Централизованная установка ПО средствами групповой политики в домене Windows 2008

Материал из RSU WiKi

Перейти к: навигация, поиск

Содержание

Политики приложений

С помощью Group Policy можно реализовать два варианта развертывания приложений:

  • Публикация - приложение появляется в оснастке Add or Remove Programs панели управления, так что вопрос о том, следует ли устанавливать данное приложение, решает сам пользователь.
  • Назначение - приложение появляется в меню Start на рабочем столе пользователя, как если бы оно уже было установлено. Затем, когда пользователь запускает приложение в первый раз, программа установки выполняет процедуру оперативной инсталляции (just-in-time — JIT- installation) программы из сетевой общедоступной дистрибутивной папки.

Создание GPO

Требуется открыть окно оснастки Active Directory Users and Computers консоли Microsoft Management Console (MMC), щелкнуть правой кнопкой мыши на домене или на организационной единице, к которой нужно применить избранную политику, и далее щелкнуть на пункте Properties. Перейдя на закладку Group Policy, следует создать новый объект GPO или выбрать один из существующих и щелкнуть на кнопке Edit.

Создавать пакеты для развертывания приложений нужно на ветви политики Software Settings\Software Installation, расположенной под ветвями Computer Configuration и User Configuration.

  • Computer Configuration для развертывания приложений на компьютерах. Можно только назначать приложения.
  • User Configuration для развертывания приложений по учетным записям пользователей. Можно назначать и опубликовать приложение.

Чтобы создать политику пакета, правой клавишей мыши требуется щелкнуть на ветви Software Installation под ветвью Computer Configuration или User Configuration и выбрать элементы New и Package. В диалоговом окне Open нужно указать путь к файлу пакета (.msi) в общей папке.

Важно! Хотя добавленные групповые политику пакетов отображаются в алфавитном порядке, применяются они в порядке добавления.

Закладка Deployment

Установка ПО

JRE 1.6

  1. Загрузить и запустить установочный файл JRE,
  2. Перейти к C:\Documents and Settings\<пользователь>\Local Settings\ApplicationData\Sun\Java\jre1.6.0_05\ (для Windows XP),
  3. Скопировать папку с .msi, .cab и др. в общую папку,
  4. В качестве файла политики приложения использовать .msi.

Open Office 3.1

  1. Загрузить и распаковать установочный файл на рабочий стол по умолчанию и отклонить предложение об установке,
  2. Перейти к папке с содержимым архива,
  3. Скопировать установочные файлы в общую папку,
  4. В качестве файла политики приложения использовать .msi.

Adobe Reader 9.1

Скачиваем с сайта Adobe msi-дистрибутив

Mozilla Firefox и настройка его параметров средствами GPO

  • Идем на сайт Frontmotion в раздел с патченной версией FF: http://frontmotion.com/FMFirefoxCE/download_fmfirefoxce.htm
  • Берем с него актуальные версии MSI-установщика Firefox Community Edition и административного шаблона firefox.adm
  • Внимательно смотрим на то, что скачали с сайта и убеждаемся, что огнелис все-таки с суффиксом "CE", это важно.
  • Деплоим FF средствами домена.
  • Создаем соответствующую политику, добавляем в нее шаблон firefox.adm.
  • Правим административный шаблон по своему желанию.
  • Применяем политику (gpupdate /force).

Kaspersky Antivirus 6.0

Распаковываем дистрибутив в общую папку, в нее же (рядом с msi-файлом) кладем лицензионный ключ и конфигурационный файл с именем Install.cfg (имя важно!).

Установка касперского без GPO со всем настройками:

Запрет выполнения определенных программ

Возможно линия партии перестала быть благосклонной к использованию пиратского и другого неправославного ПО или оснастка kaspersky administration kit честно указывает на 3 пиратских фотошопа/корела/файнридера разных версий на каждом ПК и разнообразие ни каким боком не относящихся к работе игр. В том или ином случае возникают ситуации, когда определенное ПО необходимо запретить к использованию. Лучшим решением этой проблемы предоставляются групповые политики (Group Policy) домена AD. Запрет реализуется следующим образом:

В интересующем нас контейнере создаем новый объект GPO и редактируем его. Идем в

Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ

В новой политике правой кнопкой мышки по пункту Политики ограниченного использования программ -> Создать политику ограниченного использования программ.

В полученной политике перейдите в Дополнительные правила.

Хотя оснастка предоставляет различные варианты правил запрета, наш выбор создания правила по хешу приложения обусловлен тем, что на компьютерах, попадающих под данную Group Policy, выполнение указанных программ будет более невозможно безотносительно того, где они расположены. Это удобно при необходимости запретить ПО, не требующее установки, например portable-софт и некотороые виды игр.

Создаем новое правило по хешу, нажимаем "Обзор" и выбираем исполняемый файл программы, который хотим запретить для выполнения. Удобно что при обзоре исполняемый файл можно указать по сети.

Сервер автоматически применяеn gолитику в течение часа. Также ее можно принудительно применить с помошью команды: 

gpupdate /force

Источники

Источник — «http://wiki.rsu.edu.ru/index.php/%D0%A6%D0%B5%D0%BD%D1%82%D1%80%D0%B0%D0%BB%D0%B8%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%BD%D0%B0%D1%8F_%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_%D0%9F%D0%9E_%D1%81%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B2%D0%B0%D0%BC%D0%B8_%D0%B3%D1%80%D1%83%D0%BF%D0%BF%D0%BE%D0%B2%D0%BE%D0%B9_%D0%BF%D0%BE%D0%BB%D0%B8%D1%82%D0%B8%D0%BA%D0%B8_%D0%B2_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%B5_Windows_2008»