Установка программ через AD GPO
Доброго времени, уважаемые читатели блога! В данном посте буду собирать ссылки на софт, который удалось заставить устанавливаться или обновляться через GPO Active Directory. Админ, однако, очень не любит ручной труд, который можно автоматизировать, особенно если он однообразен и нуден…
Очень часто выходят обновления для таких компонентов, как Adobe Flash, которые являются потенциальной дырой в браузерах пользователей. Заставить устанавливать такой компонент – пользователя равносильно тому, что совсем его не обновлять. К тому же, необходимы права администратора для данного действия, а пользователь работающий под админом в сети предприятия – это зло, которое так и пытается положить вашу сеть при очередной посещении зловредных ресурсов. И Adobe Flash – это не единственный пример. Посему мы упростим работу себе и обеспечим актуальное состояние софта на рабочих станциях в сети.
Кратко расскажу о установке программ средствами групповых политик Active Directory, назначение пакетов MSI компьютерам (assigning to computer) (взято отсюда):
Задание:
- скопируйте к себе на компьютер файл Microsoft Installer (MSI) программного обеспечения Wininstaller. Поместите этот файл в каталог C:\Distrib на своем компьютере и расшарьте его как \\имя_вашего_компьютера\Distrib$;
- создайте групповую политику WinInstaller, которая бы устанавливала программное обеспечение Wininstaller на все компьютеры вашего домена в режиме назначения для компьютера и произведите установку при помощи этой групповой политики на свой компьютер.
Решение:
- После создания общего каталога и копирования откройте Group Policy Management Console, щелкните правой кнопкой мыши по узлу вашего домена и в контекстном меню выберите Create and Link a GPO here. Присвойте создаваемое групповой политике название Wininstaller.
- Щелкните правой кнопкой мыши по объекту созданной групповой политики и в контекстном меню выберите Edit. В окне Group Policy Object Editor раскройте узел Computer Configuration -> Software Settings -> Software installation, щелкните правой кнопкой мыши по узлу Software Installation и в контекстном меню выберите New -> Package.
- В окне Open введите путь к пакету MSI: \\имя_вашего_компьютера\Distrib$\SWIADMLE.MSI и нажмите Open.
- В окне Deploy Software установите переключатель в положение Advanced и нажмите OK.
- В окне WinInstall Properties просмотрите все вкладки и нажмите OK. Закройте окна Group Policy Object Editor и Group Policy Management Console с сохранением внесенных изменений и перезагрузите компьютер. В процессе запуска обратите внимание на строку Installing Managed Software WinInstall, которая появится после строки Applying Computer Settings.
- После окончания перезагрузки обратите внимание, что в меню Programs появилась новая группа программ.
Если есть желание углубиться в познание AD и GPO, можно ознакомиться с курсом: http://www.intuit.ru/department/os/sysadmswin/, или http://www.intuit.ru/goto/course/netmsserver2003/
Ну что ж, начнем с добычу пакетов MSI:
7-Zip – http://www.7-zip.org/download.html (так же, для пользователя применил скрипт Ассоциации файлов и локализация 7-zip)
Adobe Flash Player – http://www.adobe.com/products/flashplayer/fp_distribution3.html (по ссылке и Flash Plugin и ActiveX)
Adobe Reader – https://acrobat.adobe.com/ru/ru/acrobat/pdf-reader/volume-distribution.html (необходимо оформить бесплатную лицензию)
ftp://ftp.adobe.com/pub/adobe/reader/win/AcrobatDC/1902120058/
(обновления версий в подкаталогах) наложение обновлений Reader:
> mkdir C:\Temp\AdobeReader
> cd C:\Temp\AdobeReader
> msiexec /a AdbeRdr1000_ru_RU.msi TARGETDIR=c:\Temp\AdobeReader\Updated
> msiexec /a c:\Temp\Adobe\Updated\AdbeRdr1000_ru_RU.msi /p C:\Temp\AdobeReader\AdbeRdrUpd1001_Tier4.msp
Google Chrome – https://www.google.com/intl/en/chrome/business/
JAVA – http://www.java.com/ru/download/ (после распаковки инсталлера, msi в C:\Users\<User>\AppData\LocalLow\Sun\, инструкшн: http://www.java.com/ru/download/help/msi_install.xml)
Mozilla Firefox – http://frontmotion.com/FMFirefoxCE/download_fmfirefoxce.htm
Notepad++ – https://www.hass.de/content/notepad-msi-package-enterprise-deployment-available
OpenOffice – http://www.i-rs.ru/download или http://ru.openoffice.org/ (после распаковки установщика – готовый MSI)
Примечание, возможна ошибка установки OpenOffice на Windows 7.
Opera – http://ftp.opera.com/pub/opera/win/ (в каталоге _версия_/autoupdate лежит MSI)
Paint.NET – exe берем отсюда: http://paintnet.ru/download/, MSI создаем по инструкции: http://paint-dot-net.narod.ru/help_ru/p5_Install.htm:
> mkdir C:\Temp\PaintNET
> cd C:\Temp\PaintNET
> C:\Temp\PaintNET\PaintNET.exe /createMsi CHECKFORUPDATES=0
> забираем готовые MSI с рабочего стола
ДубльГИС – http://krasnodar.2gis.ru/how-get/download/ (мануал http://help.2gis.ru/pc/full/install/corporative/)
Upd 2011.07.01: добавил Opera
Upd 2012.02.23: добавил Chrome
Upd 2018.07.24: добавил Notepad++
С Уважением, Mc.Sim!
Другие материалы в категории Active Directory
- Ошибка установки OpenOffice 3 на Windows 7 через MSI и GPO
- SQUID аутентификация (Kerberos и LDAP) на основе доменных групп Active Directory
- Аутентификация и авторизация squid (basic, Digest, NTLM, negotiate)
- HOWTO Active Directory 2008 R2 как Kerberos KDC для NFSv4
- Samba, как член домена Active Directory
- Установка программ через AD GPO
Отлично, а побольше цылок и список МСИ мона добавить, если правда таковые имеются. Заранее спасибо.
П.С. Всегда задовался вопросом по автоустновке пакетов для Adobe примочек, но так и не дошли руки. А тут такое… прям ценный груз…
Пожалуйста!
Ссылки будут пополняться по мере нахождения. Пока только это.
Приходите еще
Добавил данный сайт в источник своего мануала…. очень уж тут хорошо и полно все расписано… читаемс все статьи Вашего блока….
На неделе статью о САМБЕ завершу. Так что заходите !
большое спасибо за статью.
Но при попытки создания msi пакета из exe файла заточенного под x32 ничего не происходить, никаких файликов не создается.
как быть?
прошу оказать содействие.
Пожалуйста. А для какого установщика пакет создаете?
обновления для xp.(Обновление системы безопасности для ОС Windows XP (KB924270))
http://www.microsoft.com/downloads/ru-ru/details.aspx?FamilyID=F4C8E767-4ED2-4E36-AA43-612F3017EFC7
или для таких обновлений такой способ перевода в msi не применить?
Такие весчи нужно устанавливать через WSUS.
ради одного обновления ставить wsus?
Ради одного обновления конечно не обязательно. Про WSUS я в общем сказал, что обновления венды автоматически ставятся через WSUS. А для распространения одной заплатки я к сожалению не вижу выхода, кроме как вручную. Либо сразу Сервис Пак 3 ставить, в который данный фикс уже входит.
sp3 нельзя ставить т.к. компас для бухгалтерии неадекватно работают(как говорят админы занимаю им).
(нашла продуктexe to msi convertor), но платный
я так и не поняла (C:\Temp\PaintNET\PaintNET.exe /createMsi CHECKFORUPDATES=0) нельзя воспользоваться именно из-за того что exe x86?
не понял вопроса…
почему не создаются файлы msi из exe (Обновление системы безопасности для ОС Windows XP (KB924270)) используя /createMsi + доп ключи?
Видимо потому что данный ехе`шник не поддерживает создание MSI пакета. Мелкософтные обновления вообще вроде бы как не поддерживают создание MSI пакетов.
Спасибо за данный способ, буду иметь в виду , сейчас на 160 компах обновляю программы через WSUS.
Через WSUS можно обновлять продукты только от Microsoft. (в очень редких исключениях – не только Microsoft, но за эти возможности необходимо платить)
На некоторых ПК под Windows 7 иногда перестает нормально ставиться софт через GPO (В логах: Ошибка %%2 ERROR_FILE_NOT_FOUND http://msdn.microsoft.com/en-us/library/ms681382%28v=vs.85%29.aspx ).
Опытным путем мною было найдено решение этой проблемы: нужно удалить ветку реестра «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\».
Дополнительно, если нужно переустановить какой-либо конкретный софт удаляем его раздел (Например {04c4dc73-629f-4c3d-bf4b-851d163ad58e}) из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\AppMgmt\
Далее на машине выполняем “Gpupdate /force /boot” (возможно потребуется 2 перезагрузки)
p.s.: Осталось только выяснить причины этого глюка…
Спасибо за комментарий, Антон.
Я, к сожалению, с такой проблемой не сталкивался… Но на будующее- очень полезно.
поясните чайнику, что значит эта строчка?
[code]> mkdir C:\Temp\AdobeReader
> cd C:\Temp\AdobeReader
> msiexec /a AdbeRdr1000_ru_RU.msi TARGETDIR=c:\Temp\AdobeReader\Updated
> msiexec /a c:\Temp\Adobe\Updated\AdbeRdr1000_ru_RU.msi /p C:\Temp\AdobeReader\AdbeRdrUpd1001_Tier4.msp[/code]
сверху вниз:
создать каталог C:\Temp\AdobeReader
перейти в каталог C:\Temp\AdobeReader
запустить msiexec /a AdbeRdr1000_ru_RU.msi TARGETDIR=c:\Temp\AdobeReader\Updated
запустить msiexec /a c:\Temp\Adobe\Updated\AdbeRdr1000_ru_RU.msi /p C:\Temp\AdobeReader\AdbeRdrUpd1001_Tier4.msp
Что именно непонятно?
Вроде дела все по вашей инструкци. Но при это ничего не устанавливается. На лок компах win 7. Подскажите плз что и где смотреть?
посмотрите логи рабочих станций на предмет ошибок.
Добрый день, прошу прощения за то, что пишу не в ту тему, которую нужно, но я хотел бы поинтересоваться вот чем. Я собрал squid с поддержкой ssl, сгенерировал сертификат и столкнулся с необходимостью импортировать это сертификат всем клиентам в браузер Mozilla Firefox. Хотелось бы осуществить это с помощью групповых политик, но вот данной опции я что-то не нахожу. Может вы сможете дать мне какую-либо информацию по этому поводу? С Уважением, ваш подписчик!
Добрый день.
Я нашел некоторую информацию, которая, возможно, вам поможет:
http://help-icc.untangle.com/Content/User%20Guide/UI_Tabs/SSLCertificateGPO_v4/3_Mozilla%20Firefox.htm
Стараюсь поставить 7 zip. Вроде делаю все по инструкции. Но 7 zip установился только на контролер домена, а на остальные ПК не ставится((. куда смотреть? спасибо.
Смотреть в Event Viewer. Какие ошибки?
Пытаюсь по Вашей инструкции развернуть PDF24-Creator 7.0
В логе вижу:
Product: PDF24 Creator — Error 1722. There is a problem with this Windows Installer package. A program run as part of the setup did not finish as expected. Contact your support personnel or package vendor. Action Install_Printer_FAX_XP, location: C:\Program Files\PDF24\PrinterInstall.exe, command: -printerName “PDF24 Fax” -portName “\\.\pipe\FaxPrint” -infName “PDF24” -driverName “PDF24” installPrinter installCompatiblePrinter -ppd “C:\Program Files\PDF24\printerInstall/xp/pdf24.ppd” -inf “C:\Program Files\PDF24\printerInstall/xp/pdf24.ppd” -log “C:\Program Files\PDF24\faxPrnInst.log”
На сайте разработчика вижу параметры запуска msi-пакета:
/qn – No interface
/qb – Basic interface – just a small progress dialog
/qb! – Like /qb, but hide the Cancel button
/qr – Reduced interface – display all dialogs that don’t require user interaction (skip all modal dialogs)
/qn+ – Like /qn, but display “Completed” dialog at the end
/qb+ – Like /qb, but display “Completed” dialog at the end
Не могу понять, где в политике можно эти параметры запуска указать…
Кто-нибудь сталкивался с подобым?
Я думаю, что данный MSI пакет не имеет возможности установки без ключей.
Для того, чтобы сделать файл ответов MST, советую воспользоваться MSI-редактором Orca.
Добрый день! Огромное спасибо за статью, очень полезная!
Скажите, а как вам современные аналоги программ для удалённого развёртывания. Вроде того что предлагает Total Software Deployment или Lansweper? Есть ли смысл за них платить ?
Смысл есть платить только за то, за что вы ясно понимаете, что вы за эти деньги получаете.
В данный момент меня, например, вполне устраивает Active Directory )
Чего Вам не хватает в AD?
для 7-8-9-10 и серверных ос я ставил следующие значения
(VersionNT< 1100) or (SETUP_USED=1) or Installed
версия ОО 4.1.2