Zasady grupy (GPO) na przykładzie Windows Server 2008 R2 – automatyczna instalacja oprogramowania

Wiemy już z poprzednich artykułów, że zasady grupy są narzędziem służącym do scentralizowanego zarządzania komputerami klienckim pracującymi w domenie Windows. Dzięki zasadom możemy, na przykład ograniczać użytkownikom dostęp do składaków systemu, zezwalać na uruchamianie tylko konkretnych aplikacji czy przekierowywać ich foldery w inne miejsce w sieci. Dzisiaj pokażę kolejne zastosowanie GPO, pozwalające na zdalną instalację oprogramowania na komputerach użytkowników.

Jako administratorzy często spotykamy się z sytuacją kiedy to musimy dokonać instalacji oprogramowania na wielu komputerach. Jest to proces czasochłonny, jeśli musielibyśmy wykonywać go ręcznie, na każdej stacji z osobna. Dzięki GPO możemy jednak ten proces zautomatyzować, instalując aplikację zdalnie, dzięki czemu możemy zaoszczędzić sobie sporo czasu.

Istnieje jednak jeden warunek. Aby oprogramowanie można było zainstalować zdalnie poprzez GPO to musi być ona zapisane w formacie .msi (Windows Installer). Niestety nie da się wykonać tej czynności z plikami .exe, jednak większość popularnych programów można już pobrać w wersji .msi lub też można pokusić się o samodzielnego przygotowanie takiego pakietu.

Tyle w kwestii wprowadzania, przejedźmy zatem do praktyki, ja dziś zdalną instalację pokażę na przykładzie aplikacji Google Chrome, która można pobrać w wersji .msi tutaj.

Po pobraniu aplikacji tworzymy folder na dysku C: serwera o nazwie instalki

instal

Przenosimy nasz plik .msi do stworzonego wcześniej folderu

instal3

Teraz musimy udostępnić ten folder w sieci, klikamy zatem prawym przyciskiem myszy w jego nazwę, wybieram Properties, klikam w zakładkę Sharing, następnie Advanced Sharing…,  zazanczamy opcję Share this folder i potwierdzamy OK (nie zmieniamy uprawnień do udostępnionego zasobu).

Przechodzimy do zarządzania Active Direcotry, w celu utworzenia jednostki organizacyjnej i umieszczeniu w niej komputera klienckiego, do którego przypiszemy zasadę. Uruchamiamy zatem konsolę Active Directory, klikając w START, wybieramy Administrative Tools i klikamy w Active Directory Users and Computers.

Prawym przyciskiem myszy klikamy w nazwę domeny (domowa.local), wybieramy New, następnie Organization Unit

instal4

Wpisujemy nazwę nowej jednostki (w moim przypadku apki) i klikamy OK

instal5

Klikamy teraz w folder computers, wybieramy komputer, dla którego zasad ma działać (w moim przypadku DOMOWY), kilkamy prawym przyciskiem myszy i wybieramy MOVE…

instal6

Zaznaczamy kontener apki i potwierdzamy klikając OK

instal7

Jak widać komputer o nazwie DOMOWY został prześniony do jednostki apki

instal8

Przechodzimy teraz do edytora zasad grup, klikamy w START, wybieramy Administrative Tools i klikamy w Group Policy Management (możemy również kliknąć START, wybrać Run… i wpisać gpedit.msc).

Rozwijamy element Forest, następnie Domains i domowa.local. Klikamy prawym przyciskiem myszy w folder Group Policy Objects i wybieramy New

instal9

Wpisujemy nazwę naszej zasady (w moim przypadku instalacja) i klikamy przycisk OK

instal10

Klikamy teraz w nazwę naszej zasady, zaznaczamy Authenticated Users i wybieramy Remove

instal11

Klikamy Add…, następnie Object Types, zaznaczamy Computers, odznaczamy pozostałe elementy i klikamy OK

instal12

Wpisujemy nazwę naszego komputera, klikamy Check Names i jeśli system nie pokaże błędów klikamy OK

instal13

Jak widać nasza zasada będzie działała tylko dla komputera o nazwie DOMOWY

instal14

Przechodzimy teraz do zakładki Settings i klikając prawym przyciskiem myszy wybieramy Edit…

instal15

Rozwijamy element Computer Configuration-> Policies -> Software Settings i klikamy Software installation, następnie klikamy prawnym przyciskiem myszy w wolne pole i wybieramy New -> Package…

instal16

Wpisujemy ścieżkę sieciową do naszego pliku instalacyjnego (WAŻNE! Nie możemy wskazać bezpośredniego folderu na dysku ponieważ wówczas zasad nie zadziała, musimy wskazać nasz pakiet .msi z poziomu udostępnionego zasobu!), zaznaczamy plik i klikamy Open

instal17

Nie zmieniamy domyślnych opcji w nowym oknie i zatwierdzamy przyciskiem OK

instal18

Jak widać pakiet został dodany, zwróćcie uwagę na źródło pakietu, nie jest wskazany folder na dysku C, tylko udostępniona ścieżka sieciowa (jeśli nie wiedzie jaka u Was jest ścieżka, kliknijcie prawym przyciskiem myszy na udostępniony folder i wybierzcie zakładkę Sharing, tam podana jest ścieżka)

instal19

Teraz musimy dokonać jeszcze jednej zmiany w GPO, która pozwoli na śledzenie procesu instalacji.

Rozwijamy element Adminstrative Tempates, klikamy w System i wyszukujemy opcji Verbose vs normal status messages

instal20

Klikamy dwukrotnie z tą opcję, zaznaczamy Enable i potwierdzamy przyciskiem OK

instal21

Jak widać na podsumowaniu zasady zostały przypisane właściwe

instal22

Teraz jeszcze podpinamy zasadę instalki do jednostki organizacyjnej apki, klikając prawym przyjściem myszy w nazwę jednostki i wybierając Link an Existing GPO…

instal23

Wybieramy zasadę instalacja i potwierdzamy OK

instal24

Logujemy się teraz na stację korzystając z dowolnego konto użytkownika domeny. Na tym etapie aplikacja Google Chrome się nie zainstalowała ponieważ musimy jeszcze odświeżyć zasady.

Uruchamiamy wiersz poleceń systemu i wpisujemy polecenie gpupdate /force. Po chwili system poprosi nas o ponownie uruchomienie, wpisuje T i restartujemy komputer

instalk1

Po restarcie komputera, ale przed oknem logowania pojawi się informacje o tym, że następuje proces instalacji Google Chrome

instal chrome

Jak widać proces instalacji przebiegł poprawnie, aplikacja została zainstalowana

instalk2

To tyle z mojej strony jeśli chodzi o zasady grupy. Jak widzicie jest to fajne narzędzie, które w łatwy sposób pozawala zarządzać komputerami. Proponuje aby każdy z Was samodzielnie spróbował zastosować GPO w różnej konfiguracji, z różnymi ustawieniami. Zapraszam do dzielenia się wrażeniami i spostrzeżeniami w komentarzach.

powrót do strony głównej