Beitragsrückblick für (die neuesten Beiträge zuerst) |
Fridoli |
Erstellt: 11:04 am 25. März 2015 |
Das hört sich aber janz schön kompliziert an. |
gabiza7 |
Erstellt: 14:15 am 16. Jan. 2015 |
Wir überlegen uns auf der Arbeit die Anwendungsvirtualisierung AppV von Microsoft einzusetzen. Geschafft, dass es läuft, habe ich immerhin schon, aber das ist auch kein Kunststück. Probleme bereitet mir momentan der Umgang von AppV mit den Paketen. Ich blicke da nicht durch und würde mich freuen, wenn mir jemand weiterhelfen könnte, der von AppV Ahnung hat. Um das geht es: Klassischerweise macht man AppV ja in einer Domäne (was in meiner Testumgebung auch super funktioniert). Bei uns wäre es im Produkteinsatz aber etwas anders: Studenten sollen mit ihrem privaten Windows-Notebook auf die von uns bereitgestellten AppV-Anwendungen zugreifen dürfen ohne, dass sie in der Domäne sind. Jetzt ist es nur so, dass man beim AppV-Server ja keine Rechte zum Ausrollen der AppV-Pakete für lokale PC-, sondern nur für Domänenbenutzer geben kann. Trotz fehlender Domänenmitgliedschaft sollte das ja eigentlich kein Thema sein, da jeder Student trotzdem ein gültiges Domänenkonto hat mit dem er sich gegenüber dem DC authentifizieren kann. Also dachte ich mir, ich muss den AppV Client ja nur dazu bringen, sich beim Abrufvorgang mit einem beim AppV-Server zugelassenen Domänenkonto gegenüber dem DC zu authentifizieren. Angeblich soll das gehen, wenn man im Credential Manager von Windows die Adresse des AppV-Servers und die Anmeldedaten eines berechtigten Domänenbenutzers hinterlegt (Benutzername natürlich in der Form „Domäne\Benutzer“). Hat bei mir allerdings nicht funktioniert – der AppV-Client kapiert beim Updatevorgang nicht, dass er sich als Domänenbenutzer und sich nicht als lokaler Benutzer am AppV-Server anmelden soll. Demnach schlägt das Holen der Anwendungen fehl, weil der lokale Benutzer keine Rechte dazu hat. Meinen zugriffsgeschützten Publishing-Server kann ich mit dem Credential-Eintrag dagegen problemlos ohne Eingabe von Login-Daten abfragen – da scheint Windows also die hinterlegten Anmeldeinformationen zu berücksichtigen. Kann mir jemand sagen, was ich da falsch mache? Was könnte ich noch versuchen? Gut, jetzt kann man ja auch den AppV-Server mal außer Acht lassen und AppVPakete auch einfach auf ein Share packen und dann per Powershell-Befehle auf den Clients verfügbar machen. Jetzt ergibt sich aber ein weiteres Problem: Viele Anwendungen, die wir über AppV streamen wollen, unterliegen strengen Lizenzbestimmungen. Zum Beispiel, dass die Studenten das Programm nur innerhalb der Bildungseinrichtung, aber nicht zu Hause einsetzen dürfen. Da wäre es dann super, wenn ich einstellen kann, dass die gestreamte Anwendung nicht mehr zur Verfügung steht, wenn der Student sich nicht mehr in unserem Netz befindet oder zuumindest sagen könnte, dass die Anwendung nach Ablauf einer bestimmten Zeit wieder weg ist. Letzteres geht ja über Powershell oder Anpassung eines Registry-Keys des AppV-Clients auf dem Endbenutzer-PC. Dummerweise kann diese Änderung auch ein Student vornehmen und die „Lease Time“ für ein Programm z.B. auf ein Jahr stellen, da er ja auf seinem eigenem Rechner Admin ist. Ich habe mir das eigentlich so vorgstellt, dass ich am AppV-Server die Lease Time für ein Programm für einen Domänenbenutzer respektive eine Gruppe einstellen kann und das nicht clientbasiert machen muss. Dann wäre es ja ziemlich einfach: Student ruft mit Domänenkennung den AppV-Client auf seinem Rechner auf und bekommt nach erfolgreicher Authentifizierung das Paket. Der AppV-Server merkt sich, wann er es an den Nutzer ausgerollt hat und nimmt es ihm wieder weg, sobald die Lease Time vorbei oder der Student keine Verbindung mehr zur Domäne hat. Dann würde allerdings noch das Problem bleiben, dass es sich schon herausfinden lässt, wo die AppV-Pakete bei uns gehostet werden. Ein Student könnte sich während seines Aufenthalts in der Hochschule also das Paket auf den Stick ziehen und es sich auf dem heimischen Rechner via Powershell-Befehl für AppV einrichten und nutzbar machen. Kann man diese Möglichkeit des manuellen Downloads unterbinden? Sorry für die komplexe Beschreibung meines Problems, aber ich blicke da nicht mehr durch. Die drei zentralen Fragen dürften aber sein: 1. Kann ich den AppV-Client am Windows-Client dazu bringen sich über eine Domänenkennung beim AppV-Server zu melden ohne Mitglied in der Domäne zu sein? 2. Kann ich verhindern, dass sich der PC-Besitzer die „Lease Time“ eines AppV-Pakets selber einstellen kann oder noch besser: Kann ich es so machen, dass sämtliche gestreamten Anwendungen nur genutzt werden können, wenn man sich gegenüber dem DC authentifizeren kann (man aber wohlgemerkt nicht Mitglied in der Domäne ist)? 3. Kann ich den Netzwerkpfad, auf dem die AppV-Pakete liegen, so einstellen, dass ein Lesen der Pakete nur während des AppV-Updatevorgangs des Clients möglich ist, aber sonst nie? Ach ja: Ich verwende den App Server 5.0 SP1 auf nem Windows Server 2008 R2. Client und Sequencer sind jeweils Version 5.0 und SP2.
|
× |