem Beispiel in Listing 6.15 ersichtlich, verwendet
Windows 7 diese Technologie dazu um Systemdateien, die mehrfach
bentigt werden (in Common Files fr Programme die immer die aktuelle Version einer Datei verwenden mchten, in winsxs fr Programme,
die eine spezielle Version bentigen), platzsparend zu speichern. Durch
den Link zwischen den beiden Dateien wird nur einmal Speicherplatz
fr den Inhalt reserviert. Mit dem Programm fsutil.exe (das zu Windows 7 gehrt) knnen harte Verknpfungen auch auf der Kommandozeile erzeugt werden, siehe hierzu den Abschnitt 6.6.2 ab Seite 322.
ln.exe und Ls.exe Diese beiden Programme stammen aus der Programmsammlung Subsystem fr Unix (SFU Services for Unix), die
zunchst ber Systemsteuerung/Programme/Programme und Funktionen/
Windows-Funktionen aktivieren und deaktivieren unter der Komponente
Subsystem fr Unix-basierte Anwendungen installiert werden muss. Im
zweiten Schritt muss dann im Startmen der Eintrag Subsystem fr
Unix-basierte Anwendungen/Dienstprogramme herunterladen ausgefhrt
werden, um die Anwendungen aus dem Netz zu laden (~ 400 MB).
Mit dem Programm ln.exe knnen dann Verknpfungen (harte und
symbolische) angelegt werden (erster Befehl in Listing 6.16), mit der
Option l des Kommandos ls.exe wird die Anzahl der Links einer
Datei angezeigt (zweiter Befehl in Listing 6.16, die Spalte direkt vor
dem Benutzernamen adm).
Listing 6.15 >hlscan
Verwendung von WARNING !! you don't have the BACKUP privilege,
harten Verknpfun- you may not have access to some files or directories
gen durch Windows 7

330

Datentrger berprfen
Hard Links Report for \\WIN7LAP
Report Time: 08/15/2009 13:38:14
Scanned Areas: C:\
Hard Links Found in C:\ (recursive search):
ID: 0x1000000002613 - Hard Links Count: 2 - Missing: 0
Creation Time: 04/22/2009 05:45:10
Last Access Time: 04/22/2009 05:45:10
C:\Windows\winsxs\x86_microsoft-windows-t..platformcomruntime_31bf3856ad364e35_6.1.7100.0_none_3b83803a8c25331c\
InkDiv.dll
C:\Program Files\Common Files\microsoft shared\ink\InkDiv.dll
ID: 0x1000000002614 - Hard Links Count: 2 - Missing: 0
Creation Time: 04/22/2009 06:00:45
Last Access Time: 04/22/2009 06:00:45
C:\Windows\winsxs\x86_microsoft-windows-t..platformcomruntime_31bf3856ad364e35_6.1.7100.0_none_3b83803a8c25331c\
InkObj.dll
C:\Program Files\Common Files\microsoft shared\ink\InkObj.dll
C:\Users\adm>ln diagnostic.txt test2.txt
C:\Users\adm>ls -li
46489 -rwx------+ 2
67151 -rwx------+ 1
46489 -rwx------+ 2

6.7

*.txt
adm Gruppe
adm Gruppe
adm Gruppe

2322 Jul 26 00:37 diagnostic.txt


2700 Jul 26 02:40 small.txt
2322 Jul 26 00:37 test2.txt

Listing 6.16
Verwendung der
Unix-Tools zur
Erzeugung und
Anzeige von harten
Verknpfungen

Datentrger berprfen

Auch wenn Computer heute eher selten Fehler im Bereich der Hardware Vertrauen ist gut,
produzieren, so knnen sie doch auftreten. Bei der berprfung von Daten- Kontrolle ist
besser
trgern muss man zwei Arten der berprfung unterscheiden:
1. berprfung auf Fehler des physischen Datentrgers (Fehler 1. Art).
2. berprfung auf Fehler in der logischen Konsistenz der abgebildeten
Datenstrukturen (Fehler 2. Art).
Die Fehler der 1. Art sind heute fast vollstndig aus dem Blickfeld entschwunden, da die modernen Festplatten mit ihrer eigenen Intelligenz solche Fehler selber erkennen und fehlerhafte Sektoren von sich aus durch
Reservesektoren ersetzen. Dies hat dann allerdings auch zur Folge, dass
man als Anwender diese Fehler zunchst nicht bemerkt, bis die Festplatte
nicht mehr in der Lage ist, derartige Fehler zu kaschieren. Erkennt also
Windows einen solchen Fehler, ist meist die Festplatte bereits kurz vor dem
Totalausfall. Fr die Abfrage der Diagnoseinformationen der Festplatte
muss man dann auf Hilfsprogramme der Hersteller der Festplatten ausweichen, eine bersicht die Programme verschiedener Hersteller liefert
[DIA]. Eventuell liefern auch die Hersteller von Komplettsystemen angepasste Diagnoseprogramme fr die von Ihnen eingesetzten Festplatten mit.

331

Kapitel 6 Daten, Datentrger und Dateisysteme

Die Fehler der 2. Art treten demgegenber hufiger auf, insbesondere


dann, wenn entweder Programme fehlerhaft auf die Datentrger zugreifen oder wenn ein Computer in der Mitte einer Operation pltzlich abgeschaltet wird. Das Gute ist, dass diese Fehler prinzipiell reparierbar sind.
Beide Arten von Fehlern lassen sich durch die Fehlerberprfung von
Windows erkennen. Rufen Sie zunchst ber Start/Computer die Eigenschaften des betrachteten Laufwerks auf. Die Fehlerberprfung findet
sich auf der Registerkarte Tools und kann durch Bettigung von Jetzt prfen gestartet werden.
Abbildung 6.40
Fehlerberprfung
eines Laufwerks

Die Festplattenberprfung bietet nur zwei Optionen an (siehe Abbildung


6.41):
Dateisystemfehler automatisch korrigieren Diese Option ist standardmig aktiviert. Sollte die berprfung Fehler im Dateisystem feststellen, werden diese direkt korrigiert. Fehlerhafte Sektoren werden
nur dann erkannt, wenn sie von Teilen der Verwaltungsinformationen
belegt werden.
Fehlerhafte Sektoren suchen/wiederherstellen Hierbei werden alle Sektoren eines Datentrgers gelesen, egal ob belegt oder frei. Dies kann,
insbesondere bei greren Datentrgern, recht lange dauern.
Abbildung 6.41
Optionen der
Datentrgerberprfung

332

Datentrger berprfen

Problematisch bei der Datentrgerberprfung ist, dass sie nur auf Daten- Keine Prfung im
trgern durchgefhrt werden kann, die gerade nicht von anderen Program- laufenden
men verwendet werden. Insbesondere das Systemlaufwerk kann deshalb Verkehr
nicht im laufenden Betrieb berprft werden. Hier wird die berprfung
dann beim nchsten Systemstart durchgefhrt, eine entsprechende Option
wird angeboten.
Abbildung 6.42
berprfung
vertagt

Bei Laufwerken, die aktuell nicht verwendet werden, kann die berprfung sofort gestartet werden. Eine optische Kontrolle der durchgefhrten
Aktion ist nur schwer mglich, da die Aktionen zu schnell ablaufen. Die in
Abbildung 6.43 ersichtliche berprfung der SID bezieht sich brigens
nicht darauf, dass in den ACL vorhandene unbekannte SIDs (zum Beispiel
von gelschten Benutzern) erkannt und korrigiert werden.
Abbildung 6.43
berprfung luft

Nach Ende der berprfung erscheint eine Zusammenfassung der Ergebnisse, durch Bettigung des Links Details einblenden kann eine ausfhrlichere Erklrung zu den erfolgten Aktionen und Prfungen eingesehen
werden. Leider ist es nicht mglich, diese Zusammenfassung fr ein Protokoll in eine andere Anwendung zu kopieren. Diese Informationen lassen
sich aber ber die Ereignisanzeige im Anwendungsprotokoll einsehen
(siehe Listing 6.17). Fr die Prfung im laufenden System werden die Eintrge unter der Quelle Chkdsk abgelegt, fr die Prfung whrend des Systemstarts unter der Quelle Wininit.
Abbildung 6.44
Alles in Butter

333

Kapitel 6 Daten, Datentrger und Dateisysteme


Listing 6.17
Ergebnis der Datentrgerprfung

Protokollname: Application
Quelle:
Chkdsk
Datum:
31.08.2009 10:40:08
Ereignis-ID: 26214
Aufgabenkategorie:Keine
Ebene:
Informationen
Schlsselwrter:Klassisch
Benutzer:
Nicht zutreffend
Computer:
win7.contoso.com
Beschreibung:
Chkdsk wurde im Lesen-/Schreibenmodus ausgefhrt.
Dateisystem auf S: wird berprft.
Die Volumebezeichnung lautet Save.
CHKDSK berprft Dateien (Phase 1 von 3)...
256 Datenstze verarbeitet.
Dateiberprfung beendet.
0 groe Datenstze verarbeitet.
0 ungltige Datenstze verarbeitet.
0 E/A-Datenstze verarbeitet.
2 Analysedatenstze verarbeitet.
CHKDSK berprft Indizes (Phase 2 von 3)...
348 Indexeintrge verarbeitet.
Indexberprfung beendet.
CHKDSK berprft Sicherheitsbeschreibungen (Phase 3 von 3)...
256 SDs/SIDs verarbeitet.
berprfung der Sicherheitsbeschreibungen beendet.
46 Datendateien verarbeitet.
Das Dateisystem wurde berprft. Es wurden keine Probleme
festgestellt.
25596927
15503408
116
66999
65536
10026404

KB
KB
KB
KB
KB
KB

Speicherplatz auf dem Datentrger insgesamt


in 119 Dateien
in 48 Indizes
vom System benutzt
von der Protokolldatei belegt
auf dem Datentrger verfgbar

4096 Bytes in jeder Zuordnungseinheit


6399231 Zuordnungseinheiten auf dem Datentrger insgesamt
2506601 Zuordnungseinheiten auf dem Datentrger verfgbar

Die Prfung whrend des Systemstarts wird durch eine entsprechende


Meldung beim Startprozess angekndigt. Da dieser Vorgang recht zeitaufwendig sein kann, hat man die Mglichkeit, den Vorgang durch einen
Tastendruck abzubrechen. Nach Abschluss der Prfung startet das System automatisch neu.

334

Datentrger defragmentieren
Abbildung 6.45
berprfung
whrend der Startphase

Datentrgerberprfung auf der Kommandozeile


Die Datentrgerberprfung lsst sich auch von der Kommandozeile aus
starten. Die Anwendung hierfr heit chkdsk.exe. Gegenber der grafischen
Version bietet sie einige Parameter mehr. Die wichtigsten hierbei sind:
/F Veranlasst chkdsk, notwendige nderungen auch auf den Datentrger zu schreiben. Ohne diesen Parameter fhrt es nur eine Prfung
durch, repariert aber nicht. Ist dieser Parameter nicht gesetzt, kann es
auch auf aktuell verwendeten Datentrger angewendet werden, ohne
dass die Prfung erst beim nchsten Systemstart durchgefhrt werden kann.
/V Schreibt beim Arbeiten den Namen der gerade betrachteten Datei
mit.
/R berprft alle Sektoren auf dem Datentrger und versucht, noch
lesbare Daten auf zweifelhaften Sektoren in andere Sektoren zu verlagern. Die Sektoren, die nicht mehr gelesen werden knnen, werden als
defekt markiert und somit von der weiteren Belegung ausgesondert.
/X Sofern sich noch Dateien im Zugriff auf dem Datentrger befinden, werden diese zwangsweise geschlossen, dies kann fr die betroffenen Anwendungen unter Umstnden problematisch sein.
/B Nur zusammen mit der Option /R verwendbar. berprft als
defekt markierte Sektoren erneut.

6.8

Datentrger defragmentieren

Im Optimalfall besteht eine Datei auf einem Datentrger aus einer konti- Daten in Brocken
nuierlichen Folge von Clustern, sodass sie in einem Rutsch ohne erneute
Suchoperation der Festplatte gelesen werden kann. Leider ist dieser optimale Zustand nur sehr selten anzutreffen, meistens verteilen sich die
Dateien auf zwei oder sogar noch mehr einzelne Stcke auf der Platte.
Warum passiert dies? Bei den allermeisten Dateien ist am Anfang nicht
klar, wie gro die Datei spter mal werden soll. Wird also das Betriebssystem aufgefordert, eine Datei neu anzulegen, so sucht es sich zunchst mal
irgendwo auf dem Datentrger einen freien Platz. Fngt nun die Datei an

335

Kapitel 6 Daten, Datentrger und Dateisysteme

zu wachsen, kann es vorkommen, dass der verfgbare Platz nicht ausreicht, um genau an die schon bestehenden Daten neue Daten anzuhngen. Das System muss also einen neuen Datenbereich beginnen.
Diese Zerstckelung der Datenbereiche wird Fragmentierung genannt.
Kann man das verhindern? Eigentlich nicht. Sobald man Dateien hat, deren
Gre wchst, wird man immer auch Dateien haben, die ber ihren verfgbaren Platz hinauswachsen. Man kann allerdings im Nachgang versuchen,
eine derartig in mehrere Teile aufgespaltene Datei auf einen anderen, bislang freien Platz zu verschieben, an dem sie wieder in einem Stck abgespeichert werden kann. Whrend einer solchen Operation ist natrlich der
Zugriff auf diese Datei nur eingeschrnkt mglich. Aus diesem Grund
wird auch kein System derartige Aufrumarbeiten permanent durchfhren, dies wird man immer zu Zeiten durchfhren, zu denen mglichst
wenige sonstige Aktivitten stattfinden.
Um die Defragmentierung aufzurufen, gibt es mehrere Mglichkeiten;
zum einen ber die Eigenschaften eines Laufwerks in der Registerkarte
Tools oder ber Systemsteuerung/System und Sicherheit und dann den Eintrag Festplatte defragmentieren unterhalb von Verwaltung.
Abbildung 6.46
Kontrolle der
Defragmentierung

Im Gegensatz zu frheren Windows-Versionen wird bei Windows 7 die


Defragmentierung automatisch von System durchgefhrt, ein manueller
Eingriff des Administrators ist somit nicht mehr zwingend erforderlich.
Im Dialogfeld in Abbildung 6.46 sieht man im oberen Teil den aktuell fr
die Defragmentierung eingerichteten Zeitplan und im unteren Teil die
Laufwerke, auf denen eine Defragmentierung durchgefhrt werden
kann, sowie den Zeitpunkt der letzten Durchfhrung.
Durch Bettigung der Schaltflche Zeitplan konfigurieren hat man die Mglichkeit, die Defragmentierung auf Zeiten zu legen, die besser mit dem persnlichen Arbeitsverhalten bereinstimmen. Die genaueren Optionen der

336

Datentrger defragmentieren

Zeitplanung lassen sich ber die Aufgabenplanung in der Systemsteuerung konfigurieren, dort kann man einsehen, dass die Aktion Defragmentierung nur unter folgenden Rahmenbedingungen erfolgt:
Computer befindet sich seit mindestens drei Minuten im Leerlauf.
Aktion wird unterbrochen, falls Leerlauf beendet wird, und startet
von Neuem, wenn wieder Leerlauf eintritt.
Aktion startet nur, wenn Computer mit Netzstrom betrieben wird,
Aktion wird beendet, wenn Computer in Akkubetrieb wechselt.
Sofern die eingestellte Startzeit verpasst wird, Aktion schnellstmglich nachholen.
Diese Bedingungen sind so gewhlt, dass die normale Arbeit mit dem
System mglichst wenig gestrt wird.
Abbildung 6.47
Zeitplanung der
Defragmentierung

6
ber die Schaltflche Datentrger auswhlen kann man bestimmen, welche
Datentrger fr die Defragmentierung vorgesehen sind.
Sobald in Abbildung 6.46 eines der Laufwerke ausgewhlt wurde, kann man
mit der Schaltflche Datentrger analysieren eine berprfung des Datentrgers durchfhren lassen. Die Prozentanzeige im Dialogfeld gibt dann die
Anzahl der defragmentierten Dateien an, ab einem Wert von etwa 10% sollte
man durch die Schaltflche Datentrger defragmentieren die Defragmentierung starten. Whrend der Vorgang luft, wird in der Spalte Status der
Ablauf protokolliert.
Abbildung 6.48
Wo soll defragmentiert werden?

337

Kapitel 6 Daten, Datentrger und Dateisysteme


Fragmente
existieren
nur lokal

Prinzipiell knnen nur lokale Datentrger defragmentiert werden, Netzwerklaufwerke mssen auf dem jeweiligen Serversystem defragmentiert
werden. Dies gilt allerdings nicht fr iSCSI- oder SAN-Laufwerke, da diese
als lokal angesehen werden. Sofern das Kontrollkstchen Neue Datentrger
automatisch defragmentieren aktiviert ist, werden auch smtliche Wechselmedien wie beispielsweise USB-Sticks in die Zeitplanung aufgenommen.
Wer dies nicht will, muss das Kontrollkstchen entsprechend deaktivieren
und die Laufwerke entsprechend einzeln selektieren.

Defragmentierung auf der Kommandozeile


Die Defragmentierung lsst sich auch ber die Kommandozeile steuern,
hierzu dient das Programm defrag.exe. Das Programm lsst sich nur ber
eine Kommandozeile mit administrativen Berechtigungen ausfhren, es
kann nicht selber eine entsprechende UAC-Abfrage ausfhren. In der einfachsten Ausfhrung wird nur das zu prfende Laufwerk als Parameter
angegeben:
Listing 6.18
Fragmentierung
war erfolgreich.

>defrag c:
Microsoft Disk Defragmenter
Copyright (c) 2007 Microsoft Corp.
"Defragmentierung" wird fr "SysDrive (C:)" aufgerufen...
Vor der Defragmentierung ausgefhrter Bericht:
Volumeinformationen:
Volumegre
= 21,33 GB
Freier Speicherplatz
= 12,57 GB
Fragmentierter Speicherplatz insgesamt
= 1%
Grter freier Speicherplatz
= 9,56 GB
Hinweis: Dateifragmente, die grer als 64 MB sind, sind
nicht in den Fragmentierungsstatistiken enthalten.
Der Vorgang wurde abgeschlossen.
Post Defragmentation Report:
Volumeinformationen:
Volumegre
= 21,33 GB
Freier Speicherplatz
= 12,57 GB
Fragmentierter Speicherplatz insgesamt
= 0%
Grter freier Speicherplatz
= 9,56 GB
Hinweis: Dateifragmente, die grer als 64 MB sind, sind
nicht in den Fragmentierungsstatistiken enthalten.

Zustzlich kann noch der Parameter /V angegeben werden. Dann werden


noch zustzliche Informationen ber den Zustand des Datentrgers ausgegeben, etwa Details ber die MFT:
...
Master File Table (MFT):
MFT-Gre
Anzahl von MFT-Datenstzen
MFT-Verwendung
MFT-Fragmente insgesamt
...

338

= 70,50 MB
= 72191
= 100%
= 2

Datentrger defragmentieren

Als weitere Optionen werden erkannt:


/C Fhrt die Defragmentierung auf allen vorhandenen Laufwerken
durch.
/E Fhrt die Defragmentierung auf allen vorhandenen Laufwerken
mit Ausnahme der angegebenen durch.
/A Fhrt nur eine Analyse der Defragmentierung durch.
/U Protokolliert den Fortgang der Aktionen auf dem Bildschirm.
/H Startet das Programm mit hoher Prioritt. Normalerweise luft
die Defragmentierung mit niedriger Prioritt, um die Arbeit im Vordergrund nicht zu beeintrchtigen.
/X Es wird nur versucht, die freien Speicherbereiche auf dem Datentrger zu greren, zusammenhngenden Blcken zu konsolidieren.
>defrag h: /x /v
Microsoft Disk Defragmenter
Copyright (c) 2007 Microsoft Corp.

Listing 6.19
Zusammenfassung
des freien Speicherplatzes

"Konsolidierung des freien Speicherplatzes" wird fr "Volume (H:)"


aufgerufen...
Vor der Defragmentierung ausgefhrter Bericht:
...
Freier Speicherplatz:
Zhler fr freien Speicherplatz
= 22
Durchschnittlicher freier Speicherplatz
= 124,00 KB
Grter freier Speicherplatz
= 1,43 MB
...
Post Defragmentation Report:
...
Freier Speicherplatz:
Zhler fr freien Speicherplatz
= 8
Durchschnittlicher freier Speicherplatz
= 348,00 KB
Grter freier Speicherplatz
= 2,69 MB

In Listing 6.19 kann man die Auswirkung der Defragmentierung direkt


sehen. Wo es vorher noch 22 einzelne freie Bereiche auf dem Datentrger
gab, sind es nach der Konsolidierung nur noch acht. Die durchschnittliche Gre eines derartigen freien Bereiches hat sich ebenso verdoppelt
wie die Gre des grten freien Bereiches.
Mit dem Programm DiskView (siehe SYS) lsst sich eine grafische Darstellung der Belegung eines Datentrgers anzeigen, hierbei kann man
auch einzelne Dateien hervorheben lassen.

Defragmentierung in speziellen Fllen


Manchmal mchte man nicht gleich die komplette Platte defragmentieren, sondern interessiert sich nur fr eine ganz spezielle Datei. Hier hilft
das Programm contig.exe (siehe SYS). Mit diesem Programm kann zum
einen analysiert werden, aus wie vielen Fragmenten eine Datei besteht,
zum anderen kann eine Datei gezielt defragmentiert werden. Im Beispiel

339

Kapitel 6 Daten, Datentrger und Dateisysteme

in Listing 6.20 wird zustzlich die Option V verwendet, um eine ausfhrlichere Ausgabe zu erhalten.
Listing 6.20
Defragmentierung
einer einzelnen
Datei

>contig -v h:\big.txt
Contig v1.55 - Makes files contiguous
Copyright (C) 1998-2007 Mark Russinovich
Sysinternals - www.sysinternals.com
-----------------------Processing h:\big.txt:
Scanning file...
Scanning disk...
File is 22 physical clusters in length.
File is in 11 fragments.
Found a free disk block at 4455 of length 664 for entire file.
Moving 22 clusters at file offset cluster 0 to disk cluster 4455
File size: 90001 bytes
Fragments before: 11
Fragments after : 1
-----------------------Summary:
Number of files processed : 1
Number of files defragmented: 1
Average fragmentation before: 11 frags/file
Average fragmentation after : 1 frags/file

340

Netzwerkgrundlagen

Computer knnen ihre Strke, das Verarbeiten von Informationen, erst dann
wirklich einsetzen, wenn sie nicht alleine sind, sondern Daten mit anderen
Systemen austauschen knnen. Aus diesem Grund wurden Netzwerke entwickelt, mit denen viele Computer untereinander verbunden werden knnen. Die Geburtsstunde von Netzwerken, wie wir sie heute kennen, wird
gemeinhin auf den 29. Oktober 1969 gelegt, als erstmals eine Datenverbindung zwischen zwei entfernten Computersystemen hergestellt wurde. Die
erste Verbindung wurde allerdings nach zwei bertragenen Zeichen abrupt
beendet, da einer der beiden teilnehmenden Computer abstrzte.
Siehe hierzu auch den Geburtstagsgru auf [GEB].

7.1

Netzwerk theoretisch

Bei der Beschftigung mit Netzwerktechnologien kommt man immer wieder auf den Begriff des ISO/OSI-Schichtenmodells. Dies ist eine theoretische
Betrachtung einer Netzwerkkommunikation, bei der die unterschiedlichen
Teilkomponenten abstrakt in Form von Schichten angeordnet werden.
Begonnen wurde die Entwicklung an diesem Modell Ende der 70er-Jahre
des vergangenen Jahrhunderts, im Jahr 1983 wurde es von der ISO (Internation Standards Organisation, quasi die internationale Version der DINOrganisation) als Standard angenommen und liegt nun als ISO 7498-1 vor.
Der Namensbestandteil OSI ergibt sich aus der Anwendung des Standards
zur Kommunikation unterschiedlicher Systeme miteinander: Open Systems
Interconnection.

341

Kapitel 7 Netzwerkgrundlagen
Kommunikation
theoretisch

Abbildung 7.1
Das ISO/OSISchichtenmodell

Basis dieses Modells ist die berlegung, dass Kommunikation auf verschiedenen Ebenen stattfindet. Auf jeder Ebene kommunizieren gleichartige Partner miteinander und bedienen sich dafr der unterliegenden
Schichten. Als Beispiel mag man sich zwei Personen vorstellen, die miteinander kommunizieren mchten. Beide verwenden gewisse Kommunikationsmittel, die bereinstimmen mssen, etwa Papier und Bleistift im
Gegensatz zu Stimme und Ohr. Beide mssen die gleiche Sprache verwenden, egal welche Kommunikationsmittel sie einsetzen. Und schlielich mssen sie auch noch ber das gleiche Thema kommunizieren. Insbesondere IT-affine Menschen haben hierbei gelegentlich Probleme.
Sender

Empfnger

Anwendung

Anwendung

Darstellung

Darstellung

Verbindung

Verbindung

Transport

Transport

Netzwerk

Netzwerk

Datenbertragung

Datenbertragung

Hardware

Hardware

Fr diejenigen Elemente ber einer Schicht sieht es so aus, als ob diese


Schicht direkt mit der korrespondierenden Schicht des anderen Kommunikationsteilnehmers kommuniziert. Eine echte Kopplung findet jedoch
nur auf der Ebene der untersten Schicht 1, der Hardware (auch Physical
Layer genannt), statt, z.B. indem ein Netzwerkkabel direkt zwischen zwei
Computern verluft. Auf der Ebene der Schichten 2 bis 7 sind diese Verbindungen nur noch virtuell. Die eigentlichen Daten, die zu transportieren sind, werden in jeder Schicht in einen Rahmen eingekapselt, der Verwaltungsinformationen fr den Transport zwischen den Schichten regelt.
Auf der Ebene der Hardware sind beispielsweise Stromspannungen definiert, die auf dem Kabel bertragen werden, auf der Ebene darber das
Format, wie aus der Folge dieser Stromspannungswechsel Anfang und
Ende eines einzelnen Datenblocks erkannt werden knnen.
Nummer und Name
der Schicht

Funktion

1
Hardware
(Physical Layer)
2
Datenbertragung
(Data Link Layer), intern
unterteilt in LLC (Logical
Link Control) und MAC
(Media Access Control)

Physikalische Verbindung, Synchronisation der


bertragung zwischen sendender und empfangender Hardware
bergabe der Daten an die physikalische bertragung, Kontrolle des Zugriffs auf das bertragungsmedium, Kontrolle der fehlerfreien
bertragung einzelner Datenpakete

Tabelle 7.1: Das ISO/OSI-Schichtenmodell von unten nach oben

342

Netzwerk-Hardware

Nummer und Name


der Schicht

Funktion

3
Netzwerk
(Network Layer)

Datenkontrolle innerhalb eines Netzsegments;


Aufteilung von groen Datenblcken in fr das
Medium passende Teilstcke; Weiterleiten von
Daten an entfernte Empfnger (Routing)
Erkennung von fehlenden oder doppelten Datenblcken; Sortierung der Datenblcke; Sammlung
der Daten von mehreren Sendern, Verteilung
ankommender Daten an mehrere Empfnger
Aufbau, Kontrolle und Abbau von Verbindungen; Ablauf von Kommunikation in Form von
festgelegten Frage-/Antwortsequenzen (Challenge/Response)
Umsetzung von Datenformaten; Mglichkeit
zur Komprimierung oder Verschlsselung der
Daten
Schnittstelle zur Benutzeroberflche

4
Transport
(Transport Layer)
5
Verbindung
(Session Layer)
6
Darstellung
(Presentation Layer)
7
Anwendung
(Application Layer)

Tabelle 7.1: Das ISO/OSI-Schichtenmodell von unten nach oben

Es wird scherzhaft oft auch von einem Fehler auf ISO-Layer 8 gesprochen,
hierbei meint man die Ebene, die noch ber der Anwendung liegt, also
den Benutzer selbst.

Sobald man auf einer Ebene eine Verbindung mit zwei ungleichen Partnern herstellen will, muss man eine Wandlung auf einer hheren Ebene
durchfhren.

7.2

Netzwerk-Hardware

Netzwerk-Hardware besteht im Prinzip aus drei unterschiedlichen Typen


von Elementen:
Netzwerk-Adapter, die einen Computer mit dem Netzwerk verbinden,
indem sie einen physikalischen Kontakt zum Netzwerk herstellen.
Aktive Netzwerkkomponenten, die dazu dienen, unterschiedliche Netzwerkbestandteile zu koppeln. Ein solches Gert wird deshalb aktiv
genannt, weil es ber ein gewisses Ma an Eigenintelligenz verfgt, um
den Datenverkehr nach gewissen Regeln zu kontrollieren. Ein typisches Beispiel einer aktiven Komponente ist ein Hub, Switch oder Router.
Passive Netzwerkkomponenten, die den unintelligenten Teil des Netzwerks bilden. Hierzu gehren Kabel, Patchfelder zur Herstellung einer
Verbindung oder auch Antennen bei einer Funkbertragung.

343

Kapitel 7 Netzwerkgrundlagen

Da die Intelligenz der aktiven Netzwerkkomponenten in Form von Programmen (Software) vorliegt, knnen diese Aufgaben von einem Computer bernommen werden; so kann man beispielsweise einen Computer
mit mehreren Netzwerkadaptern auch als Router einsetzen.
Bei den passiven Komponenten wird oftmals nach den verwendeten Kabeltypen und den erreichbaren Geschwindigkeiten unterschieden, meistens
werden die Namen fr Netzwerkkomponenten nach den zugrunde liegenden Normen und Standards fr die Datenbertragung gewhlt.
Whrend Hauptspeicher oder Datentrger immer mit Grenangaben
in Byte bezeichnet werden, hat sich im Bereich der Netzwerke bedingt
durch die ursprnglich serielle bertragung der einzelnen Bits die Grenangabe in Bit pro Sekunde (Bit/s) durchgesetzt.
Typische Beispiele fr passive Komponenten sind:
CAT-5/CAT-7 (Kategorie 5 beziehungsweise 7) Bezeichnung fr
Ethernetkabel mit verdrillten Adern (Twisted Pair), bei den Kabeln wird
oft auch nach Ausfhrung der Schirmung im Kabel unterschieden (mit
Schirmung: STP Shielded Twisted Pair und ohne Schirmung: UTP
Unshielded Twisted Pair). Kabel im Standard CAT-5 eignen sich bis zur
bertragung von 1 GBit/s (1000BASE-T), bei CAT-7 bis zu 10 GBit/s.
Diese Technologie wird berwiegend beim Aufbau einer strukturierten
Verkabelung innerhalb eines Gebudes eingesetzt.
Glasfaser, FDDI (Fiber Distributed Data Interface). Bei dieser Technologie
werden die Daten in Form von Lichtimpulsen durch eine optische Verbindung geleitet. Der Vorteil liegt hierbei darin, dass diese Verbindungen unanfllig gegenber elektrischen Beeinflussungen sind und auch
keine elektromagnetischen Felder ausstrahlen, an denen man Informationen abgreifen knnte. Die Technologie existiert sowohl fr die lokale
Anwendung als auch fr den Datentransport ber groe Entfernungen,
da die einzelnen Stationen auch viele km voneinander entfern liegen
knnen. Die mglichen Geschwindigkeiten lagen frher deutlich ber
den damaligen Mglichkeiten der Kupferkabel, heute hat sich der
Abstand relativiert. Drei Begriffe, die man in diesem Bereich immer wieder hrt, sind:
Dark Fiber Lichtwellenleiter, die zwischen zwei Punkten verlegt
ist, auf denen aber keine Daten bertragen werden und die vom
Kabeleigner ohne jegliches Anschaltequipment verkauft oder vermietet wird.
FTTH (Fiber-to-the-Home) Der Anschluss von Gebuden mit Glasfasern im Gegensatz zur herkmmlichen Technik, bei der die Hauszuleitung mit Kupferkabel erfolgt.
FTTD (Fiber-to-the-Desk) Die gebudeinterne Verkabelung fhrt
Glasfaser bis zum Arbeitsplatz auf dem Schreibtisch. Hatte frhe
Geschwindigkeitsvorteile gegenber Kupferkabel, ist aber im Vergleich dazu deutlich teurer.
ADSL/SDSL Asymmetrical und Symmetrical Digital Subscriber Line (englisch fr Digitaler Teilnehmeranschluss) beschreibt eine Technologie, bei der

344

Netzwerk-Hardware

digitale Daten mit hoher Geschwindigkeit ber normale Telefonkabel


bertragen werden. Man unterscheidet hierbei zwischen Upload (Transport von Daten vom Teilnehmer zum Anschlusspunkt) und Download
(Transport von Daten zum Teilnehmer vom Anschlusspunkt). Sind hierbei beide mglichen Geschwindigkeiten gleich, spricht man von einem
symmetrischen Anschluss, ist die Download-Geschwindigkeit hher als
die des Uploads, spricht man von einem asymmetrischen Anschluss. Da
fr den Privatbereich fast ausschlielich ADSL-Anschlsse angeboten
werden, spricht man im Allgemeinen von DSL, wenn man eigentlich
ADSL meint.
Oftmals wird die Bezeichnung DSL noch um die maximale Geschwindigkeit ergnzt, wobei hier immer die Download-Geschwindigkeit angegeben wird. Gngige Bauformen sind hier DSL-1000 (1 MBit/s), DSL2000 (2 MBit/s), DSL-6000 (6 MBit/s) oder DSL-16000 (16 MBit(s). Inzwischen werden unter der Bezeichnung VDSL auch Anschlsse mit einer
Download-Geschwindigkeit von 50 MBit/s angeboten. Die UploadGeschwindigkeit ist meist um den Faktor 10 kleiner.
WLAN Wireless LAN beschreibt eine Technologie, bei der die Systeme
statt mit Kabeln ber Funkverbindungen angeschlossen werden. Die
Reichweite einer derartigen Verbindung ist stark von der Umgebung
(Gebudebauform) abhngig und deshalb nur innerhalb einer engen
Umgebung nutzbar. Im Laufe der technischen Entwicklung haben sich
verschiedene bertragungsstandards mit unterschiedlichen maximalen Datenraten entwickelt:
IEEE 802.11b 11 MBit/s
IEEE 802.11g 54 MBit/s
IEEE 802.11n 600 MBit/s. Dieser Standard wurde erst im September 2009 verabschiedet, es gibt eine ganze Reihe von Gerten
auf dem Markt, die bereits nach einer Vorabversion der Spezifikation IEEE 802.11 Draft n erstellt wurden.
Prinzipiell lassen sich WLAN-Adapter entweder im Betrieb mit einer
designierten Basisstation betreiben (Infrastruktur-Modus), oder zwei
WLAN-Gerte knnen miteinander eine direkte Verbindung herstellen (Ad-hoc-Modus).
GPRS, HSDPA Beschreiben Technologien zur Datenbertragung in
Mobilfunknetzen, je nach Empfangslage sind dabei Geschwindigkeiten von 53,6 KBit/s (GPRS, General Packet Radio Service im normalen
GSM-Netz) bis 7,2 MBit/s (HSDPA, High Speed Downlink Packet Access
im UMTS-Netz) mglich. Mit diesen Techniken kann man quasi an
jedem Ort, an dem man auch mit seinem Mobiltelefon telefonieren
kann, eine Verbindung zum Internet aufbauen.
POTS und ISDN Beschreiben das herkmmliche analoge Telefonnetz
(Plain Old Telephone System) beziehungsweise dessen digitalen Nachfahren (Integrated Services Digital Network). Da diese Netze nicht speziell fr
die Datenbertragung entwickelt wurden, ist eine maximale Datenbertragungsrate von 56 KBit/s (analog) beziehungsweise 128 KBit/s
(ISDN mit Zweikanalbetrieb) mglich. Da bei diesen Verbindungsarten
zunchst eine Anwahl der Gegenstelle erfolgen muss, werden diese

345

Kapitel 7 Netzwerkgrundlagen

auch als Dial Up-Verbindungen bezeichnet. Die geringe Geschwindigkeit


der Datenbertragung lsst diese Verbindungen heute den gngigen
Anforderungen nicht mehr gengen, ist aber im lndlichen Raum ohne
DSL-Versorgung meist die einzige Mglichkeit, eine Verbindung zum
Internet herzustellen.
Weitere Bauformen Es gibt noch ganze Reihe weiterer Bauformen von
Netzanschlssen, die jeweils besondere Einsatzbereiche haben. Zu nennen wren hier noch Power Line (Nutzung des heimischen Stromnetzes
anstelle normaler LAN-Verkabelung), Kabelmodem (Datentransfer ber
das Fernseh-Antennenkabel eines Kabelfernsehbetreibers) oder Satelliten-DSL (Download ber geostationre Satelliten, Upload ber klassisches Telefonnetz).
Abbildung 7.2
Ein Netzwerk
einrichten

Windows unterscheidet bei Netzwerken zunchst danach, ob die Verbindung mit dem Netzwerk permanent besteht oder ob sie erst hergestellt werden muss (Whlverbindung). Weiterhin ist von Interesse, ob das Netzwerk,
mit dem sich das System verbinden soll, das Internet oder ein privates Netzwerk ist. Als zustzliche Option besteht auch die Mglichkeit, eine Verbindung zu einem privaten Netzwerk ber einen Tunnel durch ein ffentliches
Netzwerk hindurch (VPN Virtual Private Network) herzustellen.

7.2.1

Netzwerkadapter fr lokale
Verbindungen

Als lokale Verbindungen sieht Windows 7 alle Netzwerkadapter an, die


direkt eine Verbindung mit dem Netzwerk herstellen. Insbesondere sind
dies Ethernet-Karten, fest eingebaut oder in Form von Steckkarten mit
USB-Anschluss oder PCMCIA-Adapterkarten. Hierbei sollte man darauf
achten, dass zum verwendeten Netzwerkadapter auch der passende Treiber vorliegt. Ist ein Treiber fr Windows 7 noch nicht verfgbar, kann
auch versucht werden, einen Treiber fr Windows Vista zu verwenden.

346

Netzwerk-Hardware
Abbildung 7.3
Netzwerkkarte mit
und ohne Verbindung zum Internet

Abbildung 7.4
Netzwerkkarte ohne
Kabelanschluss

Im Systemtray-Bereich wird fr den Netzwerkadapter ein Symbol angezeigt. Dieses ndert seine Darstellung je nachdem, ob der Adapter auch
tatschlich eine Verbindung zum Netzwerk aufbauen kann oder nicht.
Die noch bei Windows Vista vorhandene Mglichkeit, auf dem Symbol in der Leiste eine grafische Darstellung des Datenverkehrs einzurichten (Animation bei Aktivitt), besteht nicht mehr.

7.2.2

Drahtlose Netzwerke

Eine drahtlose Verbindung per WLAN ist zwar auch eine lokale Verbindung ber einen im Computer eingebauten Adapter, hier muss das System
sich aber meist erst ber ein Kennwort mit dem Gegenstck der Funkverbindung verbinden, um neben der physikalischen Verbindung auch einen
Datentransport zuzulassen. Auch Verbindungen ber das Mobilfunknetz
sind zwar drahtlos, werden fr Windows aber als eine Verbindung, die erst
durch einen Wahlvorgang hergestellt werden muss, angesehen.

Ein drahtloses Netzwerk wird im Systemtray-Bereich mit einer Darstellung


der aktuellen Feldstrke des Funkempfangs dargestellt. Auf das Thema
WLAN wird ausfhrlicher in Kapitel 8 eingegangen.
Abbildung 7.5
Funkempfang beim
WLAN

7.2.3

Netzwerke fr Punkt-zu-PunktVerbindungen

Verbindungen, die den Computer zu einem ganz bestimmten, angeb- Kein Netz unter
baren Zugangspunkt im Netzwerk verbinden, werden Whlverbindun- dieser Nummer?
gen genannt. Hierbei wird noch unterschieden, ob die Verbindung zum
Internet hergestellt wird oder zu einem privaten Netzwerk. Zwei Sonderformen gilt er hier zu beachten:

347

Kapitel 7 Netzwerkgrundlagen
VPN-Verbindung Hier wird ber eine bereits bestehende Verbindung

ein Tunnel zu einer Gegenstelle in einem privaten Netzwerk hergestellt.


Der lokale Computer wird dadurch zu einer Auenstelle des entfernten
Netzwerkes, die Kommunikation zwischen diesem Netz und dem lokalen System wird durch Verschlsselung vor dem Netz, durch das der
Tunnel verluft, verborgen.
Breitband-Verbindung (DSL) Hier nimmt das System ber eine bestehende Ethernet-Verbindung Kontakt mit einem DSL-Modem auf und
stellt so eine Verbindung mit dem Internet her. Die Verbindung zwischen
DSL-Modem und lokalem Netzwerkadapter arbeitet dabei mit dem Protokoll PPPoE (Point-to-Point-Protocol over Ethernet) im Gegensatz zur
Verbindung mit einem DSL-Router, bei dem zwischen DSL-Router und
lokalem Netzwerkadapter mit dem IP-Protokoll gearbeitet wird. Erkennbar ist der Unterscheid auch daran, dass die DSL-Zugangsdaten auf dem
Computer und nicht auf dem DSL-Router gespeichert werden.

7.2.4

WAN-Netzwerke und die Anbindung


ganzer lokaler Netzwerke

Sobald eine grere Anzahl von Systemen an einem Standort gemeinsam


auf das Internet zugreifen wollen, wird man dieses Netzwerk mit einem
Router und/oder einer Firewall versehen. Die Kommunikation mit dem
Internet wird dann nur ber diese eine Komponente durchgefhrt. So kann
an dieser einen Stelle auch die Kontrolle ber die entsprechenden Datenstrme erfolgen. Das lokale System im Netzwerk wei dann selber nichts
darber, wie die Anbindung real durchgefhrt ist, und hat auch keinen Status darber, ob aktuell eine Verbindung besteht oder nicht.
Die einfachste und kleinste Form dieser Anbindung ist die Verwendung
eines blichen DSL-Routers, mit oder ohne WLAN-Anbindung. Zu beachten
ist hierbei, dass die Erstinstallation eines solchen Gertes meist nur ber eine
kabelgebundene Verbindung mglich ist. In dem DSL-Router existieren
dann mehrere Kabelanschlsse fr lokale Gerte und einer zum Anschluss
an das Telefonnetz.

7.3
Immer nach
Protokoll
verfahren!

348

Netzwerkprotokolle

Die Bezeichnung Netzwerkprotokoll wird in durchaus verschiedenen Bereichen gebraucht, obwohl sich die einzelnen Protokolle auf vllig unterschiedlichen Ebenen des ISO-Schichtenmodells bewegen. Als Beispiel mag hier die
Kommunikation zwischen Webserver und Browser dienen, diese wird ber
das Protokoll HTTP (Hypertext Transfer Protocol, ISO-Schicht 7) abgewickelt.
Die einzelnen Datenpakete dieses Protokolls werden ber TCP (Transmission
Control Protocol, ISO-Schicht 4) bertragen. Und die Pakete des TCP wiederum bestehen aus IP-Paketen (Internet Protocol, ISO-Schicht 3). Die Protokolle bauen also aufeinander auf. Nicht zu vergessen natrlich, dass die IPPakete selber wiederum mit einem Protokoll der physikalischen Datenbertragung (etwa Ethernet-Frames, ISO-Schicht 2) transportiert werden.

Netzwerkprotokolle

In diesem Abschnitt betrachten wir die Protokolle der unteren Schichten


(ISO-Schicht 4 und abwrts).

7.3.1

Alte Bekannte und Exoten

Verschiedene Protokolle, die frher in Verwendung waren, werden inzwischen nicht mehr untersttzt:
NetBEUI Das Protokoll (NetBIOS extended User Interface) war das Standardprotokoll von Windows bis einschlielich der Version Windows
2000. Fr Windows XP und Windows Server 2003 konnte das Protokoll
noch manuell nachinstalliert werden, fr die spteren Versionen wurde
das Protokoll nicht mehr angeboten. Das Protokoll selbst ist nur fr kleine
Netzsegmente geeignet und bedarf keines Konfigurationsaufwandes.
IPX/SPX Die Protokolle (Internetwork Packet Exchange/Sequenced Packet
Exchange) wurden ursprnglich von der Firma Novell fr ihre NetWareSysteme verwendet. Im Gegensatz zu NetBEUI konnte ein IPX/SPXNetz auch aus mehreren Teilnetzen bestehen, was es auch fr grere
Installationen verwendbar machte. Nachdem aber Novell selbst seine
NetWare-Systeme auf die Verwendung von TCP/IP umgestellt hatte,
begann das Interesse an IPX/SPX nachzulassen. Windows XP war das
letzte System, fr das Microsoft das Protokoll noch anbot.
AppleTalk Diese Protokoll wurde ursprnglich von der Firma Apple
fr die Systeme der Macintosh-Reihe entwickelt, inzwischen aber auch
von Apple selbst fr TCP/IP aufgegeben. Von Microsoft wurde dieses
Protokoll noch bis einschlielich Windows 2000 untersttzt.

7.3.2

Das IP-Protokoll Version 4

Das Internet-Protokoll (IP-Protokoll ist eigentlich eine sprachlich unzulssige


Verdoppelung) bildet die Grundlage des Datentransports im Internet. Entwickelt wurde das Protokoll ursprnglich fr das amerikanische Forschungsund Militrnetzwerk ARPANet. Bedingt durch die zeitliche Entwicklung
wird heute der Begriff IP meist mit der vierten Version des Protokolls (IPv4)
gleichgesetzt, das 1981 im Dokument [RFC791] festgelegt wurde.
RFC bedeutet ausgeschrieben Request for Comment (Aufforderung zum
Kommentieren) und beschreibt ein Dokument, in dem grundlegende Vorschriften ber die Implementation bestimmter Aspekte der Netzwerkkommunikation festgelegt werden. Das Besondere an den RFC ist, dass
ihr Inhalt nach der Verffentlichung nicht mehr verndert wird. Werden
Fehler in einem RFC festgestellt oder mchte man Erweiterungen zu
einem bestehenden RFC publizieren, wird ein neuer RFC aufgelegt und
der alte als eben das bezeichnet: veraltet (obsolated). Die RFC werden
dabei aufsteigend numerisch bezeichnet. Der ganze Prozess wird dabei
durchaus auch mit einer Prise technischem Humor gewrzt. So ist in
[RFC1149] (A Standard for the Transmission of IP Datagrams on Avian Carriers) beschrieben, wie man IP-Pakete mit Brieftauben transportieren
kann. Verffentlicht wurde der RFC am 1. April 1990 und befindet sich
immer noch im Status Experimental.

349

Kapitel 7 Netzwerkgrundlagen

Basis des Protokolls ist die IP-Adresse, mit der jedes Gert, das mit dem
Netzwerk verbunden ist, bezeichnet wird. Diese Adresse wird aus 32 Bits
dargestellt, diese werden blicherweise in der Form von vier Dezimalzahlen dargestellt, die mit Punkten verbunden werden. Jede einzelne der vier
Zahlen wird somit durch 8 Bits dargestellt, dies erlaubt die Werte von 0 bis
255 einschlielich. Somit ergeben sich insgesamt maximal 4.294.967.296
unterschiedliche IP-Adressen. Dies erschien in der Anfangszeit des Internets, als es wenige Tausend Systeme gab, noch relativ viel zu sein. Inzwischen prognostiziert man jedoch, dass es in wenigen Jahren keine IPAdressen mehr zur Verteilung gbe.
Das Netz sind
Netze und Hosts

Tabelle 7.2
Zusammenhang
zwischen
IP-Adresse,
Subnetzmaske und
Netzwerkadresse

Um eine sinnvolle Strukturierung des Adressraums zu erreichen, teilt


man die IP-Adresse logisch in zwei Teile auf:
Netzwerkadresse Steht immer am Anfang der IP-Adresse. Mit einer
sogenannten Subnetzmaske wird der Teil der Netzadresse aus der IPAdresse ausmaskiert.
dezimal

Binr

IP-Adresse

201.193.233.137 11001001 11000001 11101001 10001001

Subnetzmaske

255.255.255.0

11111111 11111111 11111111 00000000

Netzwerkadresse

201.193.233.0

11001001 11000001 11101001 00000000

Mchte man eine IP-Adresse zusammen mit ihrer Subnetzmaske angeben, schreibt man entweder die dezimale Darstellung durch einen
Schrgstrich getrennt dahinter (201.193.233.137/255.255.255.0) oder gibt
an, wie viele mit 1 gesetzte Bits am Anfang der Subnetzmaske stehen
(201.193.233.137/24).
Hostadresse (Systemadresse) Beinhaltet die Bits der IP-Adresse, die
nicht zur Netzwerkadresse gehren, im obigen Beispiel also137.

Routing
Mchte nun ein System mit einem anderen System kommunizieren, so
errechnet der Sender seine Netzadresse aus seiner eigenen IP-Adresse und
eigenen Subnetzmaske und vergleicht dies mit der Netzwerkadresse, die er
aus der IP-Adresse des Empfngers und seiner eigenen Subnetzmaske
erhlt (die Subnetzmaske des Empfngers ist unbekannt). Stellt es dabei
fest, dass das Zielsystem die gleiche Netzwerkadresse hat, so geht es davon
aus, dass es dieses System auch direkt erreichen kann.
Stimmen die Netzwerkadressen nicht berein, muss das sendende System
ein System finden, das in der Lage ist, das Datenpaket in Richtung zum
Zielsystem weiter zu leiten. Im einfachsten Fall kennt das System nur einen
einzigen Kontaktpunkt (auch Router genannt) fr diese Aufgabe, dieser
wird Standardgateway (Default Gateway) genannt. In einem Netzwerk mit
mehreren Routern mssen vom Administrator Routen konfiguriert werden. Diese enthalten prinzipiell die folgenden Angaben: Welche Netzwerk-

350

Netzwerkprotokolle

adresse kann erreicht werden? ber welche IP-Adresse kann der Router
erreicht werden? Welcher lokale Adapter soll fr die Route verwendet werden? Wie teuer ist diese Verbindung? Die letzten beiden Angaben sind
optional, die Angabe des Adapters ist nur von Interesse, wenn an einem
Netzwerk mehrere Adapter parallel angeschlossen sind. Die Angabe der
Kosten (Metric) ist dann interessant, wenn ein Zielnetzwerk ber mehrere
Routen erreichbar ist. Das System kann dann den Datenverkehr ber die
gnstigste Strecke leiten. Ist die beste Route nicht verfgbar, versucht das
System automatisch, den Datenverkehr ber einen Umweg zu leiten, ohne
dass der Administrator manuell eingreifen msste.

Datentransportprotokolle
Zum eigentlichen Transport der Daten dienen die beiden Protokolle TCP
(Transmission Control Protocol) und UDP (User Datagram Protocol). Der
Unterschied zwischen beiden Protokollen besteht darin, dass bei TCP
eine feste Verbindung zwischen Sender und Empfnger aufgebaut wird.
Schon auf Protokollebene wird dafr gesorgt, dass alle Datenpakete der
Verbindung in der richtigen Reihenfolge und ohne Auslassungen ausgetauscht werden. Gehen whrend der bertragung Pakete verloren oder
werden verstmmelt, so fordert der jeweilige Empfnger automatisch
eine erneuete Sendung des Pakets an. Bei UDP findet ein derartiger Verbindungsaufbau nicht statt. Der Sender sendet sofort seine Daten an den
Empfnger, ohne zu wissen, ob dieser die Daten berhaupt empfangen
kann. Auf gleichem Wege verluft die bertragung von Rckmeldungen.
Das Programm, das UDP verwendet, muss selbst dafr sorgen, dass doppelte oder fehlende Pakete erkannt werden, und dementsprechend reagieren. Der Vorteil von UDP gegenber TCP besteht darin, dass die
Datenbertragung schneller stattfinden kann, da kein umstndlicher Verbindungsaufbau und -abbau zu Beginn und Ende der Datenbertragung
stattfinden muss.

Was wre ein


Netz ohne
Daten, die es
transportiert?

Um auf einem System mehrere parallele Datenbertragungen zu ermglichen, werden bei TCP und UDP die Verbindungen auf einem System
ber Portnummern adressiert. Eine Verbindung auf dem System wird
somit immer ber vier Zahlenangaben in einem Tupel unterschieden: IPAdresse Empfnger, Portnummer Empfnger, IP-Adresse Sender, Portnummer Sender. Fr bestimmte Dienste sind bestimmte Portnummern
beim Empfnger vorab definiert, zum Beispiel HTTP (Verbindungen mit
einem Webserver) auf Nummer 80. Mchte nun ein Client eine Datenbertragung aufbauen, so whlt er eine bei ihm nicht vergebene Portnummer (Quellport) und sendet die Nachricht an den bekannten Port des
Serversystems (Zielport) auf dem empfangenden System. Der Server sendet dann seine Rckantwort an diese vom Client gewhlte Portnummer
zurck. Baut der Client nun gleichzeitig eine zweite Verbindung zum Server auf, whlt er beim Verbindungsaufbau eine andere Portnummer aus,
da die erste verwendete Nummer ja nun von der ersten Verbindung
bereits belegt ist. Auf diese Weise kann der Server die beiden Verbindungen unterscheiden. Eine solche Kombination aus den vier Parametern der
Verbindung wird auch Socket genannt.

351

Kapitel 7 Netzwerkgrundlagen
Listing 7.1
Mehrere Verbindungen zu einem
Zielport nutzen
unterschiedliche
Quellports.

>netstat
Proto
TCP
TCP
TCP
TCP
TCP
TCP
TCP

n
Lokale Adresse
192.168.0.99:49168
192.168.0.99:49169
192.168.0.99:49170
192.168.0.99:49171
192.168.0.99:49172
192.168.0.99:49173
192.168.0.99:49175

Remoteadresse
62.245.190.22:80
62.245.190.22:80
62.245.190.22:80
62.245.190.22:80
62.245.190.22:80
62.245.190.22:80
74.125.47.147:80

Status
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT

Der Befehl netstat gibt eine Liste der aktiven Netzwerkverbindungen


aus, das Argument n sorgt dafr, dass die IP-Adressen und Portnummer nicht in Namen bersetzt werden. Die IP-Adresse 192.168.0.99 ist
die lokale Adresse des Systems, die IP-Adresse 62.245.190.22 entspricht
dem Webserver www.addison-wesley.de, die Adresse 74.125.47.147 gehrt
zu Google.

Namensfragen
IP-Adressen sind fr Computer sehr praktisch, weil diese gut mit Zahlen
umgehen knnen. Fr Menschen trifft dies nur bedingt zu. Menschen knnen besser mit Namen umgehen, zu denen sie eine gedankliche Verbindung
aufbauen knnen. Aus diesem Grund wurde DNS (Domain Name System)
entwickelt, ein System, um Namen zu IP-Adressen und umgekehrt zuordnen zu knnen. Im obigen Beispiel mit dem Befehl netstat haben wir extra
angefordert, dass diese bersetzung unterbleiben soll. Das System ist hierbei mehrstufig aufgebaut.
Abbildung 7.6
Struktur des DNSNamensraum

. (root)

com

de

biz

pearson
Q=A

addison-wesley
Pedsmtpgw
62.245.190.19

352

Q=MX

Q=A

pedsmtpgw.
pearson.de

www
62.245.190.22

Netzwerkprotokolle

An oberster Stelle steht die sogenannte rootzone (Wurzelzone), die als Namen sind
Namen einen einzelnen Punkt besitzt und von einer Ansammlung von 13 Schall und Rauch
sogenannten Rootservern vorgehalten wird, die unter der Verwaltung einer
Organisation mit Namen ICANN (Internet Corporation for assigned Names
und Numbers Internet-Vereinigung fr zugewiesene Namen und Nummern) stehen. Diese Vereinigung entscheidet ber die Zulassung der
Domnen der obersten Ebene (TLD Top Level Domain), hier gibt es die
klassischen generischen TLD (gTLD) wie beispielsweise com fr kommerzielle Angebote, lnderspezifische TLD (ccTLD, country code TLD) wie etwa
de fr Angebote aus Deutschland und eine ganze Reihe von neuen Domnen wie etwa biz fr Business. Die einzelnen Namensbestandteile einer
Adresse werden dabei durch Punkte voneinander abgetrennt.
Eine Liste aller aktuell vorhandenen TLD kann unter der Adresse [TLD]
abgefragt werden. Diese Liste reicht bei den ccTLD aktuell von ac fr
Ascension Island (eine Inselgruppe zwischen Afrika und Sdamerika)
bis zw fr Zimbabwe (Simbabwe). Aktuell ist im Kreis der ICANN eine
Diskussion im Gange, ob die ccTLD auch mit lnderspezifischen Zeichen geschrieben werden knnen, etwa in einem kyrillischen oder ostasiatischen Zeichensatz.
Mchte man zu einem DNS-Namen (im Beispiel www.addison-wesley.de)
die IP-Adresse herausfinden, wird dieser Name von rechts nach links analysiert. Die erste Domne, die dabei gefunden wird, ist de. Nun werden die
Rootserver befragt, welcher Server fr de zustndig ist. Dieser Server wird
dann gefragt, wer fr die Domne addison-wesley innerhalb der Domne de
zustndig ist. Dies kann durchaus ein anderer Server sein, wenn man die
Domne addison-wesley innerhalb der Domne com betrachtet.

Hat man nun erfahren, welcher Server fr die Domne addison-wesley.de


zustndig ist, kann man diesen Server nach der gewnschten Information
fragen. Hier kann man nun nach verschiedenen Informationen fragen, beispielsweise eine Abfrage nach der Adresse des Systems (querytype = A) mit
dem Namen www innerhalb der Domne, wenn man die Webseite der
Domne betrachten will. Mchte man hingegen an die Domne eine E-Mail
schicken, so wird man den Server nach dem zustndigen Mailaustauschsystem (querytype = MX. Mail Exchanger) befragen. In diesem Fall erhlt
man aber vom DNS keine IP-Adresse zurck, sondern nur die Information,
dass dieses System den Namen pedsmtpgw.pearson.de trgt. Der Vorgang
der Namensauflsung beginnt also mit dem neuen Namen von vorne.
Damit der Vorgang der Namensauflsung mglichst rasch geschieht,
werden die Informationen im DNS in den einzelnen Servern automatisch
zwischengespeichert. Fr jeden Eintrag existiert dabei eine Zeitspanne,
wie lange dieser Eintrag im Zwischenspeicher vorgehalten werden soll.
Dies hat andererseits auch zur Folge, dass nderungen in den Eintrgen
des DNS eine gewisse Zeit bentigen, wie sie allgemein bekannt sind, da
es keine Mglichkeit gibt, die zwischengespeicherten Eintrge vorzeitig
zu erneuern.

353

Kapitel 7 Netzwerkgrundlagen
Listing 7.2
Beispiel fr DNSAbfragen mit
nslookup

>nslookup -q=ns de.


Nicht autorisierte Antwort:
de
nameserver = a.nic.de
...
de
nameserver = z.nic.de
>nslookup -q=ns addison-wesley.de z.nic.de
addison-wesley.de
nameserver = ns1.m-online.net
addison-wesley.de
nameserver = ns2.m-online.net
>nslookup -q=a www.addison-wesley.de ns1.m-online.net
Server: ns1.m-online.net
Address: 212.18.0.8
Name:
www.addison-wesley.de
Address: 62.245.190.22

Im Beispiel in Listing 7.2 werden insgesamt drei DNS-Abfragen mit dem


Programm nslookup.exe durchgefhrt. Bei der ersten Abfrage (nslookup
q=ns de.) wird der Standard-Nameserver nach der Adresse (querytype = ns)
des Nameservers fr die TLD de. gefragt. Als Antwort kommt eine ganze
Reihe von zustndigen Systemen zurck, aus der Antwort whlen wir
einen Server aus. Die Antwort wird gekennzeichnet als Nicht autorisierte
Antwort, weil wir einen DNS gefragt haben, der die Informationen nur
anhand seiner zwischengespeicherten Ergebnisse gegeben hat. Dieser Zwischenspeicher ist aber nicht befugt, eine finale Antwort zu geben, dies
knnten nur die Rootserver machen. Bei der zweiten Abfrage (nslookup
q=ns addison-wesley.de z.nic.de) wird nun einer der Server aus der ersten
Antwort (hier z.nic.de) gefragt, wer ein Nameserver (querytype = ns) fr die
Domne addison-wesley.de ist. Als Antwort erhlt man nun zwei Servernamen, von denen man fr die dritte Abfrage einen auswhlt. In dieser
dritten Abfrage (nslookup q=a www.addison-wesley.de ns1.m-online.net)
wird nun tatschlich nach der Adresse fr den Servernamen www.addisonwesley.de gefragt. Was bei der ganzen Betrachtung unterschlagen wurde, ist
noch eine ganze Reihe weiterer DNS-Abfragen, ohne welche die hier dargestellten Abfragen nicht funktionieren wrden. Beispielsweise muss ja fr
die zweite Abfrage zunchst mal die Adresse z.nic.de in eine IP-Adresse
gewandelt werden.
Aus diesem Beispiel mag man ersehen, dass ein strungsfreies Funktionieren der DNS-Abfragen eine wesentliche Grundvoraussetzung
fr das Funktionieren der Netzwerkfunktionalitten ist.
blicherweise werden einem System zwei oder mehr DNS genannt, an
die es seine Anfragen zur Namensauflsung schicken kann. Hierbei sollte
aber darauf geachtet werden, dass beide DNS ber den gleichen Datenbestand verfgen. Der zweite DNS wird nur dann angefragt, wenn der
erste DNS keine Antwort liefert. Liefert er eine negative Antwort (diese
Anfrage ergibt kein Resultat), wird Windows nie den zweiten DNS fragen.
Es bringt also nichts, einem System zwei DNS zu benennen, wobei der

354

Netzwerkprotokolle

erste fr die Adressen im Internet und der zweite fr die Adressen im


Intranet zustndig sein soll.

Besondere IP-Adressen und automatische Adresszuweisung


Es gibt eine Reihe von IP-Adressen mit besonderer Bedeutung. Diese werden speziell behandelt und sind zum Beispiel nicht fr die Verwendung im
Internet nutzbar:
10.x.y.zEin privates Netzwerk. Diese IP-Adressen werden von einem
Router weder als Sender noch als Empfngeradresse verwendet. Sie
dienen dazu, ein lokales, abgeschlossenes Netzwerk mit IP-Adressen
zu versehen. Die Standardsubnetzmaske in diesem Netz ist 255.0.0.0.
172.16.x.y 172.31.x.y Ein privates Netzwerk. Die Standardsubnetzmaske in diesem Netz ist 255.255.0.0.
192.168.x.y Ein privates Netzwerk. Die Standardsubnetzmaske in
diesem Netz ist 255.255.255.0.
0.0.0.0 Bezeichnet eine nicht zugewiesene IP-Adresse, die beispielsweise nicht konfiguriert wurde.
127.0.0.1 Diese Adresse kennzeichnet das System selbst (localhost).
255.255.255.255 Diese Adresse ist die generelle Rundsende-Adresse.
Pakete, die an diese Adresse gesendet werden, knnen prinzipiell von
jedem System im jeweiligen Netzsegment gelesen werden.
168.254.x.y Sobald ein System seine IP-Adresse von einem DHCP-Server beziehen sollte, dieser Prozess aber nicht zum Erfolg fhrt, wird dem
System eine Adresse aus dem Bereich zugewiesen. Dieser Prozess wird
auch als APIPA (Automatic Private IP Addressing) bezeichnet.

In vielen Fllen mchte man nicht jedes System im Netzwerk manuell mit
einer IP-Adresse konfigurieren. Hierfr wurde ein automatisches Verfahren
mit Namen DHCP (Dynamic Host Configuration Protocol) entwickelt, das
diese Adressvergabe automatisch durchfhrt. Hierfr wird auf einem
DHCP-Server ein Pool von IP-Adressen angelegt (DHCP-Scope), die zur Verteilung zur Verfgung stehen. Ein als DHCP-Client konfiguriertes System
fragt per Rundsendung in das Netz, ob es dort einen DHCP-Server gibt, der
ihm eine Adresse zuteilen mchte. Der DHCP-Server erkennt diese Rundsendungen und teilt dem DHCP-Client eine Adresse aus seinem Pool zu.
Man spricht davon, dass der Client ein Lease erhalten hat.
>ipconfig /all
Windows-IP-Konfiguration
Hostname . . . . . .
Primres DNS-Suffix .
Knotentyp . . . . . .
IP-Routing aktiviert
WINS-Proxy aktiviert
DNS-Suffixsuchliste .

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

:
:
:
:
:
:

win7lap

Listing 7.3
berprfung der
IP-Adressen mittels
ipconfig

Hybrid
Nein
Nein
rid

Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:

355

Kapitel 7 Netzwerkgrundlagen
Verbindungsspezifisches DNS-Suffix: rid
Beschreibung. . . . . . . . . . . : Atheros AR5007EG Wireless
Network Adapter
Physikalische Adresse . . . . . . : 00-24-D2-2C-88-1F
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 192.168.0.99(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Mittwoch, 4. November 2009
08:13:18
Lease luft ab. . . . . . . . . . : Donnerstag, 5. November 2009
08:13:18
Standardgateway . . . . . . . . . : 192.168.0.254
DHCP-Server . . . . . . . . . . . : 192.168.0.254
DNS-Server . . . . . . . . . . . : 192.168.0.254
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Verwaltung
automatisch

Zusammen mit dieser Adresszuweisung kann dem Client auch noch eine
ganze Reihe von Verwaltungsinformationen mit bertragen werden,
sodass an der Netzwerkkonfiguration des Clients keinerlei manuelle Eingaben mehr erforderlich sind, auch wenn der Client pltzlich an einen
anderen Netzwerkstandort wechselt. Der DHCP-Server kontrolliert, wie
lange ein Client seine IP-Adresse behalten darf; diese Zeitspanne wird
auch als Leasedauer bezeichnet. Im obigen Beispiel in Listing 7.3 betrgt
diese Zeitspanne genau einen Tag. Noch vor Ablauf dieser Zeitspanne
muss sich der Client an den Server wenden, der die Adresse ursprnglich
zugeteilt hatte (hier 192.168.0.254), und versuchen, eine Verlngerung der
Zeitspanne zu erreichen.
Einige Dienste laufen nur im TCP, andere nur mit UDP, und manche
verwenden beide Protokolle. Einen Einblick in die mglichen Dienste
bekommt man mit der Datei %windor%\system32\drivers\etc\services,
in der die Zuordnung zwischen Dienstname, verwendetem Protokoll
und Portnummer einsehbar ist. An gleicher Stelle findet sich auch die
Datei protocol, in der man erkennen kann, welche Transferprotokolle es
auer TCP und UDP noch gibt.

Netzwerkmultiplikatoren
In den meisten Fllen bekommt man bei der Verbindung mit seinem Provider genau eine ffentliche IP-Adresse zugewiesen, mchte aber mehr als
ein System in seinem lokalen Netzwerk betreiben. Fr diesen Anwendungsfall wurde das Prinzip NAT (Network Address Translation) entwickelt.
Hier nimmt ein sogenannter NAT-Router die IP-Pakete mit einer netzinternen Adresse (typischerweise aus dem Bereich 192.168.x.y) entgegen und
gibt diese nach auen mit seiner ffentlichen IP-Adresse weiter. Kommt
dann eine Rckantwort von auen zurck so tauscht er wieder die
ursprngliche Zieladresse gegen die interne IP-Adresse des ursprnglichen Clients aus.

356

Netzwerkprotokolle

Mchte man auf einem System im inneren Netzwerk einen Dienst nach
auen anbieten, so muss man dies dem NAT-Router separat konfigurieren, damit er wei, welche Verbindungen zu welchem Port er zu welchem
System im inneren Netz weiterleiten soll. Dies hat andererseits aber auch
zur Folge, dass so ein NAT-Router einen gewissen Schutz fr die internen
Systeme darstellt, da es nicht mglich ist, von auen direkt Kontakt mit
den internen Systemen aufzunehmen.

Ein Netzwerk ohne Betriebssystem


Man kann ein Netzwerk auch dazu verwenden, um einen Computer neu
zu installieren. Das Verfahren beruht darauf, dass auf dem Computer (im
BIOS oder auf dem Netzwerkadapter) ein Modul beim Start des Systems
versucht, einen Server zu finden, von dem es ein Installationsimage erhalten kann.
Abbildung 7.7
Rechnerstart ohne
Betriebssystem

In Abbildung 7.7 sieht man einen Rechner, auf dessen Datentrger sich
kein Betriebssystem befindet. In diesem Falle versucht das BIOS, einen
Systemstart ber PXE (Preboot Execution Environment Laufzeitumgebung fr den Systemstart) durchzufhren. Hierbei wird zunchst per
DHCP eine IP-Adresse gesucht. Der DHCP-Server muss bei der Zuteilung der IP-Adresse zugleich auch dem Client mitteilen, welche PXE-Server zur Verfgung stehen. Von diesem Server wird dann per TFTP (Trivial
FTP Einfaches Protokoll zur Transfer von Dateien) ein Startprogramm
bezogen. Je nach Konfiguration wird dem Client vom TFTP-Server entweder ein komplettes Abbild zum direkten Ausfhren aus dem RAM
bertragen oder zunchst ein Abbild zur Installation des Betriebssystems
auf einem lokalen Datentrger. Auf diese Weise kann in einer Firmenumgebung die Installation eines neuen Systems direkt am Arbeitsplatz ohne
manuellen Eingriff eines Administrators erfolgen. Die hier angerissene
Methode wird ausfhrlich in Kapitel 4 besprochen.

7.3.3

Das IP-Protokoll Version 6

Schon recht frh begann sich abzuzeichnen, dass der Adressraum des
Protokolls IPv4 irgendwann erschpft sein wrde. Deshalb begann man
im Jahr 1995 mit berlegungen zu einem Nachfolgeprotokoll, das diese
Probleme des kleinen Adressraums nicht mehr haben sollte. In 1998
wurde im RFC 2460 die Konzeption des Nachfolgers IPv6 vorgestellt. In
die Entwicklung des Protokolls flossen auch viele Erfahrungen ein, die
man mit IPv4 erst im Laufe seiner Anwendung gesammelt hatte.

357

Kapitel 7 Netzwerkgrundlagen

Aufbau der IPv6-Adresse


Viel hilft viel

Basis des Protokolls ist die Erweiterung der IP-Adresse von 32 auf 128 Bits,
was zu einer Gesamtzahl von etwa 3,4 * 1038 IP-Adressen fhrt. Um sich
diese Zahl vorzustellen, mag folgende Rechnung dienen. Die Erdoberflche betrgt etwa 510*106 km2, das sind 5,1*1020 mm2. Mchte man nun
jeden Quadratmillimeter der Erdoberflche gleichmig mit IP-Adressen
belegen, so bleiben pro mm2 immer noch 6,6 * 1017 IP-Adressen brig, also
gut 600 Billiarden. Das sollte also zunchst fr das weitere Wachstum des
Internets ausreichend sein.
Whrend bei IPv4 die Adressen in Form von vier dezimalen Zahlen notiert
werden, hat man fr IPv6 ein Format mit acht Adressblcken aus jeweils
vier hexadezimalen Ziffern (0123456789abcedf) gewhlt, die durch einen
Doppelpunkt voneinander angetrennt werden. Stehen in einem dieser 4erBlcke vorne eine oder mehrere Nullen, knnen diese auch weggelassen
werden. Kommen in einem oder mehreren dieser 4er-Blcke hintereinander nur Nullen vor, knnen diese Blcke komplett gestrichen und durch
zwei aufeinanderfolgende Doppelpunkte dargestellt werden. Eine mehrfache Verwendung dieser Verkrzung ist nicht mglich.
Standardmig sind jedem Adapter gleich mehrere IPv6-Adressen zugeordnet, eine davon ist die LinkLocal-Adresse. Dies ist eine Adresse zur Verwendung im lokalen Netzwerk, wobei die tatschlich verwendete Adresse
unter anderem von der Hardware-Adresse des Netzwerkadapters abhngt
(MAC-Adresse). Diese Adressen werden im Bereich der Autokonfiguration verwendet, hnlich wie die APIPA-Adressen bei IPv4.
Bedingt durch die konzeptionelle hnlichkeit von IPv4 und IPv6 ergeben sich in der Anwendung von IPv6 viele hnlichkeiten mit bereits
bekannten Verfahren und Einstellungen. Die groen nderungen liegen eher im Bereich des Netzwerkaufbaus und seiner Strukturierung.
Eine genaue Einfhrung in dieses Thema bietet das Buch Understanding IPv6, Second Edition von Joseph Davies, Microsoft Press, ISBN-10:
0735624461, oder die Website [IPV6].

Koexistenz
Das grte Problem bei IPv6 besteht in seiner Einfhrung in ein bestehendes Netzwerk auf Basis von IPv4. Zum einen mssen alle Anwendungen
auf die Verwendung der neuen, greren IP-Adressen vorgesehen werden, zum anderen mssen die aktiven Netzwerkkomponenten fr den
Betrieb mit IPv6 vorbereitet sein. In den wenigsten Fllen wird man von
seinem Provider auch eine IPv6-Adresse bekommen. Hier zeigt sich ein
klassisches Henne-Ei-Problem: Die Provider bieten kein IPv6 an, weil die
Kunden kein IPv6 anfordern, die Kunden fordern kein IPv6 an, weil es
keine per IPv6 erreichbaren Dienste gibt, es werden keine Dienste per
IPv6 angeboten, weil die Kunden kein IPv6 nutzen knnen.

358

Netzwerkanwendungen Server und Client

Um den Flaschenhals IPv6-Provider zu umgehen, gibt es eine ganze Reihe


von Verfahren, mit denen IPv6-Pakete ber bestehende IPv4-Verbindungen
bertragen werden (Tunnel-Protokolle). Auf diese Weise kann man in seinem lokalen Netzwerk schon IPv6 verwenden und trotzdem auch Kontakt
mit bereits auf IPv6 basierenden Diensten (http://ipv6.google.com oder http://
www.six.heise.de) aufnehmen.
Im folgenden Kapitel 8 wird der Aufbau eines IPv6-Tunnels detailliert
besprochen.

7.4

Netzwerkanwendungen
Server und Client

Bei der Datenkommunikation unterscheidet man zum einen nach der


Richtung des Datentransfers (Sender und Empfnger) und zum anderen
danach, wer die Kommunikation initial angestoen hat, hier unterscheidet man zwischen Client und Server. Der Client ist immer das System,
das den Datenverkehr initial startet, der Server ist der, der diese erste
Nachricht des Clients entgegennimmt und danach eine Rckantwort sendet. In der Folge werden die Rollen von Sender und Empfnger immer
abwechselnd eingenommen.

7.4.1

Web Internetinformationsdienste (IIS)


und IE

Das WWW (World Wide Web) ist fr die meisten Nutzer eigentlich iden- Das Internet ist
tisch mit dem Internet, obwohl dieses noch einige weitere Dienste bietet. mehr als blo
Der Client fr das WWW ist der Browser, bislang bedeutet dies eigentlich das Web
immer Internet Explorer. Bei Windows 7 hat sich allerdings im Bereich der
EU die Justiz in diesen Bereich eingemischt. Nach einer Beschwerde eines
anderen Browserherstellers sah es zeitweise sogar so aus, als ob Windows 7
von Microsoft vllig ohne Browser ausgeliefert werden msste. Die aktuelle Lage im Streitfall sieht so aus, dass Windows 7 zwar mit dem Internet
Explorer ausgeliefert wird, beim ersten Start durch den Benutzer dieser
aber eine Auswahlseite zu sehen bekommt, ber die er auch andere Browser installieren kann.
Windows 7 kann jedoch nicht nur als Client im WWW agieren, es gibt auch
einen Webserver IIS (Internet Information Services), den man installieren
kann. Rufen Sie hierzu Systemsteuerung/Programme/Programme und Funktionen/Windows-Funktionen aktivieren oder deaktivieren auf. Per Klick auf das
Kontrollkstchen Internetinformationsdienste wird eine Auswahl der dazu
gehrigen Unterkomponenten angeboten.
Diese Komponente ist in allen Editionen von Windows 7 verfgbar.

359

Kapitel 7 Netzwerkgrundlagen
Abbildung 7.8
IIS-Komponenten

Insbesondere werden zunchst nur statische Seiten untersttzt, die Verwendung von dynamischen Seiten mit ASP (Active Server Pages) wird aus
Sicherheitsgrnden standardmig nicht aktiviert.
Vom Funktionsumfang unterscheidet sich IIS 7.5 in Windows 7 nicht von
der Version, die mit Windows Server 2008 ausgeliefert wird. Insbesondere ist es nun, im Gegensatz zu IIS unter Windows XP, auch mglich,
mehr als einen Webserver auf einem System zu betreiben.
Unter Windows Vista war die Anzahl gleichzeitig zu verarbeitender
Clientanfragen begrenzt. Zustzliche wurden in eine Warteschlange
eingereiht, was somit faktisch die Leistung von IIS limitierte. Informationen, ob derartige Drosselungen auch unter Windows 7 existierten,
stehen derzeit noch nicht zur Verfgung.
IIS 7.5 unter Windows 7 ist nicht dafr gedacht, als Ersatz fr einen produktiven Webserver zu dienen. Der Einsatzzweck drfte eher ein Entwicklungs- und Testsystem fr Entwickler und Webdesigner sein.

7.4.2

Fernarbeit Telnet, Remotedesktop und


Remoteuntersttzung

Die Idee, an seinem Schreibtisch zu sitzen und mit einem Computer zu arbeiten, ist ja nicht neu. Das gab es eigentlich schon, seit es Computer berhaupt
gibt. In der Anfangszeit nutzte man Terminals, die ber eine serielle Leitung
mit dem Computer verbunden waren. Mit der Einfhrung von Computernetzwerken wurde damit als einer der ersten Dienste ein netzwerkfhiges
Terminal eingefhrt, fr das sich der Name Telnet durchgesetzt hat.
In den bisherigen Versionen von Windows waren sowohl ein Programm
fr die Verwendung ber eine serielle Leitung (Hyper Terminal) als auch

360

Netzwerkanwendungen Server und Client

fr die Verbindung ber das Netzwerk (telnet.exe) mitinstalliert worden.


Die Untersttzung fr Hyper Terminal wurde mit Windows Vista komplett eingestellt, der Telnet-Client muss ber die Windows-Funktionen
separat installiert werden. Whrend die Telnet-Server-Funktion (also
anderen Benutzern erlauben, sich ber das Netzwerk anzumelden und
Kommandos auf dem lokalen System auszufhren) frher nur fr die
Server-Editionen von Windows angeboten wurde, ist diese Funktionalitt
auch fr Windows 7 verfgbar. Die Installation erfolgt ber die Auswahl
der Windows-Komponenten in der Systemsteuerung.
Abbildung 7.9
Der Telnet-Server
ist zwar installiert,
aber noch nicht aktiviert.

7
Nachdem der Telnet-Server installiert ist, muss der Dienst noch manuell aktiviert werden. Zudem wird auf dem System eine lokale Gruppe
TelnetClients eingerichtet. Nur Benutzer, die Mitglied dieser Gruppe
sind, erhalten das Recht, sich ber Telnet an diesem Rechner anzumelden, dies gilt auch fr Administratoren. Eine Regel fr den Zugriff auf
den Server wird automatisch in die Firewall eingetragen.
>telnet.exe win7lap
*===============================================================
Microsoft Telnet Server.
*===============================================================
C:\Users\user1.win7lap>set c
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=WIN7LAP
ComSpec=C:\Windows\system32\cmd.exe

Listing 7.4
Verbindungsaufbau
mittels telnet.exe

C:\Users\user1.win7lap>dir /w
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8895-41F4
Verzeichnis von C:\Users\user1.win7lap

361

Kapitel 7 Netzwerkgrundlagen
[.]
[..]
[Contacts]
[Desktop]
[Documents]
[Downloads] [Favorites] [Links]
[Music]
[Pictures]
[Saved Games] [Searches]
[Videos]
0 Datei(en),
0 Bytes
13 Verzeichnis(se), 52.887.928.832 Bytes frei
C:\Users\user1.win7lap>exit
Verbindung zu Host verloren.
Multiuser fr
geringe
Ansprche
Listing 7.5
Multiuser nur
eingeschrnkt

Es ist allerdings nicht mglich, mehr als zwei Verbindungen zu einem Telnet-Server unter Windows 7 aufzubauen. Zudem kann man zwar auch
grafische Programme starten, diese werden aber nicht auf der Oberflche
angezeigt.
C:\Dokumente und Einstellungen\jochenr>telnet.exe win7lap
Welcome to Microsoft Telnet Service
login: user1
password:
Neue Verbindung aufgrund von Beschrnkung der Anzahl der
Verbindungen verweigert
.
Verbindung zu Host verloren.

Deutlich mehr Mglichkeiten bieten die unter dem Oberbegriff Remotedesktop eingefhrten Dienste. Hierbei besteht die Mglichkeit, die komplette
Oberflche des Systems inklusive grafischer Ausgabe und Mausbedienung
auf einem anderen System zu bertragen. Bei Windows 7 gibt es diese
Dienste in zwei Ausfhrungen:
Remoteuntersttzung Bei der Remoteuntersttzung fordert der Benutzer, der gerade vor dem Computer sitzt, die Untersttzung zum Beispiel eines Supportmitarbeiters an. Hierbei knnen beide Benutzer den
Bildschirm des Anfordernden sehen und sich ber eine Chat-Funktionalitt auch austauschen. Auf Wunsch kann der Support-Mitarbeiter
auch Aktionen auf dem fremden System durchfhren.
Remotedesktop Beim Remotedesktop wird whrend der Verbindung
mit dem Remotedesktopclient der Bildschirm der ursprnglichen
Systems abgeschaltet, der Benutzer, der vor dem System sitzt, kann
also nicht sehen, was ber die Netzverbindung tatschlich ausgefhrt
wird. Diese Beschrnkung ist allerdings rein lizenztechnischer Natur,
bei gleicher Technik knnen auf einem Windows (Terminal) Server
auch viele Benutzer gleichzeitig arbeiten. Meldet man sich ber das
Netzwerk mit dem Benutzer an, der aktuell lokal angemeldet ist,
erhlt man seinen Bildschirm mit allen laufenden Applikationen
angezeigt. Meldet man sich mit einem anderen Benutzer an, wird dessen Sitzung (nach Nachfrage) gesperrt. Standardmig knnen sich
nur Administratoren per Remotedesktop anmelden, weiteren Benutzern kann diese Mglichkeit durch Aufnahme in die lokale Gruppe
Remotedesktopbenutzer erlaubt werden.

362

Netzwerkanwendungen Server und Client

Gesteuert werden beide Mglichkeiten ber den Link Remoteeinstellungen


in den Systemeigenschaften des Computers. In Kapitel 8 wird dieses Thema
ausfhrlicher behandelt. Eine weitere Mglichkeit zur Zusammenarbeit
bietet das Programm SharedView, dieses wird in Kapitel 16 vorgestellt.
Abbildung 7.10
Steuerung des
Remotezugriffs

7.4.3

Datei- und Druckerfreigabe SMB, CIFS


und NFS

Fr den Zugriff auf Dateien eines fremden Systems haben sich zwei unterschiedliche Verfahren am Markt durchgesetzt, das aus dem Unix-Bereich
bekannte NFS (Network File System) und die Datei- und Druckfreigabe unter
Windows, die unter den Bezeichnungen SMB (Server Message Block) und
CIFS (Common Internet File System) bekannt wurde. SMB wurde dabei erstmals von den Produkten LAN Manager (Microsoft) und LAN Server (IBM)
unter OS/2 1.x verwendet. Auf Clientseite wurde es mit Windows fr
Workgroups erstmals auch fr einen Betrieb ohne dezidierte Serversysteme eingefhrt.
Whrend die Datei- und Druckfreigabe Bestandteil von Windows 7 ist,
muss man die Untersttzung fr den Zugriff auf NFS-Server zunchst als
zustzliche Windows-Komponente installieren. Hat man die Komponente Client fr NFS installiert, steht der Befehl mount.exe zur Verfgung,
mit dem man eine Verbindung zu einem freigegebenen Mountpoint eines
NFS-Servers herstellen kann.
>mount -u:jochen -p:XXXX \\192.168.0.97\home *
Z: ist jetzt erfolgreich mit "\\192.168.0.97\home" verbunden.
Der Befehl wurde erfolgreich ausgefhrt.

Listing 7.6
Herstellen einer
Verbindung zu einer
NFS-Freigabe

>dir z:
Volume in Laufwerk Z: hat keine Bezeichnung.

363

Kapitel 7 Netzwerkgrundlagen
Volumeseriennummer: CE24-632E
Verzeichnis von Z:\
28.08.2008
12.08.2009
28.08.2008
28.08.2008

Wer bin ich, wer


will ich sein?

20:11
<DIR>
.
21:22
<DIR>
jochen
19:52
<DIR>
lost+found
20:11
<DIR>
..
0 Datei(en),
28.672 Bytes
4 Verzeichnis(se), 1.939.226.624 Bytes frei

Versucht man nun auf Dateien auf die Freigabe zuzugreifen, wird man
schnell feststellen, dass man nicht die Berechtigungen auf dem System hat,
die man eigentlich nach dem gewhlten Benutzernamen erwarten wrde.
Dies liegt daran, dass die NFS-Server intern nicht mit Benutzernamen arbeiten, sondern mit Benutzernummern. Da Windows 7 nicht feststellen kann,
welche Benutzernummer zu einem bestimmten Benutzer gehrt, wird eine
sogenannte anonyme Benutzernummer verwendet. Diese kann man sich
auch ber den Befehl mount.exe anzeigen lassen.

Listing 7.7
Optionen einer
NFS-Verbindung

>mount

Mein Name ist


Nobody

Interessant sind hierbei die Angaben UID=2 und GID=2. Diese weisen
den verbundenen NFS-Server an, die Verbindung mit sehr geringen
Zugriffsrechten (der Benutzer nobody) auszustatten. Um dieses Problem
zu umgehen, gibt es zwei Mglichkeiten:
1. In der Registry im Schlssel HKLM\SOFTWARE\Microsoft\
ClientforNFS\CurrentVersion\Default die beiden DWORD-Werte
AnonymousUID und AnonymousGID anlegen und mit den gewnschten
Werten versehen. Dann erhalten allerdings alle Benutzer, die auf diesem
System den NFS-Client verwenden, bei ihren Verbindungen die Berechtigungen dieses Benutzers.
2. Sie knnen den NFS-Client so konfigurieren, dass er fr die Zuordnung
von Benutzernamen unter Windows und Benutzernummer auf dem
NFS-Server Active Directory oder einen anderen Verzeichnisdienst wie
beispielsweise NIS befragt.

Lokal
Remote
Eigenschaften
------------------------------------------------------------------Z:
\\192.168.0.97\home
UID=-2, GID=-2
rsize=32768, wsize=32768
mount=soft, timeout=0.8
retry=1, locking=yes
fileaccess=755, lang=ANSI
casesensitive=no
s=sys

Die Einbindung von Windows 7 an NFS-Server kann sicherlich noch nicht


als optimal bezeichnet werden. Hier ist der umgekehrte Weg, auf dem
Unix-artigen System einen Dienst fr Datei- und Druckerfreigabe zu betreiben (Samba), der komfortablere Weg.

364

Erweiterte
Netzwerkfunktionen

Whrend im vorigen Kapitel ein eher genereller berblick gegeben und


einige Spezialthemen kurz angerissen wurden, werde ich hier die Netzwerkfunktionen in Windows 7 tiefgehender behandeln.

8.1

Netzwerkeinstellungen

Die zentrale Anlaufstelle fr die Netzwerkeinstellungen bei Windows 7


ist das Netzwerk- und Freigabecenter. Sie erreichen es unter Systemsteuerung/Netzwerk und Internet/Netzwerk- und Freigabecenter.
Abbildung 8.1
Netzwerk- und
Freigabecenter

365

Kapitel 8 Erweiterte Netzwerkfunktionen


Der zentrale
Dreh- und
Angelpunkt

Der tatschliche Anblick des Fensters kann variieren, je nach Anzahl der
vorhandenen Netzwerkschnittstellen. Im oberen Teil sehen Sie eine schematische Darstellung des gesamten Netzwerkes, darunter eine Auflistung aller
auf dem System erkannten Netzwerke, wobei zu jedem Netzwerk auch
mehr als ein Netzwerkadapter gehren kann. Zu jedem dieser Netzwerke
wird eine ganze Reihe von Daten angezeigt:
Name des Netzwerkes Dient zur Identifikation
Art des Netzwerkes (Netzwerkprofil) Mglich sind hier die Optionen Heimnetzwerk, Arbeitsplatznetzwerk, Domnennetzwerk und ffentliches Netzwerk
Zugriffstyp Gibt an, ob hier Verbindung mit dem Internet hergestellt
werden kann oder nicht
Verbindungen Gibt an, ber welche Netzwerkadapter die Verbindung hergestellt wird

8.1.1

Status eines Netzwerkadapters

Der Name des Netzwerkadapters am rechten Rand ist anklickbar, es


erscheint ein Statusfenster fr den Adapter. Das gleiche Fenster erhlt man,
wenn man im Netzwerkcenter links in der Leiste auf Adaptereinstellungen
ndern klickt und dann den gewnschten Adapter doppelt anklickt.
Abbildung 8.2
Status eines Netzwerkadapters

Adapterstatus

366

Getrennt fr die Protokolle IPv4 und IPv6 wird angegeben, ob der Adapter
eine Verbindung zum Internet herstellen kann oder nicht. Der Medienstatus
beschreibt (beispielsweise bei einem Ethernetadapter), ob das Netzwerkkabel eingesteckt ist. Ist es nicht angeschlossen, so kann die Statusanzeige
nicht angezeigt werden, wird das Kabel entfernt, whrend der Dialog geffnet ist, wird dieser automatisch geschlossen. Die bertragungsrate gibt die
nominale Geschwindigkeit der Karte an. Dieser Wert hat jedoch nichts mit
der tatschlich erreichten bertragungsgeschwindigkeit zu tun. Bei einem
WLAN-Adapter wird an dieser Stelle zustzlich auch noch die Qualitt des
Funksignals angezeigt. Die Angabe zur Aktivitt im unteren Teil wird je
nach Adapter in Bytes oder Paketen angegeben, dies hngt nicht von Win-

Netzwerkeinstellungen

dows 7, sondern vom verwendeten Netzwerktreiber ab. Genauere Informationen erhlt man durch die Schaltflche Details.
Die angezeigten Informationen beziehen sich im Wesentlichen auf die Konfiguration fr IPv4 und IPv6. Fr jedes Protokoll wird angegeben, welche
IP-Adresse dem Adapter zugeteilt wurde, zusammen mit der entsprechenden Subnetzmaske. Sind einem Adapter mehrere IP-Adressen zugeordnet,
so erscheinen auch mehrere Eintrge untereinander. Ist die IP-Adresse per
DHCP bezogen, so werden der jeweilige DHCP-Server und die Zeit, zu der
die IP-Adresse bezogen wurde und zu der die Adresse abluft, angegeben.
Fr die Namensauflsung werden die eventuell gesetzten DNS-Server
(siehe Kapitel 8) und WINS-Server (Windows Internet Naming Service, ein
Dienst zur Namensauflsung, der vorwiegend fr Windows NT bentigt
wurde) in heutigen Netzen eigentlich nicht mehr verwendet.
Abbildung 8.3
Detailinformationen ber einen
Adapter

Mit der Schaltflche Eigenschaften lassen sich die Eigenschaften der einzelnen Protokolle und Dienste ndern (siehe hierzu den Abschnitt 8.1.2 ab
Seite 367). Mit der Schaltflche Deaktivieren lsst sich ein Netzwerkadapter komplett ausschalten, dann sind keinerlei Datenbertragungen mehr
mglich. Diese Funktion erreichen Sie auch ber die Seite Adaptereinstellungen ndern mit der dortigen Funktion Netzwerkgert deaktivieren.

Mit der Schaltflche Diagnose versucht das System festzustellen, welche


mglichen Probleme bei einem Netzwerkadapter aufgetreten sind, und
gibt dann Hinweise auf Fehlerursachen, die man berprfen mge.

8.1.2

Netzwerkadapter, Protokolle und Dienste

Im vorigen Kapitel haben Sie die theoretische Schichtung der einzelnen


Kommunikationsebenen kennengelernt, hier knnen Sie diese jetzt in der
Realitt von Windows 7 sehen. Rufen Sie zunchst die Schaltflche Eigenschaften im Status-Dialogfeld eines Netzwerkadapters auf.
Im oberen Teil sehen Sie die physikalische Netzwerkkarte, ber die Schaltfl- Netzwerk zum
che Konfigurieren knnen Sie deren Eigenschaften festlegen. Diese Einstel- Anfassen
lungen knnen Sie auch erreichen, wenn Sie im Gerte-Manager der Compu-

367

Kapitel 8 Erweiterte Netzwerkfunktionen

terverwaltung die dortigen Eigenschaften des Netzwerkadapters aufrufen.


Zu den dort zugnglichen Informationen gehren beispielsweise Informationen ber Hardware-Ressourcen oder wie der Adapter von der Energieverwaltung behandelt werden soll. Nhere Informationen hierzu finden Sie in
Kapitel 2. In der Liste der Elemente sehen Sie anhand der Symbole vor der
Beschreibung, um was fr Elemente es sich handelt. Die T-frmigen Kabelabschnitte (in Abbildung 8.4 unten) kennzeichnen Protokolle, diejenigen mit
dem Computersymbol auf einer Hand kennzeichnen Dienste und solche mit
einem Computer am Kabel Klienten.
Abbildung 8.4
Eigenschaften einer
Netzwerkkarte

Sie knnen sich den Unterscheid zwischen Protokoll, Dienst und Klient
ganz einfach merken: Ein Klient fragt ber ein Protokoll einen Dienst an,
und dieser sendet die Antwort ber das gleiche Protokoll wieder zurck.

Protokolle
Nur Protokolle, bei denen ein Haken im entsprechenden Kontrollkstchen
gesetzt ist, knnen ber diesen Adapter auch verwendet werden. Die beiden Eintrge Interprotokoll Version 4 und Internetprotokoll Version 6 knnen
hierbei ber die Schaltflche Eigenschaften auch konfiguriert werden (siehe
den Abschnitt 8.2 ab Seite 374), dafr ist dort die Deinstallation nicht mglich. Die beiden Protokolle E/A-Treiber fr Verbindungsschicht-Topologieerkennungszuordnung und Antwort fr Verbindungsschicht-Topologieerkennung
gehren logisch zusammen und bilden zusammen das Link Layer Topology
Discovery Protocol (LLTP). Diese beiden Teilprotokolle werden von Windows Vista und Windows 7 verwendet, um Computer im lokalen Netzwerk
zu finden und sie in einem Netzwerkdiagramm anordnen zu knnen. Sind
diese beiden Protokolle nicht aktiviert, so wird der betreffende Computer
nicht in der Netzwerkbersicht angezeigt beziehungsweise kann er selber
diese bersicht nicht aufbauen und anzeigen. Dies ist auch der Grund,
warum Systeme mit Windows XP nicht in dieser bersicht erscheinen, weil
sie dieses Protokoll standardmig nicht untersttzen.

368

Netzwerkeinstellungen

Das LLTP-Protokoll lsst sich fr Windows XP nachrsten, siehe hierzu


[LLTP].

Dienste
Dienste stellen Informationen fr andere Teilnehmer im Netzwerk zur
Verfgung, hier sind zwei gelistet:
Datei- und Druckfreigabe fr Microsoft-Netzwerke Nur wenn dieser
Dienst aktiviert ist, kann das System seine Drucker oder Datentrger
anderen Systemen zur Verfgung stellen. Ist dieser Dienst nicht aktiviert,
so ist dies nicht mglich (siehe hierzu den Abschnitt 8.7 ab Seite 428).
QoS-Paketplaner Quality of Service beschreibt ein Verfahren, mit dem
auf Anforderung einer Anwendung ein bestimmter Anteil der Bandbreite einer Verbindung fr diese Anwendung reserviert werden kann.
Diese Beschrnkung der verfgbaren Bandbreite wird aber nur durchgefhrt, wenn tatschlich eine Anwendung diese Reservierung anfordert. Man gewinnt also keinerlei zustzliche Bandbreite, wenn man den
Dienst deaktiviert.

Klienten
Als einziger Klient wird der Client fr Microsoft-Netzwerke installiert. Nur Fremde Netze
mit diesem ist es mglich, auf Ressourcen (freigegebene Datentrger und
Drucker) von anderen Systemen zuzugreifen.
ber die Schaltflche Installieren kann man zustzliche Protokolle, Dienste
und Klienten hinzufgen, zum Beispiel einen Klienten fr den Zugriff auf
Server unter Novell NetWare. Hierzu muss dann der entsprechende Datentrger dem System verfgbar gemacht werden.

8.1.3

Unterschiedliche Netzwerkprofile und die


Kopplung zwischen Protokollen und
Diensten

Im Netzwerk- und Freigabecenter wird fr jedes Netzwerk angezeigt, welches Profil (auch Netzwerkstandort) auf dieser Netzwerkkarte aktiviert ist.
Die vier mglichen Profile sind:
Heimnetzwerk Der Computer steht in einem privaten Netzwerk, jeder
kennt jeden und vertraut ihm. Als Zusatzfunktion knnen sie eine
Heimnetzwerkgruppe bilden (siehe den Abschnitt 8.9 ab Seite 447).
Arbeitsplatznetzwerk Auch hier steht der Computer in einer vertrauten Umgebung, die Funktionalitt Heimnetzgruppe ist allerdings nicht
vorhanden.
Domnennetzwerk Das Netzwerk wird ber die Einstellungen der
Domnencontroller gesteuert, lokale Einstellungen sind nicht mglich.
ffentliches Netzwerk Die Umgebung des Computers ist potenziell
gefhrlich, fremde Systeme knnen versuchen, das System ber das
Netzwerk anzugreifen.

369

Kapitel 8 Erweiterte Netzwerkfunktionen

Im Netzwerkcenter wird zu jedem Adapter angezeigt, zu welchem Netzwerkprofil Windows den Adapter zuordnet, durch Klick auf die Bezeichnung des Adapters erhlt man die Mglichkeit, das Profil selber auszuwhlen.
Abbildung 8.5
Netzwerkprofil
manuell auswhlen

Nicht jedes Profil


kann man frei
whlen

Die Einstellung Domnennetzwerk kann man nicht manuell auswhlen,


diese wird automatisch gewhlt, sobald der Computer ber dieses Netzwerk Kontakt mit seinem Domnencontroller aufnehmen kann. Die Erklrungen zu den einzelnen Auswahlpunkten erlutern die Auswirkungen der
Einstellung nochmals. Um festzustellen, in welchem Netzwerk sich das System aufhlt, verwendet Windows eine Funktion mit Namen Netzwerkerkennung (Network Location Awareness, NLA), diese bestimmt verschiedene
Parameter und entscheidet danach, ob das aktuelle Netzwerk ein bereits
bekanntes ist oder ein neues.

Der Netzwerktyp lsst sich nicht einstellen


Bisweilen kommt es vor, dass sich der Netzwerktyp nicht einstellen lsst
und fest auf ffentliches Netzwerk bleibt. Dies ist insofern schlecht, als dass
somit die Firewall auf dem maximalen Schutz steht und die Nutzbarkeit
des Adapters im lokalen Netzwerk stark eingeschrnkt ist.
Abbildung 8.6
Unbekanntes Netzwerk, keine nderung des Typs
mglich

Starten Sie in diesem Fall den Editor fr die lokale Sicherheitsrichtlinie (secpol.msc), und navigieren Sie zum Knoten Sicherheitseinstellungen/Netz-

370

Netzwerkeinstellungen

werklisten-Manager-Richtlinien. Dort auf dem Knoten die rechte Maustaste


klicken und Alle Netzwerke anzeigen auswhlen.
Abbildung 8.7
Richtlinien fr den
Netzwerkmanager

Im rechten Teil des Fensters sehen Sie dann alle aktuell bekannten Netzwerke, das erste in der Liste ist das Netzwerk, das aktuell im Netzwerkcenter angezeigt wird. Durch einen Doppelklick auf den Netzwerknamen im
rechten Feld lsst sich dann einstellen, was der Benutzer mit dem Netzwerk tun darf und ob dieses ein privates oder ffentliches Netzwerk ist.
Abbildung 8.8
Typ des Netzwerks
einstellen

Die Erkennung des Netzwerkes arbeitet dabei im Wesentlichen mit zwei


Daten: dem DNS-Suffix der IP-Adresse des Netzwerks und der MACAdresse (Hardwareadresse) des zu diesem Adapter gehrigen Standardgateways. Dies erklrt auch, warum ein Netzwerk, in dem kein Gateway
zugewiesen ist und das kein DNS-Suffix setzt, zunchst nicht erkannt
wird. Bei derartig erkannten Netzwerken knnen in der Richtlinie auch
der Name und das angezeigte Bild konfiguriert werden.

371

Kapitel 8 Erweiterte Netzwerkfunktionen

Diese Netzwerke merkt sich Windows 7 alle, und fr jedes kann beziehungsweise muss der Benutzer einstellen, ob es sich dabei um ein privates
oder ein ffentliches Netzwerk handelt. Allerdings ist die Anzahl der privaten Netzwerke, mit denen man sich verbindet, doch eher begrenzt. Deshalb kann man in Abbildung 8.5 auch das Kontrollkstchen Zuknftige
Netzwerke als ffentliche Netzwerke behandeln markieren und wird nicht weiter mit Nachfragen gestrt.
Klickt man im Netzwerk- und Freigabecenter doppelt auf das Bild neben
einem der Netzwerknamen, so erhlt man (sofern man die Berechtigungen
dazu hat) die Mglichkeit, den angezeigten Namen und das Bild zu ndern.
ber die Schaltflche ndern kann man unter einer Reihe von Bildern auswhlen, auf Wunsch kann man auch eigene Bilder erstellen und diese dann
ber die Schaltflche Durchsuchen aus einer Bilddatei oder einer Programmdatei laden.
Insbesondere fr Systeme, die oft zwischen unterschiedlichen Netzwerken wechseln, ist der Link Netzwerkadressen zusammenfhren oder lschen
interessant.
Abbildung 8.9
Bild eines Netzwerks ndern

Ein Netzwerk wird als verwaltet bezeichnet, wenn es sich in einer


Domne befindet, wobei diese Zuordnung (wie man am Beispiel bei rid
Netzwerk sehen kann) nicht immer stimmt. Das Netzwerk contoso.com
erscheint in dieser Liste, weil das System frher Bestandteil dieser Domne
war. Die noch nicht erkannten Netzwerke werden in dieser Liste nicht
aufgefhrt. Die hier aufgefhrten Netzwerke entsprechen in der Registry
den Daten in den Schlsseln Managed beziehungsweise Unmanaged
unterhalb von HKLM\Software\Microsoft\Windows NT\CurrentVersion\
NetworkList\Signatures. Man kann Netzwerke, deren Daten man nicht
mehr bentigt, ber die Schaltflche Lschen entfernen. Sobald mehrere
Netzwerke markiert sind, knnen diese mit der entsprechenden Schaltflche zusammengefhrt werden.

372

Netzwerkeinstellungen
Abbildung 8.10
Verwaltete und
nicht verwaltete
Netzwerke

Netzwerkprofile und ihre Auswirkungen auf Dienste


Bettigt man im Netzwerk- und Freigabecenter im linken Aktionsbereich
den Link Erweiterte Freigabeeinstellungen ndern, so gelangt man auf eine
Seite, auf der man den Zusammenhang zwischen Netzwerkprofil und
Netzwerkdiensten erkennen kann. In Abbildung 8.4 hatten Sie gesehen,
dass es eine Bindung zwischen den Netzwerkdiensten (etwa Datei- und
Druckfreigabe) und einzelnen Adaptern gibt. Hier nun lassen sich diese Bindungen getrennt fr das jeweilige Netzwerkprofil einstellen, dies ist besonders dann wichtig, wenn ein Netzwerkadapter in unterschiedlichen Umgebungen verwendet wird (etwa WLAN im Firmennetz versus WLAN am
Hotspot im Caf an der Ecke).
Abbildung 8.11
Bindungen und
Netzwerkprofile

373

Kapitel 8 Erweiterte Netzwerkfunktionen

Zunchst muss man die Einstellungen des gewnschten Netzwerkstandortes erweitern, am Anfang ist immer der Standort erweitert, in dem sich
der Computer aktuell befindet. Hier ist dies Privat oder Arbeitsplatz (siehe
hierzu die Erklrung unter dem Netzwerknamen Nicht erkanntes Netzwerk
in Abbildung 8.6). Fr die folgenden Netzwerkdienste kann jetzt angegeben werden, ob diese bei diesem Netzwerkprofil aktiviert oder nicht aktiviert sein sollen:
Netzwerkerkennung
Datei- und Druckfreigabe
Freigabe des ffentlichen Ordners
Medienstreaming
Dateifreigabeverbindungen
Kennwortgeschtztes Freigeben
Heimgruppenverbindungen
Zu den einzelnen Diensten werden in dem Fenster entsprechende Hilfestellungen und Erklrungen angeboten.

8.2

TCP/IP-Einstellungen

Fr jeden Adapter, fr den eines der TCP/IP-Protokolle aktiviert ist, knnen ber die Schaltflche Eigenschaften in Abbildung 8.4 die Eigenschaften
dieses Protokolls festgelegt werden. Die Einstellungen sind auf zwei
Bereiche aufgeteilt, zunchst kann man die Basisdaten ndern, die weiteren Einstellungen sind jeweils ber die Schaltflche Erweitert verfgbar.

Abbildung 8.12: TCP/IP-Einstellungen in IPv4 und IPv6

Fr die Bereiche IP-Adresse und DNS-Server muss jeweils getrennt entschieden werden, ob man die Informationen von einem DHCP-Server automatisch beziehen will oder ob man die Daten manuell eingeben mchte. In einer
vollstndig verwalteten Umgebung werden beide Daten von einem DHCP-

374

TCP/IP-Einstellungen

Server bereitgehalten, deshalb ist die Standardeinstellung auch jeweils ...


automatisch beziehen. Es ist nicht mglich, die DNS-Adressen per DHCP zu
beziehen und die IP-Adressen manuell einzustellen. Umgekehrt ist dies
jedoch mglich.
Sofern die Daten manuell eingestellt sind, ist das Kontrollkstchen Einstellungen beim Beenden berprfen aktiv. Dies hat allerdings keine Auswirkung auf typische Fehlkonfigurationen wie unerreichbares Gateway
oder falscher DNS-Server.
Sobald bei IPv4 auf automatische Adresszuweisung eingestellt wurde, ist
dort eine weitere Registerkarte Alternative Konfiguration erreichbar. Diese
Informationen dienen zur Behandlung des Falls, dass der Computer keinen
DHCP-Server findet, etwa weil er momentan in einem Netzwerk betrieben
wird, in dem kein derartiger zur Verfgung steht.
Abbildung 8.13
Alternative IPv4Konfiguration

8
Wahlweise kann entweder eine Adresse aus dem APIPA-Adressbereich Von der
verwendet werden (169.254.x.y), oder es wird eine manuell eingetragene Entwicklung
Adresse verwendet. Im Hilfetext zu dieser Funktion wird als Beispiel das berholt
Netzwerk zu Hause angefhrt, in dem nicht wie im Bro ein DHCP-Server zur Verfgung steht. Ein Beweis dafr, dass die technische Entwicklung auch im Bereich der huslichen Technik nicht stehen geblieben ist,
dort hat man heute fast immer einen DSL-Router, der auch die DHCPFunktion bernimmt.

8.2.1

Erweiterte TCP/IP-Einstellungen

Im Bereich der erweiterten TCP/IP-Einstellungen stehen weitere Registerkarten zur Verfgung, mit denen spezielle Aspekte des Protokolls eingestellt werden knnen.

375

Kapitel 8 Erweiterte Netzwerkfunktionen

Registerkarte IP-Einstellungen
Ein Netzwerkadapter kann mehr als eine IP-Adresse besitzen, ber die
Schaltflchen Hinzufgen, Bearbeiten, und Entfernen lassen sich diese manipulieren. Mehrere IP-Adressen werden beispielsweise bentigt, wenn man
unterschiedliche Serverdienste auf dem gleichen Port anbieten will. Eine
andere Einsatzmglichkeit besteht darin, in einem gemeinsamen physikalischen Netzwerk fr bestimmte Systeme einen eigenen, von den anderen
Systemen getrennten Adressraum zu schaffen, etwa fr Testsysteme. Sofern
die IP-Adressen per DHCP bezogen werden, knnen hier keine weiteren IPAdressen manuell hinzugefgt werden.
Abbildung 8.14
Erweiterte TCP/IPEinstellungen

Mehr als ein


Standard?

Im unteren Teil des Dialogfeldes kann mehr als ein Standardgateway angegeben werden. Hierbei sollte aber darauf geachtet werden, dass dies wirklich ein Gateway fr alle mglichen Zieladressen ist. Der Versuch, getrennte
Subnetze ber getrennte Gateways zu adressieren, fhrt nur zu Chaos auf
der Netzwerkebene. Sofern mehrere Gateways existieren, kann man ber
die Metrikwerte jedem Gateway eine spezielle Prferenz zuweisen, um den
Datenverkehr zu kanalisieren.

Registerkarte DNS
Auf der Registerkarte DNS lassen sich alle Einstellungen rund um DNS fr
die Namensauflsung einstellen. Whrend auf der Hauptseite der TCP/IPEinstellungen nur maximal zwei DNS angegeben werden konnten, sind
hier ber die Schaltflchen Hinzufgen, Bearbeiten und Entfernen auch mehr
als zwei mglich. Mit den Schaltflchen () und () am Rand kann die
Reihenfolge der Abfrage verndert werden. Sofern man mehrere DNS verwendet, sollte derjenige, der am schnellsten reagiert, in der Liste ganz oben
stehen.

376

TCP/IP-Einstellungen
Abbildung 8.15
Registerkarte DNS

Hier kommt der Begriff des FQDN (Fully Qualified Domain Name Vollstndig qualifizierter Domnenname) ins Spiel. Ein solcher Name besteht
aus dem Rechnernamen und der zugehrigen Domne, bis hinauf zur
TLD. Bei einem Rechner admin-pc, der in der Domnen contoso.com steht,
ist der FQDN somit admin-pc.contoso.com. Sowohl der Rechnername als
auch die Domnenangabe (auch primres DNS-Suffix genannt) werden
ber die Eigenschaften des Computer-Eintrags im Startmen ausgewhlt.
Wenn nun der Computer admin-pc die Adresse eines Rechners xyz herausfinden mchte, so muss er hierfr eine Abfrage an den DNS stellen. In
dieser Abfrage muss er aber einen FQDN abfragen, braucht also eine
Domne, die er mit dem gesuchten Rechnernamen verbinden kann.

Zustzlich zum primren DNS-Suffix (das ber die Computereigenschaften


gesetzt wird) kann man auch noch jedem Netzwerkadapter einzeln ein verbindungsspezifisches DNS-Suffix anheften. So kann beispielsweise die Hauptadresse des Systems admin-pc.conto.com lauten, whrend die Adresse fr
einen speziellen Netzwerkadapter durch die Verwendung eines verbindungsspezifischen DNS-Suffixes by.testumgebung-contoso.com nun adminpc.by.testumgebung-contoso.com lautet. Sofern gewnscht, muss man diese
Suffixe in das entsprechende Eingabefeld eintragen. Mit der Option Primre
und verbindungsspezifische DNS-Suffixe anhngen kann nur erreichet werden,
dass bei der Suche nach dem Rechner xyz zunchst versucht wird, das primre DNS-Suffix anzuhngen (Suche nach xyz.contoso.com) und danach das
verbindungsspezifische (Suche nach xyz.by.testumgebung-contoso.com). Ist
zudem noch das Kontrollkstchen bergeordnete Suffixe des primren DNSSuffixes anhngen gesetzt, wrde zustzlich auch noch nach der Adresse
xyz.com gesucht (weil com das bergeordnete Suffix von contoso.com ist).

377

Kapitel 8 Erweiterte Netzwerkfunktionen


Suchradius
bestimmen

Aktiviert man stattdessen die Option Diese DNS-Suffixe anhngen (in Reihenfolge), so werden nur die hier aufgelisteten DNS-Suffixe zur Bildung
eines FQDN herangezogen. Diese Methode kann man beispielsweise verwenden, wenn man schnell Zugriff auf eine Reihe von unterschiedlichen
DNS-Namensrumen bentigt.
Mit dem Kontrollkstchen Adressen dieser Verbindung i DNS registrieren
kann im Zusammenarbeit mit einem dDNS (dynamic DNS), der dynamische
Eintragungen untersttzt, erreicht werden, dass die IP-Adressen, die zu dieser speziellen Verbindung gehren, mit dem FQDN aus dem primren DNSSuffix dort in der Datenbasis des DNS eingetragen werden. Auf diese Weise
erspart man sich das manuelle Pflegen der Eintrge im DNS. Sofern dieses
Kstchen aktiviert ist, kann zustzlich auch noch das Kontrollkstchen DNSSuffix dieser Verbindung in DNS-Registrierung verwenden aktiviert werden,
dann werden die Eintragungen sowohl mit dem primren DNS-Suffix als
auch mit dem fr diese Verbindung definierten vorgenommen.
Sofern der im Netzwerk verwendete DNS keine automatische Registrierung untersttzt, sollte diese Funktion abgeschaltet werden, damit
Windows beim Start nicht vergeblich auf das Ergebnis der Eintragung
wartet. Bei einem System mit mehreren Netzwerkadaptern sollte die
Einstellung auch nur auf einem Adapter aktiviert sein.
Alle diese Einstellungen im Bereich DNS knnen in einer Active DirectoryUmgebung auch per Gruppenrichtlinie unter dem Pfad Computerkonfiguration/Netzwerk/DNS-Client konfiguriert werden, insbesondere ist es dort
auch mglich, die automatische Registrierung genau zu kontrollieren.
Im Bereich der DNS-Auflsung gibt es noch einen Spezialfall, die Datei
%windir%\System32\drivers\etc\hosts (ohne Erweiterung). Bevor Windows auf der Suche nach einem Namen eine Abfrage an DNS richtet,
wird zunchst diese Datei durchsucht. Bei der Installation wird bereits
eine Vorlage angelegt, aus der man das Format der Eintrge ersehen
kann. Sobald eine Rechneradresse (die kann auch ein vollstndiger
FQDN sein) in dieser Datei zu einer IP-Adresse zugeordnet ist, wird das
System immer diese IP verwenden und nicht mehr im DNS danach
suchen.
Fr dieses Verhalten gibt es zwei populre Einsatzzwecke: 1) Die
Adressen bekannter Werbeserver im Internet werden auf eine nicht
existente lokale Adresse umgelenkt, um die Werbeflut beim Surfen zu
dmmen. 2) Schadprogramme lenken die Namen bekannter AV-Hersteller um, sodass deren Produkte keine neuen Updates mehr erhalten
knnen. Es kommt sogar vor, dass sie zur Verschleierung ihrer Aktion
die Datei hosts an eine andere Stelle legen, zwar lsst sich der Name
nicht verndern, aber das Verzeichnis ist im Wert DataBasePath im
Schlssel HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters abgelegt. Sofern sich also bestimmte Webseiten nicht mehr finden
lassen, sollte an dieser Stelle nachgesehen werden.

378

TCP/IP-Einstellungen

Registerkarte WINS
Diese Registerkarte behandelt die Konfiguration der Namensauflsung Netzwerkfr die Datei- und Druckfreigabe auf Basis von NetBIOS over TCP/IP Altlasten
(NetBT). NetBIOS war vor Windows 2000 die Programmschnittstelle fr
Netzwerkapplikationen und arbeitete damals noch mit dem NetBEUIProtokoll zusammen. Mit dem Erscheinen von Windows 2000 wurde das
Protokoll auf TCP/IP umgesetzt und NetBT genannt. Die Auflsung der
Namen zur Netzwerkadresse wurde ab da ber DNS durchgefhrt, es
gibt jedoch noch alte Programme, die damit nicht zurechtkommen.
Abbildung 8.16
WINS-Einstellungen

Vor Windows 2000 gab es fr die Systeme mit Windows NT keine DNSNamen, die in einer hierarchischen Struktur angeordnet waren, jedes System hatte nur einen NetBIOS-Namen. Dies erkennt man heute noch
daran, dass beim Anmelden in einer Active Directory-Domne vor den
Benutzernamen noch der NetBIOS-Name der Domne und ein \
geschrieben werden.

Fr die Zuordnung von NetBIOS-Namen zu IP-Adressen gibt es auf den


Serverversionen von Windows einen speziellen Dienst mit Namen WINS
(Windows Internet Naming Service). Diese WINS-Server bilden untereinander ein Netz und teilen die erhaltenen Informationen miteinander. Die
Informationen ber die Zuordnung von Namen zu IP-Adressen erhalten sie
dabei ber direkte Meldungen der Clients an einen konfigurierten WINS als
auch ber die Auswertung von Rundsendungen (Broadcast) auf dem Netz.
Die WINS-Server werden hier genauso verwaltet wie die DNS-Eintrge.
Genau wie es fr die Namensauflsung bei IP die Datei hosts gibt, so existiert eine entsprechende Datei auch fr die Windows-Namensauflsung.
Hier heit die Datei lmhosts und wird im gleichen Verzeichnis gesucht wie
die Datei hosts. Hier wird allerdings bei der Installation keine Datei ange-

379

Kapitel 8 Erweiterte Netzwerkfunktionen

legt, stattdessen wird eine Beispieldatei mit Namen lmhosts.sam angelegt.


Mchte man diese Datei nicht verwenden, sollte das Kontrollkstchen entsprechend deaktiviert werden. Die Aktivierung schadet aber auch nichts,
weil anfnglich die Datei nicht existiert.
Bei der Schaltflche LMHOSTS importieren wrde man eigentlich erwarten,
dass die Eintrge einer neuen Datei zu den bestehenden hinzugefgt werden, stattdessen wird aber eine bereits bestehende Datei komplett mit der
zu importierenden Datei berschrieben. Im Bereich NetBIOS kann man
generell einstellen, ob man noch die alten Programmfunktionen von NetBIOS anbieten will oder nicht. Sofern keine Systeme mehr verwendet werden, die lter als Windows 2000 sind, braucht man NetBT nicht mehr unbedingt zu aktivieren. Durch die drei Optionen kann man das gewnschte
Verhalten einstellen: NetBT aktivieren, NetBT deaktivieren oder die Einstellung den vom DHCP-Server mitgelieferten DHCP-Optionen berlassen.
Bedingt durch das Alter des NetBT-Protokolls steht die Registerkarte
WINS im Bereich von IPv6 nicht mehr zur Verfgung, die entsprechenden Funktionen werden von diesem Protokoll nicht mehr untersttzt.

8.2.2

Gesichertes TCP/IP IPsec

In der Anfangszeit der Entwicklung von TCP/IP war Sicherheit eigentlich


kein Thema. Zwar wurden beispielsweise fr Anmeldungen an einem anderen System Benutzername und Kennwort abgefragt, aber beide wurden
unverschlsselt und fr jeden sichtbar ber das Netzwerk bertragen. Bei
einer Netzwerkverbindung bestand auch keine Kontrolle darber, ob die
beiden Kommunikationspartner auch tatschlich die waren, die sie vorgaben
zu sein. IPsec (Internet Protocol Security) soll diese Probleme lsen. Zum
einen dient es dazu, die beiden Kommunikationspartner gegeneinander zu
authentifizieren, zum anderen dient es dazu, die Informationen zwischen
den beiden Partnern transparent fr die Anwendung zu verschlsseln.
IPsec kann dabei sowohl die Kommunikation direkt zwischen zwei IPsecfhigen Systemen (Transparent Mode) als auch die Kopplung zweier Subnetze durch die Verbindung mittels IPsec-Gateways (Tunnel Mode) ber ein
ungesichertes Netzwerk schtzen. Die Authentifizierung und Verschlsselung kann dabei sowohl ber vordefinierte Schlssel (prinzipiell unsicher)
als auch mittels Zertifikaten oder Kerberos-Authentifizierung in einer
Domne erfolgen. Das ganze Thema ist jedoch komplex und kann in diesem Buch nicht in der dazu notwendigen Tiefe behandelt werden.
Als erster Einstieg in das Thema IPsec kann der Artikel unter [IPSEC]
dienen, in Buchform beispielsweise der Titel VPN Virtuelle Private
Netzwerke: Aufbau und Sicherheit von Manfred Lipp, Addison-Wesley,
ISBN-13: 9783827326478.

380

TCP/IP-Einstellungen

8.2.3

TCP/IP-Prfprogramme auf der


Kommandozeile

Um die Funktion von TCP/IP zu testen und die Funktion zu kontrollieren, gibt es eine ganze Reihe von Programmen, die aber alle ohne grafische Oberflche kommen.

Erreichbarkeit testen ping.exe und tracert.exe


Mit dem Programm ping.exe kann man ein Datenpaket an einen anderen
Rechner schicken und dabei messen, wie lange man warten muss, bis die
Antwort zurckkommt.
Filmfans werden sich an die Anweisung Bitte nur ein Ping von Sean
Connery als Kapitn Ramius im Film Jagd auf Roter Oktober erinnern.
Dies erlutert, wie das Programm zu seinem Namen kam, es imitiert in
Computernetzwerken die Funktion des Echolots, bei dem ein Signal
ausgesendet und auf die Reflexion beim angepeilten Ziel gewartet wird.
Als Parameter bernimmt ping.exe zwingend die Adresse des anzupingenden Rechners, optional kann man angeben, wie viele Pakete man senden will und wie gro diese sein sollen. Ohne weitere Angaben werden
vier Pakete mit je 32 Byte Daten gesendet.
>ping www.pearson.de
Ping wird ausgefhrt fr www.pearson.de [62.245.190.128] mit
32 Bytes Daten:
Antwort von 62.245.190.128: Bytes=32 Zeit=34ms TTL=121
Antwort von 62.245.190.128: Bytes=32 Zeit=48ms TTL=121
Antwort von 62.245.190.128: Bytes=32 Zeit=33ms TTL=121
Antwort von 62.245.190.128: Bytes=32 Zeit=33ms TTL=121

Listing 8.1
ping.exe mit Standardangaben

Ping-Statistik fr 62.245.190.128:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 33ms, Maximum = 48ms, Mittelwert = 37ms

Das Ziel fr ping wird hierbei als DNS-Name eingegeben, auf diese Weise
kann gleichzeitig berprft werden, ob der Name zu einer Adresse aufgelst werden kann. Fr jedes ausgesendete Datenpaket wird angegeben, wie
lange die Datenbertragung gedauert hat, in der Zusammenfassung am
Ende werden Minimum, Maximum und Mittelwert der Zeiten angegeben.
Zudem wird eine Statistik ausgegeben, wie viele der gesendeten Pakete
auch wieder angekommen sind. Die Pakete, die ping verwendet, werden
mit dem Protokoll ICMP (Internet Control Message Protocol) ausgesendet,
dies ist auf der gleichen Ebene von TCP oder UDP angesiedelt. Allerdings
sind viele Systeme im Internet so konfiguriert, dass auf derartige Pakete
keine Antwort gegeben wird. Windows 7 ist dabei selbst so ein System, auf
ICMP-Pakete, die ber einen Adapter ankommen, der als ffentlich gekenn-

Alles, was nicht


0 % Verlust hat,
sollte man
prfen

381

Kapitel 8 Erweiterte Netzwerkfunktionen

zeichnet wird, gibt es keine Antwort. Die Angabe TTL (Time to Live) hat
hierbei die Rolle eines Streckenzhlers. Jedes IP-Paket wird mit einem TTLWert versehen auf seine Reise zum Ziel geschickt. Jede Station, die dieses
Paket in ein anderes Netz vermittelt (Router), vermindert dabei den TTLWert um 1. Erreicht irgendwann ein Paket einen Router und hat das Paket
dann einen TTL-Wert von 0, so verwirft der Router das Paket und sendet
eine entsprechende Meldung an den ursprnglichen Absender zurck.
Eben dieses Verhalten, dass bei Erreichen des TTL-Wertes 0 eine Fehlermeldung erscheint, macht sich das Programm tracert.exe (verkrzt fr
Traceroute) zunutze. Hier werden Pakete mit stark verkrztem TTL-Wert
ausgesendet und dann notiert, von welchem System die entsprechende
Fehlermeldung zurckkommt. Das erste Paket wird dabei mit einem
TTL-Wert von 1 ausgesendet und somit bereits beim ersten Router auf
dem Weg zum Ziel verworfen, das nchste mit einem Wert von 2, das
dann beim zweiten Router verworfen wird und so weiter.
Listing 8.2
tracert.exe im
Einsatz

Spurensuche im
Netz

382

>tracert www.pearson.de
Routenverfolgung zu www.pearson.de [62.245.190.128] ber maximal
30 Abschnitte:
1
43 ms
24 ms
28 ms lo1.br12.muc.de.hansenet.net
[213.191.64.41]
2
24 ms
24 ms
25 ms ae0-101.cr01.muc.de.hansenet.net
[213.191.88.93]
3
32 ms
31 ms
31 ms so-0-0-0-0.cr01.fra.de.hansenet.net
[213.191.87.165]
4
30 ms
31 ms
31 ms ae1-0.pr03.decix.de.hansenet.net
[62.109.109.236]
5
32 ms
32 ms
35 ms rt-decix-2.m-online.net
[80.81.193.7]
6
33 ms
33 ms
65 ms xe-2-2-0.rt-decix-1.m-online.net
[82.135.16.137]
7
33 ms
33 ms
32 ms ten1-2.r2.muc2.m-online.net
[212.18.6.161]
8
35 ms
33 ms
34 ms te1-3.r2.muc1.m-online.net
[212.18.6.57]
9
32 ms
33 ms
32 ms gi1-0-4.rs2.muc1.m-online.net
[88.217.206.22]
10
33 ms
33 ms
35 ms host-62-245-191-26.customer.
m-online.net [62.245.191.26]
11
34 ms
33 ms
33 ms host-62-245-190-1.customer.
m-online.net [62.245.190.1]
12
33 ms
33 ms
33 ms host-62-245-190-128.customer.
m-online.net [62.245.190.128]
Ablaufverfolgung beendet.

Anhand der Stationen, die mit dem Befehl tracert.exe aufgezeichnet wurden,
kann man nachverfolgen, wie die Pakete von einem zum anderen Rechner
transportiert wurden. Jedes System auf der Strecke wird dreimal getestet,
und die Zeitangaben werden jeweils am Anfang der Zeile notiert. Da der
Befehl ohne den Parameter d gegeben wurde, werden die IP-Adressen

TCP/IP-Einstellungen

auch per DNS in Namen aufgelst und angezeigt. Der erste Rechner in der
Kette hat den Namen lo1.br12.muc.de.hansenet.net, dies bedeutet, dass er
zum Provider Hansenet (auch bekannt unter Alice) gehrt. Die Vermutung,
dass es sich dort um einen Rechner handelt, der in Mnchen (muc) in
Deutschland (de) steht, ist nicht ganz von der Hand zu weisen da die meisten Netzwerkbetreiber sinnvolle Namen fr ihre Systeme verwenden.
Der folgende Rechner (ae0-101.cr01.muc.de.hansenet.net) scheint auch noch
in Mnchen zu stehen, whrend der dritte wohl in Frankfurt stationiert ist
(so-0-0-0-0.cr01.fra.de.hansenet.net). Bei den Rechnern an Position 4 und 5
erkennen Sie den Namensbestandteil decix, dieser steht fr DE-CIX (German Commercial Internet Exchange), die gemeinsame Kopplungsstelle, an
der (fast) alle deutschen Internet-Provider ihre Daten untereinander austauschen. Ab da geht dann der Datenverkehr im Netz des Providers M-Net
weiter, bei dem der angefragte Server betrieben wird.

Namesauflsung per nslookup.exe


DNS enthlt deutlich mehr Informationen als die bloe Zuordnung von
Namen zu IP-Adressen und zurck. Zur Abfrage dieser Informationen dient
das Programm nslookup.exe. Im einfachsten Fall ruft man es einfach mit dem
Namen eines Rechners oder einer IP-Adresse auf und bekommt die IPAdresse beziehungsweise den Namen zurck. Der Vorgang der Auflsung
von Name zu IP-Adresse wird Forward Lookup genannt, die Auflsung der
IP-Adresse zum Namen entsprechend Reverse Lookup.
Abbildung 8.17
DNS-Verwaltung
bei Windows Server
2008

In Abbildung 8.17 knnen Sie sehen, dass die Informationen im DNS in Form
von einzelnen Lookup-Zonen angelegt sind, in der Verwaltungsoberflche
aufgeteilt in Forward- und Reverse-Zonen. In jeder Zone stehen Eintrge, die
aus drei Werten bestehen: einem Namen, einem Typ und den Nutzdaten. So
gibt es beispielsweise einen Eintrag mit dem Namen bebox, dem Typ Host (A)
und der IP-Adresse 192.168.0.50. Da sich der Eintrag in der Zone fr contoso.com befindet, lautet der FQDN des Rechners also bebox.contoso.com. Dies
wre die Forward-Abfrage. Aus dieser Information lsst sich aber nicht die

383

Kapitel 8 Erweiterte Netzwerkfunktionen

Rckwrtsabfrage, welcher Name gehrt zu 192.168.0.50, beantworten.


Diese Information wird nicht der Zone contoso.com entnommen, sondern
stammt aus der Reverse-Zone 0.168.192.in-addr.arpa. Es bleibt dem Administrator des DNS berlassen, dafr zu sorgen, dass die Inhalte dieser Zonen
miteinander im Einklang bleiben.
Von den vielen verschiedenen Typen im DNS sind eigentlich nur ein paar
wirklich praxisrelevant:
A Eintrag eines einzelnen Namens zu einer IPv4-Adresse. Existieren
mehrere Eintrge, die einen Namen unterschiedlichen Adressen zuordnen, liefert der DNS bei einer einfachen Abfrage immer einen wechselnden Wert (DNS Round Robin).
AAAA Wie Typ A, aber fr IPv6-Adressen.
PTR Dient in einer Reverse-Zone dazu, IP-Adressen einen Namen
zuzuordnen (Pointer-Eintrag).
NS Gibt die Namen der DNS an (Nameserver), die Informationen
ber die Zone aus erster Hand vorhalten (also keine zwischengespeicherten Informationen).
MX Gibt den Namen des Systems an, das E-Mails fr diese Zone entgegennimmt (Mail Exchanger). Bei mehreren Eintrgen entscheidet ein
Sender anhand der Prioritt (im Bild der Eintrag 10 in eckigen Klammern), zu welchem System die Zustellung versucht wird, kleinere Zahlen werden hierbei bevorzugt.
SOA Gibt den Namen des Systems an, das die letztendliche Kontrolle
ber den Inhalt der Zone hat (Start of Authority). Alle anderen Nameserver der Zone beziehen ihre Information von diesem Server und entscheiden anhand der Information im serial-Feld, ob die eigenen Daten
veraltet sind.
CNAME Beschreiben einen Alias (Canonical Name) fr einen bereits
bestehenden Namen. Kann dazu genutzt werden, um ein System unter
unterschiedlichen Namen erreichbar zu machen.
Das Programm nslookup.exe kann man auf zwei Weisen verwenden. Entweder man startet es ohne alle Parameter und kann dann in einer eigenen
Eingabeaufforderung seine Abfragen stellen (zum Beenden exit eingeben), oder man stellt die Abfrage komplett auf der Kommandozeile:
Listing 8.3
Abfrage mit
nslookup

384

>nslookup -q=SOA contoso.com 192.168.0.200


Server: win2008.contoso.com
Address: 192.168.0.200
contoso.com
primary name server = win2008.contoso.com
responsible mail addr = hostmaster.contoso.com
serial = 424
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)
win2008.contoso.com
internet address = 192.168.0.200

TCP/IP-Einstellungen

In Listing 8.3 wird nslookup mit drei Parametern aufgerufen. Der erste
Parameter gibt den Typ an, den man abfragen will. Fehlt dieser Parameter, wird nach Adresseintrgen gesucht, wird als Typ ANY eingegeben,
werden die vorhandenen Eintrge aller Typen zurckgegeben. Der
zweite Parameter gibt das an, was eigentlich gesucht wird, der dritte
bezeichnet optional einen speziellen Server, der abgefragt wird. Fehlt dieser Parameter, wird der DNS verwendet, der in den TCP/IP-Einstellungen konfiguriert ist.

IP-Allesknner ipconfig.exe
Mit dem Programm ipconfig.exe knnen zunchst Informationen ber den
Status des IP-Protokolls auf allen im System vorhandenen Adaptern angezeigt werden. Ohne jeglichen Parameter werden nur die IP-Adressen, Subnetzmasken und Gatewayadressen ausgegeben, mit dem Parameter /all
zusammen auch Informationen ber DNS und DHCP.
>ipconfig /all
Windows-IP-Konfiguration
Hostname . . . . . .
Primres DNS-Suffix .
Knotentyp . . . . . .
IP-Routing aktiviert
WINS-Proxy aktiviert
DNS-Suffixsuchliste .

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

:
:
:
:
:
:

ADMIN-PC

Listing 8.4
Ausgabe von
ipconfig /all

Hybrid
Nein
Nein
rid

Ethernet-Adapter LAN-Verbindung 2:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000
MT-Netzwerkverbindung #2
Physikalische Adresse . . . . . . : 00-0C-29-B8-BC-2A
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . :
fe80::11e:77af:d282:1d40%14(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.88.88(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
IPv4-Adresse . . . . . . . . . . : 192.168.88.92(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DHCPv6-IAID . . . . . . . . . . . : 318770217
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-12-7C-AE-A800-0C-29-B8-BC-20
DNS-Server . . . . . . . . . . . : 192.176.1.45
NetBIOS ber TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix: rid
Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000
MT-Netzwerkverbindung

385

Kapitel 8 Erweiterte Netzwerkfunktionen


Physikalische Adresse . . . . . . : 00-0C-29-B8-BC-20
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . :
fe80::6884:fc47:a22f:5d08%11(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.0.96(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Dienstag, 10. November
2009 10:54:46
Lease luft ab. . . . . . . . . . : Freitag, 13. November
2009 01:40:31
Standardgateway . . . . . . . . . : 192.168.0.254
DHCP-Server . . . . . . . . . . . : 192.168.0.254
DHCPv6-IAID . . . . . . . . . . . : 234884137
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-12-7C-AE-A800-0C-29-B8-BC-20
DNS-Server . . . . . . . . . . . : 192.168.0.254
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
...

Unter all den Informationen, die hier in Listing 8.4 verkrzt ausgegeben
sind, fallen einige besonders auf:
Fr das System ist kein primres DNS-Suffix gesetzt, allerdings besitzt
der erste Adapter ein verbindungsspezifisches Suffix.
Jeder Adapter hat eine unterschiedliche physikalische Adresse, dies
ist die MAC-Adresse der Netzwerkkarte.
Whrend der Adapter LAN-Verbindung 2 eine statische IP-Adresse hat,
bekommt der andere Adapter seine IP-Adresse von einem DHCP-Server. Im Bereich IPv6 sind nur die lokalen Adressen zu sehen, also sind
dort keine separat konfiguriert worden.
Es ist zwar zu sehen, welche DNS verwendet werden soll, nicht aber,
ob diese Daten auch per DHCP oder manuell gesetzt sind.
Netzdiagnose

Sofern man Probleme im Netzwerkbereich hat, sollte man sich immer die
Ausgabe von ipconfig /all ansehen und dort nach Aufflligkeiten suchen.
Mit dem Parameter /renew kann man das System veranlassen, die aktuelle
DHCP-Lease zu erneuern, auch wenn die Leasezeit noch nicht abgelaufen
ist. Mit dem Parameter /release kann eine erhaltene Lease wieder zurckgegeben werden. Bei beiden Parametern kann noch der Name einer Verbindung als zustzlicher Parameter angegeben werden. Werden die Optionen
mit einer 6 am Ende geschrieben (/renew6 und /release6), so beziehen sich
die Aktionen auf IPv6-Adressen.
Auer den DNS im lokalen Netz oder im Internet fhrt auch jedes einzelne System mit Windows 7 (wie auch XP oder Vista) noch einen lokalen
Zwischenspeicher fr DNS-Daten, um DNS-Abfragen schnell durchfhren zu knnen. Diesen kann man mit dem Parameter /displaydns anzeigen
lassen und mit /flushdns komplett lschen.

386

TCP/IP-Einstellungen
Windows-IP-Konfiguration

Listing 8.5
Lokaler DNS-Cache

22.206.217.88.in-addr.arpa
---------------------------------------Eintragsname . . . . . : 22.206.217.88.in-addr.arpa
Eintragstyp . . . . . : 12
Gltigkeitsdauer . . . : 65804
Datenlnge . . . . . . : 4
Abschnitt. . . . . . . : Antwort
PTR-Eintrag . . . . . : gi1-0-4.rs2.muc1.m-online.net
asn.advolution.de
---------------------------------------Eintragsname . . . . . : asn.advolution.de
Eintragstyp . . . . . : 1
Gltigkeitsdauer . . . : 2413
Datenlnge . . . . . . : 4
Abschnitt. . . . . . . : Antwort
(Host-)A-Eintrag . . : 213.9.41.203
Eintragsname . .
Eintragstyp . .
Gltigkeitsdauer
Datenlnge . . .
Abschnitt. . . .
(Host-)A-Eintrag

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

:
:
:
:
:

asn.advolution.de
1
2413
4
Antwort
. . : 213.9.41.202

...
105.47.125.74.in-addr.arpa
---------------------------------------Eintragsname . . . . . : 105.47.125.74.in-addr.arpa
Eintragstyp . . . . . : 12
Gltigkeitsdauer . . . : 83019
Datenlnge . . . . . . : 4
Abschnitt. . . . . . . : Antwort
PTR-Eintrag . . . . . : yw-in-f105.1e100.net

Fr jeden Eintrag im Cache gibt es eine Angabe zur Gltigkeitsdauer,


diese wird in Sekunden angegeben und automatisch verringert. Hat ein
Eintrag die Gltigkeit 0, wird er aus dem Speicher entfernt. Im Zwischenspeicher stehen fr den Eintrag asn.advolution.de zwei Datenstze, da diesem FQDN auch zwei IP-Adressen zugeordnet sind.
Mit dem Parameter /registerdns kann man zwangsweise die aktuellen IPAdressen erneut in einem dafr konfigurierten dDNS registrieren lassen.

IP und Hardware arp.exe


Auf unterster Ebene der Datenbertragung gibt es auf der einen Seite IPPakete mit Quell- und Zieladresse und auf der anderen Seite Datenpakete
in Form von Ethernet-Frames. Diese Pakete werden ber die physikalische
Adresse der jeweiligen Netzwerkkarte (die MAC-Adresse, eine Folge von
sechs Bytes) adressiert (siehe hierzu die entsprechende Zeile in Listing 8.4).
Die Zuordnung zwischen den beiden Adressrumen erfolgt ber ARP

387

Kapitel 8 Erweiterte Netzwerkfunktionen

(Address Resolution Protocol) und kann mit dem Programm arp.exe kontrolliert werden.
Listing 8.6
Ausgabe von arp.exe

C:\Users\admin>arp -a
Schnittstelle: 192.168.0.96 --- 0xb
Internetadresse
Physische Adresse
192.168.0.50
00-14-c2-5a-a3-ad
192.168.0.200
00-03-ff-5e-a3-ad
192.168.0.254
00-1c-f0-70-b4-70
192.168.0.255
ff-ff-ff-ff-ff-ff
224.0.0.22
01-00-5e-00-00-16
224.0.0.252
01-00-5e-00-00-fc
239.255.255.250
01-00-5e-7f-ff-fa
255.255.255.255
ff-ff-ff-ff-ff-ff

Typ
dynamisch
dynamisch
dynamisch
statisch
statisch
statisch
statisch
statisch

Schnittstelle: 192.168.88.88 --- 0xe


Internetadresse
Physische Adresse
192.168.88.90
00-0c-29-3c-90-59
192.168.88.255
ff-ff-ff-ff-ff-ff
224.0.0.22
01-00-5e-00-00-16
224.0.0.252
01-00-5e-00-00-fc
239.255.255.250
01-00-5e-7f-ff-fa

Typ
dynamisch
statisch
statisch
statisch
statisch

Zunchst fllt auf, dass hier nur IPv4-Adressen angegeben sind; dies liegt
daran, dass ARP nur mit diesen Adressen arbeitet, bei IPv6 wurde ARP
durch NDP (Neighbour Discovery Protocol) abgelst. Fr jeden Adapter
wird bei arp a angezeigt, welche anderen Adapter auf diesem Netzwerksegment bekannt sind. Die Eintrge sind dabei wahlweise als statisch oder
dynamisch gekennzeichnet. Die statischen Eintrge sind hierbei die Rundsendeeintrge (Broadcast), die dynamischen diejenigen, die ARP durch
Anfragen ber das Netzwerk gelernt hat.
Dieses Protokoll kann auch als Angriffsvektor verwendet werden. Bei
der ARP Spoofing (to spoof verschleiern) oder ARP Posioning (to poison
vergiften) genannten Methode werden dem angegriffenen System
massenweise falsche ARP-Pakete zugesendet, die von diesem in seine
ARP-Tabellen eingearbeitet werden. Auf diese Weise kann das System
davon berzeugt werden, IP-Pakete fr ein bestimmten System ganz
woanders hinzusenden. Diese Methode funktioniert allerdings nur in
einem lokalen Netzwerk.

Netzwerkkontrolle netstat.exe und andere Programme


Oftmals mchte man wissen, welche Aktionen auf dem Netzwerk gerade
stattfinden und was dabei fr Daten bertragen werden. Die erste Information ist hierbei, welche Kommunikation aktuell gerade stattfindet, wer
mit wem redet und wer auf Kommunikation wartet. Dies lsst sich mit
dem Programm netstat.exe abklren.

388

Netzwerkschutz die Firewall


>netstat
Aktive Verbindungen
Proto Lokale Adresse
TCP
192.168.0.240:50035
TCP
192.168.0.240:50046
TCP
192.168.0.240:50047
TCP
192.168.0.240:50048
TCP
192.168.0.240:50049
TCP
192.168.0.240:50050
TCP
192.168.0.240:50051
TCP
192.168.0.240:50052
TCP
192.168.0.240:50053

Remoteadresse
bebox:microsoft-ds
oe-test:http
oe-test:http
63.97.123.10:http
63.97.123.10:http
63.97.123.10:http
63.97.123.10:http
63.97.123.10:http
63.97.123.10:http

Status
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT

Listing 8.7
Ausgabe von
netstat.exe

In dieser Auflistung werden nur die Verbindungen aufgefhrt, die aktuell


auch tatschlich bestehen. Zu sehen sind die lokale IP-Adresse und die
Adresse des Kommunikationspartners, jeweils ergnzt durch die Portnummer der Verbindung. Wird die Option n gesetzt, so werden die IP-Adresse
und Portnummer nicht durch Namen ersetzt. Durch Angabe der Option a
knnen zustzlich noch jene Ports angezeigt werden, die fr einen Datenverkehr offen stehen.
Mit der Option o wird zu jeder Verbindung angegeben, welcher Prozess fr
diese Verbindung verantwortlich ist, weitere Informationen lassen sich dann
beispielsweise ber den Task-Manager (siehe Kapitel 14) herausfinden.
Der Befehl hat noch einige weitere Einsatzmglichkeiten, siehe hierzu
die Online-Hilfe ber den Parameter /?.
Aus der Sammlung von Sysinternals kommt das Programm TCPView, das
die Funktionen von netstat.exe in einer grafischen Oberflche anbietet.
Zudem ist es in der Lage, nicht blo eine Momentaufnahme der Daten
darzustellen, sondern die Informationen permanent zu erneuern.
Will man genauer nachverfolgen, was bei einer Netzwerkkommunikation
abluft, so muss man die bertragenen Datenpakete analysieren. Programme, die dieses knnen, werden gemeinhin Sniffer genannt. Fr Windows bietet Microsoft selbst ein solches Programm an, Microsoft Network
Monitor, aktuell in Version 3.3. Zu bekommen ist das Programm unter
[DOWN]. Andere Programme in diesem Segment sind beispielsweise der
Netzwerkanalysator WireShark (siehe [WIRE]).

8.3

Netzwerkschutz die Firewall

Im Bereich des Bauwesens bezeichnet eine Brandmauer eine sehr stabile


Trennwand zwischen Gebude oder Gebudeabschnitten, die verhindern
soll, dass Feuer in einem der Teile auf den anderen bertreten kann. Sie
hat im Regelfall keine oder nur besonders gesicherte ffnungen. Diese
Funktion erfllt im Bereich der Netzwerke die Firewall, sie trennt Netzwerke voneinander, um unerlaubte Zugriffe zwischen Bereichen zu ver-

389

Kapitel 8 Erweiterte Netzwerkfunktionen

hindern. Die Windows-Firewall, als direkt auf dem System laufende Firewall, kennt dabei nur zwei Bereiche: den Computer selbst (Innenwelt)
und das restliche Netzwerk (die Auenwelt).

8.3.1

Status der Firewall

Die Firewall kann getrennt fr jede Netzwerklokation aktiviert beziehungsweise deaktiviert werden. Im Netzwerk- und Freigabecenter finden Sie den Link Windows-Firewall in der linken unteren Ecke oder ber
Systemsteuerung/System und Sicherheit/Windows-Firewall.
Abbildung 8.18
Status der Firewall

Kann es im PC
brennen?

Per Klick auf die Pfeilsymbole am rechten Rand (() und ()) knnen
Sie die einzelnen Profile erweitern oder zusammenklappen, das Domnenprofil ist hierbei nicht zu sehen, da das System nicht Mitglied einer
Domne ist. Fr jede Lokation wird angezeigt, ob die Firewall aktiviert
ist, was mit eingehenden Verbindungen passiert, fr welche Netzwerke
diese Einstellung gilt und was passiert, wenn ein bislang unbekanntes
Programm versucht, einen Serverdienst zu etablieren.
Mit einem Klick auf die Links Benachrichtigungseinstellungen ndern und
Windows-Firewall ein- oder ausschalten kann in einem weiteren Dialogfeld
eingestellt werden, ob die Firewall in den einzelnen Profilen aktiviert sein
und ob eine Benachrichtigung erfolgen soll.

390

Netzwerkschutz die Firewall


Abbildung 8.19
Firewalleinstellungen

8.3.2

Neue Serverprogramme blocken

Sofern die Firewall entsprechend konfiguriert ist, wird dem Benutzer


automatisch eine Meldung angezeigt, sobald eine Anwendung versucht,
einen Port fr eingehende Verbindungen zu starten.
Abbildung 8.20
Ein Programm will
einen Port ffnen

Leider ist aus der Mitteilung nicht zu ersehen, welche Verbindung dieses
Programm genau ffnen will. Diese Meldung erhalten auch nichtadministrative Benutzer, diese bentigen allerdings eine administrative Kennung, um den Zugriff zuzulassen. Wird dieser Zugriff durch die entsprechende Schaltflche erlaubt, wird eine entsprechende Regel automatisch
in die Firewall eingetragen. Wird das Dialogfeld durch die Schaltflche
Abbrechen beendet oder ist die Firewall so konfiguriert, dass die Abfrage
nicht erfolgt, kann das Programm zwar die Verbindung ffnen, Zugriffe
sind dann aber nur vom lokalen System aus mglich.

391

Kapitel 8 Erweiterte Netzwerkfunktionen

8.3.3

Firewallprofile

Analog zu den Netzwerkprofilen bietet auch die Firewall dem Administrator verschiedene Profile an. Diese lassen sich kontrollieren, indem man
im Firewall-Dialogfeld (siehe Abbildung 8.21) auf den Link Erweiterte Einstellungen klickt, alternativ knnen Sie auch im Suchfeld des Startmens
den Begriff Firewall eintippen und anschlieend auf den Eintrag WindowsFirewall mit erweiterter Sicherheit klicken.
Abbildung 8.21
Erweiterte Einstellungen der Firewall

In der Mitte des Bildschirms sieht man die beiden Gruppen bersicht und
Erste Schritte, diese kann man jeweils durch einen Klick auf die Dreiecke
am rechten Rand auf- beziehungsweise einklappen. Im Bereich bersicht
sind die drei mglichen Profile zu sehen und die dort jeweils gltigen
Firewalleinstellungen:
Ist die Firewall aktiv oder nicht aktiv?
Werden eingehende Verbindungen standardmig geblockt oder nicht?
Werden ausgehende Verbindungen standardmig geblockt oder nicht?
Mchte man eine dieser Einstellungen ndern, klickt man auf den Link
Windows-Firewalleigenschaften am unteren Ende der Gruppe.
Sicherheit
mit Profil

392

Fr jedes der drei mglichen Netzwerkprofile (das Profil Arbeitsplatznetzwerk ist identisch mit dem privaten Profil) sind gesonderte Einstellungen
auf der jeweiligen Registerkarte verfgbar. ber das Listenfeld Firewallstatus kann die Firewall deaktiviert werden, allerdings wird fr jedes Profil
die Aktivierung empfohlen.

Netzwerkschutz die Firewall


Abbildung 8.22
Firewalleinstellungen fr das private
Profil

Fr eingehende Verbindungen (also Verbindungen, die von einem externen System her aufgebaut werden) sind drei mgliche Einstellungen vorhanden:
1. Blockieren (Standard) Eingehende Verbindungen werden blockiert, es
sei denn, es gibt eine Regel, welche die Verbindung erlaubt.
2. Alle blockieren Alle eingehenden Verbindungen werden blockiert,
egal ob es dafr eine Regel gibt oder nicht.
3. Zulassen Smtliche eingehenden Verbindungen werden erlaubt, es
sei denn, es existiert eine Regel, welche die Verbindung explizit verbietet.
Fr die ausgehenden Verbindungen (also Verbindungen, die zu einem
externen System vom lokalen System aus aufgebaut werden) sind nur die
beiden Optionen Blockieren (Standard) und Zulassen mglich, da ein System, das generell keine ausgehenden Verbindungen zulsst, wenig sinnvoll erscheint.

Mit der Schaltflche Geschtze Netzwerkverbindungen: Anpassen knnen


Sie einstellen, welche Netzwerkadapter von dem aktuellen Firewallprofil
erfasst werden. Standardmig sind hier alle Adapter selektiert. Wird