Clients Management

[kosta88 2]

Hallo,

 

ohne viel Blahblah (kann ich gerne auf Anforderung tun), sagen wir mal ihr müsst 40 Rechner in einem Unternehmen ohne Domäne managen.

Der Kunde arbeitet im RZ per Citrix, und verwendet die lokale Ebene kaum (braucht aber lt. meinen Infos lokal auch Internet, somit ist lokal A/V auch Pflicht). Die Windows-Konten ist auch überall gleich, sowohl der Einstiegsuser (ohne Passwort) wie auch der Admin (KW überall gleich, sehr einfach auch). Die einzige "Sicherheit" sind die userspezifischen Anmeldungen über Citrix, wo tlw. auch die Passwörter im Browser gespeichert werden... grausam.

 

Ein Konzept für das Unternehmen entsteht bereits, was ich suche sind die Tools die ich für diesen Zweck einsetzen kann, speziell für die Inventarisierung und Verwaltung. Es soll möglichst viel automatisiert laufen.

Weiterhin ist auch die Überlegung die Verwaltung ggf. via Azure AD zu machen. Der Kunde hat zumindest eine sehr stabile Internet Anbindung.

Was wir nicht machen können, ist dort einen Server für AD aufstellen - das geht alleine aus dem Grund, weil er der Kunde ins RZ gezogen ist um keine lokale Server-Umgebung haben zu müssen. Abgesehen davon dass man dann noch Absicherungen wie USV und Backup braucht...

 

Meine Gedanken gehen in der Richtung PDQ-Tools und/oder WAC. Ein Konzept wie und wann die Updates gemacht werden, entsteht noch, aber es sollte für uns so wenig Arbeit wie möglich bedeuten (Automatisierung) und für Kunden so viel Transparenz wie möglich.

 

Wie würdet ihr das lösen/angehen?

 

Danke

 

 

[mba 133]

Das Konzept ist noch im "Bau", wie soll man hier konkrete Tools benennen?

 

1 2 4 5 3 - Finde den Fehler

[kosta88 2]

Wir hatten heute bereits ein Meeting wegen Konzept. Und um den zu bearbeiten müssen wir erstmal uns ausdenken müssen, ob das für uns überhaupt machbar ist. Sowohl zeitlich wie auch finanziell. Die Frage ist hier zu Erfahrung dazu. Würde man überhaupt sowas angehen, ohne eine Domäne?

[NilsK 2.934]

Moin,

 

entschuldige, aber deine Frage ist etwas durcheinander formuliert. Wonach fragst du jetzt genau?

 

Gruß, Nils

 

[monstermania 53]

Ich würde in so einem Fall ganz klar in Richtung Microsoft 365 denken.

Zentrale Verwaltung/Management der Clients dann per Intune.

 

Sind auch gerade dabei uns in das Thema AAD/Intune/Autopilot einzuarbeiten (Verwaltung unserer mobilen Notebookuser).

[kosta88 2]

vor 5 Minuten schrieb NilsK:

Moin,

 

entschuldige, aber deine Frage ist etwas durcheinander formuliert. Wonach fragst du jetzt genau?

 

Gruß, Nils

 

Tut mir leid, war nicht die Absicht. Grundsätzlich einfach: wie würdet ihr die Sache bei so einem Kunden angehen? Ist es zeitlich auf Workgroup-Basis machbar und überhaupt sinnvoll? Wenn zentrales Management empfohlen, welche Alternativen hat man zum Management-Server on-premise (Azure AD?)?

 

Konzept steht mal so:

Zwei Teile, erstmal die große Aktualisierung aller Rechner. Tlw. neue Rechner, tlw. nur Aktualisierungen (dem Kunden steht eine Umstellung der Citrix Umgebung an, und das muss vorher gemacht werden). Und dann etwas langfristig - und hier stehen wir an.

vor 9 Minuten schrieb monstermania:

Ich würde in so einem Fall ganz klar in Richtung Microsoft 365 denken.

Zentrale Verwaltung/Management der Clients dann per Intune.

 

Sind auch gerade dabei uns in das Thema AAD/Intune/Autopilot einzuarbeiten (Verwaltung unserer mobilen Notebookuser).

Habe von Intune lediglich gehört, kenne ich aber nicht. Zu bedenken ist dass der Kunde lokal so gut wie nichts installiert hat. Die Clients müssen nur up-to-date bleiben, und unsere Zugangssoftware muss installiert (und up-to-date) sein. Das wäre schön wenn man deployen könnte und sicherstellen dass es überall aktuell ist (so mache ich es bei uns in der Domäne).

 

Ich werde mich auf jeden Fall in das Thema einlesen -> Danke!

[NilsK 2.934]

Moin,

 

eine solche Umgebung würde ich nie ohne zentrales Management aufbauen oder betreiben. Ob man dafür ein "herkömmliches" AD verwendet, ein Azure AD oder was auch immer, hängt dann vom Konzept ab. Das ist aber zu groß für ein Forum.

 

Falls deine Frage auch dahin ging, ob man in der derzeitigen Umgebung eine zentrale Analyse der vorhandenen Rechner machen kann: Geht sicher irgendwie, wird aber großer Aufwand.

 

Gruß, Nils

 

[kosta88 2]

OK, nein, das passt schon. Ist schon hilfreich zu wissen dass man auf jeden Fall ein zentrales Management einbeziehen soll.

 

Aktuell ist es dringend notwendig die aktuelle Umgebung zu aktualisieren. Es steht dem Kunden in ca. 4 Wochen eine Umstellung unserer Umgebung bevor, und dafür müssen alle Rechner up-to-date sein. Hier wird vermutlich darauf hinauslaufen, alles händisch zu machen.

[mwiederkehr 373]

Die günstigste Lösung wäre wohl PDQ, gesteuert von einem Server im RZ aus über VPN. Das reicht, um Windows Updates und hie und da mal einen neuen Citrix Client zu installieren.

 

Ansonsten Intune oder eine Drittanbieterlösung. Panda bietet zum Beispiel so eine Software an: man installiert auf jedem Rechner einen Agent und kann diesen dann über die Cloud verwalten. Kostet glaube ich um die fünf Euro pro Rechner pro Monat.

 

Habt ihr euch schon zum Einsatz von Thin Clients Gedanken gemacht? Diese können gut abgeriegelt und zentral verwaltet werden. Es gibt zum Beispiel von IGEL auch USB-Sticks, mit welchen man vorhandene Rechner zu Thin Clients "umwandeln" kann (Festplatte raus, Stick rein).

[kosta88 2]

Zum Thema PDQ: kann dieser auch nicht im Netzwerk laufen? Unsere Hosting-Lösung kann dafür nicht herangezogen werden.

Sofern das eben für die einfachen Tasks reicht, wäre das erstmal genug.

Ich habe es noch nicht herausen, ob man für PDQ ohne Domäne was extra konfigurieren muss... oder geht das eventuell über einem lokalen Admin Benutzer am Client.

 

Ja, über Intune lese ich gerade. Die MDM Lösung wohl.

Panda: das sind ca. €200 pro Monat. Grundsätzlich tragbar, wenn es wirklich automatisiert ist und man kann alles aus einer Konsole machen. Werde ich mal nachsehen, danke für den Tipp!

 

Ja, über TC habe ich schon nachgedacht und nachgefragt bei uns im RZ: nicht supportet. Wäre schön gewesen.

[mwiederkehr 373]

PDQ ist -sehr vereinfacht ausgedrückt- ein psexec mit GUI. Will heissen: es wird auf den Clients kein Agent installiert und man kann problemlos mit lokalen Benutzern verbinden.

 

Für TeamViewer gibt es übrigens auch die Option, den Status von Virenscanner, Windows Update etc. zu überwachen. Damit kann aber keine Software verteilt werden.

[kosta88 2]

OK, aber soweit ich sehe kann man mit PDQ "nur" deployen, nicht WU ausführen (WU Updates suchen..), sodass die Clients den Rest machen - finde zumindest nichts dazu. Was geht ist die Patches per PDQ zu deployen, also quasi wie WSUS, nur werden sie zu den Clients gepusht, anstatt vom WSUS gezogen. Interessant wäre eher wie zB. im Windows Admin Center die Funktionalität Updates suchen und installieren. Und das zentralisiert sichbar (nicht wie im WAC, wo man in jede VM hingehen muss). Ich weiß nicht wieweit was möglich ist - die Clients suchen i.d.R. die Updates selber, aber manchmal halt nicht, aus welchen Grund auch immer. Wenn man dann auf Suchen geht, kommen ein von einmal die kumulativen Updates.

Die Bedinung dass wir es machen eben ist dass die Clients aktuell gehalten werden, aber es reichen ja die automatischen Updates, die man dann eben überwachen soll.

Teamviewer, ja kenne ich, bringt uns soweit nicht viel denke ich.

[mwiederkehr 373]

vor 16 Minuten schrieb kosta88:

OK, aber soweit ich sehe kann man mit PDQ "nur" deployen, nicht WU ausführen (WU Updates suchen..), sodass die Clients den Rest machen - finde zumindest nichts dazu.

Ja, das ist so. Kann aber auch ein Vorteil sein, wenn man den Installationszeitpunkt selbst festlegen will: PXE-Boot, Update, Neustart, Herunterfahren. So müssen die Benutzer am nächsten Morgen nicht warten.

 

Für die Suche könntest Du ABC-Update über PDQ anstossen.

[kosta88 2]

Folge nicht: warum PXE-Boot?

[mwiederkehr 373]

vor 1 Stunde schrieb kosta88:

warum PXE-Boot?

Um die Rechner nachts zu starten, weil "lasst euren Rechner heute Abend laufen" nicht sehr zuverlässig funktioniert.