Wiemy już z poprzednich artykułów, że zasady grupy są narzędziem służącym do scentralizowanego zarządzania komputerami klienckim pracującymi w domenie Windows. Dzięki zasadom możemy, na przykład ograniczać użytkownikom dostęp do składaków systemu, zezwalać na uruchamianie tylko konkretnych aplikacji czy przekierowywać ich foldery w inne miejsce w sieci. Dzisiaj pokażę kolejne zastosowanie GPO, pozwalające na zdalną instalację oprogramowania na komputerach użytkowników.
Jako administratorzy często spotykamy się z sytuacją kiedy to musimy dokonać instalacji oprogramowania na wielu komputerach. Jest to proces czasochłonny, jeśli musielibyśmy wykonywać go ręcznie, na każdej stacji z osobna. Dzięki GPO możemy jednak ten proces zautomatyzować, instalując aplikację zdalnie, dzięki czemu możemy zaoszczędzić sobie sporo czasu.
Istnieje jednak jeden warunek. Aby oprogramowanie można było zainstalować zdalnie poprzez GPO to musi być ona zapisane w formacie .msi (Windows Installer). Niestety nie da się wykonać tej czynności z plikami .exe, jednak większość popularnych programów można już pobrać w wersji .msi lub też można pokusić się o samodzielnego przygotowanie takiego pakietu.
Tyle w kwestii wprowadzania, przejedźmy zatem do praktyki, ja dziś zdalną instalację pokażę na przykładzie aplikacji Google Chrome, która można pobrać w wersji .msi tutaj.
Po pobraniu aplikacji tworzymy folder na dysku C: serwera o nazwie instalki
Przenosimy nasz plik .msi do stworzonego wcześniej folderu
Teraz musimy udostępnić ten folder w sieci, klikamy zatem prawym przyciskiem myszy w jego nazwę, wybieram Properties, klikam w zakładkę Sharing, następnie Advanced Sharing…, zazanczamy opcję Share this folder i potwierdzamy OK (nie zmieniamy uprawnień do udostępnionego zasobu).
Przechodzimy do zarządzania Active Direcotry, w celu utworzenia jednostki organizacyjnej i umieszczeniu w niej komputera klienckiego, do którego przypiszemy zasadę. Uruchamiamy zatem konsolę Active Directory, klikając w START, wybieramy Administrative Tools i klikamy w Active Directory Users and Computers.
Prawym przyciskiem myszy klikamy w nazwę domeny (domowa.local), wybieramy New, następnie Organization Unit
Wpisujemy nazwę nowej jednostki (w moim przypadku apki) i klikamy OK
Klikamy teraz w folder computers, wybieramy komputer, dla którego zasad ma działać (w moim przypadku DOMOWY), kilkamy prawym przyciskiem myszy i wybieramy MOVE…
Zaznaczamy kontener apki i potwierdzamy klikając OK
Jak widać komputer o nazwie DOMOWY został prześniony do jednostki apki
Przechodzimy teraz do edytora zasad grup, klikamy w START, wybieramy Administrative Tools i klikamy w Group Policy Management (możemy również kliknąć START, wybrać Run… i wpisać gpedit.msc).
Rozwijamy element Forest, następnie Domains i domowa.local. Klikamy prawym przyciskiem myszy w folder Group Policy Objects i wybieramy New
Wpisujemy nazwę naszej zasady (w moim przypadku instalacja) i klikamy przycisk OK
Klikamy teraz w nazwę naszej zasady, zaznaczamy Authenticated Users i wybieramy Remove
Klikamy Add…, następnie Object Types, zaznaczamy Computers, odznaczamy pozostałe elementy i klikamy OK
[wp_ad_camp_3]
Wpisujemy nazwę naszego komputera, klikamy Check Names i jeśli system nie pokaże błędów klikamy OK
Jak widać nasza zasada będzie działała tylko dla komputera o nazwie DOMOWY
Przechodzimy teraz do zakładki Settings i klikając prawym przyciskiem myszy wybieramy Edit…
Rozwijamy element Computer Configuration-> Policies -> Software Settings i klikamy Software installation, następnie klikamy prawnym przyciskiem myszy w wolne pole i wybieramy New -> Package…
Wpisujemy ścieżkę sieciową do naszego pliku instalacyjnego (WAŻNE! Nie możemy wskazać bezpośredniego folderu na dysku ponieważ wówczas zasad nie zadziała, musimy wskazać nasz pakiet .msi z poziomu udostępnionego zasobu!), zaznaczamy plik i klikamy Open
Nie zmieniamy domyślnych opcji w nowym oknie i zatwierdzamy przyciskiem OK
Jak widać pakiet został dodany, zwróćcie uwagę na źródło pakietu, nie jest wskazany folder na dysku C, tylko udostępniona ścieżka sieciowa (jeśli nie wiedzie jaka u Was jest ścieżka, kliknijcie prawym przyciskiem myszy na udostępniony folder i wybierzcie zakładkę Sharing, tam podana jest ścieżka)
Teraz musimy dokonać jeszcze jednej zmiany w GPO, która pozwoli na śledzenie procesu instalacji.
Rozwijamy element Adminstrative Tempates, klikamy w System i wyszukujemy opcji Verbose vs normal status messages
Klikamy dwukrotnie z tą opcję, zaznaczamy Enable i potwierdzamy przyciskiem OK
Jak widać na podsumowaniu zasady zostały przypisane właściwe
Teraz jeszcze podpinamy zasadę instalki do jednostki organizacyjnej apki, klikając prawym przyjściem myszy w nazwę jednostki i wybierając Link an Existing GPO…
Wybieramy zasadę instalacja i potwierdzamy OK
Logujemy się teraz na stację korzystając z dowolnego konto użytkownika domeny. Na tym etapie aplikacja Google Chrome się nie zainstalowała ponieważ musimy jeszcze odświeżyć zasady.
Uruchamiamy wiersz poleceń systemu i wpisujemy polecenie gpupdate /force. Po chwili system poprosi nas o ponownie uruchomienie, wpisuje T i restartujemy komputer
Po restarcie komputera, ale przed oknem logowania pojawi się informacje o tym, że następuje proces instalacji Google Chrome
Jak widać proces instalacji przebiegł poprawnie, aplikacja została zainstalowana
To tyle z mojej strony jeśli chodzi o zasady grupy. Jak widzicie jest to fajne narzędzie, które w łatwy sposób pozawala zarządzać komputerami. Proponuje aby każdy z Was samodzielnie spróbował zastosować GPO w różnej konfiguracji, z różnymi ustawieniami. Zapraszam do dzielenia się wrażeniami i spostrzeżeniami w komentarzach.