Guten Tag,
ich habe Opsi jetzt ca. 3 Wochen lang getestet und habe noch ein paar Fragen, ich hoffe ihr könnt mir da weiter helfen.
Also dann:
1. Ist es möglich das Active Directory mit Opsi zu verbinden, um z.B. AD Attribute wie Kostenstelle, Beschreibung etc. aus dem AD zu importieren?
2. Ist eine zeitgesteuerte Installation mit Opsi möglich? Z.B. 18:00 Uhr sind viele PCs aus. Diese sollen dann automatisch starten, sich mit einem Benutzer anmelden, das Softwarepaket installieren und automatisch wieder herunterfahren
3. Gibt es eine One-Click Neuinstallationslösung, sprich alle bereits installierten Softwarepakete und das Betriebssystem sollen mit einem Mausklick neu installiert werden
4. Gibt es eine Möglichkeit mit einem Skript herauszufinden, welcher Benutzer gerade an einem Client angemeldet ist?
5. Gibt es eine Möglichkeit eine rollenbasierte Administration einzurichten, z.B. Administratoren an einem anderen Standort sollen eingeschränkte Rechte in Opsi bekommen (z.B. nur Installation, oder only read Rechte?)
Ich bedanke mich schon mal im Voraus für eure Mühen!
Übernahme von AD-Attributen in Opsi
-
- Beiträge: 461
- Registriert: 09 Sep 2009, 09:40
Re: Übernahme von AD-Attributen in Opsi
zu 1.: kann ja mit LDAP ausgelesen werden, ergo sollte machbar sein
zu 2.: hat OPSI noch nicht, ist aber relativ einfach mit Shellskripte zu realisieren
zu 3.: 'setup' des netboot-Produktes (z.B. win7-x64) und fertig, alle installierten Produkte werden wieder installiert
zu 4.: k.A.
zu 5.: gibt es noch nicht
zu 2.: hat OPSI noch nicht, ist aber relativ einfach mit Shellskripte zu realisieren
zu 3.: 'setup' des netboot-Produktes (z.B. win7-x64) und fertig, alle installierten Produkte werden wieder installiert
zu 4.: k.A.
zu 5.: gibt es noch nicht
Re: Übernahme von AD-Attributen in Opsi
Warum "sich mit einem Benutzer anmelden"?LordLinux hat geschrieben:2. Ist eine zeitgesteuerte Installation mit Opsi möglich? Z.B. 18:00 Uhr sind viele PCs aus. Diese sollen dann automatisch starten, sich mit einem Benutzer anmelden, das Softwarepaket installieren und automatisch wieder herunterfahren
Das sieht opsi leider (noch) nicht vor. Ich habe für einige (wenige) Aufgaben Shellskripte gebaut, die eingeschränkte Admins mit "sudo" aufrufen dürfen. Das ist nicht wirklich elegant, aber es funktioniert.LordLinux hat geschrieben:5. Gibt es eine Möglichkeit eine rollenbasierte Administration einzurichten, z.B. Administratoren an einem anderen Standort sollen eingeschränkte Rechte in Opsi bekommen (z.B. nur Installation, oder only read Rechte?)
Schönen Gruß
Holger
Re: Übernahme von AD-Attributen in Opsi
1. ka wir halten stricke Trennung von OPSI und Domäne.
2. Lässt sich mit dem OPSI Package Builder per Zeitplaner einstellen. Dazu braucht der Server bestimmte Anforderungen und das Netz/Clients WakeOnLan "Fähigkeit". Aber wie holgerv schreibt, warum Anmeldung eines Benutzers?
3. wie LordLinux
4. Kein Script aber im OPSi Configed kann man sich die Session Informationen anzeigen lassen. Vorher aber mit den eventuellen Datenschutz/Betriebsrat absprechen.
5. Im Configed mir auch nicht bekannt, bei der Serveradminstration schon. So kann man Installation von Paketen / Updateeinspielung nur auf dem Sever von gewünschten Admins machen lassen.
Grüße
Hom
2. Lässt sich mit dem OPSI Package Builder per Zeitplaner einstellen. Dazu braucht der Server bestimmte Anforderungen und das Netz/Clients WakeOnLan "Fähigkeit". Aber wie holgerv schreibt, warum Anmeldung eines Benutzers?
3. wie LordLinux
4. Kein Script aber im OPSi Configed kann man sich die Session Informationen anzeigen lassen. Vorher aber mit den eventuellen Datenschutz/Betriebsrat absprechen.
5. Im Configed mir auch nicht bekannt, bei der Serveradminstration schon. So kann man Installation von Paketen / Updateeinspielung nur auf dem Sever von gewünschten Admins machen lassen.
Grüße
Hom
Re: Übernahme von AD-Attributen in Opsi
Ich nutze (da diverse Subnetze und entsprechend WOL nur schwer möglich) den BIOS-RTC. Bei den Business-Kisten lassen sich solche BIOS-Einstellungen per WMI steuern, also auch über OPSI ausrollen.LordLinux hat geschrieben:2. Ist eine zeitgesteuerte Installation mit Opsi möglich? Z.B. 18:00 Uhr sind viele PCs aus. Diese sollen dann automatisch starten, sich mit einem Benutzer anmelden, das Softwarepaket installieren und automatisch wieder herunterfahren
Re: Übernahme von AD-Attributen in Opsi
Das ist so nicht ganz richtig. Dazu Dient /etc/opsi/backendManager/acl.conf. Wir haben read only Benutzer. Um das umzusetzen ist aber ein tieferes Verständnis von OPSI nötig.holgerv hat geschrieben:Das sieht opsi leider (noch) nicht vor. Ich habe für einige (wenige) Aufgaben Shellskripte gebaut, die eingeschränkte Admins mit "sudo" aufrufen dürfen. Das ist nicht wirklich elegant, aber es funktioniert.LordLinux hat geschrieben:5. Gibt es eine Möglichkeit eine rollenbasierte Administration einzurichten, z.B. Administratoren an einem anderen Standort sollen eingeschränkte Rechte in Opsi bekommen (z.B. nur Installation, oder only read Rechte?)
Code: Alles auswählen
backend_.* : all
hostControl_showPopup : sys_group(opsiadmin); sys_group(opsi); opsi_depotserver
hostControl.* : sys_group(opsiadmin); opsi_depotserver
host_updateObjects : sys_group(opsiadmin); opsi_depotserver; opsi_client; self
config_updateObjects : sys_group(opsiadmin); opsi_depotserver; opsi_client; self
host_get.* : sys_group(opsiadmin); sys_group(opsi); opsi_depotserver; self; opsi_client(attributes(!opsiHostKey,!description,!lastSeen,!notes,!hardwareAddress,!inventoryNumber))
auditSoftware_delete.* : sys_group(opsiadmin); opsi_depotserver
auditSoftware_.* : sys_group(opsiadmin); sys_group(opsi); opsi_depotserver; opsi_client
auditHardware_delete.* : sys_group(opsiadmin); opsi_depotserver
auditHardware_.* : sys_group(opsiadmin); sys_group(opsi); opsi_depotserver; opsi_client
getConfigs.* : sys_group(opsiadmin); opsi_depotserver; self; opsi_client
.*_get.* : sys_group(opsiadmin); sys_group(opsi); opsi_depotserver; opsi_client
set.* : sys_group(opsiadmin); opsi_depotserver; self
product.* : sys_group(opsiadmin); opsi_depotserver; self
.* : sys_group(opsiadmin); sys_group(opsi); opsi_depotserver; self
Allerdings darf in diesem konkreten Fall ein Mitglied der Gruppe opsi ebenfalls eine popup nachricht versenden.
Für die es noch nicht kennen: Die acl.conf definiert wer welche methoden ausführen darf. Das ganze geht auch als regex
Code: Alles auswählen
.*_get.* : sys_group(getters) # Mitglieder der gruppe getters dürfen alle methoden benutzen die das wort "get" enthalten
Re: Übernahme von AD-Attributen in Opsi
Warum genau das nötig ist, kann ich gerade nicht beantworten. Unser bisheriges Client Management bietet die Möglichkeit Software mit automatischem Login zu installieren. Heißt: Rechner fährt hoch, Client Management meldet einmalig einen Benuzter an, installiert die Software, fährt herunter. Vielleicht benötigen einige Programme einen einmaligen Login?!Warum "sich mit einem Benutzer anmelden"?
Aber danke für die bisherigen Antworten.
Da sind mir gleich zwei weitere eingefallen:
Installiert Opsi eigentlich direkt mit Systemkennung?
Ich frage desshalb, weil unser bisheriges Client Management System die Installationsmöglichkeit: Installieren mit Systemkennung bietet, aus folgendem Hintergrund:
Andere Frage: Kann ich mir ein Treiberdepot für die Windowsinstallation erstellen, in dem sich alle Treiber für alle PC und NB Modelle befinden?Es ist zu beachten, dass die Windows Kennung „LocalSystem“ einigen von Microsoft dokumentierten Einschränkungen unterliegt und sich Paketinstallationen durch Verwendung dieser Option anders verhalten können.
Also kann ich alle Treiber /var/lib/opsi/depot/win7/drivers/drivers dort einfügen und Opsi sucht sich die passenden Treiber für die zu installierende Maschine aus, das würde mir natürlich viel Aufwand ersparen.
Re: Übernahme von AD-Attributen in Opsi
Auf viele deiner Fragen wirst du eine Antwort haben sobald du die Handbücher gelesen hast