Standardkonfiguration von Arbeitsplatzrechner Arbeitsplatzrechner Version: 1.2
Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien und IT Universitätsstr. 21, 58084 Hagen +49 (23 31) 9 87 28 17 Manuela.Juergens@FernUni Hagen.de, Joerg.Schiffer@FernUni Hagen.de VERSION: 1.2 AUTOR(EN): SC Betrieb Copyright 2007 FernUniversität in Hagen Zentrum für Medien und IT Arbeitsplatzrechner Version: 1.2 Seite 2 von 13
Änderungsübersicht Datum Änderung Version Status 17.12.2007 UB ergänzt, Hardware /Software Profile gelöscht 1.1 Überarbeitet 18.03.2007 Ergänzung der Webseiten mit den konkreten Hardware /Software Profilen 1.2 vorläufig Arbeitsplatzrechner Version: 1.2 Seite 3 von 13
Inhalt 1 Einleitung... 5 2 Sicherheitseinstellungen... 6 2.1 Virenscanner... 6 2.2 Firewall... 6 2.3 Berechtigungskonzept (lokale Benutzer und Gruppen, Domänen-Benutzer und - Gruppen)... 6 2.4 Remote Unterstützung... 7 2.5 Microsoft Updates (WSUS)... 7 2.6 Schutz lokaler Platten (Verschlüsselung)... 8 2.7 Gruppenrichtlinien... 8 3 Profile für Fernuni-Rechner... 9 3.1 Hardware-Beschaffungen... 9 3.2 Partitionierung der Festplatte... 9 3.3 Betriebssystem-Installation... 9 3.4 Weitere Konfigurationen... 10 3.5 Standardsoftware... Fehler! Textmarke nicht definiert. 3.6 Abschließende Konfigurationen... Fehler! Textmarke nicht definiert. 3.7 Sichern des Rechner-Profils... 10 3.8 Arbeiten beim Kunden vor Ort... 10 3.8.1 Einrichtung des Mailclients Outlook... 10 4 System Management Server... 11 5 Home-Verzeichnisse und Drucker... 12 5.1 Home-Verzeichnisse... 12 5.2 Netzwerkdrucker... 12 6 Empfehlungen für den Benutzer... 13 Arbeitsplatzrechner Version: 1.2 Seite 4 von 13
1 Einleitung Dieses Handbuch dient zur Festlegung der Standardkonfiguration und installation von Arbeitsplatzrechnern in der vom ZMI betreuten Windows Domäne Buerokommunikation.FernUni Hagen.de. Es sollen Standards definiert werden, damit sowohl die Mitarbeitenden in den Bereichen der FernUniversität, als auch die Mitarbeitenden des ZMI eine gemeinsame Basis haben, auf deren Grundlage die Arbeitsplatzrechner eingerichtet werden. Über dieses Dokument ist für jeden nachvollziehbar, welche Grundeinstellungen getroffen werden, auf deren Basis der Support des ZMI aufbaut. Änderungen an diesen Grundeinstellungen können zu einem Verlust der Supportleistungen des ZMI oder zumindest zu einer eingeschränkten Supportleistung führen. Arbeitsplatzrechner Version: 1.2 Seite 5 von 13
2 Sicherheitseinstellungen In den folgenden Kapiteln werden verschiedene Sicherheitsaspekte besprochen. Hierbei handelt sich um den Schutz der Arbeitsplatzrechner mittels eines Virenscanners, der Windows Update Services und einer Firewall, das Berechtigungskonzept bezogen auf lokale Gruppen und Benutzer sowie Domänen Benutzer und Gruppen und den Support und die Soforthilfe mittels einer Remote Sitzung. 2.1 Virenscanner Zurzeit wird vom ZMI der Sophos Anti Virus eingesetzt. Der Virenscanner wird in zwei Varianten zur Installation angeboten. Für Rechner, die sich in der Windows Domäne Buerokommunikation.FernUni Hagen.de befinden, wird die Installation automatisch über die Domänenzugehörigkeit durchgeführt. Die automatisch installierte Version des Virenscanners baut eine Verbindung zur Sophos Enterprise Console auf. Das ZMI ist so in der Lage die Benutzer auf Virenbefall auf den Rechnern hinzuweisen und ihnen bei der Lösung der Probleme zu helfen. Des Weiteren gibt es über die Web Seite des ZMI eine Download Version, die keine Verbindung zur Sophos Enterprise Console aufbaut und für Studierende und Mitarbeitende außerhalb der vom ZMI gepflegten Domäne gedacht ist. Das ZMI erkennt über die Sophos Enterprise Console, ob die Aktualisierungen der einzelnen Clients funktionieren und ob Viren oder andere schadhafte Software gefunden wurde. Des Weiteren können Richtlinien zentral definiert werden, über die die Update und Virenscanner Einstellungen konfiguriert und gesteuert werden. Weitere Informationen findet man in dem ZMI Benutzerhandbuch Sophos. 2.2 Firewall Die in Windows XP integrierte Firewall wird aktiviert. Die für interne Dienste benötigten Ports werden über Gruppenrichtlinien (siehe Seite 8) freigeschaltet. 2.3 Berechtigungskonzept (lokale Benutzer und Gruppen, Domänen- Benutzer und -Gruppen) Die Berechtigungen auf einem Arbeitsplatzrechner werden über lokale Benutzer und Gruppen, sowie Domänen Benutzer und Gruppen geregelt. Arbeitsplatzrechner Version: 1.2 Seite 6 von 13
Der Benutzer, der an dem Rechner arbeitet, wird über den Domänen Account in die lokale Administratoren Gruppe eingetragen und erhält so administrative Berechtigungen auf dem lokalen Rechner. Er kann Software und Drucker installieren und ist auch sonst nicht weiter eingeschränkt. Der lokale Administrator dient nur dem ZMI Endgerätesupport, um im Notfall oder nach Absprache mit dem Benutzer auf dem Arbeitsplatzrechner zu arbeiten, Reparaturen oder Installationen durchzuführen. Der Account ist durch ein Passwort, welches nur dem ZMI Endgerätesupport bekannt ist, geschützt. Das Passwort ist auf allen Endgeräten identisch. Es werden keine weiteren lokalen Benutzer benötigt. Vorhandene lokale Benutzer werden samt Profil gelöscht. Für zentrale Installationen der ZMI Serveradministration wird eine Domänen Gruppe (G SMS) in die lokale Administratoren Gruppe eingetragen. Diese Gruppe ist für die Installation des SMS Clients und des Sophos Clients zuständig. Der Domänen Administrator ist in der lokalen Administrator Gruppe eingetragen. Dieser Account wird nur von der ZMI Serveradministration benutzt und ist durch ein Passwort geschützt. 2.4 Remote Unterstützung Zur schnellen Hilfe bei Problemen ist es hilfreich, auf die Arbeitsplatzrechner per Remote zuzugreifen. Hierfür kann die Windows Funktion Remote Unterstützung genutzt werden. Der Helpdesk oder Endgerätesupport Mitarbeiter kann sich nach Genehmigung des betroffenen Mitarbeitenden auf dessen Rechner aufschalten und sich in seine Session einklinken. Er kann ihm so schnell bei seinem Problem helfen. Zunächst erhält der Supporter einen sehenden Zugriff. Erst nach Anforderung und Genehmigung der Kontrollfunktion kann er auf dem Rechner arbeiten. Der Mitarbeitende sieht, was der Supporter für Arbeitsschritte durchführt und kann so das Problem bei erneutem Auftreten evtl. selber korrigieren. Über die Gruppenrichtlinie wird die Gruppe der Endgerätesupport und Helpdesk Mitarbeiter berechtigt diese Funktion zu nutzen. Benötigte Firewall Einträge werden ebenfalls über die Gruppenrichtlinie eingetragen. 2.5 Microsoft Updates (WSUS) Die Anbindung an den ZMI WSUS Server erfolgt über die Gruppenrichtlinie der Windows Domäne Buerokommunikation.FernUni Hagen.de. Durch das Einbinden der Rechner in die Domäne wird die Gruppenrichtlinie für den Rechner aktiv und die Einstellungen werden vorgenommen. Es werden folgende Einstellungen über die Richtlinie vorgenommen: Automatisches Herunterladen der freigegebenen Patches Installationszeitpunkt täglich 9 Uhr Kein automatischer Neustart bei angemeldeten Benutzern Updatesuche und Berichterstellung alle 4 Stunden Sofortige Installation von Patches, die keinen Neustart erfordern Eine komplette Liste der Einstellungen findet man in dem ZMI Produkthandbuch Gruppenrichtlinien. Arbeitsplatzrechner Version: 1.2 Seite 7 von 13
Die von Microsoft freigegebenen Patches werden vom ZMI gesichtet und zeitnah über die WSUS Konsole freigegeben, damit vorhandene Sicherheitslöcher auf den Arbeitsplatzrechnern schnell gestopft werden. Über die WSUS Konsole können Probleme bei der Installation von Updates erkannt werden und geeignete Schritte zur Behebung durch den Endgeräte Support eingeleitet werden. 2.6 Schutz lokaler Platten (Verschlüsselung) Die Verschlüsselung der lokalen Platten ist mit dem Windows Encrypted File System (EFS) prinzipiell möglich. Das Verfahren ist mit viel Vorsicht zu betrachten, da ein verlorener Schlüssel den Verlust sämtlicher Daten auf der Platte bedeuten kann. Verschlüsselung lokaler Platten wird vom ZMI nicht unterstützt! 2.7 Gruppenrichtlinien Die Rechner der Windows Domäne Buerokommunikation.FernUni Hagen.de unterliegen einer Gruppenrichtlinie, über die Einstellungen definiert werden, die direkt an die Arbeitsplatzrechner weitergegeben werden. Mit der Gruppenrichtlinie wird den Domänen Administratoren ein mächtiges Tool an die Hand gegeben, mit dem zentral Einstellungen auf den Arbeitsplatzrechnern vorgenommen werden können. Es werden Einstellungen bezüglich der Kennwörter festgelegt (Passwortlänge, komplexität und Lebensdauer), die Voreinstellungen für die WSUS Anbindung getroffen, DNS Suffixe vordefiniert und Firewall Regeln (Portausnahmen für Sophos, Datei und Druckfreigabe für SMS Client und Sophos Client Installation) definiert. Des Weiteren werden Gruppenzugehörigkeiten (G SMS) eingestellt, die für zentrale Dienste benötigt werden. Eine komplette Liste der Einstellungen findet man in dem ZMI Produkthandbuch Gruppenrichtlinien. Arbeitsplatzrechner Version: 1.2 Seite 8 von 13
3 Profile für Fernuni-Standardrechner 3.1 Standard-Hardware und -Software Zur vereinfachten und schnelleren Erstinstallation von Rechnern und für einen besseren Support durch den Endgeräte Support werden verschiedene Standard Profile für alle Rechner (Verwaltung, Bibliothek und Fakultäten) der Fernuniversität vorgeschlagen. Diese Rechner können in der Regel nach der Anlieferung im ZMI innerhalb einer Woche vom Endgeräte Support an den Kunden ausgeliefert werden. Die Standard Profile werden mehrmals im Jahr auf Aktualität überprüft und angepasst. Vorzugsweise sollten FernUni Rechner (Desktop PCs und Notebooks) nach diesen Standard Profilen beschafft werden. Die Vorteile: Deutlich verkürzte Laufzeiten von der Beschaffung bis zur Auslieferung Günstige Hardware Preise Stets aktuelle Hardware Empfehlung durch regelmäßige Aktualisierung der Profile Die Rechner werden ohne Aufpreis bereits beim Lieferanten mit unserem Standard Software Profil vorinstalliert und aktuell gepatcht. Auf der Webseite http://www.fernuni hagen.de/zmi/service/arbeitsplatz/basispaket/hardware/standardprofile.shtml finden Sie die jeweils aktuellen Standardprofile zu Hardware und Software Zusatzinstallationen oder sonstige Wünsche, die von diesen Profilen abweichen, müssen rechtzeitig und schriftlich mit dem Endgeräte Support abgestimmt werden. Die Auslieferungszeiten verzögern sich dadurch eventuell. 3.2 Partitionierung der Festplatte Die Festplatte wird mindestens in zwei getrennte Laufwerke (für das Betriebssystem und die Daten des Kunden) unterteilt. C: System (50% der Gesamtkapazität mindestens jedoch 60 GB) D: Daten Der Benutzer sollte seine Daten, wenn er nicht generell alles in seinem Home Verzeichnis ablegen möchte, immer auf Laufwerk D: ablegen. So kann das Systemlaufwerk jederzeit z. B. im Fehlerfall wieder hergestellt werden, ohne dass Kundendaten verloren gehen. 3.3 Betriebssystem-Installation Aktuell werden alle Rechner mit Microsoft Windows XP installiert. Das zurzeit neue Microsoft Betriebssystem Windows Vista ist an der Fernuni noch kein Standard und wird deshalb nur auf entsprechenden Benutzerwunsch installiert. Lediglich bei Notebooks, die in der Regel bereits beim Händler mit Windows Vista vorinstalliert werden, ist die Abweichung vom Basisprofil ohne Aufwand möglich. Arbeitsplatzrechner Version: 1.2 Seite 9 von 13
3.4 Weitere Konfigurationen Zur weiteren Konfiguration der Rechner werden folgende Arbeiten ausgeführt: Benötigte Treiber aus dem Internet laden und auf D: speichern Start und Wiederherstellung konfigurieren: Rechte Maustaste Arbeitsplatz Eigenschaften Karteikarte Erweitert o Einstellungen Starten und Wiederherstellen : Anzeigedauer der Betriebssystemliste (Haken entfernen) Anzeigedauer der Wiederherstellungsoptionen (Haken entfernen) Automatisch neustarten (Haken entfernen) o Fehlerberichtserstattung, Sicherheitswarnungen und Offline Dateien deaktivieren Domäneneinbindung Kundenaccount mit Administratorrechten auf der lokalen Workstation versehen (siehe Berechtigungskonzept auf Seite 6) Eintrag der DNS Suffixe (automatisch durch Gruppenrichtlinien, siehe Seite 8) Aktualisierung über WSUS (siehe Seite 7) (automatisch durch Gruppenrichtlinien, siehe Seite 8) Antiviren Software Sophos (siehe Seite 6) (automatisch über die Sophos Enterprise Console, siehe Seite 6) Autostart Einträge außer Sophos werden entfernt Der Rechner wird gepatcht über Microsoft Update nicht Windows Update! Damit erfolgen auch die Office Updates automatisch. 3.5 Sichern des Rechner-Profils Vom komplett vorinstallierten und konfigurierten Arbeitsplatz PC wird nun ein Image erstellt, das auf dem Laufwerk D abgelegt wird. Damit kann der PC bei gravierenden Fehlerfällen schnell auf den Anfangszustand zurück gesetzt werden. Die Image Datei darf vom Kunden nicht gelöscht werden! 3.6 Arbeiten beim Kunden vor Ort 3.6.1 Einrichtung des Mailclients Outlook Zum Zugriff auf die Emails und Adressbücher des Kunden, muss Outlook bei der Rechnerauslieferung entsprechend konfiguriert werden: Konfiguration des Mailkontos (Exchange / Mailstore) Einrichten der Fernuni Mailadressen als Adressbuch (beim Exchange Server) Alternativ wird der Directory Server als Adressbuch eingerichtet (beim Mailstore) Sortierung der Adressbücher nach Nachname, Vorname Emails mit Word Haken entfernen Arbeitsplatzrechner Version: 1.2 Seite 10 von 13
4 System Management Server Der System Management Server ermöglicht die zentrale Bereitstellung und Verteilung von Software Paketen. Die Software Pakete werden über sogenannte Verteilungspunkte an die Arbeitsplätze ausgehändigt. Des Weiteren werden über den SMS Server Hardware Daten der Rechner gesammelt, die vom Endgeräte Support und dem Helpdesk für den Support benötigt werden. Die Daten können aber auch von den Bereichen selbst für Planungszwecke (z.b. Hardware Beschaffungen bzw. Aufrüstungen) benutzt werden. Für die Anbindung an den SMS Server wird ein SMS Client installiert. Die Installation des SMS Clients wird automatisch durch die Mitgliedschaft in der Domäne Buerokommunikation.FernUni Hagen.de angestoßen. Die Bestellung von Software erfolgt über eine zertifikatsgeschützte Web Seite. Sie löst ein Ticket in dem neuen HelpDesk TroubleTicketSystem aus, wodurch ein Workflow angestoßen wird, der die Freischaltung der Software, die Benachrichtigung des Haushaltsbevollmächtigten und die Abrechnung über die Verwaltung beinhaltet. Zusätzlich zu den Grundinstallationen von Softwarepaketen wird auch ein Update der Pakete über den SMS Server angeboten. Arbeitsplatzrechner Version: 1.2 Seite 11 von 13
5 Home-Verzeichnisse und Drucker 5.1 Home-Verzeichnisse Jedem Benutzer wird ein persönliches Home Verzeichnis zur Verfügung gestellt, in dem er dienstliche Daten wie Dokumente, Tabellen, Grafiken ablegen kann. Dieses Laufwerk ist für den Benutzer unter dem Buchstaben Y ansprechbar. Des Weiteren besteht die Möglichkeit für Bereiche (z.b. Lehrgebiete) ein Verzeichnis zu bekommen, auf das alle Mitglieder des Bereichs zugreifen können. Es werden Standard Mappings auf die Home Verzeichnisse unter den Laufwerkbuchstaben V und W angelegt. Die in den Verzeichnissen abgelegten Daten werden wochentäglich inkrementell gesichert, so dass gelöschte oder fehlerhaft veränderte Daten von einem Sicherungsband wiederhergestellt werden können. Dies kann über den Helpdesk unter Angabe des Dateinamen und des kompletten Pfades initiiert werden. Die Home Verzeichnisse dienen nicht der Sicherung kompletter Festplatten in Form von Images oder Plattenkopien! 5.2 Netzwerkdrucker Die vernetzten Drucker werden über Windows 2003 Print Server zentral zur Verfügung gestellt. Die Installation erfolgt über den Windows Druckerinstallations Assistenten. Bei der Installation werden automatisch die benötigten Treiber installiert, die Funktionen (z.b. Duplexeinheit) des Druckers aktiviert und Voreinstellungen vorgenommen. Voraussetzung für die Nutzung der Drucker ist die Einbindung des Arbeitsplatzrechners in die Domäne Buerokommunikation.FernUni Hagen.de. Die dezentral aufgestellten Multifunktionsgeräte von Konica Minolta sind auch als Netzwerkdrucker nutzbar. Im ZMI wird zentral ein Posterdrucker für Ausdrucke bis Din A0 bereit gestellt. Eine genaue Beschreibung aller Funktionen findet man in dem ZMI Benutzerhandbuch Netzwerkdrucker. Arbeitsplatzrechner Version: 1.2 Seite 12 von 13
6 Empfehlungen für den Benutzer Damit der Endgeräte Support bei Rechnerproblemen möglichst schnell wieder einen funktionierenden Zustand herstellen kann, werden den Benutzern folgende Arbeitsweisen empfohlen: 1) Alle Daten sollten entweder im Home Verzeichnis oder auf Laufwerk D: abgelegt werden. Wenn das Systemlaufwerk C: erneuert werden muss, entsteht damit kein Datenverlust. Der Vorteil einer Datenablage auf dem Home Verzeichnis ist die automatische Sicherung über das ZMI. Sollten Sie das Laufwerk D: für Ihre Daten verwenden, müssen Sie für die Sicherung selbst sorgen. Zur Datenablage auf den Home Verzeichnissen lesen bitte den entsprechenden Abschnitt auf Seite 15. Verwenden Sie am besten nicht den Ordner Eigene Dateien für Ihre Daten, dieser befindet sich nämlich standardmäßig auf dem Systemlaufwerk C:. Arbeitsplatzrechner Version: 1.2 Seite 13 von 13