Меню Рубрики

Установка программ всем пользователям домена

Автоматическая установка программ в домене Windows

Автор

Вступление

Если в домене Windows установлен WSUS, админ рад и спокоен — дескать, все, обновления ставятся на автомате, трафик снизился, бегать по компам не надо и пр. В принципе, все осталость то же самое, но ведь не все используют в работе Microsoft Outlook или Internet Explorer (хотя 8-ка очень неплоха). Есть много людей, привыкших работать с почтовиком The Bat!, броузером Opera или Mozilla. Если встает вопрос об обновлениях — либо это головняк админу в виде беготни к каждому компьютеру для обновления всем, скажем, Opera, либо юзеры должны сидеть под админами (пускай и локальными, не доменными).

Естественно, ни первый, ни второй способы — не выход. Значит, надо иметь возможность автоматически устанавливать программы на рабочих станциях, причем желательно делать это до того, как пользователь вошел в систему — ведь если он вошел, он уже не захочет перезагружать машину и т.п. Надо ставить пользователя перед фактом — программа, его любимая Opera, уже обновлена и админа не колбасит, что версия 10.10 почему-то нравится меньше, чем предыдущая. Просто вышло обновление, и его надо применить. Без вариантов.

Самый распространенный вариант ответа на вопрос — КАК? — Конечно, через Active Directory! — скажет вам любой специалист или просто сисадмин. А как через AD? — спросите вы. А вам скажут — ?! Вы не знаете, как через AD? Да там же просто, через policy! — но больше вам скорее сего ничего не скажут, потому что для большинства советчиков этот вопрос такой же неясный, как и для вас. И вам ничего не останется, как гуглить до потери пульса, потому что найти огромный фолиант на тему «как развернуть office 2007» в сети корпорации не проблема, а вот просто и в двух словах — редко что найдете. Не без гордости могу сказать, что данная статья как раз одна из немногих кратких и «без наворотов», попадавшихся мне.

Установка программ из MSI

Все изложенное далее относится к работе с инсталляционными пакетами типа MSI (расширение .msi). Файлы MSI есть (или их можно извлечь) для многих программ (Adobe Acrobat, The Bat, Opera, Firefox и пр.).

Предположим, мы хотим автоматически установить (а по мере выхода обновлений, устанавливать обновления) броузер Firefox. Файл msi для Firefox можно взять здесь (в новом окне).

Настройку шаблона .adm я пропущу, т.к. далеко не всегда это нужно, а еще чаще этот шаблон фиг найдешь. В итоге — дефолтные настройки (либо, если будем ставить поверх старой версии — настройки будут сохранены). Шаблон .adm нам не нужен.

Распределяем права доступа

Предполагаю, что все учетные записи компьютеров (кроме контроллеров домена) находятся в OU «OU Office Computers».

Примечание 1:

Почему лучше не использовать исходное размещение компьютеров (Computers — Компьютеры домена в оснастке Active Directory Users and Computers)? Мне удобнее в дальнейшем управлять политиками для групп компьютеров. К тому же, когда я посещал курсы Microsoft, я видел, что на контроллерах доменов в тестовых системах и в «боевых», настроенных специалистами Microsoft, используются практически только отдельно созданные OU, а не базовые. Я для себя решил повторять опыт специалистов. Пока мне от этого только удобнее. Естественно, ИМХО.

Примечание 2:

Не всем пользователям нужен Firefox (как не всем нужен The Bat, Opera и пр.). Поэтому создадим в «OU Office Computers» отдельную группу компьютеров, на которые будет установлен Firefox. Для ясности назовем группу GFirefoxComputers. Отмечу, что это будет именно группа, а не вложенное OU!

Расшариваем какую-либо папку на сервере (на рисунке это SoftwareDistibution, а не Mozilla Firefox, как может показаться) и даем группе GFirefoxComputers доступ на чтение, админу — полный доступ (не компьютеру админа, а пользователю — все-таки вы должны иметь возможность по сети заливать на шару файлы ;)).

Вообще, для проверки того, как все вообще работает, можно обойтись и без группы GFirefoxComputers. Просто для того, чтобы сразу не усложнять себе жизнь, и не пенять на групповые политики, если что пойдет не так 😉

Политика правит миром!

На контроллере домена запускаем редактор групповой политики GPMC.MSC:

. и создаем связанную только с нашим OU «OU Office Computers» групповую политику под названием «Firefox 3.6.3 rus»:

. редактируем нашу политику «Firefox 3.6.3 rus»:

Готовим дистрибутив Firefox для развертывания в сети

В разделе «User Configuration» -> «Software settings» -> «Software Installation» щелкаем правой мышкой и создаем новый объект для установки — наш будущий инсталлятор Firefox.

Читайте также:  Установка канального вытяжного вентилятора

Выбираем файл MSI, заботливо положенного чьими-то руками в расшаренную папку. Важно : выбирать надо сетевой путь до файла, а не локальный, ведь юзера будут получать доступ к вашей инсталляшке не локально на сервере, а по сети.

Выбираем «Assigned» (Назначенный):

На этом работа с веткой «Software Installation» закончена.

Закрываем все открытые окна на сервере (если не помешает другим задачам, естественно), Пуск -> Выполнить -> gpupdate /force

Установка на рабочих станциях

Далее достаточно просто перезагрузить рабочие станции, чтобы автоматически установился Firefox ДО того, как появится окно для ввода логина/пароля. Иными словами, пользователь будет не в силах чего-то не установить, забыть и пр. Поэтому этот способ так хорош. Вы удаленно решаете, что будет установлено / обновлено на рабочих станциях.

Windows XP бывает не с первой перезагрузки «принимает» нове политики, поэтому можно подойти к юзеру, выполнить команду «gpupdate /force» (не обязательно под админом) и перезагрузить его компьютер.

Обязательно проверьте установку на своем / тестовом компьютере ДО того, как юзеры придут следующим утром, включат компьютеры. а вдруг косяк? Поэтому хотя бы первый раз сначала испытайте на себе.

Дополнительно

Теперь на любой новый компьютер, введенный в состав подразделения OU Office Computers будет установлена последняя версия броузера Firefox. Вам даже не придется ничего делать. Просто и очень полезно. Таким же образом можно устанавливать практически любой софт, включая Adobe Reader, Adobe Flash Player (которые в обычной ситуации требуют административных прав для установки), The Bat. да мало ли софта у вас в локальной сети, поддерживать который в актуальном состоянии одна из обязанностей системного администратора.

Нюанс: если вы уже установили какой-либо пакет, в нашем случае Firefox 3.6.3 rus, а через некоторое время вам потребуется его обновить (т.к. рано или поздно выйдет новая версия броузера), сначала удалите политику по установке Firefox 3.6.3, после чего создайте новую. Потом «gpudate /force» и вперед!

источник

Установка программ на удаленных компьютерах в домене через active directory

Active Directory: установка программ пользователями
Здравствуйте, очень интересует один вопрос: Надо разрешить некоторым пользователям установку.

Поиск по имени компьютера в Active Directory (домене)
Всем доброго дня! Искал по интернету — не нашел, подскажите, может кто с AD через vb.net имел.

Закрывается explorer сам по себе. У всех компьютеров в домене Active Directory
Добрый день. В локальной сети по какой-то причине начал сам по себе закрываться explorer на всех.

Установка 1с на удаленных компьютерах
Всем привет, возникла необходимость на ноутбуках обновлять платформу 1с удаленно. bat файл по.

Конфигурация компьютера — Политики — Конфигурация программ — Назначенные приложения

Пишут, что такое сообщение возникает, когда через одну политику устанавливают несколько msi-пакетов. Но при этом, всё в конце-концов устанавливается.

Понятно, что не кофеварке

Т.е. установка должна происходить до входа пользователя в систему, т.е. в момент загрузки ОС и до того, как появится предложение ввести логин/пароль. А поэтому ещё раз, в какой момент вы видите это окно?

Вы же видите в журнале Windows событие о попытке начать установку этого msi, а значит с доступом к политике проблем нет.

Дальше вам нужно разбираться с каждым конкретным msi отдельно. Приведу два примера из своей практики:

1. Установка через GP — MS Lync клиента. В дистрибутиве есть setup.exe и msi. Добавляю msi в политику, проверяю журнал — установка начинается и завершается ошибкой. Внимательней читаю документацию и оказывается, что в msi специально добавлен параметр, который разрешает запуск только через setup.exe, т.к. в этом setup.exe происходит предварительная проверка условий (нужная версия .net и т.п.) перед запуском msi-установщика. Отключаю через Orca эту msi настройку и установка через политику начинает работать.

2. Всеми любимый 1С-клиент (8.3). Если просто указать msi в политике, установка будет заканчиваться ошибкой, т.к. помимо msi необходимо добавить модификацию (mst-файл) с нужным языком.

Естественно там где запускается msi, т.е. на локальном.

Вы же сами показывали запись из журнала:

Ну, после того как поставил галочку (кстати — спасибо!) «не использовать языковые установки при развертывании» записей на подобную тему исчезли.

Добавлено через 3 минуты
Вот такое пишут: «Не удалось применить изменения для параметров установки приложения. Установка программ, развертывание которых осуществляется через групповую политику для этого пользователя, отложено до следующего входа в систему, поскольку изменения должны быть применены до Ошибка: %%1274»

Клиентскому расширению «Software Installation» групповой политики не удалось применить один или несколько параметров, поскольку эти изменения должны обрабатываться до запуска системы или до входа пользователя. Завершение обработки групповой политики будет выполнено перед следующим запуском системы или входом этого пользователя, что может вызвать замедление загрузки и запуска системы.

Читайте также:  Установка гаранта на академической

Во! ещё. «Не удалось назначить приложение Mozilla Firefox (en-CA) из политики Firefox. Ошибка: %%1274»
а потом — «Не удалось удалить назначение приложения Mozilla Firefox (en-CA) из политики Firefox. Ошибка: %%2»

источник

Установка программ с помощью групповых политик

Прежде чем приступить к описанию процесса установки ПО с помощью групповых политик, оговорим, что распространение ПО на с помощью политик не всегда является оптимальным решением и имеет ряд ограничений. Вот несколько основных недостатков этого метода установки софта:

1. Невозможность планирования установки ПО. При установке софта при помощи групповой политики, установить или деинсталлировать ПО можно только при следующей загрузке системы. Поэтому практически невозможно, организовать массовое обновление какого-либо ПО, например, в ночное время, когда нагрузка на сеть минимальная. В этом случае лучше использовать, например, SCCM. Используя окна обслуживания (maintenance) или настройки WOL(Wake On LAN).

2. Поддерживаются только MSI и ZAP установщики. Формат дистрибуции приложений в групповых политиках– это лишь популярный MSI installer и менее известные пакеты ZAP. В этом случае опять предпочтительнее использование SCCM, т.к. он поддерживает использование всех возможных установщиков.

3. Фиксированный порядок установки приложений. При добавления нового приложения в объект групповой политики, оно устанавливается на ПК последним, и поменять этот порядок нельзя.

4. Отсутствие контроля. При установке ПО через групповую политику, пакет установщика выполняется на целевом компьютере, однако какая-либо обратная связь отсутствует. Поэтому вы с уверенностью не сможете сказать установилось ли ваше ПО на конкретном компьютере или нет.

Итак, после того, как вы познакомились с основными недостатками установки софта средствами групповых политик, перейдем к конкретному примеру. Отметим, что с помощью групповых политик правильно было бы устанавливать общесистемное ПО, которое используется на всех ПК организации, это может быть, например, антивирусный агент, клиент SCCM или InTune. В данной статье мы будем описывать установку агента InTune.

Windows InTune – это новый сервис Microsoft, предназначенный для служб ИТ, позволяющий управлять и осуществлять мониторинг компьютеров с помощью веб консоли. Этот сервис зачастую называют «облачным» SCCM, причем эта облачная служба позволяет управлять множеством рабочих станций без необходимости создания серверной инфраструктуры.

Т.к. ни одна из компонент InTune не устанавливается на сервера, поэтому все что нужно – это расставить клиентов InTune на рабочих станциях. Естественно, его можно расставить вручную, но если в вашей организации больше чем 10 ПК, то это может превратиться в головную боль. Поэтому мы попытаемся организовать процесс установки Windows InTune с помощью групповых политик.

Настраиваем дистрибутив для установки с помощью Group Policy

1. Качаем дистрибутив клиента InTune Client.

2. Жмем правой кнопкой по файлу “Windows_Intune_Setup.zip” и выбираем “Extract All”

3. Распаковываем содержимое файла Windows_Intune_Setup.exe в текущую папку, набрав команду “Windows_Intune_Setup.exe /extract .”.

4. Копируем файлы (список их ниже) на сетевую папку, с которой будет производиться установка.

Совет: Для корректной работы необходимо, чтобы группа “Domain Computers” имела права на чтение из указанной сетевой папки, иначе ПК организации не смогут скачать и установить эти файлы.

Настраиваем групповую политику для установки ПО

5. Перейдите в режим редактирования групповой политики, применяемой к целевым компьютерам, на которые вы хотите установить клиент InTune.

6. Перейдите в раздел “Computer Configuration > Policies > Software Settings > Software installation”. Щелкните правой кнопкой по элементу “Software installation”, выберите “New>Packages”

7. Выберите сетевую папку, в которую вы поместили файлы установщика, найдите и укажите файл “Windows_Intune_X64.msi” и затем нажмите “Open”

8. Выберите опцию “Advanced” и нажмите “OK”

9. Т.к. в данном случае мы устанавливаем 64 битную версию клиента,рекомендуется добавить к имени приложения постфикс “x64”.

10. Согласимся с настройками по-умолчанию и нажмем “OK”

В результате у вас получится примерно такая картинка.

И данное ПО будет установлено на компьютеры, к котором применяется данная политика, при следующей перезагрузке ПК.

источник

Удалённая установка программы на компьютеры домена

Файл connection-monitor-pro.msi служит для удалённой установки программы на компьютеры сети. Дистрибутивы connection-monitor-pro.msi и connectionmonitor-pro.exe идентичны друг другу по своему составу и отличаются лишь способом установки. Установочный файл connection-monitor-pro.msi может быть развёрнут в «тихом» (фоновом) режиме. Для этого необходимо запустить его с ключом /quiet. Подробнее о других ключах установки вы можете узнать, запустив установочный файл с ключом /?.

Если используется среда со службой каталогов Active Directory, то для установки файла connection-monitor-pro.msi на клиентских компьютерах можно использовать функцию установки и сопровождения программ из групповых политик. Этот раздел содержит описание процесса развертывания модуля connection-monitor-pro.msi в домене Active Directory на компьютерах под управлением Microsoft Windows 2000 Server и выше с помощью установщика Windows и групповых политик. Предполагается, что список имеющихся в сети компьютеров для установки программы известен.

Читайте также:  Установка водосчетчиков в коммуналках

Применение групповых политик является рекомендуемым способом развертывания программ в средах, не использующих такие корпоративные средства управления обновлениями, как сервер SMS 2003 (Systems Management Server) или службы SUS (Software Update Services). Дополнительные сведения о групповых политиках можно получить в документации Windows.

Назначение пакета connection-monitor-pro.msi с помощью групповой политики

Компьютеры, на которые будет устанавливаться пакет connection-monitor-pro.msi, должны входить в один домен с сервером, на котором расположен файл установщика Windows (MSI). После назначения пакета установщик Windows автоматически установит файл connection-monitor-pro.msi при очередном включении компьютера подключенным к сети пользователем. Чтобы убедиться, что обновление компьютеров с помощью модуля connection-monitor-pro.msi прошло успешно, рекомендуется проверить свойства всех компьютеров (список служб). Для завершения обновления может потребоваться перезапустить компьютер.

Только администратор сети или пользователь, имеющий права администратора на локальном компьютере, может удалить с компьютера назначенное обновление (модуль connection-monitor-pro.msi). Перечисленные выше действия подробно описаны в следующих разделах.

Создание точки распространения

Изменение объекта групповой политики для развертывания программного обеспечения

После создания точки распространения и объекта групповой политики необходимо изменить созданный объект с помощью функции установки и сопровождения программного обеспечения оснастки «Групповая политика». Чтобы развернуть пакет connection-monitor-pro.msi, воспользуйтесь узлом «Конфигурация компьютера» редактора объектов групповой политики.

Чтобы изменить объект групповой политики для развертывания ПО, выполните следующие действия.

  1. Щелкните правой кнопкой мыши новый объект групповой политики и выберите команду Изменить.
  2. В окне редактора объектов групповой политики щелкните узел Конфигурация компьютера и выберите последовательно элементы Конфигурация программ и Установка программ.
  3. В меню Действие выберите команду Создать, а затем Пакет.
  4. В окне Открыть в поле Имя файла введите полный путь UNC к распространяемому установочному пакету в общей папке. При указании пути используйте следующий формат: \\ имя_сервера \ имя_общей_папки \connection-monitor-pro.msi или \\ IP-адрес_сервера \ имя_общей_папки \connection-monitor-pro.msi. Указывая путь к общей папке, соблюдайте формат UNC.
  5. Выберите пакет MSI и нажмите кнопку Открыть.
  6. В диалоговом окне Развертывание программ выберите вариант Назначено и нажмите кнопку ОК. Выбранный общий установочный пакет появится на правой панели редактора объектов групповой политики.

Примечание.имя_сервера и IP-адрес_сервера — это имя или IP-адрес компьютера, на котором расположена общая папка с установочным пакетом. имя_общей_папки — это имя этой папки на сервере.

Развертывание программ для отдельных групп безопасности

Фильтры безопасности групповой политики позволяют устанавливать пакет connection-monitor-pro.msi только на компьютеры, входящие в конкретные группы безопасности. Например, при создании объекта групповой политики на уровне домена с помощью описанных в этой статье инструкций можно при помощью фильтров безопасности устанавливать удаленный агент только на отдельные компьютеры. Для этого нужно сначала создать группу безопасности и включить в нее нужные компьютеры.

Чтобы создать группу безопасности, выполните следующие действия.

  1. Щелкните правой кнопкой мыши домен или другой контейнер Active Directory, выберите команду Создать, а затем Группу.
  2. Задайте имя для группы безопасности.
  3. Откройте вкладку Члены и нажмите кнопку Добавить.
  4. Введите имена компьютеров и нажмите кнопку ОК.

Назначение пакета connection-monitor-pro.msi с помощью фильтров безопасности

  1. На консоли «Управление групповой политикой» дважды щелкните элемент Group Policy Objects.
  2. Выберите объект групповой политики, к которому требуется применить фильтр.
  3. На панели результатов нажмите кнопку Add на вкладке Scope.
  4. В поле Enter the object name to select укажите имя группы, имя пользователя или компьютеры, которые необходимо добавить к фильтру и нажмите кнопку OK.
  5. Если в разделе Security Filtering вкладки Scope появится группа Прошедшие проверку, выберите ее и нажмите кнопку Remove. Это гарантирует, что требования данного объекта групповой политики относятся только к выбранным пользователям и группам.

Примечание. Параметры объекта групповой политики относятся только к следующим пользователям и компьютерам.

  • Пользователи и компьютеры, входящие в домен, подразделение или подразделения, на которые ссылается объект групповой политики.
  • Пользователи и компьютеры, указанные в фильтре безопасности либо входящие в группы, указанные в фильтре безопасности.

Фильтр безопасности одного объекта групповой политики может содержать несколько групп, пользователей и компьютеров.

При написании раздела использовались материалы с источника: http://support.microsoft.com/kb/887405/ru.

Программа мониторинга доступа работает в среде Windows XP/Vista/7/8.1/10; Server 2003/2008/2012/2016/2019. Вы можете скачать и попробовать 30-дневную пробную версию бесплатно.

источник

Добавить комментарий