8
AD Software Deployment und Patch Management
Moin,
bin gerade dabei ein Active Directory komplett basierend auf Samba 4 DC zu evaluieren. Bisher war kein AD vorhanden, dadurch das Netzwerk aber mittlerweile ungeahnte Größen annimmt, kommt man irgendwann an einer zentralen Nutzer-/Computerverwaltung und Authentifizierung nicht mehr vorbei. Grundlegend will man sich aber nicht von Microsoft abhängig machen, es stand auch kurzzeitig der Aufbau eines OpenLDAP oder FreeIPA im Raum, was aber angesichts der vielen Windowss keinen Sinn macht. Was mich nun zu meinem Problem führt... wenn man ein AD hat, will man auch am besten gleich eine zentrale Software-Verwaltung (Verteilung und Patch/Updates).
Jetzt gibt es es ja die GPO-Softwareverteilung und damit gibt es folgende Probleme:
In einen Technet-Threads konnte ich entnehmen, das MS selbst nicht mehr empfiehlt diese Option zu verwenden und stattdessen zu einem WSUS rät. Dies würde aber bedeuten das ich hier mindestens eine Windows Server Lizenz anschaffen muss, wäre noch vertretbar, aber wenn es andere Optionen gibt will ich es lieber vermeiden.
Gibt es den andere praktikable Optionen neben reinen Update-Management auch eine zentrale Software-Verteilung zu realisieren, die sich ins AD integrieren lässt?
Gruß
bin gerade dabei ein Active Directory komplett basierend auf Samba 4 DC zu evaluieren. Bisher war kein AD vorhanden, dadurch das Netzwerk aber mittlerweile ungeahnte Größen annimmt, kommt man irgendwann an einer zentralen Nutzer-/Computerverwaltung und Authentifizierung nicht mehr vorbei. Grundlegend will man sich aber nicht von Microsoft abhängig machen, es stand auch kurzzeitig der Aufbau eines OpenLDAP oder FreeIPA im Raum, was aber angesichts der vielen Windowss keinen Sinn macht. Was mich nun zu meinem Problem führt... wenn man ein AD hat, will man auch am besten gleich eine zentrale Software-Verwaltung (Verteilung und Patch/Updates).
Jetzt gibt es es ja die GPO-Softwareverteilung und damit gibt es folgende Probleme:
- MSI nicht gleich MSI... z.B. Firefox kann nicht installiert werden, weil die benötigten Definitionen fehlen; LibreOffice kann nicht installiert werden, weil zuviele Sprachpakete mit kommen und Windows damit überfordert ist; Adobe Reader macht einfach gar nichts.
- Installation nur von MSI möglich
- Kein Feedback... weder ob die Pakete installiert wurden oder was es für Fehler gab
- Bisher habe ich noch nicht ein Programm gefunden das ich benötige und ein MSI-Paket hat, das ich erfolgreich per GPO-Softwareverteilung installieren konnte
In einen Technet-Threads konnte ich entnehmen, das MS selbst nicht mehr empfiehlt diese Option zu verwenden und stattdessen zu einem WSUS rät. Dies würde aber bedeuten das ich hier mindestens eine Windows Server Lizenz anschaffen muss, wäre noch vertretbar, aber wenn es andere Optionen gibt will ich es lieber vermeiden.
Gibt es den andere praktikable Optionen neben reinen Update-Management auch eine zentrale Software-Verteilung zu realisieren, die sich ins AD integrieren lässt?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1719282301
Url: https://administrator.de/contentid/1719282301
Printed on: April 24, 2024 at 06:04 o'clock
8 Comments
Latest comment
Mahlzeit!
Für den gibt es z.B. den Customization Wizard. Damit kannst Du eine Transforms-Datei bauen, um die MSI-Automatisierung zu steuern. Ist aber eigentlich nicht notwendig.
Das ist in soweit richtig. Du könntest mittels eines MSI-Wrappers aber auch andere Pakete auf diesem Weg lostreten. Funktioniert nicht mal schlecht.
Scripting! (z.B.)
Ich habe auch Installer, die so speziell sind, dass sie sich nicht in eine MSI wrappen lassen und nur unter ganz speziellen Umständen loslaufen dürfen.
Ich verwende z.B. dafür Scripts, die den korrekten Standort prüfen, dass der Computer auch in der richtigen AD-Gruppe ist und der aktuelle Nutzer Adminrechte hat.
Damit komme ich ganz gut klar.
Gruß
Gruß zurück.
Zitat von @Fenris14:
Jetzt gibt es es ja die GPO-Softwareverteilung und damit gibt es folgende Probleme:
Im Rahmen schon, aber natürlich im Inhalt und im Ablauf gibt es horrende Unterschiede. Dennoch sollten die meisten MSI unattended durchlaufen können.Jetzt gibt es es ja die GPO-Softwareverteilung und damit gibt es folgende Probleme:
- MSI nicht gleich MSI...
Zitat von @Fenris14:
z.B. Firefox kann nicht installiert werden, weil die benötigten Definitionen fehlen;
Geht das genauer?z.B. Firefox kann nicht installiert werden, weil die benötigten Definitionen fehlen;
Zitat von @Fenris14:
LibreOffice kann nicht installiert werden, weil zuviele Sprachpakete mit kommen und Windows damit überfordert ist;
Wie stellt sich das dar?LibreOffice kann nicht installiert werden, weil zuviele Sprachpakete mit kommen und Windows damit überfordert ist;
Für den gibt es z.B. den Customization Wizard. Damit kannst Du eine Transforms-Datei bauen, um die MSI-Automatisierung zu steuern. Ist aber eigentlich nicht notwendig.
Das ist in soweit richtig. Du könntest mittels eines MSI-Wrappers aber auch andere Pakete auf diesem Weg lostreten. Funktioniert nicht mal schlecht.
Zitat von @Fenris14:
Doch. Aber nur im Eventlog des jeweiligen Computers.- Kein Feedback... weder ob die Pakete installiert wurden oder was es für Fehler gab
Zitat von @Fenris14:
Gibt es den andere praktikable Optionen neben reinen Update-Management auch eine zentrale Software-Verteilung zu realisieren, die sich ins AD integrieren lässt?
- Bisher habe ich noch nicht ein Programm gefunden das ich benötige und ein MSI-Paket hat, das ich erfolgreich per GPO-Softwareverteilung installieren konnte
Gibt es den andere praktikable Optionen neben reinen Update-Management auch eine zentrale Software-Verteilung zu realisieren, die sich ins AD integrieren lässt?
Scripting! (z.B.)
Ich habe auch Installer, die so speziell sind, dass sie sich nicht in eine MSI wrappen lassen und nur unter ganz speziellen Umständen loslaufen dürfen.
Ich verwende z.B. dafür Scripts, die den korrekten Standort prüfen, dass der Computer auch in der richtigen AD-Gruppe ist und der aktuelle Nutzer Adminrechte hat.
Damit komme ich ganz gut klar.
Gruß
Gruß zurück.
Hallo,
also Windows Softwareverteilung mittels GPO ist aus meiner Sicht ein Graus. Ich mache das im Grunde nur für LADPS, da will ich, dass der Computer, sobald er in der Domäne ist, sofort LADPS erhält. Alles andere mache ich anders - allerdings auch Windowsbasiert.
Wenn Du eh von Linux aus arbeitest, fällt mir hier OPSI ein. https://www.opsi.org/de/
Grüße
lcer
Edit: @beidermachtvongreyscull Natürlich bekommt es auch für andere Pakete hin. Aber Spaß beim Arbeiten ist etwas anderes.
also Windows Softwareverteilung mittels GPO ist aus meiner Sicht ein Graus. Ich mache das im Grunde nur für LADPS, da will ich, dass der Computer, sobald er in der Domäne ist, sofort LADPS erhält. Alles andere mache ich anders - allerdings auch Windowsbasiert.
Wenn Du eh von Linux aus arbeitest, fällt mir hier OPSI ein. https://www.opsi.org/de/
Grüße
lcer
Edit: @beidermachtvongreyscull Natürlich bekommt es auch für andere Pakete hin. Aber Spaß beim Arbeiten ist etwas anderes.
OPSI, gerade wenn Du Dich schon on der Linux Welt auskennst.
Zitat von @lcer00:
Hallo,
also Windows Softwareverteilung mittels GPO ist aus meiner Sicht ein Graus. Ich mache das im Grunde nur für LADPS, da will ich, dass der Computer, sobald er in der Domäne ist, sofort LADPS erhält. Alles andere mache ich anders - allerdings auch Windowsbasiert.
Wenn Du eh von Linux aus arbeitest, fällt mir hier OPSI ein. https://www.opsi.org/de/
Grüße
lcer
Edit: @beidermachtvongreyscull Natürlich bekommt es auch für andere Pakete hin. Aber Spaß beim Arbeiten ist etwas anderes.
Hallo,
also Windows Softwareverteilung mittels GPO ist aus meiner Sicht ein Graus. Ich mache das im Grunde nur für LADPS, da will ich, dass der Computer, sobald er in der Domäne ist, sofort LADPS erhält. Alles andere mache ich anders - allerdings auch Windowsbasiert.
Wenn Du eh von Linux aus arbeitest, fällt mir hier OPSI ein. https://www.opsi.org/de/
Grüße
lcer
Edit: @beidermachtvongreyscull Natürlich bekommt es auch für andere Pakete hin. Aber Spaß beim Arbeiten ist etwas anderes.
Kostet opsi mittlerweile Geld?!
Wenn ich auf https://www.opsi.org/de/opsi-testen etwas von "Freischaltdatei" lese, denke ich immer: Okay! Für Kohle gibt's Freischaltung. Wenn ich aber auf den Webseiten nix von Preisen lese, befürchte ich immer, die sind so hoch, dass man die Leute nicht vergraulen will, sondern erstmal anfixen und dann melken.
Gruß
bdmvg
WPKG wäre eine Möglichkeit für euer Patchmanagement. Einfacher geht's kaum. Läuft alles über XML-Dateien, die in einem Share liegen, den Rest macht der Client selbst. Leider hat man dafür weniger Kontrolle/Reporting über das ganze als bei anderen Produkten. Aber es gibt zumindest Logfiles bei Fehlern.
Auf der Webseite von WPKG oder hier github.com/mycroes/wpkg findet man zu vielen Programmen Beispiele zur Konfiguration der Unattendet installation.
Auf der Webseite von WPKG oder hier github.com/mycroes/wpkg findet man zu vielen Programmen Beispiele zur Konfiguration der Unattendet installation.
Also wenn ich es richtig verstehe sind nur die Erweiterungen kostenpflichtig.
Ich bin gerade dabei es mir zu installieren und zu schauen ob es praktikabel ist. Download und Installation bisher ohne Probleme. An der Einrichtung hakt es jetzt aber noch.
@beidermachtvongreyscull
Ansonsten um auf deine Frage zurückzukommen:
Firefox und Adobe Reader habe ich zwischenzeitlich hinbekommen. Es liegt hauptsächlich daran das die Netzwerkkarte nicht schnell genug da ist und Windows nicht gleich die Gruppenrichtlinien abarbeitet. Beide zeitlichen Limits kann man per GPO anpassen. Beim Reader war noch zusätzlich mit dem angesprochenen Wizard eine Anpassung fällig.
Beim LibreOffice kam folgender Fehler:
“Das Hinzufügen ist fehlgeschlagen. Die Bereitstellunginformationen konnten vom Paket nicht abgerufen werden. Stellen sie sicher, dass das Paket richtig ist.”
Das konnte ich aber ebenfalls beheben. Dazu braucht man Orca aus dem aktuellen Windows SDK von MS. Dort in den Summary Informationen im Feld Languages stehen zuviele Ländercodes drin. Dort alles raus löschen und "1031" für Deutsch eintragen. Speichern. Fertig.
Ich bin gerade dabei es mir zu installieren und zu schauen ob es praktikabel ist. Download und Installation bisher ohne Probleme. An der Einrichtung hakt es jetzt aber noch.
@beidermachtvongreyscull
Ansonsten um auf deine Frage zurückzukommen:
Firefox und Adobe Reader habe ich zwischenzeitlich hinbekommen. Es liegt hauptsächlich daran das die Netzwerkkarte nicht schnell genug da ist und Windows nicht gleich die Gruppenrichtlinien abarbeitet. Beide zeitlichen Limits kann man per GPO anpassen. Beim Reader war noch zusätzlich mit dem angesprochenen Wizard eine Anpassung fällig.
Beim LibreOffice kam folgender Fehler:
“Das Hinzufügen ist fehlgeschlagen. Die Bereitstellunginformationen konnten vom Paket nicht abgerufen werden. Stellen sie sicher, dass das Paket richtig ist.”
Das konnte ich aber ebenfalls beheben. Dazu braucht man Orca aus dem aktuellen Windows SDK von MS. Dort in den Summary Informationen im Feld Languages stehen zuviele Ländercodes drin. Dort alles raus löschen und "1031" für Deutsch eintragen. Speichern. Fertig.
Es gibt diverse Anleitungen zu OPSI. Auch zur Verwendung des Setup Detectors und des Package Builders.
Klingt komplizierter als es ist.
Einfach mal reinknien.
ORCA braucht man eigentlich immer zum Anpassen der msi Pakete. Auch mit OPSI.
Klingt komplizierter als es ist.
Einfach mal reinknien.
ORCA braucht man eigentlich immer zum Anpassen der msi Pakete. Auch mit OPSI.
Hi,
wir nutzen eigentlich immer weniger MSIs. Besonders keine selbst erstellen. Powershell tuts auch und hatte bis jetzt erst ein tool das keinen silent Mode hatte.
Puppet gibts da auch noch aber keine Erfahrung. Haben vor paar Jahren doch SCCM bekommen.
Sg Dirm
wir nutzen eigentlich immer weniger MSIs. Besonders keine selbst erstellen. Powershell tuts auch und hatte bis jetzt erst ein tool das keinen silent Mode hatte.
Puppet gibts da auch noch aber keine Erfahrung. Haben vor paar Jahren doch SCCM bekommen.
Sg Dirm
