Wer seine Mitarbeiter nicht mit einem kostenlosen In-Place Upgrade in die freie Wildbahn entlassen möchte, steht oft vor großen Herausforderung zum Einsatz bzw. Umstieg oder Integration von Windows 10. Begründete Unsicherheit, Aufgrund der massiven Änderungen oder der Bereitstellung und Verwaltung dieses Betriebssystems, macht sich breit und der Faktor Sicherheit verdient, nicht nur wegen der mit 2018 wirksamen Datenschutzgrundverordnung, erhöhte Aufmerksamkeit. Mit den umfangreichen und vielfältigen Neuerungen bei Windows 10 Desktop & Mobile, wie zum Beispiel Universal Apps, dem neuen Service Modell oder Cloud Services Integration, wird der Umfang und Aufwand von Anpassungen im Corporate Design, die Trennung von Privaten und Geschäftskritischen Daten und Anwendungen, oder einer stabilen und sicheren Gestaltung des Betriebssystems entsprechend erhöht.
Seit der Veröffentlichung des Insider Preview vor zwei Jahren, beschäftigen wir uns intensiv mit dem Management von Windows 10 und nutzen dieses System für unsere täglichen Aufgaben. Mit den gewonnen Erfahrungswerten führen wir unsere Kunden zum gewünschten Erfolg und sorgen für einem reibungslosen Ablauf, den wir im folgenden Artikel näher betrachten wollen.
Dieser Artikel stützt sich im Wesentlichen auf die Verteilung und Wartung von Betriebssystemen mit System Center Configuration Manager (Current Branch). Zur Unterstützung aller Funktionen des neuen Servicemodell für Windows 10, sollten alle Komponenten dem aktuellsten Stand entsprechen. Dazu gehört die ESD Entschlüsselungsbereitstellung für WSUS in Windows Server 2012 und Windows Server 2012 R2 sowie ggf. Update 1702 von SCCM (CB) und die Windows 10 Upgrade Unterstützung für WSUS.
Gerald Langeder, Microsoft Certified Professional & Technology Specialist @ proBeS Cloud ServicesEntscheidungsgrundlagen
- Welche Version von Windows 10 wird eingesetzt (Professional, Enterprise)?
- Soll Windows 10 auch als Mobiles Betriebssystem genutzt werden?
- Kompatibilitätscheck – entsprechen alle Geräte den Voraussetzungen (System Center Configuration Manager Upgrade Assessment Tool, Microsoft Assessment and Planning (MAP) Toolkit)?
- Welches Servicemodell (CB, CBB, LTSB) soll im Unternehmen angewendet werden?
- Ist Active Directory (GPO) auf den Einsatz von Windows 10 vorbereitet?
- Sollen Universal Apps – Store for Business Anwendungen eingesetzt werden?
- Welches Lizenzmodell (User, Device) wird angestrebt?
- Benutzermanagement – Roaming Profiles, User Experience Virtualization, Folder Redirection, 3rd Party,…?
- Bestehen Überlegungen zum Einsatz einer Virtuellen Desktop Infrastruktur?
- Bestehen Überlegungen zum Einsatz von Mobile Device Management?
- Bestehen Überlegungen zum Einsatz von Microsoft Cloud Services und/oder erweiterte Features (Hello for Business, Device Guard, Credential Guard, Enterprise State Roaming, Office365,…)?
Selbstverständlich stellen sich diese Fragen in jedem Unternehmen unterschiedlich und werden Anhand vielfältiger Kriterien bewertet. Darum wurde an dieser Stelle nur ein kurzer Auszug abgebildet.
Modularer Aufbau
Bei der Bereitstellung von Endgeräten mit “Managed Desktop Services” sind die Anforderungen je nach Einsatzgebiet oft sehr komplex und erfordern ein hohes Maß an Flexibilität und Agilität. In einem (fälschlicherweise vom Hersteller empfohlenen) weit verbreiteten Szenario, werden Abbilder vom Betriebssystem mit Treiber, Tools sowie Anwendungen und Einstellungen vom Endgerät erstellt und danach in Massen weiter verteilt. Der effizientere Weg besteht darin, den Automatisierungsprozess mit System Management Tools abzubilden. Ziel ist dabei – die sofortige bzw. schnellstmögliche Reaktion auf neue Anforderungen zur Bereitstellung oder Änderungen vom Betriebsgerät. Durch Beschaffung von neuer Hardware, dem nötigen Implementierungsprozess, der Behebung von Versions- und Funktionskonflikten beim Einsatz von unterschiedlichen Modellen, ist oft mit erhebliche Verzögerungen zu rechnen. Mit dem modularen Aufbau der Bereitstellung werden Reaktionszeiten und die Fehleranfälligkeit deutlich reduziert! Dies wird durch Eingriffe im jeweiligen Bereitstellungsmodul erzielt, erfolgt in Echtzeit und wird sofort wirksam. Mit vollständigen Abbildern muss das gesamte System den vollständigen Bildungsprozess durchlaufen und erhöht damit die Durchlaufzeit.
- WinPE (Toolsets)
Zur Beschleunigung der Prozesse und Erhöhung des Automatisierungsgrad, entwickeln wir für unsere Kunden entsprechende Anwendungen und hilfreiche Toolkits, die im Wartungsfall die Störungsbehebung vereinfacht und Fehlerquellen minimiert. - WIM
Die Windows Abbilddatei kann vor der Bereitstellung mit Windows ADK oder ICD bearbeitet werden, um Unternehmensvorgaben umzusetzen, den Verteilungsprozess zu verkürzen und Ressourcen zu sparen. Zudem bietet diese Methode eine agile Reaktion auf mögliche Änderungen von Universal Apps (side-loading), Windows Updates, Treiber, Sprachpaketen, Registry Anpassungen, Dateivorlagen & Tools, Features & Components, usw. - Unattend (XML)
Die automatische Antwortdatei beinhaltet umfangreiche Werkzeuge für Unternehmensspezifische Anpassungen des Betriebssystems und Anwendungen, die im Bereitstellungsprozess über Task Sequences oder command-lines (setup.exe /unattend:Dateiname) angewendet werden. - Provisioning (ICD Package)
Viele Bereiche aus dem Unattend Setup wurden mittlerweile in den Windows Imaging und Configuration Designer integriert, der zudem weitere Funktionen für Offline und Online Windows Anpassungen bereitstellt, die wiederum über Task Sequences oder Packages verteilt werden. - Scripting (VB, Powershell)
Über Scripting Technologien werden alle Anpassungen vorgenommen die nicht Bestandteil von herkömmlichen Bereitstellungsmechanismen sind oder über dessen Einschränkungen hinausgehen wie z.B. Corporate Design für alle Benutzer oder System und Anwendungsspezifische Änderungen. - Task Sequences
Unterstützen alle nötigen Funktionen und Methoden zur Installation oder dem Upgrade auf Windows 10 sowie Geräte und Software Installation inkl. Konfiguration.
Bereitstellungsmethoden
- Am Arbeitsplatz des Benutzers
Mit Wake on LAN – SCCM Task Sequence Zeitplan pro Collection (Massenrollout außerhalb der Betriebszeiten).
Nach Terminvereinbarung – SCCM Task Sequence Zeitplan pro Benutzer, Gruppe oder Collection.
Verfügbar – Benutzer entscheidet manuell über die Installation.
Verfügbar – Administrator setzt den Installationsprozess manuell in Gang.
- IT Technik
PXE Boot oder Collection-basierende Installation.
Installations- oder Upgrade Optionen
- System Center Configuration Manager – Bare Metal Task Sequence
- System Center Configuration Manager – Wipe & Load Task Sequence
- System Center Configuration Manager – In-place Upgrade Task Sequence
- System Center Configuration Manager – Provisioning Package
- Bare Metal Installation (Neugerät)
Vorteile: Keine verwaisten Daten, daher weniger Konflikt- und Fehleranfällig, „Frisch & Sauber“
Nachteile: Personalisierung
- Wipe & Load (refresh vom bestehenden Gerät)
Vorteile: Keine verwaisten Daten, daher weniger Konflikt- und Fehleranfällig, „Frisch & Sauber“, SCCM Client Daten (Zuweisungen etc.) bleiben erhalten.
Nachteile: Personalisierung
- In-Place Upgrade
Vorteile: Personalisierung und Anwendungen bleiben (teilweise) erhalten.
Nachteile: Verwaiste Daten daher Konflikt- und Fehleranfällig, min. 20GB freier Speicher, Erhöhter Aufwand im Bereitstellungsprozess durch Konflikt und Fehlerbehebung sowie Erhebung und Kompatibilitätsprüfung unbekannter Anwendungen (Benutzerinstallation), es ist mit einer Steigerung von Incidents zu rechnen.
- Provisioning Package
Vorteile: Sehr einfache und schnelle Bereitstellung
Nachteile: Unterstützt nur Edition Upgrade, zusätzliche Aufwände im Bereitstellungsprozess durch Konflikt und Fehlerbehebung sowie Software Installationen und Personalisierung.
Nach der Bereitstellung
Mit dem neuen Update & Upgrade Modell von Microsoft für Windows 10 – Windows Insider Program, Current Branch (CB), Current Branch for Business (CBB) und Long-Term Servicing Branch (LTSB) stehen unterschiedliche Pfade zur Verfügung. Windows 10 bietet damit ein neues Modell, mit dem Unternehmen Windows durch die Bereitstellung von Features und Funktionen im Rahmen eines kontinuierlichen Prozesses bereitstellen und aktualisieren können.
Bisher wurden neue Versionen von Windows alle paar Jahre veröffentlicht. Die Bereitstellung dieser neuen Versionen innerhalb einer Organisation wurde dann zu einem Projekt, entweder durch einen „Wipe-and-Load“-Prozess zum Bereitstellen der neuen Betriebssystemversion auf vorhandenen Computern oder durch die Migration auf die neue Betriebssystemversion als Teil des Hardwareaustauschzyklus. In beiden Fällen mussten Unternehmen viel Zeit und Aufwand zum Ausführen der erforderlichen Aufgaben investieren.
Mit Windows 10 wird ein neues Modell eingeführt. Anstatt neue Features nur in neuen, alle paar Jahre veröffentlichten Versionen hinzuzufügen, besteht das Ziel darin, neue Features zwei- bis dreimal pro Jahr mit ständig neuen Funktionen bereitzustellen und gleichzeitig ein hohes Maß an Kompatibilität von Hardware und Anwendungen beizubehalten. Dieses neue Modell, das als Windows-as-a-Service bezeichnet wird, setzt voraus, dass Organisationen ihre Bereitstellung und ihre Upgrades von Windows überdenken. Es handelt sich nicht um ein Projekt, das „alle paar Jahre“ stattfindet, sondern um einen kontinuierlichen Prozess.
Um diesen Prozess zu unterstützen, müssen Sie einfachere Bereitstellungsmethoden verwenden. Durch die Kombination dieser einfacheren Methoden (z. B. das direkte Upgrade) mit neuen Techniken, die in Phasen auf vorhandenen Geräten bereitgestellt werden, können Sie den erforderlichen Gesamtaufwand reduzieren, indem Sie den Aufwand, der im Rahmen eines herkömmlichen Bereitstellungsprojekts anfällt, auf einen großen Zeitraum verteilen.
| Wartungsoption | Verfügbarkeit von neuen Featureupgrades zur Installation | Mindestlänge der Wartungslebensdauer | Wichtigste Vorteile | Unterstützte Editionen |
| Current Branch (CB) | Unmittelbar nach der ersten Veröffentlichung durch Microsoft | Ungefähr 4 Monate | Stellt Benutzern neue Features so schnell wie möglich zur Verfügung | Startseite, Pro, Bildung, Unternehmen, Mobile, IoT Core, Windows 10 IoT Core Pro (IoT Core Pro) |
| Current Branch for Business (CBB) | Ungefähr vier Monate nach der ersten Veröffentlichung durch Microsoft | Ungefähr 8 Monate | Gibt zusätzliche Zeit zum Testen der neuen Featureupgrades vor der Bereitstellung | Pro, Education, Enterprise, Mobile Enterprise, IoT Core Pro |
| Long-Term Servicing Branch (LTSB) | Unmittelbar nach der Veröffentlichung durch Microsoft | 10 Jahre | Ermöglicht die langfristige Bereitstellung ausgewählter Windows 10-Versionen in Konfigurationen mit geringen Änderungen | Enterprise LTSB |
Softwareupdate Bereitstellungsregeln
Am Software Update Standortsystem werden dazu über Automatische Bereitstellungsregeln unterschiedliche Zyklen und Szenarien zur Benutzerinteraktion bei Updateinstallationen und den erforderlichen Computer Neustartoptionen generiert sowie entsprechenden Computersammlungen (Collections) zugewiesen. Im folgenden Beispiel werden periodische Zyklen, mit automatischen- unterdrückten- sowie manuellen Neustarts und von automatischen bis manuellen Update-Installationen erzeugt. Somit wird der dynamische Bereitstellungsprozess einem bewährten Release-Management unterzogen und kann in jeder Bereitstellungsphase bei fehlerhaften Updates gestoppt, sowie bereinigt und fortgesetzt werden. Der Umfang und die Klassifizierung von Updates und Produkten liegt im Ermessen des Kunden und kann auf Wunsch gemeinsam ausgearbeitet werden.
| Collections | Start der Bereitstellung(Tag) | Ende der Bereitstellung (Tag) | Zone (Benutzer Gruppen) |
| SW Updates AU-RA | 1 | 7 | Test |
| 7 | 14 | KeyUser | |
| 14 | 21 | Produktiv | |
| SW Updates AU-RS | 7 | 14 | Test |
| 14 | 21 | KeyUser | |
| 21 | 28 | Produktiv | |
| SW Updates AVU-RS | 14 | 21 | Test |
| 21 | 28 | KeyUser | |
| 28 | 7 (Folgemonat) | Produktiv |
Auswertungen von installierten Updates in Computersammlungen oder Berichten können durch Aktivierung von „Quick Fix Engineering“ in den „Hardware Inventory Classes“ über die Client Settings erzielt werden.
Gerald Langeder, proBeS Cloud ServicesWie geht es weiter?
Erforderliche Anpassungen, Einschränkungen am System sowie Methoden oder Prozesse richten sich natürlich nach Unternehmensvorgaben, Richtlinien und Regeln, die in diesem Artikel nicht erfasst und bewertet werden können, aber wir unterstützen Sie selbstverständlich gerne bei der Identifikation einer geeigneten Lösung. Planen den Einsatz und entwerfen ein geeignetes Modell nach Ihren Bedürfnissen. Integrieren die gewählte Lösung und begleiten Sie durch den gesamten Lebenszyklus.
Im wesentlichen sind nur wenige Schritte nötig, die mit unseren Best Practices Konzepten zum Erfolg geführt werden.
Gerne unterstützen wir Sie auch bei der Bewertung und Optimierung ihrer bestehenden Systeme sowie abhängige Komponenten wie Active Directory, Group Policies, Wartungstoolsets, Softwarepaketierung oder Virtualisierungslösungen. Vielleicht entscheiden Sie sich auch für eine andere Methode oder Produkt wie z.B. VMware Workspace ONE?
