Software-Verteilung

In zentral verwalteten IT-Strukturen werden Software-Produkte in der Regel nicht manuell auf den einzelnen Geräten installiert, sondern dafür kommt eine sog. Software Deployment-Lösung (opsi) zum Einsatz. Diese Systeme können aus der Ferne Software-Pakete installieren und aktualisieren und so viele Geräte versorgen. Zudem entfällt die Notwendigkeit, den Benutzerinnen und Benutzern lokale administrative Rechte einzurichten.

Verteilung von Software und Updates für Windows-Geräte

Die Installation eines neuen Software-Pakets wird auf Anfrage von der EDV-Betreuung zentral angestoßen. Bei frisch installierten Windows-Rechnern sind folgende Pakete vorhanden:

  • 7zip - Archiv- und Kompressionssoftware
  • Acrobat Reader Classic - PDF-Betrachter
  • bginfo (blendet auf dem Hintergrund u.a. den Rechnername ein)
  • Cisco AnyConnect - VPN-Client
  • Dell Command Update (bei Dell-Geräten)
  • Mozilla Firefox - Webbrowser
  • MS Office - Office-Lösung
  • sciebo - Sync&Share-Client
  • Sophos - Virenscanner
  • Mozilla Thunderbird - E-Mail-Client

Die EDV-Betreuung arbeitet innerhalb der Universität mit anderen Fakultäten zusammen, um ein breit gefächertes Angebot an Software-Paketen anbieten zu können. Weiterhin sind wird Mitglied bei OPSI4Institutes (o4i), einem Netzwerk wissenschaftlicher Einrichtungen, die opsi einsetzen, und ebenfalls ein umfangreiches Repository mit Paketen pflegt.

Sollte eine Software nicht vorhanden sein und von mehreren Personen benötigt werden, werden wir versuchen, daraus ein Paket zu bauen und in den Pool aufzunehmen.

Migration von mit Ivanti installierten Windows-Rechnern

Der Wechsel von Ivanti (betrieben durch das BITS) nach opsi erfordert es, die auf den Ivanti-Rechnern schon installierte Software zu erkennen und in opsi als “installiert” zu markieren. Andernfalls werden für diese Pakete keine Updates verteilt.

Eine derartige In-Place-Migration ist eine pragmatische Lösung, die allerdings nur in seltenen Fällen reibungslos funktioniert; besser ist eine saubere Neuinstallation des Rechners.

Wie läuft die Migration im Einzelnen ab?

  1. Der opsi-Client wird installiert. Das sollte über AD-GPO automatisch und unbemerkt im Hintergrund passieren.

  2. Sobald ein Rechner aus dem Ivanti-Bestand im opsi-Backend auftaucht, wird das Paket uwiw-ivanti-ex installiert, welches den alten Ivanti-Client entfernt.

    Der Abschnitt Was passiert auf dem Rechner? (s.u.) erläutert im Detail, was bei der Paket-Installation allgemein passiert.

  3. Mit Hilfe des Pakets swaudit wird die vorhandene Software inventarisiert und kann dann für die eigentliche Migration genutzt werden, die zunächst darin besteht, die zugehörigen Pakete im opsi als “installiert” zu markieren.

Es kann vorkommen, dass nach der Migration im Anschluss an die erste Anmeldung der Sophos Antivirus Agent meldet, dass die Lizenz abgelaufen sei. Eine Aktualisierung erfolgt automatisch im Hintergrund, sodass diese Meldung ignoriert werden kann. Sollte sie allerdings auch nach mehreren Tagen noch erscheinen, dann melden Sie sich bitte unter servicedesk-wiwi@uni-bielefeld.de.

Bei der Vielfalt der im Umlauf befindlichen Geräte wird es zu Problemen kommen. Dazu gehören bspw. Versionskonflikte, Profiländerungen, fehlende Software in opsi usw. Melden Sie sich in diesen Fällen bitte umgehend unter servicedesk-wiwi@uni-bielefeld.de mit einer aussagekräftigen E-Mail.

Mögliche Probleme nach einer Paket-Installation

  • Mozilla Firefox: Bookmarks sind verschwunden/Login-Daten sind weg etc.

    Mit opsi wird die sog. ESR-Version von Mozilla Firefox installiert; diese Version ist speziell für Unternehmen und Organisationen gedacht. Beim ersten Start dieser Version wird dabei jedoch ein neues Nutzer-Profil angelegt (default-esr).

    Um das alte Profil weiter nutzen zu können, muss in der Adresszeile about:profiles eingegeben werden. Es erscheint eine Übersicht über alle vorhandenen Profile:

    Verfügbare Profile.

    Das nicht aktive Profil enthält üblicherweise die alten Bookmarks, Login-Daten usw. Mit einem Click auf “Profil zusätzlich ausführen” werdne beide Profile zusammengeführt und die Daten sind nach dem nächsten Start wieder verfügbar.

  • Mozilla Firefox: Profil zu alt o.ä.

    Die ESR-Versionen von Mozilla Firefox führen etwas kleinere Versionsnummer, was unter Umständen den Start des Programms verhindert. Dann ist ein kleiner manueller Eingriff erforderlich:

    1. Befehlszeile mit der Tastenkombination Win + r öffnen und den Befehl cmd eingeben mit Ok ausführen:

      Befehlszeile öffnen.

    2. In dem jetzt erscheinenden Befehlsfenster den Befehl cd C:\Program Files\Mozilla Firefox eingeben und Enter ausführen:

      Firefox-Programmverzeichnis.

    3. Im Firefox-Programmverzeichnis dene Befehl firefox.exe --allow-downgrade eintippen und mit Enter ausführen.

    Jetzt sollte das Programm normal starten.

Was passiert auf dem Rechner?

Wurde eine Installation angestoßen oder sollen Updates ausgerollt werden, dann ist bei der Arbeit am Rechner zunächst nichts zu sehen. Im Hintergrund prüft der opsi-Client-Agent, ob eine Netzwerk-Verbindung besteht. Ist das der Fall, dann nimmt er in bestimmten Intervallen Kontakt zum opsi-Server der Fakultät auf und prüft, ob für diesen Rechner Aktionen hinterlegt sind.

Im Hintergrund werden dann die erforderlichen Installationsdateien mit geringer Priorität heruntergeladen. Nach Abschluss erscheint am rechten unteren Bildschirm-Rand ein Hinweis-Fenster mit der Frage nach einem Neustart:

Notification-Fenster

Beim nächsten Start des Rechners erscheinen vor dem Login-Dialog von Windows das opsi-Fenster und erneut ein Hinweis-Fenster mit der Nachfrage, ob direkt mit der Installation gestartet oder ob sie verschoben werden soll.

opsi-Fenster

LAPS - Local Administrator Password Solution

In zentral verwalteten IT-Strukturen ist eine Verteilung von adminstrativen Rechten für eine lokale Verwaltung von Geräten aus einer Sicherheitsperspektive schwierig. Aus diesem Grund hat Microsoft für Rechner, die Teil eines Active Directory sind, mit LAPS eine einfache Möglichkeit geschaffen, bei Bedarf ein Zufallspasswort zu erzeugen.

Soll für einen Rechner temporär ein administrativer Zugriff erforderlich sein, kann die EDV-Betreuung das zufällig generierte Passwort, das LAPS für den lokalen Administrator-Account setzt, per Teamchat oder E-Mail der anfragenden Person mitteilen. Diese Passwörter sind zeitlich begrenzt gültig; nach Ablauf der Frist generiert LAPS automatisch ein neues Zufallspasswort.