Windows Vista (X.systems.press) German

Download Windows Vista (X.systems.press)  German

Post on 17-Dec-2016

225 views

Category:

Documents

5 download

TRANSCRIPT

  • .presssyst semX.

  • X.systems.press ist eine praxisorientierte Reihezur Entwicklung und Administrationvon Betriebssystemen, Netzwerken und Datenbanken.

  • Martin Grotegut

    Windows Vista

    Erste Auflage

    123

  • Martin Grotegut

    ISBN 978-3-540-38882-1 e-ISBN 978-3-540-38884-5

    DOI 10.1007/978-3-540-38884-5

    ISSN 1611-8618

    Bibliografische Information der Deutschen NationalbibliothekDie Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie;detaillierte bibliografische Daten sind im Internet ber http://dnb.d-nb.de abrufbar.

    2008 Springer-Verlag Berlin Heidelberg

    Dieses Werk ist urheberrechtlich geschtzt. Die dadurch begrndeten Rechte, insbesondere die der ber-setzung, des Nachdrucks, des Vortrags, der Entnahme von Abbildungen und Tabellen, der Funksendung,der Mikroverfilmung oder der Vervielfltigung auf anderen Wegen und der Speicherung in Datenver-arbeitungsanlagen, bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfltigungdieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen der gesetzlichenBestimmungen des Urheberrechtsgesetzes der Bundesrepublik Deutschland vom 9. September 1965 inder jeweils geltenden Fassung zulssig. Sie ist grundstzlich vergtungspflichtig. Zuwiderhandlungenunterliegen den Strafbestimmungen des Urheberrechtsgesetzes.

    Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk be-rechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne derWarenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten waren und daher von jedermannbenutzt werden drften.

    Einbandgestaltung: KnkelLopka, Heidelberg

    Printed on acid-free paper

    9 8 7 6 5 4 3 2 1

    springer.com

  • Vorwort

    Wenn man den Vorschlag erhlt, ein Buch zu schreiben, sind unabdingbare Voraussetzungen, das Thema genauestens zu kennen, eine Auswahl und Eingrenzung durchzufhren sowie diese didaktisch gut gemacht zu prsen-tieren.

    Dieses Buch wendet sich daher an erfahrene IT-Spezialisten und -Spezialistinnen sowie andere technisch Interessierte, die ihre Kenntnisse um Windows Vista erweitern und ggf. durch Microsoft zertifizieren lassen, oder sich zumindest einen detaillierten berblick ber Windows Vista ver-schaffen mchten.

    Im folgenden werden daher nicht etwa der Internet Explorer und das Media-Center in allen Details vorgestellt, sondern es wird auf den Einsatz und die Installation als Arbeitsstation in Unternehmen fokussiert und zahl-reiche Tipps und Tricks aus der Praxis gegeben. Reine Serverfunktionalit-ten werden nicht betrachtet. Dennoch wird Ihnen vermutlich das eine oder andere bereits bekannt sein eine Bercksichtigung des leserinnen- und leserindividuellen Vorwissens war leider nicht mglich.

    Im folgenden wird die endgltige Windows Vista Ultimate-Edition be-schrieben, die als Vereinigungsmenge wirklich alle verfgbaren Funktio-nen der gesamten Windows-Vista-Familie beinhaltet. In anderen Vista-Ver-sionen sind nicht alle hier beschriebenen Funktionen verfgbar.

    Dieses Buch kann auch als Grundlage fr die Vorbereitung auf die MCP-Prfungen 70-620 und 70-623 verwendet werden. Unerlsslich dazu ist jedoch ein vollstndiges Durchlesen smtlicher Kapitel und einige prak-tische bungen durchzufhren.

    Ein komplexes Projekt wie die Erstellung eines Buches ist selbstver-stndlich kein Werk eines Einzelnen, sondern stets sind etliche Leute dabei involviert. So danke ich ausdrcklich meinem Lektor Herrn Hermann Eng-esser, den Lektoratsassistentinnen Frau Gabi Fischer und Frau Dorothea Glaunsinger sowie Frau Viktoria Salma und Herrn Michael Reinfarth fr ihre Arbeiten, die zum Erscheinen dieses Buches unerlsslich waren und es erst ermglicht haben.

    Eventuell verbleibende Fehler gehen natrlich zu meinen Lasten. Solche Errata werde ich auf meiner Homepage (http://www.zbc-berlin.de/) verf-fentlichen.

  • VI Vorwort

    Dieses Buch erscheint etwas spter als erwartet: Einer der Grnde dafr ist, dass der Autor das Erscheinen des Microsoft Windows-Vista-Ressour-ce-Kits unbedingt abwarten wollte, um die aus seiner Sicht relevanten, und in der Regel sonst nur dort detailliert beschriebenen systemnahen Punkte des Betriebssystemherstellers in dieses Buch miteinzuarbeiten, um dann leider enttuschter Weise feststellen zu mssen, dass jenes Werk aufgrund einer nicht endgltigen, Beta-Version von Vista geschrieben wurde und in ihm der Windows Server 2008 noch unter seinem frheren Codenamen Longhorn bezeichnet und beschrieben wird.

    Ein weiterer Grund fr die Verzgerung besteht in der ausdrcklichen Ausrichtung dieses Buchs auch fr die Vorbereitung auf die MCITP- und MCTS-Zertifizierungen fr Windows Vista, denn Microsoft wird im Mrz 2008 viele von ihr als veraltet angesehene Prfungen stornieren, so dass abzusehen ist, dass es zwangslufig zu einer Vielzahl von Rezertifizierun-gen von Leuten kommen wird, die in der aktuellen Technologie zertifiziert bleiben mchten. Um nichts Wichtiges auszulassen, konnte das Manu-skript daher erst nach Erscheinen der genannten MCP-Examen dem Verlag bergeben werden.

    Wenn Sie den Autor fr Hinweise, Kritik, Vorschlge etc. kontaktieren mchten, knnen Sie das per E-Mail an die Adresse MG@MGrotegut.de gerne tun.

    Berlin, im August 2007 Martin Grotegut

  • Inhaltsverzeichnis

    Vorwort ...................................................................................................... V

    Inhaltsverzeichnis ..................................................................................VII

    1 Systemaufbau Windows Vista................................................................1 1.1 Der Kernel-Modus............................................................................1

    1.1.1 Die Hardwareabstraktionsschicht (HAL) ..................................1 1.1.2 Der Mikro-Kernel ......................................................................2 1.1.3 Kernelmodusgertetreiber .........................................................2 1.1.4 Die Ausfhrungsschicht (Executive) .........................................4 1.1.5 Der Objektmanager....................................................................4 1.1.6 Der E/A-Manager ......................................................................4 1.1.7 Der Sicherheitsmonitor (Security Manager)..............................5 1.1.8 Der IPC-Manager ......................................................................6 1.1.9 Der Virtueller-Speicher-Manager ..............................................6 1.1.10 Der Prozess-Manager ..............................................................6 1.1.11 Der Plug-und-Play-Manager....................................................7 1.1.12 Die Energieverwaltung (Power Manager) ...............................7 1.1.13 Der Window-Manager und GDI ..............................................7

    1.2 Der Benutzermodus ..........................................................................8 1.3 Dienste ..............................................................................................9 1.4 Adressraum (32-Bit/64-Bit) und VMM (Swap)..............................10 1.5 Windows-Vista-Versionen ..............................................................11 1.6 Die Registrierung und ihre Verwaltung ..........................................15 1.7 Der Startvorgang und BCD.............................................................19 1.8 Boot.Ini vs. BCD ............................................................................21 1.9 Starten im Fehlerfall .......................................................................22 1.10 Arbeitsspeicherdiagnose ...............................................................25

    2. Installation............................................................................................29 2.1 Mindestvoraussetzungen.................................................................29 2.2 Der Windows Upgrade Advisor .....................................................30

  • VIII Inhaltsverzeichnis

    2.3 Von DVD (Boot) ............................................................................ 30 2.4 Upgrade (von XP und anderen Vista-Versionen) ........................... 43 2.5 EasyTransfer, USMT...................................................................... 47 2.6 Installationsoptionen fr Administratoren...................................... 52

    2.6.1 Images/Festplattenduplikation................................................. 52 2.6.2 WDS ........................................................................................ 54 2.6.3 Netzwerk.................................................................................. 55 2.6.4 Sysprep .................................................................................... 55 2.6.5 WinPE...................................................................................... 55 2.6.6 Start von einem Installationsmedium ...................................... 56

    2.7 Der Programmkompatibilitts-Assistent ........................................ 57

    3. Die Arbeitsoberflche .......................................................................... 65 3.1 Das Startmen................................................................................. 67 3.2 Das Hilfe- und Supportcenter ......................................................... 70 3.3 Die Seitenleiste ............................................................................... 73 3.4 Windows Explorer .......................................................................... 73 3.5 Anpassen der Anzeigeeinstellungen ............................................... 74 3.6 Tastaturabkrzungen....................................................................... 81 3.7 Strg+Alt+Entfernen: Windows-Sicherheit...................................... 83 3.8 Der Task-Manager .......................................................................... 84 3.9 Aufbau der Windows-Installation (Verzeichnisstruktur) ................ 93

    4. Windows Systemsteuerung und Verwaltungsprogramme ............... 99 4.1 Die Microsoft Verwaltungskonsole .............................................. 100 4.2 Programme in der Systemsteuerung ............................................. 103

    4.2.1 Leistungsbewertung und WinSAT......................................... 103 4.2.2 Automatische Wiedergabe ..................................................... 108 4.2.3 BitLocker............................................................................... 109 4.2.4 Datum und Uhrzeit ................................................................ 111 4.2.5 Der Gertemanager................................................................ 113 4.2.6 Hardware ............................................................................... 114 4.2.7 Indizierungsoptionen ............................................................. 115 4.2.8 Programme und Funktionen .................................................. 119 4.2.9 Sicherheitscenter.................................................................... 124 4.2.10 Sprachpakete........................................................................ 125 4.2.11 System ................................................................................. 127 4.2.12 Windows Defender .............................................................. 147 4.2.13 Windows Update ................................................................. 147

    4.3 Verwaltung.................................................................................... 149 4.3.1 Aufgabenplanung................................................................... 150 4.3.2 Das Snap-In Computerverwaltung ........................................ 157

  • Inhaltsverzeichnis IX

    4.3.3 Datenquellen..........................................................................158 4.3.4 Dienste ...................................................................................166 4.3.5 Dienste fr NFS.....................................................................191 4.3.6 Der iSCSI-Initiator ................................................................197 4.3.7 Lokale Sicherheitsrichtlinie ...................................................206

    4.4 Alternativer Start der Verwaltungswerkzeuge ..............................215

    5. Datentrgerverwaltung .....................................................................217 5.1 Untersttzte Massenspeicher ........................................................217

    5.1.1 Festplatten..............................................................................217 5.1.2 CD- und DVD-Laufwerke .....................................................218 5.1.3 Floppies .................................................................................218

    5.2 Windows-Datentrgertypen ..........................................................219 5.2.1 Basisdatentrger.....................................................................219 5.2.2 Dynamische Datentrger .......................................................219

    5.3 Partitionstypen ..............................................................................220 5.3.1 Primre Partition....................................................................220 5.3.2 Erweiterte Partition................................................................221 5.3.3 Einfaches Volume ..................................................................221 5.3.4 bergreifende Datentrger ....................................................221 5.3.5 Streifenstze...........................................................................222

    5.4 Die Datentrgerverwaltung...........................................................222 5.5 Festplatten von fernen Rechnern verwalten..................................224 5.6 Dateisysteme.................................................................................224

    5.6.1 FAT/FAT32 ............................................................................224 5.6.2 NTFS .....................................................................................226 5.6.3 CDFS .....................................................................................245 5.6.4 UDF .......................................................................................246

    5.7 Dateiattribute ................................................................................246 5.8 Fragmentierung und Defragmentierung........................................247 5.9 ReadyBoost...................................................................................248 5.10 Programme fr die Verwaltung...................................................250

    6. Netzwerk.............................................................................................253 6.1 Hardware ......................................................................................255 6.2 Netzwerkbrcke............................................................................260 6.3 Protokolle......................................................................................261

    6.3.1 TCP/IP ...................................................................................261 6.3.2 IPv6.......................................................................................261 6.3.3 Verbindungsschicht-Topologieerkennung .............................262 6.3.4 Netzwerk erweiterte Einstellungen.....................................263 6.3.5 Programme fr die Netzwerkverwaltung...............................266

  • X Inhaltsverzeichnis

    6.4 Authentifizierung .......................................................................... 269 6.5 Personen in meiner Umgebung..................................................... 271 6.6 Firewall......................................................................................... 273

    6.6.1 Einfache Firewall................................................................... 273 6.6.2 Windows-Firewall mit erweiterter Sicherheit........................ 278

    6.7 Windows-Teamarbeit .................................................................... 280

    7. Benutzerkonten und lokale Gruppen einrichten und verwalten ...285 7.1 Lokale Benutzerkonten vs. Domnenbenutzerkonten .................. 290 7.2 Eigene Benutzerkonten................................................................. 290 7.3 Jugendschutz................................................................................. 297 7.4 Vordefinierte Benutzerkonten ....................................................... 299 7.5 Vordefinierte Gruppen .................................................................. 300

    7.5.1 Integrierte lokale Gruppen..................................................... 300 7.5.2 Integrierte Sicherheitsprinzipale............................................ 300

    7.6 Anmeldevorgang/LSA/Zugriffstoken ........................................... 301 7.7 Sicherbare Objekte ....................................................................... 302 7.8 Sicherheitsbeschreibung ............................................................... 303

    7.8.1 Zugriffssteuerungslisten (ZSL).............................................. 303 7.8.2 Zugriffssteuerungseintrge .................................................... 304 7.8.3 Security Identifier (SID)........................................................ 304 7.8.3.1 Aufbau der SIDs ................................................................. 306 7.8.3.2 Vordefinierte SIDs .............................................................. 307

    7.9 Benutzerkontensteuerung ............................................................. 322

    8. Drucker einrichten und verwalten ................................................... 325 8.1 Terminologie................................................................................. 325 8.2 Einrichtung von lokalen und Netzwerk-Druckern........................ 326 8.3 Administratoroptionen bei Druckern ............................................ 333 8.4 Druckservereigenschaften ............................................................ 346 8.5 Drucker-Pooling ........................................................................... 350

    9. Die Faxdienste .................................................................................... 353 9.1 Installation der Fax-Dienste.......................................................... 353 9.2 Lokale Faxdienste......................................................................... 360 9.3 Remote-Faxdienste und Faxclients............................................... 378

    10. Verzeichnisfreigaben einrichten und verwalten ............................ 379 10.1 Netzwerk- und Freigabecenter.................................................... 379 10.2 Verzeichnisfreigaben................................................................... 381

    10.2.1 Einfache Freigabe................................................................ 381 10.2.2 Erweiterte Freigabe ............................................................. 383

  • Inhaltsverzeichnis XI

    10.3 Freigabeberechtigungen..............................................................386 10.4 Zwischenspeicherung .................................................................388 10.5 Zugriffberechtigungen und Kombination mit NTFS-Berechtigungen...................................................................................390

    11. Ressourcen und Ereignisse berwachen ........................................393 11.1 Die Ereignisanzeige ....................................................................393 11.2 Zuverlssigkeits- und Leistungsberwachung............................399

    11.2.1 Systemmonitor.....................................................................400 11.2.2 Zuverlssigkeitsberwachung..............................................402 11.2.3 Systemdiagnose ...................................................................404

    11.3 Netzwerkmonitor ........................................................................404

    12. Mobile Computing ...........................................................................407 12.1 Mobilittscenter ..........................................................................407 12.2 Energieschemata .........................................................................408 12.3 Offline-Ordner ............................................................................409 12.4 Synchronisierung ........................................................................412

    13. Fernzugriff einrichten und verwalten............................................415 13.1 Protokolle....................................................................................415

    13.1.1 PAP......................................................................................416 13.1.2 SPAP....................................................................................417 13.1.3 CHAP ..................................................................................418 13.1.4 MS-CHAP ...........................................................................419 13.1.5 EAP......................................................................................420 13.1.6 MD5.....................................................................................420 13.1.7 DES......................................................................................421 13.1.8 RC4......................................................................................421 13.1.9 PEAP ...................................................................................421 13.1.10 L2TP ..................................................................................422 13.1.11 IPsec ..................................................................................422 13.1.12 PPTP..................................................................................423

    13.2 Fernzugriffe auf Unternehmensnetze..........................................423 13.2.1 Einrichten einer neuen VPN-Verbindung ............................423 13.2.2 Das Eigenschaftsfenster einer VPN-Verbindung.................426 13.2.3 Verwalten von RAS-Verbindungen......................................433

    13.3 Fernzugriff auf Windows-Vista-Computer .................................434 13.3.1 Einrichten einer neuen eingehenden Verbindung ................434 13.3.2 ndern der Eigenschaften einer eingehenden Verbindung..441

    14. Daten sichern und wiederherstellen ...............................................445

  • XII Inhaltsverzeichnis

    14.1 Das Sichern-und-Wiederherstellen-Programm........................... 445 14.2 Datei- und Ordnersicherung ....................................................... 447 14.3 Sicherungsverfahren ................................................................... 450 14.4 CompletePC-Sicherung .............................................................. 451 14.5 Datenwiederherstellung .............................................................. 452 14.6 Weitere Sicherungsarten ............................................................. 453

    Anhang.................................................................................................... 457 A. Startoptionen.................................................................................. 457

    Sachverzeichnis ...................................................................................... 475

  • 1 Systemaufbau Windows Vista

    Windows Vista ist die neueste Version der Windows-NT-Familie. Diese zeichnet sich durch hohe Stabilitt und Sicherheit aus. Microsoft verspricht sogar, mit Windows Vista die robusteste und sicherste Windowsversion ausgeliefert zu haben. Aber wie wird dies realisiert? Windows Vista ist in zwei wichtige Bereiche unterteilt: Es gibt den Kernel-Modus und den Be-nutzermodus, die voneinander getrennt sind. Sehen wir uns diese Bestand-teile einmal genauer an.

    1.1 Der Kernel-Modus

    In der oberen Hlfte des zur Verfgung stehenden Adressraums des Prozes-sors arbeiten in einem besonders geschtzten Bereich die Kernel-Prozesse. Der direkte Zugriff auf die Komponenten, die Hardware des Systems ist Benutzerprozessen verwehrt und kann nur durch den Kernel selbst vorge-nommen werden. Das bewirkt, dass das Betriebssystem zu jeder Zeit die volle Kontrolle ber das gesamte Computersystem hat. Nicht erlaubte Zugriffe werden abgefangen, und falls ein Benutzerprozess abstrzen soll-te, zieht dies nicht etwa das ganze System in Mitleidenschaft, sondern der betreffende Prozess kann einfach neu gestartet werden, ohne dass der Rechner an sich neu gestartet werden msste. Der Kernel selbst besteht aus weiteren Unterfunktionen (siehe unten) und ist somit nicht monolithisch. Andererseits hat der Vista-Kernel aber auch nicht eine Microkernel-Archi-tektur in Reinform, weil die Funktionen nicht gendert bzw. ersetzt werden knnen. Das von Microsoft hierbei realisierte Modell wird Hybrid-Kernel genannt. Aber blicken wir auf die einzelnen Unterfunktionen:

    1.1.1 Die Hardwareabstraktionsschicht (HAL)

    Nein, dies hat nichts mit dem durchgeknallten Computer aus Odyssee im Weltraum zu tun: Durch die HAL (Hardware Abstraction Layer) werden smtliche Gerte und Schnittstellen im System virtualisiert und hardware-abhngige Details wie Interruptcontroller, E/A-Schnittstellen etc. verbor-

  • 2 1 Systemaufbau Windows Vista

    gen. Kein Prozess oder Treiber (auch solche des Kernels selber) kann da-durch mehr direkt auf die Hardware zugreifen.

    Die ursprngliche Absicht war es, Unterschiede der verschiedenen Platt-formen (Windows NT gab es auch mal fr Power PC-, MIPS- und Alpha-Systeme sowie fr Ein- und Mehrprozessorsysteme) auszugleichen und Programmierern eine homogene Programmierebene zu geben.

    HALs gibt es nun nur noch als Mehrprozessorversionen fr Intel x86-32-Bit, 64-Bit und Intel IA-64-Bit kompatible Systeme, die aber natrlich auch auf PCs mit nur einer CPU bzw. nur einem CPU-Kern funktionieren, wenn auch etwas langsamer als die frheren Uniprocessor-Versionen. Gleichfalls wurde die Untersttzung von Nicht-ACPI-fhigen (Advanced Configuration and Power Interface) Systemen durch eigene HALs einge-stellt.

    Smtliche Funktionen sind in der Datei HAL.DLL enthalten.

    1.1.2 Der Mikro-Kernel

    Auf der HAL setzt der Mikro-Kernel (und auch die Kernel-Modus-Treiber, siehe unten) auf. Dieser besitzt Multiprozessor-Ablaufkoordinations-, Threadzeitsteuerungsfunktionen, (dadurch wird ent-schieden, welche Threads ausgefhrt werden sollen und wie lange sie je-weils CPU-Zeit erhalten) und Interruptweiterleitungsfunktionen. Als Threads werden Unterfunktionen eines Prozesses (auch Task genannt) be-zeichnet, die gleichzeitig ausgefhrt werden knnen (mehrere CPUs vor-ausgesetzt). Ein Beispiel: Eine typische Office-Anwendung wie Microsoft Word fhrt whrend der Texteingabe (das ist ein Thread) permanent weite-re Funktionen wie den Druckumbruch (damit der Schreiber bzw. die Schreiberin wei, auf welcher Seite sie sich befinden), Rechtschreibkor-rektur, Grammatikprfung etc. aus.

    Smtliche Mikro-Kernel-Routinen sind in der Datei NTOSKRNL.EXE enthalten.

    1.1.3 Kernelmodusgertetreiber

    Gertetreiber, die exklusiv den physischen Zugriff auf die Ressourcen ei-nes Gerts realisieren, mssen als Kernel-Modus-Treiber, welche dann in derselben Schutzebene wie das Betriebssystem ausgefhrt werden, pro-grammiert und digital signiert sein.

    Dabei ist sorgfltige Entwicklung wichtig, denn ein Problem in einem beliebigen Kernelmodusgertetreiber wrde das gesamte System zum Ab-sturz bringen.

  • 1.1 Der Kernel-Modus 3

    Benutzermodus

    Ausfhrungsschicht

    Kernel-Modus-Treiber Mikro-Kernel

    Kernel-Modus

    Hardware

    Arbeits-stations-Dienst

    Server-Dienst Sicherheit

    Integrierte Subsysteme

    Win 32 POSIX

    Umgebungssubsysteme

    Hardware Abstraction Layer (HAL)

    Objekt-Manager

    E/A-Manager

    Sicher-heits-

    Monitor

    IPC-Manager

    Virtueller-Speicher-Manager

    Prozess-Manager

    PnP-Manager

    Energie-Verwaltug

    Window-Manager

    GDIDatei-

    system-Manager

    Abb. 1.1. Windows Vista Systemarchitektur

  • 4 1 Systemaufbau Windows Vista

    1.1.4 Die Ausfhrungsschicht (Executive)

    Die Ausfhrungsschicht ist ein Bindeglied zwischen den Benutzermodus-Subsystemen und den anderen Kernel-Bestandteilen und ist damit ein Hauptbestandteil des Vista-Kernels.

    Seine wichtigste Aufgabe besteht in der Kommunikation mit den Benut-zermodus-Subsystemen und seinen eigenen Kernel-Subsystemen Objekt-Manager, IPC-Manager, E/A-Manager, VM-Manager, PnP-Manager, Si-cherheitsmonitor, Power Manager und dem Windows Manager.1

    1.1.5 Der Objektmanager

    Der Objektmanager ist ein spezielles Subsystem der Ausfhrungsschicht, der fr den Zugriff auf Objekte durch alle anderen Subsysteme zustndig ist. Fr den Objektmanager sind alle Ressourcen des Systems Objekte. Da-zu gehren physische Objekte (wie E/A-Schnittstellen oder ein Dateisys-tem) und logische Objekte (bsp. ein Verzeichnis oder eine Datei).

    Durch den Objektmanager erscheinen alle Bestandteile von Windows Vista objektorientiert zu sein und der Zugriff hierauf wird durch Klassen und Methoden realisiert.

    Andere wichtige Aufgabe des Objektmanagers sind, gleichzeitigen Zu-griff auf Systemressourcen zu steuern, so dass es hierbei nicht zu Konflik-ten kommt, und den Speicher fr Objektbeschreibungsstrukturen anzufor-dern und freizugeben.

    1.1.6 Der E/A-Manager

    Der Eingabe-/Ausgabe-Manager (engl.: Input/Output-Manager bzw. I/O-Manager) steuert die Kommunikation zwischen Benutzermodus-Subsyste-men und den Kernel-Gertetreibern. Smtliche Ein- und Ausgabeanforde-rungen werden an ihn in gerteunabhngiger Form geschickt und von ihm an die Kernel-Modus-Gertetreiber weitergeleitet, die dann mit den ent-sprechenden virtuellen, logischen und physischen Gerten kommunizieren. Falls es mehrere gleichzeitige Anforderungen gibt, liegt es in der Verant-wortung der Treiber, eine Priorisierung und Reihenfolge festzulegen, in der sie an die E/A-Gerte weitergeleitet werden.

    1 Ein weiterer Bestandteil der Ausfhrungsschicht ist der Konfigurationsmanager,

    der Zugriffe auf die Registrierung koordiniert. Aufgrund dieser Funktion ist er gelegentlich in anderer Literatur als eigenstndiger Teil aufgefhrt.

  • 1.1 Der Kernel-Modus 5

    Wenn Gertetreiber mit anderen Gertetreibern kommunizieren mch-ten, geschieht das gleichfalls ber den E/A-Manager.

    Der E/A-Manager arbeitet eng mit PnP-Manager (fr das Hinzufgen und Entfernen von Gerten und ihren Treibern) und der Energieverwaltung (Untersttzung beim Wechsel in den Energiesparmodus und zurck) zu-sammen.

    Unterfunktionen des E/A-Managers sind der Dateisystemmanager (engl.: File System Manager) und der Dateisystemcache. Letzterer kom-muniziert dazu mit dem Virtuellen-Speicher-Manager.

    Der E/A-Manager kmmert sich auch um die Kommunikation mit Sys-temen, die ber Netzwerke miteinander verbunden sind.

    Bei den Eingabe- und Ausgabeanforderungen wird zwischen synchroner und asynchroner E/A unterschieden: Bei der synchronen E/A sendet eine Anwendung eine E/A-Anforderung und wartet auf ihren Abschluss, der er-folgreich oder fehlerhaft sein kann, bevor sie weiterarbeitet. Bei asynchro-ner E/A, welche die Leistung einer Anwendung im allgemeinen erhht, wartet sie nicht auf die Fertigstellung der Anforderung, sondern arbeitet whrenddessen weiter. Insbesondere bei Leseoperationen muss die Anwen-dung sicherstellen, dass erst nach erfolgreicher Beendigung des Vorgangs auf den Dateipuffer zugegriffen wird. Hierzu sendet der E/A-Manager nach dem Abschluss der angefragten Operation eine Benachrichtigung, die auch einen Statuscode enthlt.

    Programmierer haben zudem die Mglichkeit, anzugeben, ob die Opera-tionen seitens des E/A-Managers gepuffert oder ungepuffert erfolgen sol-len bzw. es dem jeweiligen Gertetreiber berlassen werden soll, ob Da-tenpuffer verwendet werden.

    Fr kleinere Datenblcke (kleiner als 4 KB) empfiehlt sich die durch den E/A-Manager-gepufferte Lsung, fr grere Datenmengen und DMA-Vorgnge dagegen die direkte E/A.

    1.1.7 Der Sicherheitsmonitor (Security Manager)

    Durch den im Kernel-Modus arbeitenden Sicherheitsmonitor2 wird sicher-gestellt, dass auf smtliche Ressourcen des Systems nur in der Art, wie sie durch ACLs (Access Control Lists, Zugriffssteuerungslisten) bestimmt wird, zugegriffen werden kann.

    Zur Kommunikation mit der Local Security Authority (LSA), die im Benutzermodus arbeitet, verwendet der Sicherheitsmonitor LPCs (Local

    2 Er wird gelegentlich auch als Sicherheitsreferenzmonitor (SRM) bezeichnet.

  • 6 1 Systemaufbau Windows Vista

    Procedure Calls). Winlogon verwendet gleichfalls LPCs zur Kommunika-tion mit der LSA.

    Eine wichtige Aufgabe des Sicherheitsmonitors ist die Erstellung von Zugriffstokens (engl.: Access Tokens), die u. a. Systemrechte enthalten.3

    1.1.8 Der IPC-Manager

    Der Interprocess Communication Manager (IPC Manager)4 steuert die Kommunikation ber RPC (Remote Procedure Call) zwischen Prozessen im Kernelmodus und solchen, die im Benutzermodus arbeiten. Prozesse verwenden dazu immer RPC-APIs, die wiederum so genannte Pipes fr den Lese-/Schreibzugriff ffnen.

    Wenn sich die Quelle und das Ziel auf demselben Rechner befinden, werden LPC (wie schon im Punkt 1.1.7 erwhnt) verwendet, und wenn mglich nicht durch den Versand von Ereignisnachrichten, sondern zur Leistungssteigerung durch Nutzung eines gemeinsamen Speicherbereichs.

    1.1.9 Der Virtueller-Speicher-Manager

    Dieser Kernel-Bestandteil (engl.: Virtual Memory Manager) verwaltet den gesamten physischen und den Speicherplatz, der durch die Auslagerungs-datei erzielt wird, und gibt ihn als virtuellen Speicher frei.

    Jeder Prozess erhlt einen eigenen, privaten virtuellen Adressraum. Die-ser kann jeweils auch grer sein als die physisch installierte Speicher-menge und bei 32-Bit-Systemen bis zu 2 bzw. 3 GB gro sein. Dazu wird die Auslagerungsdatei verwendet.

    Nicht bentigte physische Speicherbereiche bergibt er dem Dateisys-temcache, damit auf vor kurzem geffnete Dateien schneller zugegriffen werden kann.

    1.1.10 Der Prozess-Manager

    Die Aufgabe des Prozess-Managers ist, den erfolgreichen Start und Been-digung von Prozessen und Threads sicherzustellen.

    Dazu gehrt auch die Anforderung und Freigabe von Speicher vom Vir-tuellen-Speicher-Manager.

    3 Nheres dazu finden Sie in Kapitel 7. 4 In anderer Literatur wird dieser auch einfach nur als Lokaler Prozeduraufruf be-

    zeichnet.

  • 1.1 Der Kernel-Modus 7

    1.1.11 Der Plug-und-Play-Manager

    Der Plug-und-Play-Manager fragt whrend des Systemsstarts die Ressour-cenanforderungen (u. a. IRQs, E/A-Anschlsse, RAM, DMA, busspezifi-sche Ressourcen) der Gerte ab, prft sie auf berschneidungsfreiheit und weist ihnen dann die zu benutzenden Ressourcen zu. Auerdem ermittelt er, welche Treiber die jeweiligen Gerte bentigen und ldt diese in den Speicher.

    Wenn whrend des Betriebs Gerte hinzugefgt oder entfernt werden, sorgt er fr die entsprechenden Benachrichtigungen an die anderen Sys-temkomponenten und das Laden und Entladen von Gertetreibern.

    Dazu kommuniziert er auch mit dem Benutzermodus-PnP-Manager, der in der Datei Umpnpmgr.dll implementiert ist.

    1.1.12 Die Energieverwaltung (Power Manager)

    Ihre Aufgabe ist anhand der Energierichtlinie per ACPI5 Ger-te(funktionen) ein- und auszuschalten, damit der in der Richtlinie vorgege-bene Leistungsgrad (energiesparend oder mit voller Leistung) eingehalten wird.

    Wie Gerte nun konkret in einen energiesparenden Modus versetzt und aus ihm wieder aufgeweckt werden, ist Aufgabe der Gertetreiber. Der zu einem bestimmten Zeit zu herrschende Zustand wird jedoch von der Ener-gieverwaltung vorgegeben.

    1.1.13 Der Window-Manager und GDI

    Zu Windows NT 3.51-Zeiten noch im Benutzer-Modus arbeitend, sind die Funktionen Window Manager und GDI (Graphics Device Interface) zur Erhhung der Leistung in den Kernel-Modus verschoben worden und in der Datei Win32k.sys realisiert.

    Die Aufgaben des Windows Managers sind die Veranlassung der Dar-stellung von Fenstern und Mens sowie die entsprechende Weiterleitung

    5 Abkrzung von Advanced Configuration and Power Interface. Die Spezifikation

    befindet sich bsp. auf http://acpi.info/spec.htm. Systeme, die vor 1998 gebaut wurden, entsprechen hufig nur der Vorgnger-spezifikation APM (Advanced Power Management). Auf ihnen kann Vista schon aus diesem Grund nicht ausgefhrt werden aber wahrscheinlich erfllen so alte Gerte auch andere Mindestvoraussetzungen (siehe unten) nicht.

  • 8 1 Systemaufbau Windows Vista

    von Benutzeraktionen wie Maus- und Tastaturereignisse an die betereffen-den Anwendungen weiterzuleiten.

    Die Aufgabe des GDI ist, die Darstellung von Linien und Kurven zu veranlassen. Es leitet die entsprechenden Anforderungen an die entspre-chenden Gertetreiber (z. B. Bildschirm, Drucker etc.) weiter.

    1.2 Der Benutzermodus

    Im Benutzermodus werden zum einen smtliche Prozesse, die ein Anwen-der gestartet hat, ausgefhrt. Zum anderen aber auch Teile des Betriebssys-tems (auch als Integrierte Subsysteme bezeichnet).6 Diese Prozesse sind untereinander und gegenber dem Betriebssystem abgeschottet. Eine be-liebige Anwendung, die versuchen sollte, auf den Adressbereich einer an-deren Anwendung oder des Betriebssystems zuzugreifen, wird vom Be-triebssystem unter Ausgabe einer Fehlermeldung beendet.

    Eine Neuerung von Windows Vista sind Benutzermodus-Treiber.7 Die-ses sind Gertetreiber (z. B. fr Druck- und USB-Gerte wie eine Kame-ra), die im Benutzermodus ausgefhrt werden, zwar dennoch nicht unmit-telbar auf die Hardware selbst zugreifen drfen, aber fr deren Installation nicht mehr zwingend administrative Rechte erforderlich sind. Und falls ein solcher Gertetreiber einmal abstrzen sollte, berhrt es das Betriebssys-tem nicht. Nach der Installation eines UMDF-Treibers (User Mode Driver Framework) muss ein Rechner zudem nun in aller Regel nicht mehr neu gestartet werden.

    6 Ein Beispiel dafr ist der Sitzungs-Manager (engl.: Session Manager), der in der

    Datei Smss.exe implementiert ist und u. a. die Umgebungsvariablen setzt, ggf. vorhandene weitere Auslagerungsdateien ffnet und das Win32-Subsystem (Csrss.exe) und Winlogon (eben falls im Benutzermodus) startet. Danach ist er fr den Start neuer Terminal-Server-Sitzung und ggf. weiterer Subsysteme (derzeit kann das eigentlich nur das POSIX-Subsystem sein) zu-stndig. Andere Funktionen, die im Benutzermodus arbeiten sind die Local Security Au-thority (Lsass.exe) und der Dienststeuerungs-Manager (Services.exe).

    7 Das User Mode Driver Framework ist danach auch fr Windows XP verffent-licht worden.

  • 1.3 Dienste 9

    1.3 Dienste

    Ein guter Teil der Betriebssystemfunktion von Windows Vista wird durch Dienste realisiert. Dienste starten typischerweise mit dem Betriebs-system und arbeiten bis zum Herunterfahren des Systems im Hintergrund. Hierzu muss kein Benutzer angemeldet sein. Microsoft hat mit Vista aber auch die Arbeitsmglichkeit als Benutzerdienst eingefhrt. Letztere arbei-ten dann im Sicherheitskontext des angemeldeten Benutzers.

    Dienste (und auch Gertetreiber) werden beim Start von Vista durch den Service Control Manager (SCM , dt.: Dienststeuerungs-Manager) geladen und gestartet. Dieser Teil des Betriebssystems ist somit direkt fr das Ar-beiten der Dienste zustndig.

    Smtliche Dienste sind (zusammen mit den Getrtetreibern) im Regis-trierungspfad HKLM\SYSTEM\CurrentControlSet\Services aufgefhrt (siehe unten).

    Dienste knnen voneinander abhngen. Ein Beispiel: Der Arbeitsstati-onsdienst knnte nicht starten, wenn ein Netzwerkprotokolldienst wie TCP/IP (noch) nicht zur Verfgung steht. Das ist insbesondere bei der neu-en Dienststartart Automatisch-Verzgerter Start zu beachten, die den be-treffenden Dienst nachrangig und mit niedrigster Prioritt startet. Diese neue Startart kann aber nicht wirkungsvoll fr solche Dienste spezifiziert werden, von denen andere Dienste abhngen (siehe unten). In so einem Fall wrde der SCM den betreffenden Dienst automatisch sofort starten. Falls Benutzerprogramme auf einen automatisch-verzgert startenden Dienst angewiesen sind, gibt es Fehlermeldungen, wenn der Dienst dann noch nicht gestartet ist.

    Windows Vista fhrt als ein weiteres neues Feature Abhngigkeiten auch beim Herunterfahren ein, damit Dienste, die in einer bestimmten Rei-henfolge heruntergefahren werden mssen, ohne Probleme zusammenar-beiten knnen. Vor Windows Vista war der Versand der Herunterfahrens-meldungen an die Dienste vom Betriebssystem zufllig. Dieses wird jetzt durch den Registrierungsschlssel (siehe unten) HKLM\System\Cur-rentControlSet\Control\PreshutdownOrder="Shutdown Order", der vom Typ REG_MULTI_SZ sein muss, gesteuert. Die Dienstnamen sind als Werte der Shutdown-Order aufgefhrt.

    Apropos Herunterfahren: Neu ist auch das Feature Herunterfahrenvor-ankndigung: Fr Dienste, die das mchten, schickt der SCM drei Minuten (Voreinstellung und jedoch durch den Dienst nderbar) vor dem eigentli-chen Herunterfahren-Befehl eine Vorankndigung, so dass Dienste, die vergleichsweise lnger als andere Dienste bentigen, ihre jeweils erforder-liche Zeit bekommen um zu stoppen. In frheren Windows-Versionen

  • 10 1 Systemaufbau Windows Vista

    konnten beliebige Dienste (und auch Anwendungen) auerdem das Herun-terfahren eines Systems verhindern. Damit ist nun auch Schluss: Wenn der Benutzer Vista anweist, das System herunterzufahren, kann man sich nun auch darauf verlassen, dass es gemacht wird. Die Zeiten, zu denen man nach einer Reise am Ziel angekommen feststellte, dass die Notebook-Bat-terie fast leer und auf dem Display ein Fenster zu sehen ist, in dem gefragt wird, ob man wirklich sicher sei, das Programm XY zu beenden, sind nun vorbei.

    1.4 Adressraum (32-Bit/64-Bit) und VMM (Swap)

    In den 32-Bit-Versionen von Vista (siehe unten) steht ein Gesamtadress-raum von 232 (das sind ca. 4 Mrd.) Speicherstellen (oder 4 GB) zur Verf-gung. Von diesem Adressraum ist die eine Hlfte (2 GB) fr Benutzerpro-zesse, die jeweils bis zu 2 GB gro werden drfen, reserviert und die andere Hlfte fr das Betriebssystem. In letzterem ist auch der Speicher-raum fr PCI-Karten, die Memory-Mapped-I/O verwenden oder eigenes RAM mitbringen, untergebracht.

    Mehr als 4 GB RAM kann ein 32-Bit-System nicht adressieren.8 In einem speziellen Betriebsmodus, dem 3-GB-Modus, der durch einen

    Schalter in der Boot.Ini-Datei (s. u.) aktiviert werden konnte und nun ber BCD-Einstellungen bei Bedarf aktiviert werden muss, stehen speziell dafr geschriebenen Anwendungen wie Microsoft SQL-Server oder Microsoft Exchange-Server 3 GB zur Verfgung. Das OS muss dann mit nur einem Gigabyte auskommen.

    Angesichts des wachsenden Speicherhungers (und glcklicherweise fal-lenden Speicherpreisen) sind die nchsten Meilensteine 64-Bit-Betriebs-systeme. Zwar stehen diesen auch keine 264 Bytes RAM zur Verfgung, denn da sprechen elektronische Hindernisse dagegen, aber immerhin bis zu 128 Gigabyte sind mglich.

    Bei einem 64-bittigen Windows mssen alle Gertetreiber ebenfalls 64-bittig programmiert sein, Anwendungen jedoch nicht zwingend, weil sie hnlich dem vorherigen WOW32 (Windows on Windows32) fr 16-Bit-Applikationen in einer 32-Bit-Umgebung bei Vista nun im WOW64 auch 8 Eine Ausnahme hiervon bilden Programme wie der SQL-Server, die AWE (Ad-

    dress Windowing Extensions) verwenden knnen, bei denen nacheinander wei-tere Speicherbereiche in einem Speicherfenster eingeblendet werden knnen (die Anwendung ist selbst fr die Zuordnung von virtuellem und physischem Speicher verantwortlich). Aber auch mit dieser Technologie ist der gleichzeitig adressierbare Adressraum auf 4 GB begrenzt.

  • 1.5 Windows-Vista-Versionen 11

    als 32-Bit-Applikation auf einem 64-Bit-Windows ausgefhrt werden kn-nen. Selbstverstndlich bleibt jede 32-Bit-Applikation dabei auf max. 2 GB RAM beschrnkt.

    16-Bit-Applikationen aus der Windows-3.x-ra knnen auf einem 64-Bit-Windows nicht mehr ausgefhrt werden, weil Microsoft dafr kein Subsystem mehr anbietet.9

    In einer 64-Bit-Umgebung sind die automatische Registrierungs- und Systemverzeichnisumleitung fr Benutzer nicht verfgbar. Ebenso die PAE (Physical Address Extensions) - die sind bei dem Adressumfang nicht mehr ntig.

    Aktuelle Prozessoren sind nunmehr mit 64-Bit-Erweiterungen versehen, was den Umstieg einerseits erst ermglicht und andererseits fr die Zu-kunftssicherheit wichtig ist: Microsoft wird zwar bis auf weiteres Client-Betriebssysteme wie Windows Vista (und mglichen Nachfolgern) fr 32-Bit-Systeme anbieten und auch der Windows-Server 2008 wird noch 32-bittig verfgbar sein.

    Microsoft Exchange 2007, Windows Server 2008 Small Business Versi-on und den Windows Server 2008 R2 wird den Ankndigungen von Microsoft zufolge es nur noch als 64-Bit-Versionen geben.

    Sehen wir uns doch im nchsten Abschnitt einmal an, welche Versions-vielfalt allein bei Windows Vista existiert.

    1.5 Windows-Vista-Versionen

    Bei den Vista-Versionen hat Microsoft ganze Arbeit geleistet: In stolzen, mindestens 14 (!) unterschiedlichen Versionen10 ist Vista jeweils pro Spra-che erschienen.

    Die kleinste und preiswerteste, deutsche Version ist Windows Vista Ho-me Basic. Sie ist der direkte Nachfolger der Windows XP Home Edition. Aus dem Namen wird schon das von Microsoft gedachte Einsatzgebiet deutlich: Fr den typischen Heim-PC. So beinhaltet die Home Basic Versi-on Funktionen wie Movie Maker und Jugendschutz, die fr ein Unterneh-mensumfeld weniger wichtig sind.

    Die nchst hhere Version ist Windows Vista Home Premium. Sie bein-haltet alles aus der Home Basic Edition jedoch zustzliche Funktionen wie Aero Glass, Tablet PC, Side Show und das berarbeitete Media Center. Es 9 Gleiches gilt zwangslufig fr 16-Bit-Treiber. 10 Eventuell kommen noch spezielle koreanische Versionen, die mit K bzw. KN

    gekennzeichnet sind, auf den dortigen Markt. Endgltige Informationen darber gab es bei der Erstellung dieses Buchs jedoch nicht.

  • 12 1 Systemaufbau Windows Vista

    ist davon auszugehen, dass diese Version die am hufigsten verwendete Version von Windows Vista ist.

    Speziell fr Unternehmenskunden gibt es die Versionen Vista Business und Vista Enterprise. Erstere ist der Nachfolger von Windows XP Profes-sional und wird vorinstalliert sowie als eigenstndige Version erhltlich sein. Die Enterprise-Version wird hingegen nur an Grounternehmen, die Rahmenvertrge mit Microsoft abgeschlossen haben, ausgeliefert.

    Die sprichwrtlich eierlegende Wollmilchsau ist die Windows Vista Ultimate Edition, die smtliche Funktionen aller oben genannten Versionen enthlt, und (seit Ende Januar 2007) weitere spezielle, ber Windows Up-date herunterladbare Ultimate Extras wie ein BitLocker-Konfigurations-programm, Speicherung der EFS- und BitLocker-Schlssel in Microsoft Digital Locker, Poker-Spiel, DreamScore (mit dem sich ein Video als Ar-beitsoberflchenhintergrund einstellen lsst) bietet. Sie ist auch die einzige Version fr Endkunden, die sowohl als 32-Bit- als auch als 64-Bit-Version ausgeliefert wird. Andere Versionen liegen auch 64-bittig sowie auf fnf CD-ROMs vor, mssen aber von Microsoft gegen geringe Versandkosten bestellt werden.

    Jedoch sind nicht alle Voll- und Upgradeversionen fr Endkunden als Retail-Version (auch unter der Bezeichnung Boxed bekannt) im Ladenregal des rtlichen Computerhndlers zu finden, denn ber vorstehende Aufzh-lung hinaus, gibt es auerdem eine (nur in Entwicklungslndern erhltli-che) Windows Vista Starter Edition, Versionen fr 64-Bit-Prozessoren, OEM-Versionen und von Vista Home Basic und Business gibt es aufgrund von EU-Vorschriften auch solche ohne Microsoft Media Player. Diese ha-ben ein angehngtes N im Namen.

    Fr Heimanwender wird die Retail-Installations-DVD mit den Versio-nen Vista Home Basic, Vista Home Premium und Vista Ultimate ausgelie-fert. Ein kostenpflichtiges Upgrade von einer kleineren Vista- auf eine grere Vista-Version ist mittel eingebauter Upgrade-Funktion mglich. Der Vorteil: Es entfllt die frher in so einem Fall notwendig gewesene Neuinstallation des Betriebssystems.

    Nachfolgend sind die verschiedenen Versionen und ihre Hauptunter-schiede dargestellt:

    Windows Vista Home Basic

    - (Nachfolger der XP Home Edition) - Gleichzeitige, eingehende Netzwerkverbindungen: 5 - Internetverbindungsfreigabe - Movie Maker - Max. 4 (32-Bit) / 8 GB (64-Bit) RAM - Max. 1 CPU-Chip (mit beliebig vielen Kernen)

  • 1.5 Windows-Vista-Versionen 13

    - Jugendschutz - Remotedesktop (Nur Client)

    Windows Vista Home Premium - Wie Windows Vista Home Basic, plus: - Windows Aero Glass-Oberfche - Tablet-PC-Funktionen - SideShow - Windows Media Center-Funktionen - DVD Maker - Movie Maker HD - Zustzliche Spiele - Gleichzeitige, eingehende Netzwerkverbindungen: 10 - Mobility Center - Synchronisation PC-to-PC - Max. 4 (32-Bit) /16 GB (64-Bit) RAM - Dia-Show

    Windows Vista Business - (Nachfolger von Windows XP Professional) - Wie Windows Vista Home Basic, plus: - Windows Aero Glass-Oberfche - SideShow - Tablet-PC - Domnen-Mitgliedschaft - Internet Information Server 7 - Gleichzeitige, eingehende Netzwerkverbindungen: 10 - Remotedesktop (Client und Host) - P2P Meeting Place - Mobility Center - Client fr Windows-Fax-Server - Synchronisation PC-to-PC - Max. 4 (32-Bit) /128 GB (64-Bit) RAM - Max. 2 CPU-Chips (mit beliebig vielen Kernen) - NTFS-Schattenkopien

    Windows Vista Enterprise - (Nur fr Grokunden erhltlich) - Wie Windows Vista Business, plus: - BitLocker - Virtual PC Express

  • 14 1 Systemaufbau Windows Vista

    - Unix-Subsystem (SUA) - Multi-Language-Kit

    Windows Vista Ultimate Edition - Diese Version enthlt alle Vista-Funktionen und ist insoweit eine

    Kombination aus Windows Vista Home Premium und Windows Vista Enterprise.

    - Es gibt aber exklusive Windows Vista Ultimate Extras, die nur von Anwendern und Anwenderinnen dieser Version von der Microsoft-Website heruntergeladen werden knnen.

    Zustzlich gibt es von allen Versionen, auer der Starter-Edition, 64-Bit-

    Versionen. Der Installationsschlssel ist sowohl fr die 32- als auch die 64-Bit-Version gltig, es darf aber nur eine von den beiden installiert werden. Die 64-Bit-Versionen zeichnen sich durch folgende Unterschiede aus:

    - Untersttzung von wesentlich mehr RAM - Kernel-Treiber mssen 64-bittig programmiert und digital signiert

    sein - Untersttzung fr 64-Bit und 32-Bit-Software, aber nicht mehr fr

    16-Bit-Software und PAE (Physical Address Extensions)

    (Windows Vista Starter Edition) - Nur in Entwicklungslndern erhltlich - Beschrnkung auf drei gleichzeitige Applikationen - Maximal 1024 x 768 Punkte Bildschirmauflsung - Keine Netzwerkfreigaben - Maximal 256 MB RAM Ein Upgrade ist nur von XP und einer kleineren Version von Windows

    Vista mglich, nicht jedoch von Windows 2000 und frher! Hierbei erfor-dern aber die Vista-Home-Versionen auch die frhere XP-Home-Version und die Vista-Business-Variante die Professional-Version von XP.

    Wenn ein Upgrade von einer anderen Version (z. B. Windows NT oder Windows 2000) gewnscht wird, muss erst ein Zwischenschritt ber Win-dows XP gemacht werden, ehe dann in einem zweiten Upgrade auf Vista aktualisiert werden kann.

  • 1.6 Die Registrierung und ihre Verwaltung 15

    1.6 Die Registrierung und ihre Verwaltung

    Die Registrierung von Windows Vista beinhaltet wichtige Einstellungen und Zuordnungen einer Windows-Installation und ihrer installierter Pro-gramme. In frheren Windows-Versionen wurde dies mit textbasierten .Ini-Dateien vorgenommen, auch andere Systeme benutzen dazu entsprechende textbasierte Konfigurationsdateien. Abgesehen von der frheren Windows-64-KB-Grenbeschrnkung haben textbasierte Konfigurationsdateien vie-le Nachteile: Die Speicherung und Auswertung der Eintrge erfolgt bli-cherweise nicht binr, sondern in einem Textformat. Das erlaubt zwar die Bearbeitung mit einem beliebigen Texteditor, hat aber Performancenachtei-le, weil alles erst von Text zu binren Daten gewandelt werden muss. Au-erdem ist eine direkt weiterverarbeitbare, binre Speicherung von Infor-mationen blicherweise nicht vorgesehen. Des weiteren knnen Lese- und Schreibberechtigungen sowie berwachungseinstellungen nur auf Datei-ebene, nicht aber auf Eintragsebene gesetzt werden.

    Diese Nachteile hat die Windows-Registrierung (engl.: Registry) nicht. Sie wird transaktionsuntersttzt und in einem binrem Format gespeichert, so dass ihre Inhalte direkt und ohne Konvertierung weiterverarbeitet wer-den knnen.

    Die Registrierung selbst gliedert sich in mehrere Zweige: Die wichtigs-ten sind: HKLM (HKEY_LOCAL_MACHINE), HKU (HKEY_USERS), HKCU (HKEY_CURRENT_USER), HKCR (HKEY_CLASSES_ROOT) und HKCC (HKEY_CURRENT_CONFIG).11

    Ein Registry Hive ist so etwas wie eine Unterteilung der Registrierung als Ganzes in mehrere Teile. Denn obwohl die Registrierung (z. B. im Re-gistrierungs-Editor) als ein durchgngiges und hierarchisches System von Einstellungen aussieht, ist sie technisch in einige Einzeldateien aufgeteilt.12 Wichtige Dateien finden sich im Verzeichnis %SystemRoot%\Sys-tem32\config, %SystemDrive%\Users sowie in %SystemDrive%\Boot.

    Zum Ansehen und ndern der Registrierung wird im allgemeinen der Registrierungs-Editor (Regedit.exe) benutzt (siehe Abb. 1.2).

    11 Es gibt noch einen weiteren, der als HKEY_PERFORMANCE_DATA (HKPD)

    bezeichnet wird und lokalen sowie entfernten Zugriff auf die Leistungsindikato-ren eines Systems bietet. Der Zugriff erfolgt ber die Registrierungs-APIs, im Registrierungs-Editor wird dieser Stammschlssel nicht angezeigt.

    12 Dieses kann man sich in dem Zweig HKEY_LOCAL_MACHINE\SYS-TEM\CurrentControlSet\Control\hivelist genau ansehen: Hier ist genau aufge-fhrt, welcher Teilregistrierungszweig durch welche Datei realisiert ist.

  • 16 1 Systemaufbau Windows Vista

    Abb. 1.2. Der Registrierungs-Editor

    Aber auch der Reg.exe-Befehl und das Ausfhren von Dateien mit der

    Endung .REG knnen dafr verwendet werden. Fr Softwareentwickler stehen auerdem entsprechende Programmierschnittstellen (Application Program Interfaces, APIs) zur Verfgung.

    Manchmal werden der Registrierung umgangssprachlich magische Krf-te zugesprochen (Da musste einfach die Registry ndern...). Von solchen pauschalen Empfehlungen ist eigentlich nur abzuraten: Erstens sollte man schon ganz genau wissen, was ein bestimmter Eintrag fr Auswirkun-gen hat, zweitens ist, wenn eine nderung auch ber GUI-Tools mglich ist, diese vorzuziehen, weil sie andere, mitbetroffene Schlssel ebenfalls ndert, und drittens knnen fr die meisten nderungen Gruppenrichtli-nien verwendet werden. Nur wenn die letzteren beiden nicht zum ge-wnschten Ziel fhren, bzw. Eintrge nicht existieren und (z. B. aufgrund eines Hinweises in einem Knowledge-Base-Artikel) hinzugefgt werden mssen, sollte man eine direkte nderung der Registrierung in betracht ziehen, denn unsachgeme nderungen knnen dazu fhren, dass ein System nicht mehr startet!

    Der Registrierungs-Editor lsst auch die nderung eines Remote-Sys-tems zu allerdings stehen dann nur die Zweige HKLM und HKEY_Users zur Verfgung. Das reicht dies aber auch vllig aus, denn vieles, was als scheinbar eigenstndige Struktur abgebildet wird, ist tatschlich nur eine Verknpfung auf andere Teile der Registrierung: So ist HKCU ein Unter-schlssel von HKEY_Users, HKCR und HKCC sind solche von HKLM,

  • 1.6 Die Registrierung und ihre Verwaltung 17

    und der Hardware-Baum wird nicht etwa dauerhaft gespeichert, sondern bei jedem Windows-Start dynamisch ermittelt und aufgebaut.

    Die administrativen Vorlagen einer Gruppenrichtlinie sind eigentlich nur so etwas wie ein etwas komfortablerer Registrierungseditor. Die neuen .ADMX-Dateien sind nun XML-basiert.

    In Tabelle 1.1 sehen Sie smtliche Eintragstypen der Registrierungs-datenbank:

    Tabelle 1.1. Registrierungsschlssel

    Typnr. Bezeichnung Inhalt

    0 REG_NONE Nichts. REG_NONE ist ein Platzhalter, wenn der richtige Typ noch nicht bekannt ist. Wer-den dennoch Daten hinterlegt, werden diese im Registrierungseditor als Typ REG_BINARY behandelt.

    1 REG_SZ Eine Zeichenkette (String). Sie wird mit dem Null-Zeichen terminiert.

    2 REG_EXPAND_SZ Eine Zeichenkette, die Umgebungsvariablen (z. B. %PATH%) enthalten darf. Bei der Aus-wertung des Registry-Eintrags wird zuerst der Inhalt der betreffenden Umgebungsvariable ausgelesen und anstelle von %...% verwendet.

    3 REG_BINARY Ein Binrwert.

    4 REG_DWORD Ein 32-Bit-Wert.

    4 REG_DWORD_LITTLE_ENDIAN

    Ein 32-Bit-Wert im Little-Endian-Format. Dieses wird u. a. von Intel-Prozessoren ver-wendet und ist gleichbedeutend mit dem REG_DWORD-Typ (weil Windows fr Little-Endian-Prozessoren optimiert geschrieben wurde). Daher auch dieselbe Typnummer die-ses Schlssels. Im Little-Endian-Format wird ein Wert im Speicher mit dem niederstwertigen Oktett be-ginnend (das kleine Ende) gespeichert: Bsp. der Wert 0x12345678 als (0x78 0x56 0x34 0x12).

    5 REG_DWORD_BIG_ENDIAN

    Ein 32-Bit-Wert im Big-Endian-Format. Im Big-Endian-Format werden die hchstwerti-gen Oktetts zuerst, und die niederwertigen

  • 18 1 Systemaufbau Windows Vista

    Oktetts einer Hexadezimalzahl danach gespei-chert. (Der Wert 0x12345678 wird im Big-En-dian-Format als (0x12 0x34 0x56 0x78) ge-speichert.) Dieses Format wird u. a. von Mo-torola-Prozessoren verwendet.

    6 REG_LINK Reserviert.

    7 REG_MULTI_SZ Mehrere Null-terminierte Zeichenketten. Das Ende der Liste wird durch eine Null-Zeichen-kette gekennzeichnet.

    8 REG_RESOURCE_LIST Eine Gerte-Treiber-Ressourcenliste. Diese wird im Hardware-Hive verwendet und bein-haltet eine Reihe von verschachtelten Arrays, die eine Liste von Ressourcen enthalten, die Hardware-Gertetreiber oder eines der physi-schen Gerte, die dieser steuert. Diese Daten werden vom System whrend des Starts er-kannt und in den \ResourceMap-Baum ge-schrieben. Sie werden im Registrierungseditor als Binrwerte (REG_BINARY) dargestellt.

    9 REG_FULL_RESOURCE_DESCRIPTOR

    Eine Reihe von verschachtelten Arrays, die eine Ressourcenliste eines physischen Gertes enthalten. Diese Daten werden vom System whrend des Starts erkannt, werden in den \HardwareDescription-Baum geschrieben und im Registrierungseditor als Binrwerte (REG_BINARY) dargestellt.

    10 REG_RESOURCE_RE-QUIREMENTS_LIST

    Eine Reihe von verschachtelten Arrays, die eine Liste aller mglichen Ressourcen dar-stellt, die ein Gertetreiber oder der physi-schen Gerte, die er steuert, enthlt. Das Be-triebssystem schreibt eine Teilmenge dieser Liste in den \ResourceMap-Baum. Diese Da-ten werden vom System whrend des Starts erkannt und im Registrierungseditor als Binr-werte (REG_BINARY) dargestellt..

    11 REG_QWORD Ein 64-Bit-Wert

    11 REG_QWORD_LITTLE_ENDIAN

    Ein 64-Bit-Wert, der im Little-Endian-Format gespeichert wird. Dies entspricht dem REG_QWORD-Typ und erhielt dieselbe Typ-nummer wies dieser.

  • 1.7 Der Startvorgang und BCD 19

    Die Maximalgre eines Schlsselnamens ist 255 Zeichen und die Maxi-malgre eines Wertnamens ist 16.383 Zeichen. (Lange Wertnamen mit mehr als 2.048 Zeichen sollen jedoch als separate Dateien (und nur noch mit dem Dateinamen in der Registry) gespeichert werden. Dieses hilft, die Registry effizient und performant zu halten.)

    Die Maximalgre eines Wertes ist der gesamte Speicher. Es existiert jedoch eine Grenze von 64 KB fr die Gesamtgre der jeweiligen Ein-zelwerte eines Schlssels. Mit Vista wurde auch die Grenbeschrnkung der Registrierung an sich beseitigt: Sie ist nun praktisch nur noch durch den zur Verfgung stehenden Festplattenspeicher begrenzt.

    Eine weitere Neuerung ist die Registrierungsvirtualisierung. Doch wozu dient dieser Zungenbrecher? Wenn Benutzer Programme installieren mchten, waren dazu in der Vergangenheit oftmals administrative (oder zumindest Hauptbenutzer-13) Rechte erforderlich, weil der Software-Pfad der Registrierung und Dateien im Windows-System32-Pfad erstellt oder gendert werden mussten. Mit anderen Worten: Nur weil ein Benutzer et-was ndert, hat das Auswirkungen auf das gesamte System und fr alle an-deren Benutzer (fr jene gilt umgekehrt natrlich das gleiche).

    Mit der neu eingefhrten Virtualisierung bekommt jeder Benutzer in seinem Profil einen eigenen HKLM\Software-Zweig der Registrierung, der dann virtuell eingeblendet wird. Jeglicher lesender und schreibender Zu-griff auf diesen Zweig betrifft nun nur einen einzelnen Benutzer. Gleiches gilt fr genderte System-Dateien.

    Gibt es denn wohl eine Ausnahme von diesem Prinzip? Was ist mit Ad-ministratoren, die Programme installieren?

    Ja, die gibt es: Sie greift nicht bei Programmen, die mit erhhten Rech-ten14 ausgefhrt werden!

    Schlielich hat die Registrierung jetzt eine Transaktionsuntersttzung (Alles-oder-Nichts-Prinzip) fr mehrere, zusammenhngende Registrie-rungsnderungen.

    1.7 Der Startvorgang und BCD

    Was genau passiert eigentlich zwischen dem Einschalten des Computers und dem Erscheinen des Vista-Anmeldebildschirms? Dieses zu wissen ist 13 Wie heit es doch so schn: Hauptbenutzer sind die, die noch keine lokalen Ad-

    ministratoren sind. Denn ein Hauptbenutzer kann sich das ntige Wissen vor-ausgesetzt ganz leicht zum lokalen Admin machen. Vista hat u. a. aus diesem Grund nun keine Verwendung mehr fr diese Gruppe (siehe unten).

    14 Dazu unten mehr.

  • 20 1 Systemaufbau Windows Vista

    aus grundstzlichem Interesse (im Sinne eines vollstndigen Kennens des Systems) und fr eine Fehlersuche, falls ein System nicht mehr starten sollte, wichtig.

    Nach dem Einschalten wird zunchst vom Prozessor im Real-Mode der BIOS-Code (Basic Input/Output System), der in einem ROM-Baustein (Read-Only Memory) gespeichert ist, ausgefhrt. Wichtige Aufgabe dabei ist der POST (Power-On Self Test), mit dem die Hauptspeichergre er-mittelt, die Funktion von Onboard-Komponenten wie Schnittstellen-Bau-steine, Grafikkarte etc. getestet und initialisiert werden. ber den Fort-schritt informieren Bildschirmausgaben. Im Fehlerfall erscheinen entweder ebenfalls Informationsmeldungen hierber am Bildschirm, oder, falls das nicht mglich ist, signalisiert der PC Fehler durch unterschiedliche Piep-Tne. Fr die genaue Analyse kann eine sog. Port-80-Karte installiert werden. Das BIOS schreibt nach jedem durchgefhrtem Schritt jeweils ei-nen bestimmten Hexadezimalwert auf den I/O-Port 80h. Eine entsprechen-de Karte stellt die Werte auf einer LED-Anzeige dar.

    Von dem im BIOS konfigurierten Startdatentrger wird anschlieend der Master-Boot-Record (MBR) gelesen. Dieser ist der absolut erste Sektor (Sektor 0) des Datentrgers. In ihm befindet sich die Partitionstabelle und die Kennzeichnung der als aktiv festgelegten Partition (der Systempartiti-on), die frher stets den Buchstaben C: erhielt. Von dieser Partition wird dann ebenfalls der erste Sektor, der sog. Boot-Sektor, gelesen. Der Boot-Sektor ist beim Formatieren der Partition geschrieben worden und enthlt ausfhrbaren Code, der das System instruiert, die Datei bootmgr zu lesen bzw. eine Fehlermeldung auszugeben, wenn diese nicht vorhanden ist.15

    Bootmgr wird in den hohen Speicherbereich geladen, um so mglichst viel Speicherplatz frei zu geben. Danach wird die BCD (Boot Configurati-on Data)16 ausgelesen, um die Boot-Partition, auf der sich die Windows-Dateien befinden, und den Installationspfad zu ermitteln.

    Gegebenenfalls muss eine mit BitLocker gesperrte Partition durch Ein-gabe eines Kennwortes freigegeben werden und falls mehr als eine Win-dows-Installation auf dem System existiert, wird ein Startmen angezeigt, aus dem andere Vista-Installationen (auch frhere Windows-Versionen) ausgewhlt werden knnen.

    Bootmgr startet dann das Programm Winload.exe. Dieses schaltet den Prozessor in den Geschtzen Modus (engl.: Protected Mode), ermittelt die physische Umgebung des Computers und schreibt alle gefunden Informa-tionen ber Systemgerte in den Hardware-Zweig der Registry. Nun wer- 15 Zu den Unterschieden bei dynamischen Datentrgern und GPT siehe das Kapitel

    zur Datentrgerverwaltung. 16 Siehe unten.

  • 1.8 Boot.Ini vs. BCD 21

    den die HAL (Hardware Abstraction Layer), NTOSKRNL sowie alle in der Registrierung aufgefhrten Gertetreiber und Dienste geladen und gestar-tet.

    Wenn whrend der OSLoad-Phase ein Bild angezeigt werden soll, kann dieses als Bitmap-Datei in das Stammverzeichnis der Vista-Installation ko-piert werden und (je nach Bildschirmgre) den Namen oslo-ad800x600.bmp oder osload1024x768.bmp tragen.

    Falls der Computer nach dem Ruhezustand wieder gestartet wird, wird anstelle vom Boot-Manager die Datei Winresume.exe gestartet, die den In-halt der Datei Hiberfil.sys in den Speicher ldt und Windows an der Stelle fortsetzt, an der es in den Ruhezustand versetzt wurde.

    1.8 Boot.Ini vs. BCD

    ltere Windows NT-Versionen hatten zur Auswahl der Systempartition auf Laufwerk C: im Stammverzeichnis eine Datei namens Boot.ini. In ihr waren die installierten Betriebssysteme (und ihre Startoptionen) und die Partitionsnummern und Verzeichnisinformationen enthalten. Der NT-Boot-loader hat dann das System von der ausgewhlten Partition gestartet.

    Windows Vista hat einen neuen Bootloader. Dieser verwendet Boot.ini-Informationen nur noch fr ltere Installationen. Alle Vista-Start-Konfigu-rations-Einstellungen sind nun in einem BCD-Bereich (Boot Configuration Data) der oben erwhnten Registrierung enthalten.

    Ein Beispiel ist die Angabe der vorherigen /3GB-Option in der Boot.Ini-Datei, die bei den 32-Bit-Versionen den Windows-internen System- und Hardwarespeicher auf 1 GB beschrnkt und fr Applikationen im Benut-zermodus 3 GB RAM ermglicht. Mit der Befehlszeile BCDEDIT /Set IncreaseUserVa 3072 wird dieses nun durchgefhrt. Die Angabe der Start-GUID ist nicht zwingend erforderlich. Wird sie weggelassen, bezieht sich Bcdedit auf die aktuelle Partition, von der gestartet wurde.

    Zum wesentlich einfacheren Verndern der Startoptionen bieten sich Programme wie EasyBCD von Neosmart17 etc. an.

    Abbildung 1.3 zeigt ein Vista-System, bei dem zu Beginn des Startvor-gangs die F10-Taste gedrckt wurde. Es erscheint ein Bildschirm, in dem die Startoptionen in der klassischen Form angesehen und verndert werden knnen. Weitere Informationen hierzu finden Sie im Anhang.

    17 http://neosmart.net/dl.php?id=1

  • 22 1 Systemaufbau Windows Vista

    Abb. 1.3. F10 - Startoptionen

    1.9 Starten im Fehlerfall

    Was kann man tun, wenn der Computer pltzlich nicht mehr starten will? In so einem, glcklicherweise mittlerweile sehr selten gewordenem Fall (aber das hilft einem natrlich auch nicht, wenn es einen gerade erwischt hat), ist unbedingt eine genaue Analyse vonnten, weil davon die empfoh-lene Vorgehensweise abhngt!

    Sollte der Rechner nach dem Einschalten gar nichts tun (nicht einmal piepen und auch nichts auf dem Bildschirm erscheinen), drfte ein Hard-wareproblem vorliegen. Es sollte dann die Stromversorgung geprft und ein gegebenenfalls vorher hinzugefgtes Gert oder Steckkarte entfernt werden.

    Erscheint zwar keine Bildschirmausgabe, aber piept der Rechner we-nigstens, ist das Netzteil schon mal OK, aber man muss bsp. von defektem Speicher, einer defekten Grafikkarte oder einem bertakteten System aus-gehen. Anhand der Anzahl und Lnge der einzelnen Pieptne, die aller-

  • 1.9 Starten im Fehlerfall 23

    dings bei jedem BIOS-Hersteller unterschiedlich sind und deren genaue Bedeutung dort erfragt werden kann, lsst sich der Fehler, der immer noch seine Ursache in der Hardware hat, herausfinden.

    Erhalten Sie eine Fehlermeldung wie Inaccessible Boot Device, sollten Sie berprfen, ob eine jngst hinzugefgte Festplatte, Festplattencontrol-ler, CD/DVD oder USB-Stick der Auslser sein knnte. Auch neu instal-lierte Festplattencontroller-, Chipsatz-Treiber und Festplattenpartitionen kommen in betracht.

    Erscheint jedoch whrend des Startvorgangs von Vista ein Blue Screen, drfte ein falscher oder kaputter Treiber der Auslser sein. In so einem Fall kann man versuchen, beim Start die F8-Taste zu drcken und in dem dar-auf erscheinenden Auswahlmen mittels abgesicherten Modus zu starten und den Bsewicht zu entfernen. Den abgesicherten Modus bietet Vista auch im Falle eines vorausgegangenen Problems whrend des Herunter-fahrens an (siehe Abb. 1.4.).

    Abb. 1.4. Windows-Fehlerbehebungsbildschirm

    Sollte ein Start im abgesicherten Modus auch nicht zum Erfolg fhren,

    gibt es noch im F8-Men die letzte als funktionierend bekannte Konfigura-

  • 24 1 Systemaufbau Windows Vista

    tion: Vista hat zwei sogenannte Gertetreiber-Steuerstze (Control Sets), die in der Registrierung abgelegt sind. Bei jedem erfolgreichen Neustart dieser ist dadurch gekennzeichnet, dass das System geladen UND ein Be-nutzer sich anmelden konnte, wird zwischen den beiden Steuerstzen um-geschaltet. Im Fehlerfall steht somit immer noch der vorherige Satz an Treibern zur Verfgung.

    Falls auch das nicht hilft, ist eine letzte Alternative vor einer vlligen Neuinstallation bzw. berschreiben des Systems durch Aufspielen einer frheren Sicherung das Wiederherstellen der Startumgebung. Dazu wird das System von der Vista-DVD gestartet und die Option Systemwiederher-stellung bzw. Computerreparaturoptionen (siehe Abb. 1.5) ausgewhlt. Vista fragt dann beim Vorliegen von parallelen Installationen, welche da-von repariert werden soll und bietet die Mglichkeit, Start-Gertetreiber zu laden. In dem dann folgenden Fenster kann die passendste Auswahl getrof-fen werden (siehe Abb.1.6).

    Abb. 1.5. Systemwiederherstellungsoptionen (1)

  • 1.10 Arbeitsspeicherdiagnose 25

    Abb. 1.6. Systemwiederherstellungsoptionen (2)

    Eine der in diesem Fenster angebotenen Optionen ist die Windows

    CompletePC-Wiederherstellung. Sie setzt voraus, dass der Computer zuvor mit der CompletePC-Sicherung gesichert wurde. Nheres dazu finden Sie in Kapitel 14.

    Aber sollte auch dies nicht zu einem startenden System verhelfen, kommt man um die Neuinstallation nicht herum. Hoffentlich wurden beim Installieren des Systems mehrere Partitionen festgelegt, in denen jeweils sich das Betriebssystem bzw. Programme und Daten befinden, ausgewhlt (siehe unten), damit bei einem ggf. erforderlichen Neuformatieren nichts Wichtiges gelscht wird.

    1.10 Arbeitsspeicherdiagnose

    Der Arbeitsspeicher kann auch isoliert getestet werden. Dazu hat Microsoft erstmals ein Arbeitsspeicherdiagnosetool in das Windows-Setup integriert.

  • 26 1 Systemaufbau Windows Vista

    Dieses kann per F8-Tastendruck beim Systemstart aktiviert werden und testet den gesamten Hauptspeicher grndlich.

    Abb. 1.7. Windows-Arbeitsspeicherdiagnosetool

    Whrend des Laufs wird stndig ein Fortschrittsbalken angezeigt. Mit

    der Esc-Taste kann die Speicherprfung abgebrochen werden. Durch Drcken der F1-Taste knnen Optionen, welche die Arbeitsweise

    des Testprogramms modifizieren, gewhlt werden. Dieser Bildschirm ist in Abb. 1.8 abgebildet.

    In ihm knnen die durchzufhrenden Tests (Minimal, Standard oder Er-weitert, die Cacheeinstellungen (Standard, Aktiv oder Inaktiv) und die An-zahl der Durchgnge festgelegt werden.

  • 1.10 Arbeitsspeicherdiagnose 27

    Abb. 1.8. Windows-Arbeitsspeicherdiagnosetool - Optionen

    Aus der Vista-GUI kann das Arbeitsspeicherdiagnosetool durch Ausfh-

    ren von Mdsched.exe in einer Administrator-Eingabeaufforderung beim nchsten Neustart veranlasst werden.

  • 2. Installation

    Es gibt mehrere Verfahren, Windows Vista auf einen PC zu bringen. Zur Auswahl der bestgeeignetsten Methode muss zunchst entschieden wer-den, ob eine Parallelinstallation zu bestehenden Betriebssystemen, eine Upgrade-Installation unter Beibehaltung aller installierten Programme und Daten oder eine Neuinstallation durchgefhrt werden soll. Ein weiteres Kriterium sind natrlich die Anzahl der zu installierenden Rechner.

    2.1 Mindestvoraussetzungen

    Fr die Installation gelten folgende, von Microsoft empfohlenen Mindest-installationsvoraussetzungen der Computer:

    Fr Microsoft Vista Home Basic

    - 800 MHz 32-Bit (x86) oder 64-Bit (x64) Prozessor - 512 Megabyte (MB) RAM - DirectX-9-Grafikkarte - 32 MB Grafikkartenspeicher - 20 Gigabyte (GB) Festplatte mit mindestens 15 GB freiem Platz - DVD-Laufwerk

    Fr Microsoft Windows Vista Home Premium, Microsoft Vista Busi-ness, Microsoft Vista Enterprise und Microsoft Vista Ultimate - 1 GHz 32-Bit (x86) oder 64-Bit (x64) Prozessor - 1 GB RAM - Windows Aero-kompatible Grafikkarte - 128 MB Grafikkartenspeicher - 40 GB Festplatte mit 15 GB verfgbarem Speicher - DVD-Laufwerk

    Damit eine Grafikkarte als Windows Aero-kompatibel gilt, mssen folgen-de Voraussetzungen erfllt sein:

  • 30 2. Installation

    - Untersttzung des Windows Display Driver Models (WDDM) durch den Grafikkartentreiber

    - Sie hat einen DirectX 9 Grafik-Chip (GPU), der Pixel-Shader-2.0-fhig ist

    - Untersttzung von 32 Bits pro Pixel - Bestandener Windows Aero Acceptance-Test im Windows Driver Kit

    (WDK) - Mindestens 1.800 MB/s Video-Ram-bertragungsrate (siehe Win-

    SAT) Eine Grafikkarte mit 64 MB RAM erlaubt 1280 x 1024 Pixel Auflsung, fr 1920 x 1200 sind 128 MB erforderlich. Aero ist bei Windows Vista Home Basic nicht verfgbar.

    2.2 Der Windows Upgrade Advisor

    Zur Voraberuierung, ob bestimmte Hard- und Software mit den unter-schiedlichen Windows-Vista-Versionen kompatibel ist, kann der Windows Upgrade Advisor verwendet werden. Er kann von der Microsoft Windows Vista Website heruntergeladen und auf Rechnern ausgefhrt werden.

    Falls es problematische Komponenten geben sollte, werden diese aufge-fhrt. Zudem lassen sich Alternativen ermitteln, um die Performance zu erhhen.

    2.3 Von DVD (Boot)

    Eine interaktive Installation von Windows Vista ist im Grunde genommen ganz einfach: Man bootet von der Installations-DVD (oder den fnf Instal-lations-CDs) und wird in mehreren Fenstern nach einigen wenigen ben-tigten Informationen gefragt. Danach luft die Installation von selbst ab. Nach ca. 30 - 60 Minuten ist dann Vista betriebsbereit.

    Unterschieden wird zwischen einer Neu- und einer Upgrade-Installation. Erste wird in der Installation als benutzerdefinierte Installation bezeichnet und ist die Standardeinstellung, wenn von der Installations-DVD gebootet wird.

    Eine Upgrade-Installation, bei der alle Benutzerdaten und Einstellungen des aktuellen Betriebssystems beibehalten werden, kann nur durchgefhrt werden, wenn die Windows-Vista-Installation aus dem betreffenden Be-triebssystem durch Aufruf der Programmdatei Setup.Exe im Stammver-

  • 2.3 Von DVD (Boot) 31

    zeichnis der DVD gestartet wird. Nhere Informationen dazu finden Sie im Abschnitt 2.4.

    Fr Unternehmensinstallationen stehen weitere Funktionen zur Verf-gung (siehe unten).

    Windows Vista kann auch parallel zu einer oder mehreren bestehenden Installationen von Windows installiert werden. Dabei wird der bestehende Boot-Loader durch den von Windows Vista ausgetauscht. Tipp: Es sollte vermieden werden, auf einer Partition mehr als eine Windows-Installation zu haben, weil es sonst wegen gleichlautender Verzeichnisse zu Problemen kommt!

    In Partition 1 Windows 2000, in Partition 2 Windows Vista und in Parti-tion 3 Windows XP zu haben, ist hingegen berhaupt kein Problem. Aller-dings werden dabei die Laufwerksbuchstaben gendert: Die Partition, von der Windows Vista gestartet wurde, hat stets die Bezeichnung C:, dann folgen die weiteren Partitionen.

    Im Ersten (siehe Abb. 2.1) der nun folgenden Installationsbildschirme werden wir nach der Installationssprache, dem Uhrzeit- und Whrungs-format sowie der Tastatur oder Eingabemethode gefragt.

    Abb. 2.1. Der Installationsstartbildschirm

  • 32 2. Installation

    In der Regel kann die Voreinstellung beibehalten und mit Auswahl von

    Weiter zum nchsten Fenster gewechselt werden.1 Soll die Installation abgebrochen werden, kann dies jederzeit (auch in

    den spteren Bildschirmen) durch Klick auf die Schaltflche mit dem X oben rechts im Fenster getan werden. Ein einfaches Ausschalten des Sys-tems wird hingegen nicht empfohlen, weil sonst Reste (wie bsp. temporre Dateien) auf der Festplatte verbleiben knnen.

    Abb. 2.2. Auswahlfenster whrend der Installation

    In diesem Fenster (siehe Abb. 2.2) kann mit der Installation fortgefahren

    werden und auch vorher die Liesmich-Datei angezeigt werden. Es ist emp-fehlenswert, sie zumindest einmal zu lesen, weil sie wichtige Informatio-nen (einschlielich der aktuellen Installationsvoraussetzungen) enthlt und hier nderungen der letzten Minute enthalten sind.

    1 Falls die Maus aus irgend einem Grund nicht funktionieren sollte, kann auch

    Alt+W gedrckt werden.

  • 2.3 Von DVD (Boot) 33

    Ein weiterer Auswahlpunkt sind die Computerreparaturoptionen: Falls ein System nicht mehr starten sollte, knnen hiermit Reparaturmanahmen aufgerufen werden allerdings nur von Windows-Vista- und Windows-Server-2008-Partitionen und ggf. muss ein Festplattencontrollertreiber ge-laden werden. Eine Rckkehr zur Installationsroutine ist danach nicht mehr mglich. Der Computer muss neu gestartet werden.

    Durch Klick auf Jetzt installieren2 wird der Installationsprozess fortge-setzt.

    Nun (siehe Abb. 2.3) soll der Produktschlssel eingegeben werden, was nichts anderes ist, als eine kodierte Seriennummer. Die Buchstaben und Ziffern knnen einfach hintereinander eingegeben werden, die Bindestri-che werden von der Installationsroutine eingefgt und Kleinbuchstaben in Grobuchstaben umgewandelt. Anhand des Produktschlssels wird auch die Version von Vista ermittelt, fr die eine Lizenz erworben wurde.

    Abb. 2.3. Eingabefenster fr den Produktschlssel (Product Key)3

    2 Oder Drcken von Alt+J. 3 Der hier gezeigte Key ist ein fiktives, nicht funktionierendes Beispiel.

  • 34 2. Installation

    brigens kann an dieser Stelle auch die nicht dokumentierte Tasten-kombination Shift+F10 gedrckt werden: Es ffnet sich dann ein WinPE-2.0-Eingabeaufforderungsfenster.

    Neben dem Eingabefeld befindet sich ein blaues Tastatursymbol. Ein Klick hierauf ffnet die Bildschirmtastatur, die von Menschen mit Behin-derungen ggf. bevorzugt verwendet werden mchte. (Siehe Bild 2.4).

    Abb. 2.4. Die Bildschirmtastatur

    Fr die eigentliche Installation muss nicht zwingend zu diesem Zeit-

    punkt ein Schlssel eingegeben werden. Wenn dieser Schritt ausbleibt, werden Sie zur Auswahl der zu installierenden Version aufgefordert und mssen innerhalb von 30 Tagen nachtrglich einen gltigen Schlssel ein-geben.

    Gleichfalls fakultativ ist die automatische Aktivierung sobald eine In-ternetverbindung besteht. Vista muss zwar innerhalb von 30 Tagen akti-viert werden. Dieses kann per Internet oder telefonisch erledigt werden. Fr Installationen zum Testen, die voraussichtlich nur wenige Tage be-nutzt werden, empfiehlt sich eine Aktivierung hingegen nicht.

    Ist diese Zeit verstrichen, lsst sich mit Vista (anders als mit Windows XP) zwar noch weiter arbeiten, allerdings bis zur Eingabe eines gltigen Schlssels nur in einem Modus mit reduzierter Funktionalitt (bei dem u. a. Aero, Windows Defender und ReadyBoost abgeschaltet sind) und man wird nach einer Stunde abgemeldet.

    Um eine Umgehung der Aktivierung per Duplikation der Festplatte ei-ner aktivierten Installation und Benutzung auf anderen Systemen zu ver-hindern, hat Microsoft eine weitere Funktion eingebaut: Falls drei oder mehr Systemkomponenten (wie CPU, Grafikkarte, Festplatte etc.) gendert werden, muss zwingend eine neue Aktivierung durchgefhrt werden. Hier-zu hat man drei Tage lang Zeit, andernfalls wird genauso in den Modus mit reduzierter Funktionalitt geschaltet.

  • 2.3 Von DVD (Boot) 35

    brigens mssen nun auch Unternehmens-(Volume-)Lizenzen aktiviert werden. Dafr bietet Microsoft zwei Optionen an: Fr Unternehmen mit einigen Dutzend Arbeitspltzen gibt es spezielle Installationsschlssel, mit denen Vista mehrfach aktiviert werden kann. Fr noch grere Unterneh-men kann ein Aktivierungsserver installiert werden.

    Durch Auswahl von Weiter ffnet sich als nchstes (siehe Abb. 2.5) der Bildschirm mit den Lizenzbestimmungen. Statt des frheren Gesehen, ge-lacht, F8 muss nun ausdrcklich ein Hkchen bei Ich akzeptiere die Li-zenzbedingungen gesetzt werden, damit die Installation fortgesetzt werden kann.

    Abb. 2.5. Fenster mit Lizenzbedingungen

    Rechtlich ist umstritten, ob diese doch sehr restriktiven Bedingungen

    berhaupt in Deutschland allesamt gltig sind, zumal sie berraschende Klauseln wie u. a. eine Haftungsbeschrnkung von Microsoft beinhalten. Bei Unternehmensinstallationen drfte zudem eine Akzeptanzerklrung einer oder eines nicht handlungsbevollmchtigten Angestellten ebenfalls auf rechtlich dnnem Eis stehen.

  • 36 2. Installation

    Abbildung 2.6 zeigt den Installationsartauswahlbildschirm. Regulr ist die Benutzerdefinierte Installation die einzig verfgbare Installationsart.

    Nur wenn bereits mindestens ein Betriebssystem auf der Festplatte in-stalliert ist und die Vista-Installation von dort gestartet wurde, sind beide Installationsarten auswhlbar.

    Abb. 2.6. Auswahl der Installationsart

    Nach Auswahl der gewnschten Installationsart wird der Vorgang fort-

    gesetzt. In dem dann folgenden Fenster (siehe Abb. 2.7) wird gefragt, auf welcher Partition Windows Vista installiert werden soll. Die Partition muss mindestens von 12 GB gro sein4, empfohlen werden jedoch 16 GB.

    Falls Windows Vista Ihre Hardware nicht vollstndig erkennt, muss ge-gebenenfalls ein Controller-Treiber geladen werden. Frher konnte man das durch Drcken der F6-Taste tun, nun muss dazu auf Treiber laden ge-klickt werden. Dann werden vom Diskettenlaufwerk A: ein oder mehrere speziell fr die Hardware erstellte Treiber geladen und der Speicherplatz auf dem Datentrger erkannt. 4 Das absolute Minimum des freien Speicherplatzes auf ihr ist 6.701 MB.

  • 2.3 Von DVD (Boot) 37

    Abb. 2.7. Auswahlfenster der Installationspartition

    Der Bildschirm sieht so aus, wenn auf Laufwerksoptionen (erweitert)

    geklickt wurde. Dann erscheinen nmlich zustzlich die Auswahlpunkte Lschen, Formatieren und Erweitern einer Partition sowie Eine neue Par-tition erstellen.

    Mit Erweitern einer Partition ist das Zusammenfassen von einer beste-henden Partition mit weiteren freien Festplattenbereichen zum Zwecke der Partitionsvergrerung gemeint (und wird mitunter auch als Volume be-zeichnet).

    Nach Auswahl der gewnschten Option ist damit ist Phase 1 (das Sam-meln von Informationen) abgeschlossen. Es beginnt nun die Phase 2 der Installation und der grne Fortschrittsbalken bewegt sich in dem Bereich unter der am unteren Bildschirmrand gezeigten 2. Es werden Dateien vom Installationsmedium auf die Festplatte kopiert und entpackt. Dabei wird ggf. mehrfach neu gestartet (und unter Umstnden kann sich die Bild-schirmdarstellung ndern), aber Werbefenster wie in den Vorgngerversi-onen mit den berschriften Mehr Mglichkeiten, Beste Windows-

  • 38 2. Installation

    Version aller Zeiten u. a. erscheinen nun nicht mehr. Aber das ist vermut-lich auch kein Verlust.

    Der zweite Teil der Installation dauert (je nach Rechnerleistung) ca. 30 - 60 Minuten.

    Vielleicht fllt Ihnen whrend der Installation schon auf, dass das klas-sische Sanduhrensymbol nun durch einen rotierenden Ring ersetzt wurde.

    In dem Bildschirm danach, der auch in Abb. 2.8 dargestellt ist, werden Sie nach einem Benutzernamen, einem Bild und einem Kennwort gefragt. Letzteres muss nicht zwingend vergeben werden, empfiehlt sich aber aus Sicherheitsgrnden stets bei einem Konto mit administrativen Rechten.

    Abb. 2.8. Eingabe Benutzername und Kennwort

    Im Normalfall gilt ohnehin in einem vernnftig administrierten Win-

    dows-Netzwerk das Prinzip: Ein(e) Benutzer(in) ein Konto. Nicht meh-rere Benutzer, die sich ein Konto teilen5, und auch nicht mehrere Konten je Benutzer! Das ist auch unntig in domnenbasierten Netzwerken.

    5 Sonst kann nicht nachverfolgt werden, wer wann was gemacht hat.

  • 2.3 Von DVD (Boot) 39

    Eine Ausnahme von dieser Regel (ja, keine Regel ohne Ausnahme) sind administrative Konten. Sie besitzen normalerweise sehr viele Berechtigun-gen und hohe Rechte in einem Netzwerk, so dass evtl. durch E-Mail etc. eingeschleuste, den Anti-Virus-Scannern noch nicht bekannte Viren und Wrmer sich gerade mit diesen besonders gut im Netz verbreiten knnen. Administratoren sollten daher stets zwei Konten haben: Eins, mit dem sie ihre regulre Arbeit (wie Office-Dokumente und E-Mail bearbeiten sowie im Internet surfen) verrichten, und ein weiteres, administratives Konto, mit dem sie sich speziell fr Verwaltungsaufgaben wie Ordner einrichten, Be-nutzer verwalten etc. anmelden.

    Eine erneute An- und Abmeldung ist dafr nicht erforderlich: Schlie-lich gibt es im Kontextmen der Startmenprogramme den Punkt Ausfh-ren als (auch als Befehl: runas) und die Terminaldienste, mit denen Administratoren Server verwalten knnen, lassen sich auch hervorragend als normaler Benutzer starten, um nachfolgend administrative Anmeldein-formationen (user credentials) einzugeben.

    Soweit die Theorie, denn die oben erwhnten Konzepte sind schon seit Jahren bekannt. Doch wer macht das in der Praxis wirklich? Im Unix-Umfeld wrde kaum jemand permanent als root arbeiten. Warum dann auf einem Windows-Rechner?

    Aus dem Grund hat Microsoft mit Vista erstmalig die Benutzerkonten-steuerung6 (BKS) eingefhrt (siehe Kap. 7), bei der besondere Aktionen auch von Administratoren explizit nochmals besttigt werden mssen, bzw. administrative Anmeldedaten eingeben werden mssen, damit eine Aktion ausgefhrt wird. Obwohl diese Standardeinstellung per Richtlinie oder durch die Modifikation eines Registrierungsschlssels nderbar wre, ist es aus Sicherheitsgrnden nicht empfohlen.

    Das Administrator-Konto ist ohnehin das ideale Ziel fr einen Win-dows-Angreifer: Erstens hat er damit bei dem Erraten der Benutzerkonto-Kennwort-Kombination schon mal die halbe Miete, weil er den Namen ei-nes gltigen Benutzerkontos kennt. Und zweitens kann das Administrator-konto (zur Vermeidung einer Denial-of-Service-Attacke) nicht durch au-tomatische Kontensperrung bei zu vielen ungltigen Kennworteingaben geschtzt werden.

    Es wird daher dringend empfohlen, fr die Verwaltung einen anderen Kontonamen als die Vorbelegung zu verwenden. Im folgenden wird als Administrationskonto sw0141 verwendet. Das ist fr einen Angreifer nun wirklich schwierig zu erraten.7 6 Diese ist auch bekannt unter dem Namen User Account Control (UAC). 7 Eine ledigliche Umbenennung des Administrationskontos wre jedoch erkenn-

    bar, weil die vorgegebene SID (siehe unten) identisch bleibt.

  • 40 2. Installation

    Wer wirklich Wert auf hchste Sicherheit legt, kann zudem ein Konto namens Administrator mit einem ganz langen, zufllig ausgewhlten Kennwort einrichten, das berhaupt keine Rechte und Berechtigungen hat, nicht einmal Mitglied der Gste-Gruppe ist. Anmelde-(Hack-)versuche sind im Sicherheitsprotokoll einsehbar.

    Im nachfolgenden Bildschirm wird nach dem Computernamen gefragt und bereits ein Vorschlag gemacht (siehe Abb. 2.9). Der Vorschlag muss nicht bernommen werden, sondern es kann ein eigener Computername eingegeben werden.

    Abb. 2.9. Eingabe des Computernamens

    Der Computername darf maximal 15 Zeichen lang sein, nicht aus-

    schlielich aus Ziffern bestehen und keine Leerzeichen und Sonderzeichen wie "\ / [ ] : ; | < > " ' + = , ? *" enthalten.

    Aber sowohl der Computername als auch das Hintergrundbild knnen nachtrglich gendert werden.

    Nach Auswahl der von Ihnen gewnschten Einstellungen wird mit Wei-ter fortgesetzt.

  • 2.3 Von DVD (Boot) 41

    Danach erscheint nmlich der Bildschirm Schtzen Sie Windows auto-matisch mit den drei Auswahlpunkten Empfohlene Einstellungen verwen-den (Standardwert), Nur wichtige Updates installieren und Spter erneut nachfragen.

    Bei der ersten Option wird Vista so eingestellt, dass alle verfgbaren wichtigen und empfohlenen Aktualisierungen heruntergeladen und sofort installiert werden, optionale Updates nicht. Gertetreiber werden gleich-falls online gesucht und installiert, Windows-Defender wird als einfaches SpyNet-Mitglied konfiguriert und der Internet-Explorer-7 Phishing-Filter wird aktiviert.

    Bei der zweiten Option werden nur von Microsoft als wichtig gekenn-zeichnete Aktualisierungen heruntergeladen und installiert, keine empfoh-lene und optionale Updates. SpyNet, der Phishing-Filter und die Online-Treibersuche werden nicht aktiviert.

    Bei der dritten Option erfolgt keine Aktivierung der erwhnten vier Punkte der Windows-Sicherheit zum Installationszeitpunkt, und Sie wer-den spter noch einmal gefragt, den Grad des Schutzumfangs festzulegen.

    Die von Ihnen gewhlte Einstellung kann spter und jederzeit ber die Systemsteuerung auf Wunsch gendert werden.

    Nach Klick auf der gewnschten Auswahl erscheint das Zeit- und Da-tumseinstellungsfenster. Hier sollen die Zeitzone (abhngig von der Loka-tion), das aktuelle Datum und die aktuelle Uhrzeit eingestellt werden.

    Auerdem kann festgelegt werden, dass die Uhrzeit durch Windows au-tomatisch auf Sommer-/Normalzeit umgestellt werden soll.8 In Unterneh-mensumgebungen erhalten Arbeitsstationen die Uhrzeit normalerweise von Domnen-Controllern. Diese Einstellungen knnen bei Bedarf ggf. spter in der Systemsteuerung noch verndert werden.

    Nach einem Dankesbildschirm kann Windows Vista nun durch Klick auf den Button Starten erstmalig gestartet werden.

    Als nchstes wird die Leistung der einzelnen PC-Komponenten und des PCs insgesamt ermittelt und daraus ein Leistungsindex (siehe unten) gebil-det. Sie sollten whrenddessen keine Taste drcken und auch die Maus nicht bewegen, weil beides den Leistungsindex senken knnte.

    Und dann erscheint das erste Mal der Vista-Anmeldebildschirm, in dem zur Eingabe des Kennwortes aufgefordert wird (siehe Abb. 2.10). Das an-gezeigte Konto ist das Administrationskonto, das whrend der Installation erstellt wurde. Sind mehrere Konten verfgbar, wird zur Auswahl auf eins der angezeigten Konten geklickt.

    8 Eigentlich eine gute Idee, aber falls Sie mit mehreren parallelen Windows-

    Installationen auf Ihrem PC arbeiten sollten, wird jede die Uhrzeit verndern.

  • 42 2. Installation

    Abb. 2.10. Der Windows-Vista-Anmeldebildschirm

    Links unten finden sich Schaltflchen fr den Aufruf des Erleichterte

    Bedienungs-Fensters und der Sprachwahl. Rechts unten (in Rot) befindet sich die Schaltflche zum Herunterfahren und Neustarten des Systems.

    Nach Eingabe eines ggf. zugeordneten Kennwortes erfolgt die Anmel-dung. Dazu gehrt auch die Vorbereitung des Desktops gem der gewhl-ten Einstellungen.

    Ist das System Mitglied einer Windows-Domne, sieht der Anmelde-bildschirm etwas anders aus: In diesem Fall mssen der Anmeldename und das Kennwort eingegeben werden. Und bei Bedarf der dem Benutzerna-men vorangestellte Domnenname (in der Form Domne\Name), denn an-ders als frher lsst sich die Domne, in der das Konto erstellt wurde, nicht mehr per Drop-Down-Liste auswhlen.

    Obwohl nicht allzu sehr verbreitet9, wird seit Windows 2000 die UPN-Form (User Principal Name), bei der Anmeldenamen wie E-Mail-Adressen aussehen knnen10, bevorzugt, weil sie Administratoren bei Bedarf eine 9 Vielleicht aus Unkenntnis? 10 Ein Beispiel hierfr ist: Michaela.Zimmer@Firma.de.

  • 2.4 Upgrade (von XP und anderen Vista-Versionen) 43

    problemlose Verschiebung des Anmeldekontos in eine andere Domne ermglicht und Anwendern hilft, sich ihre Anmeldekennung zu merken.

    Mit der klassischen Form von Anmeldenamen (DOMNE\Name), die lediglich aus Grnden einer Abwrtskompatibilitt weiterhin vorhanden ist, ist Erstes bekanntlich nicht mglich.

    2.4 Upgrade (von XP und anderen Vista-Versionen)

    Eine Upgrade-Installation, bei der alle Benutzerkonten, -daten und -ein-stellungen sowie Rechte und Berechtigungen erhalten bleiben, kann nur durchgefhrt werden, wenn folgende Bedingungen allesamt erfllt sind: Windows XP Service Pack 2 (oder hher) bzw. Windows Vista ist instal-liert, der Aufruf des Vista-Setup-Programms (Setup.exe) erfolgt unter dem laufenden Betriebssystem, der abgesicherte Modus wird nicht ausgefhrt, Vista soll in derselben Sprache wie das derzeitige System installiert wer-den und das derzeitige Betriebssystem ist auf einer NTFS-Partition instal-liert. (Falls es auf einer FAT- oder FAT32-formatierten Partition installiert ist, muss diese zuvor mit dem Convert-Befehl in eine NTFS-Partition um-gewandelt werden. Dieser Vorgang ndert oder lscht dabei keine Daten.).

    Eine Windows-2000-Installation ist zwar updateberechtigt, aber nicht updatefhig! Das bedeutet, dass Sie zwar zu einem reduziertem Preis Vista erwerben knnen, es aber nicht direkt updaten knnen. Entweder Sie fh-ren eine Neuinstallation durch oder updaten zunchst auf Windows XP und in einem zweiten Schritt auf Windows Vista.

    Wenn von einer bestehenden Vista-Installation auf eine Vista-Version, die mehr Funktionalitt bietet, geupgradet werden soll, gilt, dass dabei keine Funktionalitt verloren gehen darf: Ein In-Place-Upgrade von jeder Windows Vista-Version auf Vista Ultimate geht, von Business auf Home Premium dagegen nicht, weil die Domnenbeitrittsfunktionalitt verloren ginge. Die Option der Parallelinstallation in eine eigene Partition ist davon jedoch nicht betroffen.

    Eine genaue bersicht gltiger Upgrade-Pfade zeigt Tabelle 2.1.

  • 44 2. Installation

    Tabelle 2.1. Vista-Upgradewege

    WINDOWS VISTA VERSIONEN Home Basic Home Pre-

    mium Business Ultimate

    Windows XP Professional

    X X

    Windows XP Home

    X X X X

    Windows XP Media Center

    X X

    Windows XP Tablet PC

    X X

    Windows XP Professional x64

    Erfordert eine Neuinstallation

    Windows 2000

    Erfordert eine Neuinstallation

    Sollte Sie sich fr eine Formatierung und Neuinstallation entschieden

    haben, steht immer noch die Mglichkeit mit dem Easy-Transfer-Assisten-ten (siehe unten) die Einstellungen und Daten zu bernehmen. Die An-wendungsprogramme mssen dann allerdings ebenfalls neu installiert wer-den. Und generell gilt, dass eine Datensicherung vor jeder nderung des Betriebssystems unbedingt empfohlen wird!

    Nach Aufruf des Vista-Setup-Programms ffnet sich der in Abb. 2.11 gezeigte Startbildschirm.

  • 2.4 Upgrade (von XP und anderen Vista-Versionen) 45

    Abb. 2.11. Upgrade-Installation nach Start von Setup.Exe

    Es stehen neben der Installation auerdem die Optionen, die Kompatibi-

    litt online zu prfen, EasyTransfer aufzurufen und die LiesMich-Datei anzuzeigen, zur Verfgung.

    Nach Klick auf Jetzt installieren ffnet sich der in Abb. 2.12 gezeigte, zweite Bildschirm.

  • 46 2. Installation

    Abb. 2.12. Fakultativer Updateladebildschirm

    Die Windows Vista Installationsroutine schlgt nun vor, in Windows

    Update zu prfen, ob es neuere als auf dem Installationsmedium vorhan-dene Dateien gibt. Auerdem kann ausgewhlt werden, ob Upgradeergeb-nisse an Microsoft gesendet werden sollen oder nicht. Diese Installations-ergebnisse knnen dazu dienen, die Programme zu verbessern, falls es dabei Probleme geben sollte. Eine Verknpfung zu einer Hilfe-Seite erlu-tert, welche Informationen genau dafr an Microsoft gesendet werden.

    Danach (siehe Abb. 2.13) wird mit der Eingabe des Produktschlssels wie bei der oben beschriebenen Neuinstallation fortgefahren.

  • 2.5 EasyTransfer, USMT 47

    Abb. 2.13. Abfrage des Produktschlssels

    2.5 EasyTransfer, USMT

    Anstatt smtliche alten Systemeinstellungen beizubehalten, bietet sich die Option einer frischen, Vista-Neuinstallation an. Sie ist ohnehin erforder-lich, wenn die Startpartition kleiner als 16 GB ist.

    Aber natrlich mchte niemand seine Daten verlieren. Mit dem Tool EasyTransfer wird eine Kopie der aktuellen Profile aller

    Benutzer vorgenommen, gespeichert und nach erfolgreicher Vista-Installa-tion bernommen. Falls der Transfer online erfolgen soll, mssen dazu der Quell- und Zielcomputer aktiv und miteinander verbunden sein.

    EasyTransfer greift dazu auf das Werkzeug USMT (User State Migrati-on Tool) zurck.

    EasyTransfer ist geeignet, wenn wenige Benutzer migriert werden sol-len, USMT, wenn viele Benutzer migriert werden sollen. Aber beide trans-ferieren nur Daten und Einstellungen, nicht aber die Programmdateien

  • 48 2. Installation

    selbst! Fr die (Vor)installation der Anwendungen auf den Vista-Rechnern muss noch eine ergnzende Lsung ausgewhlt werden.

    Das USMT, das mittlerweile in der Version 3.0 verfgbar ist, besteht aus drei Hauptkomponenten: ScanState, LoadState und den Komponenten-dateien. ScanState sammelt die Benutzereinstellungen und -dateien vom Quellcomputer. LoadState stellt diese Einstellungen und Dateien auf dem Zielcomputer wieder her. Die Komponentendateien (migsys.xml, mi-gapp.xml, miguser.xml und config.xml) sind Konfigurationsdateien, mit denen festgelegt werden kann, welche Einstellungen, Verzeichnisse und Dateien bertragen werden sollen. Wie die Dateinamenserweiterung schon andeutet, sind sie XML-basiert.

    Zusammenfassend gesagt, erstellt und speichert ScanState alle Benut-zerdaten und -einstellungen in einer Datei namens USMT3.MIG, die dann mit LoadState wiederhergestellt werden kann. Diese Zwischendatei kann auf Wunsch auch verschlsselt werden.

    Abb. 2.14. Der Startbildschirm von EasyTransfer

    Nach Aufruf von Windows-EasyTransfer erscheint das in Abb. 2.14 ge-

    zeigte Fenster. Gegebenenfalls mchten Sie sich die blau gekennzeichne-

  • 2.5 EasyTransfer, USMT 49

    ten Hilfetexte ansehen. Nach Klick auf Weiter erscheint das zweite, in Abb. 2.15 gezeigte Fenster, in dem die bertragungsart ausgewhlt wird.

    Abb. 2.15. Auswahl der bertragungsart

    Hier stehen die Optionen EasyTransfer-Kabel verwenden (diese wird

    zwar empfohlen, bentigt aber ein spezielles Kabel, dass Sie fr diesen Zweck extra kaufen mssen), Direkt ber ein Netzwerk bertragen (nur verwendbar, wenn Quell- und Zielcomputer gleichzeitig an einem LAN angeschlossen sind) und CD, DVD oder ein andere Wechselmedium ver-wenden11, bei der die Daten zwischengespeichert und in einem zweiten Schritt bertragen werden.

    Falls Sie sich unsicher sind, steht unten im Fenster eine Entscheidungs-hilfe zur Verfgung, die Ihnen bei der Auswahl der bestgeeignetsten Me-thode behilflich sein kann.

    Nach der entsprechenden Auswahl ffnet sich das nchste, in Abb. 2.16 gezeigte Fenster. Hier mssen Sie auswhlen, welche Objekte bertragen werden sollen.

    11 Nein, kein Tippfehler des Autors, sondern ein Zitat!

  • 50 2. Installation

    Abb. 2.16. Auswahl der zu bertragenen Objekte

    Neben allen Konten und nur dem eigenen gibt es auch noch Erweiterte

    Optionen und ebenfalls eine Entscheidungshilfe. Nachdem Sie sich fr die Wahl der Qual entschieden haben, knnen

    Sie in dem nchsten Fenster (siehe Abb. 2.17) detaillierter auswhlen, was genau bertragen werden soll und was nicht.

  • 2.5 EasyTransfer, USMT 51

    Abb. 2.17. Detaillierte Ansicht der zu bertragenen Elemente

    Nach der entsprechenden Auswahl und Klick auf Weiter erscheint ein

    weiteres bertragungs-Fenster (siehe Abb. 2.18). Folgen Sie einfach den dort angegebenen Anweisungen und nach kurzer

    Zeit sind, wie gewnscht, die Dateien und Einstellungen bertragen!

  • 52 2. Installation

    Abb. 2.18. Abschlussbildschirm von Windows-EasyTransfer

    2.6 Installationsoptionen fr Administratoren

    Fr die Installation von Windows Vista in Unternehmen, bei denen bli-cherweise viele Dutzend, hundert oder sogar tausend Computer betroffen sind, gibt es andere und im Vergleich zu den Vorgngerversionen neue Installationsoptionen.

    2.6.1 Images/Festplattenduplikation

    Viele mittelgroe und groe Unternehmungen installieren Arbeitsstationen per Images (Abbilder). blicherweise wird dazu zuerst ein Referenzcom-puter so installiert, wie man ihn spter auf den anderen Computern haben mchte und dann davon ein 1:1, sektorbasierendes Abbild erstellt.

  • 2.6 Installationsoptionen fr Administratoren 53

    In vielen Fllen funktioniert diese Methode in der Praxis sehr gut und oftmals werden Rechner einfach komplett neu installiert, da dies vielfach effizienter ist, als eine zeitaufwendige Fehlersuche durchzufhren.

    Sektorbasierte Festplattenabbilder bringen jedoch auch einige Nachteile mit sich: So mssen separate Abbilder fr unterschiedliche PCs und Notebooks

    erstellt werden Separate Abbilder mssen fr PCs, die verschiedene HALs verwenden,

    erstellt werden Nach dem Erscheinen von aktualisierten Gertetreibern mssen alle

    betreffenden Abbilder neu erstellt werden oder man verzichtet auf-grund des hohen Aufwands auf die Gertetreiberaktualisierungen

    Die Gren der Abbilder und der Zielinstallationspartitionen mssen bereinstimmen

    Sektorbasierte Abbilder knnen nur vollstndig angewendet werden und berschreiben dabei den Inhalt der Zielpartition.

    Zur Beseitigung dieser Nachteile hat Microsoft mit Windows Vista ein

    neues (Vor)installationsformat namens WIM (Windows IMage Format). WIM ist ein dateibasiertes Abbildformat, Abbilder knnen mit dem im Bu-siness Desktop Deployment (BDD) 2007 enthaltenen ImageX-Programm erstellt und verwaltet werden. Eine neu eingefhrte Programmierschnitt-stelle (Application Program Interface, API), die WIMGAPI (Windows I-maging API) heit, untersttzt das Hinzufgen, Extrahieren, ndern und Entfernen von Dateien aus einem WIM-Abbild.

    Zudem knnen WIM-Abbilder mit dem WIMFS-Treiber gemountet und auf sie dann wie auf eine regulre Partition zugegriffen werden. Treiberak-tualisierungen und Service-Pack-Installationen (Slipstreaming) sind somit ganz einfach durchfhrbar.

    Zusammenfassend noch einmal die Eigenschaften von WIM:

    Dateibasiertes Abbildformat WIM-Abbilder knnen auf Zielpartitionen beliebiger Gre installiert

    werden Das Aufspielen des Abbilds kann zustzlich zu bestehenden Daten des

    Zielsystems erfolgen Ein WIM-Abbild kann fr unterschiedliche Zielhardware verwendet

    werden Eine WIM-Datei kann mehrere Abbilder enthalten (z. B. verschiedene

    Sprachen bzw. mit Anwendungsprogrammen oder ohne)

  • 54 2. Installation

    Dabei werden in den einzelnen Abbildern gemeinsam genutzte Dateien nur ein Mal gespeichert

    Untersttzung von Dateikomprimierung Patches, Updates und Service Packs knnen selektiv in das Abbild an-

    gewendet werden, ohne dass dieses neu erstellt werden msste. Dabei kann das Abbild (hnlich einer .ISO-Datei)12 wie ein Laufwerk

    angesprochen werden.

    Es steht auch ein Kommandozeilendienstprogramm zur Vernderung der WIM-Pakete zur Verfgung: PKGMGR.Exe aus dem schon erwhnten BDD.

    Ein weiteres, ebenfalls kommandozeilenbasierte (und damit skriptfhi-ge) ImageX-Programm erlaubt: Abbilder von PCs zu erstellen Mehrere Abbilder in einer WIM-Datei unter zu bringen Abbilder zu komprimieren Abbilder wie ein Dateisystem zur Verfgung zu stellen

    2.6.2 WDS

    Die Windows Deployment Services (WDS), die Microsoft eigentlich erst mit dem Windows Server 2008 einfhren wollte, gibt es als herunterladba-re Datei nun auch fr den Windows Server 2003.

    Als Nachfolger des RIS (Remote Installation Services) erlaubt WDS die Vorinstallation von Windows-Vista-Abbildern. Der PC braucht hierbei nicht bereits mit einem Betriebssystem versehen sein, und auch keine Startdiskette wird bentigt, wenn er eine PXE- (Pre-eXecution Environ-ment)-fhige Netzwerkschnittstelle hat. Der Rechner wird in dem Fall ein-fach gestartet, erhlt ber PXE und DHCP die Adressen von DNS-, Acti-ve-Directory- sowie WDS-Servern. Nach Auswahl eines zu installierenden Abbilds wird es nachfolgend automatisiert auf die Festplatte des zu instal-lierenden Rechners gebracht.

    12 Die ist im Unterschied zu WIM jedoch sektorbasiert!

  • 2.6 Installationsoptionen fr Administratoren 55

    2.6.3 Netzwerk

    Per Start von einer Boot-Diskette, die sich mit einer Installationsfreigabe auf einem Dateiserver verbindet, kann Vista von dort mittels Ausfhren von Setup.exe installiert werden

    Ein Installationsmedium (wie DVD oder CD) wird bei diesem Verfah-ren nicht bentigt, weil deren Inhalt sich in dem freigegeben Verzeichnis befindet.

    2.6.4 Sysprep

    Sysprep ist ein Programm, das die Erstellung von Installationsabbildern vereinfacht. Es erlaubt vor der Erstellung eines Abbilds die Entfernung der Installations-ID, der Benutzerkonten, der SID und von systemspezifischen Informationen des Computers.

    Die wichtigsten Schalter von Sysprep sind: /Generalize lscht die SID und Ereignisprotokolleintrge sowie setzt es den Aktivierungszhler zu-rck, damit Vista nicht schon nach 30 Tagen aktiviert werden muss. Diese Aktion kann je Installation aber nur maximal drei Mal vorgenommen wer-den.

    /Oobe bereitet Abbilder fr vorinstallierte Computer fr die Eingabe des Aktivierungscodes vor.

    /Audit startet Vista im Audit-Modus, bei dem zustzliche Treiberdateien auf die Festplatte kopiert werden knnen.

    /Reboot und /Shutdown starten ein System neu bzw. fahren es herunter.

    2.6.5 WinPE

    Das Windows Pre-Installation Environment (WinPE) in der Version 2.0 ist eine stark verschlankte Vista-Version (ohne GUI und ohne die meisten Dienste). Es erlaubt den Start eines Systems und zeigt eine Eingabeauffor-derung an. In dieser, im geschtzten Modus (Protected Mode) der CPU ausgefhrten System lassen sich Vista-Installationen mit Programmen wie diskpart, format etc. vorbereiten und nachfolgend durchfhren.

    Microsoft liefert es eigentlich nur an Unternehmenskunden aus, aber im schon erwhnten BDD ist es auch enthalten.

    Tabelle 2.2 zeigt eine Auswahl von WinPE-Kommandozeilenpro-grammen:

  • 56 2. Installation

    Tabelle 2.2. WinPE-Kommandozeilenprogramme

    Name Funktion Oscdimg.exe Erstellt ein .ISO-Abbild von WinPE 2.0, das gebrannt und spter

    gestartet werden kann. Peimg.exe Programm zum Anzeigen und ndern eine WinPE-Abbilds Diskpart Partitionierung der Festplatte(n) Drvload Gertetreiber laden auch nach dem Start von WinPE

    Zusammenfassend ist die Reihenfolge der Vorbereitung einer individu-

    ellen Vista-Vorinstallation wie folgt:

    1. Installation des Systems (mit oder ohne SIM) 2. Installation der Anwendungssoftware und Konfiguration der System-

    einstellungen 3. Aufruf von Sysprep 4. Erstellung des Abbilds mit WinPE und ImageX

    2.6.6 Start von einem Installationsmedium

    Last not least und der Vollstndigkeit halber sei erwhnt, dass natrlich auch Unternehmensadministratoren Vista durch Systemstart von einer DVD oder den CDs interaktiv installieren knnen.

    Diese Methode drfte sich aber wohl nur anbieten, wenn relativ wenige Systeme zu installieren sind.

    Sollte eine unbeaufsichtigte Installation gewnscht sein, gibt es im Ver-gleich zu Vorgngerversionen eine Besonderheit: Die Antwortdatei, in der smtliche Installationsanweisungen aufgefhrt sind, heit nun autounat-tend.xml und ist, wie die Dateinamenserweiterung schon andeutet, XML-formatiert. Sie kann mit beliebigen Editoren erstellt und gendert werden und kann nicht nur im Stammverzeichnis einer Diskette, sondern auch auf USB-Speichern angelegt werden. Beim Start des Computers sucht Vista nach dieser Datei und installiert sich entsprechend der dort gemachten An-gaben.13

    Wer die dafr verwendete XML-Sprache nicht in- und auswendig be-herrscht, kann die Datei auch ganz komfortabel mit dem Windows System Image Manager (SIM) erstellen. Der SIM ist Teil des Windows Automated 13 Der Name der Vorinstallationsdatei ist je nach Installationsart unterschied-

    lich: Fr Starts von Boot-DVDs ist er autounattend.xml, fr Installationen ber Netzwerkfreigaben unattend.xml und fr abbildbasierte, Windows-Deployment-Service-Installationen imageunattend.xml.

  • 2.7 Der Programmkompatibilitts-Assistent 57

    Installation Kit (WAIK), das wiederum im oben erwhnten BDD enthalten ist.

    Nicht unerwhnt bleiben soll ein Gratisprogramm (Freeware) namens vLite14. Mit vLite knnen sich Besitzer von Windows Vista eine individu-elle Installations-DVD erstellen, mit der nicht gewnschte Vista-Funktio-nen erst gar nicht installiert werden. Das spart Zeit bei der Installation und verringert auch die Gre des Installationsmediums.

    2.7 Der Programmkompatibilitts-Assistent

    Die meisten Programme, die fr Windows XP geschrieben sind, sollten auch unter Windows Vista funktionieren. Wenn im Einzelfall das einmal nicht klappen sollte, ffnet sich der Programmkompatibilitts-Assistent au-tomatisch und bietet in Abhngigkeit von der Schwere des Kompatibili-ttsproblems diverse Optionen zur Behebung (siehe unten) an. Dieses vor-eingestellte Verhalten kann bei Bedarf per Active-Directory-Gruppenricht-linie gesteuert werden.

    Danach wird das Programm mit den ausgewhlten Optionen gestartet und Vista fragt, ob das geklappt hat. Wenn ja, ist alles gut, wenn nicht, wird angeboten, Informationen ber das Programm an Microsoft zur wei-teren Auswertung zu senden, falls eine Internetverbindung besteht.

    Der Programmkompatibilitts-Assistent kann aber auch im manuellen Modus gestartet werden, um eine bestimmte Applikation mit Kompatibili-ttsoptionen zu versehen. Die Befehlszeile dafr lautet mshta.exe res://acprgwiz.dll/compatmode.hta), Die Applikation muss dann aus einer Liste oder einem Pfad ausgewhlt werden und kann eine .Com-, .Exe-, .Bat-, .Cmd- oder .Pif-Datei sein. Windows-eigene Programme knnen je-doch nicht ausgewhlt werden.

    14 Die URL der Website ist http://www.vlite.net/. Dieses Programm ist nur bei-

    spielhaft aufgefhrt und stellt keine Empfehlung des Autors oder Verlags dar. Es gibt weitere Programme, die hnliches oder gleiches bewerkstelligen.

  • 58 2. Installation

    Abb. 2.19. Startbildschirm des Programmkompatibilitts-Assistenten

    Der Startbildschirm begrt Sie und gibt eine knappe Vorstellung des

    Zwecks des Programmkompatibilitts-Assistenten und warnt vor dem Ein-satz bei veralteten Programmen, die z. B. nur 8+3-Dateinamen kennen o-der auf die Hardware direkt zugreifen wollen.

    Sie knnen ihn durch Klick auf Abbrechen oder auf die Schaltflche mit dem weiem X auf rotem Hintergrund jederzeit abbrechen.

    Um fortzufahren, klicken Sie bitte auf Weiter. Nun werden Sie nach dem Speicherort des Programms, fr das Sie

    Kompatibilittsoptionen setzen mchten, gefragt. Es kann ein bekanntes Programm sein, das dann in einer Liste gezeigt wird, ein Programm im CD-/DVD-Laufwerk sein oder ein anderes, dessen Pfad dann ausgewhlt werden muss (siehe Abb. 2.20).

  • 2.7 Der Programmkompatibilitts-Assistent 59

    Abb. 2.20. Programmauswahl

    Nach der Auswahl des Speicherorts und des Programmnamens und

    Klick auf Weiter ffnet sich das nchste, in Abb. 2.21 gezeigte Fenster. In ihm knnen vordefinierte Kompatibilittseinstellungen fr die Be-

    triebssysteme Windows 95, Windows 98/ME, Windows NT 4 mit Service Pack 5, Windows 2000 oder Windows XP mit Service Pack 2 ausgewhlt werden.

    Sie sollten sich fr die Windows-Version entscheiden, unter der das Programm lief.

    Sollten keine Kompatibilittseinstellungen gewnscht sein, sondern nur Darstellungsfestlegungen, kann auch Kompatibilittsmodus nicht anwen-den ausgewhlt werden. Dies gilt auch, wenn eine vorher gewhlte Einstel-lung nicht wie gewnscht funktioniert und nun rckgngig gemacht wer-den soll.

  • 60 2. Installation

    Abb. 2.21. Auswahl des gewnschten Kompatibilittsmoduses

    Nach der von Ihnen gewnschten Option klicken Sie bitte auf Weiter.

    Dann ffnet sich das Anzeigeeinstellungsfenster des Programmkompatibi-litts-Assistenten.

    Hier gibt es Festlegungen hinsichtlich der Darstellung, die einzeln oder in Kombination ausgewhlt werden knnen.

    Zur Verfgung stehen eine Beschrnkung auf 256 Farben, 640 x 480 Punkte Bildschirmauflsung, Deaktivierung visueller Designs, Deaktivie-rung der Desktopzusammenstellung und die Deaktivierung der Skalierung, wenn ein hoher DPI- (Dots per Inch)-Wert des Anzeigemediums einge-stellt ist.

    Einige Programme bringen Fehlermeldungen, warum sie sich nicht aus-fhren lassen. Diese knnen als Grundlage fr die Entscheidung der aus-zuwhlenden Kompatibilittsoptionen verwendet werden.

  • 2.7 Der Programmkompatibilitts-Assistent 61

    Abb. 2.22. Auswahl der Anzeigeeinstellungen

    Nach der gewnschten Auswahl und Klick auf Weiter erscheint das vor-

    letzte Fenster (siehe Abb. 2.23), in dem festgelegt wird, ob das Programm im Benutzer- oder Administrationsmodus arbeiten soll.

    Insbesondere fr Programme, die im Windows 95 oder 98-Kompatibili-ttsmodus ausgefhrt werden sollen, kann diese Einstellung wichtig sein, weil diese frher in aller Regel vollstndigen Zugriff auf ein System hat-ten. Bei den Mitgliedern der Windows-NT-Familie war und ist das nicht der Fall.

  • 62 2. Installation

    Zum berprfen, ob Applikationen von administrativen Rechten oder Berechtigungen abhngig sind um sie installieren zu knnen, kann das Pro-gramm Microsoft Standard User Analyzer15 benutzt werden.

    Abb. 2.23. Festlegung Benutzer- oder Administratormodus

    Nach Wahl des Kstchens (ggf.) und Klick auf Weiter erscheint das

    letzte Fenster des Programmkompatibilitts-Assistenten. In ihm werden zusammenfassend die von Ihnen vorgenommenen Einstellungen aufgelis-tet (siehe Abb. 2.24). 15 Die URL ist

    http://www.microsoft.com/downloads/details.aspx?FamilyID=df59b474-c0b7-4422-8c70-b0d9d3d2f575&DisplayLang=en.

  • 2.7 Der Programmkompatibilitts-Assistent 63

    Nun haben Sie noch ein Mal die Mglichkeit, die Einstellungen zu ber-prfen, sie mit Zurck zu ndern, mit Weiter sie zu bernehmen oder mit Abbrechen den Vorgang ohne nderungen zu beenden.

    Abb. 2.24. Zusammenfassungsfenster des Programmkompatibilitts-Assistenten

    Sollten Programme auch hiermit nicht zum Laufen bewegbar sein,

    knnte (sofern verfgbar) ein Update der nicht funktionierenden Anwen-dung(en) erworben werden, oder Virtualisierungstechniken wie Microsoft Virtual PC, Virtual Server oder VMware, die eine virtuelle Maschine mit dem lteren OS und der/den Applikationen ausfhren oder physische Ma-schinen, auf die von den Anwendern mit Terminal Services oder Citrix zu-gegriffen wird.

  • 3. Die Arbeitsoberflche

    Die Arbeitsoberflche von Windows Vista hat sich im Vergleich zu den Vorgngerversionen deutlich gendert (siehe Abb. 3.1). Auffllig sind neue Symbole und das nordlichtartige Design vieler Elemente. Zudem gibt es neue Systemzeichenstze.

    Die Menzeile der Fenster ist nun standardmig ausgeblendet, und lsst sich ber die Alt-Taste ein- und ausblenden.

    Abb. 3.1. Die Vista-Arbeitsoberflche

    Die Gre der Arbeitsoberflchensymbole kann durch Drcken der

    Steuerungstaste (Strg) und gleichzeitigem Bewegens des Mausrads vern-dert werden.

    Und obwohl nicht mehr angezeigt, gibt es in oberen linken Ecke von Fenstern immer noch die Mglichkeit, sie per Doppelklick zu schlieen bzw. per einfachem Klick das Fenster-Men aufzurufen.

  • 66 3. Die Arbeitsoberflche

    Nach dem Start von Vista ffnet sich zuerst das Begrungscenter (siehe die Abbildungen 3.2 und 3.3), in dem wichtige Programme aus der Sys-temsteuerung und weitere Optionen aufgefhrt sind.

    Abb. 3.2. Begrungscenter (1)

    Das Begrungscenter enthlt eine Zusammenstellung von Programmen

    aus der Systemsteuerung, des Startmens und der Windows-Hilfe. In der zweiten Sektion sind Internetverknpfungen von Online-Angebo-

    ten von Microsoft aufgefhrt. Ein Klick auf Weitere Details anzeigen oben rechts im Fenster ruft das

    Programm System aus der Systemsteuerung auf. Natrlich kann der Aufruf des Begrungscenters nach jeder Anmel-

    dung auch unterbunden werden. Dazu wird einfach der Haken aus dem Kstchen Begrungscenter beim Start ausfhren entfernt.

    Wenn das Begrungscenter spter erneut aufgerufen werden soll: Es befindet sich in der Systemsteuerung und kann von dort gestartet sowie konfiguriert werden, dass es auf Wunsch nach jedem Systemstart erneut ausgefhrt wird.

  • 3.1 Das Startmen 67

    Abb. 3.3. Begrungscenter (2)

    In Vorinstallationsszenarien (OEM- oder Unternehmensinstallationen)

    knnen das Aussehen und der Inhalt des Begrungscenters bei Bedarf durch ndern der Datei Oobe.xml modifiziert werden.

    3.1 Das Startmen

    Auch beim Startmen hat sich im Vergleich zur Vorgngerversion einiges getan: Durch Klick auf den Startmen-Button in Form eines runden Win-dows-Logos unten links auf der Arbeitsoberflche (oder durch Drcken der Windows-Taste1 oder von Strg+Esc) ffnet sich das Vista-Startmen (siehe Abb. 3.4). Die markantesten Unterschiede zu lteren Windows-Versionen sind die integrierte Suchfunktion (unten links), ein jeweils kontextbezoge-nes Symbol, das oben rechts im Startmen beim berrollen der rechten Menpunkte mit der Maus, Cursortasten oder Stiftes (bei Tablet-PCs) an-gezeigt wird und die Herunterfahren-Optionen unten rechts im Startmen:

    1 Diese wird gelegentlich auch als Windows-Logo-Taste bezeichnet.

  • 68 3. Die Arbeitsoberflche

    Ein einfacher Mausklick auf die linke, rote Schaltflche fhrt den PC so-fort herunter, ein Klick auf das Schlosssymbol sperrt den Computer. Zur Reaktivierung muss die Anwenderin oder der Anwender sich neu anmel-den. Durch Auswahl auf das Pfeilsymbol rechts ffnet sich ein Men, in dem alle verfgbaren Optionen angezeigt werden. Diese drften der Be-zeichnung nach intuitiv verstndlich sein.

    Die aus den Vorgngerversionen bekannten Optionen Ruhezustand (Hi-bernate) und Standby stehen nicht mehr zur Verfgung und wurden durch einen kombinierten Modus namens Energie sparen ersetzt. Sollte der Gra-fikkartentreiber diese Funktion nicht untersttzen oder der Netzwerkadmi-nistrator diese Funktion abgeschaltet haben (z. B. per Active Directory Gruppenrichtlinie), steht sie im Men nicht zur Verfgung.

    Mehr zu diesem Themengebiet finden Sie im Kapitel 12.

    Abb. 3.4. Das Vista-Startmen

    Wann immer ein Programm gestartet werden soll, das administrative

    Rechte oder Berechtigungen bentigt, ffnet sich ein Zustimmungserfor-dernisfenster. Whrenddessen wird der Bildschirmhintergrund abgedunkelt

  • 3.1 Das Startmen 69

    und alle Programme, die im Benutzermodus arbeiten, angehalten, bis eine Auswahl durchgefhrt wurde.

    Abb. 3.5. Zustimmungserfordernisfenster fr administrative Vorgnge

    Besonders wichtig ist in diesem Zusammenhang die neue Option Als

    Administrator ausfhren im Kontextmen eines jeden hier aufgefhrten Programms. So lsst sich beispielsweise die Eingabeaufforderung sowohl in der mittleren Schutzebene als auch in der hohen Schutzebene2 ausfhren. Eine Kommandozeile, die mit administrativen Rechten und Berechtigun-gen ausgefhrt wird, ist als solche gekennzeichnet und ermglicht die Aus-fhrung von allen Programmen, die eine Ausfhrung im Sicherheitskontext eines Administrator-Kontos erfordern.

    Ein Aufruf einer Administrator-Eingabeaufforderung erfolgt gleichfalls ber das Kontext-Men (oder Alt+Klick) des Cmd-Befehls bzw. dem Start-menpunkt Eingabeaufforderung. Ein Aufruf eines privilegierten Befehls oder Programms in einer normalen Eingabeaufforderung schlgt hingegen unter Ausgabe einer Fehlermeldung fehl.

    Wenn Sie hufiger Eingabeaufforderungsfenster fr privilegierte Befeh-le bentigen, knnen Sie sich bsp. eine Kopie des Cmd.exe-Programms er-stellen, diese z. B. ACmd.exe nennen und in den Eigenschaften die Option Als Administrator ausfhren setzen. Das Symbol ndert sich dann auch in eines mit dem Schildsymbol. Alternativ knnen Sie diese Option bei einer Verknpfung auf Cmd.exe aktivieren.

    2 Mehr zu den verschiedenen Schutzebenen im Kapitel 7.

  • 70 3. Die Arbeitsoberflche

    Abb. 3.6. Eine Administrator-Eingabeaufforderung

    3.2 Das Hilfe- und Supportcenter

    Bei Fragen zum Betriebssystem bietet sich das Hilfe- und Supportcenter an (siehe Abb. 3.7). Dieses kann ber die F1-Taste oder aus dem Startmen aufgerufen werden.

    Die Hilfe zeigt viele Informationen, auch fr Computereinsteiger, ber Vista an. An vielen Stellen wird zudem fr weitergehende Informationen auf Seiten im Internet verwiesen.

    Mit dem Menpunkt Optionen oben rechts im Fenster lsst sich unter anderem die Textgre ndern, sowie die Hilfe durchsuchen und ausdru-cken.

  • 3.2 Das Hilfe- und Supportcenter 71

    Abb. 3.7. Windows-Hilfe und Support

    In der Voreinstellung werden nur Hilfe-Informationen angezeigt, die bei

    der Vista-Installation auf die Festplatte kopiert wurden. Aber es kann auch eingestellt werden, dass aktuelle Informationen aus dem Internet abgerufen werden, wenn eine Internetverbindung besteht. Dazu whlt man in den Op-tionen oben rechts im Fenster den Punkt Einstellungen... aus, woraufhin sich das in Abb. 3.8 dargestellte Fenster ffnet.

    Alternativ kann auch in dem Fenster unten rechts der Punkt Offlinehilfe per Mausklick in Onlinehilfe gendert werden und auch dort gibt es den

  • 72 3. Die Arbeitsoberflche

    Punkt Einstellungen, der ebenfalls das Einstellungs-Fenster (siehe Abb. 3.8) ffnet.

    Abb. 3.8. Hilfeeinstellungen

    Wenn die Onlinehilfe ausgewhlt wurde, dann kann zustzlich auch die

    Option Dem Programm zur Verbesserung der Hilfebenutzerfreundlichkeit beitreten ausgewhlt werden. Diese bewirkt durch Zhlung der Seitenauf-rufe und Nachverfolgung der Reihenfolge der aufgerufenen Seiten, dass Microsoft die Hilfefunktion im Laufe der Zeit immer besser an die Be-drfnisse der Benutzer anpassen kann. Microsoft verspricht dabei, dass dieses anonym erfolgt.

    Aus dem Hilfe- und Support-Programm kann brigens auch (im Ab-schnitt Jemanden fragen) die Windows-Remoteuntersttzung aufgerufen

  • 3.4 Windows Explorer 73

    werden, mit der ein Freund/Bekannter eingeladen werden kann, ber ein Netzwerk den eigenen Computer zu warten. Die Windows-Remoteunter-sttzung findet sich auch im Startmen unter Alle Programme - Wartung. Zur Nutzung muss auerdem in den Remoteeinstellungen des Systempro-gramms, welches bsp. in der Systemsteuerung aufgerufen werden kann, aktiviert worden sein, dass sich jemand von auen mit dem Vista-Rechner verbinden darf. Eine erteilte Einladung ist in der Voreinstellung nur fr ei-nen Zeitraum von sechs Stunden gltig, kann aber fr beliebige Zeitrume zwischen 1 Minute und 99 Tagen konfiguriert werden.

    3.3 Die Seitenleiste

    Am Bildschirmrand der Arbeitsoberflche (siehe Abb. 3.1) befindet sich die neue Seitenleiste (engl.: Sidebar), in der sich so genannte Miniapplika-tionen (engl.: Gadgets) ausfhren lassen knnen. In der Abbildung sind drei davon exemplarisch dargestellt. Diese Miniapplikationen knnen zum einen aus dem Internet kostenlos oder gegen Gebhr heruntergeladen wer-den oder (mit Programmierkenntnissen) auch selbst erstellt werden. Smt-liche bentigten Bestandteile eine Miniapplikation sind in einer Datei, welche die Dateiendung .gadget hat, gespeichert.

    Mehrere Instanzen von Miniapplikationen sind zulssig (z. B. wenn die Uhr fr verschiede Zeitzonen mehrfach bentigt wird) und sie knnen auch von der Seitenleiste entkoppelt und auf die Arbeitsoberflche gezo-gen werden.

    In der Voreinstellung erscheint die Seitenleiste am rechten Bildschirm-rand, sie ist aber auch fr den linken Bildschirmrand konfigurierbar. Eben-so, ob sie beim Vista-Start automatisch aufgerufen werden soll oder manu-ell.

    Miniapplikationen lassen sich brigens nicht einfach von PC zu PC transferieren, sondern die bereits erwhnte .gadget-Datei muss auf dem Zielrechner installiert werden.

    3.4 Windows Explorer

    Viele Dinge haben sich auch im Windows Explorer gendert. Es wrde den Rahmen und die Intention dieses Buches sprengen, jede Einzelheit aufzu-fhren, deswegen seien nur zwei ntzliche (aber verborgene) Tricks ge-nannt:

  • 74 3. Die Arbeitsoberflche

    Es ist nun mglich im Kontextmen (bei gedrckter Umschalttaste) je-des Ordners die Option Eingabeaufforderung hier ffnen zu whlen, die ein Eingabeaufforderungsfenster mit dem gewhlten Pfad ffnet, auszu-whlen. Dieses hat jedoch nur mit normale Rechten und ist keine Admi-nistrator-Eingabeaufforderung!

    Praktisch ist auch die Option Als Pfad kopieren aus den jeweiligen Kon-textmens, die den gesamten Dateipfad in die Zwischenablage kopiert.

    3.5 Anpassen der Anzeigeeinstellungen

    Ein Klick mit der rechten Maustaste auf die Arbeitsoberflche und nach-folgender Auswahl von Einstellungen ffnet sich ein Fenster, in dem die Anzeigeeinstellungen angepasst werden knnen (siehe Abb. 3.9). Dieses befindet sich auerdem auch in der Systemsteuerung.

    Abb. 3.9. Darstellungsanpassung

    Angepasst werden knnen von Benutzern:

  • 3.5 Anpassen der Anzeigeeinstellungen 75

    Die einzelnen Fensterfarben, die Darstellung und Effekte wie die Kan-tenglttung ClearType oder Standard, Menschatten und Fensterinhalt beim Verschieben anzeigen. Auch die Schemas der Vorgngerversionen sind verfgbar.

    Das Arbeitsoberflchenhintergrundbild Bildschirmschoner Sounds (Systemklnge): Auswahl aus mehreren Schemas oder Aus-

    wahl individueller Klnge fr Systemereignisse wie Fenster ffnen und schlieen etc. Hier kann auch festgelegt werden, ob berhaupt ein Start-sound beim Booten wiedergegeben werden soll

    Mauszeiger (= Teil des Systemsteuerungsprogramms "Maus") Design (Komplette Gruppen von Fensterfarben und -darstellungen sind

    als Designs (engl. Themes) zusammengefasst. Wer Aero nicht nutzen kann oder mchte, fr den steht Windows - klassisch zur Verfgung.

    Anzeige Fr einige Optionen sind jedoch Administratorrechte erforderlich, was

    an dem Schild-Symbol vorab erkennbar ist. In Unternehmensnetzwerken knnen die Einstellungen ber Gruppenrichtlinien festgelegt werden.

    Exemplarisch werden im folgenden die Fenster der Anzeigeeinstellun-gen erlutert:

    In dem Fenster Anzeigeeinstellungen (siehe Abb. 3.10) in der (einzigen) Registerkarte knnen die Eigenschaften eines oder mehrerer Monitore festgelegt werden. Die beiden Bildschirmsymbole knnen verschoben (Bildschirm 2 auch nach links) und in ihrer relativen Position verndert werden. Ihre Gre entspricht der eingestellten Auflsung. Ist der zweite Monitor aktiviert, erstreckt sich der Arbeitsoberflchenbereich auch auf ihn. Diese Funktion wird durch die Schaltflche Desktop auf diesen Moni-tor erweitern gesteuert. Mit der Schaltflche Identifizieren wird auf dem ausgewhlten Monitor gro seine Nummer eingeblendet.

    Mit dem Schieberegler wird die jeweilige Bildschirmauflsung festge-legt. Wenn ein Computer nicht zwei unabhngige Videocontroller (Dual Head) hat, sondern am VGA-Anschluss das Bildsignal nur durchschleift, muss bei Anschluss externer Gerte (z. B. Beamer) darauf geachtet wer-den, dass eine Auflsung und Bildwiederholrate ausgewhlt wird, die das angeschlossene Gert nicht berfordert.

    Mit Farbtiefe wird festgelegt, wie viel Bit des Videospeichers pro Pixel verwendet werden soll. 32 Bit je Pixel knnen rd. 4 Milliarden verschiede-ne Farben dargestellt werden (weit mehr als unsere Augen unterscheiden knnen); die maximale Auflsung und Arbeitsgeschwindigkeit sinken auf-grund des hheren Aufwands. Werden 16 Bit je Pixel ausgewhlt, wird

  • 76 3. Die Arbeitsoberflche

    zwar beides vorgenannte erhht, aber es stehen nur 65.536 Farben zur Ver-fgung.

    Abb. 3.10. Anzeigeeinstellungen

    Durch Auswahl der erweiterten Einstellungen knnen die Grafikkarte(n)

    und Monitor(e) noch detaillierter verndert werden. Es erscheinen die in den Abbildungen 3.11 ff. gezeigten Fenster.

    In der Registerkarte Grafikkarte (siehe Abb. 3.11) werden genaue Para-meter der Grafikkarte aufgefhrt. Insbesondere die Informationen, welche Karte installiert ist, ob der Treiber das fr Aero und DirectX 10 erforderli-che WDDM untersttzt und die Gre des Grafikspeichers sind wichtig. Dedizierter Grafikspeicher befindet sich auf ihr selbst und hat die hchste

  • 3.5 Anpassen der Anzeigeeinstellungen 77

    Leistung, Gemeinsam benutzter Speicher wird vom Hauptspeicher abge-zogen, ist langsamer und kann fr Programme nicht mehr benutzt werden. blicherweise kann seine Gre ber die BIOS-Einstellung AGP-Aperture Size verndert werden.

    Abb. 3.11. Registerkarte Grafikkarte der erweiterten Anzeigeeinstellungen

    Ein Klick auf Eigenschaften ffnet ein Fenster des Gertemanagers (sie-

    he Kapitel 4), in dem u. a. der Grafikkartentreiber erneuert oder auf die vorherige Version zurckgesetzt werden kann.

    Alle Modi anzeigen hingegen stellt eine Liste aller Kombinationen von Auflsung, Farbtiefe und Wiederholfrequenz dar, welche die Karte grund-

  • 78 3. Die Arbeitsoberflche

    stzlich beherrscht. Diese Information ist ntzlich, wenn man herausfinden mchte, welches bsp. die grte Auflsung ist und mit welcher Frequenz sie die Karte darstellen kann und ob eine bestimmte Kombination ber-haupt eingestellt werden kann.

    In der zweiten Registerkarte mit dem Namen Monitor (siehe Abb. 3.12) kann die Wiederholfrequenz festgelegt werden.

    Abb. 3.12. Registerkarte Monitor der erweiterten Anzeigeeinstellungen

    Es sollte nicht versucht werden, eine so hohe Rate auszuwhlen, die der

    angeschlossene Monitor nicht bewltigen kann. Zwar haben moderne Dis-plays in aller Regel entsprechende Schutzschaltungen, die in so einem Fall

  • 3.5 Anpassen der Anzeigeeinstellungen 79

    eine Fehlermeldung anzeigen oder das Bild einfach dunkel stellen, das trifft aber nicht auf alle anschliebaren Gerte immer zu.

    Es kann als Vorsichtsmanahme eingestellt werden, dass solche Modi nicht auswhlbar sind. Das setzt aber sowohl einen Plug-and-Play-Monitor (und Treiber) als auch eine Grafikkarte voraus, die mit den vom Monitor gesendeten Signalen etwas anfangen kann, voraus. Mit dem hier verwen-deten Standardmonitor geht das nicht.

    Abb. 3.13. Registerkarte Problembehandlung der erweiterten Anzeigeeinstellun-gen

  • 80 3. Die Arbeitsoberflche

    Der Displaytreiber kann durch Klick auf die Schaltflche Eigenschaften, die ein Fenster aus dem Gertemanager ffnet, festgelegt werden.

    Eine weitere Registerkarte ist Problembehandlung (siehe Abb. 3.13). Ein Klick auf Einstellung ndern ffnet das Fenster Hardwarebeschleu-

    nigung, das muss aber sowohl von der Hardware als auch vom Treiber zu-lssig sein. Ansonsten ist die Schaltflche grau dargestellt.

    Normalerweise sollte der Schieberegler in dem erwhnten Fenster ganz rechts sein (volle Leistung), aber falls Probleme mit der Videoausgabe auf-treten, kann die Hardwarebeschleunigung zurckgenommen werden.

    Abb. 3.14. Registerkarte Farbverwaltung der erweiterten Anzeigeeinstellungen

  • 3.6 Tastaturabkrzungen 81

    Die letzte Registerkarte trgt die Bezeichnis Farbverwaltung (siehe Abb. 3.14) und ffnet das gleichnamige Programm aus der Systemsteue-rung. Farbprofile sind wichtig fr kalibrierte Pfade durch ein System (bsp. vom Scanner ber den Bildschirm bis zum Drucker). In ihnen wird ange-geben, wie ein bestimmtes Gert Farbtne wiedergibt.

    3.6 Tastaturabkrzungen

    Vista bietet zur schnelleren Bedienung, und um einen zu hufigen Wechsel von der Tastatur zur Maus und umgekehrt zu vermeiden, an, viele Aktio-nen per Tastendruck durchzufhren. Einige wie Strg+S sind anwendungs-abhngig. In vielen Programmen bewirkt diese Tastenkombination als Quasistandard das Speichern des geffneten Dokuments.

    Andere Tastenkombinationen lsen jedoch direkt Aktionen des Betriebs-systems oder des Explorers aus. Fr Tastenkombinationen, die ber die Windows-Taste ausgelst werden, hat Microsoft in Vista Erweiterungen eingefhrt, deshalb sind diese nachfolgend in der Tabelle 3.1 vollstndig aufgefhrt, whrend die anderen Tastenkombinationen (siehe die Tabellen 3.2 und 3.3) lediglich einen berblick darstellen. Hinweis: Auf manchen Notebooks sind die Pause- und Druck-Tasten vertauscht.

    Tabelle 3.1. Allgemeine Tastaturabkrzungen

    Tasten Aktion Windows-Taste ffnen/Schlieen des Startmens (wie Strg+Esc) Windows-Taste+ N-tes Programm der Schnellstartleiste ffnen Windows-Taste+1 Erstes Programm der Schnellstart-Symbolleiste (De-

    fault Minimieren/Desktop anzeigen) starten Windows-Taste+2 Zweites Programm der Schnellstart-Symbolleiste (De-

    fault Zwischen Fenstern umschalten) starten Windows-Taste+3 Drittes Programm der Schnellstart-Symbolleiste (De-

    fault Internet Explorer) starten Windows-Taste+B Auswahl aufheben Windows-Taste+D Alle Desktop-Fenster minimieren bzw. wieder anzei-

    gen (hnlich Windows-Taste+M) Windows-Taste+E Arbeitsplatz (Explorer) ffnen Windows-Taste+F Suche starten (Find) Windows-Taste+Strg+F Suchen von Computern im Netzwerk Windows-Taste+L Angemeldeten Benutzer sperren (Lock) Windows-Taste+M Alle Fenster minimieren (Minimize) Windows-Taste+R "Ausfhren" (Run) ffnen

  • 82 3. Die Arbeitsoberflche

    Windows-Taste+T Zum nchsten Programm der Taskleiste wechseln (Aufruf mit der Eingabetaste)

    Windows-Taste+U Center fr erleichterte Bedienung (Usability) ffnen Windows-Taste+X Windows Mobilttscenter ffnen Windows-Taste+F1 Windows-Hilfe- und Support-Fenster ffnen Windows-Taste+F3 Suche ffnen (wie Windows-Taste+F) Windows-Taste+F5 Desktop-Inhalt aktualisieren Windows-Taste+F11 Aktuelles Fenster auf dem gesamten Bildschirm ma-

    ximieren Windows-Taste+Tabulator Zwischen Fenstern umschalten (In Aero Flip3D

    Dreidimensional), Blttern mit Windows+Tab oder dem Mausrad

    Windows-Taste+Untbr Systemeigenschaftsprogramm ffnen Windows-Taste+Pause Systemeigenschaftsprogramm ffnen Alt+Esc Zum nchsten Fenster wechseln Alt+Tab Blttern durch die geffneten Fenster Strg+Esc Start-Men ffnen und schlieen

    Tabelle 3.2. Tasten und -kombinationen auf der Arbeitsoberflche

    Taste(n) Aktion F1 Windows-Hilfe- und Support ffnen F3 Suche ffnen F5 Ansicht aktualisieren Alt-F4 Herunterfahren-Fenster ffnen Bild nach oben Zum ersten Symbol der Spalte springen Bild nach unten Zum letzten Symbol der Spalte springen Eingabe-Taste Programm starten Ende Zum letzten Symbol springen Entf Symbol in Papierkorb verschieben Pos1 Zum ersten Symbol springen Umschalten+Entf Symbol lschen Umschalten+Pfeiltasten Symbole markieren Druck Grafische Kopie des gesamten Desktops in der Zwi-

    schenablage speichern. Strg+Mausrad-Rollen Gre der Desktop-Symbole ndern Strg+Pos1 Zum allerersten Symbol springen Strg+Bild hoch Zum Symbol des jeweiligen Spaltenanfang springen Strg+Bild herunter Zum Symbol des jeweiligen Spaltenendes springen Strg+Ende Zum allerletzten Symbol springen Strg+A Alle Symbole auswhlen Strg+N Desktop-Fenster ffnen

  • 3.7 Strg+Alt+Entfernen: Windows-Sicherheit 83

    Tabelle 3.3. Tasten und -kombinationen in Fenstern

    Taste(n) Aktion Alt Men anzeigen Alt+F4 Fenster schlieen bzw. Programm beenden Alt+Druck Grafische Kopie des Fensters in der Zwischenablage speichern F1/Strg+F1 Programmbezogene Hilfe aufrufen Strg+F4 Drop-Down-Liste ffnen bzw. untergeordnetes Fenster schlieen Strg+F5 Erzwungenes Aktualisieren F3 Suche ffnen

    Wenn die Tastatur keine Windows-Taste hat, kann man sich mit der

    Bildschirmtastatur, die unter Start - Programme - Zubehr - Eingabehilfen zu finden ist, behelfen: Einfach auf eine der beiden dort dargestellten Win-dows-Tasten klicken und danach auf die gewnschte andere Taste.

    3.7 Strg+Alt+Entfernen: Windows-Sicherheit

    Wie schon im Abschnitt vorher gesehen, wird mit der Tastenkombination Steuerung+Alternate+Entfernen die Windows-Sicherheit aufgerufen (siehe Abb. 3.15).

    Wenn der Windows-Sicherheitsbildschirm angezeigt wird, werden smt-liche Benutzerprozesse angehalten: Dadurch knnen schdliche Program-me wie Viren, Wrmer etc. schnell deaktiviert werden und es wird verhin-dert, dass eine andere Applikation den Windows-Sicherheitsbildschirm nur vorgaukelt um bsp. Kennwrter zu sammeln.

  • 84 3. Die Arbeitsoberflche

    Abb. 3.15. Der Windows-Vista-Sicherheitsbildschirm

    3.8 Der Task-Manager

    Durch Drcken der Tastenkombination Strg+Umschalten+Esc oder aus dem Kontextmen der Taskleiste3 ffnet sich der Task-Manager (siehe Abb. 3.16). Dieses ist ein sehr leistungsfhiges Werkzeug, mit dem unter anderem die ausgefhrten Programme, die Benutzung des Speichers und einfache Leistungsdaten angezeigt werden knnen. Er kann auch dazu verwendet werden, einen neuen Prozess zu starten oder einen hngen ge-bliebenen Prozess zu beenden.

    Seine Menleiste mit den Menpunkten Datei, Optionen, Ansicht und Fenster ist kontextsensitiv. Je nach aufgerufener Registerkarte ndern sich die zur Verfgung stehenden Menpunkte.

    3 Oder durch Drcken der Tastenkombination Strg+Alt+Entf und Auswahl von

    Task-Manager bzw. Starten des Programms Taskmgr.exe.

  • 3.8 Der Task-Manager 85

    In der ersten Registerkarte (Anwendungen) (siehe Abb. 3.16) wird eine Liste von Programme dargestellt, die ein Benutzer selbst gestartet hat und die im Benutzermodus ausgefhrt werden.

    Im Kontext-Men jeder aufgefhrten Anwendung stehen weitere Optio-nen, welche die jeweiligen Fenster betreffen (wie Minimiert oder Maxi-miert) zur Verfgung. Die wichtigsten sind aber auch als Schaltflchen am unteren Fensterrand verfgbar. Aus dieser Liste knnen mit den Steue-rungs- und Umschalttasten auch mehrere Eintrge ausgewhlt werden, die dann z. B. beendet werden sollen.

    Abb. 3.16. Registerkarte Anwendungen des Task-Managers

  • 86 3. Die Arbeitsoberflche

    In der zweiten Registerkarte, welche die Bezeichnung Prozesse hat und in Abb. 3.17 abgebildet ist, werden alle laufenden Prozesse (auch die des Systems und wenn gewnscht die anderer Benutzer) aufgefhrt. Damit die Prozesse aller Benutzer angezeigt werden, sind administrative Rechte er-forderlich. Und zwar nicht zuletzt aus dem Grund, weil sie ber dieses Tool auch beendet werden knnten.

    Abb. 3.17. Registerkarte Prozesse des Task-Managers

    Aus dem Kontextmen jedes Prozesses knnen u. a. die Funktionen Da-

    teipfad ffnen, Prozess beenden, Prozessstruktur beenden aufgerufen wer-den. Erstes ffnet ein Explorerfenster an dem Pfad, in dem das ausgefhrte Programm gespeichert ist, zweites beendet einen einzelnen Prozess, wh-rend das Beenden einer Prozessstruktur praktisch ist, wenn ein bestimmter Prozess viele Unterprozesse erstellt hat, die ansonsten alle einzeln beendet werden mssten.

    Auerdem sind im Kontextmen weitere Funktionen aufgefhrt, die sich in erster Linie an Programmierer richten, wie z. B. der Punkt Fehler-suche, der allerdings nur gewhlt werden kann, wenn Vista mit der Debug-

  • 3.8 Der Task-Manager 87

    Option gestartet wurde. Oder Abbilddatei erstellen, mit ein Prozess-Speicherauszug erstellt werden kann. Der Punkt Virtualisierung steuert die Registrierungsvirtualisierungsfunktion eines Prozesses (siehe Kapitel 1).

    Welche Spalten angezeigt werden sollen, kann ber den Menpunkt An-sicht Spalten auswhlen... (siehe Abb. 3.17a und 3.17b) festgelegt wer-den.

    Abb. 3.17a. Spaltenauswahl fr die Prozessseite (1)

    Weitere praktische Neuerungen sind zudem, dass sich nun die Eigen-

    schaften eines Prozesses und die Befehlszeile, mit der er gestartet wurde, darstellen lassen kann.

    Diese Funktionen helfen, suspekte Prozesse identifizieren und falls n-tig entfernen zu knnen.

  • 88 3. Die Arbeitsoberflche

    Abb. 3.17b. Spaltenauswahl fr die Prozessseite (2)

    Schlielich befindet sich im Kontextmen jedes Prozesses der Punkt

    Prioritt festlegen und unter ihm die Hauptklassen Niedrig, Normal, Hoch und Echtzeit. Jeder Thread hat eine ihm zugeordnete Priorittskennung, die zwischen 0 - 31 betragen kann (ab 16 beginnt Echtzeit). Bei der Ermitt-lung, welcher Prozess als nchstes die CPU-Aufmerksamkeit bekommt, richtet sich der Scheduler stets danach, welcher Thread bereit ist und die hchste Prioritt besitzt. Wird ein Thread dennoch eine gewisse Zeit nicht aufgerufen, erhht sich seine Prioritt, und damit die Chance, ausgefhrt zu werden, erst um eins, dann um zwei.

    Wenn kein Prozess die CPU bentigt, wird ein spezieller Thread aufge-rufen, der immer bereit zur Ausfhrung ist und die niedrigste Prioritt be-sitzt: Der Leerlaufprozess, der die CPU in einen Strom sparenden HALT-Status versetzt.

  • 3.8 Der Task-Manager 89

    In der neuen Registerkarte Dienste (siehe Abb. 3.18) werden alle Pro-zesse aufgelistet, die sich als Dienst am System angemeldet haben sowie ihre Gruppe (mit der festgelegt wird, welche Dienste gemeinsam gestartet werden mssen). Nheres dazu im Kapitel 4.

    In dieser Registerkarte lassen sich die Dienste auch starten und stoppen sowie das Programm Dienste aus der Systemsteuerung aufrufen, mit dem Dienste zustzlich angehalten und fortgesetzt und ihre Eigenschaften ange-sehen bzw. gendert werden knnen.

    Abb. 3.18. Registerkarte Dienste des Task-Managers

    Die Registerkarte Leistung (S. Abb. 3.19) wurde berarbeitet. Die ange-

    zeigten Werte sind nun intuitiv verstndlicher dargestellt. Im Men Ansicht lsst sich die Aktualisierungsgeschwindigkeit konfigurieren und dass die prozentuale Zeit, die ein Vista-System im Kernel-Modus arbeitet, rot im Diagramm dargestellt werden soll. Wenn ein System mehr als eine CPU hat, gibt es den Auswahlpunkt Ein Diagramm pro CPU anzeigen.

  • 90 3. Die Arbeitsoberflche

    Ein Doppelklick mit der Maus auf ein beliebiges Diagramm fhrt zu ei-ner vereinfachten Darstellung des Task-Managers, in der nur die CPU-Auslastung und ihr Verlauf aufgefhrt sind.

    Abb. 3.19. Registerkarte Leistung des Task-Managers

    Gelegentlich wird behauptet, dass Vista ressourcenhungriger sei, weil

    mehr Hauptspeicher genutzt wrde. Das ist nicht der Fall: Vista nutzt den zur Verfgung stehenden Arbeitsspeicher besser als die Vorgngerversio-nen von Windows. Sofern Arbeitsspeicher zur Verfgung steht, der nicht von Anwendungen benutzt wird, lsst Vista ihn nicht einfach brach liegen,

  • 3.8 Der Task-Manager 91

    sondern nutzt soviel wie mglich von ihm nachrangig als Cache, der sofort freigegeben wird, wenn Anwendungen mehr Speicher bentigen.

    Die vorletzte Registerkarte (Netzwerk) stellt den aktuellen Datendurch-satz der Netzwerkverbindung(en) prozentual dar (siehe Abb. 3.20).4

    Abb. 3.20. Registerkarte Netzwerk des Task-Managers

    4 Am Rande bemerkt: Der Autor findet es stets frustrierend, dass bei einem Giga-

    bit-Ethernet-Netzwerk trotz voller 6-Mbps-DSL-Nutzung (z. B. beim Herunter-laden von .ISO-Abbildern) nur lediglich 0,6 % Netzwerkauslastung angezeigt wird.

  • 92 3. Die Arbeitsoberflche

    Last not least gibt es im Task-Manager die Registerkarte Benutzer. In ihr werden alle Benutzer, die sich mit einem Vista-System verbunden haben, mit ihrem Namen und ihrer Sitzungskennung aufgefhrt (siehe Abb. 3.21).

    Hier knnen diese getrennt oder abgemeldet werden sowie ihnen eine Nachricht geschickt werden. Damit diese auf deren Bildschirmen darge-stellt werden kann, muss dort der Nachrichtendienst ausgefhrt werden, der in der Voreinstellung deaktiviert ist.

    Abb. 3.21. Registerkarte Benutzer des Task-Managers

  • 3.9 Aufbau der Windows-Installation (Verzeichnisstruktur) 93

    3.9 Aufbau der Windows-Installation (Verzeichnisstruktur)

    In der Installationspartition werden viele Verzeichnisse erstellt und mit NTFS-Berechtigungen vor nicht autorisierten Zugriffen geschtzt. In der folgenden Tabelle findet sich eine bersicht ber die wichtigsten Ver-zeichnisse, ihre Funktion und was sich darin befindet.

    Tabelle 3.4. Windows-Verzeichnisstruktur

    Pfad Inhalt C:\ $Recycle.Bin Papierkorb Boot

    Enthlt eine Kopie des BCD und in den Un-terverzeichnissen lokalisierte Versionen des Bootmanagers und hufig auch des Speicher-testprogramms, ohne dass Sprachpakete ge-sondert installiert werden mssten.

    cs-CZ Tschechisch da-DK Dnisch de-DE Deutsch el-GR Griechisch en-US Englisch (USA) es-ES Spanisch fi-FI Finnisch Fonts

    Lokalisierte Zeichensatzdateien fr asiatische Sprachen

    fr-FR Franzsisch hu-HU Ungarisch it-IT Italienisch ja-JP Japanisch ko-KR Koreanisch nb-NO Norwegisch nl-NL Niederlndisch pl-PL Polnisch pt-BR Portugiesisch (Brasilien) pt-PT Portugiesisch (Portugal) ru-RU Russisch sv-SE Schwedisch tr-TR Trkisch zh-CN Chinesisch (vereinfacht) zh-HK Chinesisch (traditionell) zh-TW Chinesisch (Taiwan) Program Files Programmdateien Common Files Von mehreren Programmen gemeinsam be-

  • 94 3. Die Arbeitsoberflche

    nutzte Programm- und DLL-Dateien microsoft shared

    Gemeinsam benutzte Programme von Micro-soft

    DAO Datenzugriff/Microsoft Jet ink Tablet-PC-Untersttzungsdateien 1.0 Tablet-PC API Version 1.0 1.7 Tablet-PC API Version 1.7 ar-SA Lokalisiert: Arabisch (Saudi-Arabien) bg-BG Lokalisiert: Bulgarisch en Lokalisiert: Englisch et-EE Lokalisiert: Estnisch ... fsdefinitions XML-formatierte Untersttzungsdateien he-IL Lokalisiert: Hebrisch hr-HR Lokalisiert: lt-LT Lokalisiert: lv-LV Lokalisiert: ro-RO Lokalisiert: Rumnisch sk-SK Lokalisiert: Slowakisch sl-SI Lokalisiert: Slowenisch sr-Latn-CS Lokalisiert: Serbisch (lateinische Buchstaben) ... TabletLinks

    Verknpfungen zu weiteren TabletPC-Programmen

    th-TH Lokalisiert: Thai uk-UA Lokalisiert: Ukranisch MSInfo

    MSInfo32-Programm (Liefert detaillierte In-formationen ber PCs)

    Stationery Bilddateien TextConv

    Konvertierer von verschiedenen Textdatei-formaten (Leer, wenn kein Microsoft Office installiert ist)

    Triedit

    DHTML-Quelltext-Editor-Untersttzungs-dateien fr MS Office

    vgx

    VML-(Vector Markup Language)-Untersttzung

    Services Von Diensten gemeinsam genutzte Dateien SpeechEngines Sprachausgabe System

    Datenzugriffskomponenten und Dateien fr das Windows-Adressbuch

    Internet Explorer Microsoft Internet Explorer 7 Microsoft Games Windows Vista Spiele Movie Maker Movie Maker und DVD Maker MSBuild Teil von .Net 3.0 MSN MSN Connection Center Reference Assemblies Teil von .Net 3.0

  • 3.9 Aufbau der Windows-Installation (Verzeichnisstruktur) 95

    Windows Calendar Windows Kalender Windows Collaboration Windos-Teamarbeit Windows Defender Windows Defender Windows Journal Windows Journal Templates Vorlagen fr Windows Journal Windows Mail Windows Mail Windows Media Player Windows Media Player 11 Windows NT ltere Programme Accessories Wordpad TableTextService Eingabe aus einer Tabelle Windows Photo Gallery Windows Photo Gallery Windows Sidebar Windows SideBar Gadgets Minianwendungen der Windows SideBar Shared Gadgets Gemeinsam benutzte Minianwendungen Users

    Pfad fr Benutzerprofile und -einstellungen sowie Eigene Dateien. Der Pfad ist sprachab-hngig: Im Deutschen heit er Benutzer

    Windows Windows Vista Systemverzeichnis addins ActiveX-Add-Ins (.ocx) AppPatch Applikationskompatibilittsdateien Assembly Teil von .Net 3.0 Boot Kopie der Dateien in \Boot Fonts Startzeichenstze fr asiatische Sprachen PCAT

    Lokalisierte bootmgr und memtest-Versionen fr normale PCs

    PXE

    Lokalisierte bootmgr und memtest-Versionen fr PXE-(Netzwerk-)Starts

    Branding

    Dateien fr die Untersttzung von Modifika-tionen (z. B. Logos) von anderen Unterneh-men

    Basebrd Branding fr den Systemstart ShellBrd Branding fr die Arbeitsoberflche CSC Client-Side-Cache (Offlinedateien) Cursors Cursorsymboldateien Debug Ordner fr Protokolldateien DigitalLocker Microsoft Digitales Schliefach Downloaded Installations Heruntergeladene Internet-Explorer-Add-Ins ehome Windows Media Center und CD-Brennen Fonts Windows Vista Zeichenstze Globalization Bei Bedarf: Globalisierungsdateien Help Hilfedateien Corporate Hilfedateien von Unternehmen Help Hilfedateien mui Hilfedateien OEM Hilfedateien von OEM-Herstellern Tablet PC Zeichenlernprogramme

  • 96 3. Die Arbeitsoberflche

    Windows Hilfedateien IME Eingabeeditoren (z. B. fr Japanisch) inf

    INF-Dateien fr die Gerte(treiber)-Installa-tion und lokalisierte Sprachinformationen hierfr

    L2Schemas XML-basierte Netzwerkrichtlinien LastGood (Leer) LiveKernelReports

    Protokolle nichtkritischer Fehler einer Ker-nel-Mode-Anwendung oder -Treibers

    Logs Protokolldateien Media Systemklnge und MIDI-Dateien Microsoft.NET .Net-Dateien Minidump Kleine Speicherdumps bei Fehlern ModemLogs Protokolldateien von Modems MSAgent Dateien fr Microsoft Agent (ein Avatar) nap Dateien fr die Network Access Protection Offline Web Pages

    Heruntergeladene Web-Seiten zum Offline-Lesen

    Panther

    Dateien fr das Vista-Setup und die Lizenz-berprfung

    Performance

    Dateien fr die Leistungsberprfung (Win-SAT)

    PLA

    Dateien fr die Leistungsinformationen und -tools

    PolicyDefinitions

    Administrative Einstellungen fr (Grup-pen)richtlinienerweiterungen (.admx)

    Prefetch Dateien zur Vista-Start-Beschleunigung Provisioning

    VPN-Untersttzungsdateien im XML-Format fr die Authentifizierung

    Registration

    Compensating Resource Manager fr COM+-Objekte

    rescache

    Zwischenspeicher fr den Ressourcen-Manager

    Resources Vista-Themes (wie Aero etc.) SchCache Schema-Cache-Ordner schemas Netzwerkschemas (im XML-Format) security

    Verzeichnis fr den SCE (Security Configura-tion Editor)

    ServiceProfiles

    Profile fr Anmeldungen von vordefinierten Dienstkonten

    servicing

    Untersttzungsdateien fr die Windows Re-source Protection (WRP) und installierbare Komponenten

    Setup

    Temporres Verzeichnis fr die Vista-Installa-tion (Dynamisches Update)

    ShellNew Dokument-Templates fr die Kompatibilitt

  • 3.9 Aufbau der Windows-Installation (Verzeichnisstruktur) 97

    mit lteren Anwendungen SoftwareDistribution Windows-Update-Verzeichnis Speech Spracherkennungs- und -ausgabedateien SUA Subsystem fr Unix-basierte Anwendungen system Win16-Kompatibilittsverzeichnis System32 Vista-Betriebssystemverzeichnis 0407

    Untersttzungsdateien fr die deutsche Versi-on

    AdvancedInstallers Installationsprogramme (.DLL) appmgmt (Leer) Boot Boot-Dateien Branding Herstellereigene Dateien catroot

    Verzeichnis fr Treibersignaturen (Einzelda-teien)

    catroot2

    Verzeichnis fr Treibersignaturen (MS-Jet-Datenbank)

    CodeIntegrity

    Gecachte Start-Dateien und berprfung der Integritt der Systemdateien

    com COM+-Untersttzung config

    Verzeichnis, in dem die Registrierung und die Ereignisanzeige gespeichert sind.

    de Untersttzung fr die deutsche Sprachversion directx (Leer) drivers Verwendete Treiberdateien DriverStore

    Speicher fr Treiber bekannter Gerte und Vista-Dateischutz

    FxsTmp (Leer) GroupPolicy Domnengruppenrichtlinien GroupPolicyUsers Benutzerspezifische lokale Gruppenrichtl. ias RADIUS-Untersttzung icsxml Internetverbindungsfreigabe und UPnP IME Eingabeeditoren fr asiatische Sprachen inetsrv Microsoft Internet Information Server 7 licensing Vista-Lizenzverwaltung LogFiles Protokolldateien fr Windows-Komponenten manifeststore .Net-Manifeste fr Systemkomponenten Microsoft Konfigurationsdateien fr Dienste migration Vista-Update-Hilfsdateien migwiz Windows-EasyTransfer Msdtc Distributed Transaction Coordinator MUI Multi-User Interface NDF

    Network Diagnostics Framework-Ereignisanzeige

    networklist Symbole fr Netzwerke oobe Vista-Installation und -Aktivierung Printing_Admin_Scripts VisualBasic-Skripte zur Druckerverwaltung

  • 98 3. Die Arbeitsoberflche

    ras Remote-Access-Service-Skripte RemInst Untersttzungsdateien fr Ferninstallationen restore Enthlt die MachineGUID setup

    Untersttzungsdateien fr die Installation (optionale Komponenten)

    slmgr Sprachdateien fr die Vista-Aktivierung SLUI Vista-Aktivierung per Telefon SMI WMI-Untersttzung Speech Spracherkennung spool

    Enthlt Treiber fr installierte Druckgerte und Drucker sowie ein Migrationstool

    sysprep Systemvorbereitungsprogramm Tasks Enthlt zeitgesteuerte Aufgaben wbem WMI-Untersttzung WCN Vista-WLAN-Untersttzung WDI Enthlt Leistungsdaten wfp IPSec-Diagnose winevt Protokolldateien der Ereignisanzeige winrm Windows-Remoteverwaltungssprachdateien XPSViewer Enthlt den XPS-Betrachter tapi Telephony API Tasks Aufgabenplanungsdienst Temp Verzeichnis fr temporre Dateien tracing Fr RAS-Trace-Dateien twain_32 Scanner-Untersttzung Web Arbeitsoberflchenhintergrunddateien WindowsMobile Windows-Mobile-Dateien winsxs .Net-Dateien (Side by Side gemeinsame

    Komponenten)

  • 4. Windows Systemsteuerung und Verwaltungsprogramme

    In der Windows Systemsteuerung, die aus dem Startmen aufgerufen wer-den kann, befinden sich die meisten Programme, mit denen die Einstellun-gen und Arbeitsweise von Windows Vista angepasst werden knnen (siehe Abb. 4.1).

    Abb. 4.1. Die Systemsteuerung in der klassischen Ansicht

    Viele der hier aufgefhrten Programme drften bereits bekannt bzw.

    selbsterklrend sein, so dass im folgenden nur noch auf ausgewhlte Opti-onen nher eingegangen wird. Gleiches gilt fr Programme, die in anderen Kapiteln vorgestellt werden.

  • 100 4. Windows Systemsteuerung und Verwaltungsprogramme

    Ein besonderer Teil von Verwaltungsprogrammen findet sich im Unter-punkt Verwaltung (siehe Abb. 4.2). Fr die Benutzung der dort aufgefhr-ten Programme (sie werden in Abschnitt 4.3 beschrieben) sind meistens administrative Rechte erforderlich. Bei den Programmen, bei denen das zutrifft, ist das Schild-Symbol mit im Programmsymbol abgebildet. Das gilt aber auch fr einige Programme in der Systemsteuerung.

    Abb. 4.2. Systemsteuerung - Verwaltung

    4.1 Die Microsoft Verwaltungskonsole

    Auch in Windows Vista erfolgt ein Groteil der GUI-basierten Verwal-tungsvorgnge per Snap-Ins. Die MVK (Microsoft Verwaltungskonsole)1 liegt mittlerweile in der Version 3.0 und auch fr ltere Windows-Versio-nen vor.

    Die augenscheinlichste Neuerung dieser Version (siehe Abb. 4.3) ist eine zustzliche, dritte Spalte innerhalb des Fensters, die Aktionsfeld genannt wird, und bei Verfgbarkeit zustzlicher Optionen eines ausgewhlten Ele-mentes auffhrt. Sie ist, genauso wie die erste Spalte (Konsolenstruktur), der Beschreibungs- und der Statusleisten ein- und ausblendbar. Lediglich 1 Diese wird auch MMC (Microsoft Management Console) genannt.

  • 4.1 Die Microsoft Verwaltungskonsole 101

    die mittlere Spalte ist nicht ausblendbar, in ihr werden die hinzugefgten Verwaltungs-Snap-Ins aufgelistet. Ein Snap-In ist in der Regel ein in Visu-al C++ oder Visual Basic geschriebenes COM-Objekt2, das als DLL-Datei vorliegt und im System registriert ist.

    Nicht so leicht sichtbar quasi unter der Haut ist, dass die MMC 3.0 .Net-basierte Snap-Ins erlaubt. Sie ist die erste Version, mit der das mg-lich ist.

    Eine Konsolenansicht besteht aus Verweisen zu Snap-Ins und wird als .MSC-Datei gespeichert. Da lediglich die Verweise gespeichert werden, ist eine .MSC-Datei hufig sehr klein. Soll sie aber auf einem beliebigen Sys-tem benutzt werden, mssen smtliche referenzierten Snap-Ins auch auf dem Zielsystem vorliegen und registriert sein.

    Abb. 4.3. Die Microsoft Verwaltungskonsole

    Wenn ber ein Snap-In ein fernes System verwaltet werden soll, muss

    der betreffende Benutzer oder die Benutzerin natrlich am Zielsystem ber 2 Die Abkrzung COM steht fr Component Object Model. Komponenten sind

    Programmbestandteile, die registriert werden und von anderen Programmen verwendet werden knnen (wie Rechtschreibprfung, Audio/Video-Wiedergabe etc.).

  • 102 4. Windows Systemsteuerung und Verwaltungsprogramme

    entsprechende Rechte und Berechtigungen verfgen. Ein ledigliches Besit-zen und ausfhren Knnen des Verwaltungs-Tools reicht nicht aus! Auer-dem muss fr die Kommunikation der IP-Port 135 (RPC) erreichbar sein.

    ber den Menpunkt Datei - Snap-In hinzufgen/entfernen lsst sich steuern, welche Verwaltungsfunktionen in einer Konsolenansicht aufge-fhrt sein sollen und welches Gert (lokal oder entfernt) verwaltet werden soll. So lassen sich bsp. dienstzentrische Sichten, bei denen jeweils pro Dienst eine Konsolenansicht erstellt und alle Gerte in einem Netzwerk, welche die betreffende Funktion besitzen, aufgefhrt sind, oder gertezent-rische Sichten erstellen, bei denen jeweils pro Gert die zu den jeweiligen Funktionen passenden Snap-Ins aufgefhrt sind.

    Nahezu jedes Snap-In besitzt eine Beschreibung, die am unteren Ende des Bildschirms dargestellt wird.

    Abb. 4.4. Hinzufgen von Snap-Ins in der MVK

    Eine besondere Darstellungsart ist die Aufgabenblock-Ansicht3. In ihr

    werden Subfunktionen von Snap-Ins angezeigt (z. B. Benutzerverwaltung der OU Einkauf) und sie ist sehr gut geeignet, um Verwaltungsaufgaben an

    3 Ehemals als Taskpad bezeichnet.

  • 4.2 Programme in der Systemsteuerung 103

    Personen vergeben zu knnen, die nicht ber tiefergehende, administrative Computerkenntnisse verfgen.4

    Jede bestehende .MSC-Datei kann ber die Befehlszeile mmc /a Na-me.msc in einem Autorenmodus geffnet werden, in dem Snap-Ins hinzu-gefgt oder entfernt werden sollen.

    Dies ist zugleich ein Nachteil der MVK, weil es gar nicht verhindert werden kann, dass bestehende Konsolen durch Benutzer modifiziert wer-den. Der beste Ansatz, dieses zu begrenzen, ist, mittels NTFS-Berechtigun-gen Nur-Lese-Berechtigungen auf die .MSC-Datei zu gewhren.

    Am Rande bemerkt: MVK- oder MMC-Konsole zu sagen wre doppelt gemoppelt, weil das K bzw. C (in MMC) bereits fr K/Console steht.

    4.2 Programme in der Systemsteuerung

    In der Systemsteuerung sind die wichtigsten Systemprogramme von Win-dows Vista aufgefhrt. Viele dieser Programme drfen auch Benutzer (zur individuellen Konfiguration ihrer Arbeitsoberflchen) ausfhren sofern das nicht per Gruppenrichtlinie von Unternehmensadministratoren unter-bunden wurde.

    Programme, fr deren Ausfhrung unbedingt administrative Rechte er-forderlich sind, werden durch das bereits vorgestellte Schild-Symbol ge-kennzeichnet. Das trifft insbesondere fr die Programme, die im Unter-punkt Verwaltung aufgefhrt sind, zu.

    4.2.1 Leistungsbewertung und WinSAT

    Eines der ersten Dinge, die Windows Vista beim ersten Start nach der In-stallation durchfhrt, ist eine Leistungsbewertung der einzelnen Kompo-nenten des Systems. Daraus wird dann ein Gesamtleistungsindex (Win-dows Experience Index, WEI) gebildet (siehe Abb. 4.5). Die Bildungsre-geln sind etwas kompliziert, aber dennoch unten detailliert erlutert.

    Der Gesamtleistungsindex ist stets der Index des langsamsten der fnf Komponentenwerte, weil dieser als Engpass des Systems angesehen wird. Ein Beispiel: Sind die Indizes der Festplatte, CPU, RAM etc. alle auf 4,0,

    4 Es mssen dafr aber unbedingt passende Berechtigungen an den konkreten Ob-

    jekten fr die betreffenden Benutzer(innen) festgelegt werden.

  • 104 4. Windows Systemsteuerung und Verwaltungsprogramme

    aber der einer Grafikkarte auf 1,0, so ist auch der Gesamtleistungsindex 1,0!5 Dabei wird nicht etwa ein Mittelwert gebildet.

    Abb. 4.5. Leistungsinformationen und -tools

    Aber bedeutet nun ein Gesamtleistungsindex von nur 1,0 (oder 2,0),

    dass ein System nicht fr Windows Vista geeignet ist? Keineswegs! Das System ist nicht etwa schlecht, jedoch stehen einige Funktionen (wie Aero) eventuell nicht zur Verfgung und natrlich arbeitet ein System mit einem niedrigeren Wert langsamer als eins mit einem hheren Wert. Aber solange die Mindestinstallationsvoraussetzungen (siehe Kap. 2) erfllt sind, arbei-tet Vista auf beliebigen Systemen, egal wie alt oder neu sie sein mgen.

    Der Leistungsindex kann von Softwareherstellern verwendet werden, um zu kennzeichnen, welche Performance ein System fr die jeweilige Software haben sollte. Derzeit knnen die Werte im Bereich von 1,0 (lang-sam) bis 5,9 (das schnellste derzeit machbare) variieren. Im Rahmen des technologischen Fortschritts wird Microsoft die Obergrenze aber erhhen. 5 Eine Ausnahme von der Regel besteht darin, dass Vista bei x,9-Werten diese

    in Abhngigkeit von den anderen Ergebnissen ggf. aufrundet.

  • 4.2 Programme in der Systemsteuerung 105

    Davon sind die Indizes bestehender Systeme nicht betroffen, denn nur der Maximalwert wird verndert werden. Mit anderen Worten: Hat Ihr PC heu-te einen Wert von 2,2, wird er auch in ein paar Jahren (sofern an der Hard-ware nichts gendert wird) einen Wert von 2,2 haben.

    Fr die Leistungsbemessung werden die Werte nicht gerundet, sondern die Nachkommastellen abgeschnitten. Also 2,7 ist 2, genauso wie 2,1.

    Ein Basiswert von 1 bedeutet, dass das System die Mindestvorausset-zungen von Vista erfllt und dass nicht besonders leistungshungrige An-wendungen wie Microsoft Office, E-Mail oder einfache Spiele problemlos ausgefhrt werden knnen.

    Ab 2 steht Aero grundstzlich zur Verfgung und Anwendungen laufen schneller. Eventuell reicht die Systemleistung aber fr Aero dennoch nicht aus, um die neue Oberflche performant darstellen zu knnen.

    Mit 3 ist Aero automatisch aktiviert, und wenn Sie einen neuen Rechner erwerben, auf dem Windows Premium steht, verfgt dieser ber mindes-tens diesen Leistungsindex.6

    Ein PC mit einem Index von 4 oder hher wird als Hochleistungs-PC angesehen, der in der Lage ist, HDTV-Videos wiederzugeben, hochaufl-sende Monitore anzusteuern und Multiplayer-Spiele auszufhren.7

    Fnf stellt das derzeit erhltliche Optimum an Leistungsfhigkeit dar. Aber nun zu den Bildungsregeln der einzelnen Bewertungskriterien:

    Hauptspeicher (RAM) - Weniger als 256 MB: Maximal 1,0 - Weniger als 500 MB: Maximal 2,0 - Bis zu 512 MB: Maximal 2,9 - Weniger als 704 MB: Maximal 3,5 - Weniger als 960 MB: Maximal 3,9 - Weniger als 1,5 GB: Maximal 4,5

    Grafikkarte - Generell gilt, das der Index umso hher ist, je mehr Speicher eine

    Grafikkarte hat und die Speicherbertragungsrate ist, jedoch mit eini-gen Einschrnkungen:

    - Eine Grafikkarte, die nicht DirectX 9 untersttzt, erhlt einen Wert von 1,0, unabhngig von ihren anderen Eigenschaften.

    6 Computer mit Leistungsindizes kleiner als 3,0 erhalten nmlich kein Windows-

    Premium-Logo. 7 Fr letzteres reicht aber oft auch schon ein Index von 3 aus.

  • 106 4. Windows Systemsteuerung und Verwaltungsprogramme

    - Eine Grafikkarte, deren Treiber nicht das Windows Vista Display Dri-ver Model (WDDM) untersttzt, kann maximal einen Wert von 1,9 erhalten.

    - Der Index fr Spiele-Grafik hngt ab von der mglichen Seitendar-stellung je Sekunde (Frames per second). Eine Karte, die Direct 3D 9 (D3D9), DirectX 9 und WDDM untersttzt, erhlt einen Wert von mindestens 2,0.

    Die Informationen, die in Abb. 4.5 dargestellt werden, sind einer Datei

    im Verzeichnis C:\Windows\Performance\winSAT\DataStore entnommen, die XML-formatiert ist. Genauer gesagt, wird nur der nachfolgend abge-druckte Abschnitt dieser Datei dazu verwendet (und zwar der jeweils neu-esten), um die Werte dazustellen und z. B. fr die Entscheidung, ob ein System mit Aero Glass luft oder nicht. Die Datei sollte mit Wordpad ge-ffnet werden, weil die Formatierung der Datei in Notepad manchmal nicht korrekt erfolgt.

    27.4 2.9 38.1 3.1 3.3 27.4 93.2 49 536870912

    Die Ergebnisse werden auerdem in der Registrierung im Pfad

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinSAT in den beiden Schlsseln VideoMemorySize (Videospeichergre in Bytes) und VideoMemoryBandwidth (abgeleitet aus dem Videospeicher und der Aufl-sung) gespeichert, wenn ein System einen WDDM-Grafikkartentreiber be-sitzt.

  • 4.2 Programme in der Systemsteuerung 107

    Wenn die Hardwareausstattung eines Rechners gendert wird, ist es rat-sam, die Leistungsbewertung unbedingt erneut durchzufhren, damit Vista die genderten Werte kennt.

    Ganz vorsichtige Benutzer knnten dabei auf die Idee kommen, fr die Zeit der Leistungsbewertung im Mobilittscenter die Systemleistung zuvor auf Maximale Leistung zu ndern. Dieser Schritt ist jedoch nicht ntig, weil sowohl das Leistungsbewertungsprogramm als auch WinSAT tempo-rr die Energierichtlinie selber entsprechend einstellen.

    WinSAT (Windows System Assessment Tool, Windows-Systembewer-tungstool) kann in einer Administrator-Eingabeaufforderung aufgerufen werden (siehe Abb. 4.6). Es liefert detailliertere Angaben zur Systemleis-tung der einzelnen Komponenten als die Leistungsbewertung. Zudem kn-nen mit ihm Leistungsanalysen einzeln durchgefhrt werden, whrend die Leistungsbewertung stets einen vollen Durchgang zur Bewertung aller Bewertungskriterien durchfhrt.

    Abb. 4.6. WINSAT in einer Administratoreingabeaufforderung

  • 108 4. Windows Systemsteuerung und Verwaltungsprogramme

    WinSAT ist auch Teil des Windows Vista Upgrade Advisors, der von

    Microsoft-Downloads herunterladen und nachfolgend auf Rechnern, wel-che eine Vor-Vista-Windows-Version ausfhren, gestartet werden kann.

    Wenn WinSAT skriptgesteuert ausgefhrt wird, stehen die in Tabelle 4.1 aufgefhrten Rckgabe-Werte (engl.: return oder exit codes) zur Verf-gung.

    Tabelle 4.1. Rckgabewerte von WinSAT

    Return-Wert

    Bedeutung

    0 Alle Tests konnten erfolgreich ausgefhrt werden 1 Einer oder mehrere Tests konnten aufgrund einer Fehlermeldung nicht

    ausgefhrt werden 2 Einer oder mehrere Tests konnten aufgrund eines Ressourcenkonflikts

    (andere Anwendungen benutzen bentigte Ressourcen) nicht ausgefhrt werden

    3 WinSAT wurde vom Benutzer abgebrochen 4 Ungltige WinSAT-Option in der Befehlszeile 5 WinSAT wurde ohne Administrationsrechte gestartet 6 WinSAT wurde bereits ausgefhrt (andere Instanz luft)

    4.2.2 Automatische Wiedergabe

    Mit dem Programm Automatische Wiedergabe (siehe Abb. 4.7) lsst sich festlegen, welche Aktion beim Einlegen eines Speichermediums in ein Laufwerk bzw. Anschlieen eines Speichermediums an das System durch-gefhrt werden soll.

  • 4.2 Programme in der Systemsteuerung 109

    Abb. 4.7. Automatische Wiedergabe

    Die Auswahl ist dabei dateitypabhngig: Entsprechend des Dateinamen-

    anhangs lsst sich festlegen, was geschehen soll. So kann beim Einlegen einer CD, auf der sich bsp. MP3-Dateien befinden, das WinAmp-Pro-gramm aufgerufen werden, und wenn sich auf ihr bsp. eine RealMedia-Da-tei befindet, der RealPlayer.

    In Unternehmensnetzen lsst sich das Verhalten per Gruppenrichtlinie steuern.

    4.2.3 BitLocker

    Mit BitLocker wird eine neue Festplattenverschlsselungsmethode be-zeichnet, die Microsoft in Windows Vista erstmalig eingefhrt hat. Diese Funktion in der Systemsteuerung verschlsselt vollstndig die Festplatten-daten mit dem 128- oder 256-Bit-AES-Verfahren. Insoweit unterscheidet sie sich vom EFS (Encrypting File System, verschlsselndes Dateisystem)

  • 110 4. Windows Systemsteuerung und Verwaltungsprogramme

    unter NTFS, mit dem einzelne Benutzer-Dateien bzw. -Ordner (aber keine Systemdateien) verschlsselt werden knnen.

    Damit BitLocker von einem Administrator aktiviert werden kann, gibt es mehrere Voraussetzungen: So muss Windows Vista Enterprise oder Ul-timate Edition verwendet werden, auerdem muss der Computer ber ein TPM-Baustein (Trusted Platform Module) der Version 1.2 oder hher mit entsprechender BIOS-Untersttzung verfgen, in dem der Verschlsse-lungsschlssel (engl. encryption key) gespeichert ist. Dies ist ein spezieller Baustein auf dem Mainboard des Rechners. Der Zugriff hierauf ist beson-ders gesichert und nur mglich, wenn an dieses Modul zuvor ein Freigabe-code gesendet wird. Neuere Notebooks ab dem Baujahr 2006 besitzen ein solches oftmals. Falls kein TPM vorhanden ist, reicht auch ein USB-Stick aus. Im letzteren Fall ist im BitLocker-Programm die TPM-Verwaltungs-funktion nicht verfgbar. Dadurch kann auch erkannt werden, ob ein Sys-tem berhaupt ber einen TPM-Baustein verfgt.

    Schlielich mssen zwei Partitionen, die beide mit NTFS formatiert sind, eingerichtet sein. Auf der ersten, die als aktive Partition eingerichtet und mindestens 1,5 GB gro sein muss, werden die Startdateien gespei-chert. Von ihr wird gebootet, daher kann sie nicht verschlsselt sein. Auf der zweiten wird das eigentliche Betriebssystem installiert. Beide Partitio-nen mssen vor der Betriebssysteminstallation eingerichtet werden. Zur Unterscheidung kann der kleineren Partition bsp. der Laufwerksbuchstabe S: (fr Small oder System) und der Vista-Partition C: zugeordnet werden: Whrend einer interaktiven Installation kann das z. B. von der Eingabeauf-forderung mit dem Diskpart-Befehl vorgenommen werden. Aber die Um-benennungen sind fakultativ.

    Ist Vista dann installiert, kann nachfolgend aus der Systemsteuerung BitLocker aktiviert werden. Gegebenenfalls muss dazu erst die TPM-Hard-ware initialisiert, der PC neu gestartet und dann das BitLocker-Programm erneut aufgerufen werden.

    Sie werden dabei gefragt, wie und wo Sie das Wiederherstellungskenn-wort speichern mchten, das bentigt wird, falls der originale Schlssel nicht mehr funktioniert oder nicht mehr zur Verfgung steht, die Festplatte in ein anderes System eingebaut wird sowie falls nderungen an der Sys-temstartkonfiguration vorgenommen werden.

    Zur Auswahl stehen die Punkte: Speichern auf einem USB-Laufwerk, Speichern in einem Ordner oder Auf einem Drucker ausdrucken. Fr Un-ternehmen steht auch die Konfiguration durch Gruppenrichtlinien und der Speicherung des Schlssels in Active Directory zur Verfgung. Dazu muss das AD-Schema mit dem Adprep.exe-Programm von der Vista-DVD zuvor fr die Aufnahme der dafr erforderlichen neuen Objektklassen und Attri-bute modifiziert werden.

  • 4.2 Programme in der Systemsteuerung 111

    Da das Wiederherstellungskennwort extrem wichtig ist, wird von Micro-soft empfohlen, zustzliche Kopien anzufertigen!

    Nach einem Neustart wird dann schlielich die Betriebssystempartition verschlsselt. Aber wie schon erwhnt: Auch auf Computern ohne TPM kann BitLocker verwendet werden: Anstelle in dem Modul wird der Schlssel auf einem USB-Laufwerk gespeichert. Das Rechner-BIOS muss jedoch Lesezugriffe hierauf vor Systemstart zulassen. Gegebenenfalls ist dazu eine BIOS-Aktualisierung erforderlich.

    Weil der Wiederherstellungsschlssel ebenfalls auf einem USB-Lauf-werk gespeichert werden kann, wird in diesem Fall empfohlen, zwei ver-schiedene zu verwenden: Eins fr die tgliche Arbeit und das andere fr der Wiederherstellungsfall.

    Sollten Sie beim Systemstart nach dem Wiederherstellungsschlssel ge-fragt werden, gibt es hierbei eine Besonderheit: Die Funktionstasten F1 - F9 entsprechen den Ziffern 1 bis 9, F10 ist die Null.8

    BitLocker kann auch ausgeschaltet werden: Dabei ist zu unterscheiden, ob es (nur temporr) deaktiviert werden soll, um z. B. nderungen am TPM vornehmen zu knnen, oder ob das Laufwerk entschlsselt werden soll.

    Es ist davon auszugehen, dass durch die Ver- und Entschlsselung die Sicherheit zwar steigt, aber die Leistung eines Gertes sinkt, wenn auch Microsoft stets behauptet, dass die Leistungseinbuen nur geringfgig sein sollen. Exakte Werte liegen derzeit noch nicht vor.

    4.2.4 Datum und Uhrzeit

    Ein Aufruf dieses Symbols startet das Datum und Uhrzeit-Programm (sie-he Abb. 4.8), das aber natrlich auch aus der Taskleiste am unteren Bild-schirmrand aufgerufen werden kann.

    8 Sollte die Wiederherstellung mit der eingebauten Wiederherstellungsfunktion

    nicht klappen, gibt es von Microsoft noch externes Reparatur-Programm, BitLo-cker Repair Tool genannt. Siehe den Knowledgebase-Artikel 928201.

  • 112 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.8. Datum und Uhrzeit

    Auch hier hat sich im Vergleich zu den Vorgngerversionen einiges ge-

    tan: So lassen sich nun der Beginn und das Ende der Sommerzeit sowie die Zeiten in mehreren Zeitzonen anzeigen (Registerkarte Zustzliche Uhren).

    Die Zeitsynchronisierung lsst sich per NTP (Network Time Protocol) mit einer Internetquelle oder einem Unternehmenszeitserver9 synchronisie-ren. Zur Modifikation sind nunmehr aber administrative Rechte erforder-lich, weil Microsoft erkannt hat, dass durch Verndern der Systemzeit Replay-Attacken bei bestimmten Netzwerkprotokollen mglich sind. Was

    9 Auf jedem Active-Directory-Domnencontroller luft standardmig der NTP-

    Dienst.

  • 4.2 Programme in der Systemsteuerung 113

    sie hingegen noch nicht bemerkt haben, ist, dass per nderung der Zeitzo-neneinstellung und Durchfhrens der Attacke zu einem entsprechend sp-teren Zeitpunkt diese auch fr Benutzer grundstzlich weiterhin mglich sind.10

    In den Internetzeiteinstellungen wird der Name oder die IP-Adresse ei-nes Zeitservers eingetragen. Gerade im deutschsprachigen Raum bieten sich dafr die Stratum-1-Server ntp1.ptb.de und ntp2.ptb.de der Physika-lisch-technischen Bundesanstalt in Braunschweig an, deren Csium-Atom-Uhren-Dienste wir durch Steuern bezahlen, und bei denen die Ping-Zeiten kleiner (und damit die Genauigkeit der eingestellten Zeit hher wird) als der voreingestellte Wert time.windows.com, welcher derzeit eine Verzge-rung von mindestens 200 ms mit sich bringt.11

    4.2.5 Der Gertemanager

    Mit dem Gertemanager (siehe Abb. 4.9) lassen sich smtliche Gerte und Systemkomponenten eines Computers verwalten.

    Die einzelnen Gerte sind in Kategorien zusammengefasst, lassen sich aber durch einen Mausklick auf das Plussymbol erweitern und so einzeln darstellen.

    Der Auswahlpunkt Legacyhardware hinzufgen aus dem Aktions-Men ruft das Hardware-Programm (siehe Abschnitt 4.2.6) auf.

    Mit der Option Vorheriger Treiber aus der Registerkarte Treiber in den Eigenschaften eines jeden Gerts lsst sich die jeweils vorher installierte Version eines Gertetreiber wieder herstellen, falls ein Gert nach einer Treiberaktualisierung nicht mehr funktionieren sollte. Dieser Punkt kann dort aber nur ausgewhlt werden, wenn der jeweilige Gertetreiber min-destens einmal aktualisiert wurde, sonst ist diese Schaltflche grau (inak-tiv) dargestellt.

    Ein wichtiger Unterschied besteht in den Funktionen Deaktivieren und Deinstallieren: Ersteres schaltet die Funktion des betreffenden Gerts in Windows (nicht jedoch im BIOS) ab und es kann ab sofort nicht mehr verwendet werden.

    10 Jedenfalls bei Protokollen, die nicht die UTC-Zeit verwenden, sondern die lo-

    kale. 11 Ob Sie hierbei den FQDN (Fully Qualified Domain Name) des Zeitservers oder

    seine IP-Adresse eintragen, bleibt Ihnen berlassen. Denn beides bringt jeweils Vor- und Nachteile mit sich. Im Falle der PTB werden vom Betreiber DNS-Namen empfohlen.

  • 114 4. Windows Systemsteuerung und Verwaltungsprogramme

    Die zweite Option hingegen entfernt lediglich die derzeit installierten Gertetreiber, lsst das Gert aber aktiviert. Nach einem Neustart des Sys-tems erkennt Vista dieses Gert erneut, versucht einen Treiber zu installie-ren bzw. fragt nach Treibern dafr.

    Abb. 4.9. Der Gertemanager

    4.2.6 Hardware

    Dieses Programm sollten Sie heutzutage nur noch selten benutzen mssen, weil es Treiber fr Gerte verwaltet, die nicht Plug&Play-fhig sind. Zeit-geme Erweiterungskarten, die per PCI-Express, AGP oder PCI mit dem Computer-System verbunden sind, melden von sich aus, welche System-ressourcen (E/A-Ports, RAM, IRQ- oder DMA-Kanle) sie bentigen. Selbst fr alte, ISA-Steckkarten, fr die es nun sehr schwer ist, berhaupt noch Hauptplatinen zu bekommen, existiert eine Plug&Play-Spezifikation fr die konfigurationslose Inbetriebnahme.

  • 4.2 Programme in der Systemsteuerung 115

    Abb. 4.10. Hardware-Manager

    Falls angeschlossene Gerte aber nicht beim Systemstart oder durch ei-

    ne manuelle Suche im Gertemanager gefunden werden, kann mit dem Hardware-Programm eine Installation erzwungen werden. Um Systemab-strze zu vermeiden, sollte dabei aber unbedingt sichergestellt sein, dass die Klasse des Gertes, fr das Treiber installiert werden sollen, tatschlich korrekt ist.

    4.2.7 Indizierungsoptionen

    Standardmig werden alle Dateien der gngigsten Dateitypen auf dem Computer indiziert. Zu den indizierten Speicherorten gehren alle Dateien in Ihrem persnlichen Ordner (z. B. Dokumente, Fotos, Filme und Musik) sowie E-Mail- und Offline-Dateien. Programm- und Systemdateien werden jedoch nicht in den Index aufgenommen, da diese Dateien im allgemeinen nur selten durchsucht werden mssen. Weil der Index dadurch kleiner ist, werden Suchvorgnge somit beschleunigt.

  • 116 4. Windows Systemsteuerung und Verwaltungsprogramme

    Verwaltet wird die Indizierung mit dem Programm Indizierungsoptionen aus der Systemsteuerung (siehe Abb. 4.11).

    Abb. 4.11. Optionen des Indizierungsprogramms

    In ihm knnen die Verzeichnisse (Orte genannt), die ein- und ausge-

    schlossen werden sollen, festgelegt werden. Die Indizierung luft im Hintergrund, wenn ein PC nicht benutzt wird,

    damit der Einfluss auf die Leistung des Rechners so gering wie mglich ist. Falls Ihr Computer also spontan viel auf die Festplatte zugreift, obwohl Sie gerade nicht an ihm arbeiten, knnte die Indizierung der Grund dafr sein.

    Wenn ein Index vorhanden ist, wird nur noch dieser verwendet: Das kann praktisch sein, um bestimmte Dateien und Verzeichnisse (in z. B. Temp- und Archivverzeichnissen) aus Suchergebnissen auszublenden. Die als Ergebnis einer Suche aufgelisteten Dateien und Verzeichnisse geben

  • 4.2 Programme in der Systemsteuerung 117

    dann aber nicht mehr in jedem Fall vollstndig den Inhalt einer Festplatte wieder.

    Als Administrator(in) kann man durch Auswahl der Schaltflche Erwei-tert detaillierter die Arbeitsweise der Indizierungsfunktion festlegen. Es ffnet sich dann das in Abb. 4.12 gezeigte Fenster.

    Abb. 4.12. Erweiterte Optionen der Indizierung

    In der Registerkarte Dateitypen knnen die zu indizierenden und nicht

    zu indizierenden Dateien der aufgefhrten Typen (bzw. Dateiendungen) festgelegt werden, und ob nur die Dateieigenschaften oder die Dateieigen-

  • 118 4. Windows Systemsteuerung und Verwaltungsprogramme

    schaften und die Dateiinhalte in den Index aufgenommen werden sollen (siehe Abb. 4.13).

    Abb. 4.13. Auswahl zu indizierender Dateitypen

    Als zustzliche Steuerungsoption knnen in den NTFS-Berechtigungen

    der betreffenden Objekte (siehe dazu Kap. 5) die Indizierung jeweils akti-viert bzw. deaktiviert werden.

    Theoretisch knnte auch der gesamte Computer mit allen Verzeichnis-sen und Dateien indiziert werden. Davon sollte aber aus folgendem Grund abgesehen werden: Wenn der Index zu gro wird, oder wenn Sie Dateisys-tempfade einschlieen, wie etwa den Ordner Programme, werden Ihre

  • 4.2 Programme in der Systemsteuerung 119

    Routinesuchen langsam, da der Index nicht mehr performant durchsucht werden kann. Um ein optimales Ergebnis zu erzielen, empfiehlt Microsoft, nur solche Ordner zum Index hinzuzufgen, die persnliche Dateien ent-halten.

    4.2.8 Programme und Funktionen

    Nach Aufruf des Symbols Programme und Funktionen aus der System-steuerung wird zuerst die Option Programm deinstallieren und eine Liste bereits installierter Programme angezeigt. Das Fenster ist in Abb. 4.14 dar-gestellt und die Funktionen werden in Tabelle 4.2 erlutert.

    Des weiteren kann man Programme auf der Internetsite Windows Mar-ketplace kaufen sowie Informationen frher gekaufter und heruntergelade-ner Software12 ansehen. Dazu wird ein sog. Digitales Schliefach (engl. Digital Locker) benutzt, in dem Lizenzschlssel und Besttigungen ber Software-Kufe gespeichert werden. Eine Windows-Live-ID13 wird dabei als Benutzer-ID des digitalen Schliefachkontos verwendet.

    Die heruntergeladene Software kann zu Sicherungszwecken auf CD bzw. DVD gebrannt oder jederzeit erneut heruntergeladen werden.

    Schlielich steht noch die Option Windows-Funktionen fr Administra-toren zur Verfgung, mit der festgelegt wird, welche Windows-Komponen-ten installiert bzw. deinstalliert werden sollen.

    12 Das wird auch als nicht-physischer Vertrieb von Computer-Software bezeichnet. 13 Vormals Windows Passport.

  • 120 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.14. Windows-Funktionen

  • 4.2 Programme in der Systemsteuerung 121

    Folgende Funktionen bietet Windows Vista an:

    Tabelle 4.2. Verfgbare Windows-Vista-Funktionen

    Name Bedeutung

    ActiveX-Installerdienst Steuert die Installation fr ActiveX-Con-trols fr normale Benutzer per Active-Directory-Gruppenrichtline (GPO).

    Dienste fr NFS (Server, Client und Ver-waltung)

    Installiert NFS-(Network File System)-Server, -Client oder -Verwaltungspro-gramme. NFS ist ein verbreitetes Netz-werkressourcenfreigabeprotokoll (hn-lich wie das Windows SMB (Server Message Block) Protokoll).

    Druckdienste (Internetdruckdienst, LPD-Druckdienst, LPR-Anschlussmonitor)

    Installiert erweiterte Druckfunktionen wie den Internetdruckdienst, der Dru-cken ber die Ports 80 bzw. 443 ermg-licht, aber zustzlich die Internetinfoma-tionsdienste erfordert, und Unix-Druck-Client- und -Server-Funktionen.

    Einfache TCP/IP-Dienste Fgt selten bentigte TCP/IP-Dienste wie Echo, Daytime, etc. hinzu. Diese sollten auf Produktionscomputern aus Sicherheitsgrnden nicht installiert sein!

    Indexdienst Installiert die Vor-Windows-Vista-Versi-on des Indexdienstes. Diese veraltete Version wird vom Vista-System nicht mehr bentigt, aber ggf. fr Suchabfra-gen auf selbsterstellten Webseiten fr den Internet Information Server v4, 5 oder 6.

    Internetinformationsdienste Hiermit knnen die WWW- und FTP-Verffentlichungsdienste sowie die Web-verwaltungstools des Internet Informati-on Servers Version 7 installiert werden.

    Microsoft .NET-Framework 3.0 Fgt .Net in der Version 3.0 hinzu. In den Unteroptionen ist auch der XPS-Be-trachter zu finden, mit dem Dateien im XPS-Format, das nach Microsofts Willen Adobe Acrobat ablsen soll, dargestellt werden knnen.

  • 122 4. Windows Systemsteuerung und Verwaltungsprogramme

    Microsoft Message Queue (MSMQ)-Server

    Manche COM-(Component Object Mo-del)-Komponenten bentigen die MSMQ-Dienste, um mit anderen zu kommunizieren. Diese knnen in dem Fall hier ausgewhlt werden.

    Optionale Tablet-PC-Komponenten Fr Tablet-PCs knnen hiermit weitere Funktionen (wie Eingabebereich, Hand-schriftenerkennung etc.) hinzugefgt werden.

    Remoteunterschiedskomprimierung Dieser Dienst ermittelt von einer Daten-bertragung identische sowie unter-schiedliche Bereiche von Dateien und bertrgt dann nur die Unterschiede. Da-durch muss oft nicht mehr die vollstndi-ge Datei bertragen werden, was somit Kopiervorgnge (z. B. beim Zurck-schreiben der Benutzerprofile auf Datei-server) beschleunigt.

    RIP-Listener Diese Funktion berwacht das Netzwerk auf RIP-(Router Information Protocol)-Version-1-Pakete, die dann dazu verwen-det werden, die TCP/IP-Routentabellen zu aktualisieren. Aus mehreren Grnden (u. a. hufige Broadcasts, inkompatibel zum Classless Internet Domain Routing - CIDR - und fehlende Authentifizierungs-funktionen) wird RIPv1 hchstens in kleinen Netzwerken noch verwendet. Und selbst dort sollte bei entsprechen-dem Bedarf zumindest Version 2 des RIP benutzt werden.

    SNMP-Funktion Hierdurch wird das SNMP (Simple Net-work Management Protocol), mit dem der Rechner in ein Netzwerkverwal-tungssystem wie HP OpenView, CA Uni-center, Tivoli o. . eingebunden werden kann, installiert. Optional kann auch die WMI-Untersttzung (Windows Mana-gement Instrumentarium), einem neueren System mit hnlicher Aufgabe, ausge-whlt werden.

  • 4.2 Programme in der Systemsteuerung 123

    Spiele Zum Installieren und Deinstallieren der Windows-Spiele.

    Subsystem fr UNIX-basierte Anwen-dungen

    Diese Teilkomponente, die auch als SUA bezeichnet wird, hilft bei der und verein-facht die Migration von Unix-Applika-tionen (POSIX) und -Skripten auf Vista. Es ermglicht jedoch keine Object-Code-Kompabilitt, sondern der Code muss fr Vista mit SUA neu kompiliert werden.

    Telnet-Client Installiert oder entfernt den Telnet-(Ter-minal Emulation)-Client. Da beim Tel-net-Protokoll Anmeldekennungen und Kennwrter in Klartext bertragen wer-den, gilt die Verwendung als Sicherheits-risiko und sollte nicht ohne zustzliche Verschlsselung wie VPN (Virtual Priva-te Network) oder IPSec verwendet wer-den.

    Telnet-Server Installiert oder entfernt den Telnet-(Ter-minal Emulation)-Dienst. Hinsichtlich der Sicherheitsproblematik gilt dasselbe wie beim Telnet-Client.

    TFTP-Client Fgt das Clientprogramm fr das Trivial File Transfer Protocol hinzu oder ent-fernt es.

    Wechselmedienverwaltung Mit dieser Funktion knnen Bandstze erstellt und verwaltet werden.

    Windows-Ultimate-Extras Zustzliche Programme, die nur fr die Vista-Ultimate-Version verfgbar sind.

    Windows-DFS-Replikationsdienst Fgt den Replikationsdienst des DFS (Distributed File System) hinzu. Dieser wird fr die Replikation und Synchroni-sation von Ordnern und Dateien zwi-schen mehreren Computern benutzt.

    Windows-Fax und -Scan Hiermit wird festgelegt, ob das Senden und Empfangen von Faxen sowie das Scannen von Bildern etc. mglich sein soll.

  • 124 4. Windows Systemsteuerung und Verwaltungsprogramme

    Windows-Prozessaktivierungsdienst Installation des Prozessaktivierungs-dienstes. Dieser wird auch als WAS (Windows Activation Service) bezeich-net und wird fr manche .Net-3.0-Pro-gramme bzw. IIS-7-Sites bentigt.

    Windows-Teamarbeit Funktionen fr die Zusammenarbeit von mehreren Personen ber ein Netzwerk.

    4.2.9 Sicherheitscenter

    Im Windows-Sicherheitscenter knnen grundlegende Sicherheitseinstel-lungen festgelegt werden. Es bietet zustzlich eine Startplattform fr die Programme Windows-Update, Windows-Firewall, Windows-Defender und die Internetoptionen (siehe Abb. 4.15)

    Abb. 4.15. Das Windows Sicherheitscenter

  • 4.2 Programme in der Systemsteuerung 125

    Im Sicherheitscenter knnen die Firewall, die automatischen Updates, Antivirensoftware und weitere Sicherheitseinstellungen aktiviert und deak-tiviert werden. Sollte das Sicherheitscenter etwas zu melden haben, er-scheint im Infobereich von Windows Vista rechts unten am Bildschirm ein Warnhinweis. Dieses Verhalten kann aber ber die Benachrichtigungsein-stellungen modifiziert werden.

    4.2.10 Sprachpakete

    Bei Windows Vista kann erheblich einfacher als bei den Vorgngerversio-nen benutzerbezogen die Spracheinstellungen der Arbeitsoberflche und der Mens eingestellt werden.

    Bei den installierbaren Sprachpaketen werden zwei Typen unterschie-den: Es gibt MUI- und LIP-Sprachpakete.

    Sie unterscheiden sich insbesondere hinsichtlich der Verfgbarkeit, der Gre, der bentigten Vista-Basisversion und des Grades der Vollstndig-keit der bersetzung.

    Die Wahl der Systemsprachoption fr Programme, Mens und den Win-dows-Explorer wird mit dem Programm Regions- und Sprachoptionen in der Systemsteuerung festgelegt (siehe Abb. 4.16).

    Dieses darf nicht mit der Sprachenleiste aus Textdienste & Eingabespra-chen verwechselt werden, mit dem Spracheinstellungen fr die Tastatur bzw. die Sprachein- und -ausgabe festgelegt werden!

    4.2.10.1 Mehrsprachige Benutzeroberflchenpakete (MUI)

    Die nur fr Benutzer von Windows Vista Enterprise und Windows Vista Ultimate ber Windows Update herunterladbaren mehrsprachigen Benut-zeroberflchenpakete (Multilingual User Interface Pack, MUI) sind in den 16 Sprachen Chinesisch (traditionell - Hong Kong), Chinesisch (verein-facht), Dnisch, Deutsch, Englisch (USA), Finnisch, Franzsisch, Italie-nisch, Japanisch, Koreanisch, Niederlndisch, Norwegisch, Portugiesisch (Brasilien), Russisch, Schwedisch und Spanisch erhltlich.14

    Sie sind jeweils ca. 140 - 250 MB gro (komprimiert), expandiert bis zu 1 GB und leider dauert die Installation eines MUI-Sprachpakets derzeit fast so lange wie eine Vista-Installation selbst. Nach dem ersten Installie-ren eines MUI-Pakets ist zudem ein Neustart, nach einem Sprachwechsel eine Benutzerab- und -anmeldung erforderlich.

    14 Fr Windows-Vista-Enterprise-Kunden gibt es die MUI-Pakete auch auf CDs

    bzw. DVDs.

  • 126 4. Windows Systemsteuerung und Verwaltungsprogramme

    Vorteilig an MUI-Paketen ist jedoch ganz klar, dass die gesamte Benut-zerschnittstelle (inklusive der Hilfe) bersetzt ist und dass sie auf beliebi-gen Basisversionen von Vista installiert werden knnen.

    Abb. 4.16. Installation und Konfiguration von Anzeigesprachen

  • 4.2 Programme in der Systemsteuerung 127

    4.2.10.2 Benutzeroberflchen-Sprachpakete (LIP)

    LIPs (Language Interface Packs, LIP) gibt es fr ber 50 Sprachen (dar-unter Bulgarisch, Kroatisch, Estlndisch, Luxemburgisch, Irisch, Thailn-disch, Ukrainisch etc.).

    Die Gre eines Sprachpakets bewegt sich im Bereich von ca. 5 - 10 MB. Allerdings sind im Vergleich zu MUIs nur die wichtigsten Elemente (ca. 80 %) der Arbeitsoberflche und des Betriebssystems bersetzt. Die Hilfe, Verwaltungsprogramme, Systemfehlermeldungen, Ereignisanzeige-eintrge etc. sind nicht bersetzt.15 Zum Installieren kann die betreffende LIPSetup.msi-Datei von einer Microsoft-Website16 heruntergeladen und aufgerufen.

    Es gibt jedoch einige LIP-spezifische Besonderheiten: Wenn auf einem System ein LIP installiert ist, gilt es fr alle Benutzer(innen). Es gibt keine Sprachwahl je Benutzer (wie es bei MUI der Fall ist). Und LIPs haben anders als MUI-Pakete bestimmte Anforderungen an die zugrundelie-genden und zuvor zu installierenden Basissprachversionen von Windows Vista. So muss fr die meisten LIPs die englischsprachige Vista-Version installiert sein, fr Ukrainisch die russische Version, und fr Katalanisch bsp. die spanische Version.

    4.2.11 System

    Ein weiteres, wichtiges Programm ist das Systemprogramm, das aus der Systemsteuerung oder aus dem Kontextmen des Computer-Symbols auf-gerufen werden kann.

    Es besteht aus mehreren Registerkarten, mit der grundlegende Einstel-lungen des Systems festgelegt werden knnen.

    Die erste Registerkarte heit Computername (siehe Abb. 4.17).

    15 Eine Ausnahme von dieser Regel bilden die Sprachkits fr Slowakisch und Slo-

    wenisch, die zwar vollstndig (inkl. der Hilfe) bersetzt sind und wie ein MUI-Paket installiert werden, aber dennoch als LIP verffentlicht wurden.

    16 http://www.microsoft.com/industry/government/locallanguage/languages.mspx

  • 128 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.17. Registerkarte Computername des System-Programms

    Mit ihr kann eine Beschreibung des Computers, seine Namen (NetBIOS

    und DNS-FQDN) und Domnen- bzw. Arbeitsgruppenmitgliedschaft an-gezeigt sowie verndert werden. Diese Funktion wird ber die Auswahl von ndern... aufgerufen und zeigt das in Abb. 4.18 dargestellte Fenster.

  • 4.2 Programme in der Systemsteuerung 129

    Abb. 4.18. ndern des Computernamens und der Domne im System-Programm

    Als Domnenname kann entweder ihr Active-Directory-/DNS-Name

    oder der NetBIOS-Name eingegeben werden. Ersteres ist jedoch die be-vorzugte Option. Da Arbeitsgruppen nur per NetBIOS-Namensauflsung realisiert werden knnen, steht die DNS-Option dort nicht zur Verfgung.

    Der hier festgelegte Computername wird sowohl als NetBIOS- als auch als Hostname verwendet. Wenn ein DNS-Zonensuffix eingegeben werden soll, muss dafr zuvor auf Weitere... geklickt werden.

    In der zweiten Registerkarte des Systemprogramms, die den Namen Hardware trgt, kann der Gerte-Manager aufgerufen und die Windows-Update-Treiber-Einstellungen verndert werden (siehe Abb. 4.19).

  • 130 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.19. Registerkarte Hardware des System-Programms

    Der Gertemanager wurde bereits oben in diesem Kapitel besprochen. Bei den Treibereinstellungen fr Windows-Update sind die Punkte Au-

    tomatisch nach Treibern suchen, Jedes mal nachfragen,... und Nie nach Treibern suchen,... im Angebot (siehe Abb. 4.20). Zweifellos drfte es auf Windows Update stets die aktuellsten Gertetreiber geben, aber ob das die bestgeeignetste Option fr ein Notebook, das mobil benutzt wird, oder fr Computer, die per Richtlinie gesteuert berhaupt keinen Internetzugriff haben, ist, mag dahingestellt sein.

  • 4.2 Programme in der Systemsteuerung 131

    Mit seinen rund 20.000 Gertetreibern bringt Windows Vista doppelt so viele Treiber mit wie Windows XP. Und ein Treiber kann (insb. bei Gra-fikkarten) hufig fr mehrere Gerte verwendet werden.

    Abb. 4.20. ndern der Windows-Update-Treibereinstellungen im System- Programm

    Unter der dritten Registerkarte Erweitert (siehe Abb. 4.21) befinden sich

    einige leistungsbezogene Einstellungen sowie solche fr Umgebungsvari-ablen.

  • 132 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.21. Registerkarte Erweitert des System-Programms

    Durch Klick auf Einstellungen... im Bereich Leistung ffnet sich das in

    Abb. 4.22 gezeigte Fenster namens Leistungsoptionen, das ebenfalls meh-rere Registerkarten hat. In der Ersten (Visuelle Effekte) kann der Grad der Farbenfrohheit und der Animationen von Windows Vista modifiziert wer-den. Intuitiv drfte dabei klar sein, dass je mehr Optionen aktiviert sind, ein immer leistungsfhigeres System bentigt wird. Zum Strom sparen und zur Erhhung der Leistungsfhigkeit eines PCs knnen nicht bentigte vi-suelle Effekte abgeschaltet werden.

  • 4.2 Programme in der Systemsteuerung 133

    Abb. 4.22. nderung der Darstellung im System-Programm

    Mit dem Schalter Prozessorzeitplanung in der zweiten, Erweitert ge-

    nannten Registerkarte der Leistungsoptionen (siehe Abb. 4.23) wird eine Priorittssteuerung der ausgefhrten Prozesse vorgenommen. Bei der fr Arbeitsstationen optimalen Einstellung Programme erhalten alle Benutzer- bzw. Vordergrundanwendungen eine um zwei Stufen erhhte Prioritt und

  • 134 4. Windows Systemsteuerung und Verwaltungsprogramme

    werden somit bevorzugt ausgefhrt. Die zweite Option (Hintergrunddiens-te) ist ideal fr einen Rechner, der als Server arbeitet.

    Abb. 4.23. Erweiterte Leistungsoptionen im System-Programm

    Im unteren Bereich dieses Fensters mit dem Namen Virtueller Arbeits-

    speicher knnen die Gre und der Speicherort der Auslagerungsdatei

  • 4.2 Programme in der Systemsteuerung 135

    festgelegt werden. Immer, wenn der zur Verfgung stehende physische Speicher fr einen Vorgang nicht ausreicht, lagert Vista nicht bentigte Speicherseiten in eine Auslagerungsdatei aus und fllt den dann freige-wordenen Speicherbereich mit anderen Seiten aus dieser Datei auf. Diese Betriebssystemfunktion wird virtueller Speicher genannt. Im Normalfall sollte die Gre der Auslagerungsdatei den 1,5- bis 2-fachen Wert des phy-sischen RAMs betragen. Vista kann die Gre aber auch selbstndig ver-walten.

    Schlielich wird mit der letzten Registerkarte dieses Fensters (siehe Abb. 4.24) die Datenausfhrungsverhinderung (DAV, engl.: Data Execu-tion Prevention, DEP) gesteuert. Doch was verbirgt sich hinter diesem Begriff? Wie schon oben gesehen, gibt es einen Schutz der jeweiligen Speicherbereiche eines jeden Prozesses untereinander. Wenn ein Prozess absichtlich oder unabsichtlich versuchen sollte, auf eine Speicherstelle zu-zugreifen, die ihm nicht zugeordnet ist, beendet das Betriebssystem diesen Prozess unter Ausgabe einer Fehlermeldung.

    Aber auch das schtzt nicht vor whrend der Laufzeit eingeschleusten, schdlichen Code (z. B. mittels eines Buffer-Overflows), der dann im Si-cherheitskontext des Prozesses ausgefhrt wrde.

    Programme bestehen vereinfacht gesagt aus drei wichtigen Teilen: Einem Code-Segment, in dem die ausfhrbaren Maschinensprachbefehle enthalten sind, einem Daten-Segment, in dem Konstanten (wie Men-punkt- oder Hilfetexte) untergebracht sind und einem BSS (Block Storage Segment), welches fr dynamische Speicherallokationen, die erst whrend der Laufzeit eines Programms vorgenommen werden (z. B. Arrays), vorge-sehen ist.

    Whrend der Laufzeit wird noch ein Stapel (engl.: Stack) angelegt, in dem Variablen und Rcksprungadressen bei Unterprozeduraufrufen ge-speichert werden. Whrend der Laufzeit drfen die ersten beiden Segmente eigentlich nicht beschrieben bzw. verndert werden.17 Sie sind als read-only anzusehen. Auerdem darf sich ausfhrbarer Code nur in dem Code-Segment befinden. Falls versucht wird, Instruktionen aus einem der ande-ren beiden Segmente auszufhren, greift die Datenausfhrungsverhinde-rung. Diese gibt es in zwei Ausfhrungen: Hardwareseitig und Software-seitig (durch Vista). Fr die Hardware-DAV muss eine CPU benutzt wer-den, welche diese Funktion untersttzt (NX No-Execute-Flag). Das ist bei allen modernen AMD- und Intel-Prozessoren der Fall.

    17 Obwohl dieses technisch mglich wre, ist so genannter selbstmodifizierender

    Code verpnt.

  • 136 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.24. Steuerung der Datenausfhrungsverhinderung (DAV)

    Mit der zweiten Schaltflche der Registerkarte Erweitert... des System-

    Programms (siehe Abb. 4.25) werden die auf einem System vorhandenen Benutzerprofile angezeigt und knnen verndert, kopiert sowie gelscht werden.

  • 4.2 Programme in der Systemsteuerung 137

    Ein Benutzerprofil enthlt individuelle Einstellungen ber das Aussehen der Arbeitsoberflche und Optionen von Programmen sowie Verzeichnisse wie das Startmen und die Benutzerdateien.

    Es wird bei der erstmaligen Anmeldung eines Benutzers oder einer Be-nutzerin an einem Rechner erstellt und erhlt eine Kopie des .Default-Profils. Es ist dann vom Typ lokal und wird nur auf der Festplatte des Rechners gespeichert.

    Abb. 4.25. Verwaltung vorhandener Benutzerprofile

    In einer Unternehmensumgebung bietet sich an, mit servergespeicherten

    Profilen zu arbeiten, deren Hauptkopie sich auf einer Freigabe eines Netz-werkservers befindet. Bei der Anmeldung an einer Arbeitsstation werden nur die fehlenden bzw. genderten Teile des Profils bertragen. Ebenso bei der Abmeldung. Ein Vorteil eines servergespeicherten Profils ist die zen-

  • 138 4. Windows Systemsteuerung und Verwaltungsprogramme

    trale Speicherung der Profile, wodurch Datensicherungen vereinfacht wer-den und die Benutzer haben an jeder Arbeitsstation, an der sie sich anmel-den, ihre gewohnte Umgebung.

    Whrend Windows NT 4.0 stets komplette Profile (mit ggf. Gren von jeweils vielen Megabytes) bei An- und Abmeldungen bertragen hat, Win-dows 2000 und Windows XP immerhin nur noch die genderten Dateien, geht Windows Vista noch einen effizienz- und leistungssteigernden Schritt weiter: Jetzt werden nur noch genderte Bereiche von Dateien bertragen.

    Der benutzerabhngige Teil der Registrierung (HKEY_Current_User) wird in der Datei NTUSER.DAT im Profilverzeichnis jedes Benutzers ge-speichert. Wird die Dateierweiterung in .MAN gendert, wird dieses zu ei-nem verbindlichen Profil (mandatory profile). nderungen, die Benutzer daran vornehmen, werden bei der Abmeldung ignoriert und sie erhalten bei der Neuanmeldung wieder das voreingestellte Unternehmensstandardpro-fil.

    Mit dem Fenster Starten und Wiederherstellen (siehe Abb. 4.26), das durch Auswahl der dritten Einstellungen-Schaltflche der erweiterten Sys-temeigenschaften aufgerufen werden kann, wird ausgewhlt, welche Be-triebssysteminstallation gestartet werden soll. Jedoch wird der Boot-Mana-ger nur angezeigt, falls sich mehr als eine Betriebssysteminstallation auf einem Rechner befindet.

    In dem unteren Teil dieses Fensters wird eingestellt, was vorgenommen werden soll, falls ein STOP-Fehler auftritt. Falls man nicht gerade auf Feh-lersuche ist und mit dem Microsoft-Support in Verbindung steht, lohnt sich, zu errtern, ob Speicherabbilder (engl.: Memory Dumps) berhaupt erstellt werden sollen (obwohl es die Voreinstellung ist), dann sie belegen im Maximalfall je Datei soviel Platz auf der Platte wie Hauptspeicher im System installiert ist.

  • 4.2 Programme in der Systemsteuerung 139

    Abb. 4.26. Starten und Wiederherstellen aus dem System-Programm

    Ein Klick auf Umgebungsvariablen ffnet das gleichnamige und in Abb.

    4.27 dargestellte Fenster, in dem die Belegungen (der auch Environment-Variablen genannten) Werte vorgenommen wird.

    Diese lassen sich in eine Eingabeaufforderung mit dem Echo-Befehl an-zeigen, mit dem Set-Befehl anzeigen und ndern, oder in Skripten ber %Variablenname% abfragen.

    Beim Start eines Systems werden stets zuerst die Systemvariablen ge-setzt (sie sind auch belegt, wenn gar kein Benutzer angemeldet ist) und erst nachfolgend die Umgebungsvariablen fr den Benutzer bzw. die Benutze-

  • 140 4. Windows Systemsteuerung und Verwaltungsprogramme

    rin. Sie berschreiben daher bei gleichem Variablennamen den Inhalt der betreffenden Systemvariablen und sind insoweit hher priorisiert.

    Abb. 4.27. Umgebungsvariablen

    Darber hinaus gibt es Pseudo-Umgebungsvariablen. Sie werden nicht

    dauerhaft gespeichert, sondern generieren erst beim Aufruf einen Wert (wie %Random% und %Time%). Umgebungsvariablen hneln somit Vari-ablen von Programmiersprachen, Pseudo-Umgebungsvariablen Funktio-nen.

    Jeder Tochterprozess erbt stets eine Kopie der Umgebungsvariablen des bergeordneten Prozesses. Allerdings werden nderungen an ihnen in ei-nem untergeordneten Prozess nicht vom aufrufenden Prozess bernom-men.

  • 4.2 Programme in der Systemsteuerung 141

    Leider erfordern nderungen an den System-Umgebungsvariablen ei-nen Neustart, damit sie wirksam werden. nderungen der Benutzervariab-len erfordern einen erneuten Anmeldevorgang.

    Gespeichert werden sie unter den Registrierungspfaden HKCU\Environ-ment (Benutzervariablen) und HKLM\System\CurrentControlSet\Con-trol\Session Manager\Environment (Systemvariablen).

    In Tabelle 4.3 finden Sie die (echten und Pseudo-)Umgebungsvariablen und eine beispielhafte Belegung. Zwar sind Umgebungsvariablen generell case-insensitive, d. h. zwischen Gro- und Kleinschreibung wird nicht un-terschieden. In der folgenden Tabelle sind sie jedoch durchgngig in Gro-buchstaben angegeben, was die bevorzugte Darstellung ist, um auf ihren besonderen Charakter hinzuweisen.

    Tabelle 4.3. Umgebungsvariablen von Windows Vista

    Variablenname und Beispielinhalt Bedeutung

    %ALLUSERSPROFILE% ==> C:\ProgramData

    Gibt den Pfad des All Users-Profils zu-rck.

    %APPDATA% ==> C:\Users\sw0141\AppData\Roa-ming

    Gibt den Pfad fr Anwendungsdaten des aktuell angemeldeten Benutzers zurck.

    %CD% ==> C:\

    Gibt das aktuelle Laufwerk und den aktu-ellen Verzeichnispfad zurck.

    %CMDEXTVERSION% ==> 2

    Gibt die Version der Befehlszeilenerwei-terungen zurck.

    %COMMONPROGRAMFILES% ==> C:\Program Files\Common Files

    Gibt das Verzeichnis der gemeinsam ge-nutzten Programme zurck.

    %COMPUTERNAME% ==> KNALLER

    Gibt den NetBIOS-Namen des Compu-ters zurck, auf dem dies ausgefhrt wird.

    %COMSPEC% ==> C:\Windows\system32\cmd.exe

    Pfad und Name des Kommandozeilenin-terpreters.

    %DATE% ==> 06.05.2007

    Gibt das aktuelle Datum zurck.

    %ERRORLEVEL% ==> 0

    Gibt den Wert des Fehlercodes des letz-ten ausgefhrten Befehls zurck. Ein Wert grer als Null zeigt an, dass ein Fehler aufgetreten ist.

  • 142 4. Windows Systemsteuerung und Verwaltungsprogramme

    Beim Prfen des Errorlevels z. B. mit IF %ERRORLEVEL% == 1 immer mit dem grtmglichen Fehlercode begin-nen und dann absteigend prfen, weil das == 1 grer oder gleich 1 bedeutet!

    %FP_NO_HOST_CHECK% ==> NO

    Bedeutung nicht bekannt.

    %HOMEDRIVE% ==> C:

    Gibt den Laufwerksbezeichner des Ba-sisverzeichnisses des angemeldeten Be-nutzers zurck.

    %HOMEPATH% ==> \Users\sw0141

    Gibt den Pfad des Basisverzeichnisses des angemeldeten Benutzers zurck.

    %LOCALAPPDATA% ==> C:\Users\sw0141\AppData\Local

    Pfad fr lokale Anwendungsdaten.

    %LOGONSERVER% ==> \\KNALLER

    Liefert den NetBIOS-Namen des Com-puters (Domnencontroller oder Arbeits-station), das den aktuellen Benutzer au-thentifziert hat.

    %NUMBER_OF_PROCESSORS% ==> 1

    Gibt die Anzahl der verwendeten CPUs zurck.

    %OS% ==> Windows_NT

    Name des Betriebssystems.

    %PATH% ==> C:\Windows\system32; C:\Win-dows; C:\Windows\System32\Wbem

    Gibt eine Liste und deren Reihenfolge von Verzeichnissen an, die nach einer ausfhrbaren Datei durchsucht werden, die ohne Pfadangabe aufgerufen wird.

    %PATHEXT% ==>.COM;.EXE;.BAT;.CMD;.VBS; VBE;.JS;.JSE;.WSF;.WSH;.MSC

    Zeigt an, welche Dateierweiterungen als ausfhrbare Dateien verwendet werden. Wenn eine Datei gestartet werden soll, ohne dass eine Dateiendung angegeben wurde, wird nach Dateien mit den hier angegebenen Erweiterungen und in die-ser Reihenfolge gesucht. Wenn sich also in dem aktuellen (oder in einem durch %PATH% angegebenen) Verzeichnis die Dateien Test.Com, Test.Exe und Test.Bat befinden, wird Test.Com ausgefhrt, wenn lediglich Test aufgerufen wird.

    %PROCESSOR_ARCHITECTURE% ==> x86 oder IA64 (Itanium-basiert)

    Gibt die Prozessorarchitektur, auf dem Windows ausgefhrt wird, aus.

  • 4.2 Programme in der Systemsteuerung 143

    %PROCESSOR_IDENTFIER% ==> x86 Family 15 Model 4 Stepping 10, AuthenticAMD

    Zeigt die genaue Prozessorbezeichnung an.

    %PROCESSOR_LEVEL% ==> 15

    Gibt die Prozessor-Familien-Kennung zurck.

    %PROCESSOR_REVISION% ==> 040a

    Gibt in (hexadezimal) die Modell- und Steppingnummer des Prozessors zurck.

    %PROGRAMDATA% ==> C:\ProgramData

    Verzeichnis, in dem standardmig Pro-grammdaten gespeicht werden.

    %PROGRAMFILES% ==> C:\Program Files

    Zeigt das Verzeichnis an, in dem stan-dardmig Programme installiert sind und werden.

    %PROMPT% ==> $P$G

    Gibt das Aussehen der Eingabeaufforde-rung aus. ($P: Laufw.+Pfad, $G: Grer-als-Zeichen)

    %PUBLIC% ==> C:\USERS\PUBLIC

    Pfad des ffentlichen Ordners.

    %RANDOM% ==> 1161

    Gibt eine Zufallszahl zwischen 0 und 32767 aus. Kann z. B. fr die Erstellung temporrer Dateien und Verzeichnisse verwendet werden.

    %SESSIONNAME% ==> Console

    Zeigt den Typ der Sitzung an.

    %SYSTEMDRIVE% ==> C:

    Gibt den Laufwerksbuchstaben zurck, auf dem sich das derzeitig ausgefhrte Betriebssystem befindet.

    %SYSTEMROOT% ==> C:\Windows

    Gibt die volle Pfadangabe das Windows-basisverzeichnisses zurck

    %TEMP% ==> C:\Users\sw0141\AppData\Lo-cal\Temp

    Gibt das Verzeichnis an, in dem tempor-re Dateien gespeichert werden sollen. Je nach Programm wird %TEMP% oder %TMP% verwendet. Die Microsoft-Entwicklungstools verwenden sogar bei-de fr unterschiedliche Arten von tempo-rren Dateien.

    %TMP% ==> C:\Users\sw0141\AppData\Lo-cal\Temp

    Gibt das Verzeichnis an, in dem tempor-re Dateien gespeichert werden sollen. Je nach Programm wird %TEMP% oder %TMP% verwendet. Die Microsoft-

  • 144 4. Windows Systemsteuerung und Verwaltungsprogramme

    Entwicklungstools verwenden sogar bei-de fr unterschiedliche Arten von tempo-rren Dateien.

    %TIME% ==> 14:11:40,21

    Gibt die aktuelle Uhrzeit zurck.

    %USERDOMAIN% ==> Knaller

    Gibt den NetBIOS-Domnen- oder Ar-beitsstationsnamen des angemeldeten Benutzers zurck.

    %USERNAME% ==> sw0141

    Gibt den NetBIOS-Anmeldenamen des Benutzers zurck.

    %USERPROFILE% ==> C:\Users\sw0141

    Gibt das Basisverzeichnis des angemel-deten Benutzers zurck.

    %WINDIR% ==> C:\Windows

    Gibt das Verzeichnis zurck, in dem Windows ausgefhrt wird. Diese Umge-bungsvariable wird hauptschlich aus Kompatibilittsgrnden verwendet. Neue Programme sollten %SYSTEMROOT% verwenden.

    In der Registerkarte Computerschutz der Systemeigenschaften (siehe

    Abb. 4.28) lassen sich sog. Wiederherstellungspunkte und die Systemwie-derherstellung verwalten.

    Ein Wiederherstellungspunkt ist eine komprimierte Form der Treiber- und Systemumgebung. Im Falle des Nichtfunktionieren eines Systems kann es mittels der Systemwiederherstellung auf einen bestimmten Wie-derherstellungspunkt zurck gesetzt werden. Smtliche seitdem vorgenom-menen nderungen werden jedoch damit berschrieben.

    Vista erstellt normalerweise automatisch Wiederherstellungspunkte, be-vor neue Programme oder Treiberupdates installiert werden, nicht aber vor nderungen der Systemkonfiguration. In so einem Fall knnen wenn ge-wnscht per Mausklick auf Erstellen... manuell Wiederherstellungspunkte erstellt werden.

  • 4.2 Programme in der Systemsteuerung 145

    Abb. 4.28. Registerkarte Computerschutz des System-Programms

    Die letzte Registerkarte des Systemprogramms (siehe Abb. 4.29) trgt

    den Namen Remote und damit lassen sich (nomen est omen) Einstellungen fr den Fernzugriff auf ein System vornehmen.

    Die Remote-Untersttzung ist standardmig deaktiviert und muss von einem Benutzer oder Benutzerin erst aktiviert werden. Dann wird einer er-fahrenen und vertrauenswrdigen Person per E-Mail eine Remote-Unter-sttzungseinladung zugesandt. Sie hat in der Voreinstellung eine Gltigkeit von 6 Stunden und ermglicht ihr, sich mit ihrem Computer zu verbinden

  • 146 4. Windows Systemsteuerung und Verwaltungsprogramme

    und eine Strung zu beseitigen. Diese Person kann natrlich auch jemand aus dem Benutzer-Help-Desk eines Unternehmens sein.

    Abb. 4.29. Registerkarte Remote des System-Programms

    In der Sektion Remotedesktop lsst sich auswhlen, in welchem Um-

    fang diese Funktion bereitsteht und wer sie benutzen darf. Ist sie aktiviert, darf sich jede(r) berechtigte Benutzer(in) zu jeder Zeit (und nicht erst nach einer Einladung) mit dem Rechner verbinden (eine aktuell ausgefhrte Sit-zung wird dabei deaktiviert), um ihn zu verwalten. Die Verbindungsbe-rechtigung wird ber Benutzer auswhlen... festgelegt.

  • 4.2 Programme in der Systemsteuerung 147

    Um eine Sitzung herzustellen, wird aus dem Startmen Start Zubehr Remotedesktop-Verbindung aufgerufen.

    Die neue Version (6.0.6000) dieses (auch Terminal-Server-Client ge-nannten) Programms bietet die Untersttzung neuer Funktionen des Win-dows Servers 2008 wie RDP (Remote Desktop Protocol) ber http, gegen-seitige Authentifizierung des Servers und des Clients sowie strkere Ver-schlsselung. Letztere ist auch nutzbar, wenn auf einen Vista-PC zugegrif-fen wird.

    Beim Zugriff auf ltere Windows-Versionen ist sie voll abwrtskompa-tibel (wenn auch nun eine zustzliche Authentifizierung durchgefhrt wer-den muss). Sie ist in Windows Vista integriert und kann fr Windows XP und Windows Server 2003 von Microsoft heruntergeladen werden.

    4.2.12 Windows Defender

    Microsoft ist mittlerweile auch in den Anti-Viren-Software-Markt mit mehreren Produkten eingetreten. Fr einige Windows-Versionen ist Win-dows Defender kostenlos verfgbar, in Windows Vista wird es standard-mig installiert. Es bietet einen Echtzeitschutz gegen als schdlich ange-sehene Software wie Viren, Wrmer, Trojaner und Spyware. Diese ber-prfung kann zudem auch von Windows Defender manuell oder zeitge-steuert periodisch ausgefhrt werden.

    Signatur-Updates knnen mittels Windows-Update (siehe unten) oder ber den Menpunkt Nach Updates suchen manuell oder automatisiert her-untergeladen werden.

    In Unternehmensszenarien lsst sich das Verhalten und auch die Installa-tion per Active-Directory-Gruppenrichtlinie steuern. Zudem sollte dort mindestens ein weiteres Anti-Viren-Programm eines anderen Herstellers an der Schnittstelle zur Auenwelt (Firewall) und auch auf dem Mail-Server installiert sein.

    4.2.13 Windows Update

    Mit diesem Programm (siehe Abb. 4.30) werden die Einstellungen fr die integrierte Aktualisierungsfunktion gesetzt.

  • 148 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.30. Windows-Update

    Windows Update vergleicht die auf einem Computer installierten Upda-

    tes und ggf. Ultimate-Extras mit den bei Microsoft Verfgbaren. Noch nicht installierte wichtige oder fakultative Aktualisierungen lassen sich dann automatisch oder manuell installieren (siehe Abb. 4.31).

    ber die Einstellung Microsoft Update lsst sich dabei festlegen, ob nur Aktualisierungen fr das Betriebssystem selbst (das entspricht dem frhe-ren Windows Update) oder fr das Betriebssystem und Microsoft Server- und Office-Anwendungen eingeschlossen werden sollen.

  • 4.3 Verwaltung 149

    Abb. 4.31. Einstellungen von Windows-Update

    In Vista existiert auch die Mglichkeit, Aktualisierungen ohne eine vor-

    herige Benutzeranmeldung durchzufhren. In der roten Ein-/Aus-Schaltfl-che wird dann ein Schild-Symbol angezeigt und es kann dort die Option Updates installieren und herunterfahren ausgewhlt werden.

    In Unternehmen lsst sich zur besseren Steuerung zu installierender, ex-plizit nicht zu installierender Updates und zur Vermeidung des vielfachen Herunterladens ein- und derselben Updates durch viele Clients eine WSUS-Infrastruktur (Windows Software Update Services) errichten.

    4.3 Verwaltung

    Unter Verwaltung finden sich weitere, sehr wichtige Administrationstools, die nachfolgend beschrieben sind.

  • 150 4. Windows Systemsteuerung und Verwaltungsprogramme

    4.3.1 Aufgabenplanung

    Einer der Bereiche, die Microsoft bei der Einfhrung von Windows Vista erheblich gendert hat, ist die Aufgabenplanung wobei diese nderungen von regulre Benutzer(innen) normalerweise gar nicht bemerkt werden drften.

    In frheren Windows-Versionen noch Geplante Tasks genannt oder mit-tels At.exe-Befehlen gesteuert, bietet die Aufgabenplanung zwar weiterhin die automatische Ausfhrung von Vorgngen, aber mit wesentlich mehr Optionen (wie z. B. Trigger und dem Im- und Exportieren von Ausgaben). Und sie ersetzt den At-Befehl. Dieser ist zwar aus Kompatibilittsgrnden noch vorhanden, damit existierende Skripte weiterhin unverndert ausge-fhrt werden knnen, sollte aber fr neu zu erstellende Skripte nicht mehr verwendet werden, weil Microsoft ihn in nachfolgenden Windows-Versio-nen entfernen wird.

    Fr die berwachung der Aufgaben und Durchfhrung der konfigurier-ten Aktionen ist der Aufgabenplanungsdienst Schedule (siehe unten) zustndig. Er muss gestartet sein, damit die Aufgabenplanung arbeiten kann.

    Zur Verwaltung (Auflistung, Steuerung, Lschen, ndern, Erstellen etc.) kann das gleichnamige Programm aus der Systemsteuerung verwen-det werden.

    Nach Aufruf erscheint das in Abb. 4.32 gezeigte Fenster. In seiner mitt-leren Spalte werden Statusinformationen der konfigurierten Aufgaben dar-gestellt, in der rechten Spalte (Aktionen) sind alle Auswahloptionen des ebenfalls Aktionen genannten Menpunktes aufgelistet.

    In ihm sind auch fr regulre Benutzer(innen) Aufgaben sichtbar, sie knnen aber weder Administrator- oder System-Aufgaben einsehen noch verndern, von denen es nun etliche gibt. In den Windows-Vorgnger-versionen existierte keine einzige Aufgabe des Betriebssystems.

    In der Voreinstellung wird als Dienstkonto des Aufgabenplanungsdiensts das Lokale System verwendet. Das kann aber verndert werden, um bsp. Aktionen des Dienstes im Systemprotokoll besser berwachen und durch Zugriffsberechtigungen besser steuern zu knnen. Dieses Konto betrifft aber nur den Dienst selbst. Fr jede Aufgabe kann jeweils ein Konto ange-geben werden, in dessen Sicherheitskontext sie ausgefhrt werden soll. Das geschieht ber die Option Aufgabe ausfhren als. Typischerweise wird ein separates Konto angegeben, um Aktionen im Systemprotokoll besser berwachen zu knnen bzw. wenn durch Aufgaben Zugriffe auf andere Rechner erforderlich sind, was bekanntlich mit dem lokalen System-Konto nur innerhalb einer Domne mglich ist.

  • 4.3 Verwaltung 151

    Abb. 4.32. Aufgabenplanungsprogramm

    In der linken Spalte des Fensters befindet sich ein Punkt namens Aufga-

    benbibliothek. Unter ihm befinden sich nun strukturiert (wie in einem Da-teisystem) System- und Anwenderaufgaben.

    Diese Struktur wird sichtbar, wenn auf das kleine Dreieck links neben ihm geklickt wird (siehe Abb. 4.33).

    Aufgaben knnen nun auch im- und exportiert werden, was die Konfi-guration mehrerer hnliche Systeme und ihre Dokumentation sehr verein-facht. Dabei wird das XML-Format verwendet.

    Zur Untersttzung der Konfiguration und des Betriebs durch Verwal-tungsskripte knnen Aufgaben in einer Eingabeaufforderung mit dem Be-fehl Schtasks.exe und seinen Unteroptionen /Create, /Delete /Query /Run, /End und /? verwaltet werden. Wenn Sie keine der Unteroption explizit an-geben, wird /Query verwendet.

  • 152 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.33. Das Aufgabenvorschaufenster bei erweiterter Aufgabenplanungsbiblio-thek

    Die Eigenschaften jeder Aufgabe knnen im Vorschaufenster genannten,

    mittleren unteren Bereich des Fensters eingesehen, aber nicht verndert werden. Dafr muss das Eigenschaften-Fenster durch Auswahl von Eigen-schaften... aus ihrem Kontextmen oder per Maus-Doppelklick geffnet werden.

    In der Aufgabenplanungsbibliothek knnen zur besseren Strukturierung und bersicht Ordner erstellt (und auch wieder gelscht werden), in denen die Aufgaben dann untergebracht werden. Aber eine solche Gruppierung hat lediglich rein optische und strukturierende Funktionen: Ausgefhrt werden stets alle Aufgaben, egal, wo sie sich in der Struktur befinden.

    Das Beenden, Lschen und Deaktivieren von Aufgaben drfte bekannt sein, so dass auf diese Punkte im folgenden nicht weiter eingegangen wird.

    Von Bedeutung ist jedoch das Erstellen von neuen Aufgaben, das sogar in zwei Versionen (Einfache Aufgabe erstellen... und Aufgabe erstellen...) verfgbar ist. Der Unterschied besteht darin, dass beim Erstellen einer Aufgabe wirklich alle Optionen festgelegt werden knnen, bei einer ein-fachen Aufgabe werden nur die relevantesten angeboten.

  • 4.3 Verwaltung 153

    Der Vorgang wird im folgenden anhand der Erstellung einer (nicht ganz ernst gemeinten)18 Beispielaufgabe dargestellt.

    Durch Auswahl der Aktion Aufgabe erstellen... ffnet sich das in Abb. 4.34 gezeigte Fenster, das fnf Registerkarten besitzt, die denen des Vor-schaubereichs brigens entsprechen.

    Abb. 4.34. Registerkarte Allgemein einer neuen Aufgabe

    In ihm werden in der Registerkarte Allgemein der Name der Aufgabe,

    eine fakultative Beschreibung, einem Sicherheitskontext, in dem sie ausge-fhrt werden soll, und ihre Sichtbarkeit in der Aufgabenbibliothek festge-legt.

    In der Registerkarte Trigger (siehe Abb. 4.35) werden ein oder mehrere die jeweilige Aufgabe auslsende Ereignisse angegeben.

    18 Denn eine etwaige Fragmentierung eines Flash-Speichermediums besitzt auf-

    grund nicht vorhandener, langsamer mechanischen Komponenten keine prakti-sche Bedeutung der Zugriff auf eine fragmentierte Datei erfolgt in derselben Geschwindigkeit wie auf eine unfragmentierte.

  • 154 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.35. Festlegung eines neuen Triggers fr eine Aufgabe

    Es stehen die klassischen, zeit-, datums- und wochentagsgesteuerten

    Zeitpunkte weiterhin (nun jedoch als Trigger bezeichnet) zur Verfgung. Neu hingegen sind Ausfhrungsbedingungen wie Beim Start, Im Leer-

    lauf, beim Schreiben eines bestimmten Ereignisses in das Ereignisproto-koll etc.

    Auch die im unteren Bereich von Abb. 4.35 gezeigten erweiterten Ein-stellungen sind neu, praktisch, leistungsstark und sehr flexibel.

    Nach der Festlegung, welche(r) Trigger eine Aktion auslsen sollen, muss diese natrlich auch noch festlegt werden. Was soll denn eigentlich passieren?

    Dieses wird in der dritten Registerkarte (Aktionen) durchgefhrt. Durch Auswahl dort von Neue Aktion ffnet sich ein Fenster, in dem ein (Vista-eigenes oder benutzererstelltes) Programm oder Stapelverarbeitungsauftrag

  • 4.3 Verwaltung 155

    ausgefhrt werden kann, eine E-Mail versendet werden kann oder eine (NetBIOS-)Nachricht19 dargestellt werden soll.

    Das Fenster ist in Abb. 4.36 wiedergegeben.

    Abb. 4.36. Auswahl einer neuen Aktion

    In Abhngigkeit der ausgewhlten Aktion lsst sich diese durch die Ver-gabe weiterer Optionen modifizieren.

    Aber auch die festgelegten Trigger lassen sich noch weiter modifizieren und feiner einstellen.

    19 Das entspricht dem Net Send Befehl.

  • 156 4. Windows Systemsteuerung und Verwaltungsprogramme

    In der vierten Registerkarte (sie ist als Abb. 4.37 abgebildet) lassen sich Bedingungen festlegen, die ebenfalls erfllt sein mssen, damit Trigger die definierten Aufgaben anstoen knnen.

    Abb. 4.37. Registerkarte Bedingungen einer neuen Aufgabe

    Auch die Aufgabeneigenschaften lassen sich noch granularer einstellen:

    Nmlich durch Festlegung der gewnschten Werte in der gleichnamigen, letzten Registerkarte des Aufgabe-Erstellen-Fensters.

    Dieses ist in Abb. 4.38 dargestellt.

  • 4.3 Verwaltung 157

    Abb. 4.38. Registerkarte Einstellungen einer neuen Aufgabe

    4.3.2 Das Snap-In Computerverwaltung

    Das Programm Computerverwaltung finden Sie unter Systemsteuerung - Verwaltung, oder fr diejenigen, welche die Darstellung des Arbeits-platzsymbols auf dem Desktop aktiviert haben durch Klick mit der rech-ten Maustaste hierauf und Auswahl des Menpunktes Verwalten.

    Die Computerverwaltung ist als Snap-In der MVK (Microsoft Verwal-tungskonsole) realisiert. In ihr finden sich zusammengefasst die Snap-Ins Aufgabenplanung, Ereignisanzeige, Freigegebene Ordner, Verwaltung lo-kaler Benutzer und Gruppen, die Zuverlssigkeits- und Leistungs-Konsole, der Gertemanager, die Datentrgerverwaltung sowie Dienste und WMI-(Windows Management Instrumentarium)-Steuerung (siehe Abb. 4.39).

  • 158 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.39. Die Computerverwaltung

    4.3.3 Datenquellen

    Datenquellen (Data Source Name, DSN) sind konfigurierte Verbindungen eines Systems zu Daten(bank)servern bzw. auch -dateien. Ziele knnen Microsoft Access, FoxBASE, SQL-Server und beliebige andere, ber die Programmierschnittstellen ODBC (Open Database Connectivity) und OLE DB (Object Linking and Embedding for Databases) erreichbare Daten-banksysteme wie Oracle, IBM DB2 etc. sein. Auf sie wird dann von An-wendungsprogrammen in der Regel mit SQL- (Structured Query Langua-ge)-Befehlen oder vereinzelt auch objektorientiert zugegriffen.

    Die Einrichtung ist vom jeweiligen Zielsystem abhngig, aber im allge-meinen werden der Name der Datenbank, der Netzwerkname des Systems (oder seine IP-Adresse), die Portnummer und Anmeldeinformationen an-gegeben.

    Es gibt drei verschiedene Arten von Datenquellen: Benutzer-DSN (diese knnen nur von angemeldeten Benutzer verwendet werden), System-DSN (diese knnen von allen Benutzern, vom Betriebssystem und allen Diens-

  • 4.3 Verwaltung 159

    ten benutzt werden) sowie Datei-DSN, die Daten nicht sehr leistungsfhig in Textdateien vorhalten.

    Vista bringt brigens einen neuen OLE-DB-Treiber mit, der das Win-dows-Suchsystem untersttzt mit anderen Worten: mit dem dieses nicht nur im Explorer benutzt, sondern auch mit SQL-Befehlen abgefragt wer-den kann. Der Name des neuen Anbieters (engl. Providers) ist Search.CollatorDSO.1 und der Datenbank- bzw. Tabellenname ist SYSTEMINDEX..SCOPE().

    Dieser ist jedoch nicht in der hier beschriebenen ODBC-Verwaltung sichtbar, sondern kann nur in VisualBasic-, VBScript-, C++-Programmen etc. genutzt werden.

    Ruft man das Programm auf, erscheint das in Abb. 4.40 dargestellte Fenster. Sie sehen, dass es sieben Registerkarten besitzt.

    Abb. 4.40. Benutzerdatenquellen

    So werden in der Registerkarte Treiber Informationen ber installierte

    Treiber aufgefhrt. Treiber existieren in der Voreinstellung fr Microsoft

  • 160 4. Windows Systemsteuerung und Verwaltungsprogramme

    SQL-Server-Datenbankverbindungen, Oracle, Paradox, Access, Visual FoxPro, dBase, Excel und textbasierte Quellen.

    In der Registerkarte Verbindungs-Pooling knnen Time-Out-Werte fr die einzelnen Treiber und eine Leistungsberwachung konfiguriert werden und die Registerkarte Info gibt Information ber die installierten DSN/ODBC-Systembibliotheken (Dll-Dateien) aus.

    Wird in der ersten oder zweiten Registerkarte (Benutzer- bzw. System-DSN) die jeweils am rechten Fensterrand befindliche Schaltflche Hinzu-fgen... ausgewhlt, ffnen sich nacheinander die in den Abbildungen 4.41 ff. dargestellten Fenster.

    Abb. 4.41. Erstellung einer neuen Datenquelle

    Jede Datenquelle muss ber das Feld Name einen eineindeutigen Namen

    zur Verwendung in anderen Programmen bekommen. Dieser kann z. B. auch in global.asa-Dateien des Internet Information Servers verwendet werden.

    Im Feld Beschreibung kann eine nhere Erluterung der Datenquelle eingegeben werden. Aber das ist fakultativ.

    Schlielich wird im Feld Server der Hostname, FQDN, NetBIOS-Name oder die IP-Adresse des Datenbankservers eingegeben bzw. ber das nach

  • 4.3 Verwaltung 161

    unten zeigende Dreieck des Drop-Down-Felds einer der im Netzwerk ge-fundenen SQL-Server ausgewhlt werden. Wenn sich auf demselben Com-puter, auf dem die neue Datenquelle eingerichtet wird, auch ein SQL-Server befindet, kann zudem die Option (Lokal) ausgewhlt werden.

    Wenn so genannte benannte Instanzen von SQL-Server 6.5, 7.0, 2000 oder 2005 verwendet werden sollen, wird der Name als ServerNa-me\Instanzname eingegeben. Ab SQL-Server 2005 gibt es den Native Client, der zwar zuerst ber die Client-Verwaltungstools installiert werden muss, jedoch erweiterte Funktionen wie Multiple Active Resultsets (MARS), Failover-Funktioen etc. bietet.20

    In dem dann folgenden Fenster (siehe Abb. 4.42) werden Authentifizie-rungsinformationen eingegeben. Ob die integrierte Windows-NT- oder die SQL-Server- Authentifizierung verwendet werden kann, ist durch den Ad-ministrator, der den Zieldatenbankserver eingerichtet hat, festgelegt wor-den. Auerdem steht in diesem Fenster die Schaltflche Clientkonfigurati-on... zur Verfgung, in der die zu verwendenden Netzwerkprotokolle (oder Bibliotheken, wie es dort heit) konfiguriert werden knnen (siehe Abb. 4.43).

    Abb. 4.42. Eingabe der Authentifizierungsangaben einer neuen Datenquelle

    20 Im Microsoft SQL-Server 2008 genauso.

  • 162 4. Windows Systemsteuerung und Verwaltungsprogramme

    Dieses ist aber auch ein fakultativer Schritt. Wird das beschriebene

    Fenster nicht aufgerufen, werden die standardmigen Protokolle verwen-det.

    Abb. 4.43. Konfiguration der Netzwerksbibliothekskonfiguration

    Auf viele Datenquellen kann mit unterschiedlichen Netzwerkprotokol-

    len zugegriffen werden. Das ist aber abhngig von den Protokollen, die am Datenbankserver installiert sind und von denen, die an den Clients aktiviert sind.

    Einige Optionen stehen in aktuellen Netzwerken gar nicht mehr zur Ver-fgung und sind ausgegraut.

    Nachdem Weiter ausgewhlt wurde, ffnet sich das nchste Fenster (sie-he Abb. 4.44). In ihm kann zum einen die Standarddatenbank festgelegt werden. Diese Option ist wichtig: Denn wenn ein(e) Benutzer(in) auf die angegebene Datenbank nicht einmal Leseberechtigungen hat, schlgt jeder Verbindungsversuch fehl. Die anderen Optionen bewirken jeweils genau das, was in ihren ausfhrlichen Benennungen angegeben ist.

  • 4.3 Verwaltung 163

    Abb. 4.44. Datenquellen-Verbindungsoptionen (1)

    Gleiches gilt fr das dann folgendende (und in Abbildung 4.45 darge-

    stellte) Fenster sodass hier von einer detaillierten Beschreibung der ohne-hin selbsterklrenden Optionen abgesehen wird.

    Gelegentlich wird bei der Netzwerkadministration jedoch die Sprach-einstellung gendert. Dazu gibt es folgendes anzumerken: Dieser Schritt ist eigentlich berflssig, weil i. d. R. bei der Erstellung des Datenbankbenut-zerkontos im Datenbankserver selbst schon die Sprache fr evtl. Fehler-meldungen festgelegt wird. Zudem sollte beachtet werden, dass englisch-sprachige Fehlermeldungen in der Regel immer zur Verfgung stehen, anderssprachige (z. B. deutsche) jedoch u. U. explizit angelegt werden mssen. Das gilt insbesondere fr benutzerdefinierte Fehler.

  • 164 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.45. Datenquellen-Verbindungsoptionen (2)

    Nachdem Fertig stellen ausgewhlt wird, sind dem System smtliche

    Eigenschaften zur Einrichtung der neuen Datenquelle bekannt. Es ffnet sich jedoch ein weiteres, in Abb. 4.46 gezeigtes Fenster, in dem zusam-menfassend noch einmal smtliche Parameter der neuen Datenquelle auf-gefhrt sind, und die Option besteht, einen Verbindungsaufbau zu ihr test-halber durchzufhren.

    Es ist empfehlenswert, diesen Schritt durchzufhren, bevor auf OK ge-klickt wird, um wirklich sicherzustellen, dass smtliche Parameter korrekt erfasst wurden. Falls dabei Fehler erkannt werden sollen, kann ber die Zurck-Schaltflchen bei Bedarf zu den vorigen Fenstern gegangen wer-den und die eingegebenen Werte dort modifiziert werden.

  • 4.3 Verwaltung 165

    Abb. 4.46. Zusammenfassungsfenster

    In dem Datenquellenverwaltungsfenster gibt es jedoch noch weitere Op-

    tionen: So kann man sich mittels der Registerkarte Ablaufverfolgung (siehe Abb. 4.47) detaillierte Protokolle erstellen lassen, was insbesondere fr ei-ne ggf. erforderliche Fehlersuche bei Datenbankzugriffen sehr ntzlich sein kann.

  • 166 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.47. Registerkarte Ablaufverfolgung

    4.3.4 Dienste

    Ein Groteil der Windows-Funktionalitt wird durch Dienste (auch Servi-ces oder daemons genannt) realisiert. Ein Kennzeichen von Diensten ist, dass sie vom Betriebssystem gestartet werden, somit keine Benutzerpro-zesse sind, und eben auch laufen, wenn kein Benutzer angemeldet ist. Ge-nerell gilt, dass Betriebssystemfunktionen nicht laufender Dienste nicht zur Verfgung stehen. Aufgrund der Abhngigkeiten knnen dann Dienste, die davon abhngig sind, auch nicht arbeiten.

    Die Verwaltung der Dienste erfolgt am einfachsten mit Hilfe des Diens-te-MVK-Snap-Ins (siehe Abb. 4.48) aus der Systemsteuerung aber auch mit SC.exe, den NET-Befehlen und Tasklist.exe knnen Dienste von Ad-ministratoren verwaltet werden.

  • 4.3 Verwaltung 167

    Abb. 4.48. Das Programm Dienste

    Smtliche bekannte Dienste sind in der Registrierung (wie die Gerte-

    treiber auch) unter dem Schlssel HKLM\SYSTEM\CurrentControl-Set\Services eingetragen.

    Es gibt die Startarten Automatisch (0x2)21, Manuell (0x3), Deaktiviert (0x4) und die neue Startart Automatisch (Verzgerter Start) (0x5). Die Startarten Boot (0x0) und System (0x1) stehen jedoch fr Dienste nicht zur Verfgung. Ein Dienst mit der Startart Automatisch wird beim Start des Betriebssystems geladen und gestartet, ein Dienst mit der Startart Manuell hingegen nur in den Speicher geladen, aber nicht gestartet. Er wird erst auf Anforderung von anderen Diensten aktiv oder kann manuell durch die Dienstkonsole (oder einen Net Start-Befehl) gestartet werden.

    Die Startart Deaktiviert sagt aus, dass ein Dienst nicht zur Verfgung steht und auch nicht gestartet werden kann. Sollte ein deaktivierter Dienst dennoch bentigt werden, muss der Server nach Wechsel der Startart je-doch nicht zwangslufig neu gestartet werden, sondern man kann sich des Tricks bedienen, zuerst die Startart auf Manuell festzulegen und den Dienst 21 Die Werte in den Klammern beziehen sich auf die Starteinstellungen der jewei-

    ligen Registrierungsschlssel.

  • 168 4. Windows Systemsteuerung und Verwaltungsprogramme

    dann zu starten. Danach kann bei Bedarf auch die Startart auf Automatisch gendert werden.

    Automatisch (Verzgerter Start) startet betreffende Dienste nachrangig und mit niedrigster Prioritt.

    Dienste arbeiten ebenso wie Benutzerprozesse auch in einem Sicher-heitskontext und bekommen genauso auch SIDs (siehe Kap. 7) zugewiesen (fr jeden Dienst individuell). Durch sie knnen besondere Zugriffserlaub-nisse und -sperrungen auf smtliche Objekte im System festgelegt werden.

    So kann auch konfiguriert werden, dass anstelle des lokalen Systemkon-tos ein Dienst mit niedrigen Rechten starten soll, und die individuell ben-tigten, zustzlichen Rechte und Berechtigungen separat gewhrt werden.

    Denn Windows Vista erlaubt Administratoren, Dienste mit den gerade eben bentigten Rechten und Berechtigungen arbeiten zu lassen und somit die Auswirkungen von Hackerattacken einzugrenzen.

    Dienste knnen auerdem nun Rechte, die sie unbedingt bentigen, als solche kennzeichnen. Nur diese werden dann im Zugriffstoken gewhrt. Sollte ein Dienst jedoch ein Recht verlangen, dass dem konfigurierten Startkonto nicht zur Verfgung steht (z. B. Sichern von Dateien fr Netz-werkdienst), startet der betreffende Dienst nicht.

    Wenn ein Dienst Teil einer Dienstgruppe (wie svchost) ist, gilt in dem Fall, dass die Gesamtmenge aller Rechte der Dienste allen gewhrt wird, und wenn die bentigte Rechteliste berhaupt nicht angegeben ist, wie das bei lteren Diensten der Fall ist, werden smtliche Rechte, die das Start-konto hat, gewhrt.

    Fr bestimmte Dienste, die auf Ressource in anderen Domnen bzw. an-deren Computern auch derselben Domne zugreifen mssen (wie Micro-soft Exchange, Microsoft SQL-Server etc.) sollte daher ein eigenes Dienst-konto erstellt werden und dieses in den Dienstoptionen eingetragen wer-den. Fr Dienste, bei denen das nicht zutrifft und die nur lokale Rechte und Berechtigungen bentigen, gibt es die drei Systemkonten Lokaler Dienst, Netzwerkdienst und Lokales System. Letzteres verfgt ber dieselben Rechte und Berechtigungen wie das Betriebssystem selbst, kann aber nicht domnenbergreifend arbeiten und sollte nur fr Dienste benutzt werden, die dieses unbedingt erfordern. Fr alle anderen Dienste sollte eines der niedrigerer berechtigten anderen beiden Konten benutzt werden.

    Das Konto Lokaler Dienst hat nur geringe Rechte, entsprechend einem authentifizierten Benutzer und der Gruppe Benutzer. Im Falle der ber-nahme eines Dienstes durch einen Angreifer hat dieser somit nicht viele Mglichkeiten. Auf Netzwerkressourcen kann dann nicht authentifiziert, sondern hchstens als Null-Session (anonym) zugegriffen werden. Diese anonyme Anmeldemglichkeit ist jedoch standardmig deaktiviert und sollte es aus Sicherheitsgrnden auch bleiben.

  • 4.3 Verwaltung 169

    Das Konto Netzwerkdienst hat wie das Konto Lokaler Dienst dieselben, geringen Rechte auf dem jeweiligen Computer. Mit ihm kann aber auf an-dere Systeme (im Sicherheitskontext des Computerkontos) zugegriffen werden.

    Die Berechtigungen fr Dienste knnen mit dem MVK-Snap-In Sicher-heitsvorlagen sowie mit dem Ressource-Kit-Programm Subinacl.exe ange-zeigt und verwaltet werden. Mit dem Tool Srvany.exe aus dem Ressource-Kit knnen Sie beliebige .Exe-Dateien als Dienst laufen lassen diese dr-fen aber keine Benutzereingaben und Bildschirmausgaben durchfhren.

    Wichtig im Zusammenhang mit den Diensten sind auch die jeweiligen Abhngigkeiten. Damit wird gesteuert, in welcher Reihenfolge die Dienste gestartet werden. Wenn ein Dienst, von dem andere Dienste abhngig sind, nicht gestartet ist, knnen diese Dienste ebenfalls nicht starten.

    Exemplarisch fr alle Dienste werden nachfolgend die Registerkarten des Dienstes Computerbrowser gezeigt:

    In der ersten Registerkarte (Allgemein) eines jeden Diensts (siehe Abb. 4.49) werden der interne Dienstname, der lokalisierte Anzeige-name, eine Beschreibung, der Pfad der Dienst-Exe- oder -Dll-Datei, der Starttyp, der Dienststatus angezeigt.

    Auerdem sind das Starten, Stoppen, Anhalten und Fortsetzen (eines an-gehaltenen Dienstes) mglich. Dies ist von den Bezeichnungen her sicher selbsterklrend. Aber wo ist der Unterschied zwischen einem gestoppten und einem angehaltenen Dienst?

    Beide sind und bleiben weiter im Speicher und nehmen keine neuen An-fragen mehr an. Die Unterschiede bestehen in der Verarbeitung bestehen-der Sitzungen und der Wiederaufnahme ihrer Ttigkeit: Angehaltene Dienste bleiben voll initialisiert, bedienen noch verbundene Benutzer und knnen sehr schnell wieder fortgesetzt werden, akzeptieren jedoch keine neuen Verbindungswnsche mehr. Gestoppte Dienste mssen nach einer Start-Aufforderung die volle Start- und Anmeldeprozedur wie bei einem Systemstart erneut durchlaufen. Es bietet sich also an, vor dem vlligen Stoppen eines Dienstes ihn zuerst anzuhalten, die Benutzer zu informieren und ihn erst dann zu stoppen. So knnen Benutzer noch ihre Arbeit zu En-de bringen und ihre Dateien speichern.

    Beim Stoppen von Diensten werden auch abhngige Dienste mitbeen-det. Beim manuellen Start muss dann beachtet werden, dass diese nicht mitgestartet werden, sondern nachfolgend ebenfalls manuell gestartet wer-den mssen.

  • 170 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.49. Registerkarte Allgemein der Eigenschaften eines Dienstes

    Nicht bentigte Dienste sollten deaktiviert werden! Hierfr gibt es zwei

    gute Grnde: Zum einen bieten offene TCP-Anschlsse stets ein potentiel-les Loch fr Eindringlinge, zum anderen belegen nicht bentigte Dienste Hauptspeicher und kosten damit Performance.

    Manche Dienste (wie z. B. Microsoft SQL-Server) lassen Startparameter fr ihre Dienste zu. Diese knnen bei Bedarf in dem unteren Bereich ein-gegeben werden.

  • 4.3 Verwaltung 171

    In der zweiten Registerkarte (Anmelden) wird festgelegt, welches Konto fr die Dienstanmeldung verwendet werden soll und ggf. das Kennwort dafr (siehe Abb. 4.50).

    Das Konto kann lokal oder ein Domnenkonto sein, wenn der Vista-Rechner Mitglied einer Domne ist.

    Abb. 4.50. Registerkarte Anmelden der Eigenschaften eines Dienstes

    Wenn eines der beiden bereits erwhnten Konten Lokaler Dienst oder

    Netzwerkdienst verwendet werden soll, wird der entsprechende Name so eingetragen und die Kennwortfelder leer gelassen.

  • 172 4. Windows Systemsteuerung und Verwaltungsprogramme

    In der dritten Registerkarte (Wiederherstellen) kann festgelegt werden, was das Betriebssystem unternehmen soll, falls ein bestimmter Dienst nicht gestartet werden kann. Sie ist in Abb. 4.51 dargestellt.

    Zur Auswahl stehen Dienst neu starten, Keine Aktion durchfhren, Com-puter neu starten und Programm starten (im letzten Fall kann auf Wunsch die Nummer des fehlgeschlagenen Startversuchs als Parameter (/fail=) hinzugefgt werden.

    Abb. 4.51. Registerkarte Wiederherstellen der Eigenschaften eines Dienstes

  • 4.3 Verwaltung 173

    Der Rcksetzzeitraum fr die Fehlerzhlung kann im oberen Eingabe-feld festgelegt werden. Er beeinflusst die Wirkungsweise der Wiederher-stellungsaktionen (n-ter Fehler in m Tagen). Die Voreinstellung (0) bewirkt dabei, dass der Fehlerzhler nicht whrend des Betriebs, sondern erst bei einem Neustart des Systems zurck gesetzt wird. Insoweit sind die Fehler dann absolut: n-ter Fehler seit Systemstart. Nur dieses Eingabefeld ist in dieser Registerkarte immer verfgbar. Die anderen sind in Abhngigkeit von den ausgewhlten Aktionen ggf. deaktiviert.

    Fr Fehler aufgrund von Dienstabbrchen kann im untersten Fensterbe-reich ausgewhlt werden, dass auch in solchen Fllen (und nicht nur, wenn Dienste nicht starten knnen) eine Wiederherstellung durchgefhrt werden soll. ber die benachbarte Schaltflche Neustartoptionen... lassen sich ein Wert fr den Zeitraum, der vor einem Neustart gewartet werden soll und ob dabei eine benutzerdefinierte Nachricht versendet werden soll, festle-gen.

    Dienste knnen von anderen Diensten abhngig sein und zwar auch mehrstufig. Ein Beispiel: Der hier gezeigt Computerbrowser-Dienst hngt vom Arbeitsstationsdienst und vom Serverdienst ab. Der Arbeitsstations-dienst wiederum knnte nicht starten, wenn ein Netzwerkprotokolldienst wie TCP/IP (noch) nicht zur Verfgung steht. Die Abhngigkeiten steuern somit implizit auch die Reihenfolge, mit welcher der SCM (Service Control Manager, dt.: Dienststeuerungs-Manager) die Dienste startet. Sie knnen in der Registerkarte Abhngigkeiten (siehe Abb. 4.52) angesehen werden.

    Von einer Eingabeaufforderung knnen SC.exe, Tasklist.exe /srv sowie die Net Start, Stop, Pause und Continue-Befehle zur Dienststeuerung ver-wendet werden.

    Net Start ohne weitere Parameter zeigt eine Liste derzeit aktiver Dienste an. Ferner knnen mittels Gruppenrichtlinien die Diensteigenschaften fr Gruppen von Computern festgelegt werden.

  • 174 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.52. Registerkarte Abhngigkeiten der Eigenschaften eines Dienstes

    In der Tabelle 4.4 sind die fr Windows Vista verfgbaren Dienste mit

    ihren Default-Eigenschaften aufgefhrt und ihre Funktion erlutert. Jedoch sind einige der hier gelisteten Dienste nur als Subkomponenten von Vista-Funktionen verfgbar - so ist beispielsweise der Dienst Client fr NFS nur installiert, wenn auch die Services fr Unix installiert wurden. hnliches gilt fr z. B. den WWW-Verffentlichungsdienst, der Teil des Internet In-formation Servers ist. Und einige Dienste (wie die Media-Center-Dienste) stehen in manchen Vista-Versionen gar nicht zur Verfgung. Unter Name wird der deutsche Dienstname genannt, daneben steht in Klammern je-

  • 4.3 Verwaltung 175

    weils der interne Dienstname, der von einigen Systemprogrammen und in der Registrierung benutzt wird. Soweit verfgbar, sind auch die verwende-ten TCP/IP-Ports der einzelnen Dienste angegeben.

    Tabelle 4.4. Windows-Vista-Dienste

    Name Beschreibung

    Status Starttyp Anmelden als

    ActiveX-Installer (AxInstSV) Manuell Lokales Steuert die Installation von ActiveX-Steuerele-menten in Abhngigkeit von Einstellungen in Ac-tive-Directory-Gruppenrichtlinien. Wenn dieser Dienst nicht gestartet ist, werden an-stelle die Einstellungen vom Internet Explorer an-gewendet.

    System

    Anmeldedienst (Netlogon) Manuell Lokales Dienst zur Untersttzung der Anmeldung in Do-mnen. Dazu wird durch diesen Dienst ein siche-rer, verschlsselter Kanal zwischen den Systemen aufgebaut.

    System

    Anschlussumleitung fr Terminaldienst im Benut-zermodus (UmRdpService)

    Manuell Lokales System

    Untersttzt die Umleitung von Druckern, Lauf-werken und Schnittstellen fr RDP- (Remote Desktop Protocol-) Verbindungen.

    Anwendungserfahrung (AeLookupSvc) Gestartet Automa- Lokales Untersttzt Anwendungskompatibilittseinstellun-gen beim Start von Anwendungen

    tisch System

    Anwendungsinformationen (Appinfo) Gestartet Manuell Lokales Untersttzt die Benutzerkontensteuerung fr ad-ministrative Anwendungen.

    System

    Anwendungsverwaltung (AppMgmt) Manuell Lokales Untersttzt die Verwaltung von Programmen, die ber Gruppenrichtlinien bereitgestellt werden.

    System

    Arbeitsstationsdienst (LanmanWorkstation) Gestartet Automa- Lokaler Dieser Dienst wird fr den Zugriff auf Freigaben anderer Rechner ber das SMB-Protokoll (Server Message Blocks) bentigt.

    tisch Dienst

  • 176 4. Windows Systemsteuerung und Verwaltungsprogramme

    ASP.NET-Zustandsdienst (aspnet_state) Manuell Netzwerk- Dieser Dienst verwaltet ASP.Net-Sitzungsstati und wird fr die ASP.NET-Untersttzung vom Internet Information Server bentigt. Er benutzt TCP-Port 42424.

    dienst

    Aufgabenplanung (Schedule) Gestartet Automa- Lokales Dieser Dienst startet zeitgesteuert festgelegte Pro-gramme.

    tisch System

    Automatische Konfiguration - verkabelt (dot3svc) Manuell Lokales Dieser Dienst wird fr die IEEE 802.1X-Authenti-fizierung auf drahtgebundenen Ethernet-Schnitt-stellen benutzt.

    System

    Automatische WLAN-Konfiguration (Wlansvc) Manuell Lokales Dienst fr die automatische Konfiguration der Profile und Adapter von drahtlosen Netzwerken.

    System

    Basisfiltermodul (BFE) Gestartet Automa- Lokaler Dienst, der im Benutzermodus luft und fr die Untersttzung von Firewall- und IPSec-Regeln bentigt wird.

    tisch Dienst

    Benachrichtigungsdienst fr Systemereignisse (SENS)

    Gestartet Automa-tisch

    Lokales System

    Dieser Dienst berwacht das System: Bei Auftre-ten von Systemereignissen (wie Benutzeran- und -abmeldungen) werden diese an COM+-Kompo-nenten weitergeleitet.

    Benutzerprofildienst (ProfSvc) Gestartet Automa- Lokales Dieser Dienst wird fr die lokale Benutzeranmel-dung verwendet und steuert das Laden und Schrei-ben der Benutzerprofile. Wenn dieser Dienst nicht gestartet ist, knnen Be-nutzer sich nicht mehr an- und abmelden.

    tisch System

    Block Level Backup Engine Service (wbengine) Manuell Lokales Dienst fr die Durchfhrung von Datensicherun-gen und -wiederherstellungen auf Blockebene.

    System

    Bluetooth-Untersttzungsdienst (BthServ) Gestartet Automa- Lokaler Dieser Dienst untersttzt Bluetooth-Gerte. tisch Dienst

    Client fr NFS (NfsClnt) Gestartet Automa- Netzwerk- Bietet die Untersttzung fr den Zugriff auf NFS-Freigaben (Network File System).

    tisch dienst

  • 4.3 Verwaltung 177

    CNG-Schlsselisolation (KeyIso) Gestartet Manuell Lokales Durch diesen Dienst wird die Kryptografie-Schlsselverwaltung des CNG-Moduls (Crypto-graphic Next Generation) realisiert.

    System

    COM+-Ereignissystem (EventSystem) Gestartet Automa- Lokaler Dieser Dienst leitet Ereignisse automatisch an an-dere COM+-Komponenten weiter. Diese mssen somit nicht stndig abfragen, ob ein bestimmtes Ereigniss eingetreten ist (engl.: polling), sondern werden benachrichtigt.

    tisch Dienst

    COM+-Systemanwendung (COMSysApp) Manuell Lokales Ldt und steuert COM+-Komponenten. System

    Computerbrowser (Browser) Automa- Lokales Der Browser-Dienst durchsucht das Netzwerk nach anderen, NetBIOS-basierten Computern. Das Ergebnis des Browser-Dienstes wird in der Netz-werkumgebung dargestellt. Dieser Dienst benutzt die UDP-Ports 137 und 138 sowie den TCP-Port 139.

    tisch System

    DCOM-Server-Prozessstart (DcomLaunch) Gestartet Automa- Lokales Dieser Dienst ist fr den Start und die Ausfhrung von DCOM-Komponenten (Distributed COM) zu-stndig.

    tisch System

    Designs (Themes) Gestartet Automa Lokales Der Designs-Dienst untersttzt die Anpassung der Arbeitsoberflche durch verschiedene Anzeige-schemata.

    tisch System

    DFS-Replikation (DFSR) Manuell Lokales Dieser Dienst realisiert die DFS-Replikation (Dis-tributed File System). Er bentigt den TCP-Port 135.

    System

    DHCP-Client (Dhcp) Gestartet Automa- Lokaler Der DCHP-Clientdienst untersttzt den Erhalt und die Erneuerung von DHCP-Leases sowie die dy-namische Aktualisierung der DNS-Server. Dieser Dienst kann beendet werden, wenn kein DHCP und kein DDNS im Netzwerk benutzt wird.

    tisch Dienst

    Diagnoserichtliniendienst (DPS) Gestartet Automa- Lokaler Dieser Dienst ist fr die Erkennung, Behandlung und Lsung von Problemen von Windows-Kom-ponenten zustndig.

    tisch Dienst

  • 178 4. Windows Systemsteuerung und Verwaltungsprogramme

    Diagnostesystemhost (WdiSystemHost) Gestartet Manuell Lokales Server-Komponente des Diagnoserichtliniendiens-tes.

    System

    Distributed Transaction Coordinator (MSDTC) Manuell Netzwerk- Dieser Dienst steuert Transaktionen, die mehr als einen Computer und/oder mehr als ein Ressour-cenverwaltungsdienst (wie Datenbanken, Nach-richtenwarteschlagen, Dateisysteme etc.) betref-fen. Er bentigt TCP-Port 135.

    dienst

    DNS-Client (Dnscache) Gestartet Automa- Netzwerk- Dienst fr die Zwischenspeicherung von DNS-Na-mensauflsungsergebnissen und DDNS-Registrie-rungen. Diese Funktionalitt bentigen nicht nur Internetbrowser, sondern ist auch fr die Zusam-menarbeit mit Active-Directory-Domnen wichtig. Wenn dieser Dienst nicht gestartet ist, muss fr je-de DNS-Namensauflsung ein DNS-Server ab-gefragt werden.

    tisch dienst

    Druckwarteschlange (Spooler) Gestartet Automa- Lokales Dieser Dienst nimmt Druckauftrge entgegen, speichert sie zwischen und schickt sie nach und nach zu Druckgerten.

    tisch System

    Enumeratordienst fr tragbare Gerte (WPDBusEnum)

    Gestartet Automa-tisch

    Lokales System

    Dieser Dienst verwaltet portable Gerte wie MP3-Player. Dazu gehren auch das Setzen von Grup-penrichtlinieneinstellungen und die Ermglichung der bertragung und Synchronisation von Inhal-ten durch Programme wie dem Windows Media Player und dem Bildimport-Assistenten.

    Erkennung interaktiver Dienste (UI0Detect) Manuell Lokales Wenn ein Dienst (als Ausnahme) interaktiv mit Benutzern kommunizieren mchte, ermglicht dieser Dienst die Darstellung von Dialogfenstern und die Benachrichtigung der Anwender darber.

    System

    Extensible Authentication Protocol (EapHost) Manuell Lokales Dienst zur Untersttzung des Extensible Authenti-cation Protocols (EAP). Dieses wird u. a. fr die Anmeldung mit Chipkarten und fr die Remote-einwahl bentigt, und kann weitere Authentifizie-rungsprotokolle enthalten.

    System

  • 4.3 Verwaltung 179

    Fax (Fax) Manuell Netzwerk- Dieser Dienst ist fr den Fax-Versand und -Em-pfang von lokalen Faxmodems oder Remote-Fax-Servern zustndig. Dazu nutzt er TAPI (Telephony Application Programming Interface) und bentigt die TCP-Ports 135, 139 und 445.

    dienst

    Funktionssuchanbieter-Host (fdPHost) Manuell Lokaler Dienst fr die Netzwerkfunktionssuche. Dienst

    Funktionssuche-Ressourcenverffentlichung (FDResPub)

    Gestartet Automa-tisch

    Lokaler Dienst

    Dieser Dienst gibt im Netzwerk bekannt, welche Ressourcen dieser PC fr die gemeinsame Nut-zung bereitstellt.

    Gatewaydienst auf Anwendungsebene (ALG) Gestartet Manuell Lokaler Bietet Untersttzung fr Protokoll-Plug-Ins im Benutzermodus fr die gemeinsame Nutzung der Internetverbindung.

    Dienst

    Gemeinsame Nutzung der Internetverbindung (SharedAccess)

    Manuell Lokales System

    Mit diesem Dienst ist die Internetverbindungsfrei-gabe realisiert.

    Geschtzter Speicher (ProtectedStorage) Manuell Lokales Dienst, der geschtzten Speicher bereitstellt und ihn verwaltet. Im geschtzten Speicher werden vertrauliche Informationen wie private Schlssel und Kennwrter gespeichert.

    System

    Gruppenrichtlinienclient (gpsvc) Gestartet Automa- Lokales Mit diesem Dienst werden Einstellungen gelesen und bernommen, die in Gruppenrichtlinienobjek-ten auf Domnencontrollern festgelegt wurden.

    tisch System

    IKE- und AuthIP IPsec-Schlsselerstellungs-module (IKEEXT)

    Gestartet Automa-tisch

    Lokales System

    Dieser Dienst beinhaltet Schlsselerstellungsmo-dule, die fr die Authentifizierung und fr IPSec ber die IKE- (Internet Keying Exchange) und Auth-IP- (Authenticated IP)-Protokolle bentigt werden.

  • 180 4. Windows Systemsteuerung und Verwaltungsprogramme

    Integrittsschlssel- und Zertifikatverwaltung (hkmsvc)

    Manuell Lokales System

    Dieser Dienst verwaltet X.509-Zertifikate und -schlssel fr den Netzwerkzugriffsschutz (Net-work Access Protection/NAP) verwendet.

    Intelligenter Hintergrundbertragungsdienst (BITS)

    Gestartet Automa-tisch

    Lokales System

    Dieser Dienst stellt sichere Upload- und Down-load-Funktionen bereit. Dazu wird ausschlielich ungenutzte Netzwerkbandbreite im Hintergrund verwendet und falls eine Verbindung unterbrochen ist, wird beim Wiederverbinden ab der abgebro-chenen Stelle mit der bertragung fortgesetzt. BITS wird bsp. von Windows Update und MSN Explorer bentigt.

    (Verz-gert)

    IP-Hilfsdienst (iphlpsvc) Gestartet Automa- Lokales Dieser Dienst bietet Untersttzungsfunktionen fr den IP-Stack, wie bsp. automatische IPv6-Kon-nektivitt ber IPv4-Netze.

    tisch System

    IPsec-Richtlinien-Agent (PolicyAgent) Gestartet Automa- Netzwerk- Durch diesen Dienst werden IPsec-Richtlinien, die mit dem Snap-In IP-Sicherheitsrichtlinien (oder mit dem Programm netsh ipsec) zur Datenver-schlsselung und Hostauthentifizierung auf der IP-Ebene sowie fr die Remoteverwaltung der Windows-Firewall erstellt wurden, auf Computern angewendet.

    tisch dienst

    Jugendschutz (WPCSvc) Manuell Lokaler Die Jugendschutzfunktionalitt von Windows Vista wird durch diesen Dienst realisiert.

    Dienst

    Kryptografiedienste (CryptSvc) Gestartet Automa- Netzwerk- Smtliche Verschlsselungs- und Schlsselverwal-tungsfunktionen des Betriebssystem werden durch diesen Dienst realisiert.

    tisch dienst

    KtmRm fr Distributed Transaction Coordinator (KtmRm)

    Gestartet Automa-tisch

    Netzwerk-dienst

    Dieser Dienst koordiniert verteilte Transaktionen zwischen MSDTC und dem Kerneltransaktions-Manager (KTM).

    (Verz-gert)

  • 4.3 Verwaltung 181

    Leistungsprotokolle und -warnungen (pla) Manuell Lokaler Dieser Dienst protokolliert Leistungsdaten lokalen oder Remotecomputern und lst ggf. Warnmel-dungen aus, wenn konfigurierte Schwellwerte un-ter- oder berschritten werden.

    Dienst

    Microsoft .NET Framework NGEN v2.0.50727 _X86 (clr_optimization_v2.0_50727_32)

    Manuell Lokales System

    Untersttzungsdienst fr .Net-Framework 2.0.

    Microsoft iSCSI-Initiator-Dienst (MSiSCSI) Manuell Lokales Dieser Dienst stellt Verbindungen zu Internet SCSI (iSCSI)-Gerten her.

    System

    Microsoft-Softwareschattenkopie-Anbieter (swprv) Manuell Lokales Verwaltung softwarebasierter Schattenkopien des Volumeschattenkopie-Dienstes.

    System

    Multimediaklassenplaner (MMCSS) Gestartet Automa- Lokales Klassifiziert Multimediaanwendungen relativ zu systemweiten Aufgabenprioritten. Ohne diesen Dienst erhalten sie die jeweiligen Standardpriori-tten.

    tisch System

    NAP-Agent (Network Access Protection) (napagent)

    Manuell Netzwerk- dienst

    Client-Dienst fr den Netzwerkzugriffsschutz (Network Access Protection/NAP).

    Net.Tcp-Portfreigabedienst (NetTcpPortSharing) Deakti- Lokaler Dienst, der TCP-Port-Freigaben ber das Net.Tcp Protokoll ermglicht.

    viert Dienst

    Netzwerklistendienst (netprofm) Gestartet Automa- Lokaler Dieser Dienst speichert Informationen (Profile) ber die Netzwerke, mit denen der Computer eine Verbindung hergestellt hatte und benachrichtigt Applikationen, wenn sich Eigenschaften ndern.

    tisch Dienst

    Netzwerkspeicher-Schnittstellendienst (nsi) Gestartet Automa- Lokaler Das Hinzufgen und Entfernen von Netzwerk-schnittstellen wird durch diesen Dienst berwacht und Benutzeranwendungen mitgeteilt.

    tisch Dienst

  • 182 4. Windows Systemsteuerung und Verwaltungsprogramme

    Netzwerkverbindungen (Netman) Gestartet Manuell Lokales Dieser Dienst verwaltet LAN- und Remoteverbin-dungen, die dann im Fenster Netzwerk- und Whl-verbindungen angezeigt werden.

    System

    NLA - Network Location Awareness (NlaSvc) Gestartet Automa- Netzwerk- Dieser Dienst sammelt und speichert Netzwerk-konfigurationsinformationen und generiert Be-nachrichtigungen im Falle von nderungen.

    tisch dienst

    Offlinedateien (CscService) Gestartet Automa- Lokales Dieser Dienst wird fr die Untersttzung von Off-linedateien (Client Side Cache) bentigt. Er ber-wacht Benutzeran- und -abmeldungen und steuert die Dateisynchronisation sowie den Dateicache.

    tisch System

    Peer Name Resolution-Protokoll (PNRPsvc) Manuell Lokaler Dienst, der die Namensauflsung fr Peer-to-Peer-Netze durchfhrt.

    Dienst

    Peernetzwerk-Gruppenzuordnung (p2psvc) Manuell Lokaler Dieser Dienst verwaltet Gruppenzuordnungen fr Peer-to-Peer-Netzwerke.

    Dienst

    Peernetzwerkidentitts-Manager (p2pimsvc) Manuell Lokaler Dienst fr das Identittsmanagement und Anmel-dungen von Peernetzwerken.

    Dienst

    Plug & Play (PlugPlay) Gestartet Automa- Lokales Dieser Dienst berwacht den Neuanschluss und das Entfernen und Plug-und-Play-Gerten.

    tisch System

    PnP-X-IP-Busauflistung (IPBusEnum) Manuell Lokales Dieser Dienst fhrt die Erkennung von PnP-X-Netzwerkgerten mit dem SSDP/WS-Protokoll durch und leitet diese Informationen an den Plug-und-Play-Dienst weiter.

    System

    PNRP-Computernamenverffentlichungs-Dienst (PNRPAutoReg)

    Manuell Lokaler Dienst

    Dieser Dienst gibt einen Computernamen mit dem Peer-Name-Resolution-Protokoll (PNRP) im Netz bekannt.

    Programmkompatibilitts-Assistent-Dienst (PcaSvc)

    Gestartet Automa-tisch

    Lokales System

    Dieser Dienst wird vom Programmkompatibili-tts-Assistenten bentigt.

  • 4.3 Verwaltung 183

    RAS-Verbindungsverwaltung (RasMan) Manuell Lokales Verwaltet Einwahl- und VPN-Verbindungen die-ses Computers zu anderen Netzwerken.

    System

    ReadyBoost (EMDMgmt) Gestartet Automa- Lokales Bietet hhere Systemleistung durch Auslagern von Speicherbereichen auf USB-Speicher.

    tisch System

    Remoteprozeduraufruf - RPC (RpcSs) Gestartet Automa- Netzwerk- RPC-Endpunktzuordnung und COM-Dienststeue-rungsverwaltung. Dieser Dienst bentigt die TCP-Ports 135 und 593.

    tisch dienst

    Remoteregistrierung (RemoteRegistry) Manuell Lokaler Durch diesen Dienst wird grundlegend der Zugriff (in Abhngigkeit der jeweiligen Rechte und Be-rechtigungen) auf die Registrierung des Compu-ters von Dritten ber das Netzwerk ermglicht. Der lokale Zugriff ist stets mglich, hierzu wird dieser Dienst nicht bentigt.

    Dienst

    Richtlinie zum Entfernen der Smartcard (SCPolicySvc)

    Manuell Lokales System

    Untersttzung einer Richtlinie (falls konfiguriert), dass die Oberflche nur mit eingelegter Chipkarte bedient werden kann und bei Entfernen der Chip-karte sofort gesperrt wird.

    Routing und RAS (RemoteAccess) Deakti- Lokales Dienst fr Routing- und Fernzugriffsfunktionen. Fr PPTP (Point-to-Point-Tuneling Protocol) wird der TCP-Port 1723, fr IPSec die Internet Proto-kolle 47 (GRE), 50 (ESP), 51 (AH) und die UDP-Ports 500 und ggf. 4500 (NAT-T) benutzt.

    viert System

    RPC-Locator (RpcLocator) Manuell Netzwerk- Dieser Dienst verwaltet die RPC-Namensdienst-tabelle, mit der RPC-Clients RPC-Server finden knnen. Er benutzt dazu die TCP-Ports 139 und 445.

    dienst

    Sekundre Anmeldung (seclogon) Gestartet Automa- Lokales Dieser Dienst ermglicht das Ausfhren von Pro-grammen mit anderen Anmeldeinformationen (RunAs).

    tisch System

    Server (LanmanServer) Gestartet Automa- Lokales Durch den Serverdienst werden Datei-, Drucker- und Named-Pipe-Freigaben unter Verwendung des

    tisch System

  • 184 4. Windows Systemsteuerung und Verwaltungsprogramme

    SMB-Protokolls ermglicht. Fr interne Netzwer-ke wird er oftmals bentigt. Bei alleinstehenden Computern und die mit dem Internet kommunizie-ren, sollte dieser Dienst entweder nur fr die be-treffende Netzwerkschnittstelle oder sogar kom-plett deaktiviert werden.

    Server fr Threadsortierung (THREADORDER) Manuell Lokaler Untersttzung einer nach Reihenfolge sortierten Ausfhrung einer Gruppe von Threads innerhalb eines bestimmten Zeitraums.

    Dienst

    Shellhardwareerkennung (ShellHWDetection) Gestartet Automa- Lokales Dieser Dienst erkennt das Anschlieen neuer Hardware und das Einlegen von Medien in Lauf-werke und startet in Abhngigkeit der AutoPlay-Einstellungen ein betreffendes Wiedergabepro-gramm.

    tisch System

    Sicherheitscenter (wscsvc) Gestartet Automa- Lokaler Dieser Dienst berwacht, dass die Windows Fire-wall aktiv, Antivirus-Software installiert ist und aktualisiert wird, und dass Automatische Updates durchgefhrt werden. Er benachrichtigt den An-wender, falls das nicht der Fall ist.

    tisch (Verz-gert)

    Dienst

    Sicherheitskonto-Manager (SamSs) Gestartet Automa- Lokales Dieser Dienst beinhaltet die Sicherkeitskontenver-waltung (Security Accounts Management, SAM). Hierin werden lokale Konten gespeichert und ver-waltet. Er ist auch wichtig fr den Start anderer Dienste.

    tisch System

    Sitzungs-Manager fr Desktopfenster-Manager (UxSms)

    Gestartet Automa-tisch

    Lokales System

    Verwaltet Verbindungen und Anmeldungen fr den Desktop-Fenster-Manager.

    SL-Benutzerschnittstellen-Benachrichtigungs-dienst (SLUINotify)

    Manuell Lokaler Dienst

    berwachung der Softwarelizenzen und Benach-richtigung, falls mehr als die lizenzierten Verbin-dungen hergestellt werden.

    Smartcard (SCardSvr) Manuell Lokaler Verwaltet und steuert den sicheren Zugriff auf Chipkarten.

    Dienst

  • 4.3 Verwaltung 185

    SNMP-Trap (SNMPTRAP) Manuell Lokaler Der SNMP-Trap-Dienst untersttzt den Nachrich-tenempfang von SNMP-Agenten und leitet sie an einen lokalen SNMP-Manager weiter. UDP-Port 162 wird benutzt.

    Dienst

    Softwarelizenzierung (slsvc) Gestartet Automa- Netzwerk- Untersttzt das Herunterladen, die Installation und die Steuerung digitaler Lizenzen fr Windows und Windows-Anwendungen. Wenn dieser Dienst nicht gestartet ist, arbeitet Vis-ta nur in einem Modus mit reduzierter Funktiona-litt.

    tisch dienst

    SSDP-Suche (SSDPSRV) Gestartet Manuell Lokaler Dieser Dienst gibt per SSDP (Simple Service Dis-covery Protocol) eigene Dienste im Netzwerk be-kannt und sucht im Netzwerk nach Gerten und Diensten, die ebenfalls SSDP verwenden, wie bsp. UPnP-Gerte. Fr die SSDP werden der UDP-Port 1900 und der TCP-Port 2869 verwendet.

    Dienst

    Startprogramm fr Windows Media Center (ehstart)

    Automa-tisch

    Lokaler Dienst

    Startet den Windows Media Center-Planerdienst und den Media Center-Empfngerdienst beim Start, wenn TV im Windows Media Center akti-viert ist.

    (Verz-gert)

    Superfetch (SysMain) Gestartet Automa- Lokales Dieser Dienst erhht die Systemleistung durch die Neusortierung von Hauptspeicherbereichen und damit der Vermeidung allzu hufiger Auslage-rungsvorgnge.

    tisch System

    Tablet PC-Eingabedienst (TabletInputService) Gestartet Automa- Lokales Auf Tablett-PCs wird dieser Dienst fr die Stift- und Freihandfunktionalitt bentigt.

    tisch System

    TCP/IP-NetBIOS-Hilfsdienst (lmhosts) Gestartet Automa- Lokaler Dieser Dienst beinhaltet Untersttzungsfunktionen fr den NetBIOS-ber-TCP/IP-Dienst (NetBT) und die NetBIOS-Namensauflsung, damit Benut-zer Dateien, Drucker etc. gemeinsam nutzen und sich anmelden knnen.

    tisch Dienst

  • 186 4. Windows Systemsteuerung und Verwaltungsprogramme

    Telefonie (TapiSrv) Gestartet Manuell Netzwerk- Mit dem Telefonie-Dienst wird die Untersttzung fr die Telefonie-API (TAPI) realisiert. Diese wird von Programmen, die lokale und ber das LAN auf Telefoniegerte zugreifen und fr Modem verwendet.

    dienst

    Terminaldienste (TermService) Gestartet Automa- Netzwerk- Dieser Dienst bietet die Untersttzung zu Zugriffs von mehreren Benutzern und Ausfhren ihrer Pro-gramme in eigenen Sitzungen (engl. Multi User). Die RDP-Sitzungen fr die Terminaldienste und Remote Desktop werden ber TCP-Port 3389 her-gestellt.

    tisch dienst

    Terminaldienstekonfiguration (SessionEnv) Manuell Lokales Die Terminaldienstekonfigurationdienst (TSCS, Terminal Services Configuration Service) ist fr alle Konfigurations- und Sitzungsverwaltungsak-tivitten im Zusammenhang mit den Terminal-diensten und Remote Desktop zustndig, die den im Sicherheitskontext des Betriebssystems arbei-ten mssen wie sitzungsspezifische temporren Ordner, Terminal Server-Designs und -Zertifikate.

    System

    TPM-Basisdienste (TBS) Manuell Lokaler Dieser Dienst verwaltet Trusted Platform Module (TPM) und ermglicht die Benutzung der dort ge-speicherten Kryptografie-Schlssel.

    Dienst

    berwachung verteilter Verknpfungen - Client (TrkWks)

    Gestartet Automa-tisch

    Lokales System

    Dienst, der clientseitig fr die Verwaltung und Nachverfolgung von Verknpfungen von NTFS-Dateien auf einem Computer oder in einem Netz-werk zustndig ist. TCP-Port 135 wird bentigt.

    Untersttzung in der Systemsteuerung unter L-sungen fr Probleme (wercplsupport)

    Manuell Lokales System

    Dieser Dienst ist fr das Programm Lsungen fr Probleme aus der Systemsteuerung zustndig und bietet die Untersttzung fr das Anzeigen, Senden und Lschen von Problemberichten auf der Sys-temebene.

  • 4.3 Verwaltung 187

    UPnP-Gertehost (upnphost) Gestartet Automa- Lokaler Durch diesen Dienst wird der Zugriff auf UPnP-Gerte (Universal Plug and Play) bereit gestellt. TCP-Port 2869 wird benutzt.

    tisch Dienst

    Verbessertes Windows-Audio/Video-Streaming (QWAVE)

    Manuell Lokaler Dienst

    Der Windows-Dienst fr verbessertes Audio- und Video-Streaming (qWave) erhht im lokalen Netz die Qualitt der Wiedergabe von Audio- und Vi-deodateien durch die Verwendung von Mindest-bandbreiten mittels QoS (Quality of Service), wo-durch eine gleichmige Wiedergabe sichergestellt und Bild-/Tonaussetzer vermieden werden.

    Verbindungsschicht-Topologieerkennungs-Zuordnungsprogramm (lltdsvc)

    Manuell Lokaler Dienst

    Dieser Dienst erstellt eine bersicht von Compu-ter- und Verbindungsinformationen aller Gerte im lokalen Netzwerk mittels des LLT-Protokolls.

    Verwaltung fr automatische RAS-Verbindung (RasAuto)

    Manuell Lokales System

    Durch diesen Dienst wird automatisch eine RAS-Verbindung hergestellt, wenn mit einem Host kommuniziert werden soll, der sich nicht am loka-len Netzwerk befindet.

    Virtueller Datentrger (vds) Manuell Lokales Datentrgerverwaltungsdienst zur Untersttzung von Platten, Volumes, dynamische Datentrger, Hardware-RAID etc.

    System

    Volumeschattenkopie (VSS) Manuell Lokales Dieser Dienst ist fr Volumeschattenkopien zu-stndig.

    System

    WebClient (WebClient) Gestartet Automa- Lokaler Der WebClient-Dienst ermglicht Programmen mittels des WebDAV-Protokolls (Web Distributed Autoring und Versioning) auf Internet-basierte Da-teien zuzugreifen und sie zu ndern.

    tisch Dienst

    Windows CardSpace (idsvc) Manuell Lokales Dieser Dienst untersttzt die Erstellung, Verwal-tung und die Vorlage von digitalen Identitten.

    System

  • 188 4. Windows Systemsteuerung und Verwaltungsprogramme

    Windows Driver Foundation - Benutzermodus-Treiberframework (wudfsvc)

    Manuell Lokaler Dienst

    Dieser Dienst verwaltet WDF-Gertetreiber, die im Benutzermodus arbeiten.

    Windows Installer (msiserver) Manuell Lokales Der Windows-Installer-Dienst ermglicht das In-stallieren und Entfernen von Programmpaketen, die als MSI-Dateien bereit stehen.

    System

    Windows Media Center Extender-Dienst (Mcx2Svc)

    Deakti-viert

    Lokaler Dienst

    Mit diesem Dienst knnen Media-Center-Exten-der-Gerte diesen Computer finden und eine Ver-bindung herstellen.

    Windows Media Center-Empfngerdienst (ehRcvr)Gestartet Manuell Netzwerk- Dienst fr den Radio- und Fernsehempfang des Media Centers.

    dienst

    Windows Media Center-Planerdienst (ehSched) Gestartet Manuell Netzwerk- Media-Center-Dienst fr zeitgesteuerte Aufzeich-nungen.

    dienst

    Windows Media Player-Netzwerkfreigabedienst (WMPNetworkSvc)

    Manuell Netzwerk-dienst

    Dieser Dienst verffentlicht Windows-Media-Player-Bibliotheken im Netzwerk. Andere Gerte knnen darauf mittels UPnP (Universal Plug & Play) zugreifen und diese Dateien wiedergeben.

    Windows Mobile 2003-basierte Gerteverbindun-gen (WcesComm)

    Gestartet Automa-tisch

    Lokaler Dienst

    Dienst fr die Verbindungsherstellung zu Win-dows Mobile 2003-basierte Gerten.

    (Verz-gert)

    Windows Mobile-basierte Gerteverbindungen (RapiMgr)

    Gestartet Automa-tisch

    Lokaler Dienst

    Dieser Dienst untersttzt den fernen Zugriff auf Windows Mobile-basierte Gerte.

    (Verz-gert)

    Windows Modules Installer (TrustedInstaller) Manuell Lokales Dienst fr das Installieren, ndern und Entfernen von Windows-Updates und optionalen Vista-Kom-ponenten.

    System

    Windows Presentation Foundation-Schriftart-cache 3.0.0.0 (FontCache3.0.0.0)

    Manuell Lokaler Dienst

    Dieser Dienst speichert Zeichenstze zur Verwen-

  • 4.3 Verwaltung 189

    dung durch die Windows Presentation Foundation (WPF). WPF-Anwendungen sind zwar auch ohne diesen Dienst lauffhig, aber nur mit geringerer Leistung.

    Windows Update (wuauserv) Gestartet Automa- Lokales Dieser Dienst untersttzt Windows-Aktualisierun-gen, auch Zeitgesteuerte. Wenn er nicht aktiv ist, arbeiten Windows Update und die automatischen Updates nicht.

    tisch (Verz-gert)

    System

    Windows-Audio (Audiosrv) Gestartet Automa- Lokaler Dieser Dienst beinhaltet die Untersttzung fr Audio, Plug&Play-Untersttzung und globale Au-dio-Effekte.

    tisch Dienst

    Windows-Audio-Endpunkterstellung (AudioEndpointBuilder)

    Gestartet Automa-tisch

    Lokales System

    Dienst fr die Audiogerteverwaltung.

    Windows-Bilderfassung (stisvc) Manuell Lokaler Dieser Dienst wird fr die Bilderfassung von Scannern und Kameras bentigt.

    Dienst

    Windows-Defender (WinDefend) Gestartet Automa- Lokales Dieser Dienst durchsucht den Computer perio-disch nach Viren, Wrmern und anderer schdli-cher Software, und ldt regelmig Aktualisierun-gen der Signaturdateien herunter.

    tisch System

    Windows-Ereignisprotokoll (EventLog) Gestartet Automa- Lokaler Dienst, der auftretende lokale Systemereignisse berwacht und sie in das Ereignisprotokoll schreibt.

    tisch Dienst

    Windows-Ereignissammlung (Wecsvc) Manuell Netzwerk- Dieser Dienst verwaltet dauerhafte Verbindungen zu Ereignisquellen auf Computern mit dem WS-Verwaltungsprotokoll.

    dienst

    Windows-Farbsystem (WcsPlugInService) Manuell Lokaler Realisiert die Windows Vista Untersttzung fr Farbprofile und ihre Erweiterbarkeit durch Dritt-anbieter-Plug-Ins.

    Dienst

    Windows-Fehlerberichterstattungsdienst (WerSvc)Gestartet Automa-tisch

    Lokales System

    Dieser Dienst ermglicht die Fehlerberichterstat-tung (Windows Error Reporting) und das Anzei-gen von Lsungen bei abgestrzten Programmen.

  • 190 4. Windows Systemsteuerung und Verwaltungsprogramme

    Windows-Firewall (MpsSvc) Gestartet Automa- Lokaler Durch diesen Dienst ist die Windows-Firewall-Funktionalitt realisiert.

    tisch Dienst

    Windows-Prozessaktivierungsdienst (WAS) Manuell Lokales Bietet Dienste zur Prozessaktivierung, Ressour-cenverwaltung und Zustandsverwaltung von An-wendungen.

    System

    Windows-Remoteverwaltung - WS-Verwaltung (WinRM)

    Manuell Netzwerk-dienst

    Der Windowsfernverwaltungsdienst implementiert das http(s) gesttzte WS-Verwaltungsprotokoll.

    Windows-Sicherung (SDRSVC) Manuell Lokales Dienst, der dateibasierte Sicherungen und Wie-derherstellungen untersttzt.

    System

    Windows-Sofortverbindung - Konfigurationsregis-trierungsstelle (wcncsvc)

    Manuell Lokaler Dienst

    Verwaltet und registriert Netzwerkanmeldungen fr die Windows-Sofortverbindung.

    Windows-Suche (WSearch) Gestartet Automa- Lokales Durch diesen Dienst wird die Windows-Suche und die im Hintergrund laufende Indizierung realisiert.

    tisch System

    Windows-Verwaltungsinstrumentation (Winmgmt) Gestartet Automa- Lokales Bietet eine standardmige Schnittstelle (WMI) und ein Objektmodell zum Zugreifen auf Verwal-tungsinformationen ber das Betriebssystem, Ge-rte, Anwendungen und Dienste. Die meiste Win-dows-basierte Software kann nicht ordnungsge-m ausgefhrt werden, falls dieser Dienst beendet wird.

    tisch System

    Windows-Zeitgeber (W32Time) Gestartet Automa- Lokaler Dieser Dienst aktualisiert das Datum und die Uhr-zeit mittels NTP (Network Time Protocol) von ei-nem Domnencontroller oder einem externen Zeitserver ber UDP-Port 123.

    tisch Dienst

    WinHTTP-Web Proxy Auto-Discovery-Dienst (WinHttpAutoProxySvc)

    Manuell Lokaler Dienst

    Dieser Dienst erkennt ber das WPAD-Protokoll (Web Proxy Auto Detection) automatisch eine HTTP-Proxy-Konfiguration. Diese muss damit nicht in jedem Client eingetragen werden.

  • 4.3 Verwaltung 191

    WMI-Leistungsadapter (wmiApSrv) Manuell Lokales Bietet Leistungsbibliotheksinformationen der Windows-Verwaltungsinstrumentationsanbieter fr Rechner im Netzwerkverbund durch die WMI-und PDH- (Performance Data Helper)- APIs. Die-ser Dienst wird nur ausgefhrt, wenn das Leis-tungsdaten-Hilfsprogramm aktiviert ist.

    System

    WWW-Publishingdienst (W3SVC) Gestartet Automa- Lokales WWW-Serverdienst, der Clients ber http (TCP-Port 80) und https (TCP-Port 443) Zugriff auf ver-ffentlichte HTML-Seiten erlaubt.

    tisch System

    Zertifikatverteilung (CertPropSvc) Manuell Lokales Dieser Dienst ist fr die Zertifikatsbertragung von Chipkarten zustndig.

    System

    Zugriff auf Eingabegerte (hidserv) Manuell Lokales Der HID-Dienst untersttzt die Verwendung von HID-Eingabegerte (Human Interface Devices) wie Fernbedienungen, USB-Muse etc. und wird nur ausgefhrt, wenn mindestens eins dieser Ger-te an den Computer angeschlossen ist.

    System

    4.3.5 Dienste fr NFS

    Eine Funktion, die standardmig nur in den Vista-Editionen Enterprise und Ultimate verfgbar ist, sind die Dienste fr NFS. Dabei handelt es sich nicht etwa eine Neuentwicklung von Microsoft exklusiv fr Windows Vista, sondern diese existieren schon seit Jahren als Microsoft Services-for-Unix (SFU), das ab der Version 3.5 fr die Windows-Vorgngerversio-nen kostenlos von der Microsoft-Download-Site heruntergeladen werden kann.

    Neu ist aber, dass die SFU nun erstmalig in einem Windows-Betriebs-system integriert sind.

    Mittlerweile hier schon zwei, drei mal erwhnt, stellt sich die Frage, wo-fr die Abkrzung NFS eigentlich steht und was genau das eigentlich ist.

    NFS ist die Abkrzung von Network File System. Doch was ist darunter zu verstehen?

    In der Unix-Welt (und hierbei darf nicht vergessen werden, dass Unix ursprnglich als ein Mehrbenutzerbetriebssystem fr Terminal-Benutzer konzipiert wurde) stand lange Zeit nicht so eine komfortable Funktion wie das SMB-Protokoll zum Zugriff (Lesen und Schreiben) auf Dateien eines

  • 192 4. Windows Systemsteuerung und Verwaltungsprogramme

    anderen Unix-Rechners zur Verfgung. Zwischen entfernten Unix-Syste-men wurden Dateien oftmals mittels UUCP (User to User Copy) oder FTP (File Transfer Protocol) bertragen, wobei FTP die Nachteil hat, dass Be-nutzeranmeldeinformationen wenn keine Netzwerkverschlsselungstech-nologie wie bsp. IPSec eingesetzt wird, im Klartext bertragen werden und auerdem keine gegenseitige Authentifizierung zur Verfgung steht!

    Seit einiger Zeit steht nun ein Nachbau des Microsoft-SMB-Protokolls namens Samba zur Verfgung und eben NFS.

    Mit den Diensten fr NFS knnen Windows-Rechner auf NFS-Freiga-ben von Unix-Systemen zugreifen und eigene Ressourcen fr Unix-Clients zur Verfgung stellen.

    Sie stehen in Vista als Funktion bereit, die in den beiden erwhnten Ver-sionen installiert werden kann.

    Wenn auf dem Vista-PC der NFS-Client und auf einem anderen System der NFS-Server eingerichtet ist, knnen Sie sowohl mit der Unix-Form Server:/Export oder mit der UNC- (Universal Naming Convention)- Form \\Server\Freigabe angesprochen werden natrlich beides auch im Win-dows Explorer.

    So weit so gut. Aber auch hier stellt sich zwangslufig sofort die weiter-fhrende Frage, wie eine Benutzerauthentifizierung und -autorisierung bewerkstelligt wird, um steuern zu knnen, wer auf welche Ressourcen wie zugreifen darf.

    Die Authentifizierung der Benutzer(innen) erfolgt entweder ber Active Directory oder die Benutzernamenszuordnung (siehe unten). Im letzteren Fall mssen alle abfragenden Vista-Computer jeweils in der Datei .maphosts auf den Unix-Computern aufgefhrt sein.

    Nach Aufruf des Dienste-fr-NFS-Programms aus der Verwaltung ffnet sich das in Abb. 4.53 gezeigte Fenster.

  • 4.3 Verwaltung 193

    Abb. 4.53. Startbildschirm des Clients fr NFS

    In ihm werden allgemeine Hinweise ber die NFS-Dienste gegeben. Wenn in der linken Spalte des Fensters aus dem Kontextmens des Ein-

    trags Dienste fr NFS Eigenschaften... ausgewhlt wird, kann in dem sich dann ffnenden Fenster die schon oben erwhnte Identittszuordnung fest-gelegt werden (siehe Abb. 4.54).

  • 194 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.54. NFS-Diensteigenschaften

    Aber auch der Client fr NFS hat ein Eigenschaftsfenster. Seine Regis-

    terkarten sind in den Abbildungen 4.55 und 4.56 wiedergegeben.

  • 4.3 Verwaltung 195

    Abb. 4.55. Einstellungen des NFS-Clients

    In der ersten, Clienteinstellungen genannten Registerkarte werden netz-

    werkbezogene Einstellungen festgelegt. Zu den Reservierten Ports s. u. Die Registerkarte Dateiberechtigungen erlaubt, die standardmigen

    Berechtigungen neuer Dateien auf einer NFS-Freigabe festzulegen.22

    22 Das Vorgenannte bezieht sich aber nur auf den Zeitpunkt der Erstellung. Die

    Zugriffsberechtigungen dieser in NFS-Freigaben neu erstellten Dateien lassen sich selbstverstndlich bsp. mit chmod-Befehlen jederzeit ndern!

  • 196 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.56. Dateiberechtigungen fr den NFS-Client

    Unix-basierte Rechner verfgen durchweg nicht ber so detaillierte Ein-

    zelberechtigungen wie ein Windows-NTFS-Dateisystem (siehe Kap. 5) und auch nicht ber so vielfltige Gruppen-, Einzelbenutzerberechtigungs- und -sperrmglichkeiten wie Windows- oder Novell-NetWare-Systeme. Auch existiert in ihnen nicht die Unterteilung zwischen lokalen, globalen und universellen Gruppen und ebenso i. d. R. auch nicht die Mandatory Access Control (MAC).

  • 4.3 Verwaltung 197

    Zugriffsberechtigungen auf Objekte werden in Unix-Systemen lediglich in den nicht besonders granularen Abstufungen Lesen (r), Schreiben (w)23 und Ausfhren (x) jeweils fr den Ersteller/Eigentmer, seine Gruppe und fr Jedermann festgelegt bsp. ber den chmod-Befehl.

    In einer Vista-Administrator-Eingabeaufforderung kann anstelle der GUI-Programme auch der Nfsadmin.exe-Befehl verwendet werden, um den NFS-Client zu konfigurieren sowie des weiteren auch Net Use, Mount und Umount-Befehle zum Zuordnen und Trennen von Volumes.

    Und dann gibt es noch den Befehl showmount -e Server, mit dem die Eigenschaften eines NFS-Servers abgefragt werden knnen.

    Zur Konfiguration einer bestehenden NFS-Verbindung werden die NFS-Bereitstellungsoptionen aus dem Eigenschaftsmen eines verbunden Lauf-werks gewhlt.

    Falls ein Unix-NFS-Server mit privilegierten Anschlssen (das sind TCP/UDP-Portnummern unter 1024) arbeitet, muss Vista ber den Eintrag des Schlssels UseReservedPorts=1 (DWORD) im Registrierungspfad HKLM\Software\Microsoft\Client for NFS\CurrentVersion\default davon in Kenntnis gesetzt werden.

    4.3.6 Der iSCSI-Initiator

    Mit dem iSCSI-Protokoll24 lassen sich ber TCP/IP unter anderem Fest-platten, DVD-, CD- und Bandlaufwerke von iSCSI-Servern (auch als Tar-gets oder Ziele bezeichnet) ansprechen. Ein wichtiger Unterschied zu an-deren NAS- (Network Attached Storage)- Lsungen ist dabei, dass iSCSI blockorientiert arbeitet, NAS-Server, welche die SMB bzw. CIFS oder NFS Protokolle benutzen, hingegen dateibasiert!

    Der Verbindungsaufbau zu iSCSI-Zielen wird stets von Clients initiiert. Daher stammt der Name iSCSI-Initiator. Die iSCSI-Technologie ist neben auf Glasfaserkabeln (bzw. Kunststofffasern) realisierten SAN-(Storage A-rea Network)-Lsungen eine andere, preisgnstige und besonders perfor-mante Methode zum Aufbau eines (ebenfalls blockorientierten) SANs, da keine neue Netzwerkinfrastruktur aufgebaut werden muss, sondern beste-hende Netzwerkkomponenten wie die Leitungen, Router und Switche wei-terverwendet werden knnen. Technisch wre es dabei sogar realisierbar, 23 Allein diese Berechtigung umfasst beispielsweise zusammengefasst die einzel-

    nen Vorgnge Erstellen, ndern und Lschen von Dateien bzw. Verzeichnissen. Das, und alles andere vorstehende, trifft natrlich im Regelfall auch auf smtli-che Unix-Derivate zu.

    24 Ausgesprochen wird dieser Begriff brigens nach Ihrer Wahl entweder als Ei skasi, Internet skasi oder Internet Es-Zeh-Es-Ih.

  • 198 4. Windows Systemsteuerung und Verwaltungsprogramme

    dass sich die iSCSI-Ziele an einem anderen Standort bzw. sogar in einem anderen Land befinden knnen und mit ihnen per VPN und dem Internet kommuniziert wird.

    Anstelle des nachfolgend beschriebenen Software-iSCSI-Initiators, der mit herkmmlichen Netzwerkkarten arbeiten kann, bieten spezielle iSCSI-Karten den Vorteil, dass Systeme mit ihrer Hilfe auch von iSCSI-Gerten gestartet werden knnen. Sie bentigen dann weder eigene Festplatten noch den Windows-Vista-iSCSI-Initiator.

    Damit aber nicht einfach beliebige Benutzer Daten an ein iSCSI-Gert senden oder lesen kann, ist eine Authentifizierung25 und Autorisierung n-tig. Fr Ersteres werden i. d. R. die Protokolle CHAP (Cryptographic Handshake Authentification Protocol) oder RADIUS (Remote Dial-In User Service) verwendet. Auerdem sollten die bertragenen Daten verschls-selt werden, z. B. mit IPsec.

    Folgende zwei Voraussetzungen gibt es fr den Betrieb von iSCSI-Ger-ten mit Vista:

    1. Der iSCSI-Dienst muss ausgefhrt werden. Sollte dieses noch nicht konfiguriert sein, bernimmt es das System beim ersten Aufruf des iSCSI-Symbols.

    2. Gleiches gilt fr eine Firewallausnahmeregel fr den iSNS (Internet Storage Name Service), der Namen von iSCSI-Gerten registriert und auf-lst.

    Verwaltet wird der iSCSI-Initiator-Dienst ber das iSCSI-Symbol in der Systemsteuerung.

    In der ersten Registerkarte das sich dann ffnenden Programms, Allge-mein genannt, lassen sich der Initiatorname, CHAP-Schlssel und der IPsec-Tunnelmodus einrichten (siehe Abb. 4.57).

    25 Kritisch anzumerken ist, dass diese nach dem Standard nur fakultativ ist!

  • 4.3 Verwaltung 199

    Abb. 4.57. Registerkarte Allgemein des iSCSI-Initiators

    Namen von Initiatoren lassen sich nach dem iQN- (iSCSI Qualified

    Name)- und dem EUI- (Extended Unique Identifier)-Format bilden. In dem hier blicherweise verwendeten iQN-Format (siehe die Zeile Initia-torname in Abb. 4.57) kommt nach dem Typkennzeichen (iqn), einem Punkt und dem Datum in der Form (yyyy-mm) in umgekehrter Reihenfol-ge der Domnenname des Initiator-Providers (das Datum kennzeichnet da-bei dem Monat und das Jahr der Registrierung dieser Internet-Domain). Dieser Teil ist fr alle Systeme, die diese Initiator-Software nutzen, gleich,

  • 200 4. Windows Systemsteuerung und Verwaltungsprogramme

    kann aber auf Wunsch abgendert werden. Somit ist lediglich der Hostna-me (hier: knaller.zbc), der nach einem Doppelpunkt angehngt wird, ist ein individuelles Unterscheidungsmerkmal eines bestimmten Systems.26

    Mit der zweiten Schaltflche (Schlssel) ffnet sich ein Fenster, in dem CHAP-Schlssel festgelegt werden knnen diese mssen auch auf den iSCSI-Zielen eingegeben werden. Nachteilig hierbei ist, dass diese somit zu einem Shared-Secret (im Klartext) werden.

    ber die Einrichten-Schaltflche werden IPSec-Einstellungen festge-legt. Eine IPsec-Verschlsselung ist aus Grnden der Datensicherheit sehr ratsam!

    In der zweiten Registerkarte (Suche) sie ist in Abb. 4.58 dargestellt knnen etwas missverstndlich als Zielportale bezeichnet iSCSI-Ziele explizit und Adresse(n) von iSNS-Server(n) eingetragen werden.

    ISCSI-Ziele arbeiten im allgemeinen ber den TCP-Port 3260. Der iSNS (Internet Storage Name Service) ist ein Dienst, der iSCSI-

    Initiatoren und -Ziele registriert und Namensauflsungsanfragen beantwor-tet. Er hnelt damit dem (D)DNS-Dienst, arbeitet aber auf TCP-Port 3205.

    Sollte es in einem Netzwerk noch kein iSNS-Server geben (dieser Dienst ist ja bekanntlich fr das Funktionieren von iSCSI-Systemen auch nicht zwingend erforderlich), kann von den Microsoft-Download-Websei-ten ein solcher gratis heruntergeladen und installiert werden.

    Es kann in einem Netzwerk durchaus mehrere iSNS-Server geben die-se sollten aber unbedingt synchron gehalten werden!

    26 EUI-Namen werden in der Form eui. (gem des IEEE-

    EUI-64-Standards) gebildet.

  • 4.3 Verwaltung 201

    Abb. 4.58. Registerkarte Suche des iSCSI-Initiators

    In der dritten Registerkarte namens Ziele werden Informationen zu Ver-

    bindungen zu iSCSI-Gerten angezeigt und es gibt die Schaltflche An-melden..., mit der eine Verbindung zu einem bestimmten iSCSI-Gert her-gestellt werden kann (siehe Abb. 4.59). ber Details... werden ausfhr-liche Informationen zu iSCSI-Verbindungen und -Gerten angezeigt.

  • 202 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.59. Registerkarte Ziele des iSCSI-Initiators

    In der vierten Registerkarte (Bevorzugte Ziele) werden Ziele aufgefhrt,

    die bei der Verbindung als automatische Verbindungen gekennzeichnet wurden (siehe Abb. 4.60).

    Sie lassen sich hierber auch wieder entfernen, und es knnen detaillier-te Verbindungsinformationen gezeigt werden.

  • 4.3 Verwaltung 203

    Abb. 4.60. Registerkarte Bevorzugte Ziele des iSCSI-Initiators

    In der vorletzten Registerkarte, die den Namen Volumes und Gerte

    trgt, knnen Kombinationen von iSCSI-Gerten bzw. LUNs eingetragen werden, falls Volumes aus mehreren iSCSI-Zielen zusammengesetzt sind.

  • 204 4. Windows Systemsteuerung und Verwaltungsprogramme

    Abb. 4.61. Registerkarte Volumes und Gerte des iSCSI-Initiators

    In der sechsten Registerkarte (RADIUS) siehe Abb. 4.62 knnen

    RADIUS-Server angegeben werden, die iSCSI-Initiatoren (auch ber meh-rere Netzwerke bzw. das Internet) authentifizieren knnen.

  • 4.3 Verwaltung 205

    Abb. 4.62. Registerkarte RADIUS des iSCSI-Initiators

    Viele der vorgenannten Einstellungen lassen sich auch ber das Kom-

    mandozeilen-Programm iscsicli vornehmen bzw. skripten.27

    27 Fr iSNS gilt das entsprechend. Das Kommandozeilentool dafr heit isnscli.

  • 206 4. Windows Systemsteuerung und Verwaltungsprogramme

    4.3.7 Lokale Sicherheitsrichtlinie

    In einer Sicherheitsrichtlinie werden viele sicherheitsrelevante Einstellun-gen festgelegt. Ist ein Windows-Vista-PC nicht Mitglied einer Domne, so gelten nur die auf ihm festgelegten Einstellungen. Ist er jedoch Teil einer Domne, werden die hier festgelegten Einstellungen zuerst angewendet und danach die einer Domnensicherheits-/Gruppenrichtlinie. Dabei gilt, dass letztere zwar Prioritt (im Konfliktfall) haben, andernfalls ist die Kombination aus beiden wirksam.28

    Abb. 4.63. Lokale Sicherheitsrichtlinie

    Ein Teil von Richtlinien sind Benutzerrechte. Sie sind in Abschnitt

    4.3.7.1 vollstndig aufgefhrt.

    28 Die Ausnahme von dieser Regel besteht im Loopback-Verarbeitungsmodus:

    Wenn er in einer Richtlinie aktiviert ist, bewirkt dies, dass die Einstellungen der lokalen Richtlinie Prioritt gegenber der Domnenrichtlinie haben.

  • 4.3 Verwaltung 207

    4.3.7.1 Benutzerrechte

    Benutzerrechte unterteilen sich in Privilegien und Anmelderechte: Privile-gien steuern den Zugriff auf systemweite Ressourcen und knnen sogar den Zugriff auf Objekte verleihen, auf die ein Benutzer sonst keine Zu-griffsberechtigung hat. Anmelderechte legen fest, wer sich wie an einem Computer anmelden darf oder eben auch nicht.

    4.3.7.1.1 Privilegien

    Folgende Privilegien sind definiert und knnen an Benutzer und Gruppen vergeben werden. Nicht alle Gruppen sind auf allen Windows-Vista- und Windows-Server-Installationsvarianten vorhanden bzw. hngen auch von den installierten Optionen (wie IIS, DNS, DHCP etc.) ab, daher sind einige in den Default-Zeilen in Klammern gesetzt.

    Da die Privilegien nur bei der Anmeldung in das Zugriffstoken aufge-nommen werden, ist bei nderungen eine Benutzer-Ab- und Anmeldung bzw. ein Dienst-Stopp/Start erforderlich, wenn Mitgliedschaften fr Diens-te gendert werden, damit diese wirksam werden.

    ndern der Systemzeit (SeSystemtimePrivilege)

    Recht, das Systemdatum und die Systemzeit zu ndern. Default: Administratoren, (Hauptbenutzer), (LOKALER DIENST)

    ndern der Zeitzone (SeTimeZonePrivilege) Ermglicht, die Zeitzoneneinstellung festzulegen. Default: Administratoren, (Benutzer), (LOKALER DIENST)

    Anheben der Zeitplanungsprioritt (SeIncreaseBasePriorityPrivilege) Recht zum Erhhen der Basis-Priorittsklasse eines Prozesses. Ohne dieses Recht knnen Anwender (z. B. mit dem Task-Manager) nur noch die relative Prioritt ihrer Prozesse innerhalb einer Klasse (bsp. von Normal auf Hher als Normal oder Niedriger als Normal) ndern. Default: Administratoren

    Annehmen der Clientidentitt nach Authentifizierung (SeImpersona-tePrivilege) Erlaubt die bernahme der Benutzeridentitt nach erfolgreicher Au-thentifizierung, um Aktionen nicht im (blicherweise sehr hohen) Si-cherheitskontext eines Dienstes, sondern des Benutzers durchzufhren. Default: Administratoren, (LOKALER DIENST), (NETZWERK-DIENST), DIENST, (ASPNET)

  • 208 4. Windows Systemsteuerung und Verwaltungsprogramme

    Anpassen von Speicherkontingenten fr einen Prozess (SeIncreaseQuo-

    taPrivilege) Recht zum Verndern von Arbeitsspeichergrenbeschrnkungen fr Prozesse. Default: Administratoren, LOKALER DIENST, NETZWERKDIENST

    Arbeitssatz eines Prozesses vergrern (SeIncreaseWorkingSetPrivi-lege) Recht, Prozess-Arbeitsstze zu erhhen. (Das heit, nach Start eines Programms die Menge des ihm zugeordneten Speichers zu erhhen.) Default: Benutzer

    Auf Anmeldeinformations-Manager als vertrauenswrdiger Aufrufer zu-greifen Default: Leer

    Auslassen der durchsuchenden berprfung (SeChangeNotifyPrivilege) Verleiht das Recht, sich in NTFS-Partitionen durch Verzeichnisse und in der Registrierung durch Schlssel zu klicken, ohne dass man Lesebe-rechtigungen darauf hat. Es verleiht nicht die Berechtigung, den Inhalt eines Verzeichnisses oder Schlssels zu sehen, sondern nur sich dadurch zu bewegen. Default: Administratoren, Sicherungs-Operatoren, (Hauptbenutzer), Be-nutzer, Jeder, (LOKALER DIENST), (NETZWERKDIENST)

    Debuggen von Programmen (SeDebugPrivilege) Gibt das Recht, Programme und Speicherbereiche zu debuggen, die im Sicherheitskontext eines anderen Kontos (auch des Betriebssystems) lie-gen. Ohne dieses Recht knnen nur Prozesse des eigenen Benutzerkon-tos debuggt werden. Default: Administratoren

    Durchfhren von Volumewartungsaufgaben (SeManageVolumePrivi-lege) Recht zum Durchfhren von Verwaltungsaufgaben auf einer Festplatte oder Partitionen. Default: Administratoren

    Einsetzen als Teil des Betriebssystems (SeTcbPrivilege)

  • 4.3 Verwaltung 209

    Als Teil des Betriebssystems (Trusted Computing Base) handeln. Zu-griffe erfolgen dann im Sicherheitskontext eines beliebigen Benutzersi-cherheitskontextes und sollte nur wenn unverzichtbar vertrauten Sicher-heitssubsystemen gewhrt werden. Default: Leer (Das lokale System-Konto besitzt dieses Recht immer.)

    Entfernen des Computers von der Dockingstation (SeUndockPrivilege) Dieses Recht wird bentigt, um einen Computer softwareseitig durch Klick auf PC undocken im Startmen von einer Dockingstation ent-fernen zu knnen. Hardwaremig geht das natrlich immer. Default: Administratoren, (Hauptbenutzer), (Benutzer)

    Ermglichen, dass Computer- und Benutzerkonten fr Delegierungs-zwecke vertraut wird (SeEnableDelegationPrivilege) Recht zum Ermglichen der Kennzeichnung von Benutzer- und Compu-terkonten als vertrauenswrdig fr Delegierungszwecke in einer Active-Directory-Umgebung. Hierbei nimmt ein Dienst auf einem Client die Identitt des Benutzers an und verwendet diese gegenber Serverdiens-ten zur Authentifizierung. In so einem Multi-Tier-Szenario muss den be-teiligten Diensten dieses Recht gewhrt werden. Default: Leer

    Ersetzen eines Tokens auf Prozessebene (SeAssignPrimaryTokenPrivile-ge) Recht fr einen bergeordneten Prozess zum Ersetzen des primren Zugriffstokens eines Clientprozesses. Default: LOKALER DIENST, NETZWERKDIENST (Das lokale Sys-temkonto hat dieses Recht immer.)

    Erstellen einer Auslagerungsdatei (SeCreatePagefilePrivilege) Recht zum Erstellen und Anpassen der Gre einer Auslagerungsdatei. Default: Administratoren

    Erstellen eines Profils der Systemleistung (SeSystemProfilePrivilege) Recht zum Erstellen eines Profils der Systemprozesse des gesamten Systems, falls die Leistungskonsole zum Sammeln der Daten durch WMI (Windows Management Instrumentarium) konfiguriert wurde. Default: Administratoren

    Erstellen eines Profils fr einen Einzelprozess (SeProfileSinglePro-cessPrivilege)

  • 210 4. Windows Systemsteuerung und Verwaltungsprogramme

    Recht zum Erstellen eines Profils einer einzelnen Anwendung, wenn der Systemmonitor zum Sammeln der Daten durch WMI (Windows Mana-gement Instrumentarium) konfiguriert wurde. Default: Administratoren, (Hauptbenutzer)

    Erstellen eines Tokenobjekts (SeCreateTokenPrivilege) Erstellen eines Zugriffsstokens (bentigt zum Erstellen primrer Token). Standardmig ist nur die LSA (Local Security Authority) konfiguriert, Zugriffstokens auszustellen. Default: Leer (Das Lokale System-Konto besitzt dieses Recht immer.)

    Erstellen globaler Objekte (SeCreateGlobalPrivilege) Verleiht das Recht, globale Objekte whrend einer Terminaldienstsit-zung zu erstellen. Ohne dieses Recht knnen Anwender immer noch sit-zungsspezifische Objekte erstellen. Default: Administratoren, (Lokales System), DIENST

    Erstellen symbolischer Verknpfungen (SeCreateSymbolicLinkPrivile-ge) Erlaubt die Erstellung von symbolischen Verknpfungen. Default: (Administratoren)

    Erstellen von dauerhaft freigegebenen Objekten (SeCreatePermanent-Privilege) Recht zur Erstellung dauerhaft freigegebener Objekte im Objekt-Mana-ger des Kernels. Default: Leer (Alle im Kernelmodus ausgefhrten Prozesse besitzen die-ses Recht.)

    Erzwingen des Herunterfahrens von einem Remotesystem aus (SeRe-moteShutdownPrivilege) Ermglicht das Herunterfahren eines Systems ber das Netzwerk (z. B. mittels des Shutdown-Befehls). Default: Administratoren, (Server-Operatoren)

    Generieren von Sicherheitsberwachungen (SeAuditPrivilege) Recht zum Erstellen von Eintrgen im Sicherheitsprotokoll. Default: LOKALER DIENST, NETZWERKDIENST (Das lokale Sys-tem-Konto besitzt dieses Recht immer.)

    Herunterfahren des Systems (SeShutdownPrivilege)

  • 4.3 Verwaltung 211

    Herunterfahren des Systems, an dem man lokal angemeldet ist. Dieses Recht kann Terminalserverbenutzern entzogen werden um zu verhin-dern, dass diese unabsichtlich oder absichtlich den Server herunterfah-ren. Default: Administratoren, Sicherungs-Operatoren, (Server-Operatoren), (Druck-Operatoren), (Hauptbenutzer), (Benutzer)

    Hinzufgen von Arbeitsstationen zur Domne (SeMachineAccountPri-vilege) Recht zum Hinzufgen von Arbeitsstationen zur Domne (durch Erstel-len von Computerkonten in der Domne), ohne dass dazu der Anwender in den betreffenden Active-Directory-Containerobjekten Schreibberech-tigung bentigt. Default: Leer, (Authentifizierte Benutzer bei Domnencontrollern)

    Laden und Entfernen von Gertetreibern (SeLoadDriverPrivilege) Verleiht das Recht zum Laden und Entfernen von Gertetreibern im Kernel-Modus. Da Gertetreiber als Teil des Betriebssystems ausgefhrt werden, kann die Installation von geflschten Gertetreibern dazu benutzt werden, um unberechtigt administrativen Zugriff auf einen Computer zu erlangen. Fr das Installieren und Warten von Druckern wird die auerdem die Mitgliedschaft in der Administratoren- oder Hauptbenutzergruppe ben-tigt. Default: Administratoren

    Sichern von Dateien und Verzeichnissen (SeBackupPrivilege) Wird bentigt, um Sicherungen durchfhren zu knnen. Ausschlielich bei Zugriff ber die NTFS-Backup-API gewhrt dieses Recht den lesen-den Zugriff auf Objekte und ihrer Eigenschaften, unabhngig von den gesetzten Zugriffsberechtigungen. Default: Administratoren, Sicherungs-Operatoren

    Sperren von Seiten im Speicher (SeLockMemoryPrivilege) Recht zum Sperren von physischen Seiten im Speicher, was verhindert, dass diese Seiten in den virtuellen Speicher auf der Festplatte ausgela-gert werden knnen. Default: Leer (Das lokale Systemkonto besitzt dieses Recht immer.)

    Synchronisieren von Verzeichnisdienstdaten (SeSyncAgentPrivilege)

  • 212 4. Windows Systemsteuerung und Verwaltungsprogramme

    Wird auf einem Domnencontroller fr die LDAP-Verzeichnissynchro-nisation (DirSync) bentigt und verleiht das Recht, alle Objekte und ihre Eigenschaften zu lesen unabhngig von den gesetzten ACLs. Default: Leer (Administratoren und LOKALES SYSTEM auf Dom-nen-Controllern).

    bernehmen des Besitzes von Dateien und Objekten (SeTakeOwner-shipPrivilege) Recht der Besitzbernahme an Dateien und anderen Objekten (wie Ac-tive-Directory-Objekte, Prozesse, Drucker, Registrierungsschlssel) oh-ne Besitzbernahmeberechtigungen vom Besitzer des Objektes einge-rumt bekommen zu haben. Default: Administratoren

    Verndern der Firmwareumgebungsvariablen (SeSystemEnvironment-Privilege) Gibt das Recht, Firmware- und EFI-BIOS-Variablen auf RISC- und Ita-nium-Systemen, die in nichtflchtigem RAM (NVRAM) gespeichert werden, zu ndern. Default: Administratoren

    Verndern einer Objektbezeichnung Default: Leer

    Verwalten von berwachungs- und Sicherheitsprotokollen (SeSecuri-tyPrivilege) Erlaubt die Modifikation der SACL von Objekten zur Generierung von berwachungseintrgen und den Zugriff auf das Sicherheitsprotokoll der Ereignisanzeige sowie auch das Lschen von Eintrgen. Zum Schreiben von Objektzugriffen muss aber auerdem die berwa-chungsrichtlinie Objektzugriffe konfiguriert sein. Default: Administratoren

    Wiederherstellen von Dateien und Verzeichnissen (SeRestorePrivilege) Gestattet Benutzern, unabhngig von Verzeichnis- und Dateiberechti-gungen gesicherte Dateien- und Verzeichnisse wiederherzustellen und beliebige Benutzer- oder Gruppenkonten als Besitzer dieser Objekte festzulegen. Fr alle anderen Vorgnge werden natrlich die ACLs der Objekte berprft. Default: Administratoren, Sicherungs-Operatoren

  • 4.3 Verwaltung 213

    SeUnsolicitedInputPrivilege (Hierzu gibt es kein in der GUI konfigu-rierbares Benutzerrecht.) Verleiht das Recht, Rohdaten von einem Terminal (das sind in diesem Sinne Monitor, Tastatur, Maus, Chipkartenleser etc.) zu lesen. Default: Leer

    4.3.7.1.2 Anmelderechte

    Neben Privilegien gibt es Anmelderechte. Diese werden von Administrato-ren gleichfalls verwendet, um Zugriffsrechte von Benutzern und Benutzer-gruppen festzulegen, werden aber nicht im Zugriffs-Token kodiert, sondern bei der Anmeldung vom LSA-Dienst berprft. Von den fnf Zugriffsarten

    1. Interaktiv ber die lokale Tastatur 2. Interaktiv ber die Terminaldienste 3. ber das Netzwerk (bsp. fr den Zugriff auf Freigaben) 4. Als Dienst 5. Als Stapelverarbeitungsauftrag

    gibt es jeweils ein Paar, von dem eins den Zugriff erlaubt und das andere den Zugriff verweigert. Alle 10 sind hier aufgefhrt:

    Anmelden als Batchauftrag verweigern (SeDenyBatchLogonRight)

    Verhindert fr einen Benutzer oder eine Gruppe von Benutzern, sich als Stapelverarbeitungsauftrag anzumelden. Default: Leer

    Anmelden als Dienst (SeServiceLogonRight) Gibt einem Konto oder einer Gruppe das Recht, sich als Dienst anzu-melden und ist erforderlich, wenn bestimmte Dienste nicht als Lokales System, Lokaler Dienst oder Netzwerkdienst, die das vordefinierte Recht, sich als Dienst anzumelden haben, sondern im Sicherheitskontext eines eigenen Dienstkontos ausgefhrt werden sollen. Default: NETZWERKDIENST, (ASPNET)

    Anmelden als Dienst verweigern (SeDenyServiceLogonRight) Verweigert eine Anmeldung als Dienst fr die angegebenen Benutzer und Gruppen. Kann jedoch nicht fr SYSTEM, LOKALER DIENST, und NETZ-WERKDIENST vergeben werden! Default: Leer

  • 214 4. Windows Systemsteuerung und Verwaltungsprogramme

    Anmelden als Stapelverarbeitungsauftrag (SeBatchLogonRight) Verleiht das Recht, sich als Stapelverarbeitungsauftrag anzumelden. Ein Beispiel hierfr ist der Zeitplandienst (Geplante Tasks): Wenn ein Ad-ministrator einen Prozess unter einem bestimmten Benutzerkonto zeit-gesteuert oder ein Sicherungsoperator einen Backup-Job laufen lassen mchte, bentigt das betreffende Benutzerkonto dieses Anmelderecht. Zur angegebenen Zeit wird der Prozess dann als Stapelverarbeitungsauf-trag und nicht als interaktiver Prozess ausgefhrt. Default: Administratoren, (SUPPORT_388945a0), Sicherungs-Operato-ren, (ASPNET)

    Anmelden ber Terminaldienste verweigern (SeDenyRemoteInteractive-LogonRight) Verhindert die Anmeldung ber eine Remote-Desktop-Sitzung. Wenn ein Anwender jedoch zustzlich ber das Recht Lokal anmelden zulas-sen verfgt, kann er sich dennoch interaktiv und ber die Internetin-formationsdienste anmelden. Default: Leer, (ASPNET)

    Anmelden ber Terminaldienste zulassen (SeRemoteInteractiveLogon-Right) Gibt das Recht, ber eine Remote-Desktop-Sitzung auf den Computer zuzugreifen. Fr Terminalserverbenutzer ist dies das bevorzugte An-melderecht, weil es weniger Rechte verleiht als die Vergabe des Anmel-derechtes Lokal anmelden zulassen. Default: Administratoren, Remotedesktopbenutzer

    Auf diesen Computer vom Netzwerk aus zugreifen (SeNetworkLogon-Right) Erlaubt, auf diesen Computer ber eine Netzwerkverbindung zuzugrei-fen. Default: Administratoren, (Hauptbenutzer), Jeder, Sicherungs-Operato-ren, (ASPNET), Benutzer

    Lokal anmelden verweigern (SeDenyInteractiveLogonRight) Verhindert, das sich ein Benutzer oder eine Gruppe von Benutzern lokal anmeldet. Default: (Gast), (SUPPORT_388945a0), (ASPNET)

    Lokal anmelden zulassen (SeInteractiveLogonRight)

  • 4.4 Alternativer Start der Verwaltungswerkzeuge 215

    Verleiht das Recht, sich an diesem Computer interaktiv ber die Tastatur des Server, ber Terminaldienste und Internet Information Server anzu-melden. Terminalserverbenutzer sollten nicht dieses, sondern das An-melderecht Anmelden ber Terminaldienste zulassen bekommen. Default: Administratoren, (Hauptbenutzer), Benutzer, Gast, Sicherungs-Operatoren, (Server-Operatoren).

    Zugriff vom Netzwerk auf diesen Computer verweigern (SeDenyNet-workLogonRight) Verhindert, dass sich die angegebenen Benutzer(gruppen) ber das Netzwerk anmelden. Default: (SUPPORT_388945a0), (Gast) Die Verweigern-Rechte haben jeweils Prioritt gegenber den zuge-

    ordneten Erlaubnis-Rechten. So kann z. B. der Gruppe Jeder der Zugriff ber das Netzwerk erlaubt werden, fr Mitglieder der Gruppe Gste ge-sperrt. Wenn ein Benutzer bsp. die lokale Anmeldung sowohl erlaubt als auch verweigert wird, hat letzteres Prioritt.

    Eine Einstellung Jeder sperren und Administratoren erlauben wrde nicht wie gewnscht funktionieren, weil die Administratoren-Gruppe Teil von Jeder ist und damit auch der Zugriff fr diese gesperrt wrde.

    Mit dem Tool Showpriv.exe aus dem Resource-Kit (Windows Server Technische Referenz) kann angezeigt werden, welche Konten ber ein be-stimmtes Privileg verfgen.

    4.4 Alternativer Start der Verwaltungswerkzeuge

    Eine Liste von vordefinierten MVK-Verwaltungsdateien finden Sie in Ta-belle 4.5. Dabei handelt es sich um gespeicherte Ansichten, die nicht in je-dem Fall aus nur einem einzigen Verwaltungsprogramm bestehen mssen, sondern durchaus aus einer Kombination von mehreren Snap-Ins bestehen knnen, wie es insb. bei der Computerverwaltung sehr deutlich ist.

    Nicht alle der hier aufgefhrten MVK-Sichten haben auch einen Eintrag im Startmen, sondern knnen nur durch Eingabe des entspr. Namens auf-gerufen werden. Und umgekehrt gilt, da Snap-Ins als COM-Objekte pro-grammiert und registriert sind, dass nicht alle verfgbaren Snap-Ins ber den Aufruf einer vordefinierten .MSC-Datei gestartet werden knnen.

  • 216 4. Windows Systemsteuerung und Verwaltungsprogramme

    Tabelle 4.5. Dateinamen diverser Dienstprogramm-Snap-Ins

    Dateiname des Snap-Ins Dienstprogramm Azman.msc Autorisierungs-Manager Certmgr.msc Zertifikate Comexp.msc Komponentendienste Compmgmt.msc Computerverwaltung Devmgmt.msc Gerte-Manager Diskmgmt.msc Datentrgerverwaltung Eventvwr.msc Ereignisanzeige Fsmgmt.msc Freigegebene Ordner Gpedit.msc Gruppenrichtlinienobjekt-Editor Gpmc.msc Domnenbasierte Gruppenrichtlinienverwaltung Lusrmgr.msc Lokale Benutzer und Gruppen Napclcfg.msc NAP-Clientkonfiguration Nfsmgmt.msc Dienste fr NFS Perfmon.msc Zuverlssigkeits- und Leistungsberwachung Printmanagement.msc Druckverwaltung Rsop.msc Richtlinienergebnissatz Secpol.msc Lokale Sicherheitsrichtlinie Services.msc Dienste Taskschd.msc Aufgabenplanung Tpm.msc TPM-Verwaltung Wf.msc Windows-Firewall mit erweiterter Sicherheit Wmimgmt.msc WMI-Steuerung

  • 5. Datentrgerverwaltung

    In diesem Kapitel beschftigen wir uns mit der Verwaltung, Einrichtung, Partitionierung und Formatierung von Datentrgern.

    5.1 Untersttzte Massenspeicher

    Massenspeicher als Peripheriegerte eines Computersystems stellen die dauerhafte Speicherung von Daten, auch wenn dieses abgeschaltet ist, si-cher.1 Der Zugriff hierauf ist dabei im allgemeinen erheblich langsamer als auf den Hauptspeicher (RAM) eines Systems.

    Massenspeicher unterscheiden sich hinsichtlich ihres Aufbaus (magne-tisch, optisch, magnetooptisch, etc.), ihrer Arbeitsgeschwindigkeit, ihrer Kapazitt, ihrer Art des Anschlusses an ein Computersystem und ihrer Ver-nderbarkeitsfhigkeit, denn Massenspeicher knnen grundstzlich stets gelesen, aber je nach Typ mehrfach, nur einmal oder gar nicht beschrieben werden.

    5.1.1 Festplatten

    Vista untersttzt Festplatten mit beliebigen Gren und Bussen: Paralleles ATA (PATA), Serielles ATA (SATA), eSATA, SCSI, iSCSI, SAS (Serial At-tached SCSI) etc. sind mglich. Sofern das Rechner-BIOS keine Restrikti-onen hat (wie vormals die 32- und 128-GB-Grenzen bei ATA-Festplatten), kann Vista viele Terabytes an Daten verwalten.

    Neu ist die Untersttzung von Hybrid-Laufwerken: Dieses sind Festplat-ten, die zustzlich zu den rotierenden Platten Flash-Speicherbausteine ha-ben. Damit lassen sich im Optimalfall Stromeinsparungs- (und damit lauf-zeiterhhende) sowie performanceerhhende Effekte erreichen. Whrend des Herunterfahrens eines Betriebssystems knnen in diesen Speicher die

    1 Obwohl diese Definition teilweise auch auf andere Festwertspeicher wie ROM-

    (Read-Only-Memory)-Bausteine zutrifft, zhlen diese angesichts ihres im Ver-hltnis kleinen Speicherumfangs und ihrer Funktion nicht zu Massenspeichern.

  • 218 5. Datentrgerverwaltung

    fr den nchsten Start bentigten Treiber und Programme (zumindest teil-weise) kopiert werden. Sie stehen dann gleich beim Systemstart zur Verf-gung und knnen mit voller Busgeschwindigkeit in den Computerarbeits-speicher bertragen werden. Flashspeicher haben auerdem keine Latenz-zeit und auf das Warten auf das Erreichen der vollen Umdrehungszahl des Laufwerks kann verzichtet werden. Whrend des Betriebs kann, nachdem die bentigten Applikationen geladen sind, der Festplattenmotor abge-schaltet werden. Zu speichernde Daten knnen dann zunchst in den Flash-speicher geschrieben werden, in dem sie auch bei einem eventuellen Stromausfall weiterhin stehen, und erst beim Erreichen der Kapazitts-grenze des Flashspeichers nach kurzem Anwerfen des Motors auf der Fest-platte gespeichert werden. Da Flash-Speicherzellen keine unbegrenzte Le-bensdauer haben, beugen die Hersteller von Hybridlaufwerken potentiellen Datenverlusten durch Prfsummen (wie auch bei regulren Festplatten) sowie teilw. zustzlich mit einem wear-leveling genannten Verfahren, bei dem die Anzahl der Schreibvorgnge je Block beachtet wird, vor.

    Insbesondere treffen die oben erwhnten Eigenschaften auf Solid-State-Festplatten zu, die ausschlielich aus Flash-Speichern aufgebaut sind.

    5.1.2 CD- und DVD-Laufwerke

    Optische nur-lesbare oder wiederbeschreibbare Medien werden nicht nur ebenfalls untersttzt, sondern sind sogar eine Voraussetzung fr Vista. Smtliche Standards wie CD-ROM, CD-RW, DVD-ROM, DVD+R(W), DVD-R(W) bis hin zu DVD-RAM, HD-DVD und Blu-ray knnen ver-wendet werden. Vista bringt eine verbesserte Schreibfunktion mit und nun knnen erstmals mit Betriebssystemuntersttzung Datensicherungen auf optische Datentrger vorgenommen werden.

    5.1.3 Floppies

    Etwas aus der Mode gekommen, werden aber auch noch Diskettenlauf-werke mit bis zu 2,88 MB Kapazitt untersttzt. Und wenn im BIOS vor-gesehen, auch als USB-Laufwerke.

    Kaum jemand wird wohl heutzutage noch grere Datenmengen auf Disketten sichern, verblffender Weise sind sie dennoch noch nicht voll-stndig ausgestorben, weil sie immer noch fr Zwecke wie Kennwortrck-setzdisketten oder auch whrend der Installation zum Laden von Treibern fr andere Laufwerke und Controller, fr die Vista kein Treiber mitbringt, bentigt werden.

  • 5.2 Windows-Datentrgertypen 219

    5.2 Windows-Datentrgertypen

    Seit Windows 2000 knnen Datentrger betriebssystemseitig nicht nur als Basisdatentrger, sondern auch als Dynamische Datentrger eingerichtet werden.

    5.2.1 Basisdatentrger

    Dies ist der Standard seit vielen Jahren und ist mit allen ggf. weiteren pa-rallel installierten Windows-Versionen (Dual-/Multi-Boot) sowie anderen Betriebssystemen kompatibel, was zugleich auch den Hauptvorteil kenn-zeichnet.

    Die Aufteilung des Festplattenplatzes in Partitionen ist in der Partitions-tabelle festgelegt, die im sog. Master Boot Record (MBR) untergebracht ist. Dieser Sektor ist der allererste einer jeden Festplatte (Sektor 0).

    Die Partitionstabelle hat Platz fr genau vier Eintrge. Somit lassen sich bis zu vier primre Partitionen unterbringen, von der eine die aktive Parti-tion ist. Von ihr wird gestartet und sie erhlt normalerweise den Lauf-werksbuchstaben C:. Es lsst sich auch eine erweiterte Partition erstellen,2 in der sich mehrere logische Laufwerke befinden knnen. Eine erweiterte Partition kann es aber je Laufwerk nur maximal einmal geben. Solange noch Laufwerksbuchstaben und Platz verfgbar sind, knnen in ihr weitere logische Laufwerke erstellt werden. Nachteilig ist, dass nach manchen n-derungen das System neu gestartet werden muss.

    Auf Basisdatentrgern knnen nur Primre und erweiterte Partitionen bzw. logische Laufwerke bis zu einer physischen Gesamtgre von 2 TB erstellt werden.

    Die brigen verfgbaren Partitionstypen (Einfaches Volume, bergrei-fendes Volume, Stripesetvolume, Gespiegeltes Volume und RAID-5-Da-tentrger) erfordern hingegen dynamische Datentrger.

    5.2.2 Dynamische Datentrger

    Die Verwaltung der Partitionen erfolgt nicht mehr durch einen MBR, son-dern durch eine erweiterte Partitionstabelle, die sich in einem 1 MB groen Bereich am Ende des Laufwerks befindet.

    Ein Basisdatentrger kann in einen dynamischen Datentrger umgewan-delt werden. Dieses ist whrend des Betriebs ohne Neuformatierung und

    2 Dadurch wird ein Eintrag in der Partitionstabelle belegt.

  • 220 5. Datentrgerverwaltung

    Neustart mglich (auer wenn sich eine System- oder Startpartition auf ihm befinden) und wird in der Praxis vorgenommen, um die erweiterten Partitionstypen nutzen zu knnen.

    Vor einer eventueller Rckkonvertierung in einen Basisdatentrger mssten jedoch alle Partitionen (und damit auch die Daten) gelscht wer-den.

    Sollten sich auf einem Laufwerk bereits Partitionen befinden, werden sie durch den Konvertierungsvorgang in einfache Volumes umgewandelt. Die Erstellung der beiden fehlertoleranten Partitionstypen (Gespiegeltes Volume und RAID-5-Datentrger) erfordern nicht nur dynamische Daten-trger, sondern auch ein Microsoft-Server-Betriebssystem. Dieser Punkt sollte bei evtl. Parallelinstallationen mehrerer Betriebssysteme beachtet werden, da ansonsten auf einige Partitionen ggf. nicht zugegriffen werden kann.

    Ein Vorteil dynamischer Datentrger ist, dass Partitionen beliebig er-stellt und gelscht werden knnen, ohne dass neu gestartet werden muss und es knnen mehr als vier primre Partitionen angelegt werden.

    Dynamische Datentrger mssen auerdem zwingend verwendet wer-den, wenn Partitionen von 2 TB oder grer bentigt werden, weil eine Grenbeschrnkung in dem MBR (Master Boot Record) besteht. Partitio-nen dieser Gre werden als GPT-Datentrger (GUID-Partitions-Tabelle) eingerichtet. Vormals nur in den 64-Bit-Versionen von Windows XP sowie in Windows Server 2003 verfgbar, sind sie nun auch in Windows Vista nutzbar und untersttzen zudem bis zu 128 Partitionen je Datentrger.

    5.3 Partitionstypen

    Als Unterteilungstypen von Festplatten bietet Windows Vista mehrere ver-schiedene an. Ihre Namen und die jeweilige Verfgbarkeit hngen dabei davon ab, ob ein Basisdatentrger oder ein Dynamischer Datentrger ver-waltet wird.

    5.3.1 Primre Partition

    Da eine primre Partition genannte Unterteilung einer Festplatte im MBR in der Partitionstabelle gespeichert wird, knnen sich maximal vier darauf befinden. Sie wird hufig benutzt, wenn auf einem System mehrere Betriebssysteme installiert sind.

  • 5.3 Partitionstypen 221

    5.3.2 Erweiterte Partition

    Auf einem Laufwerk, das als Basisdatentrger arbeitet, kann maximal eine erweiterte Partition erstellt werden. Sie stellt gewissermaen einen Rah-men dar, in ihm knnen weitere Partitionen erstellt werden. Diese werden logische Laufwerke genannt. Es knnen beliebig viele erstellt werden, so-lange noch freier Platz existiert und die Mindestgre von 8 MB beachtet wird.

    Aber diese Partitionierungsarten wurden bereits in Abschnitt 5.2.1 er-whnt.

    5.3.3 Einfaches Volume

    Ein einfaches Volume ist der neue Sammelbegriff fr Partitionen: Egal, ob sie sich auf Basis- oder dynamischen Datentrgern befinden, egal, ob eine Partition vom Typ Primre Partition oder logisches Laufwerk in einer erweiterten Partition ist, sie werden nun alle als einfache Volumes be-zeichnet.

    Vista kann nun auch keine primren und erweiterten Partitionen mehr erstellen. Anstelle werden einfache Volumes verwendet. Sollten Festplatten bereits (vor der Vista-Installation durch frhere Windows-Versionen bei bsp. Update-Szenarien) partitioniert sein, kommt Vista damit jedoch her-vorragend klar.

    Ein einfaches Volume kann sich nur ber ein Laufwerk erstrecken, was zudem seine Maximalgre kennzeichnet. Die Minimalgre betrgt 8 MB.

    5.3.4 bergreifende Datentrger

    Wenn ein einfaches Volume vergrert (erweitert) werden soll, wird es da-bei zu einem bergreifenden Datentrger, der sich ber mehrere Partitio-nen erstrecken kann, die auf derselben oder auf mehreren Laufwerken sind. Auf Basisdatentrgern mssen sich jedoch das Volume und der freie Speicherplatz auf demselben Laufwerk befinden.

    Voraussetzungen dafr sind, dass das Laufwerk als dynamischer Daten-trger eingerichtet ist, dass als Dateisystem NTFS verwendet wird und dass es weder ein System- noch Startvolume ist.

    bergreifende Volumes knnen mehrfach erweitert werden, solange noch freier Speicherplatz verfgbar ist und die oben genannten Vorausset-zungen eingehalten werden.

  • 222 5. Datentrgerverwaltung

    5.3.5 Streifenstze

    Bei einem Streifensatz (Stripesetvolume) werden die Daten in Blcke zu je 64 KB unterteilt und nacheinander auf die Laufwerke im Verbund ge-schrieben bzw. gelesen. Eine wichtige Voraussetzung fr die Erstellung ei-nes Streifensatzes ist, dass sich mindestens zwei physische Festplatten in dem System befinden und dass darauf mindestens zwei Partitionen erstellt werden, in denen der Streifensatz erstellt wird, wobei sich maximal eine jeweilige Stripe-Set-Partition des Satzes (nicht mehr!) auf einem Laufwerk befinden darf.

    Ob dabei jeweils der gesamte, pro Laufwerk zur Verfgung stehende Platz, oder nur ein Teil davon verwendet wird, ist sekundr. Die Partitionen sollen jedoch dieselbe Gre haben.

    Streifenstze werden auch als RAID 0 bezeichnet. RAID steht dabei fr: Redundant Array of Inexpensive3 Disks.

    Ein Streifensatz kann nur auf dynamischen Datentrgern erstellt werden und ist nicht fehlertolerant. Beim Ausfall bereits einer Festplatte ist die ge-samte Partition unbrauchbar. Obwohl sich die Lese- und Schreibleistung des Festplattenverbunds und die Partitionsgre4 erhht, sollte dieser Parti-tionstyp lediglich fr temporre Dateien oder der Auslagerungsdatei ver-wendet werden, bei denen ein evtl. Verlust zu verschmerzen ist.

    Wenn Windows-Treiber fr den Streifensatz verantwortlich sind, handelt es sich dabei um ein Software-RAID. Im Vergleich zur Verwendung von speziellen RAID-Controllern sind sie diesen nahezu immer leistungsmig unterlegen.

    5.4 Die Datentrgerverwaltung

    Die Verwaltung der Massenspeicher und ihrer Partitionierung erfolgt ber das Snap-In Datentrgerverwaltung, das alleine oder als Teil der Compu-terverwaltung aufgerufen werden kann (siehe Abb. 5.1).

    In der Voreinstellung kann die Datentrgerverwaltung nur von Siche-rungs-Operatoren und Administratoren bedient werden.

    3 Soweit die originale Bezeichnung. Festplattenhersteller definieren das I als Inde-

    pendant. 4 Und damit zugleich die maximale Dateigre auf dieser Partition.

  • 5.4 Die Datentrgerverwaltung 223

    Abb. 5.1. Datentrgerverwaltung

    Im Men Aktion Aktualisieren (liest die Laufwerksinformationen neu

    ein) und Datentrger neu einlesen, die eine erneute Hardwareerkennung der Festplatten und Wechselmedien durchfhrt. Letzteres sollte aufgerufen werden, wenn ein SCSI-, USB- oder eSATA-Gert hinzugefgt, aber nicht automatisch erkannt wird. Ein Neustart ist in so einem Fall nicht erforder-lich, sondern lediglich der Aufruf dieser Funktion.

    Mit dem Programm Datentrgerverwaltung lassen sich auch Datentrger In dynamische Datentrger konvertieren und ggf. In GPT-Datentrger konvertieren, indem die entsprechenden Funktionen aus dem Kontextmen des Datentrgers aufgerufen wird.

    ber das Men Ansicht knnen die fr die Partitionen zu verwendeten Farben und die Skalierung, sowie was in den beiden horizontalen Teilen des Fensters dargestellt werden soll (Datentrgerliste, Volumeliste, Grafi-sche Ansicht bzw. nichts) festgelegt werden

    Die Fehlertoleranzoptionen (Gespiegeltes Volume und RAID-5-Daten-trger) sind den Server-Versionen von Windows vorbehalten. Wenn aber welche eingerichtet sind, werden sie zumindest entsprechend angezeigt.

    Im Kontextmen eines Volumes gibt es die Funktion Laufwerkbuchsta-ben und -pfade ndern..., mit der die Zuordnung der Laufwerksbuchstaben

  • 224 5. Datentrgerverwaltung

    gendert werden kann bzw. eine ganze Partition als Ordner auf einer beste-henden, NTFS-formatierten bereitgestellt werden kann. Diese Option ist u. a. ntzlich, wenn ein Programm feste Pfade voraussetzt, der freie Spei-cherplatz auf der betreffenden Partition aber zu gering wird.

    Auerdem kann in der Datentrgerverwaltung im Kontextmen die Par-titionsgre nun auch verkleinert werden! Das war in den Vorgngerversi-onen von Windows nicht verfgbar und konnte lediglich durch Drittanbie-terprogramme wie Partition Magic etc. durchgefhrt werden.

    5.5 Festplatten von fernen Rechnern verwalten

    Die Datentrgerverwaltung kann auch ber das Netzwerk auf einem ande-ren Computer durchgefhrt werden administrative Rechte auf dem Ziel-system natrlich vorausgesetzt. Dazu kann bsp. in der Computerverwal-tung aus dem Men Aktion der Punkt Verbindung mit anderem Computer herstellen bewirkt werden.

    5.6 Dateisysteme

    Frisch erstellte Partitionen werden als unformatierte (raw) Partition bereit-gestellt. Das einzige Programm, das mit unformatierten Partitionen direkt arbeiten kann, ist der Microsoft-SQL-Server.5 In allen anderen Fllen ms-sen Partitionen formatiert werden.

    Ein Dateisystem bietet eine der Partitionierung untergeordnete Verwal-tung des Festplattenplatzes und regelt eine geordnete Speicherung und Zugriffe von Daten in Dateien und Ordnern. Hierbei knnen je nach Da-teisystem auch Berechtigungen vergeben werden und transaktionsge-sttzte Schreiboperationen zum Einsatz kommen.

    5.6.1 FAT/FAT32

    Das Ur-FAT (File Allocation Table) aus dem Jahr 1980 war ein 16-Bit6-Dateisystem fr Disketten, das Teil des Betriebssystems DOS (Disk O-perating System) war. In seiner ersten Version konnte es bis zu 512 Datei-en im Stammverzeichnis speichern, allerdings keine Ordner nutzen. Es hat- 5 Wenngleich das von Microsoft aber auch nicht empfohlen wird. 6 Es gibt auch eine 12-Bit-Variante, die bei Disketten und Partitionen bis zu 16

    MB Gre benutzt wird.

  • 5.6 Dateisysteme 225

    te somit groe hnlichkeit mit dem Betriebssystem CP/M (Control Pro-gram for Machines) fr Z-80-Prozessoren.

    In der zweiten Version kam eine Ordneruntersttzung hinzu, aber der maximale Umfang von ca. 216 (65.536) Sektoren zu je 512 Bytes, was 32 MB entspricht, blieb. Einige Sektoren werden jedoch fr die FAT-Verwal-tung bentigt, so dass nicht die gesamte Brutto-Kapazitt des Datentrgers zur Verfgung steht. Mit zunehmender Verbreitung von Festplatten wurde FAT auch dafr verwendet.

    Datei- und Ordnernamen mussten der 8+3-Konvention entsprechen, das bedeutet: Ein bis zu 8 Zeichen langer Dateiname, dann ein Punkt7 und eine fakultative, bis zu 3 Zeichen lange Erweiterung, die den Typ der Datei kennzeichnet. Als Zeichensatz konnten die 255 Zeichen der jeweiligen Codeseite verwendet werden (in Deutschland und den USA war das bli-cherweise die Codeseite 437).

    Mit zunehmender Gre des Festplattenplatzes wurde die 32 MB-Gren-ze zu einem Problem, so dass nun als kleinste Zuordnungseinheit eine Gruppierung (Cluster) von mehreren Sektoren definiert wurde. Mit der grtmglichen Anzahl (32 Sektoren) je Gruppe kann FAT bis zu 2 GB je Partition verwalten.8 Nachteilig an groen Sektor-Gruppen ist, dass viel Platz verschwendet wird, weil je Datei der letzte (oder einzige) Cluster na-hezu immer unvollstndig gefllt ist.

    1995 hat Microsoft mit Windows 95 VFAT (Virtual FAT) eingefhrt, das bis zu 255 Zeichen lange Dateinamen und Unicode untersttzt. Die Lang-namen werden dabei als mehrere FAT-Eintrge gespeichert.

    FAT329, ein 32-bittiges Dateisystem, wurde von Microsoft 1997 mit Windows 95OSR2 eingefhrt. Es untersttzt bis zu 2 TB groe Laufwerke, wobei die einzelne Partitionsgre max. 128 GB sein darf, bis zu 255 Zei-chen lange Unicode-Dateinamen und bis zu 4 GB groe Dateien. In Vista ist bei einer Neuerstellung die Partitionsgre auf 32 GB beschrnkt, wenn man neue Partitionen erstellt, die damit formatiert werden sollen. FAT32 ist performanter als FAT, verwaltet aufgrund kleinerer Sektorgruppengr-en den Speicher effizienter. Es ist gut geeignet fr Wechselmedien wie Flash-Speicher und fr den gemeinsamen Zugriff auf Partitionen von meh-reren Betriebssystemen. Nicht alle Betriebssysteme und Windowsversio-nen knnen jedoch mit FAT32 arbeiten.

    7 Wenn keine Dateinamenerweiterung vorhanden ist, kann der Punkt auch wegge-

    lassen werden. 8 Windows Vista beherrscht als nicht-standardisierte Erweiterung jedoch auch 64-

    Sektoren-Gruppen. 9 Eigentlich VFAT32.

  • 226 5. Datentrgerverwaltung

    5.6.2 NTFS

    NTFS (New Technology File System) ist ein 64-Bit-Dateisystem. Derzeit ist es jedoch nur 32-bittig realisiert, kann jedoch jederzeit von Microsoft durch entsprechende, einfache Rekompilierung auf die volle Funktionalitt erweitert werden. Die maximale Sektorgruppengre ist 64 KB (bei 128 Sektoren je Sektorgruppe), so dass mit NTFS gegenwrtig bis zu 256 TB groen Partitionen und bis zu 16 TB groe Dateien genutzt werden kn-nen.10

    Als das Festplattendateisystem der Wahl, hat NTFS gegenber den FAT-Varianten so viele Vorteile (wie Transaktionsuntersttzung, fr Lesefehler reservierte Bereiche (Hot-Spares), Berechtigungen auf Dateiebene, Kom-pression, Verschlsselung, Schattenkopien etc.), dass in der Praxis nur zur NTFS-Partitionen geraten werden kann, falls nicht mehrere verschiedene Betriebssysteme auf einem System installiert sind, die unbedingt auf eine bestimmte Partition gemeinsam zugreifen mssen. Und etliche der oben beschriebenen Partitionstypen (wie Streifen- und RAID-5-Stze) bentigen als Grundlage ohnehin NTFS. Und Windows Vista verlangt ohnehin auf einer NTFS-Partition installiert zu werden.

    Im Vergleich zu FAT32 verringert sich die Leistung einer NTFS-Parti-tion mit steigender Dateianzahl nicht sehr viel, whrend die Leistung einer FAT32-Partition einbricht.

    Die neue, Vista- und Windows-Server-2008-Version von NTFS hat ge-genber ihren Vorgngern viele Verbesserungen erhalten:

    Transaktionsuntersttzung: Durch den KTM (Kernel Transaction Mana-

    ger) sind nun Transaktionen in Dateisystemen, die voll atomar und iso-liert sind, Einzeldateien oder mehrere Dateien betreffen, mglich. Diese knnen sich dabei auch ber mehrere Partitionen und sogar entfernte Dateisystemen erstrecken. Ein Beispiel: Transaktionen (wie das Kopieren, Verschieben oder L-schen), die sich eine oder mehrere Dateien bzw. Verzeichnisse auf einem Computer (oder ber mehrere Computer hinweg) beziehen, mssen in ihrer Gesamtheit klappen, ansonsten werden sie allesamt auf den Zu-stand vor Beginn der Transaktion zurckgesetzt (Alles-oder-Nichts-Prinzip).

    10 Die theoretische Gre eines Datentrgers betrgt 16 EB. Dazu muss NTFS je-

    doch auf 64 Bit vergrert werden. Die Sektorgruppengre darf 4 KB nicht bersteigen, wenn die Dateien oder Ordner entweder komprimiert oder verschlsselt werden sollen.

  • 5.6 Dateisysteme 227

    Selbstheilung (Chkdsk on-the-fly): Reparaturvorgnge werden automa-tisch angestoen, wenn Dateisystemfehler entdeckt werden. Das ist i. d. R. vllig transparent fr die Anwender, zumal whrend der Repara-tur nur die defekten Bereiche einer Partition fr Zugriffe gesperrt wer-den und nicht mehr wie frher die ganze Partition selbst.

    Symbolische Verknpfungen - Zieldateien und -verzeichnisse knnen dabei auf dem selben Rechner

    oder einem anderen System liegen. - Diese Funktionalitt ist hilfreich in Migrationsszenarien von Unix- zu

    Windowssystemen. - Die Umleitungen sind vllig transparent fr Anwender und Pro-

    gramme. Untersttzung grerer Sektoren: Bislang war es optischen Speicherme-

    dien vorbehalten, Sektoren grer als die Standardgre von 512 Ok-tetts zu nutzen. Nun knnen auch Sektorgren von 1, 2 und 4 KB, die einige neue Festplattenlaufwerke haben, verwendet werden. Dabei wird auch eine Virtualisierung (wie 512 Bytes-Sektoren auf z. B 4 KB physi-schen Sektoren) untersttzt.

    5.6.2.1 Aufbau

    NTFS wird intern durch mehrere Dateien, die alle mit einem Dollarzeichen beginnen und im Stammverzeichnis jeder Partition untergebracht sind, rea-lisiert.

    So befindet sich z. B. die Master File Table, welche die Belegung der Sektorgruppen von den einzelnen Dateien und Ordnern beinhaltet, in einer Datei namens $MFT.

    Da diese Dateien eine sehr hohe Bedeutung fr das Funktionieren einer NTFS-Partition haben, kann auf sie bsp. im Explorer oder von einer Ein-gabeaufforderung nicht zugegriffen werden.

    5.6.2.2 NTFS-Berechtigungen

    Zur Zugriffssteuerung knnen in einer mit NTFS formatierten Partition Berechtigungen auf Dateien und Verzeichnissen festgelegt werden.

    Es gibt 14 Einzelberechtigungen, die in der erweiterten Ansicht der Re-gisterkarte Sicherheit eines Objektes verwaltet werden (siehe unten).

    5.6.2.2.1 ACLs und ACEs

    Die jeweiligen Berechtigungen werden in Zugriffsteuerungslisten (Ac-cess Control Lists) festgehalten. Jedes Objekt kann in seinem Sicherheits-

  • 228 5. Datentrgerverwaltung

    beschreiber zwei Listen enthalten: Die DACL (Discretionary ACL), welche Datei- und Ordnereinzelberechtigungen (auch negative) enthlt und die SACL (System ACL), die festlegt, welche Zugriffe von welchen Benutzern und Benutzergruppen in dem Sicherheitsprotokoll der Ereignisanzeige pro-tokolliert werden sollen.11

    Die einzelnen Eintrge in diesen Listen werden als Zugriffssteuerungs-eintrge (Access Control Entries, ACE) bezeichnet. Sie bestehen aus der SID der Gruppe (oder ausnahmsweise: eines Einzelbenutzers bzw. -benutzerin) und dem internen Code der Berechtigungen.

    Neben ACEs, die Zugriffe gewhren, gibt es auch solche, die Zugriffe explizit untersagen. Diese sind stets in den Listen zuerst aufgefhrt, wobei Windows die Sortierung selbst vornimmt.

    Neue Objekte erhalten stets die ACLs der bergeordneten Objekte. Nheres hierzu und zu SIDs sowie der Windows-Sicherheit finden Sie in

    Kapitel 7.

    5.6.2.2.2 Berechtigungen

    ber die Wahl von Eigenschaften... aus dem Kontextmen eines Dateisys-temobjektes und anschlieender Auswahl von der Registerkarte Sicherheit ffnet sich das in Abb. 5.2 gezeigte Fenster, das beispielhaft es aus dem Verzeichnis C:\Daten aufgerufen wurde.12

    Dieses Fenster stellt eine vereinfachte Form der Berechtigungen dar. In der oberen Hlfte werden definierte Gruppen und die fr Ausnahmen vor-gesehene Berechtigungsvergabe fr einzelne Benutzerkonten aufgefhrt. Etwas nachteilig ist hierbei, dass man im Falle von Domnengruppen nicht genau ihren Typ (domnenlokal, global oder universell) erkennen kann. Es ist daher ratsam, eine administrative Namenskonvention festzulegen, die den Gruppentyp umfasst.

    In der unteren Fensterhlfte werden die jeweils gesetzten Berechtigun-gen dargestellt. Diese Berechtigungen sind aber keineswegs die noch nher zu erluternden Einzelberechtigungen, sondern in der Praxis hufig ver-wendete Zusammenfassungen.

    11 Damit das wirksam geschieht, muss zudem die Objektzugriffsprotokollierung in

    der Sicherheitsrichtlinie eines Systems aktiviert sein. 12 Diese Registerkarte fehlt in der Starter- und den beiden Home-Versionen.

  • 5.6 Dateisysteme 229

    Abb. 5.2. Registerkarte Sicherheit in den Eigenschaften eines Objekts

    Zum einfachen ndern der Berechtigungen wird auf die Schaltflche

    Bearbeiten... des in Abb. 5.2 gezeigten Fensters geklickt. Es ffnet sich dann das Berechtigungsbearbeitungsfenster (siehe Abb. 5.3). In ihm lassen sich Benutzergruppen und Einzelbenutzerkonten berechtigen und sperren auf die jeweilige Ressource zuzugreifen.

    Sicherheitsprinzipale lassen sich in der oberen Fensterhlfte mit den bei-den entsprechend bezeichneten Schaltflchen hinzufgen oder entfernen.

    Die Berechtigungen, die in der unteren Bildschirmhlfte dargestellt sind, sind die bereits erwhnten zusammengefassten Berechtigungen.

  • 230 5. Datentrgerverwaltung

    Abb. 5.3. Berechtigungsbearbeitung

    Wird in der Registerkarte Sicherheit (siehe Abb. 5.2) jedoch die Schalt-

    flche Erweitert ausgewhlt, ffnet sich das Fenster Erweiterte Sicher-heitseinstellungen fr Daten (siehe Abb. 5.4), das vier Registerkarten be-sitzt, mit denen nun detailliert die Zugriffsberechtigungen und -berwa-chungen gesteuert werden knnen.

    In seiner ersten Registerkarte (Berechtigungen) werden die existieren-den zugriffssperrenden und zugriffsgewhrenden Eintrge dargestellt. Die-ses Fenster ist somit eine Auflistung der DACL eines Objektes und ihrer smtlichen ACEs.

  • 5.6 Dateisysteme 231

    Abb. 5.4. Erweiterte Sicherheitseinstellungen fr Daten

    Sollen die Eintrge verndert werden, wird dazu in diesem Fenster Be-

    arbeiten... ausgewhlt. Es ffnet sich dann das in Abb. 5.5 dargestellte Fenster (siehe unten).

    Es entspricht weitgehend dem vorigen Fenster, hat aber die Schaltfl-chen Hinzufgen..., Bearbeiten... und Entfernen, zum Verwalten der ACEs.

    Auerdem kann die Vererbung der Berechtigungen gesteuert werden: Normalerweise erhalten neuerstellte Objekte in einem Verzeichnis die Be-rechtigungen des jeweils bergeordneten Objekts (auch Containerobjekt genannt, weil es andere Objekte beinhalten kann). Dieses Verhalten ist aber nicht zwingend, sondern an jeder beliebigen Stelle in der Struktur kann die Vererbung durchbrochen werden und vllig verschiedene Berechtigungen festgelegt werden.

    Ein guter Ansatz fr die Berechtigungsvergabe ist, auf hchster Ebene (auch Stamm oder Wurzel genannt), aus Sicherheitsgrnden insbesondere fr Benutzer eher weniger, und in tieferen Ebenen tendenziell mehr Be-rechtigungen zu gewhren.

  • 232 5. Datentrgerverwaltung

    Abb. 5.5. Berechtigungsnderungsfenster

    Werden die Berechtigungen fr bestimmte, bestehende Objekte (wie

    Verzeichnis(se) oder Datei(en) festgelegt, betreffen solche nderungen in der Voreinstellung auch nur diese.

    Mchte man die Berechtigungen fr alle enthaltenen Objekte und ggf. auch Unterobjekte ndern, muss dass ber die Auswahl des Kstchens Be-stehende vererbbare... explizit festgelegt werden.

    Mit den Schaltflchen Hinzufgen... und Bearbeiten... besteht nun die Mglichkeit, fr Benutzergruppen und (fr Ausnahmen) Einzelbenutzer detaillierte Berechtigungen festzulegen. Durch die entsprechende Auswahl ffnet sich ein weiteres Fenster, Berechtigungseintrag fr ... genannt (das entspricht einem ACE bzw. Zugriffssteuerungseintrag). Dieses ist in Abb. 5.6 wiedergegeben.

  • 5.6 Dateisysteme 233

    Abb. 5.6. Berechtigungseintrge

    In ihm lassen sich nicht nur die zusammengefassten Berechtigungen,

    sondern ausdrcklich alle 14 einzelnen Berechtigungen festlegen. In Ab-hngigkeit vom Typ des Objekts (hier: Datei oder Ordner), haben Berech-tigungen unterschiedliche Bedeutungen. In Tabelle 5.1 sind sie wiederge-geben.

  • 234 5. Datentrgerverwaltung

    Tabelle 5.1. NTFS-Einzelberechtigungen

    Berechtigung Bei Ordnern Bei Dateien

    Ordner durchsuchen / Datei ausfhren

    Hiermit wird festgelegt, dass das Wechseln in Ver-zeichnisse auch dann mg-lich sein soll, wenn das entsprechende Benutzer-konto nicht ber (zumin-dest) Lese-Berechtigungen fr die geffneten Ordner verfgt. Diese Berechti-gung ist aber nur von Be-deutung, wenn die Gruppe oder der Benutzer nicht ohnehin ber das Benut-zerrecht Auslassen der durchsuchenden berpr-fung in einer Sicherheits- bzw. Gruppenrichtlinie verfgt, was fr die Grup-pe Jeder die Voreinstellung ist.

    Durch die Berechtigung Datei ausfhren wird fest-gelegt, ob das Ausfhren von Programmdateien mglich sein soll. Besitzt ein Benutzer keine Lesebe-rechtigung auf eine aus-fhrbare Datei, kann er sie nur aufrufen, nicht aber kopieren.

    Ordner auflisten / Daten lesen

    Mit Ordner auflisten wird festgelegt, ob Dateinamen und Namen von Unterord-nern innerhalb des Ordners aufgelistet werden drfen.

    Mit Daten lesen wird fest-gelegt, ob eine Datei geff-net werden kann. Es bein-haltet dabei auch die Berechtigung Datei ausfh-ren.

    Attribute lesen Ermglicht das Lesen von Ordnerattributen (wie Schreibgeschtzt, Ver-steckt etc.)

    Ermglicht das Lesen von Dateiattributen (wie Schreibgeschtzt, Versteckt etc.)

    Erweiterte Attribute le-sen (Erweiterte Attribute sind fakultative Metada-ten wie Titel, Ersteller-name, MP3-Bitrate etc. Sie sind objekt- und Da-teitypabhngig.)

    Ermglicht den Lese-zugriff auf die erweiterten Attribute von Verzeichnis-sen.

    Ermglicht den Lesezugriff auf die erweiterten Attribu-te von Dateien.

  • 5.6 Dateisysteme 235

    Dateien erstellen/Daten schreiben

    Erlaubt das Erstellen neuer Dateien und Ordner in ei-nem Verzeichnis.

    Auf die betr. Datei darf schreibend zugegriffen werden. Damit knnen Da-ten gendert und natrlich auch der Dateiinhalt ge-lscht werden (z. B. auf ei-ne Gre von 0 Zeichen), nicht jedoch die Datei selbst.

    Ordner erstellen / Daten anhngen

    Ermglicht die Erstellung neuer Ordner in einem Verzeichnis.

    Diese Berechtigung erlaubt isoliert das Anhngen von Daten an bestehende Datei-en. ndern, Lschen und Schreiben sind nicht Be-standteile dieser Berechti-gung.

    Attribute schreiben Attribute des Objekts set-zen und ndern.

    Dateiattribute des Objekts setzen und ndern.

    Erweiterte Attribute schreiben

    ndern der evtl. erweiter-ten Attribute eines Objek-tes.

    ndern der evtl. erweiter-ten Attribute eines Objek-tes.

    Unterordner und Da-teien lschen

    Erlaubt das Lschen vonUnterordnern, auch wennfr die Unterordner keineLschberechtigung vor-liegt.

    Erlaubt das Lschen von Dateien, auch wenn keine explizite Lschberechti-gung gesetzt ist.

    Lschen Erlaubt das Lschen einer Datei oder eines Ordners. Diese Berechtigung haben Ersteller/Besitzer eines Objektes immer.

    Erlaubt das Lschen einer Datei oder eines Ordners. Diese Berechtigung haben Ersteller/Besitzer eines Ob-jektes immer.

    Berechtigungen lesen Gestattet den Lesezugriff auf die ACL eines Ordners.

    Gestattet den Lesezugriff auf die ACL einer Datei.

    Berechtigungen ndern Gestattet das ndern der ACL eines Ordners.

    Gestattet das ndern der ACL einer Datei.

    Besitz bernehmen Erlaubt die Besitzber-nahme eines Ordners.

    Erlaubt die Besitzbernah-me einer Datei.

  • 236 5. Datentrgerverwaltung

    Berechtigungen auf eine Datei gehen Berechtigungen auf ein Verzeich-nis vor. Ein Beispiel: Benutzer A hat die Berechtigungen Schreiben und Ordnerinhalt auflisten auf ein Verzeichnis und erstellt darin eine Datei. Er ist dann Ersteller-Besitzer dieser Datei hat den Vollzugriff darauf. Die Namen der anderen Dateien in dem Verzeichnis kann er zwar sehen, aber er darf sie nicht ffnen.

    Eine Ausnahme von dieser Regel stellt der Vollzugriff auf Ordner dar: Wer (Gruppen und Einzelbenutzer) diesen hat, darf alle Dateien in einem Ordner lschen, unabhngig davon, wie die Berechtigungen der einzelnen Dateien gesetzt sind.

    Die nchste Registerkarte steuert die berwachungseintrge (SACL) der Objekte (siehe Abb. 5.7). Mit ihnen wird festgelegt, welche Zugriffe von welchen Benutzern und Benutzergruppen in das Sicherheitsprotokoll aufgenommen werden sollen.

    Abb. 5.7. berwachungseintrge

    Die Verwaltung erfolgt dabei ganz hnlich wie die der Berechtigungen

    (siehe oben).

  • 5.6 Dateisysteme 237

    In dem nchsten Fenster werden die Besitzrechte an einem Objekt fest-gelegt (siehe Abb. 5.8). Dazu muss man die Berechtigung Vollzugriff oder zumindest die Einzelberechtigung Besitz bernehmen haben.

    Durch Klick in die aufgefhrte Liste oder auf Bearbeiten... wird dann das neue Konto festgelegt. Es knnen hierbei nur Einzelbenutzerkonten angegeben werden oder als Ausnahme die Administratorengruppe.

    Abb. 5.8. Verwaltung der Besitzrechte eines Objektes

    Oftmals ist es in der Praxis hilfreich, genau zu wissen, welche Berechti-

    gungen ein Benutzer oder eine bestimmte Gruppe auf ein Objekt besitzt. Dazu kann man zwar von Hand einzeln die explizit und implizit durch Gruppenmitgliedschaften (die auch verschachtelt sein knnen) gewhrten Berechtigungen kumulieren und Zugriffsverweigerungen bercksichtigen. Oder man lsst diesen Vorgang Vista durchfhren: ber die letzte Regis-terkarte, welche die Bezeichnung Effektive Berechtigungen trgt (siehe Abb. 5.9) werden genau diese fr ein anzugebenes Einzelbenutzer- oder Gruppenkonto ermittelt.

  • 238 5. Datentrgerverwaltung

    Abb. 5.9. Effektive Berechtigungen

    Kopieren vs. Verschieben von Objekten

    Wie wir oben schon gesehen haben, erhalten neue Objekte stets die (ggf. vererbten) Berechtigungen des bergeordneten Verzeichnisses. Doch was ist eigentlich mit den gesetzten Berechtigungen, wenn Dateien oder Ordner kopiert oder verschoben werden?

    Diese Frage lsst sich nicht so leicht beantworten: Es hngt nmlich da-von ab, ob die Objekte verschoben oder kopiert werden und dann noch da-von, ob das in derselben oder auf eine andere Partition passiert.

    Bei Kopiervorgngen erhalten die Objekte als neue Objekte in diesem Verzeichnis stets die Berechtigungen des bergeordneten Ordners. Dabei ist es egal, ob die Quelle und das Ziel auf derselben oder auf einer anderen Partition befinden.

    Bei Verschieben von Dateien und Ordnern innerhalb einer Partition werden die Daten nicht wirklich verschoben, sondern nur in der MFT ei-nem anderen Ordner zugeordnet. Smtliche gesetzten Berechtigungen bleiben erhalten. Einer Verschiebeoperation ber mehrere Partitionen oder Computern geht jedoch stets ein Kopiervorgang voraus. Im Erfolgsfall

  • 5.6 Dateisysteme 239

    werden anschlieend die Quelldaten gelscht. Somit gilt im Resultat das gleiche, wie oben beim Kopien beschriebene.

    5.6.2.3 NTFS-Komprimierung

    Eine ntzliche Funktion des NTFS ist, dass es Dateien und Ordner selektiv komprimieren kann anders als bei Windows 9x, bei dem nur ganze Laufwerke komprimiert werden konnten.

    Auf einer NTFS-Partition wird dafr das C-Attribut gesetzt. Solche Ob-jekte werden im Explorer blau dargestellt, verschlsselte Objekte grn.

    Obwohl es Speicherplatz einspart, wird fr die Komprimierung (bei Schreibvorgngen) und Dekomprimierung (bei Lesevorgngen) die CPU beansprucht. Im allgemeinen empfiehlt es sich, nur selten bentigte und Archivdateien zu komprimieren.

    Auf einem System mit schneller CPU, aber langsamen Platten, kann sie jedoch in Ausnahmefllen leistungssteigernd wirken.

    5.6.2.4 Vorgngerversionen

    Mit der gleichnamigen Registerkarte lassen sich ltere Versionen von Ob-jekten wieder herstellen. War das bei den Windows-Vorgngerversionen nur mittels der Schattenkopiefunktionalitt mglich, werden mit Vista nun auch Sicherungen miteinbezogen.

    Bei Schattenkopien wird ein Copy-on-Write-Verfahren benutzt, bei dem nur vernderte Bereiche von Dateien gesichert werden.13 Mit Hilfe der noch vorliegenden Datei und dem gesicherten Delta lassen sich beliebige Zeitpunkte wieder herstellen. Abbildung 5.10 zeigt dies.

    13 Auer im Falle eines Lschvorgangs: Dann wird die gesamte Datei gesichert,

    damit sie bei Bedarf spter wiederhergestellt werden kann.

  • 240 5. Datentrgerverwaltung

    Abb. 5.10. Auflistung von Vorgngerversionen eines Objekts

    Eine Auswahl der Schaltflche Wiederherstellen... ffnet das folgende,

    in Abb. 5.11 dargestellte Fenster, in dem vor dem nachfolgenden ber-schreiben sicherheitshalber noch einmal nachgefragt wird, denn die Wie-derherstellung einer frheren Version einer Datei lsst sich nicht mehr rckgngig machen.

  • 5.6 Dateisysteme 241

    Abb. 5.11. Wiederherstellung einer bestimmten Version

    5.6.2.5 Quoten/Kontingente

    Soll der Speicherplatz begrenzt werden, den Benutzer belegen drfen, bie-tet sich die Verwendung von Datentrgerkontingenten (engl. Quotas) an.

    Diese lassen sich fr eine Partition nur von ihrem Stammverzeichnis verwalten. In Abbildung 5.12 ist dieses beispielhaft fr die Partition C: ge-zeigt. Damit sie wirkt, muss erst grundlegend ber Auswahl des Kstchens Kontingentverwaltung aktivieren eingeschaltet werden.

    Mit den weiteren Optionen in diesem Fenster werden Standardeinstel-lungen vorgenommen und festgelegt, ob die Kontingente als starre Ober-grenzen zu verstehen sein sollen oder als Warnschranke, bei deren ber-schreitung Anwender benachrichtigt werden und ggf. Eintrge in das Ereignisprotokoll geschrieben werden.

  • 242 5. Datentrgerverwaltung

    Abb. 5.12. Datentrgerkontingenteinstellungen fr eine Partition

    Durch Auswahl der Schaltflche Kontingenteintrge... ffnet sich das in

    Abb. 5.13 dargestellte Fenster, in dem sich die Beschrnkungen fr Benut-zer und Benutzergruppen festlegen lassen.

    In ihm werden auch die bereits erstellten Kontingenteintrge aufgelistet und ihre jeweilige Speicherplatznutzung.

    Wenn ein neuer Kontingenteintrag erstellt werden soll, ffnet Vista das in Abb. 5.14 gezeigte Fenster. Aus Leistungsgrnden empfiehlt es sich, Eintrge nur fr Ausnahmen (weniger oder mehr zu Verfgung stehender Speicherplatz als der Standardwert) festzulegen, weil diese allesamt bei je-

  • 5.6 Dateisysteme 243

    dem Schreibzugriff an beliebigen Orten einer Partition ausgewertet werden mssen.

    Abb. 5.13. Kontingenteintrge einer Partition

    Abb. 5.14. Hinzufgen eines neuen Kontingenteintrags

  • 244 5. Datentrgerverwaltung

    Fr die vereinfachte Verwaltung mehrerer gleich zu konfigurierender Partitionen (und auch fr Sicherungszwecke) lassen sich Kontingenteintr-ge auch im- und exportieren. Es wird dafr ausnahmsweise kein XML- sondern ein binres Dateiformat verwendet.

    5.6.2.6 Das verschlsselnde Dateisystem

    Bei dem verschlsselnden Dateisystem (EFS - Encrypting File System) handelt es sich um einen Bestandteil von NTFS, der Dateien (wie der Na-me schon impliziert) verschlsselt auf einer Partition speichert.14 Dabei werden X.509-Zertifikate verwendet. Falls ein Benutzer nicht ber solches mit entsprechend aktiviertem Zweck verfgt, wird es bei der Erstellung seiner ersten, verschlsselten Datei von Vista erzeugt.

    Intern werden fr die Ver- und Entschlsselung von Dateien (den eigent-lichen Massendaten) aus Leistungsgrnden symmetrische Verschlsse-lungsverfahren (wie DES, 3DES und AES) verwendet. Solche Verfahren verwenden fr die Chiffrierung und Dechiffrierung von Daten stets den-selben Schlssel, whrend asymmetrische Verschlsselungsverfahren Schlsselpaare verwenden. Beide Schlssel knnen zur Verschlsselung von Daten benutzt werden. Ist jedoch ein Datenblock erst einmal mit ei-nem asymmetrischen Schlssel verschlsselt worden, kann dieser nicht mehr mit demselben, sondern nur noch mit dem jeweils anderen Schlssel des Paares entschlsselt werden.

    Ein Schlssel wird als privater Schlssel bezeichnet und im Profil des Benutzers oder der Benutzerin gespeichert. Dieser muss unbedingt streng vertraulich behandelt werden und darf fr das Funktionieren der asymmet-rischen Verschlsselung nur dem betreffenden Benutzer bekannt sein. Er kann und sollte jedoch aus Sicherheitsgrnden kennwortgeschtzt expor-tiert und auf einer Diskette etc. gespeichert werden, damit er im Notfall wieder hergestellt werden kann und Daten noch entschlsselt werden kn-nen. Exportierte private Schlssel knnen nachfolgend auch auf anderen Computern (wie Notebooks) importiert werden, um Benutzern den Zugriff auf ihre verschlsselten Daten von dort zu ermglichen.

    Der andere Schlssel des Schlsselpaares wird als ffentlicher Schlssel bezeichnet und zusammen mit anderen Informationen in einem von einem Zertifikatsserver digital signierten Zertifikat gespeichert. Wie der Name schon andeutet, hat im Extremfall die gesamte Menschheit smtliche f-fentlichen Schlssel aller anderen Bewohner dieses Planeten.

    14 EFS ist jedoch nur verfgbar in den Vista Business-, Enterprise- und Ultimate-

    Versionen.

  • 5.6 Dateisysteme 245

    In einem domnenbasierten Netzwerk muss als weitere Voraussetzung mindestens ein Wiederherstellungsagent eingerichtet werden, der im Falle des Falles Daten beliebiger Benutzer wieder herstellen kann. In der Vor-einstellung hat der Domnenadministrator den Wiederherstellungsschls-sel. Bei Arbeitsgruppen ist das hingegen jeweils der lokale Administrator der einzelnen Systeme.

    Technisch wird die Speicherung des mit dem ffentlichen Schlssel des Benutzers codierten, symmetrischen Verschlsselungsschlssels in einem DDF (Data Decryption Field) und die des Wiederherstellungsagenten mit dessen ffentlichen Schlssel im DRF (Data Recovery Field) realisiert. Beide Felder sind als Anhngsel jeder physisch verschlsselt gespeicherten Datei mit ihr auf der NTFS-Partition untergebracht.

    Gut geeignet ist das EFS fr mobile Gerte wie Notebooks damit bei ei-nem Verlust oder Diebstahl Ihre vertraulichen Daten auch vertraulich blei-ben. Dabei gibt es jedoch eine Besonderheit zu beachten: Wenn EFS so-wohl auf dem Client als auch auf dem Server verwendet wird, wird bei einem Kopiervorgang die betreffende Datei zunchst entschlsselt und bei der Speicherung auf dem Zielsystem wiederum verschlsselt. ber die Netzwerkverbindung werden auch EFS-geschtzte Dateien unverschlsselt bertragen, falls nicht weitere Manahmen wie IPsec oder ein VPN (Virtu-al Private Network) verwendet werden. Bei Sicherungsvorgngen werden verschlsselte Dateien jedoch genau in diesem Zustand gesichert und ggf. wieder hergestellt.

    Verschlsselte Dateien knnen nicht gleichzeitig komprimiert sein und umgekehrt, und die Sektorgruppengre der Partition darf ein Gre von 4 KB nicht bersteigen.

    5.6.3 CDFS

    Das Compact Disc File System, ein Dateisystem fr optische Speicherme-dien wie CD- und DVD-ROMs, liest Medien, die nach ISO 9660 (bis zur Ebene 3) erstellt wurden, sowie auch solche, die nach den Standards Yel-low Book (CD-ROM), Red Book (CD-Audio), Enhanced-CD, White Book (Video CD), Kodak Photo CD, Orange Book (CD-R und CD-RW), Blue Book (CD Extra) und CD-XA erstellt wurden. Da ein unbegrenzter Austausch einer CD-ROM nur mit ISO 9660 in der Ebene 1 mglich ist, dieser Standard aber nur Dateinamen im 8+3-Format, beschrnkte Ver-zeichnistiefe von bis zu maximal 8 Ebenen und keine Umlaute zulsst, hat Microsoft eine Erweiterung namens Joliet, entwickelt, bei der Datei- und Verzeichnisnamen bis zu einer Lnge von 64 Unicode-Zeichen und Ord-nerverschachtelungen von mehr als 8 Ebenen verwendet werden knnen.

  • 246 5. Datentrgerverwaltung

    5.6.4 UDF

    Aufgrund einer Grenbeschrnkung von CDFS und .ISO-Dateien auf maximal 2 GB muss bei Datenmengen darber hinaus ein anderes Datei-system verwendet werden.

    Der Nachfolger von ISO 9660 heit UDF (Universal Disk Format), ist ein 64-Bit-Dateisystem und ist in der ISO-Norm 13346 gleichfalls welt-weit standardisiert. Und wie der Name schon andeutet, kann dieses neuere Dateisystem auf allen optischen Medien wie CD, DVD, DVD-RAM, MO etc. eingesetzt werden. Es bietet ber ISO 9660 deutlich herausgehende Funktionen wie

    Lange Unicode-Datei- und Ordnernamen Unbegrenzte Verzeichnistiefe Maximale Dateigre von 264 Zeichen Zugriffssteuerungslisten15 Dnn-/schwach besetzte Dateien (sparse files), bei denen Bereiche, die

    nur Nullen enthalten, keinen physischen Speicherplatz belegen

    Vista kann mit bis zur UDF Version 2.5 erstellten Medien umgehen (lesend und schreibend). Das schliet HD- und Blu-ray-DVDs ein.

    5.7 Dateiattribute

    Nahezu jedes hier genannte Dateisystem kann die vier klassischen Attribu-te (System, Nur-Lesen, Verborgen und Archiv) zusammen mit den jeweili-gen Dateien und Ordnern speichern.

    Je nach Dateisystem sind weitere Attribute, die Dateien und Ordner kennzeichnen und beschreiben, zugelassen.

    So gibt es fr NTFS-Partitionen die in der Tabelle 5.2 aufgefhrten Att-ribute, in FAT-Partitionen nur die ersten vier.

    Tabelle 5.2. Datei- und Ordnerattribute

    Abkrzung Attribut R Schreibgeschtzt (Read only) H Versteckt (Hidden) A Ordner/Datei kann archiviert werden (Archive)

    15 Diese UDF-Funktion wird jedoch von Windows Vista derzeit nicht untersttzt.

  • 5.8 Fragmentierung und Defragmentierung 247

    S System I Inhalt fr schnelle Dateisuche indizieren C Inhalt komprimieren E Inhalt verschlsseln

    Ein Objekt kann nicht gleichzeitig komprimiert und verschlsselt sein,

    auerdem ist eine Voraussetzung eine Sektorgruppengre von max. 4 KB. Das System-Attribut markiert eine Datei als Systemdatei. Es hat keine

    Auswirkung mehr und kann in der GUI (Windows Explorer) nicht mehr angezeigt und auch nicht mehr modifiziert werden. Frher ignorierten De-fragmentierungsprogramm derart gekennzeichnete Objekte.

    Fr die Verarbeitung in einer Eingabeaufforderung und fr Skripte gibt es die Befehle attrib, cipher und compact, mit denen sich Dateiattribute auflisten und ndern lassen (siehe Abschnitt 5.10).

    5.8 Fragmentierung und Defragmentierung

    Im Idealfall werden Dateien auf einem Datentrger direkt hintereinander gespeichert. Denn so knnen sie ohne viele Festplattenkopfbewegungen, die verhltnismig lange dauern und somit die Leistung eines Computer-systems mindern, en block eingelesen werden. Die Algorithmen der Fest-plattenfirmware sind heutzutage so programmiert, dass sie schon bei nur einem Lesevorgang fr einen einzigen Sektor stets alle Sektoren der ge-samten Spur einlesen und zwischenspeichern, in der Erwartung, dass nach-folgend Lesebefehle fr weitere Sektoren derselben Spur kommen werden, die dann leistungssteigernd direkt aus dem Laufwerkspuffer und ohne wei-teren physischen Lesevorgang an den PC zurckgeliefert werden knnen.

    Sind Dateien jedoch fragmentiert (hierunter versteht man die Speiche-rung von Dateibestandteilen auf ganz unterschiedlichen, nicht zusammen-hngenden Bereichen eines Datentrgers) kann selbst diese Optimierungs-methode der Festplattenfirmware nicht mehr leistungserhhend wirken.

    Grundstzlich gilt: Jedes Dateisystem fr beschreibbare Medien ist fr-her oder spter durch die Schreibvorgnge fragmentiert. Das eine jedoch eher, ein anderes erst spter.

    Der Grund hierfr ist einfach dargelegt: Nach der erstmaligen Installati-on, die vielleicht sogar sequentiell erfolgt, ist hufig ein nicht oder kaum fragmentierter Ist-Zustand hergestellt worden. Nun wird mit dem System gearbeitet: Neue Dateien (wie z. B. Dokumente) werden erstellt. Mangels Platz kann das nur am Ende des belegten und noch freien Festplattenbe-reichs erfolgen. Dieselben Dateien werden spter gendert und ergnzt, Updates und Patches werden installiert und ersetzen die ursprnglichen,

  • 248 5. Datentrgerverwaltung

    kleineren Dateien. Auch sie werden in hinteren, freien Bereichen unterge-bracht. Dann werden Dateien gelscht. Eine nachfolgend neue erstellte Da-tei wird diesen Platz nutzen, aber unter Umstnden aufgrund ihrer gre-ren Gre nur zu einem Teil. Auch in diesem Fall kann der Rest nur in hinteren, freien Festplattenbereichen untergebracht werden.

    Besonders stark fragmentieren die FAT-Dateisysteme. NTFS hingegen lsst bsp. am Ende einer Datei etwas Platz, um potentielles Dateiwachstum abfangen zu knnen.

    Zur Erhaltung einer hohen Leistung eines Systems sollten alle Partitio-nen daher regelmig defragmentiert werden. Dieser Vorgang kann inter-aktiv im Kontextmen jeder Partition gestartet werden oder (auch zeitge-steuert) mittels des Defrag-Befehls (siehe unten).

    Defragmentierungsprogramme knnen jedoch nur Dateien defragmen-tieren, die nicht geffnet sind! Da bsp. die Auslagerungsdatei bereits wh-rend des Systemstarts geffnet wird, knnen nur wenige Programme diese defragmentieren (auch das Windows-Vista-interne Defragmentierungspro-gramm kann es nicht). Auf diesen Punkt sollte bei der Auswahl eines De-fragmentierungsprogramms geachtet werden.

    5.9 ReadyBoost

    ReadyBoost ist eine mit Vista neu eingefhrte Technologie, welche die Ar-beitsgeschwindigkeit eines Computersystems erhhen soll. Dazu sind ma-ximal 4 GB mglich, aber mindestens 230 MB freier Speicher auf einem USB-Flash-Speichergert (das selbst mindestens 512 MB Gesamtgre haben muss) erforderlich. ReadyBoost wird dann ber das Kontextmen des betreffenden Gerts konfiguriert (siehe Abb. 5.15).

    Dabei ist die fr die ReadyBoost-Beschleunigung empfohlene Speicher-gre mindestens die ein- und maximal die dreifache Menge des im Com-puter installierten Arbeitsspeichers. Wenn der Computer bsp. ber 1 GB RAM verfgt, ergibt eine Reservierung von 1 bis 3 GB auf dem Flash-Laufwerk nach Angaben von Microsoft die bestmgliche Leistungssteige-rung (bis zu ca. 40 % Leistungssteigerung im Vergleich zum selben System ohne ReadyBoost-Speicher).

    Diese Leistungssteigerung soll durch den Wegfall von Zugriffszeitlaten-zen (Flash-Speicher haben keine Lesekpfe, die relativ zeitaufwendig posi-tioniert werden mssen) insbesondere bei zuflligem, nicht-linearen E/A-Operationen, einer Sortierung von hufig benutzten Startdateien und dem gleichzeitigen Arbeiten mit Festplatte und USB-/Flash-Speicher erreicht

  • 5.9 ReadyBoost 249

    werden. Aus dem gleichen Grund ist es brigens auch irrelevant, ob Flash-speicher defragmentiert sind oder nicht.

    In der Praxis kann die gewnschte Leistungssteigerung nicht in jedem Fall erreicht werden, weil die Datentransferraten von Festplatten norma-lerweise deutlich hher sind als die eines Flash-Speichers. Das trifft insbe-sondere fr Schreiboperationen zu.

    Abb. 5.15. Registerkarte ReadyBoost

  • 250 5. Datentrgerverwaltung

    Smtliche Daten, die von ReadyBoost in den (USB-)Flash-Speicher ge-schrieben werden, werden im Verhltnis 2:1 komprimiert und mit dem AES-128-Verfahren verschlsselt.

    Der ReadyBoost-Treiber kann mit USB-2.0-Flash-Gerten, SD-Karten (Secure Digital), CompactFlash-Karten, Flash-Speichern ber PCI-, PCI-Express- und SSA-Bussen (somit sind die meisten internen Flash-Karten-Leser in mobilen PCs eingeschlossen) arbeiten. Dabei muss die Gerte-speichergre mindestens 512 MB betragen.

    Nicht untersttzt werden Speichermedien, die an USB-1.0- oder -1.1-Bussen angeschlossen sind.

    Auerdem gelten Mindestdatenbertragungsraten: 2,5 MB/s (17-fach)16 fr das Lesen von zuflligen, nicht sequentiellen 4 KB Blcken und 1,75 MB/s (12 X) fr zufllige Schreibvorgnge von 512 KB Gre.

    Hhere Leistungsanforderungen existieren fr Flash-Speicher, welche die Bezeichnung Enhanced for ReadyBoost tragen drfen: Hier sind es 5 MB/s (rund 34 X) Leserate fr zufllige 4 KB-Blcke und 3 MB/s (ca. 20-fach) Schreibrate fr zufllige 512 KB Schreibvorgnge.

    Ob ReadyBoost fr ein bestimmtes System von Nutzen ist, sollte daher stets im Einzelfall individuell ermittelt werden. In der Praxis hat sich be-reits gezeigt, dass Systeme, die nur wenig Hauptspeicher haben (512 MB oder weniger) und der nicht aufgerstet werden kann oder soll, deutlich mehr von ReadyBoost profitieren als Systeme mit 1 GB oder mehr Haupt-speicher. Bei Systemen mit 2 GB oder mehr bringt ReadyBoost nur noch geringe Leistungssteigerungen.

    5.10 Programme fr die Verwaltung

    Nicht alle Verwaltungsvorgnge mssen in einem Windows-System in der GUI (Graphical User Interface) interaktiv vorgenommen werden. Viele las-sen sich auch durch Skripte automatisiert durchfhren.

    Auerdem haben einige Programme, die von der Befehlszeile aufgeru-fen werden knnen, mehr Funktionen als ihr grafisches Pendant.

    Programme, die bei der Verwaltung der Datentrger hilfreich sein kn-nen sind:

    16 Die Geschwindigkeit von Flash-Speichern wird auch als Vielfaches von der 1-

    fachen CD-Lesegeschwindigkeit (150.000 Oktetts je Sekunde) fr die jeweilige bertragungsrichtung (Lesen bzw. Schreiben) angeben. In MB/s ausgedrckt (und unterstellt, dass 1 Byte = 8 Bits sind), hat somit ein 30 X-Speicher eine Datenbertragungsrate von rund 4,4 MB/s.

  • 5.10 Programme fr die Verwaltung 251

    Tabelle 5.3. Ntzliche Kommandozeilenprogramme fr die Datentrgerverwal-tung

    Befehl Auswirkung

    Chkdsk.exe Fhrt eine Integrittsprfung eines Dateisystems hinsichtlich aller Allokationsverweise, Indexe und Zugriffssteuerungsliste (wenn verfgbar) mit optionaler Fehlerkorrektur durch.

    Chkntfs.exe berprft ob bzw. veranlasst, dass beim nchsten Systemstart eine automatische berprfung durchgefhrt wird

    Cipher.exe Zeigt bzw. ndert die Verschlsselungseinstellungen von Dateien

    Compact.exe Zeigt bzw. ndert die Komprimierung von Dateien

    Convert.exe Damit knnen FAT(32)-Partitionen in das NTFS-Dateisystem um-gewandelt ohne dass es dabei zu Datenverlusten kommt. Dieser Befehl kann somit auch bei Update-Vorgngen ntzlich sein, weil Vista zwingend auf einer NTFS-Partition installiert werden muss. Die Syntax ist: Convert /FS:NTFS ...XXX

    Defrag.exe Zeigt bzw. beseitigt die Fragmentierung einer Partition

    Diskpart.exe Interaktives Festplatten- und Partitionsverwaltungsprogramm

    Expand.exe Entpackt komprimierte Dateien (auch aus .CABs)

    Format.exe Formatiert Partitionen

    Fsutil.exe Modifiziert Eigenschaften von Partitionen

    Mountvol.exe Zeigt bzw. ndert hinzugefgte Partitionen

    Takeown.exe Ersetzt Objektbesitzrechte

  • 6. Netzwerk

    Die Netzwerkfunktionalitt eines modernen Betriebssystems hat seit eini-ger Zeit schrittweise einen immer hheren Stellenwert erhalten. War sie frher nur fr Unternehmen von Bedeutung, spter auch fr die Verbin-dung von ein paar Computern (z. B. in Kanzleien und Praxen), so ist mitt-lerweile nahezu jeder PC Teil eines Netzwerks: Die (drahtlose oder draht-gebundene) Verbindung ins Internet stellt eins dar, genauso wie die Verbin-dung mit einem Media-Center-Extender (MCX) oder einer Kamera ber FireWire, fr die Einwahl in das Firmennetz werden Netzwerkfunktionen bentigt und Microsoft mchte mit seinem Home-Server in jeden Haushalt Netzwerkserverfunktionen bringen.

    Insoweit wre ein modernes Betriebssystem ohne Netzwerkfunktionen gar nicht denkbar.

    Abb. 6.1. Netzwerkverbindungen

  • 254 6. Netzwerk

    Die Netzwerkverwaltung in Vista wird hauptschlich ber die Fenster

    Netzwerkverbindungen (siehe Abb. 6.1) und dem Netzwerk- und Freigabe-center (siehe Abb. 6.2) vorgenommen, die beide ber die Systemsteuerung aufgerufen werden knnen.

    Abb. 6.2. Das Netzwerk- und Freigabecenter

    Im Netzwerk- und Freigabecenter wird unter anderem auch festgelegt,

    um welchen Typ eines Netzwerks es sich handelt.1 Zur Auswahl stehen: Privat, ffentlich und Domne. Letzteres ist nur verfgbar, wenn die Vis-ta-Installation Teil einer Active-Directory-Domne ist. Ein ffentliches Netzwerk finden Sie bsp. in einem Internetcaf vor. Es ist dadurch gekenn-zeichnet, dass im Netzwerk selbst nur geringe oder keine Schutzeinrich-tungen wie Firewalls (siehe unten) vorhanden sind, und deswegen das Sys-tem durch Vista-eigene Funktionen strker geschtzt werden muss. Anders ist das bei einem privaten Netzwerk: Hier sind laut Microsoft-Definition

    1 Microsoft nennt es auch Netzwerkstandort.

  • 6.1 Hardware 255

    Schutzvorrichtungen wie Firewalls, Router etc. vorhanden, und es ist als gesichert anzusehen.

    In Abhngigkeit von diesen drei Typen werden, insbesondere in den Fi-rewall-Verwaltungsprogrammen, unterschiedliche Optionen angeboten.

    6.1 Hardware

    Als Netzwerk-Hardware2 kann nahezu alles aus dem Bereich verwendet werden, was derzeit auf dem Markt fr PCs erhltlich ist. Vista erkennt da-bei mit seiner enormen Treiberuntersttzung die allermeisten Gerte auto-matisch auch in den 64-Bit-Varianten.

    Die Verwendung gebruchlicher Ethernet-Netzwerkschnittstellen mit RJ45-Anschlssen und die mit den Geschwindigkeiten 10, 100 und 1000 Mbps und drahtlosen Netzwerkschnittstellenbausteinen mit 1, 2, 11 und 54 Mbps stellt dabei berhaupt kein Problem dar. Des weiteren gibt es Unter-sttzung fr ISDN-Primrmultiplexanschlusskarten, Bluetooth-Adapter, IrDA-Infrarotgerte, und auch der Microsoft Loopback-Adapter, der in Umgebungen verwendet werden kann, in denen keine physische Netz-werkschnittstelle vorhanden ist, aber eine solche dem System vorgegau-kelt werden soll, damit z. B. Netzwerkprotokolle installiert und konfigu-riert werden knnen, ist weiterhin vorhanden. Letzterer muss aber ber das Programm Hardware aus der Systemsteuerung installiert werden. Die Ein-richtung der Standardkomponenten (Treiber und Dienste) bernimmt Win-dows Vista im Normalfall dabei selber.

    Exemplarisch wird nachfolgend das manuelle Hinzufgen und Konfigu-rieren eines WLAN-Adapters gezeigt, wie es beim mobilen Einsatz eines Notebooks hufig vorkommt.

    Dazu wird im Netzwerk- und Freigabecenter (siehe Abb. 6.3) die Option Verbindung mit einem Netzwerk herstellen ausgewhlt.

    Es ffnet sich dann das in Abb. 6.4 gezeigte Fenster, in dem ausgewhlt werden kann, welche Netzwerkhardware fr die Einrichtung des ge-wnschten Netzwerks verwendet werden soll.

    Bei Auswahl einer drahtlosen Netzwerkverbindung wird ggf. noch ge-fragt, ob Verbindungsparameter von einem USB-Speichergert gelesen werden sollen. Diese Funktion kann bei kleineren Drahtlosnetzwerken hilf-reich sein, in Unternehmensnetzwerken und ffentlichen WLAN-Hotspots kommt sie praktisch nie zum Einsatz. 2 Am Rande bemerkt: Der Punkt Hardware entspricht der Schicht 1 (Bitbertra-

    gungsschicht/Physical Layer) des ISO-OSI-Schichtenmodells und z. T. der Schicht 2 (Sicherungsschicht/Data Link Layer) .

  • 256 6. Netzwerk

    Abb. 6.3. Netzwerk- und Freigabecenter (unverbunden)

    In dem hier gewhlten Beispiel soll eine drahtlose Netzwerkverbindung

    zu einem WLAN-Hotspot eines Hotels aufgebaut werden. Nachdem die Netzwerkkarte eingerichtet und empfangsbereit ist (gelegentlich muss bei einem Notebook dafr ein spezieller WLAN-Schalter fr die Antenne bet-tigt werden), werden sichtbare WLANs angezeigt, ihre SSIDs, ob sie den Netzwerkverkehr verschlsseln, und falls ja, mit welchen Verfahren und mit welcher Verschlsselungsstrke, sowie den verwendeten WLAN-Standards (siehe Abb. 6.5).

    Unter sichtbar wird in diesem Zusammenhang verstanden, dass sich der Notebook in einem versorgten Gebiet befindet und die Funkwellen der WLAN-Gegenstelle (Basisstation oder Ad-hoc-Partner) in ausreichender Feldstrke empfangen kann, und dass die Gegenstelle so konfiguriert ist, dass sie ihre SSID (Service Set Identification), das ist der Name des Funk-netzwerks, sendet.

  • 6.1 Hardware 257

    Wenn letzteres (aus Sicherheitsgrnden bsp.) deaktiviert wurde, muss

    die SSID von Hand eingetragen werden. Ein hufig gemachter Fehler dabei ist jedoch, dass bersehen wird, dass

    SSID-Namen Gro- und Kleinschreibung unterscheiden! Also Com-fort_WLAN ist eine andere SSID als comfort_wlan! Die einzige SSID, welche die Gro-/Kleinschreibung ignoriert, ist ANY. Diese spezielle SSID zeigt alle gefundenen SSIDs an.

    Abb. 6.4. Eine neue Netzwerkverbindung einrichten

    Es gibt im WLAN-Bereich mehrere Verschlsselungsprotokolle (wie

    WEP, WPA, WPA2, PEAP, IPSec u. a.), welche den gesamten Verkehr der Kommunikationspartner verschlsselt. Aus Sicherheitsgrnden sind ver-schlsselte drahtlose Verbindungen in Unternehmensnetzwerken, und nicht nur dort, auf jeden Fall ratsam schlielich machen Funkwellen nicht am Werkstor halt. Falls die ausgewhlte Gegenstelle keine Datenverschlsse-lung nutzt, weist Vista ausdrcklich darauf hin (siehe Abb. 6.6).

  • 258 6. Netzwerk Ein sehr ntzliches Programm zur Darstellung der SSIDs in einem Ge-

    biet, ihrer Kanle, MAC-Adressen (aus denen sich im allgemeinen der Hersteller ableiten lsst und damit die Standardverwaltungskontennamen und -kennwrter der betreffenden Gerte), ihrer Geschwindigkeit, ber-tragungsgte etc. ist z. B. der NetStumbler.3

    Abb. 6.5. Auswahl des WLANs, mit dem eine Verbindung hergestellt werden soll

    Wird in so einem Fall Trotzdem verbinden ausgewhlt, was bei einfa-

    chen Internetverbindungen durchaus angebracht sein mag, weil ffentliche Internetseiten nicht zwingend verschlsselt sein mssen und sensitive Da-ten meistens ohnehin durch SSL oder TLS-geschtzte https-Verbindungen

    3 Die Internet-URL, unter der dieses kostenlose Programm (engl. Freeware) her-

    untergeladen werden kann, ist http://www.netstumbler.com/. Auf der Website http://www.netstumbler.org/ gibt es ein Diskussionsforum zu diesem Programm.

  • 6.1 Hardware 259

    gesichert sind,4 sowie bei gesicherten Verbindungen, wird das letzte der Einrichtungsfenster angezeigt (siehe Abb. 6.7), in dem abschlieend noch ausgewhlt werden kann, ob die gerade eingerichtete Verbindung dauerhaft gespeichert werden soll (wie bei Unternehmensverbindungen) oder nicht (z. B. fr temporre Verbindungen mit einem Hotspot unterwegs).

    Abb. 6.6. Warnhinweis unverschlsselte WLAN-Verbindung

    4 Man sollte sich aber unbedingt dabei vor Augen halten, dass FTP-, Telnet-,

    POP3-, SMTP- und weiterer Verkehr dann unverschlsselt durch den ther geht, und jemand, der es darauf anlegt, diesen Verkehr (inkl. der aufgerufenen URLs und Daten in Eingabefeldern) analysieren und protokollieren kann.

  • 260 6. Netzwerk

    Abb. 6.7. Besttigungsbildschirm der Netzwerkeinrichtung

    6.2 Netzwerkbrcke

    Windows Vista hat unter anderem auch eingebaute Brcken-Funktiona-litt (engl. bridging). Bei einer Netzwerkbrcke5 (engl. bridge) werden be-liebige Pakete der durch ihr verbunden Netzwerke anhand der MAC-Adressen im Paket-Kopf entweder herausgefiltert oder weitergeleitet, je nachdem, in welchen Netzwerksegment sich der Empfngercomputer be-findet und um welchen Typ des Verkehrs es sich handelt: Brcken filtern nmlich keinen Rundsendeverkehr (engl. broadcast).

    Das Konfigurieren zweier oder mehrere Netzwerkschnittstellen wird dabei ganz einfach bewerkstelligt: Im Fenster Netzwerkverbindungen wer-den mit der Steuerungstaste die zu verbindenden Netzwerke ausgewhlt, dann auf einem der betreffenden Symbole die rechte Maustaste gedrckt und in dem darauf erscheinendem Kontextmen der Menpunkt Netzwerke berbrcken ausgewhlt. 5 Nein, nicht Krcke!

  • 6.3 Protokolle 261

    6.3 Protokolle

    Windows Vista bringt von Haus aus eine Untersttzung der derzeit wich-tigsten Netzwerkprotokolle mit, kann aber grundstzlich ber ladbare Trei-ber mit beliebigen Protokollen arbeiten.

    Die in frheren Windows-Versionen vorhandenen Treiber fr die Proto-kolle NetBIOS und NWLink werden jedoch nicht mehr ausgeliefert.

    6.3.1 TCP/IP

    TCP/IP (Transmission Control Protocol/Internet Protocol) ist der Name ei-ner Protokollfamilie, welche heutzutage die grte Bedeutung besitzt. Als offene Standards konzipiert, ermglicht sie die Nutzung heterogener Ger-te und ist eine Voraussetzung zur Nutzung des Internets.

    Dabei arbeitet das IP (Internet Protocol) auf der dritten Ebene des ISO-OSI-Schichtenmodells, und TCP sowie UDP auf der Vierten.

    Da es im Normalfall kontraproduktiv und leistungssenkend ist, mehrere Netzwerkprotokolle parallel zu verwenden, wird sich heute blicherweise auf TCP/IP beschrnkt.

    Es ist auerhalb des Fokusses dieses Buches, die TCP/IP-Protokoll-familie, den IPv4-Adressenaufbau, Super- und Subnetting detailliert zu be-schreiben. Jedoch sei auf einen wichtigen (und MCP-prfungsrelevanten) Umstand hingewiesen: Ein gelegentlich gemachter Fehler besteht in der falschen Vergabe der Standard-/Default-Gateway-IP-Adresse. Wichtig ist, dass sie stets eine aus demselben Netzwerk des Hosts sein muss, andern-falls kann der falsch konfigurierte Host nicht mit Hosts in anderen IP-Subnetzen kommunizieren. Ein Beispiel dazu: Hat ein Host eine IP-Adresse von 192.168.15.27 und eine Subnetzmaske von 255.255.255.0 (bzw. /24 in der CIDR6-Notation) erhalten, ist eine Standard-Gateway-Adresse von 192.168.15.1 in Ordnung, eine mit 192.168.1.1 hingegen nicht! Die Hosts in diesem Netzwerk mssen (von Hand oder per DHCP) gleichfalls auf diese Adresse verweisen.

    6.3.2 IPv6

    Vista besitzt (genauso wie der Windows Server 2008) einen neuen Proto-kollstack, in dem IPv4 und IPv6 nicht einzeln deinstallierbar7 kombiniert

    6 Das ist die Abkrzung von Classless Inter-Domain Routing. 7 Sie sind jedoch deaktivierbar.

  • 262 6. Netzwerk

    und beide gleich nach der Betriebssysteminstallation aktiviert sind. In den Vorgngerversionen konnte IPv6 lediglich hinzuinstalliert werden.

    Eigentlich ist IPv6 ein Super-Protokoll: Normalerweise wird zwar, wenn ber das Thema geredet wird, in diesem Zusammenhang nur darauf hin-gewiesen, dass IPv6 mit 128-Bit langen Hostadressen Millionen von IP-Adressen pro Quadratmeter Erdoberflche bereitstellt. Aber IPv6 bietet noch viel mehr Vorteile: So mssen Hosts nicht mehr mit IP-Adressen aufwendig versehen werden, sondern diese (und auch die Subnetzmaske) knnen automatisch durch das Protokoll (und wenn gewnscht auch mit DHCPv6) vergeben werden. Ebenso werden DNS-Server und Gateway-Adressen automatisch ermittelt. DNS-Server sind in einem lokalen Netz-werk dank mDNS (Multicast Domain Name System) auch nicht mehr er-forderlich8. Somit besitzt es Plug-und-Play-Funktionalitten, wie zuvor nur das NetBIOS-Protokoll.

    Nach dem OSI-Schichtenmodell drfte es die voneinander unabhngi-gen, niedrigeren und hheren Schichten (wie die TCP- und Anwendungs-ebene) berhaupt nicht interessieren, welche IP-Version verwendet wird. Aber die Praxis sieht leider anders aus: So gibt es in der Anwendungs-schicht oftmals Eingabemasken, die nur IPv4-Adressen zulassen (auch wenn kein einziges Vista-Programm bzw. -Fenster von dieser Beschrn-kung mehr betroffen ist).

    Ein weiteres Problem ist derzeit die mangelnde Bereitstellung von IPv6-Zugngen durch die ISPs (Internet Service Provider). Aber selbst wenn diese IPv4 und IPv6 zu gleichen Kosten bereitstellten, kommen die hufig in Heimnetzen verwendeten DSL-Router-Boxen nicht mit, da sie in den meisten Fllen lediglich IPv4 untersttzen.

    Aus den beschriebenen Grnden wird in diesem Buch IPv6 nicht tiefer-gehend beschrieben. Die Zeit ist derzeit einfach noch nicht reif fr dieses Protokoll.

    6.3.3 Verbindungsschicht-Topologieerkennung

    Die Netzwerk-Map benutzt das LLTD-Protokoll (Link Layer Topology Discovery), um die Netzwerktopologie und -bandbreite sowohl eines drahtgebundenen als auch drahtlosen Netzwerks und seiner angeschlosse-nen Gerte zu ermitteln und anzuzeigen. Dieses ist quasi ein Nachfolge-protokoll des UPnP (Universal Plug and Play) der ISO-OSI-Schicht 2 mit

    8 Die Gerte sind dann blicherweise in der DNS-Zone .local untergebracht, die

    seit einigen Jahren fr diesen Zweck reserviert ist.

  • 6.3 Protokolle 263

    optionalen QoS-(Quality of Service)-Erweiterungen und wichtiger Be-standteil der Rally-Technologien von Microsoft.

    Die Netzwerkbersicht auf einem Computer mit Windows Vista zeigt die Computer und Gerte in Ihrem Netzwerk sowie die Art der Verbindung ber das LLTD-Protokoll grafisch an. Das Verbindungsschicht-Topologie-erkennungs-Antwortprogramm (LLTD-Responder) muss auf Computern mit Windows XP installiert sein, damit diese in der Netzwerkbersicht an-gezeigt werden.9

    6.3.4 Netzwerk erweiterte Einstellungen

    Etwas versteckt, gibt es zudem zustzlich noch die erweiterten Netzwerk-einstellungen. Dazu wird in der Systemsteuerung das Programm Netzwerk-verbindungen (siehe Abb. 6.1) aufgerufen. Dann muss zuerst die Alt- oder F10-Taste gedrckt werden, damit das Men angezeigt wird, in dem der Menpunkt Erweitert - Erweiterte Einstellungen... gewhlt werden kann, oder es wird dazu die Tastenkombination Alt+E und dann die Taste W ge-drckt.

    Vista ffnet dann das in den Abb. 6.8 und 6.9 abgebildete Fenster, in dem die Bindungen der Netzwerkdienste an die Protokolle und diese an die Netzwerkschnittstellen verndert und entfernt werden kann.

    In der oberen Hlfte des Fensters wird eine Netzwerkverbindung aus-gewhlt. Ihre Prioritt kann ber die Pfeile am rechten Fensterrand vern-dert werden.

    9 Siehe hierzu den Microsoft Knowledgebase-Artikel 922120. Derzeit ist es nur

    fr Windows-XP-Rechner verfgbar, nicht jedoch fr Windows 2000 oder Windows Server 2003.

  • 264 6. Netzwerk

    Abb. 6.8. Erweiterte Netzwerkeinstellungen - Registerkarte Adapter und Bindungen

    Gleiches gilt fr die Netzwerkdienst- und -protokollbindungen. Wenn

    man mchte, dass einige Dienste auf bestimmten Netzwerkschnittstellen (z. B. die Datei- und Druckerfreigabe realisiert durch den Serverdienst auf der Schnittstelle, die mit dem Internet verbunden ist) nicht zur Verf-gung stehen, kann dieses durch Entfernen des Hkchens in der entspre-chenden Zeile festgelegt werden.

    Mit der zweiten Registerkarte (Anbieterreihenfolge) wird gesteuert, in welcher Reihenfolge versucht werden soll, auf freigegebene Ressourcen anderer Systeme zuzugreifen (siehe Abb. 6.9).

  • 6.3 Protokolle 265

    Abb. 6.9. Erweiterte Netzwerkeinstellungen Registerkarte Anbieterreihenfolge

    Sie knnen an dieser Stelle allerdings nur verndert, nicht jedoch ge-

    lscht werden. Hinzugefgt und entfernt werden knnen sie in der Systemsteuerung un-

    ter Software und (teilw.) in den Konfigurationsfenstern der Netzwerkpro-tokolle bei den Netzwerkschnittstelleneigenschaften.

  • 266 6. Netzwerk

    6.3.5 Programme fr die Netzwerkverwaltung

    Es gibt einige hilfreiche Programme, die von einer (Administrator-)Einga-beaufforderung (oder einem Stapelverarbeitungsprogramm) aufgerufen werden knnen, um die Netzwerkschnittstellen zu konfigurieren und diag-nostizieren. Die gebruchlichsten Programme und Parameter werden nach-folgend vorgestellt.

    Alle Programme sind nunmehr IPv4- und IPv6-fhig. Dazu benutzen sie blicherweise die Schalter -4 bzw. -6, denn wenn als Parameter IP-Adres-sen angegeben werden, wird zwar deutlich, welches Protokoll benutzt wer-den soll, bei der Angabe eines Hostnamens oder eines FQDNs jedoch nicht.

    Eine detaillierte Hilfeausgabe der jeweiligen Programme erhalten Sie blicherweise mit dem Parameter -?.

    6.3.5.1 Ipconfig

    Dieses Dienstprogramm hilft bei der IP-Adressenhandhabung von Netz-werkschnittstellen.

    Ohne Parameter und Kommandozeilenoptionen in einer Eingabeauffor-derung aufgerufen, zeigt es die IPv4- und IPv6-Adressen, IPv4-Subnetz-masken, und Standardgateway-Adressen fr alle konfigurierten Netzwerk-schnittstellen an, mit dem Schalter /all alle verfgbaren Informationen.

    Ipconfig kann durch den Schalter /all auch dazu verwendet werden, um sich die MAC- (Media Access Control-) Adresse einer Netzwerkschnitt-stelle anzeigen zu lassen.10

    Weitere ntzliche Schalter sind /renew und /release, welche die IPv4-Adresse (und die DHCP-Optionen) einer spezifizierbaren Netzwerkschnitt-stelle erneuen bzw. freigeben. Fr IPv6 lauten sie /release6 und /renew6.

    Der Schalter /registerdns veranlasst einen Computer, per DDNS (Dy-namisches DNS) seinen Namen und seine IP Adresse(n) an einem DNS-Server zu registrieren, /displaydns und /flushdns zeigen bzw. leeren den Inhalt des DNS-Client-Caches. Dafr muss der gleichnamige Dienst auf dem Client ausgefhrt werden, denn sonst ist er fr jede DNS-Namens-auflsung auf einen DNS-Server angewiesen und kann keine Namensauf-lsungsergebnisse zwischenspeichern.

    10 Obwohl dazu auch die Net Config- und RRAS-Befehle verwendet werden kn-

    nen, ist die Benutzung von ipconfig fr diesen Zweck praktischer, weil er stets, unabhngig von den laufenden Netzwerkdiensten, verwendet werden kann. Gleiches gilt fr den getmac-Befehl.

  • 6.3 Protokolle 267

    Ein neuer Schalter ist /allcompartments, mit dem explizit alle Depots miteinbezogen werden. Depots (compartments) sind Gruppen von Netz-werkschnittstellen, die zur Steuerung der IP-Paket-Weiterleitung (routing) eingerichtet werden knnen (z. B. ber die netsh-Befehle). Wurden Depots definiert, dann bezieht sich Ipconfig ohne weitere Optionen stets nur auf das aktuelle Depot.

    Weitergehende Depot-Funktionalitt wird jedoch erst eine sptere Versi-on von Windows Vista haben.

    6.3.5.2 Ping

    Ping hat seinen Namen von Schiffs- und U-Boot-Echoloten erhalten, mit denen die aktuelle Tiefe zum Meeresgrund ermittelt wird. Dazu wird ein Schallsignal nach unten gesendet, das dort reflektiert und wieder per Mik-rofon aufgefangen und in einem deutlich hrbarem Ping wiedergegeben wird. Anhand der Ausbreitungsgeschwindigkeit des Schalls unter Wasser11 und der Antwortzeit kann somit die Entfernung zum Meeresgrund ermittelt werden.

    Normalerweise werden Programme nach einer Abkrzung benannt. Bei Ping ist es jedoch genau umgekehrt gewesen: Zuerst hat man sich den Namen des Programms ausgedacht und dann ein Konstrukt, von dem Ping eine Abkrzung sein knnte. Man ist zu der etwas holprigen Abkrzung von Packet Internet Gropher gekommen. Aber das sei nur am Rande er-whnt.

    Ping arbeitet mit ICMP-(Internet Control Message Protocol/Internet Steuerungsnachrichtenprotokoll)-Paketen. Davon werden hierfr Echo und Echo-Reply benutzt. Manchmal stellt man hierbei fest, dass nur die Route von einem Sender zu einem Empfnger in Routern, Firewalls etc. definiert ist, nicht jedoch die (dringend bentigte) Rckroute. Ein Ping schlgt dann natrlich fehl.

    Wichtig ist, festzuhalten, dass Ping NUR die ICMP-Verbindung und -Rckverbindung zu einem Ziel prft! Wenn ein Ziel anpingbar ist, bedeu-tet dies nicht, dass auch die entsprechenden Dienste arbeiten! Andererseits bedeutet ein negativer Ping nicht, dass ein Host berhaupt nicht erreichbar ist, denn ICMP-Echo-Pakete knnten von einer Firewall blockiert sein.

    Zum Testen von Diensten, die mit dem TCP (Transmission Control Pro-tocol, bertragungssteuerungsprotokoll) arbeiten (wie http, ftp, etc. nicht jedoch SNMP, TFTP u. a.), bietet sich ein Test mittels telnet an. Wenn keine Fehlermeldung ausgegeben wird, zeigt

    11 In Abhngigkeit u. a. von der Tiefe ca. 1.400 - 1.550 m/s.

  • 268 6. Netzwerk

    eine beliebige Bildschirmausgabe selbst falls nur wirre Zeichen ausgege-ben werden sollten an, dass der Zielhost und -dienst erreichbar ist.

    Bei ping sind ntzliche Schalter, die vor dem Zielhostnamen oder seiner IP-Adresse angegeben werden knnen: -t: Sendet bis zum Abbruch ein Mal pro Sekunde einen Ping. -a fhrt eine umgekehrte Namensauflsung durch, bei der zu einer IP-Adresse der zugehrige Name erfragt wird.

    Ganz pfiffige Netzwerkadministratoren knnen bei IPv4 mit -f und -l die maximale Paketgre ermitteln, die ohne Paketteilungen (Fragmentierun-gen) bertragen werden kann, die sich leistungssenkend auswirken.

    Wenn IPv6 verwendet wird, steht der Schalter -R zur Verfgung, mit dem die Rckroute mitgetestet wird.

    Der Ping-Befehl beachtet brigens bei allen Schaltern die Gro- und Kleinschreibung!

    6.3.5.3 Tracert

    Traceroute gibt eine Liste von Routern, ihre Namen und IP-Adressen aus, die an der Weiterleitung der Pakete von einem Host zu einem anderen verwendet werden.

    Dazu wird wie beim Ping-Befehl das ICMP (Internet Control Mes-sage Protocol) benutzt. Wenn Systeme von den Administratoren so einge-stellt wurde, dass sie keine ICMP-Echo-Reply-Pakete versenden, erschei-nen anstelle des Gertenamens Stern-Zeichen.

    Der einzige bei diesem Programm fters verwendete Schalter ist -d: Er unterdrckt die Rckwrts-Namensauflsung aller Hosts, was in einer schnelleren Bildschirmausgabe resultiert.

    6.3.5.4 Netsh

    Netsh (Net shell) ist ein Dienstprogramm mit dem kommandozeilenorien-tiert interaktiv oder durch Skripte wirklich alle Netzwerk- und Netzwerk-protokolleinstellungen eines Vista-PCs im Detail abgefragt und festgelegt werden knnen.

    Es gliedert sich in die Unterkontexte advfirewall, bridge, dhcpclient, fi-rewall, http, interface, ipsec, lan, nap, netio, p2p, ras, rpc, winhttp, win-sock und wlan, deren Namen schon auf ihren jeweiligen Zweck hinweisen.

    6.3.5.5 Pathping

    Dieses Programm zeigt Statistiken verlorener Pakete und die Zeitdauer fr ihre bertragung an, hnlich wie traceroute.

  • 6.4 Authentifizierung 269

    Ein ntzlicher Schalter ist -n: (Abkrzung von numerisch), der bewirkt, dass IP-Adressen nicht zu Namen aufgelst werden.

    6.3.5.6 Netstat

    Der Netstat-Befehl zeigt Informationen ber die vom Benutzer und Pro-grammen derzeitig offenen Verbindungen, Ports (auch vom Betriebssys-tem), Protokolle und weitere TCP/IP-Statusinformationen an.

    Ntzliche Schalter fr Netstat sind: -a: Alle geffneten Ports -b: Gibt eine Liste mit den Namen der ausfhrbaren Dateien und Diens-

    te an, die Ports geffnet haben -n: Numerisch IP-Adressen nicht zu Namen auflsen -t Gibt zustzlich an, wo die jeweilige (relativ zeitaufwendige) Verarbei-

    tung u. a. der TCP- und IP-Prfsummen vorgenommen wird. Mgliche Werte sind InHost (die Netzwerkverbindung wird durch die Host-CPU ab-gewickelt), Offloaded (die Verbindung wird durch TCP Chimney entlastet), Offloading (Die betreffende Verbindung ist gerade dabei, entlastet zu wer-den) und Uploading (die betreffende Verbindung ist gerade dabei, die Ent-lastung durch die TCP Chimney Hardware zu beenden).

    Microsoft hat nicht nur in Windows XP 64, Windows Server 2003 SP2, sondern auch in Windows Vista das Scalable Networking Pack (SNP) in-tegriert (es ist brigens auch separat ber den Microsoft-Knowledgebase-Artikel 912222 herunterladbar), das mit entsprechender Hardware die CPU(s), insbesondere bei Gigabit- und 10-Gigabit-Ethernet-Schnittstellen, durch TCP Chimney Offload, Receive-side Scaling und Intel NetDMA deutlich (um einige Dutzend Prozent bis hin zu vollstndig) entlastet, was den Netzwerkdurchsatz um bis zu 40 % steigern knnen soll. Dabei domi-niert TCP Chimney: In dem Fall, dass ein Adapter sowohl TCP Chimney Offload als auch NetDMA untersttzt, wird letzteres nicht verwendet. Das Receive-side Scaling ist davon nicht betroffen, es arbeitet mit allen ande-ren Verfahren.

    6.4 Authentifizierung

    Die berprfung, wer auf ein Sicherheitsobjekt zugreifen mchte, wird Authentifizierung genannt. Folgende vier Protokolle sind dafr in einem Windows-System fr die Benutzer- und Benutzerinnenanmeldung von Be-deutung:

    LM (LAN Manager)

  • 270 6. Netzwerk

    NTLM

    NTLMv2

    Kerberos Die an sich veraltete LAN-Manager-Authentifizierung ist zwar noch

    verfgbar, aber aus Sicherheitsgrnden in der Voreinstellung abgeschaltet und sollte es auch bleiben, weil bei ihr aus abgefangenen Paketen sehr ein-fach Benutzerkennwrter ermittelt werden knnen. Lediglich in dem mitt-lerweile selten gewordenen Fall, dass auf Ressourcen, welche auf Syste-men liegen, die mit keiner der anderen oben genannten Authentifizierungs-arten arbeiten knnen (wie OS/2, Windows for Workgroups 3.x), drfte eine Aktivierung der LAN-Manager-Authentifizierung in betracht kom-men.

    Die NTLM-Authentifizierungsverfahren, die beide aus Grnden der Ab-wrtskompatibilitt vorhanden sind, und einem Peer-to-Peer-Netzwerk ver-wendet werden, verschlsseln Kennwrter (NTLMv2 sogar irreversibel mittels MD5-Kennwort-Hashs).

    Fr die (NT)LM-Protokolle werden die TCP/IP-Ports 135, 137-139 bzw. 445 verwendet.

    Kerberos V, ein Authentifizierungssystem, das vom amerikanischen MIT (Massachusetts Institute of Technology) im Rahmen ihres Athena-Projektes fr Unix-Computer entworfen wurde, wird in domnenbasierten Windows-Netzen seit Windows 2000 verwendet. Sein Name ist der grie-chischen Mythologie entnommen, in der Zerberus, ein dreikpfiger Hund, den Eingang zur Unterwelt bewachte. Diese symbolischen drei Kpfe der wachenden Institution werden durch Ressourcen-Server, Clients (welche diese Ressourcen nutzen mchten) und einer gemeinsam vertrauten dritten Stelle, dem Schlsselverteilungscenter (Key Distribution Center, KDC), abgebildet. Durch die Verlagerung der berprfung der Client-Anmelde-informationen entfllt die Vorhaltung (und Aktualisierung) von diesen auf jedem einzelnen Ressourcen-Server. Zudem nutzt Kerberos die gegenseiti-ge Authentifizierung (mutual authentication), bei der nicht einfach die Ma-schinenidentitt missbruchlich verflscht werden kann. Kennwrter wer-den bei Kerberos berhaupt nicht, auch nicht verschlsselt, ber das Netzwerk bertragen. Da der KDC nur auf Domnencontrollern als Dienst luft, wird fr die Kerberos-Authentifizierung Windows Server bentigt.

  • 6.5 Personen in meiner Umgebung 271

    6.5 Personen in meiner Umgebung

    In der Systemsteuerung befindet sich das neue Verwaltungsprogramm Per-sonen in meiner Umgebung. Es ist Teil des Microsoft P2P-Systems (Peer-to-Peer). Mit ihm kann sich der Benutzer als aktiv im Netzwerk signali-sieren und so von anderen Rechnern, Benutzern und Programmen gefun-den werden.

    In dem ersten Fenster (siehe Abb. 6.10) knnen der Anzeigename, die Einladungseinstellungen und die automatische Anmeldung nach dem Be-triebssystemstart festgelegt werden.

    Abb. 6.10. Personen in meiner Umgebung Registerkarte Einstellungen

  • 272 6. Netzwerk

    Mit Hilfe der zweiten Registerkarte (Anmelden), kann sich schnell an- und abgemeldet werden.

    Abb. 6.11. Personen in meiner Umgebung Registerkarte Anmelden

    Dass man an Personen in meiner Umgebung angemeldet ist, wird

    durch ein grnes Symbol unten rechts am Bildschirm (im Infobereich) an-gezeigt. Ein Klick darauf ffnet ebenfalls das in den Abb. 6.10 und 6.11 gezeigte Fenster mit seinen zwei Registerkarten.

    Die Anmeldung an Personen in meiner Umgebung ist dabei eine Vor-aussetzung, um Einladungen fr Teammeetings zu erhalten.

  • 6.6 Firewall 273

    6.6 Firewall

    Vista beinhaltet eine sehr leistungsfhige Software-Firewall, die weit ber das hinausgeht, was man von den Vorgngerversionen kennt: Sie schtzt nun nicht mehr nur eingehende Verbindungen, sondern auch ausgehende Verbindungen und die Filterregeln lassen sich fr die drei logischen Netz-werke ffentlich, privat und Domne separat festlegen.

    6.6.1 Einfache Firewall

    Im Kontextmen einer Netzwerkschnittstelle oder in der Systemsteuerung lsst sich das Programm Windows-Firewall aufrufen (siehe Abb. 6.12). Sie ist schon aus Windows XP bekannt.

    Abb. 6.12. Windows-Firewall

  • 274 6. Netzwerk

    Durch die Auswahl der Administrator-Option Einstellungen ndern ff-net sich das in Abb. 6.13 dargestellte Fenster mit seinen drei Registerkar-ten Allgemein, Ausnahmen und Erweitert.

    Abb. 6.13. Die Registerkarte Allgemein der Windows-Firewall-Einstellungen

  • 6.6 Firewall 275

    In der ersten Registerkarte (Allgemein) kann festgelegt werden, ob die

    Firewall grundstzlich berhaupt aktiv sein soll und ob eingehende Ver-bindungen vollstndig oder nur selektiv blockiert bzw. zugelassen sein sol-len, oder ob sie abgeschaltet werden sollen.

    Die Option Alle eingehenden Verbindungen blocken ist dabei etwas missverstndlich: Wenn die Firewall grundstzlich aktiviert ist, werden Verbindungsversuche von auen (aus dem Internet), denen kein Verbin-dungsaufbau aus dem internen Netz (des Vista-Computers) vorausging und die auch nicht explizit ber Firewall-Ausnahmen (siehe unten) erlaubt wurden, geblockt.

    Wenn dieser Schalter jedoch gesetzt ist, werden lediglich die Ausnah-men deaktiviert. Mit anderen Worten: Eingehende, Antwort-Pakete auf z. B. einer vom Benutzer initiierten http-Abfrage werden durchgelassen, Verbindungsaufbauwnsche, die aus dem Internet stammen, werden abge-wiesen.

    Mit der Registerkarte Ausnahmen (siehe Abb. 6.14) werden die Pro-gramme und Protokolle festgelegt, die trotz aktivierter Firewall eingehend durchgelassen werden zum Zwecke der Herstellung von Verbindungen, die von auen initiiert werden.

    Microsoft hat hier schon die gebruchlichsten Programme und Ports aufgefhrt. Dennoch kann die Liste um eigene, benutzerdefinierte Aus-nahmen ber die Schaltflchen Programm hinzufgen..., mit der der Name eines zugelassenen Programms angegeben werden kann, und Port hinzuf-gen... mit der programmunabhngig generell ein TCP- oder UDP-An-schluss (Port) freigeschaltet werden kann.

    Letztere Option ffnet den angegebenen Anschluss solange Vista luft, auch wenn keine Applikation sich um diesen Socket12 kmmert.

    Wenn Programme hinzugefgt werden, hat das die Auswirkung, dass diese beliebige Ports ffnen knnen, die aber auf die Laufzeit des angege-benen Programms begrenzt sind. Wird es beendet, werden auch gleichzei-tig die Ports geschlossen, die es geffnet hatte.

    Mit Eigenschaften... werden die eingestellten Werte dargestellt.

    12 Unter einem Socket wird eine Kombination von einer IP-Adresse und einer An-

    schlussnummer verstanden (z. B. 147.12.88.19:8080).

  • 276 6. Netzwerk

    Abb. 6.14. Die Registerkarte Ausnahmen der Windows-Firewall-Einstellungen

    Mit der Registerkarte Erweitert (siehe Abb. 6.15) wird festgelegt, wel-

    che Netzwerkschnittstellen durch die Firewall geschtzt werden sollen: Anders als in der Vorgngerversion von Windows, kann in Vista nicht mehr bei einer Netzwerkschnittstelle individuell der Firewall-Schutz fest-gelegt werden, sondern nur noch ber diese Registerkarte.

  • 6.6 Firewall 277

    Eine weitere Option in der Registerkarte Erweitert ist das Zurcksetzen

    der Firewall-Regeln auf die von Microsoft voreingestellten Werte.

    Abb. 6.15. Die Registerkarte Erweitert der Windows-Firewall-Einstellungen

  • 278 6. Netzwerk

    6.6.2 Windows-Firewall mit erweiterter Sicherheit

    In der Systemsteuerung unter Verwaltung lsst sich die neue Windows-Firewall mit erweiterter Sicherheit aufrufen (siehe Abb. 6.16). Diese steu-ert nicht nur den eingehenden, sondern auch den ausgehenden Netzwerk-verkehr. Unter anderem das ist dabei mit erweiterter Sicherheit gemeint.

    Doch wozu ist das ntig? Warum besitzen alle professionellen Firewalls nicht nur Funktionen fr die Zutrittskontrolle, sondern auch fr die Aus-gangskontrolle?

    Nun es gibt zum einen schdliche Software wie trojanische Pferde, die versuchen von innen heraus eine Tr zu ffnen, durch die weitere Software geladen oder ein System ferngesteuert (z. B. bei so genannten Botnets auch zum unbemerkten Versand von SPAM) werden kann.

    Da das ffnen der Ports von innen heraus geschieht, wird es bei ein-fachen Firewalls als gut angesehen, und die Pakete werden durchgelas-sen. Das Verhalten kann nur durch Firewalls, die ausgehenden Verkehr kontrollieren, gesteuert werden.

    Zum anderen mchten Systemverwalter oft eine Mglichkeit haben, be-stimmte Protokolle ausgehend blockieren zu knnen: Zum Beispiel SMTP, Streaming-Protokolle, Instant-Messenger, File-Sharing etc. Auch diese Funktionalitt bietet eine Firewall, die nur eingehenden Verkehr kontrol-liert, nicht.

    Abb. 6.16. Windows-Firewall mit erweiterter Sicherheit

  • 6.6 Firewall 279

    Die Windows-Firewall mit erweiterter Sicherheit bietet auch die ber-

    wachung des Netzwerkverkehrs entsprechend der eingestellten Regeln. Fi-rewall-Regeln knnen hierbei fr alle drei erwhnten Netzwerktypen kon-figuriert werden (siehe Abb. 6.17).

    Abb. 6.17. Firewall-Regeln

    Die eingestellten Richtlinien knnen nun auch ex- und importiert wer-

    den, was zum Sichern der Einstellungen und zum gleichen Konfigurieren mehrerer Systeme hilfreich ist.

    Aber bei allen genannten Vorteilen darf nicht bersehen werden, dass die Windows-Firewall mit erweiterter Sicherheit zwar immerhin eine Sta-teful-Inspection-Firewall ist, aber keine Firewall auf der Applikationsebe-ne, d. h. in die Pakete selbst wird nicht hineingesehen, sondern nur in die Paket-Header. Ist Firewall-Funktionalitt auf der Applikationsebene ge-wnscht, kommt man um Systeme wie Microsoft ISA-Server, Checkpoint Firewall-One etc. nicht herum

  • 280 6. Netzwerk

    6.7 Windows-Teamarbeit

    Das Windows-Teamarbeitsprogramm ist ein Werkzeug fr die Zusammen-arbeit von Gruppen in einem Netzwerk. Es erlaubt bis zu zehn gleichzeiti-gen Teilnehmern (die Windows Vista oder hher einsetzen), Dokumente, Programme und Arbeitsoberflchen gemeinsam ber ein Netzwerk zu nut-zen. Dabei werden die Peer-to-Peer-Networking-Protokolle (Peer Name Resolution-Protocol, Peernetzwerk-Gruppenzuordnung und Peernetzwerk-identitts-Manager) verwendet und der gesamte Datenverkehr gegen unbe-rechtigtes Abhren verschlsselt. Als Voraussetzung mssen der DFS-Re-plikationsdienst und Personen in meiner Umgebung aktiv sein. Zudem muss an mindestens einer Netzwerkschnittstelle IPv6 aktiviert sein (was die Voreinstellung von Vista ist) und es mssen Firewall-Regeln gesetzt werden, was Vista aber selbst erledigt (oder ber das Aufrufen der Win-dows-Firewall in der Systemsteuerung, der Auswahl von Programm durch die Windows-Firewall kommunizieren lassen und dort von Windows-Team-arbeit dauerhaft eingestellt werden kann).13

    Um mit der Windows-Teamarbeit zu arbeiten, wird sich zuerst an Per-sonen in meiner Umgebung angemeldet. Das Windows-Teamarbeitspro-gramm erledigt das beim Start automatisch, es kann aber auch manuell in der Systemsteuerung vorgenommen werden.

    Nun kann sich entweder an einer bestehenden Sitzung angemeldet wer-den oder eine neue Sitzung eingerichtet werden.

    Fr ersteres wird in Windows-Teamarbeit aus der in der rechten Hlfte des Fensters angezeigten Liste aller Sitzungen eine ausgewhlt (man kann jedoch zur gleichen Zeit nur an einer Sitzung teilnehmen) und das Sit-zungskennwort eingegeben. Sollten Teilnehmer eine Einladungsdatei (sie-he unten) erhalten haben, knnen sie an der betreffenden Sitzung durch Aufruf dieser Datei (z. B. per Doppelklick mit der Maus) oder durch Auf-ruf des Auswahlpunktes Eine Einladungsdatei ffnen (siehe Abb. 6.18).

    Eine neue Sitzung kann von jedem eingerichtet werden: ber den Aus-wahlpunkt Eine neues Meeting starten in Abb. 6.1814. Sie muss einen Na-men bekommen und ein Sitzungskennwort, das mindestens acht Zeichen lang sein muss und nicht identisch mit dem Sitzungsnamen sein darf.

    13 Wird eine andere Firewall eingesetzt, mssen fr die Windows-Teamarbeit die

    TCP-Ports 801 und 3587, die UDP-Ports 1900, 3540 und 3702 sowie die Pro-gramme Netproj.exe, P2phost.exe und Wincollab.exe freigegeben werden.

    14 Das ist kein Schreibfehler des Autors, das steht da wirklich so, und: Keine Regel ohne Ausnahme: Windows Vista Home Basic-Benutzer knnen keine neuen Be-sprechungen starten!

  • 6.7 Windows-Teamarbeit 281

    ber die Schaltflche Zeichen anzeigen wird festgelegt, ob die im Feld Kennwort eingegebenen Zeichen oder anstatt dessen aus Sicherheitsgrn-den Punkte angezeigt werden sollen.

    Abb. 6.18. Start einer neuen Besprechung in Windows-Teamarbeit

    Zum Einladen der Teilnehmer gibt es mehrere Alternativen: Teilneh-

    mern, die bereits in Personen in meiner Umgebung angemeldet sind, kn-nen diese Einladungen direkt zugeschickt werden. Sie haben dann die Freiheit, die Einladung anzunehmen, sie abzulehnen oder sie zu verwerfen (in dem Fall erhlt die oder der Einladende keine Benachrichtigung, dass eine Einladung ausdrcklich abgelehnt wurde).

    Fr gewnschte Teilnehmer(innen), die noch nicht in Personen in mei-ner Umgebung angemeldet sind, kann eine spezielle Einladungsdatei ge-neriert werden. Diese hat die Dateiendung .wcinv und kann per E-Mail, In-stant Messager oder auch in einer gemeinsam benutzten Freigabe zur Verfgung gestellt werden. Ihre Kontakte werden dabei angezeigt.

    Gleich, fr welche Einladungsart Sie sich entscheiden, zustzlich ms-sen Sie auerdem das Sitzungskennwort den anderen Teilnehmern mittei-len (z. B. per E-Mail, telefonisch oder persnlich). Alternativ knnen Sie

  • 282 6. Netzwerk

    (im Punkt Optionen...) einstellen, dass die Eingeladenen das Meetingkenn-wort nicht eingeben mssen.

    Sitzungen knnen auch verborgen erstellt werden. Sie sind dann nicht sichtbar. In dem Fall mssen die Teilnehmer aber unbedingt eingeladen werden.

    Gleiches gilt, wenn Computer sich in einem anderen IP-Subnetz befin-den: Dann kommen nur die Einladungsmethoden E-Mail und Einladungs-datei in betracht, weil Personen in meiner Umgebung durch Rundsen-dungen (Broadcasts) nur im aktuellen Netzwerkabschnitt funktioniert und somit nur dort befindliche Benutzer anzeigt.

    Abb. 6.19. Teamarbeits-Fenster bei bestehender Sitzung

    Ist eine Sitzung aufgebaut, knnen die Arbeitsoberflche oder nur ein

    Programm (wie Excel, PowerPoint, Word etc.) fr alle Teilnehmer freige-geben werden sowie Handzettel verteilt werden. Handzettel sind beliebige Dateien (auch Sitzungsprotokolle), die an alle Teilnehmer geschickt wer-den. Sie knnen bearbeitet werden, aber jeweils nur von einer Person. n-derungen werden dann gleichfalls an alle Teilnehmer bertragen. Wichtig ist, dass jedoch nur die Kopie gendert wird, nicht jedoch die Original-

  • 6.7 Windows-Teamarbeit 283

    handzetteldatei. Sofern nderungen nicht gespeichert werden, sind sie nach dem Ende der Besprechung verloren.

    Mit dem Punkt Optionen lsst sich eine Verbindung mit einem Netz-werk-Projektor herstellen

    Eine Sitzung kann jederzeit verlassen werden (Men Meeting Meeting verlassen). Die Sitzung an sich bleibt aber solange bestehen, wie es noch mindestens einen verbundenen Teilnehmer gibt.

  • 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    Die Berechtigungs- und Rechtevergabe (entsprechend meiner prgnanten Kurzform Wer darf auf was zugreifen?), ist die zentrale Frage eines je-den (Netzwerk-)Betriebssystems. Bei ihr stellt das was die Objekte, das Drfen den Grad des eingerumten Zugriffs dar. Und das wer wird seit langer Zeit durch Benutzerkonten und -gruppen abgedeckt. Letztere sind ein Teil dessen, was Windows Vista als Sicherheitsprinzipale (oder Sicher-heitssubjekte) versteht (siehe unten).

    Das Programm, das fr die Verwaltung von Benutzer- und Gruppenkon-ten zustndig ist, kann durch Auswahl von Verwaltung im Kontext-Men des Computer-Symbols auf der Arbeitsoberflche, als Snap-In in einer MMC oder durch Start des Programms lusrmgr.msc aufgerufen werden. (Siehe Abb. 7.1)

    Abb. 7.1. Lokale Benutzer und Gruppen

  • 286 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    Im Ordner Benutzer sind lokale Einzelbenutzerkonten hinterlegt. Es

    werden zumindest das Konto Administrator und das Gastkonto ange-zeigt. Diese beiden vordefinierten Konten knnen zwar umbenannt und deaktiviert werden (was das Gast-Konto auch immer sein sollte), nicht je-doch gelscht werden. Wenn Sie bei der Installation ein separates Admi-nistrationskonto bzw. weitere Konten (z. B. fr den Junior mit aktiviertem Jugendschutz, fr den Partner oder die Partnerin etc.) erstellt haben, wer-den diese hier ebenfalls aufgefhrt.

    Im Ordner Gruppen werden vordefinierte und selbsterstellte Gruppen aufgelistet. Gruppen werden dazu verwendet, um Systemrechte (wie z. B. An-/Abmelden, System herunterfahren, Programme/Treiber installieren) sowie Berechtigungen auf konkrete Objekte (bsp. den Ordner C:\Daten\Versuch12) vergeben und steuern zu knnen.1 In einem Verwal-tungsszenario ohne Gruppen msste einzelnen Benutzern auf viele Objekte jeweils explizit Rechte und Berechtigungen gewhrt bzw. genommen wer-den. Daher ist es praktischer, die betreffenden Rechte oder Berechtigungen Gruppen zu gewhren bzw. zu entziehen, und einzelne Benutzer in die Gruppe(n) aufzunehmen. In einem Unternehmensnetzwerk sind das bsp. nach betrieblichen Funktionen erstellte Gruppen wie Einkauf, Vertrieb, Personal etc., in einem Heim- oder SOHO-Netzwerk2 vielleicht Gruppen wie Internetbenutzer oder Gruppen zur Zugriffssteuerung auf bestimmte Verzeichnisse.

    Ntzlich kann in diesem Zusammenhang die Funktion Liste exportie-ren... (aus dem Men Ansicht) sein, mit der Benutzer- und Gruppenlisten in verschiedenen Dateiformaten erstellt werden knnen.3

    1 Dazu sind insbesondere (Domnen-)Lokale Gruppen, die auf dem betreffenden

    Ressourcenrechner eingerichtet werden, geeignet. 2 SOHO: Small Office or Home Office. 3 Fr den gleichen Zweck gibt es auch die NET LOCALGROUP- und NET

    USER-Befehle. berdies knnen viele der nachfolgend beschriebenen Funktio-nen mit ihnen interaktiv oder skriptgesteuert durchgefhrt werden.

  • 7.1 Lokale Benutzerkonten vs. Domnenbenutzerkonten 287

    Abb. 7.2. Eigenschaften eines Benutzerkontos

    Wenn ein neues Benutzerkonto erstellt werden soll (Kontext-Men:

    Neuer Benutzer...) oder ein bestehendes Konto gendert werden soll (Kon-text-Men: Eigenschaften...) ffnet sich ein Fenster, wie in Abb. 7.2 ge-zeigt.

    Die meisten Optionen in diesem Fenster drften bekannt bzw. selbster-klrend sein, aber dennoch ein paar Anmerkungen: Unter Kennwortablauf wird eine Frist verstanden, nach der ein(e) Anwender(in) zwingend das Kennwort ndern muss. Ein Kennwortablauf kann per lokaler Sicherheits- oder Domnen-Gruppenrichtlinie eingestellt werden. Ist eine solche defi-niert, kann mit diesem Schalter eine Ausnahme von der Regel eingestellt

  • 288 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    werden. Dieses wird blicherweise fr Dienstkonten (diese werden als Anmeldekonten fr Dienste benutzt) eingestellt.

    Zwischen einer Kontodeaktvierung und einer Kontosperrung besteht auch ein Unterschied: Eine Deaktivierung ist stets ein manueller Vorgang, wenn bsp. ein Konto wegen Abwesenheit aufgrund von Krankheit, Schwangerschaftsurlaub, Nichtbezahlens von Gebhren etc. temporr nicht mehr fr eine Anmeldung benutzt werden soll.

    Eine Kontosperrung hingegen wird stets vom System ausgelst. Grnde hierfr knnen sein: Zu viele ungltige Kennworteingaben innerhalb einer bestimmten Zeit, eingestellter Ablauf (z. B. 31. Mrz 20XX) wegen Ver-tragsendes usw.

    In der zweiten Registerkarte (Mitglied von genannt) werden Mitglied-schaften eines Benutzerkontos festgelegt. Hier gilt ein m:n-Prinzip: Ein Benutzerkonto kann in mehreren Gruppen Mitglied sein, andererseits kn-nen in Gruppen tausende Mitglieder vorhanden sein.

    In der dritten Registerkarte namens Profil kann ein (Netzwerk-)Pfad eingestellt werden, in dem die individuellen (oder, wenn ein verbindliches, "Mandatory" Profil erstellt wurde, auch kollektiven) Benutzereinstellungen der Arbeitsoberflche, Maus etc. gespeichert werden sollen. Standardm-ig ist das im C:\Users\...-Pfad.

    Im Eingabefeld Anmeldeskript kann ein Pfad und Dateiname einer aus-fhrbaren Datei angegeben werden, die bei der Benutzeranmeldung ausge-fhrt wird. Dies kann sinnvoll fr die Zuordnung mehrerer Netzwerklauf-werke, fr Programmaktualisierungen, Virensuchvorgnge etc. verwendet werden.

    Als Basisordner, in dem Anwender ihre Dateien speichern, kann entwe-der ein von der Voreinstellung (s. o.) abweichender lokaler oder Remote-Pfad (z. B. auf einem Dateiserver) angegeben werden.

    Eine wichtige Besonderheit gilt es zum Punkt Kennwort festlegen des Kontextmens eines Benutzerkontos zu beachten: Dieser Menpunkt hie frher mal Kennwort zurcksetzen, aber hat noch immer dieselbe Auswir-kung, wenn er aufgerufen wird: Eigentlich ist er fr Benutzer gedacht, die ihr Kennwort vergessen haben. Aber weil diese Funktion auch fr bse Zwecke (Anmeldung im Sicherheitskontext eines anderen Benutzers) missbraucht werden knnte, werden beim Setzen des Kennwortes die Zer-tifikate und gespeicherten Kennwrter des betreffenden Kontos gelscht. Das bedeutet, dass damit der Zugriff auf verschlsselte Dateien und E-Mails fr den Benutzer nicht mehr mglich ist! Als bessere Alternative bie-tet sich die Erstellung einer Kennwortrcksicherungsdiskette an, mit der ein Kennwort ohne diese negativen Auswirkungen durch den Anwender selbst zurckgesetzt werden kann.

  • 7.1 Lokale Benutzerkonten vs. Domnenbenutzerkonten 289

    In umgekehrter Richtung zu sehen ist die Festlegung der Mitgliedschaft in Gruppen: Hierbei werden Benutzerkonten einer Gruppe hinzugefgt bzw. aus ihr entfernt. Die Bedeutung der vordefinierten Gruppen ist weiter unten dargestellt. Die Spalte Beschreibung erlutert die Funktion der je-weiligen vordefinierten Gruppe ausfhrlich.

    Bei Auswahl von Neue Gruppe oder Eigenschaften aus dem Kontext-men erscheint das in Abb. 7.3 gezeigte Fenster, in dem der Name, die Be-schreibung und die Mitglieder einer Gruppe festgelegt werden knnen.

    Abb. 7.3. Erstellen einer neuen Gruppe

  • 290 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    7.1 Lokale Benutzerkonten vs. Domnenbenutzerkonten

    Was ist in diesem Zusammenhang eigentlich mit lokal gemeint? In ei-nem Windows-Netzwerk haben alle Arbeitsplatzrechner und Mitgliedsser-ver (nicht aber die Controller siehe unten) einer Domne eigene Konten-verwaltungen. Diese werden in einem speziellen Bereich der Registrierung, der SAM (Security Accounts Management, Sicherheitskon-tenverwaltung) genannt wird, gespeichert.

    Eine Ausnahme hiervon stellen Controller in einem domnenbasierten Netz dar: Die Domnencontroller haben keine individuellen Konten mehr, sondern nur noch Domnenkonten, die als Objekte in einer replizierten Domnendatenbank, Active Directory genannt, auf allen beteiligten Do-mnencontrollern gespeichert werden. nderungen an diesen Objekten werden auf die anderen Domnencontroller im Verbund weitergegeben. Nun knnte man meinen, dass Domnenkonten stets Vorrang vor lokalen Konten htten. Aber das genaue Gegenteil ist der Fall: Wer etwas an einem Arbeitsplatzrechner machen darf, wird ausschlielich von dem jeweiligen Administrator des Arbeitsplatzes dezentral festgelegt. So drfen Domnen-Administratoren auch nur deswegen die Arbeitsplatzrechner verwalten, weil sich deren Gruppe in der lokalen Administratorengruppe befindet,4 und dadurch implizit die Verwaltungsrechte erteilt werden. Und Benutzer mit Domnenkonten knnen sich nur an den Arbeitsstationen anmelden, weil sich die Globale Gruppe Domnenbenutzer in den lokalen Gruppen namens Benutzer befinden, die dieses Recht haben.5 Aber dazu unten mehr.

    7.2 Eigene Benutzerkonten

    Fr nderungen an eigenen Benutzerkonten kann aus der Systemsteuerung das Programm Benutzerkonten ausgewhlt werden (siehe Abb. 7.4).

    4 Diese Gruppenmitgliedschaft wird beim Hinzufgen eines PCs zu einer Domne

    automatisch eingestellt. 5 Funote 4 gilt auch hierfr.

  • 7.2 Eigene Benutzerkonten 291

    Abb. 7.4. Einstellungen des eigenen Benutzerkontos festlegen

    Einige der unten beschriebenen Optionen (wie Kennwort ndern und

    Kennwortrcksetzdiskette erstellen) knnen zudem von der Windows-Sicherheit (ber Strg+Alt+Entf) ausgefhrt werden.

    Wenn in dem Programm Systemsteuerung - Benutzerkonten die Aufgabe Kennwortrcksetzdiskette erstellen ausgewhlt wird, ffnet sich der Assis-tent fr vergessene Kennwrter (siehe Abb. 7.5).

  • 292 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    Abb. 7.5. Erstellen einer Kennwortrcksetzdiskette

    Dieser Assistent erstellt fr das benutzte Konto eine Diskette, die ver-

    wendet werden kann, ein neues Kennwort zu erstellen, falls das aktuelle Kennwort vergessen wurde.

    Es muss dann das Diskettenlaufwerk ausgewhlt werden (blicherweise A:), in dem sich eine Diskette befindet, die fr diesen Zweck verwendet werden soll (siehe Abb. 7.6) oder ein USB-Speicher.

    Nach diesem Schritt wird nach dem aktuellen Kennwort gefragt, um zu verhindern, dass ein unberechtigter Benutzer diese Funktion ausfhrt. Nach Eingabe des korrekten Kennwortes und Klick auf Weiter wird eine Datei mit dem verschlsseltem Kennwort auf das angegebenen Disketten-laufwerk bzw. USB-Speicher geschrieben.

  • 7.2 Eigene Benutzerkonten 293

    Abb. 7.6. Auswahl des Speicherortes fr die Kennwortrcksetzdatei

    Der Auswahlpunkt Eigene Netzwerkkennwrter verwalten in dem in

    Abb. 7.4 gezeigten Fenster ffnet das Fenster Gespeicherte Benutzernamen und Kennwrter, in dem fr bereits benutzte Netzwerkfreigaben, Websites oder Programme die jeweils angegebenen Benutzeranmeldeinformationen aufgelistet sind (siehe Abb. 7.7). Diese knnen gendert, gelscht und auch gesichert und wiederhergestellt werden. Die dazu verwendete Anmeldesi-cherungsdatei hat die Dateierweiterung .CRD.

    Beim Sichern muss zunchst der Speicherort angegeben und besttigt werden, danach wird eine Eingabe von Strg+Alt+Entf erwartet, um die Si-cherung auf dem sicheren Desktop fortsetzen zu knnen durch Strg+Alt+Entf werden alle anderen Programme, die im Benutzermodus ausgefhrt werden, angehalten.

  • 294 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    Abb. 7.7. Gespeicherte Anmeldeinformationen verwalten

    Zur Absicherung der Kennwrter-Datei selbst wird in einem weiteren

    Fenster zur Eingabe eines Datei-Kennwortes gefragt. Ein Klick auf Hinzufgen... ffnet ein Fenster, in dem eine neue Benut-

    zername/Kennwort-Kombination fr eine Remote-Ressource eingegeben werden kann (siehe Abb. 7.8).

  • 7.2 Eigene Benutzerkonten 295

    Abb. 7.8. Anmeldeinformationen hinzufgen

    Die Auswahl der Aufgabe Dateiverschlsselungszertifikate verwalten in

    dem Programm Eigene Benutzerkonten (siehe Abb. 7.4) ffnet ein Fenster mit dem Titel Verschlsselndes Dateisystem (siehe Abb. 7.9), in dem die Zertifikate hierfr verwaltet werden knnen. Mehr zum verschlsselnden Dateisystem (EFS - Encrypting File System) im Kapitel 5.

  • 296 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    Abb. 7.9. Verwaltung der Dateiverschlsselungszertifikate

    Mit der Option Erweiterte Benutzerprofileigenschaften konfigurieren

    der Eigenschaften eigener Benutzerkonten (siehe Abb. 7.4) kann in dem sich dann ffnenden Fenster der Typ des Benutzerprofils von lokal auf ser-vergespeichert und umgekehrt gendert werden, was insbesondere fr No-tebooks, die abwechselnd in einem Unternehmensnetzwerk als auch ohne Netzwerkanschluss betreiben werden, ntzlich sein kann. Diese Einstel-lung kann gleichfalls in den erweiterten Einstellungen des System-Programms angepasst werden.

    Und dann ist bei den Einstellungen der Konten noch die Funktion Eige-ne Umgebungsvariablen ndern, mit der Variablen der Umgebung (Envi-ronment) angepasst werden knnen. In einer Eingabeaufforderung steht dazu auch der Set-Befehl zur Verfgung.

  • 7.3 Jugendschutz 297

    Auch diese Einstellung kann gleichfalls in den erweiterten Einstellungen des System-Programms angepasst werden.

    7.3 Jugendschutz

    Mit der Jugendschutzfunktion (siehe Abb. 7.10) kann fr beliebige Konten festgelegt werden, welche Webseiten aufgerufen werden knnen, wie lange jemand angemeldet sein kann, welche Spiele und sonstige Programme ausgefhrt werden drfen oder nicht.6

    ber die Verwendung der so geschtzten Konten kann auf Wunsch ein Protokoll erstellt und angezeigt werden.

    Abb. 7.10. Jugendschutzeinstellungen

    6 Na gut, fast beliebige Konten: Denn in Domnenumgebungen und fr Administ-

    rationskonten lsst sich kein Jugendschutz aktivieren. Gerade im letzteren Fall liegt das auf der Hand: Sie knnten mit ihren Rechten die Einstellungen ohnehin jederzeit deaktivieren.

  • 298 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    Obwohl die Jugendschutzfunktion schon festlegt, welche Webseiten auf-gerufen werden drfen, kann sie zwecks noch feinerer Regelung mittels Drittanbieterprogramm oder mit der Inhaltsratgeberfunktion des Internet-Explorers (IE) kombiniert werden. Letztere setzt aber den IE als Browser voraus, whrend die Jugendschutzfunktion mit jedem Browser funktio-niert.

    Damit Spiele in Kategorien klassifiziert werden knnen, bedarf es eines Spielbewertungssystems, mit dem eine Kennzeichnung erfolgt, ob es sich um ein Spiel mit viel Gewalt, sexuellem Inhalt etc. handelt.

    Windows Vista untersttzt die wichtigsten Spielbewertungssysteme (siehe Abb. 7.11).

    Abb. 7.11. Spielbewertungssysteme fr den Jugendschutz

  • 7.4 Vordefinierte Benutzerkonten 299

    In den Einstellungen des geschtzten Kontos wird anschlieend festge-

    legt, welche Eigenschaften (z. B. Altersfreigabe) die zur Ausfhrung zuge-lassene Spiele haben mssen oder nicht haben drfen.

    Wenn die Jugendschutzfunktion fr ein Konto aktiviert ist, wird das, wenn sich der betreffende Benutzer oder die Benutzerin angemeldet hat, im Informationsbereich der Taskleiste angezeigt. Dort sind auch die ge-setzten Einstellungen einsehbar.

    Bei Verdacht auf Umgehung der Einstellungen kann der Administrator Einsicht in die Jugendschutzprotokolle (Aktivittsberichte) nehmen. In ih-nen stehen u. a. besuchte und geblockte Seiten.

    7.4 Vordefinierte Benutzerkonten

    In Windows Vista gibt es zwei vordefinierte Benutzerkonten: Das eine, Administrator genannt, wird dazu verwendet, das System nach der Installa-tion zu konfigurieren (dazu gehrt auch, ggf. weitere Benutzerkonten zu erstellen). Das andere, Gast genannt, ist von Microsoft vorgesehen, einen anonymen Zugriff auf das System mit ganz niedrigen Rechten fr Benut-zer zu gewhren, fr die kein Konto eingerichtet wurde. Denkbar ist dieser Einsatz bsp. in Auskunftssystemen oder Internetcafs. Aber selbst dort le-gen Administratoren zwecks besserer Verwaltbarkeit (z. B. mittels Richtli-nien) in der Praxis eigens Konten dafr an.

    Beide Konten knnen zwar nicht gelscht werden, jedoch deaktiviert werden. Zur Verhinderung eines DoS-(Denial of Service)-Angriffs kann das Administrationskonto nicht mit einer automatischen Sperrung versehen werden, falls zu viele ungltige Anmeldeversuche mit ihm vorgenommen wurde. Das macht das Administrationskonto zu einem idealen Ziel eines Einbruchsversuchs in das System: Zum einem ist der Name des Kontos bekannt (und das ist schon mal die halbe Miete), zum anderen kann the-oretisch im Brute-Force-Verfahren, bei dem alle Kennwortkombinationen durchprobiert werden, versucht werden, sein Kennwort herauszufinden.

    Vista erstellt whrend der Installation ein Administrationskonto mit ei-nem anderen Namen. Weil in Vista die Rechte und Berechtigungen nicht am Namen eines Kontos hngen, sondern an seiner Sicherheits-ID (siehe unten), kann der Name problemlos gendert werden.7

    Um Systeme gegen solche Angriffe besser zu schtzen, sollte das Konto Administrator umbenannt werden und ein neues Konto, das den gleichen 7 Im Sinne der Objektorientierung ausgedrckt, ist der Name ein Attribut des Ob-

    jekts Benutzer (bzw. der Instanz).

  • 300 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    Namen trgt und ein mindestens 20 Zeichen langes Kennwort, aber auf dem System berhaupt gar keine Rechte hat, eingerichtet werden. Ein-bruchsversuche knnen dann gut ber eine aktivierte Protokollierung un-gltiger Anmeldeversuche erkannt werden.

    7.5 Vordefinierte Gruppen

    Es gibt in Windows Vista vordefinierte Gruppen. Diese werden im allge-meinen fr die Rechte- und Berechtigungsvergabe verwendet und gliedern sich in integrierte lokale und Sicherheitsprinzipale auf.

    Eine ausfhrliche Beschreibung finden Sie im Abschnitt 7.8.3.2, in dem auch die (SIDs) beschrieben werden.

    7.5.1 Integrierte lokale Gruppen

    In Tabelle 7.1 sind die integrierten lokalen Gruppen aufgefhrt. Mitglieder knnen Benutzerkonten sein. Eine Gruppenverschachtelung ist jedoch nicht mglich. Im Domnenfall knnen globale und universale Gruppen aufgenommen werden.

    Tabelle 7.1. Integrierte lokale Gruppen

    Administratoren Benutzer Distributed COM-Benutzer Ereignisprotokollleser Gste Hauptbenutzer IIS_IUSRS Kryptografie-Operatoren Leistungsprotokollbenutzer Netzwerkkonfigurations-Operatoren Remotedesktopbenutzer Replikations-Operator Sicherungsoperatoren Systemmonitorbenutzer

    7.5.2 Integrierte Sicherheitsprinzipale

    Diese sind vom OS vordefiniert und ihre Mitgliedschaft ist nicht nderbar. Daher sind sie auch im Benutzermanager nicht sichtbar bzw. vernder-bar, knnen jedoch bei der Rechte- und Berechtigungsverwaltung verwen-det werden, um Gruppen von Benutzern und Benutzerinnen zu identifizie-ren, die eine bestimmte Eigenschaft haben.

  • 7.6 Anmeldevorgang/LSA/Zugriffstoken 301

    Tabelle 7.2. Integrierte Sicherheitsprinziplae

    Anonymous-Anmeldung Authentifizierte Benutzer Batch Dialup Dienst Eigentmerrechte Ersteller-Besitzer Interaktiv Interaktive Remoteanmeldung IUSR Jeder Lokaler Dienst Netzwerk Netzwerkdienst System Terminalserverbenutzer

    7.6 Anmeldevorgang/LSA/Zugriffstoken

    Grundstzlich unterscheidet man im Bereich der Sicherheit Sicherheits-subjekte und Sicherheitsobjekte.

    Unter Sicherheitssubjekten (Security principals, auch trustees oder Si-cherheitsprinzipale genannt) werden alle Dinge verstanden, die fr die Rechte- und Berechtigungsvergabe (s. u.) verwendet werden knnen. Bei-spiele hierfr sind Benutzerkonten, Computerkonten, Gruppenkonten so-wie Benutzer- und Dienstanmeldungen (logon sessions).

    Sicherheitsobjekte hingegen sind zu schtzende Teile eines Computer-systems wie Dateien, Verzeichnisse, Drucker aber auch das System selbst (Herunterfahren, Neu starten, Anmeldung, Systemzeit ndern, Software-installation und -deinstallation etc.).

    Die wichtigste Aufgabe in Bezug auf die Sicherheit erfllt die Local Se-curity Authority (LSA, lokale Sicherheitsinstanz), die als zentrale Sicher-heitsinstanz unter dem Dienstnamen LSASS (LSA System Service) auf Windows-Vista-Clients und auf jedem Windows-Server-2008-Computer ausgefhrt wird.

    Der LSA-Dienst ist fr

    das Authentifizieren von Benutzern das Verwalten der lokalen Sicherheitsrichtlinie das Verwalten der berwachungsrichtlinie und der berwachungsein-

    stellungen und das Generieren von Zugriffstokens (Access Tokens)

    zustndig.

  • 302 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    Ab Windows Vista (und hher) gibt es fr regulre Benutzer ein (wie vorher auch), fr Administratoren durch die BKS/UAC aber zwei Zugriffs-token. Fr gewhnliche, nicht-privilegierte Prozesse enthlt es nicht alle Rechte eines Administrators (oder einer Administratorin), fr privilegierte enthlt es nach Besttigung des BKS-Warnfensters hingegen alle Rechte.8

    In ein Zugriffstoken knnen maximal 1024 SIDs (siehe Abschnitt 7.8.3) aufgenommen werden. Enthlt es mehr, kann sich an den Computern nicht mehr angemeldet werden. Ein Administrator kann sich dann nur noch im abgesicherten Modus (mit aktivierter Netzwerkuntersttzung) anmelden und das Problem lsen.

    Eintrge in das Zugriffstoken veranlassen integrierte Sicherheitsprinzi-pale, das Benutzerkonto selbst, die primre Gruppe und jede weitere Grup-penmitgliedschaft.

    Eine Besonderheit gilt es zu beachten, wenn Objekte z. B. bei Konsoli-dierungen zwischen Domnen verschoben wurden: Damit Zugriffe auf die bestehenden Ressourcen unverndert mglich bleiben, enthalten dann die sIDHistory-Attribute die Werte aus der alten Domne. Im Zugriffstoken belegen sie dadurch jeweils zwei Pltze.

    7.7 Sicherbare Objekte

    In einem Windows-System knnen folgende Objekte Sicherheitsbeschrei-bungen (security descriptors) haben:

    Dateien und Verzeichnisse in einer NTFS-Partition Prozesse, Threads und Job-Objekte File-Mapping-Objekte Zugriffstoken Window-Management-Objekte (Window stations und desktops) Registrierungs-Schlssel Named pipes und Anonymous pipes Windows-Dienste Lokal angeschlossene und Netzwerk-Drucker Verzeichnis-Freigaben Interprozess-Synchronisations-Objekte (Ereignisse, Mutexe, Semaphore

    und waitable timers)

    8 Dieser Sachverhalt lsst sich z. B. durch Aufrufen des Befehls whoami /all ein-

    mal in einer normalen Eingabeaufforderung und einmal in einer Administrator-Eingabeaufforderung anschaulich darstellen.

  • 7.8 Sicherheitsbeschreibung 303

    Active-Directory-Objekte Die Security principals werden in einer Domne als Active-Directory-

    Objektinstanzen erstellt und verwaltet, auf einem Computer mit einer ei-genen Sicherheitsdatenbank (Windows NT/2000/XP Workstation und Pro-fessional-Versionen, alleinstehende Windows-Server, die nicht Teil einer Domne bzw. keine Domnencontroller sind) hingegen in der SAM (Secu-rity Account Management), die Teil der Registrierung ist.

    7.8 Sicherheitsbeschreibung

    Bei den Sicherheitsobjekten gibt es im Sicherheitsbeschreibungs- (Securi-ty-Descriptor-) Feld jeweils eine Zugriffssteuerungsliste (ACL).

    In den Zugriffssteuerungslisten ist aufgefhrt, wer Besitzer dieses Ob-jektes ist (sowie seine primre Gruppe) und die untergeordneten Listen SACL+DACL (siehe unten).

    Sowohl die SACL als auch die DACL sind Kann-Bestandteile eines Si-cherheitsbeschreibers und mssen somit nicht zwingend vorhanden sein. Die Liste wird Zugriffssteuerungsliste (Access Control List, ACL, oder ZSL) genannt, die einzelnen Zugriffssteuerungseintrge heien ACE (Ac-cess Control Entry/-ies), wobei die ACLs keine, eine oder mehrere dieser Zugriffssteuerungseintrge (ZSE) beinhalten knnen.

    Sicherheitsbeschreibungsfelder beinhalten somit die folgenden vier Hauptbestandteile:

    1. Die SID des Besitzers 2. Die SID der primren Gruppe 3. Die DACL (Discretionary ACL ) 4. Die SACL (System ACL)

    7.8.1 Zugriffssteuerungslisten (ZSL)

    Wie zuvor schon gesehen, haben Objekte fakultativ die DACL und die SACL in ihren Sicherheitsbeschreibungsfeldern.

    7.8.1.1 Discretionary ACL (DACL)

    Die DACL ist eine Liste, die genau festlegt, wer auf ein Objekt wie zugrei-fen darf.

  • 304 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    7.8.1.2 System ACL (SACL)

    Die SACL hat mehrere Aufgaben: Die wichtigsten beiden sind, dass mit ihr festgelegt wird, ob und welche Objektzugriffe von bestimmten Benut-zer(-gruppen) protokolliert werden sollen. Auerdem werden in ihr die verbindlichen Beschriftungen eines Objekts hinterlegt (siehe unten).

    7.8.2 Zugriffssteuerungseintrge

    ACEs, die in zuvor beschriebenen Listen verwendet werden, bestehen aus vier Bestandteilen:

    1. SID, die das Sicherheitsobjekt identifiziert, fr das ACE gelten soll. 2. Eine Zugriffsmaske, die den Umfang des Zugriffs durch dieses ACE

    festlegt. Die Zugriffsmaske ist abhngig vom Typ des Sicherheitsob-jekts.

    3. Art des jeweiligen ACEs - In DACLs: Zugriff gewhren oder Zugriff sperren - In SACLs: Protokollierung

    4. Weitere Angaben, ob dieses ACE an untergeordnete Objekte weiter-vererbt werden soll.

    In den Listen werden die ACEs nach ihrer Art sortiert gespeichert: Zu-

    erst die Zugriffsverweigerungs-ACEs, dann die Zugriffsserlaubnis-ACEs. Das bringt Performancevorteile mit sich: Da die Zugriffsberechtigungen kumulativ sind und somit bei der Ermittlung des Umfangs eines Zugriffs die Listen vollstndig durchsucht werden und ausgewertet werden mssen, kann das System nach Auffinden eines Sperr-ACEs, das stets hhere Prio-ritt als ein Zugriffgewhrungs-ACE hat, die Suche danach abbrechen.

    Diese Sortierung vorausgesetzt, wurde eine weitere Optimierung vorge-nommen: Bei der Ermittlung, ob und wie zugegriffen werden darf, wird auch bei dem ersten, den entsprechenden Zugriff gewhrenden Eintrag die Liste nicht weiter durchsucht. Selbst wenn danach ein Vollzugriff-gewh-rendes ACE kme, wre dies nicht von Bedeutung.

    7.8.3 Security Identifier (SID)

    Mit Hilfe der SIDs und der Zugriffssteuerungseintrge, in denen sie ent-halten sind, wird der Umfang und die Stufe des Zugriffs festgelegt. Bei Windows wird zwischen Berechtigungen (engl. permissions) und Rech-ten (engl. rights) unterschieden.

  • 7.8 Sicherheitsbeschreibung 305

    Rechte beziehen sich immer auf das System als ganzes (z. B. das Recht, die Uhrzeit zu ndern (betrifft alle Anwender), Gertetreiber zu installieren oder das Recht, das System herunterzufahren) und werden von Administra-toren (die ja fr das System als solches verantwortlich sind, festgelegt. Sie werden auch synonym als privilege bezeichnet. Berechtigungen hinge-gen beziehen sich immer auf konkrete Ressourcen (z. B. auf die Datei D:\Daten\CMeier\Brief.doc oder den Drucker HPDJ5800 an LPT1:).

    Berechtigungen werden stets vom Besitzer (Owner/Creator) einer Res-source gewhrt. Ein Beispiel hierzu: Wenn ein Herr Meier in seinem Ho-me-Verzeichnis eine neue Datei namens Brief1.doc erstellt, gilt er just in dem Moment der Erstellung als Ersteller dieser Datei und bekommt da-nach die Besitzberechtigungen an seiner Datei zugewiesen. Wer Besitzer einer beliebigen Datei ist, legt fest, wer wie darauf zugreifen kann. Natr-lich kann der Herr Meier aus dem Beispiel auch den/die Administrator(en) vom Zugriff ausschlieen. Was haben sie auch mit seiner Datei zu tun: Vielleicht ist der Inhalt vertraulich. Aber was ist in so einem Fall mit Backups? Fr Backups wird das Systemrecht Sicherung... bentigt, nicht jedoch die Leseberechtigung. Mit anderen Worten: Ein Administrator oder Sicherungs-Operator kann jede Datei sichern, ohne Leseberechtigungen dafr besitzen zu mssen.

    Bei der Anmeldung eines Benutzers (natrlich auch bei der Anmeldung eines Computers) wird von der LSA (Local Security Authority) ein Zu-griffs-Token (Access Token) erstellt, in dem die SID des Users, die Mit-gliedschaften des Users in globalen und universellen Gruppen sowie die (ihm direkt oder durch Gruppenmitgliedschaften indirekt) gewhrten Sys-temrechte (privileges) enthalten sind. Dieses Access Token wird vom aus-stellenden Domnencontroller (bzw. der LSA eines Arbeitstationsrechners) digital signiert und kann dadurch nachfolgend nicht mehr unbemerkt ver-ndert werden.

    Dieser Prozess benutzt entweder die NTLM (New Technology LAN Manager) oder die Kerberos-Authentifizierung. Dies hngt vom Betriebs-system des Remote-Systems ab, wird von der LSA automatisch ausgewhlt und kann nicht selbst festgelegt werden.

    Die Festlegung der SACL erfolgt nicht ber Zugriffsberechtigungen, sondern ber das Benutzerrecht SE_SECURITY_NAME.

    Wenn ein Windows-Objekt keine DACL hat (d. h. der Zeiger im betref-fenden Security-Deskriptor auf NULL gesetzt ist), gewhrt Windows allen Benutzern den vollen Zugriff auf dieses Objekt. Eine fehlende DACL darf aber nicht mit einer leeren DACL verwechselt werden: Wenn eine DACL existiert, aber keine Eintrge hat, verweigert Windows den Zugriff auf dieses Objekt fr alle (!) Benutzer. Lediglich der

  • 306 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    Besitzer des Objektes kann dann noch die DACL festlegen (und ein Admi-nistrator sich ggf. vorher zum Besitzer machen).

    7.8.3.1 Aufbau der SIDs

    Die Sicherheitssubjekte bekommen zu ihrer Identifizierung in den ACE fr die Gewhrung jeweils eine SID (Security ID). Die SIDs werden systemin-tern binr gespeichert. Als Zeichenkette sehen sie folgendermaen aus: Je-de SID beginnt mit S-, dann folgt die Versionsangabe (derzeit 1) und die Autoritt, welche die betreffende SID ausgegeben hat (48 Bits lang) und noch mindestens 1 (von bis zu 15) RIDs (relative IDs), welches Nummern untergeordneter Autoritten und fortlaufende Nummern sind und von jeder bergeordneten Autoritt nur einmal vergeben werden, damit sichergestellt wird, dass die SIDs eindeutig sind.

    Gegenwrtig sind folgende Autoritts-IDs vergeben:

    0: Nullautoritt (zur Bildung leerer SIDs) 1: Weltautoritt (zur Bildung der Jeder-SID) 2: Lokal-Autoritt (fr die Lokal-SID) 3: Ersteller-Autoritt (fr die Ersteller-Besitzer-SIDs) 4: Autoritt fr mehrdeutige SIDs (derzeit nicht verwendet) 5: Windows-Autoritt 16: Herausgeber fr die Windows-Vista- und Windows-Server-2008-

    Benutzerkontensteuerung (Verbindliche Labels)9 Die SID wird auch in der Registrierung zur Identifizierung der Benut-

    zerkonten (im HKEY_USERS-Zweig) benutzt. Eine SID fr ein Benutzer-konto sieht beispielsweise so aus: S-1-5-21-3430435053-2823032928-1337227930-1003. Die drei langen Zahlen (jeweils 32-Bit-Werte) kenn-

    9 Mit dem System der verbindlichen Beschriftung (mandatory label), hat Win-

    dows nun endlich das Sicherheitssystem bekommen, fr das es in seiner ersten Version (Windows NT 3.1) geplant war, der MAC (Mandatory Access Control). Hierbei werden Schutzebenen (Integrity Levels) gebildet, und die zu schtzen-den Objekte tragen Beschriftungen, welche Schutzebene ein Benutzer mindes-tens haben muss, um mit ihm arbeiten zu knnen. Fr Inhaber niedriger Schutz-ebenen ist es nicht mglich, auf Objekte zuzugreifen, die explizit eine hhere Schutzebene verlangen. Das effektive Sicherheitssystem in Windows Vista ist aber eine Kombination zwischen DAC (Discretionary Access Control) und MAC.

  • 7.8 Sicherheitsbeschreibung 307

    zeichnen damit entweder einen Computer (Arbeitsstations-ID) oder eine Domne (Domnen-ID).

    Mit dem whoami-Befehl kann das Zugriffs-Token und alle in ihm ent-haltenen SIDs angezeigt werden.

    Derjenige Domnencontroller, der als RID-Betriebsmaster konfiguriert ist, verteilt RID-Blcke an alle Domnencontroller einer Domne fr die Vergabe der Last-RID bei der Erstellung neuer SIDs.

    7.8.3.2 Vordefinierte SIDs

    Es gibt auch vom Betriebssystem vordefinierte (auch integriert genannte) SIDs fr bestimmte Zwecke. SIDs sind wie Namen einer Objektinstanz lediglich Attribute der jeweiligen Objektklasse. Da sich der Name eines Computers, Benutzer oder Benutzerin ndern kann, erfolgt die Identifizie-rung der Objekte fr Sicherheitszwecke intern zweckmigerweise ber die SID-Nummern.10 Gleiches gilt fr die vordefinierten Gruppen- und Systemkonten. Die Gruppe Administratoren heit auf englischsprachigen Systemen Administrators, die Gruppe Jeder wird Everyone genannt etc. In anderen Sprachen wiederum anders.

    Nachfolgend ist eine Liste aller vordefinierten SIDs in Windows Vista aufgefhrt:11

    SID: S-1-0-0

    Name: Leere SID (Null SID) Beschreibung: Niemand (wird z. B. als Platzhalter benutzt, wenn die richtige SID nicht bekannt ist)

    SID: S-1-1-0 Name: Jeder (Everyone) Beschreibung: Diese Pseudo-Gruppe enthlt alle Benutzer einschlie-lich des Gast-Kontos und der Anonymous-Anmeldungs-Gruppe. Seit Windows XP sind die anonymen Anmeldungen nicht mehr Bestandteil der Jeder-Gruppe, sondern Jeder entspricht der Authentifizierte-

    10 In Active-Directory-basierten Domnen erfolgt die Identifikation der Objekte

    jedoch anhand von GUIDs (Globally Unique Identifier), da es hier Objekte gibt, die keine SIDs haben, weil sie nicht fr Sicherheitszwecke verwendet werden knnen (wie Kontakte und E-Mail-Verteilergruppen). In ACLs werden aber auch dort SIDs verwendet.

    11 Sie ist in dieser Form hchstwahrscheinlich einmalig und die ausfhrlichste, au-erhalb von Microsoft verfgbare Liste, denn selbst in vielen Technet-, MSDN- und Knowledgebase-Artikeln sind nicht alle existierenden SIDs aufgefhrt.

  • 308 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    Benutzer-Gruppe (dieses Verhalten ist aber durch den Registrierungs-Schlssel EveryoneIncludesAnonymous whlbar). Diese SID wird bei der jeweiligen Anmeldung in alle Zugriffstoken der Benutzer(innen) zustzlich aufgenommen, auf welche die vorgenannte Eigenschaft zutrifft.

    SID: S-1-2-0 Name: LOKAL Beschreibung: Benutzer, die sich lokal an einem Computer angemeldet haben, bekommen diese SID zustzlich in ihr bzw. ihre Zugriffs-Token aufgenommen.

    SID: S-1-3-0 Name: Ersteller-Besitzer Beschreibung: Platzhalter fr ein vererbbares ACE. Beim Vererben des ACEs wird diese SID mit der SID des Objekterstellers ersetzt.

    SID: S-1-3-1 Name: ERSTELLERGRUPPE Beschreibung: Dieses SID ist ein Platzhalter fr ein vererbbares ACE. Wenn das ACE vererbt wird, ersetzt das Betriebssystem diese SID mit der SID der primren Gruppe des Objekterstellers. Die primre Gruppe wird nur vom UNIX-Subsystem und Apple-Macintosh-Clients benutzt.

    SID: S-1-3-2 Name: Ersteller-Besitzer-Server Beschreibung: Unbenutzt.

    SID: S-1-3-3 Name: Ersteller-Primre-Gruppe-Server Beschreibung: Unbenutzt.

    SID: S-1-3-4 Name: EIGENTMERRECHTE Beschreibung: Legt die Rechte eines Erstellers/Besitzers eines Objektes auf dieses fest. Bei Verwendung dieser SID hat der Ersteller/Besitzer eines Objektes nicht mehr automatisch READ_CONTROL- und WRITE_DAC-Rechte, sondern die mit ihr explizit festgelegten Rechte. Ist bei einem Objekt kein ACE mit dieser SID angegeben, greift der oben genannte Mecha-nismus frherer Windows-Versionen.

  • 7.8 Sicherheitsbeschreibung 309

    SID: S-1-5-1 Name: NT-AUTORITT\DIALUP Beschreibung: Diese SID bekommen alle Benutzer, die sich per Ein-wahlverbindung mit dem System verbunden haben.

    SID: S-1-5-2 Name: NT-AUTORITT\NETZWERK Beschreibung: SID fr alle Benutzer(innen) enthlt, die ber das Netz-werk auf das System zugreifen.

    SID: S-1-5-3 Name: NT-AUTORITT\BATCH Beschreibung: SID fr alle Anmeldungen als Stapelverarbeitungspro-gramm-Anmeldungen.

    SID: S-1-5-4 Name: NT-AUTORITT\INTERAKTIV Beschreibung: Benutzer, die interaktiv (Konsolen-, Terminaldienste- und IIS-Sitzungen) an einem System arbeiten, bekommen diese SID zu-stzlich.

    SID: S-1-5-5-X-Y Name: SID einer Anmeldesitzung (Logon-ID) selbst. Die Werte fr X und Y sind je Sitzung unterschiedlich. Ein Beispiel fr eine Logon-ID ist: S-1-5-5-0-546081. Die jeweilige Logon-ID einer Sitzung kann bsp. mit dem Befehl whoami /logonid abgefragt werden.

    SID: S-1-5-6 Name: NT-AUTORITT\DIENST Beschreibung: Eine Pseudo-Gruppe, mit allen Sicherheitsprinzipalen, die sich als Dienst angemeldet haben.

    SID: S-1-5-7 Name: NT-AUTORITT\ANONYMOUS-ANMELDUNG Beschreibung: Alle Anmeldungen, die ohne Vorlage von Anmeldein-formationen (user credentials) erfolgt sind (auch Null session genannt), erhalten diese SID .

    SID: S-1-5-8 Name: NT-AUTORITT\Proxy

  • 310 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    Beschreibung: (Unbenutzt)

    SID: S-1-5-9 Name: NT-AUTORITT\Organisations-Domnen-Controller Beschreibung: Eine Gruppe, die alle Domnen-Controller in einer Ge-samtstruktur enthlt.

    SID: S-1-5-10 Name: NT-AUTORITT\Selbst Beschreibung: Platzhalter fr die SID des Objektes. Whrend einer Si-cherheitsprfung, ersetzt das System diese SID mit der SID des Objekts.

    SID: S-1-5-11 Name: NT-AUTORITT\Authentifizierte Benutzer Beschreibung: Diese SID enthalten alle Benutzer- und Computerkon-tenanmeldungen, die unter Vorlage von gltigen Anmeldeinformationen vorgenommen wurden. Das ist die Jeder-Gruppe ohne die Anonymous-Anmeldungen und das Gast-Konto.

    SID: S-1-5-12 Name: NT-AUTORITT\EINGESCHRNKTER CODE Beschreibung: (Ungenutzt)

    SID: S-1-5-13 Name: NT-AUTORITT\TERMINALSERVERBENUTZER Beschreibung: SID, fr alle Benutzer, die sich an einem Terminalserver angemeldet haben.

    SID: S-1-5-14 Name: NT-AUTORITT\INTERAKTIVE REMOTEANMELDUNG Diese SID bekommen Benutzer zustzlich zugewiesen, wenn sie sich ber die Terminalserverdienste oder Remote-Desktop angemeldet ha-ben. Sie ist gewissermaen eine Untermenge von Interaktiv, weil jeder Remote-Interaktive-Benutzer auch die Interaktiv-SID erhlt.

    SID: S-1-5-15 Name: NT-AUTORITT\Diese Organisation

  • 7.8 Sicherheitsbeschreibung 311

    Beschreibung: Diese SID zeigt an, dass ein Benutzer sich ber eine Ac-tive-Directory-Gesamtstrukturvertrauensstellung mit der selektiven Au-thentifizierungsoption angemeldet hat und dessen Konto sich in dieser Gesamtstruktur befindet. Wenn diese SID vorhanden ist, dann kann die Andere Organisation-SID (S-1-5-1000) nicht ebenfalls vorhanden sein.

    SID: S-1-5-18 Name: NT-AUTORITT\SYSTEM Beschreibung: SID des Lokales System-Kontos. Dieses Konto wird vom Betriebssystem genutzt, um Dienste zu starten, die dann im Sicher-heitskontext des Betriebssystems ausgefhrt werden.

    SID: S-1-5-19 NT-AUTORITT\LOKALER DIENST Beschreibung: SID des Lokaler Dienst-Kontos. Dieses Konto hat nur geringe Berechtigungen und wird vom Betriebssystem genutzt, um Dienste zu starten, die nur Zugriff auf dasselbe System bentigen und nicht ber das Netzwerk auf andere Ressourcen zugreifen mssen.

    SID: S-1-5-20 NT-AUTORITT\NETZWERKDIENST Beschreibung: SID des Netzwerkdienst-Kontos. Dieses Konto hat nur geringe Berechtigungen und wird vom Betriebssystem genutzt, um Dienste zu starten, die Zugriff auf Ressourcen auf anderen Computern bentigen.

    SID: S-1-5-21--498 Name: \Domnencontroller der Organisation ohne Schreib-zugriff Diese Gruppe enthlt alle Active-Directory-RODC (Read Only Domain Controller) der Domne.

    SID: S-1-5-21--500 Name: \Administrator Beschreibung: SID des Administratorkontos, das in der Voreinstellung als einziges Benutzerkonto (aufgrund der Mitgliedschaft in der Admi-nistratorengruppe) volle Systemrechte besitzt. Dieses Konto kann (und sollte!) zwar umbenannt und deaktiviert werden, es kann jedoch nicht gelscht werden.

  • 312 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    SID: S-1-5-21--501 Name: \Gast Beschreibung: Konto fr Benutzer, die keine eigenen Konten haben. Dieses Konto bentigt kein Kennwort. In der Voreinstellung ist dieses Konto deaktiviert und sollte es aus Sicherheitsgrnden auch bleiben. Dieses Konto kann nicht gelscht werden, jedoch umbenannt werden.

    SID: S-1-5-21--502 Name: \KRBTGT Beschreibung: Dienstkonto fr den Kerberos KDC-Dienst (Key Distri-bution Center bzw. Schlsselverteilungsdienst). Existiert nur auf Dom-nen-Controllern.

    SID: S-1-5-21--512 Name: \Domnen-Admins Beschreibung: Globale Gruppe, die sich defaultmig in allen (dom-nen-)lokalen Administrationsgruppen von Domnencontrollern und Do-mnenmitgliedscomputern befindet und dadurch den Mitgliedern dieser Gruppe administrative Rechte und Berechtigungen der gesamten Dom-ne verleiht. Diese Gruppe wird standardmig der Besitzer neuer Objek-te, die von einem beliebigen Mitglied der Domnen-Admins-Gruppe er-stellt werden.

    SID: S-1-5-21--513 Name: \Domnen-Benutzer Beschreibung: Globale Gruppe, die alle Benutzerkonten (auch die der Administratoren) einer Domne enthlt. Beim Neuanlegen eines Benut-zerkontos wird es gleichzeitig auch Mitglied dieser Gruppe und erhlt sie als primre Gruppe zugewiesen.

    SID: S-1-5-21--514 Name: \Domnen-Gste Beschreibung: Globale Gruppe, die in der Voreinstellung als einziges Mitglied das Gast-Konto enthlt.

    SID: S-1-5-21--515 Name: \Domnencomputer Beschreibung: In dieser globalen Gruppe befinden sich alle Client-Computer und Mitglieds-Server der Domne.

    SID: S-1-5-21--516

  • 7.8 Sicherheitsbeschreibung 313

    Name: \Domnencontroller Beschreibung: Globale Gruppe, die alle Domnen-Controller der Do-mne enthlt.

    SID: S-1-5-21--517 Name: \Zertifikatsherausgeber Beschreibung: Die Mitgliedschaft in dieser globalen Gruppe verleiht das Recht, Zertifikate fr Benutzerkonten herauszugeben und in Active Di-rectory zu verffentlichen. In der Voreinstellung sind in ihr nur die Kon-ten von Computern, auf denen Unternehmenszertifikatsdienste installiert sind, enthalten.

    SID: S-1-5-21--518 Name: \Schema-Admins Beschreibung: Mitglieder dieser Gruppe drfen das Schema von Active Directory ndern. Diese Gruppe befindet sich nur in der Stammdomne einer Gesamtstruktur und ist, wenn sich diese Domne im Active Direc-tory einheitlichen Modus befindet, eine universelle Gruppe, andernfalls eine globale Gruppe. Nach Installation des ersten Domnen-Controllers in der ersten Domne der Gesamtstruktur ist nur der Administrator der Stammdomne Mitglied.

    SID: S-1-5-21--519 Name: \Organisations-Admins Beschreibung: Mitglieder dieser Gruppe drfen gesamtstrukturweite, domnenbergreifende nderungen durchfhren. Alles, was potentiell mehrere Domnen betrifft (wie z. B. DHCP-Server autorisieren, oder Standorte und untergeordnete Domnen einrichten, Gruppenrichtlinien-objekte mit Standorten verknpfen) darf in der Regel nur von Organisa-tions-Admins durchgefhrt werden. Diese Gruppe befindet sich nur in der Stammdomne einer Gesamtstruktur und ist, wenn sich diese Do-mne im Active Directory einheitlichen Modus befindet, eine univer-selle Gruppe, andernfalls eine globale Gruppe. Nach Installation des ers-ten Domnen-Controllers in der ersten Domne der Gesamtstruktur ist nur der Administrator der Stammdomne Mitglied.

    SID: S-1-5-21--520 Name: \Richtlinien-Ersteller-Besitzer Beschreibung: Globale Gruppe, deren Mitglieder Gruppenrichtlinien-objekte (Group Policy Objects, GPO) in Active Directory erstellen dr-

  • 314 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    fen. Die Mitgliedschaft verleiht aber nicht das Recht, GPOs (durch Er-stellung von GPO-Verknpfungen) zu aktivieren. In der Voreinstellung ist nur der Administrator Mitglied dieser Gruppe.

    SID: S-1-5-21--521 Name: \Domnencontroller ohne Schreibzugriff Beschreibung: Globale Gruppe, die alle Nur-Lesen-Domnencontroller (Read-only Domain Controller, RODC) der Domne enthlt.

    SID: S-1-5-21--553 Name: \RAS- und IAS-Server Beschreibung: Mitglieder (Server) in dieser domnenlokalen Gruppe haben das Recht, Anmelde- und Anmeldebeschrnkungsinformationen von Benutzerkonten zu lesen. Standardmig ist diese Gruppe leer.

    SID: S-1-5-21--571 Name: \Gruppe mit Domnen-RODC-Replikationserlaubnis Beschreibung: Die Mitglieder dieser Gruppe knnen Kennwrter auf al-le Nur-Lesen-Domnencontroller (RODC) replizieren.

    SID: S-1-5-21--572 Name: \Gruppe ohne Domnen-RODC-Replikationserlaub-nis Beschreibung: Die Mitglieder dieser Gruppe knnen Kennwrter nicht auf Nur-Lesen-Domnencontroller replizieren, sondern nur auf regulre Domnencontroller.

    SID: S-1-5-32-544 Name: VORDEFINIERT\Administratoren Beschreibung: Eine vordefinierte, ins System eingebettete lokale Grup-pe, die ihren Mitgliedern uneingeschrnkte Verwaltungsrechte eines Computers bzw. einer Domne verleiht. Nach der Betriebssysteminstal-lation ist nur der Administrator Mitglied. Wird ein Computer einer Do-mne hinzugefgt, wird dabei in diese Gruppe die Domnen-Admins-Gruppe eingetragen. Wenn ein Server zu einem Domnencontroller her-aufgestuft wird, wird die domnenlokale Administratoren-Gruppe ber-nommen; falls es eine solche noch nicht gibt, wird diese lokale Gruppe in eine domnenlokale Gruppe umgewandelt und die Gruppe Organisa-tions-Admins hinzugefgt.

    SID: S-1-5-32-545

  • 7.8 Sicherheitsbeschreibung 315

    Name: VORDEFINIERT\Benutzer Beschreibung: Lokale Gruppe, die Benutzer dieses Computers kenn-zeichnet. Die Mitgliedschaft verleiht folgende drei Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen; Lokales Anmelden zu-lassen; Auslassen der durchsuchenden berprfung. Nach der Installa-tion des Betriebssystems ist hier nur die Gruppe Authentifizierte Benut-zer Mitglied. Wird ein Computer einer Domne hinzugefgt, wird da-durch die Gruppe Domnen-Benutzer aufgenommen. Wenn ein Server zu einem Domnencontroller heraufgestuft wird, wird die domnen-lokale Benutzer-Gruppe bernommen; falls es eine solche noch nicht gibt, wird diese lokale Gruppe in eine domnenlokale Gruppe umge-wandelt.

    SID: S-1-5-32-546 Name: VORDEFINIERT\Gste Beschreibung: Vordefinierte, lokale Gruppe, die standardmig nur das Gast-Konto enthlt.

    SID: S-1-5-32-547 Name: VORDEFINIERT\Hauptbenutzer Beschreibung: Mitglieder der Gruppe Hauptbenutzer drfen lokale Be-nutzer und Gruppen erstellen, die von ihnen erstellten Konten und die Gruppen Hauptbenutzer, Benutzer und Gste verwalten. Auerdem dr-fen Hauptbenutzer Programme installieren, Drucker und Verzeichnis-freigaben verwalten. Die Gruppe Hauptbenutzer gibt es nur auf Win-dows-Clients, Mitglieds- und eigenstndigen Servern. In der Voreinstel-lung ist diese Gruppe leer. Die Mitgliedschaft verleiht auerdem die Benutzerrechte Auf diesen Computer vom Netzwerk aus zugreifen, Lokal anmelden zulassen, Auslassen der durchsuchenden berprfung, n-dern der Systemzeit, Erstellen eines Profils fr einen Einzelprozess, Ent-fernen des Computers von der Dockingstation und Herunterfahren des Systems. Grundstzlich hat ein findiger Hauptbenutzer die Mglichkeit, sich den-noch zu einem lokalen Administrator zu machen. In Windows Vista wird diese Gruppe nicht mehr bentigt und existiert nur noch aus Grnden der Kompatibilitt zu lteren Windows-Ver-sionen.

    SID: S-1-5-32-548 Name: VORDEFINIERT\Konten-Operatoren

  • 316 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    Beschreibung: Kontenoperatoren haben die Berechtigung, Benutzer-, Computer- und Gruppenkonten in allen OUs einer Domne zu verwal-ten, auer dem Builtin-Container und die Domnen-Controller-OU. Sie haben daher keine Berechtigung, die Administratoren- und Domnen-Admins-Gruppe sowie deren Mitglieder zu verwalten. Diese Gruppe gibt es nur in Domnen und standardmig hat sie keine Mitglieder.

    SID: S-1-5-32-549 Name: VORDEFINIERT\Server-Operatoren Beschreibung: Server-Operatoren knnen sich an Servern lokal anmel-den, Server herunterfahren, Dienste starten und stoppen, Festplatten formatieren, Verzeichnisfreigaben verwalten und Dateien sichern und wieder herstellen. Diese Gruppe existiert nur in Domnen und hat stan-dardmig keine Mitglieder.

    SID: S-1-5-32-550 Name: VORDEFINIERT\Druck-Operatoren Beschreibung: Mitglieder dieser Gruppe drfen Drucker und Drucker-warteschlangen verwalten.

    SID: S-1-5-32-551 Name: VORDEFINIERT\Sicherungs-Operatoren Beschreibung: Mitglieder dieser (domnen-)lokalen Gruppe drfen un-abhngig von den jeweiligen Berechtigungen Dateien sichern und wie-der herstellen, sowie sich interaktiv am Computer anmelden und ihn auch herunterfahren. Standardmig hat diese Gruppe keine Mitglieder.

    SID: S-1-5-32-552 Name: VORDEFINIERT\Replikations-Operator Beschreibung: Vordefinierte (domnen-)lokale Gruppe, die vom Win-dows-NT-3.x/4-Dateireplikationsdienst in Domnenumgebungen ge-nutzt wird. Fgen Sie dieser Gruppe keine Benutzerkonten hinzu!

    SID: S-1-5-32-554 Name: VORDEFINIERT\Pr-Windows 2000 kompatibler Zugriff Beschreibung: Mitglieder dieser Gruppe drfen ohne Vorlage von An-meldeinformationen (also anonym) Active-Directory-Informationen le-sen. Dies wird eigentlich nur fr Windows-NT-4.0-RAS-Server, die Mitglied einer jngeren Windows-Server-Domne sind, bentigt. In al-

  • 7.8 Sicherheitsbeschreibung 317

    len anderen Fllen sollte diese Gruppe aus Sicherheitsgrnden leer sein! Diese Gruppe existiert nur in Domnen.

    SID: S-1-5-32-555 Name: VORDEFINIERT\Remotedesktopbenutzer Beschreibung: Mitglieder dieser Gruppe haben das Recht, sich per Re-motedesktop anzumelden und haben auerdem das Benutzerrecht An-meldung ber Terminaldienste zulassen.

    SID: S-1-5-32-556 Name: VORDEFINIERT\Netzwerkkonfigurations-Operatoren Beschreibung: Mitglieder dieser Gruppe drfen Netzwerkeinstellungen verwalten (dazu zhlt auch das Erneuern und Freigeben von TCP/IP-Adressen).

    SID: S-1-5-32-557 Name: VORDEFINIERT\Erstellung eingehender Gesamtstrukturver-trauensstellung Beschreibung: Mitglieder dieser Gruppe knnen in der Gesamtstruktur unidirektionale, eingehende Vertrauensstellungen erstellen. Diese Grup-pe existiert nur in Domnen.

    SID: S-1-5-32-558 Name: VORDEFINIERT\Systemmonitorbenutzer Beschreibung: Die Mitgliedschaft in dieser Gruppe verleiht das Recht, Leistungszhler eines Computer lokal und ber das Netzwerk mit dem Systemmonitor zu berwachen.

    SID: S-1-5-32-559 Name: VORDEFINIERT\Leistungsprotokollbenutzer Beschreibung: Mitglieder dieser Gruppe knnen lokal und ber das Netzwerk Leistungszhler, -protokolle und Warnungen des Computers verwalten.

    SID: S-1-5-32-560 Name: VORDEFINIERT\Windows-Autorisierungszugriffsgruppe Beschreibung: Die Mitgliedschaft in dieser Gruppe verleiht die Berech-tigung, auf die errechneten tokenGroupsGlobalAndUniversal-Attribute (TGGAU) von Benutzerkontenobjekten zuzugreifen. In der Voreinstellung ist das die Gruppe Domnencontroller der Organi-sation.

  • 318 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    SID: S-1-5-32-561

    Name: VORDEFINIERT\Terminalserver-Lizenzserver Beschreibung: Gruppe, die alle Terminalserver-Lizenzserver enthlt.

    SID: S-1-5-32-562 Name: VORDEFINIERT\Distributed COM-Benutzer Beschreibung: Mitglieder dieser Gruppe drfen DCOM-Objekte auf die-sem Rechner starten und verwenden.

    SID: S-1-5-32-568 Name: VORDEFINIERT\IIS_IUSRS Beschreibung: Gruppe, die alle nicht-authentifizierten (anonyme) Inter-netinformationsdienste (IIS)-Benutzer enthlt.

    SID: S-1-5-32-569 Name: VORDEFINIERT\Kryptografie-Operatoren Beschreibung: Mitglieder drfen Zertifikatseinstellungen verwalten.

    SID: S-1-5-32-573 Name: VORDEFINIERT\Ereignisprotokollleser Beschreibung: Die Mitglieder dieser Gruppe drfen das lokale Ereignis-protokoll auslesen.

    SID: S-1-5-32-574 Name: VORDEFINIERT\Zertifikatsdienste DCOM-Zugriff Beschreibung: Die Mitglieder dieser Gruppe drfen auf die Zertifizie-rungsstellen des Unternehmens zugreifen.

    SID: S-1-5-33 Name: Write Restricted Beschreibung: Fr Dienste mit nderungsbeschrnkungen.

    SID: S-1-5-64-10 Name: NT-AUTORITT\NTLM-Authentifizierung Beschreibung: Mitglieder dieser Gruppe wurden per NTLM angemeldet.

    SID: S-1-5-64-14 Name: NT-AUTORITT\SChannel-Authentifizierung

  • 7.8 Sicherheitsbeschreibung 319

    Beschreibung: Mitglieder dieser Gruppe wurden durch den Aufbau eines sicheren Kanals (SSL/TLS) authentifiziert.

    SID: S-1-5-64-21 Name: NT-AUTORITT\Digest-Authentifizierung Beschreibung: Mitglieder dieser Gruppe wurden mit der Microsoft Di-gest Authentication angemeldet.

    SID: S-1-5-80-12 Name: SIDs fr Dienste Beschreibung: Damit knnen einzelnen Diensten explizit Zugriffsbe-rechtigungen und -rechte gewhrt oder entzogen werden.

    SID: S-1-5-1000 Name: NT-AUTORITT\Andere Organisation Beschreibung: Kennzeichnung, dass sich ein Benutzer aus einer anderen Gesamtstruktur (bei Vorliegen einer Gesamtstrukturvertrauensstellung mit aktivierter selektiver Authentifizierungsoption) angemeldet hat. Wenn diese SID vorhanden ist, kann die Diese Organisation-SID (S-1-5-15) nicht gleichzeitig aufgefhrt sein.

    SID: S-1-16-0 (0x0000) Name: Verbindliche Beschriftung\Nicht vertrauenswrdig Beschreibung: MAC-Label (als SID) fr anonyme Anmeldungen.

    SID: S-1-16-4096 (0x1000) Name: Verbindliche Beschriftung\Niedrige Verbindlichkeitsstufe Beschreibung: SID fr Prozesse mit niedrigen Berechtigungen (bsp. In-ternet Explorer 7.0 im geschtzten Modus). Sie wird gelegentlich auch als Verbindliche Beschriftung\Jeder bezeichnet.

    SID: S-1-16-8192 (0x2000) Name: Verbindliche Beschriftung\Mittlere Verbindlichkeitsstufe Beschreibung: SID fr normale, Benutzer-Prozesse. Falls berhaupt kein verbindliches Label angegeben wurde, werden Pro-zesse in der mittleren Verbindlichkeitsstufe ausgefhrt.

    12 Die 32-Bit-Werte werden nicht etwa zufllig gebildet, oder durch den Program-

    mierer festgelegt, sondern sind der SHA1-Hash-Wert des logischen Dienst-Na-mens.

  • 320 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    SID: S-1-16-12288 (0x3000) Name: Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Beschreibung: Dieses Label bzw. SID bekommen administrative Diens-te wie bsp. der Lokale Dienst, Netzwerkdienst sowie Administratoren zugewiesen und z. B. administrative Prozesse wie Administrator-Einga-beaufforderungen zugewiesen.

    SID: S-1-16-16384 (0x4000) Name: Verbindliche Beschriftung\System Beschreibung: SID fr Prozesse, die im Sicherheitskontext des lokalen System-Kontos gestartet wurden. Darber hinaus gibt es weitere Gruppen (siehe Tabelle 7.3), die vom

    System bei Bedarf (wenn die entspr. Funktionen bzw. Server-Rollen einge-schaltet sind) eingerichtet werden. Ihre SIDs sind nicht vordefiniert, son-dern werden bei Domnen in der Form S-1-5-21--xxxx und bei Arbeitsstationen bzw. Servern mit eigener SAM in der Form S-1-5-32-xxxx gebildet.

    Tabelle 7.3. Weitere Sicherheitsgruppen

    Name Beschreibung

    CERTSVC_DCOM_ACCESS Gruppe, die das Recht verleiht, ber DCOM (Dis-tributed COM) auf alle Zertifikatsserver zuzugrei-fen.

    DHCP-Administratoren Mitglieder drfen den DHCP-Dienst verwalten.

    DHCP-Benutzer Mitglieder haben Lese-Zugriff in der DHCP-Ver-waltungskonsole.

    Dns-Administratoren Die Mitgliedschaft in dieser Gruppe verleiht das Recht, DNS-Server zu verwalten.

    DnsUpdateProxy Gruppe, die alle DNS-Update-Proxies enthlt. Das sind Computer, die stellvertretend fr andere Clients deren dynamische DNS-Eintrge aktuali-sieren drfen (z. B. DHCP-Server).

    \DomnencontrollerGlobale Gruppe, die alle Domnen-Controller ei-ner Domne enthlt.

    Fax-Benutzer Mitglieder drfen den Fax-Server benutzen

    SQLServer2005MSSQLUser$ Dienstkonto fr die Interne Windows-Datenbank.

  • 7.8 Sicherheitsbeschreibung 321

    $MICRO-SOFT##SSEE

    Diese ist durch SQL-Server-2005 Embedded reali-siert und wird von Windows-Rollen und Funktio-nen wie Windows SharePoint Services, AD-Rech-teverwaltung, Windows Server Update Services und Windows-Systemressourcen-Manager verwen-det.

    SQLServer2005MSFTEUser$ $MICRO-SOFT##SSEE

    Zweites Dienstkonto fr die Interne Windows-Da-tenbank.

    Telnet-Clients Mitglieder dieser Gruppe drfen den Telnet-Server benutzen.

    TSWebAccessAdministratoren Drfen die Standard Terminal Services Web Ac-cess-Site verwalten.

    TSWebAccessComputer Drfen verfgbare Applikationen der Terminal Services auflisten.

    WINS-Benutzer Mitglieder haben Lese-Zugriff auf die WINS-Ver-waltungskonsole.

    WSS_ADMIN_WPG Ermglicht den Schreibzugriff auf Windows Sha-rePoint-Services-Ressourcen.

    WSS_RESTRICTED_WPG Erlaubt die Windows-SharePoint-Services-Farm-Administration und ist erforderlich fr die Ausfh-rung des WSS-Verwaltungsdienstes

    WSS_WPG Gewhrt lesenden Zugriff auf WSS-Ressourcen. Am Rande bemerkt: Man knnte berechtigterweise die Frage stellen, warum in

    Netzwerken mit Active-Directory-Verzeichnisdiensten die Identifizierung nicht ber die ohnehin vorhandene GUID (Globally Unique Identifier) eines Sicher-heitssubjektes vorgenommen wird. Es gibt mehrere Grnde, wieso Microsoft sich wieterhin fr die SID-Methode entschieden hat: Jede Objektinstanz in Active Di-rectory hat eine GUID zur Identifizierung dieser konkreten Objektinstanz selbst, andererseits hat aber nicht jedes Objekt eine SID. Objektinstanzen bsp. der Klasse Kontakte, die nicht fr Berechtigungszwecke verwendet werden knnen (ebenso E-Mail-Verteilergruppen) verfgen ber kein Attribut sID. Ein weiterer Grund liegt in der Kompatibilitt mit lteren Windows-NT-Systemen, die mit AD-GUIDs nichts anfangen knnen. Dieses gilt ebenso fr alleinstehende Server, die keine Domnencontroller sind, und Workstations.

  • 322 7. Benutzerkonten und lokale Gruppen einrichten und verwalten

    7.9 Benutzerkontensteuerung

    Die BKS (engl.: User Account Control/UAC) blendet bei Vorgngen, die Administratoren vorbehalten sind, ein Fenster ein, in dem die durchzufh-rende Aktion nochmals besttigt werden muss. Sie hilft damit auch gegen menschliche Fehler wie unbeabsichtigtes Lschen von Objekten etc.

    Direkt nach einer Vista-Installation ist in der Voreinstellung die BKS aktiviert: Programme, welche die hohe Verbindlichkeitsstufe bentigen, zeigen ein Besttigungsfenster und fragen nach Zustimmung.

    Dieses Standardverhalten kann bei Bedarf gendert, aber wieder zu-rckgesetzt werden: Zur genauen Festlegung werden Richtlinien verwen-det. Bei einzelnen Computern sind es lokale Richtlinien, bei Computern in Domnen sind es Gruppenrichtlinien. Letztere haben zwar erheblich mehr Einstelloptionen, aber grundstzlich unterscheiden sie sich in diesem Be-reich nicht. Exemplarisch sind in Abb. 7.12 die lokalen Optionen der Si-cherheitsrichtlinie zur BKS abgebildet.

    Die ersten Optionen im Abschnitt Sicherheitsoptionen steuern die BKS.

    Abb. 7.12. Lokale Sicherheitsrichtlinie

  • 7.9 Benutzerkontensteuerung 323

    Es gibt hierbei die Option der automatischen Ablehnung fr Standard-benutzer. Sie zu setzen ist sinnvoll in Unternehmensumgebungen.

  • 8. Drucker einrichten und verwalten

    In diesem Kapitel beschftigen wir uns mit der Einrichtung und Verwal-tung von Druckern, Druckservern sowie ihren Sicherheitseinstellungen.

    Dabei knnen die Drucker sich lokal oder entfernt (an einem anderen Gert im Netzwerk, remote) befinden.

    8.1 Terminologie

    Microsoft hat im Zusammenhang mit Druckern eine etwas eigenwillige Terminologie eingefhrt, benutzt sie jedoch auch konsequent. Was wir normalerweise als Drucker bezeichnen, heit bei Microsoft Druckgert. Das geht ja noch, aber es stellt sich die Frage, was dann bei Microsoft ein Drucker sein soll: Hiermit wird eine eingerichtete Druckerwarteschlange bezeichnet. Auch muss ein lokales Druckgert nicht unmittelbar direkt an einem Computer angeschlossen sein, sondern es kann auch ber ein Ether-net-Netzwerk verbunden sein. Ein solches Gert wrde man jedoch norma-lerweise als Netzwerkdrucker bezeichnen... Aber Sie ahnen bestimmt schon, da mit Drucker in der Microsoft-Terminologie ja die Warteschlange bezeichnet wird, ist mit Netzwerkdrucker also eine freigegebene Drucker-warteschlange auf einem anderem Computer im Netzwerk gemeint.

    Fassen wir das oben geschriebene noch mal in ein einer Tabelle zusam-men:

    Tabelle 8.1. Microsoft Druckterminologie

    Microsoft-Begriff Bedeutung

    Druckgert Das einzelne, physische Druckgert wie Laserdrucker, Tinten-strahldrucker etc.

    Drucker Eine fertig eingerichtete Druckerwarteschlange, ggf. mit Trei-bern fr andere Windowsversionen. Ein Drucker kann mehrere Druckgerte steuern (zum Drucker-pool siehe unten) und er kann fr die Verwendung von anderen Netzwerkbenutzern freigegeben sein.

  • 326 8. Drucker einrichten und verwalten

    Lokaler Drucker Eine Druckerwarteschlange, die auf dem lokalen Computer eingerichtet ist. Druckgerte knnen per USB, serieller oder paralleler Schnitt-stelle angeschlossen sein oder einen integrierten Druckserver haben und sich im Netzwerk befinden.

    Netzwerkdrucker Eine freigegebene Druckerwarteschlange, die sich auf einem beliebigen Windows-Computer befinden kann oder das IPP (Internet Printing Protocol) benutzt.

    Im folgenden wird gleichfalls durchgngig die Microsoft-Terminologie

    verwendet um das Drucken mit Windows Vista zu erlutern. Eine Kenntnis dieser Begriffe erleichtert das Verstndnis von unter anderem Microsoft-Knowledge-Base-Artikel und -Whitepaper.

    Als Beispiel wird die Installation eines HP-Farblaserdruckers verwen-det.

    Der Standardpfad des Drucksubsystems von Windows Vista ist C:\Windows\System32\Spool. Das kann aber in den (Druck-)Servereigen-schaften (siehe Abschnitt 8.4) gendert werden, um zu verhindern, dass der Festplattenplatz der Betriebssystempartition durch Druckauftrge belegt wird. Dieser Pfad ist auch unter dem Namen Print$ freigegeben. Diese Freigabe wird insbesondere fr das bertragen der Druckertreiber (siehe unten) verwendet.

    8.2 Einrichtung von lokalen und Netzwerk-Druckern

    Zum Hinzufgen eines Druckers zu einem Windows-System wird in der Systemsteuerung - Drucker - Drucker hinzufgen aufgerufen.

    ber dieses Programm knnen mit den Auswahlpunkten

    Lokale Druckgerte (USB-Druckgerte werden automatisch erkannt) Netzwerk-, Drahtlos- oder Bluetooth-Druckgerte hinzufgen

    einem System hinzugefgt werden, wie in Abb. 8.1 dargestellt ist.

  • 8.2 Einrichtung von lokalen und Netzwerk-Druckern 327

    Abb. 8.1. Drucker hinzufgen

    Wie in diesem Fenster schon hingewiesen wird, werden Plug&Play-

    Druckgerte (wie USB-Gerte) beim Anschlieen erkannt und anschlie-end wird dieses (und die folgenden) Fenster automatisch aufgerufen.

    Bei Netzwerk-, Drahtlos- oder Bluetoothdruckern wird ber eine Netz-werkschnittstelle (in der Regel Ethernet) auf das Druckgert zugegriffen.

    Nach Auswahl des passenden Menpunkts wird in dem nchsten Fenster nach dem Anschluss, ber den das einzurichtende Druckgert mit dem Computer verbunden ist, gefragt (siehe Abb. 8.2)

  • 328 8. Drucker einrichten und verwalten

    Abb. 8.2. Auswahl des Anschlusses eines lokal angeschlossenen Druckers

    Bei einem lokalen Anschluss wird nachfolgend der Hersteller und der

    Typ des Druckgerts aus der Liste ausgewhlt oder ber einen Datentrger, der ggf. eine neuere Version enthalten kann, installiert. ber Windows Up-date kann eine aktualisierte Treiberliste aus dem Internet abgerufen werden (siehe Abb. 8.5).

    Wenn ein Netzwerkdrucker hinzugefgt werden soll, fragt Vista nun nach einem Freigabenamen. In einem Active-Directory kann auch das Ver-zeichnis nach freigegebenen Druckern durchsucht werden.

    Muss bei der Einrichtung eines lokalen Druckers erst ein neuer An-schluss erstellt werden, das knnen bsp. COM5, COM6, etc., LPT4, LPT5 usw. sein (noch hufiger verwendet wird ein TCP/IP-Port), wird die ent-sprechende Option ausgewhlt und anschlieend die IP-Adresse, ein Host-name oder FQDN sowie ggf. die Portnummer eingegeben. Das Fenster sieht dabei so aus wie in Abb. 8.3 gezeigt.

  • 8.2 Einrichtung von lokalen und Netzwerk-Druckern 329

    Abb. 8.3. Erstellen eines neuen Anschlusses

    Vista versucht dann, eine Verbindung mit dem Host aufzubauen, und die

    Verbindungseigenschaften zu ermitteln (siehe Abb. 8.4). Bei dem Auswahlpunkt Webdienstegert entfllt die dritte Zeile (An-

    schlussname). Webdienstgerte sind Drucker, die ber das auf HTTP oder HTTPS (und ihren Ports 80 bzw. 443) basierende IPP (Internet Printing Protocol), das nicht nur von Windows-Systemen, sondern (etwas berra-schend) hufig von Unix-Systemen benutzt wird und sogar vereinzelt von Druckgerten mit eingebautem Druckserver selbst angeboten wird.

    Mit Klick auf Weiter wird der Einrichtungsvorgang fortgesetzt.

  • 330 8. Drucker einrichten und verwalten

    Abb. 8.4. Eingabe des Druckerhostnamens bzw. der Drucker-IP-Adresse

    Als nchstes wird ein Druckertreiber ausgewhlt (siehe Abb. 8.5). Win-

    dows Vista hat Treiber fr nahezu alle existierenden Druckgerte integriert. Bei Bedarf knnen (ggf. aktualisierte) Treiber auch von Windows Update oder von einem Installationsmedium installiert werden.

    Falls es in Ausnahmefllen fr ein Druckgert keine Treiber geben soll-te, knnen Treiber fr ein kompatibles Gert verwendet werden. Welche Druckgerte zueinander kompatibel sind, ist oft auf Hersteller-Websites aufgefhrt.

    Vista zeigt digital signierte Treiber (bei ihnen ist eine Prfsumme der Treiberdateien mit einem Zertifikat gesichert und sie knnen nicht uner-kannt gendert sein) mit einem Symbol mit einem grnen Haken an. Aber die Verwendung digital signierter Druckertreiber ist fakultativ. Auch bei 64-Bit-Systemen.

  • 8.2 Einrichtung von lokalen und Netzwerk-Druckern 331

    Abb. 8.5. Installation eines Druckertreibers

    Wenn Weiter ausgewhlt wurde und der Druckertreiber installiert ist,

    wird das nchste Fenster (siehe Abb. 8.6) angezeigt. In ihm wird ein frei whlbarer Druckername vergeben. Dieser dient ausschlielich zur Infor-mation und kann unterschiedlich von einem evtl. Druckerfreigabenamen (siehe unten) vergeben werden oder mit ihm gleich sein.

    Wenn der neu eingerichtete Drucker gleichzeitig der Drucker der Wahl, der dadurch stets als Voreinstellung angeboten wird, sein soll, kann in die-sem Fenster zudem die Schaltflche Als Standarddrucker festlegen ausge-whlt werden. Bei Bedarf kann diese Einstellung auch spter festgelegt oder auch gendert werden.

  • 332 8. Drucker einrichten und verwalten

    Abb. 8.6. Vergabe des Namens fr den neuen Drucker

    Nach Auswahl von Weiter ist der Drucker fertig eingerichtet und es wird

    das in Abb. 8.7 abgebildete Fenster dargestellt. In ihm kann veranlasst werden, dass eine Testseite ausgedruckt wird. Sie

    enthlt eine farbige Grafik und fhrt alle verwendeten Treiberdateien auf. Obwohl dafr eine Seite Papier verwendet wird, kann mit der Testseite

    gleich berprft werden, ob geeignete Treiber ausgewhlt wurden und ob die Kommunikation mit dem Druckgert einwandfrei funktioniert.

  • 8.3 Administratoroptionen bei Druckern 333

    Abb. 8.7. Besttigungsfenster der Druckereinrichtung

    8.3 Administratoroptionen bei Druckern

    Fr Administratoren (bzw. entsprechend Berechtigte) stehen weitere Funk-tionen zur Verfgung. In der Systemsteuerung gibt es im Kontextmen ei-nes Druckersymbols den Menpunkt Als Administrator ausfhren mit wei-teren Unterfunktionen (siehe Abb. 8.8).

    Wird in dem Kontextmen jedoch eine der gleich lautenden Optionen gewhlt, die nicht unter diesem Menpunkt steht, sondern auf der obersten Hierarchieebene, kann auf die meisten der Einstellungen nur lesend zuge-griffen werden, die anderen sind ausgegraut.

  • 334 8. Drucker einrichten und verwalten

    Abb. 8.8. Administratorfunktionen eines Druckers

    Eine der Optionen sind die Druckeinstellungen, die aus dem Kontext-

    men (siehe Abb. 8.8) oder ber die Schaltflche Druckeinstellungen der Registerkarte Allgemein der Druckereigenschaften (siehe Abb. 8.10) ge-whlt werden kann.

    Die Druckeinstellungen (siehe Abb. 8.9) sind hchst gertespezifisch. Jeder Druckgerthersteller kann das Aussehen und den Inhalt dieses Fens-ters und seine Registerkarten frei gestalten, deswegen gibt es hier auch keine detaillierte Erluterung nur eines Druckgerts. blicherweise kn-nen hier jedoch wichtige Einstellungen wie Druckpunkte pro Zoll, Farb- oder Schwarz-/Weidruck, einseitiger oder doppelseitiger Druck, Post-script-Level etc. eingestellt werden.

  • 8.3 Administratoroptionen bei Druckern 335

    Abb. 8.9. Druckeinstellungen

    Eine andere Option des Druckerkontextmens sind die Druckereigen-

    schaften, die ein Fenster mit mehreren Registerkarten ffnet. In der Registerkarte Allgemein des Fensters werden, wie der Name

    schon impliziert, allgemeine Informationen ber einen Drucker dargestellt und verwaltet (siehe Abb. 8.10).

    Es empfiehlt sich, insbesondere, wenn Active-Directory-Domnen ver-wendet werden, im Eingabefeld Standort dieses Fensters die Elemente der Beschreibung durch Schrgstriche zu trennen. Drucker knnen dann je physischem AD-Standort schneller und leichter gefunden werden. Ebenso bei Suchen im AD. Dabei knnen die Elemente beliebig, hierarchisch ge-whlt werden, wenn sie denn fr alle Drucker in derselben Form verwen-det werden.

  • 336 8. Drucker einrichten und verwalten

    Abb. 8.10. Registerkarte Allgemein in den Druckereigenschaften

    Beispiele fr sinnvolle Standortbeschreibungen sind: Land/Stadt/Stra-

    e/Gebudeteil/Stockwerk/Raumnummer, Ort/Raumnummer oder Regi-on/Ort/Bro usw.

    Das Feld Kommentar ist ein wahlfreies Feld, in dem Text eingegeben werden kann. Es kann aber auch frei bleiben. Vista beachtet den Inhalt nicht.

    In dem Abschnitt Funktionen in der unteren Hlfte des Fensters werden gertespezifische Eigenschaften wie Seitengren, Farb- und Duplex-druck, Geschwindigkeit in Seiten je Minute, Maximale Auflsung etc. auf-

  • 8.3 Administratoroptionen bei Druckern 337

    gefhrt. In einem Active-Directory-basierten Netzwerk knnen Drucker speziell mit diesen Attributen gesucht werden.

    In der Registerkarte Freigabe (siehe Abb. 8.11) wird festgelegt, ob ein Drucker fr andere Benutzer im Netzwerk freigegeben und benutzbar sein soll.

    Abb. 8.11. Registerkarte Freigabe in den Druckereigenschaften

    Dazu wird die Schaltflche Drucker freigeben markiert und ein Freiga-

    bename eingegeben. Wenn dieser nicht lnger als 11 Zeichen ist, steht er grundstzlich auch Benutzern lterer Betriebssysteme zur Verfgung (es werden dafr jedoch auch passende Treiber bentigt). Rechner mit Win-dows 9x, 2000, XP etc. knnen auch lngere Namen verwenden.

  • 338 8. Drucker einrichten und verwalten

    Wird an den Druckerfreigabenamen ein Dollarzeichen ($) angehngt, ist diese Freigabe (wie entsprechende Verzeichnisfreigaben) im Netzwerk nicht sichtbar. Zur Verwendung eines so freigegebenen Druckers muss die-ser Name manuell eingegeben werden.

    Da Drucker bei Bedarf auch mehrfach, z. B. mit unterschiedlichen Opti-onen (wie Prioritt o. .) freigegeben werden knnen, ist diese Eigenschaft evtl. zum Verbergen eines hher privilegierten Druckers von Vorteil, der z. B. fr den Abteilungsleiter eingerichtet wurde.

    Wenn ein Drucker freigegeben wurde, steht die Schaltflche Druckauf-tragsbereitung auf Clientcomputer durchfhren zur Verfgung, ansonsten ist sie grau dargestellt und kann nicht ausgewhlt werden. In der Vorein-stellung ist diese Funktion (engl. rendering) aktiviert, was eine gute Ein-stellung fr Peer-to-Peer-Netzwerke ist. In serverbasierten Netzwerken sollte der Haken entfernt werden um die Arbeitsstationen zu entlasten.

    Ein Klick auf die Schaltflche Zustzliche Treiber ffnet ein Fenster, in dem Druckertreiber fr andere Windows-Versionen installiert werden kn-nen (siehe Abb. 8.12).

    Seit Windows 95 und Windows NT werden in einem Windows-Netz-werk die Druckertreiber nur noch beim Druckerserver installiert und zum Client beim Verbinden bertragen. Dies stellt eine enorme Arbeitserleich-terung dar, denn bei den Windows-Versionen davor mussten die Treiber am Druckserver und an jedem Client einzeln installiert werden. Gleiches galt fr Aktualisierungen, die dann ggf. x-fach angewendet werden mussten. In Windows Vista werden Druckertreiberaktualisierungen lediglich am Druckserver vorgenommen. Zu den Clients werden sie dann nachfolgend automatisch bertragen.

    Windows Vista und Windows Server 2008 werden nur noch fr die Intel 32-Bit-, 64-Bit- und Itanium-Plattformen herausgegeben. Frhere Win-dows-Versionen gab es auch fr RISC-Prozessoren anderer Hersteller. In Abhngigkeit der Druckerbenutzerclients, die einen bestimmten Drucker benutzen werden, mssen fr ihn jeweils passende Treiber installiert wer-den.1

    1 Dabei kann Vista auch Treiber verteilen, die unter Vista selbst nicht fr die An-

    steuerung eines Druckgerts verwendet werden knnen (z. B. alte Kernelmodus-treiber), denn Druckertreiber mssen nun im Benutzermodus-Framework arbei-ten. ltere Treiber, die noch im Kernelmodus operieren, knnen in Windows Vista nicht mehr installiert werden.

  • 8.3 Administratoroptionen bei Druckern 339

    Abb. 8.12. Auswahl zustzlicher Druckertreiber

    In der Registerkarte Anschlsse (siehe Abb. 8.13) werden die in Vista

    konfigurierten Kommunikationsanschlsse und -schnittstellen aufgelistet. Die Anschlsse eines Systems werden normalerweise in den Einstellun-

    gen des Druckservers (siehe Abschnitt 8.4) verwaltet. Aus Vereinfachungs-grnden lsst Microsoft aber auch an dieser Stelle die Konfiguration, Hin-zufgung und Entfernung von Anschlssen zu.

  • 340 8. Drucker einrichten und verwalten

    Abb. 8.13. Registerkarte Anschlsse in den Druckereigenschaften

    Die nchste Registerkarte trgt die Bezeichnung Erweitert (siehe Abb.

    8.14). Die erweiterten Druckereinstellungen drften aufgrund ihrer Benennung

    leicht verstndlich sein, die Verfgbarkeitseinstellungen sind jedoch etwas missverstndlich, denn auch auf einen Drucker, der zu einem bestimmten Zeitpunkt nicht verfgbar ist, kann gedruckt werden. Nur wird der Druck-auftrag dann eben nicht sofort zum Druckgert geschickt, sondern erst wieder zu Beginn der angegebenen Verfgbarkeitszeit. Sinnvoll zu benut-zen ist diese Option, wenn umfangreiche Druckauftrge erst nach Bro-schluss bzw. zu gnstigen Nachtstromtarifen gedruckt werden sollen. Oder im Falle eines (wenn auch mittlerweile selten gewordenen) Nadeldruckers

  • 8.3 Administratoroptionen bei Druckern 341

    aus Lrmgrnden eben nicht nachts gedruckt werden sollen. Zu Beginn des Verfgbarkeitszeitraums wird mit dem Ausdruck noch ausstehender Auf-trge automatisch begonnen. Andererseits wird zum Ende des Zeitraums nicht etwa ein Job unterbrochen! Vielmehr wird ein begonnener Job zu Ende gedruckt. Nach dem Ende des Verfgbarkeitszeitraums wird aber nicht mit dem Ausdruck von neuen Jobs begonnen.

    Abb. 8.14. Registerkarte Erweitert in den Druckereigenschaften

    Das Feld Prioritt gibt an, mit welcher Priorittsnummer ein ber einen

    bestimmten Drucker gesandter Druckauftrag in die Warteschlange einge-stellt wird. Es knnen dabei die Werte 1 (niedrigste) bis 99 (hchste Priori-tt) des ordinal skalierten Intervalls verwendet werden.

  • 342 8. Drucker einrichten und verwalten

    Wenn in einer Warteschlange mehrere Druckjobs auf den Ausdruck war-ten, wird ein aktueller Job nicht etwa unterbrochen beim Eintreffen eines hher Priorisierten. Nachdem er fertig gedruckt ist, whlt der Spooler den Job mit der hchsten Prioritt aus. Dabei ist es von gleicher Funktion ob bsp. nur die beiden Prioritten 1 und 2 existieren, oder ob sie 1 und 20 hei-en. Die hchste Nummer gewinnt. Und wenn mehrere Auftrge mit glei-cher Prioritt vorhanden sind, wird anhand des Alters entschieden: First come, first serve.

    Mit der Schaltflche Druckprozessor kann angegeben werden, welches Programm die Druckauftrge aufbereitet. Manche Druckgerthersteller bringen eigene mit, ansonsten sind Winprint und das Format Raw eine gute Wahl.

    ber die Schaltflche Trennseite kann eine Trennseite (unter Angabe des Benutzernamens, Jobnamens etc.) definiert werden, die vor jedem Job zur besseren Unterscheidung in Arbeitsgruppen ausgedruckt werden soll.

    In der Registerkarte Farbverwaltung2 kann festgelegt werden, welcher Farbraum (z. B. sRBG oder CYMK3) einem Drucker zugeordnet wird.

    Der Vorgabewert ist, dass Vista diese Einstellungen selbst verwaltet, was aber modifiziert werden kann, wenn ein kalibrierter Farbweg bentigt wird, so dass ein eingescanntes Bild auch tatschlich mit denselben Farben am Bildschirm dargestellt bzw. am Drucker ausgedruckt wird.

    In der Registerkarte Sicherheit (siehe Abb. 8.15) wird festgelegt, wer ei-nen Drucker benutzen darf und welche weiteren Rechte die betreffenden Gruppen haben.

    Es gibt sechs Einzelberechtigungen, die ber die Schaltflche Erweitert zugewiesen werden knnen. Ihre Bezeichnungen und Auswirkungen sind in Tabelle 8.2 zusammengefasst.

    Tabelle 8.2. Druckerberechtigungen

    Druckberechtigungsname Erteilte Berechtigungen

    Drucken Mit dieser Berechtigung knnen Druckauftrge an den Drucker gesendet werden. Gegebenenfalls wird zuvor der Druckertreiber an den Client bertragen. Die Berechtigung Drucken bietet bswilligen Benut-zern DoS-Angriffsflchen (bsp. Leerdrucken des Pa-piers bzw. der Farbpatronen, Volllaufen lassen der War-teschlange).

    2 Diese ist hier nicht wiedergegeben. 3 CYMK (Cyan, Yellow, Magenta und Schwarz) ist nur bei Postscript-Drucker-

    treibern verfgbar.

  • 8.3 Administratoroptionen bei Druckern 343

    Standardmig darf jeder authentifizierte Benutzer alle Drucker verwenden.

    Drucker verwalten Diese Berechtigung erlaubt, Drucker anzuhalten und fortzusetzen, Freigabe-, Sicherheits- und Warteschlan-geneinstellungen zu ndern In der Voreinstellung haben Administratoren diese Be-rechtigung.

    Dokumente verwalten Mit dieser Berechtigung knnen ab Berechtigungsertei-lung zum Drucker gesandte Dokumente angehalten, fortgesetzt bzw. abgebrochen werden und die betr. Druckjobeinstellungen verndert werden. In der Voreinstellung hat die Ersteller-Besitzer-Grup-pe diese Berechtigung. Damit knnen Benutzer eigene Auftrge verwalten, nicht jedoch die anderer Benutzer.

    Berechtigungen lesen Erlaubt, die Sicherheitseinstellungen anzusehen.

    Berechtigungen ndern Erlaubt, die Sicherheitseinstellungen zu ndern.

    Besitz bernehmen Diese Berechtigung erlaubt, einen Wechsel des angege-benen Besitzers eines Auftrags durchzufhren, bezieht sich aber nur auf Auftrge, nicht auf den Drucker selbst. Standardmig haben Ersteller-Besitzer diese Berechtigung.

    Im allgemeinen brauchen aber nicht die Einzelberechtigungen modifi-

    ziert werden, sondern es reicht die Berechtigungsvergabe mit den zusam-mengefassten Einzelberechtigungen in den Stufen Drucken, Drucker ver-walten und Dokumente verwalten aus.

  • 344 8. Drucker einrichten und verwalten

    Abb. 8.15. Registerkarte Sicherheit in den Druckereigenschaften

    In der Registerkarte Gerteinstellungen ... (siehe Abb. 8.16) werden Ge-

    rtespezifische Einstellungen vorgenommen. Der Inhalt und Aufbau dieser Registerkarte ist auch vom Druckgertehersteller frei definier- und konfi-gurierbar. Im allgemeinen finden sich hier aber Angaben zur Arbeitsspei-chergre des Druckgerts, installierte Gerteschriften, Papierfcher und -formate etc.

  • 8.3 Administratoroptionen bei Druckern 345

    Abb. 8.16. Registerkarte Gerteeinstellungen in den Druckereigenschaften

    Die Registerkarte Info (hier nicht abgebildet) stellt in der Regel allge-

    meine Informationen (wie Namen der Treiberdateien und ihre Versionen) des Druckertreibers dar. Gelegentlich finden sich hier auch Kontaktmg-lichkeiten zum Hersteller und seinem Support, Gertetestfunktionen etc. Die Belegung ist nicht einheitlich vorgegeben, sondern dem jeweiligen Hersteller selbst berlassen.

  • 346 8. Drucker einrichten und verwalten

    8.4 Druckservereigenschaften

    Im Kontextmen des Druckerprogramms der Systemsteuerung, ber die rechte Maustaste - Als Administrator ausfhren: Servereigenschaften... auf-rufbar, befinden sich die Druckservereigenschaften. Sie beeinflussen die Druckfreigabe allgemein, ber alle Drucker hinweg.

    In frheren Windows-Versionen (und auch noch in Vista nach Druck der Alt- oder F10-Taste) befindet sich es im Men des Druckerprogramms.

    Abb. 8.17. Registerkarte Formulare der Druckservereigenschaften

  • 8.4 Druckservereigenschaften 347

    In der Registerkarte Formulare (siehe Abb. 8.17) knnen Seitengren, die allen Druckern zur Verfgung stehen, angesehen, erstellt und gelscht werden.

    Windows Vista besitzt in der Voreinstellung weit mehr als die internati-onal gebruchlichsten Seitengren. Eine Vernderung oder Neuerstellung kann fr firmenspezifische Sondergren von Formularen, Buchseiten und evtl. Etiketten von Bedeutung sein.

    In der Registerkarte Anschlsse (siehe Abb. 8.18) werden alle fr Dru-cker verfgbare Anschlsse verwaltet.

    Abb. 8.18. Registerkarte Anschlsse der Druckservereigenschaften

  • 348 8. Drucker einrichten und verwalten

    In der Registerkarte Treiber (siehe Abb. 8.19) werden bereits installierte

    Druckertreiber mit ihrem Typ und ihrer Zielplattform aufgefhrt, knnen hinzugefgt oder entfernt werden, wenn sie nicht mehr gebraucht werden.

    Druckertreiber knnen in der Regel nur so von einem System gelscht werden, denn eine Deinstallations-Funktion im Software-Programm der Systemsteuerung existiert in aller Regel nicht.

    Abb. 8.19. Registerkarte Treiber der Druckservereigenschaften

  • 8.4 Druckservereigenschaften 349

    Schlielich wird in der Registerkarte Erweitert (siehe Abb. 8.20) der Ordner gezeigt, in dem Druckauftrge zwischengespeichert werden. Er kann hier in einen anderen Pfad gendert werden.

    In dieser Registerkarte werden auch die in das Anwendungsprotokoll zu protokollierenden Druckerereignisse verwaltet.

    Wenn Informative Benachrichtigungen angezeigt werden, ffnet sich fr jeden Druckauftrag rechts unten am Bildschirm des Druckerservers ein Hinweisfenster unter Angabe des Benutzernamens und des zu druckenden Dateinamens.

    Abb. 8.20. Registerkarte Erweitert der Druckservereigenschaften

  • 350 8. Drucker einrichten und verwalten

    8.5 Drucker-Pooling

    Ein Drucker-Pool wird durch Setzen eines Hkchens bei Druckerpool akti-vieren in der Registerkarte Anschlsse aktiviert (siehe Abb. 8.12). Doch wozu ist das ntzlich?

    Dazu ein Beispiel: Sagen wir, Sie haben drei Canon-Laserdrucker. In diesem Zusammenhang taucht schon die erste Fragestellung auf: Welchen Benutzergruppen ordnen Sie welchen Drucker zu? Nehmen wir an, Sie ha-ben den ersten Drucker der IT-Abteilung, den zweiten Drucker der Marke-ting-Abteilung und den dritten Drucker fr alle anderen Benutzer zur Ver-fgung gestellt. Nun klappt es eine Weile ganz gut, aber nach einiger Zeit muss die Marketing-Abteilung ein umfangreiches Mailing drucken, so dass sich die Beschwerden von anderen Marketing-Mitarbeiter hufen, dass ihre Dokumente zu lange bentigen, um ausgedruckt zu werden. Oder hnli-ches kann natrlich auch bei den anderen Druckerzuordnungen passieren: Jemand aus der IT-Abteilung druckt umfangreiche Handbcher aus und blockiert damit den Drucker fr andere Kollegen.

    Wre in diesen Szenarien nicht eine dynamische Druckerzuordnung von Nutzen? So dass jeder Druckauftrag auf dem jeweils nchsten, freien Druckgert ausgedruckt wird?

    Genau das ist die Funktion des Druckerpoolings. Dazu werden an einem Druckserver mehrere Druckgerte angeschlossen, die Option Druckerpool aktivieren ausgewhlt und dieser Drucker allen Benutzern zugeordnet. Alle Druckauftrge sammeln sich somit in derselben Druckerwarteschlange und werden jeweils zu dem nchsten Druckgert geschickt, das verfgbar ist.

    Wenn ein Druckauftrag mit hherer Prioritt empfangen wird, wird nicht etwa ein laufender Druckprozess gestoppt, sondern er wird fertig ge-druckt. In der Druckerwarteschlange rckt der hher priorisierte Druckauf-trag jedoch nach oben und wird erst dann, wenn ein Druckgert frei ist, ausgedruckt.

    Eine wichtige Voraussetzung, damit ein Druckerpool eingerichtet wer-den kann, sind hinsichtlich Hersteller und Modell identische so sagt Mi-crosoft es Druckgerte.

    Diese doch sehr restriktive Vorgabe kann in der Praxis in etwas abge-milderter Form angewendet werden: Die betreffenden Druckgerte mssen ber ein- und denselben Druckertreiber angesprochen werden knnen. So wie z. B. ein Lexmark- und ein Canon-Druckgert, die beide in einer HP-LaserJet-II-Emulation arbeiten.

    Dabei gilt es aber, sich am kleinsten gemeinsamen Nenner zu orientie-ren: Sollten bsp. zwei Gerte PCL5 und ein Gert PCL6 beherrschen, muss

  • 8.5 Drucker-Pooling 351

    dennoch PCL5 eingestellt werden. Gleiches gilt hinsichtlich des RAMs, des Postscript-Levels und der Papierfcher.

    Auerdem sollten sich die zusammengefassten Druckgerte in rumli-cher Nhe befinden, so dass die Benutzer nicht erst selbst umstndlich her-ausfinden mssen, an welchem Ort Ihre Dokumente ausgedruckt wurden.

  • 9. Die Faxdienste

    Damit Telefaxe gesendet und wenn gewnscht auch empfangen werden knnen, muss die Windows-Funktion Windows-Fax und Scan installiert (bzw. wie es jetzt heit: eingeschaltet) sein. Diese beiden Funktionalitten zu koppeln ist gar keine schlechte Idee: In beiden Fllen wird letztendlich eine Grafikdatei in den Computer eingelesen und im Falle des Besitzens eines Scanners und eines Fax-Modems kann eine eingescannte Seite als Fax bertragen werden.

    Auch die Idee, die Faxsendefunktionalitt als Drucker zu realisieren ist gut! So kann nmlich von jeder Applikation ein Fax generiert werden, oh-ne dass Programmierer dafr zuvor spezielle Faxversende-Routinen schrei-ben mssen.

    Im Prinzip stellt sich ein beispielhafter Fax-Versand so dar: In Word wird ein Brief oder in Excel eine Tabelle erstellt und auf dem Fax-Drucker ausgedruckt. Darauf folgend erscheint ein Fenster, in dem u. a. nach dem Fax-Empfnger bzw. seiner Nummer gefragt wird und dann wird das gan-ze in entweder einer oder mehreren Seiten als Fax zum Empfnger ber-tragen. Oder: Eine Vorlage wird auf einem Scanner eingelesen und als Fax verschickt.

    Aber bevor es so reibungslos luft, mssen zuvor ein paar Einstellungen vorgenommen werden: Zunchst muss ein Faxkonto erstellt werden. Die-ses kann fr den lokalen Faxdienst oder fr die Benutzung mit einem Fax-server (siehe unten) eingerichtet werden. Zur Erstellung whlt man aus dem Menpunkt Extras des Windows-Fax und Scan-Programms den Punkt Faxkonten... aus und dann Hinzufgen.... Es ffnen sich daraufhin die Fenster, die in den Abbildungen 9.1 und 9.2 gezeigt sind.

    9.1 Installation der Fax-Dienste

    Damit Faxe von einem Vista-Rechner versandt bzw. empfangen werden knnen, mssen die Fax-Dienste installiert werden. Die entsprechende Funktion wird ber das Software-Symbol in der Systemsteuerung einge-schaltet.

  • 354 9. Die Faxdienste

    Beim ersten Aufruf nach der Installation erscheint ein Fenster, wie es in Abb. 9.1 abgebildet ist.

    Abb. 9.1. Windows-Fax und -Scan

    In ihm werden Faxe und Scans verwaltet, versand und archiviert. Es h-

    nelt in Aussehen und Funktion dem Microsoft-Mail-Programm. Damit die Fax-Funktionen von Vista in Betrieb genommen werden kn-

    nen, muss zuvor mindestens ein Faxkonto eingerichtet werden. Dazu for-dert Vista den Anwender bzw. die Anwenderin auf. Die Faxkontenverwal-tung kann aber auch jederzeit aus dem Men Extras in dem oben abgebildetem Fenster aufgerufen werden. Es ffnet sich dann das in Abb. 9.2 gezeigte Fenster der Faxkontenverwaltung, mit dem Faxkonten neu eingerichtet bzw. entfernt werden knnen. Eines der Faxkonten kann ber die Schaltflche Als Standard zum bevorzugten Faxkonto ausgewhlt wer-den. Es wird dann bei jedem Faxversand als bevorzugtes Konto angeboten.

  • 9.1 Installation der Fax-Dienste 355

    Abb. 9.2. Faxkontenverwaltung

    Faxkonten gibt es in zwei Ausfhrungen: Lokale Konten und Fax-Server-Konten. Fr erstere muss jeder faxfhige PC mit einem eigenen Faxmodem verbunden sein, im zweiten Fall bernimmt die ein- und aus-gehende Kommunikation und die Speicherung der Auftrge in Warte-schlangen ein zentraler Faxserver (siehe unten).

    Da fr den Faxempfang das Gert dauernd eingeschaltet sein muss, knnte in Umgebungen mit mehreren PCs die Arbeit mit einem Fax-Client-Server-System besser geeignet sein, als wenn jeder PC eigens mit einem Modem versorgt wird.

    Wird die Schaltflche Hinzufgen... in der oben gezeigten Abbildung gewhlt, wird danach mit dem in Abb. 9.3 wiedergegebenen Fenster fort-gefahren.

    In ihm wird der Typ des zu erstellenden Faxkontos ausgewhlt.

  • 356 9. Die Faxdienste

    Abb. 9.3. Auswahl des zu erstellenden Faxkontotyps

    Sehen wir uns zuerst die dezentrale Variante an:

    Abb. 9.4. Benennung des Faxmodems

    Jedes Kind braucht bekanntlich einen Namen, so auch das lokale Fax-

    modem. Wie in Abb. 9.4 gezeigt, muss dieser vergeben werden. Und es kann ausgewhlt werden, ob das Faxmodem nur fr den Faxversand oder

  • 9.1 Installation der Fax-Dienste 357

    fr Faxversand und -empfang konfiguriert werden soll. Smtliche Einstel-lungen knnen bei Bedarf spter gendert werden.

    Abb. 9.5. Auswahl der Faxempfangsmethode

    Sind bereits Modems konfiguriert worden, fragt uns Vista, welches da-

    von fr die Faxdienste verwendet werden soll. Ist das hingegen nicht der Fall, wird man aufgefordert, ein neues Modem einzurichten (siehe Abb. 9.6).

    Abb. 9.6. Abfrage Modeminstallation

  • 358 9. Die Faxdienste

    Auerdem knnte je nach Konfiguration des Vista-Rechners ein Fenster des Firewall-Dienstes erscheinen, in dem nachgefragt wird, ob Zugriffe fr den Fax-Dienst weiterhin blockiert oder nicht mehr blockiert werden sollen. Letzteres sollte in dem Fall ausgewhlt werden!

    Der Hardware-Assistent fr die Modem-Installation bietet eine automa-tische Erkennung oder manuelle Auswahl (siehe Abb. 9.7 und 9.8) an.

    Abb. 9.7. Hardwareassistent fr die automatische Modemerkennung

    In der Modeninstallation wird gefragt, ob versucht werden soll, das an-

    geschlossene Modem automatisch zu erkennen. Im allgemeinen ist das ei-ne gute Idee. Wenn Sie jedoch neuere Treiber haben, spezielle Treiber be-ntigen, die nicht in Vista enthalten sind, oder ein Standard-Modem-Modell auswhlen mchten, empfiehlt es sich, die automatische Erken-nung auszulassen und selbst den Hersteller sowie das Modell aus der Liste auszuwhlen. Ohnehin wird dieses Fenster gezeigt, wenn kein Modem er-kannt werden konnte.

    Die Automatik von Vista fragt dazu alle vorhandenen seriellen Schnitt-stellen (COM1 COMx) ab. Neuere Modems werden hufig ber die

  • 9.1 Installation der Fax-Dienste 359

    USB-Schnittstelle mit dem System verbunden. Auch diese probiert der As-sistent zu finden. Und falls vorhanden, werden bei Computern (wie Note-books) mit PCMCIA- und PC-Card-Anschlsse diese ebenfalls abgefragt.

    Wird nirgendwo ein geeignetes Modem erkannt, oder mchten Sie einen Treiber neueren Datums vom Hersteller der Hardware installieren, kann das Modem auch manuell ausgewhlt werden.

    Die allermeisten Modems lassen sich auch mit den Standardtreibern be-nutzen. Eventuell knnen dann besondere Funktionen, die der Hersteller einem Gert spendiert hat, nicht verwendet werden. Wichtig ist zudem, dass die richtige Schnittstellengeschwindigkeit ausgewhlt wird.

    Exemplarisch wurde bei den Abbildungen ein Standard-Modem mit 56 kbps ausgewhlt.

    Abb. 9.8. Manuelle Auswahl eines Modems

  • 360 9. Die Faxdienste

    Abb. 9.9. Auswahl der seriellen Schnittstelle fr das Modem

    9.2 Lokale Faxdienste

    Faxe knnen mit Deckblttern verschickt werden, die konfigurierbar sind. Damit Vista wei, welche Angaben auf einem Deckblatt stehen sollen, wird in dem Fenster Absenderinformationen nach dem eigenen Namen, der Fax-Nr. etc. gefragt (siehe Abb. 9.10). Keine Angabe ist zwingend, son-dern wahlfrei, und alle knnen ggf. spter gendert oder ergnzt werden.

  • 9.2 Lokale Faxdienste 361

    Abb. 9.10. Faxabsenderinformationen

    Aus dem Men des Fax- und Scan-Programms kann der Punkt Einstel-

    lungen gewhlt werden. Es ffnet sich dann das in Abb. 9.11 gezeigte Fenster, das wiederum mehrere Registerkarten und Unteroptionen hat, wie nachfolgend beschrieben.

    In der ersten Registerkarte (Allgemein) wird festgelegt, welches Faxge-rt (siehe oben) benutzt und ob es fr den Empfang bzw. Versand von Fa-xen verwendet werden soll.

    Im Falle des Empfangs lsst sich einstellen ob bzw. nach wie vielen Rufsignalen das Faxmodem antworten soll.

    Besitzt man eine eigene Leitung fr Telefaxe (oder einen ISDN-An-schluss) und ist der Computer 24 h am Tag eingeschaltet, ist diese Option sehr ntzlich. Wenn jedoch an einer Telefonleitung Telefonate und Faxe parallel gefhrt werden, drfte man mit der manuellen Rufannahme besser bedient sein, weil das Risiko vermieden wird, dass bei eigener Abwesen-

  • 362 9. Die Faxdienste

    heit oder zu langsamer Anrufannahme der anrufenden Schwiegermutter o. . das laute Faxtrgersignal ggf. ins Hrgert gepfiffen wird.

    Auerdem besteht in diesem Fall grundstzlich Konkurrenz zwischen dem Faxgert und dem evtl. zustzlich angeschlossenen Anrufbeantworter: Wer zuerst, d. h. nach weniger Klingelzeichen, abnimmt, gewinnt.

    Abb. 9.11. Registerkarte Allgemein der Faxeinstellungen

    Durch Auswahl der Schaltflche Weitere Optionen... ffnet sich das in

    Abb. 9.12 gezeigte Fenster, das seinerseits mehrere Registerkarten hat. In seiner ersten Registerkarte namens Allgemein wird festgelegt, ob beim

  • 9.2 Lokale Faxdienste 363

    Empfang jeder erhaltenen Nachricht eine akustische Benachrichtigung er-folgen soll.

    Abb. 9.12. Registerkarte Allgemein der Faxoptionen

    Mit der Registerkarte Empfangsbesttigungen (siehe Abb. 9.13) kann

    der Versand von bermittlungsbesttigungen (per E-Mail) konfiguriert werden.

    Dieser Punkt kann beim Arbeiten mit Faxservern, oder wenn eine ge-sonderte Dokumentation bentigt wird, wichtig sein.

    Damit die Benachrichtigung wie gewnscht funktioniert, muss jedoch zuvor entweder Microsoft Mail, Microsoft Outlook oder ein anderes E-Mail-Programm installiert und konfiguriert (unter Angabe des Absender-namens, des Postausgangsservers etc.) worden sein.

  • 364 9. Die Faxdienste

    Abb. 9.13. Registerkarte Empfangsbesttigungen der Faxoptionen

    In der Registerkarte Senden der Faxoptionen (siehe Abb. 9.14) lsst sich

    lediglich einstellen, ob bei einer Antwort auf ein erhaltenes Fax die Origi-nalnachricht angehngt werden soll oder nicht.

    Wird sie ausgewhlt, sendet Vista zustzlich eine Kopie des erhaltenen Faxtextes mit.

    Das kann ntzlich sein, damit Geschftspartner, die Dutzende oder Hun-derte Faxe pro Tag versenden, wissen, auf welches Fax (inkl. Kunden-, Rechnungsnummer, Aktenzeichen etc.) geantwortet wird.

  • 9.2 Lokale Faxdienste 365

    Abb. 9.14. Registerkarte Senden der Faxoptionen

    Und schlielich bietet die letzte Registerkarte Verfassen (siehe Abb.

    9.15) die Auswahl des zu verwendenden Schriftart und seiner Gre in Punkten an.

    Es knnen dabei alle installierten Schriftschnitte (auch in ihren Auspr-gungen Normal, Fett, Kursiv etc.) ausgewhlt werden.

    Die hier getroffene Einstellung ist jedoch nur als Voreinstellung zu ver-stehen. Selbstverstndlich knnen nachfolgend beliebige Grafiken und in Textdokumenten Schriftarten und -gren versendet werden. Die Fax-dienste funktionieren ja wie ein Drucker.

    Die Einstellung beeinflusst aber auch das Aussehen von Faxbestandtei-len (wie Deckblttern), die von Vista selbst erstellt werden.

  • 366 9. Die Faxdienste

    Abb. 9.15. Registerkarte Verfassen der Faxoptionen

    Die zweite Registerkarte (Nachverfolgung) der Faxeinstellungen (siehe

    Abb. 9.16) konfiguriert optische und akustische Meldungen fr den Ver-sand und Empfang von Telefaxen.

    Die visuellen Benachrichtigungseinstellungen werden ber die entspre-chenden Schaltflchen in diesem Fenster ein- oder ausgeschaltet.

    Die Konfiguration der akustischen Benachrichtigungen erfolgt in einem eigenen Fenster. Dazu wird auf die Schaltflche Soundoptionen... geklickt, worauf sich das in Abb. 9.17 dargestellte Fenster ffnet, in dem festgelegt werden kann, bei welchen Ereignissen eine Signalisierung erfolgen soll bzw. ob das berhaupt geschehen soll.

    Von diesen Einstellungen nicht betroffen sind externe Gerusch- bzw. Klangquellen: Viele Modems geben den Verbindungsaufbau gleichzeitig auf dem integrierten Lautsprecher wieder und in aller Regel lutet es auch von irgendeinem Telefon, wenn ein Fax eintrifft.

    Solche Signalisierungen vermag Vista nicht vollstndig unterdrcken knnen, zumindest kann jedoch in der Regel per Konfigurationsoption der Lautsprecher eines Modems leiser gestellt bzw. sogar ganz abgeschaltet werden.

  • 9.2 Lokale Faxdienste 367

    Abb. 9.16. Registerkarte Nachverfolgung der Faxeinstellungen

    In dem ber die Schaltflche Soundoptionen... sich ffnendem Fenster

    wird festgelegt, bei welchen faxbezogenen Ereignissen (Faxempfang, Fax-versand etc.) ein Systemklang wiedergegeben werden soll.

  • 368 9. Die Faxdienste

    Abb. 9.17. Soundoptionen

    Welcher Klang genau bei aktivierten Fax-Systemklngen jeweils wie-

    dergegeben werden soll, wird schlielich im einzelnen ber das Programm Sound aus der Systemsteuerung festgelegt. Dabei ist eines jedoch ganz klar voreingestellt: Die Klnge mssen vom Typ WAV (Windows Audio Video) sein.

    In der dritten Registerkarte des Faxeinstellungsfensters (sie trgt den Namen Erweitert) werden nach Ansicht von Microsoft erweiterte Fax-einstellungen festgelegt (siehe Abb. 9.18).

    Zum einen sind das der Ordner, in dem gesendete und empfangene Faxe aufbewahrt werden sollen. Dieser kann ber die Schaltflche Ordner ver-schieben... auf einen beliebigen Pfad im Dateisystem bestimmt werden.

    Des weiteren kann eingestellt werden, ob Vista Banner in gesendete Fa-xe einfgen soll, sowie wie oft und in welchen Abstnden versucht werden soll, ein Fax erneut zu senden, wenn der Empfngeranschluss belegt ist.

    In dem unteren Drittel des Fensters kann ein Zeitraum eingegeben wer-den, zu dem tglich die Telefontarife niedrig sind. Diese Einstellung arbei-tet mit einer anderen Hand in Hand: In den Optionen (im Menpunkt Ex-tras des in Abb. 9.26 gezeigten Fensters) eines zu sendenden Faxes kann unabhngig von seiner Dringlichkeit bestimmt werden, dass es erst im Gnstigtarif versendet werden soll. Dort kann alternativ aber auch eine ge-naue Uhrzeit festgelegt werden.1

    1 Abgesehen von geringeren Kosten, kann der zeitlich festgelegte Versand auch

    andere Vorteile haben, da er auch so festgelegt werden kann, dass Faxe erst zu einem bestimmten Zeitpunkt, an dem man nicht da ist, versandt werden sollen.

  • 9.2 Lokale Faxdienste 369

    Wurde mit dem Telefonanbieter eine Flatrate vereinbart, knnen Gedan-ken ber den Beginn der gnstigen Zeitzone sogar ganz aus dem Gedcht-nis gestrichen werden.

    Abb. 9.18. Registerkarte Erweitert der Faxeinstellungen

    Die letzte Registerkarte der Faxeinstellungen ist die Sicherheits-Regis-

    terkarte (siehe Abb. 9.19).

  • 370 9. Die Faxdienste

    Die Sicherheit lehnt sich in ihrer Zusammenfassung sehr stark an die der Drucker an (siehe Kapitel 8), hat jedoch (abweichend von dieser) keine Voreinstellungen fr Ersteller-Besitzer. Zudem tragen die Berechtigungen andere Namen.

    Abb. 9.19. Registerkarte Sicherheit der Faxeinstellungen

    Klickt man auf Erweitert ffnet sich das in Abb. 9.20 wiedergegebene

    Fenster. In ihm knnen gleichfalls die Berechtigungen verwaltet sowie der Besitzer festgelegt werden.

  • 9.2 Lokale Faxdienste 371

    Abb. 9.20. Erweiterte Sicherheitseinstellungen des Faxes

    Die Granularitt der hier angebotenen Sicherheitseinstellung hat nher

    betrachtet dann doch nichts mehr mit der von Druckern gemeinsam: Stolze 13 (!) Einzelberechtigungen stehen zur Vergabe bzw. zur Verweige-rung bereit.2

    2 Es sollte jedoch nicht aus den Augen verloren werden, dass hiermit die Einstel-

    lungen des Faxdienstes modifiziert werden. Die Sicherheitseinstellungen des Faxdruckers (siehe unten) haben wiederum sehr viel mit anderen Druckern gemeinsam.

  • 372 9. Die Faxdienste

    Abb. 9.21. Faxberechtigungseintrag

    Vista richtet bei der Installation der Faxdienste auch einen Faxdrucker

    ein. Auf ihn kann wie auf jeden anderen Drucker gedruckt werden. Somit knnen von jedem Windows-Programm Faxe versendet werden.

    Wird er fr den Druck benutzt, ffnet sich ein Fenster, in dem nach Fax-empfngern (bzw. ihren Telefonnummern) gefragt wird.3

    3 hnliches passiert beim Drucken, wenn als Ausgabemedium FILE: (Datei) an-

    gegeben ist oder beim Drucken auf einen Adobe-Drucker, der den Destiller ver-wendet.

  • 9.2 Lokale Faxdienste 373

    Abb. 9.22. Registerkarte Allgemein der Faxdruckereigenschaften

    Rechts unten in diesem Fenster befindet sich eine Schaltflche mit dem

    Namen Druckeinstellungen... Wenn sie ausgewhlt wird, ffnet sich ein Fenster, das hier in Abb. 9.23 abgebildet ist, und in dem weitere Optionen, die den Faxdrucker betreffen, eingestellt werden knnen.

  • 374 9. Die Faxdienste

    Abb. 9.23. Faxdruckereinstellungen

    Das Papierformat kann entsprechend des Formats, das ein Empfnger

    benutzt, gewhlt werden: In Europa bsp. DIN A4, in USA Letter etc., denn insbesondere wenn das Ziel ein richtiges Faxgert ist, kann davon aus-gegangen werden, dass sich Papier entsprechend der lokalen Gepflogen-heiten in ihm befindet.

    In den Druckeinstellungen kann in der Druckqualitt Normal (mit 200 x 200 DPI4) und Entwurf (mit 200 x 100 DPI) ausgewhlt werden.

    4 Dots per Inch: Punkte pro Zoll.

  • 9.2 Lokale Faxdienste 375

    In der Terminologie regulrer Faxgerte heien diese Fein und Normal. In der Praxis drfte somit die Einstellung Entwurf ausreichend sein, zumal sie geldsparend ist, weil Faxe damit schneller (und dennoch in gewohnter Faxqualitt) versandt werden. Nur bei Dokumenten mit vielen kleinen De-tails bzw. kleinen Schriften sollte auf die 200 x 200-Auflsung gewechselt werden.

    Wird Querformat gewhlt, dreht Vista die Seiten automatisch um 90. Die zweite Registerkarte trgt (irrefhrender Weise) den Namen Freiga-

    be. Sie ist in Abb. 9.24 wiedergegeben.

    Abb. 9.24. Registerkarte Freigabe der Faxdruckereigenschaften

  • 376 9. Die Faxdienste

    Eine Freigabe des Faxdruckers wird von Windows Vista nicht unter-sttzt. Das ist speziellen Faxservern, wie denen in den Serverversionen von Windows, vorbehalten.

    Zu der dritten Registerkarte (Farbverwaltung) gilt das bereits oben, in Kapitel 8 zu den Druckern geschriebene. Sie ist daher hier auch nicht ab-gebildet.

    Die Wahl eines Farbraums fr ein reines schwarz-wei-Gert wie ein Telefax mag lediglich die Verteilung der Punkte im Rahmen der Rasterung fr die Transformation von Farbinformation in ein zweifarbiges Muster zu verndern. Mit anderen Worten: Das ist irrelevant fr Faxe!

    Abb. 9.25. Registerkarte Sicherheit der Faxdruckereigenschaften

  • 9.2 Lokale Faxdienste 377

    Zum Versenden von Faxen hat man zwei Mglichkeiten. Wie schon ge-

    zeigt, einerseits ber den Druck auf den Faxdrucker. Andererseits knnen auch aus Windows-Fax und -Scan Telefaxe ver-

    sandt werden. Dazu wird die Option Neues Fax gewhlt, woraufhin sich das in Abb.

    9.26 gezeigte Fenster ffnet.

    Abb. 9.26. Faxversand aus Windows-Fax und -Scan

    In diesem Fenster knnen sogar unter Zuhilfenahme von aus Textver-

    arbeitungsprogrammen bekannten Formatierungsoptionen grafisch orien-tierte Faxe erstellt und versandt werden.

    Schaltflchen fr die Auswahl von Kontakten, eines Deckblatts, Whl-regeln etc. stehen hier zur Verfgung.

  • 378 9. Die Faxdienste

    9.3 Remote-Faxdienste und Faxclients

    Faxdienste knnen insbesondere in groen Unternehmensumgebungen (selbstverstndlich aber auch in kleinen und mittelstndischen Unterneh-mungen) zentralisiert werden.

    In diesem Fall bentigt nicht mehr jeder Client, der Faxe senden bzw. empfangen mchte, ein eigenes Faxmodem und einen Telefonanschluss (bzw. Nebenstelle), sondern der Faxversand und -empfang erfolgt nur noch von einem zentralen Server.

    Dazu wird eine Server-Version von Microsoft Windows (z. B. Windows 2000 Server, Windows Server 2003 oder 2008) bentigt und dort wird das Faxmodem installiert und konfiguriert, sowie die Faxdienste als NetBIOS-Freigabe freigegeben. Das ist aber nicht Gegenstand dieses Buchs.

    Die Faxdienste von Windows Vista sind in der Lage auch als Client ei-nes solchen Faxservers zu arbeiten.

    Bei der Einrichtung der Faxdienste auf dem Client muss dann bei der Einrichtung (s. Abb. 9.3) angegeben werden, dass nicht mit einem eigenen Faxmodem, sondern mit einem an einem Server befindlichen und freige-gebenen Gert gearbeitet werden soll.

    Es ffnet sich dann das in Abb. 9.27 dargestellte Fenster. Am Faxserver mssen die jeweiligen Clients durch den Administrator

    berechtigt sein, die Faxdienste zu benutzen. Weitere Konfigurationsanga-ben sind auf dem Client nicht erforderlich, er liest die Einstellungen ein-fach vom konfigurierten Faxserver.

    Abb. 9.27. Fax-Serverauswahl

  • 10. Verzeichnisfreigaben einrichten und verwalten

    Einer der Hauptgrnde, ein Computernetzwerk einzurichten, ist die ge-meinsame Nutzung von Ressourcen: So genannte Freigaben eines Systems erlauben es anderen Benutzern auf diese zuzugreifen.

    10.1 Netzwerk- und Freigabecenter

    Die grundlegende Freigabenverwaltung findet sich in der Systemsteuerung unter dem Namen Netzwerk- und Freigabecenter (siehe Abb. 10.1).

    Abb. 10.1. Das Netzwerk- und Freigabecenter

  • 380 10. Verzeichnisfreigaben einrichten und verwalten

    Neben netzwerkbezogenen Funktionen enthlt es im Bereich Freigabe und Erkennung wichtige Einstellungen:

    Die Netzwerkerkennung steuert erstens, ob der betreffende Vista-Com-puter im Netzwerk sichtbar sein soll oder nicht, und zweitens, ob andere Gerte des Netzwerks dargestellt werden sollen. Fr den Zugriff auf Res-sourcen anderer Rechner und fr das Erlauben des Zugriffs auf eigene Res-sourcen, ist die aktivierte Netzwerkerkennung unbedingt erforderlich. An dieser Stelle lsst sich auch der Name der Arbeitsgruppe bzw. Domne festlegen oder wechseln.

    Mittels Freigabe von Dateien wird grundlegend festgelegt, ob der Zu-griff von anderen Netzwerkbenutzern auf freigegebene Dateien erlaubt sein soll. Das hat wiederum nichts mit der Netzwerkerkennung zu tun, welches lediglich eine Voraussetzung dafr ist.1

    Jeder Vista-Rechner hat einen so genannten ffentlichen Ordner.2 In ihm knnen Dateien untergebracht werden, die auch fr andere Benutzer zur Verfgung stehen sollen (und erinnert insoweit etwas an das Unix-Ver-zeichnis pub). In der Voreinstellung knnen alle Benutzer eines Systems, die ein Benutzerkonto haben und sich somit anmelden knnen, auf diese dort hinein kopierten oder verschobenen Dateien zugreifen. Dieser Funkti-onsumfang kann mit dieser Option auf Netzwerkbenutzer erweitert wer-den, die wahlweise nur lesenden oder lesenden und schreibenden Zugriff bekommen knnen.

    Das Freigeben von Druckern wird ber die entsprechende Schaltflche gesteuert. Voraussetzung dafr ist, dass zuvor mindestens ein Drucker ein-gerichtet wurde. Das kennwortgeschtzte Freigeben verhindert, dass anonyme Benutzer auf freigegebene Ressourcen eines Rechners zugreifen knnen. Ist es aktiviert, ist der Zugriff nur fr Benutzer, fr die ein Benutzerkonto auf dem jeweili-gen Rechner erstellt wurde, mglich.

    Mediendateien, also Dateien von den Typen MP3, AVI, WAV, WMV etc., knnen hier freigegeben werden. Hiermit werden in der Windows Fi-rewall die betreffenden Ports geffnet, um den Zugriff von Media Exten-dern zu ermglichen.

    1 Eine vollstndige Sperrung des Zugriffs auf Ressourcen durch andere Benutzer

    lsst sich durch Deaktivierung des Serverdienstes erreichen. 2 Sollten Sie ihn bislang noch nicht entdeckt haben: Beispielsweise ber Start

    Computer sehen sie ihn in der linken Spalte mit der Bezeichnung ffentlich. Gespeichert wird er unter C:\Users\Public. Es gibt dort weitere Unterordner wie Music, Pictures und Videos jeweils ein Mal fr jeden Typ.

  • 10.2 Verzeichnisfreigaben 381

    Die Medienfreigabe findet sich ebenfalls im Windows Media Player-Men Medienbibliothek Medienfreigabe oder gleichfalls auch unter Wei-tere Optionen Medienbibliothek. Dort kann zudem feiner gesteuert wer-den, welche Dateien in die Freigabe eingeschlossen und welche davon ausgeschlossen sein sollen.

    10.2 Verzeichnisfreigaben

    Fr den gemeinsamen Zugriff auf bestimmte Verzeichnisse und Dateien sowie zur zentralen Speicherung (und Sicherung) existieren Verzeichnis-freigaben. In Windows Vista gibt es sie als einfache Freigaben und als er-weiterte Freigaben.

    10.2.1 Einfache Freigabe

    Durch Auswahl von Freigabe... im Windows Explorer aus dem Kontext-Men eines Ordners (z. B. C:\Daten) wird das erste Fenster der standard-migen, einfachen Freigabe geffnet (siehe Abb. 10.2).

    Eine Voraussetzung dafr ist, dass Freigaben im Netzwerk- und Freiga-becenter (siehe Abb. 10.1) aktiviert wurden. Ist das nicht der Fall, ber-nimmt Vista diesen Schritt von selbst. Je nach der Einstellung dort (kenn-wortgeschtzte Freigaben) kann es dabei erforderlich sein, dass Benutzer ein Konto auf dem jeweiligen Rechner haben mssen.

    Fr den Umfang der Zugriffsberechtigungen hat Microsoft die Stufen Leser (Nur Lese-Zugriff), Mitwirkender (Lesen + Schreiben) und Mitbesit-zer (Vollzugriff) festgelegt.

    Der Ersteller erhlt stets die Bezeichnung Besitzer. Mitbesitzer haben jedoch die gleichen Berechtigungen.

    Sollte ein Benutzer oder eine Benutzerin nicht auf der Liste aufgefhrt sein (bzw. entfernt worden sein), ist fr ihn kein Zugriff mglich.

  • 382 10. Verzeichnisfreigaben einrichten und verwalten

    Abb. 10.2. Einfache Freigabe eines Ordners

    Ab Abschluss des Freigabevorgangs fr einfache Freigaben erscheint

    noch ein Besttigungsbildschirm (siehe Abb. 10.3). In ihm wird die erfolg-reiche Freigabevorgang besttigt und angeboten, den Netzwerknamen der gerade eingerichteten Freigabe zu publizieren. Er lautet - nach der Kon-vention (UNC3) nach stets \\\, also bsp. \\Knaller\Daten.

    3 Das ist die Abkrzung von Universal Naming Convention.

  • 10.2 Verzeichnisfreigaben 383

    Abb. 10.3. Besttigungsbildschirm der Ordnerfreigabe

    Wird Freigabe... aus dem Kontextmen eines bereits freigegebenen

    Ordners aufgerufen, lassen sich nur noch die Berechtigungen ndern und die Freigabe entfernen.

    10.2.2 Erweiterte Freigabe

    Sollen detailliertere und abgestuftere Zugriffsberechtigungen festgelegt werden, kommt man um die Verwendung der erweiterten Freigabe nicht herum.

    Sie finden diese in der Registerkarte Freigabe im Kontextmen eines freizugebenden Ordners (siehe Abb. 10.4).

  • 384 10. Verzeichnisfreigaben einrichten und verwalten

    Abb. 10.4. Registerkarte Freigabe

    Nach Auswahl der Schaltflche Erweiterte Freigabe... ffnet sich das in

    Abb. 10.5 gezeigte Fenster mit den Einstellungen der erweiterten Freigabe. In ihm kann festgelegt werden, ob ein Ordner freigegeben werden soll bzw. die Freigabe beendet werden soll.

    Des weiteren lsst sich die Anzahl der Benutzer, die eine Freigabe gleichzeitig nutzen (d. h., sich mit ihr verbinden) knnen, steuern. Je nach Vista-Version ist das Maximum auf fnf oder 10 beschrnkt. Soll die Last auf einem Rechner oder die Verbindungen auf die Anzahl erworbener Li-

  • 10.2 Verzeichnisfreigaben 385

    zenzen eines in einer Freigabe befindlichen Programms beschrnkt wer-den, kann es auch sinnvoll sein, weniger als das Maximum festzulegen.

    Zudem knnen Verzeichnisse nur mit der erweiterten Freigabe bei Be-darf mehrfach (ggf. auch mit unterschiedlichen Sicherheitseinstellungen) freigegeben werden.

    Die bereits eingerichteten Freigabenamen lassen sich in der gleichnami-gen Leiste auswhlen und ihre Optionen anzeigen. Dabei ist der Freigabe-name der letzte Teil einer UNC-Angabe der vordere Teil (mit zwei um-gekehrten Schrgstrichen versehen, kennzeichnet den Rechner und ent-spricht seinem NetBIOS-Namen).

    Abb. 10.5. Verwaltung von Verzeichnisfreigaben

    Soll eine neue Freigabe eingerichtet werden, wird die Schaltflche Hin-

    zufgen bettigt. Es ffnet sich dann ein Fenster mit dem Titel Neue Frei-gabe (siehe Abb. 10.6)

  • 386 10. Verzeichnisfreigaben einrichten und verwalten

    Abb. 10.6. Erstellen einer neuen Verzeichnisfreigabe

    In diesem Fenster wird der Name der neuen Freigabe eingetragen (wird

    dabei ein $-Zeichen an den Namen angehngt, ist sie in der Netzwerkum-gebung nicht sichtbar), eine wahlfreie Beschreibung sowie das bereits o-ben erwhnte Limit von gleichzeitigen Verbindungen mit ihr, und ber ei-nen Klick auf OK besttigt. Sollte der Freigabename an diesem System schon existieren, erscheint eine Fehlermeldung, denn UNC-Pfade mssen im Netzwerk eindeutig sein.

    Freigaben lassen sich auch ber die Systemsteuerung (unter Verwaltung Computerverwaltung Freigegebene Ordner) oder direkt mit dem ent-sprechenden MMC-Snap-In (Freigegebene Ordner) verwalten. Zur Ver-wendung in einer Eingabeaufforderung oder in Skripten steht der Net Sha-re-Befehl zur Verfgungen, mit dem gleichfalls Freigaben verwaltet wer-den knnen.

    10.3 Freigabeberechtigungen

    ber die in den Abbildungen 10.5 und 10.6 dargestellte Schaltflche Be-rechtigungen lsst sich das Berechtigungsfenster aufrufen, in dem der Zugriff ber das Netzwerk gesteuert wird. Es ist in Abb. 10.7 wiedergege-ben.

  • 10.3 Freigabeberechtigungen 387

    Abb. 10.7. Freigabeberechtigungsfenster

    An Berechtigungen lassen sich fr jede Gruppe, Einzelbenutzerkonten

    und vordefinierte Gruppen die aufeinander aufbauenden Stufen Lesen, n-dern oder Vollzugriff erlauben bzw. den Zugriff explizit verweigern. Der Vollzugriff beinhaltet dabei die nderungsberechtigungen und erlaubt zu-stzlich die Berechtigungen festzulegen.

    Wenn ein bestimmter Benutzer nicht Mitglied einer der gelisteten Grup-pen oder hier nicht ausdrcklich aufgefhrt ist, ist der Zugriff nicht er-laubt.4

    4 Das darf aber nicht mit dem ausdrcklichen Verweigern verwechselt werden!

  • 388 10. Verzeichnisfreigaben einrichten und verwalten

    Falls Benutzer durch Mitgliedschaft in mehreren Gruppen bzw. durch ausdrcklich fr sie festgelegte Berechtigungen unterschiedliche Stufen er-halten haben, gilt die jeweils hchste. Die Berechtigungen Lesen, Schrei-ben und Vollzugriff werden kumuliert, mit der Magabe, dass die hchste Prioritt die Verweigerung einer Berechtigung hat. So lassen sich auch nachtrglich Berechtigungen wieder entziehen, die zuvor eingerumt wor-den sind.

    Obwohl grundstzlich mglich sollten nicht zuletzt aus diesem Grund fr die Berechtigungsvergabe Gruppen verwendet werden! Die Verwen-dung von Einzelbenutzerkonten ist fr grere Netzwerke sehr umstnd-lich und sollte fr Ausnahmen vorbehalten sein.

    10.4 Zwischenspeicherung

    Normalerweise greifen Benutzerinnen und Benutzer in Netzwerken stets direkt auf Server zu und diese stehen durchweg jederzeit zur Verfgung.

    Nun gibt es aber Benutzer, die zeitweilig an das Unternehmensnetzwerk angeschlossen sind, und dann eben auch mal nicht: Das sind typischerwei-se Notebook-Benutzer. In aller Regel weisen Administratoren auch diese an, ihre Dateien zentral auf Dateiservern zu speichern, damit sie verein-facht gesichert werden knnen. Auerdem benutzen auch sie gemeinsame Dateien.

    Benutzer von Freigaben knnen Einstellungen fr so genannte Offline-dateien treffen, die dann auf ihren Gerten zwischengespeichert werden. Modifizieren lsst sich der Umfang der Speicherung, die Synchronisati-onsaktionen etc.

    Etwas weniger bekannt ist, dass entsprechende Einstellungen nicht nur beim Client, sondern auch beim Server (dort ist die Freigabe eingerichtet) getroffen werden knnen. Die Auswahl der Schaltflche Zwischenspei-chern (siehe Abb. 10.5) ffnet das in Abb. 10.8 dargestellte Offlineeinstel-lungsfenster.

  • 10.4 Zwischenspeicherung 389

    Abb. 10.8. Offline-Einstellungen einer Verzeichnisfreigabe

    In der Voreinstellung ist die Offlinedateispeicherung erlaubt. Mit der

    ersten Option werden nur die Dateien, Dokumente und Programme offline verfgbar gemacht, welche die Benutzer explizit ausgewhlt und fr die Offlinezwischenspeicherung gekennzeichnet haben.

    Mit der zweiten Option geschieht das automatisch: Alle von Benutzern jemals geffneten Dateien und Ordner werden nachfolgend auf ihren Ger-ten zwischengespeichert. Dabei lsst sich zustzlich das Kstchen Hohe Leistung auswhlen, mit dem Programme so zwischengespeichert werden, dass sie lokal ausgefhrt werden knnen. Das ist besonders fr Server ge-eignet, die Programmdateien freigeben.

    Mit der dritten Option lsst sich das Zwischenspeichern von Dateien auf den Gerten unterbinden. Das ist ntzlich um zu verhindern, dass vertrau-liche Dokumente auf den verbundenen Gerten gespeichert werden und wird von Microsoft fr sichere Netzwerke empfohlen.

    In Unternehmensumgebungen knnen die Offline-Datei-Einstellungen auch per Active-Directory-Gruppenrichtlinien verwaltet werden.

  • 390 10. Verzeichnisfreigaben einrichten und verwalten

    10.5 Zugriffberechtigungen und Kombination mit NTFS-Berechtigungen

    Wir haben schon gesehen, dass sowohl freigegebene Ordner und die darin enthaltenen Dateien und Unterordner mit Sicherheitseinstellungen verse-hen werden knnen, als auch ber den Menpunkt Sicherheit diese Objek-te selbst und unabhngig davon, ob sie freigegeben wurden oder nicht, mit Zugriffsbeschrnkungen versehen werden knnen.

    Doch wo sind die Unterschiede? Und was ist, wenn in diesen beiden un-terschiedlichen Sicherheitssystemen unterschiedliche Einstellungen getrof-fen wurden: Was gilt in dem Fall?

    Verzeichnisse knnen stets und unabhngig von dem sie speichernden Dateisystem (z. B. FAT, FAT32, NTFS, CDFS etc.) im Netzwerk freige-geben werden. Es gibt dabei die vier schon vorgestellten Stufen Lesen, ndern, Vollzugriff und Zugriff verweigern. Die festgelegten Einstellun-gen treffen dabei gleichermaen fr alle Dateien in dem Ordner, alle Un-terordner und die darin befindlichen Dateien zu. Es ist also nicht mglich, fr bestimmte Dateien oder Unterordner unterschiedliche Berechtigungen festzulegen.5

    Die Zugriffsbeschrnkungen von Freigaben gelten stets nur beim Zu-griff ber das Netzwerk, fr lokale Benutzer, die am selben Computer ar-beiten, gelten sie nicht. Es ist jedoch mglich, bsp. zum Testen der Einstel-lungen, sich selbst mit den eigenen Freigaben zu verbinden: Obwohl in diesem Fall kein Bit den Rechner verlsst, werden die Freigabeberechti-gungen weil ein Netzwerkzugriff simuliert wird beachtet.

    NTFS-Berechtigungen hingegen gelten immer: Egal, ob lokal oder ber das Netzwerk auf Objekte zugegriffen wird, werden durch das Betriebssys-tem die gesetzten Berechtigungen beachtet.

    Bei der Ermittlung der jeweiligen Zugriffsberechtigungen verfhrt Vista wie folgt: Zunchst werden die Freigabeberechtigungen eines Benutzers ermittelt. Durch die Mitgliedschaft in verschiedenen Benutzergruppen und unterschiedliche darauf gesetzte Berechtigungen kann es zu einer Unein-deutigkeit kommen. Vista kumuliert in diesem Fall die Berechtigungen, die hchste gilt: Lesen, ndern, Vollzugriff bzw. Zugriff verweigern. Also selbst wenn ein Administrator durch die Mitgliedschaft in bsp. fnf Grup-pen den Vollzugriff auf eine Ressource erhlt, aber auch nur einmal Zugriff verweigern, gilt letzteres als hchste Stufe.

    5 Wenn das gewnscht wird, sollten mehrere Freigaben (ggf. auch versteckt durch

    ein angehngtes Dollarzeichen) eingerichtet oder mit NTFS-Berechtigungen ge-arbeitet werden.

  • 10.5 Zugriffberechtigungen und Kombination mit NTFS-Berechtigungen 391

    Ist ein Benutzer bsp. Mitglied in sechs Gruppen, denen jeweils lesenden Zugriff gewhrt wrde, erhlt aber ein Mal die Berechtigung ndern, gilt diese.

    Analog wird bei der Ermittlung der Zugriffsstufe bei NTFS-Berechti-gungen verfahren: Auch hier gilt das kumulative Konzept. Die Feinheiten liegen im Detail: Zum einen gibt es wesentlich feiner abgestufte Einzelbe-rechtigungen, die NTFS-Berechtigung stehen zwangslufig nur auf NTFS-Partitionen zur Verfgung, und es knnen Berechtigungen auf einzelne Da-teien festgelegt werden. Das NTFS-Berechtigungssystem wird daher gele-gentlich auch als File-level-security bezeichnet.6

    Bei der Ermittlung der effektiven Zugriffsberechtigungen eines Netz-werkbenutzers auf eine Ressource eines Computers werden zuerst die der Freigabe ermittelt und dann die der NTFS-Berechtigungen. Beide Male wird dabei das kumulative Konzept verwendet.

    Sind die Zugriffsberechtigungen, die mit den beiden Sicherheitssyste-men festgelegt wurden, ermittelt, werden sie miteinander verglichen: An-ders als vorher gilt nun nicht mehr die Kumulation, sondern die jeweils re-striktivste Berechtigung. Zwei Beispiele hierzu: Hat eine Person durch die Freigabeberechtigungen Vollzugriff gewhrt bekommen, durch die NTFS-Berechtigungen aber nur einen lesenden Zugriff, gilt letzterer. Hat eine an-dere Person bsp. durch die NTFS-Berechtigungen die Zugriffsstufe n-dern erhalten und durch die Freigabeberechtigungen Lesen, gilt auch hier die restriktivere Berechtigung Lesen.

    Die meisten Administratoren gewhren Netzwerkbenutzern (wegen der Mehrdeutigkeit bei Netzwerk- bzw. lokalen Zugriffen) die Freigabeberech-tigungen Vollzugriff7 und steuern die gewnschte Zugriffsstufe fr die Benutzer ausschlielich ber die NTFS-Berechtigungen. Diese sind schlielich granularer und gelten unabhngig von welchem Ort zugegriffen wird.

    6 Die Freigabeberechtigungen arbeiten auf dem Share-level, also der Ebene des

    freigegebenen Ordners. 7 Wenn hier lediglich ndern erlaubt wre, knnten ber das Netzwerk von Be-

    rechtigten keine Besitzwechsel durchgefhrt werden und Berechtigungen gen-dert werden auch wenn sie durch die NTFS-Berechtigungen gewhrt worden sind.

  • 11. Ressourcen und Ereignisse berwachen

    Zum berwachen der Systemleistung und der Systemnutzung durch Netz-werkbenutzer gibt es unter Vista einige, auch neue, Programme und Funk-tionen.

    11.1 Die Ereignisanzeige

    In der Systemsteuerung befindet sich in dem Unterpunkt Verwaltung die Ereignisanzeige. Im Vergleich zu den Windows-Vorgngerversionen ist ih-re Darstellung fast nicht wiederzuerkennen: Zwar sind u. a. weiterhin die Windows-Teil-Protokolle System, Sicherheit und Anwendung vorhanden, aber eben auch viele neue Funktionen und weitere Protokolle.

    Das beginnt beispielsweise schon beim Datenformat der Ereigniseintr-ge, das nun (wie schon bei der Betrachtung der .Ini-Dateien gesehen) gleichfalls vollstndig XML-basiert (eXtended Markup Language) ist.

    Im ersten Bildschirm wird eine zusammenfassende bersicht ber alle vorliegenden Ereignisse in aggregierter Form prsentiert (siehe Abb. 11.1). Im Kontext-Men (und ber den Menpunkt Aktion) lassen sich benutzer-definierte Ansichten und Protokolle erstellen, speichern und laden sowie weitere, ausfhrliche analytische und Debug-Protokolle einblenden und administrative Rechte vorausgesetzt - die Ereignisanzeige eines anderen, ber das Netzwerk verbundenen Computers ffnen. Dabei ist auch das Format der benutzerdefinierten Ansichten XML-basiert. Hinter ihnen ver-birgt sich jedoch lediglich eine Filterung der Ereignisse nach vielen Krite-rien (siehe Abb. 11.2). Fr Experten gibt es auch die Mglichkeit der An-sicht und Eingabe der Kriterien im XML-Format. Das wird ber die Regis-terkarte XML (siehe unten) bewirkt.

    In den Anwendungs- und Dienstprotokollen werden Ereignisse von Win-dows-Vista-Funktionen und -Diensten und auch von der Microsoft Win-dows CodeIntegrity aufgefhrt. Sie generiert Warnmeldungen, wenn Ker-nel-Treiber nicht signiert wurden.

    Zum Einrichten von Abonnements (das sind Sammlungen von Ereignis-sen anderer Computer auf einem zentralen System) muss der Windows Er-

  • 394 11. Ressourcen und Ereignisse berwachen

    eignissammlungsdienst aktiviert werden, was jedoch nicht voreingestellt ist. Die empfangenen Eintrge lassen sich dann unter dem Protokoll na-mens Weitergeleitete Ereignisse ansehen.

    Als wre es noch nicht genug, lassen sich ber den Menpunkt Ansicht auerdem noch Analytische und Debug-Protokolle einblenden. Sie bein-halten aber im allgemeinen nur Eintrge, wenn bei den betreffenden Diens-ten das Tracing zu Diagnosezwecken explizit aktiviert wurde. Im Normal-betrieb sollte es deaktiviert sein, weil es die Systemleistung reduziert.

    Die Ereignisanzeige selbst ist als MMC-3.0-Snap-In realisiert worden, und besitzt somit auch ein Aktionsfeld, das am rechten Fensterrand ein- und ausgeblendet werden kann.

    Abb. 11.1. Die Ereignisanzeige

  • 11.1 Die Ereignisanzeige 395

    Abb. 11.2. Festlegen einer benutzerdefinierten Ansicht in der Ereignisanzeige

    Als Protokolle der Ereignisanzeige gibt es Anwendung, Sicherheit, Ein-

    richtung, System, und Weitergeleitete Ereignisse, die allesamt unter dem Ordner Windows-Protokolle aufgefhrt sind, sowie DFS-Replikation, Hardware-Ereignisse, Internet Explorer, Key Management Service und Media Center, die sich in den Anwendungs- und Dienstprotokollen befin-den. Dabei ist jedes Protokoll konfigurierbar: Nach Auswahl von Eigen-schaften... aus dem Kontextmen eines Protokolls ffnet sich ein Fenster (siehe Abb. 11.3), in dem u. a. seine Gre, der Speicherpfad und die Min-destvorhaltdauer von Eintrgen konfiguriert werden kann.

  • 396 11. Ressourcen und Ereignisse berwachen

    In der Voreinstellung werden beim Erreichen der maximalen Protokoll-gre die jeweils ltesten Eintrge abgeschnitten. Diese Tatsache knnte ein Angreifer ausnutzen, um durch das Generieren ganz vieler unsinniger Eintrge die Protokolleintrge von ihm vorher ausgefhrter Aktionen zu berschreiben.

    Abb. 11.3. Protokolleigenschaften

    Durch ffnen eines einzelnen Eintrags in einem Protokoll (z. B. durch

    einen Doppelklick mit der Maus) ffnet sich ein Fenster wie in Abb. 11.4 gezeigt, in dem eine Zusammenfassung und (ber die gleichnamige Regis-terkarte) die Details des betreffenden Ereignisses angezeigt werden. Mit den Pfeiltasten am rechten Fensterrand kann sequentiell durch die anderen Eintrge gerollt werden.

  • 11.1 Die Ereignisanzeige 397

    Abb. 11.4. Ereigniseigenschaftsfenster

    Je nach zunehmendem Schweregrad eines Fehlers wird bei den Ereig-

    nissen zwischen Ausfhrlich, Informationen, Warnung, Fehler und Kritisch unterschieden.

    Eine neue Funktion in der Ereignisanzeige in Windows Vista ist der Punkt Aufgabe an dieses Ereignis anfgen..., der im Kontextmen eines beliebigen Eintrags aufgerufen werden kann: mit ihm lassen sich Benach-richtigungen beim erneuten Auftreten eines bestimmten Ereignisses konfi-gurieren.

    Des weiteren gibt es auch die Option des Abonnements: Damit knnen Ereignisse von mehreren Computern eines Netzwerks regelmig an zen-traler Stelle empfangen und dort ausgewertet werden.

    Voraussetzungen fr diese Funktion sind das Besitzen administrativer Rechte und dass der Windows-Ereignissammlungsdienst aktiviert wurde.

    Generell ist die Ereignisanzeige ein idealer Start-Ort fr die Fehlersuche bei Systemen: Zeigt sie doch die letzten Aktivitten eines Rechners an, be-vor das Fehlverhalten auftrat.

    Auch bei scheinbar strungsfrei laufenden Computern werden sich im allgemeinen in der Ereignisanzeige viele Eintrge (mitunter sogar kriti-sche!) finden, so dass nur dazu geraten werden kann, auch ohne Fehler-

  • 398 11. Ressourcen und Ereignisse berwachen

    meldung periodisch in das Ereignisprotokoll zu sehen! Sie werden ber-rascht sein, nachdem Sie es das erste Mal gemacht haben.

    In der Ereignisanzeige knnen benutzerdefinierte Ansichten neu erstellt und bestehende Protokolle gefiltert werden - durch Wahl der Option Beste-hendes Protokoll filtern... im Kontextmen des betreffenden Protokolls.

    Nach Auswahl der Schaltflche Manuell bearbeiten links unten im dar-aufhin erscheinenden Fenster, weist Vista in einem neuen Fenster namens Ereignisanzeige darauf hin, dass manuell erstellte oder abgenderte Abfra-gen nicht mehr mit den Steuerelementen der Registerkarte Filter desselben Fenster (Benutzerdefinierte Ansicht) gendert werden knnen und fragt, ob wirklich eine manuelle Vernderung durchgefhrt werden soll.

    Der Verlust der beschriebenen Methoden ist kein wirklicher Verlust, denn nun werden die Filterbedingungen lediglich (und viel flexibler als das in der Registerkarte Filter mglich ist) in der XML-Abfrage festgelegt.

    Diese benutzerdefinierten Abfragen knnen auch (im Format XML) ge-speichert und geladen werden - letzteres auch auf anderen Vista-Compu-tern: So knnen dieses benutzerdefinierten Ansichten auf mehreren Rech-nern angewendet werden, ohne dass sie jeweils neu erstellt werden mssten.

    Ein Beispiel einer benutzerdefinierten und XML-basierten Abfrage: Um alle Ereignisse des DNS-Serverprogramms zu erhalten, kann durch Wahl aus dem Kontextmen der Option Benutzerdefinierte Ansicht erstellen... und Eingabe in der XML-Registerkarte folgenden Textes selektiv auf die DNS-Eintrge gefiltert werden.

    *[EventData[(Data='dns.exe')]] Es muss dabei jedoch unbedingt auf korrekte Schreibweise des Anwen-

    dungsnamens (hier bsp. 'dns.exe') geachtet werden! Platzhalter wie * und ? knnen zwar an anderen Stellen, aber nicht dort verwendet werden.

    Die gleiche Abfrage knnte brigens auch beim Punkt Aktuelles Proto-koll filtern... im Kontextmen des Systemprotokolls eingegeben werden.

    Die Protokolldateien knnen (und sollten) gesichert werden! Dazu wird beim betreffenden Protokoll aus seinem Kontextmen die Option Ereignis-se speichern unter... gewhlt und danach der Pfad, der Dateiname und das Format festgelegt. Zur Verfgung stehen dabei .evtx (das ist das spezielles Vista-XML-Protokollformat), .XML (fr die Speicherung als regulre

  • 11.2 Zuverlssigkeits- und Leistungsberwachung 399

    XML-Datei), .txt (Tabulator-getrennte Datei) und .csv (durch Kommata ge-trennte Werte). Vista schlgt in der Voreinstellung das erste Format vor.

    Die Wahl des Formats sollte dabei mit Bedacht und in Abhngigkeit des Verwendungszwecks des gespeicherten Protokolls erfolgen, denn zum er-neuten ffnen in der Ereignisanzeige stehen unter Vista nur die Formate .evtx (Voreinstellung), .evt (fr Ereignisanzeigedateien von vorherigen Windows-Versionen und .etl (fr Ablaufverfolgungsprotokolldateien) zur Verfgung.

    Mit der Speicherung im .evtx-Format macht man im allgemeinen nichts verkehrt, da diese Dateien bei Bedarf spter stets geffnet und ggf. immer noch in einem anderen Format gespeichert werden knnen.

    Auch das Speichern einzelner, ausgewhlter Ereignisse ist nun mglich: Durch Markieren der betreffenden Eintrge mit den Umschalt- und Steue-rungstasten und nachfolgender Auswahl der Option Ausgewhlte Ereignis-se speichern... aus ihrem Kontextmen lassen sie sich gesondert festhalten.

    Die ffnung und Darstellung gespeicherter Protokolldateien erfolgt ber den Menpunkt Gespeicherte Protokolldatei ffnen...

    11.2 Zuverlssigkeits- und Leistungsberwachung

    Diese neue Funktion zeigt unter anderem in der Ressourcenbersicht Informationen ber die Auslastung eines Vista-Systems.

    Gut, diese htte man z. B. auch dem Task-Manager entnehmen knnen. Aber Sammlungsstze und Berichte (siehe Abb. 11.5) bietet er dagegen je-doch nicht.

    Die Zuverlssigkeits- und Leistungsberwachung besteht neben der schon erwhnten Berichts- und Sammlungssatzfunktion aus den beiden Hauptberwachungstools Systemmonitor und der Zuverlssigkeitsberwa-chung.

    ber den Menpunkt Aktion lsst sich eine Verbindung zu einem ande-ren Computer, dessen Informationen dann dargestellt werden, herstellen. Wenn dieser eine Windows-Version vor Vista ausfhrt, stehen nur die In-formationen bereit, die das betreffende Betriebssystem hat.

  • 400 11. Ressourcen und Ereignisse berwachen

    Abb. 11.5. Die Zuverlssigkeits- und Leistungsberwachung

    Die in Abb. 11.5 gezeigte Ressourcenbersicht lsst sich auch eigen-

    stndig ber die Befehlszeile perfmon /res aufrufen. Sie arbeitet aber in je-dem Fall nur lokal, nicht remote!

    11.2.1 Systemmonitor

    Das erste Tool, der Systemmonitor, ist eine berarbeitete Version der von den vorigen Windows-Versionen bekannten Leistungsberwachung (engl. Performance Monitor), nutzt aber anders als diese kein WMI (Windows Management Instrumentarium) mehr.

    Der Systemmonitor ist in Abb. 11.6 abgebildet.

  • 11.2 Zuverlssigkeits- und Leistungsberwachung 401

    Abb. 11.6. Der Systemmonitor

    In der Mitte des Fensters wird ein Diagramm ber die am unteren Fens-

    terrand dargestellten Leistungsindikatoren in Echtzeit dargestellt. Neben der Echtzeitdarstellung lassen sich Protokolle aber auch in Dateien und ber die ODBC-Schnittstelle1 ansprechbare Datenbanken bzw. -quellen speichern und spter wieder laden und darstellen.

    Die Darstellungsart kann zwischen den Arten Linien-Diagramm, Histo-gramm und Tabellarisch gewhlt werden.

    Die Steuerung des Systemmonitors erfolgt am zweckmigsten ber die am oberen Fensterrand dargestellte Leiste mit Symbolen. Dabei steuern die ersten drei die Darstellung und Diagrammart. Mit dem grnen Plus-Zei-chen lassen sich Leistungsindikatoren hinzufgen2, mit dem roten X ent-fernen. Das Stift-Symbol daneben (oder die Tastenkombination Strg+H) hebt markierte Leistungsindikatoren im Diagramm hervor.

    1 Diese Abkrzung steht fr Open DataBase Connectivity. 2 Das sich dann ffnende Fenster ist in Abb. 11.7 dargestellt.

  • 402 11. Ressourcen und Ereignisse berwachen

    Mit den Kopieren- und Einfgen-Symbolen lassen sich die Eigenschaf-ten der Anzeige im HTML-Format in die oder von der Zwischenablage kopieren und einfgen.

    Im Kontextmen des Diagramms knnen die Einstellungen als HTML- oder TSV-(Tabulator Separated Values)-Dateien speichern. Und das Bild selbst kann als GIF-Datei gespeichert werden. Aus ihm lsst sich ber Ei-genschaften... ein Fenster ffnen, in dem Einstellungen ber die System-steuerung festgelegt werden knnen.

    Abb. 11.7. Hinzufgen eines Leistungsindikators

    Der Systemmonitor kann auch ber den Befehl perfmon /sys gestartet

    werden und viele Aktionen des Systemmonitors lassen sich ber den logman-Befehl (bei Bedarf auch skriptgesteuert) erzielen.

    11.2.2 Zuverlssigkeitsberwachung

    Das zweite Tool, neu erstellt und Zuverlssigkeitsberwachung genannt, gibt Auskunft ber die Stabilitt eines Vista-Rechners: Wie viele Tage wur-

  • 11.2 Zuverlssigkeits- und Leistungsberwachung 403

    de er nicht neu gestartet, sondern lief ununterbrochen, welche Fehlermel-dungen (die zugleich im Ereignisprotokoll gespeichert werden) sind aufge-treten, etc. Daraus wird dann ein Systemstabilittsdiagramm erzeugt und ein Zuverlssigkeitsindex errechnet. In Abb. 11.8 sehen Sie diesen oben rechts. Er hat dort einen Wert von 9,14, weil wenige Tage zuvor ein kriti-scher Fehler und eine Warnmeldung aufgetreten sind.

    Abb. 11.8. Die Zuverlssigkeitsberwachung

    Das Diagramm zeigt im zeitlichen Verlauf eine Art Zuverlssigkeitsin-

    dex auf einer Skala von 0 (ganz schlecht) bis 10 (optimal) sowie ausge-whlte Eintrge des Ereignisprotokolls in den Kategorien Softwareinstalla-tionen, Anwendungsfehler, Hardwarefehler, Windows-Fehler und Ver-schiedene Fehler an. Die jeweiligen Symbole knnen angeklickt werden: Dadurch werden die betreffenden Eintrge des ausgewhlten Tages aus-fhrlich unten im Fenster angezeigt.

    ber die Schaltflche oben rechts im Fenster lsst sich ebenfalls ein be-stimmtes Datum oder der gesamte abgebildete Zeitraum auswhlen. Alle betreffenden Fehler werden dann dargestellt.

  • 404 11. Ressourcen und Ereignisse berwachen

    Auer ber das MMC-Snap-In lsst sich die Zuverlssigkeitsberwa-chung brigens auch ber die Befehlszeile perfmon /rel aufrufen.

    Der Systemstabilittsindex ist ein ber die Zeit gewichteter Index. Vor kurzem aufgetretene, und unter Umstnden einmalige, Ereignisse senken ihn strker als ltere Ereignisse. Dies bewirkt aber auch eine strkere Erh-hung des Indexes fr behobene Fehler.

    Wenn es nicht gengend Werte zur Errechnung des Systemstabilittsin-dexes gibt (weniger als 28 Tage mit Daten), erscheint dieser nicht als durchgezogene Linie, sondern als gepunktete Linie. Tage, an denen das System heruntergefahren ist, werden weder als stabile, noch als instabile Tage gewertet, sondern gehen berhaupt nicht in die Bildung des Indexes ein.

    Die Datensammlung bernimmt hierbei ein Dienst namens RACAgent (Reliability Analysis Component). Wenn er nicht luft, steht fr ein System keine Zuverlssigkeitsberwachung zur Verfgung.

    Sollen Zuverlssigkeitsdaten eines anderen Systems ber das Netzwerk angezeigt werden, muss dafr auf ihm zustzlich der Remoteregistrie-rungsdienst aktiviert sein.

    11.2.3 Systemdiagnose

    Eine weitere Funktion der Zuverlssigkeits- und Leistungsberwachung, die allerdings nicht ber die grafische Benutzeroberflche aufgerufen wer-den kann, ist die Systemdiagnose. Dazu wird die Befehlszeile perfmon /report eingegeben. Das System wird dann fr 60 Sekunden mit Hilfe des Sammlungssatzes Systemdiagnose beobachtet und anschlieend ein Be-richt erstellt, der ausfhrliche Informationen ber das System, ber Prozes-se, lokale Hardwareressourcen und Systemantwortzeiten enthlt. Auer-dem macht Vista Vorschlge zur Maximierung und Optimierung der Systemleistung.

    11.3 Netzwerkmonitor

    In den Vorgngerversionen von Windows gab es als Betriebssystembe-standteil stets den Netzwerkmonitor. Mit diesem, dem bekannten Netz-werkprotokollanalyzer Ethereal3 hnlichen Programm konnten die ein- und

    3 http://www.ethereal.com

  • 11.3 Netzwerkmonitor 405

    ausgehenden Pakete von Netzwerkschnittstellen eines Systems protokol-liert, gespeichert und analysiert werden.4

    Diese Funktionalitt war insbesondere sehr ntzlich bei der protokollbe-zogenen Fehlersuche im Netzwerk.

    Microsoft hat entschieden, es nicht mehr in andere Sprachen zu berset-zen und es mit Vista nicht mehr auszuliefern. Daher soll es in diesem Vista-Buch auch nicht nher beschrieben werden.

    Der Netzwerkmonitor kann als eigenstndiges Programm vom Micro-soft-Web ausschlielich in der englischsprachigen Version heruntergeladen werden und wurde gegenber den vorigen Versionen vollstndig berarbei-tet. Die URL des Netzwerkmonitors in der Version 3.1 lautet: http://www.microsoft.com/downloads/details.aspx?FamilyID=18b1d59d-f4d8-4213-8d17-2f6dde7d7aac. Er steht nicht nur fr Vista, sondern auch fr Windows XP und Windows Server 2003 sowohl in den 32-Bit- als auch 64-Bit-Versionen bereit.

    Auf letzteren kann es auf Wunsch neben der internen 2.x-Version instal-liert werden, vertrgt sich aber nicht mit einer gleichzeitig installierten 3.0-Version des Netzwerkmonitors. Sie muss vorher deinstalliert werden, was das Setup-Programm der neueren Version selbst durchfhrt.

    4 Soweit die regulre Lite-Version. Die Vollversion, die aber nur mit dem Sys-

    tems Management Server (SMS) ausgeliefert wird, erlaubt die Analyse von be-liebigen Windows-Rechnern im Netz (wiederum nur mit administrativen Rech-ten auf den Zielsystemen).

  • 12. Mobile Computing

    Unter mobilem Arbeiten wird im allgemeinen der Betrieb eines Computers ohne Verbindung mit Strom- und Netzwerkkabel verstanden. Dazu muss das mobile Gert eine eigene Stromversorgung besitzen. Dies wird bli-cherweise mittels Akkumulatoren auf Lithiumbasis realisiert.

    Da keine permanente, oder hufig nur eine (drahtlose) Netzwerkverbin-dung mit geringer Bandbreite vorhanden ist, stehen die Unternehmensres-sourcen nur in stark eingeschrnktem Umfang zur Verfgung. Damit ein mobiles Gert sinnvoll eingesetzt werden kann, muss dieses daher eine ho-he Ressourcenautonomie haben. Gleichzeitig mssen Vorkehrungen fr die Datensicherheit und -vertraulichkeit getroffen werden. Dazu bieten sich verschlsselte und authentifizierte bertragungswege (z. B. mittels VPN, SSL oder IPSec). Gleiches gilt fr die Datenspeicherung auf dem Gert. Dafr bietet Vista EFS und BitLocker, die schon in den vorigen Kapiteln beschrieben wurden.

    12.1 Mobilittscenter

    Zur Steuerung eines mobilen Gerts (wie eines Notebooks) und nur auf diesen, was Vista ber das Vorhandensein eines Akkus abprft steht das Windows-Mobilittscenter (siehe Abb. 12.1) zur Verfgung. In ihm werden in einer variablen Anzahl Kacheln mit Funktionen angezeigt. Dabei wer-den nur solche Kacheln verwendet, fr die das Gert eine Steuerungsmg-lichkeit vorsieht. In dem in Abb. 12.1 gezeigten Mobilittscenter fehlt bsp. die Kachel Anzeigeorientierung, mit der die Ausrichtung des Monitors zwischen horizontal und vertikal eingestellt werden kann. Diese ist in aller Regel auf Tablet-PCs verfgbar, aber nicht auf dem hier verwendeten No-tebook.

    Hardwarehersteller knnen zustzliche, eigene Kacheln programmieren (z. B. zum Ein- und Ausschalten der Tastaturbeleuchtung) und mit Win-dows Vista ausliefen.

  • 408 12. Mobile Computing

    Abb. 12.1. Das Windows-Mobilittscenter

    Das Mobilittscenter kann durch Drcken der Tastenkombination Win-

    dows-Taste+X, ber das Energiesymbol im Infobereich unten rechts am Bildschirm oder ber das Symbol Mobil-PC aus der Systemsteuerung auf-gerufen werden.

    Praktisch ist, dass nun ein Energieschema (siehe Kap. 12.2) fr Prsen-tationen direkt aufgerufen werden kann, welches verhindert, dass whrend einer Prsentation der Monitor ausgeschaltet wird.

    12.2 Energieschemata

    In der Voreinstellung stehen drei Energieschemata zur Verfgung: Energie-sparmodus, Ausbalanciert und Hchstleistung, die in der genannten Rei-henfolge eine jeweils hhere Systemleistung bewirken, was aber leider zu lasten der Akkulaufzeit geht.

    Wer mit den Voreinstellungen unzufrieden ist, kann sich eigene Energie-sparplne erstellen oder die Voreinstellungen modifizieren.

    Folgende Einstellungen lassen sich in einem Energiesparplan festlegen:

    Feste oder dynamische Inaktivittszeitdauer, nach deren Ablauf der Bildschirm ausgeschaltet wird

    Inaktivittszeitdauer, nach der die Festplatte ausgeschaltet wird Leistung des Drahtlosnetzwerkadapters Leistung von PCI-Express-Gerten (ASPM)

  • 12.3 Offline-Ordner 409

    Aktion bei Drcken des Gertenetzschalters Aktion bei Auswhlen des Netzschaltersymbols im Startmen Ob im Energiesparmodus indiziert werden soll und Multimediaeinstellungen

    Die vordefinierten Energieplne knnen nicht gelscht werden. Das ist

    nur bei Selbsterstellten mglich. Mit dem Energie-Programm wird schlielich festgelegt, welche Plne

    zum Einsatz kommen sollen, wenn das Gert im Akkumulator- oder Netz-betrieb arbeitet und bei welcher Akkurestlaufzeit es angehalten bzw. herun-tergefahren werden soll.

    12.3 Offline-Ordner

    Fr mobiles Arbeiten ist eine Funktion besonders wichtig, die auch fr normale Arbeitsplatzcomputer in Betracht kommt, falls die Serververbin-dung sporadisch ausfallen sollte: Das sind Offline-Ordner.

    In dem Eigenschaften-Fenster des Stammverzeichnisses einer verbun-denen Freigabe lsst sich in der Registerkarte Offlinedateien festlegen, ob stets eine dezentrale Kopie der gesamten Ordnerstruktur und aller Dateien auf dem Gert, das sich damit verbunden hat, zum Arbeiten ohne Server-verbindung gespeichert sein soll (siehe Abb. 12.2).

    Wenn das bsp. aus Platzgrnden nicht fr alles gelten soll, lsst sich im Kontextmen einer offline zu speichernden Datei oder eines Ordners mit Offline verfgbar machen festlegen, dass sie als Kopie abgelegt wird. Die Synchronisation dieser Dateien erfolgt automatisch (im Normalfall bei der Wiederverbindung mit dem Unternehmensnetzwerk), kann aber auch von Ihnen jederzeit manuell veranlasst werden.

    Der Offline-Dateispeicher wird im Englischen als Client-Side Cache (CSC) bezeichnet und so wurde das betreffende Verzeichnis in der Win-dows-Struktur genannt.

    Vorteilig an Offline-Dateien ist, dass sie eine lese- aber auch vernder-bare Kopie von an zentralen Stellen gespeicherten Dateien sind. Sie stehen damit fr Lese- und Schreibzwecke auch zur Verfgung, wenn ein Gert nicht mit dem Unternehmensnetzwerk verbunden ist.

    Nachteilig daran ist, dass durch diese Funktionalitt ggf. vertrauliche Daten auf mobilen Gerten redundant gespeichert sind.

    Daher kann der Verwalter einer Freigabe bei ihr oder durch eine Active-Directory-Gruppenrichtlinie festlegen, ob eine Offlinespeicherung grund-

  • 410 12. Mobile Computing

    stzlich nicht, stets, nur auf Benutzeranforderung oder gar nicht durchge-fhrt werden soll.

    Zur Erinnerung: In der Voreinstellung werden keine Dateien auf den Clientcomputern offline gespeichert, aber die Anwender haben die Mg-lichkeit, selbst festzulegen, dass bestimmte Dateien, die sie selbst auswh-len knnen, dort gespeichert bleiben sollen.

    Abb. 12.2. Registerkarte Offlinedateien

    Dateien und Ordner, die offline gespeichert werden, werden im Explorer durch ein grnes, rundes Symbol mit zwei kreisfrmigen Pfeilen gekenn-zeichnet.

  • 12.3 Offline-Ordner 411

    Zur Verwaltung der Offline-Dateien existiert das gleichnamige Pro-gramm in der Systemsteuerung (s. Abb. 12.3). In ihm lassen sich u. a. (in der Registerkarte Allgemein) Offline-Dateien deaktivieren und alle Offli-ne-Dateien auflisten, in der Registerkarte Datentrgerverwendung die Gre des temporren Speichers festlegen und auch, ob dieser mit EFS verschlsselt (in der Registerkarte Verschlsselung) werden soll.

    In der Registerkarte Netzwerk lsst sich bestimmen, ob bei langsamen Netzwerkverbindungen (z. B. RAS- oder VPN-Verbindungen ber Mo-dems) nur mit den Offline-Dateien gearbeitet werden soll.

    Abb. 12.3. Das Systemsteuerungsprogramm Offlinedateien

  • 412 12. Mobile Computing

    12.4 Synchronisierung

    Dateiinhalte sind in aller Regel dynamisch: Office-Dokumente werden be-arbeitet und gendert, .Exe und .DLL-Dateien werden durch neue Versio-nen ersetzt etc.

    Was genau passiert also, wenn freigegebene Dateien auf dem Server ge-ndert werden, und was passiert, wenn eine bestimmte Datei auf einem mobilen Gert gendert wurde und es wieder an das Unternehmensnetz angeschlossen wird?

    Hierzu existiert das Synchronisierungscenter (siehe Abb. 12.4), das aus der Systemsteuerung oder dem Infobereich aufgerufen werden kann: Es vergleicht die Datums- und Uhrzeitangaben von Dateien. Sofern nichts an-deres angegeben ist, ersetzt gleich, ob auf dem Server oder einem mobi-len Gert die neuere Version einer Datei die ltere.

    Abb. 12.4. Das Synchronisierungscenter

    Es kann festgelegt werden, wann eine automatische Synchronisierung

    erfolgen soll: Beim Verbinden mit dem Unternehmensnetz, beim Herunter-

  • 12.4 Synchronisierung 413

    fahren des Systems etc. Die Anwenderrinnen und Anwender haben auer-dem noch die Mglichkeit der manuellen Synchronisation, die zu einem ihnen genehmen Zeitpunkt ausgefhrt werden kann, vorzunehmen.

    Sollten Dateien sowohl auf dem Server als auch auf einem mobilen Ge-rt gendert oder Dateien auf dem Server gelscht worden sein, liegt ein originrer Synchronisationskonflikt vor. Windows Vista bietet in diesem Fall an, einer der beiden Dateien auszuwhlen, welche die magebliche Dateien sein soll oder die neuere Datei zu bernehmen und die ltere ent-weder zu verwerfen oder unter einem anderen Namen zu speichern. Die Dateien, die im Konflikt stehen, knnen mit dem Punkt Synchronisie-rungs-Konflikte anzeigen im Aufgabenbereich aufgelistet werden.

    Fr die Offlinedateien hat Vista bereits eine Synchronisierungspartner-schaft eingerichtet. Weitere Partnerschaften lassen sich ber die entspre-chend genannten Punkte im Aufgabenbereich des Synchronisierungscen-ters einrichten und verwalten.

  • 13. Fernzugriff einrichten und verwalten

    Hufig besteht die Notwendigkeit von unterwegs auf den Firmenserver und das Firmennetzwerk zuzugreifen, um bsp. E-Mail von dort abzurufen, Neuigkeiten zu lesen, eine Synchronisation durchzufhren oder einfach nur um auf Ressourcen zuzugreifen, auf die eine Unternehmensfirewall ansonsten keinen Zugriff zuliee.

    Mit Windows Vista kann genau das realisiert werden. Eigentlich keine Neuheit, weil die Windows-Vorgngerversionen ab

    NT4 das auch schon konnten, aber durch die Absicht von Microsoft, die Betriebssysteme sicherer zu machen, haben sich einige nderungen erge-ben. Und diese liegen wie so oft im Detail.

    Aber sehen wir uns alles Wichtige Schritt fr Schritt an.

    13.1 Protokolle

    Im Bereich der Netzwerksicherheit und WAN-Verbindungen gibt es eine Reihe von Protokollen, welche die Echtheit einer Netzwerkkomponente (wie Server, Client, Benutzer etc.) und die Verschlsselung der Daten si-cherstellen.

    Server knnen hierbei bsp. Access Router (fr den Fernzugriff), NAS-Gerte (Network Attached Storage), Microsoft ISA- (Internet Security and Acceleration) oder RRAS (Routing and Remote Access Service)-Server sein.

    Clients sind im allgemeinen PCs, Notebooks, mobile Gerte, PDAs, Mobilfunktelefone u. a.

    Nun gibt es fr den Fernzugriff kein Protokoll, das als die sprichwrtli-che eierlegende Wollmilchsau alle Probleme und Anforderung abdecken knnte, sondern smtliche existierenden Protokolle haben ihre jeweiligen Einsatzgebiete sowie Strken und Schwchen, wie nachfolgend kurz vor-gestellt und diskutiert.

    Vorab schon mal im Schnellberblick die Neuerungen und nderungen, die Vista in diesem Bereich bringt:

  • 416 13. Fernzugriff einrichten und verwalten

    Vista besitzt als neue Kryptografie-Algorithmen AES-(Advanced En-cryption Standard)-128, AES-192 sowie AES-256, und fr den Diffie-Hellman-Schlsselaustausch ECC-256 und ECC-384, die auf Elliptischen Kurven basieren.

    Beide Verfahren sind (insbesondere mit zunehmender Schlssellnge) als erheblich sicherer anzusehen als die zuvor verwendeten DES und RC4.

    Fr VPN-Zwecke stehen aber die in den Vorgngerversionen noch ver-fgbaren X.25 und direkte Verbindungen (ber serielle, parallele, USB- und IEEE-1394-Verbindungen) nicht mehr zur Verfgung. Ebenso werden die schwachen Verfahren SPAP, MS-CHAPv1, MD5, EAP-MD5, DES, RC4-40 und RC4-56 nicht mehr untersttzt. PAP und CHAP sind bei der Einrichtung einer neuen VPN-Verbindung zwar weiterhin existent, aber nicht mehr automatisch ausgewhlt (siehe Abb. 13.8). MS-CHAPv1 ist nun gar nicht mehr verfgbar. Voreingestellt ist allein MS-CHAPv2.

    Das neue PEAP-Verfahren kann jedoch nicht bei lteren Windows-Ver-sionen verwendet werden, was bei der Auswahl der Verschlsselung bei heterogenen Umgebungen beachtet werden muss.

    Neu ist auch, dass L2TP/IPsec neben IPv4 nun auch IPv6 untersttzt. Bei PPTP bleibt es bei IPv4.

    Falls erforderlich (z. B. bei alten Clients oder Servern) knnen die nun als unsicher angesehen Protokolle jedoch noch erzwungen aktiviert wer-den: In der Registrierung muss dafr auf den beteiligten Vista-Rechnern manuell oder per Gruppenrichtlinie der DWORD-Wert HKLM\System\CurrentControlSet\Services\RasMan\Parameters\AllowPPTPWeakCrypto von 0 auf 1 gesetzt werden, bzw. erstellt werden, falls er nicht existiert. Danach muss der RAS-Verbindungs-Manager-Dienst neu gestartet werden. Als Alternative zum Neustart des gesamten Systems bie-ten sich die Funktionen Restart im Dienste-Programm (Systemsteuerung) oder die Befehlskombination Net Stop Rasman und Net Start Rasman in einer Eingabeaufforderung an.

    Empfehlenswerter ist aber die Aufrstung des VPN-Servers auf die str-keren Protokolle (z. B. durch Aktualisierung des Betriebssystems auf Win-dows Server 2008) als die (Re-)Aktivierung der schwachen Verschlsse-lungsprotokolle.

    13.1.1 PAP

    Bei PAP (Password Authentication Protocol) werden der Benutzername und das Kennwort unverschlsselt (also im Klartext) vom Client zum Ser-ver bertragen. Bei ihm muss sich nur der Client gegenber dem Server authentifizieren und es ist somit das unsicherste Authentifizierungsproto-

  • 13.1 Protokolle 417

    koll. Es wird im allgemeinen nur ausgehandelt, wenn der RAS-Client und der RAS-Server kein gemeinsames anderes, sichereres Protokoll aushan-deln knnen.

    Bei der unverschlsselten bertragung solch sensitiver Informationen besteht grundstzlich immer das Risiko des Abfangen von Paketen wh-rend des Authentifizierungsprozesses (bsp. mittels eines Protocol Analy-zers oder Software wie dem Netzwerkmonitor, Ethereal, Wireshark etc.) sowie des Server-Spoofings und Man-in-the-Middle-Attacken, bei denen der eigentliche Server durch ein dessen Identitt vorspiegelndes Fremdge-rt ausgetauscht wurde. Von der Verwendung von PAP wird unbedingt abgeraten, besonders fr VPN-Verbindungen.1

    Die Microsoft Punkt-zu-Punkt-Verschlsselung (engl. Microsoft Point to Point Encryption, MPPE), die als Grundlage der Verschlsselung der zu bertragenen Daten nach dem Anmeldevorgang dient, kann mit PAP nicht verwendet werden.

    13.1.2 SPAP

    Die einst als eigenstndig existierende Firma Shiva hat das Protokoll SPAP (Shiva Password Authentication Protocol) als Weiterentwicklung aus dem PAP fr die Verwendung ihrer LanRover-Serie von Einwhlrou-terprodukten erfunden.

    Bei ihm wird zwar auch nicht der Benutzername, aber zumindest das Kennwort verschlsselt bertragen und dazu ein bidirektionaler reversibler Verschlsselungsalgorithmus verwendet, bei dem die Gegenstelle das so verschlsselt bertragene Kennwort entschlsselt und im Klartext fr die Authentifizierung benutzt.

    SPAP kann gleichfalls (wie PAP) nicht verwendet werden, wenn die MPPE (Microsoft Point-to-Point-Encryption) eingesetzt werden soll.

    Diese Art der Authentifizierung ist zwar sicherer als die Verwendung von Klartext, aber nicht so sicher wie CHAP oder MS-CHAP, denn beim Aktivieren von SPAP als Authentifizierungsprotokoll wird das Benutzer-kennwort stets in der gleichen, umkehrbaren Verschlsselungsform gesen-det. Aus diesem Grund ist die SPAP-Authentifizierung anfllig fr Replay-

    1 Wie blich, keine Regel ohne Ausnahme: Bei ffentlich bekannten Anmeldein-

    formationen, wie es sie hufig fr Interneteinwahlpunkte gibt (hier erfolgt die Identifikation und Abrechnung ber die Telefonnummer) ist die Benutzung von PAP in Ausnahmefllen durchaus vertretbar. Dennoch bleibt der Nachteil, dass keine Datenverschlsselung nach erfolgter Authentifizierung mglich ist, bestehen.

  • 418 13. Fernzugriff einrichten und verwalten

    Angriffe2. Von der Verwendung von SPAP wurde und wird abgeraten, be-sonders fr VPN-Verbindungen. Nur in Ausnahmefllen (bsp. wenn sich zwingend mit einem LanRover verbunden werden muss) kommt die Be-nutzung von SPAP in betracht.

    13.1.3 CHAP

    CHAP (Challenge Handshake Authentication Protocol) verwendet einen dreistufigen Anmeldevorgang: Beim Verbindungsaufbau sendet der Server dem Client eine Sitzungskennung und einen zuflligen Wert. Dieser bildet daraus, aus dem Benutzernamen und aus einem beiden Seiten bekannten Kennwort (engl. Shared secret) einen Wert, der mit einer Hashfunktion (blicherweise MD53) zu einem Hashwert verrechnet und dann zum Server bertragen wird. Gleiches macht der Server. Stimmen die Ergebnisse der beiden Hashwertrechnungen berein, war das in dieser Sitzung vorgelegte Kennwort richtig und der Benutzer bekommt Zugang zum System. Der Server informiert den Client im dritten Schritt ber das Ergebnis der Pr-fung.

    Durch die Einbeziehung der vom Server gewhlten Zufallszahl in die Authentifizierungspakete ist dieses Protokoll vor Replay-Angriffen ge-schtzt und Kennwrter werden bei CHAP nicht (weder unverschlsselt noch verschlsselt) ber die Netzwerkverbindung bertragen. Ein weiterer Vorteil ist, dass es in heterogenen Netzwerken gut eingesetzt werden kann, da es auf vielen Rechnersystemen verbreitet ist.

    Nachteilig ist jedoch, dass auf dem Client und dem Server die Kennwr-ter im Klartext (bei Windows Vista mit reversibler Verschlsselung) ge-speichert sein mssen, damit sie verglichen werden knnen und der Server sich nicht beim Client authentifizieren muss.

    Es ist das einzige der hier aufgefhrten Protokolle, das whrend der Verbindung in zuflligen Abstnden eine erneute Authentifizierung ver-langt, aber auch dieses Protokoll kann nicht mit MPPE oder IPsec zusam-men eingesetzt werden.

    2 Bei diesen werden die Pakete des Authentifizierungsprozesses abgefangen und

    dieselbe Sequenz dem RAS-Server erneut vorgespielt, um Zugriff auf das jewei-lige Intranet zu erhalten.

    3 Das ist die Abkrzung von Message Digest 5.

  • 13.1 Protokolle 419

    13.1.4 MS-CHAP

    Microsoft hat CHAP erweitert und es MS-CHAP genannt. Grundstzlich arbeitet MS-CHAP wie CHAP (siehe oben). Aber die Unterschiede liegen im Detail. Sie sind jedoch so gewichtig, dass MS-CHAP nicht mit CHAP kompatibel ist!

    Vorbemerkung: Intern (ab Windows 2000 und hher) werden Kennwr-ter in Windows nie als Klartext, sondern als MD5-Hashwerte gespeichert.4

    Das ursprngliche, seit Windows NT 4 existierende MS-CHAP (Micro-soft Challenge Authentication-Protocol) wird auch als MS-CHAP, Version 1, bezeichnet. Auch bei ihm erfolgt die Authentifizierung in nur eine Rich-tung. Der RAS-Client kann nicht berprfen, ob Sie sich beim RAS-Server der zugehrigen Firma einwhlen oder aber bei einem getarnten Fremdser-ver, der schlicht die Identitt des richtigen Servers vortuscht.

    MS-CHAP hat zwar einige Vorteile (siehe unten), aber eben auch Schwchen: So basiert der Kryptografieschlssel bei der 40-Bit-Verschls-selung auf dem Benutzerkennwort. Und beim Anmelden mit demselben Kennwort wird daher jeweils derselbe Schlssel erstellt, was MS-CHAP verwundbar macht fr Replay-Angriffe. Des weiteren wird fr das Senden der Daten in beide Richtungen der Verbindung nur jeweils ein Kryptogra-fieschlssel verwendet.

    Seit Windows 2000 wird auch das wesentlich sichere MS-CHAP, Ver-sion 2 untersttzt. In ihm wurden einige sicherheitsrelevante Eigenschaften der Version 1 von MS-CHAP verbessert: MS-CHAP 2 ermglicht die Au-thentifizierung in beide Richtungen (gegenseitige Authentifizierung/engl. Mutual Authentification). Zwar beruht auch bei ihm der kryptografische Schlssel stets auf dem Benutzerkennwort und einer zuflligen Herausfor-derung, aber beim Anmelden mit demselben Kennwort wird jeweils ein anderer Kryptografieschlssel verwendet, und es wird je ein Kryptografie-schlssel fr die gesendeten und die empfangenen Daten erzeugt.

    MS-CHAP (sowohl als Version 1 als auch in der Version 2) kann MPPE zum Verschlsseln der Daten fakultativ verwenden und die beiden sind die einzigen Authentifizierungsprotokolle in Vista, bei dem eine freiwillige oder ggf. erforderliche nderung des Benutzerkennworts whrend der lau-fenden Authentifizierung untersttzt wird.

    4 In UNIX ist das in der passwd-Datei genauso.

    Das Hashing von Kennwrtern (egal mit welchem Hashverfahren auch immer) bietet zwar viel Sicherheit, aber grundstzlich besteht dennoch die Mglichkeit des Vergleichens der Hashes mit zuvor von Wortlisten errechneten, um so Kennwrter herauszufinden.

  • 420 13. Fernzugriff einrichten und verwalten

    13.1.5 EAP

    Das seit Windows 2000 verfgbare EAP (Extensible Authentication Proto-col) ist kein eigenes Authentifizierungsprotokoll an sich, sondern definiert ein Rahmen, in dem weitere Authentifizierungsprotokolle eingesetzt wer-den knnen und beim Verbindungsaufbau ausgehandelt wird, welches nun konkret benutzt werden soll. Es setzt auf PPP auf und ist erweiterbar, wenn zuknftig neue Verfahren entwickelt werden.

    Zudem wird es nicht ausschlielich fr den Fernzugriff eingesetzt, son-dern hufig auch bei WLANs (als Bestandteil von WPA und WPA2) und der IEEE 802.1X-Authentifizierung.

    Die wichtigsten Varianten sind EAP-TLS, EAP-MD5.

    13.1.5.1 EAP-TLS

    EAP-TLS (EAP-Transport Level Security) bietet gegenseitige Authentifi-zierung und kann mit Chipkarten (auf denen der private asymmetrische Schlssel eines Benutzers gespeichert und mit einer PIN geschtzt ist) ein-gesetzt werden, steht aber nur Domnenmitgliedern zur Verfgung. Daher kann ein RAS-Server, der als eigenstndiger Server oder als Mitglied einer Arbeitsgruppe ausgefhrt wird, EAP-TLS nicht verwenden.

    Es ist aber das einzige Protokoll, das verwendet werden kann, wenn eine Two-Factor-Authentication auf der Grundlage von Chipkarten eingesetzt werden soll.

    13.1.5.2 EAP-MD5

    Beim MD5-Challenge (Message Digest 5 Challenge) handelt es sich um einen weiteren verfgbaren EAP-Typ, der dasselbe Challenge-Protokoll wie das PPP-basierte CHAP (siehe oben) verwendet. Die Abfragen und Antworten werden jedoch als EAP-formatierte Meldungen gesendet.

    Wegen bekannt gewordener Schwchen von MD5 ist die Verwendung von EAP-MD5 nicht mehr ratsam.

    13.1.6 MD5

    MD5 (Message Digest 5) ist ein Hashverfahren, bei dem aus einem belie-bigen Ausgangstext ein (nur) 128-Bit langes Ergebnis errechnet wird. Die-ses Verfahren ist nicht umkehrbar, d. h. aus dem 128-Bit-Wert kann der Ausgangstext nicht wieder errechnet werden.

    Zustzlich kennzeichnet ein zuverlssiges Hashverfahren, dass auch nur nderungen von wenigen Bits im Ausgangstext groe nderungen des

  • 13.1 Protokolle 421

    Ergebnisses mit sich bringen und, dass es keine zwei Ausgangstexte gibt, die denselben Hashwert haben.

    Da mit steigender Lnge des Ergebnisses die Sicherheit eines Hashver-fahrens zunimmt, werden nun verstrkt andere Verfahren wie SHA-256 (Secure Hash Algorithm) mit 256-Bit Lnge, SHA-384 etc. empfohlen und eingesetzt.

    13.1.7 DES

    DES (Data Encryption Standard) beschreibt eine symmetrische 56-Bit-Verschlsselung, die in den 70er Jahren des letzten Jahrhunderts von IBM als Blockchiffre entwickelt und nachfolgend zum Standard ernannt wurde.

    Wegen der geringen Schlssellnge wird es nun nicht mehr als sicher angesehen und die EFF (Electronic Frontier Foundation) konnte bereits vor ein paar Jahren mit spezieller Hardware einen DES-Schlssel in rund 22 Stunden knacken.

    Von DES gibt es auch eine Variante namens 3DES (Dreifach-DES), bei der die Daten drei Mal hintereinander chiffriert werden. Dadurch betrgt die effektive Schlssellnge 168 Bit.

    13.1.8 RC4

    RC4 (Rivest Cipher 4) ist ein Stromchiffre, der von vielen anderen Ver-schlsselungsverfahren wie MPPE, WEP (Wired Equivalent Privacy), WPA, SSL, TLS, bei denen Datenstrme bertragen werden, genutzt wird.

    RC4 liefert dabei eine Pseudozufallszahlenfolge, mit welcher der Aus-gangstext mit Exklusiv-Oder (XOR) verrechnet wird. Auf der Gegenseite wird der empfangene Datenstrom mit derselben Pseudozufallszahlenfolge ge-XOR-ed und erhlt so den Klartext. Die Lnge des Ausgangsschlssels liegt dabei zwischen 40 und 256 Bits.

    RC4 wird nicht mehr empfohlen beim Design neuer Systeme, ist jedoch gegenwrtig noch als sicher genug fr den tglichen Gebrauch anzusehen.

    13.1.9 PEAP

    DAS PEAP (Protected Extensible Authentication Protocol) wurde von Mi-crosoft, Cisco und RSA Security als Weiterentwicklung von EAP auf den Markt gebracht. In PEAP wird zuerst zwischen den Kommunikationspart-nern zuerst ein TLS-gesicherter Kanal aufgebaut und nachfolgend EAP

  • 422 13. Fernzugriff einrichten und verwalten

    benutzt. Windows Vista verwendet dabei PEAP mit MS-CHAPv2 als dem eigentlichen Authentifizierungsprotokoll.

    Die Verwendung von PEAP ist in Vista bei den Protokolleinstellungen unter der Option EAP auswhlbar.

    13.1.10 L2TP

    Das L2TP (Layer Two Tunneling Protocol) baut einen Tunnel ber ein Netzwerk auf und kapselt Daten auf der Schicht 2 des OSI-Referenz-modells. Es wurde von Microsoft mit Windows 2000 eingefhrt und be-nutzt UDP und den IP-Port 1701.

    Whrend das Alternativprotokoll PPTP (siehe unten) zwingend eine IPv4-Verbindung fr den Transport bentigt und MPPE verwenden kann, ist L2TP in der Lage, nicht nur mit IPv4, sondern zustzlich auch in IPv6-, X.25-, FrameRelay, Sonet-, ATM- und MPLS-WANs zu arbeiten.

    Fr die Verschlsselung kann IPsec verwendet werden. Die Kombinati-on von L2TP und IPSec wird als L2TP/IPsec (sprich L2TP ber IPsec) bezeichnet.

    Wird IPsec eingesetzt, werden die Datenpakete zweimal gekapselt: Zu-erst erfolgt die L2TP-Kapselung: Hierbei werden PPP-Pakete (bsp. IP-, AppleTalk- oder IPX- Pakete) in L2TP-Paketen gekapselt.

    Dann folgt die IPsec-Kapselung: Bei ihr wird das aus dem ersten Schritt resultierende L2TP-Paket mit einem IPSec-ESP (Encapsulating Security Payload)-Paket gekapselt und verschlsselt.

    In diesem Fall wird natrlich eine IP-Verbindung bentigt und an der externen Firewall wird dann nicht mehr der o. g. Port freigeschaltet, son-dern der IPsec-Port 500.

    13.1.11 IPsec

    IPsec (Internet Protocol Security) wird beim Fernzugriff in Kombination mit dem L2TP eingesetzt. Es bietet dabei sowohl eine Authentifizierung des Clients und der Servers sowie Datenverschlsselung (durch das IPsec-Teilprotokoll ESP, Encapsulating Security Payload). Fr diese knnen X.509-Zertifikate, manuell eingegebenen Schlssel (engl.: Pre-shared keys, PSK) und Kerberos verwendet werden.

    IPsec benutzt UDP und den IP-Port 500. IPsec verwendet das unterge-ordnete Protokoll IKE (Internet Key Exchange) fr den Austausch der symmetrischen DES- oder 3DES- Verschlsselungsschlssel.

    Es arbeitet quasi als Ersatz fr das unverschlsselte IP vllig trans-parent fr Protokolle der hheren OSI-Schichten.

  • 13.2 Fernzugriffe auf Unternehmensnetze 423

    13.1.12 PPTP

    Das PPTP (Point-to-Point Tunneling Protocol) setzt auf dem PPP (Point-to-Point Protocol) auf und tunnelt Pakete beliebiger Protokolle ber IP-Strecken durch GRE (Generic Routing Encapsulation).

    Die PPP-Pakete werden dabei durch die MPPE (Microsoft Point-to-Point Encryption, Microsoft Punkt-zu-Punkt-Verschlsselung) fakultativ chiffriert, die wiederum auf 40- oder 128-Bit-RC4 basiert ist.

    VPN-Clients mssen eines der Protokolle MS-CHAP, MS-CHAP v2 oder EAP-TLS einsetzen, damit auch die bertragenen Datenpakete ver-schlsselt werden.

    Da das PPTP bereits mit Windows NT4 eingefhrt wurde, und auch auf Nicht-Microsoft-Betriebssystemen sowie Einwahlroutern implementiert ist, drfte es derzeit das verbreiteste VPN-Protokoll sein. L2TP/IPsec bie-tet jedoch mehr Sicherheit.

    PPTP benutzt TCP und den IP-Port 1723.

    13.2 Fernzugriffe auf Unternehmensnetze

    Fr den Zugriff von unterwegs auf die Ressourcen des Unternehmensnet-zes (oder in Einzelfllen auch auf das eigene, heimische Netzwerk) gibt es grundstzlich zwei Verfahren: blich ist heutzutage der Zugriff ber ein VPN (Virtual Private Network), bei dem zuerst am aktuellen Standort eine schmal- oder breitbandige Verbindung ber einen ISP in das Internet auf-gebaut wird und dann ber diese ffentlichen Leitungen eine verschlssel-te Verbindung zum eigentlichen, gewnschten Netzwerk (Intranet).

    Bei der anderen Variante (Whlverbindung, auch RAS genannt), wird sich direkt in das Unternehmensnetz per Modem, ISDN, X.25 etc. einge-whlt.

    13.2.1 Einrichten einer neuen VPN-Verbindung

    Die Benutzung und Einrichtung einer VPN-Verbindung (Virtual Private Network) fr den Fernzugriff auf das Unternehmensnetzwerk kann ber den Punkt Verbindung herstellen des Startmens vorgenommen werden.5

    Nach Aufruf ffnet sich das in Abb. 13.1 dargestellte Fenster.

    5 Zustzlich steht der Verbindungs-Manager eines Windows-Servers zur Verf-

    gung, mit dem sich VPN-Verbindungspakete einrichten und auf Clients bertra-gen lassen.

  • 424 13. Fernzugriff einrichten und verwalten

    Sind noch keine Netzwerke definiert, muss das ber einen Klick auf Ei-ne Verbindung oder ein Netzwerk einrichten (das ist dort die zweite Option von unten) zunchst vorgenommen werden.6

    Und falls bereits Netzwerke eingerichtet sind, gibt es links oben in dem Fenster ein Auswahlfeld namens Anzeigen, mit dem die Darstellung von nur Whl-/VPN-Netzwerken, Drahtlosnetzwerken oder allen festgelegt werden kann.

    Abb. 13.1. Verbindungsbesttigungsfenster

    Danach ffnet sich das in Abb. 13.2 dargestellte Fenster. In ihm sind alle existierenden Optionen abgebildet. Wenn Ihre Konfiguration ber kein WLAN verfgt, werden nur vier Optionen aufgelistet die mittleren bei-den (Manuell mit dem Netzwerk verbinden und Ein drahtloses Ad-hoc-Netzwerk (Computer-zu-Computer) einrichten) fehlen.

    Grundstzlich gibt es verschiedene Varianten der Netzwerkverbindungs-einrichtung. Fr ein VPN whlen wir den letzten Punkt (Verbindung mit dem Arbeitsplatz herstellen) aus.

    6 Dieser Auswahlpunkt existiert auch im Netzwerk- und Freigabecenter.

  • 13.2 Fernzugriffe auf Unternehmensnetze 425

    Abb. 13.2. Einrichtung einer neuen Verbindung

    Ein VPN lsst sich nur benutzen, wenn zuvor entweder eine Whlver-

    bindung oder Standleitungsverbindung (z.B. ber DSL-Router) in das In-ternet besteht. Erst aufsetzend auf diese Basis kann dann die Verbindung mit dem Unternehmens-VPN-Server aufgebaut werden. Von dem Verbin-dungsziel brauchen wir entweder die IP-Adresse oder den Namen sowie das Verbindungsprotokoll. Die fr die VPN-Verbindung zu verwendenden Anmeldeinformationen, die durchweg von der Benutzernamen- und Kenn-wortkombination fr die Internetverbindung abweichen, werden spter ein-gegeben.

    Durch Auswahl von Weiter wird gefragt, ob eine VPN oder RAS (Re-mote Access Service - Direktverbindung) eingerichtet werden soll (siehe Abb. 13.3). Es wird die erste Option gewhlt, woraufhin sich das nchste Fenster ffnet. Nun muss die Zieladresse (die kann eine IPv4, IPv6 oder ein FQDN sein), ein Verbindungsname und Optionen angegeben und Wei-ter ausgewhlt werden.

  • 426 13. Fernzugriff einrichten und verwalten

    Abb. 13.3. Auswahl der Fernzugriffsmethode

    Im darauf folgenden Fenster wird nach den Anmeldeinformationen ge-

    fragt. Ist die Gegenstelle ein Windows-System, kann die Angabe eines Domnennamens erforderlich sein. Nach Eingabe der entsprechenden An-gaben ist die Einrichtung erledigt. Die neueingerichtete VPN-Verbindung wird nun im Verbindungsherstellen-Fenster angezeigt.

    13.2.2 Das Eigenschaftsfenster einer VPN-Verbindung

    Fr die erweiterte Konfiguration kann aus dem Kontext-Men jeder Ver-bindung der Punkt Eigenschaften... gewhlt werden.

    Das sich dann ffnende Eigenschaftsfenster enthlt fnf Registerkarten. In der ersten (Allgemein), in Abb. 13.4 dargestellten kann nochmals das Verbindungsziel berprft werden und festgelegt werden, dass zuvor eine bestimmte Internetverbindung aufgebaut werden soll. Das vereinfacht den VPN-Verbindungsaufbau.

  • 13.2 Fernzugriffe auf Unternehmensnetze 427

    Abb. 13.4. Registerkarte Allgemein der VPN-Verbindungseigenschaften

    Die zweite Registerkarte (Optionen) siehe Abb. 13.5 lsst Verbin-

    dungsoptionen einstellen.

  • 428 13. Fernzugriff einrichten und verwalten

    Abb. 13.5. Registerkarte Optionen der VPN-Verbindungseigenschaften

    Die in dieser Registerkarte angebotenen Einstelloptionen drften selbst-

    erklrend sein. Am unteren Fensterrand befindet sich die Schaltflche PPP-Einstellun-

    gen..., mit der sich Einstellungen des Point-to-Point-Protocols vornehmen lsst, und die dazu das in Abb. 13.6 gezeigte Fenster ffnet.

  • 13.2 Fernzugriffe auf Unternehmensnetze 429

    Abb. 13.6. PPP-Einstellungen

    Obwohl standardmig nur die LCP- (Link Control Protocol)-Erweite-

    rungen aktiviert sind, empfiehlt es sich, die anderen beiden, leistungsstei-gernd wirkenden Optionen ebenfalls zu aktivieren, sofern die Gegenstelle keinen Fehler meldet. Das drfte aber nur in seltenen Fllen auftreten, da das PPP vor dem Aufbau einer Verbindung die zu verwendenden Protokol-le aushandelt und nur solche verwendet werden, die beide Systeme beherr-schen. Ihr unbekannte Protokolle und Protokollerweiterungen werden von der Gegenstelle kommentarlos ignoriert.

    In der dritten Registerkarte der VPN-Verbindungseigenschaften mit dem Namen Sicherheit (siehe Abb. 13.7) werden sicherheitsrelevante Einstel-lungen (Protokoll, Verschlsselung etc.) vorgenommen.

  • 430 13. Fernzugriff einrichten und verwalten

    Abb. 13.7. Registerkarte Sicherheit der VPN-Verbindungseigenschaften

    Exemplarisch werden hier (siehe Abb. 13.8) die Einstellungen fr fort-

    geschrittene Anwender gezeigt, die sich ber die Auswahl von Erweitert und Einstellungen.... in dem zuvor in Abb. 13.7 gezeigten Fenster aufrufen lassen.

    Zur Auswahl stehen oben im Abschnitt Anmeldesicherheit die EAP-Optionen fr die Anmeldung mit einer Chip-Karte (Smartcard) oder Draht-loses Netzwerk (PEAP).

    Unten knnen die Protokolle PAP, CHAP und MS-CHAPv2 ausgewhlt werden, sowie dass Anmeldeinformationen und Daten verschlsselt und Domneninformationen bermittelt werden sollen.

  • 13.2 Fernzugriffe auf Unternehmensnetze 431

    Die ersten beiden sind Branchenstandard, aber in der Voreinstellung de-aktiviert. MS-CHAPv2 hingegen ist nur in Windows-Systemen der Version 2000 und hher verfgbar.

    Bei der Verwendung von CHAP gibt es eine Besonderheit: Auf dem au-thentifizierenden System drfen Benutzerkennwrter nur mit reversibler (umkehrbarer) Verschlsselung auf den Domnencontrollern bzw. lokal gespeichert werden!

    Abb. 13.8. Erweiterte Sicherheitseinstellungen

    In der nchsten Registerkarte (Netzwerk) - siehe Abb. 13.9 - wird der in

    Abhngigkeit der Gegenstelle zu verwendende VPN-Typ PPTP, IPsec ber L2TP oder Automatisch festgelegt.

  • 432 13. Fernzugriff einrichten und verwalten

    Abb. 13.9. Registerkarte Netzwerk der VPN-Verbindungseigenschaften

    ber die Schaltflchen Installieren und Eigenschaften lassen sich neue

    Protokolle der Verbindung hinzufgen bzw. ndern, und mit dem Kstchen vor den Namen aktivieren oder deaktivieren.

    Schlielich wird in der letzten Registerkarte (Freigabe) die Verbindung als exklusiv oder als fr alle Benutzer verwendbar deklariert (siehe Abb. 13.10).

  • 13.2 Fernzugriffe auf Unternehmensnetze 433

    Abb. 13.10. Registerkarte Freigabe der VPN-Verbindungseigenschaften

    13.2.3 Verwalten von RAS-Verbindungen

    Wird in der in Abb. 13.3 gezeigten Fenster Direkt whlen zur Konfigurati-on einer Direkt-Einwahl- (RAS-) Verbindung ausgewhlt (diese wird von Microsoft auch als Whlverbindung bezeichnet), wird zunchst nach dem fr diese Verbindung zu verwendende Modem gefragt. Danach ms-sen die Telefonnummer des Einwahlservers und der Verbindungsname an-gegeben werden. ber die Whlregeln kann komfortabel die in Abhngig-keit vom jeweiligen Standort (Zuhause, Hotel etc.) vor der eigentlichen Rufnummer zu whlende Ziffern (z. B. 0 fr ein Amt) festgelegt werden.

  • 434 13. Fernzugriff einrichten und verwalten

    Wenig bekannt ist, dass hier auch Calling-Card-Angaben (wie sie u. a. AT&T, MCI und auch die Deutsche Telekom anbietet) zur Vermeidung von hohen Hotelzuschlgen ausgewhlt werden knnen.7

    Wie bei der Einrichtung von VPNs lassen sich im Verbindungsmanager (CMAK) auch fr RAS-Verbindungen Schablonen fr neue Verbindungen einrichten.

    Die Eigenschaften (Protokolle etc.) jeder Einwhlverbindung entspre-chen denen einer VPN-Verbindung, so dass hier auf eine erneute Erlute-rung verzichtet wird.

    13.3 Fernzugriff auf Windows-Vista-Computer

    Nicht nur auf Unternehmensnetzwerke (obwohl das der verbreitetere Fall sein wird), sondern auch auf andere Computer mit Windows Vista lsst sich von auen zugreifen. Sinnvoll kann das sein, wenn man erlauben mchte, dass Freunde und Bekannte sich mit dem eigenen Computer ver-binden sollen, um Dateien zu lesen oder zu erstellen, oder wenn man selbst von auen auf den eigenen Computer zugreifen mchte, ohne erst um-stndlich einen Fernzugriffs-Server einzurichten.8

    13.3.1 Einrichten einer neuen eingehenden Verbindung

    Dazu wird in der Systemsteuerung unter Netzwerkverbindungen (siehe Abb. 13.11) die Alt-Taste gedrckt und in dem dann erscheinenden Men der Punkt Datei Neue eingehende Verbindung... ausgewhlt.

    7 Zu diesen Calling Cards zhlen auch die hufig in so genannten Call-Shops

    oder Kiosken erhltlichen Pre-Paid-Karten zum gnstigen Telefonieren. Manche Hotels sperren jedoch die hufig zur Einwahl verwendeten kostenlosen Vorwahlen 0800 und 00800, so dass es ratsam ist, diesen Punkt vorher zu kl-ren. Alternativ knnte in dem Fall ein Mobilfunktelefon benutzt werden, aber auch dabei gibt es Anbieter, bei denen die beiden Vorwahlen nicht kostenlos verwendbar sind.

    8 Wer einen Router fr die Verbindung mit dem Internet einsetzt, der L2TP, IPsec oder PPTP untersttzt, kann das alternativ auch dort konfigurieren. Fehlt jedoch die entsprechende Protokolluntersttzung, wird dort eine Firmwallweiterlei-tungsregel festgelegt, die Pakete mit den bestimmten Portnummern zum Vista-Rechner weiterleitet.

  • 13.3 Fernzugriff auf Windows-Vista-Computer 435

    Abb. 13.11. Ansicht bereits existierender Netzwerkverbindungen

    Wenn es schon eine Einwhlverbindung gibt, wird sie in diesem Fenster

    angezeigt und kann verndert werden (siehe unten). Bei der Einrichtung einer neuen Verbindung wird nun nach den Benut-

    zern gefragt, welche die Verbindung benutzen drfen (siehe Abb. 13.12). In dem Fenster werden alle erstellten Benutzerkonten des Systems dar-

    gestellt und knnen ber das Setzen bzw. Entfernen des Hkchen in dem Kstchen links neben dem Kontonamen zur Fernzugriffszwecke aktiviert bzw. deaktiviert werden.

  • 436 13. Fernzugriff einrichten und verwalten

    Abb. 13.12. Fernzugriffbenutzerauswahl

    In dem Fenster lsst sich auch ber die Schaltflche Benutzer hinzuf-

    gen... leicht ein neues Benutzerkonto anlegen, ohne dass dafr zuvor die Benutzerverwaltung aus der Systemsteuerung aufgerufen werden msste.

    Es ffnet sich das in Abb. 13.13 abgebildete Fenster. In ihm knnen nicht alle existierenden Eigenschaften von Benutzerkonten festgelegt wer-den, sondern nur die fr Einwahlzwecke wichtigsten. Das sind der Anmel-dekrzel, der vollstndige Name und das Kennwort.

  • 13.3 Fernzugriff auf Windows-Vista-Computer 437

    Abb. 13.13. Erstellen eines neuen Benutzerkontos

    Auerdem lassen sich in dem in Abb. 13.12 gezeigten Fenster die Ei-

    genschaften der Benutzerkonten ansehen und ndern. Dazu wird die Schaltflche Kontoeigenschaften ausgewhlt und darauf ffnet sich das Ei-genschaftsfenster mit seinen beiden Registerkarten Allgemein und Rckruf (siehe Abb. 13.14 und 13.15).

  • 438 13. Fernzugriff einrichten und verwalten

    Abb. 13.14. Benutzereigenschaften Registerkarte Allgemein

    In der ersten knnen der jeweilige Langname und das Kennwort vern-

    dert werden. Wenn andere Attribute des betreffenden Benutzerkontos ge-ndert werden sollen, kann das in der Benutzerverwaltung vorgenommen werden.

    In der zweiten Registerkarte werden die Rckrufoptionen festgelegt. Wie oben schon erlutert, besitzt die Funktion Rckruf wichtige Sicher-heitskennzeichen und steuert auch, wo die Telefonkosten fr die Verbin-dung anfallen. Je nach Umgebung (Unternehmen bzw. Privat) knnen da-bei andere Vorlieben bestehen.

  • 13.3 Fernzugriff auf Windows-Vista-Computer 439

    Wie auch immer, in dieser Registerkarte wird jedenfalls festgelegt, wie Vista sich bei einem eingehenden Anruf verhalten soll.

    Abb. 13.15. Benutzereigenschaften Registerkarte Rckruf

    Nach der Festlegung, welche Benutzerinnen und Benutzer Einwhlrech-

    te bekommen sollen und Klick auf Weiter wird im nchsten Fenster (siehe Abb. 13.16) festgelegt, welche Netzwerkprotokolle in der Verbindung ver-fgbar sein sollen. Hier knnen nur solche ausgewhlt werden, die auf dem System bereits installiert ist: Es ist nicht mglich, andere Protokolle fr den Fernzugriff als fr die anderen Netzwerkverbindungen zu haben.

  • 440 13. Fernzugriff einrichten und verwalten

    Gegebenenfalls knnen hier noch bentigte Protokolle ber die Schalt-flche Installieren... hinzugefgt oder ber die Schaltflche Deinstallieren vom System entfernt werden.

    Andererseits heit dies nun aber auch nicht, dass alle auf dem System eingerichteten Netzwerkprotokolle auch von eingehenden Verbindungen verwendbar sein mssen: Nicht gewnschte Protokolle knnen durch Ent-fernen des Hkchen vor ihrem Namen fr eingehende Verbindungen deak-tiviert werden. Fr andere Netzwerkschnittstellen bleiben sie dann weiter-hin verwendbar.

    In Abb. 13.16 ist IPv6 beispielhaft ausgeschaltet worden.

    Abb. 13.16. Protokollauswahl der neuen eingehenden Verbindung

    Schlielich knnen ber die Schaltflche Eigenschaften weitere proto-

    kollspezifische Einstellungen vorgenommen werden. Nach diesem Schritt und Klick auf Zugriff zulassen ist die neue einge-

    hende Verbindung fertig eingerichtet und steht sofort bereit. Ein Neustart ist nicht erforderlich.

    Der bentigte Name zum Einrichten der Client-Verbindungen fr die Systeme, die sich einwhlen wollen, wird angezeigt. Selbstverstndlich

  • 13.3 Fernzugriff auf Windows-Vista-Computer 441

    kann auch dafr auch eine IP-Adresse verwendet werden. Beim Zugriff von auen (vom Internet), muss die externe Internetadresse verwendet und an einem ggf. angeschlossenen Router eine Regel erstellt werden, dass Pakete an die externe Port-Nummer fr das VPN-Protokoll, das verwendet werden soll, an den Vista-PC weitergeleitet werden.

    In dem Fenster Netzwerkverbindungen einscheint nach der erfolgreichen Einrichtung zustzlich die Gruppe Eingehend, in der die gerade erstellte Verbindung angezeigt wird.

    13.3.2 ndern der Eigenschaften einer eingehenden Verbindung

    Durch Wahl von Eigenschaften... im Kontextmen einer bereits eingerich-teten eingehenden Verbindung ffnet sich das in Abb. 13.17 gezeigte Ei-genschaftsfenster. Es hat drei Registerkarten, die den im vorigen Abschnitt gezeigten Konfigurationsoptionen funktional entsprechen.

    In der ersten Registerkarte, Allgemein genannt, wird festgelegt ob die betreffende eingehende Verbindung per Direkteinwahl (Modem o. .) oder als VPN-Verbindung genutzt werden kann.

  • 442 13. Fernzugriff einrichten und verwalten

    Abb. 13.17. Registerkarte Allgemein der eingehenden Verbindung

    In der zweiten Registerkarte, mit Benutzer bezeichnet, lassen sich die

    Benutzer und Benutzerinnen festlegen, denen die Benutzung gestattet sein soll sowie ihre Kontoeigenschaften ansehen und ndern. Sie ist in Abb. 13.18 dargestellt.

  • 13.3 Fernzugriff auf Windows-Vista-Computer 443

    Abb. 13.18. Registerkarte Benutzer der eingehenden Verbindung

    Mit den Kstchen in der unteren Hlfte des Fensters wird festgelegt, ob

    verschlsselte Verbindungen zwingend erforderlich sein sollen bzw. ob un-authentifizierter Zugriff von direkt angeschlossenen Gerten mglich sein soll.

    In der letzten Registerkarte, die mit Netzwerk bezeichnet wird (siehe Abb. 13.19) werden die Protokolle und ihre Eigenschaften festgelegt.

    Auch an dieser Stelle knnen weitere Netzwerkprotokolle dem System hinzugefgt bzw. entfernt werden.

  • 444 13. Fernzugriff einrichten und verwalten

    Abb. 13.19. Registerkarte Netzwerk der eingehenden Verbindung

  • 14. Daten sichern und wiederherstellen

    Festplatten knnen grundstzlich nach einiger Betriebszeit ausfallen, was zu Datenverlust fhren wrde, wenn es keine Kopien gibt. Daher sind re-gelmig durchgefhrte Datensicherungen unerlsslich. Auch RAID-Sys-teme sind kein Ersatz fr sie, zumal die Wahrscheinlichkeit, dass irgendei-ne Platte des Verbundes ausfllt, die kumulierte Ausfallwahrscheinlichkeit aller Platten zusammen ist. Sicherungen schtzen auch vor Datenlschun-gen, die unabsichtlich oder von schdlicher Software durchgefhrt werden und bieten zudem die Option, eine vorherige Version einer Datei von ei-nem Sicherungsmedium wiederherzustellen. Windows Vista beinhaltet da-fr ein eigenes Programm.

    14.1 Das Sichern-und-Wiederherstellen-Programm

    Mit Start - Wartung - Sichern und Wiederherstellen oder unter dem gleich-namigen Symbol in der Systemsteuerung kann das Sicherungs- und Wie-derherstellungsprogramm von Windows Vista gestartet werden. Es kommt in zwei Ausfhrungen daher: Einmal als einfaches Sicherungsprogramm, mit dem einzelne Dateien und Verzeichnisse gesichert und wiederherge-stellt werden knnen, und zum anderen als CompletePC-Sicherungs-Pro-gramm, das sich auf den gesamten PC bezieht (siehe Abb. 14.1).

    In der linken Spalte des Fensters befinden sich die Punkte Windows mit-tels der Systemwiederherstellung reparieren, mit der das System auf einen bestimmten Zeitpunkt, an dem ein Wiederherstellungspunkt erstellt wurde, zurckgesetzt werden kann und Wiederherstellungspunkt erstellen oder Einstellungen ndern, der die Registerkarte Computerschutz des System-programms ffnet.

    In Abb. 14.2 ist das Systemwiederherstellungsfenster abgebildet.

  • 446 14. Daten sichern und wiederherstellen

    Abb. 14.1. Sichern und Wiederherstellen

    Wiederherstellungspunkte knnen nach Belieben manuell jederzeit vor

    einem wichtigen Ereignis erstellt werden und werden von Vista ohnehin vor jedem Update erstellt, damit ggf. das System auf den Stand vor dem Update wiederhergestellt werden kann, falls es zu Problemen kommt.

  • 14.2 Datei- und Ordnersicherung 447

    Abb. 14.2. Systemwiederherstellung

    14.2 Datei- und Ordnersicherung

    Whlt man aus dem Sichern-und-Wiederherstellen-Fenster die Administra-torfunktion Dateien sichern, ffnet sich ein Fenster, das in Abb. 14.3 dar-gestellt ist und in dem nach dem Sicherungsziel gefragt wird. Bemerkens-wert ist, dass nur noch die Festplatte, CD/DVD-Brenner und ein Netz-werkpfad angeboten wird, nicht mehr jedoch Bandlaufwerke!

    Nicht wenige Benutzer installieren sich heutzutage eine separate Fest-platte, auf der nur Datensicherungen gespeichert werden und die ber USB 2.0, Firewire oder eSATA angeschlossen wird. Angesichts der mittlerweile sehr niedrigen Festplattenpreise und der vergleichsweise hohen Leistung ist das wirklich eine berdenkenswerte Idee.

  • 448 14. Daten sichern und wiederherstellen

    Abb. 14.3. Sicherungsfenster

    Nach Auswahl des Sicherungsgerts und -pfads ffnet sich ein Fenster (siehe Abb. 14.4), in dem gefragt wird, welche Datendateiarten gesichert werden sollen.

    In der Vorbelegung sind alle Arten ausgewhlt, was aber bei Bedarf und um den Sicherungsumfang klein zu halten auf bsp. Dokumente, Videos etc. begrenzt werden kann.

    Beim Bewegen des Mauszeigers ber die aufgefhrten Kategorien wird in dem Detailbereich aufgeleistet, welche Dateiendungen genau zur jewei-ligen Kategorie zhlen.

    Ausfhrbare und System-Dateien knnen hiermit nicht gesichert wer-den! Dafr gibt es die CompletePC-Sicherung.

  • 14.2 Datei- und Ordnersicherung 449

    Abb. 14.4. Dateitypauswahl

    Dann wird in dem Fenster (siehe Abb. 14.5) gefragt, ob und wann ggf. au-tomatische Sicherungen durchgefhrt werden sollen. Nach der entspre-chenden Auswahl und einem Klick auf Einstellungen speichern und Siche-rung starten beginnt der Sicherungsvorgang.

  • 450 14. Daten sichern und wiederherstellen

    Abb. 14.5. Zeitgesteuerte Sicherungen

    14.3 Sicherungsverfahren

    Da es sich bei diesem Beispiel um die allererste Sicherung des Computers handelt, lsst Vista nur eine Vollsicherung zu. Bei dieser werden wirklich alle Dateien und Ordner gesichert und als Besttigung das Archiv-Attribut1 (siehe Kap. 5) der erfolgreich gesicherten Objekte zurckgesetzt. Daran kann erkannt werden, dass es von einem bestimmten Dateisystemobjekt auf mindestens einem Sicherungsmedium eine Kopie gibt.

    Anders gehen die weiteren Sicherungsverfahren vor: Die inkrementelle Sicherung sichert nur Dateien mit gesetztem Archiv-Attribut, setzt dieses wie die Vollsicherung danach zurck. Die differenzielle Sicherung beachtet 1 Zur Erinnerung: Dieses wird bei der Erstellung von Ordnern bzw. Dateien ge-

    setzt sowie bei smtlichen erfolgten Schreibzugriffen.

  • 14.4 CompletePC-Sicherung 451

    es ebenfalls, setzt es aber nicht zurck. Und die Nur-Kopieren-Sicherung sichert wie die Vollsicherung alle ausgewhlten Elemente, ignoriert das Archiv-Attribut jedoch komplett.

    Unterschiede ergeben sich somit hinsichtlich der zu sichernden Volumi-na und bei einer ggf. erforderlichen Wiederherstellung: Sowohl die Voll- als auch die Kopieren-Sicherung sichern Daten vollstndig. Die Differen-zielle die Dateien, die seit der letzten Voll- oder inkrementellen Sicherung erstellt oder verndert wurden und hat somit eine stndig steigenden Um-fang. Und die inkrementelle Sicherung nur die Objekte, die seit der letzten inkrementellen oder Vollsicherung gesichert wurden. Sie hat somit eher ei-nen gleichbleibenden Umfang.

    Zur Wiederherstellung mssen bei Voll- und Kopiesicherungen nur der jeweils letzte Mediensatz zurckgesichert werden. Bei der Differenziellen die Voll- und letzte differenzielle Sicherung. Bei der inkrementellen Siche-rung mssen die letzte Vollsicherung und alle nachfolgenden inkrementel-len Sicherungsstze wieder eingelesen werden. Sie dauert somit hufig vergleichsweise am lngsten. brigens leben gelschte Datei bei den Zu-rcksicherungen von Teilsicherungen wieder auf!

    14.4 CompletePC-Sicherung

    Eine ganz andere Funktionalitt verbirgt sich hinter der Option Compu-ter sichern des Sichern-und-Wiederherstellen-Programms, bei der alle Da-teien auf allen Partitionen auf Festplatten oder DVDs gesichert und im Fal-le des Systemausfalls mit der Vista-Boot-DVD wiederhergestellt werden knnen (siehe Abb. 14.6).

    Mit einer CompletePC-Sicherung knnen nicht nur Anwender-/Daten-Dateien, auch System-Dateien gesichert werden, und solche, die sich auf FAT- oder FAT32-Partitionen befinden.

    Windows Vista speichert die Daten einer CompletePC-Sicherung in ei-ner VHD-Datei. Dieses Dateiformat entspricht dem, das Virtual PC und Virtual Server verwenden. Mit dem Dienstprogramm VHDMount, welches mit dem Microsoft Vista BDD (Business Desktop Deployment) und beim Virtual Server 2005 mitgeliefert wird, lassen sich CompletePC-Sicherungen wie eine Partition einrichten. Von ihr knnen dann beliebige Dateien gelesen und gendert werden.

  • 452 14. Daten sichern und wiederherstellen

    Abb. 14.6. Windows Vista CompletePC-Sicherung

    14.5 Datenwiederherstellung

    Eine Wiederherstellung ist jedoch auch von diesem Programm mglich, wenn der Computer noch startet.

    Dazu wird entweder Dateien wiederherstellen, Erweiterte Wiederher-stellung oder Computer wiederherstellen ausgewhlt (siehe Abb. 14.7).

    Wird die Option Computer wiederherstellen ausgewhlt, ffnet sich ein Fenster, in dem noch mal darauf hingewiesen wird, dass eine vollstndige Wiederherstellung nur ber einen Neustart mit dem Installationsmedium mglich ist.

  • 14.6 Weitere Sicherungsarten 453

    Abb. 14.7. Dateiwiederherstellungsfenster

    Bei den anderen Auswahlpunkten drften intuitiv verstndlich sein,

    welche Funktionalitt sich hinter ihnen verbirgt. Fr die Wiederherstellung von mit dem Programm NTBackup aus Win-

    dows-Vorgngerversionen durchgefhrten Sicherungen existiert im Auslie-ferzustand von Vista keine Software, welche diese wieder herstellen knn-te. Dafr muss von den Microsoft-Download-Webseiten die auf Vista lauf-fhige NTBachup-Version kostenlos heruntergeladen werden. Sie kann Daten von alten Sicherungsmedien wieder herstellen, aber keine Datensi-cherung durchfhren.

    14.6 Weitere Sicherungsarten

    Eine weitere Wiederherstellungsmglichkeit sind Schattenkopien (siehe Kap. 5). Das sind Images einzelner Dateien, die zu bestimmten Uhrzeiten (konfigurierbar) erstellt werden. Zur Verminderung des Festplattenspei-

  • 454 14. Daten sichern und wiederherstellen

    cherplatzbedarfs wird dazu ein Copy-on-Write-Verfahren verwendet, bei dem nur vernderte Dateibereiche kopiert (bzw. gesichert) werden.

    Zum bertragen lediglich der Anwenderdaten und -einstellungen kommt auch das Windows EasyTransfer-Programm in betracht.

    Sicherungsprogramme von anderen Herstellern bieten andere Optionen (z. B. Sicherung auf Band, Verschlsselung, Kennwortschutz, RAID-Sicherung), kosten jedoch im Vergleich zur in Vista integrierten Sicherung extra.

    Abb. 14.8. CompletePC-Wiederherstellung

    In einem Unternehmensnetzwerk werden blicherweise Rechner nicht

    einzeln gesichert, sondern der Order Dateien auf eine Dateiserverfreiga-be umgeleitet und diese dann zentral gesichert oder dafr ein eigenes Netz-laufwerk eingerichtet.

    Eine gute Idee ist auch, eine sog. Disk-to-Disk-to-Tape-Sicherung durchzufhren, bei der die zu sichernden Daten erst auf ein NAS-(Network Attached Storage) oder SAN-(Storage Area Network)-Gert, und erst in einem zweiten Schritt dauerhaft auf ein Bandlaufwerk gesichert werden.

    In aller Regel reicht aufgrund der hohen Sicherungsvolumina dazu nicht ein einziges Band aus, sondern man bentigt einen Sicherungssatz. Aber

  • 14.6 Weitere Sicherungsarten 455

    was ist, wenn bei einem Zurcksicherungsprozess auch nur ein einziges Band einen Lesefehler meldet?

    Generell sollten die durchgefhrten Sicherungen (auf einen Testbereich) regelmig zurckgesichert werden, um sicherzustellen, dass korrekt gesi-chert und die Sicherungsstze lesbar sind.

    Zur Vermeidung von Lesefehlern kann das Grovater-Vater-Sohn-Prinzip zur Anwendung kommen, bei dem drei vollstndige, rollierende Sicherungsstze vorhanden sind. Falls ein Band unlesbar sein sollte, steht dann immer noch eine weitere Version zur Wiederherstellung zur Verf-gung. Zustzlich sollte regelmig ein Satz (z. B. wchentlich) im Kopie-ren-Modus erstellt werden, der dann auerhalb des Unternehmensgelndes (bsp. in einem Banktresor) aufbewahrt wird, damit im Katastrophenfall immer noch eine vollstndige Sicherung zur Verfgung steht.

  • Anhang

    A. Startoptionen

    Obwohl Windows Vista die Startoptionen im BCD-Block der Registrie-rung speichert, werden betriebssystemintern noch immer die klassischen Boot.ini-Namen verwendet. Diese lassen sich sogar beim Start von Vista ansehen und verndern: Durch Druck auf die F10-Taste beim Systemstart ffnet sich das Fenster Startoptionen bearbeiten. Die Fhigkeit, die Optio-nen beim Start ndern zu knnen, hatten Windows-Versionen vor Vista nicht.

    Die jeweiligen Startoptionen mit denen eine Windowsumgebung gela-den wurde, lassen sich spter in der Registrierung im Schlssel HKLM\System\CurrentControlSet\Control\SystemStartOptions ansehen.

    Aber auch mit dem BCDEDIT-Programm lassen sie sich in der klassi-schen Form angeben. Ein Beispiel: In einer Administrator-Eingabeauffor-derung wird BCDEDIT /SET LOADOPTIONS /NOGUIBOOT eingege-ben. Zwischen dem Anfhrungszeichen und dem nachfolgenden Schrg-strich muss jedoch unbedingt ein Leerzeichen stehen.

    Wer hufiger die Startoptionen ndern mchte, kann ber den Befehl BCDEDIT /SET OPTIONSEDIT YES festlegen, dass das Startoptionen-Be-arbeiten-Fenster bei jedem Systemstart dargestellt werden soll.

    Die Schalter und ihre Parameter sind case-insensitive, knnen also in Gro-, Kleinbuchstaben oder gemischter Schreibweise eingegeben werden. Nachfolgend werden sie aber (wie auch in Windows intern, denn Win-load.exe bergibt auch die BCD-Einstellungen dem Kernel stets in der klassischen Form) durchgngig in Grobuchstaben aufgefhrt. Der Voll-stndigkeit halber sind auch einige klassische Schalter aufgefhrt, die nur in den Vorgngerversionen existierten und unter Vista ignoriert werden.

    Aufgrund des Umfangs der Tabelle A.1 drfte es keine Liste geben, welche mehr als die hier aufgefhrten Windows-Startoptionen hat

  • 458 Anhang

    Tabelle A.1. Klassische Startoptionen

    Schalter OS Bedeutung

    /3GB NT4+ Dieser Switch bewirkt eine Vernde-rung der Aufteilung des Adress-raums. Normalerweise steht einem Anwender-Task 2 GB RAM zur Verfgung und dem Betriebssystem die restlichen 2 GB des 32-Bit-Adressraums. Mit /3GB stehen Be-nutzer-Anwendungen bis zu 3 GB zur Verfgung, Windows (und auch der Hardware) 1 GB. Nur speziell programmierte Anwendungen wie SQL-Server Enterprise und Ex-change Enterprise knnen das zu-stzliche Gigabyte nutzen. Fr ande-re Anwendungen, Windows NT 4 Standard Server, Windows 2000 Standard Server, Windows 2000 Small Business Server, Windows 2003 Small Business Server und auf 64-Bit-Systemen bringt dieser Schal-ter nichts (der User-Space bleibt bei 2 GB) und darf nicht in der Boot.Ini-Datei angegeben werden! Diese Option wird fr Exchange-2000- und -2003-Server, die auf ent-sprechenden OS-Versionen laufen, Postfcher und 1 GB oder mehr phy-sischem RAM haben, empfohlen. Obwohl auf Windows XP-Rechnern untersttzt, sollte er hier nicht ver-wendet werden, weil es sonst zu Kernelspeicherengpssen kommen kann. Das gilt insbesondere, wenn Grafikkarten mit eigenem Speicher verwendet werden. (Siehe auch /USERVA sowie die KB-Artikel 266096, 823440 und 291988).Wenn der Server jedoch 16 oder mehr GB RAM hat, bentigt Windows 2 GB Platz; dieser Schalter darf dann nicht gesetzt sein! In den 64-Bit-Windows-Versionen, Windows XP

  • A. Startoptionen 459

    Embedded (XPe) und WinPE Remo-te-Boot-Umgebungen wird er nicht untersttzt.

    /BASEVIDEO Schaltet auf Standard-VGA-Aufl-sung (640 x 480 Punkte, 16 Farben) um. Wird benutzt, falls es beim Sys-temstart zu Problemen mit den in-stallierten Grafikkartentreibern gibt

    /BAUDRATE bertragungsrate des seriell ange-schlossenen Debugger-PCs. (Mgli-che Werte sind: 9600, 19200, 38400, 57600 und 115200, Default: 19200, ab Windows XP: 115200).

    /BOOTDEBUG Hilft beim Debuggen von Boot-Ge-rtetreibern.

    /BOOTLOG (WXP+)Bewirkt, dass die Datei Ntbtlog.txt im %Systemroot%-Verzeichnis er-stellt wird. Sie enthlt ein Protokoll des aktuellen Startvorgangs mit An-gabe aller geladenen Treiber.

    /BOOTLOGO (WXP+)Mit diesem Schalter kann das Bild, das whrend des Systemstarts ange-zeigt wird, in ein eigenes gendert werden. Diese Datei muss Boot.bmp heien und in sich in %Systemroot% befinden. Ihre Gre ist 640 x 480 Punkte mit 16 Farben und RLE-kodiert. In Windows Vista ist sie als WIM-Datei in Winload.Exe unter dem Na-men osload800x600.bmp bzw. oslo-ad1024x768.bmp in der Root dieser Datei untergebracht, kann 1, 24 oder 32 bpp haben und benutzt kein RLE mehr.

    /BREAK Hlt Windows nach dem Starten, bei der HAL-Initialisierung an und war-tet (ohne Zeitbegrenzung) auf eine Debuggingsession. Ohne /DEBUG erscheint ein Blue-Screen.

  • 460 Anhang

    /BURNMEMORY= (WXP+)Gibt die Gre eines Speicherberei-ches (in MB) des physischen RAMs an, der von Windows nicht benutzt werden soll. Wird z. B. benutzt, um das Verhalten des Systems und von Treibern bei knappem Speicher zu testen. (hnlich: /MAXMEM - /Burnmemory ist jedoch genauer!).

    /CHANNEL= (WXP+)Legt den Kanal des IEEE-1394-De-buggingports im Bereich von 0 - 62 fest und wird zusammen mit /DEBUGPORT verwendet. Wird dieser Schalter weggelassen, wird 0 (= Default) verwendet.

    /CLKLVL (NT4 - W2k3)

    Informiert die Multiprozessor-HAL, dass eine level-sensitive Systemuhr anstelle eines edge-triggered Uhren-chips (Default) im Computer ist.

    /CMDCONS (W2k - W2k3)

    Bewirkt, dass nicht der Windows-Explorer, sondern die Wiederher-stellungskonsole geladen wird.

    /CONFIGACCESSPOLICY= (WV+) =DEFAULT oder =DISALLOWMMCONFIG Letztere Einstellung wird fr man-che Systeme verwendet, auf denen sich Vista aufgrund von Konflikten mit Multimediahardware (wie der Soundkarte oder DVB-Empfngern) nicht installieren lsst.

    /CONFIGFLAG= (WV+) Prozessorspezifische Konfigurati-ons-Flags.

    /CRASHDEBUG (WNT - W2k3)

    Ldt zwar den Debug-Kernel, lagert diesen aber whrend der Laufzeit aus. Eine Debugging-Session kann dann nur im Falle eines Absturzes initiiert werden und nicht whrend der Laufzeit. Falls sowohl /DEBUG und /CRASHDEBUG angegeben werden sollten, hat /CRASHDEBUG Prioritt. /DEBUGPORT und /BAUDRATE sind optionale Para-meter.

  • A. Startoptionen 461

    /DEBUG Ldt die Debugging-Version des Kernels und startet ein Kernel-De-bugging-Sitzung. Dies ist der De-fault, wenn entweder /DEBUGPORT oder /BAUDRATE angegeben werden. Der Debug-Ker-nel ist nur fr die Fehleranalyse und fr Entwickler gedacht und vermin-dert die Performance auf Produkti-onsumgebungen. Nur bei Windows Server 2003 und hher kann der Debug-Schalter zu-stzlich in folgender Syntax verwen-det werden: /debug[={autoenable | disable | noumex},...] AUTOENABLE, die Voreinstellung, bedeutet, dass der Debugger erst dann gestartet wird, wird eine Aus-nahme oder ein anderes kritisches Ereignis auftritt. Mit DISABLE ist der Debugger zunchst inaktiv, kann aber mit dem Befehl KDbgCtrl auf-gerufen werden und sollte nun an-stelle /CRASHDEBUG verwendet werden. Und NOUMEX verhindert, dass der Debugger bei Ausnahmen im User-Modus gestartet wird. Es kann auch mehr als eine Subop-tion angegeben werden, die Tren-nung erfolgt dann durch Kommas.

    /DEBUGPORT= Spezifiziert den Port, an dem der De-bugger-PC angeschlossen ist (z. B. COM1, COM2, COM3, COM4 oder (ab Windows XP) 1394). Default auf x86-PCs ist COM2. Der angegebene Port wird damit durch die HAL fr das Betriebssystem ausgeblendet und steht dann fr Debuggingzwecke ex-klusiv zur Verfgung. Fr IEEE-1394-Debugging mssen beide PCs Windows XP oder hher ausfhren und mittels /CHANNEL-Switch den-selben IEEE-1394-Kanal konfigu-riert haben. Der zu debuggende Computer muss auerdem im Be-

  • 462 Anhang

    triebssystem den verwendeten IEEE-1394-Port deaktiviert und virtuelle Debug-Treiber installiert haben, da-mit dieser fr den Kernel exklusiv zur Verfgung steht.

    /DEBUGPORT=USB (WV+) Legt fest, dass die Debuggingschnitt-stelle der USB-Port sein soll.

    /DETECTHAL (WV+) WinPE 2.0/Vista/Win2008: HAL- und Kernel-Erkennung beim Sys-temstart. Fr ltere OS aus dem neu-en Bootloader entfernen!

    /DISABLE_INTEGRITY_CHECKS(WV+) Auch unter Vista in den 64-Bit-Vari-anten wird das Starten mit nicht sig-nierten Treibern erlaubt.

    /EXECUTE (WXP SP2+)

    Mit diesem Switch wird die DEP (Data Execution Prevention) deakti-viert und wirkt insoweit genau um-gekehrt wie /NOEXECUTE (siehe dort).

    /FASTDETECT (W2k - W2k3)

    Instruiert NTLDR, nicht nach seriel-len Schnittstellen und Gerten wie Musen zu suchen und ist ab Win-dows 2000 die Default-Einstellung. Das Weglassen dieses Schalters kommt auf Multi-Boot-Computern mit NT4-Partition, aber mittels NTLDR von Windows 2000 oder hher gestartet werden, in betracht (Vor Windows 2000 wurde /NOSERIALMICE dafr benutzt). In einer zweiten Syntax-Form (/FASTDETECT:COM1[,COMx]) wird die Erkennung nur fr die ange-gebenen Gerte weggelassen.

    /FIRSTMEGABYTEPOLICY= (WV+) Gibt an, wie das erste Megabyte des Hauptspeichers verwendet werden soll. Gltig sind: USENONE (Nicht ver-weden), USEALL (Alles verwen-den) und USEPRIVATE (Reserviert fr zuknftige Windows-Versionen).

  • A. Startoptionen 463

    /FVEBOOT= (WV+) Unbekannt - Hat aber irgendetwas mit BitLocker (aka: Full Volume En-cryption) zu tun.

    /HAL= Gibt die zu verwendende Hardware Abstraction Layer (HAL)-Datei an (z. B. /HAL=halmps.dll ldt explizit die Multiprozessor-HAL). Der Da-teiname muss der 8+3-Konvention entsprechen. Der Default-Wert ist hal.dll, was stets eine umbenannte Version einer der System-HAL-Da-teien ist. Wird hufig (zusammen mit /KERNEL) auf Entwickler-Compu-tern eingesetzt, um Treiber und Pro-gramme mit verschiedenen Kerneln und HALs testen zu knnen.

    /INRAM (WXP SP2+)

    Lsst WinPE vollstndig im RAM laufen.

    /INTAFFINITY (WNT - W2k3)

    Gibt an, dass in einem Mehrprozes-sorsystem nur die CPU mit der hchsten ID fr die Interruptbear-beitung zustndig sein soll. Default-mig knnen alle CPUs Interrupts bearbeiten.

    /KERNEL= Gibt die zu ladende Kernel-Datei an (z. B. /KERNEL=ntkrnlmp.exe ldt den Multiprozessor-Kernel). Die ge-nannte Datei muss sich im Verzeich-nis %Systemroot%\system32 befin-den und der 8+3-Konvention ent-sprechen. Der Defaultwert hngt von der Speichergre des PCs ab: Fr Computer mit weniger als 4 GB RAM, ist der Default-Kernel ntoskrnl.exe. Fr Computer mit 4 GB oder mehr RAM, ist der Default- Kernel ntkrnlpa.exe.

    /LASTKNOWNGOOD Startet das System als wre die Start-option "LastKnownGood" ausge-whlt worden.

  • 464 Anhang

    /MAXAPICCLUSTER Grte APIC-Gruppennummer, die ein System verwenden kann.

    /MAXMEM= Gibt an, wie viel physischer RAM (in KB) Windows zur Verfgung stehen soll. Mehr als der angegebene Speicher, wird von Windows dann nicht benutzt. Dieser Schalter wird von Programmierern verwendet, um Treiber/Programme mit unterschied-lichem Speicherausbau testen zu knnen, ohne dafr RAM-Module wechseln zu mssen. (Siehe /BURNMEMORY und den KB-Arti-kel 108393)

    /MAXPROC Gibt die maximale Anzahl von Pro-zessoren an, die in einem System in-stalliert sein knnen. Diese Angabe ist wichtig fr die CPU-HotAdd-Funktion.

    /MAXPROCSPERCLUSTER= (W2k+) Instruiert die HAL, das die APIC-Cluster-Mode-Adressierung ver-wendet werden soll Der Wert gibt die maximale Anzahl von Prozesso-ren je APIC-Cluster an.

    /MININT (W2k+) In einer WinPE- und Windows XP Embedded-Umgebung wird damit die Registry als "volatile"/flchtig gekennzeichnet, nur im Speicher gehalten und nderungen nicht zu-rckgeschrieben. Wird z. B. ben-tigt, wenn man von einem "Nur-Lese"-Speicher booten mchte.

    /MSIPOLICY= (WV+) Einstellung fr den Message Signal-ed Interrupt. Gltig sind =DEFAULT oder =FORCEDISABLE.

    /NODEBUG Verhindert das Laden des Debug-Kernels, Diese Einstellung ist der Default-Wert, kann aber verwendet werden, um bei wechselnden Konfi-gurationen nicht die gesetzten De-bug-Parameter in der Boot.Ini-Datei

  • A. Startoptionen 465

    entfernen zu mssen. Sollten sowohl /DEBUG als auch /NOBEBUG an-gegeben sein, hat der /NODEBUG-Schalter Prioritt, falls /CRASHDEBUG angegeben sein sollte, hat dieses wiederum Prioritt.

    /NOEXECUTE (WXP SP2+)

    Diese Option steuert die Datenaus-fhrungsverhinderung bzw. den Speicherseitenschutz (Data Execu-tion Protection, DEP) fr 32-Bit-Ap-plikationen, die ein Ausfhren von potentiell schdlichem Code in Da-tenbereichen von Programmen (z. B. durch Buffer-Overflows erzeugt) verhindert. Fr die Hardware-DEP-Untersttzung wird eine entspre-chende CPU wie AMD Athlon64 bentigt, sonst wird nur die Soft-ware-DEP genutzt. Es gibt die Un-teroptionen OPTIN (DEP nur fr Be-triebssystemkomponenten inkl. dem Windows-Kernel und Treibern Ad-minstratoren knnen aber darber hinaus DEP fr ausfhrbare Dateien ihrer Wahl mit Hilfe des Applikati-onskompatibilittsassistenten (Appli-cation Compatibility Toolkit/ACT) einschalten), OPTOUT (aktiviert DEP fr das Betriebssystem und alle Dienste und Prozesse inkl. dem Win-dows-Kernel und Treibern. Adminis-tratoren knnen DEP jedoch fr be-stimmte ausfhrbare Dateien mit der Registerkarte Systemleistung des System-Programms aus der System-steuerung abschalten), ALWAYSON (Aktiviert DEP fr das Betriebssys-tem und alle Prozesse und Treiber (inkl. dem Windows-Kernel und den Treibern). Alle Versuche, z. B. durch schdliche Software, DEP whrend der Laufzeit abzuschalten werden ignoriert.) und ALWAYSOFF (Schaltet DEP vollstndig ab jegli-che Versuche, es whrend der Lauf-

  • 466 Anhang

    zeit zu aktivierten werden geblockt). ALWAYSOFF deaktiviert zudem PAE, jede andere Option aktiviert PAE. Um PAE in diesen Fllen ein- oder auszuschalten, mssen explizit der /PAE- oder /NOPAE-Schalter angegeben werden. Fr 64-Bit-Ap-plikationen hat dieser Schalter keine Bedeutung, da die DEP fr diese im-mer aktiviert ist und nicht abgeschal-tet werden kann (entspr. ALWAYSON). Defaults sind fr WinXP SP2+: /NOEXECUTE=OPTIN, fr Win-dows Server 2003 SP1+: / NOEXE-CUTE=OPTOUT.

    /NOGUIBOOT (W2k+) Dieser Schalter verhindert die Dar-stellung jeglicher Bitmap-Grafiken aus dem Kernel whrend des Boot-vorgangs (indem die Datei boot-vid.dll nicht initialisiert wird) und auch des blauen Hintergrunds im Falle eines STOP-Fehlers. Dieser Schalter kann bei Grafikkarten-treiberproblem verwendet werden. Unter Vista verhindert es die Dar-stellung des animierten Fortschritt-balkens.

    /NOIRQSCAN (W2k+) Verhindert whrend des PnP-Scans die IRQ-Erkennung.

    /NOIRQROUTING Unbekannt

    /NOLEGACY Unbekannt

    /NOLOWMEM (W2k+) Bewirkt bei 32-Bit-Windowsversio-nen, dass der untere 4-GB-Bereich aus dem Adressraum ausgeklammert und nicht verwendet wird, wenn /PAE und eine x64-CPU benutzt werden. Bei Windows-Versionen vor Version 2003 SP1 wird, wenn sowohl /3B und /NOLOWMEM spe-zifiert sind, /NOLOWMEM igno-riert. (Siehe auch den KB-Artikel 291988).

  • A. Startoptionen 467

    /NOPAE (W2k+) Instruiert NTLDR eine Nicht-PAE des Kernels zu laden, was auf 32-Bit-Systemen ohnehin der Default ist. Da jedoch die DEP (Data Exce-cution Protection) bei hardware-DEP-fhigen CPUs automatisch PAE mitaktiviert, kann dieser Schal-ter benutzt werden, um in diesen Fl-len PAE zu deaktivieren (siehe /NOEXECUTE), ebenso, wenn ein Treiber nicht PAE-kompatibel ist. Auf 64-Bit-OS hat dieser Schalter keine Bedeutung.

    /NOSERIALMOUSE Nur NT3/4

    Synonym fr /NOSERIALMICE (siehe dort). Steht ab Windows 2000 nicht mehr zur Verfgung.

    /NOSERIALMICE=[COMx | COMx,y,z...]

    Nur NT3/4

    Deaktiviert die Erkennung serieller Muse an den angegebenen Ports (/NOSERIALMICE ohne COM-Port-Angabe deaktiviert die Erken-nung serieller Muse an allen COM-Ports. Dies war fr NT3.x und 4 sehr wichtig, weil diese Erkennung man-che angeschlossene USVs in den Batterie-/Entlademodus versetzte. Da bei Windows 2000 und hher diese Erkennung nicht mehr von NTLDR durchfhrt, hat dieser Schalter bei aktuellen Systemen kei-ne Bedeutung mehr und wurde durch /FASTDETECT ersetzt.

    /NOVESA Verhindert die Auswahl der VESA-Modi der Grafikkarte, welche nicht mit jedem Monitor kompatibel sind.

    /NUMPROC= Legt die Anzahl der zu benutzenden CPUs auf einem Mehrprozessorsys-tem fest.

    /ONECPU Die Angabe dieses Schalters bei ei-nem Mehrprozessorsystem mit Mehrprozessor-HAL legt fest, dass nur eine CPU benutzt wird (entspr. /NUMPROC=1).

  • 468 Anhang

    /PAE (W2k+) Bewirkt auf kompatibler 32-Bit-Hardware die Benutzung eines Ker-nels mit den Intel Physical Address Extensions, mit der sich mehr als 4 GB RAM adressieren lassen. Dies bewirkt auch, dass 64-Bit-Adressen an den Kernel weitergegeben wer-den. Dieser Schalter ist auf 64-Bit-Versionen unntig, und wird beim Start im abgesicherten Modus auf al-len Windows-Versionen ignoriert. Wenn DEP (siehe /NOEXECUTE) deaktiviert ist (/NOEXECUTE=ALWAYSOFF) wird auch PAE abgeschaltet. Um in so einem Fall dennoch mit den PAE arbeiten zu knnen muss dies ber explizites Setzen des /PAE-Schalters aktiviert werden. Die Hot-add-me-mory-Untersttzung (das ist das Hinzufgen von RAM whrend des Betriebs ohne Neustart) auf Win-dows Server 2003, Enterprise und Datacenter oberhalb der 4-GB-Gren-ze bentigt PAE. (Siehe auch KB-Artikel 291988).

    /PCILOCK Verhindert, dass die HAL PCI-Bus-zuordnungen, die vom BIOS vorge-nommen wurden (I/O-Adressen und IRQ-Ressourcen), ndert. Wenn die-ses Schalter angegeben wird, ist das BIOS fr die korrekte Zuordnung (I/O- und Memory-Ressourcen) al-lein verantwortlich. Bei 64-Bit-Ver-sionen von Windows ist dieser Schalter ohne Funktion. (Siehe auch KB-Artikel 148501).

    /PCIEXPRESSPOLICY= Unbekannt. Mgliche Werte sind =DEFAULT oder =FORCEDISABLE.

    /PERFMEM= (WV+) Gre in MB des Puffers fr Perfor-mance Data Logging im BBT (Basic Block Block Testing).

  • A. Startoptionen 469

    /RDBUILD (W2k - W2k3)

    Spezifiziert, dass die Boot-RAM-DISK vom Deployment Agent Buil-der Server erstellt werden soll.

    /RDCLIENTPORT (W2k3) Gibt an, welchen TCP/IP-Port Auto-mated Deployment Services-(ADS)-TFTP-Clients benutzen sollen, um sich mit dem ADS-Agent-Builder-Dienst zu verbinden.

    /RDEXPORTASCD (WXP+)Wird benutzt, wenn WinPE ber RIS (Remote Installation Services) auf einer RamDisk verteilt wird (ermg-licht den Export der Ramdisk als CD).

    /RDGUID={...} (W2k3) GUID der Konfiguration, die vom Deployment-Agent-Builder-Dienst erstellt warden soll.

    /RDIMAGELENGTH= Gibt die Gre des Ramdisk-Images an.

    /RDIMAGEOFFSET (WXP+)Fr die Ramdisk in WinPE und XPe (Default: 4096). Muss angegeben werden, falls die Boot.Ini-Datei auf dem Server liegt und nicht der Boot-Manager oder nicht ein Image ver-wendet wird, das mit .SDI endet, verwendet wird.

    /RDPATH= (WXP+)Fr die Ramdisk in WinPE (Win-dows Preinstallation Environment) und Windows Embedded: Gibt den Pfad der zu ladenden SDI-Datei (System Deployment Image) an (z. B. net(0)\xpeimage.sdi).

    /RDRETRY: (W2k3) Anzahl der Wiederholungsversuche von 0 bis 65535. Default: 5.

    /RDSDIHDRPATH= (WV+) Pfad der Start-Datei innerhalb des SD-Images.

    /RDSERVERPORT: (W2k3) IP-Port des Deployment-Agent-Buil-der-Dienstes. Voreinstellung: 4012.

  • 470 Anhang

    /RDSERVERS={} (W2k3) Durch Kommas getrennte IP-Adress-liste fr den Deployment Agent Builder Service um von dort Deploy-ment Agent Images zu laden.

    /RDTIMEOUT: (W2k3) Timeoutwert in Sekunden fr den Server-Kontakt. Gltige Werte sind 1 - 60, die Voreinstellung ist 4.

    /REDIRECT=COMx /REDIRECT=USEBIOSSETTINGS

    (WXP+)Dieser Schalter aktiviert die Emer-gency Management Services (EMS) auf einem Windows Server 2003, Enterprise Edition-Computer. Wenn das BIOS die ACPI Serial Port Con-sole Redirection (SPCR) untersttzt, kann USEBIOSSETTINGS angege-ben werden, andernfalls wird eine bertragungsrate von 9600 Baud verwendet.

    /REDIRECTBAUDRATE= Legt die bertragungsrate fr EMS fest. Gltige Werte sind: 9600 (De-fault), 19200, 57600, 115200.

    /SAFEBOOT: (W2k) Startet das System im abgesicherten Modus. Mgliche Parameter sind: MINIMAL, NETWORK (Abgesi-cherter Modus mit Netzwerk), MINIMAL(ALTERNATESHELL), DSREPAIR (Verzeichnisdienstwie-derherstellung auf Domnen-Con-trollern). (Siehe KB-Artikel: 239780).

    /SCSIORDINAL: (NT4 -W2k3)

    Beim Hinzufgen von weiteren SCSI-Controllern kann es zu einer Verschiebung der SCSI-Adapter-Nummern, die in den ARC-Pfaden angegeben werden, kommen. Um dem zu entgegnen, kann mit /SCSIORDINAL:0 der erste SCSI-Controller und mit /SCSIORDINAL:1 der zweite SCSI-Controller gekennzeichnet werden. (Siehe KB-Artikel 103625).

    /SDIBOOT= (WXP+)Fr Windows Embedded und Win-PE. Gibt an, wo die SDI-Datei (Sys-

  • A. Startoptionen 471

    tem Deployment Image) liegt, die NTLDR verwenden soll, um das System zu starten.

    /SOS (NT4 - W2k3)

    Listet bei Systemstart alle geladenen Treiber und Module der Reihenfolge nach auf.

    /TARGETNAME=Zeichenkette (W2k+) Dieser Schalter wird zusammen mit /DEBUG verwendet und gibt den Namen einer USB-Debugging-Sit-zung an. Das Zielsystem muss dabei Windows Vista oder hher sein. Der Name kann frei gewhlt werden.

    /TESTSIGNING (WV+) Hilft bei der Entwicklung von Trei-bern, indem auch Zertifikate der Mi-crosoft Test Root Authority (durch makecert.exe erstellt) und nicht nur von ausdrcklich vertrauten, Zertifi-katsservern akzeptiert werden.

    /TIMEOUT= (WV+) Gibt an, wie lange der Boot-Mana-ger auf eine Benutzerauswahl warten soll. Einheit: Sekunden.

    /TIMERES= (NT4 - W2k3)

    Konfiguriert fr eine Multiprozes-sor-HAL die Timerauflsung in 100 ns-Einheiten. Mgliche Werte: 9766 -> .98 ms, 19532 -> 2.0 ms, 39063 -> 3.9 ms, 78125 -> 7.8 ms.

    /USE8254 (NT4 - W2k3)

    Veranlasst NT, den 8254-Timer-Chip zu verwenden um Probleme mit CPU-Lastspitzen zu vermeiden. Wird nur selten und nur bei Syste-men mit lterem BIOS bentigt. (Siehe KB-Artikel 169901)

    /USENEWLOADER (WV+) Neuen, Vista-Bootloader verwenden (fr WinPE und Windows Embed-ded)

    /USEPHYSICALAPIC Erzwingt die Benutzung des physi-schen (nicht virtualisierten) APICs.

    /USEPMTIMER (W2k+) Veranlasst Windows, mit einem ro-busten Timer zu arbeiten, um In-kompatibilitten mit bei 64-Bit-Win-dows-Versionen und Multi-Core-

  • 472 Anhang

    Prozessoren (wie AMD Athlon X2) zu vermeiden. Diese knnen bsp. auftreten, wenn der AMD Cool'n -Quite-Treiber installiert ist und die Cores entsprechend der Last unter-schiedlich taktet. Manche Anwender berichten hinge-gen, dass Probleme bei Spielen und Musikwiedergabe gerade durch das Entfernen dieses Switches behoben wurden.

    /USERVA= (WXP+)Arbeitet nur im Zusammenhang mit (und ist insoweit ein Unterparameter von) /3GB. Mit ihm kann die Gre des Speichers fr Benutzer-Prozesse in MB genau angegeben werden (im Bereich von 2048 - 3072). Windows nutzt dann 4.096 MB minus diesem Wert fr Kernel-Zwecke. Der De-fault-Wert von /3GB (ohne /USERVA) ist 3072, was aber i. d. R. zu wenig Platz fr PTE (Page Table Entries/Seitentabelleneintrge) lsst, die fr die Speicherverwaltung bentigt werden. Fr Microsoft Ex-change wird der Wert 2900 - 3030 empfohlen, wenn /3GB benutzt wird. Wie /3GB wird dieser Schalter fr 64-Bit-OS ignoriert. (Siehe KB-Arti-kel 316739).

    /WIN95 (NT4 - W2k3)

    NTLDR startet von einem Bootsek-tor, der sich in der Datei bootsec.dos befindet.

    /WIN95DOS (NT4 - W2k3)

    NTLDR startet von einem Bootsek-tor, der sich in der Datei boot-sec.w40 befindet.

    /YEAR= (W2k - W2k3)

    Weist Windows an, das von der in-ternem Uhrenchip gelieferte Jahres-zahl zu ignorieren und immer die hier angegeben Jahreszahl zu ver-wenden. (Wurde insbesondere zum Testen auf Jahr-2000-Konformitt benutzt.)

  • A. Startoptionen 473

    Legende: NT4+: Ab Windows NT4 W2k+: Ab Windows 2000 und hher WXP+: Ab Windows XP und hher verfgbar WXP SP2+: Ab Windows XP SP2 und Windows Server 2003 SP1 verfgbar WXP64+: Windows XP 64-Bit-Version und hher W2k3+: Ab Windows Server 2003 und hher WV+: Ab Windows Vista und Windows Server 2008

  • Sachverzeichnis

    3

    3DES 244, 421 3-GB-Modus 10

    6

    64-Bit-Versionen 14

    A

    Abbilder 52 Abgesicherter Modus 23 Abhngigkeiten 174 Access Router 415 Access Token Siehe Zugriffstoken ACE Siehe Zugriffssteuerungs-

    eintrge ACL 303 ACPI 7 Active Directory 290 ActiveX-Installer 175 ActiveX-Installerdienst 121 Address Windowing Extensions 10 Administrator 286 Administrator-Eingabeaufforderung

    69 Administratoren-Gruppe 300 Administratoren-SID (lokal) 314 Administrator-SID 311 ADMX-Dateien 17 Adprep.exe 110 Adressraum 10 Advanced Encryption Standard

    Siehe AES Aero 29, 75, 105

    AES 244, 416 ALG Siehe Gatewaydienst auf An-

    wendungsebene Andere-Organisation-SID 319 Anmeldebildschirm 41 Anmeldedienst 175 Anmelderechte 207, 213 Anmeldeskript 288 Anonymous-Anmeldung 301 Anonymous-Anmeldung-SID 309 Anschlussumleitung fr Terminal-

    dienst im Benutzermodus 175 Anwendungserfahrung 175 Anwendungsinformationen 175 Anwendungsverwaltung 175 Anzeigeeinstellungen 74 Arbeitsgruppen 129 Arbeitsoberflche 65 Arbeitsspeicherdiagnose 25 Arbeitsspeicherdiagnosetool 26 Arbeitsstationsdienst 175 ASP.NET-Zustandsdienst 176 Assistent fr vergessene Kennwrter

    291 Aufgabenblock-Ansicht 102 Aufgabenplanung 150, 176 Aufgabenplanungsdienst 150 Ausfhrungsschicht 4 Auslagerungsdatei 6, 134 Authentifizierte Benutzer 301 Authentifizierte Benutzer-SID 310 Authentifizierung 269 Automatisch (Verzgerter Start) 9,

    167 Automatische Konfiguration -

    verkabelt 176

  • 476 Sachverzeichnis

    Automatische Wiedergabe 108 Automatische WLAN-Konfigura-

    tion 176 Autoritts-IDs 306 Autounattend.xml 56 AWE Siehe Address Windowing

    Extensions

    B

    Basisdatentrger 219 Basisfiltermodul 176 Basisordner 288 Batch 301 Batch-SID 309 BCD 19, 20, 21, 457 Bcdedit.exe 21, 457 BDD 53, 451 Begrungscenter 66 Benachrichtigungsdienst fr Sys-

    temereignisse 176 Benutzer-DSN 158 Benutzer-Gruppe 290, 300 Benutzerkonten 285, 287 Benutzerkontensteuerung 39, 68,

    175, 302, 322 Benutzermodus 1, 8 Benutzermodus-Framework 338 Benutzermodus-PnP-Manager 7 Benutzermodus-Treiber 8 Benutzeroberflchen-Sprachpakete

    127 Benutzerprofildienst 176 Benutzerprofile 136, 288 Benutzerrechte 207 Benutzer-SID 315 Benutzervariablen 140 Berechtigungen 286, 304 Berechtigungsvergabe 285 BIOS 20 BitLocker 109 BitLocker Repair Tool 111 BITS Siehe Intelligenter Hinter-

    grundbertragungsdienst BKS Siehe Benutzerkonten-

    steuerung

    Block Level Backup Engine Service 176

    Bluetooth-Untersttzungsdienst 176 Blu-ray 218, 246 Boot Configuration Data Siehe

    BCD Boot.ini 21, 457 Bootmgr 20 Boot-Sektor 20 Bridge 260 Browser-Dienst 177 Brute-Force-Verfahren 299 Buffer-Overflow 135 Business Desktop Deployment

    Siehe BDD

    C

    CDFS 245 CD-Laufwerk 218 CERTSVC_DCOM_Access-Gruppe

    320 CHAP 198, 416, 418, 420 Chkdsk.exe 251 Chkntfs.exe 251 CIDR 122 CIFS 197 Cipher.exe 251 ClearType 75 Client fr NFS 176, 194 Client-Side Cache 409 CMAK 434 CNG 177 CNG-Schlsselisolation 177 COM 101, 122 COM+ 177 COM+-Ereignissystem 177 COM+-Systemanwendung 177 Compact.exe 251 Compartment 267 CompletePC-Sicherung 25, 448,

    451 CompletePC-Sicherungs-Programm

    445 CompletePC-Wiederherstellung 25,

    454

  • Sachverzeichnis 477

    Component Object Model Siehe COM

    Computerbrowser 177 Computername 40 Computerreparaturoptionen 33 Computerverwaltung 157 Control Sets Siehe Gertetreiber-

    Steuerstze Convert.exe 251 Cryptographic Next Generation

    Siehe CNG CSC Siehe Client-Side Cache

    D

    DAC Siehe Verbindliche Beschrif-tung

    DACL 230, 303 Darstellungseinstellungen 74 Data Decryption Field Siehe DDF Data Encryption Standard Siehe

    DES Data Execution Prevention Siehe

    Datenausfhrungsverhinderung Data Recovery Field Siehe DRF Datei- und Ordnersicherung 447 Dateiattribute 246 Dateisysteme 224 Datenausfhrungsverhinderung 135 Datenquellen 158 Datentrgerkontingente 241 Datentrgerverwaltung 217, 222,

    224 Datenwiederherstellung 452 Datum und Uhrzeit 111 DAV Siehe Datenausfhrungs-

    verhinderung Daytime 121 DCOM 177 DCOM-Server-Prozessstart 177 DDF 245 DDNS 178, 266 Defrag.exe 251 Defragmentierung 247 DEP Siehe Datenausfhrungs-

    verhinderung

    DES 244, 416, 421 Designs 75, 177 DFS 123 DFS-Replikation 177 DHCP-Administratoren-Gruppe

    320 DHCP-Benutzer-Gruppe 320 DHCP-Client-Dienst 177 Diagnoserichtliniendienst 177 Diagnostesystemhost 178 Dialup 301 Dialup-SID 309 Dienst 301 Dienst-Abhngigkeiten 174 Dienste 9, 89, 166 Dienste fr NFS 121, 191 Dienst-SID 309 Dienststeuerungs-Manager 9, 173 Diese-Organisation-SID 310 Digest-Authentifizierung-SID 319 Digital Locker Siehe Digitales

    Schliefach Digitales Schliefach 119 Direktverbindung 425 Diskpart.exe 251 Distributed COM-Benutzer-Gruppe

    300 Distributed COM-Benutzer-SID

    318 Distributed File System Siehe DFS Distributed Transaction Coordinator

    Siehe DTC Dns-Administratoren-Gruppe 320 DNS-Client-Cache 266 DNS-Client-Dienst 178 DnsUpdateProxy-Gruppe 320 Domnen-Admins-SID 312 Domnenbenutzerkonten 290 Domnen-Benutzer-SID 312 Domnencomputer-SID 312 Domnencontroller 290 Domnencontroller-Gruppe 320 Domnencontroller-ohne-Schreibzu-

    griff-SID 314 Domnencontroller-SID 311, 313 Domnen-Gste-SID 312

  • 478 Sachverzeichnis

    Domnenname 129 DRF 245 Druckdienste 121 Druckeinstellungen 334 Drucker 325 Druckerberechtigungen 342 Druckerfreigabename 338 Drucker-Pooling 350 Drucker-Standort 335 Druckertreiber 338 Druckerwarteschlange Siehe Druck-

    warteschlange Druckgert 325 Druck-Operatoren-SID 316 Druckserver 325 Druckservereigenschaften 346 Druckwarteschlange 178 DSN Siehe Datenquellen DTC 178 DVD-Laufwerk 218 Dynamische Datentrger 219

    E

    E/A-Manager 4, 5 EAP 178, 420 EAP-MD5 416, 420 EAP-TLS 420 EasyBCD 21 EasyTransfer 47, 454 Echo 121 EFS 109, 244 Eigentmerrechte 301 Eigentmerrechte-SID 308 Einfache Firewall 273 Einfache Freigabe 381 Einfache TCP/IP-Dienste 121 Einfaches Volume 219, 221 Eingehende Verbindung 434 Eingeschrnkter Code-SID 310 Encrypting File System Siehe EFS Energieschemata 408 Enumeratordienst fr tragbare

    Gerte 178 Ereignisanzeige 393 Ereignisprotokollleser-Gruppe 300

    Ereignisprotokollleser-SID 318 Erkennung interaktiver Dienste 178 Ersteller-Besitzer 301 Ersteller-Besitzer-Server-SID 308 Ersteller-Besitzer-SID 308 Erstellergruppe-SID 308 Ersteller-Primre-Gruppe-Server-

    SID 308 Erstellung eingehender Gesamt-

    strukturvertrauensstellung-SID 317

    Erweiterte Freigabe 383 Erweiterte Partition 221 Erweiterte Partitionen 219 eSATA 217 ESP 422 EUI 199 Executive 4 Expand.exe 251 Explorer 73 Extended Unique Identifier Siehe

    EUI Extensible Authentication Protocol

    Siehe EAP Extensible Authentication Protocol-

    Dienst 178

    F

    FAT 224 FAT32 224 Fax 179 Fax-Benutzer-Gruppe 320 Faxdienste 353 Faxmodem 356 Fernzugriff 415 Festplatten 217 Festplatten-Partitionstypen 220 Firewall 273 FireWire 253 Flash-Speicher 217 Floppies 218 Format.exe 251 Fragmentierung 247 Freigabe eines Druckers 337 Freigabeberechtigungen 386

  • Sachverzeichnis 479

    Fsutil.exe 251 Funktionssuchanbieter-Host 179 Funktionssuche-Ressourcenver-

    ffentlichung 179

    G

    Gadgets Siehe Miniapplikationen Gste-Gruppe 300 Gste-SID 315 Gastkonto 286 Gast-SID 312 Gatewaydienst auf Anwendungs-

    ebene 179 GDI 7 Gemeinsame Nutzung der Internet-

    verbindung 179 Gertemanager 113 Gertetreiber-Steuerstze 24 Gesamtleistungsindex 103 Geschtzter Speicher 179 Gespeicherte Benutzernamen und

    Kennwrter 294 Gespiegeltes Volume 219 Getmac.exe 266 GPT 220 GPT-Datentrger 220 GRE 423 Gruppe ohne Domnen-RODC-

    Replikationserlaubnis-SID 314 Gruppe-mit-Domnen-RODC-

    Replikationserlaubnis-SID 314 Gruppen 286 Gruppenrichtlinienclient-Dienst 179 GUID 321 GUID-Partitions-Tabelle Siehe GPT

    H

    HAL 1, 21 HAL.DLL 2 Hash 418, 419, 420 Hauptbenutzer-Gruppe 300 Hauptbenutzer-SID 315 HD-DVD 218, 246 Herunterfahrenvorankndigung 9 Hiberfil.sys 21

    HID 191 Hilfe- und Supportcenter 70 Hilfeeinstellungen 72 Hohe-Verbindlichkeitsstufe-MAC-

    SID 320 Hostname 129 Human Interface Devices Siehe

    HID Hybrid-Laufwerke 217

    I

    I/O-Manager Siehe E/A-Manager ICMP 268 IEEE 802.1X 176, 420 IIS_IUSRS-Gruppe 300 IIS_IUSRS-SID 318 IKE 422 IKE- und AuthIP IPsec-Schlssel-

    erstellungsmodule 179 Images Siehe Abbilder Imageunattend.xml 56 ImageX 54 Indexdienst 121 Indizierungsoptionen 115 Installation 29 Integrierte lokale Gruppen 300 Integrierte Sicherheitsprinzipale

    300 Integrittsschlssel- und Zertifikat-

    verwaltungs-Dienst 180 Integrity Levels Siehe Verbindliche

    Beschriftung Intelligenter

    Hintergrundbertragungsdienst 180

    Interaktiv 301 Interaktive Remoteanmeldung 301 Interaktive-Remoteanmeldung-SID

    310 Interaktiv-SID 309 Internet Control Message Protocol

    Siehe ICMP Internet Printing Protocol Siehe IPP Internet Storage Name Service

    Siehe iSNS

  • 480 Sachverzeichnis

    Internetdruckdienst 121 Internetinformationsdienste 121 IPC Manager 6 Ipconfig.exe 266 IP-Hilfsdienst 180 IPP 329 IPsec 198, 418, 422 IPsec-Richtlinien-Agent-Dienst 180 IPv4 416 IPv6 261, 416 iQN 199 iSCSI 217 iSCSI Qualified Name Siehe iQN iscsicli.exe 205 iSCSI-Dienst 198 iSCSI-Initiator 197 iSNS 198, 200 isnscli.exe 205 IUSR 301

    J

    Jeder 301 Jeder-SID 307 Jugendschutz 286, 297 Jugendschutz-Dienst 180

    K

    Kennwort festlegen 288 Kennwortablauf 287 Kennwortrcksetzdiskette 292 Kennwortrcksicherungsdiskette

    288 Kerberos 270, 305 Kernel 1 Kernel-Modus 1, 89 Kernelmodusdruckertreiber 338 Kernel-Modus-Treiber 2 Konsolenansicht 101 Konten-Operatoren-SID 315 Kontingenteintrge 242 Kontodeaktvierung 288 Kontosperrung 288 Krbtgt-SID 312 Kryptografiedienste 180

    Kryptografie-Operatoren-Gruppe 300

    Kryptografie-Operatoren-SID 318 KtmRm fr Distributed Transaction

    Coordinator-Dienst 180

    L

    L2TP 422 L2TP/IPsec 416 LAN-Manager-Authentifizierung

    270 LanRover 417 Leere SID 307 Leistungsbewertung 103 Leistungsindex 104 Leistungsindikator 402 Leistungsinformationen und -tools

    104 Leistungsprotokollbenutzer-Gruppe

    300 Leistungsprotokollbenutzer-SID

    317 Leistungsprotokolle und -warnun-

    gen-Dienst 181 Leser 381 Letzte als funktionierend bekannte

    Konfiguration 23 Link Layer Topology Discovery

    Siehe LLTD LIP 127 LIP-Sprachpakete 125, 127 LLTD 262 LLTP 187 LoadState 48 Logische Laufwerke 219, 221 Logman.exe 402 Logon session 301 Logon-ID-SID 309 Lokale Benutzer und Gruppen 285 Lokale Faxdienste 360 Lokale Gruppen 285 Lokale Sicherheitsrichtlinie 206,

    322 Lokaler Dienst 171, 301 Lokaler-Dienst-SID 311

  • Sachverzeichnis 481

    Lokales Systemkonto 171 Lokal-SID 308 LPD-Druckdienst 121 LPR-Anschlussmonitor 121 LSA 301, 305 Lsass.exe 8, 301 Lusrmgr.msc 285

    M

    MAC-Adressen 258 Mandatory Access Control Siehe

    Verbindliche Beschriftung Mandatory label Siehe Verbindliche

    Beschriftung Man-in-the-Middle-Attacke 417 Massenspeicher 217 MBR 20, 219, 220 MD5 416, 418, 419, 420 mDNS 262 Mdsched.exe 27 Media-Center-Extender 253 Mehrsprachige Benutzeroberfl-

    chenpakete 125 MFT 238 Microsoft iSCSI-Initiator-Dienst

    181 Microsoft Loopback-Adapter 255 Microsoft Management Console

    Siehe MVK Microsoft Message Queue-Server

    Siehe MSMQ Microsoft Services-for-Unix 191 Microsoft Standard User Analyzer

    62 Microsoft Update 148 Microsoft Verwaltungskonsole

    Siehe MVK Microsoft-Softwareschattenkopie-

    Anbieter 181 Mikro-Kernel 2 Miniapplikationen 73 Mitbesitzer 381 Mittlere-Verbindlichkeitsstufe-

    MAC-SID 319 Mitwirkender 381

    MMC Siehe MVK Mobile Computing 407 Mobilittscenter 407 Modus mit reduzierter Funktionali-

    tt 34 Mountvol.exe 251 MPPE 417, 418, 419, 421 MS-CHAP 419 MS-CHAPv1 416 MS-CHAPv2 416, 419, 422 MSMQ 122 MUI 125 MUI-Sprachpakete 125 Multicast Domain Name System

    Siehe mDNS Multimediaklassenplaner 181 MVK 100, 157, 166 MVK-Autorenmodus 103 MVK-Verwaltungsdateien 215

    N

    NAP 181 NAP-Agent 181 NAS 197, 415, 454 Net Continue 173 Net Pause 173 Net Start 173 Net Stop 173 Net.Tcp-Portfreigabedienst 181 NetBIOS 129, 177, 185, 385 NetBIOS-Namensauflsung 129 NetBT 185 Netlogon 175 Netsh 268 Netstat 269 NetStumbler 258 Network Access Protection Siehe

    NAP Network Attached Storage Siehe

    NAS Network File System Siehe NFS Network Time Protocol Siehe NTP Netzwerk 301 Netzwerk- und Freigabecenter 254,

    379

  • 482 Sachverzeichnis

    Netzwerkbrcke 260 Netzwerkdienst 171, 301 Netzwerkdienst-SID 311 Netzwerkdrucker 325 Netzwerkkonfigurations-Operato-

    ren-Gruppe 300 Netzwerkkonfigurations-Operato-

    ren-SID 317 Netzwerklistendienst 181 Netzwerkmonitor 404 Netzwerk-SID 309 Netzwerkspeicher-

    Schnittstellendienst 181 Netzwerkstandort 254 Netzwerkverbindungen 182, 253 NFS 121, 191, 197 Nfsadmin.exe 197 Nicht-vertrauenswrdig-MAC-SID

    319 Niedrige-Verbindlichkeitsstufe-

    MAC-SID 319 NLA - Network Location

    Awareness-Dienst 182 NTBackup 453 NTFS 226 NTFS-Berechtigungen 227, 390 NTFS-Komprimierung 239 NTLM 270, 305 NTLM-Authentifizierung-SID 318 NTLMv2 270 NTOSKRNL.EXE 2 NTP 112, 190 NTUSER.DAT 138

    O

    Objektmanager 4 ODBC 158, 401 ODBC-Datenquellen 158 Oeffentlicher Ordner 380 Offlinedateien 388, 409 Offlinedateien-Dienst 182 Offline-Ordner 409 OLE DB 158 OLE-DB 159 Oobe.xml 67

    Optionale Tablet-PC-Komponenten 122

    Organisations-Admins-SID 313 Organisations-Domnen-Controller-

    SID 310

    P

    PAE Siehe Physical Address Extensions

    PAP 416 Partitionierung 217 Partitionstabelle 219 Partitionstypen 220 PATA 217 Pathping 268 PEAP 421 Peer Name Resolution-Protokoll-

    Dienst 182 Peernetzwerk-

    Gruppenzuordnungsdienst 182 Peernetzwerkidentitts-Manager-

    Dienst 182 Perfmon.exe 400, 404 Personen in meiner Umgebung 271 Physical Address Extensions 11 Ping 267 PKGMGR.Exe 54 Plug & Play-Dienst 182 Plug-und-Play-Manager 7 PnP-X-IP-Busauflistungsdienst 182 PNRP-Computernamenverffent-

    lichungs-Dienst 182 Port-80-Karte 20 POSIX 123 POST 20 PPP 420 PPTP 423 Pr-Windows 2000 kompatibler Zu-

    griff-SID 316 Primre Partition 220 Primre Partitionen 219 Print$ 326 Priorittskennung 88 Privilegien 207 Profil 288

  • Sachverzeichnis 483

    Programme und Funktionen 119 Programmkompatibilitts-Assistent

    57 Programmkompatibilitts-Assistent-

    Dienst 182 Protected Extensible Authentication

    Protocol Siehe PEAP Protected Mode 20 ProtectedStorage Siehe Geschtzter

    Speicher Protokolle 261 Proxy-SID 309 Prozesse 2, 86 Prozess-Manager 6 Pseudo-Umgebungsvariablen 140 PXE 54

    Q

    Quotas Siehe Datentrgerkontin-gente

    Quoten Siehe Datentrgerkontin-gente

    R

    RACAgent-Dienst 404 RADIUS 198 RAID 222 RAID-5-Datentrger 219 RAS 425, 433 RAS- und IAS-Server-SID 314 RAS-Verbindungsverwaltungsdienst

    183 Raw partition 224 RC4 416, 421 RC4-40 416 RC4-56 416 RDP 147, 175 ReadyBoost 248 ReadyBoost-Dienst 183 Rechte 305 Rechtevergabe 285 Reg.exe 16 Regedit.exe 15 Registrierung 15, 21 Registry Siehe Registrierung

    Remote Desktop Protocol Siehe RDP

    Remotedesktop 146 Remotedesktopbenutzer-Gruppe

    300 Remotedesktopbenutzer-SID 317 Remotedesktopverbindung 147 Remote-Faxdienste 378 Remoteprozeduraufruf - RPC-Dienst

    183 Remoteregistrierungsdienst 183,

    404 Remoteunterschiedskomprimierung

    122 Remoteuntersttzung 145 Replay-Angriff 418, 419 Replikations-Operatorengruppe 300 Replikations-Operator-SID 316 Richtlinie zum Entfernen der Smart-

    card 183 Richtlinien-Ersteller-Besitzer-SID

    313 RID-Betriebsmaster 307 RIP 122 RIP-Listener 122 Router Information Protocol Siehe

    RIP Routing und RAS-Dienst 183 RPC-Locator-Dienst 183 RRAS 415

    S

    SACL 236, 303 SAM 184, 290 SAN 197, 454 SAS 217 SATA 217 SC.exe 166, 173 ScanState 48 SChannel-Authentifizierung-SID

    318 Schattenkopien 239, 453 Schedule 150, 176 Scheduler 88 Schema-Admins-SID 313

  • 484 Sachverzeichnis

    Schtasks.exe 151 SCM 173 Siehe Service Control

    Manager SCSI 217 Secure Hash Algorithm Siehe SHA Security Accounts Management

    Siehe SAM Security Identifier 304 Seitenleiste 73 Sekundrer-Anmeldungs-Dienst

    183 Selbst-SID 310 Server fr Threadsortierung-Dienst

    184 Server Message Blocks Siehe SMB Server-Dienst 183 Servergespeicherte Profile 137 Server-Operatoren-SID 316 Server-Spoofing 417 Service Control Manager 9 Service Set Identification Siehe

    SSID Services-for-Unix 191 Session Manager Siehe Sitzungs-

    Manager SFU 191 SHA 421 Shellhardwareerkennungsdienst 184 Sicherbare Objekte 302 Sicherheitsbeschreibung 303 Sicherheitscenter 124 Sicherheitscenterdienst 184 Sicherheitskontenverwaltung 290 Sicherheitskonto-Manager-Dienst

    184 Sicherheitsmonitor 5 Sicherheitsobjekte 301 Sicherheitsprinzipale 285 Sicherheitsreferenzmonitor 5 Sicherheitssubjekte 285, 301 Sicherheitsvorlagen 169 Sicherkeitskontenverwaltung 184 Sichern-und-Wiederherstellen-

    Programm 445 Sicherungsoperatoren-Gruppe 300 Sicherungs-Operatoren-SID 316

    SID 302, 304, 306, 307 Sidebar Siehe Seitenleiste sIDHistory 302 SIDs fr Dienste 319 SIM 56 Simple Network Management Pro-

    tocol Siehe SNMP Simple Service Discovery Protocol

    Siehe SSDP Sitzungs-Manager 8 Sitzungs-Manager-fr-Desktop-

    fenster-Manager-Dienst 184 SL-Benutzerschnittstellen-Benach-

    richtigungsdienst 184 Slipstreaming 53 Smartcard-Dienst 184 SMB 175, 191, 197 Smss.exe 8 Snap-In 101, 404 SNMP 122, 185 SNMP-Funktion 122 SNMP-Trap-Dienst 185 Softwarelizenzierungsdienst 185 Solid-State-Festplatten 218 SPAM 278 SPAP 416, 417 Speicherabbilder 138 Spielbewertungssysteme 298 Spiele 123 Spooler Siehe Druckwarteschlange Sprachpakete 125 Srvany.exe 169 SSDP 185 SSDP-Suchdienst 185 SSID 256 SSL 258, 421 Starten und Wiederherstellen 139 Startmen 67 Startoptionen 22, 457 Startprogramm fr Windows Media

    Center-Dienst 185 Startvorgang 19 Storage Area Network Siehe SAN Streifenstze 222 Stripe-Set-Partition Siehe Streifen-

    stze

  • Sachverzeichnis 485

    Stripesetvolume 219 Siehe Strei-fenstze

    SUA Siehe Subsystem fr UNIX-basierte Anwendungen

    Subinacl.exe 169 Subsystem fr UNIX-basierte An-

    wendungen 123 Suchsystem 159 Superfetch-Dienst 185 Synchronisierung 412 Synchronisierungscenter 412 Sysprep 55 System 301 System Image Manager Siehe SIM Systemdiagnose 404 System-DSN 158 Systemeigenschaften 127 System-MAC-SID 320 Systemmonitor 399, 400 Systemmonitorbenutzergruppe 300 Systemmonitorbenutzer-SID 317 Systemrechte 286 Systemressourcen 114 System-SID 311 Systemstabilittsindex 404 Systemsteuerung 99 Systemvariablen 139 Systemwiederherstellung 144, 447 Systemwiederherstellungsoptionen

    24, 25

    T

    Tablet PC-Eingabedienst 185 Tablet-PC 122 Takeown.exe 251 Task 2 Tasklist.exe 166, 173 Task-Manager 84 Taskmgr.exe 84 Taskpad Siehe Aufgabenblock-

    Ansicht Tastaturabkrzungen 81 TCP/IP 261 TCP/IP-NetBIOS-Hilfsdienst 185 Telefoniedienst 186

    Telnet 267 Telnet-Client 123 Telnet-Clients-Gruppe 321 Telnet-Server 123 Terminaldienste-Dienst 186 Terminaldienstekonfigurationsdienst

    186 Terminalserverbenutzer 301 Terminalserverbenutzer-SID 310 Terminal-Server-Client 147 Terminalserver-Lizenzserver-SID

    318 TFTP-Client 123 Themes Siehe Designs Thread 2, 88 TLS 258, 421 TPM 110, 186 TPM-Basisdienste 186 Tracert 268 Trigger 153 Trusted Platform Module Siehe

    TPM Trustees 301 TSCS Siehe Terminaldienstekonfi-

    gurationsdienst TSWebAccessAdministratoren-

    Gruppe 321 TSWebAccessComputer-Gruppe

    321

    U

    UAC Siehe Benutzerkonten-steuerung

    UDF 246 Uebergreifende Datentrger 221 Uebergreifendes Volume 219, 221 Ueberwachung-verteilter-Verknp-

    fungen - Client-Dienst 186 UMDF Siehe Benutzermodus-Trei-

    ber Umgebungsvariablen 131, 139 Unattend.xml 56 UNC 192, 382 Universal Disk Format Siehe UDF

  • 486 Sachverzeichnis

    Universal Naming Convention Siehe UNC

    Universal Plug and Play Siehe UPnP

    Untersttzung in der Systemsteue-rung unter Lsungen fr Proble-me-Dienst 186

    Upgrade-Installation 43 Upgrade-Pfade 43 UPN Siehe User Principal Name UPnP 187, 262 UPnP-Gertehostdienst 187 USB-Laufwerke 218 User Account Control Siehe Benut-

    zerkontensteuerung User Principal Name 42 User State Migration Tool Siehe

    USMT USMT 47

    V

    Verbessertes Windows-Audio/Vi-deo-Streaming-Dienst 187

    Verbindliche Beschriftung 306 Verbindliche Profile 138 Verbindungsmanager 434 Verbindungsschicht-Topologie-

    erkennung 262 Verbindungsschicht-Topologie-

    erkennungs-Zuordnungspro-gramm-Dienst 187

    Verschlsselndes Dateisystem 109, 244

    Verwaltung 100, 149 Verwaltung fr automatische RAS-

    Verbindung-Dienst 187 Verzeichnisfreigaben 379, 381 Verzeichnisstruktur 93 VHD-Datei 451 VHDMount 451 Virtual Memory Manager Siehe

    Virtueller-Speicher-Manager Virtueller Arbeitsspeicher 134 Virtueller Datentrger-Dienst 187 Virtueller-Speicher-Manager 6

    vLite 57 Volumeschattenkopiedienst 187 Vordefinierte Benutzerkonten 299 Vordefinierte Gruppen 300 VPN 416, 423

    W

    W32Time 190 WAIK 57 WAN 415 WAS 124, 190 WDF 188 WDS 54 Web Proxy Auto Detection Siehe

    WPAD WebClient-Dienst 187 WebDAV 187 Wechselmedienverwaltung 123 WEI Siehe Windows Experience

    Index WEP 421 Whoami.exe 307 Wiederherstellungspunkte 144 WIM 53 WIMFS-Treiber 53 Window Manager 7 Windows Activation Service Siehe

    WAS Windows Automated Installation

    Kit Siehe WAIK Windows CardSpace-Dienst 187 Windows Defender 147 Windows Deployment Services

    Siehe WDS Windows Driver Foundation Siehe

    WDF Windows Driver Foundation - Be-

    nutzermodus-Treiberframework-Dienst 188

    Windows Experience Index 103 Windows Management

    Instrumentarium Siehe WMI Windows Media Center Extender-

    Dienst 188

  • Sachverzeichnis 487

    Windows Media Center-Empfnger-dienst 188

    Windows Media Center-Planerdienst 188

    Windows Media Player-Netzwerk-freigabedienst 188

    Windows Mobile 2003-basierte Ge-rteverbindungen-Dienst 188

    Windows Mobile-basierte Gerte-verbindungen-Dienst 188

    Windows Modules Installer-Dienst 188

    Windows Passport 119 Windows Premium 105 Windows Presentation Foundation

    Siehe WPF Windows Software Update Services

    Siehe WSUS Windows System Assessment Tool

    Siehe WinSAT Windows System Image Manager

    Siehe SIM Windows Update 147 Windows Upgrade Advisor 30 Windows Vista Business 12, 13, 29,

    244 Windows Vista Enterprise 12, 13,

    29, 244 Windows Vista Home Basic 11, 12,

    29 Windows Vista Home Premium 11,

    13, 29 Windows Vista Starter Edition 12,

    14 Windows Vista Ultimate Edition 12,

    14, 29, 244 Windows Vista Ultimate-Extras 12,

    148 Windows Vista Upgrade Advisor

    108 Windows-Arbeitsspeicherdiagnose-

    tool 26 Windows-Audio-Dienst 189 Windows-Audio-Endpunkterstel-

    lungsdienst 189

    Windows-Autorisierungszugriffs-gruppe-SID 317

    Windows-Bilderfassungsdienst 189 Windows-Defender-Dienst 189 Windows-DFS-Replikationsdienst

    123 Windows-Ereignisprotokoll-Dienst

    189 Windows-Ereignissammlungsdienst

    189 Windows-Farbsystem-Dienst 189 Windows-Fax und -Scan 123, 377 Windows-Fehlerberichterstattungs-

    dienst 189 Windows-Firewall mit erweiterter

    Sicherheit 278 Windows-Firewall-Dienst 190 Windows-Funktionen 120 Windows-Installer-Dienst 188 Windows-Prozessaktivierungsdienst

    124, 190 Windows-Remoteverwaltung - WS-

    Verwaltung-Dienst 190 Windows-Sicherheit 83, 291 Windows-Sicherheitscenter 124 Windows-Sicherungsdienst 190 Windows-Sofortverbindung Kon-

    figurationsregistrierungsstellen-dienst 190

    Windows-Such-Dienst 190 Windows-Suchsystem 159 Windows-Systembewertungstool

    Siehe WinSAT Windows-Teamarbeit 124, 280 Windows-Ultimate-Extras 123 Windows-Update-Dienst 189 Windows-Verwaltungsinstrumenta-

    tionsdienst 190 Windows-Vista-Versionen 11 Windows-Zeitgeberdienst 190 WinHTTP-Web Proxy Auto-Disco-

    very-Dienst 190 Winload.exe 20 WinPE 55 Winresume.exe 21 WinSAT 103

  • 488 Sachverzeichnis

    WINS-Benutzer-Gruppe 321 WinSPR 106 WLAN 256, 420 WMI 122, 190, 400 WMI-Leistungsadapterdienst 191 WOW32 10 WOW64 10 WPA 421 WPAD 190 WPF 188 Write Restricted-SID 318 WSS_Admin_WPG-Gruppe 321 WSS_Restricted_WPG-Gruppe 321 WSS_WPG-Gruppe 321 WSUS 149 WS-Verwaltungsprotokoll 189, 190 WWW-Publishingdienst 191

    X

    X.509-Zertifikate 244 XOR 421

    Z

    Zertifikatsdienste-DCOM-Zugriff-SID 318

    Zertifikatsherausgeber-SID 313 Zertifikatverteilungsdienst 191 ZSE Siehe Zugriffssteuerungsein-

    trge ZSL 303 Siehe Zugriffssteuerungs-

    listen Zugriff auf Eingabegerte-Dienst

    191 Zugriffssteuerungseintrge 232,

    303, 304 Zugriffssteuerungslisten 303 Zugriffstoken 207, 301, 305 Zuverlssigkeits- und Leistungs-

    berwachung 399 Zuverlssigkeitsberwachung 402 Zwischenspeicherung 388