Der Benutzer im Fokus – mit höchstmöglichem Komfort, Leistung, Sicherheit & Stabilität steigert sich die Produktivität!
Im Ersten Teil unserer Serie zur Windows 10 Enterprise Integration, haben wir uns mit den Entscheidungsgrundlagen, dem modularen Aufbau, Varianten der Bereitstellung und dem Update Management beschäftigt.
In diesem Artikel beschäftigen wir uns mit der Identifikation von Maßnahmen, im Bezug auf Sicherheit, Leistung, Stabilität sowie der Benutzerfreundlichkeit, und deren vollautomatisierten Umsetzung im Bereitstellungsprozess. Diese Maßnahmen erfordern einen einmaligen Mehraufwand, verringern jedoch die Administrativen Tätigkeiten (Domain Admin, Help-Desk oder Techniker…) deutlich. Dazu ein kurzer Querschnitt über die Möglichkeiten und Funktionen…
Anforderungen & Lösungen
Bei größeren Unternehmen mit mehreren hundert oder tausenden Arbeitsplätzen, ist ein verlässliches Basis-Betriebssystem und die vollautomatisierte Bereitstellung unerlässlich.
Jahrelangen Erfahrungswerte aus dem Managed Desktop Service Umfeld zeigen, dass sich für jedes Unternehmen individuelle Modelle und Methoden ergeben, die nach der Erhebungsphase mit einen maßgeschneiderten Konzept dargestellt und somit die optimale Lösung für den Kunden bietet.
Thema Sicherheit
Spätestens nach Veröffentlichung von Informationen zum Creators Update von Windows 10, ist die exzessive Datensammlung von Microsoft kein Geheimnis mehr. Im privaten Umfeld spielen diese Faktoren oft keine große Rolle, in Enterprise Umgebungen hingegen haben diese jedoch keine Existenzberechtigung, denn hier gilt „Safety First“! Dazu gehören mit Sicherheit auch Daten über das Benutzerverhalten im Unternehmen – die wenn nötig, mit eigenen Mitteln gesammelt und analysiert werden sowie vorgefertigte Hersteller Dienste und Aufgaben, die zum einen die Netzwerklast erhöhen und zum anderen das System zusätzlich belasten. Es gilt also, das System so sicher wie möglich zu gestalten und die Einsicht von unbefugten zu unterbinden. Einen weiteren Aspekt bedeuten neuerdings auch vorinstallierte UWP Apps (Universal Windows Platform Applications), die ein hohes Potential an Risiken bergen.
Wie entledigen wir uns also der unliebsamen Komponenten?
Befehlszeilen wurden aus Formatierungsgründen um variable Werte gekürzt und unterscheiden sich von der praktischen Anwendung. Eine voll Inhaltliche Abbildung aller Modifikationen würde diesen Rahmen sprengen.
Wir verwenden das Deployment Image Servicing and Management tool zur Offline Image Bearbeitung.
DISM /Mount-Image
DISM /Get-ProvisionedAppxPackages
DISM /Remove-ProvisionedAppxPackage *.*
usw.
In einem Powershell Script werden alle nötigen Anpassungen hinterlegt und über die SCCM Task Sequence angewendet.
- Disable Data Logging Services
Get-Service diagtrack,dmwappushservice,RetailDemo | Stop-Service -PassThru | Set-Service -StartupType disabled - Disable relevant scheduled tasks
schtasks /change /TN „\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser“ /DISABLE
schtasks /change /TN „\Microsoft\Windows\Application Experience\ProgramDataUpdater“ /DISABLE
schtasks /change /TN „\Microsoft\Windows\Customer Experience Improvement Program\Consolidator“ /DISABLE
schtasks /change /TN „\Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask“ /DISABLE
schtasks /change /TN „\Microsoft\Windows\Customer Experience Improvement Program\UsbCeip“ /DISABLE - WiFi Sense: HotSpot Sharing: Disable
Set-ItemProperty -Path HKLM:\Software\Microsoft\PolicyManager\default\WiFi\AllowWiFiHotSpotReporting -Name value -Type DWORD -Value 0 - WiFi Sense: Shared HotSpot Auto-Connect: Disable
Set-ItemProperty -Path HKLM:\Software\Microsoft\PolicyManager\default\WiFi\AllowAutoConnectToWiFiSenseHotspots -Name value -Type DWORD -Value 0
usw…
Am Developer Client werden zuerst alle gewünschten Einstellungen vorgenommen und mitverfolgt bzw. Werte identifiziert.
- Einstellung bearbeiten
- Process Monitor (geänderten Wert mit Filter identifizieren)
(Funktioniert mit allen Prozessen und Schlüsselwerten)
Voila, damit können die identifizierten Wert in einer zusammengefassten Registry Datei in einer Task Sequence angewendet werden.
Theoretisch besteht auch die Möglichkeit über DISM /Mount-Wim und Reg Load auf die WimRegistry den Schlüsselwert zu setzten, aber steht im Widerspruch zum modularen Aufbau und der schnellstmöglichen Reaktion auf neue Anforderungen. Die Werte verhalten sich eindeutig zu dynamisch um in einem statischen Image Platz zu finden. - Default User Hive
Manche Einstellungen werden nur unter dem lokalen Benutzer (HKCU) gesetzt, dazu gibt es jedoch jede Menge Scripts oder Tools, die den Default User Hive laden und Werte automatisiert setzten können.
„PowerShell.exe -File C:\scripts\WriteToHkcuFromSystem.ps1 -RegFile C:\Temp\myApp.reg –CurrentUser –AllUsers –DefaultProfile“
usw.
Mit den VMware OS OPTIMIZATION TOOL werden (nicht nur!) virtuelle Maschinen optimiert und eine erhebliche Leistungssteigerung erzielt, sondern können auch in den Bereitstellungsprozess integriert werden. Vorgefertigte Templates für alle Betriebssystem Versionen stehen bereit und können nach bedarf als eigene Vorlage gespeichert werden. Die SCCM Task Sequence Integration ist denkbar einfach.
Silent Switch: „VMwareOSOptimizationTool.exe -o -t YourTemplate.XML“
Thema Stabilität & Performance
Treiber
Qualifizierte Treiber-Sets pro Gerätetyp sind der Schlüssel zum Erfolg. Bedeuten zwar initial Mehraufwand, reduzieren jedoch deutlich die Störungsanfälligkeit und somit auch ihre Incidents. Testen, testen, testen lautet die Devise und im Besten Fall steht dazu ein Labor mit Peripherie bereit. Zum Glück hat sich die Qualität von Standardtreiber in letzten Jahren stark verbessert, dennoch sollte jedes neue Gerät auf Herz und Nieren geprüft sein.
Mit einem strukturierten Aufbau werden tägliche Aufgaben erleichtert und der Überblick bewahrt. Vor allem sollen sich auch neue Mitarbeiter im Technik Team zurecht finden. Sollte auch für alle anderen Bereiche wie Sourcen, Applikationen, Collections, Updates, etc. gelten.
Funktionen
- P2P Updates, belasten den Client und sind in einer verwalteten Struktur mit aktivem Patch-Management unnötig.
Disable P2P update downloads completely
Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\DeliveryOptimization\Config -Name DODownloadMode -Type DWORD -Value 0
Anwendungs- und Systemkompatibilität
Offline Image Anpassungen.
DISM /Enable-Feature /FeatureName:NetFx3
DISM /Enable-Feature /FeatureName:TelnetClient
DISM /Enable-Feature /FeatureName:LegacyComponents
Updates
- Integration von Updates im Offline Image
Manuell
DISM /add-package /packagepath:<*.cab> - Automatisiert mit SCCM
usw.
Thema Benutzerfreundlichkeit
Hinweise & Warnmeldungen
Für Mitarbeiter bzw. Endbenutzer bedeuten diese wiederkehrenden Ereignisse eine unnötige Belastung, Ablenkung und Störung bei ihren Hauptaufgaben.
In einer verwalteten Umgebung werden diese Prozesse ohnehin mit automatisierten Regeln verarbeitet und überwacht.
Wie schon im oberen Teil erwähnt führen verschiedene Möglichkeiten zum Ziel. Zum einen mit nützlichen Tools oder Registry Einträgen und zum anderen über Scripting Methoden.
Internationalisierung
Zur Unterstützung mehrerer Sprachen wird als Basis die englische Version von Windows 10 verwendet und mit Sprachpaketen ergänzt.
DISM /add-package /packagepath:E:\Source\W10ENTEN\de-de\lp.cab
DISM /add-package /packagepath:E:\Source\W10ENTEN\fr-fr\lp.cab
DISM /add-package /packagepath:E:\Source\W10ENTEN\it-it\lp.cab
usw.
Startmenü, Taskbar & Desktop
Mit der Einführung von Windows 10 1607 kann zusätzlich zum Startlayout auch die Taskbar angepasst werden. Mitarbeiter sollten dennoch in der Lage sein, ihre Auswahl selbständig zu gestalten, daher ist zu beachten, dass nicht über Group Policy oder den LayoutModification.xml im Default User geschrieben werden.
In unserem Fall werden diese im Bereitstellungsprozess importiert und der Endbenutzer bleibt in der Lage sein Startmenü sowie Taskbar selbständig zu gestalten.
Der Desktop sollte nur die nötigsten Elemente zeigen, darum werden überflüssige Einträge entfernt und mit Produktiv-Anwendungen ergänzt.
Wie die vollautomatisierte Bereitstellung von Softwarekomponenten aussieht, behandeln wir in den folgenden Teilen unsere Windows 10 Integrationsserie.
Rollout
Nach Fertigstellung des Basis Image und den angefertigten Scripts (PS, Reg…) erfolgt die SCCM Task Sequence Integration.
Bootimage
Wesentlicher Bestandteil unsere Optimierten Prozesse betreffen auch technisches Personal, die mit einer angepassten Vorinstallationsumgebung auf einfache und sichere Weise, den Arbeitsschritt anstoßen können. So wird schon Vorab der Computername im Active Directory geprüft und ein ungewolltes Überschreiben verhindert. Zudem kann über die Namenskonvention die Zugehörigkeit einer Organisationsgruppe oder dem Primären Benutzer über UDA (User Device Affinity) automatisch erfolgen. Für Wartungszwecke haben wir hilfreiche Toolsets zur Analyse und Störungsbehebung implementiert.
Windows 10 Basis zur Enterprise Integration
Damit wäre der Erste Schritt abgeschlossen, jedoch nicht ohne intensive Prüfung und ggf. Korrektur der gewünschten Ergebnisse.
Im nächsten Teil unserer Ausgabe beschäftigen wir uns mit der Optimierung und dem Umgang mit System Center Configuration Manager, sowie der Anwendungsintegration mit Software-Paketierung und dem endgültigen Erscheinungsbild für unsere Benutzer. Ausserdem werfen wir einen Blick auf das Thema Group Policy und Active Directory, sowie neuen Methoden und innovativen Lösungen (VMware Workspace ONE inkl. Airwatch) zum Windows 10 Management.
Benötigen Sie Unterstützung zum Thema System Management Services? Kontaktieren Sie mich
Oder möchten Sie über alle Neuigkeiten informiert werden? Melden Sie sich bitte bei unserem Newsletter an und selektieren Sie ihre Interessen.