Установка программ через gpo windows 10

В этой статье мы рассмотрим, как устанавливать программы на компьютеры пользователей домена Active Directory с помощью групповых политик.

Встроенный функционал GPO Windows позволяет устанавливать только программы, распространяющееся в виде MSI или ZAP пакетов. Другие виды программ придется устанавливать альтернативными средствами: с помощью SCCM, через логон скрипты, копирование файлов программы на компьютеры с помощью GPO, запуском разовых скриптов и т.д.

Получите установочный MSI пакет программы

Рассмотрим, как установить MSI пакет программы на компьютеры пользователей с помощью групповых политик Windows на примере клиента Microsoft Teams.

Скачайте MSI пакет с клиентом Teams (http://aka.ms/teams64bitmsi) и скопируйте файл Teams_windows_x64.msi в каталог SYSVOL на контроллере домена (
\\winitpro.ru\SysVol\winitpro.ru\scripts
).

Картинка с сайта: winitpro.ru

Обратите внимание, что есть x86 и x64 версии MS Teams. Если у вас остались компьютеры x86 версиями Windows, вам нужно создать отдельные политики для x86 и x64 компьютеров. Для фильтрации версий Windows в политиках можно использовать WMI фильтры GPO.

Далеко не все программы предоставляются в виде MSI файла. Чаще всего разработчики отдают их в виде исполняемых EXE файлов, которые не подходят для распространения через GPO. Но есть два способа, которые в некоторых случаях получить установочный MSI программы:

• Некоторые установщики при запуске распаковывают свои файлы в каталог %temp%. Поэтому при установке программы (просто сверните окно установки) попробуйте открыть этот каталог и найти в нем установочный MSI файл.
• Другой способ получения MSI файла – попробовать открыть установочный EXE файл с помощью архиватора 7-Zip. Запустите 7-Zip и в меню выберите File -> 7ZIP –> Open Archive. 7ZIP попробует открыть EXE файл в как архив. В нашем случае из EXE файла с дистрибутивом Acrobat Reader получилось извлечь MSI и MST файлы, которые готовы для установки через групповые политики Windows.
  

  Картинка с сайта: winitpro.ru

Создаем GPO для установки программы на компьютеры пользователей

Теперь нужно создать новую политику в домене для установки вашего ПО.

1. Откройте консоль управления доменными GPO (
   gpmc.msc
   );
2. Создайте новую GPO (CorpInstallTeams)и назначьте ее на OU с компьютерами, на которые нужно выполнить установку (Create a GPO in this domain, and link it here);
3. Откройте политику и перейдите в раздел Computer Configuration -> Policies -> Software Settings -> Software installation;
4. Выберите пункт меню New -> Package;
   

   Картинка с сайта: winitpro.ru

5. Выберите ваш MSI файл, который хранится в каталоге SYSVOL;
6. Выберите опцию “Advanced” и нажмите OK;

   Assigned – программы устаналиваются при входе пользователя, Published – публикуюция на компьютерах и могут быть установлены пользователями из Add/Remove Programs.

   

   Картинка с сайта: winitpro.ru

7. В открывшемся окне можно настроить дополнительные параметры MSI пакета. Я просто изменю отображаемое имя с Teams Machine-Wide Installer на Microsoft Teams Client;
   

   Картинка с сайта: winitpro.ru

8. На вкладке Deployment нажмите кнопку Advanced и включите опцию Ignore language when deploying this package (это позволит игнорировать язык Windows на компьютерах клиентов);
9. Перезагрузите компьютер для обновления настроек GPO и при следующей загрузке компьютера будет выполнена установка программы. Она появится в списке установленных программ Windows. Для анализа событий установки включите фильтр по источнику Application Management Group в разделе System Event Viewer-а.
   

   Картинка с сайта: winitpro.ru

10. Можно показывать детальный процесс применения политики на компьютере. Для этого включите параметр Display highly detailed status messages в Computer Configuration -> Policies -> Administrative Templates -> System. Теперь при загрузке Windows будет отображаться все выполняемые в фоне процессы. При установке программ через GPO появится надпись Installing managed software AppName;
    

    Картинка с сайта: winitpro.ru

Изменение параметров MSI пакета для установки через GPO

В стандартном интерфейсе GPO вы не можете указать определенные ключи для установочных MSI пакетов. Что очень неудобно. Например, при установке антивируса вам нужно указать адрес сервера управления. Или при при установке Teams из командой строки с помощью msiexec можно отключить автозапуск клиент MSTeams и скрыть его из списка установленных программ (локальный администратор не сможет удалить клиент Teams). Для этого используется команда:

msiexec /i Teams_windows_x64.msi OPTIONS="noAutoStart=true" ALLUSERS=0

Как добавить опции установки в MSI пакет? Для этого используются файлы преобразования MST. Этот тип файлов позволяет изменить стандартные настройки MSI пакета и использовать ваш сценарий установки.

Для создания файла модификации MST для MSI пакетов можно использовать утилиту ORCA (входит в состав Windows Installer SDK).

Откройте ваш MSI пакет с помощью Orca.

Создайте New Transformation и задайте ваши кастомные параметры MSI пакета в разделе Property. В моем случае для клиента Teams я изменю:

• noAutoStart на
  True
• ALLUSERS на
  0

Картинка с сайта: winitpro.ru

Выберите Transform -> GenerateTransform и сохраните изменения в файл с расширением MST (teams_mod.mst). Скопируйте файла в каталог SYSVOL

Теперь нужно удалить предыдущее правило для установки MSI пакета в GPO (т.к. вы можете добавить MST с модификациями пакет только при создании правила установки программы.

Выберите All –> Task -> Remove

Создайте новое правило установки программы, опять выберите msi файл в каталоге SYSVOL и перейдите на вкладку Modification. Нажмите кнопку Add. Выберите созданный ранее MST файл.

Теперь во время установки MSI пакета через GPO к нему автоматически применится файл модификаций MST и установит программу с нужными вам параметрами.

Основные недостатки метода установки MSI программ через GPO:

1. Поддерживаются только MSI и ZAP установщики;
2. Нельзя запланировать установку программы на определенное время. Одновременная установка программы на множестве компьютеров (обычно это происходит утром при включении компьютеров) может вызвать нагрузку на сеть и DC. В этом случае лучше использовать, например, SCCM. Используя окна обслуживания (maintenance) или настройки WOL (Wake On LAN);
3. Нельзя изменить порядок установки программ в одной политике. При добавлении нового установочно пакета в GPO, оно устанавливается последним.
4. Нельзя получить отчет об успешности или ошибках установки программы на компьютерах.

Для установки .MSI пакета десктопного приложения MTS LINK на всех компьютерах домена через групповые политики вам потребуется выполнить следующие действия

1. Скачать .MSI пакет десктопного приложения

2. Подготовить файл MST для задания настроек при установке через групповые политики

   1. Установите Microsoft Windows Installer SDK. Скачать можно на официальном сайте Microsoft. Из всего пакета компонентов достаточно будет установить MSI Tools

   2. Далее перейдите в директорию, куда установились инструменты Windows SDK (по умолчанию это C:\Program Files (x86)\Windows Kits), а оттуда проследуйте по следующему пути: \bin\sdk_version\x86 (вместо sdk_version будет ваша версия Windows SDK). Здесь вы найдёте MSI-инсталлятор утилиты Orca – обычно это файл с названием Orca-x86_en-us.msi. Установите и запустите утилиту

   3. Через команду меню File → Open откройте MSI-пакет клиентского приложения MTS LINK

      

      Картинка с сайта: help.mts-link.ru

   4. В разделе Tables выберите пункт Property. В правой части окна отобразится список доступных MSI-ключей приложения, а также некоторая служебная информация.

      

      Картинка с сайта: help.mts-link.ru

   5. Далее необходимо перевести утилиту в режим редактирования выбрав команду Transform → New Transform:

      

      Картинка с сайта: help.mts-link.ru

   6. Укажите параметр APP_AUTOSTART в значении 0 или 1. Параметр отвечает за добавление приложения в автозагрузку при старте операционной системы

   7. Сохраните настроенные параметры в файле .mst, выбрав команду Transform → Generate Transform:

      

      Картинка с сайта: help.mts-link.ru

   8. файл конфигурации готов

3. Установить MSI-пакет с помощью групповых политик

   1. Разместите MSI-установщик клиентского приложения и MST-файл с настроенными ключами на в сетевой папке, которая доступна всем устанавливаемым клиентам

   2. Перейдите в консоль управления групповыми политиками. Для этого нажмите клавиши Win + R, и в появившемся окне введите команду gpmc.msc

   3. Создайте новый объект групповой политики (GPO, Group Policy Object). Для этого нажмите правой кнопкой мыши на нужном домене и в появившемся меню выберите пункт Создать объект групповой политики в этом домене и связать его / Create a GPO in this domain, and link in here:

      

      Картинка с сайта: help.mts-link.ru

   4. Введите имя созданной политики и нажмите OK.

   5. Правой кнопкой мыши нажмите на созданном GPO и выберите команду Правка… / Edit… в контекстном меню.

   6. Появится окно настройки объекта групповой политики. В дереве настроек, расположенном в левой части окна, нажмите правой кнопкой мыши на пункте Конфигурация компьютера / Computer Configuration → Политики / Policies → Конфигурация программ / Software Settings → Установка программ / Software installation, а затем выберите Создать / New → Пакет / Package:

      

      Картинка с сайта: help.mts-link.ru

   7. В окне проводника выберите MSI-установщик, размещённый в сетевом каталоге

   8. В окне выбора типа развёртывания нужно выбрать Особый / Advanced

   9. В онке настройки процесса развёртывания перейдите на вкладку Модификации / Modifications, нажмите кнопку Добавить / Add и в появившемся окне проводника выберите файл настроек. После загрузки файла, нажмите ОК.

      

      Картинка с сайта: help.mts-link.ru

   10. Обновите настройки GPO, выполнив в консоли команду: gpudate

   11. Готово! Настройки GPO обновятся, и приложения будут установлены на клиентских машинах во время следующего входа их пользователей в свои учётные записи.

Удаление приложения со всех машин домена

1. Откройте консоль управления групповыми политиками gpmc.msc

2. Правой кнопкой мыши нажмите на объект групповой политики, с помощью которого настраивалось доменное развёртывание MSI-пакета

3. В появившемся контекстном меню выберите команду Правка… / Edit…

4. Откроется окно настройки объекта групповой политики. В дереве настроек в левой части окна выберите пункт Конфигурация компьютера / Computer Configuration → Политики / Policies → Конфигурация программ / Software Settings → Установка программ / Software installation.

5. Справа отобразится список приложений, установленных в рамках редактируемой групповой политики. Правой кнопкой мыши нажмите на приложении MTS LINK и в появившемся контекстном меню выберите Все задачи / All Tasks → Удалить / Remove

   

   Картинка с сайта: help.mts-link.ru

6. В открывшемся окне выберите опцию Немедленное удаление этого приложения с компьютеров всех пользователей / Immediately uninstall the software from users and computers и нажмите OK

7. Обновите настройки GPO, выполнив в консоли команду: gpudate

8. Готово! Настройки GPO обновятся, и приложения будут удалены на клиентских машинах во время следующего входа их пользователей в свои учётные записи

Ok

Время на прочтение4 мин

Количество просмотров289K

Доброго времени суток, Хабр! Хочу представить интересный, по моему мнению, способ создания msi-инсталляторов для любого программного обеспечения и, как следствие, развертывание его средствами GPO. Подчеркну, что описанный метод не подразумевает создание «слепков» системы, а использует нативные инсталляторы софта, при чем для создания msi применяются только бесплатные для коммерческого использования продукты.

Введение, пара ссылок и дисклеймер

Каждый нормальный инсталлятор ПО имеет возможность автоматической установки с определенными или заложенными по умолчанию параметрами. Суть моего метода проста и заключается в том, чтобы запаковать нативный инсталлятор в «контейнер» msi и запустить его с необходимыми параметрами командной строки. В сети куча информации по автоматической установке того или иного приложения, и я не буду заострять на этом внимание. Наша цель, повторюсь, — установка ПО средствами групповых политик. Кстати, некоторые из вас могут возразить, что установку можно производить через ZAW, но, к сожалению, данный метод применим только для установки с правами текущего пользователя и не может применяться для централизованной автоматической установки приложений.

Интересный цикл статей по установке ПО через ГП. Для новичков рекомендую прочитать все, чтобы потом не спрашивать, чем отличается тип установки «назначенный» от «публичный».

Необходимый софт. Exe to MSI Converter freeware и всем известная orca Первый нужен для того, чтобы создать msi из exe, а вторая — чтобы получившийся msi-ник смог установиться через групповые политики.

Метод не претендует на полную уникальность и в некоторых местах могут встречаться излишества, которых можно было бы избежать, но это связанно отсутствием желания и необходимости слишком глубоко вникать в параметры таблиц msi-пакетов. Первоначальной целью ставилось быстро найти бесплатный способ создания msi и после нескольких часов, проведенных в чтении зарубежных форумов и бесконечных перезагрузках виртуальной машины, метод был найден. Также, статья — это не обзор интерфейса программ, и скриншотов вы не увидите.

Создание и подготовка пакета

Пример установки будет произведен для Mozilla Firefox, т. к. это широко известный продукт, не имеющий msi-инсталлятора от разработчиков.

1. Запускаем exe to msi и указываем в нем путь к exe-установщику firefox. По ранее найденной в сети информации становится понятно, что по-тихому установить огнелиса можно с параметрами -ms -ira. Их-то и указываем во втором поле exe to msi и жмем «Build MSI».
2. Казалось бы все, msi-пакет готов. Действительно, запустив получившийся результат мы получим установленный в системе firefox и в статье можно было бы ставить точку. К сожалению, не все так просто. Текущий пакет установки не пригоден для развертывания через GPO и при загрузке компьютера вы будете получать совершенно ничего не объясняющие ошибки в логах «произошла неисправимая ошибка…» А все дело в том, что разработчики exe to msi тоже хотят есть и их бесплатный продукт генерирует msi «не по правилам».
3. Ну что ж, берем орку и открываем в ней наш эмсиайник.
4. Первым делом находим в левом списке таблицу Property и обращаем внимания на два поля — ProductCode и UpgradeCode. Эти два поля должны быть уникальны для каждого продукта, а наш exe to msi генерит всегда одинаковые. Ну что ж, не беда, жмем в верхнем меню View -> Summary Information, находим поле PackageCode и жмем New GUID. Получившийся результат копируем в буфер обмена и вставляем в ProductCode. Повторяем для UpgradeCode и наконец для самого PackageCode. Тут же в Summary Information правим поле Title на Mozilla Firefox, остальное по желанию. Это, по сути, ни на что не влияет.
5. Опять же в таблице Property меням ProductName на Mozilla Firefox (я до кучи меняю еще ARPCONTACT и Manufacturer). Можно так же поставить правильное значение для ProductVersion.
6. Вроде бы GUID и прочие «IDы» поменяли, но как показывает практика, этого недостаточно. Жмите в orca Tools –> Validate, снимите птицу Show INFO Messages и нажимайте Go.
7. Как видите, вылезла куча ошибок на наличие/отсутствие некоторых таблиц и значений. Я не стал заморачиваться и просто взял первый попавшийся (7zip x64 9.20) небольшой msi и скопировал оттуда 4 недостающие таблицы (через Export-Import, естественно): _Validation, AdminExecuteSequence, AdminUISequence и AdvtExecuteSequence. На самом деле, я уверен, что можно создать «правильный» msi-инсталлятор, без лишнего мусора, но не забывайте, наша цель всего лишь запустить родной setup приложения в тихую.
8. После добавления таблиц проходим снова Tools –> Validate (к слову, первый раз проверку можно вообще не делать и сразу импортировать таблицы). Если вы тоже взяли за основу msi от 7zip, то результатом будет шесть эрроров, которые необходимо устранить. Жмите Close, удаляйте лишние поля, отмеченные красным.
9. В конце можно еще раз проверить валидацию и убедиться что остались лишь ничем не мешающие варнинги. Сохраняем msi.
10. Вот в принципе и все, осталось добавить msi в ГП и назначить необходимые свойства.

Нюансы

1. При установке описанным выше методом у вас появятся как бы две копии софта. Первая — собственно нужное приложение, а вторая — исходный msi-ник, ведь мы же его как бы поставили. В принципе, это ни на что не влияет, кроме как на отображение в «Установка и удаление программ», и то, только в Windows XP (если вы ничего не меняли, кроме указанного мной). Минусом может быть появление лишних программ при автоматической инвентаризации софта, если вы ее используете.
2. Автоматически удалить приложение теми же средствами развертывания не получится. Точнее получится, но удалится только и так не нужный msi-контейнер. Ну можно повозиться со свойствами msi при его создании, чтобы оно захватывало с собой установленное ранее приложение, так же втихую. Я такой задачи не ставил.
3. При установке обновлений ПО нужно указывать в свойствах ГП приложения, чтобы оно заменяло предыдущее, т.е обязательно предварительно удаляло старое. Это гарантирует, что у вас не будут плодиться те самые никому не сдавшиеся левые дубли приложений в «установке и удалении программ».
4. Чтобы установить приложение, имеющее дистрибутив из нескольких файлов, вам придется сначала упаковать его в exe, который при запуске сам распакуется и даст команду для тихой установки. Рекомендую создавать sfx-архивы средствами того же 7-zip.
5. Ничего не мешает ставить ПО через скрипты автозагрузки. Более того, такой метод более гибкий, и я давно его использую через свои скрипты. Вот только использование родных средств ГП получается намного быстрее, т. к. простое создание msi из exe занимает пару минут.
6. Windows 7 почему-то не пишет «Установка управляемого приложения…», а просто говорит «пожалуйста, подождите». При первом развертывании всей кучи софта разом или при установке тяжелого приложения это может сподвигнуть юзера на звонок админу или нажатие кнопки резет.

На этом вроде бы все, надеюсь было интересно, делитесь опытом.