Der Benutzer im Fokus – mit höchstmöglichem Komfort, Leistung, Sicherheit & Stabilität steigert sich die Produktivität!

Im Ersten Teil unserer Serie zur Windows 10 Enterprise Integration, haben wir uns mit den Entscheidungsgrundlagen, dem modularen Aufbau, Varianten der Bereitstellung und dem Update Management beschäftigt.

In diesem Artikel beschäftigen wir uns mit der Identifikation von Maßnahmen, im Bezug auf Sicherheit, Leistung, Stabilität sowie der Benutzerfreundlichkeit, und deren vollautomatisierten Umsetzung im Bereitstellungsprozess. Diese Maßnahmen erfordern einen einmaligen Mehraufwand, verringern jedoch die Administrativen Tätigkeiten (Domain Admin, Help-Desk oder Techniker…) deutlich. Dazu ein kurzer Querschnitt über die Möglichkeiten und Funktionen…

Anforderungen & Lösungen

Bei größeren Unternehmen mit mehreren hundert oder tausenden Arbeitsplätzen, ist ein verlässliches Basis-Betriebssystem und die vollautomatisierte Bereitstellung unerlässlich.

Jahrelangen Erfahrungswerte aus dem Managed Desktop Service Umfeld zeigen, dass sich für jedes Unternehmen individuelle Modelle und Methoden ergeben, die nach der Erhebungsphase mit einen maßgeschneiderten Konzept dargestellt und somit die optimale Lösung für den Kunden bietet.

Thema Sicherheit

Spätestens nach Veröffentlichung von Informationen zum Creators Update von Windows 10, ist die exzessive Datensammlung von Microsoft kein Geheimnis mehr. Im privaten Umfeld spielen diese Faktoren oft keine große Rolle, in Enterprise Umgebungen hingegen haben diese jedoch keine Existenzberechtigung, denn hier gilt „Safety First“! Dazu gehören mit Sicherheit auch Daten über das Benutzerverhalten im Unternehmen – die wenn nötig, mit eigenen Mitteln gesammelt und analysiert werden sowie vorgefertigte Hersteller Dienste und Aufgaben, die zum einen die Netzwerklast erhöhen und zum anderen das System zusätzlich belasten. Es gilt also, das System so sicher wie möglich zu gestalten und die Einsicht von unbefugten zu unterbinden. Einen weiteren Aspekt bedeuten neuerdings auch vorinstallierte UWP Apps (Universal Windows Platform Applications), die ein hohes Potential an Risiken bergen.

Wie entledigen wir uns also der unliebsamen Komponenten?

Befehlszeilen wurden aus Formatierungsgründen um variable Werte gekürzt und unterscheiden sich von der praktischen Anwendung. Eine voll Inhaltliche Abbildung aller Modifikationen würde diesen Rahmen sprengen.

Gerald Langeder, proBeS Cloud Services

Wir verwenden das Deployment Image Servicing and Management tool zur Offline Image Bearbeitung.

DISM /Mount-Image
DISM /Get-ProvisionedAppxPackages
DISM /Remove-ProvisionedAppxPackage *.*

usw.

In einem Powershell Script werden alle nötigen Anpassungen hinterlegt und über die SCCM Task Sequence angewendet.

  • Disable Data Logging Services
    Get-Service diagtrack,dmwappushservice,RetailDemo | Stop-Service -PassThru | Set-Service -StartupType disabled
  • Disable relevant scheduled tasks
    schtasks /change /TN „\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser“ /DISABLE
    schtasks /change /TN „\Microsoft\Windows\Application Experience\ProgramDataUpdater“ /DISABLE
    schtasks /change /TN „\Microsoft\Windows\Customer Experience Improvement Program\Consolidator“ /DISABLE
    schtasks /change /TN „\Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask“ /DISABLE
    schtasks /change /TN „\Microsoft\Windows\Customer Experience Improvement Program\UsbCeip“ /DISABLE
  • WiFi Sense: HotSpot Sharing: Disable
    Set-ItemProperty -Path HKLM:\Software\Microsoft\PolicyManager\default\WiFi\AllowWiFiHotSpotReporting -Name value -Type DWORD -Value 0
  • WiFi Sense: Shared HotSpot Auto-Connect: Disable
    Set-ItemProperty -Path HKLM:\Software\Microsoft\PolicyManager\default\WiFi\AllowAutoConnectToWiFiSenseHotspots -Name value -Type DWORD -Value 0

usw…

Am Developer Client werden zuerst alle gewünschten Einstellungen vorgenommen und mitverfolgt bzw. Werte identifiziert.

  • Einstellung bearbeiten
  • Process Monitor (geänderten Wert mit Filter identifizieren)

    (Funktioniert mit allen Prozessen und Schlüsselwerten)
    Voila, damit können die identifizierten Wert in einer zusammengefassten Registry Datei in einer Task Sequence angewendet werden.
    Theoretisch besteht auch die Möglichkeit über DISM /Mount-Wim und Reg Load auf die WimRegistry den Schlüsselwert zu setzten, aber steht im Widerspruch zum modularen Aufbau und der schnellstmöglichen Reaktion auf neue Anforderungen. Die Werte verhalten sich eindeutig zu dynamisch um in einem statischen Image Platz zu finden.
  • Default User Hive
    Manche Einstellungen werden nur unter dem lokalen Benutzer (HKCU) gesetzt, dazu gibt es jedoch jede Menge Scripts oder Tools, die den Default User Hive laden und Werte automatisiert setzten können.
    „PowerShell.exe -File C:\scripts\WriteToHkcuFromSystem.ps1 -RegFile C:\Temp\myApp.reg –CurrentUser –AllUsers –DefaultProfile“

usw.

Mit den VMware OS OPTIMIZATION TOOL werden (nicht nur!) virtuelle Maschinen optimiert und eine erhebliche Leistungssteigerung erzielt, sondern können auch in den Bereitstellungsprozess integriert werden. Vorgefertigte Templates für alle Betriebssystem Versionen stehen bereit und können nach bedarf als eigene Vorlage gespeichert werden. Die SCCM Task Sequence Integration ist denkbar einfach.
Silent Switch: „VMwareOSOptimizationTool.exe -o -t YourTemplate.XML“

MDOP, ADK, IEAK, MDT, Unattend & Co

Die breite Palette an offiziellen oder Drittanbieter Werkzeugen ist schier unerschöpflich, welche davon zum Einsatz kommen ergibt sich durch den Umfang und Methode der Bereitstellung und wird nahtlos in den Bereitstellungsprozess integriert.

Thema Stabilität & Performance

Treiber

Qualifizierte Treiber-Sets pro Gerätetyp sind der Schlüssel zum Erfolg. Bedeuten zwar initial Mehraufwand, reduzieren jedoch deutlich die Störungsanfälligkeit und somit auch ihre Incidents. Testen, testen, testen lautet die Devise und im Besten Fall steht dazu ein Labor mit Peripherie bereit. Zum Glück hat sich die Qualität von Standardtreiber in letzten Jahren stark verbessert, dennoch sollte jedes neue Gerät auf Herz und Nieren geprüft sein.

Mit einem strukturierten Aufbau werden tägliche Aufgaben erleichtert und der Überblick bewahrt. Vor allem sollen sich auch neue Mitarbeiter im Technik Team zurecht finden. Sollte auch für alle anderen Bereiche wie Sourcen, Applikationen, Collections, Updates, etc. gelten.

Funktionen

  • P2P Updates, belasten den Client und sind in einer verwalteten Struktur mit aktivem Patch-Management unnötig.

    Disable P2P update downloads completely
    Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\DeliveryOptimization\Config -Name DODownloadMode -Type DWORD -Value 0

Anwendungs- und Systemkompatibilität

Offline Image Anpassungen.

DISM /Enable-Feature /FeatureName:NetFx3
DISM /Enable-Feature /FeatureName:TelnetClient
DISM /Enable-Feature /FeatureName:LegacyComponents

Updates

  • Integration von Updates im Offline Image
    Manuell
    DISM /add-package /packagepath:<*.cab>
  • Automatisiert mit SCCM
     

usw.

Thema Benutzerfreundlichkeit

Hinweise & Warnmeldungen

Für Mitarbeiter bzw. Endbenutzer bedeuten diese wiederkehrenden Ereignisse eine unnötige Belastung, Ablenkung und Störung bei ihren Hauptaufgaben.

In einer verwalteten Umgebung werden diese Prozesse ohnehin mit automatisierten Regeln verarbeitet und überwacht.

Wie schon im oberen Teil erwähnt führen verschiedene Möglichkeiten zum Ziel. Zum einen mit nützlichen Tools oder Registry Einträgen und zum anderen über Scripting Methoden.

Internationalisierung

Zur Unterstützung mehrerer Sprachen wird als Basis die englische Version von Windows 10 verwendet und mit Sprachpaketen ergänzt.

DISM /add-package /packagepath:E:\Source\W10ENTEN\de-de\lp.cab
DISM /add-package /packagepath:E:\Source\W10ENTEN\fr-fr\lp.cab
DISM /add-package /packagepath:E:\Source\W10ENTEN\it-it\lp.cab

usw.

Startmenü, Taskbar & Desktop

Mit der Einführung von Windows 10 1607 kann zusätzlich zum Startlayout auch die Taskbar angepasst werden. Mitarbeiter sollten dennoch in der Lage sein, ihre Auswahl selbständig zu gestalten, daher ist zu beachten, dass nicht über Group Policy oder den LayoutModification.xml im Default User geschrieben werden.

In unserem Fall werden diese im Bereitstellungsprozess importiert und der Endbenutzer bleibt in der Lage sein Startmenü sowie Taskbar selbständig zu gestalten.

Der Desktop sollte nur die nötigsten Elemente zeigen, darum werden überflüssige Einträge entfernt und mit Produktiv-Anwendungen ergänzt.
Wie die vollautomatisierte Bereitstellung von Softwarekomponenten aussieht, behandeln wir in den folgenden Teilen unsere Windows 10 Integrationsserie.

Rollout

Nach Fertigstellung des Basis Image und den angefertigten Scripts (PS, Reg…) erfolgt die SCCM Task Sequence Integration.

Bootimage

Wesentlicher Bestandteil unsere Optimierten Prozesse betreffen auch technisches Personal, die mit einer angepassten Vorinstallationsumgebung auf einfache und sichere Weise, den Arbeitsschritt anstoßen können. So wird schon Vorab der Computername im Active Directory geprüft und ein ungewolltes Überschreiben verhindert. Zudem kann über die Namenskonvention die Zugehörigkeit einer Organisationsgruppe oder dem Primären Benutzer über UDA (User Device Affinity) automatisch erfolgen. Für Wartungszwecke haben wir hilfreiche Toolsets zur Analyse und Störungsbehebung implementiert.

Windows 10 Basis zur Enterprise Integration

Damit wäre der Erste Schritt abgeschlossen, jedoch nicht ohne intensive Prüfung und ggf. Korrektur der gewünschten Ergebnisse.

Im nächsten Teil unserer Ausgabe beschäftigen wir uns mit der Optimierung und dem Umgang mit System Center Configuration Manager, sowie der Anwendungsintegration mit Software-Paketierung und dem endgültigen Erscheinungsbild für unsere Benutzer. Ausserdem werfen wir einen Blick auf das Thema Group Policy und Active Directory, sowie neuen Methoden und innovativen Lösungen (VMware Workspace ONE inkl. Airwatch) zum Windows 10 Management.

Benötigen Sie Unterstützung zum Thema System Management Services? Kontaktieren Sie mich
Oder möchten Sie über alle Neuigkeiten informiert werden? Melden Sie sich bitte bei unserem Newsletter an und selektieren Sie ihre Interessen.

Anmelden

Gerald Langeder, Microsoft Certified Technology Specialist @ proBeS Cloud Services

Letzte Beiträge