Если в домене Windows установлен WSUS, админ рад и спокоен — дескать, все, обновления ставятся на автомате, трафик снизился, бегать по компам не надо и пр. В принципе, все осталость то же самое, но ведь не все используют в работе Microsoft Outlook или Internet Explorer (хотя 8-ка очень неплоха). Есть много людей, привыкших работать с почтовиком The Bat!, броузером Opera или Mozilla. Если встает вопрос об обновлениях — либо это головняк админу в виде беготни к каждому компьютеру для обновления всем, скажем, Opera, либо юзеры должны сидеть под админами (пускай и локальными, не доменными).
Естественно, ни первый, ни второй способы — не выход. Значит, надо иметь возможность автоматически устанавливать программы на рабочих станциях , причем желательно делать это до того, как пользователь вошел в систему — ведь если он вошел, он уже не захочет перезагружать машину и т.п. Надо ставить пользователя перед фактом — программа, его любимая Opera, уже обновлена и админа не колбасит, что версия 10.10 почему-то нравится меньше, чем предыдущая. Просто вышло обновление, и его надо применить. Без вариантов.
Установка на VMware workstation Windows server 2016 и развертывание контроллера домена
Самый распространенный вариант ответа на вопрос — КАК? — Конечно, через Active Directory! — скажет вам любой специалист или просто сисадмин. А как через AD? — спросите вы. А вам скажут — ?! Вы не знаете, как через AD? Да там же просто, через policy! — но больше вам скорее сего ничего не скажут, потому что для большинства советчиков этот вопрос такой же неясный, как и для вас.
И вам ничего не останется, как гуглить до потери пульса, потому что найти огромный фолиант на тему «как развернуть office 2007» в сети корпорации не проблема, а вот просто и в двух словах — редко что найдете. Не без гордости могу сказать, что данная статья как раз одна из немногих кратких и «без наворотов», попадавшихся мне.
Установка программ из MSI
Предположим, мы хотим автоматически установить (а по мере выхода обновлений, устанавливать обновления) броузер Firefox. Файл msi для Firefox можно взять (в новом окне).
Настройку шаблона.adm я пропущу, т.к. далеко не всегда это нужно, а еще чаще этот шаблон фиг найдешь. В итоге — дефолтные настройки (либо, если будем ставить поверх старой версии — настройки будут сохранены). Шаблон.adm нам не нужен.
Распределяем права доступа
Предполагаю, что все учетные записи компьютеров (кроме контроллеров домена) находятся в OU «OU Office Computers».
Примечание 1:
Почему лучше не использовать исходное размещение компьютеров (Computers — Компьютеры домена в оснастке Active Directory Users and Computers)? Мне удобнее в дальнейшем управлять политиками для групп компьютеров.
К тому же, когда я посещал курсы Microsoft, я видел, что на контроллерах доменов в тестовых системах и в «боевых», настроенных специалистами Microsoft, используются практически только отдельно созданные OU, а не базовые. Я для себя решил повторять опыт специалистов. Пока мне от этого только удобнее. Естественно, ИМХО.
Примечание 2:
Не всем пользователям нужен Firefox (как не всем нужен The Bat, Opera и пр.). Поэтому создадим в «OU Office Computers» отдельную группу компьютеров, на которые будет установлен Firefox. Для ясности назовем группу GFirefoxComputers . Отмечу, что это будет именно группа, а не вложенное OU!
Windows Server 2016. Поднятие своего домена
Расшариваем какую-либо папку на сервере (на рисунке это SoftwareDistibution, а не Mozilla Firefox, как может показаться) и даем группе GFirefoxComputers доступ на чтение , админу — полный доступ (не компьютеру админа, а пользователю — все-таки вы должны иметь возможность по сети заливать на шару файлы;)).
Вообще, для проверки того, как все вообще работает, можно обойтись и без группы GFirefoxComputers. Просто для того, чтобы сразу не усложнять себе жизнь, и не пенять на групповые политики, если что пойдет не так;)
Политика правит миром!
На контроллере домена запускаем редактор групповой политики GPMC.MSC:
И создаем связанную только с нашим OU «OU Office Computers» групповую политику под названием «Firefox 3.6.3 rus»:
Редактируем нашу политику «Firefox 3.6.3 rus»:
Готовим дистрибутив Firefox для развертывания в сети
В разделе «User Configuration» -> «Software settings» -> «Software Installation» щелкаем правой мышкой и создаем новый объект для установки — наш будущий инсталлятор Firefox.
Выбираем файл MSI, заботливо положенного чьими-то руками в расшаренную папку. Важно : выбирать надо сетевой путь до файла, а не локальный, ведь юзера будут получать доступ к вашей инсталляшке не локально на сервере, а по сети.
Выбираем «Assigned» (Назначенный):
На этом работа с веткой «Software Installation» закончена.
Закрываем все открытые окна на сервере (если не помешает другим задачам, естественно), Пуск -> Выполнить -> gpupdate /force
Установка на рабочих станциях
Далее достаточно просто перезагрузить рабочие станции, чтобы автоматически установился Firefox ДО того, как появится окно для ввода логина/пароля. Иными словами, пользователь будет не в силах чего-то не установить, забыть и пр. Поэтому этот способ так хорош. Вы удаленно решаете, что будет установлено / обновлено на рабочих станциях.
Windows XP бывает не с первой перезагрузки «принимает» нове политики, поэтому можно подойти к юзеру, выполнить команду «gpupdate /force» (не обязательно под админом) и перезагрузить его компьютер.
Обязательно проверьте установку на своем / тестовом компьютере ДО того, как юзеры придут следующим утром, включат компьютеры. а вдруг косяк? Поэтому хотя бы первый раз сначала испытайте на себе.
Дополнительно
Теперь на любой новый компьютер, введенный в состав подразделения OU Office Computers будет установлена последняя версия броузера Firefox. Вам даже не придется ничего делать. Просто и очень полезно. Таким же образом можно устанавливать практически любой софт, включая Adobe Reader, Adobe Flash Player (которые в обычной ситуации требуют административных прав для установки), The Bat. да мало ли софта у вас в локальной сети, поддерживать который в актуальном состоянии одна из обязанностей системного администратора.
Нюанс: если вы уже установили какой-либо пакет, в нашем случае Firefox 3.6.3 rus, а через некоторое время вам потребуется его обновить (т.к. рано или поздно выйдет новая версия броузера), сначала удалите политику по установке Firefox 3.6.3, после чего создайте новую. Потом «gpudate /force» и вперед!
Системному администратору часто приходится устанавливать очень много различных программ и приложений на компьютеры сотрудников фирмы. Иногда число этих сотрудников слишком велико, или офис очень большой — для того, чтобы админ бегал по нему весь день и устанавливал эти программы. Это отнимает огромную кучу времени, которое можно потратить на более полезные вещи.
Как же помочь юзеру, не бегая к нему через весь офис, ради установки какого-нибудь google chrom -а?
Вариантов всегда несколько. В этой статье хотелось бы рассмотреть один из них.
Дистрибутивы в одной папке и DameWare для установки.
Настраиваем общую папку на сервере/личном компьютере. Создаем папку (я назвал ее Distr ), заходим в ее свойства, вкладка: «Доступ» — кнопка «Общий доступ».
Выбираем из выпадающего списка пункт «Все» и устанавливаем ему права — «Чтение».
Для проверки работоспособности папки — можем перейти по ее адресу и глянуть — все ли в порядке. Заходим на свой компьютер по smb:
1. вы должны знать имя своего компьютера. (У меня это будет Feanor184 ).
2. Открываем любую папку на компьютере(например, «Мой компьютер»).
3. В верхней строке адреса — где написано ( Мой компьютер ) выделяем все, стираем и вводим: //feanor184/ и нажимаем Enter.
Открываем и видим все наши расшаренные папки.
Вся прелесть и смысл этой волокиты в том, что теперь мы можем попадать в эту папку с любого компьютера нашей офисной сети(при условии, что все компьютера в офисе находятся в одной сетке).
Ставим клиент DameWare.
Теперь нам нужно установить клиент . В его установке нет ничего сложного и необычного, ставится как обычная программа с официального сайта разработчика. Ставим самую последнюю версию — чтобы комфортно было работать с Windows 8.1 — если вдруг возникнет такая необходимость.
Процесс установки и детальной настройки я, возможно, опишу в ближайших статьях.
Перейдем непосредственно к цели нашей волокиты. Мы имеем и расшаренную папку. Теперь мы можем подключиться к любому компьютеру в нашей сети и установить нужный нам софт из расшаренной папки со своими правами.
Запускам клиент и видим следующее окно:
В поле Host — вбиваем имя компьютера пользователя(или его Ip адресс), к которому мы хотим подключиться и установить программу.
User Id — наш логин в Домене.
Password — наш пароль в домене.
Domain — наш домен(актуально, если вдруг он не один).
(ВАЖНО! Чтобы мы могли подключиться к удаленному компьютеру подобным образом, у пользователя должен быть отключен Брандмауэр )
После этого мы попадаем к пользователю на компьютер, можем зайти в свою папку(//feanor184/distr/) и устанавливать любые программы.
Во будутт рассмотрены способы установки программ пользователям удаленно с помощью групповых доменных политик.
Условия выполнения установки средствами RPC
При выполнении установки средствами RPC Сервер администрирования сначала копирует файлы на удаленный компьютер, используя обычное копирование в сети Microsoft. В качестве папки назначения используется административная папка общего доступа Admin$ на удаленном компьютере. Доступ к этой папке по сети разрешен только администраторам, а значит копирование нужно выполнять от имени пользователя, обладающего соответствующими правами на удаленном компьютере. Права администратора нужны и для последующего запуска программы установки при помощи RPC.
По умолчанию задача удаленной установки выполняется от имени службы Сервера администрирования. Если Сервер установлен в домене, то при инсталляции имеется возможность выбрать учетную запись для запуска службы Сервера. Обычно это учетная запись с правами администратора домена, и в таком случае все задачи установки будут обладать требуемыми правами на компьютерах, входящих в домен.
Но это может быть и другая учетная запись, не обладающая требуемыми правами, или вовсе учетная запись локальной системы (Local System Account), которая не имеет никаких прав на удаленных компьютерах. На этот случай, учетную запись для выполнения удаленной инсталляции можно указать в настройках задачи.
Но даже использование атрибутов администратора не гарантирует доступа к административной общей папке Admin$ , поскольку сетевой доступ может быть ограничен настройками удаленного компьютера. Поэтому прежде чем создавать и выполнять задачу удаленной установки, рекомендуется удостовериться в наличии доступа, обратившись к папке по адресу \ Admin$ . Если доступа нет, следует проверить, не установлено ли на удаленном компьютере одно из перечисленных ниже ограничений.
Доступа к папке может не быть и в силу того, что компьютер выключен, так что нужно дополнительно убедиться, что связь по сети с компьютером имеется. Для этого проще всего использовать команду
Простой общий доступ к файлам
В Windows XP Professional, не входящей в состав домена, по умолчанию установлен простой общий доступ к файлам. При этом для доступа к файлам по сети указывать имя пользователя и пароль не требуется вовсе, но и доступ к административным общим папкам (Admin$ , c$ и т. п.) запрещен.
Чтобы отключить простой общий доступ к файлам и вернуться к обычной схеме разграничения доступа, нужно открыть окно Проводника Windows, в нем выбрать меню Сервис и пункт Свойства папки . В открывшемся окне нужно перейти на закладку Вид , найти пункт Использовать простой общий доступ к файлам (рекомендуется) и отключить его.
При добавлении компьютера под управлением Windows XP в домен, простой общий доступ к файлам отключается автоматически.
Модель безопасности для локальных пользователей
Речь снова идет только о Windows XP, не входящей в состав домена. По умолчанию из соображений безопасности все локальные пользователи, подключающиеся по сети, получают права гостя. Поскольку для доступа к административной общей папке Admin$ нужны права администратора, получить требуемый доступ в таком режиме не удастся.
Изменить поведение операционной системы можно в политике безопасности компьютера. Для этого нужно нажать Пуск , Выполнить и набрать в строке запуска secpol.msc . В открывшемся окне нужно раскрыть узел Локальные политики и установить курсор на контейнере Параметры безопасности . Права локальных пользователей при сетевом доступе регулируются параметром Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей. Значение «Гостевая — локальные пользователи удостоверяются как гости » препятствует нормальному доступу по сети и его нужно изменить на «Обычная — локальные пользователи удостоверяются как они сами ».
Как и в случае с простым общим доступом к файлам, при включении компьютера в домен модель безопасности автоматически меняется на обычную.
Пустые пароли
Еще одно ограничение по умолчанию, принятое в Windows XP. Чтобы пользователь мог получить доступ к компьютеру по сети, у него должен быть непустой пароль, т. е. состоящий хотя бы из одного символа. В противном случае в доступе будет отказано.
Это ограничение также определяется в локальной политике безопасности. Соответствующий параметр носит имя Учетные записи: ограничить использование пустых паролей только для консольного входа и может быть в двух состояниях Включен и Отключен .
Чтобы обойти ограничение можно либо изменить пароль администратора на непустой, либо выключить указанный параметр в политике безопасности. Рекомендованным является первый способ, как более безопасный.
Брандмауэр Windows
Начиная с Windows XP SP2, встроенный в операционную систему брандмауэр по умолчанию включен и блокирует практически все входящие соединения. При этом блокируется и доступ по сети к административным общим папкам компьютера. Решить эту проблему можно двумя способами:
- Полностью отключить брандмауэр
- Разрешить сетевой доступ к файлам
В обоих случаях для этого нужно открыть Панель управления и в ней запустить программу настройки брандмауэра Windows. Выключить брандмауэр можно на первой же закладке Общие , а чтобы разрешить сетевой доступ к файлам нужно перейти на закладку Исключения и отметить там пункт Общий доступ к файлам и принтерам . Если компьютер с Windows XP входит в домен — исключение будет включено автоматически.
Подобные проблемы может вызывать и любой другой брандмауэр, не только встроенный в операционную систему. И речь при этом может идти уже не только о Windows XP SP2 или Windows Vista. Способ решения остается тот же — разрешить общий доступ к файлам и принтерам, но конкретные настройки будут зависеть от используемого брандмауэра.
Установка Агента средствами RPC
Инсталляционный пакет, необходимый для установки Агента администрирования, создается автоматически при установке Сервера администрирования и поэтому создавать его не нужно.
В свойствах пакета можно задать параметры подключения к Серверу и параметры перезагрузки. Поскольку установка Агента перезагрузки обычно не требует, а параметры подключения к Серверу соответствуют настройкам Сервера, заданным при его установке, можно использовать настройки пакета по умолчанию.
При первоначальном внедрении Агентов обычно создается глобальная задача, и запуск установки осуществляется вручную, после чего администратор внимательно отслеживает результаты установки
Источник: statusmania.ru
K210.ORG
Если в домене Windows установлен WSUS, админ рад и спокоен — дескать, все, обновления ставятся на автомате, трафик снизился, бегать по компам не надо и пр. В принципе, все осталость то же самое, но ведь не все используют в работе Microsoft Outlook или Internet Explorer (хотя 8-ка очень неплоха). Есть много людей, привыкших работать с почтовиком The Bat!, броузером Opera или Mozilla. Если встает вопрос об обновлениях — либо это головняк админу в виде беготни к каждому компьютеру для обновления всем, скажем, Opera, либо юзеры должны сидеть под админами (пускай и локальными, не доменными).
Естественно, ни первый, ни второй способы — не выход. Значит, надо иметь возможность автоматически устанавливать программы на рабочих станциях, причем желательно делать это до того, как пользователь вошел в систему — ведь если он вошел, он уже не захочет перезагружать машину и т.п. Надо ставить пользователя перед фактом — программа, его любимая Opera, уже обновлена и админа не колбасит, что версия 10.10 почему-то нравится меньше, чем предыдущая. Просто вышло обновление, и его надо применить. Без вариантов.
Самый распространенный вариант ответа на вопрос — КАК? — Конечно, через Active Directory! — скажет вам любой специалист или просто сисадмин. А как через AD? — спросите вы. А вам скажут — ?! Вы не знаете, как через AD? Да там же просто, через policy! — но больше вам скорее сего ничего не скажут, потому что для большинства советчиков этот вопрос такой же неясный, как и для вас.
И вам ничего не останется, как гуглить до потери пульса, потому что найти огромный фолиант на тему «как развернуть office 2007» в сети корпорации не проблема, а вот просто и в двух словах — редко что найдете. Не без гордости могу сказать, что данная статья как раз одна из немногих кратких и «без наворотов», попадавшихся мне.
Установка программ из MSI
Все изложенное далее относится к работе с инсталляционными пакетами типа MSI (расширение .msi). Файлы MSI есть (или их можно извлечь) для многих программ (Adobe Acrobat, The Bat, Opera, Firefox и пр.).
Предположим, мы хотим автоматически установить (а по мере выхода обновлений, устанавливать обновления) броузер Firefox. Файл msi для Firefox можно взять здесь (в новом окне).
Настройку шаблона .adm я пропущу, т.к. далеко не всегда это нужно, а еще чаще этот шаблон фиг найдешь. В итоге — дефолтные настройки (либо, если будем ставить поверх старой версии — настройки будут сохранены). Шаблон .adm нам не нужен.
Распределяем права доступа
Предполагаю, что все учетные записи компьютеров (кроме контроллеров домена) находятся в OU «OU Office Computers».
Примечание 1:
Почему лучше не использовать исходное размещение компьютеров (Computers — Компьютеры домена в оснастке Active Directory Users and Computers)? Мне удобнее в дальнейшем управлять политиками для групп компьютеров.
К тому же, когда я посещал курсы Microsoft, я видел, что на контроллерах доменов в тестовых системах и в «боевых», настроенных специалистами Microsoft, используются практически только отдельно созданные OU, а не базовые. Я для себя решил повторять опыт специалистов. Пока мне от этого только удобнее. Естественно, ИМХО.
Примечание 2:
Не всем пользователям нужен Firefox (как не всем нужен The Bat, Opera и пр.). Поэтому создадим в «OU Office Computers» отдельную группу компьютеров, на которые будет установлен Firefox. Для ясности назовем группу GFirefoxComputers. Отмечу, что это будет именно группа, а не вложенное OU!
Расшариваем какую-либо папку на сервере (на рисунке это SoftwareDistibution, а не Mozilla Firefox, как может показаться) и даем группе GFirefoxComputers доступ на чтение, админу — полный доступ (не компьютеру админа, а пользователю — все-таки вы должны иметь возможность по сети заливать на шару файлы ;)).
Вообще, для проверки того, как все вообще работает, можно обойтись и без группы GFirefoxComputers. Просто для того, чтобы сразу не усложнять себе жизнь, и не пенять на групповые политики, если что пойдет не так 😉
Политика правит миром!
На контроллере домена запускаем редактор групповой политики GPMC.MSC:
. и создаем связанную только с нашим OU «OU Office Computers» групповую политику под названием «Firefox 3.6.3 rus»:
. редактируем нашу политику «Firefox 3.6.3 rus»:
Готовим дистрибутив Firefox для развертывания в сети
В разделе «User Configuration» -> «Software settings» -> «Software Installation» щелкаем правой мышкой и создаем новый объект для установки — наш будущий инсталлятор Firefox.
Выбираем файл MSI, заботливо положенного чьими-то руками в расшаренную папку. Важно : выбирать надо сетевой путь до файла, а не локальный, ведь юзера будут получать доступ к вашей инсталляшке не локально на сервере, а по сети.
Выбираем «Assigned» (Назначенный):
На этом работа с веткой «Software Installation» закончена.
Закрываем все открытые окна на сервере (если не помешает другим задачам, естественно), Пуск -> Выполнить -> gpupdate /force
Установка на рабочих станциях
Далее достаточно просто перезагрузить рабочие станции, чтобы автоматически установился Firefox ДО того, как появится окно для ввода логина/пароля. Иными словами, пользователь будет не в силах чего-то не установить, забыть и пр. Поэтому этот способ так хорош. Вы удаленно решаете, что будет установлено / обновлено на рабочих станциях.
Windows XP бывает не с первой перезагрузки «принимает» нове политики, поэтому можно подойти к юзеру, выполнить команду «gpupdate /force» (не обязательно под админом) и перезагрузить его компьютер.
Обязательно проверьте установку на своем / тестовом компьютере ДО того, как юзеры придут следующим утром, включат компьютеры. а вдруг косяк? Поэтому хотя бы первый раз сначала испытайте на себе.
Дополнительно
Теперь на любой новый компьютер, введенный в состав подразделения OU Office Computers будет установлена последняя версия броузера Firefox. Вам даже не придется ничего делать. Просто и очень полезно. Таким же образом можно устанавливать практически любой софт, включая Adobe Reader, Adobe Flash Player (которые в обычной ситуации требуют административных прав для установки), The Bat. да мало ли софта у вас в локальной сети, поддерживать который в актуальном состоянии одна из обязанностей системного администратора.
Нюанс: если вы уже установили какой-либо пакет, в нашем случае Firefox 3.6.3 rus, а через некоторое время вам потребуется его обновить (т.к. рано или поздно выйдет новая версия броузера), сначала удалите политику по установке Firefox 3.6.3, после чего создайте новую. Потом «gpudate /force» и вперед!
Источник: k210.org
Установка программного обеспечения средствами групповой политики. Часть 1
В каждой организации, перед пользователями разных отделов встает необходимость в использовании различного программного обеспечения, как от корпорации Microsoft (например, продукты Microsoft Office), так и от сторонних производителей программного обеспечения. Некоторые системные администраторы предпочитают ходить по рабочим местам своих пользователей и устанавливать программные продукты вручную.
Этот метод нельзя считать удачным, так как в таком случае системному администратору понадобиться потратить не один день, чтобы установить программные продукты всем пользователям в организации, которая насчитывает даже 50 человек, не говоря уже об организациях, где работают сотни, а то и тысячи пользователей. В ИТ-среде, для развертывания автоматизации программного обеспечения в Windows-системах существует несколько решений.
Такие решения можно найти как у сторонних производителей программного обеспечения, так и у корпорации Microsoft. К продуктам, предназначенным для развертывания программного обеспечения, созданным компанией Microsoft можно отнести такие продукты как System Center Configuration Manager (MS SCCM), ранее известный как Microsoft Systems Management Server (SMS), его бюджетный вариант System Center Essentials, а также System Center Updates Publisher.
Если же вы не планируете затратить дополнительные расходы на приобретение комплексных решений, предназначенных для развертывания и инвентаризации операционных систем и программного обеспечения, вы можете воспользоваться функционалом групповой политики. Если в сети вашей организации все пользователи и компьютеры входят в домен Active Directory, у вас уже не осталось рабочих мест, работающих под операционными системами Windows 9х или Windows NT, то это решение, скорее всего, вам подойдет. Функционал групповой политики предоставляет администраторам простой и удобный пользовательский интерфейс, предназначенный для установки, обновления и удаления программного обеспечения. Не так давно, в одной из статей цикла по структуре групповой политики, рассматривался процесс публикации программного обеспечения, реализуемый средствами расширения клиентской стороны «Установка программ». В этой статье вы узнаете о том, как работать с этим расширением CSE.
Первое знакомство с узлом «Установка программ»
-
Общие. Расширение клиентской стороны «Установка программ» предоставляет возможность развертывания программного обеспечения для пользователей или компьютеров путем публикации или назначения.
- Так как не на каждом пользовательском компьютере можно найти инсталляционные пакеты программного обеспечения, перед развертыванием приложений необходимо скопировать инсталляционный пакет в общедоступное сетевое размещение, причем, доступ к этому ресурсу должен быть предоставлен не только пользователям, но и компьютерам, для которых будут устанавливаться приложения. Соответственно, если программное обеспечение будет устанавливаться для всех пользователей на конкретном компьютере, то вам следует предоставить доступ для чтения для учетной записи компьютера, а если приложения будут распространяться на пользователей, то для общего ресурса следует указать доступ для чтения пользователям.
- Если вы хотите, чтобы при создании новых инсталляционных пакетов у вас всегда было установлено определенное расположение, на вкладке «Общие» диалогового окна свойств узла «Установка программ», укажите путь к сетевому ресурсу в текстовом поле «Расположение пакетов по умолчанию». Помимо установки расположения по умолчанию, вы можете указать при помощи параметров пользовательского интерфейса способ добавления новых пакетов программного обеспечения. Вы можете принудительно указать публикацию или назначение программного обеспечения, выбрать особый метод установки, позволяющий указать публикацию или назначение с доступной настройкой дополнительных свойств инсталляционного пакета или выбрать опцию «Открывать диалоговое окно «Развертывание программ»», предназначенную для выбора метода добавления новых программных пакетов в ручном режиме. Еще на текущей вкладке вы можете указать пользовательский интерфейс, который будет доступен при установке программного обеспечения пользователям. На этом этапе установим расположение инсталляционных пакетов, а остальные опции оставим без изменений. Данная вкладка диалогового окна свойств расширения CSE «Установка программ» отображена ниже:
Рис. 1. Вкладка «Общие» диалогового окна свойств узла «Установка программ»
Рис. 2. Вкладка «Дополнительно» диалогового окна свойств узла «Установка программ»
Рис. 3. Вкладка «Расширения файлов» диалогового окна свойств узла «Установка программ»
Рис. 4. Вкладка «Категории» диалогового окна свойств узла «Установка программ»
Публиковать или назначать?
Как вы знаете, функционал политик расширения клиентской стороны групповой политики «Установка программ» предусматривает два варианта развертывания программного обеспечения для пользователей и компьютеров. При создании инсталляционных пакетов, развертываемых при помощи расширения клиентской стороны «Установка программ» групповой политики вопрос, связанный с тем, нужно ли назначать или публиковать приложение возникает чаще всего. Руководствоваться выбором опции развертывания программного обеспечения следует, исходя из следующих соображений:
- будет ли программой пользоваться один пользователь, независимо от компьютера, на котором он выполняет вход или будут ею пользоваться несколько сотрудников на одной рабочей станции;
- должно ли приложение установиться автоматически или дать возможность пользователю установить эту программу при необходимости;
- должны ли пользователи иметь возможность удалять развернутое приложение;
- есть ли необходимость в создании установочного файла низкоуровневого пакета приложения.
Прежде всего, перед тем как создавать политики распространения программного обеспечения вам нужно определить, будет ли приложение устанавливаться для компьютера или для пользователя, который может выполнить вход в домен с любого компьютера в организации. Например, если определенной программе нужен доступ к системному реестру без повышения пользовательских полномочий, ее целесообразно устанавливать в папку %USERPROFILE%, другими словами, устанавливать для пользователя. Некоторые программы, такие как Microsoft Office устанавливаются для всех пользователей на компьютере, соответственно, такой программный продукт нужно устанавливать для компьютера. На этом этапе можно уже отчасти определиться, какую опцию развертывания программного обеспечение следует выбрать, так как публиковать программы можно только для пользователя, а назначать программы можно как для компьютера, так и для пользователя. Другими словами, опубликованные приложения пользователи могут установить по своему желанию, а назначенные программные продукты считаются обязательными и устанавливаются самостоятельно.
Назначенные программы для компьютера устанавливаются при следующем запуске компьютера, а приложения, назначаемые для пользователей, будут доступны для установки в виде ярлыка на рабочем столе и в меню «Пуск» при следующем выполнении входа пользователя в систему. То есть, при назначении приложения обновляются параметры системного реестра на пользовательском компьютере, а также создаются ярлыки на рабочем столе и в меню «Пуск». К основному преимуществу назначения программного обеспечения для компьютера также можно отнести тот факт, что от пользователя не требуется никаких действий, то есть, пользователь выполнил вход в систему, программа уже установлена и ее можно запустить, воспользовавшись ярлыком на рабочем столе. В случае с публикацией приложения, приложение автоматически не устанавливается и ярлык для данного приложения невозможно будет найти на рабочем столе или в меню «Пуск». Его установку можно настроить при открытии пользователем программы из окна «Программы и компоненты», а также можно указать настройки для установки программного обеспечения при попытке открытия файла с расширением, сопоставленным с устанавливаемой программой.
Также стоит обратить внимание на то, что если вам нужно предоставить возможность пользователю удалить программу из своего компьютера, вам следует или опубликовать такое приложение или назначить его для пользователя. Причем, в случае с опубликованным приложением, пользователь его сможет установить повторно из панели управления, а в случае с назначением, программа, доступная для установки будет отображена на рабочем столе в виде ярлыка, а также в меню «Пуск». Последний момент, который следует учесть перед выбором опции развертывания приложений – это поддержка форматов установочных файлов. Назначенные приложения поддерживают только формат установщика Windows Installer, то есть, если перед вами встанет необходимость автоматизации установки низкоуровневых пакетов приложений zap, такое программное обеспечение вам придется только опубликовывать.
Источник: www.oszone.net