netzweite Aktualisierung - AV Dienst stoppen - DATEV-Community

Gelöschter Nutzer · ‎05.01.2017

Hallo Zusammen,

erst einmal ein frohes Neues.

ich habe bei einem Mandanten ein Problem. Die netzweite Aktualisierung scheitert immer daran, dass auf den drei Arbeitsplatz PCs AVIRA als Virenscanner läuft. Momentan kann ich das nur lösen, wenn ich vor Ort bin, mich als Admin an den Arbeitsplätzen anmelde und Avira manuell deaktiviere. Das hat dann zur Folrge, dass der Update-Manager keinen Neustart macht und als Admin loslegt.

Leider Gottes ist Mandant runde 100 Kilometer weg und ich kann aus der Ferne auf den Datev Server zugreifen, so dass es eigentlich recht bequem sein könnte.

Nun die Frage: Kann ich irgendwie vor der eigentlichen Installation und nach dem automatischen Anmelden als Admin eine Batch Datei aufrufen, die den Avira Dienst stoppt? Hat da jemand eine Idee?

Viele Grüße aus Mainz

seidel · ‎05.01.2017

Evtl. den AVIRA mit rechter Maus / als Admin starten ?

Gelöschter Nutzer · ‎05.01.2017

Das nutzt leider nichts. Meistens sind normale User angemeldet, die vom Update-Manager abgemeldet werden. Dann wird in aller Regel der PC neu gestartet und als Admin weitergearbeitet (die Anmeldedaten kann hinterlegen). Während des Neustarts wird natürlich der Avira Dienst wieder mit einem Systemkonto gestartet, was manche Aktionen bei der Datev Installation verhindert.

Der Dienst auf dem Arbeitsplatz müsste per Batch gestoppt werden können. Das wäre extrem einfach, wenn Datev einen Batch aufrufen könnte, bevor die eigentliche Installation beginnt.

ulli_preuss · ‎05.01.2017

Hallo,

vielleicht hilft Ihnen psexec. Ist ein Bestandteil der pstools von Microsoft, die früher von Mark Russinovich als Sysinternals angeboten wurden. Damit können Sie eine Eingabeaufforderung als SYSTEM starten.

Wenn Sie psexec mit dem net-Befehl kombinieren, sollte das Starten/Stoppen von Diensten kein Problem sein.

Viele Grüße

· Viele Grüße, U. Preuß ·

* Ich liebe die App Upload mobile. Das kann ich vom Rest des DATEV-Angebotes leider nicht mehr sagen. *

Gelöschter Nutzer · ‎05.01.2017

Hallo,

das Tool kenne ich, macht aber nicht das, was ich denke, was es tun sollte. Die Initiative für den Stop und Start des Dienstes kann nur vom Update Manager ausgehen. Die einzelnen Schritte wären:

Arbeitsplatz neu starten
als Admin anmelden und Sperrbildschirm anzeigen
Avira Dienst stoppen
Datev Software installieren
Avira Dienst wieder starten
als Admin abmelden und Bildschirm wieder freigeben

Der Avira Dienst muss neu gestartet werden, damit das System nicht ungeschützt ist. Alternativ könnte auch ein Neustart erfolgen, damit alles wieder gestartet wird.

Einfach eine Batchdatei aufrufen mit "net stop Avira Dienst" würde völlig reichen.

seidel · ‎05.01.2017

Wenn das in einer Domäne ist:

Installadmin Benutzer erstellen

Anmeldescript mit Deaktivierung AVIRA

Abmeldescript mit Aktivierung AVIRA

Datevupdate mit Installadmin starten

Gelöschter Nutzer · ‎05.01.2017

Das wäre ein Ansatz, hat aber den Nachteil, dass das System nicht nur während der Installation ungeschützt (und gesperrt) wäre, sondern auch immer dann, wenn sich der Admin wegen anderer Arbeiten anmeldet.

Das könnte man umgehen, wenn ein spezieller Datev Admin Account angelegt würde. Das ist heute leider noch nicht so, weil der Mandant die IT selbst betreut und mich nur für Datev anheuert.

mkolberg · ‎05.01.2017

Können Sie nicht per RDP (Remotedektop) vom Server auf alle Clients zugreifen?

Entweder wake up on LAN aktivieren, oder irgend jemand vor Ort muß die Geräte einschalten.

jan · ‎05.01.2017

Wenn sich ein Virenscanner "mal einfach so" per Script beenden ließe, was würden dann die bösen Jungs wohl als erstes in die Maleware einbauen?

Hier hilft vermutlich nur ein Antivirus Client der zentral vom Server verwaltet wird und dann eben vor der Installation für die Clients deaktiviert und nach der Installation aktiviert wird.

Evtl. lässt sich das auch in Kleinstarbeit aufdröseln und per Ausnahmen im Avira umschiffen. Oder die DATEV APLs auf Viwas umstellen?

Je nachdem wie die restliche IT aussieht ggfs. Terminaldienste in Betracht ziehen. Sind wesentlich einfacher remote zu verwalten

Gelöschter Nutzer · ‎05.01.2017

Das Problem ist, dass es sich so einfach per Script machen lässt. Man muss halt nur wissen, wie der Dienst heißt und Admin Rechte haben. Das ist der Grund, warum diese Dienste oft kryptische Namen haben und nicht so einfach zu erkennen sind.

Andereseits macht die Datev mit Viwas genau das. Viwas wird bei den entsprechenden, kritischen Zugriffen ausgeklinkt und das System ist in dieser Phase nicht mehr geschützt. Deshalb ja der Sperrbildschirm, damit nicht während dieser Zeit ein User sein Unwesen treiben kann.

WTS wäre mir auch lieber, aber da habe ich bei diesem Mandanten leider keine Chance. Ansonsten betreue ich eigentlich nur WTS in reinen Datev Umgebungen und da ist Viwas kein Thema. Aber der Mandant hat sich nun mal so entschieden.

jan · ‎05.01.2017

Dann würde ich mit dem Kunden nochmals über RDS reden oder mich per Teamviewer / RDP / wie auch immer auf die PCs hangeln und von Hand updaten.

3 PCs und Server könnte man ja nahezu schon gleichzeitig updaten.

Gelöschter Nutzer · ‎05.01.2017

Ja schon. Das ist im Prinzip kein großer Akt, nur leider jedesmal 100 Kilometer ein Weg. In Mainz kann ich die Kanzlei von zuhause aus betreuen und für die paar Arbeitsplätze sitze ich 1,5 Stunden für einen Weg im Auto.

Man wird halt faul.

Als unangemessen melden · ‎05.01.2017

Moin,

ein paar grundsätzliche Überlegungen:

DATEV bietet in der Installation eine Möglichkeit den Benutzer zur Installation zuzuweisen -> siehe Hinweis auf Sperrbildschirm. Was spricht dagegen, auf den 3 Systemen diesen mit Adminrechten zu versehen oder einen speziellen Installationsuser (mit Zuordnungen in der Nuko) einzurichten?
Da es bei AVIRA bestimmt eine Möglichkeit gibt, den Virenscanner für Installationen auszuschalten, wird es auch Schnittstellen für Scripte geben. In der Hilfe oder den FAQs wird das mit Sicherheit beschrieben. Ob das nun user- oder tokenbasiert stattfindet sollte sich klären lassen. Falls nicht sollte über einen anderen Virenscanner nachgedacht werden.
Die Scripte werden dann über eine lokale mit dem DATEV Installationsuser verknüpfte GPO bei der Anmeldung zugewiesen. Bei Abmeldung ein weiteres Script zum Starten des Virenscanners.

Während der DATEV Installation arbeitet der User ohnehin nicht am PC, ein Risiko ohne Virenprogramm in der Zeit wäre wohl zu vernachlässigen.

Gruß

KP

jan · ‎05.01.2017

Leider Gottes ist Mandant runde 100 Kilometer weg und ich kann aus der Ferne auf den Datev Server zugreifen, so dass es eigentlich recht bequem sein könnte.

Warum dann nicht den Server als "Jump Host" nehmen und wie mkolberg (und ich) vorschlagen per RDP weiter auf den Client?

Oder eben auf den Clients auch Teamviewer o.ä. installieren. Oder direkt einen VPN Router zur Fernwartung zum Kunden und per RDP auf Server und Clients?

Gelöschter Nutzer · ‎05.01.2017

So mache ich es ja zur Zeit auch, aber die netzweite Aktulisierung funktioniert so nicht wirklich oder nur mit Krücken. Bei jedem Neustart des Arbeitsplatzes fliegt natürlich auch die RDP Session ab. Das würde mit TeamViewer auch passieren.

Ich habe dort leider keinerlei Einfluss auf die Kontiguration, GPOs, User-Anlage oder sonst etwas. Das macht alles ein selbsternannter Admin, der zig-Mal an der Datev Installation gescheitert ist und den Datev Server deshalb nicht mehr anfassen darf. Ich kann auch nicht einfach einen TeamViewer Server auf den Arbeitsplätzen installieren. Es ist halt nicht so einfach.

Deswegen hatte ich gehofft, dass man bei der netzweiten Aktualisierung etwas einbauen kann, was das vereinfacht und man das alles vom Datev Server aus starten und überwachen kann.