Jump to content

Softwareverteilung - Was macht Sinn ?

Marcool

Von Marcool
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Marcool Explorer

Marcool   10

Geschrieben
Geschrieben

Hallo,

 

ich bin am überlegen wie ich eine Softwareverteilung realisiere. Clients sind alle in einer Domäne.

 

Szenario :

 

45 Mitarbeiter , 4 unterschiedliche Abteilungen, 30 Workstations

 

Eine Abteilung ist IT, eine Abteilung Verkauf

 

Benutzer A gehört zur IT und Benutzer B zum Verkauf

------------------------------------------------------------------------

Jetzt ist es so das ich natürlich alles lokal installieren kann. Ist natürlich Zeitaufwendig.

 

Nun kann ich über eine GPO Software verteilen, leider nur MSI Pakete aber das Reicht mir erst mal.

 

Wenn Sich nun Benutzer A im Verkauf anmeldet wird die fehlende Software nach installiert. Nun meldet sich Benutzer B an und kann nun auch die Software von Benutzer A benutzen. Das möchte ich gerne unterbinden.

 

Wie genau mache ich das oder anders, auf was sollte ich dabei achten ?

 

Erstelle ich für jede Abteilung eine GPO mit Software und verlinke die mit der OU Mitarbeiter in den jeweiligen Abteilungen ? Wirkt die GPO auch auf Gruppen ?

 

Gruß

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben (bearbeitet)

Moin und Willkommen am Board :)

 

.....Wirkt die GPO auch auf Gruppen ? ...

 

Gruppenrichtlinien haben nichts mit Sicherheitsgruppen zu tun, Gruppenrichtlinien werden mit der Domäne oder Organisationseinheiten verknüpft.

 

Für die Softwareinstallation per Gruppenrichtlinie wählt man i.d.R. die Computerkonfiguration, damit erfolgt die Installation dann im Kontext des Systems. Ein User kann im Normalfall ja keine Installation durchführen.

 

Das ein User die Software eines anderen nicht benutzt, das per GPO verhindert werden, AppLocker ist Stichwort.

bearbeitet von lefg
Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben

45 Mitarbeiter , 4 unterschiedliche Abteilungen, 30 Workstations

 

Eine Abteilung ist IT, eine Abteilung Verkauf

 

Benutzer A gehört zur IT und Benutzer B zum Verkauf

------------------------------------------------------------------------

Jetzt ist es so das ich natürlich alles lokal installieren kann. Ist natürlich Zeitaufwendig.

 

Nun kann ich über eine GPO Software verteilen, leider nur MSI Pakete aber das Reicht mir erst mal.

 

Wenn es mehr sein soll, sieh dir die Kombination LUP/WSUS an: WSUS.DE - Local Update Publishing

 

Wenn Sich nun Benutzer A im Verkauf anmeldet wird die fehlende Software nach installiert. Nun meldet sich Benutzer B an und kann nun auch die Software von Benutzer A benutzen. Das möchte ich gerne unterbinden.

 

Sind die Benutzer lokale Admins? Denn IMHO funktioniert das nachinstallieren nur mit Adminrechten.

 

Du könntest natürlich dem Benutzer B per NTFS-Berechtigungen das benutzen von Software Benutzer A unterbinden. Ob das den Aufwand lohnt?

 

Wirkt die GPO auch auf Gruppen ?

 

Nein, Du kannst aber Sicherheitsgruppen zur Filterung von GPOs verwenden.

Link zu diesem Kommentar
Marcool Explorer

Marcool   10

Geschrieben
  • Autor
Geschrieben

Hallo,

 

@Dukel: Eigentlich nicht . Abteilungsunabhängig wäre aber die Softwarezuweisung Benutzer bezogen. Man könnte natürlich auch Standortbezogen die Programme installieren und dann den Zugriff drauf verbieten.

 

@lefG: Das ist klar.

Ich meinte eigentlich folgendes. Wenn ich globale Gruppen in einer OU zusammenfasse mit Usern, auf diese OU lege ich dann eine Gruppenrichtlinie mit Software Benutzer bezogen. Wirken die dann auch auf die User in der globalen Gruppen ?

 

Zum Thema Applocker habe ich auch schon etwas gelesen. Wie ich diesen auf dem Server konfiguriere konnte ich noch nicht herausfinden. Übrigens befinden sich nur Windows 7 Clients 32/64 Bit im Unternehmen.

 

@Sunny61 : Der Link ist interessant, jedoch würde es den Zeitrahmen meines Abschluss-Projektes sprengen.

 

Die Benutzer haben keine Administratorenrechte.

 

Ziel ist die Entlastung der Administratoren, sprich wenn eine Workstation ausfällt, der Mitarbeiter einfach an eine andere Workstation weiter arbeiten kann. Neue Workstations sollen später auch ohne großen Aufwand in der Domäne eingebunden werden ohne das der Administrator Programme installieren/konfigurieren muss.

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben (bearbeitet)
.....@lefG: Das ist klar.

Ich meinte eigentlich folgendes. Wenn ich globale Gruppen in einer OU zusammenfasse mit Usern, auf diese OU lege ich dann eine Gruppenrichtlinie mit Software Benutzer bezogen. Wirken die dann auch auf die User in der globalen Gruppen ?.....

 

Es können keine globalen Gruppen, Sicherheitsgruppen zu einer OU zusammen gefasst werden. Natürlich ist die Sicherheitsgruppenfilterung anwendbar, nötig ist das nicht.

 

Ich lese gerade das Wort Abschlussprojekt. Ich empfehle dir dringend, fange nicht an zu tricksen! Nicht von hinten durch die Brust ins Auge! Halte dich an die bewährten Verfahrensweisen! Wäre ich in dem Prüfungsauschuss, dann hättest Du ein Problem, ich stellte wohl unangenehme Fragen bis auf die Knochen, das bei allem Wohlwollen. Du hättest sehr wahrscheinlich keine begründeten Antworten.

 

Falls es also um Softwareinstallion per Gruppenrichtlinie und MSI geht, dann wende das an in der Computerkonfiguration, fertisch ist die Laube; damit bist Du auf der sicheren Seite. Sollte es Software sein, die keine MSI hat zur Installation, dann suche dir einen geeigneten Paketierer, MSI-Builder, baue selbst MSI.

 

Installation per MSI wird regelmässig in der Computerkonfiguration ausgeführt, d.h. vom System vor der Anmeldung des Benutzers. Ein Benutzer ist i.d.R. ja eingeschränkt, nicht in der Gruppe der Administratoren, kann also keine Software installieren.

 

Ich fasse "zusammengehörige" Rechner in jeweils einer OU zusammen, z.B. die Rechner einer Niederlassung, eines Fachbereiches, eines Rechnerpools für Studenten; nicht unbedingt wegen einer Abteilungszugehörigkeit sondern wegen der Softwareinstallation und der sonstigen Konfiguration. So haben alle Verwaltungsrechner der Niederlassung und des hiesigen Fachbereiches zwar die selbe Officeinstallation und Datenbankclient für unser Informationssystem, aber verschiedenen Drucker, weiter hat der Fachbereich zusätzliche DB-Clients zum Zugriff auf Datenbanken einer Behörde.

Die Rechner in verschiedene UOs zu legen erschien mir als die beste Möglichkeit, nicht die Sicherheitsgruppenfilterung mit Computergruppen.

Auch die Rechner der Studentenpools sind in jeweils einer OU zusammen gefasst, sie sind meist identisch von der Hardware und der Softwareinstallation, der Rechner des Dozenten ist nicht so einegschränkt wie die der Studenten. Es gibt also für einen Pool eine OU, darin das Computerkonto des Dozentenrechners und eine weitere OU mit den Studentenrechnern. So ist die Konfiguration fein steuerbar.

bearbeitet von lefg
Link zu diesem Kommentar
Marcool Explorer

Marcool   10

Geschrieben
  • Autor
Geschrieben

Hallo,

 

ich glaub ich habe mich wieder falsch ausgedrückt. Ich meinte. Im AD erstelle ich eine OU mit dem Namen Gruppen. In der OU erstelle ich mir eine GG mit Benutzern. Die Benutzer sind in einer anderen OU mit dem Namen User.

 

In der Gruppenrichtlinienverwaltung verknüpfe ich eine Gruppenrichtlinie mit Softwareverteilung Benutzerbezogen auf die OU Gruppen.

 

Wird nun die Software für die Benutzer die in der GG zusammengefasst sind installiert ?

 

 

Nächste Frage :

 

Wird die Software immer wieder installiert ? Sprich Benutzer A meldet sich an Workstation C an. Die Software wird installiert. Nun meldet der Benutzer A sich ab. Wenn Sich nun Benutzer A nochmal anmeldet (oder ein anderer aus der Abteilung), wird die Software nochmal installiert oder wird vorher geprüft ob die Software schon installiert ist ?

 

Wie verhält sich die Geschichte mit Updates ? Angenommen die MSI Datei von Firefox wird ausgetauscht durch eine neue Version. Deinstalliert er auf der Workstation automatisch die alte und installiert die neue ?

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben (bearbeitet)

Deine Fragen zu deinem Vorhaben Benutzerbezogenen Installation beantworte ich so nicht, ich mache das regelmässig so nicht, da für die Installation im Benutzerkontext der angemeldete Benutzer sozusagen meist "Adminrechte" benötigte. Ich halte das von dir angedachte Vorgehen für nicht funktionsfähig.

 

Ich installiere Software regelmässig auf Rechnern in Computer-OUs, die Installation geschieht also im Kontext des Systems, ohne Anmeldung und Beteiligung eines Benutzers.

 

Erklärungen zu Gruppenrichtlinien sind im Technet und auch auf http://www.gruppenrichtlinien.de/ zu finden, weiter gibt es hier an Board einen http://www.mcseboard.de/community_cast.php

bearbeitet von lefg
Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben

ich glaub ich habe mich wieder falsch ausgedrückt. Ich meinte. Im AD erstelle ich eine OU mit dem Namen Gruppen. In der OU erstelle ich mir eine GG mit Benutzern. Die Benutzer sind in einer anderen OU mit dem Namen User.

 

In der Gruppenrichtlinienverwaltung verknüpfe ich eine Gruppenrichtlinie mit Softwareverteilung Benutzerbezogen auf die OU Gruppen.

 

Du kannst die Gruppen nur bei der Sicherheitsfilterung eintragen. Allerdings ist es dabei egal, wo im AD die Gruppen abgelegt sind. Die betroffenen Objekte müssen im Verwaltungsbereich des GPO liegen.

 

Wird nun die Software für die Benutzer die in der GG zusammengefasst sind installiert ?

 

Wenn die Benutzer Adminrechte haben, dann ja. Hast Du es denn schon mal probiert? Vermutlich nicht.

 

Wird die Software immer wieder installiert ? Sprich Benutzer A meldet sich an Workstation C an. Die Software wird installiert. Nun meldet der Benutzer A sich ab. Wenn Sich nun Benutzer A nochmal anmeldet (oder ein anderer aus der Abteilung), wird die Software nochmal installiert oder wird vorher geprüft ob die Software schon installiert ist ?

 

Weiß ich nicht, im Benutzerkontext habe ich das noch nie installieren lassen.

 

Wie verhält sich die Geschichte mit Updates ? Angenommen die MSI Datei von Firefox wird ausgetauscht durch eine neue Version. Deinstalliert er auf der Workstation automatisch die alte und installiert die neue ?

 

Nein, das funktioniert nur über Aktualisierungen.

 

Softwareinstallation als Benutzer

Service Pack Installation über die Softwareverteilung

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...