Как установить приложение через групповые политики

Обновлено: 06.01.2025

Рано или поздно у каждого системного администратора появляется необходимость внедрения нового программного обеспечения (ПО) в существующий парк, и особенно централизованного обновления версий этого ПО для поддержания его в актуальном состоянии без лишней нервотрепки и при малых затратах ресурсов. Большинство корпоративных программных продуктов поддерживает обновление через Microsoft Automatic Update, в свою очередь большинство Open Source продуктов позволяют автоматическое обновление только при платной поддержке, и как быть в том случае, когда руководство не готово платить за это? Попытка поиска данной методики в развернутом виде в Рунете положительных плодов не принесла. Пришлось искать информацию, и разрабатывать методику самому, а заодно и инструкцию в помощь другим.

Необходимость внедрения данного ПО обусловлена следующим:

Установка

Разберем установку, а также безболезненный переход к новым версиям LibreOffice средствами Active Directory и групповых политик.

Подготовка дистрибутива

Сначала нужно подготовить дистрибутив для установки из сетевого ресурса.

Установка разрешений доступ и настройка безопасности

Создание административной единицы в Active Directory

Создание групповой политики

Создание установочного пакета

Через групповые политики установка осуществляется только через файлы msi, так что если вам необходимо установить другую программу, которая по умолчанию не содержит msi, то нужно переконвертировать файл exe (или др.) в msi с помощью любого конвертера.

Таким же образом создаем пакет для установки Help Pack.

Однако, для нормальной работы LibreOffice необходима Java. Ее также можно установить через GPO. Лучше на каждое приложение создавать отдельную политику для независимости и удобства обновления приложений.

Настройка перехода на новую версию

Создаем в той же групповой политике с ранней версией LibreOffice более новую версию, предварительно произведя административную установку в отдельную папку сетевого ресурса.

После этого в GPO старые пакеты отображаются с замком, а новые с зеленой стрелкой.

Проделываем то же самое для Help Pack. И теперь после применения групповых политик и последующей перезагрузке рабочих станций взамен старой версии устанавливается новая версия LibreOffice.

Заключение

В итоге мы имеем автоматически установленное программное обеспечение на необходимых компьютерах, и возможность поддержание его версии в актуальном состоянии. В любом случае сначала лучше потренироваться на тестовой машине.

В этой статье описывается использование групповой политики для автоматического распространения программ на клиентские компьютеры или пользователей.

Применяется к: Windows Server 2012 R2
Исходный номер КБ: 816102

Сводка

Для распространения компьютерных программ с помощью групповой политики можно использовать следующие методы:

Назначение программного обеспечения

Вы можете назначить рассылку программы пользователям или компьютерам. Если назначить программу пользователю, она устанавливается при входе пользователя на компьютер. Когда пользователь впервые запускает программу, установка выполняется. Если назначить программу компьютеру, она устанавливается после его начала, и она доступна всем пользователям, входивших на компьютер. Когда пользователь впервые запускает программу, установка выполняется.

Программное обеспечение для публикации

Вы можете опубликовать распространение программы для пользователей. Когда пользователь входит в компьютер, опубликованная программа отображается в диалоговом окне Добавить или Удалить программы, и ее можно установить оттуда.

Windows Автоматическая установка групповой политики Server 2003 требует клиентских компьютеров с Windows microsoft 2000 или более поздней версии.

Создание точки рассылки

Чтобы опубликовать или назначить компьютерную программу, создайте точку распространения на сервере публикации, следуя следующим шагам:

Войдите на сервер в качестве администратора.
Создайте общую папку сети, в которую вы Windows пакет установки (.msi файл), который необходимо распространить.
Установите разрешения на долю, чтобы разрешить доступ к пакету рассылки.
Скопируйте или установите пакет в точку распространения. Например, чтобы распространить файл .msi, запустите административную установку () для копирования файлов setup.exe /a в точку распространения.

Создание объекта групповой политики

Чтобы создать объект групповой политики (GPO) для распространения пакета программного обеспечения, выполните следующие действия:

Запустите оснастку пользователей и компьютеров Active Directory, нажав кнопку Начните, указав на административные средства, а затем нажав кнопку Active Directory Users and Computers.
В дереве консоли щелкните правой кнопкой мыши домен и нажмите кнопку Свойства.
Щелкните вкладку Групповой политики и нажмите кнопку New.
Введите имя для этой новой политики и нажмите кнопку Ввод.
Щелкните Свойства, а затем нажмите вкладку Безопасность.
Зачистка контрольного окна Apply Group Policy для групп безопасности, к которые не нужно применять эту политику.
Выберите поле Применить групповую политику для групп, к которые необходимо применить эту политику.
После этого нажмите кнопку ОК.

Назначение пакета

Чтобы назначить программу компьютерам с Windows Server 2003, Windows 2000 или Windows XP Professional или пользователям, входивших на одну из этих рабочих станций, выполните следующие действия:

Запустите оснастку пользователей и компьютеров Active Directory, нажав кнопку Начните, указав на административные средства, а затем нажав кнопку Active Directory Users and Computers.

В дереве консоли щелкните правой кнопкой мыши домен и нажмите кнопку Свойства.

Щелкните вкладку Групповой политики, выберите политику, которую вы хотите, и нажмите кнопку Изменить.

В соответствии с конфигурацией компьютера расширим Параметры.

Правой кнопкой мыши установка программного обеспечения, указать на Новый, а затем нажмите пакет.

В диалоговом окне Open введите полный путь универсальной конвенции имен (UNC) общего пакета установщика, который вам нужен. Например, \\<file server>\<share>\<file name>.msi .

Не используйте кнопку Просмотр для доступа к расположению. Убедитесь, что вы используете путь UNC общего пакета установщика.

Щелкните назначенное, а затем нажмите кнопку ОК. Пакет указан в правой области окна групповой политики.

Закрой привязку групповой политики, нажмите кнопку ОК, а затем закрой привязку пользователей и компьютеров Active Directory.

Когда клиентский компьютер запускается, управляемый пакет программного обеспечения устанавливается автоматически.

Публикация пакета

Чтобы опубликовать пакет для пользователей компьютеров и сделать его доступным для установки из списка Добавить или Удалить программы в панели управления, выполните следующие действия:

В дереве консоли щелкните правой кнопкой мыши домен и нажмите кнопку Свойства.

Щелкните вкладку Групповой политики, щелкните политику, которую вы хотите, и нажмите кнопку Изменить.

В соответствии с конфигурацией пользователей расширяем Параметры.

Правой кнопкой мыши установка программного обеспечения, указать на Новый, а затем нажмите пакет.

В диалоговом окне Open введите полный путь UNC общего пакета установщика, который вам нужен. Например, \\file server\share\file name.msi .

Пакет указан в правой области окна групповой политики.

Поскольку существует несколько версий Windows, на вашем компьютере могут быть другие действия. Если они есть, см. документацию по продуктам для выполнения этих действий.

Переделока пакета

В некоторых случаях может потребоваться передиплоять пакет программного обеспечения (например, при обновлении или изменении пакета). Чтобы перенаполнить пакет, выполните следующие действия:

В дереве консоли щелкните правой кнопкой мыши домен и нажмите кнопку Свойства.

Щелкните вкладку Групповой политики, щелкните объект групповой политики, который использовался для развертывания пакета, а затем нажмите кнопку Изменить.

Разместим контейнер Параметры программного обеспечения, содержащий элемент установки программного обеспечения, который использовался для развертывания пакета.

Щелкните контейнер установки программного обеспечения, содержащий пакет.

Повторное удаление этого приложения будет переустановить приложение везде, где оно уже установлено. Вы хотите продолжить?

Выйти из оснастки групповой политики, нажмите кнопку ОК, а затем закроем привязку пользователей и компьютеров Active Directory.

Удаление пакета

Чтобы удалить опубликованный или заданный пакет, выполните следующие действия:

Устранение неполадок

Опубликованные пакеты отображаются на клиентских компьютерах после их удаления с помощью групповой политики.

Такая ситуация может возникнуть, когда пользователь установил программу, но не использовал ее. Когда пользователь впервые запускает опубликованную программу, установка завершается. После этого group Policy удаляет программу.

21.10.2011

Групповые политики

комментариев 15

Прежде чем приступить к описанию процесса установки ПО с помощью групповых политик, оговорим, что распространение ПО на с помощью политик не всегда является оптимальным решением и имеет ряд ограничений. Вот несколько основных недостатков этого метода установки софта:

1. Невозможность планирования установки ПО. При установке софта при помощи групповой политики, установить или деинсталлировать ПО можно только при следующей загрузке системы. Поэтому практически невозможно, организовать массовое обновление какого-либо ПО, например, в ночное время, когда нагрузка на сеть минимальная. В этом случае лучше использовать, например, SCCM. Используя окна обслуживания (maintenance) или настройки WOL(Wake On LAN).

2. Поддерживаются только MSI и ZAP установщики. Формат дистрибуции приложений в групповых политиках– это лишь популярный MSI installer и менее известные пакеты ZAP. В этом случае опять предпочтительнее использование SCCM, т.к. он поддерживает использование всех возможных установщиков.

3. Фиксированный порядок установки приложений. При добавления нового приложения в объект групповой политики, оно устанавливается на ПК последним, и поменять этот порядок нельзя.

4. Отсутствие контроля. При установке ПО через групповую политику, пакет установщика выполняется на целевом компьютере, однако какая-либо обратная связь отсутствует. Поэтому вы с уверенностью не сможете сказать установилось ли ваше ПО на конкретном компьютере или нет.

Итак, после того, как вы познакомились с основными недостатками установки софта средствами групповых политик, перейдем к конкретному примеру. Отметим, что с помощью групповых политик правильно было бы устанавливать общесистемное ПО, которое используется на всех ПК организации, это может быть, например, антивирусный агент, клиент SCCM или InTune. В данной статье мы будем описывать установку агента InTune.

Windows InTune – это новый сервис Microsoft, предназначенный для служб ИТ, позволяющий управлять и осуществлять мониторинг компьютеров с помощью веб консоли. Этот сервис зачастую называют «облачным» SCCM, причем эта облачная служба позволяет управлять множеством рабочих станций без необходимости создания серверной инфраструктуры.

Т.к. ни одна из компонент InTune не устанавливается на сервера, поэтому все что нужно – это расставить клиентов InTune на рабочих станциях. Естественно, его можно расставить вручную, но если в вашей организации больше чем 10 ПК, то это может превратиться в головную боль. Поэтому мы попытаемся организовать процесс установки Windows InTune с помощью групповых политик.

Настраиваем дистрибутив для установки с помощью Group Policy

1. Качаем дистрибутив клиента InTune Client.

2. Жмем правой кнопкой по файлу “Windows_Intune_Setup.zip” и выбираем “Extract All”

3. Распаковываем содержимое файла Windows_Intune_Setup.exe в текущую папку, набрав команду “Windows_Intune_Setup.exe /extract .”.

4. Копируем файлы (список их ниже) на сетевую папку, с которой будет производиться установка.

Совет: Для корректной работы необходимо, чтобы группа “Domain Computers” имела права на чтение из указанной сетевой папки, иначе ПК организации не смогут скачать и установить эти файлы.

Настраиваем групповую политику для установки ПО

5. Перейдите в режим редактирования групповой политики, применяемой к целевым компьютерам, на которые вы хотите установить клиент InTune.

6. Перейдите в раздел “Computer Configuration > Policies > Software Settings > Software installation”. Щелкните правой кнопкой по элементу “Software installation”, выберите “New>Packages”

7. Выберите сетевую папку, в которую вы поместили файлы установщика, найдите и укажите файл “Windows_Intune_X64.msi” и затем нажмите “Open”

8. Выберите опцию “Advanced” и нажмите “OK”

9. Т.к. в данном случае мы устанавливаем 64 битную версию клиента,рекомендуется добавить к имени приложения постфикс “x64”.

10. Согласимся с настройками по-умолчанию и нажмем “OK”

В результате у вас получится примерно такая картинка.

И данное ПО будет установлено на компьютеры, к котором применяется данная политика, при следующей перезагрузке ПК.

Ни для кого не является секретом то, что в организациях установка приложений на клиентские компьютеры должна быть (или, если честно, то рекомендуется, чтобы была) автоматизированной. Естественно, комплексные продукты, например, такие как Microsoft System Center Configuration Manager, могут превосходно справляться с такой задачей, однако ведь всегда были, есть и будут организации, которые по той или иной причине не приобрели себе такой продукт. Поэтому приходится устанавливать программные продукты с помощью тех же штатных средств операционных систем Windows, и для выполнения такой задачи предпочтительными становятся функциональные возможности групповой политики.
Также все прекрасно знают и о том, что при помощи расширения клиентской стороны Group Policy Software Installation – GPSI, приложения можно развертывать на клиентские машины двумя методами: либо путем публикации только для пользователей, либо при помощи назначения для пользователей или компьютеров.

Для чего нужны ZAP-файлы?

Запуск приложений с повышенными привилегиями;
Откат изменений при неудачном процессе установки программного обеспечения;
Обнаружение повреждения процесса инсталляции и последующее восстановление данного процесса;
Установка компонентов программного обеспечения при первом обращении к последнему;
Использование и внедрение файлов трансформации.

FriendlyName – то есть, это имя, которое будет отображаться в компоненте панели управления «Программы и компоненты»;
SetupCommand – здесь определяется путь к файлу установки приложения. Естественно, при необходимости вы можете указать как путь UNC, так и использовать сопоставленный диск. Также, если приложение можно устанавливать с дополнительными параметрами, эти параметры следует указывать после пути установки.

DisplayVersion = 2.13.1.5. Как вы понимаете, этот параметр отвечает за отображаемую версию программного обеспечения;
Publisher – название компании, являющейся производителем приложения. Это название будет отображено в компоненте панели управления «Программы и компоненты», а также в самом расширении клиентской стороны «Установка программ»;
URL – естественно, это адрес в сети Интернет, предназначенный для получения дополнительной информации о приложении.

Ограничения ZAP-файлов

Как я уже успел упомянуть, в отличие от установочных пакетов msi, приложения, развёртываемые средствами zap-файлов, нельзя назначать компьютерам или пользователям. Также стоит отметить, что при установке приложения текущим методом запускается стандартная программа установки. Другими словами, помимо добавляемых параметров, при помощи каких-либо дополнительных параметров этого файла вы не можете настроить процесс установки программного обеспечения. Еще одним ограничением является тот факт, что приложение не может быть установлено от имени учетной записи администратора, что может быть в некоторых случаях крайне неудобно. То есть приложения всегда устанавливаются локальным администратором.
При создании ZAP-файлов вы обязательно должны принять к сведению следующие моменты (о некоторых из них я уже говорил несколькими строками выше):

Во-первых, ввиду того, что при помощи выполнения ZAP-файла просто запускается инсталляционная программа, как я уже говорил, данное средство не позволяет выполнять инсталляционный процесс с повышенными правами, что можно реализовать при помощи пакетов MSI. Следовательно, если приложение во время своей установки запросит повышение прав, его смогут проинсталлировать только те пользователи, для которых явно прописано такое разрешение;
Во-вторых, ввиду того, что ZAP-файлы являются текстовыми документами, при сохранении такого файла можно случайно создать файл с расширением .zap.txt, что, по вполне понятным причинам, не сможет корректно отработать. Другими словами, убедитесь, что файл будет сохранен с правильным расширением;
В-третьих, если у вас в сети есть компьютеры с 64-разрядными операционными системами, вам следует обязательно протестировать процесс установки и работы 32-разрядных приложений на таких операционных системах. Это очень важный этап, так как много 32-разрядных приложений, развертываемых при помощи ZAP-файлов, могут сбоить во время своей установки;
И в-четвертых, если при создании ZAP-файла с 32-разрядным программным обеспечением вы не измените его поведение, оно не будет отображаться в компоненте панели управления «Программы и компоненты» под 64-разрядными операционными системами.

Создание ZAP-файла

Silent – выполнение тихой установки, то есть без участия пользователя;
Folder – папка назначения. Если она при помощи этого параметра не указана, то в таком случае будет использоваться старая папка IrfanView. Если же таковая отсутствует, то используется папка «Program Files\IrfanView»;
Desktop – создает ярлык на рабочем столе; 0 = no, 1 = yes (по умолчанию: 0);
Thumbs – создает ярлык для режима миниатюр; 0 = no, 1 = yes (по умолчанию: 0);
Group – создает группу в меню «Пуск»; 0 = no, 1 = yes (по умолчанию: 0);
Allusers – ярлыки на рабочем столе/в меню «Пуск» для пользователей; 0 = для текущего пользователя, 1 = для всех;
Assoc – позволяет установить файловые ассоциации; 0 = не устанавливать, 1 = только изображения, 2 = выбрать все (по умолчанию: 0);
Assocallusers – если используется этот параметр, то файловые ассоциации устанавливаются для всех пользователей (работает только в Windows XP);
Ini – если используется, устанавливает пользовательскую папку для INI файла (допустимы системные переменные).

Развертывание Irfan View при помощи сгенерированного ранее ZAP-файла

Создается новый объект групповой политики (естественно, при желании вы можете воспользоваться также и любым из существующих объектов GPO), пусть он называется «ZAP Files Publication». Он связывается либо с конкретным подразделением, в которое входят учетные записи пользователей, либо с уровнем всего домена, и из контекстного меню данного объекта следует выбрать соответствующую команду, предназначенную для открытия редактора управления групповыми политиками;
После этого, уже находясь в оснастке «Group Policy Management Editor», нам необходимо развернуть узел User Configuration\Policies\Software Settings, затем перейти к узлу «Software Installation». Чтобы приложение нормально опубликовалось, следует перейти к настройкам данного узла. Другими словами, из контекстного меню данного узла выбираем команду «Properties»;
Здесь, как я уже сказал, чтобы мы смогли без проблем опубликовать наше приложение, нам следует в свойствах этого расширения клиентской стороны указать путь к точке распространения, то есть «\\НАШСЕРВЕР\Install». Помимо этого, на вкладке «Advanced» обязательно необходимо установить флажок на опции «Make 32-bit X86 down-level (ZAP) applications available to Win64 machines». Этих настроек для нас достаточно, сохраняем все внесенные изменения;

Рис. 4. Оснастка Group Policy Management Editor после создания пакета
Готово, осталось лишь проверить все внесенные изменения. Сейчас можно даже на текущей машине обновить параметры политики. Сделаем это принудительно, то есть вместе с командой Gpupdate укажем параметры /force /boor /logoff.
Осталось только проинсталлировать опубликованный пакет. Для этого мы заходим в панель управления и переходим к компоненту «Programs and Features». Затем для того, чтобы попасть к расположению, откуда будет проинсталлирован опубликованный продукт, следует перейти по ссылке «Install a program from the network».
Как видите на следующей иллюстрации, здесь можно найти наш Irfan View.

Рис. 5. Приложение, доступное для инсталляции

Заключение

Собственно, как это ни было бы печально, на этой ноте процесс развертывания программного обеспечения средствами функциональных возможностей групповой политики совместно с ZAP-файлами подходит к концу. Из этой статьи вы узнали о том, что собой представляют ZAP-файлы, в каких сценариях их следует использовать, а когда нужно будет останавливаться на иных решениях. Вы узнали о самом синтаксисе таких файлов, а также, естественно, о том, как можно создать такой файл, а затем – как распространить программный продукт при помощи такого файла. Напишите в комментариях, приходилось ли вам в своей практике развертывать программные продукты таким способом и, если не секрет, что именно за приложения вы так развертывали, и встречались ли вам при использовании этого метода какие-либо подводные камни?

Читайте также: