Установка программ с помощью групповых политик

Прежде чем приступить к описанию процесса установки ПО с помощью групповых политик, оговорим, что распространение ПО на с помощью политик не всегда является оптимальным решением и имеет ряд ограничений. Вот несколько основных недостатков этого метода установки софта:

1. Невозможность планирования установки ПО. При установке софта при помощи групповой политики, установить или деинсталлировать ПО можно только при следующей загрузке системы. Поэтому практически невозможно, организовать массовое обновление какого-либо ПО, например, в ночное время, когда нагрузка на сеть минимальная. В этом случае лучше использовать, например, SCCM. Используя окна обслуживания (maintenance) или настройки WOL(Wake On LAN).

2. Поддерживаются только MSI и ZAP установщики. Формат дистрибуции приложений в групповых политиках– это лишь популярный MSI installer и менее известные пакеты ZAP. В этом случае опять предпочтительнее использование SCCM, т.к. он поддерживает использование всех возможных установщиков.

3. Фиксированный порядок установки приложений. При добавления нового приложения в объект групповой политики, оно устанавливается на ПК последним, и поменять этот порядок нельзя.

4. Отсутствие контроля. При установке ПО через групповую политику, пакет установщика выполняется на целевом компьютере, однако какая-либо обратная связь отсутствует. Поэтому вы с уверенностью не сможете сказать установилось ли ваше ПО на конкретном компьютере или нет.

Итак, после того, как вы познакомились с основными недостатками установки софта средствами групповых политик, перейдем к конкретному примеру. Отметим, что с помощью групповых политик правильно было бы устанавливать общесистемное ПО, которое используется на всех ПК организации, это может быть, например, антивирусный агент, клиент SCCM или InTune. В данной статье мы будем описывать установку агента InTune.

Windows InTune – это новый сервис Microsoft, предназначенный для служб ИТ, позволяющий управлять и осуществлять мониторинг компьютеров с помощью веб консоли. Этот сервис зачастую называют «облачным» SCCM, причем эта облачная служба позволяет управлять множеством рабочих станций без необходимости создания серверной инфраструктуры.

Т.к. ни одна из компонент InTune не устанавливается на сервера, поэтому все что нужно – это расставить клиентов InTune на рабочих станциях. Естественно, его можно расставить вручную, но если в вашей организации больше чем 10 ПК, то это может превратиться в головную боль. Поэтому мы попытаемся организовать процесс установки Windows InTune с помощью групповых политик.

Настраиваем дистрибутив для установки с помощью Group Policy

1. Качаем дистрибутив клиента InTune Client.

2. Жмем правой кнопкой по файлу “Windows_Intune_Setup.zip” и выбираем “Extract All”

3. Распаковываем содержимое файла Windows_Intune_Setup.exe в текущую папку, набрав команду “Windows_Intune_Setup.exe /extract .”.

4. Копируем файлы (список их ниже) на сетевую папку, с которой будет производиться установка.

Совет: Для корректной работы необходимо, чтобы группа “Domain Computers” имела права на чтение из указанной сетевой папки, иначе ПК организации не смогут скачать и установить эти файлы.

Настраиваем групповую политику для установки ПО

5. Перейдите в режим редактирования групповой политики, применяемой к целевым компьютерам, на которые вы хотите установить клиент InTune.

6. Перейдите в раздел “Computer Configuration > Policies > Software Settings > Software installation”. Щелкните правой кнопкой по элементу “Software installation”, выберите “New>Packages”

7. Выберите сетевую папку, в которую вы поместили файлы установщика, найдите и укажите файл “Windows_Intune_X64.msi” и затем нажмите “Open”

8. Выберите опцию “Advanced” и нажмите “OK”

9. Т.к. в данном случае мы устанавливаем 64 битную версию клиента,рекомендуется добавить к имени приложения постфикс “x64”.

10. Согласимся с настройками по-умолчанию и нажмем “OK”

В результате у вас получится примерно такая картинка.

И данное ПО будет установлено на компьютеры, к котором применяется данная политика, при следующей перезагрузке ПК.

Подключение сетевых дисков в Windows через групповую политику

Вы можете использовать групповые политики для гибкого подключения сетевых папок с файловых серверов в виде отдельных сетевых дисков Windows. Исторически для подключения сетевых дисков использовались логон bat скрипты с командой net use U: \\server1\share . Однако групповые политики намного гибче, отрабатывают быстрее и обновляются в фоновом режиме (не нужно выполнять перезагрузку или логоф пользователя для подключения сетевых дисков через GPO).

В этой статье мы покажем, как использовать GPO для подключения сетевых дисков в Windows: рассмотрим подключение общей сетевой папки отдела на основе групп безопасности AD и персональных сетевых дисков пользователей на сетевом хранилище.

Создайте в Active Directory новую группу для отдела менеджеров и добавьте в нее учетные записи сотрудников. Можно создать и наполнить группу из графической консоли ADUC или воспользоваться командлетами PowerShell для управления группами AD (входят в модуль AD PowerShell):

New-ADGroup «SPB-managers» -path ‘OU=Groups,OU=SPB,dc=test,DC=com’ -GroupScope Global -PassThru –Verbose
Add-AdGroupMember -Identity SPB-managers -Members a.novak, r.radojic, a.petrov, n.pavlov

Предположим, у вас есть файловый сервер, на котором хранятся общие сетевые каталоги департаментов. UNC путь к общему рабочему каталогу менеджеров, который нужно подключить всем сотрудникам отдела — \\server1\share\managers .

Теперь нужно создать GPO для подключения данного сетевого каталога в виде диска.

1. Откройте консоль управления доменными GPO — Group Policy Management Console ( gpmc.msc );
2. Создайте новую политику и прилинкуйте ее к OU с учетными записями пользователей, перейдите в режим редактирования политики;
3. Перейдите в секцию GPO User Configuration ->Preferences ->Windows Settings ->Drive Maps. Создайте новый параметр политики New ->Mapped Drive;
4. На вкладке General укажите параметры подключения сетевого диска:
   • • Action: Update (этот режим используется чаше всего);
     • Location: UNC путь к каталогу, который нужно подключить;
     • Label as: метка диска;
     • Reconnect: сделать сетевой диск постоянным (будет переподключаться каждый раз при входе, даже если вы удалите политику – аналог параметра /persistent в net use);
     • Drive Letter – назначить букву диска;
     • Connect as: опция сейчас не доступна, т.к. Microsoft запретила сохранять пароли в Group Policy Preferences.
5. Переключитесь на вкладку Common, включите опции “Run in logged on users’s security context” и “Item-level Targeting”. Затем нажмите на кнопку “Targeting”;
6. Здесь мы укажем, что данная политика должна применяться только к пользователям, которые состоят в группе безопасности AD, созданной ранее. Выберите New Item ->Security Group -> укажите имя группы;
7. Сохраните изменения;
8. После обновления политик в сессии пользователя подключиться сетевой диск, доступный из File Explorer и других программ.

Создадим еще одно правило политики, которое подключает персональные сетевые каталоги пользователей в виде сетевых дисков. Допустим, у вас есть файловый сервер, на котором хранятся личные папки пользователей (на каждую папку назначены индивидуальные NTFS разрешения, чтобы пользователи не могли получить доступ к чужим данным). Вы хотите, чтобы эти каталоги автоматически подключались в сеанс пользователя в виде сетевых дисков.

Создайте для каждого пользователя отдельный каталог, соответствующий его имени в AD ( sAMAccountName ) и назначьте нужные NTFS права.

Создайте еще одно правило подключения дисков в той же самой GPO.

В настройках политики укажите путь к сетевому каталогу с личными папками пользователей в виде \\server1\share\home\%LogonUser% . В качестве метки диска я указал %LogonUser% — Personal .

Сохраните изменения и обновите политики на компьютерах пользователей командой:

Теперь у пользователей должны подключиться новые сетевые диски — персональные каталоги с файлового сервера. Пользователи смогут использовать их для хранения личных данных. Такой сетевой диск будет подключаться на любом компьютере, на который выполнил вход пользователь.

Таким образом в одной GPO вы можете создать множество отдельных параметров с различными условиями подключения сетевых дисков пользователям.

Для выборки различных критериев компьютеров или пользователей при подключении дисков используется функционал таргетинга GPP (в основе лежат wmi фильтры).

Использование групповой политики для удаленной установки программного обеспечения

В этой статье описывается, как использовать групповую политику для автоматического распространения программ на клиентские компьютеры или пользователей.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 816102

Аннотация

Групповую политику можно использовать для распространения компьютерных программ с помощью следующих методов:

Назначение программного обеспечения

Можно назначить распределение программ пользователям или компьютерам. Если назначить программу пользователю, она будет установлена при входе пользователя в систему на компьютере. Когда пользователь впервые запускает программу, установка будет завершена. Если назначить программу компьютеру, она будет установлена при его установке и будет доступна всем пользователям, войдите на компьютер. Когда пользователь впервые запускает программу, установка будет завершена.

Программное обеспечение для публикации

Вы можете опубликовать распространение программы для пользователей. Когда пользователь входит на компьютер, опубликованная программа отображается в диалоговом окне «Добавление или удаление программ», и ее можно установить оттуда.

Для автоматической установки групповой политики Windows Server 2003 требуются клиентские компьютеры под управлением Microsoft Windows 2000 или более поздней версии.

Создание точки распространения

Чтобы опубликовать или назначить компьютерную программу, создайте точку распространения на сервере публикации, выступая следующим образом:

1. Войдите на сервер с учетной записью администратора.
2. Создайте общую сетевую папку, в которую необходимо поместить пакет установщика Windows (MSI-файл), который вы хотите распространить.
3. Установите разрешения для доступа к пакету рассылки.
4. Скопируйте или установите пакет в точку распространения. Например, чтобы распространить MSI-файл, запустите административную установку ( ), чтобы скопировать файлы setup.exe /a в точку распространения.

Создание объекта групповой политики

Чтобы создать объект групповой политики (GPO) для распространения пакета программного обеспечения, выполните следующие действия.

1. Запустите оснастку «Пользователи и компьютеры Active Directory», нажав кнопку «Начните», указав «Администрирование», а затем щелкнув «Пользователи и компьютеры Active Directory».
2. В дереве консоли щелкните правой кнопкой мыши свой домен и выберите «Свойства».
3. Перейдите на вкладку «Групповая политика» и выберите «Новый».
4. Введите имя новой политики и нажмите ввод.
5. Щелкните «Свойства» и перейдите на вкладку «Безопасность».
6. Clear the Apply Group Policy check box for the security groups that you don’t want this policy to apply to.
7. Выберите «Применить групповую политику» для групп, к которые необходимо применить эту политику.
8. После этого нажмите кнопку ОК.

Назначение пакета

Чтобы назначить программу компьютерам под управлением Windows Server 2003, Windows 2000 или Windows XP Professional или пользователям, входивших на одну из этих рабочих станций, выполните следующие действия.

Запустите оснастку «Пользователи и компьютеры Active Directory», нажав кнопку «Начните», указав «Администрирование», а затем щелкнув «Пользователи и компьютеры Active Directory».

В дереве консоли щелкните правой кнопкой мыши домен и выберите «Свойства».

Перейдите на вкладку «Групповая политика», выберите политику и нажмите кнопку «Изменить».

В области «Конфигурация компьютера» разо расширении параметров программного обеспечения.

Щелкните правой кнопкой мыши установку программного обеспечения, найдите пункт «Новый» и выберите пункт «Пакет».

В диалоговом окне «Открыть» введите полный UNC-путь к нужному общему пакету установщика. Например, \\ \ \ .msi .

Не используйте кнопку «Обзор» для доступа к расположению. Убедитесь, что используется UNC-путь к общему пакету установщика.

Нажмите кнопку Open (Открыть).

Нажмите кнопку «Назначено» и нажмите кнопку «ОК». Пакет указан в правой области окна групповой политики.

Закроем оснастку групповой политики, нажмите кнопку «ОК», а затем закроем оснастку «Пользователи и компьютеры Active Directory».

При старте клиентского компьютера пакет управляемого программного обеспечения устанавливается автоматически.

Публикация пакета

Чтобы опубликовать пакет для пользователей компьютера и сделать его доступным для установки из списка «Установка и удаление программ» на панели управления, выполните следующие действия.

Запустите оснастку «Пользователи и компьютеры Active Directory», нажав кнопку «Начните», указав «Администрирование», а затем щелкнув «Пользователи и компьютеры Active Directory».

В дереве консоли щелкните правой кнопкой мыши свой домен и выберите «Свойства».

Перейдите на вкладку «Групповая политика», выберите нужные политики и нажмите кнопку «Изменить».

В области «Конфигурация пользователя» разо расширении параметров программного обеспечения.

Щелкните правой кнопкой мыши установку программного обеспечения, найдите пункт «Новый» и выберите пункт «Пакет».

В диалоговом окне «Открыть» введите полный UNC-путь к нужному пакету общего установщика. Например, \\file server\share\file name.msi .

Не используйте кнопку «Обзор» для доступа к расположению. Убедитесь, что используется UNC-путь к общему пакету установщика.

Нажмите кнопку Open (Открыть).

Нажмите кнопку «Опубликовать» и нажмите кнопку «ОК».

Пакет указан в правой области окна групповой политики.

Закроем оснастку групповой политики, нажмите кнопку «ОК», а затем закроем оснастку «Пользователи и компьютеры Active Directory».

Так как существует несколько версий Windows, на вашем компьютере могут быть другие действия. Если да, см. документацию по продукту для выполнения этих действий.

1. Войдите на рабочей станции под управлением Windows 2000 Professional или Windows XP Professional, используя учетную запись, на которую опубликован пакет.
2. В Windows XP нажмите кнопку «Начните» и выберите «Панель управления».
3. Дважды щелкните «Добавить или удалить программы» и выберите «Добавить новые программы».
4. В списке «Добавление программ из списка сети» выберите опубликованную программу и нажмите кнопку «Добавить». Программа установлена.
5. Нажмите кнопку ОК, а затем нажмите кнопку Закрыть.

Еще раз развяжев пакет

В некоторых случаях может потребоваться обновить пакет программного обеспечения (например, при обновлении или изменении пакета). Чтобы перезаполнить пакет, выполните следующие действия.

Запустите оснастку «Пользователи и компьютеры Active Directory», нажав кнопку «Начните», указав «Администрирование», а затем щелкнув «Пользователи и компьютеры Active Directory».

В дереве консоли щелкните правой кнопкой мыши свой домен и выберите «Свойства».

Перейдите на вкладку «Групповая политика», выберите объект групповой политики, который использовался для развертывания пакета, и нажмите кнопку «Изменить».

Развернем контейнер «Параметры программного обеспечения», содержащий элемент установки программного обеспечения, который использовался для развертывания пакета.

Щелкните контейнер установки программного обеспечения, содержащий пакет.

В правой области окна групповой политики щелкните программу правой кнопкой мыши, найдите пункт «Все задачи» и выберите «Приложение для переуполокации». Вы получите следующее сообщение:

Повторное применение этого приложения переустановит приложение везде, где оно уже установлено. Продолжить?

Нажмите кнопку Да.

Закроем оснастку групповой политики, нажмите кнопку «ОК», а затем закроем оснастку «Пользователи и компьютеры Active Directory».

Удаление пакета

Чтобы удалить опубликованный или подписанный пакет, выполните следующие действия.

1. Запустите оснастку «Пользователи и компьютеры Active Directory», нажав кнопку «Начните», указав «Администрирование», а затем щелкнув «Пользователи и компьютеры Active Directory».
2. В дереве консоли щелкните правой кнопкой мыши свой домен и выберите «Свойства».
3. Перейдите на вкладку «Групповая политика», выберите объект групповой политики, который использовался для развертывания пакета, и нажмите кнопку «Изменить».
4. Развернем контейнер «Параметры программного обеспечения», содержащий элемент установки программного обеспечения, который использовался для развертывания пакета.
5. Щелкните контейнер установки программного обеспечения, содержащий пакет.
6. В правой области окна групповой политики щелкните правой кнопкой мыши программу, найдите пункт «Все задачи» и выберите пункт «Удалить».
7. Выполните одно из следующих действий:
   • Нажмите кнопку «Немедленно удалить программное обеспечение с пользователей и компьютеров» и нажмите кнопку «ОК».
   • Нажмите кнопку «Разрешить пользователям продолжать использовать программное обеспечение, но запретить новые установки» и нажмите кнопку «ОК».
8. Закроем оснастку групповой политики, нажмите кнопку «ОК», а затем перейдите к оснастке «Пользователи и компьютеры Active Directory».

Устранение неполадок

Опубликованные пакеты отображаются на клиентских компьютерах после их удаления с помощью групповой политики.

Это может произойти, когда пользователь установил программу, но не использовал ее. Когда пользователь впервые запускает опубликованную программу, установка завершается. Затем групповая политика удаляет программу.