Die „Gestalt“ eines Desktops entsteht bei der Benutzeranmeldung per Anmeldeskript und Daten aus dem Benutzerprofil. Das System ordnet Laufwerke ebenso zu wie Drucker, erzeugt Desktop-Icons oder entfernt sie und setzt die Systemvariablen. Der US-amerikanische Anbieter Appsense hat mit Environment Manager 8.1 ein Werkzeug im Portfolio, das die Verwaltung von System- und Benutzerumgebungen deutlich vereinfachen soll.Der wichtigste Kern der Appsense-Technik ist die als „Client Configuration Agent“ (CCA) bezeichnete Softwarekomponente. Es handelt sich dabei um einen Kernel-Object-Treiber, der sich fest in das Windows-System einklinkt. Diese Software ist dann als Dienst auf dem Zielsystem aktiv und überwacht die Aktionen des Benutzers auf dem Desktop. Sie prüft beispielsweise, ob für aktive Programme Modifikationen in der Systemumgebung erforderlich sind, und unterbindet bei Bedarf auch den Zugriff auf Programmfunktionen.

Im Gegensatz zu vielen anderen Desktop-Management-Lösungen arbeitet Appsense auf dem aktiven Desktop. Dadurch werden die Änderungen nicht nur bei der An- und Abmeldung, sondern auch im laufenden Betrieb ausgeführt. Dank CCA muss der Administrator auch nicht auf die Verwendung eines „korrekten Links“ achten: Liegt eine Aktion für „Microsoft Word“ vor, so ist es unerheblich, ob der Anwender das Office-Programm über einen Link auf dem Desktop, das Start-Menü oder die Eingabe von „winword“ unter „Ausführen“ öffnet. Zudem speichert die Software große Teile des Benutzerprofils in einer Datenbank, was dazu dient, die Anmeldezeiten in großen Umgebungen zu verkürzen.

Voraussetzungen und Installation

Die Software unterstützt ausschließlich deutsch- und englischsprachige Windows-Versionen. Als Mindestanforderung für die Agent-Installation nennt der Hersteller einen Rechner mit Windows XP Professional.

Kommen Virtualisierungstechniken zum Einsatz, so zeigt sich die Software sehr flexibel und unterstützt Citrix Xendesktop 4 und 5, Citrix Streaming Clients 1.1 bis 1.3.1, Citrix Offline Plug-in 5.1 bis 6, Microsoft App-V ab Version 4.2, VMware View 3 und höher sowie Symantec Workspace Virtualization und die Symantec Software Virtualization Solution 2.1. Der Systembetreuer kann den Agent auch auf Terminal-Servern von Microsoft und Citrix Xenapp installieren und so die Desktop-Einstellungen zentral steuern.

Über die englischsprachige Website des Herstellers meldeten wir unser Interesse an einem kostenfreien 21-Tage-Test der Software an. Wir erhielten ein Download-Paket mit allen Programmen und einigen englischen PDF-Anleitungen zur Installation und Konfiguration. Wir führten den Softwaretest auf einem aktuellen Windows Server 2008 R2 durch und integrierten die Maschine dazu als Member-Server im Active Directory eines Windows Server 2003 Servers. Zur Datenspeicherung nutzt die Software Microsoft SQL Server in der Version 2000 und höher – auch die Verwendung der kostenfreien Express-Edition ist möglich.

Den Schritten der Anleitung folgend kam unsere Testinstallation nach kurzer Zeit ins Stocken, da wir die angegebene Schaltfläche zur Verknüpfung mit der Datenbank nicht finden konnten. Wir informierten den Hersteller, dieser organisierte in kürzester Zeit eine Web-Session, um den Fehler zu finden. Es stellte sich heraus, dass unser Problem an einigen nicht eingerichteten Features auf dem Server und nicht zuletzt an einem fehlenden Hinweis in der Dokumentation lag. Der Hersteller versicherte uns auf Nachfrage, die Software werde in der Regel durch zertifizierte Partner vor Ort installiert, es sei dabei stets eine Einweisung erforderlich. Appsense Environment Manager und der für den Test eingerichtete Application Manager sind also keine Programme, die der Administrator in Eigenregie in Betrieb nehmen kann.

Um die Agent-Komponente im Testnetzwerk verteilen zu können, installierten wir Appsense Application Manager. Die Lizenzen für Environment Manager beinhalten auch die Nutzung des Application Managers. Verfügt der Anwender bereits über eine Lösung zur Softwareverteilung, so kann er diese aber ebenfalls einsetzen.

Erster Blick auf die Lösung

Environment Manager 8.1 präsentiert sich im modernen Ribbon-Design mit kontextabhängigen Menüinhalten (Bild 1). Die Software und die ebenfalls kontextabhängige HTML-basierte Online-Dokumentation sind komplett in Englisch gehalten. Insgesamt schien uns die Bedienung der Software einfach, sofern der Benutzer zuvor durch eine Kurzeinweisung die wichtigsten Steuerelemente kennenlernen konnte. Die einzelnen Konfigurationen werden wie Dateien geladen und bearbeitet. Dadurch ist der Administrator auch nicht gezwungen, für seine Umgebung eine „allumfassende“ Einheitskonfiguration aufzubauen – was auf die Dauer viel zu unübersichtlich wäre.

Der Systembetreuer kann manuell festlegen, welche Windows-Desktops welche Konfiguration erhalten. Es ist dabei ganz gleich, ob es sich um traditionelle Windows-PCs, virtuelle Maschinen oder Terminal-Server handelt. Im Application Manager, der im Design dem Environment Manager entspricht, definiert der Administrator entsprechende Zuordnungen über die Zugehörigkeit zu OUs (Organizational Units) aus dem Active Directory. Im Test gelang diese Zuordnung über „Deployment Groups“ auf Anhieb.

Client-Rechner holen die Konfigurationseinstellungen aktiv in einem frei definierbaren Intervall beim Server ab. Fällt die Verbindung zum Server einmal aus, so bleiben die zuletzt aktiven Einstellungen erhalten, da der Agent diese XML-Datei auf dem jeweiligen Rechner speichert. Jedes Konfigurationspaket erhält automatisch eine fortlaufende Versionsnummer. Sollten die neuen Einstellungen zu negativen Auswirkungen führen, so kann der Administrator mit wenigen Mausklicks zur vorherigen Version zurückkehren – eine sehr praxisnahe Vorgehensweise, die uns gut gefallen hat.

Flexible Konfiguration

Die Art der Konfiguration erscheint zunächst etwas außergewöhnlich: In den beiden Menüzweigen „Computer“ und „User“ existieren bereits Einträge wie „Startup“, „Shutdown“, „Process Started“ oder „Logon“. An dieser Stelle ordnet der Systembetreuer via Kontextmenü einen neuen Knoten zur Definition von Konfigurationseinstellungen hinzu. Hinter jedem dieser Knoten verbergen sich bestimmte Aktionen. Dazu gehören beispielsweise die folgenden Aufgaben:

Drucker verbinden,

Drucker löschen,

Programme ausführen,

Systemvariablen setzen,

Registry-Einträge ändern oder

Verknüpfungen erstellen.

Der Administrator legt im Zweig „Conditions“ fest, wann diese Aktionen auszuführen sind. So kann er beispielsweise den Drucker- oder Laufwerkzugriff an den Start einer Applikation binden. Im Zweig „Lockdown“ stellt die Software dem IT-Administrator Möglichkeiten zur Verfügung, die noch viel weiter gehen: Hier können sie Schaltflächen und Menübefehle in Programmen gezielt „ausgrauen“ und sie damit dem Zugriff des Benutzers entziehen. Wir haben beispielsweise im Test auf diese Weise die „Wissenschaftliche Ansicht“ des Windows-Taschenrechners unterbunden (Bild 2). So erlaubt das Programm selbst dann eine zusätzliche Berechtigungssteuerung, wenn der Hersteller es gar nicht vorgesehen hat. Dies gilt zumindest für Programme, die für Windows-Standardbibliotheken entwickelt sind – ein Vorteil, den viele Administratoren sicher schätzen werden.

Selbstheilung und Überblick

Programmeinstellungen, die der Anwender „verstellt“ hat, sind für den IT-Support echte Zeitfresser. Fehlt zum Beispiel ein Teil der Eingabemaske, da der Anwender ihn ausgeblendet hat, oder wurden in Tabellenansichten Spalten ausgeblendet, so kann es mitunter mehrere Minuten dauern, bis ein Support-Mitarbeiter feststellen kann, wo der Fehler liegt. Mit der Appsense-Lösung können Support-Mitarbeiter per Speicherung von Programmeinstellungen in der „Personalization“ die ursprüngliche Konfiguration auf dem System mit wenigen Mausklicks gezielt reaktivieren. So können sie in solchen Fällen auf die Suche nach der Störungsursache verzichten, was einen enormen Zeitgewinn bedeutet.

Ein weiteres, besonders praktisches und schönes Feature der Software ist die Fähigkeit zur „Selbstheilung“. Was sich außerhalb der IT-Branche sicherlich nach esoterischem Voodoo anhört dürfte, stellt in der IT eine Erleichterung für den Support dar: Eine Vielzahl von Programmen wie beispielsweise SAP GUI basiert darauf, dass eine Konfigurationsdatei, meist im simplen ASCII-Format, an einem bestimmten Platz im Dateisystem existiert. Wird die Datei gelöscht oder unsachgemäß bearbeitet, so funktioniert das konfigurierte Programm nicht mehr einwandfrei – der Benutzer wendet sich zwangsläufig an den Support. Der Support-Mitarbeiter stellt dann die INI-Datei wieder her, damit alles wieder funktioniert, wie es soll.

Ein Administrator kann genau diese Arbeitsschritte im Environment Manager planen. Dazu wählt er in der Baumstruktur der Software in „Policy Configuration“ unter „User“ im Zweig „Logon“ im Menü „Actions“ die Funktion „Self Heal File“ aus. Hier muss er dann lediglich die gewünschte Datei definieren und entscheiden, auf welche Art die Software eine „Selbstheilung“ vornehmen soll. Das System wird dann entweder die Existenz der Datei sicherstellen oder deren Anlegen verweigern. Änderungen an der Datei kann der Administrator durch das Anhaken von „Ensure the file is never changed“ verhindern. Wir haben während unsere Tests die entsprechende Datei einfach „per Hand“ gelöscht, um festzustellen, dass sie wie von Geisterhand sofort wieder angelegt wurde – ein sehr praxisnaher „Selbstheilungseffekt“.

Es gehört sicher zu den größten Qualen für Administratoren, herausfinden zu müssen, warum eine bestimmte Konfiguration nicht greift – die minutenlange Suche mit „gpresult“ und die anschließende Analyse von „Anmelde-Scripts“ dürfte vielen IT-Profis mehr als bekannt sein. Der Environment Manager stellt zu diesem Zweck mit dem „Configuration Profiler“ eine äußerst elegante Analyse zur Verfügung: Dabei kann der Administrator die verschiedenen Kriterien für den Report und „welche Einstellungen gelten“ beim Aufruf gleich mit eingeben. Auf diese Weise wird dann im Ernstfall auch schnell klar, warum beispielsweise bei der Anmeldung von Benutzer X am PC Y mit Betriebssystem Z kein Drucker zugeordnet wurde.

Fazit: Erleichterte Konfiguration

Environment Manager von Appsense bietet dem Administrator eine große Auswahl an technischen Möglichkeiten und erleichtert dadurch die Umsetzung komplexer Konfigurationsaufgaben. Viele Administratoren werden es als deutlich einfacher empfinden, entsprechende Arbeiten mit der Appsense-Lösung zu erledigen, als diese mithilfe von Windows-Bordmitteln und entsprechend tiefgehenden Kenntnissen zu Batch-Jobs und VB-Skripten bewältigen zu müssen.

Ein weiterer wichtiger Vorteil der Lösung besteht darin, dass sie mittels Personalisierung die Möglichkeit bietet, die Windows-Profile zu abstrahieren. Damit erleichtert sie den Wechsel von Windows XP/2003 zu Windows Vista/2008 und 7 deutlich. Der Listenpreis des Appsense Environment Manager (Flexible Platform Pricing – Named User) liegt bei 60,00 Euro pro Client. Sofern Support für zwölf Monate gewünscht ist, kommen hier in der Basisversion (Silver) nochmals 10,80 Euro pro User hinzu.

Thomas Bär auf LANline.de: BÄR

Frank-Michael Schlede auf LANline.de: Frank-Michael Schlede

Info: Appsense
Tel.: 0811/9986530
Web: www.appsense.com

Bild 3. Der Report des Environment Managers dient dem Systembetreuer zur Analyse, falls erwünschte Zuordnungen nicht korrekt erfolgten.

Bild 2. Berechtigungen generieren, die es eigentlich gar nicht gibt: Der Systembetreuer kann beispielsweise die „wissenschaftliche Ansicht“ im Taschenrechner benutzerspezifisch verbieten.

Bild 1. Mit dem Appsense Environment Manager muss der Administrator keine Anmeldeskripte und Konfigurations-Jobs mehr programmieren, sondern kann viele Konfigurationsaufgaben in der grafischen Oberfläche erledigen.

LANline.