Как удаленно установить программу на компьютер в домене
Перейти к содержимому

Как удаленно установить программу на компьютер в домене

  • автор:

Использование групповой политики для удаленной установки программного обеспечения

В этой статье описывается, как использовать групповую политику для автоматического распространения программ для клиентских компьютеров или пользователей.

Применяется к: Windows Server 2012 R2
Оригинальный номер базы знаний: 816102

Сводка

Вы можете использовать групповую политику для распространения компьютерных программ с помощью следующих методов:

  • Назначение программ Вы можете назначить распространение программ пользователям или компьютерам. Если вы назначаете программу пользователю, она устанавливается при входе пользователя на компьютер. При первом запуске программы пользователем установка завершается. Если вы назначаете программу компьютеру, она устанавливается при запуске компьютера и доступна для всех пользователей, выполнивших вход на компьютер. При первом запуске программы пользователем установка завершается.
  • Публикация программ Вы можете опубликовать распространение программ для пользователей. Когда пользователь выполняет вход на компьютер, опубликованная программа отображается в диалоговом окне Установка и удаление программ, где ее можно установить.

Для автоматической установки групповой политики Windows Server 2003 с помощью программы, работающей в автоматическом режиме, требуются клиентские компьютеры под управлением Microsoft Windows 2000 или более поздней версии.

Создание точки распространения

Чтобы опубликовать или назначить компьютерную программу, создайте точку распространения на сервере публикации, выполнив следующие действия:

  1. Войдите на сервер как администратор.
  2. Создайте общую сетевую папку, в которую будет помещен пакет установщика Windows (MSI-файл), который требуется распространить.
  3. Задайте разрешения для общей папки, чтобы разрешить доступ к пакету распространения.
  4. Скопируйте или установите пакет в точку распространения. Например, чтобы распространить MSI-файл, запустите административную установку ( setup.exe /a ), чтобы скопировать файлы в точку распространения.

Создание объекта групповой политики

Чтобы создать объект групповой политики, который будет использоваться для распространения пакета программного обеспечения, выполните следующие действия:

  1. Запустите оснастку «Active Directory — пользователи и компьютеры», нажав кнопку Пуск, затем перейдите к разделу Администрирование и нажмите Active Directory — пользователи и компьютеры.
  2. В дереве консоли щелкните правой кнопкой мыши домен и выберите Свойства.
  3. Откройте вкладку Групповая политика и щелкните Создать.
  4. Введите имя для новой политики и нажмите клавишу ВВОД.
  5. Щелкните Свойства и откройте вкладку Безопасность.
  6. Снимите флажок групповая политика для групп безопасности, к которым эта политика не применяется.
  7. Установите флажок Применить групповую политику для групп, к которым будет применяться эта политика.
  8. После этого нажмите кнопку ОК.

Назначение пакета

Чтобы назначить программу компьютерам под управлением Windows Server 2003, Windows 2000 или Windows XP Professional или пользователям, которые выполняют вход на одну из этих рабочих станций, выполните следующие действия:

  1. Запустите оснастку «Active Directory — пользователи и компьютеры», нажав кнопку Пуск, затем перейдите к разделу Администрирование и нажмите Active Directory — пользователи и компьютеры.
  2. В дереве консоли щелкните правой кнопкой мыши домен и выберите Свойства.
  3. Перейдите на вкладку Групповая политика, выберите нужную политику, затем нажмите Изменить.
  4. В разделе Конфигурация компьютера разверните узел Конфигурация программ.
  5. Щелкните правой кнопкой мыши пункт Установка программ, наведите указатель на команду Создать, а затем выберите пункт Пакет.
  6. В диалоговом окне Открыть введите полный UNC-путь к нужному общему пакету установщика. Например, \\\\.msi .

Важно! Не используйте кнопку Обзор для доступа к расположению. Убедитесь, что используется UNC-путь к общему пакету установщика.

Публикация пакета

Чтобы опубликовать пакет для пользователей компьютера и сделать его доступным для установки из списка Установка и удаление программ в панели управления, выполните следующие действия:

  1. Запустите оснастку «Active Directory — пользователи и компьютеры», нажав кнопку Пуск, затем перейдите к разделу Администрирование и нажмите Active Directory — пользователи и компьютеры.
  2. В дереве консоли щелкните правой кнопкой мыши домен и выберите Свойства.
  3. Перейдите на вкладку Групповая политика, выберите нужную политику, а затем нажмите Изменить.
  4. В разделе Конфигурация пользователя разверните узел Конфигурация программ.
  5. Щелкните правой кнопкой мыши пункт Установка программ, наведите указатель на команду Создать, а затем выберите пункт Пакет.
  6. В диалоговом окне Открыть введите полный UNC-путь к нужному общему пакету установщика. Например, \\file server\share\file name.msi .

Важно! Не используйте кнопку Обзор для доступа к расположению. Убедитесь, что используется UNC-путь к общему пакету установщика.

Примечание. Приведенные ниже действия могут отличаться в зависимости от установленной на компьютере версии операционной системы Windows. В этом случае для выполнения таких действий следует обратиться к документации к продукту.

  1. Войдите на рабочую станцию под управлением Windows 2000 Professional или Windows XP Professional с помощью учетной записи, для которой был опубликован пакет.
  2. В Windows XP нажмите кнопку Пуск и выберите Панель управления.
  3. Дважды щелкните пункт Установка и удаление программ и нажмите Установка программ.
  4. В списке Установка программ из локальной сети выберите опубликованную программу и нажмите кнопку Добавить. Программа установлена.
  5. Нажмите кнопку ОК, а затем нажмите кнопку Закрыть.

Повторное развертывание пакета

В некоторых случаях может потребоваться повторное развертывание пакета программного обеспечения (например, при обновлении или изменении пакета). Чтобы выполнить повторное развертывание пакета, следуйте указанным ниже действиям:

  1. Запустите оснастку «Active Directory — пользователи и компьютеры», нажав кнопку Пуск, затем перейдите к разделу Администрирование и нажмите Active Directory — пользователи и компьютеры.
  2. В дереве консоли щелкните правой кнопкой мыши домен и выберите Свойства.
  3. Перейдите на вкладку Групповая политика, выберите объект групповой политики, который был использован для развертывания пакета, затем нажмите Изменить.
  4. Разверните контейнер Конфигурация программ, содержащий элемент установки программного обеспечения, который использовался для развертывания пакета.
  5. Выберите контейнер установки программного обеспечения, содержащий пакет.
  6. В правой области окна Групповая политика щелкните правой кнопкой мыши программу, перейдите к пункту Все задачи, затем нажмите Развернуть приложение заново. Появится следующее сообщение:

Повторное развертывание этого приложения приведет к повторной установке приложения везде, где оно уже установлено. Продолжить?

Удаление пакета

Чтобы удалить опубликованный или назначенный пакет, выполните следующие действия:

  1. Запустите оснастку «Active Directory — пользователи и компьютеры», нажав кнопку Пуск, затем перейдите к разделу Администрирование и нажмите Active Directory — пользователи и компьютеры.
  2. В дереве консоли щелкните правой кнопкой мыши домен и выберите Свойства.
  3. Перейдите на вкладку Групповая политика, выберите объект групповой политики, который был использован для развертывания пакета, затем нажмите Изменить.
  4. Разверните контейнер Конфигурация программ, содержащий элемент установки программного обеспечения, который использовался для развертывания пакета.
  5. Выберите контейнер установки программного обеспечения, содержащий пакет.
  6. В правой области окна Групповая политика щелкните программу правой кнопкой мыши, наведите указатель на пункт Все задачи и нажмите Удалить.
  7. Выполните одно из следующих действий:
    • Выберите Немедленное удаление этого приложения с компьютеров всех пользователей, затем нажмите кнопку ОК.
    • Выберите Разрешить использование уже установленного приложения, но запретить новую установку, затем нажмите кнопку ОК.
  8. Закройте оснастку «Групповая политика», нажмите кнопку ОК, затем закройте оснастку «Active Directory — пользователи и компьютеры».

Устранение неполадок

Опубликованные пакеты отображаются на клиентском компьютере после использования групповой политики для их удаления.

Такая ситуация может возникнуть, если пользователь установил программу, но не использовал ее. Установка завершается при первом запуске опубликованной программы пользователем. После этого групповая политика удаляет программу.

Обратная связь

Были ли сведения на этой странице полезными?

Установка программ с помощью групповых политик в домене Active Directory

date

15.11.2022

user

itpro

directory

Active Directory, Windows 10, Windows Server 2019, Групповые политики

comments

комментариев 40

В этой статье мы рассмотрим, как устанавливать программы на компьютеры пользователей домена Active Directory с помощью групповых политик.

�� Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Встроенный функционал GPO Windows позволяет устанавливать только программы, распространяющееся в виде MSI или ZAP пакетов. Другие виды программ придется устанавливать альтернативными средствами: с помощью SCCM, через логон скрипты, копирование файлов программы на компьютеры с помощью GPO, запуском разовых скриптов и т.д.

Получите установочный MSI пакет программы

Рассмотрим, как установить MSI пакет программы на компьютеры пользователей с помощью групповых политик Windows на примере клиента Microsoft Teams.

Скачайте MSI пакет с клиентом Teams (http://aka.ms/teams64bitmsi) и скопируйте файл Teams_windows_x64.msi в каталог SYSVOL на контроллере домена ( \\winitpro.ru\SysVol\winitpro.ru\scripts ).

скопировать установочный MSI файл программы в SYSVOL

Обратите внимание, что есть x86 и x64 версии MS Teams. Если у вас остались компьютеры x86 версиями Windows, вам нужно создать отдельные политики для x86 и x64 компьютеров. Для фильтрации версий Windows в политиках можно использовать WMI фильтры GPO.

Далеко не все программы предоставляются в виде MSI файла. Чаще всего разработчики отдают их в виде исполняемых EXE файлов, которые не подходят для распространения через GPO. Но есть два способа, которые в некоторых случаях получить установочный MSI программы:

извлечь установочный MSI файл из EXE с помощью 7zip

  • Некоторые установщики при запуске распаковывают свои файлы в каталог %temp%. Поэтому при установке программы (просто сверните окно установки) попробуйте открыть этот каталог и найти в нем установочный MSI файл.
  • Другой способ получения MSI файла – попробовать открыть установочный EXE файл с помощью архиватора 7-Zip. Запустите 7-Zip и в меню выберите File -> 7ZIP –> Open Archive. 7ZIP попробует открыть EXE файл в как архив. В нашем случае из EXE файла с дистрибутивом Acrobat Reader получилось извлечь MSI и MST файлы, которые готовы для установки через групповые политики Windows.

Создаем GPO для установки программы на компьютеры пользователей

Теперь нужно создать новую политику в домене для установки вашего ПО.

  1. Откройте консоль управления доменными GPO ( gpmc.msc );
  2. Создайте новую GPO (CorpInstallTeams)и назначьте ее на OU с компьютерами, на которые нужно выполнить установку (Create a GPO in this domain, and link it here); создать групповыю политику установки программы
  3. Откройте политику и перейдите в раздел Computer Configuration -> Policies -> Software Settings -> Software installation;
  4. Выберите пункт меню New ->Package; добавить пакет в GPO
  5. Выберите ваш MSI файл, который хранится в каталоге SYSVOL;
  6. Выберите опцию “Advanced” и нажмите OK;

Assigned – программы устаналиваются при входе пользователя, Published – публикуюция на компьютерах и могут быть установлены пользователями из Add/Remove Programs.

deploy программ с помощью GPO

  • В открывшемся окне можно настроить дополнительные параметры MSI пакета. Я просто изменю отображаемое имя с Teams Machine-Wide Installer на Microsoft Teams Client; Настройка пакета установки программы в групповой политике
  • На вкладке Deployment нажмите кнопку Advanced и включите опцию Ignore language when deploying this package (это позволит игнорировать язык Windows на компьютерах клиентов);
  • Перезагрузите компьютер для обновления настроек GPO и при следующей загрузке компьютера будет выполнена установка программы. Она появится в списке установленных программ Windows. Для анализа событий установки включите фильтр по источнику Application Management Group в разделе System Event Viewer-а.

    В Windows 11 уже встроенный чат клиент Teams, но это не полноценный клиент Microsoft Teams.

    программа установлена на компьтер через групповую политику

  • Можно показывать детальный процесс применения политики на компьютере. Для этого включите параметр Display highly detailed status messages в Computer Configuration -> Policies -> Administrative Templates -> System. Теперь при загрузке Windows будет отображаться все выполняемые в фоне процессы. При установке программ через GPO появится надпись Installing managed software AppName; сообщение при загрузке Windows : Installing managed software AppName
  • Если групповая политика установки приложение не применяется к компьютерам, используйте стандартные средства диагностики описаны в статье “Почему к компьютеру не применяется групповая политика” и команду gpresult.

    Изменение параметров MSI пакета для установки через GPO

    В стандартном интерфейсе GPO вы не можете указать определенные ключи для установочных MSI пакетов. Что очень неудобно. Например, при установке антивируса вам нужно указать адрес сервера управления. Или при при установке Teams из командой строки с помощью msiexec можно отключить автозапуск клиент MSTeams и скрыть его из списка установленных программ (локальный администратор не сможет удалить клиент Teams). Для этого используется команда:

    msiexec /i Teams_windows_x64.msi OPTIONS=»noAutoStart=true» ALLUSERS=0

    Как добавить опции установки в MSI пакет? Для этого используются файлы преобразования MST. Этот тип файлов позволяет изменить стандартные настройки MSI пакета и использовать ваш сценарий установки.

    Для создания файла модификации MST для MSI пакетов можно использовать утилиту ORCA (входит в состав Windows Installer SDK).

    Откройте ваш MSI пакет с помощью Orca.

    Создайте New Transformation и задайте ваши кастомные параметры MSI пакета в разделе Property. В моем случае для клиента Teams я изменю:

    ORCA - изменить установочный MSI файл программы, добавить опции установки

    Выберите Transform -> GenerateTransform и сохраните изменения в файл с расширением MST (teams_mod.mst). Скопируйте файла в каталог SYSVOL

    Теперь нужно удалить предыдущее правило для установки MSI пакета в GPO (т.к. вы можете добавить MST с модификациями пакет только при создании правила установки программы.

    Выберите All –> Task -> Remove

    удаление программы через GPO

    Создайте новое правило установки программы, опять выберите msi файл в каталоге SYSVOL и перейдите на вкладку Modification. Нажмите кнопку Add. Выберите созданный ранее MST файл.

    добавление файла модификации MST в пакет установки MSI в GPO

    Теперь во время установки MSI пакета через GPO к нему автоматически применится файл модификаций MST и установит программу с нужными вам параметрами.

    Основные недостатки метода установки MSI программ через GPO:

    1. Поддерживаются только MSI и ZAP установщики;
    2. Нельзя запланировать установку программы на определенное время. Одновременная установка программы на множестве компьютеров (обычно это происходит утром при включении компьютеров) может вызвать нагрузку на сеть и DC. В этом случае лучше использовать, например, SCCM. Используя окна обслуживания (maintenance) или настройки WOL (Wake On LAN);
    3. Нельзя изменить порядок установки программ в одной политике. При добавлении нового установочно пакета в GPO, оно устанавливается последним.
    4. Нельзя получить отчет об успешности или ошибках установки программы на компьютерах.

    В современных версиях Windows 10 и 11 можно использовать пакетный менеджер winget для установки программ.

    �� Онлайн-курс по устройству компьютерных сетей
    На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

    Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

    Способ 3. Установка через Active Directory

    С помощью службы Microsoft Active Directory можно произвести автоматическую удаленную установку клиентской части на группу компьютеров. Для выполнения процедуры установки необходимо обладать правами администратора домена, на компьютеры которого необходимо установить клиента. Также необходимо иметь доступный на чтение сетевой ресурс (Shared Folder).

    Запустите установщик, выбрав режим «Удаленная установка клиента». В мастере удаленной установки перейдите к способу 3.

    Далее на примере будет показано создание GPO («Test GPO»), установка в этом объекте msi-пакетов и adm-шаблона, а также линкование этого GPO к OU («TestOU») с компьютерами, для которых требуется первоначально развернуть клиентов.

    Создаем новый объект GPO («Test GPO»):

    Редактируем созданный объект:

    Для Computer Configuration добавляем msi-пакет:

    Выбираем путь к msi (x86) обязательно через сетевой путь.
    В эту сетевую папку нужно предварительно скопировать msi-пакеты и клиентские машины должны иметь доступ к этому пути:

    Выбор типа развертывания:

    Запускаем расширенные опции:

    Все тоже самое для x64-пакета:

    Добавляем шаблон из прилагаемого adm-файла:

    Редактируем добавленный шаблон:

    Устанавливаем IP/имя сервера для подключения клиентов:

    Линкуем созданный GPO к OU с компьютерами:

    При следующей перезагрузке компьютеров, внесенных в организационную единицу, на них будет установлена и настроена клиентская часть комплекса.

    Примечание: данный .msi-пакет не содержит информацию про обновления и uninstall, потому удаление и обновление осуществляйте только средствами комплекса, а не ActiveDirectory!

    Если после перезагрузки ничего не произошло:
    1) Попробуйте перезагрузить клиентскую машину еще раз.
    2) Попробуйте увеличить время загрузки до 30 сек:

    3) Попробуйте включить опцию:

    4) На клиентской машине выполнить: gpupdate /force

    Удалённая установка приложений

    Предлагаю программу для администраторов — Rinstall (скачать можно здесь). Она решает следующие задачи:

    1. Удалённое администрирование
    2. Удалённое выполнение команд
    3. Удалённая установка приложений

    1. Host — IP-адрес/имя удалённого компьютера. Программа постоянно пытается подключиться к нему и сигнализирует о результате:
      • красный — компьютер не найден (возможно на нём включен брандмауэр);
      • жёлтый — компьютер найден, но учётные данные не верны / не хватает прав / на удалённом ПК включен «простой общий доступ к файлам»;
      • зелёный — компьютер найден, учётные данные верны, права есть.

      Здесь же можно указать список компьютеров. Для этого дважды щелкните в пустом поле — появится имя списка по умолчанию — list. Отредактировать список можно дважды щёлкнув по нему мышкой. Списков может быть несколько, но все они должны начинаться с символа «@«.

    Настройки программы читаются при её запуске из файла rinstall.ini, который может находиться в каталогах «%PROGRAMFILES%\Rinstall\» и «%USERPROFILE%\Rinstall\» (последний приоритетнее).

    1. Удалённое администрирование

    1. [Info] — получить информацию о системе.
    2. [Soft] — получить список установленного ПО.
    3. [CM] — запустить консоль управления компьютером.
    4. [CMD] — запустить удалённый шелл.
    5. [CMRC] — подключиться через клиента Configuration Manager.
    6. [RDP] — подключиться через удалённый рабочий стол.
    7. [RA] — подключиться через удалённый помощник.
    8. [VNC] — подключиться через TightVNC (Ctr+Alt+Shift+T — панель инструментов).
    9. [Radmin] — подключиться через Radmin.
    10. [Resource] — открыть удалённый ресурс.
    11. [Space] — посмотреть, чем занято место на дисках удалённого компьютера.

    2. Удалённое выполнение команд

    1. [Command] — команда (запускаемый файл: *.exe,*.bat, *.cmd, *.vbs, *.hta, и т.д.), выполняемая на удалённом компьютере. По умолчанию указана команда запуска диспетчера устройств.
    2. [Args] — Аргументы (параметры/ключи) команды, если они нужны.
    3. [x] Copy — копировать команду на удалённый компьютер (при этом нужно указать её полный путь на локальном компьютере).
    4. [x] Hide — выполнить команду скрытно.
    5. [x] Wait — ждать завершения команды.
    6. [Far] — запустить Far.
    7. [CMD] — запустить шелл.
    8. [Autoruns] — запустить менеджер автозагрузки.
    9. [Geek Uninstaller] — запустить менеджер деинсталляции.
    10. [GPUpdate] — обновить групповые политики (с ключом /FORCE).
    11. [Reset] — завершить все psexec-процессы.
    12. [Renew] — обновить IP-адрес.
    13. [Reboot] — перезагрузить компьютер.
    14. [RunAsLnk] — создать ярлык для приложения, запускающегося от имени пользователя с правами администратора (используется бесплатная версия RunAsSpc).

    Команды выполняются на удалённом компьютере с правами SYSTEM.

    В качестве команд удобно запускать портативные приложения (не забываем ставить галочку Copy). Тут, правда, имеются непонятные проблемы с запуском SFX-архивов на удалённых компьютерах с 64-разрядной ОС…

    3. Удалённая установка приложений

    Папки с приложениями (Rel Path) размещаются внутри базового сетевого ресурса (Net Path). Доступ к нему осуществляется по учётным данным (Net User, Net Pass). Во время установки приложения на удалённом компьютере подключается сетевой диск (Net Disk).

    Требования к устанавливаемым приложениям:

    1. Приложение должно находиться в отдельной папке и ставиться автоматически.
    2. Папка приложения должна быть написана латинским алфавитом.
    3. Внутри папки приложения должен находиться файл install.bat, который
      устанавливает приложение. Желательно также, чтобы этот файл поддерживал
      ключ -u (деинсталляцию приложения).

    Всем этим требованиям соответствуют мои пакеты тихой установки.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *