Исправим вместе с вами ошибки, настроем драйверы, удалим вирусы и другое
Установка программ через домен windows server
В этой статье мы рассмотрим, как устанавливать программы на компьютеры пользователей домена Active Directory с помощью групповых политик.
Встроенный функционал GPO Windows позволяет устанавливать только программы, распространяющееся в виде MSI или ZAP пакетов. Другие виды программ придется устанавливать альтернативными средствами: с помощью SCCM, через логон скрипты, копирование файлов программы на компьютеры с помощью GPO, запуском разовых скриптов и т.д.
Содержание:
Получите установочный MSI пакет программы
Создаем GPO для установки программы на компьютеры пользователей
Изменение параметров MSI пакета для установки через GPO
Получите установочный MSI пакет программы
Рассмотрим, как установить MSI пакет программы на компьютеры пользователей с помощью групповых политик Windows на примере клиента Microsoft Teams.
Скачайте MSI пакет с клиентом Teams (http://aka.ms/teams64bitmsi) и скопируйте файл Teams_windows_x64.msi в каталог SYSVOL на контроллере домена ( \\winitpro.ru\SysVol\winitpro.ru\scripts
).
Обратите внимание, что есть x86 и x64 версии MS Teams. Если у вас остались компьютеры x86 версиями Windows, вам нужно создать отдельные политики для x86 и x64 компьютеров. Для фильтрации версий Windows в политиках можно использовать WMI фильтры GPO.
Далеко не все программы предоставляются в виде MSI файла. Чаще всего разработчики отдают их в виде исполняемых EXE файлов, которые не подходят для распространения через GPO. Но есть два способа, которые в некоторых случаях получить установочный MSI программы:
Некоторые установщики при запуске распаковывают свои файлы в каталог %temp%. Поэтому при установке программы (просто сверните окно установки) попробуйте открыть этот каталог и найти в нем установочный MSI файл.
Другой способ получения MSI файла – попробовать открыть установочный EXE файл с помощью архиватора 7-Zip. Запустите 7-Zip и в меню выберите File -> 7ZIP –> Open Archive. 7ZIP попробует открыть EXE файл в как архив. В нашем случае из EXE файла с дистрибутивом Acrobat Reader получилось извлечь MSI и MST файлы, которые готовы для установки через групповые политики Windows.
Создаем GPO для установки программы на компьютеры пользователей
Теперь нужно создать новую политику в домене для установки вашего ПО.
Откройте консоль управления доменными GPO ( gpmc.msc
);
Создайте новую GPO (CorpInstallTeams)и назначьте ее на OU с компьютерами, на которые нужно выполнить установку (Create a GPO in this domain, and link it here);
Откройте политику и перейдите в раздел Computer Configuration -> Policies -> Software Settings -> Software installation;
Выберите пункт меню New -> Package;
Выберите ваш MSI файл, который хранится в каталоге SYSVOL;
Выберите опцию “Advanced” и нажмите OK;
Assigned – программы устаналиваются при входе пользователя, Published – публикуюция на компьютерах и могут быть установлены пользователями из Add/Remove Programs.
В открывшемся окне можно настроить дополнительные параметры MSI пакета. Я просто изменю отображаемое имя с Teams Machine-Wide Installer на Microsoft Teams Client;
На вкладке Deployment нажмите кнопку Advanced и включите опцию Ignore language when deploying this package (это позволит игнорировать язык Windows на компьютерах клиентов);
Перезагрузите компьютер для обновления настроек GPO и при следующей загрузке компьютера будет выполнена установка программы. Она появится в списке установленных программ Windows. Для анализа событий установки включите фильтр по источнику Application Management Group в разделе System Event Viewer-а.
Можно показывать детальный процесс применения политики на компьютере. Для этого включите параметр Display highly detailed status messages в Computer Configuration -> Policies -> Administrative Templates -> System. Теперь при загрузке Windows будет отображаться все выполняемые в фоне процессы. При установке программ через GPO появится надпись Installing managed software AppName;
Изменение параметров MSI пакета для установки через GPO
В стандартном интерфейсе GPO вы не можете указать определенные ключи для установочных MSI пакетов. Что очень неудобно. Например, при установке антивируса вам нужно указать адрес сервера управления. Или при при установке Teams из командой строки с помощью msiexec можно отключить автозапуск клиент MSTeams и скрыть его из списка установленных программ (локальный администратор не сможет удалить клиент Teams). Для этого используется команда:
Как добавить опции установки в MSI пакет? Для этого используются файлы преобразования MST. Этот тип файлов позволяет изменить стандартные настройки MSI пакета и использовать ваш сценарий установки.
Для создания файла модификации MST для MSI пакетов можно использовать утилиту ORCA (входит в состав Windows Installer SDK).
Откройте ваш MSI пакет с помощью Orca.
Создайте New Transformation и задайте ваши кастомные параметры MSI пакета в разделе Property. В моем случае для клиента Teams я изменю:
noAutoStart на True
ALLUSERS на 0
Выберите Transform -> GenerateTransform и сохраните изменения в файл с расширением MST (teams_mod.mst). Скопируйте файла в каталог SYSVOL
Теперь нужно удалить предыдущее правило для установки MSI пакета в GPO (т.к. вы можете добавить MST с модификациями пакет только при создании правила установки программы.
Выберите All –> Task -> Remove
Создайте новое правило установки программы, опять выберите msi файл в каталоге SYSVOL и перейдите на вкладку Modification. Нажмите кнопку Add. Выберите созданный ранее MST файл.
Теперь во время установки MSI пакета через GPO к нему автоматически применится файл модификаций MST и установит программу с нужными вам параметрами.
Основные недостатки метода установки MSI программ через GPO:
Поддерживаются только MSI и ZAP установщики;
Нельзя запланировать установку программы на определенное время. Одновременная установка программы на множестве компьютеров (обычно это происходит утром при включении компьютеров) может вызвать нагрузку на сеть и DC. В этом случае лучше использовать, например, SCCM. Используя окна обслуживания (maintenance) или настройки WOL (Wake On LAN);
Нельзя изменить порядок установки программ в одной политике. При добавлении нового установочно пакета в GPO, оно устанавливается последним.
Нельзя получить отчет об успешности или ошибках установки программы на компьютерах.
В этой статье я расскажу как устанавливать программы на пользовательские компьютеры с помощью групповых политик. Рассмотрим такой процесс как установка программ через домен Windows Server.
Итак, этот материал рассчитан на людей, которые уже умеют установить и настроить домен на Windows Server (этот материал является продолжением статьи).
Групповые политики используются для централизованного управления пользователями домена. Они позволяют управлять настройками операционной системы клиентских машин. Администратор домена может контролировать, настраивать различные компоненты операционных систем компьютеров, входящих в состав домена.
Групповые политики применяются при настройках системы безопасности. Настройки безопасности могут распространяться на определенные группы пользователей или конкретного пользователя. Политика безопасности позволяет конфигурировать большое количество субъектов безопасности по одним параметрам.
Управление установкой и удалением программ может осуществляться при помощи групповых политик. Главный плюс в том, что если нужно установить программу на 100 компьютеров, не нужно делать это вручную, используя групповые политики можно выполнить установки на всех компьютерах централизованно.
Подготовка к установке программ
Создайте каталог для хранения установочных файлов (например, C:\Install). Установочные файлы программ должны быть в формате установочных пакетов Microsoft (расширение — msi). Для примера я установлю архиватор 7z.
Откройте общий доступ к созданному каталогу при помощи вкладки «Доступ» свойств каталога.
Запустите «Active Directory –> пользователи и компьютеры» (Пуск –> Администрирование –> Active Directory –> пользователи и компьютеры.
В домене создайте новое подразделение, для установки программы, в моем случае это Install подразделение.
Переместите в созданное подразделение доступный компьютер из подразделения «Computers».
Создайте новую групповую политику для созданного подразделения.
Свяжите подразделение с политикой, нажмите правой кнопкой на созданное подразделение и выберите «Связать существующий объект групповой политики…», затем выберите созданный ранее объект в списке и нажмите «ОК».
Установка программ через домен
Откройте созданную групповую политику. Создание заданий на установку программного обеспечения на компьютерах, входящих в домен, осуществляется в разделе Конфигурация компьютера –> Конфигурация
программ –> Установка программ. В контекстном меню раздела Установка программ выберите «Создать» и укажите полный сетевой путь к месту расположения установочного файла – C\Install. В появившемся окне выберите «Назначенный» метод развёртывания.
Программа будет установлена на клиентскую машину после перезагрузки.
Обновление программного обеспечения при помощи групповых политик
Скачайте последнюю версию программы и скопируйте ее в папку с общим доступом. Процедура обновления программного обеспечения с помощью групповых политик аналогична процедуре установки программ. Но, на этапе выбора метода развертывания нужно выбрать метод развертывания.
Нажмите «ОК», после чего перейдите на вкладку «Обновления», выберите приложение которые нужно обновить и нажмите «ОК».
Для применения изменённых параметров групповой политики клиентские компьютеры перезагрузятся дважды.
Удаление программного обеспечения при помощи групповых политик
Существует два варианта удаления заданий на установку программного обеспечения:
Первый вариант позволяет удалить не только задание, но и программу, установленную на рабочие станции.
Второй вариант удаляет только задание.
Нажмите правой кнопкой на программу и выберите «Все задачи» -> «Удалить».
После чего выберите один из вариантов удаления.
Анатолий Бузов / об авторе
Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.
Ни для кого не является секретом то, что в организациях установка приложений на клиентские компьютеры должна быть (или, если честно, то рекомендуется, чтобы была) автоматизированной. Естественно, комплексные продукты, например, такие как Microsoft System Center Configuration Manager, могут превосходно справляться с такой задачей, однако ведь всегда были, есть и будут организации, которые по той или иной причине не приобрели себе такой продукт. Поэтому приходится устанавливать программные продукты с помощью тех же штатных средств операционных систем Windows, и для выполнения такой задачи предпочтительными становятся функциональные возможности групповой политики.
Также все прекрасно знают и о том, что при помощи расширения клиентской стороны Group Policy Software Installation – GPSI, приложения можно развертывать на клиентские машины двумя методами: либо путем публикации только для пользователей, либо при помощи назначения для пользователей или компьютеров.
Для чего нужны ZAP-файлы?
По большому счету, для публикации приложений можно использовать как MSI-инсталляторы, так и *.zap-файлы, причем оба пакета установки обрабатываются по-разному. Например, файл пакета установки программного обеспечения MSI содержит базу данных со всеми необходимыми инструкциями по установке или удалению приложения, а за установку программы на клиентском компьютере отвечает служба «Установщик Windows», использующая для чтения файлов *.msi библиотеку Msi.dll. Соответственно, на основании объявленной в инсталляционном пакете информации данная служба копирует файлы программы на жесткий диск, а также вносит изменения в реестр и выполняет прочие задачи, указанные в инсталляторе. Чаще всего вся информация, указанная в инсталляционном msi-файле, задается разработчиком устанавливаемого программного продукта.
Однако, так как не все производители программного обеспечения используют инсталляционные файлы установщика Windows, в некоторых случаях может понадобиться создавать пакеты низкоуровневых приложений на основе инициативы нулевого администрирования (в оригинале это звучит как ZAW – Zero Administration for Windows), то есть *.zap-файлы, являющиеся текстовыми файлами с необходимыми инструкциями по установке приложения. После создания такого файла его необходимо поместить в папку с инсталляционным пакетом, чтобы расширение клиентской стороны смогло выполнить инструкции по установке, после публикации которого приложение появится в компоненте панели управления «Программы и компоненты», и пользователи смогут его установить. Но, в отличие от MSI-инсталлятора, у zap-файлов есть такие существенные ограничения, как, например, то, что у вас не получится настроить процесс установки приложения, если инсталлятор не содержит параметров установки.
Сразу хотелось бы отметить, что данный метод не настолько гибкий, как установка программного обеспечения при помощи инсталляционных пакетов MSI, однако, в том случае, если у вас нет возможности сконвертировать инсталляционный файл, а приложение обязательно должно быть централизовано развернуто, такой метод может оказаться как никогда кстати. Ввиду того, что в такой текстовый файл вносятся инструкции по установке существующего exe-файла, как для 32-, так и для 64-разрядных приложений, возможности инсталляции программных продуктов при помощи данного метода не предусматривают следующие возможности:
Запуск приложений с повышенными привилегиями;
Откат изменений при неудачном процессе установки программного обеспечения;
Обнаружение повреждения процесса инсталляции и последующее восстановление данного процесса;
Установка компонентов программного обеспечения при первом обращении к последнему;
Использование и внедрение файлов трансформации.
И это лишь основная часть тех вещей, которые вы не сможете выполнять во время развертывания программного обеспечения средствами ZAP-файлов. Между прочим, развертывание приложений таким образом можно реализовать лишь путем публикации приложений. Так что пользователи, как я уже упомянул несколькими строками выше, смогут установить такие продукты непосредственно из страницы «Install a program from the network» компонента панели управления «Программы и компоненты».
Прежде чем как мы с вами начнем создавать такой файл и пробовать при помощи него, исключительно в тестовых целях, развертывать такой программных продукт, как Irfan View, думаю, будет правильно, если я сейчас немного расскажу о структуре таких файлов. В таком файле обязательными являются только первые две строки, где будут указаны такие параметры, как:
FriendlyName – то есть, это имя, которое будет отображаться в компоненте панели управления «Программы и компоненты»;
SetupCommand – здесь определяется путь к файлу установки приложения. Естественно, при необходимости вы можете указать как путь UNC, так и использовать сопоставленный диск. Также, если приложение можно устанавливать с дополнительными параметрами, эти параметры следует указывать после пути установки.
Другими словами, при использовании этого метода вам предварительно следует изучить все дополнительные параметры инсталляционных файлов для каждого продукта.
Помимо этих двух параметров, для того, чтобы в расширении CSE «Установка программ» или в компоненте панели управления «Программы и компоненты» отображалась версия приложения и прочая информация, во время написания такого файла вы можете добавить еще и несколько дополнительных параметров. Например, следующие необязательные параметры считаются наиболее распространёнными:
DisplayVersion = 2.13.1.5. Как вы понимаете, этот параметр отвечает за отображаемую версию программного обеспечения;
Publisher – название компании, являющейся производителем приложения. Это название будет отображено в компоненте панели управления «Программы и компоненты», а также в самом расширении клиентской стороны «Установка программ»;
URL – естественно, это адрес в сети Интернет, предназначенный для получения дополнительной информации о приложении.
Ограничения ZAP-файлов
Как я уже успел упомянуть, в отличие от установочных пакетов msi, приложения, развёртываемые средствами zap-файлов, нельзя назначать компьютерам или пользователям. Также стоит отметить, что при установке приложения текущим методом запускается стандартная программа установки. Другими словами, помимо добавляемых параметров, при помощи каких-либо дополнительных параметров этого файла вы не можете настроить процесс установки программного обеспечения. Еще одним ограничением является тот факт, что приложение не может быть установлено от имени учетной записи администратора, что может быть в некоторых случаях крайне неудобно. То есть приложения всегда устанавливаются локальным администратором.
При создании ZAP-файлов вы обязательно должны принять к сведению следующие моменты (о некоторых из них я уже говорил несколькими строками выше):
Во-первых, ввиду того, что при помощи выполнения ZAP-файла просто запускается инсталляционная программа, как я уже говорил, данное средство не позволяет выполнять инсталляционный процесс с повышенными правами, что можно реализовать при помощи пакетов MSI. Следовательно, если приложение во время своей установки запросит повышение прав, его смогут проинсталлировать только те пользователи, для которых явно прописано такое разрешение;
Во-вторых, ввиду того, что ZAP-файлы являются текстовыми документами, при сохранении такого файла можно случайно создать файл с расширением .zap.txt, что, по вполне понятным причинам, не сможет корректно отработать. Другими словами, убедитесь, что файл будет сохранен с правильным расширением;
В-третьих, если у вас в сети есть компьютеры с 64-разрядными операционными системами, вам следует обязательно протестировать процесс установки и работы 32-разрядных приложений на таких операционных системах. Это очень важный этап, так как много 32-разрядных приложений, развертываемых при помощи ZAP-файлов, могут сбоить во время своей установки;
И в-четвертых, если при создании ZAP-файла с 32-разрядным программным обеспечением вы не измените его поведение, оно не будет отображаться в компоненте панели управления «Программы и компоненты» под 64-разрядными операционными системами.
Думаю, о назначении и применении этих файлов, предназначенных для публикации программного обеспечения, вы уже узнали кое-какую информацию, и настало время попробовать создать и распространить приложение этим методом.
Процесс развертывания происходит следующим образом: прежде всего, информация о процессе установки программного продукта подробным образом записывается в ZAP-файл. Инсталлятор, естественно, должен находиться в общедоступном расположении, так как в противном случае ничего не выйдет. После этого вам необходимо разместить сгенерированный файл в общедоступной точке распространения программного обеспечения. Это делается для того, чтобы созданный вами объект групповой политики мог локализовать этот файл. И в конце концов, создается сам объект GPO, связывается с необходимым подразделением и при помощи расширения клиентской стороны «Установка программ» распространяемый программный продукт публикуется для пользователей.
Рассмотрим эти процессы, начиная с создания самого ZAP-файла.
Создание ZAP-файла
Публиковать мы сейчас будем, как я написал выше, такой программный продукт, как Irfan View, поэтому предварительно инсталляционный файл желательно откуда-то скачать и разместить в общедоступную папку.
Теперь, как я уже говорил, прописав просто путь к исполняемому файлу, во время развертывания программного обеспечения его инсталлятор будет запущен для пользователя. и последнему придется пройти все этапы мастера перед тем, как программа будет установлена. Для многих пользователей это будет большой проблемой, и по этой причине вместе с путем к инсталляционному файлу нужно указать параметры, предназначенные для тихой установки. Благо, данный программный продукт предоставляет возможность такой установки.
Инсталлятор Irfan View имеет целый перечень различных параметров, которые могут вам помочь во время тихой установки этого продукта. Давайте их рассмотрим:
Silent – выполнение тихой установки, то есть без участия пользователя;
Folder – папка назначения. Если она при помощи этого параметра не указана, то в таком случае будет использоваться старая папка IrfanView. Если же таковая отсутствует, то используется папка «Program Files\IrfanView»;
Desktop – создает ярлык на рабочем столе; 0 = no, 1 = yes (по умолчанию: 0);
Thumbs – создает ярлык для режима миниатюр; 0 = no, 1 = yes (по умолчанию: 0);
Group – создает группу в меню «Пуск»; 0 = no, 1 = yes (по умолчанию: 0);
Allusers – ярлыки на рабочем столе/в меню «Пуск» для пользователей; 0 = для текущего пользователя, 1 = для всех;
Assoc – позволяет установить файловые ассоциации; 0 = не устанавливать, 1 = только изображения, 2 = выбрать все (по умолчанию: 0);
Assocallusers – если используется этот параметр, то файловые ассоциации устанавливаются для всех пользователей (работает только в Windows XP);
Ini – если используется, устанавливает пользовательскую папку для INI файла (допустимы системные переменные).
Следовательно, для установки этого программного обеспечения мы будем использовать примерно такую команду: iview435_setup.exe /silent /desktop=1 /thumbs=1 /allusers=1 /assoc=1
Теперь, когда мы точно знаем, при помощи какой команды будет происходить установка этого программного продукта, можно приступать к написанию самого zap-файла. Следовательно, чтобы составить такой файл, выполним следующие действия:
Открываем любой текстовый редактор, например, тот же «Блокнот»;
В самой первой строке создаваемого файла указывается секция Application, заключенная в прямоугольные скобки. То есть, записываем в этой строке так: [Application];
Как я уже успел написать выше, здесь две строки являются обязательными, а именно: строка FriendlyName и строка SetupCommand. Как в первой, так и во второй строке значения указываются после равно в кавычках. Знак равно обрамляется пробелами. То есть, получаем такие строки: FriendlyName = “Irfan View” SetupCommand = “\\ИМЯСЕРВЕРА\Install\…, а дальше идет имя нашего инсталляционного файла со всеми параметрами “iview435_setup.exe” /silent /desktop=1 /thumbs=1 /allusers=1 /assoc=1
При необходимости вы также можете добавлять комментарии, поставив в начале строки точку с запятой. Например, на новой строке добавим комментарий, где напишем, как будет устанавливаться наша программа: ; Программа устанавливается в тихом режиме, с созданием ярлыков на рабочем столе, ярлыка для миниатюр, причем для всех пользователей с ассоциацией только графических изображений
Теперь мы можем заняться дополнительными параметрами, при помощи которых определим версию программы, ее издателя и URL-адрес для поддержки. Другими словами, будут применяться параметры DisplayVersion, Publisher, а также URL: DisplayVersion = 4.35 Publisher = IrfanView URL = www.irfanview.com
Сохраняем получившийся файл с расширением zap. Например, пусть этот файл у нас называется «IrfanView.zap».
Другими словами, должно получиться приблизительно следующее:
Рис. 1. Готовый ZAP-файл
Файл практически готов для дальнейшего развертывания. Нам осталось лишь разместить его в общедоступной точке распространения программного обеспечения. Например, если наша точка SDP – это папка Install, создадим там папку «ZAP Files» и поместим туда этот файл. Готово. Теперь можно и переходить непосредственно к распространению программного обеспечения.
Развертывание Irfan View при помощи сгенерированного ранее ZAP-файла
Теперь, на заключительном этапе, следует перейти к оснастке «Group Policy Management» и выполнить следующие действия:
Создается новый объект групповой политики (естественно, при желании вы можете воспользоваться также и любым из существующих объектов GPO), пусть он называется «ZAP Files Publication». Он связывается либо с конкретным подразделением, в которое входят учетные записи пользователей, либо с уровнем всего домена, и из контекстного меню данного объекта следует выбрать соответствующую команду, предназначенную для открытия редактора управления групповыми политиками;
После этого, уже находясь в оснастке «Group Policy Management Editor», нам необходимо развернуть узел User Configuration\Policies\Software Settings, затем перейти к узлу «Software Installation». Чтобы приложение нормально опубликовалось, следует перейти к настройкам данного узла. Другими словами, из контекстного меню данного узла выбираем команду «Properties»;
Здесь, как я уже сказал, чтобы мы смогли без проблем опубликовать наше приложение, нам следует в свойствах этого расширения клиентской стороны указать путь к точке распространения, то есть «\\НАШСЕРВЕР\Install». Помимо этого, на вкладке «Advanced» обязательно необходимо установить флажок на опции «Make 32-bit X86 down-level (ZAP) applications available to Win64 machines». Этих настроек для нас достаточно, сохраняем все внесенные изменения;
Рис. 2. Настройка расширение CSE GPSI
Теперь уже можно создавать политику распространения программного обеспечения. Другими словами, из контекстного меню данного узла выбираем команду, предназначенную для создания нового пакета. Теперь в отобразившемся диалоговом окне выбираем из раскрывающегося списка типов файлов тип «ZAW Down-level applications package (*.zap)», а затем переходим к папке с созданным ранее файлом ZAP. Естественно, на данном этапе следует выбрать именно этот файл, как показано на следующей иллюстрации:
Рис. 3. Добавление ZAP-файла для развертывания ПО
В связи с тем, что нам особо и не нужно добавлять какие-то дополнительные опции для этого пакета, в отобразившемся диалоговом окне «Deploy Software» среди всех доступных вариантов останавливаемся на «Published» и создаем инсталляционный пакет.
В конечном счете, узел «Software Installation» данной оснастки должен выглядеть следующим образом:
Рис. 4. Оснастка Group Policy Management Editor после создания пакета
Готово, осталось лишь проверить все внесенные изменения. Сейчас можно даже на текущей машине обновить параметры политики. Сделаем это принудительно, то есть вместе с командой Gpupdate укажем параметры /force /boor /logoff.
Осталось только проинсталлировать опубликованный пакет. Для этого мы заходим в панель управления и переходим к компоненту «Programs and Features». Затем для того, чтобы попасть к расположению, откуда будет проинсталлирован опубликованный продукт, следует перейти по ссылке «Install a program from the network».
Как видите на следующей иллюстрации, здесь можно найти наш Irfan View.
Рис. 5. Приложение, доступное для инсталляции
Заключение
Собственно, как это ни было бы печально, на этой ноте процесс развертывания программного обеспечения средствами функциональных возможностей групповой политики совместно с ZAP-файлами подходит к концу. Из этой статьи вы узнали о том, что собой представляют ZAP-файлы, в каких сценариях их следует использовать, а когда нужно будет останавливаться на иных решениях. Вы узнали о самом синтаксисе таких файлов, а также, естественно, о том, как можно создать такой файл, а затем – как распространить программный продукт при помощи такого файла. Напишите в комментариях, приходилось ли вам в своей практике развертывать программные продукты таким способом и, если не секрет, что именно за приложения вы так развертывали, и встречались ли вам при использовании этого метода какие-либо подводные камни?
Доброго времени суток, друзья. Представляю вашему вниманию первый дополнительный урок к курсу «Администрирование Windows Server 2016». По многочисленным просьбам членов закрытой академии я решил более подробно осветить тему работы с групповыми политиками. В этом выпуске речь пойдёт об установке типового набора программ на большое количество компьютеров в пределах локальной сети.
Так как данный урок является логическим продолжением курса, все виртуальные машины у нас уже созданы и настроены. В принципе, если вы уже обладаете базовыми навыками администрирования серверных операционных систем семейства Windows, дальнейшие действия не вызовут затруднений. Остальным подписчикам, я настоятельно рекомендую предварительно ознакомиться с базовой настройкой сервера, которую мы подробно разбирали во второй и третьей главе курса, и лишь затем вникать в тонкости конфигурирования групповых политик для решения специфических задач.
Что ж, прежде чем мы приступим к непосредственной работе с виртуальным полигоном, давайте сформулируем простенькое техническое задание. Допустим, нам необходимо установить с сервера:
Программу для удалённого доступа LiteManager на клиентский ПК;
Архиватор WinRAR на все компьютеры нашего домена.
Установка программ с расширением MSI
LiteManager является одной из лучших программ для удалённого управления компьютерами. В последних проектах я всё чаще использую её, игнорируя старый добрый RAdmin. По функционалу она значительно интереснее и заслуживает в будущем отдельного выпуска. Бесплатную версию LiteManager можно скачать с сайта разработчиков. Установочные пакеты данной программы поставляется в формате MSI (Microsoft Software Installer). Весь софт с таким расширением заранее адаптирован для упрощённой установки на операционные системы от Microsoft. Это самый удобный и практичный вариант, если вы занимаетесь инсталляцией через групповые политики.
Загрузка LiteManager
Шаг 1. Переходим на официальный ресурс litemanager.ru и кликаем по ссылке «Скачать (для Windows)».
Шаг 2. После загрузки открываем архив и распаковываем его содержимое в отдельную папку на рабочем столе хост системы.
Шаг 3. Создаём на виртуальной машине с Windows Server 2016 каталог «Soft» на диске D и копируем в него папку «LiteManager».
Установка модуля LiteManager Viewer
Шаг 4. Запускаем установочный пакет модуля LiteManager Viewer. Эта часть программы устанавливается на компьютер, с которого осуществляется удалённое управление рабочими станциями. Поэтому мы установим её на сервер. В первом окне жмём «Next».
Шаг 5. Принимаем условия лицензионного соглашения.
Шаг 6. Путь установки оставляем по умолчанию.
Шаг 7. И запускаем процесс инсталляции, кликнув «Install».
Шаг 8. После завершения установки оставляем галочку «Launch LiteManager Pro — Viewer», чтобы запустить программу сразу после закрытия последнего окна и жмём «Finish».
Шаг 9. Из двух типов лицензии выбираем «Free».
Конфигурирование установочного MSI пакета
Шаг 10. В открывшемся окне программы переходим на вкладку «Удалённая установка» и выбираем пункт «MSI Конфигуратор…».
Шаг 11. Выбираем установочный пакет «LiteManager Pro – Server». В данном модуле нужно предварительно настроить параметры по умолчанию, прежде чем он будет установлен на клиентский компьютер. Жмём «Конфигурировать».
Шаг 12. Переходим «Настройка сервера» — «Безопасность» и на вкладке «Авторизация» задаём пароль, который мы будем использовать для подключения к рабочей станции. Жмём «ОК».
Шаг 13. Далее переходим в «Настройки». На вкладочке «Общее» снимаем галочки напротив пунктов «Показывать меню в системном трее» и «Менять вид иконки в трее», дабы избавить пользователей от отображения лишней информации о программе в системном трее. Сохраняем настройки кликнув по кнопке «ОК».
Шаг 14. И последнее, что мы сделаем, это установим пароль на изменение настроек. Жмём «Защита настроек», отмечаем галочкой соответствующий параметр и задаём сложный пароль, который простому юзеру подобрать не удастся.
Шаг 15. На этом конфигурация пакета завершена. Жмём «Закрыть» и убеждаемся в успехе проделанных действий.
Теперь файл «LiteManager Pro – Server» содержит правильные настройки по умолчанию. В таком виде его можно смело устанавливать на рабочие станции.
Настройка ГП для установки LiteManager
Шаг 16. Осталось только правильно создать и настроить групповую политику. Открываем в «Диспетчере серверов» вкладку «Средства» и выбираем в раскрывшемся списке «Управление групповой политикой».
Шаг 17. Кликнув правой кнопкой по названию нашего домена жмём «Создать объект групповой политика в этом домене и связать его…». Тут же в появившемся окне задаём новой политики, например «Политика для LiteManager».
Шаг 18. Политика создана. Для её редактирования вызываем контекстное меню и кликаем «Изменить».
Шаг 19. Переходим к изменению настроек. «Конфигурация компьютера» – «Политики» – «Конфигурация Windows» – «Сценарии (запуск/завершение)». Давайте глянем свойства сценариев для «Автозагрузки». В появившемся окне жмём «Показать файлы».
Шаг 20. Сервер посылает в общую папку для скриптов, которая привязана к редактируемой политике. Я рекомендую располагать файлы для установки именно здесь, так как в случае переноса групповой политики или создании её резервной копии путь к данной директории точно останется неизменным. Ко всему прочему вам не придётся ломать голову с назначением прав доступа к данной папке, ведь по дефолту её основное предназначение — это хранилище скриптов. А значит, рабочая станция точно сможет достучаться ко всем файлам, расположенным в этой директории. Так что смело, переносим сюда установочный пакет «LiteManager Pro — Server» из папки «Soft».
Шаг 21. Копируем путь к «скриптовой» папке. Совсем скоро он нам пригодится.
Шаг 22. И переходим в ветку «Политики» — «Конфигурация программ» — «Установка программ». Вызываем контекстное меню, «Создать» — «Пакет».
Шаг 23. Вставляем в адресную строку скопированный путь к директории с установочным пакетом серверной части программы и выбираем его.
Шаг 24. Метод развёртывания оставляем по умолчанию, так как все настройки в нашем файле уже сконфигурированы и никакие дополнительные команды для его запуска не требуются.
Шаг 25. Видим, что пакет LiteManager появился в списке программ предназначенных для установки.
Шаг 26. Закрываем ненужные более окна и раскрываем дерево «Объектов групповой политики». Вызвав контекстное меню к «Политике для LiteManager» изменим состояние объекта, выключив применение параметров конфигурации для пользователей. Зачем это нужно? Как бы странно это не прозвучало, но данная настройка может значительно ускорить время применения политики на рабочей станции. Так как мы производили все изменения политики только для компьютера, не затрагивая при этом конфигурацию пользователя, какой смысл заставлять компьютер конечного пользователя прогружать «вхолостую» пустой набор политик? Очевидно, что если есть возможность этого не делать, то лучше воспользоваться данной фишкой системы и ускорить загрузку рабочей станции на несколько секунд.
Шаг 27. Далее давайте настроим нацеливание применения политики для конкретного компьютера. Не закрывая окно, переходим на вкладочку «Делегирование» и кликаем по кнопке «Дополнительно». В открывшемся окне настройки параметров безопасности находим группу пользователей «Прошедшие проверку» и снимаем галочку с пункта «Применить групповую политику». Отлично, теперь групповая политика не будет применяться для всех пользователей авторизованных в домене. Осталось указать, для кого же конкретно она предназначена. Жмём «Добавить».
Шаг 28. И прописываем DNS-имя компьютера, на который будет распространяться созданная политика. В качестве клиентской машины у нас выступает рабочая станция с установленной операционной системой Windows 10 и сетевым именем «CLIENT». Прописываем его и переходим в «Типы объектов».
Шаг 29. Отмечаем в типах «Компьютеры» и нажимаем «ОК».
Шаг 30. Хорошо. Теперь можем проверить, корректно ли написано имя клиента, кликнув по соответствующей кнопке. Всё верно. Закрываем это окно, нажав «ОК».
Шаг 31. Наш компьютер появился в списке. Ставим галочку напротив разрешения «Применить групповую политику» и сохраняем изменения кнопкой «ОК».
Теперь групповая политика для LiteManager будет применяться исключительно к рабочей станции «CLIENT» и не затрагивать другие компьютеры в домене.
В принципе с основной настройкой практически закончили. Для корректной работы требуется проделать ещё несколько нехитрых манипуляций. Во-первых, настроить правила для порта 5650 (это стандартный порт, который использует программа LiteManager) в политике брандмауэра. Но мы этого делать не будем, так как ранее в одном из уроков курса мы уже отключили дефолтный виндосовский фаервол для всех ПК входящих в состав домена. Во-вторых, включить режим инициализации сети при запуске и входе в систему.
Дело в том, что некоторые специфические функции групповых политик, такие как установка программ и запуск скриптов, требуют, чтобы во время их обработки обязательно была установлена связь с сервером. По умолчанию на контроллере функция инициализации сети выключена. Это сделано с целью минимизации времени входа пользователя в систему. Ведь при такой схеме работы групповая политика может примениться уже после того, как пользователь залогинился на своём компьютере.
Однако на практике, такая экономия двух-трёх секунд может стать причиной возникновения серьёзных проблем. Если в момент применения политики сеть была недоступна, настройки могут попросту не примениться. А может получиться и так, что пользователь осуществит вход в систему под временным профилем, вся сохранённая информация из которого после перезагрузки машины полностью удалится. Чтобы исключить подобные ситуации, давайте создадим отдельную политику для синхронной обработки.
Настройка ГП для синхронной обработки
Шаг 32. В окне «Управление групповой политикой» вызываем контекстное меню, кликнув правой кнопкой по имени домена, и создаём новый объект.
Шаг 33. Даём политике звучное имя, например «Политика для синхронной обработки».
Шаг 34. И незамедлительно переходим к изменению настроек созданной политики.
Шаг 35. Ветка «Конфигурация компьютера» — «Политики» — «Административные шаблоны» — «Система» — «Вход в систему». Ищем параметр, отвечающий за инициализацию сети. Звучит он следующим образом «Всегда ждать сеть при запуске и входе в систему». Открываем данный параметр, быстренько пробегаем взглядом по описанию и включаем его.
Вот и всё. Осталось проверить, как отработает групповая политика на клиентском компьютере.
Проверка корректной установки ПО
Шаг 36. Переходим к виртуальной машине с Windows 10 и осуществляем вход под любой доменной учётной записью. В рамках курса мы проверяли большую часть политик под пользователем «Бархатов». Не будем делать исключения в данной ситуации.
Шаг 37. Сразу после входа в систему выжидаем некоторое время, приблизительно три минуты и перезапускаем виртуальную машину. Зачем спрашивается делать этот лишний ребут? Хм. Наверняка вы частенько сталкивались с программами, которые после инсталляции требуют выполнить перезагрузку. Это нужно, прежде всего, для завершения установки дополнительных служб. Так вот LiteManager, как раз относится к категории таких программ. Следовательно, для корректного завершения установки серверного модуля требуется перезапуск операционной системы.
Шаг 38. После включения компьютера заходим в меню «Пуск» и видим, что появился новый каталог «LiteManager Pro — Server», а в нём различные варианты для взаимодействия с программой. Это значит, что политика, отвечающая за установку, отработала на отлично.
Шаг 39. Давайте попробуем изменить настройки кликнув по ярлыку «Settings for LM-Server». Как и следовало ожидать, появилось окно с просьбой ввести пароль.
Шаг 40. Теперь давайте вернёмся на сервер и попробуем подключиться удалённо к рабочей станции. Для этого запускаем на рабочем столе ярлык «LM–Viewer». В главном окне жмём «Добавить новое соединение», отмечаем галочкой тип подключения с использованием IP или DNS-имени компьютера и прописываем сетевое имя «CLIENT».
Шаг 41. Вводим пароль, ранее заданный нами на этапе конфигурирования MSI-пакета. И отметим пункты «Сохранить пароль» и «Авто-логин», дабы в следующий раз не вводить эти данные, жмём на «ОК».
Шаг 42. Через некоторое время соединение будет установлено, и вы получите возможность удалённо управлять клиентской станцией.
Таким образом, мы осуществили автоматическую установку с сервера программного пакета MSI без вмешательства со стороны пользователя. Однако, к сожалению, не все разработчики столь расторопны и большинство из них не стремятся адаптировать свои продукты под столь удобный для системных администраторов формат. Поэтому далее, я предлагаю рассмотреть процесс установки программ с самым распространённым на сегодняшний день расширением EXE.
Установка программ с расширением EXE
Архиватор WinRAR является наиболее популярным среди пользователей Рунета. С его помощью даже маленький ребёнок может научиться самостоятельно, создавать и распаковывать архивы.
Загрузка архиватора WinRAR
Шаг 43. Давайте перейдём на официальный сайт win-rar.ru и в меню слева выберем пункт «Загрузить». Далее находим из списка на странице локализованную русскую 32-битную версию архиватора и скачиваем её.
Шаг 44. Отлично. Теперь заглянем во вкладку «Обучение». Нас интересует «Глава 6. Оптимизация установки WinRAR для работы в сети».
Шаг 45. В ней содержится информация об установке в silent-режиме. Кликаем по соответствующей гиперссылке.
Шаг 46. И смотрим, какой ключ необходимо использовать, чтобы весь процесс установки происходил в тихом режиме, то есть незаметно для конечного пользователя. В случае с WinRAR’ом это ключ «/s».
Шаг 47. Хорошо. Теперь давайте скопируем установочный пакет «wrar540ru.exe» из хост-системы на виртуальную машину с Windows Server 2016.
Шаг 48. Рядом с инсталляционным файлом создаём текстовый документ с именем «install».
Шаг 49. Открываем его и прописываем полное имя установочного файла с расширением EXE, а после добавляем ключ для тихой установки. По итогу получится строчка типа «wrar540ru.exe /s». Обращаю ваше внимание, что в данном случае мы не прописываем полный путь к установочному файлу. Это связано с тем, что создаваемый скрипт будет находиться непосредственно в одном каталоге с инсталляционным пакетом архиватора. Сохраняем изменения в текстовом документе и закрываем его.
Шаг 50. Теперь необходимо трансформировать наше творение в формат скрипта. Для этого потребуется изменить расширение текстового документа TXT на исполняемый BAT-файл. Первым делом переходим в проводнике на вкладку «Вид» и включаем отображение «Расширения имён файлов».
Шаг 51. Затем просто переименовываем «install.txt» в «install.bat» и соглашаемся с изменениями.
Отныне данный файл является скриптом. Осталось подцепить его вместе с EXE’шником к групповой политике.
Настройка ГП для установки WinRAR
Шаг 52. В оснастке «Управлением групповой политикой» создаём новый объект.
Шаг 53. С одноимённым именем «Политика для WinRAR».
Шаг 54. И переходим к конфигурированию политики.
Шаг 55. Раскрываем привычную ветку «Конфигурация компьютера» — «Политики» — «Конфигурация Windows» — «Сценарии (запуск/завершение)». Заходим в свойства параметра «Автозагрузка».
Шаг 56. На вкладке сценарии жмём «Показать файлы…» и перекидываем в появившуюся директорию из папки «Soft» инсталляционный пакет и скрипт тихой установки WinRAR.
Шаг 57. Возвращаемся к окну «Свойства» и кликаем по кнопке «Добавить». Далее щёлкнув «Обзор» выбираем скрипт «install.bat», находящийся в папке для сценариев данной политики.
Шаг 58. Наш скрипт появился в списке для автозагрузки, а значит можно выйти из данной оснастки, сохранив изменения кнопкой «ОК».
Шаг 59. Такс. Объекты нацеливания для политики в данном случае мы настраивать не будем. Пусть применится ко всем компьютерам домена. Архиватор это такая вещь, которая лишней нигде не будет. В том числе и на серверах. Не забываем изменить состояние объекта групповой политики, отключив параметры конфигурации пользователя.
Проверка корректной установки ПО
И переходим к клиентской машине с Windows 10.
Шаг 60. Для того, чтобы проверить отработает ли наша политика, отвечающая за установку WinRAR давайте перезапустим гостевую ОС.
Шаг 61. После перезагрузки логинимся под доменной учёткой и проверяем в ПУСК’е наличие архиватора.
Основная сложность в установке программ с расширением EXE заключается в поиске ключей установке. Они, как правило, идут в комплекте с репаками, которые самопально собирают различные умельцы и распространяют на торрентах. Так что формирование пакета программ поддерживающих тихую установку может отнять у вас очень много времени, но озадачившись этой проблемой единожды, в дальнейшем вы сможете значительно облегчить процесс подключения к сети новых рабочих станций.
Удаление программ с расширением MSI
Однако автоматизировать установку программных продуктов это ещё полдела. Нужно ещё уметь правильно их удалять, не взаимодействуя с пользователем. Вопрос удаления особенно актуален в тех ситуациях, когда предприятие переходит на новую версию программного обеспечения или полностью отказывается от использования софтины.
Шаг 62. Начнём с удаления программ, которые были установлены с использование MSI пакета. В нашем случае это LiteManager. Находим соответствующую политику и, вызвав контекстное меню, жмём «Изменить».
Шаг 63. Идём по пути «Конфигурация компьютера» — «Политики» — «Конфигурация программ» — «Установка программ» и щёлкаем правой кнопкой по пакету «LiteManager Pro — Server». Далее «Все задачи» — «Удалить».
Шаг 64. В появившемся окне оставляем возможность по умолчанию, позволяющую осуществить «Немедленное удаление этого приложения с компьютеров всех пользователей».
Проверка корректного удаления LiteManager
Шаг 65. Для проверки переходим на клиентский компьютер и перезагружаем его.
Шаг 66. После включения осуществляем вход в систему. Как видим в меню «ПУСК» исчез каталог программы «LiteManager», а это свидетельствует о том, что она успешно удалена.
Удаление программ с расширением EXE
Процесс деинсталляции программ установленных с помощью EXE’шных файлов к сожалению не так прост. Для их удаления, собственно как и ранее для установки, приходится создавать костыли в виде скриптов. Давайте рассмотрим пример создания такового для программы WinRAR.
Шаг 67. На диске D в папке архиватора создаём новый текстовый файл с названием «uninstall.txt». Переходим к его изменению. Прописываем директорию, в которую, как правило, устанавливается программа WinRAR. Если не знаете, то можете посмотреть её в свойствах ярлыка в меню «ПУСК». После папки прописываем uninstall.exe и сделав пробел указываем ключ с сайта разработчиков. Отлично. Теперь видоизменяем «Program Files» в переменную «%ProgramFiles%», дабы программа могла быть корректно удалена на операционных системах любой разрядности. И, так как наш путь содержит переменную, необходимо напоследок заключить его в кавычки. По итогу мы получаем скрипт следующего содержания: «»%ProgramFiles%\WinRAR\uninstall.exe» /s». Сохраняем изменения в файле перед закрытием.
Шаг 68. Меняем его разрешение с «TXT» на «BAT».
Шаг 69. И переходим к изменению групповой политики для WinRAR.
Шаг 71. В открывшемся окне жмакаем «Показать файлы» и закидываем в общую папку для сценариев политики скрипт «uninstall.bat» из директории «Soft/WinRAR».
Шаг 72. Далее удаляем из свойств автозагрузки сценарий «Install.bat».
Шаг 73. А на его место привычным движением добавляем «uninstall.bat».
Шаг 74. Сохраняем изменения нажав на «ОК».
Проверка корректного удаления WinRAR
Осталось проверить, удалился ли архиватор с клиентского ПК.
Шаг 75. Для этого перезагружаем виртуальную машину с десяткой.
Шаг 76. И после запуска убеждаемся, что в пуске не осталось и следа от WinRAR’а.
Друзья, в этом уроке мы затронули достаточно сложную, но безумно полезную в прикладном плане тему установки и удаления программ с помощью групповых политик. Надеюсь, вы по достоинству оцените данный материал и непременно воспользуетесь полученными знаниями на практике.
В ближайшее время запланирована целая серия уроков, посвящённая групповым политикам. Так, на следующем занятии я расскажу вам о принципах конфигурирования сетевых принтеров через GPO. Далее по плану у нас фильтры безопасности, моделирование политик, результирующие наборы и множество других очень важных для начинающего сисадмина тонкостей, которые необходимо понимать для эффективного администрирования сети.
Не могу обещать, что все эти уроки будут в открытом доступе. Изначально они рассчитаны на членов академии, которые приобрели доступ к обучающему курс «Администрирование Windows Server 2016». Так что если вы заинтересованы в получении новых знаний по данной тематике, милости просим в наш закрытый клуб. Именно там я отвечаю на все комментарии и помогаю решать вопросы в индивидуальном порядке.
Ну а на сегодня это всё. С вами был Денис Курец. Выпуск блога информационных технологий Kurets.Ru. Если урок был для вас полезен, то не забываем поставить лайк и подписаться на канал. Вам не сложно, а мне чертовски приятно. Такс, ладно, мне уже пора идти на прогулку с коржом. До новых встреч, друзья.
If you’re an IT admin, you may often need to deploy different software for your clients. Deploying apps to your clients is not a very tedious thing and we’ll be discussing the step-by-step process involved in this article.
While you deploy the software, some things you must take care of in advance. The software file you’ll be using for installation should be on a network. Secondly, the Group Policy level at which you want to deploy software: machine or user level. There are three levels of deployment: Published, Assigned, Advanced. Published means the software is readily available to users and can be installed from Add or remove programs. While Assigned implies that program is assigned to program distribution and will be installed when user logs on. But you need to select those settings additionally.
Here is the process that you can use for deployment of your software.
Deploy Software Using Group Policy In Windows Server 2019
1. Press + R and typegpmc.msc in Run dialog box to open Group Policy Management snap-in. Click OK.
2. In Group Policy Management window, create a GPO object and link it to your domain. Right click on the GPO object and select Edit.
3. In the Group Policy Management Editor window opened next, select the mode of deployment. If you want to deploy it at machine level, go to Computer Configuration > Policies > Software Settings > Software installation. Else go to User Configuration > Policies > Software Settings > Software installation, if you want to deploy it at user level. We opted for user level in this example. So right click on Software installation folder and select New > Package.
4. Now browse for MSI file based software installation file and select it.
Note: The software installation file you select should be on a network location which is accessible by your clients.
5. Next, select the Deployment type from Published, Assigned, Advanced. We selected Assigned option here.
6. Moving on, back in the GP Editor window, right click on the software installation entry and select Properties.
7. On the property sheet, switch to Deployment tab, and select Install this application at logon option. Click Apply, followed by OK and exit Group Policy.
Note: If you found Install this application at logon option greyed out, refer this fix.
8. Update the Group Policy engine using gpupdate /force command. Your clients will get the software deployed upon next logon or settings you chosen.
