Verbrauch je Mandant im gewählten Monat — Grundlage für die Abrechnung.
–
Aktive Geräte
–
Registrierte Geräte
–
Sitzungen
–
Stunden
Mandant
Aktive Geräte
Registrierte Geräte
Sitzungen
Minuten
Stunden
Software
Geräte mit verfügbaren Paket-Updates (Chocolatey/winget). Ein Gerät erscheint hier, sobald sein Inventar per „Aktualisieren“ neu eingelesen wurde.
–
Geräte mit Updates
–
Pakete gesamt
Mandant
Gerät
Updates
Pakete
Skripte
Verwaltete, parametrisierbare PowerShell-/Batch-/Bash-Skripte — pro Mandant oder global. Ausführung nur mit Capability scriptExec + Audit.
Name
Kategorie
Typ
Mandant
Version
Parameter
Aktionen
Ausführungs-Historie
Wer hat wann welches Skript wo ausgeführt (Secrets maskiert).
Zeit
Skript
Gerät
Akteur
Exit
Dauer
Parameter
Software-Pakete
Ein Paket beschreibt in YAML, wie Software erkannt, installiert und wieder entfernt wird — mehrstufig, prüfbar und wiederholbar. Kommt zusätzlich zur direkten Verteilung über Chocolatey/winget, nicht an ihrer Stelle.
Name
Version
Mandant
Kategorie
Aktiv
Aktionen
Gerät
Übersicht
Sitzungsaufzeichnungen
Vom Gerät hochgeladene WebM-Aufnahmen (nur wenn „Sitzungen aufzeichnen" aktiv ist). Die Aufnahme wird nach dem Trennen hochgeladen.
Datei
Größe
Zeitpunkt
Aktion
Inventar
Software
Installierte Software, die der Host beim Verbinden meldet (Windows-Registry + Paketmanager).
Updates verfügbar
Paket
Version
Quelle
Name
Version
Quelle
Aktion
Skript ausführen
Skripte aus der Bibliothek — die des Mandanten und die global vererbten.
Paket verteilen
Software-Pakete aus der Bibliothek. „Nur prüfen“ und „Probelauf“ ändern nichts am Gerät.
Ergebnisse
Was auf diesem Gerät gelaufen ist, samt der Werte, die das Skript gemeldet hat. Löschen entfernt nur diese Übersicht — der Nachweis im Audit-Log, dass etwas ausgeführt wurde, bleibt bestehen.
Zeit
Skript
Akteur
Exit
Dauer
Ergebnis
Einstellungen (Fernverwaltung)
Alle Geräte-Einstellungen aus der Konsole steuern. „Ererbt" nutzt den Mandanten-Standard, sonst gilt der hier gesetzte Wert. Wirkt beim nächsten Verbindungsaufbau des Geräts.
Sitzungen (dieses Gerät)
Client-IP
Start
Dauer
Status
Update-Verlauf (dieses Gerät)
Von
Nach
Status
Zeitpunkt
Detail
Geräte-Protokoll (WatchDog/Updates)
Vom Gerät gemeldete WatchDog-Zeilen — Updates, Neustarts, Recoveries. Kommt mit jeder Registrierung, sobald das Gerät das Relay erreicht.
Empfangen
Zeile
Übersicht
Relay-Status auf einen Blick — Version, Auto-Update und die aktiven STUN/TURN-Server. Netzwerk-Details und den Erreichbarkeitstest findest du unter „Netzwerk & Erreichbarkeit".
Netzwerk & Erreichbarkeit
TURN/STUN-Status, benötigte Ports und ein Verbindungstest aus diesem Browser.
📶 Erreichbarkeitstest (aus diesem Browser)
Baut eine echte WebRTC-Verbindung über die ausgelieferten ICE-Server auf und prüft, ob STUN- und TURN-Kandidaten zustande kommen — bestätigt, dass die Ports von außen erreichbar sind.
Noch nicht getestet.
🔑 Benötigte Ports
Protokoll
Port
Richtung
Zweck
Pflicht
🌐 Ausgelieferte ICE-Server
Genau das, was Host und Client vom Relay erhalten (STUN + TURN mit Zugangsdaten).
Typ
URL
Zugangsdaten
Admin-Zugang
Anmeldung an der Admin-Konsole: zentrales Passwort, Single Sign-On und Benutzerkonten mit Rollen.
🔑 Admin-Passwort
Ändert das Anmelde-Passwort für den zentralen Admin-Login (ohne Benutzername). Mindestens 8 Zeichen. Wird nur als gesalzener PBKDF2-Hash gespeichert.
👤 Benutzerkonten & Rollen
Neben dem zentralen Passwort können benannte Konten mit abgestuften Rollen angelegt werden — Administrator (alles), Supervisor (Audit + Aufnahmen + Freigaben), Techniker (steuern/sperren + Skripte ausführen), Nur-Lese. Verwaltung im Bereich Benutzer (Hauptmenü links).
🔑 Single Sign-On (OIDC)
Meldet Administratoren über einen zentralen Identity-Provider (OAuth 2.0 / OIDC mit PKCE) an; die Rolle wird aus dem Token abgeleitet. Konfiguration im Block Oidc unter Konfiguration.
TLS-Zertifikat
Das Server-Zertifikat für den HTTPS-/wss-Zugriff aus dem Browser (Web-Client /app braucht HTTPS). Nicht zu verwechseln mit den Geräte-Zertifikaten unter „Geräte-Zertifikate (mTLS)".
Für den Browser-Zugriff (/app) nötig — WebCodecs braucht HTTPS. Zertifikat aus dem Windows-Store wählen; wirkt nach Neustart des Relays.
Auf diesem (Linux-)Server läuft TLS über eine Zertifikatsdatei (z. B. Let's Encrypt), nicht über den Windows-Store — daher hier keine Auswahl. Konfiguriert über CertificateFile in relay.json.
Geräte-Zertifikate (mTLS)
Jedes Gerät bekommt beim Enrollment ein eigenes Client-Zertifikat und weist sich damit gegenüber dem Relay aus — so kann sich kein fremder Rechner als bekanntes Gerät ausgeben.
🔐 Durchsetzung
🌐 Transport
Agenten verbinden über SNI-mTLS auf Port 443 (Hostname —). Damit greift die Zertifikatspflicht auch aus Firmennetzen, die nur 443 erlauben — und Browser werden nicht nach einem Zertifikat gefragt.
Ein einzelnes Gerät sperren: im Grid unter Geräte per Rechtsklick auf das Gerät → „Zertifikat widerrufen". Das nächste Enrollment stellt automatisch ein frisches aus.
Hintergründe
Login-Hintergründe für Admin, Web-Client und App. Neue hochladen, löschen oder einen fest einstellen.
— oder unten ein Bild „Fest setzen" wählen. Fest gesetzt = keine Rotation, nur dieses Bild.
Relay-Update
Die Version des Relays selbst prüfen und einspielen — und den Verlauf der an Geräte ausgelösten Client-Updates einsehen. (Welche Client-Version die Flotte fährt, steuerst du unter „Versionsmanagement".)
⇩ Relay-Update
↻ Updateverlauf
0 Einträge — vom Admin ausgelöste Client-Updates.
Mandant
Gerät
Von
Nach
Status
Zeitpunkt
Detail
CleanUp
Aufräumen: alte Geräte entfernen und die Datenbank verschlanken.
🗑 Alte Rechner entfernen
Geräte, die seit mehr als X Tagen nicht mehr verbunden waren, aus dem System löschen. Erst prüfen, dann bestätigen — gelöschte Geräte tauchen bei erneuter Verbindung wieder auf.
Mandant
Gerät
Letzte Verbindung
Version
🧹 Datenbank aufräumen
Alte Protokolle (Audit, WatchDog-Log, Update-Verlauf) älter als X Tage entfernen und die Datenbank verdichten (VACUUM). Aktive Geräte und Mandanten bleiben unberührt.
Versionsmanagement
Zentral über alle Rechner: eine Version systemweit aktivieren. Alle Geräte (auch neu registrierte) werden auf diese Version gebracht.
Die Verteilung nach Version steht als Kennzahl oben. Einzelne Geräte samt laufender Version findest du im Grid unter Geräte (Spalte „Version", filter- und gruppierbar) — das skaliert auch bei tausenden Rechnern.
⏳ Rollout-Drosselung
Damit beim Freischalten einer Version nicht die ganze Flotte gleichzeitig zieht (und Feed/Netz überlastet), holen sich immer nur maximal so viele Geräte gleichzeitig das Update — die übrigen warten und werden nachgezogen, sobald ein Slot frei wird. 0 = unbegrenzt.
Versionsverwaltung (Feed)
Der Vorrat an Client-Versionen auf dem Update-Server (SFTP): EXEs hochladen, löschen, die als Standard angebotene Version setzen, updates.ini bearbeiten. (Das systemweite Ausrollen einer Version übernimmt „Versionsmanagement".)
Neue Version hochladen
Signierte BrowserDesk-<version>.exe. Die Version wird aus dem Dateinamen erkannt; versions.json wird aktualisiert.
Aktive Version (updates.ini)
Aktuell: —
📦 Dateien im Feed
Datei
Version
Größe
Geändert
Aktion
updates.ini bearbeiten (erweitert)
Konfiguration (relay.json)
Die komplette Relay-Konfiguration bearbeiten — inkl. Feed/SFTP, TURN, TLS. Enthält Zugangsdaten, nur für Administratoren. Änderungen wirken nach einem Neustart des Relays.
Datei: —
Vier-Augen-Freigaben
Offene Zugriffs-Anfragen auf als kritisch markierte Geräte. Ein Supervisor gibt frei oder lehnt ab — die wartende Sitzung wird dann verbunden oder abgewiesen.
Angefragt
Gerät
Anfragender
Entscheidung
Subdomain-Anfragen
Über das Formular auf der Website eingegangene Anfragen für <name>.browserdesk.de. Eine Freigabe legt den Mandanten an (Mandant-ID = Subdomain). Nichts wird automatisch bereitgestellt.
Subdomain
Organisation
E-Mail
Angefragt
Entscheidung
Audit-Log
Manipulationssicheres Protokoll (Hash-Chain) sicherheitsrelevanter Ereignisse — nur lesbar.
#
Zeit
Akteur
Aktion
Capability
Mandant / Gerät
Detail
Remote Console
Live-Kommandozeile auf einem Zielgerät — wie davor sitzen. Die Konsole muss für das Gerät aktiviert sein (unter „Fernverwaltung" auf der Geräte-Detailseite oder hier per Schnellschalter).
nicht verbunden
Benutzer & Rollen
Konten für die Admin-Konsole. Vier Rollen: Administrator (alles) · Supervisor (Audit, Aufnahmen, Freigaben) · Techniker (steuern/sperren, Skripte) · Nur-Lese.
Nur ein Administrator kann Benutzer anlegen oder löschen. Sie haben dafür nicht die nötige Rolle.
Benutzer
Rolle
Angelegt
Hilfe & Dokumentation
Anleitung zur Relay-Verwaltung und zum BrowserDesk-Client. Springe über das Inhaltsverzeichnis zu einem Thema.
1 · Überblick
Die Relay-Verwaltung ist die zentrale Oberfläche für BrowserDesk. Über sie sehen und steuern Sie alle Geräte, verwalten Mandanten und Zugänge, rollen Client-Versionen aus und prüfen die Netzwerk-Erreichbarkeit. Der Aufbau:
Melden Sie sich mit dem Admin-Passwort (siehe admin-password.txt im Relay-Datenverzeichnis) oder einem angelegten Benutzerkonto an. Rollen steuern, wer nur lesen und wer verwalten darf (Abschnitt 8).
2 · Geräte verwalten
Unter Geräte sehen Sie alle registrierten Rechner. Jede Zeile zeigt Name, Online-Status, Plattform, die laufende Client-Version, Tags und wann das Gerät zuletzt gesehen wurde.
Filtern über die Pillen rechts oben (Alle · Online · Offline · Gesperrt) und über die Suche in der Kopfzeile.
Mandant wählen im Baum links, um die Liste auf einen Mandanten einzugrenzen.
Mehrfachauswahl über die Kästchen links – damit lässt sich mehreren Geräten in einem Schritt eine Version zuweisen (Abschnitt 5).
Zeile anklicken öffnet die Detailseite des Geräts (Abschnitt 3). Das Drei-Punkte-Menü bietet Verbinden, Details, Bearbeiten, Sperren und Löschen.
Eine Versionsspalte mit → 20260711.x bedeutet: dem Gerät ist eine Ziel-Version zugewiesen, die es noch nicht erreicht hat – das Update steht also aus.
3 · Geräte-Detailseite
Ein Klick auf ein Gerät öffnet eine eigene Seite (mit „← Zurück"). Sie fasst alles zu diesem Gerät zusammen und macht es steuerbar:
Mandanten gruppieren Geräte (z. B. nach Kunde oder Standort). Sie pflegen sie direkt im Baum links in der Geräte-Ansicht: beim Überfahren eines Mandanten erscheinen die Aktionen.
👤Benutzer – Konten anlegen, mit denen ein Client dem Mandanten beitritt; hier lassen sich auch alle Tokens widerrufen.
✎Bearbeiten – Name und Mandant-Passwort ändern.
✕Löschen – Mandant entfernen (der Mandant default ist geschützt).
+ Mandant hinzufügen unten im Baum legt einen neuen an.
Ein Gerät bleibt über seine ID + Geräte-Passwort erreichbar – der Mandant ist eine Gruppierung fürs Adressbuch, keine Zugriffssperre.
5 · Client-Versionen & Updates
Client-Versionen berühren drei Stellen — hier der Überblick, welche wofür zuständig ist:
Versionsverwaltung (Feed) — der Vorrat: welche Client-EXEs überhaupt auf dem Update-Server bereitliegen. Dort lädst du neue Versionen hoch und legst die Standard-Version fest. (Einstellungen → Client-Verwaltung.)
Versionsmanagement — der systemweite Rollout: eine Version für die ganze Flotte erzwingen; auch neu registrierte Geräte kommen darauf. (Einstellungen → Client-Verwaltung.)
Version zuweisen (hier beschrieben) — gezielt einem oder wenigen Geräten aus dem Grid eine Ziel-Version geben.
Beim gezielten Zuweisen aktualisiert das Gerät beim nächsten Verbindungsaufbau automatisch – unabhängig von seiner lokalen Auto-Update-Einstellung. Ablauf:
Der Update-Workflow von der Auswahl bis zur Rückmeldung im Verlauf.
In Geräte die gewünschten Rechner ankreuzen.
Auf „Version zuweisen…" klicken und im Dialog eine der veröffentlichten Versionen wählen (die Liste kommt aus dem Update-Feed). „Keine" entfernt die Zuweisung.
Das Gerät lädt beim nächsten Verbindungsaufbau genau diese Version, prüft SHA256 + Authenticode-Signatur und startet neu.
Unter Updates sehen Sie den Verlauf: Gerät · Von → Nach · Status (Läuft/Erfolgreich/Fehler) · Zeit. Der Erfolg wird automatisch erkannt, sobald das Gerät die Ziel-Version meldet.
Bestandsgeräte müssen einmalig auf eine aktuelle Client-Version kommen, damit sie zugewiesene Versionen empfangen und den Start/Fehler melden.
6 · Sitzungen & Verlauf
Sitzungen protokolliert, wann sich ein Viewer mit welchem Gerät verbunden hat (Mandant, Client-IP, Start, Dauer, Status). Updates zeigt den Verlauf aller vom Admin ausgelösten Client-Updates. Beide sind auch je Gerät in der Detailseite sichtbar.
7 · Netzwerk-Diagnose
Unter Netzwerk sehen Sie den Status des Relays und des gebündelten TURN/STUN-Servers, die benötigten Ports und die aktuell verteilte ICE-Konfiguration. Der Verbindungstest prüft aus dem Browser heraus die Erreichbarkeit – hilfreich, wenn Verbindungen scheitern.
8 · Benutzer & Rollen
Unter Benutzer legen Sie Konten für die Verwaltung an. Es gibt vier Rollen (absteigende Rechte):
Das anfängliche Admin-Passwort (ohne Benutzername) sollte nach dem Anlegen benannter Konten in den Einstellungen geändert werden.
9 · Client: verbinden & steuern
Der Ziel-Rechner zeigt im BrowserDesk-Fenster seine ID und ein Passwort. Zum Verbinden gibt der Zugreifende beides ein (im Web-Client oder in der App). Während der Sitzung liegen die Werkzeuge in einer schwebenden, ein-/ausklappbaren Leiste über dem Bild – nach Kategorien geordnet:
Client-Werkzeugleiste: Eingabe · Ansicht · Dateien · Steuerung · Verwaltung, dazu Chat und Trennen.
Steuerung – Steuerung anfragen oder den Steuerungs-Modus (nur einer vs. alle) umschalten.
Verwaltung – System-Infos, Neustart/Herunterfahren/Abmelden, Eingabe sperren, Bildschirm schwärzen, Remote-Kommandozeile (nur wenn am Gerät freigegeben).
10 · Einstellungen im Überblick
Der Bereich Einstellungen (Hauptmenü unten links) ist eine eigene Unter-App mit einer nach Themen gruppierten Navigation. Vier Gruppen bündeln alle Bereiche:
Einstellungen als Unter-App: links nach Themen gruppiert, rechts der gewählte Bereich.
System
Übersicht — Relay-Version, Auto-Update-Status und die aktiven STUN/TURN-Server auf einen Blick.
Netzwerk & Erreichbarkeit — benötigte Ports, ausgelieferte ICE-Server und ein echter Verbindungstest aus dem Browser.
TLS-Zertifikat — das Server-Zertifikat für den Browser-Zugriff (HTTPS/wss). Unter Windows aus dem Zertifikatsspeicher, unter Linux als Datei (z. B. Let's Encrypt).
Konfiguration — die komplette relay.json im Editor (enthält Zugangsdaten, nur für Administratoren).
Client-Verwaltung
Versionsverwaltung (Feed) — der Vorrat an Client-EXEs auf dem Update-Server: hochladen, löschen, Standard-Version setzen (siehe Abschnitt 5).
Versionsmanagement — eine Version systemweit für die ganze Flotte aktivieren. Die Verteilung nach Version steht als Kennzahl; einzelne Geräte samt Version findest du im Grid unter Geräte (skaliert auch bei tausenden Rechnern).
Relay-Update — die Version des Relays selbst prüfen/einspielen und den Verlauf der Client-Updates einsehen.
Hintergründe — Login-Hintergründe für Admin, Web-Client und App verwalten (hochladen, festsetzen, rotieren).
CleanUp — lange nicht verbundene Geräte entfernen und alte Protokolle aus der Datenbank verdichten (VACUUM).
11 · Sicherheit: mTLS, Freigaben & Audit
Geräte-Zertifikate (mTLS)
Jedes Gerät erhält beim Enrollment ein eigenes Client-Zertifikat und weist sich damit gegenüber dem Relay aus — so kann sich kein fremder Rechner als bekanntes Gerät ausgeben. Die Durchsetzung schaltest du in zwei Stufen:
Zwei Schalter: erst prüfen, dann — wenn alle Geräte nachweislich per mTLS verbinden — erzwingen.
Prüfen — legt ein Gerät ein Zertifikat vor, wird es validiert; ungültige werden abgewiesen. Geräte ganz ohne Zertifikat bleiben zunächst erlaubt (sanfter Übergang).
Erzwingen — ein Gerät, das bereits ein Zertifikat besitzt, muss es künftig vorlegen. Erst aktivieren, wenn die Zähler oben zeigen, dass alle Geräte ein Zertifikat halten und per mTLS verbinden — sonst sperrst du ein zurückgefallenes Gerät aus.
Agenten verbinden über SNI-mTLS auf Port 443 (eigener Agent-Hostname). Dadurch greift die Zertifikatspflicht auch aus Firmennetzen, die nur 443 erlauben — und Browser werden nicht nach einem Zertifikat gefragt. Ein einzelnes Gerät sperrst du im Grid unter Geräte per Rechtsklick → „Zertifikat widerrufen"; das nächste Enrollment stellt automatisch ein frisches aus.
Vier-Augen-Freigaben
Geräte lassen sich als kritisch markieren (Grid → Rechtsklick). Ein Zugriff auf ein kritisches Gerät wartet dann auf die Freigabe eines Supervisors: Unter Einstellungen → Vier-Augen-Freigaben erscheint die offene Anfrage mit Anfragendem und Gerät. Erst nach „Freigeben" wird die wartende Sitzung verbunden; „Ablehnen" (oder Zeitablauf) weist sie ab.
Audit-Log
Sicherheitsrelevante Ereignisse (Anmeldungen, Sperren, Skript-Ausführungen, Zertifikats-Widerrufe, Konfig-Änderungen) landen in einem manipulationssicheren Protokoll mit Hash-Kette: jeder Eintrag hängt kryptografisch am vorherigen, nachträgliches Ändern oder Löschen fällt auf. Über „Kette prüfen" verifizierst du die Unversehrtheit. Das Log ist ausschließlich lesbar.
12 · Skripte
Die Skript-Bibliothek (Einstellungen → Client-Verwaltung → Skripte) hält wiederverwendbare, parametrisierbare PowerShell-, Batch- oder Bash-Skripte — pro Mandant oder global. Statt jedes Mal Befehle in die Konsole zu tippen, führst du ein geprüftes Skript mit Parametern gezielt auf einem Gerät aus.
Vom signierten Skript bis zur protokollierten Ausführung — der Host verifiziert vor dem Start.
Anlegen/Bearbeiten — Name, Typ (PowerShell/Batch/Bash), Skript-Text und benannte Parameter (auch als Geheimnis markierbar). Global oder auf einen Mandanten beschränkt.
Signatur — beim Speichern wird das Skript relay-seitig signiert (HMAC über die kanonische Form + Inhalts-Hash). Der Host verifiziert vor jedem Lauf, dass Inhalt und Signatur zusammenpassen — manipulierte Skripte werden nicht ausgeführt.
Ausführen — benötigt die Rolle Techniker (oder höher) und die Geräte-Capability scriptExec. Parameterwerte gibst du beim Start ein; als Geheimnis markierte werden maskiert.
Historie — wer wann welches Skript wo mit welchem Ergebnis (Exit-Code, Dauer) ausgeführt hat; Secrets erscheinen maskiert.
13 · Fehlerbehebung
Ein Gerät zeigt keine Version / kein Inventar.
Es läuft noch mit einer älteren Client-Version. Nach einem Update auf eine aktuelle Version meldet es Version und Inventar automatisch.
Das zugewiesene Update passiert nicht.
Das Update greift beim nächsten Verbindungsaufbau des Geräts. Ist der Rechner offline, geschieht es, sobald er sich wieder verbindet. Prüfen Sie den Verlauf unter Updates.
„Verbinden" aus der Konsole geht nicht.
Das Gerät muss online sein und im Browser ein Passwort hinterlegt haben (Zahnrad-Menü „Bearbeiten"), sonst fragt der Web-Client danach.
Keine Verbindung trotz Online-Status.
Prüfen Sie unter Netzwerk die Ports und den Verbindungstest. Für WAN-Verbindungen müssen die TURN-Ports am Relay erreichbar sein.
14 · Dateiablage & Aufräumen
Damit Sie im Support-Fall wissen, wo welche Datei liegt, hier die vollständige Ablage auf einem Windows-Client. BrowserDesk läuft in einer von zwei Betriebsarten – die Ablage unterscheidet sich nur beim Programmordner.
Die zwei Betriebsarten
👤Benutzer-Installation (Standard) – installiert pro Benutzer nach %LOCALAPPDATA%\BrowserDesk. Der Ordner ist schreibbar, daher aktualisiert sich der Client lautlos selbst, ohne Administratorrechte und ohne Dienst.
⚙Dienst-Installation (unbeaufsichtigt) – eine geplante Aufgabe BrowserDeskUnattended startet den Host als SYSTEM in der angemeldeten Sitzung. Damit ist der Rechner auch ohne angemeldeten Benutzer und über einen Neustart hinweg erreichbar. Sichtbar in der Aufgabenplanung (taskschd.msc), nicht in den Diensten (services.msc).
Gleiche Dateien, aber schreibgeschützt – Updates brauchen hier Administratorrechte. Neue Rollouts nutzen daher die Benutzer-Installation.
%LOCALAPPDATA%\warp\packages
Entpack-Zwischenspeicher. BrowserDesk.exe ist ein selbstentpackendes Paket; beim ersten Start legt es hier einen Unterordner mit dem eigentlichen Programm an.
C:\ProgramData\BrowserDesk
Maschinenweite Betriebsdaten (siehe unten) – bleiben über Updates hinweg erhalten.
Betriebsdaten in C:\ProgramData\BrowserDesk
identity.json – Geräte-ID und Schlüssel. Diese Datei bestimmt, unter welcher ID der Rechner in der Konsole erscheint. Nicht löschen – sonst taucht der Rechner als neues Gerät auf.
host-settings.json – lokale Host-Einstellungen (z. B. Passwort-Richtlinie).
pending-update.json – vorgemerktes Update, das beim nächsten Start angewendet wird.
bd-service.log / relaunch.log – Protokolle für die Fehlersuche.
bd-relaunch.cmd – temporäres Skript, das den Client nach einem Update sauber neu startet (räumt sich selbst wieder ab).
Automatisches Aufräumen
Bei jedem Start räumt der Client selbstständig auf und behält nur die aktuelle Version:
Reste früherer Updates (BrowserDesk.old.exe, BrowserDesk.new.exe) im Programmordner werden entfernt.
Veraltete Unterordner im Entpack-Zwischenspeicher (warp\packages) werden gelöscht – nur der Ordner der laufenden Version bleibt.
Sie müssen also nichts von Hand aufräumen. Diese Ordner wieder anwachsen zu sehen ist normal, solange nur genau ein aktueller Stand übrig bleibt.
Zugriff auf den laufenden Client (Tray-Symbol)
In beiden Betriebsarten zeigt BrowserDesk ein Symbol im Infobereich der Taskleiste (rechts unten, ggf. unter dem Pfeil „ausgeblendete Symbole"). Darüber erreichen Sie den Prozess:
Benutzer-Installation: Linksklick holt das Fenster zurück; das Menü bietet Öffnen und Beenden.
Dienst-Installation: Der Host läuft ohne Fenster, zeigt aber ein Tray-Symbol mit der Geräte-ID, Geräte-ID kopieren und BrowserDesk beenden (stoppt auch die geplante Aufgabe, sodass er sich nicht sofort neu startet).
Auf dem Anmelde-/Sperrbildschirm (kein angemeldeter Benutzer) kann kein Tray-Symbol erscheinen – der Rechner bleibt aber über die Konsole erreichbar.
15 · Remote Console
Die Remote Console öffnet eine echte Kommandozeile (Pseudo-Terminal / ConPTY) auf einem Zielgerät – Sie arbeiten, als säßen Sie davor: cmd oder PowerShell mit Prompt, Farben und Verlauf. Ideal, um einem Rechner per Befehl zu helfen, ohne den Bildschirm zu übernehmen.
So öffnen Sie eine Sitzung
Über den Menüpunkt Remote Console: Gerät und Shell wählen, Verbinden.
Oder in der Geräteliste über das ⋮-Menü → Remote Console.
Voraussetzung: aktivieren
Aus Sicherheitsgründen ist die Konsole je Gerät standardmäßig aus. Sie aktivieren sie:
direkt beim Verbinden über den Schalter „Jetzt aktivieren", oder
auf der Geräte-Detailseite → Fernverwaltung → „Remote Console" (dort auch als Mandanten-Standard für alle Geräte setzbar).
Auf dem Zielgerät läuft der Empfang im normalen BrowserDesk-Host – in der GUI wie im SYSTEM-Dienst. Es muss kein zusätzlicher Dienst installiert werden; die Konsole ist erst erreichbar, wenn sie für das Gerät aktiviert wurde.
Run-As — Sitzung unter anderem Benutzer
Über Run-As … öffnen Sie die Konsole als ein beliebiger Windows-Benutzer (z. B. ein Dienst- oder Domänenkonto). Sie geben Benutzer, Passwort und optional „Benutzerprofil laden" an. Das Passwort wird im Browser mit dem öffentlichen Schlüssel des Geräts verschlüsselt — der Relay-Server sieht es nie im Klartext, nur das Zielgerät entschlüsselt es und meldet sich damit an. Der Status zeigt dann den aktiven Benutzer.
Run-As benötigt gültige Anmeldedaten auf dem Zielgerät. Läuft der Host als normaler Benutzer (nicht als SYSTEM-Dienst), kann Windows die Anmeldung als anderer Benutzer je nach Richtlinie verweigern — dann als Dienst installieren.
Fernverwaltung: alle Einstellungen aus der Konsole
Im Panel Fernverwaltung (Geräte-Detailseite) steuern Sie jede Host-Einstellung zentral: Steuerung erlauben, Zwischenablage, Dateiübertragung, Zugriffs-Bestätigung, Bildqualität, automatische Updates und eben die Remote Console. Jede Einstellung kennt drei Zustände: Ererbt (nutzt den Mandanten-Standard bzw. den lokalen Wert), An oder Aus. Änderungen wirken beim nächsten Verbindungsaufbau des Geräts.
Mandant hinzufügen
Governance-Policy
Regeln für alle Geräte dieses Mandanten. Ererbt = der globale Standard gilt; An/Aus übersteuert ihn nur für diesen Mandanten.
Branding
So sieht der Kunde seine eigene Adresse mandant.browserdesk.de.
#3b82f6
Mandant einrichten
Dieser Assistent richtet … in wenigen Schritten ein: Basis, Branding, Regeln und den ersten Zugang.
So sieht der Kunde seine Adresse ….
#3b82f6
Regeln für alle Geräte dieses Mandanten. Ererbt = der globale Standard gilt.
Lege optional einen Benutzer an, mit dem sich ein BrowserDesk-Client am Mandanten anmeldet. Ohne Benutzer reicht das Mandant-Passwort.
So verbindet sich der Client:
BrowserDesk-Client → Einstellungen → Mandant
Adresse: …
Benutzer + Passwort (oder nur das Mandant-Passwort)
✓
Einrichtung abgeschlossen
Paket bearbeiten
Ein Paket eines Mandanten verdeckt ein gleichnamiges globales — genau wie bei Skripten. Eine neue Version legst du über „Duplizieren“ an; ein laufender Rollout behält dadurch die Fassung, mit der er gestartet ist.
Ersetzt den Inhalt durch ein vollständiges, lauffähiges Beispiel.
Dateien, die zum Paket gehören. Im YAML referenzierst du sie als {bin:name}. Wichtig: das liefert eine URL, keinen Pfad — erst per fetch herunterladen, dann den Zielpfad verwenden.
Referenz
Plattform
Rolle
Änderungen an der Spezifikation dieses Pakets. Ein Eintrag entsteht nur, wenn sich inhaltlich etwas geändert hat.
Zeit
Von
Kommentar
Führt die aktuell im Editor stehende Spezifikation auf einem echten Gerät aus — über denselben Weg wie später der Rollout. „Nur prüfen“ und „Probelauf“ ändern nichts.
Phase
Aktion
Exit
Ausgabe
Dauer
YAML-Assistent
Du wählst aus, der Assistent schreibt das YAML. Jede Aktion, die das Relay kennt, steht hier zur Verfügung — inklusive der Pflichtfelder und der erlaubten Werte.
Das Wichtigste am Paket: es verhindert doppelte Installationen und entlarvt Installer, die Erfolg melden, ohne etwas zu tun.
Noch keine Schritte — wähle oben eine Aktion und klick „Schritt +“.
Paket verteilen
Das Paket wird auf den gewählten Geräten ausgeführt — in Wellen zu höchstens acht gleichzeitig. Geräte, die gerade offline sind, werden vermerkt und übersprungen; der Rollout läuft weiter.
Gerät
Status
Erkennung
Meldung
Benutzer von
Damit meldet sich ein BrowserDesk-Client am Mandanten an (Einstellungen → Mandant) und sieht dessen Geräte.
Ohne Benutzer bleibt nur das Mandant-Passwort — im Client das Benutzerfeld leer lassen.
Benutzer
Erstellt
Ein gelöschter Benutzer oder ein geändertes Passwort macht dessen Tokens sofort ungültig.
Alle Tokens widerrufen entwertet zusätzlich die per Mandant-Passwort ausgestellten Tokens —
beigetretene Clients müssen dann erneut beitreten, registrierte Geräte fallen auf „default“ zurück.
Gerät bearbeiten
Wird nur lokal in diesem Browser gespeichert — „Verbinden" nutzt es für den direkten Zugriff.
Skript bearbeiten
Skript ausführen
Mandanten
Keine Auswahl = der Benutzer sieht alle Mandanten. Sonst nur die angehakten.
Run-As — Sitzung unter anderem Benutzer
Die Konsole läuft dann als der angegebene Benutzer. Das Passwort wird im Browser mit dem öffentlichen Schlüssel des Geräts verschlüsselt — der Relay-Server sieht es nie im Klartext.
Geräte-Inventar
Version zuweisen
Das Gerät aktualisiert beim nächsten Verbindungsaufbau automatisch auf diese Version — unabhängig von der lokalen Auto-Update-Einstellung. „Keine" entfernt die Zuweisung.
Zugriffs-Passwort setzen
Das eigene Passwort wird nur als gesalzener Hash gespeichert und beim nächsten Verbindungsaufbau übernommen. Ohne eigenes Passwort bleibt das Systempasswort immer aktiv.