Меню Рубрики

Установка flash player групповыми политиками

[Век живи, век учись]

scio me nihil scire

Обновление Flash Player в корпоративной среде

Обновление Flash Player в корпоративной среде

В своей корпоративной среде установку Flash Player на клиентские компьютеры мы производили посредством Групповых Политик. Это было нормально и всех устраивало до определенного времени. Хотя и в этом случае возникали различные проблемы с неустановкой\неудалением\необновлением Flash Player.И вот, однажды возникла необходимость в автоматическом обновлении Flash Player на компьютерах пользователей и я начал изучать данную тему. Как оказалось инженеры компании Adobe внедрили технологию автоматического обновления в свой продукт Flash Player начиная с версии 11.2! О том как я внедрял эту технологию в своей организации и с какими трудностями столкнулся я и расскажу в этой небольшой статье.

Начало

Начну с того, что первой статьей к которой я обратился была подробная инструкция пользователя Ivan Dretvich о том как внедрить данную технологию. Я познакомился с ней гораздо раньше, когда еще изучал вопрос установки Flash Player с помощью групповых политик. Его статья о внедрении Flash Player через Групповые Политики очень помогла мне в свое время, а его пост помог настроить распространение конфигурационного файла mms.cfg на компьютеры клиента с помощью Предпочтений Групповой Политики (GPP). И на том этапе конфигурационных файл mms.cfg у меня состоял из одной строчки

которая выключала механизм обновлений. Просто на тот момент он скорее мешал, так как каждый час клиентские компьютеры пытались достучатся до серверов загрузки компании Adobe, и, конечно, у них это не получалось, так как задача Adobe Flash Player Updater запускалась в контексте безопасности NT AUTHORITY\SYSTEM и не имела доступа в интернет через прокси-сервер нашей организации.

Итак, до сегодняшнего дня мы имеем следующую ситуацию по поводу установки Flash Player в организации:

  • установка производится посредством групповых политик
  • устанавливается версия Flash Player 11_4_402_287
  • автообновление выключено в конфигурационном файле mms.cfg параметром AutoUpdateDisable=1

Внедряем обновление

Перечитав инструкцию Ивана пару раз приступил к делу.

Отдельный сервер под эту задачу поднимать не стали, выбрали не критичный сервер под управлением Windows Server 2003 R2 Ent на котором не был установлен IIS.

Первым делом поставил IIS, там ничего сложного:

  1. Жмем Пуск, Панель Управления, и жмем на Установка и Удаление программ.
  2. В оснастке Установка и Удаление программ жмем кнопку Установка компонентов Windows.
  3. Запускается Мастер компонентов Windows, в котором нужно выбрать Сервер приложений.
  4. Жмем Далее. Может понадобится дистрибутив, указываем путь по которому он находится.
  5. После того как Мастер закончит установку, жмем Финиш.

Затем Иван предлагает с помощью утилиты от Microsoft создать самоизданный сертификат и установить его на сервер командой:

selfssl.exe /N:CN=flashupdate.myorganization.ru /K:1024 /V:900 /S:1 /P:443 /T

Я так и делаю, тем самым совершая небольшую ошибку. Но, об этом позже.

Затем я создаю CNAME запись в DNS чтобы сервер был доступен по имени flashupdate.myorganization.ru

Затем создаю Назначенное задание по запуску пакетного файла C:\FlashUpdate\GetFlashUpdate.bat и проверяю — все работает. Есть файл в папке xml и есть файлы в папке install.

Значит на стороне сервера у нас вроде бы все работает.

Затем редактирую файл mms.cfg, который у нас уже распространяется на все клиентские компьютеры у нужную папку (в зависимости от разрядности операционной системы). Он принимает вид:

AutoUpdateDisable=0
SilentAutoUpdateEnable=1
SilentAutoUpdateServerDomain=flashupdate.myorganization.ru

Иду на тестовый компьютер проверять работоспособность данного метода обновления. И прихожу к выводу, что ничего не работает. Назначенное задание Adobe Flash Player Updater запускается и завершается слишком быстро (порядка 1 секунды). Что-то работает не правильно. Почитав ADOBE FLASH PLAYER 11.2 Administration Gu >

AutoUpdateDisable=0
SilentAutoUpdateEnable=1
SilentAutoUpdateServerDomain=flashupdate.myorganization.ru

SilentAutoUpdateVerboseLogging=1

И я продолжит тестировать клиентский компьютер уже в режиме повышенного логирования. Получил файл FlashInstall.log в папке c:\WINDOWS\system32\Macromed\Flash\ примерно такого содержания:

2013-2-21+8-5-28.596 [info] 1628 flashupdate.myorganization.ru
2013-2-21+8-5-28.596 [info] 1629 flashupdate.myorganization.ru
2013-2-21+8-5-28.596 [info] 1614
2013-2-21+8-5-28.596 [info] 1615
2013-2-21+8-5-28.596 [info] 1618
2013-2-21+8-5-43.597 [info] 1619 1063
2013-2-21+8-5-43.644 [info] 1628 flashupdate.myorganization.ru
2013-2-21+8-5-43.644 [info] 1629 flashupdate.myorganization.ru
2013-2-21+8-5-43.644 [info] 1614
2013-2-21+8-5-43.644 [info] 1615
2013-2-21+8-5-43.644 [info] 1618
2013-2-21+8-5-43.644 [info] 1608
2013-2-21+8-5-43.659 [info] 1604
2013-2-21+8-5-44.3 [warning] 1403 12175
2013-2-21+8-5-44.3 [warning] 1407 183
2013-2-21+8-5-44.3 [warning] 1408
2013-2-21+8-5-44.3 [info] 1612
2013-2-21+8-5-44.3 [info] 1620

Вот на эти warning-и прошу обратить особое внимание! После не продолжительного поиска по данным предупреждениям я наткнулся на это обсуждение на форуме Adobe. Среди сообщений участников форума наиболее близки к моей проблеме мне показалось сообщение №17 от пользователя antsman. И следующим 18 сообщением значилось, что он решил свою проблему созданием enterprise-signed certificate. Хотя до этого я уже внедрял самоизданный сертификат сервера flashupdate.myorganization.ru на клиентские компьютеры в Доверенные корневые центры сертификации все равно получал эту ошибку.

Затем я вспомнил, что для внедрения Lync 2010 мы поднимали сервер Enterprise CA.

Читайте также:  Установка зеркала шевроле каптива

источник

Автоматическое обновление Adobe Flash Player & Java RE в домене Windows/AD

Привет!
Выложил на гитхаб VBS скрипт, который уже больше года поддерживает актуальность установленных версий Java&Flash на компьютерах пользователей в домене Windows( Active Directory), с минимальными усилиями со стороны администратора и минимальными неудобствами для пользователей.

Почему пришлось изобретать велосипед и как пользоваться этим скриптом см. далее

intro

Не секрет, что одним из популярнейших направлений атак на компьютеры сегодня являются уязвимости Flash & Java, которые эксплуатируются при обычном посещении злонамеренных или взломанных сайтов (пример mysql.com в сентябре 2011 г)

И хотя компании Adobe и Oracle уже внедрили механизмы авто-обновления в свои продукты, существенным их недостатком является сложность в настройке и эксплуатации. Чтобы использовать механизм автоматического обновления от Adobe придётся просмотреть 50-ти страничный Administration Guide и выполнить массу действий, а для установки обновления от Sun необходимо чтобы пользователь обладал правами локального администратора, что часто встречается у домашних пользователей и никогда в доменной сети хорошего администратора.

Вопрос на serverfault.com “How do you manage Java in your Windows/Active Directory environment?” не получил чёткого ответа, лишь общие слова про использование скриптов и Group Policy, ручную пересборку MSI-пакетов, использование сторонних сервисов (ninite.com). Однако это всё требует постоянной ручной работы, а у хорошего админа всё должно происходить автоматически.

Таким образом, поддержка актуальности установленных версий плагинов браузера перекладывается на плечи администратора и превращается в серьёзную задачу – надо отслеживать появление обновлений на сайтах производителей (это несложно делать с плановыми обновлениями, а ведь иногда появляются срочные – внеплановые), выкачивать и выкладывать в локальный репозиторий, создавать файлы установки (например MSI), следить за ходом развёртывания обновлений…
Большие компании для этих целей используют большие продукты наподобие SCCM, средние — WSUS + Local Update Publisher(на хабре есть туториал про него от yosemity, а foxyovovich подсказал wiki, где все описано про java, flash, reader ), а мелкие просто пускают процесс на самотёк. Что интересно, по запросу «автоматическое обновление java» в гугле на первой странице половина ссылок сосредоточены на проблеме как отключить автоматическое обновление Java.

FJUpdater.vbs

Для тех, у кого уже есть AD, но еще нет WSUS (или есть WSUS, но нет времени\возможности\желания заниматься ручной работой) я предлагаю FJUpdater.vbs. Это VBS скрипт, написанный 1.5 года тому назад, чтобы упростить себе жизнь и автоматизировать выполнение данной задачи. Скрипт проверяет актуальность установленных на компьютере версий Java&Flash (сравнивая с информацией с сайтов Sun & Adobe или локального репозитория), и, при необходимости, автоматически скачивает (через интернет(HTTP) или локальную сеть(SMB) соответственно) и устанавливает обновления. Запуск скрипта на компьютерах пользователей предлагается осуществлять через групповые политики (GPO) — параметр «Автозагрузка» раздела «Конфигурация компьютера». В этом случае обновления будут установлены с правами локального администратора при загрузке компьютера, тихо и незаметно для пользователя.

Об ошибках и результатах своей деятельности может присылать отчёт на почту.
Скрипт успешно трудится в 6-и не связанных друг с другом компаниях, входящих в зону мой ответственности, с числом пользователей от 10 до 300.

Общая схема установки и работы

1) Создаем сетевую папку, доступную на запись для учётной записи пользователя, от имени которого будет запускаться проверка обновлений в интернете, и на чтение для группы «Компьютеры домена» (Domain Computers).

2) Скачиваем скрипт, размещаем его, например, в папке NETLOGON на контроллере домена и редактируем раздел отправки почты и путь сохранения установщиков в константе csInstallerPath.

3) Выделяем какой-нибудь компьютер (например – виртуальную машину) с такой же ОС, как у пользователей. Данный компьютер будет контрольным «эталоном-индикатором» – с ним будут сравниваться версии плагинов через интернет. Поэтому, на нём должны быть установлены все плагины и настроена регулярная их проверка.

Для этого первый запуск скрипта производим с ключом /WEBModeSaveInstallForce. Скачиваются актуальные версии установщиков и помещаются в локальную папку (csInstallerPath), а также генерируются файлы-флаги с номерами версий плагинов. После успешного получения, поочередно устанавливаем все плагины – запускаем java_installer.exe для Java, flashP_installer.exe для Flash Player Plugin (Firefox, Mozilla, Netscape, Opera) и flashA_installer.exe для Flash Player ActiveX (IE).

«Родные» механизмы авто-обновлений следует отключить. Как это сделать для Java можно посмотреть на официальном сайте. В случае с Flash выбрать пункт «Никогда не проверять обновления».

Вместо них, чтоб поддерживать актуальность компьютера-эталона и сетевого репозитория, настраиваем регулярный запуск скрипта с ключом /WEBModeSaveInstall:1 через планировщик задач или nncron.

4) В групповых политиках клиентских компьютеров, в разделе «Конфигурация компьютера \ Конфигурация Windows \ Сценарии (запуск\завершение)\Автозагрузка» (Computer Configuration\Windows Settings\Scripts\Startup) добавляем запуск скрипта с ключом /WEBMode:0

При перезагрузке клиентского компьютера произойдёт актуализация версий установленных плагинов – Java, Flash Player Plugin, Flash Player ActiveX

Читайте также:  Установка комплекса аиис куэ

Другие параметры командной строки (доступны по стандартным ключам /? или /help)

/mail:1 = отправлять e-mail при ошибках работы или при наличии обновлений

/debug:0 = не выводить ничего
/debug:1 = записывать только сообщения о выполняемых действиях (default)
/debug:2 = записывать подробные сообщения
/debug:3 = записывать детальные сообщения о вызываемых функциях и их параметрах

/MailTest = проверка правильности настройки отправки почты (присылает тестовое сообщение)

/ShowVersion[:comp] = выводит версии установленных на компьютере плагинов Java & Flash. При запуске без параметров — на локальном компьютере, если есть параметр — он трактуется как имя\адрес компьютера

При запуске без параметров скрипт просто выполняет обновление установленных плагинов через интернет.

На написание данного скрипта подвигла идея, почерпнутая у коллеги по цеху ccccp, автора утилиты NetOp Manager. Но его механизм требовал использования отдельного Perl-cкрипта для каждого плагина, не мог автоматически выцарапать ссылку на скачивание обновления Java с сайта Sun, а клиентская часть была написана на KiXtart, что создавало определенные сложности в настройке всего хозяйства.

Как это работает

Структура достаточно проста – информация о программе (она же выводится при запросе справки), параметры конфигурации, общая логика (Main), специфический код работы с сайтами Adobe & Sun, служебные процедуры и функции (доступ к файлам, реестру, http, отправка почты и т.п.)

Тонкие моменты

В случае с JAVA номер актуальной версии можно просто подсмотреть в файле www.java.com/applet/JreCurrentVersion2.txt, а вот чтобы скачать полный (оффлайн) установщик, надо посмотреть ссылку на странице java.com/en/download/windows_manual.jsp. Для версии 1.7.25 она равна javadl.sun.com/webapps/download/AutoDL?Bundle >
В случае с Flash наоборот – парсить приходится номер актуальной версии (на странице www.adobe.com/software/flash/about). Функция sFlashVersionWEBGet ищет ячейки таблицы с последовательностью из 4-х чисел, разделенных точками, и, в зависимости от параметра sFlashType (тип Flash-проигрывателя( A=ActiveX, P=Plugin), возвращает первую или третью строчку таблицы. Загрузка полных установочных пакетов осуществляется по ссылкам download.macromedia.com/pub/flashplayer/current/support/install_flash_player.exe и
download.macromedia.com/pub/flashplayer/current/support/install_flash_player_ax.exe.

Естественно, время от времени ссылки меняются, поэтому, чтоб не пропустить этот момент, рекомендуется на компьютере из п3. (который регулярно запускает скрипт с ключом /WEBModeSaveInstall:1) также включить отправку логов по почте, ключ /mail:1. При обнаружении расхождений версий или ошибок функций доступа к сайтам производителей скрипт даст о себе знать.

Надеюсь, FJUpdater станет отличным подарком для системных администраторов, чей праздник мы недавно отметили!

источник

SCCM 2007 R2 — Развёртывание Adobe Flash Player 11

Рассмотрим процесс получения и централизованного развертывания в корпоративной среде дистрибутива последней версии Adobe Flash Player 11.0.1.152 с помощью SCCM.

О возможных причинах потребности развертывания Adobe Flash Player в корпоративной среде упоминалось в заметке SCCM 2007 R2 – Развёртывание Adobe Flash Player 10 ActiveX , и поэтому не будем снова заострять на этом внимание. Вместо этого повторно уделим внимание вопросу легального получения разрешения на использование продуктов компании Adobe в корпоративной среде.

В случае как и с Adobe Reader, с официального сайта Adobe нельзя просто взять и скачать полную версию дистрибутива Adobe Flash Player для целей многократной установки в рамках корпоративной среды. Для получения возможности легального развёртывания вам потребуется пройти по ссылке

Там вам потребуется заполнить анкету реальными данными организации, в рамках которой планируется развёртывание Adobe Flash Player. Обратите внимание на то, что при заполнении анкеты вы должны правильно указать юридическое название вашей организации, так как именно оно будет в последующем включено в лицензионное Соглашение. Так же имейте ввиду, что если вы укажете не реальный корпоративный почтовый адрес, а какой-нибудь из публичных типа @mail.ru, то вполне возможно вам откажут в заключении Соглашения.

При заполнении анкеты вы можете выбрать сразу несколько продуктов Adobe для включения их в единое Соглашение:

  • Adobe Flash Player
  • Adobe Reader
  • Adobe AIR
  • Adobe Shockwave Player

После заполнения анкеты и отправки запроса, на указанный вами адрес электронной почты придёт сначала письмо с просьбой подтверждения почтового адреса, а затем сам ответ Adobe на вашу заявку примерно следующего вида:

В письмо будет вложена электронная копия лицензионного соглашения между вашей организацией и компанией Adobe и приведена ссылка на скачивание полного дистрибутива для многократной установки.

Я специально привёл скрин письма, чтобы вы смогли убедиться в том, что публикация прямой ссылки на дистрибутив запрещается и считается нарушением заключённого лицензионного Соглашения.

Итак, заключив Соглашение на распространение с Adobe, по полученной ссылке скачиваем полные версии дистрибутивов Adobe Flash Player 11.0.1.152. В последних версиях дистрибутивы стали разделяться по разрядности — для 32-битных и 64-битных систем. Помимо этого имеются отдельные дистрибутивы для веб-браузера Internet Explorer (в виде ActivеX компоненты) и других браузеров (в виде плагина). В общей сложности в нашем случае получается 4 дистрибутива

Перед нами стоит задача развёртывания на все клиентские компьютеры и плагина и ActivX компоненты, чтобы обеспечить возможность работы с флэш-содержимым в любом доступном пользователю веб-браузере.

В новой 11 версии плеера, как и в предыдущей, поддерживается механизм форсированного отключения модуля авто-обновления через Интернет посредствам создания специального текстового файла в фомате UTF-8 с именем mms.cfg с одной строкой:

Файл, как и раньше должен быть расположен в каталоге:

  • %WINDIR%System32MacromedFlash (на 32-битной ОС Windows)
  • %WINDIR%SysWOW64MacromedFlash (на 64-битной ОС Windows)

Как и в предыдущей версии *.exe инсталляторы и плагина и ActiveX компоненты поддерживают параметры командной строки:

  • -install (автоматическая установка с удалением всех предыдущих версий)
  • -uninstall (автоматическое удаление)

Для развертывания через SCCM мы будем использовать сценарий раздельной установки дистрибутивов на 32-битные и 64-битные системы с помощью командных файлов. Для этого разложим дистрибутивы в сетевом каталоге по разрядности, например так:

Содержимое командного файла install_flash_player_11_32bit.cmd:

install_flash_player_11_active_x_32bit.exe -install
install_flash_player_11_plugin_32bit.exe -install
IF EXIST » %WINDIR%System32MacromedFlashmms.cfg » goto :UPDATE_DISABLED
copy mms.cfg » %WINDIR%System32MacromedFlashmms.cfg »
:UPDATE_DISABLED

Содержимое командного файла uninstall_flash_player_11_32bit.cmd:

install_flash_player_11_active_x_32bit.exe -uninstall
install_flash_player_11_plugin_32bit.exe –uninstall

Содержимое командного файла install_flash_player_11_64bit.cmd:

install_flash_player_11_active_x_64bit.exe -install
install_flash_player_11_plugin_64bit.exe -install
IF EXIST » %WINDIR%SysWOW64MacromedFlashmms.cfg » goto :UPDATE_DISABLED
copy mms.cfg » %WINDIR%SysWOW64MacromedFlashmms.cfg »
:UPDATE_DISABLED

Содержимое командного файла uninstall_flash_player_11_64bit.cmd:

install_flash_player_11_active_x_64bit.exe -uninstall
install_flash_player_11_plugin_64bit.exe –uninstall

Теперь переходим в консоль SCCM и создаём там коллекцию компьютеров, включающую в себя две под-коллекции, разделённые по разрядности ОС:

Членство компьютеров в коллекции можно сделать динамическим.

Например, если у вас в организации принята чёткая схема именования сетевых объектов, нам ничто не мешает задать правило для динамического членства компьютеров в группе отталкиваясь от их имён. За пример возьмём условие, что все стационарные рабочие станции имеют имя по маске PC-%-WS% а портативные компьютеры – PC-%-NB% . В таком случае запрос на членство в 32-битной коллекции будет выглядеть так:

inner join SMS_G_System_COMPUTER_SYSTEM

SMS_G_System_COMPUTER_SYSTEM . ResourceID = SMS_R_System . ResourceId

( SMS_R_System . NetbiosName like » PC-%-WS% «

SMS_R_System . NetbiosName like » PC-%-NB% » )

SMS_G_System_COMPUTER_SYSTEM . SystemType = » x86-based PC «

Для 64-битной коллекции в запросе меняется только последняя строчка:

SMS_G_System_COMPUTER_SYSTEM . SystemType = » x86-based PC «

Далее, в консоли SCCM создаём два пакета распространения для 32-битных и 64-битных дистрибутивов:

Пакеты ссылаются на указанные ранее сетевые папки и имеют каждый по две исполняемых программы:

  • Per-system unattended install (программа “тихой” установки без участия пользователя)
  • Per-system unattended uninstall (программа “тихого” удаления без участия пользователя)

Приведу пример настроек для каждой из таких программ в случае с 64-битным пакетом распространения:

Per-system unattended install

Program information

· Name: Per-system unattended install

· Command line: install_flash_player_11_64bit.cmd

· Estimated Disk Space: 50 MB

· Restricted Program runs on: Restricted

All x64 Windows Server 2003 (Non R2)

All x64 Windows Server 2003 R2

All x64 Windows Server 2008

All x64 Windows Server 2008 R2

All x64 Windows XP Professional

· Program can run: Whether or not a user is logged on

Per-system unattended uninstall

Program information

· Name: Per-system unattended uninstall

· Command line: uninstall_flash_player_11_64bit.cmd

· Estimated Disk Space: 50 MB

· Restricted Program runs on: Restricted

All x64 Windows Server 2003 (Non R2)

All x64 Windows Server 2003 R2

All x64 Windows Server 2008

All x64 Windows Server 2008 R2

All x64 Windows XP Professional

· Program can run: Whether or not a user is logged on

С 32-битным пакетом распространения настройки программ будут аналогичными за исключением имени запускаемого командного файла и выбором типов ОС в сторону x86. После завершения операций по созданию и настройки программных пакетов выполняем их разливку в точки распространения (Distribution Points).

Теперь всё что нам остаётся сделать – это объявить установку (Advertisement) созданных программных пакетов на соответствующие коллекции компьютеров.

По опыту развертывания предыдущей 10 версии плеера могу отметить, что новая версия устанавливается гораздо более стабильно даже при запущенном у пользователя веб-браузере, по крайней мере эксперименты в тестовой среде это подтверждают. Но если всё таки в вашем окружении возникнут какие-то сложности, например с удалением предыдущих версий плеера, и вам потребуется форсированное закрытие браузера в пользовательских сеансах, — вы можете дополнить командные файлы установки чем-то типа:

TASKKILL /IM firefox.exe /F /T

После того как развёртывание проведено, в оснастке установленных программ (appwiz.cpl) мы сможем увидеть отсутствие каких либо старых версий плеера и наличие новой:

Для того, чтобы протестировать корректность работы плеера в разных веб-браузерах на клиентской машине можно открыть специальную ссылку на сайте Adobe:

На этой страничке вы сможете проверить корректность отображения флэш-баннера, увидеть информацию о текущей доступной версии плеера на сайте Adobe и получить информацию об установленной на вашем компьютере версии плеера:

источник

Добавить комментарий