Implementierung › Software-Delivery-Verbesserungen für die interaktive Softwarebereitstellung unter Windows Vista oder höher

Software-Delivery-Verbesserungen für die interaktive Softwarebereitstellung unter Windows Vista oder höher

Wenn Sie ein Softwarepaket für einen Windows-Agenten bereitstellen, wird der SYSTEM-Zusammenhang durch das Installationsprogramm gestartet.

In Windows-Versionen vor Vista wurden alle Dienste in Sitzung 0 ausgeführt, und die Anwendungen wurden im SYSTEM-Zusammenhang gestartet. Dies stellte ein Sicherheitsrisiko dar. Ab Windows Vista und höher isoliert das Betriebssystem Dienste in Sitzung 0 und führt Anwendungen in anderen Benutzersitzungen aus. Dienste sind vor Angriffen geschützt, die aus dem Anwendungscode hervorgehen. Ab Windows Vista und höher ist die Erkennung interaktiver Dienste vorhanden. Hiermit wird bei der Ausführung erkannt, ob eine Anwendung eine Benutzeroberfläche anzeigen muss, woraufhin das Dialogfeld "Erkennung interaktiver Dienste" angezeigt wird, um zur Sitzung 0 zu wechseln bzw. fortzufahren. Weitere Informationen zur Erkennung interaktiver Dienste finden Sie in der Microsoft-Dokumentation.

Ab Windows Vista und höher führte die Änderung des Designs der Erkennung interaktiver Dienste zu einem Problem bei interaktiven Softwareinstallationen, die eine Benutzereingabe erfordern.

Wenn die bereitgestellte Software über folgende Merkmale verfügt, verbleibt die Installation in Sitzung 0 und erwartet Benutzereingaben:

• Die Software ist interaktiv.
• Die Software ist nicht für Sitzungen konzipiert.
• Die Erkennung interaktiver Dienste ist deaktiviert.

Da keine Eingabebenutzeroberfläche angezeigt wird, erfolgt eine Zeitüberschreitung des Software Delivery-Jobs.

Der Software Delivery-Agent hat dieses Szenario seit Client Automation r12 SP1 unterstützt, indem die Erkennung interaktiver Dienste aktiviert wurde, die Benutzereingaben ermöglichten, bevor der Dienst vor dem Beenden wieder deaktiviert wurde.

Um sicherzustellen, dass die interaktive Software installiert werden kann, selbst wenn die Software nicht für Sitzungen konzipiert ist, und um die Abhängigkeit der Erkennung interaktiver Dienste zu entfernen, bietet <asdm> nun eine Option zum Angeben, dass ein registriertes oder bereitgestelltes Softwarepaket interaktiv ist und eine Benutzerinteraktion auf dem Agentencomputer erfordert.

Der Administrator wählt zum Verwenden dieser Funktion die Option "Benutzerinteraktion aktivieren (nur WinLH)" in den Prozeduroptionen aus, wenn ein Softwarepaket registriert wird oder wenn in den Jobeinstellungen ein Paket bereitgestellt wird. Der Agent startet das Softwareinstallationsprogramm in Benutzersitzungen, die derzeit angemeldet und aktiv sind, und wird auch im SYSTEM-Zusammenhang gestartet.

Hinweis: Diese Funktion hilft Ihnen dabei, interaktive Anwendungen zu installieren, gefährdet jedoch die Isolationsfunktion, die Microsoft bereitstellt, um die Sicherheit zu erhöhen. Verwenden Sie diese Funktion mit Vorsicht.

Für vor dem DM-Upgrade versiegelte Softwarepakete können Sie über eine Option die Benutzerinteraktion (selbst im versiegelten Status) aktivieren, solange Sie nicht die Option "Benutzeranmeldung während Jobausführung nicht zulassen" auswählen.

Sind keine Benutzer angemeldet, wartet der SD-Agent darauf, dass sich ein Benutzer anmeldet und führt dann den Job aus.

Diese Funktion verwendet die folgenden Konfigurationsparameter in bestimmten Situationen, die sich auf Logon-Shield und Neustart- bzw. Abmeldevorgänge beziehen. Diese Parameter befinden sich unter "DSM" > "Software Delivery" > "Agent":

Dialogaufträge: In Benutzersitzung starten unter Windows Server-BS-Familie

Gibt die Sitzung an, in der die Jobs auf Agenten ausgeführt werden, die Windows Vista oder höher ausführen.

Werte:

• WAHR: Auf Grundlage der Jobeigenschaft "Benutzerinteraktion aktivieren (nur WinLH)", wird der Job in der angemeldeten Benutzersitzung ausgeführt. Dieser Parameter gilt nur für Jobs, die auf Computeragenten bereitgestellt sind. Dieser Parameter wirkt sich nicht auf Jobs aus, die auf Benutzerprofilen und für nicht interaktive Jobs bereitgestellt wurden.
• FALSCH: Der Job wird in Sitzung 0 ausgeführt.

Standard: WAHR.

Beschränkungen:

• Dieser Parameter gilt nur für Jobs, die auf Computeragenten bereitgestellt werden.
• Dieser Parameter wirkt sich nicht auf nicht interaktive Jobs oder Jobs aus, die auf Benutzerprofilen bereitgestellt wurden.

Dialogaufträge: Logon-Shield-Modus im Konfliktfall unter Windows Server-BS-Familie ignorieren

Gibt das SD-Agentenverhalten an, wenn der Logon-Shield-Status Warten, bis der Benutzer sich abmeldet, bevor der Job ausgeführt wird oder Abmeldung des Benutzers erzwingen, bevor der Job ausgeführt wird aufweist und die Jobeigenschaft Benutzerinteraktion aktivieren (nur WinLH) auf WAHR festgelegt ist.

Werte:

• WAHR: Die Jobeigenschaft unterdrückt das Logon-Shield-Verhalten.
• FALSCH: Ein Konflikt wird entdeckt, und Jobs schlagen mit einer entsprechenden Fehlermeldung fehl.

Standard: FALSCH

Dialogaufträge: Verbleibende Jobs unter Windows Server-BS-Familie in einem Container des Typs 'Keine Verknüpfung' verschieben

Gibt die folgenden Aktionen an:

Werte:

• WAHR: Nehmen Sie eine zeitliche Verschiebung sämtlicher Jobs nach dem ersten Job bei festgelegter Option "Benutzerinteraktion aktivieren (nur WinLH)" vor.
• FALSCH: Nehmen Sie eine zeitliche Verschiebung der interaktiven Jobs in den Container vor, und führen Sie alle nicht interaktiven Jobs aus.

Standard: WAHR.

Beschränkungen: Dieser Parameter gilt, wenn keine Benutzer am Computer angemeldet sind und Dialogaufträge: In Benutzersitzung unter Windows Server-BS-Familie ausführen auf WAHR festgelegt ist.