Jump to content

Softwareverteilung GPO Zertifikat und Passwort zwingend mitgeben.


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi zusammen,

ich möchte gern über die GPO ein Programm verteilen.

Die MSI hab ich auf dem Server und kann per UNC-Pfad drauf zugreifen.
Der Software muss man ein Zertifikat übergeben und das zgehörige Passwort.

Das Gruppenrichtlinienobjekt hab ich angegeben und das MSI Paket schon angegeben mit dem UNC-Pfad.

Jetzt muss ich die Parameter noch angeben, da kenn ich mich leider nicht so gut aus und bräuchte Hilfe.
Ich könnte es ja via Script machen ich denk es würde auch nur via Script gehn.

die bat Datei sieht so aus

set executeDir=\\Syncnet1\SYSVOL\ad.sp.com\LMK\Neues LMK 2.1.0.0
msiexec /i "%executeDir%\LMKitSetup_2.1.0.0.msi" /quiet /qn /norestart /l*v "%executeDir%\SetupInstall.log" 
ARPPRODUCTICON="\\LMKit 2.1.0.0\sp.ico" ARPHELPLINK="https://lc.de" INSTALLDIR="C:\LMK\" CERTIFICATETYPE=1 ISCERTIFICATEVALID="False" CERTIFICATEPATH="\\LMK_2.1.0.0\lmk.lc.de.pfx" CERTIFICATEPASSWORD="abcdefehxxx"

Hab gehört das würde mit einer MST Datei über ORCA funktionieren. Da kenn ich mich leider nicht aus. Hab es mal probiert. Dabei ist folgendes zustande gekommen.

 

spacer.png

 

Ich weis nicht ob ich auf dem richtigen Weg bin, und wie kann ich den Installationspfad z.B. C:\bla\ angeben. da schon INSTALLDIR angegeben ist.

Ich würde auch gerne das SetupInstall.log noch mitreinnehmen. Und die restlichen Parameter.

 

Und noch ein anderes anliegen wäre es auch machbar über diesen Weg zu gehn.

 

spacer.png

 

 

Und vielen dank für die Hilfe.

Link zu diesem Kommentar

Ja wurde von der Firma so gemacht.

 

Ich hab folgendes Problem noch, ich glaube er nimmt im Script den UNC Pfad nicht.

set executeDir=\\xxxx1\SYSVOL\ad.xxxxxx.com\LMK

er führt irgendwie das Script in der Eingabeaufforderung nicht aus, nur wenn er so umgeschrieben wird das er ein Laufwerksbuchstabe hat.

 

Der Zertifkat liegt in SYSVOL das Kennwort liegt nicht dort. Das wird ja entweder in der MST oder per Script mitgegeben.

bearbeitet von Forrest
Link zu diesem Kommentar

Wenn ich das so benutzte funktioniert es

set executeDir=C:\Users\xxxxx\Desktop\Neues LMK Setup\
msiexec /i "%executeDir%LMKit_2.1.0.0.msi" /quiet /qn /norestart /l*v "%executeDir%SetupInstall.log" CERTIFICATEPATH="%executeDir%lmk.xxx.de.pfx" CERTIFICATEPASSWORD="xxx" ARPPRODUCTICON="%executeDir%logo.ico" ARPHELPLINK="https://www.xxx.de/" ARPNOREPAIR="yes" ARPNOMODIFY="yes" INSTALLDIR="C:\Temp\LMK\"

Wenn ich es so nutze installiert es nicht es kommt aber ein Fenster

set executeDir="\\xxxx\SYSVOL\ad.xxxx.com\LMK"
msiexec /i "%executeDir%LMKit_2.1.0.0.msi" /quiet /qn /norestart /l*v "%executeDir%SetupInstall.log" CERTIFICATEPATH="%executeDir%lmk.xxx.de.pfx" CERTIFICATEPASSWORD="xxx" ARPPRODUCTICON="%executeDir%logo.ico" ARPHELPLINK="https://www.xxx.de/" ARPNOREPAIR="yes" ARPNOMODIFY="yes" INSTALLDIR="C:\Temp\LMK\"

spacer.png

 

Aber nur weil ich die " mit übernommen hab.


" 

set executeDir="\\xxxx\SYSVOL\ad.xxxx.com\LMK"

Ich erkenne leider das Problem nicht. Ich weis leider auch nicht ob es möglich ist die Datei zu installieren wenn Sie auf dem Server liegt und nicht local vorliegt.

Ich denk daran wird das Problem liegen.

bearbeitet von Forrest
Link zu diesem Kommentar

Moin,

 

also ... wenn man ein Zertifikat mit Private Key verteilt, ist das schon mal ausgesprochen seltsam. Ein Private Key ist per definitionem privat, d.h. er hat einen (einen einzigen!) Rechner niemals zu verlassen. Verteilen eines Private Keys geht gar nicht. Wenn man dann aber auch noch das Kennwort dazu im Klartext in ein Skript packt, dann hebelt man jedes Fitzelchen Sicherheit aus, das sich mit dem Zertifikat vielleicht erzeugen ließe.

 

Entweder liegt hier also ein gravierendes Missverständnis vor, wie man die Installation dieser Software durchführt. Oder der ganze Sicherheits-Ansatz ist so kaputt, dass man diese Software nicht einsetzen sollte.

 

Gruß, Nils

 

Link zu diesem Kommentar

Hi es wurde gestern nochmal besprochen das mit dem zertifikat fällt nun weg.

 

Eine Frage hätte ich nun noch.

 

Wie kann ich solche Parameter nun übergeben, verstehe das noch nicht ganz.

 

z.B.

 

Den Installationspfad C:\xxx\xxx oder

 

CERTIFICATETYPE=0 // SelfSigned certificate

CERTIFICATETYPE=1 // Local certificate
CERTIFICATETYPE=2 // Certificate from CertificateStore

 

USECONFIGSERVICE="true/false" // Use Config Service
CONFIGSERVICEURL="https://config.service.url:12345"

 

/quiet /qn /norestart /l*v

 

Link zu diesem Kommentar

 

vor 23 Minuten schrieb NilsK:

Moin,

 

Wenn du Anforderungen dieser Art hast, solltest du dir eine echte Softwareverteilung anschaffen. GPOs sind damit zu schnell überfordert.

 

Gruß, Nils

 

Leider hab ich die Möglichkeit nicht.

 

vor 22 Minuten schrieb tesso:

Schau dir mal


msiexec /? 

an. Besonders den Abschnitt "Setting Public Properties"

 

Ja hab ich

Öffentliche Eigenschaften festlegen [PROPERTY=Eigenschaftswert] unter PROBERTY geb ich das mit. Das weis ich

 

 

Hab das nun mal so eingetragen bei den Parameter weis ich nicht wie ich die eintragen könnte /quiet /qn /norestart /l*v

proberty.PNG

Link zu diesem Kommentar

Die ganzen Schrägstrich-Parameter spielen beim GPO-Install keine Rolle, da wird sinngemäß immer mit /quiet /norestart installiert, und das Logging hat den Level, den Du per GPO festgelegt hast. Die Großbuchstaben-Dinger sind Installer-Properties, und die kannst Du per ORCA oder sonstwas in ein MST packen, das Du dem MSI zur Seite gesellst. Andere Parametrisierungen gibt's beim GPO-Install nicht. Und die Fehlerdiagnose ist extrem schwierig, seit MS mit Windows 8 das AppMgmt-Logging kaputt gemacht hat.

Link zu diesem Kommentar

Vielen dank für die Antwort, das mit der MSt hab ich schon verstanden, leider hab ich das Problem wenn ich die nutze installiert er die Software nicht.

 

Da in der MSI in den Probertys CERTIFICATETYPE 0 steht wollte ich das auf 1 ändern und durch den CERTIFICATEPATH \\xxx\server\xxx\cert.xxx und  CERTIFICATEPASSWORD xxxxxxxxx mitgeben.

Die Fehlermeldung bekomm ich im Ereignisslog

 

Die Installation der Anwendung LMK der Richtlinie CPR-LMK-Softwareverteilung ist fehlgeschlagen. Fehler: %%1603

Das Entfernen der Zuweisung der Anwendung Live Moderator Kit von der Richtlinie CPR-LMK-Softwareverteilung wurde durchgeführt.

Die Änderungen an den Softwareinstallationseinstellungen wurden nicht angewendet. Änderungen an der Software konnten nicht übernommen werden. Ein vorheriger Protokolleintrag mit Einzelheiten sollte vorhanden sein. Fehler: %%1603

Fehler beim Anwenden der "Software Installation"-Einstellungen. Die "Software Installation"-Einstellungen besitzen möglicherweise eine eigene Protokolldatei. Klicken Sie auf den Link "Weitere Informationen".

 

Änderung

Hab nun den INSTALL Ordnerhinzugefügt nun installiert er es, aber er nimmt die Parameter nicht von dem Certpath und Passwort

 

spacer.png

 

Da der CERTIFICATETYPE standart in der MSI Datei steht übernimmt er den aus der MSI ich möchte aber das man das mit der MST Datei ändert und das scheint er nicht zu machen.

bearbeitet von Forrest
Neuer Versuch
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...