10
Installationszeitpunkt einer MSI via GPO (Client im Homeoffice)
Hallo zusammen,
folgendes Szenario spielt
in einem kleinen Firmennetzerk:
- Wir haben einen Server hinter einer Fortigate Firewall
- Darauf läuft ein VServer und der fungiert als Domänencontroller
- Ich erstelle nun ein GPO, welches eine MSI Datei silent auf allen Client-Laptops installieren soll, sobald diese das nächste mal verbunden sind.
- Das GPO weise ich den jeweiligen Computern zu.
Nun auf Client Seite:
- Der Mitarbeiter sitzt zuhause im Homeoffice hinter seiner Fritzbox, ist also nicht mit dem Firmennetzwerk verbunden.
- Er loggt sich über seinen AD Windows User ein, was dank erlaubtem "user caching" möglich ist, obwohl der Domänencontroller zu diesem Zeitpunkt für den Client nicht erreichbar ist.
- Der Mitarbeiter loggt sich nun per "Forticlient VPN" erfolgreich ins Firmennetzwerk ein. Der Client könnte also nun eine Verbindung zum Domänencontroller herstellen.
Meine Fragen:
1. Stellt der Client automatisch die Verbindung zum Domänencontroller her, sobald dieser erreichbar ist, sprich sobal die VPN-Verbindung manuell aufgebaut wurde?
2. Werden zu diesem Zeitpunkt dann auch alle GPPs und GPOs aktualisiert und auch sofort ausgeführt?
3. Würde also zu diesem Zeitpunkt auch sofort die MSI installiert werden? Geht das "Silent" also ohne User-Interaktion im Hintergrund?
Danke für eure Hilfe.
Schöne Grüße!
folgendes Szenario spielt
in einem kleinen Firmennetzerk:
- Wir haben einen Server hinter einer Fortigate Firewall
- Darauf läuft ein VServer und der fungiert als Domänencontroller
- Ich erstelle nun ein GPO, welches eine MSI Datei silent auf allen Client-Laptops installieren soll, sobald diese das nächste mal verbunden sind.
- Das GPO weise ich den jeweiligen Computern zu.
Nun auf Client Seite:
- Der Mitarbeiter sitzt zuhause im Homeoffice hinter seiner Fritzbox, ist also nicht mit dem Firmennetzwerk verbunden.
- Er loggt sich über seinen AD Windows User ein, was dank erlaubtem "user caching" möglich ist, obwohl der Domänencontroller zu diesem Zeitpunkt für den Client nicht erreichbar ist.
- Der Mitarbeiter loggt sich nun per "Forticlient VPN" erfolgreich ins Firmennetzwerk ein. Der Client könnte also nun eine Verbindung zum Domänencontroller herstellen.
Meine Fragen:
1. Stellt der Client automatisch die Verbindung zum Domänencontroller her, sobald dieser erreichbar ist, sprich sobal die VPN-Verbindung manuell aufgebaut wurde?
2. Werden zu diesem Zeitpunkt dann auch alle GPPs und GPOs aktualisiert und auch sofort ausgeführt?
3. Würde also zu diesem Zeitpunkt auch sofort die MSI installiert werden? Geht das "Silent" also ohne User-Interaktion im Hintergrund?
Danke für eure Hilfe.
Schöne Grüße!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1667534327
Url: https://administrator.de/contentid/1667534327
Printed on: April 23, 2024 at 13:04 o'clock
10 Comments
Latest comment
Moin,
Ja. Wenn er die Domäne sehen kann, wird er beim nächsten Ereignis (z.B. Authentifizierung) diese abfragen.
Meine Fragen:
1. Stellt der Client automatisch die Verbindung zum Domänencontroller her, sobald dieser erreichbar ist, sprich sobal die VPN-Verbindung manuell aufgebaut wurde?
1. Stellt der Client automatisch die Verbindung zum Domänencontroller her, sobald dieser erreichbar ist, sprich sobal die VPN-Verbindung manuell aufgebaut wurde?
Ja. Wenn er die Domäne sehen kann, wird er beim nächsten Ereignis (z.B. Authentifizierung) diese abfragen.
2. Werden zu diesem Zeitpunkt dann auch alle GPPs und GPOs aktualisiert und auch sofort ausgeführt?
Nach meiner Erfahrung nein.3. Würde also zu diesem Zeitpunkt auch sofort die MSI installiert werden? Geht das "Silent" also ohne User-Interaktion im Hintergrund?
Nach meiner Erfahrung nein. Die Installation übernimmt ja Dein Computer über sein Computerkonto. Die Installation wird normalerweise noch vor der Nutzeranmeldung ausgeführt. Dazu müsste das VPN aber schon vorher aufgebaut sein.Danke für eure Hilfe.
Gerne doch!Schöne Grüße!
Schöne Grüße
1
Hi
1. Ja
2+3:
Nein. Es gibt einen festen Intervall wann das aktualisiert wird. Sobald der erreicht ist gibt's neue Settings. Eine Installation allerdings erfolgt beim Login. Das wird also nichts.
Workaround: erstelle eine geplante -einmalige- Aufgabe die dir die Datei installiert.
Sauber: kaufe dir eine Software wie PDQ deploy oder SCCM.
1. Ja
2+3:
Nein. Es gibt einen festen Intervall wann das aktualisiert wird. Sobald der erreicht ist gibt's neue Settings. Eine Installation allerdings erfolgt beim Login. Das wird also nichts.
Workaround: erstelle eine geplante -einmalige- Aufgabe die dir die Datei installiert.
Sauber: kaufe dir eine Software wie PDQ deploy oder SCCM.
Variante 3:
Installiere die Software beim Herunterfahren:
GPO -> Skript bei Shutdown -> msiexec /i ...
Installiere die Software beim Herunterfahren:
GPO -> Skript bei Shutdown -> msiexec /i ...
Dazu müsste erst die MSI übertragen sein weil sonst die VPN getrennt ist wenn das shutdownscript ausgeführt wird
Ein Nachteil, der mir in diesem Zusammenhang mit Windows 10 aufgefallen ist:
Bei Windows 7 war es möglich, Software als MSI zu veröffentlichen und Nutzer mit entsprechenden Rechten konnten über "Programme hinzufügen/entfernen" diese veröffentlichten Anwendungen tatsächlich simpel und einfach installieren.
Diese Funktion wurde in Windows 10 leider entfernt. Wirklich schade.
Bei Windows 7 war es möglich, Software als MSI zu veröffentlichen und Nutzer mit entsprechenden Rechten konnten über "Programme hinzufügen/entfernen" diese veröffentlichten Anwendungen tatsächlich simpel und einfach installieren.
Diese Funktion wurde in Windows 10 leider entfernt. Wirklich schade.
Ein MSI was dem Computer zugewiesen wird, wird beim Starten (nicht bei der Anmeldung, sondern bevor die Anmeldemaske erscheint) installiert. Das kann also nur funktionieren, wenn Euer VPN bereits beim Start, unabhängig von der Anmeldung aufgebaut wurde.
Ich empfehle, per GPO einen geplanten Task zu verteilen ("immediate Task") , der sofort nach Verteilung abgearbeitet wird und diesen auf einmalige Ausführung einzustellen. In dem Task lässt Du dann ein Skript laufen, was installiert. Als ausführendes Konto wählst Du "System".
@bdmvgs
Ich empfehle, per GPO einen geplanten Task zu verteilen ("immediate Task") , der sofort nach Verteilung abgearbeitet wird und diesen auf einmalige Ausführung einzustellen. In dem Task lässt Du dann ein Skript laufen, was installiert. Als ausführendes Konto wählst Du "System".
@bdmvgs
Diese Funktion wurde in Windows 10 leider entfernt.
Nein, ist noch unverändert drin, nutzen wir.Zitat von @DerWoWusste:
@bdmvgs
@bdmvgs
Diese Funktion wurde in Windows 10 leider entfernt.
Nein, ist noch unverändert drin, nutzen wir.Nutzt Ihr die Enterprise Edition?
In der Pro sehe ich sie nicht.
Nee, pro. Mach Mal PN und erklär, was du nicht siehst.
Per GPO Aufgabenplanung alle Stunde ein Skript ausführen, welche die Verbindung prüft, wenn vorhanden Datei in einen tmp Ordner herunterladen, installieren und Logfile generieren (kann man dann ins Skript reinbasteln, das wenn diese Datei vorhanden ist, die Installation übersprungen wird).
Ganz herzlichen Dank für eure Tipps.
Der Ansatz, das über einen "immediate Task" zur einmaligen Ausführung zu lösen ist super! Ich werde das ausprobieren.
Gutes Neues Jahr an alle!
Der Ansatz, das über einen "immediate Task" zur einmaligen Ausführung zu lösen ist super! Ich werde das ausprobieren.
Gutes Neues Jahr an alle!
