Installation von Web-Plugins im Benutzerkontext

So können Web-Plugins im Kontext des Benutzers in VDI und Terminalserverumgebungen installiert werden

 

Im Zuge eines Projekts beim Kunden kam die Anforderung, dass Web-Plugins für mehrere Benutzer in der VDI Infrastruktur installiert werden müssen. An sich stellt das kein großes Problem dar. Im Normalfall genügt es, in Virtual Desktop oder Terminalserverumgebungen, die jeweiligen Plugins und Programme einfach mit einem administrativen Benutzer zu installieren und bei der Installation die Verwendung für alle Benutzer mit anzugeben. Über die verschiedenen Cloning-Mechanismen werden dann die Images verteilt.

Wieso WebPlugins im Benutzerkontext?

In diesem speziellen Fall ging es jedoch darum, dass der Microsoft Lync Web App Plugin installiert werden sollte. Wenn der Microsoft Lync Web App Plugin im Kontext eines administrativen Kontos auf der jeweiligen Maschine installiert wird, ist er trotzdem nicht für die anderen Benutzer sichtbar. Ein weiteres Problem ist, dass diese MSI-Pakete in der Regel nicht per Skript oder unbeaufsichtigt installiert werden können. Der Web-Plugin für Microsoft Lync Web App kann nur im Kontext des jeweiligen Benutzers installiert werden. Zudem ist es abhängig vom jeweiligen Partner mit dem die Lync Besprechung abgehalten wird, hier sind für die verschiedenen Lync Versionen auch verschiedene Pluginversionen verfügbar. Der Benutzer bekommt somit mit der Einladung für die Lync Besprechung einen neuen Download angeboten, falls die vorhandene Pluginversion nicht mit dem Lync bzw. Skype for Business Server des Partners kompatibel ist.

Zunächst ist es für einen normalen Benutzer nicht möglich, Anwendungen oder Plugins in seinem Kontext auszuführen, da man hierzu erhöhte rechte benötigt. Außerdem sind Benutzer in Business Umgebungen in der Regel sehr stark eingegrenzt, was die Benutzerrechte angeht.

Als erstes muss dafür gesorgt werden, dass der Benutzer, im eigenen Kontext, die Installationsdateien ausführen darf, ohne auf dem gesamten System erhöhte Rechte zu bekommen. Das kann mit Hilfe einer Gruppenrichtlinie gemacht werden. Im Folgenden zeige ich Ihnen, anhand des Lync Web App Plugins, wie das ganze realisiert werden kann.

 

Anpassung für virtuelle Desktops und Terminalserver

Welche Applikationen sollen für den Benutzer ausführbar sein?

Da ich nur die Installation bestimmter Plugins und Anwendungen erlauben möchte, wird als erstes das entsprechende MSI Paket heruntergeladen. Dieses wird nun entpackt, da nach der Installation auch die installierten Anwendungen mit erhöhten Rechten ausgeführt werden sollen. Beim Plugin Microsoft Lync Web App benötigen wir das, um zum Beispiel auf die Audio Geräte zuzugreifen.

MSI Entpackt

Die vorhandenen Anwendungen habe ich oben im Screenshot farblich markiert. Diese müssen wir nun zusammen mit der MSI-Datei freigeben. Da wir die Installation und Ausführung gezielt auf bestimmte MSI- und EXE- Dateien eingrenzen wollen, benötigen wir die entpackten Dateien. Auf die MSI- Installationsdatei und die entpackten Dateien müssen wir aus der Gruppenrichtlinienverwaltung zugreifen können. Ich habe mir diese temporär für die Erstellung der Gruppenrichtlinie auf den Domänencontroller kopiert.

Erstellen der Gruppenrichtlinie

Nun wird eine neue Gruppenrichtlinie angelegt oder eine bestehende erweitert. Ich verwende in der Regel neue, da ich hier eine höhere Granularität erreiche und auch die Zuweisung für bestimmte Active Directory Objekte einfacher wird.

In meinem Beispiel habe ich die Gruppenrichtline gleich der Organisationseinheit(OU) zugewiesen, in der die Virtuellen Desktops erstellt werden.

Gruppenrichline 01

 

In der Gruppenrichtlinie navigieren wir nun auf den Punkt
“Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinie für Softwareeinschränkungen”
und öffnen dort das Kontextmenü. Danach wird eine “Neue Richtline für Softwareeinschränkungen” erstellt.

Softwareeinschränkungen

Nach dem Erstellen bekommen Sie folgende Ansicht

Gruppenrichtline Softwareeinschränkung

Jetzt wählen wir den Punkt “Richtlinie für Softwareeinschränkungen” direkt aus und passen Punkt “Erzwingen” an. Hier muss konfiguriert werden, dass die hinterlegten Softwareeinschränkungen nicht für die lokalen Administratoren der Systeme gelten.

erzwingen

Wenn dies geschehen ist, navigieren wir in der Gruppenrichtlinie auf “Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinie für Softwareeinschränkungen/zusätzliche Regeln” und erstellen mit der rechten Maustaste eine neue Hashregel.

neuer Hashwert

Über den Punkt “Durchsuchen…” wählen wir nun die MSI Datei aus und setzen die Sicherheitsstufe auf “Nicht eingeschränkt”. Hier ist auch deutlich zu erkennen, dass die Informationen der Anwendung ausgelesen werden. Unter anderem die Version, Größe, Name, Erstellungsdatum und Erstellungszeit.

Hashregel

Diesen Vorgang wiederholen wir auch für die Anwendungsdateien, die wir vorher aus der Installationsdatei entpackt haben. Für alle relevanten Anwendungen, die durch die Installation hinzukommen, sollte eine neue Hashregel erstellt werden.

Hashregeln Lync

Nun sind alle erforderlichen Anwendungs- und Installationsdateien in der Gruppenrichtlinie hinterlegt.

Zu guter Letzt sollte auf dem Zielsystem die Benutzerkontensteuerung (UAC) deaktiviert werden, da sonst der User, trotz Gruppenrichtlinie und ohne den Bedarf erhöhter Rechte, erneut nach seinen Benutzerdaten und dem Kennwort gefragt wird.

Zusätzliche Anpassungen für Terminalserver

Soll das Plugin in einer reinen VDI Struktur installiert werden, können Sie diesen Punkt vernachlässigen. Dieser Schritt muss nur auf Terminalservern gemacht werden.  Auf Terminalservern ist standardmäßig die Installation auf Benutzerbasis auf Terminalservern deaktiviert. Hier muss noch die Verwendung des Windows Installers im Benutzerkontext aktiviert werden.

Gruppenrichline 02

Wenn für Terminalserverumgebungen diese Einstellung nicht gesetzt wird, bekommt der Benutzer später bei der Installation des Plugins eine Fehlermeldung.

Fehler bei MSI Installation

Rollout und Test des Web-Plugins

Da nun alle erforderlichen Anpassungen gemacht worden sind, können wir das Plugin installieren und die Microsoft Lync Web App testen. Der Benutzer ist nun auch als Standardbenutzer dazu im Stande das Plugin zu installieren und auszuführen. Im Einzelfall müssen hier noch Cookies für die Partnerseite erlaubt werden.

Nun kann der Benutzer die bekomme Besprechungseinladung öffnen und an der Besprechung teilnehmen. Hier sieht man sehr schön, dass der Web-Plugin bereits geladen wurde und richtig funktioniert

Web-Plugins

Nach einem Klick auf “An der Besprechung teilnehmen”, muss noch der Verwendung des Web-Plugins zugestimmt werden.

Web-Plugins

Der Benutzer betritt nun den Besprechungsraum und kann dort auch seine Audio- bzw. Videogeräte verwenden.

Web-Plugins

Haben Sie Fragen zu diesem Thema?

Ich freue mich auf Ihren Anruf! 
Thomas Preischl EDV-BV Technologiespezialist

Weitere Blog Beiträge

Donnerstag, 22 Februar, 2018|Kommentare deaktiviert für

SAVE THE DATE 26.04.18 Frühlingsmesse im Zeichen von Digitalisierung, DSGVO und moderner Arbeitsplatz [...]

EU-Datenschutz-Grundverordnung

Sonntag, 7 Januar, 2018|Kommentare deaktiviert für EU-Datenschutz-Grundverordnung

EU-Datenschutz-Grundverordnung Infoveranstaltung Am 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) [...]

HERBSTMESSE “DER MODERNE ARBEITSPLATZ” am 09.11.

Montag, 25 September, 2017|Kommentare deaktiviert für HERBSTMESSE “DER MODERNE ARBEITSPLATZ” am 09.11.

Der moderne Arbeitsplatz "Insbesondere mittelständische Unternehmen müssen sich überlegen, wie sie auch im [...]