Menu Content/Inhalt
В начало arrow Зеленый ящик arrow Управление ПО arrow Инсталляция программного обеспечения используя GPO
Инсталляция программного обеспечения используя GPO

В этой статье описана автоматическая инсталляция msi пакета при помощи Windows 2003 Server, Active Directory, GPO.

 Инсталляция программного обеспечения через GPO имеет следующие преимущества в сравнении с ручной инсталляцией:

  1. Администратору нет необходимости запускать инсталляцию на всех рабочих станциях, которые должны иметь определенное программное обеспечение.
  2. В случае переинсталляции рабочей станции, достаточно перенести ее объект в контейнер, в свойствах которого назначена инсталляция того или иного ПО.
  3. Централизованный контроль за обновлениями.
  4. Автоматическая переинсталляция, в случае повреждения (или удаления пользователем).

Таким образом, основное преимущество – значительная экономия времени системного администратора.

Для успешного осуществления нам необходимы:

  1. Windows 2000/2003 сервер
  2. Активная Директория
  3. Сетевая папка, которая доступна для чтения либо
    a. Пользователям, которые будут инсталлировать msi пакет (в случае назначения ПО пользователям)
    b. Объектам компьютеров (в случае назначения ПО компьютерам)
  4. Рабочая станция, добавленная в домен.
  5. Пользователь, который является членом домена.
  6. Пакет msi, который будет назначен пользователю или рабочей станции.

Групповые политики (GPO) делятся на Computer и User.
Computer based относятся к объекту компьютера и, соответственно, свойства этой групповой политики будут относиться ко всем пользователям, которые будут использовать этот компьютер. Свойства, назначенные компьютеру обновляются и назначаются при перезагрузке (!!!).
User based относятся к объекту пользователя и, соответственно, свойства этой групповой политики будут применяться ко всем компьютерам, которые будет использовать этот пользователь. Свойства, назначенные пользователю обновляются при выходе из сети и входе в нее. (!!!).

Для начала создадим папку, которая будет опубликована в сети. Папка может быть расположена на любом компьютере в сети. Условие, которое должно быть соблюдено. Папка должна быть доступна по пути \\computername\sharename (или по IP адресу). В случае Windows XP следует помнить о том, что Windows XP не разрешает более 10-ти одновременных подключений.

Для демонстрации мы оставим Share permissions – Everyone-Read, Security Permissions – Domain Admins, Administrators – Full Control, Domain users – Read/List/Execute.

 

Таким образом, любой доменный пользователь (по умолчанию) имеет доступ чтения к этой папке и файлам, находящимся в ней. Учитывая тот факт, что доступ к папке имеют только объекты пользователей, мы будем назначать программное обеспечение объектам пользователей.

Следующим шагом будет создание Групповой Политики. А точнее – двух.
Следует помнить, что групповая политика назначается не объекту пользователя, а объекту контейнера, в котором могут находиться как объект пользователя, так и объект компьютера.

В Active Directory Users and Computers создаем контейнер Test Animals и в нем создаем (или перемещаем в него существующего) пользователя.

 

Делаем правый щелчок на созданном контейнере и выбираем Properties и заходим в закладку Group Policy.


Нажимаем на кнопку New и даем имя нашей групповой политике.
После этого нажимаем на кнопку Edit.

В открывшемся окне мы видим Computer Configuration и User Configuration. Первое относится к объектам компьютеров, второе – к объектам пользователей.
В User Configuration->Software Settings->Software Installation, в правой части окна, нажимаем правой кнопкой мыши и выбираем New Package.
Находим нашу сетевую папку и выбиваем наш msi пакет.

Внимание, если папка находится на том же компьютере, что и групповая политика, убедитесь, что пусть к msi пакету описан как //server/share/packet.msi а не c:/Foldername/packet.msi

Выбираем один из типов назначения пакета:
Published – пакет появится у пользователя в Add Remove Programs.
Assigned – пакет автоматически будет установлен пользователю при входе в систему.
Advanced – позволяет настроить назначение пакета.
Выбираем Assigned, поскольку более тонкая настройка требует отдельной статьи, и нажимаем OK.

После этого мы увидим, как пакет появился в списке назначенного программного обеспечения.

Закрываем редактор политик и возвращаемся в свойства контейнера. 

Создаем еще одну групповую политику, которая позволит пользователям без прав локального администратора установить назначенный им пакет.
Заходим в User Configuration->Administrative Templates->Windows Components->Windows Installer.
Меняем Always install with elevated privileges на Enabled.

Включение этой настройки позволит пользователю инсталлировать любой msi пакет, который требует доступ к системным файлам и директориям. Если для инсталляции Вашего пакета не требуется доступ к системным файлам, рекомендуем не включать эту опцию.

Теперь, когда политики созданы, нажимаем OK в свойствах контейнера, открываем Start->Run и вводим для внеочередного обновления политик в домене следующую команду gpupdate для Windows 2003 серверов или secedit /refreshpolicy user_policy (для политик пользователя) secedit /refreshpolicy machine_policy (для политик компьютера) на Windows 2000 сервере.

Если все сделано правильно, после выхода и входа в систему, пользователю будет установлено назначенное нами программное обеспечение.

Также советуем ознакомиться со следующими статьями:
http://support.microsoft.com/kb/278472/
http://support.microsoft.com/kb/302430
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/gp/324.mspx?mfr=true