Установка msi через gpo: Установка программ с помощью групповых политик

Установка программ с помощью групповых политик

Прежде чем приступить к описанию процесса установки ПО с помощью групповых политик, оговорим, что распространение ПО на с помощью политик  не всегда является оптимальным решением и имеет ряд ограничений. Вот несколько основных недостатков этого метода установки софта:

1.  Невозможность планирования установки ПО. При установке софта при помощи групповой политики, установить или деинсталлировать ПО можно только при следующей загрузке системы. Поэтому практически невозможно, организовать массовое обновление какого-либо ПО, например, в ночное время,  когда нагрузка на сеть минимальная.  В этом случае лучше использовать, например, SCCM. Используя окна обслуживания (maintenance) или настройки WOL(Wake On LAN).

2.  Поддерживаются только MSI и ZAP установщики. Формат дистрибуции приложений в групповых политиках– это лишь популярный MSI installer и менее известные пакеты ZAP. В этом случае опять предпочтительнее использование SCCM, т.к.  он поддерживает использование всех возможных установщиков.

3.  Фиксированный порядок установки приложений. При добавления нового приложения в объект групповой политики, оно устанавливается на ПК последним, и поменять этот порядок нельзя.

4.  Отсутствие контроля. При установке ПО через групповую политику, пакет установщика выполняется на целевом компьютере, однако какая-либо обратная связь отсутствует. Поэтому вы с уверенностью не сможете сказать установилось ли ваше ПО на конкретном компьютере или нет.

Итак, после того, как вы познакомились с основными недостатками установки софта средствами групповых политик,  перейдем к конкретному примеру. Отметим, что с помощью групповых политик правильно было бы устанавливать общесистемное ПО, которое используется на всех ПК организации, это может быть, например, антивирусный агент, клиент SCCM или InTune. В данной статье мы будем описывать установку агента InTune.

Windows InTune – это новый сервис Microsoft, предназначенный для служб ИТ, позволяющий управлять и осуществлять мониторинг компьютеров с помощью веб консоли. Этот сервис зачастую называют «облачным» SCCM, причем эта облачная служба позволяет управлять множеством рабочих станций без необходимости создания серверной инфраструктуры.

Т.к. ни одна из компонент InTune  не устанавливается на сервера, поэтому все что нужно – это расставить клиентов InTune  на рабочих станциях. Естественно, его можно расставить вручную, но если в вашей организации больше чем 10 ПК, то это может превратиться  в головную боль. Поэтому мы попытаемся организовать процесс установки Windows InTune  с помощью групповых политик.

Настраиваем дистрибутив для установки с помощью Group Policy

1. Качаем дистрибутив клиента InTune Client.

2.  Жмем правой кнопкой по файлу “Windows_Intune_Setup.zip” и выбираем “Extract All”

3.  Распаковываем содержимое файла Windows_Intune_Setup.exe в текущую папку, набрав команду “Windows_Intune_Setup.exe /extract .”.

4.  Копируем файлы (список их ниже) на сетевую папку, с которой будет производиться установка.

Совет: Для корректной работы необходимо, чтобы группа “Domain Computers” имела права на чтение из указанной сетевой папки, иначе ПК организации не смогут скачать и установить эти файлы.

Настраиваем групповую политику для установки ПО

5.  Перейдите в режим редактирования групповой политики, применяемой к целевым компьютерам, на которые вы хотите установить клиент InTune.

6.  Перейдите в раздел “Computer Configuration > Policies > Software Settings > Software installation”. Щелкните правой кнопкой по элементу “Software installation”, выберите “New>Packages”

7.  Выберите сетевую папку, в которую вы поместили файлы установщика, найдите и укажите  файл “Windows_Intune_X64.msi” и затем нажмите “Open”

8.  Выберите опцию “Advanced” и нажмите “OK”

9.  Т.к. в данном случае мы устанавливаем 64 битную версию клиента,рекомендуется добавить к имени приложения постфикс “x64”.

10.  Согласимся с настройками по-умолчанию и нажмем “OK”

В результате у вас получится примерно такая картинка.

И данное ПО будет установлено на компьютеры, к котором применяется данная политика, при следующей перезагрузке ПК.

Установка MSI через GPO — как не ошибиться с источником установки / Песочница / Хабр

Как известно, в Active Directory есть замечательная (для тех, кто не хочет ставить программы «ручками», а денег на System Center нет) возможность устанавливать ПО на рабочие станции с помощью групповых политик. Функционал у неё ограничен, но для развёртки программ в небольшой организации хватает — действительно, не всё же Офис и WinRAR руками ставить.
Я достаточно успешно пользуюсь этим функционалом, и успел наловить несколько багов и «подводных камней», о последнем из которых хочу рассказать.

Use DFS, ffs!

Основная ошибка, которую я допустил при создании групповых политик — это местоположение источника MSI-инсталляций.

Я создал папку MSI на сервере Server1, и указывал GPO в качестве источников на находящиеся там пакеты. Всё работало — до тех пор, пока Server1 не дал дуба. И тут выяснилось, что изменение местоположения источника установки MSI так, чтобы пакет не переустановился у всей организации- задача нетривиальная. Для этого нужно:

Зайти в ADSIEdit.msc, там открыть Domain -> DC=Domain,DC=com -> CN=System -> CN=Policies

Там хранятся все групповые политики.

В свойствах нужной (каждой!) «установочной» GPO посмотреть её GUID (он есть на вкладке Details в gpmc.msc), найти его в ADSIEdit в этих самых Policies, развернуть, и зайти либо в Machine\Class Store\Packages, либо в User\Class Store\Packages (в зависимости от того, на компьютер или на пользователя ставится MSI-пакет).

В этом месте будут объекты класса PackageRegistration, по одному на каждый MSI-пакет, прикрученный к политике. Нужно в каждый их них зайти и заменить в атрибуте msiFileList UNC-пусть к источнику пакета.

Затем повторить процедуру для всех-всех политик установки MSI-пакетов.

… а так как к моменту трагической гибели Server1 пакетов у меня образовалось штук сто, данная процедура заняла полдня. Чтобы избежать этой работы, достаточно было всего лишь вместо простой шары \\Server1\msi создать DFS Domain Root вида \\domain.com\msi. О чём я и спешу вам всем тут рассказать.

P.S. Кстати о DFS — в процессе поисков решения для смены источника MSI для GPO, маленькая особенность распределенной файловой системы Windows мне очень помогла пережить даунтайм: при создании Domain DFS Root вида \\domain.com\msi она начала отзываться и на всех доменных контроллерах под тем же видом (т.е. \\Server1\msi, \\Server2\msi и т.д.) — хотя Server1, хоть и был доменным контроллером, в то время лежал развинченным на несколько частей у меня на столе.

Установка при помощи групповых политик (Group Policy Object) CrocoTime

Подобная установка агентов учета рабочего времени удобна в том случае, если у вас есть хорошо настроенный домен, и вы имеете достаточный опыт системного администрирования.

Важно, чтобы все действия выполнялись под учетной записью пользователя с полномочиями администратора сервера. В противном случае могут возникнуть проблемы с установкой агентов на компьютеры домена.

Получите файл .msi, нажав в веб-интерфейсе системы CrocoTime раздел «Настройки» > «Сотрудники»  и нажмите кнопку «Скачать агент» > “Пакет GPO”. Вам понадобится ввести адрес и порт сервера CrocoTime в формате http://server:port. После ввода адреса для загрузки будут доступны две ссылки. Первая — msi-пакет, вторая — модификатор. Модификатор требуется для задания настроек сервера агенту. При загрузке модификатора браузерами, например, Internet Explorer или Google Chrome может выдаваться сообщение “Не удалось проверить издателя программы”. Сохраните файл в любом случае.

Полученные файлы переместите в папку, откуда будет происходить установка. Внимание, модификатор следует получать только через web-интерфейс системы CrocoTime! Если вы найдете mst файл где-то сами, то вероятно, работать он не будет.

Откройте оснастку «Управление групповой политикой», как показано на рисунке.

В открывшемся окне в дереве консоли разверните узел «Лес: %имя леса%», узел «Домены», затем узел с названием вашего домена, после чего перейдите к узлу «Объекты групповой политики». В узле «Объекты групповой политики» создайте объект GPO»CrocoTime Agent».

Введите имя нового объекта GPO.

После этого в оснастке «Управление групповой политикой» выберите созданный вами ранее объект GPO, нажмите на нем правой кнопкой мыши и выберите команду«Изменить» из контекстного меню для открытия оснастки «Редактор управления групповыми политиками»:

В оснастке «Редактор управления групповыми политиками» разверните узел Конфигурация пользователя\Политики\Конфигурация программ, перейдите к узлу«Установка программ», нажмите на этом узле правой кнопкой мыши и из контекстного меню выберите команды «Создать» и «Пакет», как показано на следующей иллюстрации:

В отобразившемся диалоговом окне «Открыть» перейдите к подготовленной ранее точке распространения программного обеспечения и выберите файл установщика Windows, используя который, будет установлено программное обеспечение. На этом этапе обратите внимание на две особенности. Во-первых, для развертывания агентов  системы учета рабочего времени СrocoTime, вам нужно выбрать файл agent_installer.msi, который расположен в выбранной вами папке (Общий доступ к этой папке должен быть открыт). Второй, более важный момент: при выборе папки вам нужно указывать не букву локального диска на своем контроллере домена (в том случае, если инсталляционный пакет расположен именно на контроллере домена), а именно сетевой путь, так как это расположение публикуется для клиентских компьютеров;

Сразу после выбора *.msi-файла вам будет предложен способ развертывания программного обеспечения. В отобразившемся диалоговом окне «Развертывание программ» вы можете выбрать один из следующих методов: «публичный», «назначенный»или «особый». Выберите метод «особый», как показано на следующей иллюстрации:

В диалоговом окне свойств установочного пакета, которое всплывет через несколько секунд после указания метода развертывания, необходимо указать дополнительные параметры, используемые при установке агента системы CrocoTime.

Во вкладке «Развертывание» нажмите кнопку «Дополнительно»  и активируйте чекбокс«Сделать это 32-разрядное х86 приложение доступным для компьютеров с архитектурой Win64».

Во вкладке «Модификации» нажмите кнопку «Добавить» и укажите путь до файла модификатора server_settings.mst.

Во вкладке «Обновления» в окне “Приложения, обновляемые данным пакетом” удалите все параметры, окно должно быть пустым. Приложение будет заменяться на новую версию

После того как вы внесли все необходимые изменения, нажмите кнопку «ОК». Окно редактирования политики должно иметь такой вид:

Последнее, что нужно сделать, это связать объект групповой политики с доменом, а также в фильтре безопасности указать группы пользователей, для компьютеров которых будут развертываться агенты системы учета рабочего времени CrocoTime. Закройте оснастку«Редактор управления групповыми политиками» и свяжите с доменом (или группой компьютеров в домене) созданный объект групповой политики.

Для этого, в дереве консоли оснастки «Управление групповой политикой» выберите ваш домен (или группу компьютеров внутри домена), нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Связать существующий объект групповой политики».

В отобразившемся диалоговом окне «Выбор объекта групповой политики» выберите данный объект групповой политики и нажмите на кнопку «ОК».

Теперь выберите связанный объект групповой политики (СrocoTime Agent)  в узле«Объекты групповой политики», перейдите на вкладку «Область» и в группе «Фильтры безопасности» добавьте те группы пользователей,  на компьютеры которых должен установиться агент системы учета рабочего времени CrocoTime.

Закройте окно Управление групповой политикой и откройте командную строку Windows. В командной строке введите команду «gpupdate /force». Сервер сообщит, что он не сможет применить политику установки без перезагрузки и предложит перезагрузиться. Введите в командную строку «y» (в английской раскладке) и нажмите клавишу «Enter». Система будет перезагружена через 1 минуту после ввода команды. Либо просто перезагрузите сервер через меню «Пуск».

После перезагрузки сервера политика будет применена. Установка агента системы учета рабочего времени CrocoTime на компьютеры пользователей начнется после того, как пользователи выйдут из системы и заново войдут в нее, либо когда их компьютеры будут перезагружены.

Как удалить модуль сбора статистики?

Чтобы удалить агенты системы учета рабочего времени CrocoTime при помощи GPO, нужно в оснастке «Редактор управления групповыми политиками» развернуть узел Конфигурация пользователя\Политики\Конфигурация программ, перейти к узлу«Установка программ» и нажать на этом узле левой кнопкой мыши. В окне отобразится ваш установленный агент. Нажмите на нем правой кнопкой мыши и из всплывающего меню выберите «Все задачи» => «Удалить».

После этого всплывет окно «Удаление приложений». Выберите в этом окне параметр«Немедленное удаление этого приложения с компьютеров всех пользователей».

Закройте окно Редактора управления групповой политикой и откройте командную строку Windows. В командной строке введите команду «gpupdate /force». Сервер сообщит, что он не сможет применить политику установки без перезагрузки и предложит перезагрузиться. Введите в командную строку «y» (в английской раскладке) и нажмите клавишу «Enter». Система будет перезагружена через 1 минуту, после ввода команды. Либо просто перезагрузите сервер через меню «Пуск».

После перезагрузки групповая политика будет применена. Удаление агентов системы учета рабочего времени CrocoTime c компьютеров пользователей начнется после того, как пользователи выйдут из системы и заново войдут в нее, либо когда их компьютеры будут перезагружены.

Откройте оснастку «Управление групповой политикой». В открывшемся окне перейдите к узлу «Объекты групповой политики». В узле «Объекты групповой политики» удалите объект GPO «CrocoTime Agent».

Удаление агентов системы учета рабочего времени CrocoTime завершено.

MSI через GPO — То, с чем приходится работать — LiveJournal

Из exe-установщика можно слепить msi-пакет, чтобы потом установить его на все интересующие компьютеры домена, через групповые политики.

Итак, делаем msi-пакет.

Берется чистая система — ОС+необходимые сервис паки. Система должна быть такой же (должна, но, думаю, не обязана, надо тестить), как и та, на которую будет ставиться полученный msi-пакет. На нее ставиться  Flexera Admin Studio (30 дневная бесплатная версия). Набор утилит в ней большой, нас интересует Repackager, его при кастомизированной установке можно выбрать 1 и не ставить отсальные компоненты. 
Тут надо сделать уточнение.
В справке по программе есть совет: брать 2 машины
— одну чистую, про которую речь уже шла, на нее в процессе перпаковки стаиться исходная exe-программа
— 2ая — на которую ставиться Repackager  и  запускается он удаленно. 

И если 2ой машины все-таки не найти то можно все ставить на 1. На практике вариант с 1ой машиной прошел удачно. На нем и отстановимся пока.

Далее запускаем Repackager:
Repackaging wizard, 
в нем способ, которым будет произоводится перепаковка(Мониторинг по умолчанию)
Далее — Запуститься процесс установки приложения
Proccess
Готово

Смотрим, что он увидел, если ок — Build.

На этом перепаковка исходного дистрибутива в msi закончена!

Устанавливаем полученный пакет через GPO

На DC открываем Group Policy Managment Console. Выбираем OU, в котором находится интересующий нас объект. Привязать установку msi можно как к объекту Computer, так и User. Соответсвенно, после привязки политики к OU в ней редактируется блок Computer Configuration или User Configuration. 
В свойствах политики блок Software Settings — > Software Installation. Указывается местоположение расшаренной папки, в которой лежить msi-пакет.

Собственно, все. На клиенте политика применится при перезапуске системы.
Удалить пакет, везде, где он установлен можно из той же консоли Group Management Console.

Статья про установку MSI через GPO: http://www.samag.ru/art/04.2006/04.2006_05.html

Надёжная установка программ средствами групповых политик без SCCM

Воскресенье, 26 — Апрель — 2015

Централизованно устанавливать программы в домене Active Directory можно либо средствами групповых политик (Group Policy), либо инструментарием наподобие System Center Configuration Manager. Но SCCM — мероприятие недешёвое, поэтому весомая часть системных администраторов распространяет MSI-пакеты политиками. Однако, установка политиками обладает рядом существенных недостатков:

1. Если инсталляция не удалась с первого раза, она никогда не будет исполнена до конца. Причины сбоя установки могут быть разными, но политика так или иначе создаст в реестре клиентской машины запись «Объект политики с таким-то номером отработал, дело можно закрыть». Идентификатор объекта вы можете найти в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\AppMgmt. Получается, системе безразлично, нормально ли установилась программа — она регистрирует лишь факт исполнения политики, чтобы потом к этому вопросу больше уже не возвращаться.
2. Если так случилось, что установленную политикой программу кто-то убрал вручную, она не будет возвращена на место автоматически. Проблема известная, вот где я нашёл объяснение, когда столкнулся с ней впервые: https://social.technet.microsoft.com/Forums/windowsserver/en-US/82f1e144-78a3-4446-8aaf-18843c890cdc/force-reinstall-of-applications-deployed-by-software-gpo-after-uninstall. Причина всё та же, что в пункте номер раз.
3. Иногда требуется задавать особые условия установки или проверки предварительных условий, которые стандартные политики не поддерживают. Например, при инсталляции Oracle VirtualBox добавить сертификат доверенного издателя:

"%~dp0\cert\VBoxCertUtil.exe" add-trusted-publisher "%~dp0\cert\oracle-vbox.cer"

Для решения этих проблем я написал скрипты распространения и убирания программ. Стандартная схема централизованного распространения может выглядеть так:

1. На одном из контроллеров в шаринге NetLogon создаём папку Deployment, внутри которой размещаем папки всех нужных приложений, например:
   \\DC-Riga.WindowsNT.LV\NetLogon\Deployment\7-Zip
   \\DC-Riga.WindowsNT.LV\NetLogon\Deployment\Skype
   \\DC-Riga.WindowsNT.LV\NetLogon\Deployment\FrontMotion_Firefox
   Такое местоположение удобно тем, что контроллеры реплицируют содержимое папки NetLogon между собой, а путь инсталляции можно назначить в виде доменного имени \\WindowsNT.LV\NetLogon\Deployment; в результате, клиенты выполнят установку с ближайшего контроллера.
2. Внутри папки конкретного приложения сохраняем скрипты установки и убирания приложения:
   \…\7-ZIP
   \…\7-ZIP\x64\7z920-x64.msi
   \…\7-ZIP\x86\7z920-x86.msi
   \…\7-ZIP\Install_7Zip.bat
   \…\7-ZIP\Uninstall_7Zip.bat
3. Создаём отдельные объекты групповых политик Applications 7-Zip Install и Applications 7-Zip Uninstall, в которых указываем скрипты в секции Startup Scripts. Политики пристёгиваем к нужному контейнеру в Active Directory (например, к корню домена или только к требуемым департаментам). Можно создать группы безопасности, куда внести учётные записи нужных машин, затем разрешить применять политики только этим группам.

Теперь собственно скрипт установки на простом примере 7-Zip:

rem Application Install - 7-Zip
set Package_Name_x86=x86\7z920.msi
set Package_Name_x64=x64\7z920-x64.msi
set MSI_Product_Code_x86={23170F69-40C1-2701-0920-000001000000}
set MSI_Product_Code_x64={23170F69-40C1-2702-0920-000001000000}
set Installation_Parameters=
set Desired_Version=0x9140000
set Detected_Version=None

:Check_if_already_installed_x64_on_x64
REG QUERY HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\%MSI_Product_Code_x64%
if not %ErrorLevel%==0 goto Check_x86_on_x86
for /f "tokens=2,*" %%a in ('REG QUERY HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\%MSI_Product_Code_x64% /v Version ^| findstr Version') do set Detected_Version=%%b
if /i (%Detected_Version%)==(%Desired_Version%) goto End
goto Install

:Check_if_already_installed_x86_on_x86
REG QUERY HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\%MSI_Product_Code_x86%
if not %ErrorLevel%==0 goto Check_x86_on_x64
for /f "tokens=2,*" %%a in ('REG QUERY HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\%MSI_Product_Code_x86% /v Version ^| findstr Version') do set Detected_Version=%%b
if /i (%Detected_Version%)==(%Desired_Version%) goto End
goto Install

:Check_if_already_installed_x86_on_x64
REG QUERY HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\%MSI_Product_Code_x86%
if not %ErrorLevel%==0 goto Install
for /f "tokens=2,*" %%a in ('REG QUERY HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\%MSI_Product_Code_x86% /v Version ^| findstr Version') do set Detected_Version=%%b
if /i (%Detected_Version%)==(%Desired_Version%) goto End

:Install
if /i exist "C:\Program Files (x86)" goto Install_x64
:Install_x86
xcopy /r /y "%~dp0%Package_Name_x86%" "%Temp%\%Package_Name_x86%*"
msiexec /i "%Temp%\%Package_Name_x86%" %Installation_Parameters% /qn
del /f /q "%Temp%\%Package_Name_x86%"
goto End
:Install_x64
msiexec /i "%~dp0%Package_Name_x64%" %Installation_Parameters% /qn
:End

Cкрипт убирания программы:

rem Application Uninstall - 7-Zip
set MSI_Product_Code_x86={23170F69-40C1-2701-0920-000001000000}
set MSI_Product_Code_x64={23170F69-40C1-2702-0920-000001000000}
set Installation_Parameters=/norestart

:Check_x64_on_x64
REG QUERY HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\%MSI_Product_Code_x64%
if %ErrorLevel%==0 msiexec /x %MSI_Product_Code_x64% %Installation_Parameters% /qn

:Check_x86_on_x86
REG QUERY HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\%MSI_Product_Code_x86%
if %ErrorLevel%==0 msiexec /x %MSI_Product_Code_x86% %Installation_Parameters% /qn

:Check_x86_on_x64
REG QUERY HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\%MSI_Product_Code_x86%
if %ErrorLevel%==0 msiexec /x %MSI_Product_Code_x86% %Installation_Parameters% /qn

:End

Дополнительные замечания:

1. Скрипт установки требует настройки шести переменных: Package_Name_x86, Package_Name_x64, MSI_Product_Code_x86, MSI_Product_Code_x64, Installation_Parameters, Desired_Version, для каждой программы они уникальны. Коды MSI и версию программы я выясняю отдельно, устанавливая программу вручную на тестовых системах.
2. Разумеется, инсталляции можно запускать не с контроллеров, а из выделенной точки распространения вида \\DeploymentServer.WindowsNT.LV. Учтите, что компьютеры считывают инсталляционные файлы от лица ComputerName$/SYSTEM — убедитесь, что группы Domain Computers и Domain Controllers имеют разрешения чтения как на Share, так и на NTFS.
3. В любом случае, убедитесь, что путь к выбранному репозиторию добавлен в «белые списки» программ (Application Whitelisting), иначе установка может отказать и по этой причине.
4. Команда XCopy в %Temp% нужна только для Windows XP/2003, так как на этих системах MSIExec не умеет инсталлировать с сетевых ресурсов. На более новых системах копировать исходник на локальную машину не нужно, можно выполнять команду msiexec напрямую из %~dp0, как это сделано в 64-разрядном блоке.
5. Загрузочные скрипты на Windows 8 по умолчанию не работают. Причина: Windows 8 на самом деле не выключается (не выполняет Shutdown) — вместо этого, система всегда пытается выполнить Hybrid Sleep. Как окончательное решение, пришлось просто запретить Hybrid Sleep политиками для всех Windows 8.
6. Для подсчёта процента компьютеров с успешно установленной программой (Compliance) используйте Group Policy Preferences: https://blog.windowsnt.lv/2014/09/22/srp-compliance-report-russian/

Понравилось это:

Нравится Загрузка…

Похожее

Распространение программ в сети с помощью Group Policy

Доброго времени, уважаемые читатели блога! В данном посте буду собирать ссылки на софт, который удалось заставить устанавливаться или обновляться через GPO Active Directory. Админ, однако, очень не любит ручной труд, который можно автоматизировать, особенно если он однообразен и нуден…

Очень часто выходят обновления для таких компонентов, как Adobe Flash, которые являются потенциальной дырой в браузерах пользователей. Заставить устанавливать такой компонент — пользователя равносильно тому, что совсем его не обновлять. К тому же, необходимы права администратора для данного действия, а пользователь работающий под админом в сети предприятия — это зло, которое так и пытается положить вашу сеть при очередной посещении зловредных ресурсов. И Adobe Flash — это не единственный пример. Посему мы упростим работу себе и обеспечим актуальное состояние софта на рабочих станциях в сети.

Кратко расскажу о установке программ средствами групповых политик Active Directory, назначение пакетов MSI компьютерам (assigning to computer) (взято отсюда):

Задание:

• скопируйте к себе на компьютер файл Microsoft Installer (MSI) программного обеспечения Wininstaller. Поместите этот файл в каталог C:\Distrib на своем компьютере и расшарьте его как \\имя_вашего_компьютера\Distrib$;
• создайте групповую политику WinInstaller, которая бы устанавливала программное обеспечение Wininstaller на все компьютеры вашего домена в режиме назначения для компьютера и произведите установку при помощи этой групповой политики на свой компьютер.

Решение:

1. После создания общего каталога и копирования откройте Group Policy Management Console, щелкните правой кнопкой мыши по узлу вашего домена и в контекстном меню выберите Create and Link a GPO here. Присвойте создаваемое групповой политике название Wininstaller.
2. Щелкните правой кнопкой мыши по объекту созданной групповой политики и в контекстном меню выберите Edit. В окне Group Policy Object Editor раскройте узел Computer Configuration -> Software Settings -> Software installation, щелкните правой кнопкой мыши по узлу Software Installation и в контекстном меню выберите New -> Package.
3. В окне Open введите путь к пакету MSI: \\имя_вашего_компьютера\Distrib$\SWIADMLE.MSI и нажмите Open.
4. В окне Deploy Software установите переключатель в положение Advanced и нажмите OK.
5. В окне WinInstall Properties просмотрите все вкладки и нажмите OK. Закройте окна Group Policy Object Editor и Group Policy Management Console с сохранением внесенных изменений и перезагрузите компьютер. В процессе запуска обратите внимание на строку Installing Managed Software WinInstall, которая появится после строки Applying Computer Settings.
6. После окончания перезагрузки обратите внимание, что в меню Programs появилась новая группа программ.

Если есть желание углубиться в познание AD и GPO, можно ознакомиться с курсом: http://www.intuit.ru/department/os/sysadmswin/, или http://www.intuit.ru/goto/course/netmsserver2003/

Ну что ж, начнем с добычу пакетов MSI:

7-Zip — http://www.7-zip.org/download.html (так же, для пользователя применил скрипт Ассоциации файлов и локализация 7-zip)
Adobe Flash Player — http://www.adobe.com/products/flashplayer/fp_distribution3.html (по ссылке и Flash Plugin и ActiveX)
Adobe Reader — https://acrobat.adobe.com/ru/ru/acrobat/pdf-reader/volume-distribution.html (необходимо оформить бесплатную лицензию)
ftp://ftp.adobe.com/pub/adobe/reader/win/AcrobatDC/1902120058/
(обновления версий в подкаталогах) наложение обновлений Reader:

> mkdir C:\Temp\AdobeReader
> cd C:\Temp\AdobeReader
> msiexec /a AdbeRdr1000_ru_RU.msi TARGETDIR=c:\Temp\AdobeReader\Updated
> msiexec /a c:\Temp\Adobe\Updated\AdbeRdr1000_ru_RU.msi /p C:\Temp\AdobeReader\AdbeRdrUpd1001_Tier4.msp

Google Chrome — https://www.google.com/intl/en/chrome/business/
JAVA — http://www.java.com/ru/download/ (после распаковки инсталлера, msi в C:\Users\<User>\AppData\LocalLow\Sun\, инструкшн: http://www.java.com/ru/download/help/msi_install.xml)
Mozilla Firefox — http://frontmotion.com/FMFirefoxCE/download_fmfirefoxce.htm
Notepad++ — https://www.hass.de/content/notepad-msi-package-enterprise-deployment-available
OpenOffice — http://www.i-rs.ru/download или http://ru.openoffice.org/ (после распаковки установщика — готовый MSI)
Примечание, возможна ошибка установки OpenOffice на Windows 7.  
Opera — http://ftp.opera.com/pub/opera/win/ (в каталоге _версия_/autoupdate лежит MSI)
Paint.NET — exe берем отсюда: http://paintnet.ru/download/, MSI создаем по инструкции: http://paint-dot-net.narod.ru/help_ru/p5_Install.htm:

> mkdir C:\Temp\PaintNET
> cd C:\Temp\PaintNET
> C:\Temp\PaintNET\PaintNET.exe /createMsi CHECKFORUPDATES=0
> забираем готовые MSI с рабочего стола

ДубльГИС — http://krasnodar.2gis.ru/how-get/download/ (мануал http://help.2gis.ru/pc/full/install/corporative/)

Upd 2011.07.01: добавил Opera
Upd 2012.02.23: добавил Chrome
Upd 2018.07.24: добавил Notepad++

С Уважением, Mc.Sim!

Другие материалы в категории Windows

Теги: Active Directory, Group Policy, Microsoft Windows, MSI, установка

Что делать если «установка запрещена политикой, заданной системным администратором»

November 21st, 2013, 06:15 pm

Что делать если «установка запрещена политикой, заданной системным администратором»

При попытке установить MSI пакет на сервере удаленных рабочих столов Windows Server 2012 R2 с правами локального пользователя или администратора выдает ошибку: «Данная установка запрещена политикой, заданной системным администратором» если версия системы английская то The system administrator has set policies to prevent this installation.
Примечательный факт, что на сервере не настраивались какие-либо ограничения на запуск msi пакетов пользователями, ни через групповые политики (GPO), ни тем более через Локальные политики безопасности.

Похоже что это стандартное поведение системы, либо Windows самостоятельно изменяет настройки Windows Software Restriction Policy в каких-то случаях.

Решить данную проблему, мне помогла статья VMware о выдаче подобное ошибки при установке VMware Tools.

Vmware предлагает следующий вариант решения проблемы (Если у Вас английская версия Windows лучше следуйте оригинальным инструкция в kb vmware.):

1. Нажмите Пуск > Выполнить
2. Введите gpedit.msc и нажмите Enter
3. Выберите Политика «Локальный компьютер» > Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Установщик Windows
4. Далее кликните «Отключение установщика Windows» > Включено
5. В выпадающем списке «Отключить установщик Windows» выберите Никогда
6. Нажмите Применить и закройте окно.
7. Далее выберите Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Политика ограничения использования программ
8. Кликните правой кнопкой мышки по «Политика ограничения использования программ» и создайте новую политику.
9. Кликните правой кнопкой мышки по Применение и выберите свойства.
10. Отметьте пункт «всех пользователей, кроме локальных администраторов»
11. Нажмите ОК и закройте окно групповых политик.
12. Откройте командную строку и выполните gpupdate /force

Теперь установка msi должно проходить успешно.

PS …. первый пост за два года, можете меня поздравить ))

Развертывание MSI через GPO

В этом руководстве описывается, как развернуть MSI на нескольких машинах с помощью групповой политики в Windows Server 2012 и Windows Server 2016.

Хотите создать пакеты MSI, EXE, MSIX или другие типы пакетов? Загрузите Advanced Installer прямо сейчас.

1. Методы развертывания

Групповая политика поддерживает два метода развертывания пакета MSI:

• Назначить программное обеспечение — Программа может быть назначена для каждого пользователя или для каждой машины.Если он назначен для каждого пользователя, он будет установлен, когда пользователь войдет в систему. Однако, если он назначен для каждой машины, программа будет установлена ​​для всех пользователей при запуске машины.
• Публикация программного обеспечения — Программа может быть опубликована для одного или нескольких пользователей. Эта программа будет добавлена ​​в список «Установка и удаление программ» , и пользователь сможет установить ее оттуда.

2. Создание точки распространения

Первым шагом в развертывании MSI через GPO является создание точки распространения на сервере публикации.Это можно сделать, выполнив следующие действия:

• Войдите на сервер как администратор
• Создайте общую сетевую папку (эта папка будет содержать пакет MSI)
• Задайте разрешения для этой папки, чтобы разрешить доступ к пакет распространения
• Скопируйте MSI в общую папку

В общей папке вы также можете выполнить административную установку для пакета MSI, содержащегося в загрузчике EXE.

3. Создайте объект групповой политики

Пакет MSI развертывается (распространяется) через GPO как объект групповой политики.Чтобы создать объект для вашего пакета, вы можете выполнить следующие действия:

• Нажмите кнопку Start и откройте Перейдите в Start и откройте управление групповой политикой
• Разверните Forest (ваш лес)> Домены (ваш домен)
• Щелкните правой кнопкой мыши Group Policy Objects и выберите New
• Введите имя для своей политики и оставьте Source Starter GPO как (нет)

4.Назначить пакет MSI

Пакет может быть назначен на пользователя или на машину. Кроме того, если пакет назначен, он будет автоматически установлен автоматически. Чтобы назначить пакет, вы можете выполнить следующие действия:

• Щелкните по ранее созданной политике
• На правой панели щелкните вкладку настроек
• Вы должны увидеть Конфигурация компьютера и Конфигурация пользователя, щелкните правой кнопкой мыши в любом месте панели и выберите Изменить
• Разверните Конфигурация пользователя> Политики> Настройки программного обеспечения
• Щелкните правой кнопкой мыши Установка программного обеспечения и выберите Создать> Пакет
• Выберите свой пакет из ранее настроенного сетевого ресурса
• В В появившемся диалоговом окне выберите Assigned и нажмите OK
• Выбранный пакет появится на панели Software Installation (немного подождите, пока он не появится)
• Дважды щелкните новый пакет и выберите Deployment вкладка
• Проверить Установите это приложение при входе в систему и в пользовательском интерфейсе выберите Basic
• Нажмите OK
• Закройте редактор управления групповой политикой
• В окне Group Policy Management щелкните правой кнопкой мыши имя домена на левой панели и выберите Связать существующий GPO
• Выбрать ранее созданную политику с пакетом и нажмите OK.

. Не используйте кнопку Browse в диалоговом окне Open для доступа к расположению UNC.Убедитесь, что вы используете UNC-путь к общему пакету.

5. Публикация пакета MSI

При использовании групповой политики вы можете опубликовать пакет, чтобы позволить целевому пользователю установить его с помощью Установка и удаление программ . Шаги для публикации пакета:

• Щелкните ранее созданную политику
• На правой панели щелкните вкладку «Параметры »
• Вы должны увидеть Конфигурация компьютера и Конфигурация пользователя, щелкните правой кнопкой мыши в любом месте панели и выберите Изменить
• Разверните User Configuration> Policies> Software Settings
• Щелкните правой кнопкой мыши Software Installation и выберите New> Package
• Выберите свой пакет из ранее настроенного сетевого ресурса
• В появившемся диалоговом окне выберите Опубликован и нажмите ОК
• Выбранный пакет появится на панели Установка программного обеспечения (немного подождите, пока он появится)
• Дважды щелкните новый пакет и выберите вкладку Развертывание
• Проверить Установите это приложение при входе в систему и в пользовательском интерфейсе выберите Basic 90 013
• Нажмите OK
• Закройте редактор управления групповой политикой
• В окне Group Policy Management щелкните правой кнопкой мыши имя домена на левой панели и выберите Связать существующий GPO
• Выберите ранее создайте политику с пакетом и нажмите OK.
• Протестируйте пакет:
  • Войдите в систему на целевом компьютере
  • Нажмите кнопку Start и перейдите в панель управления
  • Дважды щелкните Add or Remove Programs и выберите Добавить новые программы
  • В списке Добавить программы из вашей сети выберите программу, которую вы опубликовали
  • Используйте кнопку Добавить для установки пакета
  • Нажмите ОК , а затем Закройте

Не используйте кнопку Обзор в диалоговом окне Открыть для доступа к расположению UNC.Убедитесь, что вы используете UNC-путь к общему пакету.

Возникли проблемы с вашим MSI? Ознакомьтесь с нашим руководством пользователя.

.

Как развернуть пакет MSI с помощью групповых политик

Как я могу развернуть пакет MSI с помощью групповых политик?

При развертывании агента с использованием групповой политики вам необходимо создать файл конфигурации, в который будут включены ваши уникальные параметры. Вы можете создать этот файл с помощью Microsoft Orca (доступно для Windows 7, WIndows 8, Windows 8.1 и Windows 10). Единственный необходимый компонент во время установки — это Tools, находящийся в пакете Microsoft Windows Installer SDK.

Файлы агента зависят от архитектуры.Вы должны создать отдельные файлы преобразования для 32-битных и 64-битных агентов.

Примечание: Этот параметр разработан специально для развертывания групповой политики. Если вы хотите развернуть агент вручную или с помощью командной строки и сценария, выберите параметр «Загрузить агент SysAid для Windows» в разделе «Параметры»> «Обнаружение сети»> «Загрузки».

Чтобы развернуть агент с групповой политикой с помощью MSI:

1. Откройте SysAidAgent.msi с помощью Orca и щелкните Transform> New Transform .
2. На панели таблиц щелкните Свойство .Вы должны найти те же параметры, что описаны выше.
3. Вы должны изменить как минимум параметры ACCOUNT, SERIAL и SERVERURL, а также можете изменить дополнительные параметры в списке ниже. Примечание : Следующие значения по умолчанию применяются, но отображаются как «NULL». Нет необходимости добавлять значения по умолчанию, и попытки добавить их снова могут привести к ошибке пользователя.
   • ALLOWREMOTECONTROL (значение по умолчанию = «Y»)
   • ALLOWSUBMITSR (значение по умолчанию = «Y»)
   • CONFIRMRC (значение по умолчанию = «Y»)
   • ENABLESYSAIDPS (значение по умолчанию = «N»)
   • ПЕРВЫЙ РАЗ (значение по умолчанию = «Y»)
   • HOTKEY (значение по умолчанию = «122»)
   • ИНТЕРВАЛ (значение по умолчанию = «30»)
   • LOGLEVEL (значение по умолчанию = «0»)
   • ПРОКСИПОРТ (значение по умолчанию = «0»)
   • ПРОКСИСЕРВЕР (значение по умолчанию = «нет»)
   • RANDOMMACHINEID (значение по умолчанию = «N»)
   • RDSName (значение по умолчанию = «none») *
   • RDSURL (значение по умолчанию = «none») *
   • SUBMITSRSHORTCUT (значение по умолчанию = «SysAid»)
4. Когда вы закончите, нажмите Transform> Generate Transform и сохраните файл как SysAidAgentx86.mst для 32-битного MSI или SysAidAgentx64.mst для 64-битного MSI.

* Доступно только для облачных аккаунтов

Теперь вы можете использовать файлы MSI и MST для публикации агента с помощью групповой политики.

Чтобы развернуть пакет MSI с созданным файлом MST, добавьте пакет в часть «Конфигурация компьютера» в групповой политике.

1. Откройте редактор объектов групповой политики.
2. Разверните Конфигурация компьютера> Настройки программного обеспечения .
3. В меню правой кнопки мыши выберите Установка программного обеспечения> Создать> Пакет …
4. Укажите файл SysAidAgent.msi.
   Примечание: Очень важно, чтобы путь к файлу SysAid MSI и MST не был локальным или через сетевой диск. Скорее, путь должен проходить через общий сетевой ресурс, доступный из любой точки вашей сети и к которому у всех есть как минимум разрешения на чтение.
5. В разделе «Метод развертывания» выберите Advanced . Если вы выберете другой вариант, вы не сможете применить созданный вами файл MST.
6. Добавьте имя пакета для упрощения идентификации (например, SysAid Agent 32).
7. Только для 32-разрядного MSI : На вкладке «Развертывание» щелкните «Дополнительно» , снимите флажок «Сделать это 32-разрядное приложение x86 доступным для компьютеров Win64» и щелкните OK . Это предотвращает использование 32-разрядного MSI от установки на 64-битные машины.
8. Перейдите на вкладку «Модификации» и нажмите «Добавить».
9. Укажите на соответствующий файл MST.Опять же, очень важно использовать UNC для файла (для общего сетевого ресурса), а не путь к локальному / сетевому диску.

Рекомендуемые настройки GPO

Мы рекомендуем указать следующие параметры в объекте групповой политики (групповой политике), чтобы обеспечить плавный и беспроблемный процесс распространения MSI:

• Конфигурация компьютера> Политики> Административные шаблоны> Компоненты Windows> Установщик Windows> Всегда устанавливать с повышенными правами
• Конфигурация компьютера> Политики> Административные шаблоны> Система> Вход в систему> Всегда ждать сети при запуске компьютера и входе в систему
• Конфигурация компьютера> Политики> Административные шаблоны> Система> Групповая политика> Обработка политики установки программного обеспечения (установите флажок «Разрешить обработку при медленном сетевом подключении»)

Примечание. Если вы используете SysAid версии 17.3.55 или выше, используйте инструкции MSI по этой ссылке.

.

[KB6863] Развертывание агента ESET Management через SCCM или GPO (7.x)

ESET Security Management Center (ESMC) 7 Разрешения пользователей

В этой статье предполагается, что ваш пользователь ESMC имеет необходимые права доступа и разрешения для выполнения задач. ниже.

Если вы по-прежнему используете пользователя-администратора по умолчанию или не можете выполнять указанные ниже задачи (параметр выделен серым цветом), см. Следующую статью, чтобы создать второго пользователя-администратора со всеми правами доступа (вам нужно только это сделать. один раз):

Просмотр разрешений, необходимых для доступа пользователей с минимальными правами

Пользователь должен иметь следующие разрешения для группы, содержащей измененный объект:

У пользователя должны быть следующие разрешения для каждого затронутого объекта:

Пользователь должен иметь следующие разрешения для своей домашней группы:

После получения этих разрешений выполните следующие действия.

Сертификаты по умолчанию

Сертификаты узлов и центр сертификации, созданные во время установки, по умолчанию содержатся в статической группе Все.

1. На сервере ESMC Server перейдите на страницу загрузки ESET Security Management Center 7 и щелкните Автономные установщики.

Рисунок 1-1
Щелкните изображение, чтобы увеличить его в новом окне

2. В разделе Настроить загрузку выберите информацию ниже и нажмите Загрузить .Сохраните файл установщика агента ESET Management .msi в общей папке, доступной вашим клиентским компьютерам.
   • Компонент ESMC: Выберите Агент .
   • Операционная система | Разрядность: Выберите 32-разрядную или 64-разрядную операционную систему Windows.

Рисунок 1-2
Щелкните изображение, чтобы увеличить его в новом окне

3. Откройте веб-консоль ESET Security Management Center (веб-консоль ESMC) в своем веб-браузере и войдите в систему.

3. Щелкните Быстрые ссылки → Другие варианты развертывания .

Рисунок 1-3
Щелкните изображение, чтобы увеличить его в новом окне

5. Щелкните Использовать GPO или SCCM для развертывания и щелкните Создать сценарий .

Рисунок 1-4

6. Щелкните Готово . Сохраните файл install_config.ini в той же общей папке, что и на шаге 2.Для клиентов, использующих настраиваемые сертификаты, см. Дополнительные сведения в разделе Пользовательские сертификаты в онлайн-справке ESMC.

Рисунок 1-5
Щелкните изображение, чтобы увеличить его в новом окне

Клиентским компьютерам требуется доступ на чтение / выполнение

Убедитесь, что все соответствующие клиентские компьютеры имеют доступ на чтение / выполнение к папке, содержащей файлы .msi и .ini . Щелкните правой кнопкой мыши папку из шага 2 и выберите Свойства .Щелкните вкладку Security . Просмотрите каждую машину и убедитесь, что в столбце Разрешить установлен флажок Чтение и выполнение . Если нет, щелкните Изменить , настройте параметры и щелкните Применить .

Рисунок 1-6

7. Чтобы развернуть пакет, воспользуйтесь одним из следующих процессов:

8. Выполнив инструкции из соответствующей статьи, перейдите к шагу 5, разверните продукты ESET для конечных точек на своих клиентских компьютерах, если вы выполняете новую установку ESMC.

.