WPP - WSUS Package Publisher - Verteilen an bestimmte Computer und Empfehlung

[LooMiS 10]

Hallo,

 

ich würde gerne unsere Softwareverteilung umstellen von Gruppenrichtlinien (aktuell teilweise mit Powershell Skripts/MSIs direkt) zu WPP. Hintergrund ist dass einige Firmenrechner nur noch sporadisch im Firmennetzwerk sind wegen HomeOffice und so die aktuelle Softwareverteilung nicht greift über VPN da diese nur beim Computerstart ausgeführt wird. Ist WPP generell noch empfohlen oder existieren hier bessere freie Alternativen? Falls dies noch empfohlen ist (letztes Release ist ja nicht so alt vom Februar diesen Jahres) dann würde ich es gerne so einstellen dass bestimmte Computer nur bestimmte Updates bekommen. Aktuell ist die AD-Struktur so dass es für jedes Computerobjekt eine eigene OU gibt. Dies spiegelt die WSUS Struktur aber nicht wieder. Mit den vorhandenen Regeltypen wie z.B.: Windows Version komme ich nicht weiter. Wie haben dies andere gelöst? Evtl. über WMI Abfrage auf den Computernamen?

 

Beste Grüße und schonmal vielen Dank :)

[Dukel 457]

6 minutes ago, LooMiS said:

Aktuell ist die AD-Struktur so dass es für jedes Computerobjekt eine eigene OU gibt.

WTF?

Jeder Computer ist in einer eigenen OU? Wie kommt man auf diese Idee?

[LooMiS 10]

also nicht jeder Computer (wäre bei 500 etwas viel ^^^) aber die meisten Laptops und Desktoprechner.

Sekretariat sieht z.B.: so aus:

Clients > Festrechner > Sekretariat > hier gibt es keine Individualsoftware

dann Entwicklung:

Clients > Festrechner > Entwicklung > Rechnername

 

wie würdest du es denn lösen? Eher über die Sicherheitsfilterung bei den GPOs? Finde es eigentlich mit den einzelnen OUs und den individuell zugewiesenen GPOs recht übersichtlich.

[Dukel 457]

Wieso individuelle GPO's? Entweder alle oder höchstens bestimmte Bereiche (Office - Dev) zusammen in eine OU.

 

[LooMiS 10]

wie du siehst sind bestimmte Bereiche in OUs. Aber soll dann eine Software welche von vielleicht 2 Entwicklern benötigt wird dann an 50 Entwickler verteilt werden?

[Dukel 457]

Nein. Das gehört unabhängig von der OU!

 

Was gibt es denn für individuelle GPO's? Nur die Softwareinstallationen?

 

EDIT: Eine Möglichkeit Softwareinstallationen zu verwalten sind Gruppen. D.h. Pro Applikation eine Gruppe und dann kommen die entsprechenden Rechner in die Gruppe.

K.a. ob dies mit WPP so möglich ist.

bearbeitet 15. Juni 2020 von Dukel

[LooMiS 10]

- Softwareinstallationen => dazu evtl. Windows Firewall Freigaben

- Druckerzuordnungen (Standarddrucker teilweise nicht Raumabhängig sondern benutzerindividuell)

- Energiesparoptionen (Dauerbetrieb für einzelne Rechner)

ja Computergruppen wäre eine Option. Diese Regeltypen existieren:

ok also wäre dies das vorgeschlagene Verfahren?

kann man statt der Abfrage zu einer Computergruppenzugehörigkeit auch Abfragen ob eine bestimmte Gruppenrichtlinie zugewiesen ist?

[Sunny61 809]

vor 43 Minuten schrieb LooMiS:

kann man statt der Abfrage zu einer Computergruppenzugehörigkeit auch Abfragen ob eine bestimmte Gruppenrichtlinie zugewiesen ist?

Nein, aber Du kannst mittels GPO Schlüssel/Werte in der Registry ablegen und dessen Existenz im WPP dann abfragen. Funktioniert.

 

Und ja, WPP kann man immer noch verwenden.

[NorbertFe 2.089]

Was du nicht sagst. ;) Blöderweise musst du das aber selber bauen. Bspw. per GPO auf eine Gruppe gefiltert einen Registry Key/Wert erstellen und den kannst du dann im WPP abfragen. Hast also zwei Teile zur Administration.

1. Active Directory Gruppe in der sich der entsprechende Computeraccount befindet und auf diese Gruppe gefiltert ein GPO, in dem bspw. per GPP Registry dann ein Wert HKLM\Software\Deployment-LooMiS\Firefox angelegt wird.

2. WPP mit der Bedingung nur bei Clients mit obigem Registrywert/Key die jeweilige Software zu installieren.

 

[LooMiS 10]

ok also am einfachsten wahrscheinlich wie in meinem Beispiel:

AD-Computergruppe für Software welche nicht ganzen WSUS-Gruppen zugeordnet werden kann sondern individuell für bestimmte Computer. Dann im WPP per WMI die Abfrage machen ob der Computer dieser Gruppe angehört.

Dann kann man sogar die meisten von Dukel gehassten OUs für einzelne Computer abschaffen ;)

bearbeitet 15. Juni 2020 von LooMiS

[NorbertFe 2.089]

vor 50 Minuten schrieb LooMiS:

Dann im WPP per WMI die Abfrage machen ob der Computer dieser Gruppe angehört.

Mach mal vor. Liest du die Antworten, die man die schreibt?

[LooMiS 10]

so wie in dem Screenshot den ich ich oben erstellt habe?!

[NorbertFe 2.089]

Versuchs. :)

[Dukel 457]

Ich hasse keine OU's. Aber man sollte diese sinnvoll einsetzen. Da ist weniger mehr.

[LooMiS 10]

so wenig wie möglich so viel wie nötig ist eigentlich immer eine gute Devise. Hast schon Recht Dukel. Ist vielleicht doch etwas zuviel des Guten. Ja gut schon mal vielen Dank für die Tipps bisher. Ich werde es mit dem WMI und AD-Computergruppen testen. Falls dies nicht funktioniert kann ich es ja mit dem Registry-Trick probieren was natürlich den Vorteil hätte dass die bestehende Struktur mit den GPOs für einzelne OUs weiter benutzt werden könnte.