Jump to content

Patchmanagement/Softwareverteilung - ab welcher Größe?


Recommended Posts

Hallo Forengemeinde,

 

ich stehe hier vor einem Problem was ich zwar letztendlich selbst lösen/entscheiden muss, aber ich möchte zumindest mal ein paar Meinungen anhören.

Wir haben ein Netzwerk mit derzeit 27 Clients (alles Windows 10), geringfügige Steigerung in den nächsten Jahren möglich aber eher unwahrscheinlich. Derzeit patche ich die MS-Produkte mit WSUS, auf allen PC's vorhandene Anwendungen wie Chrome, Firefox, Keepass etc. werden mit dem WPP installiert/gepatcht. Funktioniert auch soweit.

Leider stößt das ganze bei einigen Programmen an seine Grenzen (Visual C++, Clients für Anwendungen, etc) wo dann teilweise auch mal Turnschuh (bzw. Remotedesktop) Administration gefordert ist. Auch würde ich gerne BIOS-Updates und Treiber aktuell halten.

Außerdem hat so eine Patchmanagement Software den Vorteil, dass man aktuelle Patches auch für nicht-MS-Produkte angeboten bekommt, wo man sonst immer schauen muss ob es ne aktuellere Version gibt...

 

Ich habe mir daher mal Desktop Central von Manageengine angeschaut, da wir von denen auch den OPManager haben mit dem ich recht zufrieden bin. Leider schreckt mich da doch der Preis "etwas" ab, würde da bei knapp 1.300 €/Jahr für die Enterprise Version liegen. Professional wäre so um die 200 € günstiger, da fehlt aber dann Bios & Treiber Update.

 

Daher mal meine Umfrage an euch; lohnt sich sowas in der Größenordnung überhaupt? Kennt ihr Kunden in der Größe die sowas einsetzen oder verwaltet ihr Netzwerke in der Größe die sowas einsetzen?

 

Link to post
vor 10 Minuten schrieb Marco31:
 

knapp 1.300 €/Jahr für die Enterprise Version liegen.

 

Mal die Betriebswirtschaftsbrille aufsetzen .... wieviel Arbeitszeit würdest Du bei Dir und bei den verwalteten PCs voraussichtlich sparen? Was würde das ungefähr kosten? :achtung: ;-) ...   schwer zu berechnen wäre der eventuelle Sicherheitsgewinn, den rechtzeitig installierte Updates liefern würden.  

Link to post

Wenn es nur um die Verteilung von Software und Updates geht, ist PDQ Deploy eine günstige und gute Lösung für Umgebungen dieser Grösse. Für die komplette Verwaltung inkl. OS-Deployment kann ich highsystem.NET empfehlen. Das ist dann aber eine Preisklasse höher. Beide Tools bringen eine Bibliothek mit Standardsoftware mit. Man muss sich also nicht beim Hersteller die jeweils aktuelle Version holen, die Silent-Install-Parameter nachschauen und automatische Updates deaktivieren.

Link to post

Hi,

 

Desktop Central kann ne ganze Menge. Ich habe das in der MSP Edition (die nicht ganz so viel wie die nicht MSP kann) etwas intensiver getestet und komme zu dem Schluss, dass leider genau der Punkt Softwareverteilung etwas hakelig (und für mich) bis eher unbrauchbar ist. Hier darf leider immer nur ein Exit Code vom Installer kommen, ansonsten wird die Installation als fehlgeschlagen angezeigt. Evtl. am Beispiel:

 

  • Exit Code 0 -> Installation fertig und Ok
  • Exit Code 1 -> Installation fertig, benötigt Reboot
  • Exit Code 2 -> Installation wird nach Reboot fortgesetzt
  • Exit Code 3 - x -> Irgendein Fehler

Hier müsstest du - nach meinem Stand 11/12 2020 - per Script, angepassten MSIs oder ähnlich "drumrumbauen". Ein Reboot und Fortsetzen geht auch nur über Umwege und dann nicht mehr vom Verteilsystem kontrolliert.

 

Das Patch- und Konfigurationsmanagement fand ich richtig gut. Die "nicht MSP Edition" bringt AFAIK auch noch eine eigene Art AppLocker mit und in der UEM Version wäre noch OS Deployment und Mobile Devices mit drin. Auf der Website wäre für 50 managed Clients in der UEM Version ein Preis von ca. 952,37€ aufgerufen.

 

Bis 25 managed Devices wäre die Software AFAIK auch kostenlos. ;-)

 

Gruß

Jan

Edited by testperson
Link to post
vor 7 Stunden schrieb Marco31:

Leider stößt das ganze bei einigen Programmen an seine Grenzen (Visual C++, Clients für Anwendungen, etc) wo dann teilweise auch mal Turnschuh (bzw. Remotedesktop) Administration gefordert ist. Auch würde ich gerne BIOS-Updates und Treiber aktuell halten.

Du kannst natürlich auch Custom Update anschauen im WPP. Und je nach HW-Hersteller kann man das BIOS sicherlich auch flasher, oder mit den Tools der Hersteller Treiber bereitstellen.

 

Bedenke, dann hast Du wieder ein Software in die Du dich einarbeiten musst und die du aktuell halten musst.

Link to post

Erst mal vielen Dank für die Hinweise :-) 

@ testperson: Die Probleme von Desktop Central mit der Software-Verteilung und den Exit-Codes werde ich mal mit der zu verteilenden SW testen, danke für den Hinweis. Zum Preis für die Lizenz kommt noch ein Language Pack für knapp 300 $ dazu, wenn man das ganze auf Deutsch haben möchte... Und ja, 25 Devices sind kostenlos, aber es fehlen dann Funktionen und ich hätte zwei Clients die ich dann "zu Fuß" administrieren muss. Auch b***d.

 

@mwiederkehr: Habe mal auf der Homepage von PDQ Deploy geschaut, also preislich ist das eher noch teurer... Ohne das Inventory-Tool fehlt wenn ich das richtig lese ne ganze Menge Komfort, und wenn man Deploy und Inventory kauft ist man bei 2000 $.

 

Zum Thema BIOS und Treiber; wir haben tatsächlich Dell und HP im Einsatz, habe mir auch schon mal den Dell Katalog angeschaut im WPP... Blöderweise habe ich da noch nicht herausgefunden, wie ich nur die Treiber freigebe die auch von den Maschinen benötigt werden.... Gebe ich da alle frei und warte was angefordert wird?

 

Ja, und der Betriebswirtschaftliche Teil ist tatsächlich das was ich nur schwer einschätzen kann. Letzens musste ne Software auf allen Maschinen manuell aktualisiert werden, da ist man halt recht lange dran und muss zum Teil die Aktualisierung nach Feierabend der anderen Kollegen machen. Passiert nicht so oft, ist aber auch nicht das gelbe vom Ei ;-)

Einer der größten Vorteile von Desktop Central und Co. finde ich halt die Kataloge von Software, in denen man direkt auch wichtige oder kritische Updates hingewiesen wird. Nicht immer bekommt man gleich mit wenn was dringend aktualisiert werden muss.

 

Mal schauen. Schwierige Entscheidung :aetsch2:

 

 

Link to post
vor 4 Stunden schrieb Marco31:

Zum Thema BIOS und Treiber; wir haben tatsächlich Dell und HP im Einsatz, habe mir auch schon mal den Dell Katalog angeschaut im WPP... Blöderweise habe ich da noch nicht herausgefunden, wie ich nur die Treiber freigebe die auch von den Maschinen benötigt werden.... Gebe ich da alle frei und warte was angefordert wird?

NorbertFe hat dazu mal ein HowTo geschrieben, evtl. hilft es dir: https://www.wsus.de/veroeffentlichen-von-hardwareupdates-mit-hilfe-von-wsus-package-publisher/

Link to post
vor 4 Stunden schrieb Marco31:

Habe mal auf der Homepage von PDQ Deploy geschaut, also preislich ist das eher noch teurer... Ohne das Inventory-Tool fehlt wenn ich das richtig lese ne ganze Menge Komfort, und wenn man Deploy und Inventory kauft ist man bei 2000 $.

Speziell bei PDQ ist, dass man pro Admin und nicht pro verwaltetem Rechner bezahlt. Wenn Du der einzige Admin bist, kostet es 1000$. Der Preis ist pro Jahr. Danach läuft die Software noch, man hat jedoch keinen Zugriff mehr auf die Package Library und ohne die ist der grosse Vorteil dahin.

Link to post
Am 2.4.2021 um 22:45 schrieb Sunny61:

NorbertFe hat dazu mal ein HowTo geschrieben, evtl. hilft es dir: https://www.wsus.de/veroeffentlichen-von-hardwareupdates-mit-hilfe-von-wsus-package-publisher/

Hmm, habe mir das mal angeschaut und testweise den Agent installiert. Habe aber noch nicht herausgefunden, wie da überhaupt auf relevante Updates gefiltert werden soll... Muss ich wissen welche Maschinen welche Updates brauchen und dann selektiv freigeben? Gebe ich alle frei (die dann blöderweise ja auch alle runtergeladen werden) und warte welche Maschine welches Update zieht?

Da sind noch ne Menge Fragezeichen für mich. Vielleicht liest Norbert ja mit und kann mich aufklären :-)

Link to post
vor 5 Minuten schrieb Marco31:

Muss ich wissen welche Maschinen welche Updates brauchen und dann selektiv freigeben?

Naja ich würde nicht alles freigeben, aber grundsätzlich installiert ein Computer nur die entsprechenden Updates die er benötigt und nicht alle die freigegeben sind. ;) musst also nix selektiv freigeben.

Link to post

Ok. Also wenn ich nicht genau weiß, welche Maschine was braucht, gebe ich alle mutmaßlich benötigten Updates frei und lade auch alle herunter. Nicht so schön, aber dafür gratis ;-)

Link to post

Also berichtige mich wenn ich falsch liege, aber die Maschinen können nur Updates anfordern, die auch im WSUS sind. Und wenn ich im WPP keine Updates aus einem Katalog in den WSUS importiere (und damit auch herunterlade), hat der WSUS keinerlei Kenntnis der Updates und die Maschinen können diese auch nicht anfordern. Also müsste ich die Updates erst alle aus dem Katalog importieren, damit die PC's überhaupt "Bedarf anmelden" können... Oder liege ich hier komplett daneben? 

Link to post
vor 22 Minuten schrieb Marco31:

Also berichtige mich wenn ich falsch liege, aber die Maschinen können nur Updates anfordern, die auch im WSUS sind.

Deren META-Daten im WSUS vorhanden sind. Das komplette Update muss nicht verfügbar sein. Der Client fordert an, du genehmigst, das Update wird heruntergeladen und jetzt kann es der Client abholen und installieren.

 

Im Zweifel nur den Catalog downloaden, nichts freigeben. Das ist exakt so wie bei allen anderen Updates im WSUS auch.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...