In vielen Umgebungen klappt das managementgestützte Rollout problemlos. Eine Teamviewer-Sitzung, gemeinsam mit dem Anwender kannst Du jedoch vergessen, da der fiktive Anwender am entfernten Standort nicht reagiert. Du hast für die Clients keine Softwareverteilung/MDM, da das im Regelfall Vertriebsmitarbeiter (Notebooks/Road-Warrior) sind und/oder die Umgebung zu klein ist. Dennoch gibt es auch Anwender, die sich per VPN einwählen oder in entfernten Subnetzen befinden. In diesem Fall hilft ein kleiner „Trick“.
Szenario habe ich ja erläutert: Du erreichst den Anwender nicht, bzw. er reagiert nicht. Du musst aber den Agenten „recht zeitnah“ ausrollen. Irgendwann siehst Du, dass er sich ab und an einwählt oder mit dem Terminalserver interagiert oder sogar Gruppenrichtlinien abholt. Ein LogonScript willst Du jedoch nicht anpassen, da das Rollout einmalig ist. Leider gibt es Windows kein SSH. Du möchtest keine Benutzerinteraktion auf dem Client, bzw. den Anwender bei seiner Arbeit auf gar keinen Fall stören.
In sofern hilft folgende Vorgehensweise, sofern der Client Mitglied in Deinem Active Directory ist:
1. Erstelle eine Gruppenrichtlinie, die einen Firewallausschluss eingehend (Edgeausnahmen berücksichtigen) von einem Server in Deinem Unternehmen zulässt:
Du musst warten, bis diese Richtlinie gewirkt hat. Ggf. macht es Sinn, diese Richtlinie für zukünftige Aufgaben aktiv zu lassen, da der Anwender sein Verhalten möglicherweise nicht ändern wird.
2. Besorge Dir das Tool zum Ausrollen des Clients. In den meisten Fällen ist das ein MSI-Paket oder eine Batch Datei.
3. Ermittle oder verifiziere die IP des problematischen Anwenders in der ASA, Deinem Lancom oder auf dem Tunnelserver oder im gegnerischen Gateway oder DHCP.
4. Rollout-Tool generieren: In meinem Fall generiert z.B. ESET eine Batch Datei, um den Agent bereitzustellen. In diesem Fall ist es „EraAgentInstaller.bat“
5. Rollout-Tool kopieren: Diese Datei legst Du Dir im „C:\“ des Clients zurecht. Dazu benutzt Du den Computer, den Du zuvor in der Firewallausnahme definiert hast und verwendest als Pfad im Windows Explorer einfach
\\ZIELIP\C$
z.B. so:
6. Besorge Dir von Sysinternals „PSEXEC“. PSEXEC ist Bestandteil einer ganzen Reihe von Managementtools, die Du hier findest: LINK . Das Tool entpackst Du an einem Ort auf dem Quellcomputer, den Du in der Firewallausnahme definiert hast und gut erreichen kannst.
7. Führe in der Konsole auf dem Quellcomputer in dem Pfad, in jenem PS-Exec liegt, wie folgt aus:
psexec \\ZielIP c:\EraAgentInstaller.bat
Die Rückmeldungen erhältst Du in Deiner Konsole, nicht auf dem Client (PSEXEC würde bei Verwendung der integrierten Kopierfunktion interaktiv werden, das wolltest Du nicht).
Bei Eset erhältst Du, sofern Du erfolgreich gewesen bist, den Exit Code 0.
Damit ist der Client ausgerollt.