media0815
Goto Top

Installationszeitpunkt einer MSI via GPO (Client im Homeoffice)

Hallo zusammen,
folgendes Szenario spielt
in einem kleinen Firmennetzerk:
- Wir haben einen Server hinter einer Fortigate Firewall
- Darauf läuft ein VServer und der fungiert als Domänencontroller
- Ich erstelle nun ein GPO, welches eine MSI Datei silent auf allen Client-Laptops installieren soll, sobald diese das nächste mal verbunden sind.
- Das GPO weise ich den jeweiligen Computern zu.

Nun auf Client Seite:

- Der Mitarbeiter sitzt zuhause im Homeoffice hinter seiner Fritzbox, ist also nicht mit dem Firmennetzwerk verbunden.
- Er loggt sich über seinen AD Windows User ein, was dank erlaubtem "user caching" möglich ist, obwohl der Domänencontroller zu diesem Zeitpunkt für den Client nicht erreichbar ist.
- Der Mitarbeiter loggt sich nun per "Forticlient VPN" erfolgreich ins Firmennetzwerk ein. Der Client könnte also nun eine Verbindung zum Domänencontroller herstellen.

Meine Fragen:

1. Stellt der Client automatisch die Verbindung zum Domänencontroller her, sobald dieser erreichbar ist, sprich sobal die VPN-Verbindung manuell aufgebaut wurde?
2. Werden zu diesem Zeitpunkt dann auch alle GPPs und GPOs aktualisiert und auch sofort ausgeführt?
3. Würde also zu diesem Zeitpunkt auch sofort die MSI installiert werden? Geht das "Silent" also ohne User-Interaktion im Hintergrund?

Danke für eure Hilfe.

Schöne Grüße!

Content-ID: 1667534327

Url: https://administrator.de/contentid/1667534327

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

beidermachtvongreyscull
beidermachtvongreyscull 29.12.2021 um 05:09:11 Uhr
Goto Top
Zitat von @media0815:
Hallo zusammen,
Moin,
Meine Fragen:
1. Stellt der Client automatisch die Verbindung zum Domänencontroller her, sobald dieser erreichbar ist, sprich sobal die VPN-Verbindung manuell aufgebaut wurde?

Ja. Wenn er die Domäne sehen kann, wird er beim nächsten Ereignis (z.B. Authentifizierung) diese abfragen.

2. Werden zu diesem Zeitpunkt dann auch alle GPPs und GPOs aktualisiert und auch sofort ausgeführt?
Nach meiner Erfahrung nein.

3. Würde also zu diesem Zeitpunkt auch sofort die MSI installiert werden? Geht das "Silent" also ohne User-Interaktion im Hintergrund?
Nach meiner Erfahrung nein. Die Installation übernimmt ja Dein Computer über sein Computerkonto. Die Installation wird normalerweise noch vor der Nutzeranmeldung ausgeführt. Dazu müsste das VPN aber schon vorher aufgebaut sein.

Danke für eure Hilfe.
Gerne doch!

Schöne Grüße!
Schöne Grüße
SeaStorm
Lösung SeaStorm 29.12.2021 um 07:41:29 Uhr
Goto Top
Hi
1. Ja
2+3:
Nein. Es gibt einen festen Intervall wann das aktualisiert wird. Sobald der erreicht ist gibt's neue Settings. Eine Installation allerdings erfolgt beim Login. Das wird also nichts.

Workaround: erstelle eine geplante -einmalige- Aufgabe die dir die Datei installiert.

Sauber: kaufe dir eine Software wie PDQ deploy oder SCCM.
Der-Phil
Der-Phil 29.12.2021 um 07:47:06 Uhr
Goto Top
Variante 3:
Installiere die Software beim Herunterfahren:
GPO -> Skript bei Shutdown -> msiexec /i ...
SeaStorm
SeaStorm 29.12.2021 um 08:17:38 Uhr
Goto Top
Dazu müsste erst die MSI übertragen sein weil sonst die VPN getrennt ist wenn das shutdownscript ausgeführt wird
beidermachtvongreyscull
beidermachtvongreyscull 29.12.2021 um 09:09:09 Uhr
Goto Top
Ein Nachteil, der mir in diesem Zusammenhang mit Windows 10 aufgefallen ist:

Bei Windows 7 war es möglich, Software als MSI zu veröffentlichen und Nutzer mit entsprechenden Rechten konnten über "Programme hinzufügen/entfernen" diese veröffentlichten Anwendungen tatsächlich simpel und einfach installieren.

Diese Funktion wurde in Windows 10 leider entfernt. Wirklich schade.
DerWoWusste
Lösung DerWoWusste 29.12.2021 um 11:10:31 Uhr
Goto Top
Ein MSI was dem Computer zugewiesen wird, wird beim Starten (nicht bei der Anmeldung, sondern bevor die Anmeldemaske erscheint) installiert. Das kann also nur funktionieren, wenn Euer VPN bereits beim Start, unabhängig von der Anmeldung aufgebaut wurde.

Ich empfehle, per GPO einen geplanten Task zu verteilen ("immediate Task") , der sofort nach Verteilung abgearbeitet wird und diesen auf einmalige Ausführung einzustellen. In dem Task lässt Du dann ein Skript laufen, was installiert. Als ausführendes Konto wählst Du "System".

@bdmvgs
Diese Funktion wurde in Windows 10 leider entfernt.
Nein, ist noch unverändert drin, nutzen wir.
beidermachtvongreyscull
beidermachtvongreyscull 29.12.2021 um 13:20:47 Uhr
Goto Top
Zitat von @DerWoWusste:
@bdmvgs
Diese Funktion wurde in Windows 10 leider entfernt.
Nein, ist noch unverändert drin, nutzen wir.

Nutzt Ihr die Enterprise Edition?
In der Pro sehe ich sie nicht.
DerWoWusste
DerWoWusste 29.12.2021 um 14:56:53 Uhr
Goto Top
Nee, pro. Mach Mal PN und erklär, was du nicht siehst.
WoenK0
WoenK0 30.12.2021 um 08:03:47 Uhr
Goto Top
Per GPO Aufgabenplanung alle Stunde ein Skript ausführen, welche die Verbindung prüft, wenn vorhanden Datei in einen tmp Ordner herunterladen, installieren und Logfile generieren (kann man dann ins Skript reinbasteln, das wenn diese Datei vorhanden ist, die Installation übersprungen wird).
media0815
media0815 02.01.2022 um 13:27:29 Uhr
Goto Top
Ganz herzlichen Dank für eure Tipps.
Der Ansatz, das über einen "immediate Task" zur einmaligen Ausführung zu lösen ist super! Ich werde das ausprobieren.
Gutes Neues Jahr an alle!