Hallo zusammen,
für die DATEVasp-Kanzleien: Ausgehend von dem Dokument 1020121, wird zukünftig der Microsoft Edge als ausführender Browser für die DATEVasp-Anmeldung bzw. für den Aufruf des Citrix-Receiver genutzt. Ist soweit klar und durchaus wünschenswert.
Leider nervt ein Edge in den Standard-Einstellungen ein wenig bzgl. des Receiver-Aufrufs. Benutzer können hier Haken setzen und den Aufruf bestätigen, als Admin möchte ich mich nicht darauf verlassen.
Deshalb der Tipp für alle Workstationen innerhalb eines AD:
Gruppenrichtlinien-ADMX runterladen und in den PolicyDefinitions integrieren. In den dann netzweit verfügbaren GPO habe ich diese Eintragungen vorgenommen:
"Liste zulässiger URLs definieren" --> https://start.asp.datev-cs.de
"Favoriten konfigurieren" --> [{"url":"https://start.asp.datev-cs.de", "name": "DATEVasp starten"}]
"Favoritenleiste aktivieren" --> aktiviert
"URL der neuen Tabseite" --> about://blank
"Loopbackverarbeitungsmodus für Benutzergruppenrichtlinien konfigurieren" --> Zusammenführen
Vielleicht hilft es dem ein oder anderen Kollegen.
Beste Grüße
Christian Ockenfels
Gelöst! Gehe zu Lösung.
Hi @chrisocki 👋!
Weil @siro mich auf meinen Einsatz des IE11 hingewiesen hat 😇 und ich einmal Langeweile hatte, habe ich manuell das DATEVasp Zugangspaket 2.8 installiert und deine GPO @chrisocki nachgebaut.
Ergebnis: Passt alles. Aber ich muss immer noch 3x auf ja oder öffnen oder sonst was klicken, bis sich der Citrix Receiver öffnet.
Loopback habe ich nicht aktiviert, weil der Test Laptop in einer eigenen UO liegt und nur dort die neue GPO angewandt wird und ich alle Einstellungen in der Computerkonfiguration gesetzt habe. Passt also alles. Wie oft musst Du noch klicken @chrisocki?
Alle, die den MS Edge zum Standard machen wollen: Festlegen von Microsoft Edge als Standardbrowser Simple as that 👍. Nur die PDF Option würde ich aus der XML entfernen, wenn z.B. doch der Adobe Reader drauf ist.
Danke! 😀
Nachtrag: Eigentlich könnte man doch sogar eine GPO zum Systemstart bauen, die den MS Edge inkl. 2 Tabs nach der Anmeldung eines Users aufruft: 1. Tab DATEVasp starten und 2. Tab: DATEVasp mobiler Arbeitsplatz bzw. kann man doch bestimmt auch abfragen, wo sich die Hardware befindet und wenn eine Verbindung zu domaene.local besteht, Tab 1 und wenn nicht, dann Tab 2, oder?
Aber das übersteigt dann absolut meine GPO und Skriptkünste 😇. Wer sich sowas baut: gerne hier teilen 😎.
Hi,
@metalposaunist schrieb: Loopback habe ich nicht aktiviert, weil der Test Laptop in einer eigenen UO liegt und nur dort die neue GPO angewandt wird und ich alle Einstellungen in der Computerkonfiguration gesetzt habe. Passt also alles. Wie oft musst Du noch klicken @chrisocki?
Just gestern auch einen Rechner mit V.2.8 ausgestattet. Für den Receiver muss weiterhin die Erlaubnis. gestattet werden. Diese kann aber mit Haken permanent gesetzt werden. Genau diese Einstellung/Eintrag hab ich aber via GPO nicht fassen können... In der Reg steht auch nichts...
Ich hab in der GPO noch den Kennwortspeicher deaktiviert.
Computerkonfiguration | Administrative Vorlagen | Microsoft Edge | Kennwort-Manager und -schutz
- Ermöglichen Sie Nutzern, benachritigt... --> deaktiviert
- Liste der Unternehmens-Anmelde-URLs... --> deaktiviert
- Speichern von Kennwörtern im Kennwort-Manager ermöglichen --> deaktiviert
- URL zum Ändern des Kennworts konfigurieren --> deaktiviert
- Warnungstrigger für Kennwortschutz konfigurieren --> deaktiviert
Andernfalls werden die ASP-Zugangsdaten der einzelnen Benutzer gespeichert. Insbesondere bei nicht festzugewiesenen Rechnern finde ich dies problematisch. Somit könnte ein Kollege durchaus den Account eines anderen kapern, u.s.w.
Beste Grüße
Christian Ockenfels
@metalposaunist schrieb:Nachtrag: Eigentlich könnte man doch sogar eine GPO zum Systemstart bauen, die den MS Edge inkl. 2 Tabs nach der Anmeldung eines Users aufruft: 1. Tab DATEVasp starten und 2. Tab: DATEVasp mobiler Arbeitsplatz bzw. kann man doch bestimmt auch abfragen, wo sich die Hardware befindet und wenn eine Verbindung zu domaene.local besteht, Tab 1 und wenn nicht, dann Tab 2, oder?
Aber das übersteigt dann absolut meine GPO und Skriptkünste 😇. Wer sich sowas baut: gerne hier teilen 😎.
Wäre denkbar... aber wie soll eine GPO zur Ausführung kommen, wenn die Domäne nicht erreichbar ist. Dann müsste der Rechner lokal/eigenständig eine GPO ausführen. Dies ist mir gänzlich unbekannt...
Die Favoritenleiste habe ich auch nur zusätzlich eingefügt. Eigentlich reichen die Desktopsymbole aus.
Beste Grüße
Christian Ockenfels
Hi @chrisocki!
Also ich muss trotz GPO einmal auf Receiver ermitteln klicken und dann den Haken setzen und auf öffnen klicken.
Mehr kann man nicht automatisieren oder den Usern abnehmen 🙁?
@metalposaunist schrieb:
Mehr kann man nicht automatisieren oder den Usern abnehmen 🙁?
Beim Chrome ist es genau so!
@metalposaunist schrieb:Hi @chrisocki!
Also ich muss trotz GPO einmal auf Receiver ermitteln klicken und dann den Haken setzen und auf öffnen klicken.
Mehr kann man nicht automatisieren oder den Usern abnehmen 🙁?
Genau der Eintrag, welcher dann gesetzt wird, finde ich zwar in den Einstellungen, kann ihn aber via GPO nicht setzen...
Einstellungen | Cookies und Websiteberechtigungen | Anwendungslinks
Vielleicht findet sich hier noch ein Wissender...
Und ja, bei Chrome ist es genauso, da die Codebasis annähernd die Gleiche ist...
@chrisocki schrieb:
Vielleicht findet sich hier noch ein Wissender...
Gemäß @andreashofmeister habe ich einen SK draus gemacht 😬. Will ja was "amtliches" und wenn 200 User dann 2x klicken müssen - alright.
@metalposaunist schrieb:@chrisocki schrieb:
Vielleicht findet sich hier noch ein Wissender...
Gemäß @andreashofmeister habe ich einen SK draus gemacht 😬. Will ja was "amtliches" und wenn 200 User dann 2x klicken müssen - alright.
Good boy......, @metalposaunist
@metalposaunist schrieb:@chrisocki schrieb:
Vielleicht findet sich hier noch ein Wissender...
Gemäß @andreashofmeister habe ich einen SK draus gemacht 😬. Will ja was "amtliches" und wenn 200 User dann 2x klicken müssen - alright
Bin gespannt, was man Dir antwortet. Welche Abteilung hast Du denn ausgewählt im Feld "Frage zum Produkt"..?
Lass es uns bitte wissen...
@andreashofmeister schrieb:
Welche Abteilung hast Du denn ausgewählt im Feld "Frage zum Produkt"..?
www.datev.de/servicekontakt > DATEVasp > Einwahlkomponenten > Programmbedienung 😂
@andreashofmeister schrieb:
Lass es uns bitte wissen...
Ja sicher. Dafür ist die Community ja da. Wir sind ja nicht die einzigen DATEVasp Kunden 😉.
Heute Feedback erhalten: Die restlichen 2 Klicks kann man wohl per GPO nicht weiter unterbinden 🙁. Da wir aber Springerplätze haben, ohne, dass das Profil synchronisiert wird, muss dann jeder der 40 Mitarbeiter an jedem neuen PC wieder 2x klicken. Gut, wenn das denn klappt, sei's drum.
Das DATEVasp Paket gibt es nach wie vor nicht als MSI, sodass man's via GPO verteilen könnte. Ich muss mich also mal um eine lokale Softwareverteilung kümmern, die mir das aktuelle Paket auf die 200 Arbeitsplätze bringt. Mache ich's manuell, wird es wohl noch immer alte Versionsstände geben, weil Version 2.9 von DATEV zwischenzeitlich freigegeben wurde.
Kennt da jemand ein cooles Tool, mit dem man Software verteilen kann? 200x von Hand aktualisieren ist eine ABM 🙄.
Hi,
@metalposaunist schrieb: Kennt da jemand ein cooles Tool, mit dem man Software verteilen kann? 200x von Hand aktualisieren ist eine ABM
Man könnte versuchen das Teil über ein Script zu starten, welches in der GPO aufgerufen wird. Problem ist aber, dass es an der Abfrage stehen bleibt, ob Mobiler-Arbeitsplatz oder nicht.
Und genau das kannst Du nicht mit einem Setup-Schalter mitgeben. Das würde hier enorm helfen aber da findest Du in Nürnberg auch keine Freunde...
Beste Grüße
Christian Ockenfels
@chrisocki schrieb:
Das würde hier enorm helfen aber da findest Du in Nürnberg auch keine Freunde...
Auch nicht per Skript möglich: installiere einfach? Der mobile Arbeitsplatz ist ja nur eine Verknüpfung auf dem Desktop, die man per GPO ausrollen kann. Das ist ja das kleinste Problem. Aber wenn das Setup einfach stehen bleibt 😲 ... Und nein, auch eine Info-E-Mail vorher hilft nicht, wenn sich doch einer mal verklickt und dann anruft.
Mein Ziel: Alles still, leise und "heimlich" im Hintergrund, dass niemand etwas davon merkt und es einfach nur läuft. Dauerhaft. Zuverlässig. Mit DATEV wohl nicht möglich. Weißt Du warum es keine MSI gibt 🤔? Geht das technisch einfach (wieder) nicht?
Bei der initialen DATEVasp Umstellung habe ich noch Turnschuh-Administration gemacht, weil man so auch gleich ein einheitliches Windows 10 ausrollen konnte. Aber so langsam brauchen wir da eine funktionierende Lösung. Kann mir eine schönere Tätigkeit vorstellen, womit ich mein Geld verdiene 🙄.
Hi,
ist mir schon klar. Aber das Setup bleibt bei diesem Bild stehen:
(Nicht wegen dem Seepferdchen...)
DATEV müsste in dem Setup-Paket Schalter vorsehen, damit im einem Script der GPO dann "aspzugangspaket.exe /silent" oder für die mobile Variante "aspzugangspaket.exe /silent /mobil" aufgerufen werden kann.
Gern auch abgekürzt /s und /s /m
Ob es technisch nicht, geht? Keine Ahnung... Vielleicht kommt es zu Nachfolgeproblemen, da ja aus dem Paket noch MSI-Files (Citrix) gestartet werden...
Beste Grüße
Christian Ockenfels
Hallo Community,
eine Skriptbasierte Installation des DATEVasp Zugangspaketes ist bereits heute möglich.
Folgende Parameter stehen dabei zur Verfügung:
Die Informationen dazu bzw. ein Beispielaufruf ist in der Info-DB zu finden:
DATEVasp Zugangspaket: erweiterte Funktionen
Viele Grüße aus Nürnberg
Andreas Raab
DATEV eG
Produktmanagement DATEVasp und DATEV-SmartIT
Kann man den Updatehinweis via GPO auch unterdrücken?
Unsere Notebooks haben zwar lokale admin-Rechte aber nicht unsere restlichen Clients, die dann vor die Wand fahren, wenn man auf aktualisieren drückt.
Uns hatte man einmal mitgeteilt:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\DATEVeG\Components\B0000524
REG_DWORD: AutoUpdateDisabled=1
REG_DWORD: SipaUpdateAdministrationMode=9000000
Das scheint aber nicht zu greifen. @Andreas_Raab: Stimmen die RegKeys nicht?
Hallo Community,
die genannten RegKeys sind korrekt, beziehen sich jedoch auf die Auto-Update Funktion im Sicherheitspaket.
@metalposaunist: Der Updatehinweis im Screenshot (neues DATEVasp Zugangspaket) kann ebenfalls deaktiviert/unterdrückt werden. Bitte dazu die „DATEVUpdateChecker.exe“ aus dem Windows-Autostart entfernen.
Viele Grüße aus Nürnberg
Andreas Raab
DATEV eG
Produktmanagement DATEVasp und DATEV-SmartIT
@Andreas_Raab schrieb:
Bitte dazu die „DATEVUpdateChecker.exe“ aus dem Windows-Autostart entfernen.
Danke @Andreas_Raab! Hat DATEV dazu eine GPO Vorlage? Was man wo einstellen muss, wenn man eine OU hat, die nur User beinhaltet?
Unter shell:common startup und shell: startup liegt nichts dergleichen. Nur wenn ich in den Autostart via Taskmanager schaue; aber wie ich das da via GPO rausbekommen bei jedem der 140 User - nein, manuell von Hand bestimmt nicht.
EDITH: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
Dort den REG_SZ: DATEVUpdateChecker= "C:\Program Files (x86)\DATEV\PROGRAMM\ASPZugangspaket\DATEVUpdateChecker.exe" -Sleep 10000 löschen, richtig?
Hi,
hab auch vergeblich gesucht...
Aber in der Registrie liegt das Teil...
HKLM | SOFTWARE | WOW6432Node | Microsoft | Windows | CurrentVersion | Run
--> DATEVUpdateChecker (REG_SZ)
Und somit könntest Du den Key mit einer GPO rauskicken...
Beste Grüße
Christian Ockenfels
Update: it just works! I love GPP 😍!
@Andreas_Raab: Steht sowas auch in einem Info-DB? Ist sicherlich für einige interessant, die keine Turnschuhadministration wollen.