Установка программ через gpo

Содержание

Установка приложений с .EXE-инсталляторами средствами GPO

Установка программ через gpo

Ни для кого не является секретом то, что в организациях установка приложений на клиентские компьютеры должна быть (или, если честно, то рекомендуется, чтобы была) автоматизированной. Естественно, комплексные продукты, например, такие как Microsoft System Center Configuration Manager, могут превосходно справляться с такой задачей, однако ведь всегда были, есть и будут организации, которые по той или иной причине не приобрели себе такой продукт.

Поэтому приходится устанавливать программные продукты с помощью тех же штатных средств операционных систем Windows, и для выполнения такой задачи предпочтительными становятся функциональные возможности групповой политики.

Также все прекрасно знают и о том, что при помощи расширения клиентской стороны Group Policy Software Installation GPSI, приложения можно развертывать на клиентские машины двумя методами: либо путем публикации только для пользователей, либо при помощи назначения для пользователей или компьютеров.

Для чего нужны ZAP-файлы?

По большому счету, для публикации приложений можно использовать как MSI-инсталляторы, так и *.zap-файлы, причем оба пакета установки обрабатываются по-разному. Например, файл пакета установки программного обеспечения MSI содержит базу данных со всеми необходимыми инструкциями по установке или удалению приложения, а за установку программы на клиентском компьютере отвечает служба «Установщик Windows», использующая для чтения файлов *.msi библиотеку Msi.dll.

Соответственно, на основании объявленной в инсталляционном пакете информации данная служба копирует файлы программы на жесткий диск, а также вносит изменения в реестр и выполняет прочие задачи, указанные в инсталляторе. Чаще всего вся информация, указанная в инсталляционном msi-файле, задается разработчиком устанавливаемого программного продукта.

Однако, так как не все производители программного обеспечения используют инсталляционные файлы установщика Windows, в некоторых случаях может понадобиться создавать пакеты низкоуровневых приложений на основе инициативы нулевого администрирования (в оригинале это звучит как ZAW – Zero Administration for Windows), то есть *.zap-файлы, являющиеся текстовыми файлами с необходимыми инструкциями по установке приложения.

После создания такого файла его необходимо поместить в папку с инсталляционным пакетом, чтобы расширение клиентской стороны смогло выполнить инструкции по установке, после публикации которого приложение появится в компоненте панели управления «Программы и компоненты», и пользователи смогут его установить.

Но, в отличие от MSI-инсталлятора, у zap-файлов есть такие существенные ограничения, как, например, то, что у вас не получится настроить процесс установки приложения, если инсталлятор не содержит параметров установки.

Сразу хотелось бы отметить, что данный метод не настолько гибкий, как установка программного обеспечения при помощи инсталляционных пакетов MSI, однако, в том случае, если у вас нет возможности сконвертировать инсталляционный файл, а приложение обязательно должно быть централизовано развернуто, такой метод может оказаться как никогда кстати. Ввиду того, что в такой текстовый файл вносятся инструкции по установке существующего exe-файла, как для 32-, так и для 64-разрядных приложений, возможности инсталляции программных продуктов при помощи данного метода не предусматривают следующие возможности:

  • Запуск приложений с повышенными привилегиями;
  • Откат изменений при неудачном процессе установки программного обеспечения;
  • Обнаружение повреждения процесса инсталляции и последующее восстановление данного процесса;
  • Установка компонентов программного обеспечения при первом обращении к последнему;
  • Использование и внедрение файлов трансформации.

И это лишь основная часть тех вещей, которые вы не сможете выполнять во время развертывания программного обеспечения средствами ZAP-файлов. Между прочим, развертывание приложений таким образом можно реализовать лишь путем публикации приложений.

Так что пользователи, как я уже упомянул несколькими строками выше, смогут установить такие продукты непосредственно из страницы «Install a program from the network» компонента панели управления «Программы и компоненты».

Прежде чем как мы с вами начнем создавать такой файл и пробовать при помощи него, исключительно в тестовых целях, развертывать такой программных продукт, как Irfan View, думаю, будет правильно, если я сейчас немного расскажу о структуре таких файлов. В таком файле обязательными являются только первые две строки, где будут указаны такие параметры, как:

  • FriendlyName – то есть, это имя, которое будет отображаться в компоненте панели управления «Программы и компоненты»;
  • SetupCommand – здесь определяется путь к файлу установки приложения. Естественно, при необходимости вы можете указать как путь UNC, так и использовать сопоставленный диск. Также, если приложение можно устанавливать с дополнительными параметрами, эти параметры следует указывать после пути установки.

Другими словами, при использовании этого метода вам предварительно следует изучить все дополнительные параметры инсталляционных файлов для каждого продукта.

Помимо этих двух параметров, для того, чтобы в расширении CSE «Установка программ» или в компоненте панели управления «Программы и компоненты» отображалась версия приложения и прочая информация, во время написания такого файла вы можете добавить еще и несколько дополнительных параметров. Например, следующие необязательные параметры считаются наиболее распространёнными:

  • DisplayVersion = 2.13.1.5. Как вы понимаете, этот параметр отвечает за отображаемую версию программного обеспечения;
  • Publisher – название компании, являющейся производителем приложения. Это название будет отображено в компоненте панели управления «Программы и компоненты», а также в самом расширении клиентской стороны «Установка программ»;
  • URL – естественно, это адрес в сети Интернет, предназначенный для получения дополнительной информации о приложении.

Ограничения ZAP-файлов

Как я уже успел упомянуть, в отличие от установочных пакетов msi, приложения, развёртываемые средствами zap-файлов, нельзя назначать компьютерам или пользователям. Также стоит отметить, что при установке приложения текущим методом запускается стандартная программа установки.

Другими словами, помимо добавляемых параметров, при помощи каких-либо дополнительных параметров этого файла вы не можете настроить процесс установки программного обеспечения. Еще одним ограничением является тот факт, что приложение не может быть установлено от имени учетной записи администратора, что может быть в некоторых случаях крайне неудобно. То есть приложения всегда устанавливаются локальным администратором.

При создании ZAP-файлов вы обязательно должны принять к сведению следующие моменты (о некоторых из них я уже говорил несколькими строками выше):

  • Во-первых, ввиду того, что при помощи выполнения ZAP-файла просто запускается инсталляционная программа, как я уже говорил, данное средство не позволяет выполнять инсталляционный процесс с повышенными правами, что можно реализовать при помощи пакетов MSI. Следовательно, если приложение во время своей установки запросит повышение прав, его смогут проинсталлировать только те пользователи, для которых явно прописано такое разрешение;
  • Во-вторых, ввиду того, что ZAP-файлы являются текстовыми документами, при сохранении такого файла можно случайно создать файл с расширением .zap.txt, что, по вполне понятным причинам, не сможет корректно отработать. Другими словами, убедитесь, что файл будет сохранен с правильным расширением;
  • В-третьих, если у вас в сети есть компьютеры с 64-разрядными операционными системами, вам следует обязательно протестировать процесс установки и работы 32-разрядных приложений на таких операционных системах. Это очень важный этап, так как много 32-разрядных приложений, развертываемых при помощи ZAP-файлов, могут сбоить во время своей установки;
  • И в-четвертых, если при создании ZAP-файла с 32-разрядным программным обеспечением вы не измените его поведение, оно не будет отображаться в компоненте панели управления «Программы и компоненты» под 64-разрядными операционными системами.

Думаю, о назначении и применении этих файлов, предназначенных для публикации программного обеспечения, вы уже узнали кое-какую информацию, и настало время попробовать создать и распространить приложение этим методом.
Процесс развертывания происходит следующим образом: прежде всего, информация о процессе установки программного продукта подробным образом записывается в ZAP-файл. Инсталлятор, естественно, должен находиться в общедоступном расположении, так как в противном случае ничего не выйдет.

Читайте также  Форматирование флешки для установки Windows 10

После этого вам необходимо разместить сгенерированный файл в общедоступной точке распространения программного обеспечения. Это делается для того, чтобы созданный вами объект групповой политики мог локализовать этот файл. И в конце концов, создается сам объект GPO, связывается с необходимым подразделением и при помощи расширения клиентской стороны «Установка программ» распространяемый программный продукт публикуется для пользователей.

Рассмотрим эти процессы, начиная с создания самого ZAP-файла.

Создание ZAP-файла

Публиковать мы сейчас будем, как я написал выше, такой программный продукт, как Irfan View, поэтому предварительно инсталляционный файл желательно откуда-то скачать и разместить в общедоступную папку.Теперь, как я уже говорил, прописав просто путь к исполняемому файлу, во время развертывания программного обеспечения его инсталлятор будет запущен для пользователя.

и последнему придется пройти все этапы мастера перед тем, как программа будет установлена. Для многих пользователей это будет большой проблемой, и по этой причине вместе с путем к инсталляционному файлу нужно указать параметры, предназначенные для тихой установки. Благо, данный программный продукт предоставляет возможность такой установки.

Инсталлятор Irfan View имеет целый перечень различных параметров, которые могут вам помочь во время тихой установки этого продукта. Давайте их рассмотрим:

  • Silent – выполнение тихой установки, то есть без участия пользователя;
  • Folder – папка назначения. Если она при помощи этого параметра не указана, то в таком случае будет использоваться старая папка IrfanView. Если же таковая отсутствует, то используется папка «Program FilesIrfanView»;
  • Desktop – создает ярлык на рабочем столе; 0 = no, 1 = yes (по умолчанию: 0);
  • Thumbs – создает ярлык для режима миниатюр; 0 = no, 1 = yes (по умолчанию: 0);
  • Group – создает группу в меню «Пуск»; 0 = no, 1 = yes (по умолчанию: 0);
  • Allusers – ярлыки на рабочем столе/в меню «Пуск» для пользователей; 0 = для текущего пользователя, 1 = для всех;
  • Assoc – позволяет установить файловые ассоциации; 0 = не устанавливать, 1 = только изображения, 2 = выбрать все (по умолчанию: 0);
  • Assocallusers – если используется этот параметр, то файловые ассоциации устанавливаются для всех пользователей (работает только в Windows XP);
  • Ini – если используется, устанавливает пользовательскую папку для INI файла (допустимы системные переменные).

Следовательно, для установки этого программного обеспечения мы будем использовать примерно такую команду:
iview435_setup.exe /silent /desktop=1 /thumbs=1 /allusers=1 /assoc=1
Теперь, когда мы точно знаем, при помощи какой команды будет происходить установка этого программного продукта, можно приступать к написанию самого zap-файла. Следовательно, чтобы составить такой файл, выполним следующие действия:

  1. Открываем любой текстовый редактор, например, тот же «Блокнот»;
  2. В самой первой строке создаваемого файла указывается секция Application, заключенная в прямоугольные скобки. То есть, записываем в этой строке так: [Application];
  3. Как я уже успел написать выше, здесь две строки являются обязательными, а именно: строка FriendlyName и строка SetupCommand. Как в первой, так и во второй строке значения указываются после равно в кавычках. Знак равно обрамляется пробелами. То есть, получаем такие строки:
    FriendlyName = “Irfan View”
    SetupCommand = “\ИМЯСЕРВЕРАInstall…, а дальше идет имя нашего инсталляционного файла со всеми параметрами “iview435_setup.exe” /silent /desktop=1 /thumbs=1 /allusers=1 /assoc=1

Источник: https://www.pvsm.ru/active-directory/30742

Управление групповыми политиками Active Directory (AD GPO)

Установка программ через gpo

В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server.

Что такое групповые политики и зачем они нужны?

Групповая политика — это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.

Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.

Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу.

Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды.

С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.

Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.

Компоненты GPO

Существует два компонента групповых политик — серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.

Серверный компонент — оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики.

MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее).

Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.

Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения — это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.

Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

  • Централизованная настройка пакета программ Microsoft Office.
  • Централизованная настройка управлением питанием компьютеров.
  • Настройка веб-браузеров и принтеров.
  • Установка и обновление ПО.
  • Применение определенных правил в зависимости от местоположения пользователя.
  • Централизованные настройки безопасности.
  • Перенаправление каталогов в пределах домена.
  • Настройка прав доступа к приложениям и системным программам.

Оснастка Управление групповыми политиками

После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:

gpmc.msc

Нажмите OK.

Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.

Оснастка выглядит следующим образом:

Создание объектов групповой политики

Для создания объекта групповой политики перейдите во вкладку Forest ->Domains -> ->Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.

В открывшемся окне в поле Name введите удобное для вас имя групповой политики.

После этого вы увидите созданный объект в списке.

Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.

В редакторе групповых политик перейдите по иерархии User Configuration ->Policies ->Administrative Templates ->Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.

В открывшемся окне отметьте Enable

Источник: https://1cloud.ru/help/windows/gruppovye-politiki-active-directory

Установка программного обеспечения средствами групповой политики. Часть 7

Установка программ через gpo

Сам процесс установки программного обеспечения, а тем более автоматизации установки, весьма интересен и может включать в себя множество «непредсказуемых нюансов».

Ключи и параметры автоматической установки, скрипты, позволяющие выполнять дополнительную настройку, файлы трансформации и прочие средства позволяют вам упростить процесс инсталляции, тем самым существенно экономя потенциально затрачиваемое время на выполнение различных сценариев.

Само CSE «Установка программ», по большому счету, предоставляет не много возможностей, позволяющих полноценно работать с инсталляционными файлами. Большинство таких возможностей мы уже успели рассмотреть в предыдущих статьях данного цикла, включая настройку самого расширения клиентской стороны, публикацию и назначение программного обеспечения, а также процесс обновления ПО.

По сути, последней темой настоящего цикла является не менее важная задача, а именно удаление проинсталлированного программного обеспечения. По вполне понятным причинам расширение клиентской стороны «Установка программ» позволяет не только устанавливать и обновлять существующее программное обеспечение, а еще и удалять развернутые ранее программы. Делается это также очень просто и с выполнением данной операции у вас не должно возникнуть каких-либо проблем.

Читайте также  Установка kali Linux на флешку с сохранением

Более того, под конец данной статьи вас ждет еще небольшой «бонус», о котором шла речь ранее. Итак,

Удаление проинсталлированных программных продуктов

В этом разделе будет рассматриваться удаление приложения на примере заранее проинсталлированного средствами функциональных возможностей групповой политики простенького XML-редактора под названием «XML Notepad».

Сразу хотелось бы обратить внимание на то, что выполняться такие действия должны в том объекте групповой политики, который уже содержит удаляемое приложение.

Другими словами, создать инсталляционный пакет приложения в одном объекте, а удалить его совершенно в другом, выбрав приложение по аналогии с обновлением, просто невозможно.

Что в таком случае требуется сделать:

  1. В оснастке «Управление групповой политикой» (Group Policy Management) следует выбрать созданный ранее объект групповой политики (в данном примере такой объект будет называться «GPSI-01») и открыть для него редактор управления групповыми политиками;
  2. Здесь, в уже отобразившейся оснастке редактора, следует перейти к узлу «Установка программ» (Software Installation) конфигурации компьютера либо пользователя, в зависимости от того, где именно развертывалось приложение. В настоящем примере это будет узел конфигурации компьютера;
  3. Находясь в этом узле, необходимо локализовать и выделить удаляемое приложение (главное, чтобы в диалоговом окне такого инсталляционного пакета был установлен флажок на опции «Удалять это приложение, если его использование выходит за рамки, допустимые политикой управления» (Uninstall this application when it falls the scope of management)). После этого, для того чтобы выбранное вами приложение было удалено с пользовательских компьютеров, следует из контекстного меню данного приложения выбрать команду «Все задачи» (All tasks), а затем «Удалить» (Remove). Как вы видите на следующей иллюстрации, в диалоговом окне «Удаление приложений» (Remove Software) можно выбрать одну из двух следующих опций:
    • «Немедленное удаление этого приложения с компьютеров всех пользователей» (Immediately uninstall the software from users and computers). В этом случае, в зависимости от узла, из которого выполняется данное действие, будет удалено выбранное приложение при выполнении последующего входа пользователем в систему или перезагрузке компьютера;
    • «Разрешить использование уже установленного приложения, но запретить установку» (Allow users to continue to use the software, but prevent new installations). Здесь же, в свою очередь, вы разрешите пользователям работать с программой, но при условии, что она у них уже проинсталлирована. Если же пользователь удалит это приложение или еще не успел его проинсталлировать, то больше установить его он не сможет.

    Рис. 1. Диалоговое окно удаления программного обеспечения

  4. В нашем случае достаточно будет остановиться на первом варианте, то есть на немедленном удалении программного продукта, где и оставляем установленный по умолчанию переключатель. Сразу после сохранения изменений приложение моментально удалится из области сведений данной оснастки.

После выполнения данных действий следует запустить команду gpupdate с параметрами /force /boot. Как и в случае с обновлением программного обеспечения, добровольно-принудительно будет предложено перезагрузиться.

Чтобы удостовериться, что программа будет полностью удалена с компьютера и ее невозможно будет найти в компоненте «Программы и компоненты», следует немного подождать, пока целевой компьютер перезагрузится.

Аналогично с процессом обновления ПО, как видно на следующей иллюстрации, во время выполнения входа снова должна красоваться надпись «Удаление управляемого программного обеспечения XML Notepad» (Removing managed software XML notepad).

Рис. 2. Процесс удаления ПО

Как следствие, после выполнения входа в систему ярлык с рабочего стола будет удален. На всякий случай можно зайти в окно установки программ панели управления, чтобы убедиться, что этого приложения там тоже нет и что его нельзя будет установить со страницы «Установка новой программы из сети» (Install a program from the network). Все отработало правильно, удаленное при помощи функциональных возможностей групповой политики приложение нигде не фигурирует.

Дополнительный сценарий – запрещаем удалять установленный программный продукт

Как я и обещал, сейчас в качестве бонуса будет рассмотрен последний в этом цикле статей сценарий, в котором будет заново назначен для пользователей редактор XML Notepad, однако с таким условием, чтобы пользователь не смог его удалить при помощи компонента панели управления «Программы и компоненты».

Все эти действия будут выполняться внутри созданного ранее объекта групповой политики «GPSI-01». Как следует поступить для выполнения указанной выше задачи:

  1. Для начала следует открыть для указанного ранее объекта групповой политики редактор GPME. Теперь в оснастке «Редактор управления групповыми политиками» (Group Policy Management Editor), находясь в узле «Установка программ» (Software Installation) конфигурации пользователя, создается новый инсталляционный пакет;
  2. В соответствующем диалоговом окне нужно локализовать инсталляционный файл XMLNotepad.msi. Для создания такого пакета в диалоговом окне «Развертывание программ» (Deploy Software) можно остановиться на опции «особый» (Advanced);
  3. И снова возможности первой вкладки в данном примере нас не сильно интересуют, поэтому сразу следует перейти ко вкладке «Развертывание» (Deployment). Так как изначально было оговорено, что редактор будет назначаться на пользователя, в качестве метода распространения программного продукта выбирается параметр «Назначенный» (Assigned);
  4. Теперь осталось реализовать сценарий, в котором требуется запретить пользователю со своими шаловливыми ручками удалять это программное обеспечение привычным для него способом (здесь подразумевается именно удаление при помощи апплета панели управления «Программы и компоненты»). Помимо этого, как и во всех предыдущих случаях, приложение должно быть удалено лишь в том случае, если пользователь будет перемещаться между организационными единицами, а также, для большего удобства, сейчас необходимо сделать так, чтобы программа автоматически была проинсталлирована сразу после следующего входа в систему. Какие действия на текущей вкладке еще осталось выполнить и что за параметры следует отметить? Исходя из поставленных условий, сейчас необходимо установить уже не два, а целых три флажка. Если быть точнее, это будут: «Удалять это приложение, если его использование выходит за рамки, допустимые политикой управления» (Uninstall this application when it falls the scope of management), «Не отображать этот пакет в окне мастера установки и удаления программ панели управления» (Do not display this package in the Add/Remove Programs control panel), а также «Устанавливать это приложение при входе в систему» (Install this application at logon). Более на данном этапе нас ничего не интересует, то есть можно сохранять все внесенные в пакет изменения. Диалоговое окно с вкладкой развертывания пакета изображено ниже:

    Рис. 3. Вкладка «Развертывания» диалогового окна свойств инсталляционного пакета

Сейчас пришло время проверять. В очередной раз следует выполнить команду Gpupdate с параметром /force (специально для форсированного применения) и немного подождать, пока операционная система предложит выйти из системы.

После выполнения входа программа будет установлена. Это хорошо, половина дела сделана. Остается перейти к панели управления и открыть компонент «Программы и компоненты». Как только пользователь перейдет к этому апплету сразу будет видно, что отсюда мы более не вправе удалять данное приложение. Однако, если пользователь очень захочет это сделать, он пока еще сможет удалить программу, используя файл деинсталляции ПО uninstall.exe.

Чтобы предотвратить такие действия, следует воспользоваться возможностями политик ограниченного использования программ или такого компонента современных операционных систем, как AppLocker. Однако об этих возможностях речь пойдет не в этой статье.

Заключение

Сегодня вы узнали о том, как можно удалить проинсталлированное при помощи расширения клиентской стороны «Установка программ» программное обеспечение, а также каким образом можно так установить программу, чтобы пользователь ее не смог удалить средствами возможностей панели управления.

Глядя на рассмотренные на протяжении семи статей данного цикла возможности, несмотря на все преимущества распространения программного обеспечения средствами групповой политики, можно также найти и множество недостатков, на которые следует обратить свое внимание при планировании распространения ПО.

Читайте также  Создание флешки для установки Windows 10

Например, к одному из таких недостатков можно отнести то, что распространять программное обеспечение средствами групповой политики можно только в домене Active Directory. А если в вашей организации пользователи еще работают под управлением таких операционных систем, как Windows 95/98 или Windows NT, то развернуть приложения для таких клиентов средствами GPO будет невозможно.

Также вы не можете штатными средствами установить программный продукт из exe-инсталлятора, что является очень досадным недостатком. Помимо этого, при развертывании приложений средствами групповой политики вы не можете настроить график установки или распространять приложения при помощи многоадресного сетевого вещания.

Другими словами, распространение программного обеспечения средствами групповой политики не обеспечивает набор определенных функциональных возможностей, которые могут понадобиться для управления программным обеспечением в крупной организации. В таких случаях лучше всего использовать такой продукт, как System Center Configuration Manager.

А если вас заинтересуют дополнительные возможности установки программных продуктов средствам SCCM, я с радостью могу начать рассматривать эту процедуру в новом цикле статей, посвященном установке программного обеспечения, но уже при помощи такого «монстра», как System Center Configuration Manager.

Rating: 9.9/10 (8 votes cast)Установка программного обеспечения средствами групповой политики. Часть 7, 9.9 10 8 ratings

Источник: http://gpo-planet.com/?p=4067

Автоматическая установка программ в домене Windows

Установка программ через gpo

Сервер в кармане, или просто о сложном!

главная — Статьи — Microsoft Windows

Групповые политики

Автор

Иванов Илья, http://bozza.ru, апрель 2010

Вступление

Если в домене Windows установлен WSUS, админ рад и спокоен — дескать, все, обновления ставятся на автомате, трафик снизился, бегать по компам не надо и пр.

В принципе, все осталость то же самое, но ведь не все используют в работе Microsoft Outlook или Internet Explorer (хотя 8-ка очень неплоха). Есть много людей, привыкших работать с почтовиком The Bat!, броузером Opera или Mozilla.

Если встает вопрос об обновлениях — либо это головняк админу в виде беготни к каждому компьютеру для обновления всем, скажем, Opera, либо юзеры должны сидеть под админами (пускай и локальными, не доменными).

Естественно, ни первый, ни второй способы — не выход.

Значит, надо иметь возможность автоматически устанавливать программы на рабочих станциях, причем желательно делать это до того, как пользователь вошел в систему — ведь если он вошел, он уже не захочет перезагружать машину и т.п.

Надо ставить пользователя перед фактом — программа, его любимая Opera, уже обновлена и админа не колбасит, что версия 10.10 почему-то нравится меньше, чем предыдущая. Просто вышло обновление, и его надо применить. Без вариантов.

Самый распространенный вариант ответа на вопрос — КАК? — Конечно, через Active Directory! — скажет вам любой специалист или просто сисадмин. А как через AD? — спросите вы.

А вам скажут — ?! Вы не знаете, как через AD? Да там же просто, через policy! — но больше вам скорее сего ничего не скажут, потому что для большинства советчиков этот вопрос такой же неясный, как и для вас.

И вам ничего не останется, как гуглить до потери пульса, потому что найти огромный фолиант на тему «как развернуть office 2007» в сети корпорации не проблема, а вот просто и в двух словах — редко что найдете. Не без гордости могу сказать, что данная статья как раз одна из немногих кратких и «без наворотов», попадавшихся мне.

Установка программ из MSI

Все изложенное далее относится к работе с инсталляционными пакетами типа MSI (расширение .msi). Файлы MSI есть (или их можно извлечь) для многих программ (Adobe Acrobat, The Bat, Opera, Firefox и пр.).

Предположим, мы хотим автоматически установить (а по мере выхода обновлений, устанавливать обновления) броузер Firefox. Файл msi для Firefox можно взять здесь (в новом окне).

Настройку шаблона .adm я пропущу, т.к. далеко не всегда это нужно, а еще чаще этот шаблон фиг найдешь. В итоге — дефолтные настройки (либо, если будем ставить поверх старой версии — настройки будут сохранены). Шаблон .adm нам не нужен.

Распределяем права доступа

Предполагаю, что все учетные записи компьютеров (кроме контроллеров домена) находятся в OU «OU Office Computers».

Примечание 1:

Почему лучше не использовать исходное размещение компьютеров (Computers — Компьютеры домена в оснастке Active Directory Users and Computers)? Мне удобнее в дальнейшем управлять политиками для групп компьютеров.

К тому же, когда я посещал курсы Microsoft, я видел, что на контроллерах доменов в тестовых системах и в «боевых», настроенных специалистами Microsoft, используются практически только отдельно созданные OU, а не базовые. Я для себя решил повторять опыт специалистов.

Пока мне от этого только удобнее. Естественно, ИМХО.

Примечание 2:

Не всем пользователям нужен Firefox (как не всем нужен The Bat, Opera и пр.). Поэтому создадим в «OU Office Computers» отдельную группу компьютеров, на которые будет установлен Firefox. Для ясности назовем группу GFirefoxComputers. Отмечу, что это будет именно группа, а не вложенное OU!

Расшариваем какую-либо папку на сервере (на рисунке это SoftwareDistibution, а не Mozilla Firefox, как может показаться) и даем группе GFirefoxComputers доступ на чтение, админу — полный доступ (не компьютеру админа, а пользователю — все-таки вы должны иметь возможность по сети заливать на шару файлы ;)).

Вообще, для проверки того, как все вообще работает, можно обойтись и без группы GFirefoxComputers. Просто для того, чтобы сразу не усложнять себе жизнь, и не пенять на групповые политики, если что пойдет не так 😉

Политика правит миром! 

На контроллере домена запускаем редактор групповой политики GPMC.MSC:

… и создаем связанную только с нашим OU «OU Office Computers» групповую политику под названием «Firefox 3.6.3 rus»:

… редактируем нашу политику «Firefox 3.6.3 rus»:

Готовим дистрибутив Firefox для развертывания в сети

В разделе «User Configuration» -> «Software settings» -> «Software Installation» щелкаем правой мышкой и создаем новый объект для установки — наш будущий инсталлятор Firefox.

Выбираем файл MSI, заботливо положенного чьими-то руками в расшаренную папку. Важно: выбирать надо сетевой путь до файла, а не локальный, ведь юзера будут получать доступ к вашей инсталляшке не локально на сервере, а по сети.

Выбираем «Assigned» (Назначенный):

На этом работа с веткой «Software Installation» закончена.

Закрываем все открытые окна на сервере (если не помешает другим задачам, естественно), Пуск -> Выполнить -> gpupdate /force

Установка на рабочих станциях

Далее достаточно просто перезагрузить рабочие станции, чтобы автоматически установился Firefox ДО того, как появится окно для ввода логина/пароля. Иными словами, пользователь будет не в силах чего-то не установить, забыть и пр. Поэтому этот способ так хорош. Вы удаленно решаете, что будет установлено / обновлено на рабочих станциях.

Windows XP бывает не с первой перезагрузки «принимает» нове политики, поэтому можно подойти к юзеру, выполнить команду «gpupdate /force» (не обязательно под админом) и перезагрузить его компьютер.

Обязательно проверьте установку на своем / тестовом компьютере ДО того, как юзеры придут следующим утром, включат компьютеры… а вдруг косяк? Поэтому хотя бы первый раз сначала испытайте на себе.

Дополнительно

Теперь на любой новый компьютер, введенный в состав подразделения OU Office Computers будет установлена последняя версия броузера Firefox. Вам даже не придется ничего делать. Просто и очень полезно.

Таким же образом можно устанавливать практически любой софт, включая Adobe Reader, Adobe Flash Player (которые в обычной ситуации требуют административных прав для установки), The Bat…

да мало ли софта у вас в локальной сети, поддерживать который в актуальном состоянии одна из обязанностей системного администратора.

Нюанс: если вы уже установили какой-либо пакет, в нашем случае Firefox 3.6.3 rus, а через некоторое время вам потребуется его обновить (т.к. рано или поздно выйдет новая версия броузера), сначала удалите политику по установке Firefox 3.6.3, после чего создайте новую. Потом «gpudate /force» и вперед!

Авторизуйтесь для добавления комментариев!

Источник: https://bozza.ru/art-145.html