Reiss Windows 7 Im Unternehmen

Windows 7 im Unternehmen
Netzwerke, Betriebssysteme, Sicherheit ... hierzu bietet Ihnen die Reihe

net.com umfassende, praxisnahe Information. Neben Fragen der Systemverwaltung greift sie auch Themen wie Protokolle, Technologien und
Tools auf. Profitieren Sie bei Ihrer tglichen Arbeit vom Praxiswissen
unserer erfahrenen Autoren.
Windows Server 2008 R2

Eric Tierling
1400 Seiten, 59,80 [D]
ISBN 978-3-8273-2907-3
Dieses Buch zu Windows Server 2008 R2 knpft an die
Bestseller zu Windows Server 2003 und 2008 an und wurde komplett auf die Neuerungen von R2 aktualisiert. Installation auf virtueller Festplatte, Remoteverwaltung mit
dem Server-Manager, Verwaltung ber Windows PowerShell-Cmdlets, IPv6, Active Directory-Papierkorb, Einrichtung verwalteter Dienstkonten, Offline-Domnenbeitritt,
AppLocker-Anwendungssteuerungsrichtlinien, DirectAccess, BranchCache, die Remotedesktopdienste sowie
Hyper-V sind einige der im Buch beschriebenen Highlights.
Windows PowerShell 2.0 - Das Praxisbuch

Holger Schwichtenberg
800 Seiten, 49,80 [D]
ISBN 978-3-8273-2926-4
Dieses Handbuch zur Windows PowerShell 2.0 bietet
eine fundierte Einfhrung in die automatisierte Windows-Administration und zeigt darber hinaus anhand
zahlreicher auch weiterfhrender Beispiele, wie die
PowerShell in der Praxis eingesetzt wird. Das Buch
behandelt alle wichtigen Neuerungen wie die grafische
Oberflche und die vollstndige Integration in Windows
7 und Windows Server 2008 R2.
Holger Schwichtenberg
Manuela Reiss
Jochen Ruhland
Windows 7 im Unternehmen
Das Handbuch fr Administratoren
An imprint of Pearson Education

Mnchen Boston San Francisco Harlow, England
Don Mills, Ontario Sydney Mexico City
Madrid Amsterdam
Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie;
detaillierte bibliografische Daten sind im Internet ber http://dnb.d-nb.de abrufbar.
Die Informationen in diesem Produkt werden ohne Rcksicht auf einen eventuellen Patentschutz
verffentlicht. Warennamen werden ohne Gewhrleistung der freien Verwendbarkeit benutzt.
Bei der Zusammenstellung von Texten und Abbildungen wurde mit grter Sorgfalt vorgegangen.
Trotzdem knnen Fehler nicht vollstndig ausgeschlossen werden. Verlag, Herausgeber und Autoren
knnen fr fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch
irgendeine Haftung bernehmen.
Fr Verbesserungsvorschlge und Hinweise auf Fehler sind Verlag und Herausgeber dankbar.
Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in
elektronischen Medien. Die gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und
Arbeiten ist nicht zulssig.
Fast alle Hard- und Softwarebezeichnungen und weitere Stichworte und sonstige Angaben,
die in diesem Buch verwendet werden, sind als eingetragene Marken geschtzt.
Da es nicht mglich ist, in allen Fllen zeitnah zu ermitteln, ob ein Markenschutz besteht,
wird das Symbol in diesem Buch nicht verwendet.
Umwelthinweis:
Dieses Buch wurde auf chlor- und surefreiem PEFC-zertifiziertem Papier gedruckt.
Die Einschrumpffolie - zum Schutz vor Verschmutzung - ist aus umweltvertrglichem
und recyclingfhigem Material.
10 9 8 7 6 5 4 3 2 1
12 11 10
ISBN 978-3-8273-2886-1
2010 by Addison-Wesley Verlag,

ein Imprint der Pearson Education Deutschland GmbH,
Martin-Kollar-Strae 1012, D-81829 Mnchen/Germany
Alle Rechte vorbehalten
Einbandgestaltung: Marco Lindenbeck, mlindenbeck@webwo.de
Fachlektorat: Georg Weiherer, georg.weiherer@freenet.de
Lektorat: Sylvia Hasselbach, shasselbach@pearson.de
Korrektorat: Sandra Gottmann, sandra.gottmann@t-online.de
Herstellung: Claudia Burle, cbaeurle@pearson.de
Satz: mediaService, Siegen, www.media-service.tv
Druck und Verarbeitung: Ksel, Krugzell, www.KoeselBuch.de
Printed in Germany
Inhaltsverzeichnis
Vorwort
23
ber die Autoren
25
Die Icons und Verweise in diesem Buch
27
Die CD zum Buch
28
Betriebssysteminstallation
29
1.1
Installationsplanung und Vorbereitung

1.1.1 Sicherstellung der Systemanforderungen
1.1.2 Die Editionen von Windows 7 im Vergleich
1.1.3 Neuinstallation versus Upgrade
1.1.4 Sichern bestehender Systeme vor Beginn der Migration
1.1.5 Checkliste zur Installationsvorbereitung
29
30
34
35
39
40
1.2
Durchfhrung einer Einzelarbeitsplatz-Installation

1.2.1 Unterschiede zu frheren Windows-Installationen
1.2.2 Ablauf einer Neuinstallation
1.2.3 Ablauf einer Upgrade-Installation
1.2.4 Durchfhrung einer Parallelinstallation
1.2.5 Abschlieende Aufgaben nach Installationsabschluss
41
41
43
53
55
56
1.3
Bereitstellung von Windows 7 im Unternehmensnetzwerk

1.3.1 Die Bereitstellungsfunktionen im berblick
1.3.2 Planung und Vorbereitung der Bereitstellung
1.3.3 Bereitstellung von Windows 7 mit Windows AIK
1.3.4 Aktivierung fr Unternehmenskunden Volumenaktivierung
1.3.5 Bereitstellung von Updates und Service Packs
60
61
68
73
86
88
Hardwareinstallation
95
2.1
Hardware installieren
2.1.1 Automatische Gerteinstallation
2.1.2 Gerte manuell installieren
95
96
101
2.2
Gerte verwalten
2.2.1 Gerteverwaltung mit der Funktion Gerte und Drucker
2.2.2 Gerteverwaltung im Gerte-Manager
2.2.3 Treiber aktualisieren
2.2.4 Gerte deinstallieren
2.2.5 Starttyp fr nicht Plug&Play-fhige Gerte ndern
104
104
108
112
113
114
5
Inhaltsverzeichnis
2.3
Mit Treiberproblemen richtig umgehen

2.3.1 Das Treibermodell von Windows 7
2.3.2 Probleme whrend der Hardwareinstallation
2.3.3 Probleme mit der Treibersignierung
2.3.4 Problemberichte zur Fehleranalyse
115
116
118
123
124
2.4
Berechtigungen zur Gerteinstallation verwalten

2.4.1 Gerte zur Installation bereitstellen
2.4.2 Installation verbotener Gerte verhindern
126
126
129
Software verwalten und installieren
133
3.1
Anwendungen lokal installieren und verwalten

3.1.1 Programme installieren
3.1.2 Installierte Anwendungen verwalten
133
134
136
3.2
Ein Blick auf die Technik dahinter der Windows Installer-Dienst

3.2.1 Grundstzliches zur Windows Installer-Technologie
3.2.2 Das Verhalten von Windows Installer mit
Gruppenrichtlinien steuern
144
145
3.3
Nicht kompatible Anwendungen unter Windows 7 nutzen

3.3.1 Ursachen fr Anwendungsinkompatibilitten
3.3.2 Anwendungsprfung vor Beginn der Migration
3.3.3 Einsatzmglichkeiten des Kompatibilittsmodus
3.3.4 Anwendungen im Kompatibilittsmodus installieren
3.3.5 Anwendungen im Windows XP-Modus ausfhren
3.3.6 Umgang mit 16-Bit-Windows- und DOS-Anwendungen
152
152
153
155
158
159
161
3.4
Softwareverwaltung mit Gruppenrichtlinien

3.4.1 Softwareverteilung mit Gruppenrichtlinien
3.4.2 Anwendungssteuerung mit Gruppenrichtlinien
162
162
171
151
Konfiguration der Benutzerschnittstellen
175
4.1
Benutzeroberflche
4.1.1 Leistungsmerkmale der Aero-Oberflche
4.1.2 Anpassung des Desktops
4.1.3 Konfiguration der Anzeige und des Bildschirms
175
175
178
186
4.2
Startmen
4.2.1 Ausschaltoptionen
4.2.2 Das Startmen konfigurieren
191
192
194
4.3
Windows-Taskleiste
4.3.1 Arbeiten mit der Taskleiste
4.3.2 Taskleiste konfigurieren
196
196
198
Inhaltsverzeichnis
4.4
Windows-Explorer
4.4.1 Windows-Explorer starten
4.4.2 Arbeiten mit dem Windows-Explorer
4.4.3 Ansichten des Windows-Explorers anpassen
4.4.4 Bibliotheken verwenden
200
200
201
209
213
4.5
Einsatzmglichkeiten der Windows-Suche

4.5.1 Volltextsuche nach Stichwrtern
4.5.2 Indizierte Suche
216
217
220
4.6
Tastenkombinationen in Windows 7
4.6.1 Tastenkombinationen mit der Windows-Taste
4.6.2 Tastenkombinationen fr den Internet Explorer
4.6.3 Tastenkombination in Windows 7 zur Steuerung des
Windows-Explorers und zur Dateiverwaltung
223
223
224
224
Benutzerverwaltung
227
5.1
Die Benutzerkontensteuerung
5.1.1 Die Benutzerkontensteuerung im praktischen Einsatz
5.1.2 Sicherheitslevel der Benutzerkontensteuerung konfigurieren
227
228
233
5.2
Benutzer verwalten
5.2.1 Das Dienstprogramm Benutzerkonten fr einfache
Kontenverwaltung
5.2.2 Erweiterte Benutzerverwaltung
5.2.3 SID-Verwaltung bei Benutzerkonten
5.2.4 Vordefinierte Benutzerkonten
5.2.5 Kennwortrichtlinien verwalten
238
238
241
244
245
247
5.3
Verwaltung lokaler Gruppenkonten

5.3.1 Gruppentypen im Vergleich
5.3.2 Vordefinierte lokale Gruppen und ihre Berechtigungen
5.3.3 Lokale Gruppenkonten erstellen, lschen und ndern
251
251
252
257
5.4
Benutzerprofile unter Windows 7

5.4.1 Verwaltung lokaler Benutzerprofile
5.4.2 Verwaltung serverbasierter Profile in heterogenen Netzwerken
259
259
265
Daten, Datentrger und Dateisysteme
267
6.1
Datentrger aus Sicht der Hardware

6.1.1 HW-Adapter fr Datentrger
6.1.2 iSCSI im Einsatz
6.1.3 Virtueller Speicher im Einsatz
267
268
269
272
6.2
Partitionen, physische und logische Laufwerke

6.2.1 MBR oder GPT-Datentrger?
6.2.2 Basis oder dynamisch?
6.2.3 Vom Datentrger zum Laufwerksbuchstaben
273
273
275
276
7
Inhaltsverzeichnis
6.3
Daten und Dateisysteme

6.3.1 FAT
6.3.2 NTFS
6.3.3 NTFS Berechtigungen
6.3.4 NTFS-Berechtigungen auf der Kommandozeile
6.3.5 Dateiattribute
279
280
280
291
300
305
6.4
Datentrger erstellen
309
6.5
Konfiguration von Laufwerken in der GUI

6.5.1 Aktionen auf der Ebene der Datentrger
6.5.2 Verwalten von Datentrgerbereichen
310
311
313
6.6
Datentrgerverwaltung auf der Kommandozeile

6.6.1 Diskpart FDISK und mehr in neuer Verpackung
6.6.2 fsutil der Allesknner
6.6.3 Laufwerksbuchstaben erzeugen subst.exe
6.6.4 Verknpfungen symbolische und harte
317
317
322
328
329
6.7
Datentrger berprfen
331
6.8
Datentrger defragmentieren
335
Netzwerkgrundlagen
341
7.1
Netzwerk theoretisch
341
7.2
Netzwerk-Hardware
7.2.1 Netzwerkadapter fr lokale Verbindungen
7.2.2 Drahtlose Netzwerke
7.2.3 Netzwerke fr Punkt-zu-Punkt-Verbindungen
7.2.4 WAN-Netzwerke und die Anbindung ganzer lokaler Netzwerke
343
346
347
347
348
7.3
Netzwerkprotokolle
7.3.1 Alte Bekannte und Exoten
7.3.2 Das IP-Protokoll Version 4
7.3.3 Das IP-Protokoll Version 6
348
349
349
357
7.4
Netzwerkanwendungen Server und Client

7.4.1 Web Internetinformationsdienste (IIS) und IE
7.4.2 Fernarbeit Telnet, Remotedesktop und Remoteuntersttzung
7.4.3 Datei- und Druckerfreigabe SMB, CIFS und NFS
359
359
360
363
Erweiterte Netzwerkfunktionen
365
8.1
365
366
367
Netzwerkeinstellungen
8.1.1 Status eines Netzwerkadapters
8.1.2 Netzwerkadapter, Protokolle und Dienste
8.1.3 Unterschiedliche Netzwerkprofile und die Kopplung zwischen
Protokollen und Diensten
369
Inhaltsverzeichnis
8.2
TCP/IP-Einstellungen
8.2.1 Erweiterte TCP/IP-Einstellungen
8.2.2 Gesichertes TCP/IP IPsec
8.2.3 TCP/IP-Prfprogramme auf der Kommandozeile
374
375
380
381
8.3
Netzwerkschutz die Firewall

8.3.1 Status der Firewall
8.3.2 Neue Serverprogramme blocken
8.3.3 Firewallprofile
8.3.4 Firewallregeln
8.3.5 Firewallregeln bearbeiten
8.3.6 Die Firewall und die Kommandozeile
389
390
391
392
395
399
399
8.4
Netzwerkkopplung
8.4.1 Netzwerkrouten
8.4.2 Netzwerkbrcken
8.4.3 Gemeinsame Nutzung der Internetverbindung
400
401
402
404
8.5
Domnenmitgliedschaft und Funktionen in Active Directory

8.5.1 Einer Domne beitreten
8.5.2 Eine Domne verlassen
407
407
412
8.6
Fernbedienung
8.6.1 Nach Hilfe fragen
8.6.2 Fernsteuerung ohne Zuschauer Remotedesktop
8.6.3 Gastarbeiter RemoteApp
414
415
423
426
8.7
Datei- und Druckfreigabe

8.7.1 Dateien und Drucker freigeben
8.7.2 Der ffentliche Ordner und der Gast
8.7.3 Freigaben nutzen
8.7.4 Freigaben kontrollieren
428
428
433
434
439
8.8
Offlinedateien und BranchCache

8.8.1 Offlinedateien
8.8.2 BranchCache
442
442
446
8.9
Heimnetzgruppe
8.9.1 Keine Heimnetzgruppe mglich
447
449
8.10 Netzwerkdrucker
8.10.1 Zustzliche Netzwerkdruckdienste
450
453
8.11 WLAN sicher konfigurieren

8.11.1 Was keine WLAN-Sicherheit ist
8.11.2 Wie man ein WLAN sichern kann
8.11.3 Eigenschaften eines WLAN-Adapters
8.11.4 Mit einem WLAN Verbindung aufnehmen
454
454
455
456
457
Inhaltsverzeichnis
Drucken und Faxen
459
9.1
Grundlagen und Terminologie des Druckens

9.1.1 Wichtige Komponenten und Begriffe
9.1.2 Der Druckprozess im berblick
459
460
462
9.2
Drucker installieren und im Netzwerk bereitstellen

9.2.1 Installation lokaler Drucker
9.2.2 Mit einem Netzwerkdrucker verbinden
9.2.3 Windows 7-Client als Druckserver einrichten
463
464
468
470
9.3
Druckserver, Drucker und Druckauftrge verwalten

9.3.1 Druckereigenschaften konfigurieren
9.3.2 Druckauftrge verwalten
9.3.3 XPS-Datenaustauschformat
9.3.4 Zentrale Druckerverwaltung mit der Druckverwaltungskonsole
474
475
481
481
484
9.4
Die Faxfunktionen von Windows 7

9.4.1 Konfiguration der Faxfunktion
9.4.2 Faxe versenden und empfangen
492
493
497
10 Virtuelle Netzwerke
10.1 Ein fast virtuelles Netzwerk
499
10.2 IPv6-Tunneltechniken
501
10.3 Statische Tunnel mit 6in4

10.3.1 Lokales System und NAT-Router konfigurieren
502
503
10.4 Dynamische Tunnel

10.4.1 ISATAP
10.4.2 6to4
10.4.3 Teredo
505
505
506
507
10.5 VPN
511
11 Lokale Richtlinien und Gruppenrichtlinien
10
499
513
11.1 Was sind Richtlinien?
513
11.2 Unterschiede zwischen lokalen und Gruppenrichtlinien

11.2.1 Wann werden die Richtlinien angewendet?
513
515
11.3 Administrative Vorlagen

11.3.1 Weitere administrative Vorlagen
11.3.2 Verwendung alter .adm-Dateien
516
519
521
11.4 Richtlinien setzen und bearbeiten

11.4.1 Einzelne Richtlinien definieren
11.4.2 Richtlinien suchen
11.4.3 Lokale Richtlinien fr Benutzer eingrenzen
522
523
525
527
Inhaltsverzeichnis
11.5 Richtlinien berprfen und dokumentieren

11.5.1 Das Snap-In Richtlinienergebnissatz
11.5.2 Richtlinienanwendung planen
11.5.3 Richtlinien dokumentieren mit gpresult.exe
528
528
531
531
11.6 Ausgewhlte Anwendungsbeispiele

11.6.1 Internet Explorer konfigurieren
11.6.2 USB-Gerte kontrollieren
11.6.3 Sicherheit erhhen
533
533
534
535
12 Die Registrierungsdatenbank
537
12.1 Der Aufbau der Registry

12.1.1 Sonderflle in der Registry
12.1.2 Registry und Dateisystem
12.1.3 Datentypen in der Registry
12.1.4 Berechtigungen in der Registry
538
540
541
544
546
12.2 Die Schlssel der Registry

12.2.1 HKEY_CLASSES_ROOT (HKCR)
12.2.2 HKEY_CURRENT_USER (HKCU)
12.2.3 HKEY_USERS (HKU)
12.2.4 HKEY_LOCAL_MACHINE (HKLM)
12.2.5 HKEY_CURRENT_CONFIG
550
550
552
553
555
558
12.3 Bearbeiten der Registry mit dem Registrierungs-Editor

12.3.1 Navigation in der Registry
12.3.2 Favoriten in der Registry
12.3.3 Werte in der Registry ndern
12.3.4 Werte und Schlssel anlegen, lschen und umbenennen
12.3.5 Export, Import und Drucken von Daten
12.3.6 Arbeit mit kompletten Strukturen
558
559
560
561
563
564
568
12.4 Arbeit mit dem Programm reg.exe
569
12.5 Das Programm regini.exe
571
12.6 Die Registry ber das Netzwerk bearbeiten
572
12.7 Die Registry mit eigenen Programmen bearbeiten
573
12.8 Die Registry offline bearbeiten

12.8.1 Durchfhren eines Offline-Restore
574
574
12.9 Weitere Programme zum Bearbeiten der Registry

12.9.1 Registry-Cleaner
12.9.2 Registry-Backup und -Restore
12.9.3 Zugriff auf die Registry berwachen RegMon und ProcMon
578
578
578
582
12.10 Tipps zur Erhhung der Sicherheit

12.10.1 .reg-Dateien nicht per Doppelklick installieren
12.10.2 Aufruf des Registrierungs-Editors verbieten
584
584
585
11
Inhaltsverzeichnis
13 Sicherheit
12
587
13.1 Sichere Entwicklung SDL
587
13.2 Benutzerkontensteuerung UAC

13.2.1 Warum diese Einschrnkung?
13.2.2 Wie funktioniert UAC?
588
589
591
13.3 Integritt von Objekten

13.3.1 Verbindlichkeitsstufen ein Beispiel
591
592
13.4 Wartungscenter
13.4.1 Action-Center konfigurieren
594
597
13.5 Antivirus-Programme
13.5.1 Fr eine AV-Lsung sprechen
13.5.2 Gegen eine AV-Lsung sprechen
13.5.3 Prfung von AV-Programmen durch das Wartungscenter
597
598
598
598
13.6 Windows Defender und Microsoft Security Essentials

13.6.1 Manuelle berprfung anstoen
13.6.2 Erkennung von schdlichen Dateien
13.6.3 Wo ist der Software-Explorer?
13.6.4 Verlaufskontrolle
13.6.5 Einstellungen von Windows Defender
13.6.6 Hilfe neue Definitionen
13.6.7 Microsoft Security Essentials
599
600
601
603
603
604
608
608
13.7 Systemkonfiguration mit msconfig.exe

13.7.1 Registerkarte Allgemein
13.7.2 Registerkarte Start
13.7.3 Registerkarte Dienste
13.7.4 Registerkarte Systemstart
13.7.5 Registerkarte Tools
13.7.6 Informationsspeicher
609
609
610
613
614
615
615
13.8 Startkontrolle mit Autoruns
616
13.9 Windows-Firewall
13.9.1 Firewall-Konzeption
617
617
13.10 Windows Updates

13.10.1 Welche Updates gibt es?
13.10.2 Updates auswhlen und installieren
13.10.3 Kontrolle ber vorhandene, installierte und
unerwnschte Updates
13.10.4 Windows Update im betrieblichen Umfeld
13.10.5 Updates ohne Netzwerk
617
619
621
13.11 Verschlsselung Grundlagen

13.11.1 Symmetrische Verschlsselung
13.11.2 Asymmetrische Verschlsselung
625
626
626
623
624
625
Inhaltsverzeichnis
13.11.3 Schlssellngen starke und schwache Verschlsselung

13.11.4 Zertifikate und Zertifikatshierarchien
627
628
13.12 EFS Encrypting File System

13.12.1 Ablauf der Verschlsselung
13.12.2 Verschlsselung in der Praxis
13.12.3 Schutz der Schlssel bei EFS
13.12.4 Datenwiederherstellung bei EFS
13.12.5 EFS auf der Befehlszeile und mit anderen Programmen
629
632
632
636
637
647
13.13 Verschlsselung kompletter Laufwerke BitLocker

13.13.1 TPM Trusted Platform Module
13.13.2 Operationsmodi von BitLocker
13.13.3 Systemlaufwerke und Datenlaufwerke verschlsseln
13.13.4 Weitere Sicherheitsmglichkeiten
13.13.5 BitLocker-Verwaltung
13.13.6 BitLocker to Go
650
651
655
656
661
664
665
13.14 Jugendschutzeinstellungen
13.14.1 nderungen gegenber Windows Vista
13.14.2 Steuerungsmglichkeiten beim Jugendschutz
13.14.3 Spielfreigaben
13.14.4 Einstellungen fr einen Benutzer vornehmen
13.14.5 Windows-Spieleexplorer intern
13.14.6 Programme zulassen und blockieren
13.14.7 Webseiten-Filter
667
667
668
669
672
675
679
681
13.15 Datenausfhrungsverhinderung
681
14 Systemberwachung
685
14.1 Was tut das System gerade?

14.1.1 Vter und Shne
14.1.2 Und was ist ein Thread?
14.1.3 Task-Manager
14.1.4 Process Explorer
14.1.5 Prozesse und die Befehlszeile
685
686
686
686
697
700
14.2 Ereignisse kontrollieren

14.2.1 Wie charakterisiert man ein Ereignis?
702
702
14.3 Die Ereignisanzeige

14.3.1 Lage und Gre der Protokolle
14.3.2 Ereignisse ansehen
14.3.3 Import und Export
14.3.4 Ansichten filtern und definieren
14.3.5 Ereignisse von anderen Systemen sammeln
14.3.6 Auf Ereignisse reagieren
703
704
705
708
709
712
712
13
Inhaltsverzeichnis
14.3.7 Ereignisse selbst erzeugen

14.3.8 Ereignisse und die Befehlszeile
14.4 Aufgabenplanung
14.4.1 Aufgaben anlegen
14.4.2 Aufgaben ndern
14.4.3 Kontrolle ber laufende Aufgaben
14.4.4 Aufgaben und die Befehlszeile at.exe und schtasks.exe
714
716
716
718
718
14.5 Leistung kontrollieren

14.5.1 Ressourcenmonitor perfmon.exe
14.5.2 Leistungsberwachung perfmon.msc
14.5.3 Leistungsbewertung fr Rennfahrer
14.5.4 Leistungsindex
720
720
722
728
728
14.6 Professioneller Support

14.6.1 Zuverlssigkeit Stabilittsindex
730
731
15 Datensicherung
733
15.1 Datensicherung in lteren Versionen von Windows und heute
733
15.2 Arten und Formen der Datensicherung

15.2.1 Datensicherung und Sicherheit
734
736
15.3 Sicherung durchfhren

15.3.1 Sicherung einrichten
15.3.2 Systemabbild erstellen
15.3.3 Systemreparaturdatentrger erstellen
15.3.4 Systemsicherung durch Wiederherstellungspunkte
15.3.5 Weitere Programme zur Datensicherung wbadmin
und robocopy
737
739
746
748
749
15.4 Daten restaurieren

15.4.1 Rcksicherung eines kompletten Systems
15.4.2 Wiederherstellen von Dateien
15.4.3 Systemzustand durch Wiederherstellungspunkte zurcksetzen
753
754
760
765
16 Kommunikation im Netzwerk
14
714
714
751
769
16.1 Gemeinsam Arbeiten im Netz SharedView

16.1.1 Funktionen von SharedView
769
771
16.2 Windows Live Essentials die Komponenten Mail,

Messenger und Family Safety
16.2.1 Windows Live-ID eintragen
16.2.2 Windows Mail
16.2.3 Windows Messenger
16.2.4 Family Safety
772
774
774
776
778
Inhaltsverzeichnis
17 Windows 7-Batchdateien
783
17.1 Konfiguration des Kommandozeilenfensters
783
17.2 Ein alternatives Kommandozeilenfenster
784
17.3 Kommandozeilenfenster und Benutzerkontensteuerung
786
17.4 Befehle
787
17.5 Ausgaben und Ausgabeumleitung
788
17.6 Arbeit mit dem Dateisystem

17.6.1 Wechseln des Verzeichnisses
17.6.2 Verzeichnis auflisten
17.6.3 Dateisystemoperationen
788
789
791
791
17.7 Arbeit mit Prozessen
791
17.8 Die net-Befehlsfamilie
791
17.9 Weitere Kommandozeilenbefehle
792
17.10 Stapelverarbeitung
17.10.1 Befehlsverknpfung
17.10.2 Textbasiertes Pipelining
17.10.3 Batch-Dateien
792
792
793
793
18 Windows Management Instrumentation (WMI)
795
18.1 WMI-Funktionsumfang
18.1.1 WMI-Klassen und WMI-Objekte
18.1.2 WMI-Namensrume (Namespaces)
18.1.3 Lokalisierung
18.1.4 WMI-Pfade
18.1.5 WMI-Schema
18.1.6 WMI-Repository
18.1.7 WMI-Systemdienst
18.1.8 WMI-Provider
18.1.9 Managed Object Format (MOF)
18.1.10 WMI-Sicherheit
18.1.11 WMI Query Language (WQL)
18.1.12 WMI-Ereignissystem
18.1.13 WMI-Programmierschnittstellen
18.1.14 WMI-Werkzeuge
796
797
801
802
802
804
804
805
805
806
808
809
812
814
814
18.2 WMIC-Konsolenanwendung
18.2.1 WMIC-Befehle
18.2.2 PATH-Befehl
18.2.3 Ausgabeformen
18.2.4 Fernzugriff auf andere Systeme
18.2.5 Stapelverarbeitung
817
817
818
818
820
820
15
Inhaltsverzeichnis
19 Windows Script Host (WSH)
16
821
19.1 berblick ber den WSH in Windows 7
822
19.2 Erste WSH-Beispiele

19.2.1 Hello World
19.2.2 Versionsnummern ermitteln
822
822
823
19.3 WSCRIPT vs. CSCRIPT
824
19.4 Skriptsprache Visual Basic Script (VBScript)

19.4.1 Grundregeln
19.4.2 Ausgaben
19.4.3 Variablen und Konstanten
19.4.4 Operationen
19.4.5 Bedingte Ausfhrung
19.4.6 Schleifen
19.4.7 Unterroutinen
19.4.8 Objekte
19.4.9 Softwarekomponenten
826
826
826
827
827
827
827
828
829
829
19.5 WSH-Sicherheit
830
19.6 WSH und Benutzerkontensteuerung
830
19.7 Scripting mit entfernten Systemen

19.7.1 Ein Skript kann man von einem Netzlaufwerk starten
19.7.2 Eine Aktion auf einem entfernten System ausfhren
833
833
834
19.8 WSH-Werkzeuge
834
19.9 Scripting des Dateisystems

19.9.1 Zugriff auf Ordner und Dateien
19.9.2 Auflisten von Dateien
19.9.3 Dateieigenschaften bestimmen und verndern
19.9.4 Namen ndern
19.9.6 Textdateien lesen
19.9.7 Textdateien beschreiben
836
836
837
838
839
840
841
843
19.10 Scripting der Registrierungsdatenbank

19.10.1 Auslesen und Setzen eines Wertes
19.10.2 Erzeugen eines neuen Registrierungsdatenbank-Schlssels
19.10.3 Auflisten von Schlsseln
19.10.4 Lschen von Schlsseln
843
844
845
846
847
19.11 Scripting der Softwarekonfiguration

19.11.1 Software inventarisieren
19.11.2 Software installieren
19.11.3 Software deinstallieren
847
847
850
851
Inhaltsverzeichnis
19.12 Scripting der Benutzerverwaltung

19.12.1 Auflisten der vorhandenen Benutzerkonten
19.12.2 Anlegen eines Benutzerkontos
19.12.3 Umbenennen eines Benutzers
19.12.4 Kennwort eines Benutzers ndern
19.12.5 Anlegen einer Benutzergruppe
19.12.6 Einen Benutzer einer Gruppe hinzufgen
19.12.7 Einen Benutzer aus einer Gruppe entfernen
19.12.8 Deaktivieren eines Benutzerkontos
19.12.9 Lschen einer Gruppe
20 .NET Framework
851
852
853
854
855
856
856
857
857
858
861
20.1 Was ist das .NET Framework?
863
20.2 Weitere Eigenschaften des .NET Frameworks
864
20.3 .NET-Klassen
20.3.1 Namensgebung von .NET-Klassen (Namensrume)
20.3.2 Namensrume und Softwarekomponenten
20.3.3 Bestandteile einer .NET-Klasse
20.3.4 Vererbung
20.3.5 Schnittstellen
20.3.6 Konfiguration von .NET-Anwendungen
20.3.7 Konfiguration des .NET-Sicherheitssystems
865
865
867
868
869
869
870
870
21 Einfhrung in die Windows PowerShell (WPS)
873
21.1 Was ist die Windows PowerShell?
873
21.2 Geschichte
874
21.3 Bestandteil von Windows 7
875
21.4 Architektur
875
21.5 PowerShell versus WSH
876
21.6 Einzelbefehle der PowerShell

21.6.1 Commandlets
21.6.2 Aliase
21.6.3 Ausdrcke
21.6.4 Externe Befehle
21.6.5 Dateinamen
880
880
883
889
890
891
21.7 Hilfe
21.7.1 Verfgbare Befehle
21.7.2 Erluterungen zu den Befehlen
21.7.3 Dokumentation der .NET-Klassen
891
891
892
894
17
Inhaltsverzeichnis
18
21.8 Objektorientiertes Pipelining

21.8.1 Grundlagen
21.8.2 Objektorientierung
21.8.3 Analyse des Pipeline-Inhalts
21.8.4 Filtern
21.8.5 Zusammenfassung von Pipeline-Inhalten
21.8.6 Kastrierung von Objekten in der Pipeline
21.8.7 Sortieren
21.8.8 Gruppierung
21.8.9 Berechnungen
21.8.10 Zwischenschritte in der Pipeline
21.8.11 Verzweigungen in der Pipeline
21.8.12 Vergleiche
21.8.13 Beispiele
895
895
896
899
904
905
906
906
907
907
908
908
909
909
21.9 Ausgabefunktionen
21.9.1 Standardausgabe
21.9.2 Seitenweise Ausgabe
21.9.3 Einschrnkung der Ausgabe
21.9.4 Ausgabe einzelner Werte
21.9.5 Unterdrckung der Ausgabe
21.9.6 Weitere Ausgabefunktionen
911
912
913
914
914
915
915
21.10 Fernausfhrung von Befehlen
916
21.11 Navigationsmodell
21.11.1 Navigation in der Registrierungsdatenbank
21.11.2 Provider und Laufwerke
21.11.3 Navigationsbefehle
21.11.4 Pfadangaben
21.11.5 Eigene Laufwerke definieren
917
918
919
920
920
921
21.12 PowerShell Language (PSL)

21.12.1 Hilfe zu der PowerShell-Sprache
21.12.2 Befehlstrennung
21.12.3 Kommentare
21.12.4 Variablen
21.12.5 Zahlen
21.12.6 Zeichenketten
21.12.7 Datum und Uhrzeit
21.12.8 Arrays und assoziative Arrays (Hashtable)
21.12.9 Operatoren
21.12.10Kontrollkonstrukte
922
922
922
923
923
924
926
928
929
932
933
Inhaltsverzeichnis
21.13 PowerShell-Skripte
21.13.1 Beispiel
21.13.2 Start eines Skripts
21.13.3 Sicherheitsfunktionen fr PowerShell-Skripte
21.13.4 PowerShell-Skripte als Commandlets verwenden
21.13.5 Commandlets fr Skriptausfhrung
21.13.6 Skripte einbinden
21.13.7 Fehlerbehandlung
934
934
935
936
938
941
941
941
21.14 Eingabe
946
21.15 Anbindung an Klassenbibliotheken

21.15.1 WMI-Klassen
21.15.2 .NET-Klassen
21.15.3 COM-Klassen
946
947
953
956
21.16 Fehlersuche
956
21.17 PowerShell-Werkzeuge
21.17.1 PowerShell-Konsole
21.17.2 PowerShell Integrated Scripting Environment (ISE)
21.17.3 PowerShellPlus
21.17.4 PowerShell Analyzer
21.17.5 PrimalScript
21.17.6 PowerShell Help
21.17.7 PowerTab
21.17.8 VS Command Shell
957
957
960
962
964
965
965
966
966
21.18 Commandlet-Erweiterungen
21.18.1 Aktivieren von Snap-ins
21.18.2 Aktivieren von PowerShell-Modulen
21.18.3 Verfgbare Commandlet-Erweiterungen
967
967
968
969
21.19 Tipps und Tricks

21.19.1 Befehlsgeschichte
21.19.2 Systeminformationen
21.19.3 Alle Anzeigen lschen
21.19.4 Profileinstellungen fr die PowerShell-Konsole
21.19.5 Aufzhlungen
973
973
974
975
975
981
21.20 Weitere Funktionen
981
21.21 Weitere Informationen ber die PowerShell

21.21.1 Websites zur PowerShell
21.21.2 Weblogs zur PowerShell
982
982
982
19
Inhaltsverzeichnis
22 Systemautomatisierung mit der PowerShell
20
983
22.1 Dateisystem
22.1.1 Laufwerke
22.1.2 Inhalt eines Verzeichnisses
22.1.4 Dateieigenschaften lesen und verndern
22.1.5 Freigaben
983
984
985
985
986
986
22.2 Dokumente & Datenbanken

22.2.1 Textdateien
22.2.2 Binrdateien
22.2.3 CSV-Dateien
22.2.4 XML-Dateien
22.2.5 HTML-Dokumente
22.2.6 Relationale Datenbanken
992
992
992
993
993
995
996
22.3 Registrierungsdatenbank (Registry)

22.3.1 Schlssel auslesen
22.3.2 Schlssel anlegen und lschen
22.3.3 Abkrzungen definieren
22.3.4 Werte anlegen und lschen
22.3.5 Werte auslesen
22.3.6 Praxisbeispiel
997
997
998
998
999
1000
1000
22.4 Computerverwaltung
1001
22.5 Hardwareverwaltung
1002
22.6 Softwareverwaltung
22.6.1 Inventarisierung
22.6.2 Installation von Anwendungen
22.6.3 Deinstallation von Anwendungen
22.6.4 Praxisbeispiel: Installationstest
22.6.5 Versionsnummer
1003
1003
1006
1006
1007
1008
22.7 Prozessverwaltung
1008
22.8 Druckerverwaltung
1009
22.9 Systemdienste
1010
22.10 Netzwerk
22.10.1 Ping
22.10.2 Netzwerkkonfiguration
22.10.3 Abruf von Daten von einem HTTP-Server
1011
1011
1012
1013
22.11 Ereignisprotokolle
1014
22.12 Leistungsdaten
1015
Inhaltsverzeichnis
22.13 Sicherheitseinstellungen
22.13.1 Grundlagen
22.13.2 Zugriffsrechtelisten auslesen
22.13.3 Einzelne Rechteeintrge auslesen
22.13.4 Besitzer auslesen
22.13.5 Benutzer und SID
22.13.6 Hinzufgen eines Rechteeintrags zu einer Zugriffsrechteliste
22.13.7 Entfernen eines Rechteeintrags aus einer Zugriffsrechteliste
22.13.8 Zugriffsrechteliste bertragen
22.13.9 Zugriffsrechteliste ber SSDL setzen
1015
1016
1017
1019
1020
1020
1023
1025
1026
1027
22.14 Active Directory

22.14.1 Architektur und Installation
22.14.2 Aktivieren des Active Directory-Moduls
22.14.3 Active Directory-Navigationsprovider
22.14.4 Objektmodell
22.14.5 berblick ber die Commandlets
22.14.6 Allgemeine Verwaltungscommandlets
22.14.7 Filtern und Suchen
22.14.8 Verwaltung von Organisationseinheiten
22.14.9 Verwaltung von Benutzerkonten
22.14.10Verwaltung von Benutzergruppen
22.14.11Informationen ber die Active Directory-Struktur
1028
1028
1030
1031
1033
1034
1035
1037
1038
1039
1041
1042
22.15 Grafische Benutzeroberflche

22.15.1 Eingabemaske
22.15.2 Universelle Objektdarstellung
1046
1047
1048
Abkrzungsverzeichnis
1051
Literatur und Links
1055
Stichwortverzeichnis
1061
21
Vorwort
Liebe Leserin, lieber Leser,
Mit Windows 7 ist Microsoft wirklich ein groer Wurf gelungen. Whrend sich Windows Vista insbesondere im Unternehmensumfeld sehr
schwer getan hat es gab zu viele Meldungen ber Schwierigkeiten mit
der Hardware und ber den Leistungshunger gibt es von Windows 7
Erfolgsmeldungen am laufenden Band:
Allein an den ersten zwei Tagen nach Verkaufsstart wurde Windows 7
in Deutschland fnf Mal so oft verkauft wie damals Vista.1, Windows 7
kommt nirgends besser an als in Deutschland2 Statistiken belegen
Erfolg von Windows 73. Natrlich muss man diese Meldungen von Microsoft auch vor dem Hintergrund bewerten, dass Microsoft bei Windows
7 zum Erfolg verdammt ist.
Da aber viele Unternehmen Windows Vista bersprungen haben, ist der
Wechsel mehr als acht Jahre nach dem Start von Windows XP berfllig.
Laut einer Umfrage des TechNet NewsFlash vom 17.12. 2009 sehen 42,3 %
der Befragten das Betriebssystem-Upgrade als wichtigstes IT-Projekt fr
2010 an.
Tatschlich beseitigt Windows 7 viele der Unzulnglichkeiten von Vista.
Das tut Windows 7 so gut, das man sagen knnte: Windows 7 ist ein Service Pack fr Windows Vista. Sptestens jetzt sollten Sie sich mit diesem
Betriebssystem beschftigen.
Mit diesem Gemeinschaftswerk von drei erfahrenen Windows-Spezialisten mchten wir Sie fr die neuen Features von Windows 7 begeistern
und Sie bei Installation, Konfiguration und Verwaltung untersttzen
fr eine reibungslose Migration zu Windows 7.
Das Buch richtet sich in erster Linie an professionelle Windows-Nutzer
und Systemadministratoren, die Windows 7 Professional/Enterprise
(oder Ultimate) im kommerziellen Umfeld (als Domnenmitglieder oder
Arbeitsgruppen-Rechner) einsetzen.
Angesprochen sind fortgeschrittene Anwender, die keine Beschreibung
der Symbole und keine seitenweisen Klickanleitungen bentigen. Konzeptionelle Fragen und deren Hintergrnde werden umfassend erlutert.
Schritt-fr-Schritt-Anleitungen sind, soweit Sie dem tieferen Verstndnis
dienen, enthalten ebenso wie aussagekrftige Bildschirmabbildungen.
Neben von Microsoft produzierten Erweiterungen, weisen wir auch auf
(kostenlose) Zusatzwerkzeuge und Produkte anderer Hersteller hin, die
den Lieferumfang von Windows 7 sinnvoll ergnzen.
1
2
3
http://www.n-tv.de/technik/computer/Microsoft-vom-Erfolg-ueberraschtarticle570876.html
http://www.gamestar.de/hardware/news/betriebssysteme/2311252/windows_7.html
http://winfuture.de/news,52637.html
23
Vorwort
Ein Schwerpunkt des Buches liegt auf der automatisierten Systemadministration mit dem Windows Script Host (WSH) und der Windows
PowerShell (WPS).
Leser-Service
Zu diesem Buch gibt es eine Leser-Website mit folgenden Diensten:
Downloads: Die aktuellen Versionen der in diesem Buch abgedruckten
Skripte sowie weitere Skripte und Codebeispiele.
Foren: Wenn Sie Fragen haben oder Ihre Meinung zu einem Thema dieses
Buches uern mchten, dann knnen Sie sich hier mit anderen Nutzern
austauschen.
Leser-Bewertung: Bewerten Sie dieses Buch und lesen Sie nach, was
andere Leser von diesem Buch halten.
Bug-Report: Melden Sie hier Fehler, die Sie in diesem Buch gefunden haben!
Hier knnen Sie auch nachlesen, welche Fehler anderen nach Drucklegung
aufgefallen sind.
Newsletter: Alle registrierten Leser erhalten in unregelmigen Abstnden einen Newsletter.
Der URL fr den Zugang zum Leser-Portal lautet:
http://www.IT-Visions.de/leser
Bei der Anmeldung mssen Sie das Kennwort BUFFY angeben.
Viel Erfolg mit diesem Buch wnschen Ihnen
Dr. Holger Schwichtenberg, Manuela Reiss und Jochen Ruhland
24
1
ber die Autoren
ber die Autoren

Dr. Holger Schwichtenberg
Ausbildung:
Studium Diplom-Wirtschaftsinformatik an
der Universitt Essen
Promotion an der Universitt Essen im Gebiet
komponentenbasierter Softwareentwicklung
Ttig in der Softwareentwicklung seit 1996
Aktuelle Ttigkeit:
Leitung der Firma www.IT-Visions.de
Softwareentwicklung und Softwarearchitektur im Kundenauftrag
Beratung und Schulung von Softwareentwicklern
Individueller Support fr Softwareentwicklungsprojekte
Gutachter in den Wettbewerbsverfahren der EU gegen Microsoft
Kernkompetenzen:
Einfhrung von .NET Framework und Visual Studio/Migration auf
.NET
.NET-Strategie / Auswahl von .NET-Technologien
Webanwendungsentwicklung mit IIS, ASP.NET und AJAX
Enterprise .NET
Verteilte Systeme mit .NET insbesondere Windows Communication
Foundation
C#, Visual Basic (VB/VB.NET/VBS/VBA)
Component Object Model (COM), Windows Scripting (WSH), Windows
PowerShell (WPS)
Relationale Datenbanken, XML und Object Relational Mapping (ORM)
Active Directory-Programmierung und Windows Management Instrumentation (WMI)
Verffentlichungen und Vortrge:
ber 40 Fachbcher bei Addison-Wesley, Microsoft Press und dem Carl
Hanser-Verlag
Mehr als 500 Beitrge in Fachzeitschriften
Stndiger Mitarbeiter der Zeitschriften iX und dotnetpro sowie bei
heise.de
Sprecher auf nationalen und internationalen Fachkonferenzen (z. B.
TechEd, OOP, Microsoft Launch Event, MSDN Summit, BASTA, Advanced Developers Conference, Microsoft IT Forum, Wirtschaftsinformatik,
VS One, u.a.)
Sprecher in MSDN Webcasts
25
Vorwort
Ehrenamtliche Community-Ttigkeiten:
Vorstandsmitglied bei codezone.de
Sprecher fr die International .NET Association (INETA)
Betrieb der Community-Websites www.dotnetframework.de und
www.windows-scripting.de
Zertifikate und Auszeichnungen von Microsoft:
Most Valuable Professional (MVP)
Microsoft Certified Solution Developer (MCSD)
.NET Code Wise Community-Experte
Codezone Premier Site Member
Firmen-Website:
http://www.IT-Visions.de
Weblog:
http://www.dotnet-doktor.de (bei Heise.de)
Kontakt:
hs@IT-Visions.de
0201 7490-700 (Bro www.IT-Visions.de)
Manuela Reiss
Manuela Reiss ist seit mehr als 18 Jahren
selbststndig ttig als Beraterin, Trainerin
und Fachbuchautorin im Microsoft Windows-Umfeld.
Ihr theoretisches Fachwissen hat sie sich in
zahlreichen Zertifizierungsprogrammen vor
allem bei Microsoft erworben. So ist sie u.a.
Microsoft Certified Systems Engineer (MCSE)
fr mehrere Versionen von Windows-Serversystemen. Darber hinaus verfgt Sie
ber langjhrige praktische Erfahrungen,
die sie in zahlreichen Projekteinstzen in
den Bereichen Administration und Support, schwerpunktmig im Banken
und Telekommunikationsumfeld sowie in der ffentlichen Verwaltung
erworben hat.
In den vergangenen Jahren hat sie sich im Rahmen der Beraterttigkeit verstrkt auf die Bereiche Konzeption und Dokumentation spezialisiert und
deckt damit das breite Spektrum von der theoretischen Konzeptionierung
ber eine prozessorientierte Planung bis hin zur praktischen Umsetzung
ab. Als zertifizierte Projektmanagement Fachfrau (GPM) untersttzt sie
Firmen im Bereich Projektmanagement und IT Service Management sowie
bei allen Fragen rund um das Thema Dokumentation.
26
1
Daneben hat sie sich als Fachbuchautorin einen Namen gemacht und ist
seit vielen Jahren u.a. fr den Addison-Wesley Verlag als Autorin ttig.
Ihre fachlichen Schwerpunkte liegen hierbei, neben dem Themenschwerpunkt IT-Dokumentation, vor allem in der Administration und Migration
heterogener Windows-Netzwerke, sowie im Bereich Troubleshooting von
Windows Server- und Client-Systemen.
Jochen Ruhland
Nach Abschluss als Diplom-Mathematiker
mit Schwerpunkt Informatik ist er seit mehr
als zwanzig Jahren im Bereich Systemadministration ttig, inzwischen als freiberuflicher IT-Consultant in Mnchen. In dieser
Zeit hat er die Umwandlung lokaler Netzwerke mit Windows NT 4 hin zu globalen
Netzwerken mit Windows Server 2008 aus
nchster Nhe erlebt. Daneben hat er als
Autor oder Fachlektor an Publikationen zu
verschiedenen Themen im Bereich Betriebssysteme, Anwendungsprogramme und -server oder Programmierung mitgearbeitet.
Sein besonderes Interesse gilt hierbei der
Entwicklung der Windows-Plattform. Zeitweise war er Microsoft Most Valuable Professional (MVP) im Bereich Windows Client-Networking.

Im vorliegenden Buch sind wichtige Hinweise und Einschbe durch
einen grauen Kasten hinterlegt. Zustzlich werden drei Icons verwendet,
um bestimmte Informationen besonders hervorzuheben:
Interessante Hintergrundinformationen, die Besonderheiten des gerade
besprochenen Themas beinhalten.
Warnung vor Bugs oder mglichen Schwierigkeiten
Tipps und Tricks
27
Vorwort
Um den Lesefluss nicht durch lange Internetlinks zu stren, sind Literaturhinweise und Verweise auf Quellen aus dem Internet im Text durch
Krzel in eckigen Klammern gekennzeichnet, z.B. [ACT], was fr Application Compatibility Toolkit steht. In Anhang B Literatur und Links finden
Sie eine Liste mit den vollstndigen Links und Literaturverweisen.
Die CD zum Buch

Auf der beiliegenden CD finden Sie
das Buch als farbiges eBook, damit Sie auch unterwegs schnell Informationen finden,
die Beispielskripte aus den Kapiteln 17 bis 21,
Erweiterungen, Komponenten, Sprachen und Tools fr das Windows
Scripting (zum Teil als Vollversionen, zum Teil als Demo-Versionen),
Dokumentationen zu Visual Basic Script, dem WSH und einigen der
besprochenen Komponenten
Video-Lektionen zum Thema Desktopvirtualisierung mit den Remotedesktopdiensten.
28
Betriebssysteminstallation
Wer schon einmal Windows Vista installiert hat, dem wird der Installationsablauf bekannt vorkommen. Denn die Installationsroutine von Windows 7 beruht eindeutig auf Windows Vista mit kleinen nderungen in
der Ablaufreihenfolge. Und wie bereits Windows Vista bietet Windows 7
vielfache Untersttzungen fr eine einfache automatisierte Verteilung in
Unternehmensnetzwerken. Neben den Voraussetzungen fr die Installation
von Windows 7 und der detaillierten Beschreibung einer Einzelplatzinstallation, werden in diesem Kapitel deshalb auch im berblick Technologien vorgestellt, die eine Verteilung von Windows 7 in Unternehmensnetzwerken
untersttzen.
1.1
Installationsplanung und
Vorbereitung
Eine durchdachte Planung und Vorbereitung ist der Grundstein einer

jeden erfolgreichen Installation. Vor jeder Installation sollten deshalb die
folgenden Fragen geklrt werden:
Windows 7 stellt besondere Anforderungen an die Hardware. Sind die
vorhandenen Computer und deren Peripherie mit Windows 7 kompatibel? Welche Anforderungen mssen neue Rechner erfllen? (Siehe
hierzu den folgenden Abschnitt 1.1.1)
Welche Edition von Windows 7 wird bentigt bzw. ist am besten geeignet? (Siehe hierzu Abschnitt 1.1.2 ab Seite 34)
Welches Installationsverfahren ist am besten geeignet? (Siehe hierzu
Abschnitt 1.1.3 ab Seite 35)
Ist die Einrichtung einer mehrsprachigen Systemumgebung erforderlich? (Siehe hierzu Abschnitt 1.3.3 ab Seite 82)
29
Kapitel 1 Betriebssysteminstallation
1.1.1
Sicherstellung der Systemanforderungen
Der folgende Abschnitt erlutert die Anforderungen von Windows 7 und

soll auch bei der Beantwortung der Frage helfen, inwieweit die vorhandenen Computer und deren Peripherie fr den Einsatz mit Windows 7
geeignet sind.
Hardwareanforderungen
Die von Microsoft empfohlenen Mindestanforderungen liegen (bis auf die
Hauptspeicherkapazitt) nicht hher als die fr Windows Vista, sodass
die heute erhltlichen Komplettsysteme die Anforderungen in der Regel
problemlos erfllen.
Bei lteren Systemen aber ist zu hinterfragen, ob diese fr den Einsatz von
Windows 7 geeignet sind. Dabei ist zu unterscheiden, ob die Hardware so
ausgelegt ist, dass Windows 7 darauf grundstzlich lauffhig ist, aber nicht
alle spezifischen Funktionen untersttzt, oder ob alle Neuerungen von Windows 7 nutzbar sind. Dies betrifft insbesondere die grafikintensive Benutzeroberflche, die Microsoft bereits mit Windows Vista unter dem Namen Aero
eingefhrt hat sowie die erweiterten Multimediafunktionen von Windows 7.
Authentic, Energetic, Reflective, Open = Aero

Aero steht fr die neue vektorbasierte Benutzeroberflche von Windows.
Diese bietet im sogenannten Aero-Glass-Modus dem Benutzer frei skalierbare Fenster mit Schattenwurf, halbtransparente Rahmen sowie flssige Animationen beim Minimieren, Maximieren, Schlieen und ffnen
von Fenstern.
Hinsichtlich der Hardwareanforderungen sollten die folgenden Punkte
beachtet werden.
Prozessor
Grundstzlich ist Windows 7 auf allen aktuellen Prozessoren von Intel
und AMD lauffhig und untersttzt alle Funktionen. Gem Microsoft
gengt fr die Nutzung der Basisfunktionen ein 1-GHz-Prozessor mit
32 Bit oder 64 Bit. In der Praxis sollte es jedoch mindestens ein 2-GHzProzessor sein. Empfehlenswert ist der Einsatz von Dual-Core-Prozessoren, die von Hause aus eine effizientere Leistungserbringung gewhrleisten. berlegenswert ist auch, mit Windows 7 eventuell auf die
64-Bit-Prozessortechnologie umzusteigen. Erleichtert wird der Umstieg
dadurch, dass Microsoft alle Editionen auch als 64-Bit-Variante zur
Verfgung stellt. Allerdings ist zu beachten, dass bei Einsatz einer
64-Bit-Version einige zustzliche Anforderungen bestehen. So knnen
beispielsweise nur noch signierte Treiber verwendet werden. Es sollte
daher im Vorfeld sichergestellt werden, ob fr die eingesetzte Hardware 64-Bit-Treiber zur Verfgung stehen.
Im Gegensatz zu den Treibern knnen die meisten Programme, die fr
die 32-Bit-Version von Windows entwickelt wurden, auch unter der
64-Bit-Version ausgefhrt werden. Allerdings laufen 64-Bit Anwendungen in der Regel schneller, da diese die Vorteile der 64-Bit-Architektur
vollstndig nutzen.
30
1
Grafikkarte
Eine wesentliche Bedeutung kommt der verwendeten Grafikkarte zu,

insbesondere wenn ein Aero-Desktopdesign verwendet werden soll. Fr
deren Einsatz muss die Grafikkarte das Windows Display Driver Model
(WDDM) untersttzen. Auf dieses setzt u.a. auch der Multimediastandard DirectX 10 auf, der bereits mit Windows Vista Einzug gehalten hat.
Zwar luft Windows 7 auch mit DirectX 9, das Shader-Modell 4.0 sowie
WDDM wird jedoch nur von DirectX 10 benutzt. Zustzlich untersttzt
Windows 7 die Version DirectX 11.
Auerdem muss die Grafik-CPU ber mindestens 128 MB Arbeitsspeicher verfgen.
Bei Systemen mit integrierter Grafik-CPU sollte darauf geachtet werden,
dass der Chipsatz WDDM-Untersttzung bietet. Um auch Grafikkarten
ohne WDDM verwenden zu knnen, verwendet Windows 7 automatisch einen anderen Grafikmodus bzw. ein Basisdesign ohne Aero-Funktionen. In diesem Modus wird die Oberflche von der CPU statt von der
Grafikkarte erzeugt.
Arbeitsspeicher
Offiziell kommt Windows 7 mit 1 GB RAM aus, fr x64-Rechner werden

2 GB empfohlen. Dies stellt jedoch die unterste Grenze dar. Insbesondere
bei Einsatz einer x64-basierten Windows 7-Edition, ist zu beachten, dass
64-Bit-Anwendungen mehr Arbeitsspeicher bentigen. Maximal untersttzt Windows 7 32-Bit-Versionen mit 4 GB, von denen aber aufgrund
von Beschrnkungen im 32-Bit-System nur 3,25 GB genutzt werden
knnen. Die 64-Bit-Versionen Ultimate, Enterprise und Professional von
Windows 7 knnen bis zu 192 GB Arbeitsspeicher verwalten (weit mehr
als auch der Poweruser normalerweise bentigt), wodurch sie fr ganz
spezielle Computeraufgaben, die enorme Arbeitsspeichermengen erfordern, wie das Rendern von 3D-Grafiken, ideal geeignet sind. Die 64-Bit
Versionen untersttzen bis zu maximal 192 GB (abhngig von der eingesetzten Edition).
Festplatte
Microsoft definiert als Mindestgre fr die Festplatte 16 GB verfgbaren Festplattenspeicher auf einer mindestens 20 GB groen Festplatte.
Die 64-Bit-Version erfordert 20 GB Platz. Diese Werte berfordern in der
Regel selbst ltere Festplatten nicht, wobei ein Austausch lterer Festplatten auch aufgrund deren geringeren Geschwindigkeit empfehlenswert ist.
Zu beachten ist auch, dass Windows 7 einige neue Funktionen im Bereich
der Bildbearbeitung mitbringt und der Speicherplatzbedarf allein aus
diesem Grund stark ansteigen kann. Wird ein Rechner fr diese Zwecke
eingesetzt, sollte bereits bei der Anschaffung darauf geachtet werden,
dass dieser ber mglichst viel Speicherplatz verfgt und, noch wichtiger, dass er spter durch zustzliche Festplatten erweiterbar ist.
Windows 7 akzeptiert fr das System nur Festplattenpartitionen, die
mit dem Dateisystem NTFS formatiert sind. Fr weitere (Nicht-System-)
Partitionen werden auch FAT und FAT32 als Dateisystem untersttzt.
31
BIOS
Das BIOS muss ACPI (Advanced Configuration and Power Interface)

untersttzen. ACPI ist ein offener Industriestandard, der eine flexible
und erweiterbare Hardwareschnittstelle fr die Systemplatine definiert. Hierzu gehren beispielsweise intelligente Stromsparfunktionen. Vor der Installation sollte berprft werden, ob der Hersteller
eine aktualisierte BIOS-Funktion zur Verfgung stellt.
Weitere Hardware
Fr eine Installation vom Installationsmedium ist ein DVD-Laufwerk

erforderlich, da Windows 7 nicht mehr auf eine CD-ROM passt.
Darber hinaus sollte mindestens eine 100-MBit-Ethernetkarte bzw.
bei Notebooks alternativ eine 802.11-WLAN-Netzwerkkarte vorhanden sein.
Wer die Festplattenverschlsselungsfunktion BITLOCKER nutzen mchte,
bentigt auerdem einen TPM-Chip, welcher der Spezifikation 1.2 der
Trusted Computing Group (TCG) entspricht, sowie ein TCG-kompatibles BIOS. Alternativ ist fr den Einsatz von BitLocker To Go ein USB-Flashlaufwerk erforderlich.
Windows 7Logos
Wie bereits bei den Vorgngerversionen gibt es auch fr Windows 7 die sogenannten Logo Requirements, die festlegen, welche Anforderungen Hardware
fr den Betrieb mit Windows 7 erfllen muss, um das Windows 7-Logo tragen zu drfen. Microsoft beschreibt die Anforderungen an Komplettrechner
und PC-Komponenten sehr detailliert. Dabei unterscheiden sich die Anforderungen an Logo-taugliche Hardware laut Microsoft nur wenig von den
Logo-Anforderungen von Windows Vista. Allerdings ist der Zugriff auf den
sogenannten LogoPoint und damit auf die komplette Logo-RequirementsDatenbank nur noch Microsoft-Partnerfirmen mit Winqual-Account mglich. Dieser wiederum erfordert ein digitales VeriSign-Zertifikat. Alle anderen Anwender knnen lediglich einen ffentlichen Newsletter abonnieren
[WHDC].
Abbildung 1.1
Diese Logos signalisieren, dass
die Hardware
bestimmte Anforderungen fr
den Betrieb mit
Windows 7 erfllt.
Prfung der Windows 7-Tauglichkeit eines Computers

Neue Gerte erfllen in der Regel die Anforderungen, die Windows 7 an
die Hardware stellt. Anders hingegen ist es mit lteren Rechnern. Und welches Unternehmen kann es sich leisten, mit jedem Betriebssystemwechsel
auch die Hardware komplett auszutauschen? In aller Regel mssen deshalb auch ltere Rechner verwendet werden.
Windows 7
Upgrade Advisor
32
Um festzustellen, ob ein vorhandener Rechner fr den Einsatz von Windows

7 geeignet ist, bietet Microsoft den Nachfolger des bereits fr Windows Vista
verfgbaren Upgrade Advisors an. ist. Der kostenlose Windows 7 Upgrade
1
Advisor berprft Hardware, Gerte und installierte Programme auf bekannte Kompatibilittsprobleme, gibt Hilfestellung beim Beheben erkannter
potenzieller Probleme und empfiehlt Aktionen, die vor dem Upgrade ausgefhrt werden sollten. Damit knnen mgliche Installationshindernisse aufgesprt und vor Beginn der Installation beseitigt werden [ADVISOR].
Der Windows 7 Upgrade Advisor analysiert die vorhandene Hardware
und Software und gibt Auskunft darber, ob fr alle Hardwarekomponenten Treiber zur Verfgung stehen, listet die Programme auf, die unter 7
nicht lauffhig sind, und schlgt eine geeignete Windows 7-Edition vor.
Nach Durchfhrung des Prflaufs wird der nachfolgend abgebildete exemplarische Ergebnisbericht angezeigt. Dieser zeigt in verschiedenen Registerkarten die Tauglichkeit fr den Einsatz der unterschiedlichen 7er-Editionen
und weist ggf. auf noch erforderliche Manahmen hinsichtlich Systemausstattung, vorhandener Gerte und installierter Anwendungen hin. Allerdings beschrnken sich die Ratschlge meist darauf, die Website des Herstellers aufzusuchen.
Abbildung 1.2
Ergebnis der
Windows 7Upgrade-AdvisorPrfung
33
Ausfhrbar ist Windows 7 Upgrade Advisor unter Windows XP, Windows Vista und Windows 7. Der Einsatz auf Windows 7-Systemen
kann dazu dienen, um festzustellen, ob der Einsatz anderer Windows
7-Editionen mglich ist.
1.1.2
Die Editionen von Windows 7 im

Vergleich
Wie bereits die Vorgngerversionen Windows XP und Windows Vista ist

auch Windows 7 in unterschiedlichen Editionen erhltlich. Whrend jedoch
bei Windows XP die eingesetzte Hardware die Auswahl der Edition
bestimmte, wie beispielsweise bei der Windows XP Tablet PC Edition, sind
bei Windows Vista und Windows 7 die Editionen auf den Einsatzzweck
ausgerichtet. So wendet sich Windows 7 Home Premium an Privatanwender, whrend Windows 7 Professional fr den Einsatz in Unternehmen ausgelegt ist.
Alle Editionen
auch als x64Variante
Windows 7 ist in den nachstehend aufgefhrten Editionen erhltlich, die

jeweils einem unterschiedlichen Nutzungsprofil entsprechen. Mit Ausnahme der Starter-Edition gibt es alle Editionen sowohl in einer 32-BitVariante als auch in einer 64-Bit-Variante. Bei den im Handel erhltlichen
Retail-Editionen kann ausgewhlt werden, ob die 32-Bit- oder die 64-BitVersion installiert werden soll. (Windows 7 System-Builder- und OEMVersionen beinhalten jeweils nur die 32-Bit- oder die 64-Bit-Version.)
Windows 7 Starter
Die kleinste Variante ist in Deutschland nicht verfgbar. Diese Edition wird
besonders preiswert vertrieben und ist vornehmlich fr Entwicklungslnder bzw. Schwellenlnder konzipiert. Der Funktionsumfang dieser Edition ist stark eingeschrnkt und insbesondere fr die Verwendung auf leistungsschwacher Hardware wie beispielsweise Netbooks gedacht. Sie ist
auch die einzige Edition, die nur in einer 32-Bit-Variante erhltlich ist.
Windows 7 Home Basic
Windows Home Basic ist ebenfalls nicht in Deutschland erhltlich. Als stark
abgespeckte Edition wird sie nur in speziellen Mrkten vertrieben. Dieser
Edition fehlt die Aero-Oberflche, das Media Center sowie die Tauglichkeit,
einer Domne beizutreten. Die Zielgruppe dieser Edition sind Heim-PCAnwender, die ein preiswertes Windows-Betriebssystem suchen und denen
es vor allem auf die Grundfunktionen von Windows ankommt.
Windows 7 Home Premium
Windows 7 Home Premium ist jene Edition, die sich auf den meisten Consumer-PCs finden wird. Sie beinhaltet smtliche Multimedia-Features einschlielich des Windows Media Centers. Im Unternehmensbereich ist diese
Edition nicht einsetzbar, unter anderem schon deshalb, weil kein Beitritt zu
einer Domne mglich ist.
34
1
Windows 7 Professional
Die Professional-Edition ersetzt die Windows Vista Business Edition. Sie ist
fr den Einsatz in Unternehmen konzipiert und untersttzt beispielsweise
die Mitgliedschaft in Active Directory-Domnen, stellt Technologien fr
eine automatisierte Bereitstellung im Unternehmensnetzwerk bereit und
ist darber hinaus mit Tablet-PC-Technologie ausgestattet. Einschrnkend
bietet sie keine Premium-Funktionen (u.a. BitLocker, AppLocker, DirectAccess, BranchCache und Multilanguage-Support).
Windows 7 Enterprise und Ultimate
Windows 7 Enterprise und Windows 7 Ultimate spielen eine Sonderrolle.
Im Gegensatz zu den Windows Vista-Editionen unterscheiden sich diese
beiden Editionen nicht in der Ausstattung, sondern lediglich in der Art und
Weise der Lizenzierung. So ist die Enterprise Edition ausschlielich fr
Volumenlizenzkunden mit Software Assurance erhltlich und erlaubt die
Aktivierung ber einen unternehmenseigenen Schlsselverwaltungsdienst
[VAMT]. Beide Editionen verfgen ber smtliche Premium-Funktionen
und sind fr den Einsatz in komplexen IT-Infrastrukturen konzipiert.
Ursprnglich hatte Microsoft fr Europa mit Windows 7 E (ohne Internet Spezielle EuropaExplorer 8) und Windows 7 N (ohne Internet Explorer 8 und zustzlich ohne Editionen waren
Windows Media Player) zwei spezielle OEM-Versionen zur Vorinstallation geplant
angekndigt.
Diese Versionen wollte Microsoft anbieten, um die Auflagen der EU-Kommission zu erfllen. Stattdessen aber ist nun geplant (Stand 12/2009), den
Browser-Auswahlbildschirm Ballot-Screen zu implementieren. Anwender
knnen damit einen anderen Browser als den Internet Explorer unter Windows 7 installieren.
1.1.3
Neuinstallation versus Upgrade
Eine der wichtigsten Entscheidungen bei einer Betriebssystemmigration in

Bezug auf die Installation ist die Wahl des Installationsverfahrens. Hierbei
ist zu entscheiden, ob eine Neuinstallation (Clean install) erfolgen oder ob
ein bestehendes Betriebssystem mittels Aktualisierung (In-Place-Upgrade)
aktualisiert werden soll bzw. kann.
Allerdings ist im Fall von Windows 7 die Entscheidung meist einfach, denn Aktualisierung
Windows Vista ist die einzige Windows-Version, von der aus direkt auf nur von Windows
Windows 7 aktualisiert werden kann. Bei Einsatz einer lteren Windows- Vista untersttzt
Version wie beispielsweise Windows XP bleibt nur, Windows 7 frisch zu
installieren und danach bei Bedarf zumindest die Benutzereinstellungen
mit Windows-EasyTransfer auf Windows 7 zu bertragen. Leider mssen
in diesem Fall alle Anwendungen neu installiert werden.
Der Grund ist technisch bedingt. Fr Windows Vista hat Microsoft ein
In-Place-Upgrade von Windows XP als Upgrade-Pfad zwar implementiert, doch war das Ergebnis nicht immer zufriedenstellend, da Windows
XP und alle brigen Vorgngerversionen in vielen Bereichen grundstzlich andersartige Technologien als Windows Vista verwenden.
35
Um derartigen Problemen vorzubeugen, wird eine Aktualisierung auch

von Windows XP nicht mehr untersttzt. Aus diesem Grund sollte auch auf
den Workaround verzichtet werden, zuerst auf eine Testversion von Windows Vista und von dort aus dann weiter zu Windows 7 zu aktualisieren.
Schlielich bietet eine Neuinstallation auch die Chance, sich von Altlasten
zu befreien.
Aktualisierung versus Neuinstallation

Bei der Aktualisierung einer vorhandenen Windows-Version ersetzt der
Installations-Assistent fr Windows 7 vorhandene Windows-Dateien, behlt jedoch die vorhandenen Einstellungen und Anwendungen bei.
Bei einer Benutzerdefinierten Installation (Neuinstallation) muss Windows
7 neu installiert werden. Die Installation kann bei einer Neuinstallation
wahlweise aus einem vorhandenen Betriebssystem heraus oder durch
Booten mit der Windows 7-Installations-DVD gestartet werden. Zustzlich ist es mglich, Windows 7 neu zu installieren (auf dem gleichen
oder einem anderen Rechner), dabei jedoch die Einstellungen und
Dateien des alten Systems zu bernehmen. Ein solcher Umzug ist mglich von Rechnern, auf denen Windows 2000 oder hher ausgefhrt
wird. Hierbei werden die Daten vom alten Computer eingesammelt
und dann auf dem neuen Computer wiederhergestellt. Microsoft
bezeichnet ein derartiges Vorgehen ebenfalls als Upgrade (im Gegensatz
zum In-Place-Upgrade). Hierbei handelt es sich tatschlich um eine
Neuinstallation mit einer zustzlichen Migration von Benutzereinstellungen, Dokumenten und Anwendungen.
Untersttzte Upgrade-Szenarien
Zu beachten ist, dass nicht von jeder Windows Vista-Edition ein Upgrade auf
jede Windows 7-Edition technisch untersttzt wird. Die folgende Tabelle
zeigt die zulssigen Upgrade-Mglichkeiten zu den verschiedenen Windows Vista-Editionen.
Tabelle 1.1
Zulssige Windows
7-In-PlaceUpgrade-Pfade
36
Windows Vista-Edition
Untersttzte Windows 7-Edition
Windows Vista Home Basic
Windows 7 Home Premium und Ultimate
Windows Vista Home Premium Windows 7 Home Premium und Ultimate

Windows Vista Ultimate
Windows 7 Ultimate
Windows Vista Business
Windows 7 Professional, Enterprise und

Ultimate
Windows Vista Enterprise
Windows 7 Enterprise
1
Es ist zu beachten, dass architekturbergreifende direkte Upgrades, d.h.

von einer 32-Bit- auf eine 64-Bit-Version, nicht untersttzt werden. Weiterhin gilt, dass die genannten Upgrade-Mglichkeiten nicht fr alle
Sprachversionen gelten. So wird beispielsweise ein Upgrade bzw. eine
Aktualisierung bei der bulgarischen Sprachversion von Windows Vista
auf die entsprechende Sprachversion von Windows 7 nicht untersttzt.
Dies muss im Einzelfall vor der Installation geprft werden.
bernahme von Dateien und Einstellungen

Dank zweier Programme kann die Durchfhrung einer Neuinstallation
auerdem deutlich vereinfacht werden. Hierbei handelt es sich zum einen
um Windows-EasyTransfer und zum anderen um das User State Migration
Tool (USMT).
Beide Programme bieten eine schnelle und einfache Mglichkeit, benutzer- Verschiedene
spezifische Dateien und Einstellungen zu kopieren. Whrend Windows- Einsatzzwecke
EasyTransfer zum Migrieren von Einstellungen und Dateien aller oder einzelner Benutzer von einem einzelnen Computer auf einen anderen Computer verwendet werden kann, erlaubt es das User State Migration Tool
(USMT), gleichzeitig die Dateien und Einstellungen fr mehrere Benutzer
auf mehreren Computern zu migrieren, und untersttzt damit die Bereitstellung von Windows 7 in Unternehmensnetzwerken.
Da USMT typischerweise im Rahmen der Bereitstellung von Windows
auf den Clientrechnern in Unternehmensnetzwerken eingesetzt wird, finden Sie eine detaillierte Beschreibung dieses Programms in Abschnitt 1.3.2
ab Seite 69.
Windows-EasyTransfer ist ein kostenloses Tool und kann in verschiede- Windows-Easynen Sprachversionen aus dem Microsoft Download Center heruntergela- Transfer
den werden.
Das Tool kann zum Verschieben von Benutzerkonten, Dateien und Ordnern, Interneteinstellungen und Favoriten sowie E-Mail-Einstellungen von
einem vorhandenen Windows-Computer mit Windows XP [EASYTRANS_
XP] oder Windows Vista [EASYTRANS_VISTA32 und [EASYTRANS_
VISTA64] auf einen neuen Computer mit Windows 7 verwendet werden.
Die bertragung von Programmen ist jedoch nicht mglich, was bedeutet,
dass alle Anwendungen nach einer Neuinstallation zwingend neu installiert werden mssen.
Die bertragung der Dateien mit Windows EasyTransfer kann mithilfe
der folgenden Medien erfolgen:
Netzwerkverbindung
Wechselmedien, wie beispielsweise USB-Laufwerk oder externe Festplatte
USB-EasyTransfer-Kabel
37
In Windows 7 ist die Software bereits integriert. Es ist daher nicht erforderlich, auf dem Computer, auf dem Windows 7 ausgefhrt wird, Windows-EasyTransfer zu installieren.
Die bertragung mithilfe von Windows-EasyTransfer umfasst die folgenden Arbeitsschritte:
1. Nachdem Windows-EasyTransfer heruntergeladen wurde, muss es auf
dem Quellrechner installiert werden. Alternativ kann EasyTransfer auf
einen USB-Stick oder auf eine Netzfreigabe kopiert und von dort gestartet werden.
2. Damit Einstellungen von einem Computer auf einen anderen bertragen werden knnen, muss Windows-EasyTransfer auf beiden Computern gestartet werden. ffnen und starten Sie Windows-EasyTransfer
zuerst auf dem Quellrechner. Folgen Sie den Anweisungen des Assistenten. Aus Sicherheitsgrnden ist fr den Transfer die Verwendung
eines bertragungsschlssels erforderlich.
3. ffnen und starten Sie Windows-EasyTransfer dann auf dem Computer, auf dem Windows 7 ausgefhrt wird. Geben Sie hierzu im Suchfeld
des Startmens Easy ein, und klicken Sie dann auf Windows-EasyTransfer.
4. Mithilfe des Windows EasyTransfer-Assistenten knnen anschlieend
die zu bertragenden Einstellungen und Dateien ausgewhlt werden.
Dabei knnen sowohl die Einstellungen aller Benutzer des Quellrechners als auch nur die des angemeldeten Benutzers gewhlt werden.
Sobald die Dateien und Einstellungen von dem alten Computer gesammelt und gespeichert wurden, muss wiederum zum Windows 7-Zielcomputer gewechselt werden, um den Assistenten abzuschlieen.
Abbildung 1.3
Der Windows-EasyTransfer-Assistent
fhrt durch den
bernahmeprozess.
Steht das alte System nach Abschluss der Installation von Windows 7 noch
zur Verfgung, kann die bernahme der Einstellungen im Anschluss an die
38
1
Installation erfolgen. Bei einer Neuinstallation auf dem gleichen System

mssen die Einstellungen auf dem Quellcomputer zuvor gespeichert werden.
Bei der Migrationsplanung sollte sorgfltig ausgewhlt werden, welche Ele- Daten sorgfltig
mente migriert werden (persnliche Benutzereinstellungen, Anwendun- auswhlen
gen, Anwendungseinstellungen, persnliche Datendateien und Ordner).
Hierbei gilt, dass auf dem Zielsystem nur die Informationen wiederhergestellt werden drfen, die wirklich bentigt werden. Das Wiederherstellen
von Daten und Einstellungen fr Anwendungen, die auf dem Zielsystem
nicht mehr installiert werden, ist redundant und fhrt unter Umstnden
sogar zu Instabilitt auf dem neuen Windows 7-Zielrechner.
1.1.4
Sichern bestehender Systeme vor Beginn

der Migration
Sind auf einem Rechner, der nach Windows 7 migriert werden soll, lokale
Daten gespeichert, mssen diese zwingend vor der Migration gesichert
werden. Dies gilt auch fr den Fall, dass eine Aktualisierung des Betriebssystems erfolgen soll. Beim Speichern der wichtigen lokalen Daten richten sich die Mglichkeiten nach dem ursprnglichen Betriebssystem und
den verfgbaren Sicherungsoptionen. Mglich ist die Verwendung folgender Backup-Methoden:
Verwendung systemintegrierter Werkzeuge (Windows-Backup) oder
anderer Sicherungssoftware
Sicherung der Daten in einen Netzwerkordner
Brennen der Daten auf eine CD oder DVD
Sicherung auf einer externen Festplatte
Abhngig von der Wichtigkeit des Arbeitsplatzrechners kann es notwendig Festplattensein, eine Fallback-Mglichkeit einzuplanen, um bei Problemen whrend Image erstellen
der Migration das bisherige System wiederherstellen zu knnen. Whrend
die Sicherung der Daten beispielsweise durch einfaches Kopieren auf ein
Netzlaufwerk erfolgen kann, lsst sich die zweite Anforderung am einfachsten durch Erstellung eines Speicherabbilds der Festplatte bzw. einer ausgewhlten Partition lsen.
Dies ist mit Windows-Bordmitteln jedoch nicht mglich. In diesem Fall
mssen spezielle Festplattenabbildungsprogramme beispielsweise von
den Anbietern Symantec oder Acronis verwendet werden, die es ermglichen, exakte Kopien von Festplatten und Partitionen zu erstellen, die auf
Laufwerken im Netzwerk oder auf CD-ROM bzw. DVD gespeichert werden knnen und es im Notfall erlauben, ein System mit allen Anwendungen und Einstellungen wiederherzustellen.
Aktuell (Stand 12/09) vertreibt Symantec Norton Ghost in der Version 15.0. Norton Ghost
Diese luft unter Windows XP (Home und Professional) und unter Windows
Vista (Home, Business und Ultimate). Norton Ghost stellt, neben diversen
anderen Funktionen, Backup-Funktionen zur Sicherung des gesamten
Inhalts einer Festplatte oder Partition (Festplatten-Image).
39
Norton Ghost 15
Acronis True
Image
Hersteller:
Symantec
Preis:
34,99 EUR
URL:
http://www.symantecstore.com/dr/v2/ec_Main.Entry
17c?SID=27679&SP=10023&CID=178299&PID=
952080&PN=1&V1=952080&CUR=978
Alternativ kann beispielsweise Acronis True Home 2010 eingesetzt werden.

Dieses Tool ermglicht ebenfalls das Erstellen exakter Images von Festplatten bzw. Partitionen inklusive aller Daten, des Betriebssystems und der Programme und dateibasierte Backups fr wichtige Dateien und Verzeichnisse
von Rechnern mit Microsoft Windows XP (Home, Professional und Professional x64 Edition), Windows Vista (alle Editionen) sowie Windows 7 (alle
Editionen). Da Acronis True Home 2010 bereits Windows 7 untersttzt, kann
das Programm nach erfolgter Migration auch zum Sichern des Windows 7Rechners verwendet werden.
Darber hinaus bietet das Programm einige spezielle Funktionen fr
den Einsatz in Unternehmensnetzwerken. Hierzu zhlen u.a. eine zentrale
Administration und Remotesicherung bzw. -wiederherstellung sowie die
Mglichkeit, Sicherungen auf direkt angeschlossenen Speichergerten
und NAS- oder SAN-Volumes zu speichern.
Acronis True Home 2010
Hersteller:
Acronis
Preis:
49,95 EUR
URL:
http://www.acronis.de
1.1.5
Checkliste zur Installationsvorbereitung
Nachstehend finden Sie zusammengefasst noch einmal die wichtigsten

Punkte, die berprft bzw. angepasst oder durchgefhrt werden sollten,
bevor Sie mit der Installation von Windows 7 beginnen:
1. Prfen Sie, ob der Rechner bzw. die Rechner die Hardware-Mindestvoraussetzungen fr die Systeminstallation erfllt bzw. erfllen. Beachten Sie hierzu die Ausfhrungen in Abschnitt 1.1.1 ab
Seite 30.
2. berprfen Sie, ob Windows 7 die verwendeten Hardwarekomponenten untersttzt. Verwenden Sie hierzu das Programm Windows
7 Upgrade Advisor. Hinweise zur Prfung der Windows 7-Tauglichkeit finden Sie in Abschnitt 1.1.1 ab Seite 32.
3. Testen Sie die Kompatibilitt der eingesetzten Unternehmenssoftware
mit Windows 7. Insbesondere bei einem geplanten Upgrade ist es
erforderlich, den Einsatz der Anwendungen unter Windows 7 im Vorfeld zu testen. Ergnzende Hinweise hierzu finden Sie in Kapitel 3.
40
1
4. Prfen Sie, welche Installationsart fr Ihr Unternehmen am besten

geeignet ist. Mssen nur wenige Computer installiert werden, oder
handelt es sich um ein Rollout fr eine grere Anzahl von Arbeitsplatzrechnern? Legen Sie zum einen fest, ob die Installation mittels
Neuinstallation oder mittels Update durchgefhrt werden soll (siehe
Abschnitt 1.1.3 ab Seite 35), und zum anderen, ob die Installation im
Rahmen von Einzelarbeitsplatz-Installationen (Abschnitt 1.2 ab Seite
41) oder mithilfe automatisierter Installationsmethoden (Abschnitt 1.3
ab Seite 60) erfolgen soll.
5. Ist eine Neuinstallation geplant, bei der Benutzereinstellungen bernommen werden mssen, sollte vor Beginn der Installation entweder
das Programm Windows-EasyTransfer oder das User State Migration
Tool ausgefhrt werden. Beachten Sie hierzu die Ausfhrungen in
Abschnitt 1.1.3 ab Seite 37 bzw. in Abschnitt 1.3.2 ab Seite 68.
6. Sichern Sie alle lokal gespeicherten Dateien und ggf. die Systemkonfiguration vor Beginn der Migration eines bestehenden Systems. Im
schlimmsten Fall kann ein zuvor funktionierendes System durch eine
Update-Installation unbrauchbar werden. Da es in dieser Situation
keinen Weg zurck gibt, ist die Sicherung der Startpartition beispielsweise mit Norton Ghost oder Acronis True Image vor Beginn der
Installation zu empfehlen (siehe hierzu die Hinweise in Abschnitt 1.1.4
ab Seite 39).
7. In international agierenden Unternehmen werden ggf. verschiedene
Sprachversionen bentigt. Die Mglichkeiten zur Verwendung von
Sprachpaketen werden vorgestellt in Abschnitt 1.3.3 ab Seite 82.
1.2
Durchfhrung einer
Einzelarbeitsplatz-Installation
Die einfachste Form der Installation besteht auch bei Windows 7 in der
Ausfhrung des Setups mithilfe der Windows 7-Betriebssystem-DVD auf
einem einzelnen Rechner. Der folgende Abschnitt beschreibt den generellen Installationsablauf bei Durchfhrung einer Einzelarbeitsplatz-Installation, bevor im anschlieenden Abschnitt automatisierte Installationsverfahren vorgestellt werden.
Aufgrund der Verwendung von TCP/IP als Standardprotokoll knnen
Windows 7-Computer in eine Reihe verschiedener Netzwerkumgebungen
integriert werden. Hierzu gehren neben Windows- auch Novell NetWareund Unix- sowie host-basierte Netzwerke.
1.2.1
Unterschiede zu frheren WindowsInstallationen
Bereits mit Windows Vista hat Microsoft einige grundlegende nderungen

beim Installationsprozess eingefhrt. Diese vereinfachen insbesondere die
41
automatisierte Bereitstellung von Windows 7 in Unternehmensnetzwerken, wie spter noch gezeigt wird, haben aber auch Auswirkungen auf den
Installationsprozess eines Einzelarbeitsplatz-Rechners.
Keine Installation im Textmodus mehr

Der grundlegende Prozess zur Installation war bislang seit Windows NTZeiten unverndert und umfasste einen anfnglichen Textmodus-Installationsteil, bei dem jede einzelne Betriebssystemdatei dekomprimiert und
installiert, alle Registrierungseintrge erstellt und smtliche Sicherheitseinstellungen zugewiesen wurden. Diese Textmodus-Installationsphase gibt es
bei Windows 7 nicht mehr. Stattdessen wird die Installation von einem
neuen Setup-Programm komplett im grafikbasierten Modus durchgefhrt.
Windows PE statt Startdisketten

Die Vorgngerversionen von Windows 7 bzw. Windows Vista ermglichten
alternativ zum Starten der Installation von CD-ROM die Verwendung von
Startdisketten. Diese Mglichkeit existiert nicht mehr. Stattdessen verwendet
Windows 7 das Windows Pre-Installation Environment (Windows PE).
Bei Windows PE handelt es sich um eine Minimalversion von Windows, mit
der eine Untermenge der Windows-Systemumgebung ber das Netzwerk
oder ein Wechselmedium gestartet wird und die Programme zur Installation
und zur Wiederherstellung des Microsoft Windows 7-Betriebssystems zur
Verfgung stellt. Hierbei wird standardmig unter Verwendung einer
RAM-Disk gebootet. Auf der Installations-DVD liegen die Setup-Dateien
nicht mehr einzeln, sondern gepackt im Windows Image Format (WIM) vor.
Entwickelt wurde Windows PE als Ersatz fr MS-DOS als Pr-Installationsumgebung und lst damit die DOS-Bootdiskette bzw. die DOS-BootUmgebung ab. Windows PE kann aufgrund der Gre (ca. 260 MB) nicht
auf einer Diskette gespeichert werden. Untersttzt wird das Speichern u.a.
auf CD, DVD und USB-Sticks. Im brigen wird bei jeder Installation von
Windows 7 Windows PE ausgefhrt. Dem Anwender begegnet Windows
PE als grafische Oberflche, in der whrend der Setup-Phase die Konfigurationsinformationen abgefragt werden. Aber auch wenn jede Windows 7Installation mit Windows PE beginnt, wird man als Anwender dessen
Existenz gar nicht bemerken.
Windows Image Format (WIM)

WIM ist ein dateibasiertes Imageformat fr die Erstellung von Festplatten-Abbilddateien, das gegenber den allgemein gebruchlichen sektorbasierten Imageformaten deutlich Vorteile bietet und die Erstellung und
Verwaltung von Betriebssystemabbildern (Images) sehr erleichtert. So
ermglicht es dieses Format beispielsweise, nur ein Image fr mehrere
verschiedene Konfigurationen zu nutzen.
Auerdem knnen WIM-basierte Images jederzeit nachtrglich gendert
und angepasst werden. Treiber, Updates und andere Windows-Komponenten knnen offline und ohne einen einzigen Start des Images hinzuefgt und entfernt werden.
42
1
Windows 7 bringt Programme mit, mit denen Images direkt bearbeitet

werden knnen. Eine ausfhrliche Beschreibung der Bereitstellung von
Windows 7 mithilfe der neuen Imagefunktionen finden Sie in Abschnitt
1.3 ab Seite 60.
\i386 gibt es nicht mehr

Das noch bei Windows XP wichtige Verzeichnis \i386 gibt es bei Windows 7
nicht mehr (weder auf der DVD noch spter nach dem Abschluss der Installation auf der Festplatte des Rechners). Stattdessen werden alle Komponenten, ob installiert oder nicht, im Windows-Verzeichnis gespeichert. Bei Installation einer neuen Komponente werden die erforderlichen Dateien aus
diesem Speicherort abgerufen.
Entsprechend sucht man auch die beiden Installationsdateien WINNT.EXE
und WINNT32.EXE vergeblich, die sich bei den Vorgngerversionen von
Windows Vista im Installationsverzeichnis \i386 befinden. Um die Installation von Windows 7 zu starten, ist stattdessen die Datei Setup.exe aus dem
Stammverzeichnis der Windows 7-DVD zu verwenden.
1.2.2
Ablauf einer Neuinstallation
Die Mglichkeiten zum Start der Installation von Windows 7 hngen vor
allem davon ab, ob bereits ein Betriebssystem vorhanden ist, aus dem heraus
die Installation angestoen werden kann, oder ob eine Neuinstallation auf
einem Rechner ohne Betriebssystem erfolgt.
Dieser Abschnitt beschreibt ausfhrlich den Vorgang der Installation von
Windows 7 auf einem leeren Rechner ohne vorhandenes Betriebssystem.
Der Ablauf einer Upgrade-Installation unterscheidet sich nur geringfgig
von dem einer Neuinstallation und wird im anschlieenden Abschnitt 1.2.3
ab Seite 53 beschrieben.
Windows 7 wird auf einer bootfhigen Installations-DVD geliefert. Um die Booten mit der
Installation von dieser DVD starten zu knnen, muss ggf. zuvor die Sys- Windows 7-DVD
tembootreihenfolge im BIOS gendert werden:
1. CD-ROM
2. Boot-Festplatte
Damit anschlieend der Startvorgang von der DVD beginnen kann, muss
eine beliebige Taste gedrckt werden, sobald die entsprechende Aufforderung erfolgt. Bei spteren Neustarts whrend der Installationsroutine
kann die DVD somit im Laufwerk verbleiben, allerdings ist dann ein Drcken von Tasten zu unterlassen.
Eine weitere Mglichkeit, die Installation zu starten, besteht darin, Setup.exe Installation mit
aus dem Stammverzeichnis der Windows 7-Installations-DVD auszufhren. Setup.exe
Der Aufruf von Setup.exe kann entweder direkt von der DVD oder durch
Ablage des Installationsverzeichnisses im Netzwerk erfolgen. Dabei besteht
der hauptschliche Unterschied im Speicherort der Dateien, die zur Installation von Windows 7 bentigt werden. Im zweiten Fall muss der zu installie-
43
rende Rechner ber einen Netzwerkzugriff (Leserechte) auf das freigegebene Installationsverzeichnis verfgen.
Das Verhalten von Setup.exe kann mit einer Reihe von Parametern gesteuert
werden. Die folgende Tabelle zeigt die fr Setup.exe verfgbaren Parameter.
Tabelle 1.2
Parameter von
Setup.exe
Installation
erfolgt in
drei Phasen
44
Setup.exe-Parameter
Erklrung
/1394debug:<Kanal>
Aktiviert das Kernel-Debugging ber einen IEEE

1394-Anschluss.
/debug:<Anschluss>
/baudrate:<Baudrate>
Aktiviert das Kernel-Debugging ber den angegebenen Port.
/emsport:<Anschluss>
/usebiossettings /
/emsbaudrate:<Baudrate>
Aktiviert/Deaktiviert die Notverwaltungsdienste

Emergency Management Services (EMS). Mit EMS
knnen Rechner in Problemsituationen remote
verwaltet werden, ohne dass eine lokale Tastatur,
Maus oder ein Monitor angeschlossen ist.
/noreboot
Hiermit wird das Installationsprogramm angewiesen, den Computer nach der ersten Initialisierungsphase nicht neu zu starten, sodass weitere
Einstellungen vorgenommen und beziehungsweise Befehle ausgefhrt werden knnen. Alle
anderen Neustarts werden wieder automatisch
durchgefhrt.
/m:<Ordnername>
Mit diesem Parameter kann ein zustzliches Verzeichnis benannt werden, in dem fr die Installation zustzlich verwendbare Daten, wie
beispielsweise Treiber, hinterlegt werden.
/tempdrive:
<Laufwerkspfad>
Hiermit wird dem Installationsprogramm das

Verzeichnis zur Speicherung temporrer Dateien
explizit angegeben. Beim Speicherort muss es
sich um einen vollstndigen Pfad in der Form
x:\Pfad handeln. Alternativ kann auch eine
Netzwerkfreigabe in UNC-Schreibweise \\Server\
Freigabe\Pfad angegeben werden.
/unattend:
<Antwortdatei>
Bei Verwendung dieses Parameters fhrt das

Setup eine unbeaufsichtigte Installation mithilfe
einer Antwortdatei aus. Die Antwortdatei enthlt Antworten auf einige oder alle Eingabeaufforderungen, die whrend der Installation
normalerweise beantwortet werden mssen.
/usbdebug:<Zielname>
Aktiviert das Kernel-Debugging ber einen

USB 2.0-Anschluss.
Die Installation erfolgt in drei Teilen und wird komplett im grafikbasierten Modus durchgefhrt, eine Textmodus-Installationsphase gibt es bei
Windows nicht mehr.
Sammeln von Information
Installation von Windows 7
Durchfhrung der Erstkonfiguration und Personalisierung
1
Sammeln von Informationen

Das erste Dialogfeld, das nach dem Start der Installation angezeigt wird, Auswahl der
fragt die gewnschte Installations- und Tastatursprache sowie das Uhr- Installations- und
Tastatursprache
zeit- und Whrungsformat ab.
Abbildung 1.4
Erstes Dialogfeld
nach dem Start des
Installations-Assistenten
Interessant ist der folgende Abfragedialog. Hier kann mit der Option Jetzt Start der
installieren das eigentliche Installationsprogramm gestartet werden. Dane- Installation
ben besteht die Mglichkeit, die Option Wissenswertes vor der WindowsInstallation zu whlen. Diese Option ruft eine Hilfe- und Supportseite mit
Hinweisen und Anleitungen zur Installation von Windows 7 auf.
Abbildung 1.5
Alternativ zum
Start der Installation kann an dieser
Stelle die Systemwiederherstellung
(Computerreparaturoptionen) aufgerufen werden.
45
Wiederherstellungsoptionen
Alternativ knnen an dieser Stelle mittels der Option Computerreparaturoptionen die Systemwiederherstellungsoptionen angezeigt werden. Gibt es
bei einem Windows 7-Rechner im Produktivbetrieb Probleme, kann hierber
u.a. die Wiederherstellungskonsole geffnet oder der Rechner mittels einer
Sicherung wiederhergestellt werden.
Fr den Zugriff auf die Reparaturoptionen ist zunchst die zu reparierende Betriebssysteminstallation zu whlen. Anschlieend stehen die in
dem folgenden Dialogfeld gezeigten Optionen zur Verfgung.
Abbildung 1.6
Mithilfe der Wiederherstellungsoptionen
kann ein vorhandenes Windows 7 repariert oder ein frherer
Zustand wiederhergestellt werden.
Um an dieser Stelle wieder in den Installationsmodus zurckzukehren, gengt es, auf das Schliefeld in der rechten oberen Fensterecke
zu klicken.
Anschlieend ist festzulegen, ob neuere Updates und Treiber vor bzw. whrend der Installation aus dem Internet heruntergeladen werden sollen. Hierbei handelt es sich um eine Funktion, die Microsoft als Dynamisches Update
bezeichnet. Diese erlaubt es, whrend der Installation wichtige Updates
und Treiber herunterzuladen, die fr den Konfigurationsprozess erforderlich sind. Hierbei werden die folgenden Dateien aktualisiert:
Treiber:
Das dynamische Update ldt zum einen Treiber herunter, die nicht
auf der Windows 7-Installations-DVD verfgbar sind. Es werden ausschlielich Gertetreiber von der Windows-Aktualisierungswebseite
heruntergeladen, nicht von Herstellerseiten. Diese Treiber haben das
Logozertifizierungsprogramm durchlaufen. Zum anderen werden
Treiber, die in Windows 7 enthalten sind und fr die es eine Fehlerbehebung gibt, bereitgestellt. Derartig korrigierte Dateien werden als
kritische Updates behandelt.
46
1
Kritische Updates:
Diese ersetzen Dateien, die auf der Windows 7-Installations-DVD

vorhanden sind. Zu dieser Kategorie gehren:
1. Updates, die Fehlerbehebungen zu beliebigen bereits installierten
Dateien enthalten.
2. Aktualisierte .Installationsdateien, die whrend des Aktualisierungsvorgangs bentigt werden.
3. Fehlerbehebungen, die kritische Fehlerbehebungen fr DLLs (Dynamic Link Libraries) enthalten und die vom Setup-Programm verwendet werden.
Die Besttigung, Updates herunterzuladen, bedingt, dass der Computer
whrend der Installation mit dem Internet verbunden bleiben muss. Wenn
dies nicht mglich oder nicht gewnscht ist, muss entsprechend die zweite
Option ausgewhlt werden.
Abbildung 1.7
Whrend der
Installation knnen
aktuelle Updates
heruntergeladen
werden.
Die Ausfhrung des dynamischen Updates ist standardmig eingeschaltet. Bei der Durchfhrung unbeaufsichtigter Installationen kann
die Funktion mit dem folgenden Parameter deaktiviert werden:
DUDisable
In dem folgenden Dialogfeld ist, wie auch bei allen Installationen frherer
Windows-Versionen, die Akzeptanz der Lizenzbedingungen zu besttigen.
Im nchsten Schritt bietet der Installations-Assistent scheinbar die Wahl Update-Option
zwischen einer Upgrade-Installation und einer benutzerdefinierten Installa- nur scheinbar
tion, d.h. einer Neuinstallation. Wurde aber das Setup von einem Installa- verfgbar
tionsmedium aus gestartet, erscheint bei Auswahl der ersten Option lediglich ein Auszug aus dem Kompatibilittsbericht. Dieser weist darauf hin,
dass ein Upgrade nur mglich ist, wenn das Setup aus dem zu aktualisierenden Betriebssystem heraus gestartet wird.
47
Abbildung 1.8
Wurde das Setup
von DVD gestartet,
muss an dieser Stelle
die Option Benutzerdefiniert (erweitert)
gewhlt werden.
Festplattenpartitionierung
Im letzten Schritt der ersten Phase ist die Installationspartition auszuwhlen. An dieser Stelle bietet Windows 7 auch die Mglichkeit, bestehende
Partitionen zu lschen und neue zu erstellen.
Abbildung 1.9
Festlegung der
Installationspartition
Sinnvolle Festplattenkonfiguration
Die Partitionierung und Konfiguration der Festplatte(n) sollten sinnvollerweise vor Beginn der Installation geplant werden. Hierbei sind
die folgenden Aspekte zu bercksichtigen.
48
1
Im Gegensatz zu Windows XP und frheren Versionen akzeptiert Windows 7 fr das System nur Festplattenpartitionen, die mit dem Dateisystem NTFS formatiert sind. FAT- und FAT32-Partitionen werden jedoch fr
Anwendungsdaten vollstndig untersttzt.
In den meisten Fllen ist eine Aufteilung in eine Systempartition und
eine Datenpartition sinnvoll. Allerdings ist das Datentrgermanagement
mit Windows 7 deutlich einfacher geworden, sodass Planungsfehler spter noch korrigiert werden knnen. So ist es beispielsweise problemlos
und ohne Neustart mglich, auch die Systempartition im laufenden
Betrieb dynamisch zu verkleinern bzw. zu vergrern.
Auerdem ist es im Gegensatz zu Windows Vista nicht mehr erforderlich, manuell die fr den Betrieb von BitLocker (unter Windows 7 Ultimate) notwendige unverschlsselte Startpartition anzulegen. Diese wird
beim Setup von Windows 7 automatisch angelegt. Zudem erhlt diese
Systempartition auch keinen Laufwerkbuchstaben mehr und wird nicht
im Ordner Computer angezeigt. Dies soll u.a. ein versehentliches Speichern von Daten auf dem unverschlsselten Laufwerk verhindern.
Damit ist die Sammlung der Informationen abgeschlossen, und Windows Installations7-Setup startet die nchste Phase. Bei den Vorgngerversionen endete an phase
dieser Stelle der textbasierte Installationsabschnitt.
Installation von Windows 7

Whrend der Installationsphase werden die Installationsdateien auf die
Festplatte kopiert bzw. extrahiert und der Rechner mehrmals neu gestartet. Benutzereingriffe sind in dieser Phase nicht erforderlich.
Abbildung 1.10
Phase 2 der Installation: Windows 7
wird installiert.
49
Erstkonfiguration und Personalisierung

Nach dem Abschluss der reinen Installationsphase wird der Rechner neu
gestartet. Whrend des sich anschlieenden Installationsabschnitts werden
die folgenden Informationen abgefragt bzw. sind die folgenden Funktionen zu konfigurieren:
Administratorname
Computername
Auswahl einer Sicherheitsstufe
Datum und Uhrzeit sowie Zeitzone
Administratorkonto einrichten
Im ersten Schritt dieser letzten Phase sind ein Benutzerkonto und dessen
Kennwort festzulegen. Dieses Konto wird automatisch Mitglied der Gruppe
der lokalen Administratoren.
Aus Sicherheitsgrnden wird das standardmige Administratorkonto vom System deaktiviert. Soll dieses spter verwendet werden,
muss es zunchst aktiviert und ein Kennwort festgelegt werden.
Abbildung 1.11
Da Windows 7 das
Standard-Administratorkonto deaktiviert, muss zunchst
ein neues Konto
eingerichtet werden.
Computernamen
festlegen
In demselben Dialogfeld ist auch der Name fr den Rechner einzutragen.

Dieser darf maximal 15 Zeichen lang sein und muss aus alphanumerischen
Zeichen bestehen. Auerdem drfen Bindestriche verwendet werden.
Andere Sonderzeichen sich nicht erlaubt. Auch die ausschlieliche Verwendung von Ziffern ist nicht gestattet.
Anschlieend kann das Kennwort vergeben und zustzlich ein Kennworthinweis eingetragen werden. An dieser Stelle greifen noch nicht die Komplexittsanforderungen, und auch ein leeres Kennwort wird zugelassen.
Da dieses Konto aber ber Administratorrechte verfgt, sollte dringend ein
sicheres Kennwort vergeben werden.
50
1
Im nchsten Schritt erfolgt die Abfrage des Produktschlssels. Dieser ist

in fnf Gruppen gegliedert und ohne Bindestriche einzugeben.
Abbildung 1.12
Dialogfeld zur
Eingabe des
Produktschlssels.
Die Eingabe des
Schlssels ist an
dieser Stelle nicht
zwingend erforderlich.
An dieser Stelle kann die Installation auch ohne Eingabe des Produktschlssels fortgesetzt werden. Wird kein Schlssel eingegeben, kann Windows 7
maximal 30 Tage uneingeschrnkt betrieben werden. Nach Ablauf der Frist
muss ein gltiger Produktschlssel eingegeben und das Systems 7 aktiviert
werden. Allerdings lsst sich diese Frist maximal dreimal verlngern, was
aber wohl nur fr den Einsatz auf Testsystemen relevant sein drfte.
Eingabe des
Produktschlssels
auch spter mglich
Standardmig ist die Option zur automatischen Aktivierung von Windows 7 aktiviert. Ist dies nicht gewnscht oder wird die Installation ohne
Eingabe eines Produktschlssels fortgesetzt, muss das Kontrollkstchen
Windows automatisch aktivieren, wenn eine Internetverbindung besteht im
Dialogfeld zur Eingabe des Produktschlssels deaktiviert werden.
Das folgende Dialogfeld verlangt die Auswahl des Sicherheitsstatus fr Sicherheitsstufe
den Computer. Die Option Empfohlene Einstellungen verwenden schliet die auswhlen
folgenden Festlegungen ein:
Windows-Firewall: Wie bereits Windows XP und Windows Vista bringt
Windows 7 eine Desktop-Firewall mit. Diese wird standardmig aktiviert.
Aktivierung von automatischen Updates: Sicherheitspatches und andere
Updates werden automatisch heruntergeladen und installiert.
Spyware-Schutz: Mit dem Dienstprogramm Windows Defender enthlt
Windows 7 ein Antispyware-Programm, das den Rechner vor Spyware
und unerwnschter Software schtzt und die Sicherheit beim Surfen im
Internet erhht. Ist Windows Defender aktiviert, prft das Programm
zweimal pro Tag den Rechner auf Spyware und andere mglicherweise
schdliche Software.
51
Automatische Fehlerbermittlung an Microsoft: Die Auswahl der hchsten
Sicherheitsstufe umfasst auch die Festlegung, dass im Fehlerfall automatisch eine Meldung an Microsoft gesendet wird. Die hierfr verwendete
Komponente ist der Microsoft-Fehlerberichterstellungsdienst (engl. Error
Reporting Service).
Treiber-Update: Windows 7 bietet eine automatische berprfung auf
neue Treiber fr Gerte, einschlielich der Mglichkeit, aktuelle Gertemetadaten automatisch herunterzuladen. Bei Auswahl dieser Option
wird die automatische Suche nach Gertetreibern aktiviert.
Internet Explorer-Phishingfilter: Der Internet Explorer 8 enthlt mit dem
SmartScreen-Filter einen Schutz, der beim Besuch von Webseiten, die
typische Phishing-Charakteristika aufweisen, warnt. Die Annahme
der empfohlenen Einstellungen schaltet den Phishingfilter mit automatischer Webseitenprfung ein.
Alle Einstellungen knnen spter gendert werden. Natrlich ist es auch
mglich, an dieser Stelle auf die automatische Aktivierung der Sicherheitsfunktionen zu verzichten und diese nach Abschluss der Installation
manuell zu aktivieren und zu konfigurieren.
Abbildung 1.13
Die Auswahl der
hchsten Sicherheitsstufe aktiviert
eine Reihe implementierter Sicherheitsfunktionen.
Im nchsten Schritt ist die Zeitzone auszuwhlen, und falls erforderlich

das Datum und die Uhrzeit sind anzupassen.
Ist der Computer an ein Netzwerk angeschlossen, fragt Windows abschlieend, um welche Art von Netzwerk es sich handelt. Bei einem Einsatz im
Unternehmensnetzwerk ist hier die Option Arbeitsplatznetzwerk auszuwhlen. Ausfhrliche Informationen zum Einsatz von Windows 7 finden Sie in
Kapitel 8.
52
1
Abbildung 1.14
Ist der Computer an
ein Netzwerk angeschlossen, ist die Art
des Netzwerks anzugeben.
Damit ist der Installationsvorgang abgeschlossen, und Windows 7 kann

erstmals gestartet werden.
1.2.3
Ablauf einer Upgrade-Installation
Der Ablauf einer Upgrade-Installation unterscheidet sich von der einer

Neuinstallation (abgesehen vom Start der Installation) nur geringfgig.
Die folgenden Ausfhrungen beschrnken sich daher auf die Beschreibung der Unterschiede im Ablauf beider Installationsarten.
Um ein vorhandenes Betriebssystem auf Windows 7 zu aktualisieren, muss
die Installation zwingend aus dem vorhandenen Betriebssystem heraus
gestartet werden. Dies kann durch einfaches Einlegen der Windows 7-DVD
bei aktivierter Autoplay-Funktion bzw. durch Ausfhren der Datei Setup.exe
von der Windows 7-Installations-DVD erfolgen.
Die Upgrade-Installation startet mit dem in nachstehender Abbildung
gezeigten Willkommens-Dialogfeld, das im Gegensatz zum Begrungsdialogfeld bei einer Neuinstallation die Option Kompatibilitt online prfen
enthlt. Diese Option fhrt zu einer Webseite, von der das Programm Windows 7 Upgrade Advisor heruntergeladen werden kann. Wie bereits in
Abschnitt 1.1 ab Seite 29 beschrieben, ermglicht das Programm eine berprfung der Systemkompatibilitt mit Windows 7, um mgliche Installationskonflikte im Vorfeld zu erkennen. Die berprfung sollte sinnvollerweise bereits im Rahmen der Vorbereitungsarbeiten vor dem Beginn der
eigentlichen Installation erfolgen.
53
Abbildung 1.15
Begrungsbildschirm von
Windows 7 bei einer
Upgrade-Installation
Weiter wie bei

Neuinstallation
Die nachfolgenden Arbeitsschritte entsprechen denen einer Neuinstallation.

1. Besttigung des dynamischen Updates
2. Annahme der Lizenzbedingungen
Erst nach Durchfhrung der genannten Arbeitsschritte fordert der Windows 7-Installations-Assistent zur Auswahl der gewnschten Installationsart Upgrade oder Benutzerdefiniert (erweitert) auf.
Prfung der
UpgradeFhigkeit
Abbildung 1.16
Die Auswahl der
Option Upgrade
startet einen
Kompatibilittsassistenten.
54
Wird die Upgrade-Option gewhlt, erfolgt anschlieend eine Kompatibilittsprfung. Nach Abschluss der Prfung wird ein Kompatibilittsbericht
angezeigt, der auf Installationshindernisse und mgliche Auswirkungen
hinweist. Steht beispielsweise, wie in Abbildung 1.16 gezeigt, kein ausreichender Festplattenspeicher zur Verfgung bzw. fehlt ein Service Pack,
kann die Installation entweder abgebrochen oder mit einer Neuinstallation
fortgesetzt werden. Gleiches gilt, wenn die zulssigen Upgrade-Pfade nicht
eingehalten werden (beachten Sie hierzu die Tabelle 1.1 auf Seite 36).
1
Bei Auswahl der Option Upgrade erfolgt zunchst ein Kompatibilittstest.

Anschlieend werden die vorhandenen Systemeinstellungen ermittelt,
bevor die Installation in der gleichen Art erfolgt wie bei einem Rechner,
auf dem noch kein Betriebssystem installiert ist.
1.2.4
Durchfhrung einer Parallelinstallation
Insbesondere zu Testzwecken kann es sinnvoll sein, Windows 7 parallel

zu einem bestehenden Betriebssystem zu installieren. Dies ist problemlos
mglich. In diesem Fall richtet Windows 7 ein Boot-Men ein, das alternativ den Start der Vorgngerversion ermglicht.
Die Installation parallel zu einem bestehenden Betriebssystem unterscheidet sich nicht von einer Upgrade- oder einer Neuinstallation. Auch
der Start der Installation kann entweder von der Setup-DVD oder dem
bestehenden Betriebssystem heraus erfolgen.
Windows 7 kann entweder auf einer logischen Partition oder auf einer zwei- Bootmanager auf
ten primren Partition installiert werden. Auf der als aktiv gekennzeichne- aktiver Partition
ten Partition richtet Windows 7 den versteckten Systemordner Boot ein, der
die Informationen fr den Boot-Manager von 7 enthlt. Wird Windows 7 auf
einer zweiten primren, als aktiv gesetzten Partition installiert, wird der
Systemordner Boot ebenfalls auf dieser Partition eingerichtet. In diesem Fall
kann Windows 7 das andere Betriebssystem aber nicht in das Bootmen
aufnehmen, d.h., das andere System kann nicht gestartet werden.
Abbildung 1.17
BCDEdit ermglicht die Konfiguration des StartkonfigurationsdatenSpeichers.
Allerdings verwendet Windows 7 nicht mehr die Datei Boot.ini zur Verwaltung der Bootkonfiguration. Stattdessen werden die Konfigurationsinformationen im Startkonfigurationsdaten-Speicher BCD.Store (Boot Configuration
Data Store) gespeichert. Auch hierbei handelt es sich um eine Datei, die aller-
55
dings im Binrformat gespeichert wird und daher nicht so leicht zu handhaben ist wie die Boot.ini. Zur Bearbeitung der Konfigurationsdatei muss das
Befehlszeilentool BCDEDIT.EXE verwendet werden.
Muss die Bootkonfiguration gendert werden, ist es erfreulicherweise aber
nicht erforderlich, das sehr komplexe Befehlszeilentool BCDEDIT zu verwenden, da Tools mit einer grafischen Schnittstelle von Drittherstellern zur
Verfgung stehen.
Mit EasyBCD den
Windows 7Bootloader
bearbeiten
Hierzu gehrt beispielsweise EasyBCD, mit dessen Hilfe u.a. das Boot-Men
bearbeitet und Bootsektoren wiederhergestellt werden knnen. Auerdem
bietet es Anzeigeoptionen, mit denen lteren Betriebssystemen ein Windows
7-Look gegeben werden kann.
EasyBCD 1.72
Hersteller:
NeoSmart Technologies
Preis:
Freeware
URL:
http://neosmart.net/dl.php?id=1
1.2.5
Abschlieende Aufgaben nach

Installationsabschluss
Unter Windows wurde der Benutzer nach dem ersten Start mit einem Begrungscenter empfangen. Dieses hat Microsoft bei Windows 7 eingespart.
Alternativ sollte zunchst das Wartungscenter besucht werden, da dieses
Zugriff auf die meisten abschlieenden Aufgaben bietet.
Sicherheit: Falls nicht bereits whrend der Installation geschehen, sollten
im ersten Schritt die Sicherheitseinstellungen berprft bzw. konfiguriert werden. Hierzu zhlt die Konfiguration von Virenschutz, Firewall,
Windows Update u.a. Nhere Informationen hierzu erhalten Sie in Kapitel 13.
Einstellungen der Benutzerkontensteuerung: Standardmig verwendet
Windows 7 einen niedrigeren Level bei der Benutzerkontensteuerung
als Windows Vista. Aus Sicherheitsgrnden sollte der hchstmgliche
Level einstellt werden. Erluterungen zur Benutzerkontensteuerung
finden Sie in Kapitel 5.
Probleme ermitteln: Nach der Installation und dem ersten Start stellt sich
heraus, ob Windows alle Gerte automatisch erkennen und installieren
konnte oder nicht. Im Wartungscenter werden Probleme gemeldet, die
Windows 7 beim ersten Start erkannt hat. Zustzlich knnen die Einstellungen zur Problembehandlung angepasst werden. Ausfhrliche Erluterungen, wie Sie Hardware- und Treiberprobleme beheben knnen,
Sicherung einrichten: Windows 7 bietet implementierte Funktionen zur
Erstellung regelmiger Sicherungen. Standardmig sind keine Sicherungsmanahmen aktiviert. Beachten Sie hierzu Kapitel 15.
56
1
Wiederherstellung einrichten: Die Wiederherstellung in der Systemsteu-
erung umfasst mehrere Optionen, mit deren Hilfe Sie einen Computer
nach einem schwerwiegenden Fehler wiederherstellen knnen. Auch
hierzu finden Sie nhere Informationen in Kapitel 15.
Weiterhin ist es hierber mglich, Details zum Leistungsindex anzuzeigen
und die Produktaktivierung zu starten. Die beiden letztgenannten Aufgaben werden im Folgenden ausfhrlicher betrachtet.
Abbildung 1.18
Das Wartungscenter von
Windows 7
Produktaktivierung
Mit Windows XP hat Microsoft die Produktaktivierung eingefhrt. Diese
basiert auf einer eindeutigen Product ID, die bei der Installation von Windows 7 erstellt und unter System angezeigt wird, sowie auf dem whrend
der Installation einzugebenden Produktschlssel.
Beim Aktivierungsvorgang wird auf der Basis eines mathematischen Verfah- Hardwarerens eine individuelle Installationskennung errechnet. Neben der Product ID kennung
bzw. dem Produktschlssel wird hierzu eine PC-Kennzeichnung herangezogen, die auch als Hardwarekennung bezeichnet wird. Die Hardwarekennung
wiederum wird unter Zuhilfenahme wichtiger Hardwareparameter, wie beispielsweise der physikalischen Netzwerkadresse, ermittelt. Im Gegensatz zu
Windows XP ist bei Windows 7 keine Neuaktivierung erforderlich, solange
die Festplatte nicht gewechselt wird. In diesem Fall ndert sich die Installationskennung, was eine erneute Aktivierung zur Folge hat.
Whrend der Aktivierung wird nur die Installationskennung an Microsoft Aktivierungsbermittelt (per Telefon oder per Internet). Hier wird berprft, ob die Pro- vorgang
duct ID von Microsoft stammt und ob die Installationskennung bereits zur
57
Installation von Windows 7 auf einem anderen Rechner verwendet wurde.

Wenn die Prfung problemlos verluft, erhlt der Computer eine Besttigungs-ID, die den Computer aktiviert. Anderenfalls erfolgt automatisch
eine Weitervermittlung an einen Mitarbeiter von Microsoft.
Wie bereits erwhnt, ist es whrend der Installation nicht erforderlich, einen
Produktschlssel einzugeben. In diesem Fall wird ein Standardschlssel zur
Installation benutzt, der auf den Aktivierungsservern geblockt ist. Bei Windows 7 bedeutet dies, dass die Installation 30 Tage als initiale Evaluierungsphase luft. Wer mehr als 30 Tage braucht, kann die Testphase dreimal um
30 Tage, also auf insgesamt 120 Tage verlngern.
Skript slmgr.vbs
Bestandteil bereits von Windows Vista ist das Skript slmgr.vbs mit dessen
Hilfe die Aktivierung des Systems abgeprft und durchgefhrt werden
kann. Durch Eingabe des Befehls slmgr.vbs dli im Suchfeld des Startmens
werden ausfhrliche Informationen ber den Aktivierungszustand des
Computers angezeigt. Bis das Informationsfenster angezeigt wird, kann es
ein paar Sekunden dauern. Im Fenster wird genau angezeigt, wie viel Zeit
noch fr die Aktivierung bleibt.
Die interessanteste Option des Aktivierungsskriptes slmgr.vbs ist slmgr.vbs
rearm. Durch Eingabe dieses Befehls wird die 30-Tage-Testdauer wieder
zurckgesetzt. Anwender knnen dadurch weitere 30 Tage mit Windows 7
uneingeschrnkt arbeiten. Das Skript kann insgesamt dreimal ausgefhrt
werden, bevor die Ausfhrung gesperrt wird. Fr diesen Befehl werden
Administratorrechte bentigt. Nach Eingabe des Befehls muss der Computer neu gestartet werden, und die Testphase ist wieder auf 30 Tage zurckgesetzt.
Durch Eingabe des Befehls slui im Suchfeld des Startmens kann der
Aktivierungsdialog gestartet werden. ber den Befehl slui 0x03 wird ein
Dialogfeld geffnet, in das ein neuer Produktschlssel eingegeben werden kann.
Wurde whrend der Installation von Windows 7 die automatische
Online-Aktivierung besttigt, versucht Windows selbststndig drei
Tage nach der Erstanmeldung die Aktivierung.
Aber auch in der GUI ist es mglich, den Zustand der Aktivierung abzufragen bzw. die Aktivierung durchzufhren. Hierzu ist es am einfachsten, das
Wort Aktivierung im Suchfeld des Startmens einzugeben und anschlieend auf Windows aktivieren zu klicken.
Und auch unter System wird der Status der Produktaktivierung angezeigt.
Besonders schnell aufrufen knnen Sie das Dialogfeld System mit der Tastenkombination () + (Pause).
Aktivierung auch
fr Volumenlizenzkunden
58
Auch Volumenlizenzkunden mssen Windows 7 innerhalb von 30 Tagen

aktivieren. Alle Aktivierungskomponenten fasst Microsoft unter Volume
Activation 2.0 zusammen, die das Verfahren der Aktivierung fr Volumenlizenzkunden erleichtern soll. Erluterungen zur Volumenaktivierung erhalten Sie in Abschnitt 1.3.4 ab Seite 86
1
Abbildung 1.19
Der Status der
Produktaktivierung
kann jederzeit ermittelt werden.
berprfung des Leistungsindex

Nicht nur wenn nach Abschluss der Installation Probleme auftreten oder
erwartete Funktionen, wie beispielsweise die Aero-Benutzeroberflche, nicht
zur Verfgung stehen, sollte der Leistungsindex des Rechners ermittelt werden.
Das Dienstprogramm Windows-Leistungsindex (engl. System Assessment
Program) ist ein in Windows 7 integriertes Benchmark-Programm, das den
Rechner in fnf Leistungsklassen einstuft. Zwar wird die Aussagefhigkeit dieses Wertes kontrovers diskutiert, zum Aufspren von Schwachstellen bietet der Leistungsindex aber ein gutes Hilfsmittel.
Nach dem Start fhrt der Windows-Leistungsindex auf dem Computer Ermittlung auf
eine Reihe von Tests durch und bewertet ihn anschlieend auf einer Skala der Basis von
Tests
von 1 bis 7,9 (wobei eins fr das schlechteste Ergebnis steht).
Zu den Komponenten, die in die Wertung mit einbezogen werden, gehren u.a. der Prozessor und der Speicher, die primre Festplatte, die Grafikleistung und die Qualitt von Gaming-Grafiken. Die einzelnen Tests
messen die Rechengeschwindigkeit der CPU, den Durchsatz und die
Menge des Hauptspeichers, die Transferrate der Festplatte und zwei Werte
fr die Grafik: die Speicherbandbreite der GPU und die Gaming-Grafikleistung. Auf der Basis der ermittelten Werte und eines speziellen
Algorithmus wird dann die Gesamtleistung des Windows-Systems
bewertet. Der gesamte Leistungsindex ergibt sich dann aus dem niedrigsten der fnf Werte, und zwar nach unten abgerundet.
59
Im folgenden Beispiel fhrte die niedrige Bewertung der Grafikleistung

(Windows 7 wurde in einer virtuellen Maschine ausgefhrt) zur Herabwertung des Gesamtsystems auf den Wert 1.
Abbildung 1.20
Beispiel einer
Windows-Leistungsindexbewertung. Die
schwchste Komponente bestimmt das
Gesamtergebnis.
Jederzeit
ausfhrbar
ndert sich die Hardwarekonfiguration oder soll die Bewertung berprft werden, kann der Windows-Leistungsindex jederzeit erneut ausgefhrt werden. Zu finden ist die Leistungsbewertungsoption unter Systemsteuerung/Alle Systemsteuerungselemente/Leistungsinformationen und Tools.
Um den Leistungsindex aktuell zu halten, will Microsoft die einzelnen
Messwerte, die den Index bilden, regelmig anpassen. Wer sich also beim
Verkaufsstart von Windows 7 einen Rechner mit einem Index von drei
gekauft hat, muss beispielsweise nach einem Jahr Prozessor oder Grafikkarte aufrsten, um diesen Wert halten zu knnen.
1.3
Bereitstellung von Windows 7

im Unternehmensnetzwerk
Muss im Unternehmenseinsatz eine grere Anzahl von Rechnern mit

Windows 7 bereitgestellt oder mssen im Produktivbetrieb immer wieder einzelne Rechner neu installiert werden, ist die Durchfhrung einzelner manueller Installationen nicht praktikabel. Hier mssen vielmehr
Technologien eingesetzt werden, die es ermglichen, Referenzsysteme
mit den spezifischen Komponenten und Einstellungen einzurichten und
diese fr die Erstellung von Images zu verwenden.
60
1
Bereits mit Windows Vista hat Microsoft einen breiten Fokus auf die
Bereitstellung in Unternehmensnetzwerken gelegt. Mit Windows 7 wurden die Mglichkeiten noch erweitert, sodass nun mit den nun in Windows 7 enthaltenen Funktionen und Programmen der gesamte Prozess
der Bereitstellung von der Planung ber die Bereitstellung bis hin zur
Implementierung mit weniger Aufwand und weniger kostenintensiv als
bislang abgebildet werden kann.
1.3.1
Die Bereitstellungsfunktionen im
berblick
Beim Einsatz von Windows XP und frheren Versionen nutzen Unternehmen entweder die Funktionalitt zur Imageerstellung von Systems
Management Server (SMS) 2003 OS Deployment Feature Pack oder aber ein
Imageerstellungsprogramm anderer Anbieter wie beispielsweise Ghost
von Symantec. Ein eigenes integriertes Programm zur Imageerstellung
stellt Microsoft erst seit Einfhrung von Windows Vista und Windows
Server 2008 zur Verfgung.
Die Bereitstellung des Betriebssystems auf Clientrechnern basiert bei Windows Vista und Windows 7 auf Images (System-Abbildern). Diese beheben
einen der grten Nachteile von Windows XP und Windows 2000, der darin
bestand, dass die mithilfe der verfgbaren Imaging-Funktionen erstellten
Images zu unflexibel waren. Daraus resultierte, dass verschiedene Images
allein aufgrund unterschiedlicher Hardware und ggf. weitere Anpassungen
fr rollenspezifische Arbeitspltze und Sprachen bentigt wurden. Dass
auerdem fr die reine Erstellung der Images zustzliche Programme von
Drittanbietern verwendet werden mussten, machte die Situation nicht besser.
Mit Windows 7 setzt Microsoft in Bezug auf eine imagebasierte Bereitstel- Ziele von
Windows 7
lung die folgenden Ziele um:
Bereitstellung von Funktionen zur kompletten Abbildung des ImageProzesses einschlielich Erstellung, Wartung und Verteilung von Abbildern
Reduktion der Anzahl der bentigten Images Ein Image fr alles
Verbesserung des Imaging-Prozesses durch Scripting und Mglichkeiten zur automatisierten Verteilung
Installationstechnologien
Windows 7 bringt eine ganze Reihe von Technologien und Tools mit, die
automatisierte Installationen untersttzen. Es wrde jedoch den Rahmen
dieses Buchs sprengen, alle Verfahren und Tools vorzustellen. Die folgenden Erluterungen beschrnken sich daher auf die Vorstellung der wichtigsten Technologien im berblick.
WIM-Imageformat Windows Imaging Format (WIM) ist eine der neuen
Kernkomponenten von Windows 7.
Im Gegensatz zu sektorbasierten Imageformaten, wie sie derzeit fast berall eingesetzt werden, sind WIM-Images nicht sektorbasiert, sondern basie-
61
ren auf Dateien, sodass es beispielsweise keine Probleme bei unterschiedlich groen Datentrgern oder Partitionen gibt.
Hinzufgen von
separaten
Treibern
Auch ermglicht diese Technologie, Images offline (d.h., ohne dass das
Image zuvor auf einem Referenzcomputer installiert werden muss) zu bearbeiten. Damit ist es beispielsweise mglich, Updates und Gertetreiber offline hinzuzufgen und damit Windows 7 bereits bei der Installation wichtige Startgertetreiber mitzugeben. Die frhere Methode der Verwendung
von OEMPnPDriverPath als Mechanismus zum Hinzufgen von Gertetreibern wird unter Windows Vista und Windows 7 nicht mehr untersttzt.
Zusammenfassend bieten WIM-Images die folgenden Vorteile:
Vorteile von
WIM-Images
Das WIM-Imageformat ist unabhngig von der Hardwareabstraktions-
62
ebene (Hardware Abstraction Layer, HAL). Sie knnen ein einzelnes Windows-Abbild verwalten, das fr alle HAL-Typen gilt. Das bedeutet, dass
technisch nur noch ein Image fr verschiedene Hardwarekonfigurationen bentigt wird. Bislang musste fr jedes Gert mit unterschiedlichem
HAL ein eigenes Abbild erstellt werden. Die einzige Einschrnkung
betrifft den CPU-Typ. Fr 32-Bit- und 64-Bit-Prozessoren sind jeweils
eigene Images notwendig.
WIM-Imagedateien sind deutlich kleiner als Dateien anderer Imageformate. Erreicht wird dies durch eine starke Kompression und zudem
durch eine Technik, die als Einzelinstanz-Speicherung (Single Instance
Storage SIS) bezeichnet wird. Dabei wird jede Datei nur einmal gespeichert. Ist ein und dieselbe Datei Bestandteil von drei verschiedenen
Images, wird die Datei tatschlich nur einmal gespeichert. Statt der
Datei steht an allen anderen Stellen nur ein Verweis auf die Datei.
Die Pflege von WIM-Images ist einfach. Treiber, Updates und andere
Windows-Komponenten knnen offline und ohne einen einzigen Start
des Images hinzugefgt und entfernt werden. Windows 7 bringt Programme mit, mit denen Images direkt bearbeitet werden knnen.
In einer WIM-Datei knnen mehrere Images gespeichert werden, was
die Verwaltung erleichtert. So knnen beispielsweise in einer WIMDatei verschiedene Images mit und ohne Anwendungen integriert werden. Da auerdem bei mehreren Images in einer WIM-Datei dank der
Komprimierung das einzelne Image deutlich kleiner wird, spart dies
Festplattenspeicher.
Das WIM-Imageformat erlaubt dank des dateibasierten Formates eine
Bereitstellung, bei der wahlweise auch vorhandene Dateien auf dem
Datentrger erhalten bleiben (Nichtdestruktive Bereitstellung).
Im Gegensatz zu sektorbasierten Imageformaten knnen Images mit
dem WIM-Imageformat auf Partitionen jeder Gre installiert werden.
Sektorbasierte Images bentigen eine Partition der gleichen Gre oder
eine grere Partition.
Windows 7 stellt eine API fr das WIM-Imageformat zur Verfgung:
WIMGAPI (Windows Imaging API). Diese knnen Entwickler fr die
Arbeit mit WIM-Imagedateien nutzen.
Zustzlich wurden neue Programme integriert, die das WIM-Dateiformat untersttzen und die Bereitstellung von Images ermglichen.
1
Windows PE Bei Windows PE (Windows Preinstallation Environment, Win-
dows PE) handelt es sich um eine Minimalversion von Windows, die Kernel-Funktionen von Windows 7 enthlt und die umfangreiche Programme
zur Installation und zur Wiederherstellung des Microsoft Windows 7Betriebssystems zur Verfgung stellt. Zu den von Windows PE bereitgestellten Komponenten zhlen u.a. NTFS-Support, vollstndige Netzwerkuntersttzung und Untersttzung fr in Windows 7 integrierte Programme
(Regedit, Notepad u.a.). Auerdem knnen Plug&Play-Hardwaregerte
whrend der Ausfhrung von Windows PE erkannt und installiert werden.
Hierdurch werden alle mitgelieferten PnP-Gerte untersttzt, einschlielich
Wechselmedien und Massenspeichergerten.
Entwickelt wurde Windows PE als Ersatz fr MS-DOS als Pr-Installationsumgebung vor allem fr die folgenden Einsatzbereiche:
Installation von Microsoft Windows 7: Bei jeder Installation von Windows Windows PE:
7 wird Windows PE ausgefhrt. Dem Anwender begegnet Windows PE Einsatzbereiche
als grafische Oberflche, in der whrend der Setup-Phase die Konfigurationsinformationen abgefragt werden. Aber auch wenn jede Windows
7-Installation mit Windows PE beginnt, wird der normale Benutzer die
Existenz von Windows PE in der Regel gar nicht bemerken.
Erstellung von Images: Innerhalb der Windows PE-Umgebung knnen
Images zur automatisierten Bereitstellung von Windows 7 in Unternehmensnetzwerken erstellt werden. Hierzu bedarf es einer Masterinstallation und einer Antwortdatei, auf deren Basis die Verteilung im Netzwerk
erfolgen soll.
Fehlersuche und Wiederherstellung: Zwar ist der primre Zweck von Windows PE die Installation von Windows 7, es kann jedoch auch zur Fehlersuche und zur Wiederherstellung genutzt werden. Wenn beispielsweise
Windows 7 aufgrund von beschdigten Systemdateien nicht gestartet
werden kann, knnen diese in der Windows-Wiederherstellungsumgebung (Windows Recovery Environment Windows RE) ersetzt werden.
Windows PE wird dabei automatisch in der Wiederherstellungsumgebung gestartet, wenn Windows 7 nicht mehr korrekt startet. Whrend
dieses Vorgangs bietet Windows PE Zugriff auf das Netzwerk oder auf
andere Ressourcen. Zum Beispiel kann nach dem Start eine weitere DVD
mit Treibern oder Software verwendet werden.
Windows PE ist bereits seit Einfhrung von Windows XP in verschiede- Windows PEVersionen
nen Versionen erhltlich:
Windows PE 1.0: Die erste von Microsoft verffentlichte Version basierte
bereits auf Windows XP.
Windows PE 1.1: Diese Version basierte ebenfalls auf Windows XP und
untersttzte aus Sicherheitsgrnden einige Funktionen, wie beispielsweise die Wiederherstellungskonsole, offiziell nicht mehr.
Windows PE 1.2: Diese Version basierte auf Windows XP, Windows XP
SP1 oder Windows Server 2003 und bot erweiterte API-Untersttzung
sowie eine VBScript-Umgebung.
Windows PE 2004 (1.5): Die Version basierte erstmals nur noch auf Windows XP SP2. Neu in dieser Version waren die Plug&Play-Treiberuntersttzung sowie WMI-Funktionen.
63
Windows PE 2005 (1.6): Die Version basiert auf Windows XP SP2 und
Windows 2003 Server und untersttzt auch PXE-Bootumgebungen

anderer Hersteller.
Windows PE 2.0: Whrend alle genannten Vorgngerversionen ausschlielich Nutzern mit Volumenvertrgen zur Verfgung standen, ist
Windows PE 2.0 die erste Version, die als Teil von Windows AIK 1.0 von
allen Nutzern kostenlos heruntergeladen werden kann.
Windows PE 2.1: Diese Version basiert auf Windows Vista SP1 sowie
Windows Server 2008 und kann als Teil des Windows AIK Kit 1.1 bezogen werden [WAIK 1.1].
Windows PE 3.0: Mit Windows 7 stellt Microsoft auch eine neue Windows PE-Version bereit. Windows PE 3.0 ist Bestandteil von Windows
AIK 2.0 [WAIK 2.0].
Einschrnkungen
von Windows PE
Windows PE ist kein standardmiges Betriebssystem und kann nicht als

Betriebssystemersatz verwendet werden. Es dient lediglich der Installation
und Diagnose bzw. Reparatur von Windows 7. Um dies zu verhindern, hat
Microsoft Windows PE so konfiguriert, dass es sptestens nach 72 Stunden
automatisch neu startet. Weiterhin gelten u.a. die folgenden Voraussetzungen bzw. Einschrnkungen fr den Einsatz von Windows PE:
Windows PE kann aufgrund der Gre (ca. 260 MB) nicht auf einer Diskette gespeichert werden. Untersttzt wird das Speichern u.a. auf CD,
DVD und USB-Flash-Speichergerten.
Windows PE kann nicht als Dateiserver oder Terminalserver fungieren.
(Remotedesktop wird nicht untersttzt.) Von einem anderen Computer
aus kann damit nicht auf Dateien oder Ordner auf dem Computer
unter Windows PE zugegriffen werden.
Windows PE untersttzt keine MSI-Anwendungen.
Windows PE untersttzt ausschlielich TCP/IP (IPv4 und IPv6) als
Netzwerkprotokoll.
Windows PE bietet keine Untersttzung fr 802.1x.
Windows PE untersttzt nicht .NET Framework und Common Language Runtime ((CLR).
Da Windows PE nur eine Basis-Betriebssystemumgebung und damit
auch Windows 7 Win32-APIs bereitstellt, knnen Anwendungen, die auf
die folgenden APIs zurckgreifen, nicht eingesetzt werden: Zugriffssteuerung, NetShow Theater Administration, OpenGL, Energieoptionen,
Drucken und Druckerwarteschlangen, Bandsicherungen, Terminaldienste, Benutzerprofile, Windows-Station und -Desktop, WindowsMultimedia und die Windows-Shell.
Zusammenspiel
von Windows PE
und WIM
Um Windows PE bereitzustellen, ist der beste Weg die Verwendung einer

WIM-Datei, in der ein oder mehrere Images gespeichert sind. Da Images in
einer WIM-Datei als bootfhig gekennzeichnet werden knnen, ist es mglich, Windows PE direkt aus der WIM-Datei, die sich auf einem bootfhigen Medium wie einer DVD befindet, heraus zu booten.
64
1
Genau diesen Weg wendet Microsoft bei der Installation von Windows 7 an,
d.h., auch bei der Windows 7-Installations-DVD handelt es sich um ein
Image, das von Microsoft mithilfe von Sysprep erstellt wurde. Diese Images
wurden von einem bereits installierten Windows 7-Referenzrechner erstellt
und ergeben extrahiert das eigentliche Betriebssystem. Da Windows PE
direkt aus einer WIM-Datei heraus gestartet werden kann, wird bei der
Installation von Windows 7 zunchst mit Windows PE gestartet.
Ein bootfhiger Windows PE-Datentrger (CD, DVD oder USB-Stick), der Erstellen einer
einen Computer mithilfe von Windows PE startet, kann mit dem WAIK Windows PE-DVD
selbst erstellt werden. Im folgenden Beispiel wird eine Windows PE-DVD
fr die Plattform x86 erstellt. Fr die Erstellung bentigen Sie das Windows
Automated Installation Kit Windows AIK [WAIK 2.0]. Nhere Erluterungen zu WAIK 2.0 erhalten Sie im Abschnitt 1.3.3 ab Seite 73. Nach dem Herunterladen von WAIK sind folgende Arbeitsschritte erforderlich:
1. ffnen Sie die WAIK-Befehlszeile im Administratormodus. Diese Eingabeaufforderung wird nach der Installation von WAIK dem Startmen als Verknpfung hinzugefgt.
2. Fhren Sie an der Eingabeaufforderung das Skript Copype.cmd aus.
Verwenden Sie hierzu den Befehl
copype.cmd <Systemvariante> <Verzeichnis>
Dieses Skript bewirkt, dass die Verzeichnisstruktur erstellt und die

notwendigen Dateien fr diese Architektur kopiert werden. Als Systemvariante kann entweder x86, amd64 oder ia64 verwendet werden,
abhngig davon, welches System eingesetzt wird. Als Verzeichnis
geben Sie ein beliebiges Verzeichnis auf der Festplatte des lokalen
Rechners an, zum Beispiel Windows PE. Ein Beispiel fr die Eingabe
des Befehls ist:
copype.cmd x86 c:\Windows PE
Das Verzeichnis muss vorher nicht erstellt werden, der Assistent erstellt
dieses automatisch und legt die Dateien im Anschluss in diesem Verzeichnis ab.
3. Anschlieend knnen Sie zustzliche Tools in dieses Verzeichnis kopieren, das Sie beim Starten von Windows PE bentigen. Zumindest das
Imaging-Programm imagex.exe sollten Sie in das Verzeichnis kopieren.
Sie finden imagex.exe unter C:\Program files\Windows AIK\Tools\x86\
imagex.exe. Kopieren Sie imagex.exe in das Unterverzeichnis ISO im PEVerzeichnis auf Ihrer Festplatte.
4. Sie knnen eine optionale Konfigurationsdatei mit dem Namen winscript.ini erstellen, die das Tool ImageX anweist, bestimmte Dateien
whrend der Aufzeichnung auszuschlieen. Beim Starten von ImageX
verwendet dieses Tool automatisch die Datei wimscript.ini, wenn sich
diese im gleichen Verzeichnis befindet.
5. Im nchsten Schritt wird die ISO-Datei erstellt, die schlielich die
Windows PE-Installation enthlt. Auch fr diese Aufgabe gibt es im
Windows AIK ein entsprechendes Tool mit der Bezeichnung Oscdimg.
Um die ISO-Datei zu erstellen, wechseln Sie wieder in die Befehlszeile
65
und gehen in das Verzeichnis C:\Program Files\Windows AIK\Tools\

PETools. Geben Sie den folgenden Befehl ein:
Oscdimg n -m -o bc:\Windows PE\etfsboot.com c:\Windows PE\ISO c:\
Windows PE\Windows PE.iso
Verwenden Sie als Verzeichnisnamen den Namen, den Sie bei sich
verwendet haben und in dem sich die PE-Dateien befinden. Das Tool
erstellt im Anschluss die ISO-Datei.
6. Brennen Sie im Anschluss diese ISO-Datei auf eine DVD. Sie verfgen
nun ber eine startbare Windows PE-DVD mit dem Tool ImageX.
Abbildung 1.21
Eingabeaufforderung fr Bereitstellungstools von
Windows AIK fr
Windows 7
Ausfhrliche Erluterungen zu Windows PE 3.0 finden Sie im Windows

PE-Benutzerhandbuch, das Bestandteil von Windows AIK ist [WAIK 2.0].
Modulare Betriebssystemstruktur Windows Vista war das erste Betriebs-
system von Microsoft, das modular aufgebaut ist. Windows 7 verwendet

die gleiche Architektur. Dies bringt vor allem Vorteile hinsichtlich der
Anpassungsmglichkeiten:
Microsoft kann einzelne Komponenten des Betriebssystems ndern,
ohne das gesamte Betriebssystem zu beeinflussen. Damit mssen beispielsweise Patches und Service Packs nicht mehr sequenziell aufeinander aufbauen.
Einzelne Komponenten von Windows 7 knnen an unternehmensspezifische Bedrfnisse angepasst werden.
Gertetreiber, Service Packs und Hotfixes knnen einfacher zu Windows 7 hinzufgt werden.
Windows 7 ist sprachneutral. Alle Komponenten sind optional und
knnen einzeln zum Betriebssystem hinzugefgt werden. Es ist damit
nicht mehr notwendig, separate Images fr jede Sprache anzulegen.
Bereitstellungswerkzeuge
Mit den vielfltigen Funktionen zur Bereitstellung liefert Microsoft notwendigerweise auch neue Werkzeuge und Programme. Dabei kommen
whrend der drei Phasen des Bereitstellungsprozesses
Planung und Vorbereitung
Erstellung und Wartung
Vorhaltung und Bereitstellung
66
1
unterschiedliche Programme zum Einsatz. Die folgende Tabelle gibt einen

berblick ber die notwendigen Programme im Kontext der drei Bereitstellungsphasen.
Funktion
Programm
Planung
und Vorbereitung
Anwendungsanalyse und
Test der Anwendungskompatibilitt
bernahme von Dateien
und Benutzereinstellungen
Application Compatibility
Toolkit 5.5: Mit diesem aktualisierten Tool kann berprft werden, ob Anwendungen mit Windows 7 kompatibel sind.
User State Migration Tool 4.0: Ein aktualisiertes Tool
zum Erfassen und Wiederherstellen von Benutzereinstellungen. USMT ist fr automatisierte Bereitstellungen in groen Umgebungen ausgelegt. Mssen nur
wenige Computer migriert werden, kann Windows 7
Windows-EasyTransfer verwenden werden.
Erstellung
und
Wartung
Erstellung WIM-basierter
Images
Anpassung der Images
durch Hinzufgen von
Treibern, Sprachpaketen
und Anwendungen u.a.
Erstellung und Anpassung XML-basierter
Antwortdateien
ImageX: ImageX ist eine Abbildtechnologie von Microsoft, die speziell fr die Bereitstellung in Unternehmen
entwickelt wurde. ImageX untersttzt das WIM-Dateiformat-Befehlszeilentool und wird zum Sammeln,
Verteilen und ndern von Abbildern verwendet.
ImageX ist ein Befehlszeilenprogramm, das auf Imaging-APIs fr Windows basiert. Dabei wird die Single
Instance Storage Technologie verwendet.
Windows Systemabbild Manager (System Image
Manager WSIM): Grafisches Tool, das zum Erstellen
von Antwortdateien fr den unbeaufsichtigten Windows Setup-Modus dient. Auerdem knnen Pakete
eingebunden werden, die im Verlauf von WindowsSetup installiert werden sollen.
Sysprep: Fr Windows 7 aktualisierte und verbesserte
Version des Systemvorbereitungsprogramms. Sysprep
bereitet einen Computer fr die Erstellung von Datentrgerabbildern (Images) vor.
Deployment Image Servicing and Management DISM:
Ein Befehlszeilentool zur Online- oder Offline-Wartung
bzw. -Verwaltung von Images. Mit DISM knnen beispielsweise Sprachpakete und Treiber hinzugefgt
oder entfernt, Windows-Funktionen deaktiviert oder
aktiviert und internationale Einstellungen konfiguriert
werden.
Tabelle 1.3: Ntzliche Werkzeuge fr die Bereitstellung von Windows 7
67
Vorhaltung und
Bereitstellung
Funktion
Programm
Remotebereitstellung
von Windows 7
Installation der Images
Durchfhrung eines
Upgrades bzw. einer
Aktualisierung.
Dynamische Aktualisierung durch Hinzufgen
von Updates zu Standardimages whrend der
Installation.
Windows Setup: Das Installationsprogramm fr

Windows 7, das WINNT und WINNT32 ersetzt.
Windows Setup verwendet die neue Technologie IBS
(Image-based Setup, abbildbasiertes Setup).
Windows Deployment Services (WDS) von Windows
Server 2008: WDS ersetzt RIS (Microsoft Remote
Installation Services) und ermglicht die Speicherung,
Verwaltung und Bereitstellung von Images. Es nutzt
den PXE-Bootprozess zur Installation. Alle bentigten
Einstellungen fr eine unbeaufsichtigte Installation
werden in Antwortdateien ber den WSIM festgelegt
und danach dem jeweiligen Abbild zugewiesen.
System Center Configuration Manager 2007 (SCCM):
Fr grere Unternehmen kann der Nachfolger des
Systems Management Servers 2003 eine hilfreiche,
allerdings kostenpflichtige Alternative zu WDS sein.
SCCM ist eine Unternehmenslsung, mit der Clients in
einer IT-Infrastruktur verwaltet, konfiguriert und berwacht werden knnen, So beinhaltet SCCM u.a. Software- und Hardwareinventur, Update-Verwaltung,
Softwareverteilung, Berichterstellung und Betriebssysteminstallation.
Tabelle 1.3: Ntzliche Werkzeuge fr die Bereitstellung von Windows 7 (Forts.)

Nicht mehr
verwendete Tools
Fr das Deployment von Windows 7 und Windows Server 2008 werden

die folgenden Tools nicht mehr bentigt.
Remote Installation Services: RIS wurde durch WDS ersetzt, bietet unter
Windows Server 2003 jedoch noch Legacy-Untersttzung; RIPREP und
RISETUP knnen bei Windows 7 und Windows Server 2008 bzw. Windows Server 2008 R2 nicht verwendet werden.
Setup Manager/Notepad: Verwenden Sie zum Bearbeiten der Konfigurationsdateien fr die unbeaufsichtigte Installation stattdessen den
Windows System Image Manager.
WINNT.EXE und WINNT32.EXE: Verwenden Sie stattdessen SETUP.
SYSOCMGR: Ersetzt durch OCSETUP, PKGMGR.
MS-DOS-Startdisketten: Nicht mehr ntig. Verwenden Sie Windows PE.
1.3.2
Planung und Vorbereitung der

Bereitstellung
Eine durchdachte Planung und Vorbereitung ist der Grundstein einer jeden
erfolgreichen Installation, dies gilt umso mehr bei der Bereitstellung von
Windows 7 in Unternehmensnetzwerken. Hier ist neben den in Abschnitt
1.1 ab Seite 29 beschriebenen Aufgaben noch Augenmerk auf die Windows
7-Tauglichkeit der eingesetzten Anwendungen und auf eine mglichst
automatisierte bernahme von Benutzereinstellungen zu legen.
68
1
Zustzlich sollten mindestens die folgenden Fragen beantwortet werden.

Diese knnen helfen, die geeignete Installationsmethode fr die Bereitstellung zu ermitteln.
Auf wie vielen Rechnern soll Windows 7 ausgerollt werden?
Erfolgt die Installation auf vorhandener Hardware? Wenn ja, welche
und wie unterschiedlich sind die zu verwendenden Rechner?
Mssen Benutzerdaten und Einstellungen bernommen werden?
Sollen die Benutzer die Installation selbst durchfhren, oder ist eine
unbeaufsichtigte Installation geplant?
Wie hoch ist der Aufwand fr Anpassungsarbeiten nach Abschluss
der Installation?
Sollen die Rechner Mitglied einer Active Directory-Domne werden?
Die vorstehende Liste ist nicht vollstndig und muss individuell ergnzt
werden. Sie soll in erster Linie Anregungen liefern, welche Fragestellungen ggf. bei einem Unternehmens-Client-Rollout zu bercksichtigen sind.
Sicherstellung der Anwendungskompatibilitt

Eine der grten Herausforderungen, mit denen Unternehmen bei der
Bereitstellung eines neuen Desktop-Betriebssystems konfrontiert werden,
ist die Migration der installierten Anwendungen, ohne dass deren Funktion
beeintrchtigt wird. Hier gilt es, Kompatibilittsprobleme im Vorfeld zu
erkennen, um Schwierigkeiten, die sogar ein Upgrade verhindern knnen,
wirksam zu begegnen.
Microsoft stellt mit dem Application Compatibility Program Kit (ACT) 5.5
[ACT] ein kostenloses Tool fr Entwickler und Administratoren zur Prfung der Kompatibilitt von Webseiten und Software bereit. Die Version 5.5
untersttzt Windows 7 sowie Windows Vista SP2 und erlaubt eine Kompatibilittsprfung von Anwendungen fr den Einsatz unter Windows Vista
und Windows 7 sowie im Zusammenspiel mit dem Internet Explorer. Das
Werkzeug dient dazu, Anwendungen zu erkennen, fr die mglicherweise
weitere Tests erforderlich sind, und Kompatibilittsfixes fr Anwendungen
zur Verfgung zu stellen.
Beachten Sie hierzu auch die Erluterungen in Kapitel 3. Eine ausfhrliche
Beschreibung von ACT finden Sie im Microsoft ACT: Bereitstellungshandbuch unter Microsoft Technet [ACTDOK].
Migration von Benutzerdaten mit dem

User State Migration Tool
Werden in Unternehmensnetzwerken Rechner neu mit Windows 7 installiert, dann reicht es nicht nur, dem Anwender eine neue Installation hinzustellen. In der Regel hatte der Anwender zuvor bereits einen Rechner, und
es mssen lokale Dateien, Favoriten, Anwendungseinstellungen, Active
Directory-Eintrge und Berechtigungen bernommen werden.
69
Ein wichtiger Faktor fr den Erfolg der Bereitstellung von Betriebssystemen

in Unternehmensnetzwerken ist daher die Migration der Benutzereinstellungen, also das Erfassen aller benutzerdefinierten Einstellungen auf vorhandenen Systemen und ihre Wiederherstellung auf dem neuen System.
Bei Windows 7 wird dieser Vorgang durch die aktuelle Version von User
State Migration Tool (USMT) 4.0 vereinfacht. USMT ist im Gegensatz zu
frheren Versionen Bestandteil von Windows AIK fr Windows 7. Nach
der Installation von WAIK ist USMT zu finden unter: C:\Program Files\
Windows AIK\Tools\USMT.
USMT kontra
Windows
EasyTransfer
Mit USMT knnen Desktop-, Netzwerk- und Anwendungseinstellungen

sowie Benutzerdateien von einem Rechner auf einen anderen bernommen
werden. Damit stellt USMT im Wesentlichen dieselbe Funktionalitt bereit
wie Windows-EasyTransfer (siehe Abschnitt 1.1.3 ab Seite 37). Es gibt jedoch
einige wichtige Unterschiede zwischen USMT und Windows-EasyTransfer.
Whrend mit Windows-EasyTransfer die Operation fr jeden Benutzer im
System wiederholt werden muss, kann USMT skriptgesteuert im Stapelmodus ausgefhrt werden. USMT nutzt hierbei die beiden Befehlszeilenprogramme ScanState und LoadState sowie zustzlich UsmtUtils. Die Programme knnen mithilfe von XML-Dateien komplett an die individuellen
Bedrfnisse angepasst werden.
Standardmig ermglicht USMT 4.0 die Migration der folgenden Objekte:
Ordner Eigene Dateien einschlielich der Unterordner Eigene Bilder, Eigene
Videos und Eigene Musik
Microsoft Internet Explorer-Einstellungen
Microsoft Outlook PST-Dateien
Favoriten
DF-Verbindungen
Desktop-Einstellungen
Telefon- und Modemoptionen
Eingabehilfen
Einstellungen der Eingabeaufforderung
Schriftarten
Ordneroptionen
Einstellungen der Taskleiste
Maus- und Tastatureinstellungen
Schnellstarteinstellungen
Bildschirmschoner
Klangeinstellungen
Regionsoptionen
Einschrnkend kann USMT derzeit keine Anwendungen, Treiber, Einstellungen der Hardware oder Passwrter migrieren. Auch Synchronisierungsdateien, .dll-Dateien oder andere ausfhrbare Dateien sowie Encrypting File
System-(EFS-)Zertifikate werden nicht untersttzt.
Leistungsmerkmale
70
Die neue USMT-Version 4.0 fr Windows 7 enthlt gegenber den Vorgngerversionen einige nderungen und Verbesserungen und zeichnet
sich u.a. durch folgende Leistungsmerkmale aus:
1
Als Quellbetriebssystem sind alle 32-Bit- und 64-Bit-Versionen von Win-
dows XP, Windows Vista und Windows 7 erlaubt. Einschrnkend

untersttzt USMT 4.0 keine Windows Server-Betriebssysteme und
darber hinaus auch nicht Windows 2000 und die Starter-Editionen
von Windows XP, Windows Vista oder Windows 7. Auerdem untersttzt USMT 4.0 nur die Migration von Windows XP mit Service Pack
2 oder Service Pack 3. Als Zielbetriebssystem werden alle Versionen von
Windows Vista und Windows 7 untersttzt.
USMT 4.0 bietet die Mglichkeit, Profile zu verschieben, die mit EFS
verschlsselte Dateien enthalten.
Der Befehl ScanState schtzt die Gre des Migrationsspeichers sowie
den zustzlich fr die Erstellung des Migrationsspeichers bentigten
temporren Festplattenspeicher und nun auch die Gre des komprimierten Migrationsspeichers. Dies verringert die Migrationsfehler
aufgrund von unzureichendem Festplattenspeicher.
Mit USMT 4.0 ist es mglich, eine vollstndige Migration von Domnenbenutzerkonten auszufhren, ohne Zugriff aus dem Domnencontroller zu besitzen. Der Zielcomputer muss der Domne hinzugefgt
werden, bevor die neu hinzugefgten Domnenkonten verwendet
werden knnen.
USMT 4.0 bietet eine verbesserte Anbindung an die Microsoft-Bereitstellungstools.
Im Gegensatz zu den Vorgngerversionen bietet USMT 4.0 Untersttzung fr Volumenschattenkopie. Mit der Befehlszeilenoption /vsc kann
der Befehl ScanState jetzt den Volumenschattenkopie-Dienst verwenden, um Dateien zu erfassen, die durch andere Anwendungen fr die
Bearbeitung gesperrt sind.
Die Migration lokaler Gruppen wird untersttzt. Sie knnen den
Abschnitt <ProfileControl> in der Datei Config.xml verwenden, um whrend der Migration die Mitgliedschaft von Benutzern in lokalen Gruppen zu konfigurieren. Damit ist es beispielsweise mglich, die Mitgliedschaft von Benutzern in der lokalen Administratorgruppe zu einer
Mitgliedschaft in der lokalen Benutzergruppe zu ndern.
USMT 4.0 untersttzt mit dem erweiterten Verschlsselungsstandard
(Advanced Encryption Standard, AES) einen strkeren Verschlsselungsalgorithmus.
USMT besteht aus den beiden ausfhrbaren Dateien ScanState.exe und Ausfhrbare
LoadState.exe sowie der mit USMT 4.0 neu eingefhrten Datei Usmtutils.exe. USMT-Dateien
Diese ergnzt die Funktionen von ScanState.exe und LoadState.exe.
ScanState.exe sammelt die Benutzerdaten und -einstellungen basierend
auf den Informationen, die in Migapp.xml, MigSys.xmlinf, Miguser.xml
und Config.xml enthalten sind.
LoadState.exe kopiert die Benutzerstatusdaten auf einen Computer, auf
dem eine neue (nicht aktualisierte) Installation von Windows Vista oder
Windows 7 ausgefhrt wird. Im Unterschied zu frheren Versionen
mssen die Dateien, die fr ScanState angegeben werden, nun auch fr
LoadState angegeben werden.
71
XML-Standarddateien fr USMT
Zu USMT gehren standardmig verschiedene .xml-Dateien, welche die

Migration untersttzen. Die Dateien knnen an die unternehmensspezifischen Anforderungen angepasst werden. Zustzlich knnen selbst
erstellte benutzerdefinierte .xml-Dateien verwendet werden.
MigApp.xml steuert, welche Anwendungseinstellungen migriert werden. Die in dieser Datei aufgelisteten Anwendungen knnen in die
Migration eingeschlossen oder von ihr ausgenommen werden.
MigUser.xml steuert, welche Ordner, Dateien, Dateitypen und Desktop-Einstellungen eines Benutzers migriert werden. Die Datei hat keinen Einfluss darauf, welche Benutzer migriert werden.
Config.xml ist eine optionale benutzerdefinierte Datei, die dazu verwendet werden kann, um Komponenten von der Migration auszuschlieen.
Sie wird verwendet, um eine benutzerdefinierte Konfigurationsdatei zu
erstellen, welche die Benutzer-, Betriebssystem- und Anwendungseinstellungen enthlt, die von jedem Computer des Unternehmens migriert
werden sollen. Mithilfe des Tools ScanState und der Option /genconfig
kann die Datei Config.xml erstellt und bearbeitet werden. Weiterhin kann
diese Datei einige der in USMT 4.0 neuen Migrationsoptionen steuern. Ist
Config.xml nicht vorhanden, migriert USMT alle Standardkomponenten.
USMT einsetzen
Der Einsatz von USMT 4.0 umfasst im Wesentlichen die folgenden Arbeitsschritte:
Vorbereitung der USMT-Dateien
Die fr die Migration bentigten .xml-Dateien mssen angepasst bzw.
es mssen ggf. benutzerdefinierte .xml-Dateien erstellt werden. Sollen Komponenten von der Migration ausgeschlossen werden, wird
zustzlich die Datei Config.xml bentigt.
Ausfhren von ScanState
Auf dem zu migrierenden Rechner wird zunchst ScanState ausgefhrt. ScanState sammelt die Dateien und Einstellungen auf dem Quellrechner, gesteuert durch die .xml-Konfigurationsdateien, und erzeugt
standardmig eine komprimierte USMT.mig-Datei. Die gesamten persnlichen Dateien des Anwenders lassen sich dann auf einem anderen
Rechner zwischenspeichern.
Installation des Zielrechners
Installation von Windows 7 und aller bentigten Anwendungen. Mithilfe von Images kann dieser Vorgang automatisiert werden.
LoadState ausfhren
Nachdem der neue PC mit dem Betriebssystem ausgestattet wurde,

kommt LoadState zum Einsatz. Auf dem Zielrechner liest LoadState
gesteuert durch die XML-Konfigurationsdateien die USMT.mig-Datei
und stellt die Benutzereinstellungen wieder her. Dies kann als geplanter Task im Kontext des lokalen Administrators ausgefhrt werden.
Die Durchfhrung der Migration mithilfe von USMT wurde an dieser Stelle
nur im berblick dargestellt. Eine ausfhrliche Anleitung zur Nutzung von
USMT 4.0 stellt Microsoft im sehr ausfhrlichen Benutzerhandbuch fr
USMT 4.0 (User State Migration Tool) bereit [USMT].
72
1
1.3.3
Bereitstellung von Windows 7 mit

Windows AIK
Soll eine grere Anzahl von Computern mit Windows 7 installiert werden, beispielsweise whrend einer Migration im Unternehmen von einer
frheren Windows-Version hin zu Windows 7, knnen Betriebssystemabbilder ber WDS (Windows Deployment Services) oder SCCM (System
Center Configuration Manager) verteilt werden. SCCM bietet den Vorteil,
dass er nicht nur zur Neuinstallation, sondern auch zur Migration,
Update-Verwaltung, Softwareverteilung und zum Asset-Management
verfgbar sind. Je nach gewhlter Bereitstellungsstrategie kann damit der
Installationsprozess vom Einschalten des Computers ber die Installation
bis hin zur Auerbetriebstellung vollstndig automatisiert werden.
Mit dem Windows Automated Installation Kit (Windows AIK) fr Windows 7
stellt Microsoft kostenlos Tools zur Verfgung, mit deren Hilfe der gesamte
Bereitstellungsprozess abgebildet werden kann. Windows AIK ist eine
Sammlung aus Werkzeugen, Handbchern und Anleitungen, die Administratoren in Unternehmen und OEMs (Original Equipment Manufacturers)
bei der Bereitstellung von Windows untersttzen.
Speziell auf System-Builder ausgerichtet und auch nur fr diese verfgbar ist das Windows OEM Preinstallation Kit (Windows OPK). Hier finden
Sie die gleichen Features wie im WAIK, allerdings verfgt das OPK ber
einige zustzliche Konfigurationsmglichkeiten.
Installation von Windows AIK

Microsoft stellt Windows AIK kostenlos im Download-Bereich bereit. Nach
dem Download der ca. 1,6 GByte groen .iso-Datei (abhngig von der
gewhlten Sprache) muss die Datei als Image auf DVD gebrannt werden.
Installiert werden kann das Windows AIK auf einem Rechner, auf dem Untersttzte
Systeme
eines der folgenden Betriebssysteme ausgefhrt wird:
Windows Server 2003 SP1
Windows XP SP2
Windows Vista
Windows Server 2003 with Service Pack 2
Windows Vista SP1
Windows Server 2008
Windows Server 2008 R2
Windows 7
Whrend der Installation fgt Windows AIK dem Startmen einige Verknpfungen hinzu. Zugriff auf alle Dokumente und Tools erhlt man jedoch
nur im WAIK-Programmordner unter C:\Program Files\Windows AIK.\
73
Abbildung 1.22
Windows AIKProgrammordner
Der Bereitstellungsprozess im berblick

Wie bereits dargestellt, knnen mit Windows AIK der gesamte Bereitstellungsprozess sowie die Verwaltung abgebildet werden. Gem Windows
AIK knnen die damit verbundenen Aufgaben fnf Phasen zugeordnet
werden:
Phase 1 Planung: In dieser Phase mssen u.a. die Bereitstellungsmethode festgelegt und der Ablauf des Rollouts geplant werden.
Phase 2 Vorbereitung: Diese Phase beinhaltet im Wesentlichen die
Bereitstellung der Bereitstellungsumgebung. Eine Bereitstellungsumgebung enthlt einen Referenzcomputer, auf dem Windows System
Image Manager (Windows SIM) und ein Windows PE-Medium (Windows Preinstallation Environment) ausgefhrt werden. Dringend zu
empfehlen ist die Einrichtung einer Testumgebung, in der alle Phasen
der Bereitstellung getestet werden knnen.
Phase 3 Anpassung: Diese Phase umfasst u.a. die Vorbereitung und
Anpassung der Windows-Abbilder sowie die Erstellung erforderlicher
Antwortdateien. Der Umfang der Aufgaben ist abhngig von der
Bereitstellungsmethode.
Phase 4 Bereitstellung: Abhngig von der gewhlten Bereitstellungsmethode (Installation von einem Abbild aus, Installation von einem Konfigurationssatz aus oder Installation von DVD) wird in dieser Phase das
neue Betriebssystem mithilfe von Windows-Setup, ImageX, WDS oder
anderen Bereitstellungstools ausgerollt.
Phase 5 Wartung: Die letzte Phase beinhaltet die Verwaltung und
Anpassung der Windows-Abbilder.
Die Phasen entsprechen einem typischen Bereitstellungslebenszyklus.
Fr jede Phase stehen im Windows AIK geeignete Tools und Dokumente
bereit.
74
1
Eine Beschreibung aller Tools und Szenarien wrde den Rahmen des
Buchs bersteigen. Die nachstehenden Ausfhrungen beschrnken sich
daher auf einige ausgewhlte Komponenten. Ausfhrliche Beschreibungen, Anleitungen, Beschreibungen verschiedener Szenarien und Skripte
sind in der Windows AIK-Dokumentation und im Microsoft Technet
Center zu finden.
Die Bereitstellungsmethoden im Vergleich

Es gibt mehrere Mglichkeiten fr eine automatisierte Installation von
Windows 7. In diesem Abschnitt werden die drei untersttzten Bereitstellungsmethoden beschrieben, die von Microsoft folgendermaen bezeichnet werden: Installation von einer DVD, von einem Abbild und von einem
Konfigurationssatz.
Diese Methode stellt die einfachste Mglichkeit einer automatisierten Ver- Installieren
teilung dar. Hierbei wird fr den manuellen Installationsvorgang eine von DVD
sogenannte Antwortdatei erstellt, die alle Angaben enthlt, die whrend des
manuellen Installationsvorgangs abgefragt wrden. Mithilfe der Antwortdatei kann die Installation von der Windows 7-DVD vllig unbeaufsichtigt
durchgefhrt werden.
Dazu wird die Antwortdatei auf ein Wechselmedium wie eine CD-ROM
oder einen USB-Stick kopiert. Whrend des Installationsvorgangs sucht
der Installations-Assistent auf den Wechselmedien nach einer Antwortdatei mit dem Namen Autounattend.xml. Ist diese vorhanden, werden
beim Windows-Setup alle in der Antwortdatei festgelegten Einstellungen
angewendet. Die nachstehende Abbildung zeigt den Bereitstellungsprozess dieser Methode im berblick.
Abbildung 1.23
Ablauf der Bereitstellung bei Installation von DVD
(Quelle: Microsoft
WAIK fr
Windows 7)
75
Die DVD-Startmethode ist leicht vorzubereiten und eignet sich fr Flle, in

denen hin und wieder einzelne Computer neu aufgesetzt werden sollen,
setzt aber voraus, dass die Computer ber eigene DVD-Laufwerke verfgen. Die Antwortdatei kann mit dem Windows System Image Manager (Windows SIM) erstellt werden.
Wenn Windows-Setup abgeschlossen ist, knnen weitere Anpassungen
erfolgen. Auerdem kann beispielsweise abschlieend der Befehl Sysprep mit
den Optionen /Oobe, /Generalize und /Shutdown ausgefhrt werden, bevor der
Computer an den Kunden ausgeliefert wird. Ausfhrliche Erluterungen zu
Sysprep finden Sie im nachfolgenden Abschnitt.
Die Installation von einer DVD aus kann auch eingesetzt werden, um bei
abbildbasierten Bereitstellungen eine Referenzinstallation zu erstellen.
Installation von
einem Konfigurationssatz aus
Alternativ kann man den Computer auch ber eine bootfhige Windows
PE-Umgebung starten, beispielsweise von einem USB-Stick aus, und sich
dann mit einer Netzwerkfreigabe verbinden, wo die Installationsdaten
Windows Setup zu finden sind. Auch hier kann eine Antwortdatei hinterlegt werden und so der Installationsvorgang ber das Netzwerk automatisiert ablaufen.
Die Konfigurationssatz-Installationsmethode ist geeignet, wenn nur eine
geringe Anzahl von Computern installiert werden muss und die Erstellung
und Verwaltung von Abbilddateien nicht effizient ist. Die Einrichtung der
erforderlichen Infrastruktur nimmt, im Gegensatz zur nachstehend beschriebenen Abbild-Methode, zwar weniger Zeit in Anspruch, aber das Herstellen
der einzelnen Computer dauert lnger. Die nachstehende Abbildung zeigt
den Bereitstellungsprozess dieser Methode im berblick.
Abbildung 1.24
Ablauf der Bereitstellung bei Installation von einem
Konfigurationssatz
(Quelle: Microsoft
WAIK fr
Windows 7)
Auch bei dieser Methode knnen nach dem Abschluss der Installation weitere Anpassungen erfolgen bzw. knnen die Computer mittels Sysprep fr
die Auslieferung an Kunden vorbereitet werden.
76
1
Soll eine grere Anzahl von Computern mit Windows 7 bestckt wer- Installation von
den, beispielsweise whrend einer Migration im Unternehmen, bieten die einem Abbild aus
zuvor beschriebenen Methoden nicht ausreichende Flexibilitt. In diesem
Fall ist eine abbildbasierte Bereitstellung vorzuziehen. Hierbei knnen
Abbilder von Referenzinstallationen an einer Netzwerkfreigabe bereitgestellt oder beispielsweise ber WDS oder SCCM verteilt werden.
Diese Methode bietet die grte Flexibilitt und ermglicht es, viele Computer schnell zu duplizieren. Durch das Erstellen eines Basisabbilds kann
das Systemabbild auf mehrere Computer mit identischer Konfiguration
angewendet werden. Das Basisabbild kann zu jedem Zeitpunkt an erforderliche nderungen angepasst werden.
Zur Aufzeichnung des Abbilds der Referenzinstallation kann das Tool
ImageX verwendet werden. Anschlieend muss das Abbild auf einer Distributionsfreigabe gespeichert werden, die von Windows SIM (Windows
Systemabbild Manager) bereitgestellt werden kann.
Durch Verwendung unterschiedlicher Implementierungen der Antwortdatei Unattend.xml kann der eigentliche Installationsprozess ganz oder
teilweise automatisiert werden. Allerdings erfordert das vollstndige
Implementieren einer automatischen Version dieser Methode mehr Vorbereitungszeit. In dem folgenden Diagramm ist der Prozess einer abbildbasierten Bereitstellung dargestellt.
Abbildung 1.25
Ablauf der Bereitstellung bei Installation von einem
Abbild (Quelle:
Microsoft WAIK fr
Windows 7)
Das Systemvorbereitungsprogramm Sysprep

In den vorstehenden Abschnitten wurde mehrfach auf das Tool Sysprep
verwiesen. Sysprep ist ein kostenloses Zusatztool, mit dem Systemimages
so vorbereitet werden, dass diese auf andere Computer bertragen werden
knnen. Dies bietet den Vorteil, dass nicht nur das Betriebssystem, sondern
auch alle Konfigurationen und alle Anwendungen bernommen werden
knnen.
Entscheidend ist dabei, dass Sysprep dem Zielrechner eine neue SID Problem mit
zuweist. Windows benutzt zur Identifikation eines jeden Rechners eine identischer SID
eindeutige Identifikationsnummer, die sogenannte SID (Security Identi-
77
fier). Jeder Rechner im Netzwerk muss eine eindeutige SID besitzen.

Wenn nun aber ein vorhandenes Festplattenimage auf einen anderen
Rechner kopiert wird, wird die bereits vorhandene SID auch auf dem
anderen Rechner eingesetzt, was zu massiven Problemen im Netzwerk
fhren kann.
Seit Windows 2000 bringt Windows mit dem Systemvorbereitungsprogramm Sysprep ein eigenes Programm mit, welches das Duplizieren von
Rechnern mit eindeutiger SID erlaubt. Hierzu fgt Sysprep dem Image
einen Systemdienst hinzu. Dieser Dienst entfernt systemspezifische Daten
und erstellt eine eindeutige lokale SID, wenn der Computer, auf den das
Image kopiert wurde, das erste Mal gestartet wird.
Bei Windows XP und Windows Server 2003 verhindern jedoch technische
Einschrnkungen die Erstellung eines einzigen Image, das auf allen Computern bereitgestellt werden kann. Unterschiedliche HAL-Schichten (Hardware Abstraction Layer) bedeuten, dass mehrere Images gepflegt werden
mssen. Seit Windows Vista bestehen diese technischen Einschrnkungen
nicht mehr; das Betriebssystem ist in der Lage, die bentigte HAL festzustellen und sie automatisch zu installieren.
Sysprep-Neuerungen unter
Windows Vista
und Windows 7
78
Sysprep wurde mit Windows Vista in den folgenden Bereichen verbessert:

Fr die Windows-Versionen vor Windows Vista wird Sysprep im Windows OPK (OEM Preinstallation Kit) bzw. in der Datei Deploy.cab auf
der Windows-CD oder im neuesten Service Pack bereitgestellt. Unter
Windows Vista und Windows 7 ist Sysprep Teil der Installation und
standardmig im Ordner %WINDIR%\System32\sysprep zu finden.
Sysprep bereitet einen Computer fr die Erstellung von Images oder
die Auslieferung an einen Kunden vor, indem der Computer so konfiguriert wird, dass nach dem Neustart eine neue Sicherheitskennung
erstellt wird. Darber hinaus bereinigt die neue Version von Sysprep
auch benutzer- und computerspezifische Einstellungen und Daten,
die nicht auf einen Zielcomputer kopiert werden sollen.
Sysprep konfiguriert Windows zum Starten im berwachungsmodus.
Der berwachungsmodus ermglicht es, Anwendungen und Gertetreiber von Drittanbietern zu installieren sowie die Funktionalitt des
Computers zu testen.
Mit Sysprep kann die Windows-Produktaktivierung bis zu drei Mal
zurckgesetzt werden.
Sysprep-Images werden als WIM-basierte Images gespeichert. Dies hebt
einige der Beschrnkungen, die bei den Vorgngerversionen bestanden,
auf. Wie beschrieben sind WIM-Imageformate hardwareunabhngig.
Die Rechner mssen daher nicht mehr zwingend ber kompatible
HALs oder ber die gleichen Controller fr Massenspeichergerte (SCSI
oder IDE) verfgen. Nur fr 32-Bit- und 64-Bit-Prozessoren sind jeweils
eigene Images notwendig. Auch muss die Festplatte auf dem Zielcomputer nicht mehr mindestens die gleiche Gre wie die Festplatte auf
dem Masterrechner aufweisen.
Die Datei Sysprep.inf gibt es nicht mehr. Die neue Version verwendet
nur noch eine einzige Antwortdatei im .xml-Format (Unattend.xlm).
1
Sysprep kann gestartet werden, indem die Datei C:\Windows\System32\

Sysprep\Sysprep.exe ausgefhrt wird. Werden keine Parameter angegeben,
wird Sysprep im grafikbasierten Modus gestartet. Grundstzlich umfasst
der Einrichtungsprozess fr den Referenzrechner, der zum Duplizieren der
Festplatte verwendet werden soll, die folgenden Arbeitsschritte:
1. Installieren Sie das Betriebssystem auf dem Referenzrechner.
Erforderliche
2. Installieren Sie auf dem Referenzrechner alle erforderlichen Anwendun- Arbeitsschritte
gen. Hierbei kann es sich sowohl um Standardanwendungen wie
Virenscanner oder Microsoft Office als auch um branchenspezifische
Programme handeln. Auch die Konfiguration allgemeingltiger Einstellungen, wie beispielsweise lokaler Computerrichtlinien, ist mglich.
3. Fhren Sie Sysprep.exe aus. Beim Ausfhren von Sysprep auf dem Referenzcomputer werden alle benutzer- und computerspezifischen Einstellungen und Daten entfernt, der Produktaktivierungscountdown auf
30 Tage zurckgesetzt und die Erstellung einer neuen Sicherheits-ID
(Security Identifier, SID) beim Neustart aktiviert.
Abbildung 1.26
Die grafische Benutzeroberflche von
Sysprep
Entsprechend den beiden Startarten, in denen ein Computer auf der Basis
eines Sysprep-Images gestartet werden kann, lassen sich, wie in vorstehender Abbildung gezeigt, die beiden folgenden Modi auswhlen:
Out-of-Box Experience (OOBE)
Standardmig wird beim ersten Start von Windows 7 zunchst die
Windows-Willkommensseite angezeigt. Die Windows-Willkommensseite, auch bezeichnet als Computer-OOBE (Out-of-Box Experience =
Standardverhalten), ist die erste Seite, die ein Endbenutzer sieht. Diese
Seite ermglicht dem Benutzer das Anpassen der Windows-Installation. Dazu gehren das Erstellen von Benutzerkonten, die Annahme
der Microsoft-Softwarelizenzbedingungen sowie die Auswahl von
Sprache und Zeitzone.
Systemberwachungsmodus
Im Gegensatz zum OOBE-Modus kann der Endanwender bei Start im

Systemberwachungsmodus (Audit-Modus) keine Einstellungen vornehmen, da die Windows-Willkommensseite umgangen wird. Der berwachungsmodus ermglicht Administratoren in Unternehmen und
Herstellern das Anpassen von Images an die eigenen Erfordernisse.
Hier knnen zustzliche Treiber oder Anwendungen hinzugefgt
und die Installation getestet werden. Notwendige Einstellungen knnen hierbei aus einer Antwortdatei kommen.
79
Sysprep mit
Parametern
ausfhren
Alternativ kann Sysprep an der Befehlszeile mit der folgender Syntax

ausgefhrt werden:
Sysprep.exe [/quiet] [/generalize) [/audit | /oobe] [/reboot | /shutdown
| /quit] [/unattend:<Dateiname>]
/quiet: Bei Verwendung dieses Parameters wird Sysprep ohne Anzeige
von Bildschirmmeldungen ausgefhrt. Diese Option ist ntzlich, um

den Computer zu berwachen und um sicherzustellen, dass die Erstausfhrung korrekt funktioniert.
/generalize: Weist Sysprep an, systemspezifische Daten aus der Windows-Installation zu entfernen. Die systemspezifischen Informationen
umfassen Ereignisprotokolle, Sicherheitskennungen (SIDs), Systemwiederherstellungspunkte und Eintrge in Protokolldateien. Auerdem wird der Aktivierungszhler auf 30 Tage zurckgesetzt. Diese
Option sollte immer gesetzt werden, damit Windows auf die Erstellung
eines Images vorbereitet wird.
/audit: Startet den Rechner im Systemberwachungsmodus.
/oobe: Startet den Computer im Out-of-Box-Experience-(OOBE-)Modus.
/reboot: Wird Sysprep mit diesem Parameter gestartet, fhrt das System einen automatischen Neustart durch.
/shutdown: Mit diesem Parameter wird das Betriebssystem nach dem
Beenden von Sysprep ohne Benutzereingriff heruntergefahren.
/quit: Nach dem Ausfhren wird Sysprep beendet.
/unattend:<Antwortdatei>: Wendet whrend der Ausfhrung von Sysprep Einstellungen aus einer Antwortdatei an. Dies ermglicht eine
unbeaufsichtigte Installation. Mit dem Parameter Antwortdatei werden
der Pfad und der Dateiname der zu verwendenden Antwortdatei konfiguriert.
Ausfhrliche Erluterungen zum Systemvorbereitungstool Sysprep.exe

finden Sie ebenfalls in der Windows AIK-Dokumentation und im Microsoft Technet Center.
Images erstellen und bearbeiten mit ImageX

ImageX ist ebenfalls Bestandteil von Windows AIK. Hierbei handelt es
sich um ein Befehlszeilenprogramm, das auch unter Windows PE ausgefhrt werden kann und es erlaubt, Images zu erstellen, zu bearbeiten und
bereitzustellen. Weiterhin knnen damit WIM-Images als Ordner bereitgestellt und so offline bearbeitet werden.
Da es sich um ein befehlszeilenbasiertes Programm handelt, kann es auch
gut in Skripten eingesetzt werden. Einschrnkend ist es mit ImageX nicht
mglich, Anwendungen einem Image hinzuzufgen.
Funktionsweise
80
Mit ImageX lassen sich Images aufzeichnen, die jedoch zunchst vorbereitet werden mssen. Hierzu gibt es mehrere Mglichkeiten:
1
Mit dem Windows System Image Manager (Windows SIM) wird ein Instal-
lationsabbild erstellt, das spter mit ImageX aufgezeichnet werden kann.

Mithilfe von Sysprep kann die Aufzeichnung eines Images vorbereitet
werden. Bei der Vorbereitung mit Sysprep auf dem Masterrechner

werden alle benutzer- und computerspezifischen Einstellungen und
Daten entfernt, und die Erstellung einer neuen Sicherheitskennung
nach dem Neustart wird aktiviert.
Um anschlieend das Image zu erstellen, muss der Referenzcomputer in
der Windows PE-Umgebung gestartet werden.
Mit ImageX knnen u.a. Partitionen in einer WIM-Datei gespeichert und Befehlszeileneine WIM-Datei in einer Partition wiederhergestellt werden. Hierfr stellt optionen
ImageX die folgenden Befehle zur Verfgung:
Abbildung 1.27
Die Syntax von
ImageX
/append: Fgt einer vorhandenen WIM-Datei ein Image hinzu.

/apply: Stellt ein Image in einem bestimmten Laufwerk wieder her.
/capture: Erstellt ein Image in einer neuen WIM-Datei.
/delete: Lscht ein Image aus einer WIM-Datei .
/dir: Zeigt eine Liste der Dateien und Ordner in einem Image an,
ohne dass dieses zuvor bereitgestellt werden muss.

/export: bertrgt ein Image von einer WIM-Datei zu einer anderen.
/info: Zeigt die XML-Beschreibungen fr eine ausgewhlte WIM-Datei
an.
/split: Teilt eine vorhandene WIM-Datei in mehrere schreibgeschtzte
Teile.
/mount: Stellt ein Image schreibgeschtzt in einem ausgewhlten leeren Ordner bereit.
/mountrw: Stellt ein Image mit Lese- und Schreibzugriff in einem
bestimmten Ordner bereit.
81
/remount: Stellt die Verbindung zu einem bereitgestellten Abbild erneut
her.
/commit: Speichert die nderungen an einer bereitgestellten WIM-
Datei, ohne die Bereitstellung der WIM-Datei aufzuheben.

/unmount: Hebt die Bereitstellung eines Images in einem ausgewhlten
Ordner auf.
/cleanup: Lscht alle Ressourcen, die einem bereitgestellten, abgebro-
chenen Abbild zugeordnet sind. Bei diesem Befehl wird weder die aktuelle Bereitstellung von Abbildern aufgehoben, noch werden Abbilder
gelscht, die ber den Befehl imagex /remount wiederhergestellt werden
knnen.
Hervorzuheben ist die Option /mount. Diese bietet die Mglichkeit, ein
Image in einem Ordner bereitzustellen. Anschlieend kann das Image
wie jeder andere Ordner auch bearbeitet werden, d.h., es knnen Dateien
wie beispielsweise Treiberdateien oder Schriftendateien hinzugefgt und
daraus entfernt werden. Anschlieend kann die Bereitstellung mit der
Option /unmount sehr einfach wieder aufgehoben werden.
Ausfhrliche Erluterungen zur Funktionsweise und zu den Einsatzmglichkeiten von ImageX finden Sie im Benutzerhandbuch zum Windows AIK.
Windows 7 in einer mehrsprachigen Umgebung bereitstellen

Bei international ttigen Unternehmen ist in der Regel der Einsatz unterschiedlicher Sprachversionen erforderlich.
Da Windows 7 aufgrund der modularen Struktur sprachunabhngig ist,
knnen komfortabel ein oder mehrere Sprachpakete hinzugefgt werden.
Sprachpakete dienen zum Aktivieren der Untersttzung fr bestimmte
Sprachen und Gebietsschemata. Benutzer haben damit auf der WindowsWillkommensseite bzw. in der Systemsteuerung die Mglichkeit, die Standardsprache und das Gebietsschema fr den Computer auszuwhlen.
Einschrnkend werden verschiedene Sprachpakete nur von den Editionen
Windows 7 Ultimate oder Enterprise untersttzt. Alle anderen WindowsVersionen untersttzen zwar keine vollstndige Sprachumschaltung, es
steht jedoch eine eingeschrnkte Variante, die auf Language Interface Packs
(LIPs) zurckgreift, zur Verfgung. Hierbei werden nur die gebruchlichsten Bereiche der Benutzeroberflche in eine andere Sprache bersetzt.
Und bereits mit Windows Vista hat Microsoft die Bereitstellung von
mehrsprachigen Computern deutlich erleichtert. Administratoren sind
dadurch in der Lage, fr Regionen mit mehreren Sprachen und Gebietsschemaeinstellungen dasselbe Image bereitzustellen. Dabei ersetzen die
Sprachpakete in Windows 7 die MUI-(Multilingual User Interface-)Dateien
aus frheren Versionen von Windows. Im Gegensatz zu MUI-Dateien
knnen beispielsweise Sprachpakete einem Windows-Offline-Image hinzugefgt werden.
82
1
Fr Windows 7 stehen zwei Arten von Sprachpakettypen zur Verfgung: Sprachpaket Vollstndiges Language Pack: Bei diesen Sprachpaketen sind in der Regel typen
alle Ressourcen fr die betreffende Sprache und das Gebietsschema lokalisiert. Allerdings sind bei bestimmten Sprachen nicht alle Sprachressourcen in der angegebenen Sprache lokalisiert. In einem solchen Fall wird
das Language Pack als teilweise lokalisiertes Language Pack bezeichnet. So
ist beispielsweise Arabisch (Saudi-Arabien) ein teilweise lokalisiertes
Sprachpaket, bei dem 80 Prozent der Sprachressourcen in Arabisch, die
verbleibenden 20 Prozent der Sprachressourcen entweder englisch oder
franzsisch sind.
Benutzeroberflchen-Sprachpaket (Language Interface Pack, LIP): Hierbei
handelt es sich um teilweise lokalisierte Sprachpakete, die nur ber ein
vollstndig lokalisiertes Sprachpaket installiert werden knnen. Weil
LIPs lizenzfrei und kostenlos sind und weil es LIPs fr alle Weltsprachen gibt, sind sie eine gute Alternative, wenn die eingesetzte Windows-Version keine Language Packs untersttzt.
Lizenzrechtlich bedingt untersttzen nur die Windows Ultimate Edition
und die Windows Enterprise Edition die Verwendung von Sprachpaketen.
Nur bei diesen Editionen knnen mehrere Sprachpakete installiert werden.
Beachten Sie hierzu die Erluterungen in Abschnitt 1.3.3 ab Seite 82. Alle
anderen Windows-Editionen entfernen automatisch alle nicht standardmigen Sprachpakete. Hingegen untersttzen alle Windows-Editionen eine
unbegrenzte Anzahl von LIPs (Language Interface Packs).
Im Microsoft Technet-Bereich finden Sie eine Liste mit allen untersttzten Language Packs und Benutzeroberflchen-Sprachpaketen, die fr
Windows 7 und Windows Server 2008 R2 verfgbar sind [LANGUAGE].
LIPS knnen Sie kostenlos herunterladen von der Microsoft Unlimited
Potential Site [LIP].
Es gibt verschiedene Mglichkeiten, Sprachpakete in eine Windows 7- Sprachpakete
Installation zu integrieren. Das Hinzufgen eines Language Packs zu installieren
einem Windows-Abbild kann im Zuge mehrerer Bereitstellungsphasen
erfolgen. So knnen Language Packs hinzugefgt werden, whrend das
Windows-Abbild offline ist, im Rahmen einer automatisierten Installation
unter Verwendung von Windows Setup und einer Antwortdatei fr die
unbeaufsichtigte Installation (Unattend.xml) oder im laufenden Betrieb des
Betriebssystems. Hierbei ist Folgendes zu beachten: Ein Systemabbild kann
so viele Language Packs enthalten wie ntig, allerdings nimmt durch jedes
zustzliche Language Pack die Gre des Abbilds zu. Dies verlngert ggf.
auch die Zeit, die fr das Ausfhren bestimmter Wartungsaufgaben bentigt wird. Werden Language Packs mithilfe einer Antwortdatei fr die
unbeaufsichtigte Installation hinzugefgt, empfiehlt Microsoft, maximal 20
Language Packs gleichzeitig hinzuzufgen. Dieser Wert drfte allerdings
in den meisten Fllen mehr als ausreichend sein.
Ausfhrliche Erluterungen zur Funktionsweise und zur Installation von
Sprachpaketen finden Sie im Benutzerhandbuch zum Windows AIK.
83
Erstellung und Anpassung XML-basierter Antwortdateien

Bei den Vorgngerversionen von Windows Vista konnte der unbeaufsichtigte Installationsprozess durch eine Reihe textbasierter Antwortdateien,
wie beispielsweise der Datei Unattend.txt oder Sysprep.inf, gesteuert werden. Diese Antwortdateien ermglichten die Automatisierung whrend
einer bestimmten Phase der Installation und die Bereitstellung von Windows, indem sie die Antworten fr eine Reihe von Dialogfeldern der grafischen Benutzeroberflche bereitstellten.
Nur noch eine
XML-basierte
Antwortdatei
Seit Windows Vista wird bei der unbeaufsichtigten Installation eine einzelne .xml-basierte Antwortdatei (Unattend.xml) fr alle Installations- und
Bereitstellungsphasen von Windows verwendet. Diese Bereitstellungsphasen werden als Konfigurationsphasen bezeichnet.
Konfigurationsphasen sind die Phasen einer Windows-Installation, whrend derer ein Abbild angepasst werden kann. In der Regel knnen die
Einstellungen fr die unbeaufsichtigte Windows-Installation in mehreren
Konfigurationsphasen angewendet werden. Das Verstndnis dafr, wie
und wann Konfigurationsphasen ausgefhrt werden, ist entscheidend
fr die Entwicklung einer geeigneten Bereitstellungsstrategie.
Konfigurationsphasen
84
Windows 7 unterscheidet die folgenden Konfigurationsphasen:

windowsPE: Die Einstellungen fr diese Phase konfigurieren Windows
PE-Optionen sowie grundlegende Windows Setup-Optionen. Hierzu
gehren u.a. das Festlegen des Produktschlssels sowie das Konfigurieren der Datentrger.
offlineServicing: In dieser Phase werden Updates, Sprachpakete und
andere Sicherheitspatches auf das Image angewendet.
specialize: Die Einstellungen fr diese Phase legen systemspezifische
Informationen fest und wenden sie an. Hierzu zhlen u.a. Netzwerkeinstellungen, internationale Einstellungen und Informationen zur
Domnenmitgliedschaft.
generalize: Whrend dieser Konfigurationsphase werden computerspezifische Informationen aus der Windows-Installation entfernt, sodass das
Windows-Abbild auf unterschiedliche Computer angewendet werden
kann. Der Befehl sysprep /generalize beispielsweise entfernt systemspezifische Informationen aus dem Image. Dies umfasst neben der eindeutigen Sicherheits-ID (SID) und hardwarespezifischen Einstellungen auch
das Zurcksetzen der Aktivierung.
auditSystem: In dieser Konfigurationsphase werden Einstellungen fr
die unbeaufsichtigte Installation verarbeitet, whrend Windows im Systemkontext ausgefhrt wird und bevor sich ein Benutzer im berwachungsmodus am Computer anmeldet. Die Phase auditSystem wird nur
ausgefhrt, wenn die unbeaufsichtigte Installation im berwachungsmodus durchgefhrt wird.
auditUser: Die Einstellungen fr diese Phase werden verarbeitet, nachdem sich ein Benutzer im berwachungsmodus am Computer angemeldet hat. Auch die Phase auditUser wird nur ausgefhrt, wenn die
unbeaufsichtigte Installation im berwachungsmodus durchgefhrt
wird.
1
oobeSystem: Im Durchlauf oobeSystem werden die Einstellungen fr
den ersten Start durch den Endbenutzer, d.h. die Windows-Willkommensseite, konfiguriert und vor der ersten Anmeldung eines Benutzers bei Windows verarbeitet.
Die nachstehende Abbildung aus dem Windows AIK fr Windows 7
zeigt die Beziehung zwischen den Konfigurationsphasen im Rahmen von
Windows PE, Windows Setup und Sysprep.
Abbildung 1.28
Die Konfigurationsphasen einer
Windows-Installation
Zum Erstellen und Verwalten von Antwortdateien kann Windows SIM Antwortdateien
(System Image Manager) verwendet werden. Hierzu stellt Windows SIM mit dem WSIM
eine grafische Benutzeroberflche zur Verfgung, in der alle Aufgaben erstellen
komfortabel erledigt werden knnen. Damit ist es beispielsweise mglich, eine Antwortdatei zu erstellen, mit der whrend des Installationsprozesses ein Datentrger partitioniert und formatiert, ein zustzliches
Sprachpaket installiert und Windows zum Starten im berwachungsmodus nach der Installation konfiguriert wird.
Darber hinaus ermglicht es der Windows System Image Manager, die vorhandenen Einstellungen eines Windows-Abbilds anzuzeigen und offline
Software-Updates, Gertetreiber sowie Sprachpakete u.a. hinzuzufgen.
Fr die Verteilung der Images gibt es mehrere Mglichkeiten. Einige
Mglichkeiten unter Nutzung der Windows AIK Tools wurden zuvor
im Abschnitt 1.3.1 ab Seite 75 vorgestellt.
Ausfhrliche Erluterungen zur Funktionsweise und zur Installation
von Antwortdateien sowie zu deren Bearbeitung mit dem Windows
System Image Manager finden Sie im Benutzerhandbuch zum Windows AIK.
85
Abbildung 1.29
Offline-Bearbeitung
von Images mit dem
Windows System
Image Manager
1.3.4
Aktivierung fr Unternehmenskunden
Volumenaktivierung
Windows Vista ist das erste Betriebssystem von Microsoft bei dem die Aktivierung nicht mehr umgangen werden kann. Auch Unternehmen mssen
das Betriebssystem daher aktivieren. Fr Windows XP und Office 2003 hat
Microsoft noch die Volume Activation 1.0 eingesetzt. Bei dieser Aktivierung erhielten Unternehmenskunden Seriennummern, die nicht extra aktiviert werden mussten. Bei der neuen Volume Activation 2.0, das mit Windows Vista und Windows Server 2008 verffentlicht wurde, gibt es diese
Mglichkeit nicht mehr. Alle Produkte, die unter die VA 2.0 fallen, mssen
immer aktiviert werden.
Das Systemverhalten von Windows Server 2008 und Windows Vista sowie
Windows Server 2008 R2 und Windows 7 bei der Aktivierung ist daher
grundstzlich gleich. Fr Letztere enthalten die Aktivierungstechnologien
jedoch einige Verbesserungen vor allem in Hinblick auf eine vereinfachte
Verwaltung. Fr Office 2007 gelten die genannten Einschrnkungen brigens nicht. Office 2007 fllt noch unter Volume Activation 1.0. Hier erhalten
Unternehmenskunden eine Seriennummer, die keine Aktivierung erfordert.
Grundlagen der
Volumenaktivierung
86
Wird Windows 7 installiert, generiert das System auf Basis der verwendeten Hardware eine eindeutige Identifizierungsnummer (ID), die zur Aktivierung verwendet wird. ndert sich Hardware im Computer, stimmt
die ID von Windows unter Umstnden nicht mehr mit der AktivierungsID berein, sodass erneut aktiviert werden muss. Dazu arbeitet Windows
mit einem Toleranzwert, der nicht unterschritten werden darf. Hierzu
wird jeder Komponente im Computer eine bestimmte Punktzahl und
damit Gewichtung zugeordnet. Wird eine Komponente ausgetauscht,
1
nhert sich das System dem Toleranzbereich, innerhalb dessen erneut

aktiviert werden muss. So muss zum Beispiel beim Wechseln der CPU,
des Mainboards oder der Festplatte oft neu aktiviert werden, allerdings
hngt das vom einzelnen System ab. Diese drei Komponenten sind am
hchsten gewichtet.
Diese Vorgehensweise gilt auch fr Volumenlizenzen. Mit Volumenlizenzschlsseln ist es mglich, eine bestimmte Anzahl an Computern
mit dem gleichen Schlssel zu installieren und anschlieend zu aktivieren. Solche Lizenzschlssel gibt es nur fr die Professional- und Enterprise-Editionen von Windows 7.
Um aber Unternehmen bei der erforderlichen Aktivierung ihrer Systeme zu
untersttzen, stellt Microsoft fr die Volumenaktivierung spezielle Technologien und Tools zur Verfgung. Hierzu zhlt u.a. das Volume Activation
Management Tool (VAMT), das die zentrale Verwaltung der Volumenlizenzen ber einen Key Management Service (KMS) oder ber Multiple Activation Keys (MAK) untersttzt. Der KMS-Dienst wird auf einem Computer
mit einem eigenen Schlssel aktiviert, der lediglich auf dem KMS-Host und
nicht auf jedem einzelnen Computer zu finden ist. Der MAK wird auf den
einzelnen Computern gespeichert, ist jedoch verschlsselt und wird in
einem vertrauenswrdigen Speicher aufbewahrt, sodass Benutzer diesen
Schlssel nie zu sehen bekommen und auch nicht nachtrglich auslesen
knnen. Als Schlssel verwendet Microsoft Cipher Block Chaining Message
Authentication Code (CBC-MAC) mit dem Advanced Encryption Standard
(AES) als grundlegende Verschlsselungstechnologie.
Bei der MAK-Aktivierung findet ein hnlicher Prozess statt wie bei MSDN- Multiple Actioder Action Pack-Versionen fr Microsoft-Partner. Jeder Produktschlssel vation Key (MAK)
kann fr eine vorgegebene Anzahl an Computern verwendet werden, die
dann auch aktiviert werden knnen. Die MAK-Aktivierung muss nur einmal durchgefhrt werden und erlaubt beliebige nderungen an der Hardware des Computers. Die MAK-Aktivierung kann ber das Internet oder
telefonisch durchgefhrt werden. Vor allem bei mobilen Computern, die
sich nicht stndig mit dem Netzwerk verbinden, ist die MAK-Aktivierung
der bessere Weg, da keine stndige Verbindung zum KMS-Server bentigt
wird und nur einmal aktiviert werden muss. Bei der Aktivierung ber
KMS mssen sich die Clients alle 180 Tage erneut mit dem Server verbinden knnen, der den KMS-Dienst zur Verfgung stellt. Wie viele Clients
mit einem MAK aktiviert werden knnen, hngt vom individuellen Vertrag ab, den Ihr Unternehmen mit Microsoft geschlossen hat.
Es gibt zwei verschiedene Varianten der MAK-Aktivierung:
MAK Proxy Activation: Bei dieser Variante knnen mehrere Computer
durch eine Verbindung bei Microsoft aktiviert werden. Microsoft stellt
dazu das Volume Activation Management Tool (VAMT) zur Verfgung.
Mit dem Tool ist eine grafische Oberflche zur Verwaltung des Volumenaktivierungsprozesses der Produktschlssel verfgbar.
MAK Independent Activation: Bei dieser Variante muss jeder Computer
durch eine eigene Verbindung bei Microsoft aktiviert werden.
87
Abbildung 1.30
Das Volume Activation Management
Tool ist Bestandteil
von Windows AIK
fr Windows 7.
Key Management
Service (KMS)
Activation
Bei der KMS-Variante knnen Sie die Aktivierung der eingesetzten Windows Vista-, Windows 7- oder Windows Server 2008-Computer ber einen
lokalen Server durchfhren, eine Verbindung zu Microsoft ist nicht notwendig. Dazu muss auf allen zu aktivierenden Computern der Key
Management Service (KMS) installiert werden. Zur Aktivierung versuchen
die KMS-Client, alle zwei Stunden eine Verbindung zum KMS-Host aufzubauen, und mssen diesen innerhalb von 30 Tagen erreichen knnen.
Anschlieend wird dieser KMS-Host in den Cache des Clients geschrieben.
Bei der nchsten Aktivierung wird dann versucht, direkt diesen KMS-Host
zu verwenden. Wenn ein KMS-Host nicht antwortet, versucht ein Client
automatisch, andere KMS-Hosts zu erreichen. Computer, die durch KMSAktivierung aktiviert worden sind, mssen alle 180 Tage die Aktivierung
am KMS-Host erneuern. Eine weitere Mglichkeit ist die manuelle Verbindung der Clients zum KMS-Host mit Direct Connection.
Windows 7 Professional und Windows 7 Enterprise sind bereits standardmig auf eine Aktivierung per KMS ausgelegt, ohne dass eine Benutzereingabe erfolgen muss. Die Computer versuchen, sich in einem Active
Directory per SRV-Record mit einem KMS-Host zu verbinden und sich
selbststndig zu aktivieren.
1.3.5
Microsoft
Patch Day
Bereitstellung von Updates und

Service Packs
Das Einspielen von Service Packs und Sicherheitsupdates ist heute fester
Bestandteil der Systemwartung. Seit 2003 verffentlicht Microsoft jeweils
an einem festen Tag im Monat, dem Patch Day, neue Updates und Sicherheitspatches.
Um den Aufwand fr das Update-Management mglichst gering zu halten,
haben alle aktuellen Windows-Systeme die Funktion WINDOWS UPDATE
integriert, mit deren Hilfe das Betriebssystem permanent automatisiert oder
manuell auf dem aktuellen Stand gehalten werden kann. Microsoft stellt
dazu wichtige Updates mit Erweiterungen, wie Aktualisierungen und Tools,
88
1
die zur reibungsloseren Funktion des Computers beitragen knnen, sowie

Sicherheitsupdates zur Verfgung. Windows Update berprft den Computer und stellt eine Auswahl von auf die Soft- und Hardware des Computers
bezogenen Updates bereit. Diese Funktion ist bereits seit Windows 2000 Service Pack 3 Bestandteil, wurde jedoch laufend erweitert und verbessert.
Bereits mit Windows Vista sind nochmals einige Verbesserungen hinzugekommen. Hierzu zhlen die Reduzierung von Neustarts, eine effiziente Nutzung der verfgbaren Bandbreite sowie die Mglichkeit, den Verlauf der
Update-Installation zu berprfen. Auerdem wird der Windows Update
Agent (WUA) als eigenstndige Anwendung verwaltet.
Updates knnen entweder direkt bei Microsoft oder von einem internen Mglichkeiten
Update-Server heruntergeladen werden. Windows Update verwendet in der UpdateBereitstellung
beiden Fllen die gleiche Benutzeroberflche.
In Unternehmensnetzwerken beziehen die einzelnen Rechner ihre Updates
meist von einem lokalen Update-Server. Microsoft liefert mit dem Windows
Software Update Service (WSUS) hierzu eine eigene Zusatzlsung. Mit der
aktuellen Version WSUS Service Pack 2 werden auch Windows 7-Clients
untersttzt. Der Vorteil dabei ist, dass die Pakete nur einmal von dem Microsoft-Update-Server geladen werden mssen; das spart Bandbreite. Zudem
kann der Administrator die Patches evaluieren und hat die Kontrolle, wann
und ob ein Update installiert wird.
Updates lokal verwalten

Windows Update ist unter Windows 7 eine eigenstndige Anwendung, die Updates manuell
unter Systemsteuerung/System und Wartung/Windows Updates oder im Start- herunterladen
men unter Alle Programme zu finden ist.
Abbildung 1.31
Dialogfeld zur
Verwaltung von
Windows-Updates
89
Updates manuell
herunterladen
Mithilfe der Option Nach Updates suchen kann das Herunterladen von
Updates an dieser Stelle jederzeit manuell gestartet werden. Werden
Updates gefunden, wird dies gemeldet, und die Updates knnen entweder direkt installiert oder zunchst angezeigt und einzeln ausgewhlt
werden.
Aus Sicherheitsgrnden ist aber zu empfehlen Windows Update fr den
automatischen Bezug von Updates zu konfigurieren. Ist Windows Update
nicht aktiv, meldet das Wartungscenter eine Sicherheitslcke im Bereich
Sicherheit und zeigt zustzlich im Infobereich der Taskleiste ein rot markiertes Fhnchen an.
Automatische
Updates konfigurieren
Wird die Funktion aktiviert, berprft Windows 7, ob neue Updates vorliegen, ldt diese herunter und installiert diese automatisch nach einem festlegbaren Zeitplan. Ist ein vollautomatischer Update-Service nicht gewnscht,
kann die Funktion so konfiguriert werden, dass nur eine Benachrichtigung
erfolgt, sobald neue Updates zur Verfgung stehen, und diese dann manuell
oder zum gewnschten Zeitpunkt installiert werden. Hierzu ist die Option
Einstellungen ndern in dem in Abbildung 1.32 gezeigten Dialogfeld zu verwenden.
Abbildung 1.32
Windows 7 fr den
automatischen
Bezug von Updates
konfigurieren
An erster Stelle steht hier die von Microsoft empfohlene Option Updates
automatisch installieren (empfohlen). Hierbei werden bei vorhandener Internetverbindung die Updates automatisch installiert. Wenn der Computer
whrend eines geplanten Updates ausgeschaltet ist, installiert Windows
die Updates beim nchsten Starten des Computers. Hierbei ist jedoch zu
beachten, dass die vollautomatische Update-Funktion nicht nur Sicher-
90
1
heitsupdates, sondern auch kritische Treiberupdates durchfhrt. Dies

kann Probleme verursachen, wenn herstellereigene Treiber eingesetzt
werden, da diese gegebenenfalls bei einem Update durch die Microsofteigenen Standardtreiber ersetzt werden.
Es kann daher sinnvoll sein, die Option Updates herunterladen, aber Installation manuell ausfhren zu verwenden. Hierbei werden verfgbare Updates
automatisch heruntergeladen, aber nicht installiert. Die zu installierenden
Updates knnen hierbei ausgewhlt werden. Es kann auerdem festgelegt
werden, dass die Updates erst zu einem angegebenen Zeitpunkt installiert
werden.
Die genannten Einstellungen beziehen sich standardmig ausschlielich Zu installierende
auf die sogenannten wichtigen, d.h. verbindlichen Updates. Zustzlich Updates anzeigen
kann festgelegt werden, wie mit optionalen Updates (empfohlene Updates)
zu verfahren ist. Werden diese nicht automatisch installiert, sollte regelmig die Liste der zu installierenden Updates berprft werden.
Abbildung 1.33
Die Liste der zu
installierenden
Updates ermglicht
die gezielte Auswahl
bentigter Updates.
Wird Windows 7 Ultimate Edition oder Enterprise Edition eingesetzt,

enthlt die Liste der optionalen Updates auch die verfgbaren Sprachpakete. Gewnschte Sprachpakete knnen damit installiert werden.
Nhere Informationen zum Einsatz von Sprachpaketen finden Sie in
Abschnitt 1.3.3 ab Seite 82.
Hilfreich ist die Option Updateverlauf anzeigen, mit der unter Windows 7
die korrekte Installation von Updates berprft werden kann.
91
Abbildung 1.34
Die erfolgreiche
Installation von
Updates kann im
Updateverlauf berprft werden.
Updates zentral bereitstellen

Zumindest in groen Unternehmensnetzwerken ist die Einrichtung einer
zentral administrierbaren Patchverwaltung unumgnglich. Microsoft stellt
mit Microsoft Windows Server Update Services (WSUS) kostenlos ein Patchund Update-Verwaltungsprogramm als zustzliche Komponente fr Microsoft Windows Server zur Verfgung, mit der Administratoren WindowsUpdates im eigenen LAN bereitstellen, verwalten und verteilen knnen.
Zustzlich knnen damit die Sicherheitseinstellungen aller Computer im
Netzwerk analysiert und entsprechende Auswertungen erstellt werden.
Hierzu stellt WSUS eine Verwaltungsinfrastruktur bereit, die aus den folgenden drei Elementen besteht:
Microsoft Update Website: Die Microsoft-Website, mit der die WSUSServer zum Herunterladen von Updates fr Microsoft-Produkte eine
Verbindung herstellen.
Windows Server Update Services-Server: Beschreibt die Serverkomponente, die auf einem Computer installiert ist. Der WSUS-Server stellt
die Funktionen bereit, die zum Verwalten und Verteilen von Updates
ber ein webbasiertes Tool bentigt werden. Darber hinaus kann ein
WSUS-Server als Update-Quelle fr andere WSUS-Server dienen. In
einer WSUS-Infrastruktur muss mindestens ein WSUS-Server im
Netzwerk eine Verbindung mit Microsoft Update herstellen, um verfgbare Updates abzurufen.
WSUS-Clients: Rechner, die mithilfe der Windows Update-Funktion
Updates von einem WSUS-Server herunterladen. Bei WSUS-Clients
kann es sich sowohl um Server als auch Clientcomputer handeln.
Um die Verteilung bernehmen zu knnen, muss WSUS auf einem zentral verfgbaren Server installiert werden. Der WSUS-Server prft vor
der Installation eines Updates, ob es fr den Zielrechner geeignet ist. Zur
Speicherung seiner Konfigurationsdaten und der Rckmeldungen der
WSUS-Clients ber installierte Updates verwendet WSUS eine SQLDatenbank. In kleineren Organisationen kann auch die mit WSUS ausgelieferte Datenbank eingesetzt werden. Zustzliche Informationen finden
Sie auf der WSUS-Infoseite unter dem folgenden Link: [WSUS]
92
1
Die aktuelle Version WSUS 3.0 (Stand 10/2009) mit Service Pack 2 bietet
auch Untersttzung fr Windows 7 und Windows Server 2008 R2.
Abbildung 1.35
WSUS 3.0 bietet
umfangreiche Funktionen zur Konfiguration des WSUSServers.
93
Ein Gert ist ein Stck Hardware, mit dem Windows interagiert, um eine
Funktion des Gertes bereitzustellen. Hierbei kann Windows nur ber
die Gertetreibersoftware mit der Hardware kommunizieren.
Zur Installation eines Gertetreibers fhrt das System eine Erkennung des
Gertes durch, ermittelt den Gertetyp und sucht dann einen passenden
Gertetreiber. Seit der Einfhrung von Plug&Play-fhiger Hardware stellt
die Installation neuer Gerte kaum noch eine Herausforderung dar vorausgesetzt man verfgt ber den passenden Treiber und die erforderlichen
Berechtigungen.
Was bei Windows 7 in Bezug auf die Installation und die Verwaltung von
Treibern dennoch zu beachten ist und wie mglichen Problemen mit Treibern begegnet werden kann, ist Gegenstand dieses Kapitels. Dabei werden
die Installation und Verwaltung von Gerten zuerst aus Anwendersicht
betrachtet, was auch die DeviceStage-Funktionen und die integrierten Funktionen zur Behandlung von Problemen einschliet. Darber hinaus werden
die Mglichkeiten zur Bereitstellung von Treibern im Unternehmensnetzwerk und zur Steuerung von Installationsberechtigungen aufgezeigt.
2.1
Windows untersttzt die Plug&Play-Spezifikation, durch die definiert

wird, auf welche Weise ein Computer neue Hardware erkennen bzw. konfigurieren und den Gertetreiber automatisch installieren kann. Whrend
der Installation fhrt Windows 7 eine Hardwareerkennung durch. Hat
man, was zu empfehlen ist, im Vorfeld der Installation die Kompatibilitt
der Hardware berprft und sichergestellt, werden die Gerte erkannt und
automatisch in das System eingebunden. Dies gilt grundstzlich auch fr
die nachtrgliche Installation von Hardware.
95
Kapitel 2 Hardwareinstallation
Dennoch ist es wichtig zu wissen, wie der Installationsprozess abluft (auch

um im Fehlerfall gezielt eingreifen zu knnen) und welche Steuerungsmglichkeiten bestehen.
2.1.1
Automatische Gerteinstallation
Alle Gerte, die den Plug&Play-Standard untersttzen, knnen automatisch installiert werden. Einige Besonderheiten sind bei Hot-Plug-fhigen
Gerten zu beachten.
Plug&Play-fhige Gerte installieren

Heutige Hardwarekomponenten untersttzen in der Regel vollstndig den
Plug&Play-Standard und geben ber sich selbst Auskunft, sodass sie ohne
Benutzereingriff in das Betriebssystem eingebunden werden knnen.
ACPI-Untersttzung
Auch die Konfiguration der Energieversorgung erfolgt bei Plug&Play-Gerten automatisch. Das Betriebssystem ermittelt, welche Programme aktiv
sind, und verwaltet den gesamten Energiebedarf fr die Teilsysteme und die
Peripheriegerte des Computers. Voraussetzung hierfr ist ein ACPI(Advanced Configuration and Power Interface-)fhiges System. ACPI ist ein
offener Industriestandard, der eine flexible und erweiterbare Hardwareschnittstelle definiert. Hierzu gehren beispielsweise intelligente Stromsparfunktionen. Bei ACPI wird das gesamte Powermanagement vom Betriebssystem bernommen, was allerdings voraussetzt, dass die fr die einzelnen
Gerte eingesetzten Treiber ebenfalls diesem Standard entsprechen.
RessourcenManagement
Ein weiterer Vorteil der Plug&Play-Technologie besteht in der automatischen Verwaltung der Ressourcen. Jedes installierte Gert bentigt eine
Reihe Systemressourcen, damit es ordnungsgem funktionieren kann.
Zu den Systemressourcen zhlen u.a.:
Hardware-Interrupts (IRQs Interrupt Request Line)
Eingabe-/Ausgabeadressen
DMA-Kanle
Einige Hauptspeicherbereiche
Die Systemressourcen gestatten es den Hardwarekomponenten, auf die
CPU- und Speicherressourcen zuzugreifen, ohne miteinander in Konflikt zu
geraten. Da diese Ressourcen immer begrenzt sind, muss bei der Installation
der Komponenten ber die Verteilung der jeweils vorhandenen Ressourcen
entschieden werden. Einige dieser Ressourcen knnen auch gemeinsam
genutzt werden.
Das Plug&Play-Ressourcen-Management setzt voraus, dass die von den
Komponenten verwendeten Gertetreiber nicht von selbst bestimmte
Systemressourcen beschlagnahmen (dies ist bei allen Gerten, die den
Plug&Play-Standard erfllen, der Fall), sondern nur ihren Bedarf an Ressourcen beim System anmelden, entweder bei der Installation, beim
Hochfahren des Systems oder beim Anschluss eines Gerts im laufenden
Betrieb. Das System erfhrt so, welche Ressourcen bentigt werden bzw.
welche schon vergeben und welche noch frei sind, und teilt die Ressourcen automatisch so zu, dass alle Gerte ohne Konflikte arbeiten knnen.
96
Grundstzlich umfasst die Gerteinstallation unter Windows 7 die fol- Installationsablauf

genden Schritte:
1. Wird ein neues Gert angeschlossen, erkennt Windows dies und bermittelt dem Plug&Play-Dienst ein Signal.
2. Der Plug&Play-Dienst identifiziert das Gert.
3. Anschlieend durchsucht der Plug&Play-Dienst den Treiberspeicher
(engl. Driver Store) nach einem passenden Treiberpaket fr das Gert.
Hierbei handelt es sich um einen sicheren Bereich, in dem Windows
die Treiberinstallationspakete bis zur Installation speichert. Alle Treiberpakete werden zwingend im Treiberspeicher bereitgestellt. Wird
dort kein geeigneter Treiber gefunden, werden weitere Speicherorte
durchsucht. Anderenfalls wird der Vorgang mit Schritt 5 fortgesetzt.
4. Der Plug&Play-Dienst durchsucht zunchst die in der Registrierungseinstellung DevicePath angegebenen Ordner. Wird dort kein geeigneter
Treiber gefunden, wird die Windows Update-Website in die Suche einbezogen. Steht auch dort kein Treiber zur Verfgung, wird der Benutzer
aufgefordert, einen Datentrger mit dem Treiber einzulegen bzw. ein
Medium anzugeben.
Anschlieend berprft Windows, ob der Benutzer berechtigt ist, das
Treiberpaket im Treiberspeicher abzulegen. Der Benutzer muss dazu
ber Administratorrechte verfgen, oder die entsprechende Computerrichtlinie muss so konfiguriert sein, dass der Benutzer zum Installieren dieses Gertes berechtigt ist.
Weiterhin berprft Windows, ob das Treiberpaket eine gltige digitale
Signatur besitzt. Ist das Zertifikat zwar gltig, jedoch nicht im Zertifikatspeicher Vertrauenswrdige Herausgeber enthalten, wird der Benutzer
zur Besttigung aufgefordert.
Danach speichert Windows eine Kopie des Treiberpakets im Treiberspeicher.
5. Der Plug&Play-Dienst konfiguriert anschlieend die Registrierung, um
Windows anzuweisen, wie die neu installierten Treiber zu verwenden
sind, und kopiert die Treiberdateien aus dem Treiberspeicher in die entsprechenden Verzeichnisse des Betriebssystems. Dies ist standardmig das Verzeichnis %systemroot%\windows32\drivers.
6. Im letzten Schritt werden die neu installierten Treiber gestartet. Dieser
Vorgang wird bei jedem Computerneustart wiederholt, um die Treiber
erneut zu laden.
Wenn die Gertetreibersoftware von Windows 7 automatisch installiert

werden kann, wird nach dem Abschluss der Installation ein Hinweis in der
Taskleiste angezeigt, dass sich das entsprechende Gert verwenden lsst.
Wurde eine der beschriebenen Sicherheitsberprfungen nicht erfolgreich
abgeschlossen oder konnte kein geeigneter Gertetreiber gefunden werden, wird der Vorgang beendet.
Auerdem muss der Treiber eine gltige digitale Signatur besitzen und
im Zertifikatspeicher Vertrauenswrdige Herausgeber enthalten sein.
97
Mithilfe einer Gruppenrichtlinie kann die Meldung unterdrckt werden,

sodass der Anwender von der Installation nichts bemerkt. Auch die
Dauer der Treiberinstallation kann dort begrenzt werden. Standardmig
bricht Windows eine Gerteinstallation erst ab, wenn sie innerhalb von
fnf Minuten nicht abgeschlossen werden konnte. Die entsprechenden
Richtlinien finden Sie im Gruppenrichtlinieneditor im Ordner: Computerkonfiguration/Administrative Vorlagen/System/Gerteinstallation.
Der lokale Gruppenrichtlinieneditor kann durch Eingabe von gpedit.msc
im Suchfeld des Startmens geffnet werden.
Die im obigen Schritt 4 beschriebenen Vorgnge werden als Bereitstellung
bezeichnet. Die Bereitstellung von Treiberpaketen kann auch separat erfolgen. Damit haben Administratoren die Mglichkeit, Gertetreiberpakete fr
Benutzer bereitzustellen, die diese dann ohne zustzliche Berechtigungen
installieren knnen. Beachten Sie hierzu auch den Abschnitt 2.4 ab Seite 126.
Der Installationsvorgang kann nur dann erfolgreich abgeschlossen werden, wenn mindestens einer der folgenden Punkte zutrifft:
Das Gert wird von einem Treiberpaket untersttzt, das in Windows
enthalten ist. In Windows enthaltene Treiberpakete knnen von Standardbenutzern installiert werden.
Der Administrator hat das Treiberpaket im Treiberspeicher bereitgestellt. Im Treiberspeicher enthaltene Treiberpakete knnen von Standardbenutzern installiert werden.
Der Benutzer besitzt ein Medium mit dem entsprechenden Treiberpaket, das vom Hersteller bereitgestellt wurde (beachten Sie hierzu
auch die Hinweise in Abschnitt 2.3 ab Seite 115), und ist berechtigt, das
entsprechende Gert zu installieren.
Auerdem muss der Treiber eine gltige digitale Signatur besitzen und
im Zertifikatspeicher Vertrauenswrdige Herausgeber enthalten sein.
Bei manchen Gerten ist es erforderlich, die Treibersoftware vor dem
Anschlieen des Gertes zu installieren. Hierzu sollten Sie die Hinweise
des Herstellers beachten.
Unbekanntes
Gert beim
Systemstart
gefunden
Abbildung 2.1
Dialogfeld bei
Erkennung neuer
unbekannter
Hardware
98
Findet Windows 7 beispielsweise beim Hochfahren neue Hardware, kann

diese aber nicht erkennen, oder findet beim Anschluss eines neuen Gertes keinen Treiber, erscheint eine Mitteilung, dass das Gert nicht installiert
werden konnte.
Wie im einem solchen Fall zu verfahren ist und wie Sie am besten mit
Treiberproblemen umgehen, erfahren Sie in Abschnitt 2.3 ab Seite 115.
Einsatz von Hot-Plug-Gerten

Abhngig u.a. vom verwendeten Bustyp knnen Plug&Play-Gerte im laufenden System installiert bzw. aus diesem entfernt werden (Hot-Plug).
Hierzu zhlen beispielsweise USB- und Firewire-(IEEE 1394-)Gerte. Das
Betriebssystem erkennt das Einstecken bzw. Entfernen derartiger Hardwaregerte automatisch und verwaltet die System- und/oder Hardwarekonfiguration entsprechend. Gerte, die den Hot-Plug-Modus nicht untersttzen,
wie beispielsweise PCI-Karten, mssen beim Systemstart eingebaut bzw.
angeschlossen und eingeschaltet sein, um automatisch erkannt zu werden.
Bezglich des Umgangs mit Speichergerten (externe USB-Flashlauf- Hot-Plug-Gerte
werke, Firewire-Festplatten, USB-Memorysticks u.a.) ist hierbei Folgen- sicher entfernen
des zu beachten. Mglicherweise erscheint beim Anschlieen eines Gertes das nachfolgend gezeigte Dialogfeld.
Wird hier die Option berprfen und reparieren (empfohlen) ausgewhlt,
bietet Windows 7 anschlieend die Mglichkeit, eine Datentrgerprfung
zu starten.
Abbildung 2.2
Fehlermeldung beim
Anschlieen eines
USB-Gerts
Das Problem kann auftreten, wenn das Speichergert entfernt wurde, bevor Problembereich
alle Informationen auf dem Gert korrekt gespeichert werden konnten. Um Schreibcache
das zu vermeiden, sollte ein Gert, sofern dieses ber eine Aktivittsanzeige
verfgt, erst ein paar Sekunden nach Erlschen der Aktivittsanzeige entfernt werden. Noch sicherer ist es, die Funktion Hardware sicher entfernen zu
verwenden, die im Infobereich der Taskleiste zu finden ist. Hierbei wird das
System darber informiert, dass ein Gert entfernt werden soll. Dieses veranlasst u.a. die Datenbertragung, das Gert anzuhalten und den Schreibcache zu leeren bzw. zu speichern. Pltzliches Entfernen ist besonders fr
Speichergerte gefhrlich, fr die zur Steigerung der Schreib-Performance
der Schreibcache aktiviert ist, denn wenn derartige Gerte pltzlich entfernt
werden, kann es zu Datenverlusten oder -beschdigungen kommen.
99
Ob der Schreibcache fr ein Gert aktiviert ist, kann in den Eigenschaften

des betreffenden Gertes im Gerte-Manager ermittelt werden.
Eine schnelle Mglichkeit, Anwendungen zu starten, bietet das Suchfeld des Startmens. Im Falle des Gerte-Managers gengt bereits die
Eingabe der Buchstaben Gerte, um alle Anwendungen zur Verwaltung
von Gerten aufgelistet zu erhalten.
Um die gewhlten Einstellungen des Schreibcaches fr das Gert anzuzeigen und gegebenenfalls zu ndern, ist im Gerte-Manager die Eigenschaftenseite und anschlieend die Registerkarte Richtlinien zu whlen. Falls
diese Registerkarte nicht angezeigt wird, steht die Option fr das ausgewhlte Gert nicht zur Verfgung.
Abbildung 2.3
Deaktivierung des
Schreibcaches bei
einem Hot-Plugfhigen Gert
Standardeinstellungen
Standardmig verwendet Windows 7 die folgenden Einstellungen hinsichtlich der Aktivierung des Schreibcaches fr Speichergerte:
Der Schreibcache wird standardmig fr externe Hochleistungsspeichergerte (wie IEEE 1394-Festplatten und SCSI-Festplatten) und darber hinaus fr computerinterne Speichergerte, die bautechnisch nicht
pltzlich entfernt werden knnen, aktiviert.
Bei als extern erkannten Speichergerten, wie beispielsweise USB-Flashspeichergerten oder Festplatten am USB-Anschluss, wird der Schreibcache standardmig deaktiviert, indem die Funktion Schnelles Entfernen
aktiviert wird. Damit knnen solche Gerte grundstzlich whrend des
laufenden Betriebes ohne weitere Vorbereitungen entfernt werden.
Auch wenn ein Gert fr das schnelle Entfernen aus dem System optimiert
ist, empfiehlt es sich zu berprfen, ob im Infobereich das Symbol fr Hardware sicher entfernen angezeigt wird, und diese Funktion dann trotzdem zu
verwenden.
Automatische
Wiedergabe
100
Welche Aktionen Windows nach dem Anschluss eines solchen Gertes startet, ist u.a. abhngig von den Einstellungen der automatischen Wiedergabe.
Die Automatische Wiedergabe ist eine Funktion von Windows, die eine Festlegung ermglicht, welche Programme verwendet werden sollen, um verschiedene Arten von Medien zu starten, beispielsweise Musik-CDs oder
CDs und DVDs mit Fotos und welche Aktionen bei Anschluss von Gerten
durchgefhrt werden sollen. Sind auf dem Computer mehrere Medienwiedergabeprogramme installiert, kann der Computer so eingerichtet werden,
dass eine CD oder DVD beim Einlegen automatisch mit dem gewnschten
Programm abgespielt wird.
Die Funktion erinnert damit an die auch in lteren Windows-Versionen

verfgbare Funktion Autorun, unterscheidet sich von dieser aber durch
die umfangreichen Konfigurationsmglichkeiten.
Abbildung 2.4
Ausschnitt aus dem
Dialogfeld zur
Konfiguration der
Einstellungen fr
die automatische
Wiedergabe beim
Anschluss von
Medien und Gerten
2.1.2
Gerte manuell installieren
Nicht Plug&Play-fhige Gerte sind zwar selten geworden, aber durchaus noch im Einsatz. Hierzu gehren beispielsweise Gerte, die an der
seriellen Schnittstelle angeschlossen werden, sowie manche Drucker. Bei
diesen Gerten sind zwingend Benutzereingriffe erforderlich. Aber auch
bei Plug&Play-fhigen Gerten kann eine manuelle Installation erforderlich werden, beispielsweise wenn ein Gert, das erst spter angeschlossen
wird, installiert werden soll.
Neue Gerte installieren im Bereich Gerte und Drucker

Wie bereits zuvor beschrieben, gibt es auch unter Windows 7 noch den vertrauten Gerte-Manager, doch rckt dieser mit der neu in Windows 7 eingefhrten Funktion Gerte und Drucker zumindest fr die Anwender in den
Hintergrund. Hier knnen alle zustzlich angeschlossenen Hardware und
mobilen Gerte an einer zentralen Stelle verwaltet werden. Die DeviceStage-Funktion kann zudem fr jedes der angeschlossenen Gerte die entsprechenden Treiber und Updates automatisch herunterladen und aktualisieren. Mssen bei den Vorgngerversionen beispielsweise zur Verwaltung
101
von Druckern, Scannern, Handys oder MP3-Playern noch unterschiedliche

Funktionen und Fenster geffnet werden, zeigt Windows 7 alle Gerte, die
an den Computer angeschlossen sind, nun in einem einzigen Fenster.
Zu finden ist die Funktion Gerte und Drucker unterhalb von Hardware und
Sound in der Systemsteuerung. Hier knnen zentral die Eigenschaften der
Hardware konfiguriert, Problemgerte behandelt, aber auch Gerte einschlielich Drucker hinzugefgt werden. Die Option Gert hinzufgen startet die automatische Suche nach neuen Gerten, die Option Drucker hinzufgen ermglicht die Installation eines neuen Druckers.
Abbildung 2.5
Zentrale Verwaltung aller Peripheriegerte im Bereich
Gerte und Drucker
Installation mit dem Hardware-Assistenten

Den vertrauten Hardware-Assistenten von Windows XP sucht man im Ordner Gerte und Drucker jedoch vergeblich. Dieser versteckt sich im GerteManager und kann hier mithilfe der Option Lecacyhardware hinzufgen im
Men Aktion aufgerufen werden. Mithilfe des Assistenten kann Treibersoftware fr (ltere) Gerte installiert werden, die nicht automatisch erkannt
werden.
Eine schnelle Mglichkeit, den Gerte-Manager zu starten, bietet das
Suchfeld des Startmens. Hier gengt bereits die Eingabe der Buchstaben Gerte, um alle Anwendungen zur Verwaltung von Gerten aufgelistet zu erhalten.
102
Der Hardware-Assistent kann sowohl verwendet werden, um neue Hardware zu installieren, als auch um Probleme mit bestehender Hardware
anzugehen. Das Entfernen von Gerten oder Treibern ist jedoch mit dem
Hardware-Assistenten nicht mglich. Wie bei den Vorgngerversionen von
Windows 7 mssen Gerte manuell im Gerte-Manager entfernt werden.
Die Installation neuer Hardware mithilfe des Assistenten umfasst die folgenden Schritte:
1. Schlieen Sie das Gert an den Computer an, schalten Sie es ein, und Vorgehensweise
starten Sie den Hardware-Assistenten.
2. Im ersten Schritt ist anzugeben, ob Windows automatisch nach zu
installierender Hardware suchen soll oder ob Sie das Gert selbst aus
einer Liste auswhlen wollen. Anders als bei der automatischen Erkennung Plug&Play-fhiger Gerte berprft Windows bei dieser Aktion
auch solche Anschlsse, an die keine Plug&Play-Gerte angeschlossen
werden knnen. Hufig ist es sinnvoll, zuerst Windows suchen zu lassen und gegebenenfalls spter manuell den Treiber zu whlen.
3. Findet das System kein neues Gert, bietet das System an, das Gert
manuell auszuwhlen. Whlen Sie zuerst den Gertetyp aus, wird
anschlieend eine Liste aller in der Treiberdatenbank gefundenen Treiber, sortiert nach Hersteller, angezeigt. Wenn Sie dagegen einen passenden Treiber vom Hersteller beispielsweise auf CD-ROM haben, benutzen Sie hier die Schaltflche Datentrger.
4. Ist die Auswahl besttigt, versucht Windows 7, die passenden Treiber
zu installieren und das Gert so in die gegebene Konfiguration einzufgen, dass keine Gertekonflikte auftreten. In einigen Fllen ist ein
Neustart des Systems erforderlich.
Abbildung 2.6
Manuelle Auswahl
eines Treibers im
Hardware-Assistenten
Mit dem beschriebenen Verfahren knnen auch Treiber fr Gerte installiert werden, die noch nicht angeschlossen sind.
103
Treiberdateien eines Herstellers installieren

Liefert ein Hersteller mit seinem Gertetreiber ein Installationsprogramm,
empfiehlt es sich, dieses zu verwenden. Hierbei sollte den jeweiligen
Anweisungen des Herstellers gefolgt werden.
INF-Datei
installieren
Befindet sich auf der Treiber-CD-ROM des Herstellers eine INF-Datei, kann
die Installation auch direkt mithilfe dieser Datei gestartet werden. Hierzu ist
die Option Installieren zu verwenden, die im Kontextmen einer jeden INFDatei zu finden ist. Diese Installationsmethode wird unter Windows 7 jedoch
nicht von allen INF-Dateien untersttzt.
Eine schnelle Mglichkeit, den Gerte-Manager zu starten, bietet das
Suchfeld des Startmens. Hier gengt bereits die Eingabe der Buchstaben
Gerte, um alle Anwendungen zur Verwaltung von Gerten aufgelistet zu
erhalten.
Abbildung 2.7
Installation eines
Treibers aus dem
Kontextmen der
INF-Datei heraus
starten
2.2
Gerte verwalten
Wie im vorherigen Abschnitt ausgefhrt, ist bei Windows 7 die Funktion

Gerte und Drucker die zentrale Benutzerschnittstelle zur Verwaltung
zustzlich installierter Gerte. Aber auch der Gerte-Manager spielt nach
wie vor eine wichtige Rolle, vor allem zur Behebung von Problemen mit
Gerten. Beide Schnittstellen erlutert dieser Abschnitt.
2.2.1
Gerteverwaltung mit der Funktion

Gerte und Drucker
Mit Gerte und Drucker hat Microsoft eine neue Funktion in Windows 7 eingefhrt. Mithilfe dieser Funktion knnen Anwender alle extern anzuschlieenden Gerte zentral verwalten. Dabei werden dank der DeviceStage-
104
Gerte verwalten
Funktion alle genau zu dem Gert passenden Funktionen aufgelistet. Dies

kann bei einem Handy der Ladezustand des Akkus und die Information darber sein, wie viele Bilder oder MP3-Dateien auf dem Gert abgelegt sind.
Im Ordner Gerte und Drucker knnen die folgenden Gerte verwaltet werden:
Der Computer selbst
Mobile Gerte, die gelegentlich mit dem Computer verbunden werden
wie beispielsweise Mobiltelefone, tragbare Musikwiedergabegerte
und Digitalkameras.
Alle USB-Gerte, wie beispielsweise externe USB-Festplattenlaufwerke, Flashlaufwerke, Webcams, Tastaturen und Muse.
Alle mit dem Computer verbundenen Drucker, unabhngig davon, ob
diese mit einem USB-Kabel, ber das Netzwerk oder drahtlos angebunden sind.
Mit dem Computer verbundene Drahtlosgerte, beispielsweise Bluetooth-Gerte und Drahtlos-USB-Gerte.
Mit dem Computer verbundene Gerte im Netzwerk, wie beispielsweise netzwerkfhige Scanner oder NAS-Gerte (Network Attached
Storage).
Gerte verwalten
Die neue Gerteansicht bildet, sofern verfgbar, alle Gerte mit einem
fotorealistischen Symbol ab, sodass das zu verwaltende Gert auf einen
Blick erkannt werden kann. Alle aufgelisteten Gerte stellen in ihrem
Kontextmen entsprechende Optionen zur Verwaltung bereit. Zustzlich
werden in der Symbolleiste fr das gewhlte Gerte verfgbare Funktionen bereitgestellt.
Abbildung 2.8
Funktionen zur
Verwaltung eines
ausgewhlten
Gertes
105
Die Funktionen des DeviceStage dienen dazu, Anwendern einen einfachen Zugriff auf angeschlossene Gerte zu ermglichen. Hierfr sind
keine administrativen Rechte erforderlich. Administrative Aufgaben,
wie beispielsweise die Installation eines neuen Treibers, die Administratorrechte erfordert, stehen deshalb hier nicht zur Verfgung. Hierfr ist
der Gerte-Manager zu verwenden.
Sind fr ein Gert DeviceStage-Informationen verfgbar, gengt ein Doppelklick, um eine mageschneiderte Bedienoberflche fr dieses Gert zu
ffnen.
Abbildung 2.9
DeviceStage-Funktionen ermglichen
den Zugriff auf alle
wichtigen Funktionen eines Gertes.
Ob fr ein Gert DeviceStage-Informationen vorhanden sind oder nicht,

zeigt ein Blick in das Kontextmen. Befindet sich im Kontextmen der
Befehl ffnen, kann damit die DeviceStage-Ansicht des Gerts geffnet werden. Fehlt der ffnen-Befehl, gibt es fr dieses Gert (noch) keine DeviceStage-Ansicht.
Bei mobilen Gerten mit DeviceStage-Untersttzung stehen gegebenenfalls zudem erweiterte, gertespezifische Funktionen zur Verfgung (beispielsweise Synchronisieren mit einem Mobiltelefon oder ndern von
Klingeltnen). Wird beispielsweise eine Kamera an den Windows 7-Rechner angeschlossen, dann hat der Anwender Zugriff auf alle ihre Funktionen und kann die dort abgelegten Bilder mit dem Rechner synchronisieren,
vorausgesetzt der Hersteller stellt die entsprechenden Informationen fr
den DeviceStage bereit. Soll eine bestimmte Aktion jedes Mal ausgefhrt
werden, wenn das Gert angeschlossen wird, kann dies ebenfalls festgelegt
werden. Diese Einstellungen entsprechen den Festlegungen der Funktion
Automatische Wiedergabe (siehe hierzu den Abschnitt 2.1.1 ab Seite 96).
Technisch werden die Gerteinformationen ber ein XML-Dokument bereitgestellt, das vom Hersteller des Gertes zu erstellen ist. Dieses XML-Doku-
106
Gerte verwalten
ment muss von Microsoft signiert und wieder an die Hersteller zurckgegeben werden, damit dieser es mit seinem Gert ausliefern kann.
Windows speichert die DeviceStage-Pakete u.a. im Device MetaData Cache.

Dieser Speicher befindet sich im Ordner %PROGRAMDATA%\Microsoft\
DeviceStage. Die einzelnen Pakete liegen hier unkomprimiert vor.
Abbildung 2.10
DeviceStage-Fenster bei Anschluss
einer Digitalkamera
Tritt bei einem Gert ein Problem auf, wird dieses mit einem gelben Warn- Problemsymbol gekennzeichnet. Dies kann bedeuten, dass ein Problem mit dem behandlung
Treiber besteht oder ein Gertekonflikt vorliegt. Mithilfe der Funktion Problembehandlung kann das System selbststndig versuchen, das Problem zu
erkennen und zu beheben.
Die nachfolgende Abbildung zeigt das Ergebnis einer durchgefhrten
Problembehandlung.
Abbildung 2.11
Ausfhrlicher
Problembehandlungsbericht nach
erfolgter Problembehandlung
107
DeviceStage-Einstellungen konfigurieren
Auch wenn Sie in den Windows Update-Einstellungen festgelegt haben,
dass alle wichtigen und empfohlenen Updates automatisch heruntergeladen und installiert werden, erhalten Sie nicht automatisch alle fr die
Gerte verfgbaren aktualisierten Treiber. Ausfhrliche Informationen
zum Windows Update-Dienst finden Sie in Kapitel 1.
Zustzlich knnen aber die Einstellungen so konfiguriert werden, dass in
Windows Update berprft wird, ob neue Treiber, Informationen oder Symbole fr die angeschlossene Hardware verfgbar sind. Um die Einstellungen anzupassen, ist im Ordner Gerte und Drucker die im Kontextmen des
Computers verfgbare Option Gerteinstallationseinstellungen zu verwenden. Anschlieend kann beispielsweise festgelegt werden, dass Windows
Update immer aktualisierte Treibersoftware und Symbole verwendet.
Abbildung 2.12
Windows UpdateEinstellungen fr
aktualisierte Treiber
und Symbole konfigurieren
2.2.2
Gerteverwaltung im Gerte-Manager
Der Gerte-Manager ist auch unter Windows 7 unentbehrlich. Als Schnittstelle fr Administratoren kann er verwendet werden, um Gerte zu aktivieren oder zu deaktivieren, Probleme bei Gerten zu beheben, Treiber zu
aktualisieren, ein Treiber-Rollback durchzufhren und um die Ressourcenzuweisung fr ein Gert zu ndern. Und im Gegensatz zur Funktion Gerte
und Drucker werden hier nicht nur extern angeschlossene Gerte verwaltet,
sondern auch interne Gerte wie Grafikkarten, Controller, Netzwerkadap-
108
Gerte verwalten
ter und Systemgerte. Da dies weitreichende nderungen darstellt, sind

fr den Zugriff auf den Gerte-Manager Administratorrechte erforderlich.
2
Abbildung 2.13
Der Zugriff auf den
Gerte-Manager
erfordert administrative Rechte.
Zum ffnen des Gerte-Managers stehen verschiedene Optionen zur Verf- Gerte-Manager
gung. Ein schneller Zugriff auf den Gerte-Manager ist durch Eingabe von starten
Gerte im Suchfeld des Startmens mglich. Anschlieend ist die entsprechende Option zu whlen. Weiterhin ist der Zugriff auf den Gerte-Manager
u.a. mglich im Bereich Hardware und Sound der Systemsteuerung, innerhalb
der Konsole Computerverwaltung und auch im Fenster Gerte und Drucker
per Rechtsklick auf eine freie Flche.
Die nachstehende Abbildung zeigt die Benutzeroberflche des GerteManagers. Bei jedem Start des Computers bzw. bei jeder dynamischen
nderung der Computerkonfiguration, beispielsweise beim Hinzufgen
eines neuen Gerts in das laufende System, wird die Anzeige aktualisiert.
Abbildung 2.14
Liste der verfgbaren Gerte im
Gerte-Manager
(Anzeige sortiert
nach Gertetyp)
Ansichten des Gerte-Managers

Innerhalb des Gertebaums werden die Gerte (bei Auswahl der Ansicht Option Ansicht
Gerte nach Typ) in Typklassen sortiert angezeigt. Mithilfe der Option Ansicht
knnen die Gerte in vier verschiedenen Ansichten dargestellt werden:
109
Gerte nach Typ
Hierbei handelt es sich um die Standardansicht. Zu den Gertetypen

gehren beispielsweise Laufwerke, Netzwerkadapter und Systemgerte.
Gerte nach Verbindung
Diese Ansicht zeigt, wie Gerte miteinander verbunden sind. Dies kann
beispielsweise ntzlich sein, wenn Gerte an einen USB-Hub angeschlossen und diese dann mit anderen Gerten verbunden werden. Hiermit ist
ersichtlich, wo sich die jeweiligen Gerte in der Verbindungskette befinden.
Ressourcen nach Typ
Diese Ansicht zeigt die vier Standardressourcentypen und alle weiteren, die im System konfiguriert sind. Die vier Standardsystemressourcentypen sind:
Arbeitsspeicher
Direkter Speicherzugriff (DMA)
Ein-/Ausgabe (E/A)
Interruptanforderung (IRQ)
Angezeigt wird eine Liste der Gerte, die eine Ressource des jeweiligen Typs verwenden.
Ressourcen nach Verbindung
Diese Ansicht zeigt die vier Standardressourcentypen und alle weiteren,

die im System konfiguriert sind. Angezeigt werden die Gertetypen, die
eine Ressource des jeweiligen Typs verwenden. Auerdem wird dargestellt, wie diese Gertetypen verbunden sind. Diese Ansicht ist hilfreich,
um festzustellen, ob ein untergeordnetes Gert mehr Speicherressourcen bentigt, als dem bergeordneten Gert zur Verfgung stehen.
Abbildung 2.15
Der GerteManager in
der Ansicht
Ressourcen
nach Typ
Gerte verwalten im Gertebaum

Anhand spezifischer Symbole knnen Problemgerte im Gertebaum leicht
erkannt werden:
110
Gerte verwalten
Problemgerte werden mit einem gelben Ausrufezeichen gekennzeich-
Problemgerte
net. Das kann bedeuten, dass ein Problem mit dem Treiber besteht oder erkennen
ein Gertekonflikt vorliegt. Das gelbe Ausrufezeichen kann aber auch
darauf hinweisen, dass ein installiertes Gert vom System entfernt worden ist, beispielsweise ein Zip-Laufwerk. Zustzliche Hinweise liefert
der Fehlercode, der in dem Eigenschaftendialogfeld des Gerts zu finden ist.
Ein deaktiviertes Gert wird durch einen nach unten gerichteten schwarzen Pfeil markiert. Deaktivierte Gerte knnen jederzeit wieder aktiviert
werden.
Ausfhrliche Hinweise zum Umgang mit Treiberproblemen finden Sie
in Abschnitt 2.3 ab Seite 115.
Aber nicht nur bei der Analyse von Problemgerten ist der Gerte-Manager
hilfreich. Vielmehr bietet das Eigenschaftendialogfeld der einzelnen Gerte
Zugriff auf eine Reihe ntzlicher Funktionen. Bei fast allen Gerten finden
sich mindestens die drei Registerkarten Allgemein, Treiber und Details u.a.
mit den folgenden Bereichen:
Informationen zum Treibernamen, Hersteller, Datum, zur Version und
zur digitalen Signatur.
Ausfhrliche Gertebeschreibungen mit Kennungen (Hardware-ID,
Gerteklasse, Treiberschlssel u.a.) und diverse Statuskennungen.
Optionen fr das Aktualisieren, das Treiber-Rollback und das Deinstallieren des Treibers.
Abhngig vom ausgewhlten Gert sind weitere Registerkarten mit ger- Gertespezifitespezifischen Funktionen vorhanden. So befindet sich beispielsweise in sche Funktionen
dem Eigenschaftendialogfeld von Netzwerkadaptern die Registerkarte
Erweitert mit Optionen beispielsweise zur Konfiguration des Duplexmodus und der bertragungsrate.
Abbildung 2.16
Konfiguration einer
Netzwerkkarte im
Gerte-Manager
111
Ausfhrliche zustzliche Informationen sind auch fr USB-Gerte im

Bereich USB-Controller verfgbar. Fehlt diese Komponente, ist die USBUntersttzung mglicherweise im BIOS des Computers deaktiviert.
Fr die USB-Anschlsse liegen separate Eintrge vor. Unterhalb von USBController sind mindestens einmal die folgenden Komponenten aufgefhrt:
USB universeller Host-Controller
USB-Root-Hub
Anzeige von
Bandbreitenverwendung und
Energiebedarf
Um den Gertestatus und die Bandbreite der angeschlossenen Gerte zu

berprfen, ffnen Sie die Registerkarte Erweitert in den Eigenschaften von
USB universeller Host Controller. Hier knnen Sie berprfen, wie viel Bandbreite jeder Controller verwendet.
In den Eigenschaften von USB-Root-Hub kann zudem der Energiebedarf
der angeschlossenen Gerte ermittelt werden.
Abbildung 2.17
berprfung der
Eigenschaften von
USB-Gerten
2.2.3
Treiber aktualisieren
Sei es, dass zunchst mit unsignierten Treibern gearbeitet wurde oder ein
Update fr einen Treiber verfgbar ist, es gibt immer wieder Situationen,
in denen es notwendig ist, einen Treiber zu aktualisieren.
Am einfachsten lsst sich dies mithilfe der Option Treiber aktualisieren erledigen, die im Gerte-Manager im Kontextmen des zu aktualisierenden
Gertes zu finden ist.
Die Option startet einen Assistenten, der anbietet, automatisch nach aktueller Treibersoftware zu suchen oder von einer auszuwhlenden Quelle
manuell zu installieren. Der weitere Vorgang unterscheidet sich im Grunde
nicht von der Erstinstallation. Wird kein aktuellerer Treiber gefunden,
erscheint ein entsprechender Hinweis.
112
Gerte verwalten
Abbildung 2.18
Den Treiber fr ein
installiertes Gert
aktualisieren
Bei der automatischen Suche durchsucht Windows auch das Windows Suche ber WinUpdate-Treiber-Repository im Internet, sofern die entsprechende Funk- dows Update
tion in den Gerteinstallationseinstellungen aktiviert wurde.
Abbildung 2.19
Besttigungsdialogfeld zur Onlinesuche
2.2.4
Gerte deinstallieren
Plug&Play-Gerte mssen im Normalfall nicht deinstalliert werden. Es

gengt, die Gerte vom Computer zu trennen oder zu entfernen, damit
Windows den Treiber nicht mehr ldt oder verwendet.
Wird ein nicht Plug&Play-fhiges, installiertes Gert nicht mehr bentigt,
muss es jedoch im Gerte-Manager entfernt werden. Dies kann entweder im
Eigenschaftendialogfeld auf der Registerkarte Treiber oder im Kontextmen des Gertes mittels der Option Deinstallieren erfolgen. Windows 7
entfernt dabei den Treiber des Gerts und aktualisiert die Anzeige des
Gertebaums.
113
Abbildung 2.20
Hardware im
Gerte-Manager
deinstallieren
Anstatt ein Gert zu deinstallieren, das mglicherweise spter erneut

angeschlossen wird, ist es mglicherweise sinnvoller, dieses zu deaktivieren. In diesem Fall kann das Gert weiterhin physisch mit dem Computer verbunden bleiben, von Windows wird jedoch die Systemregistrierung aktualisiert, sodass die Gertetreiber fr das Gert beim Starten
des Computers nicht mehr geladen werden.
2.2.5
Starttyp fr nicht Plug&Play-fhige

Gerte ndern
Bei nicht Plug&Play-fhigen Gerten wird beim erstmaligen Installieren

eines Treibers standardmig der von dem Treiber bentigte Starttyp eingestellt. Bei Problemen mit diesem Gert kann es erforderlich sein, den
Starttyp zu ndern.
Dies ist mglich im Gerte-Manager im Bereich Nicht-PnP-Treiber des Gertebaums. Dieser Bereich wird nur angezeigt, wenn im Men Ansicht die
Option Ausgeblendete Gerte anzeigen aktiviert ist.
StarttypOptionen
114
Fr den Starttyp knnen die nachstehenden Optionen verwendet werden:

Automatisch: Startet das Gert bei jedem Systemstart, nachdem die Startund Systemgerte gestartet wurden. Diese Option sollte fr Gerte
gewhlt werden, die fr den grundlegenden Systembetrieb nicht relevant sind.

Start: Startet das Gert bei jedem Systemstart, bevor andere Gerte
gestartet werden. Diese Option sollte fr systemkritische Gerte gewhlt

werden, die fr den Systembetrieb entscheidend sind.
Bei Bedarf: Startet das Gert, wenn das Gert erkannt oder fr ein
bestimmtes Ereignis bentigt wird. Diese Option sollte fr Gerte
gewhlt werden, die fr den grundlegenden Systembetrieb nicht entscheidend sind.
System: Startet das Gert bei jedem Systemstart (nach erfolgtem Start
der Startgerte). Diese Option sollte gewhlt werden, um kritische
Gerte auszuwhlen, die fr den Systembetrieb entscheidend sind.
Abbildung 2.21
Die Startart fr
einen nicht
Plug&Playfhigen Gertetreiber festlegen
2.3
Mit Treiberproblemen richtig

umgehen
Whrend bei frhen Windows-Systemen Gerteprobleme meist durch

Ressourcenkonflikte verursacht wurden, spielen diese heute nur noch
eine untergeordnete Rolle. Das Ressourcen-Management von Windows 7
bei Plug&Play-Gerten funktioniert in der Regel problemlos, und auch
nicht Plug&Play-Gerte knnen problemlos in das System eingebunden
werden.
Treten dennoch Probleme auf, werden diese in der Regel von nicht kompatiblen bzw. nicht richtig funktionierenden Gertetreibern verursacht.
Der folgende Abschnitt behandelt die hufigsten Problembereiche und
deren Lsungsmglichkeiten.
115
2.3.1
Das Treibermodell von Windows 7
Hinter einem Treiber verbirgt sich ein ganzes Paket mit Treiberdateien.
Dies beinhaltet mindestens die System-Treiberdateien und gegebenenfalls weitere Treiberdateien, die Zugriff mittels DLL-Anwendungen auf
verschiedene Hardware ermglichen.
Die Treiberdateien installierter Treiber knnen im Gerte-Manager in den
Eigenschaften des jeweiligen Treibers auf der Registerkarte Treiber unter
Treiberdetails angezeigt werden.
Abbildung 2.22
Treiberdateien am
Beispiel eines
GrafikkartenTreibers
Kompatible Treiber mssen entweder von Windows 7 selbst oder vom

Gertehersteller zur Verfgung gestellt werden. Bei den meisten Gerten
funktionieren auch die Windows Vista-Treiber, und sogar die Verwendung von Windows XP-Treibern ist zumindest teilweise mglich.
Anforderungen
an Treiber
116
Dies hngt damit zusammen, dass Microsoft bereits mit Windows Vista
eine Reihe von nderungen am Treibermodell vollzogen hat, das auch
Windows 7 verwendet. Treiber, die fr Vorgngerversionen erstellt wurden, sind damit aber nur noch bedingt einsatzfhig. Hierbei lassen sich
die folgenden Problembereiche lokalisieren:
Die mit Windows Vista neu eingefhrte Benutzerkontensteuerung (User
Account Control, UAC) fhrt dazu, dass in der Standardeinstellung jede
Anwendung mit den Rechten eines Standardbenutzers ausgefhrt wird,
auch wenn ein Mitglied der Administratorgruppe angemeldet ist. Wird
eine Anwendung gestartet, fr die Administratorberechtigungen erforderlich sind, muss diese explizit besttigt werden. Diese Funktion hat
auch auf den Installationsprozess von Treibern Auswirkungen.
Bei Einsatz einer 64-Bit-Windows 7-Edition mssen alle Treiber digital
signiert sein. Nicht signierte Treiber werden nicht untersttzt und
knnen in x64-basierten Windows 7-Editionen nicht installiert werden. Die Prfung der digitalen Signatur erfolgt sowohl whrend der
Installation als auch in der Zeit, in welcher der Treiber geladen wird.
Das Grafik-Treibermodell von Windows 7 basiert auf dem Windows
Display Driver Model (WDDM). Auf dieses setzt u.a. auch der Multimediastandard DirectX 10 auf, der bereits mit Windows Vista Einzug
gehalten hat. Zwar luft Windows 7 auch mit DirectX 9, das ShaderModell 4.0 sowie WDDM werden jedoch nur von DirectX 10 benutzt.
Zustzlich untersttzt Windows 7 die Version DirectX 11.
Whrend jedoch unter Windows Vista die verbesserten Grafikeffekte von
DirectX 10 nur mit der entsprechenden DirectX 10-tauglichen Hardware
genutzt werden knnen, ermglicht es Windows 7 mittels der neuen
Funktion Direct3D 10Level9 DirectX-10, auch auf alter Hardware auszufhren. Besitzer einer DirectX 9-Grafikkarte beispielsweise knnen
also auch Direct3D 10-Effekte nutzen, was allerdings zulasten der Performance geht.
nderungen gegenber Windows XP hat es im Treibermodell auch
fr Soundgerte gegeben. Diese sind teilweise noch umfangreicher als
im Grafikbereich. Im Gegensatz zu den Vorgngern ist der AudioHAL nicht mehr im System integriert. Dies fhrt dazu, dass Anwendungen (u.a. Spiele) nicht mehr direkt auf die Hardware der Soundkarte zugreifen knnen, mit deren Hilfe die Surround-Effekte erstellt
werden. Somit sind alle EAX-Effekte, die sich als Quasistandard
durchgesetzt haben, unter Vista und Windows 7 nicht mehr nutzbar.
Windows 7 stellt derartige Funktionalitten nunmehr ber den eigenen Softwaremixer zur Verfgung, wobei jedoch nicht alle EAXEffekte angeboten werden. Um die EAX-Funktionalitten trotzdem
nutzen zu knnen, ist ein Umweg ber die Open AL-Schnittstelle
erforderlich.
Der TCP/IP-Protokolltreiber von Windows 7 wurde auf NDIS 6.20
aktualisiert. Neben Windows 7 untersttzt auch Windows Server 2008
die Netzwerktreiber-Spezifikation NDIS 6.20. Zu den wichtigsten
Neuerungen von NDIS 6.20 gehrt neben der Power-ManagementSchnittstelle die Untersttzung von mehr als 64 Prozessoren.
Abwrtskompatibilitt bietet NDIS 6.20 allerdings nur fr die NDISVersionen 6.1 und 6.0. NDIS 5.0 und frhere NDIS-Treiber werden von
Windows 7 nicht mehr untersttzt. Nicht mehr untersttzt werden
auch IrDA-Miniporttreiber, ATM- und Token-Ring-Treiber, WAN-Miniport-Treiber sowie 802.11-Treiber, die 802.3 emulieren.
Abgesehen von den genannten Punkten, die definitiv eine Weiterverwendung lterer Treiber unter Windows 7 verhindern, ist es leider nicht mglich, im Vorfeld zu bestimmen, ob ein vorhandener Treiber unter Windows 7 funktioniert. Dies lsst sich nur durch Ausprobieren feststellen.
117
NDIS Network Device Interface Specification

NDIS ist eine Treiberspezifikation von Microsoft und 3Com, welche die
Verbindung zwischen Betriebssystem und LAN-Adapter spezifiziert.
NDIS setzt auf OSI-Schicht zwei und drei auf und besteht aus drei Komponenten (MAC-Treiber, Protokolltreiber und Protokoll-Manager).
Durch den modularen Aufbau wird eine Unabhngigkeit des Adapters von den hheren ISO/OSI-Protokollen erreicht. Damit erlaubt es
NDIS, bis zu vier Protokoll-Stacks gleichzeitig ber eine Karte laufen
zu lassen (beispielsweise TCP/IP, NWLink und OSI). NDIS ist in den
aktuellen Windows-Versionen in folgenden Versionen implementiert:
NDIS 6.20: Windows 7
NDIS 6.1: Windows Server 2008/Windows Vista SP1
NDIS 6.0: Windows Vista
NDIS 5.2: Windows Server 2003 SP2
NDIS 5.1: Windows XP/Windows Server 2003
2.3.2
Probleme whrend der

Beim Auftreten von Problemen bei der Installation knnen mehrere Situationen unterschieden werden. In allen Fllen ist zwingend der Eingriff des
Benutzers erforderlich.
Fehlermeldung beim Installieren eines Gertes

Kann Windows 7 ein Gert nicht erkennen oder treten Probleme mit der
Installation des Treibers auf, wird das Gert im Gerte-Manager als Problemgert unter Andere Gerte aufgefhrt und mit einem Ausrufezeichen gekennzeichnet. Der Gertestatus liefert dabei eine Beschreibung des Problems und
einen Fehlercode. Konnte ein Gert nicht installiert werden, wird meist der
Fehlercode 28 Die Treiber fr dieses Gert wurden nicht installiert ausgegeben. In diesem Fall muss der Treiber manuell installiert werden.
In diesem Fall sollten zunchst die folgenden Arbeitsschritte durchgefhrt werden:
Starten Sie den Computer neu. Das Neustarten des Computers kann
helfen, wenn ein Treiber nicht korrekt installiert wurde.
Wenn es sich bei dem Gert um ein USB-Gert handelt, trennen Sie es,
und schlieen Sie es dann an einen anderen USB-Anschluss an. Liegt
das Problem beim USB-Anschluss, sollte nun das Gert von Windows
erkannt und die Treiber sollten installiert werden.
118

Abbildung 2.23
Das Gert kann
nach der Installation
der Treibersoftware
nicht gestartet
werden.
In der Mehrzahl der Flle liegt jedoch eine Inkompatibilitt vor, beispiels- Typischer Fehler
weise weil ein Treiber installiert wurde, der fr eine frhere Windows-Ver- bei Inkompatibision entwickelt wurde. Versuchen Sie in diesem Fall zunchst, einen aktuel- litt
len Treiber ber Windows Update zu laden. Hierzu kann im Kontextmen
des Gertes die Option Treibersoftware aktualisieren auf der Registerkarte
Treiber verwendet werden. Bei der automatischen Suche durchsucht Windows auch das Windows Update-Treiber-Repository im Internet, sofern die
entsprechende Funktion in den Gerteinstallationseinstellungen aktiviert
wurde (siehe hierzu den Abschnitt 2.2.2 ab Seite 108). In einigen Fllen kann
es erforderlich sein, den Aktualisierungsprozess mehrfach durchzufhren.
Die Aktualisierung eines Treibers ist auch erforderlich, wenn ein Treiber
akzeptiert und installiert wurde, das Gert aber nur unzureichend mit diesem Treiber luft.
Bleibt die Suche erfolglos, sollte versucht werden, vom Hersteller einen
kompatiblen Treiber oder Software zu erhalten. Beispielsweise funktionieren unter Windows Vista und Windows 7 einige USB-Headsets der Firma
Sennheiser nicht mehr. Sennheiser stellt aber fr die betroffenen Headsets
eine Software zum Firmware-Update zur Verfgung, die das Problem
behebt.
Steht fr ein Problemgert kein neuer Treiber zur Verfgung, bleibt noch Treiber im Komdie Mglichkeit, den Windows XP- bzw. Windows Vista-Treiber im Kom- patibilittsmopatibilittsmodus zu installieren. Hierbei handelt es sich um eine spezielle dus installieren
Funktion, die es ermglicht, Anwendungen, d.h. in diesem Fall dem Treiberinstallationsprogramm, ein anderes Windows-Betriebssystem vorzugaukeln, als tatschlich installiert ist. Fr die Anwendung verhlt sich
Windows 7 dann so wie ein lteres Windows-Betriebssystem, d.h. wie beispielsweise Windows XP oder Windows Vista. Nhere Informationen zum
Kompatibilittsmodus finden Sie in Kapitel 3.
119
Plug&Play-Eigenschaften eines Treibers sind inkompatibel

Wird fr ein Plug&Play-Gert ein Treiber verwendet, der jedoch Plug&Play
nicht oder nicht vollstndig untersttzt, behandelt Windows 7 das Gert wie
ein Gert, das Plug&Play nicht untersttzt.
Daraus folgt, dass die Ressourcen nicht dynamisch zugeteilt werden. Im
ungnstigsten Fall kann ein solches Gert zum Problemfall fr das ganze
System werden, weil es die Verteilung der Ressourcen auch fr die anderen
Gerte mglicherweise blockiert. Es sollte deshalb immer darauf geachtet
werden, dass fr ein Plug&Play-Gert auch ein entsprechender, aktueller
Treiber verwendet wird.
Der umgekehrte Fall ist hingegen weniger problematisch. Wenn ein Gert
zwar noch nicht vollstndig Plug&Play untersttzt, aber dafr ein
Plug&Play-fhiger Treiber vorhanden ist, kann Windows 7 das Gert zwar
nicht automatisch erkennen und den Treiber installieren, der Treiber stellt
aber alle bentigten Informationen zur Verfgung. Damit knnen Ressourcenkonflikte meist vermieden werden. In diesem Fall ist wie bei der Installation eines nicht automatisch erkannten Plug&Play-Gertes zu verfahren.
Im Gerte-Manager wird ein nicht erkanntes Gert gemeldet

Es kann jedoch vorkommen, dass keinerlei Informationen zu einem Gert
verfgbar sind, d.h., der Gerte-Manager meldet lediglich ein unbekanntes
Gert. Kann das Gert nicht ermittelt werden, ist es schwierig, einen passenden Treiber zu beschafften. Weiterhelfen knnen hierbei die Informationen,
die im Eigenschaftendialogfeld des betreffenden Treibers auf der Registerkarte Details unter Hardware-IDs zu finden sind und die fr weitere Recherchen verwendet werden knnen.
Abbildung 2.24
Die Informationen
unter Hardware-IDs
knnen bei der
Recherche nach
einem unbekannten
Gert helfen.
Unter Wert steht der Typ des Busses (beispielsweise PCI oder USB), mit dem
das Gert in das System integriert ist, gefolgt von einem Krzel (USB: VID,
PCI: VEN), der Identifikationsnummer des Herstellers und einer Gertenummer (USB: PID, PCI: DEV).
120
Mithilfe dieser Kennungen ist es hufig mglich, im Internet den Hersteller Gert anhand der
bzw. das Gert zu ermitteln. Beispielsweise kann auf der Website PCIData- Gerte-ID ermitbase.com [DEV] das Gert anhand der VEN-Identifikationsnummer ermitteln
telt werden. Die Datenbank liefert allerdings nur Informationen zu dem
Gert. Die Treiber mssen, sofern verfgbar, von der Internetseite des Herstellers heruntergeladen werden.
Abbildung 2.25
Beispiel fr die
Ermittlung eines
Gertes anhand der
Gerte-ID
Aber auch ein Blick auf das Gert selbst (sofern mglich) kann weiterhelfen. Suche anhand
Vielfach befindet sich auf der Rckseite der Gerte eine FCC (Federal Com- der FCC-ID
munications Commission) ID. Diese ID kann fr viele Treiberseiten als Suchkriterium eingesetzt werden. Eine direkte FCC-Suche ist mglich auf der
Homepage der Kommission [FCC].
FCC Federal Communications Commission

Die Federal Communications Commission ist eine unabhngige Behrde
in den Vereinigten Staaten, deren Aufgabe es u.a. ist, Identifikationsnummern fr Gerte zu vergeben, die eine eindeutige Identifizierung des
Produkts und somit auch des Herstellers erlauben. Gerte ohne diese
Nummer drfen in den USA nicht vertrieben und auch nicht importiert
werden.
121
Kann ein Gert auch nach Anwendung aller genannten Mglichkeiten

nicht installiert werden, bleibt noch die Mglichkeit, das Gert im Windows XP-Modus zu installieren. Allerdings kann der XP-Modus nur
unter Windows 7 Professional, Enterprise und Ultimate verwendet werden. Erluterungen zum Windows XP-Modus finden Sie in Kapitel 3.
Systemprobleme nach Treiberinstallation

Windows 7 verfgt ber eine Funktion, mit deren Hilfe sich Probleme
lsen lassen, die von neu installierten Gertetreibern verursacht werden.
Immer wenn ein vorhandener Gertetreiber durch einen aktuelleren
ersetzt wird, sichert Windows 7 diesen Treiber und setzt einen entsprechenden Eintrag in der Registrierung. Bereitet nun ein neu installierter
Treiber Probleme und fhrt beispielsweise zu einem instabilen System,
kann mit einem einfachen und schnellen Verfahren der alte Treiber reaktiviert werden (Treiber-Rollback).
Um einen funktionierenden Treiber zu reaktivieren, ist folgendermaen
vorzugehen:
1. Starten Sie den Gerte-Manager. Markieren Sie das betreffende Gert,
und ffnen Sie dessen Eigenschaftendialogfeld ber das Kontextmen.
2. Auf der Registerkarte Treiber whlen Sie die Option Vorheriger Treiber.
Wenn Sie diese auswhlen, versucht das System, den zuvor installierten
Treiber nach einer vorherigen Rckfrage wieder zu reaktivieren. Sind
keine gesicherten Treiber vorhanden, ist die entsprechende Option abgeblendet. Allerdings verwahrt Windows 7 jeweils nur die letzte Version
eines Treibers, es ist daher nicht mglich, zu einer lteren als der letzten
Version zurckzukehren.
3. Abhngig vom Gertetyp ist anschlieend ein Neustart erforderlich,
damit der alte Treiber vollstndig wieder eingesetzt werden kann.
Einschrnkend funktioniert dieses Verfahren jedoch nicht bei Druckertreibern.
Abbildung 2.26
Registerkarte Treiber
mit aktivierter
Option Vorheriger
Treiber
122
Standardmig erstellt Windows 7 bei der Installation eines neuen

Gertetreibers einen Wiederherstellungspunkt, sofern die Systemwiederherstellung aktiviert ist. Bei Problemen mit einem neuen Treiber
knnen bestehende Probleme daher auch ggf. mit einer Systemwiederherstellung behoben werden.
2.3.3
Probleme mit der Treibersignierung
Der in der Abbildung 2.26 gezeigte Treiber ist ein signierter Treiber. Bei
einem signierten Treiber handelt es sich um Treibersoftware, die eine digitale Signatur enthlt. Diese stellt sicher, dass ein Treiber bestimmte Kriterien
erfllt und die Software auch wirklich von einem legitimen Herausgeber
stammt. Auerdem kann anhand der Signatur berprft werden, ob
jemand die ursprnglichen Inhalte des Treibersoftwarepakets gendert hat.
Alle Gertetreiber und Betriebssystemdateien, die im Lieferumfang von
Windows 7 enthalten sind, verfgen ber eine digitale Signatur von Microsoft.
x64-basierte Versionen von Windows 7 untersttzen nur noch signierte Treiber. Nicht signierte 64-Bit-Treiber knnen in 64-Bit-Windows 7-Versionen
nicht installiert werden. Dies gilt auch fr Anwendungen bzw. Komponenten, die 16-Bit-EXE-Dateien, 16-Bit-Installer oder 32-Bit-Kernel-Treiber
benutzen. Diese starten in einer 64-Bit-Edition von Windows 7 entweder gar
nicht oder funktionieren nicht korrekt. Die Prfung der digitalen Signatur
erfolgt sowohl whrend der Installation als auch in der Zeit, in welcher der
Treiber geladen wird. Microsoft begrndet den Schritt mit einem Sicherheitsgewinn insbesondere fr Unternehmen.
Wird versucht, eine Treibersoftware zu installieren, die nicht von einem Typische FehlerHerausgeber signiert wurde, der seine Identitt nicht bei einer Zertifizie- meldungen
rungsstelle besttigt hat, oder die seit ihrer Verffentlichung gendert
wurde, wird entsprechend eine der folgenden Meldungen angezeigt:
Der Verleger dieser Treibersoftware kann von Windows nicht besttigt werden. In diesem Fall fehlt die digitale Signatur, oder die Treibersoftware
wurde mit einer digitalen Signatur signiert, die nicht von einer Zertifizierungsstelle berprft wurde.
Diese Treibersoftware wurde manipuliert. Dies bedeutet, dass die Treibersoftware gendert wurde, nachdem sie von einem besttigten Herausgeber digital signiert wurde.
Das Programm bzw. die Funktion [exepath]\[app16bit].exe kann auf Grund
von Inkompatibilitt mit 64-Bit-Versionen von Windows nicht starten bzw.
laufen oder: Diese Treibersoftware kann von Windows nicht installiert werden. Diese beiden Meldungen werden nur bei Ausfhrung einer 64-BitEdition von Windows 7 angezeigt. Treibersoftware, die keine gltige
digitale Signatur aufweist oder die nach der Signierung gendert
wurde, kann auf x64-basierten Versionen von Windows nicht installiert werden. In diesem Fall bleibt nur die Beschaffung signierter Treibersoftware fr das betreffende Gert.
123
Installationseinschrnkungen
Die genannten Meldungen haben bei 32-Bit-basierten Windows 7-Editionen unterschiedliche Auswirkungen abhngig davon, wer die Installation durchfhrt bzw. um welche Art von Treibertyp es sich handelt.
Standardmig drfen nur Administratoren unsignierte Treiber installieren.
Durch vorherige Bereitstellung des Treibers (siehe hierzu den Abschnitt
2.4.1 ab Seite 126) kann dieses Problem umgangen werden. Auerdem mssen Treiber, die mit geschtzten Inhalten in Berhrung kommen, prinzipiell
auch bei 32-Bit-Versionen signiert sein. Hierzu gehren Audiotreiber, welche PUMA (Protected User Mode Audio) oder PAP (Protected Audio Path)
nutzen, sowie Video-treiber, die den Medienschutz PVP-OPM (Protected
Video Path-Output Protection Management) verwenden. Damit kann u.a.
sichergestellt werden, dass die Videoausgnge des Computers die Anforderungen an Verschlsselung erfllen und nicht manipuliert worden sind.
2.3.4
Problemberichte zur Fehleranalyse
Tritt bei einem Gert ein Problem auf, wird dieses mit einem gelben Warnsymbol gekennzeichnet. Das kann bedeuten, dass ein Problem mit dem
Treiber besteht oder dass ein Gertekonflikt vorliegt.
Fr zustzlich angeschlossene Gerte steht, wie bereits in Abschnitt 2.2.1 ab
Seite 104 beschrieben, die Funktion Problembehandlung zur Verfgung.
Damit kann das System selbststndig versuchen, das Problem zu erkennen
und zu beheben. Die nachfolgende Abbildung zeigt das Ergebnis einer
durchgefhrten Problembehandlung.
Abbildung 2.27
Ergebnis einer
Problembehandlung
bei einem Problem
mit einem Drucker
Darber hinaus knnen bei der Lsung von Problemen mit einem Gert
die von Windows 7 bereitgestellten Funktionen des Wartungscenters hilfreich sein. Hier stellt Windows u.a. Problemberichte bereit, um die auf dem
Computer aufgetretenen Probleme zu identifizieren und den Anwender
optional darber zu benachrichtigen. Diese Funktion ersetzt das in frheren Versionen integrierte Analysetool fr Systemfehler und -abstrze Dr.
Watson. Zu finden ist das Wartungscenter in der Systemsteuerung im Bereich
System und Wartung.
124

Abbildung 2.28
Das Wartungscenter von Windows 7
ermglicht umfangengreiche Problemanalysen.
Abbildung 2.29
Erkannte Probleme
in der bersicht zu
den Problemberichten und -lsungen
Mithilfe des Links Zu meldende Probleme anzeigen knnen hier Problembe- Problemrichte aufgerufen werden, die alle aufgetretenen Probleme mit Namen des bersicht
beispielsweise nicht mehr funktionsfhigen Programms, Datum und Uhr-
125
zeit, zu der ein Problem aufgetreten ist, und der Version des betroffenen
Programms auflisten.
Hilfreiche Detailinformationen
Hilfreich knnen die jeweils zu einem Problem anzeigbaren Detailinformationen sein. Weiterhin ist es mglich, fr auswhlbare Probleme nach
Lsungen suchen zu lassen. Hierbei wird ein Problembericht an Microsoft gesendet.
2.4
Berechtigungen zur
Gerteinstallation verwalten
Wenn ein Benutzer die Option Treibersoftware suchen und installieren auswhlt, ist der Erfolg des Installationsvorgangs davon abhngig, ob das Treiberpaket fr das Gert bereits im Treiberspeicher bereitgestellt ist. Standardmig knnen nur Mitglieder der Gruppe Administratoren Gerte auf
einem Computer installieren, fr die kein Treiber im Treiberspeicher verfgbar ist. Dies liegt darin begrndet, dass nur ein Administrator das fr
die Installation erforderliche Treiberpaket im Treiberspeicher ablegen darf.
Der Treiberspeicher ist ein geschtzter Bereich eines Computers, der Gertetreiberpakete enthlt, die fr die Installation auf dem Computer genehmigt wurden. Zu finden ist der Treiberspeicher standardmig im Ordner
%systemdrive%\system32\driverstore.
Mithilfe von Gruppenrichtlinien knnen aber auch Standardbenutzer
berechtigt werden, Gerte ausgewhlter Gertesetupklassen zu installieren.
Im umgekehrten Fall kann es auch erforderlich sein, die Installationsrechte
fr ausgewhlte Gerte weiter zu beschrnken, beispielsweise um das
Anschlieen eines USB-Flashspeichers zu verhindern. Dies kann bei Windows 7 ebenfalls mithilfe von Gruppenrichtlinien gesteuert werden.
2.4.1
Gerte zur Installation bereitstellen
Die Erstinstallation eines Gertes umfasst, wie in Abschnitt 2.1.1 ab Seite 96

beschrieben, die Phase der Bereitstellung. In dieser Phase durchsucht der
Plug&Play-Dienst zunchst die in der Registrierungseinstellung DevicePath
angegebenen Ordner und die Windows Update-Website nach einem Treiber, berprft anschlieend, ob der Benutzer berechtigt ist, das Treiberpaket
im Treiberspeicher abzulegen, und stellt fest, ob das Treiberpaket eine gltige digitale Signatur besitzt. Die Phase der Bereitstellung endet mit dem
Speichern einer Kopie des Treiberpakets im Treiberspeicher (Driver Store).
Treiber im Treiberspeicher bereitstellen

Die Bereitstellung kann von Administratoren auch separat durchgefhrt
werden, was Vorteile bietet. Nachdem ein Treiberpaket erfolgreich bereitgestellt wurde, kann jeder Benutzer, der sich an diesem Computer anmeldet, die Treiber installieren. Hierzu muss lediglich das jeweilige Gert
126
angeschlossen werden. Es werden keine Eingabeaufforderungen abgefragt

oder spezielle Berechtigungen bentigt, da alle erforderlichen Sicherheitsberprfungen bereits mit der Bereitstellung abgeschlossen sind.
Zur Bereitstellung kann das in Windows 7 integrierte Befehlszeilen-Tool PnPUtil.exe

PnPUtil.exe verwendet werden. Die nachstehende Abbildung zeigt die Syntax von PnPUtil.
Abbildung 2.30
Syntax von
PnPUtil.exe
Beispielsweise kann mit der folgenden Anweisung in der Befehlszeile das

Treiberpaket Tpmdrv.inf aus dem Ordner C:\Treiber dem Treiberspeicher
hinzugefgt werden:
PnPUtil.exe -a C:\treiber\tpmdrv.inf
Nach dem Abschluss der Bereitstellung meldet PnPUtil einen verffentlichten Namen, der diesem Paket im Treiberspeicher automatisch zugewiesen wird.
Soll das Treiberpaket zu einem spteren Zeitpunkt aus dem Speicher Pakete aus Treigelscht werden, muss dieser Name verwendet werden. Hierzu ist der berspeicher
lschen
folgende Befehl zu verwenden:
PnPUtil.exe d [Verffentlichter Name]
Es ist auch mglich, mit dem nachstehenden Befehl verffentlichte Namen

fr ein Treiberpaket zu ermitteln:
PnPUtil.exe -e
Der Befehl listet alle im Treiberspeicher bereitgestellten Treiberpakete von

Drittanbietern auf.
Benutzer zur Bereitstellung von Gerten berechtigen

Anstatt Treiberpakete fr alle Benutzer bereitzustellen, ist es auch mglich, eine Gruppenrichtlinie zu konfigurieren, mit der Benutzern selbst
die Bereitstellung von Gerten fr eine bestimmte Gerteklasse ermglicht wird. Windows erzwingt diese Richtlinie whrend der Bereitstellung des Gertetreibers im Treiberspeicher. Dadurch kann ein Standardbenutzer ohne erhhte Berechtigungen Treiber fr das Gert installieren.
Zur Einrichtung der bentigten Gruppenrichtlinie sind die folgenden
Arbeitsschritte erforderlich:
127
Vorgehensweise
1. ffnen Sie im Gruppenrichtlinien-Editor das lokale Gruppenrichtlinienobjekt. Am schnellsten kann der Gruppenrichtlinien-Editor durch Eingabe von gpedit.msc im Suchfeld des Startmens geffnet werden.
2. Whlen Sie im Container Computerkonfiguration/Administrative Vorlagen/System/Treiberinstallation die Richtlinie Installation von Treibern
fr diese Gertesetupklassen ohne Administratorrechte zulassen.
Wird diese Richtlinie konfiguriert und aktiviert, knnen Mitglieder der
Gruppe Benutzer neue Treiber fr die angegebenen Gertesetupklassen
installieren. Voraussetzung ist jedoch, dass die Treiber nach der Signierrichtlinie fr Windows-Treiber oder von Herausgebern signiert sind, die
sich bereits im Speicher fr vertrauenswrdige Herausgeber befinden.
Abbildung 2.31
Richtlinie zur
Berechtigung von
Benutzern zur
Bereitstellung von
ausgewhlten
Gerteklassen
Zur Aktualisierung der Gruppenrichtlinien kann das Befehlszeilenprogramm gpupdate verwendet werden. Mit dem Befehl gpupdate /force wird
eine sofortige Wirksamkeit der Gruppenrichtlinien erzwungen.
Gerteklasse
bestimmen
128
Die fr die Zuweisung bentigte Gerteklasse-GUID kann direkt in der

INF-Datei des betreffenden Gertetreiberpakets ermittelt werden:
1. ffnen Sie die .inf-Datei eines Gertetreiberpakets im Editor.
2. Suchen Sie den Abschnitt, der mit Version beginnt.
3. Suchen Sie die Zeile, die mit der Textzeichenfolge ClassGuid= beginnt.
4. Tragen Sie den rechts neben dem Gleichheitszeichen stehenden Wert
im Dialogfeld der Gruppenrichtlinie ein.

Abbildung 2.32
Exemplarischer
Ausschnitt aus einer
INF-Datei
Ist das Gert bereits auf einem anderen Rechner installiert, kann die GerteGUID auch im Gerte-Manager in dem Eigenschaftendialogfeld der Treibers
auf der Registerkarte Details ermittelt werden.
ADMX-Dateien zentral bereitstellen

Grundstzlich knnen Richtlinien auf einem einzelnen Computer oder
innerhalb einer Active Directory-Domne konfiguriert werden. Richtlinien im Container Administrative Vorlagen werden seit der Einfhrung
von Windows Vista in ADMX-Dateien verwaltet. Mit den ADMXDateien fhrt Microsoft ein neues Format fr die registrierungsbasierten
Richtlinien ein.
In einer Active Directory-Umgebung knnen derartige ADMX-Dateien
in einem zentralen Speicher bereitgestellt werden. Bei den Vorgngerversionen, die anstelle von ADMX-Dateien ADM-Dateien verwenden,
musste einzeln fr jedes Gruppenrichtlinienobjekt sichergestellt werden, dass die korrekte Kopie der aktualisierten ADM-Datei geladen
war. Der zentrale Speicherort ist im Ordner SYSVOL auf einem Domnencontroller einmalig fr jede Active Directory-Domne manuell einzurichten. Hierbei spielt es keine Rolle, ob es sich um einen Server mit
Windows 2000 oder Windows Server 2003 handelt. Zu beachten ist
jedoch, dass nur Computer mit Windows Vista bzw. Windows 7 und
nur diejenigen, die einer Active Directory-Domne angehren, das
Vorhandensein eines zentralen Speichers berprfen und die dort
gespeicherten Dateien verwenden.
2.4.2
Installation verbotener Gerte verhindern
Auf USB-Flashspeichern und hnlichen Gerten knnen mittlerweile mehrere GByte Daten gespeichert werden. Damit stellen USB-Gerte eine der
grten Gefahrenquellen fr Datendiebstahl dar. Eine Sperrung der USBAnschlsse ist aber selten mglich, da auch erwnschte Gerte wie Tastatu-
129
ren und Muse diese verwenden. In Unternehmen besteht daher vielfach

der Wunsch, die Installation von Gerten differenziert steuern zu knnen.
Windows 7 stellt hierfr einige Gruppenrichtlinien zur Verfgung.
Die Installation aller Gerte verhindern

Windows 7 bringt eine Reihe von Gruppenrichtlinien mit, die steuern, wer
welche Gerte installieren darf. Diese Richtlinien sind im Container Computerkonfiguration/Administrative Vorlagen/System/Gerteinstallation/Einschrnkungen
bei der Gerteinstallation zu finden:
Richtlinien zur
Einschrnkung
von Gerteinstallationen
Administratoren das Auerkraftsetzen der Richtlinien unter Ein-
schrnkungen bei der Gerteinstallation erlauben

Benutzerdefinierte Meldung anzeigen, wenn Installation durch eine
Richtlinie verhindert wird (Hinweistext)

Benutzerdefinierte Meldung anzeigen, wenn Installation durch eine
Richtlinie verhindert wird (Hinweistitel)

Installation von Gerten mit diesen Gerte-IDs verhindern
Installation von Gerten mit diesen Gerte-IDs zulassen
Installation von Gerten mit Treibern verhindern, die diesen Gerte
setupklassen entsprechen
Installation von Gerten mit Treibern zulassen, die diesen Gertesetupklassen entsprechen
Installation von Gerten verhindern, die nicht in anderen Richtlinien
beschrieben sind
Installation von Wechselgerten verhindern
Zeit (in Sekunden) bis zum Erzwingen eines Neustarts, wenn dieser
fr das Inkrafttreten von Richtliniennderungen erforderlich ist
Um beispielsweise zu verhindern, dass Benutzer Gerte installieren und

damit USB-Gerte anschlieen knnen, und um Administratoren dies aber
zu ermglichen, ist zweistufig vorzugehen:
Konfiguration einer Richtlinie, die bei den Benutzern das Installieren
und Aktualisieren von Gerten verhindert
Konfiguration einer Richtlinie, die den Administratoren das Installieren und Aktualisieren von Gerten ermglicht
Im Einzelnen ist folgendermaen vorzugehen:
Vorgehensweise
130
1. ffnen Sie im Gruppenrichtlinien-Editor das lokale Gruppenrichtlinienobjekt. Am schnellsten kann der Gruppenrichtlinien-Editor durch Eingabe von gpedit.msc im Suchfeld des Startmens geffnet werden.
2. Aktivieren Sie die Richtlinie Installation von Gerten verhindern, die nicht
in anderen Richtlinien beschrieben sind. Wird diese Richtlinie aktiviert,
knnen Gerte, die nicht in anderen Richtlinien als Ausnahmen eingetragen sind, weder installiert noch knnen die Treiber aktualisiert werden. Wenn es sich bei dem Computer um einen Terminalserver handelt,
wirkt sich die Aktivierung dieser Richtlinie auch auf die Umleitung der
angegebenen Gerte von einem Terminaldiensteclient an diesen Computer aus.
3. Aktivieren Sie die Richtlinie Administratoren das Auerkraftsetzen der

Richtlinien unter "Einschrnkungen bei der Gerteinstallation" erlauben.
Diese Richtlinie ermglicht es den Mitgliedern der Gruppe Administratoren, die Treiber fr alle Gerte unabhngig von anderen Richtlinieneinstellungen zu installieren und zu aktualisieren.
Sobald die Gruppenrichtlinien aktualisiert wurden, erhalten Benutzer beim

Versuch, den Gerte-Manager zu ffnen, die nachfolgend dargestellte Meldung angezeigt.
Abbildung 2.33
Meldung, wenn die
Installation von
Gerten mittels
Gruppenrichtlinie
verhindert wird
Zulassen der Installation autorisierter Gerte

Aufbauend auf dem Szenario, das die Installation aller Gerte fr Benutzer verhindert, kann eine Ausnahmeliste erstellt werden, die Benutzern
die Installation ausgewhlter Gerte erlaubt.
Die Ausnahmeliste kann entweder auf der Basis von Gerteklassen oder
Hardware-IDs erfolgen. Hierzu gibt es wahlweise die beiden Richtlinien
Installation von Gerten mit Treibern zulassen, die diesen Gertesetupklassen
entsprechen oder Installation von Gerten mit diesen Gerte-IDs zulassen.
Beide Richtlinien sind zu finden im Container Computerkonfiguration/
Administrative Vorlagen/System/Gerteinstallation/Einschrnkungen bei der
Gerteinstallation des gewhlten Gruppenrichtlinienobjekts.
Die fr die Zuweisung bentigte Gerteklasse kann u.a. in der .inf-Datei des
betreffenden Gertetreiberpakets ermittelt werden. Ist das Gert bereits auf
einem anderen Rechner installiert, sind die Gerteklassen-GUID und die
Hardware-ID auch im Gerte-Manager in dem Eigenschaftendialogfeld des
Treibers auf der Registerkarte Details zu finden (siehe hierzu Abbildung 2.24).
Alternativ ist es mglich, den Benutzern die Installation der meisten
Gerte zu erlauben, jedoch die Installation ausgewhlter Gerte zu verbieten. So kann beispielsweise ausschlielich die Installation von Wechselmedien verhindert werden. Auch fr dieses Szenario stehen entsprechende Richtlinien im gleichen Container bereit.
131
Software verwalten
und installieren
Trotz der vielen neuen Funktionen und Programme, die zum Lieferumfang
von Windows 7 gehren ohne die Installation zustzlicher Anwendungen
geht es nicht.
Wie bereits seine Vorgnger untersttzt Windows 7 verschiedene Technologien zur Installation und Verwaltung von Software, von denen einige jedoch
nur in Active Directory-basierten Netzwerkumgebungen verfgbar sind.
Hierzu gehren beispielsweise Softwareinstallationen mittels Gruppenrichtlinien. In diesem Kapitel erfahren Sie, welche Mglichkeiten Windows 7 zur
Installation und Verwaltung von Anwendungen bereitstellt und welche Mglichkeiten der neue Windows Installer 5.0 bietet. Aber nicht in jedem Fall mssen Anwendungen neu installiert werden. Wird ein Windows Vista-Rechner
auf Windows 7 aktualisiert, knnen vorhandene Anwendungen in der Regel
problemlos ausgefhrt werden. Einschrnkungen kann es jedoch bei Anwendungen geben, die fr eine frhere Version von Windows entwickelt wurden.
Diese werden mglicherweise nur eingeschrnkt oder gar nicht ausgefhrt.
Was es in diesem Fall zu beachten gilt und wie Sie mit derartigen Kompatibilittsproblemen umgehen, ist ebenfalls Gegenstand dieses Kapitels.
Darber hinaus erfahren Sie, wie Sie Anwendungen im Unternehmen
komfortabel mithilfe von Bordmitteln bereitstellen knnen.
3.1
Anwendungen lokal
installieren und verwalten
Die lokale Installation von Anwendungen unterscheidet sich bei Windows

7 nicht wesentlich von der bei anderen Windows-Versionen. Bei der Verwaltung installierter Software aber hat sich insbesondere gegenber Windows XP und frheren Versionen einiges gendert.
133
Kapitel 3 Software verwalten und installieren
3.1.1
Programme installieren
Unabhngig davon, ob die Installationsdateien auf einem Installationsmedium, im Netzwerk oder im Internet liegen, der Vorgang der Installation ist
immer weitgehend gleich. Unterschiede gibt es nur, wenn Anwendungen im
Unternehmensnetzwerk von Administrationsseite bereitgestellt werden.
Sowohl Windows 7 als auch bereits Windows Vista arbeiten intern
ausschlielich in englischer Sprache. Viele im Explorer sichtbare Ordner stellen daher lediglich Verweise in lokalisierter Sprache dar und
sind nicht als reale Ordner existent. Aus diesem Grund sollten manuelle Anpassungen an Programmordnern nur in Ausnahmefllen und
mit besonderer Umsicht erfolgen.
Installation durch Ausfhrung der Setup-Datei

Der Zugriff auf die Installationsroutine einer Anwendung ist natrlich
abhngig vom verwendeten Installationsmedium. Steht das bentigte Programm im Internet zum Download zur Verfgung, gibt es in der Regel die
Mglichkeit, die Anwendung sofort zu installieren oder zunchst die
Installationsdatei auf den Computer herunterzuladen. Hierbei ist die
zweite Vorgehensweise zu empfehlen, da in diesem Fall die Installationsdatei vor Beginn der Installation einer Virenprfung unterzogen wird.
Viele Anwendungen werden auf CDs oder DVD ausgeliefert. Abhngig
von den Einstellungen fr die Automatische Wiedergabe startet automatisch
ein Installations-Assistent fr das Programm, nachdem der Datentrger
mit den Installationsdateien eingelegt wurde (Erluterungen zur Konfiguration der Automatischen Wiedergabe finden Sie in Abschnitt 3.1.2 ab Seite
136). Alternativ wird ein Dialogfeld angezeigt, in dem ausgewhlt werden
kann, ob der Assistent ausgefhrt werden soll.
Wird die Installation eines Programms nicht automatisch gestartet, muss
der Installationsdatentrger nach der Setup-Datei des Programms durchsucht werden, die in der Regel den Dateinamen Setup.exe oder Install.exe
trgt. Gleiches gilt, wenn die Installationsdateien in einem freigegebenen
Ordner im Netzwerk liegen.
Alle weiteren Schritte sind von der zu installierenden Anwendung abhngig und erfolgen in der Regel assistentengesttzt.
Erforderliche
Berechtigungen
134
Fr die Installation der meisten Programme sind administrative Berechtigungen erforderlich. Dies ist darin begrndet, dass u.a. das Schreiben
die jeweiligen Programmordner, nderungen an der Registry und das
Schreiben und ndern von Dateien im Systemverzeichnis administrative
Privilegien erfordern. Versucht ein Standardbenutzer, eine Anwendung
zu installieren, wird er durch die Benutzerkontensteuerung aufgefordert,
die Installation in einem anderen Benutzerkontext fortzusetzen.
Welche Vorteile bietet die Benutzerkontensteuerung?

Bei Windows Versionen vor Windows XP mussten Benutzer Administratorrechte auf ihren Computern haben, um neue Softwareversionen zu
installieren. In vielen Fllen lag dies daran, dass fr eine Installation ein
Zugriff auf die lokale Registrierung (HKLM) oder auf die Windowsoder System32-Verzeichnisse erforderlich war. Das bedeutete, dass viele
Benutzer, hufig sogar stndig, im Administratorkontext arbeiteten, was
ein schwerwiegendes Sicherheitsproblem darstellte.
Seit Windows Vista mssen Benutzer nicht als Administrator angemeldet sein, um eine Anwendung zu installieren. Hier arbeiten alle Benutzer
als Standardbenutzer, und der administrative Zugriff ist auf autorisierte
Prozesse eingeschrnkt. Wenn eine Installation zustzliche Berechtigungen erfordert, bietet Windows 7 dem Benutzer die Mglichkeit, seine
Berechtigungen vorbergehend zu erhhen, um die Installation durchzufhren. Ausfhrliche Erluterungen zur Benutzerkontensteuerung
Trgt das Installationsprogramm keine digitale Signatur, kann Windows Digitale
7 den Herausgeber nicht identifizieren. Digitale Signaturen sollen sicher- Signaturen
stellen, dass ein Programm von einer serisen Quelle stammt und nicht
nachtrglich verndert wurde, also zum Beispiel von einem Virus infiziert ist. Fehlt die Signatur, erscheint zustzlich ein Sicherheitshinweis
mit der Warnung, dass ein nicht identifiziertes Programm auf den Computer zugreifen mchte.
In dem Eigenschaftendialogfeld des Installationsprogramms kann auf der
Registerkarte Digitale Signaturen bereits vor der Installation einer Anwendung der Signaturgeber verifiziert werden.
Abbildung 3.1
Verifizierung des
Signaturgebers eines
Installationsprogramms
135
Die meisten Programme knnen nach Abschluss der Installation direkt

gestartet werden. In diesem Fall wird die Anwendung aber noch im
administrativen Kontext mit all seinen Rechten ausgefhrt. Aus Sicherheitsgrnden sollte zunchst der Installationsvorgang vollstndig beendet und anschlieend das Programm beispielsweise ber den Eintrag
im Startmen gestartet werden.
Bereitgestellte Anwendungen installieren

In einer Active Directory-Umgebung ist es darber hinaus mglich, Anwendungen mittels Gruppenrichtlinien zu verffentlichen. Derart bereitgestellte
Programme knnen ber die Systemsteuerung installiert werden. Eine ausfhrliche Anleitung zum Umgang mit Gruppenrichtlinien zur Softwareverteilung finden Sie im Abschnitt 3.4 ab Seite 162.
Um unter Windows 7 eine verffentlichte Anwendung zu installieren,
gehen Sie wie folgt vor:
ffnen Sie Programme in der Systemsteuerung. Whlen Sie in dem in
Abbildung 3.3 auf Seite 137 gezeigten Dialogfeld die Option Programme
und Funktionen. Alternativ knnen Sie im Suchfeld des Startmens den
Befehl Appwiz.cpl eingeben.
ffnen Sie die Option Programm vom Netzwerk installieren, und whlen
Sie das gewnschte Programm aus.
Abbildung 3.2
Ein im Netzwerk
verffentlichtes
Programm installieren
3.1.2
Installierte Anwendungen verwalten
Die von den lteren Windows-Versionen bekannte Option Software sucht

man in der Systemsteuerung vergeblich. Stattdessen stellt Windows 7, wie
bereits auch Windows Vista, alle relevanten Funktionen zur Verwaltung
von Anwendungen im Bereich Programme der Systemsteuerung bereit.
Der Bereich Programme im berblick

Wie die nachstehende Liste der Funktionen zeigt, verbergen sich in diesem Bereich neben bekannten und altbewhrten Funktionen auch einige
interessante Neuerungen von Windows 7:
136

Programme und Funktionen: Dieser Bereich gehrt zu den wichtigsten und
wird nachstehend ausfhrlich vorgestellt. Beispielsweise findet man hier

Funktionen zum Installieren und Deinstallieren von Anwendungen.
Standardprogramme: Hinter dieser Option versteckt sich nicht nur die
seit Windows 2000 integrierte Option zum Festlegen von Standardprogrammen, wie Webbrowser und E-Mail-Programm. Vielmehr handelt
es sich um die zentrale Verwaltungsstelle fr Dateiverknpfungen und
Autorun-Einstellungen.
Minianwendungen: Die mit Windows Vista eingefhrte Windows-Sidebar ist in Windows 7 nicht mehr enthalten. Stattdessen knnen Minianwendungen auf dem Desktop frei platziert werden. Bei den Minianwendungen handelt es sich um kleine Programme, die Informationen auf
einen Blick bereitstellen oder einen einfachen Zugriff auf hufig verwendete Tools bieten. Beispielsweise kann eine Uhr, ein Whrungsrechner
oder ein Tachometer zur Anzeige der CPU-Nutzung als Minianwendung auf dem Desktop platziert werden.
Abbildung 3.3
Die Systemsteuerungsoption
Programme
Die wichtigsten Funktionen werden im Folgenden genauer vorgestellt.
Programme deinstallieren
Wichtig fr die Verwaltung installierter Software ist der Bereich Programm
deinstallieren.
Hier werden alle installierten Anwendungen aufgelistet und knnen,
abhngig von der ausgewhlten Anwendung, entweder nur vom Computer entfernt oder auch gendert werden. Ist eine Anwendung als MSIPaket ausgeliefert oder mit dem Microsoft lnstaller erstellt worden, sind
sowohl Reparaturen als auch nderungen mglich, um Komponenten
nachzuinstallieren. Hierbei startet die Option ndern den InstallationsAssistenten der jeweiligen Anwendung, der die Durchfhrung der nderung dann untersttzt.
137

Abbildung 3.4
Verwaltung von
Anwendungen in
der Konsole
Programme und
Funktionen
Bevor Sie eine Anwendung deinstallieren, sollten Sie sicherstellen, dass

keine weiteren Benutzer angemeldet sind bzw. auf das Programm zugreifen. Da sich in diesem Fall mglicherweise noch einige Dateien im Zugriff
befinden, kann das Programm nur unvollstndig entfernt werden. Windows weist mit einem Warnhinweis darauf hin.
Abbildung 3.5
Vor der Deinstallation eines
Programms sollten
alle anderen Benutzer abgemeldet
werden.
Umgang mit Deinstallationsproblemen

Es kommt immer wieder mal vor, dass sich Anwendungen nicht deinstallieren lassen und die Windows Installer-Deinstallationsroutine mit einer
Fehlermeldung abbricht.
Die Ursachen hierfr knnen vielfltig sein, beruhen aber hufig auf fehlerhaften oder schadhaften Eintrgen in der Registrierung. Diese knnen
beispielsweise verursacht werden durch eine Beschdigung der Registrierung, fehlerhafte manuelle nderungen oder durch einen unerwarteten Neustart whrend der Installation mit dem Windows Installer.
Windows Installer Clean Up
In diesem Fall bleibt nur der Einsatz eines Uninstaller-Tools. Microsoft

selbst bietet mit Windows Installer Clean Up kostenlos ein entsprechendes
Tool an. Windows Installer Clean Up dient zur Deinstallation bzw. zur
Beseitigung von Resten von Programmen, die mit dem Windows Installer
installiert wurden, und entfernt auch Konfigurationsdaten der ausgewhlten Anwendung. Hierzu gehren u.a. die entsprechenden Registrierungseinstellungen [CLEANUP].
Leider untersttzt die aktuelle Version zwar alle lteren Versionen von
Microsoft Windows, einschlielich Windows Vista, jedoch nicht Windows
7 bzw. Windows Server 2008. Es ist jedoch zu erwarten, dass Microsoft eine
aktualisierte Version von Installer Clean Up bereitstellen wird, die dann
auch Windows 7 untersttzt.
138
In dem nach dem Start von msicuu2.exe angezeigten Dialogfeld werden alle
derzeit installierten Programme aufgelistet, die mit Windows Installer registriert wurden. Da auch das Programm msicuu2.exe den Windows Installer
verwendet, steht das Programm ebenfalls in dieser Liste. Nach der Besttigung werden alle Dateien und Registrierungseinstellungen entfernt.
Windows Installer Clean Up entfernt ausschlielich Anwendungen,

die mit dem Windows Installer installiert wurden. Nicht entfernt werden kann jedoch der Windows Installer selbst.
Windows-Komponenten aktivieren
Eine weitere wichtige Funktion verbirgt sich hinter der Option WindowsFunktionen aktivieren oder deaktivieren, die Anwendern frherer Versionen
unter dem Namen Windows-Komponenten hinzufgen/entfernen bekannt ist.
Wie auch bei den Vorgngerversionen mssen einige in Windows 7 integrierte Programme und Funktionen vor der Verwendung aktiviert werden.
Hierzu gehren beispielsweise die Internetinformationsdienste (IIS), das
Subsystem fr Unix-basierte Anwendungen sowie die einfachen TCP/IPDienste und -Druckdienste.
Whrend jedoch in frheren Windows-Versionen die Funktionen installiert bzw. zum Deaktivieren auf dem Computer vollstndig deinstalliert
werden mussten, sind unter Windows 7 alle Funktionen auf der Festplatte gespeichert. Damit entfllt auch die Notwendigkeit fr den Zugriff
auf das Installationsmedium. Beim Deaktivieren wird die Funktion nicht
deinstalliert, so dass sich auch der verwendete Festplattenspeicher nicht
verringert. Damit ist es aber mglich, die Funktion bei Bedarf jederzeit
wieder zu aktivieren.
Abbildung 3.6
Windows-Komponenten werden
aktiviert bzw. deaktiviert, aber nicht
mehr installiert bzw.
deinstalliert.
Eine interessante Funktion verbirgt sich hinter dem Windows-TIFFIFilter. Dieser stellt eine OCR-Funktion zum Auslesen der Inhalte von
TIFF-Dateien zur Verfgung und ermglicht damit eine textbasierte
Aufnahme von TIFF-Bildern in den Suchindex von Windows 7.
139
Updates verwalten
Zur besseren bersicht werden Updates von den brigen Anwendungen
getrennt verwaltet. Hierzu ist die Option Installierte Updates anzeigen zu whlen. Die Gruppierung der Updates nach dem jeweiligen Programm erleichtert dabei den Zugriff auf ein gesuchtes Update.
Abbildung 3.7
Updates werden in
einem eigenen
Bereich aufgelistet.
Ausfhrliche Informationen zum Windows Update-Dienst finden Sie in

Kapitel 1.
Marketplace und
Ultimate Extras
Anwender von Windows Vista werden an dieser Stelle vermutlich die

Market Place-Funktionen sowie den Bereich zur Verwaltung der zustzlichen Updates fr die Ultimate-Edition von Windows Vista vermissen.
Beide Funktionen stehen unter Windows 7 jedoch nicht mehr zur Verfgung.
Standardprogramme und -zugriffe konfigurieren

Beachtenswert ist auch der Bereich Standardprogramme. Hier knnen Standardprogramme und Einstellungen fr wichtige Aufgaben festgelegt werden, wie beispielsweise der Standard-Webbrowser und die Einstellungen
fr die automatische Wiedergabe.
Whrend mit den Einstellungen fr Standardprogramme festlegen jeder
Benutzer die Programmzuordnungen ndern kann, gelten die unter
Programmzugriff und Computerstandards festlegen getroffenen Einstellungen fr alle Benutzerkonten des Computers und erfordern administrative Rechte fr den Zugriff.
140

Abbildung 3.8
Der Bereich Standardprogramme
bietet Zugriff auf
verschiedene
Einstellungen.
Mit der Option Standardprogramme festlegen wird eine Liste der Programme Standardproangezeigt, die als Standard fr Dateitypen und Protokolle festgelegt werden gramme festknnen. Sollte ein installiertes Programm in der Auflistung nicht erschei- legen
nen, wird diese Funktion noch nicht vom Hersteller untersttzt. In diesem
Fall ist eine manuelle Zuordnung ber den Dateityp erforderlich.
Abbildung 3.9
Die Festlegungen
als Standardprogramm knnen
bequem in einem
Dialogfeld konfiguriert werden.
141
Die folgende Abbildung zeigt am Beispiel des Internet Explorers die zugeordneten Dateitypen und Protokolle.
Abbildung 3.10
Dateityp und Protokollzuordnungen am
Beispiel des Internet
Explorers
Programmzugriff und Computerstandards
Hingegen knnen unter Programmzugriff und Computerstandards festlegen

die Standardanwendungen fr die folgenden Aufgabenbereiche konfiguriert werden:
Browser
E-Mail-Programm
Medienwiedergabe
Instant Messaging-Programm
Virtual Machine fr Java
Die Zuordnung kann innerhalb von vier Konfigurationen erfolgen:
Microsoft Windows
Wenn diese Option ausgewhlt wird, werden die in Windows 7 enthaltenen Microsoft-Programme als Standardprogramme verwendet.
Nicht-Microsoft
Diese Konfiguration legt, im Gegensatz zur vorstehenden Option, die

nicht von Microsoft stammenden installierten Programme als Standardprogramme fest, sofern diese installiert sind. Ist dies fr einzelne
Kategorien nicht der Fall, wird die entsprechende Microsoft-Anwendung verwendet. Der Zugriff auf die angegebenen Microsoft Windows-Programme wird in diesem Fall entfernt.
142

Benutzerdefiniert
Diese Option erlaubt eine benutzerdefinierte Konfiguration fr die Festlegung von Standardprogrammen. Dies ist die Standardeinstellung.
Computerhersteller
Mit dieser Option werden die vom Hersteller des Computers gewhlten Einstellungen wieder hergestellt. Diese Option steht nur zur Verfgung, wenn der Hersteller den Computer mit Windows 7 vorinstalliert
und Einstellungen fr diese Funktion konfiguriert hat.
3
Abbildung 3.11
Dialogbox zur Festlegung von
Programmzugriff
und Computerstandards fr Standardanwendungen
Es knnen keine unterschiedlichen Standardprogramme fr unterschiedliche Benutzer festgelegt werden, d.h., die Einstellungen der Funktion Programmzugriff- und Computerstandards festlegen werden immer
fr alle Benutzer des Computers bernommen.
Abschlieend lohnt noch ein Blick auf den Bereich Automatische Wiedergabe.
Die automatische Wiedergabe ist eine Funktion von Windows, die eine
Festlegung ermglicht, welche Programme verwendet werden sollen, um
verschiedene Arten von Medien zu starten, beispielsweise Musik-CDs
oder CDs und DVDs mit Fotos. Sind auf dem Computer mehrere Medienwiedergabeprogramme installiert, kann der Computer so eingerichtet werden, dass eine CD oder DVD beim Einlegen automatisch mit dem
gewnschten Programm abgespielt wird.
Die Funktion Automatische Wiedergabe erinnert damit an die auch in frheren Windows-Versionen verfgbare Funktion Autorun, unterscheidet sich
von dieser aber durch die umfangreichen Konfigurationsmglichkeiten.
143

Abbildung 3.12
Dialogfeld zur
Konfiguration der
Einstellungen
fr die Medienwiedergabe
3.2
Ein Blick auf die Technik

dahinter der Windows
Installer-Dienst
Windows Installer ist eine Technologie zur Installation und Deinstallation

von Anwendungen. Hierzu wird ein Satz von definierten Regeln whrend des Installationsvorgangs angewandt. Mit diesen Regeln werden die
Installation und die Konfiguration der zu installierenden Anwendung
definiert.
Mit dem Windows Installer knnen Installationen sowohl lokal erfolgen,
als auch beispielsweise mithilfe von Gruppenrichtlinien zur Softwareverteilung, die eine zentrale Steuerung der Verteilung und der Installation
von Anwendungen ermglichen.
Version 5.0 in
Windows 7 enthalten
144
Neu ist diese Technologie allerdings nicht. Bereits mit Windows 2000 hat
Microsoft diesen integrierten Windows Installer-Dienst eingefhrt. In
Windows 7 ist der Windows Installer in der neuen Version 5.0 integriert.
Die folgende Auflistung zeigt ausschnittsweise, welche Version von Windows Installer in den verschiedenen Windows-Versionen integriert ist:
Windows 2000: Windows Installer Version 1.1
Windows 2000 SP3: Windows Installer Version 2.0
Windows ME: Windows Installer Version 1.2
Windows XP: Windows Installer Version 2.0
Windows XP SP2: Windows Installer Version 3.0
Windows Server 2003: Windows Installer Version 2.0
Windows Server 2003 SP1: Windows Installer Version 3.1
Windows Server 2008: Windows Installer Version 4.0
Windows Vista: Windows Installer Version 4.0
Windows Vista SP 2: Windows Installer Version 4.5
Windows Server 2008 R2: Windows Installer Version 5.0
Windows 7: Windows Installer Version 5.0
Um auch jeweils ltere Windows-Versionen auf die aktuelle Version des

Windows Installers zu aktualisieren, stellt Microsoft entsprechende
Updates zur Verfgung. Derzeit (Stand Januar 2010) gibt es allerdings
noch kein Windows Installer 5.0-Installationspaket, mit dem ein Update
des Windows Installers fr ltere Windows-Versionen vor Windows 7
mglich ist.
3.2.1
Grundstzliches zur Windows

Installer-Technologie
Der Windows Installer ist eine Technologie zur Softwareinstallation und

-verwaltung, die Funktionen zur Nachinstallation, zur nderung und
zur Reparatur vorhandener Anwendungen beinhaltet und die folgenden
Funktionen bietet:
Deinstallation vorhandener Programme
Funktionen
Mit dem Windows Installer installierte Anwendungen verfgen ber

Deinstallationsroutinen, die eine Deinstallation nach dem erfolgreichen
Abschluss der Installation ermglichen. Hierbei werden die zugehrigen Registrierungseintrge und Anwendungsdateien gelscht, mit
Ausnahme der Dateien, die auch von anderen vorhandenen Programmen genutzt werden.
Reparatur beschdigter Anwendungen
Anwendungen, die mit dem Windows Installer installiert wurden, knnen selbststndig feststellen, ob Dateien fehlen oder beschdigt sind. In
diesem Fall repariert Windows Installer die betreffende Anwendung,
indem die fehlenden oder beschdigten Dateien erneut kopiert werden.
145

Vermeidung von DLL-Konflikten
Bei Installationen knnen Konflikte auftreten, wenn beispielsweise die

Installation nderungen an einer DLL-Datei vornimmt oder eine DLLDatei lscht, die bereits von einer vorhandenen Datei genutzt wird. Der
Windows Installer verwendet Installationsregeln, um derartige Konflikte zu vermeiden.
Nachtrgliche Anpassung installierter Anwendungen
Mit Windows Installer kann zunchst eine minimale lauffhige Version

einer Anwendung installiert und knnen zustzliche Komponenten bei
Bedarf zur Verfgung gestellt werden. Dabei kann festgelegt werden,
dass, sobald ein Benutzer auf eine bestimmte Funktion zugreift, die
bentigten Komponenten nachinstalliert werden. Verwendet wird diese
Technologie beispielsweise bei Microsoft Office ab der Version 2000.
Komponenten
Die Windows Installer-Technologie ist im Wesentlichen in zwei Teile gegliedert, die eng zusammenarbeiten: der Installer-Dienst auf dem Client mit
dem eigentlichen Installer-Programm (Msiexec.exe) und die Paketdatei(en)
(.msi-Dateien).
Installationspaketdatei
Das Windows Installer-Paket enthlt smtliche Informationen, die der

Windows Installer bentigt, um Software zu installieren oder zu deinstallieren. Dies kann beispielsweise auch Anweisungen fr die Installation
einer Anwendung umfassen, die zum Tragen kommen, wenn eine Vorgngerversion der Anwendung bereits installiert ist.
Jedes Paket enthlt eine .msi-Datei und die erforderlichen zugehrigen
Installationsdateien. Die zugehrigen Installationsdateien sind die Anwendungsdateien, die auf der lokalen Festplatte installiert werden. Es enthlt
auerdem die Produktdateien oder einen Verweis auf einen Installationspunkt, an dem sich die Produktdateien befinden.
InstallerProgramm
Anhand der Informationen in der Paketdatei fhrt das Installer-Programm Msiexec.exe alle Aufgaben im Rahmen der Installation aus:
Kopieren von Dateien auf die Festplatte
ndern der Registrierung
Erstellen von Verknpfungen auf dem Desktop
Anzeigen von Dialogfeldern zum Abfragen der Voreinstellungen fr
die Installation
Leistungsmerkmale von Windows Installer 5.0

Bereits mit Windows Vista hat Microsoft einige neue Technologien eingefhrt, die auch auf die Installation von Anwendungen Auswirkungen
haben. Aus diesem Grunde wurden viele erforderliche neue Funktionen
bereits in der in Windows Vista integrierten Version 4.0 des Windows
Installers implementiert. Hierzu gehren die nachstehenden Funktionen:
146

Untersttzung fr das Verringern erforderlicher Neustarts
Windows Vista und Windows 7 verwenden den Restart-Manager, um

die Anzahl der notwendigen Neustarts bei der Installation und bei
Update-Vorgngen zu verringern. Hierzu handhabt der Restart-Manager die Interaktionen mit anderen Ressourcen-Managern, fhrt Programme aus und ffnet Dateien, um Dienste oder Anwendungen nach
Bedarf dynamisch freizugeben und erneut auf sie zuzugreifen. Windows Installer untersttzt die Interaktion mit dem Restart-Manager ab
der Version 4.0.
Untersttzung fr Benutzerkontensteuerung (User Account Control, UAC)
Windows Installer 4.0 und hher untersttzt die Funktion fr die

Benutzerkontensteuerung, die Microsoft mit Windows Vista eingefhrt
hat. Hauptziel der Benutzerkontensteuerung ist die Reduzierung der
Angriffsflche des Betriebssystems.
Untersttzung mehrsprachiger Benutzeroberflchen (Multilingual User
Interface MUI)
Windows Installer 4.0 und hher untersttzt die Installation mehrsprachiger Anwendungen. Windows Vista und hher ist aufgrund seiner
modularen Struktur sprachunabhngig. Deshalb ersetzen die Sprachpakete von Windows Vista und hher die MUI-(Multilingual User
Interface-)Dateien aus frheren Versionen von Windows.
Untersttzung des Ressourcenschutzes (Windows Resource Protection, WRP)
Seit Windows Vista bringt das System mit dem Ressourcenschutz eine
neue Funktion mit, die Schutz vor potenziell gefhrlichen Konfigurationsnderungen bietet. Hiermit werden u.a. Systemdateien und
-einstellungen sowie System-Registrierungseinstellungen vor versehentlichen nderungen durch Benutzer oder durch nicht autorisierte
Software verhindert. Dieses Verhalten wird vom Windows Installer ab
der Version 4.0 bercksichtigt.
Ab der Version 5.0 speichert das Windows Installer-Paket zustzlich
die MsiLockPermissionsEx-Tabelle. Diese enthlt Sicherheitsbeschreibungen wie Berechtigungen oder die Vererbung von Berechtigungen
von einer bergeordneten Ressource.
Wie bereits im vorstehenden Abschnitt ausgefhrt, ist fr eine Installation mit dem Windows Installer ein Windows Installer-Paket erforderlich,
das smtliche Informationen enthlt, die der Windows Installer bentigt,
um Software zu installieren oder zu deinstallieren. Dies schliet beispielsweise auch Anweisungen fr die Installation einer Anwendung ein, die
zum Tragen kommen, wenn eine Vorgngerversion der Anwendung
bereits installiert ist. Jedes Paket enthlt eine .msi-Datei und die erforderlichen zugehrigen Installationsdateien.
Anwenden von Windows Installer-Paketdateien

Beim Einsatz des Windows Installers knnen die folgenden Dateitypen
verwendet werden:
147

Systemeigene Windows Installer-Pakete (.msi-Dateien)
Systemeigene Windows Installer-Pakete werden als ein Teil der Anwendung entwickelt und nutzen den Windows Installer in der Regel am besten. Diese Paketdateien werden vom Hersteller einer Anwendung
bereitgestellt. Zu den systemeigenen Installer-Paketen zhlt beispielsweise die Datei adminpak.msi zur Installation der Server-Verwaltungsprogramme von Windows 2000 Server bzw. Windows Server 2003.
Neu gepackte .msi-Dateien (.msi-Pakete)
Neu gepackte Paketdateien arbeiten genauso wie systemeigene Windows Installer-Pakete, sind in der Regel jedoch nicht so detailliert. Sie
knnen auf der Basis eines Vorher-nachher-Vergleichs erstellt werden.
.zap-Dateien
Eine .zap-Datei ist eine Textdatei, die Anweisungen fr das Verffentlichen einer Anwendung enthlt. Diese Dateien haben hnlichkeit mit
.ini-Dateien. Beim Bereitstellen einer Anwendung mithilfe einer .zapDatei wird die Anwendung mit ihrem ursprnglichen Setup.exe- bzw.
Install.exe-Programm installiert.
Patches (.msp-Dateien)
Service Packs und Patches werden hufig in Form von .msp-Dateien verteilt. Fr diese Dateien gelten einige Einschrnkungen. So ist beispielsweise das Entfernen von Komponenten oder Funktionen nicht mglich.
Auch bei den Anpassungsdateien fr Office handelt es sich zum Teil um
.msp-Dateien.
Skriptdateien (.aas-Dateien)
Diese Dateien enthalten Anweisungen fr die Zuweisung oder Verffentlichung eines Pakets.
Transformationsdateien (.mst-Dateien)
Vorhandene oder erstellte Pakete knnen mithilfe von Transformationsdateien (Microsoft Transform, MST) angepasst werden. Eine
Transformation ist ein spezielles Softwarepaket, das mit einem Windows Installer-Paket verknpft werden kann, Whrend der Ausfhrung wird das ursprngliche Windows Installer-Paket gendert,
wobei die Werte der .msi-Datei berschrieben werden.
MSI-Pakete
installieren
Anwendungen, die als Windows Installer-Paket vorliegen, knnen auf

verschiedenen Wegen installiert werden.
Im Windows-Explorer
ber die Befehlszeile
Im Bereich Programme und Funktionen
Mithilfe von Gruppenrichtlinien zur Softwareverteilung
Mit serverbasierten Anwendungen zur Softwareverteilung
Windows-Explorer Anwendungen, die als Windows Installer-Paket (.msiDatei) vorliegen, knnen direkt aus dem Windows-Explorer heraus installiert, repariert und deinstalliert werden. Hierzu ist die gewnschte Option
im Kontextmen der MSI-Datei zu whlen.
148

Abbildung 3.13
Die Installation
eines MSI-Installationspakets ist
mithilfe der entsprechenden Option im
Kontextmen
mglich.
Befehlszeile Mit dem Programm msiexec.exe kann der Windows Installer
auch an der Eingabeaufforderung ausgefhrt werden. Hier stehen die folgenden Funktionen zur Verfgung:
Installieren eines Pakets
Entfernen eines Pakets
Reparieren eines Pakets
Ankndigen eines Pakets
Erstellen eines Admin-Installationspakets
Erstellen einer Installations-Protokolldatei
Der Befehl msiexec.exe hat die folgende Syntax:
msiexec /Option <Erforderliche Parameter> [Optionale Parameter]
Syntax von
msiexec.exe
Eine Erluterung der Parameter kann mit dem folgenden Befehl angezeigt
werden:
msiexec /?
Dieser Befehl blendet ein Fenster mit der Beschreibung aller verfgbaren
Parameter ein.
Abbildung 3.14
Syntax und Parameter von msiexec.exe
149

Bereich Programme und Funktionen In Abschnitt 3.1.2 ab Seite 136 werden alle wichtigen Optionen zur Verwaltung von Anwendungen in dieser
Konsole vorgestellt.
Gruppenrichtlinien zur Softwareverteilung Eine Anleitung zum Umgang
mit Gruppenrichtlinien zur Softwareverteilung finden Sie in Abschnitt 3.4 ab
Seite 162.
Softwareverteilung mit Softwareverteilungstools Beispielsweise stellt
Microsoft mit dem System Center Configuration Manager 2007 (SCCM) eine
komplexe Verwaltungssoftware u.a. zur Softwareverteilung und Softwareupdateverwaltung bereit. Informationen hierzu finden Sie in Kapitel 1.
Windows Installer-Pakete erstellen

In der Regel gehren die Pakete zum Lieferumfang der jeweiligen Anwendung. Insbesondere im Rahmen der Softwareverteilung wird es aber auch
immer wieder erforderlich, seine eigenen MSI-Pakete zu erstellen.
Zum Erstellen, ndern und Neupacken von Paketen fr ein zu installierendes Programm stehen diverse professionelle Programme von einer Reihe
von Drittanbietern zur Verfgung. Diese bieten in der Regel eine Reihe
zustzlicher Funktionen. Hierzu gehren neben erweiterten Funktionen
zur Verwaltung von Paketen beispielsweise die Untersttzung mobiler
Gerte und die Verwaltung digitaler Rechte.
Auch zur Erstellung von Transformationsdateien und Anpassungsdateien
gibt es Tools, die meist eine einfache Benutzeroberflche bereitstellen, wie
beispielsweise der Custom Installation Wizard, CIW, der von Microsoft vor
allem im Zusammenhang mit der Anpassung von Office bekannt ist. [CIW]
Der Custom Installation Wizard ist u.a. im Office 2000 bzw. Office 2003
Resource Kit enthalten und kann verwendet werden, um Anpassungsdateien fr Office-Pakete zu erstellen. Hierbei knnen ber die bekannte
Assistentenoberflche die verschiedenen nderungen an der Installation
von Microsoft Office vorgenommen werden. So kann beispielsweise damit
gesteuert werden, welche Funktionen einer Anwendung installiert und wo
diese gespeichert werden sollen. Hierbei wird mit einer Kopie der .msi-Originaldatei gearbeitet. Wenn die Anpassungsdatei am Ende der Sitzung
geschrieben wird, wird die Originalversion mit der aktualisierten Version
der .msi-Datei verglichen, und die nderungen werden in einer .mst-Datei
gespeichert.
Office Customization Tool
150
Fr Windows 2007 steht mit dem Office Customization Tool (OCT) ebenfalls
ein Anpassungstool zur Verfgung, mit dem Office 2007 angepasst und
die Anpassungen in einer Setup-Anpassungsdatei (MSP-Datei) gespeichert werden knnen. [ORK07]
3.2.2
Das Verhalten von Windows Installer mit

Gruppenrichtlinien steuern
Es ist mglich und sinnvoll, die Einstellungen fr den Windows Installer

mithilfe von Gruppenrichtlinien anzupassen Hierzu gehren beispielsweise Festlegungen fr die Ereignisprotokollierung und die Mglichkeit,
die lokale Patchverarbeitung zu deaktivieren. Die Deaktivierung der
Patchverarbeitung verhindert beispielsweise, dass Benutzer den Windows
Installer zur Installation nicht autorisierter Updates verwenden knnen.
Zur Konfiguration von lokalen Gruppenrichtlinien zur Steuerung des Lokales Gruppenrichtlinienobjekt
Windows Installers gehen Sie wie folgt vor:
1. ffnen Sie durch Eingabe von gpedit.msc in dem Suchfeld im Startmen das Snap-in Gruppenrichtlinienobjekt-Editor. Um den Editor fr
lokale Gruppenrichtlinien ffnen zu knnen, mssen Sie ber administrative Rechte verfgen.
2. Whlen Sie unter Computerkonfiguration bzw. Benutzerkonfiguration/
Administrative Vorlagen/Windows-Komponenten den Container Windows
Installer. Abhngig von der zu konfigurierenden Richtlinie ist diese entweder im Bereich Computer oder Benutzer zu finden.
Die folgende Abbildung zeigt die fr den Windows Installer im Bereich Computerbasierte Richtlinien
Computerkonfiguration verfgbaren Richtlinien.
Abbildung 3.15
Computerbasierte
Richtlinien zur
Konfiguration des
Windows Installers
Einige weitere Richtlinien beziehen sich auf den angemeldeten Benutzer

und sind entsprechend im Bereich Benutzerkonfiguration zu konfigurieren.
151

Abbildung 3.16
Benutzerbasierte
Richtlinien zur
Konfiguration des
Windows Installers
3.3
Nicht kompatible
Anwendungen unter
Windows 7 nutzen
Leider lassen sich nicht alle alten Anwendungen ohne Einschrnkungen

unter Windows 7 nutzen. Durch die grundlegenden Unterschiede in den
Sicherheitseinstellungen von Windows XP bzw. lteren Versionen und
Windows 7 kann es vorkommen, dass Anwendungen nicht unter Windows 7 funktionieren, die noch unter Windows XP hervorragend ihren
Dienst verrichtet haben. Bei Problemanwendungen gibt es mehrere Flle,
die unterschieden werden knnen:
Programme, die nur whrend der Upgrade-Phase nicht funktionieren
und temporr deinstalliert oder deaktiviert werden mssen. In diese
Kategorie fallen sehr hufig Virenscanner.
Anwendungen, die einen speziellen Patch oder ein Service Pack bentigen, um mit Windows 7 zu laufen.
Anwendungen, die unter Windows 7 berhaupt nicht lauffhig sind.
Hierzu zhlen beispielsweise Programme, die speziell fr frhere Versionen von Windows geschrieben wurden.
Whrend die beiden ersten Flle in der Regel recht einfach zu lsen sind,
bedarf es fr Anwendungen, die in die dritte Kategorie fallen, spezieller
Manahmen, damit diese dennoch unter Windows 7 ausgefhrt werden
knnen. Welche Mglichkeiten Windows 7 bietet, um derartigen Anwendungsinkompatibilitten zu begegnen, zeigt dieser Abschnitt.
3.3.1
Ursachen fr
Anwendungsinkompatibilitten
Whrend bei Windows Vista vor allem die Behandlung von Inkompatibilitten mit Anwendungen im Rahmen der Betriebssystemaktualisierung
eine Rolle spielt, kann dieser Bereich bei Windows 7 vernachlssigt werden. Dies liegt daran, dass Microsoft als einzigen Update-Pfad eine Aktualisierung von Windows Vista (SP1/SP2) auf Windows 7 untersttzt. Und
152
Anwendungen, die ohne Probleme unter Windows Vista funktionieren,

werden in aller Regel auch unter Windows 7 keine Probleme verursachen.
Bei lteren Anwendungen jedoch kann es vor allem aufgrund der grundlegenden Unterschiede in den Sicherheitseinstellungen von Windows XP
bzw. frheren Versionen und Windows 7 zu Problemen bei der Installation
bzw. bei der Ausfhrung kommen. Treten Inkompatibilitten auf, sind
diese vor allem in den folgenden Funktionen von Windows 7 zu suchen.
Benutzerkontensteuerung: In der Standardeinstellung wird jede Anwendung in Windows 7 mit den Rechten eines Standardbenutzers ausgefhrt. Fr die Installation sind Administratorrechte erforderlich, die
explizit angefordert werden. Dieses Verhalten mssen Anwendungen
fr eine Installation unter Windows 7 untersttzen.
Windows Resource Protection (WRP): Der Windows-Ressourcenschutz
schtzt die folgenden Komponenten System-Registrierungseinstellungen, die versehentlich durch den Benutzer oder durch nicht autorisierte
Software gendert werden knnten, Systemdateien und -einstellungen,
die durch andere Prozesse als den Windows-Installer gendert werden
knnten, und Anwendungen wie den Microsoft Internet Explorer, die
durch mglicherweise nicht vertrauenswrdige oder schdliche COMErweiterungen von Drittanbietern beeinflusst werden knnten. Anwendungen, die versuchen, auf geschtzte Ressourcen zu schreiben, knnen
daher mglicherweise nicht installiert oder nicht ausgefhrt werden.
NTFS-formatierte Systempartition: Windows 7 fordert fr die Systempartition zwingend eine Formatierung mit dem Dateisystem NTFS.
Dies kann ggf. ebenfalls Probleme mit einzelnen Anwendungen verursachen.
Geschtzter Modus des Internet Explorers: In Windows 7 luft der Microsoft Internet Explorer standardmig im geschtzten Modus mit stark
eingeschrnkten Rechten. Anwendungen, die den Internet Explorer
nutzen, knnen damit Probleme haben.
x64-basierte Windows 7-Version: Anwendungen, die 16-Bit-EXE-Dateien,
16-Bit-Installer oder 32-Bit-Kernel-Treiber benutzen, starten entweder
gar nicht oder funktionieren in einer 64-Bit-Edition von Windows 7
nicht richtig.
3.3.2
Anwendungsprfung vor Beginn der

Migration
Vor der Migration sollte zunchst eine Bestandsaufnahme erfolgen, um

festzustellen, welche Anwendungen von Microsoft oder anderen Anbietern sich auf dem Rechner befinden und welche mglicherweise unter
Windows 7 nicht oder nur eingeschrnkt laufen werden.
Windows 7 Upgrade Advisor

Bei der Prfung der Anwendungskompatibilitt kann zum einen der Windows 7 Upgrade Advisor helfen, der sich in erster Linie an Endanwender richtet. Microsoft bietet dieses kostenlose Programm an, mit dem sich herausfin-
153
den lsst, ob ein PC fr eine Aktualisierung auf Windows 7 geeignet ist,

welche Funktionen von Windows 7 auf dem PC ausgefhrt werden knnen
und welche mglichen Installationshindernisse existieren. Das schliet eine
Prfung der Kompatibilitt installierter Anwendungen ein. Einsetzbar ist
Windows 7 Upgrade Advisor auf Rechnern, auf denen Windows XP, Windows Vista oder Windows 7 ausgefhrt wird [UPADVISOR]. Weiterfhrende Informationen zum Windows 7 Upgrade Advisor finden Sie in Kapitel 1.
Abbildung 3.17
Ergebnis der berprfung eines
Windows-Rechners
mit Windows 7
Upgrade Advisor
Microsoft Application Compatibility Toolkit 5.5

Weiterhin stellt Microsoft mit dem Microsoft Application Compatibility Toolkit ACT [ACT] ein ebenfalls kostenloses Tool fr Entwickler und Administratoren zur Prfung der Kompatibilitt von Webseiten und Software
bereit. Die Version 5.5 untersttzt Windows 7 sowie Windows Vista SP2
und erlaubt eine Kompatibilittsprfung mit Windows Vista und Windows 7 sowie dem Internet Explorer. Das Werkzeug dient dazu, Anwendungen zu erkennen, fr die mglicherweise weitere Tests erforderlich
sind, und um Kompatibilittsfixes fr Anwendungen zur Verfgung zu
stellen.
154
Das Microsoft Application Compatibility Toolkit 5.5 stellt die folgenden Werkzeuge
im ACT
Funktionen bzw. Werkzeuge bereit:
Werkzeuge zur Kompatibilittsbewertung. Damit knnen benutzerdefinierte Kompatibilittsberichte erstellt werden, die alle umgebungsspezifischen Aufgaben und Anforderungen zusammenfassen. Zustzlich
knnen individuelle Quick Reports erstellt werden.
Bestandsdatensammler (Inventory Collector). Dieser kann unternehmensweit installierte Anwendungen und Systeminformationen ermitteln.
Kompatibilittsbewertung der Benutzerkontensteuerung (User Account
Control Compatibility Evaluator). Damit knnen potenzielle Kompatibilittsprobleme aufgrund von Berechtigungseinschrnkungen identifiziert
werden, die durch die Benutzerkontensteuerung erzwungen werden.
Analyse von Aktualisierungsauswirkungen (Update Impact Analyzer). Das
Werkzeug ermglicht es, potenzielle Probleme zu erkennen, die durch
die Bereitstellungen von Windows Updates entstehen knnen.
Kompatibilittsbewertung fr Internet Explorer (Internet Explorer Compatibility Evaluator). Diese Funktion ermglicht die Erkennung potenzieller Probleme mit Webanwendungen und Websites.
Paket zur Datensammlung (Data Collection Package): Hierbei handelt es
sich um ein Werkzeug, das alle Tools zur Kompatibilittsbewertung
fr die Bereitstellung auf Client-Computern in einer einzigen Installation kombiniert. Es installiert die Werkzeuge und stellt eine Benutzeroberflche bereit, mit der Bewertungszeitplne verwaltet sowie
Kompatibilittsdaten gesammelt und in einer Datenbank verwaltet
werden knnen. Die Data Collection Packages knnen zur besseren
Unterscheidung/Filterung der damit gewonnenen Daten mit einem
Kennzeichen versehen werden.
Application Quality Cookbook

Dieses Dokument wendet sich an Anwendungsentwickler. Neben zahlreichen Anleitungen zur Prfung von Anwendungskompatibilitten bietet es
auch eine bersicht ber bekannte Anwendungskompatibilittsprobleme
in Windows 7 und Windows Server 2008 R2. [COOKBOOK]
3.3.3
Einsatzmglichkeiten des
Kompatibilittsmodus
Um auch lteren Anwendungen die Ausfhrung zu ermglichen, bringt

Windows 7 eine Funktion mit, die es ermglicht, Programme im sogenannten Kompatibilittsmodus zu starten. Hierbei handelt es sich um eine spezielle Funktion, die Anwendungen ein anderes Windows-Betriebssystem
bzw. eine passende Umgebung vorgaukelt. Fr die Anwendung verhlt
sich Windows 7 dann so wie ein lteres Windows-Betriebssystem, d.h. beispielsweise wie Windows XP, Windows Server 2003 oder auch Windows
NT 4.0. In diesem Modus lassen sich deshalb auch Anwendungen ausfhren, die im normalen Programmmodus die Zusammenarbeit mit dem
Betriebssystem verweigern.
155

Automatisch
angewendet
Die Kompatibilittseinstellungen fr ltere Software werden dabei hufig

angewendet, ohne dass der Anwender es bemerkt. Windows 7 beinhaltet
eine interne Datenbank, die Kompatibilittseinstellungen fr viele gngige
ltere Programme enthlt. Wird ein solches Programm gestartet, wendet
Windows die passenden Kompatibilittseinstellungen automatisch an. Mithilfe des Application Compatibility Toolkit (ACT) knnen Sie angezeigt und
erweitert werden.
Aber nicht alle Inkompatibilitten werden automatisch erkannt. Wenn Sie
eine Anwendung nach der Installation nicht starten knnen oder beispielsweise die Fehlermeldung Falsche Windowsversion angezeigt wird, muss die
Anwendung manuell im Kompatibilittsmodus gestartet werden.
Der Kompatibilittsmodus lsst sich auf zwei Arten einstellen:
Sie benutzen den Programmkompatibilitts-Assistenten.
Sie stellen den gewnschten Modus manuell in dem Eigenschaftendialogfeld der Anwendungsdatei der betreffenden Anwendung ein.
Diese Einstellungen sind identisch mit den Optionen im Programmkompatibilitts-Assistenten.
Die folgenden Arbeitsschritte beschreiben die Vorgehensweise sowohl
mit dem Programmkompatibilitts-Assistenten als auch bei manueller
Einstellung.
ProgrammkompatibilittsAssistent
1. Den Programmkompatibilitts-Assistenten knnen Sie zum einen aus

der Windows 7-Hilfe heraus starten. Suchen Sie hierfr nach dem Begriff
Programmkompatibilitt. Verwenden Sie anschlieend den Link ffnen der
Problembehandlung fr die Programmkompatibilitt. Alternativ knnen Sie
die Option Behandeln von Kompatibilittsproblemen im Kontextmen der
Problemanwendung verwenden.
Abbildung 3.18
Ermittlung von
Anzeigeproblemen
im Programmkompatibilitts-Assistenten
2. Der Assistent fordert Sie auf, die problematische Anwendung auszuwhlen, und fhrt anschlieend durch verschiedene Problemszenarien.
Ist der Start der Anwendung in einem Modus erfolgreich, wird die
156
Anwendung jedes Mal in diesem Modus starten. Der Assistent ermglicht es Ihnen auerdem, verschiedene Einstellungen zu testen, beispielsweise die Ausfhrung des Programms mit einer eingeschrnkten
Farbtiefe, einer reduzierten Bildschirmauflsung von 640 x 480 Pixel
oder im Kontext eines Administrators.
Um den Kompatibilittsmodus manuell im Eigenschaftendialogfeld der
Datei der Anwendung einzustellen, gehen Sie wie folgt vor:
1. Whlen Sie im Explorer das Programm, das Sie ausfhren mchten, Manuelle
und ffnen Sie dessen Eigenschaftendialogfeld ber die entsprechende Einstellung
Option im Kontextmen.
2. ffnen Sie die Registerkarte Kompatibilitt, und stellen Sie den
gewnschten Kompatibilittsmodus ein. Zustzlich knnen Sie auch
hier festlegen, dass das Programm mit einer verminderten Farbtiefe
(256 Farben) ausgefhrt oder beispielsweise im Administratorkontext
ausgefhrt werden soll. Letztere Option hilft zwar in einigen Fllen
weiter, ist aber auch wegen der Benutzerkontensteuerung keine langfristig praktikable Lsung.
Abbildung 3.19
Konfiguration der
Kompatibilittseinstellungen in den
Eigenschaften einer
Anwendung
Behebt die Ausfhrung im Kompatibilittsmodus das Problem nicht, sollte Dateiausfhdie Datenausfhrungsverhinderung-Funktion berprft werden. Diese rungsverhindeFunktion, die bereits in Windows XP integriert ist, kann auch unter Windows rung
7 den Start von Anwendungen verhindern. Mithilfe der Datenausfhrungsverhinderung werden Programme berwacht, um die sichere Verwendung
des Systemspeichers durch die Programme sicherzustellen. Wenn ein Programm versucht, Code aus dem Speicher auf unzulssige Weise auszufhren, wird das Programm durch die Datenausfhrungsverhinderung (Data
Execution Prevention, DEP) geschlossen. Startet eine Anwendung nicht, hilft
es entweder, diese Funktion zu deaktivieren oder die Anwendung von der
berprfung auszunehmen. Zur Konfiguration der Dateiausfhrungsverhinderung gelangen Sie mit den folgenden Schritten:
157

Geben Sie im Suchfeld des Startmens Erweiterte Systemeinstellungen
anzeigen ein.
Whlen Sie auf der Registerkarte Erweitert und anschlieend im
Bereich Leistung die Schaltflche Einstellungen.

Verwenden Sie die Registerkarte Datenausfhrungsverhinderung.
Wenn die Dateiausfhrungsverhinderung ein Programm immer wieder

schliet, dem Sie vertrauen, knnen Sie die Datenausfhrungsverhinderung fr das geschlossene Programm deaktivieren.
Abbildung 3.20
Die Dateiausfhrungsverhinderung
ist manchmal die
Ursache, wenn
Anwendungen
nicht starten.
3.3.4
Anwendungen im Kompatibilittsmodus
installieren
Beim Versuch, ltere Windows-Programme zu installieren, kann es passieren, dass bei der Installation oder beim Start einer Anwendung eine Fehlermeldung erscheint mit dem Hinweis, dass das Programm nicht richtig
installiert wurde.
Abbildung 3.21
Hinweis, wenn
Windows 7 ein
Programm wegen
Kompatibilittsproblemen nicht installieren konnte
158
Auch in diesem Fall kann der Kompatibilittsmodus gegebenenfalls weiterhelfen. Die Option Erneut mit den empfohlenen Einstellungen installieren
ruft den Programmkompatibilitts-Assistenten auf.
Alternativ kann bereits die Installationsdatei des Programms im Kompati- Setup-Datei auf
bilittsmodus ausgefhrt werden. Diese kann sich gegebenenfalls auch auf CD-ROM
einer CD-ROM befinden. Zwar ist ein schreibender Zugriff auf die CDROM nicht mglich, doch werden die Einstellungen bei manueller Konfiguration der Eigenschaften temporr gespeichert. Wird der Programmkompatibilitts-Assistent verwendet, muss die Option Programm im CD-Laufwerk
verwenden ausgewhlt werden.
Der Kompatibilittsmodus steht nicht fr .msi-Dateien zur Verfgung.
Diese knnen weder mit dem Assistenten noch manuell im Kompatibilittsmodus installiert werden
Kann das Problem auch durch Installation im Kompatibilittsmodus nicht
behoben werden, zeigt Windows 7 ein entsprechendes Hinweisfenster an.
In diesem Fall sollte versucht werden, ein Update oder eine aktuelle Version vom Programmhersteller zu beziehen oder das Programm im Windows XP-Modus auszufhren.
Abbildung 3.22
Kann auch die
Ausfhrung im
Kompatibilittsmodus das Problem
nicht beheben,
erscheint ein
entsprechender
Hinweis.
3.3.5
Anwendungen im Windows XP-Modus

ausfhren
Benutzern von Windows 7 Professional, Enterprise und Ultimate steht

noch ein weiterer Weg offen. Bei diesen Editionen stellt Microsoft den
sogenannten XP-Modus zur Verfgung. Der XP-Modus ist eine Kombination aus Microsofts Virtualisierungssoftware Virtual PC und einer verschlankten vorab aktivierten und voll lizenzierten Installation von Windows XP mit Service Pack 3. Allerdings wird der XP-Modus nicht mit
Windows 7 mitgeliefert. Wer ihn bentigt, muss beide Komponenten von
der Website von Microsoft herunterladen.
Den XP-Modus fhrt Microsoft in Windows 7 ein, um auch Anwendern
den Umstieg zu ermglichen, die Anwendungen verwenden, die unter
Windows Vista bzw. unter Windows 7 nicht laufen. Damit will Microsoft
insbesondere Unternehmen untersttzen, die mit Windows Vista bzw.
Windows 7 inkompatible Unternehmenslsungen einsetzen und deshalb
den Umstieg auf Windows Vista gescheut haben [XPMODE].
159

Umfangreiche
Systemanforderungen
Wer den XP Modus einsetzen will, muss allerdings beachten, dass damit
die Anforderungen an die Hardware steigen. Fr den XP-Modus empfiehlt
Microsoft mindestens zwei Gigabyte Arbeitsspeicher und 15 Gigabyte
mehr zustzlichen Platz auf der Festplatte. Entscheidender aber ist, dass
eine prozessorseitige Untersttzung fr die Virtualisierung vorhanden sein
muss. Um eine mglichst gute Anbindung an die PC-Hardware zu erreichen, verwendet Microsoft fr seinen XP-Modus Virtualisierungsfunktionen aktueller PC-Prozessoren. Bei Intel heien diese Intel Virtualization
Technology (Intel VT), bei AMD kurz AMD-V.
Intel beispielsweise bietet mit dem Processor Identification Utility ein Gratistool, mit dem sich prfen lsst, ob ein Prozessor die geforderten Virtualisierungsfunktionen beherrscht. Das Tool kann als direkt startbare Version
heruntergeladen werden [INTEL].
Zustzlich muss die BIOS-Version des Mainboard-Herstellers eine Funktion fr hardwareseitige Virtualisierung enthalten, und diese muss auch
aktiviert sein. Insbesondere bei Notebooks fr Privatanwender ist diese
Option blicherweise deaktiviert.
Arbeitsweise des
XP-Modus
Ist der Windows XP-Modus installiert, lassen sich virtualisierte Anwendungen direkt vom Desktop ber Verknpfungen starten. Sie werden
dann in einem ganz normalen Fenster von Windows 7 angezeigt und
nicht etwa in einer im Fenster laufenden virtuellen Maschine. Hierzu
mssen die gewnschten Anwendungen in dem virtuellen PC installiert
werden. Die in den virtuellen Computern installierten Anwendungen
lassen sich ber die sogenannten Integrationsfeatures direkt in Windows
7 einblenden und erscheinen dann in dessen Startmen unter Windows
XP Mode Anwendungen. Wird eine solch virtualisierte Anwendung gestartet, ffnet sie sich in einem eigenen Fenster und verschmilzt mit dem
brigen Desktop.
Auerdem erhalten die im XP-Modus ausgefhrten Programme Zugriff
auf alle Laufwerke, auf die auch von Windows 7 aus Zugriff besteht
sowie auf die gemeinsame Zwischenablage. Damit ist fr den Anwender
die Ausfhrung der Programme im XP-Modus vollstndig transparent.
Lediglich die Darstellung der Anwendungen im XP-Design macht deutlich, dass er eine Anwendung im XP-Modus ausfhrt.
Nachteile des
XP-Modus
160
Da der Windows XP-Modus die virtuelle Maschine mit XP nicht vollstndig vom Host-Betriebssystem abschottet, muss das XP-Betriebssystem in
vollem Umfang vor mglichen Sicherheitsrisiken geschtzt werden. Dies
bedeutet, dass nicht nur ein Antivirus-Programm installiert werden
muss, sondern dass auch alle weiteren Schutzmanahmen wie das regelmige Einspielen von Sicherheitsupdates erforderlich ist. Insbesondere
Unternehmen mssen daher, neben den Kosten fr die erhhten Systemanforderungen, auch den erhhten Supportaufwand einkalkulieren.
3.3.6
Umgang mit 16-Bit-Windows- und

DOS-Anwendungen
Zwar begegnen einem 16-Bit- und DOS-Anwendungen nur noch sehr selten, doch kann es immer noch Bereiche geben, in denen ihr Einsatz erforderlich ist.
Windows 7 untersttzt, wie auch alle Vorgngerversionen, sowohl 16-BitAnwendungen als auch DOS-Anwendungen mit einer Kompatibilittsschnittstelle in Form einer Virtual DOS Machine (NTVDM). Dabei legt
das Betriebssystem eine Umgebung an, die einer DOS-Umgebung entspricht.
Im Unterschied zu den 16-Bit-Anwendungen wird aber generell jedes DOSProgramm in einer eigenen virtuellen Maschine ausgefhrt, da unter MS
DOS jedes Programm den gesamten Speicher fr sich beansprucht.
Aber auch 16-Bit-Anwendungen knnen so konfiguriert werden, dass sie in 16-Bit-Anwengetrennten Speicherbereichen laufen, wobei mehrere NTVDMs erstellt wer- dungen getrennt
den. Standardmig wird eine einzelne NTVDM gestartet, wenn die erste starten
16-Bit-Anwendung gestartet wird. Alle weiteren 16-Bit-Anwendungen werden dann ebenfalls innerhalb dieser NTVDM gestartet. Dies bedeutet, dass
sich alle 16-Bit-Anwendungen einen gemeinsamen Speicherbereich teilen.
Verursacht eine Anwendung einen Fehler, bleiben auch alle anderen 16-BitAnwendungen hngen.
Um eine Anwendung in einer eigenen NTVDM zu starten, stehen verschiedene Mglichkeiten zur Verfgung.
An der Eingabeaufforderung knnen Anwendungen mit dem Befehl Start Befehl Start
ausgefhrt werden. Fr die Ausfhrung von 16-Bit-Anwendungen sind
zwei spezielle Parameter verfgbar. Mit dem Befehl
start /separate Pfad und Name der Anwendung
kann eine 16-Bit-Anwendung in einem eigenen Speicherbereich ausgefhrt werden. Der Befehl
start /shared Pfad und Name der Anwendung
hingegen startet die 16-Bit-Anwendung in einem gemeinsam genutzten

Speicherbereich.
Wird zu einer 16-Bit-Anwendung eine Verknpfung erstellt, kann auf der
Registerkarte Verknpfung die Option Erweitert gewhlt werden. Im Dialogfeld Erweiterte Eigenschaften steht damit die Option In getrenntem
Speicherbereich ausfhren zur Verfgung.
Aber auch fr DOS-Anwendungen gibt es eine Reihe von Einstellmg- DOS-Anwendunlichkeiten fr einen optimierten Einsatz unter Windows 7. Die Konfigura- gen
tion ist mglich im Eigenschaftendialogfeld, das ber das zugehrige
Kontextmen geffnet werden kann.
161

Abbildung 3.23
Parameter der
Anwendung Start
3.4
Softwareverwaltung mit
Gruppenrichtlinien
Die Bereitstellung von Software in Unternehmensnetzwerken ist ohne

Lsungen fr eine automatisierte Verteilung kaum zu handhaben. Windows 7 fgt sich dabei gut in bestehende Lsungen ein, wie der folgende
Abschnitt am Beispiel von Gruppenrichtlinien zur Softwareverteilung
zeigt.
3.4.1
Voraussetzungen
162
Softwareverteilung mit
Gruppenrichtlinien
In Active Directory-basierten Unternehmensnetzwerken steht eine integrierte Methode zur automatisierten Installation von Software zur Verfgung: Softwareverteilung mit Gruppenrichtlinien. Hierbei werden Anwendungen mittels Active Directory-Gruppenrichtlinien und dem Windows
Installer-Dienst zentral verwaltet, d.h. installiert, gewartet und entfernt.
Mithilfe einer richtlinienbasierten Methode zum Verwalten der Softwarebereitstellung kann auerdem sichergestellt werden, dass die von den
Benutzern bentigten Anwendungen im Bedarfsfall berall verfgbar
sind, unabhngig davon, welchen Computer sie gerade benutzen.
Um die Funktion fr die richtlinienbasierte Softwareinstallation und

-wartung nutzen zu knnen, wird Active Directory bentigt. Die ClientComputer mssen Windows 2000 Professional, Windows XP (Professional), Windows Vista oder Windows 7 (ausgenommen sind jeweils die
Home-Editionen) ausfhren. Frhere Windows-Versionen untersttzen
keine Gruppenrichtlinien und knnen deshalb fr die Softwareverwaltung nicht verwendet werden.
Bentigt werden weiterhin Microsoft Installer-(MSI-)Paketdateien fr die Installationsjeweils zu installierenden Anwendungen. Auch .zap-Dateien knnen ver- dateien
wendet werden. Durch eine .zap-Datei wird ein ausfhrbares Setup-Programm angegeben, das in der Systemsteuerung unter Software Benutzern,
die ber Administratorrechte verfgen, auf dem lokalen Computer angezeigt wird. Einschrnkend knnen .zap-Dateien nur verffentlicht werden, fr sie ist keine Zuweisung mglich.
Nhere Informationen zur Microsoft Installer-Technologie finden Sie im
Abschnitt 3.2 ab Seite 144.
Die Gruppenrichtlinien fr die Softwareverwaltung knnen, wie alle anderen Gruppenrichtlinien, auf Benutzer oder Computer in einem Standort, in
einer Domne oder in einer Organisationseinheit angewendet werden. Der
Installations- und Bereitstellungsvorgang umfasst, neben der Vorbereitung
mit einer Analyse der Softwareanforderungen, den Erwerb der Software
und den Erwerb von Paketdateien vom Hersteller einer Anwendung bzw.
das Erstellen von Windows Installer-Paketdateien fr eine Anwendung,
vor allem die Bereitstellungsphase. Diese gliedert sich im Wesentlichen in
zwei Hauptschritte:
Erstellung eines Softwareverteilungspunktes
Erstellung und Konfiguration eines Gruppenrichtlinienobjekts zum
Bereitstellen der Anwendung
Erstellung eines Softwareverteilungspunktes

Installer-Pakete und Softwaredateien mssen an einem Softwareverteilungspunkt zur Verfgung stehen, sodass die Dateien beim Installieren von Software auf einem Client-Computer von diesem Punkt kopiert werden knnen.
Ein Softwareverteilungspunkt ist ein freigegebener Ordner, der die Paketdateien zum Bereitstellen von Software enthlt. Hierbei kann es sich um ein
freigegebenes Verzeichnis auf einem Server, um einen DFS-(Distributed File
System-)Ordner oder um eine CD-ROM mit den Paket- und Installationsdateien handeln.
Fr jede Anwendung sollte ein separater Ordner am Softwareverteilungspunkt erstellt werden. Wichtig ist die Festlegung entsprechender Berechtigungen fr den freigegebenen Ordner. Nur Administratoren sollten ber
Schreibrechte verfgen. Fr die Benutzer gengen Leseberechtigungen, um
auf die Softwareinstallationsdateien am Softwareverteilungspunkt zugreifen zu knnen.
163
Benutzer sollten den Inhalt des freigegebenen Ordners am Softwareverteilungspunkt nicht durchsuchen knnen. Dies kann mit einer verborgenen Freigabe verhindert werden (beispielsweise software$).
Bereitstellung eines Softwarepakets

Die Bereitstellung des einzelnen Softwarepakets umfasst die Erstellung
und Konfiguration entsprechender Gruppenrichtlinien gem Abbildung
3.24 Gruppenrichtlinienverwaltungs-Editor unter Softwareeinstellungen/Softwareinstallation.
Der Bereich Softwareinstallation steht nur in Active Directory-basierten
Gruppenrichtlinienobjekten zur Verfgung. Im lokalen Gruppenrichtlinienobjekt von Windows 7-Rechnern fehlt diese Einstellung. Ein Windows 7-Rechner kann daher nicht zur Verteilung von Software mit
Gruppenrichtlinien an andere Rechner verwendet werden.
Wie die folgende Abbildung zeigt, kann Software sowohl fr Benutzerkonten als auch fr Computerkonten bereitgestellt werden und ist deshalb sowohl im Bereich Benutzerkonfiguration als auch unter Computerkonfiguration zu finden.
Abbildung 3.24
Gruppenrichtlinien
fr die Softwareverteilung
Einsatz der Gruppenrichtlinienverwaltungskonsole unter

Windows 7
Zum Verwalten der Domnengruppenrichtlinien kann die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console,
GPMC) verwendet werden. Die Gruppenrichtlinien-Verwaltungskonsole besteht aus einem MMC-Snap-in und einem Satz skriptfhiger Schnittstellen zum Verwalten der Gruppenrichtlinie. In Windows 7
ist GPMC allerdings nicht standardmig integriert, sondern muss
zusammen mit den Remoteserver-Verwaltungstools (RSAT) nachtrglich installiert werden.
164
Wie auch bei den Vorgngerversionen stellt die Microsoft Remoteserver-Verwaltungstools (Remote Server Administration Tools RSAT)
fr Windows 7 zum kostenlosen Download bereit [RSAT]. Damit knnen von Computern unter Windows 7 Rollen und Funktionen auf
Remotecomputern mit Windows Server 2008 R2, Windows Server 2008
oder Windows Server 2003 verwaltet werden. Durch das Installieren
von RSAT wird die GPMC allerdings nicht automatisch installiert. Wie
auch bei den Vorgngerversionen, mssen einige in Windows-7 integrierte Programme und Funktionen vor der Verwendung im Bereich
Windows-Funktionen aktivieren oder deaktivieren aktiviert werden.
Ausfhrliche Erluterungen zur Aktivierung zustzlicher Funktionen

finden Sie in Abschnitt 3.1.2 ab Seite 136.
Um ein neues Softwarepaket bereitzustellen, sind im Kontextmen von
Softwareinstallation die Optionen Neu und Paket zu verwenden. Hier sind
im ersten Schritt das gewnschte Paket und anschlieend die Bereitstellungsmethode zu whlen. Untersttzt werden die beiden Bereitstellungsarten Verffentlichen und Zuweisen.
Abbildung 3.25
Auswahl der Bereitstellungsmethode
Software zuweisen
Software kann entweder Benutzern oder Computern zugewiesen oder
verffentlicht werden.
Einem Benutzer zuweisen
Wird einem Benutzer Software zugewiesen, wird die Anwendung
dem Benutzer beim nchsten Anmelden des Benutzers angekndigt.
Sobald ein Benutzer ein unbekanntes Dokument oder eine Anlage per
Doppelklick ffnet, prft der Windows Installer, ob eine zugewiesene
Anwendung auf dem Computer des Benutzers bereitsteht, die
Anwendung jedoch noch nicht installiert wurde.
Einem Computer zuweisen
Wird die Software einem Computer zugewiesen, findet keine Ankndigung statt. Stattdessen wird die Software automatisch installiert, wenn
der Computer gestartet wird. Durch Zuweisen von Software zu einem
Computer kann sichergestellt werden, dass bestimmte Anwendungen
auf diesem Computer immer zur Verfgung stehen, unabhngig davon,
welcher Benutzer den Computer verwendet. Domnencontroller bilden
hier eine Ausnahme, diesen kann keine Software zugewiesen werden.
165
Zugewiesene Software kann nicht gelscht werden. Wenn ein Benutzer die Anwendung im Bereich Programme und Funktionen entfernt,
wird die Ankndigungsoption beim nchsten Start erneut auf den
Computer oder Benutzer angewendet.
Nachdem eine Gruppenrichtlinie fr eine neue zu verteilende Anwendung
erstellt wurde, wird das Paket im Detailbereich von Softwareinstallation im
Gruppenrichtlinienobjekt aufgelistet. Hier kann jederzeit der Status der
betreffenden Software hinsichtlich Bereitstellungszustand, Upgrade-Typ
u.a. abgefragt werden. Eine Aktualisierung des Bereitstellungsstatus erfolgt
jeweils bei Bereitstellung einer neuen Software und bei Bereitstellung eines
Updates oder Service Packs.
Software verffentlichen
Softwareverffentlichung bedeutet, dass die Anwendung den Benutzern
zur Installation auf ihren Computern zur Verfgung gestellt wird. Allerdings gibt es auf dem Desktop des Benutzers kein Anzeichen fr die Software. Es ist keine Ankndigungsinformation vom Windows Installer ber
die Software auf dem Computer, weder in der Registrierung noch als Verknpfungen auf dem Desktop oder im Startmen, vorhanden. Die Ankndigungsattribute werden stattdessen in Active Directory gespeichert.
Da Benutzer die verffentlichte Software aktiv installieren mssen, kann
Software nur fr Benutzer, nicht jedoch fr Computer verffentlicht werden.
Benutzer knnen verffentlichte Software auf zwei Arten installieren:
Mithilfe der Option Programme und Funktionen
Am schnellsten knnen Sie diese Konsole ffnen, indem Sie im Suchfeld des Startmens den Befehl Appwiz.cpl eingeben. Unter Programm
vom Netzwerk installieren wird eine Liste der verfgbaren Anwendungen angezeigt. Der Benutzer kann dann die gewnschte Anwendung
auswhlen und installieren.
Mithilfe von Dateiverknpfungen
Wenn eine Anwendung in Active Directory verffentlicht ist, sind die
Dateinamenerweiterungen fr die von ihr untersttzten Dokumente in
Active Directory registriert. Wenn ein Benutzer auf einen unbekannten
Dateityp doppelt klickt, sendet der Computer eine Abfrage an Active
Directory, um zu bestimmen, ob dieser Dateinamenerweiterung Anwendungen zugeordnet sind. Wenn Active Directory eine solche verffentlichte Anwendung findet, wird diese Anwendung installiert.
Software
installieren
166
Die folgende Abbildung zeigt am Beispiel der Server-Verwaltungstools

im Dialogfeld Programm vom Netzwerk beziehen verffentlichte Software.

Abbildung 3.26
Verffentlichte
Anwendungen im
Bereich Programme
Nur bei der Erstellung eines neuen Pakets im Gruppenrichtlinienobjekt fr

die Softwarebereitstellung ist es mglich, dem Paket eine Anpassungsdatei
bzw. Transformationsdatei hinzuzufgen. Erluterungen zum Umgang mit
Transformationsdateien finden Sie in Abschnitt 3.2.1 ab Seite 145.
Hierfr ist ein neues Paket mit der Option Erweitert bei Auswahl der TransformationsBereitstellungsmethode zu installieren. Anschlieend kann auf der Regis- datei verwenden
terkarte nderungen die gewnschte Transformationsdatei hinzugefgt
werden.
Transformationsdateien knnen nie allein angewendet bzw. im Rahmen
der Softwareverteilung allein bereitgestellt werden, sondern immer nur
ein bestehendes .msi-Paket ndern.
Nachdem ein Softwarepaket mithilfe von Gruppenrichtlinien bereitgestellt Bereitstellungswurde, knnen die Eigenschaften des Pakets in dem Dialogfeld Bereitstel- optionen
lung von Software gendert werden.
Es kann beispielsweise bestimmt werden, dass ein zugewiesenes Softwarepaket nicht unter Programme und Funktionen angezeigt wird. Auerdem ist
es mglich, die Option Anwendung deinstallieren, wenn sie auerhalb des Verwaltungsbereichs liegt zu aktivieren. In diesem Fall wird die bereitgestellte
Software automatisch deinstalliert, wenn ein Benutzer oder Computer in
eine Organisationseinheit oder Domne verschoben wird, in der dieses
Gruppenrichtlinienobjekt nicht mehr angewendet wird.
Wie die folgende Abbildung zeigt, knnen auf dieser Registerkarte nicht
nur die wichtigsten Bereitstellungsoptionen gendert werden, sondern
nachtrglich auch die Bereitstellungsart. Weiterhin ist die Festlegung der
Benutzeroberflchenoptionen fr die Installation mglich.
167

Abbildung 3.27
Konfiguration der
Bereitstellungsoptionen eines Softwarepakets
Windows Installer-Pakete werden hufig mit zwei verschiedenen Installationsoberflchen geliefert. Die Auswahl der Option Einfach installiert
die Software mithilfe von Standardwerten. Bei Auswahl von Maximum
wird der Benutzer zur Eingabe von Werten aufgefordert.
Bereitgestellte Software verwalten

Die Bereitstellung von Software ist in aller Regel kein einmaliger Vorgang,
sondern zieht die regelmige Wartung der Anwendungen nach sich. So ist
es beispielsweise notwendig, Service Packs einzuspielen und Anwendungen mittels Updates zu aktualisieren, um sicherzustellen, dass die Benutzer
immer ber die aktuelle Version verfgen. Die Funktion der Softwareverteilung mit Gruppenrichtlinien erlaubt deshalb nicht nur die Bereitstellung
von Anwendungen, sondern auch deren Verwaltung. Die Softwareverwaltung umfasst im Wesentlichen die folgenden drei Aufgabengebiete:
Aktualisierungen: Diese schlieen alle nderungen mittels Patches
und Updates nach der Erstinstallation ein.
Reparaturen: Hierzu gehrt beispielsweise die automatische Neuinstallation gelschter Dateien.
Entfernen von Anwendungen: Das Entfernen umfasst das vollstndige
Lschen der Anwendungen vom Computer, wenn diese nicht lnger
bentigt werden.
Anwendungen
aktualisieren
168
Die Aktualisierung installierter Software ist eine der Hauptaufgaben im

Rahmen der Anwendungsverwaltung. Nachdem ein Update, ein Service
Pack oder ein Patch getestet und fr eine Anwendung fr die Verteilung
freigegeben wurde, hngt die weitere Vorgehensweise von der vorliegenden Software ab:
Software Patch oder Service Pack
Patches fr eine Anwendung liegen hufig in Form eines neuen .msiPakets vor. In diesem Fall gengt es, das alte Paket am Softwareverteilungspunkt durch das neue Paket zu ersetzen.
Um ein bereits zugewiesenes oder verffentlichtes Paket erneut bereitzustellen, kann im Gruppenrichtlinienobjekt-Editor im Kontextmen
des Pakets, mit dem die Software ursprnglich bereitgestellt wurde, die
Option Anwendung erneut bereitstellen ausgewhlt werden. Die aktualisierten Dateien werden daraufhin zu den Benutzern kopiert und, je
nachdem, wie das ursprngliche Paket bereitgestellt wurde, neu angekndigt.
Wenn die Software einem Benutzer zugewiesen wurde, werden
das Startmen, die Verknpfungen auf dem Desktop und die
Registrierungseinstellungen, die sich auf diese Software beziehen,
bei der nchsten Anmeldung des Benutzers aktualisiert. Wenn der
Benutzer die Software das nchste Mal startet, werden das Service
Pack oder der Patch automatisch angewendet.
Wenn die Software einem Computer zugewiesen wurde, werden
das Service Pack oder der Patch automatisch beim nchsten Starten des Computers angewendet.
Wenn die Software verffentlicht und installiert wurde, wird,
wenn der Benutzer die Software das nchste Mal startet, das Service Pack oder der Patch automatisch angewendet.
Update einer Anwendung
Upgrades bzw. Updates von Anwendungen umfassen meist grere
nderungen, die oft auch eine erhebliche Anzahl von Dateien ndern.
Hier hngt es von der verwendeten Anwendung und dem Aktualisierungspaket ab, ob die vorhandene Anwendung zuvor entfernt werden
muss oder ob das neue Paket nur die notwendigen Dateien ersetzt.
Unabhngig davon, ob die Originalanwendung zugewiesen oder verffentlicht wurde, stehen fr eine Aktualisierung zwei Optionen zur Verfgung:
Obligatorische Aktualisierung: Obligatorische Aktualisierungen ersetzen
Aktualisierungs-
eine alte Softwareversion automatisch durch eine aktualisierte Version. arten

Beim nchsten Computerstart oder bei der nchsten Benutzeranmeldung wird automatisch die neue Version installiert.
Optionale Aktualisierung: Bei einer optionalen Aktualisierung kann der
Benutzer selbst entscheiden, ob und wann die Aktualisierung auf die
neue Version durchgefhrt wird. Jeder, der die Software installiert
hat, kann die vorhandene Version weiter verwenden. Benutzer, welche die vorhandene Anwendung noch nicht installiert hatten, knnen
entweder die alte oder die neue Version installieren.
Um ein bereits zugewiesenes oder verffentlichtes Paket erneut bereitzustellen, ist im Gruppenrichtlinienobjekt-Editor zunchst eine neue
Gruppenrichtlinie fr das Update-Paket zu erstellen und in dessen
Eigenschaftendialogfeld die Registerkarte Aktualisieren zu whlen. Soll
169
eine obligatorische Aktualisierung durchgefhrt werden, muss die

Option Vorhandene Pakete aktualisieren aktiviert werden. Andernfalls
erfolgt die Aktualisierung optional.
Die aktualisierten Dateien werden daraufhin zu den Benutzern kopiert
und, je nachdem, wie das ursprngliche Paket bereitgestellt wurde, neu
angekndigt.
Anwendungen
reparieren
Zugewiesene Anwendungen verfgen quasi ber eine integrierte Reparaturfunktion. Sie knnen vom Benutzer nicht gelscht werden. Wenn ein
Benutzer die Anwendung mithilfe der Option Software entfernt, wird die
Ankndigungsoption beim nchsten Start erneut auf den Computer oder
Benutzer angewendet.
Bereitgestellte
Software
entfernen
Gruppenrichtlinien knnen nicht nur zum Bereitstellen, sondern auch

zum Entfernen von Software verwendet werden. Damit kann die nicht
mehr bentigte Software entweder automatisch oder beim Start des Client-Computers entfernt werden oder wenn sich der Benutzer erstmals
wieder anmeldet.
Um eine Anwendung zu deinstallieren, muss die Softwarepaketeinstellung aus dem Gruppenrichtlinienobjekt, mit dem die Software ursprnglich bereitgestellt wurde, entfernt werden. Zur Entfernung des Pakets
sind die folgenden Arbeitsschritte durchzufhren:
Im Kontextmen des gewnschten Pakets ist hierzu die Option Alle Tasks
und Entfernen zu whlen. Die gewnschte Entfernungsart kann in dem
daraufhin erscheinenden Dialogfeld ausgewhlt werden.
Erzwungene Entfernung
Bei Auswahl der Option Software sofort von Benutzern und Computern
deinstallieren knnen Benutzer die Software weder weiterhin ausfhren
noch installieren. Die Anwendung wird automatisch von einem Computer gelscht, entweder beim nchsten Computerstart oder bei der
nchsten Benutzeranmeldung. Die Entfernung findet statt, bevor der
Desktop angezeigt wird.
Optionale Entfernung
Bei Auswahl der Option Benutzer drfen die Software weiterhin verwenden, aber Neuinstallationen sind nicht zugelassen wird die Anwendung
nicht von den Computern entfernt. Sie wird aber nicht mehr unter Software aufgelistet und kann nicht mehr installiert werden. Benutzer, die
diese Software installiert haben, knnen sie weiterhin verwenden.
Wenn Benutzer die Software jedoch manuell lschen, knnen sie diese
nicht erneut installieren.
Um zu erreichen, dass eine Anwendung entfernt wird, wenn ein
Gruppenrichtlinienobjekt nicht lnger angewendet wird (beispielsweise weil der Computer in eine andere Domne verschoben wurde),
muss in dem Eigenschaftendialogfeld der Anwendung die Option
Anwendung deinstallieren, wenn sie auerhalb des Verwaltungsbereichs liegt
auf der Registerkarte Bereitstellung von Software aktiviert werden (siehe
Abbildung 3.27 auf Seite 168
170
3.4.2
Anwendungssteuerung mit
Gruppenrichtlinien
Windows 7 und Windows Server 2008 R2 bringen eine neue Funktion

mit, mit deren Hilfe dediziert festgelegt werden kann, welche Anwendungen von Benutzern ausgefhrt werden knnen. Die als AppLocker
bezeichnete Funktion ermglicht das Angeben der Benutzer oder Gruppen, die bestimmte Anwendungen ausfhren knnen. Mithilfe von
Gruppenrichtlinien kann Folgendes gesteuert werden:
Welche Anwendungen darf ein Benutzer ausfhren?
Welcher Benutzer darf eine Software installieren?
Welche Anwendungsversionen sind erlaubt?
Wie sollen lizenzierte Anwendungen gesteuert werden?
Die AppLocker-Anwendungssteuerungsrichtlinien sind eine Weiterentwicklung der bereits seit Windows XP bzw. Windows 2004 verfgbaren
Richtlinien fr Softwareeinschrnkungen. Allerdings kennt AppLocker
mehr Optionen, und die Abstufungen sind feiner. So ermglicht AppLocker beispielsweise die Definition eines Regelbereichs fr ausgewhlte
Benutzer und Gruppen.
AppLocker ist in allen Editionen von Windows Server 2008 R2 und in SystemvorausWindows 7 Ultimate und Windows 7 Enterprise verfgbar. Hierbei ist setzungen
Folgendes zu beachten:
Zum Erstellen von AppLocker-Regeln wird Windows Server 2008,
Windows 7 Enterprise, Ultimate oder Professional bentigt. Auerdem
mssen auf mindestens einem Computer die Gruppenrichtlinien-Verwaltungskonsole (GPMC) oder die Remoteserver-Verwaltungstools
(Remote Server Administration Tools, RSAT) installiert sein, um die
AppLocker-Regeln zu hosten.
AppLocker-Regeln knnen auf Computern unter Windows 7 Ultimate und Enterprise, nicht jedoch unter Windows 7 Professional
erzwungen werden. Auf Computern, auf denen Windows-Versionen
vor Windows 7 eingesetzt werden, knnen ebenfalls keine AppLocker-Richtlinien erzwungen werden.
AppLocker-Regeln konfigurieren
Die AppLocker-Anwendungssteuerungsrichtlinien sind im Gruppenrichtlinienobjekt in den Sicherheitseinstellungen zu finden.
In Windows 7 und in Windows Server 2008 R2 sind sowohl die lteren
Richtlinien fr Softwareeinschrnkung als auch die AppLocker-Anwendungssteuerungsrichtlinien implementiert. Allerdings kann nur eine
der beiden Technologien verwendet werden, und sobald Sie AppLocker
einsetzen, werden ltere Softwareeinschrnkungsregeln ignoriert.
171
In Active Directory-Umgebungen, in denen sowohl Softwareeinschrnkungsrichtlinien als auch AppLocker-Richtlinien verwendet werden
sollen, kann das Problem durch Verwendung unterschiedlicher Gruppenrichtlinienobjekte (Group Policy Object, GPO) umgangen werden.
Abbildung 3.28
AppLocker-Richtlinien steuern,
welche Anwendungen von Benutzern
ausgefhrt werden
knnen.
Verfahrensweise
Das AppLocker-Snap-in ist in drei Bereiche unterteilt.

Erste Schritte
Regelerzwingung konfigurieren
bersicht
Die Regelsammlung unterscheidet wiederum vier Regelarten. Die vier
Regelsammlungen sind ausfhrbare Dateien, Skripts, Windows InstallerDateien und DLL-Dateien. Diese Sammlungen ermglichen eine differenzierte Erstellung von Regeln fr verschiedene Anwendungstypen und
die Steuerung folgender Anwendungstypen: Ausfhrbare Dateien (EXE
und COM), Skripte (JS, PS1, VBS, CMD und BAT), Windows InstallerDateien (MSI und MSP) sowie DLL-Dateien (DLL und OCX).
Die DLL-Regelsammlung ist standardmig nicht aktiviert, da DLL-Regeln
nur in seltenen Fllen, d.h. in sicherheitssensiblen Bereichen, bentigt werden. Auf der Registerkarte Erweitert muss diese gesondert aktiviert werden.
172

Abbildung 3.29
DLL-Regeln knnen
erst nach gesonderter Aktivierung
erstellt werden.
Die Erstellung einer neuen Regel wird durch einen Assistenten untersttzt.
Ob eine Datei ausgefhrt werden darf, kann im Dialogfeld anhand von
drei Kriterien festgelegt werden, die als Regelbedingungen bezeichnet werden. Die drei primren Regelbedingungen sind Herausgeber, Pfadregel und
Dateihash:
Dateihash: Wenn eine Dateihash-Bedingung ausgewhlt ist, berechnet
das System einen kryptografischen Hash, also eine Prfsumme fr
die Datei. Diese muss allerdings bei jedem Update erneuert werden.
Pfadregel: Entscheidet je nach genauem Dateinamen plus Pfad, ob eine
Datei ausgefhrt werden kann. Kann allerdings durch Kopieren der
betreffenden Datei unterlaufen werden.
Herausgeber: Diese Bedingung identifiziert eine Anwendung basierend
auf der digitalen Signatur und den erweiterten Attributen. Die digitale
Signatur enthlt Informationen zum Ersteller der Anwendung (dem
Herausgeber). Die erweiterten Attribute, die von der Binrressource
beibehalten werden, enthalten den Produktnamen der Anwendung
und ihre Versionsnummer. Hier sind sehr feine Abstufungen mglich.
So knnen Sie beispielsweise von einer bestimmten EXE-Datei eine
Mindestversionsnummer verlangen, um etwa eine Software zwar prinzipiell zu erlauben, jedoch nicht die Ausfhrung veralteter Versionen
mit eventuell bekannten Sicherheitslcken.
Assistent zur
Regelerstellung
173
Regeln testen im Audit-Modus

Grundstzlich gilt: Sobald Sie mindestens eine Regel definiert haben,
werden automatisch alle Programme gesperrt, die nicht ausdrcklich von
einer Regel zugelassen sind. Daher muss die AppLocker-Funktion mit
sehr viel Umsicht konfiguriert werden.
Hilfreich ist hierbei der Audit-Modus. Hierbei werden keine Programme
eingeschrnkt, aber protokolliert, wie sich Regeln auswirken wrden,
sobald AppLocker die Regeln erzwingt. Damit ist es mglich zu testen, ob
die vorhandenen Regeln wie gewnscht funktionieren oder ob Sie weitere Regeln hinzufgen mssen, um das gewnschte Ziel zu erreichen.
Audit-Modus
aktivieren
Der Audit-Modus kann gesondert fr die vier Regelsammlungen eingeschaltet werden. Verwenden Sie hierzu die Option Regelerzwingung konfigurieren. Die Auswahl Nur berwachen schaltet fr die gewhlte Regelsammlung den Audit-Modus ein.
Abbildung 3.30
Audit-Modus fr
die gewnschte
Regelsammlung
aktivieren
Wenn die Tests ergeben, dass die Regeln den Anforderungen entsprechen,
kann AppLocker vom Analyse- in den Erzwingen-Modus geschaltet werden. Damit werden alle Regeln erzwungen, und nicht zugelassene Programme lassen sich beispielsweise nicht mehr starten.
174
Konfiguration der
Benutzerschnittstellen
Wer bereits mit Windows Vista gearbeitet hat, findet bei Windows 7 eine
weitgehend vertraute Benutzeroberflche vor. Dies liegt vor allem an der
mit Vista eingefhrten Aero-Glas-Oberflche, welche die Fenster in einem
transparenten Modus anzeigt.
Und doch gibt es auch gegenber Windows Vista eine Reihe von nderungen, denn bei Windows 7 rckt Microsoft die Bedienung und das effiziente Arbeiten mit dem PC strker in den Vordergrund. So gibt es insbesondere bei der Taskleiste eine Reihe von Vernderungen gegenber den
Vorgngerversionen.
Dieses Kapitel stellt mit dem Desktop, der Startleiste, der Taskleiste und
dem Windows-Explorer die wichtigsten Benutzerstellen fr die Arbeit
mit Windows 7 vor und erlutert die Mglichkeiten, um diese an die eigenen Bedrfnisse anzupassen.
4.1
Benutzeroberflche
Das zentrale Merkmal der Benutzeroberflche von Windows 7 heit Aero

und ist ein spezieller Grafikmodus, der die 3D-Funktionen der Grafikkarte
fr die Darstellung spezieller Desktopeffekte nutzt.
4.1.1
Leistungsmerkmale der Aero-Oberflche
Die Windows-Aero-Oberflche baut auf einer Basisoberflche auf und

ergnzt diese um die nachstehenden Funktionen:
Transparenter Glaseffekt
Flssige Fensteranimationen
Windows Flip/Flip-3D zum komfortablen Wechseln zwischen laufenden Anwendungen.
Vorschaufenster in Taskleiste
175
Kapitel 4 Konfiguration der Benutzerschnittstellen
Selbstverstndlich kann Windows 7 auch ohne Aero-Effekte verwendet

werden. Darauf wird in diesem Kapitel ebenfalls eingegangen. Dabei sollte
der neue Transparenzmodus nicht als Spielerei abgetan werden. Durch
die transparenten Fenster kommt der Inhalt in den Vordergrund, und die
Navigation wird erleichtert. Auch die Vorschaufenster in der Taskleiste,
die in diesem Kapitel besprochen wird, optimieren Windows 7 deutlich in
Richtung verbesserter Navigation und bersichtlichkeit. Die nachstehende Auflistung stellt die wichtigsten der nur im Aero-Modus verfgbaren Desktopeffekte vor.
AeroDesktopeffekte
Windows Glas
Hinter diesem Begriff verbergen sich die Transparenzeffekte der Fensterrahmen und des Startmens. Aero-Glass bietet dem Benutzer
Anwendungsfenster mit Schattenwurf, halbtransparenten Rahmen
sowie flssige Animationen beim Minimieren. Diese Funktion wurde
bereits mit Windows Vista eingefhrt.
Aero Peek
Aero Peek ist eine neue Funktion in Windows 7, die alle geffneten
Fenster ausblendet und nur deren Rahmen anzeigt und damit den
Blick auf den Desktop freigibt. Der kleine Balken ganz rechts in der
Taskleiste aktiviert Aero Peek. Alternativ kann die Tastenkombination
()+(Leertaste) verwendet werden. Alle Fenster werden durchsichtig, solange Sie die ()-Taste gedrckt halten.
Flip und Flip-3D
Halten Sie die (Alt)-Taste fest, und drcken Sie dann (), zeigt Windows in der Bildmitte ein Vorschaufenster aller geffneten Fenster.
Jeder Druck der ()-Taste schaltet ein Fenster vorwrts. Auf dem
Desktop ist nur das jeweils gewhlte Fenster sichtbar, alle anderen
werden mit Aero Peek in den Umrissmodus geschaltet. Lassen Sie die
(Alt)-Taste los, schaltet Windows zum aktuell markierten Fenster
um. Ohne Aero funktioniert diese Tastenkombination ebenfalls, zeigt
dann aber weder Vorschaugrafiken noch Umrissmodus. Diese Funktion wurde bereits mit Windows Vista eingefhrt.
Abbildung 4.1
Umschalten
zwischen Anwendungen mithilfe von
Aero-Flip
Mit Flip-3D werden geffnete Fenster in einem Stapel angezeigt. Oben

auf dem Stapel sehen Sie ein geffnetes Fenster. Zum Anzeigen weiterer Fenster blttern Sie einfach durch den Stapel. Sie knnen Flip-3D
ffnen, indem Sie ()+() drcken. Sie knnen dann () drcken,
um durch die Fenster zu blttern. Zum Schlieen von Flip-3D drcken
Sie (Esc). Diese Funktion wurde mit Windows Vista eingefhrt.
176
Benutzeroberflche
Abbildung 4.2
Umschalten
zwischen Anwendungen mithilfe von
Aero-Flip-3D
4
Superbar-Vorschau
Wird der Mauszeiger ber einem Anwendungssymbol in der Taskleiste

platziert und wird diese Anwendung gerade ausgefhrt, blendet Windows eine Vorschau des Fensterinhalts ein. Bei mehreren laufenden
Instanzen reiht Windows die einzelnen Fensterinhalte nebeneinander
auf. Wird dann der Mauszeiger ber eine Vorschaugrafik platziert, werden alle brigen Fenster mit Aero Peek in den Umrissmodus geschaltet.
Ein Klick auf eine Vorschau springt zu diesem Fenster. Diese Funktion
wurde in Windows 7 gegenber Windows Vista nochmals erweitert.
Animationen
Beim Minimieren, Maximieren und Schlieen von Fenstern zeigt Windows eine kleine Animation und lsst das Fenster sanft in sein Symbol
in der Taskleiste fliegen. Diese Funktion wurde mit Windows Vista eingefhrt.
Windows Desktop Manager
Aero verwaltet alle Fensterinhalte in eigenen Bildschirmspeichern und

ermglicht eine stabilere Darstellungsqualitt. Reagiert ein Programm
nicht oder nur langsam, bernimmt versucht Aero, den Fensterinhalt
mit dem letzten vom Programm gelieferten Inhalt zu aktualisieren.
Reagiert ein Programm berhaupt nicht mehr, blendet Windows den
Fensterinhalt ab und zeigt darin das zuletzt empfangene Bild des Programms. Auerdem erscheint ein Dialogfeld, das anbietet, das Fenster
zu schlieen oder online nach einer Problemlsung zu suchen. Diese
Funktion wurde mit Windows Vista eingefhrt.
Mit Windows 7 fhrt Microsoft auerdem einige Neuerungen ein, die das Interessante
Neuerungen bei
Arbeiten mit Fenstern deutlich erleichtern.
Windows 7
Um ein Fenster zu maximieren, gengt es, den Fensterrahmen zum
oberen Bildschirmrand zu ziehen. Um die ursprngliche Gre wiederherzustellen, mssen Sie umgekehrt das Fenster vom oberen Bildschirmrand wegziehen. Wird das Fenster an den unteren Fensterrahmen gezogen, wird es vertikal erweitert.
177

Um alle geffneten Fenster gleichzeitig zu minimieren, gengt ein
Klick auf die Schaltflche in der rechten unteren Ecke der Startleiste.
Alternativ knnen Sie durch Schtteln eines Fensters mit der Maus
alle Fenster mit Ausnahme des aktuellen Fensters minimieren.
Um die Inhalte zweier Fenster zu vergleichen, knnen Sie ein Fenster zu
einer Seite des Bildschirms und das andere Fenster zur gegenberliegenden Seite des Bildschirms ziehen. Die Gre der Fenster wird so
angepasst, dass ein Fenster jeweils die Hlfte des Bildschirms einnimmt.
4.1.2
Anpassung des Desktops
In diesem Abschnitt erfahren Sie nicht nur, wie Sie die neuen visuellen
Mglichkeiten von Windows 7 nutzen knnen, sondern auch, welche Manahmen bei der Behebung von Problemen mit dem Aero-Modus helfen.
Desktop-Eigenschaften konfigurieren
Die Optionen der Oberflche von Windows 7 lassen sich sehr detailliert
anpassen. Wenn Sie mit der rechten Maustaste auf den Desktop klicken, knnen Sie ber den Kontextmenbefehl Anpassen das nachstehend gezeigte
Dialogfeld anzeigen:
Abbildung 4.3
Windows 7 liefert
eine Reihe von Standarddesigns mit und
ohne Aero-Effekte.
178
Benutzeroberflche
In dem in Abbildung 4.3 gezeigten Dialogfeld kann entweder ein vorkonfiguriertes Designpaket gewhlt oder ein Design individuell zusammengestellt werden. Aktivieren Sie ein Designpaket, ndern sich damit der Bildschirmhintergrund, die Windows-Klnge, der Bildschirmschoner, der
Mauszeiger, die Desktopsymbole und die Fensterfarben abhngig davon,
welche Einstellungen das Designpaket enthlt
Soll der Aero-Modus verwendet werden, muss ein Design aus der Kategorie Aero-Design aktiviert werden. Bei Auswahl eines Designs aus der
Kategorie Basisdesigns wird Aero nicht verwendet.
Fehlerbehebung bei Aero
Fehlt die Gruppe Aero-Designs in der Designauswahl, hat Windows 7

festgestellt, dass der Aero-Grafikmodus nicht zur Verfgung steht. Aero
wird nur dann angeboten, wenn der PC die Voraussetzungen erfllt. Eine
wesentliche Bedeutung kommt dabei der verwendeten Grafikkarte zu. Fr
die Nutzung von Aero muss der Rechner das Windows Display Driver Model
(WDDM) untersttzen und mit einer Aero-fhigen Grafikkarte bestckt
sein. Auerdem muss die Grafik-CPU ber mindestens 128 MB Arbeitsspeicher verfgen.
Wenn Sie den Monitor mit einer Auflsung von 1.024 x 768 Bildpunkten
betreiben, sollte die Grafikkarte ber 128 MB RAM verfgen. Zustzlich
muss ein WDDM-Treiber installiert sein. Bei dieser Art von Treiber laufen
groe Teile im Benutzermodus, nicht im Kernel des Betriebssystems.
Durch diese neue Technik ist sichergestellt, dass Abstrze aufgrund des
Grafiktreibers vermieden werden. Wenn der PC diesen Voraussetzungen
nicht entspricht, wird zwar trotzdem die neue Oberflche angezeigt,
allerdings ohne die Transparenzeffekte. Der Treiber der Grafikkarte muss
Aero ebenfalls untersttzen. Die Voraussetzungen fr die Aero-Darstellung sind zusammengefasst folgende:
Die Grafikkarte muss mindestens DirectX 9 untersttzen.
Es muss ein aktueller Grafikkartentreiber fr Windows 7 installiert sein.
Damit wirklich alle Aero-Effekte funktionieren, ist es wichtig, einen aktuellen Treiber Ihrer Grafikkarte, der 7-tauglich ist, zu installieren.
Die Grafikkarte muss Pixel Shader 2.0 untersttzen. Pixel Shader sind
kleine Programme, die von 3D-Grafikkarten zum Rendern verwendet
werden, um die einzelnen Pixel so anzuzeigen, dass komplexe Grafiken
dargestellt werden knnen. Oft werden die Chips auf den Grafikkarten,
die fr das Rendern zustndig sind, selbst als Pixel Shader bezeichnet.
Grafikkarten, die diesen Modus untersttzen, sind zum Beispiel ATI
Radeon 95009800, X300X600 oder die GeForce-FX-Serie von NVIDIA.
ltere Karten untersttzen meistens Pixel Shader 1.0, die aktuellsten
Grafikkarten bereits 3.0 (Radeon X1x-Serie, GeForce 6, GeForce 7) oder
4.0 (Radeon X2x, GeForce 8).
Die Grafikkarte muss ber 128 MB RAM verfgen. Bei einer Bildschirmauflsung von 1.600 x 1.200 Bildpunkten sind 256 MB angebracht.
179

Zustzlich muss ein WDDM-Treiber installiert sein. Um auch Grafik-
karten ohne WDDM einsetzen zu knnen, verwendet Windows 7

automatisch einen anderen Grafikmodus bzw. ein Basisdesign ohne
Aero-Funktionen. In diesem Modus wird die Oberflche von der CPU
statt von der Grafikkarte erzeugt.
Unter Wartungscenter/Leistungsinformationen und -tools/Detaillierte Leistungs- und Systeminformationen anzeigen und drucken knnen Sie erkennen, ob Ihre Grafikkarte DirectX 9 untersttzt.
Treiberprobleme
Falls ein Treiber Probleme bereitet, sollte dieser gegen eine aktuellere Version ausgetauscht werden. Die Effekte und auch die Geschwindigkeit des
PC werden am besten mit einem Treiber direkt vom Hersteller untersttzt,
da diese deutlich besser an die Karten angepasst sind als die Treiber von
Microsoft. Sie sollten daher immer einen aktuellen Treiber von der Herstellerseite laden, auch wenn Ihrer Grafikkarte ein passender Treiber von Windows 7 zugewiesen wird. Ist fr ein Gert weder ein Windows 7- noch ein
Windows Vista-Treiber zu erhalten, knnen Sie versuchen, den Windows
XP-Treiber zu verwenden. Windows 7 untersttzt im Kompatibilittsmodus auch einige XP-Treiber.
Ausfhrliche Hinweise zur Behandlung von Treiberproblemen finden Sie
in Kapitel 2.
Wenn trotz aller Voraussetzungen die Oberflche nicht mit den Aero-Effekten angezeigt wird, kann der Problemlsungs-Assistent fr Aero Hilfestellung bieten. Um diesen zu starten, klicken Sie in der Systemsteuerung unterhalb der Kategorie System und Sicherheit auf den Link Probleme erkennen und
beheben und anschlieend unter Darstellung und Anpassung auf den Link
Aero-Desktopeffekte anzeigen.
Abbildung 4.4
Der Aero-Problemlsungs-Assistent
kann bei Problemen
mit Aero helfen.
180
Benutzeroberflche
Manche ltere Programme sind nicht mit Aero kompatibel. Wird ein solches Programm gestartet, deaktiviert Windows unter Umstnden Aero.
Nachdem ein inkompatibles Programm wieder beendet wurde, sollte
Aero wieder angezeigt werden. Falls dies nicht der Fall ist, stellen Sie in
den Anzeigeeinstellungen sicher, dass das Aero-Design und die Transparenz im Men Fensterfarbe und -darstellung des Desktops aktiviert sind.
Konfiguration eigener Designs

Dieser Abschnitt geht nher auf die Konfiguration der integrierten Designpakete in Windows 7 ein. Sie werden ber das bereits erwhnte Fenster zur
Konfiguration der Oberflche angesteuert.
Einzeln knnen hier die folgenden Komponenten angepasst werden:

Fensterfarbe- und -darstellung
Desktophintergrund
Sounds
Bildschirmschoner
Fensterfarbe
Fr das Aussehen der Oberflche sind die beiden Funktionen Desktophintergrund und Fensterfarbe zustndig.
Sie knnen einstellen, welche Farben die Fenster haben sollen, ob diese
transparent sein sollen, und eigene Farbmischungen kreieren. Auch die
detaillierte Transparenz der Fenster kann an dieser Stelle angepasst werden. Alle Einstellungen, die Sie an dieser Stelle vornehmen, werden sofort
angewendet.
Abbildung 4.5
Auswahl der Fensterfarbe fr ein
Aero-Design
181
Wenn Sie das Kontrollkstchen Transparenz aktivieren abschalten, werden

die Fensterrahmen nicht mehr transparent angezeigt. Windows entfernt
selbst das Hkchen, wenn die Hardware des PC keine Transparenz untersttzt. Wenn Sie das Hkchen selbst wieder manuell setzen, wird zwar
kurzzeitig unter Umstnden die Transparenz aktiviert, diese jedoch von
Windows 7 anschlieend selbststndig wieder deaktiviert, um die Stabilitt
des Systems nicht zu gefhrden.
Das in Abbildung 4.5 gezeigte Dialogfeld wird nur dargestellt, wenn Sie
ein Windows Aero-Design aktivieren. Bei der Auswahl eines der Basisdesigns erscheint das von den Vorgngerversionen bekannte Dialogfeld
Fensterfarbe und -darstellung.
Abbildung 4.6
Konfiguration der
Desktopeinstellungen fr ein Basisdesign
Desktophintergrund
Auch auf Unternehmens-PCs spielt die Auswahl eines Hintergrundbildes
eine wichtige Rolle; sei es fr PCs auf Messen oder Veranstaltungen, aber
auch auf den Arbeitsstationen der Mitarbeiter. Die Arbeit mit einem schnen Hintergrundbild ist auch fr Profis wesentlich angenehmer, als nur auf
einen eintnigen Bildschirm zu sehen, wenn man zwischen Anwendungen
wechselt.
Mithilfe der Option Desktophintergrund im Anpassungsfenster knnen Sie
einstellen, welches Hintergrundbild verwendet werden soll. Dazu stehen
Ihnen verschiedene hochauflsende Bilder zur Verfgung. Sie knnen den
Desktop aber auch einfarbig gestalten und die Farbe an dieser Stelle auswhlen. Windows 7 ist mit einer ganzen Reihe von Beispielbildern ausgestattet. Weitere Bilder fr Windows 7 finden Sie zum Beispiel auf der
Internetseite des offiziellen Fotografen der Hintergrundbilder fr Windows Vista: www.hamaddarwish.com. Auerdem knnen natrlich auch
eigene Bilder verwendet werden.
182
Benutzeroberflche
Wenn Sie die Bilddateien in Ihr Windows-Profil kopiert haben, finden

Sie dieses im Ordner C:\Benutzer\<Benutzername> bzw. in der Bibliothek Bilder. Nhere Informationen zur Anwendung von Bibliotheken
finden Sie im Abschnitt 4.4.4 ab Seite 213.
Wenn Sie die Beispielbilder von Windows verwenden wollen, finden
Sie diese im Verzeichnis C:\Benutzer\ffentlich\ffentliche Bilder\Beispielbilder.
Wie bereits bei den Vorgngerversionen kann die Bildposition angepasst
und das Bild beispielsweise zentriert werden. Bei einem zentrierten Hintergrundbild wird dieses in seiner originalen Auflsung dargestellt.
Wenn Sie den Monitor in einer hheren Auflsung betreiben, erscheint
um das Bild ein Rahmen, da nicht der gesamte Desktop ausgefllt wird.
Hat das Bild eine hhere Auflsung als Ihr PC, wird das Bild nicht komplett dargestellt. Sie knnen das Bild strecken lassen, damit es sich auf
den kompletten Desktop ausstreckt.
Abbildung 4.7
Auswhlen des Desktophintergrunds in
Windows 7
Vielen Anwendern ist es zu eintnig, immer das gleiche Hintergrundbild Regelmiger

zu verwenden, aber auch zu aufwendig, jedes Mal das Bild ber das Men Wechsel des
in Windows zu wechseln. Auch in Unternehmen kann es durchaus sinnvoll Hintergrunds
sein, Benutzern das Wechseln von Hintergrundbildern zu erlauben.
Mithilfe der Option Bild ndern alle xxx Minuten kann festgelegt werden,
wie hufig der Desktophintergrund gewechselt werden soll.
183
Sound
Windows kann Ereignisse mit Klngen untermalen, wofr natrlich eine
Soundkarte und Lautsprecher erforderlich sind. Ein Ereignis kann eine
vom Benutzer ausgefhrte Aktion sein, beispielsweise das Anmelden
beim Computer oder eine vom Computer ausgefhrte Aktion, beispielsweise um auf den Eingang einer neuer E-Mail hinzuweisen.
Windows enthlt verschiedene Soundschemas (Sammlungen verwandter
Sounds) fr allgemeine Ereignisse.
Ein Klick auf Sounds ffnet die Klangzentrale, in der Sie ein anderes
Soundschema whlen oder ein vorhandenes Soundshema ndern knnen. Welche Klnge ein Soundschema tatschlich enthlt, sehen Sie in der
Liste darunter. Klicken Sie auf ein Ereignis, kann der zugewiesene Klang
mit der Schaltflche Testen angespielt werden.
Abbildung 4.8
Konfiguration der
Windows-Systemklnge
Bildschirmschoner
Zwar schonen Bildschirmschoner schon lange keine Bildschirme mehr,
trotzdem kann die Verwendung eines Bildschirmschoners sinnvoll sein.
Weil Bildschirmschoner automatisch aktiv werden, wenn der Computer
eine Zeit lang nicht benutzt wird, erhhen sie die Sicherheit, sofern sie mit
einem Kennwortschutz versehen sind. Das Bildschirmschonerkennwort ist
identisch mit dem Kennwort, das fr die Anmeldung bei Windows verwendet wird.
Um einen Bildschirmschoner zu aktivieren, klicken Sie in dem in Abbildung 4.9 gezeigten Dialogfeld in der Liste Bildschirmschoner auf eine
Option und klicken auf OK. Aktivieren Sie dann die Option Anmeldeseite
bei Reaktivierung, und legen Sie fest, nach wie vielen Minuten der Bildschirmschoner gestartet werden soll. Die Wartezeit sollte nicht zu lang
sein, sodass nicht autorisierte Personen keine Gelegenheit haben, auf
Ihren Computer zuzugreifen. Gleichzeitig sollten Sie aber auch keine zu
kurze Wartezeit whlen, damit der Bildschirmschoner den Computer
nicht sofort sperrt, wenn er nur fr einen Moment nicht verwendet wird.
184
Benutzeroberflche
Abbildung 4.9
Auswahl und Konfiguration eines Bildschirmschoners
Minianwendungen
Abschlieend lohnt noch ein Blick auf die integrierten Minianwendungen. In Windows 7 sind bereits einige Minianwendungen (sogenannte Gadgets) enthalten, die das Wetter, aktuelle Brsenkurse aus dem Internet oder
RSS-Feeds von Nachrichtenseiten anzeigen.
Alle Minianwendungen dienen immer nur einem ganz bestimmten Zweck.
Der Anwender kann daher sehr przise entscheiden, welche Applikationen er angezeigt bekommen will und welche nicht. Alle verfgbaren Minianwendungen werden in der Minianwendungsgalerie aufgelistet und knnen hier per Doppelklick dem Desktop hinzugefgt werden.
Abbildung 4.10
Minianwendungsgalerie
185
Die Windows-Sidebar ist in Windows 7 nicht mehr enthalten. Stattdessen knnen nun die Minianwendungen auf dem Desktop beliebig
positioniert werden.
4.1.3
Konfiguration der Anzeige und des

Bildschirms
Hinter der Option Anzeige im Anpassungsfenster des Desktops verbirgt

sich eine Reihe von Funktionen zur Anpassung der Anzeige und zur Verbesserung der Lesbarkeit auf dem Bildschirm. So knnen Sie hier beispielsweise die Auflsung des Bildschirms sowie die Untersttzung fr mehrere
Bildschirme konfigurieren.
Abbildung 4.11
Das Dialogfeld
Anzeige bietet eine
Reihe wichtiger
Funktionen zur
Konfiguration der
Bildschirmeinstellungen.
Anzeigeeinstellungen und Auflsung

Wenn Sie an Ihrem Desktop-PC zustzlich einen weiteren Monitor anschlieen, zum Beispiel am DVI-Eingang, knnen Sie den Desktop auf einen
zustzlichen Monitor erweitern. Auch Notebook-Anwender knnen diese
Funktion nutzen. So knnen Sie zum Beispiel auf dem zweiten Bildschirm
Outlook ffnen und auf dem ersten Monitor beispielsweise mit Microsoft
Word arbeiten.
Durch einen zustzlichen Monitor erreichen viele Anwender eine optimale
und effiziente Arbeitsumgebung. So eignen sich zwei 19-Zoll-Monitore
deutlich besser zum Arbeiten als ein einzelner 21- oder 22-Zoll-Monitor.
Sie knnen in dem in Abbildung 4.12 gezeigten Dialogfeld durch einfache
Bewegung mit der Maus zwischen den Bildschirmen hin und her wechseln
und beispielsweise mittels Drag&Drop die Reihenfolge der Monitore bestimmen sowie fr jeden angeschlossenen Monitor eine eigene Auflsung whlen.
186
Benutzeroberflche
Abbildung 4.12
Konfiguration der
Anzeige von
Windows 7 mit
mehreren Monitoren
Wenn Sie die Schaltflche Identifizieren anklicken, wird auf jedem Bildschirm die Nummer angezeigt, die Windows diesem zugewiesen hat.
ber den Link Erweiterte Einstellungen knnen Sie darber hinaus tiefer
gehende Systemeinstellungen vornehmen (siehe Abbildung 4.13).
Abbildung 4.13
Erweiterte Einstellungen fr die
Anzeige
Sie erkennen an dieser Stelle die Ausstattung der Grafikkarte und knnen
ber die Schaltflche Eigenschaften die Konfiguration des aktiven Treibers
der Grafikkarte konfigurieren. Auf der Registerkarte Treiber wird die Version des aktuellen Treibers angezeigt. ber die Schaltflche Treiber aktualisieren knnen Sie einen neuen Treiber fr Ihre Grafikkarte installieren.
187
Wenn nach der Installation eines Grafikkartentreibers Probleme auftreten, sollten Sie die Option Vorheriger Treiber verwenden. Dadurch wird
der letzte Treiber aktiviert, mit dem das Gert funktioniert hat. Dieses
Vorgehen funktioniert brigens nicht nur bei Grafikkarten, sondern
auch fr alle anderen Gerte.
Auf der Registerkarte Monitor in den erweiterten Einstellungen der Anzeige
wird Ihnen die Bildwiederholrate des Monitors angezeigt. Wenn Sie einen
TFT-Monitor verwenden, sind 60 Hertz in der Regel in Ordnung. Beim Einsatz eines herkmmlichen Rhrenmonitors sollten hier aber mindestens
75 Hertz eingestellt sein, besser mehr, da ansonsten viele Anwender bei
ihrem Monitor ein Flimmern feststellen.
Abbildung 4.14
Eigenschaften des
Monitors in den
erweiterten
Einstellungen
In dem in der Abbildung 4.14 gezeigten Dialogfeld versteckt sich auch die
Option Farbtiefe. Achten Sie auch darauf, in den Anzeigeeinstellungen
eine 32-Bit-Farbtiefe zu aktivieren, ansonsten werden die Aero-Effekte
nicht immer angezeigt.
Desktopsymbole und Schriftgrad ndern

Viele Anwender wollen nicht die groen Symbole auf dem Desktop nutzen,
die in Windows 7 standardmig eingestellt sind. Im Dialogfeld Anzeige
kann die Gre der Systemschriften und die der grafischen Elemente allgemeingltig angepasst werden. Dazu verringern Sie die Skalierung fr DPI
(Dots Per Inch). Je grer die Anzahl der Punkte pro Zoll, desto hher ist
die Auflsung.
Soll nur die Gre der Symbole auf dem Desktop angepasst werden, ist
jedoch eine andere Funktion vorzuziehen. Indem Sie mit der rechten Maustaste auf den Desktop klicken und im daraufhin geffneten Kontextmen
einen geeigneten Eintrag im Untermen Ansicht auswhlen, kann die Symbolgre jederzeit einfach gendert werden.
188
Benutzeroberflche
Noch schneller kann die Gre der Desktop-Symbole mit der Maus
angepasst werden. Klicken Sie dazu mit der linken Maustaste auf den
Desktop, und halten Sie dann die (Strg)-Taste gedrckt. Mit dem
Scrollrad der Maus lsst sich die Gre der Symbole jetzt stufenlos
anpassen. Dieser Trick funktioniert auch in so gut wie allen anderen
Fenstern in Windows 7, auch innerhalb von Ordnern.
Sie knnen die Symbole fr jedes beliebige Programm auf dem Desktop
ndern, wenn Sie auf die Schaltflche Anderes Symbol in den Eigenschaften
der Verknpfung klicken. Die Verknpfungen der Programme sind die
Symbole auf dem Desktop. Wenn Sie ein solches Symbol auf dem Desktop
mit der rechten Maustaste anklicken, knnen Sie ber das Kontextmen
die Eigenschaften ffnen. Die meisten Windows 7-Symbole stehen Ihnen
zur Verfgung, wenn Sie zur Symbolauswahl die Schaltflche Durchsuchen
anklicken und anschlieend die Datei C:\Windows\System32\imageres.dll
auswhlen.
Vor allem Anwender mit Monitoren und Grafikkarten, die hohe Auflsun- Systemschriftart
gen untersttzen, stren bei diesen Auflsungen oft die kleinen Schriftar- vergrern
ten auf dem Desktop. Die Gre der Schriften kann ebenfalls im Dialogfeld
Anzeige angepasst werden. Dazu lassen sich vordefinierte Werte verwenden oder benutzerdefinierte Einstellungen vornehmen.
Abbildung 4.15
Festlegung einer
benutzerdefinierten
Textgre
ClearType und Antialiasing

Die Option ClearType-Text anpassen im Anzeige-Dialogfeld startet einen Assistenten zur Konfiguration der Kantenglttung durch ClearType. Dahinter verbirgt sich das eigenstndige Programm ClearType-Tuner, das auch mithilfe
des Befehls cttune.exe gestartet werden kann.
ClearType dient dazu, Computerschriftarten klar und mit gegltteten ClearType
Kanten anzuzeigen. Bildschirmtext kann mithilfe von ClearType detaillierter dargestellt werden und ist daher ber einen lngeren Zeitraum
besser zu lesen, da die Augen nicht belastet werden. Jedes Pixel in einer
Schriftart besteht aus drei Teilen: Rot, Blau und Grn. ClearType verbessert die Auflsung, indem die einzelnen Farben im Pixel aktiviert und
deaktiviert werden. Ohne ClearType muss das gesamte Pixel aktiviert
oder deaktiviert werden. Durch diese genauere Steuerung der Rot-, Blau-
189
und Grnanteile eines Pixels kann die Deutlichkeit auf einem LCD-Monitor deutlich verbessert werden.
ClearType nutzt die Besonderheit der LCD-Technologie, bei der sich Pixel
an einer festen Position befinden, indem Teile des Pixels aktiviert und
deaktiviert werden. Daher funktioniert ClearType auf einem CRT-Monitor
nicht auf die gleiche Weise, da in einem CRT-Monitor ein Elektronenstrahl
verwendet wird, um Pixel anzuregen oder zu bewegen, anstatt die Pixel an
festen Positionen zu belassen. Dennoch kann der Einsatz von ClearType
die Deutlichkeit auf CRT-Monitoren verbessern, da die gezackten Kanten
der einzelnen Buchstaben durch ClearType geglttet werden. Dies wird als
Antialiasing bezeichnet.
ClearType ist in Windows 7 standardmig aktiviert. Wird ClearType
ausgeschaltet, verwendet Windows die klassische Schriftenglttung.
Der in Windows 7 integrierte ClearType-Tuner ermglicht es, die Schriftenglttung auf die vorhandene Hardware und Ihr persnliches Empfinden abzustimmen. Dazu stellt der Tuner zuerst die optimale Bildschirmauflsung ein und stellt dann verschiedene Textbeispiele zur Auswahl.
Durch das Feedback kann ClearType erkennen, welche Geometrie die
Hardware verwendet, und die Schriftenglttung optimal abstimmen.
Abbildung 4.16
Ein Assistent hilft,
die optimale ClearType-Einstellung zu
finden.
Vor allem die Schriftarten Constantia, Cambria, Corbel, Candara, Calibri und Consolas werden mit ClearType optimal dargestellt.
190
Startmen
4.2
Startmen
Zu den wichtigsten Benutzerschnittstellen unter Windows 7 zhlt sicherlich das Startmen. So sind beispielsweise alle installierten Programme
im Startmen zu finden. Sie knnen durch die Programme navigieren
bzw. ein Programm starten, indem Sie mit der Maus auf die Verknpfung
klicken, es ist kein Doppelklick notwendig.
Bei den am hufigsten bentigten Programmen, die wie bisher in einer kurzen bersicht angezeigt werden, sind unter Windows 7 nun oft verwendete Funktionen oder zuletzt geffnete Dateien mit einem Klick auf einen
kleinen Pfeil am jeweiligen Eintrag zugnglich.
Das Startmen besteht aus fnf Bereichen, die einzeln anpassbar sind:
Programmbereich mit den zuletzt verwendeten Programmen
Alle Programme ermglicht Zugriff auf alle installierten Anwendungen
Suchfeld fr die Volltextsuche
Systembereich ermglicht Zugriff auf die wichtigsten WindowsFunktionen
Ausschaltoptionen
Abbildung 4.17
Das Startmen in
Windows 7
Wenn Sie auf das Benutzersymbol klicken, kommen Sie direkt zur Einstellung der Benutzerkonten in der Systemsteuerung.
Jeder Bereich des Startmens bietet ein eigenes Kontextmen an, das alle
spezifischen Funktionen fr den gewhlten Bereich bereitstellt.
191
Wenn Sie es zum Beispiel gewohnt sind, die Option Arbeitsplatz zum
Erreichen der Systemeigenschaften zu verwenden, knnen Sie hierfr
den Menbefehl Computer, der unter Windows 7 dem Arbeitsplatz von
Windows XP entspricht, verwenden. Im Kontextmen von Computer in
der Startleiste finden Sie alle Optionen, die Sie bisher auch ber Arbeitsplatz erreichen konnten.
Abbildung 4.18
Kontextmen
einzelner Bereiche
im Startmen
Anwender frherer Windows-Versionen werden mglicherweise die

Schnellstartleiste fr den schnellen Zugriff auf ausgewhlte Anwendungen
vermissen. Diese existiert unter Windows 7 nicht mehr. Stattdessen knnen
Anwendungen auf der Taskleiste verankert werden. ffnen Sie beispielsweise das Kontextmen eines Anwendungssymbols im Startmen, haben
Sie die Mglichkeit, das Programm an die Taskleiste anzuheften. Whlen
Sie in diesem Fall im Kontextmen den Eintrag An Taskleiste anheften aus
(siehe Abbildung 4.19).
Abbildung 4.19
Kontextmen
einzelner Bereiche
im Startmen
4.2.1
Ausschaltoptionen
Zu den wichtigsten Bereichen des Startmens gehrt sicherlich das Men

Herunterfahren.
Abbildung 4.20
Die Ausschaltoptionen in Windows 7
192
Startmen
Hier stehen die folgenden Mglichkeiten zur Verfgung:

Benutzer wechseln Bei der Auswahl dieses Befehls bleibt die derzeitige Sitzung ganz normal aktiv, es erscheint aber ein weiteres Fenster
zur Benutzeranmeldung. An dieser Stelle kann sich jetzt ein weiterer
Anwender am PC anmelden. Der neue Anwender verwendet seine
eigene Sitzung, und es kann jederzeit wieder zur anderen Sitzung
gewechselt werden, da diese nicht abgemeldet wurde.
Abmelden Mit diesem Befehl wird der derzeitige Benutzer vom PC
abgemeldet, und es erscheint ein Anmeldefenster, ber das sich ein
Benutzer anmelden kann, um mit dem PC zu arbeiten. Diese Option
ist sinnvoll, wenn sich mehrere Anwender einen PC teilen.
Sperren Dieser Befehl sperrt den Computer. In diesem Fall bleibt der
derzeitig angemeldete Benutzer weiterhin angemeldet, alle Programme
bleiben gestartet, aber man kann erst wieder arbeiten, wenn das Kennwort des Anwenders eingegeben oder der PC neu gestartet wird. Sie
knnen den PC auch ber die Tastenkombination ()+(L) sperren.
Neu starten Nach Auswahl dieses Befehls wird der PC neu gestartet.
Der Benutzer wird also abgemeldet, der PC fhrt herunter und startet
kurz darauf automatisch wieder neu.
Energie sparen Mit dieser Option wird der Rechner in den Energiesparmodus versetzt. Der PC ist dabei allerdings nicht vollkommen ausgeschaltet, der Arbeitsspeicher wird noch mit Strom versorgt. Beim
Starten des PC muss nicht erst neu gebootet werden, sondern der
Zustand beim Beenden wird sehr schnell wiederhergestellt. Es kommt
keine Zwischenfrage mehr, sondern die Aktion wird sofort durchgefhrt.
Ruhezustand Bei Auswahl dieses Befehls wird der Inhalt des Arbeitsspeichers auf die Festplatte gespeichert und der PC ausgeschaltet. Im
Gegensatz zum Energiesparmodus wird der PC tatschlich komplett
ausgeschaltet. Aus dem Ruhezustand wird der PC schneller wieder
zum aktuellen Stand beim Speichern zurckgefhrt als bei einem
Neustart.
Herunterfahren Beim Auswhlen dieser Option wird der PC heruntergefahren und bei aktueller Hardware auch automatisch ausgeschaltet. Bei aktuellen PCs und Notebooks fhrt der Rechner auch
herunter, wenn Sie einmal auf den Ausschaltknopf drcken. Wenn Sie
den Knopf lnger gedrckt halten, wird der PC ausgeschaltet, ohne
Windows herunterzufahren. Sie sollten den PC aber nur ausnahmsweise auf diese Weise ausschalten, wenn er nicht mehr reagiert.
Die standardmig vorhandene Schaltflche Herunterfahren kann

gegen eine andere Funktion ersetzt werden. In den Eigenschaften von
Startmen ist es mglich, die Standardaktion fr Beenden beispielsweise
auf Energie sparen oder Sperren zu ndern.
193

Alternative:
Shutdown.exe
Zum Herunterfahren und Neustarten knnen Sie auch den Befehl shutdown.exe verwenden. Die wichtigsten Optionen des Shutdown-Befehls sind:
/i Zeigt eine grafische Benutzeroberflche an. Dies muss die erste
Option sein.
/l Meldet den aktuellen Benutzer ab. Diese Option kann nicht zusammen mit den Optionen /m oder /d verwendet werden.
/s Fhrt den Computer herunter.
/r Fhrt den Computer herunter und startet ihn neu.
/a Bricht das Herunterfahren des Systems ab.
/p Schaltet den lokalen Computer ohne Zeitlimitwarnung aus. Kann
mit den Optionen /d und /f verwendet werden.
/h Versetzt den lokalen Computer in den Ruhezustand.
/m \\<Computer> Legt den Zielcomputer fest.
/t xxx Stellt die Zeit vor dem Herunterfahren auf xxx Sekunden ein.
Der gltige Bereich ist von 0 bis 600, der Standardwert ist 30. Die Verwendung von /t setzt voraus, dass die Option /f verwendet wird.
/c "Kommentar" Kommentar bezglich des Neustarts bzw. Herunterfahrens. Es sind maximal 512 Zeichen zulssig.
/f Erzwingt das Schlieen ausgefhrter Anwendungen ohne Vorwarnung der Benutzer. /f wird automatisch angegeben, wenn die Option /t
verwendet wird.
/d [p|u:]xx:yy Gibt die Ursache fr den Neustart oder das Herunterfahren an. p gibt an, dass der Neustart oder das Herunterfahren geplant ist. u
gibt an, dass die Ursache vom Benutzer definiert ist. Wenn weder p noch
u angegeben ist, ist das Neustarten oder Herunterfahren nicht geplant.
Der Shutdown-Befehl kann auch zum Herunterfahren bzw. dem Neustart von Remotecomputern verwendet werden.
Beispiele
Wenn Sie den Befehl shutdown r f t 0 eingeben, fhrt der PC sofort herunter. Die Option f zwingt den PC zum Beenden der laufenden Anwendungen, auch wenn nicht gespeichert wurde.
Der Befehl shutdown s f fhrt den PC herunter und startet ihn nicht neu.
Mit dem Befehl shutdown a kann der aktuelle Vorgang abgebrochen werden, wenn der PC noch nicht mit dem Herunterfahren begonnen hat, sondern die Zeit noch luft.
4.2.2
Das Startmen konfigurieren
Darber hinaus kann auch das Startmen an die Benutzerbedrfnisse mithilfe der Option Eigenschaften im Kontextmen von Start angepasst werden.
Vor allem den Befehl Ausfhren, um beispielsweise die Eingabeaufforderung
direkt zu ffnen, werden viele Power-User im Startmen zunchst vermissen. Diesen Befehl beispielsweise knnen Sie dem Startmen hinzufgen,
vorausgesetzt Sie verfgen ber die entsprechenden Berechtigungen.
194
Startmen
Abbildung 4.21
Hinzufgen des
Befehls Ausfhren
zum Startmen
ber die restlichen Registerkarten in diesem Dialogfeld knnen Sie das

Aussehen der Startleiste anpassen und festlegen, welche zustzlichen
Symbolleisten auf dem Desktop angezeigt werden sollen.
Hierbei ist jedoch zu beachten, dass viele Programme auch direkt ber Anwendungen
im Suchfeld
das Suchfeld des Startmens gestartet werden knnen.
starten
Abbildung 4.22
Anwendungen
starten mithilfe des
Suchfeldes im Startmen
Der Befehl cmd beispielsweise startet eine Eingabeaufforderung, ber

regedit wird der Registrierungs-Editor gestartet, und auch die anderen
Programme knnen wie gewohnt gestartet werden.
Den Teil des Startmens, das Sie ber Start/Alle Programme erreichen kn- Startmen im
nen, ist eine Sammlung von Verknpfungen, die in Ordnern dargestellt WindowsExplorer
werden.
Sie knnen den Inhalt des Startmens auch im Windows-Explorer anpassen und Verknpfungen erstellen sowie Ordner oder Verknpfungen
umbenennen. Viele Funktionen erreichen Sie zwar grundstzlich auch
direkt ber das Startmen und das Kontextmen, bequemer ist allerdings
oft die direkte Bearbeitung im Windows-Explorer. Das Startmen setzt
anpassen
195
sich allerdings nicht nur aus einem einzelnen Verzeichnis auf der Festplatte zusammen, sondern aus den beiden Verzeichnissen:
C:\Benutzer\<Benutzername>\AppData\Roaming\Microsoft\Windows\
Startmen
C:\ProgramData\Microsoft\Windows\Startmen
Das Startmen, das Sie im Windows-Explorer sehen, ist eine gemeinsame
Ansicht dieser beiden Verzeichnisse. Wenn Sie also einen Eintrag aus dem
einen Verzeichnis lschen, kann der entsprechende Eintrag noch immer im
Startmen angezeigt werden, da dieser noch im anderen Verzeichnis enthalten ist. Damit Sie diese Verzeichnisse angezeigt bekommen, mssen Sie die
versteckten Dateien anzeigen lassen. Gehen Sie hierzu folgendermaen vor:
1. ffnen Sie, zum Beispiel ber Start/Computer, den Windows-Explorer.
2. Klicken Sie auf Organisieren/Ordner- und Suchoptionen.
3. Holen Sie die Registerkarte Ansicht in den Vordergrund.
4. Deaktivieren Sie das Kontrollkstchen Geschtzte Systemdateien ausblenden (empfohlen).
5. Aktivieren Sie im Abschnitt Versteckte Dateien und Ordner die Option
Ausgeblendete Dateien, Ordner und Laufwerke anzeigen.
4.3
Windows-Taskleiste
Bei keiner anderen Benutzerschnittstelle sind die Neuerungen gegenber

den Vorgngerversionen so augenfllig wie bei der neuen, von Microsoft
als Superbar bezeichneten Taskleiste von Windows 7.
4.3.1
Arbeiten mit der Taskleiste
Der wohl grte Unterschied fllt schon beim ersten Blick auf die Taskleiste ist grer geworden. Dies erleichtert zum einen die Erkennbarkeit
der Symbole bei hohen Auflsungen und soll vor allem Benutzern von
berhrungsempfindlichen Bildschirmen ermglichen, die Taskleiste mit
den Fingern zu bedienen. Durch die etwas grere Darstellung der Symbole und Programmfenster lassen sich diese besser mit den Fingern treffen. Auf Wunsch knnen die Symbole aber auch in der verkleinerten Darstellung der Vorgngerversionen angezeigt werden.
Neuerungen der
Superbar
196
Aber auch in ihrer Funktionalitt hat die neue Taskleiste deutlich hinzugewonnen. Zu den wichtigsten Leistungsmerkmalen zhlen:
Wie bei den Vorgngerversionen werden laufende Anwendungen in
der Taskleiste angezeigt. Der Anwender kann mit einem Klick auf das
jeweilige Symbol zur gewnschten Anwendung wechseln.
Zugleich bernimmt die Superbar die Rolle der frheren SchnellstartSymbolleiste. Mithilfe der Option An Taskleiste anheften und auch per
Drag&Drop knnen die wichtigsten Anwendungen dauerhaft auf der
Taskleiste platziert werden. Das Anheften ist nur durch den Anwender selbst mglich, Programme knnen dies whrend ihrer Installation nicht selbst durchfhren.
Windows-Taskleiste
Abbildung 4.23
Programme an
Taskleiste anhaften
Ist ein Programm angeheftet, verbleibt dessen Symbol auch nach dem
Schlieen weiterhin in der Taskleiste. Es ist jedoch schon etwas Aufmerksamkeit erforderlich, um zu erkennen, ob der Klick auf ein Symbol zu dem Programm wechselt oder es neu startet.
Um die Zustnde geladener und nicht geladener Tasks zu unterscheiden, wird das Symbol von einem Rahmen hinterlegt, woran sich
erkennen lsst, dass es derzeit aktiv ist. Holt man ein Fenster in den
Vordergrund, wird der Symbolhintergrund aufgehellt dargestellt.
Verlangt ein Programm die Aufmerksamkeit des Nutzers, blinkt das
Symbol zudem in der jeweiligen Farbe.
Sind mehrere Fenster der gleichen Software geffnet, werden diese
gruppiert angezeigt. Normalerweise wird dazu ein Mehrfachrahmen
hinter das jeweilige Symbol gelegt, um so zu verdeutlichen, dass tatschlich mehrere Fenster geffnet sind.
Die Superbar-Icons knnen per Maus beliebig sortiert und verscho-
ben werden. Dies gilt sowohl fr dauerhaft angeheftete ProgrammFavoriten als auch fr laufende Programme.
Die Instanzen bzw. Fenster einer Anwendung erscheinen beim Mouse
over (ohne Klick) auf das Symbol als Vorschaufenster. Fhrt man dann
ber die Vorschaubilder, kann man die geffneten Fenster bei Bedarf
schlieen oder spezielle Funktionen des jeweiligen Programms nutzen.
Alle weiteren Fenster werden beim Mouse over auf ein Vorschaufenster
ausgeblendet. Dazu kommt die Funktion Aero Peek zum Einsatz. Aero
Peek ist eine neue Funktion der Aero-Oberflche. Sie blendet die
Inhalte der Programmfenster aus, zeigt aber ihre Rahmen an der bestehenden Position weiter an. Dadurch wird der Blick auf den Desktop
frei. Der kleine Balken ganz rechts in der Taskleiste minimiert ebenfalls
alle Fenster und gibt den Blick auf den Desktop frei.
Die Arbeit mit dauerhaft angehefteten Symbolen wird durch zwei
sehr ntzliche Tastenkombinationen untersttzt:
()+Mausklick auf das Superbar-Icon startet eine neue Instanz
der angeklickten Anwendung.
()+(Strg)+Mausklick auf das Superbar-Icon startet eine neue
Instanz mit Administratorrechten.
Jede Anwendung der Superbar bietet ein erweitertes Kontextmen.
Diese als Sprungliste (engl. Jumplist) bezeichnete Liste erscheint nach
einem Klick mit der rechten Maustaste auf das Tasksymbol. Alternativ
Abbildung 4.24
Laufende Anwendungen erscheinen
neben ProgrammFavoriten
197
kann man mit gedrckter linker Maustaste das Symbol festhalten und
die Maus nach oben bewegen. Der Inhalt einer Jumplist hngt vom
gewhlten Programm ab. Manchmal bieten sie auch den Schnellzugriff
auf Befehle fr Aufgaben wie das Verfassen neuer E-Mail-Nachrichten
oder das Wiedergeben von Musik. In der Jumplist fr Internet Explorer 8 werden beispielsweise hufig besuchte Websites angezeigt, und
der Windows Media Player 12 enthlt hufig abgespielte Musiktitel.
Auerdem knnen dort beliebige Dateien angeheftet werden.
Abbildung 4.25
Sprunglisten bieten
einen schnellen
Zugriff auf hufig
benutzte Dateien
oder Links.
Bei einigen Tasks dient die Superbar als Fortschrittsanzeige. Hierzu
fllt sich das Tasksymbol mit Farbe, beispielsweise bei Kopieraktionen

mit dem Windows-Explorer oder bei Downloads ber den Internet
Explorer. Ldt man zum Beispiel eine Datei mit dem Internet Explorer
herunter, fllt sich der Rahmen langsam mit einem grnen Balken, der
erkennen lsst, wie weit der Download vorangeschritten ist.
Die meisten der beschriebenen Funktionen setzen die Aero-Desktopeffekte voraus. Ist Aero abgeschaltet, zeigt Windows beispielsweise
anstelle der Live-Vorschau nur ein Men mit der Liste der aktiven
Fenster wie bei den Vorgngerversionen an.
4.3.2
Taskleiste konfigurieren
Natrlich knnen das Aussehen und das Verhalten der Taskleiste angepasst werden. Bei Bedarf lsst sich beispielsweise auch die Abschaltung
der Aero-Effekte erzwingen. Statt transparent zu erscheinen, haben Fenster und die Taskleiste in diesem Modus eine vollflchige Fllung.
ber das Kontextmen knnen Sie die Eigenschaften der Taskleiste aufrufen. Auf der Registerkarte Taskleiste steht eine Reihe ntzlicher Optionen
zur Verfgung. So ist es beispielsweise mglich, die Fixierung der Taskleiste aufzuheben. Ist diese Option aktiviert, knnen die Gre und die
Position der Taskleiste sowie die der Symbolleisten nicht verndert werden. Mchten Sie die Gre oder die Position der Taskleiste oder die der
Symbolleisten anpassen, muss dieser Punkt zunchst deaktiviert werden.
Weiterhin kann festgelegt werden, ob die Programmsymbole gruppiert
werden sollen. Bei Aktivierung dieser Option werden zum Beispiel alle
198
Windows-Taskleiste
geffneten Fenster nicht mehr als eigenes Symbol angezeigt, sondern als ein
Symbol, das darstellt, dass mehrere Instanzen momentan geffnet sind.
Abbildung 4.26
Konfiguration der
Taskleiste
Am rechten (oder je nach Position auch unteren) Rand der Taskleiste befin- Infobereich
det sich der Infobereich mit seinen zahlreichen Symbolen. Diese informie- konfigurieren
ren beispielsweise ber den Zustand des Akkus und der Netzwerkverbindungen oder informieren ber eingegangene Mails in Outlook.
Abbildung 4.27
Dialogfeld zur
Konfiguration des
Infobereichs der
Taskleiste
Der Infobereich konnte schon unter Vista so konfiguriert werden, dass nur
noch die wirklich relevanten Symbole erscheinen. Die Superbar bietet hierzu
199
erweiterte Filtermglichkeiten. Man hat nun die Mglichkeit, fr jedes einzelne Symbol genau festzulegen, ob es angezeigt oder versteckt werden soll.
Dabei trennt Microsoft systemeigene Symbole von denen zustzlicher Programme. Im Dialogfeld Infobereichsymbole knnen Sie bestimmen, welche
Elemente im Infobereich neben der Uhr eingeblendet werden.
Symbolleisten
konfigurieren
ber die Registerkarte Symbolleisten knnen Sie die vorhandenen Symbolleisten einblenden lassen, aber auch eigene neue Symbolleisten erstellen.
Abbildung 4.28
Auswahl der
Symbolleisten, die
innerhalb der
Taskleiste angezeigt
werden sollen
4.4
Windows-Explorer
Der Windows-Explorer ist noch immer die Schaltzentrale von Windows

zur Navigation innerhalb von Verzeichnissen und zur Verwaltung von
Dateien.
Und dank einiger neuer ntzlicher Funktionen wird die Arbeit mit dem
Windows-Explorer unter Windows 7 deutlich vereinfacht. Alle Neuerungen vorzustellen wrde den Rahmen dieses Buches sprengen, weshalb
sich die nachstehenden Abschnitte auf die wichtigsten Bereiche und Aufgaben des Windows-Explorers konzentrieren.
4.4.1
Windows-Explorer starten
Es mag merkwrdig anmuten, dem Start einer Anwendung einen ganzen

Abschnitt zu widmen. Da aber der Windows-Explorer nicht nur als Befehl
im Startmen vertreten ist, sondern ber eine Vielzahl unterschiedlicher
Varianten mit unterschiedlicher Ansicht geffnet werden kann, lohnt ein
Blick auf die verschiedenen Mglichkeiten.
Die am meisten verbreiteten Varianten zum ffnen des Windows-Explorers sind folgende:
Klicken Sie mit der rechten Maustaste auf das Symbol des Startmens,
und whlen Sie im Kontextmen die Option Windows-Explorer ffnen.
Der Windows-Explorer ffnet sich und zeigt die persnlichen Bibliotheken des Benutzers in der bersicht.
Sie knnen den Windows-Explorer auch starten, indem Sie im Suchfeld des Startmens den Begriff Explorer eingeben und die Auswahl
Windows-Explorer besttigen.
Auerdem lsst sich der Windows-Explorer ffnen, indem Sie einen
der mglichen Befehle im Startmen verwenden. Der gesamte obere
Bereich der rechten Spalte des Startmens startet den Windows-Explo-
200
Windows-Explorer
rer in unterschiedlichen Ansichten. So ffnet beispielsweise ein Klick

auf den Benutzernamen den persnlichen Ordner des Benutzers.
Mit der Tastenkombination ()+(E) wird der Explorer in der Computeransicht geffnet.
Unter Windows 7 kann der Windows-Explorer auch aus der Taskleiste
heraus geffnet werden, denn dort ist er standardmig angeheftet
(wie Sie Programme an die Taskleiste anheften knnen, erfahren Sie im
Abschnitt 4.3.1 ab Seite 196. Ist der Windows-Explorer bereits gestartet,
gengt es, mit der Maus auf das Explorer-Symbol zu zeigen. In diesem
Fall erscheint eine Vorschau smtlicher geffneter Explorer-Fenster.
Sie knnen sich mit einem Klick der rechten Maustaste auf den Desktop und Auswahl von Neu/Verknpfung eine Verknpfung zum Windows-Explorer auf dem Desktop anlegen. Geben Sie als Befehlszeile
explorer ein.
Die Erstellung einer Verknpfung bietet den Vorteil, dass der Windows- Startoptionen fr
Explorer mit verschiedenen Startoptionen aufgerufen werden kann. Ver- den Windowsfgbar sind die folgenden Parameter, die auch miteinander kombiniert Explorer
werden knnen:
Explorer <Pfad> Sie knnen den Windows-Explorer direkt gefolgt
von einem Pfad starten. In diesem Fall ffnet der Windows-Explorer
mit dem Fokus auf diesen Pfad.
/n ffnet ein neues Einzelfenster fr die Standardauswahl. Dies ist in
der Regel der Stamm des Laufwerks, auf dem Windows installiert ist.
/e Startet den Windows-Explorer mit der Standardansicht.
/root, <Ordner> ffnet eine Fensteransicht mit dem angegebenen
Ordner.
/select, <Ordner> ffnet eine Fensteransicht, wobei der angegebene
Ordner, die Datei oder das Programm ausgewhlt sind.
Explorer /root, C:\Windows Mit diesem Befehl wird der Ordner C:\
Windows geffnet und als Stammverzeichnis definiert. Innerhalb dieses Explorer-Fensters kann nicht zu einem bergeordneten Ordner
gewechselt werden. Achten Sie in diesem Fall auch auf das Komma
nach der Option /root.
Beispiele:
Explorer /select, C:\Windows\regedit.exe Dieser Befehl ffnet den
Explorer im Ordner C:\Windows und markiert die Datei regedit.exe
Explorer /root, \\<Server>\<Freigabe>, select, einkauf.xls Durch die
Kombination des Befehls wird als Stammverzeichnis die konfigurierte
Freigabe geffnet und die Datei einkauf.xls automatisch ausgewhlt.
4.4.2
Arbeiten mit dem Windows-Explorer
Im folgenden Abschnitt werden die Komponenten und Bereiche des Windows-Explorers im berblick vorgestellt.
201
Der Navigationsbereich
Der Navigationsbereich in der linken Spalte ist das zentrale Element des
Windows-Explorers. Der Explorer markiert in diesem Bereich den Ort,
den er gerade anzeigt. Andere Orte knnen direkt durch einen Mausklick
angesprungen werden.
Abbildung 4.29
Der Navigationsbereich des
Windows-Explorers
befindet sich an der
linken Fensterseite.
ber das kleine Pfeilsymbol knnen jeweils Unterebenen ein- und ausgeblendet werden. Wenn Sie auf das kleine Dreieck neben einem Ordner
einmal mit der linken Maustaste klicken, werden die Unterverzeichnisse
angezeigt. Ein weiterer Klick blendet die Unterverzeichnisse wieder aus.
Ordner- und Dateiansichten Zur Visualisierung welche Inhalte ein Lauf-
werk, ein Ordner oder eine Bibliothek enthlt, bietet der Windows-Explorer verschiedene Darstellungsmglichkeiten an. Welche die passende ist,
richtet sich vor allem nach dem Inhalt Ihrer Dateien. Und auch die Sortierung der Dateien kann selbstverstndlich an die eigenen Erfordernisse
angepasst werden.
Um zwischen den mglichen Ansichten umzuschalten, klicken Sie in der
Symbolleiste auf das Symbol Ansicht ndern. Jeder Klick auf diese Schaltflche ndert die Darstellung. Alternativ knnen Sie das in der Abbildung
4.30 gezeigte Men ffnen.
Abhngig von der gewhlten Ansicht eines Ordners knnen Sie beispielsweise Bewertungen von Dateien im Explorer-Fenster anzeigen lassen und
das Fenster nach der Bewertung sortieren oder nach Dateien mit bestimmten Bewertungen suchen lassen. Sie knnen aber auch benutzerdefinierte
Markierungen fr Dateien eingeben, nach denen Sie auch suchen knnen,
oder nach diesen sortieren.
202
Windows-Explorer
Abbildung 4.30
Auswahl der
Ordneransicht
4
Neu ist unter Windows 7 die Ansicht Inhalt. Diese zeigt in einer bersichtlichen zweizeiligen Liste die Dateien mit Dateinamen und Symbol sowie die wichtigsten Dateiinformationen.
Die Ansicht wird nach der Spalte sortiert, auf deren Spaltenberschrift Sie
mit der Maus klicken. Wenn Sie fter auf eine Spaltenberschrift klicken,
wird die Sortierung umgekehrt. Bei Dateinamen wrde dann beispielsweise aus einer zunchst alphabetisch aufsteigenden Sortierung (AZ) eine
alphabetisch absteigende (ZA).
Abbildung 4.31
Sortieren innerhalb
eines Verzeichnisses
Im Windows-Explorer knnen Sie auch die Gre der einzelnen Spalten in der Details-Ansicht mit der Maus verndern. Eine Spalte lsst
sich automatisch an den lngsten darin enthaltenen Eintrag anpassen,
indem Sie auf den Spaltentrenner doppelklicken, whrend der Pfeil
zum Vergrern oder Verkleinern der Spalte angezeigt wird.
Dateivorschau anzeigen Eine weitere Mglichkeit der besseren bersicht
ist das Vorschaufenster im Windows-Explorer. Wenn Sie dieses ber Organisieren/Layout/Vorschaufenster einblenden lassen, wird auf der rechten Seite
des Windows-Explorers eine Vorschau der momentan markierten Datei
angezeigt. Sie knnen die Gre der Vorschau stufenlos erhhen, wenn Sie
203
den Bereich des Vorschaufensters im Explorer vergrern. Wenn Sie mit der
rechten Maustaste auf das Vorschaufenster klicken, werden die Aufgaben
eingeblendet, die Sie mit dieser Datei durchfhren knnen. Bilder knnen
gedreht, ausgedruckt, geffnet oder als Hintergrundbild festgelegt werden.
Abbildung 4.32
Dateiansicht mit
aktiviertem
Vorschaufenster
Wenn Sie eine Audiodatei markieren, knnen Sie im Windows-Explorer die

vielfltigen Informationen erkennen sowie im Vorschaufenster die Datei
abspielen.
Sollte bei Ihnen trotz aktiviertem Vorschaufenster keine Vorschau von
Dateien angezeigt werden, berprfen Sie nach Aufruf des Menbefehls
Organisieren/Ordner- und Suchoptionen auf der Registerkarte Ansicht, ob
das Kontrollkstchen Vorschauhandler im Vorschaufenster anzeigen aktiviert ist.
Dateiinformation
en hinterlegen
und anzeigen
Details von Dateien anzeigen Die Detailansicht im Windows-Explorer

zeigt abhngig vom markierten Element detaillierte Informationen ber das
Verzeichnis, das Laufwerk oder die markierte Datei an. Sie knnen in diesem
Fenster bei Dateien zum Beispiel einen Autor, einen Titel oder ein Thema
hinterlegen, nach dem wiederum in der erweiterten Suche gesucht werden
kann. Ebenfalls besteht die Mglichkeit, Dateien zu bewerten, indem Sie die
Sterne aktivieren, die im Detailfenster angezeigt werden. Auch nach dieser
Bewertung kann gesucht werden.
Durch diese Mglichkeit, Dateien bestimmte Markierungen (auch als Tags

bezeichnet) hnlich wie bei MP3-Dateien zuzuweisen, knnen Dateien in
Windows 7 sehr effizient verwaltet werden. Um ein Feld zu pflegen, mssen Sie lediglich mit der Maus auf dieses Feld im Detailfenster klicken. Sie
knnen die Gre dieses Fensters, wie alle Bereiche im Windows-Explorer,
anpassen, indem Sie auf den Rand des Bereichs fahren und diesen so gro
ziehen, wie Sie ihn haben mchten.
204
Windows-Explorer
Abbildung 4.33
Detailfenster im
neuen WindowsExplorer
Sie knnen bei Bildern das Aufnahmedatum ndern oder hinterlegen und
per Doppelklick auf das Vorschaufenster die entsprechende Datei ffnen.
Abbildung 4.34
Bearbeiten von
Dateieigenschaften
im Detailfenster
4
Alternativ knnen Sie die gewnschte Datei markieren und mit der rechten Maustaste die Eigenschaften aufrufen. Hier knnen Sie auf der Registerkarte Details noch umfangreicher die Daten der Datei anpassen (siehe
Abbildung 4.35).
Abbildung 4.35
Bearbeiten der
Details von Dateien
und Markierungen
Damit Sie Daten eingeben knnen, mssen Sie neben der entsprechenden
Eigenschaft in die Spalte Wert klicken. Danach verwandelt sich der entsprechende Bereich in ein Eingabefeld. Die einzelnen Werte knnen jeweils
durch ein Semikolon (;) voneinander getrennt werden.
Sie knnen auch die Markierungen mehrerer Dateien gleichzeitig konfigurieren. Dazu markieren Sie einfach die entsprechenden Dateien und
rufen deren Eigenschaften auf. Jetzt knnen Sie die Werte auf der Registerkarte Details fr smtliche Dateien gleichzeitig anpassen. Auch hier
knnen Sie Dateien mehrere verschiedene Werte zuweisen, die jeweils
durch ein Semikolon voneinander getrennt werden. So knnen einzelne
Dateien unterschiedlichen Autoren zugewiesen werden oder mehreren
Kategorien, zum Beispiel Urlaub und Urlaub 2009.
205
Sie knnen die Eigenschaften auch wieder auf den Standardwert des
Betriebssystems zurcksetzen lassen. Verwenden Sie dazu den Link
Eigenschaften und persnliche Informationen entfernen, den Sie unten auf der
Registerkarte Details in den Eigenschaften der Dateien finden.
Navigations- und Auswahlhilfen

Die Navigation im Windows-Explorer wird durch zahlreiche Schaltflchen und Leisten erleichtert.
Vor- und Zurck-Tasten Oben links im Windows-Explorer-Fenster wer-
den eine Vor- und Zurckschaltflche eingeblendet. Mit diesen kann zum
vorher geffneten Verzeichnis zurckgewechselt werden. Diese Funktion
wurde vom Internet Explorer bernommen und erleichtert deutlich die
Navigation.
Adressleiste Die Adressleiste zeigt den genauen Standort des derzeitig
geffneten Verzeichnisses an. Sie knnen entweder direkt auf einen bergeordneten Ordner klicken, um diesen zu ffnen, oder ber das kleine
Dreieck neben jedem Ordner dessen Unterordner anzeigen und zu diesen
navigieren (siehe Abbildung 4.36).
Wenn Sie auf den ersten Pfeil in der Adressleiste klicken, werden Ihnen
einige Standardordner des Betriebssystems angezeigt.
Abbildung 4.36
Navigation ber die
Adressleiste im
Explorer
ber diese Standardordner knnen Sie jetzt auch die eigenen Dateien ffnen, die nicht mehr unter dieser Bezeichnung angezeigt werden, sondern
als Benutzername des angemeldeten Benutzers. Sie knnen dadurch im
Windows-Explorer zu jeder Zeit in den Stammordner Ihrer persnlichen
Dokumente wechseln.
Wenn Sie mit der rechten Maustaste auf die Adressleiste klicken, knnen
Sie den derzeitigen Pfad in die Zwischenablage kopieren und in einem
anderen Programm wieder einfgen. Mit einem Doppelklick auf den
Pfad wechselt die Ansicht in ein Eingabefeld, und Sie knnen den Pfad
manuell eintragen, der im Explorer angezeigt werden soll.
Wie beim Internet Explorer kann auch beim Windows-Explorer die
Ansicht durch (F5) oder per Klick auf die Aktualisierungsschaltflche
neben der Adressleiste aktualisiert werden (siehe Abbildung 4.37).
206
Windows-Explorer
Abbildung 4.37
Ansicht des Explorers aktualisieren
Suchleiste Mit Einfhrung von Windows Vista hat Microsoft die Such-
funktionen deutlich verbessert. Die erweiterten Suchmglichkeiten werden ausfhrlich im Abschnitt 4.5 ab Seite 216 vorgestellt. An dieser Stelle
werden daher die Suchfunktionen des Windows-Explorers nur im berblick behandelt.
Der Windows-Explorer bietet rechts oben ein Suchfeld, in das Sie ein oder
mehrere Stichwrter eingeben knnen. Noch whrend der Eingabe beginnt
der Windows-Explorer mit dem Durchsuchen und zeigt nur noch diejenigen Informationen an, die Ihrem Suchkriterium entsprechen, also alle
angegebenen Stichwrter enthalten.
Auf diese Weise lsst sich gezielt filtern, wonach gesucht werden soll. Sie
knnen beliebige Suchbegriffe eingeben und festlegen, ob im WindowsExplorer nur nach Dateien oder auch in und nach E-Mails gesucht werden soll. Auch innerhalb von Dateien kann die Windows-Suche nach
Informationen recherchieren.
Abbildung 4.38
Suchleiste im
Windows-Explorer
Standardmig sucht der Explorer das eingegebene Suchwort in smtlichen verfgbaren Kriterien eines Dokuments, also im Dateinamen, im
Dateiinhalt und in den sogenannten Metadaten wie Autorenname oder
Datum der letzten nderung. Hilfreich ist, dass die gefundenen Suchwrter in der Ergebnisliste markiert werden. Um die Menge der Suchergebnisse einzuschrnken, knnen Suchfilter verwendet werden. Damit kann
beispielsweise die Suche auf ausgewhlte Dokumenttypen begrenzt werden. Dabei ist der Einsatz von Suchfiltern sehr einfach, da der WindowsExplorer standardmig zum Stichwort passende Suchfilter vorschlgt.
Abbildung 4.39
Das Suchfeld zeigt
standardmig
passende Suchfilter.
Das Dialogfeld zeigt je nach ausgewhltem Filter unterschiedliche Auswahlmglichkeiten an. Soll beispielsweise nach einem Dokument gesucht
werden, das an einem bestimmten Tag erstellt wurde, ist der Filter nde-
207
rungsdatum zu verwenden. Der Explorer blendet jetzt ein Kalenderblatt ein,

in dem das gewnschte Datum gewhlt werden kann.
Dynamische Menleiste Seit Windows Vista verfgt der Windows-Explo-
rer ber eine dynamische Menleiste des Explorers. Diese zeigt abhngig
vom Inhalt des Ordners jene Menbefehle an, die zum Inhalt des Ordners
passen. Die Befehle Organisieren, und Brennen werden immer angezeigt, die
anderen sind dynamisch und abhngig vom Ordnerinhalt.
Wird beispielsweise der Ordner Bibliotheken ausgewhlt, ndern sich die
Befehle in der Symbolleiste. Jetzt knnten Sie per Klick auf Neuer Ordner
einen neuen Ordner anlegen oder den Inhalt der ganzen Bibliothek (oder
eines markierten Ordners) mit einem Klick auf Brennen auf eine CD-ROM
oder DVD brennen.
ber den Menbefehl Organisieren knnen die wichtigsten Aufgaben fr
Windows-Ordner ausgewhlt werden, wie Sie in Abbildung 4.40 erkennen
knnen.
Abbildung 4.40
Die Menleiste von
Windows 7 ist
kontextsensitiv.
Die Menleiste, mit der noch unter Windows XP oder Windows 2000 im
Windows-Explorer Aktionen ausgelst wurden, wird standardmig nicht
mehr angezeigt. Sie knnen diese jedoch ber Organisieren/Layout/Menleiste ebenfalls anzeigen lassen.
Wenn Sie die Menleiste nicht dauerhaft einblenden wollen, sondern nur
dann, wenn Sie sie bentigen, knnen Sie diese mit der (Alt)-Taste aktivieren. Sobald Sie wieder in das Explorer-Fenster wechseln oder nochmals die (Alt)-Taste drcken, wird die Menleiste wieder deaktiviert.
Linkfavoriten Ebenfalls hilfreich ist der Bereich Favoriten (siehe Abbil-
dung 4.41). Hier werden automatisch die Verzeichnisse angezeigt, die am

hufigsten verwendet werden. Diese Liste wird automatisch und dynamisch aufgebaut und zeigt Ihnen auf einen Blick die Ordner an, zu denen
Sie am hufigsten navigiert sind.
208
Windows-Explorer
Sie knnen den Inhalt in dieser Ansicht selbst definieren. Wenn Sie einzelne
Linkfavoriten nicht verwenden wollen, knnen Sie mit der rechten Maustaste in den Bereich der Linkfavoriten klicken und den Menpunkt Link
entfernen auswhlen. Auf diesem Weg knnen Sie alle unntigen Linkfavoriten entfernen.
Abbildung 4.41
Linkfavoriten im
Windows-Explorer
4
Die Mglichkeit, Linkfavoriten zu verwenden, wird natrlich nur dann
richtig sinnvoll, wenn Sie auch selbst bestimmen knnen, welche Linkfavoriten angezeigt werden. Sie knnen eigene Ordner auswhlen, die in
den Linkfavoriten angezeigt werden. Sobald Sie im Explorer auf einen
solchen Linkfavoriten klicken, springen Sie sofort zu diesem Ordner, was
die Navigation enorm vereinfacht.
Um einen Linkfavoriten zu erstellen, navigieren Sie zunchst zu dem
Ordner, den Sie als Linkfavoriten festlegen wollen. Im Anschluss klicken
Sie mit der linken Maustaste auf den Ordner und ziehen diesen in den
Bereich der Linkfavoriten. Im Anschluss wird eine Verknpfung dieses
Ordners in den Linkfavoriten erstellt.
4.4.3
Ansichten des Windows-Explorers

anpassen
Der Windows-Explorer lsst sich sehr detailliert an die Bedrfnisse des

Anwenders anpassen. Hauptschlich findet diese Anpassung ber das
bereits beschriebene Men Organisieren/Layout statt.
Eine etwas detaillierte Mglichkeit, die Ansichten von Ordnern im WindowsExplorer anzupassen, stellt der Menbefehl Organisieren/Ordner- und Suchoptionen dar. Wenn Sie diese Option whlen, wird ein neues Fenster mit drei
Registerkarten eingeblendet. ber diese Registerkarten knnen Sie grundlegende Anpassungen fr die Ansicht des Windows-Explorers durchfhren
Auf der Registerkarte Allgemein stehen Ihnen die drei Optionen Ordner Registerkarte
durchsuchen, Auswhlen von Elementen und Navigationsbereich zur Verf- Allgemein
gung. Hier knnen Sie folgende Einstellungen vornehmen:
Jeden Ordner im selben Fenster ffnen Auch diese Option ist standardmig aktiviert. Wenn Sie im Windows-Explorer durch verschiedene
Ordner navigieren, werden diese immer im gleichen Fenster geffnet.
Durch die Vor- und Zurck-Schaltflche knnen Sie zu den bereits
besuchten Ordnern wechseln.
209

Jeden Ordner in einem eigenen Fenster ffnen Wenn Sie diese Option
aktivieren, bleibt die Navigation zunchst gleich. Wenn Sie jedoch im

Windows-Explorer auf einen Ordner doppelklicken, ffnet sich ein
neues Explorer-Fenster, das diesen Ordner anzeigt. Dadurch erhht
sich die Anzahl der Fenster auf dem Desktop, und Sie knnen die Vorund Zurck-Schaltflche nicht mehr uneingeschrnkt nutzen, da
diese nur innerhalb eines Fensters funktionieren.
Die Optionen im Bereich Auswhlen von Elementen sind selbsterklrend. Durch die Auswahl der Option ffnen durch einfachen Klick muss
zum ffnen einer Datei nicht mehr auf diese doppelgeklickt werden,
sondern es gengt, diese einmal anzuklicken, genau wie einen Link
im Internet Explorer.
Abbildung 4.42
Anpassen der
Ordneroptionen im
Windows-Explorer
Registerkarte
Ansicht
210
Die Registerkarte Ansicht ist die wichtigste Registerkarte, um die Anzeige

von Dateien und Ordnern zu konfigurieren. Hier finden Sie eine Vielzahl
von Mglichkeiten. Die meisten Optionen sind bereits durch die Erluterung selbsterklrend. Auf die wichtigsten Optionen geht die folgende
Auflistung ein:
Erweiterungen bei bekannten Dateitypen ausblenden Diese Option ist standardmig aktiviert und sollte deaktiviert werden. Wenn diese Option
aktiv ist, zeigt Windows keine Dateiendungen an, die im System registriert sind. Der Anwender muss aus dem Symbol erraten, um welche
Datei es sich handelt. Sie sollten diese Option deaktivieren, damit Dateiendungen immer angezeigt werden. Wenn die bekannten Dateitypen
ausgeblendet werden, schleichen sich auch schneller Viren ein. Ein
Virenprogrammierer kann zum Beispiel seine Datei hallo.doc.vbs nennen.
Da nur die letzte Endung zhlt, wird die Datei als hallo.doc angezeigt
und der Anwender damit verleitet, ein scheinbar harmloses WordDokument zu ffnen.
Windows-Explorer
Freigabe-Assistent verwenden (empfohlen) Wenn Sie diese Option aktivie-
ren, wird bei der Freigabe von Dateien ein Assistent verwendet, der die
Mglichkeiten der Berechtigungen stark einschrnkt. Vor allem wenn Sie
mit den administrativen Freigaben (c$, d$) arbeiten, knnen ber das
Netzwerk oft Freigaben nicht geffnet werden. Wenn Sie planen, Dateien
in einem Netzwerk freizugeben, sollten Sie diese Option deaktivieren.
Geschtzte Systemdateien ausblenden (empfohlen) Diese Option ist standardmig aktiviert und unterdrckt die Anzeige von Systemdateien
im Windows-Explorer. Erst wenn Sie diese Option deaktivieren, werden smtliche Dateien im Windows-Explorer angezeigt.
Kontrollkstchen zur Auswahl von Elementen verwenden Wie bereits
unter frheren Windows-Versionen knnen Sie zum Markieren mehrerer Dateien im Windows-Explorer mit der Maus einen Rahmen um die
betreffenden Dateien ziehen, die (Strg)-Taste gedrckt halten und die
nicht aufeinanderfolgenden Dateien markieren oder die ()-Taste
gedrckt halten, um mehrere aufeinanderfolgende Dateien zu markieren. Mit Windows Vista ist noch eine weitere Mglichkeit hinzugekommen. Wenn Sie diese Option aktivieren, wird bei jedem Ordner ein
kleines Kstchen angezeigt, wenn Sie mit der Maus darberfahren.
Durch dieses Kstchen knnen Dateien wesentlich effizienter markiert
werden (siehe Abbildung 4.43). Vor allem Anwender, die hufiger mehrere, aber nicht alle Dateien in einem Ordner markieren, sollten diese
Option aktivieren.
Abbildung 4.43
Erweiterte Einstellungen fr die
Ansicht von
Ordnern
Ausgeblendete Dateien, Ordner und Laufwerke anzeigen Durch Auswahl
dieser Option werden auch die versteckten Dateien angezeigt. Sie mssen
diese Option aktivieren, wenn smtliche Dateien im Windows-Explorer
angezeigt werden sollen. Damit auch die Systemdateien angezeigt werden, mssen Sie zustzlich noch das Kontrollkstchen Geschtzte Systemdateien ausblenden deaktivieren. Nur in dieser Kombination erhalten Sie
wirklich alle Dateien und Ordner auf Ihrem Rechner angezeigt.
211
Einige Ansichten werden erst dann auf alle Ordner im Windows-Explorer

bernommen, wenn Sie die Ansicht mit der Schaltflche Fr Ordner bernehmen aktivieren. Die in diesem Abschnitt besprochenen Optionen werden automatisch auf alle Ordner angewendet, Sie mssen nicht erst die
Schaltflche anklicken.
ber die Schaltflche Wiederherstellen auf den einzelnen Registerkarten
knnen Sie abgenderte Einstellungen wieder auf den Systemstandard zurcksetzen.
Registerkarte
Suchen
Auf der Registerkarte Suchen knnen Sie schlielich festlegen, wie sich die
Windows-Suche verhalten soll, wenn Sie im Suchfeld des Explorers oder
der erweiterten Suche einen Begriff eingeben.
Abbildung 4.44
Konfiguration der
Suche im WindowsExplorer
Wenn Sie hufig Dokumente oder Inhalte in Dokumenten suchen, sollten

Sie diese Registerkarte an Ihre Bedrfnisse anpassen. Hier knnen Sie vor
allem anpassen, wo und ob die Suche auch innerhalb von Dateien suchen
soll und ob auch Archive wie beispielsweise Zip-Dateien bercksichtigt
werden sollen.
Was soll
durchsucht
werden?
Im Bereich Was mchten Sie suchen knnen Sie festlegen, wie sich die Windows-Suche bezglich des Inhaltes von Dateien verhalten soll. Standardmig ist die Option In indizierten Orten Dateinamen und -inhalte suchen, in
nicht indizierten Orten nur Dateinamen suchen aktiviert. Dadurch ist sichergestellt, dass in indizierten Ordnern der eingegebene Suchbegriff nicht nur
im Dateinamen auftauchen soll, sondern auch im Inhalt der Datei, sofern
dieser von Windows gelesen werden kann.
Alternativ knnen Sie festlegen, dass die Suche auch in nicht indizierten
Bereichen nach dem Inhalt suchen soll. Da in diesen Bereichen der Inhalt
noch nicht indiziert wurde, dauert die Suche entsprechend lnger, da
Windows nicht nur nach Dateinamen suchen muss, sondern jede lesbare
Datei auch nach dem Inhalt durchforstet werden muss.
212
Windows-Explorer
Im Bereich Wie mchten Sie suchen knnen Sie einstellen, wie sich die Win- Wie soll gesucht
dows-Suche generell verhalten soll. Standardmig werden bei der Suche werden?
auch Unterordner des aktuellen Ordners durchsucht. Wenn Sie das nicht
wollen, knnen Sie das entsprechende Kontrollkstchen einfach an dieser
Stelle deaktivieren.
ber die Option Teiltreffer finden knnen Suchergebnisse angezeigt werden, die nicht exakt der Suche entsprechen, aber Teilberschneidungen
aufweisen.
Darber hinaus knnen Sie smtliche Eigenschaften, die fr die Feinabstimmung von Suchvorgngen verfgbar sind, auch fr Suchen mit natrlicher
Sprache verwenden. Der Unterschied ist, dass Sie gelufigere Formulierungen verwenden knnen. Aktivieren Sie dazu das Kontrollkstchen Unter
Verwendung natrlicher Sprache suchen. Im Folgenden sehen Sie einige Beispiele fr gngige Suchen mittels natrlicher Sprache:
E-Mail-Nachrichten von Thomas, heute gesendet
Dokumente, die im letzten Monat gendert wurden
Rockmusik, Bewertung: ****
Bewerbungen aus Juli 2009
4.4.4
Bibliotheken verwenden
Zu den aufflligsten nderungen beim Start des Windows-Explorers

gehren sicherlich die neu mit Windows 7 eingefhrten Bibliotheken.
Hinter den sogenannten Bibliotheken (engl. Libraries) verbergen sich virtuelle Ordner, die den Inhalt mehrerer echter Ordner zusammenfassen
knnen. Diese virtuellen Ordner bzw. Bibliotheken knnen Inhalte zentral anzeigen, obwohl sie eigentlich an verschiedenen Orten gespeichert
sind. Damit knnen smtliche Daten zu gewnschten Themen ber eine
zentrale Schnittstelle erreicht werden, ohne sie aufwendig aus diversen
Ordnern zusammentragen zu mssen. Physisch handelt es sich bei den
Bibliotheken um XML-Dateien, deren hauptschlicher Inhalt aus einer
Liste der in der Bibliothek enthaltenen Orte besteht.
Der Vorteil der Bibliotheken liegt in der zentralen Anzeige von Dateien, die
an beliebigen Orten gespeichert sind. Auerdem ist es mglich, Dateien
mehreren Bibliotheken zuzuordnen, ohne dass die physische Datei mehrfach vorhanden sein muss.
Standardmig richtet Windows 7 vier vordefinierte Bibliotheken ein:
Die Standard Bilder Hier knnen Fotos, Bilder, eingescannte Grafiken etc. abgelegt bibliotheken
werden.
Dokumente Diese Bibliothek ist fr Dokumente wie z.B. PowerPointPrsentationen oder Word-Dokumente gedacht.
Musik Fr alle digitalen Musikinhalte
Videos Spezielle Bibliothek fr Videos
213

Abbildung 4.45
Die Standardbibliotheken
von Windows 7
Wird eine dieser Bibliotheken mit einem Doppelklick geffnet, so werden

die Inhalte dieser je nach Bibliothekentyp unterschiedlich angezeigt. Dokumente werden beispielsweise standardmig in einer Liste, Bilder mit einer
Vorschau angezeigt.
Integrierte
Ordner anzeigen
Ist eine Bibliothek geffnet, wird in der berschrift angezeigt, aus wie vielen physischen Ordnern der Inhalt stammt. Mit einem Klick auf Orte ffnet
sich ein Dialogfeld, das die tatsachlichen Ordner anzeigt, die in dieser
Bibliothek zusammengefasst werden. Die Bibliothek Dokumente besteht
also beispielsweise standardmig aus den Inhalten der Ordner Eigene
Dokumente und ffentliche Dokumente.
Die einbezogenen Ordner, die in einer Bibliothek enthalten sind, werden
auerdem im Navigationsbereich als Unterordner der Bibliothek aufgefhrt.
Abbildung 4.46
Anzeige der in der
Bibliothek enthaltenen physischen
Ordner
Bibliotheken verwalten
Neue Ordner knnen sehr einfach einer Bibliothek hinzugefgt werden.
Hierzu kann entweder die Option In Bibliothek aufnehmen im Kontextmen des gewnschten Ordners verwendet werden, oder der Ordner
wird per Drag&Drop in die gewnschte Bibliothek gezogen. Dabei knnen in eine Bibliothek Ordner von vielen verschiedenen Orten einbezo-
214
Windows-Explorer
gen werden beispielsweise Ordner auf dem lokalen Laufwerk, auf einer
externen Festplatte oder auf einem Netzlaufwerk.
Abbildung 4.47
Ordner knnen
einer Bibliothek sehr
einfach hinzugefgt
werden.
4
Grundstzlich ist die Einbeziehung der folgenden Speicherorte in eine
Bibliothek mglich:
Lokale Laufwerke
Externe Festplatten (einschrnkend sind die Inhalte nur verfgbar,
wenn die externe Festplatte angeschlossen ist)
USB-Flashlaufwerk (nur wenn das Gert im Navigationsbereich unter
Computer im Bereich Festplatten angezeigt wird. Dies wird vom Gertehersteller festgelegt. Auerdem sind die Inhalte nur verfgbar, wenn
das Laufwerk angeschlossen ist.)
Netzwerklaufwerke (Voraussetzung ist, dass der Netzwerkpfad indiziert ist oder offline verfgbar gemacht wurde.)
Wechselmedium wie beispielsweise CDs oder DVDs knnen nicht in
Bibliotheken einbezogen werden.
Mchten Sie einen Speicherort aus einer Bibliothek wieder entfernen, ver- Ordner aus
wenden Sie entweder das Dialogfeld zur Verwaltung der Orte einer Biblio- Bibliothek
thek, oder Sie klicken im Navigationsbereich des Explorers auf den kleinen entfernen
Pfeil vor der Bibliothek und whlen den Ordner aus, den Sie aus der Bibliothek entfernen mchten. Verwenden Sie hier die Option Ort aus Bibliothek
entfernen im Kontextmen des Ordners.
Wenn Sie einen Ordner aus einer Bibliothek mit den beschriebenen
Optionen entfernen, werden die physischen Dateien und Ordner am
Ursprungsort nicht gelscht. Das Gleiche gilt, wenn Sie eine komplette
Bibliothek lschen.
Wenn Sie Dateien oder Ordner aus einer Bibliothek jedoch lschen,
werden diese auch am ursprnglichen Ort gelscht. Soll ein Element
lediglich aus der Bibliothek (und nicht am eigentlichen Speicherort)
entfernt werden, muss die Option Ort aus Bibliothek entfernen verwendet werden.
hnlich verhlt es sich, wenn Sie einen Ordner in eine Bibliothek einbeziehen und den Ordner anschlieend am ursprnglichen Ort lschen.
Der Ordner ist dann nicht mehr in der Bibliothek verfgbar.
215
Neue Bibliotheken erstellen

Zustzlich zu den vier Standardbibliotheken knnen jederzeit neue benutzerdefinierte Bibliotheken erstellt werden.
Hierzu ist die Option Neu/Bibliothek im Kontextmen des Ordners Bibliotheken zu verwenden und ein Name fr die neue Bibliothek einzugeben.
Bevor Dateien in der neuen Bibliothek gespeichert werden knnen, muss
zuerst ein Ordner in die Bibliothek aufgenommen werden. Der erste
erstellte Ordner wird automatisch zum Standardspeicherort fr die Bibliothek. Der Standardspeicherort wird verwendet, wenn Elemente in die
Bibliothek kopiert oder verschoben werden.
Der Standardspeicherort und auch der Dateityp, fr den eine Bibliothek
optimiert ist, knnen jederzeit in den Bibliothekseigenschaften gendert
werden.
Abbildung 4.48
Dialogfeld zur
Verwaltung der
Eigenschaften einer
Bibliothek
4.5
Einsatzmglichkeiten der
Windows-Suche
Bereits mit Windows Vista hatte Microsoft eine neue Suchfunktion eingefhrt, die weit ber die Mglichkeiten der Suchfunktionen der Vorgngerversionen hinausgeht. Mit Windows 7 wurden die Suchfunktionen
nochmals erweitert. So untersttzt der Suchdienst nun auch sogenannte
Federated Searches und ermglicht damit, die Suche auf andere Computer,
Dateiserver oder Informationsquellen wie den SharePoint Server oder
das Internet auszudehnen.
216
4.5.1
Volltextsuche nach Stichwrtern
Eine Suche kann auf unterschiedliche Weise ausgefhrt werden. Am einfachsten lsst sich eine Suche mithilfe der allgegenwrtigen Suchleiste
durchfhren. Sowohl im Startmen als auch am oberen Rand eines jeden
Explorer-Fensters wird die Suchleiste angezeigt. Die Suche wird automatisch gestartet, sobald Sie mit der Eingabe beginnen.
Die Suche nach Dateien erfolgt anhand von Text im Dateinamen, von Text Suche im
innerhalb der Datei, von Markierungen und von anderen gngigen Datei- Windowseigenschaften, die Sie an die Datei angefgt haben. Hierbei schliet die Explorer-Fenster
Suche den aktuellen Ordner und alle Unterordner ein.
Noch whrend der Eingabe filtert beispielsweise im Explorer die Windows-Suche den aktuellen Inhalt und zeigt nur noch diejenigen Informationen an, die Ihrem Suchkriterium entsprechen, also alle angegebenen
Stichwrter enthalten. Auerdem werden alle Suchbegriffe, die dem eingegebenen Stichwort entsprechen, gelb hervorgehoben. .
Abbildung 4.49
Volltextsuche im
Windows-Explorer
nach einem Stichwort
Um die Menge der Suchergebnisse einzuschrnken, knnen Suchfilter verwendet werden. Damit kann beispielsweise die Suche auf ausgewhlte
Dokumenttypen eingeschrnkt werden. Dabei ist der Einsatz von Suchfiltern
sehr einfach, da der Windows-Explorer standardmig zum Stichwort passende Suchfilter vorschlgt. Das Dialogfeld zeigt je nach ausgewhltem Filter
unterschiedliche Auswahlmglichkeiten an. Soll beispielsweise nach einem
Dokument gesucht werden, das an einem bestimmten Tag erstellt wurde, ist
der Filter nderungsdatum zu verwenden. Der Explorer blendet jetzt ein
Kalenderblatt ein, in dem das gewnschte Datum gewhlt werden kann.
Die Suche kann auch auf mehrere Suchbegriffe erweitert werden. Geben
Sie mehrere Schlssel-Wert-Paare durch Leerzeichen getrennt an, mssen alle gemeinsam erfllt sein (eine logische Und-Verknpfung). Soll
nur ein Kriterium erfllt sein, muss zwischen die Schlssel-Wert-Paare
das Wort oder geschrieben werden (siehe Abbildung 4.50).
217

Abbildung 4.50
Suche nach mehreren Stichwrtern
Suche im
Startmen
Abbildung 4.51
Volltextsuche im
Startmen nach
einen Stichwort
218
Wird eine Suche im Startmen durchgefhrt, verwandelt sich das Startmen in eine Liste mit in Kategorien unterteilten Suchergebnissen. Am
Anfang stehen jeweils die besten Treffer aus jeder Kategorie.
Sortiert werden die Treffen jeweils nach deren Relevanz. Bei Anwendungen und Dateien ergibt sich die Relevanz aus der Verwendungshufigkeit.
Je hufiger Sie also beispielsweise ein Programm starten bzw. je hufiger
Sie es verwenden, desto wichtiger wird es eingestuft und umso hher ist
seine Relevanz im Suchergebnis.
Die Stichwortsuche im Startmen kann auch verwendet werden, um
schnell ein bestimmtes Programm zu starten. Nach der Eingabe des
Namens der Anwendung gengt ein Mausklick auf das richtige Suchergebnis, um das Programm zu ffnen.
Wenn Sie eine Suche mit mehreren Filtern definieren mssen, knnen Sie Suchabfragen
die erstellte Suche speichern. Die Einstellungen einer gespeicherten Suche speichern
mssen bei der nchsten Verwendung der Suche nicht erneut angepasst
werden. Es gengt, die gespeicherte Suche zu ffnen, um die neuesten
Dateien, die der ursprnglichen Suchanfrage entsprechen, anzuzeigen.
Um eine Suche zu speichern, sind folgende Schritte erforderlich:
Fhren Sie den gewnschten Suchvorgang aus.
Klicken Sie nach Abschluss der Suche auf der Symbolleiste auf Suche
speichern.
Geben Sie im Feld Dateiname einen Namen fr die Suche ein, und klicken Sie dann auf Speichern.
Abbildung 4.52
Suchabfragen
knnen gespeichert
werden.
Die gespeicherte Suche wird im Ordner Suchvorgnge im persnlichen

Ordner unter Computer gespeichert. Zustzlich wird im Favoritenbereich
des Navigationsbereichs eine Verknpfung mit der gespeicherten Suche
hinzugefgt.
219
4.5.2
Indizierte Suche
Bereits in Windows Vista hat Microsoft die Suche mit einem Suchindex ausgestattet. Mithilfe des Index kann die Suche nach Dateien erheblich
beschleunigt werden. Anstatt die ganze Festplatte nach einem Dateinamen
oder einer Dateieigenschaft durchsuchen zu mssen, muss Windows lediglich den Index berprfen, sodass das Ergebnis in einem Bruchteil der Zeit
verfgbar ist, die fr eine Suche ohne Index bentigt wrde.
Standardmig werden alle in Bibliotheken einbezogenen Ordner (beispielsweise der gesamte Inhalt der Dokumentbibliothek) sowie E-Mails
und Offline-Dateien indiziert. Programm- und Systemdateien hingegen
werden nicht indiziert.
Ordner zur Indizierung hinzufgen

Da standardmig alle Bibliotheken indiziert werden, knnen andere
Ordner sehr einfach durch die Aufnahme in eine Bibliothek dem Suchindex hinzugefgt werden. Der Inhalt des entsprechenden Ordners wird
dann automatisch indiziert.
Dem Index knnen auch ohne Verwendung von Bibliotheken Elemente hinzugefgt werden. Um das Dialogfeld zur Indexverwaltung zu ffnen, geben
Sie am einfachsten den Begriff Indizierung im Suchfeld des Startmens ein
und whlen anschlieend in der Liste die Option Indizierungsoptionen.
Ein Dialogfeld ffnet sich, in dessen oberen Teil Sie erkennen knnen, wie
viele Elemente der Suchindex derzeit indiziert hat und ob der Index aktuell ist oder neue Daten indiziert. Im unteren Teil werden die Ordner aufgelistet, die der Suchindex berwacht.
Abbildung 4.53
Dialogfeld zur
Verwaltung des
Suchindex
220
So knnen Sie einen Indizierungsort hinzufgen oder entfernen:

Indizierungsort
hinzufgen oder
1. Klicken Sie auf ndern.
entfernen
2. Zum Hinzufgen eines Speicherorts mssen Sie diesen in der Liste
Ausgewhlte Orte ndern aktivieren und dann auf OK klicken. Klicken
Sie auf Alle Orte anzeigen, wenn Ihnen nicht alle Speicherorte auf Ihrem
Computer in der Liste Ausgewhlte Orte ndern angezeigt werden (siehe
Abbildung 4.54).
3. Wenn Sie einen Ordner, jedoch nicht seine Unterordner in den Index einschlieen mchten, mssen Sie den Ordner erweitern und dann die
Kontrollkstchen smtlicher Ordner deaktivieren, die Sie nicht indizieren mchten. Diese Ordner werden in der Spalte Ausschlieen angezeigt.
Abbildung 4.54
Indizierte Orte
verwalten
Administratorrechte vorausgesetzt, finden Sie unter Erweitert zustzliche Den Suchindex

Funktionen zur Verwaltung des Suchindex. So knnen Sie hier beispiels- verwalten
weise den Index neu erstellen lassen oder die Standardeinstellungen wiederherstellen. Wichtig sind vor allem die folgenden Optionen:
Verschlsselte Dateien indizieren Normalerweise indiziert der Suchindex keine mit EFS (Encrypting File System) verschlsselten Dateien,
da die Anzeige der Schlsselwrter im Suchindex ein Sicherheitsrisiko darstellen kann. Zwar ist auch der Suchindex verschlsselt, verwendet aber einen niedrigeren Sicherheitsstandard.
221

Indizierungsort Dieser Eintrag legt fest, wo der Suchindex gespeichert
wird. Ist beispielsweise auf dem angegebenen Laufwerk zu wenig Speicherplatz frei, kann der Suchindex auf ein anderes Laufwerk verschoben werden. Sobald der Suchindex neu gestartet wird, beispielsweise
nach einem Neustart, verwendet er den neu angegebenen Ort.
Problembehandlung Diese Option ist hilfreich, wenn der Suchindex
stndig falsche oder unvollstndige Ergebnisse liefert. In diesem Fall
sollte der Index neu erstellt werden.
Bei der Neuerstellung des Index ist zu beachten, dass die komplette Neuerstellung des Index mehrere Stunden dauern kann. Daher ist es sinnvoll,
zunchst die Option Problembehandlung fr den Suchdienst im Dialogfeld
Indizierungsoptionen zu starten.
Abbildung 4.55
Indexeinstellungen
in den erweiterten
Optionen verwalten
Der Suchindex durchsucht nicht jede Datei. Auf der Registerkarte Dateitypen sehen Sie, welche Dateien indiziert werden knnen.
Hier knnen Sie auch zustzliche Dateitypen hinterlegen und bestimmen,
welche Eigenschaften indiziert werden sollen. Fr jeden Dateityp kann
festgelegt werden, ob der Index nur seine Eigenschaften (Dateiname, Metadaten) oder auch seinen Inhalt durchsuchen soll.
222
Abbildung 4.56
In den Index einbezogene Dateitypen
4.6
Tastenkombinationen in
Windows 7
In diesem Abschnitt finden Sie die wichtigsten Tastenkombinationen zur

Bedienung von Windows 7 zusammengefasst.
4.6.1
Tastenkombinationen mit der

Windows-Taste
() ffnen oder Schlieen des Startmens

()+(Pause) Anzeigen des Dialogfeldes Systemeigenschaften
()+() Umschalten zwischen Programmen auf der Taskleiste mit-
hilfe von Windows Flip-3D

()+(T) Umschalten zwischen Programmen auf der Taskleiste
(Strg)+()+() Verwenden der Pfeiltasten zum Umschalten zwi
schen Programmen auf der Taskleiste mithilfe von Windows Flip-3D

()+(Leertaste) Mittels Aero Peek werden alle Fenster durchsichtig, solange Sie die ()-Taste gedrckt halten. Diese Funktion ist neu
in Windows 7.
()+(M) Alle Fenster minimieren
()+()+(M) Alle minimierten Fenster wiederherstellen
()+(D) Desktop anzeigen
()+(E) ffnen von Computer
()+(F) Eine Datei oder einen Ordner suchen
(Strg)+()+(F) Suchen nach Computern (wenn Sie sich in einem
Netzwerk befinden)
223

()+(G) Umschalten zwischen Sidebar-Minianwendungen
()+(L) Computer sperren, wenn dieser mit einer Netzwerkdo-
mne verbunden ist, bzw. den Benutzer wechseln, wenn dies nicht
der Fall ist
()+(R) Dialogfeld Ausfhren ffnen
()+(U) Center fr erleichterte Bedienung ffnen
()+(F1) Windows-Hilfe anzeigen
4.6.2
Tastenkombinationen fr den
Internet Explorer
(Strg)+Klicken ffnen von Links in einer neuen Registerkarte im
Hintergrund
(Strg)+()+Klicken ffnen von Links in einer neuen Registerkarte
im Vordergrund
(Strg)+(T) ffnen einer neuen Registerkarte im Vordergrund
(Strg)+() oder (Strg)+()+() Umschalten zwischen Register
karten
(Strg)+(W) Die aktuelle Registerkarte schlieen (oder das aktuelle
Fenster, wenn das Browsen mit Registerkarten deaktiviert ist)
(Alt)+() ffnen einer neuen Registerkarte im Vordergrund aus
der Adressleiste heraus
(Strg)+(n) (wobei n eine Zahl zwischen 1 und 8 ist) Wechseln zu
einer Registerkarte mit einer bestimmten Nummer
(Strg)+(9) Wechseln zur letzten Registerkarte
(Strg)+(Alt)+(F4) Schlieen der anderen Registerkarten
(Strg)+(Q) Schnelle Registerkarten (Miniaturansicht) ein- und ausschalten
4.6.3
Tastenkombination in Windows 7 zur

Steuerung des Windows-Explorers und
zur Dateiverwaltung
Im folgenden Abschnitt finden Sie die wichtigsten Tastenkombinationen

des Windows-Explorers erlutert:
(Strg)+(C) Kopieren
(Strg)+(V) Einfgen
(Strg)+(X) Ausschneiden
(Strg)+(Z) Rckgngig
(F1) Hilfe anzeigen
()+(F1) Kontextbezogene Hilfefunktion aktivieren (Direkthilfe)
()+(F10) Kontextmen zum momentan aktiven Element anzeigen
(Leertaste) Markieren (entspricht einem einfachen Mausklick)
(Esc) Abbrechen
224
(Alt) Menleiste aktivieren oder deaktivieren
(Alt)+() Nchstes Hauptfenster anzeigen
(Alt)+(Esc) Nchstes Fenster anzeigen
(Alt)+(Leertaste) Systemmen fr Fenster anzeigen
(Alt)+(-) Systemmen fr das aktive untergeordnete Fenster an-
zeigen
(Alt)+() Eigenschaften anzeigen
(Alt)+(F4) Aktives Fenster schlieen
(Alt)+(F6) Zum nchsten Fenster innerhalb der Anwendung wech
seln
(Alt)+(Druck) Aktiven Fensterinhalt in die Zwischenablage kopieren
(Druck) Desktop-Inhalt in die Zwischenablage kopieren
(Strg)+(Esc) Schaltflche Start in der Taskleiste aktivieren
(F2) Umbenennen
(F3) Suchen
(Entf) Lschen
()+(Entf) Datei endgltig lschen (ohne Papierkorb)
(Alt)+(Doppelklick) Eigenschaften anzeigen
(Strg)+(F6) Nchstes untergeordnetes Fenster anzeigen
(Strg)+() Nchste Registerkarte oder nchstes untergeordnetes
Fenster anzeigen.
(F4) Adressleiste im Windows-Explorer ffnen und Eingabefokus in
die Liste setzen
(F5) Anzeige aktualisieren
(F6)+() Fokus auf den nchsten Fensterbereich im Windows-Explorer verschieben
(Strg)+(Z) Rckgngig
(Strg)+(A) Alles markieren
(__) Zum bergeordneten Ordner wechseln
225
Benutzerverwaltung
Um Zugriff auf Ressourcen auf einem lokalen Rechner oder einer Domne
zu erhalten, ist ein Benutzerkonto mit eindeutigen Anmeldeinformationen
Voraussetzung. Durch ein Benutzerkonto werden die Privilegien des Benutzers festgelegt. Hierbei ist zwischen lokalen Computerkonten und domnenbasierten Konten zu unterscheiden.
Bereits mit Windows Vista hatte Microsoft einige Neuerungen im Bereich der
Desktop-Benutzerverwaltung eingefhrt, die vor allem der Verbesserung der
Sicherheit der lokalen Benutzerkonten dienen. Kernkomponente ist die Benutzerkontensteuerung, die eine strikte Trennung von Administrator- und Benutzerkonten ermglicht. In diesem Kapitel gehen wir auf alle wichtigen Aspekte
zur Verwaltung lokaler Benutzer und Gruppen unter Windows 7 ein.
In einem Unternehmensnetzwerk aber werden Windows 7-Rechner in der
Regel als Clients in einem Active Directory-basierten Netzwerk fungieren
und die Benutzer daher ber domnenbasierte Konten verfgen. Gerade
hier ist eine genaue Kenntnis der Zusammenhnge zwischen lokalen Konten und Gruppen und domnenbasierten Konten und Gruppen fr eine
erfolgreiche Administration wichtig. Diese Zusammenhnge einschlielich
der damit verbundenen Benutzerprofile werden ebenfalls betrachtet.
5.1
Zu den zentralen Benutzerverwaltungsfunktionen gehrt die Benutzerkon- User Account

tensteuerung (englisch: User Account Control UAC). Es handelt sich hier- Control UAC
bei um eine Sicherheitsfunktion, die dafr sorgt, dass alle Benutzer Anwendungen und Aufgaben unter einem Standard-Benutzerkonto ausfhren,
auch wenn sie Mitglied der Gruppe der lokalen Administratoren sind.
227
Kapitel 5 Benutzerverwaltung
Damit werden zwei Problemfelder frherer Windows-Versionen adressiert.

Zum einen ist es bei Windows-Versionen vor Windows Vista immer wieder
erforderlich, Benutzerkonten der lokalen Gruppe Administratoren als Mitglieder hinzuzufgen, da Benutzer fr die Installation, Aktualisierung und
Ausfhrung vieler Anwendungen administrative Rechte bentigen. Das
gilt leider auch fr einfachste, aber notwendige Aufgaben, wie beispielsweise das ndern der Systemzeit. Endbenutzern administrative Rechte zu
geben, birgt jedoch ein hohes Risiko und sorgt u.a. dafr, dass Computer
und Netzwerke verwundbar fr Schadsoftware werden.
Ersetzt
Ausfhren als
Zum anderen verwenden Administratoren hufig ihr administratives Konto

zur Erledigung nicht administrativer Aufgaben. Seit der Verffentlichung
von Windows 2000 gibt es zwar mit der Funktion Ausfhren als die Mglichkeit, Anwendungen als Administrator auszufhren, whrend man als Standardbenutzer angemeldet ist, doch wird diese Mglichkeit vielfach nicht
genutzt.
Bei Windows 7 werden administrative Aufgaben von normalen Aufgaben
getrennt. Damit knnen Endbenutzer alle wesentlichen Aufgaben erledigen, und Administratoren knnen die meisten Anwendungen, Komponenten und Prozesse mit eingeschrnkten Privilegien erledigen, haben aber
gleichzeitig die Mglichkeit, bestimmte Aufgaben oder Anwendungen mit
administrativen Rechten auszufhren.
5.1.1
Die Benutzerkontensteuerung im
praktischen Einsatz
Der folgende Abschnitt stellt die Leistungsmerkmale der Benutzerkontensteuerung vor.
Der Benutzermodus
Hauptziel der Benutzerkontensteuerung ist eine Reduzierung der Angriffsflche des Betriebssystems. Hierzu arbeiten alle Benutzer als Standardbenutzer. Allerdings haben Standardbenutzer seit Windows Vista erweiterte Privilegien. Zu den Berechtigungen fr Standardbenutzer gehren u.a. die
folgenden:
Anzeigen der Systemuhr und des Kalenders
ndern der Zeitzone
ndern der Anzeigeeinstellungen
ndern der Energiesparoptionen
Installation von Schriftarten
Installation von Wired Equivalent Privacy (WEP), um eine WLANVerbindung aufzubauen
Installation von Druckern und anderen Gerten, fr die ein Treiber im
Treiberspeicher vorhanden ist
Einrichten und Konfigurieren von VPN-Verbindungen
Herunterladen und Installieren von Updates
228
Zustzlich ist es Standardbenutzern mglich, administrative Aufgaben aus- Kein Wechsel des
zufhren, sofern sie ein Administratorkonto und dessen Kennwort kennen. Benutzerkontos
Administrative Rechte sind beispielsweise in den folgenden Bereichen erforderlich
erforderlich: Installation und Deinstallation von Anwendungen und Gertetreibern, Verwaltung von Benutzerkonten, Systemkonfiguration, Zugriffe
auf Systemdateibereiche und Partitionierung der Festplatte.
Wenn ein Benutzer versucht, eine Anwendung zu starten, die hhere Rechte
erfordert, zum Beispiel eine Softwareinstallation, wird er nach einem administrativen Kennwort gefragt. Wenn er das Kennwort des lokalen Administrators kennt, kann er dieses eingeben. Alternativ kann er den Administrator
um Hilfe bitten. Administratoren knnen letztere Mglichkeit auch ausschalten. In diesem Fall wird der Benutzer lediglich darber informiert, dass er die
gewnschte Aufgabe nicht ausfhren darf (siehe hierzu Abschnitt 5.1.2 ab
Seite 233).
Im Anhebungsdialog (engl. Elevation) wird die Anwendung bzw. die
Datei genannt, die den Dialog aufgerufen hat. ber Details anzeigen kann
deren Speicherort ermittelt werden.
5
Abbildung 5.1
Anhebungsdialog
bei Anforderung
administrativer
Rechte
Fr welche Aktionen administrative Rechte erforderlich sind, wird jeweils

-Symbol
durch ein Symbol gekennzeichnet. Dieses wird fr alle Befehle verwendet, kennzeichnet
fr die administrative Rechte erforderlich sind, und findet sich im gesam- erforderliche
Administratorten Betriebssystem wieder.
rechte
229
Abbildung 5.2
Anhand des Sicherheitssymbols ist auf
einen Blick erkennbar, welche Funktionen administrative
Rechte erfordern.
Die Gruppe Hauptbenutzer

Die Gruppe Hauptbenutzer war in den frheren Windows-Versionen
dazu da, den Benutzern bestimmte administrative Rechte zu geben.
Damit konnte zumindest teilweise vermieden werden, dass Benutzer
in die Gruppe der Administratoren aufgenommen werden mussten,
nur um bestimmte Aufgaben auszufhren.
Mit der Benutzerkontensteuerung wird die Gruppe der Hauptbenutzer
nicht mehr bentigt. Standardbenutzer knnen die meisten normalen
Konfigurationsaufgaben ausfhren, und ltere Anwendungen, die
administrative Rechte bentigen, funktionieren aufgrund der Virtualisierung. Aus Grnden der Abwrtskompatibilitt ist allerdings auch
in Windows 7 die Gruppe Hauptbenutzer mit eingeschrnkten administrativen Rechten verfgbar.
Der Administratormodus
Besttigungsmodus
Administratoren arbeiten bei Windows 7 ebenfalls standardmig mit

dem Zugriffstoken des Standardbenutzers, d.h., allen Prozessen werden
nach der Anmeldung als Administrator zunchst nur die Zugriffsrechte
des Standardbenutzers gewhrt.
Im Hintergrund passiert dabei Folgendes: Meldet sich ein Benutzer an
einem Windows 7-Rechner an, erstellt das System ein Zugriffstoken fr
den Benutzer. Das Token enthlt alle erforderlichen Zugriffsinformationen
einschlielich eines Security Identifiers (SID). Meldet sich ein Administra-
230
tor am System an, werden zwei Zugriffstoken erstellt: ein Standardbenutzer-Token und ein Administrator-Token. Das Standardbenutzer-Token enthlt zwar die gleichen Informationen wie das Administrator-Token, aber
ohne administrative Zugriffsrechte und SID. Damit kann das Standardbenutzer-Token nicht zum Start von Anwendungen oder fr den Zugriff auf
Ressourcen verwendet werden, fr die administrative Rechte erforderlich
sind.
Damit sind auch Benutzer, die im Administratorkontext arbeiten, vor
ungewollten Installationen und vor der Ausfhrung bsartiger Software
geschtzt. Erfordert die Ausfhrung eines Programms erhhte Rechte,
wird das nachfolgende Besttigungsdialogfeld eingeblendet. Im Gegensatz
zum Standardbenutzer muss hier der Zugriff nur besttigt werden, d.h.,
die Eingabe des Kennwortes entfllt. Dieses Verhalten wird als Besttigungsmodus (engl. Admin Approval Mode) bezeichnet.
Generiert ein Prozess weitere abhngige Prozesse, wird das Zugriffstoken
an diese vererbt. Eine erneute Besttigung ist nicht notwendig, sofern alle
Prozesse denselben Integrittslevel besitzen.
5
Abbildung 5.3
Besttigungsdialog,
wenn eine Anwendung erhhte Rechte
bentigt
Anwendungen als Administrator starten

In frheren Versionen von Windows gibt es den Befehl Ausfhren als, mit
dessen Hilfe Standardbenutzer bzw. Benutzer mit eingeschrnkten Rechten Anwendungen starten knnen, die hhere Rechte erfordern, zum Beispiel eine Softwareinstallation. Administratoren, die im Kontext eines
Benutzerkontos arbeiten, mssen sich damit nicht erst abmelden und als
Administrator neu anmelden.
In Windows 7 wurde anstelle des Befehls Ausfhren als der neue Befehl Als
Administrator ausfhren implementiert. Dank der Benutzerkontensteuerung wird man als Administrator diesen Befehl aber wohl nur selten bentigen, da Windows bei Bedarf automatisch zur Eingabe eines Administratorkennworts auffordert.
Fr einige ltere Programme muss jedoch mglicherweise der Befehl Als
Administrator ausfhren dennoch verwendet werden, damit Sie sich nicht
erst abmelden und erneut anmelden mssen. Zu finden ist der Befehl im
Kontextmen der Anwendung.
231
Abbildung 5.4
Option Als Administrator ffnen im
Kontextmen von
Remotedesktopverbindung
Als Alternative zu Als Administrator ausfhren kann ber die Tastenkombination (Strg)+()+() eine Anwendung mit erhhten Rechten
gestartet werden. Geben Sie zum Beispiel in das Suchfeld des Startmens
cmd ein, und drcken Sie die Tastenkombination. Danach wird die
Benutzerkontensteuerung aufgerufen, das zur Besttigung auffordert.
Das Ausfhren von cmd mit erhhten Rechten ist vor allem ntzlich, wenn
man auf der Befehlszeilenebene viele administrative Schritte auf einmal
ausfhren mchte. In diesem Prozess gestartete Programme laufen dann
automatisch im Administratorkontext.
Sicherer Desktop
Die angezeigten Besttigungs- und Anhebungsdialoge werden standardmig auf dem sogenannten sicheren Desktop angezeigt. Optisch
ist dieser dadurch gekennzeichnet, dass alle anderen Fenster in einen
abgeblendeten Hintergrund gelegt werden. Nur das Zustimmungsdialogfeld wird in normaler Helligkeit angezeigt. Auerdem ist kein
Zugriff auf die anderen Fenster mglich.
Hintergrund dieser Manahme ist, dass aus Sicherheitsgrnden auf
dem sicheren Desktop nur Prozesse ausgefhrt werden knnen, die im
Kontext System laufen. Damit soll verhindert werden, dass Programme
das Besttigungsdialogfeld grafisch imitieren knnen, um Kennwrter
abzufangen.
Mit einer Gruppenrichtlinie kann die Verwendung des sicheren Desktops abgeschaltet werden (siehe hierzu die Gruppenrichtlinien-Erluterungen im nchsten Abschnitt).
232
5.1.2
Sicherheitslevel der
Benutzerkontensteuerung konfigurieren
Seit der Einfhrung der Benutzerkontensteuerung mit Windows Vista

steht diese in der Kritik, Anwender und Administratoren mit viel zu vielen lstigen und zum Teil sogar mehrmaligen Abfragen zu nerven. Und
da eine dedizierte Konfiguration unter Windows Vista nicht mglich ist,
haben nicht wenige Anwender diese ntzliche Sicherheitsfunktion gleich
ganz abgeschaltet.
Um diesem Problem zu begegnen, hat Microsoft die Benutzerkontensteuerung in Windows 7 gleich an mehreren Stellen angepasst. Zum einen fragt
das System standardmig sehr viel seltener und nicht gleich mehrfach
nach, und zum anderen bietet Windows 7 die Mglichkeit, die Warnstufe
einzustellen.
Allerdings geht dies auf Kosten der Sicherheit, denn in der Standardeinstel- AutoElevation
lung ist UAC so konfiguriert, dass es bestimmte nderungen automatisch verringert die
mit dem Administrator-Token ausfhrt, ohne dass es einer Besttigung Sicherheit
bedarf (AutoElevation). Dazu verwendet Windows u.a. eine Art Positivliste
(Whitelist) von betriebssystemeigenen Komponenten, denen die AutoElevation gestattet ist. Zu den sicheren Verzeichnissen zhlen beispielsweise das
Anwendungsverzeichnis und der System32-Ordner im Installationsverzeichnis. Auch einige privilegierte Prozesse erhalten automatisch AutoElevateRechte. Allerdings funktioniert die AutoElevation nur, wenn der angemeldete Benutzer ber Administratorrechte verfgt, denn fr Standardbenutzer
gibt es im Hintergrund kein Administrator-Token.
Das Problem dabei ist, dass auf diese Weise in vielen Situationen der
Effekt von UAC entfllt, auf mgliche gefhrliche nderungen aufmerksam zu machen. Und anders als in der strikten Handhabung von Windows Vista ist es auf diese Weise auch mglich, dass Malware gezielt die
neuen Mechanismen ausnutzt, um unbemerkt an administrative Rechte
zu gelangen.
Aus den genannten Grnden ist dringend zu empfehlen, die Standardeinstellung der Benutzerkontensteuerung zu ndern und die UAC-Einstellungen auf die hchste Stufe (immer benachrichtigen) und damit wieder auf das Niveau von Windows Vista zu bringen. Dazu stellt Microsoft
einen Schieberegler zur Verfgung, der die UAC-Einstellungen in vier
Stufen verndert oder diese Meldungen komplett deaktiviert.
Zu finden sind die Einstellungsmglichkeiten im Bereich Benutzerkonten Benutzerkontenund Jugendschutz der Systemsteuerung. Der Zugriff auf diesen Bereich steuerung konfierfolgt am schnellsten durch Eingabe von uac im Suchfeld des Startmens gurieren
und Auswahl der Option Einstellungen der Benutzerkontensteuerung ndern.
In dem sich ffnenden Dialogfeld knnen die Sicherheitseinstellung per
Schieberegler eingestellt werden. Standardmig ist die zweithchste Stufe
eingestellt.
233
Abbildung 5.5
Die Benutzerkontensteuerung sollte
auf das hchste
Niveau eingestellt
werden.
Auswhlbar sind die folgenden Einstellungen:

Immer benachrichtigen: Dies ist die sicherste Einstellung. Bei Auswahl
dieser Option werden Sie benachrichtigt, bevor von einem Programm
nderungen am Computer oder an den Einstellungen von Windows
vorgenommen werden, fr die Administratorberechtigungen erforderlich sind.
Nur benachrichtigen, wenn nderungen an meinem Computer von Programmen vorgenommen werden: Dies ist die Standardeinstellung. Sie
werden benachrichtigt, bevor von einem Programm nderungen am
Computer vorgenommen werden, fr die Administratorberechtigungen erforderlich sind und wenn von einem Programm auerhalb von
Windows versucht wird, nderungen an einer Windows-Einstellung
vorzunehmen. Sie werden jedoch nicht benachrichtigt, wenn Sie nderungen an Einstellungen von Windows vornehmen, fr die Administratorberechtigungen erforderlich sind.
Nur benachrichtigen, wenn nderungen an meinem Computer von
Programmen vorgenommen werden (Desktop nicht abblenden): Bei
dieser Einstellung handelt es sich um die gleiche Einstellung wie bei
Nur benachrichtigen, wenn nderungen an meinem Computer von Programmen vorgenommen werden, jedoch erfolgt die Benachrichtigung
hier nicht auf dem sicheren Desktop.
Nie benachrichtigen: Da nderungen am Computer ohne Benachrichtigung erfolgen, ist dies die unsicherste Einstellung. Sie sollte nur in isolierten Testumgebungen verwendet werden. In diesem Fall muss sehr
genau darauf geachtet werden, welche Programme ausgefhrt werden,
da diese den gleichen Zugriff auf den Computer besitzen wie Sie selbst.
Programmen wird zudem das Kommunizieren und bertragen von
Informationen ber smtliche Verbindungen ermglicht, die fr den
234
Computer hergestellt werden einschlielich der Internetverbindung.

Auerdem ist bei dieser Einstellung zu beachten, dass Standardbenutzern alle nderungen, fr die Administratorberechtigungen
erforderlich sind, automatisch verweigert werden.
Konfiguration mittels Gruppenrichtlinien

Eine alternative bzw. erweiterte Konfiguration der Benutzerkontensteuerung ist mithilfe von Gruppenrichtlinien mglich. Beispielsweise kann
hier dediziert die Anzeige des Besttigungsdialogs bei der Installation
von Anwendungen ausgeschaltet werden.
Zur Konfiguration der Benutzerkontensteuerung gehen Sie wie folgt vor:
1. ffnen Sie durch Eingabe von gpedit.msc im Suchfeld des Startmens
den Editor fr lokale Gruppenrichtlinien. Hierfr sind administrative
Rechte erforderlich.
2. Whlen Sie unter Computerkonfiguration/Windows-Einstellungen den
Container Sicherheitseinstellungen.
Alternativ knnen Sie im Suchfeld des Startmens den Befehl Sicherheitsrichtlinie oder secpol.msc eingeben. Hiermit wird direkt und ausschlielich der Container Sicherheitseinstellungen geffnet.
3. Whlen Sie Lokale Richtlinien und anschlieend Sicherheitsoptionen.
Abbildung 5.6: Sicherheitsrichtlinien zur Konfiguration der Benutzerkontensteuerung
Die Richtlinien zur Steuerung der Benutzerkontensteuerung bieten die

nachfolgend beschriebenen Konfigurationsmglichkeiten.
Benutzerkontensteuerung: Administratorbesttigungsmodus fr das inte- Richtlinien fr
grierte Administratorkonto Mit dieser Richtlinie kann der Besttigungs- die Benutzerkondialog fr die Ausfhrung mit erhhten Rechten fr das integrierte Admi- tensteuerung
nistratorkonto deaktiviert werden. Ist der Besttigungsmodus deaktiviert,

wird das integrierte Administratorkonto im XP-kompatiblen Modus angemeldet, was bedeutet, dass alle Anwendungen und Prozesse mit vollstndiger Administratorberechtigung ausgefhrt werden. Bemerkenswerterweise ist im Gegensatz zu Windows Vista diese Richtlinie unter Windows 7
standardmig deaktiviert.
235
Benutzerkontensteuerung: Alle Administratoren im Administratorbesttigungsmodus ausfhren Mithilfe dieser Richtlinie kann die Benutzerkon-
tensteuerung fr die administrativen Konten aktiviert bzw. deaktiviert werden. Ist der Besttigungsmodus deaktiviert, werden alle Administratorkonten im XP-kompatiblen Modus angemeldet, was bedeutet, dass alle
Anwendungen und Prozesse mit vollstndiger Administratorberechtigung
ausgefhrt werden.
Damit diese Richtlinie wirksam wird, muss der Rechner neu gestartet werden. Diese Richtlinie ist standardmig aktiviert.
Benutzerkontensteuerung: Anwendungsinstallationen erkennen und
erhhte Rechte einfordern Eine Installation wird ber heuristische
Erkennungsmechanismen von Windows 7 erkannt, und der Anhebungsdialog zur Eingabe des Administratorkennwortes wird bei Verwendung
eines Standardbenutzerkontos angezeigt. Wird diese Option deaktiviert,
schaltet Windows 7 die automatische Erkennung ab. Anwendungen werden sich dann mglicherweise mit dem Hinweis melden, dass Administratorrechte zur Ausfhrung ntig sind, und die Installation verweigern.
In Unternehmen, in denen automatisierte Verfahren zur Bereitstellung
von Anwendungen verwendet werden, sollte diese Richtlinie deaktiviert
werden. Standardmig ist die Richtlinie aktiviert.
Benutzerkontensteuerung: Bei Eingabeaufforderung nach erhhten Rechten zum sicheren Desktop wechseln Mit dieser Richtlinie wird bestimmt,
ob die Anforderung erhhter Rechte als Fenster auf dem interaktiven Benutzerdesktop oder auf dem sicheren Desktop angezeigt wird. Standardmig
ist die Richtlinie aktiviert, d.h., alle Anforderungen nach erhhten Rechten
werden auf dem sicheren Desktop angezeigt.
Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren Diese Sicherheitseinstellung ermg-
licht es, Legacy-Anwendungen in virtualisierte geschtzte Speicherbereiche der Registrierung und des Dateisystems zu schreiben. Durch die Virtualisierung wird das Ausfhren von Legacy-Anwendungen mglich,
die anderenfalls nicht im Kontext eines Standardbenutzers ausgefhrt
werden knnten. Werden nur Windows 7-kompatible Anwendungen
ausgefhrt, kann diese Funktion deaktiviert werden. In diesem Fall wird
fr Anwendungen, die Daten in geschtzte Speicherorte schreiben wollen wie in vorherigen Windows-Versionen auch, ein Fehler zurckgegeben. Standardmig ist die Richtlinie aktiviert.
Benutzerkontensteuerung: Nur ausfhrbare Dateien heraufstufen, die
signiert und berprft sind Mit dieser Sicherheitseinstellung werden Sig-
naturberprfungen fr interaktive Anwendungen erzwungen, die erhhte

Rechte erfordern. Ist die Richtlinie aktiviert, wird der Dialog Ein nicht identifiziertes Programm mchte auf den Computer zugreifen nicht eingeblendet und
ein Zugriff von vornherein blockiert. Standardmig ist die Richtlinie deaktiviert.
236
Benutzerkontensteuerung: Erhhte Rechte nur fr UIAccess-Anwendungen, die an sicheren Orten installiert sind Mit dieser Richtlinie wird die
Anforderung erzwungen, dass sich Anwendungen, die eine Ausfhrung

mit einer UIAccess-Integrittsebene anfordern, an einem sicheren Speicherort im Dateisystem befinden mssen. Sichere Speicherorte sind auf
die folgenden Verzeichnisse begrenzt:
\Programme\ (einschlielich Unterverzeichnisse)
\Windows\system32\
\Programme (x86)\ (einschlielich der Unterverzeichnisse fr 64-BitVersionen von Windows)
Unabhngig vom Status dieser Richtlinie wird eine Signaturberprfung
fr jede interaktive Anwendung erzwungen, die eine Ausfhrung mit
einer UIAccess-Integrittsebene anfordert. Standardmig ist die Richtlinie
aktiviert.
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung fr erhhte
Rechten fr Administratoren im Administratorbesttigungsmodus Diese
Richtlinieneinstellung steuert das Verhalten der Eingabeaufforderung

zur Anforderung erhhter Rechte fr Administratoren. Die Einstellungen
entsprechen im Wesentlichen den Optionen, die im Dialogfeld Einstellungen fr Benutzerkontensteuerung zu finden sind:
Erhhte Rechte ohne Eingabeaufforderung
Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren
Desktop
Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop
Eingabeaufforderung zu Anmeldeinformationen
Eingabeaufforderung zur Zustimmung
Eingabeaufforderung zur Zustimmung fr Nicht-Windows-Binrdateien (Standardeinstellung)
Eine detaillierte Beschreibung der einzelnen Einstellungen ist auf der Registerkarte Erklrung im Konfigurationsdialogfeld der Richtlinie zu finden.
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung fr erhhte
Rechten fr Standardbenutzer Diese Richtlinie bestimmt das Verhalten
der Eingabeaufforderung mit erhhten Rechten fr Standardbenutzer.

Bei Auswahl der Option Aufforderung zur Eingabe der Anmeldeinformationen bzw. Aufforderung zur Eingabe der Anmeldeinformationen auf dem sicheren Desktop wird der Benutzer zur Eingabe eines Benutzernamens und
Kennworts mit Administratorrechten aufgefordert. Falls der Benutzer
gltige Anmeldeinformationen eingibt, wird der Vorgang mit dem entsprechenden Recht fortgesetzt.
Ist die Option Anhebungsaufforderung automatisch abweisen ausgewhlt, wird
dem Standardbenutzer eine Fehlermeldung angezeigt, wenn er versucht,
einen Vorgang auszufhren, fr den erhhte Rechte erforderlich sind.
237
Benutzerkontensteuerung: UIAccess-Anwendungen knnen erhhte Rechte
ohne sicheren Desktop anfordern Standardmig kann der sichere Desk-
top nur von einem Administrator auf dem Computer oder ber Deaktivierung der Gruppenrichtlinie Bei Benutzeraufforderung nach erhhten Rechten
zum sicheren Desktop wechseln deaktiviert werden. Wird die Richtlinie aktiviert, knnen UIAccess-Programme, einschlielich der Windows-Remoteuntersttzung, den sicheren Desktop fr Eingabeaufforderungen fr
erhhte Rechte automatisch deaktivieren. Erforderlich ist dies bei bestimmten UIAccess-Szenarien, beispielsweise beim Bereitstellen von Remoteuntersttzung fr Standardbenutzer. Standardmig ist die Richtlinie deaktiviert.
5.2
Benutzer verwalten
Zur Verwaltung von Benutzern sind in Windows 7 verschiedene Werkzeuge

integriert. Welche im Einzelfall zur Verfgung stehen, ist von der eingesetzten Edition abhngig. So knnen in den Home-Editionen Benutzerkonten
ausschlielich mittels der Funktion Benutzerkonten verwaltet werden. Hierbei handelt es sich im Wesentlichen um eine vereinfachte Sicht auf die
Benutzerverwaltung, die in detaillierter und vollstndiger Form im Snap-in
Lokale Benutzer und Gruppen in der Computerverwaltung zu finden ist. Diese
Konsole steht jedoch nur in den Business-Editionen zur Verfgung. Der folgende Abschnitt stellt die Mglichkeiten beider Werkzeuge vor.
5.2.1
Das Dienstprogramm Benutzerkonten

fr einfache Kontenverwaltung
Die Funktion Benutzerkonten befindet sich in der Systemsteuerung und wendet sich vorrangig an Benutzer, die ihr eigenes Konto verwalten mchten. So
knnen Benutzer hier beispielsweise das Kennwort fr das eigene Konto
ndern oder ein neues Bild auswhlen. Welche Funktionen dem Benutzer
zur Verfgung stehen, ist von der verwendeten Edition bzw. davon abhngig, ob der Computer Mitglied einer Domne oder einer Arbeitsgruppe ist.
Am schnellsten kann das nachstehend gezeigte Dialogfeld durch einen
Mausklick auf das Bild im Startmen geffnet werden. Danach wird der
Anhebungsdialog aufgerufen, der zur Besttigung auffordert.
Anderes Konto
verwalten
238
Auch die Verwaltung anderer Konten ist Benutzern mit administrativen

Rechten an dieser Stelle mglich. Hierzu ist die Option Benutzerkonten
verwalten zu verwenden. Standardmig werden nach dem Abschluss
der Installation unter Benutzerkonten nur das whrend der Installation
eingerichtete Administratorkonto sowie das vordefinierte Gastkonto
angezeigt. Allerdings beschrnken sich die nderungsmglichkeiten auf
die lokalen Benutzerkonten. nderungen von Domnenbenutzerkonten
sind konsequenterweise an dieser Stelle nicht mglich.
Benutzer verwalten
Abbildung 5.7
Der Systemsteuerungsbereich Benutzerkonten bei
Mitgliedschaft des
Computers in einer
Domne
Die verfgbaren Optionen ermglichen das Erstellen und Lschen neuer

Konten sowie die nderung von Namen und Beschreibung und der
Gruppenmitgliedschaft eines ausgewhlten Kontos. Einschrnkend knnen an dieser Stelle keine neuen lokalen Gruppen erstellt werden. Hierzu
muss das Snap-in Lokale Benutzer und Gruppen in der Computerverwaltung
verwendet werden.
Abbildung 5.8
Verwaltung anderer
Konten im Dialogfeld Benutzerkonten
bei Mitgliedschaft
des Computers in
einer Domne
Einige weitere interessante Funktionen sind auf der Registerkarte Erweitert zu finden. Hierzu zhlt auch die Option Kennwrter verwalten. Damit
239
ist es beispielsweise mglich, Kennwrter fr ausgewhlte Serverzugriffe

zu hinterlegen. Die verbundene Funktion Anmeldeinformationen fr automatisches Anmelden speichern stellt die auf dem Clientrechner hinterlegten
Kennwrter zur Verfgung, wenn sie fr den Zugriff auf die Netzwerkressourcen erforderlich sind. Dies ermglicht u.a. den Zugriff auf Computer
in einer nicht vertrauenswrdigen Domne ohne Abfrage des Domnenbenutzernamens und des Kennworts.
Abbildung 5.9: Verwaltung der eigenen Anmeldeinformationen
Die Anmeldeinformationen werden als Teil des Benutzerprofils gespeichert.

Das bedeutet, dass diese verloren sind, wenn das Profil gelscht wird.
Auerdem gehen die gespeicherten Anmeldeinformationen verloren, wenn
das Kennwort fr ein Benutzerkonto zurckgesetzt werden muss. Zu diesem Zweck bietet Windows 7 die Mglichkeit, die Anmeldeinformationen
auf Festplatte oder auf einen Wechseldatentrger zu speichern.
Anmeldeinformationen werden zwar verschlsselt abgelegt, trotzdem
ist das Speichern von Anmeldeinformationen (insbesondere fr Konten
mit administrativen Rechten) aus Sicherheitserwgungen bedenklich.
Kann sich jemand Zugriff im Kontext des lokalen Benutzers verschaffen, hat er damit automatisch auch Zugriff auf die Netzwerkressourcen.
Kennwortrcksetzdiskette
erstellen
Ist der Computer Mitglied einer Arbeitsgruppe oder ein allein stehender
Computer, besteht im Rahmen der Benutzerverwaltung zustzlich die
Mglichkeit, einmalig eine Kennwortrcksetzdiskette zu erstellen. Falls ein
Anwender das Kennwort fr sein lokales Benutzerkonto vergisst, kann
das Kennwort mithilfe des gespeicherten Kennworts zurckgesetzt werden, sodass er wieder auf den Computer zugreifen kann. Mglich ist die
Speicherung des Kennworts auf Diskette oder ein USB-Flashlaufwerk.
Sofern sich der Computer in einer Domne befindet, steht diese Option
nicht zur Verfgung.
240
Benutzer verwalten
Bei der Anmeldung an einem Computer kann ein vergessenes Kennwort Kennwort
mithilfe der Option Kennwort zurcksetzen und des gespeicherten Kenn- zurcksetzen
worts ersetzt werden. Stecken Sie dazu das Wechselmedium ein, und folgen
Sie anschlieend den Anweisungen des Assistent fr vergessene Kennwrter,
um ein neues Kennwort zu erstellen. Melden Sie sich mithilfe des neuen
Kennwortes an, und bewahren Sie die Kennwortrcksetzdiskette bzw. den
USB-Speicherstick anschlieend an einem sicheren Ort auf, falls Sie Ihr
Kennwort zu einem spteren Zeitpunkt erneut zurcksetzen mssen.
5.2.2
Erweiterte Benutzerverwaltung
Administratoren in einem Unternehmensnetzwerk, die eine der BusinessEditionen von Windows 7 verwenden, werden die Systemsteuerungsfunktion Benutzerkonten nur selten nutzen, da diese eine Reihe von Einschrnkungen aufweist. Eine umfassende Benutzerverwaltung ist in diesem Fall
nur mit dem Snap-in Lokale Benutzer und Gruppen mglich. Alternativ kann
auch in der Befehlszeile die Anweisung net user verwendet werden.
Das Snap-in Lokale Benutzer und Gruppen

Die Konsole Lokale Benutzer und Gruppen ist als Snap-in in die Computerverwaltung integriert. Separat kann die Konsole am schnellsten durch Eingabe von lusrmgr.msc im Suchfeld des Startmens geffnet werden. Die
Verwaltung von Domnenbenutzerkonten ist an dieser Stelle nicht mglich. Zur Administration dieser Konten muss das Snap-in Active Directory-Benutzer und -Computer verwendet werden.
Wie auch bei den Vorgngerversionen stellt Microsoft die Remoteserver-Verwaltungstools (Remote Server Administration Tools RSAT) fr
Windows 7 zum kostenlosen Download bereit [RSAT]. Damit knnen
von Computern unter Windows 7 Rollen und Funktionen auf Remotecomputern mit Windows Server 2008 R2, Windows Sserver 2008 oder
Windows Server 2003 verwaltet werden.
Die Remoteserver-Verwaltungstools fr Windows 7 knnen auf Computern mit Windows 7 Enterprise, Professional oder Ultimate installiert werden. Untersttzt werden sowohl die x86- als auch die x64basierten Windows 7-Versionen. Detaillierte Informationen zu den
Tools, die in Remoteserver-Verwaltungstools fr Windows 7 verfgbar
sind, finden Sie im Knowledge-Base-Artikel 958830 [KBRSAT].
Abbildung 5.10: Snap-in Lokale Benutzer und Gruppen

241
Funktionen
Im Container Benutzer werden alle lokalen Benutzerkonten, die in der Benutzerdatenbank des Computers gespeichert sind, aufgelistet. Hier knnen die
folgenden Aufgaben durchgefhrt werden:
Neue lokale Benutzerkonten hinzufgen oder bestehende lschen.
Mit Ausnahme einiger Benutzerkonten, wie dem Administrator- und
dem Gastkonto, werden standardmig whrend der Installation von
Windows 7 keine lokalen Benutzerkonten erstellt. Werden weitere
Benutzerkonten bentigt, mssen diese erstellt werden. Hierzu sind
entsprechende Rechte erforderlich.
Benutzerkontennamen und Beschreibung ndern. Da Benutzerkonten
unter Windows ausschlielich ber eine eindeutige Kennung unterschieden werden, kann der Benutzername jederzeit gendert werden.
Kennwortoptionen ndern. Darber hinaus knnen in den Eigenschaften der Benutzerkonten die Kennwortoptionen fr das betreffende
Konto gendert werden. So kann beispielsweise festgelegt werden, dass
der Benutzer das Kennwort nicht ndern kann.
Die Gruppenmitgliedschaft der Benutzerkonten verwalten.
Profileinstellungen der einzelnen Benutzerkonten verwalten.
Benutzerkonten vorbergehend deaktivieren
Einen neuen Benutzer erstellen
Um in der Konsole ein neues Benutzerkonto einzurichten, ist im Kontextmen von Benutzer die Option Neuer Benutzer zu whlen.
Bei der Einrichtung eines neuen Benutzerkontos sind der Benutzername,
der vollstndige Name, der in einigen Dialogfeldern zur Anzeige verwendet wird, und eine Beschreibung einzutragen. Weiterhin mssen ein
Kennwort vergeben und die Kennwortoptionen festgelegt werden.
Wird ein Benutzerkonto gelscht, ist zu beachten, dass Windows 7
intern nicht den Namen, sondern einen Security Identifier verwendet.
Wird anschlieend ein neuer Benutzer mit dem gleichen Namen erstellt,
handelt es sich trotzdem um einen anderen Benutzer. Die Zugriffsrechte
des ehemaligen Benutzers sind fr diesen deshalb nicht wirksam.
Benutzereigenschaften ndern
nderungen hinsichtlich der Kennwortoptionen, Gruppenmitgliedschaften und Benutzerprofile sind in dem Eigenschaftendialogfeld des betreffenden lokalen Benutzerkontos jederzeit mglich. Allerdings sucht man
hier die Mglichkeit zum Umbenennen eines Benutzerkontos und zum
Festlegen eines neuen Kennwortes vergeblich. Diese beiden Optionen knnen nur direkt im Kontextmen des betreffenden Benutzerkontos oder im
Men Aktion ausgewhlt werden.
Mit der Funktion Kennwort festlegen im Kontextmen des Benutzerkontos kann ein Administrator ein vom Benutzer vergessenes Kennwort
zurcksetzen. Hierbei ist jedoch zu beachten, dass nach dem Zurcksetzen des Kennworts kein Zugriff mehr auf die lokal liegenden verschlsselten Daten des Benutzers mglich ist.
242
Benutzer verwalten
Der Entschlsselungsschlssel wird aus dem Kennwort des Benutzers

abgeleitet. Daher kann das System die verschlsselten Dateien nach
dem Zurcksetzen des Kennworts durch den Administrator nicht mehr
entschlsseln.
Dieses Verhalten tritt nicht auf, wenn ein Benutzer sein Kennwort
selbst ndert. In diesem Fall werden die Schlssel automatisch mit
dem neuen Kennwort verschlsselt.
Abbildung 5.11
Kontextmen zur
Konfiguration eines
ausgewhlten lokalen Benutzerkontos
Der Befehl net user

Das bereits bei den Vorgngerversionen integrierte Befehlszeilenprogramm Net.exe bietet eine Alternative zu den Benutzerschnittstellen in der
GUI. Die Verwaltung von Benutzerkonten ist mglich mit dem Befehl net
user. Hiermit knnen Benutzerkonten hinzugefgt und gendert oder
Informationen ber Benutzerkonten angezeigt werden.
Die Syntax hierzu lautet:
NET USER [Benutzername
Benutzername
Benutzername
Benutzername
Syntax
[Kennwort|*] [Optionen]] [/DOMAIN]

{Kennwort|*} /ADD [Optionen] /DOMAIN]
[/DELETE] [/DOMAIN]
[/TIMES:Zeiten |ALL]
Bei Verwendung von net user ohne Parameter werden alle lokalen Benutzerkonten aufgelistet (mglich ist auch die Eingabe von net users). Die
Anzeige aller verfgbaren Parameter mit einer sehr hilfreichen Beschreibung ist mglich mit dem Befehl:
net help user
Die Einrichtung eines neuen Benutzerkontos ist beispielsweise mit dem Benutzerkonto
erstellen
folgenden Befehl mglich:
net user <Benutzername> <Kennwort> /add [Optionen]
Alle Detailinformationen zu einem Benutzerkonto knnen mit dem folgenden Befehl angezeigt werden:
net user <Benutzername>
243
Kennwort ndern
Interessant sind die Mglichkeiten zur Vergabe von Kennwrtern. Beispielsweise kann sehr schnell das Anmeldekennwort fr ein Benutzerkonto gendert werden. Hierzu ist der Befehl
net user <Benutzername> <Kennwort>
einzugeben, wobei <Kennwort> fr das neue Kennwort steht. Da das Kennwort hierzu in Klarschrift angezeigt wird, ist jedoch folgender Weg vorzuziehen:
net user <Benutzername> "*"
Anschlieend erscheint eine weitere Zeile mit der Aufforderung, das Kennwort einzugeben. Der eingetippte Name wird hier nicht angezeigt.
Benutzereigenschaften ndern
Aber auch zum ndern der Eigenschaften eines Kontos bietet der Befehl
net user die entsprechenden Parameter. Die folgende Auflistung enthlt
nur die fr die Verwaltung lokaler Benutzer relevanten Optionen.
/active:{yes|no}: Deaktiviert oder aktiviert das Konto.
/comment:"Beschreibung": Ermglicht die Eingabe einer Beschreibung fr
das Benutzerkonto (maximal 48 Zeichen).

/fullname:"Name": Der vollstndige Name des Benutzers. Der Name muss
in Anfhrungszeichen stehen.
/kennwordchg:{yes|no}: Legt fest, ob der Benutzer das eigene Kennwort
ndern kann.
/kennwordreq:{yes|no}: Legt fest, ob ein Benutzerkonto ein Kennwort haben
muss.
5.2.3
SID-Verwaltung bei Benutzerkonten
Benutzerkonten bieten Benutzern die Mglichkeit, sich am Netzwerk oder

am lokalen Computer anzumelden und auf lokale und Netzwerkressourcen
zuzugreifen. Der Zugriff des Benutzers erfolgt mit seinem Anmeldenamen
und dem Kennwort. Jeder Eintrag eines Benutzers wird in der Benutzerdatenbank ber eine eindeutige SID (Security Identifier) gefhrt.
SID ermitteln
Auch wenn die SID nur fr die interne Verwaltung von Benutzer- und
Gruppenkonten verwendet wird, ist es in einigen Fllen erforderlich, die
SID eines Kontos zu kennen, beispielsweise um gezielt Registrierungseintrge von Benutzern zu ndern.
SID (Security Identifier)

SIDs werden in einem Windows-System verwendet, um Sicherheitsprincipals eindeutig zu identifizieren. Unter einem Sicherheitsprincipal
wiederum versteht man Objekte, denen automatisch eine Sicherheitskennung zugewiesen wird. Hierzu zhlen Benutzerkonten, Computerkonten und Gruppenkonten. Nur Objekte mit einer Sicherheitskennung
knnen sich am Computer oder am Netzwerk anmelden und auf Ressourcen zugreifen.
244
Benutzer verwalten
Die SID wird vom System zum Zeitpunkt der Konto- oder Gruppenerstellung zugewiesen. Hierbei wird die SID eines lokalen Kontos oder
einer lokalen Gruppe von der lokalen Sicherheitsautoritt (Local Security Authority, LSA) auf dem Computer erstellt und mit anderen Kontoinformationen in einem gesicherten Bereich der Registrierung gespeichert. Die SID eines Domnenkontos oder einer Domnengruppe wird
von der Domnensicherheitsautoritt erstellt und als Attribut des
Benutzerobjekts oder der Gruppe im Active Directory gespeichert.
Durch eine SID wird der Sicherheitsprincipal im ganzen Netzwerk eindeutig identifiziert. Auch wenn der Name gendert wird, bleibt die SID
erhalten. Wird beispielsweise ein Benutzer im Netzwerk gelscht, wird
auch seine SID gelscht. Wird der Benutzer mit dem gleichen Namen
wieder neu angelegt, erhlt er eine neue SID, weshalb ihm alle Berechtigungen wieder neu zugewiesen werden mssen. Auch aus diesem
Grund ist es besser, Zugriffsrechte auf Gruppen- statt auf Benutzerebene
zuzuweisen, da diese erfahrungsgem seltener gelscht und neu angelegt werden als Benutzerkonten.
Am einfachsten kann unter Windows 7 die SID mit dem Befehlszeilen- Whoami.exe
programm Whoami.exe ermittelt werden.
Whoami.exe kann die SIDs und die Anmelde-IDs sowie Rechte- und Gruppenzuordnungen des aktuell angemeldeten Benutzers ermitteln und ausgeben. Die SID eines Benutzers kann mit dem folgenden Befehl abgefragt
werden:
whoami /user
Ausgesprochen ntzlich kann der Parameter /all sein, mit dem alle verfgbaren Informationen zu dem aktuell angemeldeten Benutzer ausgegeben werden. Dies umfasst die folgenden Parameter:
/user
/groups
/priv (Individuelle Rechte)
/logonid
/sid
Das Programm hat jedoch die Einschrnkung, dass nur Informationen

zum aktuellen Benutzer angezeigt werden.
5.2.4
Vordefinierte Benutzerkonten
Windows 7 richtet standardmig zwei Benutzerkonten ein:

Administratorkonto
Das Administratorkonto wird whrend der Installation von Windows 7
erstellt und ist standardmig deaktiviert. Um es verwenden zu knnen, muss es zunchst aktiviert werden. Hierbei wird zur Eingabe
eines neuen Kennworts aufgefordert.
245
Aus Sicherheitsgrnden sollte fr das Administratorkonto ein mglichst

sicheres Kennwort festgelegt werden, das den Komplexittsanforderungen entspricht. Hohe Sicherheit ist mit einem Administratorkennwort
gewhrleistet, das mindestens neun Zeichen lang ist, mindestens ein Satzzeichen und ein nichtdruckbares ASCII-Zeichen (einzugeben ber die
(Alt)-Taste in Kombination mit einem dreistelligen Zahlenschlssel) enthlt. Auerdem sollte das Administratorkonto umbenannt werden, um
potenziellen Hackern den Zugriff zu erschweren. Insbesondere das lokale
Administratorkonto ist hufig ein Ziel interner Mitarbeiter, die versuchen, darber hhere Zugriffsberechtigungen zu erlangen.
Gastkonto
Ein weiteres vordefiniertes und standardmig deaktiviertes Konto

ist das Gastkonto. Mit diesem Konto knnen verschiedenen Benutzern die Anmeldung am lokalen Computer und der Zugriff auf Ressourcen ermglicht werden, ohne dass fr jeden Benutzer ein Konto
eingerichtet werden muss.
Da ein personalisierter Systemzugriff in jedem Fall vorzuziehen ist
und auch vonseiten der Revision in aller Regel gefordert wird, sollte
auch fr Benutzer, die nur vorbergehend Zugriff bentigen, ein eigenes Benutzerkonto eingerichtet werden.
Das Gastkonto
Das Gastkonto ist standardmig Mitglied der Gruppe Gste. Eine
genaue Erluterung der Gruppen finden Sie in Abschnitt 5.3.2 ab Seite 252.
Bei einer interaktiven Anmeldung ist das Gastkonto Mitglied der beiden
Gruppen Gste und Benutzer. Bei einer Anmeldung ber das Netzwerk ist
das Gastkonto jedoch standardmig kein Mitglied der Benutzergruppe.
Einen weiteren Punkt gilt es hinsichtlich der Netzwerkanmeldung mit
dem Gastkonto an einem Rechner unter Windows 7, der nicht Mitglied
einer Domne ist, zu beachten. Auf diesen werden Netzwerkanmeldungen standardmig dem Gastkonto zugeordnet. Dies erleichtert die Freigabe von Ressourcen in Heimnetzwerken oder kleinen Netzwerken, verhindert aber die Mglichkeit zur Vergabe individueller Berechtigungen.
Mittels einer Gruppenrichtlinie knnen die Verwendung des Gastkontos
und das Freigabeverhalten von Windows 7 in einer Arbeitsgruppenumgebung administriert werden.
Fr die Gruppenrichtlinie Computerkonfiguration/Windows-Einstellungen/
Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen/Netzwerkzugriff:
Modell fr gemeinsame Nutzung und Sicherheitsmodell fr lokale Konten stehen zwei Einstellungen zur Auswahl:
Klassisch: Lokale Benutzer werden unter ihrer eigenen Identitt authentifiziert. Dies ist die Standardeinstellung fr Computer, die Mitglied einer
Domne sind.
246
Benutzer verwalten
Nur Gast: Lokale Benutzer werden ber das Konto Gast authentifi-
ziert. Alle Benutzer werden dabei gleich behandelt und erhalten die
gleiche Zugriffsstufe fr eine Ressource. Dies ist die Standardeinstellung fr Computer, die Mitglied einer Arbeitsgruppe sind.
Wird fr diese Option die Einstellung Klassisch verwendet, werden
Netzwerkanmeldungen anhand der verwendeten Anmeldeinformationen authentifiziert. Wird fr diese Option die Einstellung Nur Gast festgelegt, werden Netzwerkanmeldungen, die ein lokales Konto verwenden,
automatisch dem Gastkonto zugeordnet.
5.2.5
Kennwortrichtlinien verwalten
Kennwrter gehren zu den wichtigsten Schutzmechanismen und sollten

entsprechend aufmerksam behandelt werden. Zwar erfolgt in einem Firmennetzwerk die Umsetzung von Firmenrichtlinien hinsichtlich der Verwaltung von Kennwrtern in aller Regel zentral, die Kenntnis der Steuerungsmglichkeiten fr lokale Benutzerkonten ist trotzdem erforderlich.
Hinsichtlich der Festlegung fr die Kennwortoptionen sind im Eigen- Kennwortoptionen

schaftenfenster von Benutzerkonten die folgenden Optionen zu finden:
Benutzer muss Kennwort bei der nchsten Anmeldung ndern
Ist diese Option aktiviert, wird der Benutzer bei der ersten Anmeldung aufgefordert, ein neues Kennwort einzugeben. Dies ermglicht
es dem Administrator, einem Benutzer ein einfaches Startkennwort
zuzuweisen, das der Benutzer bei der nchsten Anmeldung ndern
muss. Weiterhin ist sichergestellt, dass dem Administrator das Benutzerkennwort nicht bekannt ist.
Benutzer kann Kennwort nicht ndern
Bei Aktivierung dieser Option kann der Benutzer sein eigenes Kennwort nicht ndern. Diese Option wird in der Regel fr Dienstkonten
verwendet.
Kennwort luft nie ab
Aus Sicherheitsgrnden sollten Benutzer gezwungen sein, periodisch
ihr Kennwort zu ndern. Die Ablaufdauer kann in der entsprechenden Sicherheitsrichtlinie festgelegt werden und betrgt standardmig 42 Tage.
Die Aktivierung dieser Option setzt die Einstellungen in der Gruppenrichtlinie fr den betreffenden Benutzer auer Kraft. Diese Option
sollte daher nur in Ausnahmefllen (beispielsweise fr Dienstkonten)
aktiviert werden.
247
Abbildung 5.12
Kennwortoptionen
fr einzelne Benutzerkonten
Zustzlich knnen zentral Kennworteinstellungen fr den Computer

bzw. die Domne konfiguriert werden. Seit Windows 2000 erfolgt die
Festlegung genereller Kennworteinstellungen, wie beispielsweise fr die
Erzwingung einer erforderlichen Mindestlnge fr Kennwrter oder die
Verwendung von Kennwortchroniken, in den mehrfach angesprochenen
Gruppenrichtlinien bzw. konkret den Sicherheitsrichtlinien.
Kennwrter mit
Gruppenrichtlinien konfigurieren
Gruppenrichtlinien erlauben die Vorgabe von Einstellungen, die zum

einen auf den lokalen Computer beschrnkt sein knnen und/oder zum
anderen fr Bereiche des Active Directory (Standorte, Domnen, Organisationseinheiten oder Subnetze) Anwendung finden.
Die lokalen Sicherheitsrichtlinien bzw. Sicherheitseinstellungen sind im lokalen Gruppenrichtlinienobjekt zu finden. Zur Konfiguration lokaler Sicherheitsrichtlinien gehen Sie wie folgt vor:
1. ffnen Sie durch Eingabe von gpedit.msc im Suchfeld des Startmens den
Editor fr lokale Gruppenrichtlinien. Hierfr sind administrative Rechte
erforderlich.
Alternativ knnen Sie im Suchfeld des Startmens den Befehl Sicherheitsrichtlinie oder secpol.msc eingeben. Hiermit wird direkt und ausschlielich der Container Sicherheitseinstellungen geffnet.
3. Whlen Sie Kontorichtlinien und anschlieend Kennwortrichtlinien.
248
Benutzer verwalten
Abbildung 5.13
Konfiguration der
Kennwortrichtlinien in den lokalen
Sicherheitseinstellungen
Eine gute Absicherung lsst sich mit den folgenden Einstellungen erzie- Kennwortsicherlen, die aber lediglich als Anhaltspunkte dienen knnen und dem indivi- heit erhhen
duellen Sicherheitsstandard entsprechend angepasst werden mssen:
Die Mindestlnge fr Kennwrter sollte sieben Zeichen nicht unterschreiten.
Die maximale Kennwortdauer hngt von der verwendeten Netzwerkkonfiguration ab und sollte nicht mehr als 42 Tage betragen. Dies
ist der Standardwert.
Die minimale Kennwortdauer sollte auf einen Wert zwischen einem
und sieben Tagen gesetzt werden. Der Standardwert null erlaubt eine
sofortige erneute nderung des Kennworts, was zu einer Umgehung
des Kennworterneuerungszyklus missbraucht werden kann.
Mindestens die letzten sechs Kennwrter sollten in der Kennwortchronik gespeichert werden.
Wichtig ist die Aktivierung der Richtlinie Kennwort muss Komplexittsvoraus- Komplexe
setzungen entsprechen. Ist diese Richtlinie aktiviert, mssen bei Vergabe eines Kennwrter
neuen Kennwortes mindestens drei der folgenden vier Vorgaben erfllt sein:
Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als
zwei Zeichen enthalten, die nacheinander im vollstndigen Namen des
Benutzers vorkommen.
Das Kennwort muss mindestens sechs Zeichen lang sein.
Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
Grobuchstaben (A bis Z)
Kleinbuchstaben (a bis z)
Zahlen zur Basis 10 (0 bis 9)
Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
Hierbei ist zu beachten, dass die Komplexittsvoraussetzungen nur
erzwungen werden, wenn Kennwrter gendert oder erstellt werden.
249
Kennwrter auf
Sicherheit prfen
Zur berprfung der Sicherheit von Passwrtern stellt Microsoft einen

Online-Passwort-Checker [MSPW] zur Verfgung. Dieser kann jedoch
nur einen ersten Ansatz bieten, da er ein Passwort wie Microsoft bereits
mit der Sicherheitsstufe Medium und Microsoft123 mit der Sicherheitsstufe Strong bewertet.
Sehr gut geeignet ist hingegen der Passwort-Checker, der vom Datenschutzbeauftragten des Kantons Zrich bereitgestellt wird. Die Auswertung gibt zustzliche Hinweise auf Schwachstellen des geprften Kennwortes. Auerdem erfolgt die bertragung der Kennwrter verschlsselt
[KZPW].
Einschrnkungen fr Konten mit leeren Kennwrtern

Seit der Version Windows XP werden Benutzer, die ein leeres Kennwort verwenden, bei Netzwerkzugriffen standardmig beschrnkt.
Konten mit leeren Kennwrtern knnen nicht mehr fr eine Remoteanmeldung an dem Computer verwendet werden. Wird einem lokalen
Konto ohne Kennwort in der Folge ein Kennwort zugewiesen, wird
diese Einschrnkung entfernt.
Die Einstellung hat jedoch keine Auswirkungen auf Anmeldungen, die
mit einem Domnenbenutzerkonto erfolgen. Auerdem knnen Anwendungen, die interaktive Remoteanmeldungen verwenden, diese Einstellung umgehen.
Wie Windows 7 mit leeren Kennwrtern umgehen soll, wird mithilfe
einer Richtlinie im Container Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen gesteuert.
Mit der Richtlinie Konten: Lokale Kontenverwendung von leeren Kennwrtern
auf Konsolenanmeldung beschrnken wird festgelegt, ob lokale Konten, die
nicht kennwortgeschtzt sind, verwendet werden knnen, um sich ber
das Netzwerk von anderen Standorten aus anzumelden. Standardmig
ist diese Einschrnkung aktiviert.
Abbildung 5.14
Sicherheitsrichtlinie
zur Einschrnkung
von Konten mit
leeren Kennwrtern
auf die Konsolenanmeldung
250
5.3
Verwaltung lokaler
Gruppenkonten
Zur Vereinfachung der Administration werden Berechtigungen und

Benutzerrechte in der Regel nicht einzelnen Benutzern, sondern Gruppen
erteilt. Wird ein Benutzer einer Gruppe hinzugefgt, erhlt er nach einer
erneuten Anmeldung alle Berechtigungen und Benutzerrechte, die dieser
Gruppe zugewiesen sind. Nach der Installation von Windows 7 ist bereits
eine Reihe von Gruppen angelegt, deren Mitglieder hierber entsprechende Rechte erhalten. Zustzlich knnen benutzerdefinierte Gruppen
5.3.1
Gruppentypen im Vergleich
Fr die Verwaltung eines einzelnen Windows 7-Computers spielen konsequenterweise nur die lokalen Gruppen eine Rolle. In einem Active
Directory-basierten Unternehmensnetzwerk mit einem verschachtelten
Gruppenmodell gibt es zwangslufig ein Zusammenspiel mit anderen
Gruppentypen, sodass an dieser Stelle ein kurzer Blick auf die in einer
Active Directory-Umgebung verfgbaren Gruppentypen erforderlich ist.
Hierbei werden ausschlielich sicherheitsrelevante Gruppen (keine Verteilergruppen) betrachtet.
(Computer)lokale Gruppen
Gruppentypen in
Lokale Gruppen werden in der Sicherheitsdatenbank des jeweiligen Active Directory

Computers verwaltet, auf dem sie erstellt wurden, und dienen zur
Administration von Rechten und Berechtigungen fr Ressourcen auf
einem lokalen Computer.
Domnenlokale Gruppen
Domnenlokale Gruppen stehen lokal in der jeweiligen Domne zur

Verfgung, in der sie erstellt wurden. Sie dienen zur Administration
von Rechten und Berechtigungen fr Objekte auf Computern in der
Domne.
Globale Gruppen
Globale Gruppen dienen zur Verwaltung und Zusammenfassung von
Benutzern, die ein gemeinsames Zugriffsprofil aufweisen. Globale Gruppen knnen Benutzerkonten aus der gleichen Domne und andere globale Gruppen aus der gleichen Domne enthalten. Durch Aufnahme in
die entsprechenden Gruppen knnen ihnen Berechtigungen fr jeden
Computer in jeder Domne einer Gesamtstruktur erteilt werden.
Universelle Gruppen
Der Einsatz universeller Gruppen ist in greren Organisationen sinnvoll, in denen Bedarf besteht, Zugriff fr hnliche Kontengruppen zu
gewhren, die in mehreren Domnen einer Gesamtstruktur definiert
sind.
251
Sondergruppen
Eine spezielle Gruppe stellen die Gruppen fr besondere Identitten

dar. Hierzu zhlt beispielsweise die Gruppe Jeder oder Ersteller-Besitzer.
Anders als die anderen Gruppenarten knnen diesen keine Mitglieder
zugewiesen werden. Vielmehr wird ein Konto Mitglied einer dieser
Gruppen durch eine bestimmte Aktion, d.h., sie werden auf alle Konten
angewendet, die den Computer auf besondere Weise nutzen, wie beispielsweise anonyme Anmeldungen oder Remotezugriffe.
Die Sondergruppen werden in der Gruppenverwaltung nicht angezeigt, da sie nicht administrierbar sind. Sie knnen jedoch verwendet
werden, um beispielsweise Zugriff auf Ressourcen zu gewhren.
5.3.2
Vordefinierte lokale Gruppen und ihre

Berechtigungen
Nach der Installation von Windows 7 sind die in der nachstehenden

Abbildung gezeigten integrierten lokalen Gruppen zu finden.
Abbildung 5.15
Standardmig
verfgbare computerlokale Gruppen
Diese Gruppen haben die folgenden Funktionen und Rechte:

Funktionen
vordefinierter
Gruppen
Administratoren
Mitglieder dieser Gruppe besitzen die vollstndige Kontrolle ber den

lokalen Computer und knnen smtliche Funktionen durchfhren, die
das Betriebssystem untersttzt. Auerdem sind sie berechtigt, sich
jedes Recht, das sie nicht standardmig besitzen, selbst zu erteilen.
Zu den Standardmitgliedern dieser Gruppe zhlen bei einer Neuinstallation von Windows 7 nur das whrend der Installation erstellte Konto
sowie das standardmig eingerichtete und deaktivierte Administratorkonto. Bei der Aktualisierung eines Windows Vista-Rechners bleiben bereits vorhandene Mitglieder der lokalen Gruppe Administratoren
und ggf. die Mitglieder der Gruppe Domnenadministratoren bestehen.
Benutzer
Im Gegensatz zu Administratoren haben Mitglieder der Gruppe Benutzer nur eingeschrnkten Zugriff auf das System (beachten Sie hierzu
den Abschnitt 5.1.1 ab Seite 228).
252
Benutzer knnen weder computerweite Registrierungseinstellungen

ndern noch Systemdateien oder Programmdateien bearbeiten. Auch
knnen sie keine Anwendungen installieren. Peripheriegerte, wie
beispielsweise Drucker, knnen sie nur dann einrichten, wenn das
Treiberpaket bereits im Treiberspeicher zur Verfgung steht, signiert
ist und ohne Benutzerschnittstelle installiert werden kann (beachten
Sie hierzu die Ausfhrungen in Kapitel 3).
Distributed COM-Benutzer
Mitglieder dieser Gruppe knnen DCOM-Objekte auf einem Computer

starten, aktivieren und verwenden. Damit hat er Zugriff auf Anwendungen, die Objekte verteilt im Netzwerk zur Verfgung stellen. Darber hinaus erhalten Mitglieder dieser Gruppe keine Standardbenutzerrechte.
Ereignisprotokollleser
Standardbenutzer sind nicht zur Anzeige aller Protokolle im Ereignisprotokoll berechtigt. Da dieses Benutzerrecht auch nicht mittels Gruppenrichtlinien zugewiesen werden kann, mussten in frheren WindowsVersionen Benutzer, die das Ereignisprotokoll auswerten sollten, einer
administrativen Gruppe hinzugefgt werden. Unter Windows 7 steht
hierfr die Gruppe Ereignisprotokollleser zur Verfgung. Mitglieder dieser Gruppe knnen Leistungszhler, Protokolle und Warnungen auf dem
Computer lokal und ber Remoteclients lesen, ohne Mitglied der
Gruppe Administratoren sein zu mssen.
Gste
Bis auf wenige Einschrnkungen besitzen die Mitglieder der Gruppe

Gste die gleichen Zugriffsrechte wie die Mitglieder der Benutzergruppe. Standardmig ist nur das Konto Gast Mitglied dieser
Gruppe. Dieses Konto ist geeignet fr Benutzer, die sich nur einmal
oder gelegentlich an dem Computer anmelden mssen und fr die
deshalb kein eigenes Konto eingerichtet werden soll. Aus diesem
Grund hat das Gastkonto ein leeres Kennwort. Aus Sicherheitsgrnden ist das Gastkonto standardmig deaktiviert.
Hauptbenutzer
Bei Windows 7 erhalten Mitglieder dieser Gruppe nicht mehr Benutzerrechte als ein Standardbenutzer. Die Gruppe Hauptbenutzer ist hier nur
noch aus Kompatibilittsgrnden vorhanden und diente in vorherigen
Windows-Versionen dazu, Benutzern ausgewhlte Administratorrechte
und -berechtigungen zu geben, um allgemeine Systemaufgaben ausfhren zu knnen. Bei Windows 7 knnen Standardbenutzerkonten ohnehin
viele Konfigurationsaufgaben ausfhren, wie beispielsweise das ndern
von Zeitzonen, sodass diese Gruppe hier nicht mehr bentigt wird.
IIS_IUSRS
Hierbei handelt es sich um eine integrierte Gruppe, die von den Internetinformationsdiensten (Internet Information Services, IIS) verwendet und
beispielsweise bei der Installation eines Webservers bentigt wird.
253
Kryptografie-Operatoren
Mitglieder dieser Gruppe sind autorisiert, kryptografische Vorgnge

auszufhren und den Zertifikat-Manager im administrativen Kontext
zu ffnen.
Leistungsprotokollbenutzer
Mitglieder dieser Gruppe knnen alle Leistungszhler, Protokolle und

Warnungen auf dem Computer lokal und ber Remoteclients verwalten, ohne Mitglied der Gruppe Administratoren sein zu mssen.
Leistungsberwachungsbenutzer
Im Gegensatz zur vorstehenden Gruppe knnen die Mitglieder dieser

Gruppe ausschlielich lokal oder remote auf Leistungszhlerdaten
zugreifen und diese verwalten.
Netzwerkkonfigurations-Operatoren
Mitglieder dieser Gruppe besitzen eingeschrnkte Administratorrechte, die ihnen die Konfiguration von Netzwerkfunktionen gestatten,
wie beispielsweise die Konfiguration von TCP/IP-Einstellungen. Sie
drfen jedoch keine andere Hardware konfigurieren.
Remotedesktopbenutzer
Mitglieder dieser Gruppe besitzen das Recht, sich von einem Remotestandort aus ber die Remotedesktop-Funktion am Computer anzumelden. Diese Gruppe hat standardmig keine Mitglieder.
Replikations-Operator
Mitgliedern dieser Gruppe ist es gestattet, Dateien in einer Domne

zu replizieren.
Sicherungs-Operatoren
Die Mitglieder dieser Gruppe knnen Verzeichnisse und Dateien auf

dem Computer (ohne Bercksichtigung der mit diesen Dateien verbundenen Berechtigungen) sichern und wiederherstellen. Der Zugriff
auf die Dateien ist ihnen jedoch nur im Rahmen einer Datensicherungsaktion mglich. Es ist ihnen auch nicht mglich, die Sicherheitseinstellungen von Dateien und Verzeichnissen zu ndern.
Sie haben auerdem das Recht, sich lokal am Computer anzumelden
und diesen herunterzufahren.
Wichtig ist auch die Kenntnis, ber welche Benutzerrechte standardmig
die vordefinierten Gruppen und Benutzer verfgen. Die folgende Tabelle
zeigt die Standardbenutzerrechte bei einem neu installierten Windows 7Computer.
254
Benutzerrecht
Gruppenkonto
ndern der Systemzeit
LOKALER DIENST, Administratoren
ndern der Zeitzone
LOKALER DIENST, Administratoren,

Benutzer
Anheben der Zeitplanungsprioritt
Administratoren
Anmelden als Batchauftrag verweigern
Nicht zugewiesen
Anmelden als Dienst
NT SERVICE\ALL SERVICES
Anmelden als Dienst verweigern
Nicht zugewiesen
Anmelden als Stapelverarbeitungsauftrag
Administratoren, Sicherungs-Operatoren, Leistungsprotokollbenutzer
Anmelden ber Remotedesktopdienste verweigern
Nicht zugewiesen
Anmelden ber Remotedesktopdienste zulassen
Administratoren, Remotedesktopbenutzer
Annehmen der Clientidentitt nach

Authentifizierung
LOKALER DIENST, NETZWERKDIENST,

Administratoren, DIENST
Anpassen von Speicherkontingenten

fr einen Prozess

Administratoren
Arbeitssatz eines Prozesses vergrern
Benutzer
Auf Anmeldeinformations-Manager
als vertrauenswrdigem Aufrufer
zugreifen
Nicht zugewiesen
Auf diesen Computer vom Netzwerk

aus zugreifen
Administratoren, Sicherungs-Operatoren, Benutzer, Jeder
Auslassen der durchsuchenden berprfung

Administratoren, Sicherungs-Operatoren, Benutzer, Jeder
Debuggen von Programmen
Administratoren
Durchfhren von Volumenwartungsaufgaben
Administratoren
Einsetzen als Teil des Betriebssystems
Nicht zugewiesen
Entfernen des Computers von der

Dockingstation
Administratoren, Benutzer
Ermglichen, dass Computer- und

Benutzerkonten fr Delegierungszwecke vertraut wird
Nicht zugewiesen
Ersetzen eines Tokens auf Prozessebene
LOKALER DIENST, NETZWERKDIENST
Erstellen einer Auslagerungsdatei
Administratoren
Erstellen eines Profils der Systemleistung
Administratoren
Erstellen eines Profils fr einen Einzelprozess
Administratoren, NT SERVICE
Tabelle 5.1: Standard-Benutzerrechte
255
Benutzerrecht
Gruppenkonto
Erstellen eines Tokenobjekts
Nicht zugewiesen
Erstellen globaler Objekte

Administratoren, DIENST
Erstellen symbolischer Verknpfungen
Administratoren
Erstellen von dauerhaft freigegebenen

Objekten
Nicht zugewiesen
Erzwingen des Herunterfahrens von

einem Remotesystem aus
Administratoren
Generieren von Sicherheitsberwachungen
LOKALER DIENST, NETZWERKDIENST
Herunterfahren des Systems
Administratoren, Sicherungs-Operatoren, Benutzer
Hinzufgen von Arbeitsstationen zur

Domne
Nicht zugewiesen
Laden und Entfernen von Gertetreibern
Administratoren
Lokal anmelden verweigern
Gast (hat Vorrang vor Lokal anmelden

zulassen)
Lokal anmelden zulassen
Administratoren, Sicherungs-Operatoren, Benutzer, Gast
Sichern von Dateien und Verzeichnissen
Administratoren und SicherungsOperatoren
Sperren von Seiten im Speicher
Nicht zugewiesen
Synchronisieren von Verzeichnisdienstdaten
Nicht zugewiesen
bernehmen des Besitzes von Dateien

und Objekten
Administratoren
Verndern der Firmwareumgebungsvariablen
Administratoren
Verndern einer Objektbezeichnung
Administratoren
Verwalten von berwachungs- und

Sicherheitsprotokollen
Administratoren
Wiederherstellen von Dateien und

Verzeichnissen
Administratoren, Sicherungs-Operatoren
Zugriff vom Netzwerk auf diesen

Computer verweigern
Gast
Tabelle 5.1: Standard-Benutzerrechte (Forts.)

Benutzerrechte
verwalten
256
Die Konfiguration der Benutzerrechte erfolgt mittels Sicherheitsrichtlinien.

Die Sicherheitsrichtlinien bzw. Sicherheitseinstellungen sind ein Bereich im
Gruppenrichtlinienobjekt. Zur Konfiguration von lokalen Sicherheitsrichtlinien gehen Sie wie folgt vor:
1. ffnen Sie durch Eingabe von gpedit.msc im Ausfhren-Dialogfeld

den Editor fr lokale Gruppenrichtlinien.
Alternativ knnen Sie auch im Ausfhren-Dialogfeld den Befehl
secpol.msc eingeben. Hiermit wird direkt und ausschlielich der Container Sicherheitseinstellungen geffnet.
3. Whlen Sie Lokale Richtlinien und anschlieend Zuweisen von Benutzerrechten.
5.3.3
Lokale Gruppenkonten erstellen, lschen

und ndern
Die Verwaltung von Gruppen kann, wie auch die Benutzerverwaltung, mittels der Konsole Lokale Benutzer und Gruppen erfolgen. Alternativ ist die
Pflege von Gruppenkonten in der Eingabeaufforderung mit dem Befehl net
localgroups mglich.
Das Snap-in Lokale Benutzer und Gruppen

Die Konsole Lokale Benutzer und Gruppen ist als Snap-in in die Computerverwaltung integriert. Diese kann durch Eingabe von lusrmgr.msc im Suchfeld
des Startmens geffnet werden. In dieser Konsole knnen ausschlielich
lokale Gruppen verwaltet werden. Zur Administration anderer Gruppentypen, wie beispielsweise globaler oder domnenlokaler Gruppen, muss
das Snap-in Active Directory-Benutzer und -Computer verwendet werden,
das standardmig nur auf Domnencontrollern verfgbar ist.
Wie auch bei den Vorgngerversionen stellt Microsoft die Remoteserver-Verwaltungstools fr Windows 7 zum kostenlosen Download
bereit [RSAT]. Damit knnen von Computern unter Windows 7 Rollen
und Funktionen auf Remotecomputern mit Windows Server 2008 R2,
Windows Server 2008 oder Windows Server 2003 verwaltet werden.
Die Remoteserver-Verwaltungstools fr Windows 7 knnen auf Computern mit Windows 7 Enterprise, Professional oder Ultimate installiert werden. Untersttzt werden sowohl die x86- als auch die x64basierten Windows 7-Versionen.
Im Container Gruppen werden alle lokalen Gruppenkonten aufgelistet, die Funktionen
in der Benutzerdatenbank des Computers gespeichert sind. Hier knnen
neue Gruppenkonten hinzugefgt und bestehende Gruppen gelscht werden. Auerdem ist die Verwaltung der Mitglieder einer Gruppe mglich.
Wird eine neue Gruppe erstellt, knnen dieser sofort die erforderlichen Mitglieder hinzugefgt werden.
257
Abbildung 5.16
Erstellung eines
neuen Gruppenkontos im Snap-in
Lokale Benutzer und
Gruppen
Der Befehl net localgroup

Alle Verwaltungsaufgaben fr lokale Gruppen knnen auch mit dem
Befehl net localgroup in der Befehlseingabe erfolgen. Das Befehlszeilenprogramm Net.exe ist in Windows integriert.
Syntax
Der Befehl net localgroup hat die folgende Syntax:

net localgroup[Gruppenname [/comment:"Text"]][/DOMAIN]
Gruppenname {/ADD [/comment:"Text"]|/DELETE} [/DOMAIN]
Gruppenname Name [...] {/ADD|/DELETE} [/DOMAIN]
Ohne Angabe von Parametern werden der Servername und die Namen
der lokalen Gruppen auf dem Computer angezeigt.
Eine Aufstellung aller Optionen mit einer Beschreibung ist abrufbar mit
dem Befehl:
net help localgroup
Beispiele
Die Anzeige aller Mitglieder einer lokalen Gruppe, einschlielich der enthaltenen globalen Gruppen und der Sondergruppen, ist mit dem folgenden Befehl mglich:
net localgroup <Gruppenname>
Um ein neues Gruppenkonto zu erstellen, muss folgender Befehl verwendet werden:

net localgroup <gruppenname> /add
Auch das Hinzufgen neuer Mitglieder zu einer lokalen Gruppe ist mglich. Bei mehreren Namen mssen die Eintrge mit einem Leerzeichen
getrennt werden. Als Namen knnen Benutzer oder globale Gruppen
angegeben werden, nicht jedoch andere lokale Gruppen. Ist der Benutzer
Mitglied einer anderen Domne, muss der Domnenname dem Benutzernamen vorangestellt werden.
net localgroup <gruppenname> <benutzername>/add
Entsprechend knnen mit der Option /delete Gruppenkonten gelscht

oder Mitglieder aus einer lokalen Gruppe entfernt werden:
net localgroup <gruppenname> /delete
bzw.
net localgroup <gruppenname> <benutzername>/delete
258
5.4
Benutzerprofile unter
Windows 7
Seit Windows NT werden benutzerspezifische Daten in sogenannten Benutzerprofilen organisiert, deren Aufgabe es ist, die persnlichen und personalisierten Inhalte in einem eigenen Ordner zusammenzufassen. Allerdings
haben die Benutzerprofile von Windows 7 kaum noch etwas gemein mit den
Profilen frherer Windows-Versionen, bei denen sie vor allem zum Speichern einiger Desktop-Einstellungen fr die Benutzer dienten. Denn bereits
mit Windows Vista hat Microsoft eine komplett neue Profilstruktur eingefhrt, deren Kenntnis insbesondere fr die Durchfhrung von Migrationen
wichtig ist.
5.4.1
Verwaltung lokaler Benutzerprofile
Fr jedes Benutzerkonto wird automatisch vom System ein Benutzerprofil

erstellt, das alle persnlichen Daten und Einstellungen des Benutzers enthlt. Das Benutzerprofil wird beim ersten Anmelden eines neuen Benutzers angelegt und spter automatisch aktualisiert.
Grundstzlich knnen Benutzerprofile lokal oder auf einem Netzwerkserver gespeichert werden. Entsprechend werden verschiedene Arten
von Benutzerprofilen unterschieden.
Lokale Benutzerprofile
BenutzerprofilEin lokales Benutzerprofil wird beim ersten Anmelden an einem Com- arten
puter erstellt. Dieses Profil wird auf der lokalen Festplatte des betreffenden Computers gespeichert. nderungen am lokalen Benutzerprofil
gelten lediglich fr den Computer, an dem diese nderungen vorgenommen wurden.
Servergespeicherte Benutzerprofile
Servergespeicherte Benutzerprofile (auch als Roaming Profiles oder
mitwandernde Benutzerprofile bezeichnet) werden vom Systemadministrator erstellt und auf einem Server abgelegt. Ein servergespeichertes Profil steht jeweils beim Anmelden des Benutzers an einem
Computer im Netzwerk zur Verfgung und wird lokal zwischengespeichert. nderungen am Benutzerprofil erfolgen zunchst am
lokalen Profil. Bei der Abmeldung wird dann das Profil auf dem Server durch das genderte lokale Profil ersetzt.
Verbindliche Benutzerprofile
Ein servergespeichertes Profil kann entweder vernderbar oder verbindlich festgelegt sein. Die vernderbare Variante wird als persnliches Profil bezeichnet, die festgelegte als verbindliches Profil (Mandatory Profile).
Ein verbindliches Profil ist nicht durch den Benutzer nderbar.
Mit verbindlichen Benutzerprofilen knnen Einstellungen fr einzelne
Benutzer oder Benutzergruppen festgelegt werden. Um nderungen
an den verbindlichen Benutzerprofilen durchfhren zu knnen, sind
administrative Rechte erforderlich.
259
Speicherort und Inhalt lokaler Benutzerprofile

Der Standardspeicherort fr lokale Profile ist das Verzeichnis
%Systemdrive%\Benutzer. Dieses Verzeichnis wird bei der Installation
von Windows 7 angelegt. Die einzelnen Benutzerprofile befinden sich
jeweils in Unterverzeichnissen.
Benutzerprofile setzen sich aus einem Ordner mit Unterverzeichnissen zur
Speicherung von Verknpfungen und anderer Elemente und einem entsprechenden Unterschlssel des Registrierungs-Teilbaums HKEY_CURRENT_
USER zusammen, der in der Datei NTuser.dat abgebildet wird.
Die Verzeichnisse mit dem kleinen Pfeil sind keine echten Verzeichnisse,
sondern Verknpfungen, die einen virtuellen Ordner darstellen, der in
Wirklichkeit auf einen ganz anderen Pfad verweist. Diese Links sind aus
Abwrtskompatibilittsgrnden vorhanden.
Abbildung 5.17
Struktur eines lokalen Benutzerprofils
260
Versteckte
Ordner
Einige Dateien und Verzeichnisse sind als versteckt gekennzeichnet. Sie

erscheinen nur dann im Windows-Explorer, wenn die erweiterten Einstellungen fr die Ordneransicht unter Organisieren/Ordner- und Suchoptionen/
Ansicht so konfiguriert sind, dass alle Dateien und Ordner angezeigt werden.
NTuser.dat
Im Stammordner jedes Benutzerprofils ist die Datei NTuser.dat gespeichert.

Diese enthlt die Registrierungseintrge fr den benutzerspezifischen
Unterschlssel von HKEY_CURRENT_USER auf dem lokalen Computer,
ber den die fr den momentan angemeldeten Benutzer gltigen Einstellungen abgefragt werden knnen.
Zusammen mit der Datei NTuser.dat beinhaltet das Benutzerprofil mindestens eine Transaktionsdatei namens NTuser.dat.log, die Vernderungen an
NTuser.dat aufzeichnet und die Wiederherstellung erlaubt, wenn die Datei
NTuser.dat whrend einer Aktualisierung beschdigt werden sollte.
Sowohl Windows 7 als auch bereits Windows Vista arbeiten intern
ausschlielich in englischer Sprache. Viele im Windows-Explorer
sichtbare Ordner stellen daher lediglich Verweise in lokalisierter Sprache dar und sind nicht als reale Ordner existent. Aus diesem Grund
sollten manuelle Anpassungen an Systemordnern nur in Ausnahmefllen und mit besonderer Umsicht erfolgen.
Ein lokales Profil wird immer angelegt, wenn sich ein Benutzer zum ersten Mal am System anmeldet. Wenn der Benutzer nderungen an seiner
Arbeitsumgebung vornimmt, werden diese bei der Abmeldung im Profil
eingetragen. Das setzt allerdings voraus, dass dieser Benutzer das Recht
hat, lokale Profile zu speichern, bzw. dass es sich nicht um ein verbindliches Profil handelt.
Fr den Fall, dass ein Benutzer sich schon einmal angemeldet hatte, das
lokale Profil aber gelscht wurde, wird bei der nchsten Anmeldung
automatisch ein neues lokales Profil angelegt. Dies gilt auch, wenn sich
der Benutzer an einer Active Directory-Domne anmeldet.
Das Lschen eines Benutzerkontos beinhaltet nicht das lokale Profil. Dieses muss manuell entfernt werden. Wird ein Benutzer in Active Directory gelscht, muss auf jedem Rechner, an dem sich der Benutzer in der
Vergangenheit angemeldet hatte, das lokale Profil gelscht werden.
Typischerweise werden in einer Active Directory-Domne die Profile von
Domnenbenutzern zentral als serverbasierte Profile gespeichert. Bei dem
Server, auf dem die Profile gespeichert werden, muss es sich nicht um einen
Domnencontroller handeln.
Um einem Benutzer ein Profil zuzuweisen, ist in den Benutzereigenschaf- Arbeitsweise
ten der Pfad des freigegebenen Profilverzeichnisses einzutragen. Bei der serverbasierter
Anmeldung an einem zur Domne gehrenden Rechner wird dieses Profil Profile
als Vorlage fr das lokale Benutzerprofil verwendet. Dazu wird das servergespeicherte Profil bei der Anmeldung auf die Arbeitsstation bertragen.
nderungen erfolgen whrend der Arbeitssitzung nur an dem lokal zwischengespeicherten Profil. Erst bei der Abmeldung wird das nun genderte
Profil auf den Server bertragen und berschreibt das dort gespeicherte.
Bei der nchsten Anmeldung am gleichen lokalen System wird die lokale
Kopie des Benutzerprofils herangezogen, mit dem servergespeicherten
Profil verglichen und gegebenenfalls synchronisiert. Mit der lokalen Speicherung wird sichergestellt, dass sich Benutzer auch dann anmelden knnen, wenn der Domnencontroller bei der Anmeldung nicht verfgbar
ist. Ging auf dem System das lokale Profil verloren, wird wiederum auf
das zentrale Profil zurckgegriffen.
261
Serverbasierte
Profile fr lokale
Benutzer
Auch lokalen Benutzerkonten knnen servergespeicherte Profile zugewiesen werden. Hierzu muss in den Benutzereigenschaften unter Profilpfad der
UNC-Pfad zum Verzeichnis eines vorher angelegten Benutzerprofils eingetragen werden.
Abbildung 5.18
Konfiguration eines
servergespeicherten
Benutzerprofils in
der Konsole Active
Directory-Benutzer
und -Computer
Profiltyp ndern
Abbildung 5.19
Nur wenn das Profil
als servergespeichertes Profil konfiguriert wird, kann an
dieser Stelle der
Profiltyp gendert
werden.
262
Im Dialogfeld Benutzerprofile kann berprft werden, ob das serverbasierte Profil verwendet wird. Auerdem ist es mglich, den Anmeldetyp
fr das Benutzerprofil temporr zu ndern. Gehen Sie dazu folgendermaen vor:
1. ffnen Sie die Registerkarte Benutzerprofile. Dies geschieht am schnellsten durch Eingabe von Benutzerkonten im Suchfeld des Startmens
und anschlieende Auswahl der Option Erweiterte Benutzerprofileigenschaften konfigurieren.
2. Klicken Sie auf die Schaltflche Typ ndern, um den Anmeldetyp fr
das Profil auszuwhlen.
Vordefinierte Profile
Neben den Benutzerprofilen fr die einzelnen Benutzer existieren auf jedem
Windows 7-System mindestens drei weitere Profile: Default, All Users und
das Profil ffentlich.
Neue Benutzerprofile werden ber eine Kopie des Standardbenutzerpro- Vorlagenprofile
fils (Default) erstellt, das auf jedem Windows-System standardmig vorhanden ist. Dieses Profil erscheint in der Registrierung unter dem Schlssel HKEY_USERS\DEFAULT und lsst sich bei Bedarf ndern, um
Benutzern eine angepasste Systemumgebung vorzugeben.
Alle Eintrge, die im Default-Profil erfolgen, werden nur bei der Erstellung eines neuen Profils bernommen. Bei bereits bestehenden Benutzerprofilen greifen diese nderungen nicht.
Das Profil All Users ist ein globales Profil, das Einstellungen fr alle jeweils All Users
lokal angemeldeten Benutzer zur Verfgung stellt und bei Windows 7 aus
einer Reihe von Verweisen auf andere Ordner besteht. Eintrge beispielsweise im Ordner Desktop von All Users erscheinen bei allen Benutzern auf
dem Desktop. Das Ergebnis ist eine Kombination aus den benutzereigenen
Desktop-Einstellungen und dem globalen Desktop. nderungen am Profil
All Users knnen nur durch Mitglieder der Gruppe der lokalen Administratoren erfolgen.
Zustzlich gibt es mit dem Profil ffentlich ein weiteres Standardprofil. Die- ffentliches Proses Profil wird fr die in Windows 7 neu eingefhrten Bibliotheken ben- fil in Bibliotheken
tigt. Bibliotheken (Libraries) erlauben es, Dateien unabhngig von deren verwenden
Speicherort zu organisieren und darauf zuzugreifen. Hierzu knnen in
einer Bibliothek Dateien zusammengefasst werden, die in verschiedenen
Ordnern gespeichert sind. Diese werden als zentrale Sammlung angezeigt,
aber an ihrem jeweiligen Speicherort belassen. Die Aufgabe von Bibliotheken ist es, die Verwaltung von Dateien, die ber mehrere Laufwerke verstreut sind, zu vereinfachen.
Abbildung 5.20
Bibliotheken beinhalten standardmig auch die Ordner
des ffentlichen
Benutzerprofils.
263
Windows 7 wird mit den Bibliotheken Dokumente, Musik, Bilder und

Videos ausgeliefert. Alle Bibliotheken beinhalten einen persnlichen und
einen ffentlichen Ordner. Dabei handelt es sich um die im Benutzerprofil
beziehungsweise im ffentlichen Profil hinterlegten Pfade.
Benutzerprofile mittels Gruppenrichtlinien verwalten

Zur Administration von Benutzerprofilen gibt es einige sehr ntzliche
Gruppenrichtlinien, mit denen beispielsweise festgelegt werden kann,
wie mit dem Profil zu verfahren ist, wenn die Anmeldung remote ber
eine langsame Netzwerkverbindung erfolgt. Die Richtlinien sind in einer
Active Directory-basierten Umgebung im Gruppenrichtlinienobjekt der
Domne zu finden und knnen dort zur Steuerung von Benutzerprofilen
auf der Ebene der gesamten Domne oder von Standorten bzw. Organisationseinheiten eingesetzt werden.
Als lokale Gruppenrichtlinien erlauben sie die Vorgabe von Einstellungen, die auf die lokalen Benutzerprofile Anwendung finden.
Lokales Gruppenrichtlinienobjekt
Zur Konfiguration von lokalen Gruppenrichtlinien zur Steuerung von

Benutzerprofilen gehen Sie wie folgt vor:
1. ffnen Sie durch Eingabe von gpedit.msc im Suchfeld des Startmens
das lokale Gruppenrichtlinienobjekt. Hierzu sind administrative
Rechte erforderlich.
2. Whlen Sie unter Computerkonfiguration bzw. Benutzerkonfiguration/
Administrative Vorlagen/System den Container Benutzerprofile. Abhngig
von der zu konfigurierenden Richtlinie ist diese entweder im Bereich
Computer oder Benutzer zu finden.
Abbildung 5.21: Gruppenrichtlinien zur Verwaltung von Benutzerprofilen
264
5.4.2
Verwaltung serverbasierter Profile in

heterogenen Netzwerken
Wie bereits ausgefhrt, hat Microsoft mit Windows Vista die Struktur der
Benutzerprofile merklich gendert. So wurden zum Beispiel die beiden Ordner Anwendungsdaten und Application Data zum Ordner AppData zusammengefasst, und der Ordner Eigene Dateien wurde in Dokumente umbenannt, aus
dem aber die Ordner Musik, Videos u.a. ausgegliedert wurden. Auerdem
befinden sich die Ordner an unterschiedlichen Speicherorten:
Windows XP-Neuinstallation
%Systemdrive%\Dokumente und Einstellungen\%Username%
Windows Vista und Windows 7
%Systemdrive%\Benutzer\%Username%
Dies wirft die Frage auf, was passiert, wenn sich ein Benutzer mit einem
serverbasierten Profil abwechselnd an einem Windows XP-Rechner und
einem Windows 7-Rechner anmeldet, da die unterschiedliche Struktur
eine gemeinsame Nutzung des Profils ausschliet. Frhere WindowsVersionen hatten eine weitgehend gleiche Profilstruktur und konnten
sich daher ein gemeinsames Profil teilen, auch wenn dies in der Praxis
nicht immer problemlos funktioniert hat.
Profilversionierung bei serverbasierten

Profilen
Zur Lsung dieses Problems hat Microsoft eine Versionierung der Profile
eingefhrt. Alle Profile vor Windows Vista sind Version 1, auf Windows
Vista sowie Windows 7 basierende Profile gehren zur Version 2. Damit
erhalten alle Windows-Profile automatisch als Ordnernamen den Benutzernamen mit einer angehngten Endung .v2. Auf dem Server befinden
sich damit fr jeden Benutzer zwei Profilpfade.
Die Speicherung des Windows 7-basierten
Profils auf dem Server erfolgt automatisch,
sobald sich ein Benutzer mit einem serverbasierten Profil erstmals an einem Windows 7Rechner anmeldet. Dabei werden alle vorhandenen Einstellungen und Dateien (beispielsweise die Favoriten und die OutlookProfileinstellungen) aus dem vorhandenen
Profil in das neue Windows 7-Profil bernommen.
Abbildung 5.22
Servergespeichertes
Profil in der Version
1 und der Version 2
Hierbei ist zu beachten, dass der Profilname

in den Konteneigenschaften nicht gendert
werden muss. Unter Profilpfad ist unabhngig
vom verwendeten Clientbetriebssystem der
UNC-Pfad fr das Profil gem nachstehendem Format einzutragen: \\<server>\<Freigabe>\%Username%.
265
Daten, Datentrger
und Dateisysteme
Computer sind nicht nur im Laufe der Jahre immer schneller geworden,
sie haben auch immer mehr Speicherplatz in Form von permanentem
Speicher erhalten. Hatte der erste IBM-PC mit einer Festplatte (IBM PC XT
im Jahr 1983) noch einen Speicherplatz von 10 MB, so werden heute Systeme verkauft, deren Speicherplatz um den Faktor 1 Million hher liegt.
Parallel zur Entwicklung der Technologie von permanenten Speichermglichkeiten fr Daten entwickelten sich auch Technologien, wie diese Daten
auf einem Datentrger organisiert und verwaltet werden knnen.
6.1
Datentrger aus Sicht der

Hardware
Prinzipiell werden in diesem Kapitel nur Datentrger behandelt, die einen Nicht alles, was
direkten und wahlfreien Zugriff auf die enthaltenen Informationen erlau- Daten trgt, ist
ben. Dies bedeutet, dass es sich hier nur um Festplatten, USB-Speicher, opti- ein Datentrger
sche Laufwerke und verschiedene Formen von virtuellen oder netzwerkbasierten Speichern handelt, nicht aber um Massenspeicher wie beispielsweise
Bandlaufwerke, weil bei diesen kein direkter Zugriff auf einen bestimmten
Bereich des Datentrgers besteht. Die Betrachtung von Disketten unterlassen wir, da die Speicherkapazitt heutigen Ansprchen nicht mehr gengt
und zudem viele Systeme meist nicht mehr ber ein Diskettenlaufwerk verfgen. Ebenfalls nicht betrachtet werden hier ber Netzwerkfreigaben eingebundene Laufwerke, diese werden in Kapitel 8 behandelt.
Aus Sicht des Systems wird ein solcher Datentrger durch zwei Eigenschaften charakterisiert, die eine Einordnung gem folgender Matrix erlauben:
267
Kapitel 6 Daten, Datentrger und Dateisysteme

Tabelle 6.1
Klassifikation von
Datentrgern
Lschbar
Stationr
Festplatte
Wechselbar
USB-Stick, Speicherkarte
USB-Festplatte
iSCSI, SAN
Virtuelle HD
6.1.1
Nicht lschbar
CD/DVD
HW-Adapter fr Datentrger
Parallel mit der Gre der Festplatten entwickelten sich auch die verschiedenen Mglichkeiten, wie eine Festplatte mit dem Computer verbunden
werden konnte. Fr Windows sind vor allem drei Aspekte bei der Hardware fr den Anschluss eines Datentrgers wichtig:
Setup Untersttzt die Setup-Routine der Windows-Installation und
die Ansprache des Datentrgers.
Sofern die Setup-CD oder -DVD von Windows den betreffenden Datentrger nicht nativ untersttzt (wie beispielsweise bei XP und SATALaufwerken), so mssen Sie whrend des Setups manuell einen zustzlichen Datentrger mit dem passenden Treiber zufhren.
Boot Untersttzt der Datentrger das initiale Laden des Betriebssystems durch das BIOS beim Systemstart.
Sofern das ROM-BIOS des Systems keine Mglichkeit bietet, von dem
gewnschten Datentrger zu booten, kann man von einem anderen
Datentrger starten und erst spter auf diesen Datentrger zugreifen.
Aus diesem Grund enthalten beispielsweise separate SCSI-Adapter ein
eigenes BIOS, welches das ROM-BIOS ergnzt.
Regelbetrieb Kann ein installiertes Windows ber Treiber auf die
Informationen des Datentrgers zugreifen.
Nur ein Datentrger, der alle drei Aspekte anbietet, kann vollumfnglich
von Windows 7 genutzt werden, dies betrifft smtliche aktuell verfgbaren Technologien in dem Bereich.
Reale und irreale
Datentrger
268
Neben realen physischen Datentrgern untersttzt Windows 7 auch drei

Formen von mehr oder minder virtuellen Datentrgern:
SAN (Storage Area Network) Diese ursprnglich aus dem Rechenzentrum und dem Grorechnerbereich stammende Technologie verbindet
ber spezielle (oftmals optische) Adapter das System mit seinem Datenspeicher (zum Beispiel Fibre Channel). Im SAN-Datenspeicher sitzt meist
eine intelligente Verwaltung, die beispielsweise die Abtrennung der einzelnen Datenspeicher fr die verschiedenen angeschlossenen Systeme
untereinander vornimmt oder die in der Lage ist, die Daten eigenstndig
auf Archivierungsmedien zu sichern. Bedingt durch den hohen Preis
derartiger Lsungen findet man diese eher selten im Desktop-Bereich.
iSCSI Internet SCSI (Small Computer System Interface) ist angelehnt an
die seit langen Jahren bekannte Technologie SCSI, die ursprnglich
zum direkten Anschluss von Festplatten und Gerten wie Scanner,
Bandlaufwerke oder optische Laufwerke an ein Bussystem vorgesehen war. Der bisher kabelgebundene Datentransfer wird stattdessen in
Form von IP-Paketen zwischen den iSCSI-Servern (iSCSI Targets
genannt) und den iSCSI-Clients (iSCSI Initiators genannt) vermittelt.
Auf diese Weise knnen die Systeme und ihre Datentrger fast beliebig
weit auseinander entfernt aufgestellt werden. Die bisherigen Beschrnkungen der maximalen Kabellnge von hchstens einigen Metern bei
SCSI werden aufgehoben. Auf welcher Hardware die Daten aufseiten
des Targets tatschlich abgespeichert werden, bleibt dem Initiator verborgen. Prinzipiell unterscheidet es sich in der Funktionsweise nur
wenig von groen SAN-Lsungen, ist jedoch durch den geringen Preis
deutlich attraktiver auch fr den Einsatz auf Desktop-Systemen.
Virtual HD Ursprnglich aus der Entwicklung von Virtualisierungslsungen kommend, ist es seit Windows 7 auch mglich, .vhd-Dateien auf
einer normalen Festplatte als eigenstndiges Laufwerk einzubinden.
Um erste Experimente mit iSCSI durchzufhren, knnen Sie unter
[STAR] nach Registrierung eine kostenlose Testversion eines iSCSITargets laden. Diese luft auf allen gngigen Windows-Installationen.
6.1.2
iSCSI im Einsatz
Um mit Windows 7 eine Verbindung mit einem iSCSI-Target herzustellen, RechenzentrumTechnologie im

sind zwei Schritte notwendig:
Eigenbau
1. Konfiguration des iSCSI-Initiators
2. Herstellung der Verbindung
Starten Sie zunchst die Konfiguration des iSCSI-Initiators, indem Sie
Systemsteuerung/System und Sicherheit/Verwaltung/iSCSI-Initiator aufrufen.
Hierzu ist eine UAC-Abfrage notwendig. Beim ersten Aufruf dieser
Funktion wird Ihnen mitgeteilt, dass der iSCSI-Dienst nicht ausgefhrt
wird. Besttigen Sie die entsprechende Frage, ob der Dienst knftig automatisch starten soll.
Abbildung 6.1
Start des iSCSIDienstes erlauben?
Im nun angezeigten Dialogfeld sind zunchst noch keine Ziele zu sehen.

Aktivieren Sie deshalb die Registerkarte Suche. Per Klick auf die Schaltflche Portal ermitteln knnen Sie die Verbindung zu einem iSCSI-Target herstellen. Geben Sie zunchst die IP-Adresse oder den Namen des Zielsystems ein. Sofern Ihr Target keine besondere Konfiguration aufweist,
belassen Sie die Einstellung fr den Port auf dem Standardwert 3260.
269
Was ist ein iSNS? hnlich wie man im DNS nach IP-Adressen suchen
kann, gibt es fr iSCSI-Systeme eine eigene Verwaltungsstruktur, diese
wird iSNS (Internet Storage Name Service) genannt. iSCSI-Targets registrieren sich bei einem iSNS-Server, iSCSI-Initiatoren knnen einen
iSNS-Server nach einem fr sie verfgbaren iSCSI-Target befragen.
Der Einsatz lohnt sich allerdings eher in greren Umgebungen, in
denen es mehr als ein iSCSI-Target gibt.
Wechseln Sie zurck zur Registerkarte Ziele, und in der Liste der erkannten Ziele erscheinen die Datentrger, die das im vorigen Schritt hinzugefgte iSCSI-Target fr den Client anbietet.
Abbildung 6.2
Ziel erkannt!
Markieren Sie nun das Ziel in der Liste, und klicken Sie auf die Schaltflche Verbinden. Auf Wunsch knnen Sie im Dialogfeld markieren, dass das
gewhlte Ziel ein bevorzugtes Ziel sein soll. Die Verbindung mit einem
derartigen Ziel wird automatisch beim Systemstart erneut hergestellt.
Im aktuellen Fall hat das iSCSI-Target keine Authentifizierung verlangt.
Sofern der iSCSI-Server eine Authentifizierung verlangt, mssen Sie die
Schaltflche Erweitert bettigen und die notwendigen Anmeldedaten eingeben.
Aus Grnden der Sicherheit kann man sowohl den Client sich gegenber dem Server ausweisen lassen als auch zustzlich den Server gegenber dem Client (wechselseitige Authentifizierung).
270
So ist sichergestellt, dass kein bswilliger Server die Anmeldeinformationen des Clients abgreift. Welches Anmeldeverfahren genau verwendet
wird, muss mit dem Administrator des iSCSI-Targets abgeklrt werden.
Abbildung 6.3
Verbinden mit
Anmeldung
6
Starten Sie nun die Datentrgerverwaltung ber Systemsteuerung/System
und Sicherheit/Verwaltung/Datentrgerverwaltung, und Sie werden zunchst
gefragt, ob Sie den neuen Datentrger initialisieren mchten. Danach steht
Ihnen das iSCSI-Laufwerk als zustzliches Laufwerk zur Verfgung.
Dreh- und
Angelpunkt
Datentrgerverwaltung
Abbildung 6.4
Ein Netzwerklaufwerk in der Datentrgerverwaltung
Mehr zur Verwendung der Datentrgerverwaltung erfahren Sie in Abschnitt

6.5.2 ab Seite 313.
271
6.1.3
Virtueller Speicher im Einsatz
Wenn man einen sehr groen Datentrger unterteilen will, kann man zum
einen natrlich die vorhandene Partition zunchst verkleinern und dann
eine neue Partition anlegen (siehe hierzu Abschnitt 6.5.2). Mchte man aber
nur temporr fr Testzwecke einen separaten Datentrger nutzen, bietet sich
mit Windows 7 die Variante Virtuelle Festplatte an. Eine solche Festplatte ist
nichts weiter als eine einzelne Datei (Image), die im normalen Dateisystem
liegt. Um eine solche Platte anzulegen, whlen Sie in der Datentrgerverwaltung den Befehl Aktion/Virtuelle Festplatte erstellen aus. Im nun erscheinenden Dialogfeld mssen Sie drei Angaben machen:
Ort In welchem Verzeichnis und mit welchem Namen soll die Imagedatei der neuen Festplatte angelegt werden? Diese Datei hat standardmig den Typ .vhd (Virtual Hard Disk). Das Verzeichnis muss bereits
existieren.
Gre Wie gro soll die neue Festplatte sein? Hierzu geben Sie eine
Zahl und die gewnschte Maeinheit (Mega-, Giga- oder Terabyte) an.
Format Alternativ kann entweder eine dynamische oder eine feste Festplatte angelegt werden.
Dynamisch Bei der dynamischen Gre wird nur eine maximale
Gre festgelegt. Sobald dann tatschlich Daten auf den Datentrger
gespeichert werden, wird Zug um Zug die Imagedatei vergrert.
Dies hat den Vorteil, dass man fr Testzwecke einen theoretisch sehr
groen Datenspeicher anlegen kann, ohne real viel Platz zu verbrauchen. Im Einsatz steht jedoch der Platz fr das virtuelle Laufwerk in
Konkurrenz zu dem Platz der anderen Dateien auf dem realen Laufwerk. Zudem bentigt das Erweitern des Speicherplatzes Rechenzeit, die von der Leistung des Computers fr die Anwendung, die
den Speicherplatz bentigt, abgeht.
Fest Bei der festen Gre wird sofort nach der Erstellung bereits die
Imagedatei mit ihrer maximalen Gre angelegt. Dies hat den Vorteil,
dass der Speicherbereich der virtuellen Platte spter nicht mehr von
Dateien auf dem realen Datentrger belegt werden kann. Zudem
muss whrend der Verwendung des virtuellen Datentrgers nicht
noch zustzlich Zeit fr dessen Erweiterung aufgewendet werden.
Abbildung 6.5
Anlegen einer irrealen realen Platte
272

>dir
Datentrger in Laufwerk H: ist Huge
Volumeseriennummer: 080E-5CBF
Verzeichnis von H:\
13.08.2009 21:42
256 test.txt
1 Datei(en),
256 Bytes
0 Verzeichnis(se), 1.610.333.184.000 Bytes frei
Listing 6.1
Viel hilft viel: virtuelles Laufwerk mit
1,5 TB Speicherplatz
Nachdem das virtuelle Laufwerk angelegt worden ist, kann es wie jedes Angewandter
reale Laufwerk verwendet werden, es muss also zunchst initialisiert und Grenwahnsinn
es mssen Partitionen angelegt werden, siehe hierzu den Abschnitt 6.2 ab
Seite 273. Nheres, um die virtuelle Festplatte wieder zu entfernen, finden Sie im Abschnitt 6.5.1 ab Seite 311.
Eine bereits bestehende Datei einer virtuellen Festplatte knnen Sie ber
den Befehl Aktion/Virtuelle Festplatte anfgen erneut zum System hinzufgen.
6.2
Partitionen, physische und

logische Laufwerke
6
Frher war die Welt noch einfacher: Es gab physische Laufwerke, diese
wurden mittels Partitionen unterteilt, und eine Partition entsprach einem
Laufwerksbuchstaben. Heute ist das alles etwas komplizierter. Das, was
ein Computer als physisches Laufwerk ansieht, knnen tatschlich mehrere Laufwerke sein, die der Festplattencontroller dem System gegenber
als ein Laufwerk ausweist. Oder sie sind (wie im obigen iSCSI-Beispiel)
ganz woanders oder eine reine Dateilsung. Prinzipiell gilt aber immer
noch: Das, was der Computer als physisches Laufwerk sieht, muss auf
die eine oder andere Weise aufgeteilt werden.
6.2.1
MBR oder GPT-Datentrger?
Prinzipiell ist eine Partition die Bezeichnung fr einen bestimmten, fest

definierten Bereich eines physischen Laufwerks. Die Auflistung aller dieser Partitionen nennt man Partitionstabelle. Aktuell gibt es zwei Weisen,
wie auf der Festplatte die Information ber die vorhandenen Partitionen
vermerkt werden kann:
MBR
Das erste Format wurde als MBR (Master Boot Record) bezeichnet, weil die Alt und bewhrt
Partitionsinformationen zusammen mit dem Startcode fr den Bootprozess des Systems im ersten Sektor der Festplatte notiert wurden. Weil in
dem Sektor auer den Partitionsinformationen zustzlich auch noch der
Programmcode untergebracht werden musste, war im Master-Boot-Sektor
nur Platz fr die Informationen von vier Partitionen. Eine dieser Partitionen konnte als erweiterte Partition angelegt werden. Diese war eine Kopie
des MBR in einem weiteren Sektor der Festplatte mit Platz fr vier weitere
273
Partitionen. Dieser Sektor konnte auch eine Kette mit anderen Sektoren bilden, um so eine grere Anzahl von Laufwerken zu definieren.
Beim Start des Systems ldt das BIOS den ersten Sektor der Festplatte in
den Speicher und bertrgt danach die Kontrolle auf den somit geladenen
Programmcode. Dieser wertet die Informationen der Partitionstabelle aus
und identifiziert die erste Partition, die mit dem Merkmal Aktiv gekennzeichnet ist. Der Code im MBR ldt daraufhin den ersten Sektor dieser Partition in den Speicher und startet den dort enthaltenen Code, der wiederum
das Betriebssystem startet.
Da die Partitionsinformationen nur einmal auf dem Datentrger abgespeichert werden, war dieses Konzept natrlich fehleranfllig. Informationen
zum internen Aufbau der MBR-Partitionstabelle finden sich unter [MBR].
GPT
Neu, schick
und cool
Zusammen mit dem neuen BIOS-Typ EFI (Extensible Firmware Interface),

den Intel und andere Hardwarehersteller als Nachfolger des klassischen
IBM PC-BIOS vorgestellt hatten, wurde auch ein neues Format fr die
Partitionsinformationen eingefhrt: GPT (GUID Partition Table). Dieses
Format sollte die Nachteile des alten MBR-Format beheben, insbesondere
die geringe Anzahl mglicher Partitionen und die Fehleranflligkeit, da
bei einem MBR die Partitionsinformationen nur einmal auf der Platte
abgespeichert werden.
Auf einer mit GPT partitionierten Festplatte findet sich kein Startcode mehr
im MBR, der Code fr den Startprozess findet sich alleinig im EFI-BIOS.
Windows XP kann in der 32-Bit-Version berhaupt nicht mit GPT-Partitionen umgehen, unter Windows XP in der 64-Bit-Version lassen sich
GPT-Partitionen als Datenpartitionen verwenden. Die 32-Bit-Version
von Windows Server 2003 kann ab SP 1 auch von GPT-Partitionen starten. Fr alle Versionen von Windows Vista, Windows Server 2008 und
Windows 7 bestehen keine Einschrnkungen mehr.
Doppelt hlt
besser!
Die Informationen ber die vorhandenen Partitionen sind zweimal auf der
Platte gespeichert, einmal auf den Sektoren am Anfang der Platte und in
einer Kopie in den Sektoren am Ende der Platte. Auf diese Weise erreicht
man eine gewisse Toleranz gegenber Plattenfehlern, die ansonsten die
Informationen auf der Platte unzugnglich machen knnten. Damit nicht
versehentlich ein Betriebssystem, das nur den MBR-Typ erkennt, auf eine
GPT-Platte zugreift, wird auch bei einer GPT-Platte in den ersten Sektor der
Platte ein Platzhalter in Form eines MBR geschrieben, der eine Partition
definiert, welche die komplette Platte umfasst. Ab dem zweiten Sektor
folgt dann der Bereich der Partitionsdaten (siehe [GPT]).
Whrend eine MBR-Platte nur ein Byte fr den Typ der Partition untersttzte, dient fr diese Kennzeichnung bei einer GPT-Platte gleich eine
16 Byte groe GUID-Angabe (deshalb auch der Name). Zustzlich bekommt
jede einzelne Partition auch eine eigene GUID zugewiesen.
274
Frher wurden Bereiche auf einer Platte noch direkt adressiert, indem
spezifiziert wurde, auf welcher Spur der Platte (Cylinder) welcher Lesekopf (Head) welchen Sektor zu lesen hatte. Diese sog. CHS-Angabe war
aber auch nach mehreren Erweiterungsverfahren auf Festplatten von
maximal knapp 8 GB beschrnkt. Aus diesem Grund werden moderne
Platten direkt ber die Angabe der gewnschten Blocknummer (LBA,
Logical Block Addressing) angesprochen. Die Umsetzung der LBAAngabe in eine tatschliche Lokation auf der physischen Platte obliegt
nun dem Controller, der direkt in der Festplatte verbaut ist. Whrend
in einem MBR noch beide Angaben vorhanden sind, wird die GPT nur
noch mit LBA-Angaben angegeben.
Welchen Typ eine Festplatte hat, knnen Sie ersehen, wenn Sie in der
Datentrgerverwaltung in der linken Spalte der Darstellung mit der rechten Maustaste auf den betreffenden Datentrger klicken und dann Eigenschaften auswhlen. Den Partitionstyp finden Sie auf der Registerkarte
Volumes. Ein Wechsel zwischen den beiden Typen ist mglich, jedoch nur
dann, wenn der Datentrger keinerlei Daten mehr enthlt.
Abbildung 6.6
Partitionstyp eines
Datentrgers
6.2.2
Basis oder dynamisch?
Windows kennt zwei Arten von Datentrgern: Basis (Basic) und Dyna- Dynamisch in die
misch. Dynamische Datentrger wurden mit Windows 2000 eingefhrt und Zukunft
bieten die Mglichkeit, mehrere Partitionen zu einem gemeinsamen Datenbereich zusammenzuschlieen. Einige ltere Betriebssysteme sind jedoch
nicht in der Lage, von einem dynamischen Datentrger zu starten. Whrend des Setups legt Windows 7 bei der Partitionierung nur Basisdatentrger an. Ein Wechsel von einem Basisdatentrger in einen dynamischen
Datentrger ist mglich. Klicken Sie dazu mit der rechten Maustaste auf
den Datentrger in der linken Spalte der Datentrgerverwaltung, und whlen Sie In dynamischen Datentrger konvertieren aus.
275

Abbildung 6.7
Umwandlung in
einen dynamischen
Datentrger
Sie werden vor der Umwandlung zur Sicherheit auf die mglichen Konsequenzen hingewiesen. Je nach Anzahl der vorhandenen Partitionen auf
dem Datentrger kann der Vorgang auch etwas lnger dauern, die Daten
auf dem Datentrger bleiben dabei erhalten. Der Weg von einem dynamischen Datentrger zurck zu einem Basisdatentrger ist nur mglich, wenn
keine Partitionen mehr auf dem Datentrger vorhanden sind. Ob ein Datentrger vom Typ Basis oder Dynamisch ist, knnen Sie in der entsprechenden
Spalte der Datentrgerverwaltung ersehen (siehe Abbildung 6.10).
Daten? Logisch!
Bei einem dynamischen Datentrger werden in der Partitionstabelle keine

Informationen mehr gespeichert, die Informationen ber die dort als Volume
bezeichneten Plattenbereiche werden in einer Art Datenbank mit dem
Namen Logical Volume Manager (LVM) oder auch Logical Data Manager
(LDM) gespeichert. Bei einem dynamischen Datentrger auf einer MBRPlatte wird nur eine Partition vom Typ 0x42 angelegt, die die komplette
Platte belegt. Bei einer GPT-Platte werden zwei Partitionen angelegt, eine
vom Typ LDM Metadata Partition, welche die Informationen der einzelnen
Volumes enthlt, und eine vom Typ LDM Data Partition, welche die tatschlichen Partitionsdaten der Volumes enthlt.
6.2.3
Ausfallschutz
und mehr
276
Vom Datentrger zum

Laufwerksbuchstaben
Um bei Festplatten eine grere Ausfallsicherheit, Fehlertoleranz und grere Kapazitten zu erreichen, hat man im Bereich der Hardware die Technologie RAID (Redundant Array of independent Disks redundanter Stapel
unabhngiger Platten) entwickelt, mit der mehrere Festplatten logisch zu
einer einzigen kombiniert wurden. Im professionellen Einsatz wird dies
durch spezielle Festplattencontroller angeboten, die dafr dann auch entsprechende Steuerprogramme anbieten.
RAID-Level
Name
Funktion
Stripeset
Die Daten werden auf zwei oder mehr Datentrger verteilt, quasi werden die Daten streifenweise
(stripe) auf verschiedene Datentrger aufgeteilt.
Dies bewirkt eine Vergrerung der Kapazitt
und eine Erhhung der Geschwindigkeit, da
mehrere Platten parallel arbeiten. Maximal untersttzt Windows hierbei die Koppelung von 32
Datentrgern. Ein Defekt an einer der Platten
fhrt allerdings zum Datenverlust auf allen Platten, es existiert also hier keine Redundanz.
Spiegelsatz
Mirror
Die Daten werden parallel auf zwei oder mehr

Datentrger geschrieben. Solange noch mindestens ein Datentrger funktionstchtig ist, knnen
die Daten noch gelesen werden.
Stripeset mit
Paritt
Mindestens drei Festplatten werden verwendet.

Die Information wird mit einer Parittsinformation zur Fehlerkorrektur zusammen gleichmig
auf den Datentrgern abgespeichert. Dies hat zur
Folge, dass der Ausfall einer einzelnen Platte
noch keinen Datenverlust nach sich zieht. Wird
die fehlerhafte Platte ersetzt, kann die komplette
Information wieder hergestellt werden. Bedingt
durch die Parittsberechnung und die gleichmige Aktion auf allen Platten ist diese Methode
die langsamste.
Tabelle 6.2
RAID-Level, die bei
Windows verwendet werden
Es gibt noch eine Reihe weiterer RAID-Level, die jedoch in der Praxis eher
selten zum Einsatz kommen.
Viele moderne IDE- und SATA-Adapter untersttzen RAID-1 (Mirroring), wenn zwei gleichartige Platten angeschlossen sind. Dies sollte man
aus Grnden der Sicherheit bei Serversystemen unbedingt anwenden.
berprfen Sie in der Anleitung des Controllers, wie diese Funktion
berwacht werden kann. Die Ausfallsicherheit ntzt nichts, wenn Sie
den Ausfall einer Platte nicht bemerken und darauf reagieren knnen.
Die in Tabelle 6.2 aufgefhrten RAID-Level 0 und 1 kann Windows auch Software-RAID,
selbst softwaremig nachbilden. Dies ist natrlich deutlich langsamer besser als nichts
gegenber einem speziell dafr ausgerichteten Festplattencontroller. Der
fr sensible Datenbestnde ausgerichtete RAID-Level 5 wird von Windows 7 nicht untersttzt, auch wenn die entsprechende Option in der
Datentrgerverwaltung vorgesehen ist. Um eine entsprechende Plattenkombination einzurichten, bentigen Sie nur eine entsprechende Anzahl
freier Datentrger.
277

Abbildung 6.8
Spiegelung anlegen,
ausgehend von
Volume G:
Einrichten einer Spiegelung

Am einfachsten geht dies bei einer Spiegelung. Sofern auf dem System
ein freier Datentrger vorhanden ist, der mindestens so gro ist wie die
gewnschte Zielpartition, knnen Sie einfach die Zielpartition mit der
rechten Maustaste anklicken und Spiegelung hinzufgen auswhlen. Diese
Aktion ist nur auf einem dynamischen Datentrger mglich. Sofern sich
die zu spiegelnde Partition auf einem Basisdatentrger befindet, erhalten
Sie vorab eine entsprechende Warnung, dass der Datentrger zunchst
konvertiert werden muss.
Abbildung 6.9
Ziel fr die Spiegelung auswhlen
Spieglein,
Spieglein auf
der Platte ...
278
Im nchsten Schritt mssen Sie das Ziel fr die Spiegelaktion auswhlen,

auch wenn nur ein Datentrger als Ziel mglich ist. Der eigentliche Vorgang der Spiegelung luft automatisch ab und kann anhand einer Prozentanzeige in der Datentrgerverwaltung verfolgt werden. Nach Mglichkeit
sollten whrenddessen keine Anwendungen auf die zu spiegelnde Platte
zugreifen.

Abbildung 6.10
Daten werden
gespiegelt.
Die weiteren Optionen der Datentrgerverwaltung werden in den entsprechenden Abschnitten 6.5.2 ab Seite 313 und 6.6 ab Seite 317 beschrieben.
6.3
Ein Datentrger alleine ist zunchst nichts weiter als eine Ansammlung von Daten mit
Speicherplatz ohne jegliche Verwaltungsinformation. Damit man Daten Ordnung bilden
und Dateien darauf abspeichern (und wiederfinden) kann, muss ein Daten- ein Dateisystem
trger mit einem Dateisystem formatiert werden. Ein Dateisystem erfllt
dabei drei wesentliche Aufgaben:
Benennung von Speicherplatz und Anordnung der Namen in eine
Baumstruktur zur Organisation auch grerer Namensrume.
Zuweisung von Speicherplatz, Verhinderung der Doppelvergabe von
Speicherplatz und Organisation des nicht zugeordneten Speicherplatzes.
Vergabe und Kontrolle von Berechtigungen, um gezielt den Zugang
zu bestimmten Informationen zu erlauben oder zu verweigern.
Unter Windows werden heutzutage im Wesentlichen zwei Dateisysteme
untersttzt: NTFS und FAT. Unter Windows NT 4.0 war auch noch eine
Untersttzung von HPFS (fr OS/2) vorhanden, diese wurde zwischenzeitlich entfernt. Eine detaillierte bersicht ber die Unterschiede und Grenrestriktionen bei FAT und NTFS ist im Dokument Local File Systems for Windows unter der Adresse [FSYS] zu erhalten.
279
6.3.1
FAT will
never die!
FAT
Die FAT (File Allocation Table) wurde erstmals mit der ersten Version von
MS/PC-DOS eingefhrt, die zunchst nur Disketten untersttzte. Im Laufe
der Jahre hat es verschiedene Varianten von FAT gegeben (FAT-12, FAT-16,
FAT32, VFAT, exFAT), die aber alle eines gemeinsam haben: Es gibt kein
Berechtigungskonzept, jeder hat Zugriff auf alle Dateien eines Datentrgers.
Die FAT selbst ist eine einfache Liste von Clustern (Gruppe von mehreren
Sektoren). Sofern eine Datei mehr als einen Cluster bentigt, steht im Eintrag fr den ersten Cluster die Nummer des zweiten Clusters, im Eintrag
des letzten Clusters steht eine Endmarkierung. Diese Tabelle wird aus
Redundanzgrnden zweimal auf dem Datenspeicher abgelegt. Eine genauere Erklrung des FAT-Formats findet sich auf der Seite [FAT] und weiteren
dort verlinkten Seiten. Im Laufe der Zeit ist FAT immer wieder mit seinen
Maximalwerten fr Dateigre und Datentrgergre an die Grenzen der
technischen Entwicklung gestoen. Die letzte Entwicklungsstufe ist aktuell
exFAT, das Anfang 2009 von Microsoft fr die Systeme Windows XP SP2,
Windows Vista SP1 und Windows 7 eingefhrt wurde. Entwickelt wurde
exFAT zunchst fr Windows CE 6.0 unter besonderer Bercksichtigung
der Anforderungen fr Flash-Speicher (USB-Sticks).
Aktuell wird FAT vorwiegend bei solchen Systemen verwendet, bei
denen eine Implementierung von NTFS nicht mglich oder nicht sinnvoll
erscheint, beispielsweise bei Digitalkameras oder MP3-Musikgerten.
Auf bestimmten Aspekten der FAT-Implementierung besteht immer
noch Patentschutz der Firma Microsoft. Die Verwendung von FAT in
anderen Gerten kann deshalb Lizenzzahlungen nach sich ziehen.
6.3.2
NTFS
NTFS wurde von Microsoft erstmals mit Windows NT 3.1 eingefhrt und
ist inzwischen in der Version 3.1 erschienen, die mit Windows XP vorgestellt wurde. Gegenber FAT bietet NTFS eine ganze Reihe zustzlicher
Fhigkeiten.
Fhigkeit
Funktionsweise
Journal
Smtliche Operationen im Dateisystem werden in einer Journaldatei

protokolliert, bei Fehlern kann nachvollzogen werden, an welcher
Stelle ein Abbruch erfolgte, dies erleichtert die Wiederherstellung.
Bereitstellungspunkt
Mountpoints
Datentrger knnen auer als eigenstndiger Laufwerksbuchstabe

auch unterhalb eines Verzeichniseintrages eingebunden werden,
sodass beispielsweise G:\ auf einem anderen physischen Laufwerk
liegt als G:\temp.
Verzeichnisse in
Baumstruktur
Insbesondere bei greren Verzeichnissen knnen die einzelnen Eintrge effektiver gefunden werden, da die Eintrge in Form eines binren Baums abgespeichert werden.
Tabelle 6.3: Fhigkeiten von NTFS
280
Fhigkeit
Funktionsweise
Optimierter Speicherplatz fr kleine

Dateien
Sehr kleine Dateien werden gleich im Verzeichniseintrag der Datei

abgespeichert und belegen keinen zustzlichen Platz auf dem Datentrger, der zudem in einer separaten I/O-Operation gelesen werden
msste.
Zugriffsschutz (ACL
Access Control List)
Fr Dateien und Verzeichnisse knnen Zugriffsberechtigungen vergeben werden, um Datenschutz und Datensicherheit zu gewhrleisten.
Komprimierung
Daten knnen komprimiert gespeichert werden, ohne sie zuvor in spezielle Containerdateien zu packen (.zip-Dateien).
Harte Verknpfungen
(Hard Links)
Eine Datei auf einem Datentrger kann unter verschiedenen Namen

erreicht werden.
Symbolische Verknpfungen (Sym Links)

auf Verzeichnisse
Der Name eines Verzeichnisses wird beim Zugriff automatisch durch

den Namen eines anderen Verzeichnisses ersetzt, dies kann auch auf
einem anderen Datentrger liegen.
Verschlsselung
(Encryption)
Dateien knnen verschlsselt werden, nher wird dieses Konzept in

Kapitel 13 behandelt.
Kontingente (Quotas)
Das System berwacht automatisch die Nutzung des Datenspeichers

pro Benutzer, es knnen Grenzwerte angegeben werden, um die bermige Belegung des Datenspeichers zu verhindern.
Dateien mit geringer

Datendichte (Sparse
Files)
In bestimmten Anwendungsfllen hat man es mit Dateien zu tun, in

denen nur sehr wenige Datenwerte stehen. Mit diesen Sparse Files ist
es mglich, nur diese Datenwerte und nicht auch den Leerraum dazwischen abzuspeichern.
Alternative Datenstrme (Alternate

Data Streams)
Es ist mglich, zu einer Datei mehr als nur die reinen Nutzdaten abzuspeichern. Diese ADS-Daten knnen nur ber spezielle Funktionen
gelesen werden, sodass sie fr normale Dateifunktionen unsichtbar
bleiben. Ein Beispiel sind die Links im Favoriten-Ordner des Internet
Explorers. Das Symbol einer Webseite ist im ADS der .url-Datei gespeichert.
Unicode-Zeichensatz
Die Namen von Dateien und Verzeichnissen knnen mit dem UnicodeZeichensatz angegeben werden. Dies hat zur Folge, dass deutsche
Umlaute oder andere fremdsprachige Zeichenstze in den Namen verwendet werden knnen.
Analysepunkte
Anwendungen knnen gezielt Aktionen im Dateisystem berwachen,

und beim Vorliegen bestimmter Rahmenbedingungen werden aus
dem Dateisystemtreiber heraus Routinen der Anwendung aufgerufen.
Auf diese Weise knnen einfach zustzliche Funktionalitten des
Dateisystems implementiert werden.
Tabelle 6.3: Fhigkeiten von NTFS (Forts.)
Die kleinste Verwaltungseinheit eines NTFS-Dateisystems ist der Cluster,

eine Folge von Sektoren auf einem Datentrger. Die Gre eines Clusters
wird bei der Formatierung festgelegt (siehe den Abschnitt 6.4 ab Seite
309), die Gre eines Sektors ergibt sich aus der verwendeten Hardware
des Datentrgers (im Allgemeinen 512 Byte).
281
Die Master File Table

Alles ist eine
Datei
Die Verwaltungsinformationen von NTFS werden selber in Form von

Dateien abgespeichert, die sich wiederum auf dem NTFS-Datentrger befinden. Diese Dateien lassen sich von normalen und administrativen Benutzern
nicht ansehen oder bearbeiten, man erkennt jedoch, dass bestimmte Dateinamen bereits belegt sind. Dreh- und Angelpunkt aller NTFS-Laufwerke ist
die Master File Table (MFT), die unter dem Namen $mft im Wurzelverzeichnis jedes NTFS-Volumes liegt.
C:>dir > \$mft
Zugriff verweigert
Von der MFT existieren mindestens zwei Exemplare auf dem Datentrger
(erkennbar in der Ausgabe von fsutil fsinfo ntfsinfo in Listing 6.2). Die Kopie
hat den Namen \$MftMirr (erkennbar an der Ausgabe von fsutil volume
querycluster mit den beiden Angaben fr MFT-Start-LCN und MFT2-StartLCN). Die Kopie ist nicht vollstndig, sondern enthlt nur die ersten vier
Eintrge ($Mft, $MftMirr, $Logfile und $Volume) der MFT.
Listing 6.2
Informationen
ber die MFT
>fsutil fsinfo ntfsinfo c:\

...
MFT-Start-LCN :
MFT2-Start-LCN :
MFT-Zonenstart :
MFT-Zoneende :
...
>fsutil volume querycluster
Cluster 0x00000000000c0000,
>fsutil volume querycluster
Cluster 0x0000000000000002,
0x00000000000c0000
0x0000000000000002
0x000000000021aaa0
0x000000000021dc60
c: 0x00000000000c0000
verwendet von -S--D \$Mft::$DATA
c: 0x0000000000000002
verwendet von -S--D \$MftMirr::$DATA
Im Gegensatz zur FAT, die immer am Anfang eines Datentrgers gespeichert wird, kann die MFT prinzipiell berall auf der Platte angelegt werden, im Allgemeinen wird sie in der Mitte des Datentrgers angelegt. In
frheren Versionen von Windows wurde dafr 12,5 % des Plattenplatzes
fr die MFT reserviert, seit Windows Vista wird initial eine Gre von
200 MB festgelegt. In diesem reservierten Bereich werden zunchst keine
Dateien angelegt, um eine Fragmentierung der MFT bei deren Wachstum
zu vermeiden. Dieser Bereich wird als MFT-Zone bezeichnet (siehe
Angaben zu Start und Ende in Listing 6.2). Die Gre dieser Zone lsst
sich durch den Wert NtfsMftZoneReservations im Schlssel HKLM\
SYSTEM\CurrentControlSet\Control\FileSystem kontrollieren, siehe
hierzu den Artikel [MFT].
Zeitstempel
Fr jede Datei auf dem System wird ein Eintrag (Record) fr die zur Datei
gehrigen Verwaltungsinformationen in der MFT angelegt. Sofern die
Datei klein genug ist, wird sie direkt in diesem Eintrag mit abgespeichert.
Zu den Verwaltungsinformationen gehren unter anderem die Zeitangaben, wobei NTFS hier drei unterschiedliche Zeitstempel verwaltet: Zeit
282
der Erzeugung (create time), Zeit des letzten schreibenden Zugriffs (write
time) und Zeit des letzten lesenden Zugriffs (access time). Die drei Zeitangaben kann man beim DIR-Befehl mit den Optionen /TC, /TW und /TA
getrennt ausgeben lassen. Ohne Angabe wird immer die write time ausgegeben.
C:\Users\adm>dir /tc test.txt
26.08.2009 09:43
1.477 test.txt
C:\Users\adm>dir /tw test.txt
26.08.2009 09:44
1.477 test.txt
C:\Users\adm>dir /ta test.txt
30.08.2009 00:29
1.477 test.txt
Aus Effizienzgrnden ist die Vernderung der Zeit des lesenden Zugriffs
deaktiviert. Dies lsst sich mit dem Befehl fsutil behavior query DisableLastAccess ndern.
Fr gelschte Dateien wird der betreffende MFT-Record wieder freigegeben, um erneut belegt zu werden. Er wird jedoch nicht von der MFT entfernt, sodass die MFT im Laufe der Zeit immer grer wird.
Reicht der Platz innerhalb des MFT-Records nicht fr die Nutzdaten der
Datei aus (ab circa 1.400 Byte), werden fr diese separate Cluster reserviert. In der MFT wird dann ein Zeiger auf die derartig zugeteilten Cluster
notiert. Eine derartige Folge von Datenclustern wird auch als Lauf (data
rum) bezeichnet. Wchst die Datei und mssen weitere Cluster hinzugefgt werden, kann es passieren, dass man den Lauf nicht weiter erweitern kann, weil er auf Cluster stt, die bereits von anderen Dateien belegt
sind. In diesem Fall wird ein neuer Lauf angefangen und in den MFTRecord eingetragen. Man spricht in diesen Fall davon, dass die Datei fragmentiert ist. Werden so viele Lufe angelegt, dass die Informationen ber
die Lufe nicht mehr in den ursprnglichen MFT-Record passen, wird ein
neuer MFT-Record angelegt, der die Informationen aufnimmt. Trotz dieser
mglichen Fragmentierung erfolgt der Zugriff auf die Datei trotzdem
noch relativ zgig, da ein Zugriff auf ein bestimmtes Element der Datei
recht schnell in der Kette der Lufe identifiziert werden kann, ohne wie
bei FAT die Kette der Cluster schrittweise abarbeiten zu mssen.
Verzeichnisse bei NTFS

Ein Verzeichnis ist bei NTFS im Grunde genommen zunchst nur eine
Datei mit speziellen Attributen. Auch hier werden kurze Verzeichnisse
komplett in ihren zugehrigen MFT-Record gespeichert. In dem Record liegen dann Verweise auf die MFT-Records, die die Informationen ber die
einzelnen Dateien enthalten. Bei greren Verzeichnissen mit vielen enthaltenen Dateien werden entsprechend mehr MFT-Records belegt. Durch die
Anordnung der einzelnen Dateien innerhalb der jeweiligen MFT-Records
ergibt sich eine Baumstruktur der Eintrge.
283
Bei NTFS ist auch das Wurzelverzeichnis eines Volumes ein Verzeichnis wie jedes andere auch. Dies bedeutet, dass, im Gegensatz zu FAT12 und FAT-16, die maximale Anzahl der Verzeichniseintrge im Wurzelverzeichnis nicht begrenzt ist. Bei FAT-12 und FAT-16 betrgt die
maximale Anzahl von Eintrgen ins Wurzelverzeichnis 512 Eintrge,
wobei Eintrge mit langen Namen auch mehr als einen Eintrag verbrauchen knnen.
Weitere Dateien und Verzeichnisse, die NTFS fr die eigene Verwaltung
verwendet und in den ersten Records der MFT speichert sind:
$logfile Enthlt Logeintrge ber alle auf der Platte durchgefhrten
Aktionen. Kann im Fehlerfall oder bei Systemabstrzen dazu verwendet werden, um entstandene Fehler im Dateisystem zu reparieren.
$volume Enthlt Informationen ber den Namen des Datentrgers, die
Version des NTFS-Dateisystems und die Information, ob das Volume
ordnungsgem heruntergefahren wurde.
$AttrDef Informationen ber Attribute des Dateisystems.
. Der Eintrag . (dot) bildet das Wurzelverzeichnis des Dateisystems.
$Bitmap Enthlt eine Bitmap, die den Belegungsstatus jedes einzelnen
Clusters auf dem Datentrger widerspiegelt.
$boot Enthlt auf startfhigen Datentrgern den Bootsektor und den
Bootcode zum Start des Betriebssystems.
$BadClus Enthlt Informationen ber beschdigte Cluster auf dem
Datentrger. Diese werden zuknftig nicht mehr vom System verwendet.
$Secure Enthlt Sicherheitsinformationen.
$Upcase Enthlt zur Generierung der 8.3-Dateinamen eine Umwandlungstabelle, die fr die Unicode-Zeichen der NTFS-Dateinamen den
entsprechenden DOS-tauglichen Grobuchstaben enthlt.
$Extend Bildet ein Verzeichnis, in dem weitere Verwaltungsinformationen stehen, zum Beispiel die Informationen fr die Kontingentverwaltung.
Verborgene
Informationen
Listing 6.3
Die ersten Eintrge
in der MFT
284
Einen tieferen Einblick in den Aufbau der MFT kann man mit dem Programm nfi.exe gewinnen, das ber die Adresse [OEM] als Bestandteil der
OEM Support Tools heruntergeladen werden kann. In der hier gezeigten
Form listet es in aufsteigender Reihenfolge die einzelnen Records in der
MFT auf.
nfi c:
NTFS File Sector Information Utility.
Copyright (C) Microsoft Corporation 1999. All rights reserved.
File 0
Master File Table ($Mft)
$STANDARD_INFORMATION (resident)
$FILE_NAME (resident)
$DATA (nonresident)
logical sectors 6291456-6376959 (0x600000-0x614dff)
logical sectors 17596352-17651135 (0x10c7fc0-0x10d55bf)

$BITMAP (nonresident)
logical sectors 6291448-6291455 (0x5ffff8-0x5fffff)
logical sectors 2597256-2597279 (0x27a188-0x27a19f)
File 1
Master File Table Mirror ($MftMirr)
$DATA (nonresident)
logical sectors 16-23 (0x10-0x17)
File 2
Log File ($LogFile)
$DATA (nonresident)
logical sectors 6027928-6158999 (0x5bfa98-0x5dfa97)
File 3
DASD ($Volume)
$OBJECT_ID (resident)
$SECURITY_DESCRIPTOR (resident)
$VOLUME_NAME (resident)
$VOLUME_INFORMATION (resident)
$DATA (resident)
Plattenplatzberwachung
Auch in der heutigen Zeit haben Festplatten die unangenehme Eigenschaft, Platten sind
irgendwann voll zu sein. Insbesondere auf Systemen, die von vielen Benut- immer zu klein
zern gleichzeitig verwendet werden, muss ein Administrator immer darauf
achten, dass nicht einzelne Benutzer bermig viel Platz mit ihren Dateien
belegen. Um diesen Prozess zu automatisieren, hat man ein System zur Kontingentverwaltung auf Datentrgern (Quota) eingerichtet. Generell unterscheidet man immer zwischen zwei Grenzen: einer weichen und einer harten
Grenze. Die weiche Grenze kennzeichnet einen Wert, ab dem die Plattenbelegung nicht mehr als normal angesehen wird, unter Windows wird dies als
Warnstufe bezeichnet. Die harte Grenze ist jene, ab der ein Benutzer damit
rechnen muss, dass er keine weiteren Daten mehr abspeichern kann.
Ausgangspunkt der Verwaltung ist immer der Datentrger, auf den sich
die Kontingentangabe bezieht. Es ist also nicht mglich, die Platzbelegung
nur in einem Unterverzeichnis festzulegen. Starten Sie deshalb zunchst
ber Start/Computer den Blick auf smtliche Laufwerke des Systems. Dann
whlen Sie das gewnschte Laufwerk aus und ffnen die Eigenschaften
und dort dann die Registerkarte Kontingent. Alternativ knnen Sie auch die
Eigenschaften ber das Kontextmen des Datentrgers in der Datentrgerverwaltung aufrufen. Fr die weiteren Aktionen mssen Sie ber administrative Berechtigungen verfgen oder sich diese ber die Schaltflche Kontingenteinstellungen anzeigen zunchst beschaffen.
285
Zunchst werden die Datentrgerkontingente deaktiviert sein. Aktivieren

Sie diese, indem Sie das Kontrollkstchen Kontingentverwaltung aktivieren
einschalten. Diese Aktion kann insbesondere bei greren Laufwerken
geraume Zeit dauern und muss deshalb separat besttigt werden.
Abbildung 6.11
Kontingentverwaltung wirklich
nutzen?
Wie geht man

mit DateiMessies um?
Abbildung 6.12
Einstellungen der
Kontingentverwaltung
286
Im Dialogfeld knnen bei aktivierter Kontingentverwaltung nun folgende

Einstellungen vorgenommen werden:
Speicherplatz bei berschreitung der Kontingentgrenze verweigern Sobald
ein Benutzer versucht, mehr Speicher anzufordern, als ihm als Grenzwert zugewiesen wurde, verweigert das System die Zuweisung von
mehr Speicher. Das betroffene Anwendungsprogramm erhlt eine entsprechende Fehlermeldung.
Speicherplatz beschrnken auf Die Einstellung hier betrifft nur die
Aktionen neuer Benutzer, fr die noch keine eigene Grenze festgelegt
wurde. Sobald ein derartiger Benutzer das erste Mal auf den Datentrger zugreift, bekommt er diese Grenzwerte zugewiesen. Es ist nicht
mglich, nur eine Grenze zuzuweisen.
Ereignis bei berschreitung der Kontingentgrenze protokollieren Sobald
das System feststellt, dass ein Benutzer die jeweilige Grenze berschritten hat, kann eine Meldung in das Ereignisprotokoll geschrieben
werden. Auf diese Weise kann ein Administrator schnell einen berblick ber den Zustand der Kontingentverwaltung bekommen.
ber die Schaltflche Kontingenteintrge erhlt man Einblick in die aktuell

von den Benutzern belegte Datenmenge und ihre Grenzwerte. Beim
Betrachten von Abbildung 6.13 fllt auf, dass aktuell nur der Benutzer user3
ein begrenztes Kontingent zugewiesen bekommen hat. Dies liegt darin
begrndet, dass die anderen Benutzer bereits Daten auf dem Datentrger
abgelegt hatten, bevor die Kontingentverwaltung aktiviert wurde. Der
Benutzer user3 hat erst danach erstmalig auf den Datentrger zugegriffen
und bekam deshalb die Grenzwerte fr neue Benutzer zugewiesen.
Abbildung 6.13
Kontingente sind
festgelegt.
Per Doppelklick auf einen der Eintrge oder die Menfunktion Kontingent/
Eigenschaften lassen sich die aktuellen Grenzen des betreffenden Benutzers
verndern. Auch hier gilt wieder, dass man immer beide Grenzwerte setzen muss. Fr Benutzer, die noch nicht auf den Datentrger zugegriffen
haben oder die andere Grenzen als die Standardwerte fr neue Benutzer
zugewiesen bekommen sollen, kann man ber das Symbol Neuer Kontingenteintrag oder die entsprechende Funktion aus dem Men Kontingent
auch vorab bereits einen entsprechenden Eintrag anlegen.
Abbildung 6.14
Einstellung der
Kontingente fr
einen Benutzer
Durch Markieren einer oder mehrerer Eintrge und Ausfhren der Funk- Bericht zur Lage
tion Bearbeiten/Kopieren kann eine Darstellung der Daten in Textform in der Platte
die Zwischenablage bertragen werden, zum Beispiel zur Verwendung
in Dokumentationen ber das jeweilige System.
287

Listing 6.4
Kopie der QuotaEintrge in der
Zwischenablage
Kontingenteintrge fr Volume (I:)

Status
Name Anmeldename
Belegter Speicher (MB)
Kontingentgrenze (MB) Warnstufe (MB) Prozent belegt
Begrenzung berschritten user2 win7\user2 3,1
2
1
155
Warnung user3 user3@contoso.com 1,83
2
1
91
OK
user2 user2@contoso.com 0
3
1,5
0
OK
adm
adm@contoso.com 0
Unbegrenzt
Unbegrenzt Nicht zutreffend
Aus der Aufstellung aus Listing 6.4 lsst sich erkennen, dass Benutzer
win7\user2 seine Kontingentgrenze berschritten hat. Dies kann durch
zwei Aktionen passieren: Entweder ist das Kontrollkstchen Speicherplatz
bei berschreitung der Kontingentgrenze verweigern nicht aktiviert, oder die
Grenze wurde manuell herabgesetzt. ber die Befehle Kontingent/Importieren und Kontingent/Exportieren kann eine maschinenlesbare Darstellung
der Kontingenteintrge in einer separaten Datei erzeugt werden, etwa
um die Eintrge auf einem anderen Laufwerk zu restaurieren.
Abbildung 6.15
Kontingentereignisse in der
Ereignisanzeige
In der Ereignisanzeige knnen die Ereignisse der Kontingentverwaltung im

Systemprotokoll unter der Ereignisquelle Ntfs angesehen werden. Ein Benutzer, fr den ein Kontingent auf einem Laufwerk angelegt wurde, sieht nicht
mehr die tatschliche freie Gre des Laufwerks, sondern nur noch den
Platz, der ihm durch sein Kontingent zur Verfgung steht.
Es ist nicht mglich, ber die GUI einer Gruppe ein Kontingent zuzuweisen, das dann fr alle Mitglieder der Gruppe gemeinsam gilt. Man
kann jedoch mit dem Befehl fsutil (siehe den Abschnitt 6.6.2 ab Seite
322) ein Kontingent auf eine Gruppe setzen. Dies gilt jedoch dann nur
fr die Dateien, deren Besitzer die Gruppe direkt ist.
288

Abbildung 6.16
Platzbeschrnkung
durch Kontingente
Alternate Data Streams

Als ADS (Alternate Data Stream) bezeichnet man eine Technik, bei der zu
einer Datei weitere Daten gespeichert werden, die fr die normalen Dateioperationen wie Lesen und Schreiben quasi unsichtbar sind. Gleichzeitig
sind sie aber direkt mit der Datei gekoppelt, sodass sie beispielsweise vom
Kopieren ebenfalls mit erfasst werden. Mglich ist diese Technik nur bei
NTFS, bei FAT wird sie nicht untersttzt. Dies hat auch zur Folge, dass man
diese ADS mit Programmen, die nicht speziell fr NTFS entwickelt wurden, nicht bearbeiten oder entdecken kann. Gleichfalls mssen diese Programme aber darauf achten, dass sie solche Daten nicht bearbeiten knnen,
wenn sie diese von einem FAT-Datentrger beziehen.
Um anzuzeigen, welche Dateien mit derartigen ADS versehen sind, kann Verborgenes
man die Option /R des Befehls DIR oder das Programm Streams von Sysin- sichtbar machen
ternals (siehe [SYS]) verwenden. Um die Streams zu sehen und ihren Inhalt
zu manipulieren oder sie zu lschen, dient das Programm AlternateStreamView von [ASV]. Windows selbst verwendet ADS zum Beispiel im Internet
Explorer. Hier werden die Symbole der Favoriten in ADS gespeichert und
eine Information ber die Herkunft einer heruntergeladenen Datei hinterlegt.
>\streams Autoruns.zip
Streams v1.56 - Enumerate alternate NTFS data streams
Copyright (C) 1999-2007 Mark Russinovich
Sysinternals - www.sysinternals.com
C:\Users\adm\Downloads\Autoruns.zip:
:Zone.Identifier:$DATA
26
Listing 6.5
Geheime Daten
in ADS
>more < Autoruns.zip:Zone.Identifier:$DATA

[ZoneTransfer]
ZoneId=3
289
>dir
26.08.2009 09:43
1.477 test.txt
17.07.2009 10:22
791.393 badapp.exe
0 Verzeichnis(se), 13.211.062.272 Bytes frei
>type badapp.exe > test.txt:geheim
>dir test.txt
26.08.2009 09:44
1.477 test.txt
> streams test.txt
Streams v1.56 - Enumerate alternate NTFS data streams
C:\Users\adm\test.txt:
:geheim:$DATA 791393
C:\Users\adm>dir /r test*
26.08.2009 09:44
1.477 test.txt
791.393 test.txt:geheim:$DATA
In Listing 6.5 knnen Sie folgende Aktionen sehen:

Mit dem Programm Streams wird berprft, ob die Datei Autoruns.zip
mit ADS versehen ist. Das Programm listet einen gefundenen Stream
mit dem Namen Zone.Identifier:$DATA auf. Dieser wird danach ber
Eingabeumleitung an das Programm more bergeben und ausgegeben. Sie sehen den Inhalt ZoneId=3.
Im zweiten Teil wird die Anwendung badapp.exe ber Ausgabeumleitung in den ADS test.txt:geheim der Datei test.txt gespeichert. Die
Dateilnge verndert sich dadurch nicht, aber Sie knnen erkennen,
dass der freie Plattenplatz sich von 13.211.062.272 auf 13.210.251.264
Byte verringert, die Differenz von 811.008 Byte entspricht in etwa der
Gre der im ADS gespeicherten Daten, zuzglich etwas Verschnitt
durch Clustergren. Mit dem Befehl DIR /R knnen Sie sehen, dass
der ADS keinen eigenen Zeitstempel besitzt.
Weder type noch more verstehen ADS-Namen, deshalb wird in den
Beispielen jeweils mit der Ein-/Ausgabeumleitung des Kommandoprozessors gearbeitet. Das Problem ist hierbei die Namenskonvention
Dateiname Doppelpunkt ADS-Name, da der Doppelpunkt sonst bei
Dateinamen nur am Anfang als Kennzeichnung des Laufwerksbuchstaben verwendet wird.
Die Datei kommt
aus Feindesland
290
Die Zoneninformation verwendet der Explorer zum Beispiel, um zu entscheiden, ob eine Datei sicher ist oder nicht. Eine mit der angegebenen Info
ist fr ihn nicht sicher, und er zeigt dies entsprechend auch in den Eigenschaften der Datei an. Mit der Schaltflche Zulassen wird der ADS gelscht.
Eine ausfhrbare Datei mit einem derartigen ADS fhrt der Explorer nicht
aus, sondern prsentiert eine Warnmeldung, die der Benutzer erst besttigen muss.

Abbildung 6.17
Unsichere Datei
dank ADS
6.3.3
NTFS Berechtigungen
ndern
Lesen & Ausfhren
Verzeichnis auflisten
Ordner auflisten/Daten lesen
Attribute lesen
Schreiben
Vollzugriff
Ordner durchsuchen/Datei ausfhren
Lesen
Erweiterte Berechtigung
Zu jeder Datei und zu jedem Verzeichnis verwaltet NTFS eine Zugriffskon- Wer darf was?
trollliste (ACL, Access Control List). In dieser Liste ist vermerkt, welche
Benutzer und Gruppen welche Aktionen mit dem betreffenden Objekt ausfhren oder nicht ausfhren drfen. Zustzlich wird auch noch vermerkt,
wer der Besitzer der Datei oder des Verzeichnisses ist, im Normalfall ist
dies derjenige, der die Datei auch angelegt hat. Beim Anlegen einer neuen
Datei erhlt diese als Zugriffsrechte zunchst die vererbten Zugriffsrechte
des Ordners zugewiesen, in dem die Datei angelegt wird. Die Berechtigungen werden bei NTFS in zwei Stufen dargestellt, eine Basisstufe mit einer
eher groben Einteilung der Berechtigungen und einer erweiterten Stufe mit
sehr detaillierten Einstellungen. Die einzelnen Basisstufen beinhalten die
folgenden erweiterten Stufen:
Tabelle 6.4: Zusammenhang zwischen einfachen und erweiterten Berechtigungen
291
Vollzugriff
ndern
Lesen & Ausfhren
Lesen
Erweiterte Attribute lesen
Dateien erstellen/Daten schreiben
Ordner erstellen/Daten anhngen
Attribute schreiben
Erweiterte Attribute schreiben
Lschen
Unterordner und Dateien lschen
Berechtigungen lesen
Berechtigungen ndern
Besitz bernehmen
Schreiben
Tabelle 6.4: Zusammenhang zwischen einfachen und erweiterten Berechtigungen

(Forts.)
Die Berechtigung Lesen & Ausfhren beinhaltet die Berechtigung Lesen, die
Berechtigung ndern die Berechtigungen Lesen & Ausfhren und Schreiben.
Zulassen oder
verweigern?
Jede einzelne Berechtigung kann entweder Zugelassen oder Verweigert werden. Hierbei haben Verweigerungen immer Prioritt gegenber Zulassungen. Besitzt ein Benutzer also als Mitglied einer Gruppe das Recht zur
nderung und ist ihm als Benutzer das Recht Attribute schreiben verweigert, besitzt er alle in der Spalte ndern aufgefhrten Rechte mit Ausnahme
des einen speziellen Rechts. Sobald man eine entsprechende Berechtigung
setzt, wird man auf diesen Umstand extra hingewiesen.
Abbildung 6.18
Zugriffsverweigerungen haben
Vorfahrt!
Bestimmte Aktionen knnen durch mehrere Berechtigungen ermglicht

werden. Um beispielsweise eine Datei zu lschen, muss er entweder fr
die Datei das Recht Lschen besitzen, oder er bentigt fr den Ordner, in
dem die Datei liegt, das Recht Unterordner und Dateien lschen.
292
Zu beachten ist der Unterschied zwischen den Aktionen Lesen und Ausfhren. Fr echte ausfhrbare Programme (also .com- und .exe-Dateien)
besteht ein Unterschied, ob eine Datei vom Datentrger gelesen wird, um
ausgefhrt zu werden, oder ob eine Kopie der Datei angelegt werden soll.
Fr Skriptdateien (zum Beispiel .cmd-Dateien) ist jedoch nur die Berechtigung zum Lesen relevant, da diese Dateien nicht zum Ausfhren in den
Speicher geladen werden. Diese Dateien werden vom Kommandointerpreter (zum Beispiel cmd.exe) als normale Datendatei eingelesen. Den
Ablauf einer solchen Skriptdatei kann man also nicht dadurch verhindern, dass man die Berechtigung zur Ausfhrung entzieht.
Vererbung
Um nicht fr jede Datei einzeln Berechtigungen vergeben zu mssen, Was du ererbt
existiert das Konzept der Vererbung. Hierbei erhalten Objekte in einem hast von deinen
Container (ein Verzeichnis) automatisch bestimmte Berechtigungen ber- Containern ...
tragen, sobald sie dort neu angelegt werden. Mchte man nun ein derartiges ererbtes Recht verndern, hat man nur die Mglichkeit, zustzliche
Berechtigungen zu vergeben, wahlweise als Erlaubnisse oder Verweigerungen. Berechtigungen zu entfernen geht auf diese Weise nicht!
Betrachten Sie dazu ein Beispiel: Einem Benutzer A wurde die Berechtigung
Schreiben auf einem Verzeichnis V1 verweigert. Nun soll ihm das Schreiben auf einem Unterverzeichnis V1\V2 erlaubt werden. Zwar kann man
ihm die Berechtigung Schreiben auf V1\V2 erteilen, diese steht jedoch im
Widerspruch zu der ererbten Berechtigung Schreiben:verweigert, und
diese hat bekanntermaen Vorrang. Um dieses Problem zu umgehen, gibt
es die Mglichkeit, die Vererbung aufzulsen, womit das Objekt mit einer
neuen ACL ohne Altlasten starten kann. Bei dem Vorgang bekommt man
die Mglichkeit, die bestehende ACL zu kopieren, um dann einfacher die
gewnschten nderungen durchfhren zu knnen.
Berechtigungen kontrollieren und manipulieren

In den Eigenschaften einer Datei existieret eine ganze Reihe von Dialog- Vertrauen ist gut,
feldern, mit denen die Berechtigungen einer Datei angesehen und mani- Kontrolle ist
puliert werden knnen. Der Einstieg erfolgt immer ber die Registerkarte besser!
Sicherheit der Dateieigenschaften.
Im oberen Teil des Dialogfeldes aus Abbildung 6.19 sieht man alle Benutzer
und Gruppen, denen spezielle Berechtigungen auf dem jeweiligen Objekt
zugewiesen wurden. Sobald im oberen Teil ein Benutzer oder eine Gruppe
selektiert wurde, wird im unteren Teil der Status der einfachen Berechtigungen angezeigt. Sobald die Kombination der erweiterten Berechtigungen
nicht mehr zu einer der Basisberechtigungen passt, erscheint ein Hkchen
bei Spezielle Berechtigungen. Hkchen, die eher blass dargestellt werden,
kennzeichnen ererbte Berechtigungen, eher dunkle Hkchen kennzeichnen
direkt zugewiesene Berechtigungen. In der Abbildung 6.19 kann man beispielsweise sehen, dass die Zulassung fr die Berechtigung Schreiben
ererbt, die Verweigerung jedoch direkt zugewiesen wurde.
293

Abbildung 6.19
Kontrolle der
Berechtigungen
Durch Bettigung der Schaltflche Bearbeiten kann man die Basisberechtigungen verndern. Oben im Dialogfeld von Abbildung 6.20 stehen wieder
die einzelnen Gruppen oder Benutzernamen. Selektiert man eine davon,
werden im unteren Teil die entsprechenden Berechtigungen angezeigt
und knnen mit den Kontrollkstchen verndert werden.
Abbildung 6.20
Basisberechtigungen verndern
Hierbei lassen sich aber nicht alle davon bearbeiten. Hier sieht man, dass
zum Beispiel das Kstchen ndern in der Spalte Zulassen einen Haken hat,
dieser aber ausgegraut ist und er sich somit nicht entfernen lsst. Dies
bedeutet, dass die Berechtigung ererbt ist und deshalb nicht entfernt werden kann. Das Kstchen Vollzugriff ist in beiden Spalten aktivierbar, da
dieses Recht nicht vererbt worden ist. Gleiches gilt fr die Verweigerungen der brigen Rechte. ber die Schaltflche Hinzufgen lassen sich neue
Benutzer- und Gruppennamen hinzufgen, wahlweise aus dem lokalen
System oder aus dem Active Directory, sofern das System Mitglied einer
294
Domne ist. Entfernen lassen sich Benutzer, indem sie selektiert werden
und danach die Schaltflche Entfernen bettigt wird. Dies kann allerdings
nur erfolgen, sofern der betreffende Benutzer oder die Gruppe nicht ber
Vererbung auf die ACL gekommen ist.
Abbildung 6.21
Vererbte Berechtigungen bleiben
erhalten.
Erweiterte Sicherheitseinstellungen
Im unteren Teil des Dialogfeldes aus Abbildung 6.19 knnen Sie durch Bet- Erweiterte
tigung der Schaltflche Erweitert die erweiterten Berechtigungen sowie die Sicherheit
Vererbung einstellen. Im Dialogfeld sehen Sie alle Eintrge der ACL. Fr
jeden Eintrag knnen Sie in den einzelnen Spalten der Anzeige Folgendes
erkennen:
Ob es sich um eine Zulassung oder eine Verweigerung handelt.
Auf welchen Benutzer oder welche Gruppe sich die Zeile bezieht.
Welche Berechtigung erteilt wird. Sofern hier wieder die Kombination
der erweiterten Berechtigungen nicht zu einer der Basisberechtigungen passt, wird Speziell angezeigt.
Die Angabe Geerbt von gibt an, von welchem Verzeichnis die Einstellung geerbt wurde. Dies muss nicht zwingend das aktuelle Verzeichnis
sein, in dem das Objekt liegt, sondern kann auch ein weiter oben im
Dateibaum liegendes Verzeichnis sein. Wenn keine Vererbung stattgefunden hat und die Angabe direkt dem Objekt zugewiesen wurde,
steht hier <nicht geerbt>.
Abbildung 6.22
Erweiterte Berechtigungen
295
Mit der Schaltflche Berechtigungen ndern gelangt man zu einem Dialogfeld, das dem bisherigen ziemlich hnlich scheint.
Abbildung 6.23
Erweiterte Berechtigungen ndern
Mit den drei Schaltflchen unter der Liste der Eintrge in der ACL kann
man die Liste manipulieren:
Hinzufgen Ein neuer Eintrag fr einen Benutzer oder eine Gruppe
wird hinzugefgt.
Bearbeiten Der in der Liste markierte Eintrag wird zum Bearbeiten
angezeigt. Ein Eintrag, der nicht geerbt wurde, kann komplett bearbeitet werden. Bei einem geerbten Eintrag knnen prinzipbedingt nur
Eintrge hinzukommen. Diese werden dann als neue Zeile in die Liste
aufgenommen.
Entfernen Es knnen nur Eintrge entfernt werden, die nicht geerbt
wurden.
Mit dem Kontrollkstchen Vererbbare Berechtigungen des bergeordneten
Objektes einschlieen kann eine bestehende Vererbung aufgehoben beziehungsweise eingerichtet werden. Hebt man die Vererbung auf, hat man die
Mglichkeit, entweder alle geerbten Berechtigungen zu bernehmen oder
sie zu entfernen, sodass nur die aktuell nicht geerbten Berechtigungen
erhalten bleiben.
Abbildung 6.24
Nicht vererben,
sondern behalten?
Wenn Sie das Dialogfeld aus Abbildung 6.23 mit den Schaltflchen OK
oder bernehmen besttigen, werden die nderungen sofort durchgefhrt, auch wenn Sie danach die Dialogfelder durch Abbrechen beenden.
296
Berechtigungen auf Verzeichnissen

Sofern es sich bei dem Objekt, dessen Berechtigungen gerade bearbeitet
werden, um ein Verzeichnis handelt, erscheint im Dialogfeld aus Abbildung 6.23 ein weiteres Kontrollkstchen.
Abbildung 6.25
Zusatzoption fr
Verzeichnisse
Mit dem Kontrollkstchen Alle Berechtigungen fr untergeordnete Objekte

knnen auf smtliche in dem Verzeichnis enthaltenen Unterverzeichnisse
und Dateien die Berechtigungen angewendet werden, die im aktuellen
Verzeichnis als vererbbar gekennzeichnet sind. Hierbei werden smtliche
bislang unterhalb explizit vergebenen Berechtigungen entfernt.
Abbildung 6.26
Erben ist nicht
problemlos
Diese Option, an falscher Stelle gesetzt, kann problemlos ausgefeilte

Berechtigungsstrukturen zerstren.
Beim Zuweisen von Berechtigungen zu Verzeichnissen kann man sehr
detailliert einstellen, wie sich diese Berechtigungen an welche Elemente vererben sollen. Fr jede der drei Gruppen (das Verzeichnis selber, Unterverzeichnisse, enthaltene Dateien) kann individuell bestimmt werden, ob die
Berechtigung auf das untergeordnete Element wirken sollen oder nicht.
Abbildung 6.27
Wer darf erben?
297

Geschickte
Erbschaften
Mit geschickter Vererbung lassen sich einige Aufgabenstellungen automatisieren, die anderweitig manuell von einem Administrator durchgefhrt
werden mssten. Folgende Aufgabenstellung ist zu erfllen:
Es gibt einen gemeinsamen Speicherbereich, in dem Benutzer Daten
ablegen sollen.
Andere Benutzer sollen keinen Zugriff auf die Daten erhalten.
Es soll den Benutzern aber ermglicht werden, selbst anderen Benutzern Zugang zu erteilen.
Um diese Aufgabe zu erfllen, befolgen Sie folgende Schritte:
1. Anlage eines neuen Ordners C:\Storage
2. Deaktivierung der Vererbung fr den Ordner, bernahme der bisherigen Berechtigungen
3. Die Berechtigungen fr SYSTEM und Administratoren belassen
4. Die Berechtigung fr Benutzer abndern auf:
bernehmen fr: Nur diesen Ordner
Berechtigungen: Ordner durchsuchen, Ordner auflisten, Ordner erstellen
5. Berechtigung fr ERSTELLER-BESITZER hinzufgen:
bernehmen fr: Nur Unterordner und Dateien
Berechtigungen: Vollzugriff
Das Sicherheitsobjekt ERSTELLER-BESITZER ist ein spezieller Benutzer, der bei der Erstellung eines neuen Objektes durch den aktuellen
Benutzer ersetzt wird.
Die Auswirkungen dieser Einstellungen sind folgende:
Im Ordner C:\Storage knnen die Benutzer keine Dateien anlegen,
sondern nur neue Ordner (Schritt 4).
Auf die neu angelegten Ordner haben zunchst nur Sie selbst Zugriff
(Schritt 5).
Sie knnen jedoch anderen Benutzern den Zugriff gestatten (die
Berechtigung Vollzugriff in Schritt 5 beinhaltet auch die Berechtigung
Berechtigungen ndern).
berwachung des Zugriffs

Die Mglichkeiten der Registerkarte berwachung werden in Kapitel 14
erklrt.
Besitzer berprfen und festlegen

Jede Datei und jedes Verzeichnis auf einem NTFS-Datentrger hat einen
Besitzer, der in dem Moment festgelegt wird, in dem das betreffende Objekt
angelegt wird. Bei einer unbekannten Datei, die Sie irgendwo im Verzeichnis finden, knnen Sie anhand des Besitzers zumindest eine Ahnung
bekommen, wer die Datei dort abgelegt hat. Im Explorer knnen Sie die
298
Spalte Besitzer zustzlich einblenden lassen. ber die Befehlszeile lsst sich
beim Befehl DIR mit der Option /Q die Anzeige des Benutzers erreichen:
C:\Users\Public\Documents>DIR /Q
Datentrger in Laufwerk C: ist Volume
Volumeseriennummer: 5A53-E976
Verzeichnis von C:\Users\Public\Documents
25.08.2009 15:49
<DIR>
VORDEFINIERT\Administra.
25.08.2009 15:49
<DIR>
VORDEFINIERT\Administra..
02.08.2009 12:44
509 win7lap\jochenr-admin dir.txt
25.08.2009 15:49
685 win7lap\kind
dir2.txt
Listing 6.6
Anzeige des Besitzers mit DIR
Bei der Anzeige von DIR /Q steht nur eine begrenzte Anzahl von Zeichen fr die Anzeige zur Verfgung, lngere Benutzernamen werden
abschnitten.
In den erweiterten Eigenschaften des Sicherheitsdialogfeldes im Explorer
kann man auf der Registerkarte Besitzer sowohl den aktuellen Besitzer
festlegen als auch einen neuen bestimmen.
Abbildung 6.28
Besitzer anzeigen
und ndern
Durch Bettigung der Schaltflche Bearbeiten in Abbildung 6.28 gelangt man

nach einer UAC-Abfrage zu einem Dialogfeld, mit dem man einen anderen
Benutzer des Objektes festlegen kann. Dies geht natrlich nur, wenn der ausfhrende Benutzer selbst die Berechtigung Besitz bernehmen innehat.
Anzeigen der effektiven Berechtigungen

Insbesondere bei ausgefeilten Berechtigungskonzepten, die mit vielen, auch
ineinander verschachtelten, Gruppen arbeiten, ist es manchmal schwierig
nachvollziehbar, welche Berechtigungen ein Benutzer oder eine Gruppe am
Ende tatschlich hat. Hierbei hilft die Registerkarte Effektive Berechtigungen.
Zunchst navigiert man zum fraglichen Objekt, dessen Berechtigungen man
berprfen mchte, und ruft dann das Dialogfeld auf.
299

Abbildung 6.29
Anzeige der effektiven Berechtigungen
Wer darf was?
Durch Bettigung der Schaltflche Auswhlen selektiert man den interessierenden Benutzer oder die Gruppe und bekommt dann im Feld Effektive
Berechtigungen angezeigt, welche Berechtigungen der gewhlte Benutzer
bzw. die gewhlte Gruppe in Bezug auf das Objekt hat. Sofern bei einer
Berechtigung kein Haken angezeigt wird, erhlt man allerdings keine
Informationen darber, ob dies durch eine Verweigerung oder durch eine
fehlende Erlaubnis passiert ist.
6.3.4
NTFS-Berechtigungen auf der

Kommandozeile
Um NTFS-Berechtigungen auf der Kommandozeile zu kontrollieren und zu

bearbeiten, diente bis einschlielich Windows Server 2003 SP1 das Programm cacls.exe. Mit Windows Server 2003 SP2 wurde ein erweiterter Nachfolger vorgestellt, das Programm icacls.exe. Das alte Programm ist aber weiterhin in Windows 7 vorhanden, sodass alte Skripte, die Berechtigungen
setzen, weiterhin funktionieren. In diesem Buch wird es aber nicht behandelt, es sei hierzu auf die Online-Hilfe cacls.exe /? verwiesen.
Anzeige der Berechtigungen mit icacls.exe

Ruft man icacls.exe mit dem Namen einer Datei oder eines Verzeichnisses
auf der Kommandozeile auf, erhlt man eine Textdarstellung der aktuell
vergebenen Berechtigungen. Diese Funktion ist genauso wie in cacls.exe
implementiert. Nach Angabe des zu prfenden Objektes knnen noch
zustzliche Parameter angegeben werden:
/T Zeigt nicht nur das Objekt an, sondern auch in dem Objekt enthaltene Unterverzeichnisse.
/C Arbeitet auch nach Fehlern weiter. Normalerweise wird die Verarbeitung abgebrochen, sobald ein Objekt nicht bearbeitet werden
kann.
300

/Q Am Ende der Verarbeitung wird keine zusammenfassende Statis-
tik der Aktionen ausgegeben.

/L Es werden auch die Informationen aus symbolischen Verknp-
fungen ausgegeben.
Die Ausgabe von icacls.exe sieht dann wie folgt aus:
>icacls c:\storage /t /c
c:\storage VORDEFINIERT\Administratoren:(OI)(CI)(F)
NT-AUTORITT\SYSTEM:(OI)(CI)(F)
VORDEFINIERT\Benutzer:(S,RD,AD,X)
ERSTELLER-BESITZER:(OI)(CI)(IO)(F)
Listing 6.7
Ausgabe des Kommandos icacls.exe
c:\storage\aclfile.txt VORDEFINIERT\Administratoren:(I)(F)
NT-AUTORITT\SYSTEM:(I)(F)
c:\storage\kind VORDEFINIERT\Administratoren:(I)(OI)(CI)(F)
NT-AUTORITT\SYSTEM:(I)(OI)(CI)(F)
win7lap\kind:(I)(F)
ERSTELLER-BESITZER:(I)(OI)(CI)(IO)(F)
c:\storage\kind-1 VORDEFINIERT\Administratoren:(I)(OI)(CI)(F)
win7lap\kind:(I)(F)
...
c:\storage\kind\abc VORDEFINIERT\Administratoren:(I)(OI)(CI)(F)
win7lap\kind:(I)(F)
...
9 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein
Verarbeitungsfehler aufgetreten.
Beim Betrachten der Ausgabe in Listing 6.7 fallen zwei Dinge auf:
Bei der Verarbeitung der Baumstruktur durch die Option / T werden nach
dem Basiselement (c:\storage) zunchst alle Elemente der oberen Ebene
(c:\storage\aclfile.txt, c:\storage\kind, c:\storage\kind-1) bearbeitet, bevor
dann in die zweite Ebene (c:\storage\kind\abc) gewechselt wird.
Bei der Auflistung der Berechtigungen werden diese in folgender Reihenfolge angezeigt: die explizit zugewiesenen Verweigerungen, die
expliziten Berechtigungen, die erworbenen Verweigerungen und die
erworbenen Berechtigungen. Bei einer Berechtigung folgt zuerst der
Name des Sicherheitsobjektes, dann ein Doppelpunkt und dahinter
eine Folge von in Klammern eingeschlossenen Berechtigungsmasken.
Hier ein Beispiel fr Verweigerungen (Zeilen 2 und 4) und direkt zuge- Verweigerte
wiesene Berechtigungen (Zeilen 2 und 3) und ererbte Berechtigungen Erlaubnisse
(Zeilen 3 bis 6).
301

Listing 6.8
Vererbungen
und direkte
Zuweisungen
1 >icacls datei.txt
2 datei.txt win7lap\kind3:(DENY)(S,REA,RA)
3
win7lap\kind2:(S,RD,AD)
4
win7lap\kind3:(I)(DENY)(S,AD)
5
win7lap\jochenr-admin:(I)(F)
6
NT-AUTORITT\SYSTEM:(I)(F)
7
VORDEFINIERT\Administratoren:(I)(F)
Zeilen mit einem (I) kennzeichnen ererbte Berechtigungen (inherited), die

weiteren Klammern mit einem I kennzeichnen die Weise, wie diese vererbt werden:
(OI). Einstellung wird auf Objekte (Dateien) vererbt.
(CI) Einstellung wird auf Container (Verzeichnisse) vererbt.
(IO) Einstellung wird nicht auf das Objekt angewandt, sondern nur
vererbt (inherit only).
(NP) Einstellung wird nur auf das Objekt angewandt und nicht vererbt (no propagation).
Zeilen mit (DENY) kennzeichnen Verweigerungen. Die restlichen Klammerpaare beschreiben Berechtigungen, mehrere Berechtigungen knnen in
einem Klammerpaar durch Kommata getrennt zusammengefasst werden.
Die einzelnen Berechtigungen knnen sowohl einfache als auch erweiterte
Berechtigungen sein.
Tabelle 6.5
Attributbezeichnungen fr icacls.exe
302
Basisberechtigung
Lschen
AD
Ordner erstellen/Daten anhngen
Vollzugriff
AS
Systemsicherheitszugriff
ndern
DC
Unterordner und Dateien lschen
Kein Zugriff
DE
Lschen
Lesen
GA
Vollzugriff
RX
Lesen & Ausfhren
GE
Entspricht den erweiterten Berechtigungen RD, RA und RC
Schreiben
GR
Entspricht Basisberechtigung R
GW
Entspricht Basisberechtigung W
MA
Maximal zulssig
RA
Attribute lesen
RC
Berechtigungen Lesen
RD
Ordner auflisten/Daten lesen
REA
Erweiterte Attribute lesen
Synchronisieren
WA
Attribute schreiben
WD
Daten schreiben/Datei hinzufgen
WDAC
Berechtigungen schreiben
WEA
Erweiterte Attribute schreiben
WO
Besitz bernehmen
Ordner durchsuchen/Datei ausfhren
Die Berechtigung Synchronisieren hat nur Einfluss auf das Verhalten von
Multithreaded-Programmen auf entsprechenden Systemen mit mehreren
Prozessoren. Auf Dateien mit dieser Berechtigung knnen die Benutzer
mit Mitteln der Prozesssynchronisation zugreifen. Im Explorer wird dieses Attribut nicht angezeigt.
Die Attribute Systemsicherheitszugriff und Maximal zulssig knnen
zwar gesetzt werden, sind aber weder im Explorer noch bei der berprfung mit icacls.exe abrufbar. Ihre Funktion bleibt unklar. Generell ist
es nicht schn, dass die Online-Hilfe des Programms die Berechtigungen anders bezeichnet, als dies der Explorer in seinen Dialogfeldern tut.
Aktionen mit icacls.exe

Mit verschiedenen Aktionen lassen sich mittels icacls.exe die Berechtigungen einer oder mehrere Dateien und Verzeichnisse manipulieren. Die
genaue Syntax der Befehle knnen Sie der Online-Hilfe icacls.exe /? entnehmen.
/grant und /deny Mit den Optionen lassen sich Berechtigungen (/grant)
und Verweigerungen (/deny) zuweisen. Im Anschluss daran folgen der
Name eines Benutzers oder einer Gruppe, ein Doppelpunkt und die
betreffende Berechtigung. Das Format entspricht dem Format beim
Anzeigen der Berechtigungen.
/remove Das angefhrte Sicherheitsobjekt wird aus der ACL entfernt,
durch Hinzufgen von :g oder :d kann das Entfernen auf Erlaubnisse
oder Verweigerungen beschrnkt werden.
/save Die bestehenden ACL werden in eine Datei abgespeichert.
Zwei Dinge gilt es hierbei zu beachten:
Die Datei wird im Unicode-Format abgespeichert und kann deshalb auch nur mit einem entsprechen Unicode-geeigneten Editor
bearbeitet werden.
Die Sicherheitsobjekte werden mit ihrer SID dargestellt und nicht
mit ihrem Namen wie bei der Anzeige. Dies hat zur Folge, dass
diese Datei nicht so einfach auf anderen Computer importiert
werden kann.
Die Berechtigungen der in Listing 6.8 dargestellten Datei werden wie
folgt abgespeichert:
datei.txt
D:AI(D;;SWLO;;;S-1-5-21-2096581879-31003820493730528235-1004)(A;;0x100005;;;S-1-5-21-20965818793100382049-3730528235-1003)(D;ID;LC;;;S-1-5-212096581879-3100382049-3730528235-1004)(A;ID;FA;;;
S-1-5-21-2096581879-3100382049-37305282351000)(A;ID;FA;;;SY)(A;ID;FA;;;BA)
303
Dieses Format wird SDDL (Security Descriptor Definition Language)

genannt und an verschiedenen Stellen von Windows 7 verwandt. Eine
genaue Erklrung hierzu findet sich in [SDDL]. Ein Beispiel fr ihre
Anwendung ist die Datei %windir%\inf\defltbase.inf, mit der die Berechtigungen fr das Dateisystem und die Registrierungsdatenbank ber den
Befehl secedit.exe wieder auf den Installationszustand zurckgestellt werden knnen.
/restore Eine mit der Option /save erzeugte Datei mit Berechtigungen
wird wieder auf die Objekte angewandt. Durch den Parameter /substitute ist es mglich, bestimmte SID aus der Datei durch andere SID zu
ersetzen. Dies ist hilfreich, wenn man eine derartige Datei auf einem
anderen System oder einer anderen Installation einsetzen will.
/setowner Setzt den Besitzer einer Datei. Leider gibt es keine Option,
um den Besitzer anzuzeigen.
/findsid Die angegebenen Dateien werden nach einer Berechtigung
(gleich welcher Art) durchsucht, in der die angegebene SID enthalten
ist. Hierbei werden nur explizite Erwhnungen angezeigt. Eine
Berechtigung fr eine Gruppe, in der der angegebene Benutzer Mitglied ist, wird nicht angezeigt.
/reset Bei Dateien, deren Vererbung unterbrochen wurde, wird die
Vererbung wieder aktiviert.
/inheritance Fr Objekte kann kontrolliert werden, ob sie Eigenschaften vererbt bekommen sollen oder nicht. Zudem kann angegeben
werden, ob beim Verlust der Vererbung die bisherigen ACL kopiert
werden sollen.
/setintegritylevel Kontrolliert die Verbindlichkeitsstufe (Integrittsniveau) des Objektes. Dieses Konzept wird nher in Kapitel 13 erklrt.
/verify Dient zur berprfung der ACL auf mgliche Fehler in den
Verwaltungsstrukturen.
Andere Programme zur Anzeige und Manipulation von

Berechtigungen
Bedingt durch den grundlegenden Charakter der NTFS-Berechtigungen
existiert eine ganze Reihe von Programmen, mit denen diese bearbeitet
werden knnen.
Beim Programm xcopy.exe kann mit der Option /O erreicht werden, dass
die ACL und der Besitzer der zu kopierenden Dateien mit bertragen
werden. Ohne diese Option erhalten die kopierten Daten die Berechtigungen, die sie von ihrem Zielordner vererbt bekommen.
Aus der Sysinternals-Sammlung (siehe [SYS]) stammt das Programm
AccessChk, mit dem die Berechtigungen sowohl auf das Dateisystem als
auch auf die Registry oder Windows-Dienste angezeigt werden knnen.
304
AccessChk liefert einerseits eine kompaktere Darstellung als icacls.exe und

andererseits mehr Informationen als icacls.exe /findsid.
>accesschk.exe kind d*.txt
Accesschk v4.23 - Reports effective permissions for securable
objects
C:\Users\Public\Documents\dir.txt
RW C:\Users\Public\Documents\dir2.txt
Listing 6.9
AccessChk im
Einsatz
>accesschk.exe d*.txt
Accesschk v4.23 - Reports effective permissions for securable
objects
C:\Users\Public\Documents\dir.txt
Medium Mandatory Level (Default) [No-Write-Up]
RW VORDEFINIERT\Administratoren
RW win7lap\jochenr-admin
RW NT-AUTORITT\SYSTEM
RW NT-AUTORITT\INTERAKTIV
RW NT-AUTORITT\DIENST
RW NT-AUTORITT\BATCH
C:\Users\Public\Documents\dir2.txt
Medium Mandatory Level (Default) [No-Write-Up]
RW VORDEFINIERT\Administratoren
RW win7lap\kind
RW NT-AUTORITT\SYSTEM
RW NT-AUTORITT\INTERAKTIV
RW NT-AUTORITT\DIENST
RW NT-AUTORITT\BATCH
Der erste Aufruf des Befehls liefert Informationen ber die Berechtigungen des Benutzers kind auf alle Dateien, die durch die Dateimaske erfasst
werden. Der zweite Aufruf gibt alle definierten Zugriffsrechte auf die
Dateien aus.
6.3.5
Dateiattribute
Eine ganze Reihe von Dateiattributen existiert sowohl unter FAT als auch
unter NTFS. Die FAT-Attribute wurden bereits von den ersten DOS-Versionen untersttzt, die NTFS-Attribute kamen erst spter hinzu. Die folgende Tabelle listet diese Attribute auf.
305

Tabelle 6.6
Dateiattribute bei
FAT und NTFS
306
Attribut
FAT/NTFS
Bedeutung
Archiv
Beide
Sobald eine Datei gespeichert oder anderweitig

manipuliert wurde, wird automatisch dieses
Attribut gesetzt. Dies wird vorwiegend zur
Datensicherung verwendet, da Backup-Programme Dateien anhand dieses Attributes auswhlen knnen. Ein Beispiel hierfr sind die
Optionen /A und /M des Kommandos
xcopy.exe. Nhere Informationen hierzu in
Kapitel 15.
Schreibgeschtzt
Beide
Dateien mit diesem Attribut werden von normalen Systemfunktionen nicht zum Schreiben
geffnet oder gelscht. Auf diese Weise kann
selbst auf FAT ein gewisser Schutz vor ungewollten Vernderungen vorgenommen werden. Dieses Attribut hat keine Relevanz fr
Verzeichnisse.
Versteckt
Beide
Dateien und Verzeichnisse mit diesem Attribut

werden normalerweise vom Kommando DIR,
von Anwendungsprogrammen oder dem
Explorer nicht angezeigt. Im Explorer und in
dem Dateiauswahldialogfeld von Anwendungsprogrammen knnen diese Dateien ber
die Einstellung Organisieren/Ordner- und Suchoptionen/Ansicht/Versteckte Dateien und Ordner/Ausgeblendete anzeigen sichtbar gemacht
werden, fr das Kommando DIR hilft der Parameter /A:H. Das Kommando xcopy.exe kopiert
auch versteckte Dateien mit dem Parameter /H.
System
Beide
Dateien mit diesem Attribut werden als Systemdateien angesehen und auch normalerweise nicht angezeigt. Zudem werden
bestimmte Aktionen aus Sicherheitsgrnden
nicht fr derartige Dateien durchgefhrt (zum
Beispiel Defragmentierung). Das Kommando
DIR muss mit dem Parameter /A:S versehen
werden, um diese Dateien anzuzeigen, das
Kommando xcopy.exe mit dem Parameter /H,
um die Dateien zu kopieren.
Indizierbar
NTFS
Windows 7 arbeitet standardmig mit der

integrierten Desktop-Suche. Bei einer Datei mit
diesem Attribut werden nicht nur die Verwaltungsinformationen wie etwa der Name in den
Index aufgenommen, sondern zustzlich auch
der Inhalt. Besitzt ein Verzeichnis dieses Attribut, so wird es auf alle neu in dem Verzeichnis
angelegten Dateien vererbt.
Attribut
FAT/NTFS
Bedeutung
Komprimiert
NTFS
Die Datei wird transparent komprimiert, sodass

Anwendungen, die die Datei ffnen wollen,
selber keine eigenen Routinen fr die Komprimierung enthalten mssen.
Verschlsselt NTFS
Die Datei wird mit Zertifikaten verschlsselt,

nheres zu diesem Thema in Kapitel 13. Die beiden Attribute Komprimiert und Verschlsselt
knnen nicht zusammen verwendet werden.
Abbildung 6.30
Dateiattribute bei
NTFS (links) und
FAT (rechts)
Abbildung 6.31
Erweiterte Dateiattribute bei NTFS
In den Eigenschaften einer Datei knnen die Attribute (mit Ausnahme Der Explorer
von System) berprft werden, die erweiterten Attribute bei NTFS-Daten- kann auch mehr
trgern durch Bettigen der Schaltflche Erweitert. Die Anzeige im Explorer kann man um die Darstellung der Attributinformationen erweitern.
Klicken Sie hierzu mit der rechten Maustaste in einen der Spaltenkpfe
der Explorer-Anzeige. Dort whlen Sie den Befehl Weitere aus und aktivieren im Dialogfeld das Kontrollkstchen Attribute.
307

Abbildung 6.32
Erweitern der
Anzeige im Explorer
Die Attribute werden dann als einzelne Buchstaben hinter den restlichen
Angaben angezeigt, das Attribut Schreibgeschtzt durch den Buchstaben R
fr Read only. Ein Buchstabe D bedeutet, dass der Eintrag ein Verzeichnis
(Directory) ist.
Abbildung 6.33
Attribute im
Explorer
Attribute auf der Kommandozeile

Mit dem Befehl attrib.exe knnen die Dateiattribute sowohl berprft als
auch manipuliert werden. Beim Aufruf mit einer Dateimaske als Parameter
werden alle Dateien angezeigt, die auf die Dateimaske passen, und vor
dem Dateinamen die jeweiligen Attribute der Dateien. Das Attribut I kennzeichnet allerdings Dateien, die nicht indiziert werden, die Anzeige ist also
genau anders als im Explorer-Fenster von Abbildung 6.31. Durch Ergnzung des Parameters /S zu dem Kommando werden auch alle Dateien in
Unterverzeichnissen angezeigt. Wird zustzlich noch der Parameter /D
angegeben, werden auch die Attribute der gefundenen Verzeichnisse aufgefhrt.
308
attrib *.txt
A
I
S:\Neues Textdokument.txt
.
S:\test.txt
A
S:\test1.txt
A H
S:\test2.txt
A S
S:\test3.txt
Eine Sonderbehandlung existiert fr Verknpfungen, siehe hierzu den

Abschnitt 6.6.4 ab Seite 329.
Einzelne Attribute knnen durch Voranstellen des jeweiligen Buchsta- Attribute plus
bens zusammen mit einem Plus- oder Minuszeichen gesetzt beziehungs- und minus
weise gelscht werden, die Attribute knnen dabei auch kombiniert werden. Der Befehl
attrib.exe +s h *.txt
setzt also fr alle Textdateien im aktuellen Verzeichnis das System- und

lscht das Verborgen-Attribut.
6.4
Beim Formatieren des Datentrgers kann die Gre eines Clusters konfi- Groe Platten
guriert werden, standardmig verwendet Windows folgende Cluster- stckchenweise
gren in Abhngigkeit von der Gesamtkapazitt des Datentrgers:
Gesamtgre
Clustergre
Bis 512 MB
512 Byte
Zwischen 512 MB und 1 GB
1 KByte
Zwischen 1 GB und 2 GB
2 KByte
Grer als 2 GB
4 KByte
Tabelle 6.7
Abhngigkeit zwischen Datentrgergre und
Clustergre bei
NTFS
Die maximale Gre eines Clusters betrgt 64 KByte sowohl fr FAT als
auch NTFS, hier gelten allerdings zwei Einschrnkungen:
Bestimmte Programme knnen bei einer Clustergre von 64 KByte
den freien Platz auf einer Platte nicht mehr korrekt berechnen, dies
betrifft insbesondere ltere Setup-Programme.
Die transparente Komprimierung von Dateien kann bei NTFS nur bis
zu einer Clustergre von 4 KByte durchgefhrt werden, bei Platten
mit einer greren Clustergre steht die Mglichkeit der Komprimierung nicht mehr zur Verfgung.
Bei der Wahl der Clustergre muss man immer eine Abwgung treffen
zwischen hohem Verwaltungsaufwand durch eine Vielzahl kleiner Cluster
und hoher Verschwendung durch nur unzureichend mit Daten gefllten
groen Clustern. Man sollte also immer bedenken, welchen Einsatzzweck
das Laufwerk spter erfllen soll. Generell ist es ungnstig, auf einem
Datentrger sowohl sehr kleine als auch sehr groe Dateien zu mischen.
309
Es ist nicht mglich, die Clustergre eines Datentrgers nachtrglich

zu ndern. Hierfr mssen alle Daten zunchst gesichert, das Laufwerk danach formatiert und die Daten restauriert werden.
6.5
Konfiguration von Laufwerken

in der GUI
Starten Sie nun die Datentrgerverwaltung ber Systemsteuerung/System

und Sicherheit/Verwaltung/Datentrgerverwaltung, oder geben Sie im Suchfeld des Startmens Partition ein und whlen den Eintrag Festplattenpartitionen erstellen und Formatieren aus. Mit der Datentrgerverwaltung lassen
sich optische Wechselmedien (CD/DVD), Festplatten, USB-Laufwerke und
-Speicher sowie virtuelle Datentrger wie VHD und iSCSI verwalten. Der
Aufruf der Anwendung ist nur administrativen Benutzern nach UACAbfrage gestattet.
Abbildung 6.34
Datentrgerverwaltung
Ein Anwendung,
zwei Teile
310
Der Bildschirm der Anwendung (siehe Abbildung 6.34) ist horizontal in

zwei Teile geteilt, fr beide Teile lsst sich ber die Menfunktion Ansicht/
Anzeige oben beziehungsweise Ansicht/Anzeige unten bestimmen, welche
Daten dort angezeigt werden. Standardmig wird oben die Volumenliste
und unten die Grafische Ansicht dargestellt. Die Trennlinie zwischen den
beiden Bereichen lsst sich mit der Maus verschieben.
In der Volumenliste erscheint eine Auflistung aller aktuell vom System

erkannten Laufwerksbuchstaben samt einiger Verwaltungsinformationen
ber das Laufwerk wie Gesamtgre oder Gre des freien Speichers. Hier
erkennt man auch den Typ des verwendeten Dateisystems (FAT oder NTFS,
RAW bedeutet, dass der Datentrger noch nicht formatiert wurde) sowie ob
es sich um einen Basisdatentrger oder einen dynamischen Datentrger handelt (siehe den Abschnitt 6.2.2 ab Seite 275).
In der grafischen Ansicht sind alle aktuell erkannten Datentrger aufgelistet. In der linken Spalte findet man den Typ (erkannt werden CD/DVD,
Basis, Dynamisch oder Wechseldatentrger) sowie die Gre des Datentrgers. In der rechten Spalte findet man fr jeden Datentrger eine grafische
Darstellung der auf dem Datentrger vorhandenen Partitionen beziehungsweise Volumes. Die Gre der dargestellten Bereiche ist in der Standardansicht weder innerhalb eines Datentrgers noch zwischen unterschiedlichen Datentrgern direkt vergleichbar. In der Abbildung 6.34 ist
beispielsweise der Datentrger 2 mit einer Gesamtgre von 224 MB halb
so gro dargestellt wie Datentrger 1, der etwa zehnmal so gro ist.
Diese Darstellung kann man ber die Funktion Ansicht/Einstellungen/
Skalierung anpassen, im Normalfall ist hier jeweils eine logarithmische
Skalierung sowohl fr die Datentrger als auch fr die Datentrgerbereiche (Partitionen und Volumes) eingestellt. Insbesondere bei sehr
groen Unterschieden zwischen den einzelnen dargestellten Elementen ist die lineare Skalierung extrem unpraktisch.
In der Statusleiste am unteren Rand der Anwendung findet sich eine Erklrung zu den einzelnen, in verschiedenen Farben dargestellten Datentrgerbereichen. Diese Zuordnung kann ber Ansicht/Einstellungen/Darstellung
abgendert werden.
6.5.1
Aktionen auf der Ebene der Datentrger
Sobald ein Datentrger neu in das System integriert wird oder komplett
gelscht wurde, wird er mit dem Status Unbekannt und Nicht initialisiert
angezeigt. Entweder durch Klick mit der rechten Maustaste auf den Datentrger in der linken Spalte oder durch Selektierung des Datentrgers und
Auswahl der Menfunktion Aktion/Alle Aufgaben muss nun zunchst die
Aktion Datentrgerinitialisierung ausgefhrt werden. Bei dieser wird eine
Signatur auf die Platte geschrieben, mit dieser merkt Windows, dass die
Platte nicht mehr vllig leer ist. Gleichzeitig wird dabei auch festgelegt, ob
die Platte im MBR- oder im GPT-Format angelegt werden soll (siehe den
Abschnitt 6.2.1 ab Seite 273).
311

Abbildung 6.35
Auswahl des Partitionsformates
Fertig zum
Speichern!
Sobald dieser Vorgang abgeschlossen ist, wechselt der Status des Datentrgers auf Basis und Online. Im gleichen Men finden sich nun die Funktionen Zu GPT-Datentrger konvertieren und Zu MBR-Datentrger konvertieren, wobei Letzterer nur ausfhrbar ist, wenn der Datentrger leer ist.
Ebenso sind hier auch die Funktionen In einen Basisdatentrger konvertieren
und In dynamischen Datentrger konvertieren zu finden (siehe den Abschnitt
6.2.2 ab Seite 275). Fr Wechseldatentrger (USB-Stick) sind diese Partitionierungsoptionen nicht verfgbar, da auf diesen keine Partitionen
angelegt werden, dies geht nur mit speziellen Programmen.
Fr Wechseldatentrger wird die Funktion Auswerfen angeboten. Diese
bildet die gleiche Funktion wie das Auswerfen-Symbol im Systemtray.
Bei einer virtuellen Festplatte (siehe den Abschnitt 6.1.3 ab Seite 272) gibt
es die Funktion Virtuelle Festplatte trennen. Diese gibt zustzlich auch
die Mglichkeit, die Datei, auf der der virtuelle Datentrger beruht, zu
lschen.
Sofern ein Datentrger mit dem Status Fremd angezeigt wird, ist dies ein
Datentrger, der zuvor von einem anderen System verwendet wurde.
Dieser muss zunchst ber die Menfunktion Fremde Datentrger importieren dem System bekannt gemacht werden. Der Inhalt des Datentrgers
wird Ihnen zuvor noch zur Besttigung angezeigt. Nach erfolgreichem
Import steht der Datentrger dann zur Verwendung bereit. Sofern auf
dem importierten Datentrger ein unformatierter Datentrgerbereich zu
finden ist, werden Sie gefragt, ob Sie diesen formatieren mchten.
Abbildung 6.36
Import besttigen
312
6.5.2
Verwalten von Datentrgerbereichen
Bei den Datentrgerbereichen muss man unterscheiden zwischen den Erst Platz
bereits existierenden Teilen und den noch nicht belegten, freien Bereichen belegen
(als Nicht zugeordnet gekennzeichnet). Fr jeden Bereich sind entsprechend
unterschiedliche Aktionen mglich.
Neuen Datentrgerbereich erstellen

Beim Erstellen eines neuen Datentrgers bietet die Datentrgerverwaltung
anders als frher FDISK oder jetzt diskpart.exe nur eine sehr eingeschrnkte
Mglichkeit, genau zu spezifizieren, welcher Typ von Datentrger angelegt
werden soll. Generell werden immer drei Schritte nacheinander durchgefhrt:
1. Angabe der Gre des gewnschten Bereiches, diese kann entsprechend maximal der Gre des unbelegten Speicherplatzes entsprechen
2. Festlegung, wie der Bereich angesprochen werden soll. Hier kann angegeben werden, ob der Partition ein eigener Laufwerksbuchstabe zugewiesen sein oder ob der Datentrger anstelle eines bereits bestehenden
Unterverzeichnisses verwendet werden soll. Die Option, weder Laufwerksbuchstabe noch Pfad zuzuweisen, ist eher fr diejenigen interessant, die einen Speicherbereich fr ein anderes Betriebssystem einrichten wollen.
3. Angabe des Dateisystems, falls der Datentrger formatiert werden soll.
Hierbei knnen der Typ des Dateisystems (FAT oder NTFS), die Gre
der Zuordnungseinheit (Cluster) und eine Volumenbezeichnung angegeben werden. Die Option Schnellformatierung durchfhren bedeutet
hierbei, dass nicht der komplette Platz des neuen Laufwerks initial mit
einem Startwert berschrieben wird, sondern nur ausgewhlte Bereiche. Dieses berschreiben insbesondere bei sehr groen Datentrgern
kann enorm Zeit kosten. Die Option Komprimierung aktivieren bedeutet
nicht, dass nur damit eine Komprimierung der Inhalte mglich wre.
Bei Aktivierung der Option werden automatisch alle Dateien und Ordner, die auf der Platte neu angelegt werden, komprimiert abgelegt.
Geeignet ist dies beispielsweise fr Archivierungsfestplatten, auf die
eher selten zugegriffen wird.
Prinzipiell werden vier unterschiedliche Aktionen angeboten, wenn in

einem freien Bereich die rechte Maustaste geklickt oder die Menfunktion Aktion/Alle Aufgaben ausgewhlt wird. Folgende Aktionen sind bei
der Anlage eines neuen Datentrgers durchfhrbar:
Neues einfaches Volume
Ein einfaches Volume ist eine Partition oder ein Volume, das allein fr
sich den kompletten Datentrger bildet. Auf einen Basisdatentrger
werden zunchst maximal drei primre Partitionen angelegt, bevor
die vierte mgliche Partition in eine neue erweiterte Partition angelegt wird. Hierdurch kann es zu unerwnschten Effekten kommen, in
diesem Fall sollte man die Partitionierung ber diskpart.exe vornehmen, weil dort eine genauere Kontrolle ber die Art der erstellen Partitionen mglich ist. Auf dynamischen Datentrgern besteht dieses
313
Problem nicht, da dort keine Unterscheidung zwischen primren und

erweiterten Partitionen besteht.
Neues bergreifendes Volume
Ein bergreifendes Volumen ist ein Datenbereich, der auf mehr als einem
Datentrger verteilt angelegt wird. Anders als beim Stripeset mssen
diese Bereiche nicht von identischer Gre sein. Dieser Typ kann nur auf
einem dynamischen Datentrger angelegt werden, beim Versuch, diesen
Typ auf einem Basisdatentrger anzulegen, erhlt man die Aufforderung, diesen zum Typ dynamisch umzustellen. Beim Anlegen muss man
mindestens zwei Datentrger angeben, auf denen das Volume angelegt
wird. In einem Auswahldialogfeld (siehe Abbildung 6.37) werden de
mglichen Datentrger angezeigt, die man mit der Schaltflche Hinzufgen > zum neuen Datentrger hinzufgen kann. Die im rechten Teil des
Dialogfeldes hinter dem Datentrgernamen angegebene Zahl bezeichnet
die Gre des auf diesem Datentrger angelegten Teils des Gesamtdatentrgers. Selektieren Sie oben den Datentrger, und verndern Sie unten
die Grenangabe.
Abbildung 6.37
Anlage eines bergreifenden Volumes
Neues Stripesetvolume
Auch Stripesets knnen nur auf dynamischen Datentrgern angelegt

werden. Das Dialogfeld ist identisch mit dem aus Abbildung 6.37, allerdings kann man hier die Gre der beiden Bereiche auf dem Datentrger nicht individuell einrichten, bedingt durch die Konstruktion eines
Stripesets mssen beide jeweils die gleiche Gre haben.
Neues gespiegeltes Volume
Auch gespiegelte Volumen knnen nur auf dynamischen Datentrgern
angelegt werden. Das Dialogfeld ist identisch mit dem aus Abbildung
6.37, die maximale Gre des gespiegelten Volumens bestimmt sich aus
der Gre des kleineren der freien Bereiche auf dem Datentrger.
314
Freie Bereiche auf einem Datentrger werden automatisch mit sich

anschlieenden freien Bereichen zusammengelegt. Eine Funktion, um
ein zwischen zwei freien Bereichen liegendes Volume an den Anfang
oder das Ende eines solchen Bereiches zu verschieben, existiert nicht.
Hier bleibt nur der Weg ber ein Sichern und Wiederherstellen der
Daten, whrend zwischenzeitlich die Partition komplett neu angelegt
wird, oder der Einsatz von speziellen Programmen zur Partitionsmanipulation wie etwa Partition Manager der Firma Paragon Software.
Bestehende Datentrgerbereiche manipulieren

Nach Auswahl eines bereits bestehenden Datentrgers lassen sich im
Kontextmen oder im Men ber Aktion/Alle Aufgaben verschiedene
Aktionen auslsen.
ffnen und Durchsuchen Diese beiden Aktionen starten direkt auf
dem ausgewhlten Laufwerk einen Explorer beziehungsweise seine
Suchfunktion darauf. Diese Funktionen werden dann aber nicht mehr
wie die Datentrgerverwaltung durch einen Prozess mit hoher Verbindlichkeit ausgefhrt.
Partition als aktiv markieren Diese Funktion steht nur auf MBR-Datentrgern zur Verfgung. Hier hat maximal eine Partition pro Datentrger die Eigenschaft Aktiv, diese wird beim Systemstart dann verwendet,
um das Betriebssystem zu laden. Beim Wechsel von einer Partition auf
eine andere erhlt man eine Warnmeldung, in der darauf hingewiesen
wird, dass auf der Partition, die man als aktiv kennzeichnen mchte,
ein Betriebssystem vorhanden sein muss.
Laufwerksbuchstaben und -pfade ndern Mit dieser Aktion kann der
Name verndert werden, unter dem der Datentrgerbereich im Dateisystem angesprochen wird. Erstaunlicherweise kann ein Datentrger
unter verschiedenen Verzeichnisnamen gleichzeitig erreicht werden,
jedoch nur unter einem Laufwerksbuchstaben.
Abbildung 6.38
Laufwerksbuchstabe
oder -pfad zuweisen
Formatieren Hiermit kann ein Bereich mit einem neuen Dateisystem
versehen werden. Man hat hierbei die Auswahl zwischen NTFS, FAT
und FAT32. Bei einer derartigen Formatierung gehen alle Daten auf
dem Volume verloren, deshalb ist diese Option nicht fr den Systemdatentrger verfgbar.
315

Volume erweitern und Volume verkleinern Hiermit lsst sich die Gre
eines Datentrgerbereiches verndern. Beim Verkleinern ist dabei zu

bedenken, dass ein Datentrger nur so weit verkleinert werden kann,
wie sich ein freier, unbenutzter Bereich am Ende des Datentrgers
befindet. Diese Funktion ist nicht in der Lage, von sich aus die vorhandenen Dateien auf andere Bereiche der Platte zu verschieben. Bei
einem alten, schon lnger in Gebrauch befindlichen Volume lsst sich
deshalb meist nur wenig Platz gewinnen.
Abbildung 6.39
Kleiner geht's nicht.
Wie in der Abbildung 6.39 erkennbar, lassen sich nach Abschluss der
Aktion Informationen ber sie in der Ereignisanzeige nachsehen, insbesondere kann man hier Informationen erhalten, welche Dateien
einer weiteren Verkleinerung im Wege stehen.
Protokollname: Application
Quelle:
Microsoft-Windows-Defrag
Datum:
29.08.2009 19:23:42
Ereignis-ID: 259
Aufgabenkategorie:Keine
Ebene:
Informationen
Schlsselwrter:Klassisch
Benutzer:
Nicht zutreffend
Computer:
win7.contoso.com
Beschreibung:
Fr das Volume "VOLUME (H:, S:\temp3)" wurde eine
Volumeverkleinerungsanalyse initiiert. Dieser
Ereignisprotokolleintrag enthlt ausfhrliche
Informationen zur letzten nicht verschiebbaren
Datei, von der mglicherweise die maximale Menge
freigebbarer Bytes beschrnkt wird.
Diagnosedetails:
- Wahrscheinlich letzte nicht verschiebbare Datei:
"\$BitMap::$DATA"
- Nicht verschiebbarer Cluster der Datei: "0x5b4f"
- Potenzielles Verkleinerungsziel (LCN-Adresse):
"0x89e7"
- NTFS-Dateikennzeichen: "-S--D"
- Verkleinerungsphase: "<analysis>"
316
Ausfhrlichere Informationen zu dieser Datei

erhalten Sie durch Ausfhren des Befehls "fsutil
volume querycluster \\?\Volume{b3a9ee4d-7307-4d70-91e1162cbfd69d14} 0x5b4f".
Die hier erwhnte Datei \$BitMap::$DATA gehrt zu den Systemdateien eines NTFS-Dateisystems und lsst sich schwerlich manipulieren.
Volume lschen Diese Aktion versteht sich von selbst. Zu beachten ist
hierbei, dass sie sich nicht auf dem Systemlaufwerk ausfhren lsst.
Eigenschaften Erlaubt den Zugriff auf die Laufwerkseigenschaften.
Den gleichen Zugriff erhlt man, wenn man ber Start/Computer die
Eigenschaften der Laufwerke aufruft.
Weitere Aktionen
Im Men Aktion existieren noch weitere Funktionen, die sich auf das System
als Ganzes auswirken. Mit Aktualisieren wird einfach die Anzeige erneuert,
etwa wenn sich durch Netzwerkzugriffe der Belegungsstand einer Festplatte
gendert hat. Diese Funktion kann auch ber die Taste (F5) ausgelst werden. Mit Datentrger neu einlesen kann man eine erneute Hardwareerkennung der angeschlossenen Datentrger erzwingen, etwa wenn ein Datentrger sich im Status Unlesbar befindet.
Die Aktionen Virtuelle Festplatte erstellen und Virtuelle Festplatte anfgen

dienen dem Umgang mit virtuellen Datentrgern; sie wurden bereits in
Abschnitt 6.1.3 behandelt.
6.6
Datentrgerverwaltung auf der

Kommandozeile
Die Verwaltung der Datentrger in der grafischen Darstellung ist zwar

intuitiv, und man kann schnell einen berblick bekommen, aber sobald
man bestimmte Aktionen in ein Skript packen will (etwa um identische
Einstellungen auf mehreren Systemen zu erhalten), whlt man besser die
Kommandozeile fr seine Ttigkeit aus.
6.6.1
Diskpart FDISK und mehr in neuer

Verpackung
Mit dem Erscheinen der ersten DOS-Version, die Festplatten untersttzte,

wurde auch das Programm fdisk,exe eingefhrt, das die Verwaltung von
Partitionen auf einem sehr elementaren Niveau ermglichte. Wesentlich
mehr als Partitionen anzuzeigen, anzulegen und zu lschen war damit
nicht mglich. Mit Windows NT wurde dann mit dem Festplattenmanager
eine grafische Ausgestaltung des Verwaltungswerkzeugs eingefhrt.
Dessen Mglichkeiten wurden bei Windows 2000 noch erweitert, aber
317
gleichzeitig wurde auch wieder ein nicht grafisches Tool eingefhrt zur
Verwaltung: diskpart.exe. Ein grafisches Tool ist gut fr die interaktive Verwendung, jedoch eher ungeeignet, wenn es darum geht, auf mehreren
Systemen reproduzierbare Aktionsfolgen durchzufhren.
Fr diesen Zweck wurde diskpart.exe geschaffen. Neben einer Verwendung
als interaktives Programm auf der Kommandozeile kann man es auch
zusammen mit einer Skriptdatei aufrufen, um komplexe Operationen automatisch ausfhren zu lassen. In einer solchen Skriptdatei sind die gleichen
Kommandos enthalten, wie man sie auch auf der Eingabeaufforderung
angeben wrde. Hier ist es also mglich, zunchst an einem Prototypen die
Kommandofolgen zu testen, um diese spter dann 1:1 in die Skriptdatei zu
bernehmen.
Bedingt durch die Funktion des Programms muss beim Start zunchst
eine UAC-Abfrage besttigt werden; wurde das Programm von der
Kommandozeile aus aufgerufen, luft es danach in einem eigenen
Kommandofenster.
Wo ist der Fokus?

Um die Aktionen von Diskpart zu verstehen, muss man das Konzept der
Applikation betrachten. Intern fhrt sie einen Zeiger auf das jeweilige aktuelle Element. Diesen Fokus kann man mit dem Kommando select auf ein
anderes Element verschieben. Es gibt jeweils einen aktuellen Datentrger
(disk), eine aktuelle Partition und so weiter. Wird mittels select der Datentrger gewechselt, so ist danach zunchst keine Partition mehr aktuell und
muss neu mit select ausgewhlt werden. Ein kleines Beispiel mge dies verdeutlichen. Die Zeilen mit DISKPART> am Anfang kennzeichnen die
jeweils eingegebenen Befehle.
Listing 6.10
Fokuswechsel bei
diskpart.exe
318
Microsoft DiskPart-Version 6.1.7100

Copyright (C) 1999-2008 Microsoft Corporation.
Auf Computer: WIN7
DISKPART> list disk
Datentrger ### Status
Gre
Frei
Dyn GPT
-------- ------------- ------- ------- --- --Datentrger 0
Online
23 GB
0 B
Datentrger 1
Online
24 GB
0 B
Datentrger 2
Online
100 MB 1984 KB
DISKPART> select disk 0
Datentrger 0 ist jetzt der gewhlte Datentrger.
DISKPART> list partition
Partition ### Typ
Gre
Offset
------------- ---------------- ------- ------Partition 1
Primr
2048 MB 1024 KB
Partition 2
Primr
100 MB 2049 MB
Partition 3
Primr
21 GB 2149 MB
DISKPART> select partition 3
Partition 3 ist jetzt die gewhlte Partition.
DISKPART> detail partition

Partition 3
Typ
: 07
Versteckt: Nein
Aktiv
: Nein
Offset in Byte: 2253389824
Volume ###
Bst Bezeichnung DS
Typ
Gre
Status
Info
---------- --- ----------- ----- ---------- --------------- -------* Volume 3
C SysDrive
NTFS Partition
21 GB
Fehlerfre Startpar
DISKPART> select disk 1
Datentrger 1 ist jetzt der gewhlte Datentrger.
DISKPART> detail partition
Es wurde keine Partition ausgewhlt.
Whlen Sie eine Partition, und wiederholen Sie den Vorgang.
Es werden folgende Kommandos nacheinander ausgefhrt:

Befehl
Bedeutung
list disk
Es wird die Liste aller dem System bekannten Datentrger ausgegeben.
select disk 0
Der erste Datentrger (= Index 0) wird selektiert.
list partition
Es wird die Liste der Partitionen auf dem aktuell selektierten Datentrger ausgegeben.
select partition 3
Der Fokus wird auf die Partition 3 gesetzt.
detail partition
Es werden Detailinformationen ber die aktuelle Partition ausgegeben. Beachten Sie hierbei, dass bei dem
Befehl nicht angegeben wird, von welcher Partition
man die Daten erhalten will. Dies wurde durch den
vorhergehenden select-Befehl bereits festgelegt.
select disc 1
Der Fokus wird auf den Datentrger 1 verschoben.
detail partition
Es erfolgt eine Fehlermeldung, weil mit dem Fokuswechsel auf einen anderen Datentrger zunchst
keine Partition mehr aktuell ist.
Tabelle 6.8
Kommandofolge in
diskpart.exe
Sofern diskpart.exe bei Eingabe eines Befehls noch weitere Eingaben erwartet, gibt es eine bersicht der mglichen Ergnzungen aus. Die Eingabe des
Kommandos help vor den auszufhrenden Befehl gibt eine lngere Erklrung zu dem Befehl und seinen mglichen Ausgaben aus.
Die wichtigsten Befehle

Die wichtigsten und am hufigsten gebrauchten Befehle von diskpart.exe
sind:
SELECT DISK Dient zur Auswahl eines Datentrgers. Wird gefolgt
von der Angabe, welcher Datentrger selektiert werden soll. Zudem
kann mit der Angabe SYSTEM der Datentrger ausgewhlt werden,
auf dem Startdateien liegen. Mit der Angabe NEXT wird der nchste
319
320
mgliche Datentrger ausgewhlt. Wird keine Angabe ber das Ziel

gettigt, wird der aktuelle Datentrger ausgegeben.
SELECT PARTITION Dient zur Auswahl einer Partition auf dem
gerade aktuellen Datentrger. Whrend der Parameter disk ab 0 gezhlt
wird, beginnt die Zhlung von partition bei 1, eine Angabe von NEXT
ist nicht mglich.
SELECT VOLUME Dient zur Auswahl eines Volumes auf einem
Datentrger. Ist der aktuelle Datentrger ein Basisdatentrger, so wird
automatisch auch der entsprechende Datentrger und die Partition
selektiert. Die Angabe, welche Partition zu selektieren sei, kann ber
eine Nummer oder den Laufwerksbuchstabens erfolgen.
SELECT VDISK Selektiert eine virtuelle Festplatte, zur Auswahl
muss zustzlich noch die Angabe FILE=Pfad zur vhd-Datei erfolgen.
LIST Bentigt als Parameter noch die Angabe, welcher Typ aufgelistet werden soll, mglich sind die Auflistungen DISK, PARTITION,
VOLUME und VDISK. Fr die Auflistung der Partitionen muss zuvor
ein Datentrger ausgewhlt sein. In der Auflistung wird das jeweils
aktuelle Element mit einem * in der ersten Spalte ausgezeichnet.
DETAIL Bentigt als Parameter noch die Angabe, welche Detailinformation angezeigt werden soll, mglich sind die Auflistungen disk,
partition, volume und vdisk. Zuvor muss mittels select das entsprechende Objekt ausgewhlt werden.
CREATE PARTITION Kann eine Vielzahl von Partitionstypen anlegen, insbesondere knnen die fr MBR-Datentrger mglichen Partitionstypen PRIMARY, EXTENDED und LOGICAL explizit ausgewhlt
werden, was bei Verwendung der Datentrgerverwaltung nicht mglich ist. Auer der Gre der zu erstellenden Partition kann auch angegeben werden, wo sie auf der Platte angelegt werden soll. Eine
detaillierte Erklrung der Parameter liefert der Befehl help create partition primary. Dieser Befehl arbeitet nur auf Basisdatentrgern.
CREATE VOLUME Legt auer einfachen Datentrgern auch Stripeund Spiegeldatenstze an (siehe den Abschnitt 6.2.3 ab Seite 276). Die
Option RAID wird zwar in der Hilfe angezeigt, ist jedoch unter Windows 7 nicht implementiert. Dieser Befehl arbeitet nur auf dynamischen Datentrgern.
CREATE VDISK Dient zum Anlegen einer virtuellen Festplatte (siehe
den Abschnitt 6.1.3 ab Seite 272). Gegenber der grafischen Oberflche
knnen hier deutlich mehr Optionen eingestellt werden.
ATTACH VDISK Eine vorher per select vdisk ausgewhlte .vhd-Datei
wird in das System integriert.
DETACH VDISK Eine vorher per select vdisk ausgewhlte .vhd-Datei
wird aus dem System wieder entfernt. Die in der GUI angebotene Mglichkeit, die entsprechende .vhd-Datei zu lschen, existiert hier nicht.
CONVERT Wandelt ber die Optionen MBR oder GPT den ausgewhlten Datentrger in den Partitionstabellentyp MBR oder GPT um.
Mit den Optionen BASIC und DYNAMIC wird der Datentrger ent-
sprechend in den jeweiligen Typ umgewandelt, sofern mglich. Gleichzeitig wird ein bislang nicht initialisierter Datentrger initialisiert.
IMPORT Datentrger, die ursprnglich aus einem anderen Computersystem stammen, werden zunchst nicht erkannt, sie werden bei
der Anzeige von LIST DISK mit dem Status fremd angezeigt. Mit dem
Befehl IMPORT werden diese Datentrger ins System eingebunden.
CLEAN Der aktuelle Datentrger wird gelscht, selbst wenn sich noch
Partitionen oder Volumes darauf befinden. Zudem wird das erste und
letzte MB des Datentrgerbereiches mit Nullen berschrieben, um die
vorhandenen Partitionsinformationen komplett zu lschen. Wird
zustzlich der Parameter ALL bergeben, so werden auch die restlichen
Datenbereiche berschrieben. Dies verhindert recht sicher eine Wiederherstellung von Daten, kann aber bei greren Datentrgern entsprechend lange dauern.
FILESYS Gibt Informationen ber das in der aktuellen Partition verwendete Dateisystem und die auf dieser Partition mglichen Dateisysteme an.
DELETE Lscht das jeweils aktuelle angegebene Objekt DISK, PARTITION oder VOLUME, sofern es gerade nicht verwendet wird. Mit
dem zustzlichen Parameter OVERRIDE kann das Lschen erzwungen werden.
ASSIGN LETTER Dem aktuell gewhlten Volume wird ein Laufwerksbuchstabe zugewiesen.
EXIT Beendet das Programm.
REM Dient in Skriptdateien zur Kommentierung.
Die Kommandos und Parameter kann man in vielen Fllen auf drei
Buchstaben krzen, insbesondere bei der Gestaltung von Skriptdateien sollte man aber die Kommandos ausschreiben, um die Lesbarkeit
zu erhhen.
Sofern man das Kommando mit dem Parameter /s und einem Dateinamen aufruft, liest diskpart.exe die Kommandos aus der Datei ein und beendet sich danach von selbst.
CREATE VDISK FILE=S:\myvdisk.vhd MAXIMUM=150
SELECT VDISK FILE=S:\myvdisk.vhd
ATTACH VDISK
REM die neu angelegte Disk ist die selektierte
CONVERT MBR
CREATE PARTITION PRIMARY SIZE=50 OFFSET=10240
REM die neue angelegte Partition ist die selektierte
FORMAT FS=FAT UNIT=4096 LABEL="50 MB FAT"
ASSIGN LETTER=T
CREATE PARTITION EXTENDED
CREATE PARTITION LOGICAL SIZE=30
FORMAT LABEL="NTFS Part"
ASSIGN LETTER=N
Listing 6.11
Steuerdatei fr
diskpart.exe
321
Die hier in Listing 6.11 gezeigte Kommandofolge erstellt zunchst eine

neue virtuelle Festplatte und bindet diese ins System ein. Danach wird
diese mit einer MBR-Partitionstabelle angelegt. Im Anschluss werden
dann zunchst eine primre Partition und eine erweiterte Partition angelegt und in der erweiterten Partition ein logisches Laufwerk. Direkt nach
dem Anlegen der jeweiligen Partition wird diese formatiert, einmal mit
FAT und einmal mit dem Systemstandard, also NTFS. Beiden Laufwerken wird noch ein Laufwerksbuchstabe gegeben.
6.6.2
fsutil der Allesknner
Das Programm fsutil.exe bietet allerhand Funktionen rund um die Verwaltung und Manipulation von Dateisystemen und gehrt standardmig
zu Windows 7 dazu. Es bentigt zum Ablaufen administrative Berechtigungen, ist aber im Gegensatz zu diskpart.exe nicht in der Lage, selber eine
entsprechende UAC-Abfrage zu erzeugen. Sie mssen also zunchst das
Programm cmd.exe mit administrativen Privilegien starten, ehe Sie das
Programm fsutil.exe verwenden knnen.
Dieses Programm arbeitet immer nur mit Optionen auf der Kommandozeile, nach dem Befehlsnamen fsutil folgt zunchst die Angabe, in welchem Bereich das Kommando arbeiten soll, danach folgt der Befehl, welcher ausgefhrt werden soll, zusammen mit weiteren Optionen. Sofern
fsutil ohne die notwendigen Parameter ausgefhrt wird, zeigt es einen
Hilfetext an, der die nun mglichen Ergnzungen auffhrt.
Lange und kurze Dateinamen

Lang und kurz
gemeinsam
Dateien knnen unter NTFS einen Namen mit bis zu 255 Zeichen Lnge
aufweisen. Unter den ersten DOS-Versionen war ein Dateiname noch auf
acht Zeichen fr den Dateinamen und drei Zeichen fr die Dateierweiterung (Extension) beschrnkt. Dieses Format wird auch als 8dot3 bezeichnet.
Um kompatibel zu alten Programmen zu bleiben, die nur einen derartigen
kurzen Dateinamen erwalten, bildet das Dateisystem automatisch fr
jeden Namen, der lnger ist, einen kurzen Namen. Eine solche Datei kann
man sowohl ber ihren normalen, langen Namen als auch ihren kurzen
Namen ansprechen, ansehen kann man diese Namen mit der Option /X des
Kommandos DIR.
Listing 6.12
Lange und kurze
Namen
C:\Users\adm>DIR /X *.txt
26.07.2009 00:31
15.08.2009 17:55
21.266
small.txt
1.025 TESTDA~1.TXT testdatei.txt
In Listing 6.12 knnen Sie erkennen, dass fr die Datei, deren Name in das
8.3-Schema passt (small.txt), kein separater kurzer Name angelegt wurde,
fr die Datei, die nicht zum Schema passt (testdatei.txt), ein kurzer Name
(TESTDA~1.TXT) angelegt wurde. Die Erzeugung und Speicherung dieser
zustzlichen Eintrge verbrauchen sowohl Rechenzeit als auch Speicherplatz. Sofern sichergestellt ist, dass keine alten Anwendungen mehr verwendet werden, die mit den langen Namen nicht umgehen knnen, kann
man die automatische Erzeugung dieser Namen auch abstellen.
322

fsutil behavior query Disable8dot3
Der Registrierungsstatus von "NtfsDisable8dot3NameCreation" ist die
Standardeinstellung "2" (Volumeebeneneinstellung).
Dieser Befehl gibt die globale Einstellung fr alle Laufwerke aus. Alternativ kann auch das Kommando durch eine Laufwerksbezeichnung am
Ende ergnzt werden, um das Verhalten fr ein bestimmtes Laufwerk
abzufragen.
fsutil behavior set Disable8dot3 S: 1
Das Verhalten fr "8dot3name" wurde erfolgreich festgelegt.
Nach dieser Einstellung werden fr neue Dateien mit langem Namen

keine kurzen Namen automatisch angelegt, die bereits bestehenden kurzen Namen bleiben allerdings erhalten.
dir /X s:\*.txt
16.08.2009 01:06
28.07.2009 11:00
7
einlanger.txt
19 NEUEST~1.TXT Neues Textdokument.txt
Den kurzen Namen kann man auch manuell einstellen.

fsutil behavior set Disable8dot3 S: 0
Das Verhalten fr "8dot3name" wurde erfolgreich festgelegt.
fsutil file setshortname s:\einlanger.txt kurz.doc
dir /X s:\*.txt
16.08.2009 01:06
6
7 KURZ.DOC
einlanger.txt
Zunchst wird die Erzeugung der Kurznamen wieder aktiviert, da ansonsten auch keine Kurznamen manuell angelegt werden knnen. Im zweiten
Schritt wird fr die Datei s:\einlanger.txt der kurze Name kurz.doc festgelegt. Eine Angabe von Laufwerk und Pfad kann hierbei unterbleiben, da
der Kurzname automatisch im gleichen Verzeichnis wie die Originaldatei
angelegt wird. Zum Schluss wird die Aktion mit DIR /X berprft. Ein derartig manuell vergebener kurzer Name wird automatisch wieder gelscht
bzw. verndert, wenn die originale Datei umbenannt wird.
Es gibt eine ganze Reihe von Werten, die mit dem Kommando fsutil behavior
abgefragt und manipuliert werden knnen, die meisten dieser Kommando
beeinflussen Werte in der Registry unterhalb des Schlssels HKLM\
SYSTEM\CurrentControlSet\Control\FileSystem. Oftmals werden die Einstellungen erst nach einem Neustart aktiv.
Diese kurzen Dateinamen knnen zur Tarnung von Schadprogrammen verwendet werden, da sowohl der normale DIR-Befehl als auch
der Explorer die kurzen Namen normal nicht anzeigen. Ein ausfhrbares Programm kann also problemlos als Datendatei getarnt werden
und wird als ausfhrbares Programm dann ber den verborgenen
kurzen Namen gestartet.
323
Leere Dateien fr alle Gelegenheiten

Manchmal braucht man fr Testzwecke einfach mal schnell eine Datei
von fester Gre. Mit dem Befehl
fsutil file createnew s:\eindatei.txt 123456
Die Datei s:\eindatei.txt wurde erstellt.
wird eine Datei mit der genau angegebenen Lnge erzeugt, die Datei enthlt nur Nullbytes (0x00). Mit dem Befehl
fsutil file setzerodata offset=123 length=456 s:\eindatei.txt
Keine Daten wurden gendert.
werden in der angegebenen Datei ab der mit offset bezeichneten Stelle insgesamt length Bytes mit einem Nullwert berschrieben, auch wenn die
Ausgabe des Befehls etwas anderen anzudeuten scheint.
Dateien und Datei-ID

Jede Datei hat in NTFS eine eindeutige ID, hnlich wie die inode-Nummer
einer Datei unter Unix. Mit diesem Befehl lassen sich die Zuordnungen
zwischen Dateinamen und Datei-ID ausgeben.
fsutil file queryfileid c:\Users\adm\testdatei.txt
Datei-ID: 0x007e00000000b5e4
Die Datei c:\Users\adm\testdatei.txt hat die Datei-ID 0x007e00000000b5e4.

Da eine Datei mehrere Namen besitzen kann (Harte Verknpfungen,
siehe den Abschnitt 6.6.3 ab Seite 328), kann bei der rckwrtigen Zuordnung Datei-ID zu Dateiname nicht garantiert werden, dass ein bestimmter Name zurckgegeben wird.
fsutil file queryfilenamebyid c:\ 0x007e00000000b5e4
Beliebiger Linkname zu dieser Datei: \\?\C:\Users\adm\testdatei.txt
Fr diese Zuordnung muss zustzlich noch der Datentrger angegeben

werden, da jeder Datentrger ber eine eigenstndige Sammlung von
Datei-IDs verfgt. Die Datei-IDs werden nicht in aufsteigender Folge vergeben, eine Suche von Dateien anhand einer geratenen Datei-ID scheint
wenig sinnvoll zu sein.
Schmutzig oder nicht?

Plattenputzen
notwendig?
324
Fr jeden Datentrger verwaltet Windows eine Kennzeichnung, ob der

Datentrger ordentlich heruntergefahren wurde oder nicht. Diese Kennzeichnung wird als dirty-Flag bezeichnet. Beim ordnungsgemen Herunterfahren eines Systems werden in diesem Prozess alle Datentrger abgemeldet und somit sichergestellt, dass zum Beispiel keine Dateien mehr offen
sind. Ein derartiger Datentrger ist dann sauber. Wird das System jedoch
wegen einer Fehlfunktion nicht ordnungsgem beendet, so verbleiben
einige oder alle Datentrger im Status dirty. Beim nchsten Systemstart stellt
der Kernel fest, wenn ein Datentrger sich im Status dirty befindet, und startet dann automatisch das Programm chkdsk.exe, um den Datentrger zu
berprfen (siehe den Abschnitt 6.7 ab Seite 331). Mit dem Befehl

fsutil dirty query s:
Volume - s: ist NICHT fehlerhaft.
kann der Status eines Laufwerks oder Mountpunkts abgefragt werden,

mit dem Befehl
fsutil dirty set s:
Volume - s: ist jetzt als fehlerhaft markiert
wird die Kennzeichnung gesetzt, einen Befehl, um sie manuell wieder

zurckzusetzen, gibt es nicht, dies kann von einem erfolgreichen Durchlauf des Prfprogramms chkdsk.exe bewerkstelligt werden.
Laufwerksinformationen und -statistik

Mit dem Befehl
fsutil fsinfo drives
Laufwerke: A:\ C:\ D:\ E:\ S:\ W:\ Z:\
erhlt man eine Auflistung aller aktuell im System verwendeten Laufwerksbuchstaben. Hierbei werden auch Laufwerke angezeigt, die mit dem
Programm subst.exe erzeugt wurden oder die als Netzwerkfreigabe verbunden sind. Mit dem Befehl
fsutil fsinfo drivetype c:
c: - Eingebautes Laufwerk
fsutil fsinfo drivetype e:
e: - CD-ROM-Laufwerk
fsutil fsinfo drivetype a:
a: - Austauschbares Laufwerk
fsutil fsinfo drivetype z:
z: - Remote-/Netzlaufwerk
kann man sich Informationen ber den Typ des betreffenden Laufwerks
angeben lassen. Detaillierte Informationen ber die Fhigkeiten eines Laufwerks erhlt man mit dem Befehl:
fsutil fsinfo volumeinfo c:
Volumename : SysDrive
Volumeseriennummer : 0x74759422
Maximale Komponentenlnge : 255
Dateisystemname : NTFS
Untersttzt die Gro-/Kleinschreibung von Dateinamen
Behlt die Gro-/Kleinschreibung von Dateinamen
Untersttzt Unicode-Dateinamen
Behlt und erzwingt Zugriffsteuerungslisten (ACL)
Untersttzt dateibasierte Komprimierung
Untersttzt Datentrgerkontingente
Untersttzt Dateien mit geringer Datendichte
Untersttzt Analysepunkte
Untersttzt Objektkennungen
Untersttzt EFS
Untersttzt benannte Streams
Untersttzt Transaktionen
Untersttzt feste Links.
325

Untersttzt erweiterte Attribute.
Untersttzt das ffnen nach Datei-ID.
Mit USN-Journal-Untersttzung
Einige der angezeigten Werte ergeben sich automatisch aus dem angegebenen Dateisystemtyp, andere (etwa Untersttzt EFS) lassen sich ber fsutil
behaviour-Befehle einstellen (siehe hierzu Kapitel 13). Bei der Anzeige von
Netzwerklaufwerken werden die angezeigten Werte auch immer noch
zustzlich von den Mglichkeiten des Serversystems bestimmt.
Mit dem Befehl
fsutil fsinfo ntfsinfo c:
NTFS-Volumeseriennummer :
0x887475a274759422
Version :
3.1
Anzahl der Sektoren :
0x0000000002aac7ff
Gesamtzahl Cluster :
0x00000000005558ff
Freie Cluster :
0x000000000030bdf4
Insgesamt reserviert :
0x00000000000007a0
Bytes pro Sektor :
512
Bytes pro Cluster :
4096
Bytes pro Dateidatensatzsegment : 1024
Cluster pro Dateidatensatzsegment : 0
MFT-gltige Datenlnge :
0x00000000043c0000
MFT-Start-LCN :
0x00000000000c0000
MFT2-Start-LCN :
0x0000000000000002
MFT-Zonenstart :
0x000000000022c6e0
MFT-Zoneende :
0x0000000000234cc0
RM-Bezeichner:
978E7CAB-42E3-11DE-965B-D615E89F222A
Glaube nur der
Statistik ...
lassen sich Informationen ber die Organisation des NTFS-Dateisystems

auf dem angegebenen Laufwerk ausgeben. Eine hnliche Ausgabe fr
Laufwerke mit FAT-Dateisystem existiert nicht. Mit dem Befehl
fsutil fsinfo statistics c:
Dateisystem :
NTFS
UserFileReads :
UserFileReadBytes :
UserDiskReads :
UserFileWrites :
UserFileWriteBytes :
UserDiskWrites :
MetaDataReads :
MetaDataReadBytes :
MetaDataDiskReads :
MetaDataWrites :
MetaDataWriteBytes :
MetaDataDiskWrites :
16133
453742080
15834
1082
18267976
1138
2509
11812864
3215
1237
6225920
1829
MFT-Lesevorgnge:
MFT-Lesevorgnge Bytes:
MFT-Schreibvorgnge:
MFT-Schreibvorgnge Bytes:
326
2154
9187328
957
4558848

MFT2-Schreibvorgnge:
0
MFT2-Schreibvorgnge Bytes:
0
Stammindexlesevorgnge:
0
Stammindexlesevorgnge Byte : 0
Stammindexschreibvorgnge:
0
Stammindexschreibvorgnge Bytes: 0
Bitmaplesevorgnge:
1
Bitmaplesevorgnge Bytes:
1048576
Bitmapschreibvorgnge:
145
Bitmapschreibvorgnge Bytes:
753664
MFT-Bitmaplesevorgnge :
4
MFT-Bitmaplesevorgnge Bytes: 16384
MFT-Bitmapschreibvorgnge:
51
MFT-Bitmapschreibvorgnge Bytes: 278528
Benutzerindexlesevorgnge:
794
Benutzerindexlesevorgnge Bytes: 5070848
Benutzerindexschreibvorgnge:
585
Benutzerindexschreibvorgnge Bytes: 2711552
Protokolldateilesevorgnge:
7
Protokolldateilesevorgnge Bytes:
28672
Protokolldateischreibvorgnge:
2217
Protokolldateischreibvorgnge Bytes:
14753792
Protokolldatei voll:
0
lassen sich allerhand statistische Informationen ber die Anzahl bestimmter Operationen, die auf einem Laufwerk erfolgt sind, abfragen. Die Zahlen
beginnen bei jedem Neustart wieder von 0 an zu zhlen.
Kontingentverwaltung
Mit dem Befehl fsutil quota lassen sich verschiedene Operationen fr die Jede Platte ist
Kontingentverwaltung aufrufen. Anstelle der Anzeige Unbegrenzt wie im endlich
Explorer wird allerdings eine aberwitzig groe Zahl angezeigt.
>fsutil quota query c:
Kontingente sind auf dem Volume c: nicht aktiviert.
>fsutil quota query i:
FileSystemControlFlags = 0x00000032
Kontingente werden auf diesem Volume berwacht und erzwungen.
Protokollierung fr Kontingentgrenzen und -schwellen aktivieren
Die Kontingentwerte sind aktuell.
Listing 6.13
Kontingentanzeige
auf der Kommandozeile
Standardkontingentschwelle = 0x0000000000100000
Standardkontingentgrenze = 0x0000000000200000
...
SID-Name
= CONTOSO\user2 (Benutzer)
nderungszeit
= Dienstag, 25. August 2009
Verwendetes Kontingent = 3072
Kontingentschwelle
= 1572864
Kontingentgrenze = 3145728
20:22:46
327

SID-Name
= CONTOSO\adm (Benutzer)
nderungszeit
= Dienstag, 25. August 2009
Verwendetes Kontingent = 2048
Kontingentschwelle
= 18446744073709551615
Kontingentgrenze = 18446744073709551615
18:44:35
Der in der Ausgabe angegebene Schwellwert von 18.446.744.073.

709.551.615 entspricht in hexadezimaler Darstellung 0xFFFFFFFFFFFF
FFFF und somit 2641 oder auch 16 Exabyte. Das sollte fr einige Zeit
als Grenangabe fr Festplatten ausreichend sein.
Die Angabe Die Kontingentwerte sind aktuell bezieht sich darauf, dass Windows normalerweise im Stundentakt die Einhaltung der Grenzwerte berprft, diese Zeitspanne knnen Sie mit dem Befehl fsutil behavior query quotanotify kontrollieren beziehungsweise mit fsutil behavior set quotanotify
abndern. Die Angabe erfolgt hier in Sekunden.
Mit dem Befehl fsutil quota modify kann die Kontingentangabe fr einen
Benutzer (und eine Gruppe) gesetzt werden, die Angabe der Gre erfolgt
hierbei in Byte, leider werden Grenangaben wie K (fr KByte) oder M
(fr MByte) nicht untersttzt.
6.6.3
Laufwerksbuchstaben erzeugen
subst.exe
Verzeichnisbume haben die Eigenschaft, sich bisweilen recht tief zu verschachteln. Damit man nicht immer eine komplette, lngliche Pfadangabe
eingeben muss, besteht die Mglichkeit, einen Laufwerksbuchstaben quasi
als Abkrzung zu einem bestimmten Punkt innerhalb des Baumes zu verwenden. Mit dem Befehl
subst x: c:\users\adm\ein\ganz\langer\pfad
wird dynamisch ein neuer Laufwerksbuchstabe x: erzeugt, dessen Wurzelverzeichnis durch das reale Verzeichnis c:\users\adm\ein\ganz\langer\pfad gebildet wird. Der Pfad muss dabei bereits existieren, der Laufwerksbuchstabe darf noch keinem anderen Laufwerk zugeordnet sein.
Ruft man das Kommando ohne Parameter auf, erhlt man eine Liste aktuell erzeugter Laufwerksbuchstaben:
subst
X:\: => C:\users\adm\ein\ganz\langer\pfad
Durch Angabe des Parameters /D zusammen mit dem Laufwerksbuchstaben wird die Zuordnung wieder gelscht.
subst /d x:
Den Befehl subst.exe kann man verwenden, um auf einem Serversystem die gleichen Laufwerksbuchstaben wie auf den Clients zu erzeugen, welche die Freigaben zu einem bestimmten Laufwerksbuchstaben verbinden.
328
6.6.4
Verknpfungen symbolische und harte
Bei Windows 7 gibt es in der Standardinstallation keine Programme, mit

denen man harte oder symbolische Verknpfungen hnlich einfach im
NTFS-Dateisystem manipulieren kann wie mit dem Programm ln unter
Unix-artigen Betriebssystemen: Anzeigen kann man zumindest die symbolischen Links direkt ber den DIR-Befehl. Hier ein Beispiel fr die automatisch von Windows 7 angelegten Verknpfungen im Benutzerprofil:
Der Befehl DIR /A:L zeigt auch die Verlinkungen an, die mit dem Attribut Verborgen (hidden) gekennzeichnet sind.
C:\Users\jochenr-admin>DIR /A:L
Datentrger in Laufwerk C: ist Volume
Volumeseriennummer: 5A53-E976
Listing 6.14
Symbolische Verknpfungen im
Benutzerprofil
Verzeichnis von C:\Users\jochenr-admin

18.07.2009 22:56
<VERBINDUNG> Anwendungsdaten
[C:\Users\jochenr-admin\AppData\Roaming]
18.07.2009 22:56
<VERBINDUNG> Cookies
[C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\Cookies]
18.07.2009 22:56
<VERBINDUNG> Druckumgebung
[C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\
Printer Shortcuts]
18.07.2009 22:56
<VERBINDUNG> Eigene Dateien
[C:\Users\jochenr-admin\Documents]
18.07.2009 22:56
<VERBINDUNG> Lokale Einstellungen
[C:\Users\jochenr-admin\AppData\Local]
18.07.2009 22:56
<VERBINDUNG> Netzwerkumgebung
[C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\
Network Shortcuts]
18.07.2009 22:56
<VERBINDUNG> Recent
[C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\Recent]
18.07.2009 22:56
<VERBINDUNG> SendTo
[C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\SendTo]
18.07.2009 22:56
<VERBINDUNG> Startmen
[C:\Users\jochenr-admin\AppData\Roaming\Microsoft\
Windows\Start Menu]
18.07.2009 22:56
<VERBINDUNG> Vorlagen
[C:\Users\jochenr-admin\AppData\Roaming\Microsoft\Windows\Templates]
0 Datei(en),
0 Bytes
Wie man in Listing 6.14 erkennen kann, wird diese Technik von Windows
selbst dazu genutzt, die in die Landessprache bersetzten Namen (zum
Beispiel Eigene Dateien) auf ihren realen Namen umzusetzen. Unter Windows XP wurden diese Verzeichnisnamen noch real angelegt, sodass Programme bisweilen Probleme hatten, den verwendeten Namen bei einer
anderen Sprachversion herauszufinden.
329
Die Programme attrib.exe (Anzeige und Manipulation von Dateiattributen), icacls.exe und cacls.exe (Anzeige und Manipulation von Dateiberechtigungen) verwenden den Parameter /L, um die Verknpfung
anstelle des Verknpfungsziels zu bearbeiten.
Aus anderen Quellen gibt es einige Programme, mit denen man ebenfalls
Verknpfungen manipulieren kann:
linkd.exe Das Tool stammt ursprnglich aus den Windows Server 2003
Resource Kit Tools und ist ber die Adresse [RES] zu erhalten. Obwohl
im Namen Server steht, lsst sich die Tool-Sammlung nach Besttigung einer Warnmeldung ber bekannte Kompatibilittskonflikte
auch auf Windows 7 installieren. Das Programm linkd lsst sich nicht
dazu verwenden, Verknpfungen zu bearbeiten, die mit den Attributen Versteckt (Hidden) oder System versehen sind.
junction.exe Das Programm kommt aus der Softwaresammlung Sysinternals (siehe [SYS]). Im Gegensatz zu linkd.exe kann es auch automatisch alle Unterverzeichnisse durchsuchen, um die symbolischen
Verknpfungen anzuzeigen. Zustzlich hat es keine Probleme mit der
Anzeige von verborgenen Dateien.
hlscan.exe Das Programm stammt ebenfalls aus den Windows Server
2003 Resource Kit Tools und dient zur Anzeige von harten Verknpfungen
(Hard Links). Wie aus dem Beispiel in Listing 6.15 ersichtlich, verwendet
Windows 7 diese Technologie dazu um Systemdateien, die mehrfach
bentigt werden (in Common Files fr Programme die immer die aktuelle Version einer Datei verwenden mchten, in winsxs fr Programme,
die eine spezielle Version bentigen), platzsparend zu speichern. Durch
den Link zwischen den beiden Dateien wird nur einmal Speicherplatz
fr den Inhalt reserviert. Mit dem Programm fsutil.exe (das zu Windows 7 gehrt) knnen harte Verknpfungen auch auf der Kommandozeile erzeugt werden, siehe hierzu den Abschnitt 6.6.2 ab Seite 322.
ln.exe und Ls.exe Diese beiden Programme stammen aus der Programmsammlung Subsystem fr Unix (SFU Services for Unix), die
zunchst ber Systemsteuerung/Programme/Programme und Funktionen/
Windows-Funktionen aktivieren und deaktivieren unter der Komponente
Subsystem fr Unix-basierte Anwendungen installiert werden muss. Im
zweiten Schritt muss dann im Startmen der Eintrag Subsystem fr
Unix-basierte Anwendungen/Dienstprogramme herunterladen ausgefhrt
werden, um die Anwendungen aus dem Netz zu laden (~ 400 MB).
Mit dem Programm ln.exe knnen dann Verknpfungen (harte und
symbolische) angelegt werden (erster Befehl in Listing 6.16), mit der
Option l des Kommandos ls.exe wird die Anzahl der Links einer
Datei angezeigt (zweiter Befehl in Listing 6.16, die Spalte direkt vor
dem Benutzernamen adm).
Listing 6.15 >hlscan
Verwendung von WARNING !! you don't have the BACKUP privilege,
harten Verknpfun- you may not have access to some files or directories
gen durch Windows 7
330
Datentrger berprfen
Hard Links Report for \\WIN7LAP
Report Time: 08/15/2009 13:38:14
Scanned Areas: C:\
Hard Links Found in C:\ (recursive search):
ID: 0x1000000002613 - Hard Links Count: 2 - Missing: 0
Creation Time: 04/22/2009 05:45:10
Last Access Time: 04/22/2009 05:45:10
C:\Windows\winsxs\x86_microsoft-windows-t..platformcomruntime_31bf3856ad364e35_6.1.7100.0_none_3b83803a8c25331c\
InkDiv.dll
C:\Program Files\Common Files\microsoft shared\ink\InkDiv.dll
ID: 0x1000000002614 - Hard Links Count: 2 - Missing: 0
Creation Time: 04/22/2009 06:00:45
Last Access Time: 04/22/2009 06:00:45
C:\Windows\winsxs\x86_microsoft-windows-t..platformcomruntime_31bf3856ad364e35_6.1.7100.0_none_3b83803a8c25331c\
InkObj.dll
C:\Program Files\Common Files\microsoft shared\ink\InkObj.dll
C:\Users\adm>ln diagnostic.txt test2.txt
C:\Users\adm>ls -li
46489 -rwx------+ 2
67151 -rwx------+ 1
46489 -rwx------+ 2
6.7
*.txt
adm Gruppe
adm Gruppe
adm Gruppe
2322 Jul 26 00:37 diagnostic.txt

2700 Jul 26 02:40 small.txt
2322 Jul 26 00:37 test2.txt
Listing 6.16
Verwendung der
Unix-Tools zur
Erzeugung und
Anzeige von harten
Verknpfungen
Datentrger berprfen
Auch wenn Computer heute eher selten Fehler im Bereich der Hardware Vertrauen ist gut,
produzieren, so knnen sie doch auftreten. Bei der berprfung von Daten- Kontrolle ist
besser
trgern muss man zwei Arten der berprfung unterscheiden:
1. berprfung auf Fehler des physischen Datentrgers (Fehler 1. Art).
2. berprfung auf Fehler in der logischen Konsistenz der abgebildeten
Datenstrukturen (Fehler 2. Art).
Die Fehler der 1. Art sind heute fast vollstndig aus dem Blickfeld entschwunden, da die modernen Festplatten mit ihrer eigenen Intelligenz solche Fehler selber erkennen und fehlerhafte Sektoren von sich aus durch
Reservesektoren ersetzen. Dies hat dann allerdings auch zur Folge, dass
man als Anwender diese Fehler zunchst nicht bemerkt, bis die Festplatte
nicht mehr in der Lage ist, derartige Fehler zu kaschieren. Erkennt also
Windows einen solchen Fehler, ist meist die Festplatte bereits kurz vor dem
Totalausfall. Fr die Abfrage der Diagnoseinformationen der Festplatte
muss man dann auf Hilfsprogramme der Hersteller der Festplatten ausweichen, eine bersicht die Programme verschiedener Hersteller liefert
[DIA]. Eventuell liefern auch die Hersteller von Komplettsystemen angepasste Diagnoseprogramme fr die von Ihnen eingesetzten Festplatten mit.
331
Die Fehler der 2. Art treten demgegenber hufiger auf, insbesondere

dann, wenn entweder Programme fehlerhaft auf die Datentrger zugreifen oder wenn ein Computer in der Mitte einer Operation pltzlich abgeschaltet wird. Das Gute ist, dass diese Fehler prinzipiell reparierbar sind.
Beide Arten von Fehlern lassen sich durch die Fehlerberprfung von
Windows erkennen. Rufen Sie zunchst ber Start/Computer die Eigenschaften des betrachteten Laufwerks auf. Die Fehlerberprfung findet
sich auf der Registerkarte Tools und kann durch Bettigung von Jetzt prfen gestartet werden.
Abbildung 6.40
Fehlerberprfung
eines Laufwerks
Die Festplattenberprfung bietet nur zwei Optionen an (siehe Abbildung

6.41):
Dateisystemfehler automatisch korrigieren Diese Option ist standardmig aktiviert. Sollte die berprfung Fehler im Dateisystem feststellen, werden diese direkt korrigiert. Fehlerhafte Sektoren werden
nur dann erkannt, wenn sie von Teilen der Verwaltungsinformationen
belegt werden.
Fehlerhafte Sektoren suchen/wiederherstellen Hierbei werden alle Sektoren eines Datentrgers gelesen, egal ob belegt oder frei. Dies kann,
insbesondere bei greren Datentrgern, recht lange dauern.
Abbildung 6.41
Optionen der
Datentrgerberprfung
332
Datentrger berprfen
Problematisch bei der Datentrgerberprfung ist, dass sie nur auf Daten- Keine Prfung im
trgern durchgefhrt werden kann, die gerade nicht von anderen Program- laufenden
men verwendet werden. Insbesondere das Systemlaufwerk kann deshalb Verkehr
nicht im laufenden Betrieb berprft werden. Hier wird die berprfung
dann beim nchsten Systemstart durchgefhrt, eine entsprechende Option
wird angeboten.
Abbildung 6.42
berprfung
vertagt
Bei Laufwerken, die aktuell nicht verwendet werden, kann die berprfung sofort gestartet werden. Eine optische Kontrolle der durchgefhrten
Aktion ist nur schwer mglich, da die Aktionen zu schnell ablaufen. Die in
Abbildung 6.43 ersichtliche berprfung der SID bezieht sich brigens
nicht darauf, dass in den ACL vorhandene unbekannte SIDs (zum Beispiel
von gelschten Benutzern) erkannt und korrigiert werden.
Abbildung 6.43
berprfung luft
Nach Ende der berprfung erscheint eine Zusammenfassung der Ergebnisse, durch Bettigung des Links Details einblenden kann eine ausfhrlichere Erklrung zu den erfolgten Aktionen und Prfungen eingesehen
werden. Leider ist es nicht mglich, diese Zusammenfassung fr ein Protokoll in eine andere Anwendung zu kopieren. Diese Informationen lassen
sich aber ber die Ereignisanzeige im Anwendungsprotokoll einsehen
(siehe Listing 6.17). Fr die Prfung im laufenden System werden die Eintrge unter der Quelle Chkdsk abgelegt, fr die Prfung whrend des Systemstarts unter der Quelle Wininit.
Abbildung 6.44
Alles in Butter
333

Listing 6.17
Ergebnis der Datentrgerprfung
Protokollname: Application
Quelle:
Chkdsk
Datum:
31.08.2009 10:40:08
Ereignis-ID: 26214
Ebene:
Informationen
Benutzer:
Nicht zutreffend
Computer:
win7.contoso.com
Beschreibung:
Chkdsk wurde im Lesen-/Schreibenmodus ausgefhrt.
Dateisystem auf S: wird berprft.
Die Volumebezeichnung lautet Save.
CHKDSK berprft Dateien (Phase 1 von 3)...
256 Datenstze verarbeitet.
Dateiberprfung beendet.
0 groe Datenstze verarbeitet.
0 ungltige Datenstze verarbeitet.
0 E/A-Datenstze verarbeitet.
2 Analysedatenstze verarbeitet.
CHKDSK berprft Indizes (Phase 2 von 3)...
348 Indexeintrge verarbeitet.
Indexberprfung beendet.
CHKDSK berprft Sicherheitsbeschreibungen (Phase 3 von 3)...
256 SDs/SIDs verarbeitet.
berprfung der Sicherheitsbeschreibungen beendet.
46 Datendateien verarbeitet.
Das Dateisystem wurde berprft. Es wurden keine Probleme
festgestellt.
25596927
15503408
116
66999
65536
10026404
KB
KB
KB
KB
KB
KB
Speicherplatz auf dem Datentrger insgesamt

in 119 Dateien
in 48 Indizes
vom System benutzt
von der Protokolldatei belegt
auf dem Datentrger verfgbar
4096 Bytes in jeder Zuordnungseinheit

6399231 Zuordnungseinheiten auf dem Datentrger insgesamt
2506601 Zuordnungseinheiten auf dem Datentrger verfgbar
Die Prfung whrend des Systemstarts wird durch eine entsprechende

Meldung beim Startprozess angekndigt. Da dieser Vorgang recht zeitaufwendig sein kann, hat man die Mglichkeit, den Vorgang durch einen
Tastendruck abzubrechen. Nach Abschluss der Prfung startet das System automatisch neu.
334
Abbildung 6.45
berprfung
whrend der Startphase
Datentrgerberprfung auf der Kommandozeile

Die Datentrgerberprfung lsst sich auch von der Kommandozeile aus
starten. Die Anwendung hierfr heit chkdsk.exe. Gegenber der grafischen
Version bietet sie einige Parameter mehr. Die wichtigsten hierbei sind:
/F Veranlasst chkdsk, notwendige nderungen auch auf den Datentrger zu schreiben. Ohne diesen Parameter fhrt es nur eine Prfung
durch, repariert aber nicht. Ist dieser Parameter nicht gesetzt, kann es
auch auf aktuell verwendeten Datentrger angewendet werden, ohne
dass die Prfung erst beim nchsten Systemstart durchgefhrt werden kann.
/V Schreibt beim Arbeiten den Namen der gerade betrachteten Datei
mit.
/R berprft alle Sektoren auf dem Datentrger und versucht, noch
lesbare Daten auf zweifelhaften Sektoren in andere Sektoren zu verlagern. Die Sektoren, die nicht mehr gelesen werden knnen, werden als
defekt markiert und somit von der weiteren Belegung ausgesondert.
/X Sofern sich noch Dateien im Zugriff auf dem Datentrger befinden, werden diese zwangsweise geschlossen, dies kann fr die betroffenen Anwendungen unter Umstnden problematisch sein.
/B Nur zusammen mit der Option /R verwendbar. berprft als
defekt markierte Sektoren erneut.
6.8
Im Optimalfall besteht eine Datei auf einem Datentrger aus einer konti- Daten in Brocken
nuierlichen Folge von Clustern, sodass sie in einem Rutsch ohne erneute
Suchoperation der Festplatte gelesen werden kann. Leider ist dieser optimale Zustand nur sehr selten anzutreffen, meistens verteilen sich die
Dateien auf zwei oder sogar noch mehr einzelne Stcke auf der Platte.
Warum passiert dies? Bei den allermeisten Dateien ist am Anfang nicht
klar, wie gro die Datei spter mal werden soll. Wird also das Betriebssystem aufgefordert, eine Datei neu anzulegen, so sucht es sich zunchst mal
irgendwo auf dem Datentrger einen freien Platz. Fngt nun die Datei an
335
zu wachsen, kann es vorkommen, dass der verfgbare Platz nicht ausreicht, um genau an die schon bestehenden Daten neue Daten anzuhngen. Das System muss also einen neuen Datenbereich beginnen.
Diese Zerstckelung der Datenbereiche wird Fragmentierung genannt.
Kann man das verhindern? Eigentlich nicht. Sobald man Dateien hat, deren
Gre wchst, wird man immer auch Dateien haben, die ber ihren verfgbaren Platz hinauswachsen. Man kann allerdings im Nachgang versuchen,
eine derartig in mehrere Teile aufgespaltene Datei auf einen anderen, bislang freien Platz zu verschieben, an dem sie wieder in einem Stck abgespeichert werden kann. Whrend einer solchen Operation ist natrlich der
Zugriff auf diese Datei nur eingeschrnkt mglich. Aus diesem Grund
wird auch kein System derartige Aufrumarbeiten permanent durchfhren, dies wird man immer zu Zeiten durchfhren, zu denen mglichst
wenige sonstige Aktivitten stattfinden.
Um die Defragmentierung aufzurufen, gibt es mehrere Mglichkeiten;
zum einen ber die Eigenschaften eines Laufwerks in der Registerkarte
Tools oder ber Systemsteuerung/System und Sicherheit und dann den Eintrag Festplatte defragmentieren unterhalb von Verwaltung.
Abbildung 6.46
Kontrolle der
Defragmentierung
Im Gegensatz zu frheren Windows-Versionen wird bei Windows 7 die

Defragmentierung automatisch von System durchgefhrt, ein manueller
Eingriff des Administrators ist somit nicht mehr zwingend erforderlich.
Im Dialogfeld in Abbildung 6.46 sieht man im oberen Teil den aktuell fr
die Defragmentierung eingerichteten Zeitplan und im unteren Teil die
Laufwerke, auf denen eine Defragmentierung durchgefhrt werden
kann, sowie den Zeitpunkt der letzten Durchfhrung.
Durch Bettigung der Schaltflche Zeitplan konfigurieren hat man die Mglichkeit, die Defragmentierung auf Zeiten zu legen, die besser mit dem persnlichen Arbeitsverhalten bereinstimmen. Die genaueren Optionen der
336
Zeitplanung lassen sich ber die Aufgabenplanung in der Systemsteuerung konfigurieren, dort kann man einsehen, dass die Aktion Defragmentierung nur unter folgenden Rahmenbedingungen erfolgt:
Computer befindet sich seit mindestens drei Minuten im Leerlauf.
Aktion wird unterbrochen, falls Leerlauf beendet wird, und startet
von Neuem, wenn wieder Leerlauf eintritt.
Aktion startet nur, wenn Computer mit Netzstrom betrieben wird,
Aktion wird beendet, wenn Computer in Akkubetrieb wechselt.
Sofern die eingestellte Startzeit verpasst wird, Aktion schnellstmglich nachholen.
Diese Bedingungen sind so gewhlt, dass die normale Arbeit mit dem
System mglichst wenig gestrt wird.
Abbildung 6.47
Zeitplanung der
Defragmentierung
6
ber die Schaltflche Datentrger auswhlen kann man bestimmen, welche
Datentrger fr die Defragmentierung vorgesehen sind.
Sobald in Abbildung 6.46 eines der Laufwerke ausgewhlt wurde, kann man
mit der Schaltflche Datentrger analysieren eine berprfung des Datentrgers durchfhren lassen. Die Prozentanzeige im Dialogfeld gibt dann die
Anzahl der defragmentierten Dateien an, ab einem Wert von etwa 10% sollte
man durch die Schaltflche Datentrger defragmentieren die Defragmentierung starten. Whrend der Vorgang luft, wird in der Spalte Status der
Ablauf protokolliert.
Abbildung 6.48
Wo soll defragmentiert werden?
337

Fragmente
existieren
nur lokal
Prinzipiell knnen nur lokale Datentrger defragmentiert werden, Netzwerklaufwerke mssen auf dem jeweiligen Serversystem defragmentiert
werden. Dies gilt allerdings nicht fr iSCSI- oder SAN-Laufwerke, da diese
als lokal angesehen werden. Sofern das Kontrollkstchen Neue Datentrger
automatisch defragmentieren aktiviert ist, werden auch smtliche Wechselmedien wie beispielsweise USB-Sticks in die Zeitplanung aufgenommen.
Wer dies nicht will, muss das Kontrollkstchen entsprechend deaktivieren
und die Laufwerke entsprechend einzeln selektieren.
Defragmentierung auf der Kommandozeile

Die Defragmentierung lsst sich auch ber die Kommandozeile steuern,
hierzu dient das Programm defrag.exe. Das Programm lsst sich nur ber
eine Kommandozeile mit administrativen Berechtigungen ausfhren, es
kann nicht selber eine entsprechende UAC-Abfrage ausfhren. In der einfachsten Ausfhrung wird nur das zu prfende Laufwerk als Parameter
angegeben:
Listing 6.18
Fragmentierung
war erfolgreich.
>defrag c:
Microsoft Disk Defragmenter
Copyright (c) 2007 Microsoft Corp.
"Defragmentierung" wird fr "SysDrive (C:)" aufgerufen...
Vor der Defragmentierung ausgefhrter Bericht:
Volumeinformationen:
Volumegre
= 21,33 GB
Freier Speicherplatz
= 12,57 GB
Fragmentierter Speicherplatz insgesamt
= 1%
Grter freier Speicherplatz
= 9,56 GB
Hinweis: Dateifragmente, die grer als 64 MB sind, sind
nicht in den Fragmentierungsstatistiken enthalten.
Der Vorgang wurde abgeschlossen.
Post Defragmentation Report:
Volumeinformationen:
Volumegre
= 21,33 GB
Freier Speicherplatz
= 12,57 GB
Fragmentierter Speicherplatz insgesamt
= 0%
= 9,56 GB
Hinweis: Dateifragmente, die grer als 64 MB sind, sind
nicht in den Fragmentierungsstatistiken enthalten.
Zustzlich kann noch der Parameter /V angegeben werden. Dann werden

noch zustzliche Informationen ber den Zustand des Datentrgers ausgegeben, etwa Details ber die MFT:
...
Master File Table (MFT):
MFT-Gre
Anzahl von MFT-Datenstzen
MFT-Verwendung
MFT-Fragmente insgesamt
...
338
= 70,50 MB
= 72191
= 100%
= 2
Als weitere Optionen werden erkannt:

/C Fhrt die Defragmentierung auf allen vorhandenen Laufwerken
durch.
/E Fhrt die Defragmentierung auf allen vorhandenen Laufwerken
mit Ausnahme der angegebenen durch.
/A Fhrt nur eine Analyse der Defragmentierung durch.
/U Protokolliert den Fortgang der Aktionen auf dem Bildschirm.
/H Startet das Programm mit hoher Prioritt. Normalerweise luft
die Defragmentierung mit niedriger Prioritt, um die Arbeit im Vordergrund nicht zu beeintrchtigen.
/X Es wird nur versucht, die freien Speicherbereiche auf dem Datentrger zu greren, zusammenhngenden Blcken zu konsolidieren.
>defrag h: /x /v
Microsoft Disk Defragmenter
Copyright (c) 2007 Microsoft Corp.
Listing 6.19
Zusammenfassung
des freien Speicherplatzes
"Konsolidierung des freien Speicherplatzes" wird fr "Volume (H:)"

aufgerufen...
Vor der Defragmentierung ausgefhrter Bericht:
...
Freier Speicherplatz:
Zhler fr freien Speicherplatz
= 22
Durchschnittlicher freier Speicherplatz
= 124,00 KB
= 1,43 MB
...
Post Defragmentation Report:
...
Freier Speicherplatz:
Zhler fr freien Speicherplatz
= 8
Durchschnittlicher freier Speicherplatz
= 348,00 KB
= 2,69 MB
In Listing 6.19 kann man die Auswirkung der Defragmentierung direkt

sehen. Wo es vorher noch 22 einzelne freie Bereiche auf dem Datentrger
gab, sind es nach der Konsolidierung nur noch acht. Die durchschnittliche Gre eines derartigen freien Bereiches hat sich ebenso verdoppelt
wie die Gre des grten freien Bereiches.
Mit dem Programm DiskView (siehe SYS) lsst sich eine grafische Darstellung der Belegung eines Datentrgers anzeigen, hierbei kann man
auch einzelne Dateien hervorheben lassen.
Defragmentierung in speziellen Fllen

Manchmal mchte man nicht gleich die komplette Platte defragmentieren, sondern interessiert sich nur fr eine ganz spezielle Datei. Hier hilft
das Programm contig.exe (siehe SYS). Mit diesem Programm kann zum
einen analysiert werden, aus wie vielen Fragmenten eine Datei besteht,
zum anderen kann eine Datei gezielt defragmentiert werden. Im Beispiel
339
in Listing 6.20 wird zustzlich die Option V verwendet, um eine ausfhrlichere Ausgabe zu erhalten.
Listing 6.20
Defragmentierung
einer einzelnen
Datei
>contig -v h:\big.txt
Contig v1.55 - Makes files contiguous
-----------------------Processing h:\big.txt:
Scanning file...
Scanning disk...
File is 22 physical clusters in length.
File is in 11 fragments.
Found a free disk block at 4455 of length 664 for entire file.
Moving 22 clusters at file offset cluster 0 to disk cluster 4455
File size: 90001 bytes
Fragments before: 11
Fragments after : 1
-----------------------Summary:
Number of files processed : 1
Number of files defragmented: 1
Average fragmentation before: 11 frags/file
Average fragmentation after : 1 frags/file
340
Netzwerkgrundlagen
Computer knnen ihre Strke, das Verarbeiten von Informationen, erst dann
wirklich einsetzen, wenn sie nicht alleine sind, sondern Daten mit anderen
Systemen austauschen knnen. Aus diesem Grund wurden Netzwerke entwickelt, mit denen viele Computer untereinander verbunden werden knnen. Die Geburtsstunde von Netzwerken, wie wir sie heute kennen, wird
gemeinhin auf den 29. Oktober 1969 gelegt, als erstmals eine Datenverbindung zwischen zwei entfernten Computersystemen hergestellt wurde. Die
erste Verbindung wurde allerdings nach zwei bertragenen Zeichen abrupt
beendet, da einer der beiden teilnehmenden Computer abstrzte.
Siehe hierzu auch den Geburtstagsgru auf [GEB].
7.1
Netzwerk theoretisch
Bei der Beschftigung mit Netzwerktechnologien kommt man immer wieder auf den Begriff des ISO/OSI-Schichtenmodells. Dies ist eine theoretische
Betrachtung einer Netzwerkkommunikation, bei der die unterschiedlichen
Teilkomponenten abstrakt in Form von Schichten angeordnet werden.
Begonnen wurde die Entwicklung an diesem Modell Ende der 70er-Jahre
des vergangenen Jahrhunderts, im Jahr 1983 wurde es von der ISO (Internation Standards Organisation, quasi die internationale Version der DINOrganisation) als Standard angenommen und liegt nun als ISO 7498-1 vor.
Der Namensbestandteil OSI ergibt sich aus der Anwendung des Standards
zur Kommunikation unterschiedlicher Systeme miteinander: Open Systems
Interconnection.
341
Kapitel 7 Netzwerkgrundlagen
Kommunikation
theoretisch
Abbildung 7.1
Das ISO/OSISchichtenmodell
Basis dieses Modells ist die berlegung, dass Kommunikation auf verschiedenen Ebenen stattfindet. Auf jeder Ebene kommunizieren gleichartige Partner miteinander und bedienen sich dafr der unterliegenden
Schichten. Als Beispiel mag man sich zwei Personen vorstellen, die miteinander kommunizieren mchten. Beide verwenden gewisse Kommunikationsmittel, die bereinstimmen mssen, etwa Papier und Bleistift im
Gegensatz zu Stimme und Ohr. Beide mssen die gleiche Sprache verwenden, egal welche Kommunikationsmittel sie einsetzen. Und schlielich mssen sie auch noch ber das gleiche Thema kommunizieren. Insbesondere IT-affine Menschen haben hierbei gelegentlich Probleme.
Sender
Empfnger
Anwendung
Anwendung
Darstellung
Darstellung
Verbindung
Verbindung
Transport
Transport
Netzwerk
Netzwerk
Datenbertragung
Datenbertragung
Hardware
Hardware
Fr diejenigen Elemente ber einer Schicht sieht es so aus, als ob diese

Schicht direkt mit der korrespondierenden Schicht des anderen Kommunikationsteilnehmers kommuniziert. Eine echte Kopplung findet jedoch
nur auf der Ebene der untersten Schicht 1, der Hardware (auch Physical
Layer genannt), statt, z.B. indem ein Netzwerkkabel direkt zwischen zwei
Computern verluft. Auf der Ebene der Schichten 2 bis 7 sind diese Verbindungen nur noch virtuell. Die eigentlichen Daten, die zu transportieren sind, werden in jeder Schicht in einen Rahmen eingekapselt, der Verwaltungsinformationen fr den Transport zwischen den Schichten regelt.
Auf der Ebene der Hardware sind beispielsweise Stromspannungen definiert, die auf dem Kabel bertragen werden, auf der Ebene darber das
Format, wie aus der Folge dieser Stromspannungswechsel Anfang und
Ende eines einzelnen Datenblocks erkannt werden knnen.
Nummer und Name
der Schicht
Funktion
1
Hardware
(Physical Layer)
2
Datenbertragung
(Data Link Layer), intern
unterteilt in LLC (Logical
Link Control) und MAC
(Media Access Control)
Physikalische Verbindung, Synchronisation der

bertragung zwischen sendender und empfangender Hardware
bergabe der Daten an die physikalische bertragung, Kontrolle des Zugriffs auf das bertragungsmedium, Kontrolle der fehlerfreien
bertragung einzelner Datenpakete
Tabelle 7.1: Das ISO/OSI-Schichtenmodell von unten nach oben
342
Netzwerk-Hardware
Nummer und Name

der Schicht
Funktion
3
Netzwerk
(Network Layer)
Datenkontrolle innerhalb eines Netzsegments;

Aufteilung von groen Datenblcken in fr das
Medium passende Teilstcke; Weiterleiten von
Daten an entfernte Empfnger (Routing)
Erkennung von fehlenden oder doppelten Datenblcken; Sortierung der Datenblcke; Sammlung
der Daten von mehreren Sendern, Verteilung
ankommender Daten an mehrere Empfnger
Aufbau, Kontrolle und Abbau von Verbindungen; Ablauf von Kommunikation in Form von
festgelegten Frage-/Antwortsequenzen (Challenge/Response)
Umsetzung von Datenformaten; Mglichkeit
zur Komprimierung oder Verschlsselung der
Daten
Schnittstelle zur Benutzeroberflche
4
Transport
(Transport Layer)
5
Verbindung
(Session Layer)
6
Darstellung
(Presentation Layer)
7
Anwendung
(Application Layer)
Tabelle 7.1: Das ISO/OSI-Schichtenmodell von unten nach oben
Es wird scherzhaft oft auch von einem Fehler auf ISO-Layer 8 gesprochen,
hierbei meint man die Ebene, die noch ber der Anwendung liegt, also
den Benutzer selbst.
Sobald man auf einer Ebene eine Verbindung mit zwei ungleichen Partnern herstellen will, muss man eine Wandlung auf einer hheren Ebene
durchfhren.
7.2
Netzwerk-Hardware
Netzwerk-Hardware besteht im Prinzip aus drei unterschiedlichen Typen

von Elementen:
Netzwerk-Adapter, die einen Computer mit dem Netzwerk verbinden,
indem sie einen physikalischen Kontakt zum Netzwerk herstellen.
Aktive Netzwerkkomponenten, die dazu dienen, unterschiedliche Netzwerkbestandteile zu koppeln. Ein solches Gert wird deshalb aktiv
genannt, weil es ber ein gewisses Ma an Eigenintelligenz verfgt, um
den Datenverkehr nach gewissen Regeln zu kontrollieren. Ein typisches Beispiel einer aktiven Komponente ist ein Hub, Switch oder Router.
Passive Netzwerkkomponenten, die den unintelligenten Teil des Netzwerks bilden. Hierzu gehren Kabel, Patchfelder zur Herstellung einer
Verbindung oder auch Antennen bei einer Funkbertragung.
343
Da die Intelligenz der aktiven Netzwerkkomponenten in Form von Programmen (Software) vorliegt, knnen diese Aufgaben von einem Computer bernommen werden; so kann man beispielsweise einen Computer
mit mehreren Netzwerkadaptern auch als Router einsetzen.
Bei den passiven Komponenten wird oftmals nach den verwendeten Kabeltypen und den erreichbaren Geschwindigkeiten unterschieden, meistens
werden die Namen fr Netzwerkkomponenten nach den zugrunde liegenden Normen und Standards fr die Datenbertragung gewhlt.
Whrend Hauptspeicher oder Datentrger immer mit Grenangaben
in Byte bezeichnet werden, hat sich im Bereich der Netzwerke bedingt
durch die ursprnglich serielle bertragung der einzelnen Bits die Grenangabe in Bit pro Sekunde (Bit/s) durchgesetzt.
Typische Beispiele fr passive Komponenten sind:
CAT-5/CAT-7 (Kategorie 5 beziehungsweise 7) Bezeichnung fr
Ethernetkabel mit verdrillten Adern (Twisted Pair), bei den Kabeln wird
oft auch nach Ausfhrung der Schirmung im Kabel unterschieden (mit
Schirmung: STP Shielded Twisted Pair und ohne Schirmung: UTP
Unshielded Twisted Pair). Kabel im Standard CAT-5 eignen sich bis zur
bertragung von 1 GBit/s (1000BASE-T), bei CAT-7 bis zu 10 GBit/s.
Diese Technologie wird berwiegend beim Aufbau einer strukturierten
Verkabelung innerhalb eines Gebudes eingesetzt.
Glasfaser, FDDI (Fiber Distributed Data Interface). Bei dieser Technologie
werden die Daten in Form von Lichtimpulsen durch eine optische Verbindung geleitet. Der Vorteil liegt hierbei darin, dass diese Verbindungen unanfllig gegenber elektrischen Beeinflussungen sind und auch
keine elektromagnetischen Felder ausstrahlen, an denen man Informationen abgreifen knnte. Die Technologie existiert sowohl fr die lokale
Anwendung als auch fr den Datentransport ber groe Entfernungen,
da die einzelnen Stationen auch viele km voneinander entfern liegen
knnen. Die mglichen Geschwindigkeiten lagen frher deutlich ber
den damaligen Mglichkeiten der Kupferkabel, heute hat sich der
Abstand relativiert. Drei Begriffe, die man in diesem Bereich immer wieder hrt, sind:
Dark Fiber Lichtwellenleiter, die zwischen zwei Punkten verlegt
ist, auf denen aber keine Daten bertragen werden und die vom
Kabeleigner ohne jegliches Anschaltequipment verkauft oder vermietet wird.
FTTH (Fiber-to-the-Home) Der Anschluss von Gebuden mit Glasfasern im Gegensatz zur herkmmlichen Technik, bei der die Hauszuleitung mit Kupferkabel erfolgt.
FTTD (Fiber-to-the-Desk) Die gebudeinterne Verkabelung fhrt
Glasfaser bis zum Arbeitsplatz auf dem Schreibtisch. Hatte frhe
Geschwindigkeitsvorteile gegenber Kupferkabel, ist aber im Vergleich dazu deutlich teurer.
ADSL/SDSL Asymmetrical und Symmetrical Digital Subscriber Line (englisch fr Digitaler Teilnehmeranschluss) beschreibt eine Technologie, bei der
344
Netzwerk-Hardware
digitale Daten mit hoher Geschwindigkeit ber normale Telefonkabel

bertragen werden. Man unterscheidet hierbei zwischen Upload (Transport von Daten vom Teilnehmer zum Anschlusspunkt) und Download
(Transport von Daten zum Teilnehmer vom Anschlusspunkt). Sind hierbei beide mglichen Geschwindigkeiten gleich, spricht man von einem
symmetrischen Anschluss, ist die Download-Geschwindigkeit hher als
die des Uploads, spricht man von einem asymmetrischen Anschluss. Da
fr den Privatbereich fast ausschlielich ADSL-Anschlsse angeboten
werden, spricht man im Allgemeinen von DSL, wenn man eigentlich
ADSL meint.
Oftmals wird die Bezeichnung DSL noch um die maximale Geschwindigkeit ergnzt, wobei hier immer die Download-Geschwindigkeit angegeben wird. Gngige Bauformen sind hier DSL-1000 (1 MBit/s), DSL2000 (2 MBit/s), DSL-6000 (6 MBit/s) oder DSL-16000 (16 MBit(s). Inzwischen werden unter der Bezeichnung VDSL auch Anschlsse mit einer
Download-Geschwindigkeit von 50 MBit/s angeboten. Die UploadGeschwindigkeit ist meist um den Faktor 10 kleiner.
WLAN Wireless LAN beschreibt eine Technologie, bei der die Systeme
statt mit Kabeln ber Funkverbindungen angeschlossen werden. Die
Reichweite einer derartigen Verbindung ist stark von der Umgebung
(Gebudebauform) abhngig und deshalb nur innerhalb einer engen
Umgebung nutzbar. Im Laufe der technischen Entwicklung haben sich
verschiedene bertragungsstandards mit unterschiedlichen maximalen Datenraten entwickelt:
IEEE 802.11b 11 MBit/s
IEEE 802.11g 54 MBit/s
IEEE 802.11n 600 MBit/s. Dieser Standard wurde erst im September 2009 verabschiedet, es gibt eine ganze Reihe von Gerten
auf dem Markt, die bereits nach einer Vorabversion der Spezifikation IEEE 802.11 Draft n erstellt wurden.
Prinzipiell lassen sich WLAN-Adapter entweder im Betrieb mit einer
designierten Basisstation betreiben (Infrastruktur-Modus), oder zwei
WLAN-Gerte knnen miteinander eine direkte Verbindung herstellen (Ad-hoc-Modus).
GPRS, HSDPA Beschreiben Technologien zur Datenbertragung in
Mobilfunknetzen, je nach Empfangslage sind dabei Geschwindigkeiten von 53,6 KBit/s (GPRS, General Packet Radio Service im normalen
GSM-Netz) bis 7,2 MBit/s (HSDPA, High Speed Downlink Packet Access
im UMTS-Netz) mglich. Mit diesen Techniken kann man quasi an
jedem Ort, an dem man auch mit seinem Mobiltelefon telefonieren
kann, eine Verbindung zum Internet aufbauen.
POTS und ISDN Beschreiben das herkmmliche analoge Telefonnetz
(Plain Old Telephone System) beziehungsweise dessen digitalen Nachfahren (Integrated Services Digital Network). Da diese Netze nicht speziell fr
die Datenbertragung entwickelt wurden, ist eine maximale Datenbertragungsrate von 56 KBit/s (analog) beziehungsweise 128 KBit/s
(ISDN mit Zweikanalbetrieb) mglich. Da bei diesen Verbindungsarten
zunchst eine Anwahl der Gegenstelle erfolgen muss, werden diese
345
auch als Dial Up-Verbindungen bezeichnet. Die geringe Geschwindigkeit

der Datenbertragung lsst diese Verbindungen heute den gngigen
Anforderungen nicht mehr gengen, ist aber im lndlichen Raum ohne
DSL-Versorgung meist die einzige Mglichkeit, eine Verbindung zum
Internet herzustellen.
Weitere Bauformen Es gibt noch ganze Reihe weiterer Bauformen von
Netzanschlssen, die jeweils besondere Einsatzbereiche haben. Zu nennen wren hier noch Power Line (Nutzung des heimischen Stromnetzes
anstelle normaler LAN-Verkabelung), Kabelmodem (Datentransfer ber
das Fernseh-Antennenkabel eines Kabelfernsehbetreibers) oder Satelliten-DSL (Download ber geostationre Satelliten, Upload ber klassisches Telefonnetz).
Abbildung 7.2
Ein Netzwerk
einrichten
Windows unterscheidet bei Netzwerken zunchst danach, ob die Verbindung mit dem Netzwerk permanent besteht oder ob sie erst hergestellt werden muss (Whlverbindung). Weiterhin ist von Interesse, ob das Netzwerk,
mit dem sich das System verbinden soll, das Internet oder ein privates Netzwerk ist. Als zustzliche Option besteht auch die Mglichkeit, eine Verbindung zu einem privaten Netzwerk ber einen Tunnel durch ein ffentliches
Netzwerk hindurch (VPN Virtual Private Network) herzustellen.
7.2.1
Netzwerkadapter fr lokale
Verbindungen
Als lokale Verbindungen sieht Windows 7 alle Netzwerkadapter an, die

direkt eine Verbindung mit dem Netzwerk herstellen. Insbesondere sind
dies Ethernet-Karten, fest eingebaut oder in Form von Steckkarten mit
USB-Anschluss oder PCMCIA-Adapterkarten. Hierbei sollte man darauf
achten, dass zum verwendeten Netzwerkadapter auch der passende Treiber vorliegt. Ist ein Treiber fr Windows 7 noch nicht verfgbar, kann
auch versucht werden, einen Treiber fr Windows Vista zu verwenden.
346
Netzwerk-Hardware
Abbildung 7.3
Netzwerkkarte mit
und ohne Verbindung zum Internet
Abbildung 7.4
Netzwerkkarte ohne
Kabelanschluss
Im Systemtray-Bereich wird fr den Netzwerkadapter ein Symbol angezeigt. Dieses ndert seine Darstellung je nachdem, ob der Adapter auch
tatschlich eine Verbindung zum Netzwerk aufbauen kann oder nicht.
Die noch bei Windows Vista vorhandene Mglichkeit, auf dem Symbol in der Leiste eine grafische Darstellung des Datenverkehrs einzurichten (Animation bei Aktivitt), besteht nicht mehr.
7.2.2
Drahtlose Netzwerke
Eine drahtlose Verbindung per WLAN ist zwar auch eine lokale Verbindung ber einen im Computer eingebauten Adapter, hier muss das System
sich aber meist erst ber ein Kennwort mit dem Gegenstck der Funkverbindung verbinden, um neben der physikalischen Verbindung auch einen
Datentransport zuzulassen. Auch Verbindungen ber das Mobilfunknetz
sind zwar drahtlos, werden fr Windows aber als eine Verbindung, die erst
durch einen Wahlvorgang hergestellt werden muss, angesehen.
Ein drahtloses Netzwerk wird im Systemtray-Bereich mit einer Darstellung

der aktuellen Feldstrke des Funkempfangs dargestellt. Auf das Thema
WLAN wird ausfhrlicher in Kapitel 8 eingegangen.
Abbildung 7.5
Funkempfang beim
WLAN
7.2.3
Netzwerke fr Punkt-zu-PunktVerbindungen
Verbindungen, die den Computer zu einem ganz bestimmten, angeb- Kein Netz unter
baren Zugangspunkt im Netzwerk verbinden, werden Whlverbindun- dieser Nummer?
gen genannt. Hierbei wird noch unterschieden, ob die Verbindung zum
Internet hergestellt wird oder zu einem privaten Netzwerk. Zwei Sonderformen gilt er hier zu beachten:
347
VPN-Verbindung Hier wird ber eine bereits bestehende Verbindung
ein Tunnel zu einer Gegenstelle in einem privaten Netzwerk hergestellt.

Der lokale Computer wird dadurch zu einer Auenstelle des entfernten
Netzwerkes, die Kommunikation zwischen diesem Netz und dem lokalen System wird durch Verschlsselung vor dem Netz, durch das der
Tunnel verluft, verborgen.
Breitband-Verbindung (DSL) Hier nimmt das System ber eine bestehende Ethernet-Verbindung Kontakt mit einem DSL-Modem auf und
stellt so eine Verbindung mit dem Internet her. Die Verbindung zwischen
DSL-Modem und lokalem Netzwerkadapter arbeitet dabei mit dem Protokoll PPPoE (Point-to-Point-Protocol over Ethernet) im Gegensatz zur
Verbindung mit einem DSL-Router, bei dem zwischen DSL-Router und
lokalem Netzwerkadapter mit dem IP-Protokoll gearbeitet wird. Erkennbar ist der Unterscheid auch daran, dass die DSL-Zugangsdaten auf dem
Computer und nicht auf dem DSL-Router gespeichert werden.
7.2.4
WAN-Netzwerke und die Anbindung

ganzer lokaler Netzwerke
Sobald eine grere Anzahl von Systemen an einem Standort gemeinsam

auf das Internet zugreifen wollen, wird man dieses Netzwerk mit einem
Router und/oder einer Firewall versehen. Die Kommunikation mit dem
Internet wird dann nur ber diese eine Komponente durchgefhrt. So kann
an dieser einen Stelle auch die Kontrolle ber die entsprechenden Datenstrme erfolgen. Das lokale System im Netzwerk wei dann selber nichts
darber, wie die Anbindung real durchgefhrt ist, und hat auch keinen Status darber, ob aktuell eine Verbindung besteht oder nicht.
Die einfachste und kleinste Form dieser Anbindung ist die Verwendung
eines blichen DSL-Routers, mit oder ohne WLAN-Anbindung. Zu beachten
ist hierbei, dass die Erstinstallation eines solchen Gertes meist nur ber eine
kabelgebundene Verbindung mglich ist. In dem DSL-Router existieren
dann mehrere Kabelanschlsse fr lokale Gerte und einer zum Anschluss
an das Telefonnetz.
7.3
Immer nach
Protokoll
verfahren!
348
Netzwerkprotokolle
Die Bezeichnung Netzwerkprotokoll wird in durchaus verschiedenen Bereichen gebraucht, obwohl sich die einzelnen Protokolle auf vllig unterschiedlichen Ebenen des ISO-Schichtenmodells bewegen. Als Beispiel mag hier die
Kommunikation zwischen Webserver und Browser dienen, diese wird ber
das Protokoll HTTP (Hypertext Transfer Protocol, ISO-Schicht 7) abgewickelt.
Die einzelnen Datenpakete dieses Protokolls werden ber TCP (Transmission
Control Protocol, ISO-Schicht 4) bertragen. Und die Pakete des TCP wiederum bestehen aus IP-Paketen (Internet Protocol, ISO-Schicht 3). Die Protokolle bauen also aufeinander auf. Nicht zu vergessen natrlich, dass die IPPakete selber wiederum mit einem Protokoll der physikalischen Datenbertragung (etwa Ethernet-Frames, ISO-Schicht 2) transportiert werden.
Netzwerkprotokolle
In diesem Abschnitt betrachten wir die Protokolle der unteren Schichten

(ISO-Schicht 4 und abwrts).
7.3.1
Alte Bekannte und Exoten
Verschiedene Protokolle, die frher in Verwendung waren, werden inzwischen nicht mehr untersttzt:
NetBEUI Das Protokoll (NetBIOS extended User Interface) war das Standardprotokoll von Windows bis einschlielich der Version Windows
2000. Fr Windows XP und Windows Server 2003 konnte das Protokoll
noch manuell nachinstalliert werden, fr die spteren Versionen wurde
das Protokoll nicht mehr angeboten. Das Protokoll selbst ist nur fr kleine
Netzsegmente geeignet und bedarf keines Konfigurationsaufwandes.
IPX/SPX Die Protokolle (Internetwork Packet Exchange/Sequenced Packet
Exchange) wurden ursprnglich von der Firma Novell fr ihre NetWareSysteme verwendet. Im Gegensatz zu NetBEUI konnte ein IPX/SPXNetz auch aus mehreren Teilnetzen bestehen, was es auch fr grere
Installationen verwendbar machte. Nachdem aber Novell selbst seine
NetWare-Systeme auf die Verwendung von TCP/IP umgestellt hatte,
begann das Interesse an IPX/SPX nachzulassen. Windows XP war das
letzte System, fr das Microsoft das Protokoll noch anbot.
AppleTalk Diese Protokoll wurde ursprnglich von der Firma Apple
fr die Systeme der Macintosh-Reihe entwickelt, inzwischen aber auch
von Apple selbst fr TCP/IP aufgegeben. Von Microsoft wurde dieses
Protokoll noch bis einschlielich Windows 2000 untersttzt.
7.3.2
Das IP-Protokoll Version 4
Das Internet-Protokoll (IP-Protokoll ist eigentlich eine sprachlich unzulssige

Verdoppelung) bildet die Grundlage des Datentransports im Internet. Entwickelt wurde das Protokoll ursprnglich fr das amerikanische Forschungsund Militrnetzwerk ARPANet. Bedingt durch die zeitliche Entwicklung
wird heute der Begriff IP meist mit der vierten Version des Protokolls (IPv4)
gleichgesetzt, das 1981 im Dokument [RFC791] festgelegt wurde.
RFC bedeutet ausgeschrieben Request for Comment (Aufforderung zum
Kommentieren) und beschreibt ein Dokument, in dem grundlegende Vorschriften ber die Implementation bestimmter Aspekte der Netzwerkkommunikation festgelegt werden. Das Besondere an den RFC ist, dass
ihr Inhalt nach der Verffentlichung nicht mehr verndert wird. Werden
Fehler in einem RFC festgestellt oder mchte man Erweiterungen zu
einem bestehenden RFC publizieren, wird ein neuer RFC aufgelegt und
der alte als eben das bezeichnet: veraltet (obsolated). Die RFC werden
dabei aufsteigend numerisch bezeichnet. Der ganze Prozess wird dabei
durchaus auch mit einer Prise technischem Humor gewrzt. So ist in
[RFC1149] (A Standard for the Transmission of IP Datagrams on Avian Carriers) beschrieben, wie man IP-Pakete mit Brieftauben transportieren
kann. Verffentlicht wurde der RFC am 1. April 1990 und befindet sich
immer noch im Status Experimental.
349
Basis des Protokolls ist die IP-Adresse, mit der jedes Gert, das mit dem
Netzwerk verbunden ist, bezeichnet wird. Diese Adresse wird aus 32 Bits
dargestellt, diese werden blicherweise in der Form von vier Dezimalzahlen dargestellt, die mit Punkten verbunden werden. Jede einzelne der vier
Zahlen wird somit durch 8 Bits dargestellt, dies erlaubt die Werte von 0 bis
255 einschlielich. Somit ergeben sich insgesamt maximal 4.294.967.296
unterschiedliche IP-Adressen. Dies erschien in der Anfangszeit des Internets, als es wenige Tausend Systeme gab, noch relativ viel zu sein. Inzwischen prognostiziert man jedoch, dass es in wenigen Jahren keine IPAdressen mehr zur Verteilung gbe.
Das Netz sind
Netze und Hosts
Tabelle 7.2
Zusammenhang
zwischen
IP-Adresse,
Subnetzmaske und
Netzwerkadresse
Um eine sinnvolle Strukturierung des Adressraums zu erreichen, teilt

man die IP-Adresse logisch in zwei Teile auf:
Netzwerkadresse Steht immer am Anfang der IP-Adresse. Mit einer
sogenannten Subnetzmaske wird der Teil der Netzadresse aus der IPAdresse ausmaskiert.
dezimal
Binr
IP-Adresse
201.193.233.137 11001001 11000001 11101001 10001001
Subnetzmaske
255.255.255.0
11111111 11111111 11111111 00000000
Netzwerkadresse
201.193.233.0
11001001 11000001 11101001 00000000
Mchte man eine IP-Adresse zusammen mit ihrer Subnetzmaske angeben, schreibt man entweder die dezimale Darstellung durch einen
Schrgstrich getrennt dahinter (201.193.233.137/255.255.255.0) oder gibt
an, wie viele mit 1 gesetzte Bits am Anfang der Subnetzmaske stehen
(201.193.233.137/24).
Hostadresse (Systemadresse) Beinhaltet die Bits der IP-Adresse, die
nicht zur Netzwerkadresse gehren, im obigen Beispiel also137.
Routing
Mchte nun ein System mit einem anderen System kommunizieren, so
errechnet der Sender seine Netzadresse aus seiner eigenen IP-Adresse und
eigenen Subnetzmaske und vergleicht dies mit der Netzwerkadresse, die er
aus der IP-Adresse des Empfngers und seiner eigenen Subnetzmaske
erhlt (die Subnetzmaske des Empfngers ist unbekannt). Stellt es dabei
fest, dass das Zielsystem die gleiche Netzwerkadresse hat, so geht es davon
aus, dass es dieses System auch direkt erreichen kann.
Stimmen die Netzwerkadressen nicht berein, muss das sendende System
ein System finden, das in der Lage ist, das Datenpaket in Richtung zum
Zielsystem weiter zu leiten. Im einfachsten Fall kennt das System nur einen
einzigen Kontaktpunkt (auch Router genannt) fr diese Aufgabe, dieser
wird Standardgateway (Default Gateway) genannt. In einem Netzwerk mit
mehreren Routern mssen vom Administrator Routen konfiguriert werden. Diese enthalten prinzipiell die folgenden Angaben: Welche Netzwerk-
350
Netzwerkprotokolle
adresse kann erreicht werden? ber welche IP-Adresse kann der Router
erreicht werden? Welcher lokale Adapter soll fr die Route verwendet werden? Wie teuer ist diese Verbindung? Die letzten beiden Angaben sind
optional, die Angabe des Adapters ist nur von Interesse, wenn an einem
Netzwerk mehrere Adapter parallel angeschlossen sind. Die Angabe der
Kosten (Metric) ist dann interessant, wenn ein Zielnetzwerk ber mehrere
Routen erreichbar ist. Das System kann dann den Datenverkehr ber die
gnstigste Strecke leiten. Ist die beste Route nicht verfgbar, versucht das
System automatisch, den Datenverkehr ber einen Umweg zu leiten, ohne
dass der Administrator manuell eingreifen msste.
Datentransportprotokolle
Zum eigentlichen Transport der Daten dienen die beiden Protokolle TCP
(Transmission Control Protocol) und UDP (User Datagram Protocol). Der
Unterschied zwischen beiden Protokollen besteht darin, dass bei TCP
eine feste Verbindung zwischen Sender und Empfnger aufgebaut wird.
Schon auf Protokollebene wird dafr gesorgt, dass alle Datenpakete der
Verbindung in der richtigen Reihenfolge und ohne Auslassungen ausgetauscht werden. Gehen whrend der bertragung Pakete verloren oder
werden verstmmelt, so fordert der jeweilige Empfnger automatisch
eine erneuete Sendung des Pakets an. Bei UDP findet ein derartiger Verbindungsaufbau nicht statt. Der Sender sendet sofort seine Daten an den
Empfnger, ohne zu wissen, ob dieser die Daten berhaupt empfangen
kann. Auf gleichem Wege verluft die bertragung von Rckmeldungen.
Das Programm, das UDP verwendet, muss selbst dafr sorgen, dass doppelte oder fehlende Pakete erkannt werden, und dementsprechend reagieren. Der Vorteil von UDP gegenber TCP besteht darin, dass die
Datenbertragung schneller stattfinden kann, da kein umstndlicher Verbindungsaufbau und -abbau zu Beginn und Ende der Datenbertragung
stattfinden muss.
Was wre ein

Netz ohne
Daten, die es
transportiert?
Um auf einem System mehrere parallele Datenbertragungen zu ermglichen, werden bei TCP und UDP die Verbindungen auf einem System
ber Portnummern adressiert. Eine Verbindung auf dem System wird
somit immer ber vier Zahlenangaben in einem Tupel unterschieden: IPAdresse Empfnger, Portnummer Empfnger, IP-Adresse Sender, Portnummer Sender. Fr bestimmte Dienste sind bestimmte Portnummern
beim Empfnger vorab definiert, zum Beispiel HTTP (Verbindungen mit
einem Webserver) auf Nummer 80. Mchte nun ein Client eine Datenbertragung aufbauen, so whlt er eine bei ihm nicht vergebene Portnummer (Quellport) und sendet die Nachricht an den bekannten Port des
Serversystems (Zielport) auf dem empfangenden System. Der Server sendet dann seine Rckantwort an diese vom Client gewhlte Portnummer
zurck. Baut der Client nun gleichzeitig eine zweite Verbindung zum Server auf, whlt er beim Verbindungsaufbau eine andere Portnummer aus,
da die erste verwendete Nummer ja nun von der ersten Verbindung
bereits belegt ist. Auf diese Weise kann der Server die beiden Verbindungen unterscheiden. Eine solche Kombination aus den vier Parametern der
Verbindung wird auch Socket genannt.
351
Listing 7.1
Mehrere Verbindungen zu einem
Zielport nutzen
unterschiedliche
Quellports.
>netstat
Proto
TCP
TCP
TCP
TCP
TCP
TCP
TCP
n
Lokale Adresse
192.168.0.99:49168
192.168.0.99:49169
192.168.0.99:49170
192.168.0.99:49171
192.168.0.99:49172
192.168.0.99:49173
192.168.0.99:49175
Remoteadresse
62.245.190.22:80
62.245.190.22:80
62.245.190.22:80
62.245.190.22:80
62.245.190.22:80
62.245.190.22:80
74.125.47.147:80
Status
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
Der Befehl netstat gibt eine Liste der aktiven Netzwerkverbindungen

aus, das Argument n sorgt dafr, dass die IP-Adressen und Portnummer nicht in Namen bersetzt werden. Die IP-Adresse 192.168.0.99 ist
die lokale Adresse des Systems, die IP-Adresse 62.245.190.22 entspricht
dem Webserver www.addison-wesley.de, die Adresse 74.125.47.147 gehrt
zu Google.
Namensfragen
IP-Adressen sind fr Computer sehr praktisch, weil diese gut mit Zahlen
umgehen knnen. Fr Menschen trifft dies nur bedingt zu. Menschen knnen besser mit Namen umgehen, zu denen sie eine gedankliche Verbindung
aufbauen knnen. Aus diesem Grund wurde DNS (Domain Name System)
entwickelt, ein System, um Namen zu IP-Adressen und umgekehrt zuordnen zu knnen. Im obigen Beispiel mit dem Befehl netstat haben wir extra
angefordert, dass diese bersetzung unterbleiben soll. Das System ist hierbei mehrstufig aufgebaut.
Abbildung 7.6
Struktur des DNSNamensraum
. (root)
com
de
biz
pearson
Q=A
addison-wesley
Pedsmtpgw
62.245.190.19
352
Q=MX
Q=A
pedsmtpgw.
pearson.de
www
62.245.190.22
Netzwerkprotokolle
An oberster Stelle steht die sogenannte rootzone (Wurzelzone), die als Namen sind
Namen einen einzelnen Punkt besitzt und von einer Ansammlung von 13 Schall und Rauch
sogenannten Rootservern vorgehalten wird, die unter der Verwaltung einer
Organisation mit Namen ICANN (Internet Corporation for assigned Names
und Numbers Internet-Vereinigung fr zugewiesene Namen und Nummern) stehen. Diese Vereinigung entscheidet ber die Zulassung der
Domnen der obersten Ebene (TLD Top Level Domain), hier gibt es die
klassischen generischen TLD (gTLD) wie beispielsweise com fr kommerzielle Angebote, lnderspezifische TLD (ccTLD, country code TLD) wie etwa
de fr Angebote aus Deutschland und eine ganze Reihe von neuen Domnen wie etwa biz fr Business. Die einzelnen Namensbestandteile einer
Adresse werden dabei durch Punkte voneinander abgetrennt.
Eine Liste aller aktuell vorhandenen TLD kann unter der Adresse [TLD]
abgefragt werden. Diese Liste reicht bei den ccTLD aktuell von ac fr
Ascension Island (eine Inselgruppe zwischen Afrika und Sdamerika)
bis zw fr Zimbabwe (Simbabwe). Aktuell ist im Kreis der ICANN eine
Diskussion im Gange, ob die ccTLD auch mit lnderspezifischen Zeichen geschrieben werden knnen, etwa in einem kyrillischen oder ostasiatischen Zeichensatz.
Mchte man zu einem DNS-Namen (im Beispiel www.addison-wesley.de)
die IP-Adresse herausfinden, wird dieser Name von rechts nach links analysiert. Die erste Domne, die dabei gefunden wird, ist de. Nun werden die
Rootserver befragt, welcher Server fr de zustndig ist. Dieser Server wird
dann gefragt, wer fr die Domne addison-wesley innerhalb der Domne de
zustndig ist. Dies kann durchaus ein anderer Server sein, wenn man die
Domne addison-wesley innerhalb der Domne com betrachtet.
Hat man nun erfahren, welcher Server fr die Domne addison-wesley.de

zustndig ist, kann man diesen Server nach der gewnschten Information
fragen. Hier kann man nun nach verschiedenen Informationen fragen, beispielsweise eine Abfrage nach der Adresse des Systems (querytype = A) mit
dem Namen www innerhalb der Domne, wenn man die Webseite der
Domne betrachten will. Mchte man hingegen an die Domne eine E-Mail
schicken, so wird man den Server nach dem zustndigen Mailaustauschsystem (querytype = MX. Mail Exchanger) befragen. In diesem Fall erhlt
man aber vom DNS keine IP-Adresse zurck, sondern nur die Information,
dass dieses System den Namen pedsmtpgw.pearson.de trgt. Der Vorgang
der Namensauflsung beginnt also mit dem neuen Namen von vorne.
Damit der Vorgang der Namensauflsung mglichst rasch geschieht,
werden die Informationen im DNS in den einzelnen Servern automatisch
zwischengespeichert. Fr jeden Eintrag existiert dabei eine Zeitspanne,
wie lange dieser Eintrag im Zwischenspeicher vorgehalten werden soll.
Dies hat andererseits auch zur Folge, dass nderungen in den Eintrgen
des DNS eine gewisse Zeit bentigen, wie sie allgemein bekannt sind, da
es keine Mglichkeit gibt, die zwischengespeicherten Eintrge vorzeitig
zu erneuern.
353
Listing 7.2
Beispiel fr DNSAbfragen mit
nslookup
>nslookup -q=ns de.

Nicht autorisierte Antwort:
de
nameserver = a.nic.de
...
de
nameserver = z.nic.de
>nslookup -q=ns addison-wesley.de z.nic.de
addison-wesley.de
nameserver = ns1.m-online.net
addison-wesley.de
nameserver = ns2.m-online.net
>nslookup -q=a www.addison-wesley.de ns1.m-online.net
Server: ns1.m-online.net
Address: 212.18.0.8
Name:
www.addison-wesley.de
Address: 62.245.190.22
Im Beispiel in Listing 7.2 werden insgesamt drei DNS-Abfragen mit dem

Programm nslookup.exe durchgefhrt. Bei der ersten Abfrage (nslookup
q=ns de.) wird der Standard-Nameserver nach der Adresse (querytype = ns)
des Nameservers fr die TLD de. gefragt. Als Antwort kommt eine ganze
Reihe von zustndigen Systemen zurck, aus der Antwort whlen wir
einen Server aus. Die Antwort wird gekennzeichnet als Nicht autorisierte
Antwort, weil wir einen DNS gefragt haben, der die Informationen nur
anhand seiner zwischengespeicherten Ergebnisse gegeben hat. Dieser Zwischenspeicher ist aber nicht befugt, eine finale Antwort zu geben, dies
knnten nur die Rootserver machen. Bei der zweiten Abfrage (nslookup
q=ns addison-wesley.de z.nic.de) wird nun einer der Server aus der ersten
Antwort (hier z.nic.de) gefragt, wer ein Nameserver (querytype = ns) fr die
Domne addison-wesley.de ist. Als Antwort erhlt man nun zwei Servernamen, von denen man fr die dritte Abfrage einen auswhlt. In dieser
dritten Abfrage (nslookup q=a www.addison-wesley.de ns1.m-online.net)
wird nun tatschlich nach der Adresse fr den Servernamen www.addisonwesley.de gefragt. Was bei der ganzen Betrachtung unterschlagen wurde, ist
noch eine ganze Reihe weiterer DNS-Abfragen, ohne welche die hier dargestellten Abfragen nicht funktionieren wrden. Beispielsweise muss ja fr
die zweite Abfrage zunchst mal die Adresse z.nic.de in eine IP-Adresse
gewandelt werden.
Aus diesem Beispiel mag man ersehen, dass ein strungsfreies Funktionieren der DNS-Abfragen eine wesentliche Grundvoraussetzung
fr das Funktionieren der Netzwerkfunktionalitten ist.
blicherweise werden einem System zwei oder mehr DNS genannt, an
die es seine Anfragen zur Namensauflsung schicken kann. Hierbei sollte
aber darauf geachtet werden, dass beide DNS ber den gleichen Datenbestand verfgen. Der zweite DNS wird nur dann angefragt, wenn der
erste DNS keine Antwort liefert. Liefert er eine negative Antwort (diese
Anfrage ergibt kein Resultat), wird Windows nie den zweiten DNS fragen.
Es bringt also nichts, einem System zwei DNS zu benennen, wobei der
354
Netzwerkprotokolle
erste fr die Adressen im Internet und der zweite fr die Adressen im

Intranet zustndig sein soll.
Besondere IP-Adressen und automatische Adresszuweisung

Es gibt eine Reihe von IP-Adressen mit besonderer Bedeutung. Diese werden speziell behandelt und sind zum Beispiel nicht fr die Verwendung im
Internet nutzbar:
10.x.y.zEin privates Netzwerk. Diese IP-Adressen werden von einem
Router weder als Sender noch als Empfngeradresse verwendet. Sie
dienen dazu, ein lokales, abgeschlossenes Netzwerk mit IP-Adressen
zu versehen. Die Standardsubnetzmaske in diesem Netz ist 255.0.0.0.
172.16.x.y 172.31.x.y Ein privates Netzwerk. Die Standardsubnetzmaske in diesem Netz ist 255.255.0.0.
192.168.x.y Ein privates Netzwerk. Die Standardsubnetzmaske in
diesem Netz ist 255.255.255.0.
0.0.0.0 Bezeichnet eine nicht zugewiesene IP-Adresse, die beispielsweise nicht konfiguriert wurde.
127.0.0.1 Diese Adresse kennzeichnet das System selbst (localhost).
255.255.255.255 Diese Adresse ist die generelle Rundsende-Adresse.
Pakete, die an diese Adresse gesendet werden, knnen prinzipiell von
jedem System im jeweiligen Netzsegment gelesen werden.
168.254.x.y Sobald ein System seine IP-Adresse von einem DHCP-Server beziehen sollte, dieser Prozess aber nicht zum Erfolg fhrt, wird dem
System eine Adresse aus dem Bereich zugewiesen. Dieser Prozess wird
auch als APIPA (Automatic Private IP Addressing) bezeichnet.
In vielen Fllen mchte man nicht jedes System im Netzwerk manuell mit
einer IP-Adresse konfigurieren. Hierfr wurde ein automatisches Verfahren
mit Namen DHCP (Dynamic Host Configuration Protocol) entwickelt, das
diese Adressvergabe automatisch durchfhrt. Hierfr wird auf einem
DHCP-Server ein Pool von IP-Adressen angelegt (DHCP-Scope), die zur Verteilung zur Verfgung stehen. Ein als DHCP-Client konfiguriertes System
fragt per Rundsendung in das Netz, ob es dort einen DHCP-Server gibt, der
ihm eine Adresse zuteilen mchte. Der DHCP-Server erkennt diese Rundsendungen und teilt dem DHCP-Client eine Adresse aus seinem Pool zu.
Man spricht davon, dass der Client ein Lease erhalten hat.
>ipconfig /all
Windows-IP-Konfiguration
Hostname . . . . . .
Primres DNS-Suffix .
Knotentyp . . . . . .
IP-Routing aktiviert
WINS-Proxy aktiviert
DNS-Suffixsuchliste .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
:
:
:
:
:
:
win7lap
Listing 7.3
berprfung der
IP-Adressen mittels
ipconfig
Hybrid
Nein
Nein
rid
Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:
355
Verbindungsspezifisches DNS-Suffix: rid
Beschreibung. . . . . . . . . . . : Atheros AR5007EG Wireless
Network Adapter
Physikalische Adresse . . . . . . : 00-24-D2-2C-88-1F
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 192.168.0.99(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Mittwoch, 4. November 2009
08:13:18
Lease luft ab. . . . . . . . . . : Donnerstag, 5. November 2009
08:13:18
Standardgateway . . . . . . . . . : 192.168.0.254
DHCP-Server . . . . . . . . . . . : 192.168.0.254
DNS-Server . . . . . . . . . . . : 192.168.0.254
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Verwaltung
automatisch
Zusammen mit dieser Adresszuweisung kann dem Client auch noch eine
ganze Reihe von Verwaltungsinformationen mit bertragen werden,
sodass an der Netzwerkkonfiguration des Clients keinerlei manuelle Eingaben mehr erforderlich sind, auch wenn der Client pltzlich an einen
anderen Netzwerkstandort wechselt. Der DHCP-Server kontrolliert, wie
lange ein Client seine IP-Adresse behalten darf; diese Zeitspanne wird
auch als Leasedauer bezeichnet. Im obigen Beispiel in Listing 7.3 betrgt
diese Zeitspanne genau einen Tag. Noch vor Ablauf dieser Zeitspanne
muss sich der Client an den Server wenden, der die Adresse ursprnglich
zugeteilt hatte (hier 192.168.0.254), und versuchen, eine Verlngerung der
Zeitspanne zu erreichen.
Einige Dienste laufen nur im TCP, andere nur mit UDP, und manche
verwenden beide Protokolle. Einen Einblick in die mglichen Dienste
bekommt man mit der Datei %windor%\system32\drivers\etc\services,
in der die Zuordnung zwischen Dienstname, verwendetem Protokoll
und Portnummer einsehbar ist. An gleicher Stelle findet sich auch die
Datei protocol, in der man erkennen kann, welche Transferprotokolle es
auer TCP und UDP noch gibt.
Netzwerkmultiplikatoren
In den meisten Fllen bekommt man bei der Verbindung mit seinem Provider genau eine ffentliche IP-Adresse zugewiesen, mchte aber mehr als
ein System in seinem lokalen Netzwerk betreiben. Fr diesen Anwendungsfall wurde das Prinzip NAT (Network Address Translation) entwickelt.
Hier nimmt ein sogenannter NAT-Router die IP-Pakete mit einer netzinternen Adresse (typischerweise aus dem Bereich 192.168.x.y) entgegen und
gibt diese nach auen mit seiner ffentlichen IP-Adresse weiter. Kommt
dann eine Rckantwort von auen zurck so tauscht er wieder die
ursprngliche Zieladresse gegen die interne IP-Adresse des ursprnglichen Clients aus.
356
Netzwerkprotokolle
Mchte man auf einem System im inneren Netzwerk einen Dienst nach
auen anbieten, so muss man dies dem NAT-Router separat konfigurieren, damit er wei, welche Verbindungen zu welchem Port er zu welchem
System im inneren Netz weiterleiten soll. Dies hat andererseits aber auch
zur Folge, dass so ein NAT-Router einen gewissen Schutz fr die internen
Systeme darstellt, da es nicht mglich ist, von auen direkt Kontakt mit
den internen Systemen aufzunehmen.
Ein Netzwerk ohne Betriebssystem

Man kann ein Netzwerk auch dazu verwenden, um einen Computer neu
zu installieren. Das Verfahren beruht darauf, dass auf dem Computer (im
BIOS oder auf dem Netzwerkadapter) ein Modul beim Start des Systems
versucht, einen Server zu finden, von dem es ein Installationsimage erhalten kann.
Abbildung 7.7
Rechnerstart ohne
Betriebssystem
In Abbildung 7.7 sieht man einen Rechner, auf dessen Datentrger sich
kein Betriebssystem befindet. In diesem Falle versucht das BIOS, einen
Systemstart ber PXE (Preboot Execution Environment Laufzeitumgebung fr den Systemstart) durchzufhren. Hierbei wird zunchst per
DHCP eine IP-Adresse gesucht. Der DHCP-Server muss bei der Zuteilung der IP-Adresse zugleich auch dem Client mitteilen, welche PXE-Server zur Verfgung stehen. Von diesem Server wird dann per TFTP (Trivial
FTP Einfaches Protokoll zur Transfer von Dateien) ein Startprogramm
bezogen. Je nach Konfiguration wird dem Client vom TFTP-Server entweder ein komplettes Abbild zum direkten Ausfhren aus dem RAM
bertragen oder zunchst ein Abbild zur Installation des Betriebssystems
auf einem lokalen Datentrger. Auf diese Weise kann in einer Firmenumgebung die Installation eines neuen Systems direkt am Arbeitsplatz ohne
manuellen Eingriff eines Administrators erfolgen. Die hier angerissene
Methode wird ausfhrlich in Kapitel 4 besprochen.
7.3.3
Das IP-Protokoll Version 6
Schon recht frh begann sich abzuzeichnen, dass der Adressraum des
Protokolls IPv4 irgendwann erschpft sein wrde. Deshalb begann man
im Jahr 1995 mit berlegungen zu einem Nachfolgeprotokoll, das diese
Probleme des kleinen Adressraums nicht mehr haben sollte. In 1998
wurde im RFC 2460 die Konzeption des Nachfolgers IPv6 vorgestellt. In
die Entwicklung des Protokolls flossen auch viele Erfahrungen ein, die
man mit IPv4 erst im Laufe seiner Anwendung gesammelt hatte.
357
Aufbau der IPv6-Adresse

Viel hilft viel
Basis des Protokolls ist die Erweiterung der IP-Adresse von 32 auf 128 Bits,
was zu einer Gesamtzahl von etwa 3,4 * 1038 IP-Adressen fhrt. Um sich
diese Zahl vorzustellen, mag folgende Rechnung dienen. Die Erdoberflche betrgt etwa 510*106 km2, das sind 5,1*1020 mm2. Mchte man nun
jeden Quadratmillimeter der Erdoberflche gleichmig mit IP-Adressen
belegen, so bleiben pro mm2 immer noch 6,6 * 1017 IP-Adressen brig, also
gut 600 Billiarden. Das sollte also zunchst fr das weitere Wachstum des
Internets ausreichend sein.
Whrend bei IPv4 die Adressen in Form von vier dezimalen Zahlen notiert
werden, hat man fr IPv6 ein Format mit acht Adressblcken aus jeweils
vier hexadezimalen Ziffern (0123456789abcedf) gewhlt, die durch einen
Doppelpunkt voneinander angetrennt werden. Stehen in einem dieser 4erBlcke vorne eine oder mehrere Nullen, knnen diese auch weggelassen
werden. Kommen in einem oder mehreren dieser 4er-Blcke hintereinander nur Nullen vor, knnen diese Blcke komplett gestrichen und durch
zwei aufeinanderfolgende Doppelpunkte dargestellt werden. Eine mehrfache Verwendung dieser Verkrzung ist nicht mglich.
Standardmig sind jedem Adapter gleich mehrere IPv6-Adressen zugeordnet, eine davon ist die LinkLocal-Adresse. Dies ist eine Adresse zur Verwendung im lokalen Netzwerk, wobei die tatschlich verwendete Adresse
unter anderem von der Hardware-Adresse des Netzwerkadapters abhngt
(MAC-Adresse). Diese Adressen werden im Bereich der Autokonfiguration verwendet, hnlich wie die APIPA-Adressen bei IPv4.
Bedingt durch die konzeptionelle hnlichkeit von IPv4 und IPv6 ergeben sich in der Anwendung von IPv6 viele hnlichkeiten mit bereits
bekannten Verfahren und Einstellungen. Die groen nderungen liegen eher im Bereich des Netzwerkaufbaus und seiner Strukturierung.
Eine genaue Einfhrung in dieses Thema bietet das Buch Understanding IPv6, Second Edition von Joseph Davies, Microsoft Press, ISBN-10:
0735624461, oder die Website [IPV6].
Koexistenz
Das grte Problem bei IPv6 besteht in seiner Einfhrung in ein bestehendes Netzwerk auf Basis von IPv4. Zum einen mssen alle Anwendungen
auf die Verwendung der neuen, greren IP-Adressen vorgesehen werden, zum anderen mssen die aktiven Netzwerkkomponenten fr den
Betrieb mit IPv6 vorbereitet sein. In den wenigsten Fllen wird man von
seinem Provider auch eine IPv6-Adresse bekommen. Hier zeigt sich ein
klassisches Henne-Ei-Problem: Die Provider bieten kein IPv6 an, weil die
Kunden kein IPv6 anfordern, die Kunden fordern kein IPv6 an, weil es
keine per IPv6 erreichbaren Dienste gibt, es werden keine Dienste per
IPv6 angeboten, weil die Kunden kein IPv6 nutzen knnen.
358
Um den Flaschenhals IPv6-Provider zu umgehen, gibt es eine ganze Reihe

von Verfahren, mit denen IPv6-Pakete ber bestehende IPv4-Verbindungen
bertragen werden (Tunnel-Protokolle). Auf diese Weise kann man in seinem lokalen Netzwerk schon IPv6 verwenden und trotzdem auch Kontakt
mit bereits auf IPv6 basierenden Diensten (http://ipv6.google.com oder http://
www.six.heise.de) aufnehmen.
Im folgenden Kapitel 8 wird der Aufbau eines IPv6-Tunnels detailliert
besprochen.
7.4
Netzwerkanwendungen
Server und Client
Bei der Datenkommunikation unterscheidet man zum einen nach der

Richtung des Datentransfers (Sender und Empfnger) und zum anderen
danach, wer die Kommunikation initial angestoen hat, hier unterscheidet man zwischen Client und Server. Der Client ist immer das System,
das den Datenverkehr initial startet, der Server ist der, der diese erste
Nachricht des Clients entgegennimmt und danach eine Rckantwort sendet. In der Folge werden die Rollen von Sender und Empfnger immer
abwechselnd eingenommen.
7.4.1
Web Internetinformationsdienste (IIS)

und IE
Das WWW (World Wide Web) ist fr die meisten Nutzer eigentlich iden- Das Internet ist
tisch mit dem Internet, obwohl dieses noch einige weitere Dienste bietet. mehr als blo
Der Client fr das WWW ist der Browser, bislang bedeutet dies eigentlich das Web
immer Internet Explorer. Bei Windows 7 hat sich allerdings im Bereich der
EU die Justiz in diesen Bereich eingemischt. Nach einer Beschwerde eines
anderen Browserherstellers sah es zeitweise sogar so aus, als ob Windows 7
von Microsoft vllig ohne Browser ausgeliefert werden msste. Die aktuelle Lage im Streitfall sieht so aus, dass Windows 7 zwar mit dem Internet
Explorer ausgeliefert wird, beim ersten Start durch den Benutzer dieser
aber eine Auswahlseite zu sehen bekommt, ber die er auch andere Browser installieren kann.
Windows 7 kann jedoch nicht nur als Client im WWW agieren, es gibt auch
einen Webserver IIS (Internet Information Services), den man installieren
kann. Rufen Sie hierzu Systemsteuerung/Programme/Programme und Funktionen/Windows-Funktionen aktivieren oder deaktivieren auf. Per Klick auf das
Kontrollkstchen Internetinformationsdienste wird eine Auswahl der dazu
gehrigen Unterkomponenten angeboten.
Diese Komponente ist in allen Editionen von Windows 7 verfgbar.
359
Abbildung 7.8
IIS-Komponenten
Insbesondere werden zunchst nur statische Seiten untersttzt, die Verwendung von dynamischen Seiten mit ASP (Active Server Pages) wird aus
Sicherheitsgrnden standardmig nicht aktiviert.
Vom Funktionsumfang unterscheidet sich IIS 7.5 in Windows 7 nicht von
der Version, die mit Windows Server 2008 ausgeliefert wird. Insbesondere ist es nun, im Gegensatz zu IIS unter Windows XP, auch mglich,
mehr als einen Webserver auf einem System zu betreiben.
Unter Windows Vista war die Anzahl gleichzeitig zu verarbeitender
Clientanfragen begrenzt. Zustzliche wurden in eine Warteschlange
eingereiht, was somit faktisch die Leistung von IIS limitierte. Informationen, ob derartige Drosselungen auch unter Windows 7 existierten,
stehen derzeit noch nicht zur Verfgung.
IIS 7.5 unter Windows 7 ist nicht dafr gedacht, als Ersatz fr einen produktiven Webserver zu dienen. Der Einsatzzweck drfte eher ein Entwicklungs- und Testsystem fr Entwickler und Webdesigner sein.
7.4.2
Fernarbeit Telnet, Remotedesktop und

Remoteuntersttzung
Die Idee, an seinem Schreibtisch zu sitzen und mit einem Computer zu arbeiten, ist ja nicht neu. Das gab es eigentlich schon, seit es Computer berhaupt
gibt. In der Anfangszeit nutzte man Terminals, die ber eine serielle Leitung
mit dem Computer verbunden waren. Mit der Einfhrung von Computernetzwerken wurde damit als einer der ersten Dienste ein netzwerkfhiges
Terminal eingefhrt, fr das sich der Name Telnet durchgesetzt hat.
In den bisherigen Versionen von Windows waren sowohl ein Programm
fr die Verwendung ber eine serielle Leitung (Hyper Terminal) als auch
360
fr die Verbindung ber das Netzwerk (telnet.exe) mitinstalliert worden.

Die Untersttzung fr Hyper Terminal wurde mit Windows Vista komplett eingestellt, der Telnet-Client muss ber die Windows-Funktionen
separat installiert werden. Whrend die Telnet-Server-Funktion (also
anderen Benutzern erlauben, sich ber das Netzwerk anzumelden und
Kommandos auf dem lokalen System auszufhren) frher nur fr die
Server-Editionen von Windows angeboten wurde, ist diese Funktionalitt
auch fr Windows 7 verfgbar. Die Installation erfolgt ber die Auswahl
der Windows-Komponenten in der Systemsteuerung.
Abbildung 7.9
Der Telnet-Server
ist zwar installiert,
aber noch nicht aktiviert.
7
Nachdem der Telnet-Server installiert ist, muss der Dienst noch manuell aktiviert werden. Zudem wird auf dem System eine lokale Gruppe
TelnetClients eingerichtet. Nur Benutzer, die Mitglied dieser Gruppe
sind, erhalten das Recht, sich ber Telnet an diesem Rechner anzumelden, dies gilt auch fr Administratoren. Eine Regel fr den Zugriff auf
den Server wird automatisch in die Firewall eingetragen.
>telnet.exe win7lap
*===============================================================
Microsoft Telnet Server.
*===============================================================
C:\Users\user1.win7lap>set c
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=WIN7LAP
ComSpec=C:\Windows\system32\cmd.exe
Listing 7.4
Verbindungsaufbau
mittels telnet.exe
C:\Users\user1.win7lap>dir /w
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8895-41F4
Verzeichnis von C:\Users\user1.win7lap
361
[.]
[..]
[Contacts]
[Desktop]
[Documents]
[Downloads] [Favorites] [Links]
[Music]
[Pictures]
[Saved Games] [Searches]
[Videos]
0 Datei(en),
0 Bytes
C:\Users\user1.win7lap>exit
Verbindung zu Host verloren.
Multiuser fr
geringe
Ansprche
Listing 7.5
Multiuser nur
eingeschrnkt
Es ist allerdings nicht mglich, mehr als zwei Verbindungen zu einem Telnet-Server unter Windows 7 aufzubauen. Zudem kann man zwar auch
grafische Programme starten, diese werden aber nicht auf der Oberflche
angezeigt.
C:\Dokumente und Einstellungen\jochenr>telnet.exe win7lap
Welcome to Microsoft Telnet Service
login: user1
password:
Neue Verbindung aufgrund von Beschrnkung der Anzahl der
Verbindungen verweigert
.
Verbindung zu Host verloren.
Deutlich mehr Mglichkeiten bieten die unter dem Oberbegriff Remotedesktop eingefhrten Dienste. Hierbei besteht die Mglichkeit, die komplette
Oberflche des Systems inklusive grafischer Ausgabe und Mausbedienung
auf einem anderen System zu bertragen. Bei Windows 7 gibt es diese
Dienste in zwei Ausfhrungen:
Remoteuntersttzung Bei der Remoteuntersttzung fordert der Benutzer, der gerade vor dem Computer sitzt, die Untersttzung zum Beispiel eines Supportmitarbeiters an. Hierbei knnen beide Benutzer den
Bildschirm des Anfordernden sehen und sich ber eine Chat-Funktionalitt auch austauschen. Auf Wunsch kann der Support-Mitarbeiter
auch Aktionen auf dem fremden System durchfhren.
Remotedesktop Beim Remotedesktop wird whrend der Verbindung
mit dem Remotedesktopclient der Bildschirm der ursprnglichen
Systems abgeschaltet, der Benutzer, der vor dem System sitzt, kann
also nicht sehen, was ber die Netzverbindung tatschlich ausgefhrt
wird. Diese Beschrnkung ist allerdings rein lizenztechnischer Natur,
bei gleicher Technik knnen auf einem Windows (Terminal) Server
auch viele Benutzer gleichzeitig arbeiten. Meldet man sich ber das
Netzwerk mit dem Benutzer an, der aktuell lokal angemeldet ist,
erhlt man seinen Bildschirm mit allen laufenden Applikationen
angezeigt. Meldet man sich mit einem anderen Benutzer an, wird dessen Sitzung (nach Nachfrage) gesperrt. Standardmig knnen sich
nur Administratoren per Remotedesktop anmelden, weiteren Benutzern kann diese Mglichkeit durch Aufnahme in die lokale Gruppe
Remotedesktopbenutzer erlaubt werden.
362
Gesteuert werden beide Mglichkeiten ber den Link Remoteeinstellungen

in den Systemeigenschaften des Computers. In Kapitel 8 wird dieses Thema
ausfhrlicher behandelt. Eine weitere Mglichkeit zur Zusammenarbeit
bietet das Programm SharedView, dieses wird in Kapitel 16 vorgestellt.
Abbildung 7.10
Steuerung des
Remotezugriffs
7.4.3
Datei- und Druckerfreigabe SMB, CIFS

und NFS
Fr den Zugriff auf Dateien eines fremden Systems haben sich zwei unterschiedliche Verfahren am Markt durchgesetzt, das aus dem Unix-Bereich
bekannte NFS (Network File System) und die Datei- und Druckfreigabe unter
Windows, die unter den Bezeichnungen SMB (Server Message Block) und
CIFS (Common Internet File System) bekannt wurde. SMB wurde dabei erstmals von den Produkten LAN Manager (Microsoft) und LAN Server (IBM)
unter OS/2 1.x verwendet. Auf Clientseite wurde es mit Windows fr
Workgroups erstmals auch fr einen Betrieb ohne dezidierte Serversysteme eingefhrt.
Whrend die Datei- und Druckfreigabe Bestandteil von Windows 7 ist,
muss man die Untersttzung fr den Zugriff auf NFS-Server zunchst als
zustzliche Windows-Komponente installieren. Hat man die Komponente Client fr NFS installiert, steht der Befehl mount.exe zur Verfgung,
mit dem man eine Verbindung zu einem freigegebenen Mountpoint eines
NFS-Servers herstellen kann.
>mount -u:jochen -p:XXXX \\192.168.0.97\home *
Z: ist jetzt erfolgreich mit "\\192.168.0.97\home" verbunden.
Der Befehl wurde erfolgreich ausgefhrt.
Listing 7.6
Herstellen einer
Verbindung zu einer
NFS-Freigabe
>dir z:
Volume in Laufwerk Z: hat keine Bezeichnung.
363
Volumeseriennummer: CE24-632E
Verzeichnis von Z:\
28.08.2008
12.08.2009
28.08.2008
28.08.2008
Wer bin ich, wer

will ich sein?
20:11
<DIR>
.
21:22
<DIR>
jochen
19:52
<DIR>
lost+found
20:11
<DIR>
..
0 Datei(en),
28.672 Bytes
Versucht man nun auf Dateien auf die Freigabe zuzugreifen, wird man
schnell feststellen, dass man nicht die Berechtigungen auf dem System hat,
die man eigentlich nach dem gewhlten Benutzernamen erwarten wrde.
Dies liegt daran, dass die NFS-Server intern nicht mit Benutzernamen arbeiten, sondern mit Benutzernummern. Da Windows 7 nicht feststellen kann,
welche Benutzernummer zu einem bestimmten Benutzer gehrt, wird eine
sogenannte anonyme Benutzernummer verwendet. Diese kann man sich
auch ber den Befehl mount.exe anzeigen lassen.
Listing 7.7
Optionen einer
NFS-Verbindung
>mount
Mein Name ist

Nobody
Interessant sind hierbei die Angaben UID=2 und GID=2. Diese weisen
den verbundenen NFS-Server an, die Verbindung mit sehr geringen
Zugriffsrechten (der Benutzer nobody) auszustatten. Um dieses Problem
zu umgehen, gibt es zwei Mglichkeiten:
1. In der Registry im Schlssel HKLM\SOFTWARE\Microsoft\
ClientforNFS\CurrentVersion\Default die beiden DWORD-Werte
AnonymousUID und AnonymousGID anlegen und mit den gewnschten
Werten versehen. Dann erhalten allerdings alle Benutzer, die auf diesem
System den NFS-Client verwenden, bei ihren Verbindungen die Berechtigungen dieses Benutzers.
2. Sie knnen den NFS-Client so konfigurieren, dass er fr die Zuordnung
von Benutzernamen unter Windows und Benutzernummer auf dem
NFS-Server Active Directory oder einen anderen Verzeichnisdienst wie
beispielsweise NIS befragt.
Lokal
Remote
Eigenschaften
------------------------------------------------------------------Z:
\\192.168.0.97\home
UID=-2, GID=-2
rsize=32768, wsize=32768
mount=soft, timeout=0.8
retry=1, locking=yes
fileaccess=755, lang=ANSI
casesensitive=no
s=sys
Die Einbindung von Windows 7 an NFS-Server kann sicherlich noch nicht

als optimal bezeichnet werden. Hier ist der umgekehrte Weg, auf dem
Unix-artigen System einen Dienst fr Datei- und Druckerfreigabe zu betreiben (Samba), der komfortablere Weg.
364
Erweiterte
Netzwerkfunktionen
Whrend im vorigen Kapitel ein eher genereller berblick gegeben und

einige Spezialthemen kurz angerissen wurden, werde ich hier die Netzwerkfunktionen in Windows 7 tiefgehender behandeln.
8.1
Die zentrale Anlaufstelle fr die Netzwerkeinstellungen bei Windows 7

ist das Netzwerk- und Freigabecenter. Sie erreichen es unter Systemsteuerung/Netzwerk und Internet/Netzwerk- und Freigabecenter.
Abbildung 8.1
Netzwerk- und
Freigabecenter
365
Kapitel 8 Erweiterte Netzwerkfunktionen

Der zentrale
Dreh- und
Angelpunkt
Der tatschliche Anblick des Fensters kann variieren, je nach Anzahl der
vorhandenen Netzwerkschnittstellen. Im oberen Teil sehen Sie eine schematische Darstellung des gesamten Netzwerkes, darunter eine Auflistung aller
auf dem System erkannten Netzwerke, wobei zu jedem Netzwerk auch
mehr als ein Netzwerkadapter gehren kann. Zu jedem dieser Netzwerke
wird eine ganze Reihe von Daten angezeigt:
Name des Netzwerkes Dient zur Identifikation
Art des Netzwerkes (Netzwerkprofil) Mglich sind hier die Optionen Heimnetzwerk, Arbeitsplatznetzwerk, Domnennetzwerk und ffentliches Netzwerk
Zugriffstyp Gibt an, ob hier Verbindung mit dem Internet hergestellt
werden kann oder nicht
Verbindungen Gibt an, ber welche Netzwerkadapter die Verbindung hergestellt wird
8.1.1
Status eines Netzwerkadapters
Der Name des Netzwerkadapters am rechten Rand ist anklickbar, es

erscheint ein Statusfenster fr den Adapter. Das gleiche Fenster erhlt man,
wenn man im Netzwerkcenter links in der Leiste auf Adaptereinstellungen
ndern klickt und dann den gewnschten Adapter doppelt anklickt.
Abbildung 8.2
Status eines Netzwerkadapters
Adapterstatus
366
Getrennt fr die Protokolle IPv4 und IPv6 wird angegeben, ob der Adapter
eine Verbindung zum Internet herstellen kann oder nicht. Der Medienstatus
beschreibt (beispielsweise bei einem Ethernetadapter), ob das Netzwerkkabel eingesteckt ist. Ist es nicht angeschlossen, so kann die Statusanzeige
nicht angezeigt werden, wird das Kabel entfernt, whrend der Dialog geffnet ist, wird dieser automatisch geschlossen. Die bertragungsrate gibt die
nominale Geschwindigkeit der Karte an. Dieser Wert hat jedoch nichts mit
der tatschlich erreichten bertragungsgeschwindigkeit zu tun. Bei einem
WLAN-Adapter wird an dieser Stelle zustzlich auch noch die Qualitt des
Funksignals angezeigt. Die Angabe zur Aktivitt im unteren Teil wird je
nach Adapter in Bytes oder Paketen angegeben, dies hngt nicht von Win-
dows 7, sondern vom verwendeten Netzwerktreiber ab. Genauere Informationen erhlt man durch die Schaltflche Details.
Die angezeigten Informationen beziehen sich im Wesentlichen auf die Konfiguration fr IPv4 und IPv6. Fr jedes Protokoll wird angegeben, welche
IP-Adresse dem Adapter zugeteilt wurde, zusammen mit der entsprechenden Subnetzmaske. Sind einem Adapter mehrere IP-Adressen zugeordnet,
so erscheinen auch mehrere Eintrge untereinander. Ist die IP-Adresse per
DHCP bezogen, so werden der jeweilige DHCP-Server und die Zeit, zu der
die IP-Adresse bezogen wurde und zu der die Adresse abluft, angegeben.
Fr die Namensauflsung werden die eventuell gesetzten DNS-Server
(siehe Kapitel 8) und WINS-Server (Windows Internet Naming Service, ein
Dienst zur Namensauflsung, der vorwiegend fr Windows NT bentigt
wurde) in heutigen Netzen eigentlich nicht mehr verwendet.
Abbildung 8.3
Detailinformationen ber einen
Adapter
Mit der Schaltflche Eigenschaften lassen sich die Eigenschaften der einzelnen Protokolle und Dienste ndern (siehe hierzu den Abschnitt 8.1.2 ab
Seite 367). Mit der Schaltflche Deaktivieren lsst sich ein Netzwerkadapter komplett ausschalten, dann sind keinerlei Datenbertragungen mehr
mglich. Diese Funktion erreichen Sie auch ber die Seite Adaptereinstellungen ndern mit der dortigen Funktion Netzwerkgert deaktivieren.
Mit der Schaltflche Diagnose versucht das System festzustellen, welche

mglichen Probleme bei einem Netzwerkadapter aufgetreten sind, und
gibt dann Hinweise auf Fehlerursachen, die man berprfen mge.
8.1.2
Netzwerkadapter, Protokolle und Dienste
Im vorigen Kapitel haben Sie die theoretische Schichtung der einzelnen

Kommunikationsebenen kennengelernt, hier knnen Sie diese jetzt in der
Realitt von Windows 7 sehen. Rufen Sie zunchst die Schaltflche Eigenschaften im Status-Dialogfeld eines Netzwerkadapters auf.
Im oberen Teil sehen Sie die physikalische Netzwerkkarte, ber die Schaltfl- Netzwerk zum
che Konfigurieren knnen Sie deren Eigenschaften festlegen. Diese Einstel- Anfassen
lungen knnen Sie auch erreichen, wenn Sie im Gerte-Manager der Compu-
367
terverwaltung die dortigen Eigenschaften des Netzwerkadapters aufrufen.

Zu den dort zugnglichen Informationen gehren beispielsweise Informationen ber Hardware-Ressourcen oder wie der Adapter von der Energieverwaltung behandelt werden soll. Nhere Informationen hierzu finden Sie in
Kapitel 2. In der Liste der Elemente sehen Sie anhand der Symbole vor der
Beschreibung, um was fr Elemente es sich handelt. Die T-frmigen Kabelabschnitte (in Abbildung 8.4 unten) kennzeichnen Protokolle, diejenigen mit
dem Computersymbol auf einer Hand kennzeichnen Dienste und solche mit
einem Computer am Kabel Klienten.
Abbildung 8.4
Eigenschaften einer
Netzwerkkarte
Sie knnen sich den Unterscheid zwischen Protokoll, Dienst und Klient
ganz einfach merken: Ein Klient fragt ber ein Protokoll einen Dienst an,
und dieser sendet die Antwort ber das gleiche Protokoll wieder zurck.
Protokolle
Nur Protokolle, bei denen ein Haken im entsprechenden Kontrollkstchen
gesetzt ist, knnen ber diesen Adapter auch verwendet werden. Die beiden Eintrge Interprotokoll Version 4 und Internetprotokoll Version 6 knnen
hierbei ber die Schaltflche Eigenschaften auch konfiguriert werden (siehe
den Abschnitt 8.2 ab Seite 374), dafr ist dort die Deinstallation nicht mglich. Die beiden Protokolle E/A-Treiber fr Verbindungsschicht-Topologieerkennungszuordnung und Antwort fr Verbindungsschicht-Topologieerkennung
gehren logisch zusammen und bilden zusammen das Link Layer Topology
Discovery Protocol (LLTP). Diese beiden Teilprotokolle werden von Windows Vista und Windows 7 verwendet, um Computer im lokalen Netzwerk
zu finden und sie in einem Netzwerkdiagramm anordnen zu knnen. Sind
diese beiden Protokolle nicht aktiviert, so wird der betreffende Computer
nicht in der Netzwerkbersicht angezeigt beziehungsweise kann er selber
diese bersicht nicht aufbauen und anzeigen. Dies ist auch der Grund,
warum Systeme mit Windows XP nicht in dieser bersicht erscheinen, weil
sie dieses Protokoll standardmig nicht untersttzen.
368
Das LLTP-Protokoll lsst sich fr Windows XP nachrsten, siehe hierzu

[LLTP].
Dienste
Dienste stellen Informationen fr andere Teilnehmer im Netzwerk zur
Verfgung, hier sind zwei gelistet:
Datei- und Druckfreigabe fr Microsoft-Netzwerke Nur wenn dieser
Dienst aktiviert ist, kann das System seine Drucker oder Datentrger
anderen Systemen zur Verfgung stellen. Ist dieser Dienst nicht aktiviert,
so ist dies nicht mglich (siehe hierzu den Abschnitt 8.7 ab Seite 428).
QoS-Paketplaner Quality of Service beschreibt ein Verfahren, mit dem
auf Anforderung einer Anwendung ein bestimmter Anteil der Bandbreite einer Verbindung fr diese Anwendung reserviert werden kann.
Diese Beschrnkung der verfgbaren Bandbreite wird aber nur durchgefhrt, wenn tatschlich eine Anwendung diese Reservierung anfordert. Man gewinnt also keinerlei zustzliche Bandbreite, wenn man den
Dienst deaktiviert.
Klienten
Als einziger Klient wird der Client fr Microsoft-Netzwerke installiert. Nur Fremde Netze
mit diesem ist es mglich, auf Ressourcen (freigegebene Datentrger und
Drucker) von anderen Systemen zuzugreifen.
ber die Schaltflche Installieren kann man zustzliche Protokolle, Dienste
und Klienten hinzufgen, zum Beispiel einen Klienten fr den Zugriff auf
Server unter Novell NetWare. Hierzu muss dann der entsprechende Datentrger dem System verfgbar gemacht werden.
8.1.3
Unterschiedliche Netzwerkprofile und die

Kopplung zwischen Protokollen und
Diensten
Im Netzwerk- und Freigabecenter wird fr jedes Netzwerk angezeigt, welches Profil (auch Netzwerkstandort) auf dieser Netzwerkkarte aktiviert ist.
Die vier mglichen Profile sind:
Heimnetzwerk Der Computer steht in einem privaten Netzwerk, jeder
kennt jeden und vertraut ihm. Als Zusatzfunktion knnen sie eine
Heimnetzwerkgruppe bilden (siehe den Abschnitt 8.9 ab Seite 447).
Arbeitsplatznetzwerk Auch hier steht der Computer in einer vertrauten Umgebung, die Funktionalitt Heimnetzgruppe ist allerdings nicht
vorhanden.
Domnennetzwerk Das Netzwerk wird ber die Einstellungen der
Domnencontroller gesteuert, lokale Einstellungen sind nicht mglich.
ffentliches Netzwerk Die Umgebung des Computers ist potenziell
gefhrlich, fremde Systeme knnen versuchen, das System ber das
Netzwerk anzugreifen.
369
Im Netzwerkcenter wird zu jedem Adapter angezeigt, zu welchem Netzwerkprofil Windows den Adapter zuordnet, durch Klick auf die Bezeichnung des Adapters erhlt man die Mglichkeit, das Profil selber auszuwhlen.
Abbildung 8.5
Netzwerkprofil
manuell auswhlen
Nicht jedes Profil

kann man frei
whlen
Die Einstellung Domnennetzwerk kann man nicht manuell auswhlen,

diese wird automatisch gewhlt, sobald der Computer ber dieses Netzwerk Kontakt mit seinem Domnencontroller aufnehmen kann. Die Erklrungen zu den einzelnen Auswahlpunkten erlutern die Auswirkungen der
Einstellung nochmals. Um festzustellen, in welchem Netzwerk sich das System aufhlt, verwendet Windows eine Funktion mit Namen Netzwerkerkennung (Network Location Awareness, NLA), diese bestimmt verschiedene
Parameter und entscheidet danach, ob das aktuelle Netzwerk ein bereits
bekanntes ist oder ein neues.
Der Netzwerktyp lsst sich nicht einstellen

Bisweilen kommt es vor, dass sich der Netzwerktyp nicht einstellen lsst
und fest auf ffentliches Netzwerk bleibt. Dies ist insofern schlecht, als dass
somit die Firewall auf dem maximalen Schutz steht und die Nutzbarkeit
des Adapters im lokalen Netzwerk stark eingeschrnkt ist.
Abbildung 8.6
Unbekanntes Netzwerk, keine nderung des Typs
mglich
Starten Sie in diesem Fall den Editor fr die lokale Sicherheitsrichtlinie (secpol.msc), und navigieren Sie zum Knoten Sicherheitseinstellungen/Netz-
370
werklisten-Manager-Richtlinien. Dort auf dem Knoten die rechte Maustaste

klicken und Alle Netzwerke anzeigen auswhlen.
Abbildung 8.7
Richtlinien fr den
Netzwerkmanager
Im rechten Teil des Fensters sehen Sie dann alle aktuell bekannten Netzwerke, das erste in der Liste ist das Netzwerk, das aktuell im Netzwerkcenter angezeigt wird. Durch einen Doppelklick auf den Netzwerknamen im
rechten Feld lsst sich dann einstellen, was der Benutzer mit dem Netzwerk tun darf und ob dieses ein privates oder ffentliches Netzwerk ist.
Abbildung 8.8
Typ des Netzwerks
einstellen
Die Erkennung des Netzwerkes arbeitet dabei im Wesentlichen mit zwei

Daten: dem DNS-Suffix der IP-Adresse des Netzwerks und der MACAdresse (Hardwareadresse) des zu diesem Adapter gehrigen Standardgateways. Dies erklrt auch, warum ein Netzwerk, in dem kein Gateway
zugewiesen ist und das kein DNS-Suffix setzt, zunchst nicht erkannt
wird. Bei derartig erkannten Netzwerken knnen in der Richtlinie auch
der Name und das angezeigte Bild konfiguriert werden.
371
Diese Netzwerke merkt sich Windows 7 alle, und fr jedes kann beziehungsweise muss der Benutzer einstellen, ob es sich dabei um ein privates
oder ein ffentliches Netzwerk handelt. Allerdings ist die Anzahl der privaten Netzwerke, mit denen man sich verbindet, doch eher begrenzt. Deshalb kann man in Abbildung 8.5 auch das Kontrollkstchen Zuknftige
Netzwerke als ffentliche Netzwerke behandeln markieren und wird nicht weiter mit Nachfragen gestrt.
Klickt man im Netzwerk- und Freigabecenter doppelt auf das Bild neben
einem der Netzwerknamen, so erhlt man (sofern man die Berechtigungen
dazu hat) die Mglichkeit, den angezeigten Namen und das Bild zu ndern.
ber die Schaltflche ndern kann man unter einer Reihe von Bildern auswhlen, auf Wunsch kann man auch eigene Bilder erstellen und diese dann
ber die Schaltflche Durchsuchen aus einer Bilddatei oder einer Programmdatei laden.
Insbesondere fr Systeme, die oft zwischen unterschiedlichen Netzwerken wechseln, ist der Link Netzwerkadressen zusammenfhren oder lschen
interessant.
Abbildung 8.9
Bild eines Netzwerks ndern
Ein Netzwerk wird als verwaltet bezeichnet, wenn es sich in einer

Domne befindet, wobei diese Zuordnung (wie man am Beispiel bei rid
Netzwerk sehen kann) nicht immer stimmt. Das Netzwerk contoso.com
erscheint in dieser Liste, weil das System frher Bestandteil dieser Domne
war. Die noch nicht erkannten Netzwerke werden in dieser Liste nicht
aufgefhrt. Die hier aufgefhrten Netzwerke entsprechen in der Registry
den Daten in den Schlsseln Managed beziehungsweise Unmanaged
unterhalb von HKLM\Software\Microsoft\Windows NT\CurrentVersion\
NetworkList\Signatures. Man kann Netzwerke, deren Daten man nicht
mehr bentigt, ber die Schaltflche Lschen entfernen. Sobald mehrere
Netzwerke markiert sind, knnen diese mit der entsprechenden Schaltflche zusammengefhrt werden.
372
Abbildung 8.10
Verwaltete und
nicht verwaltete
Netzwerke
Netzwerkprofile und ihre Auswirkungen auf Dienste

Bettigt man im Netzwerk- und Freigabecenter im linken Aktionsbereich
den Link Erweiterte Freigabeeinstellungen ndern, so gelangt man auf eine
Seite, auf der man den Zusammenhang zwischen Netzwerkprofil und
Netzwerkdiensten erkennen kann. In Abbildung 8.4 hatten Sie gesehen,
dass es eine Bindung zwischen den Netzwerkdiensten (etwa Datei- und
Druckfreigabe) und einzelnen Adaptern gibt. Hier nun lassen sich diese Bindungen getrennt fr das jeweilige Netzwerkprofil einstellen, dies ist besonders dann wichtig, wenn ein Netzwerkadapter in unterschiedlichen Umgebungen verwendet wird (etwa WLAN im Firmennetz versus WLAN am
Hotspot im Caf an der Ecke).
Abbildung 8.11
Bindungen und
Netzwerkprofile
373
Zunchst muss man die Einstellungen des gewnschten Netzwerkstandortes erweitern, am Anfang ist immer der Standort erweitert, in dem sich
der Computer aktuell befindet. Hier ist dies Privat oder Arbeitsplatz (siehe
hierzu die Erklrung unter dem Netzwerknamen Nicht erkanntes Netzwerk
in Abbildung 8.6). Fr die folgenden Netzwerkdienste kann jetzt angegeben werden, ob diese bei diesem Netzwerkprofil aktiviert oder nicht aktiviert sein sollen:
Netzwerkerkennung
Freigabe des ffentlichen Ordners
Medienstreaming
Dateifreigabeverbindungen
Kennwortgeschtztes Freigeben
Heimgruppenverbindungen
Zu den einzelnen Diensten werden in dem Fenster entsprechende Hilfestellungen und Erklrungen angeboten.
8.2
Fr jeden Adapter, fr den eines der TCP/IP-Protokolle aktiviert ist, knnen ber die Schaltflche Eigenschaften in Abbildung 8.4 die Eigenschaften
dieses Protokolls festgelegt werden. Die Einstellungen sind auf zwei
Bereiche aufgeteilt, zunchst kann man die Basisdaten ndern, die weiteren Einstellungen sind jeweils ber die Schaltflche Erweitert verfgbar.
Abbildung 8.12: TCP/IP-Einstellungen in IPv4 und IPv6
Fr die Bereiche IP-Adresse und DNS-Server muss jeweils getrennt entschieden werden, ob man die Informationen von einem DHCP-Server automatisch beziehen will oder ob man die Daten manuell eingeben mchte. In einer
vollstndig verwalteten Umgebung werden beide Daten von einem DHCP-
374
Server bereitgehalten, deshalb ist die Standardeinstellung auch jeweils ...

automatisch beziehen. Es ist nicht mglich, die DNS-Adressen per DHCP zu
beziehen und die IP-Adressen manuell einzustellen. Umgekehrt ist dies
jedoch mglich.
Sofern die Daten manuell eingestellt sind, ist das Kontrollkstchen Einstellungen beim Beenden berprfen aktiv. Dies hat allerdings keine Auswirkung auf typische Fehlkonfigurationen wie unerreichbares Gateway
oder falscher DNS-Server.
Sobald bei IPv4 auf automatische Adresszuweisung eingestellt wurde, ist
dort eine weitere Registerkarte Alternative Konfiguration erreichbar. Diese
Informationen dienen zur Behandlung des Falls, dass der Computer keinen
DHCP-Server findet, etwa weil er momentan in einem Netzwerk betrieben
wird, in dem kein derartiger zur Verfgung steht.
Abbildung 8.13
Alternative IPv4Konfiguration
8
Wahlweise kann entweder eine Adresse aus dem APIPA-Adressbereich Von der
verwendet werden (169.254.x.y), oder es wird eine manuell eingetragene Entwicklung
Adresse verwendet. Im Hilfetext zu dieser Funktion wird als Beispiel das berholt
Netzwerk zu Hause angefhrt, in dem nicht wie im Bro ein DHCP-Server zur Verfgung steht. Ein Beweis dafr, dass die technische Entwicklung auch im Bereich der huslichen Technik nicht stehen geblieben ist,
dort hat man heute fast immer einen DSL-Router, der auch die DHCPFunktion bernimmt.
8.2.1
Erweiterte TCP/IP-Einstellungen
Im Bereich der erweiterten TCP/IP-Einstellungen stehen weitere Registerkarten zur Verfgung, mit denen spezielle Aspekte des Protokolls eingestellt werden knnen.
375
Registerkarte IP-Einstellungen
Ein Netzwerkadapter kann mehr als eine IP-Adresse besitzen, ber die
Schaltflchen Hinzufgen, Bearbeiten, und Entfernen lassen sich diese manipulieren. Mehrere IP-Adressen werden beispielsweise bentigt, wenn man
unterschiedliche Serverdienste auf dem gleichen Port anbieten will. Eine
andere Einsatzmglichkeit besteht darin, in einem gemeinsamen physikalischen Netzwerk fr bestimmte Systeme einen eigenen, von den anderen
Systemen getrennten Adressraum zu schaffen, etwa fr Testsysteme. Sofern
die IP-Adressen per DHCP bezogen werden, knnen hier keine weiteren IPAdressen manuell hinzugefgt werden.
Abbildung 8.14
Erweiterte TCP/IPEinstellungen
Mehr als ein

Standard?
Im unteren Teil des Dialogfeldes kann mehr als ein Standardgateway angegeben werden. Hierbei sollte aber darauf geachtet werden, dass dies wirklich ein Gateway fr alle mglichen Zieladressen ist. Der Versuch, getrennte
Subnetze ber getrennte Gateways zu adressieren, fhrt nur zu Chaos auf
der Netzwerkebene. Sofern mehrere Gateways existieren, kann man ber
die Metrikwerte jedem Gateway eine spezielle Prferenz zuweisen, um den
Datenverkehr zu kanalisieren.
Registerkarte DNS
Auf der Registerkarte DNS lassen sich alle Einstellungen rund um DNS fr
die Namensauflsung einstellen. Whrend auf der Hauptseite der TCP/IPEinstellungen nur maximal zwei DNS angegeben werden konnten, sind
hier ber die Schaltflchen Hinzufgen, Bearbeiten und Entfernen auch mehr
als zwei mglich. Mit den Schaltflchen () und () am Rand kann die
Reihenfolge der Abfrage verndert werden. Sofern man mehrere DNS verwendet, sollte derjenige, der am schnellsten reagiert, in der Liste ganz oben
stehen.
376
Abbildung 8.15
Registerkarte DNS
Hier kommt der Begriff des FQDN (Fully Qualified Domain Name Vollstndig qualifizierter Domnenname) ins Spiel. Ein solcher Name besteht
aus dem Rechnernamen und der zugehrigen Domne, bis hinauf zur
TLD. Bei einem Rechner admin-pc, der in der Domnen contoso.com steht,
ist der FQDN somit admin-pc.contoso.com. Sowohl der Rechnername als
auch die Domnenangabe (auch primres DNS-Suffix genannt) werden
ber die Eigenschaften des Computer-Eintrags im Startmen ausgewhlt.
Wenn nun der Computer admin-pc die Adresse eines Rechners xyz herausfinden mchte, so muss er hierfr eine Abfrage an den DNS stellen. In
dieser Abfrage muss er aber einen FQDN abfragen, braucht also eine
Domne, die er mit dem gesuchten Rechnernamen verbinden kann.
Zustzlich zum primren DNS-Suffix (das ber die Computereigenschaften

gesetzt wird) kann man auch noch jedem Netzwerkadapter einzeln ein verbindungsspezifisches DNS-Suffix anheften. So kann beispielsweise die Hauptadresse des Systems admin-pc.conto.com lauten, whrend die Adresse fr
einen speziellen Netzwerkadapter durch die Verwendung eines verbindungsspezifischen DNS-Suffixes by.testumgebung-contoso.com nun adminpc.by.testumgebung-contoso.com lautet. Sofern gewnscht, muss man diese
Suffixe in das entsprechende Eingabefeld eintragen. Mit der Option Primre
und verbindungsspezifische DNS-Suffixe anhngen kann nur erreichet werden,
dass bei der Suche nach dem Rechner xyz zunchst versucht wird, das primre DNS-Suffix anzuhngen (Suche nach xyz.contoso.com) und danach das
verbindungsspezifische (Suche nach xyz.by.testumgebung-contoso.com). Ist
zudem noch das Kontrollkstchen bergeordnete Suffixe des primren DNSSuffixes anhngen gesetzt, wrde zustzlich auch noch nach der Adresse
xyz.com gesucht (weil com das bergeordnete Suffix von contoso.com ist).
377

Suchradius
bestimmen
Aktiviert man stattdessen die Option Diese DNS-Suffixe anhngen (in Reihenfolge), so werden nur die hier aufgelisteten DNS-Suffixe zur Bildung
eines FQDN herangezogen. Diese Methode kann man beispielsweise verwenden, wenn man schnell Zugriff auf eine Reihe von unterschiedlichen
DNS-Namensrumen bentigt.
Mit dem Kontrollkstchen Adressen dieser Verbindung i DNS registrieren
kann im Zusammenarbeit mit einem dDNS (dynamic DNS), der dynamische
Eintragungen untersttzt, erreicht werden, dass die IP-Adressen, die zu dieser speziellen Verbindung gehren, mit dem FQDN aus dem primren DNSSuffix dort in der Datenbasis des DNS eingetragen werden. Auf diese Weise
erspart man sich das manuelle Pflegen der Eintrge im DNS. Sofern dieses
Kstchen aktiviert ist, kann zustzlich auch noch das Kontrollkstchen DNSSuffix dieser Verbindung in DNS-Registrierung verwenden aktiviert werden,
dann werden die Eintragungen sowohl mit dem primren DNS-Suffix als
auch mit dem fr diese Verbindung definierten vorgenommen.
Sofern der im Netzwerk verwendete DNS keine automatische Registrierung untersttzt, sollte diese Funktion abgeschaltet werden, damit
Windows beim Start nicht vergeblich auf das Ergebnis der Eintragung
wartet. Bei einem System mit mehreren Netzwerkadaptern sollte die
Einstellung auch nur auf einem Adapter aktiviert sein.
Alle diese Einstellungen im Bereich DNS knnen in einer Active DirectoryUmgebung auch per Gruppenrichtlinie unter dem Pfad Computerkonfiguration/Netzwerk/DNS-Client konfiguriert werden, insbesondere ist es dort
auch mglich, die automatische Registrierung genau zu kontrollieren.
Im Bereich der DNS-Auflsung gibt es noch einen Spezialfall, die Datei
%windir%\System32\drivers\etc\hosts (ohne Erweiterung). Bevor Windows auf der Suche nach einem Namen eine Abfrage an DNS richtet,
wird zunchst diese Datei durchsucht. Bei der Installation wird bereits
eine Vorlage angelegt, aus der man das Format der Eintrge ersehen
kann. Sobald eine Rechneradresse (die kann auch ein vollstndiger
FQDN sein) in dieser Datei zu einer IP-Adresse zugeordnet ist, wird das
System immer diese IP verwenden und nicht mehr im DNS danach
suchen.
Fr dieses Verhalten gibt es zwei populre Einsatzzwecke: 1) Die
Adressen bekannter Werbeserver im Internet werden auf eine nicht
existente lokale Adresse umgelenkt, um die Werbeflut beim Surfen zu
dmmen. 2) Schadprogramme lenken die Namen bekannter AV-Hersteller um, sodass deren Produkte keine neuen Updates mehr erhalten
knnen. Es kommt sogar vor, dass sie zur Verschleierung ihrer Aktion
die Datei hosts an eine andere Stelle legen, zwar lsst sich der Name
nicht verndern, aber das Verzeichnis ist im Wert DataBasePath im
Schlssel HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters abgelegt. Sofern sich also bestimmte Webseiten nicht mehr finden
lassen, sollte an dieser Stelle nachgesehen werden.
378
Registerkarte WINS
Diese Registerkarte behandelt die Konfiguration der Namensauflsung Netzwerkfr die Datei- und Druckfreigabe auf Basis von NetBIOS over TCP/IP Altlasten
(NetBT). NetBIOS war vor Windows 2000 die Programmschnittstelle fr
Netzwerkapplikationen und arbeitete damals noch mit dem NetBEUIProtokoll zusammen. Mit dem Erscheinen von Windows 2000 wurde das
Protokoll auf TCP/IP umgesetzt und NetBT genannt. Die Auflsung der
Namen zur Netzwerkadresse wurde ab da ber DNS durchgefhrt, es
gibt jedoch noch alte Programme, die damit nicht zurechtkommen.
Abbildung 8.16
WINS-Einstellungen
Vor Windows 2000 gab es fr die Systeme mit Windows NT keine DNSNamen, die in einer hierarchischen Struktur angeordnet waren, jedes System hatte nur einen NetBIOS-Namen. Dies erkennt man heute noch
daran, dass beim Anmelden in einer Active Directory-Domne vor den
Benutzernamen noch der NetBIOS-Name der Domne und ein \
geschrieben werden.
Fr die Zuordnung von NetBIOS-Namen zu IP-Adressen gibt es auf den

Serverversionen von Windows einen speziellen Dienst mit Namen WINS
(Windows Internet Naming Service). Diese WINS-Server bilden untereinander ein Netz und teilen die erhaltenen Informationen miteinander. Die
Informationen ber die Zuordnung von Namen zu IP-Adressen erhalten sie
dabei ber direkte Meldungen der Clients an einen konfigurierten WINS als
auch ber die Auswertung von Rundsendungen (Broadcast) auf dem Netz.
Die WINS-Server werden hier genauso verwaltet wie die DNS-Eintrge.
Genau wie es fr die Namensauflsung bei IP die Datei hosts gibt, so existiert eine entsprechende Datei auch fr die Windows-Namensauflsung.
Hier heit die Datei lmhosts und wird im gleichen Verzeichnis gesucht wie
die Datei hosts. Hier wird allerdings bei der Installation keine Datei ange-
379
legt, stattdessen wird eine Beispieldatei mit Namen lmhosts.sam angelegt.

Mchte man diese Datei nicht verwenden, sollte das Kontrollkstchen entsprechend deaktiviert werden. Die Aktivierung schadet aber auch nichts,
weil anfnglich die Datei nicht existiert.
Bei der Schaltflche LMHOSTS importieren wrde man eigentlich erwarten,
dass die Eintrge einer neuen Datei zu den bestehenden hinzugefgt werden, stattdessen wird aber eine bereits bestehende Datei komplett mit der
zu importierenden Datei berschrieben. Im Bereich NetBIOS kann man
generell einstellen, ob man noch die alten Programmfunktionen von NetBIOS anbieten will oder nicht. Sofern keine Systeme mehr verwendet werden, die lter als Windows 2000 sind, braucht man NetBT nicht mehr unbedingt zu aktivieren. Durch die drei Optionen kann man das gewnschte
Verhalten einstellen: NetBT aktivieren, NetBT deaktivieren oder die Einstellung den vom DHCP-Server mitgelieferten DHCP-Optionen berlassen.
Bedingt durch das Alter des NetBT-Protokolls steht die Registerkarte
WINS im Bereich von IPv6 nicht mehr zur Verfgung, die entsprechenden Funktionen werden von diesem Protokoll nicht mehr untersttzt.
8.2.2
Gesichertes TCP/IP IPsec
In der Anfangszeit der Entwicklung von TCP/IP war Sicherheit eigentlich

kein Thema. Zwar wurden beispielsweise fr Anmeldungen an einem anderen System Benutzername und Kennwort abgefragt, aber beide wurden
unverschlsselt und fr jeden sichtbar ber das Netzwerk bertragen. Bei
einer Netzwerkverbindung bestand auch keine Kontrolle darber, ob die
beiden Kommunikationspartner auch tatschlich die waren, die sie vorgaben
zu sein. IPsec (Internet Protocol Security) soll diese Probleme lsen. Zum
einen dient es dazu, die beiden Kommunikationspartner gegeneinander zu
authentifizieren, zum anderen dient es dazu, die Informationen zwischen
den beiden Partnern transparent fr die Anwendung zu verschlsseln.
IPsec kann dabei sowohl die Kommunikation direkt zwischen zwei IPsecfhigen Systemen (Transparent Mode) als auch die Kopplung zweier Subnetze durch die Verbindung mittels IPsec-Gateways (Tunnel Mode) ber ein
ungesichertes Netzwerk schtzen. Die Authentifizierung und Verschlsselung kann dabei sowohl ber vordefinierte Schlssel (prinzipiell unsicher)
als auch mittels Zertifikaten oder Kerberos-Authentifizierung in einer
Domne erfolgen. Das ganze Thema ist jedoch komplex und kann in diesem Buch nicht in der dazu notwendigen Tiefe behandelt werden.
Als erster Einstieg in das Thema IPsec kann der Artikel unter [IPSEC]
dienen, in Buchform beispielsweise der Titel VPN Virtuelle Private
Netzwerke: Aufbau und Sicherheit von Manfred Lipp, Addison-Wesley,
ISBN-13: 9783827326478.
380
8.2.3
TCP/IP-Prfprogramme auf der

Kommandozeile
Um die Funktion von TCP/IP zu testen und die Funktion zu kontrollieren, gibt es eine ganze Reihe von Programmen, die aber alle ohne grafische Oberflche kommen.
Erreichbarkeit testen ping.exe und tracert.exe

Mit dem Programm ping.exe kann man ein Datenpaket an einen anderen
Rechner schicken und dabei messen, wie lange man warten muss, bis die
Antwort zurckkommt.
Filmfans werden sich an die Anweisung Bitte nur ein Ping von Sean
Connery als Kapitn Ramius im Film Jagd auf Roter Oktober erinnern.
Dies erlutert, wie das Programm zu seinem Namen kam, es imitiert in
Computernetzwerken die Funktion des Echolots, bei dem ein Signal
ausgesendet und auf die Reflexion beim angepeilten Ziel gewartet wird.
Als Parameter bernimmt ping.exe zwingend die Adresse des anzupingenden Rechners, optional kann man angeben, wie viele Pakete man senden will und wie gro diese sein sollen. Ohne weitere Angaben werden
vier Pakete mit je 32 Byte Daten gesendet.
>ping www.pearson.de
Ping wird ausgefhrt fr www.pearson.de [62.245.190.128] mit
32 Bytes Daten:
Antwort von 62.245.190.128: Bytes=32 Zeit=34ms TTL=121
Listing 8.1
ping.exe mit Standardangaben
Ping-Statistik fr 62.245.190.128:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 33ms, Maximum = 48ms, Mittelwert = 37ms
Das Ziel fr ping wird hierbei als DNS-Name eingegeben, auf diese Weise
kann gleichzeitig berprft werden, ob der Name zu einer Adresse aufgelst werden kann. Fr jedes ausgesendete Datenpaket wird angegeben, wie
lange die Datenbertragung gedauert hat, in der Zusammenfassung am
Ende werden Minimum, Maximum und Mittelwert der Zeiten angegeben.
Zudem wird eine Statistik ausgegeben, wie viele der gesendeten Pakete
auch wieder angekommen sind. Die Pakete, die ping verwendet, werden
mit dem Protokoll ICMP (Internet Control Message Protocol) ausgesendet,
dies ist auf der gleichen Ebene von TCP oder UDP angesiedelt. Allerdings
sind viele Systeme im Internet so konfiguriert, dass auf derartige Pakete
keine Antwort gegeben wird. Windows 7 ist dabei selbst so ein System, auf
ICMP-Pakete, die ber einen Adapter ankommen, der als ffentlich gekenn-
Alles, was nicht

0 % Verlust hat,
sollte man
prfen
381
zeichnet wird, gibt es keine Antwort. Die Angabe TTL (Time to Live) hat
hierbei die Rolle eines Streckenzhlers. Jedes IP-Paket wird mit einem TTLWert versehen auf seine Reise zum Ziel geschickt. Jede Station, die dieses
Paket in ein anderes Netz vermittelt (Router), vermindert dabei den TTLWert um 1. Erreicht irgendwann ein Paket einen Router und hat das Paket
dann einen TTL-Wert von 0, so verwirft der Router das Paket und sendet
eine entsprechende Meldung an den ursprnglichen Absender zurck.
Eben dieses Verhalten, dass bei Erreichen des TTL-Wertes 0 eine Fehlermeldung erscheint, macht sich das Programm tracert.exe (verkrzt fr
Traceroute) zunutze. Hier werden Pakete mit stark verkrztem TTL-Wert
ausgesendet und dann notiert, von welchem System die entsprechende
Fehlermeldung zurckkommt. Das erste Paket wird dabei mit einem
TTL-Wert von 1 ausgesendet und somit bereits beim ersten Router auf
dem Weg zum Ziel verworfen, das nchste mit einem Wert von 2, das
dann beim zweiten Router verworfen wird und so weiter.
Listing 8.2
tracert.exe im
Einsatz
Spurensuche im
Netz
382
>tracert www.pearson.de
Routenverfolgung zu www.pearson.de [62.245.190.128] ber maximal
30 Abschnitte:
1
43 ms
24 ms
28 ms lo1.br12.muc.de.hansenet.net
[213.191.64.41]
2
24 ms
24 ms
25 ms ae0-101.cr01.muc.de.hansenet.net
[213.191.88.93]
3
32 ms
31 ms
31 ms so-0-0-0-0.cr01.fra.de.hansenet.net
[213.191.87.165]
4
30 ms
31 ms
31 ms ae1-0.pr03.decix.de.hansenet.net
[62.109.109.236]
5
32 ms
32 ms
35 ms rt-decix-2.m-online.net
[80.81.193.7]
6
33 ms
33 ms
65 ms xe-2-2-0.rt-decix-1.m-online.net
[82.135.16.137]
7
33 ms
33 ms
32 ms ten1-2.r2.muc2.m-online.net
[212.18.6.161]
8
35 ms
33 ms
34 ms te1-3.r2.muc1.m-online.net
[212.18.6.57]
9
32 ms
33 ms
32 ms gi1-0-4.rs2.muc1.m-online.net
[88.217.206.22]
10
33 ms
33 ms
35 ms host-62-245-191-26.customer.
m-online.net [62.245.191.26]
11
34 ms
33 ms
m-online.net [62.245.190.1]
12
33 ms
33 ms
m-online.net [62.245.190.128]
Ablaufverfolgung beendet.
Anhand der Stationen, die mit dem Befehl tracert.exe aufgezeichnet wurden,
kann man nachverfolgen, wie die Pakete von einem zum anderen Rechner
transportiert wurden. Jedes System auf der Strecke wird dreimal getestet,
und die Zeitangaben werden jeweils am Anfang der Zeile notiert. Da der
Befehl ohne den Parameter d gegeben wurde, werden die IP-Adressen
auch per DNS in Namen aufgelst und angezeigt. Der erste Rechner in der
Kette hat den Namen lo1.br12.muc.de.hansenet.net, dies bedeutet, dass er
zum Provider Hansenet (auch bekannt unter Alice) gehrt. Die Vermutung,
dass es sich dort um einen Rechner handelt, der in Mnchen (muc) in
Deutschland (de) steht, ist nicht ganz von der Hand zu weisen da die meisten Netzwerkbetreiber sinnvolle Namen fr ihre Systeme verwenden.
Der folgende Rechner (ae0-101.cr01.muc.de.hansenet.net) scheint auch noch
in Mnchen zu stehen, whrend der dritte wohl in Frankfurt stationiert ist
(so-0-0-0-0.cr01.fra.de.hansenet.net). Bei den Rechnern an Position 4 und 5
erkennen Sie den Namensbestandteil decix, dieser steht fr DE-CIX (German Commercial Internet Exchange), die gemeinsame Kopplungsstelle, an
der (fast) alle deutschen Internet-Provider ihre Daten untereinander austauschen. Ab da geht dann der Datenverkehr im Netz des Providers M-Net
weiter, bei dem der angefragte Server betrieben wird.
Namesauflsung per nslookup.exe

DNS enthlt deutlich mehr Informationen als die bloe Zuordnung von
Namen zu IP-Adressen und zurck. Zur Abfrage dieser Informationen dient
das Programm nslookup.exe. Im einfachsten Fall ruft man es einfach mit dem
Namen eines Rechners oder einer IP-Adresse auf und bekommt die IPAdresse beziehungsweise den Namen zurck. Der Vorgang der Auflsung
von Name zu IP-Adresse wird Forward Lookup genannt, die Auflsung der
IP-Adresse zum Namen entsprechend Reverse Lookup.
Abbildung 8.17
DNS-Verwaltung
bei Windows Server
2008
In Abbildung 8.17 knnen Sie sehen, dass die Informationen im DNS in Form
von einzelnen Lookup-Zonen angelegt sind, in der Verwaltungsoberflche
aufgeteilt in Forward- und Reverse-Zonen. In jeder Zone stehen Eintrge, die
aus drei Werten bestehen: einem Namen, einem Typ und den Nutzdaten. So
gibt es beispielsweise einen Eintrag mit dem Namen bebox, dem Typ Host (A)
und der IP-Adresse 192.168.0.50. Da sich der Eintrag in der Zone fr contoso.com befindet, lautet der FQDN des Rechners also bebox.contoso.com. Dies
wre die Forward-Abfrage. Aus dieser Information lsst sich aber nicht die
383
Rckwrtsabfrage, welcher Name gehrt zu 192.168.0.50, beantworten.

Diese Information wird nicht der Zone contoso.com entnommen, sondern
stammt aus der Reverse-Zone 0.168.192.in-addr.arpa. Es bleibt dem Administrator des DNS berlassen, dafr zu sorgen, dass die Inhalte dieser Zonen
miteinander im Einklang bleiben.
Von den vielen verschiedenen Typen im DNS sind eigentlich nur ein paar
wirklich praxisrelevant:
A Eintrag eines einzelnen Namens zu einer IPv4-Adresse. Existieren
mehrere Eintrge, die einen Namen unterschiedlichen Adressen zuordnen, liefert der DNS bei einer einfachen Abfrage immer einen wechselnden Wert (DNS Round Robin).
AAAA Wie Typ A, aber fr IPv6-Adressen.
PTR Dient in einer Reverse-Zone dazu, IP-Adressen einen Namen
zuzuordnen (Pointer-Eintrag).
NS Gibt die Namen der DNS an (Nameserver), die Informationen
ber die Zone aus erster Hand vorhalten (also keine zwischengespeicherten Informationen).
MX Gibt den Namen des Systems an, das E-Mails fr diese Zone entgegennimmt (Mail Exchanger). Bei mehreren Eintrgen entscheidet ein
Sender anhand der Prioritt (im Bild der Eintrag 10 in eckigen Klammern), zu welchem System die Zustellung versucht wird, kleinere Zahlen werden hierbei bevorzugt.
SOA Gibt den Namen des Systems an, das die letztendliche Kontrolle
ber den Inhalt der Zone hat (Start of Authority). Alle anderen Nameserver der Zone beziehen ihre Information von diesem Server und entscheiden anhand der Information im serial-Feld, ob die eigenen Daten
veraltet sind.
CNAME Beschreiben einen Alias (Canonical Name) fr einen bereits
bestehenden Namen. Kann dazu genutzt werden, um ein System unter
unterschiedlichen Namen erreichbar zu machen.
Das Programm nslookup.exe kann man auf zwei Weisen verwenden. Entweder man startet es ohne alle Parameter und kann dann in einer eigenen
Eingabeaufforderung seine Abfragen stellen (zum Beenden exit eingeben), oder man stellt die Abfrage komplett auf der Kommandozeile:
Listing 8.3
Abfrage mit
nslookup
384
>nslookup -q=SOA contoso.com 192.168.0.200

Server: win2008.contoso.com
Address: 192.168.0.200
contoso.com
primary name server = win2008.contoso.com
responsible mail addr = hostmaster.contoso.com
serial = 424
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)
win2008.contoso.com
internet address = 192.168.0.200
In Listing 8.3 wird nslookup mit drei Parametern aufgerufen. Der erste
Parameter gibt den Typ an, den man abfragen will. Fehlt dieser Parameter, wird nach Adresseintrgen gesucht, wird als Typ ANY eingegeben,
werden die vorhandenen Eintrge aller Typen zurckgegeben. Der
zweite Parameter gibt das an, was eigentlich gesucht wird, der dritte
bezeichnet optional einen speziellen Server, der abgefragt wird. Fehlt dieser Parameter, wird der DNS verwendet, der in den TCP/IP-Einstellungen konfiguriert ist.
IP-Allesknner ipconfig.exe
Mit dem Programm ipconfig.exe knnen zunchst Informationen ber den
Status des IP-Protokolls auf allen im System vorhandenen Adaptern angezeigt werden. Ohne jeglichen Parameter werden nur die IP-Adressen, Subnetzmasken und Gatewayadressen ausgegeben, mit dem Parameter /all
zusammen auch Informationen ber DNS und DHCP.
>ipconfig /all
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
:
:
:
:
:
:
ADMIN-PC
Listing 8.4
Ausgabe von
ipconfig /all
Hybrid
Nein
Nein
rid
Ethernet-Adapter LAN-Verbindung 2:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000
MT-Netzwerkverbindung #2
Physikalische Adresse . . . . . . : 00-0C-29-B8-BC-2A
DHCP aktiviert. . . . . . . . . . : Nein
Verbindungslokale IPv6-Adresse . :
fe80::11e:77af:d282:1d40%14(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DHCPv6-IAID . . . . . . . . . . . : 318770217
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-12-7C-AE-A800-0C-29-B8-BC-20
DNS-Server . . . . . . . . . . . : 192.176.1.45
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix: rid
Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000
MT-Netzwerkverbindung
385

Physikalische Adresse . . . . . . : 00-0C-29-B8-BC-20
DHCP aktiviert. . . . . . . . . . : Ja
fe80::6884:fc47:a22f:5d08%11(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Dienstag, 10. November
2009 10:54:46
Lease luft ab. . . . . . . . . . : Freitag, 13. November
2009 01:40:31
Standardgateway . . . . . . . . . : 192.168.0.254
DHCP-Server . . . . . . . . . . . : 192.168.0.254
DHCPv6-IAID . . . . . . . . . . . : 234884137
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-12-7C-AE-A800-0C-29-B8-BC-20
DNS-Server . . . . . . . . . . . : 192.168.0.254
...
Unter all den Informationen, die hier in Listing 8.4 verkrzt ausgegeben
sind, fallen einige besonders auf:
Fr das System ist kein primres DNS-Suffix gesetzt, allerdings besitzt
der erste Adapter ein verbindungsspezifisches Suffix.
Jeder Adapter hat eine unterschiedliche physikalische Adresse, dies
ist die MAC-Adresse der Netzwerkkarte.
Whrend der Adapter LAN-Verbindung 2 eine statische IP-Adresse hat,
bekommt der andere Adapter seine IP-Adresse von einem DHCP-Server. Im Bereich IPv6 sind nur die lokalen Adressen zu sehen, also sind
dort keine separat konfiguriert worden.
Es ist zwar zu sehen, welche DNS verwendet werden soll, nicht aber,
ob diese Daten auch per DHCP oder manuell gesetzt sind.
Netzdiagnose
Sofern man Probleme im Netzwerkbereich hat, sollte man sich immer die
Ausgabe von ipconfig /all ansehen und dort nach Aufflligkeiten suchen.
Mit dem Parameter /renew kann man das System veranlassen, die aktuelle
DHCP-Lease zu erneuern, auch wenn die Leasezeit noch nicht abgelaufen
ist. Mit dem Parameter /release kann eine erhaltene Lease wieder zurckgegeben werden. Bei beiden Parametern kann noch der Name einer Verbindung als zustzlicher Parameter angegeben werden. Werden die Optionen
mit einer 6 am Ende geschrieben (/renew6 und /release6), so beziehen sich
die Aktionen auf IPv6-Adressen.
Auer den DNS im lokalen Netz oder im Internet fhrt auch jedes einzelne System mit Windows 7 (wie auch XP oder Vista) noch einen lokalen
Zwischenspeicher fr DNS-Daten, um DNS-Abfragen schnell durchfhren zu knnen. Diesen kann man mit dem Parameter /displaydns anzeigen
lassen und mit /flushdns komplett lschen.
386
Listing 8.5
Lokaler DNS-Cache
22.206.217.88.in-addr.arpa
---------------------------------------Eintragsname . . . . . : 22.206.217.88.in-addr.arpa
Eintragstyp . . . . . : 12
Gltigkeitsdauer . . . : 65804
Datenlnge . . . . . . : 4
Abschnitt. . . . . . . : Antwort
PTR-Eintrag . . . . . : gi1-0-4.rs2.muc1.m-online.net
asn.advolution.de
---------------------------------------Eintragsname . . . . . : asn.advolution.de
Datenlnge . . . . . . : 4
(Host-)A-Eintrag . . : 213.9.41.203
Eintragsname . .
Eintragstyp . .
Gltigkeitsdauer
Datenlnge . . .
Abschnitt. . . .
(Host-)A-Eintrag
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
:
:
:
:
:
asn.advolution.de
1
2413
4
Antwort
. . : 213.9.41.202
...
105.47.125.74.in-addr.arpa
---------------------------------------Eintragsname . . . . . : 105.47.125.74.in-addr.arpa
Datenlnge . . . . . . : 4
PTR-Eintrag . . . . . : yw-in-f105.1e100.net
Fr jeden Eintrag im Cache gibt es eine Angabe zur Gltigkeitsdauer,

diese wird in Sekunden angegeben und automatisch verringert. Hat ein
Eintrag die Gltigkeit 0, wird er aus dem Speicher entfernt. Im Zwischenspeicher stehen fr den Eintrag asn.advolution.de zwei Datenstze, da diesem FQDN auch zwei IP-Adressen zugeordnet sind.
Mit dem Parameter /registerdns kann man zwangsweise die aktuellen IPAdressen erneut in einem dafr konfigurierten dDNS registrieren lassen.
IP und Hardware arp.exe

Auf unterster Ebene der Datenbertragung gibt es auf der einen Seite IPPakete mit Quell- und Zieladresse und auf der anderen Seite Datenpakete
in Form von Ethernet-Frames. Diese Pakete werden ber die physikalische
Adresse der jeweiligen Netzwerkkarte (die MAC-Adresse, eine Folge von
sechs Bytes) adressiert (siehe hierzu die entsprechende Zeile in Listing 8.4).
Die Zuordnung zwischen den beiden Adressrumen erfolgt ber ARP
387
(Address Resolution Protocol) und kann mit dem Programm arp.exe kontrolliert werden.
Listing 8.6
Ausgabe von arp.exe
C:\Users\admin>arp -a
Schnittstelle: 192.168.0.96 --- 0xb
Internetadresse
Physische Adresse
192.168.0.50
00-14-c2-5a-a3-ad
192.168.0.200
00-03-ff-5e-a3-ad
192.168.0.254
00-1c-f0-70-b4-70
192.168.0.255
ff-ff-ff-ff-ff-ff
224.0.0.22
01-00-5e-00-00-16
224.0.0.252
01-00-5e-00-00-fc
239.255.255.250
01-00-5e-7f-ff-fa
255.255.255.255
ff-ff-ff-ff-ff-ff
Typ
dynamisch
dynamisch
dynamisch
statisch
statisch
statisch
statisch
statisch
Schnittstelle: 192.168.88.88 --- 0xe

Internetadresse
Physische Adresse
192.168.88.90
00-0c-29-3c-90-59
192.168.88.255
ff-ff-ff-ff-ff-ff
224.0.0.22
01-00-5e-00-00-16
224.0.0.252
01-00-5e-00-00-fc
239.255.255.250
01-00-5e-7f-ff-fa
Typ
dynamisch
statisch
statisch
statisch
statisch
Zunchst fllt auf, dass hier nur IPv4-Adressen angegeben sind; dies liegt
daran, dass ARP nur mit diesen Adressen arbeitet, bei IPv6 wurde ARP
durch NDP (Neighbour Discovery Protocol) abgelst. Fr jeden Adapter
wird bei arp a angezeigt, welche anderen Adapter auf diesem Netzwerksegment bekannt sind. Die Eintrge sind dabei wahlweise als statisch oder
dynamisch gekennzeichnet. Die statischen Eintrge sind hierbei die Rundsendeeintrge (Broadcast), die dynamischen diejenigen, die ARP durch
Anfragen ber das Netzwerk gelernt hat.
Dieses Protokoll kann auch als Angriffsvektor verwendet werden. Bei
der ARP Spoofing (to spoof verschleiern) oder ARP Posioning (to poison
vergiften) genannten Methode werden dem angegriffenen System
massenweise falsche ARP-Pakete zugesendet, die von diesem in seine
ARP-Tabellen eingearbeitet werden. Auf diese Weise kann das System
davon berzeugt werden, IP-Pakete fr ein bestimmten System ganz
woanders hinzusenden. Diese Methode funktioniert allerdings nur in
einem lokalen Netzwerk.
Netzwerkkontrolle netstat.exe und andere Programme

Oftmals mchte man wissen, welche Aktionen auf dem Netzwerk gerade
stattfinden und was dabei fr Daten bertragen werden. Die erste Information ist hierbei, welche Kommunikation aktuell gerade stattfindet, wer
mit wem redet und wer auf Kommunikation wartet. Dies lsst sich mit
dem Programm netstat.exe abklren.
388

>netstat
Aktive Verbindungen
Proto Lokale Adresse
TCP
192.168.0.240:50035
TCP
192.168.0.240:50046
TCP
192.168.0.240:50047
TCP
192.168.0.240:50048
TCP
192.168.0.240:50049
TCP
192.168.0.240:50050
TCP
192.168.0.240:50051
TCP
192.168.0.240:50052
TCP
192.168.0.240:50053
Remoteadresse
bebox:microsoft-ds
oe-test:http
oe-test:http
63.97.123.10:http
63.97.123.10:http
63.97.123.10:http
63.97.123.10:http
63.97.123.10:http
63.97.123.10:http
Status
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
HERGESTELLT
Listing 8.7
Ausgabe von
netstat.exe
In dieser Auflistung werden nur die Verbindungen aufgefhrt, die aktuell

auch tatschlich bestehen. Zu sehen sind die lokale IP-Adresse und die
Adresse des Kommunikationspartners, jeweils ergnzt durch die Portnummer der Verbindung. Wird die Option n gesetzt, so werden die IP-Adresse
und Portnummer nicht durch Namen ersetzt. Durch Angabe der Option a
knnen zustzlich noch jene Ports angezeigt werden, die fr einen Datenverkehr offen stehen.
Mit der Option o wird zu jeder Verbindung angegeben, welcher Prozess fr
diese Verbindung verantwortlich ist, weitere Informationen lassen sich dann
beispielsweise ber den Task-Manager (siehe Kapitel 14) herausfinden.
Der Befehl hat noch einige weitere Einsatzmglichkeiten, siehe hierzu
die Online-Hilfe ber den Parameter /?.
Aus der Sammlung von Sysinternals kommt das Programm TCPView, das
die Funktionen von netstat.exe in einer grafischen Oberflche anbietet.
Zudem ist es in der Lage, nicht blo eine Momentaufnahme der Daten
darzustellen, sondern die Informationen permanent zu erneuern.
Will man genauer nachverfolgen, was bei einer Netzwerkkommunikation
abluft, so muss man die bertragenen Datenpakete analysieren. Programme, die dieses knnen, werden gemeinhin Sniffer genannt. Fr Windows bietet Microsoft selbst ein solches Programm an, Microsoft Network
Monitor, aktuell in Version 3.3. Zu bekommen ist das Programm unter
[DOWN]. Andere Programme in diesem Segment sind beispielsweise der
Netzwerkanalysator WireShark (siehe [WIRE]).
8.3
Im Bereich des Bauwesens bezeichnet eine Brandmauer eine sehr stabile

Trennwand zwischen Gebude oder Gebudeabschnitten, die verhindern
soll, dass Feuer in einem der Teile auf den anderen bertreten kann. Sie
hat im Regelfall keine oder nur besonders gesicherte ffnungen. Diese
Funktion erfllt im Bereich der Netzwerke die Firewall, sie trennt Netzwerke voneinander, um unerlaubte Zugriffe zwischen Bereichen zu ver-
389
hindern. Die Windows-Firewall, als direkt auf dem System laufende Firewall, kennt dabei nur zwei Bereiche: den Computer selbst (Innenwelt)
und das restliche Netzwerk (die Auenwelt).
8.3.1
Status der Firewall
Die Firewall kann getrennt fr jede Netzwerklokation aktiviert beziehungsweise deaktiviert werden. Im Netzwerk- und Freigabecenter finden Sie den Link Windows-Firewall in der linken unteren Ecke oder ber
Systemsteuerung/System und Sicherheit/Windows-Firewall.
Abbildung 8.18
Status der Firewall
Kann es im PC
brennen?
Per Klick auf die Pfeilsymbole am rechten Rand (() und ()) knnen
Sie die einzelnen Profile erweitern oder zusammenklappen, das Domnenprofil ist hierbei nicht zu sehen, da das System nicht Mitglied einer
Domne ist. Fr jede Lokation wird angezeigt, ob die Firewall aktiviert
ist, was mit eingehenden Verbindungen passiert, fr welche Netzwerke
diese Einstellung gilt und was passiert, wenn ein bislang unbekanntes
Programm versucht, einen Serverdienst zu etablieren.
Mit einem Klick auf die Links Benachrichtigungseinstellungen ndern und
Windows-Firewall ein- oder ausschalten kann in einem weiteren Dialogfeld
eingestellt werden, ob die Firewall in den einzelnen Profilen aktiviert sein
und ob eine Benachrichtigung erfolgen soll.
390

Abbildung 8.19
Firewalleinstellungen
8.3.2
Neue Serverprogramme blocken
Sofern die Firewall entsprechend konfiguriert ist, wird dem Benutzer

automatisch eine Meldung angezeigt, sobald eine Anwendung versucht,
einen Port fr eingehende Verbindungen zu starten.
Abbildung 8.20
Ein Programm will
einen Port ffnen
Leider ist aus der Mitteilung nicht zu ersehen, welche Verbindung dieses
Programm genau ffnen will. Diese Meldung erhalten auch nichtadministrative Benutzer, diese bentigen allerdings eine administrative Kennung, um den Zugriff zuzulassen. Wird dieser Zugriff durch die entsprechende Schaltflche erlaubt, wird eine entsprechende Regel automatisch
in die Firewall eingetragen. Wird das Dialogfeld durch die Schaltflche
Abbrechen beendet oder ist die Firewall so konfiguriert, dass die Abfrage
nicht erfolgt, kann das Programm zwar die Verbindung ffnen, Zugriffe
sind dann aber nur vom lokalen System aus mglich.
391
8.3.3
Firewallprofile
Analog zu den Netzwerkprofilen bietet auch die Firewall dem Administrator verschiedene Profile an. Diese lassen sich kontrollieren, indem man
im Firewall-Dialogfeld (siehe Abbildung 8.21) auf den Link Erweiterte Einstellungen klickt, alternativ knnen Sie auch im Suchfeld des Startmens
den Begriff Firewall eintippen und anschlieend auf den Eintrag WindowsFirewall mit erweiterter Sicherheit klicken.
Abbildung 8.21
Erweiterte Einstellungen der Firewall
In der Mitte des Bildschirms sieht man die beiden Gruppen bersicht und
Erste Schritte, diese kann man jeweils durch einen Klick auf die Dreiecke
am rechten Rand auf- beziehungsweise einklappen. Im Bereich bersicht
sind die drei mglichen Profile zu sehen und die dort jeweils gltigen
Firewalleinstellungen:
Ist die Firewall aktiv oder nicht aktiv?
Werden eingehende Verbindungen standardmig geblockt oder nicht?
Werden ausgehende Verbindungen standardmig geblockt oder nicht?
Mchte man eine dieser Einstellungen ndern, klickt man auf den Link
Windows-Firewalleigenschaften am unteren Ende der Gruppe.
Sicherheit
mit Profil
392
Fr jedes der drei mglichen Netzwerkprofile (das Profil Arbeitsplatznetzwerk ist identisch mit dem privaten Profil) sind gesonderte Einstellungen
auf der jeweiligen Registerkarte verfgbar. ber das Listenfeld Firewallstatus kann die Firewall deaktiviert werden, allerdings wird fr jedes Profil
die Aktivierung empfohlen.

Abbildung 8.22
Firewalleinstellungen fr das private
Profil
Fr eingehende Verbindungen (also Verbindungen, die von einem externen System her aufgebaut werden) sind drei mgliche Einstellungen vorhanden:
1. Blockieren (Standard) Eingehende Verbindungen werden blockiert, es
sei denn, es gibt eine Regel, welche die Verbindung erlaubt.
2. Alle blockieren Alle eingehenden Verbindungen werden blockiert,
egal ob es dafr eine Regel gibt oder nicht.
3. Zulassen Smtliche eingehenden Verbindungen werden erlaubt, es
sei denn, es existiert eine Regel, welche die Verbindung explizit verbietet.
Fr die ausgehenden Verbindungen (also Verbindungen, die zu einem
externen System vom lokalen System aus aufgebaut werden) sind nur die
beiden Optionen Blockieren (Standard) und Zulassen mglich, da ein System, das generell keine ausgehenden Verbindungen zulsst, wenig sinnvoll erscheint.
Mit der Schaltflche Geschtze Netzwerkverbindungen: Anpassen knnen

Sie einstellen, welche Netzwerkadapter von dem aktuellen Firewallprofil
erfasst werden. Standardmig sind hier alle Adapter selektiert. Wird ein
Adapter abgewhlt und befindet sich der Adapter in dem entsprechenden Netzwerkprofil, so werden die Verbindungen nicht mehr berwacht.
Mit der Schaltflche Einstellungen: Anpassen kann die Einstellung der
Benachrichtigung kontrolliert werden (siehe die entsprechenden Kontrollkstchen in Abbildung 8.19). Die nchste Einstellung bezieht sich auf das
Zusammenspiel von Multicast-Sendungen des Computers (also Sendungen, die explizit an mehr als einen Empfnger gesendet werden) und ob
dort auch Unicast-Antworten (die also direkt an dieses System geschickt
werden) zugelassen werden. Die Einstellungen im Bereich Regelzusammenfhrung beziehen sich auf das Zusammenspiel lokaler Einstellungen und
Gruppenrichtlinien (siehe Kapitel 11). Dort lassen sich im Bereich Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Windows-Fire-
393
wall mit erweiterter Sicherheit auch Regeln fr die Firewall zuweisen. Dort
kann dann eingestellt werden, ob zustzlich zu den vordefinierten Regeln
auch noch lokale eigene Regeln eingestellt werden knnen. Die dort getroffenen Einstellungen knnen hier gesehen werden.
Abbildung 8.23
Weitere
Einstellungen
Interessiert das
Protokoll
jemanden?
Listing 8.8
Protokoll des erfolgreichen Zugriffs auf
eine Website
Mit der Schaltflche Protokollierung: Anpassen kann eingestellt werden, ob

verworfene oder erfolgreiche Pakete in einer Logdatei mitgeschrieben
werden sollen, normal wird keines der Ereignisse protokolliert. Um nicht
die komplette Festplatte mit diesen Firewall-Logs vollzuschreiben, muss
eine maximale Gre der Datei angegeben werden (Standard ist 4 MB).
Wird diese Gre von dem Protokoll erreicht, so wird die bisherige Logdatei umbenannt mit der Erweiterung .old und eine neue Datei begonnen.
Eine bereits bestehende Datei mit der Erweiterung .old wird gelscht,
sodass maximal zwei Dateien gleichzeitig existieren.
#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port
size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2009-11-14 22:27:58 ALLOW
0 - - - - - - - SEND
2009-11-14 22:28:01 ALLOW
0 - - - - - - - SEND
2009-11-14 22:28:01 ALLOW
80 0 - 0 0 0 - - - SEND
2009-11-14 22:28:03 ALLOW
0 - - - - - - - SEND
2009-11-14 22:28:03 ALLOW
0 - - - - - - - SEND
2009-11-14 22:28:03 ALLOW
0 - - - - - - - SEND
2009-11-14 22:28:03 ALLOW
394
UDP 192.168.137.219 192.168.137.1 63775 53

UDP 192.168.137.219 192.168.137.1 53318 53
TCP 192.168.137.219 213.199.164.111 51494
UDP 192.168.137.219 192.168.137.1 51959 53
UDP 192.168.137.219 192.168.137.1 51568 53
UDP 192.168.137.219 192.168.137.1 64008 53
UDP 192.168.137.219 192.168.137.1 51463 53

0 - - - - - - - SEND
2009-11-14 22:28:03 ALLOW UDP 192.168.137.219 192.168.137.1 59053 53
0 - - - - - - - SEND
2009-11-14 22:28:03 ALLOW TCP 192.168.137.219 66.235.139.152 51495
80 0 - 0 0 0 - - - SEND
Im Firewallprotokoll in Listing 8.8 kann man dem Webbrowser beim Arbeiten zusehen (aufgerufen wurde als Startseite die Adresse http://
de.msn.com). Die Adresse 192.168.137.219 ist hierbei immer der lokale Client. Zunchst erfolgen zwei DNS-Abfragen (Protokoll UDP, Port 53) auf
den DNS-Server 192.168.137.1, dann der Zugriff auf den http-Port (TCP,
Port 80) des Webservers an der Adresse 213.199.164.111. Dann folgen fnf
weitere DNS-Abfragen, bis eine Webabfrage auf den Server 66.235.139.152
erfolgt. Der komplette Aufbau der Seite produzierte etwa 6 KByte an Logdateien. Anhand eines solchen Protokolls kann man beispielsweise Probleme in einer Netzwerkapplikation nachverfolgen.
Registerkarte IPsec-Einstellungen
Auf der Registerkarte IPsec-Einstellungen knnen verschiedene Aspekte
des Protokolls eingestellt werden, zum Beispiel welche Authentifizierungsoder Verschlsselungsverfahren verwendet werden sollen und mit welchen Systemen IPsec-Tunnel aufgebaut werden drfen.
8.3.4
Firewallregeln
In der Baumstruktur auf der linken Seite des Fensters Windows-Firewall

mit erweiterter Sicherheit sind drei Gruppen von Regeln zu erkennen:
Eingehende Regeln
Ausgehende Regeln
Verbindungssicherheitsregeln
Die ersten beiden Eintrge behandeln Regeln, die fr eine bestimmte Kombination von Netzwerkparametern und Netzwerkprofilen angeben, ob
eine Verbindung zugelassen oder geblockt wird. Der Eintrag Verbindungssicherheitsregeln beschreibt, zwischen welchen Kommunikationspartnern
gesicherte Verbindungen per IPsec aufgebaut werden knnen.
Eingehende und ausgehende Regeln

Etwas weiter oben hatten wir ja in Abbildung 8.20 gesehen, wie die Firewall
auf den Versuch einer Anwendung reagierte, die einen Port aufmachen
will. Aus der Dokumentation des betreffenden Programms (die Fernsteuersoftware TightVNC, siehe [VNC]) wissen wir, dass es sich hierbei um die
Ports 5800/tcp und 5900/tcp handelt. Wenn wir damals auf Zulassen
geklickt haben, wurde automatisch eine entsprechende Regel in der Firewall angelegt. Diese wollen wir nun kontrollieren. Es handelt sich um eine
Regel, die Verbindungen betrifft, die zu dem Computer hin aufgebaut werden, klicken Sie also links auf den Knoten Eingehende Regeln.
395

Abbildung 8.24
Regeln in der
Firewall
Viele Regeln
regeln den
Verkehr
Hier im Beispiel in Abbildung 8.24 sehen Sie die beiden Regeln direkt oben
in der Liste, falls Sie die gewnschte Regel nicht sofort sehen, knnen Sie
ber das Kontextmen des Knotens links oder ber die drei Aktionseintrge (Nach Profil filtern, Nach Status filtern und Nach Gruppe filtern) die
Auflistung einschrnken. In diesem Beispiel knnte man also sowohl nach
Profil: privates Profil als auch nach Status: Aktiviert filtern. Rufen Sie nun die
Eigenschaften der ersten gefundenen Regel mit einem Doppelklick auf.
Abbildung 8.25
Firewallregel:
Registerkarte
Allgemein
Auf der Registerkarte Allgemein stehen zunchst auer dem Namen die
beiden wichtigsten Angaben zur Regel: Ist sie generell aktiv oder nicht, nur
eine aktive Regel kann den Verkehr kontrollieren. Auer den beiden Optio-
396
nen Verbindung zulassen und Verbindung blockieren gibt es noch eine dritte
Option, die in der Mitte zwischen beiden Optionen liegt: Verbindung zulassen, wenn sie sicher ist. Diese Option wirkt zusammen mit der Herstellung
einer gesicherten Verbindung ber IPsec. Besonders heikle Dienste, etwa
solche, die Kennwrter im Klartext bertragen (Telnet oder FTP), kann man
damit absichern, indem eine Verbindung nur zugelassen wird, wenn diese
selbst verschlsselt wird.
Auf der Registerkarte Programme und Dienste knnen Sie kontrollieren, welches Anwendungsprogramm von der Regel betroffen sein soll. Im Normalfall knnen Sie hier einfach den Pfad zur entsprechenden .exe-Datei setzen.
Problematisch wird dies dann, wenn die ausgewhlte Datei als Containerapplikation (zum Beispiel svchost.exe) fr viele verschiedene Funktionen
genutzt wird, in diesem Fall knnen Sie dort ber die Schaltflche Einstellungen den Dienst angeben, der mit dem betreffenden Programm verbunden ist. Die Einstellung Alle Programme sollten Sie nicht verwenden, da es
dann mglich wre, dass ein Angreifer die Anwendung, fr die eigentlich
die Ausnahme geschaffen wurde, beendet und durch eine eigene ersetzt.
Die beiden Registerkarten Computer und Benutzer haben einzig mit dem
Schutz durch IPsec zu tun. Da bei IPsec die Computer und Benutzer am
anderen Ende der Verbindung autorisiert sind, knnen hier beispielsweise Active Directory-gesttzte Gruppen angegeben werden. Sofern auf
der Registerkarte Allgemein nicht die Option Verbindung zulassen, wenn sie
sicher ist aktiviert ist, knnen auf diesen Registerkarten keine Einstellungen vorgenommen werden.
Abbildung 8.26
Firewallregel: Registerkarte Bereich
Auf der Registerkarte Bereich knnen sowohl lokale als auch entfernte IPAdressen in einer Vielzahl von Angaben eingetragen werden, die Auswahl
397
lokaler Adressen ist natrlich nur sinnvoll, wenn das System davon mehrere besitzt. Zustzlich zu festen Angaben knnen auch dynamische Werte
wie etwa DNS-Server in Abbildung 8.26 eingetragen werden. Diese werden
dann zur Laufzeit durch die jeweils aktuellen Daten ersetzt.
Sie sollten dem Schutz auf Basis von IP-Adressen nicht zu sehr vertrauen, da Sie jederzeit damit rechnen mssen, dass ein Angreifer ein
eigentlich zugelassenes Gert deaktiviert und sein eigenes System
unter dessen IP-Adresse ins Netz stellt.
Auf der Registerkarte Protokoll und Ports kann die Art des Netzwerkverkehrs genauer spezifiziert werden. Um dieses Dialogfeld zu verstehen,
muss man sich erinnern, dass die beiden Protokolle TCP und UDP auf
dem IP-Protokoll aufbauen. Um in einem IP-Paket zu unterscheiden, ob
es sich um ein TCP- oder um ein UDP-Paket handelt, existiert dort ein
Feld mit einer Protokollnummer, diese ist fr TCP 6 und fr UDP 17, daneben gibt es aber noch eine ganze Reihe weiterer Protokolle, diese knnen
mit der Einstellung Protokolltyp ausgewhlt werden, der Eintrag Protokollnummer wird entsprechend gesetzt. Fr Protokolle, die nicht in der Liste
aufgefhrt sind, kann der Eintrag Benutzerdefiniert gewhlt und die Protokollnummer manuell in das entsprechende Feld eingetragen werden.
Abbildung 8.27
Firewallregel: Registerkarte Protokoll
und Ports
Sofern als Protokoll TCP oder UDP gewhlt wurde, sind zustzliche Einstellungen in den Feldern Lokaler Port und Remoteport mglich. ber diese Felder lsst sich exakt bestimmen, welche Verbindungen zu welchen Ports
zugelassen werden sollen. An dieser Stelle knnen leider keine Portnamen
verwendet werden (etwa HTTP fr 80). Eine Besonderheit ergibt sich hier
398
fr Verbindungen ber RPC-Aufrufe (Remote Procedure Call), da diese

immer dynamisch wechselnde Portnummern verwenden. Zu diesem Problem finden Sie einige Erklrungen in der Online-Hilfe unter dem Link Weitere Informationen ber Protokolle und Ports.
Fr die Protokolle ICMPv4 und ICMPv6 (Internet Control Message Protocol) Netzwerkkann ber die dann aktivierte Schaltflche Anpassen angegeben werden, diagnose mit
ICMP erlauben
auf welche ICMP-Nachrichten das System reagieren soll.
Auf der Registerkarte Erweitert kann schlielich angegeben werden, in welchem Netzwerkprofil diese Regel gltig sein soll. ber die Schaltflche
Schnittstellentypen: Anpassen kann ausgewhlt werden, fr welche Arten
von Netzwerkverbindungen die Regel gelten soll, zur Auswahl stehen hier
LAN, Remotezugriff und Drahtlos. Remotezugriff beinhaltet dabei sowohl
VPN-Verbindungen als auch Einwhlverbindungen. Diese Auswahl kann
man beispielsweise nutzen, ein ffentliches Profil, das eh schon fast alles
blockt, noch restriktiver zu gestalten, sobald eine WLAN-Verbindung verwendet wird.
Zu der Einstellmglichkeit im Bereich Edgeausnahmen (Edge Traversal) fin- Digitale
den sich im Internet Kommentare wie Ich verstehe nicht, was das sein soll bis Verwirrung
hin zu Der, von dem der Hilfetext ist, hat es auch nicht verstanden. Allgemein
ist die hierfr verfgbare Information sehr dnn, es scheint sich jedoch
um das Problem zu handeln, dass die Verffentlichung eines Dienstes
hinter einer NAT-Firewall immer auch eine Konfiguration auf der Firewall bedarf, um zu funktionieren. Diese Einstellung scheint jetzt damit zu
tun zu haben, dass entsprechende Verffentlichungen in der Firewall
automatisch auf dem vorgelagerten NAT-Router auch erfolgen, hnlich
wie die Remoteuntersttzung ja auch eine entsprechende NAT-Konfiguration aufbaut (siehe den Abschnitt 8.6.1 ab Seite 415).
8.3.5
Firewallregeln bearbeiten
ber das Kontextmen einer einzelnen Regel oder die Aktionen in der
rechten Spalte kann die Regel gelscht oder in die Zwischenablage gelegt
werden, von dort ist zwar kein Einfgen in eine Textverarbeitung mglich,
aber ein Einfgen in die Firewallverwaltung als Kopie der bestehenden
Regel. Auf diese Weise kann man beispielsweise eine einmal konfigurierte
Regel fr ein anderes Netzwerkprofil kopieren, um dort anschlieend nur
noch nderungen vornehmen zu mssen.
Mit der Funktion Liste exportieren kann eine textliche Darstellung der
Regeln gespeichert werden, beispielsweise zur Dokumentation. Es ist aber
nicht mglich, diese Liste zum Import in ein anderes System zu verwenden.
8.3.6
Die Firewall und die Kommandozeile
Zur Kontrolle und berwachung der Firewall kann man das Programm
netsh.exe verwenden. Der von Windows XP her bekannte Kontext netsh firewall wurde allerdings aufgrund der erweiterten Mglichkeiten durch den
neuen Kontext netsh advfirewall abgelst. Im Folgenden nun einige Befehls-
399
kombinationen, die im Zusammenhang mit der neuen Firewall stehen. Mit

Ausnahme der Befehle, die einen Status lediglich anzeigen, mssen diese
Befehle alle in einem administrativen Kontext ausgefhrt werden.
Feststellen, welches das aktuelle Firewallprofil ist
netsh advfirewall show currentprofile
Firewall aus- beziehungsweise einschalten
netsh advfirewall set currentprofile state off

netsh advfirewall set currentprofile state on
Protokollierung geblockter Verbindungen ein-/ausschalten
netsh advfirewall set currentprofile logging

droppedconnections enable
netsh advfirewall set currentprofile logging
droppedconnections disable
Liste smtlicher Regeln ausgeben
netsh advfirewall firewall show rule all

Eine Regel anlegen oder lschen
netsh advfirewall firewall add rule <parameter>

netsh advfirewall firewall delete rule <parameter>
Die beiden Befehle untersttzen eine Vielzahl von Parametern, die

Online-Hilfe, die erscheint, wenn sie ohne weitere Parameter eingegeben werden, bietet eine ganze Reihe von Beispielen.
8.4
Netzwerkkopplung
Netzwerke bestehen meist aus mehr als nur einem einzigen Netzwerksegment, fr diese Probleme bietet Windows 7 verschiedene Lsungswege an. Im Folgenden betrachten wir einen Teil eines greren Netzwerks, das nach folgendem Schema aufgebaut ist:
Abbildung 8.28
Netzwerk aus zwei
Teilsegmenten
Ethernet A
Ethernet B
Internet
PC1
Netzwerkadapter A
PC2
Netzwerkadapter B
Das hier betrachtete Teilnetz besteht aus zwei physikalisch voneinander

getrennten Netzwerksegmenten Ethernet A und Ethernet B. Das System
PC1 besitzt zwei Netzwerkadapter, die an den jeweiligen Netzwerksegmenten angeschlossen sind.
400
Netzwerkkopplung
8.4.1
Netzwerkrouten
Im einfachsten Fall wird das System PC1 als Router konfiguriert. Hierzu sind
folgende Adressvergaben notwendig: Die Systeme in Ethernet B bekommen
IP-Adressen aus einem anderen Subnetz zugewiesen, als sie in Ethernet A
verwendet werden. Hier im Beispiel verwenden wir das Netz 192.168.88.0
fr Ethernet B und vergeben dort die IP-Adressen 192.168.88.88 fr Netzwerkadapter B in PC1 und 192.168.88.90 fr PC2. Auf PC2 wird als Standardgateway die IP-Adresse von PC1 im dortigen Segment (192.168.88.88) eingetragen.
Sobald fr den Adapter in PC2 das Standardgateway festgelegt wird,
erkennt das System, dass es sich in einem unbekannten Netzwerk befindet, und fordert zur Einstellung des Netzwerkprofils auf. Hier whlen Sie
Heimnetzwerk aus.
Als dritten Schritt mssen Sie den Systemen im Netzwerk Ethernet A mitteilen, wie diese die Systeme im Ethernet B erreichen knnen. Diese Information wird in Form einer Route angelegt und mit dem Programm route.exe
eingetragen: Auf PC1 muss dieser Befehl nicht gegeben werden, dieser
kennt das andere Netzwerk bereits durch seine zweite Netzwerkkarte.
>route add 192.168.88.0 mask 255.255.255.0 192.168.0.240 metric 2
OK!
Im Einsatz in einer produktiven Umgebung wrde man den Aufruf

noch mit dem Parameter p versehen, um diese Route permanent im
System zu konfigurieren, damit sie auch nach einem Neustart wieder
zur Verfgung steht.
Am einfachsten richten Sie diese Route auf dem System ein, das die anderen Systeme im Ethernet A als Gateway verwenden. Den Systemen in
Ethernet B muss keine separate Route eingetragen werden, da fr diese
smtliche Verbindungen ber Netzwerkadapter B laufen, der als Standardgateway konfiguriert ist.
Als letzten Schritt muss dem TCP/IP auf dem System PC1 noch mitgeteilt
werden, dass es ab sofort dafr vorgesehen ist, IP-Pakete zwischen den beiden Netzwerkadaptern weiterzuleiten. Hierfr gibt es keine Funktion in
der Oberflche, diese Einstellung muss ber die Registry durchgefhrt
werden. Setzen Sie dazu im Schlssel HKLM\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters den Wert IPEnableRouter von 0 auf 1, und starten
Sie das System neu. Den Erfolg der Konfiguration erkennen Sie in der Ausgabe von ipconfig /all durch die angezeigte Zeile IP-Routing aktiviert: Ja.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
:
:
:
:
:
:
ADMIN-PC
Hybrid
Ja
Nein
rid
...
401
Nach dem Neustart knnen Sie von dem System PC2 aus alle Systeme im
Ethernet A erreichen, sofern diese ber eine Route zurck zum Ethernet B
verfgen.
Routen mssen immer in Hin- und Rckrichtung konfiguriert sein, da
ber die eine Richtung die Anfragen der Clients an die Server und in der
anderen Richtung die Antworten der Server an die Clients erfolgen.
8.4.2
Netzwerkbrcken
Whrend ein Router auf der Ebene des IP-Protokolls arbeitet, funktioniert
eine Netzwerkbrcke (Network Bridge) auf einer der weiter unten liegenden ISO-Ebenen. Die Brcke verbindet zwei physikalisch getrennte Netzsegment, sodass diese fr die oberen Protokolle wie ein einziges Aussehen. Starten Sie hierzu das Netzwerk- und Freigabecenter und klicken
dort auf Adaptereinstellungen ndern. Sie sehen eine Auflistung aller aktuell vorhandenen Netzwerkadapter.
Abbildung 8.29
Netzwerkadapter
anzeigen
Klicken Sie jetzt zunchst den ersten Adapter an und halten dann die
(Strg)-Taste gedrckt, whrend Sie den zweiten Adapter anklicken.
Alternativ knnen Sie auch, wie in einem Zeichenprogramm, um beide
Adapter mit gedrckter Maustaste einen Rahmen ziehen. Klicken Sie nun
mit der rechten Maustaste auf einen der markierten Adapter, und whlen
Sie im Kontextmen den Befehl Verbindungen berbrcken aus. Nach
Abschluss des Vorgangs sehen Sie in der Adapterbersicht einen neuen
Adapter.
402
Netzwerkkopplung
Abbildung 8.30
Eine neue Netzwerkbrcke
Wenn Sie versuchen, die Eigenschaften der einzelnen Adapter anzusehen, werden Sie feststellen, dass sie zwar noch die Hardware-Eigenschaften des Netzwerkadapters einstellen knnen, die Einstellmglichkeiten
fr die Protokolle und Dienste aber nicht mehr angezeigt werden. Diese
Einstellungen sind jetzt ausschlielich ber die Eigenschaften der Netzwerkbrcke erreichbar.
Abbildung 8.31
Eigenschaften der
Netzwerkbrcke
Standardmig sind die IP-Einstellungen auf den Betrieb mit einem DHCP- ber sieben
Server eingestellt, sodass in unserem Beispiel keine weiteren Einstellungen Brcken musst
mehr auf PC1 vorgenommen werden mssen (der Adapter LAN-Verbin- du gehen ...
dung in Listing 8.4 verwendete auch DHCP). Whrend im Beispiel mit dem
403
Routing auf PC2 noch eine separate IP-Adresse fest vergeben werden
musste, ist dies hier nicht notwendig. ber die Netzwerkbrcke erreicht
auch PC2 den DHCP-Server in Ethernet A, sodass auch hier die Einstellung
DHCP verwenden eingestellt werden kann.
Brcke verndern oder wieder entfernen

In der bersicht der einzelnen Netzwerkadapter knnen Sie einen der
separaten Netzwerkadapter ber sein Kontextmen mit der Funktion
Von der Brcke entfernen aus einer bestehenden Brcke herausnehmen,
entsprechend einen nicht zur Brcke gehrigen Adapter mit der Funktion Zu Brcke hinzufgen einfgen. Die gleiche Funktion knnen Sie auch
in den Eigenschaften der Brcke ber die Kontrollkstchen der einzelnen
Netzwerkadapter im oberen Teil von Abbildung 8.31 erreichen. Es ist
sogar mglich, eine Brcke als Netzwerkadapter zu haben, der keinerlei
Adapter zugeordnet sind. In diesem Fall sollten Sie die Brcke dann ber
ihr Kontextmen auch lschen.
Ein Netzwerkadapter, der aus einer Brcke entfernt wird, erhlt wieder seine vorherige IP-Konfiguration.
8.4.3
Gemeinsame Nutzung der

Internetverbindung
hnlich wie ein heutiger DSL-Router einen einzigen Internetanschluss fr

mehrere Rechner zur Verfgung stellt, kann diese Funktion auch ein System mit Windows 7 bernehmen. Das Verfahren nennt sich Gemeinsame
Nutzung der Internetverbindung. Eingefhrt wurde diese Funktion bei Windows XP, war damals aber nur fr Whlverbindungen verfgbar.
Abbildung 8.32
Gemeinsame
Nutzung
404
Netzwerkkopplung
Nur auf einem System, das ber mehr als einen Netzwerkadapter ver- Nur wer viel hat,
fgt, steht die Registerkarte Freigabe in den Eigenschaften der Netzwerk- kann teilen
adapter zur Verfgung. In unserem Beispielnetzwerk aus Abbildung 8.28
sollen die Systeme in Netzsegment Ethernet B den Anschluss von PC1 an
Ethernet A nutzen. Demzufolge mssen wir Netzwerkadapter A freigeben.
Das Kontrollkstchen Anderen Benutzer im Netzwerk gestatten zu verwenden
mssen Sie dort aktivieren, das Kontrollkstchen Anderen Benutzer im
Netzwerk gestatten ... zu steuern ist nur fr Whlverbindungen relevant
und kann in diesem Beispiel ignoriert werden. Nach Bettigen der Schaltflche OK erscheint ein Warnhinweis, dass diese Aktion die IP-Adresse
der anderen LAN-Verbindung abndern wird, die Adresse wird dabei
auf ein noch freies Subnetz im privaten IP-Bereich (192.168.x.1) gelegt.
Abbildung 8.33
Verbindungsfreigabe fordert andere
IP-Adressen.
Unter Windows XP wurde diese Adresse noch fest auf 192.168.0.1 eingestellt.
Durch die Aktivierung der gemeinsamen Nutzung wurde auf dem System
automatisch ein kleiner eigener DHCP-Server aktiviert, der nun fr die Clients am zweiten Netzwerkadapter (Ethernet B) zur Verfgung steht. Stellen Sie also das System PC2 auf die Adressvergabe durch DHCP um, beziehungsweise fhren Sie die Kommandos ipconfig /release und ipconfig /renew
dort aus, um eine neue Zuweisung einer IP-Adresse zu erzwingen.
Nun hat das System PC2 eine IP-Adresse aus dem Netz 192.168.137.0 Netzwerkbekommen, als DNS und Standardgateway werden die IP 192.168.137.1 maskerade
verwendet. Greift man jetzt mit diesem System auf einen Server zu, der im
Ethernet A steht, so wird dort der Zugriff nicht mit der IP-Adresse von PC2
registriert, sondern mit der IP-Adresse von Netzwerkadapter A von PC1.
Das komplette Subnetz, in dem sich PC2 befindet, existiert fr das restliche
Netzwerk nicht. Auf diese Weise besteht natrlich auch ein gewisser
Schutz fr die Systeme in Ethernet B, da diese nicht von auen erreicht werden knnen. Dieses Verfahren der Netzwerkkopplung wird auch als NATRouter (Network Address Translation) bezeichnet.
Dienste verffentlichen
Es ist allerdings mglich, gezielt einige Dienste von Systemen aus Ethernet B auch fr Systeme in Ethernet A verfgbar zu machen. Hierzu klicken
Sie auf die Schaltflche Einstellungen der Freigabesteuerung.
405

Abbildung 8.34
Verffentlichung
einer Anwendung
Hier finden Sie bereits einige vordefinierte Dienste, die Sie verffentlichen
knnen. Aktivieren Sie einen der vordefinierten Dienste, so mssen Sie
angeben, zu welchem System im Inneren (also in Ethernet B) eine Verbindung von auen verbunden werden soll. Die Angaben fr die Portnummern
lassen sich dabei nicht verndern. Mchte man einen eigenen Dienst verffentlichen oder bentigt man eine spezielle Zuordnung der Ports, so kann
man diese Daten ber die Schaltflche Hinzufgen auch einzeln festlegen.
Abbildung 8.35
Einen eigenen
Dienst anbieten
Im Beispiel in Abbildung 8.35 luft beispielsweise ein Dienst auf dem Port
23456/tcp auf dem System mit dem Namen WIN-RVOJVLD55U6. Von
auerhalb soll das System jedoch ber den Port 12345 zu erreichen sein. Derartige Portumschreibungen sind zum Beispiel notwendig, wenn man auf
zwei Systemen im Netzwerk jeweils den gleichen Dienst auf identischen
Portnummern anbieten will.
Eine Liste aller Systeme, die aktuell die Freigabe verwenden, findet sich
in der Datei hosts.ics, die im gleichen Verzeichnis wie die Datei hosts
liegt. Man sollte jedoch den Inhalt dieser Datei nicht manuell ndern.
Welche der drei Mglichkeiten der Netzwerkkopplung fr den spezifischen Einsatzzweck die passende ist, lsst sich nicht allgemein sagen,
jede Variante hat ihre Vor- und Nachteile.
406
8.5
Domnenmitgliedschaft und
Funktionen in Active Directory
Die Windows 7 Editionen Professional, Ultimate und Enterprise knnen

Mitglied einer Domne werden, die Home-Versionen untersttzten diese
Funktion nicht. Eine Domne ist dabei als eine Verwaltungseinheit zu
sehen, die sowohl Benutzer als auch Computer beinhaltet. Um die Funktionen einer Domne nutzen zu knnen, muss sowohl der Benutzer als
auch der Computer in der Domne angemeldet sein. Diese Anmeldungen
werden in der Domne von sogenannten Domnencontrollern (DC, Domain
Controller) durchgefhrt, auf denen auch die Verwaltungsinformationen
ber die Domnen gespeichert werden. Nur Systeme mit einer Serverversion von Windows knnen diese Rolle bernehmen. Der erste Schritt auf
diesem Weg ist deshalb die Aufnahme des Computers in die Domne.
Auch wenn die Hauptverwaltungseinheit zunchst eine Active Directory-Gesamtstruktur (Forest) ist, zu der dann mehrere Active DirectoryDomnen gehren knnen, wollen wir im Folgenden nur eine einzelne
Domne betrachten, die mit ihrem Forest identisch ist.
8.5.1
Einer Domne beitreten
Um einen Computer in eine Domne aufzunehmen, sind zwei Vorraussetzungen zu erfllen:

1. Der Computer muss in der Lage sein, DNS-Informationen ber die
Active Directory-Domne erhalten zu knnen.
2. Der Computer muss eine Netzwerkverbindung zu einem der Active
Directory-Domnencontroller aufbauen knnen.
Beide Anforderungen lassen sich am einfachsten erfllen, wenn sowohl die
Clients als auch die Domnencontroller im gleichen LAN installiert sind.
Am einfachsten sollte der Client einen der Domnencontroller als DNS verwenden, dann ist automatisch die erste Voraussetzung erfllt. Befinden
sich zwischen dem Client und dem Domnencontroller eine Firewall (oder
auch mehrere), muss eine ganze Reihe von Regeln in der Firewall eingetragen werden, um dem Client den notwendigen Kontakt zu ermglichen. Bei
Microsoft gibt es unter [ADFW] einen KB-Artikel, der die dazu notwendigen Regeln beschreibt.
Vorbereitungen fr den Beitritt

Um der Domne beizutreten, muss das System in der Lage sein, die Domnencontroller der Domne zu identifizieren. Dies lsst sich mit einer DNSAbfrage feststellen:
>nslookup -q=ANY _LDAP._TCP.dc._msdcs.contoso.com
Server: win2008.contoso.com
Address: 192.168.0.200
Listing 8.9
Identifikation eines
Domnencontrollers
407

_LDAP._TCP.dc._msdcs.contoso.com
SRV service location:
priority
= 0
weight
= 100
port
= 389
svr hostname = win2008.contoso.com
win2008.contoso.com
internet address = 192.168.0.200
Mit dieser Abfrage ber nslookup wird nach der oder den Adressen fr die
Domnencontroller der Domne contoso.com gefragt, diese sind im aktuellen Beispiel identisch mit dem gerade verwendeten DNS. Sofern bei diesem Prozess der DC nicht gefunden wird, gibt der Artikel unter [ADDNS]
Hilfen zur Fehlersuche.
Ist sichergestellt, dass das System die DC der Domne erreichen kann, kann
der zweite Schritt durchgefhrt werden, Um das System in die Domne aufzunehmen, ffnen Sie die Eigenschaften des Computer-Eintrags im Startmen oder Systemsteuerung/System und Sicherheit/System. Dort whlen Sie
dann den Link Einstellungen ndern im Bereich Einstellungen fr Computernamen, Domne und Arbeitsgruppe aus. Um diese Aktion durchzufhren,
mssen Sie ber Administratorrechte verfgen.
Abbildung 8.36
nderungen zur
Aufnahme in die
Domne
In diesem Dialogfeld knnen Sie zwischen zwei Vorgehensweisen whlen:

Schaltflche Netzwerk-ID Die Aufnahme in die Domne wird durch
einen Assistenten durchgefhrt, der einige einfache Fragen stellt, anhand
derer der Domnenname oder Rechnername ausgewhlt werden kann.
Zum Abschluss des Assistenten bekommt man noch die Mglichkeit,
einen Domnenbenutzer als Administrator des lokalen Rechners einzutragen, etwa wenn ein Benutzer der Domne besondere Berechtigungen
auf dem System braucht.
Schaltflche ndern Der Administrator kann direkt in einem Dialogfeld auswhlen, dass das System statt in einer Arbeitsgruppe nun in
einer Domne Mitglied sein soll. Fr den Namen der Domne kann
408
wahlweise der NetBIOS-Name oder der DNS-Name eingegeben werden, wobei die Variante mit DNS schneller ist.
Abbildung 8.37
nderung der
Domnenmitgliedschaft
Um ein System in eine Domne aufzunehmen, muss dieser Vorgang autorisiert sein. Oftmals wird behauptet, dass dieser Vorgang zwangslufig
von einem Domnenadministrator durchgefhrt werden muss. Das ist
nicht in jedem Fall richtig.
Abbildung 8.38
Wer nimmt auf?
8
Die Kontrolle darber, wer ein System in eine Domne aufnehmen darf,
wird durch eine Sicherheitsrichtlinie auf dem Domnencontroller gesteuert. Unter Lokale Richtlinien/Zuweisen von Benutzerrechten findet sich der
Eintrag Hinzufgen von Arbeitsstationen zur Domne und steht im Normalfall auf Authentifizierte Benutzer. Somit kann faktisch jeder Benutzer einer
Domne neue Computer zur Domne hinzufgen. Dieser Vorgang funktioniert allerdings nur maximal zehn Mal. Ein Domnenadministrator
kann natrlich beliebig viele Systeme in die Domne aufnehmen.
Abbildung 8.39
Willkommen!
409
Nachdem der Prozess erfolgreich verlaufen ist, wird dies mit einer entsprechenden Meldung angezeigt. Damit der Vorgang abgeschlossen werden kann, muss das System neu gestartet werden. Nach dem Neustart
bleibt zwar weiterhin der Willkommenbildschirm erhalten, hier werden
aber nicht mehr wie bislang smtliche auf dem Rechner angelegten
Benutzer im Auswahlbildschirm prsentiert.
Bei der Aufnahme des Systems in die Domne wird dort ein Konto fr das
System erstellt (Computerkonto). Dieses wird standardmig im Container Computers angelegt, falls man dies nicht mchte, muss man entweder
das Konto nachtrglich in den passenden Container verschieben oder dort
das Konto schon vorab anlegen. ber die Lage des Computerobjektes im
entsprechenden Container von Active Directory ergeben sich auch die Verwaltungsmglichkeiten mittels Gruppenrichtlinien, siehe hierzu Kapitel 11.
Abbildung 8.40
Eigenschaften des
Computerobjektes in
Active Directory
In diesem Computerobjekt wird eine ganze Reihe von Verwaltungsinformationen ber das System gespeichert, in Abbildung 8.40 kann man zum
Beispiel die Edition des Betriebssystems und dessen genaue Versionsnummer erkennen.
Folgen des Beitritts fr lokale Benutzer und Gruppen

Sobald ein System einer Domne beitritt, ergeben sich auch nderungen bei
den lokalen Benutzern und Gruppen. Die zunchst augenflligste nderung betrifft den Bereich der Benutzerkonten in der Systemsteuerung. Die
Eintrge zum Hinzufgen oder ndern der lokalen Benutzerkonten werden nicht mehr angezeigt. Die noch existierenden lokalen Benutzer und
Gruppen kann man ber den Link Benutzerkonten verwalten auf der Registerkarte Erweitert und mit anschlieendem Klick auf die Schaltflche Erweitert im Bereich Erweiterte Benutzerverwaltung oder ber den Aufruf von lusrmgr.msc erreichen.
410

>net localgroup Administratoren
Aliasname
Administratoren
Beschreibung
Administratoren haben uneingeschrnkten Vollzugriff
auf den Computer bzw. die Domne.
Listing 8.10
nderungen an
lokalen Gruppen
Mitglieder
-----------------------------------------------------------------admin
Administrator
CONTOSO\Domnen-Admins
>net localgroup Benutzer
Aliasname
Benutzer
Beschreibung
Benutzer knnen keine zuflligen oder
beabsichtigten nderungen am System durchfhren und
drfen die meisten herkmmlichen Anwendungen
ausfhren.
Mitglieder
-----------------------------------------------------------------CONTOSO\Domnen-Benutzer
NT-AUTORITT\Authentifizierte Benutzer
NT-AUTORITT\INTERAKTIV
Dem Listing 8.10 knnen Sie entnehmen, dass die beiden globalen Gruppen der Domne (CONTOSO\Domnen-Admins und CONTOSO\DomnenBenutzer) Mitglied der entsprechenden lokalen Gruppen geworden sind.
Somit hat jeder Benutzer, der ein Konto in der Domne hat, automatisch
auch die Rechte eines Benutzers auf dem lokalen System.
Einer Domne offline beitreten

Fr Windows 7 ist es auch mglich, einer Domne beizutreten, wenn zu dem
Zeitpunkt keine Netzwerkverbindung zwischen Client und Domnencontroller besteht. Fr diesen Zweck wurde das Programm djoin.exe entwickelt,
das sowohl den Serverpart (Erstellung des Computerkontos in der Domne)
als auch den Clientpart (Integration in die Domne) vornimmt. Dieses Tool
existiert auf Serverseite erst ab Windows Server 2008R2, man kann jedoch
das Programm auch auf einem Windows 7-System ausfhren, das bereits
Mitglied der Domne ist. Der angemeldete Benutzer muss hierbei ber die
Berechtigung verfgen, ein neues Computerkonto erstellen zu drfen.
>djoin /provision /domain contoso.com /machine admin-pc
/savefile domain.data /downlevel
Das Computerkonto wird bereitgestellt...
[admin-pc] wurde erfolgreich in der Domne [contoso.com]
bereitgestellt.
Die Bereitstellungsdaten wurden erfolgreich in [domain.data]
gespeichert.
Listing 8.11
Erstellung eines
Computerkontos im
Offline-Verfahren
411

Die Computerkontobereitstellung wurde erfolgreich abgeschlossen.
Der Vorgang wurde erfolgreich beendet.
Die bei dem Verfahren erstellte Datei ist nicht wirklich sehr aussagekrftig,
enthlt aber trotzdem sensible Informationen. Sie enthlt in der Kodierung
Base64 Daten ber Ihre Domne, unter anderen das Systemkennwort fr
das neu zu erstellende Computerobjekt. Bewahren Sie die Datei unbedingt
an einem geschtzten Platz gesichert vor unbefugtem Zugriff auf.
Listing 8.12
Datendatei, um ein
System offline einer
Domne hinzuzufgen
C:\Users\adm>type domain.data
ARAIAMzMzMyQAwAAAAAAAAAAAgABAAAAAQAAAAQAAgABAAAAAQAAAGgDAAAIAAIAa
AMAAAEQCADMzMzMWAMAAAAAAAAAAAIABAACAAgAAgAMAAIADgAQABAAAgAWABgAFA
...
AAtAEYAaQByAHMAdAAtAFMAaQB0AGUALQBOAGEAbQBlAAAAGAAAAAAAAAAYAAAARA
BlAGYAYQB1AGwAdAAtAEYAaQByAHMAdAAtAFMAaQB0AGUALQBOAGEAbQBlAAAAAAA
AAA==
Nach der Vorbereitung der Domne und Erstellung der Beitrittsdatei muss
die Datei zum aufzunehmenden System transportiert werden. Nachdem
die Datei dort abgekommen ist, kann die Aufnahme in die Domne ber
ein administratives Kommandofenster erfolgen:
Listing 8.13
Ein System wird per
Kommandozeile in
die Domne aufgenommen.
>djoin /requestodj /loadfile domain.data

/windowspath c:\Windows /localos
Die Bereitstellungsdaten werden aus der folgenden Datei geladen:
[domain.data].
Die Anforderung zum Offline-Domnenbeitritt wurde erfolgreich
abgeschlossen.
Ein Neustart ist erforderlich, damit die nderungen wirksam werden.
Der Vorgang wurde erfolgreich beendet.
Auf diese Weise wird zwar das System in die Domne integriert, es werden jedoch keinerlei Benutzeraccounts bertragen. Dies hat zur Folge,
dass das System ohne Netzverbindung keinem Benutzer der Domne das
Anmelden erlaubt, da noch keinerlei zwischengespeicherte Benutzeraccounts vorhanden sind. Dieses Verfahren zum Beitritt eignet sich somit
eher fr die Vorbereitung von automatisch ablaufenden Installationen,
bei denen man schon vorab die Systeme an einer bestimmten Stelle in die
Domne aufnehmen will. Unter der Adresse [DJOIN] sind einige Anwendungsbeispiele beschrieben.
8.5.2
Sag' beim
Abschied leise
Server
412
Eine Domne verlassen
Einer Domne kann man nicht nur beitreten, man kann sie auch wieder
verlassen. Um die Domne zu verlassen, rufen Sie die Eigenschaftsseite
des Computereintrags im Startmen auf. Etwa in der Mitte des Fensters
sehen Sie auf der rechten Seite die Information ber den Computernamen
und den Namen der Domne, in der der Computer Mitglied ist. Klicken
Sie dort auf Einstellungen ndern und im neuen Dialogfeld auf die Schaltflche ndern. Im nun erscheinenden Dialogfeld ndern Sie die Einstellung Mitglied von Domne um in Mitglied von Arbeitsgruppe, und whlen
Sie einen Namen der gewnschten Arbeitsgruppe aus. Nach Bettigung
der Schaltflche OK erscheint ein Dialogfeld, das Sie daran erinnert, dass
nach Abschluss der Aktion auf dem System keine Benutzer aus der
Domne mehr existieren, Sie also das Kennwort eines lokal auf dem System vorhandenen Benutzerkontos bentigen.
Abbildung 8.41
Lokale Benutzer
werden bentigt.
Nachdem Sie einige Male mit OK die verschiedenen Dialogfelder besttigt

haben, erhalten Sie am Schluss die Mitteilung, dass der Vorgang erst nach
einem Neustart abgeschlossen werden kann. Sie erhalten hier die Mglichkeit, diesen Neustart auch sofort auszufhren.
Aufrumarbeiten
Die bei der Aufnahme in die Domne zu den lokalen Gruppen hinzugefgten Domnengruppen werden bei dem Prozess automatisch wieder
entfernt. Eventuell manuell zu den lokalen Gruppen hinzugefgte Elemente der Domne bleiben davon unberhrt, hier muss man diese selber
auch manuell wieder entfernen. Erkennbar ist so ein berbleibsel daran,
dass kein Benutzername, sondern die SID angezeigt wird.
Abbildung 8.42
Ein Domnenbenutzer blieb brig.
Selbstverstndlich bleiben auch die lokalen Arbeitsverzeichnisse all jener

Domnenmitglieder brig, die sich im Laufe der Zeit auf dem System
angemeldet hatten. Diese Profile knnen ber die Eigenschaften des Computer-Eintrags im Startmen, Link Erweiterte Systemeinstellungen, Registerkarte Erweitert und Schaltflche Einstellungen im Bereich Benutzerprofile
gelscht werden. In der Liste, die im Dialogfeld erscheint, erkennen Sie
eine Reihe von Profilen, fr die Konto unbekannt angezeigt wird. Markieren Sie diese, und entfernen Sie sie mit der Schaltflche Lschen.
413
In der Domne verbleibt das Computerkonto des Systems in Active Directory zurck. Dieses sollte man auch dort manuell lschen.
8.6
Fernbedienung
Sofern man mit einem Computerproblem als Anwender nicht weiterkommt, wird man sich an jemanden wenden, der sich mit dem Problem
(hoffentlich) auskennt, am einfachsten geht dies, wenn der Supporter die
Mglichkeit hat, das Gleiche auf dem Bildschirm zu sehen wie derjenige,
der die Hilfe bentigt. Fr diesen Einsatzzweck existiert eine ganze Reihe
von Anwendungen von Drittanbietern, hier konzentrieren wir uns aber
auf die bei Windows 7 mitgelieferten Mglichkeiten der Remoteuntersttzung und des Remotedesktops.
Es existiert noch eine weitere Mglichkeit in Form des Programms
SharedView, dies wird in Kapitel 16 kurz vorgestellt.
Abbildung 8.43
Remoteeinstellungen
Nach der Installation ist die Remoteuntersttzung aktiviert und der

Remotedesktop deaktiviert, dies knnen Sie ber die Systemsteuerung/
System und Sicherheit/System und den Link Remoteeinstellungen im linken
Teil des Dialogfeldes ndern. Obwohl beide technisch hnlich sind,
unterscheiden sie sich im Wesentlichen durch die Art und Weise, wie die
Verbindung initiiert wird. Whrend bei der Remoteuntersttzung die
Anfrage vom Benutzer des Computers ausgeht, der eine Anforderung an
einen Support herausgibt, um dann mit diesem gemeinsam das Problem
zu lsen, geht Remotedesktop den umgekehrten Weg. Die Anforderung
kommt von auen, und der Supporter lst das Problem alleine, egal ob
aktuell ein Benutzer angemeldet ist oder nicht.
414
Fernbedienung
8.6.1
Nach Hilfe fragen
Bei der Remoteuntersttzung stellt der Hilfesuchende eine Anfrage an den

Support, auf die dieser reagieren muss. Die Hilfe kann hierbei auf zwei
Weisen erfolgen:
1. Passiv Der Support sieht nur, was auf dem Bildschirm passiert, und
kann Kommentare ber eine Chat-Funktion geben.
2. Aktiv Der Support kann die Tastatur und Maus bernehmen und
selbst Aktionen durchfhren.
ber die Schaltflche Erweitert in Abbildung 8.43 kann eingestellt werden,
ob generell nur der passive Modus zugelassen werden soll. Weiterhin
kann auch die Zeitdauer eingestellt werden, fr welche die Einladung
noch gltig sein soll, der Standardwert von sechs Stunden kann hier mglicherweise zu hoch sein. Zudem kann kontrolliert werden, ob der
Zugang nur Systemen erlaubt sein soll, die mindestens Windows Vista
ausfhren. Die Zeitangabe ist wichtig, weil mit dem Senden der Anfrage
zur Remoteuntersttzung ein Serverdienst auf dem System gestartet
wird, der auf die ankommende Verbindung des Helfers wartet. Durch die
Zeitbeschrnkung wird sichergestellt, dass diese Funktion nicht unntig
lange zur Verfgung gestellt wird.
Um die Hilfe anzufordern, knnen Sie entweder im Startmen Hilfe und
Support aufrufen, dort dann im Hilfecenter unten auf den Link Mehr Supportoptionen anklicken. Dort findet sich unter der berschrift Fragen Sie
eine Person nach Hilfe ein Link Windows-Remoteuntersttzung. Zweite Mglichkeit: Sie gehen in die Systemsteuerung, suchen dort nach Problem und
klicken links in der Leiste auf Einen Freund fragen. Schneller geht es vermutlich, wenn Sie im Startmen nach Remote suchen, der Eintrag Windows-Remoteuntersttzung ist der zweite in der Liste.
Abbildung 8.44
Hilfe anfordern oder
Hilfe geben?
415

Hilfst du mir?
Zunchst kommt die generelle Frage, ob Sie Hilfe erwarten oder Hilfe
geben mchten, klicken Sie hier auf das obere Feld. Dann mssen Sie entscheiden, auf welche Weise Sie die Einladung bermitteln wollen.
Abbildung 8.45
Wie soll die Anfrage
bermittelt werden?
Sofern Sie die Einladung als Datei speichern, mssen Sie diese auf irgendeine
Weise zum PC desjenigen bringen, der Ihnen helfen soll. Falls auf Ihrem System ein untersttztes E-Mail-Programm installiert ist, knnen Sie diese Datei
direkt von diesem Dialogfeld aus versenden, ansonsten knnen Sie die Datei
beispielsweise ber eine Dateifreigabe zu Ihrem Supporter bermitteln.
Hilfe im Internet und Probleme mit dem Netz

Das Problem bei diesem Prozess ist, dass der Helfende eine direkte Verbindung von seinem Rechner zum Rechner des um Hilfe Bittenden herstellen
muss. In einer LAN-Umgebung ist dies meist kein Problem, sofern aber dieser in einem abgeschlossenen Netzwerk hinter einem NAT-Router steht,
wird dies problematisch. Schon bei Windows XP bestand das Problem
darin, dass der Client nicht in jedem Fall wusste, welche externe IP-Adresse
ihm zugeteilt war, er kannte nur seine eigene und schrieb diese in die Anforderungsdatei hinein. Beim Betrieb hinter einem NAT-Router musste dann
eine entsprechende Regel fr den Zugriff auf Port 3389 von auen auf den
Port des anfordernden Rechnern von innen im Router eingetragen werden.
Mit Windows Vista (und somit auch mit Windows 7) wurde eine weitere
Schwierigkeit eingebaut. Whrend bei XP noch ein statischer Port verwendet
wurde, um die Verbindung aufzubauen, ist dieser nun dynamisch, was es
faktisch unmglich macht, den Port vorab in einem NAT-Router zu konfigurieren. Um dieses Problem zu lsen, wurde bei Windows 7 eine neue Version
der bertragung der Einladungsdaten mit dem Namen Easy Connect entwickelt. Diese Variante stellt allerdings gewisse Anforderungen an das Netzwerk, dass nmlich ein Router verwendet wird, der das sogenannte Peer
Name Resolution Protocol (PNRP siehe PNRP) untersttzt. Das gesamte
Protokoll arbeitet auf Basis von IPv6, was seine heutigen Einsatzmglichkei-
416
Fernbedienung
ten doch stark schrumpfen lsst. Bis auf Weiteres wird man also bei der
Remoteuntersttzung auf herkmmliche Einladungsdateien ausweichen.
<?xml version="1.0"?>
<UPLOADINFO TYPE="Escalated"><UPLOADDATA USERNAME="jochenr-admin"
LHTICKET="3F1C39264F8ED240809D58D771F725E547F5EB339126C8DDCBAB3EE9
B1CD3E80393CF9E632A31F0D70A54D30D1FBD62CD68B663158FCBA90339AA56BE9
...
3846C352973175A873B4ACB1805118A869FD4AA4C3F07F6393CDD0CD46EFFAD39D
2B28C1EA7660CADA5B34964D"
RCTICKET="65538,1,192.168.0.98:49226,*,
T1Chskq0vHM+Mse6KYqXhRsLNMZbmzBoPyuNheGpu4+X4sNVjvbAlkG73eTyAdb4,
*,*,52Nvj/NtNGMxz3XfAjquBSLCDEo=" PassStub="xd&7QoTMOxMY8W"
RCTICKETENCRYPTED="1" DtStart="1257614121" DtLength="360"
L="0"/></UPLOADINFO>
Listing 8.14
Einladungsdatei
Einladung.
msrcIncident
In der Einladungsdatei in Listing 8.14 erkennt man am Ende die IPAdresse des Systems (192.168.0.98) und den aktuell verwendeten Port
(49226). Die restlichen Daten enthalten in verschlsselter Form das Kennwort, welches das System generiert, wenn es die Datei erstellt. Hat man
das System so konfiguriert, dass Einladungen nur von Systemen mit mindestens Windows Vista empfangen werden knnen, so sind diese Informationen nicht mehr im Klartext in der Datei lesbar, sie kann auch von
einem System mit Windows XP nicht mehr geffnet werden.
Sendet ein System hinter einem NAT-Router auf Basis der Verbindungsfreigabe (siehe den Abschnitt 8.4.3 ab Seite 404), so erkennt die Remoteuntersttzung automatisch die Topologie des Netzwerkes und passt die
Einladungsdatei entsprechend an:
<?xml version="1.0"?>
<UPLOADINFO TYPE="Escalated"><UPLOADDATA USERNAME="jochenr-admin"
LHTICKET="D7816F62D2A472D32020579BB887C375DF82C84CFF6
AF5FAE4ECD90AD113A443EF1B0EB23C2A7F5571BF05058F15C6A
...
266CBB0E5374CD10D9EB1EC81893E73C3A8E1B0B0F0937FF156C7
A90586DC347FC468CFD07F8ED4D319552D1D8CDB1CCEBC4"
RCTICKET="65538,1,192.168.137.219:49835;192.168.0.97:56628,*,
ZaKKZkWKXtvBZr/R4hvoulBE4rUflcArz8ArQwBalgrCJ2CwJVL35
/V1tfuon1HR,*,*,JVANQChn/f5WGEg+AhUk0GAO4Fc="
PassStub="2K+2BjWKvL2Zti" RCTICKETENCRYPTED=
"1" DtStart="1258102034" DtLength="360" L="0"/></UPLOADINFO>
Listing 8.15
Einladungsdatei
hinter einem NATRouter
Sie knnen hier in der Datei sehen, dass sowohl die IP-Adresse des anfragenden Systems (192.168.137.219) mit seiner Portnummer (49835) als
auch die externe IP-Adresse des NAT-Routers (192.168.0.97) mit einer
dort gltigen Portnummer (56628) eingetragen ist. Parallel dazu wird auf
dem NAT-Router automatisch eine entsprechende Verffentlichungsregel
eingetragen. Diese Regel wird nach Beendigung der Remoteuntersttzung auch automatisch wieder ausgetragen.
417

Abbildung 8.46
Verffentlichung der
Remoteuntersttzung
Nachdem also die Einladungsdatei (mit der Erweiterung msrcIncident) unter

einem frei whlbaren Namen gespeichert wurde, erscheint ein Fenster mit
dem fr diese Einladung geltenden Kennwort, und der Computer wartet auf
den Verbindungsversuch des Untersttzers.
Abbildung 8.47
Kennwort fr die
Untersttzungsanfrage
Mittels Rechtsklick auf das Kennwort lsst sich eine Kopie in die Zwischenablage bernehmen. Wird das Fenster geschlossen, wird die Einladungsdatei nutzlos und kann nicht erneut verwendet werden.
Auf dem Computer, von dem aus die Hilfe erfolgen soll, muss die empfangene Einladungsdatei gestartet werden, es erfolgt dann die Abfrage
des Kennworts.
Abbildung 8.48
Kennwortabfrage
bei der Einladung
(Windows XP links,
Windows 7 rechts)
Sofern das Kennwort korrekt ist, wird die Verbindung mit dem Computer
des Hilfesuchenden aufgebaut, der dortige Benutzer muss diesen Vorgang allerdings besttigen.
In einer Firmenumgebung kann man den Prozess auch ber ein Skript
automatisieren, speichern Sie einfach den folgenden Befehl in einer Datei
hilfe.cmd ab, und stellen Sie diese Datei Ihren Benutzern zur Verfgung:
418
Fernbedienung
msra /saveasfile \\server\ra\%COMPUTERNAME%.msrcIncident 12345678
Der Befehl msra.exe startet die Remoteuntersttzung, die Freigabe

\\server\ra ist ein Bereich auf einem Dateiserver, wo die Anfrage abgelegt werden soll, der Name der Anfrage wird ber die Variable %COMPUTERNAME% aus dem Rechnernamen gebildet, und das Kennwort
fr die Anfrage wird fest auf 12345678 gesetzt. Es ist natrlich vom
Sicherheitsstandpunkt aus nicht gut, ein festes und allgemein bekanntes
Kennwort zu verwenden, aber die Berechtigungen des Verzeichnisses
knnen ja so gesetzt werden, dass dort von den Benutzern die Dateien
nur geschrieben und nicht gelesen werden knnen.
Bentigt nun einer der Benutzer Hilfe, so startet er die Datei hilfe.cmd,
und die Hilfeanforderung wird automatisch auf einen Server im Bereich
des Supportdienstleisters abgelegt.
Abbildung 8.49
Hilfe annehmen?
Nachdem die Verbindung steht, erscheint der Hilfebildschirm auf dem Computer des Untersttzers, hierbei luft dort die Anwendung helpctr.exe.
Abbildung 8.50
Remoteuntersttzung von
Windows XP aus
419
Abbildung 8.51: Remoteuntersttzung von Windows 7 aus
Die Ansicht der Remoteuntersttzung hnelt sich bei Windows XP und

Windows 7, jedoch sind einige Bedienelemente anders angeordnet. Am linken Rand findet sich ein Textbereich, in dem die Kommunikation zwischen
den beiden Teilnehmern aufgezeichnet wird, eingeleitet wird die Kommunikation, indem der Helfer unten links seinen Text eingibt und auf die
Schaltflche Senden (bzw. die grne Pfeiltaste) klickt. Der Hilfeempfnger
kann die Kommunikation starten, indem er in dem kleinen Kontrollfenster
auf den Menbefehl Chat klickt. Beim Betrachten der beiden Oberflchen in
Abbildung 8.50 und Abbildung 8.51 fllt auf, dass kein Bildschirmhintergrund angezeigt wird, die Desktopoberflche ist einfarbig wei beziehungsweise schwarz. Dies liegt daran, dass die Verbindung zunchst auf
niedrige Bandbreite optimiert wurde. ber den Meneintrag Einstellungen
auf dem System des Hilfesuchenden kann dies aber gendert werden:
Abbildung 8.52
Einstellungen fr
die bertragung
420
Fernbedienung
ber den Schieberegler Bandbreitenverwendung kann in vier Stufen die Nutzung der Verbindung eingestellt werden, im Erklrungstext rechts davon
wird entsprechend angezeigt, welche Bildschirmelemente nicht beziehungsweise nur eingeschrnkt bertragen werden.
Auf der Helferseite kann ber die Schaltflchen Fenster anpassen und Tatschliche Gre (bei Windows XP rechts ber dem Fenster, bei Windows 7
links in der Menleiste) kontrolliert werden, wie die Darstellung erfolgen
soll. Entweder wird das entfernte Bild in den Darstellungsbereich eingepasst, oder die Darstellung erfolgt 1:1, und es werden (sofern der Bildschirmbereich des Helfers nicht gro genug ist) Bildlaufleisten verwendet, um den ganzen Bildschirm zugnglich zu machen.
Die Remoteuntersttzung unter Windows XP bietet die Funktion Datei
senden an, dies fhrt zwar dazu, dass aufseiten von Windows 7 diese
Anfrage ankommt, jedoch bricht der Prozess dann auf Seite von XP
mit einer Fehlermeldung ab. Unter Windows 7 ist diese Funktion nicht
mehr verfgbar.
Schutz der Privatsphre

Oftmals hat man auf dem Bildschirm Daten stehen, die man einem Supporter nicht zugnglich machen will. Oder man mchte Aktionen ausfhren,
die dieser nicht sehen soll. Hierfr kann man in der Kontrollanwendung
ber den Meneintrag Anhalten beziehungsweise Fortsetzen temporr die
bertragung der Bildschirmansicht unterbrechen, Der Helfer sieht whrend der Zeit einen komplett schwarzen Bildschirm, eine Kommunikation
per Chat ist aber weiterhin mglich.
Kontrolle bernehmen
Zunchst kann der Helfer nur beobachten und per Chat kommunizieren,
eine Eingriffsmglichkeit hat er nicht. Sofern er selbst auch Aktionen auf
dem fremden System durchfhren will, muss er die Kontrolle zunchst
anfordern (Schaltflche Steuerung bernehmen beziehungsweise Steuerung
anfordern), der andere kann ihm diese nach Nachfrage dann gestatten
oder eben nicht.
8
Abbildung 8.53
Geben Sie die
Kontrolle ab?
Das Kontrollkstchen Antwort auf ... Benutzerkontensteuerung zulassen bezieht

sich auf den Umgang im UAC-Abfragen bei bestimmten administrativen
Aufgaben. Ist dieses Kontrollkstchen nicht aktiviert, so ist der Helfer nicht
in der Lage, eine derartige UAC-Abfrage zu beantworten. Kommt eine
421
Abfrage, so wird der Bildschirm des Helfers dunkel, und nur der Anwender
vor dem lokalen Bildschirm kann das Dialogfeld bedienen. Ist das Kontrollkstchen aktiviert, kann der Helfer die Abfrage wie jedes andere Dialogfeld
bedienen.
Zum Beenden der Kontrolle kann einer der beiden Teilnehmer die entsprechende Schaltflche Freigabe beenden besttigen, die komplette Verbindung wird getrennt, indem entweder der Helfer bei seinem System
die Schaltflche Verbindung trennen bettigt oder die Kontrollapplikation
auf dem anderen System geschlossen wird.
Hrspiel und groes Kino

Sofern die entsprechende Option (siehe Abbildung 8.52) gesetzt ist, werden die Aktionen whrend der Remoteuntersttzung protokolliert. Hierbei werden aber nicht die Aktionen protokolliert, die zum Beispiel der
Helfer auf dem System ausfhrt, sondern es werden die Aktionen in
Bezug auf die Remoteuntersttzung und somit insbesondere die Kommunikation im Chat mitgeschrieben. Die Dateien hierzu finden sich im
Verzeichnis Remote Assistance Logs unterhalb des Dokumente-Verzeichnisses im Datenbereich des Benutzers.
Film ab?
Kamera luft!
Oftmals hat man das Problem, dass man ein Problem nur sehr schlecht in
Worte fassen kann, hier ist es hilfreich, wenn man das Problem in Form einer
Bilderfolge illustrieren kann. Hierfr existiert bei Windows 7 ein Programm,
mit dem man derartige kommentierte Bilderfolgen erstellen kann. Die Funktion kann ber die Systemsteuerung im Bereich System und Sicherheit/Wartungscenter gestartet werden. Dann am unteren Ende auf Problembehandlung
und in der linken Leiste auf Einen Freund fragen klicken. Im unteren Teil des
Fensters whlen Sie darauf Problemaufzeichnung aus. Schneller geht es, wenn
einfach das Programm psr.exe (Problemaufzeichnung) gestartet wird.
Abbildung 8.54
Probleme
aufzeichnen
Das Programm muss zunchst ber die Schaltflche Aufzeichnung starten

aktiviert werden, ab da werden alle Aktionen mitnotiert. Bei Mausaktionen
mag es etwas irritieren, dass bei einem Mausklick an der Stelle des Mauscursors ein roter Ball erscheint, der langsam ausgeblendet wird. ber die
Schaltflche Kommentar einfgen kann man die Aufzeichnung mit Text versehen, um die aktuelle Aktion nher zu erlutern. Ein Klick auf die Schaltflche Aufzeichnung beenden stoppt alles, und die gespeicherten Daten werden in Form eines Zip-Archivs abgelegt.
Abbildung 8.55
Das Problemarchiv
wird erstellt.
422
Fernbedienung
In dem Archiv liegt eine einzige Datei mit dem Typ MHTML-Dokument
(Erweiterung .mht), diese lsst sich beispielsweise mit dem Internet Explorer ffnen, wenn die Archivdatei zu einem Supporter bermittelt wurde,
der dann die aufgezeichneten Aktionen analysieren soll.
Abbildung 8.56
Ansicht des
Problemberichtes
In der Datei sieht man dann die einzelnen Bildschirmfotos gegebenenfalls

zusammen mit den Kommentaren. Sofern der Benutzer bestimmte Elemente
der Oberflche bedient, werden diese Aktionen auch automatisch mit entsprechenden Kommentaren versehen:
Problemaufzeichnung 16: (08.11.2009 11:05:24) Klick mit der linken
Maustaste durch Benutzer auf "Dateityp: (Kombinationsfeld)" in
"Speichern unter"
8.6.2
Fernsteuerung ohne Zuschauer

Remotedesktop
Im Gegensatz zur Remoteuntersttzung, bei der die beiden Teilnehmer

zusammen einen Computer bedienen, arbeitet beim Remotedesktop nur
derjenige, der sich aus der Ferne mit dem Computer verbindet. Aus Lizenzgrnden kann dabei immer nur ein Benutzer mit dem Desktop am System
arbeiten.
Bei Systemen mit einer Version von Windows Server betrgt dieses Limit
drei Benutzer (einer an der lokalen Konsole, zwei per Remotedesktop) im
sogenannten Administrationsmodus. Im Terminalservermodus knnen
beliebig viele dort arbeiten, dies muss allerdings separat lizenziert werden.
423
Nachdem Remotedesktop aktiviert wurde (siehe Abbildung 8.43, unterer

Teil), kann man sich von einem anderen System aus mit der Remotedesktopverbindung (mstsc.exe) an dem System anmelden, diese Anwendung ist
unter gleichem Namen auch auf Windows XP verfgbar. Fr noch ltere
Systeme wie Windows 2000, Windows NT 4.0 oder Windows 95/98 kann
die Anwendung unter [DOWN] geladen werden.
Abbildung 8.57
Remotedesktopverbindung
Wen soll ich

kontrollieren?
424
Im Normalfall mssen Sie einfach nur dem Namen oder die IP-Adresse des
gewnschten Computers eingeben und die Schaltflche Verbinden klicken.
ber den Link Optionen kann die Verbindung gesondert konfiguriert werden, hierbei sind die folgenden Einstellungen auf den dann sichtbaren
Registerkarten mglich:
Allgemein Sie knnen einen Benutzername angeben, der fr die Anmeldung am anderen System verwendet werden soll. Zudem knnen Sie die
kompletten Verbindungsinformation (auf Wunsch auch inklusive Kennwort) in einer .rdp-Datei speichern. Wollen Sie spter die Verbindung
erneut aufbauen, reicht der Aufruf dieser Datei aus. Dies empfiehlt sich
beispielsweise fr Administratoren, die regelmig auf bestimmte Systeme zugreifen mssen.
Anzeige Hier knnen Sie kontrollieren, mit welcher Auflsung und
Farbtiefe Sie arbeiten wollen. Fr rein administrative Aufgaben kann
man hier Bandbreite sparen und Geschwindigkeit gewinnen, wenn
man von den maximalen Werten Abstand nimmt.
Lokale Ressourcen Eine Besonderheit beim Remotedesktop besteht
darin, dass Gerte, die am lokalen Arbeitsplatz vorhanden sind, auch
auf dem kontaktierten Gert zur Verfgung stehen, etwa Drucker
oder lokale Laufwerke. Hier kann kontrolliert werden, welche tatschlich verfgbar gemacht werden.
Programme Hier kann ein Programm angegeben werden, das automatisch nach Aufbau der Verbindung startet. Diese Funktionalitt ist
allerdings nur verfgbar bei Verbindung mit einem Terminalserver.
Erweitert In Abhngigkeit von der Bandbreite der Verbindung knnen verschiedene Elemente der Darstellung unterdrckt werden, die
Einstellmglichkeiten reichen dabei von Verbindungen ber Modem
mit 56 KBit/s bis bin zu LAN mit 10 MBit/s oder hher. Die einzelnen
Bildelemente knnen auch separat ausgewhlt werden. Zudem kann
angegeben werden, ob bei einem Verbindungsabbruch die Verbindung erneut hergestellt werden soll.
Fernbedienung
Leistung Der Name ist ziemlich unpassend gewhlt. Tatschlich geht
es hier um Sicherheit. Mit der Einstellung Serverauthentifizierung kann

kontrolliert werden, ob sich auch der angefragte Server gegenber dem
Client ausweisen muss, etwa um zu verhindern, dass ein falscher Server
versehentlich die Anmeldedaten entgegennimmt. Bei Verbindung mit
einem System mit Windows 7 oder Windows Server 2008 prsentiert der
Server ein Zertifikat, in dem der Name des Servers steht. Dieser Name
sollte bereinstimmen mit der Adresse, die im Remotedesktopclient
zum Verbindungsaufbau verwendet wird (analog einer SSL-Verbindung zu einer HTTPS-Seite im Web). Ist dies nicht der Fall, so erscheint,
je nach gewhlter Einstellung, entweder eine Warnung (siehe Abbildung
8.58), oder die Verbindung wird nicht zugelassen. Im Bereich Verbindung von berall aus herstellen knnen Sie die Verbindung ber einen
Gatewayserver konfigurieren. Mit einem solchen Server kann in einer
Firmenumgebung die Verbindung zu einem Remotedesktop im Inneren
des LAN von auen ber eine HTTPS-Verbindung hergestellt werden.
Abbildung 8.58
Falsche Identitt
beim Remotedesktop?
Nachdem der gewnschte Benutzername und das Kennwort eingegeben

sind und gegebenenfalls die Zertifikatswarnung besttigt wurde, hngt
der weitere Ablauf davon ab, mit welchem System man sich verbindet
und wer dort aktuell angemeldet ist.
Anmelden an Windows Server 2008, verwendeter Benutzer ist lokal an
Konsole angemeldet Benutzer an Konsole wird abgemeldet, kompletter Desktop erscheint auf Remotedesktop.
Anmelden an Windows Server 2008, verwendeter Benutzer ist nicht
lokal angemeldet Die lokale Anmeldung am Server bleibt bestehen,
die Anmeldung per Remotedesktop arbeitet als zustzlicher Benutzer
parallel.
Anmelden an Windows 7, verwendeter Benutzer lokal an Konsole
angemeldet Benutzer an Konsole wird abgemeldet, kompletter Desktop erscheint auf Remotedesktop.
Anmelden an Windows 7, verwendeter Benutzer ist nicht lokal angemeldet Zunchst erhlt der Remotebenutzer eine Mitteilung, dass
lokal bereits ein Benutzer arbeitet, er muss besttigen, dass er dessen
425
Arbeit abbrechen will (siehe Abbildung 8.59), er bekommt dabei nicht

angezeigt, wer gerade lokal am System arbeitet. Hat er diese Meldung
besttigt, wird der lokale Benutzer darber informiert, dass ein anderer Benutzer die Kontrolle ber das System bernehmen will (siehe
Abbildung 8.60), dies kann er entweder besttigen oder ablehnen. Tut
er nichts, so geht die Kontrolle nach 30 Sekunden automatisch auf den
Remotebenutzer ber.
Abbildung 8.59
Eine Anmeldemeldung: Arbeit unterbrechen?
Abbildung 8.60
Lassen wir uns
unterbrechen?
Abbildung 8.61
Nein, lassen wir
nicht!
Lehnt der Benutzer ab, so erhlt man eine entsprechende Nachricht. Der
gleiche Prozess luft auch, wenn sich ein Benutzer lokal anmelden will,
whrend ein anderer Benutzer remote auf das System zugreift.
8.6.3
Gastarbeiter RemoteApp
In Zusammenarbeit mit einem Windows Server 2008 als Terminalserver

ist eine besondere Form der Fernarbeit mglich: RemoteApp. Hierbei werden einzelne Anwendungen auf dem Terminalserver publiziert, sodass
ein Benutzer ber das Netzwerk nicht mehr den kompletten Desktop,
sondern nur noch die einzelne Anwendung auf seinem lokalen Bild-
426
Fernbedienung
schirm sieht. Die derartig publizierten Anwendungen knnen dann beispielsweise in Form einer .rdp-Datei gespeichert werden, die zu den
jeweiligen Clientrechnern bertragen werden. Startet ein Benutzer auf
seinem System eine dieser .rdp-Dateien, wird automatisch die betreffende
Anwendung auf dem Server gestartet, aber wie eine lokale Anwendung
auf dem eigenen System dargestellt.
Abbildung 8.62: Zweimal calc.exe
Im Beispiel in Abbildung 8.62 wurde von dem Server die Anwendung Wichtige
calc.exe publiziert und ber die entsprechende .rdp-Datei auch gestartet Programme
(links). Parallel dazu wurde auch die lokale Anwendung calc.exe gestartet berall verfgbar
(rechts). Der linke Taschenrechner wird im Task-Manager als (remote)
gekennzeichnet, wird aber tatschlich vom Programm mstsc.exe dargestellt. Im Info-Bildschirm erkennt man die Herkunft der beiden Anwendungen. Zudem ist klar, dass der linke Taschenrechner nicht direkt auf
dem lokalen System luft, da die angegebene Gre des physikalischen
Speichers nicht fr Windows 7 ausreichend wre.
Die Anzeige dieser RemoteApps kann auch auf Windows XP erfolgen.
Wofr kann man RemoteApp einsetzen?

Generell eignen sich die Terminalservices dann, wenn man Applikationen nicht mehr auf einer Vielzahl von Systemen installieren und pflegen
mchte oder wenn die Anforderungen der Anwendung an das System zu
hoch fr den Client am Arbeitsplatz sind. Das Problem besteht aber
darin, dem Anwendern klarzumachen, dass sie dann quasi zwei Bildschirme (einen lokal, einen remote) vor sich haben und wie sie jeweils
zwischen denen wechseln knnen und mssen. Mit den RemoteApps
verschwindet der zustzliche Desktop, alle laufenden Anwendungen des
Benutzers sehen wie ganz normale Fenster aus und knnen auch entsprechend behandelt werden.
427
8.7
Die gemeinsame Nutzung von Dateien (und Druckern) durch verschiedene Gerte ber ein Netzwerk wurde von Microsoft erstmals mit MSDOS 3.0 eingefhrt, indem fr Anwendungsprogramme eine Programmierschnittselle (API) angeboten wurde, die es zulie, den Zugriff auf
Daten einer Datei ber ein Netzwerk umzuleiten. Die Anwendungsprogramme mussten dabei nicht verndert werden und erfahren im Allgemeinen nicht, dass die Datei, die sie gerade bearbeiten, nicht auf dem
lokalen System liegt.
8.7.1
Dateien und Drucker freigeben
Um Dateien und Drucker freigeben zu knnen, mssen zunchst einige

Voraussetzungen erfllt sein:
Der entsprechende Dienst muss aktiviert sein Der Dienst heit Server und hat den Kurznamen LanmanServer.
Der Dienst muss an einem oder mehrere Netzwerkadapter gebunden
sein (siehe Abbildung 8.4).
Der Dienst muss in dem aktuellen Netzwerkprofil aktiviert sein (siehe
Abbildung 8.11).
Der Zugriff auf den Dienst muss in der Firewall ermglicht sein (siehe
den Abschnitt 8.3 ab Seite 389).
Erst dann kann der Benutzer eine Freigabe eines Objektes aktivieren.
Prinzipiell werden bei einer Freigabe (etwa eines Ordners) immer auch
smtliche in diesem Ordner enthaltenen Elemente (Unterordner und
Dateien) mit freigegeben. Fr den Zugriff auf die Elemente in der Freigabe wird der Zugriff des externen Benutzers durch den Benutzeraccount
ersetzt, mit dem sich der Benutzer am freigegebenen System anmeldet.
Welche Berechtigungen dann mglich sind, ergibt sich nicht allein aus den
Berechtigungen im Dateisystem (NTFS-Berechtigungen, siehe Kapitel 6),
sondern zustzlich auch ber die Freigabeberechtigungen. Die tatschlichen Berechtigungen ergeben sich dann immer aus der Kombination der
beiden Berechtigungen, eine Berechtigung wird also nur erteilt, wenn sie
sowohl von den NTFS-Berechtigungen als auch von den Freigabeberechtigungen gestattet wird.
Sofern ein Bereich auf einem Datentrger freigegeben wird, der mit
FAT formatiert wurde, gelten nur die Freigabeberechtigungen.
Whrend die NTFS-Berechtigungen bis auf die Ebene einer einzelnen Datei
separat eingestellt werden knnen, gelten die Freigabeberechtigungen
immer fr die komplette Freigabe. Ebenso knnen die NTFS-Berechtigungen sehr granular eingestellt werden, bei den Freigabeberechtigungen sind
nur drei Optionen mglich:
428
Freigabeberechtigung
Auswirkung
Vollzugriff
Enthlt die Berechtigungen ndern und Lesen

und zustzlich noch das Recht ber die Netzwerkverbindung, auch die NTFS-Berechtigungen
auf dem Datentrger zu ndern.
ndern
Dateien knnen geschrieben und verndert werden.
Lesen
Dateien knnen gelesen, Verzeichnisse knnen

angezeigt werden, Programme knnen ausgefhrt werden.
Tabelle 8.1
Freigabeberechtigungen
Abbildung 8.63
Freigabeberechtigungen
Es ist durchaus mglich, dass ein Benutzer, der ber das Netzwerk auf eine
Datei zugreift, weniger Berechtigungen hat, als wenn er direkt lokal am
System sitzen wrde.
Gedanken zur Auswahl der Freigabeberechtigungen

Wenn eine Freigabe neu eingerichtet wird, legt das System diese meist mit
der Berechtigung Jeder: Vollzugriff an und berlsst es den NTFS-Berechtigungen, auf Dateiebene fr den Zugriffsschutz zu sorgen. Dieses Verfahren
ist meiner Meinung nach zwar bequem, sollte aber trotzdem nicht so angewendet werden. Bei der Gestaltung der Freigaben und der Freigabeberechtigungen sollten folgende Punkte beachtet werden:
Mglichst fr getrennte Benutzergruppen auch getrennte Freigaben
einrichten.
Zugriff auf die Freigabe nur fr diejenigen Gruppen und Benutzer einrichten, die prinzipiell Bedarf an dem Zugriff haben, nach Mglichkeit
keine Berechtigung fr Jeder.
Nach Mglichkeit auch nicht die Berechtigung Vollzugriff verwenden,
damit die Benutzer ber das Netzwerk nicht versehentlich die NTFSBerechtigungen setzen knnen.
429
Eine Freigabe einrichten

Um eine Freigabe einzurichten, sind verschiedene Verfahrensweisen mglich.
ber den Explorer Navigieren Sie im Explorer zu dem Verzeichnis,
welches das freizugebende Verzeichnis enthlt. Dann whlen Sie aus
dem Kontextmen des Verzeichnisses oder der Menleiste des Explorers den Eintrag Freigeben fr und dann die gewnschte Aktion aus.
ber den Explorer Navigieren Sie im Explorer zu dem Verzeichnis,
welches das freizugebende Verzeichnis enthlt. Dann whlen Sie aus
den Eigenschaften des Ordners die Registerkarte Freigabe und darin
die Schaltflche Freigabe.
Abbildung 8.64
Registerkarte
Freigabe
Diese beiden Verfahren arbeiten mit der sogenannten einfachen Freigabe.

Hierbei werden in einem Schritt sowohl die Berechtigungen der Freigabe
als auch die dazu passenden NTFS-Berechtigungen gesetzt. Ein zustzlicher Effekt tritt ein, wenn der jeweilige Ordner Unterordner eines bereits
freigegebenen Ordners ist, in diesem Fall wird keine neue Freigabe erstellt,
sondern dem Benutzer einfach der entsprechend lngere Netzwerkpfad
(Zugriffspfad) auf die Freigabe angezeigt.
Listing 8.16
Verzeichnis vor
der Freigabe ...
>cacls \verzeichnis
C:\verzeichnis WIN-RVOJVLD55U6\jochenr-admin:(OI)(CI)F
VORDEFINIERT\Administratoren:F
VORDEFINIERT\Administratoren:(OI)(CI)(IO)F
NT-AUTORITT\SYSTEM:F
NT-AUTORITT\SYSTEM:(OI)(CI)(IO)F
>cacls \verzeichnis
C:\verzeichnis WIN-RVOJVLD55U6\jochenr-admin:(OI)(CI)F
VORDEFINIERT\Administratoren:F
VORDEFINIERT\Administratoren:(OI)(CI)(IO)F
430

NT-AUTORITT\SYSTEM:F
NT-AUTORITT\SYSTEM:(OI)(CI)(IO)F
WIN-RVOJVLD55U6\HomeUsers:(OI)(CI)F
Im Vergleich von Listing 8.16 und Listing 8.17 erkennt man die Berechtigungen eines Verzeichnisses der Hauptebene vor und nachdem es mit der Funktion Freigeben fr/Heimnetzgruppe (Lesen/Schreiben) bearbeitet wurde. Die
Heimnetzgruppe wird hierbei durch die lokale Gruppe HomeUsers dargestellt. Wird diese Freigabe ber die Funktion Freigeben fr/Niemand wieder
entfernt, so werden die Berechtigungen fr diese Gruppe ebenfalls entfernt.
Listing 8.17
... und nach der Freigabe fr die Heimnetzgruppe
Wird die Funktion Freigeben fr/Bestimmte Personen ausgewhlt beziehungsweise die Schaltflche Freigabe, so erhlt man die Mglichkeit, gezielt
einzelnen Benutzern Freigabeberechtigungen zu erteilen.
Abbildung 8.65
Gezielte Auswahl
von Benutzern und
deren Berechtigungen
Im oberen Listenfeld links neben der Schaltflche Hinzufgen knnen Sie

die lokal auf dem System vorhandenen Benutzer hinzufgen. Mit dem
Dreieckssymbol in der Spalte Berechtigungsebene knnen Sie fr den jeweiligen Benutzer die gewnschte Berechtigung einstellen beziehungsweise
den Benutzer wieder von den Berechtigungen entfernen, Nach einem Klick
auf die Schaltflche Freigabe werden die entsprechenden nderungen auch
in den NTFS-Berechtigungen im Dateisystem durchgefhrt.
Die erweiterte Freigabe

Mit der Schaltflche Erweiterte Freigabe in Abbildung 8.66 knnen weitere
Einstellungen im Bereich der Freigaben erstellt werden.
Mit dem Kontrollkstchen Diesen Ordner freigeben kann generell die Freigabe aktiviert beziehungsweise deaktiviert werden. Wird hierdurch eine
Freigabe beendet, die zuvor mit der einfachen Freigabe freigegeben wurde,
so bleiben die damals gesetzten NTFS-Berechtigungen erhalten.
431

Abbildung 8.66
Erweiterte
Freigaben
Mit den Schaltflchen Hinzufgen und Entfernen knnen zustzliche Namen

fr die Freigabe vergeben werden, die dann auch jeweils unterschiedliche
Freigabeberechtigungen erhalten knnen. Diese Funktion kann man beispielsweise verwenden, wenn man die Dateien einer Freigabe auf unterschiedliche Datentrger verlagern will. Hierbei legt man zunchst eine
zweite Freigabe an und stellt alle Klienten auf die Verwendung des neuen
Freigabenamens um. Erst wenn dieser Schritt vollzogen ist, trennt man die
jeweiligen Verzeichnisse auch physisch. Wird der Freigabename mit einem
$-Zeichen beendet, wird die Freigabe nicht beim Durchsuchen des Computers im Netzwerk angezeigt.
blicherweise hat jedes System, bei dem die Datei- und Druckfreigabe
aktiviert ist, auch automatisch sogenannte Administrative Freigaben eingerichtet. Diese sind smtliche lokale Datentrger (zum Beispiel C$ fr
Laufwerk C:) sowie das Windows-Systemverzeichnis unter dem Namen
ADMIN$. Mchte man diese Freigaben verhindern, so muss man dies
ber die Registry ausfhren, allerdings kann dies ungewollt andere Probleme verursachen. Generell sind diese Freigaben kein Risiko, da nur ein
Benutzer mit administrativen Rechten auf sie zugreifen kann; hat allerdings ein Angreifer bereits administrative Berechtigungen auf einem System, so hat man noch ganz andere Probleme als nur die administrativen
Freigaben. Eine detaillierte Auflistung von mglichern Problemen bei der
Abschaltung der Freigaben ist unter [ADMIN] zu erhalten.
Mit der Einstellung Zugelassene Benutzeranzahl kann man die Anzahl der
gleichzeitigen Verbindungen beschrnken, die hier gezeigte Anzahl von 20
entspricht der maximalen Anzahl gleichzeitiger Verbindungen, die gem
der Lizenz fr dieses Betriebssystem zugelassen sind. Wichtiger ist diese Einstellung bei den Serverversionen, die keine derartige Limitierung kennen.
In das Kommentarfeld kann ein Text eingegeben werden, dieser ist sichtbar, wenn man die Freigaben lokal (siehe Listing 8.19) oder remote (siehe
Listing 8.20) auflistet.
Mit der Schaltflche Berechtigungen erhlt man die Mglichkeit, die Freigabeberechtigungen einzustellen (siehe Abbildung 8.63), hierbei hat man
432
Zugriff auf alle vorhandenen Benutzer und Gruppen zur Rechtevergabe

und nicht nur auf die eingeschrnkte Auswahl wie im entsprechenden
Dialogfeld der einfachen Freigabe. Mit der Schaltflche Zwischenspeichern
kann man kontrollieren, ob und wie Dateien in dieser Freigabe auf Clients
verfgbar gemacht werden, wenn das freigebende System nicht verfgbar ist (siehe hierzu den Abschnitt 8.8 ab Seite 442).
Freigabe auf der Kommandozeile einrichten

Mit dem Befehl net share lassen sich Freigaben sowohl erstellen als auch
wieder entfernen, erstaunlicherweise knnen normale Benutzer zwar eine
Freigabe erstellen, zum Beenden der Freigabe mssen sie aber ber administrative Berechtigungen verfgen.
>net share verzeichnis=c:\verzeichnis
verzeichnis wurde erfolgreich freigegeben.
>net share verzeichnis=c:\verzeichnis
/grant:user,read /grant:jochenr-admin,change
verzeichnis wurde erfolgreich freigegeben.
Listing 8.18
Freigaben erstellen
und lschen mit net
share
>net share verzeichnis /delete

verzeichnis wurde erfolgreich gelscht.
Bei der ersten Freigabe in Listing 8.18 werden keine Angaben ber die Freigabeberechtigungen gemacht, die Freigabe wird somit mit Leseberechtigung fr Jeder angelegt. Bei der zweiten Freigabe werden die Berechtigungen entsprechend der Argumente gesetzt.
8.7.2
Der ffentliche Ordner und der Gast
Im Bereich der Erweiterten Freigabeeinstellungen im Netzwerk- und Freigabecenter gibt es zwei Einstellungen, die sich speziell auf die ffentlichen
Ordner und den Umgang mit dem Benutzer Gast beziehen.
Die eine Einstellung ist Freigabe des ffentlichen Ordners. Wird diese bei
einem der Netzwerkprofile aktiviert, so werden die NTFS-Berechtigungen des Ordners \users\public mit der Berechtigung Jeder:Full versehen.
Die zweite Einstellung ist Kennwortgeschtztes Freigeben. Ist diese Einstellung ausgeschaltet, wird der Benutzer Gast aktiviert, alle Zugriffe, die ber
das Netz erfolgen, werden dann auf dem System mit dem Benutzer Gast
durchgefhrt.
Die Kombination der beiden Einstellungen Keine Freigabe des ffentlichen
Ordners und Kein kennwortgeschtztes Freigeben bereiten hierbei Probleme,
weil die erste Einstellung die Berechtigung fr Jeder (die Gruppe, die auch
Gast enthlt) entfernt und die zweite jede Anmeldung eines Benutzers
(auch wenn er mit gleichem Kennwort lokal existiert) durch den Benutzer
Gast ersetzt. In Kombination bedeutet dies, dass sich fremde System zwar
mit dem Rechner verbinden drfen, dort jedoch aufgrund mangelnder
Berechtigungen nicht zugreifen knnen.
433
8.7.3
Freigaben nutzen
Whrend lokale Dateien aus einem Laufwerksbuchstaben, einer Reihe von

Verzeichnisnamen und einem Dateinamen bestehen, reicht diese Namensgebung fr Zugriffe auf ein Netzwerk nicht mehr aus. Hier wird der Pfad zur
Datei mit der Angabe des Rechnernamens und der dortigen Freigabe begonnen, beispielsweise \\server\freigabe\verzeichnis\datei.txt. Die Angabe server
kann dabei sowohl ein NetBIOS-Kurzname, ein DNS-Name (FQDN) als
auch eine IP-Adresse sein. Der Zugriff auf das Netzwerk erfolgt am einfachsten ber den Eintrag Netzwerk in der linken Spalte der Computer-Anzeige aus
dem Startmen. Nach dem Klick auf den Eintrag baut sich im Hauptfenster
eine bersicht ber alle aktuell im Netz gefundenen Computer auf. Diese
Systeme werden aber nur erkannt, wenn im aktuellen Netzwerkprofil die
Einstellung Netzwerkerkennung einschalten aktiviert ist (siehe Abbildung 8.11).
Wenn Sie hufiger das Netzwerk durchsuchen mssen, knnen Sie mit
der Funktion Desktopsymbole in der Systemsteuerung auch dafr sorgen,
dass das Netzwerk-Symbol direkt auf dem Desktop angezeigt wird.
Abbildung 8.67
Das Netzwerk
durchsuchen
Im Bereich Multimedia werden die Gerte angezeigt, die Multimediadaten

zur Verfgung stellen, wahlweise als Freigabe oder als Stream (bertragung der Dateiinhalte als kontinuierliche Bytefolge). Im Bereich Netzwerkinfrastruktur werden Gerte angezeigt, die aufgrund von UPnP (Universal
Plug and Play) erkannt werden.
Sobald man doppelt auf eines der Computersymbole klickt, bekommt man
alle Freigaben angezeigt, die dieser Computer anbietet, mit Ausnahme der
Freigaben, die durch ein $-Zeichen am Ende des Namens als verborgen markiert wurden.
Netzfreigaben mit Laufwerksbuchstaben verknpfen

Greift man hufiger auf eine bestimmte Freigabe zu, kann man der Kombination aus Servername und Freigabename (eventuell ergnzt durch
weitere Verzeichnisse) einen eigenen Laufwerksbuchstaben zuordnen.
434
Auf Wunsch kann diese Zuordnung auch automatisch nach einem Neustart erneut vorgenommen werden. Den Zusammenhang zwischen lokaler Datei auf dem Server und Datei auf dem Client erlutert die folgende
Abbildung 8.68. Auf dem Server wird das Verzeichnis D:\verz1\verz2\
verz3 unter dem Namen freigabe freigegeben. Der Client verbindet das
Laufwerk X: mit dem Netzwerkpfad \\server\freigabe\verz4. Somit greift
der Client, der die Datei X:\verz5\datei.txt ffnet, tatschlich auf die Datei
D:\verz1\verz2\verz3\verz4\verz5\datei.txt auf dem Server zu.
Bei der Freigabe von tief verschachtelten Ordnern mssen Sie aufpassen,
dass Sie dann auf der Server-Seite nicht versehentlich Pfadnamen erzeugen, die lnger als 255 Zeichen sind, da diese von den Systemfunktionen
nicht mehr bearbeitet werden knnen. Der Artikel unter [MAXPATH]
zeigt hierzu verschiedene Verfahren zur Umgehung des Problems.
Server
D:\verz1\verz2\verz3\verz4\verz5\datei.txt
\\server\freigabe
\\server\freigabe\verz4\verz5\datei.txt
Abbildung 8.68
Zuordnung
zwischen Dateinamen lokal und
remote
X: = \\server\freigabe\verz4
Client
X:\verz5\datei.txt
ffnet man den Eintrag Computer im Startmen, erkennt man die verbundenen Netzlaufwerke daran, dass sie mit einem anderen Symbol dargestellt werden und in einer separaten Gruppe zusammengefasst sind.
Abbildung 8.69
Lokale und Netzwerkdatentrger
ber das Kontextmen eines derartigen Laufwerkes kann mit der Funktion Trennen die Verbindung wieder unterbrochen werden.
435
Um die Verbindung herzustellen, gibt es prinzipiell zwei Mglichkeiten:

1. Man wei sowohl den Namen des Servers als auch den der Freigaben.
2. Man wei es nicht und muss danach im Netzwerk erst suchen.
Die Verbindung Rufen Sie zunchst die Funktion Netzlaufwerk verbinden auf, diese befindet
ist vielleicht sich rechts vom Eintrag Programm deinstallieren oder ndern in der Menverborgen? leiste, mglicherweise mssen Sie dort zunchst auf >> klicken. Das Her-
stellen der Verbindung wird dann ber einen Assistenten durchgefhrt.
Abbildung 8.70
Suchen einer Freigabe im Netzwerk
Im Feld Laufwerk wird der nchste verfgbare Laufwerksbuchstabe angezeigt, fr Netzwerke werden die Buchstaben dabei von Z: an abwrts vergeben, um nicht mit den lokalen Buchstaben, die von C: an aufwrts vergeben werden, zu kollidieren. Falls Sie einen bestimmten Buchstaben
verwenden mchten (etwa P: fr ein Projektverzeichnis), so knnen Sie
dies entsprechend abndern. In das Feld Ordner knnen Sie den Namen
der Freigabe direkt eintragen, wenn Sie ihn kennen, ansonsten knnen Sie
ber die Schaltflche Durchsuchen die Systeme und deren Freigaben
anzeigen lassen (in der Abbildung 8.70 sehen Sie beispielsweise, dass auf
dem Rechner ADMIN-PC eine Freigabe Users existiert, unter der verschiedene Unterverzeichnisse vorhanden sind).
Mit dem Kontrollkstchen Verbindung bei Anmeldung wiederherstellen knnen Sie festlegen, ob die Laufwerksverbindung automatisch beim erneuten Anmelden wieder eingetragen werden soll. Diese Einstellung sollten
Sie nur fr die Verbindungen setzen, die Sie tatschlich dauerhaft bentigen. Ist das Kontrollkstchen aktiviert, verzgert sich die Anmeldung so
lange, bis die Laufwerke tatschlich verbunden sind.
Das Kontrollkstchen Verbindung mit anderen Anmeldeinformationen herstellen mssen Sie verwenden, falls Ihr lokaler Benutzeraccount auf dem
anderen Server nicht bekannt ist. Diese Einstellung wird allerdings nicht
beim Durchsuchen der Freigaben verwendet. Dies findet immer mit dem
aktuellen Benutzerkonto und Kennwort statt.
436

Abbildung 8.71
Einen anderen
Benutzer verwenden
Mit dem Kontrollkstchen Anmeldedaten speichern kann man die hier festgelegten Einstellungen fr weitere Verbindungen zu dem Server erneut nutzen, ansonsten muss man fr jede Verbindung die Daten erneut eingeben.
Gespeicherte Kennwrter verwalten

Die derartig verwendeten Kennwrter knnen ber Systemsteuerung/
Benutzerkonten und Jugendschutz/Anmeldeinformationsverwaltung kontrolliert werden. Alternativ knnen Sie auch nach dem Eintrag Netzwerkkennwrter verwalten suchen. Diese Kennwrter werden in einem als Tresor
bezeichneten Element gespeichert. ber die Links Tresor sichern und Tresor
wiederherstellen kann eine Sicherungsdatei dieser Daten (Dateityp .crd)
erstellt beziehungsweise restauriert werden. Aus Sicherheitsgrnden muss
diese Datei natrlich mit einem Kennwort gesichert werden. Damit dieses
Kennwort nicht kompromittiert werden kann, muss es dabei ber einen
sicheren Desktop (analog einer UAC-Abfrage) eingegeben werden.
Abbildung 8.72
Gespeicherte
Kennwrter
437
Im Bereich Windows-Anmeldeinformationen sehen Sie smtliche Systeme, fr

die Sie Kontoinformationen gespeichert haben und wann dies erfolgt ist. Mit
den Symbolen () und () knnen Sie die Details jeweils aus- und einblenden. Zu jedem System knnen Sie dann sehen, mit welchem Benutzernamen Sie sich an dem dortigen System angemeldet haben, mit den beiden
Links direkt darunter knnen die Daten abgendert (wenn sich beispielsweise das Kennwort auf dem Server gendert hat) oder entfernt werden. Auf
Wunsch knnen Sie auch bereits vorab ber den Link Windows-Anmeldeinformationen hinzufgen fr einen Computer diese Daten festlegen.
Wenn aus Sicherheitsgrnden eine derartige Speicherung der Kennwrter verhindert werden soll, kann dies ber eine Gruppenrichtlinie
im Bereich Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen/Netzwerkzugriff: Speicherung von Kennwrtern
nicht zulassen untersagt werden.
Freigaben per Kommandozeile verbinden

ber die Kommandozeile kann mit dem Befehl net use sowohl eine Auflistung der vorhandenen Verbindungen angezeigt als auch eine neue hergestellt werden. Ohne jeglichen Parameter werden alle Laufwerke angezeigt, die ber eine Netzwerkverbindung angebunden sind. Mchte man
eine Verbindung herstellen, so gibt man im einfachsten Fall einfach den
Befehl net use * \\server\freigabe an. Der Parameter * gibt hierbei an, dass
der nchste freie Laufwerksbuchstabe verwendet wird, ansonsten muss
man einen expliziten Buchstaben angeben, die Verbindung wird hierbei
mit dem aktuellen Benutzernamen hergestellt. Mit weiteren Parametern
kann man den Benutzernamen bestimmen, der verwendet werden soll,
die genaue Erluterung finden Sie in der Online-Hilfe mit net use /?.
Probleme beim Verbinden

Generell ist es nicht mglich, mit einem Serversystem zwei Verbindungen
aufzubauen, die jeweils getrennte Benutzer zur Verbindung verwenden.
Versucht man eine solche zweite Verbindung herzustellen, erhlt man folgende Fehlermeldung:
Abbildung 8.73
Doppelte Namen
sind untersagt.
Es gibt jedoch eine Mglichkeit, diese Beschrnkung zu umgehen: Verbinden Sie anstelle mit dem Namen mit der IP-Adresse des Rechners.
438

>net use * \\WIN-RVOJVLD55U6\verzeichnis /user:user
Systemfehler 1219 aufgetreten.
Mehrfache Verbindungen zu einem Server oder einer freigegebenen
Ressource von demselben Benutzer unter Verwendung mehrerer
Benutzernamen sind nicht zulssig. Trennen Sie alle frheren
Verbindungen zu dem Server bzw. der freigegebenen Ressource, und
versuchen Sie es erneut.
>net use * \\192.168.137.219\verzeichnis /user:user
Geben Sie das Kennwort fr "user" ein, um eine Verbindung mit
"192.168.137.219" herzustellen:
Laufwerk Z: ist jetzt mit \\192.168.137.219\verzeichnis verbunden.
8.7.4
Freigaben kontrollieren
Es gibt verschiedene Befehle, um den Status der Freigaben zu kontrollieren beziehungsweise anzuzeigen, welche Freigaben und Dateien genutzt
werden.
Freigabekontrolle mittels Computerverwatung

Wenn Sie die Funktion Verwalten aus dem Kontextmen des Computer-Eintrags im Startmen aufrufen, knnen Sie unter System/Freigegebene Ordner
in den drei Unterordnern die folgenden Funktionen ausfhren:
Freigaben Listet die aktuell eingerichteten Freigaben auf, ber das
Kontextmen lsst sich die Freigabe beenden, lassen sich die Freigabeberechtigungen einstellen und ein Explorer in dem freigegebenen
Verzeichnis starten. In der bersicht wird angezeigt, wie viele Klienten aktuell mit der Freigabe verbunden sind. ber das Kontextmen
des freien Bereiches kann auch eine neue Freigabe ber einen Assistenten eingerichtet werden.
Abbildung 8.74
Freigabe-Assistent
439

Sitzungen Fr jede Verbindung wird angezeigt, welcher Nutzer von
welchem System aus mit einer Freigabe verbunden ist. Zudem wird
angezeigt, wie viele Dateien der Benutzer geffnet hat, wann die Verbindung hergestellt wurde und wie viel Zeit seit der letzten Aktion
(Leerlaufzeit) vergangen ist. ber das Kontextmen der Verbindung
kann diese zwangsweise geschlossen werden.
Geffnete Dateien Alle geffneten Dateien werden angezeigt, zudem
wird angegeben, in welchem Modus diese geffnet und ob Sperren
auf der Datei eingetragen sind. In Abbildung 8.75 knnen Sie sehen,
dass nicht nur einzelne Dateien als geffnet angezeigt werden, sondern auch die Verzeichnisse, in denen diese Dateien liegen.
Abbildung 8.75
Geffnete Dateien in
der Computerverwaltung
Auflisten, welche Freigaben lokal auf dem System existieren

Der Befehl net share gibt an, welche Freigaben eingerichtet sind. In der
Auflistung sehen Sie den Namen der Freigabe, den die Clients verwenden, um sich zu verbinden, welche lokale Ressource freigegeben ist und
einen optionalen Kommentar.
Listing 8.19
Auflisten der Freigaben mit net share
>net share
Name
Ressource
Beschreibung
--------------------------------------------------------------C$
C:\
Standardfreigabe
IPC$
Remote-IPC
ADMIN$
C:\Windows
Remoteverwaltung
testdaten
C:\testdaten
Users
C:\Users
verzeichnis C:\verzeichnis
Eine Freigabe
Ruft man den Befehl mit dem Namen einer Freigabe als Parameter auf,
erhlt man eine Auflistung der Freigabeberechtigungen.
440
Auflisten, welche Freigaben auf einem entfernten System

existieren
Mit dem Befehl net view kann angezeigt werden, welche Freigaben auf
einem entfernten System existieren. Diese Angabe besagt allerdings noch
nicht, dass man sich auch mit diesen Freigaben verbinden kann.
>net view \\WIN-RVOJVLD55U6.mshome.net
Freigegebene Ressourcen auf \\WIN-RVOJVLD55U6.mshome.net
Freigabename Typ
Verwendet als Kommentar
--------------------------------------------------------------testdaten
Platte Z:
Users
Platte
verzeichnis Platte
Eine Freigabe
Listing 8.20
Auflisten der Freigaben eines entfernten Systems
Im Vergleich von Listing 8.19 mit Listing 8.20 fllt auf, dass die Freigaben,
deren Namen mit einem $-Zeichen enden (C$, IPC$, ADMIN$), auf dem
anderen System nicht gesehen werden. Das $-Zeichen am Ende des Freigabenamens kennzeichnet eine verborgene Freigabe.
Anzeige der aktiven Verbindungen und offenen Dateien

Mit den beiden Befehlen net session und net files kann angezeigt werden,
welche Verbindungen zu einem System hergestellt und welche Dateien
dabei geffnet sind. Beide Befehle knnen nur mit administrativen Berechtigungen ausgefhrt werden.
>net session
Computer
Benutzername
Clienttyp ffn. Ruhezeit
-----------------------------------------------------------------\\192.168.137.1
user
4 00:10:27
Listing 8.21
Die Befehle net files
und net session
>net files
ID
Pfad
Benutzername
Anz. der Sperrungen
-------------------------------------------------------------------54
C:\testdaten\
user
0
74
C:\testdaten\
user
0
150
C:\verzeichnis\
user
0
155
C:\verzeichnis\
user
0
252
C:\verzeichnis\ver1\ver2\ver3\date2.odt user 0
Freigaben im Netz berprfen

Mit dem Programm ShareEnum aus der Sammlung von Sysinternals kann
man sein komplettes Netzwerk durchsuchen und sowohl Systeme als auch
die darauf freigegebenen Ordner anzeigen. Fr jeden Rechner, auf dem der
ausfhrende Benutzer administrative Berechtigungen hat, werden die Freigaben und die dafr eingetragenen Freigabeberechtigungen angezeigt. Am
besten lsst es sich deswegen in einer Domne unter dem Account eines
Domnen-Administrators einsetzen.
441

Abbildung 8.76
ShareEnum zur
Netzwerkkontrolle
8.8
Offlinedateien und
BranchCache
Freigaben im Netzwerk sind naturgem nur dann ntzlich, wenn der Server, von dem man die Freigabe bezieht, auch verfgbar ist. Insbesondere
Nutzer, die hufig mit einem Laptop mobil unterwegs sind, haben deshalb
oft das Problem, dass sie unterwegs keinen Zugriff auf die Serverlaufwerke
in der Firma haben. Bislang bestand die Lsung darin, dass man die Daten,
die man unterwegs nutzen wollte, auf die lokale Platte kopierte und somit
auch remote im Zugriff hatte. Das fhrte in der Folge zu zwei Problemen:
1. Man musste immer daran denken, die Daten lokal zu kopieren, bevor
man den Laptop vom Firmennetz trennte. Verga man dies, hatte man
unter Umstnden veraltete Daten auf seinem System.
2. Sobald man Daten auf dem lokalen System bearbeitet hat, musste
man bei der erneuten Verbindung mit dem Firmennetz daran denken,
die genderten Daten auch wieder in das Firmennetz zu kopieren.
8.8.1
Offlinedateien
Der erste Lsungsansatz zu diesem Problem waren die Offlinedateien. Hierbei wird fr einen Teil einer Freigabe automatisch eine lokale Kopie der
Dateien angelegt, die sich automatisch mit dem Original auf dem Server
synchronisiert. Hierzu wird aus dem Kontextmen eines Ordners in einer
Freigabe die Aktion Immer offline verfgbar ausgewhlt. Je nach Umfang der
ausgewhlten Dateien bentigt das System dann einige Zeit, um die lokale
Kopie der Daten anzulegen.
Abbildung 8.77
Eine lokale Kopie
wird angelegt.
442
In der Anzeige des Explorers erkennt man den Offlinestatus am unteren

Rand, wenn ein Objekt markiert ist. Zugleich gibt es am oberen Rand die
Schalflche Offlinebetrieb, mit der man die Verbindung zum Server zwangsweise unterbrechen kann.
Abbildung 8.78
Offlinestatus in der
Statusleiste
Betrachtet man die Eigenschaften einer Datei, die als Offline markiert wurde,
erkennt man eine neue Registerkarte Offlinedateien. Auf dieser Datei kann
man im oberen Teil ersehen, ob die Datei aktuell online, offline ohne nderungen oder offline mit nicht synchronisierten nderungen ist. Sofern die
Datei online ist, kann man ber das Kontrollkstchen Immer offline verfgbar
das Element auch zurck in den Nur-Online-Status setzen. Normalerweise
erbt ein Element automatisch den Offlinestatus seines ihn enthaltenden Containers.
Abbildung 8.79
Status einer Offlineund einer Onlinedatei
Kontrolle der Synchronisation

Kontrolliert wird der Status der Offlinedateien ber das Synchronisierungscenter der Systemsteuerung (im Startmen nach sync suchen). Im Synchronisierungscenter sieht man zunchst nur den Eintrag Offlinedateien.
443
An dieser Stelle sollen zuknftig auch Mediengerte wie etwa ein MP3Player oder ein Smartphone erscheinen, die dann ber die in Windows
eingebaute Synchronisierung mit Daten versorgt werden, anstatt wie
bisher eigene Software fr diesen Zweck vorzuhalten. Diese Variante
wird von Microsoft in Zusammenarbeit mit dem Hardware-Herstellern
unter dem Namen Device Stage entwickelt, es bleibt abzuwarten, bis die
ersten Gerte mit dieser Ausstattung auf dem Markt sind.
Klickt man auf den Eintrag doppelt, so sieht man alle externen Systeme, von
denen Offlinedateien auf dem System vorhanden sind. Fr jede Freigabe
knnen Sie sehen, wann die Synchronisation zuletzt erfolgt ist, beziehungsweise einen Fortschrittsbalken, wenn sie gerade durchgefhrt wird. Positioniert man die Maus ber einen der angezeigten Eintrge, werden zustzlich
mgliche Fehler und Konflikte der letzten Synchronisation angezeigt.
Abbildung 8.80
Status der Offlinedateien
ber die Schaltflche Alle synchronisieren kann eine zwangsweise Synchronisation aller aufgelisteten Synchronisationspartner erreicht werden. ber
das Kontextmen eines Eintrags lsst sich dieser gezielt synchronisieren.
Per Klick auf die Schaltflche Zeitplan knnen Sie zustzliche Zeitplne
fr die Synchronisation der Offlinedateien festlegen. In der Aufgabenplanung (Aufgabenplanungsbibliothek/Microsoft/Windows/Offline Files, siehe
den Abschnitt 15.4) knnen Sie nachsehen, dass es zunchst zwei Zeitplne gibt: einer, der im Hintergrund alle sechs Stunden startet, und einer,
der nach dem Anmelden eines Benutzers startet.
Zunchst mssen Sie bei einem neuen Zeitplan angeben, fr welchen der
Synchronisationspartner der Zeitplan gelten soll. Im nchsten Schritt mssen
Sie auswhlen, ob Sie die Synchronisation nach Zeitplan oder nach einem
Ereignis auslsen mchten. Zum Schluss mssen Sie dem Zeitplan einen
Namen geben, unter dem Sie ihn spter identifizieren knnen. Zu den hierbei mglichen Zeitplanungsoptionen lesen Sie bitte im Abschnitt 15.4 nach.
Sobald der erste benutzerdefinierte Zeitplan eingetragen wurde, knnen
Sie ber die Schaltflche Zeitplan zwischen den Aktionen Einen neuen Plan
erstellen, Einen vorhandenen Plan anzeigen und bearbeiten und Einen Plan
444
lschen auswhlen. Auch diese Aufgaben werden ber die Aufgabenplanung ausgefhrt. Allerdings werden diese Zeitplne in einem Unterordner
von Aufgabenplanungsbibliothek/Microsoft/Windows/SyncCenter gespeichert.
Probleme bei der Synchronisation

Probleme treten dann auf, wenn eine Datei sowohl lokal auf dem Server
als auch in den Offlinedateien auf dem Client bearbeitet wurde, whrend
die beiden Systeme keine Netzwerkverbindung miteinander hatten. Ein
derartiges Problem wird als Konflikt bezeichnet und muss vom Benutzer
gelst werden. Das System bietet hierbei eine Hilfestellung, indem es die
beiden Daten gegenberstellt, sodass man entscheiden kann, welche Version der Datei man behalten mchte. Es ist auch mglich, beide zu behalten, um dann manuell zu versuchen, die Inhalte zu kombinieren.
Abbildung 8.81
Konflikte bei der
Synchronisation
In der Synchronisationsbersicht (siehe Abbildung 8.80) wird entsprechend

unter dem jeweiligen Partner angezeigt, ob dort Konflikte aufgetreten sind.
Klickt man dort auf den entsprechenden Link oder im Synchronisationscenter links auf den Eintrag Synchronisationskonflikte anzeigen, so erhlt man
eine Auflistung der betroffenen Dateien und kann dort ber das Kontextmen fr jede Datei versuchen, den Konflikt zu lsen (siehe Abbildung 8.81).
Als Alternative kann auch die Datei zuknftig ignoriert werden.
Abbildung 8.82
Konflikte im
Synchronisationscenter
445
Offlinedateien verwalten
ber den Link Offlinedateien verwalten im Synchronisationscenter erhlt
man die Mglichkeit, die Verwendung zu kontrollieren. Insbesondere kann
man den Platz kontrollieren, der von den Offlinedateien auf der lokalen
Festplatte belegt wird. Hier wird vom System ein Limit von 20 % der Gre
des Datentrgers vorgesehen. Je nach Umfang des Arbeitens mit Offlinedateien kann man dieses Limit verndern. Um die Sicherheit zu erhhen,
knnen die Offlinedateien auch lokal (mit EFS, siehe Kapitel 13) verschlsselt werden, da ansonsten Dateien aus dem Netzwerk ungesichert auf
einem Client liegen wrden.
8.8.2
BranchCache
Whrend Offlinedateien immer eine lokale Angelegenheit des einzelnen

Rechners sind, ist BranchCache die Fortsetzung des Prinzips auf ganze Netzwerkstandorte (etwa in einem Auenbro), die nur eine schwache oder strungsanfllige Anbindung zu einem zentralen Firmenserver haben. BranchCache untersttzt dabei zwei Betriebsarten:
Verteilter Zwischenspeicher (Distributed Cache) Alle im lokalen Netzwerk vorhandenen Systeme mit Windows 7 speichern Daten, die ber
die WAN-Anbindung geladen werden mssen, zwischen und tauschen sich untereinander aus, um gegebenenfalls Daten (sowohl Dateiserver als auch Webseiten) aus dem Zwischenspeicher eines lokalen
Systems anstatt ber die WAN-Leitung zu laden.
Serverbasierter Zwischenspeicher (Hosted Cache) Ein System auf Basis
Windows Server 2008R2 bildet den zentralen Zwischenspeicher fr
die Zweigstelle. Alle Clients auf Windows 7-Basis fragen bei Anforderung externer Daten zunchst den Server, ob dieser die geforderten
Daten zur Verfgung hat.
In beiden Fllen werden nur Leseoperationen durch den Zwischenspeicher
behandelt, fr Schreiboperationen findet immer ein Zugriff auf die originale
Datenquelle statt. Im Gegensatz zu den Offlinedateien, bei denen immer
sofort eine lokale Kopie der angeforderten Daten angelegt wird, werden im
BranchCache nur Dateien abgelegt, die auch tatschlich genutzt werden.
Dies verringert die Nutzung der WAN-Leitung.
Technisch gesehen werden grere Inhaltsdateien (ab 64 KByte Gre)
zunchst auf Serverseite ersetzt durch eine Folge von Hash-Werten fr einzelne Teilbereiche der Datei. Dies wird als Content Metadata bezeichnet.
Diese Hash-Werte werden an den anfragenden Klienten bertragen. Findet
dieser die entsprechenden Hash-Werte in seinem BranchCache, so verzichtet
er auf die bertragung der kompletten Datei und verwendet stattdessen die
lokale Kopie. Die Server, auf die zugegriffen werden kann, mssen sowohl
als Webserver als auch als Dateiserver unter Windows Server 2008R2 betrieben werden. Auerdem ist dort die Generierung dieser Metadaten zu aktivieren. Nur an Clients, die in ihrer Anfrage an den Server bekannt geben,
dass sie BranchCache verstehen (also Systeme mit Windows 7 oder Windows Server 2008R2), werden zunchst die Metadaten gesendet. Alle ande-
446
Heimnetzgruppe
ren Systeme bekommen sofort die Daten. Aktiviert wird der BranchCache
entweder per netsh oder ber eine Gruppenrichtlinie. Die Standardeinstellung ist, die Funktion nicht zu nutzen.
Um das Modell des verteilten Zwischenspeichers zu verwenden, drfen sich maximal 50 Systeme an dem Zwischenspeicher beteiligen,
und diese drfen sich auch nur in einem Subnetz befinden.
8.9
Heimnetzgruppe
Bislang mussten Benutzer zum Zugriff auf Ressourcen eines anderen Systems immer dort auch ber Benutzername und Kennwort verfgen. Dies
erforderte bei vielen verschiedenen Benutzern in einer Arbeitsgruppe
auch entsprechend viel Aufwand, wenn eines dieser Kennwrter gendert werden musste. Um in diesem Fall den Aufbau eines Netzwerks zu
vereinfachen, hat Microsoft in Windows 7 das Konzept der Heimnetzgruppe (Home Group) eingefhrt. Diese Funktion ist in allen Editionen verfgbar, wobei es unter Windows 7 Starter und Windows 7 Home Basic
nur mglich ist, einer bestehenden Heimnetzgruppe beizutreten, selbst
aber keine aufstellen knnen. Systeme mit Windows Vista oder lter knnen nicht Mitglied einer Heimnetzgruppe sein, hier muss auf die klassische Dateifreigabe zurckgegriffen werden.
Problem bei der Vernetzung im Heimbereich sind zwei sich eigentlich
widersprechende Tatsachen:
1. Auf den lokalen Systemen existiert meist nur ein lokaler Benutzer,
dem meist kein Kennwort zugewiesen ist.
2. Die Netzwerkfunktionen von Windows verlangen die Angabe eines
Benutzers mit Kennwort, wenn ber das Netzwerk zugegriffen werden soll.
Um beide Voraussetzungen zu erfllen, wurde folgende Lsung implemen- Kenn' ich dich?
tiert: Grundlage des Sicherheitsmodells sind der verborgene Nutzer HomeGroupUser$ und dessen Gruppe HomeUsers. Bei der Grndung einer Heimgruppe werden sowohl der Benutzer als auch die Gruppe eingerichtet,
zudem wird ein gemeinsames Kennwort der Heimnetzgruppe bestimmt.
Ab dann kann jeder Computer, der dieses Kennwort kennt, in die Heimgruppe aufgenommen werden. Dieses Kennwort wird initial beim ersten
System, das eine neue Heimnetzgruppe begrndet, automatisch generiert
und dem Begrnder der Gruppe angezeigt. Alle Computer, die danach das
Steuerelement der Heimnetzgruppe aufrufen, bekommen sofort angezeigt,
dass bereits eine Heimnetzgruppe existiert, und werden gefragt, ob sie beitreten mchten. Die Grndung einer zweiten Heimnetzgruppe im gleichen
Subnetz ist nicht mglich. Sobald dann ein System in der Heimnetzgruppe
auf die Ressource eines anderen Systems zugreifen will und der lokale
Benutzer des ersten Systems auf dem zweiten System nicht bekannt ist,
wird die Verbindung ber den Benutzer HomeGroupUser$ hergestellt.
447

Listing 8.22
Verbindung ber
den unbekannten
Benutzer
>net session
Computer
Benutzername
Clienttyp
ffn. Ruhezeit
-------------------------------------------------------------------\\192.168.0.97
HomeGroupUser$
5 00:00:08
Abbildung 8.83
Eine Heimnetzgruppe existiert.
Wollen Sie
beitreten?
Auch spter noch kann dieses angezeigt werden, indem man dazu auf den
Link Heimnetzgruppen- und Freigabeoptionen im Netzwerk- und Freigabecenter klickt und dann den Eintrag Kennwort ... anzeigen oder drucken auswhlt. An gleicher Stelle kann auch ein neues Kennwort vergeben werden.
Abbildung 8.84
Das Kennwort der
Heimnetzgruppe
Sofern bei einem Computer der Heimnetzgruppe dieses Kennwort gendert wird, mssen die anderen Systeme in der Gruppe diese nderung
manuell nachtrglich durchfhren. In der Statusanzeige der Heimnetzgruppe bekommen diese eine entsprechende Mitteilung angezeigt. Dies
unterscheidet die Heimnetzgruppe von der Domne, in der Kennwortnderungen automatisch verbreitet werden.
448
Heimnetzgruppe
Abbildung 8.85
Das Kennwort der
Heimnetzgruppe
wurde gendert.
An gleicher Stelle knnen die Benutzer auch angeben, welche ihrer Bibliotheken standardmig fr die Heimnetzgruppe freigegeben werden sollen.
Dies zeigt auch, dass mit einer Heimnetzgruppe die Sicherheit eines Systems
recht stark aufgeweicht wird, da mit dieser Einstellung die NTFS-Berechtigungen auf allen angegebenen Bibliotheken fr die Gruppe HomeUsers auf
Lesen gesetzt werden. In dieser Gruppe sind aber nicht nur die ber das
Netz zugreifenden Benutzer enthalten, sondern auch alle lokal auf dem System angelegten Benutzer. Dieses Dialogfeld der Heimnetzwerkfreigabe
mssen alle Benutzer aufrufen, die ihre Bibliotheken freigeben wollen. Am
Anfang werden nur die Bibliotheken des Benutzers, der die Gruppe einrichtet, mit Ausnahme seiner Dokumente, freigegeben. Standardmig erfolgt
die Freigabe schreibgeschtzt. Mchten Sie die Daten auch zum Schreiben
freigeben, mssen Sie dies ber die bekannten Freigabemechanismen durchfhren (siehe den Abschnitt 8.7.1 ab Seite 428).
Diese Freigabepolitik hat hnlichkeit mit einer Privatwohnung, in der
die einzelnen Mitglieder untereinander die Zimmertren nicht abschlieen. Jeder kann sich der Mediensammlung der anderen bedienen, der
private Schriftverkehr wird aber trotzdem abgeschlossen aufbewahrt.
8.9.1
Keine Heimnetzgruppe mglich
Eine Heimnetzgruppe kann nur eingerichtet werden, wenn die Netzwerklokation auf Privat eingestellt ist. In den anderen Profilen ist diese Mglichkeit nicht gegeben.
Das Kennwort der Heimnetzgruppe ist nicht identisch mit dem Kennwort
des Benutzers HomeGroupUser$. Ein Versuch, sich mit diesem Benutzernamen und Kennwort von einem Windows XP- oder Windows Vista-System aus an einer Freigabe anzumelden, gelingt nicht. Mit diesen Systemen
muss man also mit der klassischen Freigabe und einem vorhandene lokalen Benutzer arbeiten.
449
8.10 Netzwerkdrucker
Ab einer bestimmten Gre werden Drucker nicht mehr lokal an einem
Computer angeschlossen, sondern verfgen ber einen direkten Netzanschluss. Fr kleinere Modelle gibt es auch sogenannte Druckserver, die
die Kopplung zwischen dem Druckeranschluss (parallel oder USB) und
dem Netzwerk herstellen. Zur Kommunikation mit dem Netzwerk untersttzten diese Systeme meist viele unterschiedliche Protokolle. Die wichtigsten abseits der blichen Freigabemechanismen sind LPR/LDP (Line
Printer Remote Protocol/Line Printer Daemon Protocol) und IPP (Internet
Printing Protocol), wobei LPR das ltere der beiden ist.
Abbildung 8.86
Ein Druckserver mit
Weboberflche
Auf der Kontrolloberflche des Druckservers in Abbildung 8.86 knnen

Sie sehen, dass das Gert sowohl LPR als auch IPP untersttzt, whrend
die Druckmethoden AppleTalk und NetWare deaktiviert wurden. Zustzlich ist auch noch das Drucken ber die Windows Datei- und Druckerfreigabe (SMB) mglich. Eine hnliche Mglichkeit zur Konfiguration bieten
heute eigentlich alle netzwerkfhigen Drucker und Druckserver, weil die
Konfiguration ber die wenigen Bedienelemente des Druckers fr die
vielfltigen Mglichkeiten nicht mglich beziehungsweise nur umstndlich durchzufhren ist.
Um mit einem derartigen Drucker zu arbeiten, mssen Sie ihn speziell hinzufgen, da diese Netzwerkdrucker nicht ber die normalen Suchoperationen im Netzwerk gefunden werden. Klicken Sie dazu im Assistenten Drucker hinzufgen zunchst auf die Option Einen Netzwerk-, Drahtlos- oder
Bluetoothdrucker hinzufgen und dann auf die Schaltflche Beenden, um die
erfolglose Suche abzubrechen, und schlielich auf Der gesuchte Drucker ist
nicht aufgefhrt.
450
Netzwerkdrucker
Abbildung 8.87
Netzwerkdrucker
anschlieen
IPP Fr einen Anschluss per IPP geben Sie im Feld Freigegebenen Dru-
cker ber den Namen auswhlen die Konfiguration ein, wie sie vom Netzwerkdrucker vorgegeben ist. Fr den hier verwendeten Druckserver
wre dies http://192.168.0.220:631/lpt1. Nhere Angaben entnehmen Sie
bitte dem Handbuch zum Drucker oder Druckserver.
LPR Fr diese Variante mssen Sie zunchst nur die IP-Adresse oder
den Namen des Druckservers angeben, Windows 7 versucht dann festzustellen, von welchem Typ das Gert ist. Fr eine ganze Reihe von
Typen bietet es bereits fertige Einstellungen und gegebenenfalls auch
besondere Konfigurationsoptionen. Im Zweifelsfall verwenden Sie einfach die Option Generic Network Card.
Abbildung 8.88
Welcher Druckserver kann es
denn sein?
451
Sobald die Verbindung mit dem Drucker hergestellt wurde, erscheint das
bliche Auswahldialogfeld fr den passenden Druckertreiber. Zum
Abschluss kann eine Testseite gedruckt werden. Auf dieser sind auch die
Einstellungen des Druckeranschlusses ersichtlich.
Abbildung 8.89
Testseite des Netzwerkdruckers
Wie wird
gedruckt?
Den Unterschied zwischen LPR und IPP sieht man bei den Eigenschaften
des jeweiligen Druckeranschlusses. Whrend sich bei LPR nur der Druckmodus auswhlen lsst (RAW oder LPR), mit dem sich das System mit dem
Drucker verbindet, kann man bei IPP auch (sofern vom IPP-Gert gefordert) eine Anmeldung mittels Benutzername und Kennwort vornehmen.
Abbildung 8.90
Eigenschaften eines
IPP-Anschlusses
Die Anbindung des Druckers per LPR bietet die Mglichkeit, diesen Drucker, der sich im Netzwerk befindet, genauso wie einen lokalen Drucker
freizugeben, sodass auch fr andere Systeme, die nicht mit LPR drucken
knnen, der Drucker benutzbar ist. Bei IPP ist dies nicht mglich.
Auch wenn LPR keine Authentisierung auf Benutzerebene untersttzt,
so bieten die Druckserver doch meist eine Mglichkeit, das Drucken auf
verschiedene IP-Adressbereiche einzuschrnken. Dies knnen Sie dazu
nutzen, um den LPR-Drucker nur fr ein System anzubieten und dort
dann eine Freigabe nur fr spezielle Benutzer einzurichten.
452
Netzwerkdrucker
Abbildung 8.91
Einen Netzwerkdrucker freigeben
8.10.1
Zustzliche Netzwerkdruckdienste
ber die Systemsteuerung knnen Sie die beiden Windows-Funktionen

Druck- und Dokumentendienste/LPD-Druckdienst und Druck- und Dokumentendienste/LPR-Anschlussmonitor hinzufgen. Damit erhalten Sie folgende
zustzliche Funktionen:
LPD-Druckdienst Smtliche aktuell vorhandenen Drucker werden
ber das LPR-Protokoll freigegeben. Andere Systeme knnen so auf
die angeschlossenen Drucker zugreifen, auch ohne dass diese explizit
freigegeben werden. In die Firewall wird bei der Installation automatisch eine entsprechende Regel eingetragen. Diese sollte man anpassen, da sie zunchst keinerlei Einschrnkungen beinhaltet.
LPR-Anschlussmonitor Die von Unix her bekannten Anwendungen
lpr.exe (Ausdruck einer Datei auf einen LPR-Drucker) und lpq.exe (Statusabfrage eines LPR-Druckers) werden installiert.
>lpr -S admin-pc -P bro test.txt
>lpq -S admin-pc -P bro -lst.txt
Windows LPD-Server
Drucker \\192.168.137.1\bro
8
Listing 8.23
Ausdruck mit lpr,
Statusabfrage mit
lpq
Besitzer
Status Auftragsname Auftragk. Gre Seiten Prioritt
------------------------------------------------------------------jochenr-adm Warten test.txt
4
843
0
1
Zwar kann Windows 7 auch ohne die Komponente LPR-Anschlussmonitor auf LPR-Druckern drucken, jedoch kann man die Programme lpr.exe
und lpq.exe einfacher in eigene Skripte einbauen.
453
8.11 WLAN sicher konfigurieren

WLAN hat sich in den vergangenen Jahren zur Boomtechnik im Netzwerkbereich berhaupt entwickelt. Und dies insbesondere im privaten Umfeld,
in dem die Versorgung von Wohnungen mit Kabelkanlen und doppelten
Bden mit Bodentanks zur verdeckten Verlegung der notwendigen Kabel
eher selten ist. Die Mglichkeit, auf Kabel zu verzichten, birgt allerdings
auch die Gefahr, dass sich ber die Funkbertragung auch ungebetene
Gste mit dem eigenen Netzwerk verbinden.
8.11.1
Was keine WLAN-Sicherheit ist
Das folgende Teilkapitel ist angelehnt an den Text The six dumbest ways to
secure a wireless LAN (Die sechs dmmsten Wege, ein WLAN zu sichern) von
George Ou (siehe Google). Der Text ist zwar schon vier Jahre alt, aber was
damals geschrieben wurde, gilt heute immer noch.
1. MAC-Filterung Jede Netzwerkkarte wird bei ihrer Produktion mit
einer eindeutigen Kennung versehen, genannt MAC-Adresse (siehe
das Programm arp in Abschnitt 8.2.3 ab Seite 381). Bei einem WLANZugangspunkt kann man nun eine Liste all derjenigen MAC-Adressen
hinterlegen, denen man Zugang gewhren will. Das Problem hierbei
ist, dass man zum einen diese Kennung bei den meisten Adaptern auch
per Software setzen und sich andererseits die Adressen, die zugelassene Adapter verwenden, per Funk auslesen lassen kann. Jemand, der
in das WLAN eindringen mchte, muss also zunchst nur ein Weilchen
den Funkverkehr belauschen, um eine gltige MAC-Adresse zu finden.
2. SSID verstecken Jeder WLAN-Zugangspunkt sendet eine Kennung
aus. Diese Kennung ist quasi dessen Name und wird als SSID (Service
Set Identifier) bezeichnet. Sucht man mit einem normalen Rechner mit
WLAN-Karte im Umfeld nach Netzwerken, wird diese SSID angezeigt, damit man das gewnschte Netzwerk auswhlen kann (siehe
Abbildung 8.94). Diese Kennung wird allerdings vom WLAN auf insgesamt fnf verschiedene Weisen ausgesendet (beacon, probe request,
probe response, association request und reassociation request). Nur die
erste Methode wird bei der Unterdrckung der SSID tatschlich ausgeschaltet. Mit spezieller WLAN-Prfsoftware (WLAN-Sniffer) kann
man problemlos auch derartige verstecke Funkzellen aufspren.
3. LEAP und EAP-FAST Diese beiden Protokolle wurden von Cisco
entwickelt, um eine strkere Verschlsselung fr den Zugang zu ihren
WLAN-Produkten zu erreichen. Leider sind aber sowohl LEAP
(Lightweight Extensible Authentification Protocol) als auch dessen Nachfolger EAP-FAST (Extensible Authentication Protocol Flexible Authentication
via Secure Tunneling) zum einen auf Cisco-Produkte beschrnkt und zum
anderen auch nicht sicher vor kryptografischen Angriffen. Die verwendeten Kennwrter knnen heutzutage relativ einfach errechnet werden.
4. DHCP abschalten DHCP dient dazu, einem Client eine dynamische
IP-Adresse zusammen mit Verwaltungsinformationen zu bermitteln.
Indem man den DHCP-Server abschaltet, versucht man, diese Informa-
454
WLAN sicher konfigurieren
tion vor einem Angreifer zu verbergen. Dieser kann sich diese Information allerdings leicht aus abgefangenen Funksendungen zusammensuchen oder einfach erraten.
5. Antenne umbauen Funkwellen werden ber eine Antenne abgestrahlt.
Erreichen die Funkwellen den Empfnger nicht, kann dieser nicht das
Netz angreifen. Es hat nun allerdings wenig Zweck, die Antenne des
WLAN mglichst zentral zu setzen und die Sendeleistung zu reduzieren,
um einem Angreifer von auen den Zugriff zu verwehren. Der Angreifer
hat immer noch eine strkere Antenne, die er nutzen kann. Der Weltrekord fr eine WLAN-Verbindung liegt momentan bei 382 km.
6. 803.11a oder Bluetooth verwenden Hat nichts mit Sicherheit zu tun,
sondern beschreibt nur andere Funkbertragungsvarianten, die sich im
Protokoll und in den verwendeten Frequenzen vom normalen WLAN
unterscheiden.
8.11.2
Wie man ein WLAN sichern kann
Die einzige Mglichkeit, ein WLAN abzusichern, besteht darin, dass der
Funkverkehr verschlsselt wird und sich die Clients am System anmelden
mssen. Das erste dieser Verfahren war WEP (Wired Equivalent Privacy
Privatsphre wie bei Drahtverbindungen). Der Datenverkehr wurde zwischen Client und Zugangspunkt mit einem Kennwort verschlsselt. Nur
ein Client mit dem richtigen Kennwort ist in der Lage, eine Datenverbindung aufzubauen.
Allerdings kann dieser Schlssel inzwischen sehr leicht aus aufgefangenen Datenpaketen errechnet werden. Bei einem normal genutzten Netzwerk ist dies inzwischen in wenigen Minuten mglich.
Der Nachfolger von WEP war WPA (Wi-Fi Protected Access). Hierbei wurden
zum einen kryptografisch strkere Verfahren verwendet (dynamisches
Wechseln der Schlssel), zum anderen konnte man sowohl direkt einen festen Schlssel definieren, den alle Clients gleichzeitig verwenden (PSK, Pre
Shared Key Vorab verteilter Schlssel), zum anderen konnte man einen
externen Server mit der berprfung der Kennwrter beauftragen
(RADIUS-Server, Remote Authentication Dial-In User Service Authentifizierungsdienst fr sich einwhlende entfernte Benutzer). Auf diese Weise war
es mglich, dass jeder Benutzer eines Accesspoints seinen eigenen Schlssel
verwenden konnte. Der Nachfolger von WPA war dann WPA2, bei dem
nochmals strkere Verschlsselungsverfahren verwendet wurden.
Jede Verschlsselung ist nur so gut wie das Kennwort, das dafr verwendet wird. Gerade WLAN-Kennwrter, die man nicht permanent
eingeben muss, sollten somit bei einem PSK-gesttzten Verfahren nicht
zu einfach sein. Immerhin erlauben WPA und WPA2 eine Lnge von bis
zu 63 Zeichen. Es gibt im WWW eine ganze Reihe von Seiten, die Kennwrter beliebiger Lnge generieren, zudem bieten viele WLAN-Router
die Option, ein sicheres Kennwort automatisch zu generieren.
455
8.11.3
Eigenschaften eines WLAN-Adapters
Ruft man ber das Netzwerk- und Freigabecenter die Eigenschaften eines
WLAN-Adapters auf, erkennt man im Vergleich mit einem kabelgebundenen Adapter sowohl eine Anzeige der aktuellen Signalqualitt als auch
eine Schaltflche Drahtloseigenschaften.
Abbildung 8.92: Eigenschaften eines WLAN-Adapters
Die angezeigten Werte bei der Schaltflche Drahtloseigenschaften beziehen

sich immer auf das jeweils aktive Funknetzwerk, das auf dem linken Dialogfeld in Abbildung 8.92 unter dem Eintrag Kennung (SSID) vermerkt ist.
Fr jedes erkannte Netzwerk, mit dem sich das System verbindet, knnen
also die Einstellungen getrennt vergeben werden.
Auf der Registerkarte Verbindung knnen Sie angeben, ob Sie sich mit dem
aktuellen Netzwerk automatisch verbinden mchten, sobald dieses Netzwerk in Reichweite ist. Diese Einstellung empfiehlt sich fr Netzwerke, mit
denen man hufiger in Kontakt steht, etwa dem WLAN im Bro oder zu
Hause. Falls das Netzwerk keine Kennung sendet, knnen Sie trotzdem die
Verbindung erzwingen. Mit dem Link Dieses Netzwerkprofil auf ein USBFlashlaufwerk kopieren knnen Sie auf einfache Weise weitere Systeme (ab
Windows XP) mit den gleichen Zugangsdaten konfigurieren. Die Daten
werden dabei zusammen mit einem Setup-Programm auf einen USB-Stick
kopiert, sodass beim nchsten System die Daten automatisch per Autostart
integriert werden. Auf diese Weise knnen auch beispielsweise WLANDrucker mit dem Netz verbunden werden.
Auf der Registerkarte Sicherheit knnen Sie das zu verwendende Protokoll
zur Anmeldung an den Accesspoint einstellen. Windows 7 untersttzt hier
alle gebruchlichen Methoden.
Sie sollten immer WPA2 in Ihrem WLAN verwenden. Viele WLANGerte bieten auch einen Modus an, in dem sowohl WPA als auch WPA2
untersttzt werden. Sofern Sie keine Systeme einsetzen, die nur WPA
untersttzten, sollten Sie hier einstellen, dass ausschlielich WPA2 verwendet wird.
456
WLAN sicher konfigurieren
Abhngig vom eingestellten Sicherheitstyp stehen nur bestimmte Verschlsselungstypen zur Auswahl, was hier gewhlt wird, richtet sich nach den Einstellungen des WLAN-Zugangspunktes. Auf Wunsch kann das eingegebene
Kennwort bei PSK (Personal-Verfahren) im Klartext angezeigt werden. Bei
den Enterprise-Verfahren ist eine ganze Reihe weiterer Konfigurationsdaten
anzugeben. Die genauen Werte ergeben sich hierbei aus dem Aufbau des
jeweiligen Netzwerkes.
Abbildung 8.93
Erweiterte
Einstellungen
der EnterpriseAuthentisierungen
8.11.4
Mit einem WLAN Verbindung aufnehmen
Sofern man mit einem Netzwerk einen Kontakt herstellen mchte, mit dem Funk finden
man bislang noch keine Verbindung hatte, muss man zunchst im Netzwerk- und Freigabecenter den Link Neue Verbindung oder neues Netzwerk
einrichten aufrufen. Sofern das Netzwerk seine SSID sendet, whlen Sie
Verbindung mit dem Internet herstellen, ansonsten whlen Sie Manuell mit
einem Drahtlosnetzwerk verbinden aus und klicken auf Weiter. Im zweiten
Schritt whlen Sie dann Drahtlosverbindung aus. Sie bekommen nun eine
Liste smtlicher Netzwerke angezeigt, die aktuell von Ihrem System empfangen werden. Wenn Sie mit der Maus ber die einzelnen Netzwerksymbole fahren, werden in einem Popup-Fenster weitere Informationen ber
den Verschlsselungstyp angezeigt. Sobald Sie eines der Netzwerke mit
der Maus anklicken, bekommen Sie die Schaltflche Verbinden angezeigt
und ein Kontrollkstchen, das Ihnen anbietet, die Verbindung mit diesem
Netzwerk in Zukunft automatisch wieder herzustellen. Sobald Sie auf die
Schaltflche Verbinden klicken, bekommen Sie, je nach Sicherheitseinstellung des Netzwerkes, noch ein Dialogfeld zur Eingabe des Kennworts
angezeigt.
457
Mchten Sie sich mit einem Netzwerk verbinden, das bereits bekannt ist,
whlen Sie im Netzwerk- und Freigabecenter die Option Verbindung mit
einem Netzwerk herstellen aus. Sie bekommen wieder die Liste der empfangenen Netzwerke angezeigt. Ist ein Netzwerk mit der Einstellung Automatisch verbinden dabei, wird die Verbindung automatisch hergestellt.
Abbildung 8.94
Unverbundene
(links) und bekannte
(rechts) WLAN
Sofern das dann verbundene Netzwerk noch nicht bekannt ist, erscheint
das Dialogfeld zur Auswahl des Netzwerkstandortes.
458
Drucken und Faxen
Das Thema Drucken gehrt in jedem Netzwerk zu den zentralsten Themen. Und auch das Thema Faxen spielt in den meisten Unternehmen
noch eine wichtige Rolle, selbst wenn heute der Versand von Faxen zugunsten des Versands von E-Mails immer weiter zurckgeht.
Dieses Kapitel beschreibt neben den technischen Grundlagen die Mglichkeiten, die es unter Windows 7 zur Einrichtung und zur Konfiguration lokaler Drucker gibt. Erleichtert wird die Verwaltung von Druckern
bei Windows 7 durch die Druckverwaltungskonsole. Dabei werden auch
die Einsatzmglichkeiten von Windows 7 als Druckserver vorgestellt.
Anschlieend lernen Sie in einem eigenen Abschnitt die Faxfunktion von
Windows 7 kennen.
9.1
Grundlagen und Terminologie

des Druckens
Wenn ein Benutzer einem Administrator mitteilt, dass sein Drucker nicht
funktioniert, meint er damit das Gert, das vor ihm steht und aus dem zu
diesem Zeitpunkt kein Papier herauskommt. Fr den Administrator ist
dies jedoch lngst nicht so eindeutig, denn dieser unterscheidet bei der
Druckansteuerung zwischen logischen und physischen Druckern.
Wichtig fr das Verstndnis ist es, wie das kleine Beispiel zeigt, sich
zunchst mit der Terminologie und den grundlegenden Mechanismen
des Druckens vertraut zu machen.
459
Kapitel 9 Drucken und Faxen
9.1.1
Wichtige Komponenten und Begriffe
Bei allen aktuellen Windows-Betriebssystemen werden die folgenden

Begriffe verwendet:
Logische und physische Drucker
Das Hardwaregert, das zur Druckausgabe dient, wird als physischer Drucker oder auch als Druckgert bezeichnet.
Drucker und
Druckgerte
Der Begriff Drucker oder logischer Drucker steht hingegen fr die Software-Schnittstelle zwischen dem Betriebssystem und dem Druckgert.
Diese Schnittstelle legt die Druckparameter fest und bestimmt, wie ein
Dokument zu einem Druckgert gelangt (ber einen lokalen Port oder
ber Netzwerkverbindungen). Logische Drucker werden unter Windows
mit der Installation eines Druckertreibers eingerichtet.
Ein einzelner logischer Drucker kann mehrere Druckjobs auf verschiedene physische Drucker verteilen. Umgekehrt ist es auch mglich, dass
mehrere logische Drucker letztendlich ein einziges Druckgert benutzen.
Unter Novell NetWare und Unix werden derartige logische Drucker als
Drucker-Warteschlangen bezeichnet. In der Terminologie von Windows
bezeichnet eine Warteschlange hingegen eine Gruppe von Dokumenten,
die auf den Ausdruck warten.
Druckausgabe
in Datei
Die Trennung zwischen physischen und logischen Druckern schafft eine

hohe Flexibilitt, da es damit mglich ist, einen logischen Drucker fr die
Druckausgabe zu verwenden, ohne dass ein physischer Drucker angeschlossen ist, beispielsweise bei offline geschalteten Druckgerten. Anwendung findet dieses Verfahren auch bei der Druckausgabe in eine Datei.
Druckertreiber
Druckertreiber sind Programme, die eine Software-Schnittstelle zwischen
den Anwendungen und dem Betriebssystem auf der einen Seite und der
(spezifischen) Sprache des Druckgerts andererseits definieren. Sie bersetzen die Informationen, die vom Computer gesendet werden, in fr den
Drucker verstndliche Befehle. Jedes Druckgert bentigt einen eigenen
Druckertreiber. Dieser ist erforderlich, da jeder Drucker ber eigene
Besonderheiten, wie beispielsweise doppelseitige Druckausgabe, spezielle Papierformate oder Optimierungen, verfgt.
DruckertreiberDateien
460
Druckertreiber sind jedoch keine einzelnen Dateien, sondern ein ganzes

Paket von Dateien, das mindestens die folgenden Dateitypen beinhaltet:
Konfigurationsdatei
Sie dient zur Anzeige der Dialogfelder Eigenschaften und Einstellungen
beim Konfigurieren eines Druckers. Diese Datei hat die Dateinamenerweiterung .dll.
Datendatei
Diese Datei liefert Informationen ber die Leistungsdaten, wie Auflsung, Untersttzung von beidseitigem Druck, Papierformate u.a.
Diese Datei hat die Datennamenerweiterung .dll, .pcd, .gpd oder .ppd.
Grundlagen und Terminologie des Druckens

Treiberdatei
Diese Datei bersetzt DDI-Befehle (Device Driver Interface) in fr den

Drucker verstndliche Befehle. Jeder Treiber ist fr die bersetzung
einer anderen Druckersprache zustndig. Die Datei Pscript.dll beispielsweise bersetzt in die Druckersprache PostScript. Diese Datei hat die
Dateinamenerweiterung .dll.
Diese Dateien arbeiten zusammen. Wird ein neuer Drucker eingerichtet,
durchsucht die Konfigurationsdatei die Datendatei und zeigt die verfgbaren Druckeroptionen an. Beim Drucken durchsucht dann die Grafiktreiberdatei die Konfigurationsdatei nach den gesetzten Einstellungen,
um die entsprechenden Druckerkommandos zu erstellen.
Druckspooler
Spooling bedeutet, dass der Inhalt eines Druckauftrags als Datei auf die Festplatte geschrieben wird und dort bis zum Ende der Druckausgabe erhalten
bleibt. Auf diese Weise wird sichergestellt, dass Druckvorgnge auch dann
gespeichert und gedruckt werden, wenn der physische Drucker nicht verfgbar ist oder es zu Strom- und/oder Hardware-Ausfllen kommt. Diese
Datei wird als Spool-Datei bezeichnet. Beim Despooling wird die SpoolDatei gelesen und ihr Inhalt an den physischen Drucker gesendet. Standardmig werden die Spool-Dateien im Verzeichnis %Systemroot%\System32\
Spool\Printers gespeichert.
Die Aufgabe des Spoolers besteht darin, Druckauftrge entgegenzunehmen,
zu verarbeiten, die zeitliche Steuerung dafr zu bernehmen und sie zu verteilen. Der Druckspooler selbst besteht wiederum aus einer Reihe Komponenten und dynamischer Bibliotheken (.dll-Dateien), u.a. dem Druckrouter,
dem lokalen Druckanbieter, dem Remotedruckanbieter und dem Sprachund Anschlussmonitor.
Druckmonitore
Der Ausdruck Druckmonitor wird fr die Beschreibung von zwei Arten
von Druckmonitoren verwendet: Sprachmonitor und Anschluss- bzw.
Portmonitor.
Ein Sprachmonitor wird bentigt, wenn der Drucker bidirektionales Dru- Sprachmonitor
cken untersttzt, d.h., eine beidseitige Kommunikation zwischen dem
Drucker und dem Spooler auf dem Druckserver existiert. Der Spooler
kann dann auf die Konfigurations- und Statusinformationen des Druckers zugreifen.
Der wichtigere Monitor ist der Anschlussmonitor, der den E/A-Anschluss Anschlusszum Drucker steuert. Ein Druckeranschluss ist eine Schnittstelle, ber die ein monitor
Drucker mit einem Computer kommuniziert. Die Auswahl eines Anschlusses hngt davon ab, wie der Drucker an den Computer oder das Netzwerk
angeschlossen ist.
Ist der Drucker physisch an den Computer angeschlossen, sind die entsprechenden lokalen Anschlsse (LPT1 bis LPT3 fr parallele und COM1
bis COM4 fr serielle Anschlsse) zu whlen. Wenn ein Client auf einem
Druckeranschluss File druckt, wird nach dem Dateinamen gefragt, und
die Ausgabedatei wird auf dem Client-Computer gespeichert.
461
Druckjobs/Druckauftrge
Druckjobs oder Druckauftrge stellen Quelltexte fr den Drucker dar. Sie
enthalten sowohl die auszugebenden Daten als auch Befehle fr ihre Verarbeitung im Rahmen dieser Ausgabe.
Sie werden nach Datentypen klassifiziert. Einige Datentypen legen fest,
dass der Spooler den Druckauftrag modifiziert, beispielsweise durch das
Anhngen einer Trennseite, bei anderen Datentypen bleibt der ursprngliche Auftrag unverndert.
GDI
Rendering und Graphical Device Interface

Rendering bezeichnet die Umsetzung von Druckbefehlen einer Anwendung
in Befehle, die der physische Drucker verstehen und direkt verarbeiten kann.
Die grafische Gerteschnittstelle von Windows (GDI: Graphical Device Interface) fr die Ausgabe von Anwendungsdaten auf dem Bildschirm oder
einem Druckgert bernimmt die von einer Anwendung gesendeten Dokumentinformationen, ruft den fr das Druckgert zustndigen Druckertreiber
auf und erzeugt auf diese Weise einen Druckauftrag in der Druckersprache
des Gerts. Dieser wird dann an den Druckspooler weitergeleitet.
9.1.2
Der Druckprozess im berblick
Der Druckprozess unter Windows ist ein modularer Prozess, der die folgenden Schritte umfasst:
1. Ein Benutzer veranlasst in einer Anwendung die Druckausgabe eines
Dokuments.
Im ersten Schritt ruft die Anwendung die Funktionen der grafischen
Gerteschnittstelle (GDI) auf, die ihrerseits den fr den physischen
Zieldrucker zustndigen Druckertreiber abfragt. Mithilfe der von der
Anwendung stammenden Dokumentinformationen fhren die GDI
und der Treiber einen Datenaustausch durch und bertragen so den
Druckauftrag in die Druckersprache des Druckers.
Spoolprozess 2. Die GDI-Schnittstelle leitet den Druckauftrag an den Spooler weiter.
Dieser ruft seinerseits den Druckrouter Spoolss.dll auf.
Der Router bergibt den Druckauftrag der lokalen Druckuntersttzung (Localspl.dll), die ihrerseits fr das eigentliche Spooling, d.h. das
Zwischenspeichern der Druckdaten auf der Festplatte, sorgt.
3. Der Druckauftrag wird bei Bedarf modifiziert.
Die lokale Druckuntersttzung fragt die installierten Druckprozessoren ab und bergibt den Auftrag an den ersten Druckprozessor, der
sich fr den Datentyp des Druckauftrags zustndig erklrt. Dieser
nimmt gegebenenfalls Anpassungen, wie beispielsweise das Anhngen eines Seitenvorschubs oder das Erzeugen einer Bitmap, vor.
4. Der Trennseiten-Prozessor bekommt den Druckauftrag bergeben
und stellt den Daten eine Trennseite voran (falls angegeben).
Druckervorgnge 5. Der Druckauftrag wird an den Druckmonitor weitergegeben.
Der Auftrag wird an einen geeigneten Druckeranschlussmonitor gesendet. Wenn das Druckgert mit bidirektionaler Kommunikation arbeitet,
kommt hier zuerst ein Sprachmonitor zum Einsatz, der die KommunikaClientvorgnge
462
tion mit dem Druckgert abwickelt und dann den Druckauftrag einem
Portmonitor bergibt.
Bei physischen Druckern mit unidirektionaler Kommunikation geht
der Druckauftrag dagegen direkt an den Portmonitor, der fr die
bertragung der Daten an den physischen Drucker oder an einen
anderen Server sorgt.
6. Das Druckgert erhlt die Daten in seiner Druckersprache, generiert
daraus eine Bitmap und gibt diese auf Papier (oder ein anderes Medium)
aus.
9.2
Drucker installieren und im

Netzwerk bereitstellen
Frhere Windows-Versionen enthalten einen Ordner Drucker, der die zentrale Verwaltungsschnittstelle fr Drucker und Faxgerte darstellt. In Windows 7 wurde der Ordner Drucker durch den Ordner Gerte und Drucker
ersetzt. Hiermit knnen alle an den PC angeschlossenen Peripheriegerte
verwaltet werden.
Abbildung 9.1
Zentrale Verwaltung aller Peripheriegerte im
Dialogfeld Gerte
und Drucker
Das Aussehen und die Funktionsweise der neuen Option Gerte und Drucker ist zwar unterschiedlich, aber es werden auch weiterhin alle wichtigen
463
Aufgaben im Zusammenhang mit dem Drucken ausgefhrt, fr die frher

der Ordner Drucker verwendet wurde. Hier sind zum einen alle im System
registrierten Drucker und Faxgerte (lokale Drucker und Netzwerkdrucker)
zu finden, und zum anderen knnen u.a. Drucker hinzugefgt bzw. Drucker und Druckauftrge verwaltet werden.
Am schnellsten erfolgt der Zugriff auf das Dialogfeld Gerte und Drucker durch Auswahl der entsprechenden Option im Startmen oder
durch Eingabe des Begriffs Drucker im Suchfeld des Startmens und
anschlieende Auswahl der Option Gerte und Drucker.
9.2.1
Installation lokaler Drucker
Aktuelle Druckgerte mit USB-, FireWire- oder Infrarot-Anschluss, die

whrend des laufenden Betriebs an den Rechner angeschlossen werden
knnen, erkennt Windows 7 automatisch. Dank dieser Plug&Play-Untersttzung erweist sich die Einrichtung eines lokalen Druckers in der Regel
als einfacher Vorgang, der keinerlei Benutzereingriff erfordert.
Drucker manuell
installieren
In Einzelfllen kann es erforderlich sein, einen Drucker manuell einzurichten, beispielsweise wenn Windows 7 keinen Treiber fr den Drucker
findet oder das Druckgert am parallelen Port angeschlossen ist, der kein
Plug&Play untersttzt.
Ausfhrliche Erluterungen zur Installation von Gerten und Treibern sowie
Hinweise zum Umgang mit Treiberproblemen finden Sie in Kapitel 3.
Einen lokalen Drucker installieren Sie wie folgt:
1. Whlen Sie im Systemsteuerungsbereich Hardware und Sound/Gerte
und Drucker die Option Drucker hinzufgen.
2. Um einen lokalen Drucker zu installieren, ist in dem ersten Dialogfeld
die Option Einen lokalen Drucker hinzufgen zu whlen.
Abbildung 9.2
Installation eines
lokalen Druckers
mithilfe des Druckerinstallations-Assistenten
464
3. Im nchsten Schritt ist der Port auszuwhlen, an den das Druckgert

angeschlossen ist. Mit dem Druckerport, den Sie whrend der Installation oder spter dem Drucker zuordnen, legen Sie fest, wie Druckdaten aus dem logischen Drucker weiterverarbeitet werden: ob sie
zur Ausgabe an einen physischen Drucker weitergeleitet oder ob sie
in eine Datei oder an ein Fax weitergegeben werden.
Lokal angeschlossene Druckgerte verwenden meist den LPT1-Port.
Bei Windows 7 steht darber hinaus mit dem XPSPort ein zustzlicher lokaler Anschluss zur Verfgung (siehe dazu den Abschnitt 9.3.3
ab Seite 459).
Abbildung 9.3
Auswahl des
Anschlusses bei
Installation eines
lokalen Druckers
Soll die Druckausgabe in eine Datei erfolgen, mssen Sie den Anschlussport FILE: auswhlen. Bei installiertem Microsoft Office 2007 ist auch die
Ausgabe als PDF-Dokument oder in OneNote mglich. Bei der Druckausgabe erhlt der Benutzer in diesem Fall die Aufforderung, einen Pfad
und Dateinamen anzugeben.
Bei Auswahl des Anschlussports zur Ausgabe in eine Datei ist zu beachten, dass die Datei mit dem fr den Port definierten Druckertreiber
generiert wird. Der Drucker, auf dem die Datei letztendlich gedruckt
wird, sollte deshalb zum gewhlten Treiber kompatibel sein. Im brigen ist es meist einfacher, aus der Anwendung heraus in eine Datei zu
drucken. Dies wird von den meisten Anwendungen untersttzt.
4. Nach der Festlegung des Anschlusses muss das Druckermodell bzw.

der Hersteller ausgewhlt werden. In der angezeigten Liste finden Sie
die von Windows 7 standardmig untersttzten Druckertreiber, welche die Informationen zur Hardware und zu der internen Sprache
eines bestimmten Druckers enthalten, sowie alle bis zu diesem Zeitpunkt installierten Druckertreiber.
Falls das verwendete Druckermodell in der Liste fehlt, knnen Sie den
passenden Treiber auch von einem Datentrger installieren, mit Win-
465
dows Update ber das Internet nach neuen Treibern suchen oder einen
Treiber von der Website des Herstellers herunterladen. In diesem Fall
ist die Option Datentrger zu whlen, um den Speicherort fr die Druckertreiberdatei anzugeben.
Standardmig
signierte Treiber
Abbildung 9.4
Auswahl des
Druckerherstellers
und -modells
Treiber
auswhlen
Bei den im Lieferumfang von Windows 7 enthaltenen Treibern handelt es sich ausschlielich um signierte Treiber. Versuchen Sie, den
unsignierten Treiber eines Herstellers zu installieren, mssen Sie dies
zustzlich besttigen.
p
5. Ist ein Druckertreiber fr das Modell bereits installiert, erfolgt eine

Rckfrage, ob der momentan verwendete Treiber beibehalten oder ein
neuer Treiber installiert werden soll. Liegt ein aktuellerer Treiber vor,
knnen Sie diesen whlen.
6. Geben Sie anschlieend einen Namen ein, unter dem der Drucker
gefunden werden soll. Auerdem kann bereits hier der Drucker als
Standarddrucker festgelegt werden.
Abbildung 9.5
Festlegung des
Druckernamens
7. Damit sind alle Informationen vollstndig, und Windows 7 installiert

den Drucker.
466
8. Damit aber ist der Assistent zur Druckerinstallation noch nicht abgeschlossen. In weiteren Dialogfeldern besteht die Mglichkeit, den Drucker im Netzwerk zur gemeinsamen Verwendung freizugeben und eine
Testseite zu drucken.
o
Abbildung 9.6
Drucker im Netzwerk freigeben
Nicht immer wird die Installation eines Druckers problemlos mglich sein. Treiberprobleme
Kann Windows 7 ein Gert nicht erkennen oder treten Probleme mit der beheben
Installation des Treibers auf, wird das Gert im Gerte-Manager als Problemgert unter Andere Gerte aufgefhrt und mit einem Ausrufezeichen
gekennzeichnet. Der Gertestatus liefert dabei eine Beschreibung des Problems und einen Fehlercode. In der Mehrzahl der Flle liegt ein Problem mit
dem Treiber vor, beispielsweise weil kein Treiber gefunden werden konnte
oder weil ein Treiber installiert wurde, der fr eine frhere Windows-Version entwickelt wurde. Versuchen Sie in diesem Fall zunchst, einen aktuellen Treiber ber Windows Update zu laden. Hierzu kann im Kontextmen
des Gertes die Option Treibersoftware aktualisieren auf der Registerkarte
Treiber verwendet werden. Bei der automatischen Suche durchsucht Windows auch das Windows Update-Treiberrepository im Internet, sofern die
entsprechende Funktion in den Gerteinstallationseinstellungen aktiviert
wurde. In einigen Fllen kann es erforderlich sein, den Aktualisierungsprozess mehrfach durchzufhren. Die Aktualisierung eines Treibers ist auch
erforderlich, wenn ein Treiber akzeptiert und installiert wurde, das Gert
aber nur eingeschrnkt mit diesem Treiber funktioniert.
Bleibt die Suche erfolglos, sollte versucht werden, vom Hersteller einen
kompatiblen Treiber oder Software zu erhalten. Steht fr ein Problemgert kein neuer Treiber zur Verfgung, bleibt noch die Mglichkeit, einen
Windows XP-, bzw. Windows Vista-Treiber im Kompatibilittsmodus zu
installieren. Hierbei handelt es sich um eine spezielle Funktion, die es
ermglicht, Anwendungen, d.h. in diesem Fall dem Treiberinstallationsprogramm ein anderes Windows-Betriebssystem vorzugaukeln, als tatschlich installiert ist. Fr die Anwendung verhlt sich Windows 7 dann
so wie ein lteres Windows-Betriebssystem, d.h. wie beispielsweise Windows XP oder Windows Vista. Nhere Informationen zum Umgang mit
Problemen bei der Installation von Gerten finden Sie in Kapitel 2.
467
9.2.2
Mit einem Netzwerkdrucker verbinden
In einem Unternehmensnetzwerk spielt der Einsatz lokaler Drucker eine

meist untergeordnete Rolle. Stattdessen werden die Druckgerte gemeinsam
im Netzwerk genutzt. Zu den hufigsten Aufgaben gehrt deshalb die Herstellung einer Einbindung zu einem im Netzwerk freigegebenen Drucker.
Die Verbindungsherstellung kann auf unterschiedliche Art und Weise
erfolgen. Die wichtigsten Mglichkeiten werden im Folgenden erlutert.
Einrichtung in der Netzwerkumgebung im Windows-Explorer

Sehr einfach kann eine Verbindung zu einem Netzwerkdrucker in der
Netzwerkumgebung im Windows-Explorer hergestellt werden, vorausgesetzt der Name des Druckservers ist bekannt.
Nach Auswahl des Servers, der den gewnschten Drucker verwaltet,
werden mithilfe der Option Remotedrucker anzeigen alle verfgbaren Drucker des gewhlten Druckservers angezeigt. Um einen Drucker einzubinden, gengt es, die Option Verbinden im Kontextmen zu whlen.
Treiber automatisch bernommen
Falls auf dem Clientrechner noch kein Druckertreiber vorhanden ist,

bezieht er ihn direkt vom Druckserver, vorausgesetzt der passende Treiber fr das Clientsystem wurde dort bereitgestellt. Die Installation eines
neuen Treibers erfordert hingegen erhhte Rechte und muss daher besttigt werden, was an dem Sicherheitssymbol erkennbar ist.
Abbildung 9.7
Die Installation des
Druckertreibers
muss besttigt
werden.
Netzwerkdrucker mithilfe des Assistenten installieren

Da in Unternehmensnetzwerken fr Benutzer meist der Zugriff auf die
Netzwerkumgebung gesperrt ist, entfllt zumindest fr diese hufig die
erste Mglichkeit.
Arbeitsschritte
468
Alternativ kann der Druckerinstallations-Assistent verwendet werden:

1. Whlen Sie beispielsweise im Windows-Explorer oder in dem Dialogfeld Gerte und Drucker die Option Drucker hinzufgen.
2. Um eine Verbindung mit einem Netzwerkdrucker herzustellen, muss
die zweite Option Einen Netzwerk-, Drahtlos- oder Bluetooth-Drucker hinzufgen gewhlt werden.
3. Das System durchsucht dann das Netzwerk nach freigegebenen

Druckern und listet diese auf.
4. Ist der gesuchte Drucker nicht in der Liste enthalten, sollte die Option
Der gesuchte Drucker ist nicht aufgefhrt verwendet werden. Im folgenden
Dialogfeld kann der Drucker anhand unterschiedlicher Kriterien (Freigabename, IP-Adresse u.a.) ermittelt werden. Ist der Rechner Teil einer
Domne, kann der Drucker auch in Active Directory mit der Option
Einen Drucker im Verzeichnis anhand des Standorts oder der Druckerfunktion
suchen gesucht werden. Die Suche kann nicht mit verschiedenen Kriterien eingegrenzt werden.
5. Ist der Drucker in der Liste vorhanden, gengt es, den Druckernamen
zu besttigen und anzugeben, ob der Drucker als Standarddrucker
verwendet werden soll.
6. Falls auf dem Clientrechner noch kein Druckertreiber vorhanden ist,
bezieht er ihn direkt vom Druckserver, vorausgesetzt der passende
Treiber fr das Clientsystem wurde dort bereitgestellt (beachten Sie
hierzu die Ausfhrungen in Kapitel 3).
Abbildung 9.8
Auswahl des
gewnschten Netzwerkdruckers im
Druckerinstallations-Assistenten
469
Standarddrucker festlegen
Die Mglichkeit, einen Standarddrucker festzulegen, ist nicht neu. Bereits
in frheren Windows-Versionen kann ein Drucker als bevorzugter Drucker ausgewhlt werden. Dieser wird dann immer automatisch verwendet, wenn kein anderer Drucker gewhlt wird, und ist in allen Anwendungen die Standardeinstellung.
Im Ordner Gerte und Drucker ist der Standarddrucker mit einem grnen
Symbol gekennzeichnet. Soll der Standarddrucker gendert werden, ist
dies jederzeit durch Aktivierung der entsprechenden Option im Kontextmen des gewnschten Druckers mglich.
Drucken am
Aufenthaltsort
Windows 7 bietet nun mit der neuen Funktion Drucken an Aufenthaltsort

die Mglichkeit, den Standarddrucker automatisch umzustellen, wenn
festgestellt wird, dass der Rechner sich in einem anderen Netzwerk befindet. Mglich wird dies mithilfe eines Dienstes namens NLA Network
Location Awareness. Dieser sammelt und speichert Konfigurationsinformationen fr das Netzwerk und benachrichtigt Programme, wenn diese
Informationen gendert werden. Fr jedes Netzwerk kann deshalb ein
eigener Standarddrucker festgelegt werden, und wenn sich das Netzwerk ndert, ndert Windows den Standarddrucker.
Fr die Verwendung dieser Funktion kann die Option Standarddrucker
verwalten im Kontextmen eines beliebigen Druckers verwendet werden.
Nach Aktivierung der Option Beim ndern des Netzwerks den Standarddrucker ndern kann fr jedes aufgelistete Netzwerk ein gesonderter Standarddrucker konfiguriert werden. Aufgelistet wird hier jedes Netzwerk,
zu dem mindestens einmal eine Verbindung hergestellt worden ist.
Steht nur auf

mobilen Rechnern zur Verfgung
Allerdings gibt es einige Einschrnkungen. Zum einen steht die Funktion

nur in den Premium-Editionen von Windows 7 zur Verfgung, und zum
anderen muss es sich bei dem Rechner um ein Notebook oder ein anderes
tragbares Gert mit einem Akku handeln. Auf Desktoprechnern fehlt die
genannte Option.
9.2.3
Windows 7-Client als Druckserver

einrichten
Auch wenn Windows 7 als Druckserver in Unternehmensnetzen nur selten genutzt wird, darf das Thema an dieser Stelle nicht fehlen. Es gibt
grundstzlich zwei Mglichkeiten, Drucker in einem Netzwerk fr die
gemeinsame Nutzung bereitzustellen:
Ein lokal an einem Rechner (Arbeitsplatzrechner oder Server) angeschlossener Drucker kann ber das Netzwerk freigegeben werden,
um anderen Benutzern den Zugriff zu ermglichen.
Ein Netzwerkdrucker wird mit einer eigenen Netzwerkkarte direkt ans
Netzwerk angeschlossen und ist dort fr alle erreichbar. Diese Druckgerte mssen nicht physisch an einen Druckserver angeschlossen sein,
knnen aber ebenfalls von diesem verwaltet werden. Der Aufstellungsort spielt in diesem Fall keine Rolle, sofern das Druckgert netzwerktechnisch erreichbar ist.
470
Windows 7 untersttzt beide Mglichkeiten. Lokal an einen Windows 7Rechner angeschlossene Druckgerte knnen im Netzwerk freigegeben werden. In diesem Fall fungiert der Windows 7-Rechner als Druckserver und
verwaltet eine gemeinsam genutzte Druckerwarteschlange fr alle Rechner,
die auf den am Druckserver installierten Drucker zugreifen drfen.
Zustzlich knnen Drucker mit eigenem Netzanschluss ber eine Druckerwarteschlange auf einem als Druckserver fungierenden Windows 7Rechner freigegeben werden.
Drucker auf einem Windows 7-Rechner freigeben

Die einfachste Variante, einen Drucker im Netzwerk zu nutzen, ist die Freigabe eines an einen Rechner angeschlossenen Druckers nach Abschluss
von dessen Installation.
1. ffnen Sie im Systemsteuerungsbereich Gerte und Drucker, und whlen
Sie im Kontextmen des Druckers, den Sie freigeben wollen, die Option
Druckereigenschaften und anschlieend die Registerkarte Freigabe.
2. Fr die Verwaltung von Druckerfreigaben sind administrative Rechte
erforderlich, daher mssen nach Auswahl der Option ggf. noch der
Name und das Kennwort eines berechtigten Benutzers angegeben
bzw. der Vorgang besttigt werden.
3. Aktivieren Sie auf der Registerkarte Freigabe das Kontrollkstchen
Drucker freigeben, und tragen Sie einen Freigabenamen ein. Werden im
Netzwerk noch ltere Betriebssysteme genutzt, sollten Sie den Freigabenamen aus Grnden der Kompatibilitt auf acht Zeichen beschrnken und auch keine Leer- und Sonderzeichen verwenden.
4. Ist der Computer Teil einer Active Directory-Domne, ist zustzlich Drucker verfdas Kontrollkstchen Im Verzeichnis anzeigen verfgbar. Damit kann fentlichen
der Drucker in Active Directory verffentlicht werden.
Abbildung 9.9
Drucker auf einem
Windows 7-Rechner freigeben
471
Freigegebene Drucker werden mit einem Freigabe-Gruppensymbol in

der Liste der Drucker gekennzeichnet.
Netzwerkdrucker einrichten
Windows 7 kann alternativ auch fr Drucker, die nicht an einen Rechner,
sondern mit eigener Netzwerkkarte direkt ans Netz angeschlossen sind,
als Druckserver fungieren. Diese Mglichkeit bietet sich fr kleinere
Netzwerke an, die mehrere physische Drucker, aber keinen Server im Einsatz haben.
LPR
Fr die Einbindung von Netzwerkdruckern ber das TCP/IP-Protokoll bietet Windows 7 (wie auch die Vorgngerversionen) Untersttzung fr LPRAnschlsse. LPR (Line Printer Remote-Dienst) ist ein Protokoll der TCP/
IP-Protokollfamilie und wurde ursprnglich als Standard fr die bertragung von Druckauftrgen zwischen Computern unter Berkeley Unix entwickelt. Der LPR-Anschlussmonitor dient in erster Linie zum Einbinden von
Druckern, die auf Unix-Druckservern bereitgestellt werden.
Standard-TCP/IP-Port einrichten Windows 7 bietet jedoch noch eine Alter-
native zu LPR-Anschlssen. Der zustzliche Portmonitor, der seit der Version Windows 2000 verfgbar ist, wird als Standard-Portmonitor (SPM)
bezeichnet. SPM wird standardmig zusammen mit TCP/IP installiert.
Standard-Portmonitor (SPM)
Mithilfe des Standardmonitors (SPM) knnen Drucker, die ber das
TCP/IP-Protokoll im Netzwerk erreichbar sind und die Standards
gem RFC 1759 einhalten, auf einem Druckserver verwaltet werden.
Dieser auch als Simple Network Management Protocol (SNMP) bezeichnete
Standard definiert, wie entsprechende Drucker im Netzwerk miteinander kommunizieren.
Der Standardmonitor ist leistungsfhiger und besser konfigurierbar als
der LPR-Anschlussmonitor, u.a. weil er SNMP einsetzt, um die Konfiguration des Zieldruckers zu lesen und dessen Status zu ermitteln.
Nach Angabe der erforderlichen IP-Adresse oder des Namens des
Druckservers kann die weitere Installation meist automatisch vonstatten gehen. Insofern zeichnet sich SPM auch durch eine einfache Einbindung auf Clientseite und eine vereinfachte Administration aus. Falls der
SPM den Zieldrucker nicht mit den standardmigen TCP-Anschlssen
des SPM und SNMP konfigurieren kann, verwendet er das LPR-Protokoll, sofern dieses von dem Druckgert untersttzt wird.
Im Gegensatz zu LPR verwendet SPM standardmig den Anschluss
9100 als Zielanschluss und whlt nach dem Zufallsprinzip einen offenen Quellanschluss grer als 1023 aus.
SPM-Drucker
einrichten
472
Um einen TCP/IP-Drucker ber einen Standard-TCP/IP-Port auf einem

Windows 7-Rechner, der als Druckserver fungiert, einzurichten, gehen
Sie folgendermaen vor:
1. Whlen Sie im Systemsteuerungsbereich Hardware und Sound/Gerte

und Drucker die Option Drucker hinzufgen.
2. Whlen Sie in dem ersten Dialogfeld die Option Einen lokalen Drucker
hinzufgen.
3. Im nchsten Fenster aktivieren Sie die Option Neuen Anschluss erstellen
und whlen in der Auswahlliste den Eintrag Standard-TCP/IP-Port aus.
Abbildung 9.10
Einrichtung eines
neuen StandardTCP/IP-Ports
4. Anschlieend ist die IP-Adresse (oder der Hostname) des physischen

Druckgerts einzutragen. Der Anschlussname wird automatisch generiert, Sie knnen diesen jedoch ndern.
Abbildung 9.11
Konfiguration eines
SPM-Anschlusses
5. Falls ausgewhlt, versucht der SPM, den Drucker abzufragen und den
Treiber auf der Grundlage der von SNMP bermittelten Antworten
automatisch auszuwhlen. Werden das Druckermodell und verfgbare
Optionen ber SNMP ermittelt, erfolgt die weitere Konfiguration automatisch. Kann das ermittelte Gert jedoch nicht bestimmt werden, fragt
der Assistent die zustzlich bentigten Informationen ab.
473

LPR-Drucker
einrichten
LPR-Port einrichten Alternativ knnen die beide Anschlussarten LPR Port

und Standard TCP/IP Port verwendet werden. Gegenber SMP ist deren Einrichtung aber weniger komfortabel. Damit der LPR-Port berhaupt genutzt
werden kann, mssen die Druckdienste, wie nachstehend beschrieben, aktiviert werden. Andernfalls steht kein LPR-Port zur Verfgung.
Whrend jedoch in frheren Windows-Versionen die in Windows integrierten Programme und Funktionen installiert bzw. zum Deaktivieren
auf dem Computer vollstndig deinstalliert werden mussten, sind unter
Windows 7 alle Funktionen auf der Festplatte gespeichert. Damit entfllt
auch die Notwendigkeit fr den Zugriff auf das Installationsmedium.
Beim Deaktivieren wird die Funktion nicht deinstalliert, sodass sich auch
der verwendete Festplattenspeicher nicht verringert. Damit ist es aber
mglich, die Funktion bei Bedarf jederzeit wieder zu aktivieren.
1. Die erforderliche Option Windows-Funktionen aktivieren oder deaktivieren ist zu finden in der Systemsteuerung unter Programme und Programme und Funktionen.
2. Whlen Sie hier Druckdienste, und aktivieren Sie den LPD-Druckdienst.
Wird auch die Option LPR-Anschlussmonitor aktiviert, sind automatisch
auch alle freigegebenen Drucker unter Windows 7 ber LPR von anderen
Computern ber das Netzwerk erreichbar. Als Druckername wird jeweils
der Name der entsprechenden Druckerfreigabe verwendet.
Abbildung 9.12
Fr die Verwendung
von LPR-Ports ist
die Aktivierung des
LPD-Druckdienstes
erforderlich.
Nachdem die erforderlichen Arbeitsschritte eines der beiden zuvor beschriebenen Verfahren durchgefhrt wurden, fungiert das System ganz automatisch als Druckserver. Es ist nicht erforderlich, Windows 7 explizit als Druckserver zu konfigurieren.
9.3
Druckserver, Drucker und

Druckauftrge verwalten
Die im Folgenden beschriebenen Konfigurationsmglichkeiten gelten

sowohl fr lokal eingerichtete Drucker als auch fr Netzwerkdrucker.
474
Vorgestellt werden im Folgenden sowohl die Verwaltungsmglichkeiten

im klassischen Druckerverwaltungsdialogfeld als auch die Mglichkeiten der integrierten Druckverwaltungskonsole.
9.3.1
Druckereigenschaften konfigurieren
Im Bereich Gerte und Drucker werden alle installierten Drucker aufgefhrt und knnen hier auch verwaltet werden. Zugriff auf die Verwaltungsoptionen der aufgelisteten Drucker ist u.a. ber das Kontextmen
des betreffenden Druckers und die Option Druckereigenschaften (nicht zu
verwechseln mit der Option Eigenschaften) mglich. Hier stehen umfangreiche Konfigurationsoptionen zur Verfgung, allerdings hngen die tatschlich verfgbaren Konfigurationsmglichkeiten vom gewhlten Drucker ab. In der Regel sind die folgenden Registerkarten vorhanden:
Registerkarte Allgemein Auf der Registerkarte Allgemein kann u.a. fr Die Registerkareinen lokal installierten Drucker der Name gendert sowie der Standort ten im berblick
und ein Kommentar knnen eingetragen werden. Weiterhin knnen mittels

der Schaltflche Einstellungen Feineinstellungen zu Papierformat, Papierund Druckqualitt vorgenommen werden. Auerdem ist von hier aus das
Drucken einer Testseite mglich.
Registerkarte Freigabe Auf der Registerkarte Freigabe kann der Drucker fr
die Benutzung durch andere Rechner im Netzwerk freigegeben werden.

Registerkarte Anschlsse Den Anschluss, mit dem der Drucker verbun-
den ist, konfigurieren Sie auf der Registerkarte Anschlsse. Hier knnen
auch neue Anschlsse definiert bzw. vorhandene Anschlsse gelscht werden. Genaue Erluterungen zur Freigabe von Druckern und zur Konfiguration neuer Anschlsse finden Sie im Abschnitt 9.2.3 ab Seite 470.
Registerkarte Gerteeinstellungen Auf der Registerkarte Gerteeinstellun-
gen knnen die Standardvorgaben fr bestimmte Einstellungen am Druckgert vorgenommen werden. Abhngig vom Druckertyp knnen hier das
Papierformat und die Papierzufuhr konfiguriert werden. Bei Farb- oder
PostScript-Druckern stehen zustzliche Optionen zur Verfgung.
Registerkarte Erweitert Interessante Mglichkeiten bietet die Register-
karte Erweitert. Hier kann beispielsweise festgelegt werden, ob der Drucker

immer oder nur zu eingeschrnkten Zeiten zur Verfgung steht.
Auch die Festlegung der Druckerprioritt ist mglich. Die Druckerprioritt Druckerprioritt
legt die Reihenfolge fest, in der ein bestimmter Drucker im Vergleich zu
anderen verfgbaren Druckern ausgewhlt wird. Die Druckerprioritt legt
jedoch nur die Reihenfolge fest, in der ein Drucker mehrere Druckauftrge
ausfhrt. Ein Drucker wird die Verarbeitung eines bereits begonnenen
Druckauftrags nicht unterbrechen, selbst wenn der Spooler einen Druckauftrag mit einer hheren Prioritt empfngt, der fr einen Drucker mit
einer hheren Prioritt am gleichen Anschluss bestimmt ist.
475
Die Konfiguration der Druckerprioritt ist sinnvoll, wenn mehrere logische

Drucker fr einen physischen Drucker definiert sind. In Zusammenhang
mit unterschiedlichen Zugriffsberechtigungen kann einzelnen Benutzern
damit ein bevorzugter Zugriff auf ein Druckgert ermglicht werden.
Neuer Treiber
Weiterhin ist auf dieser Registerkarte die Installation eines neuen Druckertreibers mglich. Hierzu steht die Schaltflche Neuer Treiber zur Verfgung.
SpoolerEinstellungen
Benutzer, die ber Administratorrechte verfgen, knnen auerdem das

Spoolen von Druckauftrgen ber die Registerkarte Erweitert konfigurieren. Ein Druckauftrag kann entweder an den Spooler oder direkt an den
Drucker gesendet werden. Der Spooler ist ein temporrer Speicherort auf
der Festplatte, an dem der Druckauftrag so lange gespeichert wird, bis er
an den Drucker abgegeben werden kann. Dadurch kann eine Anwendung
einen Druckauftrag schneller abwickeln und muss nicht erst auf die Fertigstellung des Druckauftrags warten. Dies ist die Standardeinstellung. Der
einzige Grund, den Spooler nicht zu verwenden, wre Platzmangel auf der
Festplatte, was bei den heutigen Festplattenkapazitten aber kaum zum
Problem werden drfte.
Druckauftrge, die an den Spooler gesendet werden, knnen so konfiguriert werden, dass der Drucker entweder mit dem Drucken beginnt,
sobald dies mglich ist oder nachdem die letzte Seite des Druckauftrags
an den Spooler gesendet worden ist. Wenn der Druckserver mit dem
Spooler nicht zur Verfgung steht, kann der Druckauftrag nicht abgewickelt werden. In diesem Fall muss gewartet werden, bis der Spooler wieder verfgbar ist.
Abbildung 9.13
Konfiguration der
erweiterten
Druckereigenschaften
Druckprozessor
und Datentypen
476
Wie die vorstehende Abbildung zeigt, knnen auerdem der Druckprozessor und der zu verwendende Datentyp ausgewhlt werden. Der Druckprozessor bergibt den Druckauftrag an den Spooler entsprechend dem aus-
gewhlten Datentyp. Beim Drucken unter Windows werden in der Regel

fnf Standard-Datentypen untersttzt. Die beiden am hufigsten verwendeten Datentypen sind hierbei EMF und RAW. Gelegentlich kommt auch
der Datentyp Text zum Einsatz.
EMF (Enhanced Meta File)
EMF ist das standardmig verwendete Format. Hierbei wird der Druckauftrag vom Client vor dem Spoolen vom GDI (Graphical Device Interface) und nicht wie bei RAW-Druckerdaten vom Druckertreiber erstellt.
Nach dem Erstellen von EMF-Dateien wird die Steuerung an den Benutzer zurckgegeben, und die EMF-Datei im Hintergrund werden interpretiert und an den Druckertreiber bergeben. Die eigentliche Verarbeitung
erfolgt damit im Spooler. Wenn der Spooler auf einem Druckserver im
Netzwerk luft, wird der lokale Client erheblich entlastet.
EMF-Dateien sind besser bertragbar als RAW-Dateien. Eine EMFDatei kann auf jedem Druckgert ausgegeben werden, wohingegen
eine RAW-Datei nur auf einem Druckgertemodell gedruckt werden
kann. Darber hinaus ist der Satz der EMF-Dateien, der alle Seiten
eines Druckauftrags umfasst, kleiner als eine RAW-Datei, die denselben
Druckauftrag beinhaltet. Auerdem stellt das EMF-Format sicher, dass
die auf dem Client angegebenen Schriftarten den vom Druckserver verwendeten entsprechen.
RAW
RAW ist das Standardformat fr alle Clients, die nicht unter Windows
laufen. Die Daten werden nicht im Spooler gendert, sondern direkt
an den Drucker bergeben.
Der RAW-Datentyp teilt dem Spooler mit, dass der Druckauftrag in
keiner Weise gendert werden darf und in der vorliegenden Form
druckbereit vorliegt. Es werden zwei verschiedene RAW-Datentypen
unterschieden:
RAW [FF appended]
Dieser Datentyp teilt dem Spooler mit, dass der Druckauftrag von
einer Anwendung stammt, die dem Ende des Druckauftrags kein
Seitenvorschubzeichen hinzufgt. Ohne einen SeitenvorschubNachspann wrde die letzte Seite des Druckauftrags bei PCLDruckgerten (PCL Die Printer Command Language ist eine von
Hewlett-Packard entwickelte Befehlssprache zum Steuern von
Druckern) nicht ausgegeben werden. Der Spooler fgt dem Ende
des Druckauftrags ein Seitenvorschubzeichen hinzu, fhrt jedoch
keine weiteren nderungen durch. Bricht ein Programm den
Druckprozess ab, ohne die Seite zu fllen, wartet der Drucker auf
den Abschluss. Mit dieser Option erzwingen Sie den abschlieenden Umbruch.
RAW [FF auto]
Dieser Datentyp hnelt dem RAW [FF appended]-Datentyp, jedoch
weist der RAW [FF auto]-Datentyp den Spooler an, den Druckauftrag auf ein Seitenvorschubzeichen am Ende des Auftrags hin zu
berprfen. Ist das der Fall, unternimmt der Spooler nichts, andernfalls wird der Seitenumbruch angehngt.
477

TEXT
Mit der Einstellung TEXT werden reine ANSI-Daten gesendet, die

nicht vom Spooler modifiziert werden. Der Drucker gibt diese in seiner
Standardschriftart aus. Dies eignet sich besonders, wenn der Druckauftrag aus einfachem Text besteht und das Druckgert (beispielsweise ein
PostScript-Drucker) Auftrge mit einfachem Text nicht interpretieren
kann.
Registerkarte Sicherheit Windows 7 wendet auch beim Drucken diffe-
renzierte Zugriffsrechte an, die auf der Registerkarte Sicherheit gendert

werden knnen. Dies umfasst die Festlegung von Berechtigungen fr das
Drucken, das Verwalten des Druckers und das Verwalten von Dokumenten. Zustzlich knnen spezielle Berechtigungen konfiguriert werden.
Die hier konfigurierten Sicherheitseinstellungen gelten auch fr die Nutzung des Druckers ber das Netzwerk.
Es gibt drei Ebenen von Druckerberechtigungen: Drucken, Dokumente verwalten und Drucker verwalten. Mit diesen drei Berechtigungsstufen sind
die folgenden Rechte verbunden:
Tabelle 9.1
Berechtigungsebenen fr die
Druckerverwaltung
Beinhaltet Berechtigung fr:
Drucken Dokumente
verwalten
Drucker
verwalten
Dokumente drucken
Ja
Ja
Ja
Herstellen der Verbindung zu

einem Netzwerkdrucker
Ja
Ja
Ja
Eigene Druckauftrge anhalten,

abbrechen, erneut planen
Ja
Ja
Ja
Alle Druckauftrge anhalten, abbrechen, erneut planen oder umleiten
Nein
Ja
Ja
Verwalten von Druckern (Freigeben

eines Druckers, ndern der Druckereigenschaften u.a.)
Nein
Nein
Ja
Standardmig besitzen alle Benutzer als Mitglieder der Gruppe Jeder die
Berechtigung Drucken. Administratoren verfgen ber die Berechtigung
Drucken, Drucker verwalten und Dokumente verwalten. Auerdem ermglicht die Standardberechtigung Dokumente verwalten fr die Gruppe Ersteller/Besitzer, dass Benutzer ihre eigenen Druckauftrge verwalten knnen.
Berechtigungen
zuweisen
Um den Zugriff auf einen Drucker einzuschrnken, mssen die Einstellungen der Druckerberechtigungen fr die ausgewhlte Gruppe oder einen
Benutzer gendert werden.
Wenn ein Benutzer Mitglied in mehreren Gruppen ist und einer
Gruppe der Zugriff auf den Drucker verweigert wird, berschreibt
diese Einstellung unter Verweigern die Einstellung unter Zulassen.
478

Abbildung 9.14
Konfiguration von
Druckerberechtigungen
Registerkarte Farbverwaltung Die Registerkarte Farbverwaltung ermg-
licht die Konfiguration von Farbprofilen. Windows 7 untersttzt wie

schon seine Vorgnger den ICC-Farbmanagementstandard und bietet mit
dem Image Color Management (ICM) eine Schnittstelle, die dabei hilft,
eine genaue und konsistente Farbdarstellung auf allen Ausgabegerten
sicherzustellen.
In der Regel unterscheidet sich die Farbausgabe zwischen Scannern, Bildschirmen, Druckern oder Anwendungen. Ohne ein Standard-Farbverwaltungssystem wrden die Ergebnisse hinsichtlich der Farbdarstellung
zwischen Programmen und der Ausgabe auf den verschiedenen Hardwarekomponenten sehr unterschiedlich ausfallen. Ein Farbverwaltungssystem hilft dabei, diese Schwierigkeiten zu umgehen, indem es standardisierte Farbprofile bereitstellt und die Erstellung zustzlicher Farbprofile
ermglicht.
Bei jedem Hinzufgen eines neuen Gerts zum Computer wird ein Farbpro- Farbprofile
fil installiert, das bei allen Scan-, Anzeige- oder Druckvorgngen fr Farben
verwendet wird. Farbprofile bermitteln die Farbeigenschaften eines Gerts
an das Farbverwaltungssystem. Die Farbverwaltung luft standardmig
automatisch ab, kann bei besonderen Anforderungen aber manuell konfiguriert werden, indem angegeben wird, welches Farbprofil fr einen Scanner,
Bildschirm oder Drucker verwendet wird. Hierfr stellt ICM eine Methode
zur Auswahl alternativer Profile bereit.
479

Abbildung 9.15
Konfiguration der
FarbmanagementEinstellungen in
den Druckereigenschaften
Weitere Registerkarten Bei einigen Druckermodellen werden weitere
Registerkarten verwendet. Abhngig vom verwendeten Drucker kann

beispielsweise eine Registerkarte zur Wartung von Tintenpatronen vorhanden sein.
Ein Doppelklick auf den gewnschten Drucker im Dialogfeld Gerte
und Drucker ffnet das nachstehend gezeigte Dialogfeld. Mithilfe der
hier verfgbaren Optionen knnen ebenfalls die zuvor beschriebenen
Registerkarten erreicht werden.
Abbildung 9.16
Verwaltungsdialogfeld eines ausgewhlten Druckers
480
9.3.2
Druckauftrge verwalten
Neben der Verwaltung von Druckern und Druckservern gehrt die Verwaltung der Dokumente in einer Druckerwarteschlange zu den wichtigsten Aufgaben im Druckerumfeld.
Sobald ein Druckauftrag abgeschickt ist, erscheint so lange ein kleines Dru- Druckerwarteckersymbol im Infobereich der Taskleiste, bis der Druckauftrag an den schlange verwalSpooler weitergeleitet wurde. Gibt es dabei Probleme, wird dem Symbol ten
ein rotes Fragezeichen hinzugefgt. Mit einem Doppelklick auf das Symbol
kann die Druckerwarteschlange geffnet werden. Alternativ kann die Druckerwarteschlange auch durch Auswahl von Gerte und Drucker im Startmen und Auswahl der Option Druckauftrge anzeigen geffnet werden.
Im Kontextmen jedes zu druckenden Dokuments befinden sich Optionen, mit denen der Druckvorgang fr das einzelne Dokumente angehalten, fortgesetzt oder abgebrochen werden kann. Zustzlich knnen im
Eigenschaftendialogfeld des Druckauftrags die Prioritt und dessen Zeitplan modifiziert werden. Andere Eigenschaften knnen zwar eingesehen,
aber nicht bearbeitet werden.
Abbildung 9.17
Optionen zur
Verwaltung eines in
der Druckerwarteschlange stehenden
Dokuments
Darber hinaus knnen druckerbezogene Aufgaben durchgefhrt werden. So ist es u.a. mglich, alle Druckauftrge gleichzeitig zu lschen oder
den Drucker als Standarddrucker festzulegen.
9.3.3
XPS-Datenaustauschformat
Die XML Paper Specification (XPS) ist ein plattformbergreifendes Daten- Was ist XPS?
austauschformat, das Microsoft als direktes Konkurrenzprodukt zum PDFDateiformat von Adobe platzieren mchte. XPS ist wie PDF eine Seitenbeschreibungssprache, die es erlaubt, alle fr das Erscheinungsbild eines
Dokumentes relevanten Komponenten in eine einzige Datei verpackt zu
transportieren. Dazu werden alle Komponenten des XPS-Dokuments, d.h.
die Inhalte Grafiken, Farbe und Schriftarten, getrennt in Form eines ZipArchivs verwaltet. Alle neuen Office-Formate sind nach demselben Prinzip
organisiert.
Aus diesem Grund gengt es, bei einem XPS-Dokument den Dateinamen
von .xps in .zip zu ndern, um direkten Zugriff auf alle Komponenten des
Dokumentes zu haben. Die im Dokument enthaltenen Bilder befinden sich
zum Beispiel im Verzeichnis Resources.
481

Abbildung 9.18
Inhalt einer
XPS-Datei
XPS-Dokumente erstellen
Bereits seit Windows Vista stellt Microsoft die Werkzeuge zur Erstellung
von XPS-Dokumenten kostenfrei zur Verfgung. So lassen sich XPS-Dokumente sehr einfach aus jeder Anwendung ber den mit Windows 7 mitgelieferten Druckertreiber oder direkt aus einer Office 2007-Anwendung mithilfe der Option Speichern unter erstellen.
XPS-Drucker
Der XPS-Drucker (auch als XPS-Dokument-Generator bezeichnet) wird

standardmig unter Windows 7 eingerichtet und steht wie jeder andere
Drucker in den Anwendungen zur Verfgung. Der Vorgang der Erstellung entspricht dem Drucken in eine Datei, es muss lediglich ein Speicherort angegeben werden.
XPS-Viewer
Zur Anzeige von XPS-Dokumenten ist ein XPS-Viewer erforderlich. Dieser arbeitet mit dem Internet Explorer zusammen und wird bei Windows
7 automatisch eingerichtet.
Abbildung 9.19
Der XPS-Drucker
ist bei Windows 7
standardmig
installiert.
Microsoft XPS
Essentials Pack
482
Bei Windows XP und Windows Server 2003 kann die XPS-Tauglichkeit

durch die Installation von .NET Framework 3.0 nachgerstet werden. Alternativ zu .NET Framework gibt es auch die Mglichkeit, mittels des Microsoft
XPS Essentials Packs nur die XPS-Funktionen nachzursten [XPS-VIEW].
Das Microsoft XPS Essentials Pack Version 1.1 untersttzt die Anzeige,
Erstellung und Indizierung von XLM-Dateien. Enthalten sind der XPSViewer zum Anzeigen von XPS-Dokumenten und der Microsoft XPS
Document Writer zum Erstellen von Dokumenten im XPS-Format. Die
Version 1.1 kann unter Windows XP, Windows Server 2003 und Windows
Vista installiert werden.
Abbildung 9.20
Beispieldokument
im XPS-Viewer von
Windows 7
Zwei Optionen innerhalb des Viewers verdienen besondere Aufmerksamkeit: Digitale Signaturen und Berechtigungen.
XPS-Dokumente digital signieren

Mithilfe einer digitalen Signatur wird die Integritt eines Dokuments sichergestellt und gewhrleistet, dass das Dokument nach dem Signieren nicht
gendert wurde. Zum digitalen Signieren eines Dokuments ist ein digitales
Zertifikat erforderlich.
9
Abbildung 9.21
Signieren eines
XPS-Dokuments
besttigen
483
Festlegen von Berechtigungen fr ein XPS-Dokument

Mittels der Option Berechtigungen im XPS-Viewer kann festgelegt werden,
wer ein XPS-Dokument anzeigen, drucken, kopieren oder digital signieren
kann. Um die Sicherheit zu verbessern, lsst sich zudem festlegen, wie
lange jede Person das Dokument anzeigen oder ndern kann.
Der XPS-Viewer wendet Dokumentberechtigungen mithilfe der WindowsTechnologie der Rechteverwaltungsdienste (RMS) an. RMS-basierte
Berechtigungen werden zusammen mit dem Dokument gespeichert und
sind immer wirksam, unabhngig davon, wo das Dokument gespeichert
oder angezeigt und fr wen es freigegeben wird. Zum Festlegen von
Berechtigungen fr ein XPS-Dokument muss zustzlich ein WindowsRechtekontozertifikat (RAC) auf den Computer heruntergeladen werden.
ber die Verwaltung von Informationsrechten (Information Rights Management: IRM) und die Mglichkeit zur Vergabe von Bearbeitungsrechten innerhalb des Dokuments kann der Ersteller eines solchen festlegen, ob andere
Benutzer es lesen, bearbeiten oder nur kommentieren drfen. Hierbei knnen auch einzelne Bereiche freigegeben und nur bestimmten Benutzern oder
Gruppen Rechte eingerumt werden. IRM basiert auf Zertifikaten, die entweder von einem Zertifikatserver oder vom Microsoft Passport-Dienst zur
Verfgung gestellt werden knnen.
9.3.4
Zentrale Druckerverwaltung mit der

Druckverwaltungskonsole
Bereits mit der in Windows Server 2003 R2 eingefhrten Print Management Console (PMC) hat Microsoft ein Management-Konsolen-Snap-in fr
die zentrale Verwaltung von Druckern und Druckservern eingefhrt. In
Windows 7 ist diese Konsole unter dem Namen Druckverwaltung zu finden.
Die erforderlichen administrativen Berechtigungen vorausgesetzt, knnen mit der Druckverwaltung alle Druckserver und Drucker von zentraler Stelle aus verwaltet werden. Die Konsole bietet Zugriff auf alle installierten Drucker, die auf Druckservern mit Windows 2000 oder hher
ausgefhrt werden.
Zentrale Verwaltung aller
Druckserver
484
Administratoren knnen damit u.a. zentral neue Drucker und Druckertreiber hinzufgen und vorhandene Drucker lschen. Neue Drucker knnen
unter Verwendung der automatischen Erkennungsfunktion von entfernten
Systemen aus installiert werden. Diese Funktion ermittelt Drucker im lokalen Subnetz und installiert Drucker auf dem lokalen Druckserver. Wenn ein
Druckermodell ein Webinterface zur Verwaltung zur Verfgung stellt, knnen erweiterte Informationen zur Fehlerbehebung bereitgestellt und Fehler
eingegrenzt werden.

Abbildung 9.22
Die Konsole Druckverwaltung ermglicht die zentrale
Verwaltung von
Druckservern,
Druckern und
Druckauftrgen.
Druckserver verwalten
Standardmig wird der lokale Rechner als Druckserver eingefgt, weitere
knnen jederzeit der Druckverwaltungskonsole mithilfe der Option Server
hinzuzufgen/entfernen im Kontextmen zum Eintrag Druckverwaltung hinzugefgt werden.
Jedem Druckserver werden automatisch vier Objekte zugeteilt, die als
Filter fr Informationen ber den Drucker dienen:
Treiber
Formulare
Anschlsse
Drucker
Alternativ knnen zur Verwaltung von Treibern, Formularen und Anschlssen, wie auch bei den Vorgngerversionen, die jeweiligen Registerkarten im
Eigenschaftendialogfeld des Druckservers verwendet werden.
Abbildung 9.23
Druckserver verwalten
485
Anpassungen sind vor allem bei auftretenden Problemen erforderlich.

Hierbei zhlen Probleme mit der Spooldatei oder mit der Formularverwaltung zu den hufigsten. In vielen dieser Flle knnen nderungen in
der Konfiguration des Druckservers helfen.
Registerkarte Formulare Auf der Registerkarte Formulare befinden sich
alle Papierformate, die der Druckserver generell ber seine freigegebenen
Drucker anbieten kann. Zu den standardmig vorhandenen Formularen
knnen mithilfe der Option Neues Formular eigene Formulare definiert
werden, die dann von den Benutzern des freigegebenen Druckers im
Netzwerk verwendet werden knnen. Dabei besteht die Mglichkeit,
nicht nur die Papiergre, sondern auch den bedruckbaren Bereich festzulegen. Wegen dieser Mglichkeit der Angabe eines nicht bedruckbaren
Randes (neben der eigentlichen Bogengre) werden diese Papierformate
als Formulare bezeichnet.
Abbildung 9.24
Erstellung eines
neuen Formulars in
den DruckserverEigenschaften
Registerkarte Anschlsse Die Registerkarte Anschlsse ermglicht die zen-
trale Verwaltung aller verfgbaren Anschlsse. Neben der Verwaltung der

lokalen Schnittstellen eignet sich dieses Dialogfeld vor allem zum Einrichten weiterer Netzwerkverbindungen, wie beispielsweise Ports zu TCP/IPDruckern. Hier knnen sowohl neue Anschlussports hinzugefgt als auch
vorhandene gelscht werden.
486

Abbildung 9.25
Verwaltung von
Anschlssen in den
Druckserver-Eigenschaften
Registerkarte Treiber Auf der Registerkarte Treiber werden alle Treiber
aufgelistet, die bislang auf dem Rechner installiert wurden, auch wenn
der zugehrige logische Drucker im Netzwerk wieder gelscht wurde.
Dabei werden neben dem Druckermodell und dem Typ auch verschiedene Treiber fr unterschiedliche Windows-Versionen angeboten, falls
ltere Rechner auch auf den Druckserver zugreifen.
Abbildung 9.26
Verwaltung installierter Druckertreiber in den
Druckserver-Eigenschaften
487
Hilfreich ist diese Funktion, um Treiber zu lschen, die nicht richtig funktionieren oder fehlerhaft installiert wurden, zumal mit dieser Funktion
auch die Treiberpakete aus dem Driver Store entfernt werden knnen
(ausfhrliche Erluterungen zum Treiberspeicher finden Sie in Kapitel 3).
Leider werden nmlich Drucker im Gerte-Manager nicht angezeigt,
sodass die Deinstallation der Treiberdateien dort nicht mglich ist.
Registerkarte Erweiterte Optionen Einige wichtige Funktionen befinden
sich auf der Registerkarte Erweiterte Optionen. So kann hier beispielsweise

der Speicherort fr die Spooldatei festgelegt werden. Die Druckdaten werden ber den Druckspooler in Spooldateien standardmig im Verzeichnis
%Systemroot%\system32\Spool\Printers zwischengespeichert.
Auerdem kann festgelegt werden, welche Vorgnge protokolliert werden, ob bei Fehlern von Remoteauftrgen ein Signalton ausgegeben und
ob Benachrichtigungen ber das Beenden eines Druckauftrags fr lokale
und/oder Netzwerkdrucker angezeigt werden sollen. Die erste Option
Informative Benachrichtigungen fr lokale Drucker anzeigen zeigt ein Hinweisfenster am Bildschirm des Druckservers, die zweite Option, Informative Benachrichtigungen fr Netzwerkdrucker anzeigen, zeigt ein Hinweisfenster am Bildschirm des Clients, der den Druckauftrag abgegeben hat.
Abbildung 9.27
Verwaltung der
Spooldatei in den
DruckserverEigenschaften
Drucker und Druckauftrge verwalten

Nachdem die Mglichkeiten zur Verwaltung von Druckern und Druckauftrgen bereits in Abschnitt 9.3.1 (ab Seite 475) sowie in Abschnitt 9.3.2 (ab
Seite 481) vorgestellt wurden, werden an dieser Stelle ausschlielich die
ergnzenden Mglichkeiten der Druckverwaltungs-Konsole vorgestellt.
In der Struktur der Druckverwaltung gibt es drei Positionen, an denen Informationen zu Druckern gespeichert werden: Benutzerdefinierte Filter, Druckserver und Bereitgestellte Drucker.
488
ber die Kontextmens der Drucker kann auf alle Verwaltungsfunktionen zugegriffen werden. So lassen sich beispielsweise Drucker zur Verffentlichung in Active Directory hinzufgen bzw. entfernen und Drucker
freigeben.
Abbildung 9.28
Druckerverwaltungsoptionen im
Kontextmen zum
Drucker
Mithilfe des Befehls Aktion/Erweiterte Ansicht einblenden knnen zustz- Druckauftrge

lich im unteren Bereich des Fensters bei einem Drucker die jeweils aktuel- verwalten
len Druckauftrge verwaltet werden.
Abbildung 9.29
In der erweiterten
Ansicht knnen
auch Druckauftrge
verwaltet werden.
9
Hervorzuheben sind die Filterfunktionen. Damit knnen benutzerdefi- Benutzerdefinierte Ansichten fr Drucker und Treiber erstellt werden. Insbesondere nierte Filter
wenn sehr viele Drucker zu verwalten sind, ist die Verwendung von gefil- definieren
terten Anzeigen hilfreich.
So ist es beispielsweise mglich, Drucker mit bestimmten Fehlerzustnden oder Drucker in ausgewhlten Gebuden unabhngig vom verwendeten Druckserver herauszufiltern. Alle Ansichten sind dynamisch, d.h.,
die Daten sind immer aktuell.
489
Mit der Druckverwaltung werden einige Standardfilter zur Verfgung

gestellt: Alle Drucker, Alle Treiber, Drucker mit Auftrgen und Drucker nicht
bereit.
Abbildung 9.30
Standardmig
vorhandene Filter
Zustzlich knnen eigene Filter definiert werden. Um eine gefilterte Ansicht

einzurichten, whlen Sie im Kontextmen von Benutzerdefinierter Filter entweder die Option Neue Druckerfilter hinzufgen oder Neue Treiberfilter hinzufgen. Im entsprechenden Assistenten mssen Sie im ersten Schritt einen
Namen fr den Filter eingeben. Im nchsten Schritt sind die Filterkriterien
festzulegen.
Fr jeden Filter, den Sie erstellen, knnen Sie festlegen, dass bei Erfllen
der Filterkriterien eine E-Mail-Benachrichtigung gesendet oder ein Skript
ausgefhrt wird. Dies ist hilfreich, wenn Sie ber Druckerprobleme
benachrichtigt werden mchten, insbesondere in einer Organisation mit
mehreren Gebuden und Administratoren. Zum Weiterleiten der Nachricht muss ein SMTP-Server angegeben werden. Sie knnen damit beispielsweise eine Ansicht fr alle Drucker einrichten, die von einem
bestimmten Druckserver verwaltet werden und deren Druckstatus Nicht
bereit lautet. Wenn der Status eines Druckers von Bereit zu einem anderen
Status wechselt, knnte der Administrator in diesem Fall eine Benachrichtigungs-E-Mail von der Druckverwaltung erhalten.
Abbildung 9.31
Konfiguration
benutzerdefinierter
Filter
490
Drucker mit Gruppenrichtlinien bereitstellen

Neben grundlegenden Druckermanagement-Funktionen bietet die Konsole die Mglichkeit festzulegen, welche Drucker ber Gruppenrichtlinien
fr Benutzer oder Computer bereitgestellt werden. Damit ist es mglich,
zentral zu steuern, welche Drucker auf welchen Clientsystemen eingerichtet werden drfen.
Mithilfe der Option Mit Gruppenrichtlinie bereitstellen im Kontextmen der Vorgehensweise
jeweiligen Drucker kann einem vorhandenen Gruppenrichtlinienobjekt in
Active Directory eine Druckerverbindungseinstellung hinzugefgt werden. Bevor Sie Drucker mithilfe der Gruppenrichtlinie installieren knnen,
muss fr die Druckerverbindungseinstellungen ein Gruppenrichtlinienobjekt vorhanden sein, das den entsprechenden Benutzern und Computern
zugewiesen wurde. Um das Gruppenrichtlinienobjekt zum Verwalten von
Druckern verwenden zu knnen, bentigen Sie Schreibzugriff auf das
Objekt. Zum Erstellen eines Gruppenrichtlinienobjekts knnen Sie den
Editor fr lokale Gruppenrichtlinien oder das Snap-in Active DirectoryBenutzer und -Computer bzw. die Gruppenrichtlinienverwaltungskonsole
(GPMC) verwenden.
Um einem Gruppenrichtlinienobjekt die Druckerverbindungseinstellung
zuzuweisen, fhren Sie einen oder beide der folgenden Schritte aus:
Aktivieren Sie fr eine Einzelbenutzereinstellung das Kontrollkstchen Die Benutzer, auf die dieses Gruppenrichtlinienobjekt angewendet
wird (pro Benutzer).
Aktivieren Sie fr eine Einzelcomputereinstellung das Kontrollkstchen Die Computer, auf die dieses Gruppenrichtlinienobjekt angewendet
wird (pro Computer).
Abbildung 9.32
Drucker mithilfe
von Gruppenrichtlinien bereitstellen
491
Zu beachten ist, dass ein Drucker, der mithilfe einer benutzerspezifischen

Verbindung installiert wurde, fr diesen Benutzer immer verfgbar ist,
unabhngig davon, auf welchem Computer innerhalb des Netzwerks er
sich anmeldet. Eine Druckerverbindung, die mit einer computerspezifischen Verbindung installiert wurde, wird hingegen im Druckerordner
angezeigt und kann von allen Benutzern dieses Computers verwendet
werden. Auf Computern unter Windows 2000 werden nur Druckerverbindungen fr Benutzer untersttzt. Fr Computerdruckerverbindungen
ist eine Version von Windows XP bzw. Windows Server 2003 oder hher
erforderlich.
Wenn die Verarbeitung der Gruppenrichtlinien auf Client-Computern ausgefhrt wird, werden die Druckerverbindungseinstellungen auf die mit
dem Gruppenrichtlinienobjekt verknpften Benutzer bzw. Computer angewendet. Die so bereitgestellten Drucker werden in der Druckverwaltung
unter Bereitgestellte Drucker angezeigt, wenn der mit ihnen verbundene
Druckserver berwacht wird.
Die Funktion zur Bereitstellung von Druckern mittels Gruppenrichtlinien verwendet das Dienstprogramm PushPrinterConnections.exe. Dieses liest die im Gruppenrichtlinienobjekt vorgenommenen Druckerverbindungseinstellungen und fgt den Benutzern bzw. Computern, auf
die das Gruppenrichtlinienobjekt angewendet wird, die bereitgestellten
Druckerverbindungen hinzu. Computer unter Windows 7 und Windows Server 2008 verfgen ber eine integrierte Untersttzung fr ber
Gruppenrichtlinien bereitgestellte Druckerverbindungen. Auf Computern, auf denen eine frhere Windows-Version ausgefhrt wird, muss in
einem Startskript (bei computerabhngigen Verbindungen) oder in
einem Anmeldeskript (bei benutzerabhngigen Verbindungen) das Tool
PushPrinterConnections.exe ausgefhrt werden.
9.4
Die Faxfunktionen von

Windows 7
Mit Windows-Fax und -Scan bringt Windows 7 ein Programm mit, das alle
erforderlichen Funktionen zum Faxen und Scannen in einer Benutzerschnittstelle vereinigt.
Windows-Fax und -Scan ist nach einer Standardinstallation von Windows 7
im Startmen unter Alle Programme zu finden. Am einfachsten kann das
Programm durch Eingabe von Fax im Suchfeld des Startmens aufgerufen
werden. Nach dem Start prsentiert sich das Programm mit der nachstehend gezeigten Begrungsseite.
492

Abbildung 9.33
Begrungsseite
von Windows-Fax
und -Scan
9.4.1
Konfiguration der Faxfunktion
Grundstzlich ist das Versenden und Empfangen von Faxnachrichten auf

zwei Wegen mglich, die beide von Windows 7 untersttzt werden:
ber einen Faxserver im Netzwerk
ber ein lokales Faxmodem
Bei einem Faxserver handelt es sich um einen Rechner mit entsprechender
Hardware fr den Anschluss an das Telefonnetz und einer entsprechenden
Software (zum Beispiel einem Unified-Messaging-Programm) fr den Versand bzw. den Empfang von Faxen. Im einfachsten Fall wird ein spezieller
Druckertreiber eingerichtet, der es aus jeder beliebigen Anwendung (aus
der gedruckt werden kann) ermglicht, Faxe zu versenden.
Alternativ kann ein analoges internes bzw. extern angeschlossenes Modem
verwendet werden. Verfgt der Computer ber ein integriertes Faxmodem,
wird es von Windows automatisch whrend der Einrichtung erkannt. Wird
ein ISDN-Modem verwendet, muss dieses in der Lage sein, mithilfe eines
entsprechenden CAPI-Port-Treibers ein Modem zu emulieren. CAPI (Common ISDN Application Programming Interface) ist eine standardisierte
Schnittstelle, mit deren Hilfe ein Computer Zugriff auf ISDN-Hardware
bereitstellen kann, ohne dass Kenntnisse der eingesetzten, herstellerspezifischen ISDN-Karte notwendig sind.
Telefon- und Modemoptionen konfigurieren

Bevor mit Windows-Fax und -Scan Faxe versendet bzw. empfangen werden
knnen, mssen die Telefon- und Modemoptionen mithilfe der gleichnamigen Option im Systemsteuerungsbereich Hardware und Sound konfiguriert
werden. Das nachfolgend dargestellte Dialogfeld wird geffnet, nachdem
mindestens die Ortskennzahl eingetragen wurde.
493

Abbildung 9.34
Konfigurationsmglichkeiten fr
Telefon- und
Modemoptionen
Hier knnen zum einen die Whlregeln angepasst werden, wozu auch
die Auswahl des Whlverfahrens (Ton- oder Impulswahl) zhlt.
TAPI-Anbieter
konfigurieren
Zum anderen knnen die Einstellungen der auf der Registerkarte Erweitert
aufgefhrten Telefonanbieter angepasst oder neue TAPI-Anbieter hinzugefgt werden. TAPI (Telephony Application Programming Interface) ist eine
Schnittstelle, die Anwendern die Nutzung von Modems oder ISDN ermglicht.
Faxkonten einrichten
Nachdem die erforderliche Hardware eingerichtet wurde, muss in der
Anwendung Windows-Fax und -Scan mindestens ein Faxkonto fr den
jeweils angemeldeten Benutzer eingerichtet werden.
Am einfachsten ist es, hierfr den Anweisungen im Begrungsfenster zu
folgen und die Option Neues Fax zu whlen. Wird diese Option das erste Mal
gewhlt, startet automatisch der Fax-Setup-Assistent, der die Einrichtung
eines neuen Faxkontos untersttzt. Die Einrichtung weiterer Faxkonten ist
spter jederzeit mithilfe der Option Faxkonten im Men Extras mglich.
Im Assistenten ist zunchst auszuwhlen, ob ein Faxmodem oder ein
Faxserver verwendet wird.
Wurde bereits ein Faxkonto mit einer Verbindung eingerichtet, ist die
erste Option nicht whlbar. Dies ist darin begrndet, dass eine Verbindung nur zu einem lokalen Faxmodem, nicht aber zu mehreren Faxservern oder -gerten in einem Netzwerk hergestellt werden kann.
Im nchsten Schritt ist ein Name fr das Faxkonto zu vergeben. Anschlieend kann festgelegt werden, ob mit diesem Konto auch Faxe empfangen
werden sollen und wie die Benachrichtigung erfolgen soll.
494

Abbildung 9.35
Auswahl der
Faxverbindung im
Fax-Setup-Assistenten
Abbildung 9.36
Einrichtung eines
Faxkontos fr den
Faxempfang
Zur Einrichtung der beiden ersten Optionen sind Administratorrechte erforderlich, da diese die Faxeinstellungen ndern, die global fr alle Benutzer
gelten. Standardbenutzer ohne entsprechende Rechte mssen daher zwingend die Option Spter auswhlen; Fax jetzt erstellen auswhlen. Hiermit wird
der Computer nur fr den Faxversand eingerichtet, d.h., es knnen Faxe
gesendet, aber nicht empfangen werden, solange der Computer nicht von
einem Administrator auch fr den Faxempfang konfiguriert wurde. Eingerichtete Faxkonten knnen jederzeit mit der Option Faxkonten im Men
Extras angezeigt, bearbeitet und gelscht werden.
9
Abbildung 9.37
Einrichtung eines
Faxkontos fr den
Faxempfang
495
Faxeinstellungen anpassen
Im Men Extras der Faxkonsole von Windows-Fax und -Scan ist die Option
Faxeinstellungen zu finden, die eine Anpassung der global fr alle geltenden Faxeinstellungen ermglicht und daher administrative Rechte erfordert. Auerdem kann hier der Rechner auch fr den Faxempfang konfiguriert werden, sofern dies nicht bereits whrend der Einrichtung des
Faxkontos geschehen ist.
Abbildung 9.38
Faxeinstellungen
anpassen in der
Faxkonsole von
Windows-Fax und
-Scan
Registerkarte Allgemein
Sind mehrere Modemgerte angeschlossen, kann hier ausgewhlt

werden, mit welchem Modem Faxe gesendet werden sollen.
Hier kann auerdem das Senden und/oder der Empfang von Faxen
aktiviert werden. Fr den Empfang ist anzugeben, ob der Faxanruf
manuell oder automatisch entgegengenommen wird.
Registerkarte Nachverfolgung
ber die Registerkarte Nachverfolgung kann eingestellt werden, fr
welche Faxereignisse Benachrichtigungen auf dem Bildschirm ausgegeben werden sollen:
Fortschritt beim Senden oder Empfangen von Faxen
Erfolg oder Fehler bei ein- und ausgehenden Faxen
Hier kann auch festgelegt werden, wann der Faxmonitor automatisch
eingeblendet wird (beim Senden und/oder beim Empfangen von
Faxen). Zustzlich knnen akustische Benachrichtigungen aktiviert
oder deaktiviert werden.
Registerkarte Erweitert
Auf dieser Registerkarte kann u.a. der Speicherort fr eingehende
und fr verschickte Faxe festgelegt werden. Standardmig erfolgt
die Ablage in den folgenden Ordnern:
496
Eingehende Faxe: C:\ProgramData\Microsoft\Windows NT\MSFax\

Inbox
Ausgehende Faxe: C:\ProgramData\Microsoft\Windows NT\MSFax\
SentItems
Registerkarte Sicherheit
Die Registerkarte Sicherheit ermglicht es, Berechtigungen fr das Versenden von Faxen sowie fr die Verwaltung von Faxdokumenten und
der Konfiguration vorzunehmen. Standardmig drfen lokal angemeldete Benutzer, d.h. Mitglieder der Gruppe INTERAKTIV, Faxe senden und empfangen. Die Faxkonfiguration ndern und Faxdokumente
verwalten drfen nur Administratoren.
Abbildung 9.39
Sicherheitseinstellungen fr die
Faxfunktion
9.4.2
Faxe versenden und empfangen
Einfache Faxe, die nur aus einem Deckblatt bestehen, knnen direkt in
der Faxkonsole von Windows-Fax und -Scan erstellt und versendet werden. Dokumente, die beispielsweise in Word oder Excel erstellt wurden,
knnen auch aus der jeweiligen Anwendung heraus verschickt werden.
Im zweiten Fall erscheint das Dokument als beigefgte Datei.
In beiden Fllen ffnet sich das nachstehend gezeigte Dialogfeld zum Fax senden
Senden von Faxen. Hier sind die folgenden Informationen festzulegen:
Geben Sie den bzw. die Empfnger und die Faxnummer des bzw. der
Empfnger ein.
Sie knnen an dieser Stelle auf Ihr Outlook-Adressbuch zugreifen. Falls
das Adressbuch Faxnummern enthlt, knnen Sie mit der Schaltflche
Adressbuch daraus die gewnschten Adressen auswhlen.
497

Legen Sie fest, ob ein Deckblatt verwendet werden soll. In der Auswahl-
liste Deckblatt erscheinen vier vorgefertigte Deckbltter sowie gegebenenfalls weitere selbst gestaltete Deckbltter zur Auswahl.
Geben Sie eine Betreffzeile an.
Fgen Sie ggf. ein Dokument, ein Bild oder ein eingescanntes Dokument ein.
Unter Optionen knnen Sie u.a. festlegen, ob das Fax sofort oder zu
einer bestimmten Zeit, in der verbilligte Tarife gelten, verschickt werden soll, und eine bermittlungsbesttigung anfordern.
Abbildung 9.40
Festlegen der Optionen fr den
Faxversand
Faxe empfangen
Nach Auswahl von Senden zeigt der Faxmonitor Informationen ber den
Stand des Versands auf dem Bildschirm an.
Die Art des Faxempfangs hngt davon ab, ob der Computer an einen Faxserver oder an ein Faxmodem angeschlossen ist. Besteht eine Verbindung
zu einem Faxserver, sind lokal keine weiteren Einstellungen erforderlich.
Bei jeder Verbindungsherstellung zum Netzwerk werden neue Faxnachrichten automatisch an den Posteingang von Windows-Fax und -Scan bermittelt.
Bei Verwendung eines integrierten oder externen Faxmodems muss die Art
des Faxempfangs in den Faxeinstellungen festgelegt werden. Eingehende
Faxe werden standardmig im Posteingang von Windows-Fax und -Scan
gespeichert. Wurde der Computer fr den Faxempfang eingerichtet, benachrichtigt Windows ber eingehende Anrufe. Werden Faxnachrichten nicht
automatisch empfangen, muss der Empfang manuell besttigt werden.
498
10
Virtuelle
Netzwerke
Oftmals hat man das Problem, dass sich ein System nicht direkt ber das
Internet mit dem gewnschten Netzwerk verbinden kann oder sich zwar
verbinden knnte, aber der Weg dahin ber viele ungesicherte oder ungeeignete Stationen erfolgen wrde. An dieser Stelle kommen Virtuelle Netzwerke ins Spiel. Dies sind allgemein gesehen Netzwerke, die ihren Datenverkehr ber ein anderes Netzwerk hindurch transportieren, sodass dieses
uere Netzwerk den Datenverkehr im inneren Netzwerk nicht mitverfolgen oder stren kann.
10.1 Ein fast virtuelles Netzwerk

Auch wenn diese Lsung in der heutigen Zeit eher altmodisch wirkt, ist
es auch mit Windows 7 immer noch mglich, eine direkte Whlverbindung
zu einem Netzwerk einzurichten, das fr diesen Zweck etwa eine Rufnummer mit einem analogen Modem oder einer ISDN-Karte vorsieht.
499
Kapitel 10 Virtuelle Netzwerke

Abbildung 10.1
Whlverbindung
zum Firmennetzwerk
Technik des
vorigen
Jahrtausends
Derartige Verbindungen erfllen natrlich die heutigen Anforderungen an

Bandbreite nicht mehr. Es sind aber Einsatzzwecke denkbar, etwa bei
ansonsten hermetisch abgeschotteten Netzwerken, bei denen ein derartiger
direkter Zugang zu Wartungszwecken eingerichtet werden kann. Sobald
eine solche Verbindung eingerichtet wurde, steht sie auch im Netzwerkund Freigabecenter unter dem Punkt Verbindung mit einem Netzwerk herstellen zur Verfgung, sofern denn die bentigte Hardware einsatzbereit wre.
Abbildung 10.2
Whlverbindung
ohne Modem?
Die derart eingerichteten Verbindungen knnen ber die Funktion Netzwerkverbindungen anzeigen bearbeitet beziehungsweise gelscht werden.
500
IPv6-Tunneltechniken
10.2 IPv6-Tunneltechniken
Die Entwicklung von IPv6 wird zum groen Teil dadurch gebremst, dass
keine IPv6-Anschlsse von den Internetprovidern zur Verfgung gestellt
werden. Um dieses Problem zu umgehen und generell die Koexistenz
zwischen IPv4 und IPv6 zu ermglichen, hat man Tunneltechniken entwickelt, mit denen IPv6-Daten durch ein IPv4-basiertes Netzwerk bertragen werden knnen.
IPv6-Paket
IPv6 Header
IPv4 Header
Extension Header
Abbildung 10.3
IPv6 in IPv4
IPv6-Daten
IPv4-Daten
IPv4-Paket
Das IPv4-Paket wird hierbei zwischen den Endpunkten des Tunnels verschickt. Auf der Strecke dazwischen ist nichts ber seinen Inhalt bekannt.
Am jeweiligen Endpunkt des Tunnels, der sowohl eine IPv4- als auch eine
IPv6-Adresse hat, wird der Rahmen um das IPv6-Paket herum entfernt und
das somit erhaltene IPv6-Paket weitergeleitet, in der weiteren Kette ist dann
nicht mehr ersichtlich, dass das Paket ursprnglich mal in einem IPv4-Paket
enthalten war. Diese Tunneltechniken sind in [RFC2893] beschrieben:
Router-zu-Router Zwei Teilnetze auf IPv6-Basis werden jeweils ber
zwei IPv4-Adressen gekoppelt.
Host-zu-Router oder Router-zu-Host Ein einzelner Host auf IPv6Basis und ein Teilnetz auf IPv6-Basis werden miteinander verbunden.
Das Netzwerk zwischen den beiden versteht nur IPv4.
Host-zu-Host Zwei Systeme, die eigentlich im IPv4-Netzwerk stehen,
sollen trotzdem untereinander mit IPv6 kommunizieren knnen
Diese Tunnel knnen entweder manuell konfiguriert werden oder automatisch entstehen. Beispiele fr diese automatischen Tunnel, bei denen die
jeweiligen Endpunkte automatisch festgelegt werden, sind ISATAP, 6to4
und Teredo. Ein Protokoll fr einen statischen Tunnel ist zum Beispiel 6in4.
10
501
10.3 Statische Tunnel mit 6in4

Ein statischer Tunnel zeichnet sich dadurch aus, dass die beteiligten IPAdressen und hierbei insbesondere die IPv6-Adressen statisch sind. Demzufolge kann man einen derartigen Tunnel auch verwenden, um auf einem
derartigen System einen IPv6-basierten Server zu betreiben. Fr einen derartigen Tunnel bentigt man im Prinzip zwei Internetprovider: einen, der
die Verbindung ins IPv4 herstellt, und einen, der darber dann die Verbindung ins IPv6 herstellt. Den ersten wird man gewhnlich bereits haben,
den zweiten bekommt man heutzutage netterweise auch kostenlos. Im Folgenden zeigen wir den Aufbau eines 6in4-Tunnels (siehe [RFC4213]) mithilfe des IPv6-Providers Hurricane Electric.
Rufen Sie zunchst die Adresse [TUNNEL] auf, und registrieren Sie sich.
Die Zugangsdaten bekommen Sie per E-Mail an die angegebene Adresse
gesendet. Nachdem Sie die Besttigungsmail erhalten haben, knnen Sie
sich auf der Seite anmelden und dann am linken Rand ber den Link Create
Regular Tunnel den gewnschten Tunnel erstellen.
Abbildung 10.4
Wo soll der
Tunnel enden?
Als Erstes mssen Sie den IPv4-Endpunkt des Tunnels auf Ihrer Seite angeben. Insbesondere wenn Sie sich hinter einem NAT-Router befinden, haben
Sie eventuell Probleme herauszufinden, welches Ihre ffentliche IP-Adresse
ist. Die Seite zeigt Ihnen allerdings an, von welcher IP-Adresse aus Sie sich
aktuell mit dem Server verbinden. Kopieren Sie also einfach diese IP-Adresse
in das jeweilige Feld. In dem Feld darunter wurde bereits der netztopologisch gnstigste andere Endpunkt des Tunnels ausgewhlt. Diesen Wert sollten Sie nach Mglichkeit nicht verndern. Klicken Sie dann auf Submit.
Gehen Sie nun zurck zur Hauptseite (Main Page). Am Ende der Seite finden Sie eine Auflistung aller von Ihnen definierten Tunnel.
502
Statische Tunnel mit 6in4

Abbildung 10.5
Definierte
IPv6-Tunnel
Die angezeigten Namen der Tunnel sind gleichzeitig die FQDN der Ihnen
nun zugeteilten IPv6-Adressen:
>nslookup jochenmuenchen-1.tunnel.tserv6.fra1.ipv6.he.net
Name:
jochenmuenchen-1.tunnel.tserv6.fra1.ipv6.he.net
Address: 2001:470:1f0a:a4d::1
10.3.1
Lokales System und NAT-Router

konfigurieren
Klicken Sie nun auf den Link zum Tunnel am Ende der Seite, und Sie sehen
die Konfigurationsparameter des Tunnels. Am Ende der Seite sehen Sie
eine Schaltflche Show Config, mit der Sie sich fr verschiedene Betriebssysteme Beispielkonfigurationen anzeigen lassen knnen. Whlen Sie hier
Windows Vista/2008 aus, und Sie erhalten folgende Zeilen:
netsh interface ipv6 add v6v4tunnel IP6Tunnel
78.53.231.151 216.66.80.30
netsh interface ipv6 add address IP6Tunnel 2001:470:1f0a:a4d::2
netsh interface ipv6 add route ::/0 IP6Tunnel 2001:470:1f0a:a4d::1
Mit diesen Zeilen knnen Sie allerdings nicht direkt arbeiten, da diese
Befehle davon ausgehen, dass das System selbst die IP-Adresse 78.53.231.151
besitzt. An dieser Stelle mssen Sie die lokale IP-Adresse des Systems (hier
192.168.0.99) einsetzen.
Die erste Zeile erzeugt einen neuen IPv6-IPv4-Tunnel und legt die beiden Endpunkte des Tunnels fest. Der Name lautet IP6Tunnel.
Die zweite Zeile vergibt die IPv6-Adresse fr das lokale System.
Die dritte Zeile legt fr den kompletten IPv6-Bereich das Standardgateway fest.
10
503
Mit ipconfig sieht man den Erfolg der Befehle:

Tunneladapter IP6Tunnel:
IPv6-Adresse. . . . . . . . . . . :
Standardgateway . . . . . . . . . :
rid.local
2001:470:1f0a:a4d::2
fe80::2c71:f16e:8317:2735%29
2001:470:1f0a:a4d::1
Nun wei zwar das lokale System, wie es mit IPv6 umgehen soll, aber die
Konfiguration auf dem Router fehlt noch. Die Pakete werden im Tunnel
in Form von IPv4-Paketen mit der Protokollnummer 41 bertragen. Auf
dem Router muss also fr dieses Protokoll eine Weiterleitung eingetragen
werden, hier beispielhaft gezeigt an einem Router von D-Link:
Abbildung 10.6
Portweiterleitung
im NAT-Router
Die IPv6-Verbindung kann man neben bekannten Adressen wie http://

ipv6.google.com oder http://www.six.heise.de auch mit einem von Tunnelbroker angebotenen IPv6-Portscan berprfen. Der Link hierzu findet sich in
der linken Leiste der Seite.
Listing 10.1
IPv6-Portscan
Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-23 02:40 PST

Interesting ports on jochenmuenchen-1-pt.tunnel.
tserv6.fra1.ipv6.he.net (2001:470:1f0a:a4d::2):
Not shown: 997 filtered ports
PORT
STATE SERVICE
23/tcp open telnet
515/tcp open printer
3389/tcp open ms-term-serv
Nmap done: 1 IP address (1 host up) scanned in 13.43 seconds
Die drei als offen angezeigten Dienste sind der Telnet-Server, der LPRDruckserver und der Remotedesktop, fr die entsprechende Ausnahmen in
der Firewall existieren.
Probleme beim statischen Tunnel

Ein Problem gibt es allerdings. Bedingt durch die IPv4-Anbindung ist natrlich der lokale Endpunkt des Tunnels nicht statisch, sondern wechselt bei
jeder neuen Verbindung des NAT-Routers seine Adresse. Dies muss dann
der Tunnelkonfiguration entsprechend mitgeteilt werden. Zum Glck lsst
sich dieser Prozess automatisieren.
504
Dynamische Tunnel
REM https://ipv4.tunnelbroker.net/ipv4_end.php?ipv4b=$IPV4ADDR&
pass=$MD5PASS&user_id=$USERID&tunnel_id=$GTUNID
rem $IPV4ADDR = The new IPv4 Endpoint (AUTO to use the
requesting client's IP address)
set IPV4ADDR=AUTO
Listing 10.2
Batchdatei zum
Setzen der Tunnelparameter
rem $MD5PASS = The MD5 Hash of your password

set MD5PASS=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
rem $USERID = The UserID from the main page of the tunnelbroker
(not your username)
set USERID=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
rem $GTUNID = The Global Tunnel ID from the tunnel_details page
set GTUNID=XXXXX
wget --no-check-certificate "https://ipv4.tunnelbroker.net/
ipv4_end.php?ipv4b=%IPV4ADDR%&pass=%MD5PASS%&
user_id=%USERID%&tunnel_id=%GTUNID%"
Die Batchdatei aus Listing 10.2 mssen Sie mit den fr Ihren Tunnel glti- Automatisches
gen Parametern versehen. Der Wert AUTO fr IPV4ADDR gibt an, dass Tunnelbohren
die Adresse als Tunnelendpunkt konfiguriert werden soll, von der der
Zugriff erfolgt, die Werte von USERID und GTUNID knnen Sie direkt
aus der Tunnelkonfigurationsseite ablesen. Der Wert MD5PASS ist das
Kennwort, das Ihnen anfnglich per E-Mail zugesendet wurde, allerdings
in einem MD5-Hash umgewandelt. Es gibt im Netz eine ganze Reihe von
Seiten, bei denen Sie online diesen Wert berechnen lassen knnen. Das
Programm wget.exe ist ebenfalls im Internet zu finden.
10.4 Dynamische Tunnel

Dynamische Tunnel zeichnen sich dadurch aus, dass die verwendeten
Adressen nicht vorab festgelegt werden. Insbesondere die IPv6-Adressen
der beteiligten Systeme sind hierbei nicht fest einem bestimmten System
zuzuordnen. Dies schrnkt natrlich die Verwendung dieser Tunneltechniken fr IPv6-basierte Serversysteme erheblich ein.
10.4.1
ISATAP
ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) beschreibt ein Verfahren, mit dem Systeme automatisch aus ihrer IPv4-Adresse eine IPv6Adresse generieren und zudem automatisch eigenstndige IPv6-Teilnetze
ber das IPv4-Netzwerk adressieren knnen. Die Definition des Protokolls
findet sich in [RFC4214].
10
505

Adressen
aufpumpen
Die Systeme, die dieses Protokoll verwenden, erzeugen aus den 32 Bit ihrer
IPv4-Adresse automatisch eine 128-Bit-IPv6-Adresse, indem sie zunchst die
Adresse mit der Bytefolge 0000:5efe auf 64 Bit erweitern. Die weiteren 64 Bit
werden dann aus einem netzspezifischen 64-Bit-Vorsatz gebildet, etwa dem
Link local-Prfix (fe80:0) oder einem global eindeutigen Site-Identifier.
Auf diese Weise kann ein ISATAP-Host jeden anderen ISATAP-Host im
gleichen lokalen Netz erreichen, indem er einfach aus der gewnschten
IPv6-Adresse die IPv4-Adresse des Hosts extrahiert, um zu wissen, zu
welchem IPv4-Host er seine eingekapselten IPv6-Pakete senden muss.
Die dabei zwischendrin beteiligten Router brauchen selbst kein IPv6 zu
verstehen, da diese nie ein IPv6-Datenpaket als solches sehen.
Um nun unterschiedliche IPv6-ISATAP-Netz zu verbinden, muss es in
dem Netzwerk mindestens einen ISATAP-fhigen Router geben, auf dem
die entsprechenden Routen zu den anderen IPv6-Teilnetzen konfiguriert
werden. Dieser ISATAP-Router fhrt neben der Routingfunktion auch
die Bekanntgabe der fr dieses Netz gltigen Site-Identifier durch, sodass
die angeschlossenen Clients neben der Link local-Adresse auch eine globale IPv6-Adresse erzeugen knnen.
Die Clients finden diesen ISATAP-Router im lokalen Netzwerk, indem sie
auf unterschiedliche Arten versuchen, dem Namen isatap eine IPv4-Adresse
zuzuordnen.
Listing 10.3
Adressgenerierung
am ISATAPAdapter
Tunneladapter isatap.rid.local:
Verbindungsspezifisches DNS-Suffix: rid.local
IPv6-Adresse. . . . . . . . . : 2001::1f0a:a4d:0:5efe:192.168.0.99
Verbindungslokale IPv6-Adresse: fe80::5efe:192.168.0.99%18
Standardgateway . . . . . :
In Listing 10.3 knnen Sie sehen, wie dem Tunneladapter sowohl eine
Link local (verbindungslokale) IPv6-Adresse als auch eine mit der globalen Netz-ID 2001::1f0a:a4d:0 zugewiesen wurde. Unter [ISATAP] wird
beschrieben, wie man mittels ISATAP schrittweise ein Intranet von IPv4
auf IPv6 umstellen kann, wobei Windows Server 2008 die Rolle des ISATAP-Routers bernimmt.
10.4.2
6to4
Beim Protokoll 6to4 wird das komplette IPv4-Internet als Subnetz des IPv6Adressraums betrachtet. Die IPv6-Adresse wird gebildet, indem zunchst
ein 16-Bit-Prfix mit dem Wert 2002 (dezimal 8194) vorangestellt wird. Dann
folgen die 32 Bit der IPv4-Adresse, und der Rest der Adresse wird typischerweise mit Nullen gefllt. Die Kopplungsglieder zwischen IPv4 und IPv6
werden hierbei 6to4 Relay genannt. Dieses Protokoll ist nur zur Verwendung
in einer bergangsphase gedacht und nicht geeignet, um Datenverbindungen zwischen IPv4- und IPv6-Adressen aufzubauen.
506
Dynamische Tunnel
10.4.3
Teredo
Bei den obigen beiden Tunnelverfahren werden IPv6-Pakete in IPv4-Pakete

eingepackt und mit der Protokollnummer 41 verschickt. Dies geht so lange
gut, bis der Host, der die Pakete empfangen soll, hinter einem NAT-Router
in einem privaten Netz steht, das nicht dafr eingerichtet ist, diese Pakete
auch nach innen weiterzuleiten. Fr diese Einsatzzwecke wurde Teredo entwickelt, Das Verfahren wird untersttzt von allen Versionen von Windows
Vista, Windows Server 2008 und Windows 7 sowie den Systemen Windows
Server 2003 ab SP1, Windows XP ab SP2 und Windows XP mit SP1 und
dem Advanced Networking Pack.
Computerspezialisten und Namen, ein neuer Abschnitt in einem endlosen Thema: Der Entwickler des Protokolls (Christian Huitema) whlte
ursprnglich den Namen Shipworm (Schiffsbohrwurm) fr sein Protokoll,
da es, hnlich wie der Bohrwurm durch hlzerne Schiffsplanken, Lcher
durch die normalerweise geschlossenen Wnde eines NAT-Routers bohren konnte. Bald allerdings entschied er sich zur Umbenennung, um Verwechselungen mit den Computerwrmern (Schadprogramme, die sich
selbst ber Netzwerke verbreiten) zu umgehen. Er whlte Teredo in
Anlehnung an Teredo Navalis, dem lateinischen Namen einer weit verbreiteten Art der Bohrwrmer.
In der Welt von Teredo existiert eine Reihe von unterschiedlichen Systemtypen, die alle jeweils verschiedene Aufgaben erfllen:
Teredo-Client Ein System, das hinter einem NAT-Router eine Verbindung zum IPv4-Internet aufbauen kann.
Teredo-Server Ein System, das den Teredo-Client initial Informationen
ber die Verwaltung der Teredo-Verbindungen mitteilt. Diese Server leiten selbst keine Daten weiter, sodass sie nur eine geringe Anforderung
an notwendiger Bandbreite haben.
Teredo-Relay Ein System, das tatschlich den Datentransfer zwischen
IPv4 und IPv6 bernimmt. Die von diesem System verwendete Bandbreite ist abhngig von der Anzahl der Teredo-Clients, die sich mit
dem Relay verbinden.
Host-spezifisches Teredo-Relay Leitet den empfangenen IPv6-Verkehr
nicht zu anderen Systemen im IPv6-Internet weiter, sondern nur zu
eigenen IPv6-Adressen.
Systeme mit Windows Vista, Windows 7 oder Windows Server 2008 knnen
sowohl als Teredo-Client als auch als host-spezifisches Teredo-Relay agieren.
In der IPv6-Adresse, die einem Teredo-Client zugeordnet wird, sind verschiedene Informationen ber seine aktuelle Netzkonfiguration enthalten:
10
Abbildung 10.7
Aufbau einer
Teredo-Adresse
507
Das Teredo-Prfix lautet gem [RFC4380] 2001::/32; in den ersten TeredoImplementierungen von Windows XP vor SP3 wurde noch 3ffe:8317 verwendet. In der Konstruktion der IPv6-Adresse werden sowohl die externe
Adresse des NAT-Routers als auch der dort verwendete UDP-Port verwendet, beide Angaben werden invertiert dort eingetragen. Dies hat natrlich
zur Folge, dass der Teredo-Client keine feste IPv6-Adresse bekommt, da
diese immer auch von der ffentlichen IP-Adresse seines IPv4-NAT-Routers anhngt.
Teredo-Tunnel aufbauen
Im Folgenden haben wir ein System mit Windows 7, das mit der IPAdresse 192.168.0.99 hinter einem NAT-Router mit der ffentlichen IPAdresse 78.53.231.151 sitzt. Zunchst muss der Status des Teredo-Protokolls festgestellt werden:
>netsh interface ipv6 show teredo
Teredo-Parameter
--------------------------------------------Typ
: disabled
Servername
: teredo.ipv6.microsoft.com.
Clientaktual.-intervall : 30 Sekunden
Clientport
: unspecified
Status
: offline
Fehler
: Client befindet sich in einem verwalteten
Netzwerk
Aus dieser Angabe kann man ersehen, dass die Teredo-Verbindungsparameter von dem System teredo.ipv6.microsoft.com geliefert werden und aktuell das Teredo-Protokoll nicht aktiv ist (Typ: disabled). Aus der letzten Zeile
kann man ersehen, dass das Netzwerk als verwaltet erkannt wird, es sich
also in einer Domne befindet. Somit muss das Protokoll mit dem Befehl
>netsh interface ipv6 set teredo enterpriseclient
OK.
aktiviert werden. Bei einem unverwalteten Netzwerk wrde der letzte Parameter client statt enterpriseclient lauten. Dieser Befehl muss mit administrativen Berechtigungen ausgefhrt werden. Danach ist das Protokoll zwar aktiv,
hat aber noch keine Verbindung mit dem IPv6-Relay aufgenommen (Status:
dormant).
>netsh interface ipv6 show teredo
Teredo-Parameter
--------------------------------------------Typ
: enterpriseclient
Servername
Clientport
: unspecified
Status
: dormant
Erst wenn der Client von sich aus Verbindung mit dem IPv6 aufnimmt,
etwa durch ping 6 iv6.google.com, wechselt das Protokoll in den aktiven
Status.
508
Dynamische Tunnel
C:\Users\jochenr-admin>netsh interface ipv6 show teredo
Teredo-Parameter
--------------------------------------------Typ
: enterpriseclient
Servername
Clientport
: unspecified
Status
: qualified
Clienttyp
: Teredo client
Netzwerk
: managed
NAT
: restricted
NAT-spezifisches Verhalten : UPNP: Ja, Portbeibehaltung: Ja
Lokale Zuordnung
: 192.168.0.99:59712
Externe NAT-Zuordnung
: 78.53.231.151:59712
Die Angabe NAT-spezifisches Verhalten gibt an, auf welche Weise der Client den NAT-Router kontrollieren kann und wie dieser die Verbindungen
nach auen aufbaut. Nun ist auch dem IPv6-Netzwerkadapter eine IPv6Netzwerkadresse zugewiesen worden:
Tunneladapter Teredo Tunneling Pseudo-Interface:
IPv6-Adresse. . . . . . . . : 2001:0:d5c7:a2d6:8d0:16bf:b1ca:1868
Verbindungslokale IPv6-Adresse: fe80::8d0:16bf:b1ca:1868%13
Standardgateway . . . . . . . . . : ::
Die erhaltene IPv6-Adresse 2001:0:d5c7:a2d6:8d0:16bf:b1ca:1868 lsst sich

wie folgt analysieren:
Tabelle 10.1
Analyse einer
Teredo-Adresse
IPv6-Daten
Bedeutung
2001:0
Teredo-Prfix
d5c7:a2d6
Adresse des Teredo-Servers teredo.ipv6.microsoft.com

entspricht 213.199.162.214
8d0
Flags
16bf
Externe Portnummer, entspricht invertiert 59712
b1ca:1868
Externe IP, entspricht invertiert 78.53.231.151
Betrachtet man nun auf dem vorgeschalteten NAT-Router den Datenverkehr zwischen Internet und lokalem Teredo-Client, so erkennt man folgende Verbindungen:
Local
192.168.0.99:59712
192.168.0.99:59712
192.168.0.99:59712
Internet
216.66.80.30:3545
213.199.162.214:3544
*.*.*.*:*
Protocol Dir
UDP
Out
UDP Out
UDP
Listing 10.4
Teredo-Verbindungen auf dem NATRouter
Aus Listing 10.4 knnen Sie ersehen, dass der NAT-Router von dem IPv6Verkehr nichts erkennt, er sieht nur den IPv4-Datenverkehr zu dem
Teredo-Relay tserv6.fra1.ipv6.he.net (216.66.80.30) und dem Teredo-Server.
509
10

Listing 10.5
Traceroute im IPv6
>tracert -6 ipv6.google.com
Routenverfolgung zu ipv6.l.google.com [2001:4860:a003::68]
ber maximal 30 Abschnitte:
1 455 ms
41 ms
40 ms teredo.bit.nl
[2001:7b8:3:27:87:251:43:68]
2
42 ms
41 ms
41 ms teredo-gw.jun1.kelvin.network.bit.nl
[2001:7b8:3:27::2]
3 250 ms
41 ms
47 ms pr61.ams04.net.google.com
[2001:7f8:1::a501:5169:1]
4
*
*
*
Zeitberschreitung der Anforderung.
5
*
*
*
Zeitberschreitung der Anforderung.
6
61 ms
49 ms
50 ms fx-in-x68.1e100.net
[2001:4860:a003::68]
Ablaufverfolgung beendet.
Beim Traceroute in Listing 10.5 wird ber den Parameter 6 die Verwendung von IPv6-Adressen erzwungen. Ansonsten wrde der tracert-Befehl
versuchen, den Namen ipv6.google.com zu einer IPv4-Adresse aufzulsen,
was nicht gelingt. Anhand der aufgezeichneten Zwischenstationen knnen Sie erkennen, dass der Datentransport zwischen NAT-Router und
Teredo-Relay fr das IPv6-Protokoll unsichtbar bleibt.
Mchten Sie die Teredo-Verbindung wieder beenden, knnen Sie dies mit
dem Befehl netsh interface ipv6 set teredo disable tun.
Teredo-Tunnel im Einsatz
Sobald man den Tunnel wie oben beschrieben konfiguriert hat, will man
natrlich auch ausprobieren, wie eine Website ber IPv6 aussieht. Die Antwort ist ziemlich kurz und ernchternd: gar nicht. Jedenfalls nicht, wenn
man versucht, sie ber den Namen anzusprechen.
Ein Satz mit X
510
Der Grund liegt hierbei weniger an IPv6 als an einer Optimierung, die Microsoft mit Windows Vista eingefhrt hat. Unter [IPV6OPT] ist dies genau
erklrt. Die Kurzform lautet: Wenn Vista (und somit auch Windows 7) feststellt, dass es selbst nur IPv6-Adressen aus dem Bereich der Link local- oder
Teredo-Adressen hat, ist es der festen Meinung, dass es sinnlos ist, nach IPv6Adressen (AAAA-Record) im DNS zu suchen, und sucht demzufolge nur
nach IPv4-Adressen (A.Record). Demzufolge findet er fr Adressen wie
http://ipv6.google.com keinen IPv4-Eintrag und stellt die Seite demzufolge
nicht dar. Ruft man die Seite jedoch direkt mit der IPv6-Adresse als Adresse
auf, wird der Inhalt angezeigt.
VPN
Abbildung 10.8
Google in IPv6
Es bleibt zu hoffen, dass dieses Verhalten sich in Zukunft konfigurierbar

gestalten lsst.
10.5 VPN
Als VPN (Virtual Private Network) bezeichnet man Verfahren, mit denen einzelne Systeme oder komplette Teilnetze miteinander ber ein offenes Netzwerk gekoppelt werden, ohne dass andere Teilnehmer in diesem Auennetz
den Datenverkehr innerhalb des VPN abhren oder stren knnen. Ein VPN
ist somit mit den IPv6-Tunnenlsungen verwandt, allerdings werden hierbei
blicherweise IPv4-Pakete ber IPv4-Pakete getunnelt.
Fr ein VPN sind dabei immer zwei Komponenten wichtig:
Im Firmennetzwerk der VPN-Server, mit dem sich die VPN-Clients
von auen verbinden.
Auf dem VPN-Client die Komponenten, die dafr sorgen, dass Datenverkehr von und zu dem Firmennetzwerk nicht ber das ffentliche
Internet bertragen wird, sondern ber den VPN-Tunnel.
Die Rolle des VPN-Servers bernehmen hierbei klassischerweise Firewallsysteme der groen Anbieter von Netzwerkkomponenten wie etwa Cisco,
Juniper oder Checkpoint. Diese stellen dann gewhnlich auch die Clientkomponenten. Das Problem vieler dieser Lsungen ist allerdings, dass
bestimmte Anforderungen an die Netzanbindung der jeweiligen Clients
bestehen. Bisweilen werden dabei Protokolle verwendet, die nur schwer
durch bliche Netzanschlsse durchgefhrt werden knnen. Zudem
untersttzten viele dieser Lsungen bislang einzig IPv4-Verbindungen.
10
511
Von Microsoft wurde fr diesen Zweck mit Windows Server 2008R2 DirectAccess eingefhrt, ein Verfahren, mit dem Systeme unter Windows 7 ber
diesen Server eine Verbindung ins Intranet der Firma herstellen knnen.
Grundvoraussetzung ist hierbei die Existenz von Active Directory, in dem
sowohl der DirectAccess-Server als auch die Clients Mitglied sind. Mchte
man zudem noch die Tunnelverbindungen zwischen den beiden Endpunkten absichern, bentigt man zustzlich noch eine PKI (Public Key Infrastructure), um die Verbindungen zwischen den Systemen mittels IPsec abzusichern. Auf diesen Verbindungen verluft dann der Datenverkehr mit IPv6.
Eine Einfhrung in das Thema DirectAccess ist unter der Adresse
[DAW2008] zu finden.
512
11
Lokale Richtlinien und

Gruppenrichtlinien
Sobald ein Netzwerk wchst, stellt sich das Problem, dass man nicht
mehr jedes System einzeln manuell konfigurieren mchte und kann, und
es werden vom Administrator Lsungen gesucht, wie sich diese Aufgabe
zentralisieren und vereinheitlichen lassen kann.
11.1 Was sind Richtlinien?

Richtlinien sind dem Wortsinn nach Vorschriften, wie man sich zu verhalten hat. Im Computerbereich beschreiben Richtlinien ein gewnschtes
Verhalten eines Systems. Im Bereich von Windows in seinen verschiedenen Varianten sind dies zum einen vorab festgelegte Konfigurationswerte
und zum anderen Privilegien, die bestimmten Benutzern und Gruppen
erlaubt oder verweigert werden.
11.2 Unterschiede zwischen lokalen

und Gruppenrichtlinien
Prinzipiell kann man diese Richtlinien sowohl auf einem Einzelplatzsystem als auch in einer Domnenumgebung verwenden. Bei der Anwendung in einer Domne wird auch von Gruppenrichtlinien gesprochen, in
Abgrenzung zu den lokalen Richtlinien, die sich immer nur auf ein System
beziehen. Im ersten Fall wird die einzelne Richtlinie auch als Gruppenrichtlinienobjekt (Group Policy Object, GPO) bezeichnet.
Basis einer Gruppenrichtlinie ist immer das Computer- beziehungsweise Richtlinien im
Benutzerobjekt in Active Directory. Dieses ist in eine Baumstruktur ein- greren
sortiert, wobei der Container, in dem das Objekt liegt, als Organisations- Rahmen
513
Kapitel 11 Lokale Richtlinien und Gruppenrichtlinien
einheit (englisch Organisational Unit OU) bezeichnet wird. Jeder derartige Container ist wiederum in einen weiter oben liegenden Container
eingebettet beziehungsweise ist direkt Mitglied der Hauptebene, also der
Domne selber.
Abbildung 11.1
Baumstruktur in
Active Directory
In Abbildung 11.1 kann man erkennen, dass die OU Aussen in der OU Vertrieb enthalten ist. Diese wiederum gehrt zur OU Benutzer, und die ist
schlussendlich nur noch Mitglied der Domnenebene. Neben diesen Containern gibt es dann die Gruppenrichtlinien, die einem oder mehreren dieser Container zugeordnet sind. Eine derartig zugeordnete Richtlinie wirkt
dann auf alle in der jeweiligen OU enthaltenen Objekte (und damit auch
auf alle Objekte in darin enthaltenen OUs). Wird also eine Richtlinie dem
Container Aussen zugeordnet, wirkt diese auf alle Benutzer- und Computerobjekte in diesem Container, nicht jedoch auf jene im Container Innen.
Abbildung 11.2
Lage der Gruppenrichtlinienobjekte in
Active Directory
Das besondere ist jetzt, dass diese Richtlinie nicht fest mit den jeweiligen
Objekten verbunden ist. Wird also zum Beispiel ein Benutzer aus der OU
Aussen in die OU Innen verschoben, werden die Einstellungen, die ber
die GPO der OU Aussen auf ihn wirkten, automatisch wieder entfernt.
514
Unterschiede zwischen lokalen und Gruppenrichtlinien
Insbesondere in greren Active Directory-Umgebungen kann ein Administrator somit durch geschickte Anordnung der Organisationseinheiten
und entsprechende Platzierung von Benutzern und Computern viele
Konfigurationsaufgaben automatisieren.
Im Folgenden beschrnkt sich die Darstellung auf die Anwendung lokaler Richtlinien. Die Arbeit mit Gruppenrichtlinien in einer Active Directory-Umgebung finden Sie thematisch eher in Bchern ber Windows
Server 2008 und Windows Server 2003.
Im Gegensatz zu Gruppenrichtlinien wirken lokale Richtlinien immer nur
auf dem jeweiligen System, auf dem sie festgelegt wurden. Auch ist hier
nur sehr begrenzt ein Einsatz von verschiedenen Richtlinien fr unterschiedliche Benutzergruppen mglich.
Generell gilt bei Richtlinien immer, dass die nderungen, die ein Administrator in einer Richtlinie vorgegeben hat, von einem normalen Benutzer nicht
abgendert werden knnen. Aus diesem Grund bieten viele Einstellungen
auch drei Konfigurationsmglichkeiten: Aktiviert, Deaktiviert und Nicht
konfiguriert.
11.2.1
Wann werden die Richtlinien

angewendet?
Richtlinien werden in der Registry abgespeichert, wobei lokale Richtlinien

sofort dort eingetragen werden, sobald sie gesetzt werden. Es hngt dann
von der jeweiligen Anwendung ab, ob diese die Werte auch im laufenden
Betrieb kontrolliert und dann ihr Verhalten ndert. Sptestens bei einem
Neustart (Computerrichtlinien) oder einer Benutzeranmeldung (Benutzerrichtlinien) werden die Einstellungen bernommen.
Bei Gruppenrichtlinien ist es etwas problematischer. Diese werden auf einem
Domnencontroller definiert und mssen dann zunchst per Replikation auf
alle anderen Domnencontroller bertragen werden. Erst dann kann man
bei einem Neustart oder einer Anmeldung sicher sein, dass die Richtlinie
angewendet wird. Vorab kann nicht garantiert werden, welcher Domnencontroller fr die Bereitstellung der Richtlinien angefragt wird. Mchte man
eine sofortige Anwendung der Richtlinien erzwingen, kann man das Programm gpupdate.exe verwenden.
Ttowierungen
Unter Windows NT gab es bereits eine Vorform der Richtlinien, damals Manche
Systemrichtlinien genannt. Diese hatten allerdings das Problem, dass nde- Erinnerung
rungen, die ber eine derartige Richtlinie gesetzt wurden, auch noch vor- bleibt ewig
handen waren, nachdem die Richtlinie entfernt wurde. Diese Arbeitsweise
wurde Ttowierung (englisch Tattoo) genannt. Diese Einstellungen blieben
so lange erhalten, bis sie entweder durch eine neue Anwendung der Richtlinie explizit anders gesetzt oder die Daten manuell aus der Registrierung
entfernt wurden.
11
515
Mit Windows 2000 wurde dieses Problem angegangen, indem fr die

neuen Gruppenrichtlinien eine Reihe von Schlsseln in der Registrierung
festgelegt wurde, an denen eine derartige permanente Speicherung verhindert wird. Diese Schlssel sind:
HKLM\SOFTWARE\Policies
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
HKCU\Software\Policies
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
Alle Daten, die unter diesen Schlsseln abgespeichert werden, entfernt das
Betriebssystem automatisch, sobald die entsprechende Richtlinie nicht mehr
aktiv ist. Mit der Einfhrung dieses Konzepts hat Microsoft auch gleichzeitig
dafr gesorgt, dass die meisten seiner Programme ebendort nach ihren Einstellungen suchen.
Anders sieht das allerdings bei eigenen Richtlinien aus, die man selber
entwirft. Bei der Entwicklung eigener Applikationen sollte man darauf achten, dass man Einstellungen, die ein Administrator per Gruppenrichtlinien setzen mchte, in den angesprochenen Bereichen sucht.
Windows bezeichnet die Richtlinien, die wieder entfernt werden knnen,
als Verwaltete Richtlinien, die anderen dementsprechend als Nicht verwaltet. Diese Unterscheidung lsst sich fr die Filterung von Richtlinien
(siehe den Abschnitt 11.4.2 ab Seite 525) einsetzen.
11.3 Administrative Vorlagen

Richtlinien werden auf Basis von Vorlagen verwendet. Diese Vorlangen
enthalten die Angaben, welche Daten in der Registrierung gesetzt werden
knnen, welche mglichen Werte diese annehmen knnen sowie noch weitere Informationen. Dazu gehrt beispielsweise eine Erklrung fr die
Werte und deren Bedeutung oder eine Angabe, welche Betriebssysteme
diese Daten verwenden, die ber die Richtlinie gesteuert werden knnen.
Neues System,
neues Format
516
Bis Windows 2003 gab es diese Vorlagen mit der Erweiterung .adm, mit
Windows Vista wurde ein neues Format mit den Erweiterungen .admx und
.adml eingefhrt. Der Unterschied zwischen den beiden Versionen besteht
darin, dass .adm-Dateien einfache Textdateien waren, die alle Informationen ber die Richtlinien enthielten. Da auch die Erklrungen enthalten
waren, hatte dies zur Folge, dass diese Dateien sprachspezifisch angelegt
waren. Bei den .admx- und .adml-Dateien hat man die Richtlinie (.admx) von
den erklrenden Texten (.adml) getrennt und beide in ein XML-Format
berfhrt. Damit einher geht auch eine Verlagerung der betreffenden
Dateien. Unter Windows 2003 lagen diese noch in %Systemroot%\inf, nun
liegen sie unter %Systemroot%\PolicyDefinitions. Die sprachspezifischen
.adml-Dateien liegen dabei in einem Unterverzeichnis entsprechend der
jeweiligen Sprache, die deutschen Dateien also in %Systemroot%\PolicyDefinitions\de-DE. Auf diese Verzeichnisse haben normale Benutzer nur
lesenden Zugriff. Ein schreibender Zugriff erfordert administrative Berech-
Administrative Vorlagen
tigungen. Die Unterschiede zwischen dem alten und dem neuen Format
knnen Sie am folgenden Beispiel sehen, bei dem die gleiche Einstellung
einmal in der Datei system.adm unter Windows 2003 und einmal in WindowsExplorer.admx unter Windows 7 zu finden ist.
KEYNAME "Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer"
POLICY !!NoViewOnDrive
#if version >= 4
SUPPORTED !!SUPPORTED_Win2k
#endif
EXPLAIN !!NoViewOnDrive_Help
PART !!NoDrivesDropdown
DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ABOnly
VALUE NUMERIC
3
NAME !!COnly
VALUE NUMERIC
4
NAME !!DOnly
VALUE NUMERIC
8
NAME !!ABConly
VALUE NUMERIC
7
NAME !!ABCDOnly
VALUE NUMERIC
15
NAME !!ALLDrives
VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives
VALUE NUMERIC
0
END ITEMLIST
END PART
END POLICY
NoViewOnDrive="Zugriff auf Laufwerke vom Arbeitsplatz nicht
zulassen"
SUPPORTED_Win2k="Mindestens Microsoft Windows 2000"
NoViewOnDrive_Help="Verhindert, dass Benutzer ber "Arbeitsplatz"
Zugang zu Inhalten ausgewhlter Laufwerke erhalten.\n\nWenn Sie die
...
ABOnly="Nur Laufwerke A und B beschrnken"
...
Listing 11.1
system.adm unter
Windows 2003
<policy name="NoViewOnDrive" class="User"

displayName="$(string.NoViewOnDrive)"
explainText="$(string.NoViewOnDrive_Help)"
presentation="$(presentation.NoViewOnDrive)"
key="Software\Microsoft\Windows\CurrentVersion\Policies\Explorer">
<parentCategory ref="windows:WindowsExplorer" />
<supportedOn ref="windows:SUPPORTED_Win2k" />
<elements>
<enum id="NoDrivesDropdown" valueName="NoViewOnDrive"
required="true">
<item displayName="$(string.ABOnly)">
<value><decimal value="3" /></value>
</item>
<item displayName="$(string.COnly)">
</item>
<item displayName="$(string.DOnly)">
Listing 11.2
WindowsExplorer
.admx unter
Windows 7
11
517

</item>
<item displayName="$(string.ABConly)">
</item>
<item displayName="$(string.ABCDOnly)">
</item>
<item displayName="$(string.ALLDrives)">
</item>
<item displayName="$(string.RestNoDrives)">
</item>
</enum>
</elements>
</policy>
Listing 11.3
WindowsExplorer.adml unter
Windows 7
<resources>
<stringTable>
<string id="ABCDOnly">Nur Laufwerke A, B, C und D
beschrnken</string>
<string id="ABConly">Nur Laufwerke A, B und C
beschrnken</string>
...
Im Vergleich der beiden Versionen fallen einige Gemeinsamkeiten auf.

Schon bei Windows 2003 waren die Erklrungen der Einstellungen nicht
direkt in den einzelnen Elementen enthalten, sondern wurden ber das
Symbol !! referenziert und erst spter definiert.
Abbildung 11.3
Darstellung der
Richtlinie
518
Einmal in der Zeile KEYNAME und einmal im Wert Key wird auf den Teil
der Registrierung Bezug genommen, in dem der Wert angelegt wird:
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. Der dort
angelegte Wert ist NoViewOnDrive. Aus der Gestaltung des Listenfeldes
erkennt man, dass dieser Wert numerisch ist. Die im Listenfeld in Abbildung 11.3 dargestellten Auswahlwerte entsprechen den Werten, die in der
ITEMLIST beziehungsweise NoDrivesDropdown aufgefhrt wurden. Der
entsprechende Registrierungswert erlaubt allerdings deutlich mehr Optionen, als hier angeboten werden. Um diese Werte zu setzen, msste man
entweder die Vorlage erweitern oder den Wert manuell setzen.
Die Einstellungen sind inzwischen auf mehr Dateien verteilt; dies macht Teile und
den Support der Vorlagen deutlich einfacher. Whrend unter Windows herrsche
2003 noch zehn Dateien mit 2,3 MB Daten vorlagen, existieren unter Windows 7 148 Dateien mit 4,3 MB Daten sowie 148 Dateien mit weiteren
2,4 MB im Sprachverzeichnis. Unter Windows 7 kann man also auch deutlich mehr Richtlinien setzen als unter seinen Vorgngerversionen.
11.3.1
Weitere administrative Vorlagen
Bei der Administration sind Sie nicht beschrnkt auf die im System bereits
vorhandenen Vorlagen. Die Sammlung an Vorlagen kann auch erweitert
und an eigene Bedrfnisse angepasst werden. Sie knnen jederzeit fr
eigene Zwecke auch eigene Vorlagen entwickeln. Alle notwendigen Daten
erhalten Sie unter DOWN, wenn Sie nach dem Suchbegriff administrative
template suchen. An dieser Stelle finden Sie fr viele Anwendungen fertige
Richtlinienvorlagen insbesondere fr die Produkte aus der Office-Reihe.
Gerade im Firmeneinsatz kann man hiermit sehr viele Aspekte der Benutzung von Word oder Excel schon vorab festlegen.
Abbildung 11.4
Fehlende Sprachdatei fr eine
Vorlage
Die Installation neuer Vorlagen erfolgt auf denkbar einfache Weise. Man
muss lediglich die betreffende .admx-Datei in das PolicyDefinitions-Verzeichnis abspeichern und die .adml-Datei in das Sprachverzeichnis. Sofern Sie
keine deutsche Sprachversion der .adml-Datei erhalten haben, bleiben Ihnen
zwei Mglichkeiten:
1. Die vorhandene (vermutlich englische) .adml-Datei bersetzen. In Listing
11.3 knnen Sie sehen, dass Sie einfach nur Texte austauschen mssen.
2. Die vorhandene (vermutlich englische) .adml-Datei einfach in das passende Sprachverzeichnis kopieren. Dann allerdings erscheinen die
Texte der Richtlinie in der eigentlich falschen Sprache, siehe Abbildung
11.5 mit den englischen Bezeichnungen.
11
519

Fremdsprachen
gefordert
Es ist nicht mglich, eine .admx-Datei ohne die zur Sprache gehrige .admlDatei zu verwenden. Dieser Versuch wird mit einer Fehlermeldung quittiert
(siehe Abbildung 11.4), Windows verlangt zwingend das Vorhandensein
einer zur aktuellen Sprache passenden Datei mit den notwendigen Texten.
Abbildung 11.5
Eine eigene .admxDatei wird
angezeigt.
Die Richtlinie aus Abbildung 11.5 ist dem Paket Group Policy Sample
ADMX Files (ber die Download-Seite DOWN von Microsoft zu beziehen) entnommen.
Eigene Richtlinien kann man mit dem ADMX Migrator (auch ber DOWN
zu finden) in einer grafischen Oberflche bearbeiten. Dies ist somit auch
Administratoren mglich, die sich vorher nicht intensiv mit der Syntax
der Dateiformate beschftigen mchten. Dieses Tool kann man auch dazu
verwenden, um bestehende Richtlinien zu berarbeiten.
Abbildung 11.6
Erstellung einer
eigenen Richtlinie
im ADMX
Migrator
520
Nachdem die erstellten Dateien manuell in das Systemverzeichnis der Installation noch
Richtlinien kopiert wurden, kann die Richtlinie im Editor fr lokale Gruppen- manuell
richtlinien bearbeitet werden.
Abbildung 11.7
Der Wert der Richtlinie wird gesetzt.
Sobald der Wert in der Gruppenrichtlinie definiert ist, kann man den
Erfolg der Aktion auch im Registrierungs-Editor erkennen:
Abbildung 11.8
Der Wert im Registrierungs-Editor
Bedingt durch die Lage des gesetzten Wertes in der Registrierung (HKCU\
Software\Meine Firma\Meine Software) tritt hier das Problem der Ttowierung auf. Hat man den Wert einmal gesetzt und lscht dann die zugehrige
administrative Vorlage, bleibt der Wert erhalten.
11.3.2
Verwendung alter .adm-Dateien
Auch wenn sich das Format der administrativen Vorlagen gendert hat,
kann man diese trotzdem weiterhin unter Windows 7 verwenden. Entweder werden diese in den Editor fr lokale Gruppenrichtlinien importiert,
oder man verwendet ein Tool wie den ADMX Migrator zur Konvertierung.
Mchte man die Richtlinien nur in den Editor importieren, ruft man ihn
auf, selektiert den Knoten Administrative Vorlagen wahlweise im Knoten
11
521
Computerkonfiguration oder in Benutzerkonfiguration und ruft im zugehrigen Kontextmen den Befehl Vorlagen hinzufgen/entfernen auf. Abhngig
vom Inhalt der .adm-Datei werden die Richtlinien gegebenenfalls auch in
den anderen Zweig importiert.
Abbildung 11.9
Alte .adm-Dateien
verwenden
Digitale Altlasten
In dem nun folgenden Dialogfeld sieht man die aktuell geladenen .admDateien samt Angabe von Gre und Datum. ber die Schaltflche Hinzufgen lassen sich dann weitere Dateien aufrufen. Das Listenfeld startet
direkt im Verzeichnis %systemroot%\inf, in dem die alten Vorlagen bislang
gespeichert wurden. Nicht mehr bentigte Vorlagen knnen markiert und
ber die Schaltflche Entfernen entladen werden. Die hier durchgefhrte
Einstellung ist persistent. Mit Schlieen kann das Dialogfeld beendet werden. Die geladenen Vorlagen sind anschlieend unter Administrative Vorlagen\Klassische administrative Vorlage (ADM) zu finden.
11.4 Richtlinien setzen und

bearbeiten
Bearbeitet werden die Richtlinien ber den Editor fr lokale Gruppenrichtlinien. Dieser wird ber die Eingabe von gpedit.msc oder Gruppenrichtlinie
in das Suchfeld des Startmens gestartet. Eine beschrnkte Auswahl der
mglichen Richtlinien lsst sich auch ber den Weg Systemsteuerung/System und Sicherheit/Verwaltung/Lokale Sicherheitsrichtlinie (secpol.msc) aufrufen. Als dritte Mglichkeit kann man noch das Gruppenrichtlinien-Objekt
zur Microsoft Management Console mmc.exe hinzufgen (siehe hierzu
den Abschnitt 11.4.3 ab Seite 527).
Richtlinien beziehen sich entweder auf den Computer oder auf den Benutzer. Dementsprechend sind im Editor auch die beiden Bereiche Computerkonfiguration und Benutzerkonfiguration getrennt dargestellt. Im Bereich der
Administrativen Vorlagen finden Sie all jene Einstellungen, die von den
Dateien im PolicyDefinitions-Ordner festgelegt werden. Einige Einstellungen knnen sowohl im Bereich Computer als auch im Bereich Benutzer eingestellt werden, sodass man je nach Anwendungszweck wahlweise eine
Einstellung einem Benutzer auf allen von ihm verwendeten Systemen oder
etwa allen Benutzern auf einem System zuordnen kann. Angegeben wird
dies bei der Festlegung der betreffenden Vorlagendatei. Im Beispiel aus Listing 11.2 ergibt die Angabe
522
Richtlinien setzen und bearbeiten

<policy name="NoViewOnDrive" class="User"
dass sich diese Einstellung nur auf die Benutzerkonfiguration bezieht.

Abbildung 11.10
Sicherheitsrichtlinien als Teil der
Gruppenrichtlinien
11.4.1
Einzelne Richtlinien definieren
Hat man in der linken Baumstruktur den gewnschten Knoten selektiert,

der die gesuchte Richtlinie enthlt, so sieht man in der rechten Auflistung
eine bersicht ber alle in diesem Knoten vorhandenen Richtlinienobjekte. Zu jedem wird in den Spalten Status und Kommentar angegeben,
ob diese Einstellung aktuell festgelegt ist und ob der Administrator dazu
einen Kommentar eingegeben hat. Diese Liste kann man auch ber das
Kontextmen des Knotens in eine Textdatei exportieren. Hierbei wird
allerdings nur ausgegeben, dass eine Richtlinie gesetzt ist, nicht jedoch
der gesetzte Wert in der Richtlinie. Fr eine Protokollierung der Einstellungen ist dieses Vorgehen daher nur bedingt geeignet.
Auch wenn man nicht dazu aufgefordert ist, sollte man das Kommentarfeld dazu nutzen, um beispielsweise anzugeben, wann man eine
entsprechende Einstellung gendert hat und welchen Zweck man
damit verfolgt.
Durch Umschalten auf die Registerkarte Standard am unteren Ende der
Auflistung kann man den links neben den Richtlinien angezeigten Erklrungstext ausblenden und hat somit mehr Raum fr die Darstellung.
11
523

Abbildung 11.11
Richtlinien und
ihr Status
Nachdem im rechten Fenster die Richtlinie ausgewhlt wurde, kann man

diese entweder durch einen Doppelklick oder die Auswahl des Befehls
Aktion/Bearbeiten ffnen.
Abbildung 11.12
Eine Richtlinie wird
bearbeitet.
Der Grundaufbau des Bearbeitungsdialogfeldes unterscheidet sich darin,

ob man eine Richtlinie im Bereich der Administrativen Vorlagen oder eine
der anderen Richtlinien bearbeitet. Im ersten Fall ist das Dialogfeld immer
gleich. Oben kann man mit einem Optionsfeld generell auswhlen, ob die
Einstellung Aktiviert, Deaktiviert oder Nicht konfiguriert sein soll. Im Kommentarfeld ist Platz fr zustzliche Informationen, die ein Administrator
zur gewhlten Einstellung macht, und darunter wird angegeben, fr welche Systeme diese Einstellung Bedeutung hat. Sobald eine Richtlinie aktiviert wird, kann man im unteren Teil gegebenenfalls weitere Einstellungen
vornehmen. Welche das sind, hngt von der jeweiligen Richtlinie ab. Im
524
Beispiel aus Abbildung 11.12 sind es gleich mehrere Werte, die eingetragen
werden, bei anderen Richtlinien werden berhaupt keine weiteren Daten
eingetragen. Im Hilfe-Feld sind die mglichen Werte angegeben und deren
Bedeutung erklrt beziehungsweise sollten dort eingetragen sein.
Es gibt einige Einstellungen, die scheinbar doppelt vorhanden sind.
Dies liegt daran, dass sich die damit gesteuerten Registrierungseintrge
fr unterschiedliche Windows-Versionen an verschiedenen Orten befinden. Bein Setzen einer Einstellung sollte man also immer darauf achten,
ob die Einstellung auch vom gewnschten Zielsystem untersttzt wird.
Mit den Schaltflchen Vorige Einstellung und Nchste Einstellung knnen
Sie schrittweise durch alle Einstellungen in dem aktuell eingestellten Knoten der Baumstruktur vorgehen. Dies ist dann sinnvoll, wenn Sie in einem
Knoten gleich mehrere Einstellungen abndern wollen.
11.4.2
Richtlinien suchen
Das eigentlich grte Problem bei den Richtlinien ist die Frage, wo sich fr Wenn ich nur
eine bestimmte Anforderung die dazu passende Richtlinie befindet. Hier wsste wo?
gibt es generell drei Mglichkeiten:
1. Sie suchen manuell alle vorhandenen Richtlinien durch.
2. Sie suchen auf einer Website, die sich speziell dem Thema Gruppenrichtlinien widmet. Hier wre insbesondere die Adresse [GPO] zu nennen.
3. Sie suchen im Internet nach Ihrer Fragestellung und dem Stichwort
GPO oder Group Policy.
Am einfachsten verwendet man die Variante 1, indem man im Bereich Administrative Vorlagen den Knoten Alle Einstellungen auswhlt. Dann hat man
die Wahl unter 1.609 Einstellungen im Bereich Computerkonfiguration und
1.416 im Bereich Benutzerkonfiguration. Diese Variante lsst sich allerdings
deutlich zielfhrender gestalten, indem Sie die Filterfunktion des Gruppenrichtlinien-Editors verwenden. Sobald Sie einen der Knoten im Bereich der
administrativen Vorlagen markiert haben, steht Ihnen der Befehl Aktion/Filteroptionen zur Verfgung.
Im oberen Teil des Filterdialogfeldes knnen Sie zunchst bestimmte
Grundanforderungen an die zu filternde Richtlinie auswhlen:
Verwalteter Computer Gibt an, ob die Richtlinie eine verwaltete oder
nicht verwaltete Richtlinie sein soll bzw. ob die Einstellung unwichtig ist.
Konfiguriert Filtert wahlweise bereits gesetzte oder noch nicht gesetzte
Richtlinien. Lsst sich beispielsweise dazu verwenden, eine Richtlinie,
die man gesetzt hat, zu suchen, bei der man nicht mehr wei, was man
da getan hat.
Kommentiert Filtert, ob ein Kommentar fr die Richtlinie eingetragen
ist oder nicht.
11
525

Abbildung 11.13
Filter fr Gruppenrichtlinien definieren
Mit dem Schlsselwortfilter lassen sich bestimmte Schlsselwrter in verschiedenen Bereichen der Richtlinie filtern. Standardmig werden sowohl
der Richtlinientitel, die Hilfetexte der Richtlinien als auch ein vom Administrator eingegebener Kommentar durchsucht. Mit dieser Filteroption lsst sich
sehr effektiv die passende Richtlinie ausfiltern. So grenzt beispielsweise das
Schlsselwort DNS die Auswahl der 1.609 Elemente der Computerkonfiguration auf gerade einmal 42 ein.
Bei der Gestaltung eigener Vorlagen sollte man die Hilfetexte fr die
Richtlinien nicht vernachlssigen, insbesondere wenn spter nicht nur
der Ersteller der Richtlinie damit arbeiten soll.
Mit dem Anforderungsfilter kann man die Richtlinien auf diejenigen einschrnken lassen, die fr ein bestimmtes System relevant sind. Die Einschrnkungen lassen sich hierbei auf den Versionsstand bestimmter
Komponenten (BITS-bertragungsdienst, Internet Explorer, Windows
Media Player) oder bestimmte Varianten der Windows-Systeme in unterschiedlichen Service-Pack-Leveln einschrnken.
Ist ein Filter gesetzt, werden in der Baumstruktur der administrativen
Vorlagen nur noch die Knoten angezeigt, in denen auch konfigurierbare
Richtlinien vorliegen. In der Statusleiste am unteren Rand des Fensters
wird angezeigt, wie viele Richtlinien aktuell gefiltert sind. ber das Filtersymbol in der Symbolleiste unterhalb der Menleiste oder den Befehl
Filter aktivieren kann ein einmal definierter Filter aus- und wieder eingeschaltet werden.
526
11.4.3
Lokale Richtlinien fr Benutzer

eingrenzen
Bei den Gruppenrichtlinien in einer Active Directory-Umgebung kann

man sehr einfach fr unterschiedliche Benutzergruppen auch unterschiedliche Richtlinien definieren. Fr lokale Richtlinien scheint dies nicht so
augenfllig zu sein, die Benutzerkonfiguration im Gruppenrichtlinien-Editor bezieht sich immer auf alle Benutzer eines Systems gleichermaen. Es
ist aber trotzdem mglich, auch mit lokalen Richtlinien eine granularere
Einstellung fr die Benutzer einzurichten, allerdings nicht mit dem normalen Editor fr lokale Gruppenrichtlinien.
1. Starten Sie zunchst die Microsoft Management Console ber den
Aufruf von mmc.exe. Es erscheint eine leere Konsole.
2. ber den Befehl Datei/Snap-In hinzufgen/entfernen oder die Tastenkombination (Strg)+(M) gelangen Sie zum Auswahldialogfeld fr die
Managementkomponenten.
3. Whlen Sie die Komponenten Grupperichtlinienobjekt-Editor aus, und
klicken Sie die Schaltflche Hinzufgen >.
4. Im nun folgenden Dialogfeld werden Sie gefragt, welches Gruppenrichtlinienobjekt Sie bearbeiten mchten. Dort steht aktuell Lokaler
Computer. Klicken Sie nun auf die Schaltflche Durchsuchen.
5. Whlen Sie das gewnschte Objekt aus. Aktuell ist die Registerkarte
Computer aktiv und dort der Eintrag Dieser Computer. Klicken Sie auf
die Registerkarte Benutzer.
6. Im nun folgenden Dialogfeld sehen Sie zum einen eine Liste aller aktuell
auf dem System vorhandenen Benutzer und zum anderen die beiden
Gruppen Administratoren und Nicht-Administratoren. Hinter dem
Namen folgt noch die Angabe, ob fr diesen Benutzer oder diese Gruppe
bereits ein Gruppenrichtlinienobjekt vorhanden ist oder nicht. Selektieren Sie den Namen, fr den Sie die Gruppenrichtlinie bearbeiten wollen,
und klicken Sie die Schaltflche OK. Benutzer, die auf dem System zwar
angelegt sind, sich aber noch nicht erstmalig angemeldet haben, tauchen
noch nicht in der Liste auf.
Abbildung 11.14
Gruppenrichtlinienobjekte fr Benutzer
und Gruppen
11
527

Maarbeit in der
Verwaltung
Diesen Vorgang knnen Sie auch mehrfach wiederholen, um sich eine

Management Console mit unterschiedlichen Benutzern und Gruppen
zusammenzustellen, indem sie diese dann abspeichern. Im Auswahldialogfeld aus Abbildung 11.14 knnen Sie auch ber das Kontextmen der
rechten Maustaste eine bereits vorhandene Richtlinie wieder lschen.
Brechen Sie dann den Vorgang des Hinzufgens eines Snap-Ins einfach
mit der Schaltflche Abbrechen ab.
Abbildung 11.15
Benutzerkonfiguration fr unterschiedliche Gruppen
Wenn lokale Richtlinien fr einen Benutzer gleich mehrfach zutreffen knnen, gilt immer die Richtlinie, die am spezifischsten fr den jeweiligen
Benutzer ist. Eine Richtlinie nur fr ihn hat Vorrang vor einer Richtlinie, die
nur fr eine Gruppe oder fr alle Benutzer angelegt wurde.
Es ist nicht mglich, einem neuen Benutzer bereits vorab eine Richtlinie
zuzuordnen. Ein neuer Benutzer wird zunchst nur jene Richtlinie
zugeordnet, die ihm aufgrund seiner Mitgliedschaft oder eben Nichtmitgliedschaft in der Gruppe der Administratoren zugewiesen wird.
11.5 Richtlinien berprfen und

dokumentieren
Um angewendete Richtlinien zu kontrollieren und zu dokumentieren, ist
der Editor fr lokale Gruppenrichtlinien ein eher ungeeignetes Werkzeug. Fr diese Aufgabe dienen zwei andere Programme.
11.5.1
Das Snap-In Richtlinienergebnissatz
Fgt man der Microsoft Management Console mmc.exe das Snap-In Richtlinienergebnissatz hinzu, erhlt man die Mglichkeit, sich die Auswirkungen
der Richtlinien auf bestimmte Objekte anzeigen zu lassen. Nachdem das
Snap-In hinzugefgt wurde, whlt man aus dem Men Aktion den Eintrag
528
Richtlinien berprfen und dokumentieren
RSoP-Daten generieren (Resultant Set of Policies, Sammlung von Ergebnissen

zur Richtlinienanwendung) aus. In dem nun folgenden Assistenten mssen
Sie einige Seiten durchklicken, bis Sie zur Auswahl des zu kontrollierenden
Objektes gelangen. Hier knnen Sie den Report wahlweise fr den eigenen
Benutzer, einen anderen Benutzer oder den ausgewhlten Computer abfragen. Wird das Snap-In von einem nicht administrativen Benutzer aufgerufen, kann dieser nur seine eigenen Einstellungen berprfen. Zudem kann
er keine Einstellungen auf Computerebene einsehen.
Abbildung 11.16
Welche Richtlinie
soll abgefragt
werden?
Nachdem der Assistent abgeschlossen wurde, kann man in der Baumstruktur der administrativen Vorlagen alle jene Knoten sehen, in denen konfigurierte Werte enthalten sind. Klickt man auf einen dieser Knoten, sieht man in
der rechten Auflistung der Richtlinienobjekte sowohl deren Status (nicht
aber weitere Daten) und eine Angabe, wo diese Richtlinie definiert wurde.
Abbildung 11.17
Wo werden welche
Richtlinien festgelegt?
Im Beispiel in Abbildung 11.17 kann man sehen, dass die Richtlinie Menoption "Kommentare" aus der Richtlinie fr alle Benutzer kommt, whrend die
Menoption "Tour" durch eine Richtlinie fr die lokale Administratorengruppe kommt. Klickt man eine der Richtlinien doppelt an, erhlt man die
Mglichkeit, auf der Registerkarte Einstellung den konfigurierten Wert zu
kontrollieren. Auf der Registerkarte Erklrung findet sich die gleiche Erklrung, die man auch im Editor sieht. Am interessantesten ist allerdings die
11
529
Registerkarte Rangfolge. Hier kann man erkennen, ob eine bestimmte Einstellung eventuell von mehreren Richtlinien gesetzt wird und in welcher
Reihenfolge diese ausgewertet werden.
Abbildung 11.18
Einmal h, einmal
hott: Richtlinien im
Wettstreit
Im Beispiel in Abbildung 11.18 kann man sehen, dass die gewhlte Einstellung von zwei Richtlinien gesetzt wird. Da allerdings die Richtlinie fr die
Gruppenmitgliedschaft greren Einfluss als die Richtlinie fr alle Benutzer
hat, gilt deren Wert. ber das Kontextmen des obersten Knotens kann man
die Abfrage aktualisieren lassen, etwa wenn man in einer Active DirectoryUmgebung zwischenzeitlich die Gruppenrichtlinien angepasst oder den
Benutzer in einen anderen Container verschoben hat.
Abbildung 11.19
Gruppenrichtlinienstapel in einer
Active DirectoryUmgebung
Gestapelte
Richtlinien
530
Beim Betrachten der Gruppenrichtlinien in Abbildung 11.19 kann man sehr

genau die Anwendung der Richtlinien in der Reihenfolge ihrer Festlegung
in der Baumstruktur des Active Directory aus Abbildung 11.2 sehen.
Richtlinien berprfen und dokumentieren
11.5.2
Richtlinienanwendung planen
In einer Active Directory-Umgebung bietet der Richtlinienergebnissatz

noch eine zustzliche Funktion: Anstelle des Protokollierungsmodus, in
dem die Anwendung der aktuellen Richtlinien beschrieben wird, kann der
Planungsmodus aufgerufen werden. In diesem Modus kann simuliert werden, was passieren wrde, wenn das aktuelle Benutzer- und Computerobjekt in einem anderen Active Directory-Container gespeichert wre.
Abbildung 11.20
Wo knnte das
Objekt liegen?
Weiterhin kann der Effekt einer langsamen Netzwerkanbindung simuliert

werden, da dies ebenfalls Auswirkungen auf die Anwendung von Gruppenrichtlinien haben kann. Auch der Standort in Active Directory kann simuliert
werden, da es mglich ist, Richtlinien in Abhngigkeit vom IP-Subnetz des
Systems festzulegen. Auf diese Weise lassen sich in greren Umgebungen
sehr genau die Auswirkungen der Gruppenrichtlinien auf Benutzer und
Computer vorab testen, ohne die nderungen tatschlich durchfhren zu
mssen.
11.5.3
Richtlinien dokumentieren mit

gpresult.exe
Das Programm gpresult.exe wurde zusammen mit der Einfhrung von

Gruppenrichtlinien bei Windows 2000 vorgestellt und kann dazu verwendet werden, eine Dokumentation der erfolgten Richtlinien zu erstellen. Mit
Windows Vista SP1 und Windows Server 2008 wurde eine neue Version
dieses Programms eingefhrt, mit dem auch optisch ansprechende Reports
der Gruppenrichtlinien erzeugt werden knnen, hnlich wie es auch die
Gruppenrichtlinienverwaltung bei Windows Server 2008 vorfhrt.
11
531

Abbildung 11.21
Protokollierung der
Gruppenrichtlinien
unter Windows
Server 2008
Dokumentation
in hbsch
Listing 11.4
Ausgabe einer
Richtlinie als
XML-Datei
Die beiden neuen Optionen von gpresult.exe sind /x zur Erstellung eines
XML-Berichtes und /h zur Erstellung einer HTML-Seite mit den Richtlinieninformationen. Die XML-Ausgabe kann man zum Beispiel verwenden, um
die Daten in eine Datenbank zu importieren. Die HTML-Daten kann als lesbare Dokumentation aufbewahrt werden.
>gpresult /scope user /x test.xml
Bericht wird erstellt ...
>type trst.xml
<?xml version="1.0" encoding="utf-16"?>
<Rsop xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns="http://www.microsoft.com/GroupPolicy/Rsop">
<ReadTime>2009-10-25T18:19:01.4835683Z</ReadTime>
<DataType>LoggedData</DataType>
<UserResults>
<Version>2228228</Version>
<Name>CONTOSO\user5</Name>
<Domain>contoso.com</Domain>
<SOM>contoso.com/Benutzer/Vertrieb/Innen</SOM>
<Site>Default-First-Site-Name</Site>
...
Bei der Produktion einer HTML-Datei ist beim Anzeigen der Datei zu
beachten, dass die Datei Skriptanteile enthlt, um ein dynamisches Aufund Zuklappen der einzelnen Abschnitte zu erreichen. Dies fhrt bei der
Anzeige zu einer Warnmeldung im Internet Explorer, die zunchst besttigt werden muss, um die volle Funktionalitt der Seite zu erhalten.
Zu jeder Einstellung wird der Pfad zur Richtlinie dokumentiert und welches Gruppenrichtlinienobjekt letztendlich fr den Wert verantwortlich ist.
532
Ausgewhlte Anwendungsbeispiele
Abbildung 11.22
HTML-Ansicht auf
eine Gruppenrichtlinie
11.6 Ausgewhlte
Anwendungsbeispiele
Leider lsst sich hier im Buch nicht fr jede der mehrere Tausenden Einstellungen umfassende Liste der Richtlinien ein Anwendungsbeispiel anfhren.
Die hier prsentierten Beispiele sollen nur ein Hinweis fr eigene Erkundungen sein.
11.6.1
Internet Explorer konfigurieren
Jeder Benutzer, der zum ersten Mal den Internet Explorer startet, wird von Willkommen
einem Startdialog genervt, in dem bestimmte Einstellungen abgefragt wer- bei ...
den. Dieses Dialogfeld kann man seinen Benutzern ersparen. Setzen Sie die
folgenden Werte in einer Richtlinie:
Benutzerkonfiguration/Administrative Vorlagen/Windows Komponenten/Internet Explorer
Anzeige von "Einstellung anpassen" beim ersten Programmstart verhindern
Aktiviert: Direkt zur Startseite springen
nderungen am Standardsuchanbieter einschrnken
Aktiviert
Benutzerkonfiguration/Windows-Einstellungen/Internet Explorer-Wartung/
URLs
Wichtige URLs
URL der Startseite: about:blank
11
533
Mit diesen Einstellungen erhlt ein neuer Benutzer einen sofort einsetzbaren
Internet Explorer, ohne sich zunchst mit einer Konfiguration des Suchanbieters oder der MSN-Startseite beschftigen zu mssen. Theoretisch wre
auch eine Konfiguration des Suchanbieters mglich, hierzu ist allerdings
eine eigene ADMX-Vorlage notwendig, eine Beschreibung des Vorgangs findet sich in der Erklrung zur obigen Einstellung. Wahlweise knnen Sie
natrlich auch statt der leeren Seite about:blank die Adresse der Firmenhomepage eintragen. An dieser Stelle ist es auch mglich, dem Internet
Explorer gleich eine Liste mit Eintragungen fr die Favoriten mitzugeben.
11.6.2
USB-Gerte kontrollieren
In der heutigen Zeit hat man oftmals die Anforderung, die Verwendung
von USB-Massenspeichern zu verhindern, um den Abfluss von Daten zu
unterbinden. In frheren Versionen von Windows bedeutete dies, dass
man die USB-Anschlsse komplett sperren musste. Ein etwas problematischer Ansatz, wenn man den USB-Anschluss fr Maus und Tastatur
verwendet. Um diesem Problem zu begegnen, knnen Sie an zwei Stellen
das System entsprechend konfigurieren.
Gerteinstallation verbieten
Kein Treiber,
keine Nutzung
Zum Zugriff auf ein Gert (egal ob USB oder ein anderer Typ) braucht
Windows einen zu dem Gert passenden Treiber. Normalerweise wird
dieser Treiber geladen, sobald das entsprechende Gert zum ersten Mal
mit dem System verbunden wird, im Systray kann man die entsprechenden Meldungen erkennen. Mit den Gruppenrichtlinien im Bereich
Computerkonfiguration/Administrative Vorlagen/System/Gerteinstallation/Einschrnkungen bei der Gerteinstallation kann konfiguriert werden, welche
Gerte installiert werden drfen und welche nicht.
Die Einstellungen in diesem Bereich arbeiten eng mit der Hardwareerkennung von Windows 7 zusammen. Wichtig sind hierbei Gerteklassen und
Gerte-ID (siehe Kapitel 2). Beide Angaben lassen sich im Gerte-Manager der
Computerverwaltung einsehen, wenn Sie die Registerkarte Details eines
installieren Gertes ffnen. Sofern Sie hier nicht sehr diffizil vorgehen wollen,
gibt es auch die Richtlinie Installation von Wechselgerten verhindern. Diese
kann allerdings auch ungewollt mehr sperren, als ursprnglich gedacht. In
diesem Bereich ist vieles nur durch Ausprobieren und Testen zu erreichen.
Aktionen auf USB-Gerten verbieten

Deutlich granularer lassen sich Richtlinien einsetzen, die angeben, welche
Aktionen ein Benutzer mit bestimmten Typen von Datenspeichern durchfhren kann. Die folgenden Richtlinien existieren sowohl im Bereich der
Computer- als auch im Bereich der Benutzerkonfiguration, sodass diese
auch selektiv nur fr bestimmte Anwender verwendet werden knnen.
Die Richtlinien finden Sie im Bereich Computerkonfiguration/Administrative
Vorlagen/System/Wechselmedienzugriff und im Bereich Benutzerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff. Fr die Gerte-
534
Ausgewhlte Anwendungsbeispiele
klassen CD und DVD, Diskettenlaufwerke, Wechseldatentrger, Bandlaufwerke

und Mediagerte (MP3-Player, Mobiltelefone) kann jeweils getrennt festgelegt werden, ob ein lesender, schreibender oder ausfhrender Zugriff
erlaubt oder verboten ist. Auf diese Weise knnte man beispielsweise dafr
sorgen, dass zwar Daten eines USB-Sticks gelesen, jedoch keine Daten darauf gespeichert werden knnen.
Im Zusammenhang mit der BitLocker-Verschlsselung (siehe Kapitel 13)
kann ber die Richtlinien in Computerkonfiguration/Administrative Vorlagen/
Windows-Komponenten/BitLocker-Laufwerkverschlsselung/Wechseldatentrger festgelegt werden, dass ein schreibender Zugriff auf einen Wechseldatentrger nur erlaubt wird, wenn dieser auch verschlsselt wurde. Zudem
knnen ber eine weitere Richtlinie Vorschriften fr das zu verwendende
Kennwort definiert werden. Diese Einstellungen lassen sich nur auf Ebene
der Computerkonfiguration festlegen.
11.6.3
Sicherheit erhhen
Um die Sicherheit eines System zu erhhen, sind (neben vielen anderen Vertrauen ist gut,
Einstellungen) zwei Dinge wichtig: die eigenen Benutzer zur Verwendung Kontrolle ist
von guten Kennwrtern anzuleiten und festzustellen, ob jemand versucht, besser
in das System einzubrechen. Beide Ziele lassen sich mittels Gruppenrichtlinien erreichen.
Kennwrter ndern
Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/
Kontorichtlinien/Kennwortrichtlinien
Kennwort muss Komplexittsvoraussetzungen entsprechen
Aktiviert
Kennwortchronik erzwingen
vier gespeicherte Kennwrter
Maximales Kennwortalter
Aktiviert: 42 Tage
Minimale Kennwortlnge
acht Zeichen
Minimales Kennwortalter
ein Tag
Welche Auswirkungen haben diese Einstellungen? Zunchst wird verhindert, dass ein Benutzer Trivialkennwrter wie etwa 12345678 verwendet.
Zudem wird festgelegt, dass ein Kennwort mindestens acht Zeichen lang
sein muss. Sptestens alle 42 Tage muss sich der Benutzer ein neues Kennwort ausdenken, und er darf dabei keines seiner bisherigen vier letzten
Kennwrter verwenden. Um zu verhindern, dass der Benutzer einfach in
schneller Folge zwischen Kennwort1, Kennwort2, Kennwort3 und Kennwort4
wechselt, muss er jedes Kennwort mindestens einen Tag lang verwenden.
In den Einstellungen des Benutzers im Bereich Lokale Benutzer und Gruppen
im Bereich der Computerverwaltung kann fr einen Benutzer die Option
11
535
Kennwort luft nie ab gesetzt werden, womit die Aufforderung zum ndern
des Kennworts fr diesen Benutzer unterbleibt. Ansonsten erhlt ein
Benutzer mit abgelaufenem Kennwort beim Anmelden eine entsprechende
Meldung und die Aufforderung zum ndern desselben. Diese Einstellung
eignet sich besonders fr Dienst-Accounts, die speziell nur fr die Verwendung bei einer nicht interaktiven Anmeldung gedacht sind.
Diese Einstellung kann in einer Active Directory-Domne fr die Domnenaccounts nur in der Domain Policy festgelegt werden und gilt dann
gleichermaen fr alle Benutzeraccounts. Erst mit Windows Server 2008
kann man hierbei unterschiedliche Richtlinien fr einzelne Teile des
Active Directory festlegen.
Konten bei Missbrauchsverdacht sperren

Kontorichtlinien/Kontosperrungsrichtlinie
Kontensperrungsschwelle
drei ungltige Anmeldeversuche
Kontosperrdauer
30 Minuten
Zurcksetzungsdauer des Kontosperrungszhlers
30 Minuten
Mit diesen Einstellungen kann man ein System gegenber einem Einbruchsversuch durch Ausprobieren mglicher Kennwrter schtzen. Werden bei
einem Benutzerkonto innerhalb von 30 Minuten mehr als drei fehlerhafte
Kennworteingaben festgestellt, wird das Konto automatisch fr 30 Minuten
gesperrt. Nach Ablauf dieser 30 Minuten wird die Sperre automatisch wieder aufgehoben, auch ohne manuellen Eingriff eines Administrators. Wird
die Sperrdauer auf 0 gesetzt, findet keine automatische Entsperrung statt.
Anmeldungen berwachen
Lokale Richtlinien/berwachungsrichtlinie
Anmeldeergebnisse berwachen
Fehler
Anmeldeversuche berwachen
Fehler
Systemereignisse berwachen
Fehler
Durch diese Einstellungen werden Versuche, auf geschtzte Bereiche des
Systems zuzugreifen, im Sicherheitsprotokoll mitnotiert. Findet man dort
beispielsweise massenhaft fehlgeschlagene Zugriffsversuche von einem
System aus, sollte man dieses System auf das Vorkommen einer Schadsoftware berprfen, die versucht, andere Systeme ber erratene Kennwrter zu infizieren.
536
12
Die Registrierungsdatenbank
Zur Speicherung von Konfigurations- und anderen Informationen bietet

Windows 7 wie auch schon die Vorgngersysteme eine Registrierungsdatenbank an, oft auch krzer mit dem englischen Ausdruck Registry benannt.
Erstmals wurde die Registry mit Windows 95 vorgestellt, war damals allerdings noch nicht so umfangreich wie heute. Da frhere Windows-Versionen
(bis 3.11) die Konfigurationsinformationen in einzelnen Dateien ansammelten (config.sys und autoexec.bat fr den Systemstart, win.ini und system.ini
fr Windows selber und weitere .ini-Dateien fr andere Anwendungen),
ergab dies eine wilde, undurchsichtige Mischung, in der es durchaus vorkommen konnte, dass zwei Anwendungen die gleiche Konfigurationsdatei
verwenden wollten. Zudem ergab sich die Frage, wo man die Dateien
abspeichern sollte. Fr Programmierer, die diese Konfigurationsdateien in
eigenen Anwendungen verwenden wollten, ergab sich zudem noch das
Problem, dass sie in ihren Programmen jeweils Routinen einbauen mussten,
die zum Beispiel Zahlen in Textdarstellung aus der Datei lesen und dann zur
Verarbeitung umwandeln mussten.
Ein weiteres Problem bei Konfigurationsdateien betrifft die Berechtigung, Probleme bei
auf bestimmte Werte zuzugreifen knnen. Dies kann immer nur auf der einfachen
Ebene der kompletten Konfigurationsdatei geschehen, eine Unterteilung auf Dateien
einzelne Werte wre nur mglich, wenn die Konfigurationsdateien in einzelne Dateien aufgeteilt wrden. Aus diesem Grund wrde fr die Registry
ein datenbankhnlicher Aufbau gewhlt. Fr die Programmierer wurden
spezielle API-Funktionen zur Verfgung gestellt, mit denen auf die Werte
der Registry zugegriffen werden kann. Diese Funktionen beachten dabei die
Zugriffsrechte auf die einzelnen Elemente.
Diese Datenbankstruktur schuf aber gleichzeitig auch Probleme. Bei einer
Konfigurationsdatei kann man leicht eine Kopie der Datei zur Seite legen
537
Kapitel 12 Die Registrierungsdatenbank
und nach einer nderung durch einen einfachen Textvergleich feststellen, welche nderungen erfolgt sind. Man kann auf diese Weise viele verschiedene Generationen solcher Dateien archivieren und so die Entwicklung eines Systems ber lange Zeit verfolgen. Bei der Registry ist dies
nicht so einfach mglich, hierzu bentigt man Zusatzprogramme (siehe
den Abschnitt 12.9.2 ab Seite 578). Zudem kann man bei nderungen in
einer Textdatei sich vor dem Speichern immer noch berlegen, ob man
diese nderungen wirklich durchfhren will. Anders als in einem Texteditor werden nderungen, die zum Beispiel mit dem RegistrierungsEditor (siehe den Abschnitt 12.3 ab Seite 558) durchgefhrt werden, sofort
im System aktiv, eine Rckgngig-Funktion existiert nicht.
In den Artikeln der Microsoft Knowledge Base steht bei jeder Aktion, welche die Registry betrifft, ein Warnhinweis, dass diese nderungen ungeahnte Folgen haben knnen. Nehmen Sie diese Warnungen ernst! Eine
Rcksicherung eines vorigen Backups der Registry hilft ihnen erst einmal
nichts, wenn nach der nderung das Betriebssystem nicht mehr startet.
12.1 Der Aufbau der Registry

Bume, Schlssel
und Werte
hnlich dem Dateisystem bildet auch die Registry eine Baumstruktur aus
Schlsseln und Unterschlsseln, in der Werte die Rolle der Dateien bernehmen. Fr einen ersten Blick auf die Registry verwenden Sie den Registrierungs-Editor. Diese Anwendung ist nicht im Startmen von Windows
7 verlinkt, sondern muss direkt ber den Programmnamen regedit.exe aufgerufen werden. Klicken Sie auf die Start-Schaltflche, und schreiben Sie
in das Suchfeld das Wort regedit. Das gefundene Programm wird oben in
der Liste angezeigt und kann durch einen Doppelklick oder durch Drcken der Taste () gestartet werden.
Abbildung 12.1
UAC-Abfrage beim
Start von regedit.exe
Regedit nur nach

UAC-Abfrage
538
Sofern Sie mit einem Konto mit administrativen Berechtigungen angemeldet sind, mssen Sie den Aufruf durch eine UAC-Abfrage besttigen. Als
normaler Standardnutzer erfolgt diese Abfrage nicht, allerdings haben Sie
dann auch nur sehr eingeschrnkte Zugriffsrechte auf bestimmte Teile der
Registry. Dies gilt auch, wenn in einer Active Directory-Umgebung ein
Benutzer Mitglied der Gruppe der Domnen-Administratoren ist.
Der Aufbau der Registry
Im linken Fenster sehen Sie eine Baumstruktur, die Sie beim Klick auf das
weie Dreieck vor einem Schlsselnamen aufund beim Klick auf das
schwarze Dreieck vor dem Schlsselnamen wieder zuklappen knnen. Im
rechten Fenster sehen Sie dann alle Werte, die unter dem links markierten
Schlssel liegen. Hier im Beispiel sehen Sie den Wert InstallRoot im Pfad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework, unter
dem die Zeichenkette C:\Windows\... abgespeichert ist.
Abbildung 12.2
Ein erster Blick auf
die Registry mit
Schlsseln und
Unterschlsseln
Genau wie im Explorer knnen Sie die Zweige der Baumstruktur mit
den Cursortasten auf- beziehungsweise zuklappen und durch Eingabe
von Buchstabenfolgen zum nchsten passenden Eintrag springen. Mit
der Taste () wechseln Sie zwischen der linken und rechten Hlfte
des Fensters.
Die Schlsselnamen der obersten Ebene (also direkt unterhalb von Com- Hauptschlssel
puter) sind bei allen Systemen identisch und haben bestimmte vordefi- der Registry
nierte Namen, die auch bei allen Versionen von Windows gleich sind.
Dies sorgt fr die Kompatibilitt von Programmen. Im Englischen werden diese Schlssel der obersten Ebene auch als Hive (Haufen) bezeichnet
und meistens mit ihrer in der folgenden Tabelle in Klammern stehenden
Kurzform angesprochen. Im Folgenden wird aus Grnden der Lesbarkeit
im Flietext immer die verkrzte Form verwendet.
Schlssel
Verwendung
HKEY_CLASSES_
ROOT (HKCR)
In diesem Schlssel verwaltet Windows 7 alle

Einstellungen zum Thema Dateitypen, also zum Beispiel welche Dateitypen es gibt, welche Dateinamenserweiterungen zu einem Dateityp gehren und
welche Aktionen mit einer derartigen Datei mglich
sind. Der Schlssel ist hierbei tatschlich eine Kombination der Informationen aus HKLM\SOFTWARE\
Classes und HKCU\Software\Classes.
Tabelle 12.1: bersicht ber die Schlssel der obersten Ebene
539
12
Schlssel
Verwendung
HKEY_CURRENT_
USER (HKCU)
In diesem Schlssel liegen alle benutzerbezogenen

Daten, die Windows 7 fr den aktuell angemeldeten
Benutzer vorhlt. Dieser Schlssel wird beim Anmelden
geladen und beim Abmelden wieder entfernt.
HKEY_LOCAL_
MACHINE (HKLM)
In diesem Schlssel liegen alle maschinenbezogenen

Daten, zum Beispiel die Informationen ber die
installierten Programme.
HKEY_USERS (HKU) In diesem Schlssel sind all die einzelnen HKCU-Schlssel der aktuell am System aktiven Benutzer gesammelt.
HKEY_CURRENT_
CONFIG (HKCC)
In diesem Schlssel finden sich alle Informationen ber

das beim Systemstart verwendete Hardwareprofil.
Tabelle 12.1: bersicht ber die Schlssel der obersten Ebene (Forts.)
12.1.1
Sonderflle in der Registry
Mit dem Aufkommen von 64-Bit-Systemen und Windows Vista ergaben

sich einige Spezialflle, die im Bereich der Registry zu besonderen Effekten fhren.
64-Bit-Systeme
Mit der Vorstellung der 64-Bit-Systeme bei Windows XP, Windows Vista und
jetzt Windows 7 hat Microsoft eine weitere Komplikation in die Registry eingebaut. Damit die Mglichkeit besteht, einer 32-Bit-Applikation, die auf
einem 64-Bit-System luft, eine andere Konfiguration zu geben als der gleichen 64-Bit-Applikation, wurde eine Spezialbehandlung fr den Schlssel
HKLM\SOFTWARE eingefhrt. Sofern ein 32-Bit-Programm auf einer 64-BitPlattform auf den Schlssel HKLM\SOFTWARE zugreift, wird in Wirklichkeit ein Zugriff auf den Schlssel HKLM\SOFTWARE\Wow6432Node durchgefhrt.
Listing 12.1
Unterschiede
zwischen 32-Bitund 64-BitApplikationen
\>regxp32 query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion /v ProgramFilesDir
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
ProgramFilesDir
REG_SZ C:\Program Files (x86)
\>reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion /v ProgramFilesDir
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
ProgramFilesDir
REG_SZ
C:\Program Files
C:\>reg query HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\
Windows\CurrentVersion /v ProgramFilesDir
HKEY_LOCAL_MACHINE\SOFTWARE\WoWMicrosoft\Windows\CurrentVersion
ProgramFilesDir
REG_SZ
C:\Program Files (x86)
Im Beispiel in Listing 12.1 wurde auf einer 64-Bit-Installation von Windows 7

die Anwendung reg.exe einer 32-Bit-Installation von Windows XP (mit dem
Namen regxp32) ausgefhrt. Man kann hierbei sehen, dass 32-Bit- und 64-
540
Bit-Applikationen jeweils eine unterschiedliche Angabe fr die Lage des

Installationsverzeichnisses fr neue Anwendungen (der Eintrag ProgramFilesDir) bekommen.
Reflector und Redirector

In Windows Vista und Windows Server 2008 wurde eine Technik mit
der Bezeichnung Registry Reflection verwendet, die automatisch Informationen zwischen bestimmten Teilen der Registry kopiert hat. Dieses
Verfahren wurde mit Windows 7 und Windows Server 2008 R2 wieder
eingestellt.
Mit Windows 7 und Windows Server 2008 R2 wurde jetzt neu die Funktion
des Registry Redirectors eingefhrt. Hierbei greifen Programme auf den Pfad
unterhalb von HLKM\SOFTWARE zu und werden automatisch auf den
jeweiligen Key im passenden Teil der Registry ungeleitet. Dies geschieht
transparent fr die jeweilige Anwendung. Bei manchen Unterschlsseln findet jedoch keine Umleitung statt, da diese sowohl fr 32-Bit- als auch fr
64-Bit-Anwendungen den gleichen Inhalt prsentieren mssen.
Die genaue Funktionsweise dieses System knnen Sie auf der Seite
[REGRED1] nachlesen. Unter [REGRED2] finden Sie eine Auflistung aller
Schlssel, die vom Registry Redirector speziell behandelt werden.
Virtualisierung
Mit Windows Vista wurde zudem eine Technik mit dem Namen Registry
Virtualisierung eingefhrt. Diese richtet sich speziell an ltere (32-Bit-)
Anwendungen, die fr frhere Versionen von Windows erstellt wurden.
Bei diesen Programmen erwarteten die Programmierer oftmals, dass ihre
Anwendung vollen Zugriff auf alle Bereich des Systems hatte. Dies fhrte
insbesondere dazu, dass diese Programme schreibend auf Bereiche im
System zugegriffen haben, in denen normale Benutzer keinen Zugriff
erhalten sollen. Unter Windows XP hatte man dann die Wahl, entweder
den Benutzer zum Administrator des Computers zu erheben oder erweiterte Berechtigungen auf bestimmte Teile des Systems zu vergeben. Beides ist vom Standpunkt der Systemsicherheit her nicht optimal.
Mit der Virtualisierung hat Microsoft eine Mglichkeit geschaffen, bei der Hilfe fr
schreibende Zugriffe einer Anwendung auf eigentlich geschtzte Bereiche Altprogramme
des Systems (Registry und Dateisystem) auf einen dem Benutzer zugeordneten Teil des System umgeleitet werden. Fr die Anwendung sieht es weiterhin so aus, als ob sie schreibend auf den geschtzten Bereich zugreifen
knnte. Tatschlich wird der Zugriff aber auch in einen anderen Bereich
umgeleitet. Nher wird dieses Konzept auf [REGVIR] von Mark Russinovich (dem Schpfer von Sysinternals) erlutert.
12.1.2
Registry und Dateisystem
Die einzelnen Schlssel der Registry werden in Dateien im Dateisystem

abgespeichert. Fr den Zugriff auf diese Dateien hat Windows 7 (wie
auch schon Windows Vista) einige Hrden eingebaut, selbst fr Benutzer
541
12
mit administrativen Rechten. Zunchst stellt sich das Problem, dass der
Zugriff auf das Verzeichnis %SystemRoot%\System32\config (also typischerweise C:\Windows\System32\config) von den NTFS-Berechtigungen
im Dateisystem unterbunden wird. Beim Versuch des Zugriffs mit dem
Explorer erscheint eine Fehlermeldung.
Abbildung 12.3
Zugriffsversuch auf
den Ordner config
Sobald Sie den Zugriff mit Fortsetzen erlauben, werden die NTFS-Berechtigungen des Ordners erweitert, um Ihrem Benutzeraccount (der natrlich ber administrative Berechtigungen verfgen muss) den Zugriff auf
den Ordner und die enthaltenen Dateien zu gestatten. Unter Windows XP
und Windows 2003 Server war normalen Benutzern der lesende Zugriff
auf diesen Ordner noch erlaubt.
Die Erweiterung der Zugriffsberechtigungen sollten Sie allerdings besser nur auf einem Testsystem durchfhren, da diese nderung zum
einen die Sicherheit des Systems schwcht und zum anderen nicht wieder rckgngig gemacht werden kann.
Einige der Dateien selbst sind nicht direkt lesbar und werden von Windows 7 auch im Explorer blicherweise nicht dargestellt; sie sind mit dem
Attribut Hidden (Verborgen) versehen (siehe Kapitel 6). Um die Dateien
anzuzeigen, mssen Sie im Explorer folgende Einstellung ndern: Organisieren/Ordner- und Suchoptionen/Ansicht und dann unter Erweiterte Einstellungen das Kontrollkstchen Geschtze Systemdateien ausblenden (empfohlen) deaktivieren sowie die Einstellung Versteckte Dateien und Ordner
umstellen auf Ausgeblendete Dateien, Ordner und Laufwerke anzeigen. Diese
Einstellung mssen Sie ber ein Dialogfeld besttigen.
Abbildung 12.4
Sicherheitsabfrage
im Explorer
Registry in
Registry
542
Die einzelnen Dateien knnen Sie nach der nderung der Einstellungen im
genannten Verzeichnis %SystemRoot%\System32\config vorfinden. Die
genaue Liste, welche Dateien aktuell an welcher Position in der Registry
verbunden sind, steht selbst wiederum in der Registry an HKLM\
SYSTEM\CurrentControlSet\Control\hivelist. In Listing 12.2 knnen Sie
sehen, welche Dateien aktuell an welcher Stelle in der Registry geladen sind.

C:\>reg query HKLM\SYSTEM\CurrentControlSet\Control\hivelist
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist
\REGISTRY\MACHINE\HARDWARE
REG_SZ
\REGISTRY\MACHINE\BCD00000000
REG_SZ
\Device\HarddiskVolume2\Boot\BCD
\REGISTRY\MACHINE\SOFTWARE
REG_SZ
\Device\HarddiskVolume3\Windows\System32\config\software
\REGISTRY\MACHINE\SYSTEM
REG_SZ
\Device\HarddiskVolume3\Windows\System32\config\system
\REGISTRY\USER\.DEFAULT
REG_SZ
\Device\HarddiskVolume3\Windows\System32\config\default
\REGISTRY\MACHINE\SECURITY
REG_SZ
\Device\HarddiskVolume3\Windows\System32\config\security
\REGISTRY\MACHINE\SAM
REG_SZ
\Device\HarddiskVolume3\Windows\System32\config\sam
\REGISTRY\USER\S-1-5-20
REG_SZ
\Device\HarddiskVolume3\Windows\ServiceProfiles\
NetworkService\ntuser.dat
\REGISTRY\USER\S-1-5-19
REG_SZ
\Device\HarddiskVolume3\Windows\ServiceProfiles\
LocalService\ntuser.dat
\Registry\User\S-1-5-21-...-1001
REG_SZ
\Device\HarddiskVolume3\Users\jochenr\ntuser.dat
\Registry\User\S-1-5-21-...1001_Classes
REG_SZ
\Device\HarddiskVolume3\Users\jochenr\
AppData\Local\Microsoft\Windows\UsrClass.dat
\REGISTRY\MACHINE\COMPONENTS
REG_SZ
\Device\HarddiskVolume3\Windows\System32\config\components
Listing 12.2
Dateien der Registry
in der Registry
Der Pfad zu den Dateien wird nicht mit Laufwerksbuchstaben gekennzeichnet, sondern die einzelnen Laufwerke im System werden mit einer Bezeichnung HarddiskVolume3 benannt. Dies ist deshalb notwendig, weil sich ja die
Laufwerksbuchstaben auch ndern lassen. Den aktuellen Laufwerksbuchstaben knnen Sie sich mittels Systemsteuerung/System und Sicherheit/Verwaltung/Computerverwaltung/Datentrgerverwaltung (oder einfach part in das
Suchfeld der Systemsteuerung eingeben) ansehen.
Abbildung 12.5
Auflistung der Laufwerke in der Datentrgerverwaltung
In Abbildung 12.5 erkennen Sie, dass das in der Registry vermerkte

HardDiskVoume3 tatschlich den Laufwerksbuchstaben C (dritter Block in
der Zeile Datentrger 0) besitzt. Die Dateien der Registry, die dort als \Device\
HarddiskVolume3\Windows\System32\config\software vermerkt sind, liegen
also tatschlich in C:\Windows\System32\config\software. Zu jeder dieser
Dateien fhrt Windows 7 zustzlich noch eine Reihe von Logdateien. Diese
sind aber nur fr die interne Verarbeitung von Windows relevant.
Unterhalb des Verzeichnisses config existiert seit Windows Vista noch ein Eingebautes
Verzeichnis RegBack, in dem automatisch von einem Systemprozess ein Backup
Backup der Registry kopiert wird. Diesen Prozess knnen Sie ber die
543
12
Aufgabenplanung kontrollieren (siehe Kapitel 14): Systemsteuerung/System

und Sicherheit/Verwaltung/Aufgabenplanung. Im linken Fenster der Aufgabenplanung navigieren Sie zu Aufgabenplanung (Lokal)/Aufgabenplanungsbibliothek/Microsoft/Registry (siehe Abbildung 12.6). Wenn Sie dann im rechten Fenster unten auf Eigenschaften klicken, knnen Sie beispielsweise auf
der Registerkarte Trigger den Zeitplan abndern oder auf der Registerkarte Bedingungen angeben, dass die Aufgabe nur ausgefhrt werden soll,
wenn der Computer mit Netzteil betrieben wird.
Abbildung 12.6
Registry-Backup als
definierte Aufgabe
Bei den auf diese Weise erzeugten Sicherungskopien wird allerdings immer
nur die letzte Version aufbewahrt, und zur Rcksicherung kann man nicht
das aktuell laufende Betriebssystem verwenden. Die typische Vorgehensweise beim Rcksichern derartiger Sicherungsdateien ist deshalb das Booten mit der Windows 7-Installations-DVD und der Auswahl der Sicherungskonsole (siehe den Abschnitt 12.8.1 ab Seite 574).
Von den fnf Hauptschlsseln der Registry finden wir allerdings keinen,
der alleinig aus einer Datei besteht. Aus der bersicht (Listing 12.2) lsst
sich erkennen, dass der Zweig HKLM aus insgesamt sieben Dateien
zusammengesetzt ist, die jede einen einzelnen Unterschlssel von HKLM
abdeckt. Gleiches gilt fr den Zweig HKU, hier sind im aktuellen Beispiel
fnf Unterschlssel geladen. Die Hauptschlssel HKCR, HKCU und
HKCC tauchen berhaupt nicht in der Liste auf. Im Abschnitt 12.2 ab Seite
550 werden die einzelnen Unterschlssel genauer erlutert.
12.1.3
Datentypen in der Registry
Die Registry ist in der Lage, sehr unterschiedliche Typen von Daten aufzunehmen, eine vollstndige Auflistung aller Typen findet sich bei Microsoft
auf der Seite [REGDAT]. Hier werden nur die fr die praktische Arbeit
wichtigsten Typen vorgestellt. Zudem knnen auch nicht alle mglichen
544
Werte mit den Programmen regedit.exe (siehe den Abschnitt 12.3 ab Seite
558) oder reg.exe (siehe den Abschnitt 12.4 ab Seite 569) erzeugt werden.
Datentyp Verwendung
REG_
BINARY
Enthlt unstrukturierte Binrdaten. Die Applikation, die diese

Daten verwendet, bestimmt den genaueren Inhalt. Beim Editieren von Binrdaten sollte man besonders vorsichtig sein. Im
Eingabedialog von regedit.exe fr Binrdaten ist es nicht mglich, einzelne Bytes zu entfernen oder hinzuzufgen. Hierfr
mssen Sie den Umweg ber den Export und Import einer
Registry-Datei gehen (siehe den Abschnitt 12.3.5 ab Seite 564).
REG_
DWORD
Eine Zahl zwischen 0 und 2321 = 4.294.967.295 (32 Bit Wort,

4 Byte). Die Varianten _LITTLE_ENDIAN und _BIG_ENDIAN
beschreiben, wie die einzelnen Byte mit welcher Wertigkeit in
den Daten angeordnet sind. Bei Prozessoren vom Pentium-Typ
wird hier immer die LITTLE-ENDIAN-Reihenfolge angewendet.
Nher wird dieses Prinzip unter [ENDIAN] erklrt.
REG_SZ
Eine Zeichenkette, die (je nach verwendeter Zugriffsfunktion)

ANSI- oder Unicode-codierte Zeichen enthlt. Wichtig, wenn
Sie mit einem Programm, das in C geschrieben ist, auf diese
Werte zugreifen wollen. Das abschlieende Nullbyte (0x0)
wird nicht in der Registry abgespeichert.
REG_
EXPAND_
SZ
Im Prinzip wie REG_SZ, allerdings knnen in der Zeichenkette

Verweise auf Umgebungsvariablen eingefgt sein, die automatisch beim Auslesen ersetzt werden. Damit kann man zum
Beispiel Pfadgaben flexibel gestalten, also %USERPROFILE%\
Desktop verwenden, statt der festen Angabe C:\Users\
<Benutzername>\Desktop. Wird dann das Benutzerprofil
verschoben, zum Beispiel auf ein anderes Laufwerk, enthlt
die Zeichenkette automatisch den korrekten Wert.
REG_
MULTI_SZ
Eine Ansammlung von mehrzeiligen Zeichenketten. Die einzelnen Zeilen werden durch Nullbytes (0x0) voneinander abgetrennt, Ein doppeltes Nullbyte (0x0 0x0) kennzeichnet das
Ende des Wertes.
REG_LINK
Dieser Wert bezeichnet einen Verweis innerhalb der Registry.

Damit lassen sich spezielle Registry-Pfadangaben erzeugen.
Microsoft empfiehlt, diesen Datentyp nur dann zu verwenden,
falls dies fr bestimmte Applikationen unbedingt notwendig
sein sollte.
REG_
QWORD
Bezeichnet einen Zahlenwert, der 64 Bit enthlt, also doppelt

so viele Daten wie ein REG_DWORD. Dieser Datentyp wurde
erstmal in Windows 2000 verwendet, damals noch als spezielle Form von REG_BINARY. Erst seit Windows Vista steht dieser Datentyp auch in regedit.exe zur Verfgung.
Tabelle 12.2
Datentypen der
Werte in der
Registry
Zwar knnen theoretisch auch sehr groe Datenwerte in der Registry

gespeichert werden (ein REG_BINARY-Wert von knapp 1 MB Gre ist problemlos mglich), aber Microsoft selbst empfiehlt, keine einzelnen Datenfelder in der Registry abzuspeichern, die grer als 2.048 Byte sind. Muss man
545
12
grere Werte speichern, sollte man diese in einer separaten Datei ablegen
und in der Registry einen Verweis auf den Dateinamen abspeichern.
12.1.4
Schlssel sind
wie Dateien
Berechtigungen in der Registry
Genauso wie bei Dateien in einem NTFS-Dateisystem verwaltet Windows 7

auch bei Schlsseln und Werten in der Registry Berechtigungen, wer die
Daten lesen oder wer sie verndern darf. Whlen Sie im RegistrierungsEditor im linken Fenster einen Schlssel oder im rechten Fenster einen Wert
aus, und klicken Sie im Men auf Bearbeiten/Berechtigungen. Bei einem
Schlssel knnen Sie auch mit der rechten Maustaste das Kontextmen des
Schlssels aufrufen und dort den Befehl Berechtigungen auswhlen. In beiden
Fllen sind allerdings die Berechtigungen des Schlssels als kleinste adressierbare Einheit anzugeben. Es ist nicht mglich, die Berechtigungen auf einzelne Werte unabhngig von ihrem sie enthaltenden Schlssel zu vergeben.
Abbildung 12.7
Kontextmen eines
Schlssels
Abbildung 12.8
Berechtigungen
eines Schlssels
Analog zum Dateisystem werden auch in der Registry die Berechtigungen

vererbt, sodass es zum Beispiel ausreicht, die Berechtigungen auf einem
Schlssel abzundern, um die Berechtigungen bei allen enthaltenen Werten
546
und Unterschlsseln ebenfalls zu ndern. Wenn Sie im Dialogfeld oben im

Feld Gruppen- oder Benutzernamen einen Namen auswhlen, knnen Sie an
dem Status der Kontrollkstchen unten ersehen, welche Berechtigungen
der gewhlte Benutzer oder die gewhlte Gruppe haben.
Per Klick auf Hinzufgen knnen Sie zustzliche Namen in die Liste aufnehmen, um weiteren Benutzern Zugriffsrechte zuzuweisen oder zu versagen.
Ebenso wie im Dateisystem gilt auch hier, dass das Versagen eines Zugriffsrechts immer Vorrang gegenber dem Erlauben besitzt. Wird einem Benutzer also zum Beispiel das Recht zum Lesen versagt und bekommt er gleichzeitig vollen Zugriff als Mitglied einer Gruppe zugeteilt, so hat er trotzdem
keinen Zugriff.
Abbildung 12.9
Hinzufgen von
Benutzern zu den
Berechtigungen
Sie knnen den Namen eines Benutzers oder einer Gruppe entweder
direkt in das Feld Objektnamen eintippen, oder Sie knnen ber die Schaltflche Erweitert eine Suchfunktion aufrufen. Die Funktion werden Sie insbesondere in einer Active Directory-Umgebung mit vielen Benutzern und
Gruppen verwenden. In diesem eher schlichten Dialogfeld hat man nur
die Mglichkeit, die Berechtigungen Vollzugriff und Lesen zu vergeben.
Wenn diese Berechtigungen nicht fein genug unterteilt sind, lassen sich
durch die Schaltflche Erweitert in Abbildung 12.8 genauer gegliederte
Berechtigungen vergeben.
Abbildung 12.10
Detailansicht auf
Berechtigungen
547
12
Fr jeden Benutzer und jede Gruppe, denen Zugriffsrechte zugewiesen

sind, erkennt man:
ob eine Berechtigung zugelassen oder verweigert wird
welche Berechtigung vergeben wurde
ob die Berechtigung aus einer bergeordneten Ebene vererbt wurde
ob die Berechtigung an Unterschlssel bzw. Werte im Schlssel weiter
vererbt werden sollen
Erben ohne
Erbschaftssteuer
Mit dem Kontrollkstchen Vererbbare Berechtigungen einschlieen kann man

steuern, ob die Berechtigungen des bergeordneten Schlssels auf den
aktuellen Schlssel bertragen werden sollen oder nicht. Deaktiviert man
das Kontrollkstchen, hat man die Wahl, ob man die bisherigen Berechtigungen belassen will (Schaltflche Hinzufgen) oder ob man mit einer
komplett leeren Berechtigungsliste beginnen mchte (Schaltflche Entfernen). Mit dem Kontrollkstchen Alle Berechtigungen ersetzen kann man
diese nderung quasi wieder auf oberer Ebene zurcksetzen. Hierdurch
werden alle Berechtigungen der aktuellen Ebene auf die darunter liegenden Schlssel vererbt und dort smtliche separat vergebenen Berechtigungen entfernt. Insbesondere auf den oberen Ebenen der Registry sollte man
diese beiden Funktionen mit Vorsicht verwenden.
Abbildung 12.11
Abschalten der
Vererbung
Insbesondere wenn es darum geht, einer (schlecht programmierten) Applikation Zugriffrechte auf einen Teil der Registry zu geben, kann man hier
die Berechtigungen passend einstellen. Beachten muss man dabei, dass
man nicht die Sicherheit eines Systems unntig weit lockert. Als Alternative kann man auch mit der Registry-Virtualisierung (siehe den Abschnitt
12.1.1 ab Seite 540) arbeiten. Informationen, wie sich erkennen lsst, auf
welche Teile der Registry man welchen Zugriff gestatten muss, finden Sie
in Abschnitt 12.9.3 ab Seite 582.
Spezielle
Berechtigungen
548
ber das Listenfeld bernehmen fr knnen Sie bestimmen, inwieweit die

gewhlte Einstellung auch fr Unterschlssel oder Werte im aktuellen
Schlssel bernommen werden soll. Die meisten dieser Berechtigungen
sind vom Namen her selbsterklrend, einige spezielle sollen trotzdem
erlutert werden.

Abbildung 12.12
Detaillierte
Zugriffsrechte
vergeben
Berechtigung
Funktion
Benachrichtigen
Erlaubt, Mitteilungen ber Zugriffe auf diesen

Schlssel zu erhalten.
Verknpfung erstellen
Erlaubt, eine Verknpfung auf diesen Schlssel zu

erstellen (siehe den Datentyp REG_LINK im
DAC schreiben
Erlaubt, die Zugriffsberechtigungen (DAC, Discretionary Access Control) auf den Schlssel zu verndern
Besitzer festlegen
Erlaubt, den Besitzer des Schlssels (siehe Registerkarte Besitzer in Abbildung 12.10) zu ndern
Lesekontrolle
Erlaubt das Anzeigen der Zugriffsberechtigungen
Tabelle 12.3
Spezielle RegistryBerechtigungen
Die Kontrolle der aktuell gesetzten Berechtigungen erfolgt ber die Registerkarte Effektive Berechtigungen. Zunchst klicken Sie die Schaltflche Auswhlen an und geben dort den Namen eines Benutzers oder einer Gruppe
ein. Dann knnen Sie im Feld Effektive Berechtigungen fr die einzelnen
Berechtigungen sehen, ob diese erlaubt sind oder nicht.
549
12

Abbildung 12.13
Berechtigungen, die
fr einen Benutzer
vergeben sind
12.2 Die Schlssel der Registry

Eines der grten Probleme im Umgang mit der Registry ist ihre Komplexitt und dabei insbesondere die Antwort auf die Frage: Welche Auswirkung hat die nderung dieses Wertes auf mein System? Bei einer separaten Konfigurationsdatei kann man ja derartige Informationen in Form
eines Kommentars innerhalb der Datei unterbringen, bei der Registry
bleibt einem als eingeschrnkte Kommentarfunktion nur der Name der
Schlssel und Werte. Im Folgenden werden wir deshalb nur einen groben
berblick ber die Hauptzweige der Registry und ber das, was man
dort fr Informationen vorfinden kann, geben. Fr detaillierte Informationen, welche Schlssel und Werte mit einem gegebenen Problem zusammenhngen, ist man auf Nachschlagewerke angewiesen.
Fr Applikationen und Betriebssystem von Microsoft sind hier insbesondere Microsoft TechNet (siehe [TECHNET]) und das Microsoft Developer
Network (siehe [MSDN]) zu nennen. Auch wenn viele Inhalte dieser beiden Seiten inzwischen auch auf Deutsch vorliegen, empfiehlt es sich,
immer nach englischen Suchbegriffen zu suchen. Gehen Sie zum Beispiel
zur TechNet-Seite, und geben Sie oben in das Suchfeld TCP/IP registry settings ein. Eventuell mssen Sie den Suchvorgang wiederholen und zustzlich das Kontrollkstchen Englische Ergebnisse einbeziehen aktivieren. Sofern
Sie bei den Ergebnissen keine Resultate finden, die direkt zu Windows 7
passen, kann es sich lohnen, innerhalb der technisch hnlichen Systeme
Windows Vista oder Windows Server 2008 zu suchen.
12.2.1
Der aktuelle
Benutzer
550
HKEY_CLASSES_ROOT (HKCR)
Der Schlssel HKEY_CLASSES_ROOT dient als Sammelstelle fr Informationen ber Dateitypen, COM-Objekte und ActiveX-Controls. Insbe-
Die Schlssel der Registry
sondere der Explorer verwendet die Informationen aus HKCR, um zu

entscheiden, was er mit einer vom Benutzer angeklickten Datei machen
soll. In der folgenden Abbildung wird dieser Vorgang erklrt.
Datei.txt
HKCR\.txt
Standardname
txtfile
HKCR\txtfile
HKCR\txtfile\shell
HKCR\txtfile\shell\
open\command
%SystemRoot%\
system32\
NOTEPAD.EXE
Abbildung 12.14
Verarbeitung von
Dateien im Explorer
Beim Klick auf die Datei (im Beispiel Datei.txt) stellt der Explorer zunchst
die Dateierweiterung fest. Diese sucht er (mit vorangestelltem Punkt) als
Schlssel direkt unterhalb von HKCR. Typischerweise findet er dort
zunchst eine lngere, ausgeschriebene Bezeichnung fr den Dateitypen
(hier .txtfile). Diesen wiederum sucht er als Schlssel unterhalb von HKCR.
Unterhalb dieses Schlssels liegt der Schlssel shell. Die Unterschlssel von
shell wiederum beschreiben alle Aktionen, die der Explorer mit dieser Datei
durchfhren kann. Diese Schlssel werden angezeigt, wenn man die Datei
im Explorer mit der rechten Maustaste anklickt.
Abbildung 12.15
Aktionen im
Explorer
In Abschnitt 12.1.1 ab Seite 540 konnten Sie sehen, dass fr den Schlssel
HKCR kein Verweis auf eine Datei mit den Daten im Zweig existiert. Tatschlich ist der Schlssel HKCR nur virtuell vorhanden und wird programmatisch aus den Bereichen HKLM\SOFTWARE\Classes und HKCU\Software\
Classes zusammengesetzt. Diese Methode wird seit Windows 2000 einge-
551
12
setzt, bei NT4 gab es den Bereich HKCU\Software\Classes noch nicht. Wird
ein Schlssel oder Wert aus HKCR abgefragt, so wird zunchst berprft, ob
dieser unterhalb von HKCU\Software\Classes existiert. Falls ja, wird der dortige Wert zurckgegeben, andernfalls der Wert unter HKLM\SOFTWARE\
Classes. Existiert der Wert sowohl unter HKCU\... als auch unter HKLM\...,
wird nur der Wert unter HKCU\... zurckgegeben.
Ein zusammengesetzter
Schlssel
Beim schreibenden Zugriff wird es komplizierter. Zunchst gilt zu beachten, dass der schreibende Zugriff sowohl auf HKCR als auch auf HKLM nur
Administratoren gestattet ist und dort auch nur, sofern die UAC aktiviert
wurde. Somit kann ein administrativer Benutzer trotzdem nicht schreibend
auf HKCR zugreifen, wenn das Programm, mit dem er arbeitet, keine UACAbfrage durchfhrt. Dies betrifft zum Beispiel auch das Programm reg.exe
(siehe den Abschnitt 12.4 ab Seite 569). Sofern allerdings ein Schlssel zuvor
unter HKCU angelegt wurde, sind danach auch schreibende Zugriffe auf
HKCR mglich, selbst fr normale Benutzer ohne administrative Berechtigungen.
Welchen Zweck verfolgt diese Aufspaltung?

Microsoft verfolgt mit diesem Ansatz den Zweck, sowohl kompatibel mit
alten Programmen zu bleiben als auch neue Mglichkeiten zu erlauben.
Unterschiedliche Benutzer knnen unterschiedliche Programme zur
Bearbeitung bestimmter Dateitypen einstellen. Insbesondere bei der
Bearbeitung von Quelltexten hat jeder Programmierer so seine persnlichen Vorlieben.
Die Abfrage des Schlssels HKCR bleibt auch fr alte Programme
erhalten. Diese mssen nicht auf die neue, getrennte Lage der Schlssel angepasst werden.
12.2.2
HKEY_CURRENT_USER (HKCU)
In diesem Zweig der Registry finden sich alle benutzerbezogenen Einstellungen. Diese Daten werden im lokalen Profil des Benutzers in der Datei
ntuser.dat direkt im Profilverzeichnis gespeichert, die mit den Attributen
System und Hidden (Verborgen) gekennzeichnet wird. Der Subschlssel
HKCU\Software\Classes liegt in der Datei UsrClass.dat, die sich in dem
Unterverzeichnis AppData\Local\Microsoft\Windows des Profils befindet
(unter XP wurde dieser Pfad noch eingedeutscht). In Active DirectoryUmgebungen ist es auch mglich, dass diese Profildaten beim Anmelden
des Benutzers von einem zentralen Server geladen werden und nicht
allein auf der lokalen Arbeitsstation liegen (sog. Roaming Profile).
Sofern zwei Anwendungen unter unterschiedlichen Benutzern auf
einem System laufen, sehen diese auch jeweils unterschiedliche Inhalte
unter dem Schlssel HKCU.
Die wichtigsten Unterschlssel von HKCU sind in Tabelle 12.4 aufgefhrt.
552
Schlssel
Verwendung
Console
Einstellungen fr das Aussehen des Kommandozeilenfensters cmd.exe.
Control
Panel
Einstellungen, die blicherweise ber die Systemsteuerung

vorgenommen werden. Die einzelnen Unterschlssel entsprechen jeweils den einzelnen Systemsteuerungskomponenten.
Tabelle 12.4
Unterschlssel von
HKCU
Environment Entsprechen den Umgebungsvariablen, die fr den Benutzer definiert sind. Entspricht dem Dialogfeld Systemsteuerung/System und Sicherheit/System/Erweiterte
Systemeinstellungen/Erweitert/Umgebungsvariablen.
Software
Der Platz, an dem Anwendungen ihre Konfigurationsdaten

abspeichern knnen. Der Bereich sollte so organisiert sein
wie der korrespondierende Bereich unter HKLM\SOFTWARE.
Volatile
Dieser Bereich enthlt Umgebungsvariablen (siehe Schlssel
Environment Environment), die vom System dynamisch gesetzt werden,
zum Beispiel %USERNAME%.
Auf diesen Schlssel haben nur der jeweilige Benutzer und die Administratoren vollen Zugriff, andere Benutzer haben keinen Zugriff auf diesen
Schlssel.
12.2.3
HKEY_USERS (HKU)
Der Schlssel HKEY_USERS ist die Ansammlung der Registry aller aktiven
Benutzer auf einem Computer. Sobald ein Prozess unter einem bestimmten
Benutzernamen gestartet wird, ldt Windows 7 die Registrierungsdatenbank des Benutzers als Unterschlssel von HKU. Als Schlsselname wird
dabei nicht der Benutzername, sondern die SID des Benutzers verwendet.
In der Literatur findet man manchmal die Aussage HKU enthalte die Profile
aller vorhandenen Benutzer. Dies ist allerdings falsch. Vorhandene Benutzerkonten, mit denen kein Prozess im System luft, finden sich nicht in HKU.
Abbildung 12.16
Angemeldete Benutzer und ihre SID
553
12
In Abbildung 12.1 lsst sich erkennen, dass es auch auf einem Einzelplatzsystem mehr als einen angemeldeten Benutzer gibt und es fr den einen
Benutzer mit einer lngeren SID zwei Unterschlssel gibt. Die kurzen SID
(S-1-5-18, S-1-5-19 und S-1-5-20) gehren zu den sogenannten well-known
Security Identifiers (gut bekannte Sicherheitsidentitten). Diese SID sind auf
allen Windows-Systemen gleich, whrend die SID der normalen Benutzer
(eigentlich) eindeutig sind und bei der Generierung des Benutzerkontos
dynamisch erzeugt werden. Eine Auflistung ber alle diese bekannten SID
finden Sie unter [SID]. Die hier aufgefhrten sind die SID fr Local System
(eigene Prozesse des Betriebssystems), Local Service (deutsch: Lokaler
Dienst, spezielle Benutzerkennung fr lokale Dienste) und Network Service
(deutsch: Netzwerkdienst, spezielle Benutzerkennung fr netzwerkbasierte
Dienste). In der Abbildung 12.17 knnen Sie im Task-Manager die einzelnen
Prozesse der jeweiligen Benutzer erkennen.
Abbildung 12.17
Unterschiedliche
Benutzer und ihre
Prozesse
Wenn Sie jetzt das Listing 12.2 mit der Abbildung 12.16 vergleichen, werden
Sie sehen, dass es zwar einen Eintrag fr den Schlssel HKU\.DEFAULT,
aber nicht fr HKU\S-1-5-18. Die Erklrung ist einfach, aber nicht besonders
einleuchtend: Die beiden Schlssel sind identisch, und HKU\S-1-5-18 ist nur
ein Alias von HKU\.DEFAULT.
Oft wird behauptet, im Schlssel HKU\.DEFAULT lgen die Einstellungen, die neuen Benutzern initial zugewiesen wrden. Dies ist falsch!
In den beiden Eintrgen, die mit der lngeren SID gekennzeichnet sind, finden sich die beiden Bestandteile der Benutzerregistrierung, die in Abschnitt
12.2.2 ab Seite 552 vorgestellt wurden.
554
Ein Template fr neue Benutzer

Es gibt eine Vorlage, die Windows 7 verwendet, wenn neue Benutzer angelegt werden, aber diese ist nicht HKU\.DEFAULT, sondern die Datei
ntuser.dat (typischerweise) im Verzeichnis C:\Benutzer\Default. Diese Datei
ist jedoch nicht permanent in der Registry geladen und muss zum Bearbeiten manuell als Struktur geladen werden (siehe den Abschnitt 12.3.6 ab
Seite 568). Leider ist der Umgang mit diesem Template nicht ganz so einfach. Zunchst ist die direkte Manipulation dieser Datei keine von Microsoft offiziell untersttze Vorgehensweise. Weiterhin werden auch nicht alle
dort vorgenommenen nderungen auch tatschlich in das Profil eines
neuen Benutzers bernommen. So kann man zwar Schlssel und Werte
zum Beispiel in den Schlsseln Software oder Environment einbauen, die
auch bernommen werden. Eintragungen im Bereich Control Panel\Desktop werden jedoch nicht bernommen.
12.2.4
HKEY_LOCAL_MACHINE (HKLM)
Dieser Schlssel enthlt alle Einstellungen, die fr die betreffende Maschine

zustndig sind und nicht vom aktuellen Benutzer abhngen. In diesem
Schlssel existieren verschiedene Unterschlssel.
BCD00000000
Whrend Windows XP seinen Startprozess noch ber die Datei C:\boot.ini Auswahl beim
gesteuert hat, wurde dieser Prozess mit Windows Vista durch die Boot Con- Systemstart
figuration Data abgelst. In diesem Zweig der Registry sind die einzelnen
Konfigurationsdaten dafr zu finden. Man sollte jedoch keine manuellen
nderungen dort vornehmen, sondern hierzu Programme wie etwa bcdedit.exe verwenden. Sofern auf einem System Windows Vista und Windows 7
parallel installiert sind, teilen sich beide Programme diesen Speicherbereich.
HARDWARE
Der Schlssel HKLM\HARDWARE wird vom System beim Start dynamisch
mit Informationen ber die aktuell vorhandene Hardware gefllt, dieser
Schlssel wird nicht in einer Datei gespeichert. Unter dem Schlssel HKLM\
HARDWARE\DESCRIPTION\System knnen beispielsweise die Informationen ber die aktuell im System installieren Prozessoren eingesehen werden.
SAM und SECURITY

In diesen beiden Schlsseln speichert Windows 7 die sicherheitsrelevanten Informationen ber Benutzer, Gruppen und weitere Informationen.
Der Zugriff auf diese beiden Schlssel ist deshalb auch besonders abgesichert. Normale Benutzer drfen die beiden Schlssel nicht ansehen,
Administratoren drfen sie sehen, bekommen jedoch keine Inhalte prsentiert. Nur der lokale Systembenutzer SYSTEM hat Zugriff auf die dort
enthaltenen Daten. Mit der folgenden Anleitung knnen Sie trotzdem
Zugriff erlangen, es wre deshalb eine Untertreibung zu behaupten, der
Zugriff auf beide Schlssel wre kompliziert.
555
12
1. Laden Sie aus der Sammlung von SysInternals das Tool PsExec.exe
herunter, Sie finden es unter Utilities/Process Utilities.
2. Starten Sie ber cmd.exe eine Eingabeaufforderung mit Administratorrechten. Tippen Sie hierzu cmd in das Suchfeld des Startmens ein,
klicken Sie den anschlieend gezeigten Link mit der rechten Maustaste an, und whlen Sie im Kontextmen den Eintrag Als Administrator aus.
3. Im daraufhin geffneten Befehlsfenster geben Sie die Anweisung
PsExec i s regedit.exe ein.
Nun startet der Registrierungs-Editor unter dem Account des lokalen SYSTEM-Benutzers, und Sie knnen die beiden Schlssel erkunden.
Abbildung 12.18
Sicherheitsinformationen in der
Registry
Generell sind keine Informationen ber den internen Aufbau dieser beiden Zweige der Registry verfgbar, weder ber die enthaltenen Schlssel
und Werte noch ber den Aufbau der dortigen REG_BINARY-Daten. Aus
Abbildung 12.18 kann man jedoch ersehen, dass der dort abgebildete Eintrag wohl das Benutzerkonto Administrator beschreibt, man erkennt den
Benutzernamen und im Anschluss die Benutzerbeschreibung.
SOFTWARE
Der Zweig HKLM\SOFTWARE ist der wohl umfangreichste Zweig der
Registry. Er enthlt Informationen ber die installierte Software auf
einem System und deren Konfigurationsdaten. Selbst auf einem frisch
installieren System ohne weitere installierte Anwendungen enthlt dieser
Zweig bereits ber 20 MB an Daten. Generell sollten die Zweige innerhalb
dieser Struktur dem folgenden Schema folgen: HKLM\SOFTWARE\
Firma\Produkt\Versionsnummer. Auf diese Weise wre sichergestellt, dass
sich einzelne Anwendungen nicht gegenseitig stren und auch unterschiedliche Versionen einer Anwendung getrennt voneinander konfiguriert wren. Leider halten sich nicht alle Anwendungsprogrammierer an
dieses Schema.
556
SYSTEM
Die wichtigsten Schlssel unterhalb von HKLM\SYSTEM nennen sich
CurrentControlSet und ControlSet???, wobei die ??? eine dreistellige Nummer am Ende bilden. Jeder dieser Schlssel beinhaltet jeweils ein komplettes Abbild der Konfigurationsinformationen ber den Systemstatus
(Status der Dienste und Gertetreiber). Diese Informationen werden ber
den Schlssel HKLM\SYSTEM\Select kontrolliert.
Wert
Bedeutung
Current
Dieser Wert gibt an, welcher der Schlssel ControlSet??? der aktuell aktiven Konfiguration entspricht. Der
Schlssel HKLM\SYSTEM\CurrentControlSet zeigt dann
auf diesen Schlssel.
Default
Dieser Wert entspricht typischerweise dem Wert Current.
Failed
Dieser Wert gibt an, bei welchem der Schlssel ControlSet??? beim Systemstart eine Fehlfunktion aufgetreten ist.
LastKnownGood
Dieser Wert gibt an, bei welchem der Schlssel ControlSet??? zuletzt ein erfolgreicher Systemstart durchgefhrt werden konnte.
Tabelle 12.5
Werte in HKLM\
SYSTEM\Select
Wenn Sie bei einer Fehlfunktion (System startet nicht mehr) feststellen
wollen, woran es gelegen haben knnte, bietet sich folgendes Verfahren
an. Man kann zwar versuchen, einen derartigens Fehler mit der Systemstartreparatur zu umgehen, jedoch erfhrt man hierbei nicht, woran der
Fehler gelegen hat.
1. Starten Sie das System mit der Option Letzte als funktionierend bekannte
Konfiguration (erweitert). Drcken Sie hierzu whrend des Bootvorgangs die Taste (F8).
2. Kontrollieren Sie den Schlssel HKLM\SYSTEM\Select. Merken Sie
sich die Werte Current und Failed.
3. Exportieren Sie die beiden Schlssel HKLM\SYSTEM\ControlSet??? als
.reg-Datei. Die ??? entsprechen dabei den beiden im vorigen Schritt
gemerkten Nummern.
4. Ersetzen Sie in den beiden .reg-Dateien alle Vorkommen von ControlSet??? durch einen Flltext, beispielsweise sowohl ControlSet001 als
auch ControlSet002 durch ControlSetXXX.
5. Vergleichen Sie die beiden Dateien zeilenweise miteinander. Wenn das
Programm, das Sie fr das Vergleichen verwenden, keine Untersttzung fr Unicode bietet, mssen Sie im vorigen Schritt darauf achten,
die Datei als ANSI-codiert abzuspeichern (siehe den Abschnitt 12.3.5 ab
Seite 564).
Dieses Verfahren ist nur etwas fr Leute, die sehr viel Zeit haben. Die
Suche nach den Unterschieden ist sehr langwierig und wird Ihnen auch
nichts bringen, wenn zum Beispiel die Konfiguration eines Dienstes
gleich geblieben ist, aber die verwendete Treiberdatei gendert wurde.
557
12
Bei fast allen nderungen im Schlssel CurrentControlSet knnen Sie

davon ausgehen, dass die nderungen erst nach einem Neustart des Systems oder zumindest des betreffenden Dienstes aktiv werden.
CurrentControlSet\services
In diesem Schlssel finden Sie alle Gertetreiber und Dienste, die Windows 7 kennt. Fr jeden Treiber und jeden Dienst existiert ein eigener
Schlssel. Der Name des Schlssels ist nicht identisch mit dem Namen,
der in dem Dienste-Applet der Systemsteuerung angezeigt wird.
Abbildung 12.19
Ein Dienst im
Dienste-Applet und
im RegistrierungsEditor
In Abbildung 12.19 kann man den Dienst DNS-Client sowohl im Dialogfeld des Dienste-Applets der Systemsteuerung als auch in der Registry
sehen. Der Eintrag Dnscache als Dienstname im Dialogfeld bezeichnet den
Schlssel, unter dem der Dienst unter HKLM\SYSTEM\CurrentControlSet\services in der Registry zu finden ist. Whrend der Eintrag Pfad zur
EXE-Datei im Dialogfeld statisch ist, knnte man diesen Eintrag als Wert
ImagePath in der Registry ndern.
12.2.5
Alte Altlasten
HKEY_CURRENT_CONFIG
Dieser Schlssel stammt ursprnglich aus Windows 95 und enthlt Informationen ber das aktuell verwendete Hardware-Profil des Systems. Mit Windows NT wurde dieser Schlssel ersetzt durch einen Verweis auf HKLM\
SYSTEM\CurrentControlSet\Hardware Profiles\Current.
12.3 Bearbeiten der Registry mit

dem Registrierungs-Editor
Das Hauptwerkzeug zum interaktiven Arbeiten mit der Registry ist der
Registrierungs-Editor, auch als regedit.exe bekannt. Alternativ kann man das
558
Bearbeiten der Registry mit dem Registrierungs-Editor
Programm auch ber regedt32.exe aufrufen. Unter Windows NT war das

noch ein separates Programm mit etwas anderer Funktionsweise. Heutzutage sind die beiden frheren Programme zur Bearbeitung der Registry in
einem Programm zusammengefasst. Das Aussehen und die Bedienung
von regedit.exe (siehe Abbildung 12.2) hneln dem Programm explorer.exe,
mit dem man sich in den Verzeichnisstrukturen bewegen kann.
Sofern Sie als Benutzer mit administrativen Berechtigungen angemeldet
sind, mssen Sie zum Start von regedit.exe eine UAC-Abfrage besttigen.
12.3.1
Navigation in der Registry
Zwar kann man sich auch gut mit der Maus in der Registry bewegen, schneller ist man jedoch eindeutig mit der Tastatur, da man dort einen bestimmten
Eintrag auch direkt ansteuern kann, indem man einfach anfngt, den Namen
des Schlssels einzutippen. Probieren Sie es einfach aus:
1. Klicken Sie im Registrierungs-Editor auf den Eintrag HKLM\SYSTEM\
CurrentControlSet\services.
2. Drcken Sie nun (), der Schlssel services wird aufgeklappt, und
dessen Unterschlssel werden angezeigt.
3. Drcken Sie nun in schneller Folge die Tasten (D), (N) und (S).
4. Sie erreichen den Schlssel Dnscache.
Haben Sie zu langsam gedrckt, betrachtet Windows 7 den letzten
Buchstaben als Beginn eines neuen Wortes, und Sie landen an der falschen Stelle. Einfach () drcken und von Neuem probieren.
Diese Schnellnavigationsmethode funktioniert in fast allen Applikationen.
In der Registry suchen

Manchmal wei man zwar, welchen Wert man ndern will, aber nicht, in
welchem Schlssel dieser Wert liegt. Oder man sucht bestimmte Daten,
wei aber nicht, in welchem Wert diese Daten liegen. Hier hilft die Suchfunktion von regedit.exe:
1. Whlen Sie zunchst den Startpunkt aus, von dem ab Sie suchen mchten. Wissen Sie gar nicht, wo der gesuchte Wert oder Schlssel liegen
knnte, starten Sie in der obersten Ebene, ausgehend von Computer. Ansonsten whlen Sie den passenden Schlssel aus.
2. Rufen Sie den Menbefehl Bearbeiten/Suchen auf, oder drcken Sie
(Strg)+(F).
3. Geben Sie im Feld Suchen nach ein, wonach Sie suchen wollen.
4. Legen Sie ber das Kontrollkstchen Suchoptionen fest, wo Sie suchen
mchten. Sofern Sie den Inhalt von Werten suchen wollen, also das
Kontrollkstchen Daten aktiviert haben, dauert die Suche deutlich
lnger.
559
12
5. Aktivieren Sie den Kontrollkstchen Ganze Zeichenfolge vergleichen,

sofern der Suchausdruck nicht als Teil eines Suchergebnisses vorkommen soll.
6. Klicken Sie auf Weitersuchen, um die Suche zu starten.
7. Sofern das Suchergebnis noch nicht das passende Suchergebnis anzeigt,
klicken Sie auf Bearbeiten/Weitersuchen oder drcken (F3), um den Suchvorgang fortzusetzen.
Die Suche unterscheidet nicht zwischen Gro- und Kleinbuchstaben.
Sie knnen nur nach Zeichenketten suchen. Eine Suche nach Zahlen
(REG_DWORD) oder Binrdaten (REG_BINARY) ist nicht mglich.
Abbildung 12.20
Dialogfeld Suchen
im RegistrierungsEditor
12.3.2
Favoriten in der Registry
Um bestimmte Stellen in der Registry leichter erreichbar zu machen, kann

man diese (hnlich wie Webseiten im Browser) als Favoriten abspeichern.
Sobald Sie zum gewnschten Schlssel navigiert sind, speichern Sie mit
dem Menbefehl Favoriten/Zu Favoriten hinzufgen den aktuellen Schlssel unter einem frei whlbaren Namen ab.
Abbildung 12.21
Favoriten festlegen
Favoriten
favorisieren
Die bereits gewhlten Favoriten knnen Sie ber den Menbefehl Favoriten/Favoriten entfernen aus der Liste wieder entfernen. Alle bereits festgelegten Favoriten finden Sie im Men Favoriten und knnen von dort aus
direkt angesprungen werden.
Abbildung 12.22
Favoriten entfernen
Die Favoriten selbst sind (wo auch sonst?) in der Registry gespeichert
unter HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\
Favorites.
560
12.3.3
Werte in der Registry ndern
Die bereits vorhandenen Werte kann man per Doppelklick auf den Wertenamen ndern. Je nach Typ des Wertes erscheint ein entsprechendes Dialogfeld, in dem sich der Wert ndern lsst. ber das Kontextmen der rechten Maustaste oder den Befehl Bearbeiten/Binrdaten ndern kann man aber
auch gezielt eine Byte-Darstellung des Wertes aufrufen, etwa wenn in einer
Zeichenkette nicht mit ANSI-kompatible Zeichenstze verwendet werden.
Abbildung 12.23
Gezielt die binre
Darstellung aufrufen
Zeichenketten
Fr einzeilige Zeichenketten (REG_SZ und REG_EXPAND_SZ) wird ein
gemeinsames Dialogfeld verwendet.
Abbildung 12.24
Einzeilige Zeichenketten
Fr mehrteilige Zeichenketten (REG_MULTI_SZ, typischerweise Zeichenketten, die aus mehreren Zeilen bestehen) dient ein eigenes Dialogfeld. Die Zeilenvorschbe im Eingabefeld werden automatisch durch die
zur Trennung verwendeten Nullbytes ersetzt.
Abbildung 12.25
Mehrteilige
Zeichenkette in
mehreren Zeilen
561
12
Die in der Registry abgespeicherten Zeichenketten werden prinzipiell als

Unicode-Zeichen abgespeichert. Jeder Buchstabe belegt also mindestens
zwei Byte Speicherplatz.
Zahlen
Zahlen (REG_DWORD und REG_QWORD) knnen in der Registry sowohl
als Dezimalzahlen als auch als Hexadezimalzahlen eingegeben werden.
Achten Sie bei der Anwendung von Registry-Ratschlgen immer darauf,
wie die Zahlenwerte eingegeben werden sollen.
Abbildung 12.26
Zahleneingabe in
der Registry
Binre Werte
Die Eingabe von binren Feldern hnelt der Arbeit mit einem Debugger.
Abbildung 12.27
Binrdaten in der
Registry
Sie knnen sich mit der Einfgemarke in der Liste der Binrdaten frei
bewegen und auch mitten hinein Bytes eingeben oder lschen. Hierbei
mssen Sie allerdings aufpassen, da diese REG_BINARY-Daten meist ein
direktes Abbild bestimmter, von einer Applikation verwendeter Datenstrukturen sind.
Sonderdatentypen
Im Bereich der Hardware-Ressourcen enthlt die Registry einige besondere
Datentypen. Fr diese hlt der Registrierungs-Editor keine Funktionen
zum Verndern der Werte vor, diese knnen nur in speziellen Dialogfeldern angesehen werden. Auch knnen ber die Oberflche keine neuen
Werte dieser Typen angelegt werden.
562

Abbildung 12.28
Datentyp REG_
RESOURCE_LIST
Abbildung 12.29
Datentyp
REG_FULL_
RESOURCE_
DESCRIPTOR
12.3.4
Werte und Schlssel anlegen, lschen und

umbenennen
Sofern man die entsprechenden Berechtigungen auf einen Schlssel

besitzt, kann man weitere Unterschlssel anlegen oder in den aktuellen
Schlssel neue Werte eintragen. Rufen Sie hierzu entweder den Menbefehl Bearbeiten/Neu auf, oder whlen Sie im Kontextmen zum Schlssel den entsprechenden Eintrag aus, Wert der erweiterbaren Zeichenfolge
entspricht hierbei dem Datentyp REG_EXPAND_SZ.
563
12

Abbildung 12.30
Neuen Wert oder
neuen Schlssel
anlegen
Achten Sie beim Anlegen eines neuen Wertes darauf, den richtigen
Datentyp zu whlen. Es ist nicht mglich, hinterher den Typ eines
Wertes abzundern.
Die Schlssel und Werte in der Registry sind, wie auch im Dateisystem,
case-insensitiv, aber case-preserving. Es ist also egal, ob Sie einen Wert oder
Schlssel mit Gro- oder Kleinbuchstaben ansprechen. Die einmal gewhlte
Folge von Gro- und Kleinbuchstaben bleibt allerdings erhalten.
Beim Anlegen eines neuen Wertes oder Schlssels bekommt dieser zunchst
den generischen Name Neuer Wert #1. Dieser kann im gleichen Schritt
durch einen neuen Namen berschrieben werden. Hierbei ist es nicht mglich, einen bereits vorhandenen Namen zu whlen, auch wenn dieser einen
anderen Datentyp besitzt. Einen bereits bestehenden Namen kann man
ber den Menbefehl Bearbeiten/Umbenennen oder das zugehrige Kontextmen umbenennen.
ber den Menbefehl Bearbeiten/Schlsselnamen kopieren knnen Sie den
vollstndigen Namen des Schlssels, ausgehend vom Namen des obersten
Schlssels, in die Zwischenablage kopieren. Dies ist insbesondere praktisch
beim Verfassen von Dokumentationen oder beim Programmieren von
Anwendungen, die Informationen aus der Registry verarbeiten sollen.
Weg damit!
Das Lschen eines Schlssels oder Wertes erfolgt ber das Kontextmen,
die Menfunktion Bearbeiten/Lschen oder die Taste (Entf). Sie mssen
diese Aktion sicherheitshalber besttigen. Im Gegensatz zu normalen Texteditoren gibt es keine Funktion, um die Lschung rckgngig zu machen.
Beim Lschen eines Schlssels werden automatisch auch alle enthaltenen
Unterschlssel und Werte gelscht.
12.3.5
Export, Import und Drucken von Daten
Die Daten, die in der Registry gespeichert sind, knnen auf mehrere Weisen aus oder in andere Darstellungsformen berfhrt werden.
564
Import
Neben den binren Rohdaten der Registry (siehe den Abschnitt 12.1.1) untersttzt Windows 7 auch eine fr Menschen lesbare Form der Datenspeicherung in Form von .reg-Dateien. Importieren knnen Sie eine .reg-Datei auf
zwei Arten, entweder im Registrierungs-Editor selber ber die Menfunktion Datei/Importieren oder indem Sie im Explorer doppelt auf eine .reg-Datei
klicken.
Abbildung 12.31
Importieren einer
.reg-Datei
Sofern Sie den Weg ber den Explorer whlen, mssen Sie als administrativer Benutzer zunchst eine UAC-Abfrage beantworten. In jedem Fall ist
jedoch eine Sicherheitsabfrage vor dem Import zu besttigen.
Abbildung 12.32
Sicherheitsabfrage
vor dem Import
einer .reg-Datei
Wenn Sie in eine Batchdatei eine .reg-Datei durch den Aufruf von
regedit.exe importieren wollen, knnen Sie durch den Parameter /s
(silent) verhindern, dass diese Sicherheitsabfrage erscheint. Geben Sie in
jedem Fall aber den vollstndigen Pfad zur .reg-Datei an, regedit.exe
sucht nicht immer im aktuellen Verzeichnis nach der Datei.
Neben .reg-Dateien knnen Sie mit dem Menbefehl Datei/Importieren
auch komplette Strukturdateien (siehe den Abschnitt 12.3.6 ab Seite 568)
importieren. Diese Funktion sollten Sie allerdings nur mit grter Vorsicht verwenden, da hierbei die aktuell geladene Strukturdatei durch die
neue Datei ersetzt wird. Diese Funktionalitt wird jedoch nur in sehr seltenen Fllen die gewnschte sein.
565
12
Export
ber das Kontextmen oder den Menbefehl Datei/Exportieren knnen
Sie den aktuellen Schlssel in eine .reg-Datei exportieren lassen.
Abbildung 12.33
Exportieren eines
Registry-Zweiges
Formatwahl
Tabelle 12.6
Exportformate
Standardmig ist die Option aktiviert, dass nur der gewhlte Schlssel
mit allen Unterschlsseln und Werten exportiert wird. Wollen Sie die komplette Registry exportieren, knnen Sie den Exportbereich im Dialogfeld
auf Alles umstellen. Bei Dateityp knnen Sie verschiedene Optionen einstellen, die bestimmen, wie Sie die erzeugte Datei verwenden knnen.
Format
Verwendung
Registrierungsdateien
(*.reg)
Erzeugt Unicode-codierte .reg-Dateien, die in

allen Systemen ab Windows 2000 importiert
werden knnen.
Registrierungsstrukturdateien (*.*)
Erzeugt binre Strukturdateien (siehe den

Textdateien (*.txt)
Gibt eine Unicode-codierte Darstellung des

Zweigs in lesbarer Form aus. Diese Datei kann
nicht wieder importiert werden.
Win9x/NT4 Registrierungsdateien (*.reg)
Erzeugt ANSI-codierte .reg-Dateien, die auch

mit Windows 9x oder Windows NT4 importiert
werden knnen.
Format der .reg-Dateien

Das Format der Registry-Dateien ist von Microsoft in [REGFRM] dokumentiert. Prinzipiell muss zwischen den beiden Formaten Windows 2000 und
Windows 9x/NT4 unterschieden werden, die jeweils eine unterschiedliche
Startzeile besitzen.
566
Sofern keine besonderen Umstnde dafr sprechen, sollten .reg-Dateien

nur noch im Windows 2000-Format erstellt werden.
Die .reg-Dateien, die Sie ber die Export-Funktion von regedit.exe im Windows 2000-Format erstellen lassen, werden im Unicode-Format abgespeichert. Sofern Sie diese Dateien mit einem Programm bearbeiten wollen, das
keinen Unicode-Zeichensatz untersttzt, mssen Sie die Datei zunchst
konvertieren. ffnen Sie dazu die Datei mit dem Editor (notepad.exe), und
ndern Sie dann im Dialogfeld Speichern unter die Codierung von Unicode
auf ANSI ab. Beachten Sie dabei aber, dass dann Informationen verloren
gehen knnen, zum Beispiel Zeichenketten, die tatschlich Unicode-Zeichen enthalten.
Lschen von Schlsseln und Werte per .reg-Datei

Die ber den Export erzeugten Dateien enthalten immer nur Informationen, wie man Daten zur Registrierung hinzufgen kann. Manchmal
mchte man jedoch auch gezielt Werte oder Schlssel aus der Registry
wieder entfernen. Um einen Schlssel samt Unterschlsseln und Werten
zu lschen, setzt man in der .reg-Datei vor den Namen des Schlssels ein
Minuszeichen. Um einen Wert zu lschen, setzt man hinter das Gleichheitszeichen ein Minuszeichen.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\testwerte]
"valueREG_SZ"=-
Listing 12.3
.reg-Datei mit
Lschanweisungen
[-HKEY_CURRENT_USER\testwerte\Unterschlssel]
Mit der .reg-Datei aus Listing 12.3 werden zwei Aktionen durchgefhrt:
1. Der komplette Schlssel HKEY_CURRENT_USER\testwerte\Unterschlssel wird samt aller Werte und Unterschlssel gelscht.
2. Der Wert valueREG_SZ wird gelscht. Dies ist eine andere Aktion, als
wenn dem Wert mit der Anweisung valueREG_SZ="" eine leere Zeichenkette zugewiesen worden wre.
Sie knnen problemlos in einer einzigen .reg-Datei sowohl Anweisungen
zum Einfgen oder ndern von Werten und Schlsseln als auch welche
zum Lschen eintragen.
Drucken
ber die Funktion Datei/Drucken oder die Tastenkombination (Strg)+(P)
knnen Sie einen Ausdruck des aktuellen Schlssels oder der kompletten
Registry anfertigen.
567
12

Abbildung 12.34
Ausdruck der Registrierungsdatenbank
Die Druckausgabe hnelt hierbei dem Format des Exports in eine Textdatei.
12.3.6
Arbeit mit kompletten Strukturen
Eine binre Datei, in der Inhalte der Registry abgespeichert sind, wird
auch als Struktur bezeichnet. Whrend in .reg-Dateien nur Inhalte, aber
keine Berechtigungen gespeichert sind, enthalten Strukturdateien auch
die kompletten Informationen ber die Berechtigungen, die fr die einzelnen Schlssel vergeben wurden. Erzeugen kann man Strukturdateien,
die keine festgelegte Erweiterung besitzen, zum Beispiel mit der Exportfunktion von regedit.exe, oder man ldt vorhandene Strukturdateien, die
aktuell nicht aktiv verwendet werden, zum Beispiel Benutzerprofile von
aktuell nicht angemeldeten Benutzern.
Abbildung 12.35
Auswahl der
zu ladenden
Strukturdatei
568
Arbeit mit dem Programm reg.exe
ber den Menbefehl Datei/Struktur laden knnen Sie nur Strukturen

als Unterschlssel von HKLM und HKU laden.
Sofern die Schlssel HKLM oder HKU selektiert sind, steht Ihnen der Befehl
Datei/Struktur laden zur Verfgung. Mit diesem Befehl fgen Sie eine Strukturdatei als Unterschlssel des aktiven Schlssels ein.
Nachdem die Strukturdatei ausgewhlt wurde, muss noch ein Name angegeben werden. Dieser Name wird dann als Schlssel verwendet, unter dem
die geladene Struktur als Unterschlssel von HKLM oder HKU angezeigt
wird.
Abbildung 12.36
Name fr den
neu zu ladenden
Schlssel
Ein auf diese Weise geladener Schlssel kann ber die Funktion Datei/
Struktur entfernen auch wieder entladen werden, zudem wird ein derartig
manuell geladener Schlssel auch bei einem Neustart des System nicht
erneut geladen. Solange eine derartige Struktur geladen ist, kann kein weiterer Zugriff auf die zugrunde liegende Strukturdatei erfolgen.
Mittels dieser Methode knnen Sie Informationen aus einer nicht mehr
startenden Windows-Installation retten. Kopieren Sie die alten Strukturdateien von der Festplatte, laden Sie diese in einer anderen Windows-Installation ein und exportieren dann die Daten in eine .regDatei. In dieser Datei mssen Sie dann die Schlsselnamen im Editor
durch ihren originalen Namen ersetzen.
12.4 Arbeit mit dem Programm

reg.exe
Oftmals mchte man in Batchdateien automatisiert Registrywerte ausgeben
oder setzen. Hierfr eignet sich regedit.exe als interaktives Programm nicht.
Fr diese Aufgabe stellt Windows 7 das Programm reg.exe bereit. Als echtes
Befehlszeilenprogramm sollte man reg.exe nur im Fenster der Eingabeaufforderung cmd.exe starten, da man ansonsten die Ausgaben des Programms
nicht verfolgen kann. Das Programm bietet eine ganze Reihe von Funktionen an, die in Tabelle 12.7 aufgefhrt sind. Die Adressierung eines Schlssels
erfolgt dabei immer nach dem Schema \\Computername\Hauptschlssel\
Unterschlssel1\Unterschlssel2\. Sofern der Befehl den eigenen Computer
bearbeiten soll, kann der Teil \\Computername\ weggelassen werden. Die
Hauptschlssel kann sowohl ausgeschrieben als auch abgekrzt (siehe
Tabelle 12.7) angegeben werden.
569
12

Tabelle 12.7
Befehle fr das
Programm reg.exe
Befehl
Funktion
ADD
Legt Werte und Schlssel an.
COMPARE
Vergleicht Werte oder Schlssel mit anderen Teilen der Registry.
COPY
Kopiert einen Schlssel (auf Wunsch samt Unterschlsseln) zu

einem anderen Schlssel.
DELETE
Lscht Werte oder Schlssel.
EXPORT
Exportiert die Registry als .reg-Datei im Windows 2000Format als Unicode-Datei.
FLAGS
Setzt oder fragt Markierungen ab, die im Zusammenhang mit

der Registry-Virtualisierung stehen. Dieser Befehl steht erst
seit Windows Vista zur Verfgung.
IMPORT
Import eine .reg-Datei. Dieser Befehl wirkt nur auf dem eigenen Computer.
LOAD
Ldt eine binre Strukturdatei als Unterschlssel zu HKLM

oder HKU. Wirkt nur auf dem eigenen Computer.
QUERY
Fragt Werte oder Schlssel ab.
RESTORE
Ersetzt einen Schlssel durch die Informationen aus einer

Strukturdatei.
SAVE
Speichert einen Schlssel als Strukturdatei ab.
UNLOAD
Entfernt eine geladene Strukturdatei wieder aus der Registry.
Zu jedem Befehl liefert reg.exe durch den Parameter /? eine Online-Hilfe, in

der auch Beispiele fr die Verwendung des Befehls zu sehen sind. Strend
bei der Verwendung des reg.exe-Befehls wirkt sich die UAC von Windows 7
aus. Fr einige Aktionen reichen die normalen Berechtigungen eines administrativen Benutzers nicht aus. Hier muss man zunchst ber cmd.exe eine
Eingabeaufforderung als Administrator ffnen, damit man bestimmte
Befehle absetzen kann. Das Programm reg.exe ist selbst nicht in der Lage,
eine notwendige UAC-Abfrage durchzufhren, es wird einfach mit einem
Zugriffsfehler beendet. Die gleichen Befehle in Listing 12.4, als Administrator ausgefhrt, funktionieren, obwohl der ursprngliche Benutzer auch
administrative Berechtigungen besitzt.
Dies mssen Sie insbesondere bedenken, wenn Sie administrative
Skripte ausfhren wollen, die ursprnglich fr Windows XP gedacht
waren.
570
Das Programm regini.exe

>reg query "HKLM\SOFTWARE\Microsoft\Windows\
Currentversion\Policies\System" /v EnableLUA
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\
Policies\System
EnableLUA
REG_DWORD
0x1
Listing 12.4
Auswirkung der
fehlenden UACAbfrage auf reg.exe
(Zeilenumbrche
zur besseren Lesbarkeit eingefgt)
>reg add "HKLM\SOFTWARE\Microsoft\Windows\

Currentversion\Policies\System"
/v EnableLUA /t REG_DWORD /d 1 /f
FEHLER: Zugriff verweigert
12.5 Das Programm regini.exe

Das Programm regini.exe stammt ursprnglich aus dem Resource Kit von Alt, aber noch
Windows NT4, gehrt allerdings inzwischen zur Standardinstallation von nutzbar
Windows hinzu. Whrend man beim Import von .reg-Dateien keine Berechtigungen setzen kann, dient das Programm regini.exe sowohl zum Setzen
von Berechtigungen als auch von Werten. Ursprnglich arbeitete das Programm mit der Anwendung regdmp.exe (ebenfalls aus dem Resource Kit)
zusammen. Letzteres produzierte eine textuelle Darstellung der Registry,
die als Eingabe fr regini.exe dienen konnte. Dieses Programm ist allerdings
nicht Bestandteil einer Windows 7-Installation. In Bezug auf Berechtigungen untersttzt regini.exe nicht die dezidierte Angabe von Benutzern und
Gruppen, wie es etwa icacls.exe fr das Dateisystem bietet, sondern arbeitet
nur mit bestimmten vorgefertigten Standardberechtigungen.
Die Online-Hilfe unter regini.exe /? und die Beschreibung unter [REGINI]
geben etwas Starthilfe fr die Verwendung des Programms.
HKEY_CURRENT_USER\reginipath
numvalue = REG_DWORD 12345
strvalue = REG_SZ "Ein Text"
Listing 12.5
Beispiel fr eine
.regini-Steuerdatei
HKEY_CURRENT_USER\reginipath\subpath [1 8 11]
numvalue2 = REG_DWORD 45678
HKEY_CURRENT_USER\reginipath [1 8 11]
In dem Beispiel aus Listing 12.5 wird ein Schlssel HKCU\reginipath mit
zwei Werten und einem Unterschlssel angelegt, und dem Schlssel werden
am Ende dann die Berechtigungen Administratoren: Vollzugriff (1), Jeder:
Lesen (8) und Hauptbenutzer: Vollzugriff (11) bergeben.
571
12
12.6 Die Registry ber das Netzwerk

bearbeiten
Die Registry kann auf verschiedene Arten auch von externen Systemen her
bearbeitet werden. Das Programm reg.exe untersttzt das Hinzufgen von
\\Computername zu Registry-Pfaden, das Programm regedit.exe untersttzt
mit dem Befehl Datei/Mit Netzwerkregistrierung verbinden die Verbindung
zur Registry eines anderen Systems.
Abbildung 12.37
Verbindungsaufbau
mit einer externen
Registrierungsdatenbank
Sobald die Verbindung hergestellt ist, kann man die beiden Schlssel
HKLM und HKU des anderen Systems parallel zum eigenen Computer
sehen. Hierzu muss man sich (in einer Nicht-AD-Umgebung) am jeweiligen Zielcomputer authentisieren. Trotzdem erhlt man in einer derartigen Umgebung keinen Zugriff auf den Schlssel HLKM. Man kann allerdings auf den Benutzerschlssel des Benutzers, den man zur Anmeldung
verwendet hat, sowohl lesend als auch schreibend zugreifen.
Abbildung 12.38
Zugriff auf die
Registrierungsdatenbank eines
Fremdsystems
572
Die Registry mit eigenen Programmen bearbeiten
Netzwerktechnisch erfolgt der Zugriff ber eine RPC-Verbindung, also

typischerweise Port 445/TCP. Demzufolge muss dieser Port auch in der
Firewall erlaubt werden. Zudem muss der Dienst Remoteregistrierung
gestartet sein (normalerweise ist dieser Dienst nicht aktiv). In einer Domnenumgebung wird auf Arbeitsstationen zustzlich die Freigabe von
Dateien deaktiviert. Diese muss dann gleichfalls erst aktiviert werden.
C:\Users\jochenr>netstat no
Aktive Verbindungen
Proto Lokale Adresse
Remoteadresse
Status
PID
TCP
192.168.0.98:445
192.168.0.99:49776 HERGESTELLT 4
Sofern man in einer Active Directory-Umgebung auf die Registry eines

anderen Rechners mit den Berechtigungen eines Domnen-Administrators
zugreift, hat man auch Zugriff auf die HKLM des anderen Computers.
Listing 12.6
Remotezugriff auf
die Registry als
Netzwerkverbindung
Manuell kann man die Verbindung zur Registry des anderen Computers
ber den Menbefehl Datei/Von Netzwerkregistrierung trennen oder die
Option Trennen im Kontextmen des obersten Knoten der fremden Registry aufheben. Automatisch wird diese Verbindung nach dem Schlieen
des Registrierungs-Editors getrennt.
12.7 Die Registry mit eigenen

Programmen bearbeiten
Jede Programmiersprache bietet Ihnen auch Schnittstellen fr den Umgang Do it yourself!
mit der Registry. Entweder finden Sie bereits fertige Prozeduren und Funktionen fr die verschiedenen Arbeitsbereiche innerhalb der Registry, oder
Sie mssen die entsprechenden API-Funktionen von Windows selbst aufrufen. Gerade fr Administratoren ist hier die Anbindung an VB-Script
wichtig. Deshalb beschrnkt sich dieser Abschnitt auf diesen Bereich. Die
Adresse [SCRIPT] bietet hierzu den geeigneten Einstieg in das Thema. Insbesondere im (englischsprachigen) Skript Repository finden sich unter
Operating System/Registry eine ganze Reihe von Beispielen, die fr eigene
Anwendungen abgewandelt werden knnen.
Const HKEY_LOCAL_MACHINE = &H80000002
strComputer = "."
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\"_
& strComputer & "\root\default:StdRegProv")
strKeyPath = "SYSTEM\CurrentControlSet\services"
oReg.EnumKey HKEY_LOCAL_MACHINE, strKeyPath, arrSubKeys
For Each subkey In arrSubKeys
Wscript.Echo subkey
Next
Listing 12.7
Beispielskript von
Microsoft zum Auflisten aller Unterschlssel von
HKLM\SYSTEM\
CurrentControlSet\
services
573
12
12.8 Die Registry offline bearbeiten

Einer der grten Kritikpunkte an der Registry ist immer, dass man sie
nur bearbeiten kann, wenn Windows auch tatschlich gestartet werden
kann. Dies ist natrlich ein Problem, wenn Windows durch eine fehlerhafte Konfiguration in der Registry nicht mehr startet. Der Weg fhrt
hierbei ber eine Zweitinstallation von Windows, sei es mittels eines vom
Datentrger gestarteten Minimalsystems (PE-Windows oder Installationsmedium), einer separaten Installation auf einer zweiten Partition
oder im schlimmsten Fall den vorbergehenden Einbau der Festplatte in
einen weiteren Rechner. In jedem Fall knnen Sie dann die Werkzeuge
des Ersatzsystems nutzen, um die fehlkonfigurierten Strukturdateien der
ursprnglichen Registrierung in die aktuelle Registrierung einzubinden
und zu bearbeiten. Die Methoden hierzu knnen Sie in Abschnitt 12.3.6 ab
Seite 568 nachlesen.
12.8.1
Durchfhren eines Offline-Restore
Durch die Aufgabenplanung legt Windows 7 in regelmigen Abstnden

eine Sicherung der Registry-Dateien im Verzeichnis RegBack an (siehe den
Abschnitt 12.1.1 ab Seite 540). Auf dieses Verzeichnis kann allerdings im
laufenden Betrieb nicht zugegriffen werden. Hier finden Sie eine Anleitung, wie Sie eine Rcksicherung dieser Dateien mithilfe der Windows 7Installations-DVD durchfhren knnen.
Warum man
Installationsdatentrger aufbewahren sollte
Legen Sie zunchst die Windows 7-Installations-DVD in Ihr Laufwerk ein,

und starten Sie das System. Nach den Startmeldungen des BIOS erscheint
eine Abfrage, ob Sie wirklich von der Installations-DVD starten wollen.
Drcken Sie einfach eine beliebige Taste.
Abbildung 12.39
Starten von der
Installations-DVD
Falls diese Abfrage nicht erscheint, sollten Sie die Einstellungen im

BIOS berprfen, ob der Computer auch tatschlich von DVD starten
darf.
Nach der Anzeige des Windows 7-Startlogos erscheint die Abfrage nach
der gewnschten Sprachversion. Hier knnen Sie einfach auf Weiter klicken.
574
Die Registry offline bearbeiten

Abbildung 12.40
Auswahl der
Sprachversion
Im folgenden Dialogfeld klicken Sie auf Computerreparaturoptionen.

Abbildung 12.41
Installieren oder
reparieren?
Nun werden alle im System vorhandenen Datentrger nach mglichen

Windows-Installationen durchsucht. Dieser Vorgang kann insbesondere
bei vielen und groen Festplatten geraume Zeit dauern.
575
12

Abbildung 12.42
Suche nach
Windows-Installationen
Merken Sie sich den in der Spalte Ort angegebenen Laufwerksbuchstaben. Dies ist mglicherweise ein anderer, als er Ihnen von der laufenden
Windows-Installation gelufig ist. Whlen Sie dann im Dialogfeld Systemwiederherstellungsoptionen die gefundene Windows-Installation aus,
und klicken Sie Weiter. Anschlieend werden Ihnen verschiedene Optionen zur Reparatur angeboten. Whlen Sie Eingabeaufforderung aus.
Abbildung 12.43
Reparaturoptionen
zur Auswahl
In der nun geffneten Eingabeaufforderung wechseln Sie zunchst zu

dem Laufwerksbuchstaben, den Sie sich weiter oben gemerkt hatten (in
576
Die Registry offline bearbeiten
diesem Beispiel E:), und dann in das Verzeichnis Windows\system32\

config (aus Grnden der Lesbarkeit wurden im Listing Leerzeilen entfernt).
Microsoft Windows [Version 6.1.7100]
X:\Sources>e:
E:\>cd windows\system32\config
E:\windows\system32\config>dir
Volume im Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: 7475-9422
Verzeichnis von E:\windows\system32\config
03.07.2009 15:23
<DIR>
.
03.07.2009 15:23
<DIR>
..
17.05.2009 14:49
28.672 BCD-Template
03.07.2009 15:23
18.874.368 components
03.07.2009 15:23
262.144 default
22.04.2009 06:58
<DIR>
Journal
03.07.2009 14:33
<DIR>
RegBack
03.07.2009 15:23
262.144 sam
03.07.2009 15:23
262.144 security
04.07.2009 23:33
23.330.816 software
04.07.2009 15:23
9.175.040 system
02.07.2009 23:52
<DIR>
systemprofile
03.07.2009 22:53
<DIR>
TxR
7 Datei(en),
52.195.328 Bytes
Listing 12.8
Suche nach mglichen defekten
Registry-Dateien
Mit dem Befehl dir lassen Sie sich die Dateien anzeigen, aus denen die
Registry des Systems besteht. Hier mssen die Dateien default, sam, security,
software und system vorhanden sein und eine normale Gre haben. Eine
Definition von normal ist natrlich schwierig, aber die Angaben im Listing knnen Ihnen als Anhaltspunkt dienen. Nun werden Sie zunchst
die alten Dateien mit dem Befehl ren umbenennen (zur Sicherheit) und
danach die gesicherten Dateien aus dem Verzeichnis RegBack an die Stelle
der alten Dateien kopieren. Die Schleife mit dem Befehl for verkrzt hierbei die Tipparbeit.
E:\windows\system32\config>for %f in (default sam security software
system) do ren %f %f.old
E:\windows\system32\config>ren default default.old
E:\windows\system32\config>ren sam sam.old
E:\windows\system32\config>ren security security.old
E:\windows\system32\config>ren software software.old
E:\windows\system32\config>ren system system.old
E:\windows\system32\config>for %f in (default sam security software
system) do copy RegBack\%f .
E:\windows\system32\config>copy RegBack\default .
1 Datei(en) kopiert.
E:\windows\system32\config>copy RegBack\sam .
E:\windows\system32\config>copy RegBack\security .
E:\windows\system32\config>copy RegBack\software .
E:\windows\system32\config>copy RegBack\system .
Listing 12.9
Umbenennen und
Kopieren
577
12
Danach beenden Sie die Eingabeaufforderung mit dem Befehl exit und
klicken auf Neu starten im Dialogfeld aus Abbildung 12.43.
12.9 Weitere Programme zum

Bearbeiten der Registry
Es gibt eine ganze Reihe von Programmen, mit denen sich einige oder alle
Teile der Registry bearbeiten lassen. Prinzipiell sollte man dazu sagen,
dass man immer besser auf Programme des Herstellers zugreift, der den
betreffenden Teil der Registry, den man bearbeiten will, auch ursprnglich entworfen hat. Dabei kann man (hoffentlich) sicher sein, dass der
dann auch wei, welche Funktion welcher Schlssel oder Wert genau hat,
insbesondere so mancher Tuning-Tipp ist eher fragwrdig zu sehen.
12.9.1
Mehr Unsinn
als Sinn
Registry-Cleaner
Seit es die Registry gibt, werden auf dem Markt sogenannte Registry
Cleaner angeboten. Diese Programme sollen angeblich die Leistung
eines PC steigern, indem sie unbenutzte Eintrge in der Registry entfernen. Das Problem ist hierbei allerdings: Wer wei schon, welche Eintrge
in der Registry unbenutzt sind? Der grte Teil der Registry liegt im
Schlssel HKLM\SOFTWARE, aber selbst da ist das Finden von unbentigten Eintrgen nicht so einfach. Durch die Struktur der Unterteilung in
Firmen und Produkte knnte man vermuten, dass man den Schlssel
FirmaA entfernen kann, wenn man keine Anwendungen von Firma A
installiert hat. Leider kann es aber sein, dass eine Anwendung von Firma
B eine Software-Komponente von Firma A verwendet, die man von
auen her gar nicht sieht, die aber den Schlssel FirmaA verwendet. Oder
man verwendet die Applikation X in Version 3, die demzufolge den
Schlssel FirmaA\ApplikationX\3.0 verwendet. Kann man sich sicher
sein, dass nicht auch noch Informationen der Vorversion aus Schlssel
FirmaA\ApplikationX\2.0 verwendet werden?
Sicherheitshalber sollte man von derartigen Tools Abstand nehmen. Die
Gefahr, dass diese mehr schaden als nutzen, ist ziemlich gro. Die beste
Methode, um zu verhindern, dass die Registry zu viele Daten enthlt, ist
Datensparsamkeit. Also auf einem produktiven System nicht wild Programme installieren, zum Testen lieber Testsysteme verwenden. Dies ist
heutzutage im Zeitalter von (kostenlosen) Virtualisierungslsungen das
Mittel der Wahl.
12.9.2
Registry-Backup und -Restore
Da die Registry wichtige Daten fr den Betrieb des Systems speichert, bentigt man auch Methoden, um diese Informationen zu sichern und gegebenenfalls wieder herstellen zu knnen.
578
Weitere Programme zum Bearbeiten der Registry
Backup und Restore mit Bordmittel

Seit Windows XP gibt es die Systemwiederherstellung, die in regelmigen
Abstnden eine Sicherung der Systemeinstellungen vornimmt, etwa
bevor Updates eingespielt werden. Dieses Verfahren untersttzt auch
Windows 7, jedoch muss es zunchst aktiviert werden.
1. Rufen Sie in der Systemsteuerung den Eintrag System und Sicherheit/
Sichern und Wiederherstellen auf. Sie sehen den Status der Systemwiederherstellung.
Abbildung 12.44
Die Sicherung ist
nicht konfiguriert.
2. Klicken Sie auf Sicherung einrichten. Es erscheint eine Auflistung mglicher Datentrger, auf denen die Sicherung abgelegt werden kann. Es
ist nicht mglich, die Sicherung auf dem Datentrger durchzufhren,
auf dem Windows selbst installiert ist. Es ist gleichfalls nicht mglich,
einen Datentrger auszuwhlen, auf dem eine andere Installation von
Windows (bei einem Dualboot-System) liegt. Mglich ist die Ablage
der Sicherung auf einer externen Festplatte, auf einer Netzwerkfreigabe eines anderen Systems oder einem CD-/DVD-Brenner. Whlen
Sie den gewnschten Datentrger aus, und klicken Sie auf Weiter.
Eventuell erscheint eine Warnung, wenn der Datentrger keinen ausreichenden Speicherplatz aufweist oder dieser auf dem gleichen physischen Laufwerk wie der Systemdatentrger liegt (zweite Partition
auf einer realen Festplatte).
Die Wiederherstellung einer derartigen Sicherung kann ber den Bereich
Wiederherstellen im Dialogfeld aus Abbildung 12.44 erreicht werden. Whrend bei einzelnen Dateien oder Ordnern auch eine selektive Wiederherstellung erreicht werden kann, ist die Rcksicherung der Inhalte der
Registry nur ber eine komplette Systemwiederherstellung zu erreichen.
Zwar gehen hierbei keine Benutzerdaten verloren, jedoch werden Programme, die in der Zeit zwischen Erstellung des Wiederherstellungspunktes und dem Restore installiert wurden, nicht mehr funktionieren.
Dieses Verfahren eignet sich also nur zur Behebung grerer Probleme,
die den Computer als Ganzes betreffen.
579
12

Abbildung 12.45
Die Sicherung wird
durchgefhrt.
Abbildung 12.46
Eine komplette
Systemwiederherstellung
Abbildung 12.47
Erste Anmeldung
nach der Systemwiederherstellung
ERUNT Emergency Recovery Utility NT

Das Programm ERUNT wird hier stellvertretend fr eine ganze Reihe sogenannter Registry-Sicherungsprogramme vorgestellt. Das Programm selbst
lsst sich unter [ERUNT] herunterladen. Hier stellen wir die Version 1.1j vor.
580
Das Programm ist zwar Freeware, der Autor ist jedoch einer Spende
nicht abgeneigt. Details dazu finden Sie in der oben genannten Webseite.
Nach dem Laden der Installationsdatei wird diese installiert, Sie knnen
hierbei die Standardoptionen einfach beibehalten. Zunchst mssen Sie
eine UAC-Abfrage besttigen, danach die gewnschte Sprache auswhlen. Auf Wunsch legt das Installationsprogramm automatisch eine Verknpfung im Autostart-Ordner an, sodass beim Anmelden automatisch
eine Sicherung angelegt wird. Diese Option sollten Sie nicht aktivieren,
da ERUNT nur problemlos luft, wenn es als Administrator gestartet
wurde. Am Schluss der Installation kann sofort eine Sicherung der Registry angelegt werden. Diese luft unter Administratorrechten, da sie vom
Installationsprogramm aus aufgerufen wird.
Abbildung 12.48
Anlegen einer Sicherung mit ERUNT
Sofern der gewhlte Ordner noch nicht existiert, mssen Sie das Anlegen
zunchst besttigen. Ob Sie die Option Andere geffnete Benutzerregistrierungen aktivieren oder nicht, hngt davon ab, ob auch andere Benutzer
aktuell am System angemeldet sind. Die Registry nicht angemeldeter Benutzer knnen Sie einfacher sichern, indem Sie deren komplettes Profilverzeichnis sichern. In den gewhlten Ordner wird auch gleich das Rcksicherungsprogramm erdnt.exe kopiert.
Eine manuelle Sicherung knnen Sie starten, indem Sie das ERUNT-Symbol im Programmmen oder auf dem Desktop mit der rechten Maustaste
anklicken und auf Als Administrator ausfhren klicken. Sofern Sie an einem
Tag mehr als eine Sicherung durchfhren wollen, mssen Sie das Zielverzeichnis fr die Sicherung manuell abndern, etwa durch Hinzufgen
eines Buchstabens am Ende. ERUNT ist nicht in der Lage, in einem Zielverzeichnis mehrere Sicherungen aufzubewahren.
Zur Rcksicherung mssen Sie zunchst mit dem Explorer zum Verzeichnis C:\Windows\Erdnt (Hauptverzeichnis Ihrer ERUNT-Sicherungen)
navigieren. Danach ffnen Sie das Verzeichnis, aus dem Sie die Sicherung
wiederherstellen wollen. Die Datei erdnt.exe klicken Sie mit der rechten
Maustaste an und whlen Als Administrator ausfhren. Nun startet die
Rcksicherung nach einer UAC-Abfrage und einer weiteren Sicherungsabfrage. Bei den Optionen whlen Sie aus, ob Sie die Systemregistrierung,
die Benutzerregistrierung oder beide zurcksichern wollen. Nach der
Rcksicherung mssen Sie den Computer neu starten.
581
12
Beide Programme lassen sich auch in Skriptdateien einbinden. Fr

weitere Informationen wenden Sie sich bitte an die Webseite des Programmautors.
12.9.3
Zugriff auf die Registry berwachen

RegMon und ProcMon
Zwei der wichtigsten Programme zum berwachen der Registry waren

die Anwendungen Registry Monitor und Process Monitor aus der Sysinternals-Suite. Die Funktionen von RegMon und FileMon wurden inzwischen
in das Programm ProcMon berfhrt, RegMon sollte nur noch fr altere
Windows-Versionen (Windows 9x und NT4) verwendet werden. Im Folgenden wird ProcMon in der Version 2.04 zugrunde gelegt. Eine Installation des Programms ist nicht notwendig. Sie knnen entweder die .zipDatei von Microsoft laden und lokal auspacken oder die Live-Version auf
der Website ausprobieren.
Beim Start von ProcMon.exe erfolgt zunchst eine UAC-Abfrage, da die
Informationen, die das Programm anzeigt, nur von Benutzern mit
administrativen Berechtigungen angesehen werden knnen. Beim ersten Start des Programms muss zustzlich noch ein Lizenzhinweis von
Microsoft besttigt werden.
Analyse des Programms calc.exe

Der Taschenrechner calc.exe bei Windows 7 untersttzt vier Anzeigemodi:
Standard, Wissenschaftlich, Programmierer und Statistik. Er startet jeweils
immer in den Modus, in dem er zuvor beendet wurde. Diese Information
wird (wo sonst?) in der Registry abgespeichert, und auf die folgende Weisen knnen Sie herausfinden, wo diese Informationen genau gespeichert
werden:
1. Starten Sie procmon.exe. Es wird eine Vielzahl von Informationen ber
die aktuell auf dem System laufenden Prozesse angezeigt.
Abbildung 12.49
Process Monitor
zeigt alles.
2. Rufen Sie im Men die Funktion Filter/Filter auf. Geben Sie die Filterkriterien gem Abbildung 12.50 ein, und klicken Sie auf Add und OK.
582
Die Liste der angezeigten Ereignisse wird leer, weil ja aktuell kein Prozess mit dem Namen calc.exe luft.
Der Process Monitor speichert die zuletzt verwendeten Filter und zeigt
dieses Dialogfeld beim erneuten Start an.
Abbildung 12.50
Neues Filterkriterium hinzufgen
3. Starten Sie das Programm calc.exe. Sie sehen im Process Monitor, welche Aktionen das System durchfhrt, um das Programm zu starten.
Klicken Sie danach auf die vier in Abbildung 12.51 markierten Symbole
rechts vom Registry-Symbol. Dies filtert zustzlich noch Dateizugriffe, Netzwerkaktivitten und prozessbezogene Ereignisse aus.
Abbildung 12.51
Ausgabe gefiltert
auf calc.exe
4. Wenn Sie in der Liste Ereignisse finden, die Sie nicht interessieren,
knnen Sie ber das Kontextmen des Eintrags zustzliche Filter aktivieren. Sinnvoll wre hier ein Filter, der den Zugriff auf HKLM ausschliet (wir suchen eine benutzerbezogene Einstellung).
Wenn Sie einen vorhandenen Filter abndern wollen, markieren Sie
ihn in der Liste der aktiven Filter und klicken dann auf Remove. Der
Filter steht dann zum ndern zur Verfgung und kann mit Add erneut
aktiviert werden.
583
12
5. Stellen Sie im Taschenrechner im Men Ansicht die Anzeigedarstellung um und wechseln dann im Process Monitor ganz ans untere
Ende der Auflistung. Dort finden Sie folgendes Ereignis (durch Klick
auf Copy All knnen Sie den Inhalt als Text in die Zwischenablage
bernehmen):
Date & Time:16.07.2009 14:32:38
Event Class:Registry
Operation:RegSetValue
Result:SUCCESS
Path:HKCU\Software\Microsoft\Calc\layout
TID:2568
Duration:0.0000284
Type:REG_DWORD
Length:4
Data:0
6. Der Wert layout im Schlssel HKCU\Software\Microsoft\Calc ist fr

die Kontrolle des Anzeigemodus der Anwendung zustndig. Durch
Wiederholung der Umstellung kann man feststellen, welcher Wert
genau fr welchen Darstellungsmodus zustndig ist.
Dieses kleine und recht triviale Beispiel soll Ihnen verdeutlichen, wie Sie
mit dem Process Monitor analysieren knnen, was genau ein Programm
tut und welche Zugriffe es durchfhrt. Insbesondere bei Problemen mit
unsauber erstellen Applikationen als Nichtadministrator kann man somit
gut feststellen, wo etwa ein Programm auf Dateien oder Registry-Werte
zuzugreifen versucht, wo dies eigentlich nicht gestattet ist.
12.10 Tipps zur Erhhung der

Sicherheit
Da die Registry viele systemrelevante Informationen enthlt, sollte man
nach Mglichkeit versuchen, den Zugriff darauf zustzlich abzusichern.
12.10.1 .reg-Dateien nicht per Doppelklick

installieren
Normal wird ja eine .reg-Datei importiert, sobald man sie doppelt anklickt.
Zwar erfolgt dann noch eine Sicherheitsabfrage, aber schnell hat man diese
flschlich bejaht und Dinge in die Registry importiert, die man da eigentlich nicht haben wollte, weil man die Datei vorher noch bearbeiten wollte.
Leider gibt es bei Windows 7 das noch bei Windows XP vorhandene erweiterte Dialogfeld aus Ordneroptionen/Dateitypen nicht mehr, mit dem man
die einzelnen Aktionen, die im Explorer mit einer bestimmten Art von
Dateien verbunden waren, kontrollieren konnte.
Damit beim Doppelklick auf eine .reg-Datei stattdessen den Editor ffnet,
muss die Standardaktion fr den Dateityp auf edit gesetzt werden. Dies
kann man mit folgender .reg-Datei erreichen.
584
Tipps zur Erhhung der Sicherheit

[HKEY_CLASSES_ROOT\regfile\shell]
@="edit"
Listing 12.10
Neue Standardaktion fr .regDateien
Das edit ergibt sich daraus, dass unterhalb von HKCR\regfile\shell ein
gleichnamiger Unterschlssel existiert, in dem die gewnschte Aktion
konfiguriert ist.
12.10.2 Aufruf des Registrierungs-Editors

verbieten
Auch wenn die Schlssel der Registry bereits durch ihre Zugriffsrechte
geschtzt werden, will man eventuell einem Benutzer auch verbieten,
berhaupt den Registrierungs-Editor zu starten. Das verhindert zwar
nicht, dass der Benutzer ber andere Applikationen doch Schlssel der
Registry einsehen oder ndern kann, auf die er Zugriff hat, stellt aber eine
gewisse Hrde fr den unerfahrenen Benutzer dar. Diese Sperrung wird
ber Gruppenrichtlinien oder direkt in der Registry durchgefhrt.
Per Gruppenrichtlinie
Um den Aufruf von regedit.exe per Gruppenrichtlinie zu verbieten, fhren Sie folgende Schritte durch:
1. Rufen Sie in einer Active Directory-Umgebung den Gruppemrichtlinien-Editor auf, oder starten Sie lokal die Anwendung gpedit.msc.
2. Navigieren Sie zum Punkt Benutzerkonfiguration/Administrative Vorlagen/System.
3. Setzen Sie den Wert Zugriff auf Programme zum Bearbeiten der Registrierung verhindern auf Aktiviert.
Abbildung 12.52
Benutzerrichtlinie
zur Sperrung der
Registry-Tools
585
12

Abbildung 12.53
Die Registry ist
gesperrt.
Sofern die lokale Richtlinie verndert wurde, ist die Sperrung sofort aktiv.
Bei einer Sperrung ber eine Gruppenrichtlinie in Active Directory muss
zunchst gewartet werden, bis der Client die Richtlinie vom Server auch
aktiviert, hier kann ein Neustart helfen. Die Sperrung wirkt sich auch auf
die Programme reg.exe und regini.exe aus. Der erneute Aufruf des Richtlinien-Editors ist davon jedoch nicht betroffen.
Per Registry
Um den Zugriff auf die Registry direkt ber die Registry zu sperren, erzeugen Sie im Schlssel HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System einen neuen Wert DisableRegistryTools vom Typ REG_
DWORD und weisen diesem den Wert 1 zu. Auch diese Einstellung wirkt
sofort.
586
13
Sicherheit
Sicherheit ist heute bei Computern das groe Thema. Das betrifft nicht mehr
allein den Schutz vor Abstrzen und Fehlfunktionen sondern erstreckt sich
auch auf den Schutz vor unbefugten Zugriffen, Angriffen ber angeschlossene Netzwerke und den Schutz vor Datenlecks. Dies ist auch unter dem
Gesichtspunkt zu betrachten, dass seit 1.9.2009 in Deutschland ber das
Bundesdatenschutzgesetz geregelt ist, dass unter Umstnden die von einem
Datenleck betroffenen Personen sowie die zustndigen Aufsichtsbehrden
darber informiert werden mssen (siehe [BDSG42a]). Ein solches Problem
ist somit nicht nur mehr allein ein internes Problem der IT, sondern hat auch
eine erhebliche Auenwirkung auf die betroffene Firma oder Behrde.
Gesetzliche
Anforderungen
an den Computerschutz
13.1 Sichere Entwicklung SDL

Kein Hersteller wird wissentlich unsichere Software produzieren, aber
das heit noch lange nicht, dass er auch tatschlich sichere Software herstellt. Und leider stehen dann bei der Benutzung der Software auch noch
die Interessen der Bequemlichkeit der Anwender in diametraler Richtung
zum Wunsch nach Sicherheit vonseiten der Administratoren her. Es ist ja
nicht so, als ob die Techniken zum Erstellen sicherer Software nicht
bekannt wren, aber es mssen die Entwickler auch dazu gebracht werden, diese Regeln zu befolgen.
Nach einigen unerfreulichen Vorfllen sandte deshalb Bill Gates im Januar
2002 eine E-Mail an alle Mitarbeiter, in der er forderte, den Fokus bei der
Programmentwicklung deutlicher auf die Sicherheit der erstellten Software
zu legen: So now, when we face a choice between adding features and resolving
security issues, we need to choose security.1
1
Wenn wir nun die Wahl haben, ob wir Funktionen hinzufgen oder Sicherheitsprobleme lsen, mssen wir die Sicherheit whlen.
587
Kapitel 13 Sicherheit
Zwar ist seitdem noch keine perfekte Software vom Himmel gefallen, aber
der Trend geht eindeutig zu mehr Sicherheit. Bei Windows XP konnte ein
Administrator noch alles machen, es hielt ihn keiner auch von katastrophalen Aktionen ab. Bei Windows Vista wurde deshalb das Konzept der
Benutzerkontensteuerung (siehe den Abschnitt 13.2 ab Seite 588) eingefhrt. Hier wurde allerdings wohl etwas bertrieben, sodass viele Anwender den Schutz wieder abschalteten. Aus diesem Grund wurde dies bei
Windows 7 wieder etwas zurckgenommen, sodass der Schutz den Benutzer weniger einschrnkt.
Updates fr alle
An anderer Stelle waren die Schutzmanahmen erfolgreicher. Whrend bei

Windows 2000 die Verteilung von Software-Updates noch explizit vom
Administrator eingeschaltet werden musste, muss er bei der Installation
von Windows 7 schon extra die Updates abwhlen (siehe Abbildung 13.32).
Auch aus diesem Grund haben sich die aktuellen Bedrohungen weg vom
direkten Angriff auf das Betriebssystem hin zu Angriffen auf spezielle
Anwendungsprogramme (zum Beispiel Anzeigeprogramme fr pdfDateien) verlagert. Das Problem sind also inzwischen weniger globale
Angriffe auf die Netzwerkstruktur als vielmehr gezielte Angriffe auf einzelne Systeme und Personen. Und dies ist die neue Gefahr. Ein breiter
Angriff fllt schnell auf. Es ist zu erwarten, dass das Angriffsmuster auch
schnell bei den Herstellern entsprechender Schutzprogramme (Antivirus,
Intrusion Detection) auftaucht, sodass diese ihre Schutzfunktionen entsprechend darauf abstimmen knnen. Ein gezielter Angriff ist eben gezielt
und wird deshalb meist auerhalb des Zielgebietes nicht bemerkt. Demzufolge versagen auch die blichen Schutzmechanismen. Der Computerschutz wird also schwieriger anstatt einfacher.
Sicherheit von
Anfang an
Um Probleme schon im Vorfeld der eigentlichen Entwicklung zu verhindern,

haben deshalb Microsoft (und viele andere Firmen) das Konzept des Security
by Design (Sicherheit durch Gestaltung) entwickelt. Hierbei wird bereits in der
Designphase einer Anwendung der Fokus auf Sicherheit gelegt. Der Grundgedanke ist hierbei, dass es leichter ist, Sicherheitslcken zu vermeiden,
indem man problematische Teile erst gar nicht einbaut, anstatt im Nachhinein die vorhandenen Lcken separat abzusichern. Im Bereich der Entwicklung wurde von Microsoft der SDL (Security Development Lifecycle Lebenszyklus der sicheren Entwicklung) eingefhrt. Dies ist kein Produkt, mit dem
man entwickelt, dies sind Verfahrensschritte, die man in die Entwicklung
integriert. In [SDL] wird genauer beschrieben, was Microsoft im Rahmen des
SDL an Aktionen durchfhrt, um eine bessere Qualitt der Software zu erreichen. Das Gute daran ist: Viele der verwendeten Tools sind auch fr eigene
Entwicklungen verwendbar, da sie entweder Bestandteil der aktuellen Entwicklungsumgebungen oder kostenlos verfgbar sind.
13.2
Benutzerkontensteuerung UAC
Die Benutzerkontensteuerung, auch UAC User Account Control genannt,

wurde erstmals bei Windows Vista eingefhrt und beschreibt ein Verfahren, bei dem einem Benutzer mit administrativen Rechten (sei es ein lokaler Administrator oder ein Domnen-Administrator) eben diese Privile-
588
13
Benutzerkontensteuerung UAC
gien nicht mehr automatisch zustehen. In vielen Fllen muss er den

Einsatz dieser Berechtigungen erst noch zustzlich authentisieren.
13.2.1
Warum diese Einschrnkung?
Auch wenn es eine schlechte Angewohnheit ist, so arbeiten doch viele Benut- Der Administrazer auch bei ihrer tglichen Arbeit mit einem administrativen Account. Dies tor ist nicht mehr
birgt natrlich Gefahren. Ein normaler Benutzer kann bei einer Fehlbedie- gottgleich
nung oder Fehlfunktion seiner Software nur seine eigenen Daten gefhrden,
ein administrativer Benutzer kann gleich die Sicherheit des kompletten Systems (und damit auch die Daten aller anderen Benutzer) aufs Spiel setzen.
Dies umso mehr, als man sich auch beim Surfen auf harmlosen Webseiten
Schadprogramme einfangen kann.
Mchte jetzt ein Benutzer (oder ein Schadprogramm, das der Benutzer
unbeabsichtigt gestartet hat) eine Ttigkeit ausfhren, die einen administrativen Zugriff bentigt, wird dem Benutzer eine UAC-Abfrage prsentiert. Ein administrativer Benutzer kann diese direkt besttigen, ein normaler Benutzer muss Benutzername und Kennwort eines administrativen
Benutzers eingeben. In den beiden folgenden Abbildungen wird jeweils
versucht, eine Anwendung zu installieren.
Abbildung 13.1
UAC-Abfrage eines
administrativen
Benutzers
Abbildung 13.2
UAC-Abfrage eines
nichtadministrativen Benutzers
Sofern das Programm, das installiert werden soll, von einem Herausgeber
signiert worden ist, kann ber den Link Details anzeigen das Zertifikat des
Herausgebers angezeigt werden. Das Besondere an der UAC-Abfrage ist,
dass der restliche Bildschirm whrenddessen abgedunkelt ist und einfriert
589
(Secure Desktop). Andere laufende Programme laufen zwar weiter, es findet

jedoch keine Bildschirmausgabe statt. Gegenber Windows Vista wurde
die Anzahl der Aktionen, die eine UAC erfordern, etwas zurck genommen, sodass beim normalen Arbeiten die UAC weniger hufig erscheint.
Wieviel Nerverei
soll sein?
Tabelle 13.1
UAC-Sicherheitsstufen
ber Systemsteuerung/System und Sicherheit/Wartungscenter/Einstellungen

der Benutzerkontensteuerung ndern oder Eingabe von UAC in das Suchfeld
der Systemsteuerung kann man in vier Stufen festlegen, wie die UAC auf
bestimmte Ereignisse reagieren soll.
Stufe
Meldung erfolgt, wenn ...
Immer benachrichtigen
Programme versuchen, nderungen am System vorzunehmen oder Software zu installieren,

Benutzer ndert Windows-Einstellungen
Standard
Programme versuchen, nderungen am System vorzunehmen oder Software zu installieren
Wenige Benach- Gleiche Einstellung wie bei Standard, allerdings wird die
UAC-Abfrage auf dem normalen, nicht abgedunkelten
richtigungen
Desktop dargestellt.
Nie benachVerhalten wie bei Windows XP. Ein Administrator hat
volle Kontrolle ohne weitere Abfragen, ein normaler
richtigen
Benutzer erhlt keine Mglichkeit, eine privilegierte Funktion durch Angabe eines administrativen Kontos doch zu
erlauben. Diese Einstellung erfordert einen Neustart.
Abbildung 13.3
UAC-Mglichkeiten fr
Administratoren
Unter Windows Vista konnte man die UAC nur entweder ein- oder ausschalten. Hier bietet Windows 7 eine feinere Abstufung. Neben der Einstellung der Stufen kann auch ber Gruppenrichtlinien oder lokale Sicherheitsrichtlinien mittels gpedit.msc (siehe Kapitel 11) das Verhalten des UAC
gesteuert werden. So kann beispielsweise unter Computerkonfiguration/Windows-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen eingestellt werden,
welche Optionen einem Administrator oder einem normalen Benutzer bei
der UAC-Abfrage angeboten werden.
590
13
Integritt von Objekten
13.2.2
Wie funktioniert UAC?
Sobald sich ein Benutzer am System anmeldet, wird ihm ein sogenanntes Zugriff per Token
Access-Token vom System zugeteilt. Dieses Token (englisch fr Zeichen
oder Merkmal) enthlt seine SID, Informationen ber Gruppenmitgliedschaften und erteilte Privilegien. Sobald der Benutzer eine Aktion im System durchfhren will, z.B. eine Datei lesen, wird anhand seines AccessTokens geprft, ob dieses ausreicht, um die Aktion durchzufhren. Sollte
die Berechtigung nicht ausreichen, wird zunchst ein Zugriffsfehler
gemeldet, das Programm kann dann versuchen, ber eine UAC-Abfrage
ein Access-Token mit hheren Zugriffsberechtigungen zu erhalten.
Meldet sich ein Administrator an, werden vom System zwei Access-Token
erzeugt. Eines, bei dem alle Informationen enthalten sind, und eines, bei
dem alle administrativen Inhalte (zum Beispiel Mitgliedschaft in der
Gruppe der Administratoren) entfernt wurden. Mit diesem Standard-Token
arbeitet der Administrator im Normalfall, sodass er dann nicht mehr Aktionen ausfhren kann als ein normaler Benutzer. Bentigt der administrative
Benutzer fr eine Aktion mehr Berechtigungen, erfolgt die UAC-Abfrage
(sofern die Anwendung diese untersttzt). Wird diese besttigt, so schaltet
das System auf die Verwendung des administrativen Tokens um. Diese
Betriebsart wird auch Admin Approval Mode genannt. Es gibt allerdings eine
Ausnahme: Der erste Benutzer, der in einem System angelegt wird, luft
ohne diese Zweiteilung seines Access-Tokens. Dieser Account ist typischerweise der Benutzer Administrator. Unter Windows 7 kann man sich allerdings unter normalen Umstnden nicht mit diesem Benutzer anmelden,
dies ist nur mglich, wenn sonst kein anderer Benutzer mit administrativen
Berechtigungen auf dem System mehr verfgbar ist.
13.3 Integritt von Objekten

Als weitere Mglichkeit, ein System sicherer zu gestalten, wurde mit Vertrauen ist
Windows Vista das Konzept der Verbindlichkeitsstufe (auch Integrittsstufe gut, Kontrolle
Integrity Level genannt) eingefhrt. Dieses Konzept geht davon aus, dass ist besser
man Dateien und Verzeichnissen mehr oder weniger Vertrauen schenkt,
etwa basierend auf der Quelle, aus denen diese Dateien stammen. Dieses
Konzept hnelt dem Zonenkonzept, das der Internet Explorer implementiert, um Webseiten bestimmte Aktionen zu gestatten oder zu versagen.
Hier kann man zum Beispiel einer Website, die in der Zone der vertrauenswrdigen Sites aufgefhrt ist, mehr Aktionen gestatten als einer, die
in der Zone Internet liegt.
Zur Verwendung durch Benutzer sind in Windows 7 drei dieser Stufen
vorgesehen:
Niedrig
Mittel
Hoch
Zustzlich gibt es noch die Stufen Untrusted, System und Installer. Diese
sind aber nur programmiertechnisch erreichbar.
591
Diese Stufen greifen immer dann, wenn entweder schreibend auf ein
Objekt zugegriffen oder ein neuer Prozess erzeugt wird. Normal luft ein
Prozess auf der Stufe Mittel. Sofern er nur lesend auf ein Objekt zugreifen
will, kann er dies bei allen Objekten tun, fr die er durch seinen Benutzer
und seine Gruppenmitgliedschaften (sein Standard-Token) entsprechende Berechtigungen besitzt. Will er aber auf ein Objekt schreibend
zugreifen (zum Beispiel eine Datei speichern oder neu anlegen), so berprft das System, ob die Integrittsstufe des Prozesses gleich oder hher
als die Stufe des Objektes ist, auf das er zugreifen will. Ist dies nicht der
Fall, so wird der Zugriff verweigert. Wird ein neuer Prozess erzeugt (zum
Beispiel indem von cmd.exe aus ein Programm gestartet wird), so erhlt
dieser neue Prozess die geringere der beiden Stufen, die man erhlt, wenn
man sich die Stufe des aufrufenden Prozesses und die der Datei des aufzurufenden Programms betrachtet.
13.3.1
Verbindlichkeitsstufen ein Beispiel
Starten Sie zunchst eine Eingabeaufforderung, und fhren Sie dort die
folgenden Aktionen aus:
Listing 13.1
Testumgebung fr
Verbindlichkeitsstufen
>mkdir low
>icacls low /setintegritylevel (OI)(CI)l
Bearbeitete Datei: low
>icacls low
low NT-AUTORITT\SYSTEM:(I)(OI)(CI)(F)
VORDEFINIERT\Administratoren:(I)(OI)(CI)(F)
win7lap\jochenr-admin:(I)(OI)(CI)(F)
Verbindliche Beschriftung\Niedrige Verbindlichkeit...:(OI)(CI)(NW)
>copy %windir%\system32\notepad.exe lonote.exe
>icacls lonote.exe /setintegritylevel l
Bearbeitete Datei: lonote.exe
>icacls lonote.exe
lonote.exe NT-AUTORITT\SYSTEM:(I)(F)
VORDEFINIERT\Administratoren:(I)(F)
win7lap\jochenr-admin:(I)(F)
Verbindliche Beschriftung\Niedrige Verbindlichkeit...:(NW)
Beim Betrachten der Verbindlichkeitsstufen mit icacls.exe ist zu beachten, dass die Stufe Mittel nicht angezeigt wird. Wird also keine Stufe
angezeigt, hat das Objekt den Standardwert.
592
13
Integritt von Objekten
Was ist passiert?
Es wurde ein neues Verzeichnis low angelegt und dieses mit der Verbindlichkeitsstufe Niedrig versehen (der erste icacls-Aufruf setzt den
Wert, der zweite Aufruf dient der Kontrolle). Sodann wurde eine Kopie
des Editors notepad.exe unter dem Namen lonote.exe angelegt und auch
auf die niedrige Verbindlichkeitsstufe gesetzt.
Welcher Effekt wurde damit erreicht?
Beim Start des Programms lonote.exe wird dies danach mit niedriger
Verbindlichkeitsstufe ausgefhrt, weil eben die ausfhrbare Datei nur
dieses Niveau hat. Sie knnen somit mit diesem Editor zwar alle
Dateien sehen, auf die Ihr Benutzer Zugriff hat, knnen jedoch nur in
ein Verzeichnis speichern, das auch auf einem niedrigen Sicherheitsniveau steht, in diesem Fall das Verzeichnis low.
Nun wird die Absicherung des Editors sicherlich nicht wesentlich zur Erh- Selbst ein Editor
hung der Sicherheit beitragen. Hier muss man aber bedenken, dass sich kann gefhrlich
diese nderung auf alle von der betreffenden Applikation aus gestarteten sein
Programme fortsetzt (selbst aus dem Editor heraus lassen sich andere Programme starten!). Dies wird insbesondere interessant, wenn man an Programme denkt, die Daten aus dem Internet entgegennehmen und diese
gegebenenfalls auch ausfhren (gemeinhin Browser genannt). Der Internet
Explorer untersttzt aus diesem Grund seit Version 7 ebenfalls dieses Konzept.
Abbildung 13.4
Prozesse und ihre
Verbindlichkeiten
In Abbildung 13.4 knnen Sie zwei interessante Dinge erkennen:

Der Prozess cmd.exe mit der PID 3908 luft mit Stufe Mittel und hat das
Programm lonote.exe mit der PID 2944 gestartet. Dieses luft auf Stufe
Niedrig und hat selber wieder ein Programm gestartet, cmd.exe mit PID
1044. Dieser Prozess hat dann gleichfalls die Stufe Niedrig geerbt.
593
Der Internet Explorer iexplore.exe mit PID 3468 luft auf Stufe Mittel
und hat sich selber dreimal aufgerufen (PID 940, 952 und 1308). Dies
wurde dadurch erreicht, dass drei Webseiten in drei Registerkarten
aufgerufen wurden, von denen eine aus der Zone der vertrauenswrdigen Sites stammt. Deshalb luft nur die PID 1308 auf mittlerer Stufe,
die beiden anderen auf niedriger Stufe.
Unverbindlich
gehts immer
Wie Sie sehen, kann man problemlos die Verbindlichkeitsstufe reduzieren,

entweder durch Zuweisen einer niedrigeren Stufe auf die Programmdatei
oder indem ein Programm sich selber einen niedrigeren Wert zuweist. Der
umgekehrte Weg geht jedoch nicht so einfach. Um ein Programm mit hoher
Verbindlichkeit aufzurufen, muss dieses ber die Option Als Administrator
ausfhren gestartet werden, wofr eine UAC-Abfrage erfolgt.
13.4 Wartungscenter
Das, was bei Windows XP noch als Sicherheitscenter bezeichnet wurde,
nennt sich bei Windows 7 nun Wartungscenter (Action Center) und wird
ber Systemsteuerung/System und Sicherheit/Wartungscenter aufgerufen. Es
bietet auf einen Blick eine bersicht ber alle fr den Bereich der Sicherheit zustndigen Indikatoren.
Abbildung 13.5
Das Wartungscenter in Windows 7
594
13
Wartungscenter
Die einzelnen im Wartungscenter dargestellten Sicherheitsindikatoren sind:

Sicherheitsindikator
Zeigt an
Virenschutz
Ist ein AV-Programm installiert?
Netzwerkfirewall
Ist die aktive Netzwerkverbindung mit einer Firewall geschtzt?
Windows Update
Wird automatisch nach Updates gesucht, werden

Updates automatisch installiert.
Spyware
Existiert ein Schutz vor Spyware und hnlichen

unerwnschten Anwendungen?
Internetsicherheitseinstellungen
Sicherheitseinstellungen des Internet Explorers.

Es ist zweifelhaft, ob hier auch die Einstellungen
anderer Browser berwacht werden (knnen).
Benutzerkontensteuerung
Status der Benutzerkontensteuerung
Netzwerkzugriffschutz
Zustand der NAP-Steuerung. Dies ist ein Verfahren, mit dem in einer Firmenumgebung Systeme
von dem restlichen Netzwerk getrennt werden,
solange sie nicht bestimmten Sicherheitsrichtlinien gengen.
Tabelle 13.2
Sicherheitsindikatoren im
Wartungscenter
Neben den Indikatoren, die im Wesentlichen berprfen, ob bestimmte Systemfunktionen vorhanden und aktiviert sind, gibt es noch eine Reihe von
Wartungsindikatoren, die ebenfalls fr den Status des Systems beachtet werden sollten:
Wartungsindikator
Zeigt an
Problemberichte
Wie auch schon bei den vorigen Versionen von

Windows besteht auch bei Windows 7 die Mglichkeit, bei aufgetretenen Fehlfunktionen von Systemkomponenten online in einer Problemdatenbank
nach Lsungen zu suchen. Hier kann kontrolliert
werden, ob und wie oft nach diesen Lsungen
gesucht werden soll.
Sicherung
Wird ein regelmiges Backup des Systems durchgefhrt?
Updates
Mssen bereits geladene Updates noch installiert

werden?
Tabelle 13.3
Wartungsindikatoren
Problembehandlung Hat die Problembehandlung im System aktuell

einen Fehlerzustand erkannt und muss dieser bearbeitet werden?
Im Normalfall wird man das Wartungscenter weder bemerken noch es

aktiv ansteuern. Sobald jedoch ein Zustand eintritt, bei dem einer der
Sicherheitsindikatoren des Wartungscenters eine Fehlfunktion feststellt,
meldet es sich automatisch mit einem Dialogfeld am Bildschirmrand. In
595
Abbildung 13.6 wurden die Sicherheitseinstellungen des Internet Explorers auf einen sehr unsicheren Level eingestellt. Dies meldet zum einen
das Dialogfeld fr die Einstellungen des Internet Explorers am oberen
Rand, zum anderen erscheint im Infobereich der Taskleiste eine entsprechende Warnmeldung.
Abbildung 13.6
Unsichere Interneteinstellungen
Nach dem Neustart des Systems kann es einige Zeit dauern, bis alle
Informationen im Wartungscenter angezeigt werden. Sollte dies vorkommen, schlieen Sie es einfach und probieren es nach zwei bis drei
Minuten erneut.
Abbildung 13.7
Einstellungen im
Wartungscenter
Die gleiche Meldung bekommt man auch im Wartungscenter angezeigt.

Zudem kann man hier auch gleich korrigierend eingreifen. Ein Klick auf die
Schaltflche Einstellungen wiederherstellen setzt die unsicheren Werte wieder auf einen hheren Sicherheitslevel zurck.
596
13
Antivirus-Programme
13.4.1
Action-Center konfigurieren
Es ist zwar sehr hilfreich, dass das Action-Center alle denkbaren Aspekte Zu viel Action
der Sicherheit in Windows berwacht, manchmal ist dieser Aufwand
jedoch bertrieben. Zum Beispiel, wenn man aus gutem Grund den Internet Explorer in einem unsicheren Modus betreiben muss. Dann wren die
andauernden Warnmeldungen des Wartungscenters eher strend. Hier
kann fr jeden einzelnen Indikator separat eingestellt werden, ob das
Wartungscenter diesen Indikator berwachen soll oder nicht. Sie haben
zwei Mglichkeiten, diese nderungen vorzunehmen. Entweder klicken
Sie direkt unterhalb der Meldung des Wartungscenters auf den Link Meldungen zu ... deaktivieren, um die aktuelle Meldung und alle weiteren Meldungen der betroffenen Kategorien zu entfernen. Oder Sie klicken im
Wartungscenter am linken Rand auf den Link Wartungscentereinstellungen
ndern.
Abbildung 13.8
Wartungscenter
konfigurieren
ber diese Einstellungen knnen Sie auch vorher ausgeblendete Meldungskategorien wieder aktivieren.
13.5 Antivirus-Programme
Wie schon bei Windows XP geht Microsoft davon aus, dass ein Antivirus- Antivirus eine
Programm auf dem System installiert sein sollte. Es gibt fr diese Ansicht Glaubensfrage?
sowohl Punkte, die fr die Installation eines AV-Scanners sprechen, als auch
welche, die dagegen sprechen. Im Prinzip muss jeder Administrator selbst
entscheiden, ob er eine solche Software einsetzen mchte oder nicht.
597
13.5.1
Fr eine AV-Lsung sprechen
Zu dem Grnden, die fr den Einsatz einer AV-Lsung sprechen, zhlen:

Bekannte Viren werden erkannt, und ihre Ausfhrung wird unterbunden.
Bein externen Datentrgern kann man nicht sicher sein, was fr Daten,
Programme und Dokumente gespeichert sind, ein AV-Scanner kann als
Prfinstanz dienen.
Unerwnschte Programmkategorien knnen geblockt, erkannte Programme gestoppt werden.
13.5.2
Gegen eine AV-Lsung sprechen
Zu dem Grnden, die gegen den Einsatz einer AV-Lsung sprechen, zhlen:
Unbekannte Viren werden weder erkannt noch geblockt.
Systemleistung wird unntig verbraucht, die verfgbare Leistung fr
Applikationen sinkt.
Flschlich erkannte Programme werden geblockt oder gelscht und
verursachen dadurch Fehlfunktionen.
Benutzer wiegen sich in falscher Sicherheit und agieren unvorsichtiger.
Ob man eine AV-Lsung einsetzt oder nicht, hngt natrlich auch immer
von dem Einsatzgebiet des jeweiligen Systems ab.
13.5.3
Prfung von AV-Programmen durch das

Wartungscenter
Das Wartungscenter berprft, ob ein AV-Programm auf dem System installiert ist. Doch wie kann es das feststellen? Genau genommen berprft Windows nur, ob sich ein Programm im System als Antivirus-Programm eingetragen hat. Unter Windows XP wurde dies noch mit WMI bewerkstelligt,
dieses Verfahren hat Microsoft jedoch mit Windows Vista aufgegeben, die
Registrierung der AV-Programme erfolgt jetzt ber ein Interface, das Microsoft nur ausgewhlten Antivirus-Firmen zur Verfgung stellt. Dies hat leider
auch zur Folge, dass Skripte, die unter Windows XP dazu verwendet wurden, um Antivirus-Programme festzustellen, nun nicht mehr funktionieren.
Aktuell ist keine Mglichkeit bekannt, wie man selbst das Vorhandensein
einer AV-Anwendung feststellen kann. Diese Abfrage kann nur ber das
Wartungscenter erfolgen.
Das Wartungscenter berprft aber nicht nur, ob ein AV-Programm vorhanden ist, es prft auch, ob das Programm mit aktuellen Signaturen arbeitet. Sofern das AV-Programm keine aktuellen Signaturen besitzt, wird dies
auch entsprechend im Wartungscenter gemeldet.
598
13
Windows Defender und Microsoft Security Essentials
Abbildung 13.9
Der AV-Scanner ist
nicht aktuell.
Das Wartungscenter meldet auch, wenn die AV-Lsung nicht aktiviert

ist, dies scheint insbesondere auch bei Testversionen aufzutreten.
13.6 Windows Defender und

Microsoft Security Essentials
Whrend man ein Antivirus-Programm selber beschaffen und installieren
muss, ist der Windows Defender standardmig bei der Installation dabei.
hnlich wie ein AV-Scanner richtet sich auch Windows Defender gegen
Schadprogramme, allerdings zielt er insbesondere auf Spyware, hnlich wie
beispielsweise Spybot Search&Destroy (siehe unter [SSAD]). Der Windows
Defender bietet sowohl einen OnAccess-Modus als auch einen OnDemandScan des Systems an, standardmig ist nach der Installation der OnAccessModus aktiv.
OnAccess Eine Datei wird automatisch gescannt, sobald das System
darauf zugreift.
OnDemand Eine Datei wird nur nach expliziter Aufforderung durch
den Anwender gescannt.
Abbildung 13.10
Startseite von
Windows Defender
599
Gestartet werden kann der Windows Defender nur ber die Suchfunktion. Er ist keiner Kategorie in der Systemsteuerung zugeordnet. Auch
eine Umstellung der Systemsteuerung auf die Kategorienansicht bringt
nichts. Rufen Sie deshalb das Startmen auf, und tippen Sie in das Suchfeld Defender ein.
Auf der Startseite von Windows Defender (siehe Abbildung 13.10) sehen Sie
im oberen Teil die Mitteilung, ob aktuell unerwnschte Programme festgestellt wurden oder nicht. Im unteren Teil sehen Sie, wann die letzte berprfung des Computers stattgefunden hat, wann die nchste berprfung
stattfinden soll und welche Art von berprfung (Schnellberprfung, Vollstndige berprfung oder Benutzerdefiniert) jeweils stattfindet bzw. stattgefunden hat. Die Angabe Echtzeitschutz gibt an, ob der OnAccess-Scanner von
Windows Defender aktiv ist oder nicht. Ohne Echtzeitschutz kann eine mgliche Infektion immer nur im Nachhinein erkannt werden, mit dem Echtzeitschutz besteht die Mglichkeit, dass eine Infektion von vornherein
verhindert wird. Aus der letzten Zeile kann man ersehen, wie alt die Signaturdateien sind und wann sie zum letzten Mal gendert wurden. Sofern die
Signaturen zu alt sind, erscheint eine entsprechende Meldung im Wartungscenter. Zu dieser Startseite kommen Sie immer durch einen Klick auf das
Symbol Startseite in der oberen Befehlsleiste des Programms.
Nach dem Neustart des Computers kann es einige Zeit dauern, bis die
zum Defender zugehrigen Dienste gestartet sind. Sofern beim Start
des Windows Defenders eine entsprechende Meldung erscheint, klicken Sie nach einiger Zeit erneut auf Startseite.
13.6.1
Manuelle berprfung anstoen
Per Klick auf berprfung wird eine manuelle berprfung des Systems
im Schnellberprfungsmodus ausgelst. Mchten Sie eine ausfhrliche
Prfung starten oder gezielt bestimmte Bereiche der Festplatte durchsuchen, mssen Sie auf den Pfeil rechts von berprfung klicken. Dort knnen Sie auch eine laufende berprfung vorzeitig beenden.
Abbildung 13.11
Auswahl der berprfungsart
Schnellberprfung
600
Bei der Schnellberprfung werden nur die Teile des Systems berprft,
die am ehesten von Spyware infiziert sein knnten, was immer das im Speziellen auch heien mag. Zu dieser berprfung gehren neben dem Verzeichnis der Systemdateien (Ordner System32) auch bestimmte Bereiche
der Registry. Bei der vollstndigen berprfung werden alle Dateien und
Prozesse im System getestet. Bei der benutzerdefinierten berprfung kann
fr einzelne Verzeichnisse ausgewhlt werden, ob diese berprft werden sollen oder nicht.
13
Abbildung 13.12
Auswahl einzelner
Verzeichnisse fr die
berprfung
Whrend eine berprfung luft, kann man mitverfolgen, welche Dateien

und Verzeichnisse aktuell gescannt werden.
Abbildung 13.13
Ein laufender Scan
von Windows
Defender
13.6.2
Erkennung von schdlichen Dateien
Sofern der Windows Defender beim Arbeiten eine schdliche Datei ent- Gefahr in Sicht
deckt (und ein vorhandener AV-Scanner nicht), so erscheint eine Warnmeldung als Ballonmeldung in der unteren rechten Ecke der Taskleiste
601
Abbildung 13.14
Meldung des
Windows Defenders
im Infobereich der
Taskleiste
Durch Klick auf die Meldung erscheint ein Dialogfeld, das angibt, welcher Schdling gefunden wurde (in Abbildung 13.15 ist dies der EICARTestvirus von http://www.eicar.org).
Unter Aktion kann man dann drei mgliche Reaktionen auswhlen:
Entfernen Die gefundene Datei wird gelscht.
Quarantne Die gefundene Datei wird in den Quarantnespeicher
verschoben und kann von dort gegebenenfalls wieder zurckgeholt
werden.
Zulassen Die Datei wird nicht verndert, zudem wird auch automatisch
fr diese Datei eine Ausnahme zu den Regeln des Windows Defenders
hinzugefgt, sodass die Datei bei folgenden berprfungen nicht mehr
getestet wird.
Mit diesem Testvirus knnen Sie gefahrlos berprfen, ob Ihre aktuelle Antivirus-Lsung auch tatschlich funktioniert.
ber die Schaltflche Details anzeigen >> knnen weitere Daten ber das
gefundene Schadprogramm angezeigt werden, zum Beispiel die genaue
Lage der betreffenden Datei.
Abbildung 13.15
Warnmeldung des
Windows Defenders
Die Optionen Entfernen und Quarantne kann jeder Benutzer ausben,

fr die Option Zulassen ist die Zustimmung eines administrativen Benutzers durch eine UAC-Abfrage erforderlich.
Das gleiche Dialogfeld erscheint auch, wenn whrend einer manuellen
berprfung eine schdliche Datei gefunden wird. Nach Abschluss der
Aktion Entfernen oder Quarantne muss die Schaltflche Schlieen angeklickt werden. Sofern unter Extras/Optionen in der Kategorie Standardaktionen eine bestimmte Aktion ausgewhlt wurde, kann auch nur diese Aktion
ausgewhlt werden.
602
13
13.6.3
Wo ist der Software-Explorer?
Unter Windows Vista gab es als Bestandteil des Windows Defenders die
Komponente Software-Explorer, mit der eine Kontrolle ber automatisch
startende Programme ermglicht wurde. Diese Komponente ist unter Windows 7 nicht mehr vorhanden. Die Funktionalitt wird jetzt mit dem Programm msconfig.exe bereitgestellt (siehe den Abschnitt 13.7 ab Seite 609).
13.6.4
Verlaufskontrolle
Smtliche Aktionen des Windows Defenders werden protokolliert, sodass Was war
spter eine Kontrolle darber erfolgen kann, welche Aktionen der Defender gestern?
bzw. sein Anwender veranlasst haben. Ein Klick auf Verlauf zeigt zunchst
aus Sicherheitsgrnden eine leere Ansicht. Dies dient dem Schutz der
Privatsphre anderer Benutzer auf dem System, da man aus der Liste der
Aktionen des Windows Defenders beim Blocken erfahren knnte, welche
Dateien die anderen Benutzer aufgerufen haben. Deswegen muss zunchst
die Schaltflche Ansicht besttigt werden, normale Benutzer mssen hierzu
eine UAC-Abfrage beantworten.
Abbildung 13.16
Was passierte in der
Verteidigung?
Zu jedem Ereignis wird Folgendes aufgezeichnet:

Welcher Schdling war involviert?
Welche Gefhrlichkeit hat der gefundene Schdling (nach Meinung
von Microsoft)?
Welche Aktion hat der Benutzer daraufhin ergriffen?
An welchem Datum und zu welcher Uhrzeit wurde der Schdling
gefunden?
Ist die Aktion erfolgreich verlaufen?
Um nicht unntig Platz fr diese Meldungen zu belegen, sollte man von
Zeit zu Zeit die aufgelaufenen Meldungen mit der Schaltflche Verlauf
lschen entfernen.
603
Leider gibt es keine Mglichkeit, die Liste der Ereignisse fr Dokumentationszwecke direkt zu speichern.
13.6.5
Einstellungen von Windows Defender
ber die Schaltflche Extras erreicht man weitere Optionen des Programms.
Abbildung 13.17
Extras fr den
Defender
Optionen
Die Einstellungen des Windows Defenders knnen in insgesamt sieben
Kategorien eingestellt werden.
Abbildung 13.18
Optionen fr den
Windows Defender
604
13
Kategorie
Einstellmglichkeit
Automatische berprfung
Sollen automatische berprfungen durchgefhrt werden?

Wann sollen diese stattfinden, und welche Art von berprfung soll durchgefhrt werden? Zudem kann man einstellen,
ob vor dem Suchlauf nach aktualisierten Signaturen berprft werden soll. Wichtig fr Besitzer von schwcheren
Computern: die Einstellung nur im Systemleerlauf ausfhren.
Standardaktionen
Die einzelnen Schdlinge werden von Microsoft in eine von

vier Warnstufen eingeteilt: Schwerwiegend, Hoch, Mittel und
Niedrig. Fr jede dieser Klassen kann eine von vier unterschiedlichen Aktionen beim Auffinden festgelegt werden:
Empfohlene Aktion basierend auf Definitionen, Entfernen,
Quarantne und Zulassen. Die Aktion Zulassen steht nur in
den Warnstufen Mittel und Niedrig zur Verfgung. Nhere
Informationen ber die Warnstufen erhalten Sie per Klick auf
den Link Was sind Aktionen und Warnstufen?
Echtzeitschutz
Gibt an, ob der OnAccess-Schutz aktiviert werden soll und,

wenn ja, bei welchen Aktionen (heruntergeladene Dateien
und ausgefhrte Programme) er aktiv sein soll.
Ausgeschlossene
Dateien
und Ordner
Gibt an, in welchen Verzeichnissen keine berprfung stattfinden soll. Dies ist eine andere Einstellung als unter Extras/
Zugelassene Elemente. Hier werden alle Schdlinge in einem
bestimmten Bereich des Systems ignoriert. Bei den zugelassenen Elementen wird ein spezifischer Schdling in allen Bereichen des Systems ignoriert. Whlen Sie nach einem Klick auf
die Schaltflche Hinzufgen den gewnschten Pfad im System aus. Einen bereits vorhandenen Pfad knnen Sie ber die
Schaltflche Entfernen wieder lschen.
Tabelle 13.4
Einstellungskategorien des Windows
Defenders
AusgeGibt an, fr welche Arten von Dateien keine berprfung

schlossene stattfinden soll. Geben Sie die Dateierweiterung (zum Beispiel
Dateitypen TXT) ein, und klicken Sie auf die Schaltflche Hinzufgen.
Bereits vorhandene Eintrge knnen ber die Schaltflche
Entfernen wieder gelscht werden.
Erweitert
Bietet verschiedene Optionen an, die den Umfang der berprfung weiter steuern, zum Beispiel ob Archive (Ja), E-Mail
(Nein) oder Wechseldatentrger (Ja) durchsucht werden sollen. Mit Heuristiken (Ja) kann kontrolliert werden, ob nur vollstndige Vorkommen der Signaturen beachtet werden sollen
oder auch teilweise Treffer. Sofern dieses Kontrollkstchen
gesetzt ist, steigert es die Erkennungsrate, aber auch die
Mglichkeit eines falschen Treffers. Schlielich kann auch
aktiviert werden, dass ein Wiederherstellungspunkt erstellt
wird, bevor Dateien vom Defender gelscht oder in Quarantne verschoben wird.
Administrator
Hier kann angegeben werden, ob in den Bereichen Verlauf,

Quarantne oder zugelassene Elemente mit der Schaltflche
Ansicht ein Schutz vor unbefugter Einsichtnahme erfolgen sol.
605
Alle vorgenommenen nderungen werden erst aktiv, nachdem mit der

Schaltflche Speichern besttigt wurde. Normale Benutzer mssen hierzu
eine UAC-Abfrage besttigen.
Microsoft SpyNet
Von Microsoft Defender erkannte Programme knnen automatisch an
Microsoft gemeldet werden. Dies kann dazu fhren, dass hnliche Bedrohungen in Zukunft noch besser erkannt werden knnen. Allerdings werden
dabei auch (teilweise persnliche) Daten an Microsoft bermittelt. Unter
dem Link Microsoft SpyNet knnen Sie einstellen, in welchem Umfang Sie
Informationen ber die Resultate von Defender bermitteln wollen.
Die Beschreibung des Links lautet Treten Sie der Onlinecommunity bei ....
Dies deckt sich allerdings nicht mit der Tatsache, dass man nach der
Installation bereits automatisch ein einfaches Mitglied ist.
Weblinks im Defender
Weiter im Web
Die beiden Links Windows Defender-Website und Microsoft-Center fr den

Schutz vor schdlicher Software verweisen jeweils auf zustzliche InternetAngebote von Microsoft zu den betreffenden Themenbereichen.
Unter Quarantne
Programme, die der Windows Defender als Schadprogramme erkennt,
werden auf Wunsch nicht sofort gelscht, sondern zunchst in die Quarantne verschoben. Aus diesem Grund sollten Sie in regelmigen
Abstnden nachsehen, ob sich dort Dateien befinden. Sobald Sie die Quarantne ber Extras/Unter Quarantne aufrufen, sehen Sie zunchst nichts.
Sie mssen erst die Ansicht der Dateien ber die Schaltflche Ansicht freischalten. Normale Benutzer mssen hierbei in einer UAC-Abfrage eine
administrative Kennung eingeben.
Im oberen Teil des Dialogfeldes in Abbildung 13.19 werden alle Elemente
aufgelistet, die sich aktuell in Quarantne befinden. Im Feld darunter finden Sie eine kurze Erklrung zu dem jeweils oben markierten Schdling.
Sofern mehrere Dateien zum gleichen Schadprogramm gehren, erscheint
trotzdem nur eine Zeile in der Ansicht. Am Ende des unteren Dialogfeldes
kann man die betreffenden Originaldateinamen erkennen. Zudem finden
Sie einen Link Online weitere Informationen , mit dem Sie aus dem Internet
weitere Informationen ber den Fund abrufen knnen. Sonderlich hilfreich
scheint diese Information allerdings nicht zu sein, da bieten die AV-Hersteller deutlich mehr Informationen.
Alle weg!
Zunchst ist nur die Schaltflche Alle entfernen aktiv. Durch Klick darauf
werden sofort alle Elemente, die sich in Quarantne befinden, gelscht.
Diese Aktion lsst sich nicht wieder rckgngig machen.
Sobald in der oberen Zusammenstellung das Kontrollkstchen vor einem
der gefundenen Elemente aktiviert wird, knnen unten zwei weitere Schaltflchen bettigt werden:
606
13
Entfernen Das Element wird aus der Quarantne gelscht.
Wiederherstellen Das Element wird in dem Ordner wieder hergestellt,
aus dem er whrend der berprfung entfernt worden war.

Abbildung 13.19
EICAR in
Quarantne
Zugelassene Elemente
Sobald whrend einer berprfung ein erkanntes Element mit Zulassen
markiert wurde, wird es automatisch in die Liste der zugelassenen Elemente
aufgenommen. Lsst man sich ber Extras/Zugelassene Elemente diese Liste
anzeigen, muss man zunchst wie bei der Quarantne die Ansicht auf die
Dateien mit der Schaltflche Ansicht freischalten. Danach sieht man eine
Auflistung aller Dateien, die der Windows Defender zwar erkannt, der
Benutzer aber trotzdem zugelassen hat.
Abbildung 13.20
Zugelassene Dateien
im Window Defender
607
Nun kann man bei jeder Datei einzeln das Kontrollkstchen berprfen
und sie durch Bettigung der Schaltflche Aus Liste entfernen aus der Liste
der Ausnahmen lschen. Hierbei sollte man natrlich darauf achten, dass
man keine Datei entfernt, die man tatschlich behalten will.
13.6.6
Hilfe neue Definitionen
ber die Funktion ?/Nach Updates suchen kann man auf Wunsch aktuell
nach neuen Signaturen fr die Erkennung suchen lassen. Dies sollte man
regelmig tun, wenn man nicht unter Extras/Optionen/Automatische berprfung aktiviert hat, dass vor einer berprfung nach aktualisierten Signaturen gesucht werden soll.
13.6.7
Microsoft Security Essentials
Unter dem Namen Microsoft Security Essentials wird von Microsoft inzwischen eine eigene AV-Lsung angeboten, diese lsst sich unter der Adresse
[MSSE] laden und installieren. Sie beinhaltet dabei auch die Funktionen,
die bislang von Windows Defender ausgebt wurden, sodass dieser nach
der Installation der Security Essentials deaktiviert wird. Von der Oberflche her hnelt das Programm dem Defender, sodass hier auf eine ausfhrliche Erklrung verzichtet werden kann.
Abbildung 13.21
Microsoft Security
Essentials
Gem den Lizenzbedingungen ist die Verwendung nur in Privathaushalten und wohnungsbasierten Kleinunternehmen gestattet, fr den
Einsatz in Unternehmen bietet Microsoft unter dem Namen Forefront
Client Security eine kommerzielle Lsung an.
608
13
Systemkonfiguration mit msconfig.exe
13.7 Systemkonfiguration mit

msconfig.exe
Um eine bersicht und Kontrolle ber all die Programme und Dienste zu
haben, die beim Systemstart automatisch gestartet werden, dient das Programm msconfig.exe, auch zu erreichen ber Systemsteuerung/System und
Sicherheit/Verwaltung/Systemkonfiguration. Prinzipiell gibt es verschiedene
Punkte, an denen kontrolliert wird, was beim Systemstart oder beim Anmelden eines Benutzers abluft:
Gertetreiber
Dienste
Autostartprogramme des Systems
Autostartprogramme durch Gruppenrichtlinien auf Systemebene
Autostartprogramme im Autostart-Ordner der Oberflche
Autostartprogramme des Benutzers
Autostartprogramme im Autostart-Ordner des Benutzers
13.7.1
Registerkarte Allgemein
Auf der Startseite Allgemein von msconfig.exe kann zunchst festgelegt wer- Wie soll gestartet
den, ob ein normaler oder ein modifizierter Systemstart erfolgen soll. Der werden?
Diagnosesystemstart verzichtet auf viele zustzliche Treiber und Dienste,
diesen Starttyp kann man dazu verwenden, um mglicherweise fehlerhafte Komponenten vom Systemstart auszuschlieen.
Abbildung 13.22
Startseite von
msconfig.exe
Whrend auf einem Testsystem im Normalmodus 56 Treiber und Dienste

aktiv sind, bleiben beim Diagnosestart auf dem gleichen System noch sieben brig. Mit der Option Benutzerdefinierter Systemstart kann detailliert
festgelegt werden, welche Systembestandteile beim Start des Systems geladen werden sollen.
609
Systemdienste Die nicht unbedingt notwendigen Dienste
Systemstartelemente Programme, die keine Dienste sind, z.B. Autostart-
Elemente
Ursprngliche Startkonfiguration verwenden Sofern auf der Register-
karte Start eine manipulierte Startkonfiguration ausgewhlt wurde,

kann hierdurch diese nderung zurckgenommen werden
Nachdem die Startoption verndert wurde, fordert das Programm ber ein
Dialogfeld auf, einen Neustart durchzufhren. Auf Wunsch kann man auch
bei spteren Aufrufen einen sofortigen Neustart erzwingen, indem man das
Kontrollkstchen Diese Meldung nicht mehr anzeigen aktiviert.
Abbildung 13.23
Neustart nach
nderung der
Startoption
13.7.2
Registerkarte Start
Mit der Registerkarte Start kann Einfluss auf den Bootloader genommen
werden. Dieser Bereich ist verwandt mit der Funktion von Tools wie beispielsweise bcdedit.exe.
Mit msconfig.exe knnen nur bereits bestehende Eintrge im Bootloader
bearbeitet werden, Mit dem Kommando
bcdedit /copy {current} /d "Eintragkopie"
in einer administrativen Eingabeaufforderung kann eine Kopie des

aktuell aktiven Eintrags erstellt werden.
Abbildung 13.24
Kontrolle der
Booteigenschaften
Die in der Auflistung erscheinenden Eintrge (siehe Abbildung 13.25) sind

die gleichen, die in der Startphase von Windows im Auswahlmen des Bootloaders (siehe Abbildung 13.25) angezeigt werden. Der als Timeout angege-
610
13
bene Wert bestimmt, wie lange diese Auswahl angezeigt wird. Wenn Sie den
Startprozess Ihres Systems beschleunigen wollen, sollten Sie diesen Wert verkleinern. Mit der Schaltflche Als Standard legen Sie fest, welche Konfiguration Windows 7 startet, wenn Sie in der Timeout-Spanne keine andere Wahl
treffen. In dem Dialogfeld wird eine Zeile mit Aktuelles Betriebssystem
gekennzeichnet, wenn nicht das als Standardbetriebssystem vermerkte System gestartet wurde. Alle auer dem aktuell aktiven System knnen ber die
Schaltflche Lschen aus der Bootkonfiguration entfernt werden.
Abbildung 13.25
Bootloader in der
Startphase (zur
besseren Lesbarkeit
invertiert dargestellt)
Die einzelnen auf der Registerkarte Start aufgefhrten Kontrollkstchen

haben die in Tabelle 13.5 beschriebenen Auswirkungen.
Einstellung
Funktion
Abgesicherter
Modus
Anstelle des Desktop-Hintergrundes erscheint eine einheitliche schwarze Flche mit den Worten Abgesicherter Modus in allen vier Ecken. Beim Start erscheint eine
Liste der gestarteten Treiber und Dienste. Nur kritische
Dienste werden gestartet.
Minimal
Beim Start wird der Explorer (normaler Desktop) als

Benutzeroberflche gestartet, Netzwerkfunktionen
sind nicht verfgbar.
Alternative Shell
Anstelle des Explorers erscheint nur ein Kommandozeilenfenster, Netzwerkfunktionen sind nicht verfgbar.
Active DirectoryReparatur
Beim Start wird der Explorer (normaler Desktop) als

Benutzeroberflche gestartet, Netzwerkfunktionen und
Dienste zur Arbeit mit Active Directory sind verfgbar.
Netzwerk
Explorer und Netzwerkfunktionen sind verfgbar.
Tabelle 13.5: Kontrollkstchen der Registerkarte Start
611
Einstellung
Funktion
Kein GUI-Start
Beim Startprozess wird das Windows-Logo (Windows

wird gestartet und Windows-Flagge) nicht gezeigt, auf
diese Weise knnen Fehlermeldungen gesehen werden,
die anderweitig verdeckt wrden.
Startprotokollierung
Die auf dem Bildschirm angezeigten geladenen Treiber

werden zustzlich in der Datei %SystemRoot%\ntbtlog.txt
angefhrt, siehe auch den Ausschnitt in Listing 13.2.
Basisvideo
Anstelle des konfigurierten Grafiktreibers wird ein

Standard-VGA-Treiber mit einer Auflsung von
640*480 Pixel verwendet. Somit knnen Probleme
mit fehlerhaften Grafiktreibern analysiert werden.
BetriebssystemStartinformationen
Die Liste der geladenen Treiber und Dienste wird beim

Startprozess angezeigt.
Starteinstellungen sollen
immer gelten
Fhrt dazu, dass vorgenommene nderungen permanent gespeichert werden. Die hat zur Folge, dass auf
der Registerkarte Allgemein die Option Normal nicht
mehr automatisch zu einem Standardverhalten des
Systems fhrt.
Tabelle 13.5: Kontrollkstchen der Registerkarte Start (Forts.)

Listing 13.2
ntbtlog.txt zur
Protokollierung des
Startverhaltens
Prozessorschonung
612
Microsoft (R) Windows (R) Version 6.1 (Build 7100)

7 26 2009 13:26:40.489
Loaded driver \SystemRoot\system32\ntoskrnl.exe
Loaded driver \SystemRoot\system32\halacpi.dll
Loaded driver \SystemRoot\system32\kdcom.dll
Loaded driver \SystemRoot\system32\mcupdate_GenuineIntel.dll
Loaded driver \SystemRoot\system32\PSHED.dll
...
ber die Schaltflche Erweiterte Optionen knnen zustzliche Einstellungen

im Bereich Hardware oder Fehlersuche vorgenommen werden. Auf Multiprozessorsystemen bzw. Einzelprozessorsystemen mit mehreren Kernen
kann angegeben werden, wie viele Prozessoren bzw. Kerne aktiv verwendet werden sollen. Zudem kann ber Maximaler Speicher die Gre des zu
verwendenden Speichers reduziert werden. Dies ist insbesondere fr Programmierer wichtig, die testen wollen, wie ihre Anwendungen auf Systemen mit geringen Ressourcen funktionieren. Mit dem Kontrollkstchen
PCI Lock kann ein bestimmtes Verhalten des Betriebssystems im Umgang
mit Ressourcen auf dem PCI-Bus erzwungen werden. Mit der Option
Debug kann eine Verbindung zu einem ber die serielle Schnittstelle
(COMx:), dem 1394-FireWire-Bus oder einem USB-Port angeschlossenen
Kernel-Debugger hergestellt werden. Diese Option ist nur fr Entwickler
von Treibern interessant.
13
Abbildung 13.26
Zustzliche Optionen zur Hardware
oder zum Debugging
13.7.3
Registerkarte Dienste
Auf der Registerkarte Dienste erkennt man eine bersicht ber (fast) alle
derzeit auf dem System konfigurierten Dienste. Zu jedem Dienst wird
zudem in der Spalte Status angegeben, in welchem Status sich der Dienst
aktuell befindet. Die mglichen Werte sind: Beendet oder Wird ausgefhrt.
Diese Anzeige unterscheidet sich in einigen Belangen von der Ansicht im
Applet services.msc der Systemsteuerung. So sind zum Beispiel nicht alle
Dienste in der Liste aufgefhrt. Beispielsweise tauchen Dienste, die in der
Systemsteuerung deaktiviert wurden, in dieser Liste nicht auf.
Wird mit der Systemsteuerung und msconfig.exe parallel gearbeitet,
mssen Sie beachten, dass die Liste in msconfig.exe nicht aktualisiert
wird, wenn sich die Konfiguration in der Systemsteuerung ndert. Um
den aktuellen Stand der Dienste zu erkennen, mssen Sie msconfig.exe
neu starten.
Abbildung 13.27
Dienste im Sinne
von msconfig.exe ...
613
Abbildung 13.28
... und wenn die
hauseigenen Dienste
gefiltert werden
Da Microsoft davon ausgeht, dass in Programmen von Microsoft keine

Fehler vorkommen, kann man mit dem Kontrollkstchen Alle MicrosoftDienste ausblenden diese verbergen und sich somit fr die Fehlersuche auf
die (angeblich) aussichtsreicheren Kandidaten strzen. Fr jeden der
angezeigten Dienste kann man durch das Kontrollkstchen am Anfang
der Zeile dafr sorgen, dass der betreffende Dienst deaktiviert wird und
somit beim nchsten Systemstart nicht mehr zur Verfgung steht. Dabei
wird dann gleichfalls in der letzten Spalte Deaktivierungsdatum der Auflistung der genaue Zeitpunkt dieser nderung vermerkt.
Per Klick auf eine Spaltenberschrift kann die Auflistung nach dem
Inhalt der jeweiligen Spalte sortiert werden. Ein weiterer Klick auf die
gleiche Spaltenberschrift kehrt die Sortierreihenfolge um.
Mit den Schaltflchen Alle aktivieren bzw. Alle deaktivieren knnen gleichzeitig alle oben in der Liste angezeigten Dienste ein- bzw. ausgeschaltet werden. Mit diesen Funktionen sollte man allerdings vorsichtig sein, um nicht
Dienste zu deaktivieren, die fr den Betrieb des Systems zwingend erforderlich sind.
13.7.4
Vielfltiger
Autostart
614
Registerkarte Systemstart
Unter der Registerkarte Systemstart sind alle jene Applikationen zusammengefasst, die entweder ber den Registry-Schlssel Run oder den AutostartOrdner des Desktops aktiviert werden, jeweils fr den Benutzer und fr das
System allgemein. Fr jede Anwendung sind die folgenden Daten aufgefhrt: Name des Elements, Hersteller (aus der Kennzeichnung des aufzurufenden Programms), welcher Befehl tatschlich ausgefhrt wird, wo der
Aufruf gespeichert ist und, sofern der Aufruf deaktiviert wurde, wann die
Deaktivierung erfolgte. Wie auch bei den Diensten kann jeder einzelne Aufruf durch das Kontrollkstchen am Beginn der Zeile gezielt verhindert werden. Mit den Schaltflchen Alle aktivieren und Alle deaktivieren kann dies fr
alle angezeigten Elemente zugleich durchgefhrt werden.
13
Abbildung 13.29
Systemstart fr
Programme
13.7.5
Registerkarte Tools
Auf der Registerkarte Tools findet sich eine umfangreiche Auflistung von
Verweisen auf Hilfsprogramme der Systemwartung. Whlen Sie einfach in
der Liste die gewnschte Ttigkeit aus, und klicken Sie auf die Schaltflche
Starten. In der Befehlszeile Ausgewhlter Befehl knnen Sie dabei sehen, welche Funktion das System dabei tatschlich ausfhrt. Die Befehle sind dabei
sowohl eigenstndige Programme, Applets der Systemsteuerung oder SnapIns fr die Microsoft Management Console mmc.exe.
Abbildung 13.30
Verwaltungswerkzeuge en gros
13.7.6
Informationsspeicher
Die Informationen, die msconfig.exe ber deaktivierte Dienste oder Startele- Wo steht's?
mente abspeichert, werden in der Registry abgelegt. Im Schlssel HKLM\
SOFTWARE\Microsoft\Shared Tools\MSConfig werden in den entsprechenden Unterschlsseln services, startupfolder, startupreg und state die gesicherten Informationen gespeichert. Unter bestimmten Umstnden kann es
vorkommen, dass dort Informationen zurckbleiben.
615
1. Legen Sie in einer administrativen Eingabeaufforderung mit sc create

Taschenrechner type= own start= demand binpath= c:\windows\system32\
calc.exe Displayname= "Taschenrechner" einen neuen Dienst Taschenrech-
ner an.
2. Rufen Sie msconfig.exe auf, und deaktivieren Sie den Dienst Taschenrechner.
3. Lschen Sie ber die Eingabeaufforderung den Dienst mit sc delete
Taschenrechner.
4. Rufen Sie msconfig.exe erneut auf; der Dienst Taschenrechner erscheint
nicht mehr in der Liste.
5. Starten Sie den Registrierungs-Editor ber regedit.exe. In HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services existiert weiterhin
ein Unterschlssel Taschenrechner, den Sie manuell lschen mssen.
13.8 Startkontrolle mit Autoruns

Ein deutlich umfangreicheres Programm zur Kontrolle der automatisch
startenden Treiber, Dienste und Anwendungen ist das Programm Autoruns
(aktuell in Version 9.56) aus der Sysinternals-Sammlung von Microsoft.
Laden Sie einfach die Archivdatei Autoruns.zip herunter, und packen Sie
den Inhalt in einen beliebigen Ordner aus. Autoruns.exe ist die grafische
Version des Werkzeugs Autorunsc.exe, eine textbasierte Version fr die
Befehlszeile. Starten Sie einfach Autoruns.exe; beim ersten Start mssen Sie
noch den Lizenzbestimmungen zustimmen. Damit Sie von der Masse an
Informationen nicht erschlagen werden, sollten Sie im Men Options die
Option Hide Microsoft and Windows Entries setzen. Zu jedem Eintrag, den
das Programm anzeigt, knnen Sie im Men Entry oder ber das Kontextmen der rechten Maustaste verschiedene Aktionen ausfhren. Besonders
interessant ist hierbei Jump to ..., mit der die betreffende Stelle angezeigt
wird, in der der aktuelle Eintrag festgelegt ist, egal ob es sich dabei um ein
Verzeichnis auf der Festplatte oder einen Schlssel in der Registry handelt.
Abbildung 13.31
Automatische
Ablufe in
Windows 7
616
13
Windows-Firewall
13.9 Windows-Firewall
Wie schon bei Windows XP enthlt auch Windows 7 eine Firewall zum
Schutz der Netzwerkkommunikation. Whrend die Firewall in Windows
XP nur den eingehenden Datenverkehr kontrollierte, berwacht die Firewall in Windows 7 wie auch bei Windows Vista sowohl die eingehenden
als auch die ausgehende Daten. Aufgerufen wird die Steuerung der Firewall ber die Systemsteuerung im Bereich System und Sicherheit oder
indem einfach Firewall in das Suchfeld des Startmens eingegeben wird.
13.9.1
Firewall-Konzeption
Prinzipiell sind bei einer zwei Firewall zwei Dinge von Wichtigkeit:
Adapter Auf welchen Netzwerkadaptern und Whlverbindungen ist
die Firewall aktiv und auf welchen nicht?
Regeln Prinzipiell lsst sich jede Netzwerkverbindung durch drei
Parameter charakterisieren: die Adressen der beiden Kommunikationspartner (Sender und Empfnger) und die Art der Verbindung. Fr jede
Kombination dieser Angaben (und dazu kann auch gehren, dass eine
Angabe beliebig whlbar ist) gibt es eine Regel, die besagt, ob diese Verbindung zugelassen oder verboten wird. Damit das Regelwerk nicht zu
umfangreich wird, existiert meistens noch eine Generalregel, die
besagt, wie alle nicht spezifizierten Verbindungen zu behandeln sind.
Das Wartungscenter (siehe den Abschnitt 13.3 ab Seite 591) erwartet, dass
die Firewall in jedem Fall aktiviert ist, ansonsten wird eine Warnmeldung
ausgegeben. Wegen der inhaltlichen Nhe wird die Firewall in Kapitel 8
nher erlutert.
13.10 Windows Updates

Kein Programmierer ist perfekt, und deshalb ist auch kein Programm perfekt. Dies gilt natrlich auch fr das Betriebssystem selbst. Aus diesem
Grund gibt es mit Windows Update ein Verfahren, wie Korrekturen von
solchen Fehlern, Patches (Flicken) genannt, weitestgehend automatisch
auf ein System gebracht werden. Dass man solche Updates auch installieren sollte, haben die Wurmwellen der Vergangenheit gezeigt.
Die ab August 2003 im Internet grassierende Wurmwelle, die unter
dem Namen Blaster oder Lovesan bekannt wurde, richtete sich gegen
eine schadhafte Programmroutine, fr die bereits seit Juni des gleichen
Jahres eine Korrektur bereitstand.
Damit in Zukunft derartige Verzgerungen bei der Installation von Updates
nicht mehr auftreten, hat Microsoft die Steuerung der Updates gendert. In
aktuellen Systemen ist nun die Standardvorgabe, dass Updates sofort installiert werden, sobald diese verffentlicht sind. Mchte man davon abwei-
617
chen, muss man diese nderung selbst durchfhren. Bereits bei der Installation wird man gefragt, wie man es mit den Updates halten mchte. Die
Voreinstellung ist hierbei, alles sofort zu laden und zu installieren. Fr ein
Desktop-System ist dies wohl die sicherste Einstellung.
Abbildung 13.32
Updates whrend
der Installation
Die Einstellungen zu Windows Updates lassen sich ber die Systemsteuerung ndern, rufen Sie hierzu Systemsteuerung/System und Sicherheit/
Windows Update auf. In dem Fenster knnen Sie dann alle wichtigen Informationen ber den aktuellen Status von Windows Update sehen.
Abbildung 13.33
Kontrolle ber
Windows Update
es gibt was zu tun.
618
13
Windows Updates
Sofern das System Updates erkannt hat, die installiert werden sollen, wird Ist was zu tun?
dies entsprechend angezeigt (siehe Abbildung 13.33). Stehen nur optionale
Updates zur Verfgung (siehe Abbildung 13.34 unten), so fordert das System zunchst keine Aktion an, es bleibt dem Benutzer berlassen, ob er
diese installieren will oder nicht. Stehen weder wichtige noch optionale
Updates zur Verfgung, kann nichts getan werden (siehe Abbildung 13.34
oben).
Abbildung 13.34
Kontrolle ber
Windows Update
alles o.k.
13.10.1 Welche Updates gibt es?

Microsoft unterscheidet Updates in drei Klassen, die jeweils unterschied- Mehr oder
lich behandelt werden, weil sie unterschiedliche Auswirkungen auf das minder wichtig
System haben:
1. Wichtige Updates (Important) Dies sind Updates, die Probleme beheben, die akut die Sicherheit des Systems beeintrchtigen oder die im
besonderen Ma die Stabilitt erhhen.
2. Empfohlene Updates (Recommended) Bieten neue Funktionen oder verbessern die Informationen, die das System dem Benutzer zur Verfgung
stellen. Hierunter fallen auch kleine Probleme im Bereich der Stabilitt.
3. Optionale Updates Bieten zustzliche Funktionen oder Programme.
Treiber von Drittherstellern fallen auch unter diese Kategorie, es sei
denn, sie beinhalten einen greren Funktionsumfang als ein bereits
installierter Treiber oder fehlen bislang ganz. In diesem Fall werden
sie in die Kategorie 2 eingestuft.
Sofern entsprechend konfiguriert, werden Updates der Kategorie 1 automatisch installiert, Updates der Kategorie 2 knnen automatisch installiert werden, Updates der Kategorie 3 mssen immer manuell installiert
werden.
Die Einstellungen von Windows Update knnen ber den Link Einstellungen ndern im linken Teil des Dialogfeldes konfiguriert werden. In den
Einstellungen lassen sich die folgenden Optionen festlegen.
619
Abbildung 13.35
Wann gibt es
Updates?
Automatismen
im Detail
Wie erfhrt das System von neuen Updates, und welche Aktionen fhrt
es danach aus? Hier sind folgende Optionen mglich:
Updates automatisch installieren (empfohlen) Sobald Windows erkennt,
dass ein neues Update verfgbar ist, beginnt es automatisch mit dem
Herunterladen der notwendigen Dateien. Nachdem die Datei geladen
wurde, beginnt die Installation zum angegebenen Zeitpunkt oder wenn
das System heruntergefahren wird.
Updates herunterladen, aber Installation manuell durchfhren Sobald
Windows erkennt, dass ein neues Update verfgbar ist, beginnt es
automatisch mit dem Herunterladen der notwendigen Dateien. Nachdem die Datei geladen wird, erscheint eine Mitteilung fr den Benutzer, und dieser kann bestimmen, wann die Installation stattfinden
soll. Diese Einstellung eignet sich besonders fr Systeme, auf denen
lnger laufende Applikationen nur ungern beendet werden knnen.
Nach Updates suchen, aber Zeitpunkt zum Herunterladen und Installieren
manuell festlegen Diese Einstellung eignet sich besonders fr mobile
Gerte, bei denen man verhindern will, dass grere Datenmengen
ber eine kostspielige mobile Verbindung geladen werden. Der Benutzer ist selbst dafr verantwortlich, das Herunterladen der Updates auszulsen, sobald er eine passende Internetverbindung etabliert hat.
Nie nach Updates suchen (nicht empfohlen) Das System sucht nicht
nach Updates, der Benutzer ist vllig auf Eigeninitiative angewiesen.
Diese Einstellung eignet sich eigentlich nur fr Systeme, die entweder
anderweitig mit Updates versorgt werden oder die ber keinen Internetanschluss verfgen.
Mit dem Kontrollkstchen Empfohlene Updates auf die gleiche Weise ... kann
erreicht werden, dass auch Updates der Kategorie 2 automatisch geladen
werden. Falls diese Option nicht aktiviert ist, mssen solche Updates
genau wie die der Kategorie 3 manuell geladen werden.
620
13
Windows Updates
Das Herunterladen der Updates findet immer dann statt, wenn die
Internetanbindung nicht anderweitig verwendet wird. Somit wird nach
Mglichkeit eine Beeintrchtigung von Aktivitten des Benutzers vermieden.
Das Kontrollkstchen Allen Benutzern das Installieren ermglichen ist vorwiegend fr die Systeme interessant, die eher selten einen Administrator
sehen. Dem nicht administrativen Benutzer wird hierbei die Mglichkeit
gegeben, auch ohne Mitwirkung des Administrators die Updates auszuwhlen und zu installieren. Die Deinstallation eines bereits installierten
Updates ist dabei allerdings nicht mglich, hierzu wird weiterhin ein
administrativer Benutzer bentigt.
13.10.2 Updates auswhlen und installieren

Sobald das System feststellt, dass Updates verfgbar sind und es diese
nicht sofort installieren soll, wird eine entsprechende Meldung angezeigt
(siehe Abbildung 13.36 oben). Wenn das System so eingestellt ist, dass man
Updates zunchst besttigen muss, erscheint per Klick auf das Symbol im
Infobereich der Taskleiste das Dialogfeld von Windows Update (siehe
Abbildung 13.33). Dort muss die Installation beziehungsweise das Herunterladen zunchst mit der Schaltflche Updates installieren aktiviert werden.
Das Dialogfeld verschwindet daraufhin, und das System beginnt, im Hintergrund die notwendigen Dateien zu laden. Den Fortgang der Aktion
kann man im Infobereich der Taskleiste erkennen (siehe Abbildung 13.36
Mitte).
Abbildung 13.36
Updates im Infobereich der Taskleiste
Nachdem die Updates fertig installiert wurden, wird eine entsprechende Alles gut
Meldung angezeigt (siehe Abbildung 13.36 unten). Je nach Update kann gegangen?
auch ein Neustart des Systems erforderlich sein. Um zu verhindern, dass
durch ein fehlerhaftes Update ein System beschdigt wird, erstellt Windows 7 whrend der Installation automatisch einen Wiederherstellungspunkt, sodass das System notfalls wieder auf den Stand vor der Installation zurckgesetzt werden kann.
621
Sofern man in Abbildung 13.33 auf den dargestellten Link wichtige Updates
sind verfgbar oder optionale Updates sind verfgbar klickt, gelangt man zu
einer Auswahlseite, auf der man die einzelnen gefundenen Updates ausoder abwhlen kann.
Abbildung 13.37
Welche Updates
sollen es denn sein?
Wie viele sind es?
Die linke Spalte zeigt in einer Zusammenfassung an, wie viele Updates in
den jeweiligen Kategorien gefunden wurden, daran anschlieend die Liste
der einzelnen Updates. Vor jedem Update gibt es ein Kontrollkstchen, mit
dem man bestimmen kann, ob dieses Update installiert werden soll oder
nicht. Als Standard sind die Updates der 1. Kategorie alle selektiert, die der
3. Kategorie nicht und fr die 2. Kategorie entsprechend der Einstellung
aus Abbildung 13.35. In der rechten Spalte finden Sie eine Erklrung zu dem
gerade selektierten Eintrag, zum Beispiel welchen Fehler das Update
behebt oder wann es verffentlicht wurde. Klickt man mit der rechten
Maustaste auf eines der Updates, so erhlt man ein kleines Kontextmen:
Details kopieren Die Informationen, die in der rechten Spalte stehen,
werden in die Zwischenablage bernommen und knnen so zum Beispiel in eine Systemdokumentation bernommen werden.
Update ausblenden Das betreffende Update wird nicht mehr als verfgbares Update angezeigt. Dies eignet sich besonders fr optionale
Updates, bei denen man sicher ist, dass man sie niemals verwenden
wird. Ein typisches Beispiel sind hierfr die vielen Sprachpakete, die
fr die Ultimate-Version angeboten werden.
Listing 13.3
Detailinformationen ber ein Update
Update fr die Kompatibilittsansichtsliste fr Internet Explorer 8

fr Windows 7 (KB973874)
Downloadgre: 39 KB
Sie mssen ggf. den Computer neu starten, damit die nderungen
wirksam werden.
622
13
Windows Updates
Updatetyp: Empfohlen
Mit dem Update fr die Kompatibilittsansichtsliste knnen fr
ltere Browser konzipierte Websites im Internet Explorer 8 besser
angezeigt werden. Bei der Installation von Internet Explorer 8
haben Benutzer die Mglichkeit, eine Liste von Websites auszuwhlen,
die in der Kompatibilittsansicht angezeigt werden sollen. Nach der
Installation mssen Sie den Internet Explorer gegebenenfalls neu
starten.
Weitere Informationen:
http://go.microsoft.com/fwlink/?LinkID=139381
Hilfe und Support:
http://support.microsoft.com/?kbid=973874
13.10.3 Kontrolle ber vorhandene, installierte

und unerwnschte Updates
Im Dialogfeld von Abbildung 13.33 sieht man im unteren Teil, wann das Update-Historie
System zuletzt nach Updates gesucht hat. Mchte man gezielt nach
Updates suchen, etwa weil man aktuell eine freie Internetverbindung hat,
kann man im linken Fensterbereich auf den Link Nach Updates suchen klicken. Windows 7 nimmt dann sofort Kontakt mit den Update-Servern auf
und berprft, ob Updates vorhanden sind. Dies muss man insbesondere
dann durchfhren, wenn man das System so konfiguriert hat, dass Windows 7 nicht von sich aus nach Updates sucht.
Per Klick auf den Link Updateverlauf anzeigen gelangt man zu einer bersicht der aktuell auf dem System installierten Updates. Hier werden allerdings auch die Updates aufgefhrt, die nach der Installation wieder entfernt wurden. Wird ein derartiges Update danach erneut installiert,
erscheint es zweimal in der Liste.
Abbildung 13.38
Welche Updates hat
es mal gegeben?
ber einen Klick mit der rechten Maustaste auf einen Eintrag kann eine
Reihe von Informationen ber das jeweilige Update angezeigt werden.
623
Wahlweise knnen sich die Information auch in die Zwischenablage

bernommen werden. In dieser Detailansicht sieht man auch die genaue
Zeit der Installation, die man in der bersicht nicht sieht.
Bei Updates, die zwischenzeitlich entfernt wurden, wird dies nicht
dargestellt, sie verbleiben weiterhin in der Liste. Erkennbar ist dies in
der Abbildung 13.38 an dem doppelten Vorkommen des Updates fr
KB 973874 an erster und dritter Position der Liste.
Abbildung 13.39
Details ber ein
Update
Aus der Auflistung der Updates heraus ist es nicht mglich, eines der
Updates wieder zu deinstallieren. Allerdings wird ein Link zu der entsprechenden allgemeinen Deinstallation von Softwarekomponenten angeboten.
Hat man zu einem frheren Zeitpunkt einige Updates ausgeblendet,
erreicht man ber den Link Ausgeblendete Updates anzeigen eine bersicht
ber diese. Hier kann man dann einzelne der Updates wieder aktivieren.
13.10.4 Windows Update im betrieblichen Umfeld

In einem Firmen-LAN hat man oft die Anforderung, dass man zum einen
genau kontrollieren mchte, welche Updates auf welchem System geladen
sind, zum anderen mchte man zur Optimierung der Netzwerkauslastung
verhindern, dass jedes System einzeln bei den Servern von Microsoft nach
Updates sucht. Fr diesen Einsatzzweck hat Microsoft die Serverkomponente Windows Server Update Services (WSUS) entwickelt, die sich auf den
Serversystemen von Microsoft ab Version 2003 installieren lassen.
Die Software ist kostenlos unter [WSUS] verfgbar. Es ist auch mglich,
Anwendungen, die nicht von Microsoft selber kommen, als Update
ber einen WSUS zur Verfgung zu stellen.
Dieser Server arbeitet zum einen als Klient gegenber den Update-Servern
von Microsoft und ldt die Updates nach bestimmten Kriterien auf seine
624
13
Verschlsselung Grundlagen
lokale Festplatte. Der Administrator kann hierbei insbesondere angeben,

fr welche Betriebssysteme (Windows 2000 ab SP4) und Anwendungssoftware (diverse Serverprodukte von Microsoft, Office-Produkte ab Office
2003) und fr welche Sprachversionen er die Updates vorhalten will. Je
nach Umfang der ausgewhlten Updates knnen dann auch leicht 30 GB
oder mehr als Updates zusammenkommen. Der Administrator kann fr
jedes Update bestimmen, ob es fr seine Clients angeboten wird und fr
welche seiner Clients. Diese werden in Gruppen organisiert.
Gegenber den Clients tritt der WSUS als Server auf, der dem Client die Update-Server
Updates anbietet. Gleichzeitig fhrt der WSUS dabei eine Datenbank, in ganz privat
der fr jeden Client vermerkt wird, wann er welches Update installiert
hat. Auf diese Weise kann man von einer zentralen Stelle aus einen berblick ber die Aktualitt seiner Software-Landschaft gewinnen.
Fr den Client wird dabei keine separate Software bentigt, es muss nur
dem bestehenden Update-Modul die Adresse des zustndigen WSUS mitgeteilt werden. Diese Einstellungen lassen sich in Active Directory zentral
ber Gruppenrichtlinien im Netz verteilen.
13.10.5 Updates ohne Netzwerk

Prinzipiell lassen sich smtliche Updates auch manuell von Microsoft laden
und dann manuell installieren. Problematisch ist hierbei, dass man genau
wissen muss, welches Update man bentigt und in welcher Version. Abhilfe
schafft hier das Projekt WSUS Offline Update (frher bekannt als ct Offline
Update) aus dem heise Verlag (siehe unter [HEISE]), das die Updates fr eine
bestimmte Systemkonfiguration lokal ldt und dann die Mglichkeit bietet,
eine CD oder DVD mit den gesammelten Updates zu produzieren. Mit diesem Datentrger kann man dann automatisch ein System auch dann mit
Updates versorgen, wenn dieses keine Mglichkeit hat, ber das Netzwerk
mit Updates versorgt zu werden. Wenn Sie sich fr die Mglichkeit interessieren, sollten Sie auch von Zeit zu Zeit unter der angegebenen Adresse
nach einer neueren Version schauen, die mehr Mglichkeiten bietet.
13.11 Verschlsselung Grundlagen

Die Schutzmechanismen der Berechtigungen auf einem NTFS-Datentrger
schtzen die Daten nur, solange NTFS auch aktiv ist. Dies hat zur Folge, dass
man die Daten ohne Problem lesen kann, wenn man ein anderes Betriebssystem verwendet. Die ultimative Methode ist in diesem Fall der Ausbau des
Datentrgers und der Einbau in ein anderes System, das unter der Kontrolle
des Angreifers steht. Ist dieses Verfahren noch recht aufwendig, so kann man
heute mit einer Live-CD die Daten quasi im Vorbeigehen abgreifen.
Vor dieser Sorte von Angriffe schtzt nur die Verschlsselung der Infor- Verschlsselung
mation, sodass man ohne Kenntnis des Schlssels die Informationen nicht hilft gegen
erhalten kann. Das ist keine Erfindung der Neuzeit, schon im Altertum (als Datenverlust
kaum ein Mensch schreiben und lesen konnte) gab es Verfahren, mit denen
625
Informationen verschlsselt wurden. Die ersten Computer im heutigen

Sinne wurden dann auch im Bereich der Verschlsselung eingesetzt. Hier
ist insbesondere an Alan Turing und seine Kollegen in Bletchley Park bei der
Entschlsselung geheimer Nachrichten whrend des Zweiten Weltkrieges
zu denken.
Fr normale Anwender gab es mit dem Aufkommen von PC-Systemen
erste Mglichkeiten der Verschlsselung von Informationen, insbesondere
durch die Anwendung von Verschlsselungsverfahren in Anwendungen
wie Microsoft Word oder Hilfsprogrammen wie PKZIP. Diese Methoden
hatten aber immer einen Nachteil: In jeder Applikation war eine eigene
Verschlsselung implementiert, ein Austausch der Dokumente zwischen
verschiedenen Applikationen wurde behindert und, fr Verschlsselungen
besonders wichtig, die verwendeten Kryptoalgorithmen waren meist
weder getestet und verifiziert noch ffentlich bekannt. Demzufolge dauerte es meist auch nicht lange, bis entsprechende Programme verfgbar
waren, um die Verschlsselung zu brechen.
Generell unterscheidet man im Bereich der Verschlsselung zwischen symmetrischen und asymmetrischen Verfahren.
13.11.1 Symmetrische Verschlsselung

Es existiert ein Schlssel, mit dem sowohl eine Ver- als auch Entschlsselung durchgefhrt werden kann. Mchte man Daten von A nach B bersenden, mssen sich Sender A und Empfnger B zuvor auf einen gemeinsamen zu verwendenden Schlssel einigen. Das Hauptproblem ist dabei
die sichere bertragung des Schlssels. Diese Verfahren sind im Allgemeinen sehr schnell. Typische Vertreter dieser Verfahren sind DES (Data
Encryption Standard; verffentlicht 1976, der Nachfolger 3DES (triple DES)
ist die dreimalige Anwendung mit drei unterschiedlichen Schlsseln)
oder AES (Advanced Encryption Standard; vorgestellt 2000).
13.11.2 Asymmetrische Verschlsselung

Zwei Schlssel,
ein Verfahren
626
Es existieren zwei Schlssel: einer fr die Ver- und ein anderer fr die Entschlsselung, beide bilden zusammen ein Schlsselpaar. blicherweise
bezeichnet man den einen Schlssel als privat (private) und den anderen als
ffentlich (public). Das Besondere ist, dass man den ffentlichen Schlssel
problemlos verteilen kann, da aus der Kenntnis des einen Schlssels der
andere Schlssel nicht bzw. nur mit enorm hohem Aufwand errechnet werden kann. Die beiden Schlssel lassen sich austauschbar verwenden.
Daten, die mit dem privaten Schlssel verschlsselt wurden, bentigen
den ffentlichen Schlssel zur Entschlsselung, Daten, die mit dem ffentlichen Schlssel verschlsselt wurden, bentigen den privaten Schlssel
zur Verschlsselung. Ein geheimer Transfer des Schlssels zwischen Sender zu Empfnger ist nicht notwenig. Hierbei muss natrlich darauf geachtet werden, dass der private Schlssel nicht bekannt wird. Mit diesem Verfahren lassen sich gleich zwei Probleme der Geheimhaltung lsen:
13
Verschlsselung Grundlagen
Verschlsselung Daten werden mit dem ffentlichen Schlssels des
Empfngers verschlsselt und zum Empfnger versendet. Nur dieser,

mit Kenntnis seines privaten Schlssels, kann die Daten wieder entschlsseln.
Signatur Daten werden mit dem privaten Schlssels des Absenders
verschlsselt und zum Empfnger versendet. Nur dieser, mit Kenntnis
des ffentlichen Schlssels des Absenders, kann die Daten wieder entschlsseln und so feststellen, dass die Daten tatschlich vom angegebenen Absender stammen. Im realen Einsatz wird nur eine konzentrierte
Form der Daten (Hash) auf diese Weise verschlsselt. Auf der Empfngerseite wird die gleiche Funktion zur Erstellung der konzentrierten
Form verwendet und dann verglichen. Sind beide Formen identisch, ist
zum einen sicher, dass der Hash vom angegebenen Absender stammt,
und gleichzeitig ist auch sichergestellt, dass der Inhalt der Nachricht
bei der bertragung nicht verndert wurde.
Typische Hash-Verfahren sind MD5 oder SHA-1 bzw. SHA-2, diese werden oft auch verwendet, um die Korrektheit von Downloads zu berprfen. Insbesondere auf MD5 sind allerdings inzwischen Angriffe
bekannt geworden, sodass dieses Verfahren nicht mehr als sicher gelten
kann. Fr die Nachfolgefunktion SHA-3 sind aktuell mehrere Berechnungsverfahren in der Prfungsphase.
Das erste Verfahren, das ffentlich fr eine derartige Verschlsselung geeig- RSA, der
net war, wurde 1977 von den Mathematikern Ronald L. Rivest, Adi Shamir Schlssel
und Leonard Adleman am Massachusetts Institute of Technology (MIT) vor- zum Ziel
gestellt. Diese grndeten spter die Firma RSA Security. Breite Anwendung
fand das Prinzip im Programm PGP (Pretty Good Privacy), das 1991 von Phil
Zimmerman vorgestellt wurde.
Die Kombination aus einem derartigen Schlsselpaar mit weiteren Verwaltungsinformationen (wer hat es ausgestellt, fr wen wurde es ausgestellt,
von wann bis wann ist es gltig) wird auch als Zertifikat bezeichnet. Bedingt
durch die verwendeten Rechenoperationen sind diese asymmetrischen Verfahren sehr zeitaufwendig. Man rechnet etwa mit dem Faktor 1.000 gegenber den blichen symmetrischen Verfahren.
Da bei den asymmetrischen Verfahren einer der beiden Schlssel in einem
ffentlichen Verzeichnis gespeichert werden kann, spricht man oft auch von
einer ffentlichen Schlsselinfrastruktur (PKI Public Key Infrastructure).
13.11.3 Schlssellngen starke und schwache

Verschlsselung
Prinzipiell lsst sich jede Verschlsselung knacken, also ohne Kenntnis des
Schlssels aus den verschlsselten Daten den Klartext wieder zurckgewinnen. Man braucht dazu eigentlich nur drei Dinge: die verschlsselten
Daten, das Verfahren zur Entschlsselung und den Schlssel. Um den zu
bekommen, kann man im einfachsten Fall alle mglichen Schlsselwerte
627
durchprobieren. Dieser recht brutale Ansatz wird auch als Brute ForceAngriff bezeichnet. Die Sicherheit einer Verschlsselung hngt also direkt
davon ab, wie viele mgliche verschiedene Schlssel es gibt. Hierbei wird
meist die Schlssellnge in Bit angegeben, weil ein Computer durch Variation aller Bit alle mglichen Schlssel erzeugen kann. Verwendet man zum
Beispiel ein einzelnes Zeichen als Schlssel, wird dieses Zeichen im Computer aus 8 Bit dargestellt, man sagt also, der Schlssel hat eine Lnge von
8 Bit. Dies bedingt, dass es 28 = 256 mgliche Schlssel gibt.
Kurze Schlssel Beim DES-Verfahren wurde ursprnglich eine Schlssellnge von 56 Bit
gehen mit verwendet. Zur Zeit seiner Entstehung (1976) war die Anzahl der mgder Zeit lichen Schlssel (72.057.594.037.927.936) schier unfassbar fr die damalige
Technik, aber schon vor zehn Jahren konnte ein Angriff auf DES in drei
Tagen durchgefhrt werden. Beim Nachfolger AES kann man zwischen
den Schlssellngen 128, 192 und 256 whlen. Im Allgemeinen geht man
heute davon aus, dass bei einem symmetrischen Verfahren eine Schlssellnge von mehr als 256 Bit unntiger Aufwand ist.
Bedingt durch die andere Struktur der verwendeten mathematischen
Verfahren sind die Schlssellngen bei asymmetrischen Verfahren deutlich lnger als bei den symmetrischen. Hier arbeitet man im Allgemeinen
mit mindestens 1024 Bit langen Schlsselwerten.
Letztlich wurde publiziert (siehe unter [RSA768]), dass ein Angriff auf
einen 768 Bit groen Schlssel nach nur 2,5 Jahren Rechenzeit auf
einem Cluster aus mehreren Hundert Rechnern erfolgreich war. Aufgrund der erwarteten Entwicklung der Rechenleistung sollten deshalb
bis Ende 2014 keine Schlssel mehr mit bis zu 1024 Bit Schlssellnge
verwendet werden.
Selbst die allerlngsten Schlssel nutzen jedoch nichts, wenn sie schlecht
gewhlt werden. Man sollte deshalb darauf achten, dass der gewhlte
Schlssel nicht mit dem Nutzer in Beziehung steht (Name der Ehefrau oder
des Hundes, Geburtsdatum etc.) oder sich einfach in einem Wrterbuch finden lsst. Eine zustzliche Gefahr besteht darin, dass das gewhlte Verfahren methodische Schwchen aufweist. Aus diesem Grund sollte man nur
Verfahren verwenden, deren Methodik ffentlich ist und geprft wurde.
13.11.4 Zertifikate und Zertifikatshierarchien

In einer PKI kann sich niemand selber ein Zertifikat ausstellen, hier fhrt
der Weg immer ber Zertifizierungsstellen. Dies ist im realen Leben ja auch
so: Man stellt sich seinen Personalausweis auch nicht selbst aus, sondern
beantragt ihn bei der zustndigen Verwaltungsbehrde seiner Stadt. Die
kann die Ausweise auch nicht selbst ausstellen, sondern sendet den Antrag
an eine weitere Stelle. Bei Zertifikaten geht es hnlich: Man erstellt
zunchst sein Zertifikat und legt die Angaben wie beispielsweise den
Namen fest, auf den das Zertifikat lauten soll. Dieses Zertifikat bermittelt
man an eine Zertifizierungsstelle. Diese berprft auf geeignete Weise, ob
628
13
EFS Encrypting File System
der Einreicher des Zertifikats tatschlich identisch ist mit der Angabe ber
den Einreicher, wie sie im Zertifikat vermerkt ist. Dann signiert die Zertifizierungsstelle das Zertifikat mit dem eigenen privaten Schlssel und sendet es an den Einreicher zurck.
Dieser hat nun ein Zertifikat, in dem auer seiner eigenen Information Besttigte
auch angegeben ist, dass die Zertifizierungsstelle dieses Zertifikat signiert Existenz
hat. Will man das Zertifikat berprfen, sucht man sich das ffentliche Zertifikat der Zertifizierungsstelle und vergleicht, ob die Information, die im
Zertifikat mit der privaten Schlssel der Zertifizierungsstelle verschlsselt
wurde, sich mit dem ffentlichen Schlssel entschlsseln lsst. Die Zertifizierungsstelle selbst kann wiederum von einer weiteren, bergeordneten
Zertifizierungsstelle zertifiziert sein (siehe auch Abbildung 13.48). Fr eine
ganze Reihe von Zertifizierungsstellen auf oberster Ebene (sogenannte
Rootzertifikate) wird der Internet Explorer schon vorab mit den entsprechenden ffentlichen Zertifikaten versehen. Diese lassen sich auch ber
Windows Update erneuern. Zu jedem Zertifikat ist auch angegeben, fr
welche Zwecke es verwendet werden kann. Typische Verwendungszwecke
sind Dateiverschlsselung, Serverauthentifizierung oder Programmsignaturen. Wichtig zu wissen ist auch, dass die Rootzertifizierungsstellen die
Mglichkeit haben, ein Zertifikat von auen fr ungltig erklren zu lassen, auch wenn die Gltigkeit des Zertifikats noch nicht abgelaufen ist.
Zertifikate, die diesen Mechanismus untersttzen, enthalten deshalb eine
Adresse, unter der bei einer berprfung nachgesehen werden kann, ob
ein Zertifikat noch gltig ist. Derartige Mechanismen werden auch aus
CRL (Certificate Revocation Lists Zertifikat Rckrufliste) bezeichnet.
13.12 EFS Encrypting File System

Aus diesem Grund hat Microsoft erstmalig mit Windows 2000 das Encrypting File System (EFS) eingefhrt. Mit EFS lassen sich Dokumente vllig
transparent fr Anwendungsprogramme verschlsseln, die Ver- und Entschlsselung findet auf Ebene des Betriebssystems statt. EFS bildet eine
Kombination aus einer symmetrischen und einer asymmetrischen Verschlsselung. EFS lsst sich nur auf Laufwerken mit einem NTFS-Dateisystem einrichten, nicht auf einem Laufwerk, das mit FAT formatiert wurde.
EFS lsst sich nur auf Dateien und Ordner anwenden, die nicht zum System gehren, die also weder in oder unterhalb von %SystemRoot% liegen
noch das Attribut System besitzen. Zudem ist die Verschlsselung nicht mit
der Komprimierung von Dateien vertrglich. Eine Datei kann immer nur
entweder verschlsselt oder komprimiert sein, nicht aber beides.
EFS ist verfgbar unter den Windows-Server-Plattformen, Windows
XP Professional, den Editionen Business, Enterprise und Ultimate bei
Windows Vista und den Editionen Professional, Enterprise und Ultimate bei Windows 7. In den fr den privaten Gebrauch vorgesehenen
Starter- und Home-Editionen ist EFS nicht verfgbar.
629
Standardmig arbeitet EFS immer nur mit lokalen Schlsseln, die das System sich selber erzeugt. Dies hat zur Folge, dass Dateien, die ber das Netzwerk auf einem Dateiserver abgespeichert werden, mit derartigen lokalen
Schlsseln nicht verschlsselt werden knnen. Selbst in einer Active Directory-Umgebung wird fr jeden Benutzer lokal auf der Arbeitsstation ein
separates Schlsselpaar angelegt. Speichert man eine verschlsselte Datei
auf einem anderen Server, wird die Datei dabei lokal entschlsselt und auf
dem Server mit dem Zertifikat des Benutzers verschlsselt, mit dem sich
der Client mit der Freigabe verbunden hat. Im nachfolgenden Listing 13.4
lsst sich anhand der Ausgabe von cipher /c sehr genau erkennen, dass sich
der Fingerabdruck des Zertifikats fr user2 nach dem Abspeichern auf der
Netzwerkfreigabe gendert hat, whrend der Fingerabdruck fr das Wiederherstellungszertifikat gleich geblieben ist. Der Transfer der Dateien zwischen Server und Client findet unverschlsselt statt. Um hier Sicherheit zu
erreichen, muss auf eine verschlsselte Netzwerkverbindung wie beispielsweise SSL (Secure Sockets Layer) oder IPsec (Internet Protocol Security) ausgewichen werden.
Versucht man, eine verschlsselte Datei auf einen lokalen Datentrger
oder eine Netzwerkfreigabe zu kopieren, bei der das Zielsystem die
Verschlsselung nicht untersttzt (z.B. eine Festplatte mit FAT-Dateisystem), so verweigern die Befehle copy und xcopy.exe das Kopieren
der verschlsselten Dateien ebenso wie der Windows-Explorer. Bei
Letzterem kann man das Kopieren durch ein Dialogfeld erzwingen.
Fr den xcopy-Befehl lsst sich die Option /G verwenden.
Abbildung 13.40
Warnung vor
Verlust der
Sicherheit
Listing 13.4
Umverschlsselung
beim Abspeichern
auf einer Netzwerkfreigabe (Ausgabe
gekrzt)
630
>cipher /c work.txt
C:\Users\Public\Documents\ wird aufgelistet.
Zu dem Verzeichnis neu hinzugefgte Dateien werden nicht
verschlsselt.
E work.txt
Kompatibilittsgrad:
Windows XP/Server 2003
Benutzer, die entschlsseln knnen:
CONTOSO\user2 [user2(user2@contoso.com)]
Zertifikatfingerabdruck: E46F AAC3 F55D BC4F B2EE 8BAC C8CB
445A 6BE4 F5FD
13
Wiederherstellungszertifikate:
CONTOSO\Administrator [Administrator]
Zertifikatfingerabdruck: 39C8 8BB2 1FA7 A96A 49DB A10D 02C1
34BC 8FE6 74F9
>copy work.txt \\win2008\data
C:\Users\Public\Documents>cipher /c \\win2008\data\work.txt
\\win2008\data\ wird aufgelistet.
Zu dem Verzeichnis neu hinzugefgte Dateien werden nicht
verschlsselt.
E work.txt
Kompatibilittsgrad:
Windows Vista/Server 2008
CONTOSO\user2 [user2(user2@contoso.com)]
Zertifikatfingerabdruck: 34E9 0768 88F9 E1DA 9797 D1B1 0661
5260 9F36 032F
Wiederherstellungszertifikate:
CONTOSO\Administrator [Administrator]
Zertifikatfingerabdruck: 39C8 8BB2 1FA7 A96A 49DB A10D 02C1
34BC 8FE6 74F9
Mchte man diesen permanenten Schlsselaustausch vermeiden, ben- Der Schlsseltigt man eine PKI, die eng mit Active Directory gekoppelt ist. Dies kn- dienst kommt
nen zum Beispiel die Windows-Zertifikatsdienste sein. Diese mssen auf
einem der Server in einer Active Directory-Gesamtstruktur installiert
sein. Allerdings wrde dieses Thema den Rahmen dieses Buches sprengen. Einen Einstieg dazu liefert Ihnen ein englischsprachiger Artikel
unter [WINPKI].
Abbildung 13.41
Zertifikatdienste
werden auf
Windows Server
2008 installiert.
631
13.12.1 Ablauf der Verschlsselung

Bei der Verschlsselung laufen folgende Vorgnge vollstndig automatisch
ab, ohne dass der Benutzer eingreifen msste:
1. Die Datei wird zunchst fr den Zugriff durch andere Anwendungen
gesperrt.
2. Das System generiert einen zuflligen Schlssel (FEK, File Encryption
Key), der zur Ver- und Entschlsselung der Datei dient. Dieser Schlssel ist fr jede Datei unterschiedlich, damit man nicht ber die Kenntnis des Klartextes einer Datei den Schlssel fr eine andere Datei
zurckrechnen kann. Seine Lnge betrgt im Allgemeinen 128 Bit.
3. Nun wird zu der Datei ein Feld mit Verschlsselungsinformationen
angelegt, ein sogenanntes Data Description Field (DDF). Der FEK wird
mit dem ffentlichen Schlssel des Benutzers verschlsselt und in
dem Feld abgelegt.
4. (Ab Windows XP) Dieser Vorgang kann mehrfach wiederholt werden,
so kann festgelegt werden, dass mehrere Benutzer in der Lage sind, den
FEK aus ihrem jeweiligen DDF zu entschlsseln, um somit die Daten
entschlsseln zu knnen.
5. (Optional) Zustzlich kann fr die Datei ein Feld mit Wiederherstellungsinformationen angelegt werden (Data Recovery Field, DRF). Diese
Daten werden vom Data Recovery Agent (DRA) geliefert, der als systemweite Instanz auch in der Lage ist, den FEK auf dem DRF zu bestimmen. Nur mit dem DRA ist es mglich, eine Datei zu entschlsseln, falls
der private Schlssel des Benutzers verloren gegangen ist.
6. Nachdem die Felder DDF und gegebenenfalls DRF angelegt wurden
(sie werden in Form von NTFS-Streams unsichtbar fr normale Dateioperationen abgespeichert), wird die Datei verschlsselt und nach
Abschluss dieser Operation wieder freigegeben. Smtliche whrend
der Prozedur angelegten Zwischendateien werden gelscht.
Bei der erstmaligen Verschlsselung einer Datei wird das Schlsselpaar
aus ffentlichem und privatem Schlssel angelegt. Aus Sicherheitsgrnden sollte man den privaten Schlssel auf einen separaten Datentrger
abspeichern, den man gut und sicher verwahrt.
13.12.2 Verschlsselung in der Praxis

Im folgenden Beispiel wird exemplarisch eine Textdatei verschlsselt, da
die Verschlsselung transparent fr die Anwendungen erfolgt, ist der Typ
der Datei allerdings nebenschlich.
Zunchst werden die Eigenschaften der zu verschlsselnden Datei aufgerufen (siehe Abbildung 13.42). Sofern sich die Datei auf einem NTFSDatentrger befindet, ist die Schaltflche Erweitert aktiv. Nach Bettigen
derselben kann das Kontrollkstchen Inhalt verschlsseln, um Daten zu
schtzen aktiviert werden. Dabei wird eine aktiviertes Kontrollkstchen
Inhalt komprimieren, um Speicherplatz zu sparen gegebenenfalls gelscht, da
nicht beide Funktionen gleichzeitig aktiviert sein knnen.
632
13
Abbildung 13.42
Eigenschaften einer
Datei, Abteilung
Erweitert
Abbildung 13.43
Dateien oder auch
Ordner verschlsseln?
Sofern eine Datei verschlsselt werden soll, die in einem unverschlsselten Bitte komplett
Verzeichnis liegt, erscheint eine Warnmeldung. Dies hat den Grund, dass verschlsseln
Programme, mit denen man eine Datei bearbeitet, manchmal eine Bearbeitungskopie der Datei im gleichen Verzeichnis anlegen: Diese wre unverschlsselt, wenn das Verzeichnis nicht verschlsselt wre. Im Dialogfeld
knnen Sie auswhlen, ob Sie zustzlich auch den Ordner, in dem die Datei
sich befindet, verschlsseln wollen. Prinzipiell werden Informationen ber
ein Verzeichnis nie verschlsselt, allerdings werden alle Dateien, die in
einem verschlsselten Verzeichnis neu angelegt werden, automatisch verschlsselt. Dies gilt auch fr unverschlsselte Dateien, die in den verschlsselten Ordner kopiert werden, nicht jedoch fr Dateien, die in den Ordner
verschoben werden. Da die Verzeichnisinformationen nicht verschlsselt
werden, kann es sein, dass sensible Informationen ber die verwendeten
Dateinamen bekannt werden knnen. Eine verschlsselte Datei Vertrag-mitMeier.doc verbirgt zwar den Vertragstext, gibt jedoch die Information frei,
dass berhaupt ein solcher Vertrag existiert.
Abbildung 13.44
Verschlsselung bei
der Arbeit
633
Ja nach Gre und Anzahl der zu verarbeitenden Dateien dauert dieser

Vorgang einige Zeit. Eventuell erkennt man ein Dialogfeld hnlich dem in
Abbildung 13.44 gezeigten.
Wer soll es noch
sehen knnen?
Sofern man weiteren Benutzern den Zugriff auf die verschlsselte Datei
gestatten will, muss man mit deren ffentlichen Schlsseln zu den DDF
weitere Eintrge hinzufgen. Hierzu werden wieder die Eigenschaften
der jeweiligen Datei aufgerufen. In den erweiterten Eigenschaften wird
dann die Schaltflche Details bettigt. Hier sieht man zunchst, fr welche
Benutzer eine Entschlsselung mglich ist. Mit der Schaltflche Hinzufgen knnen dann weitere Benutzer hinzugefgt werden (siehe Abbildung 13.45 bei Betrieb in einer Active Directory-Umgebung).
Abbildung 13.45
Weitere Benutzer
hinzufgen
Auf einem Einzelplatzsystem sieht das entsprechende Dialogfeld so aus:

Abbildung 13.46
Auswahl weiterer
Zertifikate auf einem
Einzelplatzsystem
Durch einen Klick auf den Link Klicken Sie hier kann man sich das betreffende Zertifikat nher ansehen. Whrend auf der Registerkarte Allgemein
nur der Name und die Gltigkeit des Zertifikats vermerkt sind, knnen auf
der Registerkarte Details wesentlich mehr Informationen eingesehen werden. Besonders interessant ist hierbei der Wert Fingerabdruck (Hash-Wert),
634
13
der dieses Zertifikat eindeutig im System identifiziert. Dieser Wert ist auch
in der Spalte Zertifikatfingerabdruck im oberen, rechten Dialogfeld in Abbildung 13.45 zu sehen. Bei den Zertifikaten, die ohne eine zentrale Zertifizierungsstelle ausgestellt werden, sind die Angaben Ausgestellt fr und Ausgestellt von immer identisch (selbst signierte Zertifikate, self signed certificates).
In einer PKI-Struktur kann man die Zertifikate in einer Kette (Zertifizierungspfad) anordnen, die man bis zur obersten Ebene berprfen kann.
Abbildung 13.47
Fingerabdruck eines
Zertifikats
In beiden Fllen zeigt das Auswahlfeld nur jene Benutzer an, fr die bereits
ein Zertifikat auf dem Rechner angelegt worden ist. Dies ist anders, wenn
das System in Verbindung mit einer zentralen PKI in Active Directory betrieben wird.
Abbildung 13.48
Zertifikate in Kette
635
13.12.3 Schutz der Schlssel bei EFS

Schlsselschutz
Die Sicherheit der Verschlsselung hngt natrlich primr daran, den privaten Schlssel der Benutzer auch wirklich privat zu halten. Alle verwendeten privaten Schlssel werden von Windows 7 in einem Unterverzeichnis des Benutzerprofils abgespeichert im Verzeichnis %USERPROFILE%\
AppData\Roaming\Microsoft\Crypto\RSA\<SID>, wobei <SID> die SID
des Benutzerkontos ist. Die Zertifikate dort werden durch den Systemdienst Geschtzter Speicher (Protected Storage Service) in Form der Datei
lsass.exe verschlsselt abgespeichert. Als Schlssel dient hierbei der sogenannte Session Key. Dieser wird selbst nicht abgespeichert, sondern bei
Bedarf aus dem sogenannten Masterkey errechnet. Dieser Masterkey in
einer Lnge von 512 Bit wiederum wird durch ein PKCS#5 genanntes Verfahren aus dem Kennwort des betreffenden Benutzers generiert, zusammen mit einigen Zufallsdaten und einem optionalen Systemkey. Das Verfahren ist genauer unter [MKEY] beschrieben.
Dieser Masterkey hat eine beschrnkte Lebensdauer, er wird alle drei
Monate automatisch vom System erneuert. Die abgelaufenen Masterkeys
werden jedoch nicht gelscht, sodass eine Datei, deren DDF mit einem frheren Masterkey verschlsselt wurde, trotzdem noch entschlsselt werden
kann. Wenn der Benutzer eine nderung seines Kennwortes durchfhrt,
werden automatisch die Masterkeys neu verschlsselt. In einer Active
Directory-Umgebung wird eine Kopie des Masterkeys auf dem Domaincontroller abgespeichert, in einer Arbeitsgruppe kann eine Sicherung auf
einer Kennwortrcksetzdiskette erfolgen.
Kennwortrcksetzdiskette erstellen
Mit einer Kennwortrcksetzdiskette (PRD, Password Recovery Disk) kann man
sich an einem System anmelden, auch wenn man das aktuelle Kennwort
des Benutzers vergessen hat. Hierfr wird ein 2048 Bit groes Schlsselpaar
erzeugt. Mit dem ffentlichen Schlssel wird das aktuelle Kennwort des
Benutzers verschlsselt und im Benutzerprofil abgelegt, der private Schlssel wird auf einem externen Datentrger abgespeichert.
Jeder, der im Besitz dieser PRD ist, kann sich ohne weitere Nachfragen
am System anmelden und fr den betreffenden Benutzer ein neues
Kennwort vergeben. Aus diesem Grund muss eine solche Diskette
(oder USB-Stick) unbedingt gesichert aufbewahrt werden!
Die Erstellung einer solchen Diskette wird ber Systemsteuerung/Benutzerkonten und Jugendschutz/Benutzerkonten und dann Auswahl von Kennwortrcksetzdiskette erstellen aus der linken Aktionsleiste begonnen.
636
13
Abbildung 13.49
Assistent zur Erstellung einer Kennwortrcksetzdiskette
Beim Erstellen der Rcksetzdiskette sind folgende Punkte zu beachten:

Die Diskette kann nur auf einem mobilen Datentrger erstellt werden,
also einer Diskette oder einem USB-Stick. Ein Speichern der Information auf einer Festplatte, einem Netzlaufwerk oder einer CD ist nicht
mglich, allerdings knnte man die Rcksetzinformationen manuell
dorthin kopieren.
Zum Erstellen des Datentrgers muss man das aktuelle Kennwort des
Benutzers kennen, es ist also nicht mglich, fr einen Benutzer (dessen
Kennwort man nicht kennt) einen solchen Datentrger zu erstellen.
Der Datentrger kann nur fr ein Benutzerkonto verwendet werden,
da der Name der Sicherungsdatei (userkey.psw) nicht frei gewhlt werden kann.
Aus dem Datentrger kann man nicht erkennen, fr welchen Benutzer der Datentrger erstellt wurde, dies muss man manuell vermerken.
Sobald ein neuer Datentrger erstellt wurde, kann der alte nicht mehr
verwendet werden.
Der Datentrger sollte genauso sicher aufbewahrt werden wie ein
Zettel, auf dem man das Kennwort des Benutzers im Klartext aufgeschrieben hat.
13.12.4 Datenwiederherstellung bei EFS

Wie schon erwhnt, ohne Zugriff auf einen privaten Schlssel lassen sich Ohne Schlssel
die Informationen in einer verschlsselten Datei nicht wieder herstellen. geht nichts
An dieses Problem wurde bei der Entwicklung von EFS auch gedacht. Prinzipiell knnen natrlich die Benutzer ihre eigenen Zertifikate sichern, aber
das hilft in einer Firma natrlich nicht, wenn der Benutzer ausscheidet und
seine Zertifikate mitnimmt. Ein anderes Problem entsteht in einer Arbeitsgruppenumgebung, wenn ein Administrator das Kennwort eines Benutzers zwangsweise verndert.
637
Abbildung 13.50
Kennwortnderung
bringt Zertifikatsverlust.
Bei einer derartigen zwangsweise vorgenommenen nderung des Kennwortes werden die sonst bei einer nderung vorgenommenen Verfahren
zur Neucodierung des Masterkeys nicht vorgenommen. Dies hat zur Folge,
dass die bisherigen Zertifikate fr die Decodierung der Schlssel nicht
mehr gltig sind. Auch wenn der Benutzer weiterhin als Inhaber eines
Schlssels zur Entschlsselung einer Datei angegeben ist, hat er doch keine
Mglichkeit, die Datei zu entschlsseln. In einer Active Directory-Umgebung passiert dieses Problem nicht, wenn ein Domnen-Administrator das
Kennwort eines Benutzers zurcksetzt.
Export und Import der Zertifikate

Prinzipiell muss man beim Export zwei Arten des Exports unterscheiden:
mit privatem Schlssel (Dateityp PKCS#12, .pfx) oder ohne privaten Schlssel (Dateityp X.509, .cer). Bei einem Export mit privatem Schlssel muss
man zur Absicherung der Zertifikatsinformationen ein Kennwort whlen,
ohne dieses Kennwort ist ein spterer Import des Zertifikats nicht mglich.
Zustzlich kann man bei einem Zertifikat, das mit privatem Schlssel
exportiert wurde, noch angeben, ob dieser private Schlssel selber wieder
exportiert werden darf. So kann man verhindern, dass ein privater Schlssel
unkontrolliert weiter zirkuliert. Zertifikate, bei denen man den privaten
Schlssel nicht besitzt, kann man nur verwenden, um Informationen fr
einen bestimmten Empfnger zu versenden.
Unter Windows 7 kann man Zertifikate mit einer ganzen Reihe von Anwendungen bearbeiten:
Starten Sie Systemsteuerung/Benutzerkonten und Jugendschutz/Benutzerkonten, und klicken Sie im linken Aktionsbereich auf den Link Dateiverschlsselungszertifikate verwalten. Auf der zweiten Seite des Dialogfeldes
sehen Sie das aktuell fr EFS verwendete Zertifikat, durch Bettigen der
Schaltflche Zertifikat anzeigen knnen Sie alle Daten genau kontrollieren. Sofern mehrere Zertifikate vorhanden sind, knnen Sie mit der
638
13
Schaltflche Zertifikat auswhlen ein anderes verwenden. Durch Auswahl der Option Neues Zertifikat erstellen und Bettigen von Weiter
kommen Sie zur Auswahl aus Abbildung 13.51. Sofern Ihnen weder ein
Smartcard-Leser noch eine Zertifizierungsstelle in Ihrer Active Directory-Domne zur Verfgung steht, bleibt Ihnen als Auswahl nur die
Option Ein selbstsigniertes Zertifikat brig. Nach Generierung des Zertifikats werden Sie dazu aufgefordert, das Zertifikat zu sichern. Dies knnen Sie entweder sofort erledigen, oder Sie legen fest, dass Sie nach der
nchsten Anmeldung dazu aufgefordert werden mchten. Zum Schluss
des Vorgangs kommt die eigentlich bedeutendste Aktion: Sie knnen
smtliche mit dem bisherigen Zertifikat verschlsselte Dateien automatisch mit dem neuen Zertifikat verschlsseln.
Dies ist insbesondere dann wichtig, wenn das aktuell verwendete Zertifikat sich dem Ende seiner Gltigkeit nhert, auch wenn das bei einer
Gltigkeit der aktuellen Zertifikate fr 100 Jahre noch etwas Zeit fr
diese Aktion lsst.
Abbildung 13.51
Verschiedene
Mglichkeiten,
ein Zertifikat zu
erstellen
Internet Explorer
Starten Sie den Internet Explorer, und rufen Sie Extras/Internet-Optionen/Inhalte/Zertifikate auf. Auf der Registerkarte Eigene Zertifikate sehen
Sie alle Zertifikate, fr die Sie auch im Besitz des privaten Schlssels
sind. Dies knnen Sie kontrollieren, indem Sie das fragliche Zertifikat
anklicken und die Schaltflche Anzeigen bettigen. Diese Angabe sehen
Sie im rechten Dialogfeld in Abbildung 13.52 an der Zeile unterhalb der
Gltigkeitsdaten. Mit einem Klick auf die Schaltflche Exportieren starten Sie den Zertifikatexport-Assistenten.
639
Abbildung 13.52
Zertifikate im Internet Explorer, bereit
zum Exportieren
Direkt aus dem Windows-Explorer
ffnen Sie die Eigenschaften einer beliebigen verschlsselten Datei. Klicken Sie weiter zu Erweitert und Details, Sie sehen das Dialogfeld rechts
oben in Abbildung 13.45. Whlen Sie Ihr Zertifikat aus, und klicken Sie
dort auf die Schaltflche Schlssel sichern, um den Assistenten zu starten.
ber die Microsoft Management Console (MMC)
Starten Sie die Microsoft Management Console durch Eingabe von
mmc.exe im Suchfeld des Startmens. Rufen Sie den Menbefehl Datei/
Snap-In hinzufgen/entfernen auf, oder drcken Sie die Tastenkombination (Strg)+(M). Aus den verfgbaren Snap-Ins whlen Sie das SnapIn Zertifikate aus, klicken auf die Schaltflche Hinzufgen > und besttigen mit der Schaltflche OK. In der nun angezeigten Baumansicht navigieren Sie zu Zertifikate Aktueller Benutzer/Eigene Zertifikate/Zertifikate.
Whlen Sie das gewnschte Zertifikat aus, und rufen Sie im Men
Aktion oder im Kontextmen die Aktion Alle Aufgaben/Exportieren auf,
um den Assistenten zu starten. Wenn Sie hufiger mit dem Snap-In
arbeiten, knnen Sie sich diese MMC-Konsolenkonfiguration auch
unter Datei/Speichern als .msc-Datei ablegen und im Folgenden durch
einen Doppelklick darauf die Konsole mit dem Snap-In erneut starten.
Abbildung 13.53
Zertifikate in
der MMC
640
13
Wenn Sie die Wahl zwischen mehreren Zertifikaten fr den gleichen Benutzer haben (Spalte Ausgestellt fr), achten Sie auf die Angabe des Verwendungszwecks (Spalte Beabsichtigte Zwecke oder Angabe Dieses Zertifikat
schtzt wie folgt in der Ansicht des Zertifikats in Abbildung 13.52). Ein Zertifikat, das Sie fr die Entschlsselung einsetzen wollen, muss als Zweck
Ermglicht die Verschlsselung haben. Der Assistent, der den tatschlichen
Export durchfhrt, ist in jedem Fall die gleiche Applikation. Die erste Seite
des Assistenten besttigen Sie einfach mit Weiter.
Abbildung 13.54
Was soll exportiert
werden?
Aus Sicherheitsgrnden wird standardmig der Export ohne privaten ffentliche

Schlssel vorgeschlagen. Wenn Sie aber mit dem gespeicherten Zertifikat Schlssel darf
verschlsselte Dateien wieder entschlsseln wollen, bentigen Sie unbe- jeder haben
dingt den privaten Schlssel. Klicken Sie also auf Ja, privaten Schlssel
exportieren und dann auf Weiter.
Abbildung 13.55
In welchem Format
soll exportiert
werden?
641
Wenn Ihnen das Dialogfeld in Abbildung 13.55 das Format PKCS#12 nicht
anbietet, haben Sie auf der vorigen Seite des Assistenten versehentlich
nicht festgelegt, dass Sie den privaten Schlssel mit exportieren mchten.
Die drei Kontrollkstchen im Dialogfeld haben folgende Funktion:
Wenn mglich, alle Zertifikate im Zertifizierungspfad einbeziehen Ist sinnvoll, wenn es sich um Zertifikate handelt, die von einer Zertifizierungsstelle ausgegeben wurden, und Sie nicht sicher sind, ob der Empfnger
des Zertifikats diese Zertifizierungsstellen auch kennt. Unntig bei
selbst signierten Zertifikaten, die von EFS im Einzelplatzbetrieb verwendet werden.
Privaten Schlssel nach erfolgreichem Export lschen Ist nur sinnvoll,
wenn Sie auf dem Computer zunchst keine Informationen mehr entschlsseln wollen. Sollte nicht aktiviert sein.
Alle erweiterten Eigenschaften exportieren Fr EFS sind diese erweiterten Eigenschaften nicht notwendig.
Abbildung 13.56
Kennwort zum
Schutz des exportierten privaten
Schlssels
Private Schlssel
nur an gute
Bekannte
Da mit einem privaten Schlssel Daten entschlsselt werden knnen,

muss man diese Daten mit einem Kennwort schtzen. Bei einem Export
ohne privaten Schlssel findet diese Abfrage nicht statt. Es muss mindestens ein Zeichen eingegeben werden, es findet allerdings keine Kontrolle
ber die Qualitt des verwendeten Kennworts statt. Danach muss noch
der Dateiname gewhlt werden, unter dem das Zertifikat abgespeichert
werden soll. Zum Schluss wird zur berprfung noch eine Zusammenfassung der gewhlten Optionen ausgegeben. Der Abschluss des Exportvorganges wird mit einem Meldungsfeld besttigt.
An allen Stellen, an denen ein Export eines Zertifikates durchgefhrt werden kann, ist es auch mglich, eine Zertifikatsdatei zu importieren. Am
einfachsten kann man jedoch die betreffende Datei im Windows-Explorer
doppelt anklicken.
642
13
Abbildung 13.57
Zertifikatsdatei mit
Kontextmen im
Windows-Explorer
Der Assistent zum Import eines Zertifikats startet zunchst mit einer allgemeinen Hinweisseite. Auf der zweiten Seite kann man die zu importierende Zertifikatsdatei auswhlen. Sofern man per Doppelklick ber den
Windows-Explorer importiert, ist hier der Dateiname bereits vorgegeben.
Abbildung 13.58
Kennwortabfrage
beim Import
Sofern der Assistent erkennt, dass das Zertifikat beim Export mit einem
Kennwort geschtzt wurde, erfolgt jetzt die Abfrage nach dem Kennwort
fr den Import. Als zustzliche Sicherheit kann man verlangen, dass bei
jeder Verwendung des privaten Schlssels erneut dieses Kennwort eingegeben werden muss. Dies kann durch das Kontrollkstchen Hohe Sicherheit
erreicht werden. Fr die Verwendung bei EFS scheint dies jedoch nicht zu
funktionieren; ein derartig importiertes Zertifikat ist nicht zur Entschlsselung verwendbar. Wenn das Kontrollkstchen Schlssel als exportierbar
markieren nicht aktiviert ist, ist es spter nicht mglich, in einem erneuten
Exportprozess auch den privaten Schlssel zu exportieren. Sofern das
Kennwort falsch eingegeben wurde, erfolgt eine entsprechende Fehlermeldung, ansonsten erfolgt die Auswahl des Zertifikatsspeichers.
643
Abbildung 13.59
Speicherbereich
fr Zertifikate
auswhlen
In Abbildung 13.53 ist ersichtlich, dass die verschiedenen Zertifikate auf

einem System in unterschiedliche Bereiche einsortiert werden. An dieser
Sortierung sollte man nichts ndern und daher die Standardoption Zertifikatsspeicher automatisch auswhlen auch nicht abndern. Danach erfolgt
wie beim Export eine Zusammenfassung der gewhlten Optionen und
zum Schluss eine Meldung ber den Erfolg der Aktion.
Wiederherstellungs-Agent in einer Active Directory-Domne

verwenden
Letzte Rettung
Wie im Abschnitt 13.12.1 ab Seite 632 beschrieben, wird bei der Verschlsselung einer Datei auch ein Schlssel fr den sogenannten Wiederherstellungs-Agenten (Recovery Agent) angelegt. Dieser ist in einer Domne
automatisch der Domnen-Administrator. Der private Schlssel des Administrators wird jedoch nicht automatisch auf den Arbeitsstationen in der
Domne gespeichert, sondern bleibt zunchst allein auf dem ersten Domnencontroller und muss von dort manuell zur Entschlsselung auf die
jeweilige Arbeitsstation bertragen werden. Zum Zugriff auf verschlsselte Dateien ist also immer auch der Domnenadministrator berechtigt.
Zustzlich kann man mit einer Gruppenrichtlinie auf dem Domnencontroller unter Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinien fr ffentliche Schlssel/Verschlsseltes Dateisystem
weitere Benutzer hinzufgen, die in der Lage sind, eine derartige Wiederherstellung einer verschlsselten Datei durchzufhren.
Bei Windows 2000 Server war die Kontrolle ber EFS darauf beschrnkt,
eine Wiederherstellung entweder zuzulassen oder zu verweigern. Gab es
keinen Recovery Agenten, gab es auch kein EFS. Mit Windows Server
2003 als Domaincontroller wuchsen die Einstellungsmglichkeiten fr
EFS; das in Abbildung 13.60 gezeigte Dialogfeld mag einen ersten Eindruck vermitteln. Eine detaillierte Einfhrung in diesen Themenbereich
finden Sie unter [EFSGPO].
644
13
Abbildung 13.60
EFS-Kontrolle mit
Gruppenrichtlinien
unter Windows
Server 2008
Wiederherstellungs-Agent in einer Arbeitsgruppenumgebung

verwenden
In einer Arbeitsgruppenumgebung (also ohne Einbindung in eine Active
Directory-Domne) gibt es zunchst keinen Wiederherstellungs-Agenten,
dieser muss erst manuell eingerichtet werden. Wann sollte man das tun,
wann kann man darauf verzichten?
Wenn mehr als ein Benutzer auf dem System mit verschlsselten Dateien
arbeitet, sollte man den Agenten einrichten, da man nicht darauf vertrauen kann, dass jeder Benutzer eine Kopie seines privaten Schlssels
anfertigt (und auch im Notfall findet).
Ist nur ein Benutzer auf dem System eingerichtet, ist der Agent berflssig. Ob man nun eine Sicherheitskopie des privaten Schlssels des
einen Benutzers aufhebt oder die Sicherheitskopie des privaten Schlssels des Wiederherstellungs-Agenten, ist egal.
Zunchst muss auf dem System ein neues Schlsselpaar fr den Agenten
eingerichtet werden. Hierfr dient der Befehl cipher.exe /r:dateiname. Dieses
Zertifikat ist im Gegensatz zu den Zertifikaten, die mittels cipher.exe /x ausgestellt werden, explizit fr die Datenwiederherstellung ausgestellt. Der
Befehl legt zwei Dateien an, dateiname.cer mit dem ffentlichen Schlssel
zum Verschlsseln, und dateiname.pfx mit dem privaten Schlssel zum Entschlsseln. Auch hier muss ein Kennwort zum Schutz des privaten Schlssels angegeben werden.
>cipher /r:recovery
Geben Sie das Kennwort ein, um die .PFX-Datei zu schtzen:
Geben Sie das Kennwort zur Besttigung ein:
Die .CER-Datei wurde erstellt.
Die .PFX-Datei wurde erstellt.
Listing 13.5
Anlage eines Zertifikats speziell fr
Datenwiederherstellung
645
>dir recovery.*
02.08.2009 12:37
02.08.2009 12:37
Letzte Rettung
einrichten
904 recovery.CER
2.702 recovery.PFX
Nachdem die Schlssel fr den Agenten erstellt wurden, wird der Agent
mit den Schlsseln konfiguriert. Starten Sie hierzu Systemsteuerung/
System und Sicherheit/Verwaltung/Lokale Sicherheitsrichtlinie. Hierzu mssen Sie eine UAC-Abfrage beantworten. Im daraufhin startenden Richtlinien-Editor navigieren Sie zu Sicherheitseinstellungen/Richtlinien fr
ffentliche Schlssel/Verschlsselndes Dateisystem. Dort wird Ihnen dann
angezeigt, dass aktuell keine Richtlinie (und somit auch kein Wiederherstellungs-Agent) definiert sind. Whlen Sie nun im Men Aktion/Dateiwiederherstellungs-Agent hinzufgen aus.
Abbildung 13.61
WiederherstellungsAgent auswhlen
Das Dialogfeld in Abbildung 13.61 ist identisch mit jenem, das bei der
Konfiguration des Recovery-Agenten in der Domne erscheint. Allerdings ist dort zustzlich die Schaltflche Verzeichnis durchsuchen aktiv, mit
dem man Active Directory nach einem passenden Zertifikat durchsuchen
kann. Im Arbeitsgruppenmodus ist nur die Schaltflche Ordner durchsuchen aktiv. Nach einem Klick darauf und Auswahl der oben angelegten
.cer-Datei erscheint noch eine Warnmeldung, dass Windows nicht feststellen kann, ob dieses Zertifikat noch gltig ist. Dies liegt daran, dass bei
den selbst signierten Zertifikaten keine Zertifizierungsstelle eingetragen
ist, ber die man die Gltigkeit berprfen knnte. Besttigen Sie diesen
Warnhinweis, und beenden Sie den Assistenten.
Aktuell wurde dem System nur der ffentliche Schlssel des Wiederherstellungszertifikats bekannt gemacht. Den privaten Schlssel (die
.pfx-Datei) knnte (besser sollte) man auch auf einem separaten Datentrger auslagern, den man getrennt vom System aufbewahrt.
Ab nun werden alle Dateien, die man neu verschlsselt, automatisch auch
mit dem Zertifikat des Wiederherstellungs-Agenten verschlsselt. Dies
betrifft allerdings nicht die bereits verschlsselten Dateien, die bislang
646
13
ohne den Agenten verschlsselt wurden. Damit die bereits verschlsselten

Dateien mit dem aktuellen Zertifikat des Wiederherstellungs-Agenten versehen werden, kann man wahlweise in der Eingabeaufforderung entweder
cipher.exe /u oder cipher.exe /rekey dateimaske aufrufen. Der erste Befehl versieht alle aktuell verschlsselten Dateien mit dem Zertifikat des RecoveryAgenten, der zweite wirkt sich nur auf die mit dateimaske erfassten Daten
aus.
Will man eine Datei mithilfe des Wiederherstellungs-Agenten entschlsseln, muss man die gesicherte .pfx-Datei des recovery-Zertifikates mit ihrem
Kennwort importieren.
13.12.5 EFS auf der Befehlszeile und mit anderen

Programmen
Mit EFS kann man auch in der Eingabeaufforderung arbeiten. Die Hauptarbeit wird hierbei mit dem Programm cipher.exe durchgefhrt.
Dateien und Verzeichnisse verschlsseln

Mit dem Befehl cipher.exe /e <Dateimaske> werden alle Dateien, die zur
Dateimaske passen, verschlsselt (encrypted) und dem Benutzer, der den
Befehl ausgefhrt hat, die Mglichkeit der Entschlsselung gegeben. Das
Programm weist dabei auf mgliche Sicherheitsprobleme hin.
>cipher /e *.*
Dateien in C:\Users\user1.CONTOSO\Documents\
werden verschlsselt
test2.txt
[OK]
1 Dateien (oder Verzeichnisse) in 1 Verzeichnissen wurden
verschlsselt.
Durch die Umwandlung von Dateien von Klartext in
verschlsselten Text verbleiben eventuell
Abschnitte von altem Klartext auf den Datentrgern.
Es wird empfohlen, den Befehl CIPHER /W:Verzeichnis
zu verwenden, um den Datentrger nach Abschluss der
Umwandlung zu bereinigen.
Das hier angesprochene Problem betrifft gelschte Arbeitskopien, die

manche Anwendungen von einer Datei anlegen. Der hier angesprochene
Befehl cipher /w sprt derartige freie Bereiche des Datentrgers auf und
berschreibt sie.
Dateien und Verzeichnisse entschlsseln

Mit dem Befehl cipher.exe /d <Dateimaske> werden alle Dateien, die zur
Dateimaske passen, entschlsselt (decrypted), sodass sie zuknftig nicht
mehr geschtzt sind.
647
Neues Zertifikat fr einen Benutzer anlegen

Soll fr einen Benutzer auf einem System ein neues Zertifikat angelegt werden, so kann man dies mit dem Befehl cipher.exe /k durchfhren. Als Ausgabe liefert der Befehl den Fingerabdruck (Hash) des Zertifikats. Ein Benutzer kann mehr als nur ein Zertifikat haben, demzufolge kann er auch zum
Beispiel im Dialogfeld aus Abbildung 13.46 mehrfach erscheinen.
Zertifikat eines Benutzers sichern

Zertifikate
sichern
Mit dem Befehl cipher.exe /x <dateiname> wird eine Sicherungskopie des

aktuellen Zertifikats des Benutzers in der Datei <dateiname>.pfx angelegt.
Die Ausfhrung des Befehls muss zunchst ber ein Dialogfeld besttigt
werden. Danach erfolgt die zweimalige Abfrage eines Kennworts im Konsolenfenster.
Feststellen, welche Dateien verschlsselt sind und welche nicht

Der Aufruf von cipher.exe mit einem Dateinamen oder einer Dateimaske als
Parameter gibt fr die betreffenden Dateien an, ob diese verschlsselt (E in
1. Spalte = encrypted) oder unverschlsselt (U in 1. Spalte = unencrypted)
sind. Zudem wird noch der Status des Verzeichnisses angegeben. Gibt man
keine Maske an, wird der Status aller Dateien im aktuellen Verzeichnis ausgegeben.
>cipher *.*
C:\temp\ wird aufgelistet.
Zu dem Verzeichnis neu hinzugefgte Dateien
werden nicht verschlsselt.
U
U
E
U
do.bat
kex.txt
Neues Textdokument.txt
Textdatei.txt
Aus der Toolsammlung von Sysinternals gibt es das Programm EFSDump.exe, mit dem man den Status der Dateien in einem Verzeichnis auflisten kann. Hierbei werden auch die einzelnen Benutzer mit der Fhigkeit
zur Entschlsselung aufgefhrt (siehe cipher /c im nchsten Abschnitt), die
Ausgabe erfolgt jedoch ohne den Hash des Zertifikats.
Detailinformationen ber die Verschlsselung einer Datei

ausgeben
Bei einer Datei ist nicht nur interessant, ob sie verschlsselt wurde, sondern
auch, wer sie entschlsseln kann.
>cipher /c "Neues Textdokument.txt"
C:\temp\ wird aufgelistet.
Zu dem Verzeichnis neu hinzugefgte Dateien
werden nicht verschlsselt.
E Neues Textdokument.txt
Kompatibilittsgrad:
648
13
Windows XP/Server 2003
win7lap\jochenr-admin [admin(admin@win7lap)]
Zertifikatfingerabdruck: 2912 E66E 173F 0E27 A490 83C9
D8DA 4537 26E5 7593
kind2(kind2@win7lap)
Zertifikatfingerabdruck: ED7B 019B 239A F4AB A87E 0D70
F53B 132E 2655 2F90
Es wurde kein Wiederherstellungszertifikat
gefunden.
Schlsselinformationen:
Algorithmus: AES
Schlssellnge: 256
Schlsselentropie: 256
Zunchst wird der Status des Verzeichnisses, in dem sich die Datei befin- Wer darf reindet, ausgegeben. Aus Sicherheitsgrnden sollten verschlsselte Dateien schauen?
auch immer nur in verschlsselten Verzeichnissen abgespeichert werden.
Dann wird angegeben, mit welchen Versionen des Betriebssystems die
angegebene Verschlsselung kompatibel ist. Dies ist nur von Interesse,
wenn man Datenbestnde hat, die noch unter Windows 2000 entschlsselt wurden. Danach werden alle Benutzer aufgelistet, die in der Lage
wren, die Datei zu entschlsseln. Zum Schluss folgen die Angabe, ob
eine Wiederherstellung mit einem Wiederherstellungs-Agenten mglich
ist, und einige technische Daten ber die verwendete Verschlsselung.
Diese Daten knnen nur ausgegeben werden, wenn der aktuelle Benutzer
auch im Besitz eines gltigen Zertifikats fr die Entschlsselung ist.
Weiteren Benutzer zum Entschlsseln hinzufgen oder lschen

Um einen weiteren Benutzer zum Entschlsseln einer Datei hinzuzufgen, dient der folgende Befehl:
>cipher /adduser /certhash:"ED7B 019B 239A F4AB A87E
0D70 F53B 132E 2655 2F90" NeuesTextdokument.txt
Der Benutzer wird den Dateien im Ordner C:\temp\
hinzugefgt
NeuesTextdokument.txt [OK]
Der Benutzer wurde den 1-Dateien [oder den Verzeichnissen] innerhalb
der 1-Verzeichnisse hinzugefgt.
Der Benutzer wird durch den Fingerabdruck (Hash) seines Zertifikates

identifiziert. Analog lsst sich mittels cipher /removeuser ein Benutzer von
der Liste der Benutzer, die entschlsseln knnen, wieder entfernen. Es ist
nicht mglich, den letzten Benutzer aus dieser Liste zu entfernen. Selbstverstndlich kann nur ein Benutzer, der selbst in der Lage ist, die Datei zu
entschlsseln, einen neuen Benutzer hinzufgen.
649
Verschlsselung deaktivieren
Mit dem Befehl
fsutil behavior query DisableEncryption
(siehe Kapitel 6) kann angefragt werden, ob aktuell eine EFS-Verschlsselung vom System untersttzt wird. Ein Wert von 0 bedeutet hierbei, dass
EFS untersttzt wird.
Mit dem Befehl
fsutil behavior set DisableEncryption 1
kann die EFS-Verschlsselung ausgeschaltet werden, die Einstellung wird

nach einem Neustart wirksam. Mit dem Parameter 0 wird die Verschlsselung wieder aktiviert.
Wenn auf diese Weise die Verschlsselung ausgeschaltet wird, bleiben
alle bereits verschlsselten Dateien weiterhin verschlsselt. Die Funktion zur Entschlsselung ist jedoch gleichfalls deaktiviert, sodass auf
diese Dateien dann nicht mehr zugegriffen werden kann.
13.13 Verschlsselung kompletter

Laufwerke BitLocker
Whrend EFS eine Verschlsselung auf Ebene einzelner Dateien implementiert, geht BitLocker einen anderen Weg, hier werden komplette Partitionen verschlsselt. Wie EFS ist auch BitLocker nur in den hherwertigen
Editionen von Windows Vista und Windows 7 (Enterprise und Ultimate)
vorhanden, in den normalen Geschftsversionen (Windows Vista Business
und Windows 7 Professional) und den Home-Versionen ist BitLocker nicht
enthalten. Im Serverbereich ist BitLocker ab Windows Server 2008 verfgbar. Im Gegensatz zu EFS hat BitLocker keine individuelle, benutzerspezifische Komponente. Zielrichtung von BitLocker ist nicht der Schutz der
Daten vor dem Zugriff der Benutzer untereinander, es zielt auf die Integrittsprfung des Computers als Ganzem. Da BitLocker auf Sektorebene
arbeitet, ist es anders als EFS auch nicht auf NTFS beschrnkt, sondern man
kann auch Datentrger mit FAT oder FAT32 verschlsseln.
BitLocker verwendet das AES-Verfahren zur Verschlsselung der Daten.
Welche Variante genau (128 oder 256 Bit, mit oder ohne Diffusor), das
lsst sich ber eine lokale oder globale Gruppenrichtlinie im Schlssel
Verschlsselungsmethode und Verschlsselungsstrke fr Laufwerke unter
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/
BitLocker-Laufwerkverschlsselung wahlweise global fr alle Laufwerte
oder fr System-, Daten- und Wechseldatentrger getrennt einrichten.
Wer sich nher fr das Verschlsselungsverfahren interessiert, kann
unter [BITL] eine ausfhrliche Beschreibung finden.
650
13
Verschlsselung kompletter Laufwerke BitLocker
Microsoft selbst sieht den primren Einsatzzweck von BitLocker im Problem des Lost Laptops, also des irgendwie verschwundenen tragbaren
Computers. Untersuchungen haben ergeben, dass im Allgemeinen 1 bis
2 % aller Firmenlaptops pro Jahr verloren gehen. Das macht bei 1.000
Laptops in etwa jeden Monat ein System. Problematisch ist dabei weniger
der monetre Verlust, da Laptops inzwischen drastisch im Preis gesunken sind, sondern vielmehr der Verlust und insbesondere die Verbreitung
sensibler Daten.
Verbesserungen gegenber Windows Vista

Whrend bei Windows Vista noch die fr den Betrieb von BitLocker not- Aus Fehlern
wendige unverschlsselte Startpartition manuell angelegt werden musste gelernt
beziehungsweise von Microsoft extra ein Hilfsprogramm (BitLocker Drive
Preparation Tool) fr diese Aktion angeboten wurde, so wird sie beim Setup
von Windows 7 bereits automatisch angelegt. Zudem erhlt diese Systempartition auch keinen Laufwerkbuchstaben mehr, ist also von den normalen Benutzern verborgen, damit diese nicht versehentlich Daten auf einem
unverschlsselten Laufwerk abspeichern knnen.
Whrend Windows Vista nur Festplatten mit BitLocker verschlsseln
konnte, kann Windows 7 dies nun auch fr wechselbare Datentrger wie
USB-Sticks. Diese Variante wird BitLocker to Go genannt. Zustzlich kann
ber eine Gruppenrichtlinie konfiguriert werden, dass Wechseldatentrger, die nicht mit BitLocker To Go geschtzt sind, nicht beschrieben werden
drfen.
13.13.1 TPM Trusted Platform Module

Der Grundgedanke bei BitLocker ist der, dass der Datentrger eine gewisse
Kontrolle darber hat, in welchem Computersystem er betrieben wird.
Dies soll gegen Angriffe helfen, bei denen zum Beispiel der Datentrger in
ein anderes System eingebaut wird, um Sperren des Betriebssystems zu
umgehen. Um dies zu erreichen, wird der Computer bei der Herstellung
mit einem TPM (Trusted Platform Module) in Form eines speziellen Chips
versehen.
TPM ist sowohl der Name der Hardware als auch der Spezifikation
(aktuell in Version 1.2 aus dem Juli 2007). Diese Spezifikation wurde von
der Trusted Computing Group, einer Gruppe von Software- und Hardwareherstellern (siehe [TPM]), herausgegeben und beschreibt ein Verfahren, mit dem auf einem Computer sicher kryptografische Schlssel
erzeugt und gespeichert werden knnen.
Jeder TPM-Chip erhlt bei der Fertigung eine eindeutige, nicht vernderbare Kennung in Form eines RSA-Schlssels. Dieser kann beispielsweise
dazu verwendet werden, um einen bestimmten Computer zu identifizieren.
Der TPM-Chip kann sich in vier unterschiedlichen Zustnden befinden,
die sich aus den beiden Optionen ergeben:
651
TPM-Chip deaktiviert, TPM-Chip nicht konfiguriert
TPM-Chip aktiviert, TPM-Chip konfiguriert (Besitz wurde bernommen)
TPM-Chip deaktiviert, TPM-Chip konfiguriert
TPM-Chip aktiviert, TPM-Chip konfiguriert
Der Zustand TPM-Chip konfiguriert wird auch als TPM owned (Besitzer des
TPM festgelegt) bezeichnet. Dies bedeutet nichts anderes, als dass fr den
TPM-Chip ein Kennwort festgelegt wurde. Wer auch immer das Kennwort kennt, wird vom TPM-Chip als Besitzer anerkannt. Dies ist insbesondere dann wichtig, wenn man Aktionen mit dem TPM-Chip vornehmen will, ohne direkten Zugang zum Gert zu haben. Zunchst mssen
Sie die TPM-Steuerung aktivieren. Starten Sie hierzu Systemsteuerung/System und Sicherheit/BitLocker-Laufwerkverschlsselung. Der Link TPM-Verwaltung befindet sich unten links. Alternativ knnen Sie im Suchfeld des
Startmens tpm.msc eingeben.
Abbildung 13.62
Kein TPM gefunden
Falls kein TPM-Chip auf dem lokalen System gefunden wurde, wird eine
entsprechende Meldung angezeigt (siehe Abbildung 13.62).
Abbildung 13.63: TPM-Verwaltung
652
13
Unter dem Eintrag Status knnen Sie sehen, dass aktuell der TPM-Chip nicht
aktiviert ist und auch kein Kennwort festgelegt wurde. Klicken Sie deshalb
rechts oben auf den Link TPM initialisieren. Das System informiert Sie, dass
Sie einige Dinge nach dem Neustart Ihres Systems auerhalb von Windows
konfigurieren mssen.
Abbildung 13.64
Aktivierung des
TPM-Chips
Die Aktivierung des TPM-Chips muss ber die Hardware-Steuerung des

Computers vorgenommen werden. Dies erfolgt whrend der Startphase
des Systems durch einen Aufruf des ROM-BIOS. Nach dem Neustart des
Systems sollte sich automatisch das Setup des BIOS ffnen, falls dies nicht
passiert, mssen Sie es manuell erledigen.
Welche Tastenkombination fr den Aufruf des BIOS zustndig ist, wird
meist whrend der Startphase auf dem Bildschirm angezeigt, notfalls
hilft auch ein Blick ins Handbuch des Computers. Bekannte Tastenkombinationen hierfr sind (F2), (F10) oder (Strg)+(Esc).
Nach dem Neustart erkennt Windows 7 den aktivierten TPM-Chip und
fordert zur Eingabe eines Kennworts auf. Dieses kann man entweder selber eintragen oder den Computer eines auswhlen lassen. Wichtig ist,
dass man eine Kopie des Kennworts an einer sicheren Stelle ablegt.
653
Abbildung 13.65
Welches Kennwort
soll es sein?
Da man das Kennwort fr die tgliche Arbeit nicht bentigt, kann man es
problemlos vom System generieren lassen. Ein derartiges Kennwort ist
im Zweifel deutlich sicherer als eines, das man sich selber ausdenkt. Bei
einem eigenen Kennwort verlangt Windows 7 nur eine minimale Lnge
von acht Zeichen, eine Komplexittsanforderung (unterschiedliche Zeichenklassen) besteht nicht. Nach der Generierung oder der manuellen
Eingabe bietet Windows die Mglichkeit, das Kennwort entweder auf
einem Wechseldatentrger zu speichern oder es auszudrucken. Zustzlich besteht die Mglichkeit, das TPM-Kennwort im Computerkonto des
Systems in Active Directory zu speichern. Die Vorgehensweise hierzu
wird in der Online-Hilfe der TPM-Verwaltung behandelt.
Abbildung 13.66
Ein ausgedrucktes
Hochsicherheitskennwort
High Security
Area
Listing 13.6
Das gleiche Kennwort als .tpm-Datei
654
Bentigt man spter das TPM-Kennwort, kann man es entweder manuell

eingeben oder es automatisch vom Wechseldatentrger kopieren.
<?xml version="1.0" encoding="UTF-8"?>
<!-Diese Seite dient der Sicherung der
Besitzerautorisierungsinformationen fr die TPM-Sicherheitshardware
(Trusted Platform Module). Geben Sie bei entsprechender Anforderung
die Autorisierungsinformationen an, um den Besitz des TPM des
Computers nachzuweisen.
13
WICHTIG: Speichern Sie diese Datei an einem sicheren Ort,

getrennt von dem lokalen Festplattenlaufwerk des Computers.
-->
<tpmOwnerData version="1.0" softwareAuthor="Microsoft Windows
[Version 6.1.7100]" creationDate="2009-09-04T09:34:51+01:00"
creationUser="acerlap7\jochenr-admin" machineName="ACERLAP7">
<tpmInfo manufacturerId="1229346816"/>
<ownerAuth>yS23ZbUSaX7kLRLZ7/jqooc4EIo=</ownerAuth>
</tpmOwnerData>
Es versteht sich von selbst, dass die auf diese Weise gespeicherten Kennwrter an einem sicheren Ort und getrennt vom Computer aufbewahrt
werden mssen.
Nachdem diese Schritte vollzogen wurden, steht TPM zur Verfgung.
Abbildung 13.67
TPM hat fertig.
13.13.2 Operationsmodi von BitLocker

BitLocker lsst sich sowohl fr Datenlaufwerke als auch fr das Systemlaufwerk selbst verwenden. Zudem knnen auch Wechseldatentrger wie
beispielsweise USB-Sticks mit BitLocker verschlsselt werden (BitLocker to
Go). Bei der Verschlsselung des Systemlaufwerks ist zu beachten, dass in
diesem Fall natrlich das Betriebssystem noch nicht zur Verfgung steht,
um Kennwrter oder PIN-Nummern abzufragen. Prinzipiell lsst sich BitLocker in drei verschiedenen Betriebsmodi betreiben, die alle unterschiedliche Anforderungen an das Computersystem stellen und verschiedene
Sicherheitsstufen ermglichen.
Transparenter Modus
Beim Start des Systems berprft das BIOS des Computers die Hardware
des Computers und den Status verschiedener Systemdateien. Erst wenn
655
diese Informationen mit den im TPM gespeicherten Informationen bereinstimmen, gibt der Chip den Schlssel zur Entschlsselung des Betriebssystems frei, der Computer startet normal, und der Benutzer merkt nichts
von der erfolgten Verschlsselung.
Vorteile:
Der Benutzer muss keine zustzlichen Eingaben durchfhren.
Das System berwacht die fr den Systemstart wichtigen Dateien und
stellt Vernderungen fest.
Nachteile:
Sobald der Computer luft, hngt der Schutz des Systems allein von
der Sicherheit des Betriebssystems ab.
Verschlsselung mit Schlsseleingabe

Der TPM-Chip erfragt vom Benutzer initial ein Kennwort/eine PIN. Mit
diesem wird der im TPM gespeicherte Schlssel zur Entschlsselung der
Festplatten freigegeben.
Vorteile:
Der TPM-Chip berprft den angegebenen Schlssel, bei fehlerhaftem Schlssel kann der Startprozess nicht fortgefhrt werden.
(Je nach Hardware) Der TPM-Chip merkt sich die Anzahl der Fehlversuche und reagiert daraufhin, indem er immer mehr Zeit verbraucht, bis
er eine erneute Kennworteingabe zulsst. Der TPM-Chip wird gesperrt.
Nachteile:
Es ist kein automatischer, unbeaufsichtigter Start des System mehr
mglich.
Verschlsselung mit externem Schlssel

Entspricht der Variante mit Schlsseleingabe, allerdings wird der Schlssel
zur Entschlsselung auf einem externen Datentrger (USB-Stick) gespeichert, der beim Start des Computers angeschlossen sein muss.
Vorteile:
Kann auch ohne TPM-Chip verwendet werden.
Nachteile:
Wenn der USB-Schlssel verloren geht, sind die Informationen im
Computer zunchst nicht mehr zugreifbar.
13.13.3 Systemlaufwerke und Datenlaufwerke

verschlsseln
Starten Sie hierzu Systemsteuerung/System und Sicherheit/BitLocker-Laufwerkverschlsselung, und bettigen Sie den Link BitLocker aktivieren neben
dem Laufwerk, das Sie verschlsseln wollen.
656
13
Abbildung 13.68
BitLocker-Kontrollpanel
Fr das Systemlaufwerk ist dieser Vorgang unabhngig davon mglich, ob Externer Schlsdas System ein aktiviertes TMP besitzt oder nicht, allerdings muss der sel ist Pflicht
Computer fr den Betrieb ohne TPM-Modul in der Lage sein, einen angeschlossenen USB-Speicher zu erkennen. Es ist nicht mglich, das Systemlaufwerk nur mit einem Kennwort gesichert zu betreiben, hierfr muss
man auf Produkte von Drittherstellen ausweichen. Beispiele hierfr wren
[SAFEGUARD] oder [TRUECRYPT].
Abbildung 13.69
Wie soll das Laufwerk entsperrt
werden?
Um auf die Daten zugreifen zu knnen, bentigt BitLocker Zugriff auf den
Schlssel. Dieser kann auf verschiedene Weisen, entweder einzeln oder in
Kombination, eingegeben werden:
657
Kennwort verwenden Beim Zugriff auf das verschlsselte Laufwerk
erfolgt die Abfrage nach dem Kennwort. Ohne richtiges Kennwort

keine Entschlsselung.
Smartcard verwenden Sofern der Computer einen Smartcard-Leser
besitzt, kann die Verschlsselung ber ein auf der Smartcard gespeichertes Zertifikat und eine zugehrige PIN erfolgen.
Automatisch entsperren Hierbei wird der Schlssel fr die Entschlsselung eines Datenlaufwerks auf dem Systemlaufwerk gespeichert.
Dieses muss dazu allerdings selbst durch BitLocker verschlsselt sein.
Fr ein reines Datenlaufwerk whlen Sie nur das Kontrollkstchen Kennwort zum Entsperren des Laufwerks verwenden aus. Das Kennwort muss wie
blich zweimal eingegeben werden. Auch hier generiert das System einen
Wiederherstellungsschlssel, mit dem die Daten entschlsselt werden knnen, falls das Kennwort verloren gehen sollte. Wie beim Kennwort fr den
TPM-Chip bietet Windows 7 auch hier wieder verschiedene Varianten an,
um eine Sicherung dieses Schlssels durchzufhren.
Abbildung 13.70
Wiederherstellungsschlssel fr
BitLocker
In allen Fllen wird der Schlssel als Klartext gespeichert, sodass man die
Ergebnisse entsprechend gut gesichert aufheben muss.
Listing 13.7
Schlssel fr
BitLocker
Wiederherstellungsschlssel fr die BitLockerLaufwerkverschlsselung

Der Wiederherstellungsschlssel wird dazu verwendet, Daten auf
einem Laufwerk mit BitLocker-Schutz wiederherzustellen.
Um sicherzustellen, dass dies der richtige
Wiederherstellungsschlssel ist, vergleichen Sie die ID mit der ID,
die auf dem Wiederherstellungsbildschirm angezeigt wird.
ID des Wiederherstellungsschlssels: 3B9EB6CE-DF55-41
ID des vollstndigen Wiederherstellungsschlssels:
3B9EB6CE-DF55-4162-97EF-163E2D7D87D5
658
13
BitLocker-Wiederherstellungsschlssel:
490303-676775-139964-600072-310684-673277-044715-309243
Zu beachten ist, dass jedes Laufwerk seinen eigenen Wiederherstellungsschlssel besitzt, bei der Abfrage des Schlssels wird deshalb die ID des
zu verwendenden Schlssels angezeigt.
Wiederherstellungsschlssel fr Windows BitLocker-Verschlsselung
Geben Sie den Wiederherstellungsschlssel fr dieses Laufwerk ein.
______ ______ ______ ______
______ ______ ______ ______
Listing 13.8
Abfrage des Wiederherstellungsschlssels in der
Startphase
Laufwerksbezeichnung: ACER7RTM C: 04.09.2009

Wiederherstellungsschlssel-ID 3B9EB6CE-DF55-4162-97EF-163E2D7D87D5
Verwenden Sie die Tasten F1-F9 fr die Ziffern 1-9 und F10 fr 0.
Bewegen Sie den Cursor mit den Tasten TAB, UMSCHALT+TAB, POS1
und ENDE.
ndern Sie bereits eingegebene Ziffern mit der NACH-OBEN- und NACHUNTEN-TASTE.
EINGABETASTE=Wiederherstellung
ESC=Beenden
Wenn Sie den Wiederherstellungsschlssel als Datei speichern wollen, knnen Sie dies nicht auf dem Laufwerk tun, das mit dem Schlssel verschlsselt werden soll. Wenn Sie den Schlssel auf dem gleichen Computer speichern wollen, werden Sie auf die entsprechenden Sicherheitsprobleme
hingewiesen. Optimal wre die Speicherung auf einem Netzlaufwerk.
Abbildung 13.71
Besser nicht lokal
speichern
Nachdem der Wiederherstellungsschlssel gespeichert ist, kann mit der Die Verschlsseeigentlichen Verschlsselung begonnen werden. Die Dauer dieses Vorgan- lung dauert
ges ist rein von der Gre des Laufwerks abhngig, nicht aber von der lange
Menge der darauf enthaltenen Daten, da auch leere Plattenbereiche auf dem
Datentrger verschlsselt werden. Den Fortschritt der Verschlsselung kann
man anhand eines Dialogfeldes kontrollieren.
659
Abbildung 13.72
Fortschritt und
Ende der
Verschlsselung
Nach Anschluss der Verschlsselung sieht man in der Ansicht des Computers sofort das verschlsselte Laufwerk.
Abbildung 13.73
Laufwerk F:
ist sicher.
In Abbildung 13.73 erkennt man, dass keinerlei Informationen ber das

verschlsselte Laufwerk ausgegeben werden, weder seine Gre noch
eine Laufwerkkennzeichnung werden angezeigt. Sobald man versucht,
auf das Laufwerk zuzugreifen, wird man nach dem gegebenen Kennwort
gefragt.
660
13
Abbildung 13.74
Kennworteingabe
fr BitLocker
Das Kontrollkstchen Kennwortzeichen bei Eingabe anzeigen sollte man nur

dann verwenden, wenn sichergestellt ist, dass niemand den Inhalt des
Bildschirms erkennen kann, nutzen sollte man das nur, wenn man sich
nicht sicher ist, ob man das richtige Kennwort eingetippt hat (beliebter
Fehler: Kennwort mit Y oder Z und versehentlich US-Tastaturschema
aktiviert). Das Kontrollkstchen Auf diesem Computer ab jetzt automatisch
entsperren wrde das Kennwort in einen Bereich der Systempartition
abspeichern. Dies wird aber nur dann erlaubt, wenn diese wiederum
selbst verschlsselt ist. Nach erfolgter Freigabe des Laufwerks erkennt
man anhand des dargestellten Symbols in der Computeransicht, dass es
sich um ein verschlsseltes Laufwerk handelt.
Abbildung 13.75
Verschlsselt mit
Schlssel
13.13.4 Weitere Sicherheitsmglichkeiten

In der Standardeinstellung wird das Systemlaufwerk alleinig durch das Zustzliche PIN
TPM geschtzt. Solange dieses keine Vernderung des Betriebssystems feststellt, bentigt man keine weiteren Kenntnisse mehr, um an das Betriebssystem zu gelangen. Der Schutz des Systems hngt dann allein von den Benutzern und deren Kennwrtern ab. Stellt das TPM eine Manipulation des
Betriebssystems fest oder wird ein anderes als das erwartete Betriebssystems gestartet, blockiert es den Start des Systems.
661
Listing 13.9
BitLocker blockiert
die Startphase.
Informationen zur Windows BitLocker-Laufwerkverschlsselung

Die Informationen zum Starten des Betriebssystems wurden seit dem
Aktivieren von BitLocker gendert.
Sie mssen einen BitLocker-Wiederherstellungsschlssel angeben, um
dieses System zu starten.
Besttigen Sie, dass die nderungen an den Informationen zum Starten
des Betriebssystems autorisiert sind.
Wenn die nderungen der Systemstartinformationen vertrauenswrdig
sind, halten Sie BitLocker an, und setzen Sie BitLocker
anschliessend fort. Dadurch wird BitLocker fr die Verwendung der
neuen Startinformationen zurckgesetzt.
Stellen Sie andernfalls die Systemstartinformationen wieder her.
EINGABE=Weiter
Sofern das TPM den Systemstart blockiert, kann man einfach den USBStick, der beim Anlegen der Laufwerkverschlsselung benutzt wurde,
anschlieen und das System neu starten. BitLocker erkennt automatisch
den Wiederherstellungsschlssel und setzt die TPM-Sperre zurck.
Um eine zustzliche Sicherheit einzufhren, kann man den Start zustzlich
noch durch eine PIN-Eingabe oder eine Smartcard absichern. Der Vorteil ist
hierbei die zustzliche Sicherheit. Der Nachteil ist, dass der Benutzer beim
Systemstart zustzliche Aktionen durchfhren muss. Um eine PIN-Eingabe
zu ermglichen, mssen einige Schritte durchgefhrt werden. Zunchst
muss die Verwendung einer PIN erlaubt werden, hierzu dient eine Gruppenrichtlinie. Starten Sie gpedit.msc, und navigieren Sie zu Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschlsselung/Betriebssystemlaufwerke. Dort mssen Sie den Wert Zustzliche
Authentifizierung beim Start anfordern setzen.
Es gibt an gleicher Stelle auch den Wert Zustzliche Authentifizierung beim
Start erforderlich. Dieser wird aber nur von Systemen mit Windows Vista
oder Windows Server 2008 ausgewertet.
Kontrolle ber
BitLocker
662
Auer, dass Sie generell kontrollieren knnen, ob BitLocker auch ohne TPM
zugelassen werden soll, knnen Sie fr die drei Varianten TPM mit PIN,
TPM mit Systemstartschlssel (auf einem USB-Stick) und TPM mit Systemstartschlssel und PIN jeweils einstellen, ob diese Mglichkeit verboten,
optional erlaubt oder zwingend erforderlich sein soll. Diese Einstellungen
sind sofort aktiv. Im Weiteren verwenden wir fr jede Option die Standardeinstellung Zulassen.
13
Abbildung 13.76
TPM mit Extra viel
Sicherheit
Mit diesem Schritt haben Sie allerdings nur die Mglichkeit geschaffen, eine
PIN zu verwenden. Nun muss das Systemlaufwerk noch fr die Verwendung der PIN eingerichtet werden. Diese Einrichtung kann nicht ber die
Benutzeroberflche vorgenommen werden, hierzu dient das Befehlszeilenprogramm manage-bde.exe (Manage BitLocker Disk Encryption), das von einer
administrativen Eingabeaufforderung aus gestartet werden muss. Starten Sie
cmd.exe als Administrator, und rufen Sie den folgenden Befehl aus:
>manage-bde -protectors -add c: -tp
BitLocker-Laufwerkverschlsselung: Konfigurationstoolversion
6.1.7600
Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten.
Listing 13.10
PIN-Eingabe
ermglichen
Geben Sie die PIN ein, die zum Schtzen des Volumes verwendet werden
soll:****
Besttigen Sie die PIN durch erneute Eingabe:****
Hinzugefgte Schlsselschutzvorrichtungen:
TPM und PIN:
ID: {2DF0A0B5-12E0-4428-A789-F75918D02C8C}
Die Schlsselschutzvorrichtung mit der ID "{E9D769FB-DDE1-421E-9C63A595D92D0995}" wurde gelscht.
Erhalten Sie nach dem Befehl die folgende Fehlermeldung angezeigt, mssen Sie die Konfiguration der Gruppenrichtlinie kontrollieren:
663
FEHLER: Ein Fehler ist aufgetreten (Code 0x80310060):
Die Gruppenrichtlinieneinstellungen lassen nicht die Verwendung
einer PIN beim Start zu. Whlen Sie eine andere BitLocker-Startoption.
Mit dem folgenden Befehl kontrollieren Sie den Status der Verschlsselung fr das Laufwerk C:.
Listing 13.11
Status der Verschlsselung
>manage-bde -status c:
BitLocker-Laufwerkverschlsselung: Konfigurationstoolversion
6.1.7600
Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten.
Volume "C:" []
[Betriebssystemvolume]
Gre:
48,83 GB
BitLocker-Version:
Windows 7
Konvertierungsstatus:
Vollstndig verschlsselt
Verschlsselt (Prozent): 100 %
Verschlsselungsmethode: AES 128 mit Diffuser
Schutzstatus:
Der Schutz ist aktiviert.
Sperrungsstatus:
Entsperrt
ID-Feld: Kein
Schlsselschutzvorrichtungen:
Externer Schlssel
Numerisches Kennwort
TPM und PIN
Nachdem jetzt die PIN fr das Laufwerk festgelegt wurde, startet Windows 7 auch erst nach erfolgter PIN-Eingabe. Das Eingabeverfahren hnelt
dem fr die TPM-Wiederherstellung.
Listing 13.12
PIN-Eingabe
beim Start
PIN-Eingabe fr die Windows BitLocker-Laufwerkverschlsselung

Geben Sie die PIN fr dieses Laufwerk ein.
****
Laufwerksbezeichnung: ACER7RTM C: 04.09.2009
Verwenden Sie die Funktionstasten F1-F9 fr die Ziffern 1-9 und
verwenden Sie die Funktionstaste F10 fr die Ziffer 0.
Lschen Sie falsche Ziffern mit der POS1-Taste und der RCKTASTE.
Drcken Sie nach der Eingabe der PIN die Eingabetaste. Drcken Sie
zur Wiederherstellung die ESC-Taste.
EINGABETASTE=Weiter
ESC=Wiederherstellung
13.13.5 BitLocker-Verwaltung
In der BitLocker-Verwaltung (siehe Abbildung 13.68) stehen nach der Aktivierung auf einem Laufwerk deutlich mehr Optionen zur Verfgung.
664
13
Abbildung 13.77
BitLocker-Optionen
Die Option BitLocker deaktivieren fhrt dazu, dass das Laufwerk wieder
entschlsselt wird, dieser Vorgang dauert hnlich lange wie die ursprngliche Verschlsselung. Die Option Schutz anhalten ist nur fr Systemlaufwerke verfgbar. Sie bewirkt, dass der Schlssel zum Systemlaufwerk
nicht mehr im TPM gespeichert wird, sondern in Form einer Datei auf dem
Laufwerk. Dies ist immer dann notwendig, wenn man das BIOS oder Systemstartdateien verndern oder andere Hardware umbauen will und verhindern mchte, dass das TPM den Systemstart sperrt. Whrend dieser
Zeit wird als Status Angehalten angezeigt. Nachdem die nderungen
durchgefhrt sind, kann man dann mit der Option Schutz fortsetzen den
Schutz wieder aktivieren. Mit der Option BitLocker verwalten kann man
verschiedene Aktionen durchfhren. Die jeweils mglichen Optionen ergeben sich unter anderem auch aus den ber Gruppenrichtlinien erlaubten
Mglichkeiten. Zu den Aktionen gehren beispielsweise:
Wiederherstellungsschlssel speichern oder drucken
PIN verndern
Kennwort zum Entsperren verndern
Kennwort vom Laufwerk entfernen
Smartcard fr Laufwerkzugriff aktivieren
Automatische Entsperrung eines Datenlaufwerks aktivieren oder deaktivieren
13.13.6 BitLocker to Go
Wenn schon 1 bis 2 % aller Laptops pro Jahr verloren gehen, mchte man
sich berhaupt nicht vorstellen, wie viele USB-Sticks das gleiche Schicksal erleiden. Aus diesem Grund wurde bei Windows 7 auch eine Mglichkeit geschaffen, ber die USB-Sticks verschlsselt werden knnen. Der
Einstieg erfolgt fr den Benutzer sehr intuitiv. In das Kontextmen eines
Wechseldatentrgers wurde ein Eintrag BitLocker aktivieren aufgenommen. Auch hier wird wieder jeder Sektor des USB-Sticks verschlsselt,
was bei den heutigen Gren durchaus einige Zeit dauern kann. Es ist
nicht mglich, nur einzelne Dateien auf dem Stick zu verschlsseln.
Da ein anderer Computer einen anderen TPM-Chip besitzt, kann die Verschlsselung hierbei nur ber ein Kennwort und/oder ber eine Smartcard erfolgen.
ber die Gruppenrichtlinien unter Computerkonfiguration/Administrative
Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschlsselung/Wechseldatentrger knnen verschiedene Aspekte von BitLocker to Go konfiguriert
werden:
665
Wird BitLocker to Go berhaupt verwendet?
Werden Wechseldatentrger, die nicht verschlsselt sind, zum Beschrei-
ben zugelassen?
Darf ein mit BitLocker To Go geschtzter Datentrger auch von lte-
ren Windows-Versionen gelesen werden?

Wo werden die Wiederherstellungsoptionen der Wechseldatentrger
gespeichert?
BitLocker to Go auf fremden Systemen

BitLocker fr
Altsysteme
Es ist mglich, derartige USB-Sticks auch auf Systemen zu verwenden, die

selbst nicht mit BitLocker umgehen knnen. Der Stick wird von Windows 7
dazu automatisch mit einem entsprechenden Leseprogramm fr die verschlsselten Daten ausgerstet. Eine Installation von Zusatzsoftware auf
anderen Systemen ist nicht notwendig. ber die Autostart-Funktion des
USB-Sticks startet die Lesesoftware automatisch, sobald man den Stick an
einem anderen System anschliet.
Abbildung 13.78
BitLocker To Go
Lesetool auf XP
Home (in klassischer
Oberflche)
Das Leseprogramm fragt das eingestellte Kennwort ab und gibt danach die
gespeicherten Daten schreibgeschtzt frei. Ein Abspeichern von Fremdsystemen auf den verschlsselten USB-Stick ist nicht mglich.
Abbildung 13.79
Lesender Zugriff
auf die verschlsselten Daten
666
13
Jugendschutzeinstellungen
Technisch gesehen werden auf dem Stick die verschlsselten Daten, das
Leseprogramm und Flldaten abgespeichert, um zu verhindern, dass von
dem Fremdsystem aus unverschlsselte Daten auf dem Stick abgespeichert werden.
Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: 4AA2-E396
Verzeichnis von E:\
14.07.2009 02:55
8.704 ar-SA_BitLockerToGo.exe.mui
10.06.2009 23:43
116 autorun.inf
14.07.2009 02:55
8.704 bg-BG_BitLockerToGo.exe.mui
14.07.2009 02:55
8.192 cs-CZ_BitLockerToGo.exe.mui
...
06.09.2009 00:18
0 PAD 0872. NG
06.09.2009 00:18
0 PAD 0873. NG
913 Datei(en) 4.192.503.412 Bytes
0 Verzeichnis(se),
0 Bytes frei
Listing 13.13
Realer Inhalt eines
USB-Sticks mit BitLocker to Go
Diese Methode funktioniert nur, wenn der USB-Datentrger mit einem

FAT-Dateisystem formatiert wurde. Bei Verwendung von NTFS ist
dies nicht mglich.
13.14 Jugendschutzeinstellungen
Die Jugendschutzeinstellungen wurden erstmalig bei Windows Vista vorgestellt und haben sich gegenber Windows 7 in einigen Dingen verndert.
Whrend bei Windows Vista diese Einstellungen nur in den Home- und
Ultimate-Editionen vorhanden waren, enthalten jetzt alle Editionen von
Windows 7 diese Einstellungen. Die Einstellungen sind allerdings standardmig nicht verfgbar, wenn der Computer Mitglied einer Domne ist.
Prinzipiell lassen sich die Jugendschutzeinstellungen nur fr einen Benutzer vornehmen, der nicht gleichzeitig administrative Rechte besitzt.
Um auch bei einem Domnenmitglied die Jugendschutzeinstellungen
verfgbar zu haben, mssen Sie ber eine globale oder lokale Gruppenrichtlinie den Wert Computerkonfiguration/Richtlinien/Administrative
Vorlagen/Windows-Komponenten/Jugendschutz verndern, evtl. kann der
Pfad zu den Einstellungen auch in englischer Sprache (Parental Controls) vorliegen. In jedem Fall wirken die Einstellungen jedoch nur auf
lokale Benutzer, nicht auf Domnenmitglieder.
13.14.1 nderungen gegenber Windows Vista

Im Vergleich zu Windows Vista haben sich einige nderungen in der Funktion der Jugendschutzeinstellungen ergeben. Die bisher vorhandene Funktion der Blockierung von Webseiten wurde entfernt, ebenso die Aufzeichnung der Aktivitten eines geschtzten Benutzers. Stattdessen wurde eine
667
Schnittstelle fr Anwendungen von Drittanbietern eingefhrt, mit der

diese sich in die Schutzmechanismen einklinken knnen, um eigene Filterverfahren zu implementieren. Durch diese Einbindung ist es mglich, dass
die Fremdsoftware in die gewohnte Systemsteuerung nahtlos integriert
wird und die Eltern (oder andere Aufsichtspersonen) mit mehreren Verwaltungsprogrammen hantieren mssen.
Unter diesen zustzlichen Providern befindet sich auch Microsoft selber,
sie bieten den Dienst Windows Live Family Safety, an. Diesen gab es bislang
fr Windows XP und kann in Windows Vista integriert wurde. Fr Windows 7 als separates Modul ist es in der Sammlung Windows Live Essentials erhltlich (siehe Kapitel 16).
13.14.2 Steuerungsmglichkeiten beim

Jugendschutz
Standardmig knnen bei einem Benutzer drei Bereiche des Jugendschutzes konfiguriert werden:
Zeitlimits
Fr jede Stunde und jeden Tag kann die Anmeldung am Computer zugelassen bzw. verweigert werden. Auf diese Weise lsst sich zum Beispiel
verhindern, dass am Computer nchtelang gespielt oder gesurft wird. Ist
der Benutzer angemeldet, whrend seine Anmeldezeit abluft, so erhlt
er in regelmigen Abstnden vor Ablauf der Frist (15 Minuten, eine
Minute) ein Meldungsfeld angezeigt (siehe Abbildung 13.80 unten)
beziehungsweise kann ber einen Tooltipp des Symbols im Infobereich
der Taskleiste die Zeit anzeigen lassen (siehe Abbildung 13.80 oben). Ist
die Zeit dann vorbei, wird seine Sitzung getrennt, luft aber noch im Hintergrund weiter. Dies ist allerdings dann problematisch, wenn der Computer anschlieend heruntergefahren werden soll, da dies zu einem
Datenverlust fhren kann. In diesem Fall sollte statt Herunterfahren die
Option Ruhezustand zum Abschalten des Systems genutzt werden.
Abbildung 13.80
Ihre Zeit ist um!
Spielfreigaben
Windows 7 untersttzt eine Reihe von Altersfreigabesystemen fr Computerspiele, darunter auch die der Unterhaltungssoftware Selbstkontrolle
(USK), die in Deutschland Spiele mit einen Prfsiegel versieht. Die
Spiele werden hierbei in Altersklassen eingeteilt. Die Klassen orientieren
sich dabei meist an der Einteilung, die auch fr Filme im Kino oder Fernsehen vorgenommen werden. Das System der USK ist bei einer deutschen Installation voreingestellt.
668
13
Abbildung 13.81
Auswahl verschiedener Spielebewertungen (lange Liste
optisch verkrzt)
Zugelassene Programme
Whrend die Spielfreigabe sich nur auf Spiele beschrnkte, die von
einer externen Bewertungsfunktion klassifiziert wurden, kann mit dieser Option fr einzelne Anwendungen festgelegt werden, ob diese aufgerufen werden drfen oder nicht. Dies kann man zum Beispiel auch
zur Absicherung eines Computers im ffentlichen Raum verwenden.
13.14.3 Spielfreigaben
Bevor Sie mit dem Jugendschutz beginnen knnen, mssen drei Voraussetzungen erfllt sein:
1. Das System darf nicht Mitglied einer Domne sein, bzw. bei einem
System einer Domne wurde explizit die Jugendschutzeinstellung angefordert.
2. Es muss mindestens einen lokalen Benutzer geben, der nicht gleichzeitig Administrator ist.
3. Die Spiele drfen nicht auf einer FAT-Partition installiert sein, Spiele knnen nur reglementiert werden, wenn sie auf NTFS installiert wurden.
Abbildung 13.82
Jugendschutz nicht
mit FAT
669
Nicht jeder
darf alles
Starten Sie dann Systemsteuerung/Benutzerkonten und Jugendschutz/Jugendschutz. Sie sehen zunchst eine Liste aller Benutzer auf dem System, in der
fr jeden Benutzer vermerkt ist, ob fr ihn der Jugendschutz aktiviert ist oder
nicht. Die einzelnen Einstellungen fr den jeweiligen Benutzer sind dort
nicht sichtbar. Sofern der Benutzer, dessen Einstellungen Sie ndern wollen,
gerade angemeldet ist, erscheint eine Warnmeldung, die Sie darber informiert, dass die vorgenommenen Einstellungen mglicherweise erst nach
einer erneuten Anmeldung greifen.
Abbildung 13.83
Benutzer mit und
ohne Jugendschutz
Durch den Link Spielfreigabesysteme in der linken Aktionsleiste gelangt

man zu einer Auswahlliste verschiedener Ratingsysteme (siehe Abbildung
13.81). Bei der Wahl richten Sie sich am besten nach den Bewertungen, die
fr die meisten Ihrer Spiele vergeben sind.
Abbildung 13.84
Beispiele fr Bewertungen auf einer
Spieleverpackung
Wenn Sie das Bewertungssystem ndern, werden alle vorgenommenen Einschrnkungen bei Ihren Benutzern zurckgesetzt.
670
13
Feststellen, ob ein Spiel bewertet ist

Nachdem Sie ein Spiel installiert haben, knnen Sie auch feststellen, ob es
von Windows als Spiel erkannt wird und welche Bewertung es hat. Starten
Sie dazu den Spieleexplorer, indem Sie auf Start und dann auf Spiele klicken.
Falls im Startmen kein Eintrag Spiele vorhanden ist, mssen Sie die Darstellung des Eintrags zunchst aktivieren. Klicken Sie mit der rechten Maustaste in einen freien Bereich des Startmens, und whlen Sie Eigenschaften
aus. Auf der Registerkarte Startmen klicken Sie dann auf die Schaltflche
Anpassen und whlen in der angezeigten Liste den Eintrag Spiele aus.
Abbildung 13.85
Spiele und ihre
Bewertung
Mit Windows Vista hat Microsoft eine eigene Schnittstelle fr derartige

Bewertungssysteme eingefhrt. Spiele, die installiert werden, registrieren
sich auf diese Weise selbst beim System und liefern somit auch Informationen ber ihre eigenen Bewertungen mit. Fr eine ganze Reihe von aktuell bereits existierenden Spielen (Legacy Games) bringt Windows 7 bereits
eine Datenbank mit diesen Bewertungen mit.
Jedes Spiel in der Auflistung kann durch direkten Doppelklick gestartet wer- Wer darf was?
den, sofern der Benutzer ber die Berechtigung zum Spielen verfgt. In der
rechten Spalte werden zu jedem Spiel eventuell auch weitere Informationen
angezeigt, sofern das Spiel oder die Bewertungsdatenbank diese Informationen liefert:
Bewertungen Neben Informationen zur Altersfreigabe werden auch
Hinweise auf bestimmte Aspekte des Spiels angezeigt, etwa ob es in
dem Spiel um Gewalt, Glcksspiel oder Sex geht. Die einzelnen Bewertungssysteme haben hierbei zuweilen sehr detaillierte Einstufungen.
Leistung Fr jedes System bildet Windows 7 einen sogenannten Leistungsindex (Windows Experience Index), der sich aus den Werten fr Pro-
671
zessor, Speicher und anderen Hardware-Komponenten bildet (in der

Systemsteuerung nach Leistung suchen). Fr jedes Spiel kann angegeben werden, welchen Leistungsindex ein Spiel mindestens bentigt
und welcher Wert empfohlen wird. Dies wird mit dem aktuellen Leistungsindex zusammen angezeigt.
Statistik Jedes Spiel kann Informationen ber die Zahl der Spiele insgesamt, die Zahl der gewonnenen Spiele etc. abspeichern. Diese Informationen knnen hier angezeigt werden. Es gibt jedoch keine Mglichkeit,
die eigenen Statistiken mit denen anderer Spieler auf dem System zu
vergleichen.
Spieleexplorer anpassen
ber das Kontextmen, das erscheint, wenn man im freien Bereich des
Spieleexplorers mit der rechten Maustaste klickt, kann man die Sortierung der Spiele verndern. Klickt man im Kontextmen eines Spiels auf
die Menoption Dieses Spiel ausblenden, wird es aus dem Spielebereich des
aktuellen Benutzers entfernt, andere Benutzer knnen es weiterhin sehen.
ber den Befehl Optionen im Hauptmen und dort die Schaltflche Alle
Elemente einblenden kann diese Aktion rckgngig gemacht werden.
13.14.4 Einstellungen fr einen Benutzer

vornehmen
Smtliche Einstellungsmglichkeiten fr einen Benutzer werden erst mglich, wenn der Jugendschutz durch die Option Ein Einstellungen erzwingen aktiviert wird. Im Dialogfeld aus Abbildung 13.86 sehen Sie auf der linken Seite die mglichen Methoden zur Konfiguration und auf der rechten
Seite unter dem Bild des Benutzers die Zusammenfassung der aktuell vorgenommenen Einstellungen.
Abbildung 13.86
JugendschutzEinstellungen fr
einen Benutzer
672
13
Zeitlimits
Die Einstellung der Zeitlimits erfolgt ziemlich einleuchtend durch eine
Matrix fr die sieben Wochentage und die 24 Stunden eines Tages. Fr
jede Stunde kann separat festgelegt werden, ob zu der Zeit die Benutzung
des Computers erlaubt oder nicht erlaubt sein soll. Dies betrifft nicht nur
Spiele, sondern jegliche Anwendungen.
Es wre wnschenswert, wenn hier die Mglichkeit gegeben wre,
mehrere Zeitschablonen zu definieren, etwa fr Schulzeit und Ferien.
Aktuell msste man manuell die Zeiten ndern, wenn etwa in Ferienzeiten eine laxere Regelung gelten soll.
Spiele
Die Einstellungen fr Spiele beginnen zunchst mit der globalen Entscheidung, ob berhaupt Spiele gespielt werden drfen oder nicht, quasi
einer Variante des Fernsehverbotes im 21. Jahrhundert. Durch Klick auf
den Link Spielfreigaben festlegen knnen Spiele global ber die Einstufungen der gewhlten Bewertungsstelle blockiert werden. ber den Link
Bestimmte Spiele zulassen oder blockieren knnen Spiele unabhngig von
den vergebenen Ratings blockiert oder zugelassen werden.
Abbildung 13.87
Spieleeinstellungen
fr einen Benutzer
Zunchst mssen Sie entscheiden, ob Spiele, die von dem aktuell gewhlten Ratingsystem nicht bewertet wurden, gespielt werden drfen oder
nicht. Dann folgt die Einstellung der gewnschten Altersstufe. Bei Auswahl einer Stufe werden automatisch alle jngeren Stufen ebenfalls mit
ausgewhlt.
Auswahl der
erlaubten
Ratings (optisch
verkrzt dargestellt)
673
An dieser Stelle zeigt sich auch, dass das Ratingverfahren noch nicht
ganz zu Ende gedacht wurde. Aktuell gibt es von Microsoft keine Mglichkeit, ein noch nicht bewertetes Spiel manuell mit einem Rating zu
versehen. Aktuell mssen Sie das Spiel ber die Einstellung per Namen
jedem Benutzer einzeln erlauben oder verweigern. Gleichfalls gibt es
keine Mglichkeit, ein Spiel, das vom Spieleexplorer nicht erkannt
wurde, manuell zum System hinzuzufgen. Im Netz gibt es aktuell eine
Software mit dem Namen Game Explorer Editor (siehe unter [GEE]), mit
dem man diese Einstellungen ndern kann.
Auer den generellen Alterseinschrnkungen kann im unteren Teil des
Dialogfeldes die Auswahl der erlaubten Spiele zustzlich noch durch die
zu einem Spiel angegebenen Beschreibungen eingeschrnkt werden. Die in
diesem Bereich verfgbaren Einstellmglichkeiten hngen direkt von den
Inhaltsangaben ab, welche die gewhlte Ratingagentur anbietet. Damit ein
Spiel erlaubt wird, muss es zum einen der oben gewhlten Altersstufe entsprechen, und zum anderen darf keine der unten ausgewhlten Inhaltsabgaben vermerkt sein.
Abbildung 13.88
Kontrolle ber
einzelne Spiele
ber den Link Bestimmte Spiele zulassen oder blockieren in Abbildung 13.87
gelangt man zu einer Einstellseite, bei der einzelne Spiele gezielt fr einen
Benutzer zugelassen oder gesperrt werden knnen. Fr jedes vom Spieleexplorer erkannte Spiel hat man die Wahl zwischen drei Optionen:
674
13
Benutzerfreigabe Die Freigabe richtet sich nach der Alterstufe des
Benutzers und seinen Inhaltskategorien.

Immer zulassen Das Spiel wird zugelassen, auch wenn es nach der
Altersfreigabe eigentlich verboten wre.

Immer blockieren Das Spiel wird nicht erlaubt, egal welche Altersfrei-
gabe der Benutzer hat
Jugendschutz in Aktion
Sobald fr einen Benutzer der Jugendschutz aktiviert und entsprechende
Einstellungen vorgenommen wurden, sieht dieser eine entsprechend angepasste Sicht des Spieleexplorers. Spiele, die ihm nicht erlaubt sind, werden
entsprechend blockiert dargestellt, und beim Versuch, ein derart blockiertes Spiel zu starten, erhlt er eine entsprechende Fehlermeldung.
Abbildung 13.89
Spiel blockiert: kein
Bild, kein Spa
Technisch wird die Sperre dadurch implementiert, dass die Zugriffsrechte NTFS muss sein
auf die jeweilige ausfhrbare Datei des Spiels ber NTFS-Rechte manipuliert werden, indem den jeweils gesperrten Benutzern smtliche Rechte
versagt werden. Auf diese Weise ist es auch ber andere Programme nicht
mglich, das Programm zu starten oder zu versuchen, eine nicht gesperrte
Kopie des Spiels anzulegen.
13.14.5 Windows-Spieleexplorer intern

Die Funktionsweise des Windows-Spieleexplorers ist von Microsoft unter
[SPIEL] beschrieben. Die Komponente gehrt systematisch zu DirectX,
und im zugehrigen DirectX SDK finden Spieleentwickler auch die Hilfsmittel, um fr ihre Spiele diese Schnittstelle nutzen zu knnen. Die Informationen des Spieleexplorers finden Sie in der Registry unter dem Schls-
675
sel HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\GameUX. Im
Unterschlssel Games finden sich die Spiele, die sich ber die Schnittstelle
beim System angemeldet haben. Am Anfang sind dies zunchst die bei
Windows vorinstallierten Anwendungen wie Solitr oder Freecell. Zu jedem
Spiel werden auer einigen Verwaltungsinformationen auch die Informationen ber die Bewertungen im Wert ConfigGDFBinaryPath hinterlegt (GDF
= Games Description File). Dieser Wert zeigt aber nicht auf eine simple Textdatei, sondern dient als Verweis auf eine Binrdatei, in der die Informationen ber das Rating in Form einer Ressource hinterlegt sind. Dieses Verfahren hnelt der Methode, wie auch Zeichenketten, Dialogfelder oder
Symbolbilder (Icons) in einer .exe- oder .dll-Datei abgespeichert werden.
Eine Datenbank mit GDF-Informationen fr viele Tausende bereits
bestehender Spiele findet sich in der Datei %Systemroot%\system32\
GameUXLegacyGDFs.dll.
Fr den Fall, dass in der derartig referenzierten Datei keine Ratinginformationen vorhanden sind, wird die Information direkt im Wert RatingsInfo
gespeichert. Fr alle anderen Spiele, die auf dem System erkannt wurden,
werden fr den jeweiligen Spieler in einem Unterschlssel, der einer SID
entspricht, Eintrge fr die Spiele vorgenommen, die er bereits gespielt hat.
Listing 13.14
RatingsInfo fr
das Spiel Freecell
<Ratings xmlns="urn:schemas-microsoft-com:GameDescription.v1">
<Rating ratingID="{7A53B0BE-B92D-4e8a-A11F-8E6F9F3C575B}"
ratingSystemID="{768BD93D-63BE-46A9-8994-0B53C4B5248F}"></Rating>
<Rating ratingID="{464299D0-6D57-47e8-AA53-A849CBEA12CB}"
ratingSystemID="{36798944-B235-48ac-BF21-E25671F597EE}"></Rating>
...
<Rating ratingID="{DC21B59B-64D9-4972-A522-5FC32DF45DE1}"
ratingSystemID="{0933BE9E-EEA2-404c-8754-F766905FF34D}" />
</Ratings>
Listing 13.15
GDF-Definition
fr das Spiel
Stronghold 2
<?xml version="1.0" encoding="utf-16"?>

<GameDefinitionFile
xmlns="urn:schemas-microsoft-com:GameDescription.v1"
xmlns:baseTypes="urn:schemas-microsoftcom:GamesExplorerBaseTypes.v1">
<GameDefinition gameID="{528f1b3a-b0c8-4e2b-81e6-b6a51607551b}"
WMID="{f42fcda2-9dass-4fc6-8ef5-8dd666924b96}">
<Version>
<VersionNumber versionNumber="1.0.0.0" />
</Version>
<Name>Stronghold 2</Name>
<GameExecutables>
<GameExecutable path="firewall.exe" />
</GameExecutables>
<Ratings>
<Rating ratingID="{CEC5DB5A-B4C9-4809-96C6-39CE715E4790}
ratingSystemID="{36798944-B235-48ac-BF21-E25671F597EE}">
<Descriptor descriptorID="{F110F831-9412-40c9-860AB489407ED374}" />
676
13
<Descriptor descriptorID="{6AB00271-515B-4a4d-8A6E9E66BF96A437}" />
<Descriptor descriptorID="{9C8680ED-C0A6-4700-ACDFB24C979511E0}" />
</Rating>
<Rating ratingID="{18CD34B7-7AA3-42b9-A303-5A729B2FF228}"
ratingSystemID="{768BD93D-63BE-46A9-8994-0B53C4B5248F}">
<Descriptor descriptorID="{0CFCF432-3544-4f78-942607A36843E6BA}" />
<Descriptor descriptorID="{BE562A5F-2A80-4c28-975274C696E2ABAF}" />
</Rating>
</Ratings>
</GameDefinition>
</GameDefinitionFile>
Nun wirken alle diese Angaben etwas kryptisch, weil berall nur GUIDWerte vermerkt werden. Die Kopplung dieser Daten erfolgt ber die Datei
DXSDK\Utilities\Source\GDFTrace\ratings.xml aus dem DirectX SDK, in
der alle diese GUID-Werte aufgefhrt sind. Diese Datei wird nicht im Original mit Windows mitgeliefert, sondern findet sich als binre Daten in
einer der zum Spieleexplorer gehrigen Datei wieder.
<RatingSystem ID="{36798944-B235-48AC-BF21-E25671F597EE}"
Text="PEGI">
<Rating ID="{464299D0-6D57-47E8-AA53-A849CBEA12CB}" Text="3+"/>
<Rating ID="{97D9239C-2BA3-4E1D-A710-B626DC4602A6}" Text="7+"/>
<Rating ID="{CEC5DB5A-B4C9-4809-96C6-39CE715E4790}" Text="12+"/>
<Rating ID="{044D131F-D763-4975-9BB4-8C24CC331063}" Text="16+"/>
<Rating ID="{E2681CD6-318A-4935-8275-AF657045C333}" Text="18+"/>
<Descriptor ID="{609B54E7-6AD5-4A66-AEA4-0FFE84364E26}"
Text="Discrimination"/>
<Descriptor ID="{6CA2DE44-81E2-491E-917A-3816F7298953}"
Text="Drugs"/>
<Descriptor ID="{F6C8131A-897B-4ECF-990E-07B976D1F805}"
Text="Fear"/>
<Descriptor ID="{6AB00271-515B-4A4D-8A6E-9E66BF96A437}"
Text="Bad Language"/>
<Descriptor ID="{9C8680ED-C0A6-4700-ACDF-B24C979511E0}"
Text="Sex"/>
<Descriptor ID="{F110F831-9412-40C9-860A-B489407ED374}"
Text="Violence"/>
</RatingSystem>
Listing 13.16
rating.xml-Ausschnitt fr das
PEGI-Bewertungssystem
Betrachten Sie zunchst Listing 13.15 mit der Bewertung fr das Spiel Stronghold 2. Sie knnen sehen, dass dieses Spiel von zwei Bewertungssystemen
gefhrt wird: dem Ratingsystem mit der ratingSystemID="{36798944-B23548ac-BF21-E25671F597EE}"> und einem mit der ratingSystemID="{768BD93D63BE-46A9-8994-0B53C4B5248F}"> (entsprechend den beiden Markierungen
auf der Schachtel in Abbildung 13.84). In Listing 13.16 wird ersichtlich, dass
die erste Bewertung zum Bewertungssystem PEGI gehrt. Dort finden wir
auch die ratingID="{CEC5DB5A-B4C9-4809-96C6-39CE715E4790} wieder,
der der Text 12+ zugeordnet ist, was einer Einstufung 12 Jahre und lter ent-
677
spricht. Zudem sind fr das Spiel auch drei Eintrge vom Typ Descriptor
(Erklrung) zugeordnet. Auch fr diese GUID finden wir die Erklrung in
der rating.xml-Datei, die zugehrigen Werte sind Violence, Bad Language und
Sex. Dies sehen wir (in deutscher bersetzung) in Abbildung 13.85 in der
rechten Spalte. Das Rating fr Freecell knnen Sie auf die gleiche Weise
bestimmen.
Die im Spieleexplorer fr bestehende Spiele angezeigten Bilder werden
von einem Webdienst durch Microsoft zur Verfgung gestellt. Die
Adresse wird im Wert BoxArt in der Registry hinterlegt. Sowohl fr diese
Grafik als auch fr die restlichen Informationen ist ein Mechanismus vorgesehen, um diese Informationen regelmig zu erneuern, in den Werten
TimeToRefreshBasicData und TimeToRefreshBoxArt sind entsprechende
Werte codiert. Ein Update dieser Informationen kann ber den Menpunkt Optionen im Spieleexplorer erreicht werden.
Wenn ein Benutzer nicht berechtigt ist, ein bestimmtes Spiel zu spielen,
wird ihm auch die entsprechende Grafik des Spiels nicht angezeigt.
Man geht wohl davon aus, dass in der Grafik eines jugendgefhrdenden
Spiels auch jugendgefhrdende Inhalte vorhanden sein knnten.
Entweder automatisch oder auf Anforderung (rechte Maustaste auf das
Spiel im Spieleexplorer, Auswahl von Online nach Updates suchen) kann
Windows 7 berprfen, ob es neue Versionen eines Spiels gibt. Diese Funktion arbeitet allerdings anders als die jeweiligen Verfahren, die innerhalb
eines Spiels ablaufen. Whrend dort das Spiel direkt beim Hersteller nach
Informationen sucht, verwendet die Update-Funktion des Spieleexplorers
eine Datenbank bei Microsoft. Microsoft ist hierbei darauf angewiesen,
dass die Spielehersteller gegenber Microsoft kundtun, wenn sie ein
Update eines ihrer Titel publizieren.
Welche Ratingsysteme gibt es?

Die Liste der dem System bekannten Ratingsysteme findet sich in der
Registry im Schlssel HLKM\SOFTWARE\Microsoft\Windows\CurrentVersion\Parental Controls\Ratings Systems. Im Unterschlssel Current finden wir die GUID des festgelegten Bewertungssystems im Wert Games.
Diese GUID wiederum finden wir als Wert im Unterschlssel Games, und
dieser Wert verweist auf eine Datei im Verzeichnis System32 mit der
Endung .rs. Dies ist zwar eine binre Datei, sie enthlt jedoch die Definitionen der Ratings als XML-Datenstrukturen. Erkennbar ist alleinig der Wert
MinimumAge, alle anderen Daten sind Referenzen auf eine andere Quelle.
Listing 13.17
Ausschnitt aus der
Datei pegi.rs
678
<?xml version="1.0" encoding="utf-8" ?>

<RatingSystem>
<ID>{36798944-B235-48ac-BF21-E25671F597EE}</ID>
<Version>1.0.0.0000</Version>
<ShortName>1</ShortName>
<LongName>2</LongName>
<Description>3</Description>
<WebAddress>4</WebAddress>
13
<Graphic>PEGI_logo.PNG</Graphic>
<Ratings>
<Rating>
<ID>{464299D0-6D57-47e8-AA53-A849CBEA12CB}</ID>
<Level>1</Level>
<ShortName>112</ShortName>
<LongName>113</LongName>
<Description>114</Description>
<Graphic>PEGI_3.PNG</Graphic>
<MinimumAge>3</MinimumAge>
</Rating>
Wo werden die Informationen des Jugendschutzes gespeichert?

Die Informationen ber die Einstellungen sind in der Registry im Schlssel
HLKM\SOFTWARE\Microsoft\Windows\CurrentVersion\Parental Controls\
Users in einem Unterschlssel, der die SID des jeweiligen Benutzers trgt,
gespeichert. Dort finden sich die folgenden Unterschlssel, die den jeweiligen Einstellmglichkeiten in der Systemsteuerung entsprechen:
AppRestrictions In diesem Schlssel existiert fr jedes Programm,
das zur Ausfhrung zugelassen wurde, ein separater Unterschlssel,
in dem der Pfad der betreffenden Applikation vermerkt ist.
GameRules Fr jedes zugelassene Spiel existiert ein eigener Unterschlssel.
Games Zum einen existieren Schlssel fr jedes Ratingsystem, fr das
Konfigurationen beim Benutzer durchgefhrt wurden, und (sofern bei
dem Ratingsystem bestimmte Beschreibungen ausgeschlossen wurden) darunter noch ein Unterschlssel Denied Descriptors. Im Schlssel
Locked finden sich alle Spiele, die explizit verboten wurden.
Es ist zu erwarten, dass man die Informationen eines Zweigs durch
den Import in einen anderen Zweig von einem Benutzer auf einen
anderen transferieren kann. Diese Vorgehensweise ist jedoch nicht von
Microsoft offiziell dokumentiert.
13.14.6 Programme zulassen und blockieren

Wesentlich weiter als die Einschrnkungen bei Spielen geht die Mglichkeit,
bestimmte Programme zu erlauben oder zu verweigern. Dieses Feature mit
der Bezeichnung Anwendungseinschrnkungen hrt auch auf den Namen
GAR (General Application Restrictions) und hat folgende Eigenschaften:
Programme, die zu Windows selbst gehren (also viele der Dateien
unterhalb von %SystemRoot%), werden nicht blockiert.
Programme auf Wechselmedien (USB-Sticks, CD-/DVD-Laufwerke)
werden blockiert.
Die Blockierung betrifft sowohl ausfhrbare Dateien (.exe- und .comDateien) als auch Skriptdateien (.cmd- oder .vbs-Dateien).
679
Abbildung 13.90
Ein Programm
wurde blockiert.
Fr alle anderen ausfhrbaren Dateien kann ber ein Dialogfeld eingestellt werden, ob ein Aufruf zulssig ist.
Abbildung 13.91
Programme sperren,
en detail
Prinzipiell sind zunchst alle aufgefhrten Programme nicht zugelassen.

Nun knnen Sie entweder gezielt durch einen Klick in das Kontrollkstchen vor dem Programmnamen einige zulassen, oder Sie whlen zunchst
die Schaltflche Alle markieren und entfernen das Hkchen vor einigen der
Programme, die Sie nicht erlauben wollen.
Programme, die in Verzeichnissen existieren, auf die der Benutzer, der
gerade den Jugendschutz konfiguriert, keinen Zugriff hat (zum Beispiel
ein privates Benutzerverzeichnis), knnen nicht ber die Schaltflche
Durchsuchen hinzugefgt werden. Dies liegt daran, dass dem aktuellen
Benutzer die Berechtigung fehlt, die betreffenden Dateien zu sehen.
680
13
Datenausfhrungsverhinderung
Bettigt der jugendgeschtzte Benutzer beim Aufruf einer nicht erlaubten

Anwendung im Dialogfeld in Abbildung 13.90 den Link Bitten Sie einen
Administrator um Berechtigung, erfolgt zunchst eine UAC-Abfrage. Nachdem ein Administrator diese besttigt hat, kann dieser bei Bedarf die
betreffende Applikation freischalten. Diese Freischaltung kann spter im
Dialogfeld aus Abbildung 13.91 wieder rckgngig gemacht werden.
Abbildung 13.92
Ein Administrator
kann erlauben.
13.14.7 Webseiten-Filter
Die bei den Microsoft Live Essentials mitgelieferte Funktion Windows Live
Family Safety wird in Kapitel 16 erlutert.
13.15 Datenausfhrungsverhinderung
Der Begriff Datenausfhrungsverhinderung (DEP, Data Execution Prevention)
wurde erstmals mit Windows XP SP2 eingefhrt. Das Konzept hat mit der
Weise zu tun, in der Prozessoren mit dem Speicher umgehen. Fr den Prozessor in einem System gibt es Bereiche, in dem ausfhrbare Anweisungen
stehen, und Bereiche, in dem Daten stehen, die von diesen Anweisungen
verarbeitet werden. Viele Sicherheitsprobleme fangen damit an, dass versehentlich durch Programmfehler Daten dort abgespeichert werden, wo
eigentlich nur Programmcode stehen sollte, beziehungsweise die Programmausfhrung da fortgesetzt wird, wo eigentlich Daten stehen. Durch
geschickte Wahl der zu verarbeitenden Daten kann ein Angreifer so den
Code abndern, den der Computer ausfhrt.
Whrend auf Prozessoren fr Workstations und Grorechner schon lange Nur wo Code
entsprechende Konzepte vorhanden sind, war dies bei PC-Systemen dran steht, ist
nicht der Fall. Um diesen Problemen auf dem Hardware-Level zu begeg- auch Code drin
nen, stellte zuerst AMD in seinen Prozessoren der Athlon 64- und Opteron-Reihe das sogenannte NX-Bit (No Execution) vor. Intel, die hnliches
schon fr die Itanium-Reihe fr Server hatten, zog mit spteren Baureihen des Pentium-Prozessors nach und nannte seine Technologie XD-Bit
(Execution Disable).
Auch das Betriebssystem muss hierbei dieses Konzept untersttzen, indem
es Speicherbereiche, die nur Daten enthalten sollen, entsprechend kennzeichnet. Microsoft fhrte mit Windows XP SP2 nicht nur die Verwendung
des entsprechenden Hardware-Features ein. Zustzlich wurde auch ein
Verfahren eingefhrt, bei dem auf Systemen, die diese Hardware nicht
beinhalten, gewisse Teile des Konzepts in Software nachgebildet werden.
681
Um den Status dieses Features zu berprfen, rufen Sie zunchst die

Eigenschaften des Systems entweder ber den Eintrag Eigenschaften im
Kontextmen von Computer oder ber Systemsteuerung/System und Sicherheit/System auf. Klicken Sie anschlieend links oben auf Erweiterte Systemeinstellungen und im Dialogfeld auf der Registerkarte Erweitert die Schaltflche Einstellungen im Bereich Leistung. Die Datenausfhrungsverhinderung
finden Sie auf der gleichnamigen Registerkarte.
Abbildung 13.93
Datenausfhrungsverhinderung,
oben ein System
ohne HW-Untersttzung, unten
eines mit
Kann das
System das?
Im unteren Teil des Dialogfeldes von Abbildung 13.93 kann man erkennen,
ob der Computer DEP auf Hardwareebene untersttzt oder ob DEP nur in
Form von Software nachgebildet werden kann. Standardmig wird DEP
nur fr die Programme aktiviert, bei denen sichergestellt ist, dass sie auch
mit DEP funktionieren. Dies ist leider nicht fr alle Programme gewhrleistet, da es durchaus auch gewollt sein kann, dass Programmcode in Datenbereichen ausgefhrt werden kann. Aus diesem Grund ist die Standardeinstellung so gesetzt, dass Programme nur dann von DEP erfasst werden,
wenn dies das Feature explizit vom System her anfordert. Dieses wird auch
OptIn genannt und lsst sich auch mit dem Programm bcdedit feststellen:
>bcdedit
...
nx
OptIn
Die Auswirkung dieser Einstellung kann man im Task-Manager kontrollieren, wenn man sich auf der Registerkarte Prozesse nach Aufruf des
Menbefehls Ansicht/Spalten auswhlen die Spalte Datenausfhrungsverhinderung anzeigen lsst.
Man kann in Abbildung 13.94 erkennen, dass die Windows-eigenen Programme alle mit aktiviertem DEP laufen. Bei den anderen Applikationen
hngt es vom jeweiligen Programm ab, ob es DEP anfordert (Sysinternals
Process Explorer) oder nicht anfordert (TCP/UDP endpoint viewer).
682
13
Abbildung 13.94
DEP im TaskManager
Die andere Alternative, die sich ber das Dialogfeld konfigurieren lsst,
ist Datenausfhrungsverhinderung fr alle Programme und Dienste mit Ausnahme Hierdurch kann man im Dialogfeld einzelne Programme aufnehmen, die bei aktiviertem DEP Probleme zeigen. Leider wird man nur
durch Versuche (oder Google) erfahren knnen, welche Programme man
explizit von der Datenausfhrungsverhinderung ausnehmen muss. Hier
muss man das Programm ausprobieren und bei auftretenden Fehlern entsprechend reagieren.
683
14
Systemberwachung
Normalerweise tun Computer ja das, was man von ihnen erwartet. Aber
zustzlich tun sie noch mehr, von dem man nicht wei, dass sie es gerade
tun. Und in allen Fllen knnen Fehler auftreten, auch wenn man diese
auf der Oberflche nicht bemerkt. Hier greift die Systemberwachung
ein, mit der man nachverfolgen kann, was ein Computer gerade tut, und
auch entdecken kann, warum er es tut. Um dem Administrator (und in
geringerem Ma auch dem Benutzer) Informationen ber das System
anzuzeigen, gibt es zum einen spezielle Informationsprogramme, die
weitere, sonst nicht sichtbare Informationen anzeigen, und zum anderen
Protokolle, in denen man auch im Nachhinein Informationen ber durchgefhrte Aktionen und aufgetretene Ereignisse analysieren kann.
14.1 Was tut das System gerade?

Windows 7 ist ein Multitasking-Betriebssystem. Aber was bedeutet das Unter der Haube
eigentlich genau? Multitasking bedeutet wrtlich, dass der Computer meh- drehen sich die
rere Aufgaben gleichzeitig durchfhren kann. Arbeiten tut ein Computer Rder
mit seiner CPU (Central Processing Unit Zentraleinheit), und somit scheint
es klar zu sein, dass eine CPU auch immer nur eine Ttigkeit zugleich
durchfhren kann. In der heutigen Zeit mit Mehrprozessorsystemen und
Mehrfachkernen hat sich das mit der einen Ttigkeit etwas relativiert. Aber
es bleibt dabei, dass auf dem Computer mehr Ttigkeiten durchgefhrt
werden sollen, als Verarbeitungseinheiten dafr tatschlich vorhanden sind.
Um dieses Problem zu lsen, werden die einzelnen Ttigkeiten in Form
eines Prozesses zusammengepackt. Zu einem Prozess gehren ein abgegrenzter Speicherbereich, der allein fr diesen Prozess zustndig ist,
685
Kapitel 14 Systemberwachung
Sicherheitsinformationen, was dieser Prozess tun kann und darf, und

noch einiges mehr an Verwaltungsinformationen, etwa wie wichtig dieser Prozess ist. Zustzlich gibt es noch einen Prozess, dessen Funktion
darin besteht, in regelmigen Abstnden die Verarbeitungseinheiten
von einem laufenden Prozess zu entfernen und einem anderen Prozess
zuzuweisen. Da dieser Vorgang sehr schnell passiert, entsteht fr den
Betrachter der Eindruck, als ob alle vorhandenen Prozesse gleichzeitig
laufen wrden.
14.1.1
Vter und Shne
Insbesondere gehrt zu einem Prozess auch die Information, wer den Prozess eigentlich erzeugt hat. Programmtechnisch geschieht dies durch den
Aufruf einer Funktion des Betriebssystems. Zu den Verwaltungsinformationen des neuen Prozesses gehrt dann immer auch die Angabe ber die
Identitt des Prozesses, von dem aus er gestartet wurde. Auf diese Weise
bilden die laufenden Prozesse des Systems eine Baumstruktur, deren
oberstes Element der Prozess ist, den das System beim Neustart als Erstes
ausgefhrt hat. Wird ein Prozess beendet, so kann entschieden werden, ob
die Prozesse, die er gestartet hat, mit beendet werden sollen oder nicht.
14.1.2
Kleine, nicht
kurze Prozesse
Und was ist ein Thread?
Der Wechsel zwischen den einzelnen Prozessen ist zwar (im Vergleich zu
manuellen Aktionen eines Benutzers) sehr schnell, verbraucht aber trotzdem noch eines an Verarbeitungskapazitt. Aus diesem Grund hat man
das Konzept der Threads (englisch fr Faden, auch als Lightweight Processes,
leichtgewichtige Prozesse bezeichnet) entwickelt. Ein Prozess kann aus mehreren Threads bestehen, die sich alle gemeinsam die dem Prozess zugeteilten Betriebsmittel (etwa Hauptspeicher) teilen. Whrend bei den Prozessen das Betriebssystem dafr sorgt, dass die einzelnen Prozesse sich nicht
gegenseitig stren, mssen Threads dies untereinander selber tun. Der
Programmierer einer Anwendung mit Threads erkauft also Schnelligkeit
mit einem hheren Aufwand bei der Entwicklung.
14.1.3
Task-Manager
Das Standardwerkzeug von Windows zur Kontrolle der laufenden Prozesse ist seit Windows NT der Task-Manager. Diese Applikation lsst sich
auf verschiedene Weisen aufrufen, ist jedoch nicht im Startmen verlinkt.
Tastenkombination (Strg)+()+(Esc) drcken
Tastenkombination (Strg)+(Alt)+(Entf) drcken und dann in der
Liste Task-Manager starten auswhlen
Mit der rechten Maustaste in einen freien Bereich der Taskleiste des Bildschirms klicken und Task-Manager starten aus dem Men auswhlen
Im Suchfeld des Startmens taskmgr eintippen
686
Was tut das System gerade?
Falls nach dem Aufruf kein Programm erscheint, kann es sein, dass der
Task-Manager minimiert im Systemtray luft. Hier kann er durch einen
doppelten Mausklick zur Anzeige gebracht werden.
14
Abbildung 14.1
Task-Manager im
Systemtray
In jeder Registerkarte werden am unteren Rand in einer Zusammenfassung die Anzahl der Prozesse, die aktuelle Auslastung der CPU und die
des physikalischen Speichers angezeigt. Steigt der Speicherwert in Richtung 100%, sollte man versuchen, entweder laufende, aber nicht bentigte
Programme zu schlieen oder den Hauptspeicher des Computers zu vergrern. Geht die CPU-Auslastung in diese Richtung, kann man nur versuchen, nicht bentigte Prozesse zu beenden. Bei den wenigsten Systemen
wird es mglich sein, eine weitere oder eine schnellere CPU einzubauen.
Sofern der Task-Manager ohne Titelleiste und Men angezeigt wird,
stellt ein Doppelklick in das Fenster auf einen freien Bereich den normalen Zustand wieder her. Ein Doppelklick auf den freien Bereich in
Hhe der Laschen der Registerkarten lsst Titelleiste und Men wieder verschwinden.
Es kann auch sein, dass der Task-Manager nicht erscheint beziehungsweise beim Versuch, ihn ber seinen Namen zu starten, eine Fehlermeldung erscheint.
Abbildung 14.2
Task-Manager deaktiviert?
Dieses Verhalten wird ber eine Richtlinie gesteuert. Wahlweise knnen

Sie im Bereich Benutzerkonfiguration/Administrative Vorlagen/System/
STRG+ALT+ENTF (Optionen) den Wert Task-Manager entfernen kontrollieren oder den Wert DisableTaskMgr in der Registry unter HLKM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System beziehungsweise sein Pendant in HKCU berprfen.
ber die Menfunktion Optionen/Immer im Vordergrund kann erreicht
werden, dass der Task-Manager unter allen Umstnden vor jedem
anderen Fenster auf dem Bildschirm dargestellt wird.
687
Registerkarte Anwendungen
Nach dem Aufruf des Task-Managers sind sechs Registerkarten erkennbar.
Beim ersten Aufruf wird die Registerkarte Anwendungen angezeigt, ansonsten die zuletzt dargestellte.
Abbildung 14.3
Task-Manager
Registerkarte
Anwendungen
Auf der Registerkarte Anwendungen werden alle Prozesse des aktuellen

Benutzers angezeigt, die auch tatschlich ein Fenster auf dem Desktop anzeigen. Nicht jedes Fenster bekommt jedoch einen eigenen Eintrag auf dieser
Registerkarte. Beispielsweise tauchen alle Minianwendungen nicht auf.
In manchen Fllen kann es vorkommen, dass der Prozess, der die Oberflche des Desktops darstellt, beendet wird oder abstrzt. Erkennbar ist
dies daran, dass weder Taskleiste noch Desktop-Symbole angezeigt
werden. Rufen Sie in diesem Fall den Task-Manager per Tastenkombination auf, und starten Sie ber die Schaltflche Neuer Task den Prozess
explorer.exe neu.
Sofern oben in der Auflistung eine Anwendung selektiert wurde, kann
mit der Schaltflche Task beenden die Anwendung zwangsweise beendet
oder mit Wechseln zu die Anwendung in den Vordergrund geholt werden.
ber das Kontextmen der einzelnen Anwendungen sind noch mehr
Aktionen mglich:
Wechseln zu Die ausgewhlte Anwendung wird zur aktiven Anwendung gemacht.
In den Vordergrund Die ausgewhlte Anwendung wird zur aktiven
Anwendung gemacht und ber allen anderen Fenstern auf dem Desktop angezeigt.
Minimieren und Maximieren Das Fenster der Anwendung wird entsprechend behandelt. Dies funktioniert aber nur, wenn die Anwendung auch die betreffende Darstellungsart untersttzt. Eine rein als
Dialog konzipierte Anwendung (zum Beispiel calc.exe) wird beispielsweise das Kommando Maximieren nicht umsetzen knnen.
688

berlappend, Untereinander und Nebeneinander Selektieren Sie zunchst
14
eine Anwendung und dann weitere Anwendungen dazu, indem Sie

dabei die (Strg)-Taste gedrckt halten. Dann knnen Sie mit diesen
Optionen die Fenster wie gewnscht anordnen, sodass sie den kompletten Bildschirm ausfllen. Werden vier Applikationen auf diese
Weise ausgewhlt, so werden diese in einem 2*2-Muster angeordnet.
Dies funktioniert nur mit Applikationen, die in variabler Fenstergre
dargestellt werden knnen.
Task beenden Die Anwendung wird beendet.
Abbilddatei erstellen Nur fr Entwickler interessant. Vom laufenden
Programm wird ein Speicherabbild angefertigt, das sich mit einem
Debugger analysieren lsst.
Zu Prozess wechseln Der Task-Manager wechselt zur Registerkarte Prozesse und selektiert dort den zur Anwendung zugehrigen Prozess.
Registerkarte Prozesse
Auf der Registerkarte Prozesse erkennt man zum einen mehr laufende Programme als auf der Registerkarte Anwendungen, zum anderen kann man
hier auch genauere Informationen ber die einzelnen Prozesse bekommen.
Abbildung 14.4
Prozesse eines
Benutzers
Standardmig werden hier nur die Prozesse des jeweils angemeldeten Wer spielt schon
Benutzers angezeigt, da die Anzeige von Prozessen anderer Benutzer even- wieder Freecell?
tuell ein Sicherheitsrisiko sein knnte. Nur ein administrativer Benutzer
kann deshalb ber die Schaltflche Prozesse aller Benutzer anzeigen auch
fremde Prozesse sehen. In diesem Fall erscheinen mehr Prozesse im Fenster, und man kann die Einstellung ber ein Kontrollkstchen am unteren
Rand beeinflussen.
Im Vergleich zwischen Abbildung 14.4 und Abbildung 14.5 kann man
erkennen, dass es auf dem System auer dem gerade aktiven Benutzer
jochenr-admin noch Prozesse gibt, die unter dem SYSTEM-Account oder
unter dem Account user1 laufen, manche Programme (etwa cmd.exe) laufen mehrfach, manche (etwa explorer.exe) laufen mehrfach mit unterschiedlichen Benutzernamen.
689
Abbildung 14.5
Prozesse aller
Benutzer
In der Standardeinstellung zeigt der Task-Manager hierbei den Namen des

ausgefhrten Programms (Abbildname), den Benutzeraccount, mit dem
der Prozess luft, die aktuelle Auslastung des Prozessors fr den Prozess,
die Gre des vom Programm belegten Arbeitsspeichers (Programmgre
und Datengre zusammen) sowie eine Beschreibung des Programms an.
Der Eintrag Leerlaufprozess bezeichnet keinen realen Prozess, sondern
dient nur als Platzhalter dafr, dass die CPU-Auslastung insgesamt
auf 100 % kommt. Solange noch Leerkaufzeit angezeigt wird, ist der
Computer mit seinen laufenden Programmen nicht ausgelastet.
ber das Men Ansicht kann die Anzeige aktualisiert beziehungsweise
die automatische Aktualisierung kontrolliert werden. Mit der Menfunktion Spalten auswhlen knnen weitere Spalten zur Anzeige hinzugefgt
werden, die folgende Tabelle erlutert, welche Informationen angezeigt
werden knnen.
Spalte
Bedeutung
PID (Prozess-ID, Process Identifier)
Eine Nummer, die jeden Prozess auf dem System eindeutig

identifiziert.
Benutzername (User Name)
Name des Benutzers, unter dessen Kennung der Prozess luft
Sitzungskennung (Session ID)
Jeder Benutzer, der sich am System anmeldet, erhlt eine

eindeutige Sitzungskennung.
CPU-Auslastung (CPU Usage)
Prozentualer Anteil an der Auslastung der CPU
CPU-Zeit (CPU Time)
Zeit, die der Prozess seit seinem Start an CPU-Nutzung verbraucht hat, in Sekunden
Arbeitsspeicher Arbeitssatz
(Memory Working Set)
Gre des Speichers bestehend aus privatem Speicher des

Prozesses zusammen mit der Gre des Speichers, den der
Prozess sich mit anderen Prozessen teilen kann
Arbeitspeicher Spitzenarbeitssatz Maximalwert, den der obige Wert hchstens whrend der
(Memory Peak Working Set)
gesamten Laufzeit erreicht hat.
Tabelle 14.1: Spalten im Task-Manager
690
Spalte
Bedeutung
Arbeitsspeicher Arbeitssatzdelta
(Memory Working Set Delta)
Wert, um den sich Arbeitsspeicher Arbeitssatz seit der

letzten Aktualisierung verndert hat
Arbeitsspeicher Privater Arbeitssatz (Memory Private Working Set)
Gre des privaten Speichers, der nur zur Verwendung dieses Prozesses vorgesehen ist
Arbeitsspeicher Zugesicherte
Gre (Memory Commit Size)
Gre des Arbeitsspeichers, der fr diesen Prozess reserviert wird.
Arbeitsspeicher Ausgelagerter
Pool (Memory Paged Pool)
Gre des zugewiesenen Speichers eines Prozesses, der auf

einen virtuellen Speicher (Pagefile) ausgelagert werden kann
Arbeitsspeicher Nicht ausgelager- Gre des zugewiesenen Speichers eines Prozesses, der nicht
ter Pool (Memory non Paged Pool) auf einen virtuellen Speicher ausgelagert werden kann
Seitenfehler (Page Faults)
Zhlt seit des Start des Prozesses, wie oft beim Zugriff auf
einen Speicherbereich dieser erst aus dem virtuellen Speicher nachgeladen werden musste
Seitenfehlerdelta (Page Fault Delta) Gibt die Differenz des obigen Werts seit der letzten Aktualisierung an
Basisprioritt (Base Priority)
Gibt die Prioritt an, mit der der Prozess ausgefhrt wird.
Die mglichen Werte sind Echtzeit, Hoch, Hher als Normal, Normal, Niedriger als Normal und Niedrig.
Handles
Die Oberflche eines Programms besteht aus Objekten wie

etwa Dialogfeldern, Schaltflchen oder Bildern. Dieser Zhler gibt an, wie viele solcher Objekte ein Prozess angefordert hat.
Threads
Gibt an, aus wie vielen Threads ein Prozess besteht
BENUTZER-Objekte (USER Objects)
Gibt die Anzahl der vom Prozess angeforderten Benutzerobjekte (Mauszeiger, Symbol, Mens ) an
GDI-Objekte (GDO Objects)
Gibt die Anzahl der vom Prozess angeforderten GDUI-Objekte

(Bitmaps, Zeichenpinsel, Zeichenstze, Farbpaletten ) an
E/A Lesen (I/O Reads), E/A Schreiben (I/O Writes) und E/A Andere
(I/O Other)
Gibt die Anzahl der Vorgnge an, bei denen mit Dateien,
Netzwerken und Gerten Daten gelesen, geschrieben oder
sonstige Aktionen durchgefhrt werden. Ein-/Ausgabe auf
die Konsole werden nicht gezhlt.
E/A-Bytes Lesen (I/O Read Bytes), E/A- Gibt die Summe der Bytes an, die bei den jeweiligen OperaBytes Schreiben (I/O Write Bytes) und tionen verarbeitet wurden
E/A-Bytes Andere (I/O Other Bytes)
Abbildpfadname (Image Path Name) Gibt den kompletten Pfad zum laufenden Programm auf
der Festplatte an
Befehlszeile (Command Line)
Gibt die Befehlszeile des Prozesses (Aufrufparameter) an
Virtualisierung der Benutzerkontensteuerung (Virtualization)
Gibt den Status der UAC-Steuerung fr diesen Prozess an.

Mgliche Werte sind Aktiviert, Deaktiviert und Nicht zugelassen.
Beschreibung (Description)
Gibt eine Beschreibung des laufenden Prozesses an. Der Wert

wird aus der Beschreibung der EXE-Datei entnommen.
(Data Execution Prevention)
Gibt an, ob der Prozess mit der Sicherungsmethode DEP

abluft (siehe den Kapitel 13).
Tabelle 14.1: Spalten im Task-Manager (Forts.)
691
14
Wie gewohnt lsst sich die Tabellendarstellung durch einen Klick auf
einen Spaltenkopf nach der jeweiligen Spalte sortieren. Ein erneuter Klick
kehrt die Sortierung um. Eine detaillierte (englischsprachige) Erklrung
zum Themenkreis Handles und Objekte findet Sie unter [HAND].
ber das Kontextmen der rechten Maustaste lassen sich einzelne auf
den jeweiligen Prozess bezogene Aktionen auslsen:
Dateipfad ffnen Es wird ein Explorer-Fenster geffnet, das den Ordner anzeigt, in dem die betreffende ausfhrbare Datei zu finden ist.
Prozess beenden, Prozessstruktur beenden Der aktuelle Prozess wird
beendet, der zweite Befehl beendet sowohl den Prozess als auch alle
Prozesse, die von diesem Prozess aus erzeugt wurden.
Debug Sofern ein Debugger auf dem System installiert wurde, kann
dieser die Kontrolle ber den Prozess bernehmen. Nur fr Entwickler von Interesse.
UAC-Virtualisierung Erlaubt die Kontrolle ber die UAC-Einstellungen. Wird nur fr Entwickler empfohlen.
Abbilddatei erstellen Wie die gleichnamige Funktion auf der Registerkarte Anwendungen.
Prioritt festlegen Gibt die Kontrolle darber, wie schnell das System
einen Prozess bearbeitet. Man wird aber bei der Anwendung davor
gewarnt, dass diese nachtrgliche nderung die Systemstabilitt beeinflussen kann. Hier sollte man besser im Befehlszeilenfenster den Befehl
start mit seinen entsprechenden Optionen verwenden.
Zugehrigkeit festlegen Auf einem System mit mehreren CPUs kann
bestimmt werden, welche CPU diesen Prozess ausfhren drfen.
Eigenschaften Wechselt zur Eigenschaftsseite der jeweiligen ausfhrbaren Datei.
Zu Dienst(en) wechseln Sofern der ausgewhlte Prozess einem Windows-Dienst entspricht, wird die Registerkarte Dienste aufgerufen,
und die zugehrigen Dienste werden selektiert.
Registerkarte Dienste
Auf der Registerkarte Dienste erhlt man Informationen ber die aktuell auf
dem System definierten Dienste und deren aktuellen Status. ber das Kontextmen kann man die Dienste starten und stoppen sowie auf der Registerkarte Prozesse den zugehrigen Prozess selektieren. Dies ist besonders interessant, weil viele Dienste von dem generischen Programm svchost.exe aus
kontrolliert werden. Zudem kann man noch sehen, zu welcher Dienstgruppe ein Dienst gehrt. Alle Dienste einer Gruppe werden durch den gleichen Aufruf gestartet.
692

Abbildung 14.6
Registerkarte
Dienste
Mit der Schaltflche Dienste kann man das zugehrte Applet Dienste der
Systemsteuerung aufrufen.
Im Task-Manager entspricht die Spalte Beschreibung der Spalte Name in
der Systemsteuerung, die Spalte Name des Task-Managers entspricht
der Information Dienstname, wenn man in der Systemsteuerung die
Eigenschaften eines Dienstes aufruft.
ber das Men Ansicht oder die Taste (F5) kann die Anzeige aktualisiert
werden.
Registerkarte Leistung
Auf der Registerkarte Leistung sieht man im oberen Teil eine grafische
Darstellung der aktuellen Systemaktivitt: links die Gesamtdarstellung,
rechts die Darstellung der einzelnen Prozessorkerne separat. Je mehr
Kerne und Prozessoren das System hat, umso mehr einzelne Fenster werden dargestellt. Interessiert man sich nur fr die Gesamtdarstellung,
kann man dies ber die Menfunktion Ansicht/CPU-Verlauf einstellen.
Dort kann man ebenfalls mit der Einstellung Kernel-Zeiten anzeigen kontrollieren, ob die Zeiten, welche die CPU im eigentlichen Betriebssystemkern verbringen, angezeigt werden sollen oder nicht. Ansonsten beziehen
sich die Diagramme nur auf Zeiten, die die CPU fr Benutzerprogramme
aufwendet.
Im unteren Diagramm sieht man die Auslastung des Speichers. Hier kann
eine ansteigende Kurve auf ein Problem mit einem Programm hindeuten,
das Speicher vom Betriebssystem anfordert, aber nicht wieder freigibt.
693
14
Abbildung 14.7
Registerkarte Leistung (mit KernelZeiten)
Reale Daten
bitte!
Im Gegensatz zum Task-Manager unter Windows XP zeigt er bei Windows Vista und Windows 7 die Auslastung des tatschlich real vorhandenen (physikalischen) Speichers an, nicht mehr die Nutzung der Summe
aus realem und virtuellem Speicher (Pagefile). Im Feld Physikalischer Speicher unterhalb der Diagramme werden vier Werte prsentiert: Alle hier
aufgelisteten Speichergren verstehen sich als Angabe in MB.
Insgesamt Die maximale Gre des von Windows 7 nutzbaren Speichers. Dies kann weniger sein als tatschlich vorhandener Speicher!
Im Beispiel hier sind im System zwar 4 GB Speicher eingebaut, davon
knnen jedoch in der 32-Bit-Version des Betriebssystems nur etwas
ber 3 GB genutzt werden.
Im Cache Wie viel des belegten Speichers knnen gegebenenfalls aus
dem realen Speicher in den virtuellen Speicher verlagert werden?
Verfgbar Gibt an, wie viel des vorhandenen physikalischen Speichers
noch von Programmen genutzt werden kann. Ergibt zusammen mit
dem Wert, der im Feld Arbeitsspeicher unter der Balkenanzeige dargestellt wird, den Wert Insgesamt.
Frei Gibt an, wie viel vom verwendeten virtuellen Speicher aktuell
keine Informationen enthlt.
Im Feld Kernel-Speicher findet sich die Angabe, wie viel Speicher das Betriebssystem selbst bentigt, aufgeteilt in Speicher, der aktiv genutzt wird (Nicht
ausgelagert), und Speicher, der im virtuellen Speicher belegt ist (Ausgelagert).
Was Prozesse so
alles brauchen
Auf der rechten Seite im Feld System finden sich Sammelangaben ber die
Anzahl der genutzten Handles und die Anzahl der aktiven Prozesse und
Threads. Aus den Angaben kann man ersehen, dass im Durchschnitt
jeder Prozess aus etwa zehn Threads besteht.
Die Angabe Zugesichert (englisch Commit) zeigt zwei Werte: wie viel Speicher aktuell real und virtuell zusammen genutzt wird und wie viel Speicher aktuell in realem Speicher und virtuellem Speicher zusammen vorhanden sind. Aus der Differenz der Angaben Zugesichert Gesamt (in der
694
Abbildung 14.7 6.131 MB) und Physikalischer Speicher Insgesamt (3.066 MB)
ergibt sich eine aktuelle Gre des virtuellen Speichers (Pagefile) von
3.065 MB.
14
Mit der Schaltflche Ressourcenmonitor kann die entsprechende Anwendung aufgerufen werden (siehe hierzu den Abschnitt 14.5 ab Seite 720).
Registerkarte Netzwerk
Auf der Registerkarte Netzwerk kann man die Auslastung der einzelnen
Netzwerkadapter des Systems ersehen. In Abbildung 14.8 kann man ersehen,
dass das System zwei Netzwerkadapter enthlt (Drahtlosnetzwerkverbindung und LAN-Verbindung), von denen aber nur die WLAN-Verbindung
aktuell genutzt wird. Die Darstellung der Graphen wird automatisch skaliert, sodass der maximale Wert optimal dargestellt wird. Als Standard wird
die Summe aus gesendeten und empfangenen Daten fr die Darstellung
genommen. Optional knnen ber das Men Ansicht/Netzwerkadapterverlauf auch Kurven fr beide Datenrichtungen getrennt angezeigt werden. In
der Tabelle unter den Kurven knnen verschiedene statistische Daten ber
die Netzwerkverbindung angezeigt werden. Auch hier lassen sich ber die
Menfunktion Ansicht/Spalten auswhlen weitere Spalten hinzufgen.
Besonders die Spalten Gesendete Bytes und Empfangene Bytes sind fr
diejenigen Benutzer interessant, deren System aktuell eine Internetanbindung nutzen, bei der der verbrauchte Datentransfer nach Volumen abgerechnet wird.
Abbildung 14.8
Netzwerkauslastung
ber die Menfunktion Optionen/Zurcksetzen knnen die Zhler fr den

Datentransfer wieder auf null gesetzt werden, etwa wenn man nur die
Datenmenge einer bestimmten Aktion messen will. Mit der Funktion
Option/Kumulative Daten anzeigen lsst sich einstellen, dass die Werte seit
dem Start des Systems angezeigt werden. Ansonsten werden die Werte
seit Start des Task-Managers angezeigt.
695
Registerkarte Benutzer
Auf der Registerkarte Benutzer kann man ersehen, ob sich noch andere
Benutzer angemeldet haben, etwa indem man im Startmen die Aktion
Benutzer wechseln ausgefhrt hat, um mit einem anderen Benutzerkonto
weiterzuarbeiten, ohne sich selbst abzumelden.
Abbildung 14.9
Verschiedene Benutzer auf einem einzelnen System
Arbeiten darf
hier nur einer!
Auf einem System, auf dem kein Serverbetriebssystem installiert ist, wird
immer nur ein Benutzer den Status Aktiv erhalten, die anderen Benutzer
werden whrenddessen getrennt. ber die Menfunktion Optionen/Vollstndigen Kontonamen anzeigen kann statt des einfachen Benutzernamens
der Benutzername zusammen mit der vorangestellten Anmeldedomne
angezeigt werden. Diese Option ist allerdings nur bei Domnennetzwerken sinnvoll verwendbar.
Die Spalte Clientname wird nur verwendet, wenn die Sitzung ber einen
Terminaldienst von einem anderen System aus aufgebaut wurde. In der
Spalte Sitzung steht dann nicht mehr Console, sondern RDP (Remote Desktop Protocol), siehe hierzu auch Kapitel 8.
Im Kontextmen der einzelnen Benutzer sind folgende Aktionen mglich:
Nachricht senden Erlaubt es, ein Popup-Meldungsfenster auf dem
Bildschirm des anderen Benutzers anzuzeigen.
Verbinden Erlaubt es, eine Verbindung mit der Sitzung des Benutzers
herzustellen. Hierzu wird das Kennwort des jeweiligen Benutzers
bentigt, und der Task-Manager muss mit administrativen Berechtigungen gestartet worden sein.
Trennen Die Sitzung des Benutzers wird getrennt, auf einem Einzelsystem kann sich dann ein anderer Benutzer anmelden.
Abmelden Alle laufenden Programme des Benutzers werden beendet, seine Sitzung beendet.
Remotesteuerung Ist nur auf Systemen verfgbar, an denen mehrere
Benutzer parallel arbeiten knnen. Hiermit kann erreicht werden,
dass zwei Benutzer den gleichen Desktop kontrollieren knnen.
696
14.1.4
Process Explorer
14
Das Programm Process Explorer stammt aus der Sammlung von Sysinternals und ist aktuell in Version 11.33 erschienen. Das Programm bietet deutlich detailliertere Informationen ber die einzelnen Prozesse auf dem System. Als Erstes fllt auf, dass die einzelnen Prozesse so angeordnet sind,
dass klar wird, welcher Prozess welche anderen Prozesse gestartet hat. In
Abbildung 14.10 kann man beispielsweise erkennen, dass der Prozess explorer.exe (PID 4092) den Prozess cmd.exe (PID 932) und der wiederum den
Prozess calc.exe (PID 2320) gestartet hat. Dies ist ein wesentlicher Unterschied zum Task-Manager, in dem man die PPID (Parent Process-ID, ID des
Vaterprozesses) nicht anzeigen lassen kann.
Abbildung 14.10
Prozessbume
ber das Men View/Select Columns kann man wie im Task-Manager zustzliche Informationen zu den einzelnen Prozessen anzeigen lassen, wobei hier
noch zustzliche Informationen mglich sind, etwa spezielle Informationen
ber die Laufzeitumgebung einer .NET Framework-Anwendung.
Die Anordnung der Spalten kann man in einer separaten Datei ber den
Befehl View/Save Column Set abspeichern und so mehrere angepasste
Ansichten definieren, zwischen denen man schnell wechseln kann.
ber die Menfunktion View/Show Lower Pane oder die Tastenkombination
(Strg)+(L) kann ein zweiter Anzeigebereich zugeschaltet werden, in dem
man beispielsweise eine Auflistung ber alle vom oben selektierten Prozess geladenen Zusatzmodule (.dll-Dateien) sichtbar machen kann.
697
Abbildung 14.11
DLLs und andere
Komponenten, die
von einem Prozess
geladen werden
nderungen an den Prozessen und spezielle Prozesstypen werden farbig

codiert angezeigt. Zudem bleiben beispielsweise beendete Prozesse noch
eine gewisse Zeit auf dem Bildschirm stehen, bevor sie verschwinden.
Alle diese Darstellungsoptionen knnen ber das Men Options eingestellt werden. Zudem kann dort mit dem Befehl Replace Task Manager nach
einer UAC-Abfrage der Process Explorer dauerhaft den eingebauten
Task-Manager ersetzen.
Das Men Process

Prozesse
manipulieren
Mit dem Men Process kann man zum einen all jene Aktionen mit einem
Prozess durchfhren, die man auch im Task-Manager durchfhren kann.
Zum anderen sind aber noch weitere Aktionen mglich. Mit den Befehlen
im Untermen Window kann das Fenster des Prozesses manipuliert werden. Der Befehl Restart schliet den aktuellen Prozess und startet ihn
erneut, wobei sich natrlich die Information ber die PPID ndert. Mit
dem Befehl Suspend kann man einen laufenden Prozess anhalten, sodass
er nicht weiter luft, ohne ihn gleich zu beenden. Bei einem gestoppten
Prozess kann entsprechend der Befehl Resume verwendet werden, um ihn
wieder fortzusetzen.
Mit dem Befehl Properties oder einem Doppelklick auf den Prozess in der
Auflistung erhlt man ein Dialogfeld mit weiteren Informationen ber
den gewhlten Prozess angezeigt.
698

Abbildung 14.12
Details ber einen
Prozess
Das Men Find und der Befehl Find Window

Im Process Explorer gibt es zwei Mglichkeiten, Informationen suchen zu
lassen. Mit dem Menbefehl Find/Find Handle or Dll oder dem FernglasSymbol in der Symbolleiste unterhalb der Menleiste kann man zu dem
Namen einer DLL oder eines Handles alle Prozesse anzeigen lassen, die
diese Komponente aktuell verwenden. Mit dem Fadenkreuz-Symbol rechts
neben dem Fernglas kann man den Prozess suchen, der fr die Darstellung
eines Fensters auf dem Bildschirm zustndig ist. Hierzu ziehen Sie einfach
das Fadenkreuz mit der gedrckten Maustaste auf das entsprechende
Fenster. Sobald die Maus losgelassen wird, ist der entsprechende Prozess
im Process Explorer selektiert.
Die Funktion Systeminformationen

Am oberen Rand des Fensters werden vier kleine Anzeigen fr die CPUAuslastung, die Speichernutzung, den E/A-Datentransfer und den physikalischen Speicher angezeigt. Falls das Fenster nicht gro genug ist,
werden sie mglicherweise nur teilweise abgebildet. Per Doppelklick auf
die Grafiken, die Tastenkombination (Strg)+(I) oder den Befehl View/
System Information wird eine weitere Gesamtsicht auf die Auslastung des
Systems angezeigt.
Fhrt man mit der Maus ber die Graphen fr CPU oder I/O, wird in Schwebende
einem Popup-Fenster angezeigt, welcher Prozess zurzeit die meisten Res- Zwischeninfos
sourcen verbraucht hat.
699
14
Abbildung 14.13
Systeminformationen im Process
Explorer
14.1.5
Prozesse und die Befehlszeile
Die Programme Task-Manager und Process Explorer zeigen immer nur

Informationen ber das eigene System an. Mchte man aber wissen, welche Prozesse auf einem anderen System laufen, kann man auf Programme in der Eingabeaufforderung ausweichen.
tasklist.exe
Das Programm tasklist.exe gehrt zu Windows 7 und kann bei der Ausgabe Filter verwenden, um die angezeigten Informationen zu selektieren.
Dies erleichtert die Konzentration auf das Wesentliche.
Listing 14.1
Anwendung von
tasklist.exe
>tasklist /s 192.168.0.200
Geben Sie das Kennwort fr
Abbildname
PID
================= ========
TrustedInstaller.exe 804
/u contoso\adm /FI "MEMUSAGE gt 20048"

contoso\adm ein:********
Sitzungsname Sitz.-Nr. Speichernutzung
============ =========== ===============
0
162.876 K
Hier im Beispiel wurde ein anderes System mit der Adresse 192.168.0.200
angefragt. Da das lokale System dort nicht bekannt ist, musste mit dem
Parameter /u ein Benutzername contoso\adm mitgegeben werden. Da das
Kennwort nicht beim Aufruf bergeben wurde, erfolgte eine Abfrage
danach. Als Filter fr die Ausgabe wurde festgelegt, dass die Gre des
belegten Speichers groer als 20.048 KB sein soll. Der Befehl untersttzt
eine ganze Reihe verschiedener Filterkriterien (siehe hierzu die OnlineHilfe des Befehls). Auer der Tabellenform wird auch die Ausgabe in Listenform und als CSV-Datei untersttzt. Letzteres ist besonders dann interessant, wenn man die Ausgabe des Befehls zum Beispiel in Excel weiter
verarbeiten will.
700
taskkill.exe
Das Programm taskkill.exe dient nicht dazu, ein System zu berwachen, Kurzer Prozess
sondern kann mit den gewonnenen Informationen dazu genutzt werden,
Prozesse auf eigenen und fremden Systemen zu beenden. Wie sein Partner tasklist.exe untersttzt es auch Filter, sodass im Gegensatz zu den grafischen Tools auch mehrere Prozesse durch einen gemeinsamen Filter
zusammen bearbeitet werden knnen. Klar ist, dass man entsprechende
Berechtigungen auf dem Prozess bentigt, sofern man fremde Prozesse
beenden will.
pslist.exe und pskill.exe

Die Programme pslist.exe und pskill.exe gehren zur Sammlung PsTools von
Sysinternals. hnlich dem Process Explorer knnen mit pslist.exe auch sehr
detaillierte Informationen ber die einzelnen Prozesse dargestellt werden,
sowohl auf dem eigenen oder auf fremden Systemen. Hier ist es auch mglich, Informationen zu den einzelnen Threads eines Prozesses anzeigen zu
lassen.
>pslist -e calc -x
pslist v1.28 Sysinternals PsList
Copyright 2000-2004 Mark Russinovich
Sysinternals
Process and thread information for WIN7LAP:
Name
calc
Tid Pri
3840 10
3580 10
808 15
Listing 14.2
Selbst ein simpler
Taschenrechner
besteht aus drei
Threads.
Pid Pri Thd Hnd Priv

CPU Time
Elapsed Time
3040 8 3 72 5432
0:00:00.405 69:27:11.612
VM
WS
Priv Priv Pk Faults NonP Page
72156
5364
5432
5560 4737 6 134
Cswtch State
User Time Kernel Time Elapsed Time
179457 Wait:UserReq 0:00:00.124 0:00:00.265 69:27:11.612
5381 Wait:UserReq 0:00:00.000 0:00:00.015 69:27:11.550
43 Wait:UserReq 0:00:00.000 0:00:00.000 69:27:11.519
Im Status des Prozesses calc.exe in Listing 14.2 kann man erkennen, dass
dieser vor gut 69 Stunden gestartet wurde, aber bislang gerade einmal
124 Millisekunden im ersten Thread tatschlich gearbeitet hat (Spalte User
Time). In dieser Zeit wurde dem Thread 179457-mal von der Prozesssteuerung des Systems Rechenzeit zugeteilt. Alle drei Threads der Anwendung
sind im Status Wait:UserReq, erwarten also eine Eingabe des Benutzers.
Mit dem Befehl pskill.exe kann man laufende Prozesse beenden. Hier lsst
sich entweder die PID oder der Name des Prozesses angeben.
Bei all den Befehlen, die andere Systeme abfragen oder kontrollieren,
mssen natrlich die entsprechenden Zugriffswege auf das System offen
sein. Mglicherweise muss also vorher die Firewall entsprechend berprft werden.
701
14
14.2 Ereignisse kontrollieren

Sobald im Betrieb eines Computersystems Fehler auftreten, kommt die
Frage nach Protokollen des Systems so sicher wie das Amen in der Kirche.
Whrend andere Systeme solche Protokolle in Form von Klartextdateien
mehr oder weniger detailliert aufschlsseln, verwendet Windows 7 ein
bereits mit Windows NT eingefhrtes System der binren Speicherung von
Ereignissen.
14.2.1
Wie charakterisiert man ein Ereignis?
Als Ereignis (englisch Event) bezeichnet man einen zusammengehrigen

Satz von Daten, der einen bestimmten Systemzustand bezeichnet. Diese
Daten werden gewhnlich in einem Ereignis gesammelt:
Auf welchem System fand das Ereignis statt? Dies ist dann von Interesse, wenn Ereignisse von mehreren Systemen an einer Stelle gesammelt und ausgewertet werden.
Zu welchem Zeitpunkt (Uhrzeit und Datum) fand es statt? Auf diese
Weise kann man Kausalketten von Ereignissen bilden, indem man
feststellt, welches von denen zuerst stattfand.
Welche Komponente des Systems hat diesen Zustand festgestellt?
Dies ist insbesondere dann wichtig, wenn man bei einer Strung die
Ursache beseitigen will.
Welche Schwere hat dieses Ereignis? Hier wird gewhnlich nach den
Zustnden Information, Warnung, Fehler und Kritisch unterschieden.
Sofern es sich um Ereignisse mit Bezug zu Sicherheit handelt, knnen
auch die Klassen erfolgreiche und fehlerhafte Sicherheitsberwachung auftreten. Der Unterschied zwischen Fehler und Kritisch besteht darin, dass
ein Fehler noch eine automatische Reaktion ermglicht, whrend ein
kritisches Ereignis unbedingt den Abbruch der Aktion zur Folge hat.
Welcher Benutzeraccount hat mit dem Ereignis zu tun?
Weitere Informationen wie etwa detaillierte Angaben zu den Komponenten, welche das Ereignis ausgelst haben.
Windows speichert die Ereignisse in unterschiedlichen Protokollen, hier
werden Windows-Protokolle und Anwendungs- und Dienstprotokolle unterschieden. Die Windows-Protokolle waren auch schon in den frheren
Versionen von Windows (seit Windows NT) vorhanden:
Anwendung Ereignisse, die von Applikationsprogrammen herrhren, sowohl von Microsoft als auch von Drittanbietern.
Security Ereignisse, die im Zusammenhang mit Sicherheit stehen.
Installation Ereignisse im Zusammenhang mit Softwareinstallationen, in frheren Windows-Versionen wurden diese noch im Anwendungsprotokoll gespeichert.
System Ereignisse im Zusammenhang mit den Kernkomponenten
von Windows.
702
Die Ereignisanzeige
Weitergeleitete Ereignisse sind erst seit Windows Vista hinzugekommen

und enthalten Ereignisse, die von anderen Systemen zu diesem System
umgeleitet wurden.
14
Zustzlich zu diesen Protokollen existieren noch individuelle Anwendungsund Dienstprotokolle, die nun alle die Eintrge ihrer speziellen Anwendung
aufnehmen, die sich in den vorigen Versionen von Windows noch im
Anwendungs- oder Systemprotokoll fanden und dort oftmals zu einer
recht undurchsichtigen Ansammlung von Ereignissen gefhrt hatten.
14.3 Die Ereignisanzeige

Das Hauptwerkzeug zur Arbeit mit Ereignissen ist die Ereignisanzeige. Wer tat was wo
warum?
Diese lsst sich ber verschiedene Wege aufrufen:
Der Eintrag Verwalten im Kontextmen des Eintrags Computer im Startmen und ebendort im Baum unter Computerverwaltung/System/Ereignisanzeige.
Der Eintrag Ereignisanzeige unter Systemsteuerung/System und Sicherheit/Verwaltung.
Der Aufruf von eventvwr im Startmen.
Die erste Variante erfordert eine UAC-Abfrage, erlaubt dann aber auch
nichtadministrativen Benutzern den Zugriff auf das Protokoll Security. Fr
normale Benutzer ist der Zugriff auf dieses Protokoll aus Grnden der
Sicherheit nicht gestattet.
In der Startansicht erhlt man eine Zusammenfassung ber den Status
des Systems:
Abbildung 14.14
Startansicht der
Ereignisanzeige
703
Im mittleren Teil erkennt man oben eine bersicht ber die einzelnen
Protokolle mit einer Zusammenfassung, wie viele Ereignisse der betreffenden Schwere in denen einzelnen Protokollen in der letzten Stunde, in
den letzten 24 Stunden und in den letzten sieben Tagen notiert wurden.
Im unteren Teil kann man ersehen, wie gro die einzelnen Protokolle sind
und wie viel Platz davon aktuell schon belegt ist.
14.3.1
Neues System,
neues Format,
neuer Ort
Lage und Gre der Protokolle
Bisher lagen die Dateien der Ereignisprotokolle im Verzeichnis %systemroot%\system32\config und hatten die Erweiterung .evt. Bei Windows Vista
und Windows 7 wurde die Erweiterung auf .evtx gendert, und die Dateien
wurden in das Verzeichnis %systemroot%\system32\winevt\Logs verlegt. Bei
einem recht frischen System liegen da dann schon einmal etwa 130 Dateien,
der Zugriff auf das Verzeichnis ist nur einem administrativen Benutzer
erlaubt.
Windows unterscheidet in der Darstellung und Verwendung zwischen
den klassischen Verwaltungsprotokollen (Anwendung, Sicherheit, Installation und System) und den Anwendungsprotokollen, die nur fr einen
speziellen Anwendungszweck geschaffen wurden. Entsprechend werden
diese auch in unterschiedlichen Bereichen der Baumstruktur im linken
Teil dargestellt.
Abbildung 14.15
Eigenschaften eines
Protokolls
704
Die Ereignisanzeige
Zu jedem Protokoll, das Sie in der Baumstruktur auf der linken Seite der
Ereignisanzeige finden, knnen Sie einstellen, wie gro das Protokoll
maximal werden kann, was passiert, wenn die maximale Gre erreicht
wird, und (bei den nicht systemrelevanten Protokollen) ob das Protokoll
berhaupt verwendet werden soll. Rufen Sie dazu einfach das Kontextmen des betreffenden Protokolls mit der rechten Maustaste oder das
Men Aktionen auf, und whlen Sie den Eintrag Eigenschaften aus.
14
Bei einigen Protokollen ist das Kontrollkstchen Protokollierung aktivieren

abgeblendet dargestellt. Diese Protokolle mssen immer vorhanden sein.
Die Gre der Protokolle ist inzwischen dem Aufkommen an Ereignissen
angemessen, bei lteren Windows-Versionen musste man hier immer
noch manuell eine Vergrerung einstellen. Falls man trotzdem die maximale Gre verndern will, kann man dies ber das entsprechende Eingabefeld erledigen. Im oberen Teil des Dialogfeldes sieht man sowohl die
aktuelle Lage der Ereignisdatei als auch ihre aktuelle Gre.
Eine Gre von 2 MB kann gut 6.000 Eintrge enthalten. Dies hngt
aber auch stark davon ab, wie viel Text zu einem Ereigniseintrag existiert.
Bei der Einstellung Volles Protokoll archivieren wird bei Erreichen der Grenze
automatisch ein neues Protokoll angelegt, das alte wird mit dem Vorsatz
Archive und einem Zeitstempel versehen im gleichen Verzeichnis wie das
originale Protokoll gespeichert. Dies kann dann beispielsweise so aussehen:
Archive-Application-2009-10-15-10-43-07-966.evtx
Diese Einstellung ist eigentlich nur fr diejenigen von Nutzen, die unbedingt sicherstellen mssen, dass keinesfalls Ereignisse zur spteren Nachverfolgung verloren gehen knnen. Diese separaten Logdateien kann man
dann spter importieren, um ihren Inhalt zu prfen (siehe den Abschnitt
14.3.3 ab Seite 708).
14.3.2
Ereignisse ansehen
Klickt man in der linken Spalte eines der Ereignisprotokolle an, erscheint
im mittleren Fensterabschnitt oben einen Auflistung aller in diesem Protokoll vorhandenen Eintrge.
Standardmig werden die Informationen Ebene (Schweregrad der Meldung), Datum und Uhrzeit, Quelle und Aufgabenkategorie angezeigt. Sortiert
wird nach dem Zeitstempel, sodass die neuesten Eintrge oben in der Liste
stehen. ber das Men Ansicht oder einen Klick der rechten Maustaste in
einen der Spaltenkpfe knnen zustzliche Spalten zur Anzeige hinzugefgt werden. Sobald man in der oberen Liste einen Eintrag anklickt, sieht
man unten die weiteren Informationen, die zu dem Ereignis gehren.
705
Abbildung 14.16
bersicht ber die
Ereignisse
ber den Link Onlinehilfe im unteren Teil der Anzeige kann man weitere Informationen zu diesem Ereignis bei [TECHNET] nachschlagen.
Dies hilft natrlich nur bei Ereignissen, die auch von Microsoft-eigenen Programmen stammen. Eine weitere Mglichkeit, Informationen
ber bestimmte Ereignisse abzurufen, bietet die Seite [EVENTID], bei
der auch Ereignisse aus Fremdanwendungen gelistet werden.
Durch den Doppelklick auf ein Ereignis wird dieses in einem eigenen
Fenster dargestellt.
Abbildung 14.17
Ein einzelnes
Ereignis
706
Die Ereignisanzeige
Mit den Schaltflchen () und () am rechten Rand des Fensters kann Schrittweise
man in der Auflistung gem der aktuell gewhlten Reihenfolge vor und schauen
zurckgehen. Mit der Schaltflche Kopieren kann man den kompletten
Inhalt des Dialogfeldes sowohl als normalen Text als auch in XML-Darstellung in die Zwischenablage bernehmen, etwa um damit in einem
Supportforum eine Diagnoseinformation zu liefern.
Protokollname: System
Quelle:
Microsoft-Windows-DistributedCOM
Datum:
13.10.2009 17:31:02
Ereignis-ID: 10006
Ebene:
Fehler
Benutzer:
Nicht zutreffend
Computer:
win7lap
Beschreibung:
DCOM hat den Fehler "2147944122" vom Computer "192.168.0.96"
erhalten, als versucht wurde, den folgenden Server zu aktivieren:
{8BC3F05E-D86B-11D0-A075-00C04FB68820}
Ereignis-XML:
<Event
xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-DistributedCOM"
Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM"
/>
<EventID Qualifiers="49152">10006</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2009-10-13T15:31:02.000000000Z" />
<EventRecordID>1957</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>System</Channel>
<Computer>win7lap</Computer>
<Security />
</System>
<EventData>
<Data Name="param1">2147944122</Data>
<Data Name="param2">192.168.0.96</Data>
<Data Name="param3">{8BC3F05E-D86B-11D0-A075-00C04FB68820}</Data>
</EventData>
</Event>
14
Listing 14.3
Ein Ereignis als
Text und in XMLAnsicht
707
Beim Posten solcher Informationen in einem ffentlichen SupportForum sollte man darauf achten, dass nicht versehentlich sensible Informationen mit verffentlicht werden. Hier ist es angebracht, etwa Rechnernamen, Benutzernamen oder IP-Adressen geeignet zu verfremden.
In der tabellarischen Auflistung der Ereignisse ist neben dem Befehl
Kopieren/Details als Text kopieren im Kontextmen auch der Befehl Kopieren/Tabelle kopieren mglich. Dieser kopiert nur die Spalten aus der Tabellenanzeige in die Zwischenablage. Bei beiden Befehlen ist es mglich, in
der Tabelle mehrere Zeilen gleichzeitig zu selektieren.
14.3.3
Import und Export
ber das Kontextmen der einzelnen Protokolle lassen sich die Ereignisse in eine externe Datei auslagern, hier sind wahlweise das native Format .evtx als auch XML oder einfache Textformate mglich. Ebenfalls ist
es mglich, bestehende Protokolldateien zu importieren. Hier ist neben
dem .evtx- auch das bisher bis Windows Server 2003 und Windows XP
verwendete .evt-Format (Legacyereignisdateien) mglich, auf diese Weise
knnen auch weiterhin frher erfasste Ereignisprotokolle ausgewertet
werden. Beim ffnen eines derartigen klassischen Ereignisprotokolls erhlt
man die Mglichkeit, dieses in das neue Format zu kopieren. Beim Export
eines Protokolls wird man gefragt, ob man Anzeigeinformationen fr
eine oder mehrere Sprachen mit hinzufgen will. Dies hat damit zu tun,
dass der Text in der Ereignisanzeige aus separaten Quellen bezogen wird,
weil in den Ereignisdateien nur Codenummern stehen. Wird nun eine
solche Ereignisdatei auf ein anderes System bertragen, das die betreffende Software nicht besitzt, so knnen auch die Texte nicht dargestellt
werden. Um diesem Problem zu begegnen, knnen die Texte zustzlich in
der Datei gespeichert werden.
Abbildung 14.18
Ereignisse und
Sprachen
708
Die Ereignisanzeige
Gestartet werden kann dieser Vorgang ber den Menbefehl Aktion/Gespei- Import und
cherte Protokolldatei ffnen beziehungsweise Aktion/Alle Ereignisse speichern Export
unter, sofern aktuell ein Protokoll selektiert ist.
14
Abbildung 14.19
Wo soll das externe
Protokoll eingebunden werden?
Die geladenen Protokolldateien bleiben dauerhaft mit dem System verbunden und werden auch nach einem Neustart erneut an der gewhlten Stelle
in der Baumstruktur angezeigt. Um sie von dort zu entfernen, muss die
Funktion Lschen verwendet werden, diese ist nicht mit der Funktion Protokoll lschen bei aktiven Protokollen zu verwechseln. Diese wrde dazu fhren, dass alle Eintrge im betreffenden Protokoll gelscht wrden.
Es war zwar mglich, das Systemprotokoll eines Rechners unter Windows XP Home problemlos zu importieren und anzusehen, der gleiche Versuch mit dem Anwendungsprotokoll schlug jedoch fehl.
14.3.4
Ansichten filtern und definieren
Um nicht von der schieren Menge als protokollierten Ereignissen berrollt zu werden, lsst sich ihre Ansicht ber Filter geeignet eingrenzen.
Filter
Seine besondere Strke kann die Ereignisanzeige dann ausspielen, wenn
nicht einzelne Protokolle einfach angezeigt werden, sondern diese Ansichten kombiniert und gefiltert werden. Im einfachsten Fall wird ein einzelnes
Protokoll gefiltert. Selektieren Sie das Protokoll in der linken Spalte, und
whlen Sie die Menfunktion Aktion/Aktuelles Protokoll filtern, oder klicken
Sie im rechten Aktionsbereich auf die entsprechende Funktion.
Whrend man bei frheren Windows-Versionen noch eine Filterung nach
Datum mhsam ber eine genaue Zeitangabe einstellen musste, kann
man hier ber das Drop-down-Feld Protokolliert schnell interessante Zeitbereiche wie Letzte Stunde oder Letzte 24 Stunden einstellen. Im Bereich
Ereignisebene lassen sich die gewnschten Ereignisschweren einstellen,
oftmals wird man hier alles auer der Stufe Informationen anhaken.
709
Abbildung 14.20
Ereignisse filtern
Unter dem Bereich Quellen knnen die einzelnen Ereignisquellen ausgewhlt werden, frher konnte man bei der Filterung immer nur eine Quelle
auswhlen, nun kann man ber die Kontrollkstchen in der Liste auch mehrere Quellen gleichzeitig filtern. Im Bereich darunter knnen die gewnschten Ereignis-IDs angegeben werden, da die einzelnen IDs aber immer von
der jeweiligen Quelle abhngen, wird man hier eher grozgig bei der Auswahl der Filterkriterien sein mssen.
Im Bereich Schlsselwrter kann man keinen eigenen Text eingeben, sondern ist auf eine Auswahl an vorgefertigten Texten angewiesen. Interessant hierbei ist, dass im Auswahlfeld die Texte in Deutsch stehen, in der
Statusleiste oberhalb der gefilterten Tabelle aber in Englisch. Betrachtet
man sich den Filter in der XML-Form durch Umschalten auf die entsprechende Registerkarte, so erkennt man, dass im Filter diese Schlsselwrter nicht auftauchen, sondern dort mit Kennzahlen gearbeitet wird.
Wer sehr komplexe Filter erstellen will, kann auf der Registerkarte
XML das Kontrollkstchen Manuell bearbeiten aktivieren. Ein XML-Filter, der einmal manuell verndert wurde, kann allerdings nicht mehr
ber die Oberflche der Registerkarte Filter bearbeitet werden.
Will man den eingestellten Filter wieder entfernen, geht dies am schnellsten,
wenn im rechten Aktionsbereich auf Filter lschen geklickt wird. Sofern das
gefilterte Protokoll in der linken Spalte selektiert ist, lassen sich ber die
Menfunktion Aktion/Gefilterte Protokolldatei speichern unter nur die von
dem aktuellen Filter angezeigten Ereignisse in eine separate Datei abspeichern. ber die Funktion Aktion/Filter in benutzerdefinierter Ansicht speichern kann aus dem aktuellen Filter eine neue Ansicht erstellt werden.
710
Die Ereignisanzeige
Ansichten
14
Eine Ansicht ist immer eine Kombination aus einer Sammlung von Ereignisquellen und einem Filter. Auf diese Weise kann man beispielsweise parallel
Ereignisse aus mehreren Protokolldateien in einer Auflistung kontrollieren.
Eine derartige Ansicht wurde schon im vorigen Abschnitt mit dem Menbefehl Aktion/Filter in benutzerdefinierter Ansicht speichern erstellt. Zustzlich kann man ber das Kontextmen der einzelnen Protokolle oder den
rechten Aktionsbereich die Funktion Benutzerdefinierte Ansicht erstellen ausfhren.
Abbildung 14.21
Benutzerdefinierte
Ansicht erstellen
Im Listenfeld Protokolle kann man aus dem dargestellten Baum alle interessanten Protokolle auswhlen. Dies ist dann hilfreich, wenn diese Ereignisse
etwa in mehreren Protokollen auftauchen knnen. Eine Kombination dieser Sammlung mit einem Filter nach Quelle innerhalb der Protokolle wird
bei der Erstellung der Ansicht nicht untersttzt. Die Filterung nach Zeit
und Ereignis-ID wird untersttzt. Einer derartigen Ansicht wird ein eigener Name gegeben, und sie wird unter dem Eintrag Benutzerdefinierte
Ansichten oben in der linken Baumansicht dargestellt. Auf diese definierte
Ansicht kann man dann wiederum einen benutzerdefinierten Filter hinzufgen, bei dem man dann nach den gewnschten Quellen filtern kann.
Die Ansicht Administrative Ereignisse ist bereits vorab definiert. Hier wer- Kurzberblick fr
den alle Ereignisse mit den Schwerewerten Warnung, Fehler oder Kritisch Administratoren
aus allen vorhandenen Protokollen zusammen dargestellt. Die Ansichten
lassen sich ber das Kontextmen oder das Men Aktion kopieren sowie
ex- und importieren. Auf diese Weise lassen sich beispielsweise Ansichten auch auf andere Systeme bertragen.
711
14.3.5
Ereignisse von anderen Systemen sammeln
Um in greren Netzwerken eine Vielzahl von Systemen zu berwachen,

bentigt der Administrator Zugriff auf die Daten dieser Systeme. Frher
musste er dazu bei jedem einzelnen System lokal nachsehen oder Programme von Drittherstellen verwenden. Seit Windows Vista ist alles besser.
Nun kann das System selber wahlweise Ereignisse von anderen Systemen
abfragen oder eigene Ereignisse zu anderen Systemen publizieren. Auf der
Seite [COLLECT] ist beschrieben, wie der Windows Event Collector im
Zusammenhang mit der Windows Remoteverwaltung arbeitet und wie er zu
konfigurieren ist. Das Problem ist dabei nur, dass es nicht so wie beschrieben funktioniert. Ob das am beschriebenen Verfahren oder an Windows 7
liegt, wird sich zeigen. Auch Suchmaschinen bieten zu dem Thema erstaunlich wenige Informationen.
14.3.6
Auf Ereignisse reagieren
Die Protokollierung von Ereignissen ist nutzlos, wenn ein Administrator

nicht auf diese Ereignisse reagiert. Hier ist es nun mglich, beim Auftreten
bestimmter Ereignisse automatisch eine Reaktion des Systems auszulsen.
Eine solche Reaktion wird Aufgabe genannt. Prinzipiell sind drei Arten von
Aktionen mglich:
Ein Programm starten
Eine E-Mail senden
Eine Nachricht auf dem Bildschirm anzeigen
Im folgenden Beispiel gehen wir davon aus, dass auf dem System fr ein
Laufwerk die Kontingentverwaltung aktiviert wurde (siehe Kapitel 6) und
in der Ereignisanzeige mitnotiert wird, sobald ein Benutzer seine Grenzen berschritten hat.
Abbildung 14.22
Ein Benutzer belegt
zu viel Platz.
712
Die Ereignisanzeige
Nun selektieren Sie das betreffende Ereignis und whlen im Men Aktio- Ein Ereignis ohne
nen oder im Kontextmen zum Eintrag den Befehl Aufgabe an dieses Ereig- Reaktion ist
nutzlos
nis anfgen aus. Es startet ein Assistent fr die Erstellung einer Aufgabe.
Abbildung 14.23
Eine Aufgabe
benennen
Der Name der Aufgabe setzt sich aus dem Protokoll, der Quelle und der
Ereignis-ID des Ereignisses zusammen. Dies kann aber beliebig abgendert
werden. Auf der nchsten Seite kann man nichts ndern, da das auslsende
Ereignis bereits feststeht. Im dritten Schritt muss ausgewhlt werden, welche Aktion durchgefhrt werden soll, wenn das Ereignis stattfindet.
Abbildung 14.24
Welche Aktion soll
ausgefhrt werden?
Hier whlen wir die Option Meldung anzeigen aus. Im Weiteren werden
dann der Text der Meldung sowie eine Zusammenfassung der Aufgabe
eingegeben. Die Mglichkeiten, die das Kontrollkstchen Beim Klicken auf
713
14
"Fertig stellen" die Eigenschaften fr diese Aufgabe ffnen bietet, werden in

Abschnitt 14.4 ab Seite 714 erlutert. Nach dem Klick auf die Schaltflche
Fertig stellen erscheint eine Besttigung.
Abbildung 14.25
Die Warnmeldung,
die in der Aufgabe
definiert wurde
berschreitet nun ein Benutzer seine Kontingentgrenze und wird dies von
der Kontingentverwaltung festgestellt, schreibt diese einen Eintrag in das
Ereignisprotokoll. Die Aufgabenplanung erkennt dies und lst die voreingestellte Aktion aus. Leider bekommt in diesem Fall nicht der Benutzer die
Meldung angezeigt, der das Ereignis verursacht hat (Zeile Benutzer in Abbildung 14.22), sondern die Meldung erhlt der, der die Aufgabe erstellt hat.
14.3.7
Ereignisse selbst erzeugen
Mit dem Programm eventcreate.exe kann ein selbst gestalteter Eintrag in

eines der Hauptprotokolle eingetragen werden. Die Befehlszeilenoption /?
erklrt die Verwendung des Programms, das nur von administrativen
Benutzern verwendet werden kann. Mit dem Tool ist es beispielsweise mglich, in Skriptdateien Statusmeldungen in die blichen Kanle zu leiten.
14.3.8
Ereignisse und die Befehlszeile
Mit dem Programm wevtutil.exe knnen Ereignisprotokolle auf der Befehlszeile bearbeitet werden, um beispielsweise Ereignisse anzuzeigen oder
ganze Protokolle zu archivieren. Die Befehlszeilenoption /? erklrt die Verwendung des Programms. Hier im Beispiel werden Statusinformationen
aus dem System-Ereignisprotokoll angezeigt.
Listing 14.4
Informationen ber
das Systemprotokoll
>wevtutil gli system

creationTime: 2009-10-08T09:41:20.606Z
lastAccessTime: 2009-10-08T09:41:20.606Z
lastWriteTime: 2009-10-16T14:05:59.036Z
fileSize: 2166784
attributes: 32
numberOfLogRecords: 2761
oldestRecordNumber: 1
14.4 Aufgabenplanung
Computer wurden ja ursprnglich dazu geschaffen, Aufgaben zu erledigen, indem sie dem Benutzer helfen, bestimmte Ttigkeiten durchzufhren. Die Besonderheit bei Aufgaben im Sinne von Windows 7 besteht darin,
dass eine Aufgabe vorab definiert und dann vom System selbststndig aus-
714
Aufgabenplanung
gefhrt wird, ohne dass der Benutzer den Start der Aufgabe explizit anordnen muss. Eine Aufgabe (englisch Task) besteht hierbei aus zwei Hauptkomponenten:
Einem Trigger (Auslser), der angibt, wann die betreffende Aufgabe
gestartet werden soll. In einem Trigger existieren eine oder mehrere
Bedingungen, die sich entweder auf einen Zeitpunkt oder einen Systemzustand beziehen. Ist die Bedingung erfllt, startet die Aufgabe.
Eine oder mehrere Aktionen, die ausgefhrt werden. Die Aktionen
werden hierbei nacheinander ausgefhrt. Die nachfolgende wird erst
gestartet, wenn die vorhergehende beendet wurde.
14
Zustzlich existiert noch eine Reihe weiterer Informationen, zum Beispiel

ob eine Aufgabe auch dann ausgefhrt werden soll, wenn der Computer
mit Akku luft.
Eingefhrt wurde die Aufgabenplanung in Version 1.0 (unter Windows
XP noch Geplante Tasks) bereits fr Windows 98 und Windows 2000.
Damals gab es nur ein Interface zur Programmierung in C++. Erst mit
Windows Vista und Windows Server 2008 wurde die Version 2.0 eingefhrt, die auch eine Programmierung mit Scripting-Mglichkeiten in
VBScript erlaubte. Weitere Erklrungen zum Thema Programmierung
mit der Aufgabenplanung lassen sich unter [AUFGABE] nachlesen.
Ausgefhrt werden diese Aufgaben von der Aufgabenplanung (englisch
Task Scheduler). Der Einstieg in diese Funktion erfolgt ber den Aufruf
von Systemsteuerung/System und Sicherheit/Verwaltung/Aufgabenplanung oder
die Eingabe von Aufgabenplanung im Suchfeld des Startmens.
Abbildung 14.26
Aufgabenplanung
Im linken Teil des Fensters findet sich eine Baumstruktur, in der schon
eine ganze Reihe von Aufgaben fr verschiedene Komponenten von Win-
715
dows 7 vordefiniert ist. In Abbildung 14.26 sehen Sie beispielsweise die

jetzt automatisch durchfhrte Defragmentierung der Datentrger.
ber das Kontextmen des obersten Knotens der Baumanzeige (Aufgabenplanung (Lokal)) kann man mit dem Befehl Verbindung mit anderem
Computer herstellen auch fremde Systeme verwalten.
14.4.1
Aufgaben anlegen
Nach Auswahl eines Knotens in der Baumstruktur unterhalb von Aufgabenplanungsbibliothek kann man dort entweder ber das Men Aktion oder
den rechten Aktionsbereich eine neue Aufgabe anlegen oder zur besseren
Organisation dort zunchst einen neuen Ordner anlegen, in dem man
dann seine Aufgaben anlegen will. Die beiden Aktionen Einfache Aufgabe
erstellen und Aufgabe erstellen unterscheiden sich nur dadurch, dass bei
der einfachen Aufgabe zunchst nur ein Trigger und eine Aktion ausgewhlt werden knnen.
Sofern Sie eine Aufgabe versehentlich in einem falschen Ordner erstellt
haben, knnen Sie diese nicht verschieben. Hier bleibt nur der Weg, die Aufgabe zunchst in eine XML-Datei zu exportieren, dann zu lschen und
anschlieend in den gewnschten Ordner zu importieren.
14.4.2
Aufgaben ndern
In der Mitte der Aufgabenplanung sieht man oben alle Aufgaben, die im
links ausgewhlten Knoten vorhanden sind, im unteren Teil kann man die
Daten der Aufgaben auf verschiedenen Registerkarten kontrollieren. Auf
diesen Registerkarten kann man keine Werte verndern, hierfr muss man
die Aufgabe in der oberen Auflistung doppelt anklicken oder aus dem
Kontextmen oder dem rechten Aktionsbereich den Befehl Eigenschaften
aufrufen. Die folgenden Registerkarten stehen zur Verfgung:
Allgemein Auf dieser Registerkarte werden Namen, Speicherort und
ein Kommentar zur Aufgabe angezeigt. Zudem wird bestimmt, mit
welchem Benutzerkonto die Aktionen der Aufgabe ausgefhrt werden sollen. Standardmig wird bei einer Aufgabe immer der Benutzer verwendet, der die Aufgabe angelegt hat. Zudem kann angegeben
werden, ob die Aufgabe nur ausgefhrt werden soll, wenn der betreffende Benutzer angemeldet ist. Mit der Schaltflche Konfigurieren fr
ist es mglich, Aufgaben zu erstellen und spter zu exportieren, die
auch auf lteren Windows-Versionen verwendet werden knnen.
Trigger Mit dieser Registerkarte knnen ein oder mehrere Auslser
fr die Aufgabe eingestellt werden. Zu fast allen Mglichkeiten knnen auch Wiederholungen oder Verzgerungen eingegeben werden.
Mglich sind die folgenden Einstellungen:
Nach einem Zeitplan Startzeit, Endzeit und die Frequenz (einmalig, tglich, wchentlich oder monatlich) fr Aufgaben, die unabhngig von externen Einflssen ablaufen sollen.
716
Aufgabenplanung
Bei Anmeldung Eine Aufgabe luft an, sobald sich ein oder auch
14
jeder beliebige Benutzer anmeldet. Auch hier knnen Wiederholungen angegeben werden.
Beim Start Sobald das System gestartet wird, egal ob sich dann
ein Benutzer anmeldet oder nicht.
Im Leerlauf Wenn das System gerade keine anderen Aufgaben
oder Programme ausfhrt.
Bei einem Ereignis Hier kann ein Filter definiert werden, der die Aufgaben dann auslst, sobald ein bestimmtes Ereignis auf dem System
auftritt. Dieser Trigger steht erst ab Windows Vista zur Verfgung.
Bei Aufgabenerstellung/-nderung Wird ausgelst, sobald eine Aufgabe in der Aufgabenplanung erstellt oder gendert wird. Knnte
man beispielsweise dazu nutzen, um nderungen in der Aufgabenplanung zu protokollieren. Dieser Trigger steht erst ab Windows
Vista zur Verfgung.
Bei Verbindung/Trennung mit Benutzersitzung Wird ausgelst, sobald
mittels Remotedesktop eine Verbindung zum Desktop des aktuellen
Benutzers hergestellt beziehungsweise getrennt wird. Registriert
auch, wenn ber die Funktion Benutzer wechseln das Konto gewechselt wird. Dieser Trigger steht erst ab Windows Vista zur Verfgung.
Bei Arbeitsstationssperre/Beim Aufheben der Arbeitsstationssperre
Erkennt, wenn der Computer gesperrt beziehungsweise wieder
entsperrt wird, etwa wenn der Bildschirmschoner mit der Einstellung Kennwortschutz startet.
Aktionen Listet die Aktionen auf, die ausgefhrt werden, wenn die Aufgabe ausgefhrt wird. Mglich sind hier drei unterschiedliche Aktionen:
Programm starten Ein beliebiges Programm wird gestartet.
E-Mail senden Eine vorgefertigte E-Mail wird an einen vordefinierten Empfnger versendet. Das Problem hierbei ist, dass das System
versucht, sich mit Benutzername und Kennwort des Benutzers, der
die Aufgabe ausfhrt, am SMTP-Server anzumelden, sofern dieser
eine Anmeldung untersttzt.
Meldung anzeigen Dem Benutzer wird eine Popup-Meldung angezeigt.
Leider ist es bei keiner der drei Aktionen mglich, auf Informationen
ber den Auslser der Aufgabe zurckzugreifen. So wre es beim obigen Beispiel (auf das Ereignis der Kontingentberschreitung reagieren) gut, wenn man in einer Aktion auf die Information zurckgreifen
knnte, welcher Benutzer auf welchem Laufwerk das Problem verursacht hat. Hier kann man nur ber ein eigenes Programm arbeiten,
das dann selber herausfinden muss, welche Informationen zu dem
entsprechenden Trigger gehren, etwa indem das Ereignis aus dem
Protokoll gesucht wird.
Bedingungen Hier kann man Bedingungen einstellen, die den Start der
Aufgabe von bestimmten Systemzustnden abhngig machen, etwa ob
sich der Computer im Leerlauf befindet oder ob eine bestimmte Netzverbindung aktiv ist.
717
Einstellungen Hier lsst sich kontrollieren, ob man die Aufgabe auch
manuell ber ihr Kontextmen starten darf oder etwa ob sie bei einem
Fehlschlag erneut gestartet werden soll.
Verlauf Auf dieser Registerkarte knnen administrative Benutzer
ersehen, wann die einzelnen Aufgaben und Aktionen gestartet beziehungsweise beendet wurden. ber den Befehl Verlauf fr alle Aufgaben
aktivieren/deaktivieren im rechten Aktionsbereich knnen Sie diese
Registerkarte fr alle Aufgaben sperren beziehungsweise freigeben.
Der Status wird entsprechend auf der Registerkarte angezeigt.
ber das Aktionsmen kann eine selektierte Aufgabe deaktiviert werden, wenn man verhindern mchte, dass sie gestartet werden kann, aber
man die Aufgabe nicht lschen oder die Trigger nicht verndern mchte.
Eine deaktivierte Aufgabe erkennt man an der gleichnamigen Bezeichnung in der Spalte Status, entsprechend ist dann der Befehl Aktivieren in
der Aktionsspalte verfgbar.
14.4.3
Was luft ab?
Kontrolle ber laufende Aufgaben
ber den Befehl Alle aktiven Aufgaben anzeigen kann man in einem Fenster
sehen, welche Aufgaben aktuell laufen und wann diese gestartet wurden.
ber eine Schaltflche kann man dann eine der laufenden Aufgaben beenden. Die Spalte Aufgabenordner wird ganz am rechten Rand des Dialogfeldes angezeigt. Hier kann man erkennen, wo in der Baumstruktur diese
Aufgaben definiert sind, wenn man sie bearbeiten mchte.
14.4.4
Aufgaben und die Befehlszeile at.exe

und schtasks.exe
Auch die Aufgabenplanung kann man ber die Befehlszeile kontrollieren.
at.exe
Mit dem Programm at.exe konnte man in frheren Windows-Versionen
bereits in geringem Umfang zeitgesteuert Programme starten. Dieses Programm ist auch noch Bestandteil von Windows 7 und in seiner Funktion in
die Aufgabenplanung integriert. Aufgaben, die per at.exe definiert wurden,
werden in dem Ordner Aufgabenplanungsbibliothek angelegt, als Name werden hierbei At und eine Nummer festgelegt. Standardmig werden diese
Aufgaben unter dem SYSTEM-Konto ausgefhrt, was zum Beispiel zur
Folge hat, dass aus diesen Aufgaben heraus kein Zugriff auf Netzwerkressourcen mglich ist. Aus diesem Grund kann man bei den Aktionen der
obersten Ebene den Befehl Konfiguration des AT-Dienstkontos ausfhren.
Wenn man ein anderes Benutzerkonto whlen will, muss man dazu
das Kennwort dieses Kontos eingeben.
718
Aufgabenplanung
Abbildung 14.27
nderung des
Kontos fr den
at.exe-Befehl
schtasks.exe
Volle Kontrolle ber die Aufgabenplanung erhlt man mit dem Programm
schtasks.exe. Neben Funktionen wie das Erstellen und ndern von Aufgaben bietet dieses Programm auch eine Funktion, die ber die GUI nicht verfgbar ist: eine komplette Auflistung aller aktuell definierten Aufgaben.
Als weiteres Beispiel in Listing 14.5 wird danach eine CSV-formatierte Darstellung einer aufgelisteten Aufgaben erstellt. Wie gewohnt erhlt man mit
dem Befehlszeilenparameter /? genauere Hinweise zur Verwendung des
Programms. Mit diesen Befehlen ist es leicht mglich, eine genaue Aufstellung der Aufgabenplanung auf einem System zu erstellen und diese mit
aktuellen Werten zu vergleichen, um nderungen festzustellen.
>schtasks /query /fo list
Ordner: \Microsoft
INFORMATION: Es sind keine geplanten Aufgaben auf Ihrer
Zugriffsebene vorhanden
Listing 14.5
Beispiele fr den
schtasks.exe-Befehl
Ordner: \Microsoft\Microsoft Antimalware

Hostname:
WIN7LAP
Aufgabenname:
\Microsoft\Microsoft Antimalware\MP Scheduled Scan
Nchste Laufzeit: 18.10.2009 02:04:56
Status:
Bereit
Anmeldemodus:
Interaktiv/Hintergrund
Ordner: \Microsoft\Windows
INFORMATION: Es sind keine geplanten Aufgaben auf Ihrer
Zugriffsebene vorhanden
Ordner: \Microsoft\Windows\Active Directory Rights Management
Services Client
Hostname:
WIN7LAP
Aufgabenname:
\Microsoft\Windows\Active Directory Rights
Management Services Client\AD RMS Rights Policy Template
Management (Automated)
Nchste Laufzeit: Deaktiviert
Status:
Anmeldemodus:
Interaktiv/Hintergrund
>schtasks /query /v /tn "\Microsoft\Microsoft Antimalware\MP

Scheduled Scan" /fo csv
"Hostname","Aufgabenname","Nchste Laufzeit","Status",
719
14
"Anmeldemodus","Letzte Laufzeit","Letztes Ergebnis",
"Autor","Auszufhrende Aufgabe","Starten in","Kommentar",
"Status der geplanten Aufgabe","Leerlaufzeit","Energieverwaltung",
"Als Benutzer ausfhren","Aufgabe lschen, falls nicht verlegt",
"Aufgabe beenden, falls sie X St. und X Min. ausgefhrt wird",
"Zeitplan","Zeitplantyp","Startzeit","Startdatum","Enddatum","Tage",
"Monate","Wiederholung: Jede(n)","Wiederholung: Bis: Zeit",
"Wiederholung: Bis: Dauer","Wiederholung: Beenden, falls immer
noch ausgefhrt"
"WIN7LAP","\Microsoft\Microsoft Antimalware\MP Scheduled Scan",
"18.10.2009 02:04:56","Bereit","Interaktiv/Hintergrund",
"17.10.2009 08:42:37","0","Nicht zutreffend",
"C:\Program Files\Microsoft Security Essentials\MpCmdRun.exe
Scan -ScheduleJob -WinTask -RestrictPrivilegesScan",
"Nicht zutreffend","Scheduled Scan","Aktiviert","Nur starten,
falls 1 Minuten lang im Leerlauf, Wenn nicht im Leerlauf,
nach 240 Minuten wiederholen","Bei Batteriebetrieb nicht tarten",
"SYSTEM","Aktiviert","72:00:00","Zeitplaninformationen sind in
diesem Format nicht verfgbar.","Wchentlich","02:04:56",
"01.01.2000","01.01.2100","SO","Alle 1 Woche(n)","Deaktiviert",
"Deaktiviert","Deaktiviert","Deaktiviert"
14.5 Leistung kontrollieren

Zur Kontrolle der Leistung eines Systems gehrt mehr als die paar Kurven und Messwerte, die der Task-Manager liefern kann. Insbesondere
deshalb, weil dort keinerlei Informationen zu den verschiedensten Systembereichen vorliegen, zum Beispiel ber die Datentrger. Mit dem Programm Leistungsberwachung (Performance Monitor) knnen eine Vielzahl
von Leistungsindikatoren sowohl aktuell betrachtet als auch Protokolle
ber die Leistungsdaten zur spteren Analyse abgespeichert werden.
In den frheren Windows-Versionen war das Programm perfmon.exe fr
diese Auswertungen zustndig. Dieses wird jetzt verwendet, wenn man
auf der Registerkarte Leistung auf die Schaltflche Ressourcenmonitor
klickt. Startet man perfmon.exe direkt, ffnet sich stattdessen die Microsoft
Management Console mmc.exe mit der Konsolendefinition perfmon.msc.
Ruft man das Programm zustzlich mit dem Parameter /res auf, startet er
als Ressourcenmonitor.
Zustzlich lassen sich die Anzeigen auch ber Systemsteuerung/System
und Sicherheit/Wartungscenter/Leistungsinformationen anzeigen/Weitere Tools
starten.
14.5.1
Ressourcenmonitor perfmon.exe
Der Ressourcenmonitor bietet in der Startansicht vier Diagramme fr die

CPU-Auslastung, den Datentransfer zu den einzelnen Datentrgern, den
720
Leistung kontrollieren
Netzwerktraffic und die Belegung des Arbeitsspeichers. Die tabellarischen Auflistungen im linken Teil des Fensters kann man jeweils mit den
Schaltflchen () und () expandieren oder reduzieren. In den einzelnen Tabellen werden jeweils die Prozesse angezeigt, die im betreffenden
Systembestandteil den aktuell grten Verbrauch haben. Wie gewohnt
kann man die Spalten auch anders sortieren und die Auswahl der Spalten, die angezeigt werden, kontrollieren.
14
Bei jedem angezeigten Prozess kann man ber das Kontextmen den
Prozess beenden (wahlweise mit oder ohne davon gestartete Prozesse).
Weiterhin sind die Befehle Vorgang anhalten und Vorgang fortsetzen verfgbar. Hierbei kann man zeitweise einen Prozess von der Zuteilung
der CPU-Nutzung ausschlieen; der Prozess bleibt in einem eingefrorenen Zustand stehen. Alle diese Ttigkeiten sind ein schwerwiegender
Eingriff in den Ablauf des Systems. Aus diesem Grund wird eine entsprechende Warnmeldung zur Besttigung der Aktion angezeigt.
Mit den Befehlen berwachung starten und berwachung beenden im Men
berwachen kann man die Fortschreibung der aktuellen Werte unterbrechen,
um etwa einen bestimmten Systemzustand in Ruhe analysieren zu knnen.
Abbildung 14.28
Der Ressourcenmonitor
Auf den einzelnen Registerkarten CPU, Arbeitsspeicher, Datentrger und

Netzwerk knnen weitere Detailinformationen zu den betreffenden Ressourcen und ihrer Verwendung abgerufen werden. Auf der Registerkarte
CPU kann beispielsweise ein Prozess oder Dienst ausgewhlt werden.
Und es wird angezeigt, welche Handles (Dateien und Registryschlssel)
oder Module (.dll-Dateien) dieser Prozess geladen hat.
721
Auf der Registerkarte Datentrger kann nachverfolgt werden, auf welche

Dateien (und Verzeichnisse) ein bestimmter Prozess in der letzten Zeit
zugegriffen hat und wie viele Daten dabei gelesen beziehungsweise
geschrieben wurden. Auf der Registerkarte Netzwerk kann entsprechend
fr jeden Prozess festgestellt werden, welche Netzwerkverbindungen
dieser zu oder von welchen IP-Adressen aufgebaut hat.
Stillstand
analysieren
Manchmal besteht das Problem, dass ein Prozess aus unerfindlichen Grnden nicht weiter abluft. In diesen Fllen kann es sein, dass der Prozess auf
den Zugriff auf eine bestimmte Ressource wartet, diese aber von einer anderen Stelle nicht freigegeben wird. Hier kann man aus dem Kontextmen des
betreffenden Prozesses den Befehl Warteschlange analysieren ausfhren. In
dieser Warteschlange lsst sich genau erkennen, auf welchen Systemzustand dieser Prozess wartet.
Abbildung 14.29
Warteschlange eines
Prozesses
Im Beispiel von Abbildung 14.29 erkennt man, dass der Prozess net.exe auf
die Fertigstellung von Netzwerk-E/A (Daten Ein- oder Ausgabe ber Netzwerk) wartet. An dieser Stelle knnte man das Kontrollkstchen vor dem
Prozess auswhlen und dann unten die Schaltflche Prozess beenden auswhlen.
14.5.2
Leistungsberwachung perfmon.msc
Mit der Leistungsberwachung kann man zum einen den aktuellen Systemzustand mit einer Vielzahl von Leistungsindikatoren anzeigen lassen und
zum anderen diese Daten auch abspeichern zur spteren Analyse nach
Abschluss der Aufzeichnung. Die Leistungsberwachung besteht aus den
zwei Bereichen berwachungstools und Sammlungsstze. Bei der Installation zustzlicher Software werden oftmals auch speziell auf dieses Programm zugeschnittene Leistungsindikatoren zum System hinzugefgt.
722
Abbildung 14.30
Leistungsberwachung
berwachungstools
Unter den berwachungstools findet sich nur der einzige Eintrag Leistungs- Die Fieberkurve
berwachung, bei dem zunchst nur eine Auslastung des Prozessors zu des Computers
sehen ist: oben im Fenster die entsprechende Kurve, darunter Werte fr
das Minimum, Maximum und Durchschnitt des Wertes und unten die
Definition der betreffenden Kurve. Fhrt man mit dem Mauszeiger ber
eine der Kurven, erscheint in einem Tooltipp die Erklrung, um welche
Kurve es sich dabei handelt.
Mit dem Plus-Symbol oder der Tastenkombination (Strg)+(N) knnen
weitere Kurven hinzugefgt werden.
Abbildung 14.31
Weitere Indikatoren
hinzufgen
723
14
Um einen weiteren Indikator hinzuzufgen, whlt man zunchst das System aus, von dem man den Indikator einsehen will, falls man nicht die
Daten des lokalen Systems ansehen mchte. Abhngig von den Mglichkeiten des ausgewhlten Systems verndern sich gegebenenfalls die Auswahlmglichkeiten im darunter liegenden Fenster. Zur Auswahl eines
Indikators muss man zunchst dessen Kategorie im linken Fenster anklicken und diese entweder ber () erweitern, um einzelne Indikatoren zu
selektieren, oder gleich die ganze Kategorie mit allen ihren einzelnen Werten ber die Schaltflche Hinzufgen >> in das rechte Fenster zu bernehmen. Hat man dort einen Indikator flschlicherweise hinzugefgt, lsst
sich dieser ber die Schaltflche Entfernen << wieder abwhlen. Einige
Indikation existieren mehr als einmal, etwa bei einem Multikern-Prozessor
die Angaben ber die CPU-Auslastung. In diesem Fall kann man aus dem
Feld Instanzen wahlweise eine oder mehrere einzelne Instanzen oder einen
Sammelwert auswhlen.
ber das Kontrollkstchen Beschreibung anzeigen kann man mehr
Informationen ber den ausgewhlten Wert erhalten, um besser entscheiden zu knnen, ob man diesen Wert beobachten will.
Eigenschaften der dargestellten Kurven

Zu jeder angezeigten Kurve gehren einige grundlegende Eigenschaften,
welche die Darstellung beeinflussen: die Darstellung der Linie (Strichform,
-farbe und -dicke) oder die Skalierung. Per Doppelklick auf die untere Liste
der Kurven oder die Schaltflche Eigenschaften oberhalb der Kurven kann
man im Dialogfeld die Darstellungseigenschaften der Kurven verndern.
Insbesondere der Skalierungsfaktor ist bisweilen unglcklich gewhlt.
Betrachten Sie hierzu den Maximalwert der Kurve; dieser sollte multipliziert
mit dem Skalierungswert einen Wert zwischen 10 und 100 ergeben.
Abbildung 14.32
Darstellungsauswahl
724
Die Form und Farbe der Linien werden nach einer festen Reihenfolge vergeben, sodass unterschiedliche Kurven automatisch auch unterschiedlich
dargestellt werden. Auf den anderen Registerkarten knnen weitere, die
Darstellung als Ganzes betreffende Aspekte ausgewhlt werden.
14
Auf der Registerkarte Quelle kann ausgewhlt werden, ob aktuelle Daten

gezeigt oder ob die Daten aus einem Speicher (wahlweise aus einer oder
mehreren Dateien oder einer Datenbank) entnommen werden sollen.
Auf der Registerkarte Grafik kann man Eigenschaften wie beispielsweise ein Das
Raster oder einen Titel angeben, auch kann man den minimalen und maxi- Management
malen Skalenwert angeben. Dies lsst sich bevorzugt dann verwenden, liebt bunte Bilder
wenn man ber das Kontextmen der Darstellung mit dem Befehl Bild speichern unter eine .gif-Datei zum Import in andere Dokumente abspeichert.
Abbildung 14.33
Ein Bild zum
Einfgen in andere
Anwendungen
Sammlungsstze
Mit Sammlungsstzen (englisch Data Collector Set) kann Windows 7 Daten
zur spteren Analyse abspeichern. Ein einzelner Sammlungssatz (englisch
Data Collector) besteht aus eine Reihe von Sammlungen, und jede Sammlung kann vier verschiedene Arten von Daten umfassen:
Leistungsindikatoren Die Leistungsindikatoren hatten Sie schon oben in
Abschnitt 14.5.2 ab Seite 722 gesehen. Zustzlich kann hier noch angegeben werden, wie hufig die Werte erfasst werden sollen. Je hufiger die
Werte erfasst werden, umso mehr Speicherplatz wird dafr verwendet.
Ereignisse Bei der Ereignisablaufverfolgung knnen verschiedene
Ereignisprotokolle ausgewhlt werden, deren Eintragungen protokolliert werden.
725
Konfigurationen Hiermit werden Werte zum Beispiel in Registrie-
rungsschlsseln protokolliert.
Leistungsindikatorenwarnungen Hier knnen fr bestimmte Leis-
tungsindikatoren Grenzwerte vorgegeben werden, deren Unter- oder

berschreitungen zu einem Protokolleintrag fhren.
Zu einem Sammlungssatz gehrt zustzlich noch ein Zeitplan, der angibt,
wann in diesem Sammlungssatz Daten gesammelt werden sollen. Hierdurch kann ein Administrator vorab bestimmen, wann fr ihn interessante
Daten gesammelt werden sollen, etwa in zeitlicher Nhe zu einer nchtlichen Datensicherung. Zudem knnen Stoppbedingungen angegeben
werden, etwa wenn eine bestimmte maximale Gre der gespeicherten
Daten erreicht ist. Falls kein Zeitplan angegeben wird, kann die Sammlung
auch entsprechend manuell gestartet und gestoppt werden.
Wird eine solche Stoppbedingung erreicht, kann im Anschluss daran
automatisch eine Aufgabe ausgelst werden.
Zu jedem Sammlungssatz sind noch zwei Aktionen ber das Kontextmen ausfhrbar:
Daten-Manager Mit dem Datenmanager ist es mglich, automatisiert
die von dem Sammlungssatz erfassten Daten zu verwalten. Es kann
konfiguriert werden, dass nach einer bestimmten Zeit die gespeicherten Rohdaten gelscht, die Daten in einem Archiv zusammengefasst
und schlielich die Archive und Berichte ebenfalls gelscht werden.
Aktuellster Bericht Mit dieser Funktion wird der aktuellste Bericht
zum gewhlten Sammlungssatz angezeigt.
Berichte
Zu jedem Sammlungssatz wird auch automatisch ein Bericht erzeugt, in
dem die notierten Daten aufgefhrt werden. Fr die einzelnen Leistungsindikatoren werden dabei nicht die Daten in Kurvenform dargestellt, sondern
man erhlt tabellarisch eine bersicht ber Minima, Maxima und Durchschnittswerte.
Man kann den Bericht zwar ausdrucken, eine bernahme in eine
andere Applikation ber die Zwischenablage ist jedoch nicht vorgesehen.
Sobald die Datenerfassung eines Sammlungssatzes gestartet wurde, wird
automatisch ein neuer Bericht erzeugt. Mchte man diesen Bericht sehen,
muss zunchst die Sammlung gestoppt werden. Danach dauert es eine
kurze Zeit, bis der Bericht zur Verfgung steht. Mit dem Befehlszeilenprogramm relog.exe ist es mglich, mehrere Sammlungsstze zu kombinieren,
um beispielsweise Berichte ber einen lngeren Zeitraum zu erzeugen.
726
Abbildung 14.34
Ein Bericht wird
angezeigt.
Historische Daten
Im Bereich der Leistungsberwachung knnen nicht nur aktuelle Daten
angezeigt werden, sondern es lassen sich auch Daten aus einer gespeicherten Datei oder einer Datenbank visualisieren. Selektieren Sie im linken Fenster den Knoten Leistungsberwachung, und klicken Sie dann auf
die Schaltflche Protokolldaten anzeigen oberhalb der Leistungskurven,
oder whlen Sie die Tastenkombination (Strg)+(L). Mit der Schaltflche
Aktuellen Vorgang anzeigen oder der Tastenkombination (Strg)+(T) kann
man wieder auf die aktuellen Werte umschalten.
Abbildung 14.35
Auswahl einer
Datendatei und
Eingrenzen des Zeitraums
727
14
Sobald eine oder mehrere Datendateien ausgewhlt wurden, lsst sich im

unteren Bereich des Dialogfeldes in Abbildung 14.35 einstellen, welchen
Datenbereich man initial angezeigt haben mchte. Der gleiche Schieberegler wird bei der Betrachtung gespeicherter Daten auch unterhalb
der Kurven angezeigt. Hier kann er in Form einer horizontalen Bildlaufleiste verwendet werden.
14.5.3
Ein Blick auf
den Tacho
Leistungsbewertung fr Rennfahrer
Wer gerne auf seinem Bildschirm eine Darstellung der Auslastung seines
Computers in Form einer Tachoanzeige haben will, kann sich eine vorgefertigte Minianwendung anzeigen lassen. Klicken Sie dazu einfach mit
der rechten Maustaste auf eine freie Stelle des Desktop-Hintergrundes,
und whlen Sie den Kontextmenbefehl Minianwendungen.
Abbildung 14.36
CPU-Tacho in
transparenter Optik
Doppelklicken Sie anschlieend auf die Anwendung CPU-Nutzung, oder

ziehen Sie sie mit gedrckter linker Maustaste an die passende Stelle auf
dem Desktop. ber die rechte Maustaste kann dann noch die Unsichtbarkeit eingestellt werden, je geringer der Wert umso transparenter die Darstellung. Das linke groe Display zeigt die CPU-Nutzung, das kleine rechte die
Speicherauslastung.
14.5.4
Leistungsindex
Wie bereits Windows Vista bietet auch Windows 7 eine konzentrierte Form
der Leistungsbewertung, mit der man unterschiedliche Systeme miteinander vergleichen kann. Rufen Sie hierzu aus dem Kontextmen des Eintrags
Computer im Startmen die Eigenschaften auf.
In der Mitte des Fensters erkennen Sie ber der Angabe der verwendeten
CPU den sogenannten Windows-Leistungsindex. In Abbildung 14.37 betrgt
dieser Wert 3,3. Um zu erfahren, wie dieser Wert entstanden ist, klicken Sie
auf Windows-Leistungsindex.
728
Abbildung 14.37
Leistungsindex
im berblick
Wird kein Wert angezeigt, wurde noch keiner bestimmt, oder der Wert
kann nicht bestimmt werden (beispielsweise bei einem virtuellen System).
Abbildung 14.38
Leistungsindex
im Detail
729
14
Hier werden fr die einzelnen Systembestandteile (Prozessor, Arbeitsspeicher, Grafik, Grafik fr Spiele, primre Festplatte) getrennt die Leistungsbewertungen ausgegeben, die Gesamtleistung wird nun aber nicht als der
Durchschnitt der einzelnen Werte ausgegeben, sondern der geringste Wert
bestimmt den Gesamtwert. Aktuell betrgt der maximal erreichbare Wert
7,9. Es ist jedoch zu erwarten, dass mit fortschreitender Hardwareentwicklung diese Grenze steigt.
Wenn Sie planen, Ihren Computer aufzursten, sollten Sie prfen, bei
welcher Komponente aktuell die niedrigste Bewertung erzielt wird. Diese
Komponente sollten Sie mglichst zu ersetzen versuchen. Hier im Beispiel aus Abbildung 14.38 wrde es nichts bringen, wenn die CPU durch
ein schnelleres Modell ausgewechselt wrde, da das System durch die
relativ schlechte Grafikleistung gebremst wird. Nachdem Hardware ausgetauscht wurde, sollte man eine Neubewertung des Systems durch den
entsprechenden Link anstoen.
Ursprnglich war mal angedacht gewesen, dass Spielehersteller die
Mindestanforderungen an den Leistungsindex auf ihre Verpackungen
drucken, sodass die Kunden gleich sehen knnen, ob sie das Programm
auf ihrem System verwenden knnen. Aktuell gibt jedoch noch nicht
einmal Microsoft selbst derartige Daten bei seinen Spielen an.
14.6 Professioneller Support

Insbesondere im Kontakt mit professionellen Supportdienstleistern wird
man umso effektiver arbeiten knnen, je mehr Informationen man ber das
betroffene System zur Verfgung stellen kann. Aus diesem Grund hat Microsoft Programme entwickelt, die diese Informationen zusammenstellen. Im
Lieferumfang von Windows 7 ist das Programm msdt.exe (Microsoft SupportDiagnosetool) enthalten, das automatisch Informationen ber den Zustand
des Systems sammelt und ebenfalls automatisch zum Support bermittelt.
Fr die Verwendung dieses Tools wird allerdings ein Schlsselcode bentigt,
den man nur ber den Microsoft Support erhlt. In der Vergangenheit gab es
fr diesen Einsatzzweck die sogenannten MPS Reports (Microsoft Product
Support Reports). Diese laufen auch unter Windows 7 und knnen bei Microsoft geladen und auch ohne den Support von Microsoft verwendet werden,
um Informationen ber die Konfiguration seines Systems zu erhalten.
Suchen Sie unter [DOWNLOAD] nach mpsreports. Die Tools gibt es in
einer 32- und einer 64-Bit-Variante und laufen auf jedem System ab
Windows XP und Windows Server 2003.
730
Professioneller Support
Abbildung 14.39
Startseite der MPS
Reports
Nach Abschluss der Informationsbeschaffung erhlt man die Mglichkeit, die Informationen entweder per E-Mail zu versenden, in einer Datei
abzuspeichern oder die einzelnen Dateien an einem temporren Ort zu
speichern. Die Informationen liegen dabei in Form von gut 200 unterschiedlichen Dateien vor. Hier im Beispiel die Informationen ber das IPProtokoll des Systems:
Verzeichnis von C:\Users\jochenr-admin\AppData\Local\Temp\a8ad9fb4
-da6f-496c-aa35-59768a24951c\MPSReports\results\Internet and
Networking
17.10.2009
17.10.2009
17.10.2009
17.10.2009
17.10.2009
17.10.2009
10.06.2009
10:33
10:33
10:33
10:33
10:33
10:33
23:39
13.466
4.000
30.116
29.998
6
1.076
17.463
14.6.1
Zuverlssigkeit Stabilittsindex
Listing 14.6
Dateien mit Informationen ber das
IP-Protokoll
WIN7LAP_reg_tcpip.txt
WIN7LAP_TCPIP-Info-OFFLOAD.TXT
WIN7LAP_TCPIP-Netsh-IPv4.TXT
WIN7LAP_TCPIP-Netsh-IPv6.TXT
WIN7LAP_TCPIP-Netsh-NetIO.TXT
WIN7LAP_TCPIP-Netsh-TCP.TXT
WIN7LAP_TCPIP-ServicesFile.TXT
Um dem Administrator (und dem Benutzer) auf die Schnelle einen Eindruck zu geben, wie es um die Zuverlssigkeit seines Systems bestellt ist,
wurde ein sogenannter Stabilittsindex eingefhrt. Dies ist eine spezielle
Anzeige, auf der man Ereignisse gesammelt auf einem Zeitstrahl betrachten kann.
731
14
Abbildung 14.40
Stabilitt und der
Stabilittsindex
Um diese Ansicht aufzurufen, tragen Sie im Suchfeld des Startmens

Zuverlssigkeit ein, und klicken Sie anschlieend auf den Link Zuverlssigkeitsverlauf anzeigen. Im Bild sehen Sie oben alle im betreffenden Zeitabschnitt aufgetretenen Ereignisse. Klicken Sie dort auf eines der dargestellten Symbole, werden unten alle entsprechenden Ereignisse aufgelistet.
Zu jedem einzelnen Ereignis knnen Sie am rechten Rand einen Link anklicken, der weitere Informationen bereithlt.
732
15
Datensicherung
Eines der wichtigsten und gleichzeitig das am hufigsten vernachlssigte

Thema bei der Computeranwendung ist das Thema Datensicherung. Dabei
muss man nicht nur an katastrophale Fehler wie Festplattenausflle oder
gestohlene Computer denken. Im Arbeitsalltag eines Administrators sind es
eher die Probleme, dass ein User eine Datei versehentlich gelscht hat oder
bei der er nach einer berarbeitung doch noch den vorigen Inhalt zurck
haben will. Hier erkennt man auch schon den Sinn und Zweck einer Datensicherung: eine Kopie der Daten an einem anderen Ort speichern, um gegebenenfalls die (ltere) Kopie anstelle der aktuellen Version zu erhalten. Auf
diese Weise lassen sich auch ganze Generationen von nderungen in einer
Datei nachvollziehen. Notwendig wird eine Datensicherung auch, wenn
man (aus Platzgrnden) bestimmte alte Daten nicht weiter auf seinen
Datentrgern speichern will, diese aber aus juristischen oder anderen Grnden fr einen langen Zeitraum rekonstruierbar sein mssen.
15.1 Datensicherung in
lteren Versionen von
Windows und heute
Seit Windows NT wurde von Microsoft das Programm ntbackup.exe mitgeliefert, mit dem Sicherungen auf Festplatten oder Bandlaufwerken vorgenommen werden konnten. Dieses Programm war eine abgespeckte Version von
BackupExec (ehemals Veritas, jetzt Symantec) und speicherte seine Daten in
einem eigenen .bkf-Dateiformat. Es wurde allerdings nur bis zu Windows XP
und Windows Server 2003 mitgeliefert. Mit Windows Vista und Windows
733
Kapitel 15 Datensicherung
Server 2008 wurde ein neues System eingefhrt, das Windows Backup and
Restore Center. Hierbei werden die Datensicherungen von kompletten Systemen in Form von .vhd-Dateien, also virtuellen Festplatten, angelegt und
Dateisicherungen als .zip-Dateien. Zum Lesen lterer Datensicherungen
kann man fr Windows Vista und Windows Server 2008 eine spezielle Version von ntbackup.exe bei Microsoft im Web laden (siehe [DOWNLOAD]),
mit der das Zurckspeichern lterer Datensicherungen mglich ist.
Dieses Tool luft nicht mehr unter Windows 7! Die von dem Programm
verwendete Systemkomponente war unter Windows Vista noch optional nachinstallierbar, bei Windows 7 wurde sie komplett entfernt. Um
eine alte Datensicherung zu lesen, bentigt man also zwingend noch ein
System mit einer lteren Version von Windows. Wer grere Datenbestnde im .bkf-Dateiformat besitzt, sollte sich berlegen, ob er nicht in
nchster Zeit die alten Daten mit einem noch bestehenden System
restauriert und dann im neuen Format erneut sichert.
Die Umstellung auf das .vhd-Format hat einen groen Vorteil: Die so erzeugten Sicherungsdateien knnen problemlos als weitere Festplatte einem System hinzugefgt (siehe Kapitel 6) und die gesicherten Daten so auch ohne
Sicherungsprogramm gelesen werden. Es ist allerdings nicht mglich,
direkt mit diesen .vhd-Dateien einen virtuellen Computer (etwa unter Virtual PC) zu betreiben.
15.2 Arten und Formen der

Datensicherung
Datensicherungen unterscheiden sich im Wesentlichen durch den Umfang
und die Auswahl der gesicherten Daten. Prinzipiell kann man drei Arten
von Datensicherungen unterscheiden:
1. Imagesicherung eines kompletten Systems Die Daten werden unabhngig von den Datenstrukturen der Datentrger gesichert, hierzu gehren auch unbelegte Bereiche auf den Datentrgern. Als Folge werden
fragmentierte Dateien auch ebenso fragmentiert gesichert, defekte
Dateisystemstrukturen werden ebenso defekt abgespeichert.
2. Dateisicherung eines kompletten Systems Es werden nur die Dateien
eines Systems gesichert, sind Dateien aufgrund eines Fehlers der Dateisystemstruktur nicht zugreifbar oder defekt, werden sie nicht gesichert.
3. Dateisicherung von einzelnen Teilen eines Systems Wie bei 2., aber es werden nur die ausgewhlten Dateien gesichert, sodass Speicherplatz auf
dem Sicherungsmedium nicht mit uninteressanten Dateien belegt wird.
Datensicherung
je nach Einsatzzweck
734
Die Arten 1 und 2 scheinen identisch zu sein, sind es aber nur teilweise. Bei
einer Imagesicherung kann man im Fall einer Rcksicherung nur das komplette System zurcksetzen, eine selektive Restaurierung einzelner Dateien
aus dem Image ist nicht mglich. Allerdings bieten die meisten Imageprogramme heute diese Mglichkeit zustzlich an. Bei der kompletten Datei-
Arten und Formen der Datensicherung
sicherung ist darauf zu achten, ob auch die fr den normalen Benutzer

nicht sichtbaren Systemdateien in der Sicherung enthalten sind, bei der
Imagesicherung ist dies automatisch der Fall. Nur dann kann man einen
sogenannten Bare Metal Restore (BMR) durchfhren, also die Restaurierung
der Daten auf einem ansonsten vllig leeren System, auf dem noch nicht
einmal ein Betriebssystem vorhanden ist.
15
Eine derartige Rcksicherung ist aber nur mglich, wenn sich die Hardware des gesicherten Systems und die des Zielsystems mglichst wenig
unterscheiden. Gewisse Differenzen in der Hardware kann Windows von
sich aus ber die Nachinstallation von Treibern ausgleichen, man hat
dann allerdings immer noch die Treiber der vorherigen Hardware im System. In solch einem Fall ist es besser, auf der neuen Hardware auch eine
neue Installation durchzufhren, dann die ntige Software zu installieren
und aus der Datensicherung nur die Datendateien zu restaurieren.
Bezglich der Unterschiede der Auswahl der zu sichernden Dateien lassen sich ebenfalls drei unterschiedliche Sicherungsarten unterscheiden:
1. Vollsicherung (Full Backup) Es werden alle zur Auswahl gehrigen
Dateien gesichert.
2. Differentielle Sicherung Es werden nur die Dateien der Auswahl gesichert, die sich seit der letzten Vollsicherung gendert haben.
3. Inkrementelle Sicherung Es werden nur die Dateien der Auswahl gesichert, die sich seit der letzten Sicherung gendert haben.
Der Unterschied zwischen den Sicherungsarten 2 und 3 besteht darin, dass
die Kennzeichnung, welche Datei als gendert zu betrachten ist, bei einer
differentiellen Sicherung nicht zurckgesetzt wird. Dies hat zur Folge, dass
bei einer zeitlichen Abfolge von differentiellen Sicherungen immer auch
die Dateien erneut gesichert wurden, die auch bei einer der vorigen differentiellen Sicherungen gesichert wurden. Bei einer inkrementellen Sicherung werden immer nur die Dateien gesichert, die sich seit der vorigen
Sicherung (egal ob voll oder inkrementell) verndert haben. Bei Systemen
mit Windows, egal ob die Datentrger mit FAT oder NTFS betrieben werden, dient das Archiv-Attribut zur Kennzeichnung, ob eine Datei gesichert
werden muss oder nicht (siehe Kapitel 6). Eine Vollsicherung oder inkrementelle Sicherung setzt das Attribut fr die gesicherten Dateien zurck,
eine differentielle oder inkrementelle Sicherung sichern nur Dateien, bei
denen das Attribut gesetzt ist. Sobald Windows eine Datei verndert oder
neu anlegt, wird automatisch das Attribut gesetzt.
Der groe Unterschied zwischen inkrementeller und differentieller Sicherung zeigt sich beim Zurcksichern von Dateien. Whrend man bei der
inkrementellen sowohl das letzte Vollbackup als auch alle nachfolgenden
inkrementellen Backups einlesen muss, gengen bei der differentiellen
Sicherung das letzte Vollbackup und das letzte differentielle Backup.
Zwar spart die Verwendung von inkrementellen oder differentiellen
Sicherungen Platz auf dem fr die Sicherung verwendeten Datentrger, der Prozess der Rcksicherung wird dadurch aber komplexer und
zeitaufwendiger.
735
15.2.1
Datensicherung und Sicherheit
Bei der Datensicherung muss man auch beachten, dass eine derartige
Sicherung auch mit der Sicherheit von Dateien und Einstellungen auf
dem zu sichernden System interagiert. Sichern kann man diese nur, wenn
man auch das Recht besitzt, die zu sichernden Dateien lesen zu knnen.
Klar ist, dass der Administrator des Systems die notwendigen Berechtigungen besitzt. Oftmals will man aber nicht, dass ein Benutzer, der das
Recht (oder die Aufgaben) hat, eine Sicherung durchzufhren, gleichzeitig die volle administrative Berechtigung auf dem System erhlt.
Wer darf was?
Um dieses Problem zu lsen, existieren zwei Richtlinien (siehe Kapitel 11),

die entweder lokal (per gpedit.msc) oder in einer Domne ber eine Gruppenrichtlinie angepasst werden knnen: unter Computerkonfiguration/
Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen
von Benutzerrechten die Einstellungen Sichern von Dateien und Verzeichnissen und Wiederherstellen von Dateien und Verzeichnissen.
Abbildung 15.1
Wer darf Sicherungen durchfhren?
Standardmig sind bei einer Arbeitsstation die beiden vordefinierten Gruppen Administratoren und Sicherungs-Operatoren (auf englischen Systemen
Backup Operators) den beiden Richtlinien zugewiesen. Sobald ein Benutzer
direkt oder indirekt (ber die Mitgliedschaft in der Gruppe der Sicherungsoperatoren) in der Richtlinie aufgenommen wird, erhlt er automatisch fr
smtliche Objekte im System die Berechtigungen Ordner durchsuchen/Datei
ausfhren, Ordner auflisten/Daten lesen, Attribute lesen, Erweiterte Attribute
lesen und Berechtigungen lesen beziehungsweise Berechtigungen schreiben. In
der Folge knnen Benutzer, die der Gruppe der Sicherungsoperatoren angehren, mit einem dafr ausgelegten Sicherungsprogramm auch auf Dateien
und Verzeichnisse zugreifen, auf die sie mit ihrem Benutzeraccount eigentlich keinen Zugriff haben.
736
Sicherung durchfhren
So jedenfalls die schne Theorie.

Die Praxis bei Windows 7 ist etwas komplizierter. Die ber die Systemsteuerung erreichbare Sicherungsfunktion richtet sich nicht nach den Richtlinien und kann nur von einem Administrator bedient werden. Es ist aber
fr einen Benutzer in dieser Gruppe mglich, eine Sicherung ber die
Befehlszeile (siehe den Abschnitt 15.3.4 ab Seite 749) durchzufhren. Dies
hat natrlich zur Folge, dass man nur besonders vertrauenswrdige Benutzer in diese Gruppe aufnehmen sollte, da sie sich ber smtliche Zugriffberechtigungen hinwegsetzen knnen. Ein derartiger Benutzer knnte nmlich eine Sicherung sensibler Daten an einem unter seiner Kontrolle
stehenden Ort durchfhren und die Daten dort dann analysieren.
15
Durchgefhrt wird die Sicherung immer ber den lokalen SYSTEMAccount, sodass keine Probleme zu befrchten sind, dass die Sicherung auf
eine zu sichernde Datei nicht zugreifen kann. Dies hat allerdings zur Folge,
dass die Sicherung auch nur lokale Dateien sichern kann, nicht jedoch
Dateien auf Netzwerksystemen. Zudem mssen bei einer Sicherung auf
eine Netzwerklokation immer auch der Benutzername und das Kennwort
fr den Zugriff auf diese Lokation angegeben werden.
15.3 Sicherung durchfhren

Die Sicherungsfunktion von Windows 7 erreicht man ber Systemsteuerung/System und Sicherheit/Sichern und Wiederherstellen. Im Startbildschirm
der Funktion kann man auf einen Blick die wichtigsten Parameter kontrollieren.
Abbildung 15.2
Die Windows-Sicherung muss zunchst
737
Sofern noch keine Sicherungen konfiguriert sind, ist natrlich auch noch
nichts zu erkennen.
Abbildung 15.3
Sicherungscenter
in der Systemsteuerung
Wer sichert die

Sicherung?
Im oberen Teil des Fensters erkennen Sie unter Sichern, wohin aktuell
gesichert wird, wie viel Platz dort noch zur Verfgung steht und wie viel
Platz dort aktuell belegt wird. Per Klick auf die Schaltflche Jetzt sichern
startet man die aktuell konfigurierte Sicherung. Sofern momentan eine
Sicherung durchgefhrt wird, erkennt man dies im Fenster durch eine
entsprechende Statusdarstellung.
Abbildung 15.4
Eine Sicherung wird
durchgefhrt.
Whrend die Sicherung luft, knnen keine anderen Aktionen im Sicherungscenter durchgefhrt werden. Es ist lediglich mglich, ber die Schaltflche Details anzeigen etwas genauere Informationen ber den Ablauf der
Aktion zu erhalten.
738
Direkt unter der Speicherplatzangabe knnen Sie erkennen, ob eine regel- Mig, aber
mige Sicherung eingerichtet ist und wann diese ausgefhrt wird regelmig!
(Angabe Nchste Sicherung). Die Angabe Letzte Sicherung bezieht sich
sowohl auf automatische Sicherungen als auch auf manuell ausgelste
Sicherungsvorgnge. Die Angabe Zeitplan gibt Auskunft ber die Hufigkeit, in der die automatischen Sicherungen erfolgen. Die Angabe Inhalt
schlielich erklrt, welche Dateien bei einer Sicherung gesichert werden.
15.3.1
15
Sicherung einrichten
Die Sicherungsfunktion von Windows 7 bietet nur eine begrenzte Anzahl

von mglichen Datensicherungsszenarien. Wahlweise kann man eine
Imagesicherung (Systemabbild genannt) oder eine Sicherung einzelner Verzeichnisse durchfhren. Hierbei werden bei der Systemabbildsicherung nur
Vollsicherungen untersttzt und bei der Dateisicherung nur inkrementelle
Sicherungen. Sofern Sie noch keine Sicherung eingerichtet haben, klicken
Sie im Fenster aus Abbildung 15.2 auf den Link Sicherung einrichten. Wurde
bereits eine erste Einrichtung durchgefhrt, klicken Sie im Fenster aus
Abbildung 15.3 auf den Link Einstellungen ndern. Nach einer ersten Statusmeldung gelangen Sie zur Auswahl des Ziels fr die Datensicherung.
Sofern der aktuelle Benutzer nur Mitglied der Gruppe der Sicherungsoperatoren ist, erscheint an dieser Stelle eine Fehlermeldung, wenn man
die UAC-Abfrage mit dem Namen des Sicherungsoperators beantwortet.
Entgegen der Beschreibung der Gruppe muss an dieser Stelle ein Konto
eines Mitglieds der Gruppe der Administratoren ausgewhlt werden.
Die Sicherungsfunktion von Windows 7 ist recht eingeschrnkt in der
Auswahl der Sicherungsziele. Es werden nur die nachfolgend beschriebenen Mglichkeiten angeboten, die jeweils Vor- und Nachteile haben.
Abbildung 15.5
Mgliche Speicherorte fr die Datensicherung
739
Lokation
Vorteile
Nachteile
Eine lokale Festplatte,

die weder fr die Startdateien noch fr Windows selbst verwendet
wird.
Relativ groe Speicherkapazitt

zu geringem Preis.
Schneller Datentransfer.
Kann nicht getrennt vom Computer

aufbewahrt werden.
Durch eine Fehlfunktion des Computers kann es mglicherweise zum
Datenverlust kommen.
Ein optisches Laufwerk, Medien sind relativ billig.

mit dem Datentrger
Medien knnen getrennt vom
(CD oder DVD) beschrie- Computer verwahrt werden.
ben werden knnen.
Es ist nicht mglich, zeitgesteuerte

Sicherungen eines Systemabbildes
zu verwenden, nur manuelle Sicherungen.
Bedingt durch die geringe Kapazitt
der Medien werden mglicherweise
viele Medien bentigt, die dann
zusammen aufbewahrt werden
mssen.
Externe Festplatte am
USB-Port
Relativ groe Speicherkapazitt Die Festplatte muss angeschlossen

(mindestens 200 GB empfohlen). und aktiviert sein, wenn die SicheEinfacher Anschluss am USBrung durchgefhrt werden soll.
Port.
Festplatte kann getrennt vom
Computer verwahrt werden.
USB-Stick
Speicherkapazitt (mindestens
1 GB) ausreichend fr kleinere
Datenbestnde.
Stick kann getrennt vom
Computer verwahrt werden.
Es ist nicht mglich, Systemabbilder

zu speichern.
Fr grere Datenbestnde in der
Regel zu geringer Speicherplatz.
Netzwerk
Die Speicherlokation auf einem

Server kann von mehreren angeschlossenen Systemen genutzt
werden.
Durch das Netzwerk ist eine
rumliche Trennung von Datensicherung und System gegeben.
Funktion nur verfgbar in den

Editionen Professional, Ultimate
und Enterprise.
Benutzername und Kennwort fr
den Zugriff auf die Netzwerkfreigabe mssen separat angegeben
werden.
Der bereitstellende Server muss verfgbar sein, whrend die Sicherung
erfolgt.
Jeder, der Zugriff auf die Freigabe
hat, erhlt auch Zugriff auf die
Sicherungsdateien.
Tabelle 15.1: Ort der Datensicherung
Anhand von Abbildung 15.5 knnen Sie erkennen, dass das System aktuell
keine direkt angeschlossenen Speichermedien besitzt, auf denen eine
Datensicherung erfolgen kann. Es bleibt also nur die Mglichkeit, ber
die Schaltflche In Netzwerk speichern eine Netzwerklokation anzugeben.
740
Wird ein USB-Speicher angeschlossen, whrend das Dialogfeld bereits

geffnet ist, muss die Abfrage der mglichen Sicherungslokationen
ber die Schaltflche Aktualisieren erneut gestartet werden.
Abbildung 15.6
Auswahl einer Netzwerklokation
Die Netzwerkadresse kann man entweder direkt manuell eingeben, oder

es kann eine Freigabe im Netzwerk ber die Schaltflche Durchsuchen ausgewhlt werden.
Struktur der Sicherungsdateien

In diesen Speicherort (egal ob Netzwerk oder lokales Laufwerk) werden die Wo liegen die
Sicherungsdateien fr Dateisicherungen direkt und fr Systemabbildsiche- Daten?
rungen im Unterordner WindowsImageBackup abgelegt. Dort wird zunchst
ein Ordner angelegt, der den Namen des gesicherten Systems trgt, unter
dem dann die einzelnen Sicherungsdaten angelegt werden. Die folgende
Auflistung soll dies illustrieren:
\
+---WIN72
| +---Backup Set
| | +---Backup
| | +---Backup
| | +---Backup
| | +---Backup
| | +---Backup
| | +---Backup
| | +---Backup
| | +---Backup
| | +---Backup
| | +---Backup
2009-10-02 105121
Files 2009-10-02 105121
Files 2009-10-02 110002
Files 2009-10-02 214323
Files 2009-10-03 091835
Files 2009-10-03 110006
Files 2009-10-03 110344
Files 2009-10-03 134945
Files 2009-10-03 183811
Files 2009-10-04 074732
Files 2009-10-04 093533
Listing 15.1
Verzeichnisstruktur
einer Datensicherung
741
15
| | +---Backup Files 2009-10-04 102933
| | +---Backup Files 2009-10-04 105214
| | +---Backup Files 2009-10-04 110004
| | \---Catalogs
| \---Backup Set 2009-10-04 164339
|
+---Backup Files 2009-10-04 164339
|
+---Backup Files 2009-10-04 165225
|
+---Backup Files 2009-10-04 170546
|
\---Catalogs
+---WindowsImageBackup
+---win72
| +---Backup 2009-10-02 224303
| +---Catalog
| \---SPPMetadataCache
\---win7lap
+---Backup 2009-10-03 101724
+---Catalog
Zunchst erkennen Sie auf oberer Ebene zwei Ordner: WIN72 fr Dateisicherungen des entsprechenden Computers und WindowsImageBackup
fr Systemabbildsicherungen. Diese Abbilder sind fr zwei unterschiedliche Computer verfgbar: win72 und win7lap. Im Verzeichnis der Dateisicherungen sind die Sicherungen in Backup Set- und Backup Files-Verzeichnissen organisiert, deren Namen jeweils noch durch einen Zeitstempel
ergnzt werden. Die erste Sammlung von Backup-Dateien in einem
Backup Set-Verzeichnis ist immer eine Vollsicherung, die folgenden Sicherungen sind inkrementell. Windows 7 legt von Zeit zu Zeit von sich aus
neue Backup Sets an.
Mchte man auf dem Sicherungsmedium Platz freigeben, sollte man
immer komplette Backup Sets lschen, nicht einzelne Unterverzeichnisse eines Backup Sets. Leider bietet Windows von sich aus keine
Mglichkeit, selektiv einzelne Backup Sets zu lschen.
Auswahl der zu sichernden Dateien

Im nchsten Schritt mssen die zu lschenden Dateien ausgewhlt werden. Diese Auswahl kann man entweder Windows berlassen oder selbst
die gewnschten Dateien auswhlen. ber den Link Wie werden die zu
sichernden Dateien von Windows ausgewhlt? lsst sich zwar erkennen, welche Dateien dies sein sollen (im Wesentlichen die Bibliotheken Bilder, Dokumente, Musik und Videos der vorhanden Benutzer). Es empfiehlt sich aber,
die zu sichernden Dateien ber die Option Auswahl durch Benutzer selbst
zu selektieren.
742
Abbildung 15.7
Auswahl der zu
sichernden Dateien
15
Bei der manuellen Auswahl der Dateien beginnt die Sicherung zunchst
mit den Dateien, die auch bei Auswahl der Option Auswahl durch Windows
(empfohlen) selektiert worden wren.
Abbildung 15.8
Auswahl von zu
sichernden Dateien
743
In der Baumstruktur knnen Sie durch Klick auf die kleinen Dreiecksymbole vor den Kontrollkstchen den betreffenden Zweig aufund zuklappen. Ob der jeweilige Bereich gesichert werden soll oder nicht, entscheidet
das Kontrollkstchen. Unter dem Punkt Datendateien befinden sich die
Dateien aus den Benutzerbibliotheken, und unter dem Punkt Zustzliche
Speicherorte, der unterhalb des Knotens Bibliotheken von <Benutzername> zu
finden ist, die speziellen Datenverzeichnisse, etwa fr den Desktop, heruntergeladene Dateien oder die Favoriten des Internet Explorers.
Die Dateien, die direkt im Benutzerverzeichnis %USERPROFILE% abgelegt werden, gehren nicht zu dieser Standardauswahl hinzu. Dies
bedeutet unter anderem, dass die Dateien des Benutzerprofils (ntuser.dat)
nicht zur Datensicherung gehren. Ebenfalls nicht zur Sicherung gehren
Dateien, die ber das Netzwerk einer Benutzerbibliothek hinzugefgt
wurden.
Der Zweig Daten fr neu erstellte Benutzer sichern bezieht sich auf die
Daten smtlicher Benutzer, die erst nachtrglich dem System hinzugefgt
werden. Somit kann man einmalig den Sicherungsvorgang konfigurieren
und muss ihn nicht erneut modifizieren, sobald ein neuer Benutzer angelegt wird. Will man weitere Verzeichnisse zur Datensicherung hinzufgen, kann man im unteren Teil Computer durch die einzelnen Laufwerke
navigieren und dort die entsprechende Auswahl treffen.
Die Dateisicherung sichert nicht alle Dateien in den ausgewhlten Verzeichnissen, zum Beispiel werden keine Programmdateien oder temporre Dateien gesichert. Ebenfalls werden von der Sicherung generell
keine Dateien gesichert, die sich auf einem Datentrger, der mit FAT
formiert ist, befinden.
Im unteren Teil des Dialogfeldes kann man mit dem Kontrollkstchen
Systemabbild von Laufwerken einschlieen zur Sicherung automatisch auch
ein Systemabbild (siehe den Abschnitt 15.3.2 ab Seite 746) erstellen lassen.
Dies lsst sich allerdings nicht fr alle mglichen Sicherungslokationen
durchfhren (siehe Tabelle 15.1). Nach dem Doppelpunkt werden die Partitionen angegeben, die in dieses Abbild eingeschlossen werden.
Zeitplan der Sicherung

Zum Abschluss erscheint eine Zusammenfassung der aktuell gewhlten
Optionen. Hier kann man insbesondere sehen, dass Windows 7 von sich
aus die Sicherung jede Woche am Sonntag durchfhren mchte. Dies ist
allerdings fr ein System im Broeinsatz ein denkbar ungnstiger Zeitpunkt. Per Klick auf den Link Zeitplan ndern knnen Sie hier einen Zeitpunkt angeben, der besser zu Ihren Arbeitszeiten passt und auf Ihre
Anforderungen in Bezug auf die Datensicherung Rcksicht nimmt.
744
Abbildung 15.9
Sicherungsoptionen
berprfen
15
Abbildung 15.10
Zeitplan ndern
Insbesondere bei Systemen im mobilen Einsatz (der sich ewig im Auen- Probleme beim
dienst befindliche Roadwarrier, der blo zur Weihnachtsfeier die Firmen- Roadwarrier
rume betritt) ist es schwierig, einen Zeitpunkt zu finden, an dem eine
Sicherung durchgefhrt werden kann. Hier lassen sich zwar ber die
Aufgabenplanung im Bereich Aufgabenplanungsbibliothek/Microsoft/Windows Backup noch einige Optionen einstellen (zum Beispiel nicht im
Akkubetrieb starten), aber viel hilft dies auch nicht. So sollte man den
Zeitplan durch Entfernen des Hkchens im Kontrollkstchen Sicherung
auf Basis eines Zeitplans ausfhren deaktivieren und die Sicherung bei
745
Bedarf manuell starten. Fr ein Desktop-System kann man den Zeitplan

tglich, wchentlich oder monatlich einstellen. Hier lsst sich die Frequenz anhand der Wichtigkeit der zu sichernden Daten anpassen. Alternativ kann man auch im Sicherungscenter durch den Link Zeitplan deaktivieren im linken Aktionsbereich des Fensters die Zeitplanung vorlufig
aussetzen. In diesem Fall erscheint in Bereich Nchste Sicherung der Text
nicht geplant und zustzlich ein neuer Link Zeitplan aktivieren.
Durch den Klick auf die Schaltflche Einstellungen speichern und Sicherung
ausfhren passiert genau dieses. Es ist also nicht mglich, die Einstellungen zu ndern, ohne daraufhin sogleich eine Sicherung zu beginnen.
15.3.2
Systemabbild erstellen
Im Gegensatz zur Dateisicherung, die nur Dateien in bestimmten Verzeichnissen und auch nur bestimmte Dateitypen sichert, dient die Sicherung
eines Systemabbildes der Sicherung eines kompletten Systems mit allen
Programmen, Einstellungen und Daten. Mit einer solchen Sicherung ist es
mglich, ein komplett neues System wieder in den gesicherten Zustand zu
versetzen, ohne vorher zunchst das Betriebssystem und dann die einzelnen Anwendungen zu installieren.
Imaging ohne
Fremdprodukte
Abbildung 15.11
Sicherungsziel fr
ein Systemabbild
746
Gestartet wird die Erstellung eines Systemabbildes entweder durch die entsprechende Auswahl im Dialogfeld bei der Erstellung einer Dateisicherung
oder durch den Link Systemabbild erstellen im linken Bereich des Sicherungscenters.
Aus Sicherheitsgrnden sollte man das Systemabbild nicht in einer Partition speichern, die sich auf dem gleichen physikalischen Datentrger
befindet wie die zu sichernden Partitionen, da dann bei einem Hardwaredefekt an der Festplatte sowohl das System als auch die Sicherung
defekt sind. Deshalb wird eine entsprechende Warnmeldung angezeigt.
15
Prinzipiell ist es nicht mglich, das Systemabbild auf einem Datentrger zu

speichern, der selbst Teil der Sicherung ist. Erscheint ein Gert nicht in den
jeweiligen Auswahlfeldern (etwa weil es erst spter angeschlossen wurde),
kann dort mit dem Eintrag <Aktualisieren> die Auflistung erneuert werden.
Auer bei der Verwendung von optischen Datentrgern untersttzt Windows 7 nicht, dass mehrere Systemabbilder auf dem gleichen Sicherungsmedium aufbewahrt werden. Mchten Sie mehrere Versionen der Abbilder
aufbewahren, mssen Sie die jeweiligen Daten manuell an einen anderen
Ort kopieren.
Abbildung 15.12
Auswahl der zu
sichernden Laufwerke
Im nchsten Schritt werden die zu sichernden Laufwerke festgelegt. Standardmig sind hier das Laufwerk mit den Startdateien und jenes mit den
Systemdateien bereits ausgewhlt. Hat man im System auf einem Laufwerk nur Datendateien gesichert, sollte man besser eine Dateisicherung als
ein Abbild anfertigen. Ein Abbild eines Nicht-Systemdatentrgers empfiehlt sich eigentlich nur fr Laufwerke, auf denen auch Programme vorhanden sind, da diese bei der Dateisicherung nicht gesichert werden.
Es ist nicht mglich, FAT-formatierte Laufwerke in einem Systemabbild zu sichern!
747
Nach einem Klick auf die Schaltflche Weiter wird noch eine Zusammenfassung der Optionen angezeigt, bevor man die Sicherung starten kann.
Abhngig von der Menge der zu sichernden Daten und der Geschwindigkeit des Sicherungsmediums kann dies eine geraume Zeit dauern. In
einem Dialogfeld lsst sich der Fortgang der Sicherung verfolgen. Whrend dieser Zeit sollte nicht intensiv mit dem System gearbeitet werden.
Abbildung 15.13
Systemreparaturdatentrger erstellen?
Nachdem das System die ausgewhlten Partitionen gesichert hat, lsst sich
zustzlich ein Systemreparaturdatentrger erstellen (siehe den Abschnitt
15.3.3 ab Seite 748).
Sofern das Systemabbild auf einer internen oder externen Festplatte
gespeichert wird, werden die NTFS-Berechtigungen so gesetzt, dass
nur Administratoren und Sicherungsoperatoren Zugriff auf die Daten
haben. Bei einer Speicherung auf einem Netzwerk oder optischen
Datentrgern ist dies nicht mglich.
15.3.3
Systemreparaturdatentrger erstellen
Ein Systemreparaturdatentrger bietet die Mglichkeit, einen Computer

ohne Betriebssystem zu starten, um dann mit dem Startprogramm der CD
oder DVD ein vorher erzeugtes Systemabbild zu laden und auf den Datentrgern zu installieren. Der Computer muss hierzu ber ein beschreibbares
optisches Laufwerk verfgen. Der Systemreparaturdatentrger kann entweder im Anschluss an die Erstellung eines Systemabbildes oder separat
ber den Link Systemreparaturdatentrger erstellen im linken Aktionsbereich des Sicherungscenters erstellt werden.
Abbildung 15.14
Einen Systemreparaturdatentrger
erstellen
748
Anstelle eines Systemreparaturdatentrgers lsst sich natrlich auch eine

Installations-DVD von Windows 7 verwenden. Diese bietet gleichfalls die
Mglichkeit, ein System zu starten, um dann ein Systemabbild einzulesen.
Allerdings gibt es Anwendungsflle, in denen eine Installations-DVD nicht
verfgbar ist, etwa in einer Firmenumgebung, bei der neue Systeme ber
eine Netzwerkinstallation erzeugt werden.
15
Auf dem Datentrger werden etwa 140 MB Daten abgespeichert. Eine

CD reicht also fr die Speicherung vollkommen aus.
15.3.4
Systemsicherung durch
Wiederherstellungspunkte
Whrend bei der Dateisicherung nur Datendateien gesichert werden und

beim Systemabbild komplette Systeme mit Programmen, Einstellungen
und Daten, gibt es noch eine dritte Mglichkeit bei Windows 7, ber die
Systemdateien von Windows selbst gesichert werden. Diese Technik nennt
sich Wiederherstellungspunkte (englisch Restore Points) und wurde erstmals
bei Windows XP vorgestellt. Bei dieser Funktion wird zum einen regelmig jede Woche und automatisch vor jeder Installation eines Programms
oder Treibers eine Kopie der bisherig verwendeten Dateien angelegt. Auf
diese Weise kann man (mglicherweise) Probleme, die durch fehlerhafte
neue Dateien entstehen, beheben, indem man den Computer in einen frheren Zustand zurcksetzt.
Eine detaillierte Beschreibung finden Sie bei Microsoft unter der Adresse
[REST].
Generell sichert ein Wiederherstellungspunkt sowohl Vernderungen an
Dateien als auch den Inhalt der Registry in einem speziellen Bereich der
Festplatte unter dem Ordner \System Volume Information, jeweils fr jedes
Laufwerk einzeln. Der Zugriff auf diesen Ordner wird sowohl normalen
Benutzern als aus Administratoren verweigert, allein der SYSTEM-Account
hat Zugriff. Die maximale Gre dieses Verzeichnisses lsst sich fr jedes
Laufwerk individuell einstellen, wobei auf FAT-Laufwerken diese Funktion
generell nicht verfgbar ist.
Bedingt durch die nderung in der internen Implementation der Erzeugung der Wiederherstellungspunkte zwischen Windows XP einerseits
und Windows Vista und Windows 7 andererseits verliert man auf einem
System mit Dualboot automatisch smtliche Wiederherstellungspunkte,
sobald man mit dem jeweils anderen System auf die Laufwerke zugreift.
Dieses Problem tritt nicht auf, wenn man auf einem System gemeinsam
Windows Vista und Windows 7 installiert und betreibt.
749
Starten Sie Systemsteuerung/System und Sicherheit/System, oder rufen Sie

im Startmen aus dem Kontextmen des Eintrags Computer den Befehl
Eigenschaften auf. Klicken Sie im anschlieend geffneten Fenster im linken Aktionsbereich auf den Link Computerschutz.
Abbildung 15.15
Control-Panel fr
den Computerschutz
FAT bleibt
ungesichert
In diesem Fenster sehen Sie im Abschnitt Schutzeinstellungen, fr welche

Laufwerke aktuelle nderungen berwacht werden. Hier werden prinzipiell nur NTFS-Laufwerke aufgelistet, keine mit dem FAT-Dateisystem. ber
die Schaltflche Erstellen knnen Sie manuell die Erstellung eines Wiederherstellungspunktes anstoen, etwa bevor Sie Wartungsarbeiten am System
vornehmen wollen. Hierfr mssen Sie eine Beschreibung angeben, anhand
der Sie spter den Wiederherstellungspunkt identifizieren knnen.
Mit der Schaltflche Konfigurieren knnen Sie die Einstellungen fr das
zuvor oben in der Auflistung selektierte Laufwerk kontrollieren und abndern.
Im oberen Teil des Dialogfeldes knnen Sie kontrollieren, ob und welche
nderungen verfolgt werden sollen. Im unteren Teil lsst sich ersehen,
wie viel Platz aktuell von den Wiederherstellungspunkten auf dem Laufwerk belegt ist und wie viel Speicherplatz maximal belegt werden darf.
Mit der Schaltflche Lschen passiert genau dieses. Diese Aktion sollte
man nur in besonderen Fllen durchfhren, etwa wenn sich Schadsoftware (Viren oder Wrmer) in dem Bereich befindet, die der Virenscanner
nicht entfernen kann.
750
Abbildung 15.16
Systemschutzeinstellungen fr ein
Laufwerk
15
Windows sorgt automatisch selbst dafr, dass ltere Sicherungspunkte

gelscht werden, wenn der Platz aufgebraucht wird. Aus diesem Grund
sind die Wiederherstellungspunkte auch keine dauerhafte Sicherungsmglichkeit, da im Laufe der Zeit die lteren Informationen berschrieben werden.
Whrend bei Windows XP noch maximal 12 % der Kapazitt einer Festplatte als Grenzwert voreingestellt waren, wurde diese Grenze bei Windows 7 auf 5 % oder maximal 10 GB verringert. Je nach Anforderung kann
diese Grenze aber vom Benutzer selbst nach Wunsch verndert werden.
15.3.5
Weitere Programme zur Datensicherung

wbadmin und robocopy
Es gibt eine ganze Reihe von Programmen, die fr die Datensicherung

verwendet werden knnen. Zum Beispiel werden entsprechende Anwendungen oft auch zusammen mit externen USB-Festplatten ausgeliefert.
Ob diese auch unter Windows 7 entsprechend funktionieren, mssen Sie
selbst austesten. An dieser Stelle soll nur kurz auf zwei Anwendungen
verwiesen werden, die zum Lieferumfang von Windows 7 gehren.
wbadmin.exe
Mit dem Tool wbadmin.exe kann man die Verwendung von Systemabbildern kontrollieren. Prinzipiell muss jeder Aufruf in einer Eingabeaufforderung mit administrativen Berechtigungen erfolgen. Im Einzelnen sind
die nachfolgend beschriebenen Aktionen mglich.
751
Welche Images
gibt es?
Mit wbadmin get versions erhlt man einen berblick, von welchen Computersystemen Systemabbilder an der jeweiligen Lokation verfgbar sind.
>wbadmin get versions -backupTarget:\\server\freigabe
wbadmin 1.0 Sicherungs-Befehlszeilentool
(C) Copyright 2004 Microsoft Corp.
An diesem Speicherort wurden Sicherungen von mehreren Computern
gefunden. Geben Sie an, welche Sicherungen Sie verwenden mchten.
Verwenden Sie hierzu den Parameter "-machine:BackupMachineName" mit
"WBADMIN GET VERSIONS".
Liste der Computer, deren Sicherungen fr eine Wiederherstellung am
angegebenen Speicherort verwendet werden knnen:
WIN2008
win72
win7lap
FEHLER Der angeforderte Vorgang konnte nicht ausgefhrt werden, da
der Parameter "-machine:<Name des gesicherten Computers>" nicht
angegeben wurde.
Gibt man den Namen eines speziellen Systems an, erhlt man eine detaillierte Aussage darber, welche Informationen dort vorrtig sind und wann
die Sicherung angelegt wurde.
>wbadmin get versions -backupTarget:\\server\freigabe
-machine:win7lap
Sicherungszeit: 03.10.2009 12:17
Sicherungsort: Freigabe mit der Aufschrift "\\server\freigabe"
Versions-ID: 10/03/2009-10:17
Wiederherstellbar: Volume(s), Datei(en), Anwendung(en), Bare-MetalRecovery, Systemstatus
Mit dem Befehl wbadmin get items kann man feststellen, welche Laufwerke
und sonstigen Bestandteile in einem Backup vorhanden sind. Die Angaben
fr machine und version ergeben sich aus dem obigen get versions-Aufruf.
>wbadmin get items -version:10/03/2009-10:17
-backupTarget:\\server\freigabe -machine:win7lap
Volume-ID = {62cf6dac-afff-11de-9397-806e6f6e6963}
Volume "<Volume ohne Bezeichnung>", zum Zeitpunkt der
Sicherungserstellung bereitgestellt unter "D:"
Volumegre = 141.08 GB
Wiederherstellbar = Vollstndiges Volume
Volume-ID = {62cf6dae-afff-11de-9397-806e6f6e6963}
Volume "<Volume ohne Bezeichnung>", zum Zeitpunkt der
Sicherungserstellung bereitgestellt unter "C:"
Volumegre = 73.44 GB
Wiederherstellbar = Vollstndiges Volume
Anwendung = Registry
Komponente = Registry (\Registry)
752
Daten restaurieren
Mit dem Befehl wbadmin get status kann man feststellen, ob aktuell gerade
ein Sicherungsvorgang durchgefhrt wird oder nicht.
robocopy.exe
Das Programm robocopy.exe ist quasi eine getunte Version des seit MS- xcopy on speed
DOS bekannten Programms xcopy.exe und in seinen Optionen weitestgehend kompatibel damit. Whrend in den lteren Versionen von Windows
der Befehl noch zum separaten Resource Kit gehrte, ist es seit Windows
Vista standardmig im Lieferumfang enthalten. Mit etwa 80 Befehlszeilenoptionen ist das Tool so komplex, dass es inzwischen sogar von Microsoft eine grafische Oberflche gibt, mit der man ein Skript erzeugen kann,
das die eingestellten Optionen enthlt (zu erhalten unter der Adresse
[ROBOCOPY]). Die folgenden Optionen bei robocopy.exe sind insbesondere fr den Einsatz zur Datensicherung interessant:
/B Weist robocopy.exe an, im sogenannten Backup Mode zu arbeiten.
Hierbei werden spezielle API-Funktionen von Windows verwendet,
mit denen es einem Administrator oder einem Mitglied der Gruppe
der Sicherungsoperatoren mglich ist, NTFS-Berechtigungen zu bergehen.
/MON und /MOT Mit diesen Parametern berwacht robocopy.exe
permanent die angegebene Quelle und fhrt laufend die gewnschte
Kopieraktion durch, wenn sich nderungen ergeben haben.
/IPG Beim Betrieb ber langsame oder schmalbandige Datenleitungen wartet robocopy.exe zwischen den einzelnen Datenpaketen eine
angegebene Zeitspanne, um zu verhindern, dass der Kopiervorgang
die komplette Leitungskapazitt verwendet. Insbesondere interessant,
wenn man ber eine WAN-Verbindung Daten in eine entfernte Lokation kopieren will.
/A Kopiert nur Dateien, bei denen das Archiv-Attribut gesetzt ist
(differentielle Datensicherung).
/M Kopiert nur Dateien, bei denen das Archiv-Attribut gesetzt ist, und
setzt dieses nach der Kopie zurck (inkrementelle Datensicherung).
15.4 Daten restaurieren

Bei der Restaurierung von Daten aus einer Sicherung muss man immer zwischen zwei Fllen unterscheiden. Entweder ist der Computer selbst noch
funktionsfhig und man kann die systemeigenen Rcksicherungsfunktionen verwenden, oder der Computer ist nicht funktionsfhig und man muss
auer den gewnschten Daten auch noch zustzlich das Betriebssystem
wiederherstellen.
753
15
15.4.1
Rcksicherung eines kompletten Systems
Bei der Rcksicherung eines kompletten Systems werden smtliche Inhalte

eines Systems, also Programme, Einstellungen und Benutzerdaten, mit den
Daten aus der Sicherung berschrieben. Diesen Schritt sollte man also nur
als allerletztes Mittel einsetzen, wenn sonst kein Zugriff mehr auf das System mglich ist. Bei dieser Art der Rcksicherung werden die noch verbliebenen Daten komplett gelscht!
Sofern man vermutet, dass noch wichtige Daten auf dem System vorhanden sind, kann man versuchen, diese ber ein Livesystem von CD
oder DVD vorher zu sichern.
Fr die Rcksicherung eines kompletten Systems gibt es drei Mglichkeiten, den Prozess zu initiieren:
1. Aufruf der Option Computer reparieren durch Drcken der Taste (F8)
im Startprozess von Windows und Auswahl der entsprechenden Option (siehe Abbildung 15.17).
2. Booten von einem Systemreparaturdatentrger
3. Booten vom Installationsdatentrger
Abbildung 15.17
Reparaturoptionen
im Startbildschirm
Die Variante 1 ist die schnellste, da hierbei die notwendigen Dateien direkt
von der Festplatte des Systems aus gestartet werden. Dies setzt jedoch voraus, dass zumindest eine gewisse Restfunktionalitt des Systems noch gegeben ist. Die Varianten 2 und 3 knnen auch auf einem vllig leeren System
ohne jegliches Betriebssystem durchgefhrt werden (Bare Metal Restore).
754
Daten restaurieren
Abbildung 15.18
Reparaturoptionen
im Startbildschirm
der InstallationsDVD
15
Beim Start mit dem Installationsdatentrger muss man nach der Auswahl Restauration
der Sprachversion im Startbildschirm anstelle auf Jetzt installieren den Link statt Installation
Computerreparaturoptionen im unteren Teil des Dialogfeldes anklicken. Beim
Start ber das Systemstartmen muss man Benutzername und Kennwort
eines administrativen Benutzers eingeben, bevor sich der Prozess starten
lsst.
Abbildung 15.19
Nur Administratoren drfen reparieren.
755
Beim Start werden zunchst alle vorhandenen Festplatten nach bereits vorhandenen Windows-Installationen durchsucht. Hier hat man die Mglichkeit, fr die ausgewhlte Windows-Installation spezielle Reparaturoptionen auszuwhlen.
Abbildung 15.20
Reparieren oder
plattmachen mit
dem Installationsdatentrger?
Beim Start ber das Systemstartmen erhalten Sie eine Auswahl von mglichen Aktionen. Whlen Sie hier die Option Systemabbild-Wiederherstellung
aus.
Abbildung 15.21
Aktionsauswahl im
Reparaturmen
Im ersten Schritt werden smtliche vorhandenen lokalen Laufwerke durchsucht, ob sich dort ein Systemabbild befindet. Diese Suche wird allerdings
756
Daten restaurieren
zwangslufig scheitern, wenn das Abbild nicht lokal, sondern im Netzwerk gespeichert ist.
Abbildung 15.22
Kein lokales Abbild
gefunden
15
Nach dem Klicken auf Abbrechen und Markieren der Option Systemabbild
auswhlen im unterliegenden Dialogfeld erhlt man im nchsten Dialogfeld
die Mglichkeit, ber die Schaltflche Erweitert die gewnschte Netzwerklokation auszuwhlen. Werden auf den lokalen Laufwerken Systemabbilder
gefunden, wird das Dialogfeld automatisch mit dem aktuellsten Abbild ausgewhlt.
Abbildung 15.23
Abbilder im Netzwerk werden
erkannt.
757
Fr den Zugriff auf das Netzwerk muss zunchst eine Besttigung eingeholt werden, da bei dieser Aktion durch das Fehlen jeglicher Schutzfunktionen wie etwa Firewall oder Virenschutz die Sicherheit des Systems
gefhrdet ist.
Abbildung 15.24
Zugriff aufs Netzwerk erlauben?
Nach Mglichkeit sollte man diese Restaurierung bers Netzwerk nur

in einem besonders abgeschotteten Netzwerk durchfhren, auch um
zu verhindern, dass die im Systemabbild gespeicherten Daten in falsche Hnde geraten.
Fr den Zugriff auf die Netzwerkfreigabe muss man entsprechend einen
Benutzernamen und das zugehrige Kennwort eingeben. Sofern der Zugriff
erfolgreich hergestellt wurde, werden smtliche Systemabbilder angezeigt,
die in der Freigabe vorhanden sind. Im Beispiel in Abbildung 15.23 knnen
Sie erkennen, dass in der Freigabe sowohl eine Sicherung eines Systems mit
dem Namen win72 als auch eine Sicherung eines Systems mit dem Namen
WIN2008 enthalten sind.
Nach Auswahl der gewnschten Sicherung erscheint auf der nchsten
Seite eine Information, welche Laufwerke in der Sicherung enthalten sind
und wann die Sicherung erfolgt ist.
758
Daten restaurieren
Abbildung 15.25
Welche Sicherung
soll es sein?
15
Das Dialogfeld legt nahe, dass es mehrere Systemabbilder eines Systems geben knnte. Eventuell wird diese Funktionalitt spter nachgeliefert.
Abbildung 15.26
Weitere Optionen
759
Sofern man den Computer ber einen optischen Datentrger gestartet

hat, kann man ber die Schaltflche Datentrger ausschlieen bestimmte
physische Datentrger von der Formatierung ausnehmen. Mit dem Kontrollkstchen Nur Systemlaufwerke wiederherstellen kann man verhindern,
dass Datentrger, auf denen nur Daten enthalten sind, von der Rcksicherung berschrieben werden; dieses wird nur angezeigt, wenn sich in der
Sicherung entsprechende Laufwerke befinden.
Mit der Schaltflche Erweitert kann man kontrollieren, ob der Computer
nach Abschluss des Vorgangs neu gestartet und ob die Festplatte im Computer einer zustzlichen Datentrgerprfung unterworfen werden soll. Beide
Optionen sind standardmig aktiviert.
Sofern die vorhandenen Festplatten von der Rcksicherung nicht erkannt
werden, hat man ber die Schaltflche Treiber installieren die Mglichkeit,
zustzliche Treiber zu laden, um die Hardware ansprechen zu knnen,
dies drfte allerdings bei den wenigsten Systemen notwendig sein.
Lieber zweimal
nachfragen!
Nach einem Klick auf die Schaltflche Weiter erscheint nochmals eine
Zusammenfassung der auszufhrenden Aktion. Nach einem Klick auf
die Schaltflche Fertig stellen und einer erneuten Sicherheitsabfrage startet der Prozess. Je nach Gre des Systemabbildes kann dies geraume
Zeit dauern. Nach Abschluss wird das System gegebenenfalls neu gestartet und steht dann wieder im Zustand zum Zeitpunkt der Sicherung zur
Verfgung.
Je nachdem, wie weit Sie den Systemzustand damit zurckdrehen,
verschwinden natrlich damit auch die in der Zwischenzeit erfolgten
Updates. Dies kann eventuell das System fr Angriffe verwundbar
machen.
15.4.2
Wiederherstellen von Dateien
Einzelne Dateien oder ganze Verzeichnisse knnen aus verschiedenen

Quellen wiederhergestellt werden. Entweder aus Dateisicherungen (siehe
den Abschnitt 15.3.1 ab Seite 739) oder aus Wiederherstellungspunkten
(siehe den Abschnitt 15.3.4 ab Seite 749). wobei bei Letzteren nicht gewhrleistet ist, wie lange eine ltere Version einer Datei erhalten bleibt.
Zustzlich knnen Dateien auch aus einem Systemabbild entnommen
werden, diese Variante wird aber von Windows nicht untersttzt und
muss manuell durch Einbindung der erzeugten .vhd-Datei als zustzliche Festplatte durchgefhrt werden (siehe Kapitel 6).
760
Daten restaurieren
Sofern eine Datei oder ein Verzeichnis noch auf dem System existiert, kann
die Wiederherstellung einer alten Version sehr einfach ber das Kontextmen der Datei erreicht werden. Whlen Sie entweder Eigenschaften aus
und wechseln dann zur Registerkarte Vorgngerversionen, oder whlen Sie
gleich im Men den Eintrag Vorgngerversionen wiederherstellen aus.
15
Dieser Eintrag ist nur fr Dateien und Verzeichnisse verfgbar, nicht

fr Bibliotheken.
Abbildung 15.27
Vorherige Versionen
einer Datei
In der Auflistung Dateiversionen erscheinen alle Versionen der jeweiligen

Datei oder des Verzeichnisses zeitlich geordnet, die in einer der Sicherungen
enthalten sind. Abhngig davon, ob dies Vollsicherungen oder inkrementelle Sicherungen sind, werden dort nicht alle aktuell verfgbaren Sicherungen aufgelistet. Whlt man in der Auflistung eine der Sicherungen aus,
kann man mit den Schaltflchen unter der Auflistung folgende Aktionen
ausfhren:
ffnen Die Datei wird mit dem Standardprogramm fr diesen Typ
geffnet, ohne eine Kopie im Dateisystem zu hinterlegen.
Kopieren Die Datei kann in einem frei gewhlten Ordner abgespeichert werden. Whlt man hierbei den aktuellen Ordner aus, in dem sich
sie aktuelle Version der Datei befindet, muss man sich entscheiden, ob
man wirklich die aktuelle Version berschreiben oder die alte Version
unter einem neuen Namen abspeichern will (siehe 15.28).
Wiederherstellen Die gewhlte Version der Datei wird nach einer Rckfrage am ursprnglichen Ort wieder hergestellt. Die neue Version wird
gelscht.
761
Abbildung 15.28
Welche Version
soll es sein?
Arbeitserleichterung fr Administratoren
762
Diesen Vorgang knnen auch Benutzer ohne administrative Berechtigung

durchfhren, dies drfte die Anzahl der Anfragen an den Support/den
Administrator in dem Bereich drastisch reduzieren. Sofern eine Datei
gelscht wurde, ist es natrlich nicht mehr mglich, deren Kontextmen
aufzurufen. Hier muss man ber Systemsteuerung/System und Sicherheit/
Sichern und Wiederherstellen gehen (siehe Abbildung 15.3). Im Abschnitt
Wiederherstellen stehen drei Aktionen zur Auswahl:
Eigene Dateien wiederherstellen Ein Benutzer kann smtliche Dateien,
auf die er Zugriff hat, aus einer Sicherung wiederherstellen. Die betrifft
beispielsweise auch Dateien aus dem Public-Bereich.
Alle Benutzerdateien wiederherstellen Ein administrativer Benutzer
kann auch Dateien wiederherstellen, die anderen Benutzern gehren,
egal wo diese abgespeichert worden waren.
Andere Sicherung fr die Wiederherstellung auswhlen Die beiden obigen Funktionen arbeiten jeweils mit den Sicherungen, die unter Ort
im Bereich Sichern zu finden sind. Mchte man jedoch auf eine andere
Sicherung ausweichen, muss ein administrativer Benutzer ber diesen Link einen anderen Speicherort auswhlen. Mit dieser Funktion
knnen auch Dateien wiederhergestellt werden, die nicht auf dem
aktuellen System gesichert wurden.
Daten restaurieren
Abbildung 15.29
Fremde Sicherungen einlesen
15
Im zweiten Schritt werden jetzt die Dateien und Ordner ausgewhlt, die
wiederhergestellt werden sollen.
Abbildung 15.30
Welche Dateien und
Ordner werden
wiederhergestellt?
763
Was soll zurck?
Mit der Schaltflche Suchen erreicht man eine Suchmaske, mit der man in
Dateien nach Namen oder Suchmustern (beispielsweise *.jpg) suchen
kann. Die dort gefundenen Dateien kann man dann ber Kontrollkstchen jeweils einzeln beziehungsweise gesammelt auswhlen. Mit den
Schaltflchen nach Dateien suchen und Nach Ordnern suchen kann man im
Verzeichnisbaum der gewhlten Sicherung navigieren und wiederum die
gesuchten Elemente auswhlen. Aus allen diesen Suchvorgngen landen
die gewhlten Elemente dann im Dialogfeld aus Abbildung 15.30. Mit den
Schaltflchen Entfernen und Alle entfernen kann man aus der Liste
bestimmte Elemente wieder entfernen. Will man komplett smtliche
Dateien einer Sicherung restaurieren, kann man das Kontrollkstchen
Alle Dateien aus dieser Sicherung auswhlen aktivieren. In diesem Fall verschwindet die Liste der ausgewhlten Dateien.
Bei der Navigation durch die Sicherungsdateien werden die Elemente
mit ihrem richtigen Namen angezeigt, nicht mit dem bersetzten wie
im Explorer. Eine Datei, die beispielsweise aus der Bibliothek Bilder
gesichert wird, ist in der Dateisicherung im Ordner Pictures zu finden.
Sofern man nicht die letzte gesicherte Version der Elemente wiederherstellen mchte, sondern eine der anderen, kann man ber den Link Anderes Datum auswhlen ein bestimmtes Datum einstellen. Dies wird dann
entsprechend im Text oberhalb vermerkt.
Abbildung 15.31
Welches Backup ist
richtig?
Nach Bettigung der Schaltflche Weiter wird im dritten Schritt ausgewhlt, wohin die Dateien restauriert werden sollen. Hier kann man die
Dateien und Ordner entweder an ihrer originalen Lokation wiederherstellen, oder man lsst sie an einem anderen Ort zurcksichern. Diese Funktion ist besonders dann interessant, wenn man die restaurierten Dateien
mit ihren aktuellen Versionen vergleichen will.
764
Daten restaurieren
Abbildung 15.32
Wohin sollen die
Dateien gesichert
werden?
15
Mit dem Kontrollkstchen Dateien in ursprnglichen Unterordnern wiederherstellen kann man entscheiden, ob alle restaurierten Dateien im angegebenen Verzeichnis liegen sollen oder ob die ursprngliche Verzeichnisstruktur erhalten bleiben soll. Das im Dialogfeld prsentierte Beispiel
erlutert, wie dies stattfinden wird.
15.4.3
Systemzustand durch
Wiederherstellungspunkte zurcksetzen
Sobald neue Programme, Treiber oder Updates installiert werden, legt Manchmal luft
Windows 7 automatisch einen Wiederherstellungspunkt an, zudem kann so was schief!
man diese auch manuell erzeugen, etwa bevor man eine Konfigurationsnderung durchfhrt. Der Einsteig in die Funktion erfolgt entweder ber die
in Abschnitt 15.3.4 ab Seite 749 erluterte Vorgehensweise, beim Systemstart ber die Reparaturoptionen eines bestehenden Systems oder ber den
Installationsdatentrger, siehe hierzu den Abschnitt 15.4.1 ab Seite 754.
Zudem kann man auch direkt das Programm rstrui.exe aufrufen. Bei der
Wiederherstellung aus dem Startmen oder einem optischen Datentrger
heraus erhlt man direkt eine Auflistung der auf dem System vorhandenen
Wiederherstellungspunkte.
765
Abbildung 15.33
Welcher Wiederherstellungspunkt soll
es sein?
Nach Auswahl eines Zeitpunktes in der Liste lsst sich ber die Schaltflche Nach betroffenen Programmen suchen eine bersicht anzeigen, welche
aktuell installierten oder entfernten Systemkomponenten von dieser Rcksicherung betroffen sein wrden.
Abbildung 15.34
Welche Programme
werden entfernt oder
kommen neu dazu?
Beim Start ber den Computerschutz erhlt man direkt die Mglichkeit,
den Wiederherstellungspunkt auszuwhlen, an dem die letzte Softwareinstallation stattgefunden hat. Dies muss, wie man in Vergleich zwischen
766
Daten restaurieren
Abbildung 15.33 und Abbildung 15.35 sieht, nicht unbedingt der zuletzt
erzeugte sein.
Abbildung 15.35
Soll der Wiederherstellungspunkt
ausgewhlt werden?
Auch hier kann man ber den Link Nach betroffenen Programmen suchen
feststellen, welche Komponenten des Systems von einer Wiederherstellung
betroffen wren. Mchte man einen anderen Wiederherstellungspunkt
auswhlen, ist die entsprechende Option auszuwhlen. Nach einem Klick
auf die Schaltflche Weiter erscheint eine Zusammenfassung der gewhlten
Option, die man mit der Schaltflche Fertig stellen besttigen muss. Als
seien nicht schon genug Sicherheitsabfragen erfolgt, kommt nun noch die
abschlieende Besttigung.
Abbildung 15.36
Wirklich
durchfhren?
767
15
Abbildung 15.37
Sind Sie wirklich
sicher?
Die Wiederherstellung
der Wiederherstellung
Sofern man die Rcksicherung des Wiederherstellungspunktes von einem

laufenden System aus startet, wird zunchst ein neuer Wiederherstellungspunkt erzeugt, mit dem man diese nderung wieder zurcknehmen kann.
Dies ist nicht mglich, wenn man die Rcksicherung von einem optischen
Datentrger oder vom Startprozess aus durchfhrt.
Zur Durchfhrung der Rcksicherung wird der aktuelle Benutzer abgemeldet, der Vorgang durchgefhrt und der Computer danach automatisch neu
gestartet. Nach dem Neustart wird beim ersten Anmelden durch ein Dialogfeld angezeigt, dass das System wiederhergestellt wurde und zu welchem Zeitpunkt dies geschehen ist.
Abbildung 15.38
Wiederherstellung
erfolgt!
768
16
Kommunikation
im Netzwerk
Whrend Windows Vista noch eine ganze Reihe von Anwendungen mitbrachte, die verschiedene Aspekte des Themas Kommunikation abdeckten, sind diese nun nicht mehr Bestandteil von Windows 7, sondern mssen gesondert installiert werden.
Das Programm TeamView, das neu mit Windows Vista eingefhrt wurde,
heit jetzt SharedView und ist fr alle Systeme ab Windows XP SP3 verfgbar.
Die Programme Mail (ehemals Outlook Express) und Messenger sowie eine
ganze Reihe weiterer Anwendungen (Writer, Fotogalerie, Movie Maker,
Family Safety und Toolbar) sind jetzt in dem Produkt Windows Live Essentials gebndelt, das Sie kostenlos von der Microsoft-Webseite herunterladen knnen.
16.1 Gemeinsam Arbeiten im Netz

SharedView
Microsoft SharedView ist ein Programm, um mit mehreren Benutzern
gemeinsam ber das Netzwerk zu arbeiten. Die Funktionsweise hnelt hierbei der Remoteuntersttzung (siehe Kapitel 8). Zunchst muss die Software
installiert werden, suchen Sie unter [DOWN] nach SharedView. Die Installation erfordert administrative Berechtigungen und kommt ohne Neustart
aus, allerdings sollten smtliche Anwendungen von Microsoft Office zuvor
geschlossen werden.
769
Kapitel 16 Kommunikation im Netzwerk
SharedView kann man sowohl als angemeldeter Benutzer (mit einer Windows Live-ID) als auch als nicht angemeldeter Gast verwenden. Die Kommunikation zwischen den einzelnen Benutzern wird hierbei Sitzung
genannt; eine neue Sitzung erzeugen kann allerdings nur ein angemeldeter
Benutzer. Alle Teilnehmer mssen die SharedView-Anwendung auf ihren
Systemen lokal installiert haben. Dies unterscheidet SharedView von anderen Anwendungen dieser Art, bei denen die Kommunikation ausschlielich ber ActiveX-Elemente in einem Browserfenster abluft.
Abbildung 16.1
Eine neue Sitzung
wird angelegt.
ber den Link Neue Sitzung starten wird zunchst eine Sitzung erstellt. Es
gibt hierbei keine Mglichkeit, innerhalb von SharedView festzulegen, wer
an dieser Sitzung teilnehmen soll oder darf. Es bleibt dem Ersteller der Sitzung berlassen, wie er die rechts im Fenster dargestellten Informationen
zur Teilnahme an die gewnschten Empfnger weiterleitet. Durch die
Schaltflche Start wird dann die Sitzung tatschlich auf dem SharedViewServer angelegt, und die anderen Teilnehmer knnen sich mit der Sitzung
verbinden.
Um teilzunehmen, startet der nchste Benutzer entweder seine eigene
SharedView-Anwendung und fhrt die Funktion Einer Sitzung beitreten
aus, hierzu muss er sowohl die Live-ID des Organisators als auch das Sitzungskennwort kennen. Alternativ kann er auch den Link aus der Einladung anklicken. Diese Aktion installiert gegebenenfalls auch die SharedView-Anwendung per Download, falls sie noch nicht vorhanden ist.
Abbildung 16.2
Darf der rein?
770
Gemeinsam Arbeiten im Netz SharedView
Der Organisator der Sitzung wird jedoch bei jedem neuen Sitzungsteilnehmer gefragt, ob dieser tatschlich beitreten darf oder nicht. Teilnehmer, die
nicht mit einer Live-ID angemeldet sind, werden als Gast bezeichnet und
durch ihren lokalen Anmeldenamen gekennzeichnet.
An einer Sitzung knnen maximal 15 Personen (einschlielich des Organisators) teilnehmen.
16.1.1
Funktionen von SharedView
Als Grundfunktion bietet SharedView sowohl eine textuelle Kommunikation als auch fast gleichzeitige Arbeiten an einer speziellen Anwendung oder
dem kompletten Bildschirm eines der Teilnehmer an.
16
Abbildung 16.3: Eine Anwendung ist freigegeben.
SharedView bietet drei Hauptfunktionen zur Kommunikation der Teilnehmer untereinander an:
Freigeben Jeder Teilnehmer an der Sitzung kann eine einzelne Anwendung oder sogar seinen kompletten Desktop fr die anderen Teilnehmer
freigeben, sodass diese den Inhalt des Fensters auf ihren eigenen Systemen sehen knnen. Diese Funktion ist nicht allein auf den Organisator
der Besprechung beschrnkt, jeder Teilnehmer kann diese Funktion ausfhren, jedoch immer nur ein Teilnehmer auf einmal. Im Regelfall hat
der Benutzer, der die Anwendung freigibt, auch die Kontrolle ber die
Anwendung, jedoch knnen andere Benutzer diese Kontrolle anfordern, um selber mitzuarbeiten.
771

Handzettel In diesem Bereich steht eine allgemeine Dateiablage fr
die Besprechung zur Verfgung. Jeder Teilnehmer kann dort Dateien

ablegen, die fr alle weiteren Teilnehmer zur Verfgung stehen. Diese
knnen die Dateien auf Wunsch auf ihre lokalen Systeme kopieren,
nach Ende der Besprechung werden die Dateien automatisch aus dem
zentralen Speicher gelscht.
Chat Wahlweise in einer einzelnen Zeile am oberen Bildschirmrand
oder in einem separaten Fenster knnen sich die Teilnehmer mittels
einer Chatfunktion unterhalten, etwa um Kommentare zu bermitteln oder Zwischenfragen zu den gezeigten Aktionen in der freigegebenen Anwendung zu stellen.
Die einzelnen Teilnehmer knnen die Sitzung jederzeit verlassen. Verlsst
der Organisator die Sitzung, ist diese fr alle Teilnehmer beendet.
16.2 Windows Live Essentials die

Komponenten Mail, Messenger
und Family Safety
Das Programm Windows Live Essentials mssen Sie zunchst aus dem
Netz laden. Suchen Sie im Startmen nach Live, so finden Sie den Link
Windows Live Essentials online erwerben, oder Sie rufen direkt die Seite
[LIVE] auf. Auf der anschlieend angezeigten Seite knnen Sie das SetupProgramm fr die einzelnen Anwendungen herunterladen. Achten Sie
aber dabei darauf, dass Sie die richtige Sprachversion ausgewhlt haben
(siehe das Listenfeld rechts oben in Abbildung 16.4).
Abbildung 16.4
Download-Seite der
Live Essentials
772
Windows Live Essentials die Komponenten Mail, Messenger und Family Safety
ber die Links unterhalb der Schaltflche Herunterladen knnen Sie sich
Informationsseiten zu den einzelnen Bestandteilen des Pakets ansehen.
Klicken Sie nun auf die genannte Schaltflche, und starten Sie das Installationsprogramm. Wahlweise knnen Sie es auch zunchst abspeichern
und spter starten.
Abbildung 16.5
Installationsprogramm fr Live
Essentials
16
Die einzelnen Komponenten des Programms knnen Sie unabhngig

voneinander je nach Bedarf auswhlen. Wenn Sie auf den Namen der
Komponente links klicken, erscheint rechts eine Erklrung, was gerade
installiert wird und welche Funktionen damit ausgefhrt werden knnen. Im Folgenden beschrnken wir uns auf die Beschreibung der Komponenten Messenger, Mail und Family Safety, da diese aus unserer Sicht am
gebruchlichsten sind. Entfernen Sie also die Hkchen in den Kontrollkstchen der anderen Anwendungen, und klicken Sie auf die Schaltflche
Installieren. Das System beginnt nun, die ausgewhlten Komponenten aus
dem Internet herunterzuladen.
Auch unter der Adresse [DOWN] ist keine komplette Installation der
Programme zu finden. Es muss anscheinend jedes System die Komponenten selbst aus dem Netz laden.
Am Ende der Installation haben Sie noch die Mglichkeit, den InternetSuchanbieter auf die Suchmaschine Bing von Microsoft festzulegen oder
die Startseite Ihres Browsers auf MSN. Falls Sie dies nicht wnschen,
mssen Sie die entsprechenden Kontrollkstchen deaktivieren.
773
16.2.1
Windows Live-ID eintragen
Fr einige Elemente der Live Essentials bentigen Sie eine Windows LiveID. Diese ist quasi ein Benutzeraccount fr verschiedenste Webdienste,
die von Microsoft angeboten werden, eventuell noch besser unter dem
alten Namen Passport bekannt.
Zum Abschluss der Installation wird Ihnen angeboten, eine Live-ID zu
erstellen, falls Sie noch keine besitzen. Wahlweise knnen Sie eine neue
E-Mail-Adresse in den Domnen live.de oder hotmail.de erstellen oder Ihre
eigene E-Mail-Adresse verwenden. An die hierbei gewhlte E-MailAdresse wird eine Besttigungsmail geschickt, die einen Link enthlt, der
die Existenz dieser Adresse dem System besttigt.
Jeder Windows Live-ID ist ein Profil zugeordnet, auf dem man Informationen ber sich und seine Interessen eintragen kann, hnlich den Seiten
von sozialen Netzwerken. Wie dort knnen Sie bestimmen, wer Ihre
Informationen sehen darf und wer nicht.
16.2.2
Windows Mail
Mit Windows Mail steht ein Programm zum Senden und Empfangen von
E-Mails ber einen POP3- oder IMAP-Server und zur Kommunikation
mit NetNews-Servern (Usenet-Gruppen) bereit. Das Programm bietet
dabei auch Zugriff auf einen Kalender und kann so als Ersatz fr einen
vollwertigen PIM (Personal Information Manager) wie etwa Microsoft
Outlook dienen.
Zur besseren Integration in Firmennetzwerke besteht die Mglichkeit,
E-Mail-Adressen aus Active Directory oder einem LDAP-Verzeichnis
nachzuschlagen, sodass Sie E-Mail-Adressen nicht alle manuell eintragen
mssen.
Abbildung 16.6
E-Mail-Adressen in
Active Directory
suchen
774
POP3 oder IMAP?

Als E-Mail-Server kann wahlweise ein POP3- oder ein IMAP-Server verwendet werden. Manche Server bieten beide Protokolle an, sodass sich
die Frage stellt, welches der beiden Protokolle man whlen soll. Bei POP3
liegen die E-Mails in einem einzigen Ordner auf dem Mailserver, und es
ist nicht mglich, vom Client her dort E-Mails abzulegen. Dies hat insbesondere zur Folge, dass gesendete E-Mails allein auf dem lokalen Client
abgelegt werden. Abhngig von der Einstellung des E-Mail-Programms
sind folgende Verfahren im Umgang mit den auf dem POP3-Server liegenden Maildaten mglich:
Alle E-Mails vom Server zum Client bertragen, danach auf dem Server lschen.
Alle E-Mails vom Server zum Client bertragen und erst nach Ablauf
einer bestimmten Zeitspanne vom Server lschen.
Alle E-Mails vom Server zum Client bertragen und erst vom Server
lschen, wenn die E-Mail auch lokal im Client gelscht wird.
16
Die erste Methode ist nur dann zu empfehlen, wenn auf dem POP3-Server
wenig Speicherplatz zur Verfgung steht. Die beiden anderen Mglichkeiten sind dann sinnvoll, wenn man zustzlich zum POP3-Zugang auch
noch die Mglichkeit hat, beispielsweise ber eine Webmail-Anwendung
Zugang zum Server zu erhalten. So kann man auch dann noch auf E-Mails
direkt ber den Server zugreifen, wenn die E-Mails bereits auf den lokalen
Client bertragen worden sind.
Bei IMAP werden die E-Mails auf dem Server in einzelnen Ordnern abgelegt, auf dem lokalen Client wird eine Kopie dieser Struktur angelegt. Bei
der Verbindung zwischen Server und Client werden die Daten jeweils
abgeglichen. Wahlweise kann auch die gesendete E-Mail in einen speziellen Ordner auf dem Server abgelegt werden. Durch diese Mglichkeiten
ist ein IMAP-Zugang besonders fr den Umgang mit groem Mail-Aufkommen geeignet. Dies insbesondere auch, wenn man bedenkt, dass auf
dem Mailserver selbst die Datensicherung eher erfolgt als auf dem lokalen Client.
Sowohl fr POP3 als auch fr IMAP untersttzt Windows Mail die
Verschlsselung der Datenbertragung zwischen Server und Client
per SSL (Secure Sockets Layer).
Sicherheit und SPAM

Outlook Express hatte in der Vergangenheit keinen guten Ruf in Bezug auf
Sicherheit. Zahlreiche Voreinstellungen haben E-Mail-Wrmern das Leben
enorm erleichtert. Aus diesem Gebiet hat sich bei Windows Mail einiges
getan. Zur Abwehr von Spam-Mails lassen sich nicht nur einzelne Adressen als Absender sperren, es ist auch mglich, komplette TLDs (Top-LevelDomains) oder bestimmte Zeichensatzcodierungen zu sperren.
775

Abbildung 16.7
Aus welchem Land
will man nie
E-Mails erhalten?
hnlich wie der Internet Explorer bietet auch Windows Mail einen
Phishingfilter. Bei ankommenden E-Mails werden die darin enthalten
Links auf Webseiten geprft, ob diese auf eine Phishingseite verweisen.
Solche Mails knnen dann automatisch entfernt oder in den Ordner JunkMail verschoben werden. Fr den Junk-Mail-Filter werden ber Windows
Update regelmig neue Erkennungsroutinen angeboten. Um nicht nur
die bertragung der E-Mail zwischen dem Client und dem Mailserver
abzusichern, knnen ausgehende E-Mails sowohl verschlsselt als auch
signiert werden. Ankommende E-Mails lassen sich entsprechend berprfen und entschlsseln. Standardmig werden HTML-E-Mails in der
eingeschrnkten Zone des Internet Explorers angezeigt, in der blicherweise aktive Elemente wie etwa JavaScript oder ActiveX untersagt sind.
Zustzlich knnen Sie konfigurieren, dass anstelle von HTML-Inhalten
eine reine Textdarstellung angezeigt werden soll.
16.2.3
Abbildung 16.8
Windows
Messenger
Windows Messenger
Der Windows Messenger ist ein Programm zur direkten Kommunikation
zwischen Benutzern, hnlich wie ein
Chatprogramm. Die Nachrichten werden dabei nicht direkt zwischen den
beteiligten Systemen bertragen, sondern laufen ber einen Server des
Anbieters (hier Microsoft). Dies hat
zur Folge, dass Nachrichten einen
Empfnger auch erreichen, wenn dieser aktuell nicht online ist.
Um Kontakt herzustellen, mssen die
Empfnger der Nachrichten jeweils
zustimmen. Erst nach erfolgter Zustimmung knnen sich die Gesprchspartner auch online sehen. Am einfachsten erstellen Sie einen solchen
Kontakt, indem Sie eine Einladung
an die E-Mail-Adresse des Chat-Partners senden.
776
Abbildung 16.9
Einladung senden
(links) und empfangen (rechts)
16
Sobald der Kontakt hergestellt ist, knnen sich die beiden Partner gegenseitig sehen und zum Beispiel erkennen, ob diese gerade am System
arbeiten oder sich der Rechner gerade im Leerlauf befindet. Sobald sich
am Status des Partners etwas ndert (er sich beispielsweise anmeldet),
wird eine entsprechende Meldung am Bildschirm angezeigt.
Auf Wunsch kann eingestellt werden, dass der Windows Media Player
einen gerade abgespielten Titel als Statusmeldung an den Messenger
bergibt.
Abbildung 16.10
Da hat sich einer
angemeldet.
Abbildung 16.11
Online-Status des
Kontaktes sehen
777
Auer der bertragung von Textnachrichten lassen sich auch auf einfache Weise Bilder oder Dateien bertragen. Mit entsprechender Hardware
sind auch Videobertragungen (Webcam) zwischen den Partnern mglich. Die Kommunikation ist hierbei nicht allein auf Nutzer von Windows
Live beschrnkt, es existiert auch ein Gateway zwischen Windows Live
und Yahoo! Messenger. Zudem kann man Informationen aus anderen
Netzwerken wie etwa Facebook abrufen.
Abbildung 16.12
Online-Spiele mit
Chattern
Auer den Mglichkeiten zur Kommunikation wird auch eine Reihe von
Online-Spielen angeboten, wie zum Beispiel in Abbildung 16.12 eine dreidimensionale Variante von Tic Tac Toe.
Messenger beenden
Wenn Sie den Messenger beenden wollen, reicht es nicht, das Programmfenster ber (Alt)+(F4) zu beenden; das Programm luft in der Taskleiste
weiter. Erst wenn Sie dort ber die rechte Maustaste im Kontextmen die
Funktion Fenster schlieen aufrufen, wird der Messenger tatschlich beendet.
16.2.4
Family Safety
Family Safety ist ein Programm, mit dem Eltern die Anzeige von Webseiten
fr ihre Kinder (oder Chefs fr ihre Angestellten) filtern knnen. Zudem
werden auch die Suchergebnisse von Google, Bing und Yahoo! entsprechend der gewhlten Einstellung gefiltert. Generell kann jeder Benutzer
gefiltert werden, der keine administrativen Rechte auf dem System hat.
Family Safety ist somit eine Ergnzung zur Funktion Jugendschutz (siehe
Kapitel 14).
778
Abbildung 16.13
Wer soll gefiltert
werden?
16
Die Filterfunktion wird hierbei ber die Einstellungen auf einer Website
kontrolliert, bei der sich die Aufsichtsperson mit einer Live-ID anmelden
muss. Auf diese Weise ist es auch mglich, von einem anderen System aus
die Einstellungen ber das lokale System zu kontrollieren, etwa wenn ein
Elternteil vom Arbeitsplatz aus die Freigabe einer Website fr den Rechner
zu Hause kontrollieren mchte. Zudem knnen auch mehrere Systeme
ber eine gemeinsame Live-ID verwaltet werden. Die Aktivierung fr
einen bestimmten lokalen Benutzer muss jedoch immer zunchst am lokalen Rechner erfolgen.
Abbildung 16.14
Was soll gefiltert
werden?
779
Im Bereich der Filterung knnen fr jeden Benutzer zunchst einige generelle Einstellungen getroffen werden, die Stufen Streng (Whitelist es werden nur speziell zugelassene Seiten erlaubt) und Standard (Blacklist es
werden nur bestimmte Seiten geblockt) sind am schnellsten eingerichtet,
jedoch eher ungenau. Mit der Einstellung Benutzerdefiniert knnen einzelne Kategorien gezielt ausgewhlt werden, wobei auch die Einstufung
in die Kategorien nicht unbedingt fehlerfrei funktioniert.
Bei einem kurzen Test wurde zwar ein bekanntes Portal fr pornografische Videoclips geblockt, der Zugriff auf das (zumindest in Deutschland) bekannte Portal eines Erotikversenders wurde jedoch zugelassen.
Beim Anmelden sieht ein berwachter Benutzer eine entsprechende Meldung am Bildschirm, dass seine Webaktivitten berwacht werden. Ruft
ein derartig berwachter Benutzer eine geblockte Website auf, erhlt er
eine entsprechende Warnmeldung, die ihm erklrt, dass diese Seite aktuell gesperrt ist.
Abbildung 16.15
Hier nicht
weiter surfen.
Sobald eine Seite blockiert wird, hat der Benutzer die Mglichkeit, um die
Freigabe der Seite zu bitten. Ist die Aufsichtsperson direkt anwesend, kann
diese ber den Link Persnlich fragen und die Eingabe ihrer Live-ID die Seite
freigeben, wahlweise nur fr den anfragenden oder auch gleich fr smtliche
von dieser Live-ID verwalteten Benutzer. Es ist sogar mglich, zunchst eine
Vorschau der betreffenden Seite zu sehen. Ist die Aufsichtsperson nicht zugegen, kann die Anfrage auf Freigabe per E-Mail gestellt werden.
780
Abbildung 16.16
Anfrage auf Freigabe einer Website
16
ber den in der E-Mail enthaltenen Link gelangt man zum Kontrollcenter
von Family Safety und sieht dort im Bereich Anfragen alle Seiten, fr die eine
Entscheidung zur Freigabe erwartet wird. Diese Erlaubnis kann dann fr
den speziellen oder gleich fr alle Benutzer, die der Live-ID zugeordnet sind,
erteilt werden.
Abbildung 16.17
Aktivittsbericht
Im Funktionsbereich Aktivittsbericht finden Sie einen berblick ber smtliche vom jeweiligen Benutzer aufgerufenen Webseiten. Dies birgt natrlich entsprechende rechtliche Probleme, sobald diese Funktion auerhalb
des Privatbereichs eingesetzt wird. In dieser Auflistung kann auch sofort
die Freigabe oder Blockierung einer Webseite eingestellt werden.
781
17
Windows 7Batchdateien
Das in Windows 7 enthaltene Kommandozeilenfenster (Eingabeauforderung) cmd.exe

basiert in seiner Grundstruktur und Syntax noch auf der alten DOS-BatchSprache. Das Windows 7-Kommandozeilenfenster ist implementiert in
cmd.exe. Sie starten das Kommandozeilenfenster ber das Symbol Eingabeaufforderung im Startmen oder die Eingabe cmd im Such-/Startdialog
im Startmen.
Abbildung 17.1
Das leere
Kommandozeilenfenster
von cmd.exe
17.1 Konfiguration des

Kommandozeilenfensters
Das Kommandozeilenfenster bietet ein Men mit Einstellungen zur Fen- Men
stergre, -farbe und -schriftart sowie zur Nutzung der Windows-Zwischenablage zur bertragung von Texten aus dem bzw. in das Kommandozeilenfenster. Die Tastenkrzel (STRG) + (X)/(C)/(V) stehen leider auch in
783
Kapitel 17 Windows 7-Batchdateien
Windows 7 in der Konsole nicht zur Verfgung. ber die Aktivierung der
Funktion QuickEdit-Modus (auch in der deutschen Version nicht bersetzt!) kann man aktivieren, dass man Texte im Konsolenfenster mit der
Maus markieren kann.
Abbildung 17.2
Konfigurationseinstellungen des
Konsolenfensters
Abbildung 17.3
Men des
Kommandozeilenfensters
17.2 Ein alternatives

Das in Windows eingebaute Kommandozeilenfenster ist sehr spartanisch.
Ein alternatives Kommandozeilenfenster mit dem schlichten Namen Console gibt es kostenfrei im Internet. Diese alternative Konsole bietet auch weitere ntzliche Funktionen wie Registerkarten.
784
Ein alternatives Kommandozeilenfenster
Console
Hersteller:
Preis:
URL:
Enthalten auf Buch-CD?
Marko Bozikovic
Kostenlos
http://sourceforge.net/projects/console/
Ja
Abbildung 17.4
Alternative Konsole
mit mehreren Registerkarten
17
Wenn die alternative Konsole Console von Marko Bozikovic beim Start
meldet, dass ihr DLLs fehlen (msvcp71.dll und/oder msvcr71.dll), dann
kopieren Sie diese DLL von einem anderen Windows-System in das Verzeichnis, in dem die Console.exe liegt. Beides sind DLLs von Visual C++,
die frei weiterverbreitet werden drfen. Danach kann Console.exe gestartet werden.
Abbildung 17.5: Windows meldet, dass eine C++-DLL fehlt.
785
In der alternativen Konsole stehen Funktionen zum Kopieren und Einfgen

ber die Tastatur zur Verfgung, wobei in der Standardeinstellung dafr die
Tasten (STRG) + (EINFG) bzw. () + (EINFG) konfiguriert sind. Diese Konfiguration lsst sich aber ndern (siehe Bildschirmabbildung).
Abbildung 17.6
Einstellungen der
alternativen Konsole
fr Tastaturkrzel
Auch die Konsole PowerShellPlus bietet Funktionen fr Batch-Dateien,

siehe Kapitel 21, Einfhrung in die Windows PowerShell (WPS).
17.3 Kommandozeilenfenster und

Die Benutzerkontensteuerung (User Account Control, UAC), siehe Kapitel
13, gilt auch fr das Kommandozeilenfenster. Dies bedeutet, dass auch
ein Administrator viele Befehle nicht ausfhren kann, weil das Konsolenfenster unter normalen Benutzerrechten luft.
Ein Konsolenfenster kann direkt mit erhhten Rechten gestartet werden.
Diese Funktion ist im Kontextmen des Symbols fr die Eingabeaufforderung (sowohl auf dem Desktop als auch im Startmen oder in einem
Windows Explorer-Fenster) verfgbar (Als Administrator ausfhren).
786
Befehle
Abbildung 17.7
Start der Windows 7Konsole mit erhhten Rechten
Ein Konsolenfenster, das unter Administratorrechten luft, zeigt im Gegensatz zu einem normalen Konsolenfenster auch das Wort Administrator
im Fenstertitel.
17
Abbildung 17.8
Zwei Konsolenfenster mit unterschiedlichen Rechten auf
einem Desktop: Nur
in der Konsole, die
mit Administratorrechten gestartet
wurde, kann der
Befehl ausgefhrt
werden.
17.4 Befehle
Das Kommandozeilenfenster untersttzt zwei Arten von Befehlen:
Interne und
Interne Befehle, die direkt in der cmd.exe enthalten sind. Dies sind Basis- externe Befehle
befehle wie cd, copy und dir.
Externe Anwendungen, die in .exe-Dateien vorliegen. Dies knnen
sowohl Kommandozeilenanwendungen als auch Windows-Anwendungen sein.
787
Sie knnen auch Dokumente wie z.B. Microsoft Word-Dateien (.doc)

direkt im Kommandozeilenfenster aufrufen. Das Kommandozeilenfenster nutzt die in der Registrierungsdatenbank hinterlegten Informationen, um die passende Anwendung zu starten, die das ausgewhlte Dokument laden kann. Auch Skripte fr den Windows Script
Host (WSH) knnen auf diese Weise direkt aus dem Kommandozeilenfenster gestartet werden.
Die meisten Befehle liefern Hilfeinformationen, wenn man sie mit der
Option /? oder /h aufruft.
Mit den Cursor-Tasten () () kann man im Kommandozeilenfenster
zwischen den zuletzt eingegebenen Befehlen wechseln. Auch die Funktionstasten (F1) bis (F9) bieten Untersttzung fr den Aufruf zuvor eingegebener Befehle.
17.5 Ausgaben und

Ausgabeumleitung
Umleitung
Fast alle Kommandozeilenbefehle liefern Textausgaben in das Kommandozeilenfenster. Mit dem Befehl echo kann man Ausgaben erzeugen, ohne
weitere Aktionen auszufhren.
echo Guten Tag
Die Ausgabe jedes Kommandozeilenbefehls kann in eine Datei umgeleitet werden, indem nach dem >-Zeichen ein Dateiname angegeben wird.
dir >d:\daten\verzeichnisinhalt.txt
Pipe
Mit dem Pipe-Befehl (|) knnen Ausgaben an andere Befehle weitergeleitet werden, sofern diese Zeichenketten als Eingabe verarbeiten knnen.
tasklist | more
17.6 Arbeit mit dem Dateisystem

Jeweils ein Verzeichnis ist das aktuelle Verzeichnis im Kommandozeilenfenster. Nach dem Start des Kommandozeilenfensters ist normalerweise das
Profilverzeichnis des angemeldeten Benutzers das aktuelle Verzeichnis.
Erweitern des
Windows
Explorers
788
Leider bietet der Windows 7 Explorer keine Mglichkeit, ein Kommandozeilenfenster direkt fr ein bestimmtes Verzeichnis zu ffnen. Sie knnen
diese Funktion jedoch sehr einfach ergnzen, indem Sie eine nderung in
der Registrierungsdatenbank vornehmen. Dies erledigt die nachstehende
Registrierungsdatenbankdatei.
Arbeit mit dem Dateisystem

[HKEY_CLASSES_ROOT\Folder\shell\Menutext]
@="Kommandozeilenfenster"
[HKEY_CLASSES_ROOT\Folder\shell\Menutext\Command]
@="cmd.exe /k cd %1"
Listing 17.1
Registry-Datei zur
Erweiterung des
Windows Explorers
[Kommandozeilenfenster.reg]
Abbildung 17.9
Erweiterung des
Windows Explorers
17.6.1
Wechseln des Verzeichnisses
17
Um das Verzeichnis zu wechseln, steht der Befehl cd (Change Directory) cd

zur Verfgung. Der cd-Befehl wechselt aber nur das Verzeichnis fr das
jeweils aktuelle Laufwerk. Um von einem Laufwerk zu einem anderen zu
wechseln, muss man den Laufwerksnamen gefolgt von einem Doppelpunkt als eigenstndigen Befehl eingeben.
Abbildung 17.10
Wechsel des aktuellen Verzeichnisses
Tipps
Mit der ()-Taste knnen Sie eine Autovervollstndigen-Funktion fr
Datei- und Verzeichnisnamen verwenden. () ermglicht den Wechsel
durch alle Dateien/Verzeichnisse, die auf die aktuelle Eingabe zutreffen.
Sie knnen () verwenden, ohne zuvor einen Buchstaben eingegeben
zu haben. In der Regel ist es aber sinnvoll, einen oder mehrere Anfangsbuchstaben vorzugeben.
Vor Windows Vista war es mglich, aus dem Windows Explorer heraus
eine Datei oder ein Verzeichnis per Drag&Drop in das Kommandozeilenfenster zu ziehen. Dadurch wurde der Pfad als Text in das Kommandozeilenfenster eingefgt. Dies war hilfreich, wenn die Pfadangabe sehr
lang ist. In Windows Vista hatte Microsoft diese Funktion leider gelscht.
In Windows 7 ist sie zum Glck wieder vorhanden.
789
Alternativ dazu gibt es folgende Optionen:

Verwenden von () und Kontextmeneintrag Als Pfad kopieren
eines Objekts im Windows Explorer und anschlieend Einfgen im
Konsolenfenster
Abbildung 17.11: Wenn man vor der rechten Maustaste () gedrckt hlt,
erscheint die Option Als Pfad kopieren.
Verwenden der alternativen Konsole mit dem schlichten Namen
Console, ein Open-Source-Projekt (siehe dazu Kapitel 17.2 weiter

oben)
Abbildung 17.12: Drag&Drop von Verzeichnissen in die alternative Konsole
Wichtig ist, dass auch in der alternativen Konsole ein Drag&Drop nur
mglich ist, wenn beide Fenster unter den gleichen Benutzerrechten
laufen. Wenn das Konsolenfenster als Administrator gestartet wurde
(vgl. Kapitel 17.3, Kommandozeilenfenster und Benutzerkontensteuerung),
die andere Anwendung aber unter normalen Benutzerrechten luft, ist
eine Kommunikation zwischen den beiden Fenstern nicht mglich.
790
Arbeit mit Prozessen
17.6.2
Zum Auflisten eines Verzeichnisses dient der Befehl dir (Directory). Durch
zahlreiche Optionen kann die Art der Anzeige gesteuert werden, z.B.:
dir /b zeigt nur die Namen an.
dir /p unterbricht die Anzeige nach jeweils einer Bildschirmseite.
dir /s listet rekursiv auch alle Unterverzeichnisse auf.
17.6.3
Dateisystemoperationen
Mit dem Befehl md (Make Directory) erzeugt man ein Verzeichnis im Datei- md und rd
system. Mit dem Befehl rd (Remove Directory) lscht man ein Verzeichnis.
md Buch
rd Buch
Weitere wichtige Dateisystembefehle sind:

Copy zum Kopieren von Dateien und Verzeichnissen
Move zum Verschieben von Dateien und Verzeichnissen
Del zum Lschen von Dateien und Verzeichnissen
Ren zum Umbenennen von Dateien und Verzeichnissen
Copy, Move,
Del, Ren
17
17.7 Arbeit mit Prozessen

Der Befehl tasklist liefert eine Liste der laufenden Prozesse. Der Befehl tasklist und
taskkill
taskkill dient dem Beenden eines Prozesses.
17.8 Die net-Befehlsfamilie

Der net-Befehl ist ein sehr hufig eingesetzter Befehl, mit dem viele verschie- net
dene Systembausteine von Windows 7 abgefragt bzw. beeinflusst werden
knnen, die bei Weitem nicht alle etwas mit dem Netzwerk zu tun haben.
Der net-Befehl steht in keiner Beziehung zum Microsoft .NET Framework.
Die folgende Liste zeigt einige Beispiele:
net accounts listet die Benutzerkontenrichtlinien auf.
net localgroup listet die vorhandenen lokalen Benutzergruppen auf.
net localgroup /add Autoren erzeugt eine neue Benutzergruppe mit
Namen Autoren.
net localgroup /add Autoren hs fgt den Benutzer hs der lokalen
Gruppe Autoren hinzu.
net start w3svc startet den WWW-Dienst.
791

net stop w3svc stoppt den WWW-Dienst.
net view Bochum liefert eine Liste der verffentlichten Ressourcen
(Drucker und Freigaben) auf dem Computer Bochum.

net share listet alle Freigaben des lokalen Systems auf.
net share temp=d:\temp gibt das Verzeichnis d:\temp unter dem Namen
temp frei.
net share temp/delete entfernt die Freigabe temp.
net helpmsg 1638 liefert den Fehlertext zur Betriebssystemfehlernummer
1638.
Eine Liste aller verfgbaren net-Befehle erhlt man durch die Eingabe
von:
net /?
Mit
net help Befehlsname
erhlt man detaillierte Hilfe zu dem angegebenen Befehl.

Bitte beachten Sie, dass einige net-Befehle nur auf Windows DomnenControllern ausgefhrt werden drfen.
17.9 Weitere
Kommandozeilenbefehle
Die Erluterungen zu zahlreichen weiteren Kommandozeilenbefehlen
z.B. zur Steuerung der Registry, der Benutzerverwaltung und der Netzwerkkonfiguration finden Sie in den entsprechenden Kapiteln.
17.10 Stapelverarbeitung
Das Windows-Kommandozeilenfenster untersttzt die Stapelverarbeitung (die Ausfhrung mehrerer Befehle) durch drei Mechanismen:
Verknpfung von Befehlen in einer Zeile mit den Operatoren &, &&
und ||.
Textbasiertes Pipelining von mehreren Befehlen in einer Zeile mit |.
Batch-Dateien (.bat) sind Textdateien, in denen jede Zeile einen Befehl
enthlt.
17.10.1 Befehlsverknpfung
&, &&, ||
Das kaufmnnische Und trennt verschiedene Befehle in einer Befehlszeile

voneinander ab. Alle Befehle werden ausgefhrt, unabhngig davon, ob
einzelne Befehle in der Liste erfolgreich waren oder nicht.
echo "Verzeichnisinhalt" & dir c:\ & echo "Fertig!"
792
Stapelverarbeitung
In dem folgenden Befehl wird ein Verzeichnis angelegt und anschlieend

versucht, eine Datei in dieses Verzeichnis zu kopieren, unabhngig
davon, ob das Verzeichnis tatschlich angelegt werden konnte. Dies ist
insofern nicht unsinnig, als md auch dann einen Fehler meldet, wenn das
Verzeichnis schon existiert. In diesem Fall kann das Kopieren der Datei
gelingen, obwohl md einen Fehler gemeldet hat.
md Buecher & copy d:\autoreninfo.doc buecher
Das doppelte kaufmnnische Und bewirkt, dass der Befehl nach diesem
Zeichen nur dann ausgefhrt wird, wenn der vorhergehende Befehl
erfolgreich gewesen ist. In dem folgenden Befehl wird nur versucht, die
Datei zu kopieren, wenn das Anlegen des Verzeichnisses erfolgreich war.
md Buecher && copy d:\autoreninfo.doc buecher
Das doppelte Verkettungszeichen bewirkt, dass der Befehl nach diesem

Zeichen nur dann ausgefhrt wird, wenn der vorhergehende Befehl fehlgeschlagen ist. In dem folgenden Befehl erscheint eine Meldung, wenn
ein Verzeichnis nicht angelegt werden konnte.
17
md Buecher || echo Verzeichnis kann nicht angelegt werden.
Mit Klammern knnen Befehlsblcke gruppiert werden. Der folgende

Befehl bewirkt, dass eine Datei kopiert wird, wenn das Zielverzeichnis
angelegt werden konnte. War eine der beiden Teilaktionen nicht erfolgreich, wird eine Meldung ausgegeben.
(md Buecher && copy d:\Autoreninfo.doc buecher) || echo Datei wurde
nicht kopiert
17.10.2 Textbasiertes Pipelining

Durch Pipelines kann ein Befehl seine Ausgabe einem anderen Befehl
bergeben, z.B.:
Dir | More
Durch die Pipeline werden Textausgaben bergeben. Die WindowsKonsole kann nicht wie die Windows PowerShell typisierte Informationen bergeben.
17.10.3 Batch-Dateien
In Batch-Dateien knnen alle Kommandozeilenbefehle vorkommen. .bat
Auch Befehlsverknpfungen knnen verwendet werden. Die folgende
Batch-Datei legt ein Verzeichnis an und kopiert anschlieend eine Datei.
Normalerweise wird an der Kommandozeile immer der gerade ausgefhrte Befehl einer Batch-Datei ausgegeben. Mit echo off wird diese Ausgabe unterdrckt. Alle Ausgaben der Kommandozeilenbefehle sowie die
mit echo explizit erzeugten Ausgaben erscheinen jedoch weiterhin.
793

echo off
cd e:\Daten
md Buecher || echo Verzeichnis kann nicht angelegt werden.
(copy d:\Autoreninfo.doc buecher && echo Datei kopiert!) || e
cho Datei wurde nicht kopiert
Editoren
Windows-Batch-Dateien knnen aus dem Kommandozeilenfenster oder

in der Windows-Oberflche mit einem Doppelklick gestartet werden. Zur
Erstellung von Windows-Batch-Dateien kann jeder beliebige Texteditor
(auch Windows Notepad) eingesetzt werden. Es existieren jedoch Editoren, die fr Windows-Batch-Dateien erweiterte Funktionen bieten. Der
Editor OnScript markiert die Kommandozeilenbefehle in einer anderen
Farbe und erlaubt die Ausfhrung der Batch-Dateien direkt aus dem Editor heraus.
OnScript
Hersteller:
XLNow (Schweiz)
Preis:
Ab 60 Euro
URL:
http://www.onscript.com/
Ja, Testversion
Abbildung 17.13: Editieren und Ausfhren einer Batch-Datei mit OnScript
794
18
Windows Management
Instrumentation (WMI)
Die Windows Management Instrumentation (WMI) ist ein Windows-Systembaustein zum Zugriff auf System- und Netzwerkinformationen. Mit WMI
kann man:
Systeminformationen ber einzelne Systembausteine oder ganze Mengen von Systembausteinen auslesen
Systeminformationen verndern
Aktionen ausfhren
sich ber Vernderungen im System informieren lassen.
WMI ist die Microsoft-Implementierung des Web Based Enterprise Management (WBEM). WBEM ist ein Standard der Desktop Management Task Force
(DMTF) fr das Netz- und Systemmanagement, also zur Verwaltung von
Netzwerk- und Systemressourcen (z.B. Hardware, Software, Benutzer).
WBEM wurde ursprnglich von BMC Software, Cisco Systems, Compaq,
Intel und Microsoft entwickelt und spter an die DMTF bergeben. Aus
historischen Grnden findet man in WMI-Werkzeugen hufig noch die
Bezeichnung WBEM. Kern von WBEM ist das Common Information Model
(CIM), das die durch WBEM zu verwaltenden Ressourcen durch objektorientierte Methoden modelliert. CIM ist ein Framework zur Beschreibung
sowohl physischer als auch logischer Objekte. Die DMTF versteht CIM als
eine Vereinigung bestehender Managementarchitekturen wie dem OSI
Management Framework X.700 (Common Management Information Protocol CMIP) und dem Simple Network Management Protocol (zu CMIP und
SNMP siehe [STA93]).
Der Name Web Based Enterprise Management ist irrefhrend, weil er
nahelegt, dass es sich bei WBEM um eine grafische Benutzerschnittstelle auf Webbasis fr das Management von Systeminformationen
handelt. WBEM ist jedoch lediglich eine Architektur mit Programmierschnittstelle, also weder Tool noch Anwendung.
795
Kapitel 18 Windows Management Instrumentation (WMI)
WMI ist fester Bestandteil von Windows schon seit Windows ME. In Windows 7 ist WMI 6.1 enthalten.
18.1 WMI-Funktionsumfang
Funktionen
Die Informationsflle, die WMI auf modernen Betriebssystemen (XP, 2003,

Vista, 2008, Windows 7) liefert, ist riesig. Beispiele fr Bereiche, aus denen
WMI Informationen liefert, zeigt die folgende Tabelle.
Grundkonfiguration
BIOS
Boot-Konfiguration
Installiertes Betriebssystem (z.B. Betriebssystemname, Build-Version, Installationsdatum, Datum
und Uhrzeit des letzten Boot-Vorgangs)
Umgebungsvariablen
Performance-Monitor-Daten
SNMP-Daten
Eingerichtete Zeitzonen
Drucker und Druckerwarteschlangen
Auslagerungsdateien
Datum und Uhrzeit
Clustering
Hard- und Software
Installierte Software
Installierte Updates und Hotfixes
Installierte Hardware (z.B. Netzwerkkarten, Grafikkarten) einschlielich Treiber und deren Zuordnung zu
LoadOrderGroups, belegten Ressourcen (IRQ, Port,
DMA), Konfiguration (z.B. Druckereinstellungen)
Installierte COM-Komponenten einschlielich
Zuordnung zu Komponentenkategorien und
DCOM-Einstellungen
Laufende Prozesse
Geplante Vorgnge (Zeitplandienst)
Programmgruppen im Startmen
Windows-Systemdienste
Sicherheit
Benutzerkonten (inklusive deren Gruppenzuordnung, Desktop-Einstellungen und Ereignisprotokolleintrge)

Security Configuration Editor (SCE)
Tabelle 18.1: berblick ber WMI-Informationen
796
WMI-Funktionsumfang
Dateisystem und
Datenspeicher
Ordner und Dateien des Dateisystems

Netzlaufwerksverbindungen
Dateisicherheit, Freigabesicherheit
Ereignisprotokoll
ODBC-Einstellungen
Disk Quotas
Ausfhrung von CHKDSK
Distributed File System (DFS)
Netzwerk
IP-Routing
Ausfhrung eines Ping
Netzwerkverbindungen und Sitzungen
Terminal Services
Active Directory
DNS-Server
Network Load Balancing (NLB)
Microsoft Exchange Server
Internet Information Server (IIS)
ASP.NET
Windows Communication Foundation (WCF)
18
Tabelle 18.1: berblick ber WMI-Informationen (Forts.)
Die meisten Schwierigkeiten mit WMI resultieren daraus, dass WMI mit
jeder Windows-Version (stark) erweitert wurde, die erweiterten WMI-Klassen und -Funktionen aber nicht als Add-on fr ltere Windows-Versionen
bereitgestellt werden. Viele Skripte laufen daher nur auf den jeweils neuesten Windows-Versionen, auf lteren Plattformen erhlt man nichtssagende
Fehlermeldungen wie Automatisierungsfehler.
18.1.1
WMI-Klassen und WMI-Objekte
WMI ist ein objektorientiertes Konzept, bei dem alle Informationen in Form
von strukturierten Objekten bereitgestellt werden, die Instanzen von Klassen sind. Eine Klasse beschreibt eine Informationsart (z.B. Datei), ein Objekt
enthlt die Informationen eines konkreten Vorkommens dieser Informationsart (z.B. c:\Daten\Computerliste.txt).
WMI-Klassen besitzen Information in Attributen und erlauben die Ausfhrung von Aktionen durch Methoden. Klassen knnen von anderen
Klassen erben.
WMI in Windows 7 Ultimate enthlt nach der Grundinstallation 9905
WMI-Klassen, die aus Grnden der bersichtlichkeit in 58 sogenannte
Namensrume gegliedert sind. ltere Windows-Versionen besitzen deutlich weniger WMI-Klassen.
Durch die Installation von Zusatzdiensten (z.B. IIS) und von Zusatzprodukten (z.B. Microsoft Office) kommen Dutzende weitere Klassen hinzu,
da heute viele Produkte einen WMI-Provider mitliefern.
797
Hier auch nur einige dieser Klassen zu nennen, wrde nur Platz verschwenden. Sie werden einige WMI-Klassen in Beispielen in den folgenden Kapiteln kennenlernen.
Arten von WMI-Klassen

WMI-Klassen beginnen meistens mit der Vorsilbe Win32 oder CIM.
CIM-Klassen sind eine sehr allgemeine, betriebssystemunabhngige
Beschreibung von Ressourcen. Win32-Klassen sind eine konkrete, in der
Windows-Umgebung implementierte Reprsentation von Ressourcen.
Die meisten Win32-Klassen sind von CIM-Klassen abgeleitet und erweitern den Standard. Einige Ressourcen in einem Windows-System knnen auch direkt durch CIM-Klassen abgebildet werden.
Es gibt drei Arten von Klassen in WMI:
Abstrakte Klassen, von denen es keinen Instanzen geben kann und die
nur der Vererbung dienen
Statische Klassen: Instanzen dieser Klassen werden im CIM-Repository
gespeichert.
Dynamische Klassen: Instanzen dieser Klassen werden dynamisch
von einem WMI-Provider geliefert.
Systemklassen
WMI definiert eine Reihe von Systemklassen, die der Verwaltung von WMI
selbst und insbesondere dem Ereignissystem dienen. Die Systemklassen
sind in jedem Provider implementiert; sie sind daran erkennbar, dass der
Name mit einem doppelten Unterstrich beginnt. Beispiele fr Systemklassen sind:
__EventConsumer
__Namespace
__Event
__InstanceDeletionEvent
Schlsselattribute
Keys
Schlsselattribute (Keys) sind besondere Attribute, die der eindeutigen Identifizierung einer Instanz innerhalb einer Klasse dienen. Ein Key entspricht
dem Primrschlssel einer relationalen Tabelle. Ebenso wie ein Primrschlssel aus mehreren Spalten einer Datenbanktabelle bestehen kann, kann
auch ein Key in WMI aus mehreren Attributen bestehen. Einen Schlsselwert darf es innerhalb aller Instanzen einer Klasse nur einmal geben. Wenn
der Key aus mehreren Attributen besteht, mssen nur alle Attributwerte
zusammen eindeutig sein. Welche Attribute Schlsselattribute sind, wird in
der Klassendefinition festgelegt, damit alle Instanzen einer Klasse die gleichen Schlsselattribute besitzen.
Einige WMI-Klassen besitzen keine Schlsselattribute (z.B. /root/default:__
cimomidentification und /root/cimv2:NetDiagnostics). Diese Klassen sind
sogenannte Singleton-Klassen. Eine Singleton-Klasse ist in der objektori-
798
WMI-Funktionsumfang
entierten Programmierung eine Klasse, von der es nur eine Instanz geben
kann. In WMI wird eine Singleton-Klasse mit dem Qualifier (vgl. nchster
Abschnitt) Singleton = True gekennzeichnet. Anstelle eines Paars aus
Schlsselattributname und Schlsselwert wird zur Identifizierung des
einen Objekts das Zeichen (@) verwendet.
Systemattribute
Alle WMI-Klassen und alle Instanzen dieser Klassen besitzen eine Reihe Systemattribute
von Systemattributen. Diese Systemattribute beginnen mit einem doppelten Unterstrich.
Attribut
Erluterung
__Class
Name der Klasse, zu der das WMI-Objekt gehrt
__Derivation
Eine Zeichenkettenliste, die die Vererbungshierarchie

wiedergibt. Der erste Eintrag ist die direkte Oberklasse.
__Dynasty
Name der obersten Klasse der Vererbungshierarchie. Bei

der obersten Klasse steht hier keine leere Zeichenkette,
sondern der gleiche String wie bei __Class.
__Genus
1 = Eintrag ist eine Klasse.

2 = Eintrag ist ein WMI-Objekt, d.h. die Instanz einer
WMI-Klasse
__Namespace
WMI-Namensraum, in dem die Klasse registriert ist
__Path
Vollstndiger WMI-Pfad einschlielich Server und

WMI-Namensraum
__Property_Count
Anzahl der Attribute der Klasse. Dabei werden diese

Systemattribute nicht mitgezhlt.
__Relpath
WMI-Pfad ohne Server und WMI-Namensraum
__Server
Name des Servers
__Superclass
Name der direkten Oberklasse
Tabelle 18.2
WMI-Systemeigenschaften
18
Datentypen
WMI definiert sechzehn Standarddatentypen (siehe Tabelle 18.3).
Symbolische Konstante
Wert
wbemCimtypeSint8
16
wbemCimtypeUint8
17
wbemCimtypeSint16
wbemCimtypeUint16
18
wbemCimtypeSint32
wbemCimtypeUint32
19
wbemCimtypeSint64
20
wbemCimtypeUint64
21
wbemCimtypeReal32
wbemCimtypeReal64
Datentypen
Tabelle 18.3
CIM-Standarddatentypen (definiert
im Aufzhlungstyp
WbemCimtypeEnum in
wbemdisp.tlb)
799
Datum und
Uhrzeit
Symbolische Konstante
Wert
wbemCimtypeBoolean
11
wbemCimtypeString
wbemCimtypeDatetime
101
wbemCimtypeReference
102
wbemCimtypeChar16
103
wbemCimtypeObject
13
Datum und Uhrzeit werden als Zeichenkette der Form yyyymmddHHMMSS.

mmmmmmsUUU gespeichert, wobei neben dem selbst erklrenden Krzel anzumerken ist, dass mmmmmm die Anzahl der Millisekunden ist und UUU die
Anzahl der Minuten, welche die lokale Zeit von der Universal Coordinated Time (UTC) abweicht. Das s ist das Vorzeichen. In Deutschland steht
daher fr UUU der Wert +060.
WMI kennt auch ein eigenes Format fr Zeitintervalle: ddddddddHHMMSS.
mmmmmm:000. Auch ein Zeitintervall wird als Zeichenkette abgelegt. Dabei
reprsentiert dddddddd die Anzahl der Tage. Die Zeichenkette endet immer
auf :000.
Qualifizierer (Qualifier)
Qualifizier (engl. Qualifier) sind Zusatzinformationen, die in WMI eine
Klasse, ein Objekt, ein Attribut, eine Methode oder einen Parameter nher
beschreiben. Qualifier dienen im derzeitigen WMI nur der Informationsversorgung des Nutzers. Sie ermglichen keine verbindlichen Einstellungen fr
die WMI-Provider. (Beispiel: Ein Attribut, das einen Qualifier read-only
besitzt, muss nicht notwendigerweise wirklich schreibgeschtzt sein.) Durch
den Qualifier Key wird festgelegt, ob ein Attribut ein Schlsselattribut ist.
An einem Qualifier erkennt man auch die Art einer Klasse: Die Existenz
der Qualifier abstract und dynamic weist auf die entsprechenden Typen hin.
Ist keiner dieser Qualifier vorhanden, ist die Klasse statisch. Eine Assoziationsklasse hat einen assocation-Qualifier.
Weitere interessante Qualifier:
Provider zeigt fr eine Klasse den Namen des WMI-Providers an, der
die Klasse bereitstellt.
EnumPrivileges legt eine Liste von Privilegien fest, die gesetzt sein
mssen, um diese Klasse zu nutzen.
Singleton kennzeichnet eine WMI-Klasse, von der es nur eine Instanz
geben kann.
Objektassoziationen
Assoziationen
800
WMI-Objekte knnen durch Assoziationen miteinander verbunden sein

(z.B. ein Verzeichnis enthlt eine Datei). Eine Objektassoziation ist selbst
eine Instanz einer WMI-Klasse. Ein Beispiel fr eine Assoziation ist CIM_
DirectoryContainsFile. Diese Klasse stellt eine Assoziation zwischen CIM_
Directory und CIM_DataFile dar.
WMI-Funktionsumfang
18.1.2
WMI-Namensrume (Namespaces)
Ein WMI-Namensraum ist ein Instrument zur Gruppierung von WMI-Klas- Namensrume
sen und deren Instanzen in logische Einheiten. Ein Namensraum ist der
Startpunkt sowohl fr eine Vererbungshierarchie von WMI-Klassen als auch
fr eine Containment-Hierarchie von WMI-Objekten. Jeder Namensraum
hat also sein eigenes Schema. Klassennamen in zwei Namensrumen drfen
theoretisch gleich sein, sollten es aber nicht, da in zuknftigen WMI-Versionen geplant ist, namensraumbergreifende Operationen zu ermglichen. Es
sind keine Objektassoziationen zwischen verschiedenen Namensrumen
mglich. Um gleiche Klassennamen zu vermeiden, gibt es die Konvention,
dass dem Klassennamen stets der Namensraumname vorangestellt werden
soll. Ein Namensraum ist selbst eine Klasse, die direkt oder indirekt von der
Systemklasse __Namespace geerbt hat.
Namensrume knnen hierarchisch angeordnet werden, sodass eine
Namensraumhierarchie entsteht. Diese Hierarchie dient aber nur der bersichtlichkeit; sie impliziert keine Vererbung von Klassen. Ein bestimmter
Namensraum wird ber einen hierarchischen Pfad der Form Wurzelnamensraum\Namensraum1\Namensraum2\... usw. angesprochen.
Abbildung 18.1
WMI-Namensrume in Windows 7
Ultimate (Grundinstallation)
Namensrume sind nicht gleichzusetzen mit Providern. Ein Provider

kann mehrere Namensrume realisieren, ebenso wie ein Namensraum
Klassen aus mehreren Providern enthalten kann.
Namensraum
versus Provider
801
18
18.1.3
Lokalisierung
WMI erlaubt Lokalisierung (d.h. landesspezifische Anpassung) von Schemainformationen und die Speicherung mehrerer lokalisierter Versionen
eines Namensraums innerhalb des WMI-Repository. WMI speichert dazu
die sprachneutralen Teile der Klassendefinition getrennt von den landesspezifischen Teilen. Landesspezifische Informationen sind insbesondere
die Hilfeinformationen zu den Klassen und Eigenschaften.
LocaleID
Die landesspezifischen Informationen werden in Unter-Namensrumen

gespeichert. Jedes Land hat eine LocaleID.
ms_407 steht fr Deutsch.
ms_409 steht fr amerikanisches Englisch.
Der Namensraum \root\CIMV2\ms_407 ist also der \root\CIMV2-Namensraum mit deutschen Hilfeinformationen, root\CIMV2\ms_409 der gleiche
mit englischen Texten.
Beim Zugriff auf den bergeordneten Namensraum root\CIMV2\ ist die
Sprache abhngig von Ihren Computereinstellungen.
In einigen Werkzeugen werden diese Unter-Namensrume durch eine Weltkugel angezeigt, in anderen Werkzeugen gibt es keinen Unterschied zu den
normalen Namensrumen.
Abbildung 18.2
WMI-Namensrume mit Lokalisierung (Ausschnitt
aus der MMCKonsole WMISteuerung)
Statische
Methoden
WMI-Klassen knnen sogenannte statische Methoden implementieren, die

direkt auf einer Klasse ausgefhrt werden knnen, ohne dass eine Instanz
der Klasse bentigt wrde. Statische Methoden sind z.B. Konstruktormethoden wie die Methode Create() auf der Klasse Win32_Process. Es gibt
auch abstrakte Klassen in WMI, von denen keine Instanzen erzeugt werden
knnen.
18.1.4
WMI-Pfade
Sowohl einzelne WMI-Objekte als auch WMI-Klassen werden durch WMIPfade adressiert.
Ein WMI-Pfad ist folgendermaen aufgebaut:
Aufbau eines WMI-Pfads fr eine WMI-Klasse
\\Computer\Namensraum:Klasse
Aufbau eines WMI-Pfads fr ein WMI-Objekt
\\Computer\Namensraum:Klasse.Schluessel='wert'
802
WMI-Funktionsumfang
Dabei bedeuten die Elemente Folgendes:

Computer steht fr den Namen des anzusprechenden Computers. Ein
Punkt in Anfhrungszeichen (".") steht dabei fr den lokalen Computer, auf dem das Skript luft.
Namensraum ist der Namensraum, in dem die anzusprechende Klasse
registriert wurde. Diese Angabe ist optional, wenn der Standardnamensraum angesprochen werden soll.
Klasse ist der Name der Klasse, die angesprochen werden soll.
Mit Schluessel='wert' wird optional festgelegt, welche Instanz der
Klasse angesprochen werden soll. Dabei ist Schluessel der Name des
Schlsselattributs der Klasse und Wert der Wert dieses Schlsselattributs in der gesuchten Instanz.
Es gibt WMI-Klassen, die einen Schlssel besitzen, der aus mehreren
Attributen besteht. In diesem Fall sind die Schlsselattribute durch ein
Komma zu trennen, z.B. \\SERVER_E02\root\cimv2:Win32_UserAccount
.Domain="ITV",Name="hs"
Die folgende Tabelle zeigt Beispiele fr den Zugriff auf WMI-Objekte am

Beispiel der Klasse Win32_LogicalDisk, die ein Laufwerk reprsentiert. Die
Klasse liegt im Namespace \root\cimv2. Wie Sie der Tabelle entnehmen
knnen, sind viele Bestandteile der Pfadangabe optional.
WMI-Pfad
Beschreibun
\\.\root\cimv2:Win32_LogicalDisk.DeviceID='D:'
Die Instanz der Klasse Win32_LogicalDisk aus dem Namensraum \root\

cimv2: mit dem Namen D: auf dem
lokalen Computer
\\SERVER_E02\root\cimv2:Win32_
LogicalDisk.DeviceID='D:'
Die Instanz der Klasse Win32_LogicalDisk aus dem Namensraum \root\

cimv2: mit dem Namen D: auf dem
Computer Server_E02
Win32_LogicalDisk.DeviceID='D:'
Die Instanz der Klasse Win32_LogicalDisk aus dem Standard-Namensraum

mit dem Namen D: auf dem lokalen
Computer
LogicalDisk
Alle Instanzen der Klasse Win32_LogicalDisk auf dem Computer Server_E02
UserAccount.Domain="ITV",Name="hs"
Das Benutzerkonto "ITV\hs" auf dem

Rechner Server_E02.
18
Tabelle 18.4
Beispiele fr
WMI-Zugriffe
Der sogenannte Standard-Namensraum, wo die Klasse gesucht wird,

wenn kein Namensraum explizit genannt wurde, ist in der Registrierungsdatenbank
festgelegt
(HKEY_LOCAL_MACHINE\Software\
Microsoft\WBEM\Scripting\ Default Namespace). Die Standardeinstellung ist \root\cimv2 und kann ber die MMC-Konsole WMI-Steuerung verndert werden. Man sollte diese Einstellung aber nicht ndern.
803
18.1.5
Schema
WMI-Schema
Das WMI-Schema (alias CIM-Schema) definiert die Klassen mit ihren

Attributen und Methoden, die Vererbungshierarchie und die Objektassoziationen. Zur Laufzeit existieren von diesen Klassen Instanzen (WMIObjeke). Managed Objects knnen durch Assoziationen miteinander verbunden sein, sodass eine Containment-Hierarchie entsteht. WMI-Klassen
erlauben Vererbung (Einfachvererbung), sodass die Klassen auch in einer
Vererbungshierarchie zueinander stehen knnen.
Genau genommen besitzt WMI mehrere Schemata, da jeder WMI-Namensraum ein eigenes Schema hat. Ein WMI-Schema ist oft sehr umfangreich
und enthlt auch Hilfeinformationen, wahlweise in verschiedenen Sprachen. Das Schema fr Windows heit Win32 Schema Version 2 und ist
eine Microsoft-Erweiterung des CIM-Schemas Version 2.
Auch der Aufbau des Schemas ist Teil des Schemas. Dieser Teil des
Schemas wird als Metamodell bezeichnet.
18.1.6
WMI-Repository
Das WMI-Repository (alias CIM-Repository) ist der Datenspeicher/die

Datenbank von WMI. Im Repository werden das Schema und auch Daten
ber die Instanzen gespeichert. WMI erzeugt einige Instanzen ad hoc, wenn
diese angefragt werden, weil es keinen Sinn machen wrde, diese zwischenzuspeichern (z.B. Daten ber die laufenden Prozesse). Andere Daten
werden im Repository abgelegt, weil diese sich selten oder nie ndern (z.B.
Hardwaredaten).
Das WMI-Repository liegt in einem gleichnamigen Verzeichnis unterhalb
von %SystemRoot%\System32\WBEM\Repository. Mit der MMC-Konsole
WMI-Steuerung kann man diese Datenbank sichern und wiederherstellen.
Abbildung 18.3
Sichern und Wiederherstellen des CIMRepositorys in WMI
804
WMI-Funktionsumfang
18.1.7
WMI-Systemdienst
Das Repository von WMI wird durch die ausfhrbare Datei WinMgmt.exe
betrieben. WinMgmt.exe luft unter allen NT-basierten Windows-Systemen
als Systemdienst unter dem Namen WinMgmt (Windows-Verwaltungsinstrumentation). Auf Windows 9x/Windows ME wird WinMgmt.exe beim
ersten WMI-Aufruf als normaler Prozess gestartet, wenn ein Aufruf erfolgt.
WMI kann Fernzugriffe auf andere Computer realisieren, wenn auf dem
anderen Computer auch WMI installiert ist und der WMI-Dienst dort
luft und der Zugang zu dem anderen Computer ber DCOM-Protokoll mglich ist. Seit Windows Server 2003 R2 ist auch eine Kommunikation ber HTTP/SOAP alternativ mglich (Windows Remote Management WinRM).
18.1.8
WMI-Provider
WinMgmt.exe stellt nur das Repository bereit, nicht aber die WMI-Klassen Provider
und WMI-Objekte. Diese sind in getrennten DLLs realisiert. WMI ist nicht in
einer einzigen DLL realisiert. Fr unterschiedliche Systembausteine gibt es
unterschiedliche sogenannte WMI-Provider. Fr jeden WMI-Provider gibt
es eine DLL.
WMI-Provider
Erluterung
Directory Services Provider
Zugriff auf die ADSI-Informationen aus

Verzeichnisdiensten
Event Log Provider
Zugriff auf die Windows-Ereignisprotokolle

(nur NT-Produktfamilie)
Exchange Queue Provider,Exchange Routing

TableProvider,ExchangeClusterProvider
Zugriff auf Microsoft Exchange Server ab

Version 2000
Microsoft Windows Installer Provider
Zugriff auf Software, die durch den Windows

Installer (MSI) installiert wurde
Performance Counters
Provider
Zugriff auf rohe Leistungsindikatordaten
Performance Monitor
Provider
Zugriff auf Performance-Daten, wie sie der

NT-Performance Monitor sieht
Power Management Event

Provider
Ereignisse aus dem Bereich Power Management
Registry Event Provider
Ereignisse bei nderungen in der Registrierungsdatenbank
Registry Provider
Zugriff auf die Registrierungsdatenbank
18
Tabelle 18.5: Ausgewhlte WMI-Provider
805
WMI-Provider
Erluterung
Security Provider
Zugriff auf Sicherheitsinformationen im NTFSDateisystem
SMS Provider
Zugriff auf Microsoft System Management

Server
SNA Provider
Zugriff auf Microsoft SNA Server
SNMP Provider
Zugriff auf SNMP-Daten
View Provider
Dient der Erzeugung neuer Klassen
Windows Installer Provider Softwareinstallation/-deinstallation

WDM Provider
Zugriff auf Gertetreiber via Windows Driver

Model (WDM)
Win32 Provider
Zugriff auf das Win32-Subsystem
Tabelle 18.5: Ausgewhlte WMI-Provider (Forts.)
Nicht alle WMI-Provider werden automatisch registriert und im CIM

Repository eingetragen. In der MSDN-Entwicklerbibliothek finden Sie
die Informationen darber, wie die einzelnen Provider registriert werden.
18.1.9
Managed Object Format (MOF)
MO-Beschreibung durch MOF
Das Managed Object Format (MOF) ist eine Sprache zur Definition von
Managed Objects. MOF basiert auf der Interface Definition Language
(IDL) und ist ein Textformat. MOF-Dateien knnen mithilfe des MOFCompilers (mofcomp.exe) in das CIM-Repository bernommen werden.
MOF fr Microsoft Office
Das nachfolgende Listing zeigt Ausschnitte aus der Datei msioff9.mof, welche
die MOF-Beschreibung fr Informationen ber Microsoft Office liefert. Die
dort definierten Klassen entsprechen den im MSInfo anzeigbaren Daten.
Das MOF-File definiert zunchst einen neuen Namensraum MSAPPS und
dann ber eine CLSID den Provider, der die Funktionalitt der im Folgenden
definierten Klassen implementiert.
Listing 18.1
Ein kleiner
Ausschnitt aus
dem MOF-File
MSIOff9.mof
806
//**************************************************************
//* File: MSIOff9.mof Office Extension MOF File for MSInfo 5.0
//**************************************************************
//***Creates namespace for MSAPPS
#pragma namespace ("\\\\.\\Root")
instance of __Namespace
{
Name = "MSAPPS";
};
//* Declare an instance of the __Win32Provider so as to "register" the
//* Office provider.
instance of __Win32Provider as $P
{
Name = "OffProv";
WMI-Funktionsumfang
ClsId = "{D2BD7935-05FC-11D2-9059-00C04FD7A1BD}";
};
//* Class: Win32_WordDocument
//* Derived from:
[dynamic: ToInstance, provider("OffProv")]
class Win32_WordDocument
{
[key, read: ToInstance ToSubClass] string Name;
[read: ToInstance ToSubClass] string Path;
[read: ToInstance ToSubClass] real32 Size;
[read: ToInstance ToSubClass] datetime CreateDate;
};
//* Class: Win32_AccessDatabase
//* Derived from:
[dynamic: ToInstance, provider("OffProv"), Singleton: DisableOverride
ToInstance ToSubClass]
class Win32_AccessDatabase
{
[read: ToInstance ToSubClass] string Name;
[read: ToInstance ToSubClass] string Path;
[read: ToInstance ToSubClass] real32 Size;
[read: ToInstance ToSubClass] datetime CreateDate;
[read: ToInstance ToSubClass] string User;
[read: ToInstance ToSubClass] string JetVersion;
};
18
Einige Provider werden nicht automatisch in das WMI-Repository eingebunden. In diesen Fllen muss man die zugehrige MOF-Datei erst
kompilieren mit dem Befehl:
mofcomp.exe Dateiname.mof
Auch Instanzen knnen in MOF beschrieben werden, dabei werden die Instanzen
Attribute mit ihren Werten angefhrt. Nachstehend sieht man die MOF- beschreibung
Reprsentation einer Instanz der Klasse Win32_ComputerSystem.
instance of Win32_ComputerSystem
{
AdminPasswordStatus = 3;
AutomaticResetBootOption = TRUE;
AutomaticResetCapability = TRUE;
BootROMSupported = TRUE;
BootupState = "Normal boot";
Caption = "BYFANG";
ChassisBootupState = 3;
CreationClassName = "Win32_ComputerSystem";
CurrentTimeZone = 120;
DaylightInEffect = TRUE;
Description = "AT/AT COMPATIBLE";
Domain = "FBI.net";
DomainRole = 1;
807

EnableDaylightSavingsTime = TRUE;
FrontPanelResetStatus = 3;
InfraredSupported = FALSE;
KeyboardPasswordStatus = 3;
Manufacturer = "System Manufacturer";
Model = "System Name";
Name = "BYFANG";
NetworkServerModeEnabled = TRUE;
NumberOfProcessors = 1;
OEMStringArray = {"0", "0"};
PartOfDomain = TRUE;
PauseAfterReset = "-1";
PowerOnPasswordStatus = 3;
PowerState = 0;
PowerSupplyState = 3;
PrimaryOwnerName = "Holger Schwichtenberg";
ResetCapability = 1;
ResetCount = -1;
ResetLimit = -1;
Roles = {"LM_Workstation", "LM_Server", "Print", "NT", "Potential_
Browser"};
Status = "OK";
SystemStartupDelay = 30;
SystemStartupOptions = {"\"Microsoft Windows XP Professional\" /
fastdetect"};
SystemStartupSetting = 0;
SystemType = "X86-based PC";
ThermalState = 3;
TotalPhysicalMemory = "536309760";
UserName = "FBI\\hs";
WakeUpType = 6;
};
18.1.10 WMI-Sicherheit
808
Sicherheitsfunktionen
WMI basiert auf COM und verwendet die COM-Sicherheitsfunktionen

und die entsprechend verfgbaren Security Provider. Sicherheitseinstellungen knnen auf der Ebene eines jeden Namensraums festgelegt werden.
Diese Einstellung erfolgt im WMI-Snap-in in der MMC. Ein COM-Client,
der auf ein WMI-Objekt zugreifen will, wird zunchst gegen die Sicherheitseinstellung des Namensraums geprft, zu dem das Objekt gehrt. Die
Vergabe von Zugriffsrechten auf Objekt- oder Klassenebene untersttzt
WMI bislang nicht.
Impersonifizierung
WMI untersttzt Impersonifizierung fr den Zugriff auf entfernte Rechner.

Es ist also mglich, beim Aufruf von WMI-Objekten auf einem entfernten
Rechnersystem den Benutzerkontext zu wechseln und als ein anderer
Benutzer aufzutreten als der, unter dem der COM-Client luft. Dies ist allerdings beim Zugriff auf das lokale WMI nicht mglich. Ein Versuch, den
Benutzerkontext vor dem Zugriff auf lokale WMI-Objekte zu wechseln,
wird von WMI mit dem Fehler 80041064 quittiert: Benutzeranmeldeinformationen knnen fr lokale Verbindungen nicht verwendet werden.
WMI-Funktionsumfang
Abbildung 18.4
Einstellen der
Zugriffsberechtigungen in der MMC
WMI-Steuerung
Im Gegensatz zu anderen Komponenten erlaubt WMI Vorgaben fr die ProgrammaCOM-Sicherheit durch den Client. Sowohl Impersonifizierungs- als auch tische Sicherheit
Authentifizierungsmodus knnen beim Verbindungsaufbau eingestellt
werden. Der Client kann ab Windows 2000 auch den Security Service Provider (SSPI) zwischen der NT 4.0-LAN-Manager(NTLM)- und der Kerberos-Authentifizierung whlen. Wird kein SSPI explizit angegeben, verhandelt WMI den SSPI beim Verbindungsaufbau. Es wird zunchst versucht,
Kerberos zu verwenden. Kerberos kann allerdings nie fr lokale Aufrufe
verwendet werden.
Privilegien sind Zusatzrechte, die bei Nutzung einiger WMI-Klassen ben- Privilegien
tigt werden und bei der Instanziierung gesetzt werden mssen. Ohne diese
Zusatzangaben ist die Klasse nicht nutzbar. Die Zusatzangaben werden
entweder im WMI-Pfad gesetzt oder aber ber das Unterobjekt Security_
.Privileges in der Klasse SWbemLocator. Welche Privilegien eine WMIKlasse erwartet, erfhrt man durch den Klassen-Qualifier EnumPrivileges.
18.1.11 WMI Query Language (WQL)

WMI erlaubt Suchanfragen in einer Syntax, die auf der ANSI Standard WQL
Structured Query Language (SQL) basiert. Der SQL-Dialekt heit WMI
Query Language, kurz: WQL. Es wird allerdings nur Lesezugriff mit dem
SQL-Befehl SELECT untersttzt. Weder DDL (Data Definition Language)
noch DML (Data Manipulation Language) werden untersttzt.
Das WQL-SELECT untersttzt neben den Standardschlsselwrtern FROM,
WHERE, GROUP BY, HAVING und WITHIN auch die nicht in ADSI-SQL definierten
Schlsselwrter ASSOCIATORS OF und REFERENCES OF.
809
18

Operatoren
Untersttzte Operatoren sind =, <, >, <=, >=, != (alternativ: <>) sowie IS NULL,
IS NOT NULL und ISA. Der ISA-Operator ermglicht die Abfrage nach Unterklassen einer bestimmten Klasse. Wenn Dorf eine Unterklasse von Stadt
ist, dann erfllt ein Objekt GallischesDorf die Bedingung ISA Stadt. Der
like-Operator fr den Zeichenketten-Mustervergleich wird erst ab Windows XP untersttzt.
Typen von WQL-Anfragen

WMI-Suchanfragen
WMI untersttzt drei Typen von WQL-Anfragen:

Anfragen nach Instanzen (Data Queries)
Anfragen nach Schemainformationen (Schema Queries)
Definitionen von Ereignisfiltern (Event Queries), die nach nderungen
von Klassen und Instanzen fragen
Datenabfragen (Data Queries)

Data Queries
Eine Datenabfrage hat die allgemeine Form:

SELECT attributliste FROM class WHERE bedingung
Dabei ist Class ein beliebiger WMI-Klassenname. Die Ergebnismenge lsst

sich durch die Angabe von Attributnamen und die Verwendung einer FROMKlausel hinsichtlich der Breite und Lnge einschrnken. Andere Schlsselwrter werden nicht untersttzt.
Beispiele
Beispiele fr Datenabfragen zeigt die folgende Tabelle.
Tabelle 18.6
Beispiele fr WQLDatenabfragen
WQL
Erluterung
SELECT * FROM Win32_Service WHERE

state='running' and startmode='manual'
Alle Windows-Dienste, die laufen,

aber manuell gestartet wurden
SELECT Name, CategoryId

FROM Win32_ComponentCategory
Name und CATID aller Komponentenkategorien
SELECT IPAddress
FROM Win32_NetworkAdapterConfiguration
WHERE IPEnabled=TRUE
Das mehrwertige Attribut

IPAddress einer Netzwerkkarte,
die fr das IP-Protokoll zugelassen ist
SELECT RecordNumber, Message

FROM Win32_NTLogEvent
WHERE Logfile='Application'
Eintragsnummer und Nachricht

aller Eintrge in das Ereignisprotokoll "Anwendung"
Schemaabfragen (Schema Queries)

Schema-Queries
Anfragen zum Schema haben die Form:

SELECT attributliste FROM META_CLASS WHERE bedingung
wobei META_CLASS hier ein feststehender Ausdruck ist. Andere Schlsselwrter werden nicht untersttzt. Mit der WHERE-Klausel werden das zu
beobachtende Managed Object und die in dem MO zu beobachtenden
Attribute definiert. Schemaabfragen knnen mit WMI_PrintQuery(WQL) ausgegeben werden.
810
WMI-Funktionsumfang
WQL
Erluterung
SELECT *
FROM meta_class
WHERE __Class = "Win32_LogicalDisk"
Zugriff auf die WMI-Klasse
SELECT *
FROM meta_class
WHERE __this ISA "Win32_LogicalDisk"
Zugriff auf alle von Win32_

LogicalDisk abgeleiteten
Tabelle 18.7
Beispiele fr
Schemaabfragen
Win32_LogicalDisk
Klassen
Ereignisabfragen (Event Queries)

Eine Ereignisabfrage bezieht sich immer auf eine Ereignisklasse. Mit der Ereignisabfragen
WHERE-Klausel werden das zu beobachtende Managed Object (MO) und
die in dem MO zu beobachtenden Attribute definiert.
SELECT * FROM eventklasse WHERE bedingung
Alle Ereignisklassen sind Unterklassen eines Ereignistyps. Die Ereignistypen

wiederum sind Unterklassen der Klasse __Event. Sie sind in der Regel an
dem fhrenden doppelten Unterstrich und der Endung auf Event erkennbar.
WMI unterscheidet vier Typen von Ereignissen (siehe Tabelle 18.4).
Ereignistyp (Oberklasse)
Ereignisklasse
__ClassOperationEvent
__ClassCreationEvent
__ClassDeletionEvent
__ClassModificationEvent
__ExtrinsicEvent
__SystemEvent
Win32_PowerManagementEvent
__InstanceOperationEvent
__InstanceCreationEvent
__InstanceDeletionEvent
__InstanceModificationEvent
__NamespaceOperationEvent
__NamespaceCreationEvent
__NamespaceDeletionEvent
__NamespaceModificationEvent
Tabelle 18.8
WMI-Ereignisklassen. Die Ereignistypen sind die
Oberklassen zu den
rechts genannten
Ereignisklassen.
Bitte beachten Sie, dass das Ereignis __InstanceModificationEvent wirklich nur ausgefhrt wird, wenn sich ein Attributwert ndert. Wenn Sie
beispielsweise die Prozessorlast auf die berschreitung der 80%-Grenze
prfen, dann bekommen Sie ein Ereignis beim berschreiten der Grenze.
Wenn danach der Wert konstant bei 100% liegt, bekommen Sie keine weiteren Ereignisse. Sie erhalten erst wieder ein Ereignis, wenn der Wert sich
nochmals ndert (z.B. von 100% auf 99%).
Ereignisabfragen untersttzen als zustzliche SQL-Schlsselwrter WITHIN, Zustzliche
Schlsselwrter
GROUP BY und HAVING:
Dabei gibt WITHIN 10 das Abfrageintervall in Sekunden an (wird immer
gebraucht, wenn es keinen speziellen Ereignissender gibt!).
GROUP bndelt eine Anzahl von Einzelereignissen zu einem Gesamtereignis.
HAVING dient der Definition einer Bedingung innerhalb der Gruppierung.
811
18

Tabelle 18.9
Beispiele fr
Ereignisabfragen
WQL
Erluterung
SELECT * FROM __InstanceModificationEvent

WITHIN 5 WHERE TargetInstance ISA "Win32_
Service" AND TargetInstance.State="Stopped"
Alle fnf Sekunden wird

geprft, ob ein Dienst den Status Stopped bekommen hat.
SELECT * FROM EmailEvent GROUP

WITHIN 600
HAVING NumberOfEvents > 5
Wenn innerhalb von zehn

Minuten mehr als fnf E-MailEreignisse auftreten, wird dieses Ereignis ausgelst.
SELECT * FROM __InstanceCreationEvent WHERE

TargetInstance ISA "Win32_NTLogEvent" AND
TargetInstance.Logfile="Application" OR
TargetInstance.Logfile="System"
Jeder neue Eintrag in den

Ereignisprotokollen System
und Application lst ein
Ereignis aus.
18.1.12 WMI-Ereignissystem
Ereignisarten
WMI bietet ein komplexes System fr Ereignisse. Es gibt zwei Gruppen

von Ereignissen:
Intrinsic Events sind Ereignisse, die direkt Klassen oder Objekte im
WMI-Repository verndern oder betreffen, z.B. das Lschen einer
Instanz (__InstanceDeletionEvent), das Verndern einer Instanz (__
InstanceModificationEvent) oder der Aufruf einer Methode (__MethodInvocationEvent). Zu den Intrinsic Events gehren auch Zeitgeberereignisse (Timer Events), z.B. __AbsoluteTimerInstruction und
__IntervallTimerInstruction. Der Name dieser Ereignisse beginnt mit
einem doppelten Unterstrich. Alle Klassen sind direkt oder indirekt
abgeleitet von __Event.
Extrinsic Events sind speziellere Ereignisse, die von irgendeinem Teil
des Systems ausgelst werden, aber nicht direkt auf das CIM-Repository wirken mssen, z.B. ndern eines Schlssels in der Registrierungsdatenbank (RegistryValueChangeEvent), ndern der Systemkonfiguration (Win32_SystemConfigurationChangeEvent) und Herunterfahren
des Computers (Win32_ComputerShutdownEvent). Alle diese Klassen sind
abgeleitet von __ExtrinsicEvent.
WMI-Ereignisse werden ausgelst von Ereignisprovidern (Event Provider),
die im CIM-Repository einmalig registriert werden mssen.
Konsumenten
WMI-Ereignisse werden behandelt von Ereigniskonsumenten (Event Consumers). Ereigniskonsumenten registrieren sich bei WMI fr bestimmte
Ereignisse. Der Ereigniskonsument fhrt beim Eintritt eines Ereignisses
eine bestimmte Aktion aus.
Permanente versus temporre
Konsumenten
812
WMI unterscheidet zwei Arten von Ereigniskonsumenten: temporre Event

Consumer und permanente Event Consumer. Der Unterschied zwischen den
beiden Typen ist, dass ein temporrer Event Consumer nur Ereignisbenachrichtigungen erhlt, wenn er aktiv ist. Ein temporrer Event Consumer wird durch ein Skript oder ein Programm implementiert. Nach Been-
WMI-Funktionsumfang
digung des Skripts/Programms ist der Konsument nicht mehr vorhanden.

Dagegen ist ein permanenter Konsument in Form eines Managed Objects
im Repository gespeichert und kann zu jedem Zeitpunkt Ereignisbenachrichtigungen empfangen, da WMI den Consumer bei Bedarf selbst startet
und dann das Ereignis bermittelt.
Permanente Ereigniskonsumenten sind z.B.:
Der EventViewerConsumer (im Namensraum /root/cimv2), der die aufge-
EventViewer-
tretenen Ereignisse in einem Bildschirmfenster, dem WMI Event Consumer

Viewer, darstellt.
Der ActiveScriptEventConsumer (im Namensraum /root/default), der bei
Auftreten eines Ereignisses ein Active Script ausfhrt.

Mithilfe des SMTPEventConsumer knnen bei Ereignissen E-Mails ber
ActiveScriptEventConsumer
SMTPEvent-
den Microsoft SMTP-Server (der Bestandteil des Internet Information Consumer

Servers ab Version 4.0 ist) versendet werden. Der SMTPEventConsumer ist
standardmig nicht registriert. Um ihn benutzen zu knnen, muss die
Datei smtpcons.mof, die sich im Verzeichnis %System-Root%\Winnt\
wbem befindet, mithilfe des MOF-Compilers (mofcomp.exe) kompiliert
und ins WMI-Repository aufgenommen werden. Der Provider wird im
Namensraum root\default registriert.
Abbildung 18.5
berblick ber die
Ereigniskonsumenten
WMI-Ereigniskonsumenten
permanente
temporre
EventViewer
Consumer
ActiveScriptEvent
Consumer
asynchrone
Verarbeitung
semi-synchrone
Verarbeitung
SMTPEvent
Consumer
Command Line
Consumer
Log File
Consumer
NT Event Log
Consumer
(C) Holger@Schwichtenberg.de 2001
813
18
Seit Windows XP gibt es drei weitere permanente Ereigniskonsumenten:

Command Line Event Consumer: Start einer Anwendung
NT Event Log Event Consumer: Eintrag in das NT-Ereignisprotokoll
Log File Event Consumer: Eintrag in eine Protokolldatei
Filter
Der Ereigniskonsument definiert sein Interesse gegenber WMI in Form

eines WMI-Filters. Ein WMI-Filter ist im Wesentlichen eine WQL Event
Query (vgl. Kapitel 18.1.11 zu WQL-Abfragen).
Administration
Ein Ereigniskonsument ist eine Instanz einer von der Systemklasse

__EventConsumer erbenden Klasse. Ein WMI-Filter ist eine Instanz der Systemklasse __EventFilter. Die Bindung zwischen einem Consumer und
einem Filter ist als Instanz von __FilterToConsumerBinding gespeichert.
Es gibt zwei Mglichkeiten, Ereigniskonsument und Filter zu definieren
und aneinander zu binden:
ber das Werkzeug WMI Event Registration aus den WMI Administrative Tools
ber Programmcode. Dadurch, dass Consumer, Filter und Bindungen selbst wieder als WMI-Objekte gespeichert werden, knnen diese
leicht auch per WMI automatisiert verwaltet werden.
Provider
Kern des Ereignissystems ist der Event Provider. Er informiert WMI ber Vernderungen in der Managementumgebung oder im Repository. WMI leitet
die Ereignisse an die fr dieses Ereignis registrierten Konsumenten weiter.
18.1.13 WMI-Programmierschnittstellen
Microsoft stellt fr WMI drei Programmierschnittstellen bereit:
Die COM-basierte Softwarekomponente SWbemDisp.dll mit dem WMICOM-Objektmodell, in dessen Zentrum die Klasse WbemScripting.
SWbemObject steht. Fernzugriff ist mglich ber DCOM.
Die COM-basierte Softwarekomponente WsmAuto.dll, die einen Fernzugriff ber HTTP und SOAP ermglicht.
Die .NET-basierte Softwarekomponente System.Management.dll mit
einem Objektmodell, in dessen Zentrum die Klassen System.Management.ManagementObject und System.Management.ManagementClass stehen.
18.1.14 WMI-Werkzeuge
WMI kann man mit folgenden Werkzeugen verwenden:
WMIC-Kommandozeilenwerkzeug (wmic.exe)
Die kostenlosen Werkzeuge im Rahmen der WMI Administrative
WMI-Scripting-Komponente fr Windows Script Host (WSH)
Windows PowerShell (WPS) ber das Commandlet Get-WmiObject und
die eingebauten PowerShell-Typen [WMI], [WMICLASS] und [WMISEARCHER]
Kommerzielle Systemmanagementwerkzeuge wie Microsoft System
Center oder HP OpenView (nicht in diesem Buch beschrieben)
814
WMI-Funktionsumfang
Die MMC-Konsole fr WMI (z.B. enthalten in der Computerverwaltung

dient nicht dem Zugang zu WMI-Informationen, sondern nur der Sicherheitskonfiguration (wer hat Zugang zu den Informationen?) sowie der
Sicherung und Wiederherstellung des WMI-Repositorys.
Abbildung 18.6
WMI-Steuerung in
der MMC Computerverwaltung
18
Daran, dass es auch in Windows 7 kein mitgeliefertes grafisches Werkzeug fr den Zugang zu den eigentlichen Daten in WMI gibt, sieht
man schon, dass WMI als Plattform fr Scripting und nicht fr die
GUI-basierte Administration betrachtet wird.
WMI Object Browser

Der WMI Object Browser ist eins der Werkzeuge in den WMI Administrative Tools. Es ermglicht, die auf dem lokalen oder einem entfernten System vorhandenen WMI-Objekte zu betrachten und entlang der Hierarchie der Objekte das System zu erforschen, mit dem Ziel, Objekte und
Attribute zu finden, welche die gewnschten Systeminformationen enthalten. An vielen Stellen knnen WMI-Objekte auch verndert werden
(z.B. Name eines Laufwerks ndern), oder es ist mglich, Aktionen auf
den Objekten zu initiieren (z.B. Festplatte prfen).
815
Das Werkzeug WMI Object Browser luft als ActiveX-Komponente

innerhalb des Internet Explorers. Sie mssen ActiveX zulassen, um das
Werkzeug nutzen zu knnen. Eine deutsche Version ist nicht verfgbar. Da die Hilfetexte zu den WMI-Klassen aber im WMI-Repository
stehen, sind zumindest davon viele in Deutsch verfgbar.
Abbildung 18.7
Der WMI Object
Browser zeigt an,
dass der Computer
drei Laufwerke
besitzt. Die Details
zu Laufwerk
C werden hier
dargestellt.
Weitere Werkzeuge
Weitere Werkzeuge in den WMI Administrative Tools sind:
Das WMI CIM Studio setzt im Gegensatz zum WMI Object Browser
auf der Klassenebene an und stellt die Vererbungshierarchie der CIMKlassen dar. Diese wird in der linken Fensterhlfte, dem Class Explorer, gezeigt. Die rechte Fensterhlfte (genannt Class Viewer) hnelt
der Ansicht des WMI Object Browsers: Hier werden die Attribute,
Methoden und Beziehungen angezeigt.
Das WMI Event Registration Tool ist ein GUI zur Konfiguration von
Ereigniskonsumenten.
Der WMI Event Viewer ist das einzige unter den WMI Administrative
Tools, das keine HTML-Anwendung, sondern eine ausfhrbare Datei
(wbemeventviewer.exe) ist. Der Event Viewer ist ein permanenter
WMI-Ereigniskonsument, der durch eine __EventFilter-Instanz definierte Ereignisse auf dem Bildschirm darstellt. Der Event Viewer wird
ber die WMI-Klasse Event ViewerConsumer konfiguriert. Diese Konfiguration knnen Sie ber das WMI Event Registration Tool oder ber
den Event Viewer selbst durchfhren.
816
WMIC-Konsolenanwendung
18.2 WMIC-Konsolenanwendung
WMIC (Windows Management Instrumentation Command Line Tool) ist ein wmic.exe
eigener Kommandozeileninterpreter zur interaktiven Kommunikation mit
der Windows Management Instrumentation (WMI). Sie knnen wmic.exe
innerhalb eines Kommandozeilenfensters starten. Im Gegensatz zu einem
normalen Kommandozeilenfenster zeigt das WMIC-Fenster keinen Dateisystempfad, sondern WMIC: gefolgt vom aktuellen WMI-Namensraum vor
jedem Befehl an. WMIC wurde mit Windows XP neu eingefhrt.
Abbildung 18.8
WMIC-Kommandozeileninterpreter
Hinsichtlich der Benutzerkontensteuerung (ab Windows Vista) gelten

fr WMIC die gleichen Aussagen wie fr das normale Windows-Konsolenfenster (siehe Kapitel 17, Windows 7-Batch-Dateien).
18.2.1
18
WMIC-Befehle
Beispiele fr WMIC-Befehle sind:
WMIC-Befehle
service
Liste aller Windows-Dienste

service where state="running"
Liste aller gestarteten Dienste

service where name="w3svc"
Anzeige des World Wide Web Publishing-Dienstes

service where name="w3svc" call stopservice
Beenden des World Wide Web Publishing-Dienstes

service /?
Hilfe zum Service-Befehl

process
Liste der laufenden Prozesse

process where name="iexplore.exe" call terminate
Beenden alle Internet Explorer-Prozesse

share
Liste aller Freigaben

quit oder exit
Beendet WMIC
817
Bei einigen Aktionen stellt WMIC erst eine Sicherheitsrckfrage.
18.2.2
PATH
PATH-Befehl
Die Befehle share, service u.a. sind Abkrzungen fr WMI-Klassen (z.B.

Win32_Share, Win32_Service), die im WMI-Repository definiert sind. Der
WMIC-Nutzer kann auch direkt den Klassennamen angeben. Dann muss
allerdings das Wort PATH vorangestellt werden, z.B.:
PATH Win32_Share
PATH Win32_UserAccount
PATH Win32_OperatingSystem
PATH Win32_Processor
PATH Win32_Process
Welche WMI-Klassen verfgbar sind, hngt vom Installationsumfang

des Betriebssystems und von den installierten Anwendungen ab. Das
WMI-Repository kann man mit dem WMI Object Browser und dem
WMI Class Browser ermitteln. Beide Werkzeuge sind Teil der kostenlosen Microsoft WMI Tools, die Sie zustzlich installieren mssen
[CD:/Kap18/WMI].
Nicht fr alle WMI-Klassen existieren Aliase, und die Aliase entsprechen auch nicht notwendigerweise dem Klassennamen ohne das Prfix Win32. Welche Aliase definiert sind, erfhrt man durch Eingabe des
Befehls:
ALIAS GET FriendlyName, Target
18.2.3
GET
Ausgabeformen
Durch den GET-Befehl kann die Form der Ausgabe beeinflusst werden. Die
Standarddarstellung ist die Tabellenform.
PATH Win32_UserAccount GET /format:list
erzeugt eine Listendarstellung. Gltige Formatnamen sind Table, List,

RawXML, HTable, HForm, HXML, MOF, HMOF und CSV.
818
WMIC-Konsolenanwendung
Abbildung 18.9
Auflisten der
Benutzerkonten
Um die Ausgabe in eine Datei umzuleiten, mssen Sie dem Befehl den
Schalter /output voranstellen:
18
/output:Benutzer.htm PATH Win32_UserAccount GET /format:htable

Abbildung 18.10
Ausgabe der Benutzerliste in einer
HTML-Tabelle
Nach GET kann man auch angeben, welche Attribute der WMI-Objekte man
sehen will. Dadurch kann die Ausgabe wesentlich bersichtlicher werden.
PATH Win32_UserAccount GET caption, description
819
18.2.4
/node
Fernzugriff auf andere Systeme
Durch den Schalter /node kann WMIC auf andere Systeme zugreifen, auf
denen ein WMI-Dienst luft. WMIC muss dort nicht vorhanden sein, sodass
WMIC auch ltere Windows-Betriebssysteme abfragen kann.
Der folgende Befehl ermittelt alle laufenden Prozesse auf dem Computer
mit Namen E60.
/node:E60 service state="running"
18.2.5
Stapelverarbeitung
WMIC-Befehle knnen auch mit vorangestelltem wmic.exe direkt von der

Windows-Kommandozeile aus aufgerufen werden und damit in WindowsBatch-Dateien zum Einsatz kommen.
wmic PATH win32_processor GET /format:list
820
19
Windows
Script Host (WSH)
Ende der Neunzigerjahre hat Microsoft mit dem Windows Script Host WSH
(WSH) eine Alternative zur DOS-Kommandozeilenprogrammierung verffentlicht. Der WSH ist Teil der sogenannten Active Scripting-Architektur, zu
der auch das Scripting im Internet Explorer und die Active Server Pages
(ASP) im Internet Information Server (IIS) sowie zahlreiche andere MicrosoftProdukte gehren. In Windows 7 ist der WSH in der Version 5.8 enthalten.
Der Windows Script Host hie in einer frheren Version noch Windows Scripting Host. Sie werden beide Begriffe synonym in MicrosoftDokumentationen und in der Literatur finden.
Der Windows Script Host besitzt keine eigene Programmiersprache, sondern arbeitet mit zahlreichen verschiedenen Programmiersprachen zusammen. Microsoft liefert die Sprachen Visual Basic Script (VBScript) und
JScript. Von anderen Herstellern kann man Perl, REXX, Python, Haskell
und Ruby in Versionen bekommen, die jeweils mit dem WSH kooperieren.
In diesem Buch kommt Visual Basic Script zum Einsatz, die im WSH am
meisten verwendete Programmiersprache.
Nicht jede Programmiersprache arbeitet automatisch mit dem WSH
zusammen. Eine Programmiersprache muss eine spezielle Schnittstelle
zur Active Scripting-Architektur besitzen, um WSH-fhig zu sein.
Anders als bei den Windows-Kommandozeilen und WMIC gibt es beim
WSH keinen interaktiven Modus, d.h., Skripte mssen immer zur Stapelverarbeitung in Textdateien abgelegt und dann gestartet werden. Eine
direkte Ausfhrung einzelner Befehle in einem Eingabefenster ist nicht
mglich.
821
Kapitel 19 Windows Script Host (WSH)
19.1 berblick ber den WSH in

Windows 7
Der Windows Script Host (WSH) trgt in Windows 7 die Versionsnummer 5.7 (gegenber 5.6 in Windows XP und Windows Server 2003 und 5.7
in Vista und Windows Server 2008). Neue Funktionen fr den Benutzer
sind aber nicht dokumentiert und laut einer schriftlichen Auskunft des
Windows-Entwicklungsteams in Redmond an den Autor dieses Kapitels
auch nicht enthalten. Es hat lediglich eine interne Anpassung an Vernderungen in Windows 7 stattgefunden.
Die Skriptsprachen VBScript und JScript haben analog die Versionsnummern 5.7 erhalten. Neuerungen sind hier aber ebenfalls nicht hinzugekommen. Der Funktionsumfang der meisten Scripting-Komponenten
(z.B. ADSI, Scripting Runtime, ADO, MSXML) hat sich in Windows 7
nicht verndert. Zuwachs gibt es lediglich bei den WMI-Klassen. Neue
WMI-Klassen bzw. Klassenmitglieder gibt es fr Computerinformationen, das Windows System Assessment Tool (WinSAT), Offline-Dateien,
Internet Information Server 7.0, Network Access Protection (NAP), Distributed File System Replication (DFSR) und installierte Spiele. Dies sind
jedoch keine Scripting-Bereiche, die in diesem Buch erwhnt sein knnen.
Bitte lesen Sie dazu [SCH09].
Eine Herausforderung fr WSH-Skripte in Windows 7 ist die Benutzerkontensteuerung. Dies wird in Kapitel 19.5, WSH-Sicherheit, behandelt.
19.2 Erste WSH-Beispiele

Wenn Sie noch nie ein Skript unter Windows erstellt haben, wird Ihnen
das folgende Beispiel erste Erfolgserlebnisse bereiten.
19.2.1
Ihr erstes Skript
Hello World
So erstellen Sie Ihr erstes Skript fr den WSH in der Sprache Visual Basic
Script:
Legen Sie eine Textdatei an, indem Sie irgendwo auf dem Desktop
oder in einem Verzeichnis im lokalen (!) Dateisystem im Kontextmen
Neu | Textdatei whlen. Es erscheint eine Datei Neue Textdatei.txt.
Benennen Sie die Datei in ErstesSkript.vbs um. Besttigen Sie die Nachfrage des Betriebssystems, ob die Dateiextension wirklich gendert
werden soll.
Whlen Sie aus dem Kontextmen der Datei Bearbeiten, sodass sich
der Windows Editor Notepad ffnet. (Sofern Sie einen anderen Editor installiert haben, mag jetzt dieser gestartet werden.)
Geben Sie Folgendes in die erste Zeile ein:
WScript.Echo "Ab heute kann ich skripten!"
Bitte beachten Sie das Leerzeichen (Leertaste) nach Echo und die
Anfhrungszeichen (").
822
Erste WSH-Beispiele
Speichern Sie die nderungen ab. Sie knnen den Editor schlieen,
mssen es aber nicht.

Doppelklicken Sie auf die Datei ErstesSkript.vbs. Wenn Sie alles richtig
gemacht haben und das System Ihnen wohlgesonnen ist, wird die
nachstehend abgebildete Dialogbox erscheinen.
Abbildung 19.1
Skriptdatei, Quellcode und Ausgabe
des ersten Skripts
Das Skript besteht nur aus einem einzigen Befehl: WScript.Echo. Die Bedeu- Bildschirmtung des Punktes zwischen den Wrtern WScript und Echo wird spter in ausgabe
diesem Buch erlutert. Nach dem Befehl folgt ein Leerzeichen, um den
Befehl von seinen Parametern zu trennen. Danach steht ein Parameter, in
diesem Fall eine Zeichenkette. WScript.Echo erzeugt eine Ausgabe auf dem
Bildschirm. Der Parameter gibt an, was ausgegeben werden soll.
19
Die Gro- und Kleinschreibung der Befehle ist brigens irrelevant.

Visual Basic Script unterscheidet (im Gegensatz zu einigen anderen
Programmiersprachen) nicht zwischen einem Gro- und einem Kleinbuchstaben. Bezglich der auszugebenden Meldung ist die Unterscheidung natrlich wichtig, weil der WSH die Meldung genau so
anzeigt, wie Sie sie eingegeben haben.
19.2.2
Versionsnummern ermitteln
Das zweite Skript dient dazu, die Versionsnummer des installierten WSH Ihr zweites Skript
und der installierten Sprachversion von Visual Basic Script zu ermitteln.
WScript.Echo _
"Dies ist der " & WScript.Name & _
" Version " & WScript.Version
Listing 19.1
Ermittlung der
Versionsnummern
WScript.Echo _
"Dies ist die Sprache " & ScriptEngine & _
" Version " & _
ScriptEngineMajorVersion & "." & _
ScriptEngineMinorVersion & "." & _
ScriptEngineBuildVersion
823

Kaufmnnisches
Und (&)
Geben Sie dieses Skript genau so ein wie das erste. In dem Skript kommen
neben dem WScript.Echo-Befehl auch verschiedene andere Befehle vor, die
Informationen ber die Versionsnummer liefern. Das kaufmnnische Und
(&) verknpft dabei die Ausgabetexte mit diesen Befehlen und erzeugt
eine gemeinsame Ausgabezeichenkette.
Unterstriche
Achten Sie aber auf die Unterstriche (_) am Zeilenende: Diese sind notwendig, um den Zusammenhalt der Zeile zu definieren. Das Skript besteht
eigentlich nur aus zwei Befehlen, und jeder Befehl muss in genau einer
Zeile stehen. Mit dem Unterstrich kann man eine Zeile jedoch aufspalten,
und dies ist hier sinnvoll, weil man in einem Buch nicht so viel in eine Zeile
bekommt wie im Notepad auf dem Bildschirm. Ohne die Unterstriche
machen Einsteiger an dieser Stelle oft den Fehler, dass sie etwas im Editor
in zwei Zeilen tippen, weil es im Buch aus satztechnischen Grnden in
zwei Zeilen steht. Um dieses Problem zu vermeiden, sind die Zeilen hier
durch die Unterstriche aufgetrennt.
Start
Starten Sie das Skript von der Windows 7-Konsole mit vorangestelltem
cscript. Dies sorgt dafr, dass die Ausgaben nicht im Dialogfenster, sondern auch im Konsolenfenster erscheinen.
Abbildung 19.2
Ausgabe des
Versionsnummernskripts
19.3 WSCRIPT vs. CSCRIPT

Der WSH ist genau genommen nicht nur ein Scripting Host, sondern er
umfasst zwei eng verwandte Scripting Hosts: WScript und CScript. Beide
Scripting Hosts sind hinsichtlich ihres Befehlsumfangs fast identisch. Sie
unterscheiden sich lediglich darin, wohin die Ausgaben gehen:
WSH fr
Windows
Bei WScript (WScript.exe) erfolgt die Ausfhrung als Windows-Anwen-
WSH fr DOS
Bei CScript (implementiert in CScript.exe) erfolgt die Ausfhrung des
dung. Alle Ausgaben werden in Form von einzelnen Dialogfenstern

dargestellt. Wenn das Skript viele Ausgaben macht, kann dies sehr lstig
sein, da jedes Dialogfenster einzeln besttigt werden muss. Zudem ist
jedes Dialogfenster modal: Das Skript hlt an und wartet auf die Besttigung. WScript eignet sich also fr die unbeaufsichtigte Ausfhrung nur
dann, wenn das Skript keine Ausgaben macht. Gut geeignet ist WScript
jedoch, wenn der Benutzer ber jeden einzelnen Schritt informiert werden und dabei die jeweils erfolgten Vernderungen berprfen mchte
(beispielsweise beim Debugging, also bei der Fehlersuche).
Skripts im Kontext eines Kommandozeilenfensters. Die Form der Ausgabe hngt von den verwendeten Ausgabebefehlen ab: Alle Ausgaben
824
WSCRIPT vs. CSCRIPT
ber die Methode WScript.Echo erfolgen in das Kommandozeilenfenster. Alle Ausgaben ber die spracheigenen Ausgabemethoden (z.B.
MsgBox() in VBScript) werden weiterhin als modale Dialogboxen dargestellt. Ein Vorteil von CScript ist, dass es mit der Methode WScript.
StdIn.ReadLine das Einlesen von Eingaben des Benutzers im Kommandozeilenfenster untersttzt. Ausgaben knnen mit dem Umleitungsbefehl ((>)) in eine Textdatei oder an einen Drucker umgeleitet werden.
Wenn Sie nicht vorher Vernderungen an Ihrem System vorgenommen
haben, dann wurde das erste Beispiel mit WScript gestartet; denn WScript
ist auf einem normalen Windows die Standardeinstellung.
Um das Skript mit CScript zu starten, gehen Sie wie folgt vor:
Skriptstart
ffnen Sie die DOS-Eingabeaufforderung.
Tippen Sie cscript ein. Bitte beachten Sie das Leerzeichen (Leertaste)
nach dem Befehl!
Geben Sie dahinter den Pfad zu Ihrem Skript ein, z.B. c:\Dokumente und
Einstellungen\hs.E60\Desktop\ErstesScript.vbs. Wenn der Pfad Leerzeichen enthlt, mssen Sie den Pfad in Anfhrungszeichen (") setzen.
Als Gesamtbefehl erhalten Sie dann:
cscript "c:\Dokumente und Einstellungen\hs.E60\Desktop\
ErstesScript.vbs"
Fhren Sie den Befehl durch Drcken der Eingabetaste () aus.
Sie werden feststellen, dass die Ausgabe nun in das Kommandozeilenfenster geht.
Abbildung 19.3
Ausfhrung des
ersten Skripts
mit CScript im
Wenn Sie Gefallen daran gefunden haben, dass Ihre Skripte im Kommandozeilenfenster ausgefhrt werden, dann ist Ihnen vielleicht auch das Eintippen von CScript mit der Zeit lstig, und Sie mchten CScript zu Ihrem
Standard-Scripting-Host machen. Das ist mglich, indem an der Kommandozeile einmalig folgender Befehl eingegeben wird:
cscript //H:cscript ()
Danach werden alle Skripte automatisch mit CScript gestartet. Wenn Sie Standardeine Skriptdatei per Doppelklick im Windows Explorer starten, werden Script-Host
Sie sehen, dass sich ein Kommandozeilenfenster ffnet. Dieses Kommandozeilenfenster schliet sich aber auch sofort nach Skriptende wieder.
Wenn man die Ausgaben betrachten will, muss man:
825
19

entweder vorher selbst eine DOS-Eingabeaufforderung ffnen und
dort das Skript starten (hier brauchen Sie dann kein einleitendes
cscript mehr, es reicht der Pfad zum Skript),
oder Sie stellen den Befehl MsgBox("Ende") an das Ende des Skripts.
Dann bekommen Sie nach Ablauf des Skripts auf jeden Fall eine Dialogbox. Das Kommandozeilenfenster ist dann so lange sichtbar, bis Sie
das Dialogfenster besttigt haben.
Die Einstellung von CScript als Standard-Scripting-Host kann man auch
rckgngig machen:
cscript //H:wscript ()
19.4 Skriptsprache Visual Basic

Script (VBScript)
In diesem Kapitel erhalten Sie einen Schnellkurs in VBScript.
19.4.1
Sprachsyntax
Grundregeln
Als Erstes einige einfache Regeln fr die formale Struktur (Syntax) von
VBScript:
Grundstzlich enthlt jede Zeile genau einen Befehl.
Es ist mglich, mehrere Befehle getrennt durch einen Doppelpunkt in
eine Zeile zu schreiben. Auf diese Mglichkeit sollten Sie aber aus
Grnden der bersichtlichkeit verzichten.
Wenn Befehle sich ber mehr als eine Zeile erstrecken sollen, mssen
alle Zeilen mit nicht abgeschlossenen Befehlen mit einem Unterstrich
_ enden.
Leerzeilen, Leerzeichen und Tabulatoren sind in beliebiger Hufung
erlaubt, um den Skriptcode bersichtlicher zu machen.
VBScript ist nicht case-sensitive: Die Gro- und Kleinschreibung der
Schlsselwrter ist also ebenso ohne Bedeutung wie die Schreibweise
Ihrer selbst gewhlten Bezeichner fr Variablen, Unterroutinen etc.
Visual Basic Script ist eine Interpreter-Sprache, dennoch meldet sie
manchmal einen Kompilierungsfehler. Dieser Begriff ist nicht korrekt,
es sollte besser Skript-Strukturfehler heien. Das bedeutet, dass Ihr
Skript nicht korrekt aufgebaut ist und daher gar nicht erst gestartet werden kann.
19.4.2
MsgBox und
WScript.Echo
826
Ausgaben
Innerhalb von VBS-Skripten im WSH stehen folgende Ausgabeoptionen

zur Verfgung:
Msgbox() erzeugt immer ein Dialogfenster.
WScript.Echo() erzeugt abhngig von der verwendeten WSH-Variante
ein Dialogfenster oder eine Ausgabe in das Kommandozeilenfenster.
Skriptsprache Visual Basic Script (VBScript)
19.4.3
Variablen und Konstanten
VBS kennt keine expliziten Datentypen; alle Variablen und Konstanten Option Explicit
besitzen automatisch den generischen Typ Variant, der alle Arten von Daten
aufnehmen kann. Variablen mssen vor ihrer ersten Verwendung nur dann
deklariert werden, wenn das Skript mit dem Befehl Option Explicit beginnt.
Um Fehler in Variablennamen zu erkennen, ist die Verwendung von Option
Explicit aber sinnvoll.
Option Explicit
Dim Computerliste ' Liste der Computer
Dim Computername' aktueller Computer
Dim a ' Zhler
a = 0' Wertzuweisung
19.4.4
Operationen
VBS untersttzt alle mathematischen Operationen (+, -, *, / etc.) sowie die

Zeichenkettenverknpfung mit dem kaufmnnischen Und (&).
a = a +1
19.4.5
Bedingte Ausfhrung
Fr die bedingte Ausfhrung ist das wichtigste Konstrukt If...Then... If...Then...Else...

Else...End If.
End If
If Error = 0 Then
WScript.Echo "Die Installation war erfolgreich."
Else
WScript.Echo "Bei der Installation ist " &_
"folgender Fehler aufgetreten: " & Error
End If
19.4.6
19
Schleifen
VBS besitzt verschiedene Schleifenkonstrukte:

1. Schleife mit Zhler
For a = 1 To 10
WScript.echo a
Next
2. Schleife ber alle Elemente einer Liste

Dim Buecherliste, buch
Buecherliste = Array("Windows- und BackOffice-Scripting", "Windows
Scripting 2. Auflage", "Windows Scripting 3. Auflage", "COMKomponenten-Handbuch", "Programmierung mit der .NET
Klassenbibliothek", "Webforms", ".NET 2.0 Crashkurs")
For Each Buch In Buecherliste
WScript.Echo buch
Next
827
3. Schleife mit Bedingung am Schleifenbeginn

a = 0
Do While a < 10
WScript.echo a
a = a +1
Loop
4. Schleife mit Bedingung am Schleifenende

a = 0
Do
WScript.echo a
a = a +1
Loop While a < 10
19.4.7
Sub und Function
Unterroutinen
Um die bersichtlichkeit eines Skripts zu verbessern und Wiederholungen von Programmcode an mehreren Stellen im Skript zu vermeiden,
besteht die Mglichkeit, wiederkehrende Programmzeilen in Unterroutinen zu kapseln und anstelle der wiederkehrenden Befehle nur noch diese
Unterroutinen aufzurufen. VBS unterscheidet zwischen Unterroutinen
mit Rckgabewerten (Function) und ohne (Sub). Zu beachten ist, dass
beim Aufruf einer Function runde Klammern um die Parameter gesetzt
werden mssen, whrend beim Aufruf einer Sub diese Klammern nicht
erlaubt sind.
' === Aufruf einer Unterroutine ohne Rckgabewert
Unterroutine1 "Holger Schwichtenberg"
' === Aufruf einer Unterroutine mit Rckgabewert
WScript.Echo Unterroutine2("Holger Schwichtenberg")
' === Unterroutine ohne Rckgabewert
Sub Unterroutine1(parameter)
WScript.echo "Name = " & parameter
End Sub
' === Unterroutine mit Rckgabewert
Function Unterroutine2(parameter)
Unterroutine2 = "Name = " & parameter
End Function
Eingebaute Funktionen
VBS besitzt zahlreiche eingebaute Funktionen, z.B.:
Ermittlung des aktuellen Datums: Date()
Ermittlung der aktuellen Zeit: Time()
Erzeugen einer Zufallszahl: Rnd()
Ersetzen von Zeichen in einer Zeichenkette: Replace()
828
Skriptsprache Visual Basic Script (VBScript)
19.4.8
Objekte
Der WSH und auch VBS sind objektbasiert. Objekte sind Programmierspra- CreateObject
chenkonstrukte, die Daten enthalten und Operationen auf diesen Daten
bereitstellen. Die Daten werden Attribute genannt, die Operationen Methoden. Methoden werden blicherweise durch ein Klammernpaar () von Attributen abgegrenzt.
Die objektorientierte Verarbeitung beginnt mit der Erzeugung des Objekts.
Die folgende Skriptzeile generiert ein Objekt, welches das Dateisystem
reprsentiert. Das Objekt wird in der Variablen FSO gespeichert.
Set Dateisystem = CreateObject("Scripting.FileSystemObject")
Objekte knnen dazu verwendet werden, andere Objekte zu erzeugen. In

diesem Fall liefert die Methode GetFile() ein anderes Objekt vom Typ
File:
Set Datei = Dateisystem.GetFile("d:\daten\buch.doc")
Objekte knnen Daten liefern, z.B. die Dateigre (Size).

WScript.Echo "Gre der Datei: " & Datei.Size & " Bytes."
Zwischen dem Variablennamen und dem Attribut bzw. der Methode ist
immer ein Punkt zu verwenden. Bei der Zuweisung von Objekten an
Variablen ist das Schlsselwort Set voranzustellen.
Einige Objekte mssen mit GetObject() statt CreateObject() erzeugt
werden. Ein Beispiel dafr ist der Zugriff auf einen Benutzer:
Set Benutzer = GetObject("WinNT://E60/HolgerSchwichtenberg")
19
Eigentlich soll der Unterschied zwischen GetObject() und CreateObject()

sein, dass der erste Fall fr Objekte verwendet wird, die bereits vorhanden sind. Wenn man sich lnger mit dem WSH bzw. dem zugrunde
liegenden Component Object Model (COM) beschftigt, so erkennt
man schnell, dass Microsoft diese beiden Befehle extrem inkonsistent
verwendet. Welcher Befehl im Einzelfall der richtige ist, ist leider eine
Frage des Wissens und nicht des logischen Ableitens.
19.4.9
Softwarekomponenten
Klassen sind Vorlagen fr Objekte. Sie werden bentigt, um Objekte zu Klassen und
erzeugen. Klassen sind in Softwarekomponenten implementiert, die in Komponenten
Form von DLLs Teil des Betriebssystems sind oder zustzlich installiert
werden mssen. Softwarekomponenten, die zum Scripting eingesetzt werden, nennt man auch Scripting-Komponenten oder WSH-Komponenten.
Alle in diesem Buch verwendeten Scripting-Komponenten, namentlich:
Scripting Runtime (ScrRun)
Active Directory Service Interface (ADSI) und
Windows Management Instrumentation (WMI)
sind automatisch in Windows 7 installiert.
829
19.5 WSH-Sicherheit
ScriptingSicherheit
Eine hufig gestellte Frage ist, welche Aktionen man per Skript ausfhren
kann. Grundstzlich gilt: Die Windows-Sicherheit wirkt natrlich auch fr
Skripte, d.h., ein Benutzer kann per Skript nur die Aktionen ausfhren, die
er mittels eines geeigneten Werkzeuges auch von der grafischen Benutzerschnittstelle ausfhren knnte.
In den folgenden Beispielen finden Sie sowohl Aktionen, die unter normalen
Rechteeinstellungen jeder Benutzer ausfhren kann (z.B. Dateien beschreiben, Inhalte eines Ordners auflisten), als auch Aktionen, die Administratoren
vorbehalten sind (Benutzer anlegen, Registry ndern).
Wenn Skripte nicht funktionieren, sollten Sie zunchst prfen, ob Sie
Sicherheitsbeschrnkungen (z.B. durch System- oder Gruppenrichtlinien) unterliegen, die diese Aktion verbieten.
19.6 WSH und

Keine UAC-Untersttzung fr
WSH
Leider hat Microsoft schon bei der Entwicklung von Vista nicht mehr richtig ber den WSH nachgedacht und diesen nicht so verndert, dass er reibungslos mit der Benutzerkontensteuerung (User Account Control, UAC)
zusammenarbeitet, also den Consent Prompt oder Credential Prompt prsentiert.
Dies bedeutet, dass viele administrative Skripte, die hhere Rechte erfordern (z.B. Starten und Stoppen von Diensten, Benutzerverwaltung), nicht
mehr funktionieren knnen. Viele administrative Skripte brechen daher
auch bei Ausfhrung vom Desktop des Administrators ohne Nachfrage
mit einer Zugriff verweigert-Fehlermeldung ab.
Abbildung 19.4
Der Administrator
kann wegen UAC
keinen Benutzer
mehr per Skript
anlegen.
Ein Administrator wird also bei vielen Skripten in Windows 7 mit den
bisherigen Strategien fr einen Skriptstart (Doppelklick oder Ausfhren
im Kommandozeilenfenster) scheitern. Das Skript wird mit der Meldung,
dass die Rechte nicht ausreichen, abbrechen. Ein WSH-Skript fragt bei
Anwendern nicht nach hheren Rechten, weil eine Untersttzung fr
UAC in den WSH leider nicht eingebaut wurde.
830
WSH und Benutzerkontensteuerung
Normale Windows-Anwendungen besitzen im Kontextmen auch einen

Befehl Als Administrator ausfhren, mit dem man nach Besttigung des
entsprechenden UAC-Dialogs die hheren (normalen) Rechte erzwingen kann. Leider sucht man im Kontextmen eines Skriptsymbols den
Befehl Als Administrator ausfhren vergeblich. Microsoft hat auch diese
Funktion fr WSH-Skripte nicht vorgesehen.
Abbildung 19.5
Kompilierte
Windows-Anwendungen haben im
Kontextmen einen
Eintrag Als Administrator ausfhren
Skripte leider
nicht.
Lsungen des Problems

Ein Administrator hat fnf Mglichkeiten, ein Skript dennoch mit vollen Lsungsmglichkeiten
Rechten zu starten:
1. Start eines Konsolenfensters mit Administratorrechten und Start des
Skripts aus dem Konsolenfenster heraus (Details siehe unten).
2. Start des Skripts mit dem Kommandozeilenwerkzeug zur Rechteerhhung, das es auch schon in Windows 2000/XP und 2003 gab: runas.exe.
Der Nachteil dieser Methode ist, dass der Administrator dann bei jedem
Skriptstart sein Kennwort neu eingeben muss.
3. Erstellen einer Verknpfung zu einem Skript, wobei in der Verknpfung dem Skript explizit cscript.exe oder wscript.exe voranzustellen ist
(Details siehe unten).
4. Deaktivierung der UAC-/UAP-Funktion fr alle Skripte durch eine
Anwendungskompatibilittskonfiguration mit dem Application Compatibility Toolkit. Da man aber dort die Einstellung nur fr cscript.exe
und wscript.exe, nicht aber fr einzelne Skripte vornehmen kann, ist
dies keine befriedigende Lsung.
5. Generelle Deaktivierung der UAC-/UAP-Funktion fr Administratoren durch nderung der Systemrichtlinie (Details siehe unten). Diese
Lsung ist nicht zu empfehlen, weil damit viel von der erhhten Sicherheit von Windows Windows 7 auer Kraft gesetzt wird. Dies wird im
Kapitel 13, Sicherheit, besprochen.
Start aus dem Admin-Konsolenfenster heraus

Ein Konsolenfenster kann direkt mit erhhten Rechten gestartet werden.
Diese Funktion ist im Kontextmen des Symbols fr die Eingabeaufforderung (sowohl auf dem Desktop als auch im Startmen oder in einem
Windows Explorer-Fenster) verfgbar (Als Administrator ausfhren).
831
19
Ein Konsolenfenster, das unter Administratorrechten luft, zeigt im Gegensatz zu einem normalen Konsolenfenster auch das Wort Administrator
im Fenstertitel.
Abbildung 19.6
Das Konsolenfenster mit dem Zusatz
Administrator im
Titel ermglicht den
Start von WSHSkripten unter
vollen Rechten.
Anlegen einer Verknpfung zu wscript.exe oder cscript.exe

Verknpfung
Abbildung 19.7
Man erstellt eine
Verknpfung zu
dem Skript und
nennt dabei explizit
wscript.exe oder
cscript.exe.
832
Das Anlegen einer Verknpfung ist ein Trick, um Windows 7 vorzugaukeln,

dass es sich um eine normale Windows-Anwendung handelt. Dadurch kann
man zwar immer noch kein Skript per Doppelklick starten, zumindest aber
erscheint Als Administrator ausfhren im Kontextmen.
Scripting mit entfernten Systemen

Abbildung 19.8
Dann erscheint
im Kontextmen
Als Administrator
ausfhren.
Abbildung 19.9
Und Windows 7
stellt nach Besttigung des Consent
UI die normalen
Rechte fr diesen
Prozess her.
19
19.7 Scripting mit entfernten

Systemen
Scripting mit entfernten Systemen kann man auf mehrere Weisen betrachten:
Ein Skript kann man von einem Netzlaufwerk starten. Hier sind Besonderheiten bei Windows 7 zu beachten.
Ein Skript kann eine Aktion (z.B. Benutzer anlegen) auf einem entfernten System ausfhren.
Man kann ein Skript auf einem entfernten System starten. Dies ist ein
fortgeschrittenes Thema, das nicht in diesem Buch beschrieben wird.
Bitte lesen Sie dazu [SCH09].
19.7.1
Ein Skript kann man von einem

Netzlaufwerk starten
Windows 7 warnt beim Starten und Bearbeiten von Skripten (bei WSHSkripten ebenso wie bei Skripten in HTML-Anwendungen) von einem
Netzlaufwerk und fordert zur expliziten Besttigung des Skriptstarts auf.
833
Die Warnung erscheint sowohl beim Start an der Windows-Oberflche als

auch beim Start von der Kommandozeile; sie erscheint jedoch nicht bei
Skripten, die im lokalen Dateisystem liegen.
Abbildung 19.10
Warnung beim Start
von Skripten in
Windows 7 bei
eingeschalteter
Windows 7 warnt auch, wenn das Skript von einem vertrauenswrdigen Autor digital signiert wurde. Der Herausgeber wird leider immer
als unbekannt angezeigt.
19.7.2
Eine Aktion auf einem entfernten System

ausfhren
Viele Scripting-Klassen untersttzen den entfernten Zugriff auf andere

Systeme. In diesem Fall wird vorausgesetzt, dass der Benutzer, der das
Skript aufruft, auch die notwendigen Rechte auf dem entfernten System
besitzt. In vielen Fllen ist es ebenfalls mglich, entfernte Systeme unter
einem anderen Benutzerkonto anzusprechen. Die dazu notwendigen
Erluterungen wrden jedoch den Rahmen dieses Buches sprengen. Sie
finden diese in [Sch04].
19.8 WSH-Werkzeuge
Skript-Editoren
Die Effizienz und der Spa bei der Entwicklung von Skripten hngen
wesentlich davon ab, wie einfach und komfortabel die Erfassung der Skripte
und die Fehlersuche in den Skripten sind. Grundstzlich knnen WSHSkripte mit jedem beliebigen Texteditor entwickelt werden auch mit dem in
Windows 7 integrierten einfachen Texteditor Notepad.
Microsoft stellt leider keinen Texteditor mit speziellen Fhigkeiten fr
WSH-Skripte bereit. Solche Editoren werden jedoch von Drittanbietern
hergestellt. Sie bieten z.B. die farbliche Hervorhebung von Schlsselwrtern (Syntax Coloring), Eingabehilfen (IntelliSense) und Assistenten zur
Skripterstellung.
834
WSH-Werkzeuge
Derzeit werden auf dem Markt die Produkte PrimalScript, SystemScripter, OnScript Editor, Admin Script Editor und VBSEdit/JSEdit angeboten.
Einen detaillierten Vergleich dieser Produkte finden Sie unter [ITV01].
PrimalScript
Hersteller:
Sapien (USA)
Preis:
Ab 179 US-Dollar
URL:
http://www.sapien.com/
Auf der CD-ROM

enthalten:
Ja, Testversion
OnScript
Hersteller:
XLNow (Schweiz)
Preis:
Ab 60 Euro
URL:
http://www.onscript.com/
Auf der CD-ROM

enthalten:
Ja, Testversion
SystemScripter
Hersteller:
Dr. Tobias Weltner (Deutschland)
Preis:
Ab 49 Euro
URL:
http://www.scriptinternals.de
Auf der CD-ROM

enthalten:
Ja, Testversion
19
Admin Script Editor

Hersteller:
iTripoli (USA)
Preis:
99 US-Dollar
URL:
http://www.adminscripteditor.com/
Auf der CD-ROM

enthalten:
Ja, Testversion
VBSEdit/JSEdit
Hersteller:
Adersoft (USA)
Preis:
30 US-Dollar
URL:
http://www.adersoft.com/
Auf der CD-ROM

enthalten:
Ja, Testversion
Zur Fehlersuche in WSH-Skripten kann der Microsoft Script Debugger

eingesetzt werden [CD:/Kap18/WSH-Werkzeuge].
835
19.9 Scripting des Dateisystems

Scripting-Runtime-Komponente
Die Funktionen zum Dateisystemzugriff stecken in der Scripting-RuntimeKomponente (kurz: ScrRun), die in der scrrun.dll implementiert ist. Die
Scripting-Runtime-Komponente bietet folgende Dateisystemaktionen:
Direkter Zugriff auf einzelne Laufwerke, Ordner und Dateien
Iteration ber Laufwerke und Ordner
Zusammensetzung und Aufspaltung von Pfadangaben
Anlegen, Verschieben, Kopieren und Lschen von Ordnern
Verschieben, Kopieren und Lschen von Dateien jeden Typs
Anlegen, Lesen und Beschreiben von Textdateien
Lesen und Verndern von Laufwerks-, Ordner- und Dateieigenschaften
Direkter Zugriff auf Sonderordner
Zugriff auf die Standardein- bzw. -ausgabe
ndern von Dateiattributen
Zugriff auf Dateilnge und Daten
Versionsinformationen von DLLs
Folgende Funktionen, die im Zusammenhang mit dem Dateisystem
anfallen, deckt die Komponente jedoch nicht ab:
Anlegen, Lesen und Beschreiben von binren Dateien
Suchfunktion ber das Dateisystem
Zugriff auf den Sperrstatus einer Datei
Zugriff auf Sicherheitsinformationen
Zugriff auf Verzeichnisfreigaben
Zugriff auf erweiterte Dateiattribute (z.B. Autorenname bei Word-Dokumenten)
Zugriff auf die Kontextmeneintrge einer Datei
berwachung von Dateisystemnderungen (neue Datei, Dateinderung etc.)
19.9.1
FileSystemObject
Zugriff auf Ordner und Dateien
Die Scripting-Runtime-Komponente bietet mit FileSystemObject eine sehr

mchtige zentrale Klasse, von der alle Aktivitten auf dem Dateisystem
ausgehen (siehe folgende Abbildung). Am Anfang eines jeden DateisystemSkripts steht die Instanziierung dieser Klasse.
Set FSO = CreateObject("Scripting.FileSystemObject")
Aus dieser Klasse heraus knnen dann Objekte des Typs File (Datei) oder
Folder (Verzeichnis) erzeugt werden. Es gibt verschiedene Mglichkeiten,
an ein File-Objekt und damit an eine bestimmte Datei heranzukommen.
Die gebruchlichsten sind die GetFile()-Methode in der FileSystemObjectKlasse, an die der Pfad der gewnschten Datei bergeben werden muss,
sowie die Files-Objektmenge eines Folder-Objekts. Analog zu GetFile()
gibt es auch GetFolder().
836
Scripting des Dateisystems

Abbildung 19.11
Die Objekthierarchie in der Scripting-RuntimeKomponente
19.9.2
Auflisten von Dateien
Eine der hufigsten Aufgaben beim Umgang mit Dateien ist sicherlich Folder
das Auflisten der Dateien in einem Ordner im Dateisystem. Das erste
Skript listet alle Unterordner und Dateien des Verzeichnisses c:\Daten
auf. Nach den Variablendeklarationen wird ein FileSystemObject-Objekt
erstellt und die Referenz in der Variablen FSO gespeichert.
Mit der Methode FolderExists() wird zunchst geprft, ob das aufzulistende Verzeichnis berhaupt existiert. Nun wird durch die GetFolder()Methode des FileSystemObject eine Referenz auf das Verzeichnis in Form
eines Folder-Objekts in der Variablen Verzeichnis gespeichert. Die erste
For Each-Schleife durchluft die SubFolders-Objektmenge des Folder-Objekts.
Die Menge enthlt einzelne Folder-Objekte fr jeden einzelnen Unterordner. Die nachfolgende For Each-Schleife durchluft die Files-Objektmenge des Folder-Objekts und gibt die Namen der Dateien aus. Die FilesObjektmenge enthlt fr jede einzelne im Ordner vorhandene Datei einzelne File-Objekte. Dabei wird durch die Echo()-Methode des WScriptObjekts das Attribut Name jedes einzelnen File-Objekts bzw. Folder-Objekts
ausgegeben.
Option Explicit
' Deklaration der Variablen
Dim FSO, Verzeichnis, UnterVerzeichnis, Datei
' Konstanten definieren
Const VerzeichnisName="c:\daten"
'Objekt erzeugen
' Wenn das Verzeichnis existiert
if FSO.FolderExists(VerzeichnisName) then
Set Verzeichnis = FSO.GetFolder(VerzeichnisName)
WScript.Echo "Inhalt von " & Verzeichnis
'Alle Unterverzeichnisse auflisten
for each UnterVerzeichnis in Verzeichnis.subfolders
Wscript.echo UnterVerzeichnis.Name
next
19
Listing 19.2
Auflisten der
Dateien in einem
Verzeichnis [Verzeichnisinhalt.vbs]
837

'Alle Dateien auflisten
'ber alle Dateien im Verzeichnis iterieren
For Each Datei In Verzeichnis.Files
WScript.Echo Datei.Name
Next
else
WScript.Echo "Fehler: Das Verzeichnis " & VerzeichnisName & "
existiert nicht!"
end if
19.9.3
File
Tabelle 19.1
Dateieigenschaften
Dateieigenschaften bestimmen und

verndern
Jedes File-Objekt verfgt ber Eigenschaften in Datumsform (DateCreated,

DateLastAccessed, DateLastModified) sowie in Ja-/Nein-Form (engl. Flags,
siehe folgende Tabelle); manche werden durch das Betriebssystem vergeben,
andere durch den Anwender.
Attributwert
Beschreibung
schreibgeschtzt
versteckt
System
Laufwerk
32
Archiv
64
Verknpfung
128
komprimiert
Das nchste Skript berprft nach der Variablendeklaration und Erstellung der FileSystemObject-Referenz, ob der in der Konstante Dateiname
definierte Dateiname existiert (FileExists()-Methode). Ist dies der Fall,
wird durch die GetFile()-Methode in der Variablen Datei eine Referenz
auf die Datei gespeichert. Durch die Echo()-Methode des WScript-Objekts
erfolgt die Ausgabe der Attribute des File-Objekts. In diesem Fall sind
das die Attribute Size, das die Dateigre ermittelt, sowie DateCreated,
DateLastAccessed und DateLastModified fr die Datumsinformationen des
File-Objekts.
Attributes
838
Auerdem wird die Attributes-Eigenschaft ausgegeben, die mehrere Ja-/

Nein-Eigenschaften der Datei enthlt. Das Attribut Attributes beinhaltet
eine Zahl, welche die Summe der gesetzten Dateieigenschaften enthlt. Beispielsweise besitzt eine Datei, die schreibgeschtzt, versteckt und komprimiert ist, in Attributes den Wert 131 (1+2+128). Um die eigentlichen
Attribute zu ermitteln, wird der numerische Attributwert mit dem logischen Und-Operator (and) in die einzelnen Werte zerlegt. Fr jeden gefundenen Wert wird eine passende Zeichenkette in der Variablen Ausgabe
abgelegt. Am Schluss des Skripts werden strende Leerzeichen durch die
Trim()-Funktion entfernt und die Attributwerte ausgegeben.

Option Explicit
Dim FSO, Datei, Ausgabe
Const Dateiname="D:\test\Brief.txt"
'Objekt erzeugen
' Gibt es die Datei?
if FSO.FileExists(Dateiname) then
Set Datei = FSO.GetFile(Dateiname)
WScript.Echo "Gre der Datei: " & Datei.Size & " Bytes."
WScript.Echo "Typ der Datei: " & Datei.Type
WScript.Echo "Attribute der Datei: " & Datei.Attributes
WScript.Echo "Erstellt am " & Datei.DateCreated
WScript.Echo "Gendert am " & Datei.DateLastAccessed
WScript.Echo "Letzter Zugriff " & Datei.DateLastModified
' Dateiattribute ermitteln
If Datei.attributes and 0 Then Ausgabe = Ausgabe & "Normal "
If Datei.attributes and 1 Then Ausgabe = Ausgabe & "Nur-Lesen "
If Datei.attributes and 2 Then Ausgabe = Ausgabe & "Versteckt "
If Datei.attributes and 4 Then Ausgabe = Ausgabe & "System "
If Datei.attributes and 32 Then Ausgabe = Ausgabe & "Archiv "
If Datei.attributes and 64 Then Ausgabe = Ausgabe & "Link "
If Datei.attributes and 128 Then Ausgabe = Ausgabe & "Komprimiert "
else
WScript.Echo "Datei " & Dateiname & " wurde nicht gefunden!"
end if
WScript.Echo "Die Datei " & Dateiname & _
" besitzt die Attribute [" & Trim(Ausgabe) & "]"
Listing 19.3
Ausgabe von Dateiattributen [DateiAttribute.vbs]
Die nderung von in Flags gespeicherten Dateieigenschaften geschieht Attribute ndern

auf zwei Wegen durch Vernderung von Attributes: Das Entfernen von
Flags erfolgt durch die logische Verknpfung des aktuellen Attributwerts
mit dem zu invertierenden Attributwert (NOT x) durch den and-Operator,
whrend das Setzen von Attributen durch die logische Verknpfung ber
den or-Operator erfolgt.
Datei.Attributes = Datei.Attributes and not 1 ' Schreibschutz-Flag entfernen
Datei.Attributes = Datei.Attributes and not 32 ' Archiv-Flag entfernen
Datei.Attributes = Datei.Attributes or 1 ' Schreibschutz setzen
Datei.Attributes = Datei.Attributes or 32' Archiv-Flag setzen
19.9.4
Namen ndern
Man kann auch schreibend auf die Dateieigenschaften zugreifen, wie fol- Umbenennen
gendes Beispiel zum Umbenennen einer Datei zeigt. Die Benennung einer
Datei ist leicht mglich, indem man dem Attribut Name einen Wert zuweist.
Wichtig ist, dass dabei als neuer Name nur der Dateiname, nicht der komplette Pfad anzugeben ist.
839
19

Listing 19.4
Umbenennen einer
Datei [DateiUmbenennen.vbs]
Option Explicit
Dim Dateisystem, Datei
Const DateiPfadAlt="c:\alt.xml"
Const DateiNameNeu="neu.xml"
'FSO-Objekt erzeugen
Set DateiSystem = CreateObject("Scripting.FileSystemObject")
'File-Objekt gewinnen
Set Datei = Dateisystem.GetFile(DateiPfadAlt)
'Neuen Namen setzen
Datei.Name = DateiNameNeu
'Erfolgsmeldung ausgeben
MsgBox "Datei wurde umbenannt!"
19.9.5
Die Klasse Scripting.FileSystemObject bietet Methoden fr alle wichtigen

Dateisystemoperationen (Anlegen, Lschen, Kopieren und Verschieben),
sodass diese Klasse auch hier zu Beginn des Skripts zu instanziieren ist.
Anlegen
Listing 19.5
Verzeichnis anlegen
Das Anlegen eines Verzeichnisses erledigt die Methode CreateFolder(),

die genau einen Parameter erwartet: den Pfad. Der Backslash am Ende ist
optional; es wird immer ein Verzeichnis angelegt (fr Dateien gibt es eine
andere Methode).
' --- FSO erzeugen
Dim fso ' fr Scripting.FileSystemObject
Set fso = CreateObject("Scripting.FileSystemObject")
wscript.Echo "Ordner anlegen"
fso.CreateFolder "d:\Daten\"
Zu beachten ist, dass jeweils nur eine Ordnerebene angelegt werden darf.
Die Pfadangabe d:\Daten\WindowsXP Buch\ ist also ungltig, wenn
d:\Daten\ noch nicht existiert. Diese Aktion muss dann auf zwei Methodenaufrufe aufgeteilt werden.
Listing 19.6
Verzeichnis anlegen
[OrdnerOperationen.vbs]
wscript.Echo "Ordner anlegen"

fso.CreateFolder "d:\Daten\"
wscript.Echo "Unterordner anlegen"
fso.CreateFolder "d:\Daten\WindowsXP Buch"
Das Skript bricht sofort mit einem Fehler ab, wenn der anzulegende Ordner bereits existiert. Daher sollte man die Existenz des Ordners immer
vorher abfragen.
if fso.FolderExists("D:\Daten") then fso.DeleteFolder "D:\Daten"
Lschen
840
Beim Lschen eines Ordners ist ebenfalls zu beachten, dass es sofort eine
Fehlermeldung gibt, wenn der zu lschende Ordner nicht vorhanden ist.
FSO.DeleteFolder() bietet neben dem Pfad einen optionalen zweiten Parameter: Mit true erzwingt man das Lschen des Ordners, auch wenn dieser schreibgeschtzt ist. Der Parameter true hilft allerdings nicht, wenn
der Ordner in Benutzung ist.

if fso.FolderExists(pfad) Then
fso.DeleteFolder pfad, true
WScript.Echo "Ordner gelscht: " & pfad
Listing 19.7
Verzeichnis lschen
[OrdnerOperationen
.vbs]
Weitere mgliche Operationen sind das Kopieren von Ordnern (FSO. Kopieren und
Copy-Folder()) und das Verschieben (FSO.MoveFolder()). In beiden Fllen wer- Lschen
den jeweils zwei Parameter erwartet: Quell- und Zielpfad. Bei CopyFolder()
kann mit true als drittem Parameter die Dateisystemkomponente angewiesen werden, einen vorhandenen Zielordner zu berschreiben. Bei MoveFolder() ist dies nicht vorgesehen: Existiert das Ziel, gibt es immer einen Fehler.
wscript.echo "Kopiere Verzeichnis..."
fso.CopyFolder "D:\Daten", "D:\Daten_Backup"
wscript.Echo "Ordner verschieben"
fso.MoveFolder "D:\Daten\WindowsXP Buch", "D:\Daten_archiv\"
Fr Dateien gibt es quivalente Methoden: MoveFolder(), CopyFolder() und

DeleteFolder(). Auerdem gibt es einen Satz von Methoden, der sowohl
auf Dateien als auch auf Ordnern arbeitet: Move(), Copy() und Delete().
19.9.6
Listing 19.8
Verzeichnis kopieren und bewegen
[OrdnerOperationen
.vbs]
Textdateien lesen
Die Scripting-Runtime-Komponente erlaubt auch die Arbeit mit Text- TextStream

dateien (nicht aber mit Binrdateien). Zum Lesen von Textdateien bietet
die Klasse Scripting.FileSystemObject die Methode OpenTextFile() an, die
ein TextStream-Objekt liefert. Als erster Parameter ist der Dateipfad anzugeben. Der zweite Parameter (Wert 1) besagt, dass die Datei zum Lesen
geffnet werden soll.
19
Das folgende Skript zeigt einen Anwendungsfall, der in diesem Kapitel

noch sehr hufig vorkommen wird: das Auslesen einer Menge von Computernamen aus einer Textdatei mit dem Namen ComputerListe.txt, die im
gleichen Verzeichnis wie das Skript liegen soll. Das Verzeichnis des Skripts
wird mit GetScriptDir() ermittelt.
In diesem Listing wird die Menge der Computernamen anschlieend ausgegeben; in den spteren Skripten wird die Liste als Eingabe fr die Skripte
verwendet, um eine Aktion auf mehreren Computersystemen auszufhren. Den von OpenTextFile() gelieferten TextStream kann man sequenziell
mit ReadLine() (ganze Zeile) oder Read() (einzelnes Zeichen) auslesen. Das
Attribut Line liefert immer die Nummer der aktuellen Zeile, in der man
sich befindet; Column liefert die Spaltennummer, die aber bei der Verwendung von ReadLine immer 1 ist.
Die Position des Cursors ndert sich mit jedem Schreib- und Lesezugriff.
Sie kann auch durch zwei Skip()-Methoden beeinflusst werden, jedoch nur
in eine Richtung: zum Dateiende hin. Eine Rckwrtsbewegung erlaubt
Textstream leider nicht. Skip(n) setzt den Cursor n Zeichen nach vorne. Ein
negativer Wert fr n (was einer Rckwrtsbewegung gleichkme) ist nicht
erlaubt. SkipLine() berspringt alle Zeichen bis zum Ende der Zeile. Leider
kann man hier nicht angeben, dass mehrere Zeilen zugleich bersprungen
werden sollen. Dies muss der Skriptprogrammierer ber eine Schleife, die
SkipLine() n-fach aufruft, nachbilden.
841

Option Explicit
Dim
Dim
Dim
a =
Computerliste ' Liste der Computer

Computername' aktueller Computer
a ' Zhler
0
' --- Schleife ber alle Computer

Computerliste = ComputerlisteEinlesen
For Each Computername In Computerliste
a = a +1
WScript.echo a & ". Computer: " & Computername
Next
' === Einlesen der Computerliste

Function ComputerlisteEinlesen
Dim FSO ' Dateisystem-Objekt
Dim objTX
' Textdatei-Objekt fr die Liste der zu
durchsuchenden Computer
Dim Scriptfile ' Datei, die das Script enthlt
Dim Pathname' Ordner, in dem das Script liegt
Dim Computername' aktueller Computer
Dim Eingabedatei' Name und Pfad der Eingabedatei
Dim Computerliste()
Dim a
Eingabedatei = GetScriptDir & "computerliste.txt"
' --- Auslesen der Computerliste
Set objTX = FSO.OpenTextFile(Eingabedatei)
a = 0
Do While Not objTX.AtEndOfStream
a = a +1
Computername = objTX.Readline
Redim Preserve Computerliste(a)
Computerliste(a-1) = Computername
Loop
objTX.Close
ComputerlisteEinlesen = Computerliste
End Function
Listing 19.9
Auslesen einer Textdatei [Datei_LesenUndSchreiben.vbs]
842
' === Ermittelt das Verzeichnis, in dem das Script liegt

Function GetScriptDir
Dim FSO
Dim Ausgabedatei' Name und Pfad der Ausgabedatei
Set Scriptfile = FSO.GetFile (WScript.ScriptFullName)
GetScriptDir = Replace(Scriptfile.Path, Scriptfile.Name, "")
End Function
Scripting der Registrierungsdatenbank
19.9.7
Textdateien beschreiben
Die Scripting-Runtime-Komponente bietet auch eine Methode zum Anlegen und Beschreiben von Textdateien. Das nachfolgende Skript zeigt ein
typisches Anwendungsbeispiel fr die Verwendung einer Textdatei beim
Scripting: Es schreibt Protokolleintrge in die Datei Protokoll.txt relativ
zum Standort des Skripts.
Option Explicit
Protokoll Now & " erster Eintrag!"
Protokoll Now & " zweiter Eintrag!"
Listing 19.10
Protokollierung
in eine Textdatei
[Datei_LesenUndSchreiben.vbs]
' === Protokollierung in eine Textdatei

Sub Protokoll(s)
Dim FSO, objTextFile
Ausgabedatei = GetScriptDir & "protokoll.txt"
' Ausgabedatei ffnen
Set objTextFile = FSO.OpenTextFile(Ausgabedatei, 8, True)
objTextFile.WriteLine s
objTextFile.Close
WScript.Echo s
End Sub
Die Methode CreateTextFile() erzeugt immer eine neue Datei. Die Methode CreateTextFile()
OpenTextFile(), die im obigen Skript verwendet wurde, ist flexibler. Sie und OpenTexterlaubt gesteuert ber Parameter alle Zugriffsarten. Durch ForAppending File()
(Wert 8) wird festgelegt, dass an eine Datei angehngt werden soll. Mit True
schaltet man die Methode auf Toleranz: Wenn die Datei noch gar nicht da
ist, wird sie erzeugt. Durch TristateTrue (Wert -1) wird eine Unicode-Datei
erzeugt; 0 bedeutet ASCII.
Rckgabewert der Methode OpenTextFile() ist ein Textstream-Objekt. Die- Write() und
ses bietet verschiedene Methoden. Oben wurde WriteLine() verwendet, WriteLine()
wodurch immer eine komplette Zeile erzeugt wird. Mit Write() kann man
auch einzelne Zeichen schreiben und die Zeilenumbrche bei Bedarf mit
Write vbCRLF selbst erzeugen (vbCRLF ist eine in VBScript vordefinierte
Konstante fr Wagenrcklauf + Zeilenvorschub).
19.10 Scripting der

Fr das Scripting der Registrierungsdatenbank kommt die Windows Management Instrumentation (WMI), die umfangreichste und mchtigste aller
Scripting-Komponenten, zum Einsatz. WMI ist die Microsoft-Implementierung des Web Based Enterprise Management (WBEM), eines plattformbergreifenden Standards zum Zugriff auf alle mglichen Arten von Systemund Netzwerkinformationen. WMI stellt unter Windows 7 bereits in der
843
19
Grundinstallation 9905 Klassen bereit. Durch Zusatzprogramme wie Microsoft Office kommen weitere hinzu.
StdRegProv
Die Mglichkeiten zur Bearbeitung der Registrierungsdatenbank konzentrieren sich in WMI auf eine einzige Klasse: StdRegProv im Namensraum
\root\default. Die Klasse bietet zahlreiche Methoden an: CreateKey(), DeleteKey(), EnumKey(), EnumValues(), DeleteValue(), SetDWORDValue(), GetDWORDValue(), SetStringValue(), GetStringValue(), SetMultiStringValue(), GetMultiStringValue(), SetExpandedStringValue(), GetExpandedStringValue(), SetBinary
Value(), GetBinaryValue() und CheckAccess().
Dabei gilt fr alle diese Methoden:
Im ersten Parameter wird der zu verwendende Hive in Form eines
LONG-Werts bergeben.
Const HKEY_CURRENT_USER = &H80000001
Im zweiten Parameter wird der Schlsselpfad als Zeichenkette ber-
geben.
Die Methoden zum Zugriff auf einzelne Werte haben im dritten Para-
meter den Namen des Wertes.

Die Methoden zum Schreiben von Werten erwarten im vierten Para-
meter den zu schreibenden Wert.

Die Methoden zum Lesen von Werten erwarten im vierten Parameter
eine leere Variant-Variable, in der sie per Call-by-Reference den gelesenen Wert zurckliefern knnen.
Tabelle 19.2
berblick ber die
Methoden zum
Schreiben und Lesen
von Registrierungsdatenbank-Werten
Werttyp in
der Registrierungsdatenbank
Methode zumSchreiben
Methode zumLesen
Hinweis
Zeichenkette
SetStringValue()
GetStringValue()
Vierter Parameter ist

Variant/String.
DWORDWert (Zahl)
SetDWORDValue()
GetDWORDValue()

Variant/Long.
Erweiterte
Zeichenkette
SetExpandedStringValue()
GetExpandedStringValue()

Variant/String.
Mehrwertige Zeichenkette
SetMultiStringValue()
GetMultiStringValue()

ein Array.
Binr-Wert
SetBinaryValue()
GetBinaryValue()

ein Array.
19.10.1 Auslesen und Setzen eines Wertes

GetDWORDValue() und SetDWORD-Value()
844
Das erste Beispiel zeigt, wie man den Registrierungsdatenbank-Wert HKEY_

LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\
DoReport auf einer Menge von Computern auf den Wert 0 setzt. Damit
wird die Fehlerberichterstattung an Microsoft abgeschaltet.
Scripting der Registrierungsdatenbank
In dem Skript kommen die in Kapitel 19.9 besprochenen Routinen zum

Auslesen einer Menge von Computernamen aus einer Textdatei (ComputerlisteEinlesen()) und zum Erzeugen einer Protokolldatei (Protokoll())
zum Einsatz. Diese Routinen werden hier nicht erneut abgedruckt, um
Platz fr andere Inhalte zu sparen.
Jede Zeile in ComputerListe.txt ist Name oder IP-Adresse eines abzufragenden Computers. Dabei reprsentiert ein Punkt ((.)) den lokalen Computer.
Option Explicit
Dim
Dim
Dim
a =
Computerliste ' Liste der Computer

Computername' aktueller Computer
a ' Zhler
0
Listing 19.11
Wert in Registrierungsdatenbank
ndern [Registry_
DiverseBeispiele
.vbs]

Computerliste = ComputerlisteEinlesen
For Each Computername In Computerliste
a = a +1
Protokoll a & ". Computer: " & Computername
Registry_WertSetzen(Computername)
Next
' === Eigentliche Aktion: Registry ndern
Sub Registry_WertSetzen(Computername)
Const pfad = "SOFTWARE\Microsoft\PCHealth\ErrorReporting\"
Dim oReg
Set oReg = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _
Computername & "\root\default:StdRegProv")
Dim wert
oReg.GetDWORDValue HKEY_LOCAL_MACHINE, pfad, "DoReport", wert
Protokoll "Alter Wert: " & wert
oReg.SetDWORDValue HKEY_LOCAL_MACHINE, pfad, "DoReport", 0
Protokoll "Neuer Wert: " & wert
End Sub
19
In den folgenden Beispielen wird aus Platzgrnden auch auf den

Abdruck der Schleife ber die Computernamen verzichtet. Auf der
CD zum Buch finden Sie die vollstndigen Skripte.
19.10.2 Erzeugen eines neuen

Registrierungsdatenbank-Schlssels
Das folgende Beispiel zeigt das Anlegen einer Menge von neuen Registrierungsdatenbank-Schlsseln mit der Methode CreateKey() und das anschlieende Setzen von Werten in den neuen Schlsseln.
CreateKey()
845

Listing 19.12
Schlssel anlegen
[Registry_DiverseBeispiele.vbs]
' === Eigentliche Aktion: Schlssel anlegen Sub Registry_

SchluesselAnlegen(Computername)
Dim BuecherKuerzel, BuecherTitel
Dim i
Dim oReg
BuecherKuerzel = Array("WBS", "WS2", "WS3", "CKH", "FCL", "WF", "N2C")
BuecherTitel = Array("Windows- und BackOffice-Scripting", "Windows
Scripting 2. Auflage", "Windows Scripting 3. Auflage", "COM-KomponentenHandbuch", "Programmierung mit der .NET-Klassenbibliothek", "Webforms",
".NET 2.0 Crashkurs")
For i = 0 To UBound(BuecherKuerzel)
Dim Schluessel
Schluessel = "SOFTWARE\www.IT-Visions.de\Buecher\" & BuecherKuerzel(i)
oReg.CreateKey HKEY_LOCAL_MACHINE, Schluessel
Protokoll "Schlssel " & Schluessel & " angelegt."
oReg.SetStringValue HKEY_LOCAL_MACHINE, Schluessel, ,
"Ein Buch von Dr. Holger Schwichtenberg"
oReg.SetStringValue HKEY_LOCAL_MACHINE, Schluessel,
"Titel", BuecherTitel(i)
oReg.SetStringValue HKEY_LOCAL_MACHINE, Schluessel, "angelegt", CStr(Now)
Protokoll "Werte fr " & Schluessel & " gesetzt."
Next
End Sub
19.10.3 Auflisten von Schlsseln

EnumKey()
Listing 19.13
Unterschlssel auflisten [Registry_
DiverseBeispiele
.vbs]
846
Das vorherige Beispiel bildet die Basis fr den Einsatz von EnumKey(). Diese
Methode gibt im dritten Parameter ein Array of String mit den Namen der
Unterschlssel eines bestimmten Schlssels zurck.
' === Aktion: Schlssel auflisten
Sub Registry_SchluesselAuflisten(Computername)
Dim oReg, pfad, Schluessel, SchluesselMenge
pfad = "SOFTWARE\www.IT-Visions.de\Buecher\"
oReg.EnumKey HKEY_LOCAL_MACHINE, pfad, SchluesselMenge
For Each Schluessel In SchluesselMenge
Protokoll Schluessel
Next
End Sub
Scripting der Softwarekonfiguration
19.10.4 Lschen von Schlsseln

Die DeleteKey()-Methode erlaubt nur das Lschen eines einzelnen Schlssels. DeleteKey()
Die Methode kann nicht gleichzeitig beliebig viele Ebenen lschen. Diese
Limitation der DeleteKey()-Methode wird durch die nachfolgende Unterroutine beseitigt, die mittels EnumKey() die Unterschlssel auflistet und rekursiv
lscht.
' === Aktion: Rekursives Schlssellschen
(Lschen ber beliebig viele Ebenen)
Sub Registry_SchluesselLoeschen(Computername, OberSchluessel)
Dim oReg, pfad, Schluessel, SchluesselMenge
OberSchluessel = Replace(OberSchluessel, "\\", "\")
oReg.EnumKey HKEY_LOCAL_MACHINE, OberSchluessel, SchluesselMenge
If IsArray(SchluesselMenge) Then
For Each Schluessel In SchluesselMenge
Registry_SchluesselLoeschen Computername,
OberSchluessel & "\" & Schluessel
Next
End If
oReg.DeleteKey HKEY_LOCAL_MACHINE, OberSchluessel
Protokoll OberSchluessel & " gelscht"
End Sub
Listing 19.14
Hilfsroutine fr
rekursives Lschen
von Registrierungsdatenbank-Schlsseln [WMI_
Registry_Funktionen.vbs]
19
19.11 Scripting der

Softwarekonfiguration
Auch die installierten Anwendungen knnen ber WMI verwaltet wer- Win32_Product
den. WMI bietet dazu die Klasse Win32_Product an.
19.11.1 Software inventarisieren

Fr die Inventarisierung der installierten Software gibt es viele groe und
kleine Lsungen. Hier soll ein einfaches, aber wirkungsvolles WSH-Skript
die installierten Anwendungen ermitteln und in einer Textdatei speichern.
Der Kern des Skripts besteht aus der Routine SWInventar, welche die Liste WQL
der installierten Programme fr den als Parameter angegebenen Computer holt. Die Routine enthlt fnf Befehle. Mit GetObject() verschafft sich
das Skript den Zugriff auf das WMI-Repository des angegebenen Computers. Mit ExecQuery() knnen WQL-Befehle (WQL steht fr WMI Query
Language, die der Sprache SQL sehr hnlich ist) auf dem WMI-Repository ausgefhrt werden. In diesem Fall werden alle Instanzen der WMIKlasse Win32_Product angefordert.
847
Der Rest des Skripts bietet den Komfort darum herum: Das Skript ffnet
die Datei ComputerListe.txt, die im selben Verzeichnis wie das Skript liegen
muss. Die Ausgabe sendet das Skript an die Datei Software.csv, die das
Skript im selben Verzeichnis erzeugt. Jede Zeile in der Ausgabedatei ist ein
installiertes Programm. Die einzelnen Angaben werden durch ein Semikolon getrennt. Als erste Angabe wird der Name des Computers in die Datei
geschrieben. Die CSV-Datei kann auf einfache Weise in Excel oder Access
eingelesen werden.
Zum Zugriff auf die Ein- und Ausgabedatei verwendet das Skript die Scripting-Runtime-Komponente, insbesondere die Klasse TextStream, deren
Instanz man mit OpenTextFile() erhlt.
Listing 19.15
Softwareinventarskript [Softwareinventar.vbs]
Option explicit
Const Trenner = ";" ' Trennzeichen
Dim computer ' Name des Computers
Dim ergebnis ' Ergebnismenge in Form eines
WbemScripting.SWbemObjectSet
Dim objTX
' Textdatei-Objekt fr die Liste der zu
durchsuchenden Computer
Dim a ' Zhler
Dim FSO ' Dateisystem-Objekt
Dim Pathname' Ordner, in dem das Script liegt
Dim Eingabedatei' Name und Pfad der Eingabedatei
' --- Global bentigtes Objekt
' --- Ermitteln der Ausgabedatei
Set ScriptFile = FSO.GetFile (WScript.ScriptFullName)
Pathname = Replace(Scriptfile.Path, Scriptfile.Name, "")
Ausgabedatei = Pathname & "software.csv"
Eingabedatei = Pathname & "computerliste.txt"
' --- Auslesen der Computerliste
Set objTX = FSO.OpenTextFile(Eingabedatei)
WScript.Echo "Die Ausgabe erfolgt in der Datei: " &_
vbCrLf & Ausgabedatei &vbCrLf
' --- berschriften einfgen
out _
"Computer" & Trenner & _
"Name" & Trenner & _
"Beschreibung" & Trenner & _
"Identifikationsnummer" & Trenner & _
"Installationsdatum" & Trenner & _
"Installationsverzeichnis" & Trenner & _
"Zustand der Installation" & Trenner & _
"Paketzwischenspeicher" & Trenner & _
"SKU Nummer" & Trenner & _
"Hersteller" & Trenner & _
848
Scripting der Softwarekonfiguration

"Version"
computer = objTX.ReadLine
a = a + 1
WScript.Echo "Computer #" & a & ":" & computer
SWInventar Computer
Loop
' --- Fertig
objTX.Close
MsgBox "Softwareinventarisierung beendet!",,"InventarScript (C)
Dr. Holger Schwichtenberg"
' === Softwareinventar fr einen Computer erstellen
Sub SWInventar(Computer)
Dim colSoftware, objWMIService, objSoftware
' --- Zugriff auf WMI
Set objWMIService = GetObject("winmgmts:" &_
"{impersonationLevel=impersonate}!\\" & Computer &_
"\root\cimv2")
' --- Liste anfordern
Set colSoftware = objWMIService.ExecQuery _
("SELECT * FROM Win32_Product")
' --- Liste ausgeben
For Each objSoftware in colSoftware
out _
Computer & Trenner & _
objSoftware.Name & Trenner & _
objSoftware.Caption & Trenner & _
objSoftware.Description & Trenner & _
objSoftware.IdentifyingNumber & Trenner & _
objSoftware.InstallDate & Trenner & _
objSoftware.InstallLocation & Trenner & _
objSoftware.InstallState & Trenner & _
objSoftware.PackageCache & Trenner & _
objSoftware.SKUNumber & Trenner & _
objSoftware.Vendor & Trenner & _
objSoftware.Version
Next
End sub
19
' === Ausgabe

Sub out(s)
Dim objTextFile
' Ausgabedatei ffnen
Set objTextFile = FSO.OpenTextFile(Ausgabedatei, 8, true)
objTextFile.Close
WScript.Echo s
End sub
849
Abbildung 19.12: Ergebnis der Softwareinventarisierung
19.11.2 Software installieren

Install()
Mithilfe von WMI knnen Sie auch Software installieren sogar auf entfernten Systemen. Die Win32_Product-Klasse besitzt die Methode Install(), die
drei Parameter erwartet. Der erste Parameter spezifiziert in einer Zeichenkette das zu installierende Softwareprodukt. In dem folgenden Beispiel
wird die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msi) installiert.
Durch eine weitere Zeichenkette knnen bei dem Methodenaufruf der
Installationsroutine Parameter in Form von Attribut=Wert-Paaren bergeben werden. Der dritte Parameter gibt an, ob das zu installierende Softwareprodukt fr alle Benutzer des Rechners verfgbar sein soll.
Rckgabewert
Der Erfolg der Softwareinstallation wird durch einen Rckgabewert

signalisiert, sofern dieser den Wert 0 hat. Alle davon verschiedenen Werte
zeigen einen Fehler an (z.B. 2 = Installationsdatei ist nicht vorhanden).
Dieses Beispiel ist wieder eingebettet in die bereits bei den Registrierungsdatenbank-Beispielen verwendete Umgebung, sodass die Routine auf alle Computer in der Datei Computerliste.txt angewendet wird,
die im selben Verzeichnis liegen muss.
Listing 19.16
Software installieren
[Software_DiverseBeispiele.vbs]
850
' === Aktion: Software installieren

Function Software_Installieren(Computername)
Dim objWBemLocator, objConnection, objSoftware
Dim User, Password, Computer, Software, Error
Software = GetScriptDir & "gpmc.msi"
Protokoll "Installieren... " & Software
Set objSoftware =
GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _
Computername & "\root\cimv2:Win32_Product")
Error = objSoftware.Install(Software,"",True)
If Error = 0 Then
Scripting der Benutzerverwaltung

WScript.Echo "Die Installation war erfolgreich."
Else
WScript.Echo "Bei der Installation ist " &_
"folgender Fehler aufgetreten: " & Error
End If
End Function
19.11.3 Software deinstallieren

Zur Deinstallation eines Softwareprodukts wird die Uninstall()-Methode Uninstall()des Win32_Product-Objekts verwendet. Zuvor muss das richtige Win32_
Product-Objekt mit einer WQL-Abfrage ermittelt werden. Die Abfrage
sollte nur ein Element in der Ergebnismenge besitzen.
' === Aktion: Software deinstallieren
Function Software_DeInstallieren(Computername)
Dim objWMIService, colSoftware, objSoftware
Dim ProductName, objWBemLocator, objConnection
Listing 19.17
Software
deinstallieren
[Software_DiverseBeispiele.vbs]
ProductName = "Microsoft Gruppenrichtlinien-Verwaltungskonsole mit SP1"

Set objWBemLocator = CreateObject("WbemScripting.SWbemLocator")
Set objConnection = objWBemLocator.ConnectServer _
(Computername, "root\cimv2")
Set colSoftware = objConnection.ExecQuery ("SELECT * FROM " & _
"Win32_Product WHERE Name = """ & ProductName & """")
Protokoll "Anzahl gefundener Pakete: " & colSoftware.Count
For Each objSoftware In colSoftware
Protokoll "Deinstalliere..." & objSoftware.Name
objSoftware.Uninstall()
Next
End function
19
19.12 Scripting der

Benutzerverwaltung
Fr das Scripting der Benutzerverwaltung kommt eine Komponente mit ADSI
dem Namen Active Directory Service Interface (ADSI) zum Einsatz.
Anders als der Name vermuten lsst, ist ADSI nicht auf die Verwaltung
von Active Directory-basierten Verzeichnisdiensten beschrnkt. Auch die
auf der alten Windows NT-Benutzerverwaltung basierende Benutzerverwaltung von Windows 7 kann per ADSI gesteuert werden. Andere Novellund LDAP-basierte Verzeichnisdienste kann ADSI ebenso verwalten.
In diesem Unterkapitel wird die Verwaltung der lokalen Benutzerdatenbank eines Windows 7-Systems via ADSI beschrieben. Das auf jedem
Windows 7-System automatisch vorhandene ADSI kann auch dazu eingesetzt werden, ein Active Directory von einem Windows 7-System aus
851
zu verwalten. Dies ist jedoch ein Thema fr ein Windows Server-Buch

und findet daher keinen Platz in diesem Werk. Das Thema Active Directory-Scripting wird ausfhrlich behandelt in [Sch04].
19.12.1 Auflisten der vorhandenen

Benutzerkonten
Zur Einstimmung soll ein Beispiel dienen, das eine Liste aller Benutzer
auf einem Computersystem oder in einer Domne ausgibt. Ausgegeben
werden der Benutzername, der Anzeigename und die Beschreibung zu
jedem Benutzer.
GetObject()
Zu Beginn der Arbeit mit ADSI muss zunchst die Bindung an den ComputerContainer hergestellt werden. Dazu wird bei GetObject() ein ADSI-Pfad
zu einem Computer angegeben. Der Pfad ist sehr einfach:
WinNT://COMPUTERNAME
Ersetzen Sie in allen nachstehenden Skripten das Wort E60 durch den
Namen eines Computers.
Wichtig: WinNT mssen Sie mit groem (W), (N), (T) und kleinem (i),
(n) schreiben. Die hufigste Ursache fr nicht funktionierende ADSISkripte ist die falsche Schreibweise dieses Begriffs. Der Grund fr diesen Fehler liegt darin, dass die Relevanz der Gro- und Kleinschreibung in der VBScript-Programmierung sehr selten ist.
Listing 19.18
Auflisten der
Benutzer
Const Name = "E60"

Set oDomain = GetObject("WinNT://" & Name)
oDomain.Filter = Array("user")
wscript.echo "Benutzerliste des Computers/der Domne: " & oDomain.Name
For Each oUser In oDomain
wscript.echo oUser.Name & ";" & _
oUser.FullName & ";" & _
oUser.Description
Next
Wrden Sie dieses Skript mit einem Doppelklick starten, erhielten Sie
fr jeden Benutzer ein eigenes Dialogfenster, das Sie einzeln besttigen
mssten. Das wre sehr lstig! Sie sollten das Skript daher unbedingt
mit cscript.exe starten, indem Sie im Kommandozeilenfenster eingeben:
cscript.exe C:\PFAD\SCRIPTNAME.vbs
Hierbei ersetzen Sie bitte C:\PFAD\SCRIPTNAME durch den Pfad

und Namen Ihres Skripts. Die Ausgaben gehen dann ins
Kommandozeilenfenster. Diese Ausgabe in eine Textdatei umzuleiten
ist kein Problem:
cscript.exe C:\PFAD\SCRIPTNAME.vbs >c:\Protokoll.vbs
Die Textdatei wiederum in Microsoft Excel oder Microsoft Access zu

importieren, ist in wenigen Mausklicks erledigt.
852
Das vorherige Skript funktioniert sowohl fr eine NT4-Domne, eine

Windows 2000-Domne, eine Windows 2003-Domne als auch fr die
lokalen Benutzerdatenbanken unter Windows NT4, Windows 2000 Professional, Windows Vista und Windows 7: Anstelle des Computernamens
knnen Sie auch einen Domnennamen angeben.
Mchten Sie Benutzergruppen statt Benutzer auslesen, ersetzen Sie die Zeile Benutzergruppen
oDomain.Filter = Array("user") durch oDomain.Filter = Array ("group").
Sowohl Gruppen als auch Benutzer erhalten Sie mit oDomain .Filter =
Array("user", "group").
19.12.2 Anlegen eines Benutzerkontos

Grundstzlich wird in ADSI ein Objekt mit der Methode Create() angelegt. Create()
Bei der Methode Create() sind der Verzeichnisklassenname user und als
zweiter Parameter der gewnschte Benutzername anzugeben. Erst mit dem
Aufruf von SetInfo() wird der Benutzer tatschlich angelegt.
Die Verzeichnisklasse User verlangt keine Pflichtattribute; im Skript werden Attribute
allerdings die folgenden optionalen Attribute verwendet:
FullName: kennzeichnet den Anzeigenamen des Benutzers
Description: eine Beschreibung des Benutzers
HomeDirectory: der Pfad zu dem Verzeichnis, in dem der Benutzer seine
Daten ablegt
AccountExpirationDate: Datum, an dem das Kennwort des Kontos abluft.
Hier wird der Wert auf das aktuelle Datum gesetzt, um den Benutzer zu
veranlassen, sein Kennwort bei der nchsten Anmeldung zu ndern.
LoginScript: das bei der Anmeldung des Benutzers auszufhrende
Skript
19
Bitte passen Sie in diesem Skript unbedingt den Namen des Containers an, bevor Sie es testen. Tragen Sie in die Konstante CONTAINERNAME
den Namen eines Computers oder einer Domne ein, der bzw. die bei
Ihnen erreichbar ist. Sie mssen Administratorrechte auf dem Computer bzw. der Domne besitzen, um das Skript ausfhren zu knnen.
Option Explicit
' Variablen deklarieren
Dim Benutzer
Dim Container
' Name des Containers, in dem der Benutzer angelegt werden soll
Const CONTAINERNAME = "E60" ' Computername oder Domnenname
Const KLASSE = "Computer" ' oder: "Domain"
' Zugriff auf Domain-Objekt
Set Container = GetObject("WinNT://" & CONTAINERNAME & "," & KLASSE)
' Benutzer anlegen
Set Benutzer= Container.Create("user", "HolgerSchwichtenberg")
' Setzen von Eigenschaften
' Voller Name
Listing 19.19
Benutzer anlegen
[BenutzerAnlegen
.vbs]
853

Benutzer.FullName = "Holger Schwichtenberg"
' Beschreibung des Benutzers
Benutzer.Description = "Dr. Holger Schwichtenberg (Autor)"
' Home-Verzeichnis des Benutzers
Benutzer.HomeDirectory = "e:\benutzer\HolgerSchwichtenberg "
' Ablaufdatum des Kontos
Benutzer.AccountExpirationDate = Now()
' Verweis auf das Login-Script
Benutzer.LoginScript = "HolgerSchwichtenberg.bat"
' Festschreiben der Werte
Benutzer.SetInfo
' Meldung ausgeben
WScript.Echo "Benutzer angelegt!"
19.12.3 Umbenennen eines Benutzers

Namensnderung
Der NT4-Verzeichnisdienst erlaubt die Umbenennung eines Benutzerkontos nach dem Anlegen, da fr die eindeutige Identifizierung nicht der Kontoname, sondern der Security Identifier (SID) des Kontos mageblich ist.
Das Konto verliert also nicht seine Gruppenzuordnungen oder Rechte. Die
Methode zur Umbenennung heit in ADSI MoveHere(). Diese Methode
wird sowohl von der Computer- als auch der Domain-Klasse untersttzt.
Es ist nicht mglich, ein Benutzerkonto im WinNT-Verzeichnisdienst
zu verschieben, da es nur einen Container fr Benutzer geben kann.
Eine Verschiebung zwischen Domnen ist ebenfalls nicht mglich.
Das Skript deklariert die bentigten Variablen fr die Objekte. Durch den
Aufruf von GetObject() wird eine Instanz des Domain-Objekts erzeugt und
der Variablen Container zugewiesen. Als Parameter werden der WinNTProvider und der Name des Computers angegeben, auf dem sich das Benutzerkonto befindet.
Umbenennen
durch Verschieben
Listing 19.20
Benutzer
umbenennen
[BenutzerUmbenennen.vbs]
854
Der Aufruf der MoveHere()-Methode des Domain-Objekts mit dem ADSIPfad des Benutzers sowie dem neuen Benutzernamen fhrt die Umbenennung durch. Die erfolgreiche Umbenennung wird durch eine Meldung
angezeigt.
Option Explicit
' Konstanten - bitte anpassen!!!
Const ALTERNAME = "HolgerSchwichtenberg"
Const NEUERNAME = "HS"
' Notwendige Variablen deklarieren
Dim Container
Set Container = GetObject("WinNT://" & CONTAINERNAME)
' MoveHere ausfhren
Container.MoveHere _

"WinNT://" & CONTAINERNAME & "/" & ALTERNAME,NEUERNAME
' Meldung ausgeben
Wscript.Echo "Benutzer umbenannt!"
Durch die MoveHere()-Methode wird nur der Benutzername selbst, werden

aber nicht die anderen Attribute wie Fullname und Description beeinflusst.
Bitte beachten Sie, dass nach Ausfhrung dieses Skripts das Benutzerkonto HolgerSchwichtenberg nicht mehr existiert. Da die nachfolgenden Skripte HolgerSchwichtenberg verwenden, sollten Sie mit dem
ersten Skript in diesem Kapitel HolgerSchwichtenberg wieder anlegen.
19.12.4 Kennwort eines Benutzers ndern

Das Passwort fr einen Benutzer kann erst gesetzt werden, nachdem das
Anlegen mit SetInfo() vollzogen wurde. Grundstzlich gibt es zwei Mglichkeiten, ein Passwort mit ADSI zu setzen:
Bei SetPassword() ist die Angabe des bisherigen Passworts nicht ntig.
Bei der Methode ChangePassword() muss das bisherige Passwort ange-
ChangePassword()
geben werden.
SetPassword()
ChangePassword() sollte angewendet werden, wenn sichergestellt wer-
den soll, dass nur der betreffende Benutzer selbst das Passwort ndert.
Die Methode lsst sich nur ausfhren, wenn die Kontorichtlinien dies
erlauben. (Wenn Sie das Skript ausgefhrt haben, das die minimale
Passwortdauer auf zehn Tage setzt, kann ChangePassword() erst nach
zehn Tagen zum ersten Mal ausgefhrt werden!)
19
Fr den Administrator ist die Methode SetPassword() gedacht, weil das

alte Kennwort nicht bekannt sein muss. SetPassword() kann nicht nur
beim erstmaligen Setzen, sondern zu beliebiger Zeit ausgefhrt werden.
Dim Benutzer
' Bitte ADSI-Pfad anpassen: WinNT://CONTAINER/BENUTZERNAME
Set Benutzer = GetObject("WinNT://E60/HolgerSchwichtenberg,user")
Benutzer.SetPassword "geheim"
Msgbox "Kennwort gesetzt!"
Listing 19.21
Kennwort setzen
[KennwortAendern1.vbs]
Dim Benutzer
' Bitte ADSI-Pfad anpassen: WinNT://CONTAINER/BENUTZERNAME
Set Benutzer = GetObject("WinNT://E60/HolgerSchwichtenberg,user")
Benutzer.ChangePassword "geheim", "geheimer"
Msgbox "Kennwort gendert!"
Listing 19.22
Kennwort ndern
[KennwortAendern2.vbs]
Um den Benutzer zu veranlassen, sein Kennwort bei der nchsten

Anmeldung zu ndern, wird die Eigenschaft AccountExpirationDate auf
das aktuelle Datum und die aktuelle Uhrzeit gesetzt.
855
19.12.5 Anlegen einer Benutzergruppe

Andere Klasse
Das Einrichten einer Gruppe erfolgt analog zur Erstellung eines UserObjekts. Beachten Sie aber den bei Create() anzugebenden Klassennamen
Group.
Lokal oder global
GroupType ist ein Pflichtattribut des WinNT-Verzeichnisdienstes, das aber
automatisch auf den Wert 2 (globale Gruppe) gesetzt wird, wenn der ADSIClient keinen Wert vorgibt. Das Beispielskript allerdings erzeugt eine
lokale Gruppe (Wert 4).
Listing 19.23
Anlegen einer
Benutzergruppe
[GruppeAnlegen.vbs]
Option Explicit
Dim Container
Dim Gruppe
Const GRUPPENNAME = "Autoren"
' Name des Containers, in dem der Benutzer angelegt werden soll
Set Container = GetObject("WinNT://" & CONTAINERNAME)
' Erzeugen der Gruppe
Set Gruppe = Container.Create("group", GRUPPENNAME)
' Gruppentyp setzen
' 4 = Lokale Gruppe, 2= Globale Gruppe
Gruppe.Put "Grouptype", 4
' Beschreibungstext setzen
Gruppe.Description = "Gruppe aller Autoren"
' Festschreiben der nderungen
Gruppe.SetInfo
' Meldung ausgeben
WScript.Echo "Gruppe " & GRUPPENNAME & " wurde angelegt!"
19.12.6 Einen Benutzer einer Gruppe hinzufgen

Gruppieren
Das folgende Skript ordnet einen bestehenden Benutzer einer existierenden

Gruppe zu. Das Skript deklariert die bentigte Variable fr das Group-Objekt.
Durch den Aufruf von GetObject() wird eine Instanz des Group-Objekts
erzeugt und der Variablen Gruppe zugewiesen. Durch Aufruf der Add()Methode des Group-Objekts wird der als Parameter bergebene Benutzer der
Gruppe zugeordnet.
Der Befehl SetInfo() ist hier nicht notwendig, die nderung wird sofort
wirksam.
Der Benutzer muss bereits vorhanden sein, ansonsten wird die Fehlermeldung Ein Mitglied konnte in der lokalen Gruppe nicht hinzugefgt oder entfernt werden, da das Mitglied nicht vorhanden ist.
ausgegeben.
856

Option Explicit
Dim Gruppe
' Zugriff auf das Gruppen-Objekt
Set Gruppe = GetObject("WinNT://E60/Autoren,Group")
' Hinzufgen des Benutzer-Objekts zur Gruppe
Gruppe.Add ("WinNT://E60/HolgerSchwichtenberg")
' Meldung ausgeben
Wscript.Echo "Benutzer HolgerSchwichtenberg zur Gruppe
Autoren hinzugefgt!"
Listing 19.24
Benutzer in
Benutzergruppe
aufnehmen [BenutzerzuGruppe.vbs]
19.12.7 Einen Benutzer aus einer Gruppe

entfernen
Das nachfolgende Skript LoescheBenutzerausGruppe.vbs entfernt einen Benut- Benutzer
zer aus einer Benutzergruppe. Zentraler Befehl ist die Methode Remove(), die entfernen
auf einem Group-Objekt ausgefhrt wird. Als Parameter erwartet Remove()
den ADSI-Pfad des Benutzers, der aus der Gruppe entfernt werden soll.
Der Variablen Gruppe wird durch GetObject() ein Verweis auf das Group- Identifikation
Objekt der betreffenden Gruppe zugewiesen. Danach wird Remove() ausgefhrt. Der Befehl SetInfo() ist hier nicht notwendig, die nderung
wird sofort wirksam.
Option Explicit
Dim Benutzer
Dim Gruppe
' Zugriff auf das Gruppen-Objekt
Set Gruppe = GetObject("WinNT://E60/Autoren,group")
' Benutzer-Objekt aus der Gruppe entfernen
Gruppe.Remove("WinNT://E60/HolgerSchwichtenberg,user")
Wscript.Echo "Der Benutzer HolgerSchwichtenberg wurde aus der " &_
"Gruppe Autoren entfernt."
Listing 19.25
Benutzer aus
Gruppe entfernen
[LoescheBenutzerausGruppe.vbs]
19.12.8 Deaktivieren eines Benutzerkontos

Soll einem Benutzer der Zugang zum Netzwerk nur kurzfristig entzogen Konto sperren
werden, muss das Konto nicht gelscht, sondern es kann deaktiviert
werden.
Das nachfolgende Beispiel zeigt, wie mithilfe des Attributs AccountDisabled ein Benutzer deaktiviert werden kann, sodass er sich nicht mehr am
System anmelden kann. Dazu wird mit GetObject() ein Verweis auf das
User-Objekt erstellt und in der Variablen Benutzer gespeichert. Durch Setzen der Eigenschaft AccountDisabled auf den Wert True wird das UserObjekt angewiesen, das Konto zu sperren. Die Sperrung erfolgt erst mit
dem Aufruf von SetInfo().
Die Umkehrung der Aktion ist mit der Zuweisung des booleschen Wertes Entsperrung
False an die Eigenschaft AccountDisabled mglich.
857
19

Listing 19.26
Benutzerkonto
deaktivieren [DeaktiviereKonto.vbs]
Option Explicit
Dim Benutzer
' Zugriff auf User-Objekt
Set Benutzer= GetObject("WinNT://E60/HolgerSchwichtenberg,user")
' Deaktivierung
Benutzer.AccountDisabled = True ' = False zum Reaktivieren!
' Cache schreiben
Benutzer.SetInfo
' Meldung ausgeben
Wscript.Echo "Benutzer HolgerSchwichtenberg deaktiviert!"
19.12.9 Lschen einer Gruppe

Delete()
Zentraler Befehl beim Lschen eines Objekts ist die Methode Delete(), die
nur von Container-Objekten (also den Klassen Domain und Computer)
bereitgestellt wird. Delete() erwartet nicht nur den Namen des zu lschenden Objekts, sondern zuvor im ersten Parameter auch den Klassennamen.
Bitte verwechseln Sie nicht die Methoden Remove() und Delete(). Remove()
entfernt einen Benutzer aus einer Gruppe. Eine Gruppe gilt nicht als ein
Container-Objekt, weil die Gruppe den Benutzer im engeren Sinne nicht
enthlt, sondern nur einen Verweis auf ihn speichert. Ein Objekt kann
immer nur in einem Container sein. Wre die Gruppe ein Container,
knnte der Benutzer nur Mitglied einer einzigen Gruppe sein. Nach
einem Remove() ist das Benutzerkonto immer noch vorhanden. Delete()
dagegen entfernt einen Benutzer aus einem Container, sodass eine permanente Lschung stattfindet.
Im nchsten Beispiel wird das Lschen einer Gruppe demonstriert. Dazu
wird nach der Variablendeklaration der Variablen Container der Verweis
auf das durch GetObject() erzeugte Domain- oder Computer-Objekt zugewiesen. Unter Angabe des Klassennamens Group und des Gruppennamens
lscht die Delete()-Methode die Gruppe aus dem Container.
Sofortige
Lschung
Listing 19.27
Benutzergruppe
lschen [LoescheGruppe.vbs]
858
Ein expliziter Aufruf von SetInfo() ist hier nicht notwendig. Die Lschung
wird sofort durchgefhrt.
Option Explicit
Dim Container
Const GRUPPENNAME ="Autoren"
Set Container = GetObject("WinNT://E60")
' Lschen der Gruppe
Container.Delete "group", GRUPPENNAME
' Meldung ausgeben
Wscript.Echo "Gruppe " & GRUPPENNAME & " wurde gelscht!"
Lschen eines Benutzers

Ein Benutzer wird gelscht durch den Aufruf der Delete()-Methode des Verwechslungen
Containers, indem er enthalten ist. Das folgende Beispiel zeigt das Lschen mglich
eines Domnenbenutzers. Bei der Delete()-Methode ist wie beim Erzeugen der Klassenname User anzugeben, um Verwechslungen mit eventuell
gleichnamigen Group-Objekten zu vermeiden. Der Aufruf von SetInfo() ist
nicht notwendig; Delete() wird sofort ausgefhrt!
Option Explicit
' Variable deklarieren
Dim Container
Set Container = GetObject("WinNT://E60")
' Benutzer lschen
Container.Delete "user", "HolgerSchwichtenberg"
' Meldung ausgeben
WScript.Echo "Benutzer gelscht!"
Listing 19.28
Benutzergruppe
lschen [LoescheBenutzer.vbs]
19
859
20
.NET Framework
Das Microsoft .NET Framework ist eine Laufzeitumgebung fr Anwendungen, die mit einer sogenannten .NET-fhigen Programmiersprache
(z.B. C#, Visual Basic ab Version 7.0, J# etc.) entwickelt wurden. Mit der
zunehmenden Verbreitung .NET-basierter Anwendungen mssen sich
Systemadministratoren mit dem .NET Framework beschftigen, um den
Betrieb von .NET-Anwendungen zu gewhrleisten. Zudem basiert auch
die Windows PowerShell auf dem .NET Framework. Man kann wesentlich mehr Erfolg mit der PowerShell erzielen, wenn man Grundlagen des
.NET Frameworks beherrscht.
In Windows 7 ist das .NET Framework in den Versionen 2.0, 3.0 und
3.5 im Standardinstallationsumfang des Betriebssystems enthalten.
Die Versionen 1.0 und 1.1 (sowie nach Erscheinen auch 4.0) lassen sich
optional als Zusatz installieren.
861
Kapitel 20 .NET Framework
Abbildung 20.1: Ein Blick in das .NET Framework-Installationsverzeichnis auf

einem 64-Bit-Windows 7-System
10.000 Klassen
Das Microsoft .NET Framework ist ein extrem komplexes Gebilde. Zum
Versionsstand 3.5 besteht es aus 9326 ffentlichen Klassen (nicht zu verwechseln mit den 7695 WMI-Klassen), es gibt mehr als 40 Programmiersprachen und weit mehr als 1000 Werkzeuge und Erweiterungen von
Drittanbietern. Die Dokumentation umfasst mehr als schtzungsweise
500.000 Seiten, und eine serise Schulung dauert mindestens sechs
Wochen. Jeglicher Versuch, hier auf drei Seiten .NET erklren zu wollen,
ist zum Scheitern verurteilt. Dieses Buch kann hier nur einige Begriffe in
den Raum werfen, die Erinnerungen an bekannte Konzepte aus Java oder
anderen objektorientierten Hochsprachen wecken.
Eine kompakte Einfhrung in .NET auf rund 750 Seiten finden Sie
vom gleichen Autor in [SCH07].
862
Was ist das .NET Framework?
20.1 Was ist das .NET Framework?

Das .NET Framework ist eine plattformunabhngige und programmiersprachenunabhngige Softwareentwicklungsplattform mit Untersttzung
fr die Programmierparadigmen:
Objektorientierung (OOP)
Komponentenorientierung (COP)
Serviceorientierung (SOA)
Plattformunabhngig bedeutet, dass .NET-Anwendungen ohne Neukom- Common
pilierung auf jedem Prozessor und jedem Betriebssystem laufen knnen. Intermediate
.NET-Anwendungen liegen normalerweise nicht in Maschinencode, son- Language
dern in einem neutralen Zwischencode (Common Intermediate Language
CIL) vor. CIL wird erst zur Laufzeit durch den Just-In-Time-Compiler der
.NET-Laufzeitumgebung (Common Language Runtime CLR) in plattformspezifischen Maschinencode verwandelt.
Programmiersprachenunabhngig bedeutet, dass .NET-Anwendungen Common Type
in einer Vielzahl verschiedener Programmiersprachen geschrieben werden System
knnen. Die Sprachcompiler mssen sich dazu lediglich an Regelwerke
halten, die Common Type System (CTS) und Common Language Specification (CLS) heien. Innerhalb einer Anwendung knnen verschiedene Programmiersprachen gemischt werden.
Softwareentwicklungsplattform bedeutet, dass .NET zur Entwicklung Beliebige Anwenvon Software eingesetzt wird. Mit .NET kann man fast alle Arten von dungs-typen
Software (Konsolenanwendungen, grafische Desktop-Anwendungen,
Webanwendungen, Dienste) entwickeln. Ausgenommen sind Betriebssystemtreiber.
Objektorientierung bedeutet, dass das .NET Framework konsequent die Klassen und
Konzepte Klasse, Objekt, Schnittstellen und Vererbung einsetzt. Objekte sind Objekte
Instanzen von Klassen. Klassen erben von anderen Klassen. Klassen haben
Schnittstellen, die sie an ihre Instanzen weitergeben. Eine Klasse bzw. Schnittstelle besteht aus Attributen (Daten), Methoden (Operation) und Ereignissen.
20
Komponentenorientierung bedeutet, dass das .NET Framework die Zer- Assembly

legung von Software in wiederverwendbare Bausteine untersttzt. Diese
Bausteine heien Assemblies und sind von auen betrachtet Bibliotheken
(.dll) oder startbare Anwendungen (.exe).
Serviceorientierung bedeutet, dass das .NET Framework die Entwicklung Services
verteilter Systeme (Verteilung von Programmcode auf mehrere Rechnersysteme) mit lose gekoppelten Diensten untersttzt.
863

Abbildung 20.2
Wichtige Bausteine
und Abstraktionsebenen des .NET
Frameworks
Ausgewhlte Bausteine von .NET 3.5

www.IT-Visions.de / Dr. Holger Schwichtenberg 2008-2009
Eigene
Anwendungen
...
Infrastruktursoftware
SharePoint
Portal Server
2007
SQL Server
2008
PowerShell
2.0
BizTalk Server
2009
Programmiersprachen
C#
3.0
Visual Basic
(.NET)
9.0
C++/CLI
9.0
IronPython 1.0
Windows Forms
(System.
Windows.Forms)
2.0
Zeichnen
(System.
Drawing)
2.0
Windows
Presentation
Foundation
(System.
Windows) 3.0
ASP.NETWeb Forms
(System.Web)
2.0
Windows
Workflow
Foundation
(System.
Workflow) 3.0
Systemdienste
(System.Service
Process)
2.0
Systemmanagement
(System.
Management)
2.0
Application
Services
(System.
Enterprise
Services)
2.0
NetzwerkProgrammierung
(System.Net)
2.0
.NET Remoting
(System.
Runtime.
Remoting)
2.0
ASP.NETWebservices
(ASMX)
2.0
Windows
Communication
Foundation
(System.
ServiceModel)
3.0
Relationale
Datenbanken
ADO.NET
(System.Data)
2.0
XML
(System.Xml)
2.0
Ressourcen
(System.
Resources)
2.0
Konfiguration
(System.
Configuration)
2.0
Entity
Framework
(System.
Data.Entity)
3.5
Elementare
Datentypen
(System)
2.0
Prozessverwaltung
(System.
Diagnostics)
2.0
IO
(System.IO)
2.0
Metadaten
(System.
Reflection)
2.0
LINQ
(System.
LINQ)
3.5
Oberflchenbibliotheken
Sonstige nicht-visuelle
Bibliotheken
Kommunikationsbibliotheken
Datenzugriffsbibliotheken
Basisbibliotheken
AJAX
(System.Web.
Extensions)
3.5
.NET-Klassenbibliothek
Common Language Runtime (CLR) 2.0

Laufzeitumgebung
Just-In-Time-Compiler, Speicherverwaltung,
Multi-Threading, Fehlerbehandlung,
Sicherheit, Verifikation, u.a.
Das .NET Framework ist der Nachfolger des Component Object Model
(COM), wobei es mit diesem nicht mehr viel gemein hat. Das .NET Framework ist in weiten Teilen unter der Bezeichnung Common Language Infrastructure (CLI) bei der ECMA und der ISO standardisiert.
20.2 Weitere Eigenschaften des .NET

Frameworks
Basiseigenschaften
864
Einige weitere Eigenschaften des .NET Frameworks sollen hier erwhnt

werden:
Die Ausfhrungsgeschwindigkeit von .NET-Anwendungen ist hoch
trotz der Zwischensprache. Sie ist langsamer als in C++ geschriebene
Anwendungen, aber weit schneller als Anwendungen, die mit Visual
Basic 6.0 oder einer Skriptsprache wie VBScript geschrieben wurden.
Mehrere Versionen des .NET Frameworks und mehrere Versionen einer
in .NET geschriebenen Software knnen auf einem System (problemlos) koexistieren (Side-by-Side-Executing).
.NET-Klassen
Die Laufzeitumgebung entlastet den Programmierer, indem sie Routine-
aufgaben automatisch erledigt (z.B. Speicherbereinigung, Verifikation)

bzw. mchtige Grundfunktionen bereitstellt (z.B. Multithreading, Fehlerbehandlung).
Die .NET-Klassenbibliothek stellt viele Funktionen bereit und ist konsistenter aufgebaut als die bisherigen C++- und COM-basierten Bibliotheken.
Das .NET Framework setzt XML-Dateien zur Konfiguration von Anwendungen ein. Der Einsatz der Registrierungsdatenbank ist verpnt.
Viele .NET-Anwendungen knnen durch einfaches Kopieren der Programmdateien auf einem System betrieben (installiert) werden. Man
spricht vom sogenannten XCopy-Deployment.
Jede .NET-Assembly enthlt zahlreiche Metadaten ber die enthaltenen Klassen. Diese Metadaten knnen durch einen Mechanismus mit
Namen Reflection ausgewertet werden.
.NET-Anwendungen werden durch die Laufzeitumgebung in ihrem
Wirken beschrnkt (Sandkastenprinzip, vgl. Java). In vielen Fllen
mssen zunchst explizite Sicherheitsfreigaben erfolgen.
Schnittstellenvertrge sind in .NET weniger streng, sodass Ergnzungen
an Komponenten mglich sind und die Komponenten dadurch inkompatibel zu Software werden, die ltere Versionen einer Komponente verwendet.
Das .NET Framework ist interoperabel zu anderen Plattformen: COM,
C/C++ (Win32API), XML-Webservices (Drittanbieter: Java, CORBA).
.NET fr Unix, Linux und Mac OS

Mit dem Open-Source-Produkt Novell Mono [MON01] steht inzwischen eine kompatible Portierung des .NET Frameworks fr andere
Betriebssysteme zur Verfgung, sodass viele Anwendungen ohne Neukompilierung portiert werden knnen.
20
20.3 .NET-Klassen
Die PowerShell basiert auf .NET-Klassen. Ein Nutzer der PowerShell
bentigt ein Grundwissen ber den Aufbau von .NET-Klassen, wenn er
die PowerShell optimal nutzen mchte.
20.3.1
Namensgebung von .NET-Klassen

(Namensrume)
Klassen werden in .NET nicht mehr durch GUIDs, sondern durch Zeichen- Namensrume
ketten eindeutig benannt. Diese Zeichenketten sind hierarchische Namen
(siehe Abbildung 20.3). Ein absoluter Klassenname besteht aus dem relativen
Namen der Klasse und dem Namensraum (engl. Namespace). Ein Wurzelnamensraum (der Namensraum, der vorne steht im absoluten Klassen-
865
namen) kann auch Unternamensrume enthalten, sodass eine Namensraumhierarchie entsteht.

Abbildung 20.3
Beispiel fr eine
.NET-Klasse mit
Namensraumhierarchie
Absoluter Klassenname
Wurzelnamensraum
Relative Klassenname
System.DirectoryServices.ActiveDirectory.Domain
Unternamenraum
Der relative Name muss nur innerhalb eines Namensraums eindeutig sein.
ber alle Namensrume hinweg kann der Klassenname mehrfach vorkommen, denn der Namensraum ermglicht im Zweifel die Unterscheidung.
Dies ist vergleichbar mit Dateien und Ordnern in einem Dateisystem.
Wurzelnamensrume
Im .NET Framework knnen beliebig viele Namensraumhierarchien parallel existieren, denn es gibt nicht nur einen, sondern mehrere Wurzelnamensrume. Die .NET-Klassenbibliothek besitzt zwei Wurzelnamensrume: System und Microsoft. Die speziellen Klassen fr die PowerShell
befinden sich unterhalb von System.Management.Automation.
Im normalen Programmcode (C#, VB.NET etc.) wird eine Klasse ber den
absoluten Klassennamen oder wenn der Namensraum vorher eingebunden wurde ber den relativen Klassennamen angesprochen. In der
PowerShell muss immer der absolute Klassenname verwendet werden,
da es keine Abkrzungsmglichkeit gibt.
Da es keine zentrale Stelle gibt, welche die Bezeichner fr Namensrume
vergibt, besteht grundstzlich die Gefahr, dass es zu doppelten Typnamen kommt. Im Rahmen des CLI-Standards wurde deshalb folgende
Notation festgelegt:
Firmenname.Technologiename
Beispiele:
Microsoft.Office
PowerSoft.PowerBuilder
Corel.CorelDraw
AddisonWesley.Scripting
Es ist auch blich, den Internetdomnennamen in umgekehrter Reihenfolge zu verwenden, also z.B. com.Microsoft.Office oder de.AddisonWesley
.Scripting.
Abbildung 20.4
Vergabe eines
Namensraums
Namensraum
de.AddisonWesley.Scripting.Autor
Klassenname
866
.NET-Klassen
Auch fr die Namensgebung von Typen gibt es Regeln, die im CLI-Standard manifestiert sind. Fr die Gro-/Kleinschreibung gilt grundstzlich
PascalCasing, d.h., ein Bezeichner beginnt grundstzlich mit einem Grobuchstaben, und jedes weitere Wort innerhalb des Bezeichners beginnt
ebenfalls wieder mit einem Grobuchstaben. Ausnahmen gibt es lediglich fr Abkrzungen, die nur aus zwei Buchstaben bestehen. Diese drfen komplett in Grobuchstaben geschrieben sein (z.B. UI und IO). Alle
anderen Abkrzungen werden entgegen ihrer normalen Schreibweise in
Gro-/Kleinschreibung geschrieben (z.B. Xml, Xsd und W3c).
Es gibt weitergehende Regeln, die aber weit ber den Rahmen dieses Buchs
hinausfhren wrden. Mehr erfahren Sie in [SCH07].
20.3.2
Namensrume und
Softwarekomponenten
Ein Namensraum ist eine Gruppierung von Klassen, die in Assemblies Hierarchien
(Softwarekomponenten) implementiert sind. Der Namensraum ist unabhngig von dem Namen der Assembly. Ein Namensraum kann in beliebig
vielen Assemblies implementiert werden, ebenso wie jede Assembly
Typen zu beliebig vielen verschiedenen Namensrumen beisteuern kann.
In der nachstehenden Abbildung sind die vertikalen dreidimensionalen
Ksten die Assemblies und die horizontalen flachen Ksten die Namensrume. Man sieht, dass System.IO in System.dll und mscorlib.dll implementiert ist, es also keine System.IO.dll gibt.
Die Gruppierung, also die Auswahl der Typen, die zu einem Namensraum
gehren, sollte nach logischen oder funktionellen Prinzipien erfolgen. Im
Gegensatz dazu sollte die Zusammenfassung von Typen zu einer Assembly
gem den Bedrfnissen zur Verbreitung der Klassen (engl. Deployment)
erfolgen.
Ein Durchlaufen aller Namensrume auf einem System ist nicht ohne
Weiteres mglich, weil es kein globales Verzeichnis aller Namensrume
gibt. Dies wrde eine Registrierung von Komponenten voraussetzen
und daher dem Gedanken des XCopy-Deployment widersprechen. Mglich wre aber die Suche nach .dll-/.exe-Dateien im Dateisystem und
eine Einzelprfung dieser DLLs darauf, ob sie Typen enthalten.
20
Um die Klassen aus einem .NET-Namensraum nutzen zu knnen, muss die Referenzierung
Assembly, die diesen Teil des Namensraum implementiert, in der Anwendung, welche die Klasse nutzen mchte, eingebunden (referenziert) werden.
Man erstellt Referenzen auf Assemblies, nicht auf Namensrume. Die
PowerShell referenziert automatisch alle wichtigen Assemblies der .NETKlassenbibliothek. Mchte man zustzliche Assemblies (z.B. auch von Drittanbietern) nutzen, so muss man diese einbinden.
867

Abbildung 20.5
Der Namensraum
ist unabhngig vom
Namen der Assembly.
mscorlib.dll
system.dll
system.web.dll
Namensraum System
Namensraum
System.Reflection
Namensraum System.IO
Namensraum System.Web
Namensraum
System.Runtime
Namensraum System.Threading
Holger Schwichtenberg 2005
20.3.3
Bestandteile einer .NET-Klasse
Eine .NET-Klasse ist ein Typ im Sinne der objektorientierten Programmierung und besteht daher aus der Vereinigung von Daten und Operationen.
Eine .NET-Klasse besteht aus fnf Arten von Mitgliedern: Attribute,
Methoden, Ereignisse, Konstruktoren und maximal ein Destruktor.
Attribute
Attribute
Attribute sind Datenmitglieder einer Klasse. Es gibt in .NET zwei Unterarten von Attributen: Felder (engl. Fields) und Eigenschaften (engl. Properties).
Field
Fields sind Attribute, bei denen der Nutzer des Objekts direkt einen
bestimmten Speicherplatz innerhalb des Objekts beschreibt. Er kann
alle dem Datentyp des Feldes entsprechenden Werte in das Feld
schreiben, ohne dass eine weitere Prfung erfolgt.
Property
Im Gegensatz dazu wird bei einer Property bei jedem Schreib- und
Lesezugriff Programmcode ausgefhrt, bei dem z.B. Prfungen durchgefhrt werden knnen. So kann der Gltigkeitsbereich auf beliebige
Werte beschrnkt werden. Zu einer Property gehrt eine GetterMethode (Get) und/oder eine Setter-Methode (Set). Wie und ob berhaupt die bergebenen Werte verarbeitet werden, ist in diesen Methoden zu implementieren. In der Regel gehrt zu einem Property ein
privates, also nur innerhalb des Objekts zugngliches Feld.
Indexer
Aus der Sicht des Nutzers der Klasse gibt es fast keinen Unterschied
zwischen Fields und Properties. Eine Property kann jedoch Parameter
besitzen und wird dann Indexer (indiziertes Attribut) genannt. Der Lesezugriff sieht dann aus wie der Aufruf einer Methode:
element = collection.item(0)
868
.NET-Klassen
Beim Schreibzugriff fllt allerdings schon auf, dass es sich nicht um

eine Methode handelt, denn einer solchen knnte kein Wert zugewiesen werden:
collection.item(2) = "Guten Tag"
Ein Indexer kann als ein Array von Attributen betrachtet werden.
Methoden
Methode
Methoden sind in Klassen implementierte Unterprogramme. Eine Klasse

enthlt in der Regel eine Implementierung zu den Methoden. Eine Klasse
kann aber auch einzelne abstrakte Methoden (auch virtuelle Methoden
genannt) besitzen oder aber komplett abstrakt (auch rein virtuelle Klasse
genannt) sein. Eine abstrakte Klasse kann nicht instanziiert werden.
Konstruktoren
Konstruktor
Ein Konstruktor ist eine Unterroutine, die bei der Instanziierung der
Klasse aufgerufen wird. Konstruktoren knnen Parameter haben, die bei
der Instanziierung anzugeben sind.
Destruktor
Destruktor
Jede Klasse kann einen Destruktor mit dem Namen Finalize() besitzen,
der aufgerufen wird, bevor die automatische Speicherverwaltung die
Instanz im Speicher freigibt.
Ereignisse
Ereignis
Nutzer eines Objekts knnen ihr Interesse an von der Klasse definierten
Ereignissen bekunden, indem sie dem Objekt einen Zeiger auf ein Unterprogramm bergeben, welches das Objekt beim Eintritt bestimmter
Bedingungen aufruft.
Mitglieder einer Klasse knnen den einzelnen Instanzen (Instanzmitglieder) und der Klasse selbst (Klassenmitglieder oder statische Mitglieder
genannt) zugeordnet sein. Eine Klasse wird als statische Klasse bezeichnet, wenn sie nur statische Mitglieder besitzt. Statische Klassen und statische Mitglieder erfordern eine Sonderbehandlung in der PowerShell, die
an gegebener Stelle erlutert werden wird.
20.3.4
Instanzmitglieder vs.
Klassenmitglieder
20
Vererbung
.NET untersttzt (Einfach-)Vererbung zwischen Klassen, d.h., eine Klasse

kann Mitglieder von maximal einer anderen Klasse bernehmen. Als Nutzer der PowerShell haben Sie zunchst wenig mit Vererbung zu tun, in der
Dokumentation werden Sie aber auf Hinweise auf Vererbung stoen.
20.3.5
Schnittstellen
.NET erlaubt die explizite Definition von Schnittstellen zur Entkopplung

der Beschreibung der Mitglieder einer Klasse von der Implementierung
dieser Mitglieder. Schnittstellen sind fr den Nutzer der PowerShell nicht
relevant. Wichtig ist nur, dass Sie wissen, dass man Schnittstellen nicht
instanziieren kann mit dem PowerShell-Commandlet New-Object. Schnittstellen erkennt man an dem vorangestellten groen I, z.B. IDataAdapter.
869
20.3.6
Aufgaben fr die
Administration
Konfiguration von .NET-Anwendungen
Administrative Aufgaben knnen im .NET Framework an zwei Stellen

anfallen:
Konfiguration des .NET-Sicherheitssystems
Konfiguration der Abhngigkeiten von Softwarekomponenten
Werkzeug .NET Framework-Konfiguration

Das .NET Framework legt alle Konfigurationsdaten nicht in der Registrierungsdatenbank, sondern in XML-Dateien ab. Man kann diese XML-Dateien
direkt mit einem Texteditor bearbeiten, dies ist jedoch nicht empfehlenswert.
Es ist besser, dafr ein MMC-Snap-in mit Namen .NET Framework-Konfiguration zu verwenden, das als Teil des .NET Framework 2.0 Software
Development Kits oder als Teil des Windows 6.0 Software Development Kits
kostenlos von Microsoft bereitgestellt wird. In .NET 1.0 und 1.1 war dieses
Werkzeug noch Teil des .NET Framework Redistributable und damit automatisch auf jedem System vorhanden, auf dem .NET installiert war.
20.3.7
Konfiguration des .NETSicherheitssystems
Das .NET-Sicherheitssystem (alias Code Access Security CAS) besteht

aus zwei Kernbausteinen:
Codegruppen
Mit Codegruppen (Code Groups) grenzt man verschiedene Herkunfts-
quellen von Programmcode voneinander ab. Eine Codegruppe basiert

auf einer Eigenschaft der Anwendung oder Herkunftsbedingung. Mgliche Bedingungen sind Hash, Publisher, Site, Strong Name, URL, Zone.
Berechtigungs- Ein Berechtigungssatz (Permission Set) ist eine definierte Menge von
stze
Rechten. Es gibt verschiedene Systemobjekte, auf die Rechte vergeben
werden knnen. Systemobjekte sind zum Beispiel Directory Services,

DNS, Event Log, File IO, OLEDB, Printing, Registry, User Interface und
File Dialog.
Ein Administrator kann im MMC-Snap-in .NET Framework-Konfiguration
im Ast Laufzeitsicherheitsrichtlinie sowohl Codegruppen als auch Berechtigungsstze definieren. Hufig wird es aber nur erforderlich sein, dass man
einer vorhandenen (bzw. bei Installation einer Anwendung erzeugten)
Gruppe einen bestimmten Berechtigungssatz zuweist.
Die Speicherung dieser Informationen erfolgt in XML-Dateien im Verzeichnis c:\Windows\.NET Framework\<Versionsnummer>\config.
870
.NET-Klassen
Abbildung 20.6
Zuordnung eines
Berechtigungssatzes zu einer
Codegruppe
(Hinweis: Die
.NET-MMCKonsole wurde
seit .NET 2.0 nicht
aktualisiert.)
Konfiguration der Abhngigkeiten von Softwarekomponenten

Softwarekomponenten im .NET Framework (alias Assemblies) knnen Assembly
auf andere Komponenten (.exe oder .dll) verweisen und diese nutzen. Das Resolver
.NET Framework verwendet im Gegensatz zu frheren Anstzen zum
Auffinden einer referenzierten Komponente weder ein zentrales Verzeichnis wie System32 noch die Registrierungsdatenbank, sondern ein
sogenannter Assembly Resolver sucht die Komponente relativ zum
Standort der Anwendung. Dabei wird die in der Anwendung hinterlegte
Versionsnummer der referenzierten Softwarekomponente bercksichtigt.
Durch XML-basierte Anwendungskonfigurationsdateien mit der doppelten Dateiextension .exe.config kann die Arbeit des Assembly Resolvers
spezifisch fr jede einzelne Anwendung beeinflusst werden. Hier knnen
zwei typische Konfigurationsaufgaben anfallen:
Festlegung der Suchpfade fr den Assembly Resolver
Umlenkung einer Version, sodass der Assembly Resolver eine Softwarekomponente in einer anderen Version als der in der Anwendung
hinterlegten akzeptiert. Diese Option existiert nur fr digital signierte
Softwarekomponenten.
Anwendungskonfigurationsdateien knnen direkt durch einen XML-Editor
(oder einen einfachen Texteditor) bearbeitet werden oder durch das MMCSnap-in .NET Framework-Konfiguration. In der MMC muss eine zu konfigurierende Anwendung zunchst zum Ast Anwendungen hinzugefgt werden
(Hinzufgen im Kontextmen). In den Eigenschaften der Anwendung knnen dann Suchpfade fr die verwendeten Komponenten angegeben werden. Im Ast Konfigurierte Assemblies knnen Versionsumlenkungen oder
dedizierte Standorte fr einzelne Assemblies festgelegt werden.
20
Anwendungskonfigurationsdateien
bearbeiten
871
Abbildung 20.7: Festlegung von Suchpfaden
Abbildung 20.8: Festlegung einer Versionsumlenkung
872
21
Einfhrung in
die Windows
PowerShell (WPS)
Das DOS-hnliche Kommandozeilenfenster hat viele Windows-Versionen in beinahe unvernderter Form berlebt. Mit der Windows PowerShell (WPS) besitzt Microsoft nun endlich einen Nachfolger, der es mit
den Unix-Shells aufnehmen und diese in Hinblick auf Eleganz und
Robustheit in einigen Punkten auch berbieten kann. Die PowerShell ist
eine Adaption des Konzepts von Unix-Shells auf Windows unter Verwendung des .NET Frameworks und mit Anbindung an die Windows Management Instrumentation (WMI).
Aus produktionstechnischen Grnden sind einige Bildschirmabbildungen in diesem Kapitel nicht mit Windows 7 erstellt, sondern mit
Windows Server 2003 oder 2008.
21.1 Was ist die Windows

PowerShell?
In einem Satz: Die Windows PowerShell (WPS) ist eine neue, .NET-basierte
Umgebung fr interaktive Systemadministration und Scripting auf der
Windows-Plattform.
Die Kernfunktionen der PowerShell sind:
Kernfunktionen
Zahlreiche eingebaute Befehle, die Commandlets genannt werden.
Robuster Datenaustausch zwischen Commandlets durch Pipelines
Zugang zu allen Systemobjekten, die durch COM-Bibliotheken, das
.NET Framework und die Windows Management Instrumentation
(WMI) bereitgestellt werden.
873
Kapitel 21 Einfhrung in die Windows PowerShell (WPS)

Ein einheitliches Navigationsparadigma fr verschiedene Speicher
(z.B. Dateisystem, Registrierungsdatenbank, Zertifikatsspeicher und

Active Directory)
Eine einfach zu erlernende, aber mchtige Skriptsprache
Ein Sicherheitsmodell, das die Ausfhrung unerwnschter Skripte
unterbindet
Integrierte Funktionen fr Ablaufverfolgung und Debugging
Die PowerShell kann in eigene Anwendungen integriert werden
(Hosting).
Abbildung 21.1
Ein leeres Konsolenfenster der PowerShell 2.0, die immer
noch im Verzeichnis
v1.0 liegt
21.2 Geschichte
Von Active Scripting zu PowerShell
Das Active Scripting ist einigen Administratoren zu komplex, weil es viel

Wissen ber objektorientiertes Programmieren und das Component Object
Model (COM) voraussetzt. Die vielen Ausnahmen und Ungereimtheiten
im Active Scripting erschweren das Erlernen von Windows Script Host
(WSH) und der zugehrigen Komponentenbibliotheken.
Schon im Zuge der Entwicklung des Windows Server 2003 gab Microsoft zu,
dass man Unix-Administratoren zum Interview ber ihr tgliches Handwerkszeug gebeten hatte. Das kurzfristige Ergebnis war eine groe Menge
zustzlicher Kommandozeilenwerkzeuge. Langfristig setzt Microsoft jedoch
auf eine Ablsung des DOS-hnlichen Konsolenfensters durch eine neue
Scripting-Umgebung.
Mit dem Erscheinen des .NET Frameworks im Jahre 2002 wurde lange
ber einen WSH.NET spekuliert. Microsoft stellte jedoch die Neuentwicklung des WSH fr das .NET Framework ein, als abzusehen war, dass
die Verwendung von .NET-basierten Programmiersprachen wie C# und
Visual Basic .NET dem Administrator nur noch mehr Kenntnisse ber
objektorientierte Softwareentwicklung abverlangen wrde.
Microsoft beobachtete in der Unix-Welt eine hohe Zufriedenheit mit den
dortigen Kommandozeilen-Shells und entschloss sich daher, das Konzept
der Unix-Shells, insbesondere das Pipelining, mit dem .NET Framework
zusammenzubringen und daraus eine .NET-basierte Windows Shell zu
874
Bestandteil von Windows 7
entwickeln, die so einfach ist wie eine Unix-Shell, aber so mchtig sein
kann wie das .NET Framework.
In einer ersten Beta-Version wurde die neue Shell schon unter dem Codenamen Monad auf der Professional Developer Conference (PDC) im
Oktober 2003 in Los Angeles vorgestellt. Nach den Zwischenstufen Microsoft Shell (MSH) und Microsoft Command Shell trgt die neue Skriptumgebung seit Mai 2006 den Namen Windows PowerShell.
Die fertige Version der Windows PowerShell 1.0 ist am 14.11.2006 auf der
TechEd Europe 2006 dem Markt bergeben worden. Die PowerShell 2.0
ist am 6.8.2009 als Bestandteil von Windows 7 und am 15.8.2009 als
Bestandteil von Windows Server 2008 R2 erschienen.
21.3 Bestandteil von Windows 7

Die Windows PowerShell ist Bestandteil von Windows 7 und muss (im Separates
Gegensatz zu Windows Vista vor Service Pack 1) nicht mehr separat instal- Add-On
liert werden. Enthalten ist die PowerShell in Version 2.0. Auch in Windows
Server 2008 R2 ist die PowerShell 2.0 enthalten. Die PowerShell 2.0 soll es
auch fr andere Betriebssysteme geben. Bis zum Redaktionsschluss gab
es ein solches Installationspaket aber erst als Vorabversion auf Microsoft
Connect (connect.microsoft.com). Dort ist die PowerShell enthalten im
Paket Windows Management Framework (WMF, 19,58 MB) fr Vista und
Windows Server 2008. Diese Version ist auf der Buch-CD enthalten.
HINWEIS: Die PowerShell 2.0 installiert sich in folgendes Verzeichnis:
%systemroot%\system32\WindowsPowerShell\V1.0 (die Angabe 1.0 ist
hier kein Tippfehler). Auf 64-Bit-Systemen gibt es die PowerShell 2.0 zweimal, einmal als 64-Bit-Version und als 32-Bit-Version. Letztere findet man
unter %systemroot%\Syswow64\WindowsPowerShell\V1.0. Die 32-Bit-Version braucht man, wenn man eine Bibliothek nutzen will, fr die es keine
64-Bit-Version gibt, z.B. den Zugriff auf Microsoft Access-Datenbanken.
21.4 Architektur
Die Microsoft PowerShell ist eine Symbiose aus:
dem DOS-Kommandozeilenfenster,
den bekannten Skript- und Shell-Sprachen wie Perl, Ruby, ksh und
bash,
dem .NET Framework und
der Windows Management Instrumentation (WMI).
21
Die PowerShell ist implementiert auf dem .NET Framework Version 2.0. Basis ist .NET 2.0
Einige Funktionen der PowerShell 2.0 brauchen jedoch .NET Framework 3.5. tlw. 3.5
Die PowerShell ist jedoch kein .NET Runtime Host mit der Mglichkeit,
Befehle der Common Intermediate Language (CIL) auf der Common Language Runtime (CLR) auszufhren.
875
Die PowerShell verwendet ein vllig anderes Host-Konzept mit Commandlets, Objekt-Pipelines und einer neuen Sprache, die von Microsoft als
PowerShell Language (PSL) bezeichnet wird. Sie ist Perl, Ruby, C# und einigen Unix-Shell-Sprachen sehr hnlich, aber mit keiner Unix-Shell kompatibel. Nutzer der WMI Command Shell (wmic.exe), die mit Windows XP eingefhrt wurde, werden sich in der PowerShell schnell zurechtfinden.
Die PowerShell ist angetreten, vom Administrator weniger Kenntnisse in
Objektorientierung und Softwarekomponenten zu verlangen, als dies der
Vorgnger Windows Script Host (WSH) tat. Tatschlich kann man in der
PowerShell viel erreichen, ohne sich mit dem zugrunde liegenden .NET
Framework zu beschftigen. Dennoch: Wer alle Mglichkeiten der PowerShell nutzen will, braucht dann aber doch etwas Verstndnis fr objektorientiertes Programmieren und Erfahrung mit dem .NET Framework.
Unix-Shells
Abbildung 21.2
Einflussfaktoren auf
die Architektur und
die Umsetzung der
PowerShell
Microsoft DOS-Shell
,
ing x ,
lin nta n
pe hsy me
i
P c na
ra l s
Sp feh
Be
O
Be ber
feh fl
lsn che
am ,
en
PowerShell
Ko
Klassen,
Sicherheitsko
nzep
,
ng ,
ru ten
tie en
ir en pon ,
to m n
jek ko ctio
Ob ware efle sen
t
f
R las
K
So
m
m
an
do
z e Kl a
ile ss
nw en
er ,
kz
eu
g
.NET Framework
Windows Script Host
Perl, C#
ntax
Sprachsy
wm
ic.
ex
e
Windows
Management
Instrumentation
(WMI)
21.5 PowerShell versus WSH

Administratoren fragen sich oft, wie sich die PowerShell im Vergleich zum
Windows Script Host (WSH) positioniert, womit man neue Scripting-Projekte beginnen sollte und ob der WSH bald aus Windows verschwinden
wird. Die folgende Tabelle trgt Fakten zusammen und bewertet auch die
beiden Scripting-Plattformen.
Erstmals
erschienen
Aktueller
Versionsstand
Basisplattform
Windows Script Host (WSH)
Windows PowerShell (WPS)
1998
2006
5.8
2.0
COM
.NET
Tabelle 21.1: Vergleich WSH und PowerShell
876
PowerShell versus WSH
Windows Script Host (WSH)
Windows PowerShell (WPS)
Derzeitiger
Funktionsumfang
Sehr umfangreich
Weiterentwicklung der Laufzeitumgebung

Weiterentwicklung der Bibliotheken
Weiterentwicklung der Werkzeuge
Plattformen
Nein, nicht mehr geplant
Direkter Funktionsumfang in Form von

Commandlets noch sprlich; ber
Interoperabilitt zu COM und .NET sehr
umfangreiche Funktionen; Zahl der
Commandlets wchst aber rasch. Erst
in einigen Jahren ist eine breite Untersttzung durch die Produktteams von
Microsoft zu erwarten.
Ja, Version 3.0 in Arbeit.
Ja, umfangreich (COM wird auch in

Zukunft noch eine wichtige Rolle
spielen)
Nein
Ja, zahlreiche Commandlet-Erweiterungen erscheinen mit kommenden

Microsoft-Produkten.
Ja
Alle Windows-Betriebssysteme ab
Windows 95/NT 4.0
Mchtig
Alle COM-Komponenten mit IDispatch-Schnittstelle
Nur XP, 2003, Vista, Windows Server

2008, Windows 7
Sehr mchtig
Alle .NET-Komponenten, alle COMKomponenten
Alle Betriebssystemfunktionen
Alle Betriebssystemfunktionen
Skriptgeneratoren, Debugger
Bislang keine (*)
Editoren, Debugger, Scriptgeneratoren

Einige Administratoren kennen sich
gut aus, es gibt aber immer noch viele,
die jetzt erst mit WSH beginnen, was
sich daran zeigt, dass der WSH immer
noch stndig unter den 20 meistgeladenen Downloads bei MSDN ist.
Hoch
Editoren, Debugger, Skriptgeneratoren
Basissyntax
Direkte Scripting-Mglichkeiten
Scripting-Mglichkeiten ber
Wrapper
Werkzeuge von
Microsoft
Werkzeuge von
Drittanbietern
Erfahrung der
Nutzer
Einarbeitungsaufwand
Migrationsoptionen
Informationsverfgbarkeit
Zu erwartender
Zeitraum mit
breitem Einsatz
des Produkts
Gering
Hoch zur Laufzeitumgebung, gering
zu spezielleren Themen
ca. 2015
Bisher kaum Erfahrung im Markt

vorhanden.
21
Mittel bis hoch (je nach Art der

PowerShell-Nutzung)
Keine
Gering, aber wachsend
Mindestens 2030 (vgl. DOS-Shell)
Tabelle 21.1: Vergleich WSH und PowerShell (Forts.)
877

Ein Beispiel zur Motivation Zur Motivation, sich mit der Windows PowerShell zu beschftigen, soll folgendes Beispiel aus der Praxis dienen. Es soll ein
Inventarisierungsskript fr Software erstellt werden, das die installierten
MSI-Pakete mithilfe der Windows Management Instrumentation (WMI) von
mehreren Computern ausliest und die Ergebnisse in einer CSV-Datei (softwareinventar.csv) zusammenfasst. Die Namen (oder IP-Adressen) der abzufragenden Computer sollen in einer Textdatei (computernamen.txt) stehen.
Die Lsung mit dem WSH bentigt 90 Codezeilen (inklusive Kommentare und Parametrisierungen). In der Windows PowerShell lsst sich das
Gleiche in nur 13 Zeilen ausdrcken. Wenn man auf die Kommentare und
die Parametrisierung verzichtet, dann reicht sogar genau eine Zeile.
Listing 21.1
Softwareinventarisierung Lsung 1
mit dem WSH
Option Explicit
' --- Settings
Const InputFileName = "computers.txt"
Const OutputFileName = "softwareinventory.csv"
Const Query = "SELECT * FROM Win32_Product where not Vendor
like '%Microsoft%'"
Dim
Dim
Dim
Dim
Dim
Dim
objFSO' Filesystem Object

objTX
' Textfile object
i
' Counter
Computer ' Current Computer Name
InputFilePath ' Path for InputFile
OutputFilePath ' Path of OutputFile
' --- Create objects

Set objFSO = CreateObject("Scripting.FileSystemObject")
' --- Get paths
InputFilePath = GetCurrentPath & "\" & InputFileName
OutputFilePath = GetCurrentPath & "\" & OutputFileName
' --- Create headlines
Print _
"Computer" & ";" & _
"Name" & ";" & _
"Description" & ";" & _
"Identifying Number" & ";" & _
"Install Date" & ";" & _
"Install Directory" & ";" & _
"State" & ";" & _
"SKU Number" & ";" & _
"Vendor" & ";" & _
"Version"
' --- Read computer list
Set objTX = objFSO.OpenTextFile(InputFilePath)
' --- Loop over all computers
878
PowerShell versus WSH

Computer = objTX.ReadLine
i = i + 1
WScript.Echo "=== Computer #" & i & ": " & Computer
GetInventory Computer
Loop
' --- Close Input File
objTX.Close
' === Get Software inventory for one computer
Sub GetInventory(Computer)
Dim objProducts
Dim objProduct
Dim objWMIService
' --- Access WMI
Set objWMIService = GetObject("winmgmts:" &_
"{impersonationLevel=impersonate}!\\" & Computer &_
"\root\cimv2")
' --- Execeute WQL query
Set objProducts = objWMIService.ExecQuery(Query)
' --- Loop
For Each objProduct In objProducts
Print _
Computer & ";" & _
objProduct.Name & ";" & _
objProduct.Description & ";" & _
objProduct.IdentifyingNumber & ";" & _
objProduct.InstallDate & ";" & _
objProduct.InstallLocation & ";" & _
objProduct.InstallState & ";" & _
objProduct.SKUNumber & ";" & _
objProduct.Vendor & ";" & _
objProduct.Version
Next
End Sub
' === Print
Sub Print(s)
Dim objTextFile
Set objTextFile = objFSO.OpenTextFile(OutputFilePath, 8, True)
objTextFile.Close
End Sub
21
' === Get Path to this script

Function GetCurrentPath
GetCurrentPath = objFSO.GetFile (WScript.ScriptFullName).ParentFolder
End Function
879

Listing 21.2
als Windows
PowerShell-Script
# Settings
$InputFileName = "computers.txt"
$OutputFileName = "softwareinventory.csv"
$Query = "SELECT * FROM Win32_Product where not Vendor
like '%Microsoft%'"
# Read computer list
$Computers = Get-Content $InputFileName
# Loop over all computers and read WMI information
$Software = $Computers | foreach { get-wmiobject -query
$Query -computername $_ }
# Export to CSV
$Software | select Name, Description, IdentifyingNumber, InstallDate,
InstallLocation, InstallState, SKUNumber, Vendor, Version | export-csv
$OutputFileName -notypeinformation
Listing 21.3
als Windows
PowerShell-Pipeline-Befehl
get-content "computers.txt" | foreach {get-wmiobject -computername

$_ -query "SELECT * FROM Win32_Product where not Vendor
like '%Microsoft%'" } | export-csv "Softwareinventory.csv"
-notypeinformation
21.6 Einzelbefehle der PowerShell

Die PowerShell kennt folgende Arten von Einzelbefehlen:
Commandlets
Aliase
Ausdrcke
Externe Befehle
Dateinamen
21.6.1
Commandlet
Commandlets
Ein einzelner PowerShell-Befehl heit Commandlet (kurz: Cmdlet) oder

Function. Hier in diesem Kapitel geht es zunchst nur um Commandlets.
Eine Funktion ist eine Mglichkeit, in der PowerShell selbst wieder einen
Befehl zu erstellen, der funktioniert wie ein Commandlet. Da die Unterscheidung zwischen Commandlets und Funktionen zum Teil akademischer Art ist, erfolgt hier zunchst keine Differenzierung.
Ein Commandlet besteht typischerweise aus drei Teilen:
einem Verb,
einem Substantiv und
einer (optionalen) Parameterliste.
Verb und Substantiv werden durch einen Bindestrich voneinander
getrennt, die optionalen Parameter durch Leerzeichen. Daraus ergibt sich
der folgende Aufbau:
880
Einzelbefehle der PowerShell

Verb-Substantiv [-Parameterliste]
Die Gro- und Kleinschreibung ist bei den Commandlet-Namen nicht

relevant.
Ein einfaches Beispiel ohne Parameter lautet:
Get-Process
Dieser Befehl holt eine Liste aller Prozesse.

Die Tabulatorvervollstndigung in der PowerShell-Konsole funktioniert bei Commandlets, wenn man das Verb und den Strich bereits eingegeben hat, z.B. Export-(). Auch Platzhalter kann man dabei verwenden. Die Eingabe Get-?e*() liefert Get-Help () Get-Member ()
Get-Service.
Commandlet-Parameter
Durch Angabe eines Parameters werden nur diejenigen Prozesse ange- Parameter
zeigt, deren Name auf das angegebene Muster zutrifft:
Get-Process i*
Ein weiteres Beispiel fr einen Befehl mit Parameter ist:

Get-Childitem c:\daten
Get-Childitem listet alle Unterobjekte des angegebenen Objekts (c:\daten)
auf, also alle Dateien und Verzeichnisse unterhalb dieses Dateiverzeichnisses.

Parameter werden als Zeichenkette aufgefasst auch wenn sie nicht
explizit in Anfhrungszeichen stehen. Die Anfhrungszeichen sind optional. Man muss Anfhrungszeichen nur verwenden, wenn Leerzeichen
vorkommen:
Get-Childitem "C:\Program Files"
Alle Commandlets haben zahlreiche Parameter, die durch Namen voneinander unterschieden werden. Ohne die Verwendung von Parameternamen werden vordefinierte Standardattribute belegt, d.h., die Reihenfolge ist entscheidend.
Get-Childitem C:\temp *.doc
21
bedeutet das Gleiche wie:

Get-Childitem -Path C:\temp -Filter *.doc
Wenn ein Commandlet mehrere Parameter besitzt, ist die Reihenfolge der
Parameter entscheidend, oder der Nutzer muss die Namen der Parameter mit angeben. Alle folgenden Befehle sind gleichbedeutend:
Get-Childitem C:\temp *.doc
Get-Childitem -Path C:\temp -Filter *.doc
Get-Childitem -Filter *.doc -Path C:\temp
881
Bei der Angabe von Parameternamen kann man die Reihenfolge der
Parameter ndern:
Get-Childitem -Filter *.doc -Path C:\temp
Hingegen ist Folgendes falsch, weil die Parameter nicht benannt sind und
die Reihenfolge falsch ist:
Get-Childitem *.doc C:\temp
Weitere Beispiele Get-service -exclude "[k-z]*"
zeigt nur diejenigen Systemdienste an, deren Name nicht mit den Buchstaben k bis z beginnt.
Auch mehrere Parameter knnen der Einschrnkung dienen. Der folgende
Befehl liefert nur die Benutzereintrge aus einem bestimmten Active Directory-Pfad:
Get-ADObject -dis "LDAP://E02/ou=Geschftsfhrung,OU=
www.IT-Visions.de,dc=IT-Visions,dc=local" -class user
(Setzt PSCX voraus)

Tabulatorvervollstndigung klappt auch bei Parametern. Versuchen Sie
mal folgende Eingabe an der PowerShell-Konsole: Get-Childitem -()
Platzhalter An vielen Stellen sind Platzhalter bei den Parameterwerten
erlaubt.
Eine Liste aller Prozesse, die mit einem i anfangen, erhlt man so:
Get-Process i*
Weitere Aspekte zu Commandlets Beachten Sie, dass bei den Commandlets
das Substantiv im Singular steht, auch wenn eine Menge von Objekten abgerufen wird. Das Ergebnis muss nicht immer eine Objektmenge sein. Beispielsweise liefert
Get-Location
nur ein Objekt mit dem aktuellen Pfad.

Mit
Set-Location c:\windows
wechselt man den aktuellen Pfad. Diese Operation liefert gar kein Ergebnis.
Die Gro- und Kleinschreibung der Commandlet-Namen und der Parameternamen ist irrelevant.
Verben
882
Gem der PowerShell-Konventionen soll es nur eine begrenzte Menge

wiederkehrender Verben geben: Get, Set, Add, New, Remove, Clear, Push, Pop,
Write, Export, Select, Sort, Update, Start, Stop, Invoke usw. Auer diesen
Basisoperationen gibt es auch Ausgabekommandos wie out und format.
Auch Bedingungen werden durch diese Syntax abgebildet (Where-Object).
Die PowerShell erzeugt beim Start einen Prozess. In diesem Prozess lau- Prozessmodell
fen alle Commandlets. Dies ist ein Unterschied zum DOS-hnlichen Windows-Kommandozeilenfenster, bei dem die ausfhrbaren Dateien (.exe)
in eigenen Prozessen laufen.
21.6.2
Aliase
Durch sogenannte Aliase kann die Eingabe von Commandlets verkrzt Namenswerden. So ist dir als Alias fr Get-Childitem oder help fr Get-help vorde- ersetzungen
finiert. Statt Get-Childitem c:\ kann also auch geschrieben werden: dir
c:\. Ebenso als Alias definiert ist der DOS-Befehl cd, der hier Set-Location
reprsentiert. ps ist ein Alias fr Get-Process.
Aliase auflisten
Durch Get-Alias (oder den entsprechenden Alias aliases) erhlt man eine
Liste aller vordefinierten Abkrzungen in Form von Instanzen der Klasse
System.Management.Automation.AliasInfo.
Durch Angabe eines Namens bei Get-Alias erhlt man die Bedeutung
eines Alias:
Get-Alias pgs
Mchte man zu einem Commandlet alle Aliase wissen, muss man allerdings schreiben:
Get-Alias | Where-Object { $_.definition -eq "get-process" }
Dies erfordert schon den Einsatz einer Pipeline, die erst im nchsten Kapitel besprochen wird.
Alias
Commandlet
ForEach-Object
Where-Object
ac
Add-Content
asnp
Add-PSSnapIn
cat
Get-Content
cd
Set-Location
chdir
Set-Location
clc
Clear-Content
clear
Clear-Host
clhy
Clear-History
cli
Clear-Item
clp
Clear-ItemProperty
cls
Clear-Host
21
Tabelle 21.2: Vordefinierte Aliase in der PowerShell 2.0
883
Alias
Commandlet
clv
Clear-Variable
compare
Compare-Object
copy
Copy-Item
cp
Copy-Item
cpi
Copy-Item
cpp
Copy-ItemProperty
cvpa
Convert-Path
dbp
Disable-PSBreakpoint
del
Remove-Item
diff
Compare-Object
dir
Get-ChildItem
ebp
Enable-PSBreakpoint
echo
Write-Output
epal
Export-Alias
epcsv
Export-Csv
epsn
Export-PSSession
erase
Remove-Item
etsn
Enter-PSSession
exsn
Exit-PSSession
fc
Format-Custom
fl
Format-List
foreach
ForEach-Object
ft
Format-Table
fw
Format-Wide
gal
Get-Alias
gbp
Get-PSBreakpoint
gc
Get-Content
gci
Get-ChildItem
gcm
Get-Command
gcs
Get-PSCallStack
gdr
Get-PSDrive
ghy
Get-History
gi
Get-Item
gjb
Get-Job
gl
Get-Location
Tabelle 21.2: Vordefinierte Aliase in der PowerShell 2.0 (Forts.)
884
Alias
Commandlet
gm
Get-Member
gmo
Get-Module
gp
Get-ItemProperty
gps
Get-Process
group
Group-Object
gsn
Get-PSSession
gsnp
Get-PSSnapIn
gsv
Get-Service
gu
Get-Unique
gv
Get-Variable
gwmi
Get-WmiObject
Get-History
history
Get-History
icm
Invoke-Command
iex
Invoke-Expression
ihy
Invoke-History
ii
Invoke-Item
ipal
Import-Alias
ipcsv
Import-Csv
ipmo
Import-Module
ipsn
Import-PSSession
ise
powershell_ise.exe
iwmi
Invoke-WMIMethod
kill
Stop-Process
lp
Out-Printer
ls
Get-ChildItem
man
help
md
mkdir
measure
Measure-Object
mi
Move-Item
mount
New-PSDrive
move
Move-Item
mp
Move-ItemProperty
mv
Move-Item
nal
New-Alias
21
885
Alias
Commandlet
ndr
New-PSDrive
ni
New-Item
nmo
New-Module
nsn
New-PSSession
nv
New-Variable
ogv
Out-GridView
oh
Out-Host
popd
Pop-Location
ps
Get-Process
pushd
Push-Location
pwd
Get-Location
Invoke-History
rbp
Remove-PSBreakpoint
rcjb
Receive-Job
rd
Remove-Item
rdr
Remove-PSDrive
ren
Rename-Item
ri
Remove-Item
rjb
Remove-Job
rm
Remove-Item
rmdir
Remove-Item
rmo
Remove-Module
rni
Rename-Item
rnp
Rename-ItemProperty
rp
Remove-ItemProperty
rsn
Remove-PSSession
rsnp
Remove-PSSnapin
rv
Remove-Variable
rvpa
Resolve-Path
rwmi
Remove-WMIObject
sajb
Start-Job
sal
Set-Alias
saps
Start-Process
sasv
Start-Service
sbp
Set-PSBreakpoint
886
Alias
Commandlet
sc
Set-Content
select
Select-Object
set
Set-Variable
si
Set-Item
sl
Set-Location
sleep
Start-Sleep
sort
Sort-Object
sp
Set-ItemProperty
spjb
Stop-Job
spps
Stop-Process
spsv
Stop-Service
start
Start-Process
sv
Set-Variable
swmi
Set-WMIInstance
tee
Tee-Object
type
Get-Content
where
Where-Object
wjb
Wait-Job
write
Write-Output
Neue Aliase anlegen

Einen neuen Alias definiert der Nutzer mit Set-Alias oder New-Alias, z.B.:
Set-Alias procs Get-Process
New-Alias procs Get-Process
Set-Alias,
New-Aliase
Der Unterschied zwischen Set-Alias und New-Alias ist marginal: New-Alias

erstellt einen neuen Alias und liefert einen Fehler, wenn der zu vergebende Alias schon existiert. Set-Alias erstellt einen neuen Alias oder
berschreibt einen Alias, wenn der zu vergebende Alias schon existiert.
Mit dem Parameter description kann man jeweils auch einen Beschreibungstext setzen.
21
Man kann Alias nicht nur fr Commandlets, sondern auch klassische

Anwendungen vergeben, z.B.:
Set-Alias np notepad.exe
887
Beim Anlegen eines Alias wird nicht geprft, ob es das zugehrige

Commandlet bzw. die Anwendung berhaupt gibt. Der Fehler wrde
erst beim Aufruf des Alias auftreten.
Man kann in Alias-Definitionen keinen Parameter mit Werten vorbelegen. Mchten Sie zum Beispiel definieren, dass die Eingabe von Temp
die Aktion Get-ChildItem c:\Temp ausfhrt, brauchen Sie dafr eine
Funktion. Mit einem Alias geht das nicht.
Function Temp { Get-Childitem c:\temp }
Funktionen werden spter noch ausfhrlich besprochen. Die Windows

PowerShell enthlt zahlreiche vordefinierte Funktionen, z.B. c:, d:, e:
sowie mkdir und help.
Die neu definierten Aliase gelten jeweils nur fr die aktuelle Instanz der
PowerShell-Konsole. Man kann die eigenen Alias-Definitionen exportieren
mit Export-Alias und spter wieder importieren mit Import-Alias. Als Speicherformate stehen das CSV-Format und das PowerShell-Skriptdateiformat
(.ps1 siehe sptere Kapitel) zur Verfgung. Bei dem PS1-Format ist zum
spteren Reimport der Datei das Skript mit dem Punkt-Operator (engl.
Dot Sourcing) aufzurufen.
Dateiformat CSV
Dateiformat .PS1
Speichern
export-alias c:\meinealias.csv
export-alias c:\meinealias.ps1 -as

script
Laden
import-alias c:\meinealias.csv
. c:\meinealias.ps1
Die Anzahl der Aliase ist im Standard auf 4096 beschrnkt. Dies kann
durch die Variable $MaximumAliasCount gendert werden.
Aliase fr
Eigenschaften
Aliase sind auch auf Ebene von Eigenschaften definiert. So kann man statt
Get-Process processname, workingset
auch schreiben:
Get-Process name, ws
Diese Aliase der Attribute sind definiert in der Datei types.ps1xml im

Installationsverzeichnis der PowerShell.
888

Abbildung 21.3
types.ps1xml
21.6.3
Ausdrcke
Ebenfalls als Einzelbefehl mglich sind (mathematische) Ausdrcke wie
21
Mathematik
10* (8 + 6)
oder
"Hello "+ " " + "World"
Microsoft spricht hier vom Expression Mode der PowerShell im Kontrast

zum Command Mode, der verwendet wird, wenn man
Write-Output 10* (8 + 6)
aufruft.
889
Die PowerShell kennt zwei Verarbeitungsmodi fr Befehle: einen Befehlsmodus (Command Mode) und einen Ausdrucksmodus (Expression Mode).
Im Befehlsmodus werden alle Eingaben als Zeichenketten behandelt. Im
Ausdrucksmodus werden Zahlen und Operationen verarbeitet. Befehlsund Ausdrucksmodus knnen gemischt werden.
In einem Befehl kann ein Ausdruck durch Klammern eingebaut werden.
Auerdem kann eine Pipeline mit einem Ausdruck beginnen.
Beispiel
Bedeutung
2+3
Ist ein Ausdruck. Die PowerShell fhrt die Berechnung

aus und liefert 5.
echo 2+3
Ist ein reiner Befehl. "2+3" wird als Zeichenkette angesehen und ohne Auswertung auf dem Bildschirm ausgegeben.
echo (2+3)
Ist ein Befehl mit integriertem Ausdruck. Auf dem Bildschirm erscheint 5.
2+3 | echo
Ist eine Pipeline, die mit einem Ausdruck beginnt. Auf

dem Bildschirm erscheint 5.
echo 2+3 | 7+6
Ist eine unerlaubte Eingabe. Ausdrcke drfen in der

Pipeline nur als erstes Element auftauchen.
$a = Get-Process
Ist ein Ausdruck mit integriertem Befehl. Das Ergebnis

wird einer Variablen zugewiesen.
$a | Get-Process
Ist eine Pipeline, die mit einem Ausdruck beginnt. Der

Inhalt von $a wird als Parameter an Get-Process bergeben.
Get-Process |
Ist eine unerlaubte Eingabe. Ausdrcke drfen in der

Pipeline nur als erstes Element auftauchen.
21.6.4
WindowsAnwendungen,
DOS-Befehle,
WSH-Skripte
Externe Befehle
Alle Eingaben, die nicht als Commandlets oder mathematische Formeln

erkannt werden, werden als externe Anwendungen behandelt. Die Eingabe c:\Windows\Notepad.exe ist daher mglich, um den beliebten Windows-Editor zu starten. Auf gleiche Weise knnen auch WSH-Skripte aus
der PowerShell heraus gestartet werden.
Grundstzlich knnte es passieren, dass ein interner Befehl der PowerShell (Commandlet, Alias oder Function) genauso heit wie ein externer
Befehl. Die PowerShell warnt in einem solchen Fall nicht vor der Doppeldeutigkeit, sondern die Ausfhrung erfolgt nach folgender Prferenzliste:
Aliase
Funktionen
Commandlets
Externe Befehle
890
Hilfe
21.6.5
Dateinamen
Bei der Eingabe von Dateipfaden wird entsprechend den Windows-Einstellungen in der Registrierungsdatenbank die Standardanwendung gestartet
und damit das Dokument geladen. Dateinamen mssen nur in Anfhrungszeichen gesetzt werden, wenn sie Leerzeichen enthalten.
21.7 Hilfe
Dieses Kapitel beschreibt die Hilfefunktionen der Windows PowerShell.
21.7.1
Verfgbare Befehle
Die Liste aller verfgbaren Commandlets erhlt man in der PowerShell Liste der
Commandlets
auch durch:
Get-Command
Dabei sind auch Muster erlaubt.

Get-Command get-* liefert alle Befehle, die mit get anfangen.
Get-Command [gs]et-* liefert alle Befehle, die mit get oder set
anfangen.
Get-Command *-Service liefert alle Befehle, die das Substantiv Service
besitzen.
Get-Command noun Service liefert ebenfalls alle Befehle, die das Substantiv Service besitzen.
Das Commandlet Get-Command kann auch verwendet werden, um die Information dazu erhalten, was die PowerShell unter einem Befehl versteht. GetCommand sucht an angegebenen Namen in Commandlets, Aliasen, Funktionen, Skriptdateien und ausfhrbaren Dateien (siehe Bildschirmabbildung).
Gibt man nach Get-Command den Namen einer .exe-Datei an, zeigt die PowerShell, in welchem Pfad die ausfhrbare Datei gefunden werden kann.
Gesucht wird dabei nur in den Pfaden gem der Umgebungsvariablen
%Path%.
Get-Command *.exe
21
zeigt eine Liste aller direkt aufrufbaren ausfhrbaren Dateien.
891

Abbildung 21.4
Beispiele zum
Einsatz von GetCommand
21.7.2
Get-Help
Erluterungen zu den Befehlen
Einen Hilfetext zu einem Commandlet bekommt man ber Get-Help

commandletname, z.B.:
Get-Help Get-Process
Dabei kann man durch die Parameter detailed und full eine ausfhrlichere Hilfe erhalten.
Hingegen listet
Get-Help get
alle Commandlets auf, die das Verb Get verwenden.

Die Hilfe erscheint abhngig von der installierten Sprachversion der Windows PowerShell. Der Autor dieses Buch verwendet jedoch primr englische Betriebssysteme und Anwendungen.
Eine grafische Hilfedatei im .chm-Dateiformat zur PowerShell gibt es seit
Ende Mai 2007 (also ein halbes Jahr nach dem offiziellen Erscheinen der
Windows PowerShell 1.0 als separaten Download auf dem Microsoft Server [MS01]).
Diese .chm enthlt auch Hinweise zur manuellen bersetzung von VBScript
in Windows PowerShell.
892
Hilfe
Abbildung 21.5
Ausschnitt aus dem
Hilfetext zum
Commandlet GetProcess
Abbildung 21.6
Grafische Hilfedatei
zur Windows
PowerShell
21
893

Abbildung 21.7
Hilfe zum Transfer
von VBScript nach
PowerShell
21.7.3
.NET-SDK
Dokumentation der .NET-Klassen
Informationen zu den .NET-Klassen, mit denen die Windows PowerShell

arbeitet, finden Sie an folgenden Stellen:
PowerShell-Dokumentation fr den Namensraum System.Management.
Automation
.NET Framework Software Development Kit bzw. Windows Software
Development Kit
Produktspezifische Dokumentationen, z.B. Exchange Server 2007-
Dokumentation
Die Dokumentation zeigt die verfgbaren Klassenmitglieder (Attribut,
Methoden, Ereignisse, Konstruktoren) (siehe Abbildung 21.8). Destruktoren werden nicht dokumentiert.
Die folgende Abbildung zeigt die Dokumentation der Klasse Process im
Namensraum System.Diagnostics. In dem Baum links erkennt man die
verschiedenen Arten von Mitgliedern: Methoden (Methods), Eigenschaften
(Properties) und Ereignisse (Events).
894
Objektorientiertes Pipelining
Abbildung 21.8
Ausschnitt aus der
Dokumentation der
.NET-Klasse
System.Diagnostics.Process
Da die Dokumentation der .NET-Klassen fr Entwickler geschrieben

wurde, ist sie hufig zu detailliert fr PowerShell-Entwickler. Leider
ist derzeit noch keine fr die Bedrfnisse von Administratoren angepasste Version absehbar.
Die englische Dokumentation ist der deutschen vorzuziehen, weil es
in den deutschen bersetzungen viele bersetzungsfehler gibt, die
das Verstndnis erschweren.
21.8 Objektorientiertes Pipelining
21
Ihre Mchtigkeit entfaltet die PowerShell erst durch das Pipelining, also
durch die Weitergabe von Daten von einem Commandlet zum anderen.
21.8.1
Grundlagen
Fr eine Pipeline wird wie auch in Unix-Shells blich und der normalen Pipelines
Windows-Konsole mglich der vertikale Strich | verwendet.
Get-Process | Format-List
895
bedeutet, dass das Ergebnis des Get-Process-Commandlets an Format-List

weitergegeben werden soll. Die Standardausgabeform von Get-Process ist
eine Tabelle. Durch Format-List werden die einzelnen Attribute der aufzulistenden Prozesse untereinander statt in Spalten ausgegeben.
21.8.2
Objektorientierung
Typisierte Objektorientierung ist die herausragende Eigenschaft der Windows PowerObjekte Shell: Commandlets knnen durch Pipelines mit anderen Commandlets ver-
bunden werden. Anders als Pipelines in Unix-Shells tauschen die Commandlets der PowerShell keine Zeichenketten, sondern typisierte .NETObjekte aus. Das objektorientierte Pipelining ist im Gegensatz zum in den
Unix-Shells und der normalen Windows-Shell (cmd.exe) verwendeten zeichenkettenbasierten Pipelining nicht abhngig von der Position der Informationen in der Pipeline.
In einer Pipeline wie
Get-Process | Where-Object { $_.name -eq "iexplore" } | Format-Table
ProcessName, WorkingSet
ist das dritte Commandlet daher nicht auf eine bestimmte Anordnung
und Formatierung der Ausgabe von vorherigen Commandlets angewiesen, sondern es greift ber den sogenannten integrierten ReflectionMechanismus (den eingebauten Komponentenerforschungsmechanismus des .NET Frameworks) direkt auf die Eigenschaften der Objekte in
der Pipeline zu. Genau genommen bezeichnet Microsoft das Verfahren
als Extended Reflection bzw. Extended Type System, weil die
PowerShell erhebliche Hilfe beim Analysieren der Eingabeobjekte leistet.
Im obigen Beispiel legt Get-Process ein .NET-Objekt der Klasse System
.Diagnostics.Process fr jeden laufenden Prozess in die Pipeline. System
.Diagnostics.Process ist eine Klasse aus der .NET-Klassenbibliothek; Commandlets knnen aber jedes beliebige .NET-Objekt in die Pipeline legen,
also auch einfache Zahlen oder Zeichenketten, da es in .NET keine Unterscheidung zwischen elementaren Datentypen und Klassen gibt. Eine Zeichenkette in die Pipeline zu legen, wird aber in der PowerShell die Ausnahme bleiben, denn der typisierte Zugriff auf Objekte ist wesentlich
robuster gegenber mglichen nderungen als die Zeichenkettenauswertung mit regulren Ausdrcken.
Deutlicher wird der objektorientierte Ansatz, wenn man als Attribut
keine Zeichenkette heranzieht, sondern eine Zahl. WorkingSet64 ist ein
64 Bit langer Zahlenwert, der den aktuellen Speicherverbrauch eines Prozesses reprsentiert. Alle Prozesse, die aktuell mehr als 20 Megabyte verbrauchen, liefert der folgende Befehl:
Get-Process | Where-Object {$_.WorkingSet64 -gt 20*1024*1024 }
Anstelle von 20*1024*1024 htte man auch das Krzel 20MB einsetzen
knnen. Auerdem kann man Where-Object mit einem Fragezeichen
abkrzen. Die kurze Variante des Befehls wre dann also:
ps | ? {$_.ws -gt 20MB }
896
Wenn nur ein einziges Commandlet angegeben ist, dann wird das Ergebnis auf dem Bildschirm ausgegeben. Auch wenn mehrere Commandlets
in einer Pipeline zusammengeschaltet sind, wird das Ergebnis des letzten
Commandlets in der Pipeline ausgegeben. Wenn das letzte Commandlet
keine Daten in die Pipeline wirft, erfolgt keine Ausgabe.
Die Objekt-Pipeline hat noch einen Vorteil: Gem dem objektorientierten Methoden
Paradigma haben .NET-Objekte nicht nur Attribute, sondern auch Methoden. In einer Pipeline kann der Administrator daher auch die Methoden
der Objekte aufrufen. Objekte des Typs System.Diagnostics.Process besitzen zum Beispiel eine Methode Kill(). Der Aufruf dieser Methode ist in
der PowerShell gekapselt in der Methode Stop-Process.
Der folgende PowerShell-Pipeline-Befehl beendet alle Instanzen des Internet Explorers auf dem lokalen System, indem das Commandlet StopProcess die Instanzen des betreffenden Prozesses von Get-Process empfngt.
Get-Process iexplore | Stop-Process
Wer sich mit dem .NET Framework gut auskennt, knnte die Methode
auch direkt aufrufen. Dann ist aber eine explizite ForEach-Schleife notwendig. Die Commandlets iterieren automatisch ber alle Objekte der Pipeline,
die Methodenaufrufe aber nicht.
Get-Process iexplore | Foreach-Object { $_.Kill() }
Durch den Einsatz eines Alias geht das auch krzer:

ps | ? { $_.name -eq "iexplore" } | % { $_.Kill() }
Der Einsatz der Methode Kill() war hier nur zur Demonstration, dass die
Pipeline tatschlich Objekte befrdert. Eigentlich ist die gleiche Aufgabe
besser mit dem eingebauten Commandlet Stop-Process zu lsen.
Dies funktioniert aber nur dann gut, wenn es auch Instanzen des Internet
Explorers gibt. Wenn alle beendet sind, meldet Get-Process einen Fehler.
Dies kann das gewnschte Verhalten sein. Mit einer etwas anderen Pipeline wird dieser Fehler jedoch unterbunden:
Get-Process | Where-Object { $_.Name -eq "iexplore" } | Stop-Process
Die zweite Pipeline unterscheidet sich von der ersten dadurch, dass das
Filtern der Prozesse aus der Prozessliste nun nicht mehr von Get-Process
erledigt wird, sondern durch ein eigenes Commandlet mit Namen WhereObject in der Pipeline selbst durchgefhrt wird. Where-Object ist toleranter
als Get-Process in Hinblick auf die Mglichkeit, dass es kein passendes
Objekt gibt.
21
ps ist ein Alias fr Get-Process, Kill fr Stop-Process. Auerdem hat GetProcess eine eingebaute Filterfunktion. Um alle Instanzen des Internet
Explorers zu beenden, kann man also statt

Get-Process | Where-Object { $_.Name -eq "iexplore" } | Stop-Process
auch schreiben:
ps -p "iexplore" | Kill
897
Pipeline Processor
get-process
sort-object p cpu
out-file
DownstreamCommandlet
UpstreamCommandlet
Commandlet #3
out-file
Inputpipeline
Objekt vom Typ

Commandlet #2
sort-object
Outputpipeline
Commandlet #1
get-process
Inputpipeline
Abbildung 21.9
Der Pipeline Processor befrdert die
Objekte vom
DownstreamCommandlet zum
UpstreamCommandlet.
Fr die bergabe der .NET-Objekte an die Commandlets sorgt der PowerShell Pipeline Processor (siehe Abbildung 21.9). Die Commandlets selbst
mssen sich weder um die Objektweitergabe noch um die Parameterauswertung kmmern.
Outputpipeline
PowerShell Pipeline Processor
PowerShell Pipeline Processor

Dr. Holger Schwichtenberg 2004-2006
Wie das obige Bild schon zeigt, beginnt ein nachfolgendes Commandlet mit seiner Arbeit, sobald es ein erstes Objekt aus der Pipeline erhlt.
Es kann also sein, dass das erste Commandlet noch gar nicht alle
Objekte erzeugt hat, bevor die folgenden Commandlets schon die ersten Objekte weiterverarbeiten.
Komplexe
Pipelines
Die Pipeline kann beliebig lang sein, d.h., die Anzahl der Befehle in einer
einzigen Pipeline ist nicht begrenzt. Ein Beispiel fr eine komplexere
Pipeline lautet:
Get-Childitem h:\daten r -filter *.doc
| Where-Object { $_.Length -gt 40000 }
| Select-Object Name, Length
| Sort-Object Length
| Format-List
Get-Childitem ermittelt alle Microsoft Word-Dateien im Verzeichnis h:\
Daten und in seinen Unterverzeichnissen. Durch das zweite Commandlet

(Where-Object) wird die Ergebnismenge auf diejenigen Objekte beschrnkt,
bei denen das Attribut Length grer ist als 40000. Select-Object beschneidet alle Attribute aus Name und Length. Durch das vierte Commandlet in der
Pipeline wird die Ausgabe nach dem Attribut Length sortiert. Das letzte
Commandlet schlielich erzwingt eine Listendarstellung.
Die Reihenfolge der einzelnen Befehle in der Pipeline ist dabei nicht beliebig. Keineswegs kann man im obigen Befehl die Sortierung hinter die
Formatierung setzen, weil nach dem Formatieren zwar noch ein Objekt
existiert, dieses aber einen Textstrom reprsentiert. Where-Object und
898
Sort-Object knnte man vertauschen; aus Grnden des Ressourcenver-
brauchs sollte man aber erst einschrnken und dann die verringerte Liste
sortieren.
Ein Commandlet kann auf alle Attribute und Methoden der .NET-Objekte,
die das vorhergehende Commandlet in die Pipeline gelegt hat, zugreifen.
Die Mitglieder der Objekte knnen entweder durch Parameter der Commandlets (z.B. in Sort-Object Length) oder durch den expliziten Verweis
auf das aktuelle Pipeline-Objekt ($_) in einer Schleife oder Bedingung (z.B.
Where-Object { $_.Length -gt 40000 }) genutzt werden.
Mehrere Commandlets in einer Pipeline knnen parallel durch die Power- Reihenfolge
Shell ausgefhrt werden, da ein einzelnes Commandlet bereits Daten senden
darf, auch wenn es noch nicht alle Daten des vorherigen Befehls empfangen
hat. Ein Commandlet wird sofort aufgerufen, sobald das erste Objekt bereitsteht. Nicht alle Aneinanderreihungen von Commandlets ergeben einen
Sinn. Einige Aneinanderreihungen sind auch gar nicht erlaubt. Ein Commandlet kann erwarten, dass es bestimmte Arten von Eingabeobjekten gibt.
Am besten sind aber Commandlets, die jede Art von Eingabeobjekt verarbeiten knnen.
Die Pipeline kann jegliche Art von Information befrdern, auch einzelne ele- Pipelining von
mentare Daten. Einige Commandlets untersttzen es, dass auch die Para- Parametern
meter aus der Pipeline ausgelesen werden. Der folgende Pipeline-Befehl
fhrt zu einer Auflistung aller Windows-Systemdienste, die mit dem Buchstaben I beginnen.
"i*" | Get-Service
21.8.3
Analyse des Pipeline-Inhalts
Eine der grten Herausforderungen bei der Arbeit mit der PowerShell Get-Member
besteht darin, die folgenden Fragen zu beantworten:
Welchen Typ haben die Objekte, die ein Commandlet in die Pipeline
legt?
Welche Attribute und Methoden haben diese Objekte?
Die Hilfe der Commandlets ist hier nicht immer hilfreich. Bei Get-Service
kann man lesen:
RETURN TYPE
System.ServiceProcess.ServiceController
21
Aber bei Get-Process heit es nur wenig hilfreich:

RETURN TYPE
Object
In keinem Fall sind die Attribute und die Methoden der resultierenden
Objekte genannt.
Das Commandlet Get-Member (Alias: gm) ist hier hilfreich: Es zeigt den .NETKlassennamen fr die Objekte in der Pipeline sowie die Attribute und
Methoden dieser Klasse. Fr Get-Process | Get-Member ist die Ausgabe so
lang, dass man dazu zwei Bildschirmabbildungen braucht.
899

Abbildung 21.10
Teil 1 der Ausgabe
von Get-Process |
Get-Member
Abbildung 21.11
Teil 2 der Ausgabe
von Get-Process |
Get-Member
Wenn sich mehrere verschiedene Objekttypen in der Pipeline befinden, werden die Mitglieder aller Typen ausgegeben, gruppiert durch
die Kopfsektion, die mit TypeName: beginnt.
Die Ausgabe zeigt, dass aus der Sicht der PowerShell eine .NET-Klasse sechs
Arten von Mitgliedern hat:
Method (Methode)
Property (Eigenschaft)
PropertySet (Eigenschaftssatz)
NoteProperty (Notizeigenschaft)
900
ScriptProperty (Skripteigenschaft)
CodeProperty (Codeeigenschaft)
AliasProperty (Aliaseigenschaft)
Von den oben genannten Mitgliedsarten sind nur Method und Property tatschliche Mitglieder der .NET-Klasse. Alle anderen Mitgliedsarten sind Zustze, welche die PowerShell mittels der bereits erwhnten
Extend Reflection dem .NET-Objekt hinzugefgt hat.
Methoden (Mitgliedsart Method)

Methoden (Mitgliedsart Method) sind Operationen, die man auf dem Method
Objekt aufrufen kann und die eine Aktion auslsen, z.B. Kill() beendet
den Prozess. Methoden knnen aber auch Daten liefern oder Daten in
dem Objekt verndern.
Beim Aufruf von Methoden sind immer runde Klammern anzugeben,
auch wenn es keine Parameter gibt. Ohne die runden Klammern erhlt
man Informationen ber die Methode, man ruft aber nicht die Methode
selbst auf.
Eigenschaften (Mitgliedsart Property)

Eigenschaften (Mitgliedsart Property) sind Datenelemente, die Informa- Property
tionen aus dem Objekt enthalten oder mit denen man Informationen an
das Objekt bergeben kann, z.B. MaxWorkingSet. Auffallend in den Bildschirmabbildungen der Ausgabe von Get-Process | Get-Member ist, dass es
zu jedem Property zwei Methoden gibt, z.B. get_MaxWorkingSet() und set_
MaxWorkingSet(). Die Ursache dafr liegt in den Interna des .NET Frameworks: Dort werden Properties (nicht aber Fields!) durch ein Methodenpaar abgebildet: eine Methode zum Auslesen der Daten (genannt GetMethode oder Getter), eine andere Methode zum Setzen der Daten
(genannt Set-Methode oder Setter).
Fr den PowerShell-Nutzer bedeutet dies, dass er zwei Mglichkeiten
hat, Daten abzurufen. ber die Eigenschaft (Property):
Get-Process | Where-Object { $_.name -eq "iexplore" } |
Foreach-Object { $_.MaxWorkingSet }
21
oder die entsprechende Get-Methode:

Foreach-Object { $_.get_MaxWorkingSet() }
Analog gibt es fr das Schreiben die Option ber die Eigenschaft:

Foreach-Object { $_.MaxWorkingSet = 1413120 }
oder die entsprechende Set-Methode:

Foreach-Object { $_.set_MaxWorkingSet(1413120) }
901
Den Anfnger mag die Aufblhung der Liste durch diese Optionen
stren, der fortgeschrittene Benutzer wird sie mgen. Denn neben der
syntaktischen Freiheit bietet die Auflistung der Getter und Setter einen
groen Vorteil: Man kann erkennen, welche Aktionen auf einem Property mglich sind. Fehlt der Setter, kann die Eigenschaft nicht verndert werden (z.B. StartTime bei der Klasse Process). Fehlt der Getter,
kann man die Eigenschaft nur setzen. Dafr gibt es kein Beispiel in der
Klasse Process. Dieser Fall kommt auch viel seltener vor, wird aber z.B.
bei Kennwrtern eingesetzt, die man nicht wiedergewinnen kann, weil
sie nicht im Klartext, sondern nur als Hash-Wert abgespeichert werden.
Eigenschaftsstze (PropertySet)
PropertySet
Eigenschaftsstze (PropertySet) sind eine Zusammenfassung einer Menge

von Eigenschaften unter einem gemeinsamen Dach. Beispielsweise umfasst
der Eigenschaftssatz psRessources alle Eigenschaften, die sich auf den Ressourcenverbrauch eines Prozesses beziehen. Dies ermglicht es, dass man
nicht alle Eigenschaften einzeln nennen muss, sondern schreiben kann:
Get-Process | Select-Object psRessources | Format-Table
Abbildung 21.12
Ausgabe eines
bestimmten Satzes
von Eigenschaften
der Prozess-Objekte
Die Eigenschaftsstze gibt es nicht im .NET Framework; sie sind eine

Eigenart der PowerShell und definiert in der Datei types.ps1xml im Installationsverzeichnis der PowerShell.
Abbildung 21.13
Definition der
Eigenschaftsstze
fr die Klasse
System.Diagnostics.
Process in types.
ps1ml
902
Notizeigenschaften (NoteProperty)
Notizeigenschaften (NoteProperties) sind zustzliche Datenelemente, die NoteProperties
nicht der Datenquelle entstammen, sondern welche die PowerShell-Infrastruktur hinzugefgt hat. Im obigen Beispiel ist dies __NounName, der einen
Kurznamen der Klasse liefert. Andere Klassen haben zahlreiche Notizeigenschaften. Notizeigenschaften gibt es nicht im .NET Framework; sie sind eine
Eigenart der PowerShell.
Skripteigenschaften (ScriptProperty)
Eine Skripteigenschaft (ScriptProperty) ist eine berechnete Eigenschaft, ScriptProperty
also eine Information, die nicht im Objekt selbst gespeichert ist. Dabei muss
die Berechnung nicht notwendigerweise eine mathematische Berechnung
sein; es kann sich auch um den Zugriff auf die Eigenschaften eines untergeordneten Objekts handeln. Der Befehl
Get-Process | Format-Table name, product
listet alle Prozesse auf mit den Produkten, zu denen der Prozess gehrt
(siehe Abbildung 21.14). Dies ist gut zu wissen, wenn man auf seinem System einen Prozess sieht, denn man nicht kennt und von dem man befrchtet, dass es sich um einen Schdling handeln knnte.
Abbildung 21.14
Auflistung der
berechneten Eigenschaft Product
21
Die Information ber das Produkt steht nicht in dem Prozess (Windows
listet diese Information im Taskmanager ja auch nicht auf), aber in der Datei,
die den Programmcode fr den Prozess enthlt. Das .NET Framework bietet
ber die MainModule.FileversionInfo.ProductName einen Zugang zu dieser
Information. Anstelle des Befehls
Get-Process | Select-Object name,
Mainmodule.FileVersionInfo.ProductName
bietet Microsoft durch die Skripteigenschaft eine Abkrzung an. Diese

Abkrzung ist definiert in der Datei types.ps1xml im Installationsverzeichnis der PowerShell.
903

Abbildung 21.15
Definition einer
Skripteigenschaft in
der types.ps1xml
Skripteigenschaften gibt es nicht im .NET Framework; sie sind eine Eigenart der PowerShell.
Codeeigenschaften (Code Property)

CodeProperty
Eine Codeeigenschaft (CodeProperty) entspricht einer ScriptProperty,

allerdings ist der Programmcode nicht als Skript in der PowerShell-Sprache, sondern als .NET-Programmcode hinterlegt.
Aliaseigenschaft (AliasProperty)
AliasProperty
Eine Aliaseigenschaft (AliasProperty) ist eine verkrzte Schreibweise fr

eine Property. Dahinter steckt keine Berechnung, sondern nur eine Verkrzung des Namens. Beispielsweise ist WS eine Abkrzung fr WorkingSet.
Auch die Aliaseigenschaften sind in der Datei types.ps1xml im Installationsverzeichnis der PowerShell definiert. Aliaseigenschaften sind ebenfalls eine PowerShell-Eigenart.
Weitere Informationen zu Get-Member Die Ausgabe von Get-Member kann
man verkrzen, indem man nur eine bestimmte Art von Mitgliedern ausgeben lsst. Diese erreicht man ber den Parameter Membertype (kurz: -m).
Der folgende Befehl listet nur die Properties auf:
Get-Process | Get-Member -Membertype Properties
Auerdem ist eine Filterung beim Namen mglich:

Get-Process | Get-Member *set*
Der obige Befehl listet nur solche Mitglieder der Klasse Process auf, deren
Name das Wort set enthlt.
Die Aliaseigenschaften gibt es nicht im .NET Framework; sie sind eine
Eigenart der PowerShell.
21.8.4
Where-Object
Filtern
Nicht immer will man alle Objekte weiterverarbeiten, die ein Commandlet
liefert. Einschrnkungskriterien sind Bedingungen (z.B. nur Prozesse, bei
denen der Speicherbedarf grer ist als 10000000 Byte) oder die Position (z.B.
nur die fnf Prozesse mit dem grten Speicherbedarf). Zur Einschrnkung
verwendet man das Commandlet Where-Object (Alias where).
Einschrnkungen ber Bedingungen definiert man mit dem Where-Object:
Get-Process | Where-Object {$_.ws -gt 10000000 }
Select-Object
Einschrnkungen ber die Position definiert man mit dem Select-Object

(in dem nachfolgenden Befehl fr das oben genannte Beispiel ist zustzlich
noch eine Sortierung eingebaut, damit die Ausgabe einen Sinn ergibt):
Get-Process | Sort-Object ws -desc | Select-Object -first 5
904
Analog dazu sind die kleinsten Speicherfresser zu ermitteln mit:

Get-Process | Sort-Object ws -desc | Select-Object -last 5
Etwas gewhnungsbedrftig ist die Schreibweise der Vergleichsoperato- Vergleiche

ren: Statt >= schreibt man ge (siehe Tabelle 21.3). Die Nutzung regulrer
Ausdrcke ist mglich mit dem Operator Match.
Vergleich unter
Bercksichtigung der Gro-/
Kleinschreibung
Vergleich unter
Ignorierung der
Gro-/Kleinschreibung
Bedeutung
-lt
-ilt
Kleiner
-le
-ile
Kleiner oder gleich
-gt
-igt
Grer
-ge
-ige
Grer oder gleich
-eq
-ieq
Gleich
-ne
-ine
Nicht gleich
-like
-ilike
hnlichkeit zwischen Zeichenketten, Einsatz von Platzhaltern (*

und ?) mglich
-notlike
-inotlike
Keine hnlichkeit zwischen Zeichenketten, Einsatz von Platzhaltern (* und ?) mglich
-match
Vergleich mit regulrem Ausdruck
-notmatch
Stimmt nicht mit regulrem Ausdruck berein
-is
Typvergleich
Logischer Operator
Bedeutung
-not oder !
Nicht
-and
Und
-or
Oder
21.8.5
Tabelle 21.3
Vergleichsoperatoren in der PowerShell-Sprache
Tabelle 21.4
Logische Operatoren in der PowerShell-Sprache
21
Zusammenfassung von Pipeline-Inhalten
Die Menge der Objekte in der Pipeline kann heterogen sein. Dies ist zum $
Beispiel automatisch der Fall, wenn man Get-Childitem im Dateisystem ausfhrt: Die Ergebnismenge enthlt das FileInfo- und DirectoryInfo-Objekte.
Man kann auch zwei Befehle, die beide Objekte in die Pipeline senden,
zusammenfassen, sodass der Inhalt in einer Pipeline wie folgt aussieht:
$( get-process ; get-service )
Dies ist aber nur sinnvoll, wenn die nachfolgenden Befehle in der Pipeline
korrekt mit heterogenen Pipeline-Inhalten umgehen knnen. Die Standard-
905
ausgabe kann dies. In anderen Fllen bedingt der Typ des ersten Objekts in
der Pipeline die Art der Weiterverarbeitung (z.B. bei Export-Csv).
21.8.6
Kastrierung von Objekten in der Pipeline
Die Analyse des Pipeline-Inhalts zeigt, dass es oftmals sehr viele Mitglieder in den Objekten in der Pipeline gibt. In der Regel braucht man aber
nur wenige. Nicht nur aus Grnden der Leistung und Speicherschonung,
sondern auch in Bezug auf die bersichtlichkeit lohnt es sich, die Objekte
in der Pipeline zu kastrieren.
Select-Object
Mit dem Befehl Select-Object kann ein Objekt in der Pipeline kastriert
werden, d.h., (fast) alle Mitglieder des Objekts werden aus der Pipeline
entfernt, mit Ausnahme der hinter Select-Object genannten Mitglieder.
Beispiel:
Get-Process | Select-Object processname, get_minworkingset, ws |
Get-Member
lsst von den Process-Objekten in der Pipeline nur die Mitglieder processname (Eigenschaft), get_minworkingset (Methode) und workingset (Alias)
brig (siehe Abbildung 21.17). Wie die Abbildung zeigt, ist das Kastrieren mit drei Wermutstropfen verbunden:
Get-Member zeigt nicht mehr den tatschlichen Klassennamen an, sondern PSCustomObject, eine Klasse der PowerShell.
Alle Mitglieder sind zu Notizeigenschaften degradiert.
Dass es neben den drei gewnschten Mitgliedern noch vier weitere in der
Liste gibt, ist auch einfach erklrbar: Jedes, wirklich jedes .NET-Objekt
hat diese vier Methoden, weil diese von der Basisklasse System.Object an
jede .NET-Klasse vererbt und damit an jedes .NET-Objekt weitergegeben
werden.
Abbildung 21.16
Wirkung der
Anwendung von
Select-Object
Mit dem Parameter exclude kann man in Select-Object auch Mitglieder einzeln ausschlieen.
21.8.7
Sort-Object
906
Sortieren
Mit Sort-Object (Alias sort) sortiert man die Objekte in der Pipeline nach
den anzugebenden Eigenschaften. Die Standardsortierrichtung ist aufsteigend.
Der folgende Befehl sortiert die Prozesse absteigend nach ihrem Speicherverbrauch:
Get-Process | sort ws -desc
21.8.8
Gruppierung
Mit Group-Object kann man Objekte in der Pipeline nach Eigenschaften Group-Object
gruppieren.
Mit dem folgenden Befehl ermittelt man, wie viele Systemdienste laufen
und wie viele gestoppt sind:
PS B:\Scripte> Get-Service | Group-Object status
Count Name
Group
----- -------64 Running
{AeLookupSvc, ALG, AppMgmt, appmgr...}
54 Stopped
{Alerter, aspnet_state, ClipSrv, clr_
optimiz...
Das zweite Beispiel gruppiert die Dateien im System32-Verzeichnis nach

Dateierweiterung und sortiert die Gruppierung dann absteigend nach
Anzahl der Dateien in jeder Gruppe.
Get-ChildItem c:\windows\system32 | Group-Object Erweiterung |
sort -object count desc
Abbildung 21.17
Einsatz von GroupObject und SortObject
21
21.8.9
Berechnungen
Measure-Object fhrt verschiedene Berechnungen (Anzahl, Durchschnitt,

Summe, Minimum, Maximum) fr Objekte in der Pipeline aus. Dabei sollte
man die Eigenschaft nennen, ber welche die Berechnung ausgefhrt werden soll, da die erste Eigenschaft hufig ein Text ist, den man nicht mathematisch verarbeiten kann.
Beispiel: Informationen ber die Dateien in c:\Windows\system32
907

Get-ChildItem c:\windows\system32 | Measure-Object -Property length min -max -average -sum
Abbildung 21.18
Beispiel fr den
Einsatz von
Measure-Object
21.8.10 Zwischenschritte in der Pipeline

PowerShellVariablen
Ein Befehl mit Pipeline kann beliebig lang und damit auch beliebig komplex werden. Wenn der Befehl unbersichtlich wird oder man Zwischenschritte genauer betrachten mchte, bietet es sich an, den Inhalt der Pipeline zwischenzuspeichern. Die PowerShell ermglicht es, den Inhalt der
Pipeline in Variablen abzulegen. Variablen werden durch ein vorangestelltes Dollarzeichen ($) gekennzeichnet. Anstelle von
Get-Process | Where-Object {$_.name -eq "iexplore"} | Foreach-Object
{ $_.ws }
kann man die folgenden Befehle nacheinander in getrennte Zeilen eingeben:

$x = Get-Process
$y = $x | Where-Object {$_.name -eq "iexplore"}
$y | Foreach-Object { $_.ws }
Das Ergebnis ist in beiden Fllen gleich.

Der Zugriff auf Variablen, die keinen Inhalt haben, fhrt so lange nicht
zum Fehler, wie man spter in der Pipeline keine Commandlets verwendet, die unbedingt Objekte in der Pipeline erwarten.
Abbildung 21.19
Zugriff auf Variablen ohne Inhalt
Eine befllte Variable kann man wieder leeren mit dem Commandlet
Clear-Variable. Dabei ist aber der Name der Variablen ohne $ anzugeben, z.B.:
Clear-Variable x
21.8.11 Verzweigungen in der Pipeline

Tee-Object
908
Manchmal mchte man innerhalb einer Pipeline das Ergebnis nicht nur in
der Pipeline weiterreichen, sondern auch in einer Variablen oder im Dateisystem zwischenspeichern. Der Verzweigung innerhalb der Pipeline dient
das Commandlet Tee-Object, wobei hier das Tee fr verzweigen steht.
Tee-Object reicht den Inhalt der Pipeline unverndert zum nchsten Commandlet weiter, bietet aber an, den Inhalt der Pipeline wahlweise zustzlich in einer Variablen oder im Dateisystem abzulegen.
Der folgende Pipeline-Befehl verwendet Tee-Object gleich zweimal fr

beide Anwendungsflle:
Get-Service | Tee-Object -var a | Where-Object
{ $_.Status -eq "Running" } | Tee-Object -filepath g:\dienste.txt
Nach der Ausfhrung des Befehls steht in der Variablen $a eine Liste aller
Dienste und in der Textdatei dienste.txt eine Liste der laufenden Dienste.
Bitte beachten Sie, dass man bei Tee-Object beim Parameter variable
den Namen der Variablen ohne den blichen Variablenkennzeicher
"$" angeben muss.
21.8.12 Vergleiche
Mit Compare-Object kann man den Inhalt von zwei Pipelines vergleichen.
Compare-Object
Mit der folgenden Befehlsfolge werden alle zwischenzeitlich neu gestarteten Prozesse ausgegeben:
$ProzesseVorher = Get-Process
# Hier einen Prozess starten
$ProzesseNacher = Get-Process
Compare-Object $ProzesseVorher $ProzesseNacher
Abbildung 21.20
Vergleich von zwei
Pipelines
21.8.13 Beispiele
21
Dieses Kapitel enthlt einige Beispiele fr die Anwendung von Pipelining und Ausgabebefehlen:
Beende alle Prozesse durch Aufruf der Methode Kill(), die iexplore
Pipelining-
heien, wobei die Gro-/Kleinschreibung des Prozessnamens irrele- Beispiele

vant ist.
Get-Process | Where { $_.processname -ieq "iexplore" } | Foreach
{ $_.Kill() }
Sortiere die Prozesse, die das Wort iexplore im Namen tragen, gem
ihrer CPU-Nutzung und beende den Prozess, der in der aufsteigenden
909
Liste der CPU-Nutzung am weitesten unten steht (also am meisten

Rechenleistung verbraucht).
Get-Process | Where { $_.processname -ilike "*iexplore*" } | SortObject p cpu | Select-Object -last 1 | Foreach { $_.Kill() }
Gib die Summe der Speichernutzung aller Prozesse aus.
ps | Measure-Object workingset
Gruppiere die Eintrge im System-Ereignisprotokoll nach Benutzer-
namen.
Get-Eventlog -logname system | Group-Object username
Zeige die letzten zehn Eintrge im System-Ereignisprotokoll.
Get-Eventlog -logname system | Select-Object -last 10

Zeige fr die letzten zehn Eintrge im System-Ereignisprotokoll die
Quelle an.
Get-Eventlog -logname system | Select-Object -first 10 | SelectObject -p source
Importiere die Textdatei test.txt, wobei die Textdatei als eine CSV-
Datei mit dem Semikolon als Trennzeichen zu interpretieren ist und

die erste Zeile die Spaltennamen enthalten muss. Zeige daraus die
Spalten ID und Url.
Import-Csv d:\_work\test.txt -delimiter ";" | Select-Object -p
ID,Url
Ermittle aus dem Verzeichnis System32 alle Dateien, die mit dem Buch-
staben a beginnen. Beschrnke die Menge auf diejenigen Dateien, die

grer als 40.000 Byte sind, und gruppiere die Ergebnismenge nach
Dateierweiterungen. Sortiere die gruppierte Menge nach dem Namen
der Dateierweiterung.
Get-Childitem c:\windows\system32 -filter a*.* | Where-Object {$_
.Length gt 40000} | Group-Object Extension | Sort-Object name |
Format-Table
Ermittle aus dem Verzeichnis System32 alle Dateien, die mit dem Buch-
staben b beginnen. Beschrnke die Menge auf diejenigen Dateien, die

grer als 40.000 Byte sind, und gruppiere die Ergebnismenge nach
Dateierweiterungen. Sortiere die Gruppen nach der Anzahl der Eintrge absteigend und beschrnke die Menge auf das oberste Element.
Gib fr alle Mitglieder dieser Gruppe die Attribute Name und Length aus.
Get-Childitem c:\windows\system32 -filter b*.* | Where-Object {$_
.Length gt 40000} | Group-Object Extension | Sort-Object count desc | Select-Object -first 1 | Select-Object group | foreach {$_
.group} | Select-Object name,length | Format-Table
910
Ausgabefunktionen
21.9 Ausgabefunktionen
Ein normales Commandlet sollte keine eigene Bildschirmausgabe erzeu- Commandlets
gen, sondern allenfalls eine Menge von Objekten in die Pipeline legen. Es mit Verben Out
ist bestimmten Commandlets vorbehalten, eine Ausgabe zu erzeugen. und Format
Beispiele fr diese Commandlets sind:
Out-Default: Standardausgabe gem einer Konfiguration (DotNetTypes.
Format.ps1xml)
Out-Host: wie Out-Default mit zustzlicher Option zur seitenweisen
Ausgabe
Out-Null: Die Objekte der Pipeline werden nicht weitergegeben.
Format-Wide: zweispaltige Liste
Format-List: detaillierte Liste
Format-Table: Tabelle
Microsoft hat leider einige Commandlets aus den Beta-Versionen, die
eine Ausgabe auf hherem Abstraktionsniveau boten, gestrichen.
Dazu gehren:
Windows-Forms-Datengitter (Out-Grid)
Excel-Tabelle (Out-Excel)
E-Mail (Out-Email)
Sulendiagramm (Out-Chart)
Abbildung 21.21
Ausgabe mit
Format-Wide
21
911

Abbildung 21.22
Ausgabe mit
Format-List
Abbildung 21.23
Ausgabe mit
Format-Table
21.9.1
Standardausgabe
912
Standardausgabe
Wenn am Ende einer Pipeline keine Ausgabefunktion genannt ist, verwendet die PowerShell automatisch das Commandlet Out-Default.
Out-Default bedient sich bei der Ausgabe einer Standardvorgabe, die in
der Datei DotNetTypes.Format.ps1xml im Installationsverzeichnis der
PowerShell abgelegt ist. Dort kann man beispielsweise fr den Typ System.
Diagnostics.Process nachlesen, dass die Ausgabe in einer achtspaltigen
Tabelle erfolgen soll (siehe Abbildung 21.24).
Ausgabefunktionen
Abbildung 21.24
Ausschnitt aus der
Beschreibung der
Standardausgabe
fr den Typ
in DotNetTypes.
Format.ps1xml
21.9.2
21
Seitenweise Ausgabe
Viele Ausgaben sind zu lang, um sie auf einer Bildschirmseite darstellen zu

knnen. Manche Ausgaben sind sogar lnger als der Puffer des PowerShell-Fensters (z.B. Get-Help Get-Process). Die seitenweise Ausgabe
erzwingt man mit dem Parameter p im Out-Host-Commandlet. Hierbei ist
Out-Host explizit zu nennen.
Get-Help Get-Process | Out-Host -p
913
21.9.3
Einschrnkung der Ausgabe
Die Ausgabebefehle erlauben die Spezifikation der Objektattribute, die

ausgegeben werden sollen, z.B.:
Get-Process | Format-Table -p id,processname,workingset
erzeugt eine Tabelle der Prozesse mit Prozess-ID, Name des Prozesses und
Speichernutzung. Attributnamen knnen dabei auch durch den Platzhalter
(*) abgekrzt werden, z.B.:
Get-Process | Format-Table -p id,processn*,working*
21.9.4
Write-Warn,
Write-Error
Ausgabe einzelner Werte
Um einen bestimmten Text oder den Inhalt einer Variablen auszugeben,

muss man diesen nur an der Konsole eingeben (siehe Abbildung 21.25).
Alternativ kann man die Commandlets Write-Host, Write-Warn und WriteError verwenden. Write-Warn und Write-Error erzeugen die Ausgabe hervorgehoben.
Bei Write-Host kann man die Farben genau angeben:
Write-Host "Hallo Holger" -foregroundcolor red -backgroundcolor white
Abbildung 21.25
Ausgabe von
Konstanten und
Variablen
Verknpfen vs.
Einbetten
Um in einer Ausgabe Literale und Variablen zu mischen, muss man diese

entweder mit + verknpfen:
$a + " ist erreichbar unter " + $b + ". Diese Information hat den
Stand: " + $c + "."
oder aber die Variablen direkt in die Zeichenkette einbetten. Im Gegensatz zu anderen Sprachen wertet die PowerShell die Zeichenkette aus
und sucht dort nach dem Zeichen $:
"$a ist erreichbar unter $b. Diese Information hat den Stand: $c."
Auch kann man die in .NET gebruchlichen Platzhalter und Formatkennzeichner (z.B. d = Datum in Langform) verwenden. Dafr ist nach der
Zeichenkette der Parameter f zu benutzen. Diese Option ist aufgrund
der Formatierungsmglichkeiten die mchtigste:
"{0} ist erreichbar unter {1}. Diese Information hat den Stand:
{2:d}." -f $a, $b, $c
Das folgende Listing fasst die drei quivalenten Mglichkeiten zusammen.

Listing 21.4
Formatierte Ausgabe [Ausgabe.ps1]
914
$a = "Holger Schwichtenberg"
$b = "hs@IT-Visions.de"
$c = get-Date
Ausgabefunktionen
# Mglichkeit 1
$a + " ist erreichbar unter " + $b + ". Diese Information hat den
Stand: " + $c + "."
# Mglichkeit 2
"$a ist erreichbar unter $b. Diese Information hat den Stand: $c."
# Mglichkeit 3
"{0} ist erreichbar unter {1}. Diese Information hat den Stand:
{2:D}." -f $a, $b, $c
Das obige Skript gibt Folgendes aus:

Holger Schwichtenberg ist erreichbar unter hs@IT-Visions.de.
Diese Information hat den Stand: 14.09.2006 16:53:13.
Diese Information hat den Stand: 14.09.2006 16:53:13.
Diese Information hat den Stand: Donne
rstag, 14. September 2006.
21.9.5
Unterdrckung der Ausgabe
Die Existenz der Standardausgabe sorgt dafr, dass alle Rckgabewerte Out-Null, void
von Commandlet-Pipelines auch ausgegeben werden. Dies ist nicht immer
erwnscht.
Es gibt drei Alternativen, die Ausgabe zu unterdrcken:
Am Ende der Pipeline wird Out-Null verwendet.
Commandlet | Commandlet | Out-Null
Das Ergebnis der Pipeline wird einer Variablen zugewiesen:
$a = Commandlet | Commandlet
Das Ergebnis der Pipeline wird auf den Typ [void] konvertiert:
[void] (Commandlet | Commandlet)
21.9.6
Weitere Ausgabefunktionen
21
Die folgende Liste zeigt weitere Ausgabemglichkeiten:

Ausgaben zum Drucker sendet man mit dem Commandlet Out-Printer.
Mit Out-File schreibt man den Inhalt in eine Datei.
Out-Printer,
Out-File
Ausgabe der Prozessliste auf den Standarddrucker:
Get-Process | Out-Printer
Ausgabe der Prozessliste auf einen bestimmten Drucker:
Get-Process | Out-Printer "HP LaserJet 2100 PCL6 on E02"
915

Ausgabe der Prozessliste in eine Textdatei (mit berschreiben des bis-
herigen Inhalts):
Get-Process | Out-File "c:\temp\prozessliste.txt"
Ausgabe der Prozessliste in eine Textdatei (Anhngen an bisherigen
Inhalt):
Get-Process | Out-File "c:\temp\prozessliste.txt" -Append
21.10 Fernausfhrung von Befehlen

Neu in PowerShell 2.0 ist eine Funktion, die man auch beim WSH oft vermisst hat: die Mglichkeit, auf einfache Weise beliebige Befehle oder Skripte
auf einem entfernten System auszufhren. PowerShell 2.0 nennt diese
Funktion PowerShell Remoting. Sie basiert auf dem Webservice-Protokoll WS-Management und funktioniert nur zwischen Windows-Systemen, fr die es die Funktion Windows Remote Management (WinRM) 2.0
gibt. Zum Redaktionsschluss dieses Buchs sind dies Windows 7, Windows
Server 2008 (inkl. R2) und Vista.
Im Auslieferungszustand der PowerShell sind PowerShell-Fernaufrufe
deaktiviert. Mit Enable-PSRemoting konfiguriert man einen Computer zum
Empfang von Fernaufrufen von anderen Rechnern.
Tipp: Zum Unterdrcken der Nachfragen geben Sie ein: Enable-Psremoting -force
Um einen einzelnen Befehl auf einem entfernten System auszufhren,

kann man auch das Commandlet Invoke-Command mit dem Parameter
-Computername verwenden. Der folgende Befehl liefert die Prozessliste von
Computer PC172.
Invoke-Command -ComputerName PC172 -scriptblock { Get-Process s* }
Das Commandlet Invoke-Command bietet auch die Mglichkeit, mehrere Computer in Form eines Arrays (eine durch Komma getrennte Liste) anzugeben.
Beispiel: Setzen von Datum und Uhrzeit auf mehreren Computern mit
dem Commandlet Set-Date
Invoke-Command -computer PC170, PC171, PC172, PC173 -Scriptblock
{ Set-date -date }
Mit Invoke-Command kann man auch ein auf dem entfernten System vorhandenes Skript starten, z.B.:
Invoke-Command -computer PC170 -scriptblock { d:\Skripte\WPS2_
Computername.ps1 }
Einige Commandlets in der PowerShell 2.0, darunter Get-Process und

Get-Service, bieten auch noch einen krzeren Weg fr die Fernabfrage
an. Bei diesen Commandlets kann man ein einzelnes entferntes System
ber den Parameter Computer angeben, z.B. Get-Process -Computer F111.
916
Navigationsmodell
Vorteil dieser Methode ist, dass man dafr nicht WS-Management

braucht und man also auch ltere Betriebssysteme abfragen kann, fr
die es kein WS-Management gibt. Nachteil ist, dass sich die Fernabfrage immer nur auf den einzelnen Befehl bezieht. Man kann weder
Befehlsfolgen noch Skripte angeben. Auerdem kann man immer nur
ein einzelnes entferntes System ansprechen.
Mit dem Commandlet Enter-PSSession erffnet man eine interaktive Sitzung zu einem entfernten System im Stil des Telnet-Protokolls. Anzugeben ist der Computername, z.B.
Enter-PSSession Computername F170
Nach erfolgreicher Ausfhrung des Befehls wird der Computername vor

der PowerShell-Eingabeaufforderung angezeigt. Alle eingegebenen
Befehle werden nun auf dem entfernten System ausgefhrt. Alle Ausgaben landen auf dem lokalen System (siehe Abbildung).
Abbildung 21.26
Sitzung mit einem
entfernten System
zur Abfrage von
Prozessen und der
IP-Konfiguration
21.11 Navigationsmodell
21
Neben dem Objekt-Pipelining wartet die PowerShell noch mit einem inter- Get-Psdrive
essanten Administrationskonzept auf: dem einheitlichen Navigationsparadigma fr alle Arten von Datenmengen. Beim Aufruf des Befehls
Get-Psdrive zeigen sich nicht nur die erwarteten Laufwerke, sondern auch
Umgebungsvariablen (env), die Registrierungsdatenbank (HKCU, HKLM), der
Windows-Zertifikatsspeicher (cert) die PowerShell-Aliase (Alias), PowerShell-Variablen (Variable) und PowerShell-Funktionen (Function). Die
PowerShell fasst auch diese Daten als Laufwerke auf. Konsequenterweise
muss man beim Aufruf auch einen Doppelpunkt verwenden: Get-Childitem
Alias: listet genau wie Get-Alias alle definierten Aliase auf.
917
21.11.1 Navigation in der

In der Registrierungsdatenbank kann der Administrator somit mit den gleichen Befehlen wie im Dateisystem arbeiten. Beispiele fr gltige Registrierungsdatenbank-Befehle sind:
Navigation zu HKEY_LOCAL_MACHINE/Software:
cd hklm:\software
Kurzform fr:
Set-Location hklm:\software
Auflisten der Unterschlssel des aktuellen Schlssels:
Dir
Kurzform fr:
Get-Childitem
Erzeugen eines Unterschlssels mit Namen IT-Visions:
md IT-Visions
Erzeugen eines Unterschlssels mit einem Standardwert:
New-Item -Name "Website" Value "www.IT-Visions.de" type String

Abbildung 21.27
Navigation in und
Manipulation der
918
Navigationsmodell
21.11.2 Provider und Laufwerke

Get-Psdrive zeigt an, dass es verschiedene Laufwerk-Provider gibt. Die Provider
Festplatten gehren zum Provider FileSystem (FS). Microsoft nennt die

Provider Navigation Provider oder Commandlet Provider und will
alle Datenmengen, egal ob flach oder hierarchisch, mit den gleichen Basisverben (Get, Set, New, Remove etc.) behandeln. Sowohl die Menge der Provider als auch die Menge der Laufwerke ist erweiterbar.
In der PowerShell 2.0 sind folgende Laufwerke enthalten:
Windows-Dateisystem (A, B, C, D, E etc.)
Windows-Registrierungsdatenbank (HKCU, HKLM)
Windows-Umgebungsvariablen (env)
Windows-Zertifikatsspeicher (cert)
Funktionen der PowerShell (function)
Variablen der PowerShell (variable)
Aliase der PowerShell (alias)
Abbildung 21.28
Aus der Sicht der
PowerShell sind
Laufwerke auch die
Umgebungsvariablen, die Aliase und
die Registrierungsdatenbankeintrge.
Auch das Active Directory kann man diesem Navigationsparadigma unterwerfen. In den frhen Beta-Versionen der PowerShell war ein Provider
dafr auch enthalten; er hat es aber nicht in die endgltige Version geschafft.
Der Active Directory-Provider ist jetzt aber als Teil der PowerShell Community Extensions (PCSX) [PCE07] verfgbar. In Windows Server 2008 R2
sowie in den optionalen Microsoft Remote Server Administration Tools
(RSAT) fr Windows 7 gibt es ebenfalls einen Provider fr Active Directory.
Die installierten Provider sieht man mit Get-PSProvider.
Provider
Quelle
Laufwerke
Alias
PowerShell 1.0/2.0
Alias
Environment
PowerShell 1.0/2.0
Env
Filesystem
PowerShell 1.0/2.0
A, B, C, D etc.
Function
PowerShell 1.0/2.0
Function
Registry
PowerShell 1.0/2.0
HKLM, HKCU
Variable
PowerShell 1.0/2.0
Variable
Certificate
PowerShell 1.0/2.0
cert
21
Tabelle 21.5: Verfgbare PowerShell-Provider
919
Provider
Quelle
Laufwerke
RSS-Feedstore
PCSX 1.1.1 [CODEPLEX01]
Feed
Assemblycache
Gac
Directoryservices
(NT 4.0-kompatbiler
Name der Domne)
Active Directory
Active Directory-PowerShellModul in Windows Server

2008 R2 bzw. im Microsoft
Remote Server Administration
Tools (RSAT) fr Windows 7
AD:
Internet Information Server
IIS :
PowerShell-Modul WebAdministration in Windows
Server 2008 R2 bzw. im Microsoft Remote Server Administration Tools (RSAT) fr
Windows 7
Microsoft SQL
Server
Microsoft SQL Server 2008
SQLSERVER:
Windows SharePoint Services

oder SharePoint
Portal Server
PowerShell SharePoint
Provider [CODEPLEX02].
(Beliebiger Name)
Tabelle 21.5: Verfgbare PowerShell-Provider (Forts.)
21.11.3 Navigationsbefehle
Zur Navigation stehen folgende Befehle zur Verfgung:
Tabelle 21.6
Navigationsbefehle
Commandlet Aliase
Beschreibung
Get-ChildItem
dir, ls
Auflisten der Elemente
Get-Cwd
cd, pwd
Wechsel des Standorts
Get-Content
type, cat
Abruf eines Elementinhalts
New-Item
mkdir
Erstellen eines Elements (Ast oder Blatt)
Get-Location
Set-Location
Abrufen des aktuellen Standorts

Cd
Festlegung des aktuellen Standorts
21.11.4 Pfadangaben
Es gibt zahlreiche Commandlets, die Untersttzung bei der Navigation in
PowerShell-Laufwerken bieten.
Test-Path
920
Test-Path prft, ob es einen Pfad gibt. Das Ergebnis ist True oder False
(System.Boolean).
Navigationsmodell
Test-Path c:\temp
Test-Path HKLM:\software\IT-Visions
Resolve-Path lst Platzhalter in Pfadangaben auf und gibt den resultierenden Pfad als ein Objekt vom Typ System.Management.Automation.PathInfo
Resolve-Path
zurck.
Ein Punkt (.) steht fr das aktuelle Verzeichnis.
Zwei Punkte (..) stehen fr das bergeordnete Verzeichnis.
Die Tilde (~) steht fr das Profilverzeichnis des aktuellen Benutzers
Abbildung 21.29
Einsatz von
Resolve-Path
Viele Commandlets geben Pfadangaben des Typs System.Management.

Automation.PathInfo aus. Um dies in eine einfache Zeichenkette (die aller-
Convert-Path
dings dann providerspezifisch ist) umzusetzen, steht das Commandlet

Convert-Path zur Verfgung.
21.11.5 Eigene Laufwerke definieren

Das Navigationsmodell der PowerShell erlaubt die Definition eigener New-PSDrive
Laufwerke, die dann als Abkrzung verwendet werden knnen.
Der folgende Befehl definiert ein neues Laufwerk Demo: als Alias fr
einen Dateisystempfad:
New-PSDrive -Name Demo -PSProvider FileSystem -Root "h:\demo\ps\"
21
Danach kann man mit

Dir demo:
auf den Pfad zugreifen.

Das neu definierte Laufwerk funktioniert nur innerhalb der PowerShell und ist nicht in sonstigen Windows-Anwendungen verfgbar.
Genau genommen funktioniert das neue Laufwerk sogar nur innerhalb der aktuellen Instanz der PowerShell. Zwei PowerShell-Fenster
teilen sich nicht solche Deklarationen!
921
Auch fr die Registrierungsdatenbank kann man solche Abkrzungen

definieren:
New-PSDrive -Name Software -PSProvider Registry -Root HKLM:\SOFTWARE\
Microsoft\Windows\CurrentVersion\Uninstall
Die Anzahl der Laufwerke ist im Standard auf 4096 beschrnkt. Dies kann
durch die Variable $MaximumDriveCount gendert werden.
21.12 PowerShell Language (PSL)

PSL
Neben der Commandlet-Infrastruktur bietet die PowerShell auch eine

eigene Skriptsprache. Die PowerShell Language (PSL) kennt nicht nur
Variablen, sondern auch bliche Programmkonstrukte wie Schleifen und
Bedingungen. In der PSL kann man komplexe Befehlsabfolgen definieren
und diese zu Skripten zusammenfassen.
Inspiration durch
andere Sprachen
Microsoft greift dabei nicht auf eine bestehende Skriptsprache zurck,

sondern hat sich fr die Neuschpfung nach eigenen Worten inspirieren
lassen von Unix-Shell-Sprachen, PERL, PHP, PYTHON und C#. Folglich
verwendet die Sprache geschweifte Klammern; Semikola braucht man
jedoch als Befehlstrenner nicht.
21.12.1 Hilfe zu der PowerShell-Sprache

Get-Help
Die Sprachkonstrukte der PowerShell sind genauso wie die PowerShellCommandlets in einfachen, rein textbasierten Hilfedokumenten erklrt, die
mit der PowerShell installiert werden. Die Hilfedokumente zu den Sprachkonstrukten beginnen mit dem Wort About, z.B. liefert der Befehl
Get-Help About_for
Hilfe zur for-Schleife.

Der Befehl
Get-Help About
zeigt eine Liste aller About-Dokumente.
21.12.2 Befehlstrennung
Pipe und
Semikolon
Jede Zeile ist ein Befehl. Ein Befehl kann aus mehreren Commandlets
bestehen, die durch das Pipesymbol (|) getrennt sind. Man kann mehrere Befehle durch ein Semikolon (;) getrennt in eine Zeile setzen. Man
kann Semikola auch wie in C++ und C# am Ende jeder Zeile verwenden
man muss es aber nicht.
Wenn sich ein Befehl ber mehrere Zeilen erstrecken soll, kann man am
Ende einer Zeile mit einem Hochkomma (`) bewirken, dass die nchste
Zeile mit zum Befehl hinzugerechnet wird.
gps | `
format-list
922
PowerShell Language (PSL)
21.12.3 Kommentare
Kommentare werden durch ein # gekennzeichnet:
# Kommentar
21.12.4 Variablen
Variablen werden mit einem $ gekennzeichnet. Variablenbezeichner (der Untypisierte
Name der Variable) kann aus Buchstaben und Zahlen sowie einem Unter- Variablen
strich bestehen. Nicht erlaubt sind Namen, die bereits vordefinierten
Variablen zugewiesen wurden, insbesondere nicht der Name "$_".
Variablen sind entweder untypisiert:
$a = 5
oder typisiert auf einen PowerShell-Grundtyp oder eine beliebige .NET- Typisierte
Variablen
Klasse:
$a = [int] 5
$a = [System.DateTime] "1.8.1972"
Als Typbezeichner knnen alle .NET-Klassennamen verwendet werden

sowie einige vordefinierte Typbezeichner der PowerShell. Beispielsweise
sind [int], [System.Int32] und [int32] vllig gleichbedeutend. [int] ist
der eingebaute PowerShell-Typbezeichner fr Ganzzahlen mit 32 Bit
Lnge. Dieser Typ wird abgebildet auf die .NET-Klassen [System.Int32].
Dieser Name kann wiederum mit [int32] abgekrzt werden. Wie viel
man tippen mchte, ist also Geschmackssache.
Das Voranstellen des Typnamens
[int] $a = 5
bewirkt, dass die Variable nur Daten dieses Typs aufnehmen kann,
und entspricht damit der klassischen Typisierung in Hochsprachen
wie C++, Java und C#.
Auf welchen Typ eine Variable explizit oder implizit typisiert wurde, kann
man durch den Ausdruck GetType().FullName ermitteln. Da jede PowerShell-Variable eine Instanz einer .NET-Klasse ist, besitzt jede PowerShellVariable die Methode GetType(), die jedes .NET-Objekt von der Mutter aller
.NET-Klassen (System.Object) erbt.
21
$b = [System.DateTime] "1.8.1972"
"$b hat den Typ: " + $b.GetType().Fullname
Die PowerShell kennt zahlreiche vordefinierte Variablen (die Tabelle zeigt

nur eine Auswahl).
923

Tabelle 21.7
Vordefinierte
PowerShell-Variablen (Auswahl)
Variable
Bedeutung
$true
Wert "wahr"
$false
Wert "falsch"
$OFS
Trennzeichen fr die Ausgabe von Objektmengen
$Home
Heimatverzeichnis des angemeldeten Benutzers
$PSHome
Installationsverzeichnis des PowerShell-Hosts
$Args
Parameter (zur Verwendung in Funktionen)
$Input
Aktueller Inhalt der Pipeline (zur Verwendung in Funktionen)
$_
Aktuelles Objekt der Pipeline (zur Verwendung in Schleifen)
$StackTrace
Aktuelle Aufrufreihenfolge
$PSHost
Informationen ber den PowerShell-Host
$LastExitCode
Rckgabewert der zuletzt ausgefhrten externen

Windows- oder Konsolenanwendung
$Error
Komplette Liste aller aufgetretenen Fehler seit Start der

PowerShell (maximal gespeicherte Anzahl ist durch
$MaximumErrorCount festgelegt)
Beispiel
Ein Beispiel zum Einsatz von $OFS:
Der Befehl
$OFS="/" ; [string] ("a","b","c")
liefert die Ausgabe:

a/b/c
21.12.5 Zahlen
Zahlen knnen in der PowerShell entweder als einfache Zahlen, als Formeln oder als Wertebereiche angegeben werden. Hexadezimalzahlen
knnen durch ein vorangestelltes 0x ausgedrckt (z.B. 0Xff = 255) und
dann verwendet werden wie Dezimalzahlen (z.B. 0Xff+1 = 256).
Abbildung 21.30
Zahlen in der
PowerShell
Bei der Zuweisung eines Zahlenliterals zu einer ungetypten Variablen

erzeugt die PowerShell im Standard eine Instanz des Typs System.Int32.
Reicht der Wertebereich von Int32 nicht aus, werden Int64 oder Decimal
erzeugt. Wenn das Zahlenliteral eine gebrochene Zahl ist (mit einem Punkt
924
zur Trennung der Nachkommastellen), dann erzeugt die PowerShell Double

oder Decimal.
Mchte man Kontrolle ber den Datentyp der Variablen, muss man die
Variable explizit typisieren, z.B. mit [Byte] oder [Decimal]. Fr Decimal
gibt es eine weitere Mglichkeit, indem man ein d an das Literal
anhngt (z.B. 5.1d).
# Implicit Integer
$i = 5
$i.GetType().Name
# Implicit Long
$i = 5368888888888888
$i.GetType().Name
# Implicit Decimal
$i = 53688888888888888888888888888
$i.GetType().Name
# Explicit Long
[Int64] $l = 5
$l.GetType().Name
# Explicit Byte
[Byte] $b = 5
$b.GetType().Name
# Implicit Double
$d = 5.1
$d.GetType().Name
# Implicit Decimal
$d = 5.1d
$d.GetType().Name
# Explicit Decimal
[Decimal] $d = 5.1
$d.GetType().Name
Beim expliziten Typisieren kann man wahlweise die PowerShell-Typen [int]

und [long] oder die korrespondierenden .NET-Klassennamen [int32] und
[int64] verwenden.
21
Mit den Krzeln KB, MB und GB knnen die Maeinheiten Kilobyte, Megabyte und Gigabyte zugewiesen werden, z.B. steht 5MB fr die Zahl 5242880
(5 * 1024 * 1024).
Diese Maeinheiten gelten ab PowerShell 1.0 RC2. Vorher wurden die
Krzel M, K und G verwendet.
925
21.12.6 Zeichenketten
Zeichenketten sind in der PowerShell Instanzen der .NET-Klasse System.String. Sie werden begrenzt durch Anfhrungszeichen oder '@ @'.
Die letzte Variante, die auch Zeilenumbrche erlaubt, nennt Microsoft
Here-String.
Listing 21.5
Beispiel fr einen
Here-String
[Zeichenketten.ps1]
#Here-String
@'
Eine lange Zeile
kann in spezielle
Begrenzer
verpackt werden
'@
In beiden Fllen drfen die Zeichenketten Variablen enthalten, die automatisch aufgelst werden.
Listing 21.6
Beispiel fr eine
Variablenauflsung
in einer Zeichenkette
[Zeichenketten.ps1]
$a = 10
$b= "Der aktuelle Wert ist $a!"
Write-Warn $b
Bei der Parameterbergabe an Commandlets sind Zeichenketten nur in

Anfhrungszeichen zu schreiben, wenn die Parameterabgrenzung
sonst nicht mehr klar wre, also wenn ein Leerzeichen darin vorkommt.
Bearbeitungsmglichkeiten
Zeichenkettenbearbeitung
Fr Zeichenketten in der PowerShell stehen alle Bearbeitungsmglichkeiten der Klasse System.String in der PowerShell zur Verfgung.
Folgende Methoden stehen zur Verfgung (siehe auch Abbildung 21.31):
Clone
CompareTo
Contains
CopyTo
EndsWith
Equals
IndexOf
IndexOfAny
Insert
LastIndexOf
LastIndexOfAny
Length
PadLeft
PadRight
Remove
926

Replace
Split
StartsWith
Substring
ToCharArray
ToLower
ToLowerInvariant
ToString
ToUpper
ToUpperInvariant
Trim
TrimEnd
TrimStart
Abbildung 21.31
Methoden der Klasse
System.String
Das folgende Beispiel zeigt folgende Zeichenkettenoperationen:

Umwandlung in Grobuchstaben
Einfgen eines Textes
Extrahieren eines Textteils als einzelne Zeichen
# Umwandlung in Grobuchstaben
$a = "Dr. Schwichtenberg"
$a.ToUpper()
$b
Beispiel
Listing 21.7
Beispiel fr die
Vernderung von
Zeichenketten
# Einfgen eines Textes

$a = $a.Insert(4, "Holger ")
$a
# Extrahieren eines Textteils
$c = $a[4..9]
$c
927
21

Abbildung 21.32
Ausgabe des obigen
Skripts
21.12.7 Datum und Uhrzeit

Get-Date
Das Commandlet Get-Date liefert eine Instanz der .NET-Klasse System.

DateTime, die das aktuelle Datum und die aktuelle Uhrzeit enthlt.
Get-Date
Die Anzeige reduziert man wie folgt auf das Datum:

Get-date -displayhint date
Die Anzeige reduziert man so auf die Zeit:

Get-date -displayhint time
Get-Date kann auch dazu genutzt werden, ein spezielles Datum zu erzeu-
gen und dieses in einer Variablen zu speichern:

$a = Get-date "8/1/1972 12:11:10"
Die Differenz zwischen dem aktuellen Datum und einem in einer Variablen gespeicherten Datum errechnet man durch den Aufruf der Methode
Subtract():
(Get-Date).Subtract((Get-date "8/1/1972 12:11:10"))
oder durch die einfache Verwendung des Minuszeichens:

(Get-Date) - (Get-date "8/1/1972 12:11:10")
Dies fhrt zu folgender Ausgabe:

Days
Hours
Minutes
Seconds
Milliseconds
Ticks
TotalDays
TotalHours
TotalMinutes
TotalSeconds
TotalMilliseconds
:
:
:
:
:
:
:
:
:
:
:
12662
11
56
57
927
10940398179276185
12662,4978926808
303899,949424338
18233996,9654603
1094039817,92762
1094039817927,62
Intern verarbeitet die PowerShell Zeitrume als Instanzen der Klasse

System.TimeSpan. Man kann auch selbst Zeitrume mit dem Commandlet
New-TimeSpan anlegen und mit diesen rechnen, z.B.:
$Dauer = New-TimeSpan -Days 10 -hours 4 -minutes 3 -seconds 50
$jetzt = Get-Date
$zukunft = $jetzt + $Dauer
928
Bei New-TimeSpan kann man die Dauer nur in Tagen, Stunden, Minuten
und Sekunden angeben. Eine Angabe in Monaten oder Jahren ist nicht
mglich.
Die Zeit von einem entfernten System abfragen kann man nicht mit dem
Commandlet Get-Date, sondern nur unter Zuhilfenahme der WMI-Klasse
Win32_Currenttime.
Get-Wmiobject Win32_currenttime -computername E02
Das Ergebnis der Operation ist dann aber kein .NET-Objekt vom Typ System.DateTime
System.DateTime, sondern ein .NET-Objekt vom Typ System.Management
.ManagementObject, das ein WMI-Objekt vom Typ root\cimv2\Win32_LocalTime enthlt.
Die aktuelle Systemzeit setzen kann man mit Set-Date.
21.12.8 Arrays und assoziative Arrays (Hashtable)

Ein Array deklariert man durch die Zuweisung einer durch Kommata Datenfelder
getrennten Wertemenge:
$a = 01,08,72,13,04,76
Das Array kann auch explizit mit [array] deklariert werden:

[array] $b
$b = 1,2,3
Mchte man ein Array mit nur einem Element definieren, muss man die
Liste mit einem Komma beginnen oder das Array explizit deklarieren:
$a = ,"Nur ein Element"
[Array] $a = "Nur ein Element"
Zum Auflisten eines Arrays ist Foreach-Object nicht zwingend notwendig.

Wenn ein Array am Ende der Pipeline steht, wird das Array ausgegeben
(siehe Abbildung 21.33). Das Attribut Count liefert die Anzahl der Elemente
im Array.
[array] $b
$b = 1,2,3
$b.Count
21
Um auf die Elemente zuzugreifen, setzt man einen Index (bei 0 beginnend)
oder einen Indexbereich in eckige Klammern. Der Indexbereich ist durch
zwei Punkte zu trennen, z.B. $a[3..6]. Der Operator += ergnzt ein Element
am Ende eines Arrays (siehe Abbildung 21.33). Das Entfernen von Elementen ist nicht mglich (nur das Umkopieren in ein anderes Array).
929

Abbildung 21.33
Ausgabe eines
Arrays
Zwei Arrays kann man durch den Plus-Operator verbinden:

$DomainControllers = "E01", "E02", "E03"
$MemberServers = "E04", "E05", "E06"
$AllServers = $DomainControllers + $MemberServers
$AllServers.Count # Ergebnis: 6 !
Mehrdimensionale Arrays sind mglich, indem man die Elemente mit

runden Klammern zusammenfasst. In dem folgenden Beispiel entsteht
ein zweidimensionales Array. Die Elemente der ersten Dimension enthalten jeweils Arrays mit drei Elementen. Auch hier kann man mit dem PlusOperator die Menge ergnzen.
$DomainControllers = ("E01", "192.168.1.10", "Building 1"), ("E02",
"192.168.1.20", "Building 2"), ("E03", "192.168.1.30", "Building 3")
"Number of Computers: " + $DomainControllers.Count
"IP Address of Computer 2: " + $DomainControllers[1][1] # 192.168.1.20
"Building of Computer 2: " + $DomainControllers[1][2] # Building 3
$DomainControllers += ("E04", "192.168.1.40", "Building 4")
"Building of Computer 4: " + $DomainControllers[3][2] # Building 4
Neben den Arrays untersttzt die PowerShell auch benannte Elementmengen in Form sogenannter Hashtables. In einer Hashtable werden die
Elemente nicht durch die Position, sondern einen eindeutigen Bezeichner
identifiziert. Dieses Konzept existiert auch in anderen Sprachen und wird
dort oft assoziatives Array genannt. Das zugrunde liegende Basiskonzept ist die .NET-Klasse System.Collections.Hashtable.
Bei der Definition einer Hashtable ist das @-Zeichen zu verwenden, gefolgt
von der Elementmenge in geschweiften Klammern. Die einzelnen Elemente sind durch Semikola zu trennen. Jedes Element besteht aus einem
Elementnamen und einen Elementwert, wobei Elementname und Elementwert durch ein Gleichheitszeichen zu trennen sind. Der Elementname darf
nicht in Anfhrungszeichen stehen. Mchte man den Datentyp explizit
angeben, ist [Hashtable] zu verwenden.
930

# Implicit Hashtable
$Computers = @{ E01 = "192.168.1.10"; E02 = "192.168.1.20"; E03 =
"192.168.1.30"; }
# Explicit Hashtable
[Hashtable] $Computers = @{ E01 = "192.168.1.10"; E02 =
"192.168.1.20"; E03 = "192.168.1.30"; }
Auf eine solche Hashtable kann man nicht nur wie bei den einfachen
Arrays ber die Notation mit eckigen Klammern zugreifen, sondern auch
direkt ber den Punkt-Operator. Dies macht die Arbeit mit Hashtables
sehr elegant:
# Get IP Address of Computer E02
$Computers["E02"]
$Computers.E02
Man kann die Elemente auch direkt beschreiben.

# Change on Element
$Computers.E02 = "192.168.1.21"
Sehr komfortabel ist, dass beim Beschreiben eines bisher nicht existierenden Elements das Element neu angelegt wird. Auf diese Weise kann man
auch eine Hashtable schrittweise anlegen, d.h., mit einer leeren Liste starten. Eine leere Hashtable wird ausgedrckt durch @{ }.
# Add a new Element
$Computers.E04 = "192.168.1.40"
# Start with an empty list
$MoreComputers = @{ }
$MoreComputers.E05 = "192.168.1.50"
$MoreComputers.E06 = "192.168.1.60"
$MoreComputers.Count # Result = 2
Zwei Hashtables kann man verbinden wie zwei Arrays. Dies funktioniert
aber nur, wenn in beiden Listen zusammen jeder Elementname nur einmal vorkommt. Falls es Duplikate gibt, wird ein Fehler erzeugt, und das
Ergebnis ist eine leere Menge.
# Add two Hashtables
$AllComputers = $Computers + $MoreComputers
$AllComputers.Count # Result = 6
21
Hashtables kann man nicht nur fr echte Listen, sondern auch zur einfachen Definition eigener Datenstrukturen verwenden, z.B. um Informationen ber eine Person zu speichern.
# Use a Hashtable as a custom data structure
$Author = @{ Name="Dr.Holger Schwichtenberg"; Age=35;
Country="Germany" }
$Author.Name
$Author.Age
$Author.Country
931
21.12.9 Operatoren
Die Windows PowerShell untersttzt die elementaren arithmetischen
Operatoren +, -, *, /und % (Modulo-Operation alias Divisionsrest). Das
Pluszeichen verwendet man sowohl zur Addition von Zahlen als auch
Verkettung von Zeichenketten. Sogar Mengen (Array, Hashtables) kann
man verbinden. Auch der Stern (*) fr die Multiplikation hat noch andere
Bedeutung: Sowohl eine Zeichenkette als auch ein Array kann man multiplizieren. Dadurch werden die Zeichen bzw. Elemente so oft wiederholt
wie angegeben. In der Natur einer Hashtable liegt, dass man die Elemente nicht vervielfachen kann, da dies zu doppelten Elementnamen
fhren wrde, was nicht erlaubt ist.
# Multiply a string
$String = "abcdefghijklmnopqrstuvwxyz"
$LongString = $String * 20
"Count: " + $LongString.Length # = 520
# Multiply an Array
$a = 1,2,3,4,5
$b = $a * 10
"Count: " + $b.Count # = 50
Als Zuweisungsoperator wird das Gleichheitszeichen verwendet. Interessant sind Kreuzzuweisungen, mit denen auf elegante Weise die Inhalte
zweier Variablen vertauscht werden knnen. Normalerweise braucht
man dafr eine Zwischenvariable. In der PowerShell kann man aber einfach schreiben $x, $y = $y, $x (siehe Abbildung 21.34).
Abbildung 21.34
Kreuzzuweisung
zur Variableninhaltsvertauschung
in der PowerShell
Ein interessanter Operator ist auch das kaufmnnische Und. Damit kann
man eine Zeichenkette als einen Befehl ausfhren. Dies ist eine Mglichkeit, dynamischen und selbstmodifizierenden Programmcode zu schreiben.
Dazu ein Beispiel:
$What = "Process"
& ("Get-"+$What)
Die obige Befehlsabfolge fhrt zur Ausfhrung des Commandlets "GetProcess". Nun knnte man den Inhalt der Variablen $What auch aus einer
anderen Quelle, z.B. einer Benutzereingabe, bekommen.
Alternativ kann man statt des Operators & auch das Commandlet InvokeExpression verwenden:
$What = "Process"
invoke-expression("Get-"+$What)
932
Unbedingt zu beachten ist, dass dynamische Codeausfhrung ein

Sicherheitsrisiko birgt, wenn man Benutzereingaben direkt in den Befehlen verarbeitet. Man knnte meinen, dass in dem obigen Beispiel das
Risiko beschrnkt ist, weil immer der Get-Befehl ausgefhrt wird.
$What = "Process; get-Service"
invoke-expression("Get-"+$What)
21.12.10 Kontrollkonstrukte
Als Kontrollstrukturen kennt die PowerShell-Skriptsprache die folgen- Schleifen, Bedingungen und
den Konstrukte:
if (Bedingung) {...} else {...}
Unterroutinen
switch ($var) { Wert: {...} }

while(Bedingung) { ... }
do { ... } while (Bedingung)
do { ... } until (Bedingung)
foreach ($var in $menge) {...}
function name {...}
break
continue
return
exit
trap Fehlerklasse { ... } else { ... }
throw "Fehlertext"
throw Fehlerklasse
Details zu den Befehlen finden Sie in der Hilfe zur PowerShell. Hier
wird zugunsten anderer Inhalte auf eine detaillierte Darstellung verzichtet.
# Schleifen von 1 bis 5
"for"
for ($i = 1; $i -lt 6; $i++) { $i }
21
"Foreach"
$i = 1,2,3,4,5
foreach ($z in $i) { $z }
"While:"
$i = 0
while($i -lt 5)
{ $i++
$i
}
933

#Bedingungen
if ($i -lt 10)
{ "Kleiner als 10" }
else
{ "grsser als 10" }
switch ($i)
{
1 {"eins"}
5 {"fnf"}
10 {"zehn"}
}
Listing 21.8
Beispiele fr Kontrollkonstrukte
#Fehlerbehandlung
unsinn
trap [System.Exception]
{ "Es ist ein Fehler aufgetreten: "+ $_ ; break }
"Scriptende"
21.13 PowerShell-Skripte
Befehlsabfolgen knnen als PowerShell-Skripte im Dateisystem abgelegt
und spter (unbeaufsichtigt) ausgefhrt werden. Diese Skripte sind reine
Textdateien und haben die Dateierweiterung .ps1. Die Zahl 1 steht dabei
fr die Version 1.0 der PowerShell. Microsoft hat in Hinblick auf die
Langlebigkeit vieler Skripte vorgesehen, dass verschiedene Versionen der
PowerShell auf einem System koexistieren knnen.
21.13.1 Beispiel
Das nachstehende Listing zeigt ein Skript, das eine Hierarchie von
Schlsseln in der Registrierungsdatenbank ablegt. Dabei wird absichtlich
die einfache Addition von Zahlen in eine Unterroutine gekapselt, um die
Rckgabe von Werten an den Aufrufer mit der return-Anweisung zu zeigen. Literale und Ausdrcke, die ohne Commandlet im Skript enthalten
sind, werden an der Konsole ausgegeben.
Listing 21.9
Ein PowerShellSkript zur Manipulation der Registrierungsdatenbank
[regkeys.ps1]
########################################
# PowerShell-Script
# Das Script legt eine Schlsselhierarchie in der
# Registrierungsdatenbank an.
# (C) Dr. Holger Schwichtenberg
########################################
# === Unterroutine, die eine Addition ausfhrt
function Addition
{
return $args[0] + $args[1]
}
934
PowerShell-Skripte
# === Unterroutine, die einen Schlssel in der Registrierungsdatenbank
anlegt
function CreateEntry
{
"Eintrag anlegen..."
New-Item -Name ("Eintrag #{0}" -f $args[0]) -value $args[1] -type String
}
# === Hauptroutine
"PowerShell-Registrierungsdatenbank-Script (C)
Dr. Holger Schwichtenberg 2006"
# Navigation in die Registrierungsdatenbank
cd hklm:\software
# Prfe, ob Eintrag \software\IT-Visions vorhanden
$b = Get-Item IT-Visions
if ($b.childName -eq "IT-Visions")
{ # Lsche vorhandenen Eintrag mit allen Unterschlsseln
"Schluessel existiert bereits, loesche..."
cd hklm:\software
del IT-Visions -force -recurse
}
# Erzeuge neuen Eintrag "IT-Visions"
"Erzeuge IT-Visions..."
md IT-Visions
cd IT-Visions
# Lege Unterschlssel an
for($a=1;$a -lt 5;$a++)
{
$ergebnis = Addition $a $a
CreateEntry $a $ergebnis
}
21.13.2 Start eines Skripts

Jeffrey Snover, der magebliche Architekt der Windows PowerShell,
nannte als Top-Sicherheitsfunktion der Windows PowerShell die Tatsache, dass man ein PowerShell-Skript nicht durch Doppelklick auf das
Symbol in Windows starten kann. Grundstzlich knnte man diese Startart definieren, sie ist aber nicht im Standardumfang der PowerShellInstallation enthalten. Ein PowerShell-Skript wird gestartet durch Eingabe des Namens mit oder ohne Dateierweiterung bzw. mit oder ohne ein
vorangestelltes Commandlet in der PowerShell-Konsole:
21
Softwareinventar3 oder
Softwareinventar3.ps1 oder
&Softwareinventar3.ps1 oder
Invoke-Expression Softwareinventar3.ps1
935
Alternativ kann man ein PowerShell-Skript aus dem normalen WindowsKommandozeilenfenster durch eine Verknpfung aus dem WindowsDesktop oder als Anmeldeskript starten, indem man powershell.exe voranstellt:
powershell.exe Softwareinventar3
Fr PowerShell-Skripte gelten hinsichtlich der Benutzerkontensteuerung (User Account Control UAC) die gleichen Einschrnkungen
und Lsungen wie fr WSH-Skripte. Bitte lesen Sie fr weitere Informationen das Kapitel 19 ber den Windows Script Host (WSH).
21.13.3 Sicherheitsfunktionen fr PowerShellSkripte

Die bisherige Active-Scripting-Architektur im Internet Explorer, in Outlook und im Windows Script Host (WSH) hatte mit Sicherheitsproblemen
zu kmpfen. Laut der Dokumentation ist die PowerShell in der Grundeinstellung eine sichere Umgebung [MS88]. Dass nicht jedes beliebige
Skript zur Ausfhrung gebracht werden kann, zeigt sich, wenn man versucht, die PowerShell-Konsole nicht nur interaktiv, sondern zum Start
eines Skripts zu verwenden. Die Standardausfhrungsrichtlinie (Execution Policy) lsst berhaupt keine Skripte zu.
Abbildung 21.35
Die Skript-ausfhrung muss man in
der PowerShell erst
explizit aktivieren.
Sicherheitsrichtlinien
Set-Executionpolicy
Ein Benutzer kann die Shell zunchst nur interaktiv verwenden, bis er die
Ausfhrungsrichtlinie mit dem Commandlet Set-Executionpolicy auf eine
niedrigere Sicherheitsstufe herabsetzt:
Modus AllSigned: Nur signierte Skripte starten und signierte Skripte
von nicht vertrauten Quellen starten auf Nachfrage.
Modus RemoteSigned: Eine vertraute Signatur ist nur fr Skripte aus
dem Internet (via Browser, Outlook, Messenger) erforderlich; lokale
Skripte starten auch ohne Signatur.
Modus Unrestricted: Alle Skripte laufen.
Unrestricted sollte man nicht whlen, weil dies bsen Skripten, die z.B.
als E-Mail-Anhnge bermittelt werden, die Tr ffnen wrde. Wenn man
sich nicht die Arbeit mit digitalen Signaturen machen will, ist die Option
936
PowerShell-Skripte
RemoteSigned ein Kompromiss. Noch vor dem endgltigen Erscheinen

der PowerShell gab es die ersten angeblichen PowerShell-Viren. Diese
waren aber nur eine Bedrohung, wenn man sie explizit gestartet hat (siehe
[MSSec01]).
Die Sicherheitsrichtlinie wird in der Registrierungsdatenbank auf Systemoder Benutzerebene abgespeichert im Schlssel HKEY_CURRENT_USER\
Software\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell\ExceutionPolicy bzw. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PowerShell\
1\ShellIds\Microsoft.PowerShell\ExceutionPolicy.
Abbildung 21.36
Persistierung der
Sicherheitsrichtlinien in der Registrierungsdatenbank
Bitte beachten Sie, dass durch die Speicherung in der Registrierungsdatenbank die Sicherheitsrichtlinie unter Windows 7 nur gendert werden kann, wenn die PowerShell-Konsole unter vollen Rechten luft.
Skripte signieren
Im Unternehmenseinsatz sollte man digitale Signaturen verwenden. Zum Set-AuthentiSignieren von Skripten bietet die Shell das Commandlet Set-Authenticode- codeSignature
Signature. Um ein Skript zu signieren, mssen Sie die folgenden Schritte
ausfhren:
Wenn Sie kein digitales Zertifikat zum Signieren von Code besitzen,
legen Sie sich ein Zertifikat an (z.B. mit dem Kommandozeilenwerkzeug makecert.exe).
Lassen Sie sich Ihre eigenen Windows-Zertifikate in der PowerShellKonsole auflisten:
dir cert:/currentuser/my
Ermitteln Sie die Position des Zertifikats, das Sie verwenden wollen,
und speichern Sie dieses Zertifikat in einer Variablen (Achtung: Die

Zhlung beginnt bei 0!):
$cert = @(dir "cert:/currentuser/my/")[1]
Signieren Sie das Skript:
Set-AuthenticodeSignature Softwareinventar3.ps1 $cert
937
21

Abbildung 21.37
Signieren eines
PowerShell-Skripts
Wenn Sie nun

Set-AuthenticodeSignature AllSigned
eingeben, sollte das von Ihnen signierte PowerShell-Skript laufen, alle

anderen Skripte aber nicht.
Falls die PowerShell beim Start des Skripts noch einmal nachfragt, ob Sie
das Skript wirklich laufen lassen wollen, dann bedeutet dies, dass das
Skript zwar von jemandem signiert ist und Sie die Zertifizierungsstelle,
die das Zertifikat ausgestellt hat, in Ihrer Stammzertifizierungsstelle kennen, aber Sie diesem Skriptautor noch nicht explizit vertrauen. Durch die
Option Always Run wrde der Skriptautor unter die Vertrauenswrdigen Herausgeber in die Zertifikatsverwaltung aufgenommen werden.
Abbildung 21.38: Nachfrage beim Skriptstart
21.13.4 PowerShell-Skripte als Commandlets

verwenden
Funktionsbasierte
Commandlets
938
Es gibt eine sehr einfache Mglichkeit, um eigene Commandlets zu erstellen und damit die Fhigkeiten der PowerShell zu erweitern: Eine in der
PowerShell-Sprache geschriebene Funktion in einem PowerShell-Skript
PowerShell-Skripte
kann wie ein Commandlet verwendet werden. Solche Commandlets heien funktionsbasierte Commandlets.
Ein funktionsbasiertes Commandlet besteht aus folgenden Teilen:
Mindestens eine in der PowerShell-Sprache geschriebene Funktion,
deren Name wie ein Commandlet aus Verb und Substantiv aufgebaut ist
Eine Liste von Parametern
Ein Unterblock mit dem Namen begin, der einmalig zu Beginn der
Verarbeitung des Commandlets ausgefhrt wird
Ein Unterblock process, der fr jedes Objekt in der Pipeline ausgefhrt wird. Process wird bei leerer Pipeline genau einmal aufgerufen.
Ein Unterblock end, der einmalig zum Ende der Verarbeitung ausgefhrt wird
Beispiel Das folgende funktionsbasierte Commandlet ist zunchst nur
ein Test, um die Wirkungsweise eines solchen Commandlets zu demonstrieren. In jeder der drei Phasen macht das Commandlet eine Ausgabe. In
process wird fr jedes Objekt in der Pipeline der Typ ausgegeben. Das
Commandlet besitzt einen Parameter. Der Skriptcode besteht neben der
Definition der Methode mit den drei Verarbeitungsschritten aus zwei
freien Befehlen, die bei der Installation ausgefhrt werden: einer AliasDefinition und einer Meldung fr die erfolgreiche Installation.
Der folgende Programmcode muss in einer PowerShell-Skriptdatei abgespeichert werden. Dann muss diese PowerShell-Datei mit einer speziellen
Operation in die Shell eingebunden werden. Die Operation besteht aus
dem Operator "." und dem vollstndigen Pfad zur Skriptdatei, z.B.:
. H:\demo\PS\Test-pipeline.ps1
Danach kann das funktionsbasierte Commandlet wie ein normales Commandlet mit oder ohne Parameter und mit oder ohne Pipeline-Inhalt aufgerufen werden:
Test-pipeline "Hello Welt!"
Test
get-process a* | Test-pipeline
Die dem Listing folgende Bildschirmabbildung zeigt die Reaktion der

Shell auf die obigen drei Anweisungen.
21
Wichtig ist, dass das Skript nach jeder nderung am Quelltext des
Skripts neu in die PowerShell eingebunden werden muss.
#
#
#
#
--------------------------------------------------------------------
Author:
Dr. Holger Schwichtenberg
Description: Demo for a function based Commandlet
Usage:
This file contains a function-based Commandlet.
In order to use
#
it, you must include the file into your shell:
#
PS> . c:\bin\Test-Pipeline.ps1
Listing 21.10
Definition eines
funktionsbasierten
Commandlets [TestPipeline.ps1]
939

# Date:
09/25/2006
# Website:
http://www.Windows-Scripting.com/PowerShell
# -------------------------------------------------------------------# Function
function Test-Pipeline {
param([string[]]$Parameter)
begin {
if ($Parameter)
{ "Commandlet starts with Parameter " + $Parameter + "..." }
else
{ "Commandlet starts without Parameter..." }
}
process {
if ($_)
{
"Commandlet receives a pipeline objekt of type " + $_.GetType()
}
else
{"The Pipeline is empty!"
}
}
end {
"Commandlet ends..."
}
}
# Define alias for function
Set-Alias test test-pipeline
# Confirm installation
"Function-based Commandlet Test-Pipeline (alias: Test) successfully
installed!"
Abbildung 21.39
Beispiel zur Installation und
Ausfhrung des
funktionsbasierten
Commandlets TestPipeline
940
PowerShell-Skripte
Das obige Commandlet Test-Pipeline dient der Veranschaulichung

des Grundprinzips funktionsbasierter Commandlets, bietet aber in der
Praxis nur einen geringen Wert. In Kapitel 22.16 zur Active DirectoryAutomatisierung mit der PowerShell werden Sie einen funktionalen funktionsbasierten Verzeichnisdienst kennenlernen.
21.13.5 Commandlets fr Skriptausfhrung

Ein PowerShell-Skript kann man eine Zeit lang anhalten. Die Zeit bemisst Start-Sleep
sich in Millisekunden oder Sekunden.
So wartet das Skript zehn Millisekunden:
Start-Sleep -m 10
So wartet das Skript zehn Sekunden:

Start-Sleep -s 10
21.13.6 Skripte einbinden

Man kann Skripte in andere einbinden. Wenn in dem eingebundenen
Skript freie Befehle, also Befehle enthalten sind, die nicht Teil einer Funktion sind, dann werden diese Befehle sofort ausgefhrt. Deklarierte Funktionen werden nicht ausgefhrt, stehen aber dem einbindenden Skript und
den folgenden eingebundenen Skripten zur Verfgung.
Die Einbindung erfolgt mit dem Punkt-Operator (.). Es kann ein relativer
oder ein absoluter Pfad angegeben werden.
# Demo User Management
. ("H:\demo\PowerShell\Benutzer\Localuser_Create.ps1")
. ("H:\demo\PowerShell\Benutzer\LocalGroup.ps1")
. ("H:\demo\PowerShell\Benutzer\Localuser_Delete.ps1")
21.13.7 Fehlerbehandlung
Listing 21.11
Beispiel fr ein
PowerShell-Skript,
das nur daraus
besteht, andere
Skripte einzubinden
und damit aufzurufen
Die Windows PowerShell unterscheidet zwischen Fehlern, die unbedingt

ein Ende der Ausfhrung des Befehls/des Skripts erfordern (Terminating
Error), und Fehlern, die es erlauben, dass die Ausfhrung beim nchsten
Befehl fortgesetzt wird (Non-Terminating Error). Abbrechende Fehler knnen durch Trap-Anweisungen abgefangen werden. Nicht abbrechende
Fehler knnen zu abbrechenden Fehlern gemacht werden.
21
Trap fngt aufgetretene abbrechende Fehler ab und fhrt den angegebenen

Code aus. $_ enthlt dann Informationen zu dem Fehler in Form einer
Instanz von System.Management.Automation.ErrorRecord. Das Unterobjekt
$_.Exception ist der eigentliche Fehler in Form einer Instanz einer Klasse,
die von System.Exception erbt. ber $_.Exception.GetType().FullName erhlt
man den Fehlertyp, durch $_.Exception.Message den Fehlertext.
941

Break oder Continue entscheiden, ob das Skript nach dem Fehler fortgesetzt wird. Das Standardverhalten ist Continue. Mit Exit kann ein definiti-
ves sofortiges Skriptende herbeigefhrt werden.

Mit dem folgenden Beispiel knnen Sie selbst das Fehlerverhalten der
PowerShell testen und mit den verschiedenen Reaktionsmglichkeiten
experimentieren. Der Fehler wird aufgelst durch den Aufruf Copy-Item
mit falschem Pfad (ein nicht abbrechender Fehler) und Get-Dir (das Commandlet gibt es nicht, ein abbrechender Fehler).
Listing 21.12
TrapDemo1.ps1
# Beispiel zum Testen von Fehlerabfangen

trap {
Write-Host ("### ABGEFANGENER FEHLER: " + $_.Exception.Message)
#Write-Error ("Fehler: " + $_.Exception.Message)
#continue
#break
#exit
#throw "test"
}
"Beispiel zum Testen von Fehlerabfangen"
"Erst geht alles gut..."
copy g:\daten\lieferanten c:\temo\Daten
"Dann luft es nicht mehr so gut (falscher Pfad)"
copy g:\daten\lieferanten k:\daten\lieferanten
"Und dann folgt Unsinn (falsches Commandlet)"
Get-Dir k:\daten\lieferanten
"Ende des Scripts"
Tabelle 21.8
Verhalten der
PowerShell im Fehlerfall bei der Verwendung von Trap
942
Trap
Reaktion
Nicht vor- PowerShell zeigt Fehlermeldungen fr Copy-Item ("drive does

not exists") und Get-Dir ("not recognized as a cmdlet, function,
handen
program oder script file") und setzt die Ausfhrung bis zum
Ende fort.
PowerShell-Skripte
Trap
Reaktion
Vorhanden,
nur mit
WriteHost
Es erscheint fr den abbrechenden Fehler zustzlich zu der

PowerShell-Fehlermeldung auch der eigene Fehlertext aus
dem Trap-Block.
Vorhanden, mit
continue
Es erscheint fr den abbrechenden Fehler nur der eigene

Fehlertext aus dem Trap-Block.
Vorhanden, mit
break
Nach dem abbrechenden Fehler erscheinen der eigene Fehlertext und dann die Fehlermeldung der PowerShell. Danach
bricht das Skript ab (d.h., die Ausgabe "Ende des Skripts"
wird nicht mehr erzeugt).
Vorhanden, mit
exit
Nach dem abbrechenden Fehler erscheint der eigene Fehlertext. Dann bricht die Ausfhrung sofort ab.
21
Die Mglichkeiten werden noch vielfltiger, weil jedes einzelne Commandlet ber den Parameter ErrorAction (kurz ea) zudem bestimmen
kann, wie mit Fehlern umgegangen werden soll:
943

Stop: Der Fehler wird ausgegeben, und die Ausfhrung bricht ab.
(Alle Non-Terminating-Fehler werden damit zu Terminating-Fehlern.)

Continue: Der Fehler wird ausgegeben, und die Ausfhrung wird
fortgesetzt.
SilentlyContinue: Der Fehler wird nicht ausgegeben, und die Ausfh-
rung wird fortgesetzt.

Inquire: Der Benutzer wird gefragt, ob er die Ausfhrung trotz des
Fehlers fortsetzen mchte.

Alle mglichen Kombinationen von ErrorAction und Trap durchzuspielen, wrden den Rahmen dieses Buchs sprengen. Daher im Folgenden
nur ausgewhlte Flle.
Die Anwendung von ErrorAction hat nur Auswirkung auf existierende Commandlets. Das in dem Beispiel verwendete, nicht vorhandene Commandlet "Get-Dir" kann darauf nicht reagieren.
Trap
ErrorAction
Reaktion
Nicht vor- -ErrorAction

handen
silentlycontinue
Es erscheint keine Fehlermeldung mehr fr den Pfadfehler bei

Copy-Item. Weiterhin wird das Problem mit Get-Dir gemeldet.
Vorhanden, mit
continue
Er erscheinen berhaupt keine Standardfehlermeldungen der

PowerShell mehr, sondern nur noch die benutzerdefinierte Meldung aus dem Trap-Block fr das nicht existierende Commandlet.
-ErrorAction
silentlycontinue
Tabelle 21.9: Verhalten der PowerShell im Fehlerfall bei der Verwendung von Trap und -ErrorAction
944
PowerShell-Skripte
Trap
ErrorAction
Reaktion
Nicht vor- -ErrorAction stop

handen
Die Ausfhrung bricht mit einer PowerShell-Fehlermeldung

nach dem ersten nicht ausfhrbaren Copy-Befehl ab.
Vorhanden, mit
continue
Fr beide Fehler erscheint nur der eigene Fehlertext aus dem

Trap-Block.
-ErrorAction stop
Tabelle 21.9: Verhalten der PowerShell im Fehlerfall bei der Verwendung von Trap und -ErrorAction
Das war aber immer noch nicht alles, was die PowerShell in Sachen Fehlerbehandlung zu bieten hat:
ber die globale eingebaute Variable $ErrorActionPreference kann
man das Standardverhalten fr ErrorAction fr alle Commandlets
setzen. Dies ist in der Standardeinstellung Continue.
$Error enthlt die gesamte Geschichte der aufgetretenen Fehler in
Form von Objekten, die zu Fehlerklassen gehren, z.B. System.
Management.Automation.CommandNotFoundException.
Trap-Blcke knnen durch Angabe eines Fehlertyps in eckigen Klammern auf bestimmte Fehlerarten beschrnkt werden. Daher kann es
mehrere Trap-Blcke in einem Skript geben.
Mit Throw kann man innerhalb und auerhalb von Trap-Blcken beliebige eigene Fehler erzeugen. Throw erzeugt einen abbrechenden Fehler der Klasse System.Management.Automation.RuntimeException. Man
kann aber auch eine andere Fehlerklasse in eckigen Klammern angeben. Die angegebene Klasse muss von System.Exception abgeleitet
sein.
21
throw "Fehlertext"
throw [System.ApplicationException] "Fehlertext"
945
21.14 Eingabe
Read-Host
Texteingaben vom Benutzer kann man durch Read-Host entgegennehmen.

PS C:\Documents\hs> $name = read-host "Bitte Benutzernamen eingeben"
Bitte Benutzernamen eingeben: HS
PS C:\Documents\hs> $kennwort = read-host -assecurestring
"Bitte Kennwort eingeben"
Bitte Kennwort eingeben: ****
Grafischer Eingabedialog Ein einfaches Eingabefeld stellt die bereits aus
Visual Basic/VBScript bekannte Funktion InputBox() dar. Diese Funktion
existiert auch im .NET Framework noch in der Klasse Microsoft.
Visual-Basic.Interaction. Zur Nutzung der Funktion muss erst die Assembly
Microsoft.VisualBasic.dll geladen werden.
Listing 21.13
Einfache grafische
Dateneingabe in der
PowerShell
[System.Reflection.Assembly]::LoadWithPartialName("Microsoft.Visual Basic")
$eingabe = [Microsoft.Visual Basic.Interaction]::InputBox
("Bitte geben Sie Ihren Namen ein!")
"Hallo $Eingabe!"
Abbildung 21.40
Start des PowerShell-Skripts aus der
PowerShellIDE
heraus
MessageBox
Dialogfenster Fr Dialogfenster kann man auf .NET-Klassen zurckgrei-
fen. Das folgende Skript bittet den Anwender durch ein Dialogfenster um
eine Entscheidung (Ja/Nein):
Listing 21.14
Nutzung der Klasse
MessageBox in der
PowerShell
[System.Reflection.Assembly]::LoadWithPartialName("System.windows.forms")
[System.Console]::Beep(100, 50)
[System.Windows.Forms.MessageBox]::Show("Gleich kommt eine
Frage","Vorwarnung", [System.Windows.Forms.MessageBoxButtons]::OK)
$antwort =
[System.Windows.Forms.MessageBox]::Show("Nachricht","Ueberschrift",
[System.Windows.Forms.MessageBoxButtons]::YesNo)
if ($antwort -eq "Yes")
{ "Sie haben zugestimmt!" }
else
{ "Sie haben abgelehnt!" }
21.15 Anbindung an
Klassenbibliotheken
Nutzung von
Klassen
946
Die Version 1.0 der PowerShell enthlt sehr viele Commandlets fr die Pipelining-Infrastruktur, aber nur sehr wenige Befehle, die tatschlich Bausteine
Anbindung an Klassenbibliotheken
des Betriebssystems in die Pipeline werfen. Prozesse, Systemdienste,

Dateien, Zertifikate und Registrierungsdatenbankeintrge sind die magere
Ausbeute beim ersten Blick in die Commandlet-Liste. Zwei Commandlets
erffnen der PowerShell aber neue Dimensionen: New-Object (fr .NET- und
COM-Objekte) und Get-Wmiobject (fr WMI-Objekte).
Die Option, nicht nur alle WMI-Klassen, sondern auch alle .NET-Klassen direkt benutzen zu knnen, ist Segen und Fluch zugleich. Ein Segen,
weil dem Skriptentwickler damit mehr Mglichkeiten als jemals zuvor
zur Verfgung stehen. Ein Fluch, weil nur der Skriptentwickler die
PowerShell-Entwicklung richtig beherrschen kann, der auch das .NET
Framework kennt. Um die Ausmae von .NET zu beschreiben, sei die
Menge der Klassen genannt. In .NET 2.0 waren es 5684, in .NET 3.0 sind
es schon 8714.
21.15.1 WMI-Klassen
Get-Wmiobject erffnet die Welt der Windows Management Instrumenta-
Get-Wmiobject
tion (WMI), die in den modernen Windows-Betriebssystemen fast jeden

Baustein des Betriebssystems objektorientiert anbietet.
Zugriff auf Objektmengen

Ein Befehl der Form
Get-Wmiobject WMIKlassenname
liefert alle Instanzen der angegebenen WMI-Klasse (sofern es die WMIKlasse auf dem lokalen System gibt).
Beispiel:
# Name und Treiberdatei fr alle VideoController in diesem Computer
Get-Wmiobject Win32_VideoController
liefert alle installierten Grafikkarten.

Dies ist eine Kurzform fr
Get-Wmiobject class Win32_VideoController
Sofern die Klasse nicht im Standardnamensraum "root\cimv2" liegt, muss

man den Namensraum mit dem Parameter Namenraum explizit benennen:
21
Get-Wmiobject IISwebserver -Namespace root\microsoftIISv2
Zugriff auf die WMI-Objekte eines anderen Systems hat man (Administ- Zugriff auf entfernte Systeme
ratorrechte vorausgesetzt!) durch den Parameter Computer:
Get-Wmiobject -class Win32_VideoController -computer E02
In allen oben genannten Fllen erhlt man obwohl es ja blicherweise nur

eine Grafikkarte gibt eine lange Liste. Dies sind die zahlreichen Eigenschaften der WMI-Klassen Win32_Videocontroller (siehe Abbildung 21.41).
947

Abbildung 21.41
Eigenschaften der
Klasse Win32_
VideoController
Auch eine Ausgabe mit dem Commandlet Format-Table hilft nicht. Dies
macht die Ausgabe zwar krzer, aber viel breiter. Gut wre es, das resultierende Objekt mit Select-Object auf die interessanten Eigenschaften zu
beschneiden:
Get-Wmiobject Win32_VideoController | Select-Object
name,installeddisplaydrive
rs
Das folgende Listing zeigt weitere Beispiele zum Einsatz von GetWmiobject.
Listing 21.15
Beispiele fr die
Anwendung von
Get-Wmiobject
# Name und freie Bytes auf allen Laufwerken

Get-Wmiobject Win32_LogicalDisk | Select-Object deviceid,freespace
# Name und Domain der Benutzerkonten, deren Kennwort niemals verfllt
Get-Wmiobject Win32_Account | Where-Object {$_.Kennwortexpires -eq 0 }
| Select-Object Name,Domain
Zugriff auf Mitglieder von WMI-Klassen

Auf die Attribute und auch auf die Methoden von WMI-Klassen kann man
zugreifen wie auf die Mitglieder von .NET-Klassen. Die PowerShell abstrahiert von der Metaobjektmodell-Implementierung in der .NET-Klasse
System.Management.ManagementObject. Der komplizierte Zugriff auf das Attribut Properties und die Methode Invokemethod() ist daher nicht notwendig.
Fr den Zugriff auf statische Klassenmitglieder muss man ber [WMICLASS] auf die Klasse zugreifen. Anders als beim Zugang zu statischen
Mitgliedern in .NET-Klassen gibt es zu den Instanzmitgliedern keinen
Unterschied, d.h., es ist nur der einfache Punkt zur Trennung zu verwenden:
[WMIClass] "Win32_Product").Install("c:\name.msi")
948
WQL-Abfragen
Abfragen in der Windows Management Instrumentation Query Language
(WQL) kann man seit der RC2-Version mit dem Parameter Query ausfhren. Der folgende Befehl selektiert alle Netzwerkkarten, in denen die Zahlen 802 im Netzwerkkartentyp vorkommen.
Get-WmiObject -query "Select * from Win32_Networkadapter where
adaptertype like '%802%'" | select adaptertype,description
Alternativ kann man auch diese Abfrage mit dem PowerShell-Typ

[WmiSearcher] ausfhren:
([WmiSearcher] "Select * from Win32_Networkadapter where adaptertype
like '%802%'").get()| select adaptertype,description
Abbildung 21.42
Ausfhrung einer
WMI-Abfrage
Vordefinierte Ausgabe
Fr viele WMI-Klassen ist in der types.ps1xml-Datei festgelegt, welche types.ps1xml
Attribute ausgegeben werden. Fr Win32_Videocontroller gibt es eine solche Festlegung nicht; daher werden alle Attribute ausgegeben. Die folgenden Bildschirmabbildungen zeigen aber die Wirkung der Deklarationen fr Win32_CDRomDrive.
Abbildung 21.43
Standardausgabe
des Befehls GetWmiobject Win32_
CDRomDrive
Abbildung 21.44
Festlegung der
auszugebenden
Attribute fr die
WMI-Klasse
Win32_CDRomDrive
949
21
Ermittlung der Mitglieder des WMI-Objekts

Get-Member
Die Menge der verfgbaren Attribute und Methoden ermittelt man wieder
mit Get-Member. Obwohl die Mitglieder einer WMI-Klasse (z.B. Win32_
Videocontroller) nicht auch gleichzeitig Mitglieder der die WMI-Klasse verpackenden .NET-Metaklasse (System.Management.ManagementObject) sind, listet Get-Member dennoch die Mitglieder aus beiden Abstraktionsebenen auf.
Fr die Darstellung des Typnamens hat die PowerShell eine eigene Notation,
bei der die Metaklasse durch die Raute (#) von der WMI-Klasse getrennt
wird, z.B.:
System.Management.ManagementObject#root\cimv2\Win32_VideoController
Abbildung 21.45
Ermittlung der
Mitglieder einer
WMI-Klasse
Filtern
-filter
Das Commandlet Get-Wmiobject bietet die Mglichkeit, schon beim Abruf

die Objekte zu filtern. Der Filter ist nach dem Parameter -Filter in einer
Zeichenkette anzugeben.
Beispiel: Alle Benutzerkonten aus der Domne ITV:
Get-Wmiobject Win32_account -filter "domain='itv'"
950
Zugriff auf einzelne Objekte

Um auf ein bestimmtes WMI-Objekt gezielt zuzugreifen, kann man bei Einzelobjekte
Get-Wmiobject den Filter benutzen und sich dabei auf die Primrschlssel
beziehen.
Fr die Klasse Win32_Account sind der Kontoname (Name) und der Domnenname (Domain) zusammen der Primrschlssel. Der folgende Befehl
legt also nur maximal ein Objekt in die Pipeline.
Get-Wmiobject Win32_Account -filter "name='hs' and domain='itv'"
Klassen, von denen es sowieso nur immer eine Instanz geben kann, lassen
sich ohne Filter aufrufen:
Get-Wmiobject win32_Computersystem
Get-Wmiobject win32_Operatingsystem
Abbildung 21.46
Win32_Computersystem und Win32_
Operatingsystem
gibt es sowieso
immer nur einmal
im WMI-Repository.
WMI-Pfade
Bis PowerShell 1.0 RC1 galt, dass man keine WMI-Pfade verwenden
konnte. Dies hat sich mit RC2 gendert. Ab der RC2-Version untersttzt
die PowerShell auch WMI-Pfade mit den eingebauten PowerShell-Typen
[WMI] und [WMIClass].
[WMI]'\\E01\root\cimv2:Win32_PingStatus.Address="E02"'
ist gleichbedeutend mit

Get-Wmiobject -computer E01 Win32_PingStatus -filter 'Address="E02"'
21
und gleichbedeutend mit

New-Object System.Management.ManagementObject '\\E01\root\cimv2:Win32_
PingStatus.Address="E02"'
Der letzte Befehl instanziiert mit New-Object die .NET-Metaklasse System.

Management.ManagementObject fr WMI-Klassen und bergibt dieser Klasse
im Konstruktor einen WMI-Pfad.
951
Bei der Verwendung der Typbezeichner [WMI] und [WMIClass] wird hufig bersehen, den Pfadnamen zu klammern, wenn dieser zusammengesetzt wird.
Falsch:
$Computer = "E01"
[WMI] "\\" + $Computer + "\root\cimv2:Win32_
PingStatus.Address='E02'"
Richtig:
$Computer = "E01"
[WMI] ("\\" + $Computer + "\root\cimv2:Win32_
PingStatus.Address='E02'")
Liste aller WMI-Klassen

Zugriff auf das
WMI-Repository
Eine Liste aller verfgbaren WMI-Klassen auf einem System erhlt man
mit dem Parameter List. Eine Klasse darf dabei nicht angegeben werden.
Get-wmiobject list
Wenn nichts angegeben wird, wird immer der Namensraum "root\cimv2"

verwendet. Man kann einen Namensraum auch explizit angeben:
Get-Wmiobject -list -Namespace root/cimv2/Anwendungs/microsoftIE
Man kann auch auf das WMI-Repository eines bestimmten Computers

zugreifen, da die Menge der Klassen vom Betriebssystem und den installierten Anwendungen abhngig ist.
Get-Wmiobject -list -Computer E02
Instanziieren von WMI-Klassen

Viele WMI-Klassen sind so gestaltet, dass zum Anlegen neuer Systemelemente eine Instanz der Klasse erzeugt wird. Dafr werden auf Klassenebene statische Methoden angeboten mit Namen Create(), vgl. Bildschirmabbildung fr die Klasse Win32_Share.
Anders als bei .NET-Objekten macht die PowerShell bei WMI keine syntaktischen Unterschiede zwischen statischen Methoden und Instanzmethoden,
d.h., es ist immer nur der einfache Punkt-Operator zu verwenden (in .NETObjekten ist der doppelte Doppelpunkt fr statische Methoden zu verwenden). Bei WMI zu beachten ist nur, dass mit dem PowerShell-Typ [WMIClass]
auf den WMI-Pfad der WMI-Klasse, nicht einer konkreten Instanz verwiesen wird.
Das folgende Beispiel zeigt das Anlegen einer Freigabe mit Standardrechten. Die Vergabe von Rechten ist ein komplexeres Thema, das spter noch
behandelt wird.
952
Abbildung 21.47: Methoden der Klasse Win32_Share

# Create Win32_Share
$class = [WMIClass] "ROOT\CIMV2:Win32_Share"
$Access = $Null
$R = $class.Create($pfad, $Sharename, 0, 10, $Comment, "", $Access)
if ( $R.ReturnValue -ne 0) { Write-Error "Fehler beim Anlegen: "+
$R.ReturnValue; Exit}
"Freigabe wurde angelegt!"
Listing 21.16
New-ShareWithoutPermissions.ps1
21.15.2 .NET-Klassen
Mit New-Object kann der Administrator jede beliebige Klasse aus der New-Object
.NET-Klassenbibliothek (oder eine COM-Klasse, siehe nchstes Kapitel)
instanziieren und sich von den Methoden dieser Klassen Objekte liefern
lassen. Auch andere .NET-Bibliotheken kann man damit nutzen.
21
Ein fundamentaler Unterschied zwischen Get-WmiObject und NewObject ist, dass Get-WmiObject alle bestehenden Instanzen einer WMIKlasse holt (z.B. alle Prozesse), whrend New-Object eine neue Instanz
erzeugt. Die Semantik von Get-WmiObject ist fr COM- und .NETObjekte nicht mglich, da es dort jeweils kein zentrales Verzeichnis fr
Instanzen gibt. In WMI gibt es dafr das WMI-Repository. Wie man in
COM- und .NET-Klassen eine Liste aller Instanzen erhlt, ist vom Aufbau der jeweiligen Klassen abhngig und kann daher in der PowerShell nicht allgemein ausgedrckt werden.
953

Abbildung 21.48
Instanziierung eines
COM-Objekts in der
PowerShell
Die PowerShell bietet eine besondere Behandlung fr WMI (System

.Management), ADSI (System.DirectoryServices) und ADO.NET (System
.Data). Objekte aus diesen Bibliotheken werden ber Objektadapter
dem Nutzer vereinfacht dargestellt. Collaboration Data Objects (CDO)
zum Zugriff auf Microsoft Exchange werden aber auch in PowerShell
2.0 noch nicht besonders untersttzt.
Abbildung 21.49
Die PowerShell-IDE
bietet Eingabeuntersttzung fr .NETKlassennamen nach
New-Object.
Parameterbehaftete Konstruktoren
Konstruktoren
Ein Konstruktor ist der Programmcode, der in der Klasse beim Instanziieren des Codes aufgerufen wird. .NET-Klassen knnen in den Konstruktoren Parameter erwarten. Diese kann man mit oder ohne runde Klammern
nach dem Klassennamen angeben:
$o = new-object System.Directoryservices.DirectoryEntry("LDAP://E02")
oder
$o = new-object System.Directoryservices.DirectoryEntry "LDAP://E02"
Statische Mitglieder in .NET-Objekten/statische .NET-Klassen

Statische Mitglieder und Klassen
954
.NET-Klassen besitzen das Konzept der statischen Mitglieder (Klassenmitglieder), die man aufrufen kann, ohne eine Instanz zu erzeugen. Einige dieser Klassen sind auch statische Klassen, d.h., sie haben nur statische Mit-
glieder. Solche Klassen besitzen keinen Konstruktor. Folglich kann man das
Commandlet New-Object auf statische Klassen nicht anwenden.
# Das geht nicht:
#(New-Object System.Console).Beep(100,50)
Fr diesen Fall gibt es in der PowerShell ein anderes Konstrukt, bei dem
man den .NET-Klassennamen in eckige Klammern setzt und dann den
Namen des Mitglieds mit zwei Doppelpunkten abtrennt. Der folgende
Befehl nutzt die statische Methode Beep() in der statischen Klasse System.
Konsole zur Ausgabe eines Tons:
[System.Console]::Beep(100, 50)
Laden von Assemblies

.NET-Klassen knnen ber New-Object und die Notation in eckigen Klam- Assembly::Loadmern nur genutzt werden, wenn die Softwarekomponente (Assembly), in WithPartialder sie sich befinden, auch geladen ist. Die PowerShell ldt einige Assem- Name()
blies automatisch. In anderen Fllen muss man das Laden der Assembly
ber die Klasse System.Reflection.Assembly erst anstoen. Um ein Dialogfenster auszugeben, muss man daher erst die System.Windows.Forms.dll
laden. Da sich diese Assembly im sogenannten Global Assembly Cache
(GAC) von .NET befindet, muss man keinen Pfad dahin angeben.
[System.Reflection.Assembly]::LoadWithPartialName("System.windows.forms")
[System.Windows.Forms.MessageBox]::Show("Text","Ueberschrift",
[System.Windows.Forms.MessageBoxButtons]::OK)
Anstelle der Notation mit eckigen Klammern kann man auch den eingebauten PowerShell-Typ [Type] verwenden, der auf Basis einer Zeichenkette ein .NET-Typobjekt erzeugt. Damit kann man das obige Beispiel
auch so schreiben:
([Type]
"System.Reflection.Assembly")::LoadWithPartialName("System.Windows.
Forms")
$msg = [Type] "System.Windows.Forms.MessageBox"
$msg::Show("test")
Objektanalyse
21
Mithilfe des Commandlets Get-Member, das in Teil eines des Tutorials schon Get-Member
zur Analyse von Pipeline-Inhalten verwendet wurde, kann man brigens
auch den Inhalt einer Variablen analysieren, die eine Objektinstanz erhlt.
Zu beachten ist dabei nur, dass das Objekt entweder in einer Pipeline an GetMember zu schicken (also $Variable | Get-Member) oder aber der Parametername InputObject zu verwenden ist (Get-Member InputObject $Variable).
Nicht nur Get-Member, sondern den meisten Commandlets ist es egal, ob
sich in der Pipeline eine Objektmenge oder ein einzelnes Objekt befindet.
955
21.15.3 COM-Klassen
Bei der Instanziierung von COM-Klassen kommt ebenfalls das Commandlet New-Object zum Einsatz. Dem Namen der COM-Klasse ist aber der Parameter comobject (kurz: -com) vorauszustellen. Als Name ist der Programmatic Identifier (ProgID) aznzugeben. Die COM-Klasse muss auf dem
lokalen System in der Registrierungsdatenbank verzeichnet sein. NewObject entspricht CreateObject() in Visual Basic/VBScript.
Das folgende Beispiel zeigt den Aufruf der Methode GetTempName() aus
der COM-Klasse Scripting.FileSystemObject. Diese Methode liefert einen
Namen fr eine temporre Datei.
Listing 21.17
com.ps1
$fso = New-Object -com "scripting.filesystemobject"

$fso.GetTempName()
Mit dem zweiten Skript ffnet man den Internet Explorer mit einer
bestimmten Seite:
Listing 21.18
com.ps1
$ie = New-Object -com "InternetExplorer.Application"

$ie.Navigate("http://www.powershell-doktor.de")
$ie.Visible = $true
Ein direktes quivalent fr das GetObject() aus VB/VBScript, mit dem

man ein bestehendes Objekt aktiviert, gibt es nicht. Hier gibt es nur die
Mglichkeit, die Assembly fr Visual Basic .NET zu laden und die dortige
Methode GetObject() zu nutzen.
Das folgende Beispiel zeigt ein Word-Dokument in Microsoft Word auf
dem Bildschirm an und schreibt einen Text in das Dokument:
Listing 21.19
com.ps1
$doc = [microsoft.visualbasic.interaction]::GetObject
("C:\temp\ManuScript.doc")
$doc.application.visible = $true
$doc.application.selection.typetext("Erfolgreicher Start von Word!")
21.16 Fehlersuche
Zur Fehlersuche bieten alle Commandlets einheitliche Parameter.
Einheitliche
Parameter
Mit den Parametern -Verbose und -Debug erhlt der Administrator mehr
Ausgaben als normal.

Mit -Confirm verlangt er, dass alle nderungsaktionen per Nachfrage
rckbesttigt werden mssen.

Wer ganz sichergehen will, lsst mit WhatIf die Aktion vor der tat-
schlichen Ausfhrung simulieren.

Bei der Verwendung von WhatIf beim Commandlet Stop-Service listet die
PowerShell detailliert auf, welche Dienste Windows aufgrund von
Dienstabhngigkeiten tatschlich anhlt.
Hilfreich ist -WhatIf auch, wenn man einen Befehl mit Platzhalter absetzt.
Die folgende Abbildung zeigt, welche Dienste stoppen wrden, wenn
man Stop-Service *sql* ausfhren wrde.
956
PowerShell-Werkzeuge
Abbildung 21.50: Operationen mit Platzhaltern knnen schlimme Konsequenzen

haben whatif zeigt, welche Dienste betroffen wren.
Protokollierung
Protokollinformationen sendet die Shell in ein eigenes Windows-Ereig- Set-PsDebug,
nisprotokoll mit Namen PowerShell. Mit dem Commandlet Set-PsDebug Trace-Command
kann man Skripte schrittweise durchlaufen.
Zeitmessung
Das Commandlet Measure-Command liefert die Angabe, wie lange ein Befehl MeasureCommand
zur Ausfhrung braucht in Form eines TimeSpan-Objekts.
Beispiel:
Measure-Command { Get-Process | Foreach-Object { $_.ws } }
Ablaufverfolgung Mit dem Commandlet Set-TraceSource kann man eine
Ablaufverfolgung aktivieren, die detaillierte Informationen ber jeden
Verarbeitungsschritt liefert. Get-TraceSource listet alle berwachbaren
Protokollquellen auf. Im Standard sind es 176. Damit wird die Komplexitt des Themas deutlich, das den Rahmen dieses Buchs sprengen wrde.
Beim Experimentieren mit Set-TraceSource knnen Sie schnell zu

einem Punkt kommen, wo Sie vor lauter Protokollausgaben die eigentlichen Aktionen nicht mehr sehen. Um die Protokollierung wieder zu
deaktivieren, verwendet man Set-TraceSource mit dem Parameter
-RemoveListener.
21.17 PowerShell-Werkzeuge
Dieses Kapitel bespricht die von Microsoft gelieferte PowerShell-Konsole
sowie ntzliche Werkzeuge anderer Anbieter.
Microsoft liefert auch keinen Editor fr PowerShell-Skripte. Hier ist PrimalScript und
Raum fr Drittanbieter, und die aus dem WSH-Zeitalter bekannten Platz- PowerShell IDE
hirsche Sapien (PrimalScript) und ScriptInternals (SystemScripter) liefern
bereits entsprechende Editoren. Mit Karl Prosser ist auch ein neues
Gesicht im Skript-Editor-Markt erschienen.
21.17.1 PowerShell-Konsole
Aus den ursprnglichen Ankndigungen, die PowerShell-Konsole mit Eingabefenster
IntelliSense auszustatten, ist nicht viel geworden. Die PowerShell-Kon-
957
21
sole bietet etwas mehr Eingabeuntersttzung als das DOS-Kommandozeilenfenster, vom Komfort eines Visual Studio ist die PowerShell-Konsole in der Version 1.0 aber weit entfernt.
Dies bedeutet:
Gre und Aussehen des Fensters knnen ber die Eigenschaften
gesteuert werden (siehe Abbildung 21.51).
Die Zwischenablage steht genauso umstndlich wie zuvor nur ber
das Men zur Verfgung (siehe Abbildung 21.52) bzw. den sogenannten
Quick Edit Mode. Die Tastenkombinationen (STRG) + (C)/(X)/(V)
funktionieren nicht.
Befehls- und Pfadeingaben sowie Objektattribute knnen mit der
Tabulator-Taste vervollstndigt werden.
Ein Rcksprung zu den letzten 64 Befehlen (Anzahl nderbar) ist
mglich.
Abbildung 21.51
Fenstereigenschaften fr das PowerShell-Konsolenfenster
Abbildung 21.52
Nutzung der
Zwischenablage im
PowerShell-Konsolenfenster
958
Tabulatorvervollstndigung
Die PowerShell kennt eine bereits im DOS-Kommandozeilenfenster ver- Tab
fgbare Funktion auch fr Commandlets, Parameter und Objektattribute. Completion
Im DOS-Kommandozeilenfenster kann man nach Eingabe eines oder
mehrerer Buchstaben durch die erreichbaren Dateien und Unterverzeichnisse mit der Tabulator-Taste () durchlaufen (in der Entwicklersprache
Tab Completion genannt). In der PowerShell funktioniert das auch bei
den Commandlets, deren Parametern und den Attributen von Objekten
in der Pipeline (siehe Abbildung 21.53).
Abbildung 21.53
Eingabe des Wortanfangs
Abbildung 21.54
Nach dem Drcken
der Tabulatortaste
erscheint die erste
Alternative.
Abbildung 21.55
Nach nochmaligem
Drcken erscheint
die zweite Alternative.
Benutzerkontensteuerung Die Windows PowerShell unterliegt wie alle
anderen Anwendungen auch der Benutzerkontensteuerung (ab Windows Vista) und wird daher unter eingeschrnkten Rechten gestartet. Um
die PowerShell mit vollen Rechten zu starten, knnen Sie im Kontextmen die Funktion Als Administrator ausfhren whlen. Danach wird
Windows 7 um die Besttigung der Rechteerhhung bitten (siehe Bildschirmabbildung).
Abbildung 21.56
Zustimmung zur
Rechteerhhung der
PowerShell
21
Anders als die normale Windows Shell zeigt die PowerShell danach nicht
durch einen Eintrag in der Titelleiste an, dass sie nun unter administrativen Rechten luft.
959
Um in der Titelleiste der PowerShell-Konsole den Rechtestatus anzuzeigen und ggf. weitere Anpassungen der Anzeige vorzunehmen, wie
man dies in der folgenden Bildschirmabbildung sieht, kann man sich
ein PowerShell-Profilskript schreiben. Die Erstellung eines solchen
Skripts und das Skript zur Anzeige des Rechtestatus in der Titelleiste
finden Sie in Kapitel 21.18.4.
Abbildung 21.57: Zwei PowerShell-Instanzen mit verschiedenen Rechten
Um bei einer laufenden Konsole ohne Titelanzeige festzustellen, welche

Rechte diese besitzt, knnen Sie das in Windows mitgelieferte Kommandozeilenwerkzeug whoami.exe mit der Option /all verwenden.
21.17.2 PowerShell Integrated Scripting

Environment (ISE)
ISE
Die PowerShell 1.0 bot als einziges Werkzeug zum Eingeben und Ausfhren
von PowerShell-Befehlen und -Skripten die klassische Windows-Konsole.
Ein komfortabler Editor fehlt und rief Drittanbieter auf den Plan, z.B.
PowerShellPlus und PowerGUI. Das PowerShell Integrated Scripting Environment (ISE), in den ersten Alpha-Versionen der PowerShell 2.0 noch Graphical PowerShell genannt, ist nun eine Windows-Anwendung, die einen
Editor und eine Ausfhrungsumgebung fr die PowerShell bereitstellt.
Bereiche
ISE bietet drei Bereiche:

Eingabebereich fr Skripte (Skripteditor): Hier eingegebene Befehle
werden erst ausgefhrt, wenn das Skript explizit gestartet wird.
Eingabebereich fr Einzelbefehle (interaktiver Bereich): Hier eingegebene Befehle werden nach Drcken auf die EINGABE-Taste sofort
ausgefhrt.
Ausgabebereich, der von beiden Eingabereichen verwendet wird
Zum Start der ISE ruft man entweder das Symbol im Startmen, die ausfhrbare Datei PowerShell_ise.exe oder in der PowerShell den Alias ise
auf.
Im Standard startet ISE mit dem Ausgabebereich in der Mitte. Man kann
aber durch das View-Men Einfluss auf die Anordnung nehmen, z.B. den
Skripteditor ausblenden und den interaktiven Eingabebereich nach oben
960
setzen. Eine flexible Fensteranordnung wie in Visual Studio oder dem

SQL Server Management Studio ist hier aber nicht mglich.
Abbildung 21.58: Das ISE mit den drei Bereichen

Unterschiede zur normalen PowerShell-Konsole Es gibt ein paar Unter-
schiede zwischen ISE und der normalen PowerShell-Konsole.

Interaktive klassische Konsolenanwendungen wie ftp.exe werden durch
die ISE nicht untersttzt. Kein Problem gibt es aber mit interaktiven
PowerShell-Commandlets und -Skripten.
Das Blttern in Ausgaben mit more funktioniert nicht.
Man kann die Farbe der Konsole nicht ber die .NET-Klasse [System.
Console] setzen.
21
Nicht mglich ist also:

[console]::BackgroundColor = 'red'
Richtig ist stattdessen die Verwendung des Objektmodells der ISE, das
man ber $psISE erreicht:
$psISE.Options.ScriptPaneBackgroundColor = "red";
Auch der Zugang ber $host.UI.RawUI ist eingeschrnkt. Mglich ist

hierber aber z.B. die Vernderung des Titels:
$host.UI.RawUI.WindowTitle = "Holgers PowerShell IDE".
961
Die ISE hat ein eigenes Startprofilskript: Microsoft.PowerShellISE_

profile.ps1
Abbildung 21.59: Inhalt der eingebauten Variablen $psISE
21.17.3 PowerShellPlus
PowerShellPlus bietet IntelliSense fr Commandlets, Parameter, .NETKlassen und Klassenmitglieder sowohl im Konsolenfenster als auch in
einem Skripteditor.
PowerShell IDE
962
Hersteller:
IDERA & Dr. Tobias Weltner
Preis:
Fr nichtkommerziellen Einsatz kostenlos,

sonst 145 Dollar.
URL:
http://www.powershellplus.com
Ja, Demo-Version
PowerShellPlus bietet zwei Modi:

Im interaktiven Modus werden wie bei der PowerShell-Konsole alle
Befehle sofort ausgefhrt. Der Vorteil bei PSP ist aber, dass Farbhervorhebung und Auswahllisten zur Verfgung stehen. In einem getrennten
Fenster sieht der Nutzer den derzeitigen Zustand aller Variablen.
Im Skriptmodus erfasst der Benutzer ebenfalls mit IntelliSense-Funktionen komplexe Befehlsabfolgen der PowerShell Language, die unter
der Dateierweiterung .ps1 (steht fr PowerShell Version 1.0) gespeichert
und spter gestartet werden knnen.
.ps1 ist die offizielle Dateierweiterung fr PowerShell-Skripte, die auch die
PowerShell-Konsole versteht. Auch die interaktiven Aufzeichnungen kann

der Benutzer abspeichern, in Form von XML-Dateien mit der Dateierweiterung .brain. Dieses Format versteht allerdings nur PowerShellPlus. Auch
der Inhalt des Ausgabefensters kann gesichert werden, indem der Benutzer
auf das Symbol Hardcopy klickt.
Abbildung 21.60
Editieren und
Debuggen von Skripten in PowerShellPlus
21
Sehr interessant ist das Debugging im Skriptmodus. Wie andere moderne

IDEs kennt PowerShell auch Haltepunkte. Das Variables-Fenster zeigt dann
beim Anhalten der Anwendung die aktuell gltigen Werte. Das unter dem
Skriptcode eingeblendete Eingabefenster ermglicht interaktive Abfragen.
963
Noch ist die PowerShell IDE laut Aussage des Autors ein experimenteller Editor. Viele Funktionen, einschlielich der Hilfe und der angedachten Community-Funktionen zum Tausch von Quellcode, sind noch nicht
implementiert. Manchmal gibt es statt der Eingabehilfen auch einen Programmabsturz. Die Arbeit mit der PowerShell IDE ist aber dennoch deutlich komfortabler als die direkte Eingabe an der PowerShell-Konsole.
21.17.4 PowerShell Analyzer

Der PowerShell Analyzer von Karl Prosser bietet gegenber PowerShellPlus noch drei zustzliche Funktionen:
Mehrere getrennte Ablaufumgebungen (sogenannte Runspaces)
Anzeige der Parameterlisten eines Commandlets als Werkzeugtipp
Visualisierung der Objekte in der Pipeline in einer Tabelle (siehe Abbildung 21.59) oder einem Diagramm
Allerdings fehlen auch zwei wichtige Funktionen: die IntelliSense fr Klassen und Klassenmitglieder (siehe Abbildung 21.59) sowie ein Debugger.
PowerShell Analyzer
Hersteller:
Preis:
URL:
Abbildung 21.61: PowerShell Analyzer
964
Karl Prosser
kostenlos
http://www.powershellanalyzer.com
Ja
Sowohl bei PowerShell Analyzer als auch bei PowerShellPlus ist zu

beachten, dass die Werkzeuge ein eigenes Hosting der PowerShell implementieren. Dies bedeutet, dass die Entwicklungsumgebungen zwar den
gleichen Funktionsumfang wie die PowerShell-Konsole haben, jedoch
mit dieser keinen gemeinsamen Deklarationsbereich besitzen. Definitionen von Aliasen, Laufwerken und neuen skriptbasierten Commandlets
betreffen also nur die jeweils aktuelle Ablaufumgebung.
21.17.5 PrimalScript
PrimalScript enthlt Untersttzung fr die Erfassung von PowerShell-Skripten. Bitte besuchen Sie fr weitere Informationen die Website des Herstellers
Sapien.
PrimalScript
Hersteller:
Sapien
Preis:
299 Dollar
URL:
http://www.primalscript.com/
Ja, Demo-Version
21.17.6 PowerShell Help

PowerShell Help ist ein einfaches Werkzeug zur Anzeige von Hilfetexten
zu Commandlets.
PowerShell Help
Hersteller:
Sapien
Preis:
kostenlos
URL:
http://www.primalscript.com/Free_Tools/
index.asp
Ja
21
965

Abbildung 21.62
PowerShell Help fr
PowerShell
21.17.7 PowerTab
PowerTab erweitert die Fhigkeiten der PowerShell-Konsole, dem Benutzer
Vorschlge fr mgliche Befehle durch Drcken der Tabulator-Taste zu
machen. Insbesondere liefert PowerTab Vorschlge fr Mitglieder von .NETKlassen.
PowerTab
Hersteller:
MoW
Preis:
kostenlos
URL:
http://thepowershellguy.com/blogs/posh/
pages/powertab.aspx
Ja
21.17.8 VS Command Shell

VS Command Shell erweitert Visual Studio um ein Befehlsfenster, in dem
man sowohl Windows-Konsolenbefehle (Befehle fr cmd.exe) als auch
PowerShell-Befehle ausfhren kann.
VS Command Shell
966
Hersteller:
Microsoft/Open-Source-Community-Projekt
Preis:
kostenlos
URL:
http://www.codeplex.com/VSCmdShell
Ja
Commandlet-Erweiterungen
21.18 Commandlet-Erweiterungen
Die PowerShell kann sowohl durch neue Commandlets als auch Navigation Provider erweitert werden. Auerdem ist es mglich, die PowerShell
in Anwendungen als Scripting-Umgebung zu integrieren (PowerShellHosting). Die PowerShell stellt dafr vier .NET-Namensrume (System.
Management.Automation, System.Management.Automation.Host, System.Management.
Automation.CmdletProvider und System.Management.Automation.Runspaces) zur
Verfgung.
Die Erstellung von Commandlets ist wahlweise per PowerShell-Skript
(siehe funktionsbasierte Commandlets) als auch ber .NET FrameworkProgrammierung mit einer .NET-fhigen Programmiersprache (blicherweise C# oder Visual Basic .NET) mglich. Durch die Entwicklung einer
Commandlet-Erweiterung mit einer .NET-Sprache entsteht ein PowerShell-Snap-in.
Navigation Provider und PowerShell-Hosting sind nur mglich mit .NETProgrammierung. Damit liegen diese Themen auerhalb des fr dieses Buch
vorgegebenen Rahmens, da hierzu .NET-Programmierkenntnisse erforderlich sind.
Wenn Sie sich an diese Themen heranwagen wollen, sollten Sie sich
zunchst Grundkenntnisse in der .NET-Programmierung erarbeiten (z.B.
mit [SCH07]). Danach sollten Sie die PowerShell-Dokumentation zur
Erweiterbarkeit im PowerShell-SDK lesen und die vier oben genannten
Namensrume in der Dokumentation studieren.
21.18.1 Aktivieren von Snap-ins

Commandlet-Erweiterungen in Form von Snap-ins bentigen zwei Installationsschritte.
Registrieren der DLL (alias Assembly), welche die Commandlets enthlt
installutil.exe ITVisions_PowerShell_Extensions.dll
Das Registrieren fhrt dazu, dass die DLL in der Registrierungsdatenbank unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PowerShell\1\PowerShellSnapIns eingetragen wird.
Hinzufgen des Snap-ins zur PowerShell-Konsole, z.B.:
21
Add-PSSnapin ITVisions_PowerShell_Extensions
Das Commandlet Get-PSSnapIn listet im Normalfall nur die Snap-ins

auf, die bereits der PowerShell mit Add-PSSnapIn hinzugefgt wurden. Darunter findet man auch die Standard-Commandlet-Pakete, die
mit Microsoft.PowerShell.* beginnen (siehe Abbildung 21.63).
967
Abbildung 21.63: Aktive PowerShell-Snap-ins
Mit Get-PSSnapin registered listet man hingegen alle registrierten Snapins auf, unabhngig davon, ob diese aktiv sind in der aktuellen Konsole.
In der folgenden Bildschirmabbildung sieht man die WorldWideWings_
PowerShell_Extensions, die nicht in der Konsole aktiv sind (siehe Abbildung 21.64).
Abbildung 21.64: Alle auf dem System registrierten Commandlets
21.18.2 Aktivieren von PowerShell-Modulen

Module sind Pakete, die PowerShell durch Funktionalitt erweitern. Module
knnen aus Navigationsprovidern, Commandlets, Funktionen, vordefinierten Variablen und Aliasen bestehen. Auch Typformatierungsdateien
(ps1xml) und Dateidateien (z.B. Textdateien, XML-Datei, Datenbankdateien)
knnen enthalten sein.
968
Durch Module knnen Entwickler bzw. Administratoren Funktionalitt

zur Wiederverwendung an andere Personen weitergeben. Der Empfnger muss das Modul importieren und kann die darin enthaltene Funktionalitt dann nutzen wie die Kernfunktionalitt der PowerShell.
Die bereits in PowerShell 1.0 eingefhrten Snap-ins sind .NET-Komponenten (Assemblies), die nur Navigationsprovider und Commandlets enthalten knnen. Module sind ein bergeordnetes Konzept, in dem neben Snapins auch PowerShell-Skripte liegen knnen.
Zum Installieren eines PowerShell-Moduls kopiert man alle Dateien des
Moduls in eines der PowerShell-Modulverzeichnisse. Wichtig ist, dass die
Dateien nicht direkt in dem PowerShell-Modulverzeichnis liegen, sondern
in einem seiner Unterordner.
Falsch:
C:\windows\system32\WindowsPowerShell\v1.0\Modules\
ActiveDirectory.psd1
Richtig:
C:\windows\system32\WindowsPowerShell\v1.0\Modules\ActiveDirectory\
ActiveDirectory.psd1
Der Befehl
Get-Module listAvailable
zeigt alle auf dem System installierten Module. Zur Verwendung eines
Moduls muss dieses aber nicht nur installiert, sondern auch in der aktuellen PowerShell-Sitzung importiert sein.
Zum Importieren eines Moduls nutzt man import-module gefolgt von dem
Modulnamen (aus der Liste der installierten Module), z.B.:
Import-Module activedirectory
21.18.3 Verfgbare Commandlet-Erweiterungen

Einige wichtige Commandlet-Erweiterungen sind:
1. ie PowerShell-Module in Windows 7 und Windows Server 2008 R2
2. PowerShell Community Extensions (PSCX) von Microsoft
3. PowerShell Extensions von www.IT-Visions.de
4. Quest bietet Commandlets zum Active Directory-Scripting.
5. Gruppenrichtlinienverwaltung mit der PowerShell ermglicht die
Firma FullArmor.
6. Commandlets zum Netzwerkmanagement mit der PowerShell bietet
die Firma /n Software.
7. Die Firma PowerGadget bietet unter dem gleichen Namen eine Sammlung von zustzlichen Commandlets zur Visualisierung des Inhalts der
PowerShell-Pipeline.
21
969
PowerShell-Module in Windows 7 und Windows Server 2008 R2

Enthaltene
Module
Windows 7 und Windows Server 2008 Release 2 enthalten Erweiterungsmodule fr die PowerShell, die Sammlungen von Commandlets fr verschiedene Funktionsbereiche darstellen (vgl. allgemeine Einfhrung in
PowerShell-Module in diesem Buch). In Windows Server 2008 Release 2
sind die Module zum Teil erst nach dem Installieren der entsprechenden
Serverrollen bzw. Serverfeatures verfgbar.
In diesem Buch wird nur das Active Directory-Modul besprochen.
Fr eine Besprechung der anderen Module sei auf [SCH10] verwiesen.
PowerShell-Modul
Windows 7
Windows Server
2008 R2
In diesem Buch
beschrieben in
Kapitel ...
Active Directory
Durch Installation der

Microsoft Remote Server
Administration Tools
(RSAT)
Verzeichnisdienste
ADRMS
AppLocker
X
X
BestPractices
BitsTransfer
FailoverClusters
GroupPolicy
Softwareverwaltung
Optimierungen
und Problemlsungen
X
X
Durch Installation der

Microsoft Remote Server
Administration Tools
(RSAT)
NetworkLoadBalancingClusters
PSDiagnostics
Gruppenrichtlinien
X
X
RemoteDesktopServices
ServerManager
Softwareverwaltung
TroubleshootingPack
Optimierungen
und Problemlsungen
WebAdministration
X (nach Installieren des

IIS 7.0 als optionales
Windows-Feature)
Internet Information Services
Tabelle 21.10: PowerShell-Module in Windows 7 und Windows Server 2008 R2
970
Windows PowerShell Community Extensions (PSCX)

Andere Erweiterungen fr die PowerShell findet man unter Windows
PowerShell Community Erweiterungen.
IT-Visions.de PowerShell Extensions
Hersteller:
Microsoft/Open-Source-Community-Projekt
Preis:
Kostenlos
URL:
http://www.codeplex.com/PowerShellCX
Ja, Version 1.1.1
In PSCX-Projekt findet man derzeit u.a. folgende zustzliche Commandlets:

ConvertFrom-Base64
ConvertTo-Base64
ConvertTo-MacOs9LineEnding
ConvertTo-UnixLineEnding
ConvertTo-WindowsLineEnding
Convert-Xml
Disconnect-TerminalSession
Export-Bitmap
Format-Byte
Format-Hex
Format-Xml
Get-ADObject
Get-Clipboard
Get-DhcpServer
Get-DomainController
Get-FileVersionInfo
Get-ForegroundWindow
Get-Hash
Get-MountPoint
Get-PEHeader
Get-Privilege
Get-PSSnapinHelp
Get-Random
Get-ReparsePoint
Get-ShortPath
Get-TabExpansion
Get-TerminalSession
Import-Bitmap
Join-String
New-Hardlink
21
971

New-Junction
New-Shortcut
New-Symlink
Out-Clipboard
Ping-Host
Remove-MountPoint
Remove-ReparsePoint
Resize-Bitmap
Resolve-Assembly
Resolve-Host
Select-Xml
Send-SmtpMail
Set-Clipboard
Set-FileTime
Set-ForegroundWindow
Set-Privilege
Set-VolumeLabel
Split-String
Start-Process
Start-TabExpansion
Stop-TerminalSession
Test-Assembly
Test-Xml
Write-BZip2
Write-Clipboard
Write-GZip
Write-Tar
Write-Zip
Um sich alle Commandlets einer bestimmten Erweiterung auflisten zu

lassen, knnen Sie nach dem Attribut PSSnapIn in der Klasse CmdletInfo
filtern, z.B.:
Get-command | where { $_.pssnapin -like "Pscx*" }

Die PowerShell-Erweiterungen, die von der Firma des Buchautors kostenlos bereitgestellt werden, bieten Funktionen aus den Bereichen
Verzeichnisdienstverwaltung (Get-DirectoryEntry, Get-DirectoryChildren, Add-DirectoryEntry, Remove-DirectoryEntry ...)
Hardwareinformationen (Get-Processor, Get-Memorydevice, Get-NetworkAdapter, Get-CDRomDrive, Get-Videocontroller, Get-USBController ...)
Datenbankzugriff (Get-DataTable, Get-DataRow, Get-DataColumn, SetDataTable, Invoke-SqlCommand ...)
972
Tipps und Tricks

Hersteller:
www.IT-Visions.de
Preis:
Kostenlos
URL:
http://www.dotnetframework.de/scripting/powershell/PowerShellCommandlet
Extensions.aspx
Ja, Version 1.0
Quest Management Shell for Active Directory

Die Firma Quest stellt Commandlets zur Active Directory-Verwaltung
(z.B. Get-QADComputer, Get-QADUser, New-QADObject, Set-QADObject ...) sowie
eine angepasste PowerShell-Konsole (Quest Management Shell for Active
Directory) zur Verfgung.
Abbildung 21.65
Quest Management
Shell for Active
Directory
Quest Management Shell for Active Directory

Hersteller:
Quest
Preis:
Beta-Version kostenlos
URL:
http://www.quest.com/activeroles-server/
arms.aspx
Ja, Beta-Version
21.19 Tipps und Tricks

21
Dieses Kapitel enthlt einige Tipps und Tricks zum Umgang mit der
PowerShell.
21.19.1 Befehlsgeschichte
Die PowerShell-Konsole speichert im Standard die letzten 64 eingegebe- Get-History
nen Befehle in einer Befehlsgeschichte (History). Diese lassen sich mit
Get-History
auflisten.
973
Durch den Parameter Count kann man eine bestimmte Anzahl von Befehlen ansehen (jeweils die letzten n Befehlen werden gezeigt).
Get-History count 10
Einen Befehl aus der Befehlsgeschichte kann man gezielt ber die Position aufrufen:
Invoke-History 9
Die Anzahl der gespeicherten Befehle kann durch die Variable $MaximumHistoryCount erhht werden.
Die Befehlsgeschichte kann man exportieren, entweder als Skriptdatei
oder als XML-Datei. Eine Skriptdatei verwendet man, wenn man die eingegebenen Befehle wieder automatisch in der Reihenfolge der Eingabe
ablaufen lassen wird. Das XML-Dateiformat verwendet man, wenn man
die Befehlsgeschichte einer frheren Sitzung wiederherstellen will, ohne
die Befehle gleichzeitig auch alle auszufhren.
Skriptdatei (.ps1)
XML-Format
Exportieren
Get-History -Count 10 |
format-table commandline
-HideTableHeader | out-file
"c:\meinScript.ps1"
Get-History | Export-CliXml
"b:\Scripte\geschichte.xml"
Importieren
(bzw. Ausfhren)
. "c:\meinScript.ps1"
Import-CliXml
"b:\Scripte\
geschichte.xml" | Add-History
21.19.2 Systeminformationen
Das Commandlet Get-Host liefert Informationen ber die aktuelle PowerShell, insbesondere Name, Versionsnummer und Spracheinstellungen.
Get-Culture und Get-UICulture liefern die Informationen ber die aktuelle
Sprache auch einzeln in Form von Instanzen der .NET-Klasse System.
Globalization.CultureInfo. Get-Culture bezieht sich auf die Ausgaben von
Datum, Uhrzeit und Whrungen (vgl. regionale Einstellungen der Windows-Systemsteuerung). Get-UICulture bezieht sich auf die Sprache der
Benutzeroberflche. In der Regel sind zwar beide Einstellungen gleich,
ein Benutzer kann diese jedoch auch abweichend festlegen.
Abbildung 21.66
Ausfhrung von
Get-Host
974
Tipps und Tricks
21.19.3 Alle Anzeigen lschen

Clear-Host (Alias clear) lscht die Anzeige in der PowerShell-Konsole,
lscht aber nicht die Befehlsgeschichte.
21.19.4 Profileinstellungen fr die PowerShellKonsole

Beim Beenden der PowerShell-Konsole vergisst diese alle Einstellungen
(z.B. definierte Aliase, definierte Funktionen, eingebundene PowerShellProvider und die Befehlsgeschichte). Mithilfe sogenannter Profildateien
kann man der PowerShell-Konsole beim Start ihr Gedchtnis zurckgeben.
Profile sind PowerShell-Skripte mit dem Namen Profile und mit der
Dateinamenserweiterung .ps1.
Eine Profile.ps1 kann es geben auf zwei Ebenen:
Global fr alle Benutzer im PowerShell-Installationsverzeichnis (i.d.R.
C:\WINDOWS\system32\windowspowershell\v1.0)
Benutzerbezogen im Dateisystemverzeichnis (unter Windows 7 normalerweise in c:\Benutzer\(Benutzername)\Dokumente\Windows PowerShell,
auf lteren Systemen unter c:\Dokumente und Einstellungen\(Benutzername)\Eigene Dateien\WindowsPowerShell)
Die PowerShell Extensions (PSCX) legen eine solche Profildatei mit
zahlreichen Einstellungen benutzerbezogen ab.
# -------------------------------------------------------------------------# Author: Keith Hill, jachymko
# Desc: Simple global profile to get you going with PowerShell.
# Date: Nov 18, 2006
# Site: http://www.codeplex.com/PowerShellCX
# Usage: Copy this file to your WindowsPowerShell directory e.g.:
#
# Copy-Item "$Env:PscxHome\Profile\Profile.ps1" (Split-Path $Profile
-Parent)
#
# -------------------------------------------------------------------------# Angepasst von Holger Schwichtenberg, Juli 2007
21
# -------------------------------------------------------------------------# Configure standard PowerShell variables to more useful settings

# -------------------------------------------------------------------------$MaximumHistoryCount = 512
$FormatEnumerationLimit = 100
975

# -------------------------------------------------------------------------# PowerShell Community Extensions preference variables. Comment/uncomment
# or change to suit your preference.
# -------------------------------------------------------------------------$PscxTextEditorPreference = "Notepad"
# -------------------------------------------------------------------------# Dirx/dirs/dirt/dird/dirw functions will specifies -Force with the
value of
# the following preference variable. Set to $true will cause normally
hidden
# items to be returned.
# -------------------------------------------------------------------------$PscxDirForcePreference = $true
# -------------------------------------------------------------------------# Dirx/dirs/dirt/dird/dirw functions filter out files with system
attribute set.
# The performance may suffer on high latency networks or in folders with
# many files.
# -------------------------------------------------------------------------## $PscxDirHideSystemPreference = $true
# -------------------------------------------------------------------------# Display file sizes in KB, MB, GB multiples.
# -------------------------------------------------------------------------$PscxFileSizeInUnitsPreference = $false
# -------------------------------------------------------------------------# The Send-SmtpMail default settings.
# -------------------------------------------------------------------------## $PscxSmtpFromPreference = 'john_doe@example.net'
## $PscxSmtpHostPreference = 'smtp.example.net'
## $PscxSmtpPortPreference = 25
# -------------------------------------------------------------------------# Uncomment this to create a transcript of the entire PowerShell session.
# -------------------------------------------------------------------------## $PscxTranscribeSessionPreference = $true
976
Tipps und Tricks

# -------------------------------------------------------------------------# You can modify every aspect of the PSCX prompt appearance by
# creating your own eye-candy script.
# -------------------------------------------------------------------------## $PscxEyeCandyScriptPreference = '.\EyeCandy.Jachym.ps1'
$PscxEyeCandyScriptPreference = '.\EyeCandy.Keith.ps1'
# -------------------------------------------------------------------------# The following functions are used during processing of the PSCX profile
# and are deleted at the end of loading this profile.
# !! Do not modify or remove the functions below !!
# -------------------------------------------------------------------------function Set-PscxVariable($name, $value)
{
Set-Variable $name $value -Scope Global -Option AllScope,
ReadOnly -Description "PSCX variable"
}
function Set-PscxAlias($name, $value, $type = 'cmdlet', [switch]$force)
{
Set-Alias $name $value -Scope Global -Option AllScope -Force:$force Description "PSCX $type alias"
}
function Test-PscxPreference($name)
{
if (Test-Path "Variable:$name")
{
(Get-Variable $name).Value
}
else
{
$false
}
}
# -------------------------------------------------------------------------# !! Do not modify or remove the functions above !!
# --------------------------------------------------------------------------
21
if (!(Test-Path Variable:__PscxProfileRanOnce))
{
# -------------------------------------------------------------------------# This should only be run once per PowerShell session
# --------------------------------------------------------------------------
977

Add-PSSnapin Pscx
Start-TabExpansion
# -------------------------------------------------------------------------# Load ps1xml files which override built-in PowerShell defaults.
# -------------------------------------------------------------------------Update-FormatData -PrependPath "$Env:PscxHome\FormatData\
FileSystem.ps1xml"
Update-FormatData -PrependPath "$Env:PscxHome\FormatData\
Reflection.ps1xml"
# -------------------------------------------------------------------------# Create $UserProfile to point to the user's non-host specific profile
script
# -------------------------------------------------------------------------Set-PscxVariable ProfileDir (split-path $MyInvocation.MyCommand.Path
-Parent)
Set-PscxVariable UserProfile (join-path $ProfileDir 'Profile.ps1')
# -------------------------------------------------------------------------# Create PSCX convenience variables, identity variables used by
EyeCandy.*.ps1
# -------------------------------------------------------------------------Set-PscxVariable PscxHome
($env:PscxHome)
Set-PscxVariable PscxVersion ([Version](Get-FileVersionInfo
(Get-PSSnapin Pscx).ModuleName).ProductVersion)
Set-PscxVariable Shell
(new-object -com Shell.Application)
Set-PscxVariable NTIdentity
([Security.Principal.WindowsIdentity]::GetCurrent())
Set-PscxVariable NTAccount
($NTIdentity.User.Translate([Security.Principal.NTAccount]))
Set-PscxVariable NTPrincipal (new-object
Security.Principal.WindowsPrincipal $NTIdentity)
Set-PscxVariable IsAdmin
($NTPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::
Administrator))
}
else
{
# -------------------------------------------------------------------------# This should be run every time you want apply changes to your type
and format
# files.
# --------------------------------------------------------------------------
978
Tipps und Tricks

Update-FormatData
Update-TypeData
}
# -------------------------------------------------------------------------# PowerShell Community Extensions utility functions and filters.
# Comment out or remove any dot sourced functionality that you don't
want.
# -------------------------------------------------------------------------Push-Location (Join-Path $Env:PscxHome 'Profile')
. '.\TabExpansion.ps1'
. '.\GenericAliases.ps1'
. '.\GenericFilters.ps1'
. '.\GenericFunctions.ps1'
. '.\PscxAliases.ps1'
. '.\Debug.ps1'
. '.\Environment.VirtualServer.ps1'
. '.\Environment.VisualStudio2005.ps1'
. '.\Cd.ps1'
. '.\Dir.ps1'
. '.\TranscribeSession.ps1'
. $PscxEyeCandyScriptPreference
Pop-Location
# -------------------------------------------------------------------------# Add PSCX Scripts dir to Path environment variable to allow scripts
to be executed.
# -------------------------------------------------------------------------Add-PathVariable Path $env:PscxHome,$env:PscxHome\Scripts
# -------------------------------------------------------------------------# Remove functions only required for the processing of the PSCX profile.
# -------------------------------------------------------------------------Remove-Item Function:Set-PscxAlias
Remove-Item Function:Set-PscxVariable
21
# -------------------------------------------------------------------------# Keep track of whether or not this profile has ran already and remove the
# temporary functions
# -------------------------------------------------------------------------Set-Variable __PscxProfileRanOnce
## WINDOW TITLE
979
$Wi = [System.Security.Principal.WindowsIdentity]::GetCurrent()
$wp = New-Object System.Security.Principal.WindowsPrincipal($wi)
if ($wp.IsInRole([System.Security.Principal.WindowsBuiltInRole]::
Administrator))
{
$Status = "[Running as Administrator]"
}
else
{
$Status = "[Running as normal User]"
}
$PscxWindowTitlePrefix = "PowerShell - Holger Schwichtenberg
(www.IT-Visions.de) - " + $Status + " - "
Leicht angepasste Version der Profildatei aus den PowerShell Extensions

(PSCX)
Abbildung 21.67: Ablage der Profildatei in Windows 7
Um die Profildateien bersichtlicher zu gestalten, darf man sie auf

mehrere Dateien aufteilen und die einzelnen Dateien dann mit dem
Punkt-Operator ber das sogenannte dot sourcing aus dem Hauptskript (das immer Profile.ps1 heien muss) aufrufen.
21.19.5 Aufzhlungen
Bei der Benutzung einiger .NET-Klassen, z.B. FileSystemRights fr Rechte
im Dateisystem, muss man verschiedene Flags durch ein binres Oder mit-
980
Weitere Funktionen
einander verknpfen. Wenn man bei jedem Flag den Namen der Aufzhlung, in der das Flag definiert ist, wiederholen muss, werden die Fingerkuppen strapaziert.
Die PowerShell ist in der Lage, aus einer Zeichenkette mit Kommatrennung die entsprechenden Flagwerte in der Enumeration zu suchen und
miteinander durch binres Oder zu verknpften. Anstelle von
$Rights= [System.Security.AccessControl.FileSystemRights]::Read `
-bor
[System.Security.AccessControl.FileSystemRights]::ReadExtendedAttributes `
-bor [System.Security.AccessControl.FileSystemRights]::ReadAttributes `
-bor [System.Security.AccessControl.FileSystemRights]::ReadPermissions
kann man also verkrzt schreiben:

$Rights = [System.Security.AccessControl.FileSystemRights] "ReadData,
ReadExtendedAttributes, ReadAttributes, ReadPermissions"
21.20 Weitere Funktionen

Die PowerShell 2.0 bietet zahlreiche weitere Funktionen, die hier aus Platzgrnden nicht besprochen werden knnen. Fr die folgenden Funktionen
sei auf [SCH10] verwiesen:
Ausfhrliche Darstellung der PowerShell-Skriptsprache
Einbinden von C#-Code und VB.NET-Code
Windows 32-API-Anrufe
Transaktionen
Verwaltung des WS-Management-Dienstes
Hintergrundauftrge ( Jobs)
Ereignissystem
Datenbereiche und Datendateien
Mehrsprachige Skripte
Commandlet-Erweiterungen erstellen
PowerShell-Module erstellen
Leistungsdaten abfragen
Gruppenrichtlinien abfragen und ndern
Zugriff auf Internet Information Server (IIS)
Zugriff auf Microsoft SQL Server
Optimierungen und Problemlsungen
21
21.21 Weitere Informationen ber die

PowerShell
Weitere Informationen ber die PowerShell bekommen Sie auf den nachfolgenden Webseiten.
981
21.21.1 Websites zur PowerShell

PowerShell-Community-Website des Buchautors: http://www.powershell-
doktor.de
Sammlung von PowerShell-Skripten: http://www.microsoft.com/technet/
scriptcenter/scripts/msh/default.mspx
PowerShell-Website: http://www.microsoft.com/technet/scriptcenter/hubs/
msh.mspx
Website mit Skripten: http://www.reskit.net/Monad/samplescripts.htm
Link-Liste von PowerShell-Ressourcen: http://del.icio.us/powershell
21.21.2 Weblogs zur PowerShell

Offizielles Weblog des PowerShell-Teams: http://blogs.msdn.com/Power
982
Shell/
James Truher (Microsoft): http://jtruher.spaces.live.com/blog/
Arul Kumaravel (Microsoft): http://blogs.msdn.com/arulk
Lee Holmes: http://www.leeholmes.com/blog/
Keith Hill: http://keithhill.spaces.live.com/
Marc van Orsouw: http://thepowershellguy.com/blogs/posh/
Karl Prosser: http://www.karlprosser.com/coder/?cat=8
22
Systemautomatisierung mit der

PowerShell
Dieses Kapitel enthlt verschiedene Anwendungsbeispiele fr die Windows PowerShell.

Aus produktionstechnischen Grnden sind einige Bildschirmabbildungen in diesem Kapitel nicht mit Windows 7 erstellt, sondern mit Windows Server 2003 oder Windows Server 2008 oder Windows Vista. Die
Aussagen in diesem Kapitel gelten aber gleichwohl fr Windows 7.
22.1 Dateisystem
Das Dateisystem kann ber das PowerShell-Navigationsmodell mit dem
Navigation Provider Filesystem angesprochen werden.
PowerShell
PowerCommandlet ShellAlias
Befehl
WindowsKommandozeile
Befehl
Unix sh
Beschreibung
Clear-Item
cli
Inhalt leeren
Copy-Item
Cpi, cpp, copy

cp, copy
cp
Kopieren von
Elementen
Get-Content
gc
type
cat
Holt den Inhalt
Get-Location
Gl, pwd
pwd
pwd
Holt das aktuelle Verzeichnis
Tabelle 22.1: Wichtige Commandlets fr die Arbeit mit dem Dateisystem
983
Kapitel 22 Systemautomatisierung mit der PowerShell
PowerShell
PowerCommandlet ShellAlias
Befehl
WindowsKommandozeile
Befehl
Unix sh
Beschreibung
Move-Item
Mi, move, move

mv, mi
mv
Bewegen von
Elementen
New-Item
Ni (Funktion md)
Element
anlegen
Remove-Item
Ri, rp, rm, del, rd

rmdir, del,
erase, rd
rm, rmdir Umbenennen

von Elementen
Rename-Item
Rni, ren
rn
ren
Set-Content
sc
(Umleitungen >)
(UmleiFestlegen des
tungen >) Inhalts
Set-Item
si
Inhalt festlegen
Set-Location
Sl, cd,
chdir
cd, chdir
cd, chdir
Setzt das aktuelle Verzeichnis
Umbenennen
eines Elements
Tabelle 22.1: Wichtige Commandlets fr die Arbeit mit dem Dateisystem (Forts.)
22.1.1
Get-Psdrive
Laufwerke
Eine Liste der Dateisystemlaufwerke erhlt man durch Einschrnkung von

Get-PSDrive auf den Provider Filesystem:
Get-Psdrive -psprovider filesystem
Das Ergebnis sind Objekte des Typs System.Management.Automation.

PSDriveInfo. Zu den Eigenschaften dieser Klasse gehrt auch Root, welches das Wurzelverzeichnis zu jedem Laufwerk enthlt.
Die PowerShell-Klasse PSDriveInfo enthlt keine Informationen ber
Gre und Fllstand der Laufwerke, da es sich um ein generisches Konzept fr alle Arten von Mengen handelt und solche Werte fr einige Laufwerke (z.B. Umgebungsvariablen) keinen Sinn machen wrden.
Win32_
Logicaldisk
Um den Fllstand der Dateisystemlaufwerke auszugeben, bedient man

sich am besten der WMI-Klasse Win32_Logicaldisk:
Get-Wmiobject Win32_logicaldisk | Select-Object
deviceid,size,freespace
Das folgende Skript zeigt eine Mglichkeit, diese Daten besser formatiert
auszugeben:
Listing 22.1
Ausgabe des
Fllstands der
Laufwerke [Laufwerksfuellstand.ps1]
984
$Computer = "localhost"
$laufwerke = get-wmiobject Win32_LogicalDisk -computer $computer
" Laufwerk
Groesse(MB)
Freier Platz(MB)"
ForEach ($laufwerk in $laufwerke)
{
"
{0}
{1,15:n}
{2,15:n}" -f $laufwerk.DeviceID,
($laufwerk.Size/1m), $($laufwerk.freespace/1m)
}
Dateisystem
Informationen ber die verbundenen Netzwerklaufwerke des angemeldeten Benutzers liefert die WMI-Klasse Win32_MappedLogicalDisk:
Get-Wmiobject Win32_MappedLogicalDisk | select caption, providername
22.1.2
Inhalt eines Verzeichnisses
Den Inhalt eines Verzeichnisses listet man mit Get-Childitem (Alias: dir) Get-Childitem
auf.
Ohne Parameter listet Get-Childitem den aktuellen Pfad auf. Man kann
auch einen Pfad explizit angeben:
Get-Childitem c:\temp\ps_Scripte
Die Ergebnismenge besteht aus .NET-Objekten der Typen System.IO. DirectoryInfo (fr Unterverzeichnisse) und System.IO.FileInfo (fr Dateien).
Der Parameter Filter beschrnkt die Ausgabemenge auf Dateien mit einem
bestimmten Namensmuster:
Get-Childitem c:\temp\ps_Scripte -filter "*.ps1"
Das Commandlet arbeitet normalerweise nur auf der angegebenen Ebene.

Es kann auch rekursiv die Unterverzeichnisse durchsuchen:
Get-Childitem c:\temp\ps_Scripte -filter "*.ps1" recurse
Mit Measure-Object kann man Berechnungen ber eine Objektmenge ausfhren. Der folgende Befehl zeigt die Anzahl der Dateien in c:\Windows
sowie die Gesamtgre aller Dateien, die Gre der grten und kleinsten Datei sowie die Durchschnittsgre.
Get-ChildItem c:\windows | Measure-Object -Property length -min -max average sum
Mit dem folgenden Befehl erzeugt man eine Liste von groen WordDateien auf dem Laufwerk H und seiner Unterverzeichnisse und
exportiert eine Liste der Namen und Gre sortiert nach Gre in eine
CSV-Datei:
Get-Childitem h:\ -filter *.doc | Where-Object { $_.Length -gt 40000 }
| Select-Object Name, Length | Sort-Object Length | export-csv p:\
GrosseWordDateien.csv -notype
Das "-notype" am Ende sorgt dafr, dass der Name der .NET-Klasse nicht
exportiert wird. Wrde man den Namen exportieren, so knnte man spter mit einem Import-Csv die Daten wieder als Objekt-Pipeline weiterverarbeiten.
22.1.3
22
Zum Kopieren von Dateien und Ordnern verwendet man Copy-Item (Ali- Copy, Move,
Rename, Remove
ase copy oder cp):
Copy-Item j:\demo\dokumente\profil.pdf c:\temp\profil_
HSchwichtenberg.pdf
985
Zum Bewegen (Verschieben) von Dateisystemobjekten kommt Move-Item

(Alias move) zum Einsatz:
Move-Item j:\demo\dokumente\profil.pdf c:\temp\profil_
HSchwichtenberg.pdf
Das Commandlet Rename-Item (Alias Rename) benennt ein Dateisystemobjekt um:

Rename-Item profil.pdf profil_HS.pdf
Zum Lschen einer Datei verwendet man das Commandlet Remove-Item

(Alias del):
Remove-Item j:\demo\profil_HSchwichtenberg.pdf
Der folgende Befehl lscht alle Dateien, die lter sind als 30 Tage:
get-childitem c:\temp -recurse | where-object
{($now - $_.LastWriteTime).Days -gt 30} | remove-item
22.1.4
Get-Item
Dateieigenschaften lesen und verndern
Informationen ber ein Dateisystemobjekt (z.B. Name, Gre, letzte Vernderung, Attribute) erhlt man mit Get-Item:
Get-Item j:\demo\profil_HSchwichtenberg.pdf
Fr eine Datei erhlt man damit eine Instanz von System.IO.FileInfo.

Den gleichen Effekt hat auch:
Get-ItemProperty j:\demo\profil_HSchwichtenberg.pdf
Get-ItemProperty
Einzelne Daten kann man so abfragen:
Set-ItemProperty
Mit Set-ItemProperty erfolgt die Vernderung von Dateieigenschaften. Mit

dem folgenden Befehl werden die in Attributes gespeicherten Bitflags
gesetzt. Die .NET-Klassenbibliothek definiert die mglichen Flags in der
Aufzhlung System.IO.FileAttributes. Wichtig ist, dass die Elemente der
Aufzhlung wie statische Mitglieder angesprochen (also mit dem ::-Operator) und mit einem binren exklusiven Oder (-bxor) verknpft werden.
Get-ItemProperty daten.txt -name length

Get-ItemProperty daten.txt -name attributes
Set-ItemProperty daten.txt -name attributes -value

([System.IO.FileAttributes]::ReadOnly -bxor
[System.IO.FileAttributes]::Archive)
22.1.5
Freigaben
Der Zugriff auf Dateisystemfreigaben (engl. Shares) erfolgt ber die

WMI-Klasse Win32_Share. Wichtige Mitglieder der Klasse sind:
Name: Name der Freigabe
Path: Pfad im Dateisystem, zu dem die Freigabe fhrt
Description: Beschreibungstext zu der Freigabe
986
Dateisystem
MaximumAllowed: Maximalanzahl der gleichzeitigen Benutzer
SetShareInfo(): Setzen der Eigenschaften Description,
MaxinumAllowed und der Berechtigungen fr die Freigabe
GetAccessMask(): Auslesen der Berechtigungen fr die Freigabe
Create(): Create ist eine statische Methode der Klasse Win32_Share zum
Anlegen neuer Freigaben.

Das Attribut AccessMask ist immer leer (siehe Bildschirmabbildung), weil
es von Microsoft als veraltert deklariert wird. Das Setzen und Lesen
der Berechtigungen erfolgt ber die Methoden Create(), SetShareInfo()
und GetAccessMask(). Diese Methoden legen entsprechende Assoziationen an.
Bei den Freigaben sind die Berechtigungen der komplizierteste Teil, wie
schon die Assoziationen im WMI Object Browser andeuten.
Abbildung 22.1: Darstellung einer Instanz der Klasse Win32_Share im WMI Object Browser
Freigaben auflisten
Zum Auflisten der Freigaben muss man auf die Instanzen der WMI- Win32_Share
Klasse Win32_Share zurckgreifen:
Get-Wmiobject Win32_Share
Abbildung 22.2
Auflisten der freigegebenen Dateisystemverzeichnisse
987
22
ber den Namen der Freigabe kann man eine Freigabe (auch auf entfernten Systemen) gezielt ansprechen:
get-WmiObject Win32_Share -Filter "Name='C$'" -computer E02 | Select
Name, Path, Description, MaximumAllows | Format-List
Freigaben anlegen
Das Anlegen einer Freigabe ist eine aufwendigere Angelegenheit zumindest dann, wenn man auch die Zugriffsrechteliste setzen will. Leider kann
man hier nicht auf die .NET-Klassen fr die Berechtigungsvergabe zurckgreifen, sondern muss entsprechende WMI-Klassen verwenden.
Aus didaktischen Grnden folgt zunchst erst einmal ein Skript, bei dem
die Berechtigungen nicht explizit gesetzt werden. Die Freigabe erhlt
dadurch die Standardrechte (Vollzugriff fr jedermann). Zum Anlegen
der Freigabe wird die statische Methode Create() der Klasse Win32_Share
aufgerufen. Fr AccessMask wird dabei $null bergeben. Das Skript prft
beim Start, ob es die Freigabe schon gibt, und lscht diese gegebenenfalls,
damit eine Neuanlage mglich ist.
Listing 22.2
Anlegen einer Freigabe mit Standardberechtigungen
###########################################
# New-Share (without Permissions)
###########################################
# Parameters
$Computer = "."
$ShareName = "Kunden"
$Pfad = "g:\Daten\Kunden"
$Comment = "Alle unsere Kundenkorrespondenz"
# before
"Vorher:"
Get-WmiObject Win32_Share -Filter "Name='$ShareName'"
get-WmiObject Win32_Share -Filter "Name='$ShareName'" | foreach-object
{ $_.Delete() }
# Win32_Share
$MC = [WMIClass] "ROOT\CIMV2:Win32_Share"
$Access = $Null
$R = $mc.Create($pfad, $Sharename, 0, 10, $Description, "", $Access)
# after
"Nachher:"
get-WmiObject Win32_Share -Filter "Name='$ShareName'"
988
Dateisystem
Abbildung 22.3
Eine mit Standardrechten angelegte
Freigabe
Berechtigungen auf Freigaben setzen Um beim Anlegen einer Dateisys-
temfreigabe die Zugriffsrechte zu setzen, sind folgende Schritte zustzlich notwendig:

Ermitteln des Security Identifiers fr jeden Benutzer/jede Gruppe,
der/die Rechte erhalten soll
Erstellen einer Instanz von Win32_Trustee fr jeden Benutzer/jede
Gruppe, der/die Rechte erhalten soll
Instanziieren der Klasse Win32_ACE fr jeden Rechteeintrag
Befllen von Win32_ACE mit dem Win32_Trustee-Objekt, den Rechten
und den Rechteeigenschaften
Erstellen einer Instanz von Win32_SecurityDescriptor
Befllen des Win32_SecurityDescriptor-Objekts mit einer Discretionary
Access Control List (DACL)
Zusammenbauen der DACL aus einzelnen Rechteeintrgen (Access
Control Entries ACE), also Instanzen von Win32_ACE
###########################################
# New-Share (with Permissions)
###########################################
Listing 22.3
[New-Share.ps1]
# Parameters
$Computer = "."
$ShareName = "Kunden"
$Pfad = "g:\Daten\Kunden"
$Comment = "Alle unsere Kundenkorrespondenz"
22
# Constants
$SHARE_READ = 1179817
$SHARE_CHANGE = 1245462
989

$SHARE_FULL = 2032127
$SHARE_NONE = 1
$ACETYPE_ACCESS_ALLOWED = 0
$ACETYPE_ACCESS_DENIED = 1
$ACETYPE_SYSTEM_AUDIT = 2
$ACEFLAG_INHERIT_ACE = 2
$ACEFLAG_NO_PROPAGATE_INHERIT_ACE = 4
$ACEFLAG_INHERIT_ONLY_ACE = 8
$ACEFLAG_INHERITED_ACE = 16
$ACEFLAG_VALID_INHERIT_FLAGS = 31
$ACEFLAG_SUCCESSFUL_ACCESS = 64
$ACEFLAG_FAILED_ACCESS = 128
# Get Trustee
function New-Trustee($Domain, $User)
{
$Account = new-object system.security.principal.ntaccount("itv\hs")
$SID =
$Account.Translate([system.security.principal.securityidentifier])
$useraccount = [ADSI] ("WinNT://" + $Domain + "/" + $User)
$mc = [WMIClass] "Win32_Trustee"
$t = $MC.CreateInstance()
$t.Domain = $Domain
$t.Name = $User
$t.SID = $useraccount.Get("ObjectSID")
return $t
}
# Create ACE
function New-ACE($Domain, $User, $Access, $Type, $Flags)
{
$mc = [WMIClass] "Win32_Ace"
$a = $MC.CreateInstance()
$a.AccessMask = $Access
$a.AceFlags = $Flags
$a.AceType = $Type
$a.Trustee = New-Trustee $Domain $User
return $a
}
# Create SD
function Get-SD
{
$mc = [WMIClass] "Win32_SecurityDescriptor"
$sd = $MC.CreateInstance()
$ACE1 = New-ACE "ITV" "ST" $SHARE_READ $ACETYPE_ACCESS_ALLOWED
$ACEFLAG_INHERIT_ACE
$ACE2 = New-ACE "ITV" "HS" $SHARE_FULL $ACETYPE_ACCESS_ALLOWED
$ACEFLAG_INHERIT_ACE
$ACE3 = New-ACE "ITV" "Geschftsfhrung" $SHARE_FULL $ACETYPE_
ACCESS_ALLOWED $ACEFLAG_INHERIT_ACE
990
Dateisystem
[System.Management.ManagementObject[]] $DACL = $ACE1 , $ACE2, $ACE3
$sd.DACL = $DACL
return $sd
}
# before
"Vorher:"
Get-WmiObject Win32_Share -Filter "Name='$ShareName'"
get-WmiObject Win32_Share -Filter "Name='$ShareName'" | foreachobject { $_.Delete() }
# Win32_Share anlegen
$MC = [WMIClass] "ROOT\CIMV2:Win32_Share"
$Access = Get-SD
$R = $mc.Create($pfad, $Sharename, 0, 10, $Comment, "", $Access)
# after
"Nachher:"
get-WmiObject Win32_Share -Filter "Name='$ShareName'" | foreach {
$_.GetAccessMask() } | gm
Abbildung 22.4
Ergebnis des obigen
Skripts zum Anlegen
einer Freigabe mit
expliziten Rechten
22
Create() besitzt einige Fehlercodes, z.B. 22 = Freigabename existiert
bereits oder 21 = Falsche Parameter.
991
22.2 Dokumente & Datenbanken

22.2.1
Get-Content
Textdateien
Zum Einlesen von Dateien stellt die PowerShell das Commandlet GetContent zur Verfgung. Get-Content liest im Standard die gesamte Datei ein.
Das folgende Listing zeigt das Einlesen einer Textdatei und die zeilenweise Ausgabe:
Listing 22.4
Zeilenweises Einlesen einer Textdatei
[Textdatei1.ps1]
$datei = Get-content j:\demo\dokumente\benutzerliste.csv

$a = 0
$datei | Foreach-Object { $a++; "Zeile" + $a + ": " + $_ }
"Gesamtzahl der Zeilen: " + $a
Wenn es nur darum geht, die Anzahl der Zeilen zu ermitteln, dann geht
das auch krzer:
Get-content j:\demo\dokumente\benutzerliste.csv | Measure-Object
Set-Content
Listing 22.5
Erstellen und
Ergnzen einer
Textdatei
Das Beschreiben einer Textdatei im Dateisystem erfolgt mit Set-Content und

Add-Content. Set-Content tauscht den Inhalt aus, Add-Content ergnzt Inhalte.
$datei = "j:\demo\dokumente\protokoll.txt"
"Neubeginn der Protokolldatei " | set-content $datei
"Neuer Eintrag " | Add-content $datei
"Inhalt der Datei jetzt:"
Get-content $datei
Clear-Content lscht den Inhalt einer Datei, belsst die Datei aber leer im
Dateisystem.
New-Item
Eine andere Mglichkeit zum Erstellen einer Textdatei ist die Verwendung von New-Item:
new-item . -name Daten.txt -type "file" -value "Dies ist der Inhalt!"
force
In diesem Fall gibt es aber nur die Option, die Datei neu anzulegen (ohne
force) oder eine bestehende Datei zu berschreiben (mit force).
Eine dritte Mglichkeit zum Beschreiben einer Datei ist das Commandlet
Out-File.
22.2.2
Binrdateien
Auch Binrdateien kann man mit Get-Content auslesen und mit SetContent bzw. Add-Content beschreiben. Jeweils ist als Parameter encoding
Byte anzugeben.
Listing 22.6
Lesen und Schreiben einer Binrdatei
992
# Binrdatei lesen
$a = Get-Content H:\demo\PowerShell\Registry\www.IT-Visions.de_
Logo.jpg -encoding byte
Dokumente & Datenbanken

# Binrdatei schreiben
$a | set-content "g:\Daten\Logo.jpg" -encoding byte
22.2.3
CSV-Dateien
Zum Importieren und Exportieren von Daten im CSV(Comma Separated Export, Import
Value)-Format bietet die PowerShell die Commandlets Export-Csv und
Import-Csv.
Beim Exportieren gibt es zwei Alternativen:
Man kann eine normale CSV-Datei ohne Metadaten erstellen lassen:
Get-Service | Where-Object {$_.status -eq "running"} | Export-Csv j:\
demo\dokumente\dienste.csv NoTypeInformation
Alternativ dazu kann man eine CSV-Datei erzeugen, bei der in der ersten
Zeile nach #Type hinterlegt ist, welche Objekttypen persistiert sind.
Get-Service | Where-Object {$_.status -eq "running"} | Export-Csv j:\
demo\dokumente\dienste.csv
Beim Import einer CSV-Datei mit

Import-Csv j:\demo\dokumente\dienste.csv | Where { $_.Status -eq
"Running" }
entscheidet die Typinformation darber, welcher Objekttyp konstruiert

wird. Mit Typinformationen wird der entsprechende Typ erstellt. Ohne
Typinformationen entstehen Instanzen der Klasse System.Management.
Automation.PSCustomObject.
22.2.4
XML-Dateien
Die PowerShell bietet eine sehr komfortable Mglichkeit, XML-Doku- [Xml]

mente auszuwerten, denn die XML-Elementnamen knnen wie Attribute
eines .NET-Objekts angesprochen werden. Wenn $doc das in der nachstehenden Abbildung gezeigte XML-Dokument enthlt, dann liefert $doc.
Websites.Website die Menge von XML-Knoten, die <Website> heien.
Abbildung 22.5
Beispiel fr ein
XML-Dokument
22
993
Das obige Dokument kann so ausgewertet werden:

Listing 22.7
Auslesen einer
XML-Datei
$doc = [xml] (Get-Content -Path h:\WIP\dokumente\websites.xml)

$Sites = $doc.Websites.Website
$Sites | select URL, Beschreibung
Um die besondere XML-Untersttzung der PowerShell nutzen zu knnen, muss die PowerShell wissen, welche Variablen ein XML-Dokument
enthalten. Daher ist die Typkonvertierung mit [xml] in der ersten Zeile
sehr wichtig.
Abbildung 22.6
Ergebnis der
Auswertung des
XML-Dokuments
XML-Dateien verndern Das nchste Skript ergnzt einen Eintrag in einer

XML-Datei unter Verwendung der Methode CreateElemente() und AppendChild(). Dieses Beispiel zeigt, dass es aber auch Ecken in der PowerShell gibt,
die etwas komplizierter sein knnen. Weil die Unterelemente eines XMLKnotens als Attribute der .NET-Klasse, welche die PowerShell verarbeitet,
dargestellt werden, knnen zur Vermeidung von Namenskonflikten die
Attribute der Metaklasse System.Xml.Node (bzw. abgeleiteter Klassen) nicht
mehr direkt dargestellt werden. Diese Attribute sind nur ber ihre Getter und
Setter verfgbar. Dies bedeutet, dass man mit dem PowerShell-Skript den
Inhalt eines Knotens nicht ber $knoten.Innertext = "xyz" setzen kann, sondern etwas umstndlicher ber $knoten._set_Innertext("xyz") aufrufen muss.
Listing 22.8
Ergnzen einer
XML-Datei
Export-Datei fr
PowerShellPipeline-Objekt
in XML-Form
(Export-CliXml)
"Vorher"
$doc = [xml] (Get-Content -Path h:\demo\buch\websites.xml)
$doc.Websites.Website | select URL,Beschreibung
"Nachher"
$site = $doc.CreateElement("Website")
$url = $doc.CreateElement("URL")
$url.set_Innertext("www.powershell-doktor.de")
$beschreibung = $doc.CreateElement("Beschreibung")
$beschreibung.set_Innertext("Community-Website zur PowerShell")
$site.AppendChild($url)
$site.AppendChild($Beschreibung)
$doc.Websites.AppendChild($site)
$doc.Websites.Website | select URL,Beschreibung
$doc.Save("h:\demo\buch\websites_neu.xml")
"Dokument gespeichert!"
Die PowerShell verwendet ein eigenes XML-Format (CLIXML), mit dem

die Objekt-Pipeline in XML-Form (durch Export-CliXml) persistiert werden
kann, sodass diese spter wiederhergestellt werden kann. Der folgende
Befehl speichert die Objektliste der laufenden Systemdienste. Die Abbildung
22.7 zeigt das Ergebnis.
Get-Service | Where-Object {$_.status -eq "running"} | export-clixml
j:\demo\dokumente\dienste.xml
994
Dokumente & Datenbanken

Abbildung 22.7
Ausschnitt aus der
Serialisierung einer
PowerShell-Pipeline
Das Gegenstck zur Wiederherstellung der Pipeline ist Import-CliXml.

Import-CliXml j:\demo\dokumente\dienste.xml | Get-Member
22.2.5
HTML-Dokumente
Das Commandlet Convert-Html konvertiert die Objekte der Pipeline in Convert-Html

eine HTML-Tabelle.
Der folgende Befehl speichert die Diensteliste als HTML-Datei.
Get-Service | ConvertTo-Html name,status -title "Diensteliste" -body
"Liste der Dienste" | Set-Content j:\demo\dokumente\dienste.htm
Abbildung 22.8
Ergebnis der
Konvertierung in
eine HTML-Tabelle
22
995
22.2.6
ADO.NET
Relationale Datenbanken
Die PowerShell besitzt keine Commandlets fr den Datenbankzugriff und

auch keinen Navigation Provider, obwohl es sich anbieten wrde, auch
Datenbanken ins Konzept der Navigation Provider einzubeziehen. Zum
Datenbankzugriff kann man in der PowerShell auf ADO.NET zugreifen.
ADO.NET ist die Weiterentwicklung der COM-Komponente ActiveX
Data Objects (ADO). ADO.NET kann hier aus Platzgrnden nicht ausfhrlich vorgestellt werden. Daher sei dazu auf [SCH07] verwiesen.
Beispiel Das folgende PowerShell-Skript gibt aus einer Microsoft Access-
Datenbanktabelle alle Datenstze sortiert aus. Zum Einsatz kommt dabei

der OLEDB-Provider fr ADO.NET, der im .NET Framework ab Version
1.0 enthalten ist.
WICHTIG: Da es keinen 64-Bit-Treiber fr Access-Datenbanken gibt,
mssen Sie alle PowerShell-Befehle, die auf Access-Datenbanken zugreifen, auf einem 64-Bit-System in der 32-Bit-Variante der PowerShell laufen
lassen (siehe %systemroot%\Syswow64\WindowsPowerShell\V1.0).
Listing 22.9
Datenbankzugriff
mit dem OLEDBProvider fr
ADO.NET
[Datenbankzugriffe
3.ps1]
# Eingabedaten
$Conn = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=j:\db\
wordwidewings6.mdb;"
$SQL = "Select * from users order by UserSurname"
# Datenbank ffnen
"ffne die Datenbank..."
$conn = New-Object System.Data.OLEDB.OLEDBConnection($Conn)
$conn.open()
"Zustand der Datenbank: " + $conn.State
# SQL-Befehl ausfhren
"Befehl ausfhren: " + $SQL
$cmd = New-Object System.Data.OLEDB.OLEDBCommand($sql,$conn)
$ada = New-Object System.Data.OLEDB.OLEDBDataAdapter($cmd)
$ds = New-Object System.Data.DataSet
$ada.Fill($ds, "Benutzer") | out-null
$conn.close()
"Anzahl der Tabellen im Dataset: " + $ds.Tables.Count
"Anzahl der Datenstze in Tabelle 1: " + $ds.Tables[0].Rows.Count
"Ausgabe der Daten:"
$ds.Tables[0] | Select UserFirstName, UserSurname, userid
Es ist nicht mglich, analog zu XML-Dokumenten mit $ds.Tables[0]

.Spaltenname zuzugreifen.
996
Registrierungsdatenbank (Registry)
Abbildung 22.9
Ausgabe des Skripts
22.3 Registrierungsdatenbank
(Registry)
Fr die Windows-Registrierungsdatenbank (Registry) steht in der Power- RegistrierungsShell ein PowerShell Provider zur Verfgung. Dies bedeutet, dass die Naviga- datenbanktions-Commandlets (Set-Location, Get-ChildItem, New-Item, Get-ItemProperty Navigation
etc.) in der Registrierungsdatenbank zur Verfgung stehen.
22.3.1
Schlssel auslesen
Die Unterschlssel eines Registrierungsdatenbankschlssels listet man

auf mit:
Get-Childitem hklm:\software (Alias: dir hklm:\software)
Man kann auch mit CD den aktuellen Pfad in die Registrierungsdatenbank verlegen
Set-Location hklm:\software (Alias: cd hklm:\software)
und dann einfach mit Get-Childitem auflisten.

Zugriff auf einen einzelnen Schlssel der Registrierungsdatenbank erhlt
man mit:
22
Get-Item www.it-visions.de
bzw. mit absolutem Pfad:

Get-Item hklm:\software\www.it-visions.de
997
Das Ergebnis sind .NET-Objekte des Typs Microsoft.Win32.RegistryKey.

Get-Item liefert immer eine einzelne Instanz dieser Klasse. Get-ChildItem
liefert keine, eine oder mehrere Instanzen.
In die Registrierungsdatenbank wechselt man mit dem Befehl:
Cd hklm:\software\www.it-visions.de
22.3.2
Schlssel anlegen und lschen
Einen Schlssel in der Registrierungsdatenbank erzeugt man mit:

New-Item path hklm:\software -name "www.IT-Visions.de"
oder
md path hklm:\software\www.IT-Visions.de
New-Item steht auch als md zur Verfgung. md ist jedoch kein Alias, son-
dern eine eingebaute Funktion.

Man kann ganze Schlssel kopieren mit Copy-Item:
Copy-Item hklm:\software\www.IT-Visions.de hklm:\software\
www.IT-Visions.de_Backup
Einen Schlssel aus der Registrierungsdatenbank zusammen mit allen

enthaltenen Werten lscht man mit:
Remove-Item "hklm:\software\www.IT-Visions.de" Recurse
22.3.3
New-PSDrive
Abkrzungen definieren
Durch das Definieren eines neuen PowerShell-Laufwerks kann man eine

Abkrzung zum schnellen Zugang zu Schlsseln definieren:
New-PSDrive -Name ITV -PSProvider Registry -Root hklm:\software\
www.it-visions.de
Danach kann man anstelle von

Get-Item hklm:\software\www.IT-Visions.de
auch schreiben:
Get-Item itv:
Zwei solcher Abkrzungen sind bereits vordefiniert (siehe Tabelle 22.2).

Tabelle 22.2
Definierte Abkrzungen fr RegistrierungsdatenbankHauptschlssel
998
HKLM
HKEY_LOCAL_MACHINE
HKCU
HKEY_CURRENT_USER
Registrierungsdatenbank (Registry)
22.3.4
Werte anlegen und lschen
Einen Zeichenkettenwert zu einem Schlssel legt man an mit:

New-Itemproperty -path "hklm:\software\www.IT-Visions.de" -name
"Inhaber" -value "Dr. Holger Schwichtenberg" -type string
New-Itemproperty
Einen Zahlenwert zu einem Schlssel legt man an mit:

New-Itemproperty -path "hklm:\software\www.IT-Visions.de" -name
"Gruendungsjahr" -value 1996 -type DWord
Eine Mehrfachzeichenkette zu dem Schlssel legt man an mit:

$Websites = "www.IT-Visions.de", "www.IT-Visionen.de", "hs.ITVisions.de"
New-Itemproperty -path "www.IT-Visions.de" -name "Websites" -value
$Websites -type multistring
Einen Binrwert zu dem Schlssel legt man an mit:

$Werte = Get-Content H:\demo\PowerShell\Registry\www.IT-Visions.de_
Logo.jpg -encoding byte
New-Itemproperty -path "www.IT-visions.de" -name "Logo" -value $Werte
-type binary
Abbildung 22.10
Ergebnis der Registrierungsdatenbank
operationen
Die folgende Tabelle zeigt alle mglichen Datentypen und deren Verwendung in der PowerShell.
Registry-Datentyp
Bedeutung
Typbezeichner
Verarbeitung in
der PowerShell
REG_BINARY
Array von Byte
Binary
Byte[]
REG_DWORD
Zahl
DWord
Int
REG_EXPAND_SZ
Zeichenkette
mit Platzhaltern
Multistring
String[]
REG_MULTI_SZ
Mehrere
Zeichenketten
ExpandString
String
REG_SZ
Einfache
Zeichenkette
String
String
Tabelle 22.3
Datentypen in der
22
Einen bestehenden Wert ndert man mit Set-ItemProperty:

# Wert verndern
$Websites = "www.IT-Visions.de", "www.IT-Visionen.de", "hs.ITVisions.de", "IT-Visions.de"
set-itemproperty -path "www.IT-Visions.de" -name "Websites" -value
$Websites -type multistring
999
Einen Wert aus einem Registrierungsdatenbankschlssel lscht man mit

Remove-ItemProperty:
Remove-ItemProperty -path "hklm:\software\www.IT-Visions.de" -name
"Inhaber"
22.3.5
Get-ItemProperty
Werte auslesen
Die vorhandenen Werte in einem Registrierungsdatenbankschlssel listet

man auf mit:
Get-ItemProperty -Path "hklm:\software\www.IT-Visions.de"
Den Inhalt eines einzelnen Eintrags bekommt man durch:

(get-item "hklm:\software\www.IT-Visions.de").GetValue("Inhaber")
oder
(Get-ItemProperty "hklm:/software/firmenname").Inhaber
22.3.6
Praxisbeispiel
Das folgende Skript speichert Daten ber Website-Konfiguration in der

Registrierungsdatenbank.
Abbildung 22.11
Eingabedaten
Abbildung 22.12
Ergebnis
Listing 22.10
Werte aus einer
CSV-Datei in der
Registrierungsdatenbank speichern
[Registry_
Websites.ps1]
# Registry-Schlssel anlegen aus CSV-Daten

$Pfad = "hklm:/software/Websites"
if (Test-Path $Pfad) { del $Pfad -recurse -force }
if (!(Test-Path $Pfad )) { md $Pfad }
$Websiteliste = Get-Content "H:\demo\PowerShell\Registry\
webserver.txt"
foreach($Website in $WebsiteListe)
{
$WebsiteDaten = $Website.Split(";")
md ($Pfad + "\" + $WebsiteDaten[0])
New-Itemproperty -path ($Pfad + "\" + $WebsiteDaten[0]) -name "IP" -
1000
Computerverwaltung
value $WebsiteDaten[1] -type String
New-Itemproperty -path ($Pfad + "\" + $WebsiteDaten[0]) -name "Port" value $WebsiteDaten[2] -type dword
New-Itemproperty -path ($Pfad + "\" + $WebsiteDaten[0]) -name "Pfad" value $WebsiteDaten[3] -type String
$WebsiteDaten[0] + " angelegt!"
}
22.4 Computerverwaltung
Fr Informationen ber den Computer gibt es kein eigenes Commandlet.
Wichtige Informationen ber den Computer und das installierte Betriebssystem erhlt man mit den WMI-Klassen Win32_Computersystem und Win32_
Operatingsystem.
Win32_
Computersystem, Win32_
Operatingsystem
Get-Wmiobject win32_Computersystem
Get-Wmiobject win32_Operatingsystem
Die Seriennummer des Betriebssystems erhlt man mit:

Get-Wmiobject Win32_OperatingSystem | select serialnumber
Die Versionsnummer des Betriebssystems erhlt man ber das Attribut

Version in der WMI-Klasse Win32_OperatingSystem oder ber die .NETKlasse System.Environment:
Get-Wmiobject Win32_OperatingSystem | select Version
System.Environment]::OSVersion
Informationen ber das BIOS gewinnt man ber die WMI-Klasse Win32_
Bios:
Get-Wmiobject win32_bios
Die Startkonfiguration steht in Win32_BootConfiguration:

Get-Wmiobject Win32_BootConfiguration
Das Windows-Systemverzeichnis steht wieder in System.Environment:

"Systemverzeichnis: "+ [System.Environment]::SystemDirectory
Den Status der Windows-Produktaktivierung findet man hier:

Get-Wmiobject Win32_WindowsProductActivation
Es gibt auch Daten ber die gewhlten Wiederherstellungsoptionen des

Windows-Betriebssystems:
Get-Wmiobject Win32_OSRecoveryConfiguration
Die Umgebungsvariablen erhlt man ber das PowerShell-Laufwerk

env:
22
dir env:
Die Information ber eine einzelne Umgebungsvariable erhlt man, indem

man den Namen der Umgebungsvariablen an den Pfad anfgt, z.B.:
dir env:/Path
1001
Mchte man nur den Inhalt einer Umgebungsvariablen wissen, verwendet man am besten Get-Content:
Get-Content env:/Path
Den Wert, den Get-Content zurckliefert, kann man in eine Variable speichern und diese weiterverwenden, z.B. zum Aufspalten der Path-Zeichenkette mithilfe der Split()-Methode aus der .NET-Klasse System.String:
$Pfade = Get-Content env:/Path
$Pfade.Split(";")
Wenn Sie wissen wollen, wie viele Dateien es in den Suchpfaden von
Windows gibt, wre folgender Befehl einzugeben:
(Get-Content env:/Path).Split(";") | Get-Childitem | measure-object
Abbildung 22.13
Auflisten der Umgebungsvariablen
22.5 Hardwareverwaltung
Informationen ber die installierte Hardware erhlt man innerhalb der
Windows PowerShell ber WMI, also ber die Verwendung des Commandlets Get-WmiObject zusammen mit der entsprechenden WMI-Klasse
(siehe Tabelle 22.4).
Hardwarebaustein
PowerShell-Befehl
Prozessoren
Get-Wmiobject Win32_Processor
Hauptspeicher
Get-Wmiobject Win32_MemoryDevice
Grafikkarte
Get-Wmiobject Win32_VideoController
Soundkarte
Get-Wmiobject Win32_SoundDevice
Festplatten
Get-Wmiobject Win32_Diskdrive
Bandlaufwerke
Get-Wmiobject Win32_Tapedrive
Optische Laufwerke (CD/DVD)
Get-Wmiobject Win32_CDRomdrive
Tabelle 22.4: Abruf von Hardwareinformationen in der PowerShell
1002
Softwareverwaltung
Hardwarebaustein
PowerShell-Befehl
Netzwerkkarten
Get-Wmiobject Win32_NetworkAdapter
USB-Controller
Get-Wmiobject Win32_USBController
Tastatur
Get-Wmiobject Win32_Keyboard
Maus
Get-Wmiobject Win32_PointingDevice
Tabelle 22.4: Abruf von Hardwareinformationen in der PowerShell (Forts.)
Die Anzahl der Prozessoren auf einem System erhlt man auch ber die
.NET-Klasse System.Environment:
"Anzahl der Prozessoren: " + [System.Environment]::ProcessorCount
22.6 Softwareverwaltung
Zum Bereich Softwareverwaltung gehren:
Inventarisierung der installierten Anwendungen
Installieren von Anwendungen
Deinstallieren von Anwendungen
Fr die Softwareverwaltung bietet die PowerShell keine eigenen Commandlets. Die WMI-Klasse Win32_Product mit Informationen ber die installierten MSI-Pakete steht zur Verfgung, sofern der WMI-Provider fr Windows Installer installiert ist. Unter Windows Server 2003 ist dieser Provider
eine Installationsoption von Windows und nicht mehr Standardinstallationsumfang.
Win32_Product gilt aber nur fr Anwendungen, die mit Windows Installer
installiert wurden. Alle Anwendungen, die man in der Systemsteuerung
sieht, bekommt man nur ber den Schlssel HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall der Registrierungsdatenbank.
22.6.1
Inventarisierung
Die Klasse Win32_Product liefert die installierten MSI-Pakete:
Win32_Products
Get-Wmiobject Win32_Product
Natrlich kann man filtern. Der folgende Befehl listet nur die MSI-Pakete,
deren Namen mit a beginnen:
Get-Wmiobject Win32_Product | where-object { $_.name -like "a*" }
Der zweite Filter sortiert alle MSI-Pakete heraus, deren Hersteller Microsoft ist:
22
Get-Wmiobject Win32_Product | where-object { $_.vendor -like

"microsoft*" }
In einem Pipeline-Befehl kann man auch eine komplette Inventarisierungslsung schreiben, die nacheinander mehrere Computer gem einer Liste
1003
in einer Textdatei abgefragt hat und die gefundenen Anwendungen in eine

CSV-Datei exportiert.
get-content "computernamen.txt" |
foreach { get-wmiobject win32_product -computername $_ } |
where { $_.vendor -like "*Microsoft*" } |
export-csv "Softwareinventar.csv" notypeinformation
Noch etwas verfeinern kann man die Inventarisierungslsung, indem

man vor dem Zugriff auf den Computer mit einem Ping prft, ob der
Computer berhaupt erreichbar ist, um die lange Timeout-Zeit von WMI
zu vermeiden. Da hierzu dann ein Pipelining-Befehl nicht mehr ausreicht
und man ein Skript braucht, kann man auch direkt die Lsung besser
parametrisieren.
Listing 22.11
Softwareinventarisierung per PowerShell-Skript
[Softwareinventar3.
ps]
########################################
# Das PowerShell-Script inventarisiert die installierte Software
# eines Herstellers auf n Computersystemen
########################################
$Hersteller = "*Microsoft*"
$Eingabedateiname = "computernamen.txt"
$Ausgabedateiname = "Softwareinventar.csv"
# Import der Computernamen
$Computernamen = Get-Content "computernamen.txt"
$Computernamen | foreach {
if (Ping($_))
{
Write-Host "Inventarisiere Software fr Computer $_ ..."
# Auslesen der installierten MSI-Pakete auf allen Computern
$Software = foreach { get-wmiobject win32_product -computername $_ } |
where { $_.vendor -like $Hersteller }
# Export in CSV
$Software | export-csv "Softwareinventar.csv" -notypeinformation
}
else
{
Write-Error "Computer nicht erreichbar!"
}
}
# Ping ausfhren
function Ping
{
$status = Get-WmiObject Win32_PingStatus -filter "Address='$args[0]'"
| select StatusCode
return $status.Statuscode -eq 0
}
1004
Softwareverwaltung
Die Liste der installierten Softwareaktualisierungen (Patches, Hotfixes)

erhlt man mit:
Get-Wmiobject Win32_Quickfixengineering
Die installierten Audio-/Video-Codecs kann man sich so anzeigen lassen:

Get-Wmiobject Win32_CodecFile | Select group,name
Win32_Product gilt aber nur fr Anwendungen, die mit Windows Installer
installiert wurden. Alle Anwendungen, die man in der Systemsteuerung
sieht, bekommt man nur ber den Schlssel HKLM:\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall der Registrierungsdatenbank heraus.
Get-ChildItem HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall
Vereinfachen kann man den Zugang dorthin, indem man ein neues
PowerShell-Laufwerk definiert:
New-PSDrive -Name Software -PSProvider Registrierungsdatenbank -Root
HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
Danach kann man einfach schreiben:

Get-ChildItem Software:
Beim Filtern muss man in jedem Fall beachten, dass die Eigenschaften
(z.B. DisplayName, Comments und UninstallString) keine Attribute des
Objekts vom Typ Microsoft.Win32.RegistryKey sind, sondern Unterelemente dieses Objekts. Daher muss GetValue() verwendet werden fr den
Zugriff auf die Daten.
Get-ChildItem Software: | Where-Object -FilterScript
{ $_.GetValue("DisplayName") -like "a*"} | ForEach-Object -Process
{$_.GetValue("DisplayName") , $_.GetValue("Comments"),
$_.GetValue("UninstallString") }
Abbildung 22.14
Auflisten der installierten Software, die
mit a beginnt
Programme, die beim Systemstart automatisch gestartet werden, findet

man in Win32_StartupCommand:
22
Get-Wmiobject Win32_StartupCommand
1005
22.6.2
Install()
Installation von Anwendungen
Eine skriptbasierte Installation ist bei vielen Anwendungen mglich, allerdings ist die Vorgehensweise abhngig von der verwendeten Installationstechnologie. Microsoft liefert in WMI eine Installationsuntersttzung
fr Installationspakete, die auf Windows Installer (Alias Microsoft Installer), abgekrzt MSI, basieren.
WMI erlaubt den Aufruf des Microsoft Installers, um ein beliebiges MSIPaket zu installieren. Die Klasse Win32_Product bietet dazu die Methode
Install() an. Die Methode erwartet einen oder drei Parameter:
den Pfad zu dem MSI-Paket,
an das Paket zu bergebende Kommandozeilenparameter,
die Entscheidung, ob die Anwendung fr alle Benutzer (True) oder
nur den angemeldeten Benutzer (False) installiert werden soll.
Zu beachten ist, dass die Install()-Methode eine statische Methode der
WMI-Klasse Win32_Product ist. Eine Ferninstallation ist mglich unter Bezugnahme auf diese Klasse auf einem entfernten System.
Listing 22.12
Installation eines
MSI-Pakets
[Software_Installation.ps1]
$Anwendung = "H:\demo\PS\Setup_for_HelloWorld_VBNET.msi"
"Installiere Anwendung..." + $Anwendung
(Get-WmiObject -ComputerName E01 -List | Where-Object -FilterScript
{$_.Name -eq "Win32_Product"}).Install($Anwendung)
"Fertig!"
22.6.3
Uninstall()
Listing 22.13
Deinstallation eines
MSI-Pakets
[Software_
Installation.ps1]
Deinstallation von Anwendungen
Die WMI-Klasse Win32_Product bietet auch eine Uninstall()-Methode

ohne Parameter zur Deinstallation von MSI-Paketen. Zu beachten ist,
dass zur Identifizierung der zu deinstallierenden Anwendung nicht der
Name des Installationspakets, sondern der Anwendungsname (Name oder
Caption) oder der GUID (IdentifyingNumber) anzugeben ist. Im Fall von
Setup_for_HelloWorld_VBNET.msi ist der Name Hello World VB.NET.
$Name = "Hello World VB.NET"
"Starte Deinstallation..."
$Ergebnis = (Get-WmiObject -Class Win32_Product -Filter "Name='$Name'"
-ComputerName E01).Uninstall().Returnvalue
if ($Ergebnis -ne 0) { Write-Error "Deinstallationsfehler: $Ergebnis";
Exit }
"Deinstallation beendet!"
Zu jeder Anwendung ist in der Registrierungsdatenbank ein sogenannter

Uninstall-String angegeben, der sagt, was man ausfhren muss, um die
Anwendung zu deinstallieren. Dies funktioniert auch fr nicht MSIbasierte Anwendungen.
Der folgende Befehl listet die Deinstallationsanweisungen fr alle Anwendungen auf, deren Name mit a beginnt.
Get-ChildItem -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall
| Where-Object -FilterScript { $_.GetValue("DisplayName") -like "a*"}
1006
Softwareverwaltung
| ForEach-Object -Process {$_.GetValue("DisplayName"),
$_.GetValue("UninstallString") }
22.6.4
Praxisbeispiel: Installationstest
Das folgende Skript installiert zum Test eine Anwendung und deinstalliert sie dann direkt wieder. Am Beginn, nach der Installation und am
Ende wird jeweils geprft, ob die Anwendung installiert ist.
Abbildung 22.15
Ausgabe des Skripts
function Get-IsInstall($Application, $Computer)

{
$a = (Get-WmiObject -Class Win32_Product -Filter "Name='$Application'"
-Computer $Computer)
return ($a -ne $null)
}
Listing 22.14
[Software_
Testinstallation.ps1]
$Name = "Hello World VB.NET"

$Computer = "E01"
$Paket = "H:\demo\PowerShell\Software und Prozesse\Setup_for_
HelloWorld_VBNET.msi"
"-----------------------------------------------------------------"
"Test-Installation und -Deinstallation der Anwendung..." + $Name
"-----------------------------------------------------------------"
"Ausgangszustand: Installiert?: " + (Get-IsInstall $Name $Computer)
"Starte Installation des Pakets " + $Paket
$Ergebnis = ([WMIClass] "Win32_Product").Install($Paket).Returnvalue
if ($Ergebnis -ne 0) { Write-Error "Installationsfehler: $Ergebnis";
Exit }
"Installation beendet!"
"Zwischenstand: Installiert?: " + (Get-IsInstall $Name $Computer)
"Starte Deinstallation..."
$Ergebnis = (Get-WmiObject -Class Win32_Product -Filter "Name='$Name'"
-ComputerName E01).Uninstall().Returnvalue
if ($Ergebnis -ne 0) { Write-Error "Deinstallationsfehler: $Ergebnis";
Exit }
"Deinstallation beendet!"
22
"Endstand: Installiert?: " + (Get-IsInstall $Name $Computer)
1007
22.6.5
GetFileVersionInfo
Versionsnummer
Die Versionsnummer einer ausfhrbaren Datei ermittelt man ber Get-FileVersionInfo aus den PSCX (siehe Bildschirmabbildung). Das Commandlet
liefert eine Instanz der .NET-Klasse System.Diagnostics.FileVersionInfo.
Abbildung 22.16
Get-FileVersionInfo
22.7 Prozessverwaltung
Get-Process
Das Commandlet Get-Process (Aliase ps oder gps) wurde schon in Kapitel 21

sehr hufig verwendet. Es liefert Instanzen der .NET-Klassen System.
Diagnostics.Process.
Liste der Prozesse Eine Liste aller Prozesse erhlt man mit:
Get-Process
Informationen zu einem Prozess liefert der folgende Befehl:

Get-Process iexplore
Eine Liste aller Prozesse, die mit einem i anfangen, erhlt man so:
Get-Process i*
1008
Druckerverwaltung
Prozesse beenden Einen Prozess beenden kann man wahlweise durch
Aufruf der Kill()-Methode:
Get-Process | Where-Object { $_.name -eq "iexplore" } | Foreach-Object
{ $_.Kill() }
oder prgnanter durch das Commandlet Stop-Process:

Stop-Process -name iexplore
Stop-Process erwartet als Parameter normalerweise die Prozessnummer.
Stop-Process
Wenn man den Prozessnamen angeben will, muss man den Parameter
-name verwenden.
Weitere Beispiele:
Beenden aller Prozesse, deren Name mit P anfngt:
Get-Process p* | Stop-Process
Beenden aller Prozesse, die mehr als 10 Megabyte RAM verbrauchen:
Get-Process | where { $_.WS -gt 10M } | stop-process

Warten auf das Beenden einer Anwendung Mit den folgenden Befehlen WaitForExit()
wartet die PowerShell darauf, dass Microsoft Outlook beendet wird:

$p = Get-Process outlook
if ($p)
{
$p.WaitForExit()
"Outlook wurde beendet!"
}
else
{
"Outlook war nicht gestartet!"
}
Listing 22.15
Warten auf das Ende
eines Prozesses
[WartenAufOutlook.ps1]
22.8 Druckerverwaltung
Der Befehl
Win32_Printer
Get-Wmiobject Win32_Printer
liefert eine Liste der verfgbaren Drucker.

Mit
Win32_Printjob
Get-Wmiobject Win32_Printjob
zeigt man alle aktuellen Druckauftrge.
22
Mit dem folgenden Befehl hlt man alle Druckauftrge fr einen

bestimmten Drucker an:
Get-Wmiobject Win32_Printjob -Filter "Drivername='HP LaserJet 2100
PCL6'" | foreach-object { $_.pause() }
1009
22.9 Systemdienste
Get-Service
Eine Liste der Systemdienste in Form von Instanzen der .NET-Klasse System.
ServiceProcess.ServiceController liefert das Commandlet Get-Service.
Die Liste der laufenden Systemdienste erhlt man mit:
Get-Service | Where-Object {$_.status eq "running"}
Die Liste der gestoppten Dienste liefert dementsprechend:

Get-Service | Where-Object {$_.status eq "stopped"}
Man kann per Skript prfen, ob ein Dienst installiert ist:

Listing 22.16
Prfung, ob der IIS
installiert ist
[Dienste.ps1]
$service = Get-Service -name iisadmin

if ( ! $service ) { "IIS is not installed on this computer." }
else
{ "SQL Server is " + $service.Status }
Leider war die Fernabfrage eines anderen Systems mit Get-Service ebenso
wie mit den anderen eingebauten Commandlets der PowerShell 1.0 nicht
mglich. Ab PowerShell 2.0 ist dies untersttzt:
$service = Get-Service -name iisadmin computer F171
Wenn man die abhngigen Dienste eines Dienstes ermitteln will, muss
man auf die Eigenschaft DependentServices des .NET-Objekts System.
ServiceProcess.ServiceController zugreifen:
get-service iisadmin | % { $_.DependentServices }
Das Ergebnis fr Windows Server 2003 Release 2 zeigt die Abbildung 22.17.
Abbildung 22.17
Die von IISAdmin
abhngigen Dienste
Abhngige
Systemdienste
ermitteln
Die abhngigen Dienste eines Systemdienstes kann man alternativ auch

in WMI ermitteln, durch die Methode GetRelated() in der Klasse ManagementObject in der .NET-Klassenbibliothek. Der folgende Befehl ermittelt
die Dienste, die von dem Dienst "IISAdmin" abhngig sind.
(Get-WmiObject win32_service -filter "Name = 'iisadmin'").
GetRelated($null,"Win32_DependentService",$null,$null,$null,
"Antecedent",$false,$null) | select name
Die gleiche Objektmenge erhlt man auch ber eine WQL-Abfrage mit
Bezug auf den feststehenden Ausdruck AssocClass:
([WmiSearcher]"Associators of {Win32_Service.Name='iisadmin'}
Where AssocClass=Win32_DependentService Role=Antecedent").get()
1010
Netzwerk
Abbildung 22.18
Ermitteln der
abhngigen Dienste
Zur Beeinflussung des Dienststatus stehen folgende Commandlets zur Weitere DienstCommandlets
Verfgung:
Suspend-ServiceDabei ist jeweils der Dienstname als Parameter anzugeben.
Der folgende Befehl startet also den Dienst "IISAdmin":

Start-Service IISADMIN
Bei Systemdiensten, die abhngige Dienste besitzen, ist auerdem force

hinzuzufgen:
Start-Service IISADMIN force
Da das Commandlet Start-Service nur fr den lokalen Computer wirkt,

muss man auf die WMI-Klasse Win32_Service zurckgreifen, um einen
Dienst auf einem entfernten System zu starten. Der folgende Befehl startet einen Systemdienst auf einem anderen Rechner:
Get-WmiObject -computer E02 Win32_Service -Filter "Name='Alerter'" |
Start-Service
Das Commandlet Restart-Service fhrt einen Neustart eines Dienstes

(erst stoppen, dann starten) durch. Wenn der Dienst nicht gestartet
war, wird er gestartet.
Die Eigenschaften von Diensten, z.B. die Startart, beeinflusst man ber
Set-Service:
Set-Service IISADMIN -startuptype "manual"
22.10 Netzwerk
22.10.1 Ping
Zur Prfung der Erreichbarkeit eines Computers kann man die WMI- Win32_
PingStatus
Klasse Win32_PingStatus einsetzen:
22
Get-WmiObject Win32_PingStatus -filter "Address='www.WindowsScripting.de'" | select protocoladdress, statuscode, responsetime
Die PowerShell Community Extensions (PSCX) bieten auch ein Commandlet Ping-Host, das eine Datenstruktur des Typs Pscx.Commands.Net.PingHostStatistics liefert:
ping-host 'www.Windows-Scripting.de'
1011

Abbildung 22.19
Anwendung von
Ping-Host
22.10.2 Netzwerkkonfiguration
IP-Adressen
auflisten
In Win32_NetworkAdapterConfiguration sind die IP-Adressen als ein Array

in IpAddress abgespeichert.
Get-Wmiobject Win32_NetworkAdapterConfiguration -Filter
"IPEnabled=true" | select Description,IPAddress
IP-Adresse
vergeben
Die WMI-Klasse Win32_NetworkAdapterConfiguration ermglicht auch zahlreiche Einstellungen fr die Netzwerkkarten.

Das folgende PowerShell-Skript wechselt fr eine Netzwerkkarte zwischen
DHCP und statischer IP-Adresse.
Listing 22.17
nderung der Netzwerkkonfiguration
1012
# Wechsel zwischen DHCP und statischer IP-Adresse

$config = Get-WmiObject Win32_NetworkadapterConfiguration -Filter
"IPEnabled=true" | where { $_.Description -like "*Controller #2*" }
"DHCP-Status Vorher: " + $Config.dhcpenabled
Get-WmiObject Win32_Networkadapterconfiguration -Filter
if (!$Config.dhcpenabled)
{
"Aktiviere DHCP..."
$Config.EnableDHCP()
}
else
{
"Aktiviere Statische IP-Adresse..."
[array] $ip = "192.168.1.15"
[array] $subnet = "255.255.255.0"
$Config.EnableStatic($ip, $subnet)
}
Netzwerk
$config = Get-WmiObject Win32_NetworkadapterConfiguration -Filter
"IPEnabled=true" | where { $_.Description -like "*Controller #2*" }
"DHCP-Status nachher: " + $Config.dhcpenabled
Get-WmiObject Win32_Networkadapterconfiguration -Filter
Abbildung 22.20
Ausgabe des
Beispiels bei zweimaligem Aufruf
Die WMI-Methode EnableStatic() funktioniert nur, wenn die Netzwerkkarte aktiviert ist.
22.10.3 Abruf von Daten von einem HTTP-Server

Das folgende Skript zeigt, wie man eine HTML-Seite von einem Webserver System.Net.
abruft. Zum Einsatz kommt hier die Klasse System.Net.WebClient aus der WebClient
.NET-Klassenbibliothek. Diese Klasse bietet eine Methode DownloadString()
an, die den Inhalt der angegebenen URL in einer Zeichenkette liefert. Mithilfe des Commandlets Set-Content wird die Zeichenkette dann abgelegt im
lokalen Dateisystem. Die letzten vier Zeilen sind die Fehlerbehandlung, die
dafr sorgt, dass bei Fehlern in dem Skript eine Meldung ausgegeben wird.
# Eingabeparameter
$Url = "http://www.powershell-doktor.de"
$Ziel = "c:\temp\hauptseite.htm"
# Script
Write-Host "Lade Webseite " $url "..."
$html = (new-object System.Net.WebClient).DownloadString($Url)
$html | Set-Content -Path $ziel
Write-host "Heruntergeladene Seite wurde gespeichert unter " $Ziel
Listing 22.18
Herunterladen einer
Datei per HTTP
[HTTP-Download.ps1]
trap [System.Exception]
{
write-host "Fehler beim Laden der URL: `"$url`"" `n
exit
}
22
Das nchste Beispiel zeigt, wie man die Titel der letzten acht Nachrichten
aus einem RSS-Feed (Weblog) abruft. Auch hier kommt wieder DownloadString() aus der Klasse System.Net.WebClient zum Einsatz. Da der Inhalt
in XML-Form vorliegt, ist eine Auswertung ber die direkte Notation
$blog.RDF.item mglich.
1013

Abbildung 22.21
Beispiel fr ein RSSDokument
Listing 22.19
Laden und Filtern
eines RSS-Feeds
[RSS-Download.ps1]
Write-Host "Aktuelle Nachrichten im Weblog von

Dr. Holger Schwichtenberg:"
$Url = "http://www.heise.de/ix/blog/1/blog.rdf"
$blog = [xml](new-object System.Net.WebClient).DownloadString($Url)
$blog.RDF.item | select title -first 8
22.11 Ereignisprotokolle
GetEreignisprotokoll
Informationen ber und aus Ereignisprotokollen stellt das Commandlet

Get-EventLog bereit.
Eine Liste der auf dem System verfgbaren Ereignisprotokolle liefert:
Get-EventLog list
System.
Diagnostics.
Ereignisprotokoll
Das Ergebnis sind Instanzen der Klasse System.Diagnostics.EventLog.

Ruft man hingegen das Commandlet Get-EventLog ohne den Parameter
-list und stattdessen mit dem Namen eines Ereignisprotokolls auf, liefert
das Commandlet alle Eintrge in dem Ereignisprotokoll in Form von
Objekten des Typs System.Diagnostics.EventLogEntry.
Get-EventLog Application
Hier ist eine Einschrnkung sinnvoll, weil die Operation sonst sehr lange
dauert. Das Commandlet besitzt eine eingebaute Filterfunktion:
Get-EventLog Application -newest 30
Ereignisprotokoll
eintrge des
heutigen Tages
Listing 22.20
Protokolleintrge
von heute
[Datum.ps1]
1014
Mit einer kleinen Hilfsroutine ist es mglich, die Protokolleintrge auf die
Eintrge des heutigen Tages zu begrenzen:
function isToday ([datetime]$date)
{[datetime]::Now.Date -eq $date.Date}
Get-EventLog Application -newest 2048 |where {isToday $_.TimeWritten}
Leistungsdaten
Oder alle Eintrge der letzten drei Tage abzurufen:

function isWithin([int]$days, [datetime]$Date)
{
[DateTime]::Now.AddDays($days).Date -le $Date.Date
}
Listing 22.21
Protokolleintrge
der letzten drei Tage
[Datum.ps1]
get-EventLog Application |where {isWithin -3 $_.TimeWritten}
Interessant ist es, die Eintrge nach Ereignisnummer zu gruppieren, um

wiederkehrende Probleme zu identifizieren:
Get-EventLog Application | Group-Object eventid | Sort-Object Count
22.12 Leistungsdaten
WMI ermglicht ber den Performance Counters Provider Zugriff auf zahl- Win32_
reiche Leistungsdaten des Windows-Systems. Die Klassen beginnen mit PerfRawData
der Zeichenfolge Win32_PerfRawData. Wenn Sie diese Klassen nicht finden,
starten Sie den WMI-Dienst einmalig manuell an der Kommandozeile
mit Winmgmt /resyncperf.
Informationen ber die Speichernutzung der laufenden Prozesse liefert:
Get-Wmiobject Win32_PerfRawData_PerfProc_Process |
select Name,Workingset
Daten ber den verfgbaren Hauptspeicher gibt es hier:

Get-Wmiobject Win32_PerfRawData_PerfOS_Memory
Die Auslastung des Prozessors kann man so auslesen:

Get-Wmiobject Win32_PerfRawData_PerfOS_Processor
Win32_PerfRawData ist die abstrakte Basisklasse ber alle Leistungs-
datenklassen. Den Befehl

Get-WmiObject Win32_PerfRawData
sollten Sie aber nicht ausfhren, da Sie sonst sehr, sehr viele Objekte
erhalten.
22.13 Sicherheitseinstellungen
Ressourcen wie Dateisystemobjekte und Registrierungsdatenbankeintrge werden durch Zugriffsrechtelisten (Access Control Lists ACLs)
geschtzt. Die PowerShell bietet zwei eingebaute Commandlets fr die
Arbeit mit ACLs:
22
Get-Acl
Set-Acl
Diese erledigen die Grundfunktionen des Ladens und Speicherns einer

Zugriffsrechteliste abhngig von dem abgegebenen Ressourcenpfad. Der-
1015
zeit untersttzt werden aber nur das Dateisystem und die Registrierungsdatenbank.
Neben den o.g. Commandlets ist auch Wissen aus dem .NET-Namensraum System.Security.AccessControl erforderlich.
22.13.1 Grundlagen
Der Namensraum enthlt zahlreiche Klassen zur Verwaltung von Berechtigungen (Access Control Lists, ACLs). Dieser Namensraum wird insbesondere von den Klassen System.IO.File, System.IO.Directory, Microsoft.Win32.RegistryKey und System.Threading.Semaphore verwendet. Fr
jede Art von Ressource, deren ACLs verwaltet werden knnen, bietet der
Namensraum AccessControl eine Klasse an, die von System.Security.
AccessControl.ObjectSecurity abgeleitet ist. Beispielsweise dient System.
Security.AccessControl.FileSecurity dazu, die ACLs einer Datei im Dateisystem zu lesen und zu verarbeiten.
Die folgende Abbildung zeigt diese Klassen im Vererbungsbaum der .NETKlassenbibliothek. Die anderen dort genannten Ressourcen (z.B. Active
Directory) knnen derzeit noch nicht ber Get-Acl abgefragt werden. Hier
ist aber eine direkte Ansprache ber die .NET-Klassenbibliothek mglich.
Abbildung 22.22: Vererbungshierarchie der Klassen zur ACL-Speicherung
ber die gesamte .NET-Klassenbibliothek verteilt findet man Klassen, die

eine Methode GetAccessControl() besitzen, die ein von der Klasse ObjectSecurity abgeleitetes Objekt liefert. Beispiele fr solche Klassen sind:
System.IO.File
System.IO.Directory
1016
System.IO.FileInfo
System.IO.DirectoryInfo
Microsoft.Win32.RegistryKey
System.Threading.Semaphore
Die Basisklasse ObjectSecurity vererbt u.a. folgende Mitglieder, sodass

diese in allen untergeordneten Klassen zur Verfgung stehen:
GetOwner(): ermittelt den Besitzer des Objekts
SetOwner(): setzt den Besitzer
GetAccessRules(): liefert eine Liste der Rechteeintrge (Access Control
Entry ACE). Der Rckgabewert hat den Typ AuthorizationRuleCollection. Die enthaltenen Elemente sind vom Ressourcentyp abhngig (z.B. FileSystemAccessRule oder RegistryAccessRule).
GetAuditRules(): liefert die Eintrge der System-ACL (SACL).
IsSddlConversionSupported: zeigt an, ob die Zugriffsrechteliste in SDDL
ausgedrckt werden kann.
GetSecurityDescriptorSddlForm(): Liefert die Zugriffsrechteliste als SDDLZeichenkette.
Kontenname und SID Der Namensraum System.Security.AccessControl
verwendet Klassen aus System.Security.Principal zur Darstellung der
Berechtigungstrger (Benutzer und Gruppen). System.Security.Principal
untersttzt die beiden in Windows bekannten Bezeichner fr Berechtigungstrger:

Prinzipalname (z.B. ITVisions\hs) durch die Klasse System.-Security.Principal.NTAccount
Security Identifier (z.B. S-1-5-21-565061207-3232948068-1095265983-
500) durch die Klasse System.Security.Principal.SecurityIdentifier.

Jeder Benutzer und jede Benutzergruppe besitzen einen sogenannten
Security Identifier (kurz: SID), der den Benutzer bzw. die Gruppe eindeutig identifiziert. Ein SID ist ein Zahlen-Array variabler Lnge. In Textform
wird der SID mit einem beginnenden S dargestellt.
22.13.2 Zugriffsrechtelisten auslesen

Get-Acl liefert abhngig vom Ressourcentyp Instanzen folgender .NET-
Klassen:
System.Security.AccessControl.DirectorySecurity (fr Verzeichnisse)
System.Security.AccessControl.FileSecurity (fr Dateien)
System.Security.AccessControl.RegistrySecurity (fr Registrierungs-
datenbankschlssel)
22
Get-Acl erwartet als Parameter den Pfad der Ressource, deren Zugriffs-
rechteliste ermittelt werden soll, z.B.:

Get-Acl hklm:/software/www.IT-visions.de
Get-Acl g:\daten\kunden
Get-Acl g:\daten\kunden\Kundenliste.csv
1017
Die Standardausgabe erfolgt mit Format-Table. Die Ausgabe mit FormatList bietet sich an, damit die Ausgabe besser lesbar ist.
Die folgende Bildschirmabbildung zeigt die Anwendung von Get-Acl auf
ein Verzeichnis im Dateisystem. Die zweite Bildschirmabbildung zeigt
die gleiche Zugriffsrechteliste im Windows Explorer.
Abbildung 22.23
Beispiel fr das
Auslesen einer ACL
Abbildung 22.24
Tatschliche Einstellungen
Access (siehe Abbildung 22.23) ist keine Eigenschaft der .NET-Klasse

ObjectSecurity, sondern ein PowerShell Code Property, intern wird
hier GetAccessRules() aufgerufen. Der Rckgabewert ist in beiden Fllen eine AuthorizationRuleCollection.
1018
22.13.3 Einzelne Rechteeintrge auslesen

Mchte man die einzelnen Rechteeintrge eines Systembausteins genauer
betrachten, dann sollte man selbst ber die Rechteliste iterieren. Die von
Access bzw. GetAccessRules() gelieferte Liste des Typs AuthorizationRuleCollection enthlt im Falle des Dateisystems Objekte vom Typ FileSystemAccessRule. Diese Objekte enthalten wiederum folgende Attribute:
IdentityReference: Subjekt (Benutzer oder Gruppe), das Rechte hat
FileSystemRights: Rechte
AccessControlType: Rechteart (erlaubt oder verboten)
IsInherited: zeigt an, ob die Regel geerbt ist
InheritanceFlags: zeigt die Art der Vererbung nach unten an
Benutzerkonten knnen in zwei Formen ausgedrckt werden: im Klartext oder durch Security Identifiers (SIDs). Bei der Verwendung von
GetAccessRules() muss man angeben, wie man die Benutzer sehen will:
[System. Security.Principal.NTAccount] (Klartext) oder [System.Security.
Principal.SecurityIdentifier] (SID). Davor besitzt die Methode noch
zwei Parameter, mit denen man steuern kann, welche Regeln man sehen
will: die explizit auf dem Objekt gesetzten Regeln (erste Parameter) und/
oder die vererbten Regeln (zweite Parameter). Die expliziten ACEs erscheinen immer zuerst in der Liste.
Der Zugriff auf das Code Property Access ist gleichbedeutend mit GetAccessRules($true, $true, [System.Security.Principal.NTAccount]). Mchte
man andere Informationen, muss man GetAccessRules() explizit nutzen.
In dem folgenden Beispiel werden beim zweiten Ausgeben der Liste nur
die geerbten Regeln in SID-Form aufgefhrt.
$a = Get-Acl g:\daten\kunden
# Rechte als NT-Konten holen
$aces =$a.access
# entspricht: $aces =$a.GetAccessRules($true, $true,
[System.Security.Principal.NTAccount])
Listing 22.22
Details aus ACEs
auslesen
Write-Host "Alle Regeln:" -F yellow

foreach ($ace in $aces)
{
write-host $ace.IdentityReference.ToString() "hat Zugang"
$ACE.FileSystemRights $ACE.AccessControlType "Vererbt?"
$ACE.IsInherited
}
$aces =$a.GetAccessRules($true, $false,
[System.Security.Principal.SecurityIdentifier])
22
Write-Host "Nur die expliziten Regeln, in SID-Form:" -F yellow

{
1019

$ACE.IsInherited
}
Abbildung 22.25
Ausgabe des obigen
Skripts
22.13.4 Besitzer auslesen

Den Besitzer eines Systembausteins liest man ber das Code Property
Owner aus dem von ObjectSecurity abgeleiteten und von der PowerShell
erweiterten Objekt aus, das Get-Acl zurckgibt. Alternativ kann man
auch Get-Owner() verwenden und hat dabei wieder die Wahl der Form.
Zwischen den beiden Formen der Benutzerdarstellung kann man auch
mithilfe der Translate()-Methode konvertieren.
Listing 22.23
Besitzerinformationen auslesen
"Besitzerinformationen:"
$a = Get-Acl g:\daten\kunden
$a.Owner
$a.GetOwner([System.Security.Principal.NTAccount]).Value
$a.GetOwner([System.Security.Principal.SecurityIdentifier]).Value
# bersetzen zwischen Kontoname und SID
$konto = $a.GetOwner([System.Security.Principal.NTAccount])
$konto.Translate([system.security.principal.securityidentifier]).value
# bersetzen zwischen SID und Kontoname
$konto = $a.GetOwner([System.Security.Principal.SecurityIdentifier])
$konto.Translate([system.security.principal.NTAccount]).value
22.13.5 Benutzer und SID

Mchte man fr einen beliebigen Benutzer dessen SID ermitteln, kann
man auch eine Instanz von System.Security.Principal.NtAccount unter
Angabe des Benutzernamens in Textform erzeugen und dann Translate()
aufrufen.
Umwandeln zwischen Benutzername und SID

Das folgende Skript zeigt die Umwandlung eines Prinzipalnamens in
einen SID und umgekehrt mithilfe der Methode Translate() in der Klasse
IdentityReference, welche die Basisklasse fr NTAccount und SecurityIdentifier ist.
1020
# Umwandlung zwischen Kontoname und SID
Listing 22.24
SID ermitteln
# Hole Konto
# bersetze in SID
$SID =
$Account.Translate([system.security.principal.securityidentifier]).
value
$SID
# bersetze in Kontonamen
$Account = new-object system.security.principal.securityidentifier
("S-1-5-32-544")
$Name =
$Account.Translate([system.security.principal.ntaccount]).value
$Name
Well-Known Security Identifier verwenden

In Windows eingebaute Benutzer und Gruppen besitzen einen sogenannten Well-Known Security Identifier. .NET 2.0 stellt eine Auflistung System
.Security.Principal.WellKnownSidType bereit, die man zur Instanziierung
der Klasse SecurityIdentifier einsetzen kann. Man umgeht damit die
sprachspezifischen Unterschiede des Betriebssystems (Guests/Gste).
# Bekannte Konten
$SID =
[System.Security.Principal.WellKnownSidType]::BuiltinAdministratorsSid
$Account = new-object
system.security.principal.securityidentifier($SID, $null)
$Name =
$Account.Translate([system.security.principal.ntaccount]).value
$Name
Listing 22.25
Zugriff auf ein
Konto ber die SID
Einige eingebaute Benutzer und Gruppen beinhalten den SID der Domne
in ihrem eigenen SID. In diesem Fall muss bei der Instanziierung der Klasse
SecurityIdentifier der Domnen-SID mit angegeben werden. Leider
schweigt sich die Dokumentation darber aus, woher man den DomainSID mit .NET-Methoden bekommt. Auch im WWW findet man noch kein
Beispiel dafr.
SDDL verwenden
Eine andere Mglichkeit zum Zugriff auf eingebaute Benutzer und Gruppen besteht in der Verwendung der in der Security Descriptor Definition
Language (SDDL) definierten Abkrzungen fr die eingebauten Benutzer und Gruppen (siehe Tabelle).
# SDDL-Namen
$Account = new-object
System.Security.Principal.SecurityIdentifier("BA")
$Account.Value
22
Listing 22.26
Ermitteln einer
SID aus einem
SDDL-Krzel
1021
SDDL-Abkrzung
Bedeutung
"AO"
Account operators
"AN"
Anonymous logon
"AU"
Authenticated users
"BA"
Built-in administrators
"BG"
Built-in guests
"BO"
Backup operators
"BU"
Built-in users
"CA"
Certificate server administrators
"CG"
Creator group
"CO"
Creator owner
"DA"
Domain administrators
"DC"
Domain computers
"DD"
Domain controllers
"DG"
Domain guests
"DU"
Domain users
"EA"
Enterprise administrators
"ED"
Enterprise domain controllers
"WD"
Everyone
"PA"
Group Policy administrators
"IU"
Interactively logged-on user
"LA"
Local administrator
"LG"
Local guest
"LS"
Local service account
"SY"
Local system
"NU"
Network logon user
"NO"
Network configuration operators
"NS"
Network service account
"PO"
Printer operators
"PS"
Personal self
"PU"
Power users
"RS"
RAS servers group
"RD"
Terminal server users
"RE"
Replicator
"RC"
Restricted code
"SA"
Schema administrators
"SO"
Server operators
"SU"
Service logon user
Tabelle 22.5: SDDL-Abkrzungen fr eingebaute Benutzer und Gruppen
1022
22.13.6 Hinzufgen eines Rechteeintrags zu

einer Zugriffsrechteliste
Das folgende Skript zeigt das Ergnzen eines Rechteeintrags zu einer
Rechteliste einer Datei im Dateisystem. Neue Rechteobjekte vom Typ
FileSystemAccessRule bentigen fnf Angaben:
Kontoobjekt (NTAccount-Objekte oder SecurityIdentifier-Objekte)
Zu vergebende Rechte (Werte aus der FileSystemRights-Aufzhlung)
Ziele der Vererbung (Werte aus der InheritanceFlags-Aufzhlung)
Art der Vererbung (Wert aus der PropagationFlags-Aufzhlung)
Art der Regel: Erlauben oder Verbieten (Wert aus der AccessControlType-Aufzhlung)
Das folgende Skript gewhrt einem Benutzer Leserechte auf ein Verzeichnis.
# ACL schreiben: Lese- und Schreibrechte fuer einen Benutzer setzen
Listing 22.27
ACE anfgen
# Eingabedaten
$DIR = "g:\daten\kunden"
$BENUTZER = "HS"
# Hole ACL
$ACL = Get-Acl $DIR
"ACL vorher:"
$acl | format-list
# ACE definieren
$Rights = [System.Security.AccessControl.FileSystemRights] "ReadData,
ReadExtendedAttributes, ReadAttributes, ReadPermissions"
$Access=[System.Security.AccessControl.AccessControlType]::Allow
$Inherit=[System.Security.AccessControl.InheritanceFlags]::
ContainerInherit `
-bor
[System.Security.AccessControl.InheritanceFlags]::ObjectInherit
$Prop=[System.Security.AccessControl.PropagationFlags]::InheritOnly
$AccessRule = new-object
System.Security.AccessControl.FileSystemAccessRule `
($BENUTZER,$Rights,$Inherit,$Prop,$Access)
# ACE an ACL anfgen
$ACL.AddAccessRule($AccessRule)
# ACL speichern
set-acl -AclObject $ACL -Path $DIR
22
# Kontrolle
$ACL = Get-Acl $DIR
"ACL nachher:"
$acl | format-list
1023

Abbildung 22.26
Ausfhrung des
Skripts, das einem
Benutzer Leserechte
gewhrt
Abbildung 22.27
Ansicht der Rechte
im Windows
Explorer
Wenn in einem Parameter mehrere Flags zu setzen sind, sind diese mit
einem binren Oder zu verknpfen (Operator -bor in der PowerShellSprache).
$Rights= [System.Security.AccessControl.FileSystemRights]::Read `
-bor
[System.Security.AccessControl.FileSystemRights]::
ReadExtendedAttributes `
-bor
ReadAttributes `
-bor
ReadPermissions
1024
Prgnanter kann man die Aufzhlungswerte auch in eine durch Kommata getrennte Zeichenkette schreiben.
$Rights = [System.Security.AccessControl.FileSystemRights]
"ReadData, ReadExtendedAttributes, ReadAttributes, ReadPermissions"
22.13.7 Entfernen eines Rechteeintrags aus

einer Zugriffsrechteliste
Zum Entfernen eines Rechteeintrags (Access Control Entry ACE) aus der
Zugriffsrechteliste dient die Methode RemoveAccessRule(), die von
Native-ObjectSecurity an alle Rechteklassen vererbt wird. Die Methode
erwartet als Parameter ein Objekt vom Typ AccessContolEntry.
Mchte man alle Eintrge zu einem Benutzer entfernen, kann man
Purge-AccessRules() unter Angabe eines Benutzerkontoobjekts (nicht des
Kontonamens!) verwenden.
Das folgende Skript lscht aus einer Zugriffsrechteliste alle Rechteein- Beispiel 1
trge zu einem bestimmten Benutzer.
# ACL schreiben: Alle ACEs eines Benutzers loeschen
# Eingabedaten
$BENUTZER = "itv\HS"
$Count = 0
Listing 22.28
ACL schreiben: Alle
ACEs eines Benutzers lschen
# Kontrollausgabe
$acl = Get-Acl $DIR
"ACL vorher:"
$acl | format-list
# ACL holen
$acl = Get-Acl g:\daten\kunden
$acl.PurgeAccessRules($Account)
# ACL speichern
# Kontrollausgabe
$acl = Get-Acl $DIR
"ACL nachher:"
$acl | format-list
22
Das folgende Skript lscht aus einer Zugriffsrechteliste alle Rechteeintrge, Beispiel 2
in denen das Lese- und Ausfhrungsrecht ("ReadAndExecute") vergeben
wurde.
1025

Listing 22.29
Aus einer Zugriffsrechteliste alle Rechteeintrge lschen,
in denen das Leseund Ausfhrungsrecht (ReadAndExecute) steht
# ACL schreiben: Aus einer Zugriffsrechteliste alle Rechteeintrge

lschen, in denen das Lese- und Ausfhrungsrecht ("ReadAndExecute") steht
# Eingabedaten
$BENUTZER = "itv\HS"
$Count = 0
# Kontrollausgabe
$acl = Get-Acl $DIR
"ACL vorher:"
$acl | format-list
# ACL holen
$acl = Get-Acl g:\daten\kunden
# Zugriff auf ACEs
$aces =$acl.GetAccessRules($true, $true,
[System.Security.Principal.NTAccount])
# Schleife ber alle ACEs
{
$ACE.IsInherited
# Selektives Lschen
if ($ace.FileSystemRights.ToString() -match "ReadAndExecute")
{
"...wird entfernt!"
$Ergebnis = $acl.RemoveAccessRule($ace)
if ($Ergebnis) { echo "Wurde entfernt!"; $Count++ }
}
}
# ACL speichern
echo ($Count.ToString() + " ACEs wurden entfernt!")
# Kontrollausgabe
$acl = Get-Acl $DIR
"ACL nachher:"
$acl | format-list
22.13.8 Zugriffsrechteliste bertragen

Get-Acl, Set-Acl
1026
Durch die Kombination von Get-Acl und Set-Acl kann man auf einfache
Weise eine Zugriffsrechteliste von einem Dateisystemobjekt auf ein anderes bertragen.
# bertragen einer ACL von einer Datei auf eine andere
Get-Acl g:\daten\kunden | Set-Acl g:\daten\lieferanten
Listing 22.30
Dateisystem_ACL_
uebertragen.ps1
# bertragen einer ACL von einer Datei auf eine Menge von Dateien
$acl = Get-Acl g:\Daten\kunden
Get-ChildItem g:\Daten | foreach-object { set-acl $_.Fullname $acl;
"bertragen auf $_" }
22.13.9 Zugriffsrechteliste ber SSDL setzen

Die Security Descriptor Definition Language (SDDL) ist ein Textformat
zur Beschreibung von Access Control Lists (ACLs) mit einzelnen ACEs in
Windows (eingefhrt mit Windows 2000).
Ein Beispiel fr eine SDDL-Zeichenkette ist:
O:BAG:DUD:PAI(A;;FA;;;BA)(A;OICI;0x1600a9;;;S-1-5-21-1973890784140174113-2732654181-1188)(A;OICI;0x1200a9;;;S-1-5-21-1973890784140174113-2732654181-1189)
Beispiel
Das folgende Skript nutzt SDDL zur bertragung einer Zugriffsrechteliste
von einem Verzeichnis auf ein anderes. Zwischenzeitlich wird die Zugriffsrechteliste im Dateisystem gespeichert, sodass man Auslesen und Setzen
zeitlich entkoppeln knnte.
# bertragen einer ACL via SDDL
$QUELLE = "g:\daten\kunden"
$ZIEL = "g:\daten\lieferanten"
Listing 22.31
[Dateisystem_
SDDL.ps1]
function replace-acl
{
Param (
$sObject,
$sSDDL
)
$acl = Get-Acl $sObject
$acl.SetSecurityDescriptorSddlForm($sSDDL)
Set-Acl -aclObject $acl $sObject
}
# SDDL lesen und in Textdatei speichern
(Get-Acl $QUELLE).SDDL > g:\Daten\acl.txt
22
# SDDL aus Textdatei lesen

$sddl = Get-Content g:\Daten\acl.txt
replace-acl $ZIEL $sddl
"Folgende Rechte wurden bertragen: " + $sddl
1027
22.14 Active Directory

ADPowerShell
Windows Server 2008 Release 2 enthlt ein Active Directory-PowerShellModul mit 76 Commandlets und einem Navigationsprovider. Das Modul
wird bei Microsoft Active Directory PowerShell (kurz: ADPowerShell)
genannt. Das Modul kann man im Rahmen des Zusatzes Microsoft Remote
Server Administration Tools RSAT auch auf Windows 7 installieren, um
ein Active Directory zu verwalten.
22.14.1 Architektur und Installation

ADWS
Das Active Directory-Modul nutzt fr den Zugriff auf einen Domnencontroller nicht das LDAP-Protokoll, sondern Webservices. Voraussetzung ist daher, dass auf dem Domnencontroller die Active Directory
Web Services (ADWS) installiert sind. ADWS werden automatisch auf
einem Windows Server 2008 R2-Domnencontroller installiert. ADWS
basieren auf der .NET-Kommunikationsinfrastruktur Windows Communication Foundation (WCF) und diversen W3C-Standards wie WSTransfer sowie Microsoft-eigenen Erweiterungen (z.B. WS-Enumeration).
Abbildung 22.28
Das Schaubild zeigt
den Weg vom Active
Directory Administrative Center
(ADAC) ber die
PowerShell und
WCF bis zum
Dienst lsass.exe (fr
Active Directory
Domain Services)
bzw. dsmain.exe (fr
Lightweight Directory Services).
[Quelle: http://
blogs.msdn.com/
adPowerShell/
archive/2009/04/06/
active-directoryweb-services-over- ADWS verwendet TCP-Port 9389 und ist implementiert im Windowsview.aspx] Systemdienst ADWS (Microsoft.ActiveDirectory.WebServices.exe). Das
Installationsverzeichnis ist C:\Windows\ADWS. Die Konfiguration ist

mglich ber Microsoft.ActiveDirectory.WebServices.exe.config.
1028
Active Directory
Abbildung 22.29: Der Systemdienst Active Directory Web Services

(Microsoft.ActiveDirectory.WebServices.exe), der ADWS realisiert
Tipp: Beim Auftreten des Fehlers Unable to find a default server with
Active Directory Web Services running. prfen Sie, ob der ADWSDienst luft und erreichbar ist.
ADWS sind fr Windows Server 2008 (mit SP1 oder SP2) sowie Windows ADMGS
Server 2003 R2 (mit SP2) als Zusatzkomponenten verfgbar. Dazu muss
man dort den Active Directory Management Gateway Service (ADMGS)
installieren. ADMGS basiert auf .NET Framework 3.5, das vorher installiert
sein muss. Zum Redaktionsschluss dieses Buchs waren die ADMGS nur als
Vorabversion ber [CONNECT01] zu beziehen.
Hinweis: ADMGS entspricht hinsichtlich der Funktionalitt ADWS
unter Windows Server 2008 R2. Warum hier zwei Namen notwendig
waren, bleibt schleierhaft.
Auf einem Windows Server 2008 R2, der nicht Domnencontroller ist,
kann man das ADPowerShell-Modul einzeln installieren (RSAT steht hier
fr Remote Server Administration Tools):
import-module servermanager
Add-WindowsFeature -Name "RSAT-AD-PowerShell" -IncludeAllSubFeature
Unter Windows 7 kann man das AD-Modul ebenfalls nutzen (zum Zugriff RSAT
auf entsprechend ausgestattete Domnencontroller). Hier muss man die
Microsoft Remote Server Administration Tools (RSAT) fr Windows 7
installieren und danach unter den optionalen Features das Active Directory Module for Windows PowerShell aktivieren (siehe Bildschirmabbildung).
22
1029

Abbildung 22.30
Aktivieren von
ADPowerShell in
Windows 7
22.14.2 Aktivieren des Active Directory-Moduls

Das Active Directory-Modul ist im Standard nicht aktiv, wenn man die
Windows PowerShell 2.0 auf Windows Server 2008 R2 oder Windows 7
mit installiertem RSAT startet. Es gibt zwei Mglichkeiten:
Start des Eintrags Active Directory-Module fr Windows PowerShell
unter Administrative Tools im Startmen. Dies startet eine PowerShell-Konsole mit aktiviertem Active Directory-Modul.
Abbildung 22.31
Active DirectoryWerkzeuge in
Windows Server
2008 R2
Eingabe von Import-Module ActiveDirectory in einer normalen
PowerShell-Konsole.
Wie die folgende Bildschirmabbildung zeigt, erhht sich die Anzahl der
Commandlets/Funktionen um 76 und die Anzahl der Navigationsprovider um eins.
1030
Active Directory
Abbildung 22.32
Vernderungen
nach dem Import
des Moduls
22.14.3 Active Directory-Navigationsprovider

Der PowerShell-Navigationsprovider fr das Active Directory trgt den AD:
Namen ActiveDirectory. Auf einem Windows Server 2008 R2 Domnencontroller oder einem Windows 7-System mit aktiviertem ADPowerShellModul wird durch die Aktivierung des Active Directory-Moduls automatisch ein Laufwerk AD: eingerichtet, das zur Wurzel des Active Directory,
dem Element rootDSE, fhrt. Unter diesem existieren der DefaultNamingContext, der ConfigurationNamingContext und der SchemaNamingContext
(vgl. Kapitel 22.14.4).
Abbildung 22.33
Ausfhrung von
Dir AD:
Wichtig: Zu beachten ist, dass zur Navigation im Active Directory der Provider nicht den Namen, sondern den DN (Distinguished Name) verwendet. Falsch ist also:
Dir ad:\FBI
(auch wenn die Anzeige von DIR ad: dies suggeriert), sondern richtig ist:
Dir ad:\"dc=FBI,dc=org"
(mit den Anfhrungszeichen!)

Abbildung 22.34
Auflisten des
DefaultNamingContext im Active
Directory FBI.org
22
1031

Abbildung 22.35
Auflisten der Organisationseinheit
Agents im Active
Directory FBI.org
Man kann mit CD den aktuellen Pfad ins Active Directory setzen
cd ad:"ou=Agents,dc=FBI,dc=org"
oder einen neuen Laufwerksnamen definieren:

New-PSDrive -Name Agents -PSProvider ActiveDirectory -Root
AD:"ou=Agents,dc=FBI,dc=org"
Dir Agents:
Mit Get-Item kann man gezielt auf einzelne Active Directory-Eintrge

zugreifen. Allerdings stellt man schnell fest, dass man auf diesem Wege
nur die Basisinformationen fr einen Eintrag, nicht aber die spezifischen
Attribute erreichen kann.
Abbildung 22.36
Einsatz von GetItem
Abbildung 22.37
PowerShellPlus
offenbart, dass es
keine spezifischen
Objektinformationen ber den Navigationsprovider
gibt.
1032
Active Directory
22.14.4 Objektmodell
Die Commandlets des ADPowerShell-Moduls bieten mehr Mglichkeiten
als der Provider. Die Commandlets verwenden ein eigenes Objektmodell
zur Abbildung der ADS-Strukturen. Die Vererbungshierarchie der Datenklassen im Active Directory-Modul entspricht nicht der Vererbungshierarchie im Active Directory-Schema. Im AD-Schma ist z.B. Computer eine
Spezialisierung von User. Im ADPowerShell-Objektmodell sind ADUser
und ADComputer auf gleicher Ebene Unterklassen von ADAccount.
Abbildung 22.38
Das Vererbungsmodell der Datenklassen im Active
Directory-Modul
(Quelle: Hilfe zum
Modul
ADPowerShell)
Abbildung 22.39
Im ADS-Schema ist
Computer eine
Unterklasse von
User (hier angezeigt im Werkzeug
ADSI Edit).
Die Datenklassen besitzen zwei Arten von Attributen:

Direkt aus dem Active Directory stammende Attribute (z.B. ObjectClass, City, GivenName). Die Attribute haben zum Teil von den LDAPNamen abweichende Bezeichnungen (z.B. City statt l).
Zusammengesetzte Attribute, die mehrere Daten aus dem Active
Directory zusammenfassen. Ein Beispiel dafr ist ProtectedFromAccidentalDeletion. Dieser Boolean-Wert (Ja-/Nein-Wert) ergibt sich aus
nTSecurityDescriptor, sdRightsEffective, instanceType und isDeleted.
22
1033

Tabelle 22.6
Abbildung von
LDAP-Namen auf
Namen im ADModul
Name des Attributs im AD-Modul
LDAP-Name
Name
name
ObjectClass
objectClass
ObjectGUID
objectGUID
CN
cn
DistinguishedName
distinguishedName
DisplayName
displayName
Description
description
Title
title
Surname
sn
GivenName
givenName
City
StreetAddress
street
Country
Office
physicalDeliveryOfficeName
Fax
facsimileTelephoneNumber
EmailAddress
mail
SamAccountName
sAMAccountName
HomeDrive
homeDrive
HomeDirectory
homeDirectory
ProfilePath
profilePath
ProtectedFromAccidentalDeletion
nTSecurityDescriptor, sdRightsEffective, instanceType, isDeleted
22.14.5 berblick ber die Commandlets

Arten von
Commandlets im
ADPowerShellModul
1034
Die beim Active Directory-PowerShell-Modul mitgelieferten Commandlets lassen sich in drei Gruppen unterteilen:
Allgemeine Verwaltungscommandlets
Kontenverwaltung (Organisationseinheiten, Benutzer, Gruppen, Computer) mit den Untergruppen:
Lebenszyklusverwaltung
Kontoeigenschaftenverwaltung
Dienstkontenverwaltung
Gruppenmitgliedschaftsverwaltung
Kennwortrichtlinienverwaltung
Topologieverwaltung
Verwaltung der Domnen und Wlder
Verwaltung der Domnencontroller
Verwaltung der optionalen Features
Verwaltung der Replikationsrichtlinien
Active Directory
In dem folgenden Schaubild sind zustzlich die allgemeinen PowerShellCommandlets fr die Providerverwaltung erwhnt.
Abbildung 22.40
Post der Commandlets aus dem Active
Directory-PowerShell-Modul
[Quelle: http://
blogs.msdn.com/
adPowerShell/
archive/2009/03/05/
active-directoryPowerShelloverview.aspx]
22.14.6 Allgemeine Verwaltungscommandlets

Das Active Directory-Modul stellt folgende allgemeine Commandlets bereit,
mit denen sich Active Directory-Objekte unabhngig von der Verzeichnisdienstklasse verwalten lassen:
Get-ADObject: Holt ein AD-Objekt
Set-ADObject: Setzt Werte in einem AD-Objekt
New-ADObject: Erzeugt ein neues AD-Objekt (unter Angabe des Klassennamens)
Remove-ADObject: Lscht ein AD-Objekt
Rename-ADObject: Umbennenen eines AD-Objekts
Move-ADObject: Verschieben eines AD-Objekts
Restore-ADObject: Wiederherstellen eines gelschten AD-Objekts
22
Das folgende Listing zeigt ein Skript, das eine Organisationseinheit lscht,
an einem anderen Ort unter anderem Namen wieder anlegt, dann verschiebt und umbenennt.
1035

Listing 22.32
Beispielskript fr
den Einsatz der allgemeinen ADCommandlets
"Delete and Recreate an OU....."

$ou = Get-ADObject "ou=Agents,dc=FBI,dc=org"
$ou | fl
Set-adobject "ou=Agents,dc=FBI,dc=org" protectedFromAccidentalDeletion $false
Remove-ADObject "ou=Agents,dc=FBI,dc=org" -confirm:$false -recursive
New-ADObject -type "OrganizationalUnit" ProtectedFromAccidentalDeletion $false -name "Alien-Agents" -Path
"ou=Aliens,dc=FBI,dc=org"
"Move an OU..."
Move-ADObject -Identity "ou=Alien-Agents,ou=Aliens,dc=FBI,dc=org" targetpath "dc=FBI,dc=org"
Rename-ADObject "ou=Alien-Agents,dc=FBI,dc=org" -newname "Agents"
# Option #1
Set-ADObject "ou=Agents,dc=FBI,dc=org" -description "FBI Agents"
# Option #2
Set-ADObject "ou=Agents,dc=FBI,dc=org" -replace @{ManagedBy="cn=Walter
Skinner,ou=Directors,dc=fbi,dc=org"}
# Option #3
$newou = Get-ADObject "ou=Agents,dc=FBI,dc=org"
$newou.ManagedBy = "cn=Walter Skinner,ou=Directors,dc=fbi,dc=org"
Set-ADObject -instance $newou
"Ergebnis:"
$ou | fl
Interessant im obigen Listing sind vor allem die drei Wege, auf denen SetADObject arbeitet:
Option 1: Es gibt einige wenige AD-Attribute bzw. Attribute der ADModul-Klassen, die Parameter des Commandlets Set-ADObjekt sind
(z.B. Description und ProtectedFromAccidentalDeletion). Diese knnen direkt gesetzt werden.
Option 2: Andere Attribute knnen entweder unter Angabe im
Replace-Parameter gesetzt werden (hier z.B. Managedby).
Option 3: Oder diese Attribute knnen in objektorientierter Vorgehensweise in das Objekt geschrieben werden. Set-ADObject sorgt dann fr
die bermittlung der nderungen an das AD.
Wichtig: Das Commandlet Remove-ADObject bietet leider nicht den sonst
blichen Parameter Force, mit dem man schreibgeschtzte AD-Eintrge
( ProtectedFromAccidentalDeletion) einfach lschen kann. Daher muss
man vorher ProtectedFromAccidentalDeletion = $false setzen, da sonst
Remove-ADObject mit einem Fehler abbrechen knnte!
1036
Active Directory
22.14.7 Filtern und Suchen

Mit Get-ADObject kann man Objekte suchen. Dabei bietet ADPowerShell LDAP-Filtersyntax
wahlweise die LDAP-Filtersyntax (mit Prfix-Notation) oder eine vereinfachte Infix-Notation an, die an die PowerShell-Ausdruckssyntax angelehnt ist.
Mit searchbase legt man den Ausgangspunkt der Suche fest, z.B.:
-searchbase "ou=agents,dc=fbi,dc=org"
Mit searchscope legt man die Tiefe der Suche fest. Erlaubt sind: Base, OneLevel und SubTree, z.B.:
-SearchScope SubTree
Der folgende Befehl liefert aus dem aktuellen Active Directory-Pfad die
ersten fnf Eintrge, deren Name mit F beginnt.
Get-ADObject -Filter 'Name -like "f*"' -SearchScope SubTree resultSetsize 5
Der folgende Befehl liefert alle Eintrge, was durch $null bei resultSetsize
anzugeben ist (im Standard wrden sonst nur die ersten 1000 ausgegeben!).
Get-ADObject -Filter 'Name -like "f*"' -SearchScope SubTree resultSetsize $null
Der folgende Befehl listet alle Eintrge auf, in denen der Vorname mit F
und der Nachname mit M beginnt.
Get-ADObject -Filter 'givenname -like "f*" -and sn -like "m*"' SearchScope SubTree -resultSetsize $null
Wichtig: Man muss die LDAP-Attributnamen (z.B. sn) verwenden,

nicht die Attributnamen der PowerShell (wie surname).
Anstelle der moduleigenen Filtersyntax kann man auch die LDAP-Suchsprache verwenden. Das folgende Beispiel sucht korrekt in allen Benutzerkonten, die mit F beginnen.
Get-ADObject -LDAPFilter
'(&(objectCategory=person)(objectClass=user)(name=f*))' -SearchScope
SubTree -resultSetsize $null
Die gleichzeitige Verwendung von objectCategory und objectClass in

der Suchanfrage steigert die Leistung.
Die Tabelle zeigt die PowerShell-Filter und die quivalenten LDAP-Filter.
PowerShell-Operator LDAP-Operator
Beschreibung
-eq
Gleich
-ne
!x=y
Ungleich
-like
Mustergleichheit
-notlike
!x=y
Musterungleichheit
22
Tabelle 22.7: Vergleich der Filtersprachen (Quelle: [MSBlog01])
1037
PowerShell-Operator LDAP-Operator
Beschreibung
-le
<=
Kleiner gleich
-lt
! x >= y
Kleiner
-ge
>=
Grer gleich
-gt
! x <= y
Grer
-and
&
Und
-or
Oder
-not
Nicht
-bor
:1.2.840.113556.1.4.804:=
Bitweise Oder
-band
:1.2.840.113556.1.4.803:=
Bitweise Und
Tabelle 22.7: Vergleich der Filtersprachen (Quelle: [MSBlog01]) (Forts.)
Die PowerShell-Suchsyntax kann viel einfacher als die LDAP-Syntax

sein, wie ein abschlieendes Beispiel zeigt. Aufgabe ist es, alle Benutzer
zu finden, die sich in den letzten fnf Tagen angemeldet haben.
$date = (Get-date) - (New-Timespan -days 5)
Get-ADUser -Filter { lastLogon -gt $date }
Mit der LDAP-Syntax wre dies (die Zeitangabe erfolgt in Einheiten zu
100 Nanosekunden seit dem 1.1.1601):
Get-ADUser -LDAPFilter "(&(lastLogon>=128812906535515110)
(objectClass=user)(!(objectClass=computer)))"
22.14.8 Verwaltung von Organisationseinheiten

OU
Zur Verwaltung von Organisationseinheiten stehen folgende spezielle

Commandlets zur Verfgung:
Get-ADOrganizationalUnit
New-ADOrganizationalUnit
Remove-ADOrganizationalUnit
Set-ADOrganizationalUnit
Die Neufassung des Skripts aus dem Unterkapitel 22.14.6 unter Einsatz dieser Commandlets zeigt das folgende Listing. Die grten Unterschiede
sind:
Bei New-ADOrganizationalUnit muss man im Gegensatz zu New-ADObject
keinen Klassennamen ( Type) angeben.
Mit Set-ADOrganizationalUnit kann man das Attribut ManagedBy direkt
setzen.
1038
Active Directory
"Delete and Recreate an OU....."
$ou | fl
Listing 22.33
Beispielskript fr
den Einsatz
der OUCommandlets
Set-adobject "ou=Agents,dc=FBI,dc=org" protectedFromAccidentalDeletion $false

Remove-ADOrganizationalUnit "ou=Agents,dc=FBI,dc=org" -confirm:$false
-recursive
New-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $false -name
"Alien-Agents" -Path "ou=Aliens,dc=FBI,dc=org"
"Move an OU..."
Move-ADObject -Identity "ou=Alien-Agents,ou=Aliens,dc=FBI,dc=org" targetpath "dc=FBI,dc=org"
Rename-ADObject "ou=Alien-Agents,dc=FBI,dc=org" -newname "Agents"
Set-ADOrganizationalUnit "ou=Agents,dc=FBI,dc=org" -ManagedBy
"cn=Walter Skinner,ou=Directors,dc=fbi,dc=org"
"Ergebnis:"
$ou | fl
22.14.9 Verwaltung von Benutzerkonten

Zur Verwaltung von Benutzerkonten stehen im PowerShell-AD-Modul Konten
die folgenden Commandlets zur Verfgung:
Get-ADUser: Benutzerkontenliste oder Daten eines Benutzerkontos
New-ADUser: Benutzerkonto anlegen
Remove-ADUser: Benutzerkonto lschen
Set-ADUser: Eigenschaften eines Benutzers festlegen
Zugriff auf Benutzer

Zugriff auf einzelne Benutzer oder Mengen von Benutzern ermglicht
Get-ADUser.
Der folgende Befehl holt den Benutzer FoxMulder:
Get-ADUser FoxMulder
Allerdings liefert Get-ADUser im Standard nur eine sehr kleine Teilmenge

aller Attribute eines Benutzers (z.B. GivenName, Surname, SamAcccountname).
22
1039

Abbildung 22.41
Standardattribute
bei Get-ADUser
Mchte man mehr Attribute nutzen, muss man diese explizit angeben:
Get-ADUser FoxMulder -properties City, Company, Office
Abbildung 22.42
Zustzliche Attribute bei GetADUser
Tipp: Alle Attribute bekommt man mit:

Get-ADUser FoxMulder -properties *
Man kann mit Get-ADUser auch Filter anwenden (vgl. Kapitel Filtern und
Suchen). Der folgende Befehl liefert alle Benutzer in der Organisationseinheit Agents, deren Anmeldename mit F beginnt:
Get-ADUser -searchbase "ou=agents,dc=fbi,dc=org" -Filter
'samaccountname -like "F*"'
Der folgende Befehl liefert alle Benutzer in der Organisationseinheit

Agents:
$oupath = "ou=Agents,dc=FBI,dc=org"
Get-ADUser -Searchbase $oupath -Filter "*"
Benutzerkonto anlegen
New-ADUser
Listing 22.34
Anlegen des Agenten Fox Mulder
unter Angabe des
Kennworts im
Skripttext
1040
Zum Anlegen von Benutzerkonten kommt New-ADUser zum Einsatz. Dabei

kann man zahlreiche Kontoeigenschaften direkt setzen. Auf eine detaillierte Besprechung der Parameter wird hier zur Einsparung von Platz
verzichtet, da diese grtenteils selbsterklrend sind.
$fm = New-ADUser -path $oupath Name "Fox Mulder" SamAccountName
"FoxMulder" DisplayName "Fox Mulder" Title "Agent" Enabled $true
ChangePasswordAtLogon $false -AccountPassword (ConvertTo-SecureString
"I+love+Scully" -AsPlainText -force) -PassThru PasswordNeverExpires:$true -Description "FBI Agent" -HomePage
"www.xfiles.com" -Company "FBI"
Active Directory
Abbildung 22.43
Ergebnis der
Ausfhrung des o.g.
Befehls
22.14.10
Verwaltung von Benutzergruppen
Zur Gruppenverwaltung gibt es acht Commandlets, davon beziehen sich

vier auf die Gruppen und vier auf die Gruppenmitgliedschaften:
Get-ADGroup: Benutzergruppen auflisten
New-ADGroup: Anlegen einer Benutzergruppe
Set-ADGroup: Eigenschaften einer Benutzergruppe setzen
Remove-ADGroup: Eine Benutzergruppe entfernen
Get-ADGroupMember: Auflisten der Mitglieder einer Benutzergruppe
Get-ADPrincipalGroupMembership: Auflisten der direkten Mitglieder einer
Benutzergruppe
Add-ADGroupMember: Hinzufgen eines Gruppenmitglieds
Remove-ADGroupMember: Entfernen eines Gruppenmitglieds
Das folgende Listing erzeugt die Gruppe All Agents mit vier Agenten.
Danach wird eine Agentin entlassen und daher aus der Gruppe entfernt.
"--- Gruppe anlegen..."
New-ADGroup -path $oupath -Name "All Agents" -SamAccountName
"AllAgents" -GroupScope Global -GroupCategory Security -Description
"All FBI Agents" PassThru
"--- Mitglieder in die Gruppe aufnehmen..."
Add-ADGroupMember -Identity AllAgents -Members FoxMulder
Add-ADGroupMember -Identity AllAgents -Members DanaScully
Listing 22.35
Verwaltung von
Benutzergruppen
1041
22

Add-ADGroupMember -Identity AllAgents -Members JohnDoggett
Add-ADGroupMember -Identity AllAgents -Members MonicaReyes
"--- Gruppenmitglieder:"
Get-ADGroupMember -Identity AllAgents
"--- Mitglied entfernen..."
Remove-ADGroupMember -Identity AllAgents -Members MonicaReyes Confirm:$false
"--- Gruppenmitglieder:"
Get-ADGroupMember -Identity AllAgents
Mit
Get-ADPrincipalGroupMembership -Identity FoxMulder
listet man alle Gruppen auf, in denen Fox Mulder direkt Mitglied ist.
22.14.11
Informationen ber die Active

Directory-Struktur
Informationen ber die Active Directory-Struktur (z.B. Liste der Domnencontroller) gewinnt man ber die .NET-Klassenbibliothek oder das ADPowerShell-Modul.
Informationen ber die Domne durch die .NETKlassenbibliothek

System. Zustzlich zu dem Namensraum System.DirectoryServices, der allgeDirectoryServices. meine Klassen zur Verzeichnisdienstprogrammierung enthlt, gibt es in
ActiveDirectory .NET seit Version 2.0 den Unternamensraum System.DirectoryServices.
ActiveDirectory (alias Active Directory Management Objects ADMO).
Dieser Namensraum implementiert einige Active Directory-spezifische

Funktionen, die nicht auf andere Verzeichnisdienste anwendbar sind.
Insbesondere bietet dieser Namensraum Klassen zur Verwaltung der
Gesamtstruktur eines Active Directory, beispielsweise Forest, Domain,
ActiveDirectoryPartition, DomainController, GlobalCatalog und ActiveDirectorySubnet. Auch einige spezielle Klassen fr den Active Directory
Application Mode (ADAM), eine funktionsreduzierte Version des Active
Directory zum Einsatz als Datenspeicher fr eigene Anwendungen, werden mit Klassen wie ADAMInstanceCollection und ADAMInstance untersttzt.
Beispiel 1: Informationen ber die Domne und den Domnenwald
Das Beispiel liefert Informationen ber die Domne, zu welcher der aktuelle Computer gehrt, und ber den Domnenwald (Forest), zu dem diese
Domne gehrt.
1042
Active Directory
# Aktuelle Domain ermitteln
$d =
[System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain();
# Informationen ber aktuelle Domne
"Name: " + $d.Name
"Domain Mode: " + $d.DomainMode
"Inhaber der InfrastructureRole: " + $d.InfrastructureRoleOwner.Name
"Inhaber der PdcRole: " + $d.PdcRoleOwner.Name
"Inhaber der PdcRole: " + $d.PdcRoleOwner.Name
Listing 22.36
Informationen ber
die Domne und den
Forest [ADS_
Domaininfo.ps1]
# Informationen ber Forest der aktuellen Domne

$f = $d.Forest;
"Name des Waldes: " + $f.Name
"Modus des Waldes: " + $f.ForestMode
Beispiel 2: Liste der Domnencontroller und ihrer Rollen Im zweiten Bei-
spiel werden alle Domnencontroller (und deren Rollen) aus einer speziellen Domne aufgelistet.
# Aktuelle Domain ermitteln
$d =
[System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()
$DCs = $d.DomainControllers
# Schleife ber alle Domnencontroller
foreach ($DC in $DCs)
{
"Name: " + $DC.Name
"IP: " + $DC.IPAddress.ToString()
"Zeit: " + $DC.CurrentTime.ToString()
"Rollen:"
# Schleife ber alle Rollen des DC
foreach ($R in $DC.Roles)
{
"- " + $R.ToString()
}
}
Listing 22.37
Informationen ber
die Domnencontroller und ihre
Rollen [ADS_
Domaincontroller
.ps1]
Informationen ber die Domne durch das Modul ADPowerShell

Folgende Commandlets im PowerShell-AD-Modul liefern Daten ber die Domneninformationen
Domne:
Get-ADDomain: Liefert Daten ber die Domne.
Get-ADDomainController: Liefert Daten ber die Domnencontroller.
Get-ADForest: Liefert Informationen ber den AD-Wald.
Get-ADOptionalFeature: Liefert eine Liste der optionalen Features des
Active Directory.
Get-ADRootDSE: Liefert die Wurzel des Active Directory.
1043
22

Abbildung 22.44
Ausgabe von GetADDomain und
Get-ADDomainController in der
Beispieldomne
FBI.org
Der Microsoft Exchange Server 2007 ist das erste Microsoft-Produkt, das
die PowerShell zur Administration einsetzt. Die mit dem Exchange Server mitgelieferte Exchange Management Shell (eine angepasste Version
der PowerShell) sowie zahlreiche zugehrige Commandlets ermglichen
es, alle administrativen Aufgaben des Exchange Servers von der Kommandozeile auszufhren.
Abbildung 22.45
Exchange Server
2007 Management
Shell
1044
Active Directory
Nach dem Start der Exchange Management Shell erhlt man mit dem
Befehl
Get-Excommand
eine Liste der Exchange Server-spezifischen Commandlets.

Daten abrufen Eine Liste aller Postfcher erhlt man durch:
Datenabruf
Get-Mailbox
Die Liste der Datenbanken liefert:

Get-Mailboxdatabase
Und die Speichergruppen bekommt man mit:

Get-Storagegroup
Die Funktionsfhigkeit eines Exchange Servers kann man testen mit:

Test-ServiceHealth
Postfcher verwalten Eine Speichergruppe legt man an mit:
New-Storagegroup "Autorenspeichergruppe" -server "E12"
Postfachverwaltung
Eine Datenbank fr Postfcher erstellt man mit:

New-Mailboxdatabase "Autorenpostfachdatenbank" -storagegroup
"Autorenspeichergruppe"
Zum Erstellen einer Mailbox kann man folgenden Befehl verwenden:

New-Mailbox -alias "HSchwichtenberg" -name HolgerSchwichtenberg userprincipalname HS@IT-Visions.de -database "E12\First Storage
Group\Mailbox Database" -org users
Wenn der Benutzer im Active Directory schon existiert, ist der Befehl krzer:
Enable-Mailbox hs@IT-Visions.de -database "E12\First Storage Group\
Mailbox Database"
Nach dem Anlegen kann man mit Get-Mailbox bzw. Set-Mailbox auf
die Eigenschaften des Postfachs zugreifen. Das nachtrgliche Ergnzen
einer E-Mail-Adresse funktioniert durch Neusetzen der Eigenschaft
EMail-Addresses unter Bercksichtigung der bisherigen Adressen:
set-Mailbox HS@IT-Visions.de -EmailAddresses ((get-Mailbox
hs@IT-Visions.de).EmailAddresses + "HSchwichtenberg@IT-Visions.de ")
Das Postfach kann man zu einer Verteilerliste hinzufgen:

Add-DistributionGroupMember Autoren -Member "hs@IT-Visions.de"
22
1045
Das Postfach kann man in eine andere Datenbank verlagern:

Move-Mailbox hs@IT-Visions.de -targetdatabase
"Autorenpostfachdatenbank"
Oder den Speicherplatz begrenzen:

Get-Mailbox hs@IT-Visions.de | Set-Mailbox -UseDatabaseQuotaDefaults:
$false -ProhibitSendReceiveQuota 100MB -ProhibitSendQuota 90MB IssueWarningQuota 80MB
Begrenzen kann man auch die Gre fr eingehende E-Mails fr eine Verteilerliste:
Set-DistributionGroup Autoren -MaxReceiveSize 5000KB
Auch zum Deaktivieren eines Postfachs gibt es ein Commandlet:

Disable-Mailbox hs@IT-Visions.de
ffentliche
Ordner
ffentliche Ordner verwalten Eine Datenbank fr ffentliche Ordner
erstellt man mit:

New-PublicFolderDatabase "Autorenordnerdatenbank" -storagegroup
"Autorenspeichergruppe "
Einen ffentlichen Ordner legt man an mit:

New-PublicFolder "\Dokumente" -Path \pubfolders -Server "E12"
Rechte auf einen Ordner vergibt man mit:

Add-PublicFolderPermission "\ManuScripte" -User hs -AccessRights
"CreateItems"
Die Speicherplatzgrenzen fr einen ffentlichen Ordner setzt man mit:

Set-PublicFolder "\Dokumente" -PostStorageQuota 20MB -MaxItemSize 2MB
Weitere Informationen Weitere PowerShell-Skripte zur Exchange-Ver-
waltung finden Sie unter [TNET01].
22.15 Grafische Benutzeroberflche

Die Microsoft Shell besitzt keine eingebauten Commandlets zur Anzeige
grafischer Benutzerschnittstellen. Es spricht aber nichts dagegen, die
System.Window.Forms-Bibliothek (kurz: Windows Forms oder Windows
Forms) von .NET direkt zu nutzen.
Fr die ausfhrliche Erluterung der Windows Forms-Bibliothek
(einige Hundert Klassen!) ist in diesem Buch kein Raum. Zwei Beispiele
sollen den Ansatz erlutern.
1046
Grafische Benutzeroberflche
22.15.1 Eingabemaske
Das folgende Skript erzeugt eine Eingabemaske fr drei Werte. Zur Vereinfachung gibt es folgende Einschrnkungen:
Die Eingabefelder werden automatisch angeordnet und nicht absolut
positioniert ( Flussgestaltung, vgl. HTML).
Das Formular kann nur ber das Kreuz in der Fensterzeile geschlossen
werden. Es gibt keine zustzliche Schaltflche (weil es kompliziert ist,
in einem Formular mit der PowerShell Programmcode zu hinterlegen).
Abbildung 22.46
Ein mit der PowerShell erzeugtes
Eingabefenster
Das folgende PowerShell-Skript zeigt das Beispiel, in dem ein Formular

(Form), ein Flussgestaltungsbereich (FlowLayoutPanel), drei Beschriftungsfelder (Label) und drei Eingabefelder (Textbox) zum Einsatz kommen.
Wichtig ist, dass der Bereich das Formular ausfllt ([System.Windows.
Forms.DockStyle]::Fill) und man die Steuerelemente korrekt hintereinander verschachtelt (Controls.Add()).
# Windows Forms laden
[System.Reflection.Assembly]::LoadWithPartialName("System.windows.form
s")
Listing 22.38
Eingabefenster
anzeigen und auswerten [gui.ps1]
# Fenster erzeugen
$form = new-object "System.Windows.Forms.Form"
$form.Size = new-object System.Drawing.Size @(200,200)
$form.topmost = $true
$form.text = "Eingabeformular"
# Bereich erzeugen
$Bereich = new-object "System.Windows.Forms.FlowGestaltungBereich "
$Bereich.Dock = [System.Windows.Forms.DockStyle]::Fill
$form.Steuerelements.Add($Bereich)
# Textfelder erzeugen
$L1 = new-object "System.Windows.Forms.Label"
$T1 = new-object "System.Windows.Forms.Texteingabefeld"
$B1 = new-object "System.Windows.Forms.Schaltflche"
22
# Texte setzen
$L1.Text = "Name:"
1047

$L2.Text = "E-Mail:"
$L3.Text = "Website:"
# Gren setzen
$T1.Width = 180
$T2.Width = 180
$T3.Width = 180
# Elemente zum Bereich hinzufgen
$Bereich.Steuerelements.Add($L1)
$Bereich.Steuerelements.Add($T1)
# Fenster anzeigen
$form.showdialog()
# Werte ausgeben
"Eingegeben wurden: " + $T1.Text + ";" + $T2.Text + ";" + $T3.Text
22.15.2 Universelle Objektdarstellung

Wenn man ein Objekt mit vielen Eigenschaften darstellen mchte, ist die
obige Vorgehensweise der einzelnen Erzeugung von Windows FormsElementen sehr aufwendig. Einfacher geht es mit dem in Windows Forms
definierten Steuerelement PropertyGrid, an das man jedes beliebige Objekt
binden kann und das erfolgte nderungen auch an das Objekt weitergibt.
Listing 22.39
Anzeige und nderung eines ProcessObjekts mit einem
Windows Forms
PropertyGrid [GUI_
Propertygrid.ps1]
# Windows Forms laden

[System.Reflection.Assembly]::LoadWithPartialName("System.windows.
forms")
# Fenster erzeugen
$form = new-object "System.Windows.Forms.Form"
$form.Size = new-object System.Drawing.Size @(700,800)
$form.topmost = $true
# PropertyGrid erzeugen
$PG = new-object "System.Windows.Forms.PropertyGrid"
$PG.Dock = [System.Windows.Forms.DockStyle]::Fill
$form.Steuerelements.Add($PG)
# Inhalt an PropertyGrid zuweisen

$i = Get-process outlook
$PG.selectedobject = $i
# Fenster anzeigen
$form.showdialog()
1048
Grafische Benutzeroberflche
Abbildung 22.47
Anzeige und nderung eines ProcessObjekts mit einem
Windows Forms
PropertyGrid
22
1049
Abkrzungsverzeichnis
ACPI
Advanced Configuration and Power Interface
AFP
Apple Filing Protocol
AGP
Accelerated Graphics Port
APIPA
Automatic Private IP Addressing
APM
Advanced Power Management
CA
Certification Authority
DVDFS
Compact Disk File System
CGI
Common Gateway Interface
CIM
Custom Installation Wizard
CLI
Command Line Interface
DDI
Device Driver Interface
DHCP
Dynamic Host Configuration Protocol
DMA
Direct Memory Access
DSN
Data Source Name
EFS
Encrypted File System
EMF
Enhanced MetaFile
FAT
File Allocation Table
FTP
File Transfer Protocol
GDI
Graphical Device Interface
GPC
Gruppenrichtliniencontainer
GPMC
Group Policy Management Console
GPO
Gruppenrichtlinienobjekt
GPT
Gruppenrichtlinienvorlage
GUI
Graphical User Interface
ICMP
Internet Control Message Protocol
ID
Intrusion Detection
IEAK
Internet Explorer Administration Kit
IIS
Internet Information Services
IPP
Internet Printing Protocol
IRM
Information Rights Management
IRQ
Interrupt Request
1051
Kapitel A Abkrzungsverzeichnis
1052
ISU
Installer Setup Utility
KDC
Key Distribution Center
LAN
Local Area Network
LPR
Line Printer Remote
LSA
Lokale Sicherheitsautoritt
MBR
Master-Boot-Record
MBSA
Microsoft Baseline Security Analyzer
MIME
Multi-purpose Internet Mail Extension
MMC
Microsoft Management Console
MRU
Most Recently Used
MSUAM
Microsoft User Authentication Method
NAP
Network Access Protection
NGSCB
Next-Generation Secure Computing Base
NTFS
New Techology File System
NTLM
NT LAN Manager
NTVDM
Virtual DOS Machine
OE
Outlook Express
P2P
Peer-to-Peer
PCI-e
PCI-e(xpress
PIC
Programmable Interrupt Controller
PNP
Plug&Play
POP3
Post Office Protocol Version
PXE
Preboot eXecution Environment
RAID
Redundant Array of Independent Disks
RAS
Remote Access Service
RIS
Remote-Installationsdienste
RPC
Prozeduraufruf
RSoP
Resultant Set of Policy
SFM
Services for Macintosh
SFU
Services for Unix
SID
Security Identifier
SMS
Systems Management Server
SMTP
Simple Mail Transfer Protocol
SNMP
Simple Network Management Protocol
SPM
Standard-Portmonitor
TTF
TrueType Font
UDB
Uniqueness Database
Kapitel A Abkrzungsverzeichnis
UDF
Uniqueness Database File
UDF
Universal Disk Format
UNC
Universal Naming Convention
UPNP
Universal Plug&Play
USB
Universal Serial Bus
USMT
User State Migration Tool
VPN
Virtual Private Network
WDM
Win32 Driver Model
WebDAV
Web-Based Distributed Authoring and Versioning
WEP
Wired Equivalent Privacy
WLAN
Wireless LAN
WMI
Windows Management Instrumentation
WMIC
Windows Management Instrumentation Command Line Tool
WOL
Wake-On-LAN
WSUS
Windows Server Update Services
WUS
Windows Update Services
WZC
Wireless Zero Configuration
A
1053
Literatur und Links
[ACT]
Microsoft Application Compatibility Toolkit 5.5
http://www.microsoft.com/downloads/
details.aspx?displaylang=en&FamilyID=
24da89e9-b581-47b0-b45e492dd6da2971
[ACTDOK]
Microsoft ACT: Bereitstellungshandbuch
http://technet.microsoft.com/de-de/
library/dd996616(WS.10).aspx
[ADDNS]
Active Directory und Fehlersuche

beim DNS
http://support.microsoft.com/kb/314861
[ADFW]
Active Directory und Firewall
[ADMIN]
Umgang mit administrativen

Freigaben
http://support.microsoft.com/
Default.aspx?id=842715
[ADVISOR]
details.aspx?FamilyID=1b544e90-76594bd9-9e51-2497c146af15&DisplayLang=
de
[ASV9]
Alternate Stream View
http://www.nirsoft.net/utils/alternate_
data_streams.html
[AUFGABE]
API der Aufgabenplanung
http://msdn.microsoft.com/en-us/
library/aa383614(VS.85).aspx
[BDSG42a]
Bundesdatenschutzgesetz 42a
http://bundesrecht.juris.de/bdsg_1990/
__42a.html
[BITL]
Funktion von BitLocker
details.aspx?familyid=131dae03-39ae48be-a8d6-8b0034c92555&displaylang=
en
[CIW]
Custom Installation Wizard
http://office.microsoft.com/en-us/
ork2003/HA011525761033.aspx
[CLEANUP]
Windows Installer Clean Up
http://support.microsoft.com/kb/
290301/de
[COLLECT]
Event Collector
library/bb427443(VS.85).aspx
[COOKBOOK]
Windows 7 and Windows Server

2008 R2 Application Quality
Cookbook
http://code.msdn.microsoft.com/
Windows7AppQuality/Release/
ProjectReleases.aspx?ReleaseId=1734
[DAW2008]
DirectAccess
http://technet.microsoft.com/en-us/
network/dd420463.aspx
1055
Kapitel B Literatur und Links
[DEV]
Datenbank zur Ermittlung von

Gerten anhand der Herstellerund Gerte-IDs
www.PCIDatabase.com
[DIA]
Diagnosetools fr Festplatten
http://www.windows-secrets.de/
troubleshooting/artikel/d/diagnose-toolsder-festplatten-hersteller.html
[DJOIN]
Offline einer Domne beitreten
[DOWN]
Microsoft Download Portal
http://download.microsoft.com
[EASYTRANS_
VISTA32]
Windows-EasyTransfer fr die
bertragung von Windows Vista
(32 Bit) nach Windows 7
details.aspx?familyid=09D80814-2A734245-A63B-8E780D0430CB&displaylang=
de
[EASYTRANS_
VISTA64]
bertragung von Windows Vista
details.aspx?familyid=30C4DA6D0522-4D28-AAC3-CE9D70AC6A6A&
displaylang=de
[EASYTRANS_XP]
bertragung von Windows XP
details.aspx?FamilyID=734917d8-06634c26-89d0-2d00b632ebdb&Display
Lang=de
[EFSGPO]
EFS und GPO
http://www.windowsecurity.com/
articles/Controlling-Encrypting-FileSystem-EFS-Group-Policy.html
[ENDIAN]
Reihenfolge von Bytes in Worten
http://de.wikipedia.org/wiki/ByteReihenfolge
[ERUNT]
Registry Backup
http://www.larshederer.homepage.
t-online.de/erunt
[EVENTID]
Erluterung zu Events
http://www.eventid.net
[FAT]
Beschreibung der FAT
http://de.wikipedia.org/wiki/File_
Allocation_Table
[FCC]
Homepage der Federal Communications Commission
http://www.fcc.gov
[FSYS]
Beschreibung verschiedener
Dateisysteme
http://download.microsoft.com/
download/5/b/5/5b5bec17-ea71-46539539-204a672f11cf/LocFileSys.doc
[GEB]
Internet-Geburtstag
http://www.heise.de/newsticker/
meldung/Vor-vierzig-Jahren-begannalles-Lo-844889.html
[GEE]
Game Explorer Editor
http://gameeditor.webnode.com
[GPO]
Gruppenrichtlinien
http://www.gruppenrichtlinien.de
[GPT]
Aufbau der GUID-Partitionstabelle
http://en.wikipedia.org/wiki/GUID_
Partition_Table
1056
[HAND]
Handles und Objekte
library/ms724457(VS.85).aspx
[HEISE]
WSUS Offline Update
http://www.heise.de/software/download/wsus_offline_update_ehemals_ct_
offline_update/38170
[INTEL]
Intel Processor Identification

Utility
http://www.intel.com/support/
processors/tools/piu/sb/CS-014921.htm
[IPSEC]
IPsec
network/bb531150.aspx
[IPV6]
IPv6
http://www.microsoft.com/ipv6
[IPV6OPT]
Optimierung von IPv6
library/bb727035.aspx
[ISATAP]
ISATAP-Migration
magazine/2008.03.cableguy.aspx
[ITV01]
Deutsche Windows-ScriptingWebsite
www.windows-scripting.de
[KBRSAT]
Knowledge-Base-Artikel 958830
Beschreibung von Remoteserver-Verwaltungsprogrammen fr
Windows
958830/de
[KZPW]
Passwort-Checker vom Datenschutzbeauftragten des Kanton

Zrich
https://passwortcheck.datenschutz.ch/
check.php?lang=de
[LANGUAGE]
Verfgbare Language Packs und

LIPs
[LIP]
Microsoft Unlimited Potential

Site
http://www.microsoft.com/unlimited
potential/programs/default.mspx
[LIVE]
Windows Live
http://download.live.com
[LLTP]
LLTP fr Windows XP
library/cc749119(WS.10).aspx
[MAXPATH]
Probleme mit langen Pfadnamen
http://support.microsoft.com/
Default.aspx?id=320081
[MBR]
Aufbau der MBR-Partitionstabelle http://de.wikipedia.org/wiki/

Partitionstabelle
[MFT]
Info ber Belegung der MFT
[MKEY]
Berechnung des Masterkey fr EFS http://msdn.microsoft.com/en-us/

library/ms995355.aspx
[MON02]
Mono-Projekt (CLI auf Unix/Linux) http://www.go-mono.org
[MS01]
Windows PowerShell Graphical

Help File
details.aspx?familyid=3b3f7ce4-43ea4a21-90cc-966a7fc6c6e8&displaylang=
en
1057
[MS88]
Dokumentation zur PowerShell
details.aspx?familyid=B4720B00-9A66430F-BD56-EC48BFCA154F&displaylang=
en
[MSDN]
Microsoft Developer Netzwork
http://msdn.microsoft.com
[MSPW]
Passwort-Checker von Microsoft
http://www.microsoft.com/athome/
security/privacy/password_checker.mspx
[MSSE]
Security Essentials
http://www.microsoft.com/security_
essentials/support.aspx?mkt=de-de
[OEM]
OEM Support Tools
253066/en-us
[ORK07]
Office Ressource Kit 2007
library/cc303401.aspx
[ORK10]
Office Ressource Kit 2010 Beta
library/cc303401(office.14).aspx
[PCE07]
PowerShell Community Extensions www.codeplex.com/pscx
[REGDAT]
Datentypen in der Registry
library/ms724884(VS.85).aspx
[REGFRM]
Format von .reg-Dateien
310516/en-us (die deutsche bersetzung der Datei ist aktuell veraltet)
[REGINI]
Beschreibung von regini.exe
[REGRED1]
Registry Redirector
library/bb427430(VS.85).aspx
[REGRED2]
Registry Redirector
[REGVIR]
Registry Virtualisierung
magazine/2007.06.uac.aspx
[RES]
Windows Server 2003 Resource

Kit Tools
details.aspx?FamilyID=9d467a69-57ff4ae7-96ee-b18c4790cffd
[REST]
Erklrung zu Wiederherstellungspunkten
library/dd408121(VS.85).aspx
[RFC1149]
Brieftauben-Protokoll
http://tools.ietf.org/html/rfc1149
[RFC2893]
IPv6-Tunneltechniken
http://www.ietf.org/rfc/rfc2893.txt
[RFC4213]
6in4
[RFC4214]
ISATAP
[RFC4380]
Teredo
[RFC791]
Internet-Protokoll
http://tools.ietf.org/html/rfc791
[ROBOCOPY]
Robocopy
magazine/2006.11.utilityspotlight.aspx
[RSA768]
Angriff auf RSA-768
http://eprint.iacr.org/2010/006
1058
[RSAT]
Remoteserver-Verwaltungstools
fr Windows 7
details.aspx?FamilyID=7d2f6ad7-656b4313-a005-4e344e43997d&displaylang=
de
[SAFEGUARD]
SafeGuard Easy-Verschlsselung
http://www.sophos.de/products/enterprise/encryption/safeguard-easy/
[SCH07]
Schwichtenberg, H: .NET 3.0

Crashkurs, Microsoft Press, 2007
[SCH09]
Schwichtenberg, H.: Windows

Scripting, 6. Auflage 2009
[SCH10]
Schwichtenberg, H.: Windows

PowerShell 2.0 Das Praxishandbuch, 2. Auflage 2010
[SCRIPT]
Microsoft Scriptcenter
http://www.microsoft.com/germany/
technet/scriptcenter/default.mspx
[SDDL]
Security Descriptor Definition

Language
[SDL]
Security Development Lifecycle
http://blogs.msdn.com/sdl
[SID]
Bekannte SID-Werte
[SPIEL]
Spieleexplorer intern
library/ee415240(VS.85).aspx
[SSAD]
Spybot Search and Destroy
http://www.safer-networking.org/de/
mirrors/index.html
[STAR]
Anbieter einer iSCSI-Lsung
http://www.starwindsoftware.com
[SYS]
Sysinternals
sysinternals/default.aspx Es existiert
zwar eine deutsche Sysinternals-Seite,
die Programme sind jedoch nur in
Englisch verfgbar.
[TECHNET]
Microsoft Technet
http://technet.microsoft.com
[TLD]
Liste der Top Level Domains
http://www.iana.org/domains/root/db/
[TNET01]
Exchange Server-Scripte fr die

PowerShell
http://www.microsoft.com/technet/
scriptcenter/scripts/message/exch2007/
default.mspx?mfr=true
[TPM]
TPM-Group
http://www.trustedcomputinggroup.org
[TRUECRYPT]
TrueCrypt Verschlsselung
http://www.truecrypt.org/
[TUNNEL]
6in4-Tunnel
http://www.tunnelbroker.net
[UPADVISOR]
details.aspx?FamilyID=1b544e90-76594bd9-9e51-2497c146af15&DisplayLang
=de
[USMT]
Benutzerhandbuch fr USMT 4.0

(User State Migration Tool)
1059
[VAMT]
Informationsseite von Microsoft

zur Volumenaktivierung
windows/dd197314.aspx
[VNC]
TightVNC
http://www.tightvnc.com
[WAIK 1.1]
Windows Automated Installation

Kit (WAIK) 1.1 fr Windows Vista
SP1 und Windows Server 2008
details.aspx?displaylang=de&
FamilyID=94bb6e34-d890-4932-81a55b50c657de08
[WAIK 2.0]
Windows Automated Installation

Kit (AIK) fr Windows 7
details.aspx?familyid=696DD665-9F764177-A811-39C26D3B3B34&displaylang
=de
[WHDC]
Windows Logo Program

Newsletter Archive
http://www.microsoft.com/whdc/whql/
resources/news/default.mspx
[WINPKI]
EFS in einer Active DirectoryUmgebung
http://www.windowsecurity.com/
articles/Implementing-EFS-WindowsServer-2003-Domain.html
[WIRE]
Wireshark
http://www.wireshark.org
[WSUS]
Infoseite von Microsoft zu den

Windows Server Update Services
wsus/default.aspx
[XPMODE]
Windows XP Mode and

Windows Virtual PC
http://www.microsoft.com/windows/
virtual-pc/download.aspx
[XPS-VIEW]
Microsoft XML Paper Specification Essentials Pack
details.aspx?displaylang=de&FamilyID=
b8dcffdd-e3a5-44cc-8021-7649fd37ffee
1060
Symbols
$AttrDef 284
$BadClus 284
$Bitmap 284
$boot 284
$Error 924, 945
$ErrorActionPreference 945
$Extend 284
$logfile 284
$MaximumErrorCount 924
$mft siehe MFT
$MftMirr 282
$Secure 284
$Upcase 284
$volume 284
. 284
.adm-Datei 516
entladen 522
.evt-Dateien 704
.evtx-Dateien 704
.NET
Klasse 865, 953
Klassenbibliothek 953
Runtime Host 875
Software Development Kit 894
Version 2.0 861, 875
Version 3.0 861
Version 3.5 861
.NET Code Wise Community 26
.NET Framework 861, 863, 866
.vhd-Dateien 269
Numerics
0.0.0.0 355
10.x.y.z 355
127.0.0.1 355
168.254.x.y 355
172.16.x.y 355
192.168.x.y 355
255.255.255.255 355
3DES 626
64-Bit-Applikation 540
6in4 502
6to4 506
8.3-Dateiname 322
803.11a 455
8dot3name 322
DNS-Eintrag 384
AAAA
DNS-Eintrag 384
Abbildpfadname 691
Abgesicherter Modus 611
Ablaufverfolgung 874
Abmelden 193
AbsoluteTimerInstruction 812
Absturz 341
Access Control 10161017
Access Control List 1023
Access Control List siehe ACL
access time 283
AccessChk 304
Access-Token 591
ACL 291
ACPI 96
Acronis True Home 40
ACT 67, 69
Action Center 594
Active Directory 796797, 829, 851, 874, 970,
973, 1028, 1042
PowerShell 919, 969, 1028
Struktur 1042
Suche 1037
Active Directory Application Mode 1042
Active Directory Management Objects 1042
Active Directory Service 829, 851
Active Directory Service Interface 829,
851855
Active Server Pages 360, 821
ActiveScriptEventConsumer 813
ActiveX Data Objects 996
ADAccount 1033
ADComputer 1033
Add-ADGroupMember 1041
Add-Content 992
Add-DirectoryEntry 972
Address Resolution Protocol 388
Ad-hoc-Modus 345
Adleman, Leonard 627
adm-Dateien
konvertieren 521
Admin Approval Mode 591
1061
Admin Approval Mode Siehe

Besttigungsmodus
Admin Script Editor 835
Administration 1051
Administrative Freigaben 432
administrative template 519
Administrator 830832
Administratorkonto 50, 245
adml-Datei 516
ADMX Migrator 520
admx-Datei 516
ADMX-Dateien 129
ADO.NET 996
ADPowerShell 1033
Adressleiste 206
ADRMS 970
ADS 289
ADSL 344
ADUser 1033
Advanced Encryption Standard siehe AES
ADWS 1029
Aero 30, 175178
Aero Peek 176
Aero-Design 179
AES 626
Aktivierung 58
Aktivierungsskript 58
Aktivittsbericht
des Webfilters 781
Aktualisierung 35
Aktuellster Bericht 726
Alexander, Peter 373
Aliase 883
Alternate Data Stream siehe ADS
AlternateStreamView 289
Alternative Shell 611
Alternative TCP/IP-Adresse 375
AMD Athlon 681
AMD Opteron 681
Anhebungsdialog 229
Animationen 177
bei Aktivitt 347
Anmeldeinformationen 240
Anmeldemeldung 425
Anmeldeversuche
berwachen 536
Anmeldung 853, 855
AnonymousUID und AnonymousGID
fr NFS-Verknpfungen 364
Anschlussport 465
1062
Ansichten 209
Antialiasing 190
Antivirus 597
Antwortdatei 75, 8485
Anwendung
bereitstellen 136
deinstallieren 137
Inkompatibilitten 152
inkompatibilitten 152
Inkompatible 151
installieren 134
Kompatibilittsprobleme 155
Kompatibilittsprfung 153
Minimieren und Maximieren per
Task-Manager 688
Protokoll 702
verwalten 136
Anwendungseinschrnkungen 679
Anwendungskompatibilitt 69
Anwendungsprotokolle 702
Anwendungssteuerung 171
Anwendungssteuerungsrichtlinien 171
ANY
DNS-Abfrage 385
Anzeige 186
Anzeigeeinstellungen 186
APIPA 355, 375
AppleTalk
fr Drucker 450
Application Compatibility Toolkit 831
Application Layer 343
Application Quality Cookbook 155
AppLocker 171174
Arbeitsplatz 192
Arbeitsplatznetzwerk 52
Arbeitssatz 690
Arbeitsspeicher 31
Archiv-Attribut 306
Archivdatei
fr Protokolle 705
Args 924
ARP 387
ARP Posioning 388
ARP Spoofing 388
arp.exe 388
Array 869
PowerShell 929
ASP 360
ASP.NET 797
Assembly 871, 955, 969

verbreiten 867
Assembly Resolver 871
AssocClass 1010
association request 454
Assoziation 804
WMI 800, 804
Asymmetrical Digital Subscriber Line 344
at.exe 718
AT-Dienstkonto 718
attrib.exe 308, 330
Attribut 868
Hidden 552
indiziert 868
System 552
Audit-Modus 174
Aufgabe 715
Aufgabe erstellen 716
Aufgabenplanung 544, 715
Sicherung 745
zur Synchronisation von
Offlinedateien 444
Auflsung 186
Aufnahmedatum 205
Ausfhren als 228, 231
Ausgeblendete Dateien 542
Ausgeblendete Gerte 114
Ausgelagerter Pool 691
Auslser einer Aufgabe 715
Ausschaltoptionen 192
Auswerfen 312
AutoElevation 233
autoexec.bat 537
Automatic Private IP Adressing 355
Automatische Wiedergabe 101, 134, 143
Automatisierung
PowerShell 873, 983
Autorun 101
Autoruns 616
Autostart 614
Autounattend.xml. 75
Avian Carrier 349
B
Backup and Restore Center 734
Backup Mode 753
Backup Operators 736
Backup Set 742
BackupExec 733
Ballot-Screen 35
Bare Metal Restore

durchfhren 754
Bare Metal Restore siehe BMR
Base 1037
Base Priority 691
Basis Datentrger 275
Basisdesign 179, 182
Basisprioritt 691
Basisvideo 612
Batchdatei 783
BCD.Store 55
bcdedit.exe 555, 610
BDSG 587
beacon 454
Benutzer 791, 796, 824, 829830, 850,
852859
gut bekannte 554
neu anlegen 555
verwalten 241
wechseln 193
Benutzerdaten lesen 1039
Benutzerdefinierte Installation Siehe
Neuinstallation
Benutzereigenschaften 242
Benutzergruppe 791, 856859, 1041
Benutzerkonten 242
Benutzerkontensteuerung 134, 227, 588, 959
Administratormodus 230
Benutzermodus 228
Konfiguration 233238
Sicherheitslevel 233
Wartungscenter 595
Benutzerkontenverwaltung 238239
Benutzerkonto 834, 854855, 858, 1039
Benutzeroberflche 175
Benutzeroberflchen-Sprachpaket 83
BENUTZER-Objekte 691
Benutzerprofil 240, 259262, 264
lokale 259
lschen 413
servergespeicherte 259
verbindliche 259
Benutzerrechte 255256
Benutzerschnittstelle 175, 795
Benutzerverwaltung 792, 851
Berechnung 907
Berechtigung
Basis
Effektiv 549
Erweitert 547
1063
erweiterte 291
Registry 546
Berechtigung
Vererben 548
Bereitgestellte Drucker 492
Bereitstellungsfunktionen 61
Bereitstellungsmethoden 75, 85
Bereitstellungsprozess 74
Bereitstellungswerkzeuge 66
Bericht
aus Sammlungssatz 726
Besitzer 298
Best Practice 970
Besttigungsmodus 231
Bezeichner 867
Bibliothek 213216, 264
Erstellen 216
fr Heimnetzgruppe freigeben 449
Verwalten 214
Bilddateien 183
Bildposition 183
Bildschirm
abgedunkelt 589
Bildschirmschoner 181, 184
Bildschirmschonerkennwort 184
BIOS 796
Bit/s 344
BitLocker 32, 650
aktivieren 656
auf Wechseldatentrgern 535
Verwaltung 664
BitLocker Drive Preparation Tool 651
BitLocker to Go 651
Blacklist 780
Blaster 617
Bletchley Park 626
Bluetooth 455
BMC 795
BMR 735
BNC-Kabel 368
Boot Configuration Data 555
boot.ini 56, 555
Boot-Konfiguration 796
Bootloader 610
Bootmanager 55
BoxArt 678
BranchCache 446
Breitband-Verbindung 348
Bridge 402
Brieftaube 349
1064
Broadcast
zur Namensauflsung 379
Brute Force 628
Bug 24
Bundesdatenschutzgesetz 587
C
C# 967, 981
C++ 864865
cacls.exe 300
calc.exe 427
Canonical Name 384
CAPI-Port-Treiber 493
case-insensitiv 564
case-preserving 564
CAT-5 344
CAT-7 344
ccTLD 353
Certificate Revocation List siehe CRL
Chat
bei SharedView 772
chkdsk.exe 335
CHS-Angabe 275
CIFS 363
CIM 798
cipher.exe 647
Cisco 795
City 10331034
ck-object 906
ClearType-Text 189
ClearType-Tuner 190
Client fr NFS 363
CLIXML 994
Cluster 280
Clustergre 309
cmd 195, 896
CNAME
DNS-Eintrag 384
Code Access Security 870
CodeZone 26
Codezone 26
Codezone Premier Site 26
Collaboration Data Objects 954
COM 865
Klasse 956
Komponente 796
Sicherheit 809
COM-Kategorie
auflisten 810
Command Line Event Consumer 814
Commandlet 873, 880, 890, 899, 934,

938939, 941
erstellen 967
funktionsbasiert 938939
Provider 919
CommandNotFoundException 945
Common Files 330
Common Information Model 795
Common Internet File System 363
Common Management Information
Protocol 795
Common Type System 1042
Compare-Object 909
Component Object Model 829
Computer 803
Eigenschaften 408
PowerShell 1001
Computer reparieren
Systemstartoption 754
Computerkonto
in Domne erstellen 410
Computerreparaturoptionen 45
Computerschutz 750
config.sys 537
ConfigurationNamingContext 1031
Confirm 956
Connery, Sean 381
Containment-Hierarchie
WMI 804
Content Metadata 446
contig.exe 339
ControlSet 557
Convert-Html 995
Convert-Path 921
copy 985
Copy-Item 985
CORBA 865
Country 1034
country code TLD 353
CPU Time 690
create time 283
CRL 629
cscript.exe 832
CurrentControlSet 557
CurrentControlSetServices 558
Custom Installation Wizard 150
D
Dark Fiber 344
Data Collector Set 725
Data Description Field siehe DDF

Data Encryption Standard siehe DES
Data Execution Prevention
Anzeige 691
Data Execution Prevention siehe DEP
Data Link Layer 342
Data Recovery Agent siehe DRA
Data Recovery Field siehe DRF
data rum 283
Datei 797
Eigenschaft 986
in Sicherung suchen 764
kopieren 985
Rechte 797
verschieben 986
verschlsseln 632
Datei senden
bei Remoteuntersttzung 421
Datei- und Druckfreigabe 363
Dateiattribut
Hidden 542
Dateiattribute 305
Dateiausfhrungsverhinderung 158
Dateiformat
.bkf 733
.vhd 734
Datei-ID 324
Dateisystem 279, 822, 829, 836, 840, 867,
874, 1016
Dateisystemfehler automatisch
korrigieren 332
Dateityp 210, 222
crd 437
PKCS#12 638
X.509 638
Dateitype
mht 423
Dateiverschlsselungszertifikate
verwalten 638
Dateiversionen
aus Sicherung 761
Dateiverwaltung 224
Datenabfrage 810
Datenausfhrungsverhinderung 157, 681
Anzeige 691
Datenbank
PowerShell 996
Datenbereich 981
Datenbereich anzeigen
aus Sammlungsdaten 728
1065
Datendatei 981
Daten-Manager
fr Sammlungssatz 726
Datensicherung 733
Datentrger
anlegen 320
Basis 275
Detailinformation 320
dynamisch 275
herunterfahren 324
konvertieren 275
lschen 321
neu einlesen 317
Datentrgerinitialisierung 311
Datentrgerverwaltung 310, 543
Datentyp
msrcIncident 417
WMI 799
Datum 928
DC 407
DCOM
Konfiguration 796
DDF 632
dDNS 378
Deaktiviert 857
Debug 612, 692, 956
Debugger 835
Debugging 874
DE-CIX 383
Default Gateway 350
DefaultNamingContext 1031
Defender 599
automatische berprfungen 605
Dateitypen 605
Echtzeitstatus 600
Extras 604
letzte berprfung 600
manuelle berprfung 600
Quarantne 606
Signaturen 600
Updates suchen 608
Verlauf 603
Warnmeldung bei Fund 601
Wiederherstellungspunkt 605
zugelassene Elemente 607
defrag.exe 338
Defragmentieren 336
Deinstallation 851
Deinstallationsprobleme 138
DEP 681
1066
Deployment 867
DES 626
Description 1034
Design 179, 181
Designpaket 181
Desktop 178, 796, 822
Desktopeinstellungen 182
Desktophintergrund 181183
Desktop-Symbole 188
Desktruktor 869
Detailansicht 204
Device MetaData Cache 107
Device Stage 101, 106, 108, 444
DHCP 355, 1012
Lease erneuern 386
Diagnose
Netzwerkadapter 367
Diagnosesystemstart 609
Dienst 796, 820, 854
anlegen 616
auflisten 810
ausblenden 614
geschtzter Speicher 636
lschen 616
ber NAT verfgbar machen 405
bersicht 613
berwachung 812
Dienstprotokolle 702
Differentielle Sicherung 735
Digitaler Teilnehmeranschluss 344
DirectAccess 512
Directory 1016
Directory Management Objects 1042
DirectoryEntry 954
DirectoryInfo 1017
DirectX 10 117
DirectX 9 180
dirty-Flag 324
DisableTaskMgr 687
diskpart.exe 318
DiskView 339
Display Driver Model 117
Display Driver Model Siehe WDDM
DisplayName 1034
Distinguished Name 1031, 1034
Distributed Cache 446
Distributed File System 797
Distributed File System Replication 822
djoin.exe 411
DN siehe Distinguished Name
DNS 352
dynamische Eintragungen 378
Reihenfolge verndern 376
Server 797
Zwischenspeicher 386
DNS Round Robin 384
DNS-Suffix
verbindungsspezifisch 377
Dokumentation
.NET 894
Domain controller 407
Domain Name System 352
Domne 407, 852853, 1042
Domnencontroller 407
identifizieren 407
Domnenlokale Gruppen 251
Domnenwald 1042
Doppelpunkt
als Adresstrenner bei IPv6 358
dotnetpro 25
DotNetTypes.Format.ps1xml 912
Download
Netzwerkanschluss 345
DRA 632
DRF 632
Driver Store Siehe Treiberspeicher
Druckauftrag 481, 488489, 796, 1009
Drucken
Registry 567
Drucker 460, 792, 796, 825
freigeben 471
installieren 463467
PowerShell 1009
verffentlichen 471
verwalten 1009
Druckerberechtigungen 479
Druckereigenschaften 475478
Druckerfilter 489490
Druckerinstallations-Assistent 464, 468
Druckerserver-Eigenschaften 487
Druckertreiber 460
Druckerverwaltung 478
Druckerverwaltungsoptionen 489
Druckerwarteschlange 460, 481, 797
Druckgert 460
Druckmonitor 461
Druckprozess 462
Druckprozessor 476
Druckserver 470, 487
Druckserver-Eigenschaften 486, 488
Druckspooler 461
Druckverwaltungskonsole 484485, 490

DSL per Sattelit 346
Dynamic Host Konfiguration Protocol 355
Dynamische Menleiste 208
Dynamischer Datentrger 275
Dynamisches Update 46
E
EAP-FAST 454
Easy Connect 416
Edge Traversal 399
Edge-Ausnahmen 399
Editionen 34
Editor fr Gruppenrichtlinien 522
Effektive Berechtigungen 299
EFI-BIOS 274
EFS 629
EFSDump.exe 648
EICAR-Testvirus 602
Eigene Dateien 206
Einfache Aufgabe erstellen 716
Einfache Freigabe 430
Eingabeaufforderung 826
Elevation Siehe Anhebungsdialog
E-Mail
EmailEvent 812
Event 812
EmailAddress 1034
EMF 477
Empfohlene Updates 619
Enable-Psremoting 916
Encrypting File System siehe EFS
Energie sparen 193
Enter-PSSession 917
Environment 553, 919
Erdnt
Restore 581
erdnt.exe 581
Ereignis 702, 869
selber erzeugen 714
WMI 812
Ereignisabfrage 811
Ereignisanzeige 703
Ereigniskonsument 812814
Ereignisprotokoll 796, 805, 814, 957
Aufgabe definieren 713
klassisch 708
Kontingentverwaltung 286
PowerShell 1014
berwachung 812
Ereignisprovider 812
1067
Ereignissystem 981
Ererbte Berechtigungen 302
ErrorAction 943, 945
Erstellen
eines neuen Datentrgers 313
ERUNT 580
Erweiterte Benutzerverwaltung 241
Erweiterte Partition 273, 313
Ethernet-Frames 348
Event 702
Event Consumer
permanent 812
temporr 812
eventcreate.exe 714
EventViewerConsumer 813
eventvwr 703
Exchange Server 797
2007 894
Version 2000 805
Execution Disable 681
exFAT siehe FAT
Experimental 349
Export-CliXml 994
Export-Csv 993
Exportieren 566
Extended Reflection 896
Extensible Authentication Protocol
Flexible Authentication via Secure
Tunneling 454
Extensible Firmware Interface siehe
EFI-BIOS
Externer Schlssel
BitLocker 656
Extrinsic Event 812
F
facsimileTelephoneNumber 1034
Failover Cluster 970
false 924
Family Safety 769, 778
Farbmanagement 479480
Farbtiefe 188
FAT 280
bei Dateifreigaben 428
FAT-12 siehe FAT
FAT-16 siehe FAT
FAT32 siehe FAT
Favoriten 208
Registry 560
Fax 1034
1068
Fax und -Scan 492

Faxeinstellungen 496497
Faxempfang 498
Faxkonsole 493, 497498
Faxkonto 494495
Faxserver 493
Faxversand 498
FDDI 344
fdisk,exe 317
Fehler
des physikalischen Datentrgers 331
in der logischen Konsistenz 331
Fehlerbehandlung 865
Fehlerhafte Sektoren suchen 332
Fehlersuche
PowerShell 956
FEK 632
Fenster
berlappen, untereinander und
nebeneinander 689
Fensterfarbe 181
Fernsehverbot 673
Festplatte defragmentieren 336
Festplatten-Image 39
Festplattenpartitionen erstellen und
formatieren 310
Fiber Distributed Data Interface 344
Fiber-to-the-Desk 344
Fiber-to-the-Home 344
Fibre Channel 268
File 1016
File Allocation Table siehe FAT
File Encryption Key siehe FEK
FileInfo 1017
FileMon 582
FileSecurity 1016
FileVersionInfo 1008
Fingerabdruck 634
Firewall 389
Domnenmitgliedschaft 407
ein- und ausschalten 400
Protokollierung einstellen 400
Regel anlegen oder lschen 400
Regeln anzeigen 400
Verbindung blockieren 397
Verbindung zulassen 397
Firewallprofil
Profil anzeigen 400
Flip 176
Flip-3D 176177
foreach 909910, 933

Foreach-Object 957
Forefront Client Security 608
Forest 407, 1042
Formatieren 309, 315
Format-List 896, 898, 1018
Format-Table 910, 1018
Formel 1 728
Forward Lookup 383
Forward-Zone 383
Fotogalerie 769
FQDN 377
Fragmentierung 336
FreeCell 676
Freigabe 792
administrativ 432
des ffentlichen Ordners 433
einer Anwendung 771
einrichten per Assistent 439
erstellen auf Kommandozeile 433
kennwortgeschtzt 433
verborgen 441
Freigabe-Assistent 211
Freigabeberechtigungen 428
Fremddatentrger 312
Fremde Datentrger importieren 312
fsutil behavior Disable8dot3 322
fsutil behavior query DisableLastAccess 283
fsutil behavior quotanotify 328
fsutil dirty 324
fsutil file queryfileid 324
fsutil fsinfo drives 325
fsutil fsinfo drivetype 325
fsutil fsinfo ntfsinfo 282, 326
fsutil fsinfo statistics 326
fsutil fsinfo volumeinfo 325
fsutil quota 327
fsutil volume querycluster 282
fsutil.exe 322
FTTD 344
FTTH 344
Full Backup 735
Fully Qualified Domain Name 377
function 919, 933
G
Game Explorer Editor 674
Games Description File siehe GDF
GameUXLegacyGDFs.dll siehe GDF
GAR 679
Gast
Aktivierung 433
Gastkonto 246
Gates, Bill 587
Gatewayserver
fr Remotedesktop 425
GDF 676
GDI Siehe Graphical Device Interface
GDI-Objekte 691
Gebietsschema 82
General Application Restrictions siehe GAR
General Packet Radio Service 345
Geplante Tasks 715
Gerte
INF-Datei 104
Installieren 102
Problembehandlung 107
verwalten 105
Gerte und Drucker 101102, 463
Gertebaum 110
Gerte-GUID 129
Gerteinstallation
verhindern 534
Gerteinstallationseinstellungen 108, 113
Gerteklasse 128
Gerte-Manager 108111
Gertetreibersoftware 97
German Commercial Internet Exchange 383
Gesamtstruktur 407
Geschtzte Systemdateien 211
Geschtzter Speicher 636
Get- 972
Get-Acl 10171018, 1026
Get-ADDomain 1043
Get-ADDomainController 1043
Get-ADForest 1043
Get-ADGroup 1041
Get-ADGroupMember 1041
Get-ADObject 1035, 1037
Get-ADOptionalFeature 1043
Get-ADOrganizationalUnit 1038
Get-ADPrincipalGroupMembership 10411042
Get-ADRootDSE 1043
Get-ADUser 10391040
Get-Alias 883
Get-CDRomDrive 972
Get-ChildItem 881, 883, 898, 910, 920,
985, 1005
Get-Childitem 883, 898, 985
1069
Get-Command 883
Get-Content 920, 992
Get-Cwd 920
Get-DataColumn 972
Get-DataRow 972
Get-DataTable 972
Get-Date 928
Get-DirectoryEntry 972
Get-EventLog 10141015
Get-FileVersionInfo 1008
Get-Help 892
Get-History 973
Get-Item 986, 997
Get-ItemProperty 986
Get-Location 882, 920
Get-Member 899, 904, 906, 950, 955
Get-Memorydevice 972
Get-Module 969
Get-NetworkAdapter 972
Get-Process 881883, 888, 896897, 906, 910,
914, 916, 957, 1008
Get-Processor 972
Get-PSDrive 984
Get-PSProvider 919
Get-Service 909, 916, 1010
Getter 868
Get-TraceSource 957
Get-USBController 972
Get-Videocontroller 972
Get-WmiObject 947, 949950, 953, 985
GivenName 10331034
Glaseffekte 175
Glasfaser 344
Global Unique Identifier 865
Globale Gruppen 251
gpedit.msc 151, 522
UAC 590
GPMC Siehe
Gruppenrichtlinienverwaltungskonsole
GPO 513
gpresult.exe 531
GPRS 345
GPT 274
gpupdate 128
gpupdate.exe 515
Grafikkarte 187, 796
Grafikmodus 31
Grafische Ansicht Datentrger 310
Graphical Device Interface 462
Group Policy Object 513
1070
Group Policy Sample ADMX Files 520

Group-Object 910, 1015
Gruppenkonten 251254, 258
verwalten 257
Gruppenrichtlinie 513, 969970
fr DNS-Einstellungen 378
HTML-Seite 532
XML-Bericht 532
Gruppenrichtlinien-Objekt 513, 522
Gruppenrichtlinienobjekt-Editor
mmc.exe Snap-In 527
Gruppenrichtlinienverwaltungskonsole 164
Gruppentypen 251
Gruppierung 907
GSM-Netz 345
gTLD 353
GUID Partition Format siehe GPT
H
Handzettel 772
HarddiskVolume 543
Hardware 796
Hardwareanforderungen 30
Hardware-Assistent 102
Hardware-ID 120121
Hardwarekennung 57
Hardwareverwaltung
PowerShell 1002
Hauptbenutzer 230
Heimnetzgruppe 447
mit XP oder Vista 449
helpctr.exe 419
Here-String 926
Herunterfahren 193
hidden-Attribut 306
High Speed Downlink Packet Access 345
Hilfsprogramme
Auflistung 615
Hintergrundauftrge 981
Hintergrundbild 183, 204
Hinzufgen
Protokolle, Dienste oder Klienten 369
von Arbeitsstationen zur Domne 409
hivelist 542
HKCC siehe HKEY_CURRENT_
CONFIG 540
HKCR siehe HKEY_CLASSES_ROOT 539
HKCU siehe HKEY_CURRENT_USER 540
HKCUSoftwareClasses 551
HKEY_CLASSES_ROOT 539, 550
HKEY_CURRENT_CONFIG 540, 558

HKEY_CURRENT_USER 540, 552, 844847,
998
HKEY_LOCAL_MACHINE 540, 555, 803,
844847, 998
HKEY_USERS 540, 553
HKLM siehe HKEY_LOCAL_
MACHINE 540
HKLMHardware 555
HKLMSAM 555
HKLMSecurity 555
HKLMSoftware 540, 556
HKLMSoftwareClasses 551
HKLMSystem 557
HKU siehe HKEY_USERS 540
HKU.DEFAULT 554
hlscan.exe 330
Home 924
Home Group 447
HomeDirectory 1034
HomeDrive 1034
HomeGroupUser$ 447
Host zu Host
IPv6-Tunnel 501
Host zu Router
IPv6-Tunnel 501
Hostadresse 350
Hosted Cache 446
hosts 378
hosts.ics 406
Hotfix 796
Hot-Plug-Gerte 99
HSDPA 345
HTML
PowerShell 995
HTML-Seite
Gruppenrichtlinien 532
http 348
HTTP-Server
PowerShell 1013
Huitema, Christian 507
Hurricane Electric 502
Hyper Terminal 360
Hypertext Transfer Protocol 348
I
i386 43
icacls.exe 300
ICANN 353
ICMP 381
und Firewall 399
Identifier 854
Identifizieren 187
Idle Process 690
IEEE 802.11 Standards 345
if 933
IIS 359
Image Color Management 479
Image Path Name 691
Imagesicherung 734
ImageX 67, 8082
IMAP 775
Impersonifizierung
WMI 808
Important Updates 619
Import-CliXml 974, 995
Import-Csv 910, 993
Importieren 565
Import-Module 969
In dynamischen Datentrger
konvertieren 312
In einen Basisdatentrger konvertieren 312
Index 220
Indexer 868
Indizierbar-Attribut 306
Indizierung 220
Indizierungsoptionen 220
Indizierungsort 221222
Infobereich 199
Information Rights Management 824
Infrastruktur-Modus 345
Inkrementelle Sicherung 735
In-Place-Upgrade Siehe Aktualisierung
Input 924
InputBox() 946
Installation 827, 850851, 870, 1051
Protokoll 702
Installationsdatentrger
booten 754
Installationspartition 48
Installationsphase 49
Installationsplanung 29
Installationsprozess 42
Installationstechnologie 1006
Installationsvorbereitung 40
InstanceDeletionEvent 812
InstanceModificationEvent 812
Instanzmitglied 869
Integrated Scripting Environment 960
1071
Integrated Services Digital Network 345

Integrittsniveau 304
Integrittsstufe 591
Integrity Level 591
Intel Itanium 681
Interface Definition Language 806
International .NET Association 26
Internet 817, 821, 10511052
Internet Control Message Protocol 381
und Firewall 399
Internet Corporation for assigned Names
and Numbers 353
Internet Information Server 797, 821822
Internet Information Services 359
Internet Printing Protocol 450
Internet Protocol 348
Internet Protocol Security 380
Internet SCSI (Small Computer System
Interface) siehe iSCSI
Internet Storage Name Service siehe iSNS
Internet Explorer 224, 821, 1051
Internetsicherheitseinstellungen
Wartungscenter 595
Internetverbindung
Gemeinsame Nutzung 404
Internetwork Packet Exchange 349
IntervallTimerInstruction 812
Intra-Site Automatic Tunnel Addressing
Protocol 505
Intrinsic Event 812
Invoke-Command 916
Invoke-History 974
Invoke-SqlCommand 972
IP 348
Adresse 810, 1012
Konfiguration 810
Routing 797
IP-Adresse
anzeigen 367
mehrere pro Adapter 376
privat 355
ipconfig.exe 385
IPEnableRouter 401
IPP 450
IPsec 380
IPv4
DNS-Eintrag 384
IPv6 357
DNS-Eintrag 384
IPX 349
IRQ 796
1072
ISATAP 505
iSCSI 268
Ziel suchen 269
iSCSI Initiator 269
iSCSI Target 269
iSCSI-Dienst 269
iSCSI-Klient 269
iSCSI-Server 269
ISDN 345
iSNS 270
ISO/OSI-Schichtenmodell 341
iX 25
J
Java 865
Job 981
JScript 822
JsEdit 835
Jugendschutz 667
Jumplist 197
Junction.exe 330
Junk-Mail
Filter 776
K
Kabelmodem 346
Kategorie 5 344
Kategorie 7 344
Kennwort 853, 855
luft nie ab 536
speichern fr Zugriff auf Freigabe 437
Speichern verhindern 438
Kennwortalter 535
Kennwrter verwalten 239
Kennwortlnge 535
Kennwortoptionen 247248
Kennwortrichtlinien 247, 249250, 535
Kennwortrcksetzdiskette 240, 636
Kennwortsicherheit 249
Kerberos 809
Key Management Service Siehe KMS
Kill() 897
Klasse 803, 868
.NET 865
gruppieren 867
Klassenmitglied 869
Klient
fr Microsoft-Netzwerke 369
Teredo 507
KMS 8788
KMS-Host 8788
Kommandozeilenfenster 783, 787789, 792,

794, 817, 825826, 852
Kommentar
fr Richtlinien 524
PowerShell 923
Kompatibilittsassistent 54
Kompatibilittsmodus 119, 155159, 467
Komplette Dateisicherung 734
Komponentenorientierung 863
Komprimiert-Attribut 307
Konfigurationssatz 76
Konflikt
bei Offlinedateien 445
Konstruktor 869
Kontingentverwaltung 285
Konto
automatisch sperren 536
unbekannt 413
Kontrollkonstrukte
PowerShell 933
Kopieren
aus Sicherung 761
eines Ereignisses 707
Kosten
von Routen 351
L
LAN Manager 363
LAN Server 363
Language Interface Pack 8283
Language Pack 83
LanmanServer 428
LastExitCode 924
LastKnownGood 557
Lauf 283
Laufwerk 789
PowerShell 917, 921, 998
Laufwerksbuchstabe zuweisen 321
Laufwerksbuchstaben und
-pfade ndern 315
Laufwerkstyp feststellen 325
Layer 8 Fehler 343
Layout 208
LBA 275
LDM 276
Data Partition 276
Metadata Partition 276
LDP 450
LEAP 454
Lease 355
Lease-Dauer 356
Leere Datei anlegen 324
Leere Kennwrter 250
Leerlaufprozess 690
Legacy Games 671
Legacy-Ereignisdatei 708
Leistungsdaten
PowerShell 1015
Leistungsindex 5960, 671, 728
Leistungsindikator
hinzufgen 724
Leistungsberwachung 720, 722723
Letzte als funktionierend bekannte
Konfiguration 557
Libraries 213
Lightweight Extensible Authentification
Protocol 454
Lightweight Processes 686
Line Printer Daemon Protocol 450
Line Printer Remote Protocol 450
Link 839
Link Layer Topology Discovery Protocol 368
Link local-Prfix 506
linkd.exe 330
Linkfavoriten 208209
LinkLocal 358
Linux 865
Liste 791792, 817, 819, 827, 841842, 845,
847849, 852
Live 772
Lizenzschlssel 87
LLTP 368
LLTP-Protokoll
fr Windows XP nachrsten 369
lmhosts 379
lmhosts.sam 380
ln.exe 330
Local Area Network 1052
Local Service 554
Local System 554
localhost 355
Log File Event Consumer 814
Logical Block Adressing siehe LBA
Logical Data Manager siehe LDM
Logical Link Control 342
Logical Volume Manager siehe LVM
Logo 32
Lokale Gruppen 251
Lokale Richtlinien 513
1073
lokale Richtlinien
auf Benutzergruppen einschrnken 527
Lokale Sicherheitsrichtlinie 370, 522
Lokaler Dienst 554
Lokalisierung 802
Lost Laptop 651
Lovesan 617
LPD-Druckdienst 453
lpq.exe 453
LPR 450, 472
Netzwerkanschluss eines Druckers 452
lpr.exe 453
LPR-Anschlussmonitor 453, 472
LPR-Port 474
ls.exe 330
lsass.exe 636
lusrmgr.msc 410
LVM 276
M
MAC
im ISO/OSI-Modell 342
MAC-Adresse 358, 386387
Mail Exchanger 353
DNS-Eintrag 384
MAK 87
Manage BitLocker Disk Encryption 663
manage-bde.exe 663
Managed Object Format 806, 818
Marketplace 140
Master Boot Record siehe MBR
Master File Table siehe MFT
Masterkey 636
Match 905
MaximumDriveCount 922
MBR 273
Platzhalter 274
MD5 627
Measure-Command 957
Measure-Object 907, 910, 992
Media Access Control 342
Medienwiedergabe 144
Memory - Paged Pool 691
Memory Commit Size 691
Memory Working Set 690
Menleiste 208
Methode 869
Getter 868
Setter 868
Metric 351
1074
Metrik
fr Gateway 376
MFT 282
MFT-Record 283
MFT-Zone 282
Microsoft Access 852, 996
Microsoft Application Compatibility
Toolkit 154155
Microsoft Certified Solution Developer 26
Microsoft Management Console 871
Microsoft Network Monitor 389
Microsoft Outlook 1009
Microsoft Product Support Report 730
Microsoft Support-Diagnosetool 730
Microsoft XPS Essentials Pack 482
Microsoft.Win32.RegistryKey 998
Migration 1053
Minianwendungen 137, 185
Minianwendungsgalerie 185
Miniapplikation
Systemauslastung 728
Minimaler Systemstart 611
Mirror 277
Mitglieder
statisch 869
mmc.exe
fr lokale Richtlinien 527
Zertifikate 640
Modul 968
Monitor 186, 188
Mono 865
More 793
Most Valuable Professional 26
mount.exe 363
move 986
Move-ADObject 1035
Move-Item 986
Movie Maker 769
MPS Reports 730
MSCL 876, 922
msconfig.exe 609
msdt.exe 730
MSI 1006
msiexec.exe 146, 149
MSI-Pakete 148149
msra.exe 419
msrcIncident 418
mstsc.exe 424
MUI 82
Multicast 393
Multiple Activation Keys Siehe MAK

Multiprozessorsysteme 612
Multithreading 865
MX
DNS-Eintrag 384
N
Name 1034
Namensauflsung
fr die Datei- und Druckfreigabe 379
Namensraum 801, 803, 865, 1016, 1042
Namensraumhierarchie 866
Nameserver
DNS-Eintrag 384
Namespace 865
WMI 801, 804
NAT 356
NAT-Router 405
Navigation Provider 919, 967
Navigationsbefehl 920
Navigationsbereich 202
Navigationsfenster 202
Navigationsprovider 1031
Navigieren
in Sicherung 764
NDIS 117118
NDP 388
Neighbour Discovery Protocol 388
NET
FILES 441
SESSION 441
SHARE 433, 440
USE 438
VIEW 441
net localgroup 258
net share 792
net user 243244
net view 792
NetBEUI 349
NetBIOS extended User Interface 349
NetBIOS over TCP/IP 379
NetBIOS-Name
einer Domne 409
NetBT 379
netsh.exe 399
netstat 352
netstat.exe 388
NetWare
fr Drucker 450
Network Access Protection 822
Network Address Translation 356, 405

Network Bridge 402
Network File System 363
Network Layer 343
Network Load Balancing 797
Network Location Awareness 370, 470
Network Monitor 389
Network Service 554
Netzlaufwerk 796
Netzwerk
auf dem Desktop anzeigen 434
Computer finden 368
lokale Verbindung 346
lschen 372
PowerShell 1011
privat 355
verwaltet 372
Netzwerkadapter
HW-Einstellungen 367
Netzwerkadresse 350
Netzwerkbrcke 402
Netzwerkdienst 554
Netzwerkdrucker 468
freigeben 452
Netzwerkdrucker 468469
Netzwerkerkennung 370
Netzwerkfirewall
Wartungscenter 595
Netzwerk-ID 408
Netzwerkkarte 796, 810, 1012
Netzwerkkomponenten
aktiv 343
passiv 343
Netzwerkkonfiguration 792
PowerShell 1012
Netzwerkmanagement 795, 969
Netzwerkprofil 369
Netzwerkprotokoll 348
Netzwerkstandort 369
Netzwerkbersicht 368
Netzwerkverbindung 797
Netzwerkzugriffschutz
Wartungscenter 595
Neues einfaches Volume 313
Neues gespiegeltes Volume 314
Neues Stripesetvolume 314
Neues bergreifendes Volume 314
Neuinstallation 35, 43
Neustart
nach Rcksicherung 760
1075
New-ADGroup 1041
New-ADObject 1035
New-ADOrganizationalUnit 1038
New-ADUser 10391040
New-Item 918, 920
New-Itemproperty 999
New-Object 869, 953, 955
New-PSDrive 922, 998, 1005, 1032
New-TimeSpan 929
nfi.exe 284
NFS 363
NLA 370
NLA Siehe Network Location Awareness
No Execution 681
nobody 364
Notepad 824
Notizeigenschaft 903
NS
DNS-Eintrag 384
nslookup.exe 354, 383
Suche nach DC 408
NT Event Log Event Consumer 814
NTAccount 1017
ntbackup.exe 733
ntbtlog.txt 612
NTFS 280, 806
NTuser.dat 260261
ntuser.dat 552, 555
NTVDM 161
NX-Bit 681
O
Object Browser 818
ObjectCategory 1037
ObjectClass 10331034, 1037
ObjectGUID 1034
ObjectSecurity 1016
Objektmenge 836837
Objektorientierung 863, 896
obsolated 349
OEM Support Tools 284
ffentliche Dokumente 214
ffentliche Schlsselinfrastruktur 627
ffentliches Profil 263
Office 1034
Office Customization Tool 150
Offline Update 625
Offlinedateien 442
ffnen
aus Sicherung 761
1076
OFS 924
Oktober 381
OLE DB
Provider 996
OnAccess-Modus 599
OnDemand-Modus 599
OneLevel 1037
OOBE-Modus 79
oot 803
Open Database Connectivity
Einstellung 797
Open Systems Interconnection 341
Operator
PowerShell 905
Optionale Updates 91, 619
Ordner
Dateisystem 797
Ordner- und Dateiansichten 202
Ordner- und Suchoptionen 209
Ordneransicht 203
Ordneroptionen 210
Organisationseinheit 514
Organisieren 208
Organizational Unit 514
OSI 341
OU 514
Ou, George 454
Out-Default 912
Out-Email 911
Out-Excel 911
Out-Grid 899, 911
Outlook Express 769
Out-Null 915
P
Paket
verwerfen durch Ablauf der TTL 382
Paketdatei 146
Parallelinstallation 55
Partition 273
als aktiv markieren 315
erweiterte 273
Partition Manager 315
Partitionstabelle 273
Passport 774
Password Recovery Disk siehe PRD
Passwort-Checker 250
Patch 617
Patch Day 88
PCI Lock 612
Peer Name Resolution Protocol 416

perfmon.exe 720
perfmon.msc 722
Performance Counter Provider 1015
Performance Monitor 720, 796, 805
Peripheriegerte 102
PGP 627
Physical Layer 342
PhysicalDeliveryOfficeName 1034
pick-head 910
pick-object 906
pick-tail 910
PID 690
PIN
BitLocker 656
Ping 797, 1011
ping.exe 381
Pipeline 873, 876, 895, 898899, 907
Pipelining 793, 895
Pixel Shader 179
PKCS#5 636
PKI 627
Plain Old Telephone System 345
Plattformunabhngigkeit 863
Plug&Play
Fhigkeit 96
Spezifikation 95
Starttyp 114
Plug&Play-Gerte 95
PnPUtil.exe 127
PNRP 416
Pointer
DNS-Eintrag 384
Point-To-Point-Protokoll over Ethernet 348
PolicyDefinitions 516
POP3 775
POTS 345
Power Line 346
Power Management 805
PowerGadget 969
PowerShell 24, 793, 873, 882, 895
Analyzer 964
Community Extensions 971
Editor 957
Extension 972
Hosting 874, 967
IDE 962
Konsole 957958
Language 922
Laufwerk 917, 921, 998
Modul 968, 981

Protokollierung 957
Sicherheit 936
Skript 934
Snap-in 967
Sprachsyntax 922
PowerShellPlus 960
PowerTab 966
PPPoE 348
PRD 636
Pre Shared Key 455
Preboot Execution Environment 357
Presentation Layer 343
Pretty Good Privacy siehe PGP
PrimalScript 965
Primre Partition 313
Primres DNS-Suffix 377
Principal 1017
Print Management Console 484
private key 626
Privates Netzwerk 355
Privileg 809
probe request 454
probe response 454
Problemaufzeichnung 422
Problembehandlung 124
Wartungscenter 595
Problemberichte 124126
Wartungscenter 595
Process 906
Process Explorer 697
Process Monitor 582
Produktaktivierung 57
Produktschlssel 51
Professional Developer Conference 875
Profil
roaming 552
ProfilePath 1034
Profilpfad 262
Profilskript 960
Profilversionierung 265
Programme Siehe Anwendungen
Programmiersprachenunabhngigkeit 863
Programmkompatibilitts-Assistent 156,
159
Property 868
Protected Storage Service 636
ProtectedFromAccidentalDeletion 1034, 1036
protocol
Datei 356
1077
Protokoll lschen 709

Protokolldatei 814
Protokollnummer
bei IP-Paketen 398
Prozess 796
abstoppen 698
auflisten 1008
beenden 701, 1009
beenden, ber Ressourcenmonitor 721
Zuordnung zur TCP/IP-Verbindung 389
Prozess.ID, siehe PID
ps 1008
PSDiagnostics 970
PSDriveInfo 984
PsExec.exe 556
PSHome 924
PSHost 924
PSK 455
pskill.exe 701
pslist.exe 701
psr.exe 422
PsTools 701
PTR
DNS-Eintrag 384
public key 626
Public Key Infrastructure siehe PKI
PushPrinterConnections.exe 492
PXE 357
Q
QoS-Paketplaner 369
Quality of Service 369
Quarantne
Defender 606
Quota 285
R
RADIUS-Server 455
RAID 276
per Software 277
RAW 477
Netzwerkanschluss eines Druckers 452
RAW-Dateisystem 311
RDP-Datei 424
read only-Attribut 306
Read-Host 946
reassociation request 454
Recommended Updates 619
Recovery Agent 644
1078
Redundant Array of Independent Disks

siehe RAID
reg.exe 569
Netzwerk 572
REG_BINARY 545, 562
REG_DWORD 545, 562
REG_EXPAND_SZ 545, 561
REG_LINK 545
REG_MULTI_SZ 545, 561
REG_QWORD 545, 562
REG_SZ 545, 561
RegBack 543, 574
regedit 195
regedit.exe 558
Netzwerkregistrierung 572
verbieten 585
regedt32.exe 559
Regelsammlung 172
Regelzusammenfhrung
in der Firewall 393
regini.exe 571
Registrierung
.reg-Datei 566
Registrierungsdateien 566
Registrierungsdatenbank 788, 843, 845, 874,
918, 922, 997
PowerShell 934
Registrierungsdatenbank siehe Registry 537
Registrierungs-Editor 558
Registrierungsstrukturdatei 566
Registry 537, 803, 805
Backup 580
Baumstruktur 538
Berechtigung 546, 548
Cleaner 578
Dateisystem 541
Datentypen 545
Drucken 567
Exportieren 566, 570
Favoriten 560
hivelist 542
Importieren 565, 570
Navigation 559
Netzwerk 572
Offline 574
PowerShell 997
Redirector 541
Reflection 541
Schlssel anlegen 563
Schlsselnamen kopieren 564
Script 573
Struktur 568
Suchen 559
UAC-Abfrage 538
Virtualisierung 541
Wert lschen 564
Wert umbenennen 564
Werte ndern 561
Werte anzeigen 570
Werte hinzufgen 570
Werte kopieren 570
Werte lschen 570
Werte vergleichen 570
Registry Monitor 582
Registry-Datei
Format 566
RegistryKey 10161017
RegistryValueChangeEvent 812
RegMon 582
Relay
Host-spezifisch 507
Teredo 507
relog.exe 726
Remote Assistance Logs 422
Remote Authentication Dial-In
User Service 455
Remote Desktop Service 970
Remote Procedure Call
und Firewall 399
Remote Server Administration Tools 165,
241, 919920, 970, 1029
RemoteApp 426
Remotedesktop 360, 362
als Datei speichern 424
an Bandbreite anpassen 424
Verbindung absichern 425
Remotedesktopbenutzer 362
Remotedesktopverbindung 424
Remotedrucker 468
Remoteregistrierung 573
Remoteuntersttzung 360, 362, 415
hinter NAT 417
per Skript automatisieren 418
Protokoll 422
Remove-ADGroup 1041
Remove-ADGroupMember 1041
Remove-ADObject 10351036
Remove-ADOrganizationalUnit 1038
Remove-ADUser 1039
Remove-DirectoryEntry 972
Remove-Item 986, 998

Remove-ItemProperty 1000
Rename-ADObject 1035
Rename-Item 986
Rendering 462
Replikation 796
von Richtlinien 515
Repository 804
Request for Comment 349
Resolve-Path 921
Ressourcen-Management 96
Restart-Service 1011
Restore
Offline 574
Restore Point 749
Restore-ADObject 1035
Resultat Set of Policys 529
Resume-Service 1011
return 934
Reverse Lookup 383
Reverse-Zone 383
RFC 349
RFC 1149 349
RFC 2460 357
RFC 791 349
Richtlinie
Ansicht filtern 525
Anwendung planen 531
dokumentieren 531
eigene erstellen 520
eines Benutzers lschen 528
erzwingen 515
kontrollieren 528
Reihenfolge 528
Sicherung und Wiederherstellung 736
suchen 525
bersetzen 519
verwalten 516
Richtlinienergebnissatz 528
Richtlinienvorlagen 519
Rivest, Ronald L. 627
robocopy.exe 753
root 201
Rootserver 353
Rootzertifikat 629
rootzone 353
Route
konfigurieren 350
permanent 401
route.exe 401
1079
Router 350
Router zu Host
IPv6-Tunnel 501
Router zu Router
IPv6-Tunnel 501
Routing
aktivieren 401
RPC
und Firewall 399
RSAT 10281029
RSAT Siehe Remote Server Administration
Tools
RSoP-Daten generieren 529
RSS 10131014
rstrui.exe 765
Rcksicherung
eines kompletten Systems 754
Ruhezustand 193
Rundsendung
zur Namensauflsung 379
Runspace 964
RuntimeException 945
Russinovich, Mark 541
S
SafeGuard 657
SamAccountName 1034
Samba 364
Sammlungssatz 725
kombinieren 726
SAN 268
Schema 1033
Schemaabfrage 810
SchemaNamingContext 1031
Schiffsbohrwurm 507
Schleife 827828, 837, 842, 845, 849
Schlssel
anlegen 563
gemeinsamer 626
ffentlich 626
privat 626
Schlsselattribut
WMI 798
Schlsselnamen kopieren 564
Schlsselpaar 626
Schlsselwort-Filter
fr Richtlinien 526
Schnellformatierung durchfhren 313
Schnittstelle 821, 830
.NET 869
1080
Schreibcache 99100
Schreibgeschtzt-Attribut 306
Schriftart 783
Schriftgrad 188
schtasks.exe 719
Scope 355
Script 837, 842, 848849, 855
Scripting 821, 824, 827, 829, 836837, 841,
843, 846848, 851852
Werkzeug 834
SDDL 304
SDL siehe Security Development Lifecycle
SDSL 344
SearchScope 1037
secedit.exe 304
secpol.msc 370, 522
Secure Desktop 590
Security
Protokoll 702
Security by Design 588
Security Descriptor Definition Language
siehe SDDL
Security Development Lifecycle 588
Security Essentials 608
Security Identifier 244, 854, 1017
Security Service Provider 809
Select 201
SELECT (SQL) 809
Select-Object 898, 904
Selektive Dateisicherung 734
self signed certificates 635
Semaphore 1016
Sequenced Packet Exchange 349
Seriennummer 1001
Server
Teredo 507
Server Message Block 363
Serverauthentifizierung
bei Remotedesktop 425
Service Set Identifier 454
Serviceorientierung 863
services
Datei 356
Services for Unix siehe SFU
Session ID 690
Session Key 636
Session Layer 343
Set-Acl 1026
Set-ADGroup 1041
Set-ADObject 10351036
Set-ADOrganizationalUnit 1038
Set-ADUser 1039
Set-Alias 887
Set-AuthenticodeSignature 937
Set-Content 992, 1013
Set-DataTable 972
Set-Date 929
Set-Executionpolicy 936
Set-ItemProperty 986, 999
Set-Location 882, 920
Set-PsDebug 957
Set-Service 1011
Setter 868
Set-TraceSource 957
Setup.exe 43
Setup.exe Setup 68
SFU 330
SHA-1 627
Shamir, Adi 627
SharedView 769
ShareEnum 441
SharePoint 920
SharePoint Portal Server 920
Shell 873, 895
Shielded Twisted Pair 344
Shipworm 507
shutdown 194
Sicherer Desktop 232
Sicherheit
COM 808
Dateisystem 797, 806
durch Gestaltung 588
PowerShell 936
WMI 808
WSH 830
Sicherheitscenter 594
Sicherheitsmodell 874
Sicherheitsprincipal 245
Sicherheitsrichtlinie 248, 870
Sicherheitsstufe 51
Sicherung
Dateien auswhlen 742
einrichten 739
FAT-Laufwerke 744
im Netzwerk speichern 740
nach Datum auswhlen 764
neu erstellte Benutzer 744
starten 738
Wartungscenter 595
Zeitplan ndern 744
Sicherungsoperatoren 736
Sicherungsziel 739
SID 553
Anzeigen bei unbekanntem Benutzer
413
SID Siehe Security Identifier
Side-by-Side-Executing 864
Signatur 135
fr Datentrger 311
Signaturgeber 135
Signierte Treiber 466
Simple Network Management 795796, 806
Sitzung 770
Sitzungskennung 690
Skript 822828, 830, 834, 838, 840841, 843,
845, 847848, 852857
MSH 934
signiert 834
Skript Repository 573
Skripteigenschaft 903904
slmgr.vbs 58
SMB 363
SNA Server 806
Snap-in 969
Sniffer 389
SNMP 472
SOA
DNS-Eintrag 384
Socket 351
Software 796, 847, 849851
Bereitstellen 170
Bereitstellungsmethode 165
verffentlichen 165166
verwalten 1003
zuweisen 165
Softwareeinschrnkungsrichtlinien 172
Softwareentwicklungsplattform 863
Software-Explorer 603
Softwareinstallation 850
Softwarekomponente 871
Softwarekonfiguration 847
Softwareverteilung 150, 162164, 168
Softwareverteilungspunkt 163
Softwareverwaltung 162
Solitr 676
Sortieren 906
Sortierung 203
Sort-Object 898899, 910
Sound 181, 184
Soundschema 184
1081
Speicherabbild
erstellen 689
Speicherbereinigung 865
Speicherorte 215
Speicherplatz verweigern 286
Sperren 193
Spiegelsatz 277
Spiegelung
Einrichten 278
Spieleexplorer 671
Spielfreigaben 668
SPM Siehe Standard-Portmonitor
SPM-Drucker Siehe Standard-Portmonitor
Spool-Datei 461
Spooler-Einstellungen 476
Spoolprozess 462
Sprachpaket 83, 85, 91
Sprachversion 82, 823
Sprungliste 197
SPX 349
Spybot Search&Destroy 599
SpyNet 606
Spyware
Wartungscenter 595
SQL 809
SSID 454
SSL
fr E-Mail 775
Stabilittsindex 731
StackTrace 924
Stammordner 206
Standardbibliotheken 213
Standarddrucker 470
Standardgateway 350
Standard-Portmonitor 472
Standardprogramme 137, 140143
Standardsprache 82
Standard-TCP/IP-Port 472473
Standard-VGA-Treiber 612
Stapelverarbeitung 792, 821
start 692
Start of Authority 384
Startbildschirm
Reparaturoptionen 754
Startmen 191, 194
Startoptionen 201
Startpartition 49
Startprotokollierung 612
Startseite
fr Browser vorab festlegen 533
1082
Start-Service 1011
Start-Sleep 941
StarWind iSCSI Target 269
Status 836
Steuerung anfordern
Stichwrter 217
Stop-Service 1011
Storage Area Network siehe SAN
STP 344
Stream 289, 841
StreetAddress 1034
Stripeset mit Paritt 277
Stripeset siehe RAID
Stromnetz
zur Datenbertragung 346
Struktur
entfernen 569
Registry 568
Strukturierte Verkabelung 344
Subnetzmaske 350
subst.exe 328
Subsystem fr Unix 330
SubTree 1037
Suchabfragen 219
Suchbegriffe 217
Suche 212
Suchergebnisse 217
Suchfeld 195
Suchfilter 207, 217
Suchindex 220
Suchleiste 207
Suchoptionen 204
Suchvorgnge 219
Superbar 177, 196
Supportdienstleister 730
Surname 1034
Suspend-Service 1011
svchost.exe 692
als Containerprogramm in
Firewallregeln 397
Switch 933
Symantec Norton Ghost 39
Symbolleisten 200
Symmetrical Digital Subscriber Line 344
Synchronisation
Partner 444
Synchronisierungscenter 443
Sysprep 67, 7679, 84
System 822823, 825, 829, 834, 836, 838840,

851852, 857, 866867, 870
Protokoll 702
System ACL 1017
System Center Configuration Manager 68, 73
System Center Configuration
Manager 2007 150
System Management Server 806
System Volume Information 749
system.adm 517
System.ApplicationException 945
System.Boolean 920
System.Collections.Hashtable 930
System.Data 954
System.DateTime 928
System.Diagnostics.Eventllog 1014
System.Diagnostics.EventLog 1014
System.Diagnostics.Process 896, 912
System.DirectoryServices 954, 1042
System.DirectoryServices.
ActiveDirectory 1042
System.Environment 1001
System.Exception 945
System.Globalization.CultureInfo 974
system.ini 537
System.IO.Directory 1016
System.IO.DirectoryInfo 985
System.IO.File 1016
System.IO.FileInfo 985986
System.Management 954
System.Management.Automation 894, 967
System.Management.Automation.
CmdletProvider 967
System.Management.Automation.Host 967
PathInfo 921
PSCustomObject 993
PSDriveInfo 984
Runspaces 967
System.Management.
ManagementObject 929, 948
System.Net.WebClient 1013
System.Security 1017
System.ServiceProcess.
ServiceController 1010
System.String 926
System.TimeSpan 928
Systemabbild 739
auflisten 752
erstellen 746
FAT-Laufwerk 747
von Netzwerklokation 757
Systemaktivitt darstellen 693
Systemanforderungen 30
Systemattribut 306
WMI 799
Systemdateien 211
ausblenden 542
Systemdienst 796
PowerShell 1010
Systeme
vergleichen 728
Systemkey 636
Systemklnge 184
Systemklassen
WMI 798
Systemmanagement 795
Systemreparaturdatentrger
booten 754
erstellen,nach Systemabbilderstellung 748
Systemreparaturdatentrger erstellen 748
Systemrichtlinien 515
Systemschriftart 189
Systemstart 609
Systemsteuerung 553
Windows Update 618
Systemwiederherstellung 579
T
Tab Completion 959
Tachoanzeige 728
Task 715
Task Scheduler 715
Taskkill 791
taskkill.exe 701
Taskleiste 196, 198
tasklist.exe 700
Task-Manager 686
deaktivieren 687
ohne Titelleiste und Men 687
taskmgr 686
Taskscheduler 796
Tastenkombination 223
Ttowierung 515
Tattoo 515
TCP 348, 351
1083
TCP/IP
DNS einstellen 376
TCP/IP-Protokolltreiber 117
TCP-Port
3260 269
TCPView 389
TeamView 769
Tee-Object 908909
Teiltreffer 213
Telefon- und Modemoptionen 493
Telnet 360
telnet.exe 361
TelnetClients 361
Teredo 507
Status 508
Teredo Navalis 507
Terminal 360
Test-Path 920
Textdatei 822, 825, 841843, 845, 847, 852
PowerShell 992
Textgre 189
Textmodus 42
TFTP 357
Thread 686
Throw 933, 945
Tic Tac Toe 778
Tiff-IFilter 139
TightVNC 395
Time to Live 382
TimeSpan 957
TLD 353
Toolbar 769
TPM 651
initialisieren 653
Traceroute 382, 510
tracert.exe 382, 510
Transformationsdatei 167
Transmission Control Protocol 348, 351
Transparent Mode
IP-Sec 380
Transparenter Modus 655
Transparenz 182
Transparenzeffekte 179
Transport Layer 343
Trap 933, 941, 945
Treiber 187
aktualisieren 112
Bereitstellung 98, 126
Dateien 116
Inkompatibilitt 119
1084
Kompatibilitt 116
Probleme 99, 115
Rollback 122
vertrauenswrdige Herausgeber 97
Treibermodell 116
Treiberprobleme 467
Treibersignierung 123
Treiberspeicher 9798, 126
Tresor 437
Trigger 715
triple DES 626
Trivial FTP 357
Troubleshooting Pack 970
true 924
TrueCrypt 657
Trusted Computing Group 651
Trusted Plattform Module siehe TPM
TTL 382
Tunnel
fr IPv6 501
im Router konfigurieren 504
Tunnel Mode
IP-Sec 380
Turing, Alan 626
Twisted Pair 344
Typ 867
Namensgebung 867
types.ps1xml 888889
U
UAC siehe User Account Control
UAC-Abfrage 589
berprfung von Datentrgern 331
bertragungsrate
nominal 366
berwachungstools 723
UDP 351
Uhrzeit 928
Umgebungsvariable 553, 796
Umrissmodus 176
UMTS-Netz 345
Unattend.xml 78, 84
Uniqueness Database 1053
Universal Coordinated Time 800
Universal Plug and Play 434
Universelle Gruppen 251
Unix 873, 895
Unshielded Twisted Pair 344
Unterhaltungssoftware Selbstkontrolle siehe

USK
Unternamensraum 866
Unterroutine 828, 847
until 933
Update 617, 1053
ausblenden 622
auswhlen 622
Auswahlseite 622
automatisch installieren 620
Details kopieren 622
Erklrung 622
fr alle Benutzer 621
herunterladen 620
manuell suchen 623
offline 625
suchen 620
verfgbar 621
Verlauf anzeigen 623
Wartungscenter 595
Update-Management 88
Update-Option 47
Update-Treiber-Repository 113, 119, 467
Update-Verlauf anzeigen 623
Upgrade-Installation 5354
Upgrade-Pfade 36
Upload
Netzwerkanschluss 345
UPnP 434
USB-Gerte 112
USB-Massenspeicher
verhindern 534
USB-Root-Hub 112
User Account Control 227, 588
User Datagram Protocol 351
User State Migration Tool 37
User State Migration Tool Siehe USMT
userkey.psw 637
USER-Objects 691
USK 668
USMT 7072
UsrClass.dat 552
UTP 344
V
Variable
PowerShell 908, 923
Umgebung 553
VB.NET 981
VBScript 573, 822, 826
VBsEdit 835
VDSL 345
Verbindlichkeitsstufe 304, 591
Verbindung
im Netzwerk schlieen 440
lschen 500
ber eine Whlverbindung 500
berbrcken 402
Verbindungsspezifisches DNS-Suffix 377
Verbose 956
Vererbung 293, 804, 869
Vererbungshierarchie 816, 1033
WMI 804
Vergleichsoperator
MSH 905
Verifikation 865
Verknpfung 201, 329, 792, 827, 839
Verffentlichte Anwendungen 167
Verschlsselt-Attribut 307
Verschlsselung
asymmetrisch 626
symmetrisch 626
von Offlinedateien 446
Versteckt-Attribut 306
Versteckte Ordner 260
Verzeichnisdienst 805, 854
Verzeichnisklassenname 853
VFAT siehe FAT
VGA-Treiber 612
Virenschutz
Wartungscenter 595
Virtual DOS Machine 161
Virtual HD 269
Virtual Private Network 346, 511
Virtualisierung der
Benutzerkontensteuerung 691
Virtualisierungsfunktionen 160
Virtuelle Festplatte
anhngen 317
anlegen 320
erstellen 317
erstellen siehe iSNS
trennen 312
Virus
EICAR-Testvirus 602
Visual Basic 821823, 826, 861
.NET 967
6.0 864
Script 821, 823, 826
Visual Basic Script 821, 823, 826
1085
void 915
Vollsicherung 735
Volltextsuche 217
Volume 276
erweitern 316
lschen 317
verkleinern 316
Volume Activation 86
Volume Activation Management Tool 88
Volumenaktivierung 86
Volumenbezeichnung 313
Volumenliste 310
Vorgang anhalten
ber Ressourcenmonitor 721
Vorgang fortsetzen
Vorlagenprofile 263
Vorschaufenster 197, 203204
VPN 346, 511
VPN-Verbindung 348
VS Command Shell 966
W
Whlverbindung 499
Wald 1043
Warteschlange analysieren
Wartungscenter 5657, 124, 180, 594
Einstellungen korrigieren 596
Meldungen deaktivieren 597
Meldungen unterdrcken 597
wbadmin.exe 751
WBEM 795
WDDM 117, 179
WDDM-Treiber 179
Web Administration 970
Webcam
Filter 778
Weblog 982, 1013
Wechselmedienzugriff
einschrnken 534
Weitergeleitete Ereignisse
Protokoll 703
Well-Known Security Identifier 554, 1021
WellKnownSidType 1021
WEP 455
Wert 205
ndern 561
lschen 564, 567
umbenennen 564
1086
wevtutil.exe 714
WhatIf 956
Where-Object 882, 896899, 904, 909910
while 933
Whistler 801
Whitelist 780
whoami.exe 245, 960
Wichtige Updates 619
Wiederherstellen
aus Sicherung 761
von Dateien und Ordnern 760
Wiederherstellung 212
an anderer Lokation 764
an originaler Lokation 764
betroffene Programme 766
ber Kontextmen 761
Wiederherstellungs-Agent 644
Wiederherstellungsoptionen 46
Wiederherstellungspunkt 123, 579, 749
erzeugen vor Rcksicherung 768
manuell erstellen 750
vor Defender-Aktion 605
vor Update 621
zurcksichern 765
Wi-Fi Protected Access 455
WIM 42, 61, 64
WIM-Datei 81
WIM-Imageformat 62
win.ini 537
Win32 798
Win32_ACE 989
Win32_Bios 1001
Win32_BootConfiguration 1001
Win32_CodecFile 1005
Win32_ComponentCategory 810
Win32_ComputerShutdownEvent 812
Win32_Computersystem 1001
Win32_Currenttime 929
Win32_LogicalDisk 803
Win32_Logicaldisk 984
Win32_MappedLogicalDisk 985
Win32_NetworkAdapterConfiguration 810,
1012
Win32_NTLogEvent 810, 812
Win32_OperatingSystem 1001
Win32_OSRecoveryConfiguration 1001
Win32_PerfRawData 1015
Win32_PingStatus 1011
Win32_Printer 1009
Win32_Printjob 1009
Win32_Product 1006
Win32_Quickfixengineering 1005
Win32_SecurityDescriptor 989
Win32_Service 810, 812
Win32_Share 987988
Win32_SystemConfigurationChangeEvent 812
Win32_Trustee 989
Win32_WindowsProductActivation 1001
Windows
Remoteuntersttzung 415
Windows 2000 801
Windows 32-API 981, 1053
Windows 7 Enterprise Siehe Editionen
Windows 7 Home Basic Siehe Editionen
Windows 7 Home Premium Siehe Editionen
Windows 7 Professional Siehe Editionen
Windows 7 Starter Siehe Editionen
Windows 7 Ultimate Siehe Editionen
Windows 7 Upgrade Advisor 33, 53, 153
Windows 9x 805
Windows AIK 65, 73
Windows Automated Installation Kit Siehe
Windows AIK
Windows Backup and Restore Center 734
Windows Communication Foundation 797
Windows Defender 51, 599
Windows Deployment Services 68
Windows Desktop Manager 177
Windows Display Driver Model 31
Windows Driver Model 806
Windows Event Collector 712
Windows Experience Index 671
Windows Explorer 200, 224, 789, 825
Windows Image Format Siehe WIM
Windows Installer 144148, 151, 805
Windows Installer Clean Up 138
Windows Installer-Pakete 150
Windows Installer-Technologie 145
Windows Internet Naming Service 367, 379
Windows Live Essentials 772
Windows Live Family Safety 668
Windows Live-ID 774
795, 817818, 829, 843844, 847, 850,
873, 1053
Class Explorer 816
Data Query 810
Ereignis 812
Event Query 811, 814
Klasse 816
Namespace 801
Object Browser 816
Query Language 809, 814
Repository 813, 952
Schema 804, 810
Schema-Query 810
Command Line Tool 817818, 820821
Query Language 949
Windows ME 805
Windows PE 42, 6364, 66
Windows PE-DVD 65
Windows Pre-Installation Environment
Siehe Windows PE
Windows Remote Management 916
Windows Remoteverwaltung 712
Windows Script Host 788, 821824, 826, 829
Windows Scripting 821, 827, 846
Windows Server 1053
Windows Server 2003 801, 874
Windows Server 2008 R2 970
Windows Server Update Services 624
Windows SharePoint Services 920
Windows SIM 7677, 8586
Windows System Assessment Tool 822
Windows System Image Manager Siehe
Windows SIM
Windows Update 8891, 113, 617
Wartungscenter 595
Windows XP 783, 788, 791, 801, 814, 817, 821,
829, 834, 843, 851, 876
Windows XP-Modus 122, 159160
Windows-EasyTransfer 3738, 70
Windows-Explorer 200206, 209210, 212
WindowsExplorer.admx 517
Windows-Features aktivieren und
deaktivieren 330
WindowsImageBackup 741
Windows-Komponenten 139
Windows-Logo verbergen 612
WindowsPE 84
Windows-Protokolle 702
Windows-Suche 216
Windows-Taste 223
winevt 704
WinMgmt.exe 805
WINNT.EXE 43
Winqual-Account 32
1087
WinRM 916
WINS 367, 379
winsxs 330
Wired Equivalent Privacy 455
Wireless LAN 345
WLAN 345
Zugangsprofil auf USB kopieren 456
WLAN-Sniffer 454
WMI 795, 798, 803, 873, 947, 951
Command Line Utility 817818, 820821
Command Shell 876
Klasse 947
Object Browser 815816
Query Language 809, 847
WmiSearcher 949
World Wide Web 817
WoW6432node 540
WPA 455
write time 283
Writer 769
wscript.exe 832
WSH 24
WS-Management 916917
WSUS 89, 9293
WSUS Offline Update 625
WSUS siehe Windows Server Update
Services
Wurzelnamensraum 865
Wurzelverzeichnis 284
X
XCOPY 865
xcopy.exe 304
verschlsselte Dateien kopieren 630
XCOPY-Deployment 867
XD-Bit 681
XML
PowerShell 993
XML Paper Specification 481482
XML-Bericht
Gruppenrichtlinien 532
XML-Webservice 865
XPS 481
XPS-Dokumente 484
XPS-Drucker 482
XPS-Viewer 483
1088
Z
Zahl
PowerShell 924
Zeichenkette 926
PowerShell 926
Zeitlimit 668
Zeitmessung 957
Zeitplan
fr Aufgaben 716
Zeitstempel 282
Zeitzone 796
Zertifikat
exportieren 638
importieren 642
selbst signiert 635
Verschlsselung 627
Zertifikatsspeicher 644, 874
Zertifizierungsstelle 628
Zu GPT-Datentrger konvertieren 312
Zu MBR-Datentrger konvertieren 312
Zugehrigkeit
zu einer CPU 692
Zugelassene Programme 669
Zugesicherte Gre 691
Zugriffskontrollliste 291
Zuverlssigkeit 731
Zweikanalbetrieb
ISDN 345
Zwischenablage 225
Zwischenspeicher
serverbasiert 446
verteilt 446
Copyright
Daten, Texte, Design und Grafiken dieses eBooks, sowie die eventuell angebotenen
eBook-Zusatzdaten sind urheberrechtlich geschtzt. Dieses eBook stellen wir
lediglich als persnliche Einzelplatz-Lizenz zur Verfgung!
Jede andere Verwendung dieses eBooks oder zugehriger Materialien und
Informationen, einschliesslich
der Reproduktion,
der Weitergabe,
des Weitervertriebs,
der Platzierung im Internet,

in Intranets, in Extranets,
der Vernderung,
des Weiterverkaufs
und der Verffentlichung
bedarf der schriftlichen Genehmigung des Verlags.

Insbesondere ist die Entfernung oder nderung des vom Verlag vergebenen
Passwortschutzes ausdrcklich untersagt!
Bei Fragen zu diesem Thema wenden Sie sich bitte an: info@pearson.de
Zusatzdaten
Mglicherweise liegt dem gedruckten Buch eine CD-ROM mit Zusatzdaten bei. Die
Zurverfgungstellung dieser Daten auf unseren Websites ist eine freiwillige Leistung
des Verlags. Der Rechtsweg ist ausgeschlossen.
Hinweis
Dieses und viele weitere eBooks knnen Sie rund um die Uhr
und legal auf unserer Website
http://www.informit.de
herunterladen

Reiss Windows 7 Im Unternehmen

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Reiss Windows 7 Im Unternehmen

Hochgeladen von

Copyright:

Verfügbare Formate

Windows 7 im Unternehmen

Netzwerke, Betriebssysteme, Sicherheit ... hierzu bietet Ihnen die Reihe

Windows Server 2008 R2

Windows PowerShell 2.0 - Das Praxisbuch

An imprint of Pearson Education

Bibliografische Information der Deutschen Nationalbibliothek

2010 by Addison-Wesley Verlag,

ber die Autoren

Die Icons und Verweise in diesem Buch

Die CD zum Buch

Installationsplanung und Vorbereitung

Durchfhrung einer Einzelarbeitsplatz-Installation

Bereitstellung von Windows 7 im Unternehmensnetzwerk

Mit Treiberproblemen richtig umgehen

Berechtigungen zur Gerteinstallation verwalten

Software verwalten und installieren

Anwendungen lokal installieren und verwalten

Ein Blick auf die Technik dahinter der Windows Installer-Dienst

Nicht kompatible Anwendungen unter Windows 7 nutzen

Softwareverwaltung mit Gruppenrichtlinien

Konfiguration der Benutzerschnittstellen

Einsatzmglichkeiten der Windows-Suche

Verwaltung lokaler Gruppenkonten

Benutzerprofile unter Windows 7

Daten, Datentrger und Dateisysteme

Datentrger aus Sicht der Hardware

Partitionen, physische und logische Laufwerke

Daten und Dateisysteme

Konfiguration von Laufwerken in der GUI

Datentrgerverwaltung auf der Kommandozeile

Netzwerkanwendungen Server und Client

Netzwerkschutz die Firewall

Domnenmitgliedschaft und Funktionen in Active Directory

Datei- und Druckfreigabe

Offlinedateien und BranchCache

8.11 WLAN sicher konfigurieren

Drucken und Faxen

Grundlagen und Terminologie des Druckens

Drucker installieren und im Netzwerk bereitstellen

Druckserver, Drucker und Druckauftrge verwalten

Die Faxfunktionen von Windows 7

10.3 Statische Tunnel mit 6in4

10.4 Dynamische Tunnel

11 Lokale Richtlinien und Gruppenrichtlinien

11.1 Was sind Richtlinien?

11.2 Unterschiede zwischen lokalen und Gruppenrichtlinien

11.3 Administrative Vorlagen

11.4 Richtlinien setzen und bearbeiten

11.5 Richtlinien berprfen und dokumentieren

11.6 Ausgewhlte Anwendungsbeispiele

12.1 Der Aufbau der Registry

12.2 Die Schlssel der Registry

12.3 Bearbeiten der Registry mit dem Registrierungs-Editor

12.4 Arbeit mit dem Programm reg.exe

12.5 Das Programm regini.exe

12.6 Die Registry ber das Netzwerk bearbeiten

12.7 Die Registry mit eigenen Programmen bearbeiten

12.8 Die Registry offline bearbeiten

12.9 Weitere Programme zum Bearbeiten der Registry

12.10 Tipps zur Erhhung der Sicherheit

13.1 Sichere Entwicklung SDL

13.2 Benutzerkontensteuerung UAC

13.3 Integritt von Objekten

13.6 Windows Defender und Microsoft Security Essentials