sirhc4022
Goto Top

SBS2011 - Lokale Benutzer gestatten nur Updates für bestimmte Software zu installieren

Hallo ihr Freaks,

bin hier im Forum neu und auch in Sachen SBS mehr oder weniger ein Greenhorn. Ich hoffe, dass ihr mir konstruktiv helfen könnt, schnell in die Materie einzusteigen. Habe viel gelesen und Bücher gewälzt, aber zu einem "Problem" habe ich so nichts gefunden, auch hier im Forum nicht. Also zur Problematik:

Die Umgebung besteht aus einem SBS2011 als AC und DC, sowie Exchange (der Vollständigkeit halber, was aber so ja jetzt eher nebensächlich ist, oder?).
Hinzu kommen 11 Windows 7 Professional Clients, die die Userprofile aufm SBS speichern.
Nun ist es so, dass die User so viel unsinnige Software lokal installiert haben und dies seit der Einführung der Domäne nicht mehr können, aber wichtige Updates für ein Programm (SysCad) installieren MÜSSEN. Leider kann ich die Updates nicht über WSUS verteilen lassen, da das .exe Dateien sind und zu dem auch ziemlich viele. Diese Dateien müssen immer von der SysCad-Webseite bezogen werden (mit E-Mail und Passwort) und das aus Lizenzgründen für jeden User der Software separat.
Wahrscheinlich muss ich also die Benutzer, die die Updates installieren müssen, über die Gruppenrichtlinie dazu "bemächtigen".
Aber wie mache ich das genau?
Wie gesagt: ich habe zu der Thematik leider nichts wirklich gutes gefunden und hoffe auf eure konstruktive Hilfe.
Beste Grüße aus der Hauptstadt und Dank im Voraus.

Chris

Content-ID: 185809

Url: https://administrator.de/forum/sbs2011-lokale-benutzer-gestatten-nur-updates-fuer-bestimmte-software-zu-installieren-185809.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

Mister-Wrong
Mister-Wrong 02.06.2012 um 11:13:39 Uhr
Goto Top
Hallo,

mit der Softwareverteilung in der GPO. http://www.gruppenrichtlinien.de

lg
sirhc4022
sirhc4022 02.06.2012 aktualisiert um 13:05:11 Uhr
Goto Top
Danke, ich schnorchel mal über die Seite. Da findet sich bestimmt was gutes. Wenn ich eine Lösung finde, werde ich diese natürlich posten.
Hat vll. noch jemand eine fixe Erklärung?
sirhc4022
sirhc4022 02.06.2012 um 13:05:23 Uhr
Goto Top
--EDIT--
Okay. Hab jetzt gelesen und in den Gruppenrichtlinien geguckt und probiert, aber wie ich das da genau einstelle weiß ich immer noch nicht so genau. Dafür versteh ich jetzt die GPO. Was gelernt aber so richtig weiter bringts mich noch nicht.
Öhhh, hilfe!?
Mister-Wrong
Mister-Wrong 02.06.2012 um 13:15:15 Uhr
Goto Top
Da hast Du aber viel Zeit für das Testen investiert.
Am besten Du erstellst mal im AD eine OU.
Dort erstellst dann eine Richtlinie. Testrechner oder User hinzufügen.
Und dann das gane mit den Verteilungen.
Anleitungen findest Du sicher im Netz!
sirhc4022
sirhc4022 02.06.2012 um 13:48:58 Uhr
Goto Top
Hab ich schon, aber scheinbar stelle ich mich zu glatt an. Mir würde es ja schon helfen, wenn ich wüsste, wie ich der GPO verklickere, dass nur noch Dateien vom eben definierten Typen und dem Namen xyz installiert werden dürfen.
Dank der Webseite (s.o.) hab ich nun schon raus, dass es die Benutzer betrifft und ich mir um die Computer keinen Kopf machen brauch (auch logisch).
Nun hab ich eine Richtlinie erstellt (Syscad Updateinstallation zulassen), aber wo unter "Benutzer" in den Unterordnern muss ich meine Regel dann reinpacken? Das ist grad mein Problem. Oder seh ich den Wald vor Bäumen nicht?
Mister-Wrong
Mister-Wrong 02.06.2012 um 13:55:26 Uhr
Goto Top
Sollte der Case am Montag noch offen sein seh ich Dir bei mir am Server nach.
Leider erst am Montag face-sad.
sirhc4022
sirhc4022 02.06.2012 um 13:59:19 Uhr
Goto Top
Das ist n cooler Zug von dir. Danke! =)
DerWoWusste
DerWoWusste 02.06.2012 aktualisiert um 18:10:36 Uhr
Goto Top
Moin.

Keine Ahnung, worauf Mr. Wrong hinaus will, denn es gibt keine derartige Richtlinie. Was GPO-Softwareverteilung leisten kann, ist nur folgendes:
1 Installation bestimmter MSI-Pakete automatisch beim Hochfahren des Rechners
2 Installation festgelegter MSI-Pakete durch Benutzer ohne Adminrechte

Sie kann nicht (wie auch?) festlegen: "für Software SysCAD kann Benutzer x in Zukunft jegliche Updates installieren".

Es gibt natürlich Möglichkeiten, "2" auch mit exe-Dateien nutzbar zu machen. Aber: es wird immer dabei bleiben, dass der Admin festlegen muss, was installierbar ist...Paket für Paket.

Der einzige Ausweg ist folgender: Du könntest den Nutzern einen geplanten Task einrichten, der mit Adminrechten arbeitet (Kennwort eingespeichert oder aber gleich vorzugsweise das Systemkonto nehmen) und ein bestimmtes Setup startet. Die Nutzer müssten nun nur noch das Recht haben, dieses bestimmte Setup gegen Ihren Download von sysCAD auszutauschen (umbenennen wird nötig sein).
Alles klar? Wenn nicht, rückfragen.

Es liegt jedoch auf der Hand, dass Du damit den Nutzern die Möglichkeit gibst, Ihren Rechner voll zu übernehmen, denn Sie könnten nun natürlich irgendein Setup dort hinlegen, was wer weiß was tut.

Somit ist das Fazit: es gibt keine zufriedenstellende Lösung. Du solltest mit dem Hersteller der Software reden und diesen Missstand anprangern.
Mister-Wrong
Mister-Wrong 02.06.2012 um 18:02:27 Uhr
Goto Top
Hallo sirhc4022,

muss leider DerWoWusste recht geben.
Habe mich hier selber etwas vertan.
Pjordorf
Pjordorf 04.06.2012 um 20:27:16 Uhr
Goto Top
Hallo,

Zitat von @sirhc4022:
aber wichtige Updates für ein Programm (SysCad) installieren MÜSSEN.
Es gibt dazu eine Lösung. Die nennt sich z.B. Powerbroker desktop von Beyondtrust. http://www.beyondtrust.com/Products/PowerBroker-Desktops-Windows-Editio ... . Dort kannst da tatsächlich dem normalen Anwender (ohne Admin passwort etc) es ermöglichen eine Software zu installieren / upzudaten usw. Ist allerdings Kostenpflichtig.

Gruß,
Peter
DerWoWusste
DerWoWusste 04.06.2012 um 20:42:17 Uhr
Goto Top
Hi Peter.

Ha. Und ich wollte noch schauen, ob PB diese Option so anbietet.
Interessant. Bleibt noch hinzuzufügen, dass es nichts kosten muss, aber dann muss man mehr Handarbeit tun (freie non-managebare Version).
sirhc4022
sirhc4022 06.06.2012 um 00:09:11 Uhr
Goto Top
Aha, das ist ja sehr interessant. Danke für den Tipp =). Schade nur, dass man das dann auf jeder Workstation installieren muss und das nicht schön über den Server machen kann. Aber alles gute ist wohl nie beisammen.
Werd mich noch mit Syscad auseinandersetzen. Vielleicht haben die noch eine Idee zu ihren tollen Updates.
Besten Dank nochmals!
Grüße,

Chris
sirhc4022
sirhc4022 08.06.2012 um 16:30:24 Uhr
Goto Top
Hey,

also für alle, die es interessiert kommt hier meine derzeitige Lösung:

http://download.cnet.com/Exe-to-Msi-Converter-Free/3000-2216_4-10969236 ...

Ein kostenloses kleines Tool, welches .exe Dateien in .msi Dateien umwandelt, welches die User dann benutzen können. Derzeit legen die User ihre gedownloadeten (Syscad)Updates in einen Ordner und das Tool murxt die dann um.

Noch immer nicht die feine englische Art, aber ganz passabel, wenn man nicht dem ganzen Büro Adminrechte verpassen will face-wink.

Gruß,

Chris
DerWoWusste
DerWoWusste 08.06.2012 um 16:52:54 Uhr
Goto Top
Und seit wann kann man MSI-Dateien ohne Adminrechte installieren? Musst Du mir mal erklären, worin nun die Lösung bestehen soll.
sirhc4022
sirhc4022 28.06.2012 um 09:28:10 Uhr
Goto Top
Hab ich dann auch gemerkt. -.- Hatte ein Post in einem Forum gelesen, wonach das gehen soll. Fehlanzeige. Nun sitze ich doch und installier den Kram selbst. Gnarf.
Weitere Ideen?
sirhc4022
sirhc4022 04.09.2012 um 01:10:33 Uhr
Goto Top
Eureka!
Endlich habe ich eine Lösung gefunden. Für alle, die das gleiche Problem haben, gibt es den "Local Update Publisher". Ein nettes Tool auf Basis des WSUS, welches es ermöglicht, z.B. auch .exe Dateien zu verteilen und installieren zu lassen. Geht gut!

Beste Grüße aus der Mudderstadt!
Chris
Deltablue
Deltablue 04.05.2014 um 06:03:38 Uhr
Goto Top
Schön zu lesen, dass Du Dein Problem lösen konntest und Entschuldigung im Vorfeld für die Threadschändung:
Ich würde nur gerne wissen, ob die Installation und Nutzung von LUP auf dem SBS2011 problemlos funktioniert hat, da ja eigentlich die Umkonfiguration des WSUS zu Problemen mit der SBS internen Console führt.....
DerWoWusste
DerWoWusste 04.05.2014 um 11:24:12 Uhr
Goto Top
Sollte gehen. LUP muss den WSUS nicht verändern, man muss diese Schritte nicht durchführen, sie dienen lediglich dazu, nur noch eine Verwaltungskonsole (den WSUS) zu haben. Ändere den SQL-Server des WSUS also nicht und nutze LUP für die nicht-WSUS-Updates.
Deltablue
Deltablue 05.05.2014 um 22:26:34 Uhr
Goto Top
Gibt's irgendwo eine GUTE Anleitung für LUP/WSUS unter SBS 2011 ?
DerWoWusste
DerWoWusste 05.05.2014 um 22:38:19 Uhr
Goto Top
Ich denke nicht, dass es auf dem sbs irgendwie anders ist.
sirhc4022
sirhc4022 16.05.2014 um 19:01:59 Uhr
Goto Top
Naja. Du kannst die LUP-Doku benutzen. Findeste hier:
http://sourceforge.net/apps/mediawiki/localupdatepubl/index.php?title=M ...