21
SBS2011 - Lokale Benutzer gestatten nur Updates für bestimmte Software zu installieren
Hallo ihr Freaks,
bin hier im Forum neu und auch in Sachen SBS mehr oder weniger ein Greenhorn. Ich hoffe, dass ihr mir konstruktiv helfen könnt, schnell in die Materie einzusteigen. Habe viel gelesen und Bücher gewälzt, aber zu einem "Problem" habe ich so nichts gefunden, auch hier im Forum nicht. Also zur Problematik:
Die Umgebung besteht aus einem SBS2011 als AC und DC, sowie Exchange (der Vollständigkeit halber, was aber so ja jetzt eher nebensächlich ist, oder?).
Hinzu kommen 11 Windows 7 Professional Clients, die die Userprofile aufm SBS speichern.
Nun ist es so, dass die User so viel unsinnige Software lokal installiert haben und dies seit der Einführung der Domäne nicht mehr können, aber wichtige Updates für ein Programm (SysCad) installieren MÜSSEN. Leider kann ich die Updates nicht über WSUS verteilen lassen, da das .exe Dateien sind und zu dem auch ziemlich viele. Diese Dateien müssen immer von der SysCad-Webseite bezogen werden (mit E-Mail und Passwort) und das aus Lizenzgründen für jeden User der Software separat.
Wahrscheinlich muss ich also die Benutzer, die die Updates installieren müssen, über die Gruppenrichtlinie dazu "bemächtigen".
Aber wie mache ich das genau?
Wie gesagt: ich habe zu der Thematik leider nichts wirklich gutes gefunden und hoffe auf eure konstruktive Hilfe.
Beste Grüße aus der Hauptstadt und Dank im Voraus.
Chris
bin hier im Forum neu und auch in Sachen SBS mehr oder weniger ein Greenhorn. Ich hoffe, dass ihr mir konstruktiv helfen könnt, schnell in die Materie einzusteigen. Habe viel gelesen und Bücher gewälzt, aber zu einem "Problem" habe ich so nichts gefunden, auch hier im Forum nicht. Also zur Problematik:
Die Umgebung besteht aus einem SBS2011 als AC und DC, sowie Exchange (der Vollständigkeit halber, was aber so ja jetzt eher nebensächlich ist, oder?).
Hinzu kommen 11 Windows 7 Professional Clients, die die Userprofile aufm SBS speichern.
Nun ist es so, dass die User so viel unsinnige Software lokal installiert haben und dies seit der Einführung der Domäne nicht mehr können, aber wichtige Updates für ein Programm (SysCad) installieren MÜSSEN. Leider kann ich die Updates nicht über WSUS verteilen lassen, da das .exe Dateien sind und zu dem auch ziemlich viele. Diese Dateien müssen immer von der SysCad-Webseite bezogen werden (mit E-Mail und Passwort) und das aus Lizenzgründen für jeden User der Software separat.
Wahrscheinlich muss ich also die Benutzer, die die Updates installieren müssen, über die Gruppenrichtlinie dazu "bemächtigen".
Aber wie mache ich das genau?
Wie gesagt: ich habe zu der Thematik leider nichts wirklich gutes gefunden und hoffe auf eure konstruktive Hilfe.
Beste Grüße aus der Hauptstadt und Dank im Voraus.
Chris
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 185809
Url: https://administrator.de/contentid/185809
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
21 Kommentare
Neuester Kommentar
Danke, ich schnorchel mal über die Seite. Da findet sich bestimmt was gutes. Wenn ich eine Lösung finde, werde ich diese natürlich posten.
Hat vll. noch jemand eine fixe Erklärung?
Hat vll. noch jemand eine fixe Erklärung?
--EDIT--
Okay. Hab jetzt gelesen und in den Gruppenrichtlinien geguckt und probiert, aber wie ich das da genau einstelle weiß ich immer noch nicht so genau. Dafür versteh ich jetzt die GPO. Was gelernt aber so richtig weiter bringts mich noch nicht.
Öhhh, hilfe!?
Okay. Hab jetzt gelesen und in den Gruppenrichtlinien geguckt und probiert, aber wie ich das da genau einstelle weiß ich immer noch nicht so genau. Dafür versteh ich jetzt die GPO. Was gelernt aber so richtig weiter bringts mich noch nicht.
Öhhh, hilfe!?
Da hast Du aber viel Zeit für das Testen investiert.
Am besten Du erstellst mal im AD eine OU.
Dort erstellst dann eine Richtlinie. Testrechner oder User hinzufügen.
Und dann das gane mit den Verteilungen.
Anleitungen findest Du sicher im Netz!
Am besten Du erstellst mal im AD eine OU.
Dort erstellst dann eine Richtlinie. Testrechner oder User hinzufügen.
Und dann das gane mit den Verteilungen.
Anleitungen findest Du sicher im Netz!
Hab ich schon, aber scheinbar stelle ich mich zu glatt an. Mir würde es ja schon helfen, wenn ich wüsste, wie ich der GPO verklickere, dass nur noch Dateien vom eben definierten Typen und dem Namen xyz installiert werden dürfen.
Dank der Webseite (s.o.) hab ich nun schon raus, dass es die Benutzer betrifft und ich mir um die Computer keinen Kopf machen brauch (auch logisch).
Nun hab ich eine Richtlinie erstellt (Syscad Updateinstallation zulassen), aber wo unter "Benutzer" in den Unterordnern muss ich meine Regel dann reinpacken? Das ist grad mein Problem. Oder seh ich den Wald vor Bäumen nicht?
Dank der Webseite (s.o.) hab ich nun schon raus, dass es die Benutzer betrifft und ich mir um die Computer keinen Kopf machen brauch (auch logisch).
Nun hab ich eine Richtlinie erstellt (Syscad Updateinstallation zulassen), aber wo unter "Benutzer" in den Unterordnern muss ich meine Regel dann reinpacken? Das ist grad mein Problem. Oder seh ich den Wald vor Bäumen nicht?
Sollte der Case am Montag noch offen sein seh ich Dir bei mir am Server nach.
Leider erst am Montag
.
Leider erst am Montag
.
Das ist n cooler Zug von dir. Danke! =)
Moin.
Keine Ahnung, worauf Mr. Wrong hinaus will, denn es gibt keine derartige Richtlinie. Was GPO-Softwareverteilung leisten kann, ist nur folgendes:
1 Installation bestimmter MSI-Pakete automatisch beim Hochfahren des Rechners
2 Installation festgelegter MSI-Pakete durch Benutzer ohne Adminrechte
Sie kann nicht (wie auch?) festlegen: "für Software SysCAD kann Benutzer x in Zukunft jegliche Updates installieren".
Es gibt natürlich Möglichkeiten, "2" auch mit exe-Dateien nutzbar zu machen. Aber: es wird immer dabei bleiben, dass der Admin festlegen muss, was installierbar ist...Paket für Paket.
Der einzige Ausweg ist folgender: Du könntest den Nutzern einen geplanten Task einrichten, der mit Adminrechten arbeitet (Kennwort eingespeichert oder aber gleich vorzugsweise das Systemkonto nehmen) und ein bestimmtes Setup startet. Die Nutzer müssten nun nur noch das Recht haben, dieses bestimmte Setup gegen Ihren Download von sysCAD auszutauschen (umbenennen wird nötig sein).
Alles klar? Wenn nicht, rückfragen.
Es liegt jedoch auf der Hand, dass Du damit den Nutzern die Möglichkeit gibst, Ihren Rechner voll zu übernehmen, denn Sie könnten nun natürlich irgendein Setup dort hinlegen, was wer weiß was tut.
Somit ist das Fazit: es gibt keine zufriedenstellende Lösung. Du solltest mit dem Hersteller der Software reden und diesen Missstand anprangern.
Keine Ahnung, worauf Mr. Wrong hinaus will, denn es gibt keine derartige Richtlinie. Was GPO-Softwareverteilung leisten kann, ist nur folgendes:
1 Installation bestimmter MSI-Pakete automatisch beim Hochfahren des Rechners
2 Installation festgelegter MSI-Pakete durch Benutzer ohne Adminrechte
Sie kann nicht (wie auch?) festlegen: "für Software SysCAD kann Benutzer x in Zukunft jegliche Updates installieren".
Es gibt natürlich Möglichkeiten, "2" auch mit exe-Dateien nutzbar zu machen. Aber: es wird immer dabei bleiben, dass der Admin festlegen muss, was installierbar ist...Paket für Paket.
Der einzige Ausweg ist folgender: Du könntest den Nutzern einen geplanten Task einrichten, der mit Adminrechten arbeitet (Kennwort eingespeichert oder aber gleich vorzugsweise das Systemkonto nehmen) und ein bestimmtes Setup startet. Die Nutzer müssten nun nur noch das Recht haben, dieses bestimmte Setup gegen Ihren Download von sysCAD auszutauschen (umbenennen wird nötig sein).
Alles klar? Wenn nicht, rückfragen.
Es liegt jedoch auf der Hand, dass Du damit den Nutzern die Möglichkeit gibst, Ihren Rechner voll zu übernehmen, denn Sie könnten nun natürlich irgendein Setup dort hinlegen, was wer weiß was tut.
Somit ist das Fazit: es gibt keine zufriedenstellende Lösung. Du solltest mit dem Hersteller der Software reden und diesen Missstand anprangern.
Hallo sirhc4022,
muss leider DerWoWusste recht geben.
Habe mich hier selber etwas vertan.
muss leider DerWoWusste recht geben.
Habe mich hier selber etwas vertan.
Hallo,
Es gibt dazu eine Lösung. Die nennt sich z.B. Powerbroker desktop von Beyondtrust. http://www.beyondtrust.com/Products/PowerBroker-Desktops-Windows-Editio ... . Dort kannst da tatsächlich dem normalen Anwender (ohne Admin passwort etc) es ermöglichen eine Software zu installieren / upzudaten usw. Ist allerdings Kostenpflichtig.
Gruß,
Peter
Es gibt dazu eine Lösung. Die nennt sich z.B. Powerbroker desktop von Beyondtrust. http://www.beyondtrust.com/Products/PowerBroker-Desktops-Windows-Editio ... . Dort kannst da tatsächlich dem normalen Anwender (ohne Admin passwort etc) es ermöglichen eine Software zu installieren / upzudaten usw. Ist allerdings Kostenpflichtig.
Gruß,
Peter
Hi Peter.
Ha. Und ich wollte noch schauen, ob PB diese Option so anbietet.
Interessant. Bleibt noch hinzuzufügen, dass es nichts kosten muss, aber dann muss man mehr Handarbeit tun (freie non-managebare Version).
Ha. Und ich wollte noch schauen, ob PB diese Option so anbietet.
Interessant. Bleibt noch hinzuzufügen, dass es nichts kosten muss, aber dann muss man mehr Handarbeit tun (freie non-managebare Version).
Aha, das ist ja sehr interessant. Danke für den Tipp =). Schade nur, dass man das dann auf jeder Workstation installieren muss und das nicht schön über den Server machen kann. Aber alles gute ist wohl nie beisammen.
Werd mich noch mit Syscad auseinandersetzen. Vielleicht haben die noch eine Idee zu ihren tollen Updates.
Besten Dank nochmals!
Grüße,
Chris
Werd mich noch mit Syscad auseinandersetzen. Vielleicht haben die noch eine Idee zu ihren tollen Updates.
Besten Dank nochmals!
Grüße,
Chris
Hey,
also für alle, die es interessiert kommt hier meine derzeitige Lösung:
http://download.cnet.com/Exe-to-Msi-Converter-Free/3000-2216_4-10969236 ...
Ein kostenloses kleines Tool, welches .exe Dateien in .msi Dateien umwandelt, welches die User dann benutzen können. Derzeit legen die User ihre gedownloadeten (Syscad)Updates in einen Ordner und das Tool murxt die dann um.
Noch immer nicht die feine englische Art, aber ganz passabel, wenn man nicht dem ganzen Büro Adminrechte verpassen will
.
Gruß,
Chris
also für alle, die es interessiert kommt hier meine derzeitige Lösung:
http://download.cnet.com/Exe-to-Msi-Converter-Free/3000-2216_4-10969236 ...
Ein kostenloses kleines Tool, welches .exe Dateien in .msi Dateien umwandelt, welches die User dann benutzen können. Derzeit legen die User ihre gedownloadeten (Syscad)Updates in einen Ordner und das Tool murxt die dann um.
Noch immer nicht die feine englische Art, aber ganz passabel, wenn man nicht dem ganzen Büro Adminrechte verpassen will
.Gruß,
Chris
Und seit wann kann man MSI-Dateien ohne Adminrechte installieren? Musst Du mir mal erklären, worin nun die Lösung bestehen soll.
Hab ich dann auch gemerkt. -.- Hatte ein Post in einem Forum gelesen, wonach das gehen soll. Fehlanzeige. Nun sitze ich doch und installier den Kram selbst. Gnarf.
Weitere Ideen?
Weitere Ideen?
Eureka!
Endlich habe ich eine Lösung gefunden. Für alle, die das gleiche Problem haben, gibt es den "Local Update Publisher". Ein nettes Tool auf Basis des WSUS, welches es ermöglicht, z.B. auch .exe Dateien zu verteilen und installieren zu lassen. Geht gut!
Beste Grüße aus der Mudderstadt!
Chris
Endlich habe ich eine Lösung gefunden. Für alle, die das gleiche Problem haben, gibt es den "Local Update Publisher". Ein nettes Tool auf Basis des WSUS, welches es ermöglicht, z.B. auch .exe Dateien zu verteilen und installieren zu lassen. Geht gut!
Beste Grüße aus der Mudderstadt!
Chris
Schön zu lesen, dass Du Dein Problem lösen konntest und Entschuldigung im Vorfeld für die Threadschändung:
Ich würde nur gerne wissen, ob die Installation und Nutzung von LUP auf dem SBS2011 problemlos funktioniert hat, da ja eigentlich die Umkonfiguration des WSUS zu Problemen mit der SBS internen Console führt.....
Ich würde nur gerne wissen, ob die Installation und Nutzung von LUP auf dem SBS2011 problemlos funktioniert hat, da ja eigentlich die Umkonfiguration des WSUS zu Problemen mit der SBS internen Console führt.....
Sollte gehen. LUP muss den WSUS nicht verändern, man muss diese Schritte nicht durchführen, sie dienen lediglich dazu, nur noch eine Verwaltungskonsole (den WSUS) zu haben. Ändere den SQL-Server des WSUS also nicht und nutze LUP für die nicht-WSUS-Updates.
1
Gibt's irgendwo eine GUTE Anleitung für LUP/WSUS unter SBS 2011 ?
Ich denke nicht, dass es auf dem sbs irgendwie anders ist.
Naja. Du kannst die LUP-Doku benutzen. Findeste hier:
http://sourceforge.net/apps/mediawiki/localupdatepubl/index.php?title=M ...
http://sourceforge.net/apps/mediawiki/localupdatepubl/index.php?title=M ...
