Gast zuk Geschrieben 15. April 2010 Melden Geschrieben 15. April 2010 Hallo, ich hoffe ich bin im richtigen Forum, schade das es kein seperates Forum für GPO Probleme gibt (kleine Anregung). Ich möchte Software über GPO verteilen. Im LAN klappt das auch problemlos. Habe f. die Softwareverteilung eine seperate GPO (SoftwareGPO) erstellt. Ausserdem gibt es eine GPO f. alle anderen Einstellungen, dei ich heir mal StandardGPO nennen möchte. Für Benutzer die am Heimarbeitsplatz oder unterwegs sind nicht, was durch die Slow Link Detection begründet ist. Jetzt habe ich dies aber folgendermassen in den GPO's konfiguriert, damit die verteilung auch über langsame Leitungen gehen soll(te). in der StandardGPO: Computer / Adm.-Tpl/System/GPO/Group Policy slow link detection = 0 in der SoftwareGPO Computer /Adm.-Tp/System/GPO/Software Installation policy processing = beide Optionen aktiviert "Allow processing across a slow network connection" "Process even if the GPO objects have not changed" Es funktioniert aber trotzdem nicht, d.h. die Software wird nicht installiert. Wir haben Windows XP + SP3 Clients und Windows 7 Clients. im Moment teste ich gerade mit einem Windows 7 Clients über eine 3000 DSL leitung. Muss man noch etwas irgendwo aktivieren? Verhält es sich mit Windows 7 Clients anders als bei Windows XP Clients? Die Installationpakete selbst sind nicht groß nur wenige 100kb. Wenn ich auf dem Client per VPN verbunden bin und mir im "Resultant Set of Policy" rsop.msc die Einstellungen anschaue die gezogen werden passt auch alles. gruss Z. Zitieren
Sunny61 819 Geschrieben 15. April 2010 Melden Geschrieben 15. April 2010 Ich möchte Software über GPO verteilen. Im LAN klappt das auch problemlos. Habe f. die Softwareverteilung eine seperate GPO (SoftwareGPO) erstellt. Per Computer-GPO vor der Benutzeranmeldung? Wenn ja, wie soll das bei einer VPN-Verbindung funktionieren? Die VPN-Verbindung wird erst nach der Benutzeranmeldung hergestellt, also zu spät um die GPO zu übernehmen und umzusetzen. Auch wenn man die Anmeldung am Client gleich in der Domain macht, es ist einfach zu spät. Zitieren
NorbertFe 2.175 Geschrieben 15. April 2010 Melden Geschrieben 15. April 2010 Die VPN-Verbindung wird erst nach der Benutzeranmeldung hergestellt, also zu spät um die GPO zu übernehmen und umzusetzen. Auch wenn man die Anmeldung am Client gleich in der Domain macht, es ist einfach zu spät. Bei einem Site2Site VPN sollte das funktionieren. Allerdings muß dazu die SlowLinkDetection deaktiviert werden. Bye Norbert Zitieren
Gast zuk Geschrieben 16. April 2010 Melden Geschrieben 16. April 2010 Per Computer-GPO vor der Benutzeranmeldung? Wenn ja, wie soll das bei einer VPN-Verbindung funktionieren? Die VPN-Verbindung wird erst nach der Benutzeranmeldung hergestellt, also zu spät um die GPO zu übernehmen und umzusetzen. Auch wenn man die Anmeldung am Client gleich in der Domain macht, es ist einfach zu spät. Ja bei der Computerkonfiguration, den die Software soll für alle Benutzer auf dem Rechner zur Verfügung stehen. Ich bin davon ausgegangen wenn der PC dann per VPN verbunden wird und die GPO aktuallisiert wird, die installationsdateien auf den Rechner übertragen werden und beim nächsten reboot die Software installiert wird. Ist das ein Denkfehler von mir? Heißt das Softwareinstallationen die auf Computer angewendet werden über VPN überhaupt nicht gehen? Wenn ich die Software in der User GPO verteiel, funktioniert das auch bei Usern die keine Adminrechte haben? gruss Z. Zitieren
Sunny61 819 Geschrieben 16. April 2010 Melden Geschrieben 16. April 2010 Bei einem Site2Site VPN sollte das funktionieren. Allerdings muß dazu die SlowLinkDetection deaktiviert werden. Ja, das denk ich mir schon auch. Aber in diesem Fall gehts wohl eher um die Clients, die zu Hause im Home Office stehen und auf diesem Weg aktualisiert werden sollen. Zitieren
NorbertFe 2.175 Geschrieben 16. April 2010 Melden Geschrieben 16. April 2010 Ich bin davon ausgegangen wenn der PC dann per VPN verbunden wird und die GPO aktuallisiert wird, die installationsdateien auf den Rechner übertragen werden und beim nächsten reboot die Software installiert wird.Ist das ein Denkfehler von mir? Ja das ist ein Denkfehler. Heißt das Softwareinstallationen die auf Computer angewendet werden über VPN überhaupt nicht gehen? Nein. Wenn ich die Software in der User GPO verteiel, funktioniert das auch bei Usern die keine Adminrechte haben? Ja. Bye Norbert Zitieren
Sunny61 819 Geschrieben 16. April 2010 Melden Geschrieben 16. April 2010 Ja bei der Computerkonfiguration, den die Software soll für alle Benutzer auf dem Rechner zur Verfügung stehen. OK, der richtige Gedanke. Ich bin davon ausgegangen wenn der PC dann per VPN verbunden wird und die GPO aktuallisiert wird, die installationsdateien auf den Rechner übertragen werden und beim nächsten reboot die Software installiert wird. Ist das ein Denkfehler von mir? Yepp, das funktioniert so nicht. Zumindest nicht mit der Rudimentären Verteilungsmöglichkeit der GPOs im AD. Heißt das Softwareinstallationen die auf Computer angewendet werden über VPN überhaupt nicht gehen? Zumindest nicht auf diesem Weg. Wenn ich die Software in der User GPO verteiel, funktioniert das auch bei Usern die keine Adminrechte haben? Nein, keine Adminrechte, keine Installation. Ich hab das hier Runas Password mal in der Domain eingesetzt, da der AV-Scanner nur als angemeldeter Benutzer deinstalliert werden konnte. Und bei 160 Clients wollte ich das nicht manuell machen. Zitieren
Sunny61 819 Geschrieben 16. April 2010 Melden Geschrieben 16. April 2010 Wenn ich die Software in der User GPO verteiel, funktioniert das auch bei Usern die keine Adminrechte haben? Ja. Wie soll die Installation ohne erhöhte Rechte funktionieren? Ich hatte das schon mal probiert mit Zur Verfügung stellen, trotz GPO "Windows Installer immer mit erhöhten Rechten ausführen" hat es mit normalen Benutzerrechten nicht funktioniert. Zitieren
NorbertFe 2.175 Geschrieben 16. April 2010 Melden Geschrieben 16. April 2010 Nein, keine Adminrechte, keine Installation. Sicher? Office kann man auch als User zugewiesen bekommen und trotzdem geht alles. Würde auch irgendwie dem Prinzip widersprechen finde ich. Aber da ich sowieso nie Software für User verteile hab ich mich damit nie tiefer auseinandergesetzt. Bye Norbert Zitieren
Sunny61 819 Geschrieben 16. April 2010 Melden Geschrieben 16. April 2010 Wenn ich die Software in der User GPO verteiel, funktioniert das auch bei Usern die keine Adminrechte haben? Nachdem wir (Norbert und ich) noch kurz darüber diskutiert hatten, hab ich bei Mark in dem HowTo kurz nachgesehen. Er schreibt es geht auch per User, probiers mal aus: Service Pack Installation über die Softwareverteilung Am besten mal probieren via Systemsteuerung > Software > Neue Programme hinzufügen. Hier werden die Programme angezeigt, die Du via Benutzer-GPO zur Verfügung stellst. Zitieren
IThome 10 Geschrieben 16. April 2010 Melden Geschrieben 16. April 2010 In der Beschreibung der Richtlinie "Immer mit erhöhten Rechten installieren" steht: "Diese Einstellung weitet die erhöhten Rechte auf alle Programme aus. Normalerweise sind diese Berechtigungen für Programme reserviert, die dem Benutzer (auf dem Desktop angezeigt) bzw. dem Computer zugewiesen (automatische Installation) oder in der Systemsteuerung unter "Software" verfügbar gemacht wurden." und "Wenn diese Einstellung deaktiviert oder nicht konfiguriert wird, wendet das System bei der Installation von Programmen, die nicht von einem Systemadministrator verteilt oder bereitgestellt werden, die Berechtigungen des aktuellen Benutzers an." Das bedeutet für mich, dass immer mit erhöhten Rechten installiert wird, wenn die Software vom Admin via GPO zugewiesen oder veröffentlicht wurde und dass diese Richtlinie dann gesetzt werden muss, wenn auch Software mit erhöhten Rechten installiert werden soll, die nicht via GPO zur Verfügung gestellt wurde. Ich sehe es auch so, dass auch ein normaler Benutzer veröffentlichte Software installieren kann ... Zitieren
Sunny61 819 Geschrieben 16. April 2010 Melden Geschrieben 16. April 2010 Das bedeutet für mich, dass immer mit erhöhten Rechten installiert wird, wenn die Software vom Admin via GPO zugewiesen oder veröffentlicht wurde und dass diese Richtlinie dann gesetzt werden muss, wenn auch Software mit erhöhten Rechten installiert werden soll, die nicht via GPO zur Verfügung gestellt wurde. Ich sehe es auch so, dass auch ein normaler Benutzer veröffentlichte Software installieren kann ... Das hatte ich eigentlich auch so gedacht. Ein Test vor ein paar Jahren hat mich allerdings etwas anderes feststellen lassen. Auch hab ich nicht mit anderen Paketen weiter getestet, die sinnvollere Variante ist im AD eine Computer-GPO zum installieren von Software. Vielleicht kann der TO das ja mal testen und Feedback geben, wäre nicht schlecht. ;) Zitieren
IThome 10 Geschrieben 16. April 2010 Melden Geschrieben 16. April 2010 ... die sinnvollere Variante ist im AD eine Computer-GPO zum installieren von Software. So mache ich das in der Regel auch, das klappt ja auch super ... Ich kann das mit der Veröffentlich auch nicht hundertprozentig sagen, da ich das zwar schon mal erfolgreich versucht habe, die installierte Software allerdings nur so ein Taschenrechner (glaube ich) war. Ob das auch mit einer Anwendung wie Office oder ähnlich funktioniert, habe ich selbst noch nicht probiert. Ich würde eine Softwareveröffentlichung via GPO ehrlich gesagt nutzlos finden, wenn der User lokaler Administrator sein müsste ... Zitieren
Sunny61 819 Geschrieben 16. April 2010 Melden Geschrieben 16. April 2010 Ich würde eine Softwareveröffentlichung via GPO ehrlich gesagt nutzlos finden, wenn der User lokaler Administrator sein müsste ... Full ACK. ;) Zitieren
rf900r 10 Geschrieben 16. April 2010 Melden Geschrieben 16. April 2010 [VPN pro Benutzer]Für Benutzer die am Heimarbeitsplatz oder unterwegs sind nicht, was durch die Slow Link Detection begründet ist. Das VPN wird duch den User aufgebaut, deswegen keine Zuweisung pro Computer. Denn der Zeitpunkt ist zu spät. Grundsätzlich wird Software niemals im Hintergrund zugewiesen/verteilt. Es ist eine reine Foreground CSE. SlowLink Detection ausschalten geht, wenn es in einem Site2Site VPN aufgebaut ist, es sei denn dein "ping -l 2048" geht nicht durch die Firewall. Softwareverteilung pro Benutzer kann klappen, braucht auch keine Adminrechte, aber die Benutzer-"MSI"-Schnittstelle der CSE ist arg buggy. Darauf kannste dich nicht verlassen. KLappt mit den Pakete die "Veröffentlichen" können und ist damit wieder vom Entwickler abhängig. MSIEXEC.exe ist mit wesentlich mehr Funktionen ausgestattet, als die CSE anbietet. 3 Lösungen: 1. Eine Softwareverteilung wie Specops Deploy von , die BITS nutzt und damit Software auch im Hintergrund installieren kann 2. Eine Software wie der Privilige Manager von Beyondtrust, der Software isntallation als User zulassen kann 3. per Hand Tschö Mark Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.