Установка программ через gpo

Развертывание приложений средствами групповых политик па примере TightVNC

Сегодня я расскажу о развёртывании программы удаленного доступа TightVNC. Это свободно распространяемое программное обеспечение с открытым исходным кодом. Честно говоря, как программа удаленного доступа она используется достаточно редко. Чаще её применяют как программу для оказания удаленной помощи в локальной сети. Об этом и пойдет речь.

Нам следует определиться с архитектурой операционных систем. В нашем случае будем развёртывать 32-х и 64-х разрядные версии программ. Нам потребуется создать WMI фильтры для правильного назначения будущих групповых политик.

Открываем оснастку управление групповой политикой и переходим в раздел фильтров WMI. Там создаем два новых фильтра со следующим содержимым:

Для 32-разрядных клиентских операционных систем:

select * from Win32_OperatingSystem WHERE ProductType = “1” AND NOT (OSArchitecture = “64-bit”) OR (OSArchitecture = “64-разрядная”)

Для 64-разрядных клиентских операционных систем:

select * from Win32_OperatingSystem WHERE ProductType = “1” AND (OSArchitecture = “64-bit”) OR (OSArchitecture = “64-разрядная”)

Следует определить общедоступный каталог на сервере, откуда компьютеры будут брать дистрибутив. Предоставляем права на чтение для группы «Компьютеры домена». Можно использовать каталог Netlogon контроллера домена.

Загрузка программного обеспечения

Сначала требуется скачать TightVNC. Скачиваем под обе архитектуры и сохраняем в подготовленный каталог. Устанавливать пока ничего не нужно.

Далее нам требуется приложение Orca из Windows Installer SDK. Соответственно идем в интернет и скачиваем Пакет SDK для Windows 10. Запускаем и в выборе компонентов для установки снимаем все галочки кроме MSI Tools.

Хочу заметить, Orca не установилась автоматически. Был только загружен установщик. Неприятно, но ничего: следуем по пути установки Windows Kit и устанавливаем её вручную.

C:Program Files (x86)Windows Kits10bin10.0.18362.0×86

Формирование пакета преобразования

Открываем Orca, в главном меню выбираем пункт Transform — New Transform. Далее через File — Open открываем наш скачанный MSI. В окне появляется список таблиц с обилием значений. Описание значений не составит труда найти в интернете. Опишу те, которыми пользовался лично.

Задаем пароль доступа

В поле SetDataForPasswordsActionSilently мы задаем пароль для удаленного управления. В поле SetDataForControlPasswordsActionSilently мы задаем пароль для редактирования настроек TightVNC. Это необязательное поле, ведь управлять настройками службы могут только администраторы.

Выставляем значение 1 для полей, типов аутентификации, которым мы задали пароли.

Ограничение доступа по IP адресам

При желании можем задать ограничение удаленного подключения по IP адресам. Для этого устанавливаем значение ниже в 1.

Тогда в таблице Registry находим параметр

Там указываем IP адреса или их диапозон и через двоеточие параметр доступа: 0 — разрешен, 1 — запрещен. IP адреса и диапозоны перечисляем через запятую. В примере ниже мы разрешаем удаленное управление только IP адресов 192.168.1.2 и 192.168.1.2. Очень важно кроме разрешения доступа добавить диапозон адресов для запрета доступа. Разрешение не запрещает!

Скрываем фоновый рисунок

Отвечает за скрытие фоновой картинки рабочего стола при подключении. Полезно при плохом соединении. Для этого в обоих параметрах ставим 1.

Сохранение пакета модификации

После настроек всех параметров, выбираем пункт Transform — Generate transform. Полученный MST файл сохраняем в созданный ранее каталог.

Создание групповых политик

Последним этапом будет создание и настройка групповых политик. Как помните, их у нас две: для x86 и x64. Возвращаемся в оснастку управление групповой политикой и две новых политики. Каждой назначаем соответствующий WMI фильтр.

Открываем созданную политику для редактирования и направляемся по пути: Конфигурация компьютера — политики — конфигурация программ — установка программ. Далее выбираем Действие — Создать пакет. Указываем наш MSI, метод развёртывания — особый.

Открывается окно свойств пакета. Нас интересует закладка Модификации, там мы указываем путь до MST файла, сохраненного ранее. Сохраняем настройки.

На этом, пожалуй, всё. При следующей загрузки на компьютеры будет установлен TightVNC с заданными нами настройками.

Пост является копией заметки в моём блоге.

Для 32-разрядных клиентских операционных систем:
select * from Win32_OperatingSystem WHERE ProductType = “1” AND NOT (OSArchitecture = “64-bit”) OR (OSArchitecture = “64-разрядная”)
Для 64-разрядных клиентских операционных систем:
select * from Win32_OperatingSystem WHERE ProductType = “1” AND (OSArchitecture = “64-bit”) OR (OSArchitecture = “64-разрядная”)

2 условия с OR надо в скобки, иначе условия после OR будет достаточно и выберется по нему:

WHERE ProductType = “1” AND NOT (OSArchitecture = “64-bit” OR OSArchitecture = “64-разрядная”)

WHERE ProductType = “1” AND (OSArchitecture = “64-bit” OR OSArchitecture = “64-разрядная”)

Жаль с GPO так много проблем в плане установки софта. Только MSI пакеты, никакой обратной связи, очень часто установка проходит некорректно, но записывается что GPO отработала. Потом целый квест накатить повторно.

С .exe геморрой, обновление версий геморрой. Раскатить софт который уже установлен на части рабочих станций – геморрой.

Установка только при ребутах.

При любой возможности лучше какой-то другой вариант использовать: SCCM, касперский endpoint security или еще что захочется.

Когда давным давно админил, ставил ПО через задачу в планировщике, куда выкладывал скрипт (vbs/powershell). В скрипте проверялась версия установленного пакета через WMI, производилась установка с выгрузкой лога в случае неудачи на спец шару и прочими ништяками. Но это для нищебродских контор.

А сейчас актуальны VDI/доставка приложений, типа Citrix/VMwareHorizon. Все в разы упростилось.

TightVnc ставится через msi без всяких проблем. А настройки – экспортируется реестр через gpo. Больше писанины. Зачем? Тем более можно в любое время поменять настройки.

Я так тоже делал, когда в gpo не умел.

Экспорт реестра геморней

Сейчас все переезжают на Intune в плане доставки пакетов. Для модификации MSI позвольте посоветовать бесплатную InstedIt. Скачивайте и сразу ставите и плюс супер мощный функционал: не чета орке.

RealVNC. До 5 устройств на аккаунт в бесплатной версии.

Я использую Быструю помощь в WIndows 10

есть инфа как политиками через повершелл из репозитория ставить и обновлять пакеты?

Из какого репозитория? Chocolately? OneGet?

@mfc166, А может рассказать, что у тебя в политике “длинные пути WIN32″ и зачем она нужна? Спасибо.

Эта политика отключает проверку MAX_PATH. Таким образом появляется возможность работы с файлами, путьи которых превышают 260 символов.

Возможность появилась ещё в Windows 10 1607.

Когда-то формат 8.3 был стандартом. Времена меняются и до тебя десятка доберется.

Точняк, как раз о прекращении поддержки Windows 7 Мелкомягкие заявили – https://support.microsoft.com/ru-ru/help/4057281/windows-7-s.

Citrix WinFrame

В наше время все уже привыкли к протоколу RDP. Кому-то он даёт возможность удалённой работы, кому-то возможность удалённого администрирования. Как SSH в Linux, RDP стал чем-то стандартным и привычным в Windows среде. Но так было не всегда.

RDP был создан в 1998 году и вошёл в состав Windows NT 4.0 Terminal Server. Так вот, если в ней открыть окно «О программе» (winver.exe), то можно увидеть, что к разработке системы приложила руку Citrix Systems. Протокол RDP был основан на технологиях компании Citrix.

Citrix приобрела лицензию на исходные коды Windows NT 3.51 и выпустила её под названием WinFrame, прикрутив к ней сервер приложений. В остальном, это уже привычная нам Windows NT 3.51 Server. Замечу, что возможность быть контроллером домена в ней выпилили. Можете считать, что WinFrame — это лицензионная сборка Windows NT 3.51.

Winframe позволяет удалённо работать с приложениями в режиме удалённого рабочего стола и в режиме опубликованного приложения (типа RemoteApp).

Читать еще: Установка процессора в сокет 1151

Список поддерживаемых клиентских операционных систем огромен, так как используется протокол ICA. То есть можно удалённо работать в Microsoft Office с документами на сервере, используя для этого DOS или Macintosh.

Сервер предлагает множество настроек и по-настоящему огромный функционал. Ещё на стадии установки он предлагает сменить буквы дисков так, что-бы пользователи не путали свой системный диск с диском терминала.

В сервере есть балансировщик, но он требует отдельной лицензии. Возможность теневого подключения к пользовательской сессии позволяет увидеть содержимое сессии пользователя и оказать ему помощь при необходимости. Приложение Citrix Server Administration обеспечивает возможность управлять пользовательскими сеансами и процессами.

Сервер обеспечивает проброс дисков, принтеров, звука, портов и буфера обмена.

Я опубликовал блокнот, давайте посмотрим настройки, доступные для опубликованного приложения.

Теперь создадим дискету с клиентом удалённого доступа, используя предназначенное для этого приложение.

Установка клиента ничем не примечательна — обычный дистрибутив на двух дискетах. Перейдём к клиенту. После непродолжительной настройки, авторизовавшись на сервере, я получил удалённо запущенный блокнот.

Режим бесшовного окна

Уже по заголовку окна понятно, что он не из этой системы — элементы управления окном явно указывают на принадлежность к Program manager. В диалоговом окне сохранения документа виден иной алгоритм именования дисков, более понятный пользователю.

Режим удалённого рабочего стола

Теперь попробуем войти на удалённый рабочий стол. Полноэкранный вход не так показателен, так как не понятно, откуда идёт подключение — войдём в оконном режиме 800х600.

Технология, честно говоря, очень крутая. По функционалу не только не уступает службам терминалов, которые появятся несколько позже, но и превосходят их. Режим RemoteApp, появится в Windows Server 2008 девять лет спустя.

Этот пост – копия заметки из моего блога.

Очень хорошо про Citrix WinFrame написано тут.

Установка программ с помощью групповых политик

Прежде чем приступить к описанию процесса установки ПО с помощью групповых политик, оговорим, что распространение ПО на с помощью политик не всегда является оптимальным решением и имеет ряд ограничений. Вот несколько основных недостатков этого метода установки софта:

1. Невозможность планирования установки ПО. При установке софта при помощи групповой политики, установить или деинсталлировать ПО можно только при следующей загрузке системы. Поэтому практически невозможно, организовать массовое обновление какого-либо ПО, например, в ночное время, когда нагрузка на сеть минимальная. В этом случае лучше использовать, например, SCCM. Используя окна обслуживания (maintenance) или настройки WOL(Wake On LAN).

2. Поддерживаются только MSI и ZAP установщики. Формат дистрибуции приложений в групповых политиках– это лишь популярный MSI installer и менее известные пакеты ZAP. В этом случае опять предпочтительнее использование SCCM, т.к. он поддерживает использование всех возможных установщиков.

3. Фиксированный порядок установки приложений. При добавления нового приложения в объект групповой политики, оно устанавливается на ПК последним, и поменять этот порядок нельзя.

4. Отсутствие контроля. При установке ПО через групповую политику, пакет установщика выполняется на целевом компьютере, однако какая-либо обратная связь отсутствует. Поэтому вы с уверенностью не сможете сказать установилось ли ваше ПО на конкретном компьютере или нет.

Итак, после того, как вы познакомились с основными недостатками установки софта средствами групповых политик, перейдем к конкретному примеру. Отметим, что с помощью групповых политик правильно было бы устанавливать общесистемное ПО, которое используется на всех ПК организации, это может быть, например, антивирусный агент, клиент SCCM или InTune. В данной статье мы будем описывать установку агента InTune.

Windows InTune – это новый сервис Microsoft, предназначенный для служб ИТ, позволяющий управлять и осуществлять мониторинг компьютеров с помощью веб консоли. Этот сервис зачастую называют «облачным» SCCM, причем эта облачная служба позволяет управлять множеством рабочих станций без необходимости создания серверной инфраструктуры.

Т.к. ни одна из компонент InTune не устанавливается на сервера, поэтому все что нужно – это расставить клиентов InTune на рабочих станциях. Естественно, его можно расставить вручную, но если в вашей организации больше чем 10 ПК, то это может превратиться в головную боль. Поэтому мы попытаемся организовать процесс установки Windows InTune с помощью групповых политик.

Настраиваем дистрибутив для установки с помощью Group Policy

1. Качаем дистрибутив клиента InTune Client.

2. Жмем правой кнопкой по файлу “Windows_Intune_Setup.zip” и выбираем “Extract All”

3. Распаковываем содержимое файла Windows_Intune_Setup.exe в текущую папку, набрав команду “Windows_Intune_Setup.exe /extract .”.

4. Копируем файлы (список их ниже) на сетевую папку, с которой будет производиться установка.

Совет: Для корректной работы необходимо, чтобы группа “Domain Computers” имела права на чтение из указанной сетевой папки, иначе ПК организации не смогут скачать и установить эти файлы.

Настраиваем групповую политику для установки ПО

5. Перейдите в режим редактирования групповой политики, применяемой к целевым компьютерам, на которые вы хотите установить клиент InTune.

6. Перейдите в раздел “Computer Configuration > Policies > Software Settings > Software installation”. Щелкните правой кнопкой по элементу “Software installation”, выберите “New>Packages”

7. Выберите сетевую папку, в которую вы поместили файлы установщика, найдите и укажите файл “Windows_Intune_X64.msi” и затем нажмите “Open”

8. Выберите опцию “Advanced” и нажмите “OK”

9. Т.к. в данном случае мы устанавливаем 64 битную версию клиента,рекомендуется добавить к имени приложения постфикс “x64”.

10. Согласимся с настройками по-умолчанию и нажмем “OK”

В результате у вас получится примерно такая картинка.

И данное ПО будет установлено на компьютеры, к котором применяется данная политика, при следующей перезагрузке ПК.

Установка при помощи групповых политик (Group Policy Object)

Подобная установка агентов учета рабочего времени удобна в том случае, если у вас есть хорошо настроенный домен, и вы имеете достаточный опыт системного администрирования.

Важно, чтобы все действия выполнялись под учетной записью пользователя с полномочиями администратора сервера. В противном случае могут возникнуть проблемы с установкой агентов на компьютеры домена.

Получите файл .msi, нажав в веб-интерфейсе системы CrocoTime раздел “Настройки” > “Сотрудники” и нажмите кнопку “Скачать агент” > “Пакет GPO”. Вам понадобится ввести адрес и порт сервера CrocoTime в формате http://server:port. После ввода адреса для загрузки будут доступны две ссылки. Первая — msi-пакет, вторая — модификатор. Модификатор требуется для задания настроек сервера агенту. При загрузке модификатора браузерами, например, Internet Explorer или Google Chrome может выдаваться сообщение “Не удалось проверить издателя программы”. Сохраните файл в любом случае.

Полученные файлы переместите в папку, откуда будет происходить установка. Внимание, модификатор следует получать только через web-интерфейс системы CrocoTime! Если вы найдете mst файл где-то сами, то вероятно, работать он не будет.

Откройте оснастку “Управление групповой политикой”, как показано на рисунке.

В открывшемся окне в дереве консоли разверните узел “Лес: %имя леса%”, узел “Домены”, затем узел с названием вашего домена, после чего перейдите к узлу “Объекты групповой политики”. В узле “Объекты групповой политики” создайте объект GPO”CrocoTime Agent”.

Введите имя нового объекта GPO.

После этого в оснастке “Управление групповой политикой” выберите созданный вами ранее объект GPO, нажмите на нем правой кнопкой мыши и выберите команду“Изменить” из контекстного меню для открытия оснастки “Редактор управления групповыми политиками”:

В оснастке “Редактор управления групповыми политиками” разверните узел Конфигурация пользователяПолитикиКонфигурация программ, перейдите к узлу“Установка программ”, нажмите на этом узле правой кнопкой мыши и из контекстного меню выберите команды “Создать” и “Пакет”, как показано на следующей иллюстрации:

Читать еще: Ошибка установки MSI

В отобразившемся диалоговом окне “Открыть” перейдите к подготовленной ранее точке распространения программного обеспечения и выберите файл установщика Windows, используя который, будет установлено программное обеспечение. На этом этапе обратите внимание на две особенности. Во-первых, для развертывания агентов системы учета рабочего времени СrocoTime, вам нужно выбрать файл agent_installer.msi, который расположен в выбранной вами папке (Общий доступ к этой папке должен быть открыт). Второй, более важный момент: при выборе папки вам нужно указывать не букву локального диска на своем контроллере домена (в том случае, если инсталляционный пакет расположен именно на контроллере домена), а именно сетевой путь, так как это расположение публикуется для клиентских компьютеров;

Сразу после выбора *.msi-файла вам будет предложен способ развертывания программного обеспечения. В отобразившемся диалоговом окне “Развертывание программ” вы можете выбрать один из следующих методов: “публичный”, “назначенный”или “особый”. Выберите метод “особый”, как показано на следующей иллюстрации:

В диалоговом окне свойств установочного пакета, которое всплывет через несколько секунд после указания метода развертывания, необходимо указать дополнительные параметры, используемые при установке агента системы CrocoTime.

Во вкладке “Развертывание” нажмите кнопку “Дополнительно” и активируйте чекбокс“Сделать это 32-разрядное х86 приложение доступным для компьютеров с архитектурой Win64”.

Во вкладке “Модификации” нажмите кнопку “Добавить” и укажите путь до файла модификатора server_settings.mst.

Во вкладке “Обновления” в окне “Приложения, обновляемые данным пакетом” удалите все параметры, окно должно быть пустым. Приложение будет заменяться на новую версию

После того как вы внесли все необходимые изменения, нажмите кнопку “ОК”. Окно редактирования политики должно иметь такой вид:

Последнее, что нужно сделать, это связать объект групповой политики с доменом, а также в фильтре безопасности указать группы пользователей, для компьютеров которых будут развертываться агенты системы учета рабочего времени CrocoTime. Закройте оснастку“Редактор управления групповыми политиками” и свяжите с доменом (или группой компьютеров в домене) созданный объект групповой политики.

Для этого, в дереве консоли оснастки “Управление групповой политикой” выберите ваш домен (или группу компьютеров внутри домена), нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду “Связать существующий объект групповой политики”.

В отобразившемся диалоговом окне “Выбор объекта групповой политики” выберите данный объект групповой политики и нажмите на кнопку “ОК”.

Теперь выберите связанный объект групповой политики (СrocoTime Agent) в узле“Объекты групповой политики”, перейдите на вкладку “Область” и в группе “Фильтры безопасности” добавьте те группы пользователей, на компьютеры которых должен установиться агент системы учета рабочего времени CrocoTime.

Закройте окно Управление групповой политикой и откройте командную строку Windows. В командной строке введите команду “gpupdate /force”. Сервер сообщит, что он не сможет применить политику установки без перезагрузки и предложит перезагрузиться. Введите в командную строку “y” (в английской раскладке) и нажмите клавишу “Enter”. Система будет перезагружена через 1 минуту после ввода команды. Либо просто перезагрузите сервер через меню “Пуск”.

После перезагрузки сервера политика будет применена. Установка агента системы учета рабочего времени CrocoTime на компьютеры пользователей начнется после того, как пользователи выйдут из системы и заново войдут в нее, либо когда их компьютеры будут перезагружены.

Как удалить модуль сбора статистики?

Чтобы удалить агенты системы учета рабочего времени CrocoTime при помощи GPO, нужно в оснастке “Редактор управления групповыми политиками” развернуть узел Конфигурация пользователяПолитикиКонфигурация программ, перейти к узлу“Установка программ” и нажать на этом узле левой кнопкой мыши. В окне отобразится ваш установленный агент. Нажмите на нем правой кнопкой мыши и из всплывающего меню выберите “Все задачи” => “Удалить”.

После этого всплывет окно “Удаление приложений”. Выберите в этом окне параметр“Немедленное удаление этого приложения с компьютеров всех пользователей”.

Закройте окно Редактора управления групповой политикой и откройте командную строку Windows. В командной строке введите команду “gpupdate /force”. Сервер сообщит, что он не сможет применить политику установки без перезагрузки и предложит перезагрузиться. Введите в командную строку “y” (в английской раскладке) и нажмите клавишу “Enter”. Система будет перезагружена через 1 минуту, после ввода команды. Либо просто перезагрузите сервер через меню “Пуск”.

После перезагрузки групповая политика будет применена. Удаление агентов системы учета рабочего времени CrocoTime c компьютеров пользователей начнется после того, как пользователи выйдут из системы и заново войдут в нее, либо когда их компьютеры будут перезагружены.

Откройте оснастку “Управление групповой политикой”. В открывшемся окне перейдите к узлу “Объекты групповой политики”. В узле “Объекты групповой политики” удалите объект GPO “CrocoTime Agent”.

Удаление агентов системы учета рабочего времени CrocoTime завершено.

Блог о системном администрировании. Статьи о Linux, Windows, СХД NetApp и виртуализации.

Доброго времени, уважаемые читатели блога! В данном посте буду собирать ссылки на софт, который удалось заставить устанавливаться или обновляться через GPO Active Directory. Админ, однако, очень не любит ручной труд, который можно автоматизировать, особенно если он однообразен и нуден.

Очень часто выходят обновления для таких компонентов, как Adobe Flash, которые являются потенциальной дырой в браузерах пользователей. Заставить устанавливать такой компонент – пользователя равносильно тому, что совсем его не обновлять. К тому же, необходимы права администратора для данного действия, а пользователь работающий под админом в сети предприятия – это зло, которое так и пытается положить вашу сеть при очередной посещении зловредных ресурсов. И Adobe Flash – это не единственный пример. Посему мы упростим работу себе и обеспечим актуальное состояние софта на рабочих станциях в сети.

Кратко расскажу о установке программ средствами групповых политик Active Directory, назначение пакетов MSI компьютерам (assigning to computer) (взято отсюда ):

скопируйте к себе на компьютер файл Microsoft Installer (MSI) программного обеспечения Wininstaller. Поместите этот файл в каталог C:Distrib на своем компьютере и расшарьте его как \имя_вашего_компьютераDistrib$;
создайте групповую политику WinInstaller, которая бы устанавливала программное обеспечение Wininstaller на все компьютеры вашего домена в режиме назначения для компьютера и произведите установку при помощи этой групповой политики на свой компьютер.

После создания общего каталога и копирования откройте Group Policy Management Console, щелкните правой кнопкой мыши по узлу вашего домена и в контекстном меню выберите Create and Link a GPO here. Присвойте создаваемое групповой политике название Wininstaller.
Щелкните правой кнопкой мыши по объекту созданной групповой политики и в контекстном меню выберите Edit. В окне Group Policy Object Editor раскройте узел Computer Configuration -> Software Settings -> Software installation , щелкните правой кнопкой мыши по узлу Software Installation и в контекстном меню выберите New -> Package.
В окне Open введите путь к пакету MSI: \имя_вашего_компьютераDistrib$SWIADMLE.MSI и нажмите Open.
В окне Deploy Software установите переключатель в положение Advanced и нажмите OK.
В окне WinInstall Properties просмотрите все вкладки и нажмите OK. Закройте окна Group Policy Object Editor и Group Policy Management Console с сохранением внесенных изменений и перезагрузите компьютер. В процессе запуска обратите внимание на строку Installing Managed Software WinInstall, которая появится после строки Applying Computer Settings.
После окончания перезагрузки обратите внимание, что в меню Programs появилась новая группа программ.

Читать еще: Принудительная установка gvlk Windows 7

Если есть желание углубиться в познание AD и GPO, можно ознакомиться с курсом: http://www.intuit.ru/department/os/sysadmswin/, или http://www.intuit.ru/goto/course/netmsserver2003/

Ну что ж, начнем с добычу пакетов MSI:

7-Zip – http://www.7-zip.org/download.html (так же, для пользователя применил скрипт Ассоциации файлов и локализация 7-zip)
Adobe Flash Player – http://www.adobe.com/products/flashplayer/fp_distribution3.html (по ссылке и Flash Plugin и ActiveX)
Adobe Reader – https://acrobat.adobe.com/ru/ru/acrobat/pdf-reader/volume-distribution.html (необходимо оформить бесплатную лицензию)
ftp://ftp.adobe.com/pub/adobe/reader/win/AcrobatDC/1902120058/
(обновления версий в подкаталогах) наложение обновлений Reader:

> mkdir C:TempAdobeReader
> cd C:TempAdobeReader
> msiexec /a AdbeRdr1000_ru_RU.msi TARGETDIR=c:TempAdobeReaderUpdated
> msiexec /a c:TempAdobeUpdatedAdbeRdr1000_ru_RU.msi /p C:TempAdobeReaderAdbeRdrUpd1001_Tier4.msp

Google Chrome – https://www.google.com/intl/en/chrome/business/
JAVA – http://www.java.com/ru/download/ (после распаковки инсталлера, msi в C:Users AppDataLocalLowSun, инструкшн: http://www.java.com/ru/download/help/msi_install.xml)
Mozilla Firefox – http://frontmotion.com/FMFirefoxCE/download_fmfirefoxce.htm
Notepad++ – https://www.hass.de/content/notepad-msi-package-enterprise-deployment-available
OpenOffice – http://www.i-rs.ru/download или http://ru.openoffice.org/ (после распаковки установщика – готовый MSI)
Примечание, возможна ошибка установки OpenOffice на Windows 7.
Opera – http://ftp.opera.com/pub/opera/win/ (в каталоге _версия_/autoupdate лежит MSI)
Paint.NET – exe берем отсюда: http://paintnet.ru/download/, MSI создаем по инструкции: http://paint-dot-net.narod.ru/help_ru/p5_Install.htm:

> mkdir C:TempPaintNET
> cd C:TempPaintNET
> C:TempPaintNETPaintNET.exe /createMsi CHECKFORUPDATES=0
> забираем готовые MSI с рабочего стола

ДубльГИС – http://krasnodar.2gis.ru/how-get/download/ (мануал http://help.2gis.ru/pc/full/install/corporative/)

Upd 2011.07.01: добавил Opera
Upd 2012.02.23: добавил Chrome
Upd 2018.07.24: добавил Notepad++

Установка ПО через GPO

Здравствуйте уважаемые коллеги!

Ищу решение своей проблемы уже давно, и может тут кто подскажет.
В общем есть АД. в нем есть ГПО на установку ПО. Если удалить ПО, которое было установлено средствами ГПО, то после перезагрузки оно заново не ставится, и не поставится вообще. Подскажите где собака зарыта?

Установка программ по умолчанию GPO
Доброго времени суток! Стоит задача настроить программы по умолчанию для всех ПК в сети. Через GPO.

Управление учетными записями через GPO
Добрый день! Можно ли как-то через GPO настроить, чтобы пользователь домена мог заходить только на.

Развёртывание Microsoft Office 2007 через GPO
Не могу понять как устанавливать только нужные компоненты, через setup.exe /admin указал путь.

Разрешения для папки Program Files через GPO
Windows Server 2008, создаю GPO для учеников (максимальная ограниченность), но некоторые программы.

переназначить установку программы в редакторе групповых политик

Добавлено через 35 минут
Если это было ПО которое используется для открытия каких то спецефичных файлов то можно поставить в свойствах пакета “Автоматически устанавливать приложения при обращении к файлу с соответствующим расширением”

переназначал, делал новый контейнеры и на них новые ГПО – одна петрушка, раз установилась и все. если удалил, то заново не ставится

Добавлено через 1 минуту
если сравнивать к примеру с брэндмауэром, то если его в ГПО отключили, а потом под админом включили на ПК, то после перезагрузки ПК он заново откл. будет

а нельзя воспользоваться чем то вроде sccm? или wsus

или той же политикой права назначить чтобы программу эту нельзя было удалить

по умолчанию пользователь не может удалить ПО, равносильно как и установить. Так вообще ГПО разово устанавливает ПО или каждый раз сравнивает политику сервера со своей, и если что то отсутствует, то устанавливает?

Добавлено через 1 минуту
в моей организации 2 домена, из них 1 я сам лично поднимал. Но в обоих ПО в ГПО устанавливается разово. так может это нормально? или нет?

В общем я так понимаю что никто не знает?

Добавлено через 3 минуты
логон -скрипт можно, но как минимум пользователь становится лок. админом – это не выход из ситуации. А если ПО надо удалить, обновить? Зачем же тогда ГПО, раз так все работает не пойми как?

Добавлено через 13 минут
Я уже перерыл кучу информации о том как установить ПО средствами групповых политик. Но нигде не нашел информации о том если удалить ПО которое было установлено ГПО, что будет дальше?

. просто если это нормальное поведение ГПО, то тему я бы закрыл и не задавал лишних вопросов

Установка программ через gpo

Сергей Вессарт | Опубликовано 10.01.2014 в рубрике Новые возможности

Друзья, в продолжении темы пошаговых инструкций давайте рассмотрим создание групповой политики для установки ЛОЦМАН:ПГС.

Как и в прошлый раз, в наших примерах мы будем использовать контроллер домена на Microsoft Windows Server 2008 и клиент Microsoft Windows 7.

Для начала скачайте актуальную версию ЛОЦМАН:ПГС (ссылка) и сохраните её по сетевому пути, доступному пользователям домена.
Создайте групповую политику для публикации приложения.
Для создания групповой политики необходимо открыть Server Manager (Диспетчер сервера), перейти в раздел Features — Group Policy Managment (Компоненты — Управление групповой политикой) и на домене выполнить команду Create a GPO in this domain, and Link it there… (Создать ОГП в документе и связать его…).

Введите название политики, например «Install software».
Выполните команду Edit (Изменить) на созданной политике.
В открывшемся окне Group Policy Management Editor (Редактор управления групповой политики), перейдите в секцию «Computer Configuration — Policies — Software Settings — Software installation» (Конфигурация компьютера — Политики — Конфигурация программ — Установка программ) и выполните команду «New — Package» (Создать — Пакет). Затем укажите сетевой путь до пакета установки заданный в пункте №1 и выберите метод развертывания «Assigned» (Назначенный).
Если Вы устанавливаете ЛОЦМАН:ПГС на не русифицированную операционную систему, включите параметр «Не использовать языковые установки при развертывании». Для этого, откройте свойства пакета установки, перейдите на вкладку «Deployment» (Развертывание) и в дополнительных опциях поставьте галочку Ignore language when deploying this package.
Для «тихой» установки драйвера принтера печати, необходимо добавить сертификат ASCON JSC в доверенные издатели с помощью групповой политики.
Для этого, скачайте сертификат по ссылке. Откройте Group Policy Management Editor, перейдите в секцию «Computer Configuration — Policies — Windows Settings — Security Settings — Public Key Policies — Trusted Publishers» (Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Политики открытого ключа — Доверенные издатели) и выполните команду «Import» (Импорт).

В открывшемся окне нажмите Next.
Укажите путь до сертификата.
Next.
Finish.
Сертификат добавлен.
Закройте редактор групповой политики и в Server Manager при необходимости ограничьте круг пользователей или компьютеров, на которые будет применена политика. Как пример, ниже показана политика, которая будет распространена только на ПК NEWDOMAINCOMPUTER.

Групповая политика создана, проверим как она работает.
Перезапустите клиентский ПК.
В меню ПУСК появился ярлык ЛОЦМАН:ПГС, а в списке принтеров новый принтер — Loodsman XPS.