Удаленно установить программу на компьютер в домене

Работая системным администратором, часто сталкиваешься с необходимостью удаленной установки каких-либо программ. Что-то массовое может быть установлено через групповые политики, что-то единичное приходится устанавливать с помощью непосредственного управления целевым компьютером.

Однако, с тех пор, как в нашей ультраконсервативной конторе стали появлятся компьютеры с более новой, чем XP, версией Windows, возникла проблема: удаленный помощник Windows Server 2003 (который итак никого, в общем-то, не устраивал) не мог подключиться к более поздним версиям ОС. Конечно, у нас оставался старый добрый «Удаленный рабочий стол», но иногда ведь нужно увидеть именно то, что видит на своем рабочем столе пользователь. При этом политика безопасности конторы требовала использовать минимум стороннего софта.

После долгих поисков, было установлено, что подключиться к сеансу Windows 7 из сеанса Windows Server 2003 без какой-либо сторонней утилиты не получится. Конкурс на самую бесплатную утилиту удаленного управления выиграла UltraVNC. Именно на ее примере ниже будет рассмотрен способ удаленной тихой установки программ без использования сторонних утилит.

Установка программ через SCCM

Постановка задачи

Для все той же минимизации присутствия левого софта на компьютерах предприятия, решено было не толкать установку UltraVNC через политики. При этом не было никакого желания на каждый компьютер, где требуется подключиться в сеанс пользователя, подключаться через «удаленный рабочий стол» для установки UltraVNC.

Так и возникла задача — организовать удаленную установку программы X на компьютер Y по требованию. В результате работы сначала явился на свет файл install.bat, способный совершить тихую установку-настройку требуемой программы, а затем был придуман и способ запустить такую установку на удаленном компьютере совершенно без использования сторонних утилит (remote-install.bat).

Тихая установка UltraVNC

Скрипт позволяет быстро и без лишнего шума установить UltraVNC при запуске с администраторскими правами на целевой машине.

Удаленный запуск тихой установки

Немаловажное

• соответственно названные дистрибутивы для 32 и 64-битных систем — UltraVNC1191(x86).exe и UltraVNC1191(x64).exe
• заранее заготовленный файл с настройками будущего UltraVNC сервера — ultravnc.ini (можно взять из уже установленной и настроенной копии программы на любом компьютере)
• файл с опциями установки — uvncinstall.inf. У меня он такой:

Данные bat-скрипты позволили беспрепятственно устанавливать UltraVNC не только на компьютеры с Windows 7, но и на проблемные (с точки зрения «удаленного помощника») компьютеры с Windows XP, а впоследствии и на компьютеры с Windows 8. При желании и наличии напильника, с помощью этих скриптов также можно установить и другие программы — лишь бы была «тихая» установка.

Ключевой особенностью этого способа установки стало именно использование schtasks для создания, запуска и удаления заданий после их завершения. Остальное содержимое скриптов — проверки, перестраховки и всяческие ленивости для минимизации ручного и умственного труда при необходимости установки UltraVNC на очередной компьютер.

Дистанционного управления компьютером в домене

Предлагаю программу для администраторов — Rinstall (скачать можно здесь). Она решает следующие задачи:

1. Удалённое администрирование
2. Удалённое выполнение команд
3. Удалённая установка приложений

Настройки программы читаются при её запуске из файла rinstall.ini, который может находиться в каталогах «%PROGRAMFILES%Rinstall» и «%USERPROFILE%Rinstall» (последний приоритетнее).

1. Удалённое администрирование

1. [Info] — получить информацию о системе.
2. [Soft] — получить список установленного ПО.
3. [CM] — запустить консоль управления компьютером.
4. [CMD] — запустить удалённый шелл.
5. [CMRC] — подключиться через клиента Configuration Manager.
6. [RDP] — подключиться через удалённый рабочий стол.
7. [RA] — подключиться через удалённый помощник.
8. [VNC] — подключиться через TightVNC (Ctr+Alt+Shift+T — панель инструментов).
9. [Radmin] — подключиться через Radmin.
10. [Resource] — открыть удалённый ресурс.
11. [Space] — посмотреть, чем занято место на дисках удалённого компьютера.

2. Удалённое выполнение команд

1. [Command] — команда (запускаемый файл: *.exe,*.bat, *.cmd, *.vbs, *.hta, и т.д.), выполняемая на удалённом компьютере. По умолчанию указана команда запуска диспетчера устройств.
2. [Args] — Аргументы (параметры/ключи) команды, если они нужны.
3. [x] Copy — копировать команду на удалённый компьютер (при этом нужно указать её полный путь на локальном компьютере).
4. [x] Hide — выполнить команду скрытно.
5. [x] Wait — ждать завершения команды.
6. [Far] — запустить Far.
7. [CMD] — запустить шелл.
8. [Autoruns] — запустить менеджер автозагрузки.
9. [Geek Uninstaller] — запустить менеджер деинсталляции.
10. [GPUpdate] — обновить групповые политики (с ключом /FORCE).
11. [Reset] — завершить все psexec-процессы.
12. [Renew] — обновить IP-адрес.
13. [Reboot] — перезагрузить компьютер.
14. [RunAsLnk] — создать ярлык для приложения, запускающегося от имени пользователя с правами администратора (используется бесплатная версия RunAsSpc).

Команды выполняются на удалённом компьютере с правами SYSTEM.

В качестве команд удобно запускать портативные приложения (не забываем ставить галочку Copy). Тут, правда, имеются непонятные проблемы с запуском SFX-архивов на удалённых компьютерах с 64-разрядной ОС…

3. Удалённая установка приложений

Папки с приложениями (Rel Path) размещаются внутри базового сетевого ресурса (Net Path). Доступ к нему осуществляется по учётным данным (Net User, Net Pass). Во время установки приложения на удалённом компьютере подключается сетевой диск (Net Disk).

Это вторая часть гайда по удаленной установке программ в домене. Первый из них уже был описан в статье « Установка программ в домене удаленно «. Там речь шла о размещении всех необходимых дистрибутивов в одной папке, с дальнейшим делегированием прав — для доступа к ней с любого компьютера. В этой же статье, хотелось бы рассмотреть немного иной подход.

Установка программ по сети с помощью групповых политик.

Не весь софт можно поставить таким методом, поэтому в данной статье собраны ссылки на софт, который удалось заставить устанавливаться или обновляться через Групповые политики ( GPO ) Active Directory .

Групповая политика — это набор правил или настроек, в соответствии с которыми производится настройка рабочей среды Windows . Групповые политики создаются в домене и реплицируются в рамках домена. Для того, чтобы это сделать, нужно выполнить ряд превентивных действий:

• скопировать к себе на компьютер файл Microsoft Installer ( MSI ) программного обеспечения Wininstaller . Поместить этот файл в каталог C:Distr на своем компьютере и расшарить его как \имя_нашего_компьютераDistr$ ; (как это сделать, было описано здесь )
• далее нужно создать групповую политику WinInstaller , которая бы устанавливала программное обеспечение Wininstaller на все компьютеры нашего домена.

Действуем следующим образом:

1. После того, как мы создали общий каталог и скопировали в него нужные файлы, нужно открыть Group Policy Management Console, щелкнуть правой кнопкой мыши по узлу нашего домена и в контекстном меню выберать Create and Link a GPO here . Присвоить групповой политике название Wininstaller .
2. Далее щелкаем правой кнопкой мыши по объекту созданной групповой политики и в контекстном меню выбираем Edit. В окне Group Policy Object Editor нужно раскрыть узел Computer Configuration -> Software Settings -> Software installation, щелкнуть правой кнопкой мыши по узлу Software Installation и в контекстном меню выбрать New -> Package.
3. В окне Open вводим путь к пакету MSI: \имя_нашего_компьютераDistr$SWIADMLE.MSI и нажимаем Open.
4. В окне Deploy Software устанавливаем переключатель в положение Advanced и нажимаем OK .
5. В окне WinInstall Properties смотрим все вкладки и нажимаем OK . Закрываем окна Group Policy Object Editor и Group Policy Management Console с сохранением внесенных изменений и перезагружаем компьютер. В процессе запуска следует обратить внимание на строку Installing Managed Software WinInstall , которая появится после строки Applying Computer Settings .
6. После окончания перезагрузки можно заметить, что в меню Programs появилась новая группа программ.

Теперь предварительные приготовления закончены и можно начинать добычу пакетов MSI :

(обновления версий в подкаталогах) наложение обновлений Reader: > mkdir C:TempAdobeReader > cd C:TempAdobeReader > msiexec /a AdbeRdr1000_ru_RU.msi TARGETDIR=c:TempAdobeReaderUpdated > msiexec /a c:TempAdobeUpdatedAdbeRdr1000_ru_RU.msi /p C:TempAdobeReaderAdbeRdrUpd1001_Tier4.msp

Системному администратору часто приходится устанавливать очень много различных программ и приложений на компьютеры сотрудников фирмы. Иногда число этих сотрудников слишком велико, или офис очень большой — для того, чтобы админ бегал по нему весь день и устанавливал эти программы. Это отнимает огромную кучу времени, которое можно потратить на более полезные вещи.

Как же помочь юзеру, не бегая к нему через весь офис, ради установки какого-нибудь google chrom -а?

Вариантов всегда несколько. В этой статье хотелось бы рассмотреть один из них.

Дистрибутивы в одной папке и DameWare для установки.

Настраиваем общую папку на сервере/личном компьютере. Создаем папку ( я назвал ее Distr ), заходим в ее свойства, вкладка: «Доступ» — кнопка «Общий доступ».

Выбираем из выпадающего списка пункт «Все» и устанавливаем ему права — «Чтение».

Далее наша папка расшарена и доступна для всех пользователей. Заливаем в нее все дистрибутивы, которые нам нужны.

Для проверки работоспособности папки — можем перейти по ее адресу и глянуть — все ли в порядке. Заходим на свой компьютер по smb:

1. вы должны знать имя своего компьютера. ( У меня это будет Feanor184 ).

2. Открываем любую папку на компьютере( например, «Мой компьютер»).

3. В верхней строке адреса — где написано ( ► Мой компьютер ► ) выделяем все, стираем и вводим: //feanor184/ и нажимаем Enter.

Открываем и видим все наши расшаренные папки.

Вся прелесть и смысл этой волокиты в том, что теперь мы можем попадать в эту папку с любого компьютера нашей офисной сети( при условии, что все компьютера в офисе находятся в одной сетке).

Ставим клиент DameWare.

Теперь нам нужно установить клиент DameWare . В его установке нет ничего сложного и необычного, ставится как обычная программа с официального сайта разработчика. Ставим самую последнюю версию — чтобы комфортно было работать с Windows 8.1 — если вдруг возникнет такая необходимость.

Процесс установки и детальной настройки я, возможно, опишу в ближайших статьях.

Перейдем непосредственно к цели нашей волокиты. Мы имеем DameWare и расшаренную папку. Теперь мы можем подключиться к любому компьютеру в нашей сети и установить нужный нам софт из расшаренной папки со своими правами.

Запускам клиент DameWare и видим следующее окно:
В поле Host — вбиваем имя компьютера пользователя( или его Ip адресс), к которому мы хотим подключиться и установить программу.

User Id — наш логин в Домене.

Password — наш пароль в домене.

Domain — наш домен(актуально, если вдруг он не один).

( ВАЖНО! Чтобы мы могли подключиться к удаленному компьютеру подобным образом, у пользователя должен быть отключен Брандмауэр )

После этого мы попадаем к пользователю на компьютер, можем зайти в свою папку( //feanor184/distr/ ) и устанавливать любые программы.

Во второй части статьи будутт рассмотрены способы установки программ пользователям удаленно с помощью групповых доменных политик.

Загрузить PsTools(3,5 МБ)

Введение

Такие программы, как Telnet и программы удаленного управления, такие как PC Anywhere компании Symantec, позволяют выполнять программы на удаленных системах, но они могут быть нелегко настроены и требовать установки клиентского программного обеспечения на удаленных системах, к которым вы хотите получить доступ. PsExec — это облегченная замена Telnet, которая позволяет выполнять процессы в других системах, полностью интерактивно выполняемые с консольными приложениями, не требуя вручную устанавливать клиентское программное обеспечение. Наиболее эффективные варианты использования PsExec включают в себя запуск интерактивной командной строки для удаленных систем и средств удаленного включения, таких как IpConfig, которые в противном случае не могут показывать сведения об удаленных системах.

Примечание. Некоторые антивирусные сканеры сообщают о том, что один или несколько средств заражены вирусом «remote admin». Ни один из PsTools не содержит вирусов, но они использовались вирусами, поэтому они запускают уведомления о вирусах.

Установка

Просто скопируйте PsExec на путь к исполняемому файлу. При вводе PsExec отображается его синтаксис использования.

Использование программы PsExec

ознакомьтесь с разделом 2004 июля Windows ит Pro Magazine для получения статьи о пометке , посвященной расширенному использованию PsExec.

Приложения, имена которых содержат пробелы, можно заключать в кавычки, например

Если не указать имя пользователя, процесс будет выполняться в контексте вашей учетной записи в удаленной системе, но не будет иметь доступа к сетевым ресурсам (так как это олицетворение). Укажите допустимое имя пользователя в DomainUser синтаксисе, если удаленный процесс требует доступа к сетевым ресурсам или для запуска в другой учетной записи. Обратите внимание, что пароль и команда шифруются при передаче в удаленную систему.

Коды ошибок, возвращаемые PsExec, относятся к выполняемым приложениям, а не PsExec.

Примеры

В этой статье я написал Описание того, как работает PsExec и предоставляет советы по его использованию:

Следующая команда запускает интерактивную командную строку на \marklap :

Эта команда выполняет команду IpConfig в удаленной системе с /all параметром и отображает итоговый результат на локальном компьютере:

Эта команда копирует программу test.exe в удаленную систему и выполняет ее в интерактивном режиме:

Укажите полный путь к программе, которая уже установлена в удаленной системе, если она не находится в системном пути:

Запустите программу regedit в интерактивном режиме в системной учетной записи, чтобы просмотреть содержимое ключей SAM и безопасности:

Чтобы запустить Internet Explorer с правами ограниченного доступа пользователя, используйте следующую команду:

Загрузить PsTools(3,5 МБ)

PsExec является частью растущего комплекта средств командной строки Sysinternals, помогающих в администрировании локальных и удаленных систем с именем PsTools.

• Как создать слой в автокаде
• Как восстановить браузер на самсунг
• Как перейти в дискорд фанпея
• Где хранятся рабочие среды adobe premiere
• Ошибка при запуске дискорд

Источник: dr-web.ru

Как удаленно установить программу на компьютер в домене

WMI (инструментарий управления Windows) часто используется для управления системами Windows с помощью различных графических утилит — реализации стандарта объектно-ориентированного управления WBEM. Вы можете использовать wbemtest.exe как графическую утилиту для работы с WMI. Для работы с WMI из консоли создан wmic.exe. Мы будем использовать WMIC удаленно с учетными данными администратора домена, чтобы сканировать список узлов (ПК/ноутбуки) и устанавливать программное обеспечение, не прерывая работу пользователя. Хотя есть несколько продвинутых способов выполнить эту задачу, мы рассмотрим самый простой способ: установочный файл MSI, не требующий опций, находится на локальном диске каждого удаленного пользователя.

1. Список компонентов программного обеспечения WMI

Инструменты WMI устанавливаются по умолчанию и включают следующие компоненты:

• Wmimgmt.msc — это оснастка MMC, позволяющая управлять системой WMI на выбранном компьютере.
• Winmgmt.exe — это инструмент консоли управления WMI. Выполняет те же действия, что и консоль MMC wmimgmt.msc. Кроме того, Windows 2000 является исполняемым служебным файлом WMI в системе. Для запуска из консоли используется параметр /exe (winmgmt.exe /exe). Начиная с Windows XP исполняемый файл WMI представляет собой библиотеку wmisvc.dll, которая загружается с помощью хост-контроллера svchost.exe (общий хост-процесс для служб Win32). В Windows 7-10 winmgmt.exe позволяет настроить службу WMI как для группы SVChost под именем netsvcs, так и для отдельной группы Winmgmt. В Windows 10 группировка служб, запускаемых с помощью svchost.exe, практически не используется — у большинства служб есть свой процесс svchost.exe.
• Wbemtest.exe — это графическая утилита для интерактивной работы с WMI. Удобно для тестирования классов и методов, просмотра свойств и т. д.
• Wmic.exe — консольная утилита для вызова объектов и методов WMI (консоль WMI) — присутствует только в Windows XP и более поздних версиях Windows.
• Mofcomp.exe — это компилятор файлов MOF. Он используется для расширения репозитория WMI и тонкой работы с библиотекой классов WMI, а также для обнаружения и исправления ошибок данных репозитория.

Основным каталогом данных WMI для стандартной установки Windows является C:WindowsSystem32wbem.

2. Различные режимы запуска WMIC

WMIC можно использовать как в интерактивном, так и в пакетном режиме. Интерактивный режим удобен, когда оператор вводит последовательность команд WMIC, работая непосредственно за компьютером. Пакетный режим предназначен для запуска WMIC из пакетного файла или используется, когда требуется одна команда.

Чтобы запустить WMIC в интерактивном режиме, в окне «Пуск – Выполнить» или в командной строке введите:

(роль WMIC по умолчанию root cli).

По запросу вы можете ввести псевдоним, команду или переключатель, а также /? для отображения справочной информации.

Чтобы выйти из интерактивного режима, вы можете использовать команду «Выход» или «Выход».

Чтобы получить информацию об использовании WMIC в пакетном режиме, введите:

Ключ /? обеспечивает вывод справки (в этом случае управление будет возвращено в командную строку операционной системы). В пакетном режиме, а также в интерактивном режиме вы можете использовать псевдонимы, переключатели и команды.

3. Загрузите командную оболочку с соответствующими правами доступа

Хотя инструкции WMIC могут быть предоставлены с соответствующими учетными данными перед началом работы, обычно рекомендуется избегать ввода пароля открытым текстом (кто оглядывается через плечо;)). Мы выполним команду runas следующим образом:

runas /user:[email protected] cmd,
который запросит у нас учетные данные нашей учетной записи администратора домена. В случае успешной аутентификации мы получим шелл, работающий от имени администратора.

4. Войдите в WMIC удаленно, чтобы установить программное обеспечение

Одним из приятных преимуществ WMIC является то, что он может работать с любого компьютера. В нашей административной оболочке мы собираемся ввести wmic, а затем нажать кнопку Enter. (Примечание: мы могли бы перейти к WMIC напрямую из команды runas. это просто прерывает шаги).

5. Вызов установки (для одной машины)

Основная проблема заключается в том, что отдельные пакеты MSI будут иметь разные «параметры». Чтобы упростить наш пример, мы выполняем установку с MSI, которая не требует никаких опций. Мы введем вызов настройки, как показано ниже. Мы введем вызов установки следующим образом:

> /node:exampleremotemachine вызов продукта install true, “” , “c:PathToYourFile.msi”

Если мы не введем недействительный узел wmic, нас попросят подтвердить в следующем формате:

Выполнить (Win32_Product) ⇨ Установить() (Да/Нет)?

На что мы должны ответить да (y) для подтверждения. Если ваш пакет MSI, совместимый с WMI, был успешно установлен, вы должны увидеть что-то вроде следующего:

Выполнение метода успешно.

6. Вызов установки (для получения списка машин):

Удаленно установить программу на компьютер в домене

В этой статье я расскажу как устанавливать программы на пользовательские компьютеры с помощью групповых политик. Рассмотрим такой процесс как установка программ через домен Windows Server.

Итак, этот материал рассчитан на людей, которые уже умеют установить и настроить домен на Windows Server (этот материал является продолжением статьи).

Групповые политики используются для централизованного управления пользователями домена. Они позволяют управлять настройками операционной системы клиентских машин. Администратор домена может контролировать, настраивать различные компоненты операционных систем компьютеров, входящих в состав домена.

Групповые политики применяются при настройках системы безопасности. Настройки безопасности могут распространяться на определенные группы пользователей или конкретного пользователя. Политика безопасности позволяет конфигурировать большое количество субъектов безопасности по одним параметрам.

Управление установкой и удалением программ может осуществляться при помощи групповых политик. Главный плюс в том, что если нужно установить программу на 100 компьютеров, не нужно делать это вручную, используя групповые политики можно выполнить установки на всех компьютерах централизованно.

Подготовка к установке программ

Создайте каталог для хранения установочных файлов (например, C:Install). Установочные файлы программ должны быть в формате установочных пакетов Microsoft (расширение — msi). Для примера я установлю архиватор 7z.

Откройте общий доступ к созданному каталогу при помощи вкладки «Доступ» свойств каталога.

Запустите «Active Directory –> пользователи и компьютеры» (Пуск –> Администрирование –> Active Directory –> пользователи и компьютеры.

В домене создайте новое подразделение, для установки программы, в моем случае это Install подразделение.

Переместите в созданное подразделение доступный компьютер из подразделения «Computers».

Создайте новую групповую политику для созданного подразделения.

Свяжите подразделение с политикой, нажмите правой кнопкой на созданное подразделение и выберите «Связать существующий объект групповой политики…», затем выберите созданный ранее объект в списке и нажмите «ОК».

Установка программ через домен

Откройте созданную групповую политику. Создание заданий на установку программного обеспечения на компьютерах, входящих в домен, осуществляется в разделе Конфигурация компьютера –> Конфигурация
программ –> Установка программ. В контекстном меню раздела Установка программ выберите «Создать» и укажите полный сетевой путь к месту расположения установочного файла – CInstall. В появившемся окне выберите «Назначенный» метод развёртывания.

Программа будет установлена на клиентскую машину после перезагрузки.

Обновление программного обеспечения при помощи групповых политик

Скачайте последнюю версию программы и скопируйте ее в папку с общим доступом. Процедура обновления программного обеспечения с помощью групповых политик аналогична процедуре установки программ. Но, на этапе выбора метода развертывания нужно выбрать метод развертывания.

Нажмите «ОК», после чего перейдите на вкладку «Обновления», выберите приложение которые нужно обновить и нажмите «ОК».

Для применения изменённых параметров групповой политики клиентские компьютеры перезагрузятся дважды.

Удаление программного обеспечения при помощи групповых политик

Существует два варианта удаления заданий на установку программного обеспечения:

1. Первый вариант позволяет удалить не только задание, но и программу, установленную на рабочие станции.
2. Второй вариант удаляет только задание.

Нажмите правой кнопкой на программу и выберите «Все задачи» -> «Удалить».

После чего выберите один из вариантов удаления.

Анатолий Бузов / об авторе

Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.

2 комментариев к записи “ Установка программ через домен Windows Server ”

Бердыгали says:

Добрый день,
Спасибо за статью !
а есть политика которая при установке на сервере программы, пример: 1С, MSSQL SERVER не дублировал на других пользователей ? Заранее спасибо! Reply

Здравствуйте. Не совсем понял ваш вопрос. Пользователи 1С хранятся в БД 1С. Ну а в групповых политиках так: каких пользователей добавите, к тем пользователям политика и применяется. Reply

Источник: abuzov.com