Wir haben innerhalb eines sehr speziellen Anforderungsprofils eine kreative Lösung auf die Beine gestellt, die die Innovationskraft unserer IT unterstreicht. Am Ende lieferte ein vermeintlicher Showstopper das Stichwort für eine Erfolgsgeschichte. Erich Morawek Leiter Informations-technologie beim ORF

Wenn von geschäftskritischem IT-Einsatz die Rede ist, dann spielt der ORF dabei eine besondere Rolle. „Weil hier der Output eben Fernsehen heißt und im schlimmsten Fall ein Problem in den Betriebsbasisprozessen von einem Millionenpublikum verfolgt werden kann“, wie Erich Morawek, Leiter Infor-mationstechnologie beim ORF, die Lage auf den Punkt bringt. Man arbeitet sozusagen in der Auslage und das verlangt jede Menge Kreativität – nicht nur bei der Entwicklung und Umsetzung neuer Formate, sondern auch im Umgang mit den Reglementierungen und Einschränkungen, die erhöhte Sicherheitsauflagen in der IT mit sich bringen.

Eigentlich sah alles nach einem Standard-Update aus, als man sich beim ORF dazu entschloss, alle Arbeitsplätze in der Zentrale am Küniglberg, den 9 Landesstudios und den 16 Korrespondentenbüros weltweit auf den neuesten Stand zu bringen.

Auch der Zeitpunkt war perfekt gewählt, weil das geplante Update von Windows XP auf Windows 7 mit dem Hardware-Erneuerungszyklus im Unternehmen zusammenfiel. Wenn da nicht ein kleines Feature gewesen wäre, das bei der routinemäßigen Evaluierung aufzeigte und sich nach und nach zu einem richtigen Deployment-Blocker entwickelte.

DIE HERAUSFORDERUNG

„Wir haben feststellen müssen, dass es die Client-Unlock-Funktion, die einem Administrator unter Windows XP erlaubte, auf einen gesperrten Rechner zuzugreifen, indem er die Session gewaltsam abbrach, unter Windows 7 nicht mehr gab,“ erinnert sich Oliver Friewald, Innovation Manager & System Architect beim ORF. „Das Ganze wäre an sich kein Malheur gewesen, wenn wir nicht schon vor Jahren die default-mäßige Sperrung aller Clients nach 30 Minuten eingeführt hätten, um die Übernahme von bestehenden User-Sessions und den damit verbundenen Rechten, insbesondere an den Arbeitsstationen von Regieplätzen und anderen sendungskritischen Multi-User-Bereichen einzuschränken.“

Doch damit nicht genug war die Situation auch deshalb knifflig, weil beim ORF aus Sicherheits- und Performance-Gründen gleichzeitig das Fast-User-Switching unterbunden ist – und es damit praktisch keine Möglichkeit für den Administrator gibt, sich im Bedarfsfall einen Arbeitsplatz mit einem User zu teilen und dergestalt auf einen gerade gesperrten PC zuzugreifen.

Oliver Friewald erläutert mit einem verschmitzten Lächeln die Situation. Ein Lächeln, das uns zeigt, dass dieser Mann nicht in Problemen denkt, sondern in Herausforderungen: „Natürlich hätten wir auch die Sicherheitsrichtlinien lockern und das Fast-User-Switching erlauben können, aber das wollten wir nicht. Natürlich hätten wir auch auf das geplante Update verzichten können, aber das war für uns keine Option. Wir wollten und mussten eine Lösung finden, mit der wir die für uns so wichtige Unlock-Funktion über einen Umweg wieder einführen konnten – zumal schnell klar war, dass die Tilgung dieses Features unter Windows 7 für Microsoft eine Design-Entscheidung war, an der nicht gerüttelt werden konnte.“

Feature by Design deshalb – so lautet die offizielle und im Sinne des Anwenderschutzes nachvollziehbare Begründung –, „weil ein User, der seinen Rechner sperrt, davon ausgehen können muss, dass sein Arbeitsplatz noch vorhanden ist, wenn er wieder zurückkommt.“

Soweit, so gut, so nachvollziehbar. „Zumindest in der Theorie“, schränkt Erich Morawek, Leiter Informationstechnologie beim ORF, ein: „Denn was wir als Medienunternehmen unter allen Umständen verhindern müssen, ist die praktische Möglichkeit, dass zum Beispiel die Redakteure der ZIB1 vor einem gesperrten Rechner stehen, weil der Sendeplatz zuvor verlassen wurde ohne auszuloggen, und die geplante Sendung im schlimmsten Fall nicht gestartet werden kann.“

DIE LÖSUNG

Zusätzlich motiviert durch die lebhafte Diskussion dieses Themas in einschlägigen Internetforen, machte sich Oliver Friewald an die Lösungssuche und stieß dabei relativ bald im Windows Software Development Kit (SDK) auf ein vielversprechendes Beispiel für einen Credential Provider – eine Art Plugin-System, das in C++ entwickelt worden war, um unterschiedlichste Authentifizierungsmethoden für Fremdhersteller zu ermöglichen. Die Tür zur Lösung stand plötzlich weit offen. Nun musste dieser Code „nur noch“ so weit modifiziert werden, dass damit die gewünschte Unlock-Funktion sozusagen rückgebaut werden konnte.

„Das war der erste Schritt: Die Code-Modifikation“, wie Herr Friewald betont. „In einem zweiten Schritt ging es darum, unsere Modifikation für den Unternehmenseinsatz zu offizialisieren. Wir mussten sicherzustellen, dass das, was mit dem Programm-Code gemacht wurde, von Microsoft auch unterstützt, das heißt ohne Einschränkungen supported wird. Denn was nützt uns die beste Entwicklung, wenn das nächste Service-Pack oder eine Update diese Funktionalität überschreibt und die ganze Arbeit am Code zunichte macht.“

DIE RESULTATE

Der Rest ist schnell erzählt. Nachdem Microsoft Service Delivery Manager Bernardo Tarillion über den für Code-Reviews zuständigen Microsoft Premier Support das OK eingeholt hatte und die korrekte Code-Verwendung bestätigt war, wurde der Windows 7-Rollout für die rund 5.000 Arbeitsstationen in Angriff genommen und mithilfe des System Center Configuration Manager innerhalb eines Jahres weitgehend automatisiert abgewickelt.

Auch wenn in der Folge viel Routine im Spiel war, bleibt diese Deployment-Story für Erich Morawek programmatisch für die Arbeit seiner Abteilung: „Wir hatten wieder einmal ein kleines Problem mit einer enormen Tragweite, weil letztendlich die Durchführbarkeit eines großen Projekts davon abhing. Und wir haben innerhalb eines sehr speziellen Anforderungsprofils wieder einmal eine kreative Lösung auf die Beine gestellt, die die Innovationskraft unserer IT unterstreicht. Am Ende lieferte ein vermeintlicher Showstopper das Stichwort für eine Erfolgsgeschichte.“

Kein Wunder, dass dieser Rollout von einem Rauschen im Forenwald begleitet wurde. Denn Oliver Friewald hat auch im Erfolg nicht vergessen, der Community etwas zurückzugeben und seine „Fingerübung am Code“, wie er sie selbst bescheiden bezeichnet, kurzerhand als AdministrativeUnlock veröffentlicht und damit der Allgemeinheit zugänglich gemacht.

Mittlerweile ist die Umstellung auf Windows 7 beim ORF längst abgeschlossen. Und die Leute vom Service-Desk wissen wahrscheinlich gar nicht, wie viele leere Kilometer ihnen Oliver Friewald in der täglichen Arbeit sparen hilft, weil jeder Rechner sich problemlos entsperren lässt, wenn ein Problem behoben werden muss – auch wenn der User, der um Hilfe gerufen hat, nicht zugegen ist. Aber das war doch immer so, oder?

„So ist es mit der IT“, meint er mit einem Schmunzeln. „Am besten ist sie dort, wo man sie gar nicht merkt.“

Diese Fallstudie dient ausschließlich Informationszwecken. MICROSOFT GIBT IN DIESER ZUSAMMENFASSUNG KEINE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN GARANTIEN AB.