23:24 Автоматическая установка программ в домене Windows | ||
Тэги: "Групповые политики" АвторИванов Илья, http://bozza.ru, апрель 2010 ВступлениеЕсли в домене Windows установлен WSUS, админ рад и спокоен - дескать, все, обновления ставятся на автомате, трафик снизился, бегать по компам не надо и пр. В принципе, все осталость то же самое, но ведь не все используют в работе Microsoft Outlook или Internet Explorer (хотя 8-ка очень неплоха). Есть много людей, привыкших работать с почтовиком The Bat!, броузером Opera или Mozilla. Если встает вопрос об обновлениях - либо это головняк админу в виде беготни к каждому компьютеру для обновления всем, скажем, Opera, либо юзеры должны сидеть под админами (пускай и локальными, не доменными). Естественно, ни первый, ни второй способы - не выход. Значит, надо иметь возможность автоматически устанавливать программы на рабочих станциях, причем желательно делать это до того, как пользователь вошел в систему - ведь если он вошел, он уже не захочет перезагружать машину и т.п. Надо ставить пользователя перед фактом - программа, его любимая Opera, уже обновлена и админа не колбасит, что версия 10.10 почему-то нравится меньше, чем предыдущая. Просто вышло обновление, и его надо применить. Без вариантов. Самый распространенный вариант ответа на вопрос - КАК? - Конечно, через Active Directory! - скажет вам любой специалист или просто сисадмин. А как через AD? - спросите вы. А вам скажут - ?! Вы не знаете, как через AD? Да там же просто, через policy! - но больше вам скорее сего ничего не скажут, потому что для большинства советчиков этот вопрос такой же неясный, как и для вас. И вам ничего не останется, как гуглить до потери пульса, потому что найти огромный фолиант на тему "как развернуть office 2007" в сети корпорации не проблема, а вот просто и в двух словах - редко что найдете. Не без гордости могу сказать, что данная статья как раз одна из немногих кратких и "без наворотов", попадавшихся мне. Установка программ из MSIВсе изложенное далее относится к работе с инсталляционными пакетами типа MSI (расширение .msi). Файлы MSI есть (или их можно извлечь) для многих программ (Adobe Acrobat, The Bat, Opera, Firefox и пр.). Предположим, мы хотим автоматически установить (а по мере выхода обновлений, устанавливать обновления) броузер Firefox. Файл msi для Firefox можно взять здесь (в новом окне). Настройку шаблона .adm я пропущу, т.к. далеко не всегда это нужно, а еще чаще этот шаблон фиг найдешь. В итоге - дефолтные настройки (либо, если будем ставить поверх старой версии - настройки будут сохранены). Шаблон .adm нам не нужен. Распределяем права доступаПредполагаю, что все учетные записи компьютеров (кроме контроллеров домена) находятся в OU "OU Office Computers". Примечание 1:
Примечание 2:Не всем пользователям нужен Firefox (как не всем нужен The Bat, Opera и пр.). Поэтому создадим в "OU Office Computers" отдельную группу компьютеров, на которые будет установлен Firefox. Для ясности назовем группу GFirefoxComputers. Отмечу, что это будет именно группа, а не вложенное OU! Расшариваем какую-либо папку на сервере (на рисунке это SoftwareDistibution, а не Mozilla Firefox, как может показаться) и даем группе GFirefoxComputers доступ на чтение, админу - полный доступ (не компьютеру админа, а пользователю - все-таки вы должны иметь возможность по сети заливать на шару файлы ;)). Вообще, для проверки того, как все вообще работает, можно обойтись и без группы GFirefoxComputers. Просто для того, чтобы сразу не усложнять себе жизнь, и не пенять на групповые политики, если что пойдет не так ;) Политика правит миром!На контроллере домена запускаем редактор групповой политики GPMC.MSC: ... и создаем связанную только с нашим OU "OU Office Computers" групповую политику под названием "Firefox 3.6.3 rus": ... редактируем нашу политику "Firefox 3.6.3 rus": Готовим дистрибутив Firefox для развертывания в сетиВ разделе "User Configuration" -> "Software settings" -> "Software Installation" щелкаем правой мышкой и создаем новый объект для установки - наш будущий инсталлятор Firefox. Выбираем файл MSI, заботливо положенного чьими-то руками в расшаренную папку. Важно: выбирать надо сетевой путь до файла, а не локальный, ведь юзера будут получать доступ к вашей инсталляшке не локально на сервере, а по сети. Выбираем "Assigned" (Назначенный): На этом работа с веткой "Software Installation" закончена. Закрываем все открытые окна на сервере (если не помешает другим задачам, естественно), Пуск -> Выполнить -> gpupdate /force Установка на рабочих станцияхДалее достаточно просто перезагрузить рабочие станции, чтобы автоматически установился Firefox ДО того, как появится окно для ввода логина/пароля. Иными словами, пользователь будет не в силах чего-то не установить, забыть и пр. Поэтому этот способ так хорош. Вы удаленно решаете, что будет установлено / обновлено на рабочих станциях. Windows XP бывает не с первой перезагрузки "принимает" нове политики, поэтому можно подойти к юзеру, выполнить команду "gpupdate /force" (не обязательно под админом) и перезагрузить его компьютер. Обязательно проверьте установку на своем / тестовом компьютере ДО того, как юзеры придут следующим утром, включат компьютеры... а вдруг косяк? Поэтому хотя бы первый раз сначала испытайте на себе. ДополнительноТеперь на любой новый компьютер, введенный в состав подразделения OU Office Computers будет установлена последняя версия броузера Firefox. Вам даже не придется ничего делать. Просто и очень полезно. Таким же образом можно устанавливать практически любой софт, включая Adobe Reader, Adobe Flash Player (которые в обычной ситуации требуют административных прав для установки), The Bat... да мало ли софта у вас в локальной сети, поддерживать который в актуальном состоянии одна из обязанностей системного администратора. Нюанс: если вы уже установили какой-либо пакет, в нашем случае Firefox 3.6.3 rus, а через некоторое время вам потребуется его обновить (т.к. рано или поздно выйдет новая версия броузера), сначала удалите политику по установке Firefox 3.6.3, после чего создайте новую. Потом "gpudate /force" и вперед!
Комментарии 21.4.2011 20:10
Константин
Спасибо за ценнейший мануал.<br />
The Bat таким образом ставили? adm-файлы где-то есть? 22.4.2011 9:24
billybons2006
Да, The Bat ставил именно таким образом. Adm-файл ИМХО не нужен, при установке The Bat прекрасно переносит все настройки. Ни разу не было проблем. Таким же образом ставил Opera, Mozilla FF... Все описанное делал перед этим сам. Из воздуха ничего. Разве что скрины с тестовой машины, а не с боевой.
31.5.2011 9:43
Александр
У вас в тексте кусок:<br />
"В разделе "User Configuration" -> "Software settings" -> "Software Installation"..."<br /> А на приведённом скриншоте показан раздел конфигурации компьютера, а не пользователя. Уточните. 31.5.2011 12:8
billybons2006
2Александр: спасибо за замечание. Скриншот не верный - делался на тестовой машине.<br />
Также могу сказать, что можно делать и так, и эдак - вопрос только в том, кому мы присваиваем установку какого-либо софта - при включении компьютера или при входе пользователя в систему. В данном случае установка применяется при входе пользователя в систему. 1.11.2011 13:35
billybons2006
Семён, да пожалуйста! Если будет, что добавить или нюанс какой - пишите, только рады все будут комментарию на основе реального опыта.
8.11.2011 8:40
Albinos
Спасибо за статью. Сделал, как здесь описано, установка происходит при входе пользователя в систему, но почему-то устанавливается только в том случае, если у пользователя права администратора на свою машину. Как сделать, чтобы установка проиходила и без прав администратора?
8.11.2011 10:53
billybons2006
Albinos, насколько я помню (такая же ерунда была), учетная запись компьютера должна иметь доступ к шаре с msi-файлом. До входа в систему некому, кроме учетки компьютера, скачать msi-файл. Там что-то в этом было...
8.11.2011 13:31
Albinos
billybons2006, доступ к шаре имеется, пользователь после входа может туда войти, но если начнет устанавливать, то получит отказ, т.к. нет прав именно на установку. если вспомните как решили, напишите пожалуйста.
9.11.2011 1:1
billybons2006
Albinos, не
>> пользователь после входа может туда войти а КОМПЬЮТЕР должен иметь возможность доступа к шаре. Этот нюанс много крови мне попортил в свое время. Прочувствуйте - до входа в систему причем здесь имеет пользователь права доступа или нет? К шаре в этот момент обращается КОМПЬЮТЕР. И проблемы с доступом к шаре учетной записи компьютера могут быть отображены с логах безопасности. Если логи большие - сотрите их и смотрите, что нового появляется. 9.11.2011 1:14
billybons2006
Albinos, найдите в статье строку:
"даем группе GFirefoxComputers доступ на чтение". Это о чем говорит? О том, что пользователи здесь ни при чем. Мы имеем дело с учетками компьютеров домена. Да, могут быть проблемы при наследовании политик, могут в силу кучи причин не "подхватываться" назначенные политиками права для учеток компьютеров на чтение из шары, но это уже другая история. Вы пока (как и я в свое время) стучитесь не туда. Я тоже это проходил, сидел часами, не мог понять, что за... Именно после этого я решил написать статью - себе памятка, другим - помощь. 9.11.2011 1:44
billybons2006
Случайно ввел название статьи в Яндексе и обнаружил, что мою статью передрали и без всяких указаний авторства опубликовали. Вот как с такими людьми бороться? Все картинки водяными знаками испещрять? Интересно, что ответит уважаемый владелец домена dflt.ru...
Например, на k210.org не посчитали зазорным указать автора... Спасибо! 9.11.2011 7:18
Albinos
billybons2006, Да, всё получилось! Воистину большое спасибо, что доступно все объяснили.
9.11.2011 7:22
Albinos
<Все картинки водяными знаками испещрять>
Да, почему бы и нет, если не ценят труд автора. так сделано например, на сайте drom.ru. 9.11.2011 9:4
billybons2006
Albinos, рад, что все вышло как планировалось! В случае каких-либо глюков ловить причину всегда большая проблема :)
23.11.2011 18:6
Mifodiy
Все работает, спасибо автору за статью. Только у меня есть проблемка: я создал operation unit и применил к нему несколько групповых политик. Если в этот OU положить компьютер, которому надо поставить софт, все работает, если же в OU положить группу в членах которой находится этот компьютер, то уже ничего не работает. Пробовал создавать глобальные и локальные доменные группы и включал block inheritance на OU - не помогло. Объясните темному пожалуйста.
24.11.2011 1:13
billybons2006
Mifodiy, боюсь уточнить неверно, но вроде бы: 4-й рисунок сверху в этой статье, справа внизу - Security Filtering - вместо "Прошедшие проверку" попробуйте поставить ту группу, которая вас интересует. Не забудьте также, что может быть надо будет для чистоты эксперимента пару-тройку раз перезагрузить раб. станцию, чтобы она точно наследовала групповые принадлежности. Вот как-то так... Пишите, если что не так...
28.11.2011 15:58
Mifodiy
billybons2006, спасибо тебе, хороший человек. Все именно так: в Security Filtering, вместо "Прошедшие проверку", поставил ту группу, в членах которой находится компьютер, на который нужно распространить групповую политику. Забавно то, что я мучил виртуальную машину и на ней и на контролере домена делал команду gpupdate /force в последовательности: DC, а потом виртуальная машина. В эвентах все чисто - и на DC и на виртуальной машине рапортовал что политики применены успешно. Но почему-то, только когда я проделал все то же для "хардварной" машины, все заработало:)
29.11.2011 9:51
billybons2006
Mifodiy, а бывает, что в виртуальке все ок, а в рабочей сети - только рапорты об успешном применении политики...
8.3.2012 23:47
m019m1
Доброго времени суток. Вот и я пользовался таким способом, а теперь нашёл отлично написанную Вами статью. Вот только с какой целью я её искал: дело в том, что существует необходимость установки множества САПР-программ (да и драйвера с антивирусом тоже неплохо было бы), которые представляют собой отличные от msi-инсталляторов пакеты установки (.exe), да и процесс установки сложнее (чего греха таить, что-то крякнуть нужно, где-то настройки подправить, конфиг прописать, шрифты добавить). Я, собственно, ищу msi-инсталлятор, который бы в автоматическом режиме запоминал изменения в системе при установке пакета программы и на основе этой информации создавал msi-компонент, который можно было бы распространить на однотипных (железо идентично) станциях описанным выше способом. Сталкивался кто с такой задачей?
11.3.2012 10:3
billybons2006
m019m1, нет, с такой задачей я не сталкивался. И скорее всего, граблей тут будет куча...
14.3.2012 11:37
Andrew
Я так понял, четод установки по через гп даётся не сразу и муторно. Просто у меня не получилось((((((((((
14.3.2012 21:34
billybons2006
2Andrew, проще, к сожалению, не вышло. Но что-то мне подсказывает, что проще и быть не может. В том смысле, что этот хитрый и действительно глючноватенький процесс проще не описать.
16.3.2012 0:39
Andrew
Я разобрался, ошибка была в этом (User Configuration" -> "Software settings" -> "Software Installation) мне то на компы нужно было! Спасибо вам за статью!!
Не подскажите, установка и должна так долго проходить? У меня час ставилоссь. Но увы тоже не как, но там уже ошибка с пакетом msi, я сам конвертировал в exetomsi con.... Может есть другие подобные программы? 19.3.2012 14:20
billybons2006
Andrew, установка, вообще-то, не должна быть такой долгой. Но тут имеет значение все, включая железо, сеть и пр. Да и размер и количество программ тоже имеют значение.
14.11.2012 15:38
sharleymatery
Статья действительно очень доступная и полезная.Подскажите пожалуйста чем лучше всего создавать msi пакеты?Заранее благодарен.
15.11.2012 12:6
billybons2006
sharleymatery, сколько пытался найти нормальный способ (без извращений) делать MSI пакеты - ничего не нашел.
28.1.2013 19:24
pako
Wise Package Studio - пакет для кепчиринга инсталляшек. ему до фени из чего делать msi - из iss installer'a, экзешника или еще чего либо. этот программный комплекс делает снапшот файловой системы, реестра и состояния служб, затем запускаешь инсталлятор, указываешь необходимые настройки, он эмулирует установку и делает второй снапшот. потом сравнивает два снапа и анализирует изменения в системе. на выходе файл .wsi - сохранияем как msi и вперед.
полученная таким образом эмэсайка должна работать, хотя может и нет, так как в ней много шлака от активности других программ, посему её надо почистить. сделать это можно при помощи того-же Wise Package Studio, а можно пользовать InstEdIt или ORCA - спец. программы для редактирования msi пакетов. напоследок сообщу что MSI-пакет это по сути база данных, а следовательно, просто набор взаимосвязанных таблиц. весьма полезній сайт по теме: http://www.installsite.org/ 17.6.2013 16:50
billybons2006
Pavel, возможные причины:
1. У учетной записи компьютера нет прав на чтение публичной шары, где лежат msi. В Group Policy Management в Security Filtering смените "Прошедшие проверку" на "всем-все-можно" и проверьте. Если пошло - значит, учетная запись компьютера по какой-то причине не проходит проверку. 2. Попробуйте сделать установку ПО не для учетки компьютера, а для учетки пользователя: не "конфигурация компьютера - конфигурация программ - установка программ ...", а "конфигурация пользователя - конфигурация программ - установка программ ...". Вариантов может быть много, если честно. Посмотрите логи на компьютере, где не устанавливается ПО. Наверняка что-то да найдете. Отключите брандмауэр на всякий случай. Как-то так... | ||
|
Всего комментариев: 0 | |