Содержание
Автоматическая установка программ в домене Windows
Сервер в кармане, или просто о сложном!
главная — Статьи — Microsoft Windows
Групповые политики
Автор
Иванов Илья, http://bozza.ru, апрель 2010
Вступление
Если в домене Windows установлен WSUS, админ рад и спокоен — дескать, все, обновления ставятся на автомате, трафик снизился, бегать по компам не надо и пр.
В принципе, все осталость то же самое, но ведь не все используют в работе Microsoft Outlook или Internet Explorer (хотя 8-ка очень неплоха). Есть много людей, привыкших работать с почтовиком The Bat!, броузером Opera или Mozilla.
Если встает вопрос об обновлениях — либо это головняк админу в виде беготни к каждому компьютеру для обновления всем, скажем, Opera, либо юзеры должны сидеть под админами (пускай и локальными, не доменными).
Естественно, ни первый, ни второй способы — не выход.
Значит, надо иметь возможность автоматически устанавливать программы на рабочих станциях, причем желательно делать это до того, как пользователь вошел в систему — ведь если он вошел, он уже не захочет перезагружать машину и т.п.
Надо ставить пользователя перед фактом — программа, его любимая Opera, уже обновлена и админа не колбасит, что версия 10.10 почему-то нравится меньше, чем предыдущая. Просто вышло обновление, и его надо применить. Без вариантов.
Самый распространенный вариант ответа на вопрос — КАК? — Конечно, через Active Directory! — скажет вам любой специалист или просто сисадмин. А как через AD? — спросите вы.
А вам скажут — ?! Вы не знаете, как через AD? Да там же просто, через policy! — но больше вам скорее сего ничего не скажут, потому что для большинства советчиков этот вопрос такой же неясный, как и для вас.
И вам ничего не останется, как гуглить до потери пульса, потому что найти огромный фолиант на тему «как развернуть office 2007» в сети корпорации не проблема, а вот просто и в двух словах — редко что найдете. Не без гордости могу сказать, что данная статья как раз одна из немногих кратких и «без наворотов», попадавшихся мне.
Установка программ из MSI
Все изложенное далее относится к работе с инсталляционными пакетами типа MSI (расширение .msi). Файлы MSI есть (или их можно извлечь) для многих программ (Adobe Acrobat, The Bat, Opera, Firefox и пр.).
Предположим, мы хотим автоматически установить (а по мере выхода обновлений, устанавливать обновления) броузер Firefox. Файл msi для Firefox можно взять здесь (в новом окне).
Настройку шаблона .adm я пропущу, т.к. далеко не всегда это нужно, а еще чаще этот шаблон фиг найдешь. В итоге — дефолтные настройки (либо, если будем ставить поверх старой версии — настройки будут сохранены). Шаблон .adm нам не нужен.
Распределяем права доступа
Предполагаю, что все учетные записи компьютеров (кроме контроллеров домена) находятся в OU «OU Office Computers».
Примечание 1:
Почему лучше не использовать исходное размещение компьютеров (Computers — Компьютеры домена в оснастке Active Directory Users and Computers)? Мне удобнее в дальнейшем управлять политиками для групп компьютеров.
К тому же, когда я посещал курсы Microsoft, я видел, что на контроллерах доменов в тестовых системах и в «боевых», настроенных специалистами Microsoft, используются практически только отдельно созданные OU, а не базовые. Я для себя решил повторять опыт специалистов.
Пока мне от этого только удобнее. Естественно, ИМХО.
Примечание 2:
Не всем пользователям нужен Firefox (как не всем нужен The Bat, Opera и пр.). Поэтому создадим в «OU Office Computers» отдельную группу компьютеров, на которые будет установлен Firefox. Для ясности назовем группу GFirefoxComputers. Отмечу, что это будет именно группа, а не вложенное OU!
Расшариваем какую-либо папку на сервере (на рисунке это SoftwareDistibution, а не Mozilla Firefox, как может показаться) и даем группе GFirefoxComputers доступ на чтение, админу — полный доступ (не компьютеру админа, а пользователю — все-таки вы должны иметь возможность по сети заливать на шару файлы ;)).
Вообще, для проверки того, как все вообще работает, можно обойтись и без группы GFirefoxComputers. Просто для того, чтобы сразу не усложнять себе жизнь, и не пенять на групповые политики, если что пойдет не так
Политика правит миром!
На контроллере домена запускаем редактор групповой политики GPMC.MSC:
… и создаем связанную только с нашим OU «OU Office Computers» групповую политику под названием «Firefox 3.6.3 rus»:
… редактируем нашу политику «Firefox 3.6.3 rus»:
Готовим дистрибутив Firefox для развертывания в сети
В разделе «User Configuration» -> «Software settings» -> «Software Installation» щелкаем правой мышкой и создаем новый объект для установки — наш будущий инсталлятор Firefox.
Выбираем файл MSI, заботливо положенного чьими-то руками в расшаренную папку. Важно: выбирать надо сетевой путь до файла, а не локальный, ведь юзера будут получать доступ к вашей инсталляшке не локально на сервере, а по сети.
Выбираем «Assigned» (Назначенный):
На этом работа с веткой «Software Installation» закончена.
Закрываем все открытые окна на сервере (если не помешает другим задачам, естественно), Пуск -> Выполнить -> gpupdate /force
Установка на рабочих станциях
Далее достаточно просто перезагрузить рабочие станции, чтобы автоматически установился Firefox ДО того, как появится окно для ввода логина/пароля. Иными словами, пользователь будет не в силах чего-то не установить, забыть и пр. Поэтому этот способ так хорош. Вы удаленно решаете, что будет установлено / обновлено на рабочих станциях.
Windows XP бывает не с первой перезагрузки «принимает» нове политики, поэтому можно подойти к юзеру, выполнить команду «gpupdate /force» (не обязательно под админом) и перезагрузить его компьютер.
Обязательно проверьте установку на своем / тестовом компьютере ДО того, как юзеры придут следующим утром, включат компьютеры… а вдруг косяк? Поэтому хотя бы первый раз сначала испытайте на себе.
Дополнительно
Теперь на любой новый компьютер, введенный в состав подразделения OU Office Computers будет установлена последняя версия броузера Firefox. Вам даже не придется ничего делать. Просто и очень полезно.
Таким же образом можно устанавливать практически любой софт, включая Adobe Reader, Adobe Flash Player (которые в обычной ситуации требуют административных прав для установки), The Bat…
да мало ли софта у вас в локальной сети, поддерживать который в актуальном состоянии одна из обязанностей системного администратора.
Нюанс: если вы уже установили какой-либо пакет, в нашем случае Firefox 3.6.3 rus, а через некоторое время вам потребуется его обновить (т.к. рано или поздно выйдет новая версия броузера), сначала удалите политику по установке Firefox 3.6.3, после чего создайте новую. Потом «gpudate /force» и вперед!
Авторизуйтесь для добавления комментариев!
Источник: https://bozza.ru/art-145.html
Установка программного обеспечения средствами групповой политики. Часть 7
Сам процесс установки программного обеспечения, а тем более автоматизации установки, весьма интересен и может включать в себя множество «непредсказуемых нюансов».
Ключи и параметры автоматической установки, скрипты, позволяющие выполнять дополнительную настройку, файлы трансформации и прочие средства позволяют вам упростить процесс инсталляции, тем самым существенно экономя потенциально затрачиваемое время на выполнение различных сценариев.
Само CSE «Установка программ», по большому счету, предоставляет не много возможностей, позволяющих полноценно работать с инсталляционными файлами. Большинство таких возможностей мы уже успели рассмотреть в предыдущих статьях данного цикла, включая настройку самого расширения клиентской стороны, публикацию и назначение программного обеспечения, а также процесс обновления ПО.
По сути, последней темой настоящего цикла является не менее важная задача, а именно удаление проинсталлированного программного обеспечения. По вполне понятным причинам расширение клиентской стороны «Установка программ» позволяет не только устанавливать и обновлять существующее программное обеспечение, а еще и удалять развернутые ранее программы. Делается это также очень просто и с выполнением данной операции у вас не должно возникнуть каких-либо проблем.
Более того, под конец данной статьи вас ждет еще небольшой «бонус», о котором шла речь ранее. Итак,
Удаление проинсталлированных программных продуктов
В этом разделе будет рассматриваться удаление приложения на примере заранее проинсталлированного средствами функциональных возможностей групповой политики простенького XML-редактора под названием «XML Notepad».
Сразу хотелось бы обратить внимание на то, что выполняться такие действия должны в том объекте групповой политики, который уже содержит удаляемое приложение.
Другими словами, создать инсталляционный пакет приложения в одном объекте, а удалить его совершенно в другом, выбрав приложение по аналогии с обновлением, просто невозможно.
Что в таком случае требуется сделать:
- В оснастке «Управление групповой политикой» (Group Policy Management) следует выбрать созданный ранее объект групповой политики (в данном примере такой объект будет называться «GPSI-01») и открыть для него редактор управления групповыми политиками;
- Здесь, в уже отобразившейся оснастке редактора, следует перейти к узлу «Установка программ» (Software Installation) конфигурации компьютера либо пользователя, в зависимости от того, где именно развертывалось приложение. В настоящем примере это будет узел конфигурации компьютера;
- Находясь в этом узле, необходимо локализовать и выделить удаляемое приложение (главное, чтобы в диалоговом окне такого инсталляционного пакета был установлен флажок на опции «Удалять это приложение, если его использование выходит за рамки, допустимые политикой управления» (Uninstall this application when it falls the scope of management)). После этого, для того чтобы выбранное вами приложение было удалено с пользовательских компьютеров, следует из контекстного меню данного приложения выбрать команду «Все задачи» (All tasks), а затем «Удалить» (Remove). Как вы видите на следующей иллюстрации, в диалоговом окне «Удаление приложений» (Remove Software) можно выбрать одну из двух следующих опций:
- «Немедленное удаление этого приложения с компьютеров всех пользователей» (Immediately uninstall the software from users and computers). В этом случае, в зависимости от узла, из которого выполняется данное действие, будет удалено выбранное приложение при выполнении последующего входа пользователем в систему или перезагрузке компьютера;
- «Разрешить использование уже установленного приложения, но запретить установку» (Allow users to continue to use the software, but prevent new installations). Здесь же, в свою очередь, вы разрешите пользователям работать с программой, но при условии, что она у них уже проинсталлирована. Если же пользователь удалит это приложение или еще не успел его проинсталлировать, то больше установить его он не сможет.
Рис. 1. Диалоговое окно удаления программного обеспечения
- В нашем случае достаточно будет остановиться на первом варианте, то есть на немедленном удалении программного продукта, где и оставляем установленный по умолчанию переключатель. Сразу после сохранения изменений приложение моментально удалится из области сведений данной оснастки.
После выполнения данных действий следует запустить команду gpupdate с параметрами /force /boot. Как и в случае с обновлением программного обеспечения, добровольно-принудительно будет предложено перезагрузиться.
Чтобы удостовериться, что программа будет полностью удалена с компьютера и ее невозможно будет найти в компоненте «Программы и компоненты», следует немного подождать, пока целевой компьютер перезагрузится.
Аналогично с процессом обновления ПО, как видно на следующей иллюстрации, во время выполнения входа снова должна красоваться надпись «Удаление управляемого программного обеспечения XML Notepad» (Removing managed software XML notepad).
Рис. 2. Процесс удаления ПО
Как следствие, после выполнения входа в систему ярлык с рабочего стола будет удален. На всякий случай можно зайти в окно установки программ панели управления, чтобы убедиться, что этого приложения там тоже нет и что его нельзя будет установить со страницы «Установка новой программы из сети» (Install a program from the network). Все отработало правильно, удаленное при помощи функциональных возможностей групповой политики приложение нигде не фигурирует.
Дополнительный сценарий – запрещаем удалять установленный программный продукт
Как я и обещал, сейчас в качестве бонуса будет рассмотрен последний в этом цикле статей сценарий, в котором будет заново назначен для пользователей редактор XML Notepad, однако с таким условием, чтобы пользователь не смог его удалить при помощи компонента панели управления «Программы и компоненты».
Все эти действия будут выполняться внутри созданного ранее объекта групповой политики «GPSI-01». Как следует поступить для выполнения указанной выше задачи:
- Для начала следует открыть для указанного ранее объекта групповой политики редактор GPME. Теперь в оснастке «Редактор управления групповыми политиками» (Group Policy Management Editor), находясь в узле «Установка программ» (Software Installation) конфигурации пользователя, создается новый инсталляционный пакет;
- В соответствующем диалоговом окне нужно локализовать инсталляционный файл XMLNotepad.msi. Для создания такого пакета в диалоговом окне «Развертывание программ» (Deploy Software) можно остановиться на опции «особый» (Advanced);
- И снова возможности первой вкладки в данном примере нас не сильно интересуют, поэтому сразу следует перейти ко вкладке «Развертывание» (Deployment). Так как изначально было оговорено, что редактор будет назначаться на пользователя, в качестве метода распространения программного продукта выбирается параметр «Назначенный» (Assigned);
- Теперь осталось реализовать сценарий, в котором требуется запретить пользователю со своими шаловливыми ручками удалять это программное обеспечение привычным для него способом (здесь подразумевается именно удаление при помощи апплета панели управления «Программы и компоненты»). Помимо этого, как и во всех предыдущих случаях, приложение должно быть удалено лишь в том случае, если пользователь будет перемещаться между организационными единицами, а также, для большего удобства, сейчас необходимо сделать так, чтобы программа автоматически была проинсталлирована сразу после следующего входа в систему. Какие действия на текущей вкладке еще осталось выполнить и что за параметры следует отметить? Исходя из поставленных условий, сейчас необходимо установить уже не два, а целых три флажка. Если быть точнее, это будут: «Удалять это приложение, если его использование выходит за рамки, допустимые политикой управления» (Uninstall this application when it falls the scope of management), «Не отображать этот пакет в окне мастера установки и удаления программ панели управления» (Do not display this package in the Add/Remove Programs control panel), а также «Устанавливать это приложение при входе в систему» (Install this application at logon). Более на данном этапе нас ничего не интересует, то есть можно сохранять все внесенные в пакет изменения. Диалоговое окно с вкладкой развертывания пакета изображено ниже:
Рис. 3. Вкладка «Развертывания» диалогового окна свойств инсталляционного пакета
Сейчас пришло время проверять. В очередной раз следует выполнить команду Gpupdate с параметром /force (специально для форсированного применения) и немного подождать, пока операционная система предложит выйти из системы.
После выполнения входа программа будет установлена. Это хорошо, половина дела сделана. Остается перейти к панели управления и открыть компонент «Программы и компоненты». Как только пользователь перейдет к этому апплету сразу будет видно, что отсюда мы более не вправе удалять данное приложение. Однако, если пользователь очень захочет это сделать, он пока еще сможет удалить программу, используя файл деинсталляции ПО uninstall.exe.
Чтобы предотвратить такие действия, следует воспользоваться возможностями политик ограниченного использования программ или такого компонента современных операционных систем, как AppLocker. Однако об этих возможностях речь пойдет не в этой статье.
Заключение
Сегодня вы узнали о том, как можно удалить проинсталлированное при помощи расширения клиентской стороны «Установка программ» программное обеспечение, а также каким образом можно так установить программу, чтобы пользователь ее не смог удалить средствами возможностей панели управления.
Глядя на рассмотренные на протяжении семи статей данного цикла возможности, несмотря на все преимущества распространения программного обеспечения средствами групповой политики, можно также найти и множество недостатков, на которые следует обратить свое внимание при планировании распространения ПО.
Например, к одному из таких недостатков можно отнести то, что распространять программное обеспечение средствами групповой политики можно только в домене Active Directory. А если в вашей организации пользователи еще работают под управлением таких операционных систем, как Windows 95/98 или Windows NT, то развернуть приложения для таких клиентов средствами GPO будет невозможно.
Также вы не можете штатными средствами установить программный продукт из exe-инсталлятора, что является очень досадным недостатком. Помимо этого, при развертывании приложений средствами групповой политики вы не можете настроить график установки или распространять приложения при помощи многоадресного сетевого вещания.
Другими словами, распространение программного обеспечения средствами групповой политики не обеспечивает набор определенных функциональных возможностей, которые могут понадобиться для управления программным обеспечением в крупной организации. В таких случаях лучше всего использовать такой продукт, как System Center Configuration Manager.
А если вас заинтересуют дополнительные возможности установки программных продуктов средствам SCCM, я с радостью могу начать рассматривать эту процедуру в новом цикле статей, посвященном установке программного обеспечения, но уже при помощи такого «монстра», как System Center Configuration Manager.
Rating: 9.9/10 (8 votes cast)Установка программного обеспечения средствами групповой политики. Часть 7, 9.9 10 8 ratings
Источник: http://gpo-planet.com/?p=4067
Установка и обновление MyChat в Active Directory с помощью MSI
Это — устаревшая статья, актуальная версия находится в официальной справке.
В данном пошаговом руководстве описан метод, который Вы сможете использовать для управления установкой MyChat клиента на пользовательские компьютеры.
При описании сценария установки, использующегося в данном руководстве, в качестве примера используется сервер под управлением операционной системы Windows Server 2003, пользовательская рабочая станция — Windows XP.
В результате установленные клиенты чата будут использовать «прозрачную» авторизацию на сервере MyChat. Это означает, что клиенты будут подключаться к серверу, не требуя ввода логина и пароля, автоматически, используя авторизацию в Active Directory.
Если у Вас еще нет MSI пакета MyChat — его можно скачать отсюда.
Примечание. Если Вы будете устанавливать MyChat клиент для пользователей терминальных сессий, читайте эту статью, установка значительно отличается от описанной здесь.
Первое что необходимо сделать — на сервере либо на любом другом компьютере в сети создать общедоступную папку. В эту папку переписываем установочный пакет.
1. Настройка групповой политики
С помощью групповых политик настроим необходимую конфигурацию групп пользователей, которым будет установлен или обновлен MyChat клиент. Для этого откроем управление групповыми политиками и зайдем в свойства группы, с которой будем работать:
В свойствах заходим в раздел «Групповая политика«, создаем новый объект групповых политик и нажимаем «Изменить«:
Теперь заходим в «Установку программ» ветки «Конфигурация пользователя» и добавляем сюда MSI пакет, находящийся на общедоступном сетевом ресурсе.
Примечание. Данный объект групповой политики можно развернуть двумя способами: первый для «Конфигурации компьютера» — этот метод предусматривает установку на каждую рабочую станцию один раз, второй для «Конфигурации пользователя» — этот метод используется для индивидуальной установки клиентов чата каждому пользователю в выбранной группе домена. Будем использовать «Конфигурацию пользователя»:
В диалоговом окне выбора метода развертывания программ выбираем «Назначенный«.
Теперь заходим в свойства устанавливаемого пакета двойным кликом по названию, переходим на закладку «Развертывание» и устанавливаем галку «Установить это приложение при входе в систему«. Эта опция необходима для автоматической установки MyChat клиента при авторизации пользователя в домене. Пользователям установка будет производиться один раз.
Следующим шагом настроим правило установки, позволяющее установить приложение пользователям с ограниченными правами, на клиентских компьютерах. Правило находится в «Административные шаблоны» — «Компоненты Windows» — «Установщик Windows» и включаем правило «Всегда производить установку с повышенными привилегиями» (это правило относится исключительно к данной установке MyChat клиента).
Также необходимо(?) отключить «Автоматическую подачу заявок на сертификаты«, это правило находится в «Конфигурация Windows» — «Параметры безопасности» — «Политики открытого ключа«.
2. Запись адреса сервера в реестр клиента (необходимо для прозрачной авторизации пользователя)
Следующим шагом необходимо сообщить установленному MyChat клиенту, что он установлен на компьютер, входящий в домен. MyChat определяет это по наличию записи в реестре:
REGEDIT4 [HKEY_CURRENT_USER\Software\MyChat Client] «Domain»=»Domain_name» «IP»=»IP_adress_MyChat_Server» «Port»=»PORT_MyChat_Server» «ServerPassword»=»» «ServerSSL»=»yes|no»
Domain, IP, Port — строковые параметры. Готовый файл реестра можно скачать здесь: MCDOMAIN.REG, кодировка файла DOS, не забудьте вписать свои параметры.
Начиная с версии MyChat 4.9.5 добавлены два новых параметра: ServerPassword (пароль для подключения к серверу, это не пароль пользователя) и ServerSSL (использовать или не использовать SSL шифрование трафика при подключении к серверу — «yes» или «no»).
Заходим в «Конфигурация Windows» — «Сценарии (вход/выход из системы)» — «Вход в систему» и добавляем логин-скрипт MCSCRIPT.CMD
Содержимое MCSCRIPT.CMD:
regedit.exe /s \\[SERVER_NAME]\[SHARED_FOLDER]\mcdomain.reg
Этот скрипт выполнится в автозагрузке пользователей выбранной группы при авторизации и пропишет необходимые данные в реестр.
Скрипт-логин MCSCRIPT.CMD необходимо разместить на контроллере домена в
\\[Server_name]\SysVol\[Domain_name]\Policies\[CLSID]\User\Scripts\Logon\mcscript.cmd
Пример:
\etwork-cc82012\SYSVOLSS\Policies\{4F3B38EA-961E-4D71-8AF6-E6B2C1BC4F0D}\User\Scripts\Logon\mcscript.cmd
Где:
Network-cc82012 — сетевое имя сервера;
NSS — имя домена;
{4F3B38EA-961E-4D71-8AF6-E6B2C1BC4F0D} — CLUID настраиваемой групповой политики.
Итак, необходимые действия для развертывания MyChat клиента готовы.
В завершении закрываем открытые нами окна, запускаем консоль («Выполнить» в меню пуск) CMD.EXE, выполняем команду GPUPDATE /FORCE, она принудительно применит групповые политики (если в результате выполнения этой команды ОС предложит перезагрузку — она не обязательна, нажимаете и все готово).
3. Обновление MyChat клиента
Процесс обновления абсолютно идентичен установке. Единственная разница в том, что необходимо удалить предыдущую версию клиента.
Таким образом, удалятся исполняемые файлы программы, а база переговоров и настроек останется. Далее добавляем новую версию чата, как описано в начале данного руководства. После выполнения всех вышеописанных действий MyChat будет установлен/обновлен.
4. Получение списка пользователей из Active Directory для MyChat Server
Для экспорта пользователей Active Directory мы используем стандартные средства операционной системы. Наша утилита для получения информации о пользователях представлена в виде CMD скрипта, который Вы можете скачать. Также он входит в стандартную сборку MyChat Server (…\doc\ActiveDirectory\export_ad_users_ru.cmd).
В результате выполнения данного скрипта формируется специальный файл users.ad, который и необходимо импортировать на сервере. Для этого зайдите в «Администрирование» — «Интеграция с Active Directory» — выберите способ импорта «Из файла«, затем выберите подготовленный файл users.ad и нажмите кнопку «Импорт AD пользователей«.
В появившемся списке Вы можете выбрать необходимых пользователей и добавить их в базу сервера. Кроме Ника пользователей во время импорта добавляется такая информация, как Фамилия, Имя, Рабочий телефон, Мобильный телефон, Отдел, Офис, Название организации, E-mail, WWW страница.
Источник: https://nsoft-s.com/mychatarticles/678-mychat-ad-install.html
Установка приложений с .EXE-инсталляторами средствами GPO
Ни для кого не является секретом то, что в организациях установка приложений на клиентские компьютеры должна быть (или, если честно, то рекомендуется, чтобы была) автоматизированной. Естественно, комплексные продукты, например, такие как Microsoft System Center Configuration Manager, могут превосходно справляться с такой задачей, однако ведь всегда были, есть и будут организации, которые по той или иной причине не приобрели себе такой продукт.
Поэтому приходится устанавливать программные продукты с помощью тех же штатных средств операционных систем Windows, и для выполнения такой задачи предпочтительными становятся функциональные возможности групповой политики.
Также все прекрасно знают и о том, что при помощи расширения клиентской стороны Group Policy Software Installation – GPSI, приложения можно развертывать на клиентские машины двумя методами: либо путем публикации только для пользователей, либо при помощи назначения для пользователей или компьютеров.
По большому счету, для публикации приложений можно использовать как MSI-инсталляторы, так и *.zap-файлы, причем оба пакета установки обрабатываются по-разному.
Например, файл пакета установки программного обеспечения MSI содержит базу данных со всеми необходимыми инструкциями по установке или удалению приложения, а за установку программы на клиентском компьютере отвечает служба «Установщик Windows», использующая для чтения файлов *.msi библиотеку Msi.dll.
Соответственно, на основании объявленной в инсталляционном пакете информации данная служба копирует файлы программы на жесткий диск, а также вносит изменения в реестр и выполняет прочие задачи, указанные в инсталляторе. Чаще всего вся информация, указанная в инсталляционном msi-файле, задается разработчиком устанавливаемого программного продукта.
Однако, так как не все производители программного обеспечения используют инсталляционные файлы установщика Windows, в некоторых случаях может понадобиться создавать пакеты низкоуровневых приложений на основе инициативы нулевого администрирования (в оригинале это звучит как ZAW – Zero Administration for Windows), то есть *.zap-файлы, являющиеся текстовыми файлами с необходимыми инструкциями по установке приложения.
После создания такого файла его необходимо поместить в папку с инсталляционным пакетом, чтобы расширение клиентской стороны смогло выполнить инструкции по установке, после публикации которого приложение появится в компоненте панели управления «Программы и компоненты», и пользователи смогут его установить.
Но, в отличие от MSI-инсталлятора, у zap-файлов есть такие существенные ограничения, как, например, то, что у вас не получится настроить процесс установки приложения, если инсталлятор не содержит параметров установки.
Сразу хотелось бы отметить, что данный метод не настолько гибкий, как установка программного обеспечения при помощи инсталляционных пакетов MSI, однако, в том случае, если у вас нет возможности сконвертировать инсталляционный файл, а приложение обязательно должно быть централизовано развернуто, такой метод может оказаться как никогда кстати.
Ввиду того, что в такой текстовый файл вносятся инструкции по установке существующего exe-файла, как для 32-, так и для 64-разрядных приложений, возможности инсталляции программных продуктов при помощи данного метода не предусматривают следующие возможности:
- Запуск приложений с повышенными привилегиями;
- Откат изменений при неудачном процессе установки программного обеспечения;
- Обнаружение повреждения процесса инсталляции и последующее восстановление данного процесса;
- Установка компонентов программного обеспечения при первом обращении к последнему;
- Использование и внедрение файлов трансформации.
И это лишь основная часть тех вещей, которые вы не сможете выполнять во время развертывания программного обеспечения средствами ZAP-файлов. Между прочим, развертывание приложений таким образом можно реализовать лишь путем публикации приложений. Так что пользователи, как я уже упомянул несколькими строками выше, смогут установить такие продукты непосредственно из страницы «Install a program from the network» компонента панели управления «Программы и компоненты». Прежде чем как мы с вами начнем создавать такой файл и пробовать при помощи него, исключительно в тестовых целях, развертывать такой программных продукт, как Irfan View, думаю, будет правильно, если я сейчас немного расскажу о структуре таких файлов. В таком файле обязательными являются только первые две строки, где будут указаны такие параметры, как:
- FriendlyName – то есть, это имя, которое будет отображаться в компоненте панели управления «Программы и компоненты»;
- SetupCommand – здесь определяется путь к файлу установки приложения. Естественно, при необходимости вы можете указать как путь UNC, так и использовать сопоставленный диск. Также, если приложение можно устанавливать с дополнительными параметрами, эти параметры следует указывать после пути установки.
Другими словами, при использовании этого метода вам предварительно следует изучить все дополнительные параметры инсталляционных файлов для каждого продукта.
Помимо этих двух параметров, для того, чтобы в расширении CSE «Установка программ» или в компоненте панели управления «Программы и компоненты» отображалась версия приложения и прочая информация, во время написания такого файла вы можете добавить еще и несколько дополнительных параметров. Например, следующие необязательные параметры считаются наиболее распространёнными:
- DisplayVersion = 2.13.1.5. Как вы понимаете, этот параметр отвечает за отображаемую версию программного обеспечения;
- Publisher – название компании, являющейся производителем приложения. Это название будет отображено в компоненте панели управления «Программы и компоненты», а также в самом расширении клиентской стороны «Установка программ»;
- URL – естественно, это адрес в сети Интернет, предназначенный для получения дополнительной информации о приложении.
Ограничения ZAP-файлов
Как я уже успел упомянуть, в отличие от установочных пакетов msi, приложения, развёртываемые средствами zap-файлов, нельзя назначать компьютерам или пользователям. Также стоит отметить, что при установке приложения текущим методом запускается стандартная программа установки.
Другими словами, помимо добавляемых параметров, при помощи каких-либо дополнительных параметров этого файла вы не можете настроить процесс установки программного обеспечения. Еще одним ограничением является тот факт, что приложение не может быть установлено от имени учетной записи администратора, что может быть в некоторых случаях крайне неудобно. То есть приложения всегда устанавливаются локальным администратором.
При создании ZAP-файлов вы обязательно должны принять к сведению следующие моменты (о некоторых из них я уже говорил несколькими строками выше):
- Во-первых, ввиду того, что при помощи выполнения ZAP-файла просто запускается инсталляционная программа, как я уже говорил, данное средство не позволяет выполнять инсталляционный процесс с повышенными правами, что можно реализовать при помощи пакетов MSI.
Следовательно, если приложение во время своей установки запросит повышение прав, его смогут проинсталлировать только те пользователи, для которых явно прописано такое разрешение;
- Во-вторых, ввиду того, что ZAP-файлы являются текстовыми документами, при сохранении такого файла можно случайно создать файл с расширением .zap.txt, что, по вполне понятным причинам, не сможет корректно отработать.
Другими словами, убедитесь, что файл будет сохранен с правильным расширением;
- В-третьих, если у вас в сети есть компьютеры с 64-разрядными операционными системами, вам следует обязательно протестировать процесс установки и работы 32-разрядных приложений на таких операционных системах.
Это очень важный этап, так как много 32-разрядных приложений, развертываемых при помощи ZAP-файлов, могут сбоить во время своей установки;
- И в-четвертых, если при создании ZAP-файла с 32-разрядным программным обеспечением вы не измените его поведение, оно не будет отображаться в компоненте панели управления «Программы и компоненты» под 64-разрядными операционными системами.
Думаю, о назначении и применении этих файлов, предназначенных для публикации программного обеспечения, вы уже узнали кое-какую информацию, и настало время попробовать создать и распространить приложение этим методом.
Процесс развертывания происходит следующим образом: прежде всего, информация о процессе установки программного продукта подробным образом записывается в ZAP-файл.
Инсталлятор, естественно, должен находиться в общедоступном расположении, так как в противном случае ничего не выйдет. После этого вам необходимо разместить сгенерированный файл в общедоступной точке распространения программного обеспечения. Это делается для того, чтобы созданный вами объект групповой политики мог локализовать этот файл. И в конце концов, создается сам объект GPO, связывается с необходимым подразделением и при помощи расширения клиентской стороны «Установка программ» распространяемый программный продукт публикуется для пользователей.
Рассмотрим эти процессы, начиная с создания самого ZAP-файла.
Создание ZAP-файла
Публиковать мы сейчас будем, как я написал выше, такой программный продукт, как Irfan View, поэтому предварительно инсталляционный файл желательно откуда-то скачать и разместить в общедоступную папку. Теперь, как я уже говорил, прописав просто путь к исполняемому файлу, во время развертывания программного обеспечения его инсталлятор будет запущен для пользователя.
и последнему придется пройти все этапы мастера перед тем, как программа будет установлена. Для многих пользователей это будет большой проблемой, и по этой причине вместе с путем к инсталляционному файлу нужно указать параметры, предназначенные для тихой установки. Благо, данный программный продукт предоставляет возможность такой установки.
Инсталлятор Irfan View имеет целый перечень различных параметров, которые могут вам помочь во время тихой установки этого продукта. Давайте их рассмотрим:
- Silent – выполнение тихой установки, то есть без участия пользователя;
- Folder – папка назначения. Если она при помощи этого параметра не указана, то в таком случае будет использоваться старая папка IrfanView.
Если же таковая отсутствует, то используется папка «Program Files\IrfanView»;
- Desktop – создает ярлык на рабочем столе; 0 = no, 1 = yes (по умолчанию: 0);
- Thumbs – создает ярлык для режима миниатюр; 0 = no, 1 = yes (по умолчанию: 0);
- Group – создает группу в меню «Пуск»; 0 = no, 1 = yes (по умолчанию: 0);
- Allusers – ярлыки на рабочем столе/в меню «Пуск» для пользователей; 0 = для текущего пользователя, 1 = для всех;
- Assoc – позволяет установить файловые ассоциации; 0 = не устанавливать, 1 = только изображения, 2 = выбрать все (по умолчанию: 0);
- Assocallusers – если используется этот параметр, то файловые ассоциации устанавливаются для всех пользователей (работает только в Windows XP);
- Ini – если используется, устанавливает пользовательскую папку для INI файла (допустимы системные переменные).
Следовательно, для установки этого программного обеспечения мы будем использовать примерно такую команду:
iview435_setup.exe /silent /desktop=1 /thumbs=1 /allusers=1 /assoc=1
Теперь, когда мы точно знаем, при помощи какой команды будет происходить установка этого программного продукта, можно приступать к написанию самого zap-файла. Следовательно, чтобы составить такой файл, выполним следующие действия:
- Открываем любой текстовый редактор, например, тот же «Блокнот»;
- В самой первой строке создаваемого файла указывается секция Application, заключенная в прямоугольные скобки. То есть, записываем в этой строке так: [Application];
- Как я уже успел написать выше, здесь две строки являются обязательными, а именно: строка FriendlyName и строка SetupCommand. Как в первой, так и во второй строке значения указываются после равно в кавычках. Знак равно обрамляется пробелами. То есть, получаем такие строки:
FriendlyName = “Irfan View”
SetupCommand = “\\ИМЯСЕРВЕРА\Install\…, а дальше идет имя нашего инсталляционного файла со всеми параметрами “iview435_setup.exe” /silent /desktop=1 /thumbs=1 /allusers=1 /assoc=1
Источник: https://habr.com/post/174743/