Installation für Admins

Diese Seite richtet sich an IT-Administratoren, die Remote-Access dauerhaft auf einer Geräteflotte ausrollen oder einen Server für unbeaufsichtigten Zugriff einrichten wollen.

Endkunde mit einmaligem Supportbedarf?

Du brauchst diese Seite nicht. → Startseite ist alles, was du brauchst: Download-Button drücken, ID dem Support nennen, fertig.

Welche Variante wofür?

Variante	Zielgruppe	Authentifizierung	Persistenz
QuickSupport (Portable)	Endkunden, einmaliger Support	„Annehmen"-Dialog pro Sitzung	keine — schließen = weg
QuickSupport (MSI)	Endkunden auf verwalteten Windows-Geräten	„Annehmen"-Dialog pro Sitzung	bleibt installiert, Tray-App
Unattended	Server, immer-an Workstations, Kiosks	Passwort, kein Dialog	als Windows-Dienst

Die zwei Varianten teilen sich Branding, Schlüssel und Server-Konfiguration — sie unterscheiden sich nur in fünf Verhaltens-Knöpfen (Approve-Mode, Direction, Installation, Settings-Access, Tray-Sichtbarkeit). Siehe branding/variants/*.env im Repo für die genaue Aufstellung.

Windows — MSI ausrollen

Interaktiv (manuell)

Doppelklick auf die .msi → Installer-UI → Standard-Pfad C:\Program Files\Remote-Access\. Nach Installation startet der Client automatisch bei Anmeldung als Tray-Anwendung.

Silent (PowerShell / cmd)

powershell

msiexec /i "bg-quicksupport-x86_64.msi" /qn /norestart

/qn — kein UI, keine Dialoge
/norestart — auch bei pending-Reboot nicht durchstarten
Exit-Code 0 = OK, 1641 = Restart nötig aber unterdrückt, 3010 = Restart eingeplant

Microsoft Intune

.intunewin packen mit dem Microsoft Win32 Content Prep Tool:

text

IntuneWinAppUtil.exe -c <msi-folder> -s bg-quicksupport-x86_64.msi -o <output>

Apps → Windows → Hinzufügen → Win32-App in Intune:
- Installation: msiexec /i "bg-quicksupport-x86_64.msi" /qn /norestart
- Deinstallation: msiexec /x "{ProductCode}" /qn
- Erkennungsregel: MSI-Produktcode auto-erkennen (Intune liest ihn aus dem .intunewin)
Zuweisung: Required → Geräte- oder Benutzergruppe.

Gruppenrichtlinie (GPO)

Für AD-verwaltete Domänen ohne Intune:

MSI auf eine SMB-Freigabe legen, die für Domain Computers Lesezugriff hat (\\fileserver\software$\Remote-Access\bg-quicksupport-x86_64.msi).
Computer-Konfiguration → Richtlinien → Softwareeinstellungen → Softwareinstallation → Neues Paket — UNC-Pfad zur MSI, Zugewiesen wählen (nicht „Veröffentlicht", das ist für User-GPOs).
gpupdate /force auf einem Test-Client. Installation passiert beim nächsten Reboot.

SCCM / MECM

Standard-MSI-Application: msiexec /i als Install-Command, msiexec /x {ProductCode} als Uninstall, MSI-Erkennungsmethode auto.

Unattended — Dauerzugriff einrichten

Die Unattended-Variante installiert sich als Windows-Dienst und ist Passwort-authentifiziert. Eingehende Sitzungen brauchen keinen „Annehmen"-Klick — der Server akzeptiert jede Verbindung, die das richtige Passwort liefert.

Vor dem Rollout

Setze ein starkes, individuelles Passwort pro Gerät. Ein einheitliches Passwort über die ganze Flotte = ein Leak = jedes Gerät offen. Verteile per Geräte-spezifischen Mechanismus (Intune-PowerShell-Script, Ansible, etc.).

Installation

bg-remoteaccess-x86_64.msi ausrollen (gleiche Methode wie QuickSupport-MSI — siehe oben).
Nach Installation läuft der RustDesk-Dienst als LocalSystem. Prüfen mit:
powershell
```
Get-Service "*RustDesk*"
```

Passwort setzen — als Admin via Client-Binary:

powershell

& "C:\Program Files\{{ appName }}\rustdesk.exe" --password "<starkes-passwort>"

Verbindung von Admin-Seite

Der verbindende Admin gibt die Geräte-ID + Passwort ein. Es erscheint kein Accept-Dialog auf dem Server — Sitzung startet sofort.

Anwendungsfälle

Server / VM, an dem normalerweise niemand sitzt
Kiosk-PC, der nicht physisch bedient werden kann
Service-Desk-Workstations, die 24/7 erreichbar sein müssen

Nicht geeignet für Endkundengeräte — dort widerspricht die fehlende Sitzungs-Bestätigung den meisten Datenschutz-Anforderungen.

macOS — Deployment

Notarisierungs-Status

Das Bundle ist aktuell nicht notarisiert (kein Apple-Developer-ID-Signatur-Round-Trip durch notarytool). Beim ersten Start zeigt macOS Gatekeeper deshalb:

„Remote-Access kann nicht geöffnet werden, da Apple sie nicht auf Schadsoftware überprüfen kann."

Manueller Override (Einzelgerät)

Systemeinstellungen → Datenschutz & Sicherheit
Im Abschnitt Sicherheit: „Remote-Access wurde blockiert" → „Trotzdem öffnen"
Einmalig pro Gerät. App startet danach normal.

MDM-Deployment (Jamf, Munki, Kandji, Mosyle)

Bundle als .pkg in eine PPPC-Profil-Policy einbinden, die ScreenCapture und Accessibility für die App-Bundle-ID vorgewährt
Damit überspringt der erste Start beide System-Prompts — Nutzer sieht direkt die ID
Bundle-ID + Code-Requirement aus codesign -dvvv Remote-Access.app extrahieren

macOS-Berechtigungen (manuell)

Beim ersten Start fragt macOS nach:

Bildschirmaufnahme — damit Support den Bildschirm sieht
Bedienungshilfen — damit Support Maus/Tastatur steuern kann

Beide erforderlich für eine funktionierende Sitzung.

Android — Sideload + MDM

Manueller Sideload (Einzelgerät)

Einstellungen → Apps → Spezieller App-Zugriff → Unbekannte Apps installieren → für den verwendeten Browser/Datei-Manager aktivieren
APK herunterladen, antippen, Installieren
Beim Start: Bildschirmaufnahme / Casting erlauben

MDM (Intune for Android, Workspace ONE, Knox)

Standard-APK-Distribution über Managed Google Play oder direkt als Line-of-Business-App:

Intune: Apps → Android → Line-of-business App → APK hochladen → Zuweisung „Required"
Berechtigungen vorab per Android App Configuration Policy gewähren, dann kein User-Prompt beim Start

Wo werden Daten gespeichert?

Plattform	Lokaler Konfigurationspfad
Windows (MSI)	`%APPDATA%\Remote-Access\` + Dienst-Settings unter `C:\Windows\ServiceProfiles\LocalSystem\AppData\Roaming\Remote-Access\`
Windows (Portable)	Nur im Speicher während des Betriebs
macOS	`~/Library/Application Support/Remote-Access/`
Android	App-interner Speicher, kein nutzerlesbarer Pfad

Nicht gespeichert: Sitzungs-Bildschirminhalte, Tastatureingaben, Mauszustand, Clipboard-Inhalte. Dieser Traffic läuft Ende-zu-Ende-verschlüsselt zwischen den beteiligten Geräten und passiert die Remote-Access-Server nur als opaque relay (wenn überhaupt — direkte P2P-Verbindung wird bevorzugt, siehe docs/networking.md im Repo).

Installation für Admins ​

Welche Variante wofür? ​

Windows — MSI ausrollen ​

Interaktiv (manuell) ​

Silent (PowerShell / cmd) ​

Microsoft Intune ​

Gruppenrichtlinie (GPO) ​

SCCM / MECM ​

Unattended — Dauerzugriff einrichten ​

Installation ​

Verbindung von Admin-Seite ​

Anwendungsfälle ​

macOS — Deployment ​

Notarisierungs-Status ​

Manueller Override (Einzelgerät) ​

MDM-Deployment (Jamf, Munki, Kandji, Mosyle) ​

macOS-Berechtigungen (manuell) ​

Android — Sideload + MDM ​

Manueller Sideload (Einzelgerät) ​

MDM (Intune for Android, Workspace ONE, Knox) ​

Wo werden Daten gespeichert? ​