Microsoft Desktop OptimizationPack MDOP hilft Admins mit wichtigen Tools. Das MDOP wird mit Windows 10 inkludiert in die SA sein, also keine extra-Kosten verursachen! Damit wird der Inhalt nochmal wichtiger als Argument für die SA.

MDOP ist eine Produktsuite, mit der Sie Bereitstellung, Verwaltung und Support von Desktop im gesamten Unternehmen optimieren können. MDOP ist als Zusatzabonnement für Software Assurance-Kunden verfügbar.

Versionsverlauf

MDOP 2015  29.7.15 Mit Windows 10
MDOP 2014 R2 08.12.2014 App-V 5.0 SP3, UE-V 2.1
MDOP 2014 01.05.2014  MBAM 2.5, App-V 5.0 SP2
MDOP 2013 R2 02.12.2013 auf Windows 8.1, Windows Server 2012 R2 sowie System Center 2012 R2 abgestimmt.
MDOP 2013 01.04.2013
MDOP 2012  01.11.2012
Inhalte

Es besteht mittlerweile aus 6 Komponenten, die nur zusammen erworben werden können:

  • VERALTET: Software Asset Management mit Asset InventoryServices (AIS): Der Dienst wird am 3. April 2013 eingestellt, Kunden können bereits aktivierte Lizenzen gegen solche von Windows Intune eintauschen.
  • VERALTET: Desktopüberwachung bzw. Fehlerberichterstattung mit System Center Desktop Error Monitoring (DEM)
  1. Verwaltung von Gruppenrichtlinien mit Advanced Group Policy Management (AGPM)
  2. Anwendungsbereitstellung mit Application Virtualization (App-V)
  3. Management von Systemausfällen mit Diagnostic and Recovery Toolset (DaRT)
  4. BitLocker Administration and Monitoring (MBAM)
  5. Management virtueller Desktops mit Enterprise Desktop Virtualization (MED-V): End of Life, da auch der XP Mode unter Windows 8 nicht mehr existiert.
  6. NEU seit v 2012: User Experience Virtualization (UE-V) für die Virtualisierung des Benutzerstatus
Für unter 10 Euro pro Arbeitsplatz und Jahr erhalten Firmen ein Paket aus 6 Produkten. –> Ab Windows 10 ist MDOP in der SA ohne Zusatzkosten inkludiert.
Seit dem Anniversary Update von Windows 10 (=ver 1607) sind App-V und UE-V in der Windows 10 Enterprise und Education Edition inkludiert (Quelle).
TechConsult-Studie belegt den Nutzen: http://www.techconsult.de/download/pdf/techconsult%20-%20Desktop%20Optimization%20Studie%202010.pdf. IDC recently estimated that when MDOP solutions are fully utilized, the increased productivity and automation of systems can save an average company nearly $200 per PC per year. That’s a 36% reduction in annual cost. Coupled with productivity gains and elimination of third-party software, hardware and additional software licensing costs, operational savings can top $500 per year per PC.
MDOP-Abonnenten können die Software im Microsoft Volume Licensing Service Center herunterladen. MDOP ist außerdem zu Test- und Evaluierungszwecken für MSDN– und TechNet-Abonnenten entsprechend den MDSN- bzw. TechNet-Verträgen erhältlich.
Genauere Erklärung der einzelnen Komponenten:

Application Virtualization (App-V)

Mit den in Microsoft Application Virtualization (App-V) verfügbaren Verwaltungsfunktionen können Anwendungen auf Endbenutzercomputern zur Verfügung gestellt werden, ohne die Anwendungen direkt auf diesen Computern zu installieren. Genauere Erklärung von App-V hier bei uns.

In der Version 5.0 SP3 kamen virtuelle Application Connection Groups dazu. Diese erlauben das Gruppieren einzelner App-V Pakete,

Aktuelle Version: 5.1

Diagnostic and Recovery Toolset (DaRT)

Mit Microsoft Diagnostics and Recovery Toolset (DaRT) 10 können Sie einen Computer diagnostizieren und reparieren, der nicht gestartet werden kann oder bei dem beim Starten Probleme auftreten. Zudem können Sie mit DaRT 10 nicht mehr funktionierende Endbenutzercomputer wiederherstellen, potenzielle Problemursachen diagnostizieren und nicht mehr startende oder gesperrte Computer schnell reparieren. Bei Bedarf haben Sie die Möglichkeit, wichtige verloren gegangene Dateien schnell wiederherzustellen und Schadsoftware auch dann zu erkennen und zu entfernen, wenn der Computer offline ist.
Mit DaRT 10 können DaRT-Wiederherstellungsabbilder in den Dateiformaten ISO und Windows-Image (WIM) erstellt und auf CDs und DVDs gebrannt oder auf USB kopiert werden. Die Wiederherstellungsabbilder können dann eingesetzt werden, um sie lokal oder in einer Remote- bzw. Wiederherstellungspartition bereitzustellen.

Aktuelle Version: DaRT 10 – Windows 10

Advanced Group Policy Management (AGPM)

Mit der Erweiterten Gruppenrichtlinienverwaltung von Microsoft erweitern Kunden den Funktionsumfang der Gruppenrichtlinien-Verwaltungskonsole (GPMC) um Änderungssteuerungs- und verbesserte Verwaltungsfunktionen.

  • Offline Editing: Bevor eine Gruppenrichtlinie ausgerollt wird, kann sie offline getestet werden und dann freigegeben.
  • Versionskontrolle: Ein- und Auschecken beim Editieren von Gruppenrichtlinien, alte GP-Versionen wiederherstellen.
  • Rollenbasiert: Einer editiert, ein anderer gibt frei, ein dritter kann die GP ausrollen.

Aktuelle Version: AGPM 4.0 SP3

BitLocker Administration and Monitoring (MBAM)

Microsoft BitLocker Administration and Monitoring (MBAM) stellt Kunden eine Administratoroberfläche zur unternehmensweiten Laufwerksverschlüsselung mit BitLocker zur Verfügung. Die aktuelle Ausführung unterstützt die mit Windows 8 eingeführten Bitlocker-Funktionen, darunter Used Disk Space Only Encryption, bei der nur die Bereiche eines Laufwerks verschlüsselt werden, die mit Daten belegt sind. Zusätzlich können Encrypted Hard Drives von Windows 8-Geräten genutzt werden. Diese spezialisierten Platten übernehmen die eigentliche Verschlüsselungsarbeit und reduzieren so den Zeitaufwand. MBAM 2.0 und BitLocker kümmern sich in diesem Fall nur noch um die Schlüsselverwaltung.

MBAM 2.5 : Unterstützung von Federal Information Processing Standard (FIPS) 140-2 durch entsprechende Recovery-Key-Passwort von Windows 8.1 oder auch den Data Recovery Agent (DRA) von Windows 7 und 8.

Über MBAM können Gruppenrichtlinien-Vorlagen verwendet werden, um Usern eine bestimmte Policy für die Verwendung von BitLocker vorzuschreiben und die Compliance überprüfen. So können User gezwungen werden, die Festplattenverschlüsselung zu aktivieren oder eine einheitlich Länge des Schlüssels zu verwenden. Bei definierten Endgeräten können wiederum die Vorgaben zum Beispiel zur Schlüssellänge verschärft werden.

Über eine MBAM-Adminkonsole kann BitLocker definiert und ausgewertet werden. Alternativ kann der System Center Configuration Manager 2007 oder System Center 2012 Configuration Manager hierfür genutzt werden. Es ist also möglich den MBAM Client mit SCCM 2007 /MDT 2010 oder höher zu deployen. Administratoren können definieren, welche Hardwaretypen verschlüsselt werden müssen und welche nicht.

Für MBAM wird ein SQL2008 R2 Enterprise Server oder höher benötigt, da die Standard Edition nicht das “Encrypt Recovery Data” Feature unterstützt.

Selfservice-Portal

Damit ein User nicht in der HelpDesk-Abteilung anrufen muss, wenn er seinen PIN vergessen haben sollte, gibt es mit MBAM ein Selfservice-Portal, um einen Recovery Key anzufordern:

Integration in SCCM

Optional kann MBAM mit System Center 2012 Configuration Manager bzw. 2007 verwendet werden. Hierüber können dann Compliance-Auswertungen erstellt werden.

Treibende Themen

Bis zu 399 US-Dollar betragen die Gesamtbetriebskosten pro Nutzer einer Lösung zur Festplattenverschlüsselung, so die Ponemon-Studie „The Total Cost of Ownershipfor Full Disk Encryption“. Den größten Kostenblock stellt dabei der Aufwand für Administration und Betrieb dar, nicht etwa Lizenz und Wartung. Zu den häufigsten Supportfällen bei Festplattenverschlüsselung gehört der Verlust des Kennworts. Die Ponemon-Studie hat für den deutschen Markt Gesamtkosten von mehr als 14 US-Dollar pro Nutzer und Jahr für das Zurücksetzen des Kennworts/PIN ermittelt, die durch Aufwand auf Seiten der Administratoren und durch Wartezeit der Nutzer entstehen.

Aktuelle Version: MBAM 2.5 SP1

User Experience Virtualization (UE-V)

Mit Microsoft User Experience Virtualization (UE-V) werden Einstellungen erfasst und zentral gespeichert. Dann werden sie auf Computer wie Desktopcomputer, Laptops und VDI-Sitzungen angewendet, auf die der Benutzer zugreift. Administratoren können mithilfe von UE-V festlegen, welche Anwendungseinstellungen und Windows-Einstellungen per Roaming übertragen werden. UE-V stellt eine verbesserte User State Virtualization-Funktionalität bereit.

Treibendes Thema hierzu ist die Verwendung mehrerer Devices für einen User, um diesen eine konsistente Umgebung auf verschiedenen Desktops und Geräten zu bieten.

UE-V hat eigentlich weniger etwas mit Virtualisierung zu tun. Vielmehr werden Einstellungen zentral gehalten und synchronisiert.

„Virtualisierung der Benutzerfreundlichkeit“ bzw. doch lieber auf englisch: User Experience Virtualization meint folgende Roaming-Einstellungen (Einstellungen, keine Dokumente und Dateien!) für die persönliche Arbeitsumgebung:

  • Anwendungseinstellungen, wie z.B. Benutzername und Menüanpassungen
  • Benutzereinstellungen zwischen Instanzen einer Anwendung, die mithilfe verschiedener Methoden bereitgestellt werden:
    • Installierte Anwendungen
    • Sequenzierte Application Virtualization (App-V)-Anwendungen
    • RemoteApp (Remote Desktop Virtualization)-Anwendungen
    • Seit Version 2012 R2 auch Windows Store Apps
  • Windows-Betriebssystemeinstellungen wie Desktop-Hintergrundbild, Startmenü, Sprunglisten und seit v2.1 auch Support für das Roaming der Windows Credentials
  • Backup und Restore von Einstellungen für einen Computer nach Austausch, Hardwareupgrade oder Reimaging
  • Internet Explorer Favoriten, Homepage,…
  • Seit v2.1: Support für externe Storage-Einstellungen, wie z.B. OneDrive for Business

Funktionsweise

Wenn Benutzer an ihren Computern arbeiten, werden die Anwendungseinstellungen und Windows-Einstellungen von UE-V überwacht. Die Werte für die Anwendungseinstellungen werden auf dem Einstellungsspeicherserver (Settings Storage Location) gespeichert, wenn der Benutzer die Anwendung schließt. Der Einstellungsspeicherort ist eine Dateifreigabe, auf die vom Virtualisierung der Benutzerfreundlichkeit-Agenten zum Lesen und Schreiben von Einstellungen zugegriffen wird. Dieser Speicherort ist entweder das Active Directory-Basisverzeichnis oder ein während der UE-V-Installation definierter Speicherort.

Die Werte für die Windows-Einstellungen werden gespeichert, wenn sich der Benutzer abmeldet, wenn der Computer gesperrt ist oder wenn der Benutzer eine Remoteverbindung zu einem Computer trennt. Ein Administrator kann eine UE-V-Einstellungsortvorlage erstellen, um festzulegen, welche Anwendungseinstellungen im Unternehmen per Roaming übertragen werden. UE-V beinhaltet eine Reihe von Einstellungsortvorlagen für bestimmte Microsoft-Anwendungen und Windows-Einstellungen. Die Einstellungsortvorlage ist eine XML-Datei, in der festgelegt ist, welche Datei- und Registrierungsorte welcher Anwendungs- oder Betriebssystemeinstellung zugeordnet sind. Die Vorlage enthält keine Werte für diese Einstellungen; Sie beinhaltet nur die Speicherorte der zu überwachenden Einstellungen.
Dazu wird ein UE-V Agent auf den Clients installiert (z.B. per SCCM oder Microsoft Deployment Toolkit, Gruppenrichtlinie oder anderen Werkzeugen) und bezieht sich dann auf den Ordnerpfad: C:\Users\Username .

UE-V versus User State Virtualization versus Roaming Profiles

Roaming Profiles kamen bereits zu Zeiten von NT4 auf den Markt. Im Unterschied zu Roaming Profiles überträgt UE-V nicht alle Einstellungen beim Login bzw. Logout des Users, sondern abhängig von bestimmten Aktionen. UE-V wird erst aktiv, wenn der User eine Anwendung startet (Einstellungen werden geladen) oder sie beendet (Änderungen werden zentral gespeichert). Damit reduzieren sich die Wartezeiten beim An- und Abmelden am System.
Eine Besonderheit von UE-V besteht darin, dass Einstellungen zwischen klassisch installierten Anwendungen und per App-V virtualisierten Anwendungen abgeglichen werden können. Erstere speichern ihre Einstellungen normalerweise im Benutzerprofil, App-V verwaltet sie dagegen innerhalb der Anwendungspakete.
Ein weiterer Unterschied zu Raoming Profiles besteht darin, dass UE-V die Konfigurationsdaten nicht einfach alle synchronisiert, sondern nur die, die explizit vom Administrator definiert wurden.

UE-V im Vergleich zu anderen Microsoft Produkten:

User State Virtualization meint die Themen Roaming Profiles, Ordnerumleitung und Offline-Dateien.

Wettbewerb:

  • RES Workspace Manager
  • Appsense
  • Flex Profiles von immidio

Aktuelle Version: UE-V 2.1 SP1