AD Software Deployment und Patch Management
Moin,
bin gerade dabei ein Active Directory komplett basierend auf Samba 4 DC zu evaluieren. Bisher war kein AD vorhanden, dadurch das Netzwerk aber mittlerweile ungeahnte Größen annimmt, kommt man irgendwann an einer zentralen Nutzer-/Computerverwaltung und Authentifizierung nicht mehr vorbei. Grundlegend will man sich aber nicht von Microsoft abhängig machen, es stand auch kurzzeitig der Aufbau eines OpenLDAP oder FreeIPA im Raum, was aber angesichts der vielen Windowss keinen Sinn macht. Was mich nun zu meinem Problem führt... wenn man ein AD hat, will man auch am besten gleich eine zentrale Software-Verwaltung (Verteilung und Patch/Updates).
Jetzt gibt es es ja die GPO-Softwareverteilung und damit gibt es folgende Probleme:
In einen Technet-Threads konnte ich entnehmen, das MS selbst nicht mehr empfiehlt diese Option zu verwenden und stattdessen zu einem WSUS rät. Dies würde aber bedeuten das ich hier mindestens eine Windows Server Lizenz anschaffen muss, wäre noch vertretbar, aber wenn es andere Optionen gibt will ich es lieber vermeiden.
Gibt es den andere praktikable Optionen neben reinen Update-Management auch eine zentrale Software-Verteilung zu realisieren, die sich ins AD integrieren lässt?
Gruß
bin gerade dabei ein Active Directory komplett basierend auf Samba 4 DC zu evaluieren. Bisher war kein AD vorhanden, dadurch das Netzwerk aber mittlerweile ungeahnte Größen annimmt, kommt man irgendwann an einer zentralen Nutzer-/Computerverwaltung und Authentifizierung nicht mehr vorbei. Grundlegend will man sich aber nicht von Microsoft abhängig machen, es stand auch kurzzeitig der Aufbau eines OpenLDAP oder FreeIPA im Raum, was aber angesichts der vielen Windowss keinen Sinn macht. Was mich nun zu meinem Problem führt... wenn man ein AD hat, will man auch am besten gleich eine zentrale Software-Verwaltung (Verteilung und Patch/Updates).
Jetzt gibt es es ja die GPO-Softwareverteilung und damit gibt es folgende Probleme:
- MSI nicht gleich MSI... z.B. Firefox kann nicht installiert werden, weil die benötigten Definitionen fehlen; LibreOffice kann nicht installiert werden, weil zuviele Sprachpakete mit kommen und Windows damit überfordert ist; Adobe Reader macht einfach gar nichts.
- Installation nur von MSI möglich
- Kein Feedback... weder ob die Pakete installiert wurden oder was es für Fehler gab
- Bisher habe ich noch nicht ein Programm gefunden das ich benötige und ein MSI-Paket hat, das ich erfolgreich per GPO-Softwareverteilung installieren konnte
In einen Technet-Threads konnte ich entnehmen, das MS selbst nicht mehr empfiehlt diese Option zu verwenden und stattdessen zu einem WSUS rät. Dies würde aber bedeuten das ich hier mindestens eine Windows Server Lizenz anschaffen muss, wäre noch vertretbar, aber wenn es andere Optionen gibt will ich es lieber vermeiden.
Gibt es den andere praktikable Optionen neben reinen Update-Management auch eine zentrale Software-Verteilung zu realisieren, die sich ins AD integrieren lässt?
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1719282301
Url: https://administrator.de/forum/ad-software-deployment-und-patch-management-1719282301.html
Ausgedruckt am: 22.12.2024 um 09:12 Uhr
8 Kommentare
Neuester Kommentar
Mahlzeit!
Für den gibt es z.B. den Customization Wizard. Damit kannst Du eine Transforms-Datei bauen, um die MSI-Automatisierung zu steuern. Ist aber eigentlich nicht notwendig.
Das ist in soweit richtig. Du könntest mittels eines MSI-Wrappers aber auch andere Pakete auf diesem Weg lostreten. Funktioniert nicht mal schlecht.
Scripting! (z.B.)
Ich habe auch Installer, die so speziell sind, dass sie sich nicht in eine MSI wrappen lassen und nur unter ganz speziellen Umständen loslaufen dürfen.
Ich verwende z.B. dafür Scripts, die den korrekten Standort prüfen, dass der Computer auch in der richtigen AD-Gruppe ist und der aktuelle Nutzer Adminrechte hat.
Damit komme ich ganz gut klar.
Gruß
Gruß zurück.
Zitat von @Fenris14:
Jetzt gibt es es ja die GPO-Softwareverteilung und damit gibt es folgende Probleme:
Im Rahmen schon, aber natürlich im Inhalt und im Ablauf gibt es horrende Unterschiede. Dennoch sollten die meisten MSI unattended durchlaufen können.Jetzt gibt es es ja die GPO-Softwareverteilung und damit gibt es folgende Probleme:
- MSI nicht gleich MSI...
Zitat von @Fenris14:
z.B. Firefox kann nicht installiert werden, weil die benötigten Definitionen fehlen;
Geht das genauer?z.B. Firefox kann nicht installiert werden, weil die benötigten Definitionen fehlen;
Zitat von @Fenris14:
LibreOffice kann nicht installiert werden, weil zuviele Sprachpakete mit kommen und Windows damit überfordert ist;
Wie stellt sich das dar?LibreOffice kann nicht installiert werden, weil zuviele Sprachpakete mit kommen und Windows damit überfordert ist;
Für den gibt es z.B. den Customization Wizard. Damit kannst Du eine Transforms-Datei bauen, um die MSI-Automatisierung zu steuern. Ist aber eigentlich nicht notwendig.
Das ist in soweit richtig. Du könntest mittels eines MSI-Wrappers aber auch andere Pakete auf diesem Weg lostreten. Funktioniert nicht mal schlecht.
Zitat von @Fenris14:
Doch. Aber nur im Eventlog des jeweiligen Computers.- Kein Feedback... weder ob die Pakete installiert wurden oder was es für Fehler gab
Zitat von @Fenris14:
Gibt es den andere praktikable Optionen neben reinen Update-Management auch eine zentrale Software-Verteilung zu realisieren, die sich ins AD integrieren lässt?
- Bisher habe ich noch nicht ein Programm gefunden das ich benötige und ein MSI-Paket hat, das ich erfolgreich per GPO-Softwareverteilung installieren konnte
Gibt es den andere praktikable Optionen neben reinen Update-Management auch eine zentrale Software-Verteilung zu realisieren, die sich ins AD integrieren lässt?
Scripting! (z.B.)
Ich habe auch Installer, die so speziell sind, dass sie sich nicht in eine MSI wrappen lassen und nur unter ganz speziellen Umständen loslaufen dürfen.
Ich verwende z.B. dafür Scripts, die den korrekten Standort prüfen, dass der Computer auch in der richtigen AD-Gruppe ist und der aktuelle Nutzer Adminrechte hat.
Damit komme ich ganz gut klar.
Gruß
Gruß zurück.
Hallo,
also Windows Softwareverteilung mittels GPO ist aus meiner Sicht ein Graus. Ich mache das im Grunde nur für LADPS, da will ich, dass der Computer, sobald er in der Domäne ist, sofort LADPS erhält. Alles andere mache ich anders - allerdings auch Windowsbasiert.
Wenn Du eh von Linux aus arbeitest, fällt mir hier OPSI ein. https://www.opsi.org/de/
Grüße
lcer
Edit: @beidermachtvongreyscull Natürlich bekommt es auch für andere Pakete hin. Aber Spaß beim Arbeiten ist etwas anderes.
also Windows Softwareverteilung mittels GPO ist aus meiner Sicht ein Graus. Ich mache das im Grunde nur für LADPS, da will ich, dass der Computer, sobald er in der Domäne ist, sofort LADPS erhält. Alles andere mache ich anders - allerdings auch Windowsbasiert.
Wenn Du eh von Linux aus arbeitest, fällt mir hier OPSI ein. https://www.opsi.org/de/
Grüße
lcer
Edit: @beidermachtvongreyscull Natürlich bekommt es auch für andere Pakete hin. Aber Spaß beim Arbeiten ist etwas anderes.
Zitat von @lcer00:
Hallo,
also Windows Softwareverteilung mittels GPO ist aus meiner Sicht ein Graus. Ich mache das im Grunde nur für LADPS, da will ich, dass der Computer, sobald er in der Domäne ist, sofort LADPS erhält. Alles andere mache ich anders - allerdings auch Windowsbasiert.
Wenn Du eh von Linux aus arbeitest, fällt mir hier OPSI ein. https://www.opsi.org/de/
Grüße
lcer
Edit: @beidermachtvongreyscull Natürlich bekommt es auch für andere Pakete hin. Aber Spaß beim Arbeiten ist etwas anderes.
Hallo,
also Windows Softwareverteilung mittels GPO ist aus meiner Sicht ein Graus. Ich mache das im Grunde nur für LADPS, da will ich, dass der Computer, sobald er in der Domäne ist, sofort LADPS erhält. Alles andere mache ich anders - allerdings auch Windowsbasiert.
Wenn Du eh von Linux aus arbeitest, fällt mir hier OPSI ein. https://www.opsi.org/de/
Grüße
lcer
Edit: @beidermachtvongreyscull Natürlich bekommt es auch für andere Pakete hin. Aber Spaß beim Arbeiten ist etwas anderes.
Kostet opsi mittlerweile Geld?!
Wenn ich auf https://www.opsi.org/de/opsi-testen etwas von "Freischaltdatei" lese, denke ich immer: Okay! Für Kohle gibt's Freischaltung. Wenn ich aber auf den Webseiten nix von Preisen lese, befürchte ich immer, die sind so hoch, dass man die Leute nicht vergraulen will, sondern erstmal anfixen und dann melken.
Gruß
bdmvg
WPKG wäre eine Möglichkeit für euer Patchmanagement. Einfacher geht's kaum. Läuft alles über XML-Dateien, die in einem Share liegen, den Rest macht der Client selbst. Leider hat man dafür weniger Kontrolle/Reporting über das ganze als bei anderen Produkten. Aber es gibt zumindest Logfiles bei Fehlern.
Auf der Webseite von WPKG oder hier github.com/mycroes/wpkg findet man zu vielen Programmen Beispiele zur Konfiguration der Unattendet installation.
Auf der Webseite von WPKG oder hier github.com/mycroes/wpkg findet man zu vielen Programmen Beispiele zur Konfiguration der Unattendet installation.