Установка программ через gpo zhitsoboy.ru

Установка программ через gpo

Установка программ через gpo

OverLocker
Если удаляешь с компа руками

это как? снеся папку?

политика проверит и не будет ставить

как удалять выборочно?

Выборочно натравливать политику, емае

Еще пример, пытаюсь ставить 7z.msi.

Бывает. Надо смотреть логи и хелп

не имея админских прав?

Станислав
это как? снеся папку?
Нет, удалив через программы админом.

Выборочно натравливать политику, ема
Как-то кривовато

OverLocker
Если удаляешь с компа руками то оно потом больше само не ставится, и остаются записи в программах. Как удалять так чтобы система его переставляла?
Нажать Redeploy application в редакторе политик либо вручную удалить идентификатор приложения из ветки HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionGroup PolicyAppMgmt на целевой машине.

Если ПО уже установлено вручную ранее, то что будет происходить?
Будет запущена установка, а дальше зависит от конкретного сценария в msi пакете.

Если удаляешь из политик то можно удалить только на всех установленных. А как удалять выборочно?
Вынесением за область действия с активированным автоудалением. Либо сторонними приложениями, например, стартап скриптом с msiexec /x, применённый для определённых компьютеров.

Есть ли возможность чтобы пользователя сами ставили то что выложено где-то, не имея админских прав?
Это называется публикация приложений, ищите её в политике для пользователей.

Добавление от 22.03.2013 15:37:

Добавление от 22.03.2013 18:32:

P.S. Парралельно вспомнилось что можно сделать так, что в домен можно вводить только заранее созданные машины. Вот только как именно — не помню абсолютно.

OverLocker
Можно создать OU, в котором машинки курс молодого бойца проходить будут, а потом уже растаскивать их куда надо.

Парралельно вспомнилось что можно сделать так, что в домен можно вводить только заранее созданные машины.
А вот это не понял.

toll.
OU я сделал, машины туда стали попадать. Удобно.

А насчет второго — было такое у меня лет 8 назад в одной огромной корпорации. Там было сделано так что пока машины в AD не создашь — в домен ввести нельзя.
Ну и всякие делегирования прав внутри сайтов по всеми миру только в своем сайте.

Добавление от 22.03.2013 19:15:

Я правильно понимаю что при линковке GPO к нужному OU политики будут применяться только к этому OU, даже для всех, прошедших авторизацию?

OverLocker
Парралельно вспомнилось что можно сделать так, что в домен можно вводить только заранее созданные машины. Вот только как именно — не помню абсолютно.
Не делегировать хелпдеску право на Create computer object и отредактировать политику Add workstations to domain.

Я правильно понимаю что при линковке GPO к нужному OU политики будут применяться только к этому OU, даже для всех, прошедших авторизацию?
Какому назначены, к тому и будут применяться. Плюс наследования, если они не отключены.

Может вам на курсы сходить? Вы уже создали 150 тем с вопросами из учебника MCSA.

ATI_forever
Выглядит так, что 7 не устанавливает ничего, испытывая трудности с подключением к точке распространения. Computer ConfigurationAdministrative TemplatesSystemGroup Policy->Startup policy processing wait time: здесь что-то значимое поставьте вроде 10 или 15 сек, или больше — по обстоятельствам. Ну, и лог посмотрите в первую очередь.

лес с одним доменом уровня 2000. Несколько КД, многие на 2003 R2, парочка 2008 R2
Как выглядит инфраструктура и можно ли как-то улучшить АД? Повысить уровень леса/домена, выбросить 2003? И как устроены сайты, где, скорее всего, и скрывается проблема?

Musik
Startup policy processing wait time:
Попробую, спасибо

Ну, и лог посмотрите в первую очередь.
На клиенте смотрел несистемно, какие журналы в первую очередь фильтровать? На машинах с быстрой дисковой подсистемой (SSD), включая мою станцию, есть ошибки от netlogon и клиента NTP, что мол нет серверов, способных обработать запрос на вход. Хотя проблем со входом в домен нет. NTP бухтит, что не может получить время от источника. Хотя также, часы по факту секунда в секунду с КД. Есть также ошибки 101, 103, 108, 1112. Методы устранения, нагугленные, проблему не решили.

Инфраструктура следующая:
9 городов, в каждом филиал. В каждом филиале свой КД. Филиалы связаны IPSec туннелями с центральной площадкой, на которой также установлен самый брутальный пахан КД, держащий все 5 ролей физмо. 9 серверов из 10 (включая хозяина ролей) — ВМы, работают на гипервизоре ESXi. Все КД являются также GC. Для каждого филиала есть сайт, настроена межсайтовая репликация, по схеме «точка-многоточка», т.е. каждый филиал/сайт видит только головной КД/сайт, между собой не реплицируются. Филиальные КД не RODC.
2003 я бы с радостью выбросил, но денег на апгрейд ПО — после дождичка в четверг, когда рак на горе от свиста лопнет.

ATI_forever
ошибки от netlogon и клиента NTP, что мол нет серверов, способных обработать запрос на вход
Если это при включении, то есть такое дело в быстрых системах.

какие журналы в первую очередь фильтровать?
System и Application на предмет затруднений с Group Policy.

Подождем результатов после подстройки политики.

Musik
Startup policy processing wait time:
В русскоязычное версии это Время ожидания при обработке политики загрузки?
Если да, то ещё вчера в политику, применяющуюся к моей рабочей станции, поставил этот параметр в 120 сек.

Сделал выборку из журналов Приложение и Система

Из журнала Приложение
1) Event filter with query «SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA «Win32_Processor» AND TargetInstance.LoadPercentage > 99″ could not be reactivated in namespace «//./root/CIMV2» because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.(иcточник WMI, код события 10);

2) Product: ESET Remote Administrator Agent — This installation package is intended for 32-bit operating systems. Please use an installation package for 64-bit operating systems.(иточник MsiInstaller, код события 10005);

ИЗ ЖУРНАЛА Система

3) Компьютер не может установить безопасный сеанс связи с контроллером домена ХХХ по следующей причине:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.
Дополнительные сведения
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена. (источник NETLOGON, код события 5719);

Читать еще:  После установки видеодрайвера не загружается Windows 7

4) NTP-клиенту не удалось задать узел домена в качестве источника времени из-за ошибки обнаружения. NTP-клиент повторит попытку через 3473457 мин., а затем удвоит интервал между попытками. Ошибка: Элемент не найден. (0x800706E1) (источник Time-Service, код события 129);

5) Не удалось установить приложение ESET RAA из политики install ESET RAA. Ошибка: %%1603 (источник Application Management Group Policy, код события 102);
6) Не удалось применить изменения для параметров установки приложения. Невозможно выполнить изменения для этого программного обеспечения. Должны существовать предшествующие записи в журнале, содержащие необходимые сведения. Ошибка: %%1603 (источник Application Management Group Policy, код события 108);
7) Не удалось назначить приложение ESET RAA из политики install ESET RAA. Ошибка: %%1274 (источник Application Management Group Policy, код события 101);
8) Не удалось удалить назначение приложения ESET RAA из политики install ESET RAA. Ошибка: %%2 (код 103);
9) Не удалось применить изменения для параметров установки приложения. Установка программ, развертывание которых осуществляется через групповую политику для этого пользователя, отложено до следующего входа в систему, поскольку изменения должны быть применены до Ошибка: %%1274 (код 108);
10) Клиентскому расширению «Software Installation» групповой политики не удалось применить один или несколько параметров, поскольку эти изменения должны обрабатываться до запуска системы или до входа пользователя. Завершение обработки групповой политики будет выполнено перед следующим запуском системы или входом этого пользователя, что может вызвать замедление загрузки и запуска системы.(источник GroupPolicy, код 1112);
Я конечно извиняюсь, но по поводу события 2) — в настройках политики стоит галочка «Сделать это приложение х86 доступным для компьютеров с архитектурой Win64». Системе пофиг на неё?
Или я чего-то крепко не понимаю, и приложения 32 битные не умеют работать на 64 разрядных системах? А как же папочка Program Files(x86), и никаких бубнов

UPD
Есть мысль, что всё таки придется заводить две политики — одну для распространения на 32 битные системы, другие — для 64 битных. Как правильно написать фильтры WMI, чтобы была сортировка по ProductType и битности?
Конструкция код: не сработал фильтр;
код: -такой не пробовал.
Пробелы перед = и значением параметра в кавычках играют роль? Кавычки, где в статьях одинарные (‘), где обычные («). Какой вариант православный от ms?

К сообщению приложены файлы: 1.png, 1047×468, 36Кb

ATI_forever
TargetInstance.LoadPercentage > 99
Есть workaround для редактирования root/CIMV2, но пока можно не обращать внимание.

This installation package is intended for 32-bit operating systems
Все АВ имеют два клиента, и ESET не исключение. Чтобы с фильтрацией по разрядности не мучиться, просто добавьте второй пакет и один из них будет установлен. Когда остальные проблемы разрешатся

Компьютер не может установить безопасный сеанс связи с контроллером домена
NTP-клиенту не удалось задать узел домена в качестве источника времени
Повторяются ли эти события в течение дня? Для проверки перестартуйте Netlogon и W32Time.

Установка программ через gpo

Сергей Вессарт | Опубликовано 10.01.2014 в рубрике Новые возможности

Друзья, в продолжении темы пошаговых инструкций давайте рассмотрим создание групповой политики для установки ЛОЦМАН:ПГС.

Как и в прошлый раз, в наших примерах мы будем использовать контроллер домена на Microsoft Windows Server 2008 и клиент Microsoft Windows 7.

  1. Для начала скачайте актуальную версию ЛОЦМАН:ПГС (ссылка) и сохраните её по сетевому пути, доступному пользователям домена.
  2. Создайте групповую политику для публикации приложения.
    Для создания групповой политики необходимо открыть Server Manager (Диспетчер сервера), перейти в раздел Features — Group Policy Managment (Компоненты — Управление групповой политикой) и на домене выполнить команду Create a GPO in this domain, and Link it there… (Создать ОГП в документе и связать его…).

    Введите название политики, например «Install software».
  3. Выполните команду Edit (Изменить) на созданной политике.
  4. В открывшемся окне Group Policy Management Editor (Редактор управления групповой политики), перейдите в секцию «Computer Configuration — Policies — Software Settings — Software installation» (Конфигурация компьютера — Политики — Конфигурация программ — Установка программ) и выполните команду «New — Package» (Создать — Пакет). Затем укажите сетевой путь до пакета установки заданный в пункте №1 и выберите метод развертывания «Assigned» (Назначенный).
  5. Если Вы устанавливаете ЛОЦМАН:ПГС на не русифицированную операционную систему, включите параметр «Не использовать языковые установки при развертывании». Для этого, откройте свойства пакета установки, перейдите на вкладку «Deployment» (Развертывание) и в дополнительных опциях поставьте галочку Ignore language when deploying this package.
  6. Для «тихой» установки драйвера принтера печати, необходимо добавить сертификат ASCON JSC в доверенные издатели с помощью групповой политики.
    Для этого, скачайте сертификат по ссылке. Откройте Group Policy Management Editor, перейдите в секцию «Computer Configuration — Policies — Windows Settings Security Settings Public Key Policies Trusted Publishers» (Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Политики открытого ключа — Доверенные издатели) и выполните команду «Import» (Импорт).

    В открывшемся окне нажмите Next.
  7. Укажите путь до сертификата.
  8. Next.
  9. Finish.
  10. Сертификат добавлен.
  11. Закройте редактор групповой политики и в Server Manager при необходимости ограничьте круг пользователей или компьютеров, на которые будет применена политика. Как пример, ниже показана политика, которая будет распространена только на ПК NEWDOMAINCOMPUTER.

    Групповая политика создана, проверим как она работает.
  12. Перезапустите клиентский ПК.
  13. В меню ПУСК появился ярлык ЛОЦМАН:ПГС, а в списке принтеров новый принтер — Loodsman XPS.
Читать еще:  Установка блока питания в системный блок

Это всё, что мы хотели сказать про создание групповой политики для установки ЛОЦМАН:ПГС. Спасибо, что читаете наш блог, до свидания!

3 комментария

Спасибо за статью! А есть ли возможность централизованно устанавливать обновления?

Установка программного обеспечения средствами групповой политики. Часть 7

Сам процесс установки программного обеспечения, а тем более автоматизации установки, весьма интересен и может включать в себя множество «непредсказуемых нюансов». Ключи и параметры автоматической установки, скрипты, позволяющие выполнять дополнительную настройку, файлы трансформации и прочие средства позволяют вам упростить процесс инсталляции, тем самым существенно экономя потенциально затрачиваемое время на выполнение различных сценариев. Само CSE «Установка программ», по большому счету, предоставляет не много возможностей, позволяющих полноценно работать с инсталляционными файлами. Большинство таких возможностей мы уже успели рассмотреть в предыдущих статьях данного цикла, включая настройку самого расширения клиентской стороны, публикацию и назначение программного обеспечения, а также процесс обновления ПО.

По сути, последней темой настоящего цикла является не менее важная задача, а именно удаление проинсталлированного программного обеспечения. По вполне понятным причинам расширение клиентской стороны «Установка программ» позволяет не только устанавливать и обновлять существующее программное обеспечение, а еще и удалять развернутые ранее программы. Делается это также очень просто и с выполнением данной операции у вас не должно возникнуть каких-либо проблем.

Более того, под конец данной статьи вас ждет еще небольшой «бонус», о котором шла речь ранее. Итак,

Удаление проинсталлированных программных продуктов

В этом разделе будет рассматриваться удаление приложения на примере заранее проинсталлированного средствами функциональных возможностей групповой политики простенького XML-редактора под названием «XML Notepad». Сразу хотелось бы обратить внимание на то, что выполняться такие действия должны в том объекте групповой политики, который уже содержит удаляемое приложение. Другими словами, создать инсталляционный пакет приложения в одном объекте, а удалить его совершенно в другом, выбрав приложение по аналогии с обновлением, просто невозможно.

Что в таком случае требуется сделать:

Рис. 1. Диалоговое окно удаления программного обеспечения

После выполнения данных действий следует запустить команду gpupdate с параметрами /force /boot. Как и в случае с обновлением программного обеспечения, добровольно-принудительно будет предложено перезагрузиться. Чтобы удостовериться, что программа будет полностью удалена с компьютера и ее невозможно будет найти в компоненте «Программы и компоненты», следует немного подождать, пока целевой компьютер перезагрузится. Аналогично с процессом обновления ПО, как видно на следующей иллюстрации, во время выполнения входа снова должна красоваться надпись «Удаление управляемого программного обеспечения XML Notepad» (Removing managed software XML notepad).

Рис. 2. Процесс удаления ПО

Как следствие, после выполнения входа в систему ярлык с рабочего стола будет удален. На всякий случай можно зайти в окно установки программ панели управления, чтобы убедиться, что этого приложения там тоже нет и что его нельзя будет установить со страницы «Установка новой программы из сети» (Install a program from the network). Все отработало правильно, удаленное при помощи функциональных возможностей групповой политики приложение нигде не фигурирует.

Дополнительный сценарий – запрещаем удалять установленный программный продукт

Как я и обещал, сейчас в качестве бонуса будет рассмотрен последний в этом цикле статей сценарий, в котором будет заново назначен для пользователей редактор XML Notepad, однако с таким условием, чтобы пользователь не смог его удалить при помощи компонента панели управления «Программы и компоненты».

Все эти действия будут выполняться внутри созданного ранее объекта групповой политики «GPSI-01». Как следует поступить для выполнения указанной выше задачи:

Рис. 3. Вкладка «Развертывания» диалогового окна свойств инсталляционного пакета

Сейчас пришло время проверять. В очередной раз следует выполнить команду Gpupdate с параметром /force (специально для форсированного применения) и немного подождать, пока операционная система предложит выйти из системы.

После выполнения входа программа будет установлена. Это хорошо, половина дела сделана. Остается перейти к панели управления и открыть компонент «Программы и компоненты». Как только пользователь перейдет к этому апплету сразу будет видно, что отсюда мы более не вправе удалять данное приложение. Однако, если пользователь очень захочет это сделать, он пока еще сможет удалить программу, используя файл деинсталляции ПО uninstall.exe.

Чтобы предотвратить такие действия, следует воспользоваться возможностями политик ограниченного использования программ или такого компонента современных операционных систем, как AppLocker. Однако об этих возможностях речь пойдет не в этой статье.

Заключение

Сегодня вы узнали о том, как можно удалить проинсталлированное при помощи расширения клиентской стороны «Установка программ» программное обеспечение, а также каким образом можно так установить программу, чтобы пользователь ее не смог удалить средствами возможностей панели управления.

Глядя на рассмотренные на протяжении семи статей данного цикла возможности, несмотря на все преимущества распространения программного обеспечения средствами групповой политики, можно также найти и множество недостатков, на которые следует обратить свое внимание при планировании распространения ПО. Например, к одному из таких недостатков можно отнести то, что распространять программное обеспечение средствами групповой политики можно только в домене Active Directory. А если в вашей организации пользователи еще работают под управлением таких операционных систем, как Windows 95/98 или Windows NT, то развернуть приложения для таких клиентов средствами GPO будет невозможно. Также вы не можете штатными средствами установить программный продукт из exe-инсталлятора, что является очень досадным недостатком. Помимо этого, при развертывании приложений средствами групповой политики вы не можете настроить график установки или распространять приложения при помощи многоадресного сетевого вещания. Другими словами, распространение программного обеспечения средствами групповой политики не обеспечивает набор определенных функциональных возможностей, которые могут понадобиться для управления программным обеспечением в крупной организации. В таких случаях лучше всего использовать такой продукт, как System Center Configuration Manager. А если вас заинтересуют дополнительные возможности установки программных продуктов средствам SCCM, я с радостью могу начать рассматривать эту процедуру в новом цикле статей, посвященном установке программного обеспечения, но уже при помощи такого «монстра», как System Center Configuration Manager.

Читать еще:  Установка принтера canon i sensys mf3010

Групповые политики Active Drirectory

Групповые политики Windows являются неотъемлемой частью администрирования Windows-систем. Рассмотрим примеры работы с этим инструментом на VDS под управлением ОС семейства Windows Server.

Для чего необходимы групповые политики

Говоря простым языком, Групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.

Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.

Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.

Компоненты GPO

Выделяют два компонента групповых политик — клиентский и серверный, т.е. формируется структура “клиент-сервер”.

Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей” называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.

Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.

Для администрирования GPO используют оснастки MMC — Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

  • Централизованная настройка пакета программ Microsoft Office.
  • Централизованная настройка управлением питанием компьютеров.
  • Настройка веб-браузеров и принтеров.
  • Установка и обновление ПО.
  • Применение определенных правил в зависимости от местоположения пользователя.
  • Централизованные настройки безопасности.
  • Перенаправление каталогов в пределах домена.
  • Настройка прав доступа к приложениям и системным программам.

Оснастка управления групповыми политиками

Сперва следует установить роль сервера Active Directory Domain Service (AD DS) на контроллер домена. После этого будет доступна оснастка Group Policy Management, для ее запуска вызываем окно “Выполнить” (Windows + R). В открывшемся окне вводим команду:

И нажимаем “OK”.

Возможно оснастка не сможет открыться т.к. не была установлена ранее. Исправим это.

1. Открываем диспетчер серверов и выбираем установку ролей и компонентов.

2. На этапе выбора типа установки, отметим параметр “Установка ролей и компонентов”. Кликаем по кнопке “Далее”.

3. Так как установка выполняется для текущего сервера — нажимаем “Далее”.

4. Установку серверных ролей пропускаем нажатием на кнопку “Далее”.

5. На этапе выбора компонентов отметим галкой “Управление групповой политикой”. Кликаем по кнопке “Далее”.

Завершаем установку компонентов как обычно.

Окно оснастки управления групповой политикой выглядит так:

Создание объектов групповой политики

Добавим новый объект групповой политики. В левой части, проследуем по пути: Лес → Домены → → Объекты групповой политики.

В правой части окна, кликаем правой кнопкой мыши в свободном месте. В открывшемся контекстном меню, выбираем “Создать”.

В открывшемся окне, вводим имя новой политики. Нажимаем “OK”.

Добавленный объект появится в общем списке:

Настроим созданный объект

Для настройки нового объекта кликаем по нему правой кнопкой мыши. В контектстном меню выбираем “Изменить”.

Откроется окно редактора управления групповыми политиками. Займемся “полезным” делом — удалим папку со стандартными играми из меню Пуск. Для этого, в меню слева проследуем по пути Конфигурация пользователя Конфигурация пользователя → Политики → Административные шаблоны: получены определения политик (ADMX-файлы) с локального компьютера → Меню “Пуск” и панель задач.

В правой части окна найдем параметр “Удалить ссылку “Игры” из меню “Пуск””. Для удобства поиска можно воспользоваться сортировкой по имени, вверху окна.

Кликаем по этому параметру правой кнопкой мыши, выбираем “Изменить”.

В открывшемся окне изменим состояние на “Включено”. В поле комментария рекомендуем не игнорировать. Для завершения настройки нажимаем “OK”.

Создание объектов можно считать оконченным.

Поиск объектов

В корпоративных средах, как правило, создается большое количество объектов GPO. Хорошо было бы уметь находить нужный объект. У консоли есть данный функционал. Для этого, в левой части окна кликаем правой кнопкой мыши по лесу. В открывшемся меню выбираем “Найти…”

В открывшемся окне выбираем в каком домене выполнять поиск. Можно выполнить поиск и по всем доменам, но это может занять продолжительное время.

Попробуем найти созданный ранее объект.

В поле “Элемент поиска” из выпадающего списка выбираем “Имя объекта групповой политики”. В условии оставляем вариант “Содержит”. В “Значение“ указываем имя созданной ранее политики. Именно по этой причине следует создавать понятные имена политик. Нажимаем кнопку “Добавить”.

Критерии поиска заданы. нажимаем кнопку “Найти” и просматриваем результаты поиска.

Удаление объекта групповой политики

Если в объекте GPO пропадает необходимость, будет лучше его удалить. Кликаем по созданному объекту правой кнопкой мыши, в контекстном меню выбираем “Удалить”. Если уверены в своем решении, на вопрос подтверждения отвечаем “Да”.

Ссылка на основную публикацию
Adblock
detector