Auftragsarbeit

Das Windows-Setup-Programm hat viel zu tun: das Laufwerk partitionieren, die Systemdateien an die jeweils richtigen Stellen packen, den Bootloader einrichten, allerlei konfigurieren und so weiter. Vieles davon lässt sich vorab festlegen und automatisieren. Eine Installation durchläuft heutzutage bis zu sieben Phasen. Die zu kennen erleichtert nicht nur Admins ihren Job, sondern hilft auch beim Verstehen mancher Verhaltensweisen des Betriebssystems.

Das Folgende beschreibt die sieben Phasen in der Terminologie, die auch Microsofts „Windows System Image Manager“ (WSIM) verwendet. Mit diesem Werkzeug können Sie sogenannte Antwortdateien erstellen, die die Arbeit des Windows-Setup-Programms beeinflussen. Eine Anleitung dazu liefert der Beitrag auf Seite 148 in dieser Ausgabe.

Die ersten Schritte

Die erste Phase einer Neuinstallation bezeichnet das WSIM mit dem Namen windowsPE. Gemeint ist damit das Booten des Mini-Betriebssystems Windows PE, unter dem der erste Teil der Installation läuft, sowie das Starten des Installationsprogramms setup.exe. Die Buchstaben PE stehen für Preinstallation Environment, Details dazu haben wir in [1] veröffentlicht.

Während der ersten Phase erledigt das Setup-Programm drei Aufgaben: Es partitioniert Festplatte oder SSD und wählt die Zielpartition, sofern man das nicht selbst erledigen will. Zudem spielt es ein Image auf die Zielpartition und versorgt es mit einem Bootloader. Das Image steckt in einer Datei namens install.wim oder install.esd im Ordner sources des Installationsmediums [2]. Sofern setup.exe in der ACPI-Tabelle „MSDM“ in der Firmware des Mainboards einen Windows-Installationsschlüssel sowie auf dem Installationsmedium ein dazu passendes Image findet, wählt es dieses Image automatisch aus. Sonst fragt es den Nutzer nach einem Schlüssel oder entnimmt ihn einer Antwortdatei. Schließlich wird in dieser Phase das Kennwort für das standardmäßig inaktive Konto „Administrator“ vergeben (Details zum Administrator unter Windows finden Sie bei Bedarf in einer c’t-FAQ [3]). Sofern nicht in einer Antwortdatei etwas anderes vorgesehen ist oder im Image bereits ein Kennwort steckt, bleibt es leer.

Es folgt die zweite Phase namens offlineServicing. Hier prüft das Setup-Programm, ob es das aufgespielte Image um zusätzliche Updates, Treiber und Sprachpakete ergänzen soll, und erledigt das bei Bedarf. Bei einer Standard-Installation gibt es allerdings nur dann etwas zu ergänzen, wenn Sie setup.exe nicht vom Installationsmedium starten, sondern unter einem bereits laufenden Windows, etwa um eine Parallelinstallation anzustoßen. Dann bietet setup.exe an, zuerst zur Verfügung stehende Updates für die bevorstehende Installation herunterzuladen, bevor der PC neu startet, um Windows PE zu booten und den eigentlichen Installationsprozess zu starten. In dessen zweiter Phase werden die heruntergeladenen Updates dann in das aufgespielte Image installiert. Damit hat das Installationsprogramm seine Arbeit erledigt und startet den PC neu.

Nach dem Neustart

Beim nächsten Neustart des PCs bootet bereits das frisch installierte Windows, auch wenn das bei einer Neuinstallation nicht so aussieht. Denn bei Standard-Images hat Microsoft dafür gesorgt, dass nach dem ersten Start erst noch weitere Einrichtungsdialoge folgen, bevor Sie den Desktop zu sehen bekommen. Das passiert wiederum in zwei Phasen: Es beginnt mit der Phase specialize. Während dieser geht es um systemspezifische Einstellungen. So wird unter anderem die System-SID der neuen Installation erzeugt sowie die davon abgeleiteten SIDs der Standard-Benutzerkonten und -gruppen. Anhand dieser IDs lassen sich Zugriffsrechte steuern, aber auch Rechner, Konten und Gruppen beispielsweise im Netzwerk identifizieren. Eine Antwortdatei kann zudem die „Windows-Features“ beeinflussen. Das sind die Funktionen, die Sie nach der Installation in der Systemsteuerung unter „Programme und Funktionen“ (Windows 7) beziehungsweise „Programme und Features“ (Windows 10) finden (links auf „Windows-Features aktivieren oder deaktivieren“ klicken). Zudem werden in dieser Phase Netzwerk-, Sprach- und Domain-Einstellungen konfiguriert. Schließlich findet zum ersten Mal die Hardwareerkennung statt und es werden jene Treiber für erkannte Geräte installiert, die Windows von Haus aus dabei hat. Letzteres geschieht übrigens auch bei jedem weiteren Neustart.

Bei einer Standard-Installation folgt nun die letzte Phase namens oobeSystem (out of box experience). Hier geht es um nutzerspezifische Einstellungen. Es erscheinen die Dialoge etwa zum Erstellen des ersten Nutzerkontos, zum Verbinden mit einem WLAN, für die Datenschutzeinstellungen und so weiter. Erst wenn man damit durch ist, erscheint der Desktop. Sofern eine Internetverbindung verfügbar ist, versucht Windows die noch fehlenden Treiber und Updates nachzuladen, danach ist die Installation abgeschlossen.

Spezialfall Sysprep

Es gibt weitere Phasen, während derer man eine Installation beeinflussen kann, die aber normalerweise nicht durchlaufen werden. Stattdessen geht es hier darum, individuell angepasste Installationen so vorzubereiten, dass man sie in ein Image verpacken kann, welches anschließend auf anderen Rechnern installiert wird. Zielgruppe sind also beispielsweise Admins und PC-Hersteller, die ihre Geräte mit vorinstallierten Anwendungen, Hintergrundbildern, Treibern und so weiter ausliefern wollen. Auch Microsoft baut auf diese Weise seine Installations-Images.

Das dazu dienende Werkzeug dürfen Sie auf gar! keinen! Fall! starten, ohne genau verstanden zu haben, was es macht. Denn sonst ist Ihre Windows-Installation in ernster Gefahr: Das Werkzeug wurde dazu gebaut, diverse Informationen und Daten aus einer vorhandenen Installation zu löschen, die Admins und PC-Herstellern im Wege wären. Das Werkzeug ist das „Systemvorbereitungsprogramm“ Sysprep, das seit Windows Vista mit der unveränderten Versionsnummer 3.14 an Bord ist [4].

Sysprep kann auf zwei Arten künftige Installationen beeinflussen. Die erste ist „OOBE für System aktivieren“: Die Installation wird so vorbereitet, dass beim nächsten Start erneut die Phase „oobeSystem“ durchlaufen wird. Anschließend kann man Windows herunterfahren und in ein Image verpacken. Empfehlenswert ist jedoch, zusätzlich die Option „Verallgemeinern“ zu aktivieren. Dann durchläuft Windows zuerst noch die Phase generalize, in der alle für den PC individualisierten Informationen wieder hinausgeworfen werden. Das sorgt dafür, dass beim nächsten Start vor „oobeSystem“ erst noch die Phase „specialize“ durchlaufen wird.

Die zweite Art ist der „Systemüberwachungsmodus“ („Audit Mode“): Den kann man bereits während der Installation etwa per Antwortdatei oder durch Drücken von Strg+Umschalt+F3 bei Erscheinen der OOBE-Dialoge erreichen, aber auch nachträglich per Sysprep. In diesem Modus nimmt die Installation zwischendurch quasi einen Umweg: Es erscheint ohne die OOBE-Abfragen direkt der Desktop, doch angemeldet ist das oben bereits erwähnte und eigentlich deaktivierte Konto namens „Administrator“. Ein individuelles Nutzerkonto gibt es noch nicht. Zudem poppt das Sysprep-Fenster auf. Nun kann man Treiber und Anwendungen installieren sowie system- und nutzerspezifische Einstellungen anpassen. Ist ein Neustart erforderlich, erscheint danach das Sysprep-Fenster erneut und man ist wieder als Administrator angemeldet.

Will man den Zustand, in dem sich Windows während des Überwachungsmodus befindet, vorab beeinflussen, geht das wieder mit der Antwortdatei. In der Phase auditSystem lassen sich beispielsweise weitere Treiber installieren, die Monitorauflösung anpassen und das Desktop-Theme festlegen. In der direkt folgenden Phase auditUser werden unter anderem Sperrbildschirm und Taskleiste angepasst sowie Standard-Browser, -Mail-Client und -Media-Player festgelegt. Nach Abschluss aller Anpassungen lässt man Sysprep mit den Optionen „OOBE für System aktivieren“ und (optional) „Verallgemeinern“ Windows herunterfahren und zieht das Image. Mit dem kann man nun Windows mitsamt aller individuellen Anpassungen in einem Rutsch und auf beliebig vielen Rechner installieren. (axv@ct.de)