Уважаемые! Подскажите плиз как использовать AdminProperties.
Задача: Сделать административную установку. Из нее должно устанавливатся по в соотвестующую папку.
Например в %SystemDrive%ProgrammX
Запарился исакать уже. (
А возможно устанавливать драйвер принтер, через групповые политики?
уважаемые админы! не дайте помереть от закипания мозгов
проблема такая:
AD win2k3 у пользователи XP Pro, требуется установка программ через GPO пользователя.
Перечитал все что можно, создал административную установку, опубликовал, в установках программ есть ссылка, при попытке установить выходит сообщение ОТКАЗАНО В ДОСТУПЕ
Установка происходит если у пользователя есть админские права у обычных пользователей — отказ в доступе.
Ветку ГПО windows installer перелопатил 100 раз и компьютерную часть и пользовательскую.
Так же пакет можно установить через установку для компьютера, но это не подходит нужно чтобы пользователь сам выбирал когда и что ему установить через панель управления.
Развертывание (Установка) программ с помощью Active Directory GPO
Форум весь прочитал что касается установки через ГПО не нашел ответа
з.ы. сильно не пинайте
samserg, да зачем тебя пинать. Ты сам себе яму роешь. Если юзеру нужно самому выбирать, что и когда ему устанавливать — так тебе проще сразу выдать ему полные права и слить все нужные дистрибы на любой доступный ему в локалке обменник.
в документации написано что так сделать можно у меня не получается, о том что можно дать админские права юзверю.
samserg
дай ему админские права не доменного, а локального админа.
помогите написать BAT-ник что бы установить через ГПО заплатки через АД , а то у меня WSUS не устанавливаеться , а виртуальную машину долго делать .
У меня был до этого батник, он только распаковывает заплатки и не устанавливает (((
start /wait office2003-KB894542-FullFile-RUS.exe /Q
start /wait office2003-KB907417-FullFile-RUS.exe /Q
start /wait office2003-KB914455-FullFile-RUS.exe /Q
Распаковывает и устанавливает!
to samserg:
Выскажу свое imho.
1. Не поддавайся на предложения/соблазн дать пользователю админские права. В ряде случаев приходится «повышать» права пользователя (установка времени, изменение конкретных системных файлов) и от этого никуда не деться, но давать «админские» права целиком — это путь в никуда. опять же imho.
2. Указанная тобой задача решаема (сам делал). Для этого (по памяти):
— должен быть домен
— юзер должен быть доменным
— админская установка должна быть msi (вариант zap-файла не подходит)
— у пользователя должен быть доступ на чтение к папке с админской установкой
— в GPO приложение публикуется в «настройках» пользователя.
Выявленные проблемы (по моему опыту):
1. Если пользователь переходит на другую машину, то при его входе происходит установка приложений, которые он до этого ставил (достаточно долгий процесс).
Установка программ с помощью GPO
2. У некоторых пользователей, при неудачной установке, периодически вызывается повоторная установка опять же с неудачным завершением. Может быть в этом случае я чего-то намудрил, но было 2-3 человека с которыми у меня не получилось разобраться.
Да, забыл: у моих пользователей профиль был «перемещаемым» (хотя по идее это недолжно влиять. )
Подскажите как можно установить видео кодек, в составе которого только .inf и .dll файлы. Обычно он устанавливается через меню правой кнопки мыши по файлу .inf
Простенький MSI не могу установить, вот что говорит:
Не удалось назначить приложение 1 из политики install. Ошибка: Система групповой политики должна вызывать расширения в синхронном, не фоновом режиме обновления.
Не удалось применить изменения для параметров установки приложения. Применение политики установки программ было отложено до следующего входа в систему, поскольку администратор включил оптимизацию входа для групповой политики. Ошибка: Система групповой политики должна вызывать расширения в синхронном, не фоновом режиме обновления.
Назначено на 1 компьютер в подразделении, на шарах разрешения проставлены для Прошедших проверку, Пользователей и Администраторов домена и Компьютеров домена, в ручную нормально устанавливается.
Системки: W2K3 SP2, WXP SP3.
Road Runner J
Тебе надо установить синхронный режим применения политик. По умолчанию в Windows Xp стоит асинхронный и политики применяются в фоновом режиме уже после того, как пользователь вошёл в систему. Чтобы изменить его поменяй параметр: Computer Configuration — Administrative Templates — System — Logon [Always wait for the network at computer startup and logon]. Ставишь Enable. Правда при этом немного дольше будет происходить запуск системы.
Иначе установка будет запускатся через пару перезагрузок.
А вот по поводу MSP поподробнее нельзя ли? А то тут такое дело, пытаюсь накатать обновленную версию акробата, делаю так —
msiexec /a AcroRead.msi /p AdbeRdrUpd911_all_incr.msp
Получаю административную установку, вопрос в следующем, там же msi нет, как разворачивать то, смысл в переустановки? Если я правильно логику понимаю, следует накатать патч, собрать msi, заменить старый на новый, и заново его установить. Правильно ли я понимаю что для этого придется воспользоваться сторонними средствами ?
Неудобно нубский вопрос задавать, но придецца.
Вот тут http://www.appdeploy.com/messageboards/tm.asp?m=45828 нагуглил:
WLSetup-all.exe /q /NOToolbarCEIP /NOhomepage /Nolaunch /nosearch /AppSelect:Photo,Mail,Messenger
То есть хочу в домене 2003 развернуть на локальныйх тачках Windows Massanger 2009
Помогите, братья! Ибо до сих пор разворачивал приложение через GPO Computer Configuration Software installation
А тут нужно через скрипт (LOGON или STARTUP ?) запустить команду навроде: \serverAppDeployLIVEWLSetup-all.exe /q /NOToolbarCEIP /NOhomepage /Nolaunch /nosearch /AppSelect:Messenger
При этом из контекста какого пользователя это должно происходить? Или нужно мутить нечто вроде:
Const wbemImpersonationLevelDelegate = 4
Set objWbemLocator = CreateObject(«WbemScripting.SWbemLocator»)
Set objConnection = objwbemLocator.ConnectServer _
(«WebServer», «rootcimv2», «organizadministrator», _
«password», , «kerberos:WebServer»)
objConnection.Security_.ImpersonationLevel = wbemImpersonationLevelDelegate
Set objSoftware = objConnection.Get(«Win32_Product»)
errReturn = objSoftware.Install(«\domaincontrsofttest.msi»,,True)
http://sysadmins.ru/topic79925-195.html
Пусть и стыдно за нубский вопрос — но лучше задать, чем стыдится.
LAV73
Кусочки мозаики. Например: 1, 2, 3
niichavo
Спасибо тебе большое. Тут на форуме есть кнопка куда спасибы нажимать?
за номер 1 «Пример скрипта, файл «7zip_setup.vbs» (в GPO startup script для компьютера)»
Позволю себе сразу вопрос. Скрипт отработал и приложение установилось. При следующей перезагрузке скрипт тоже будет работать? К сожалению, я совсем не владею языками. и как написать проверку навроде:
1 IF exist «C:Program Files (x86)Windows LiveMessengermsnmsgr.exe» GO to 2
2 IF exist «C:Program FilesWindows LiveMessengermsnmsgr.exe» go to END
ELSE start 7zip_setup.vbs (On Error Resume Next
Set WshShell = CreateObject(«WScript.Shell»)
WshShell.Run «\serverAppDeployLIVEWLSetup-all.exe /q /NOToolbarCEIP /NOhomepage /Nolaunch /nosearch /AppSelect:Messenger»)
Еще раз спасибо за ответ.
Товарищи, а как сделать апдейт софта?
есть ГПО устанавливет софт.
в этом ГПО список софта, всё ставится только MSIные пакеты.
был nod32 версии 4, сейчас есть 4.2 — каким образом установить более новую версию?
При удалении пакета инсталляции в GPO, консоль у тебя спрашивает что делать с установленным софтом, говоришь удалять немедленно. Потом добавляешь новый пакет и всё.
Что то не понимаю. Можно по буквам?
спасибо
Добавлено:
разобрался
правильный ответ такой:
правой кнопкой на пакете — all tasks — remove.
выбираем
потом добавляем новый
продолжение моей песни.
ставлю skype через ГПО
однако именно эта установка skype на некоторых машинах (подозреваю что на машинах на которых уже стоял скайп) запускается при каждой загрузке!
Народ, подскажите плыз с чего начинать надо)
Glyuck88
с поиска программы и мысли зачем я пошел в сисадмины.
Всем доброго времени суток!
Имеется сеть на ~80 рабочих станций, ОС рабочих станций — ХР, на одной семерка. КД под управлением 2003 сервера, режим работы домена — 2000.
Добавляю в политику компьютера установку софта (Пакет обеспечения совместимости для выпуска 2007 системы Microsoft Office) в формате msi. Для теста пытался установить пакет на одну рабочую станцию, которая под управлением семерки, и в событиях получил такие вот ошибки:
Код: EventID #102: Не удалось установить приложение Пакет обеспечения совместимости для выпуска 2007 системы Microsoft Office из политики office_converter_test. Ошибка: %%1612
EventID #303: Удаление назначения приложения Пакет обеспечения совместимости для выпуска 2007 системы Microsoft Office из политики office_converter_test выполнено успешно.
EventID #108: Не удалось применить изменения для параметров установки приложения. Невозможно выполнить изменения для этого программного обеспечения. Должны существовать предшествующие записи в журнале, содержащие необходимые сведения. Ошибка: %%1612
Цитата:
Должны существовать предшествующие записи в журнале, содержащие необходимые сведения. Ошибка: %%1612
1. может быть есть еще записи?
2. вторая мысль — а есть доступ к пакету (шаре) у компа (!) на который пытаетесь установить?
3. третья мысль — ставить эксперименты на «чистой» машине (чтобы локализовать ошибку). а то я иногда так мудрил с настройками безопасности, что компьютеры просто переставали грузиться
, где Full_path_to_AcroRead.msi> — это полный путь (включая имя файла) к пакету AcroRead.msi . Для вышеприведенного примера эта команда будет выглядеть так: msiexec /a C:ar9Reader9 AcroRead.msi. В результате на экране появится «визард», в котором необходимо будет указать полный путь к папке, в которую мы хотим поместить административную установку (эта папка была создана нами на предыдущем шаге).
4) Настройка пакета инсталляции, создание «модификации» (mst-файла).
Для настройки пакета установки мы воспользуемся «Adobe Customization Wizard 9» (ACW), любезно предоставленного для этого производителем: запускаем ACW, открываем msi-пакет, находящийся в папке административной установки. Вносим следующие изменения:
а) в разделе «Installation options» выбираем Unattended установку (установка без вмешательства пользователя), а так же «Suppress reboot» (запрещаем перезагрузку после установки)
б) «В разделе EULA and Document Status» взводим галку «Suppress display of EULA» (подавление отображения лицензионного соглашения)
в) В разделе «Online and Acrobat.com features» запрещаем выполнять любые обновления, т.к. обновление будет выполняться администратором централизовано (об этом речь пойдет ниже).
В целях безопасности взводим «галку» «When launching PDF in Internet Explorer, prompt user in open|save dialog», тем самым не позволяя открывать pdf-документ в окне браузера (вместо этого пользователю будет предложено открыть/сохранить файл).
Запрещаем доступ к Adobe.com features.
Если есть желание, можно осуществить более тонкую настройку путем «непосредственного редактирования» в разделе «Direct Editor». Так, например, если вы хотите отключить установку «Быстрого запуска Acrobat Reader’а» (“Adobe Reader Speed Launcher”), то для этого вам потребуется удалить элемент таблицы Registry838 (о некоторых других параметрах тонкой настройки инсталляционного пакета Adobe Acrobat Readerа можно прочитать здесь: “Deploying Adobe Reader 9 for Windows”
Затем, сохраняем выполненные настройки в новом файле модификации (mst-файл): для этого выполняем Transform->Generate Transform
5)Создание/редактирование GPO для добавления пакета инсталляции
а) В редакторе групповых политик щелкаем правой кнопкой по узлу «Установка программ»
б) В появившемся окне диалога открытия файла находим и выбираем на сетевом ресурсе с административной установкой msi-пакет. После открытия этого пакета мы увидим следующее окно:
В этом окне мы должны выбрать «особый» метод развертывания, т.к. мы собираемся использовать файл модификации (mst-файл).
в) на вкладке «Модификации» добавляем созданный нами при помощи ACW файл модификации Acroread.mst.
Не забудьте прилинковать созданную политику к нужному OU.
Ну, и остался последний важный момент. Политику мы создали, прилинковали. На компьютерах она применилась. А как же быть с обновлениями?
Обновления выпускаются фирмой Adobe в виде patch-файлов, имеющих расширение msp. С помощью этих файлов мы можем выполнять обновление административной установки. Обновление выполняется в 2 этапа:
a) собственно обновление, т.е. применение patch’а к административной установке.
После того, как мы скачали с сайта производителя очередной инкрементальный файл патча, применим его к административной установке при помощи следующей команды:
Full_path_to_AcroRead.msi_on_share_with_admin_install> – полный путь к msi-пакету административной установки AcroRead.msi
Full_path_to_patch_file> – полный путь к файлу patch’а.
Для вышеприведенного примера команда будет выглядеть следующим образом:
msiexec /a \ServerDeployAcrobatAcroReadd.msi /p C:ar9Reader9 AdbeRdrUpd932_all_incr.msp
b) распространение обновления на клиентские компьютеры.
Для того чтобы клиентские компьютеры выполнили обновление ПО, ранее установленное при помощи групповых политик, необходимо, открыв соответствующую политику на редактирование, дать команду «Развернуть приложение заново» (см. рисунок ниже)
При написании данной заметки были использованы следующие источники информации:
[Upd 2010.10.27]
Добавлю еще немного полезных настроек, которые могут быть сохранены в файле-модификации (*.mst):
Добавляем параметры реестра, отключающие JavaScript (встроенный в Acrobat):
Обратите внимание, что раздел реестра JSPrefs с параметром bEnableJS может быть добавлен, как в куст HKCU, так и в HKLM. Думаю, что лучше будет добавить эти параметры в оба куста и вот почему: какя уже писал, этот параметр действует в обоих случаях, но приоритетнее параметр, заданный в ветке HKCU. С другой стороны, параметр из куста HKLM полезен тем, что он задает дефолтное значение (JavaScript вкл/выкл) для любого пользователя компьютера (в том числе и локального).
Не смотря на то, что мы может отключить встроенный JavaScript в пакете msi, после установки приложения пользователь может снова его включить (взведя соответствующий checkbox в меню Acrobat Reader’а). Поэтому настоятельно рекомендую прикрутить в политику, которая бы постоянно выполняла отключение встроенного интерпретатора JavaScript.
Кроме того, из соображений безопасности стоит запретить документу PDF открытие других файлов и запуск приложений:
Источник: tagranik.wordpress.com