Одминский блог
Централизованная установка приложений в домене AD
27 May 2011 | Автор: dd |
Теперь обсудим как на скорую руку организовать централизованное обновление стороннего приложения в домене (сгодится для flash-плеера или skype). То есть с виндовыми патчами и приладами все понятно- тут надо использовать родной мелкомягкий сервер обновлений Windows Server Update Services (в простонародьи WSUS), но учитывая что из родных продуктов большая часть юзверей (благодаря тлетворному влиянию админов) использует разве только MS Office, да и с того пытаемся уйти в последнее время, то установка WSUS откладывается на некоторое время, а вот каким образом все это произвести централизовано и без него- ответов два: через логон скрипты и AD.
Если с логон скриптом все более менее понятно- выкачиваем исполняемый файл, кладем его в доступную шару, после чего прописываем в логон скрипт следующую строку:
start /wait \\сервер\шара\пакетный-файл.ехе /K /B
то через AD все делается несколько сложнее. Для начала нам нужен не обычный exe’шник, а виндовый установщик MSI- то есть мы выкачиваем дистрибутив с расширением msi или же собираем его из exe с помощью внешних утилит (например Advanced Installer, EMCO MSI Package Builder Enterprise или Prism Deploy Editor).
Для скайпа msi доступен в разделе Загрузить Skype -> Загрузка бизнес-версии
Для Adobe- flashplayer доступен со страницы загрузки всех версий Adobe Flash Player
Получив msi дистрибутив, выкладываем его на доступную для пользователей шару (сетевой ресурс, доступный для пользователей домена AD), после чего переходим к настройке Group Policy AD. Запускаем GP Managment после чего создаем групповую политику Computer Configuration -> Software Settings -> Software installation где указываем путь до нашей шары (не перепутать с локальным размещением файла). После применения система спросит про метод разворачивания- где мы указываем Assigned.
После этого ждем минут 10-15, или же форсим апдейт GP запуском из “Win + R” команды gpupdate /force
После этих действий- при перезагрузке участника домена, в фоновом режиме, еще до входа в систему на компы будет установлены указанные для обновления программы, и главное без участия пользователя и требования предоставления админского пароля.
Единственный момент, если надо будет переустановить новую версию, то надо будет удалить ранее созданную политику, после чего создать новую. Этот способ отлично подходит для всего многообразия пакетов, которые могут понадобиться в жизни офиса- различные adobe’вские плюшки- flashplayer, reader, аськи и квипы, skype, различные бродилки и много чего еще.
Автоматическая установка программ в домене Windows
Если в домене Windows установлен WSUS, админ рад и спокоен — дескать, все, обновления ставятся на автомате, трафик снизился, бегать по компам не надо и пр. В принципе, все осталость то же самое, но ведь не все используют в работе Microsoft Outlook или Internet Explorer (хотя 8-ка очень неплоха). Есть много людей, привыкших работать с почтовиком The Bat!, броузером Opera или Mozilla. Если встает вопрос об обновлениях — либо это головняк админу в виде беготни к каждому компьютеру для обновления всем, скажем, Opera, либо юзеры должны сидеть под админами (пускай и локальными, не доменными).
Естественно, ни первый, ни второй способы — не выход. Значит, надо иметь возможность автоматически устанавливать программы на рабочих станциях, причем желательно делать это до того, как пользователь вошел в систему — ведь если он вошел, он уже не захочет перезагружать машину и т.п. Надо ставить пользователя перед фактом — программа, его любимая Opera, уже обновлена и админа не колбасит, что версия 10.10 почему-то нравится меньше, чем предыдущая. Просто вышло обновление, и его надо применить. Без вариантов.
Самый распространенный вариант ответа на вопрос — КАК? — Конечно, через Active Directory! — скажет вам любой специалист или просто сисадмин. А как через AD? — спросите вы. А вам скажут — ?! Вы не знаете, как через AD? Да там же просто, через policy! — но больше вам скорее сего ничего не скажут, потому что для большинства советчиков этот вопрос такой же неясный, как и для вас. И вам ничего не останется, как гуглить до потери пульса, потому что найти огромный фолиант на тему «как развернуть office 2007» в сети корпорации не проблема, а вот просто и в двух словах — редко что найдете. Не без гордости могу сказать, что данная статья как раз одна из немногих кратких и «без наворотов», попадавшихся мне.
Установка программ из MSI
Все изложенное далее относится к работе с инсталляционными пакетами типа MSI (расширение .msi). Файлы MSI есть (или их можно извлечь) для многих программ (Adobe Acrobat, The Bat, Opera, Firefox и пр.).
Предположим, мы хотим автоматически установить (а по мере выхода обновлений, устанавливать обновления) броузер Firefox. Файл msi для Firefox можно взять здесь (в новом окне).
Настройку шаблона .adm я пропущу, т.к. далеко не всегда это нужно, а еще чаще этот шаблон фиг найдешь. В итоге — дефолтные настройки (либо, если будем ставить поверх старой версии — настройки будут сохранены). Шаблон .adm нам не нужен.
Распределяем права доступа
Предполагаю, что все учетные записи компьютеров (кроме контроллеров домена) находятся в OU «OU Office Computers».
Примечание 1:
Почему лучше не использовать исходное размещение компьютеров (Computers — Компьютеры домена в оснастке Active Directory Users and Computers)? Мне удобнее в дальнейшем управлять политиками для групп компьютеров. К тому же, когда я посещал курсы Microsoft, я видел, что на контроллерах доменов в тестовых системах и в «боевых», настроенных специалистами Microsoft, используются практически только отдельно созданные OU, а не базовые. Я для себя решил повторять опыт специалистов. Пока мне от этого только удобнее. Естественно, ИМХО.
Примечание 2:
Не всем пользователям нужен Firefox (как не всем нужен The Bat, Opera и пр.). Поэтому создадим в «OU Office Computers» отдельную группу компьютеров, на которые будет установлен Firefox. Для ясности назовем группу GFirefoxComputers. Отмечу, что это будет именно группа, а не вложенное OU!
Расшариваем какую-либо папку на сервере (на рисунке это SoftwareDistibution, а не Mozilla Firefox, как может показаться) и даем группе GFirefoxComputers доступ на чтение, админу — полный доступ (не компьютеру админа, а пользователю — все-таки вы должны иметь возможность по сети заливать на шару файлы ;)).
Вообще, для проверки того, как все вообще работает, можно обойтись и без группы GFirefoxComputers. Просто для того, чтобы сразу не усложнять себе жизнь, и не пенять на групповые политики, если что пойдет не так 😉
Политика правит миром!
На контроллере домена запускаем редактор групповой политики GPMC.MSC:
. и создаем связанную только с нашим OU «OU Office Computers» групповую политику под названием «Firefox 3.6.3 rus»:
. редактируем нашу политику «Firefox 3.6.3 rus»:
Готовим дистрибутив Firefox для развертывания в сети
В разделе «User Configuration» -> «Software settings» -> «Software Installation» щелкаем правой мышкой и создаем новый объект для установки — наш будущий инсталлятор Firefox.
Выбираем файл MSI, заботливо положенного чьими-то руками в расшаренную папку. Важно : выбирать надо сетевой путь до файла, а не локальный, ведь юзера будут получать доступ к вашей инсталляшке не локально на сервере, а по сети.
Выбираем «Assigned» (Назначенный):
На этом работа с веткой «Software Installation» закончена.
Закрываем все открытые окна на сервере (если не помешает другим задачам, естественно), Пуск -> Выполнить -> gpupdate /force
Установка на рабочих станциях
Далее достаточно просто перезагрузить рабочие станции, чтобы автоматически установился Firefox ДО того, как появится окно для ввода логина/пароля. Иными словами, пользователь будет не в силах чего-то не установить, забыть и пр. Поэтому этот способ так хорош. Вы удаленно решаете, что будет установлено / обновлено на рабочих станциях.
Windows XP бывает не с первой перезагрузки «принимает» нове политики, поэтому можно подойти к юзеру, выполнить команду «gpupdate /force» (не обязательно под админом) и перезагрузить его компьютер.
Обязательно проверьте установку на своем / тестовом компьютере ДО того, как юзеры придут следующим утром, включат компьютеры. а вдруг косяк? Поэтому хотя бы первый раз сначала испытайте на себе.
Дополнительно
Теперь на любой новый компьютер, введенный в состав подразделения OU Office Computers будет установлена последняя версия броузера Firefox. Вам даже не придется ничего делать. Просто и очень полезно. Таким же образом можно устанавливать практически любой софт, включая Adobe Reader, Adobe Flash Player (которые в обычной ситуации требуют административных прав для установки), The Bat. да мало ли софта у вас в локальной сети, поддерживать который в актуальном состоянии одна из обязанностей системного администратора.
Нюанс: если вы уже установили какой-либо пакет, в нашем случае Firefox 3.6.3 rus, а через некоторое время вам потребуется его обновить (т.к. рано или поздно выйдет новая версия броузера), сначала удалите политику по установке Firefox 3.6.3, после чего создайте новую. Потом «gpudate /force» и вперед!
Авторизуйтесь для добавления комментариев!
Почтовый сервер Шифрование Squid 3proxy VPN Mikrotik Настройка сервера Виртуальные машины kvm Защита почты Резервное копирование Групповые политики SELinux WDS IPFW OpenVPN firewalld systemd Mobile libvirt Samba WiFi Iptables NAT Lightsquid Remote desktop Postfix Dovecot Удаление данных Софт Безопасность Настройка прокси Winbox User agent Хостинг Передача данных Онлайн сервисы Privacy LetsEncrypt VPN сервер RRDTool sendmail Rsync Linux SSH Система Windows Синхронизация Облако fail2ban FreeBSD
Как установить программу для всех пользователей Windows server
Статьи | Развертывание CommFort в сетях с Active Directory
Развертывание можно разделить на три этапа (выполнить их можно в любом порядке):
• Установка программы всем пользователям с помощью msi-инсталлятора
• Копирование пользователям специального файла конфигурации с указанием адреса сервера
• Настройка автоматической авторизации на сервере
В данной статье мы рассмотрим подробно все эти три этапа на примере операционной системы Windows Server 2012 R2.
Установка программы всем пользователям с помощью msi-инсталлятора
Создайте сетевую папку с общим доступом на чтение для всех пользователей и скопируйте туда MSI-инсталлятор.
Далее необходимо настроить групповую политику. «Пуск > Выполнить > gpmc.msc»:
Выберите домен, нажмите правой кнопкой и перейдите к меню «Создать объект групповой политики в этом домене и связать его»:
Введите произвольное имя групповой политики:
Нажмите правой кнопкой на объекте созданной политики и выберите «Изменить»:
В открывшемся окне перейдите к «Конфигурация компьютера > Политики > Конфигурация программ > Установка программ». Нажмите правой кнопкой и выберите «Создать > Пакет»:
Укажите путь к дистрибутиву MSI (обязательно сетевой путь доступный пользователям), после чего откроется окно выбора метода развертывания программ. Выберите «Назначенный»:
Для вступления изменений в силу выполните команду «gpupdate /force»:
После перезапуска клиентских компьютеров CommFort будет установлен на них автоматически.
Копирование пользователям специального файла конфигурации с указанием адреса сервера
В созданную на предыдущем этапе папку с общим доступом нужно поместить два файла: ini-файл конфигурации, который будет скопирован всем пользователям, и командный файл, выполняющий создание соответствующей папки и непосредственно копирование.
[Main]
Server_address=АДРЕС СЕРВЕРА
md «%APPDATA%\CommFort\Default\Config\»
copy «ОБЩИЙ ПУТЬ К INI-ФАЙЛУ» «%APPDATA%\CommFort\Default\Config\Network.ini»
Далее перейдите к редактору управления созданной ранее групповой политикой (аналогично предыдущему этапу). Выберите «Конфигурация пользователя > Политики > Конфигурация Windows > Сценарии (вход/выход из системы) > Вход в систему», нажмите правой кнопкой и «Свойства»:
В отобразившемся окне нажмите «Добавить»:
Нажмите «Обзор» и укажите сетевой путь доступный пользователям к командному файлу, созданному ранее:
Для вступления изменений в силу выполните команду «gpupdate /force»:
После перезапуска клиентских компьютеров пользователям будет скопирован конфигурационный файл, содержащий адрес сервера.
Настройка автоматической авторизации на сервере
На серверной стороне CommFort’а перейдите к меню «Настройка > Конфигурация сервера > Авторизация»:
Для полностью автоматической регистрации необходимо снять галочки с доступных дополнительных шагов при регистрации пользователя и включить автоматическое назначение имени. Отметьте галочку «Заблокировать изменение имени пользователем», если желаете, чтобы имя назначалось по выбранному параметру всем, включая уже зарегистрированных пользователей и чтобы изменить имя возможности не было.
При выборе способа автоматического заполнения учитывайте, что имя у каждого пользователя обязательно должно быть уникальным и максимальная его длина не будет превышать 80 символов (в случае превышения имя автоматически обрезается).
Отметим, что защита учетных записей паролем может быть как включена, так и отключена. Если она включена, то на клиентской стороне при регистрации сохранится хэш-код сгенерированного на сервере пароля. Таким образом, другой пользователь не сможет использовать это имя. Неудобство в том, что при переустановке ОС на клиенте или смене компьютера необходимо будет удалить учетную запись с сервера. Иначе повторная автоматическая регистрация будет невозможна из-за утери пароля. Вы можете отключить защиту паролем и тем самым избежать этого неудобства, но учетные записи окажутся не защищены от доступа со стороны других пользователей.
При подготовке материала использовались источники:
http://odminblog.ru/centralizovannaya-ustanovka-prilozhenij-v-domene-ad/
https://bozza.ru/art-145.html
https://www.commfort.com/ru/article-active-directory-install.shtml