Einsatz von neo42-Paketen auf Terminalservern mit Windows Server 2025

Moin neo42-Team,

wir stehen aktuell vor folgender Herausforderung:

Wir setzen Windows Server 2025 als Basis für unsere Terminalserver ein. Auf diesen Systemen richten wir lokale Benutzerkonten mit eingeschränkten Rechten ein, die ausschließlich für den Zugriff auf ausgewählte Anwendungen vorgesehen sind.

Im Rahmen der Grundinstallation treten jedoch bei jedem RDP-Benutzer Fehlermeldungen im Zusammenhang mit dem PowerShell-Deployment auf (siehe Anhang). Diese Problematik wurde bereits in der Vergangenheit mit Ihrem Support besprochen, konnte jedoch bislang nicht zufriedenstellend gelöst werden.

Unser Ziel ist es, die Pakete aus dem neo42-Depot mindestens für die Basisinstallation, z. B. Notepad++, Firefox ESR, 7-Zip, usw. nutzen zu können. Aktuell ist das jedoch nicht möglich, da die Anwendungen unter den gegebenen Benutzerrechten nicht fehlerfrei ausgeführt werden können.

Wir möchten bewusst keine generellen Rechteanhebungen für die lokalen RDP-Benutzer vornehmen. Daher sind wir auf der Suche nach einer Lösung oder einem Workaround, der den Einsatz der Pakete im genannten Szenario ermöglicht, ohne die Sicherheitsrichtlinien aufzuweichen.

Haben Sie hierzu Ansätze oder Empfehlungen?

Besten Dank.

Freundliche Grüße
Klaus

Hallo @Klaus ,
Grundsätzlich empfehlen wir in dem Fall, PowerShell-Skripte signiert und mit einem im Zertifikatsspeicher hinterlegten Zertifikat auszuführen.
neo42 Leitfaden zur APD Einführung

Sollte es jedoch eine Vorgabe geben, dass PowerShell generell von Benutzern nicht ausgeführt werden darf, auch nicht signierte Skripte, bleibt nur die Möglichkeit, die Userparts zu deaktivieren. Bestimmte Aktionen, wie das Setzen von Einstellungen beim Benutzer, können dann aber nicht mehr ausgeführt werden.

Wenn die Deaktivierung der Userparts tatsächlich gewünscht ist, kannst du beispielsweise einen Pipeline-Task einsetzen, der die Werte UserPartOnInstall und UserPartOnUninstall in der Datei neo42PackageConfig.json auf false setzt. Dadurch werden die Userparts beim Installieren und Deinstallieren nicht mehr ausgeführt und die gezeigte Fehlermeldung wird nicht auftreten.
Hier ein Beispiel, wie man diese Anpassung automatisieren kann:

Gruß,
Marius

Hallo Marius,
danke für diese Info. Das klingt vielversprechend.
Wir schauen uns das an.

Danke und beste Grüße
Klaus

Hallo @MGN.neo42

wir haben die Konfiguration dafür vorbereitet und am Paket Notepad++ dafür 2 Pipelines konfiguriert:

  1. Standard Pipeline die Notepad++ standardmäßig für alle anderen Systeme deployen soll
  2. Pipeline mit abweichender Konfiguration für die Terminalserver

Nun läuft die Standard Pipeline und holt die neue Version für das Notepad++ in die Umgebung.
Die 2. Pipeline läuft aber auf ein „Conditioned Stop“ weil sie natürlich keine neue Version findet.
Wie kann ich die Pipelines so konfigurieren, dass auch die 2. Pipeline das neue Notepad++ für die Terminalserver deployen kann?

Danke & beste Grüße
Klaus

Hallo @Klaus
Produkt Automationen benötigen immer den Smart Update Task, und wenn dieser ein Paket bereits in der neuesten Version im Zielsystem vorfindet, wird er immer den Bedingten Stop auslösen.
Zwei mal das selbe Paket mit dem Selben Namen und der selben Version importieren ist ebenfalls nicht möglich.
Was man machen könnte:

  • Nur eine Produktautomation anlegen
  • alles gleich lassen bis nach Empirum Deploy Task und delete from Filestorage deaktivieren
  • Einen Trigger Pipeline Task einfügen, der eine Minute später läuft:
  1. Variable zum übergeben: PackageID
  2. kein smartupdate task
  3. Download Task mit PackageID (wird das bereits heruntergeladene im Filestorage verwenden)
  4. Extract
  5. Notwendige Änderungen an Packageconfig durchführen für andere config + Koexistenz der Pakete in Empirum (weiß ich so leider nicht also vorher herausfinden, vermutlich ein AppName Postfix hinzufügen) → PowerShell Task
  6. Config einlesen Task
  7. Apply Empirum Wrapper
  8. Empirum Deploy
  9. Delete from Filestorage
  10. Cleanup

Genauere Details weiß ich so nicht, im Zweifel helfen unsere UEM Berater bei der Umsetzung.

Gruß
Marius