An der VHS Braunschweig findet ab dem 14.11.2016 ein weiterer Bildungsurlaub zum Modul "PC Systemsupport" aus dem Zertifikat "Fachkraft IT-Systeme und Netzwerke (VHS)" statt.
In einem praxisorientiertem Seminar zum aktuellen Betriebssystem Windows 10 Pro aus dem Hause Microsoft werden wir uns die Grundlagen und Feinheiten der Installation, Konfiguration und Administration erarbeiten.
Hier die Rahmendaten unseres Seminars:
Ort: VHS Braunschweig, Heydenstraße 2, Raum 2.03
Zeiten: Mo, 14.11. - Fr, 18.11.2016; jeweils 08.30 - 16.00 Uhr
freiwillige Prüfung: Interesse an einer freiwilligen Prüfung wird im Seminar mit TN besprochen/koordiniert
Prüfungstermin: Do., 24.11.2016, 16.30 Uhr, Raum 2.03 (aktuell: 6 Interessierte TN)
Erstkorrektur: Status - erledigt am Sa. 26.11.16 - die 6 TN an der Prüfung haben gute und sehr gute Leistungen erbracht - ein stolzer Trainer gratuliert!
Ich werde unser Seminar an dieser Stelle - wie gewohnt - ausführlich begleiten...
Ihr Trainer Joe Brandes
Tag 01 - Montag
Montag, 14.11.2016, 08.30 - 16.00 Uhr
- Orientierungsphase, Bereitstellung Herdt-Skript zum Thema Windows 10 Pro;
Freiwillige Prüfung ansprechen - Cobra-Shop - vergünstigte Schüler/Studenten/Lehrer Versionen für VHS-Teilnehmer (Link) - leider kein Windows OS oder Office mehr
- Windows NT-Versionen (32-/64-Bit; Wikipedia-Artikel)
Vorgänger / eine kurzer historischer Abriss:
Anm.: bitte nicht mit DOS-Technikfamilie DOS / Windows 3.x / Windows 95 / 98 / ME vermengen/verwechseln!
Windows NT 4.0 (4.0)
Windows 2000 (5.0)
Windows XP (5.1)
(engl.: eXPerience)bis hier klassische New Technology Technik mit dateibasierten CD-Installationen ------------------------ Neuentwicklungen der Oberflächen Windows und unter der Haube von Windows NT WindowsVista (6.0)
(engl.: Ausblick ;-)Windows 7 (6.1)
ab Vista dann Image-basierte Techniken
siehe Tools wie das WAIK ab Vista oder Nachfolger ab Win8 dann ADK ; DISM, Windows System Image Manager - Win SIM, ...
Microsoft schafft ein neues Benutzerprofil in C:\Users und passt die Profile für zentrale Nutzungen über Server an; mit dem Aero-Desktop wurde eine moderne Fensterdarstellung geschaffen
Versionen: Ultimate, Enterprise, Professional, Home Premium, Home Basic (ohne Aero), Starter (Netbooks, 1 GB, kein Multi-Monitor) - Firmennutzung: (Prof, Ent., Ult.):
Domänen (Windows Server verwaltetes Active Directory), Bitlocker (Verschlüsselung - auch komplette Festplatten), komplette Benutzer- und Gruppenverwaltung, Remote Desktop
Anm.: direkte Upgrades von Vista nicht empfehlenswert (besser Neuinstallationen)
Version über Eigenschaften - Computer oder über die Befehlszeile (Win + R cmd => Version 6.1.7601 entspricht Win7 inkl. SP1)(Windows 8.0) - (6.2)
Windows 8.1 (6.3)Microsoft erfindet die "Kacheln" - eine Oberfläche für die "Apps" (Kurzform von Application / Anwendung) aus dem Windows Store
Die moderne Kacheloberfläche "Modern UI" (ursprünglich als "Metro" bezeichnet) soll das klassische Startmenü beerben und ist für die Nutzung mit Touch-Eingaben und Displays optimiert
Versionen Windows 8 (früher Home), Windows 8 Pro (früher Professional), Windows 8 Enterprise (wieder für Firmen als Volume Licenses)
Updates von 8.0 auf 8.1 wurden kostenlos über den Windows Store verteilt; alle hier genannten Versionen dann einfach mit 8.1
spezielles Windows 8 System: Windows 8 RT für Tablets ohne Installationsmöglichkeiten für x86/x64-Software
Produkt-Keys bei Kaufsystemen nur noch im UEFI gespeichert (keine Aufkleber mehr) - Auslesen mit spez. Software möglich (Chip-Artikel)Windows 10
(6.4 bzw. 10.0.14393)
Versionen 1511, 1607, ...die aktuelle (kostenlose) Upgrade-Variante
mit dieser Version ist es dann erst einmal Schluss mit neuen Varianten (Windows 11, ... ;-) sondern es wird Windows als SaaS (Software as a Service) geben mit immer laufenden Updates
Microsoft hat die "Kacheln - Modern UI - Metro" Oberfläche durch ein modernes kombiniertes Startmenü ersetzt
Aktueller Stand im Seminar: Windows 10 Pro
NT 10.0.14393, Version 1607, Codename: Redstone 1, "Anniversary Update" - Techniken bei Pro / Enterprise (nicht in Home-Verianten!)
Remotedesktop, komplette Benutzer-/Gruppen-Verwaltung, Domänenzugehörigkeit (Windows Server Domänen), Bitlocker, Virtualisierungstechnik Hyper-V - Installationen im Seminar
Technik: Wechselplattensysteme und per MCT bereitgestellte Install-Medien DVD
Installation von Windows 10 Pro - Redstone 1 - Anniversary Update - Version 1607
Updates: für ordentliche Treiberunterstützungen (siehe Grafikkarten) muss ein Windows Update angestoßen werden, dass für die Treiberinstallation oft "hängt". Daher stellen wir im LAN die Treiber für die Komplettierungen der Systeme bereit und diskutieren die Ausstattung unserer Systeme mit Hilfe des Gerätemanager.
Hinweis: wir installieren "lediglich" - wir führen keine Aktivierung der Lizenzen durch (s.u. - ist bei diesen Windows 10 Systemen ja auch nicht nötig)! - Lizenzen
bei Komplett-PCs / Notebooks meist nur Wiederherstellungs-Techniken mit Boot-CD/DVDs und/oder versteckten Recovery-Partitionen
also: als Käufer erhält man gar keine funktionstüchtige Install-DVD (!!)
Ablage/Info der Microsoft Lizenz-Schlüssel: (Beispiel-Tool zum Auslesen)
Windows XP
Windows Vista
Windows 7als Aufkleber an Rechnern und/oder in Rechnungen Windows 8.x im BIOS/UEFI Windows 10 online auf Microsoft-Signaturservern (Kombination aus HW-Info und Key zur Wiedererkennung von HW bei Neuinstallationen) - Installations-DVDs erhältlich als
a) OEM (Original Equipment Manufacturer) - eigentlich mit HW ausgelieferte SW - "inklusive" Lizenz; aber nochmals: Komplettsystemen liegt normaler Weise nur eine Wiederherstellungs-DVD bei - nicht eine echte Installations-DVDs
b) SBE (System Builder Edition DVD - inklusive Lizenz); Übung: Preise für Home und Pro Versionen Windows 8/10 recherchiert (Preise ab 90 €)
c) MCT-DVD bzw. ISOs (über Media Creations Tools von Microsoft für Windows 8 und Windows 10 Betriebssysteme; Beispiellink 1 Winfuture ; Beispiellink 2 Winfuture - ohne Lizenz (!!) - dann kann man mit "Generic Key" die passenden Betriebssysteme installieren und dann später mit eigenem Key aktivieren - Beispieleintrag Forum zu Windows 8.1)
d) offizielle MS-ISO-Dateien von Microsoft bei Microsoft und alternativen Downloadquellen (hier wieder als Beispiel Winfuture)
e) Evaluation-DVDs aus Microsoft Technet (mit eigenen Lizenz Keys und Laufzeiten - typischer Weise 90 Tage); Konto bei Microsoft nötig - 64-Bit (Hard- und Software)
Überwindung der 4-GB-RAM-Barriere - also bei 32-Bit-System sind maximal 4 GB physikalischer Arbeitsspeicher (RAM) möglich; bei 64-Bit ist auf Treiber/Kompatibilitäten achten, was heute (2015) und bei vernünftiger Hardwareauswahl keine große Herausforderung mehr darstellen sollten
Eselbrücke für Rechnungen: 2^10 ki (kilo / kibi); 2^20 Mi (Mega / Mibi); 2^30 Gi (Giga / Gibi); Kleinbuchst. i für die 1024er Werte
Beispiel: DVD-R-Medium 4,7 GB (Gigabyte) - beim Brennen mit einer Software dann bei 4,3 GiB (GibiByte - 1024^3) Medium "voll" - MBR vs. GPT
eine kleine Gegenüberstellung "Master Boot Recort" vs. "GUID Partition Table"
BIOS (mit MBR) UEFI (mit GPT) klassische Technik
seit Anfang PCs (1981)moderner Nachfolger
64-Bit, Parallele Abarbeitung, q
uasi: Mini-OS als Firmware (siehe eigene EFI-Partitionmax. 4 Partitionen
Erweiterte Partition ermöglicht
Logische Laufwerkemax 128 Partitionen Bootet keine HDs > 2,2 TB bootet von "beliebigen" HD-Größen kein "Secure Boot" Unterstützt "Secure Boot" für MS-Betriebssysteme
Hinweis für Windows 8.1/10 Komplettsysteme: Technik Secure Boot beachten (für Neu- und Parallelinstallationen BIOS Optionen beachten)
Für Installation von Windows-Systemen mit UEFI/GPT Partitionierungsstil muss bei der Installation eine "UEFI DVD" Auswahl gewählt werden (z.B.: bei ASUS-Boards beim Start F8 für eine erweiterte Bootauswahl)
Technet-Artikel (MS) zum Thema Partitionen: "Grundlegendes zu Datenträgerpartionen"
Windows kennt sowohl Basis-Datenträger als auch Dynamische Datenträger; Zweck: flexiblere Größenänderungen und vor Allem Software-RAIDs (RAID 0 Striping und RAID 1 Mirroring/Spiegelung) - Partitionierungen (Festplatte einrichten)
Trennung von System (Laufwerk C: mit Ordner Windows) und Datenbereich (LW E: über Datenträgerverwaltung eingerichtet)
dann Formatierung mit Dateisystem (hier NTFS - New Technology File System)
Es lassen sich FAT32-LW in NTFS wandeln:convert LW: /FS:NTFS
(gerne vorher Backup erstellen ;-)
Tools: unter Windows die Datenträgerverwaltung (Management Consolediskmgmt.msc
) und
in der Eingabeaufforderung mittels Profitooldiskpart
(siehe auch Reparaturoptionen der Install-DVD) - Windows Desktop (früher: Aero und Co) vs. Windows-8.x-Kacheln
siehe auch Extra-Beitrag für Shortcuts/Tastenkombinationen)
Win + R (Start - Ausführen), Win + E (Explorer / Dateimanager), Win + L (Desktop sperren),
Win + Cursortasten (Fenster navigieren), Win + D (Desktop sichtbar, bwz. Win + M für Minimieren),
Win + P (Projektor / Multimonitorbetriebe);
Strg + Alt + Entf (Menü mit diversen Optionen; inkl. Taskmanager, Passwort ändern - bei VM bitte Strg-Rechts + Entf),
Win + Pause (Systemeigenschaften)
Alt + Tab vs. Win + Tab; Durchschalten der Programme/Apps mittels Maus
ab 8.1: Win-Logo auf Desktop mit Linker und Rechter Maustaste (mit Win + X erhält man Menü)
Win + X als Ersatz für Startmenü
Einblenden der Dateierweiterungen über Konfigurationen "Ordner- und Suchoptionen" des Windows Explorers (Win + E; s.u.) - Windows Explorer Konfiguration
auch in neuen Profilen später die versteckten Systemordner und versteckten Dateien und Ordner einblenden
Praxis: Ausblenden der "Erweiterung bei bekannten Dateitypen" deaktivieren; sprich Einblenden der Erweiterungen
Optionen für Explorer-Start in "Mein PC" - Windows Update (Seminarrechner aktualisiert - in ersten Durchgängen)
Nutzung der automatischen Aktualisierungen für das Betriebssystem (OS - Operating System) und die Microsoft Anwendungen (später auch Office 2010 / 2013 / 2016)
nach Basisinstallationen mehrere Durchläufe nötig,
in Firmen Nutzung des WSUS (Windows Server Update Service von Microsoft - Link)
manche Webseiten stellen Downloads/Installpaket aller "Patches" für Windows-OS bereit: Winfuture Update Packs (als Beispiel);
da hat man alles auf einen Schlag, aber ggf. auch Aktualisierungen, die das eigene System nicht benötigt hätte
Hinweis auf "KB-Nummern" der Updates: Knowledge Base - Wissensbasis - Microsoft Artikel mit Infos zu den Aktualisierungen
Windows Update manuell (Vervollständigung der Systemaktualisierungen)
Wenn die Windows Update Downloads der Grafiktreiber (Intel iGPU bzw. Nvidia GT 630) nur "tröpfeln", kann man die Treiber manuell (von Fujitsu Support Seite) herunterladen und installieren, was das Windows Update unterstützt/beschleunigt
Tipp für Windows 7 und Windows 8.1 Neuinstallationen:
Artikel aus c't 23 / 2015 Seite 90 ff. Windows 7 / 8.1 schneller installieren und die Updates besser im Griff in vier Fachartikeln
Einstellungen der Windows Update Techniken in Windows 10 Pro:
Verteilen der Updates im LAN/WAN, Aktivieren/Deaktivieren der Updates, Teilnahmen an den "Windows Insider Preview Builds" (Vorabversionen);
wichtig: keinerlei Einstellungen dieser Art bei Windows 10 Home! - Benutzer (Verwaltung und Philosopie - ein erster Einblick)
Standard-Benutzer vs. Computer-Administrator;
Grund: Trennung von Berechtigungen, Absicherung gegen absichtliche und unabsichtliche Manipulationen - Tools "des Tages"
Computerverwaltung "Schweizer Messer" (compmgmt.msc
- Snap-In für Microsoft Management Console: MMC.exe)
Geräte-Manager (Analyse von Plug & Play und Treiberausstattung),
Task-Manager (Auslastung des Systems - freier RAM) - siehe hier auch Link zum Resourcenmonitor (resmon.exe
)
System (mittels "Win + Pause" und Eingabeaufforderungcmd
- Version 10.0.14393) - Ordneranalyse C: (im Explorer und in der Eingabeaufforderung)
Papierkorb $Recycle.Bin (siehe auch Eigenschaften des Papierkorb, Objekte direkt löschen, Größe konfigurieren),
Benutzer (auf Festplatte OrdnerC:\Users
),
Junctions "Dokumente und Einstellungen" und "Documents and Settings" auf C:\Users
Tool für "Junctions", "SymLinkD":mklink
(seit Langem bei Windows NT: Windows 2000 !)
diverse Programme-Ordner / Programme-Verknüpfungen (x86 für 32-Bit-Programme), - Eingabeaufforderung (cmd) Befehle:
cd
(change Directory - Verzeichniswechsel),dir
(Directory auflisten - mit /a wird "alles" aufgelistet),cls
(clear screen - cmd Konsole leeren),exit
(Eingabeaufforderung schließen);
Hilfen mit Parameter /? ; Komplettierung von Ordner mit Tab (Tabulator)
Tag 02 - Dienstag
Dienstag, 15.11.2016, 08.30 - 16.00 Uhr
- Rekapitulation, TN-Fragen
Prüfungsinteresse und Termin abklären und mit VHS BS koordinieren - Datenträgerverwaltung (
diskmgmt.msc
- Fort.)
Ändern von Laufwerksbuchstaben,
Hinweis auf die Eigenschaften: System, Start, Aktive Partition (siehe Starten Rechner/Windows)
Analyse für Laufwerke: MBR oder GPT verwaltet über Rechte Maustaste - Eigenschaften - Register Volume
Erinnerung: Technet-Artikel (MS) zum Thema Partitionen: "Grundlegendes zu Datenträgerpartionen" - Ordneranalyse C: (Forts.)
Dateien in Hauptverzeichnis hiberfil,sys, pagefile.sys, swapfile.sys, bootmgr, bootnxt
OrdnerC:\Windows
:
Programme: regedit.exe, eplorerer.exe, notepad.exe
Unterordner: Temp, System32 (bzw. SysWOW64), SoftwareDistribution, Prefetch
Einsatzzwecke diskutiert und kurz dargestellt hiberfil.sys
Datei für Ruhezustand (Suspend to Disk; Erläuterungen auf Wikipedia); Hinweis auf Hybriden Standbymodus (seit Microsoft Windows Vista); Ein-/Ausschalten über eine administrative Eingabeaufforderung (cmd) mit Befehlpowercfg -H on | off
Wichtig: wegen UAC und Benutzersicherheitskonzept müssen auch Admins diecmd
extra mit hohen Rechten (Als Administrator ausführen...) starten, um den Befehlpowercfg
nutzen zu könnenpagefile.sys
Auslagerungsdatei zum Auslagern ungenutzter Daten aus physikalischem RAM; siehe auch VMM Virtual Memory Management
Konfiguration mittels Win + Pause (System) - Erweiterte Systemeigenschaften - Erweitert - Speichernutzung - Einstellungen - Erweitert - Virtuellen Arbeitsspeicher
Übung zu pagefile.sys durchgeführtswapfile.sys
Optimierungen der Auslagerungstechniken in Zusammenarbeit mit den Apps von Windows 8 / 10 und Optimierungen für Systemstarts der Betriebssysteme- Systemstart (eines "MBR-Rechners" - bei UEFI später Nutzung von GPT; siehe Übersicht Tag 01)
Einschalten (Reset - Drücken des Einschalt-Tasters),
BIOS (Basic Input Output System, neue Bios-Techniken: UEFI),
POST (Power On Self Test),
Bootsequenz abarbeiten (Auswahl: Netzwerk: PXE Preboot Execution Environment / TFTP, USB, CD/DVD/BD, HDD/SSD, Diskette)
HDD (Hard Disk Drive, oder natürlich gerne auch SSD Solid State Drive)
MBR (Master Boot Record) mit Partitionstabelle
4 Einträge - aktive, primäre Partition finden; speziell: Erweiterte Partition mit logischen Laufwerken (siehe wieder MS Technet Beitrag oben)
Wichtig: die folgenden Daten liegen in einer ersten Partition mit Namen "System Reserviert" (ca. 500 MB), die automatisch beim Installieren (Partitionieren) für uns angelegt worden ist
Tipp: die Partition kann man sich mal kurz per Datenträgerverwaltung mit Laufwerksbuchstaben (z.B. U:) sichtbar/nutzbar machen!
Bootsektor (Anfang - Sektor 0) der aktiven, primären Partition lesen (bei allen Microsoft Betriebssystemen seit DOS nötig)
hier liegt der Windows Bootmanager:bootmgr
mit Boot Configuration Data in UnterordnerBoot/BCD
;
in diesem Ordner auchmemtest
- ein Tool zum Speichertesten
-> dann "eigentlicher" Windows-Betriebssystem-Start (siehe hierzu Herdt-Skript mit komplettem Bootvorgang Windows) - Erweiterte Startoptionen
Früher: Aufrufen beim Booten von Windows mit Funktionstaste F8 bzw. Umschalten + F8;
Problem: ab Windows 8 mit (UEFI Systemen und) SSDs (Solid State Drives statt Festplatten / HDDs)
sind diese Systeme zu "schnell" für einen Aufruf mittels Funktionstaste F8
Lösung: bei Windows den Systemstart über Einstellungen - Update und Sicherheit - Wiederherstellung und dann durchklicken zum gewünschten Neustart
die unterschiedlichen Modi (Abgesicherter Modus, ...) wurden kurz angesprochen (siehe Herdt-Skript Seite S. 48)
Hinweis: reparieren mit Eingabeaufforderung für Befehlszeilentools
Beispiele:
Partitionieren:diskpart
Partitionierenbootrec /?
- MBR reparieren:bootrec /fixmbr
automatische Startreparatur und ab Windows 8 auch automatisches "System Auffrischen"
Wichtige Unterscheidung: Systemwiederherstellung vs. Systemimage-Wiederherstellung
Systemwiederherstellung (nur kleine Reparatur mit Wiederherstellungspunkten
Übung: Wiederherstellungspunkt erstellt in knapp 20 Sekunden!) vs. Systemabbild-Wiederherstellung (komplette LW-Reparatur mit Hilfe eines vorher erstellten Images)
Übung: Systeme im Abgesicherten Modus starten
Internetseite mit Tipps/Tricks rund um Reparaturmechnismen Windows 10 und Anpassen der "Boot Code Configuration - BCD" (Link) - Benutzer (Übungen)
Benutzer anlegen: über "Lokale Benutzer und Gruppen -lusrmgr.msc
) und/oder Benutzerkonten -> App
Anmeldeprozess (technisch):
Login (Anmeldevorgang) mit Authentifizierung (Benutzername / Passwort) und Nutzung des SAM (Security Account Managers)
Passworte (Sicherheit, Komplexität, Länge, Ändern / Festlegen, Passwortrücksetzdatenträger - früher Diskette bzw. Stick)
Neuer User wird durch eindeutigen Schlüssel - SID Security Identifier (Link Wikipedia)- repräsentiert
SID - Security Identifier für eindeutige Kontenzuordnung (Empfehlung: keine Benutzerkonten löschen sondern deaktivieren)
Benutzerprofile löschen mit Hilfe von Erweiterten Systemeigenschaften - Benutzerprofile - Benutzerkontensteuerung (User Account Control - UAC)
Einstellung für Benutzerkonfiguration (3. oder besser wie bei Windows 10 aktuell die höchste Stufe) in Kombination mit Standard-Usern
Und wieder Empfehlung: saubere Trennung von Standardbenutzer vs. Admins (bzw. besondere Gruppen wie Netzwerkkonfigurations-Operatoren, Remotedesktopbenutzer) - Systemeigenschaften (mit Win + Pause zu den Erweiterten Systemeigenschaften)
die fünf Registerkarten:
1) Computername (siehe Toolhostname
, Beschreibung, Arbeitsgruppe/Domain), Änderungen verlangen Neustart
Übung: Rechnernamen/Hostnames für BU-Rechner festgelegtPCXX
(mit XX von 01 ... 17)
2) Hardware (Gerätemanager, Geräteinstallationseinstellungen),
zu den Registerkarte 3 bis 5 später mehr - hier erste Infos:
3) Erweitert (VMM - Virtual Memory Management / pagefile.sys, Benutzerprofile, Starten und Wiederherstellen, Umgebungsvariablen TEMP, TMP)
Empfehlung: Systemumgebungsvariablen %temp% und %tmp% auf Datenlaufwerk auslagern (z.B. E:\temp) genau wie die pagefile.sys auf ein Datenlaufwerk konfigurieren; Anm.: wenn man dann noch den Hibernation-Modus ausschaltet (hiberfil.sys mit Tool powercfg -h off ), dann hat man gleich ein paar GB weniger auf C: herumliegen und profitiert beim Erstellen von Images (Abbildsicherungen)
Übungen:pagefile.sys
konfiguriert,
Temp-Variablen für Admin-User und System angepasst
Empfehlung: Benutzervariablen (Adminkonto) und Systemvariablen%temp%
und%tmp%
auf Datenlaufwerk auslagern (z.B.E:\_temp
)
Grund/Beispiel: bei Installationen mit sehr großen Datenmengen (aktuell z.B. Spiele > 100 GB!) wird man zwar angeben, dass man auf die große freie Partition installieren solle, aber beim Installationsprozess müssen die Install-Archive erst einmal entpackt werden - und zwar nach %tmp% bzw. %temp%
andere interessante Variablen - beispielhafte Ausgabe mit Befehl :echo %userprofile%
oder mit Variablen %windir% , %systemroot% , %computername% , %appdata%
Tipp: in cmd mal den Befehlset
eingeben!
4) Computerschutz (Wiederherstellungspunkte gesetzt und diskutiert - keine Systemsicherung wie bei Abbildsicherungen / Images!)
muss aktiviert werden; Übung: Wiederherstellungspunkte gesetzt (ca. 20 Sekunden für einen Wiederherstellungspunkt) und diskutiert
kann aktiviert und eingesetzt werden für kleine Reparaturen nach missglückten Treiberinstallationen oder auch Updates,
5) Remote (Remoteuntertützung, Remote Desktop ab Windows 7 Prof Versionen; nicht bei Home)
hier später (nach Netzwerkeinführung) eine Fernverwaltung als Übung in TN-Gruppe
Tag 03 - Mittwoch
Mittwoch, 16.11.2016, 08.30 - 16.00 Uhr
- Rekapitulation, TN-Fragen
Erinnerung: heute bitte HDDs wechseln und Standardinstallationen testen! - Benutzerkonzept: Computeradministrator vs. Standardbenutzer
IT-Grundgesetz - für jedes Betriebssystem gilt:
die tägliche Arbeit als "normaler User" und die administrativen Tätigkeiten als "Admin"
bei unseren Windows Betriebssystemen ergibt sich folgende Gegenüberstellung
Computeradministrator Standardbenutzer Benutzerkonto ist Mitglied in der
Lokalen Benutzergruppe "Administratoren"Benutzerkonto ist Mitglied in der
Lokalen Benutzergruppe "Benutzerkann neue Benutzer / Gruppen anlegen und verwalten
und für Benutzer neues Passwort festlegenkann nur sein eigenes Passwort ändern kann Datum/Uhrzeit für das System ändern kann nicht Datum/Uhrzeit ändern kann Ordner für das Netzwerk freigeben kann keine Freigaben erstellen kann Datei(en) und Ordner in C:\ erstellen kann nur Ordner in C:\ erstellen auch CA muss verschiedene Programme/Tools
extra "Als Administrator ausführen" lassen/aufrufen
z.B. Eingabeaufforderung (cmd)muss immer für Admin-Aktionen die Programme/Tools
mit "Rechte Maus - Als Administrator ausführen" lassen/aufrufen
Alternative:
cmd-Toolrunas
(klassische Technik unter NT)
Mit Installationsübungen zu Browsern "Mozilla Firefox" und "Google Chrome" stellen wir fest, dass man natürlich auch Programme so programmieren kann, dass man keine Admin-Rechte zur Installation benötigt!
Vorgriff auf spezielle Berechtigungen (z.B. Benutzer darf Bildschirmauflösung nicht mehr ändern): Hinweis auf "Richtlinien - engl. Policies" in Form von Gruppenrichtlinien (Group Policies) - siehe Toolgpedit.msc
(auch für lokal verwaltete Systeme - noch wirkungsvoller auf zentral verwalteten Systemen: Windows Domänen mit Windows Server Active Directory (Tipp: Aktualsierung der Policies:gpupdate /force
) - Benutzerprofile (C:\Users)
Gegenüberstellung der klassischen Windows 2000 / XP Profile mit Vista / Win7 / Win8 / Win10 ergibt:C:\Dokumente und Einstellungen\username\Desktop
(2000 / Win XP)C:\Users\username\Desktop
(Vista / Win 7 / Win 8 / Win 10)
Hinweis zu Desktop-Ordner:C:\Users\Public\Desktop
(siehe DateienDesktop.ini
und Löschmöglichkeiten für Dateien
Erläuterung zu "Verbindung(en)" (Junctions);
Kommandozeilentool für Junctions oder SymLinkD : :mklink
(Hilfe mit mklink /?)
Wenn man jetzt versteht, dass es sich bei manchen "Ordnern/Links" im Windows Explorer (z.B. "Dokumente und Einstellungen") um solche Junctions handelt, dann wird klar, dass ein Doppelklick darauf mit einer "Fehlermeldung - Zugriff verweigert" abbricht, da Doppelklick ein "Öffnen" bedeutet (als Dateihandler") und so etwas eben nur bei Dateien/Ordnern geht und nicht bei den Junctions!
Tipp: den Benutzerprofile-Ordner AppData (Pfad:c:\Users\username\AppData\Roaming
) genauer anschauen; besonders die Roaming Strukturen enthalten z.B. die kompletten Mozilla Firefox Benutzerprofile, die sich nahezu beliebig zwischen verschiedenen Plattform - sogar verschiedenen OS - austauschen lassen oder später zentral auf "Servern" für Benutzer nutzen lassen
Übung: Benutzerprofilordner analysiert -Ntuser.dat
stellt den benutzerspezifischen Anteil der Registrierdatenbank (registry) dar; z.B. Mauskonfiguration (linke/rechte Maus, Doppelklickgeschwindigkeit), Tastatureinstellungen, Windows Explorer Konfigurationen (Dateierweiterungen ein-/ausblenden, Versteckte Systemdateien einblenden), ... - Arbeitsgruppe vs Domäne
Anm.: Zuweisung zu Arbeitsgruppen / Domains in Windows stellt nur Hierarchien/Ordnungen zur Verfügung
das hat nichts mit der Netzwerkfunktionalität zu tun
Arbeitsgruppe Domäne engl. Workgroup engl. Domain alle Rechner gleichberechtigt
P2P - Peer-to-PeerRechner als Clients und Server
Client-/Server-Prinzip
aktuelle Serversoftware:
Windows Server 2012 R2 / 2016
Clients:
die Pro/Enterprise Varianten (keine Home-Varianten)lokale Verwaltungen
alle Einstellungen lokal an eigener Maschinezentrale Verwaltungen
Benutzer, Gruppen, Berechtigungen / Richtlinien
Auch die Benutzerprofile liegen standardmäßig immer auf der lokalen (also genutzten) Client-/Workstation-Maschine! - Sicherheitsprinzipien (oder "Wenn das doch nur alle machen würden" ;-)
+ Operating System (OS) und Software (SW) stets aktuell halten - Updates durchführen
+ Anti-Malware (Anti-"Schädlingssoftware" - klass.: Antiviren-SW):
ab Windows 8 "Verschmelzung" des "Windows 7 Defender" und der "MS Security Essentials" zu "Windows Defender"
+ Desktop-Firewall (eingehende und ausgehende Regeln zum Filtern von Netzwerkverkehr / Netzwerkpaketen)
bei Windows mit eingehenden und ausgehenden Regeln als Service (Dienst) integriert
+ Benutzerkonzept mit eingeschränkten Rechten nutzen (Standardbenutzer vs. Admin)
+ Zugriffsschutz auf Benutzerebene: NTFS Dateisystem nutzen (s. Register Sicherheit; also: NTFS statt FAT32)
+ Trennen von System- und Datenbereichen (auch besser für Backup und Co)
+ USB-Wechselmedien und unbekannte Datenquellen meiden
+ Technikverständnis bei Anwendern (siehe IT-Schulungen ;-) und "Common Sense"
also: gesunder Menschenverstand bei Nutzung von E-Mail/Anhängen und speziellen "verräterischen" Websites
+ Online-Zugang über vernünftig vorkonfigurierte "Breitband-Router/Online-Zugänge" (z.B AVM FritzBox; technisch: NAT-Routing) - Netzwerktechnik
Netzwerk-Analyse der Windows-Installationen mit Toolipconfig /all
ergibt:
IP-Adresse (IPv4): 192.168.3.117
Netzwerkmaske: 255.255.255.0
Standard-Gateway: 192.168.3.1
DNS: 192.168.3.1
alle TN-PCs haben per DHCP IP-Adressen aus VHS-Netz192.168.3.0 / 24
bekommen!
Test für Online-Verbindung wieder:ping www.bahn.de
(in der cmd natürlich)
Tool für "Routen" durch das Netz: tracertwww.bahn.d
e (in der cmd)
Ping-Tests im lokalen Netz zeigen verlorene Pakete - Grund: Aktivierte Firewalls
Tag 04 - Donnerstag
Donnerstag, 17.11.2016, 08.30 - 16.00 Uhr
- Rekapitulation, TN-Fragen (hier Mi/Tag03: RAID - Kurzdarstellung durch Trainer-VM)
- RAID und Virtualisierungen
RAID- Redundant Array of Inexpensive/Independent Disks (Wikipedia Link)
Versuch der Optimierung von Geschwindigkeit und Redundanz/Ausfallsicherheit, Software- vs. Hardware-RAID (Vor- / Nachteile), RAID-Level;
beispielhafte RAID-Level: 0 (Striping), 1 (Mirroring - Empfehlung für Serverinstallations-Volume), 5 (Striping mit Parität)
Hinweis zur Nutzung von RAID bei NAS (Network Access Storage) und sehr speziellen HW-Unterstützungen (siehe Intel Matrix RAID)
Virtualisierungen
Beispiel: VirtualBox (heute: Oracle) mit Windows Server 2012 R2 und 3 Virtuellen SATA-Festplatten
Andere kostenlose Virtualisierer: VMware Player, Hyper-V (bei Microsoft Windows Pro/Enterprise und Server Editionen), KVM/qemu (Linux Kernel-basierte Technik) - Netzwerk-Freigaben (Technik / Übungen)
Anm.: Wiederholung / Rekapitulation / Fachbegriffe: Kapitel 13 Herdt-Skript W10S
Wichtig: bitte Freigabe-Assistent deaktivieren (siehe S. 151)
Bereitstellung eines Software-Ordners auf Trainer-PC als Darstellung der Grundlagen und Praxis => TN-Übungen
Daten auf "Server-/Freigabe"-Seite:
Hostname:PCSYS-TRAINER
(IP: 192.168.3.188 / 24)
Ordner:E:\freigabe
Freigabe: freigabe (als Freigabename) mit
Freigabeberechtigung: JEDER / Lesen
Erkenntnis für Berechtigungen:
mit JEDER ist Jeder Berechtigte gemeint - hier sind das also die Benutzer der Lokalen Benutzer und Gruppen Verwaltung (lusrmgr.msc) auf Host pcsys-trainer
Übung von TN-PCs: Nutzen der UNC (Universal Name Convention) Pfade:\\pcsys-trainer\freigabe
(benötigt Netzwerkkennwort - Fernanmeldung)
Diese Fernanmeldedaten (Authentifizierungen durch Benutzer/Kennwort) lassen sich mittels Haken in Fern-Anmeldung im "Tresor" von Windows Benutzerprofilen speichern (siehe Systemsteuerung - Anmeldeinformationen)
UNC-Pfad: (komplette Syntax)\\pc-name\freigabe-name\ordner\unterordner\datei.ext
- net: (siehe Hilfen in cmd mit net /? oder dann net use /?)
Das Netzwerktool in der Eingabeaufforderung (cmd
)net use
(mappen)
Drucker verbinden oder Netzwerklauf mappen mitnet use z: \\pc15\freigabe
erstellen und mit "net use z: /delete" wieder löschen)net view
(zeigt Übersicht über die eigene Arbeitsgruppe/Domain oder gezielt Freigaben auf entfernten Rechnern mit Aufrufnet view \\pc-15
(Anm.: natürlich nur, wenn man sich vorher mal authentifiziert hatte!)
Tipp: Authentifizierung an entferntem Rechner ohne Laufwerkmapping:net use \\pcsys-trainer\ipc$ /USER:dozi
(dann Kennwort eingeben - fertig)net share
(zeigt die Freigaben meines Systems; mit net share kann man diese auch anlegen)
Der "net share"-Befehl bringt uns zurück in die Computerverwaltung - Freigaben
administrative Freigaben:C$
,E$
,Admin$
(nur für Administratoren zugreifbar)
Sicherheitsrichtlinien müssen ggf. geändert werden für die Nutzung von administrativen Freigaben über das Netz
versteckte Freigaben: anhängen des $ macht die Freigaben unsichtbar (\\pc15\geheim$) - Remote Desktop Protocol (RDP) - Übung
Client-/Server-Technik für Fernverwaltungen / Fernwartungen von Systemen
Server(-seite):
auf Pro/Enterprise Systemen mittels Win + Pause - Remoteeinstellungen die Fernverwaltung mit Remote Desktop zulassen/aktivieren
Hinweis: dort ist per Standard die Unterstützung von Authentifizierungen auf Netzwerkebene aktiviert (NAP) - soll heißen: dann funktioniert der Zugang pder RDP-Client nur mit aktuellen Windows-Clients und nicht per Linux- oder MacOS-Clients oder von "alten" Windows (z.B. XP) Techniken
Client(-seite):
mit beliebigem Windows-System die Remotedesktopverbindung (Direktaufrufmstsc
- MS Terminal Service Client) nutzen
andere Remote-Techniken: (s.a. Softwareübersichten am Freitag)
TeamViewer, VNC-Tools, allgemein: VPN (Virtual Private Network)
Empfehlung/Übung:
einen User mit der Gruppenzugehörigkeit zu Remotedesktopbenutzer zur Nutzung von RDP qualifizieren,
sonst können das standardmäßig nur Administratoren - Benutzer (Wiederholungen und Übungen)
speziell: Gruppen und Eigenschaften Benutzer kennen
Übung: Passworte ändern/zurücksetzen
über Strg+Alt+Entf - Passwort ändern
über Systemsteuerung - Benutzerkonten bzw. PC-Einstellungen - Konten - Ihr Konto
über "Lokale Benutzer und Gruppen" Verwaltung - Kennwort für eigenes Benutzerkonto festlegen
(als Admin) über "Lokale Benutzer und Gruppen" Verwaltung - Kennwort für andere Benutzer festlegen
(als Admin) über Systemsteuerung - Benutzerkonten...
Hinweis: auf die Art "festlegen" werden allerdings die per EFS (Encrypted File System - siehe später NTFS Dateisystem) verschlüsselten Ordner/Dateien unnutzbar, da dort die Kennworte der Benutzer mit integriert sind!
Hinweis auf Kennwortrücksetzdiskette bzw. Kennwortrücksetzdatenträger (Wechselmedium USB-Stick und Co)
Erklärung Bitlocker-Technik: Verschlüsselung von kompletten Laufwerken (auch System/Start-LW C:) möglich - dann sehr hoher Zugriffsschutz, aber womöglich keine Einreise mehr in die USA - Software Installationen (Basisinfos zu Installationstechniken unter Windows)
Wichitg: man braucht nicht generelll "Adminrechte", um Software in Windows installieren zu können!
Aber: sehr oft fordern die Programminstallationen Schreibvorgänge in besonderen Bereichen, wo man die hohen Rechte benötigt:
+ Verzeichnisse/Unterverzeichnisse vonC:\Windows
undC:\Windows\System32
(siehe NTFS-Berechtigungen - Sicherheit für diese Ordner - Effektiver Zugriff)
+ Einträge in geschützten Systembereichen der Windows Registrierdatenbank
engl. / fachlich: Registry -> Admin-Tools für Registry:regedit
,regedt32
,reg
Leider können bei Deinstallationen von Programmen unter Windows nicht alle diese Installationsvorgänge und Einträge vollständig entfernt werden (siehe Programmbibliotheken *.dll - Dynamic Link Library und Registrierdatenbankeinträge) daher werden Windows-Systeme durch häufige Installations-/Deinstallationsdurchläufe immer mehr "vermüllt" - Software Installationen (Basisausstattung Windows)
geplant: ausführliches "Programme-Best-Of / A-Z"
Diskussion von Programmen und Softwareaustattungen - Forts. folgt
Tag 05 - Freitag
Freitag, 18.11.2016, 08.30 - 16.00 Uhr
- Rekapitulation, TN-Fragen
To-Do Fr/Tag 05:
SW (Übersicht Software, On-Board Tools, Beispielinstallationen - Office 2016),
Drucken, NTFS, Backup, Literatur, Prüfungsvorbereitung - Bereitstellung Screenshots Seminar (auf Freigabe Trainer)
Wiederholende Übung: Verbindung auf Netzresource\\pcsys-trainer\freigabe
- Software Installationen (Basisausstattung Windows)
ausführliches "Programme-Best-Of / A-Z"
+ Übersicht Install-Empfehlungen Trainer JoeB - eine Übersicht mit Screenshots/Verlinkungen wurde bereit gestellt
+ Beispielinstallation und Inbetriebnahme Office 2016 Pro (bitte für Prüfung die Musterfragen durchgehen)
+ WSCC (Tools Sysinternals / NirSoft)
Beispiele: Sysinternals Tools ProcessExplorer, AutoRuns, BGInfo
+ robocopy (cmd-Tool - Robust Copier) - sehr effizentes Werkzeug für Dateisicherungen/Abgleiche (siehe YarcGui als Oberfläche zum Konfigurieren
+ Windows-Onboard-Tools:msconfig
(siehe hier Registerkarte Tools), Task-Manager -> Resourcen-Monitor (resmon
) , Systemeigenschaften (Win+Pause) bzw.msinfo32
, "Schweizer Messer: Computerverwaltung -compmgmt.msc
" mit Geräte-Manager (devmgmt.msc
), Ereignisanzeige (eventvwr.msc
), Datenträgerverwaltung (diskmgmt.msc
), Lokale Benutzer und Gruppen (lusrmgr.msc
), Dienste (services.msc
)
+ ausführliches "Programme-Best-Of / A-Z" für Teilnehmer - Office 2016 Pro
Beispielhafte Installation über ISO (bei Windows 10 einfach per Rechtsklick bereitstellen)
Installation bitte "Anpassen / manuell durchsehen"; spezielle Auswahlmöglichkeiten: Alles Installieren oder bei Erster Anwendung installieren
Office-Installation aktivieren über Kategorie Datei - Konto
Programme dann natürlich testen: Dokumente erstellen / speichern / öffnen
Office Updates über die Windows Updates integriert - Drucker installieren / Drucken
über "Geräte und Drucker" automatische Netzwerkdruckerinstallationen für "HP Laserjet Color 500 Modell m551"
technisch: bei Netzwerkdruckern liegen Treiber und Druckaufbereitungen auf den jeweiligen Windows-PCs
bei Druckservern liegen Treiber/Druckaufbereitungen zentral auf Druckserver - NTFS (Teil I - Technik / Allgemeines)
NTFS Versionen 6.1 bzw. 3.1 (Hinweis auf Wikipedia-Artikel zum Dateisystem von Microsoft NT-Systemen
Fachbegriffe (Cluster; dt. Zuordnungseinheiten, 4 kB vs. bis zu 32 kB bei FAT32; Slack dt. Verschnitt vermehrt bei großen Clustern);
Größen für Laufwerke und Dateien bei Filesystemen besprochen (s.a. Skript)
Anm. zu FAT32: maximal 4 GB große Dateien und kein Zugriffsschutz auf Benutzerebene!
Partitionierungswerkzeuge:diskpart
(cmd-Tool von MS); gparted (Link)
Werkzeug (cmd) zum Konvertieren von FAT32 Laufwerken in NTFS-Laufwerke:convert g: /fs:ntfs
NTFS Technikdetails / NTFS-Vorzüge:
+ Dateien größer als 4 GB möglich
+ Komprimierung
+ Verschlüsselung (siehe EFS, Bitlocker)
+ Zugriffschutz auf Benutzer/Gruppen-Ebene (siehe Eigenschaften Ordner/Dateien Register: Sicherheit)
sehr feine Berechtigungen möglich - siehe Vergleich mit einfacheren Freigabe-Berechtigungen (beim Netzwerkzugriff)
+ Hotfixing (Fehler erkennen / beheben im laufenden System)
+ Journaling Filesystem (also Technik mit Protokollierung/Journal)
Tipp: Laufwerke aufräumen über Kontextmenü (Rechte Maustaste - Eigenschaften) als Benutzer und dann auch als "Admin" - NTFS (Teil II - Übung zur Analyse Sicherheit - Zugriffsschutz auf Benutzerebene)
Übung: Eigenschaften aufrufen der doppelten "desktop.ini" Dateien (siehe oben) und mittels
Register Sicherheit - Erweitert - Effektiver Zugriff (früher Effektive Berechtigungen) für Benutzer unserer Systeme den jeweiligen "Effektiven Zugriff anzeigen" lassen
so erklärt sich, warum man eine desktop.ini einfach löschen darf (C:\Users\joestandard\Desktop\desktop.ini) und die Andere (C:\Users\Public\Desktop\desktop.ini) sich nicht von einem Eingeschränktem Standardbenutzer löschen lässt
Zwei Berechtigungen verglichen:
Benutzerprofil-Ordner: per NTFS vor jeglichen Zugriffen anderer Benutzer geschützt
Daten-Ordner auf Laufwerk E: die Ordner/Dateien "gehören" allen Benutzern des Lokalen Windows Systems - Berechtigungen (Teil III - NTFS und Freigabe)
Gegenüberstellung von NTFS (Zugriffsschutz auf Benutzer/Gruppenebene) vs. Freigabe-Berechtigungen
einfache Freigabe-Berechtigungen und sehr viel feinere NTFS-Berechtigungen
Änderungen an Benutzerkonten werden erst nach neuen Authentifizierungen (Logins) wirksam,
die Änderungen an Resourcen (Ordnern, Freigaben, Druckern) werden sofort wirksam - Datensicherung (Backup)
Systemdaten vs. "Eigene Dateien"
Einschätzung von Wichtigkeit und Sicherungstechnik Images für komplette Laufwerke
klassische Trennung:
Datei-/Ordner-orientiert (Daten) vs. Images (System) - Backup-Software kombiniert heute diese Ansätze
Windows Werkzeug:
Dateiversionsverlauf mit Dateisicherungen von Bibliotheken und Desktop; dort auch Link für Systemabbildsicherung (unten links) verfügbar; in Vorversionen Vista / Win7 bitte Systemsteuerung - Sichern und Wiederherstellen
Gründe für Datensicherung: Diebstahl, Malware, Feuer, Wasser, ...
Alternative SW: Clonezilla (kostenlos, Linux-basiert, englisch, fachlich anspruchsvoll), Acronis True Image (nicht kostenlos, deutsch, einfach, mulitfunktional: Image und Dateien)
Datensicherungsstrategie (W-Fragen)
Wer? (Verantwortlicher, Stellvertreter), Wann/Wie? (Zeiten, Zyklen, Backupart komplett/ differentiell/ inkrementell), Worauf? (Medien: ext. HD mit USB oder eSATA, NAS, CD/DVDs), Wo? (Aufbewahrungsort, klimatisch passend, räumliche Trennung, sicher), Dokumentation und Testen der Strategie!
Special der Zeitschrift c't aus dem Heise Verlag:
c't 2/15, S. 100 (erschienen am 23.12.2014)
Axel Vahldiek, Rettungsring für Windows 8.1 / 10, c’t-WIMage erzeugt Backups ihrer Systempartition
aktualisiert in 2016 mit Windows 10 Techniken (Link heise.de) - Musterprüfung / Prüfungsvorbereitung
Anmerkungen zur Musterprüfung - Einsatz einer Beta-Version in Absprache mit EPZ (Europäische Prüfungszentrale)
Empfehlung für das Modul PC Systemsupport (Windows 10 Pro):
Bitte das Herdt-Skript "durchlesen/blättern" und unseren Roten Faden also diese Wochenbeitragsreihe - TN-Bescheinigungen, Feedback-Bögen, letzte TN-Fragen
Vielen Dank für Ihre Supi-Feedbackbögen und das Interesse an weiteren/anderen Seminaren und auch Ihre persönlichen Rückmeldungen.
Ihr Trainer Joe Brandes