nach dem angekündigten Verkaufsstop von Windows XP und dem Vorliegen der ersten Servicepacks für Vista und 2008 steigt das Bedürfnis auch diese Windowsversionen mit opsi verwalten zu können.
Im folgenden wollen wir Sie informieren über:
1. den Terminplan
2. das Finanzierungsprojekt
3. die technischen Konzepte und Aufwände
1. Terminplan
Wir haben uns daher entschlossen eine opsi Unterstüzung für Vista für den 1. September 2008 anzukündigen.
Den Termin können wir benennen und halten, da wir schon eine laufende alpha Version haben.
Die Freigabe der Vista-Unterstützung als Opensource unterliegt aber einem Finanzierungsvorbehalt:
Die Kosten für die bisher getätigten und noch zu erledigenden Arbeiten müssen gedeckt sein, bevor wir die Ergebnisse 'verschenken' können.
Das bedeutet konkret: bis die angesetzten Kosten gedeckt sind, bekommen nur diejenigen die fertige Version, die sich auch an der Finanzierung beteiligen.
2. Finanzierungsprojekt
Nach unserer Kalkulation beträgt der Gesamtaufwand für die notwendigen Arbeiten 25 000 Euro.
Dies ist mehr, als ein einzelner opsi-Kunde (der zudem vielleicht nur drei Vista-Rechner betreuen muss) bezahlen möchte.
Wenn sich aber mehrere opsi-Anwender den Aufwand teilen, handelt es sich für jeden um eine lohnende Investition, mittels derer sich die zukünftige Administrationsarbeit erleichtert.
Die uib gmbh schlägt also vor, die notwendigen Mittel zur Erstellung des Vista-Supports in opsi auf mehrere opsi-Anwender zu verteilen.
In der Praxis ist die gemeinsame Finanzierung eines Projektes zwischen Firmen ungewöhnlich und genauso wie andere Teile von Opensource Business-Modellen noch etwas gewöhnungsbedürftig.
Daher sei klargestellt:
Sie können und sollen uns nicht Geld schenken, sondern eine bestimmte Leistung beauftragen, die Sie dann auch bekommen.
Diese Leistung ist dabei eine bestimmte Teilmenge der opsi-Erweiterung für Vista, wie z.B. die Umstellung des Starts der OS-Installation auf Windows-PE.
Für die Erstellung dieser Teilleistung bezahlen Sie uns einen Teilbetrag des Gesamtaufwandes der Vista-Unterstützung.
Der Teilbetrag ist aber erst dann zu bezahlen, wenn eine vollständige Vista-Integration in opsi vorliegt.
Dies wird als Abnahmekriterium im Angebot festgelegt.
Der Teilbetrag soll 2.000 Euro nicht unterschreiten.
Die produktive Vista-Unterstützung erhalten Sie spätestens im September, aber nur wenn Sie sich an der Finanzierung beteiligt haben.
Im Rahmen der Entwicklung werden wir evtl. eine noch nicht für den Produktivbetrieb geeignete alpha Version der opsi-Community vorstellen.
Wenn Sie Interesse an einer Vista/2008-Unterstützung und damit an der Beauftragung einer Teilkomponente haben oder Fragen hierzu haben, so kommen Sie auf uns zu.
3. technischen Konzepte und Aufwände
Für eine Unterstützung von Vista durch opsi sind bei der OS-Installation und im opsi-preloginloader erhebliche Umbauten notwendig.
Die notwendigen Arbeiten zur Vista-Unterstützung durch opsi sind:
OS-Installation:
- Erstellung von opsi-Winst-Skripten zur automatisierten Erzeugung und Anpassung eines Windows-PE 2.0 Images auf der Basis der Original-DVD des opsi-Anwenders.
- Erweiterung des Tools ms-sys im opsi-Linux-Bootimage um die Möglichkeit Master-Boot-Records und Partition-Boot-Records für Windows Vista schreiben und damit Windows-PE 2.0 von Festplatte booten zu können.
- Aufnahme neuer benötigter Tools und Erweiterungen in das Opsi-Linux-Bootimage
- Erweiterungen im Opsi-Linux-Bootimage an den Bibliotheken zur Partitionierung und NT60-spezifischen Vorbereitung von Festplatten.
- Erstellung des Skripts zur Einleitung der Vista-Installation im Opsi-Linux-Bootimage.
- Vorbereitung einer generalisierten unattend.xml zur Steuerung der automatisierten Vista-Installation mit opsi, mit der Möglichkeit die Konfiguration Client-spezifisch anzupassen.
- Anpassung von Windows-PE 2.0 zur Automatisierung der Vista-Installation mit opsi.
- Erstellung von Skripten zur automatischen Integration von benötigten Treibern in die Vista-Installation.
- Überarbeitung der Skripte zum Start der Installation des opsi-preloginloaders
- Erstellung der Dokumentation
opsi-preloginloader:
Das umfangreiche und völlig neue Sicherheitskonzept von Vista soll verhindern, dass Viren und Trojaner ins System gelangen können. Dies hat aber zur Folge, dass unter Vista auch "die Guten", wie z.B. der opsi-preloginloader, eine wesentlich größere Hürde zu überwinden haben um die Installations-Autorität zu erlangen.
Vista bringt Änderungen mit sich, die an einigen zentralen Stellen des preloginloaders eine völlig neue Vorgehensweise erforderlich machen.
Im Gegensatz zu Win2000/WinXP laufen unter Vista die Dienste in einer eigenen Session, die keinen Zugriff mehr hat auf Bildschirm und Tastatur (Stichwort "Session 0 Isolation on Services and Drivers"). Ein direkter Zugriff vom opsi-prelogin Service auf den Logon Desktop ist unter Vista somit nicht mehr möglich.
Hier müssen andere Wege gegangen werden.
Mit Windows Vista wurde auch eine völlig neue Benutzerrechteverwaltung eingeführt (Stichworte UAC "User Account Control" und LUA "Least-Privilege User Account").
Wer schon einmal mit Vista zu tun hatte kennt die daraus resultierenden ständigen Popup-Meldungen.
Ein Überblick zum Thema UAC ist im Microsoft Technet zu finden unter dem Titel "Understanding and Configuring User Account Control in Windows Vista".
Unter Vista haben im Gegensatz zu Win2000/WinXP die Mitglieder der Administratorengruppe (so auch der Pseudo-Benutzer "pcpatch") nur eingeschränkte Zugriffsrechte. Die benötigten erweiterten Zugriffsrechte müssen explizit und fein granuliert gesetzt werden.
Auch die Funktion opsi-Loginblocker muss grundsätzlich anders implementiert werden, da es unter Vista keine GINA-Authentifizierung mehr gibt.
Die Aufgaben im einzelnen sind folgende:
- Erstellung von angepassten preloginloader Modulen
- Unterbinden der UAC-Popups während der Installation.
- Erstellung eines Ersatzes für den opsi-Loginblocker.
- Erweiterungen für Vista im opsi-Winst
- Erstellung der Dokumentation
Wir hoffen Ihr Interesse an diesem Projekt zu haben
und freuen uns auf Ihre Rückmeldung
hier oder an info@uib.de
mit freundlichen Grüßen
detlef oertel