Развертывание программного обеспечения (MSI-пакеты) с помощью групповой политики

at0mSec

В этой статье мы покажем, как устанавливать программное обеспечение на пользовательские компьютеры в домене Active Directory с помощью GPO.

Встроенные функции Windows GPO позволяют устанавливать программы, которые распространяются только в виде пакетов MSI или ZAP. Другие типы приложений вам придется устанавливать альтернативными способами: с помощью SCCM, через сценарии входа в систему GPO, копируя программные файлы на компьютеры с помощью GPO, запуская одноразовые сценарии и т. д.

Содержание:

Извлечение MSI-пакета из EXE-установщика

Рассмотрим, как установить пакет MSI на компьютеры пользователей с помощью групповых политик Windows на примере клиента Microsoft Teams.

Загрузите пакет MSI с клиентом Teams (http://aka.ms/teams64bitmsi) и скопируйте Teams_windows_x64.msi в папку SYSVOL на контроллере домена (\\woshub.com\SysVol\woshub.com\scripts).

Использование SYSVOL для развертывания программного обеспечения через GPO Использование SYSVOL для развертывания программного обеспечения через GPO

Обратите внимание, что существуют x86 и x64 версии MS Teams. Если у вас все еще есть компьютеры с x86 версиями Windows, вам нужно будет создать отдельный GPO для x86 и x64 компьютеров. Можно использовать фильтры WMI GPO для фильтрации версий Windows в групповых политиках.

Многие приложения не поставляются в виде пакетов MSI. Чаще всего разработчики распространяют их в виде EXE-файлов, которые не подходят для развертывания через GPO. Однако в некоторых случаях можно извлечь пакет MSI из установочного файла EXE:

  • Некоторые программы установки EXE извлекают свои файлы в папку %temp% во время установки. Поэтому после установки программы (просто сверните окно установки) попробуйте открыть эту папку и найти в ней установочный MSI-файл.
  • Другой способ получить MSI-файл — попытаться открыть установочный EXE-файл с помощью 7-Zip. Запустите 7-Zip и выберите Файл -> 7ZIP -> Открытый архив. 7ZIP попытается открыть EXE-файл как архив. В нашем случае мы получили MSI и MST файлы Acrobat Reader из его EXE-файла. В нашем случае мы успешно извлекли файлы MSI и MST из EXE-файла установки Acrobat Reader. Извлечение MSI из установочного EXE-файлаИзвлечение MSI из EXE-установки

Создание GPO для развертывания программного обеспечения на компьютерах домена

Затем создайте новый объект групповой политики домена для установки программного обеспечения.

  1. Откройте консоль управления групповой политикой домена (gpmc.msc);
  2. Создайте новую политику (CorpInstallTeams) и привяжите его к OU с компьютерами, на которые вы хотите установить приложение (Создайте GPO в этом домене и свяжите его здесь); создание gpo для развертывания пакета msiсоздание gpo для развертывания msi пакета
  3. Отредактируйте GPO и перейдите в раздел Конфигурация компьютера -> Политики -> Параметры программного обеспечения -> Установка программного обеспечения;
  4. Выберите Новый -> Пакет в меню; создание пакета развертывания программного обеспечения в редакторе управления групповыми политикамисоздание пакета развертывания программного обеспечения в редакторе управления групповыми политиками
  5. Выберите файл MSI, расположенный в каталоге SYSVOL (по пути UNC);
  6. Выберите Дополнительно и нажмите OK;
    Сайт Назначение опция позволяет устанавливать приложения при входе пользователя в систему. Опция Опубликовано опция публикует приложения на компьютерах, и пользователи могут установить их в Add/Remove Programs.

    развертывание программного обеспечения через gpo с помощью расширенного или назначенного методаразвертывание программного обеспечения через gpo с помощью расширенного или назначенного метода

  7. В следующем окне можно задать дополнительные параметры пакета MSI. Я изменю только отображаемое имя с Машинный установщик команд на Клиент Microsoft Teams; изменение параметров установки программного обеспечения в редакторе GPOизменение параметров установки программного обеспечения в редакторе GPO
  8. Нажмите Дополнительно на вкладке Развертывание и установите флажок Игнорировать язык при развертывании этого пакета;
  9. Перезагрузите компьютер, чтобы обновить настройки GPO, и приложение будет установлено при следующей загрузке компьютера. Оно появится в списке установленных приложений Windows. События установки можно найти в разделе «Система» в средстве просмотра событий (отфильтруйте список событий по параметру Application Management Group источнику);
    В Windows 11 есть встроенный Teams Chat, но это не полнофункциональный клиент Microsoft Teams.

    в списке установленных приложений появилось новое программное обеспечение в списке установленных приложений появилось новое программное обеспечение

  10. На компьютере можно отобразить подробный статус обработки GPO. Для этого включите опцию GPO Отображение подробных сообщений о состоянии в разделе Конфигурация компьютера -> Политики -> Административные шаблоны -> Система. Теперь все фоновые задачи обработки GPO будут отображаться при запуске Windows. Если какие-либо приложения установлены с помощью GPO, вы увидите сообщение: Установка управляемого программного обеспечения AppName. Сообщение об установке управляемого программного обеспечения на начальном экране WindowsСообщение об установке управляемого программного обеспечения на начальном экране Windows
Если GPO развертывания программного обеспечения не применяется к целевым компьютерам, воспользуйтесь средствами устранения неполадок, описанными в статье Почему групповая политика не применяется к компьютеру, и командой gpresult.

Как изменить параметры пакета MSI перед развертыванием с помощью GPO?

В стандартном интерфейсе GPO нельзя указать ключи установки или параметры для пакетов установки MSI. Например, при установке антивирусного агента на компьютер пользователя необходимо указать IP-адрес/FQDN сервера управления. Или при установке Teams из командной строки с помощью msiexec можно отключить автоматический запуск клиента MS Teams и скрыть его из списка установленных приложений (локальный администратор не сможет удалить клиент Teams). Для этого используется следующая команда:

msiexec /i Teams_windows_x64.msi OPTIONS="noAutoStart=true" ALLUSERS=0

Как добавить параметры установки в пакет MSI? Для этого используются файлы трансформации MST. Этот тип файлов позволяет изменить стандартные настройки MSI-пакета и использовать свой сценарий установки.

Чтобы создать MST-файл для MSI-пакета, можно воспользоваться командой ORCA инструмент (он является частью Windows Installer SDK).

Откройте пакет MSI с помощью Orca.

Создайте Новая трансформация и установите пользовательские параметры пакета MSI в файле Свойства раздел. Я изменю следующие параметры для моего клиента Teams:

  • noAutoStart = True
  • ALLUSERS = 0

Изменение параметров MSI-файла с помощью редактора Orca MSI Изменение параметров MSI-файла с помощью редактора Orca MSI

Выберите Трансформация -> GenerateTransform и сохраните изменения в виде MST-файла (teams_mod.mst). Скопируйте файл в каталог SYSVOL.

Затем удалите предыдущее правило установки MSI-пакета в GPO (поскольку добавить MST-файл с модификациями пакета можно только при создании правила установки приложений).

Выберите все -> Задача -> Удалить.

удалить GPO развертывания приложенийудалить GPO развертывания приложений

Создайте новое правило развертывания программного обеспечения, выберите MSI-файл из SYSVOL и перейдите в раздел Модификация вкладка. Щелкните Добавить. Выберите файл MST, созданный ранее.

добавление модификатора MST в gpo развертывания программного обеспечениядобавление модификатора MST в gpo развертывания программного обеспечения

Теперь файл MST будет автоматически применяться во время установки MSI с помощью GPO, и приложение будет установлено с нужными вам параметрами.

Основные недостатки установки MSI через GPO:

  1. Поддерживаются только программы установки MSI и ZAP;
  2. Вы не можете запланировать установку приложений на нужное вам время. Одновременная установка приложений на несколько компьютеров (обычно это происходит утром, когда компьютеры включены) может привести к высокой нагрузке на сеть и контроллеры домена. В этом случае лучше использовать SCCM с окнами обслуживания или настройками WOL (Wake On LAN);
  3. Вы не можете изменить порядок установки программного обеспечения в GPO. Когда вы добавляете новый пакет установки в GPO, он устанавливается последним;
  4. Вы не можете получить отчет об успешной установке или об ошибках установки на компьютерах.
В современных сборках Windows 10 и 11 для установки приложений можно использовать менеджер пакетов winget.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *