Softwareverteilung im Unternehmen mit OPSI

      Kommentare deaktiviert für Softwareverteilung im Unternehmen mit OPSI

Wenn ein Unternehmen wächst, kommen immer wieder neue Mitarbeiter dazu. Jeder hat andere Vorkenntnisse im Umgang mit Computern. Der eine war selbst Administrator und weiß genau was an welcher Stelle in der Registry passiert, die meisten anderen wollen aber nur, dass der Computer funktioniert. Schlimm wird es, wenn etwas nicht funktioniert und die Mitarbeiter sich dann im Internet auf die Suche nach vermeintlich schnellen Lösungen machen. Dann wird mal schnell hier eine Freeware heruntergeladen und für die eine Aufgabe benötige ich nur schnell die Demo von dem Programm. Manche bewegen sich sogar auf ganz dunklen Abwegen und installieren sich vielleicht sogar gecrackte Programme. Der Schaden, der durch diese Art von Programmen in Unternehmen entstehen kann ist beträchtlich. Der größte Schutz vor Eindringlingen ist ja die Firewall des Unternehmens. Wenn aber Mitarbeiter Software (mit Schadcode) installieren, haben die Angreifer diesen Schutzwall bereits durchbrochen und können vom inneren des Netzes noch mehr Schaden anrichten.

Es gibt mehrere Möglichkeiten dies in einem Unternehmen zu verhindern. einfachste Möglichkeit, ist Microsofts Active Directory zu benutzen. Damit hat man die volle Kontrolle über die Rechte der Nutzer und kann diesen z.B. die Installation von Software komplett untersagen. Ein Problem, welches aber damit einhergeht ist die Tatsache, dass heutzutage praktisch alle Programme Updates nachinstallieren. Dafür werden, je nach Produkt Administratorrechte benötigt. Unrühmliche Beispiele für diese Art der Updates sind z.B. Adobe Produkte (Flash Player, Adobe Reader) und Java. Anders verhält es sich mit z.B. Firefox oder Chrome. Diese installieren parallel einen Dienst, der mit Systemrechten regelmäßig Updates ohne Interaktion mit dem Benutzer durchführt. Es gibt neuerdings sogar Chrome for Bussiness mit welchem man bestimmte Einstellungen per Active Directory steuern kann.

Nicht jedes Unternehmen kann und will sich jedoch einen Windows Server kaufen und unterhalten. Die Lizenzkosten belaufen sich auf ca. 2.000 € bei 40 angebundenen Arbeitsplätzen. Auch ein Samba 4 Server kommt nicht immer in Betracht, da man meist eine gewachsene Infrastruktur hat, in der auch noch viele Non-Professional-Windows Lizenzen ihr Unwesen treiben. Diese alle um zu rüsten würde einen erheblichen Mehraufwand (finanziell und personell) bedeuten.

Als dritte Möglichkeit kann man auf den jeweiligen Computern einen Administrator-Account anlegen, den vorhanden Benutzer auf „Normalnutzer“ zurück stufen und Software Installationen nur noch über eine Drittsoftware erledigen. Es gibt dazu viele Ansätze und viele Tools. Hier mal eine Vergleichstabelle.

Ich habe mir als erstes OPSI angeschaut. OPSI wird auf einem Linux Server installiert. Alternativ kann man sich auch eine vorkonfigurierte virtuelle Maschine herunterladen. OPSI wird als Konfigurations- oder Client-Management-Software verstanden. Man kann also auf dem Server festlegen, welche Software auf welchen Client und in welcher Version verteilt wird. OPSI geht sogar soweit, dass man damit sogar Betriebssysteme per PXE Boot installieren kann. Desweiteren kann man damit sehr komfortabel eine Hard- und Software-Inventarisierung betreiben. OPSI an sich ist OpenSource. Der Anbieter uib bietet aber noch verschiedene Module für OPSI, unter anderem auch ein Lizenzmanagement Tool (z.B. für Windows oder Office) oder einen Linux Agent (kostenpflichtig), an.

opsi_uebersicht

Übersicht über installierte Software auf dem Client

 

Nach der Installation von OPSI stehen verschiedene Netzlaufwerke zur Verfügung. Um OPSI auf einem Client ein zu richten genügt es, die

\\server\opsi_depot\opsi-client-agent\service_setup.cmd

zu starten. Die Installation führt einen automatischen Neustart durch und registriert den Client bei dem OPSI Server. Dies geschieht SSL Verschlüsselt, wobei die öffentlichen Schlüssel dann auf dem Server abgelegt werden. Danach kann man z.B. eine Hard- und Software-Inventur anstoßen oder bereits Software Pakete für den Rechner vorbereiten, damit diese beim nächsten Start installiert werden. In einer kostenpflichtigen Erweiterung kann man sogar festlegen, dass diese Updates beim Herunterfahren des Computers durchgeführt werden.

Um bei OPSI Software-Pakete zu installieren, empfiehlt es sich den OPSI PackageBuilder zu installieren. Damit kann man Pakete sehr einfach einrichten und diese werden dann auch an die richtige Stelle auf dem Server kopiert und registriert. Darin enthalten ist sogar ein kleiner Script-Editor mit Syntaxhighlighting. Diesen benötigt man für die verschiedenen Installations- / Deinstallations- oder Update-Scripte. Es erscheint anfänglich umständlich da es ja bei den meisten Installern einen Kommandozeilenparameter für eine Silent Installation gibt. Man merkt aber recht schnell, dass man damit z.B. zusätzliche Dateien auf den Rechner kopieren kann, Registry Einträge verändern kann und sogar For Schleifen und If Bedingungen verwenden kann. (Winst-Handbuch)

In dem OPSI PackageBuilder kann man sogar Abhängigkeiten konfigurieren. Wenn z.B. Netbeans als IDE vorinstalliert werden soll, kann man die Java Installation als Abhängigkeit definieren, so dass erst Java installiert sein muss, bevor Netbeans installiert werden kann.