Installation von Windows Server 2022, aber richtig

Einleitung
Dieser umfassende Leitfaden richtet sich gezielt an Fachinformatiker Systemintegration, die Windows Server 2022 in einer Praxisumgebung installieren und konfigurieren. Sie erhalten eine Schritt-für-Schritt-Anleitung mit allen notwendigen Details – von BIOS-Einstellungen über PowerShell-Befehle bis zu Gruppenrichtlinien – um einen stabilen, sicheren und wartungsfreundlichen Domänencontroller aufzubauen. Zusätzlich zeigen wir auf, wie Sie mit den Managed Services von Netzleiter langfristig Zeit und Kosten sparen.

1. Vorbereitung und Checkliste

Bevor Sie loslegen, stellen Sie sicher, dass folgende Elemente bereitstehen:

1. Installationsmedium Windows Server 2022 (deutsche Version)
   – Tastbare ISO oder USB-Stick, idealerweise mit GPT-Partitionstabellen-Unterstützung und UEFI-Boot.
2. Netzwerkinfrastruktur
   – Getestetes Netzwerkkabel, Switch-Port mit erreichbarem DHCP- oder statischem Subnetz.
3. IP-Adressplan
   – Tabelle mit festgelegten Adressen für Server, Clients und Netzwerkgeräte.
4. Domänenname
   – Beispiel: praxis.local (nicht öffentlich auflösbar).
5. Kennwortrichtlinie
   – Min­dest­länge 12, Groß-/Kleinbuchstaben, Ziffern, Sonderzeichen.
6. Backup-Medien
   – Externe Festplatte oder NAS mit Lese-/Schreib­test.
7. Dokumentation Firewall/Antivirus
   – Konfigurationsleitfäden für ESET und Windows Defender Firewall griffbereit.

2. BIOS- und UEFI-Konfiguration

1. UEFI-Modus aktivieren
   – BIOS öffnen, unter „Boot“ auf UEFI-Only umstellen.
2. Secure Boot einstellen
   – Auf „Windows Uefi“ setzen, um signierten Bootcode zu erzwingen.
3. Boot-Priorität
   – USB-Stick oder DVD-Laufwerk an erste Stelle setzen, HDD/SSD an zweite.

Warum? UEFI mit Secure Boot verhindert das Laden bösartiger Bootloader und stellt Kompatibilität zu GPT-Datenträgern sicher. (https://docs.microsoft.com/de-de/windows-hardware/drivers/bringup/secure-boot-in-uefi)

3. Installation von Windows Server 2022

3.1 Start vom Installationsmedium

• Rechner neu starten, UEFI-Bootmenü wählen (F12 o. Ä.).
• ISO/USB selektieren

3.2 Installationsassistent

1. Sprache, Zeit und Tastatur auswählen
2. Jetzt installieren
3. Edition: Windows Server 2022 Standard (mit Desktopdarstellung)
4. Lizenz­bedingungen akzeptieren
5. Benutzerdefiniert (Erweitert)

3.3 Partitionierung im GUI

• Klick auf Laufwerkoptionen (erweitert)
• Neu → Systempartition ≥ 100 GB → Übernehmen
• Neu → Datenpartition ≥ 250 GB → Übernehmen
• NTFS-Formatierung

Alternative via DiskPart:

diskpart
select disk 0
clean
convert gpt
create partition primary size=100000
format fs=ntfs label=System quick
assign letter=C
create partition primary
format fs=ntfs label=Daten quick
assign letter=H
exit

( https://docs.microsoft.com/de-de/windows-server/storage/disk-management/diskpart)

3.4 Erstkonfiguration

• Neustart
• Administrator-Kennwort nach Komplexitätsvorgaben
• Netzwerkabfrage mit Ja bestätigen

4. Netzwerkkonfiguration

4.1 Statische IPv4-Adresse setzen

1. Windows-Taste + X → Netzwerkverbindungen
2. Rechtsklick auf Adapter → Eigenschaften
3. TCP/IPv4 → Eigenschaften
4. IP, Subnetzmaske, DNS-Server manuell eintragen
5. OK → Schließen

PowerShell-Variante:

New-NetIPAddress -InterfaceAlias "Ethernet0" `
  -IPAddress 192.168.1.10 -PrefixLength 24 `
  -DefaultGateway 192.168.1.1
Set-DnsClientServerAddress -InterfaceAlias "Ethernet0" `
  -ServerAddresses 192.168.1.2,192.168.1.3

(https://docs.microsoft.com/de-de/powershell/module/nettcpip/new-netipaddress)

4.2 Computernamen ändern

Rename-Computer -NewName "Praxis-Server" -Restart

Alternativ über System → Diesen PC umbenennen und Neustart.

5. Active Directory-Domain Controller

5.1 Rolle installieren

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

(https://docs.microsoft.com/de-de/powershell/module/servermanager/install-windowsfeature)

5.2 Domänencontroller heraufstufen

Install-ADDSForest `
  -DomainName "praxis.local" `
  -SafeModeAdministratorPassword (ConvertTo-SecureString "IhrDRS-Kennwort!" -AsPlainText -Force) `
  -InstallDns:$true `
  -DomainNetbiosName "PRAXIS"

• DNS-Delegierung überspringen
• NetBIOS-Name prüfen

Der Server startet nach Abschluss automatisch neu. (https://docs.microsoft.com/de-de/powershell/module/activedirectory/install-addsforest)

6. Windows-Updates und Treiber

1. Einstellungen → Update & Sicherheit → Nach Updates suchen
2. Neustart und erneute Prüfung bis „System ist aktuell“
3. Hersteller-Treiber installieren: Chipsatz, Netzwerkkarte, Grafikkarte
   – Download vom Hersteller-Portal, MSI/EXE.

7. Feineinstellungen für Stabilität

7.1 Bildschirmschoner deaktivieren

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Control Panel\Desktop" `
  -Name ScreenSaveActive -Value 0

7.2 Energieoptionen anpassen

• Energieoptionen → Plan „Ausbalanciert“ → Einstellungen ändern
• Bildschirm ausschalten: Nie
• Festplatte ausschalten nach 0 Minuten
• Erweiterte Einstellungen → PCI Express > Link State Power Management: Aus

Alternativ via powercfg:

powercfg -change -monitor-timeout-ac 0

powercfg -change -disk-timeout-ac 0

powercfg -setacvalueindex SCHEME_CURRENT SUB_NONE CONSOLELOCK 0

Weil so der Server durchgehend erreichbar bleibt und keine Hardware- oder Netzwerkverbindungen ungeplant „einschlafen“. Das verhindert Ausfälle bei Datei- oder Druckzugriffen, gewährleistet verlässliche Backups und sorgt für konstante Performance.

7.3 Autodisconnect deaktivieren

net config server /autodisconnect:-1

Weil so Netzwerkfreigaben dauerhaft verbunden bleiben, keine Sitzungen unerwartet abreißen und Backups oder Datei­zugriffe nicht durch automatische Trennungen gestört werden.

7.4 Datenausführungsverhinderung (DEP)

• Systemeigenschaften → Erweitert → Leistung → Einstellungen → DEP
• Option „Nur für erforderliche Windows-Programme und -Dienste einschalten“ aktivieren
• Neustart erforderlich

Die Datenausführungsverhinderung (DEP) schützt Ihr System, indem sie verhindert, dass ausführbarer Code in Speicherbereichen ausgeführt wird, die ausschließlich für Daten vorgesehen sind. Konkret bedeutet das:

Hardware- und softwaregestützte Speicherprotektoren
DEP markiert Seiten im Arbeitsspeicher, auf denen nur Daten liegen, als nicht ausführbar. Versucht eine Anwendung dennoch, an dieser Stelle Code auszuführen, löst das Betriebssystem eine Ausnahme aus und beendet den Prozess sofort learn.microsoft.com.
Schutz vor Speicherangriffen und Buffer-Overflows
Viele Angriffe schleusen schädlichen Code über Pufferüberläufe in Programme ein. DEP unterbindet die Ausführung solcher Code-Einschleusungen und reduziert damit das Risiko, dass Angreifer über manipulierte Datenpuffer die Kontrolle über Prozesse erlangen datasunrise.com.
Erhöhung der Systemstabilität und Verteidigung in der Tiefe
Wird DEP nur für wesentliche Windows-Programme und -Dienste aktiviert, bleiben Drittanbieter-Anwendungen kompatibel, während das Betriebssystem eine zusätzliche Schutzschicht erhält. Selbst wenn DEP keine vollständige Abwehr gegen alle Exploit-Techniken darstellt, wirkt es als effektiver Baustein in einer mehrstufigen Sicherheitsstrategie (Defense-in-Depth) learn.microsoft.commedium.com.
Geringer Performance-Overhead
Moderne Prozessoren unterstützen DEP hardwareseitig (NX- oder XD-Bit). Dadurch entsteht kaum spürbarer Mehraufwand, während Sie gleichzeitig eine fundamentale Sicherheitsbarriere gegen Code-Injection-Angriffe errichten en.wikipedia.org.
Durch das Aktivieren von DEP nach dem Prinzip „nur für erforderliche Windows-Programme und -Dienste“ legen Sie den Fokus auf maximale Sicherheit bei minimalen Kompatibilitätsrisiken und sorgen so für einen stabilen und geschützten Praxis-Server.

7.5 Automatische Bildschirmsperre nach 3 Minuten Inaktivität

Damit der Server nach kurzer Inaktivität gesperrt wird und unbefugter Zugriff vermieden wird, konfigurieren Sie die automatische Sperre wie folgt:

GUI (Lokale Sicherheitsrichtlinie)

1. Öffnen Sie secpol.msc (Windows-Taste + R → secpol.msc → Enter).
2. Navigieren Sie zu Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen.
3. Suchen Sie den Eintrag „Interaktives Anmelden: Zeitlimit für Maschinen-Inaktivität“.
4. Doppelklicken, Aktivieren auswählen und 180 Sekunden (3 Minuten) eintragen.
5. Übernehmen und schließen.

PowerShell

# Erlaubt das Setzen der Richtlinie per Registry
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" `
  -Name InactivityTimeoutSecs -PropertyType DWord -Value 180 -Force

Danach müssen Sie einen Neustart des Systems durchführen oder die Richtlinie mit

gpupdate /force

aktualisieren.

Alternativ per Gruppenrichtlinie (GPO)
Falls Sie die Einstellung DOMÄNENWEIT verteilen möchten:

1. Gruppenrichtlinienverwaltung öffnen (gpmc.msc).
2. Gültige GPO bearbeiten (z. B. Default Domain Policy) oder neue GPO anlegen.
3. Zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen navigieren.
4. „Interaktives Anmelden: Zeitlimit für Maschinen-Inaktivität“ auf 180 Sekunden setzen.
5. GPO verknüpfen und über gpupdate /force auf den Servern durchsetzen.

8. Benutzer- und Gruppenverwaltung

8.1 Benutzer anlegen

New-ADUser -Name "Max Mustermann" `
  -GivenName "Max" -Surname "Mustermann" `
  -SamAccountName mmustermann `
  -AccountPassword (ConvertTo-SecureString "KomplexesPW123!" -AsPlainText -Force) `
  -Enabled $true

8.2 Gruppe erstellen

New-ADGroup -Name "PraxisTeam" `
  -GroupScope Global -Path "CN=Users,DC=praxis,DC=local"
Add-ADGroupMember -Identity "PraxisTeam" -Members mmustermann

8.3 Rechte per GPO vergeben

• Gruppenrichtlinienverwaltung → Default Domain Policy → Bearbeiten
• Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Zuweisen von Benutzerrechten
  • Anmelden lokal und Herunterfahren für Gruppe PraxisTeam hinzufügen

9. Freigaben und NTFS-Berechtigungen

9.1 Freigabe anlegen

New-SmbShare -Name "H" -Path "H:\" -FullAccess "PraxisTeam"

(https://docs.microsoft.com/de-de/powershell/module/smbshare/new-smbshare)

9.2 LeasingMode deaktivieren

Set-SmbShare H -LeasingMode None

Durch das Deaktivieren des SMB-LeasingModes (LeasingMode None) verhindern Sie, dass Clients eine aggressive Dateicache-Logik („OpLocks“) nutzen. Das hat zwei zentrale Vorteile:

Konsistenz und Datenintegrität
Ohne Leasing-Cache greifen alle Clients stets direkt auf die aktuellen Dateiinhalte auf dem Server zu. So vermeiden Sie, dass Nutzer veraltete oder unvollständige Dateien sehen und reduzieren das Risiko von Schreibkonflikten oder Datenkorruption.
Zuverlässigkeit im Mehrbenutzerbetrieb
Gerade in Praxis-Umgebungen mit gleichzeitigen Zugriffen (z. B. bei Patientendaten oder Dokumenten) schalten sich Clients nicht gegenseitig aus, indem sie gelockte Handles zurückbehalten. Das minimiert Fehlermeldungen wie „Datei in Verwendung“ und sorgt für durchgehende Erreichbarkeit der Freigaben.
In Summe steigert LeasingMode None die Stabilität und Vorhersagbarkeit Ihrer Dateifreigaben – ein wesentlicher Faktor für den produktiven Betrieb in sensiblen IT-Umgebungen.

9.3 NTFS-Rechte setzen

icacls H:\ /grant PraxisTeam:`(OI`)(CI`)F /T

NTFS-Berechtigungen sind das Herzstück jeder Windows-Dateifreigabe–Konfiguration, weil sie genau kontrollieren, welcher Benutzer oder welche Gruppe auf welche Dateien und Ordner zugreifen und welche Aktionen sie durchführen dürfen. Der Befehl

icacls H:\ /grant PraxisTeam:(OI)(CI)F /T

enthält gleich mehrere wichtige Konzepte, die ich im Folgenden ausführlich erläutere:

1. Trennung von Share- und NTFS-Berechtigungen
Share-Berechtigungen (z. B. über „Freigabe → Erweiterte Freigabe“) steuern, welcher Benutzer überhaupt eine Verbindung zum Ordner herstellen darf.
NTFS-Berechtigungen regeln im Anschluss, welche konkreten Aktionen (Lesen, Schreiben, Löschen, Ändern von Berechtigungen usw.) möglich sind.
Nur wenn beide Ebenen korrekt konfiguriert sind, entsteht ein sicheres und vorhersehbares Berechtigungsmodell. NTFS-Rechte wirken dabei tiefer: Sie gelten auch für lokalen Zugriff (z. B. direkt am Server) und schützen Dateien selbst dann, wenn Share-Berechtigungen umgangen würden.

2. Gruppenzugriff statt Einzelbenutzer
Mit /grant PraxisTeam:… weisen wir nicht einzelnen User-Konten, sondern einer Gruppe Berechtigungen zu.

Vorteil Verwaltung: Neue Team-Mitglieder müssen nur der Gruppe hinzugefügt werden, ohne jede Freigabe einzeln anzupassen.
Transparenz: In Active Directory sieht man auf einen Blick, welche Gruppen welche Rechte haben.
Das entspricht dem Prinzip der centralized administration und verhindert Konfigurationsfehler bei großen Benutzerzahlen.

3. Vollzugriff („F“) – wann und warum
F steht für Full Control, also:

Lesen, Schreiben, Ausführen, Löschen
Ändern von Berechtigungen und Besitzübernahme
Im Praxis-Kontext ist Full Control typischerweise für administrative Gruppen oder Anwendungen nötig, die z. B. Protokolle rotieren, Backups anlegen oder Freigabeberechtigungen automatisiert ändern müssen. Sollte im späteren Betrieb differenzierter Zugriff (z. B. nur Lesen/Schreiben für Helfer) notwendig sein, kann man leicht über separate Gruppen (z. B. PraxisTeam_ReadOnly) ein granulareres Modell ergänzen.

4. Vererbung: OI und CI
OI (Object Inherit): Dateien, die neu in diesem Ordner erstellt werden, erben die Berechtigungen.
CI (Container Inherit): Unterordner erhalten dieselben Rechte.
Durch (OI)(CI) stellen wir sicher, dass alle aktuellen und zukünftig angelegten Unterordner sowie Dateien automatisch dieselben Rechte bekommen. Ohne diese Flags müssten Sie jede neue Ebene manuell nachkonfigurieren – fehleranfällig und zeitaufwändig.

5. Rekursive Anwendung mit /T
Der Parameter /T (für traverse) sorgt dafür, dass die Berechtigungen rekursiv über alle Unterordner und Dateien hinweg gesetzt werden:

Bestandsaufnahme: icacls liest die aktuellen ACLs aller Objekte.
Setzen der neuen ACEs: Für jedes Objekt wird die neue Access Control Entry ergänzt.
Dadurch sind Sie bereits beim Rollout sicher, dass auch alte Dateien und tief verschachtelte Unterordner geschützt sind, ohne dass Sie manuell in jede Ebene wechseln müssen.

6. Automatisierung und Skriptbarkeit
Der Einsatz von icacls in einem PowerShell- oder Batch-Skript ermöglicht:

• Wiederholbarkeit: Derselbe Befehl auf Test- und Produktivsystemen gibt identische Ergebnisse.
• Versionierung: Sie können Ihr Skript in der Versionskontrolle ablegen und Änderungen nachvollziehen.
• Logging: Ausgabe lässt sich in eine Logdatei umleiten, um erfolgreiche Anwendung oder Fehler dokumentieren.

GUI-Tools bieten diese Flexibilität nicht. Gerade in großen Umgebungen oder für regelmäßige Audits ist Automatisierung unverzichtbar.

Mit dem icacls-Kommando und den Parametern

/grant PraxisTeam:(OI)(CI)F ← Vergibt umfassende, vererbbare Rechte an eine Gruppe 
/T ← Wendet die Änderung rekursiv auf alle Unterobjekte an

schaffen Sie ein transparentes, wartbares und sicheres Berechtigungsmodell, das:

1. Skalierbar ist (Gruppen statt Einzeluser)
2. Zukunftssicher bleibt (Vererbung für neue Objekte)
3. Automatisierbar und auditierbar ist (Skriptbasiert, Logfiles)

In einer Praxisumgebung mit sensiblen Daten wird so gewährleistet, dass nur autorisierte Personen in strukturierter Weise Zugriff erhalten – ohne aufwändige manuelle Nacharbeiten oder Konfigurationsdrift im Laufe der Zeit.

10. Automatische Laufwerkszuordnung

10.1 Gruppenrichtlinien-Vorreiter

• GPMC → Default Domain Policy → Benutzerkonfiguration → Einstellungen → Windows-Einstellungen → Laufwerkszuordnungen
• Neu → Zugeordnetes Laufwerk
  • Aktion: Aktualisieren
  • Laufwerksbuchstabe: W
  • Freigabepfad: \\Praxis-Server\H

So wird bei jeder Anmeldung das Netzlaufwerk ohne Unterbrechung verbunden.

11. Clientinstallation Windows 11

1. Standardinstallation
2. IPv6 deaktivieren in Adaptereinstellungen
3. IPv4 konfigurieren wie unter Abschnitt 4
4. Domäne beitreten über System → Info
5. Anmeldeskript oder SetupClient.exe starten
6. Firewall/Antivirus nach separater Anleitung

Hier finden Sie auch eine ausführliche Anleitung zur Installation von Windows 11.

12. Datensicherung und Notfallkonzept

12.1 Windows Server-Sicherung

Install-WindowsFeature Windows-Server-Sicherung

• Geplante Vollsicherungen auf externem Medium einrichten
• Restore-Übung mindestens halbjährlich durchführen

12.2 Veeam Backup & Replication

• Agents auf Servern und Clients installieren
• Replikationsjobs in Konsole anlegen
• Automatisierte Berichte prüfen

13. Monitoring und Proaktive Wartung

• PRTG/Nagios für Uptime, Bandbreite und Ressourcen
• Event-Log-Monitoring mit PowerShell-Skripten
• Firmware-Überprüfung von RAID-Controllern und Server-Hardware vierteljährlich

14. Ihre Vorteile mit Netzleiter

Mit unserer Erfahrung als Microsoft 365 CSP-Partner und Telematik-Experte bieten wir:

• Individuelle Konzepte exakt auf Ihren Praxis-Workflow abgestimmt
• Managed Services: 24/7-Monitoring und Helpdesk aus Hamburg
• Sicherheits-Framework mit ESET, Firewall und VPN
• Telematik-Anbindung für Ärzte, MVZ und Physiotherapeuten
• Backup-Strategien mit Veeam inklusive Offsite-Exemplaren

Kontaktieren Sie Netzleiter für ein unverbindliches Erstgespräch. Gemeinsam realisieren wir eine zukunftssichere, performante und wartungsfreundliche Praxis-IT.