Установка программы через групповую политику

Использование групповой политики для удаленной установки программного обеспечения – Windows Server

Установка программы через групповую политику

  • 09/08/2020
  • Чтение занимает 5 мин
    • D
    • o

В этой статье описывается, как использовать групповую политику для автоматического распространения программ на клиентские компьютеры или пользователей.

Исходная версия продукта:   Windows Server 2012 R2
Исходный номер КБ:   816102

Групповую политику можно использовать для распространения компьютерных программ с помощью следующих методов:

  • Назначение программного обеспеченияМожно назначить распределение программ пользователям или компьютерам. Если назначить программу пользователю, она будет установлена при входе пользователя в систему на компьютере. Когда пользователь впервые запускает программу, установка будет завершена. Если назначить программу компьютеру, она будет установлена при его установке и будет доступна всем пользователям, войдите на компьютер. Когда пользователь впервые запускает программу, установка будет завершена.
  • Программное обеспечение для публикацииВы можете опубликовать распространение программы для пользователей. Когда пользователь входит на компьютер, опубликованная программа отображается в диалоговом окне “Добавление или удаление программ”, и ее можно установить оттуда.

Примечание

Для автоматической установки групповой политики Windows Server 2003 требуются клиентские компьютеры под управлением Microsoft Windows 2000 или более поздней версии.

Создание точки распространения

Чтобы опубликовать или назначить компьютерную программу, создайте точку распространения на сервере публикации, выступая следующим образом:

  1. Войдите на сервер с учетной записью администратора.
  2. Создайте общую сетевую папку, в которую необходимо поместить пакет установщика Windows (MSI-файл), который необходимо распространить.
  3. Установите разрешения для доступа к пакету рассылки.
  4. Скопируйте или установите пакет в точку распространения. Например, чтобы распространить MSI-файл, запустите административную установку ( ), чтобы скопировать файлы setup.exe /a в точку распространения.

Создание объекта групповой политики

Чтобы создать объект групповой политики (GPO) для распространения пакета программного обеспечения, выполните следующие действия.

  1. Запустите оснастку “Пользователи и компьютеры Active Directory”, нажав кнопку “Начните”, указав “Администрирование”, а затем щелкнув “Пользователи и компьютеры Active Directory”.
  2. В дереве консоли щелкните правой кнопкой мыши домен и выберите “Свойства”.
  3. Перейдите на вкладку “Групповая политика” и выберите “Новый”.
  4. Введите имя новой политики и нажмите ввод.
  5. Щелкните “Свойства” и перейдите на вкладку “Безопасность”.
  6. Clear the Apply Group Policy check box for the security groups that you don't want this policy to apply to.
  7. Выберите “Применить групповую политику” для групп, к которые необходимо применить эту политику.
  8. После этого нажмите кнопку ОК.

Назначение пакета

Чтобы назначить программу компьютерам под управлением Windows Server 2003, Windows 2000 или Windows XP Professional или пользователям, входивших на одну из этих рабочих станций, выполните следующие действия.

  1. Запустите оснастку “Пользователи и компьютеры Active Directory”, нажав кнопку “Начните”, указав “Администрирование”, а затем щелкнув “Пользователи и компьютеры Active Directory”.

  2. В дереве консоли щелкните правой кнопкой мыши свой домен и выберите “Свойства”.

  3. Перейдите на вкладку “Групповая политика”, выберите политику и нажмите кнопку “Изменить”.

  4. В области “Конфигурация компьютера”разо расширении параметров программного обеспечения.

  5. Щелкните правой кнопкой мыши установку программного обеспечения, найдите пункт “Новый” и выберите пункт “Пакет”.

  6. В диалоговом окне “Открыть” введите полный UNC-путь к нужному пакету общего установщика. Например, \\\\.msi.

    Важно!

    Не используйте кнопку “Обзор” для доступа к расположению. Убедитесь, что используется UNC-путь к общему пакету установщика.

  7. Нажмите кнопку Open (Открыть).

  8. Нажмите кнопку “Назначено” и нажмите кнопку “ОК”. Пакет указан в правой области окна групповой политики.

  9. Закроем оснастку групповой политики, нажмите кнопку “ОК”, а затем закроем оснастку “Пользователи и компьютеры Active Directory”.

  10. При старте клиентского компьютера пакет управляемого программного обеспечения устанавливается автоматически.

Публикация пакета

Чтобы опубликовать пакет для пользователей компьютера и сделать его доступным для установки из списка “Установка и удаление программ” на панели управления, выполните следующие действия.

  1. Запустите оснастку “Пользователи и компьютеры Active Directory”, нажав кнопку “Начните”, указав “Администрирование”, а затем щелкнув “Пользователи и компьютеры Active Directory”.

  2. В дереве консоли щелкните правой кнопкой мыши домен и выберите “Свойства”.

  3. Перейдите на вкладку “Групповая политика”, выберите нужные политики и нажмите кнопку “Изменить”.

  4. В области “Конфигурация пользователя”разо расширении параметров программного обеспечения.

  5. Щелкните правой кнопкой мыши установку программного обеспечения, найдите пункт “Новый” и выберите пункт “Пакет”.

  6. В диалоговом окне “Открыть” введите полный UNC-путь к нужному пакету общего установщика. Например, \\file server\share\file name.msi.

    Важно!

    Не используйте кнопку “Обзор” для доступа к расположению. Убедитесь, что используется UNC-путь к общему пакету установщика.

  7. Нажмите кнопку Open (Открыть).

  8. Нажмите кнопку “Опубликовать” и нажмите кнопку “ОК”.

  9. Пакет указан в правой области окна групповой политики.

  10. Закроем оснастку групповой политики, нажмите кнопку “ОК”, а затем закроем оснастку “Пользователи и компьютеры Active Directory”.

  11. Протестировать пакет.

    Примечание

    Так как существует несколько версий Windows, на вашем компьютере могут быть другие действия. Если да, см. документацию по продукту для выполнения этих действий.

    1. Войдите на рабочей станции под управлением Windows 2000 Professional или Windows XP Professional, используя учетную запись, на которую опубликован пакет.
    2. В Windows XP нажмите кнопку “Начните” и выберите “Панель управления”.
    3. Дважды щелкните “Добавить или удалить программы” и выберите “Добавить новые программы”.
    4. В списке “Добавление программ из списка сети” выберите опубликованную программу и нажмите кнопку “Добавить”. Программа установлена.
    5. Нажмите кнопку ОК, а затем нажмите кнопку Закрыть.

Еще раз развяжев пакет

В некоторых случаях может потребоваться еще раз разверять пакет программного обеспечения (например, при обновлении или изменении пакета). Чтобы перезаполнить пакет, выполните следующие действия:

  1. Запустите оснастку “Пользователи и компьютеры Active Directory”, нажав кнопку “Начните”, указав “Администрирование”, а затем щелкнув “Пользователи и компьютеры Active Directory”.

  2. В дереве консоли щелкните правой кнопкой мыши домен и выберите “Свойства”.

  3. Перейдите на вкладку “Групповая политика”, выберите объект групповой политики, который использовался для развертывания пакета, и нажмите кнопку “Изменить”.

  4. Развернем контейнер “Параметры программного обеспечения”, содержащий элемент установки программного обеспечения, который использовался для развертывания пакета.

  5. Щелкните контейнер установки программного обеспечения, содержащий пакет.

  6. В правой области окна групповой политики щелкните программу правой кнопкой мыши, найдите пункт “Все задачи” и выберите “Приложение для переуполокации”. Вы получите следующее сообщение:

    Повторное применение этого приложения переустановит приложение везде, где оно уже установлено. Продолжить?

  7. Нажмите кнопку Да.

  8. Закроем оснастку групповой политики, нажмите кнопку “ОК”, а затем закроем оснастку “Пользователи и компьютеры Active Directory”.

Чтобы удалить опубликованный или подписанный пакет, выполните следующие действия.

  1. Запустите оснастку “Пользователи и компьютеры Active Directory”, нажав кнопку “Начните”, указав “Администрирование”, а затем щелкнув “Пользователи и компьютеры Active Directory”.
  2. В дереве консоли щелкните правой кнопкой мыши домен и выберите “Свойства”.
  3. Перейдите на вкладку “Групповая политика”, выберите объект групповой политики, который использовался для развертывания пакета, и нажмите кнопку “Изменить”.
  4. Развернем контейнер “Параметры программного обеспечения”, содержащий элемент установки программного обеспечения, который использовался для развертывания пакета.
  5. Щелкните контейнер установки программного обеспечения, содержащий пакет.
  6. В правой области окна групповой политики щелкните правой кнопкой мыши программу, найдите пункт “Все задачи” и выберите пункт “Удалить”.
  7. Выполните одно из следующих действий:
    • Щелкните “Немедленно удалить программное обеспечение с пользователей и компьютеров” и нажмите кнопку “ОК”.
    • Нажмите кнопку “Разрешить пользователям продолжать использовать программное обеспечение, но запретить новые установки” и нажмите кнопку “ОК”.
  8. Закроем оснастку групповой политики, нажмите кнопку “ОК”, а затем перейдите к оснастке “Пользователи и компьютеры Active Directory”.

Устранение неполадок

Опубликованные пакеты отображаются на клиентских компьютерах после их удаления с помощью групповой политики.

Это может произойти, когда пользователь установил программу, но не использовал ее. Когда пользователь впервые запускает опубликованную программу, установка завершается. Затем групповая политика удаляет программу.

Источник: https://docs.microsoft.com/ru-ru/troubleshoot/windows-server/group-policy/use-group-policy-to-install-software

Развертывание приложений средствами групповых политик па примере TightVNC

Установка программы через групповую политику

Всем привет!

Сегодня я расскажу о развёртывании программы удаленного доступа TightVNC. Это свободно распространяемое программное обеспечение с открытым исходным кодом. Честно говоря, как программа удаленного доступа она используется достаточно редко. Чаще её применяют как программу для оказания удаленной помощи в локальной сети. Об этом и пойдет речь.

Планирование развертывания

Архитектура ПК

Нам следует определиться с архитектурой операционных систем. В нашем случае будем развёртывать 32-х и 64-х разрядные версии программ. Нам потребуется создать WMI фильтры для правильного назначения будущих групповых политик.

Открываем оснастку управление групповой политикой и переходим в раздел фильтров WMI. Там создаем два новых фильтра со следующим содержимым:

Для 32-разрядных клиентских операционных систем:

select * from Win32_OperatingSystem WHERE ProductType = “1” AND NOT (OSArchitecture = “64-bit”) OR (OSArchitecture = “64-разрядная”)

Для 64-разрядных клиентских операционных систем:

select * from Win32_OperatingSystem WHERE ProductType = “1” AND (OSArchitecture = “64-bit”) OR (OSArchitecture = “64-разрядная”)

Размещение пакетов

Следует определить общедоступный каталог на сервере, откуда компьютеры будут брать дистрибутив. Предоставляем права на чтение для группы «Компьютеры домена». Можно использовать каталог Netlogon контроллера домена.

Загрузка программного обеспечения

Сначала требуется скачать TightVNC. Скачиваем под обе архитектуры и сохраняем в подготовленный каталог. Устанавливать пока ничего не нужно.

Далее нам требуется приложение Orca из Windows Installer SDK. Соответственно идем в интернет и скачиваем Пакет SDK для Windows 10. Запускаем и в выборе компонентов для установки снимаем все галочки кроме MSI Tools.

Хочу заметить, Orca не установилась автоматически. Был только загружен установщик. Неприятно, но ничего: следуем по пути установки Windows Kit и устанавливаем её вручную.

C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86

Формирование пакета преобразования

Открываем Orca, в главном меню выбираем пункт Transform — New Transform. Далее через File — Open открываем наш скачанный MSI. В окне появляется список таблиц с обилием значений. Описание значений не составит труда найти в интернете. Опишу те, которыми пользовался лично.

Задаем пароль доступа

В поле SetDataForPasswordsActionSilently мы задаем пароль для удаленного управления. В поле SetDataForControlPasswordsActionSilently мы задаем пароль для редактирования настроек TightVNC. Это необязательное поле, ведь управлять настройками службы могут только администраторы.

Выставляем значение 1 для полей, типов аутентификации, которым мы задали пароли.

SET_USECONTROLAUTHENTICATION

VALUE_OF_USECONTROLAUTHENTICATION

SET_CONTROLPASSWORD

SET_USEVNCAUTHENTICATION

SET_PASSWORD

Ограничение доступа по IP адресам

При желании можем задать ограничение удаленного подключения по IP адресам. Для этого устанавливаем значение ниже в 1.

SET_IPACCESSCONTROL

Тогда в таблице Registry находим параметр

IpAccessControl_RegValue

Там указываем IP адреса или их диапозон и через двоеточие параметр доступа: 0 — разрешен, 1 — запрещен. IP адреса и диапозоны перечисляем через запятую. В примере ниже мы разрешаем удаленное управление только IP адресов 192.168.1.2 и 192.168.1.2. Очень важно кроме разрешения доступа добавить диапозон адресов для запрета доступа. Разрешение не запрещает!

192.168.1.2:0,192.168.1.3:0,0.0.0.0-255.255.255.255:1

Скрываем фоновый рисунок

SET_REMOVEWALLPAPER

VALUE_OF_REMOVEWALLPAPER

Отвечает за скрытие фоновой картинки рабочего стола при подключении. Полезно при плохом соединении. Для этого в обоих параметрах ставим 1.

Сохранение пакета модификации

После настроек всех параметров, выбираем пункт Transform — Generate transform. Полученный MST файл сохраняем в созданный ранее каталог.

Создание групповых политик

Последним этапом будет создание и настройка групповых политик. Как помните, их у нас две: для x86 и x64. Возвращаемся в оснастку управление групповой политикой и две новых политики. Каждой назначаем соответствующий WMI фильтр.

Открываем созданную политику для редактирования и направляемся по пути: Конфигурация компьютера — политики — конфигурация программ — установка программ. Далее выбираем Действие — Создать пакет. Указываем наш MSI, метод развёртывания — особый.

Открывается окно свойств пакета. Нас интересует закладка Модификации, там мы указываем путь до MST файла, сохраненного ранее. Сохраняем настройки.

На этом, пожалуй, всё. При следующей загрузки на компьютеры будет установлен TightVNC с заданными нами настройками.

Пост является копией заметки в моём блоге.

Источник: https://pikabu.ru/story/razvertyivanie_prilozheniy_sredstvami_gruppovyikh_politik_pa_primere_tightvnc_6830414

Установка при помощи групповых политик (Group Policy Object)

Установка программы через групповую политику

Подобная установка агентов учета рабочего времени удобна в том случае, если у вас есть хорошо настроенный домен, и вы имеете достаточный опыт системного администрирования.

Важно, чтобы все действия выполнялись под учетной записью пользователя с полномочиями администратора сервера. В противном случае могут возникнуть проблемы с установкой агентов на компьютеры домена.

Получите файл .msi, нажав в веб-интерфейсе системы CrocoTime раздел “Настройки” > “Сотрудники”  и нажмите кнопку “Скачать агент” > “Пакет GPO”. Вам понадобится ввести адрес и порт сервера CrocoTime в формате http://server:port.

После ввода адреса для загрузки будут доступны две ссылки. Первая — msi-пакет, вторая — модификатор. Модификатор требуется для задания настроек сервера агенту.

При загрузке модификатора браузерами, например, Internet Explorer или Google Chrome может выдаваться сообщение “Не удалось проверить издателя программы”. Сохраните файл в любом случае.

Полученные файлы переместите в папку, откуда будет происходить установка. Внимание, модификатор следует получать только через web-интерфейс системы CrocoTime! Если вы найдете mst файл где-то сами, то вероятно, работать он не будет.

Откройте оснастку “Управление групповой политикой”, как показано на рисунке.

В открывшемся окне в дереве консоли разверните узел “Лес: %имя леса%”, узел “Домены”, затем узел с названием вашего домена, после чего перейдите к узлу “Объекты групповой политики”. В узле “Объекты групповой политики” создайте объект GPO”CrocoTime Agent”.

Введите имя нового объекта GPO.

После этого в оснастке “Управление групповой политикой” выберите созданный вами ранее объект GPO, нажмите на нем правой кнопкой мыши и выберите команду”Изменить” из контекстного меню для открытия оснастки “Редактор управления групповыми политиками”:

В оснастке “Редактор управления групповыми политиками” разверните узел Конфигурация пользователя\Политики\Конфигурация программ, перейдите к узлу”Установка программ”, нажмите на этом узле правой кнопкой мыши и из контекстного меню выберите команды “Создать” и “Пакет”, как показано на следующей иллюстрации:

В отобразившемся диалоговом окне “Открыть” перейдите к подготовленной ранее точке распространения программного обеспечения и выберите файл установщика Windows, используя который, будет установлено программное обеспечение. На этом этапе обратите внимание на две особенности.

Во-первых, для развертывания агентов  системы учета рабочего времени СrocoTime, вам нужно выбрать файл agent_installer.msi, который расположен в выбранной вами папке (Общий доступ к этой папке должен быть открыт).

Второй, более важный момент: при выборе папки вам нужно указывать не букву локального диска на своем контроллере домена (в том случае, если инсталляционный пакет расположен именно на контроллере домена), а именно сетевой путь, так как это расположение публикуется для клиентских компьютеров;

Сразу после выбора *.msi-файла вам будет предложен способ развертывания программного обеспечения. В отобразившемся диалоговом окне “Развертывание программ” вы можете выбрать один из следующих методов: “публичный”, “назначенный”или “особый”. Выберите метод “особый”, как показано на следующей иллюстрации:

В диалоговом окне свойств установочного пакета, которое всплывет через несколько секунд после указания метода развертывания, необходимо указать дополнительные параметры, используемые при установке агента системы CrocoTime.

Во вкладке “Развертывание” нажмите кнопку “Дополнительно”  и активируйте чекбокс”Сделать это 32-разрядное х86 приложение доступным для компьютеров с архитектурой Win64″.

Во вкладке “Модификации” нажмите кнопку “Добавить” и укажите путь до файла модификатора server_settings.mst.

Во вкладке “Обновления” в окне “Приложения, обновляемые данным пакетом” удалите все параметры, окно должно быть пустым. Приложение будет заменяться на новую версию

После того как вы внесли все необходимые изменения, нажмите кнопку “ОК”. Окно редактирования политики должно иметь такой вид:

Последнее, что нужно сделать, это связать объект групповой политики с доменом, а также в фильтре безопасности указать группы пользователей, для компьютеров которых будут развертываться агенты системы учета рабочего времени CrocoTime. Закройте оснастку”Редактор управления групповыми политиками” и свяжите с доменом (или группой компьютеров в домене) созданный объект групповой политики.

Для этого, в дереве консоли оснастки “Управление групповой политикой” выберите ваш домен (или группу компьютеров внутри домена), нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду “Связать существующий объект групповой политики”.

В отобразившемся диалоговом окне “Выбор объекта групповой политики” выберите данный объект групповой политики и нажмите на кнопку “ОК”.

Теперь выберите связанный объект групповой политики (СrocoTime Agent)  в узле”Объекты групповой политики”, перейдите на вкладку “Область” и в группе “Фильтры безопасности” добавьте те группы пользователей,  на компьютеры которых должен установиться агент системы учета рабочего времени CrocoTime.

Закройте окно Управление групповой политикой и откройте командную строку Windows. В командной строке введите команду “gpupdate /force”.

Сервер сообщит, что он не сможет применить политику установки без перезагрузки и предложит перезагрузиться. Введите в командную строку “y” (в английской раскладке) и нажмите клавишу “Enter”.

Система будет перезагружена через 1 минуту после ввода команды. Либо просто перезагрузите сервер через меню “Пуск”.

После перезагрузки сервера политика будет применена. Установка агента системы учета рабочего времени CrocoTime на компьютеры пользователей начнется после того, как пользователи выйдут из системы и заново войдут в нее, либо когда их компьютеры будут перезагружены.

Как удалить модуль сбора статистики?

Чтобы удалить агенты системы учета рабочего времени CrocoTime при помощи GPO, нужно в оснастке “Редактор управления групповыми политиками” развернуть узел Конфигурация пользователя\Политики\Конфигурация программ, перейти к узлу”Установка программ” и нажать на этом узле левой кнопкой мыши. В окне отобразится ваш установленный агент. Нажмите на нем правой кнопкой мыши и из всплывающего меню выберите “Все задачи” => “Удалить”.

После этого всплывет окно “Удаление приложений”. Выберите в этом окне параметр”Немедленное удаление этого приложения с компьютеров всех пользователей”.

Закройте окно Редактора управления групповой политикой и откройте командную строку Windows. В командной строке введите команду “gpupdate /force”.

Сервер сообщит, что он не сможет применить политику установки без перезагрузки и предложит перезагрузиться. Введите в командную строку “y” (в английской раскладке) и нажмите клавишу “Enter”.

Система будет перезагружена через 1 минуту, после ввода команды. Либо просто перезагрузите сервер через меню “Пуск”.

После перезагрузки групповая политика будет применена. Удаление агентов системы учета рабочего времени CrocoTime c компьютеров пользователей начнется после того, как пользователи выйдут из системы и заново войдут в нее, либо когда их компьютеры будут перезагружены.

Откройте оснастку “Управление групповой политикой”. В открывшемся окне перейдите к узлу “Объекты групповой политики”. В узле “Объекты групповой политики” удалите объект GPO “CrocoTime Agent”.

Удаление агентов системы учета рабочего времени CrocoTime завершено.

Источник: https://crocotime.com/ru/guide/installation-of-crocotime-client-applications/installation-using-gpo/

Установка приложений с .EXE-инсталляторами средствами GPO

Установка программы через групповую политику

Ни для кого не является секретом то, что в организациях установка приложений на клиентские компьютеры должна быть (или, если честно, то рекомендуется, чтобы была) автоматизированной.

Естественно, комплексные продукты, например, такие как Microsoft System Center Configuration Manager, могут превосходно справляться с такой задачей, однако ведь всегда были, есть и будут организации, которые по той или иной причине не приобрели себе такой продукт.

Поэтому приходится устанавливать программные продукты с помощью тех же штатных средств операционных систем Windows, и для выполнения такой задачи предпочтительными становятся функциональные возможности групповой политики.

Также все прекрасно знают и о том, что при помощи расширения клиентской стороны Group Policy Software Installation GPSI, приложения можно развертывать на клиентские машины двумя методами: либо путем публикации только для пользователей, либо при помощи назначения для пользователей или компьютеров.

По большому счету, для публикации приложений можно использовать как MSI-инсталляторы, так и *.zap-файлы, причем оба пакета установки обрабатываются по-разному.

Например, файл пакета установки программного обеспечения MSI содержит базу данных со всеми необходимыми инструкциями по установке или удалению приложения, а за установку программы на клиентском компьютере отвечает служба «Установщик Windows», использующая для чтения файлов *.msi библиотеку Msi.dll.

Соответственно, на основании объявленной в инсталляционном пакете информации данная служба копирует файлы программы на жесткий диск, а также вносит изменения в реестр и выполняет прочие задачи, указанные в инсталляторе. Чаще всего вся информация, указанная в инсталляционном msi-файле, задается разработчиком устанавливаемого программного продукта.

Однако, так как не все производители программного обеспечения используют инсталляционные файлы установщика Windows, в некоторых случаях может понадобиться создавать пакеты низкоуровневых приложений на основе инициативы нулевого администрирования (в оригинале это звучит как ZAW – Zero Administration for Windows), то есть *.

zap-файлы, являющиеся текстовыми файлами с необходимыми инструкциями по установке приложения.

После создания такого файла его необходимо поместить в папку с инсталляционным пакетом, чтобы расширение клиентской стороны смогло выполнить инструкции по установке, после публикации которого приложение появится в компоненте панели управления «Программы и компоненты», и пользователи смогут его установить.

Но, в отличие от MSI-инсталлятора, у zap-файлов есть такие существенные ограничения, как, например, то, что у вас не получится настроить процесс установки приложения, если инсталлятор не содержит параметров установки.

Сразу хотелось бы отметить, что данный метод не настолько гибкий, как установка программного обеспечения при помощи инсталляционных пакетов MSI, однако, в том случае, если у вас нет возможности сконвертировать инсталляционный файл, а приложение обязательно должно быть централизовано развернуто, такой метод может оказаться как никогда кстати.

Ввиду того, что в такой текстовый файл вносятся инструкции по установке существующего exe-файла, как для 32-, так и для 64-разрядных приложений, возможности инсталляции программных продуктов при помощи данного метода не предусматривают следующие возможности:

  • Запуск приложений с повышенными привилегиями;
  • Откат изменений при неудачном процессе установки программного обеспечения;
  • Обнаружение повреждения процесса инсталляции и последующее восстановление данного процесса;
  • Установка компонентов программного обеспечения при первом обращении к последнему;
  • Использование и внедрение файлов трансформации.

И это лишь основная часть тех вещей, которые вы не сможете выполнять во время развертывания программного обеспечения средствами ZAP-файлов. Между прочим, развертывание приложений таким образом можно реализовать лишь путем публикации приложений. Так что пользователи, как я уже упомянул несколькими строками выше, смогут установить такие продукты непосредственно из страницы «Install a program from the network» компонента панели управления «Программы и компоненты». Прежде чем как мы с вами начнем создавать такой файл и пробовать при помощи него, исключительно в тестовых целях, развертывать такой программных продукт, как Irfan View, думаю, будет правильно, если я сейчас немного расскажу о структуре таких файлов. В таком файле обязательными являются только первые две строки, где будут указаны такие параметры, как:

  • FriendlyName – то есть, это имя, которое будет отображаться в компоненте панели управления «Программы и компоненты»;
  • SetupCommand – здесь определяется путь к файлу установки приложения. Естественно, при необходимости вы можете указать как путь UNC, так и использовать сопоставленный диск. Также, если приложение можно устанавливать с дополнительными параметрами, эти параметры следует указывать после пути установки.

Другими словами, при использовании этого метода вам предварительно следует изучить все дополнительные параметры инсталляционных файлов для каждого продукта.

Помимо этих двух параметров, для того, чтобы в расширении CSE «Установка программ» или в компоненте панели управления «Программы и компоненты» отображалась версия приложения и прочая информация, во время написания такого файла вы можете добавить еще и несколько дополнительных параметров. Например, следующие необязательные параметры считаются наиболее распространёнными:

  • DisplayVersion = 2.13.1.5. Как вы понимаете, этот параметр отвечает за отображаемую версию программного обеспечения;
  • Publisher – название компании, являющейся производителем приложения. Это название будет отображено в компоненте панели управления «Программы и компоненты», а также в самом расширении клиентской стороны «Установка программ»;
  • URL – естественно, это адрес в сети Интернет, предназначенный для получения дополнительной информации о приложении.

Ограничения ZAP-файлов

Как я уже успел упомянуть, в отличие от установочных пакетов msi, приложения, развёртываемые средствами zap-файлов, нельзя назначать компьютерам или пользователям. Также стоит отметить, что при установке приложения текущим методом запускается стандартная программа установки.

Другими словами, помимо добавляемых параметров, при помощи каких-либо дополнительных параметров этого файла вы не можете настроить процесс установки программного обеспечения. Еще одним ограничением является тот факт, что приложение не может быть установлено от имени учетной записи администратора, что может быть в некоторых случаях крайне неудобно.

То есть приложения всегда устанавливаются локальным администратором.

При создании ZAP-файлов вы обязательно должны принять к сведению следующие моменты (о некоторых из них я уже говорил несколькими строками выше):

  • Во-первых, ввиду того, что при помощи выполнения ZAP-файла просто запускается инсталляционная программа, как я уже говорил, данное средство не позволяет выполнять инсталляционный процесс с повышенными правами, что можно реализовать при помощи пакетов MSI. Следовательно, если приложение во время своей установки запросит повышение прав, его смогут проинсталлировать только те пользователи, для которых явно прописано такое разрешение;
  • Во-вторых, ввиду того, что ZAP-файлы являются текстовыми документами, при сохранении такого файла можно случайно создать файл с расширением .zap.txt, что, по вполне понятным причинам, не сможет корректно отработать. Другими словами, убедитесь, что файл будет сохранен с правильным расширением;
  • В-третьих, если у вас в сети есть компьютеры с 64-разрядными операционными системами, вам следует обязательно протестировать процесс установки и работы 32-разрядных приложений на таких операционных системах. Это очень важный этап, так как много 32-разрядных приложений, развертываемых при помощи ZAP-файлов, могут сбоить во время своей установки;
  • И в-четвертых, если при создании ZAP-файла с 32-разрядным программным обеспечением вы не измените его поведение, оно не будет отображаться в компоненте панели управления «Программы и компоненты» под 64-разрядными операционными системами.

Думаю, о назначении и применении этих файлов, предназначенных для публикации программного обеспечения, вы уже узнали кое-какую информацию, и настало время попробовать создать и распространить приложение этим методом.

Процесс развертывания происходит следующим образом: прежде всего, информация о процессе установки программного продукта подробным образом записывается в ZAP-файл. Инсталлятор, естественно, должен находиться в общедоступном расположении, так как в противном случае ничего не выйдет. После этого вам необходимо разместить сгенерированный файл в общедоступной точке распространения программного обеспечения. Это делается для того, чтобы созданный вами объект групповой политики мог локализовать этот файл. И в конце концов, создается сам объект GPO, связывается с необходимым подразделением и при помощи расширения клиентской стороны «Установка программ» распространяемый программный продукт публикуется для пользователей.

Рассмотрим эти процессы, начиная с создания самого ZAP-файла.

Создание ZAP-файла

Публиковать мы сейчас будем, как я написал выше, такой программный продукт, как Irfan View, поэтому предварительно инсталляционный файл желательно откуда-то скачать и разместить в общедоступную папку.

Теперь, как я уже говорил, прописав просто путь к исполняемому файлу, во время развертывания программного обеспечения его инсталлятор будет запущен для пользователя. и последнему придется пройти все этапы мастера перед тем, как программа будет установлена.

Для многих пользователей это будет большой проблемой, и по этой причине вместе с путем к инсталляционному файлу нужно указать параметры, предназначенные для тихой установки. Благо, данный программный продукт предоставляет возможность такой установки.

Инсталлятор Irfan View имеет целый перечень различных параметров, которые могут вам помочь во время тихой установки этого продукта. Давайте их рассмотрим:

  • Silent – выполнение тихой установки, то есть без участия пользователя;
  • Folder – папка назначения. Если она при помощи этого параметра не указана, то в таком случае будет использоваться старая папка IrfanView. Если же таковая отсутствует, то используется папка «Program Files\IrfanView»;
  • Desktop – создает ярлык на рабочем столе; 0 = no, 1 = yes (по умолчанию: 0);
  • Thumbs – создает ярлык для режима миниатюр; 0 = no, 1 = yes (по умолчанию: 0);
  • Group – создает группу в меню «Пуск»; 0 = no, 1 = yes (по умолчанию: 0);
  • Allusers – ярлыки на рабочем столе/в меню «Пуск» для пользователей; 0 = для текущего пользователя, 1 = для всех;
  • Assoc – позволяет установить файловые ассоциации; 0 = не устанавливать, 1 = только изображения, 2 = выбрать все (по умолчанию: 0);
  • Assocallusers – если используется этот параметр, то файловые ассоциации устанавливаются для всех пользователей (работает только в Windows XP);
  • Ini – если используется, устанавливает пользовательскую папку для INI файла (допустимы системные переменные).

Следовательно, для установки этого программного обеспечения мы будем использовать примерно такую команду:

iview435_setup.exe /silent /desktop=1 /thumbs=1 /allusers=1 /assoc=1

Теперь, когда мы точно знаем, при помощи какой команды будет происходить установка этого программного продукта, можно приступать к написанию самого zap-файла. Следовательно, чтобы составить такой файл, выполним следующие действия:

  1. Открываем любой текстовый редактор, например, тот же «Блокнот»;
  2. В самой первой строке создаваемого файла указывается секция Application, заключенная в прямоугольные скобки. То есть, записываем в этой строке так: [Application];
  3. Как я уже успел написать выше, здесь две строки являются обязательными, а именно: строка FriendlyName и строка SetupCommand. Как в первой, так и во второй строке значения указываются после равно в кавычках. Знак равно обрамляется пробелами. То есть, получаем такие строки:
    FriendlyName = “Irfan View”
    SetupCommand = “\\ИМЯСЕРВЕРА\Install\…, а дальше идет имя нашего инсталляционного файла со всеми параметрами “iview435_setup.exe” /silent /desktop=1 /thumbs=1 /allusers=1 /assoc=1

Источник: https://habr.com/ru/post/174743/

Установка программного обеспечения средствами групповой политики. Часть 1

Установка программы через групповую политику

В каждой организации, перед пользователями разных отделов встает необходимость в использовании различного программного обеспечения, как от корпорации Microsoft (например, продукты Microsoft Office), так и от сторонних производителей программного обеспечения.

Некоторые системные администраторы предпочитают ходить по рабочим местам своих пользователей и устанавливать программные продукты вручную.

Этот метод нельзя считать удачным, так как в таком случае системному администратору понадобиться потратить не один день, чтобы установить программные продукты всем пользователям в организации, которая насчитывает даже 50 человек, не говоря уже об организациях, где работают сотни, а то и тысячи пользователей.

В ИТ-среде, для развертывания автоматизации программного обеспечения в Windows-системах существует несколько решений. Такие решения можно найти как у сторонних производителей программного обеспечения, так и у корпорации Microsoft.

К продуктам, предназначенным для развертывания программного обеспечения, созданным компанией Microsoft можно отнести такие продукты как System Center Configuration Manager (MS SCCM), ранее известный как Microsoft Systems Management Server (SMS), его бюджетный вариант System Center Essentials, а также System Center Updates Publisher.

Если же вы не планируете затратить дополнительные расходы на приобретение комплексных решений, предназначенных для развертывания и инвентаризации операционных систем и программного обеспечения, вы можете воспользоваться функционалом групповой политики.

Если в сети вашей организации все пользователи и компьютеры входят в домен Active Directory, у вас уже не осталось рабочих мест, работающих под операционными системами Windows 9х или Windows NT, то это решение, скорее всего, вам подойдет. Функционал групповой политики предоставляет администраторам простой и удобный пользовательский интерфейс, предназначенный для установки, обновления и удаления программного обеспечения. Не так давно, в одной из статей цикла по структуре групповой политики, рассматривался процесс публикации программного обеспечения, реализуемый средствами расширения клиентской стороны «Установка программ». В этой статье вы узнаете о том, как работать с этим расширением CSE.

Первое знакомство с узлом «Установка программ»

Перед тем как начать распространять установочные пакеты программного обеспечения на клиентские компьютеры, следует немного разобраться с узлом оснастки «Редактор управления групповой политикой», предоставляющим такую возможность.

Чтобы перейти к расширению CSE «Установка программ», на контроллере домена, в оснастке «Управление групповой политикой» создайте новый объект GPO, перейдите к оснастке «Редактор управления групповой политикой», выбрав команду «Изменить» контекстного меню, созданного вами объекта групповой политики и в дереве консоли отобразившейся оснастки, разверните узел «Конфигурация программ». В данном узле вы найдете только одно расширение клиентской стороны «Установка программ», для которого в панели сведений по умолчанию нет ни одного параметра политики. Для этого расширения клиентской стороны вы можете задавать настройки, которые будут считаться предпочтительными при создании новых инсталляционных пакетов программного обеспечения. Выделите узел «Установка программ», нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Свойства». В отобразившемся диалоговом окне свойств узла установки программ, вы можете задавать настройки параметров установки программного обеспечения по умолчанию на следующих четырех вкладках:

  • Общие. Расширение клиентской стороны «Установка программ» предоставляет возможность развертывания программного обеспечения для пользователей или компьютеров путем публикации или назначения. Так как не на каждом пользовательском компьютере можно найти инсталляционные пакеты программного обеспечения, перед развертыванием приложений необходимо скопировать инсталляционный пакет в общедоступное сетевое размещение, причем, доступ к этому ресурсу должен быть предоставлен не только пользователям, но и компьютерам, для которых будут устанавливаться приложения. Соответственно, если программное обеспечение будет устанавливаться для всех пользователей на конкретном компьютере, то вам следует предоставить доступ для чтения для учетной записи компьютера, а если приложения будут распространяться на пользователей, то для общего ресурса следует указать доступ для чтения пользователям. Если вы хотите, чтобы при создании новых инсталляционных пакетов у вас всегда было установлено определенное расположение, на вкладке «Общие» диалогового окна свойств узла «Установка программ», укажите путь к сетевому ресурсу в текстовом поле «Расположение пакетов по умолчанию». Помимо установки расположения по умолчанию, вы можете указать при помощи параметров пользовательского интерфейса способ добавления новых пакетов программного обеспечения. Вы можете принудительно указать публикацию или назначение программного обеспечения, выбрать особый метод установки, позволяющий указать публикацию или назначение с доступной настройкой дополнительных свойств инсталляционного пакета или выбрать опцию «Открывать диалоговое окно «Развертывание программ»», предназначенную для выбора метода добавления новых программных пакетов в ручном режиме. Еще на текущей вкладке вы можете указать пользовательский интерфейс, который будет доступен при установке программного обеспечения пользователям. На этом этапе установим расположение инсталляционных пакетов, а остальные опции оставим без изменений. Данная вкладка диалогового окна свойств расширения CSE «Установка программ» отображена ниже:

    Рис. 1. Вкладка «Общие» диалогового окна свойств узла «Установка программ»

  • Дополнительно. На вкладке «Дополнительно» вам предоставляется возможность управления параметрами, предназначенными для автоматического удаления неуправляемых приложений, публикации информации OLE при развертывании приложений в Active Directory, а также доступа к 32-разрядным приложениям на 64-разрядных операционных системах. По умолчанию, 32-разрядные инсталляторы программного обеспечения с установщиком Windows Installer доступны для компьютеров с 64-разрядной архитектурой. Если для развертывания 32-разрядных приложений вы используете низкоуровневые zap-файлы, которые также придется развертывать на 64-разрядных платформах, установите соответствующий флажок. Вкладку «Дополнительно» текущего диалогового окна вы можете увидеть на следующей иллюстрации:

    Рис. 2. Вкладка «Дополнительно» диалогового окна свойств узла «Установка программ»

  • Расширения файлов. В том случае, если вы назначаете или публикуете приложение, оно может быть установлено как при загрузке компьютера, выполнении пользователем входа в систему, а также при открытии документа, который сопоставляется с данным приложением. Чаще всего, с одним расширением ассоциируется одно приложение. Например, файлы с расширением *.docx в подавляющем большинстве случаев ассоциируются с программой Microsoft Office Word. А вот, например, файлы с расширением *.jpeg могут открываться как в Microsoft Paint, так и в таких приложениях как «Фотоальбом Windows Live», графический редактор Adobe Photoshop и многих других. И для того чтобы при открытии файла с определенным расширением устанавливалось именно то приложение, которое вам нужно, следует воспользоваться возможностями, предоставленными на вкладке «Расширения файлов». На этой вкладке выберите нужное файловое расширение из раскрывающегося списка «Выберите расширение». После того как вы выберите нужное расширение, в области «Порядок приложений» будут отображены все программы, ассоциированные в Active Directory с текущим расширением. Очередность программ можно изменять по нажатию на кнопку «Вверх» и «Вниз». Соответственно, если пользователь откроет файл с выбранным вами расширением, а необходимое программное обеспечение на его компьютере не установлено, операционная система установит первое, указанное в данном списке приложение. Эту вкладку вы можете увидеть на следующей иллюстрации:

    Рис. 3. Вкладка «Расширения файлов» диалогового окна свойств узла «Установка программ»

  • Категории. Последняя вкладка доступная для настройки параметров узла «Установка программ», предназначена для создания списка категорий для программ, отображаемых в окне «Установка и удаление программ» операционной системы Windows XP. Доступны опции для создания, редактирования и удаления существующей категории программ. Например, чтобы создать новую категорию программ, нажмите на кнопку «Добавить» и в отобразившемся диалоговом окне «Ввод новой категории» задайте наименование создаваемой вами категории программного обеспечения. На следующей иллюстрации вы можете увидеть вкладку «Категории» с диалоговым окном изменения созданной ранее категории «Безопасность»:

    Рис. 4. Вкладка «Категории» диалогового окна свойств узла «Установка программ»

Публиковать или назначать?

Как вы знаете, функционал политик расширения клиентской стороны групповой политики «Установка программ» предусматривает два варианта развертывания программного обеспечения для пользователей и компьютеров.

При создании инсталляционных пакетов, развертываемых при помощи расширения клиентской стороны «Установка программ» групповой политики вопрос, связанный с тем, нужно ли назначать или публиковать приложение возникает чаще всего.

Руководствоваться выбором опции развертывания программного обеспечения следует, исходя из следующих соображений:

  • будет ли программой пользоваться один пользователь, независимо от компьютера, на котором он выполняет вход или будут ею пользоваться несколько сотрудников на одной рабочей станции;
  • должно ли приложение установиться автоматически или дать возможность пользователю установить эту программу при необходимости;
  • должны ли пользователи иметь возможность удалять развернутое приложение;
  • есть ли необходимость в создании установочного файла низкоуровневого пакета приложения.

Прежде всего, перед тем как создавать политики распространения программного обеспечения вам нужно определить, будет ли приложение устанавливаться для компьютера или для пользователя, который может выполнить вход в домен с любого компьютера в организации.

Например, если определенной программе нужен доступ к системному реестру без повышения пользовательских полномочий, ее целесообразно устанавливать в папку %USERPROFILE%, другими словами, устанавливать для пользователя.

Некоторые программы, такие как Microsoft Office устанавливаются для всех пользователей на компьютере, соответственно, такой программный продукт нужно устанавливать для компьютера.

На этом этапе можно уже отчасти определиться, какую опцию развертывания программного обеспечение следует выбрать, так как публиковать программы можно только для пользователя, а назначать программы можно как для компьютера, так и для пользователя. Другими словами, опубликованные приложения пользователи могут установить по своему желанию, а назначенные программные продукты считаются обязательными и устанавливаются самостоятельно.

Назначенные программы для компьютера устанавливаются при следующем запуске компьютера, а приложения, назначаемые для пользователей, будут доступны для установки в виде ярлыка на рабочем столе и в меню «Пуск» при следующем выполнении входа пользователя в систему.

То есть, при назначении приложения обновляются параметры системного реестра на пользовательском компьютере, а также создаются ярлыки на рабочем столе и в меню «Пуск».

К основному преимуществу назначения программного обеспечения для компьютера также можно отнести тот факт, что от пользователя не требуется никаких действий, то есть, пользователь выполнил вход в систему, программа уже установлена и ее можно запустить, воспользовавшись ярлыком на рабочем столе.

В случае с публикацией приложения, приложение автоматически не устанавливается и ярлык для данного приложения невозможно будет найти на рабочем столе или в меню «Пуск». Его установку можно настроить при открытии пользователем программы из окна «Программы и компоненты», а также можно указать настройки для установки программного обеспечения при попытке открытия файла с расширением, сопоставленным с устанавливаемой программой.

Также стоит обратить внимание на то, что если вам нужно предоставить возможность пользователю удалить программу из своего компьютера, вам следует или опубликовать такое приложение или назначить его для пользователя.

Причем, в случае с опубликованным приложением, пользователь его сможет установить повторно из панели управления, а в случае с назначением, программа, доступная для установки будет отображена на рабочем столе в виде ярлыка, а также в меню «Пуск».

Последний момент, который следует учесть перед выбором опции развертывания приложений – это поддержка форматов установочных файлов.

Назначенные приложения поддерживают только формат установщика Windows Installer, то есть, если перед вами встанет необходимость автоматизации установки низкоуровневых пакетов приложений zap, такое программное обеспечение вам придется только опубликовывать.

Продолжение следует.

Rating: 9.7/10 (19 votes cast)Установка программного обеспечения средствами групповой политики. Часть 1, 9.7 10 19 ratings

Источник: http://gpo-planet.com/?p=2195

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.