Прежде чем приступить к описанию процесса установки ПО с помощью групповых политик, оговорим, что распространение ПО на с помощью политик не всегда является оптимальным решением и имеет ряд ограничений. Вот несколько основных недостатков этого метода установки софта:
1. Невозможность планирования установки ПО. При установке софта при помощи групповой политики, установить или деинсталлировать ПО можно только при следующей загрузке системы. Поэтому практически невозможно, организовать массовое обновление какого-либо ПО, например, в ночное время, когда нагрузка на сеть минимальная. В этом случае лучше использовать, например, SCCM. Используя окна обслуживания (maintenance) или настройки WOL(Wake On LAN).
2. Поддерживаются только MSI и ZAP установщики. Формат дистрибуции приложений в групповых политиках– это лишь популярный MSI installer и менее известные пакеты ZAP. В этом случае опять предпочтительнее использование SCCM, т.к. он поддерживает использование всех возможных установщиков.
3. Фиксированный порядок установки приложений. При добавления нового приложения в объект групповой политики, оно устанавливается на ПК последним, и поменять этот порядок нельзя.
4. Отсутствие контроля. При установке ПО через групповую политику, пакет установщика выполняется на целевом компьютере, однако какая-либо обратная связь отсутствует. Поэтому вы с уверенностью не сможете сказать установилось ли ваше ПО на конкретном компьютере или нет.
Итак, после того, как вы познакомились с основными недостатками установки софта средствами групповых политик, перейдем к конкретному примеру. Отметим, что с помощью групповых политик правильно было бы устанавливать общесистемное ПО, которое используется на всех ПК организации, это может быть, например, антивирусный агент, клиент SCCM или InTune. В данной статье мы будем описывать установку агента InTune.
Windows InTune – это новый сервис Microsoft, предназначенный для служб ИТ, позволяющий управлять и осуществлять мониторинг компьютеров с помощью веб консоли. Этот сервис зачастую называют «облачным» SCCM, причем эта облачная служба позволяет управлять множеством рабочих станций без необходимости создания серверной инфраструктуры.
Т.к. ни одна из компонент InTune не устанавливается на сервера, поэтому все что нужно – это расставить клиентов InTune на рабочих станциях. Естественно, его можно расставить вручную, но если в вашей организации больше чем 10 ПК, то это может превратиться в головную боль. Поэтому мы попытаемся организовать процесс установки Windows InTune с помощью групповых политик.
Настраиваем дистрибутив для установки с помощью Group Policy
1. Качаем дистрибутив клиента InTune Client.
2. Жмем правой кнопкой по файлу “Windows_Intune_Setup.zip” и выбираем “Extract All”
3. Распаковываем содержимое файла Windows_Intune_Setup.exe в текущую папку, набрав команду “Windows_Intune_Setup.exe /extract .”.
4. Копируем файлы (список их ниже) на сетевую папку, с которой будет производиться установка.
Совет: Для корректной работы необходимо, чтобы группа “Domain Computers” имела права на чтение из указанной сетевой папки, иначе ПК организации не смогут скачать и установить эти файлы.
Настраиваем групповую политику для установки ПО
5. Перейдите в режим редактирования групповой политики, применяемой к целевым компьютерам, на которые вы хотите установить клиент InTune.
6. Перейдите в раздел “Computer Configuration > Policies > Software Settings > Software installation”. Щелкните правой кнопкой по элементу “Software installation”, выберите “New>Packages”
7. Выберите сетевую папку, в которую вы поместили файлы установщика, найдите и укажите файл “Windows_Intune_X64.msi” и затем нажмите “Open”
8. Выберите опцию “Advanced” и нажмите “OK”
9. Т.к. в данном случае мы устанавливаем 64 битную версию клиента,рекомендуется добавить к имени приложения постфикс “x64”.
10. Согласимся с настройками по-умолчанию и нажмем “OK”
В результате у вас получится примерно такая картинка.
И данное ПО будет установлено на компьютеры, к котором применяется данная политика, при следующей перезагрузке ПК.
А как сделать чтобы отображалось «Installing managed software …» в 7?
Или аналог отображения процесса загрузки 2008ого сервера, когда отображается текущий этап?
А то постоянно появляется только «Пожалуйста подождите»
Чтобы отобразить надпись «Installing managed software», нужно включить политику Computer Configuration ->Policies -> Administrative Templates -> System -> Verbose vs normal status messages (ставим enabled).
В этом случае при загрузке компьютера будет выводится подробная информация о процессе применения групповой политики на клиенте (If you enable this setting, the system displays status messages that reflect each step in the process of starting, shutting down, logging on, or logging off the system.
This setting is designed for sophisticated users that require this information.).
А вот такой момент. Поставил я софтину. А ушлый пользователь ее снес
«Оно само, я ничего не делал»
Как заставить политику установки отработать еще раз на этой рабочей станции?
Тоже самое касается обновлений софта.
Создать новую политику? И опять накрыть всех кто попадает под ее действие?
Наверняка же нет, просто туплю … пятница сегодня.
Забрать у пользователя права админа и снести руками ключ для приложения из HKLM\Software\Microsoft\Windows\Current Version\Group Policy\AppMgmt
При следующей загрузке системе , приложение установится заново
Понятно. Только в том ключе «абракадабра» и понять какое значение за какой софт отвечает слегка не очевидно 🙂
Computer Configuration ->Policies -> Administrative Templates -> System -> Verbose vs normal status messages
Это в 2008 так. А в 2012 это теперь
Computer Configuration ->Policies -> Administrative Templates -> System -> Display highly detailed status messages
This policy setting directs the system to display highly detailed status messages.
This policy setting is designed for advanced users who require this information.
If you enable this policy setting, the system displays status messages that reflect each step in the process of starting, shutting down, logging on, or logging off the system.
If you disable or do not configure this policy setting, only the default status messages are displayed to the user during these processes.
Note: This policy setting is ignored if the «»Remove Boot/Shutdown/Logon/Logoff status messages»» policy setting is enabled.
Ой только заметил коммент 🙂 Правда уже нашел параметр реестра и через gpp раскидал на нужные компьютеры
Но тоже пригодится, спасибо 🙂
А что делать, если при попытке установить ПО при следующем входе в систему у пользователей оно не устанавливается и в журнале событий фигурируют события: 101 103 108 и 1112. Шара доступна каждому пользователю, а такие параметры, как: Всегда ждать сеть при запуске и входе в систему и Указать время ожидания при обработке политики загрузки не помогают?
Сработает ли такая политика, если компьютер-член домена был унесен домой? К работе подключается через опен-впн. После подключения пользователь заходит на общие шары, и вводит доменные логин-пароль.
У вас VPN туннель устанавливается уже после входа в Windows, верно?
Значит логон политики в принципе не смогут отработать на нем.
Добрый день!
У меня отсутствует ветка-Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Групповая политика \ Время ожидания при обработке политики загрузки\ в редакторе ГП на контроллере.
Как ее добавить, через шаблоны какие то?
Вы редактируете GPO непосредственно с сервера? Какая версия Windows Server на DC?