Windows 10 in Unternehmen: Unterschiede zwischen Home, Pro und Enterprise

Unternehmen und Profis, die auf Windows 10 setzen wollen, verwenden meistens die Editionen Pro und Enterprise. In einigen Unternehmen sind zwar auch Windows 10 Home-Rechner im Einsatz, allerdings eher bei Heimarbeitsplätzen oder auf Notebooks, die Anwender unterwegs nutzen. Der Einsatz der Home-Edition im professionellen Umfeld kann nicht empfohlen werden. Die meisten Firmen setzen auf Windows 10 Pro, wobei auch in der Enterprise-Edition einige interessante Funktionen enthalten sind, die der Pro-Edition fehlen. Für Schulen und Bildungseinrichtungen steht noch die Education Edition zur Verfügung. Diese bietet nahezu die gleichen Funktionen wie Windows 10 Enterprise.

Welche Business-Optionen bietet Windows 10 Home?

Vor allem in kleinen Unternehmen, bei Freiberuflern oder auf Heimarbeitsplätzen kommt vereinzelt Windows 10 Home zum Einsatz. Administratoren sollten beim Einsatz die fehlenden Funktionen im Vergleich zu Windows 10 Pro berücksichtigen.

Windows 10 Home kann kein Mitglied von Active Directory-Domänen werden und daher auch keine Gruppenrichtlinien nutzen. Allerdings können Administratoren Unternehmens-Apps auch auf der Home-Edition installieren. Auch das Sideloading von Unternehmens-Apps ist möglich. Mobile Geräte lassen sich auch auf Basis von Windows 10 Home ebenfalls verwalten.

Microsoft Passport, die Verwendung von Logins für Unternehmensressourcen und Cloudumgebungen, lässt sich ebenfalls mit Windows 10 Home nutzen. Auch die Geräteverschlüsselung lässt sich mit Windows 10 Home nutzen. Allerdings können Datenträger nicht mit Bitlocker verschlüsselt werden. Diese Funktionen sind den Editionen Pro, Enterprise und Education vorbehalten.

Die Installation von Windows Updates lässt sich in Windows 10 Home kaum bis gar nicht beeinflussen. Neue Updates werden automatisch auf Rechnern mit Windows 10 Home installiert. Microsoft betrachtet Windows 10 Home als Testumgebung. Erst wenn neue Funktionen auf Rechnern mit Windows 10 Home laufen, werden diese für die Editionen Pro/Enterprise freigegeben. Hier haben Administratoren außerdem die Möglichkeit die Installation von Updates zu verhindern oder zumindest zu verzögern.

Windows 10 Pro als beliebteste Version für Unternehmen

In Unternehmen wird häufig Windows 10 Pro eingesetzt. Das ist auch die Edition auf die von Windows 7 Professional und Ultimate aktualisiert wird. Für die meisten Unternehmen reicht Windows 10 Pro aus. Diese Edition kann Mitglied von Active Directory-Domänen werden, unterstützt Gruppenrichtlinien und kann Festplatten mit Bitlocker verschlüsseln. Außerdem ist in dieser Edition auch Hyper-V enthalten, mit dem Administratoren eigene virtuelle Computer erstellen können. Der Remotedesktop ist ebenfalls Bestandteil ab Windows 10 Pro. Damit lassen sich Rechner über das Netzwerk fernsteuern.

Ab Windows 10 Pro lässt sich auf Arbeitsstationen auch Hyper-V nutzen. Hier stehen die gleichen Neuerungen zur Verfügung, wie auch in Windows Server 2016 (Screenshot: Thomas Joos).

Anwender, die auf Windows 10 Pro setzen, können ihren Rechner auch in Azure Active Directory anbinden und den Business Store für Windows 10 nutzen. Dieser bietet Unternehmen die Möglichkeit massenhaft bestimmte Anwendungen zu kaufen und auf angebundene Rechner zu verteilen, ohne dass Anwender die Apps selbst kaufen müssen. Die vom Unternehmen erworbenen Apps lassen sich im internen Netzwerk in eigenen Portalen anzeigen und von Rechnern mit Windows 10 Pro erwerben. Dazu ist Windows 10 Home nicht in der Lage. Kleine Unternehmen profitieren von der Lösung ebenfalls, da sie im Store eine eigene kleine Einheit mit erworbenen Apps erschaffen können, auf die Windows 10 Pro-Rechner des Unternehmens zugreifen können. Reichen die Funktionen von Windows 10 Pro nicht aus, können Administratoren Rechner problemlos zu Windows 10 Enterprise aktualisieren.

Enterprise Data Protection – Datensicherheit für Unternehmen

Ebenfalls Bestandteil von Windows 10 Pro ist Enterprise Data Protection (EDP). Allerdings setzt diese Funktion den Betrieb einer Mobile Device Management (MDM)-Lösung voraus. Beispiele dafür sind Microsoft Intune und System Center Configuration Manager. In EDP lassen sich auf Notebooks private Daten von geschäftlichen Daten trennen. Die geschäftlichen Daten können von Administratoren über das Internet gelöscht werden, ähnlich zu den Funktionen von Remote Wipe in Exchange oder Office 365.

Außerdem arbeitet EDP mit Active Directory-Rechteverwaltung zusammen. Speichern Anwender wichtige Daten ab und lassen diese mit den Active Directory-Rechteverwaltungsdiensten absichern, dann bleiben die Daten auch dann gesichert, wenn sie an einen anderen Speicherort verschoben oder mit Outlook per E-Mail versendet werden.

Mit EDP können Administratoren außerdem verhindern, dass unsichere Apps auf Endgeräten installiert sind. EDP kann in dieser Hinsicht Rechner und Notebooks mit Windows 10 Pro ansprechen, aber auch Tablets. EDP kann aktiv in die Verwendung des Rechners eingreifen und bestimmte Aktionen verhindern. Konfigurationen von Anwendern, zum Beispiel die Freigabe von Daten, können von EDP aktiv angepasst und die Einstellungen der Anwender überschrieben werden. Außerdem kann EDP die Verwendung der Unternehmensdaten und -Apps aktiv überwachen.

Bessere Steuerung von Windows-Updates mit Windows 10 Pro

Windows 10 Pro unterstützt Windows Update for Business. Hier haben Administratoren die Möglichkeit genau zu steuern wann und ob Updates installiert werden können. Diese Steuerung lässt sich auch über Gruppenrichtlinien vornehmen. Über diese können Administratoren auch steuern ob Updates für andere Windows 10-Rechner im Netzwerk zur Verfügung gestellt werden sollen. Auch die Bandbreite der Übertragung lässt sich an dieser Stelle festlegen.

Windows Update for Business und andere Windows-Update-Einstellungen lassen sich auch über Gruppenrichtlinien verwalten (Screenshot: Thomas Joos).

Administratoren können über Windows Update for Business so genannte „Verteilungsringe“ festlegen. Über die kann gesteuert werden, wann Rechner neue Updates erhalten sollen. Die Technik ist bereits in der Konfiguration für neue Insider Builds für Previews von Windows 10 enthalten. Hier können Anwender festlegen ob sie im Verteilungsring „slow“ oder „fast“ sein wollen. Abhängig von der Auswahl werden die Updates dann schneller oder langsamer bereitgestellt.

In den Einstellungen für Windows Update können Administratoren den Verteilungsring für Aktualisierungen festlegen (Screenshot: Thomas Joos).

In Windows Update for Business stehen hier noch mehr Optionen zur Verfügung. Administratoren können zum Beispiel Wartungsfenster definieren an denen Updates installiert werden können.

In diesem Zusammenhang spielt auch die Funktion „Current Branch for Business“ eine Rolle. Auch diese Technik wird ab Windows 10 Pro unterstützt. Hier werden Updates erst dann in Windows 10 Pro/Enterprise zur Verfügung gestellt, wenn im Consumerbereich durch das Zwangsupdate in Windows 10 Home keine Probleme aufgefallen sind. Außerdem haben Administratoren die Möglichkeit auf erfolgreiche interne Tests zu warten, bis Updates auf diesem Weg freigeschaltet werden. Die Technik wird vor allem zusammen mit Windows Server Update Services (WSUS) eingesetzt. Microsoft zeigt die Vorgehensweise in einem Webcast.

Mit Windows 10 Pro lassen sich außerdem über die Remote Server Administration Tools (RSAT) für Windows 10 die Serverdienste von Windows Server 2016 und Windows Server 2012 R2, inklusive Server-Manager verwalten. RSAT wird von Microsoft kostenlos zur Verfügung gestellt.

Windows 10 Enterprise – DirectAccess, BranchCache, Applocker und Windows To Go

Windows 10 Enterprise unterstützt alle Funktionen, die in Windows 10 Home integriert sind sowie alle Funktionen von Windows 10 Pro. Darüber hinaus bietet die größte Windows-10-Edition noch weitere Funktionen, vor allem im Bereich Sicherheit und große Netzwerke.

Die wichtigsten Unterschiede zwischen Windows 10 Pro und Windows 10 Enterprise sind die Unterstützung von DirectAccess, Windows To Go, Applocker und BranchCache. DirectAccess ermöglicht Rechnern aus dem Internet einen Verbindungsaufbau in das interne Netzwerk, ohne eine VPN-Verbindung aufbauen zu müssen.

DirectAccess bietet in Windows 10 Enterprise die Möglichkeit effizienter Anwender über das Internet anbinden zu können (Screenshot: Thomas Joos).

Die Verbindung wird automatisch getunnelt und Anwender können von überall auf interne Ressourcen zugreifen ohne die Sicherheit im Netzwerk zu beeinträchtigen. Die Anbindung erfolgt an einen Server auf Basis von Windows Server 2012 R2, besser mit Windows Server 2016. Die Kommunikation ist verschlüsselt, wie bei einem VPN, nur für Anwender einfacher und transparent nutzbar.

Die Einrichtung von DirectAcess findet auf Servern mit Windows Server 2012 R2 oder Windows Server 2016 statt (Screenshot: Thomas Joos).

Rechner in Empfangsbereichen oder Kiosk-Rechner lassen sich mit Windows 10 Enterprise über die granuläre UX-Kontrolle absichern. Bezüglich der Sicherheit spielt auch der „Device Guard“ eine wichtige Rolle. Mit dieser Technik lassen sich Rechner basierend auf Virtualisierungstechnologie, TPM und UEFI vor Angriffen absichern. Bei dieser Technik muss jede Anwendung digital signiert werden. Selbst Übernahmen des Windows-Kernels können Systeme nicht beeinträchtigen, da „Device Guard“ Rechner zuverlässig sichern kann. Virtualization Extensions wie Intel VT-x, AMD-V, und SLAT müssen dazu aktiviert sein.

Längerer Support mit Windows 10 Enterprise – Long Time Servicing Branch

Mit Windows 10 Enterprise bietet Microsoft langjährige Unterstützung des Betriebssystems an, auch ohne dass Updates installiert werden müssen. Einzig kritische Updates und Sicherheitsupdates müssen auf Rechnern installiert werden, die über LTSB verfügen. Es werden bei diesem Modell keine neuen Funktionen und Versionen installiert. Als Supportzeitraum nennt Microsoft mindestens 10 Jahre, also 5 Jahre normaler und 5 Jahre erweiterter Support. Einfach ausgedrückt verspricht Microsoft, dass Unternehmen mit LTSB nicht dazu gezwungen werden sollen neue Versionen zu installieren, um innerhalb des Support-Zyklus zu bleiben.

Windows-To-Go – Die mobile Windows 10-Installation

Windows To Go bietet die Möglichkeit Windows 10 auf einem USB-Stick oder einer externen Festplatte installieren zu können. Den Datenträger können Anwender an externe Rechner anschließen und auf diesem Weg ihr eigenes Windows 10-System auf einem Gastrechner starten. Dieses System kann sogar Bitlocker nutzen, das heißt die Daten auf der Platte können auch bei Verlust der Hardware nicht ausgelesen werden. Windows To Go unterstützt auch Gruppenrichtlinien sowie die DirectAccess-Anbindung über das Internet. Windows To Go unterstützt USB 3.0.

Bei Windows To Go handelt es sich um ein vollständiges Windows 10-System, auf dem Benutzer auch Anwendungen installieren und Daten speichern können. Das System lässt sich problemlos an das Netzwerk, an Domänen und auch an das Internet anbinden. Auch WLAN steht zur Verfügung. Im Grunde genommen gibt es bei Windows-To-Go keine Einschränkungen in Betrieb und Funktion. Windows To Go ist außerdem durch Windows Defender bereits durch Viren geschützt. Allerdings ist es sehr empfehlenswert einen effizienteren Virenschutz zu installieren. Administratoren können Windows To Go-USB-Datenträger auch in Windows-Domänen aufnehmen. Generell ist auch die Aktivierung des Microsoft-Store möglich.

Mit Windows-To-Go können Administratoren ein mobiles Windows 10 Enterprise-System zur Verfügung stellen, dass Anwender auch mobil nutzen können (Screenshot: Thomas Joos).

BranchCache – Zwischenspeicher für Dateiserver

Windows 10 Enterprise verfügt über die Möglichkeit Dateien von Dateiservern zwischen zu speichern. Diese Funktion war bereits Bestandteil in Windows 8. Einfach ausgedrückt kann ein Windows-Client mit Windows 10 in einer Niederlassung Dokumente von einem Dateiserver der Zentrale für andere Clients zwischen speichern. Sinnvoll ist das, wenn in einer Niederlassung mehrere Clients positioniert sind, die auf einen gemeinsamen Dateiserver in der Zentrale zugreifen. Öffnet ein Anwender ein bestimmtes Dokument vom Dateiserver, wird es auf dem Rechner zwischengespeichert.

Benötigt ein weiterer Client das gleiche Dokument, muss es nicht vom Server heruntergeladen werden, sondern steht bereits auf einem anderen Client zur Verfügung. Das Dokument wird natürlich weiter durch die Dateiberechtigungen abgesichert, und neue Versionen werden weiterhin vom Server heruntergeladen. Durch diese Technik wird die Übertragung von Daten beschleunigt, Dateiserver werden entlastet und auch die Datenleitung zwischen Niederlassung und zentrale profitieren davon. Die Technik steht auch als Serverlösung zur Verfügung. In diesem Fall werden die Daten nicht auf den Clients zwischengespeichert, sondern auf einem Server.

BranchCache ist nur Bestandteil von Windows 10 Enterprise (Screenshot: Thomas Joos).

Applocker – Anwendungen im Unternehmen absichern

Windows 10 Enterprise bietet die Möglichkeit Anwendungen und andere ausführbare Dateien zu blockieren. Über Gruppenrichtlinien können Administratoren Regeln erstellen. Die Regeln erlauben auch komplizierte Strukturen. So können Administratoren zum Beispiel alle Anwendungen eines Herstellers blockieren, einzelne Programme, oder nur bestimmte Versionen. Auch alte oder neue Programme lassen sich auf diesem Weg blockieren. Umgekehrt können Administratoren auch Whitelists pflegen, also alle Programme verbieten, außer explizit erlaubte Programme. Erlaubte Anwendungen lassen sich Benutzern zuordnen oder Computer. Auch eine Kombination ist möglich.

Haben Administratoren eine neue Gruppenrichtlinie erstellt, können sie in dieser die entsprechenden Regeln für Applocker hinterlegen. Die Bearbeitung der entsprechenden Richtlinie wird dann über Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Anwendungssteuerungsrichtlinien gesteuert, indem Administratoren auf “AppLocker” klicken.

Applocker kann unberechtigte Anwendungen im Unternehmen blockieren (Screenshot: Thomas Joos).

In diesem Bereich erstellen Administratoren die verschiedenen Regeln die Applocker verwenden soll.  Unternehmen haben drei Möglichkeiten unerwünschte Programme auf den Clientcomputern zu sperren. Bei “Ausführbare Regeln” erstellen Administratoren Regeln für das Erfassen von Dateien mit den Endungen *.exe und *.com. “Windows Installer-Regeln” legen fest welche Anwendungen Benutzer auf dem Computer installieren dürfen. Diese Regeln erfassen Dateien mit den Endungen *.msi und *.msp.  Über “Skriptregeln” werden Skripte gesperrt. Hier berücksichtigt Applocker Dateien mit den Endungen *.js, *.ps1, *.vbs, *.cmd und *.bat.  Administratoren können auch mehrere Regelsätze und alle Optionen zum Sperren von Anwendungen in einer einzelnen Gruppenrichtlinie einsetzen.

Windows 10 Education

Für die Schullizenz Windows 10 Education stehen nahezu die gleichen Möglichkeiten und Funktionen wie in Windows 10 Enterprise zur Verfügung. Nur der Long Time Services Branch lässt sich bei dieser Edition nicht nutzen. Alle anderen Technologien wie Windows-To-Go, Applocker, DirectAccess und Co lassen sich auch in Education nutzen. Rechner mit Windows 10 Home lassen sich direkt zu Windows 10 Education aktualisieren.

Windows 10 Enterprise testen und lizenzieren

Wer Windows 10 Enterprise kostenlos testen will, kann sich die 90-Tages-Testversion kostenlos bei Microsoft herunterladen.  Unternehmen die Windows 10 Enterprise einsetzen wollen, müssen die Software als Volumenlizenz erwerben. Das heißt Freiberufler oder Privatanwender sind eher nicht im Fokus der Edition. Die Edition steht auch nicht kostenlos zur Verfügung. Das heißt, auch Anwender mit Windows 7/8.1 Enterprise können nicht kostenlos auf Windows 10 Enterprise aktualisieren, ohne die Software zu lizenzieren. Da in den meisten Volumenlizenzen aber ohnehin aktuelle Versionen abgedeckt sind, sollte sich auch auf diesem Weg eine kostenlose Aktualisierung durchführen lassen.

Redaktion

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago