Не устанавливается приложение через групповые политики
Прежде чем приступить к описанию процесса установки ПО с помощью групповых политик, оговорим, что распространение ПО на с помощью политик не всегда является оптимальным решением и имеет ряд ограничений. Вот несколько основных недостатков этого метода установки софта:
1. Невозможность планирования установки ПО. При установке софта при помощи групповой политики, установить или деинсталлировать ПО можно только при следующей загрузке системы. Поэтому практически невозможно, организовать массовое обновление какого-либо ПО, например, в ночное время, когда нагрузка на сеть минимальная. В этом случае лучше использовать, например, SCCM. Используя окна обслуживания (maintenance) или настройки WOL(Wake On LAN).
2. Поддерживаются только MSI и ZAP установщики. Формат дистрибуции приложений в групповых политиках– это лишь популярный MSI installer и менее известные пакеты ZAP. В этом случае опять предпочтительнее использование SCCM, т.к. он поддерживает использование всех возможных установщиков.
3. Фиксированный порядок установки приложений. При добавления нового приложения в объект групповой политики, оно устанавливается на ПК последним, и поменять этот порядок нельзя.
4. Отсутствие контроля. При установке ПО через групповую политику, пакет установщика выполняется на целевом компьютере, однако какая-либо обратная связь отсутствует. Поэтому вы с уверенностью не сможете сказать установилось ли ваше ПО на конкретном компьютере или нет.
Итак, после того, как вы познакомились с основными недостатками установки софта средствами групповых политик, перейдем к конкретному примеру. Отметим, что с помощью групповых политик правильно было бы устанавливать общесистемное ПО, которое используется на всех ПК организации, это может быть, например, антивирусный агент, клиент SCCM или InTune. В данной статье мы будем описывать установку агента InTune.
Windows InTune – это новый сервис Microsoft, предназначенный для служб ИТ, позволяющий управлять и осуществлять мониторинг компьютеров с помощью веб консоли. Этот сервис зачастую называют «облачным» SCCM, причем эта облачная служба позволяет управлять множеством рабочих станций без необходимости создания серверной инфраструктуры.
Т.к. ни одна из компонент InTune не устанавливается на сервера, поэтому все что нужно – это расставить клиентов InTune на рабочих станциях. Естественно, его можно расставить вручную, но если в вашей организации больше чем 10 ПК, то это может превратиться в головную боль. Поэтому мы попытаемся организовать процесс установки Windows InTune с помощью групповых политик.
Настраиваем дистрибутив для установки с помощью Group Policy
1. Качаем дистрибутив клиента InTune Client.
2. Жмем правой кнопкой по файлу “Windows_Intune_Setup.zip” и выбираем “Extract All”
3. Распаковываем содержимое файла Windows_Intune_Setup.exe в текущую папку, набрав команду “Windows_Intune_Setup.exe /extract .”.
4. Копируем файлы (список их ниже) на сетевую папку, с которой будет производиться установка.
Совет: Для корректной работы необходимо, чтобы группа “Domain Computers” имела права на чтение из указанной сетевой папки, иначе ПК организации не смогут скачать и установить эти файлы.
Настраиваем групповую политику для установки ПО
5. Перейдите в режим редактирования групповой политики, применяемой к целевым компьютерам, на которые вы хотите установить клиент InTune.
6. Перейдите в раздел “Computer Configuration > Policies > Software Settings > Software installation”. Щелкните правой кнопкой по элементу “Software installation”, выберите “New>Packages”
7. Выберите сетевую папку, в которую вы поместили файлы установщика, найдите и укажите файл “Windows_Intune_X64.msi” и затем нажмите “Open”
8. Выберите опцию “Advanced” и нажмите “OK”
9. Т.к. в данном случае мы устанавливаем 64 битную версию клиента,рекомендуется добавить к имени приложения постфикс “x64”.
10. Согласимся с настройками по-умолчанию и нажмем “OK”
В результате у вас получится примерно такая картинка.
И данное ПО будет установлено на компьютеры, к котором применяется данная политика, при следующей перезагрузке ПК.
Отключение политик, запрещающих установку программ
При появлении ошибки установщика Windows «Данная установка запрещена политикой, заданной системным администратором» в первую очередь следует попробовать посмотреть, заданы ли какие-либо политики, ограничивающие установку ПО и, если таковые имеются, удалить или отключить их.
Шаги могут быть разными в зависимости от используемой редакции Windows: если у вас установлена Pro или Enterprise версия, вы можете использовать редактор локальной групповой политики, если Домашняя — редактор реестра. Далее рассмотрены оба варианта.
Просмотр политик установки в редакторе локальной групповой политики
Для Windows 10, 8.1 и Windows 7 Профессиональной и корпоративной вы можете использовать следующие шаги:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
- Зайдите в раздел «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Установщик Windows».
- В правой панели редактора убедитесь, что никакие политики ограничения установки не заданы. Если это не так, дважды кликните по политике, значение которой нужно изменить и выберите «Не задано» (это значение по умолчанию).
- Зайдите в аналогичный раздел, но в «Конфигурация пользователя». Проверьте, чтобы и там все политики были не заданы.
Перезагрузка компьютера после этого обычно не требуется, можно сразу попробовать запустить установщик.
С помощью редактора реестра
Проверить наличие политик ограничения установки ПО и удалить их при необходимости можно и с помощью редактора реестра. Это будет работать и в домашней редакции Windows.
- Нажмите клавиши Win+R, введите regedit и нажмите Enter.
- В редакторе реестра перейдите к разделуи проверьте, есть ли в нем подраздел Installer. Если есть — удалите сам раздел или очистите все значения из этого раздела.
- Аналогичным образом, проверьте, есть ли подраздел Installer в разделеи, при его наличии, очистите его от значений или удалите.
- Закройте редактор реестра и попробуйте снова запустить установщик.
Обычно, если причина ошибки действительно в политиках, приведенных вариантов оказывается достаточно, однако есть и дополнительные методы, иногда оказывающиеся работоспособными.
Если предыдущий вариант не помог, можно попробовать следующие два способа (первый — только для Pro и Enterprise редакций Windows).
- Зайдите в Панель управления — Администрирование — Локальная политика безопасности.
- Выберите «Политики ограниченного использования программ».
- Если политики не определены, нажмите правой кнопкой мыши по «Политики ограниченного использования программ» и выберите «Создать политику ограниченного использования программ».
- Дважды нажмите по «Применение» и в разделе «Применять политику ограниченного использования программ» выберите «всех пользователей, кроме локальных администраторов».
- Нажмите Ок и обязательно перезагрузите компьютер.
Проверьте, была ли исправлена проблема. Если нет, рекомендую снова зайти в этот же раздел, нажать правой кнопкой по разделу политик ограниченного использования программ и удалить их.
Второй метод также предполагает использование редактора реестра:
- Запустите редактор реестра (regedit).
- Перейдите к разделуи создайте (при отсутствии) в нем подраздел с именем Installer
- В этом подразделе создайте 3 параметра DWORD с именами DisableMSI, DisableLUAPatching и DisablePatch и значением 0 (ноль) у каждого из них.
- Закройте редактор реестра, перезагрузите компьютер и проверьте работу установщика.
Если ошибка возникает при установке или обновлении Google Chrome, попробуйте удалить раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\ — это может сработать.
А вдруг и это будет интересно:
19.09.2018 в 20:47
20.09.2018 в 12:45
А это не какой-то рабочий компьютер? Быть может, тогда действительно админ запретил устанавливать свои браузеры.
20.09.2018 в 13:05
Нет, это мой личный компьютер.
Такая проблема возникла недавно, так как раньше хром я могла установить.
Когда возникла эта ошибка, я удалила все данные о хроме. Думала, что это поможет решить проблему.
И теперь не могу установить и хром, и гугл диск
21.09.2018 в 16:29
а нет ли точек восстановления системы? Если есть, можно попробовать восстановить на дату, когда проблемы еще не было.
03.04.2019 в 13:21
Да, прямо точь в точь такая же проблема
04.12.2018 в 17:55
15.12.2018 в 03:25
15.12.2018 в 10:34
15.12.2018 в 06:15
Windows 10 корпоративная 2016 года лицензия такая же проблема как у Дарии
возникла спонтанно
В этой статье я расскажу как устанавливать программы на пользовательские компьютеры с помощью групповых политик. Рассмотрим такой процесс как установка программ через домен Windows Server.
Итак, этот материал рассчитан на людей, которые уже умеют установить и настроить домен на Windows Server (этот материал является продолжением статьи).
Групповые политики используются для централизованного управления пользователями домена. Они позволяют управлять настройками операционной системы клиентских машин. Администратор домена может контролировать, настраивать различные компоненты операционных систем компьютеров, входящих в состав домена.
Групповые политики применяются при настройках системы безопасности. Настройки безопасности могут распространяться на определенные группы пользователей или конкретного пользователя. Политика безопасности позволяет конфигурировать большое количество субъектов безопасности по одним параметрам.
Управление установкой и удалением программ может осуществляться при помощи групповых политик. Главный плюс в том, что если нужно установить программу на 100 компьютеров, не нужно делать это вручную, используя групповые политики можно выполнить установки на всех компьютерах централизованно.
Подготовка к установке программ
Откройте общий доступ к созданному каталогу при помощи вкладки «Доступ» свойств каталога.
Запустите «Active Directory –> пользователи и компьютеры» (Пуск –> Администрирование –> Active Directory –> пользователи и компьютеры.
В домене создайте новое подразделение, для установки программы, в моем случае это Install подразделение.
Переместите в созданное подразделение доступный компьютер из подразделения «Computers».
Создайте новую групповую политику для созданного подразделения.
Свяжите подразделение с политикой, нажмите правой кнопкой на созданное подразделение и выберите «Связать существующий объект групповой политики…», затем выберите созданный ранее объект в списке и нажмите «ОК».
Установка программ через домен
Откройте созданную групповую политику. Создание заданий на установку программного обеспечения на компьютерах, входящих в домен, осуществляется в разделе Конфигурация компьютера –> Конфигурация
программ –> Установка программ. В контекстном меню раздела Установка программ выберите «Создать» и укажите полный сетевой путь к месту расположения установочного файла – C\Install. В появившемся окне выберите «Назначенный» метод развёртывания.
Программа будет установлена на клиентскую машину после перезагрузки.
Обновление программного обеспечения при помощи групповых политик
Для применения изменённых параметров групповой политики клиентские компьютеры перезагрузятся дважды.
Удаление программного обеспечения при помощи групповых политик
Существует два варианта удаления заданий на установку программного обеспечения:
- Первый вариант позволяет удалить не только задание, но и программу, установленную на рабочие станции.
- Второй вариант удаляет только задание.
Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.
Хотите узнать, как использовать групповую политику для установки пакета MSI? В этом учебнике мы покажем вам, как создать групповую политику для автоматической установки пакета MSI на доменных компьютерах.
• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 7
Список оборудования:
В следующем разделе представлен список оборудования, используемого для создания этого руководства Windows.
Каждую часть оборудования, перечисленных выше, можно найти на веб-сайте Amazon.
Windows Связанные Учебник:
На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с Windows.
Учебник GPO - Установка пакета MSI
Создайте общую папку и поместите копию пакета MSI.
Это будет точка распространения пакета MSI в сети.
В нашем примере была создана общая папка под названием SOFTWARE.
Все пользователи домена и все доменные компьютеры получили разрешение на чтение этой папки.
В нашем примере это путь к доступу к сетевому доступу.
На контроллере домена откройте инструмент управления групповой политикой.
Создание новой групповой политики.
Введите имя для новой политики группы.
В нашем примере, новый GPO был назван: MY-GPO.
На экране управления групповой политикой расширьте папку под названием «Объекты групповой политики».
Нажмите правой кнопкой мыши на новый объект групповой политики и выберите опцию редактирования.
На экране редактора групповой политики расширьте папку конфигурации компьютера и найдите следующий элемент.
Нажмите правой кнопкой мыши на папку установки программного обеспечения и выберите опцию добавления пакета.
Выберите пакет MSI, используя общий пакет сети.
Выберите опцию ASSIGNED.
В нашем примере мы собираемся установить пакет MSI программного обеспечения 7-ЗИП.
Чтобы сохранить конфигурацию групповой политики, необходимо закрыть редактор групповой политики.
Поздравляю! Вы закончили создание GPO.
Учебник - Применение GPO для установки пакета MSI
На экране управления политикой Группы необходимо правильно нажать на желаемую Организационную группу и выбрать возможность связать существующий GPO.
В нашем примере мы собираемся связать групповую политику под названием MY-GPO с корнем домена.
После применения GPO вам нужно подождать 10 или 20 минут.
В течение этого времени GPO будет реплицироваться на другие контроллеры доменов.
Чтобы проверить конфигурацию, перезагрузите удаленный компьютер и проверьте, было ли программное обеспечение автоматически установлено.
Удаленный компьютер должен иметь доступ к сети, где находится пакет MSI.
В нашем примере пакет MSI был установлен с использованием GPO на всех доменных компьютерах.
Читайте также: