Letzte Änderung: 18.10.98 von B. Tritsch
Die Installation von Applikationen auf einem WTS unterscheidet sich ein wenig von entsprechenden Installationsroutinen unter Standard-Windows NT. Als vorbereitende Aufgabe muß vor jedem Installationsvorgang der WTS in den Installationsmodus gebracht werden. Dies geschieht durch folgenden Aufruf in der NT-Shell:
change user /install
Das Zurücksetzen in den Normalmodus geschieht nach der Installation mit
change user /execute
Es ist absolut notwendig mit den Kommandos "change user /install" und "change user /execute" zu arbeiten, um stabile Applikationsinstallationen zu erhalten. Alternativ sind nur spezielle graphische Werkzeuge für diesen Zweck einsetzbar, die jedoch im Kern die selben Funktionen aufrufen.
Für den reibungslosen Ablauf von Applikationen sollte für jeden Benutzer ein lokales Basisverzeichnis angelegt werden. Hierfür müssen unter Umständen die Rechte des Home-Verzeichnisses überprüft und angepaßt werden.
Der Installationsvorgang legt meistens ein .ini-File im Verzeichnis %SystemRoot% an. Dies nennt man eine Master-.ini-Datei. Für die einzelnen Benutzer kann ein .ini-File-Mapping über den umgelenkten Pfad %HomeDrive%%HomePath%/windows genutzt werden. Um homogene logische Namenszuordnungen für Home- und Arbeits-Verzeichnisse zu erreichen, können die Befehle "share" oder "subst" verwendet werden. Diese erlauben die dynamische Konfiguration über Logon-Skripts (z.B. logon.bat: "subst r: %HomeDrive%%HomePath%").
Eine Reihe Windows-Applikationen lassen sich unter Windows NT und insbesondere auf einem WTS nicht korrekt oder vollständig installieren. Dies liegt oftmals am Abspeichern von Informationen im Registry-Hive HKCU, obwohl die Informationen in den Hive HKLM gehören, um von allen Anwendern genutzt werden zu können (siehe auch Kapitel "5: Die Windows NT Registry"). Zur Lösung dieses Problems ist oftmals die Registry zu editieren oder die Sicherheitseinstellung des Dateisystems zu modifizieren. Eine weitere Möglichkeit ist der erstmalige Aufruf einer gerade installierten Applikation, während der WTS noch im Install-Modus ist ("change user /install"). Hierbei und beim Beenden der Applikation erfolgt das Schreiben einer Reihe von Registry-Einträgen in HKLM, womit sie wiederum für alle zukünftigen Benutzer gesetzt werden.
Spezielle Kompatibilitäts-Flags in der Registry versorgen das WTS-System mit Informationen über bestimmte Applikationen. Einige dieser Einträge werden bei der Anwendungsinstallation automatisch erzeugt. Administratoren können jedoch auch neue Einträge machen oder bestehende ändern, um einen bestimmten Zweck zu erreichen. Die folgende Tabelle listet die wichtigsten Kompatibilitäts-Flags auf, die in der Registry unter HKLM \Software \Microsoft \Windows NT \CurrentVersion \Terminal Server \Compatibility \Applications \App. Hierbei ist App der Name des Anwendungs-Executable.
Wert (DWORD) |
Beschreibung |
| 0x00000001 | DOS-basierte Applikation |
| 0x00000002 | OS/2-basierte Applikation |
| 0x00000004 | Windows-basierte 16-Bit-Applikation |
| 0x00000008 | Windows-basierte 32-Bit-Applikation |
| 0x0000000C | Windows-basierte 16- und 32-Bit-Applikation |
| 0x0000000F | Beliebige Version der Applikation |
| 0x00000010 | Antwortet mit "UserName" statt mit "ComputerName" auf den Befehl GetComputerName |
| 0x00000020 | Antwortet mit der WTS Build Number statt mit der Windows NT Build Number auf den Befehl GetVersion |
| 0x00000040 | Synchronisiert die Benutzer .ini-Datei zu einer Systemversion |
| 0x00000080 | Ersetzt nicht das \Windows-Verzeichnis für den Benutzer |
| 0x00000100 | Deaktiviert das Registry-Mapping für Anwendungen oder Registry-Schlüssel |
| 0x00000200 | Benutzer bzw. globales Mapping pro Objekt |
| 0x00000400 | Antwortet mit dem \Windows-Verzeichnis des Systems statt dem \Windows-Verzeichnis des Benutzers auf den Befehl GetWindowsDir |
| 0x00000800 | Limitiert den Rückgabewert für den physikalischen Speicher auf den Befehl GlobalMemoryStatus |
| 0x00001000 | Protokolliert Objekterzeugung in eine Datei |
| 0x20000000 | Friere Applikationen nicht ein bei erfolglosem Tastatur-Polling (nur 16-Bit Windows Applikationen |
Weiterhin ist es besonders bei Computern mit WTS als Betriebssystem wichtig, zentrale Ressourcen wie DLLs oder COM-Komponenten sauber zu verwalten und immer im Blick zu behalten. Daher ist es in der Regel nötig Werkzeuge zu nutzen, die Unterstützung bei der Installation und Deinstallation von Applikationen bieten. Dies können Microsoft-Werkzeuge wie Sysdiff sein oder aber entsprechende Tools von Third-Party-Herstellern, wie z.B. NetInstall der Firma NetManage.
Der Ablauf einer Standardinstallation ohne Berücksichtigung beteiligter Monitoring-Werkzeuge soll im folgenden exemplarisch aufgeführt werden:
Sollen die Benutzer des Windows Terminal Servers nur bestimmte Anwendungen benutzen dürfen, kann das System von einem Administrator entsprechend konfiguriert werden. Hierzu dient das Application Security Registration Utility (AppSec.exe) in den administrativen Werkzeugen der Startleiste. Wurde die Applikationssicherheit mit AppSec eingeschaltet, können normale Benutzer nur noch jene Programme starten, die auf der zugehörigen Authorisierungsliste stehen. Leider funktioniert der Mechanismus jedoch nur für 32-Bit-Programme. Weiterhin müssen sich alle abgesicherten Programme lokal auf dem WTS befinden.
Einige Applikationen benötigen mehr als nur eine ausführbare Datei. Es ist oftmals schwer herauszufinden, welche zusätzlichen Exe-Dateien dies sind. Daher ist das beste Vorgehen, die Sicherheitsfreigaben über AppSec bei Bedarf vorzunehmen, wenn sich bestimmt Funktionalitäten von einem Benutzer nicht ansprechen lassen.
Auf eine Reihe von Systemprogramme müssen alle Benutzer zugreifen können. Andernfalls können beispielsweise der Window-Manager (Explorer) oder bestimmte Befehle aus Login-Skripts nicht mehr aufgerufen werden. Daher sollten die im folgenden aufgeführten Programme immer in die Liste aufgenommen werden.
Einige sehr populäre Anwendungen bereiten auf einem WTS-Computer recht große Probleme. Dies liegt in der Regel an dem Fokus dieser Applikationen auf die Betriebssystemplattformen Windows 95 oder Windows 98 mit ihren wesentlich schwächeren Sicherheitskonzepten und der fehlenden Unterstützung von gleichzeitiger Benutzung. Im folgenden sollen zwei sehr populäre Anwendungs-Suites und deren Probleme beschrieben werden. Sie sind jedoch nur als Beispiele zu betrachten, andere Applikationen haben ähnliche Schwachpunkte. Mehr Informationen zu solchen Problemfeldern stehen in den Knowledge Bases von Microsoft, Citrix oder NCD bereit (Kontakt: www.<Firmenname>.com).
In Microsoft Office 95 Professional tritt bei der Kooperation von Word 95 und Access 95 der Fehler auf, daß nur derjenige, der Office 95 installiert hat, auch Serienbriefe in der Word/Access-Kombination schreiben kann. Der Fehler ist durch den falschen Eintrag des Registry-Baumes "ODBC.INI" in "HKCU\ Software\ ODBC" statt in "HKLM\ Software" begründet. Daher sind auch alle anderen Datenbanksysteme betroffen, die mit Word über ODBC in Verbindung treten wollen.
Bei der Installation der Microsoft Office 97 Suite ergeben sich drei wesentliche Fehler:
Der erste Fehler betrifft die Ausführung des Visual Basic Editors oder eines Makros in einem Office-Programm für Benutzer ohne Administrator-Rechte. Dieser Fehler wird erzeugt, da die Lese-Berechtigungen auf einer Systemdatei nicht korrekt gesetzt sind. Die Anpassungen zur Fehlerbeseitigung werden folgendermaßen durchgeführt:
Der zweite Fehler tritt bei ungünstigen Konstellationen von Office 97 Version, NT-Version und Sprache auf. Er erzeugt die Meldung "Insufficient Memory Error" beim Zugriff auf das lokale A- oder B-Laufwerk. Die Anpassungen zur Fehlerbeseitigung werden folgendermaßen durchgeführt:
Dieser "Umweg" ermöglicht den Zugriff auf die Diskettenlaufwerke über die Laufwerksbuchstaben Z:\ bzw. Y:\.
Beim dritten Fehler werden die Office Startup Icons nicht zum allgemeinen Startmenü addiert. Dadurch können nicht alle Benutzer die Office97-Programme starten. Dieses Verhalten tritt durch einen Fehler im Installationsskript auf, die benötigten Icons werden dem aktuell angemeldeten Benutzer zugeordnet, jedoch nicht dem Profil der Gruppe "All Users". Die Behebung des Problems erfordert folgende Schritte:
Um solche und ähnliche Fehler der Anwendungen nicht von Hand anpassen zu müssen, wurden auf jedem WTS Installationsskripts im Verzeichnis %SystemRoot% \Installation Compatibility Scripts \Install abgelegt. Diese erlauben nach der Standardinstallation einer Anwendung die automatische Anpassung von Verzeichnissen, Registry-Einträgen und Sicherheitseinstellungen. Sämtliche bekannten Problemlösungen für eine Applikation werden hierdurch auf das System gespielt. Natürlich muß das zur Anwendung gehörende Skript im Install-Modus aufgerufen werden ("change user /install"). Weiterhin überprüfen die Skripts das Vorhandensein eines Basisverzeichnisses für jeden Benutzer.
Um gegebenefalls auch benutzerspezifische Anpassungen des zugehörigen Profils zur Anmeldezeit durchführen zu können, besteht die Möglichkeit ähnliche Skripts aus dem globalen Login-Skript UsrLogon.cmd aufzurufen. Zum Teil wird dies auch schon durch Installationsskripts so eingerichtet. Auch die Deinstallation von Applikationen wird auf ähnliche Weise verbessert. Für viele gängige Applikationen werden mit dem WTS entsprechenden Skripts ausgeliefert.
Die Sicherheit bezüglich eines Computers betrifft alle seine Komponenten: Hardware, Software und Daten. Speziell für eine Multiuser-Plattform müssen Sicherheitsrichtlinien gut geplant und durchgeführt werden, um jegliche unauthorisierte oder versehentliche Zerstörung wichtiger Komponenten zu verhindern. Hierbei sollte natürlich immer bedacht werden, daß die zugehörigen Maßnahmen nicht dem Zweck des Computers entgegenlaufen. Es muß immer gewährleistet sein, daß sich viele Benutzer gleichzeitig über das Netzwerk anmelden und mit dem Multiuser-Server interaktiv arbeiten können.
Die folgende Tabelle listet eine Reihe von Sicherheitsmaßnahmen und deren Einordnung in drei verschiedene Kategorien auf. Hierbei sollte jedoch beachtet werden, daß einige der Maßnahmen möglicherweise irreversibel, d.h. unumkehrbar sind.
Sicherheitsmaßnahme |
Niedrig |
Mittel |
Hoch |
| WTS-Installation auf einer NTFS-Partition | x |
x |
x |
| Regelmäßiges System-Backup | x |
x |
x |
| Freigegebene Verzeichnisse deaktivieren | x |
x |
x |
| Politik für Benutzerkonten setzen | x |
x |
x |
| Überwachung immer kurzzeitig nach Installationen und Konfigurationsänderungen einschalten | x |
x |
x |
| Plazieren des WTS außerhalb der Firmen-Firewall | x |
x |
|
| Deaktivieren der Boot-Option über Diskette | x |
x |
|
| Deaktivieren des BIOS-Setup-Prompt | x |
x |
|
| Domäne-Vertrauensstellungen entfernen | x |
x |
|
| Deaktivieren unbenötigter Netzwerkbindungen | x |
x |
|
| Überwachung der Standardereignisse | x |
x |
|
| Als Administrator Besitz aller Verzeichnisse und Dateien übernehmen | x |
x |
|
| Profil-Templates oder verpflichtende Profile für Benutzerkonten einrichten | x |
x |
|
| Das Anmelden für unbenutzte Gruppen verbieten | x |
x |
|
| Emergency Repair Disk anlegen | x |
x |
|
| Daten für Internet-Dienste speziell absichern | x |
x |
|
| FTP-Server vom System entfernen | x |
x |
|
| Internet-Dienste im Kontext eines Benutzers ablaufen lassen | x |
x |
|
| Entfernung unbenötigter Netzwerkprotokolle und -dienste | x |
||
| Veränderung der Standardeinstellungen für die Systemüberwachung | x |
||
| Aufnahme von Dateien und Verzeichnissen in die Systemüberwachung | x |
||
| Anzeigen einer Sicherheitsmeldung bei jedem Anmelden | x |
||
| Initiales Programm beim Start einer Session vorgeben | x |
||
| Löschen von unbenötigten Netzwerk-Clients | x |