fenris14
Goto Top

AD Software Deployment und Patch Management

Moin,

bin gerade dabei ein Active Directory komplett basierend auf Samba 4 DC zu evaluieren. Bisher war kein AD vorhanden, dadurch das Netzwerk aber mittlerweile ungeahnte Größen annimmt, kommt man irgendwann an einer zentralen Nutzer-/Computerverwaltung und Authentifizierung nicht mehr vorbei. Grundlegend will man sich aber nicht von Microsoft abhängig machen, es stand auch kurzzeitig der Aufbau eines OpenLDAP oder FreeIPA im Raum, was aber angesichts der vielen Windowss keinen Sinn macht. Was mich nun zu meinem Problem führt... wenn man ein AD hat, will man auch am besten gleich eine zentrale Software-Verwaltung (Verteilung und Patch/Updates).

Jetzt gibt es es ja die GPO-Softwareverteilung und damit gibt es folgende Probleme:

  • MSI nicht gleich MSI... z.B. Firefox kann nicht installiert werden, weil die benötigten Definitionen fehlen; LibreOffice kann nicht installiert werden, weil zuviele Sprachpakete mit kommen und Windows damit überfordert ist; Adobe Reader macht einfach gar nichts.
  • Installation nur von MSI möglich
  • Kein Feedback... weder ob die Pakete installiert wurden oder was es für Fehler gab
  • Bisher habe ich noch nicht ein Programm gefunden das ich benötige und ein MSI-Paket hat, das ich erfolgreich per GPO-Softwareverteilung installieren konnte

In einen Technet-Threads konnte ich entnehmen, das MS selbst nicht mehr empfiehlt diese Option zu verwenden und stattdessen zu einem WSUS rät. Dies würde aber bedeuten das ich hier mindestens eine Windows Server Lizenz anschaffen muss, wäre noch vertretbar, aber wenn es andere Optionen gibt will ich es lieber vermeiden.

Gibt es den andere praktikable Optionen neben reinen Update-Management auch eine zentrale Software-Verteilung zu realisieren, die sich ins AD integrieren lässt?

Gruß

Content-ID: 1719282301

Url: https://administrator.de/forum/ad-software-deployment-und-patch-management-1719282301.html

Ausgedruckt am: 22.12.2024 um 09:12 Uhr

beidermachtvongreyscull
beidermachtvongreyscull 13.01.2022 um 15:00:47 Uhr
Goto Top
Zitat von @Fenris14:
Moin,
Mahlzeit!

Zitat von @Fenris14:
Jetzt gibt es es ja die GPO-Softwareverteilung und damit gibt es folgende Probleme:
  • MSI nicht gleich MSI...
Im Rahmen schon, aber natürlich im Inhalt und im Ablauf gibt es horrende Unterschiede. Dennoch sollten die meisten MSI unattended durchlaufen können.

Zitat von @Fenris14:
z.B. Firefox kann nicht installiert werden, weil die benötigten Definitionen fehlen;
Geht das genauer?

Zitat von @Fenris14:
LibreOffice kann nicht installiert werden, weil zuviele Sprachpakete mit kommen und Windows damit überfordert ist;
Wie stellt sich das dar?

Zitat von @Fenris14:
Adobe Reader macht einfach gar nichts.
Für den gibt es z.B. den Customization Wizard. Damit kannst Du eine Transforms-Datei bauen, um die MSI-Automatisierung zu steuern. Ist aber eigentlich nicht notwendig.

Zitat von @Fenris14:
  • Installation nur von MSI möglich
Das ist in soweit richtig. Du könntest mittels eines MSI-Wrappers aber auch andere Pakete auf diesem Weg lostreten. Funktioniert nicht mal schlecht.

Zitat von @Fenris14:
  • Kein Feedback... weder ob die Pakete installiert wurden oder was es für Fehler gab
Doch. Aber nur im Eventlog des jeweiligen Computers.

Zitat von @Fenris14:
  • Bisher habe ich noch nicht ein Programm gefunden das ich benötige und ein MSI-Paket hat, das ich erfolgreich per GPO-Softwareverteilung installieren konnte
In einen Technet-Threads konnte ich entnehmen, das MS selbst nicht mehr empfiehlt diese Option zu verwenden und stattdessen zu einem WSUS rät. Dies würde aber bedeuten das ich hier mindestens eine Windows Server Lizenz anschaffen muss, wäre noch vertretbar, aber wenn es andere Optionen gibt will ich es lieber vermeiden.

Gibt es den andere praktikable Optionen neben reinen Update-Management auch eine zentrale Software-Verteilung zu realisieren, die sich ins AD integrieren lässt?

Scripting! (z.B.)
Ich habe auch Installer, die so speziell sind, dass sie sich nicht in eine MSI wrappen lassen und nur unter ganz speziellen Umständen loslaufen dürfen.

Ich verwende z.B. dafür Scripts, die den korrekten Standort prüfen, dass der Computer auch in der richtigen AD-Gruppe ist und der aktuelle Nutzer Adminrechte hat.

Damit komme ich ganz gut klar.


Gruß

Gruß zurück.
lcer00
lcer00 13.01.2022 aktualisiert um 15:05:54 Uhr
Goto Top
Hallo,

also Windows Softwareverteilung mittels GPO ist aus meiner Sicht ein Graus. Ich mache das im Grunde nur für LADPS, da will ich, dass der Computer, sobald er in der Domäne ist, sofort LADPS erhält. Alles andere mache ich anders - allerdings auch Windowsbasiert.

Wenn Du eh von Linux aus arbeitest, fällt mir hier OPSI ein. https://www.opsi.org/de/

Grüße

lcer

Edit: @beidermachtvongreyscull Natürlich bekommt es auch für andere Pakete hin. Aber Spaß beim Arbeiten ist etwas anderes.
Looser27
Lösung Looser27 13.01.2022 um 15:20:15 Uhr
Goto Top
OPSI, gerade wenn Du Dich schon on der Linux Welt auskennst.
beidermachtvongreyscull
beidermachtvongreyscull 13.01.2022 um 16:17:16 Uhr
Goto Top
Zitat von @lcer00:

Hallo,

also Windows Softwareverteilung mittels GPO ist aus meiner Sicht ein Graus. Ich mache das im Grunde nur für LADPS, da will ich, dass der Computer, sobald er in der Domäne ist, sofort LADPS erhält. Alles andere mache ich anders - allerdings auch Windowsbasiert.

Wenn Du eh von Linux aus arbeitest, fällt mir hier OPSI ein. https://www.opsi.org/de/

Grüße

lcer

Edit: @beidermachtvongreyscull Natürlich bekommt es auch für andere Pakete hin. Aber Spaß beim Arbeiten ist etwas anderes.

Kostet opsi mittlerweile Geld?!
Wenn ich auf https://www.opsi.org/de/opsi-testen etwas von "Freischaltdatei" lese, denke ich immer: Okay! Für Kohle gibt's Freischaltung. Wenn ich aber auf den Webseiten nix von Preisen lese, befürchte ich immer, die sind so hoch, dass man die Leute nicht vergraulen will, sondern erstmal anfixen und dann melken. face-big-smile

Gruß
bdmvg
bauinformatiker
Lösung bauinformatiker 13.01.2022 um 18:18:34 Uhr
Goto Top
WPKG wäre eine Möglichkeit für euer Patchmanagement. Einfacher geht's kaum. Läuft alles über XML-Dateien, die in einem Share liegen, den Rest macht der Client selbst. Leider hat man dafür weniger Kontrolle/Reporting über das ganze als bei anderen Produkten. Aber es gibt zumindest Logfiles bei Fehlern.

Auf der Webseite von WPKG oder hier github.com/mycroes/wpkg findet man zu vielen Programmen Beispiele zur Konfiguration der Unattendet installation.
Fenris14
Fenris14 13.01.2022 um 18:19:15 Uhr
Goto Top
Also wenn ich es richtig verstehe sind nur die Erweiterungen kostenpflichtig.

Ich bin gerade dabei es mir zu installieren und zu schauen ob es praktikabel ist. Download und Installation bisher ohne Probleme. An der Einrichtung hakt es jetzt aber noch.

@beidermachtvongreyscull
Ansonsten um auf deine Frage zurückzukommen:

Firefox und Adobe Reader habe ich zwischenzeitlich hinbekommen. Es liegt hauptsächlich daran das die Netzwerkkarte nicht schnell genug da ist und Windows nicht gleich die Gruppenrichtlinien abarbeitet. Beide zeitlichen Limits kann man per GPO anpassen. Beim Reader war noch zusätzlich mit dem angesprochenen Wizard eine Anpassung fällig.

Beim LibreOffice kam folgender Fehler:

“Das Hinzufügen ist fehlgeschlagen. Die Bereitstellunginformationen konnten vom Paket nicht abgerufen werden. Stellen sie sicher, dass das Paket richtig ist.”

Das konnte ich aber ebenfalls beheben. Dazu braucht man Orca aus dem aktuellen Windows SDK von MS. Dort in den Summary Informationen im Feld Languages stehen zuviele Ländercodes drin. Dort alles raus löschen und "1031" für Deutsch eintragen. Speichern. Fertig.
Looser27
Looser27 13.01.2022 aktualisiert um 19:48:20 Uhr
Goto Top
Es gibt diverse Anleitungen zu OPSI. Auch zur Verwendung des Setup Detectors und des Package Builders.
Klingt komplizierter als es ist.

Einfach mal reinknien.

ORCA braucht man eigentlich immer zum Anpassen der msi Pakete. Auch mit OPSI.
Dirmhirn
Dirmhirn 13.01.2022 um 21:28:30 Uhr
Goto Top
Hi,
wir nutzen eigentlich immer weniger MSIs. Besonders keine selbst erstellen. Powershell tuts auch und hatte bis jetzt erst ein tool das keinen silent Mode hatte.

Puppet gibts da auch noch aber keine Erfahrung. Haben vor paar Jahren doch SCCM bekommen.
Sg Dirm