Hallo zusammen,
hat jemand von euch eine Idee, wie man den Nextcloud Windows Desktop Client aktuell hält ohne dem normalen Lehrer_user Admin-Rechte zu geben?
Danke und VG,
Frank
Guten Morgen Frank,
wie machst du es mit den anderen Updates? Haben bei dir die Lehrer keine Admin Rechte?
Ansonsten ein neues Image erstellen und zur Verfügung stellen.
Liebe Grüße
Ralf
Hallo Ralf,
es handelt sich um Lehrerlaptops und ja die Lehrer sind keine Admins. Die Laptops werden nicht wirklich durch Linbo-Images aktualisiert, da sie ja stets mobil und bei den Lehrern verteilt sind. Nextcloud haut gefühlt jeden Monat neue Updates raus, was aus Securitysicht ja ok bzw. gut ist, wenn sie da hinterher sind, aber das würde Linbo-Imaging auch nicht gerade einfach machen.
Windows-Updates laufen automatisch, andere Anwendungen lassen sich zum Teil silent aktualisieren, haben wir aber auch wenige. Aber Nextcloud ist echt ein Problem, da die Admin-Berechtigung immer gebraucht wird. Und nur übern Browser gehen ist auch kein praktikabler Weg für die LehrerkollegInnen, zumindest die intensiv ihre Vorbereitung von zu Hause darüber machen.
Sonst noch Ideen? Gibts ggf. besser alternative Clients?
VG,
Frank
Hallo,
wenn du den Nextcloud-Desktop-Client regelmäßig aktualisieren willst, wirst du in dem Fall vielleicht eine Software-Deployment-Lösung auf Basis von Softwarepaketen statt Imaging benötigen. LMN hatte ja mal Support für opsi.org gehabt. Das wäre ein Tool was einmal durch den Admin auf dem Client installiert, dauerhaft als Dienst im Hintergrund mit Adminrechten läuft. Es prüft auf aktualisierte Softwarepakete auf dem Opsi-Server und installiert diese mit Adminrechten. Der Nachteil ist offensichtlich, man muss zusätzlich zum Imaging für LMN auch die Softwarepakete pflegen. Von Nextcloud scheint es aber ein MSI-Paket zu geben, das macht es in der Regel einfach, d.h. 1. „Paket bearbeiten“, 2. „neue MSI-Datei hochladen“, 3. „neue Version des Pakets veröffentlichen“. Ich kann hier aber nur aus Erfahrung mit einem großen Enterprise-Produkt eines kommerziellen Anbieters außerhalb des LMN-Umfelds sprechen.
Eine alternative Idee: Hast du Zugriff auf Nextcloud-Dateien über WebDAV — Nextcloud latest User Manual latest Dokumentation ausprobiert?
MfG
Buster
Hallo Buster,
danke für deine Nachricht. Opsi ist für uns aus genannten Gründen leider wirklich keine Option (mehr). Das MSI-Paket haben wir rauf und runter versucht ohne Adminrechte zu installieren und hat leider nicht geklappt, auch wenn der Paramater silent ein Stück weit danach klingt. Webdav gibt es mehrere Möglichkeiten, inkl. dem native Windows-Weg, der aber auch Nachteile birgt und insbesondere beim Öffnen von MSOffice-Dateien wird dieser Weg als unsicher eingestuft. Wir hatten kurz noch den kruden Weg, den Nextcloud CLient auf dem Netzlaufwerk bereit zu stellen. Dann läuft der Sync aber erst los, wenn man natürlich im Schulnetz ist. Keine tolle Idee und haben wir schon wieder verworfen.
Aktuell haben wir folgenden Mittelweg, dass wir den Autoupdatehaken raus nehmen und die Mindestversion des Clients in der Server-Konfig halbjährlich hochziehen: Which nextcloud desktop client version is working with which server version (server version newer than client version)?) - #4 by bb77 - 💻 Desktop - Nextcloud community und sich die wirklichen Anwender dann einzeln melden.
Wirklich überzeugend ist das alles nicht, aber aktuell die beste der schlechten Lösungen 
VG,
Frank
Hallo,
Das wird ja auch laut Nextcloud Doku und Forum nicht unterstützt oder anders gesagt ohne Adminrechte funktioniert es eben nicht. Daher kam auch mein Vorschlag ein Tool für Softwaredeployment zu nutzen, dass mit Adminrechten läuft und das dann entsprechend die Installation des MSI-Pakets mit Adminrechten starten kann.
Welche Nachteile werden vorgebracht? Von wem wird das mit welcher Begründung als unsicher eingestuft? Das ist eine HTTPS-Verbindung. Was denkt derjenige was der Nextcloud-Client im Hintergrund anderes macht?
MfG
Buster
Hallo,
ich lese deine Qullen und die Microsoft-Dokumentation so, dass nicht Webdav rausfliegt, sondern nur die HTTP-Basic-Authentifizierung nicht mehr unterstützt wird. Vermutlich weil Microsoft davon ausgeht, dass irgendwann irgendein Admin nicht aufpasst und kein HTTPS verwendet und dann Zugangsdaten in Klartext über die Leitung gehen. Daher unterstützt Microsoft nur noch das, was sie „moderne Authentifizierung“ nennen, wo sich in der (Windows-)Anwendung ein Browserfenster als Popup öffnet und man dann eine Anmeldung über eine Webseite durchführt. Es ist OAuth bzw. Open ID Connect (OIDC), wo mit der erfolgreichen Benutzeranmeldung ein Token für die Anwendung erzeugt und zurückgegeben wird. In Microsoft Office wird dies über Microsoft Authentication Library (MSAL) realisiert.
Auf Basic authentication sign-in prompts are blocked by default in Microsoft 365 Apps - Microsoft 365 Apps | Microsoft Learn steht, dass man diese Blockade der HTTP-Basic-Authentifizierung per Gruppenrichtlinieneinstellung für einzelne Hosts (interpretiere ich als: trage hier die Serveradresse der Nextcloud ein) aufheben kann.
Per Benutzer-Gruppenrichtlinie kann man auch Laufwerksbuchstaben zuordnen und da als Ort auch eine WebDav-Adresse angeben. Das soll ja laut Quelle das Problem umgehen. Das fuktioniert hier mit einem anderen großen kommerziellen System mit WebDav-Schnittstelle (nicht Nextcloud) und Windows 10 problemlos. Das Microsoft Office 2016 hat sich daran auch bisher nicht gestoßen, aber es ist auch keine „Microsoft 365 App“.
MfG
Buster
Hallo,
meine Lehrer haben auf ihren Lehrerleihgeräten Adminrechte.
Wenn ich die nicht managen kann mit linbo (so rolle ich sie nur aus), dann haben die da die Verantwortung.
Und dan Nextcloud ist das auch kein Problem, wenn ein Virus den Rechner zerfrist oder sie das Passwort vergessen und wegen Bitlocker alles weg ist… ist aber beides in 2 Jahren nicht vorgekommen…
LG
Holger
Hi zusammen,
Den Usern keine lokalen Admin Rechte zu geben ist aus Sicherheits-Sicht durchaus smart. Deshalb eine Idee, halt aus dem Bereich Bastellösung:
Du kannst in Windows mit der Aufgabenplanung tasks anlegen, die mit Admin-Rechten laufen und gewisse Befehle / Aufgaben ausführen.
Dort kannst du eine Aufgabe anlegen, die 10 min nach Boot des Clients (da sind dann wenn der Client im Schulnetz ist alle Netzlaufwerke sicher verbunden) ausgeführt wird.
Diese Aufgabe startet dann die MSI Datei im Tausch-Laufwerk mit silent Argument,…
Dadurch wird jedes Mal sobald der Client im Schulnetz ist versucht ob der Nextcloud Client geupdatet werden kann.
Witz dahinter ist dann natürlich, dass du die MSI Datei im Tausch immer austauscht sobald eine neue Version da ist.
Grüße
Finn
Hallo,
Das ist korrekt und ich möchte nur den Hinweis auf ein paar Stolperstellen geben: Netzlaufwerke in Windows sind benutzerabhängig, d.h. das Adminkonto aus der Aufgabe hat andere Netzlaufwerksbuchstaben als der normale Nutzer und im Zweifel sollte man da UNC-Pfade verwenden. Außerdem sollte man vorher sicherstellen, dass das Adminkonto eins aus der Domäne und kein lokales Benutzerkonto des Rechners ist, und logischerweise braucht es Leseberechtigungen auf dem UNC-Pfad.
MfG
Buster