понедельник, 23 января 2012 г.

Установка программ групповыми политиками

Надысь возникла задача привести к единой версии используемое в рабочей сети ПО.

Решил начать с малого - Adobe Reader и Firefox, ибо версий этих продуктов в политиках ограниченного запуска программ прописано очень много.

Поскольку админы - существа не просто ленивые, а очень ленивые, то решил переложить задачу распростаранения ПО на юзвергские машины на хрупкие плечи групповой политики.

Придумано - сказано - сделано!

Создал сетевой ресурс (шару) на доступном сервере, выложил туда msi-пакеты, создал объект групповой политики, который будет отвечать за распространение ПО, привязал его к нужным подразделениям в Active Directory, прописал хэши исполнимых файлов в политике ограниченного запуска программ. Вроде готово. Но заработало не всё и не сразу.

Вот нюансы, которые следует учитывать при планировании и разворачивании групповой политики распространения ПО:

1. При создании сетевого ресурса к разрешениям и безопасности надо добавлять группу “Компьютеры домена”.
2. При указании пути во время создания установочного пакета в политике имя сетевой путь к серверу следует указывать не по ip-адресу, а по полному имени сервера (FDQN), то бишь не \\192.168.0.1\шара\папка\пакет.msi, а \\сервер.имя.домена\шара\папка\пакет.msi.
3. Дистрибутив Firefox поставляется производителями в виде exe-файла. msi-пакет брал тут - http://www.frontmotion.com/Firefox/download_firefox.htm.
4. С дистрибутивом Adobe Reader ситуация сложнее. Решил поставить самую-пресамую последнюю версию на сегодняшний день. msi-пакет брал у производителя - ftp://ftp.adobe.com/pub/adobe/reader/win/10.x/10.1.0/ru_RU/AdbeRdr1010_ru_RU.msi. На сегодняшний день самая последняя русская версия - 10.1.0. Заодно скачал пакет обновлений до версии 10.1.2 - ftp://ftp.adobe.com/pub/adobe/reader/win/10.x/10.1.2/misc/AdbeRdrUpd1012.msp. Теперь немного магии командной строки:
msiexec /a <путь к пакету msi>\AdbeRdr1010_ru_RU.msi
Этой командой создаём административную установку. Соглашаемся, на вопрос о пути указываем путь к папке, которая выступает сетевым ресурсом (например, d:\Distribute\Adobe_Reader\).
msiexec /a <путь к пакету msi из каталога административной установки>\AdbeRdr1010_ru_RU.msi /p <путь к пакету msp>\AdbeRdrUpd1012.msp
Этой командой применяем патч-обновление до версии 10.1.2
5. Рекомендую перед разворачиванием политики распространиения ПО на весь домен протестировать её на отдельно взятом подразделении. У меня “хомячками” были ребята из техподдержки :) .

Вот и всё.
Про обновление установленного ПО напишу после того, как сам распространю обновления.

Кросспост из моего ЖЖ.


Комментариев нет:

Отправить комментарий