05.07.2025
2938
7
0Fire and Forget - Softwareverteilung via Gruppenrichtlinien (win-won-windows)
Hi zusammen,
ist es möglich, konsequent mit Gruppenrichtlinien (Windows Server 2022) Software zu installieren/verteilen?
Oder soll man die Sache gleich abschreiben und sich auf bewährtes Drittanbieter-Endpoint-Zeug konzentrieren?
Was sagt die Praxis?
Grüße
ist es möglich, konsequent mit Gruppenrichtlinien (Windows Server 2022) Software zu installieren/verteilen?
Oder soll man die Sache gleich abschreiben und sich auf bewährtes Drittanbieter-Endpoint-Zeug konzentrieren?
Was sagt die Praxis?
Grüße
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673718
Url: https://administrator.de/forum/softwareverteilung-windows-server-gruppenrichtlinien-673718.html
Ausgedruckt am: 28.07.2025 um 05:07 Uhr
7 Kommentare
Neuester Kommentar
Moin,
Aus meiner Sicht: It depends
MSI-Packages sind seltenste ein Problem.
Exe-Files kannst Du eigentlich CJ nur per Script verteilen. Es gibt aber, soweit ich weiß, Tools, mit denen man Exe-Files in MSI-Pakete verpacken kann:
Bedenke aber, dass du bei einer GPO-Verteilung keine direkte Rückmeldung über fehlgeschlagene Installationen bekommst. Es wird halt immer und immer wieder versucht. Man muss also aktiv ins Eventlog des Clients schauen, gibt es ja kein zentrales Monitoring…
Aus meiner Sicht: It depends
MSI-Packages sind seltenste ein Problem.
Exe-Files kannst Du eigentlich CJ nur per Script verteilen. Es gibt aber, soweit ich weiß, Tools, mit denen man Exe-Files in MSI-Pakete verpacken kann:
Bedenke aber, dass du bei einer GPO-Verteilung keine direkte Rückmeldung über fehlgeschlagene Installationen bekommst. Es wird halt immer und immer wieder versucht. Man muss also aktiv ins Eventlog des Clients schauen, gibt es ja kein zentrales Monitoring…
Moin,
fire and forget and konsequent deuten darauf hin, dass es für Dich sinnvoll ist, sich auf das Drittanbieter-Endpoint-Zeug zu konzentrieren oder gar, es outzusourcen. Softwareverteilung, die fire and forget ist, kenne ich nicht, da ändert sich immer wieder etwas, und sei es nur, dass die ganz besondere Software, die unbedingt gebraucht wird, bei jedem Update händisch paketiert werden muss. Und Verteilung über GPO ist halt eingeschränkter als Spezialsoftware, mit der man nichts anderes macht.
fire and forget and konsequent deuten darauf hin, dass es für Dich sinnvoll ist, sich auf das Drittanbieter-Endpoint-Zeug zu konzentrieren oder gar, es outzusourcen. Softwareverteilung, die fire and forget ist, kenne ich nicht, da ändert sich immer wieder etwas, und sei es nur, dass die ganz besondere Software, die unbedingt gebraucht wird, bei jedem Update händisch paketiert werden muss. Und Verteilung über GPO ist halt eingeschränkter als Spezialsoftware, mit der man nichts anderes macht.
Wir haben es via chocolatey und nexus gemacht. Also PowerShell. Teils mit automatischen Updates, Paket Virenanalyse und Hashsumme Erstellung. Sind ja nur ein paar Zeilen.
Ansonsten ist der Gegenspieler die Software selber?!? Mozilla und Maintenance Task z.B.
Naja Outsource... Wie viele hundert, tausend Rechner habt ihr? Einige bieten Produkte in 100 oder 300 Schritten noch in Community Edition oder abgespeckter Version an. Lansweeper und die kostenlosen Assets.
lansweeper.com/pricing/
Ähnliches mögen auch andere Hersteller anbieten...
Wichtiger ist es Maintenance Task und Software, die sich im User Kontext installieren lässt im Auge zu behalten. Teils nehmen einen solche Tools das nicht ab.
Handy und MDM: Grundgerüst z.B. bei Apptech. Ob nun der Hersteller der Android Software den einen oder anderen Parameter zulässt ist die Frage.
Ähnlich ist es mit den Windows Programmen auch. Ggf. also via Command Line und registry nachbessern. Wenn es die nächste Versionen gleich bleibt, ist es meist eine Runde Sache. Ansonsten fängt man wieder an.
Installation ist ja nicht alles. Meist wollen wir Parameter übergeben, um das Ganze für bestimmte Bedingungen zu ertüchtigen. reg, json, xml oder config Dateien anpassen.
Viele geben einen die Möglichkeit noch was mit zu geben. GPOs Regeln nur im Idealfall den Rest! Fehlen die, muss man selber ran.
Davon dann ausgehend das man es ohnehin dann doch wieder kontrollieren und anpassen muss, kann man sich ggf. das Geld für solche Tools sparen.
Installation und Konfiguration, First-Run, etc. kann man getrennt behandeln. Nur wollen die User ja auch irgendwann damit arbeiten. Um es vlt. noch runder zu machen wäre dann noch WOL ein Thema.
Wir haben ca. 100 POS Systeme - die sind immer an. Da ist sowas keine große Sache. Ansonsten gibt es anderseits von "normalen" Plätzen Beschwerden, wenn Start verzöget ist u.ä.
Letzteres kann einen eh keiner abnehmen. WOL, User Schulung, Planung ...
Wir sind mit chocolatey + lokaler Rep (Nexus NG) ganz zufrieden.
Wenn es um Spezialsoftware geht, muss man ggf. Abhängigkeiten im Auge haben. Spätesten da ist man doch wieder bei manueller Planung. Durchführung kann automatisch sein, aber die Vorarbeit nimmt einen keiner ab.
Ansonsten ist der Gegenspieler die Software selber?!? Mozilla und Maintenance Task z.B.
Naja Outsource... Wie viele hundert, tausend Rechner habt ihr? Einige bieten Produkte in 100 oder 300 Schritten noch in Community Edition oder abgespeckter Version an. Lansweeper und die kostenlosen Assets.
lansweeper.com/pricing/
Ähnliches mögen auch andere Hersteller anbieten...
Wichtiger ist es Maintenance Task und Software, die sich im User Kontext installieren lässt im Auge zu behalten. Teils nehmen einen solche Tools das nicht ab.
Handy und MDM: Grundgerüst z.B. bei Apptech. Ob nun der Hersteller der Android Software den einen oder anderen Parameter zulässt ist die Frage.
Ähnlich ist es mit den Windows Programmen auch. Ggf. also via Command Line und registry nachbessern. Wenn es die nächste Versionen gleich bleibt, ist es meist eine Runde Sache. Ansonsten fängt man wieder an.
Installation ist ja nicht alles. Meist wollen wir Parameter übergeben, um das Ganze für bestimmte Bedingungen zu ertüchtigen. reg, json, xml oder config Dateien anpassen.
Viele geben einen die Möglichkeit noch was mit zu geben. GPOs Regeln nur im Idealfall den Rest! Fehlen die, muss man selber ran.
Davon dann ausgehend das man es ohnehin dann doch wieder kontrollieren und anpassen muss, kann man sich ggf. das Geld für solche Tools sparen.
Installation und Konfiguration, First-Run, etc. kann man getrennt behandeln. Nur wollen die User ja auch irgendwann damit arbeiten. Um es vlt. noch runder zu machen wäre dann noch WOL ein Thema.
Wir haben ca. 100 POS Systeme - die sind immer an. Da ist sowas keine große Sache. Ansonsten gibt es anderseits von "normalen" Plätzen Beschwerden, wenn Start verzöget ist u.ä.
Letzteres kann einen eh keiner abnehmen. WOL, User Schulung, Planung ...
Wir sind mit chocolatey + lokaler Rep (Nexus NG) ganz zufrieden.
Wenn es um Spezialsoftware geht, muss man ggf. Abhängigkeiten im Auge haben. Spätesten da ist man doch wieder bei manueller Planung. Durchführung kann automatisch sein, aber die Vorarbeit nimmt einen keiner ab.
Alles funktioniert. Alles ist mehr oder weniger Administrationsfreundlich.
Es geht per Gruppenrichtlinien, per WSUS, per MDM, per Intune / Unternehmensportal sowie auch mit zahlreichen Drittanbieter-Tools.
Das "Administrationsfreundlichste" ist auch das teuerste. (<- Sehr grob ausgedrückt) Wenn man sich intensiv mit den einzelnen Techniken befasst, geht es auch kostenlos.
Es geht per Gruppenrichtlinien, per WSUS, per MDM, per Intune / Unternehmensportal sowie auch mit zahlreichen Drittanbieter-Tools.
Das "Administrationsfreundlichste" ist auch das teuerste. (<- Sehr grob ausgedrückt) Wenn man sich intensiv mit den einzelnen Techniken befasst, geht es auch kostenlos.
Wir standen bei uns auch vor dem Problem. Allerdings verwenden wir eine Samba AD. Solange es 0815-MSI waren und man für zum Beispiel Firefox ADML-Files bekommen hat, ging es ohne Probleme. Aber alles darüber hinaus, wird einfach zur Qual. Letztendlich fiel dann die Entscheidung auf ein Drittanbieter-Tool und vollständiger Verzicht auf irgendwelche GPO für Paketverteilung.
Es geht schon los, wenn regelmäßige Updates durchgeführt werden sollen oder man Versionsstände überhaupt abfragen will.
Baramundi stand im Raum, aber wie mein Vorredner @NordicMike bereits sagte, ist das so ziemlich das teuerste. Das Teil ist die eierlegende Wollmilchsau, mit automatischer Erkennung von Installationsdateien und Erzeugung von Installationsroutinen. Modular aufgebaut, teilweise auch mit MDM und Security-Scanner.
Wir sind dann bei PDQ gelandet. Dort muss man allerdings noch selbst Powershell-Scripte schreiben für Installationsroutinen. Dafür funktioniert es sehr zuverlässig, ist flexibel und kostengünstig. Des weiteren, was alle solche Anbieter gemeinsam haben und was auch die Stärke ist, sind die kuratierten Software-Pakete im Repo. Die nehmen einem ungemein viel Arbeit ab, meist für bekannte Software, aber auch mal für paar spezifische Sachen. Die Updates kann man automatisch ausrollen, sobald diese im Repo aktualisiert worden sind. Auch das automatisch das AD durchsucht wird nach Computern und man dort sofort Deployments durchführen kann sobald diese der AD gejoint sind, bringt immens viel Zeitersparnis. Am Anfang muss man es noch bisschen auf die eigenen Bedürfnisse zurecht basteln, was den größten Zeitaufwand darstellt, danach ist es wie "Brötchen backen".
Man muss allerdings dazu erwähnen, das eine Samba AD derzeit nur bis Feature-Level 2012R2/2016 geht. Gutmöglich das es da Neuerungen gab bei der Handhabung, wobei ich eher denke das MS da lieber Intune & Co in Stellung bringen will. Viele Sachen funktionieren noch aus der Vergangenheit über GPO, aber dort spricht dann selbst MS davon das es dies eher nicht empfiehlt zu verwenden.
Es geht schon los, wenn regelmäßige Updates durchgeführt werden sollen oder man Versionsstände überhaupt abfragen will.
Baramundi stand im Raum, aber wie mein Vorredner @NordicMike bereits sagte, ist das so ziemlich das teuerste. Das Teil ist die eierlegende Wollmilchsau, mit automatischer Erkennung von Installationsdateien und Erzeugung von Installationsroutinen. Modular aufgebaut, teilweise auch mit MDM und Security-Scanner.
Wir sind dann bei PDQ gelandet. Dort muss man allerdings noch selbst Powershell-Scripte schreiben für Installationsroutinen. Dafür funktioniert es sehr zuverlässig, ist flexibel und kostengünstig. Des weiteren, was alle solche Anbieter gemeinsam haben und was auch die Stärke ist, sind die kuratierten Software-Pakete im Repo. Die nehmen einem ungemein viel Arbeit ab, meist für bekannte Software, aber auch mal für paar spezifische Sachen. Die Updates kann man automatisch ausrollen, sobald diese im Repo aktualisiert worden sind. Auch das automatisch das AD durchsucht wird nach Computern und man dort sofort Deployments durchführen kann sobald diese der AD gejoint sind, bringt immens viel Zeitersparnis. Am Anfang muss man es noch bisschen auf die eigenen Bedürfnisse zurecht basteln, was den größten Zeitaufwand darstellt, danach ist es wie "Brötchen backen".
Man muss allerdings dazu erwähnen, das eine Samba AD derzeit nur bis Feature-Level 2012R2/2016 geht. Gutmöglich das es da Neuerungen gab bei der Handhabung, wobei ich eher denke das MS da lieber Intune & Co in Stellung bringen will. Viele Sachen funktionieren noch aus der Vergangenheit über GPO, aber dort spricht dann selbst MS davon das es dies eher nicht empfiehlt zu verwenden.
Also man kann alles mit allem machen 
Es kommt halt immer auf den Geldbeutel drauf an.
Bedeutet schauen wir mal was es NATIVE gratis gibt:
- Login Script (User spezifische sachen hier handlebar die keine Admin Rechte erfordern)
- GPO Maschine Startup Script - Für Dinge die Maschinen spezifisch sind, und Admin rechte brauchen
- GPO User Anmelde Script - equivalent zum Loginscript - gehupft wie gesprungen....
- Sofern Virenscanner nicht austickt, kann man psexec.exe Sysinternals remote was starten.
Mögliches Konzept auf C$ des Targets PCs das Software Paket kopieren, dann per psexec remote als Admin ausführen
vom Lokalen Pfad.
- Powershell, ebenfalls sofern Virenscanner nicht austickt, remote powershell script ausführen, so in der art wie oben
psexec konzept.
so und nun hängt es nur noch davon ab wie begabt man beim paketieren der software ist.
Sprich die GPO und remote ausführungen mit psexec oder powershell erfordern das das alles absolut unattended durchläuft. Sinn voll ist es beim Installationsscript nicht einfach die setup.exe oder das msi zu starten sondern vorher z.B. abchecken ob exe und/oder Versionsnummer entsprechend ist, und nur wenn nicht das setup zu starten. Damit verhindert man einen dauerloop - sprich das er ständig versucht das zeug zu installieren. Diese methode ist anzuraten auch wenn man software verteilungssystem benutzt, wenn man zig tausend clients beschiesst kann es schon mal vorkommen das der filter oder die datenbank der softwareverteilung nicht 100% aktuell ist und ohne doppelscheck im script bekommt man dann ggf. auch probleme... auch wenns nur im Null Komma Prozent bereich liegt bei wie gesagt zig tausend clients hat man dann schnell nen schwung zusammen der unnötig ist und als fauler admin hab ich auch bei kleinbetrieben mit nur paar hundert clients kein bock hier auf fehler zu laufen
Also hoffe das hilft dir weiter.
Ansonsten Softwareverteilungssystem - kann man wie gesagt nehmen zu was der Geldbeutel langt.
Ich persönlich steh auf SCCM, kann halt alles alles alles... aber ist halt auch komplex... nicht jedermanns sache.
Hatt mal ein witziges vorstellungsgespräch, aussage von nem Kollegen da: Wir hatten auch mal SCCM aber das konnte nicht was wir wollen dacht mir nur, ihr wusste nur nicht wie mans konfiguriert aber egal... daher jedem das was für ihn am besten kommt.
Aja und Auswertung Installationen......
Auch mit Basic mitteln kann man Scripts schreiben und vorhandensein von exe und/oder Version auslesen oder aus registry oder what ever und so das ganze erfassen >> Output auf ein share wo jeder user schreibrechte hat....
Wo man dann anschliessend wiederum Daten einsammelt und auswertet.
Oder bei den Softwarepaketen die grundsätzlich so baut das LOGS generiert werden, bei msi einfach möglich, bei anderen setup typen wenns der hersteller halt vorgesehen hat....
Auch hier sind der Fantasie keine Grenzen gesetzt, einsammeln und auf ein Share dumpen oder
hab ich mal gemacht auslesen, nach Errors suchen und bei den bekannten Errors wiederum scripts starten die diese probleme wiederum beheben... und somit die fehlerfreiheit des setups nahe 100% bringen...
Lohnt halt auch nur bei der Menge an Clients und wenn ein und der selbe fehler öfters passiert und automatisch behebbar ist.
Und was man auch immer mal dazu erwähnen sollte, die Software Pakete laufen halt auch nur so gut wie der das gebaut hat. Bedeutet klar kann jeder Horst um die Ecke ein MSI automatisiert ablaufen lassen, bedeutet aber nicht das man dann den ganzen luxus drin hat wie versionscheck bevor das setupgestartet wird und ob man logs vom unfall anschliessend hat usw... das musse man sich bei egal was man verwendet auch mal konzeptionel selbst überlegen welchen aufwand man betreiben will.
ich seh das immer analystisch, hatte damals um die 10.000 PCs, wenn man die Fehleranzahl um 1% senken kann, bedeutet das 100 PC Fehler weniger, wenn das 15 Minuten pro PC zum beheben dauert, macht das 1500 Minuten oder 25 Stunden Arbeitszeit die verbraten wird... kann man auch in die Entwicklung stecken, 3 Arbeitstage... macht mehr sinn... und erspart viel leid, sonst siehts dann so aus im Büro
Es kommt halt immer auf den Geldbeutel drauf an.
Bedeutet schauen wir mal was es NATIVE gratis gibt:
- Login Script (User spezifische sachen hier handlebar die keine Admin Rechte erfordern)
- GPO Maschine Startup Script - Für Dinge die Maschinen spezifisch sind, und Admin rechte brauchen
- GPO User Anmelde Script - equivalent zum Loginscript - gehupft wie gesprungen....
- Sofern Virenscanner nicht austickt, kann man psexec.exe Sysinternals remote was starten.
Mögliches Konzept auf C$ des Targets PCs das Software Paket kopieren, dann per psexec remote als Admin ausführen
vom Lokalen Pfad.
- Powershell, ebenfalls sofern Virenscanner nicht austickt, remote powershell script ausführen, so in der art wie oben
psexec konzept.
so und nun hängt es nur noch davon ab wie begabt man beim paketieren der software ist.
Sprich die GPO und remote ausführungen mit psexec oder powershell erfordern das das alles absolut unattended durchläuft. Sinn voll ist es beim Installationsscript nicht einfach die setup.exe oder das msi zu starten sondern vorher z.B. abchecken ob exe und/oder Versionsnummer entsprechend ist, und nur wenn nicht das setup zu starten. Damit verhindert man einen dauerloop - sprich das er ständig versucht das zeug zu installieren. Diese methode ist anzuraten auch wenn man software verteilungssystem benutzt, wenn man zig tausend clients beschiesst kann es schon mal vorkommen das der filter oder die datenbank der softwareverteilung nicht 100% aktuell ist und ohne doppelscheck im script bekommt man dann ggf. auch probleme... auch wenns nur im Null Komma Prozent bereich liegt bei wie gesagt zig tausend clients hat man dann schnell nen schwung zusammen der unnötig ist
und als fauler admin hab ich auch bei kleinbetrieben mit nur paar hundert clients kein bock hier auf fehler zu laufen Also hoffe das hilft dir weiter.
Ansonsten Softwareverteilungssystem - kann man wie gesagt nehmen zu was der Geldbeutel langt.
Ich persönlich steh auf SCCM, kann halt alles alles alles... aber ist halt auch komplex... nicht jedermanns sache.
Hatt mal ein witziges vorstellungsgespräch, aussage von nem Kollegen da: Wir hatten auch mal SCCM aber das konnte nicht was wir wollen
dacht mir nur, ihr wusste nur nicht wie mans konfiguriert aber egal... daher jedem das was für ihn am besten kommt.Aja und Auswertung Installationen......
Auch mit Basic mitteln kann man Scripts schreiben und vorhandensein von exe und/oder Version auslesen oder aus registry oder what ever und so das ganze erfassen >> Output auf ein share wo jeder user schreibrechte hat....
Wo man dann anschliessend wiederum Daten einsammelt und auswertet.
Oder bei den Softwarepaketen die grundsätzlich so baut das LOGS generiert werden, bei msi einfach möglich, bei anderen setup typen wenns der hersteller halt vorgesehen hat....
Auch hier sind der Fantasie keine Grenzen gesetzt, einsammeln und auf ein Share dumpen oder
hab ich mal gemacht auslesen, nach Errors suchen und bei den bekannten Errors wiederum scripts starten die diese probleme wiederum beheben... und somit die fehlerfreiheit des setups nahe 100% bringen...
Lohnt halt auch nur bei der Menge an Clients und wenn ein und der selbe fehler öfters passiert und automatisch behebbar ist.
Und was man auch immer mal dazu erwähnen sollte, die Software Pakete laufen halt auch nur so gut wie der das gebaut hat. Bedeutet klar kann jeder Horst um die Ecke ein MSI automatisiert ablaufen lassen, bedeutet aber nicht das man dann den ganzen luxus drin hat wie versionscheck bevor das setupgestartet wird und ob man logs vom unfall anschliessend hat usw... das musse man sich bei egal was man verwendet auch mal konzeptionel selbst überlegen welchen aufwand man betreiben will.
ich seh das immer analystisch, hatte damals um die 10.000 PCs, wenn man die Fehleranzahl um 1% senken kann, bedeutet das 100 PC Fehler weniger, wenn das 15 Minuten pro PC zum beheben dauert, macht das 1500 Minuten oder 25 Stunden Arbeitszeit die verbraten wird... kann man auch in die Entwicklung stecken, 3 Arbeitstage... macht mehr sinn... und erspart viel leid, sonst siehts dann so aus im Büro
Powertoys hust...
