V1.5 ACMP Blog - HedgeDoc

# V1.5 ACMP Blog # Zentralisierte Windows Verwaltung – so steigert ACMP Effizienz und Stabilität ## Einleitung Windows ist in der Arbeitswelt mit großem Abstand das am weitesten verbreitete Betriebssystem. Verschiedene Marktanalysen zeigen seit Jahren ein stabiles Verhältnis von rund 70 bis 75 Prozent Windows‑Systemen gegenüber einem deutlich kleineren Anteil an macOS- und Linux-Clients.*¹* Diese Dominanz wird sich so schnell nicht ändern, denn nahezu jede Altersgruppe ist entweder privat oder beruflich bereits mit Windows in Berührung gekommen. "BILD VERGLEICH RECHTS WINDWOS MARKTANTEIL" Ein weiterer Grund dafür ist die Softwarelandschaft: Ob Office‑Programme wie Microsoft 365, Kreativsoftware wie Adobe oder branchenspezifische Anwendungen – ein Großteil dieser Lösungen läuft primär oder sogar ausschließlich unter Windows. Für den Endnutzer bedeutet das eine intuitivere Bedienung seines Gerätes im Arbeitsalltag. Doch trotz ist Windows kein abgeschlossenes, fehlerfreies System. Sicherheitslücken, neue Anforderungen und komplexe Abhängigkeiten verlangen eine kontinuierliche Pflege. Der Aufwand, der hinter einem sauber laufenden Arbeitsgerät steckt, bleibt den meisten Nutzern verborgen: Betriebssysteminstallation, Softwarebereitstellung, Sicherheitskonfigurationen, Kommunikation mit zentralen Diensten und zuverlässige Fehlerbehebung. In diesem Blogbeitrag möchte ich zeigen, wie **FW Systems** sich von klassischen, oft altmodisch arbeitenden Systemhäusern unterscheidet – insbesondere in der vollständigen Remote‑Verwaltung von Windows‑Geräten mittels **ACMP**. Ziel ist es, eine professionelle, automatisierte und dennoch kosteneffiziente Lösung zu bieten, die dem Endnutzer möglichst wenig Aufwand abverlangt und gleichzeitig höchste Stabilität gewährleistet. --- ## Die Realität vieler altmodischer Systemhäuser Viele klassische Systemhäuser setzen weiterhin stark auf manuelle Prozesse: Geräte werden einzeln eingerichtet, Software wird händisch installiert und Konfigurationen lokal mithilfe von Fernzugriff Lösungen angepasst. Oft existieren veraltete Dokumentationen oder keine klaren Standards. Das führt zu uneinheitlichen Ergebnissen, längeren Lösungszeiten und höheren Kosten. Fehlt zudem eine zentrale Kontrolle, entstehen Sicherheitsrisiken durch unaktuelle Systeme und unsaubere Konfigurationen. Für Unternehmen bedeutet das spürbare Wartezeiten, zusätzliche Kosten und im schlimmsten Fall den komplettausfall der Arbeitskraft des Mitarbeiters durch Geräteprobleme. --- ## Was ist ACMP? ACMP – **Advanced Client Management Platform** – ist eine umfassende Lösung für die zentrale Verwaltung von Windows-Endgeräten. Der Funktionsumfang reicht von der Bereitstellung eines individuell auf den Kunden zugeschnittenen Windows-Betriebssystems bis hin zur vollständig zentralisierten Softwareverteilung. Herzstück der Umgebung ist der **Control Server**, der alle angeschlossenen Geräte über einen installierten **ACMP-Agenten** steuert. Dieser Agent stellt die Kommunikation sicher, empfängt neue Aufgaben – sogenannte *Jobs* – und führt sie automatisiert auf dem Client aus. Zudem hat ACMP umfassenden Zugriff auf Systemressourcen die tiefgreifende Konfigurationen ohne manuellen Aufwand möglich. Für die anwenderfreundliche Gestaltung des Arbeitsplatzes bietet ACMP zusätzlich den sogenannten **Kiosk**. Darüber können Nutzer individuell freigegebene Software selbstständig installieren – kontrolliert und sicher. Über den integrierten Client Manager lassen sich Geräte Mandantengruppen zuordnen. Das ermöglicht nicht nur eine klare Strukturierung, sondern auch die einfache Verteilung grundlegender Sicherheitsrichtlinien: von Microsoft Defender Konfigurationen bis hin zur Verwaltung von BitLocker Laufwerksverschlüsselung --- ## Windows-Deployment mit ACMP: Von PXE bis zum fertigen Client ACMP ist in der Lage, als sogenannter **PXE‑Server** zu fungieren. *PXE (Preboot Execution Environment)* bezeichnet ein Verfahren, bei dem ein Gerät ohne installiertes Betriebssystem direkt über das Netzwerk gestartet wird. Dadurch kann neue Hardware bereits beim ersten Einschalten automatisch vom ACMP-Server erkannt und mit einem passenden Windows‑System versorgt werden – ganz ohne zusätzliche Server oder externe Installationsmedien. Basis hierfür ist eine zuvor auf den Kunden zugeschnittene, angepasste Windows-ISO. Zusätzlich können die benötigten **Gerätetreiber** zu verfügung gestellt werden die während der Betriebssysteminstalltion mitinstalliert werden. Sobald diese angepasste Windows Betriebsystembereitstellung einmal korrekt vorbereitet wurde, kann ACMP vollständig automatisierte Installationen durchführen – von „Null“ bis zur vollständig benutzbaren Windows-Umgebung. Darüber hinaus ist ACMP nicht auf Windows beschränkt: Jedes Gerät, das einen Netzwerkboot unterstützt, kann bespielt werden – einschließlich Linux Derivate wie etwa *Linux Mint*, dass als gute und Ähnlichaussehende Windwos Alternative genutzt werden kann. --- ## Softwareverwaltung: Standardsoftware und "unmanaged" Software ACMP stellt einen eigenen **Managed Software** Bereich zur Verfügung. Darüber können wir gängige Programme besonders einfach in den kundenspezifischen Kiosk aufnehmen. Viele dieser Anwendungen werden von ACMP automatisch mit aktuellen Updates versorgt, was den Pflegeaufwand erheblich reduziert. Da sich dieser Bereich im stetigen Ausbau befindet, wächst die Auswahl kontinuierlich – dennoch kann er naturgemäß nicht alle individuellen Softwarewünsche unserer Kunden abdecken. Für spezielle Anforderungen oder weniger verbreitete Programme nutzen wir zwei alternative Wege: Entweder integrieren wir die Software manuell über den integrierten **Software-Konfigurator** von ACMP oder wir stellen sie mittels **Kommandozeile per Skripten**, häufig in Kombination mit **PowerShell**, zur Verfügung. Diese Vorgehensweise hat sich in der Praxis kontinuierlich verbessert und bildet heute einen zuverlässigen Bestandteil unserer Software-Strategie. Durch diesen Ansatz können wir nicht nur einen stabilen, kontrollierten Updatezyklus für sogenannte *unmanaged Software* sicherstellen, sondern auch neue Anwendungen schnell und flexibel in das System integrieren. Zusätzlich behalten wir die vollständige **Konfigurationskontrolle** über jede Software. Dadurch können wir bereits vor der Installation wichtige Einstellungen setzen – was Endnutzerinnen und Endnutzern eine Vielzahl an Installationsanleitungen oder manuellen Schritten erspart. --- ## Sicherheitsaspekte in ACMP ACMP bietet einen integrierten Sicherheitsbereich, der es ermöglicht, sowohl allgemeine als auch sehr spezifische Regeln für **Microsoft Defender** und die **Windows-Firewall** zu definieren. Dadurch lassen sich individuelle Sicherheitsanforderungen pro Mandant oder Gerätegruppe umsetzen – von grundlegenden Schutzvorgaben bis hin zu fein abgestimmten Regelwerken, die gezielt potenzielle Gefahren blockieren. Ein zentrales Element ist die übersichtliche Sicherheitsübersicht aller verwalteten Clients. Dort werden unter anderem die aktuellen Defender Versionen angezeigt, sodass veraltete Installationen schnell identifiziert und aktualisiert werden können. Das sorgt für ein einheitlich erhöhtes Sicherheitsniveau im gesamten Unternehmen. Ein weiterer wichtiger Bestandteil ist die Verwaltung von **BitLocker**. *BitLocker ist ein Windows eigenes Verschlüsselungssystem, das die Festplatte eines Geräts vollständig verschlüsselt, um Daten vor unbefugtem Zugriff zu schützen – selbst dann, wenn ein Gerät verloren geht oder gestohlen wird.* ACMP erleichtert die Konfiguration erheblich und ermöglicht die zentrale Verwaltung von BitLocker Profilen für sämtliche Clients. Ein weiteres Highlight innerhalb des Sicherheitsbereichs ist der integrierte **Schwachstellen Manager**. Hier fließen kontinuierlich aktuelle sowie bereits bekannte Sicherheitslücken ein, die automatisch gegen alle verwalteten Geräte geprüft werden. So lassen sich potenzielle Risiken frühzeitig erkennen, gefährdete Clients erkannt werden und Sicherheitslücken geschlossen werden können. Sollte Microsoft Defender dennoch einmal auf einem Gerät eine Bedrohung entdecken, erstellt ACMP automatisch einen detaillierten Sicherheitsbericht, übermittelt diesen direkt an unser Ticketing System und setzt auf betroffenen Client die potenzielle Gefahr unter Quarantäne. Dadurch können Gefahren schnell eingegrenzt und effektiv behoben werden. --- ## User-Management mit ACMP Das User-Management spielt in ACMP eine eher unterstützende, aber dennoch wichtige Rolle. Grundsätzlich arbeitet ACMP immer mit den Rechten, die auf dem jeweiligen Gerät vorhanden sind. Da meistens Endnutzerinnen und Endnutzer aus Sicherheitsgründen keine administrativen Rechte auf ihren Arbeitsgeräten besitzen sollten, wäre die Ausführung mancher Aufgaben – wie Installationen oder Systemanpassungen – im Normalfall eingeschränkt. Um dennoch eine reibungslose Verwaltung sicherzustellen, legen wir auf jedem Client einen speziellen **ACMP-Systembenutzer** an. Dieser wird ausschließlich vom ACMP-Server genutzt, wenn Aufgaben Administratorrechte erfordern. Auf diese Weise können wir Installationen, Updates oder Konfigurationsänderungen zentral durchführen, ohne das manuelle Inputs des Kunden nötig sind oder den Nutzer mit zusätzlichen Rechten ausstatten zu müssen. Diese Methode verbindet hohe Sicherheit mit maximaler Flexibilität und sorgt dafür, dass ACMP alle notwendigen Aufgaben zuverlässig im Hintergrund ausführen kann. --- ## Auswirkungen für Endnutzer Im Optimalfall erhält der Endnutzer ein vollständig vorbereitetes Arbeitsgerät, das bereits alle benötigten Treiber sowie eine grundlegende Softwarekonfiguration enthält. Dank der vorherigen PXE-Installation und des zentral gesteuerten Setups ist das Gerät sofort einsatzbereit. Über den Kiosk kann der Nutzer anschließend zusätzliche, für seine Arbeit relevante Software selbstständig auswählen und installieren. Diese kontrollierte Individualisierung sorgt dafür, dass das Gerät sowohl sicher als auch passend für den jeweiligen Mitarbeiter Nutzbar ist. Zusätzlich durch den zentralen Updatezyklus von ACMP muss der Endnutzer weder Updates selbst anstoßen noch manuelle Systemkonfigurationen vornehmen. Wichtige Anpassungen und sicherheitsrelevante Änderungen werden automatisch im Hintergrund durchgeführt. Die wenigen Eingriffe, die Nutzer dennoch vornehmen müssen, hängen meist mit systemseitigen Beschränkungen oder fehlenden Automatisierungsmöglichkeiten zusammen – also dort, wo Windows oder die jeweilige Software einen manuellen Bestätigungsschritt zwingend verlangen. Alles in allem profitieren Endnutzer von einem zuverlässigen, stabilen und wartungsarmen Gerät, das ihnen erlaubt, sich vollständig auf ihre Arbeit zu konzentrieren. --- ## Infrastruktur-Anforderungen für ACMP Auf den ersten Blick wirkt ACMP aufgrund seiner umfangreichen Funktionen wie ein sehr komplexes System. Mit den ersten praktischen Erfahrungen zeigt sich jedoch schnell, dass der Umgang damit deutlich intuitiver ist, als wir zunächst vermuteten. Kernstück der Infrastruktur ist ein **Windows-Server**, auf dem der ACMP-Server – der zentrale *Control Server* der bei nur bei FW Systems besteht und nicht noch zusätzlich im Kundennetzwerk aufgesetzt werden muss. Von dort aus steuert er alle angebundenen Endgeräte die Sicher an diesen per Gateway Zertifikat sich autentifizieren und über dieses Kommunizieren. Zusätzlich muss eine Netzwerkverbindung zwischen Server und den Client-Netzwerken gewährleistet sein, damit die Agenten zuverlässig kommunizieren können. --- ### Vergleich: ACMP und Microsoft Intune ACMP und Microsoft Intune bieten beide umfangreiche Möglichkeiten zur Verwaltung von Windows Endgeräten. Sie verfolgen jedoch unterschiedliche Ansätze, die je nach Unternehmensstruktur Vorteile bieten. Die größten Unterschiede liegen in Infrastruktur, Flexibilität und Integrationsgrad. On Premises Kontrolle und Cloud Ausrichtung ACMP arbeitet klassisch on premises über einen eigenen Control Server. Das ermöglicht Unternehmen eine präzise Kontrolle über ihre Geräte, Daten und Automatisierungen, ohne externe Abhängigkeiten. Intune hingegen ist vollständig Cloud basiert. Dadurch entfällt der Betrieb lokaler Systeme und Geräte lassen sich standortunabhängig verwalten – besonders vorteilhaft bei stark verteilten oder mobil arbeitenden Teams. ### Flexibilität und Steuerungstiefe ACMP bietet durch den installierten Agenten einen tiefen Zugriff auf lokale Windows Installationen. Individuelle Software, komplexe Konfigurationen oder ältere Fachanwendungen lassen sich dadurch sehr flexibel integrieren. Intune setzt stärker auf Richtlinien, Compliance Regeln und Cloud Prozesse. Das ist ideal für standardisierte Windows Umgebungen und moderne Cloud Arbeitsplätze, insbesondere wenn bereits Microsoft 365 und Azure AD genutzt werden. ### Kosten und Betrieb Sowohl ACMP als auch Intune verursachen laufende Kosten pro Client – in unterschiedlicher Form. Intune ist oftmals in Microsoft 365 Plänen enthalten oder wird zusätzlich lizenziert. Die Kosten steigen dabei mit der Anzahl der Nutzer und Geräte. ACMP wird als klassische Client Management Lösung lizenziert und durch euren Betreuungsservice pro Endgerät ergänzt. Die Gesamtkosten bleiben planbar und sind nicht an wechselnde Lizenzmodelle oder neue Produktpakete bei Microsoft gebunden. Besonders in größeren Umgebungen kann dies wirtschaftliche Vorteile bieten. ### Sicherheitsfunktionen ACMP bietet ein integriertes Schwachstellenmanagement, fein gesteuerte Softwareverteilung und lückenlose Kontrolle über lokale Sicherheitsupdates. Intune punktet mit der engen Integration in Microsoft Defender, Conditional Access und Azure AD. Dadurch lässt sich die Sicherheit stark an Cloud Identitäten koppeln und automatisiert steuern. ### Fazit Beide Systeme haben klare Stärken – entscheidend ist, welche Ziele ein Unternehmen verfolgt: ACMP überzeugt durch tiefe Systemkontrolle, hohe Flexibilität und die Möglichkeit, auch komplexe oder maßgeschneiderte Umgebungen zuverlässig abzubilden. Intune eignet sich für Cloud orientierte Strukturen, mobile Nutzer und klar standardisierte Geräteflotten. Für uns als Open Source orientiertes Systemhaus bietet ACMP einen zusätzlichen Mehrwert: Wir sind weniger abhängig von proprietären Microsoft Strukturen, behalten mehr Kontrolle über Datenwege, sowie Speicherorte und können Lösungen deutlich freier an individuelle Kundenbedürfnisse anpassen. Gleichzeitig bleiben Kosten transparent und stabil, ohne dass sie durch externe Lizenzänderungen beeinflusst werden. Diese Unabhängigkeit und Flexibilität ermöglicht es uns, moderne Windows Verwaltung wirtschaftlich, datensouverän und kundenorientiert bereitzustellen.