Установка программ через групповые политики
Развертывание приложений средствами групповых политик па примере TightVNC
Сегодня я расскажу о развёртывании программы удаленного доступа TightVNC. Это свободно распространяемое программное обеспечение с открытым исходным кодом. Честно говоря, как программа удаленного доступа она используется достаточно редко. Чаще её применяют как программу для оказания удаленной помощи в локальной сети. Об этом и пойдет речь.
Нам следует определиться с архитектурой операционных систем. В нашем случае будем развёртывать 32-х и 64-х разрядные версии программ. Нам потребуется создать WMI фильтры для правильного назначения будущих групповых политик.
Открываем оснастку управление групповой политикой и переходим в раздел фильтров WMI. Там создаем два новых фильтра со следующим содержимым:
Для 32-разрядных клиентских операционных систем:
select * from Win32_OperatingSystem WHERE ProductType = “1” AND NOT (OSArchitecture = “64-bit”) OR (OSArchitecture = “64-разрядная”)
Для 64-разрядных клиентских операционных систем:
select * from Win32_OperatingSystem WHERE ProductType = “1” AND (OSArchitecture = “64-bit”) OR (OSArchitecture = “64-разрядная”)
Следует определить общедоступный каталог на сервере, откуда компьютеры будут брать дистрибутив. Предоставляем права на чтение для группы «Компьютеры домена». Можно использовать каталог Netlogon контроллера домена.
Загрузка программного обеспечения
Сначала требуется скачать TightVNC. Скачиваем под обе архитектуры и сохраняем в подготовленный каталог. Устанавливать пока ничего не нужно.
Далее нам требуется приложение Orca из Windows Installer SDK. Соответственно идем в интернет и скачиваем Пакет SDK для Windows 10. Запускаем и в выборе компонентов для установки снимаем все галочки кроме MSI Tools.
Хочу заметить, Orca не установилась автоматически. Был только загружен установщик. Неприятно, но ничего: следуем по пути установки Windows Kit и устанавливаем её вручную.
C:Program Files (x86)Windows Kits10bin10.0.18362.0×86
Формирование пакета преобразования
Открываем Orca, в главном меню выбираем пункт Transform — New Transform. Далее через File — Open открываем наш скачанный MSI. В окне появляется список таблиц с обилием значений. Описание значений не составит труда найти в интернете. Опишу те, которыми пользовался лично.
Задаем пароль доступа
В поле SetDataForPasswordsActionSilently мы задаем пароль для удаленного управления. В поле SetDataForControlPasswordsActionSilently мы задаем пароль для редактирования настроек TightVNC. Это необязательное поле, ведь управлять настройками службы могут только администраторы.
Выставляем значение 1 для полей, типов аутентификации, которым мы задали пароли.
Ограничение доступа по IP адресам
При желании можем задать ограничение удаленного подключения по IP адресам. Для этого устанавливаем значение ниже в 1.
Тогда в таблице Registry находим параметр
Там указываем IP адреса или их диапозон и через двоеточие параметр доступа: 0 — разрешен, 1 — запрещен. IP адреса и диапозоны перечисляем через запятую. В примере ниже мы разрешаем удаленное управление только IP адресов 192.168.1.2 и 192.168.1.2. Очень важно кроме разрешения доступа добавить диапозон адресов для запрета доступа. Разрешение не запрещает!
Скрываем фоновый рисунок
Отвечает за скрытие фоновой картинки рабочего стола при подключении. Полезно при плохом соединении. Для этого в обоих параметрах ставим 1.
Сохранение пакета модификации
После настроек всех параметров, выбираем пункт Transform — Generate transform. Полученный MST файл сохраняем в созданный ранее каталог.
Создание групповых политик
Последним этапом будет создание и настройка групповых политик. Как помните, их у нас две: для x86 и x64. Возвращаемся в оснастку управление групповой политикой и две новых политики. Каждой назначаем соответствующий WMI фильтр.
Открываем созданную политику для редактирования и направляемся по пути: Конфигурация компьютера — политики — конфигурация программ — установка программ. Далее выбираем Действие — Создать пакет. Указываем наш MSI, метод развёртывания — особый.
Открывается окно свойств пакета. Нас интересует закладка Модификации, там мы указываем путь до MST файла, сохраненного ранее. Сохраняем настройки.
На этом, пожалуй, всё. При следующей загрузки на компьютеры будет установлен TightVNC с заданными нами настройками.
Пост является копией заметки в моём блоге.
Для 32-разрядных клиентских операционных систем:
select * from Win32_OperatingSystem WHERE ProductType = “1” AND NOT (OSArchitecture = “64-bit”) OR (OSArchitecture = “64-разрядная”)
Для 64-разрядных клиентских операционных систем:
select * from Win32_OperatingSystem WHERE ProductType = “1” AND (OSArchitecture = “64-bit”) OR (OSArchitecture = “64-разрядная”)
2 условия с OR надо в скобки, иначе условия после OR будет достаточно и выберется по нему:
WHERE ProductType = “1” AND NOT (OSArchitecture = “64-bit” OR OSArchitecture = “64-разрядная”)
WHERE ProductType = “1” AND (OSArchitecture = “64-bit” OR OSArchitecture = “64-разрядная”)
Жаль с GPO так много проблем в плане установки софта. Только MSI пакеты, никакой обратной связи, очень часто установка проходит некорректно, но записывается что GPO отработала. Потом целый квест накатить повторно.
С .exe геморрой, обновление версий геморрой. Раскатить софт который уже установлен на части рабочих станций – геморрой.
Установка только при ребутах.
При любой возможности лучше какой-то другой вариант использовать: SCCM, касперский endpoint security или еще что захочется.
Когда давным давно админил, ставил ПО через задачу в планировщике, куда выкладывал скрипт (vbs/powershell). В скрипте проверялась версия установленного пакета через WMI, производилась установка с выгрузкой лога в случае неудачи на спец шару и прочими ништяками. Но это для нищебродских контор.
А сейчас актуальны VDI/доставка приложений, типа Citrix/VMwareHorizon. Все в разы упростилось.
TightVnc ставится через msi без всяких проблем. А настройки – экспортируется реестр через gpo. Больше писанины. Зачем? Тем более можно в любое время поменять настройки.
Я так тоже делал, когда в gpo не умел.
Экспорт реестра геморней
Сейчас все переезжают на Intune в плане доставки пакетов. Для модификации MSI позвольте посоветовать бесплатную InstedIt. Скачивайте и сразу ставите и плюс супер мощный функционал: не чета орке.
RealVNC. До 5 устройств на аккаунт в бесплатной версии.
Я использую Быструю помощь в WIndows 10
есть инфа как политиками через повершелл из репозитория ставить и обновлять пакеты?
Из какого репозитория? Chocolately? OneGet?
@mfc166, А может рассказать, что у тебя в политике “длинные пути WIN32″ и зачем она нужна? Спасибо.
Эта политика отключает проверку MAX_PATH. Таким образом появляется возможность работы с файлами, путьи которых превышают 260 символов.
Возможность появилась ещё в Windows 10 1607.
Когда-то формат 8.3 был стандартом. Времена меняются и до тебя десятка доберется.
Точняк, как раз о прекращении поддержки Windows 7 Мелкомягкие заявили – https://support.microsoft.com/ru-ru/help/4057281/windows-7-s.
Citrix WinFrame
В наше время все уже привыкли к протоколу RDP. Кому-то он даёт возможность удалённой работы, кому-то возможность удалённого администрирования. Как SSH в Linux, RDP стал чем-то стандартным и привычным в Windows среде. Но так было не всегда.
RDP был создан в 1998 году и вошёл в состав Windows NT 4.0 Terminal Server. Так вот, если в ней открыть окно «О программе» (winver.exe), то можно увидеть, что к разработке системы приложила руку Citrix Systems. Протокол RDP был основан на технологиях компании Citrix.
Citrix приобрела лицензию на исходные коды Windows NT 3.51 и выпустила её под названием WinFrame, прикрутив к ней сервер приложений. В остальном, это уже привычная нам Windows NT 3.51 Server. Замечу, что возможность быть контроллером домена в ней выпилили. Можете считать, что WinFrame — это лицензионная сборка Windows NT 3.51.
Winframe позволяет удалённо работать с приложениями в режиме удалённого рабочего стола и в режиме опубликованного приложения (типа RemoteApp).
Список поддерживаемых клиентских операционных систем огромен, так как используется протокол ICA. То есть можно удалённо работать в Microsoft Office с документами на сервере, используя для этого DOS или Macintosh.
Сервер предлагает множество настроек и по-настоящему огромный функционал. Ещё на стадии установки он предлагает сменить буквы дисков так, что-бы пользователи не путали свой системный диск с диском терминала.
В сервере есть балансировщик, но он требует отдельной лицензии. Возможность теневого подключения к пользовательской сессии позволяет увидеть содержимое сессии пользователя и оказать ему помощь при необходимости. Приложение Citrix Server Administration обеспечивает возможность управлять пользовательскими сеансами и процессами.
Сервер обеспечивает проброс дисков, принтеров, звука, портов и буфера обмена.
Я опубликовал блокнот, давайте посмотрим настройки, доступные для опубликованного приложения.
Теперь создадим дискету с клиентом удалённого доступа, используя предназначенное для этого приложение.
Установка клиента ничем не примечательна — обычный дистрибутив на двух дискетах. Перейдём к клиенту. После непродолжительной настройки, авторизовавшись на сервере, я получил удалённо запущенный блокнот.
Режим бесшовного окна
Уже по заголовку окна понятно, что он не из этой системы — элементы управления окном явно указывают на принадлежность к Program manager. В диалоговом окне сохранения документа виден иной алгоритм именования дисков, более понятный пользователю.
Режим удалённого рабочего стола
Теперь попробуем войти на удалённый рабочий стол. Полноэкранный вход не так показателен, так как не понятно, откуда идёт подключение — войдём в оконном режиме 800х600.
Технология, честно говоря, очень крутая. По функционалу не только не уступает службам терминалов, которые появятся несколько позже, но и превосходят их. Режим RemoteApp, появится в Windows Server 2008 девять лет спустя.
Этот пост – копия заметки из моего блога.
Очень хорошо про Citrix WinFrame написано тут.
Установка при помощи групповых политик (Group Policy Object)
Подобная установка агентов учета рабочего времени удобна в том случае, если у вас есть хорошо настроенный домен, и вы имеете достаточный опыт системного администрирования.
Важно, чтобы все действия выполнялись под учетной записью пользователя с полномочиями администратора сервера. В противном случае могут возникнуть проблемы с установкой агентов на компьютеры домена.
Получите файл .msi, нажав в веб-интерфейсе системы CrocoTime раздел “Настройки” > “Сотрудники” и нажмите кнопку “Скачать агент” > “Пакет GPO”. Вам понадобится ввести адрес и порт сервера CrocoTime в формате http://server:port. После ввода адреса для загрузки будут доступны две ссылки. Первая — msi-пакет, вторая — модификатор. Модификатор требуется для задания настроек сервера агенту. При загрузке модификатора браузерами, например, Internet Explorer или Google Chrome может выдаваться сообщение “Не удалось проверить издателя программы”. Сохраните файл в любом случае.
Полученные файлы переместите в папку, откуда будет происходить установка. Внимание, модификатор следует получать только через web-интерфейс системы CrocoTime! Если вы найдете mst файл где-то сами, то вероятно, работать он не будет.
Откройте оснастку “Управление групповой политикой”, как показано на рисунке.
В открывшемся окне в дереве консоли разверните узел “Лес: %имя леса%”, узел “Домены”, затем узел с названием вашего домена, после чего перейдите к узлу “Объекты групповой политики”. В узле “Объекты групповой политики” создайте объект GPO”CrocoTime Agent”.
Введите имя нового объекта GPO.
После этого в оснастке “Управление групповой политикой” выберите созданный вами ранее объект GPO, нажмите на нем правой кнопкой мыши и выберите команду“Изменить” из контекстного меню для открытия оснастки “Редактор управления групповыми политиками”:
В оснастке “Редактор управления групповыми политиками” разверните узел Конфигурация пользователяПолитикиКонфигурация программ, перейдите к узлу“Установка программ”, нажмите на этом узле правой кнопкой мыши и из контекстного меню выберите команды “Создать” и “Пакет”, как показано на следующей иллюстрации:
В отобразившемся диалоговом окне “Открыть” перейдите к подготовленной ранее точке распространения программного обеспечения и выберите файл установщика Windows, используя который, будет установлено программное обеспечение. На этом этапе обратите внимание на две особенности. Во-первых, для развертывания агентов системы учета рабочего времени СrocoTime, вам нужно выбрать файл agent_installer.msi, который расположен в выбранной вами папке (Общий доступ к этой папке должен быть открыт). Второй, более важный момент: при выборе папки вам нужно указывать не букву локального диска на своем контроллере домена (в том случае, если инсталляционный пакет расположен именно на контроллере домена), а именно сетевой путь, так как это расположение публикуется для клиентских компьютеров;
Сразу после выбора *.msi-файла вам будет предложен способ развертывания программного обеспечения. В отобразившемся диалоговом окне “Развертывание программ” вы можете выбрать один из следующих методов: “публичный”, “назначенный”или “особый”. Выберите метод “особый”, как показано на следующей иллюстрации:
В диалоговом окне свойств установочного пакета, которое всплывет через несколько секунд после указания метода развертывания, необходимо указать дополнительные параметры, используемые при установке агента системы CrocoTime.
Во вкладке “Развертывание” нажмите кнопку “Дополнительно” и активируйте чекбокс“Сделать это 32-разрядное х86 приложение доступным для компьютеров с архитектурой Win64”.
Во вкладке “Модификации” нажмите кнопку “Добавить” и укажите путь до файла модификатора server_settings.mst.
Во вкладке “Обновления” в окне “Приложения, обновляемые данным пакетом” удалите все параметры, окно должно быть пустым. Приложение будет заменяться на новую версию
После того как вы внесли все необходимые изменения, нажмите кнопку “ОК”. Окно редактирования политики должно иметь такой вид:
Последнее, что нужно сделать, это связать объект групповой политики с доменом, а также в фильтре безопасности указать группы пользователей, для компьютеров которых будут развертываться агенты системы учета рабочего времени CrocoTime. Закройте оснастку“Редактор управления групповыми политиками” и свяжите с доменом (или группой компьютеров в домене) созданный объект групповой политики.
Для этого, в дереве консоли оснастки “Управление групповой политикой” выберите ваш домен (или группу компьютеров внутри домена), нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду “Связать существующий объект групповой политики”.
В отобразившемся диалоговом окне “Выбор объекта групповой политики” выберите данный объект групповой политики и нажмите на кнопку “ОК”.
Теперь выберите связанный объект групповой политики (СrocoTime Agent) в узле“Объекты групповой политики”, перейдите на вкладку “Область” и в группе “Фильтры безопасности” добавьте те группы пользователей, на компьютеры которых должен установиться агент системы учета рабочего времени CrocoTime.
Закройте окно Управление групповой политикой и откройте командную строку Windows. В командной строке введите команду “gpupdate /force”. Сервер сообщит, что он не сможет применить политику установки без перезагрузки и предложит перезагрузиться. Введите в командную строку “y” (в английской раскладке) и нажмите клавишу “Enter”. Система будет перезагружена через 1 минуту после ввода команды. Либо просто перезагрузите сервер через меню “Пуск”.
После перезагрузки сервера политика будет применена. Установка агента системы учета рабочего времени CrocoTime на компьютеры пользователей начнется после того, как пользователи выйдут из системы и заново войдут в нее, либо когда их компьютеры будут перезагружены.
Как удалить модуль сбора статистики?
Чтобы удалить агенты системы учета рабочего времени CrocoTime при помощи GPO, нужно в оснастке “Редактор управления групповыми политиками” развернуть узел Конфигурация пользователяПолитикиКонфигурация программ, перейти к узлу“Установка программ” и нажать на этом узле левой кнопкой мыши. В окне отобразится ваш установленный агент. Нажмите на нем правой кнопкой мыши и из всплывающего меню выберите “Все задачи” => “Удалить”.
После этого всплывет окно “Удаление приложений”. Выберите в этом окне параметр“Немедленное удаление этого приложения с компьютеров всех пользователей”.
Закройте окно Редактора управления групповой политикой и откройте командную строку Windows. В командной строке введите команду “gpupdate /force”. Сервер сообщит, что он не сможет применить политику установки без перезагрузки и предложит перезагрузиться. Введите в командную строку “y” (в английской раскладке) и нажмите клавишу “Enter”. Система будет перезагружена через 1 минуту, после ввода команды. Либо просто перезагрузите сервер через меню “Пуск”.
После перезагрузки групповая политика будет применена. Удаление агентов системы учета рабочего времени CrocoTime c компьютеров пользователей начнется после того, как пользователи выйдут из системы и заново войдут в нее, либо когда их компьютеры будут перезагружены.
Откройте оснастку “Управление групповой политикой”. В открывшемся окне перейдите к узлу “Объекты групповой политики”. В узле “Объекты групповой политики” удалите объект GPO “CrocoTime Agent”.
Удаление агентов системы учета рабочего времени CrocoTime завершено.
Установка программ с помощью групповых политик
Прежде чем приступить к описанию процесса установки ПО с помощью групповых политик, оговорим, что распространение ПО на с помощью политик не всегда является оптимальным решением и имеет ряд ограничений. Вот несколько основных недостатков этого метода установки софта:
1. Невозможность планирования установки ПО. При установке софта при помощи групповой политики, установить или деинсталлировать ПО можно только при следующей загрузке системы. Поэтому практически невозможно, организовать массовое обновление какого-либо ПО, например, в ночное время, когда нагрузка на сеть минимальная. В этом случае лучше использовать, например, SCCM. Используя окна обслуживания (maintenance) или настройки WOL(Wake On LAN).
2. Поддерживаются только MSI и ZAP установщики. Формат дистрибуции приложений в групповых политиках– это лишь популярный MSI installer и менее известные пакеты ZAP. В этом случае опять предпочтительнее использование SCCM, т.к. он поддерживает использование всех возможных установщиков.
3. Фиксированный порядок установки приложений. При добавления нового приложения в объект групповой политики, оно устанавливается на ПК последним, и поменять этот порядок нельзя.
4. Отсутствие контроля. При установке ПО через групповую политику, пакет установщика выполняется на целевом компьютере, однако какая-либо обратная связь отсутствует. Поэтому вы с уверенностью не сможете сказать установилось ли ваше ПО на конкретном компьютере или нет.
Итак, после того, как вы познакомились с основными недостатками установки софта средствами групповых политик, перейдем к конкретному примеру. Отметим, что с помощью групповых политик правильно было бы устанавливать общесистемное ПО, которое используется на всех ПК организации, это может быть, например, антивирусный агент, клиент SCCM или InTune. В данной статье мы будем описывать установку агента InTune.
Windows InTune – это новый сервис Microsoft, предназначенный для служб ИТ, позволяющий управлять и осуществлять мониторинг компьютеров с помощью веб консоли. Этот сервис зачастую называют «облачным» SCCM, причем эта облачная служба позволяет управлять множеством рабочих станций без необходимости создания серверной инфраструктуры.
Т.к. ни одна из компонент InTune не устанавливается на сервера, поэтому все что нужно – это расставить клиентов InTune на рабочих станциях. Естественно, его можно расставить вручную, но если в вашей организации больше чем 10 ПК, то это может превратиться в головную боль. Поэтому мы попытаемся организовать процесс установки Windows InTune с помощью групповых политик.
Настраиваем дистрибутив для установки с помощью Group Policy
1. Качаем дистрибутив клиента InTune Client.
2. Жмем правой кнопкой по файлу “Windows_Intune_Setup.zip” и выбираем “Extract All”
3. Распаковываем содержимое файла Windows_Intune_Setup.exe в текущую папку, набрав команду “Windows_Intune_Setup.exe /extract .”.
4. Копируем файлы (список их ниже) на сетевую папку, с которой будет производиться установка.
Совет: Для корректной работы необходимо, чтобы группа “Domain Computers” имела права на чтение из указанной сетевой папки, иначе ПК организации не смогут скачать и установить эти файлы.
Настраиваем групповую политику для установки ПО
5. Перейдите в режим редактирования групповой политики, применяемой к целевым компьютерам, на которые вы хотите установить клиент InTune.
6. Перейдите в раздел “Computer Configuration > Policies > Software Settings > Software installation”. Щелкните правой кнопкой по элементу “Software installation”, выберите “New>Packages”
7. Выберите сетевую папку, в которую вы поместили файлы установщика, найдите и укажите файл “Windows_Intune_X64.msi” и затем нажмите “Open”
8. Выберите опцию “Advanced” и нажмите “OK”
9. Т.к. в данном случае мы устанавливаем 64 битную версию клиента,рекомендуется добавить к имени приложения постфикс “x64”.
10. Согласимся с настройками по-умолчанию и нажмем “OK”
В результате у вас получится примерно такая картинка.
И данное ПО будет установлено на компьютеры, к котором применяется данная политика, при следующей перезагрузке ПК.
Блог о системном администрировании. Статьи о Linux, Windows, СХД NetApp и виртуализации.
Доброго времени, уважаемые читатели блога! В данном посте буду собирать ссылки на софт, который удалось заставить устанавливаться или обновляться через GPO Active Directory. Админ, однако, очень не любит ручной труд, который можно автоматизировать, особенно если он однообразен и нуден.
Очень часто выходят обновления для таких компонентов, как Adobe Flash, которые являются потенциальной дырой в браузерах пользователей. Заставить устанавливать такой компонент – пользователя равносильно тому, что совсем его не обновлять. К тому же, необходимы права администратора для данного действия, а пользователь работающий под админом в сети предприятия – это зло, которое так и пытается положить вашу сеть при очередной посещении зловредных ресурсов. И Adobe Flash – это не единственный пример. Посему мы упростим работу себе и обеспечим актуальное состояние софта на рабочих станциях в сети.
Кратко расскажу о установке программ средствами групповых политик Active Directory, назначение пакетов MSI компьютерам (assigning to computer) (взято отсюда ):
- скопируйте к себе на компьютер файл Microsoft Installer (MSI) программного обеспечения Wininstaller. Поместите этот файл в каталог C:Distrib на своем компьютере и расшарьте его как \имя_вашего_компьютераDistrib$;
- создайте групповую политику WinInstaller, которая бы устанавливала программное обеспечение Wininstaller на все компьютеры вашего домена в режиме назначения для компьютера и произведите установку при помощи этой групповой политики на свой компьютер.
- После создания общего каталога и копирования откройте Group Policy Management Console, щелкните правой кнопкой мыши по узлу вашего домена и в контекстном меню выберите Create and Link a GPO here. Присвойте создаваемое групповой политике название Wininstaller.
- Щелкните правой кнопкой мыши по объекту созданной групповой политики и в контекстном меню выберите Edit. В окне Group Policy Object Editor раскройте узел Computer Configuration -> Software Settings -> Software installation , щелкните правой кнопкой мыши по узлу Software Installation и в контекстном меню выберите New -> Package.
- В окне Open введите путь к пакету MSI: \имя_вашего_компьютераDistrib$SWIADMLE.MSI и нажмите Open.
- В окне Deploy Software установите переключатель в положение Advanced и нажмите OK.
- В окне WinInstall Properties просмотрите все вкладки и нажмите OK. Закройте окна Group Policy Object Editor и Group Policy Management Console с сохранением внесенных изменений и перезагрузите компьютер. В процессе запуска обратите внимание на строку Installing Managed Software WinInstall, которая появится после строки Applying Computer Settings.
- После окончания перезагрузки обратите внимание, что в меню Programs появилась новая группа программ.
Если есть желание углубиться в познание AD и GPO, можно ознакомиться с курсом: http://www.intuit.ru/department/os/sysadmswin/, или http://www.intuit.ru/goto/course/netmsserver2003/
Ну что ж, начнем с добычу пакетов MSI:
7-Zip – http://www.7-zip.org/download.html (так же, для пользователя применил скрипт Ассоциации файлов и локализация 7-zip)
Adobe Flash Player – http://www.adobe.com/products/flashplayer/fp_distribution3.html (по ссылке и Flash Plugin и ActiveX)
Adobe Reader – https://acrobat.adobe.com/ru/ru/acrobat/pdf-reader/volume-distribution.html (необходимо оформить бесплатную лицензию)
ftp://ftp.adobe.com/pub/adobe/reader/win/AcrobatDC/1902120058/
(обновления версий в подкаталогах) наложение обновлений Reader:
> mkdir C:TempAdobeReader
> cd C:TempAdobeReader
> msiexec /a AdbeRdr1000_ru_RU.msi TARGETDIR=c:TempAdobeReaderUpdated
> msiexec /a c:TempAdobeUpdatedAdbeRdr1000_ru_RU.msi /p C:TempAdobeReaderAdbeRdrUpd1001_Tier4.msp
Google Chrome – https://www.google.com/intl/en/chrome/business/
JAVA – http://www.java.com/ru/download/ (после распаковки инсталлера, msi в C:Users AppDataLocalLowSun, инструкшн: http://www.java.com/ru/download/help/msi_install.xml)
Mozilla Firefox – http://frontmotion.com/FMFirefoxCE/download_fmfirefoxce.htm
Notepad++ – https://www.hass.de/content/notepad-msi-package-enterprise-deployment-available
OpenOffice – http://www.i-rs.ru/download или http://ru.openoffice.org/ (после распаковки установщика – готовый MSI)
Примечание, возможна ошибка установки OpenOffice на Windows 7.
Opera – http://ftp.opera.com/pub/opera/win/ (в каталоге _версия_/autoupdate лежит MSI)
Paint.NET – exe берем отсюда: http://paintnet.ru/download/, MSI создаем по инструкции: http://paint-dot-net.narod.ru/help_ru/p5_Install.htm:
> mkdir C:TempPaintNET
> cd C:TempPaintNET
> C:TempPaintNETPaintNET.exe /createMsi CHECKFORUPDATES=0
> забираем готовые MSI с рабочего стола
ДубльГИС – http://krasnodar.2gis.ru/how-get/download/ (мануал http://help.2gis.ru/pc/full/install/corporative/)
Upd 2011.07.01: добавил Opera
Upd 2012.02.23: добавил Chrome
Upd 2018.07.24: добавил Notepad++
Автоматическая установка программ в домене Windows
Автор
Иванов Илья, http://bozza.ru, апрель 2010
Вступление
Если в домене Windows установлен WSUS, админ рад и спокоен – дескать, все, обновления ставятся на автомате, трафик снизился, бегать по компам не надо и пр. В принципе, все осталость то же самое, но ведь не все используют в работе Microsoft Outlook или Internet Explorer (хотя 8-ка очень неплоха). Есть много людей, привыкших работать с почтовиком The Bat!, броузером Opera или Mozilla. Если встает вопрос об обновлениях – либо это головняк админу в виде беготни к каждому компьютеру для обновления всем, скажем, Opera, либо юзеры должны сидеть под админами (пускай и локальными, не доменными).
Естественно, ни первый, ни второй способы – не выход. Значит, надо иметь возможность автоматически устанавливать программы на рабочих станциях, причем желательно делать это до того, как пользователь вошел в систему – ведь если он вошел, он уже не захочет перезагружать машину и т.п. Надо ставить пользователя перед фактом – программа, его любимая Opera, уже обновлена и админа не колбасит, что версия 10.10 почему-то нравится меньше, чем предыдущая. Просто вышло обновление, и его надо применить. Без вариантов.
Самый распространенный вариант ответа на вопрос – КАК? – Конечно, через Active Directory! – скажет вам любой специалист или просто сисадмин. А как через AD? – спросите вы. А вам скажут – ?! Вы не знаете, как через AD? Да там же просто, через policy! – но больше вам скорее сего ничего не скажут, потому что для большинства советчиков этот вопрос такой же неясный, как и для вас. И вам ничего не останется, как гуглить до потери пульса, потому что найти огромный фолиант на тему “как развернуть office 2007” в сети корпорации не проблема, а вот просто и в двух словах – редко что найдете. Не без гордости могу сказать, что данная статья как раз одна из немногих кратких и “без наворотов”, попадавшихся мне.
Установка программ из MSI
Все изложенное далее относится к работе с инсталляционными пакетами типа MSI (расширение .msi). Файлы MSI есть (или их можно извлечь) для многих программ (Adobe Acrobat, The Bat, Opera, Firefox и пр.).
Предположим, мы хотим автоматически установить (а по мере выхода обновлений, устанавливать обновления) броузер Firefox. Файл msi для Firefox можно взять здесь (в новом окне).
Настройку шаблона .adm я пропущу, т.к. далеко не всегда это нужно, а еще чаще этот шаблон фиг найдешь. В итоге – дефолтные настройки (либо, если будем ставить поверх старой версии – настройки будут сохранены). Шаблон .adm нам не нужен.
Распределяем права доступа
Предполагаю, что все учетные записи компьютеров (кроме контроллеров домена) находятся в OU “OU Office Computers”.
Примечание 1:
Почему лучше не использовать исходное размещение компьютеров (Computers – Компьютеры домена в оснастке Active Directory Users and Computers)? Мне удобнее в дальнейшем управлять политиками для групп компьютеров. К тому же, когда я посещал курсы Microsoft, я видел, что на контроллерах доменов в тестовых системах и в “боевых”, настроенных специалистами Microsoft, используются практически только отдельно созданные OU, а не базовые. Я для себя решил повторять опыт специалистов. Пока мне от этого только удобнее. Естественно, ИМХО.
Примечание 2:
Не всем пользователям нужен Firefox (как не всем нужен The Bat, Opera и пр.). Поэтому создадим в “OU Office Computers” отдельную группу компьютеров, на которые будет установлен Firefox. Для ясности назовем группу GFirefoxComputers. Отмечу, что это будет именно группа, а не вложенное OU!
Расшариваем какую-либо папку на сервере (на рисунке это SoftwareDistibution, а не Mozilla Firefox, как может показаться) и даем группе GFirefoxComputers доступ на чтение, админу – полный доступ (не компьютеру админа, а пользователю – все-таки вы должны иметь возможность по сети заливать на шару файлы ;)).
Вообще, для проверки того, как все вообще работает, можно обойтись и без группы GFirefoxComputers. Просто для того, чтобы сразу не усложнять себе жизнь, и не пенять на групповые политики, если что пойдет не так 😉
Политика правит миром!
На контроллере домена запускаем редактор групповой политики GPMC.MSC:
. и создаем связанную только с нашим OU “OU Office Computers” групповую политику под названием “Firefox 3.6.3 rus”:
. редактируем нашу политику “Firefox 3.6.3 rus”:
Готовим дистрибутив Firefox для развертывания в сети
В разделе “User Configuration” -> “Software settings” -> “Software Installation” щелкаем правой мышкой и создаем новый объект для установки – наш будущий инсталлятор Firefox.
Выбираем файл MSI, заботливо положенного чьими-то руками в расшаренную папку. Важно : выбирать надо сетевой путь до файла, а не локальный, ведь юзера будут получать доступ к вашей инсталляшке не локально на сервере, а по сети.
Выбираем “Assigned” (Назначенный):
На этом работа с веткой “Software Installation” закончена.
Закрываем все открытые окна на сервере (если не помешает другим задачам, естественно), Пуск -> Выполнить -> gpupdate /force
Установка на рабочих станциях
Далее достаточно просто перезагрузить рабочие станции, чтобы автоматически установился Firefox ДО того, как появится окно для ввода логина/пароля. Иными словами, пользователь будет не в силах чего-то не установить, забыть и пр. Поэтому этот способ так хорош. Вы удаленно решаете, что будет установлено / обновлено на рабочих станциях.
Windows XP бывает не с первой перезагрузки “принимает” нове политики, поэтому можно подойти к юзеру, выполнить команду “gpupdate /force” (не обязательно под админом) и перезагрузить его компьютер.
Обязательно проверьте установку на своем / тестовом компьютере ДО того, как юзеры придут следующим утром, включат компьютеры. а вдруг косяк? Поэтому хотя бы первый раз сначала испытайте на себе.
Дополнительно
Теперь на любой новый компьютер, введенный в состав подразделения OU Office Computers будет установлена последняя версия броузера Firefox. Вам даже не придется ничего делать. Просто и очень полезно. Таким же образом можно устанавливать практически любой софт, включая Adobe Reader, Adobe Flash Player (которые в обычной ситуации требуют административных прав для установки), The Bat. да мало ли софта у вас в локальной сети, поддерживать который в актуальном состоянии одна из обязанностей системного администратора.
Нюанс: если вы уже установили какой-либо пакет, в нашем случае Firefox 3.6.3 rus, а через некоторое время вам потребуется его обновить (т.к. рано или поздно выйдет новая версия броузера), сначала удалите политику по установке Firefox 3.6.3, после чего создайте новую. Потом “gpudate /force” и вперед!
Установка программного обеспечения средствами групповой политики. Часть 7
Сам процесс установки программного обеспечения, а тем более автоматизации установки, весьма интересен и может включать в себя множество «непредсказуемых нюансов». Ключи и параметры автоматической установки, скрипты, позволяющие выполнять дополнительную настройку, файлы трансформации и прочие средства позволяют вам упростить процесс инсталляции, тем самым существенно экономя потенциально затрачиваемое время на выполнение различных сценариев. Само CSE «Установка программ», по большому счету, предоставляет не много возможностей, позволяющих полноценно работать с инсталляционными файлами. Большинство таких возможностей мы уже успели рассмотреть в предыдущих статьях данного цикла, включая настройку самого расширения клиентской стороны, публикацию и назначение программного обеспечения, а также процесс обновления ПО.
По сути, последней темой настоящего цикла является не менее важная задача, а именно удаление проинсталлированного программного обеспечения. По вполне понятным причинам расширение клиентской стороны «Установка программ» позволяет не только устанавливать и обновлять существующее программное обеспечение, а еще и удалять развернутые ранее программы. Делается это также очень просто и с выполнением данной операции у вас не должно возникнуть каких-либо проблем.
Более того, под конец данной статьи вас ждет еще небольшой «бонус», о котором шла речь ранее. Итак,
Удаление проинсталлированных программных продуктов
В этом разделе будет рассматриваться удаление приложения на примере заранее проинсталлированного средствами функциональных возможностей групповой политики простенького XML-редактора под названием «XML Notepad». Сразу хотелось бы обратить внимание на то, что выполняться такие действия должны в том объекте групповой политики, который уже содержит удаляемое приложение. Другими словами, создать инсталляционный пакет приложения в одном объекте, а удалить его совершенно в другом, выбрав приложение по аналогии с обновлением, просто невозможно.
Что в таком случае требуется сделать:
Рис. 1. Диалоговое окно удаления программного обеспечения
После выполнения данных действий следует запустить команду gpupdate с параметрами /force /boot. Как и в случае с обновлением программного обеспечения, добровольно-принудительно будет предложено перезагрузиться. Чтобы удостовериться, что программа будет полностью удалена с компьютера и ее невозможно будет найти в компоненте «Программы и компоненты», следует немного подождать, пока целевой компьютер перезагрузится. Аналогично с процессом обновления ПО, как видно на следующей иллюстрации, во время выполнения входа снова должна красоваться надпись «Удаление управляемого программного обеспечения XML Notepad» (Removing managed software XML notepad).
Рис. 2. Процесс удаления ПО
Как следствие, после выполнения входа в систему ярлык с рабочего стола будет удален. На всякий случай можно зайти в окно установки программ панели управления, чтобы убедиться, что этого приложения там тоже нет и что его нельзя будет установить со страницы «Установка новой программы из сети» (Install a program from the network). Все отработало правильно, удаленное при помощи функциональных возможностей групповой политики приложение нигде не фигурирует.
Дополнительный сценарий – запрещаем удалять установленный программный продукт
Как я и обещал, сейчас в качестве бонуса будет рассмотрен последний в этом цикле статей сценарий, в котором будет заново назначен для пользователей редактор XML Notepad, однако с таким условием, чтобы пользователь не смог его удалить при помощи компонента панели управления «Программы и компоненты».
Все эти действия будут выполняться внутри созданного ранее объекта групповой политики «GPSI-01». Как следует поступить для выполнения указанной выше задачи:
Рис. 3. Вкладка «Развертывания» диалогового окна свойств инсталляционного пакета
Сейчас пришло время проверять. В очередной раз следует выполнить команду Gpupdate с параметром /force (специально для форсированного применения) и немного подождать, пока операционная система предложит выйти из системы.
После выполнения входа программа будет установлена. Это хорошо, половина дела сделана. Остается перейти к панели управления и открыть компонент «Программы и компоненты». Как только пользователь перейдет к этому апплету сразу будет видно, что отсюда мы более не вправе удалять данное приложение. Однако, если пользователь очень захочет это сделать, он пока еще сможет удалить программу, используя файл деинсталляции ПО uninstall.exe.
Чтобы предотвратить такие действия, следует воспользоваться возможностями политик ограниченного использования программ или такого компонента современных операционных систем, как AppLocker. Однако об этих возможностях речь пойдет не в этой статье.
Заключение
Сегодня вы узнали о том, как можно удалить проинсталлированное при помощи расширения клиентской стороны «Установка программ» программное обеспечение, а также каким образом можно так установить программу, чтобы пользователь ее не смог удалить средствами возможностей панели управления.
Глядя на рассмотренные на протяжении семи статей данного цикла возможности, несмотря на все преимущества распространения программного обеспечения средствами групповой политики, можно также найти и множество недостатков, на которые следует обратить свое внимание при планировании распространения ПО. Например, к одному из таких недостатков можно отнести то, что распространять программное обеспечение средствами групповой политики можно только в домене Active Directory. А если в вашей организации пользователи еще работают под управлением таких операционных систем, как Windows 95/98 или Windows NT, то развернуть приложения для таких клиентов средствами GPO будет невозможно. Также вы не можете штатными средствами установить программный продукт из exe-инсталлятора, что является очень досадным недостатком. Помимо этого, при развертывании приложений средствами групповой политики вы не можете настроить график установки или распространять приложения при помощи многоадресного сетевого вещания. Другими словами, распространение программного обеспечения средствами групповой политики не обеспечивает набор определенных функциональных возможностей, которые могут понадобиться для управления программным обеспечением в крупной организации. В таких случаях лучше всего использовать такой продукт, как System Center Configuration Manager. А если вас заинтересуют дополнительные возможности установки программных продуктов средствам SCCM, я с радостью могу начать рассматривать эту процедуру в новом цикле статей, посвященном установке программного обеспечения, но уже при помощи такого «монстра», как System Center Configuration Manager.
