Windows XP Service Pack 2 - Handbuch für die Anwendungskompatibilität

Anhang

Veröffentlicht: 19.11.2004

Dieser Anhang enthält Beispielskripts und zwei Szenarien zur Bereitstellung von Risikominimierungsskripts für Anwendungskompatibilität. Skripts ermöglichen das Durchführen von Konfigurationsänderungen auf mehreren Computern, um sicherzustellen, dass die Konfiguration identisch ist.

Die beiden Szenarien enthalten Beispielskripts für die Bereitstellung von Windows(r) XP Service Pack 2 (SP2) sowie Konfigurationsskripts für Anwendungskompatibilität. Diese Skripts werden als Beispiele zur Verfügung gestellt und müssen möglicherweise geändert werden, damit sie in Ihrer Umgebung funktionieren. Jedes Szenario umfasst eine Infodatei, Readme.txt, mit einer kurzen Beschreibung der Skripts, die bearbeitet werden müssen. Jedes Skript bietet Einzelheiten zu den erforderlichen Änderungen. Hierzu können Änderungen an Servernamen, Freigabenamen und Benutzeranmeldeinformationen gehören.

Sie müssen sich eine Kopie von Windows XP SP2 beschaffen, bevor Sie eines der Szenarien oder der zugehörigen Skripts ausführen können. Windows XP SP2 steht unter der folgenden Adresse zum Download zur Verfügung:

http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&DisplayLang=de

Die zugehörigen Skripts ändern Einstellungen in der Windows XP-Registrierung. Sie sollten in einer Testlaborumgebung gründlich getestet werden, um sicherzustellen, dass die gewünschten Ergebnisse erzielt werden können.

Sorgen Sie dafür, die Registrierung vor dem Ändern zu sichern. Außerdem müssen Sie verstehen, wie die Registrierung beim Auftreten eines Problems wiederhergestellt werden kann. Informationen über die Verfahren zum Sichern, Wiederherstellen und Bearbeiten der Registrierung finden Sie im Knowledge Base-Artikel 256986, "Beschreibung der Microsoft Windows-Registrierung", unter:

Eine Beschreibung der Microsoft Windows-Registrierung finden Sie unter:

http://support.microsoft.com/default.aspx?scid=kb;DE;256986

Zusätzliche Informationen zur Skripterstellung finden Sie im Scripting Solutions Center unter:

http://www.microsoft.com/technet/scriptcenter/solutions/default.mspx

Auf dieser Seite

	Erstellen einer REG-Datei zum Einsatz mit den zugehörigen Skripts
	Extrahieren der Skripts
	Die Risikominimierungsskripts für Anwendungskompatibilität
	Beispielszenarien

Erstellen einer REG-Datei zum Einsatz mit den zugehörigen Skripts

Bei mehreren der Skripts zu diesem Handbuch wird eine REG-Datei zur Konfiguration in den Fällen verwendet, in denen Anwendungskompatibilität ein Problem darstellt. Das Skript führt die REG-Datei in der Windows XP-Registrierung zusammen.

Syntax der REG-Dateien

Eine REG-Datei weist die folgende Syntax auf:

RegistryEditorVersion
                  <Blank line>
[RegistryPath1] 
"DataItemName1"="DataType1:DataValue1"
DataItemName2"="DataType2:DataValue2"
                  <Blank line>
[RegistryPath2] 
"DataItemName3"="DataType3:DataValue3"

Dabei gilt:

RegistryEditorVersion steht entweder für "Windows-Registrierungs-Editor, Version 5.00" (Windows(r) 2000, Windows XP und Windows Server(tm) 2003) oder für "Registrierungs-Editor4" (Windows(r) 98 und Windows NT(r) 4.0). Der Header "REGEDIT4" funktioniert auch bei Windows 2000-basierten, Windows XP-basierten und Windows Server 2003-basierten Computern.

Blank line (Leerzeile) steht für eine Zeile, die außer einem Wagenrücklauf/Zeilenvorschub keine Zeichen enthält. Leerzeilen erleichtern das Lesen einer Registrierungsdatei. Standardmäßig wird vor jedem neuen Registrierungspfad eine Leerzeile eingefügt. Jeder Schlüssel oder Unterschlüssel stellt einen neuen Registrierungspfad dar.

RegistryPathx steht für den Pfad des Unterschlüssels, in dem der erste zu importierende Wert gespeichert ist. Setzen Sie den Pfad in eckige Klammern, und trennen Sie jede Ebene der Hierarchie durch einen umgekehrten Schrägstrich. Beispiel:

[HKEY_LOCAL_ MACHINE\SOFTWARE\Policies
\Microsoft\Windows\System]

Eine REG-Datei kann mehrere Registrierungspfade enthalten. Wenn die unterste Ebene der Hierarchie in der Pfadanweisung in der Registrierung nicht vorhanden ist, wird ein neuer Unterschlüssel erstellt. Der Inhalt der Registrierungsdateien wird in der von Ihnen eingegebenen Reihenfolge an die Registrierung gesendet. Wenn Sie einen neuen Unterschlüssel mit einem weiteren Unterschlüssel eine Ebene darunter erstellen möchten, müssen Sie deshalb die Zeilen in der richtigen Reihenfolge eingeben.

DataItemNamex steht für den Namen des zu importierenden Datenelements. Wenn ein Datenelement Ihrer Datei in der Registrierung nicht vorhanden ist, wird sie von der REG-Datei (mit dem Wert des Datenelements) hinzugefügt. Ist ein Datenelement vorhanden, wird dessen Wert durch den Wert in der REG-Datei überschrieben. Der Name des Datenelements muss in Anführungszeichen gesetzt werden. Direkt auf den Namen folgt ein Gleichheitszeichen.

DataTypex steht für den Datentyp des Registrierungswertes, der direkt auf das Gleichheitszeichen folgt. Außer bei REG_SZ (einem Zeichenfolgenwert) folgt direkt auf den Datentyp ein Doppelpunkt. Wenn der Datentyp jedoch REG_SZ lautet, fügen Sie keinen Datentypwert oder Doppelpunkt an. In diesem Fall wird von Regedit.exe der Datentyp REG_SZ angenommen. Zu den häufigen Datentypen in der REG-Datei zählen die folgenden Typen:

REG_BINARY hexadecimal 
REG_DWORD dword 
REG_EXPAND_SZ hexadecimal(2) 
REG_MULTI_SZ hexadecimal(7)

Erstellen der REG-Datei

Ausgehend vom Test- und Risikominimierungshandbuch zur Anwendungskompatibilität unter Windows XP Service Pack 2, lautet der Speicherort des Registrierungsschlüssels Zones:

HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\Zones\

Im Folgenden wird erläutert, wie die REG-Datei für das Verwaltungsskript Zones im Ordner \scripts\IE erstellt wird.

So generieren Sie eine REG-Datei

1.	Konfigurieren Sie die entsprechende Zone über die Benutzeroberfläche von Internet Explorer (Menü Extras > Internetoptionen > Registerkarte Sicherheit). Im Skript wird das Beispiel der Zone Lokales Intranet (Zone 1 in der Registrierung) verwendet.
2.	Öffnen Sie den Windows XP-Registrierungs-Editor, Regedit.exe.
3.	Navigieren Sie in der Registrierung zu dem folgenden Schlüssel: HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Internet Settings\Zones\
4.	Klicken Sie mit der rechten Maustaste auf den Unterschlüssel für die entsprechende Zone (in diesem Beispiel, 1), und klicken Sie auf Exportieren.
5.	Speichern Sie die REG-Datei. (Beachten Sie, dass der Name mit demjenigen im Skript - in diesem Fall, Zones.reg - übereinstimmen muss.)

Der Vorgang zum Erstellen der anderen REG-Dateien verläuft ähnlich. In einigen Fällen ist die Klassenkennung (Class Identifier - CLSID) erforderlich, bevor der richtige Teil der Registrierung exportiert werden kann. Sie müssen die Registrierung nach dem Anzeigenamen durchsuchen, um die CLSID zu finden. Diese muss in Verbindung mit dem in den Beispielskripts angegebenen Registrierungspfad überprüft werden.

Weitere Informationen zu allgemeinen Vorgehensweisen bei der Skripterstellung finden Sie im ScriptCenter (engl.) unter

http://www.microsoft.com/technet/scriptcenter/default.mspx

Zum Seitenanfang

Extrahieren der Skripts

In der folgenden Tabelle werden die Ordner aufgelistet, die beim Extrahieren der ausführbaren Datei erstellt werden.

Tabelle A.1

Ordnername	Inhalt
DCOM	Beispielskript zum Ausnehmen einer DCOM-Anwendung von den DCOM-Sicherheitseinschränkungen
IE	Beispielskripts zum Festlegen von Internet Explorer-Funktionen
Outlook	Beispielskript zum Ändern der Anlagenverwaltung in Outlook Express
RPC	Beispielskript zum Ändern von Rückrufeinschränkungen in RPC-Sicherheit
Szenario 1	Beispielskripts und Befehlsdateien zum Installieren von Windows XP SP2 und Risikominimierungsskripts ohne Benutzereingriff
Szenario 2	Beispielskripts und Befehlsdateien zum Installieren von Windows XP SP2- und Risikominimierungsskripts mit minimalem Benutzereingriff
WF	Beispielskripts zum Konfigurieren des Verhaltens der Windows-Firewall

Zum Seitenanfang

Die Risikominimierungsskripts für Anwendungskompatibilität

Im folgenden Abschnitt werden die Funktionen der Anwendungskompatibilitätsskripts kurz beschrieben.

DCOM-Ausnahme

Der Ordner DCOM enthält ein Skript zum Ändern des Standardsicherheitsverhaltens. In der folgenden Tabelle wird der Inhalt dieses Ordners aufgelistet.

Tabelle A.2

Ordnername	Dateiname
DCOM	DCOMSec.vbs

DCOMSec.vbs

Das Skript, das dazu dient, eine DCOM-Anwendung von der durch Windows XP SP2 angewendeten Sicherheit auszunehmen, verwendet die RegWrite-Methode des WshShell-Objekts aus dem WSH-Objektmodell (Windows Script Host). RegWrite schreibt die CLSID der Anwendung in den ActivationSecurityCheckExemptionList-Wert.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
\AppCompat\ActivationSecurityCheckExemptionList

Der Benutzer kann in das Eingabefeld dieses Skripts die Anwendungs-ID aus dem Abschnitt "DCOM Config" der MMC Komponentendienste eingeben.

Suchen der Anwendungs-ID

Das DCOM-Beispielskript fordert Sie zur Eingabe der Anwendungs-ID/CLSID der Anwendung auf, die ausgenommen werden soll. Führen Sie zum Suchen der Anwendungs-ID die folgenden Schritte aus:

1.	Öffnen Sie die MMC Komponentendienste.
2.	Navigieren Sie zu Konsolenstamm\Komponentendienste\Computer\Arbeitsplatz\DCOM-Konfiguration.
3.	Klicken Sie auf Ansicht und dann auf Detail.
4.	Dokumentieren Sie die Anwendungs-ID (CLSID).

In der folgenden Abbildung wird die Anwendungs-ID für die Anwendung im Abschnitt "DCOM Config" der MMC Komponentendienste wiedergegeben.

Abbildung A.1 Suchen der Anwendungs-ID (CLSID) in der MMC "Komponentendienste"
Bild maximieren

Internet Explorer

Zum Bearbeiten von Internet Explorer im Ordner IE sind mehrere Skripts vorgesehen. Die folgende Tabelle enthält eine Auflistung dieser Skripts.

Tabelle A.3

Ordnername	Dateiname
IE	Addon.reg
	AddOn.vbs
	AllowPop.reg
	AllowPop.vbs
	LocalMachineLockdown.vbs
	ZoneElevation.vbs
	Zones.reg
	Zones.vbs

In den folgenden Abschnitten werden diese Skripts ausführlich erläutert.

AddOn.vbs

Dieses Skript führt die Datei Addon.reg, die eine Liste der gesperrten Internet Explorer-Add-Ons enthält, mit der lokalen Registrierung zusammen. Die Datei Addon.reg wird durch Exportieren der Liste von einem Testcomputer generiert. Dieses Skript kann zum Konfigurieren mehrerer Computer mithilfe der in Kapitel 4 erläuterten Bereitstellungsmethoden verwendet werden.

Es wendet eine REG-Datei an, die die Registrierung bearbeitet, um ein bestimmtes Internet Explorer-Add-On zu deaktivieren.

Die REG-Datei bearbeitet die folgenden Registrierungsschlüssel:

HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Ext\Settings
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Ext\Stats

Vor dem Einsatz dieses Skripts muss die REG-Datei bearbeitet werden, damit sie die CLSID der zu deaktivierenden Add-On-Komponente enthält. Zum Identifizieren der CLSID einer Add-On-Komponente durchsuchen Sie die Registrierung mit den folgenden Schritten nach dem Add-On-Namen in der Schnittstelle Add-Ons verwalten:

1.	Öffnen Sie Regedit.
2.	Markieren Sie HKEY_CLASSES_ROOT.
3.	Klicken Sie im Menü Bearbeiten auf Suchen.
4.	Geben Sie im Textfeld Suchen nach den Namen des Internet Explorer-Add-Ons ein.
5.	Klicken Sie auf Weitersuchen.
6.	Wenn eine Übereinstimmung gefunden wird, erweitern Sie den Schlüssel HKEY_CLASSES_ROOT\Add-on-Name.
7.	Klicken Sie auf den Unterschlüssel HKEY_CLASSES_ROOT\Add-on-Name\CLSID.
8.	Doppelklicken Sie im rechten Teilfenster auf den Standardwert.
9.	Markieren und kopieren Sie den Wert, einschließlich "{}".
10.	Fügen Sie die CLSID in die folgenden drei Zeilen der REG-Datei ein, wodurch nur die vorhandene CLSID überschrieben wird: [HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Ext\Settings \{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] [HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Ext\Stats \{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] [HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Ext\Stats \{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\iexplore]

Mithilfe einer REG-Datei lassen sich mehrere Bearbeitungsvorgänge gleichzeitig ausführen. Es ist jedoch auch möglich, jeden Eintrag einzeln zu bearbeiten. Zu diesem Zweck wird ein Skript geschrieben, mit dem ein bestimmter Wert bei Bedarf geändert werden kann.

So deaktivieren Sie mehrere Internet Explorer-Add-Ons

Deaktivieren Sie die erforderlichen Add-Ons manuell auf einem Testcomputer.

Export the "HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Ext" key.

Wenden Sie die exportierte REG-Datei mithilfe von Add-on.vbs auf die erforderlichen Systeme an.

REG-Dateien können importiert werden, indem die Datei bei Bedarf direkt ausgeführt wird.

AllowPop.vbs

Dieses Skript lässt Popups von ausgewählten Websites zu. Es führt die Datei allowpop.reg mit dem lokalen Registrierungsschlüssel zusammen:

HKEY_CURRENT_USER\Software\Microsoft
\Internet Explorer\New Windows\Allow

Die zugehörige REG-Datei kann bearbeitet werden, um weitere Websites zuzulassen, indem zusätzliche Zeilen in folgendem Format hinzugefügt werden:

"www.website.com"=hex:

ZoneElevation.vbs

In dem Skript zum Zulassen der Zonenanhebung wird die RegWrite-Methode des WshShell-Objekts aus dem WSH-Objektmodell verwendet. RegWrite schreibt den Schlüssel FEATURE_ZONE_ELEVATION in die Registrierung, um die Sicherheitsfunktion für den Prozess iexplore.exe zu deaktivieren.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Internet Explorer\Main\FeatureControl
\FEATURE_ZONE_ELEVATION\iexplore.exe

Dieses Skript bearbeitet die Registrierung zum Deaktivieren und Aktivieren der Zonenanhebungseinschränkung für den Prozess iexplore.exe.

1 - Aktiviert das Feature.

0 - Deaktiviert das Feature.

Zones.vbs

Dieses Skript konfiguriert das Internet Explorer-Feature Zonen. Es sollte nur verwendet werden, wenn das Feature für eine Webanwendung erforderlich ist. Zones.vbs führt die zugehörige Datei, Zones.reg, mit der lokalen Computerregistrierung zusammen. Die Datei Zones.reg wird von einem Testcomputer aus generiert, bei dem dieses Feature deaktiviert ist.

Das Skript zum Ändern der Sicherheitszonenkonfiguration wendet eine REG-Datei an, die aus dem Schlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\Zones\0

exportiert wurde. Bearbeiten Sie die Zonenkonfiguration in Internet Explorer, und exportieren Sie anschließend den Registrierungsschlüssel. Wenden Sie die REG-Datei mithilfe des Skripts auf andere Computer an.

Die unterschiedlichen Zonen werden folgendermaßen durch numerische Werte angegeben:

0 - Lokal

1 - Internet

2 - Vertrauenswürdige Sites

3 - Internet

4 - Eingeschränkte Sites

LocalMachineLockdown.vbs

Dieses Skript konfiguriert weitere Einschränkungen für die Zone Lokaler Computer. Ein Skript oder eine ausführbare Datei, die aus der Zone Internet gedownloadet wurde, wird auf dem lokalen Dateisystem gespeichert und konnte deshalb unter Versionen vor Windows XP SP2 ausgeführt werden, ohne dass der Benutzer zur Eingabe aufgefordert wurde. Windows XP SP2 aktiviert standardmäßig die Sperrung des lokalen Computers, um diese mögliche Sicherheitsverletzung zu verhindern. Für dieses Feature muss NTFS als lokales Dateisystem verwendet werden.

LocalMachineLockdown.vbs schreibt in den folgenden Unterschlüssel der Registrierung, um die Sperrfunktion für den Prozess iexplore.exe zu aktivieren bzw. zu deaktivieren:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Internet Explorer\Main\FeatureControl
\FEATURE_LOCALMACHINE_LOCKDOWN\iexplore.exe

1 - Aktiviert die Sperrfunktion.

0 - Deaktiviert die Sperrfunktion.

Skripts für Outlook Express

Der Ordner Outlook enthält ein einziges Skript zum Bearbeiten von AES. In der folgenden Tabelle werden die Namen von Ordner und Skript angegeben.

Tabelle A.4

Ordnername	Dateiname
Outlook	Attachments.vbs

Attachments.vbs

Das Skript zum Konfigurieren zulässiger Anlagen für Outlook Express verwendet die RegWrite-Methode des WshShell-Objekts aus dem WSH-Objektmodell. RegWrite schreibt in den Safe Attachments-Wert, um die Sicherheitsfunktion zu deaktivieren. Der Pfad zu diesem Registrierungswert ist dynamisch und hängt vom jeweiligen Computer ab.

HKEY_CURRENT_USER\Identities\" & IDName 
& "\Software\Microsoft\Outlook Express
\5.0\Mail\Safe Attachments

Dieses Skript bearbeitet die Registrierung, um Anlageneinschränkungen für Outlook Express zu deaktivieren bzw. zu aktivieren.

1 - Aktiviert die Funktion.

0 - Deaktiviert die Funktion.

Remoteprozeduraufrufe

In der folgenden Tabelle wird der Inhalt des Ordners RPC aufgelistet.

Tabelle A.5

Ordnername	Dateiname
RPC	RpcSec.vbs

RpcSec.vbs

Dieses Skript bearbeitet die Registrierung, um die RPC-Sicherheit so zu konfigurieren, dass neue Einschränkungen umgangen werden und anonymer Rückruf zulässig ist. Das Skript zum Konfigurieren der RPC-Sicherheit verwendet die RegWrite Methode des WshShell-Objekts aus dem WSH-Objektmodell. RegWrite schreibt in den RestrictRemoteClients-Wert.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft
\Windows NT\RPC\RestrictRemoteClients

Das Skript kann die folgenden Werte aufweisen:

0 - Umgeht neue Einschränkungen.

1 - Schränkt den Zugriff auf alle RPC-Schnittstellen ein, lässt aber anonyme Rückrufe zu.

2 - Schränkt den Zugriff auf alle RPC-Schnittstellen ein und lässt keine anonymen Rückrufe zu.

Zum Seitenanfang

Beispielszenarien

Beide Szenarien liefern Beispiele für das Installieren von Windows XP SP2 und zusätzliches Konfigurieren mit minimalem Benutzereingriff.

Bei Szenario 1 wird eine Netzwerkfreigabe mit dem Skriptordner und der Service Pack-Quelle vorausgesetzt. Sie müssen die Server- und Freigabenamen bearbeiten, damit sie Ihrer Umgebung entsprechen.

Bei Szenario 2 wird vorausgesetzt, dass die Service Pack-Quelle und die Skripts lokal auf den Client kopiert werden müssen.

Die für Pfade und Computernamen verwendeten Variablen sollen das Bearbeiten der Skripts erleichtern. Wenn Sie ein Skript in einer bestimmten Umgebung einsetzen möchten, müssen Sie die Werte der Variablen bearbeiten.

Jedes Szenario verfügt über eine zugeordnete Infodatei, Readme.txt. Die darin aufgeführten Informationen müssen vor dem Implementieren der Szenarien unbedingt gelesen werden.

Szenario 1

Contoso Ltd. ist ein mittelständischer, international tätiger Hersteller von pharmazeutischen Produkten mit einer eigenen IT-Abteilung. Bei Contoso soll Windows XP SP2 implementiert und die Windows-Firewall für die Remoteverwaltung konfiguriert werden. Zu diesem Zweck sollen Windows Management Instrumentation (WMI) zusammen mit WSH unter Verwendung der VBScript-Skriptdateien sowie der Befehlsdateien (CMD-Dateien) verwendet werden.

Skriptzusammenfassung

In der folgenden Tabelle werden die im Rahmen dieser Lösung verwendeten Skripts und deren Funktion aufgelistet.

Tabelle A.6

Skript	Zusammenfassung/Funktion
StartRemoteIns.vbs	Wird auf der Administratorarbeitsstation von einem Benutzer mit Administratorrechten für jeden Client und Quellserver ausgeführt. Erhält den in Computers.txt angegebenen Clientnamen. Kopiert den Skriptordner vom Quellserver auf den Client. Verwendet WMI zum Ausführen von Install.cmd auf dem Client. Durchläuft eine Schleife zum nächsten Clientnamen in Computers.txt.
So verwenden Sie StartRemoteIns.vbs	Kopieren Sie die Aktualisierungsdatei WindowsXP-KB835935-SP2-ENU.exe in das Skriptverzeichnis, bevor Sie das Skript ausführen. Kopieren Sie die Skripts zu Szenario 1 in den Skriptordner. Bearbeiten Sie den Pfad zu Computers.txt bei Bedarf. Bearbeiten Sie den Quellservernamen für die Skripts bei Bedarf.
Computers.txt	Befindet sich auf der Administratorarbeitsstation. Listet alle Clientnamen auf.
So verwenden Sie Computers.txt	Bearbeiten Sie Computers.txt, um darin die zutreffenden Clientnamen aufzulisten. Listen Sie einen Clientnamen pro Zeile auf. Setzen Sie keine doppelten umgekehrten Schrägstriche ("\\") vor die Namen der Clients. Hinweis: Nach dem letzten Clientnamen in der Textdatei muss ein Zeilenvorschub/Wagenrücklauf stehen, damit die Datei korrekt analysiert werden kann.
Install.cmd	Führt WindowsXP-KB835935-SP2-ENU.exe auf dem lokalen Client aus. WindowsXP-KB835935-SP2-ENU.exe wird im stillen Modus ohne Neustart ausgeführt und überschreibt OEM-Dateien. Ruft AutoAdmin.vbs auf. Ruft Reboot.vbs auf.
So verwenden Sie Install.cmd	Bearbeiten Sie den Pfad zu WindowsXP-KB835935-SP2-ENU.exe bei Bedarf. Bearbeiten Sie die Optionen für WindowsXP-KB835935-SP2-ENU.exe bei Bedarf. Bearbeiten Sie den Pfad zu AutoAdmin.vbs bei Bedarf. Bearbeiten Sie den Pfad zu Reboot.vbs bei Bedarf.
AutoAdmin.vbs	Schreibt DefaultUserName in die Registrierung. Schreibt DefaultPassword in die Registrierung. Schreibt DefaultDomainName in die Registrierung. Legt AutoAdminLogon fest. Schreibt RunOnce.cmd in den Registrierungsschlüssel RunOnce.
So verwenden Sie AutoAdmin.vbs	Bearbeiten Sie den DefaultUserName-Wert bei Bedarf. Bearbeiten Sie den DefaultPassword-Wert bei Bedarf. Bearbeiten Sie den DefaultDomainName-Wert bei Bedarf. Bearbeiten Sie den Pfad zu RunOnce.cmd bei Bedarf.
Reboot.vbs	Verwendet WMI zum Neustarten des Clients.
RunOnce.cmd	Wird über den Schlüssel RunOnce in der Registrierung ausgeführt, wenn der Client einen Neustart mithilfe von AutoAdminLogon ausführt. Ruft WinFire.vbs auf. Ruft Cleanup.vbs auf. Ruft Reboot.vbs auf.
So verwenden Sie RunOnce.cmd	Bearbeiten Sie die Datei bei Bedarf, damit sie die zutreffenden Konfigurationsskripts enthält (siehe die zusammen mit diesem Handbuch bereitgestellten Beispielskripts). Bearbeiten Sie den Pfad zu WinFire.vbs bei Bedarf. Bearbeiten Sie den Pfad zu Cleanup.vbs bei Bedarf. Bearbeiten Sie den Pfad zu Reboot.vbs bei Bedarf.
WinFire.vbs	Führt den Netsh-Befehl zur Datei- und Druckerfreigabe sowie zum Öffnen des RDP-Ports in der Windows-Firewall aus.
So verwenden Sie WinFire.vbs	Fügen Sie den Netsh-Befehl hinzu, um der Ausnahmenliste ggf. entsprechende Ports hinzuzufügen. Fügen Sie den Netsh-Befehl hinzu, um der Ausnahmenliste ggf. entsprechende Programme hinzuzufügen.
Cleanup.vbs	Entfernt DefaultUserName aus der Registrierung. Entfernt DefaultPassword aus der Registrierung. Entfernt DefaultDomainName aus der Registrierung. Entfernt die AutoAdminLogon-Konfiguration.

Abbildung A.2 zeigt das Flussdiagramm des automatisierten Bereitstellungsprozesses.

Abbildung A.2 - Szenario 1: Flussdiagramm des WMI-Bereitstellungsprozesses
Bild maximieren

Der automatisierte Bereitstellungsprozess besteht aus den folgenden Schritten:

Ein Administrator kopiert die erforderlichen Skripts zusammen mit der Aktualisierungsdatei WindowsXP-KB835935-SP2-ENU.exe in einen Ordner auf einer Netzwerkfreigabe.

Der Administrator erstellt eine Textdatei mit Computernamen, Computers.txt, die vom Skript StartRemoteIns.vbs analysiert werden soll, und verwendet dieses Skript zum Starten der Installation.

Hinweis: Zum Einleiten der Installation kann der Administrator an einer beliebigen Arbeitsstation angemeldet sein. Für den Benutzer des Clients sind keine Administratorrechte erforderlich, weil das Skript im Sicherheitskontext des Remoteadministrators ausgeführt wird.

Das Skript kopiert den Ordner mit den Skripts und der ausführbaren Aktualisierungsdatei WindowsXP-KB835935-SP2-ENU.exe vom Server auf den lokalen Computer und ruft dann Install.cmd auf.

Install.cmd führt das Setupprogramm für das Service Pack, WindowsXP-KB835935-SP2-ENU.exe, lokal mit Optionen aus, sodass kein Benutzereingriff erforderlich ist. Danach ruft die Befehlsdatei das Skript AutoAdmin.vbs und nach dessen Beendigung das Skript Reboot.vbs auf. Dies geschieht folgendermaßen:

Hinweis: Dieser Prozess kann lange dauern (zwischen einer und zwei Stunden).

1.	Das Skript AutoAdmin.vbs legt fest, dass der lokale Client die Abschnitte "AutoAdminLogon" der Registrierung mit einem Konto verwendet, das über lokale Administratorrechte verfügt. Es konfiguriert den Abschnitt "RunOnce" der Registrierung mit der Konfigurationsbefehlsdatei, RunOnce.cmd. Nach Beendigung dieses Skripts wird die Steuerung an Install.cmd zurückgegeben.
2.	Die Installationsbefehlsdatei, Install.cmd, ruft Reboot.vbs auf. Die Clientarbeitsstation wird heruntergefahren und neu gestartet.

Beim Neustart wird der im Skript AutoAdmin.vbs angegebene Benutzer angemeldet, und die im Abschnitt "RunOnce" der Registrierung (in diesem Beispiel die Datei RunOnce.cmd) wird ausgeführt. RunOnce.cmd wiederum ruft Skripts zur Ausführung der folgenden Aufgaben auf:

1.	In diesem Beispiel ruft RunOnce.cmd das Konfigurationsskript, WinFire.vbs, auf. Dieses führt die Konfiguration der Windows-Firewall durch und öffnet dazu die erforderlichen Ports für Remoteverwaltung. Nach Beendigung des Skripts wird die Steuerung an RunOnce.cmd zurückgegeben.
2.	Als nächsten Schritt ruft RunOnce.cmd das Bereinigungsskript, Cleanup.vbs, auf, das die AutoAdminLogon-Einstellungen entfernt, darunter DefaultUserName, DefaultPassword und RunOnce. Nach Beendigung des Skripts wird die Steuerung an RunOnce.cmd zurückgegeben.
3.	Zum Schluss ruft RunOnce.cmd das Skript Reboot.vbs auf, das die Clientarbeitsstation herunterfährt und neu startet.

Beim Neustart des Clientsystems sind die Eingabefelder für die Anmeldeaufforderung und den Benutzernamen leer. Auf der Clientarbeitsstation befindet sich ein lokaler Skriptordner, der mithilfe eines Anmeldeskripts oder eines Skripts im Startordner gelöscht werden kann.

Szenario 2

Contoso verfügt an einem anderen Standort über eine kleine Tochtergesellschaft mit einer Reihe mobiler Benutzer. Diese Personen wurden angewiesen, der Hauptgeschäftsstelle einen Tag innerhalb eines zweiwöchigen Zeitraums zu nennen, an dem Windows XP SP2 installiert und konfiguriert werden soll. Der Benutzer wird angewiesen, vom lokalen Server aus ein Skript auszuführen, das die Installation mithilfe des Befehls runas fertig stellt. Außerdem wird der Benutzer aufgefordert, ein bestimmtes Kennwort einzugeben, das lediglich lokale Verwaltungsrechte gewährt. In diesem Szenario werden folgende Skripts verwendet:

Skriptzusammenfassung

In der folgenden Tabelle werden die im Rahmen dieser Lösung verwendeten Skripts und deren Funktionen aufgelistet.

Tabelle A.7

Skript	Zusammenfassung/Funktion
RunSP.cmd	Wird von einem Benutzer, dem das Administratorkennwort bekannt ist, auf jedem Client ausgeführt. Führt den Befehl runas aus. Das Administratorkennwort muss bekannt sein. Führt Install.cmd auf dem Client aus.
So verwenden Sie RunSP.cmd	Bearbeiten Sie den Administratornamen bei Bedarf. Bearbeiten Sie den Pfad zu Install.cmd bei Bedarf.
Install.cmd	Führt WindowsXP-KB835935-SP2-ENU.exe im Skriptordner aus. WindowsXP-KB835935-SP2-ENU.exe wird im stillen Modus ohne Neustart ausgeführt und überschreibt OEM-Dateien. Ruft AutoAdmin.vbs auf. Ruft Reboot.vbs auf.
So verwenden Sie Install.cmd	Bearbeiten Sie den Pfad zu WindowsXP-KB835935-SP2-ENU.exe bei Bedarf. Bearbeiten Sie die Optionen für WindowsXP-KB835935-SP2-ENU.exe bei Bedarf. Bearbeiten Sie den Pfad zu AutoAdmin.vbs bei Bedarf. Bearbeiten Sie den Pfad zu Reboot.vbs bei Bedarf.
AutoAdmin.vbs	Schreibt DefaultUserName in die Registrierung. Schreibt DefaultPassword in die Registrierung. Schreibt DefaultDomainName in die Registrierung. Legt AutoAdminLogon fest. Schreibt RunOnce.cmd in den Registrierungsschlüssel RunOnce.
So verwenden Sie AutoAdmin.vbs	Bearbeiten Sie den DefaultUserName-Wert bei Bedarf. Bearbeiten Sie den DefaultPassword-Wert bei Bedarf. Bearbeiten Sie den DefaultDomainName-Wert bei Bedarf. Bearbeiten Sie den Pfad zu RunOnce.cmd bei Bedarf.
Reboot.vbs	Verwendet WMI zum Neustarten des Clients.
RunOnce.cmd	Wird über den Schlüssel RunOnce in der Registrierung ausgeführt, wenn der Client einen Neustart mithilfe von AutoAdminLogon ausführt. Ruft WinFire.vbs auf. Ruft LogInstall.vbs auf. Ruft Cleanup.vbs auf. Ruft Reboot.vbs auf.
So verwenden Sie RunOnce.cmd	Bearbeiten Sie die Datei bei Bedarf, damit sie die zutreffenden Konfigurationsskripts enthält (siehe die zusammen mit diesem Handbuch bereitgestellten Beispielskripts). Bearbeiten Sie den Pfad zu WinFire.vbs bei Bedarf. Bearbeiten Sie den Pfad zu LogInstall.vbs bei Bedarf. Bearbeiten Sie den Pfad zu Cleanup.vbs bei Bedarf. Bearbeiten Sie den Pfad zu Reboot.vbs bei Bedarf.
WinFire.vbs	Führt Netsh-Befehle zur Datei- und Druckerfreigabe sowie zum Öffnen des RDP-Ports in der Windows-Firewall aus.
So verwenden Sie WinFire.vbs	Fügen Sie den Netsh-Befehl hinzu, um der Ausnahmenliste ggf. entsprechende Ports hinzuzufügen. Fügen Sie den Netsh-Befehl hinzu, um der Ausnahmenliste ggf. entsprechendeProgramme bei Bedarf hinzuzufügen.
LogInstall.vbs	Schreibt den Computernamen des Clients in eine Protokolldatei, um die unter Windows XP SP2 installierten Clients nachzuverfolgen.
So verwenden Sie LogInstall.vbs	Bearbeiten Sie den Namen des Servers, auf dem die Protokolldatei gespeichert ist, bei Bedarf. Bearbeiten Sie den Namen der Freigabe, auf der die Protokolldatei gespeichert ist, bei Bedarf. Bearbeiten Sie den Namen der Protokolldatei bei Bedarf.
Cleanup.vbs	Entfernt DefaultUserName aus der Registrierung. Entfernt DefaultPassword aus der Registrierung. Entfernt DefaultDomainName aus der Registrierung. Entfernt die AutoAdminLogon-Konfiguration.

Abbildung A.3 - Szenario 3: Flussdiagramm des RunAs-Bereitstellungsprozesses
Bild maximieren

Ein Administrator kopiert die Skripts und WindowsXP-KB835935-SP2-ENU.exe in einen Ordner auf den Clientcomputern.

Ein Administrator stellt RunSP.cmd als Anmeldeskript bereit. Damit wird Install.cmd unter Verwendung des Befehls runas zum Einleiten der Installation gestartet.

Der Benutzer wird aufgefordert, das vom Administrator bereitgestellte Kennwort einzugeben.

Install.cmd führt das Setupprogramm für Windows XP SP2 mit Optionen aus, sodass kein Benutzereingriff erforderlich ist. Dieser Prozess kann lange dauern.

Danach ruft die Befehlsdatei das Skript AutoAdmin.vbs und nach dessen Beendigung das Skript Reboot.vbs auf.

1.	Das Skript AutoAdmin.vbs legt fest, dass der lokale Client die Abschnitte "AutoAdminLogon" der Registrierung mit einem Konto verwenden muss, das über lokale Administratorrechte verfügt. Es konfiguriert den Abschnitt "RunOnce" der Registrierung mit der Konfigurationsbefehlsdatei, RunOnce.cmd. Nach Beendigung dieses Skripts wird die Steuerung an Install.cmd zurückgegeben.
2.	Die Installationsbefehlsdatei, Install.cmd, ruft Reboot.vbs auf. Die Clientarbeitsstation wird heruntergefahren und neu gestartet.

Beim Neustart wird der im Skript AutoAdmin.vbs angegebene Benutzer angemeldet, und die im Abschnitt "RunOnce" der Registrierung (in diesem Beispiel die Datei RunOnce.cmd) wird ausgeführt. Die Befehlsdatei RunOnce.cmd führt die folgenden Aufgaben aus:

1.	In diesem Beispiel ruft RunOnce.cmd das Konfigurationsskript, WinFire.vbs, auf. Dieses führt die Konfiguration der Windows-Firewall durch und öffnet dazu die erforderlichen Ports für Remoteverwaltung. Nach Beendigung des Skripts wird die Steuerung an RunOnce.cmd zurückgegeben.
2.	Als nächsten Schritt ruft RunOnce.cmd das Bereinigungsskript, Cleanup.vbs, auf. Cleanup.vbs entfernt die AutoAdminLogon-Einstellungen, darunter die Einstellungen DefaultUserName und DefaultPassword. Nach Beendigung des Skripts wird die Steuerung an RunOnce.cmd zurückgegeben.
3.	Anschließend ruft RunOnce.cmd das Skript LogInstall.vbs auf, das den Namen des lokalen Computers in eine Protokolldatei auf einem Remoteserver schreibt. Auf diese Weise wird dem Administrator angezeigt, dass die betreffende Clientarbeitsstation konfiguriert wurde.
4.	Zum Schluss ruft RunOnce.cmd das Skript Reboot.vbs auf, das die Clientarbeitsstation herunterfährt und neu startet. Beim Neustart wird dem Benutzer ein Anmeldebildschirm mit leeren Eingabefeldern für Benutzername und Kennwort angezeigt.

Windows-Firewall

Der Windows-Firewall-Ordner (WF) enthält fünf Skripts zum Ändern des Standardverhaltens der Windows-Firewall, die in der folgenden Tabelle aufgelistet werden:

Tabelle A.8

Ordnername	Dateiname
WF	ClosePort.vbs
	CloseProgram.vbs
	FirewallLog.vbs
	OpenPort.vbs
	OpenProgram.vbs

OpenPort.vbs

Dieses Skript verwendet das Befehlszeilentool Netsh, um einen bestimmten Port in der Windows-Firewall zu öffnen.

Mithilfe von Netsh kann auch der Zugriff über den Port auf bestimmte Computer oder das lokale Subnetz eingeschränkt werden. In dem bereitgestellten Beispiel wird der Port für Remotedesktopverbindung (3389) geöffnet.

Das Skript zum Öffnen eines Ports in der Firewall verwendet das WshShell-Objekt aus dem WSH-Objektmodell zum Ausführen einer Instanz des Befehlszeilentools Netsh. Netsh verfügt über zusätzliche Funktionen für Windows XP SP2 zum Konfigurieren der Windows-Firewall.

ClosePort.vbs

Dieses Skript verwendet das Befehlszeilentool Netsh, in der Windows-Firewall zu schließen. Das Skript zum Schließen eines Ports in der Firewall verwendet das WshShell-Objekt aus dem WSH-Objektmodell zum Ausführen einer Instanz des Befehlszeilentools Netsh. Netsh verfügt über zusätzliche Funktionen für Windows XP SP2 zum Konfigurieren der Windows-Firewall.

In dem bereitgestellten Beispiel wird der lokale FTP-Serverport (21) geschlossen.

OpenProgram.vbs

Dieses Skript verwendet das Befehlszeilentool Netsh, um ein Programm in die Ausnahmenliste der Windows-Firewall einzuschließen. Mithilfe von Netsh kann auch der Zugriff eines Programms auf bestimmte Computer oder das lokale Subnetz eingeschränkt werden.

In dem bereitgestellten Beispiel ist Windows Messenger die eingeschlossene zulässige Anwendung.

CloseProgram.vbs

Dieses Skript verwendet das Befehlszeilentool Netsh, um ein Programm aus der Ausnahmenliste der Windows-Firewall auszuschließen. Mithilfe von Netsh kann auch der Zugriff mit dem Programm auf bestimmte Computer oder das lokale Subnetz eingeschränkt werden.

In dem bereitgestellten Beispiel ist Windows Messenger die ausgeschlossene Anwendung.

FirewallLog.vbs

Das Skript zum Aktivieren der Protokollierung für die Firewall verwendet das WshShell-Objekt aus dem WSH-Objektmodell, um eine Instanz des Befehlszeilentools Netsh auszuführen. Netsh verfügt über zusätzliche Funktionen für Windows XP SP2 zum Konfigurieren der Windows-Firewall.

Dieses Skript verwendet das Befehlszeilentool Netsh zum Konfigurieren der Protokollierung für die Windows-Firewall.

Mithilfe von Netsh kann auch der Zugriff über den Port auf bestimmte Computer oder das lokale Subnetz eingeschränkt werden.

Zum Seitenanfang

6 von 6

In diesem Beitrag

•	Zusammenfassung und Download
•	Einführung
•	Testen der Anwendungskompatibilität
•	Minimieren von Kompatibilitätsproblemen
•	Implementieren von Korrekturen zur Problemminimierung
•	Anhang