MSI-Pakete per GPO verteilen funktioniert nicht immer

[MarcoW75 10]

Hallo,
wir haben eine Domäne auf Basis von Windows Server 2016 im Einsatz.  Die meisten User arbeiten hauptsächlich mit Office 2019, einige User haben auch noch ein Programm zur Finanzverwaltung, andere zur Personalverwaltung oder auch mal irgendwelche Software für Architekten im Einsatz. Da ändert sich also nur selten was an der softwaremäßigen Ausstattung der Clients und außer Updates wird halt selten was Neues eingespielt.  Allerdings beschäftigen die uns bei manchen Programmen schon recht umfangreich, weil nicht jedes Programm eine eigene Updatefunktion hat,sondern Patches etc. von manchen Herstellern nur als manuell zu installierende Datei bereitgestellt werden. Sprich: Da darf man dann als Admin an jeden Client-Rechner rennen,um das Update einzuspielen und ggf. die Admin-Zugangsdaten einzugeben, wenn das Programm diese erfordert (´ne Remote-Lösung ist erst in Planung...ist halt öffentlicher Dienst, da dauert die Genehmigung eine Ewigkeit). 

Nun, theoretisch könnte man die Updates per GPO verteilen (sofern die als msi-Datei bereitgestellt werden), die sich dann beim Login n die Domäne automatisch verteilt...das würde auch die Eingabe der Admindaten erübrigen. Und genau da beginnt mein Problem:  Da ich das schon seit Jahren nicht mehr gemacht habe, habe ich es erstmal testweise auf einem einzelnen Windows 10-Client getestet und wollte testweise msi-Dateien von 7zip, FreeCommander und Filezilla so verteilen. D.h. User in eine OU gesteckt, 3 einzelne Gruppenrichtlinien (für jedes Programm eins) zur Softwareverteilung angelegt (die Installationsdateien liegen auf unserem Fileserver) und auf die OU angewendet.  Ergebnis: von den 3 Programmen wird nur Filezilla installiert, die anderen beiden nicht. Testweise hab ich es dann auch nochmal mit den beiden Programmen probiert, die wir ursprünglich verteilen wollten, auch die wurden nicht installiert. D.h. von 5 Programmen, die per GPO installiert werden sollen, funktioniert es nur bei einem, obwohl die Einstellungen überall gleich sind.  Testweise habe ich dann mal alle 5 zu installierenden Files in die GPO mit reingepackt, wo die Verteilung für Filezilla drinstand. Auch dann wird nur Filezilla installiert, der Rest nicht.  Hat jemand eine Idee,wieso das nur bei einem von 5 Programmen funktioniert ?

Interessant ist auch, dass ein gpresult /r auf dem Client anzeigt, dass auf ihn nur die Default Domain Policy wirken würde,obwohl die zur Installation von Filezilla ja nun definitiv auch angewendet wurde. Ach ja: einen weiteren Unterschied gibts noch: Wenn ich auf dem Server ein gpupdate /force mache und dann auf dem Client nochmal, dann kommt nur bei der GPO für Filezilla der längere Text, dass ein Geräteneustart für die Installation der Programme via GPO nötig ist...bei den anderen 4 kommt nur das obligatorische "Die Aktualisierung der Computerrichtlinie wurde erfolgreich abgeschlossen.".

 

[NorbertFe 1.805]

vor 40 Minuten schrieb MarcoW75:

Nun, theoretisch könnte man die Updates per GPO verteilen (sofern die als msi-Datei bereitgestellt werden), die sich dann beim Login n die Domäne automatisch verteilt

Nun theoretisch sollte sich inzwischen rumgesprochen haben, dass das die umständlichste Methode fürs software deployment ist. Falls wsus im Einsatz sein sollte, nimm den plus wpp und verteile damit. Hat den Vorteil, dass nicht nur msi gehen.

[Sunny61 773]

Norbert hat ja schon auf den WSUS und den WPP verwiesen, hier noch ein Link zu HowTos: https://www.wsus.de/

WPP: https://github.com/DCourtel/Wsus_Package_Publisher

Wenn es mehr sein soll, schau dir Ansible an: https://www.ansible.com/ https://de.wikipedia.org/wiki/Ansible

Ist sicher nicht so schnell wie der WSUS in Verbindung mit dem WPP eingerichtet, dafür aber sehr viel umfangreicher in den Möglichkeiten.