Частая ситуация, когда администратору необходимо установить большое количество одинаковых программ на все или часть компьютеров в сети.

Для этого случая, компания Microsoft разработала технологию для установки ПО на любое количество машин в домене. Всё это делается не просто, а очень просто.

Когда я с этой технологией познакомился впервые, мне очень это понравилось и естественно я теперь почти всегда это делаю только таким способом. Да, есть конечно здесь и недостатки, но инсталляция на 100 машин за вечер намного хуже, чем эти недостатки.

О недостатках:
Первое, программы которые не имеют для своей инсталляции файлов с расширением msi, то есть exe или другие — этим способом не установишь. Но не всё потеряно, можно найти специальные компиляторы или даже целые студии по преобразованию exe файла в msi.
Второе, необходимо немного времени для того что бы прописались групповые политики на машины и после чего необходима перезагрузка машин на которые должно установится ПО.
Третье, в момент первой загрузки (после применения групповых политик) производится установка ПО и необходимо подождать завершения данного процесса.
Четвертое, большая загрузка сети и дисков сервера на котором расположен инсталляционный пакет в момент установки ПО на компьютеры сети.

Теперь основные пункты, что за чем.

1. Создать папку общего доступа для хранения ваших пакетов MSI.
2. Создать административные инсталляции ваших пакетов MSI и поместить их в эту папку общего доступа.
3. Добавить пакеты в GPO, которые применяются к компьютерам в AD.
4. Модифицировать права доступа к пакетам в GPO, если в них что то изменилось.
5. Подождать пока применяться политики на ПК и после чего перезагрузить их.

А теперь подробнее.

Создание папки общего доступа
Для назначения публикации приложений с помощью групповых политик необходимо иметь центральное место для исходных файлов приложений. Путь к этому месту должен быть доступен для всех компьютеров вашей сети, к которым применяется данная политика. Проще всего, создать папку общего доступа на файловом сервере и копировать в нее исходные файлы.
Обязательно необходимо убедиться, что учетные записи необходимых машин имеют право чтения и выполнения в этой папке. Группы «Authenticated Users» и «Everyone» включая машинные учетные записи.

Создание административных инсталляций
Для примера, я покажу как установить с помощью GPO MS-Office на компьютеры в организационном юните Computers.
Для этого необходимо иметь уже готовый пакет *.msi, который в офисе уже есть.
Выполняем следующие действия:


WIN+R -> cmd -> D:

В появившейся консоли выполняем команду:

D:\cd Install\Office
D:\Install\Office> msiexec -a pro11.msi

Перед вами появится, самое обычное окно мастера инсталляции в котором необходимо указать все необходимые данные: Имя организации, Серийный номер, локальный путь куда положить готовую инсталляцию.

Добавление пакетов в GPO
Для добавления пакета в GPO, необходимо открыть «Управление групповой политикой», далее раскрыть необходимый нам организационный юнит и создать объект GPO. После создания, отредактировать его.
Привожу скрин с отрытыми двумя вкладками «ACtive Directory пользователи и компьютеры» и «Управление GPO», для того что бы наглядно было видно, что и как:

GPO_Install

Теперь о редактировании созданного нами объекта.
Конфигурация компьютера -> Политики -> Конфигурация программ -> и щелкаем второй кнопкой мышки по Установка программ для появления меню в котором выбираем пункт «новый пакет» и создаем его:

Также привожу скрин:

GPO_add_Install

При указании абсолютного пути к пакету, необходимо указать полный сетевой путь, как на скрине приведенном выше.

Перезагрузка компьютеров.
Для ускорения применения политик на сетевых ПК, можно запустить на домен контроллере такую команду:

gpudate /force /sync

И спустя минут 5-10 перезагрузить назначенные ПК.

После перезагрузки пройдет немного времени, пока вы уведите приглашение на вход и сообщение о том что производится установка программного обеспечения.. После входа в любую учетную запись, увидите установленный пакет.

Напоминаю всем копирующим мой контент о существовании закона "Об авторском праве".
В связи с этим, прошу во избежании конфликтов при копировании данного материала, ставить на него ссылку:

http://noted.org.ua/1321


Также, вы можете отблагодарить меня переслав любую сумму на любой кошелек WebMoney, для поддержания данного ресурса. Или просто админу на пиво ;)

Кошельки для получения благодарности:
R386985788805
U234140473141
Z147712360455

3 комментария

  1. Александр @ 2013-08-07 08:26

    Здравтсвуйте, подскажите пожалуйста.

    Я настроил удаленную установку програм через gpo, все работало нормально, проги устанавливались. Политика применялась к круппе пользователей «room_118»

    Далее мне нужно было настроить srp для защиты дисков:
    я настроил политику:

    1 — запретил доступ к диску C:
    2 — НАСТРОИЛ ПАРАМЕТРЫ БЕЗОПАСНОСТИ и поставил уровень безопасности «обычный пользователь»
    Эта политика также применялась к круппе пользователей «room_118».

    И после этого программы перестали устанавливаться удаленно. Система пишет: установка управляемого программного обеспечения «название программы» всего несколько секунд и не устанавливает прогаммноре обеспечение.

    Подскажите пожалуйста…

    Admin:
    Всё верно, приоритет запрета всегда выше разрешений. Как минимум Вам нужно сделать разрешение для группы system. А вообще, я бы сделал несколько по другому:
    Ничего не запрещать, а всего лишь — неразрешать запись и изменение для «всех», а кому нужно — разрешил бы запись. Вот как то так.

  2. Здравствуйте. Спасибо за статью. Пропало два скриншота, но они сохранились в кэше гугла

  3. Алексей @ 2016-02-02 15:42

    Спасибо за статью! Хочу отметить, что сейчас появилось довольно много удобных программ для развертывания ПО по сети. В пример хочу привести Total Software Deployment. Она пока ещё сыровата, да и идеальным решением её пока назвать трудно, но мне удалось выполнить удалённую установку примерно 80% программ при помощи неё на около 200 ПК. Единственное чего в ней не хватает, так это функционала для удаления программ по сети.

Add your comment now

Please note: JavaScript is required to post comments.