0815it
Goto Top

Software-Installation für anderen Domänen-Benutzer

Hallo Miteinander,

ich bin neu hier und mach bestimmt mit diesem Beitrag schon was falsch ;)

Ich bin in einem kleinen mittelständischen Unternehmen Administrator geworden, da der Vorgänger aus dem Unternehmen ausscheiden wird.
Ich selbst habe keine direkte Ausbildung als IT'ler, bringe mir jedoch einiges selbst bei (zumindest versuche ich es). Je nach Maßstab würde ich mich so einschätzen, dass ich ein "fundiertes" Grundwissen habe.

Soviel zu meiner Person.

Jetzt die eigentliche Frage bzw. mein Problem.

Ein Teil meiner Kollegen bekommt neue Rechner, die ich nun mit Nutzer-Software vorbereiten möchte, damit dies nicht alles der Benutzer machen muss (der soll seine eigentliche Arbeit machen).
Bisher waren die Passwörter der Dömänennutzer dem Administrator bekannt. Dies möchte ich aber so nicht mehr fortführen.

Wir haben bisher keine Softwareverteilung via InTune, Ansible oder Puppet.
Das Active Directory mit Gruppenrichtlinien wird aktuell auch noch nicht genutzt.

Die Installationen sind bisher per Hand und einzeln erfolgt. Ich habe zumindest nun schon mal ein paar "Installations-Scripte" erstellt, damit ich nicht alles einzeln installieren muss.
Für z.B. Windows-Explorer-Einstellungen habe ich ebenfalls ein Script erstellt, welches die Registry berabeitet.

Diese Installationen wurden dann direkt unter dem Benutzerkonto (mit bekanntem Passwort) ausgeführt.

So, jetzt möchte ich im Prinzip die Installationen für den Benutzer ausführen, jedoch ohne dass ich sein Passwort erfahre.

Gibt es Möglichkteiten dies ohne Softwareverteilung bzw. Gruppenrichtlinie durchzuführen (z.B. mit impersonation)?

Der Bedarf an unterschiedlicher Software zu den einzelnen Benutzer ist in unserem Haus recht groß, so dass ich immer noch die Möglichkeit benötige etwas von "Hand" zu installieren.

Anderes Problem wäre noch, dass auf den neuen Rechner noch nicht das Benutzerprofil vorhanden ist. Gibt es eine Möglichkeit den Domänenbenutzer anderweitig hinzuzufügen, ohne dass sich der Benutzer einmal angemeldet hat?

In Verwendung ist Windows Server 2019 und Windows 10/11 Pro.

Zum Aufbau einer Softwareverteilungs-Infrastruktur ist aktuell keine Zeit. Die Kollegen laufen mit ihren jetzigen Rechnern teilweise leider schon auf letzter Rille.

Ich hoffe jemand kann mir zeitnah helfen.
Danke.

Content-ID: 83905624735

Url: https://administrator.de/contentid/83905624735

Ausgedruckt am: 21.11.2024 um 20:11 Uhr

Avoton
Avoton 26.02.2024 um 18:54:19 Uhr
Goto Top
Moin,

Warum musst du die Software im Benutzerkontext installieren? Das kann ein Account mit lokalen Adminrechten auch.

Gruß,
Avoton
wiesi200
wiesi200 26.02.2024 um 19:23:58 Uhr
Goto Top
Zitat von @Avoton:

Moin,

Warum musst du die Software im Benutzerkontext installieren? Das kann ein Account mit lokalen Adminrechten auch.

Gruß,
Avoton

Oder der Domain Admin, zumal man da rauslesen kann das die User zumindest lokale Adminrechte haben was ich mal sehr schnell unterbinden würde.
Pjordorf
Pjordorf 26.02.2024 um 19:34:56 Uhr
Goto Top
Hallo,

Zitat von @0815IT:
Ich bin in einem kleinen mittelständischen Unternehmen Administrator geworden, da der Vorgänger aus dem Unternehmen ausscheiden wird.
KMU, soso. Man muss nur lange genug da sein dann wird man auch Cheffe.

Ich selbst habe keine direkte Ausbildung als IT'ler, bringe mir jedoch einiges selbst bei (zumindest versuche ich es). Je nach Maßstab würde ich mich so einschätzen, dass ich ein "fundiertes" Grundwissen habe.
Also Grundvorraussetzung für ein Admin beim KMU

Das Active Directory mit Gruppenrichtlinien wird aktuell auch noch nicht genutzt.
Ein AD wird nicht genutzt oder dir sind GPOs noch fremd?

Die Installationen sind bisher per Hand und einzeln erfolgt. Ich habe zumindest nun schon mal ein paar "Installations-Scripte" erstellt, damit ich nicht alles einzeln installieren muss.
Also hat der Benutzer Admin rechte...

Gibt es Möglichkteiten dies ohne Softwareverteilung bzw. Gruppenrichtlinie durchzuführen (z.B. mit impersonation)?
Du willst doch sein Passwort nicht kennen. Und auch eine Software kann kein Passwort nutzen was diese nicht kennt.

Anderes Problem wäre noch, dass auf den neuen Rechner noch nicht das Benutzerprofil vorhanden ist. Gibt es eine Möglichkeit den Domänenbenutzer anderweitig hinzuzufügen, ohne dass sich der Benutzer einmal angemeldet hat?
Kann ich Auto fahren mit leeren Kraftstofftank, ist auch nicht weit.

Zum Aufbau einer Softwareverteilungs-Infrastruktur ist aktuell keine Zeit.
Dann nimm Patchkabel ala Flurentlanglegung. Und sorge dafür das jeder Benutzer (auch der unwichtigste) eben Admin Rechte hat. Aber achte darauf das deine Matrosen nicht Tag der offenen Tür machen, in 400 meter Tauchtiefe, also rechte einschränkenface-smile

Die Kollegen laufen mit ihren jetzigen Rechnern teilweise leider schon auf letzter Rille.
Dann leg noch Rille der Langspielplatte dazu

Ich hoffe jemand kann mir zeitnah helfen.
Ihr habt doch kein Geld, und für Zeitnah, Schnell, Eilt schon gar nicht.

Gruss,
Peter
Dirmhirn
Dirmhirn 26.02.2024 um 20:30:50 Uhr
Goto Top
Zitat von @wiesi200:
Oder der Domain Admin

Bitte nicht! Wieso sollte man mit einem Domain Admin irgendwas auf einem Client PC machen?
Domain Admin administriert die Domain selbst (und auch nicht ihre daily use Objekte...) und ist nicht der "Admin in einer Domain". Nur weil er alles kann heißt es auf keinen Fall, dass er alles machen soll...
QDaniel
QDaniel 26.02.2024 um 23:29:21 Uhr
Goto Top
Zitat von @0815IT:
Wir haben bisher keine Softwareverteilung via InTune, Ansible oder Puppet.
Das Active Directory mit Gruppenrichtlinien wird aktuell auch noch nicht genutzt.

Zum Aufbau einer Softwareverteilungs-Infrastruktur ist aktuell keine Zeit. Die Kollegen laufen mit ihren jetzigen Rechnern teilweise leider schon auf letzter Rille.

Also Software solltest du wenn möglich nie im Benutzercontext installieren. Kenn auch nur vereinzelt welche die dies nötig machen.

Ein Puppetserver ist in 30min aufgesetzt. Die Zeit ist weniger als zu jedem Rechner zu laufen und Software per Hand zu installieren.

Ein AD ist anscheinend ja schon da, wenn alle Rechner mindestens schon in der Domäne sind dann ist die Verteilung auch einfach. Puppet per MSI und GPO auf alle Clients verteilen und mit Puppet die Software installieren etc...

Dafür musst du noch nichtmal von deinem Platz aufstehen.
em-pie
em-pie 27.02.2024 um 07:10:40 Uhr
Goto Top
Moin,

Also Software solltest du wenn möglich nie im Benutzercontext installieren. Kenn auch nur vereinzelt welche die dies nötig machen.
Korrekt.
Und UserSettings werden ja i.d.R. Irgendwo unter AppData oder in der Registry gesetzt. Die kann man ja dann per Script/ GPO verteilen/ setzen.
kpunkt
kpunkt 27.02.2024 aktualisiert um 07:27:52 Uhr
Goto Top
Kommt jetzt ehrlich drauf an, was du da alles installieren bzw. vorbereiten willst.
Installationen laufen als lokaler Admin auch. Verknüpfungen/Einstellungen kannst du ja per GPO verteilen.
Und wenn es mal gar nicht anders geht kann man ja die Kennwörter zurücksetzen und die dann bei einem Anmelden durch den User ändern lassen.
Da empfiehlt sich halt schon so ein kleiner Testrechner, an dem du rumspielen kannst.

Eine Überlegung kann auch das verwenden von Thinclients sein. RDS (oder ganzer Pool) hingestellt. Du installierst den ganzen Sums und die User loggen sich dann per RDP drauf ein. Je inhomogener die Umgebung ist, desto unwahrscheinlicher wirds, dass das eine Gesamt-Lösung für euch sein wird.

Bei einer "gewachsenen" Umgebung wirds ja generell schwer, das alles auf einen Schlag so hin zu biegen, wie man es sich wünscht. Und nicht alles, was möglich ist, muss auch immer umgesetzt werden. Da muss immer auch die Geschäftsleitung und das Budget mitspielen. Und ob da ein Admin in die entsprechende Abteilung läuft oder das alles von seinem Kämmerlein aus macht ist der Geschäftsleitung eher egal, solange es nicht mehr kostet.

Vielleicht würde es helfen, wenn ihr da mal ein Systemhaus drüberschauen und euch ein Konzept geben lässt. Denn anscheinend stehen in nächster Zeit ja einige Hardware-Käufe (zumindest Clients) ins Haus. Das wäre ja ein Zeitpunkt, bei dem man sich über die Ausrichtung unterhalten könnte.
0815IT
0815IT 27.02.2024 um 07:28:44 Uhr
Goto Top
@Pjordorf

Ach Pjordorf,

<Ironie> du scheinst dich ja richtig gut auszukennen und zu wissen was ich alles weiß und wie es bei uns in der Firma anhand meiner paar Sätze läuft. </Ironie>

Ich finde es schade, dass jemand mit über 17800 Kommentaren noch nicht so viel Erfahrung gesammelt hat, wie man jemanden in einem Forum konstruktiv helfen kann.

Wenn du deine Kommentare zu meinen Sätzen mal selbst durchließt, solltest du erkennen wie herablassend und unkonstruktiv deine Antworten sind und mit einer Problemlösung überhaupt nichts zu tun haben.
Mit so einem Verhalten kommt man bestimmt gut im beruflichen Umfeld an und voran. Aber vielleicht muss man als allwissender "Administrator" so sein.

Um Dir, anderen und mir nicht so viel Lebenszeit zu rauben, würde ich Dir vorschlagen solche Kommentare zu unterlassen. Die bringen nämlich nichts.
Solltest Du aber etwas sinnvolles und konstruktives beitragen und dein Wissen mit anderen teilen wollen, lese ich gerne dieses und lerne dabei.

Schöne Grüße
0815IT
0815IT 27.02.2024 um 08:02:25 Uhr
Goto Top
@Avoton
@wiesi200
@Dirmhirn
@QDaniel
@em-pie
@kpunkt

Vielen Dank für Eure schnelle Hilfe und guten Meinungen.
Das bringt mich denke ich für das kurzfristige und akute Problem schon weiter.

Ich werde nun aktuell die Software als lokaler Administrator erstellen und versuchen die allgemeinen Einstellungen über GPO umzusetzen. Nachdem im AD aber noch keine richtige Strucktur mit OU vorhanden sind, muss ich diese erst noch erstellen ("und mir etwas leichtgewichtiges aus den Fingern saugen").

Bzgl. der Softwarearten ist es bei uns leider sehr heterogen, da unterschiedliche Arbeitsbereiche vorliegen. Vom Schaltplanzeichener, zu normalen Büroleuten die nur Office benötigen, zu Programmieren mit den unterschiedlichsten Entwicklungsumgebungen, die nicht nur zwischen den Abteilungen varieren sondern auch auch schon innerhalb der Abteilungen.

@kpunkt bzgl. Konzept hab ich die Sachen schon im Kopf aber wie du schon sagst:

Bei einer "gewachsenen" Umgebung wirds ja generell schwer, das alles auf einen Schlag so hin zu biegen, wie man es sich wünscht. Und nicht alles, was möglich ist, muss auch immer umgesetzt werden. Da muss immer auch die Geschäftsleitung und das Budget mitspielen. Und ob da ein Admin in die entsprechende Abteilung läuft oder das alles von seinem Kämmerlein aus macht ist der Geschäftsleitung eher egal, solange es nicht mehr kostet.

Wie gesagt vielen Dank für die konstruktive Mitwirkung. Mit so einem miteinander macht die Problemlösung freude, auch wenn die Arbeit noch nicht erledigt ist ;) .
@Pjordorf Du bist übrigens nicht damit gemeint, kannst dir aber gerne die anderen Kommentare als Beispiel nehmen.
pebcak7123
pebcak7123 27.02.2024 um 08:11:42 Uhr
Goto Top
würd evtl mal nen blick auf pdq deploy (free) werfen, damit kann man schnell und recht unkompliziert in der domäne programme installieren und scripte usw. ausführen lassen. Softwareverteilung über GPO würde ich lassen, das ist ein gefrickel sondergleichen und funktioniert wenn es keine msi installer sind im zweifelsfall einfach nicht.
0815IT
0815IT 27.02.2024 um 08:34:20 Uhr
Goto Top
@pebcak7123 auf pdq deploy bin ich schon mal gestoßen, hab aber nur gesehen, dass die eine 14-tägige Trial-Version anbieten. Wie kommt man den zu der Free-Version? Oder lädt man sich das Trial herunter und kann dann während der Installation den Free-Mode auswählen?
pebcak7123
pebcak7123 27.02.2024 um 09:18:33 Uhr
Goto Top
@0815IT ja einfach trial runterladen
ThePinky777
Lösung ThePinky777 27.02.2024 um 09:36:05 Uhr
Goto Top
Also praktikabler Ansatz:

Neue PCs einfach per USB Stick Betriebssystem drauf, dauert so 10 minuten Windows 10.
Dann in die Domain aufnehmen.

per GPO und Login Script nur Standard Settings machen.
Ich verwende Login Scripts um User Settings zu verteilen, also per .bat Datei die bei Bedarf
VBS Scripts oder Powershell ausführen kann. z.B. Reg Keys im HK_User Bereich....
Dann GPO Start Script, wo ebenfalls eine .bat eingebunden ist, damit kann man Computer Settings anpassen
die per Admin Rechte ausgeführt werden müssen.

Softwareverteilung per GPO kann man machen, aber ist relativ nerfig,
Wenn dann nur per Scripts >> welche ne Routine drin haben mit sicherheitschecks wie z.B. ist die Software schon drauf dann abbrechen usw...
Kann man dann auf AD Gruppen verteilen, Mitglied der AD Gruppen können Computer oder User sein, sollte man halt sauber trennen...

Nach der Windows Installation, definiere Standard Software die auf jeden PC drauf soll.
Einfach einzelnen Software Pakete unattended Paketieren, muss ja nicht schön sein, ne .bat reicht.
Dann eine Hauptscript Datei bauen welche alle unter Scripts ausführt, das kannst dann manuell ausführen nachdem der PC in der Domain ist, dann ist der PC mit dem wichtigsten betankt.
Sondersoftware, ich sag mal Unternehmen kleiner 50 Mitarbeiter, kannste dann manuell installieren, sprich
Software die speziele Lizenzen braucht, z.B. CAD, oder Adobe Creative Cloud oder oder oder...

Software würde ich auf eine Share ablegen, wo alle User leserechte haben, ausser die SW welche Lizenzkeys drin liegen hat (damit keiner die klauen kann).

Somit wenn dann jemand was braucht, gehste hin, verbindest share und mit deinen admin rechten installierst du es dann.

Usern nach möglichkeit keine Admin rechte geben.
Vor allem normale Büro Sklaven brauchen so was nicht,
bei Entwicklungs Ingeneuren im Software Bereich (Programmierer) kann man ja nochmal drübert reden...

Denke damit solltest du schon mal zügig verteilen und administrieren können.