3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Установка программного обеспечения средствами групповой политики

Содержание

Установка программного обеспечения средствами групповой политики. Часть 7

Сам процесс установки программного обеспечения, а тем более автоматизации установки, весьма интересен и может включать в себя множество «непредсказуемых нюансов». Ключи и параметры автоматической установки, скрипты, позволяющие выполнять дополнительную настройку, файлы трансформации и прочие средства позволяют вам упростить процесс инсталляции, тем самым существенно экономя потенциально затрачиваемое время на выполнение различных сценариев. Само CSE «Установка программ», по большому счету, предоставляет не много возможностей, позволяющих полноценно работать с инсталляционными файлами. Большинство таких возможностей мы уже успели рассмотреть в предыдущих статьях данного цикла, включая настройку самого расширения клиентской стороны, публикацию и назначение программного обеспечения, а также процесс обновления ПО.

По сути, последней темой настоящего цикла является не менее важная задача, а именно удаление проинсталлированного программного обеспечения. По вполне понятным причинам расширение клиентской стороны «Установка программ» позволяет не только устанавливать и обновлять существующее программное обеспечение, а еще и удалять развернутые ранее программы. Делается это также очень просто и с выполнением данной операции у вас не должно возникнуть каких-либо проблем.

Более того, под конец данной статьи вас ждет еще небольшой «бонус», о котором шла речь ранее. Итак,

Запретить пользователям установку или запуск программ в Windows 10/8/7

При желании вы можете запретить пользователям устанавливать или запускать программы в Windows 10/8/7, а также в семействе Windows Vista/XP/2000 и Windows Server. Это можно сделать с помощью определенных параметров Групповой политики , чтобы управлять поведением установщика Windows, запретить запуск или ограничение определенных программ через Редактор реестра .

Установщик Windows , msiexec.exe , ранее известный как установщик Microsoft, — это механизм установки, обслуживания и удаления программного обеспечения в современных системах Microsoft Windows.

В этом посте мы увидим, как заблокировать установку программного обеспечения в Windows 10/8/7.

  1. Отключить или ограничить использование установщика Windows через групповую политику
  2. Всегда устанавливайте с повышенными привилегиями
  3. Не запускайте указанные приложения Windows
  4. Запретить установку программ через редактор реестра

Отключить или ограничить использование установщика Windows через групповую политику

Введите gpedit.msc в начале поиска и нажмите Enter, чтобы открыть редактор групповой политики. Перейдите к Конфигурациям компьютера> Административные шаблоны> Компоненты Windows> Установщик Windows. В панели RHS дважды щелкните Отключить установщик Windows . Настройте опцию как требуется.

Этот параметр может запретить пользователям устанавливать программное обеспечение в своих системах или разрешить пользователям устанавливать только те программы, которые предлагаются системным администратором. Если вы включите этот параметр, вы можете использовать параметры в окне Отключить установщик Windows, чтобы установить параметр установки.

Параметр «Никогда» означает, что установщик Windows полностью включен. Пользователи могут устанавливать и обновлять программное обеспечение. Это поведение по умолчанию для установщика Windows в Windows 2000 Professional, Windows XP Professional и Windows Vista, когда политика не настроена.

Параметр «Только для неуправляемых приложений» позволяет пользователям устанавливать только те программы, которые назначает системный администратор (предлагает на рабочем столе) или публикует (добавляет их в «Установка и удаление программ»). Это поведение по умолчанию установщика Windows в семействе Windows Server 2003, когда политика не настроена.

Параметр «Всегда» означает, что установщик Windows отключен.

Этот параметр влияет только на установщик Windows. Это не мешает пользователям использовать другие методы для установки и обновления программ.

Всегда устанавливайте с повышенными привилегиями

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Компоненты Windows. Прокрутите вниз и нажмите «Установщик Windows» и установите для него значение Всегда устанавливать с повышенными привилегиями .

Этот параметр указывает установщику Windows использовать системные разрешения при установке любой программы в системе.

Этот параметр расширяет привилегии всех программ. Эти привилегии обычно зарезервированы для программ, которые были назначены пользователю (предлагаются на рабочем столе), назначены компьютеру (установлены автоматически) или стали доступны в разделе «Установка и удаление программ» на панели управления. Этот параметр позволяет пользователям устанавливать программы, которым требуется доступ к каталогам, которые пользователь может не иметь разрешения на просмотр или изменение, включая каталоги на компьютерах с ограниченными правами.

Если этот параметр отключен или не настроен, система применяет разрешения текущего пользователя при установке программ, которые системный администратор не распространяет или не предлагает.

Этот параметр отображается в папках «Конфигурация компьютера» и «Конфигурация пользователя». Чтобы этот параметр вступил в силу, необходимо включить параметр в обеих папках.

Опытные пользователи могут использовать разрешения, предоставляемые этим параметром, для изменения своих привилегий и получения постоянного доступа к файлам и папкам с ограниченным доступом. Обратите внимание, что версия этого параметра в конфигурации пользователя не гарантируется как безопасная.

Не запускайте указанные приложения Windows

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Система

Здесь, на панели RHS, дважды нажмите Не запускать указанные приложения Windows и в открывшемся окне выберите Включено. Теперь под опциями нажмите Показать. В открывшемся новом окне введите путь к приложению, которое вы хотите запретить; в этом случае: msiexec.exe .

Это запретит запуск установщика Windows, который находится в папке C: Windows System32 .

Этот параметр не позволяет Windows запускать программы, указанные в этом параметре. Если вы включите этот параметр, пользователи не смогут запускать программы, добавленные вами в список запрещенных приложений.

Этот параметр запрещает пользователям запускать программы, запускаемые процессом Windows Explorer.Это не мешает пользователям запускать программы, такие как диспетчер задач, которые запускаются системным процессом или другими процессами. Кроме того, если вы разрешаете пользователям получать доступ к командной строке cmd.exe, этот параметр не запрещает им запускать программы в командном окне, которые им не разрешено запускать с помощью проводника Windows. Примечание. Чтобы создать список запрещенных приложений, нажмите «Показать». В диалоговом окне «Показать содержимое» в столбце «Значение» введите имя исполняемого файла приложения (например, msiexec.exe).

Запретить установку программ через редактор реестра

Откройте редактор реестра и перейдите к следующему ключу:

Создайте строковое значение с любым именем, например, 1, и установите его значение в EXE-файле программы.

Например, если вы хотите ограничить msiexec , создайте строковое значение 1 и установите для него значение msiexec.exe . Если вы хотите ограничить большее количество программ, просто создайте дополнительные строковые значения с именами 2, 3 и т. Д. И установите для их значений исполняемый файл программы.

Читать еще:  Тип флеш памяти в SSD

Возможно, вам придется перезагрузить компьютер.

Также читайте:

  1. Запретить пользователям запуск программ в Windows 10/8/7
  2. Запускайте только указанные приложения Windows
  3. Windows Program Blocker — это бесплатное ПО для блокировки приложений или приложений, блокирующее запуск программного обеспечения.
  4. Как заблокировать установку сторонних приложений в Windows 10.

2. Запись адреса сервера в реестр клиента (необходимо для прозрачной авторизации пользователя)

Следующим шагом необходимо сообщить установленному MyChat клиенту, что он установлен на компьютер, входящий в домен. MyChat определяет это по наличию записи в реестре:

Domain, IP, Port — строковые параметры. Готовый файл реестра можно скачать здесь: MCDOMAIN.REG, кодировка файла DOS, не забудьте вписать свои параметры.

Начиная с версии MyChat 4.9.5 добавлены два новых параметра: ServerPassword (пароль для подключения к серверу, это не пароль пользователя) и ServerSSL (использовать или не использовать SSL шифрование трафика при подключении к серверу — «yes» или «no»).

Заходим в «Конфигурация Windows» — «Сценарии (вход/выход из системы)» — «Вход в систему» и добавляем логин-скрипт MCSCRIPT.CMD

Этот скрипт выполнится в автозагрузке пользователей выбранной группы при авторизации и пропишет необходимые данные в реестр.

Скрипт-логин MCSCRIPT.CMD необходимо разместить на контроллере домена в

Network-cc82012 — сетевое имя сервера;

NSS — имя домена;

— CLUID настраиваемой групповой политики.

Итак, необходимые действия для развертывания MyChat клиента готовы.

В завершении закрываем открытые нами окна, запускаем консоль («Выполнить» в меню пуск) CMD.EXE, выполняем команду GPUPDATE /FORCE, она принудительно применит групповые политики (если в результате выполнения этой команды ОС предложит перезагрузку — она не обязательна, нажимаете и все готово).

Частая ситуация, когда администратору необходимо установить большое количество одинаковых программ на все или часть компьютеров в сети.

Для этого случая, компания Microsoft разработала технологию для установки ПО на любое количество машин в домене. Всё это делается не просто, а очень просто.

Когда я с этой технологией познакомился впервые, мне очень это понравилось и естественно я теперь почти всегда это делаю только таким способом. Да, есть конечно здесь и недостатки, но инсталляция на 100 машин за вечер намного хуже, чем эти недостатки.

О недостатках:
Первое, программы которые не имеют для своей инсталляции файлов с расширением msi, то есть exe или другие — этим способом не установишь. Но не всё потеряно, можно найти специальные компиляторы или даже целые студии по преобразованию exe файла в msi.
Второе, необходимо немного времени для того что бы прописались групповые политики на машины и после чего необходима перезагрузка машин на которые должно установится ПО.
Третье, в момент первой загрузки (после применения групповых политик) производится установка ПО и необходимо подождать завершения данного процесса.
Четвертое, большая загрузка сети и дисков сервера на котором расположен инсталляционный пакет в момент установки ПО на компьютеры сети.

Теперь основные пункты, что за чем.

1. Создать папку общего доступа для хранения ваших пакетов MSI.
2. Создать административные инсталляции ваших пакетов MSI и поместить их в эту папку общего доступа.
3. Добавить пакеты в GPO, которые применяются к компьютерам в AD.
4. Модифицировать права доступа к пакетам в GPO, если в них что то изменилось.
5. Подождать пока применяться политики на ПК и после чего перезагрузить их.

А теперь подробнее.

Создание папки общего доступа
Для назначения публикации приложений с помощью групповых политик необходимо иметь центральное место для исходных файлов приложений. Путь к этому месту должен быть доступен для всех компьютеров вашей сети, к которым применяется данная политика. Проще всего, создать папку общего доступа на файловом сервере и копировать в нее исходные файлы.
Обязательно необходимо убедиться, что учетные записи необходимых машин имеют право чтения и выполнения в этой папке. Группы «Authenticated Users» и «Everyone» включая машинные учетные записи.

Создание административных инсталляций
Для примера, я покажу как установить с помощью GPO MS-Office на компьютеры в организационном юните Computers.
Для этого необходимо иметь уже готовый пакет *.msi, который в офисе уже есть.
Выполняем следующие действия:

WIN+R -> cmd -> D:

В появившейся консоли выполняем команду:

D:cd InstallOffice D:InstallOffice> msiexec -a pro11.msi

Перед вами появится, самое обычное окно мастера инсталляции в котором необходимо указать все необходимые данные: Имя организации, Серийный номер, локальный путь куда положить готовую инсталляцию.

Добавление пакетов в GPO
Для добавления пакета в GPO, необходимо открыть «Управление групповой политикой», далее раскрыть необходимый нам организационный юнит и создать объект GPO. После создания, отредактировать его.
Привожу скрин с отрытыми двумя вкладками «ACtive Directory пользователи и компьютеры» и «Управление GPO», для того что бы наглядно было видно, что и как:

Теперь о редактировании созданного нами объекта.
Конфигурация компьютера -> Политики -> Конфигурация программ -> и щелкаем второй кнопкой мышки по Установка программ для появления меню в котором выбираем пункт «новый пакет» и создаем его:

Также привожу скрин:

При указании абсолютного пути к пакету, необходимо указать полный сетевой путь, как на скрине приведенном выше.

Перезагрузка компьютеров.
Для ускорения применения политик на сетевых ПК, можно запустить на домен контроллере такую команду:

gpudate /force /sync

И спустя минут 5-10 перезагрузить назначенные ПК.

После перезагрузки пройдет немного времени, пока вы уведите приглашение на вход и сообщение о том что производится установка программного обеспечения.. После входа в любую учетную запись, увидите установленный пакет.

Напоминаю всем копирующим мой контент о существовании закона «Об авторском праве».
В связи с этим, прошу во избежании конфликтов при копировании данного материала, ставить на него ссылку:

Также, вы можете отблагодарить меня переслав любую сумму на любой кошелек WebMoney, для поддержания данного ресурса. Или просто админу на пиво 😉

Кошельки для получения благодарности:
R386985788805
U234140473141
Z147712360455

3 комментария

Здравтсвуйте, подскажите пожалуйста.

Я настроил удаленную установку програм через gpo, все работало нормально, проги устанавливались. Политика применялась к круппе пользователей «room_118»

Далее мне нужно было настроить srp для защиты дисков:
я настроил политику:

1 — запретил доступ к диску C:
2 — НАСТРОИЛ ПАРАМЕТРЫ БЕЗОПАСНОСТИ и поставил уровень безопасности «обычный пользователь»
Эта политика также применялась к круппе пользователей «room_118».

И после этого программы перестали устанавливаться удаленно. Система пишет: установка управляемого программного обеспечения «название программы» всего несколько секунд и не устанавливает прогаммноре обеспечение.

Admin:
Всё верно, приоритет запрета всегда выше разрешений. Как минимум Вам нужно сделать разрешение для группы system. А вообще, я бы сделал несколько по другому:
Ничего не запрещать, а всего лишь — неразрешать запись и изменение для «всех», а кому нужно — разрешил бы запись. Вот как то так.

Здравствуйте. Спасибо за статью. Пропало два скриншота, но они сохранились в кэше гугла

Спасибо за статью! Хочу отметить, что сейчас появилось довольно много удобных программ для развертывания ПО по сети. В пример хочу привести Total Software Deployment. Она пока ещё сыровата, да и идеальным решением её пока назвать трудно, но мне удалось выполнить удалённую установку примерно 80% программ при помощи неё на около 200 ПК. Единственное чего в ней не хватает, так это функционала для удаления программ по сети.

Add your comment now

Установка

Разберем установку, а также безболезненный переход к новым версиям LibreOffice средствами Active Directory и групповых политик.

Читать еще:  Установка браузера по умолчанию Windows 7

Подготовка дистрибутива

Сначала нужно подготовить дистрибутив для установки из сетевого ресурса.

Для этого необходимо распаковать архив LibreOffice и запустить инсталляционный файл типа setup.exe с атрибутом /a (например, из cmd или TotalCommander) — запустится административная установка

Далее укажите сетевой ресурс в котором в дальнейшем будут располагаться все дистрибутивы устанавливаемых программ средствами AD, с предварительно открытым общим доступом, как указано в следующем пункте, для размещения серверного образа — оттуда впоследствии и будет производиться установка приложения. Данный пункт необходимо выполнить для самого дистрибутива LibreOffice и для Help Pack к нему.

Установка разрешений доступ и настройка безопасности

Теперь необходимо, если это еще не сделано, открыть общий доступ к папке с серверным образом дистрибутивов и установить необходимые параметры безопасности для того, чтобы локальная машина имела доступ к файлам установки (достаточно галок чтение, список содержимого папки, чтение и выполнение для пользователя «прошедшие проверку»).

А также на вкладке дополнительно поставить галку «заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимым к дочерним объектам», чтобы данные настройки безопасности распространились на все подпапки и файлы в них.

Создание административной единицы в Active Directory

Переходим непосредственно к установкам в AD и GPO. Создаем в «Active Directory — пользователи и компьютеры» отдельную организационную единицу (OU) и помещаем в нее компьютеры, на которые и будет устанавливаться программное обеспечение (вполне возможно, что такая OU уже существует).

Создание групповой политики

Установка приложений возможна через назначения компьютера (в таком случае установка будет происходить сразу после загрузки, до входа в систему) или пользователя (возможна установка при первом запуске программы). Мы рассмотрим первый вариант. Запускаем Group Policy Management и переходим к нашей OU, создаем и подключаем к ней политику (можно сделать через AD — Свойства OU — вкладка Group Policy).

Создание установочного пакета

После создания Групповой политики редактируем ее — правой клавишей — edit, откроется «Редактор объектов групповой политики». В нем раскрываем Конфигурация компьютера — конфигурация пользователя — установка программ, правой клавишей создать — пакет. Выбираем путь до установочного файла LibreOffice с расширением *.msi

Через групповые политики установка осуществляется только через файлы msi, так что если вам необходимо установить другую программу, которая по умолчанию не содержит msi, то нужно переконвертировать файл exe (или др.) в msi с помощью любого конвертера.

Продолжаем: тип развертывания выбираем назначенный (чтобы установка начиналась сразу после загрузки до входа в систему), также обратите внимание на вкладку безопасность в свойствах созданного пакета, тут опять же должны быть необходимые разрешения на чтение для применения групповой политики, например, также на пользователя «Прошедшие проверку» галка «чтение».

Таким же образом создаем пакет для установки Help Pack.

После этого на локальной машине в нашей OU должны примениться групповые политики (можно ускорить, запустив в cmd команду gpupdate /force) и после следующей перезагрузки должна произвестись установка LibreOffice и Help Pack. Если приложение не установилось — смотрим логи компьютера, вкладка приложения. Распространенные проблемы — нет доступа к сетевому ресурсу с установочным файлом и не применение групповой политики.

Однако, для нормальной работы LibreOffice необходима Java. Ее также можно установить через GPO. Лучше на каждое приложение создавать отдельную политику для независимости и удобства обновления приложений.

Итак, полдела сделано — приложение автоматически установлено на необходимых машинах, но вот выходит следующая версия LibreOffice и тут также не обойтись без GPO.

Установка на рабочих станциях

Далее достаточно просто перезагрузить рабочие станции, чтобы автоматически установился Firefox ДО того, как появится окно для ввода логина/пароля. Иными словами, пользователь будет не в силах чего-то не установить, забыть и пр. Поэтому этот способ так хорош. Вы удаленно решаете, что будет установлено / обновлено на рабочих станциях.

Windows XP бывает не с первой перезагрузки «принимает» нове политики, поэтому можно подойти к юзеру, выполнить команду «gpupdate /force» (не обязательно под админом) и перезагрузить его компьютер.

Обязательно проверьте установку на своем / тестовом компьютере ДО того, как юзеры придут следующим утром, включат компьютеры. а вдруг косяк? Поэтому хотя бы первый раз сначала испытайте на себе.

Запретить пользователям установку или запуск программ в Windows 10/8/7

При желании вы можете запретить пользователям устанавливать или запускать программы в Windows 10/8/7, а также в семействе Windows Vista/XP/2000 и Windows Server. Это можно сделать с помощью определенных параметров Групповой политики , чтобы управлять поведением установщика Windows, запретить запуск или ограничение определенных программ через Редактор реестра .

Установщик Windows , msiexec.exe , ранее известный как установщик Microsoft, — это механизм установки, обслуживания и удаления программного обеспечения в современных системах Microsoft Windows.

В этом посте мы увидим, как заблокировать установку программного обеспечения в Windows 10/8/7.

  1. Отключить или ограничить использование установщика Windows через групповую политику
  2. Всегда устанавливайте с повышенными привилегиями
  3. Не запускайте указанные приложения Windows
  4. Запретить установку программ через редактор реестра

Отключить или ограничить использование установщика Windows через групповую политику

Введите gpedit.msc в начале поиска и нажмите Enter, чтобы открыть редактор групповой политики. Перейдите к Конфигурациям компьютера> Административные шаблоны> Компоненты Windows> Установщик Windows. В панели RHS дважды щелкните Отключить установщик Windows . Настройте опцию как требуется.

Этот параметр может запретить пользователям устанавливать программное обеспечение в своих системах или разрешить пользователям устанавливать только те программы, которые предлагаются системным администратором. Если вы включите этот параметр, вы можете использовать параметры в окне Отключить установщик Windows, чтобы установить параметр установки.

Параметр «Никогда» означает, что установщик Windows полностью включен. Пользователи могут устанавливать и обновлять программное обеспечение. Это поведение по умолчанию для установщика Windows в Windows 2000 Professional, Windows XP Professional и Windows Vista, когда политика не настроена.

Параметр «Только для неуправляемых приложений» позволяет пользователям устанавливать только те программы, которые назначает системный администратор (предлагает на рабочем столе) или публикует (добавляет их в «Установка и удаление программ»). Это поведение по умолчанию установщика Windows в семействе Windows Server 2003, когда политика не настроена.

Параметр «Всегда» означает, что установщик Windows отключен.

Этот параметр влияет только на установщик Windows. Это не мешает пользователям использовать другие методы для установки и обновления программ.

Всегда устанавливайте с повышенными привилегиями

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Компоненты Windows. Прокрутите вниз и нажмите «Установщик Windows» и установите для него значение Всегда устанавливать с повышенными привилегиями .

Этот параметр указывает установщику Windows использовать системные разрешения при установке любой программы в системе.

Этот параметр расширяет привилегии всех программ. Эти привилегии обычно зарезервированы для программ, которые были назначены пользователю (предлагаются на рабочем столе), назначены компьютеру (установлены автоматически) или стали доступны в разделе «Установка и удаление программ» на панели управления. Этот параметр позволяет пользователям устанавливать программы, которым требуется доступ к каталогам, которые пользователь может не иметь разрешения на просмотр или изменение, включая каталоги на компьютерах с ограниченными правами.

Если этот параметр отключен или не настроен, система применяет разрешения текущего пользователя при установке программ, которые системный администратор не распространяет или не предлагает.

Этот параметр отображается в папках «Конфигурация компьютера» и «Конфигурация пользователя». Чтобы этот параметр вступил в силу, необходимо включить параметр в обеих папках.

Читать еще:  Установка принтера самсунг scx 4200

Опытные пользователи могут использовать разрешения, предоставляемые этим параметром, для изменения своих привилегий и получения постоянного доступа к файлам и папкам с ограниченным доступом. Обратите внимание, что версия этого параметра в конфигурации пользователя не гарантируется как безопасная.

Не запускайте указанные приложения Windows

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Система

Здесь, на панели RHS, дважды нажмите Не запускать указанные приложения Windows и в открывшемся окне выберите Включено. Теперь под опциями нажмите Показать. В открывшемся новом окне введите путь к приложению, которое вы хотите запретить; в этом случае: msiexec.exe .

Это запретит запуск установщика Windows, который находится в папке C: Windows System32 .

Этот параметр не позволяет Windows запускать программы, указанные в этом параметре. Если вы включите этот параметр, пользователи не смогут запускать программы, добавленные вами в список запрещенных приложений.

Этот параметр запрещает пользователям запускать программы, запускаемые процессом Windows Explorer.Это не мешает пользователям запускать программы, такие как диспетчер задач, которые запускаются системным процессом или другими процессами. Кроме того, если вы разрешаете пользователям получать доступ к командной строке cmd.exe, этот параметр не запрещает им запускать программы в командном окне, которые им не разрешено запускать с помощью проводника Windows. Примечание. Чтобы создать список запрещенных приложений, нажмите «Показать». В диалоговом окне «Показать содержимое» в столбце «Значение» введите имя исполняемого файла приложения (например, msiexec.exe).

Запретить установку программ через редактор реестра

Откройте редактор реестра и перейдите к следующему ключу:

Создайте строковое значение с любым именем, например, 1, и установите его значение в EXE-файле программы.

Например, если вы хотите ограничить msiexec , создайте строковое значение 1 и установите для него значение msiexec.exe . Если вы хотите ограничить большее количество программ, просто создайте дополнительные строковые значения с именами 2, 3 и т. Д. И установите для их значений исполняемый файл программы.

Возможно, вам придется перезагрузить компьютер.

Также читайте:

  1. Запретить пользователям запуск программ в Windows 10/8/7
  2. Запускайте только указанные приложения Windows
  3. Windows Program Blocker — это бесплатное ПО для блокировки приложений или приложений, блокирующее запуск программного обеспечения.
  4. Как заблокировать установку сторонних приложений в Windows 10.

Установка

Разберем установку, а также безболезненный переход к новым версиям LibreOffice средствами Active Directory и групповых политик.

Подготовка дистрибутива

Сначала нужно подготовить дистрибутив для установки из сетевого ресурса.

Для этого необходимо распаковать архив LibreOffice и запустить инсталляционный файл типа setup.exe с атрибутом /a (например, из cmd или TotalCommander) — запустится административная установка

Далее укажите сетевой ресурс в котором в дальнейшем будут располагаться все дистрибутивы устанавливаемых программ средствами AD, с предварительно открытым общим доступом, как указано в следующем пункте, для размещения серверного образа — оттуда впоследствии и будет производиться установка приложения. Данный пункт необходимо выполнить для самого дистрибутива LibreOffice и для Help Pack к нему.

Установка разрешений доступ и настройка безопасности

Теперь необходимо, если это еще не сделано, открыть общий доступ к папке с серверным образом дистрибутивов и установить необходимые параметры безопасности для того, чтобы локальная машина имела доступ к файлам установки (достаточно галок чтение, список содержимого папки, чтение и выполнение для пользователя «прошедшие проверку»).

А также на вкладке дополнительно поставить галку «заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимым к дочерним объектам», чтобы данные настройки безопасности распространились на все подпапки и файлы в них.

Создание административной единицы в Active Directory

Переходим непосредственно к установкам в AD и GPO. Создаем в «Active Directory — пользователи и компьютеры» отдельную организационную единицу (OU) и помещаем в нее компьютеры, на которые и будет устанавливаться программное обеспечение (вполне возможно, что такая OU уже существует).

Создание групповой политики

Установка приложений возможна через назначения компьютера (в таком случае установка будет происходить сразу после загрузки, до входа в систему) или пользователя (возможна установка при первом запуске программы). Мы рассмотрим первый вариант. Запускаем Group Policy Management и переходим к нашей OU, создаем и подключаем к ней политику (можно сделать через AD — Свойства OU — вкладка Group Policy).

Создание установочного пакета

После создания Групповой политики редактируем ее — правой клавишей — edit, откроется «Редактор объектов групповой политики». В нем раскрываем Конфигурация компьютера — конфигурация пользователя — установка программ, правой клавишей создать — пакет. Выбираем путь до установочного файла LibreOffice с расширением *.msi

Через групповые политики установка осуществляется только через файлы msi, так что если вам необходимо установить другую программу, которая по умолчанию не содержит msi, то нужно переконвертировать файл exe (или др.) в msi с помощью любого конвертера.

Продолжаем: тип развертывания выбираем назначенный (чтобы установка начиналась сразу после загрузки до входа в систему), также обратите внимание на вкладку безопасность в свойствах созданного пакета, тут опять же должны быть необходимые разрешения на чтение для применения групповой политики, например, также на пользователя «Прошедшие проверку» галка «чтение».

Таким же образом создаем пакет для установки Help Pack.

После этого на локальной машине в нашей OU должны примениться групповые политики (можно ускорить, запустив в cmd команду gpupdate /force) и после следующей перезагрузки должна произвестись установка LibreOffice и Help Pack. Если приложение не установилось — смотрим логи компьютера, вкладка приложения. Распространенные проблемы — нет доступа к сетевому ресурсу с установочным файлом и не применение групповой политики.

Однако, для нормальной работы LibreOffice необходима Java. Ее также можно установить через GPO. Лучше на каждое приложение создавать отдельную политику для независимости и удобства обновления приложений.

Итак, полдела сделано — приложение автоматически установлено на необходимых машинах, но вот выходит следующая версия LibreOffice и тут также не обойтись без GPO.

Заключение

Сегодня вы узнали о том, как можно удалить проинсталлированное при помощи расширения клиентской стороны «Установка программ» программное обеспечение, а также каким образом можно так установить программу, чтобы пользователь ее не смог удалить средствами возможностей панели управления.

Глядя на рассмотренные на протяжении семи статей данного цикла возможности, несмотря на все преимущества распространения программного обеспечения средствами групповой политики, можно также найти и множество недостатков, на которые следует обратить свое внимание при планировании распространения ПО. Например, к одному из таких недостатков можно отнести то, что распространять программное обеспечение средствами групповой политики можно только в домене Active Directory. А если в вашей организации пользователи еще работают под управлением таких операционных систем, как Windows 95/98 или Windows NT, то развернуть приложения для таких клиентов средствами GPO будет невозможно. Также вы не можете штатными средствами установить программный продукт из exe-инсталлятора, что является очень досадным недостатком. Помимо этого, при развертывании приложений средствами групповой политики вы не можете настроить график установки или распространять приложения при помощи многоадресного сетевого вещания. Другими словами, распространение программного обеспечения средствами групповой политики не обеспечивает набор определенных функциональных возможностей, которые могут понадобиться для управления программным обеспечением в крупной организации. В таких случаях лучше всего использовать такой продукт, как System Center Configuration Manager. А если вас заинтересуют дополнительные возможности установки программных продуктов средствам SCCM, я с радостью могу начать рассматривать эту процедуру в новом цикле статей, посвященном установке программного обеспечения, но уже при помощи такого «монстра», как System Center Configuration Manager.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector