14.02.13 win ua-agent

Softwareverteilung für „kleine“ Netzwerke

(Version 2.13)

14 – WinUAAgent

Softwareverteilung in „kleinen“ Netzwerken

© 7/2009 - 09/2009 MyKey-Soft Seite 2 von 17

Der WinUAAgent Der WinUAAgent wurde erstellt, damit die Konfiguration der automatisierten Softwareverteilung vereinfacht warden kann. In der Beschreibung der Installation wurde beschrieben, wie man verschiedene Geplante Aufgaben (Schedule Tasks) verwenden kann, damit diese in reglemäßigen Abständen die UA-GUI abfragen und Aktualisierungen erfahren. Nachteil dieser Vorgehensweise ist der Umfang der Konfigurierung. Außerdem ist es schwierig eine geplante Aufgabe im Nachhinein zu konfigurieren. Eine Aufgabe die hinterlegt wurde wird erst gestartet, wenn das Intervall abgelaufenb ist. Wenn dieser Intervall recht hoch ist, möchte man denoch, das nach dem Starten des PC´s, die Aktualisierungen erfolgen.

Die Vorteile des WinUAAgent sind:

• Einfache Installation des Windows-Dienstes per .MSI • Konfiguration des Agenten per INI-Datei • Agent wird im Administrator-Kontext ausgeführt unabhängig von den Rechten des

angemeldeten Benutzers • Intervallsteuerung erst nach dem ersten Durchlauf des Agenten • Integration des SysInfo-Tools gestalltet sich einfacher, da dieses schon mitinstalliert

wird und regelmässig ausgeführt werden kann • Alternativ kann auch OCS Inventory NG als Inventariesungs-Tool verwendet werden • Der Agent ist erweiterbar, d.h, das in Zukunft, noch weitere Funktionen vom Agenten

ausgeführt werden können • Alle ausgeführten Anweisungen können protokolliert werden • Läuft auf Windows XP/Vista/7 (x86 und x64) sprachunabhängig

Funktionsweise Der WinUAAgent besteht aus folgenden Komponenten, die Zusammenwirken:

• UAGUIWinAgent (ClientService) Das ist ein Windowsdienst, der die Aufgabe hat, einen Timer zu starten. Ist der Timer abgelaufen, dann wird WinUAgent gestartet. Der Dienst hat einen eigenen Benutzer, der bei der Installation angelegt wird. Dass Kennwort dafür kann frei gewählt werden. Dieser Benutzer hat lokale Administrationrechte, damit installationen durchgeführt werden können. Mit diesem Dienst ist es möglich, Anwendungen zu installieren, wenn kein Benutzer angemeldet ist bzw. so zu installieren, dass der Anwender davon nichts mitbekommt

• ClientUser Der ClientUser ist ähnlich dem UAGUIWinAgent, nur das dieser im Kontext des angemeldeten Benutzers gestartet wird. Er wird verwendet, wenn Installationen eine GUI benötigen (z.B. bei AutoIt-Scripten uä.) bzw. Benutzerbezogene Installationen durchgeführt werden sollen. ClientUser startet den WinUAAgent dann als angemeldeter Benutzer, aber mit Rechten eines lokalen Administrators. Dieser ist derselbe Benutzer, der auch der UAGUIWinAgent nutzt.

• ClientCMD Die ClientCMD ermöglicht das direkte Ausführen von Befehlen, ohne das auf das Ablaufen eines Timers gewartet werden muss. Das ist hilfreich beim Testen von Scripten, die in dem Benutzerkontext ablaufen sollen.

• WinUAAgent Diese Komponente ist der zentrale Bestandteil. Sie sorgt für das Ausführen der passenden Anfragen an UA-GUI und dem anschließenden starten der Installationen.



Gestartet wird diese Komponente zum einen vom UAGUIWinAgent und zum anderen vom ClientUser.

• Client.DLL Diese Komponenten enthält alle benötigten Funktionen. Sie sorgt dafür, dass der Win32UAAgent in passenden Benutzerkontext gestartet wird. Sie enthält auch die zusätzliche Funktionen die bei der Installation des Agent benötigt werden.

Lizenz und Kontaktmöglichkeiten Der WinUAAgent ist als Freeware verfügbar. Der Entwickler übernimmt keine Haftung für eventuelle Schäden, die durch die Verwendung der Software entstehen mögen. Der WinUAAgent ist keine zwingende Komponente des Unattended-GUI Projekts. Bei Fragen oder Wünschen bitte eine Email an: [email protected]

Release-History

Release Bemerkungen

1.2.1 09.03.2010 Fix: Aufruf von /FORCECTOU, /FORCEOCSING und /FORCESYSINFO wurden nicht akzeptiert und ausgeführt Fix: Bei der Installation wurde das Kennwort für den lokalen Administrator nicht verwendet, sondern ein völlig zufälliges erzeugt Add: Weitere Details für die Ausgabe der Logdateien eingefügt

1.2.0 20.09.2009 Add: OCS Inventory NG Agent im Setup Add: TIMER_OCSING und OCSING_SERVER hinzugefügt Add: ClientCMD-Befehle erweitert

1.1.1 18.09.2009 Fix: Anpassungen zur Unterstützung von Vista/Windows7 Fix: Lokale WEMERGE.CMD wird nach dem Abarbeiten nicht mehr gelöscht

1.1.0 17.09.2009 Add: Detailiertetes Protokoll möglich Fix: Zugriffsfehler durch mehrfach Ausführen des WinUAAgent durch den eigenen Prozess (Zugriffsfehler)

1.0.15 09.09.2009 Add: AGENT_TEMPPATH hinzugefügt Add: Detailiertetes Protokoll möglich Fix: Dienst führte Benutzer In-/Deinstallationen durch Fix: WinUAAgent wurde gleichzeitig mehrfach gestartet. Dadurch kommt es zu Zugriffsfehlern

1.0.9 04.09.2009 Add: TIMER_WEMERGE_USER hinzugefügt Fix: Standardwerte der Timer ist immer 0 Fix: Wenn Timer-Werte Leerzeichen sind, kommt es zu einer Fehlermeldung, dass der Wert nicht umgewandelt werden kann Fix: Wenn der AGENT_LOGPATH nicht vorhanden ist, dann wird keine Installation/Aktualisierung gemacht

1.0.6 03.09.2009 Erstes öffentliches Release mit allen beschriebenen und dokumentierten Funktionen



WinUAAgent installieren per Setup Voraussetzungen:

• Zum Ausführen des Setups sind Administrator-Rechte notwendig, da ein neuer Windos-Dienst installiert wird und ein lokaler Windowsbenutzer mit lokalen Administrationsberechtigungen1 angelegt wird

• .NET Framework 2.0

Installationschritte Bemerkungen

� Die Installation des WinUAAgent erfolgt durch einen Doppelklick auf die UAGUIWinClientSetup.msi

�

�

1 Dieser lokale Benutzer hat den Namen UAGUI_LocalAdmin und wird der Gruppe der lokalen Administratoren zugeordnet.



�

�

WinUAAgent konfigurieren In dem Verzeichnis in dem der Agent installiert wurde, befindet sich eine Datei mit dem Namen WinUAAgent.ini. Diese Datei enthält die Konfiguration des Agenten. Diese ist nun entsprechende den eigenen Bedürfnissen anzupassen [INI] INI_VERSION=1 [AGENT] AGENT_LOCALADMIN_PASSWORD=mmwSFirMxsvC9rkNZE026bwYpA1vvWKLQbMBCDSO4Yo= AGENT_SHOWTRAYICON=1 [SYSINFO] TIMER_SYSINFO=120 SYSINFO_LOGPATH=\sim\data [UAGUI]



UAGUI_SHARE=\\192.168.2.254\install UAGUI_DRIVELETTER=Z: UAGUI_USER=ADM_L_NTINST UAGUI_PASSWORD=pw,1NTInst [WEMERGE] TIMER_WEMERGE=2 TIMER_WEMERGE_INSTALL=120 TIMER_WEMERGE_UPDATE=480 TIMER_WEMERGE_USER=120

[AGENT]

Parameter Bemerkungen

AGENT_DEBUG_SHOWPROCESSWINDOW Normalerweise wird die Ausführung im Hintergrund ausgeführt. Setzt man hier den Wert 1, dann wird die Ausgabe der auszuführenden Aufgabe sichtbar gemacht

AGENT_LOCALADMIN_PASSWORD Das Kennwort, das für den Benutzer UAGUI_LocalAdmin gesetzt wurde. Dieser Benutzer wird verwendet, damit der Agent mit Rechten eines Administrators gestartet werden kann. Dieses Kennwort wird verschlüsselt abgelegt. Ein direktes Ändern des Kennworts in dieser Datei ist nicht möglich.

AGENT_LOGPATH Mit dieser Eigenschaft steuert man das Erzeugen einer Protokolldatei. Damit ist es möglich, die Ausgaben der Kosolenprogramme (WEMERGE uä.) in eine Textdatei schrieben zu lassen. Ist diese Eigenschaft leer bzw. fehlt sie, dann wird kein Protokoll erzeugt. Der Pfad wird ohne abschließenden Backslash eingetragen (z.B. C:\Temp)

AGENT_SHOWTRAYICON Mit dieser Einstellung lässt sich steuern, ob die ClientUser-komponentein der Tray-Liste ein Statusicon anzeigen soll

AGENT_TEMPPATH Dieser Wert beschreibt das Verzeichnis, in dem temporäre Dateien kopiert werden können. Ist dieser Wert nicht gesetzt, dann wird das temporäre Verzeichnis des Benutzers verwendet. Der Pfad wird ohne abschließenden Backslash eingetragen (z.B. C:\Temp) Vista/Windows7: Diesen Wert unbedingt auf einen Pfad setzen, auf den alle Benutzer Zugriff haben

TERMINAL_SERVER Wenn dieser Option den Wert=1 hat, werden keine Anwendungen installiert, die für einen bestimmten Benutzer zugewiesen wurden, weil dies für ihn



definiert wurde oder er einer Benutzergruppe angehört. Der Benutzer logged sich in der GUI ein und kann sich selbst die verfügbaren Anwendungen mit der Berechtigung „frei“ zuweisen und löschen, insoweit diese nicht einer Benutzergruppe zugeordnet sind

[CTOU] Diese Parameter können nur manuell eingepflegt werden, da es sich bei der Verwendung von c´t offline update nur um eine spezielle Lösung handelt, die in UA-GUI integriet werden könnte.


TIMER_CTOU Intervall in dem die Updates geladen werden können. Wenn hier der Wert=0 steht, dann wird keine Anfrage an CTOU gemacht. Das ist der Standartwert

CTOU_PATH Der Pfad unterhalb der Freigabe, in der sich CTOU befindet (z.b.: \WSUS)

[OCSING] Diese Parameter können nur manuell eingepflegt werden, da es sich bei der Verwendung von OCS Inventory NG nur um eine spezielle Lösung handelt, die in UA-GUI integriet werden könnte.


TIMER_OCSING Intervall in dem der OCS Inventory NG Agent seine Informationen an die Datenbank sendet. Wenn hier der Wert=0 steht, dann wird keine Inventarisierung durch den OCS Inventory NG Agent gemacht. Das ist der Standartwert

OCSING_SERVER Name des OCS Inventory NG Servers (z.B.: 192.168.2.254)

[INI]


INI_VERSION Intern verwendete Versionsnummer.



[UAGUI]


UAGUI_SHARE Name der Freigabe, wo sich die WEMERGE.CMD befindet

UAGUI_DRIVELETTER Der zu verwendene Laufwerksbuchstabe

UAGUI_USER Benutzer mit der lesenden Berechtigung für das UAGUI_SHARE

UAGUI_PASSWORD Das dazugehörige Kennwort

[SYSINFO]


TIMER_SYSINFO Intervall in Minuten zum Ausführen der inventarisierung mit Sysinfo2. Ist dieser Wert=0 dann wird keine Inventarisierung durchgeführt

SYSINFO_LOGPATH Der Pfad zu dem Verzeichnis unterhalb der Freigabe (siehe UAGUI_SHARE) in der die Inventardaten gespeichert werden sollen

[WEMERGE]


TIMER_WEMERGE Intervall in Minuten zum ersten Ausführen von Aktualisierungen und Installationen. Ist dieser Wert=0, wird keine Installation/Aktualisierung durch geführt. Damit diese Einstellung wirksam wird, ist der Dienst neu zu starten

TIMER_WEMERGE_INSTALL Intervall in Minuten zum Ausführen von Installationen. Ist dieser Wert=0 werden keine Installationen mehr ausgeführt

TIMER_WEMERGE_UPDATE Intervall in Minuten zum Ausführen von Aktualisierungen. Ist dieser Wert=0, dann werden keine Aktualisierungen mehr durchgeführt

TIMER_WEMERGE_USER Intervall in Minuten zum ausführen der Benutzerdefinierten Installationen/Aktualisierungen. Ist dieser Wert=0, dann werden keine Benutzeraktionen ausgeführt

Durch Anpassen der entsprechenden Werte, lässt sich die Konfiguration ganz leicht anpassen. Jedes mal, wenn der Agent seine Aufgaben ausführt, wird diese INI-Datei gelesen und entsprechend verwendet.



Durch diesen Mechanismus ist es daher einfach, eine defekte Konfigurationsdatei durch eine intakte Konfiguration zuersetzen2.

Silent-Installation Um den Agenten automatisiert installieren zu können, wurde der Parameter SILENT implentiert. Bekommt dieser den Wert 1 dann wird im Installatioinsverzeichnis nach einer Datei gesucht, die den Namen WINUAAgent.ini hat. Dies ist eine vorkonfiguriete Datei. Bei der Installation wird diese Datei verwendet, um das Kennwort auszulesen und die Konfiguration zu erzeugen. Gibt man als Option noch den Paramerter APW mit, dann wird das angegebene Kennwort verwendet und anschließend in die kopierte INI-Datei eingetragen. Wenn der Parameter APW nicht mit angegeben wird, dann wird versucht, das Kennwort aus der angegebenen Datei auszulesen, sofern dieses dort angegeben wurde. Wird kein Parameter APW angegeben und enthält die WINUAAgent keinen Eintrag AGENT_LOCALADMIN_PASSWORD, dann erzeugt das Setup ein zufälliges Kennwort und trägt dies abschließend in die INI auf dem Client ein3. Welche Abschnitte und welche Werte die WINUAAgent.ini enthalten kann, ist der vorstehenden Beschreibung zu entnehmen. Aufgerufen wird eine Installation dann wie folgt: Msiexec.exe /i UAGUIWinClientSetup.msi /qb SILENT=1 APW=pw,1LocalAdmin

Manuelle Deinstallation Sollte die Deinstallation nicht erfolgreich sein, dann sind folgende Schritte manuel auszuführen

• Beenden des Dienstes • Die Dienst-Anmeldung auf den lokalen Systemdienst umstellen • Deinstallieren des Dienstes mit sc delete UAGUIWinAgent • Löschen des Benutzers UA_LocalAdmin • Löschen des Eintrags WinUAAgent unter dem Registry-Eintrag

HKLM\Software\Microsoft\Windows\CurrentVersion\Run • Löschen des Registry-Schlüssels

HKLM\Microsoft\Windows\CurrentVersion\Uninstall\{AF5E1A6E-AF12-45E5-9DE3-0A63F98A9735}

• Löschen des Programm-Verzeichnis

2 Administratoren haben im Normalfall immer noch Zugang über die Administrativen Freigaben von Windows (c$, d$ usw.). Sollte daher eine Konfiguration getauscht werden, kann man dies direkt durch diese Freigabe erreichen oder im Login-Script bewerkstelligen 3 Wird diese Art der Installation gewählt, ist zu beachten, dass eine Änderung der Konfigurationsdatei, nicht mehr durch ein einfaches Kopieren und überschreiben der INI-Datei (evtl. per Login-Script) erreichen lässt.



Automatisierte Deinstallation Aufgerufen wird eine automatisierte Deinstallation wie folgt: Msiexec.exe /x {DAD5468F-5BF4-48DC-BB38-D471E101C3E9} -qn

UAC von Vista / Windows 7 anpassen Damit die Ausführung mit den Administrationsberechtigungen erfolgen kann, muss das UAC (User Account Control – Benutzerkontensteuerung) angepasst werden. Dies kann über folgende Wege geschehen:

• Einstellen von lokalen Sicherheitsrichtlinien (secpol.msc) • Direkte Veränderung der Registry • Script-Befehl ausführen

Nach der Änderung der Einstellung ist ein Neustart erforderlich, damit die Einstellung wirksam wird

SECPOL.MSC


� Öffnen einer Eingabenaufforderung und den Befehl secpol.msc ausführen

�

Dort öffnen man nun folgenden Pfad: Lokale Richtlinien – Sicherheitsoptionen

�

Dort öffnet man die Einstellung Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen



�

Deaktiviert

�

Registry


� Öffnen einer Eingabenaufforderung und den Befehl regedit.exe ausführen



�

Folgen Pfad auswählen: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System

�

Man öffnet den Eintrag ConsentPromptBehaviorAdmin

�

Man vergibt den Wert 0

� Erzeugen eines neuen DWORD-Wert (32-bit) mit dem Namen EnableLinkedConnections



�

Setzen des Eintrags EnableLinkedConnections auf den Wert 1

Script-Befehl


� Nachfolgender Befehl kann ausgeführt werden

REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 0 /f


� Nachfolgender Befehl kann ausgeführt werden

REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLinkedConnections /t REG_DWORD /d 1 /f

Antivirensoftware konfigurieren Die script-Datei wemerge.cmd die zum UA-GUI gehört, verwendet zur Dateiübermittlung einen wget.js – Script. Dieser wird von vielen Antiviren-Programmen als Gefährlich eingestuft. Deshalb ist einer Anpassung der Vertrauenswürdigen Zone notwendig. Dies ist ein Beipsiel unter Verwendung von Kaspersky AntiVir


� Einstellungen – Schutz – Vertrauenswürdige Zone



�

Hinzufügen

�

Objekt

�

OK

� Komponenten: Web-Anti-Virus



�

ClientCMD nutzen Die Konsolen-Anwendung ClientCMD.exe dient zum direkten Ausführen von Anweisungen, die WEMERGE ausführen soll. Sie nutzt sämtliche Parameter, die auch von WEMERGE unterstützt werden.

WEMERGE-Kommandos Bemerkungen

--automatic Installieren der Software, die in der GUI festgelegt wurde

--automatic-service Installiert alle Software, die keine Benutzeranmeldung benötigt, in der GUI festgelegt und dem Rechner zugewiesen wurde

--automatic-service-user Installiert und deinstalliert Software, die eine Benutzeranmeldung benötigt, die in der GUI festgelegt wurden und einem Benutzer durch seine Gruppenzugehörigkeit zugewiesen bzw. entzogen wurden

--automatic-usersoftware [username] --au [username]

Installiert und deinstalliert die software, die für einen Benutzer oder einer Benutzergruppe, die der Benutzer angehört, zugewiesen wurde. username - Erfolgt der Aufruf ohne diesen Zusatz, dann wird die Systemvariabel INSTALLUSER benutzt um die passende Software zu ermitteln

--download REPOSITORYID/REPOSITORYNAME [-a] -d REPOSITORYID/REPOSITORYNAME [-a]

Lädt alle Software in einem Repository herunter und entpakt sie in das entsprechenden Verzeichnis auf dem SDS -a alle Versionen

--install SOFTWAREID/SOFTWARENAME -i SOFTWAREID/SOFTWARENAME

Installieren einer vorgegebenen Software

--install-package PACKAGEID/PACKAGENAME -ip PACKAGEID/PACKAGENAME

Installieren sämtlicher Software aus einem Paket



--install-repository REPOSITORYID/REPOSITORYNAME -ir REPOSITORYID/REPOSITORYNAME

Installieren sämtlicher Software aus einem Repository

--install-version VERSIONID -I VERSIONID

Installieren einer vorgegebenen Softwareversion

--pretend SOFTWAREID -p SOFTWAREID

Abhängigkeiten der angegebenen Software anzeigen

--search FOO [–a/-A] -s FOO [–a/-A]

Suchen nach einer Software. -a alle Sprachen -A alle Sprachen und Versionen

--search-description FOO [–a/-A] -S FOO [–a/-A]

Suchen einer Software auch im Beschreibungsfeld -a alle Sprachen -A alle Sprachen und Versionen

--search-package FOO [-a] -sp FOO [-a]

Suchen nach einen Paket -a alle Sprachen

--show-repositories -R

Zeigt alle Repositories

--uninstall VERSIONID -C VERSIONID

Deinstallieren einer vorgegebenen Softwareversion

--update SOFTWAREID/SOFTWARENAME -u SOFTWAREID/SOFTWARENAME

Aktualisiert die vorgegebene Software

--update-all -U

Aktualisiert alle Software, die auf dem Rechner gefunden wird

--update-automatic Aktualisieren der Software, die in der GUI festgelegt wurde

--update-automatic-service Aktualisiert alle Software, die keine Benutzeranmeldung benötigt und in der GUI festgelegt wurde

--update-automatic-service-user Aktualisiert alle Software, die eine Benutzeranmeldung benötigt und in der GUI festgelegt wurde

Weiter Kommandos Bemerkungen

/ForceCTOU Wenn die WSUS-Alternative verwendet und konfiguriert wurde, kann hiermit ein aktualisieren der Updates erfolgen, ohne das der Timer ablaufen muss

/ForceOCSING Wenn die Inventarisierung mit OCS Inventory NG verwendet und konfiguriert wurde, kann hiermit eine Inventarisierung erfolgen, ohne das der Timer ablaufen muss

/ForceSysinfo Wenn die Inventarisierung mit Sysinfo verwendet und konfiguriert wurde, kann hiermit eine Inventarisierung erfolgen, ohne das der Timer ablaufen muss

Fehlersuche


�

Das Kennwort entspricht nicht den Kennwortrichtlinien

Detailierte Logdatei erstellen Als weitere Möglichkeit zur Fehlersuche kann eine Logdatei erzeugt werden. Diese Logdatei die eine ausführliche Darstellung der ausgeführten Befehle darstellt, beinhaltet auch verschiede sicherheitsbezogenen Informationen (z.B. Kennwörter uä.). Daher sollte diese Möglichkeit nur dann genutzt werden, wenn ein Fehler einzugrezen ist


� Im Verzeichnis des UAGUIWinAgent erstellt man eine Textdatei mit dem Namen NLOG.CONFIG

Die Datei NLog.config enthält verschiedene Möglichkeiten, die Ausgabe der gesammelten Daten anzuzeigen und umzuleiten. Für eine detailierte Funktionsweise der Konfiguration kann man sich die Dokumentation auf der Herstellerseite von NLog ansehen. Für die meisten Fälle reicht aber das Erzeugen einer lokalen Textdatei mit dem Namen UAClient.txt. Diese kann mit folgenden Parametern erzeugt werden: <?xml version =" 1.0 " encoding =" utf-8 " ?>  <nlog xmlns =" http://www.nlog-project.org/schemas/NLog.xsd " xmlns:xsi =" http://www.w3.org/2001/XMLSchema-instance " > < targets > < target name=" file " xsi:type =" File " fileName =" ${basedir}/UAClient.txt " /> </ targets > < rules > < logger name=" * " minlevel =" Debug" writeTo =" file " /> </ rules > </ nlog >

Nachdem der Fehler gefunden, behoben und/oder eingegrenzt wurde, wird empfohlen die erstellte Logdatei und die Konfigurationsdatei von dem Computer wieder zu löschen, damit keine unbefugten Personen die sicherheitsrelevanten Informationen einsehen können.

14.02.13 win ua-agent

Education

Transcript of 14.02.13 win ua-agent