#Agent -#Rollout bei „problematischer Benutzerinteraktion“, z.B. #Antivirus oder #Backup von #eset #era #vipre #sophos

Menu:Home/#Agent -#Rollout bei „problematischer Benutzerinteraktion“, z.B. #Antivirus oder #Backup von #eset #era #vipre #sophos

#Agent -#Rollout bei „problematischer Benutzerinteraktion“, z.B. #Antivirus oder #Backup von #eset #era #vipre #sophos

In vielen Umgebungen klappt das managementgestützte Rollout problemlos. Eine Teamviewer-Sitzung, gemeinsam mit dem Anwender kannst Du jedoch vergessen, da der fiktive Anwender am entfernten Standort nicht reagiert. Du hast für die Clients keine Softwareverteilung/MDM, da das im Regelfall Vertriebsmitarbeiter (Notebooks/Road-Warrior) sind und/oder die Umgebung zu klein ist. Dennoch gibt es auch Anwender, die sich per VPN einwählen oder in entfernten Subnetzen befinden. In diesem Fall hilft ein kleiner „Trick“.

Szenario habe ich ja erläutert: Du erreichst den Anwender nicht, bzw. er reagiert nicht. Du musst aber den Agenten „recht zeitnah“ ausrollen. Irgendwann siehst Du, dass er sich ab und an einwählt oder mit dem Terminalserver interagiert oder sogar Gruppenrichtlinien abholt. Ein LogonScript willst Du jedoch nicht anpassen, da das Rollout einmalig ist. Leider gibt es Windows kein SSH. Du möchtest keine Benutzerinteraktion auf dem Client, bzw. den Anwender bei seiner Arbeit auf gar keinen Fall stören.

In sofern hilft folgende Vorgehensweise, sofern der Client Mitglied in Deinem Active Directory ist:

1. Erstelle eine Gruppenrichtlinie, die einen Firewallausschluss eingehend (Edgeausnahmen berücksichtigen) von einem Server in Deinem Unternehmen zulässt:

Bildschirmfoto 2015-08-28 um 16.23.17
Du musst warten, bis diese Richtlinie gewirkt hat. Ggf. macht es Sinn, diese Richtlinie für zukünftige Aufgaben aktiv zu lassen, da der Anwender sein Verhalten möglicherweise nicht ändern wird.

2. Besorge Dir das Tool zum Ausrollen des Clients. In den meisten Fällen ist das ein MSI-Paket oder eine Batch Datei.

3. Ermittle oder verifiziere die IP des problematischen Anwenders in der ASA, Deinem Lancom oder auf dem Tunnelserver oder im gegnerischen Gateway oder DHCP.

4. Rollout-Tool generieren: In meinem Fall generiert z.B. ESET eine Batch Datei, um den Agent bereitzustellen. In diesem Fall ist es „EraAgentInstaller.bat“

5. Rollout-Tool kopieren: Diese Datei legst Du Dir im „C:\“ des Clients zurecht. Dazu benutzt Du den Computer, den Du zuvor in der Firewallausnahme definiert hast und verwendest als Pfad im Windows Explorer einfach

z.B. so:

Bildschirmfoto 2015-08-28 um 16.47.29

6. Besorge Dir von Sysinternals „PSEXEC“. PSEXEC ist Bestandteil einer ganzen Reihe von Managementtools, die Du hier findest: LINK . Das Tool entpackst Du an einem Ort auf dem Quellcomputer, den Du in der Firewallausnahme definiert hast und gut erreichen kannst.

7. Führe in der Konsole auf dem Quellcomputer in dem Pfad, in jenem PS-Exec liegt, wie folgt aus:

Die Rückmeldungen erhältst Du in Deiner Konsole, nicht auf dem Client (PSEXEC würde bei Verwendung der integrierten Kopierfunktion interaktiv werden, das wolltest Du nicht).

Bei Eset erhältst Du, sofern Du erfolgreich gewesen bist, den Exit Code 0.

Damit ist der Client ausgerollt.

By | 2016-04-21T19:52:52+00:00 28.08.2015|Microsoft, Sicherheit, Techbla|Kommentare deaktiviert für #Agent -#Rollout bei „problematischer Benutzerinteraktion“, z.B. #Antivirus oder #Backup von #eset #era #vipre #sophos

About the Author:

John Lose
John Lose ist Informationstechnologe und Datenreisender. Manche mögen ihn als "Aluhut-Träger" bezeichnen, denn er mag nur kleine Rechenzentren, die er selbst kennt. Public Clouds kommen für Ihn höchstens für Webseiten in Frage. John ist Katzenliebhaber, hat aber keine Katze, fährt gerne nach Südfrankreich und hört Tech-House. Mehr über John Lose erfährst Du in seiner Vita.  Wenn Dir dieser Beitrag gefallen hat, so kannst Du auch Danke sagen, wenn Du möchtest:  >> Dankeschön <<.