Software-Installation für anderen Domänen-Benutzer
Hallo Miteinander,
ich bin neu hier und mach bestimmt mit diesem Beitrag schon was falsch ;)
Ich bin in einem kleinen mittelständischen Unternehmen Administrator geworden, da der Vorgänger aus dem Unternehmen ausscheiden wird.
Ich selbst habe keine direkte Ausbildung als IT'ler, bringe mir jedoch einiges selbst bei (zumindest versuche ich es). Je nach Maßstab würde ich mich so einschätzen, dass ich ein "fundiertes" Grundwissen habe.
Soviel zu meiner Person.
Jetzt die eigentliche Frage bzw. mein Problem.
Ein Teil meiner Kollegen bekommt neue Rechner, die ich nun mit Nutzer-Software vorbereiten möchte, damit dies nicht alles der Benutzer machen muss (der soll seine eigentliche Arbeit machen).
Bisher waren die Passwörter der Dömänennutzer dem Administrator bekannt. Dies möchte ich aber so nicht mehr fortführen.
Wir haben bisher keine Softwareverteilung via InTune, Ansible oder Puppet.
Das Active Directory mit Gruppenrichtlinien wird aktuell auch noch nicht genutzt.
Die Installationen sind bisher per Hand und einzeln erfolgt. Ich habe zumindest nun schon mal ein paar "Installations-Scripte" erstellt, damit ich nicht alles einzeln installieren muss.
Für z.B. Windows-Explorer-Einstellungen habe ich ebenfalls ein Script erstellt, welches die Registry berabeitet.
Diese Installationen wurden dann direkt unter dem Benutzerkonto (mit bekanntem Passwort) ausgeführt.
So, jetzt möchte ich im Prinzip die Installationen für den Benutzer ausführen, jedoch ohne dass ich sein Passwort erfahre.
Gibt es Möglichkteiten dies ohne Softwareverteilung bzw. Gruppenrichtlinie durchzuführen (z.B. mit impersonation)?
Der Bedarf an unterschiedlicher Software zu den einzelnen Benutzer ist in unserem Haus recht groß, so dass ich immer noch die Möglichkeit benötige etwas von "Hand" zu installieren.
Anderes Problem wäre noch, dass auf den neuen Rechner noch nicht das Benutzerprofil vorhanden ist. Gibt es eine Möglichkeit den Domänenbenutzer anderweitig hinzuzufügen, ohne dass sich der Benutzer einmal angemeldet hat?
In Verwendung ist Windows Server 2019 und Windows 10/11 Pro.
Zum Aufbau einer Softwareverteilungs-Infrastruktur ist aktuell keine Zeit. Die Kollegen laufen mit ihren jetzigen Rechnern teilweise leider schon auf letzter Rille.
Ich hoffe jemand kann mir zeitnah helfen.
Danke.
ich bin neu hier und mach bestimmt mit diesem Beitrag schon was falsch ;)
Ich bin in einem kleinen mittelständischen Unternehmen Administrator geworden, da der Vorgänger aus dem Unternehmen ausscheiden wird.
Ich selbst habe keine direkte Ausbildung als IT'ler, bringe mir jedoch einiges selbst bei (zumindest versuche ich es). Je nach Maßstab würde ich mich so einschätzen, dass ich ein "fundiertes" Grundwissen habe.
Soviel zu meiner Person.
Jetzt die eigentliche Frage bzw. mein Problem.
Ein Teil meiner Kollegen bekommt neue Rechner, die ich nun mit Nutzer-Software vorbereiten möchte, damit dies nicht alles der Benutzer machen muss (der soll seine eigentliche Arbeit machen).
Bisher waren die Passwörter der Dömänennutzer dem Administrator bekannt. Dies möchte ich aber so nicht mehr fortführen.
Wir haben bisher keine Softwareverteilung via InTune, Ansible oder Puppet.
Das Active Directory mit Gruppenrichtlinien wird aktuell auch noch nicht genutzt.
Die Installationen sind bisher per Hand und einzeln erfolgt. Ich habe zumindest nun schon mal ein paar "Installations-Scripte" erstellt, damit ich nicht alles einzeln installieren muss.
Für z.B. Windows-Explorer-Einstellungen habe ich ebenfalls ein Script erstellt, welches die Registry berabeitet.
Diese Installationen wurden dann direkt unter dem Benutzerkonto (mit bekanntem Passwort) ausgeführt.
So, jetzt möchte ich im Prinzip die Installationen für den Benutzer ausführen, jedoch ohne dass ich sein Passwort erfahre.
Gibt es Möglichkteiten dies ohne Softwareverteilung bzw. Gruppenrichtlinie durchzuführen (z.B. mit impersonation)?
Der Bedarf an unterschiedlicher Software zu den einzelnen Benutzer ist in unserem Haus recht groß, so dass ich immer noch die Möglichkeit benötige etwas von "Hand" zu installieren.
Anderes Problem wäre noch, dass auf den neuen Rechner noch nicht das Benutzerprofil vorhanden ist. Gibt es eine Möglichkeit den Domänenbenutzer anderweitig hinzuzufügen, ohne dass sich der Benutzer einmal angemeldet hat?
In Verwendung ist Windows Server 2019 und Windows 10/11 Pro.
Zum Aufbau einer Softwareverteilungs-Infrastruktur ist aktuell keine Zeit. Die Kollegen laufen mit ihren jetzigen Rechnern teilweise leider schon auf letzter Rille.
Ich hoffe jemand kann mir zeitnah helfen.
Danke.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 83905624735
Url: https://administrator.de/contentid/83905624735
Ausgedruckt am: 13.11.2024 um 10:11 Uhr
13 Kommentare
Neuester Kommentar
Zitat von @Avoton:
Moin,
Warum musst du die Software im Benutzerkontext installieren? Das kann ein Account mit lokalen Adminrechten auch.
Gruß,
Avoton
Moin,
Warum musst du die Software im Benutzerkontext installieren? Das kann ein Account mit lokalen Adminrechten auch.
Gruß,
Avoton
Oder der Domain Admin, zumal man da rauslesen kann das die User zumindest lokale Adminrechte haben was ich mal sehr schnell unterbinden würde.
Hallo,
Gruss,
Peter
Zitat von @0815IT:
Ich bin in einem kleinen mittelständischen Unternehmen Administrator geworden, da der Vorgänger aus dem Unternehmen ausscheiden wird.
KMU, soso. Man muss nur lange genug da sein dann wird man auch Cheffe.Ich bin in einem kleinen mittelständischen Unternehmen Administrator geworden, da der Vorgänger aus dem Unternehmen ausscheiden wird.
Ich selbst habe keine direkte Ausbildung als IT'ler, bringe mir jedoch einiges selbst bei (zumindest versuche ich es). Je nach Maßstab würde ich mich so einschätzen, dass ich ein "fundiertes" Grundwissen habe.
Also Grundvorraussetzung für ein Admin beim KMUDas Active Directory mit Gruppenrichtlinien wird aktuell auch noch nicht genutzt.
Ein AD wird nicht genutzt oder dir sind GPOs noch fremd?Die Installationen sind bisher per Hand und einzeln erfolgt. Ich habe zumindest nun schon mal ein paar "Installations-Scripte" erstellt, damit ich nicht alles einzeln installieren muss.
Also hat der Benutzer Admin rechte...Gibt es Möglichkteiten dies ohne Softwareverteilung bzw. Gruppenrichtlinie durchzuführen (z.B. mit impersonation)?
Du willst doch sein Passwort nicht kennen. Und auch eine Software kann kein Passwort nutzen was diese nicht kennt.Anderes Problem wäre noch, dass auf den neuen Rechner noch nicht das Benutzerprofil vorhanden ist. Gibt es eine Möglichkeit den Domänenbenutzer anderweitig hinzuzufügen, ohne dass sich der Benutzer einmal angemeldet hat?
Kann ich Auto fahren mit leeren Kraftstofftank, ist auch nicht weit.Zum Aufbau einer Softwareverteilungs-Infrastruktur ist aktuell keine Zeit.
Dann nimm Patchkabel ala Flurentlanglegung. Und sorge dafür das jeder Benutzer (auch der unwichtigste) eben Admin Rechte hat. Aber achte darauf das deine Matrosen nicht Tag der offenen Tür machen, in 400 meter Tauchtiefe, also rechte einschränkenDie Kollegen laufen mit ihren jetzigen Rechnern teilweise leider schon auf letzter Rille.
Dann leg noch Rille der Langspielplatte dazuIch hoffe jemand kann mir zeitnah helfen.
Ihr habt doch kein Geld, und für Zeitnah, Schnell, Eilt schon gar nicht.Gruss,
Peter
Bitte nicht! Wieso sollte man mit einem Domain Admin irgendwas auf einem Client PC machen?
Domain Admin administriert die Domain selbst (und auch nicht ihre daily use Objekte...) und ist nicht der "Admin in einer Domain". Nur weil er alles kann heißt es auf keinen Fall, dass er alles machen soll...
Zitat von @0815IT:
Wir haben bisher keine Softwareverteilung via InTune, Ansible oder Puppet.
Das Active Directory mit Gruppenrichtlinien wird aktuell auch noch nicht genutzt.
Zum Aufbau einer Softwareverteilungs-Infrastruktur ist aktuell keine Zeit. Die Kollegen laufen mit ihren jetzigen Rechnern teilweise leider schon auf letzter Rille.
Wir haben bisher keine Softwareverteilung via InTune, Ansible oder Puppet.
Das Active Directory mit Gruppenrichtlinien wird aktuell auch noch nicht genutzt.
Zum Aufbau einer Softwareverteilungs-Infrastruktur ist aktuell keine Zeit. Die Kollegen laufen mit ihren jetzigen Rechnern teilweise leider schon auf letzter Rille.
Also Software solltest du wenn möglich nie im Benutzercontext installieren. Kenn auch nur vereinzelt welche die dies nötig machen.
Ein Puppetserver ist in 30min aufgesetzt. Die Zeit ist weniger als zu jedem Rechner zu laufen und Software per Hand zu installieren.
Ein AD ist anscheinend ja schon da, wenn alle Rechner mindestens schon in der Domäne sind dann ist die Verteilung auch einfach. Puppet per MSI und GPO auf alle Clients verteilen und mit Puppet die Software installieren etc...
Dafür musst du noch nichtmal von deinem Platz aufstehen.
Kommt jetzt ehrlich drauf an, was du da alles installieren bzw. vorbereiten willst.
Installationen laufen als lokaler Admin auch. Verknüpfungen/Einstellungen kannst du ja per GPO verteilen.
Und wenn es mal gar nicht anders geht kann man ja die Kennwörter zurücksetzen und die dann bei einem Anmelden durch den User ändern lassen.
Da empfiehlt sich halt schon so ein kleiner Testrechner, an dem du rumspielen kannst.
Eine Überlegung kann auch das verwenden von Thinclients sein. RDS (oder ganzer Pool) hingestellt. Du installierst den ganzen Sums und die User loggen sich dann per RDP drauf ein. Je inhomogener die Umgebung ist, desto unwahrscheinlicher wirds, dass das eine Gesamt-Lösung für euch sein wird.
Bei einer "gewachsenen" Umgebung wirds ja generell schwer, das alles auf einen Schlag so hin zu biegen, wie man es sich wünscht. Und nicht alles, was möglich ist, muss auch immer umgesetzt werden. Da muss immer auch die Geschäftsleitung und das Budget mitspielen. Und ob da ein Admin in die entsprechende Abteilung läuft oder das alles von seinem Kämmerlein aus macht ist der Geschäftsleitung eher egal, solange es nicht mehr kostet.
Vielleicht würde es helfen, wenn ihr da mal ein Systemhaus drüberschauen und euch ein Konzept geben lässt. Denn anscheinend stehen in nächster Zeit ja einige Hardware-Käufe (zumindest Clients) ins Haus. Das wäre ja ein Zeitpunkt, bei dem man sich über die Ausrichtung unterhalten könnte.
Installationen laufen als lokaler Admin auch. Verknüpfungen/Einstellungen kannst du ja per GPO verteilen.
Und wenn es mal gar nicht anders geht kann man ja die Kennwörter zurücksetzen und die dann bei einem Anmelden durch den User ändern lassen.
Da empfiehlt sich halt schon so ein kleiner Testrechner, an dem du rumspielen kannst.
Eine Überlegung kann auch das verwenden von Thinclients sein. RDS (oder ganzer Pool) hingestellt. Du installierst den ganzen Sums und die User loggen sich dann per RDP drauf ein. Je inhomogener die Umgebung ist, desto unwahrscheinlicher wirds, dass das eine Gesamt-Lösung für euch sein wird.
Bei einer "gewachsenen" Umgebung wirds ja generell schwer, das alles auf einen Schlag so hin zu biegen, wie man es sich wünscht. Und nicht alles, was möglich ist, muss auch immer umgesetzt werden. Da muss immer auch die Geschäftsleitung und das Budget mitspielen. Und ob da ein Admin in die entsprechende Abteilung läuft oder das alles von seinem Kämmerlein aus macht ist der Geschäftsleitung eher egal, solange es nicht mehr kostet.
Vielleicht würde es helfen, wenn ihr da mal ein Systemhaus drüberschauen und euch ein Konzept geben lässt. Denn anscheinend stehen in nächster Zeit ja einige Hardware-Käufe (zumindest Clients) ins Haus. Das wäre ja ein Zeitpunkt, bei dem man sich über die Ausrichtung unterhalten könnte.
würd evtl mal nen blick auf pdq deploy (free) werfen, damit kann man schnell und recht unkompliziert in der domäne programme installieren und scripte usw. ausführen lassen. Softwareverteilung über GPO würde ich lassen, das ist ein gefrickel sondergleichen und funktioniert wenn es keine msi installer sind im zweifelsfall einfach nicht.
@0815IT ja einfach trial runterladen
Also praktikabler Ansatz:
Neue PCs einfach per USB Stick Betriebssystem drauf, dauert so 10 minuten Windows 10.
Dann in die Domain aufnehmen.
per GPO und Login Script nur Standard Settings machen.
Ich verwende Login Scripts um User Settings zu verteilen, also per .bat Datei die bei Bedarf
VBS Scripts oder Powershell ausführen kann. z.B. Reg Keys im HK_User Bereich....
Dann GPO Start Script, wo ebenfalls eine .bat eingebunden ist, damit kann man Computer Settings anpassen
die per Admin Rechte ausgeführt werden müssen.
Softwareverteilung per GPO kann man machen, aber ist relativ nerfig,
Wenn dann nur per Scripts >> welche ne Routine drin haben mit sicherheitschecks wie z.B. ist die Software schon drauf dann abbrechen usw...
Kann man dann auf AD Gruppen verteilen, Mitglied der AD Gruppen können Computer oder User sein, sollte man halt sauber trennen...
Nach der Windows Installation, definiere Standard Software die auf jeden PC drauf soll.
Einfach einzelnen Software Pakete unattended Paketieren, muss ja nicht schön sein, ne .bat reicht.
Dann eine Hauptscript Datei bauen welche alle unter Scripts ausführt, das kannst dann manuell ausführen nachdem der PC in der Domain ist, dann ist der PC mit dem wichtigsten betankt.
Sondersoftware, ich sag mal Unternehmen kleiner 50 Mitarbeiter, kannste dann manuell installieren, sprich
Software die speziele Lizenzen braucht, z.B. CAD, oder Adobe Creative Cloud oder oder oder...
Software würde ich auf eine Share ablegen, wo alle User leserechte haben, ausser die SW welche Lizenzkeys drin liegen hat (damit keiner die klauen kann).
Somit wenn dann jemand was braucht, gehste hin, verbindest share und mit deinen admin rechten installierst du es dann.
Usern nach möglichkeit keine Admin rechte geben.
Vor allem normale Büro Sklaven brauchen so was nicht,
bei Entwicklungs Ingeneuren im Software Bereich (Programmierer) kann man ja nochmal drübert reden...
Denke damit solltest du schon mal zügig verteilen und administrieren können.
Neue PCs einfach per USB Stick Betriebssystem drauf, dauert so 10 minuten Windows 10.
Dann in die Domain aufnehmen.
per GPO und Login Script nur Standard Settings machen.
Ich verwende Login Scripts um User Settings zu verteilen, also per .bat Datei die bei Bedarf
VBS Scripts oder Powershell ausführen kann. z.B. Reg Keys im HK_User Bereich....
Dann GPO Start Script, wo ebenfalls eine .bat eingebunden ist, damit kann man Computer Settings anpassen
die per Admin Rechte ausgeführt werden müssen.
Softwareverteilung per GPO kann man machen, aber ist relativ nerfig,
Wenn dann nur per Scripts >> welche ne Routine drin haben mit sicherheitschecks wie z.B. ist die Software schon drauf dann abbrechen usw...
Kann man dann auf AD Gruppen verteilen, Mitglied der AD Gruppen können Computer oder User sein, sollte man halt sauber trennen...
Nach der Windows Installation, definiere Standard Software die auf jeden PC drauf soll.
Einfach einzelnen Software Pakete unattended Paketieren, muss ja nicht schön sein, ne .bat reicht.
Dann eine Hauptscript Datei bauen welche alle unter Scripts ausführt, das kannst dann manuell ausführen nachdem der PC in der Domain ist, dann ist der PC mit dem wichtigsten betankt.
Sondersoftware, ich sag mal Unternehmen kleiner 50 Mitarbeiter, kannste dann manuell installieren, sprich
Software die speziele Lizenzen braucht, z.B. CAD, oder Adobe Creative Cloud oder oder oder...
Software würde ich auf eine Share ablegen, wo alle User leserechte haben, ausser die SW welche Lizenzkeys drin liegen hat (damit keiner die klauen kann).
Somit wenn dann jemand was braucht, gehste hin, verbindest share und mit deinen admin rechten installierst du es dann.
Usern nach möglichkeit keine Admin rechte geben.
Vor allem normale Büro Sklaven brauchen so was nicht,
bei Entwicklungs Ingeneuren im Software Bereich (Programmierer) kann man ja nochmal drübert reden...
Denke damit solltest du schon mal zügig verteilen und administrieren können.