Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ideen für eine etwas andere Software Deployment

Frage Entwicklung Installation

Mitglied: mc-doubleyou

mc-doubleyou (Level 2) - Jetzt verbinden

01.09.2010 um 09:10 Uhr, 4613 Aufrufe, 11 Kommentare

Hallo zusammen,

ich brauche mal eure Hilfe, den ich bin mit meinem Latein erst einmal am Ende.

Ziel ist es das wir auf einem Netzlaufwerk Software zur Verfügung stellen und das mittels runas/cpau/... man diese aber auch nur diese Software selbstständig installieren kann. Im weiteren Verlauf wäre es natürlich schön wenn das ganze silent von statten geht also der User nur noch sagt will ich haben und das wars. Auch eine Deinstallationsroutine hätte Vorteile aber das alles ist noch Zukunftsmusik.

Mein bisheriger Ansatz:

- mittels cpau ein job File erstellen welches mit crc gekoppelt ist damit man nicht einfach was auch immer ausführen kann.
- dieses job File muss man aber jedesmal wenn man die Software erweitert wieder neu erstellen weil sonst ja der crc Check failed.
- weiters eine bat datei in der man auswählen kann welche Software man gerne hätte, diese aber in eine exe verwandeln da man die sonst einfach manipulieren kann

Ziemlich umständlich, ich weiß und das schlimme derzeit funktionierts noch nicht mal.

Das wichtige ist aber eben das es nicht so sein soll das installiert wird beim starten oder beenden sondern dann wenn der User die Anforderung stellt.

Hat wer Ideen? Denn im Moment wäre die Verwaltung sehr aufwendig, man davon abgesehen das ich derzeit noch Errors abgreife.

mc-doubleyou
Mitglied: DerWoWusste
01.09.2010 um 10:42 Uhr
Moin.
Mit Verlaub: Ihr erfindet das Rad neu.
Was Du suchst, nennt sich Software publishing. Non-Admins können vom Admin authorisierte Software installieren. Dazu öffnen Sie appwiz.cpl und wählen "Programme vom Netzwerk installieren". Dort taucht eine Liste von Programmen auf, die der Admin per benutzerbezogener GPO veröffentlicht hat. Einziger Haken: es müssen MSI-Pakete sein. Da es aber MSI-Wrapper wie WIWW gibt, kannst Du mühelos jedes Setup, das über /silent-Parameter verfügt in ein MSI verwandeln.

Wir nutzen die das erfolgreich. Im Gegensatz zu CPAU und Konsorten ist es sogar sicher.
Bitte warten ..
Mitglied: mc-doubleyou
01.09.2010 um 12:03 Uhr
Erstmal herzlichen Dank für deinen tollen Einfall. Davon wusste ich nämlich zum Beispiel nichts.

Leider gibt es dabei aber ein Problem. Wir hängen zwar mittels VPN Tunnel alle im selben Netzwerkbereich, aber nicht in einer Domain.

Soll heißen auf unser NAS \\10.20.20.253\public kann man von außen ohne Probleme zugreifen aber GPOs kann ich nicht umsetzen.

Sonst noch Ideen?

mc-dy
Bitte warten ..
Mitglied: DerWoWusste
01.09.2010 um 12:19 Uhr
OK, dann wollen wir zunächst mal abklopfen, ob die Sicherheit nicht zum Showstopper wird.
Du kannst bei interaktiven (=sichtbar ablaufenden) installationen nicht vermeiden, dass der Nutzer diesen Zugang zu einem Prozess mit hohen Rechten missbraucht und sich somit Adminrechte verschafft. Egal ob CPAU oder sonstwas benutzt wird, egal, ob Kennwort verschlüsselt übergeben oder nicht.
Nur bei unsichtbar ablaufenden Setups ist die Sicherheit gewährleistet. Somit bleibt aus meiner Sicht nur die Möglichkeit, dies über geplante Tasks zu lösen.
Ansatz:
Ihr konfiguriert ein Startskript, das auf eine Batch auf einem Server zeigt. In dieser Batch könnt Ihr bei Bedarf neue Tasks installieren lassen (über den Befehl schtasks.exe /create).
Die Tasks zeigen nun wiederum auf Batches, die Eure Setups silent starten. Die Tasks laufen mit lokalen Adminrechten.

Sollte klappen. Wegen Missbrauchsbedenken:
Die User bekommen nur Lese- und Ausführrechte auf die Tasks. Sollten Sie diese Tasks manipulieren können (was per se unmöglich ist), benötigen sie ein Adminkennwort zur Speicherung des Tasks.

Dies leistet genau das, was Du willst. Der Nutzer kann den Taskplaner aufschlagen, sieht einen Haufen Tasks (Beispielname "Install Irfanview") und kann diese bei Bedarf starten.
Bitte warten ..
Mitglied: mc-doubleyou
01.09.2010 um 13:06 Uhr
wow, geile Idee

Nur um mal sicher zu stellen das ich es auch verstanden habe:

Am Server erstellt man Tasks zum installieren von Programmen, diese werden mit lokalen Adminrechten gestartet.

mittels einem script das ich noch nicht ganz kapiert habe wie arbeitet, greifen die User dann auf die Tasks vom Server zu

Stimmt das soweit?

MIssbrauchs Ängste hab ich in diesem Fall gar nicht wirkt sehr sicher.

Der einzige Hacken ist das ich nur eine NAS oder meinen eigenen Rechner anbieten kann und keinen Server und auf einem NAS lassen sich denke ich keine Tasks erstellen.

*THX 2 DerWoWusste*

mc-dy
Bitte warten ..
Mitglied: DerWoWusste
01.09.2010 um 13:29 Uhr
Nee, hast Du missverstanden - aber zu Deinem Glück muss auf dem Server/NAS nichts installiert werden.
Clients erhalten ein Startskript. Dies setzt Du, indem Du gpedit.msc auf den Clients aufrufst und es dort konfigurierst unter comp.konfig - windows einst. - Skripte - Startskript hinzufügen.
Nimm hier eine Batch, die auf dem NAS liegt und die lautet in etwa (bzw. enthält die Zeile):

schtasks /create /tn InstallProgrammxy /tr \\nas\freigabe\setupProgrammxy.bat /sc Zeitplan [/mo Parameter] [/d Tag] [/m Monat[,Monat...] [/i Leerlaufzeit] [/st Startzeit] [/sd Startdatum] [/ed Enddatum] [/s Computer [/u [Domäne\]Benutzer /p Kennwort]] [/ru {[localhost\]administrator} [/rp Adminkennwort]]
:rem Nun noch die ACL des Tasks anpassen, damit schwache Benutzer den auch sehen und ausführen können
icacls%windir%\System32\Tasks\InstallProgrammxy /grant everyone:rx
(Code passend für vista/win7, bei xp muss mit cacls gearbeitet werden und der Task wäre %windir%\tasks\InstallProgrammxy.job)

\\nas\freigabe\setupProgrammxy.bat wiederum besteht nur aus einer Zeile

\\nas\FreigabeMitSetups\Programmxy\setupvonxy.exe /silent
Bitte warten ..
Mitglied: mc-doubleyou
01.09.2010 um 14:28 Uhr
Ich hoffe du verbannst mich jetzt nicht nach dau.de oder so aber so ganz blick ich noch nicht durch.

Warum benötigt man ein Startscript? Wenn ich jedesmal wenn was neues raus kommt ein Startscript erstellen muss, muss ich mich ja genau so auf jeden PC verbinden um das erstellen zu können.

Das selbe bei der batch am NAS die muss doch dann auch laufend verändert werden und somit wieder neu angebunden werden oder startet diese bat dann wieder die Tasks "IrfanView Install" und so weiter?

Sry, es klingt super was du an Ideen hast aber ich steig noch nicht ganz durch wie das meine Arbeit erleichtern soll.

mc-dy
Bitte warten ..
Mitglied: DerWoWusste
01.09.2010 um 14:37 Uhr
verbannst mich jetzt nicht nach dau.de
kurz davor... ; )

Das Startskript erstellt die Tasks. Auf den Clients ist doch nur das Startskript verlinkt, welches auf dem NAS liegt. Du hast also für neu zu installierende Software lediglich dieses eine Skript um weitere Zeilen
->schtasks /create... zu ergänzen.
Verstehste? Die Clients nehmen doch das Skript vom NAS.

1. Admin schreibt die Batch auf dem NAS
2. Client-PC startet sein Startskript und schreibt sich somit diese Tasks in den Taskplaner
3. SchwacherUser startet den Taskplaner und findet die Tasks vor, die er zur Installation nutzen kann.
...
kommt nun eine weitere Anwendung hinzu
4. nimmt Admin erneut die Batch vom NAS zur Hand und trägt dort eine neue Anwendung ein.

Nach dem nächsten Start des Clients hat er auch diesen Task zur Verfügung.
Bitte warten ..
Mitglied: mc-doubleyou
01.09.2010 um 15:25 Uhr
Ich habs kapiert ;)

Nun aber die nächste Frage wenn ich die bat Datei so:

schtasks /create /tn InstallProgrammxy /tr \\nas\freigabe\setupProgrammxy.bat /sc Zeitplan [/mo Parameter] [/d Tag] [/m Monat[,Monat...] [/i Leerlaufzeit] [/st Startzeit] [/sd Startdatum] [/ed Enddatum] [/s Computer [/u [Domäne\]Benutzer /p Kennwort]] [/ru {[localhost\]administrator} [/rp Adminkennwort]]

erstelle, gebe ich doch das Adminkennwort mit und das im Klartext oder? Klar sehen die die bat datei nicht auf ihrem Rechner aber am NAS liegt die doch offen, immerhin muss der Bereich zugänglich sein. Wird dann noch ein RunAs benötigt oder übernimmt das auch der Task?

1k thx mc-dy
Bitte warten ..
Mitglied: DerWoWusste
01.09.2010 um 16:00 Uhr
Urks. Das stimmt. Mir fällt auch spontan kein Weg ein, dies Kennwort zu verschleiern. Oder doch? Wie wäre es, die Rechte auf "ausführen" zu beschränken und Lesen wegzunehmen? Ich bin recht sicher, dass ich das mal irgendwo eingesetzt habe, bei der Umsetzung aber Probleme hatte. Versuchs mal mit einer Testbatch.
Bitte warten ..
Mitglied: DerWoWusste
02.09.2010 um 16:33 Uhr
Vergiss das mit dem Ausführen aber nicht lesen mal ganz schnell wieder - diese Möglichkeit bestand vor x Patches und Servicepacks tatsächlich einmal früher, jetzt aber nicht mehr.
Was gehen wird: nutze zum Setzen der Tasks Deine ursprüngliche Idee mit der verschlüsselten Kennwortübergabe. Wenn die Kollegen nicht wirklich gerissen sind, werden Sie das nicht ausnutzen können.
Bitte warten ..
Mitglied: mc-doubleyou
12.11.2010 um 11:17 Uhr
wie ich eben sehe ist DerWoWusste weg *schade*

Ich hoffe mal das mir jemand anderes auch helfen kann.

Hab nämlich endlich Zeit gefunden daran zu arbeiten und stehe nun aber voll an.

mit dem parameter /sc kann man nicht wählen das der task startet wenn man ihn auswählt. und sowas wie ein doppelklick auf den task um das programm zu installieren funktioniert auch nicht.

was mach ich falsch?

Lg MC-D
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Deployment Software für Windows Clients
gelöst Frage von TiefgarageWindows Netzwerk6 Kommentare

Guten Tag, ich stehe momentan kurz davor ein Software-Verteilungssystem in einer Testumgebung einzurichten. Das Software-Verteilungssystem sollte möglichst leicht in ...

Installation
Lösung für Software Deployment !!
gelöst Frage von fireskyerInstallation31 Kommentare

Hallo Commmunity Wir suchen nach einer Lösung für ein automatisches Software Deployment. Wir setzen schon WSUS ein, aber wir ...

Windows Server
GPO Software Deployment Pfade ändern
gelöst Frage von CloudyWindows Server6 Kommentare

Hallo, ich habe mal eine frage, wie ändere ich ambesten den Speicherort der MSI Packete (+ mst Dateien) die ...

Netzwerke
Suche Eierlegende IT-Management-Software (Monitoring, Administration, Software Deployment, und und und)
gelöst Frage von oliver12Netzwerke18 Kommentare

Moin zusammen, ich bin auf der Suche nach einer Eierlegenden IT-Management-Software mit der ich alles erschlagen kann. Somit sind ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 3 MinutenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 5 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 5 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 17 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Windows Server
Remotesteuerung der Sitzung (Kennung XX) fehlgeschlagen
gelöst Frage von Stefan91Windows Server14 Kommentare

Hallo Zusammen, seit kurzem bekomme ich oben genannte Fehlermeldung, wenn ich versuche eine Remotesitzung über den Taskmanager fernzusteuern (Rechtsklick ...