Установка и удаление программ групповыми политиками WS 2016

Установка и удаление программ групповыми политиками Windows Server 2016 Доброго времени суток, друзья. Представляю вашему вниманию первый дополнительный урок к курсу «Администрирование Windows Server 2016». По многочисленным просьбам членов закрытой академии я решил более подробно осветить тему работы с групповыми политиками. В этом выпуске речь пойдёт об установке типового набора программ на большое количество компьютеров в пределах локальной сети.

Так как данный урок является логическим продолжением курса, все виртуальные машины у нас уже созданы и настроены. В принципе, если вы уже обладаете базовыми навыками администрирования серверных операционных систем семейства Windows, дальнейшие действия не вызовут затруднений. Остальным подписчикам, я настоятельно рекомендую предварительно ознакомиться с базовой настройкой сервера, которую мы подробно разбирали во второй и третьей главе курса, и лишь затем вникать в тонкости конфигурирования групповых политик для решения специфических задач.

Что ж, прежде чем мы приступим к непосредственной работе с виртуальным полигоном, давайте сформулируем простенькое техническое задание. Допустим, нам необходимо установить с сервера:

Программу для удалённого доступа LiteManager на клиентский ПК;
Архиватор WinRAR на все компьютеры нашего домена.

Установка программ с расширением MSI

LiteManager является одной из лучших программ для удалённого управления компьютерами. В последних проектах я всё чаще использую её, игнорируя старый добрый RAdmin. По функционалу она значительно интереснее и заслуживает в будущем отдельного выпуска. Бесплатную версию LiteManager можно скачать с сайта разработчиков. Установочные пакеты данной программы поставляется в формате MSI (Microsoft Software Installer). Весь софт с таким расширением заранее адаптирован для упрощённой установки на операционные системы от Microsoft. Это самый удобный и практичный вариант, если вы занимаетесь инсталляцией через групповые политики.

Загрузка LiteManager

Шаг 1. Переходим на официальный ресурс litemanager.ru и кликаем по ссылке «Скачать (для Windows)».

Шаг 2. После загрузки открываем архив и распаковываем его содержимое в отдельную папку на рабочем столе хост системы.

Шаг 3. Создаём на виртуальной машине с Windows Server 2016 каталог «Soft» на диске D и копируем в него папку «LiteManager».

Установка модуля LiteManager Viewer

Шаг 4. Запускаем установочный пакет модуля LiteManager Viewer. Эта часть программы устанавливается на компьютер, с которого осуществляется удалённое управление рабочими станциями. Поэтому мы установим её на сервер. В первом окне жмём «Next».

Шаг 5. Принимаем условия лицензионного соглашения.

Шаг 6. Путь установки оставляем по умолчанию.

Шаг 7. И запускаем процесс инсталляции, кликнув «Install».

Шаг 8. После завершения установки оставляем галочку «Launch LiteManager Pro - Viewer», чтобы запустить программу сразу после закрытия последнего окна и жмём «Finish».

Шаг 9. Из двух типов лицензии выбираем «Free».

Конфигурирование установочного MSI пакета

Шаг 10. В открывшемся окне программы переходим на вкладку «Удалённая установка» и выбираем пункт «MSI Конфигуратор…».

Шаг 11. Выбираем установочный пакет «LiteManager Pro – Server». В данном модуле нужно предварительно настроить параметры по умолчанию, прежде чем он будет установлен на клиентский компьютер. Жмём «Конфигурировать».

Шаг 12. Переходим «Настройка сервера» - «Безопасность» и на вкладке «Авторизация» задаём пароль, который мы будем использовать для подключения к рабочей станции. Жмём «ОК».

Шаг 13. Далее переходим в «Настройки». На вкладочке «Общее» снимаем галочки напротив пунктов «Показывать меню в системном трее» и «Менять вид иконки в трее», дабы избавить пользователей от отображения лишней информации о программе в системном трее. Сохраняем настройки кликнув по кнопке «ОК».

Шаг 14. И последнее, что мы сделаем, это установим пароль на изменение настроек. Жмём «Защита настроек», отмечаем галочкой соответствующий параметр и задаём сложный пароль, который простому юзеру подобрать не удастся.

Шаг 15. На этом конфигурация пакета завершена. Жмём «Закрыть» и убеждаемся в успехе проделанных действий.

Теперь файл «LiteManager Pro – Server» содержит правильные настройки по умолчанию. В таком виде его можно смело устанавливать на рабочие станции.

Настройка ГП для установки LiteManager

Шаг 16. Осталось только правильно создать и настроить групповую политику. Открываем в «Диспетчере серверов» вкладку «Средства» и выбираем в раскрывшемся списке «Управление групповой политикой».

Шаг 17. Кликнув правой кнопкой по названию нашего домена жмём «Создать объект групповой политика в этом домене и связать его…». Тут же в появившемся окне задаём новой политики, например «Политика для LiteManager».

Шаг 18. Политика создана. Для её редактирования вызываем контекстное меню и кликаем «Изменить».

Шаг 19. Переходим к изменению настроек. «Конфигурация компьютера» – «Политики» – «Конфигурация Windows» – «Сценарии (запуск/завершение)». Давайте глянем свойства сценариев для «Автозагрузки». В появившемся окне жмём «Показать файлы».

Шаг 20. Сервер посылает в общую папку для скриптов, которая привязана к редактируемой политике. Я рекомендую располагать файлы для установки именно здесь, так как в случае переноса групповой политики или создании её резервной копии путь к данной директории точно останется неизменным. Ко всему прочему вам не придётся ломать голову с назначением прав доступа к данной папке, ведь по дефолту её основное предназначение - это хранилище скриптов. А значит, рабочая станция точно сможет достучаться ко всем файлам, расположенным в этой директории. Так что смело, переносим сюда установочный пакет «LiteManager Pro - Server» из папки «Soft».

Шаг 21. Копируем путь к "скриптовой" папке. Совсем скоро он нам пригодится.

Шаг 22. И переходим в ветку «Политики» - «Конфигурация программ» - «Установка программ». Вызываем контекстное меню, «Создать» - «Пакет».

Шаг 23. Вставляем в адресную строку скопированный путь к директории с установочным пакетом серверной части программы и выбираем его.

Шаг 24. Метод развёртывания оставляем по умолчанию, так как все настройки в нашем файле уже сконфигурированы и никакие дополнительные команды для его запуска не требуются.

Шаг 25. Видим, что пакет LiteManager появился в списке программ предназначенных для установки.

Шаг 26. Закрываем ненужные более окна и раскрываем дерево «Объектов групповой политики». Вызвав контекстное меню к «Политике для LiteManager» изменим состояние объекта, выключив применение параметров конфигурации для пользователей. Зачем это нужно? Как бы странно это не прозвучало, но данная настройка может значительно ускорить время применения политики на рабочей станции. Так как мы производили все изменения политики только для компьютера, не затрагивая при этом конфигурацию пользователя, какой смысл заставлять компьютер конечного пользователя прогружать "вхолостую" пустой набор политик? Очевидно, что если есть возможность этого не делать, то лучше воспользоваться данной фишкой системы и ускорить загрузку рабочей станции на несколько секунд.

Шаг 27. Далее давайте настроим нацеливание применения политики для конкретного компьютера. Не закрывая окно, переходим на вкладочку «Делегирование» и кликаем по кнопке «Дополнительно». В открывшемся окне настройки параметров безопасности находим группу пользователей «Прошедшие проверку» и снимаем галочку с пункта «Применить групповую политику». Отлично, теперь групповая политика не будет применяться для всех пользователей авторизованных в домене. Осталось указать, для кого же конкретно она предназначена. Жмём «Добавить».

Шаг 28. И прописываем DNS-имя компьютера, на который будет распространяться созданная политика. В качестве клиентской машины у нас выступает рабочая станция с установленной операционной системой Windows 10 и сетевым именем «CLIENT». Прописываем его и переходим в «Типы объектов».

Шаг 29. Отмечаем в типах «Компьютеры» и нажимаем «ОК».

Шаг 30. Хорошо. Теперь можем проверить, корректно ли написано имя клиента, кликнув по соответствующей кнопке. Всё верно. Закрываем это окно, нажав «ОК».

Шаг 31. Наш компьютер появился в списке. Ставим галочку напротив разрешения «Применить групповую политику» и сохраняем изменения кнопкой «ОК».

Теперь групповая политика для LiteManager будет применяться исключительно к рабочей станции «CLIENT» и не затрагивать другие компьютеры в домене.

В принципе с основной настройкой практически закончили. Для корректной работы требуется проделать ещё несколько нехитрых манипуляций. Во-первых, настроить правила для порта 5650 (это стандартный порт, который использует программа LiteManager) в политике брандмауэра. Но мы этого делать не будем, так как ранее в одном из уроков курса мы уже отключили дефолтный виндосовский фаервол для всех ПК входящих в состав домена. Во-вторых, включить режим инициализации сети при запуске и входе в систему.

Дело в том, что некоторые специфические функции групповых политик, такие как установка программ и запуск скриптов, требуют, чтобы во время их обработки обязательно была установлена связь с сервером. По умолчанию на контроллере функция инициализации сети выключена. Это сделано с целью минимизации времени входа пользователя в систему. Ведь при такой схеме работы групповая политика может примениться уже после того, как пользователь залогинился на своём компьютере.

Однако на практике, такая экономия двух-трёх секунд может стать причиной возникновения серьёзных проблем. Если в момент применения политики сеть была недоступна, настройки могут попросту не примениться. А может получиться и так, что пользователь осуществит вход в систему под временным профилем, вся сохранённая информация из которого после перезагрузки машины полностью удалится. Чтобы исключить подобные ситуации, давайте создадим отдельную политику для синхронной обработки.

Настройка ГП для синхронной обработки

Шаг 32. В окне «Управление групповой политикой» вызываем контекстное меню, кликнув правой кнопкой по имени домена, и создаём новый объект.

Шаг 33. Даём политике звучное имя, например «Политика для синхронной обработки».

Шаг 34. И незамедлительно переходим к изменению настроек созданной политики.

Шаг 35. Ветка «Конфигурация компьютера» - «Политики» - «Административные шаблоны» - «Система» - «Вход в систему». Ищем параметр, отвечающий за инициализацию сети. Звучит он следующим образом «Всегда ждать сеть при запуске и входе в систему». Открываем данный параметр, быстренько пробегаем взглядом по описанию и включаем его.

Вот и всё. Осталось проверить, как отработает групповая политика на клиентском компьютере.

Проверка корректной установки ПО

Шаг 36. Переходим к виртуальной машине с Windows 10 и осуществляем вход под любой доменной учётной записью. В рамках курса мы проверяли большую часть политик под пользователем «Бархатов». Не будем делать исключения в данной ситуации.

Шаг 37. Сразу после входа в систему выжидаем некоторое время, приблизительно три минуты и перезапускаем виртуальную машину. Зачем спрашивается делать этот лишний ребут? Хм. Наверняка вы частенько сталкивались с программами, которые после инсталляции требуют выполнить перезагрузку. Это нужно, прежде всего, для завершения установки дополнительных служб. Так вот LiteManager, как раз относится к категории таких программ. Следовательно, для корректного завершения установки серверного модуля требуется перезапуск операционной системы.

Шаг 38. После включения компьютера заходим в меню «Пуск» и видим, что появился новый каталог «LiteManager Pro - Server», а в нём различные варианты для взаимодействия с программой. Это значит, что политика, отвечающая за установку, отработала на отлично.

Шаг 39. Давайте попробуем изменить настройки кликнув по ярлыку «Settings for LM-Server». Как и следовало ожидать, появилось окно с просьбой ввести пароль.

Шаг 40. Теперь давайте вернёмся на сервер и попробуем подключиться удалённо к рабочей станции. Для этого запускаем на рабочем столе ярлык «LM–Viewer». В главном окне жмём «Добавить новое соединение», отмечаем галочкой тип подключения с использованием IP или DNS-имени компьютера и прописываем сетевое имя «CLIENT».

Шаг 41. Вводим пароль, ранее заданный нами на этапе конфигурирования MSI-пакета. И отметим пункты «Сохранить пароль» и «Авто-логин», дабы в следующий раз не вводить эти данные, жмём на «ОК».

Шаг 42. Через некоторое время соединение будет установлено, и вы получите возможность удалённо управлять клиентской станцией.

Таким образом, мы осуществили автоматическую установку с сервера программного пакета MSI без вмешательства со стороны пользователя. Однако, к сожалению, не все разработчики столь расторопны и большинство из них не стремятся адаптировать свои продукты под столь удобный для системных администраторов формат. Поэтому далее, я предлагаю рассмотреть процесс установки программ с самым распространённым на сегодняшний день расширением EXE.

Установка программ с расширением EXE

Архиватор WinRAR является наиболее популярным среди пользователей Рунета. С его помощью даже маленький ребёнок может научиться самостоятельно, создавать и распаковывать архивы.

Загрузка архиватора WinRAR

Шаг 43. Давайте перейдём на официальный сайт win-rar.ru и в меню слева выберем пункт «Загрузить». Далее находим из списка на странице локализованную русскую 32-битную версию архиватора и скачиваем её.

Шаг 44. Отлично. Теперь заглянем во вкладку «Обучение». Нас интересует «Глава 6. Оптимизация установки WinRAR для работы в сети».

Шаг 45. В ней содержится информация об установке в silent-режиме. Кликаем по соответствующей гиперссылке.

Шаг 46. И смотрим, какой ключ необходимо использовать, чтобы весь процесс установки происходил в тихом режиме, то есть незаметно для конечного пользователя. В случае с WinRAR’ом это ключ «/s».

Шаг 47. Хорошо. Теперь давайте скопируем установочный пакет «wrar540ru.exe» из хост-системы на виртуальную машину с Windows Server 2016.

Шаг 48. Рядом с инсталляционным файлом создаём текстовый документ с именем «install».

Шаг 49. Открываем его и прописываем полное имя установочного файла с расширением EXE, а после добавляем ключ для тихой установки. По итогу получится строчка типа «wrar540ru.exe /s». Обращаю ваше внимание, что в данном случае мы не прописываем полный путь к установочному файлу. Это связано с тем, что создаваемый скрипт будет находиться непосредственно в одном каталоге с инсталляционным пакетом архиватора. Сохраняем изменения в текстовом документе и закрываем его.

Шаг 50. Теперь необходимо трансформировать наше творение в формат скрипта. Для этого потребуется изменить расширение текстового документа TXT на исполняемый BAT-файл. Первым делом переходим в проводнике на вкладку «Вид» и включаем отображение «Расширения имён файлов».

Шаг 51. Затем просто переименовываем «install.txt» в «install.bat» и соглашаемся с изменениями.

Отныне данный файл является скриптом. Осталось подцепить его вместе с EXE’шником к групповой политике.

Настройка ГП для установки WinRAR

Шаг 52. В оснастке «Управлением групповой политикой» создаём новый объект.

Шаг 53. С одноимённым именем «Политика для WinRAR».

Шаг 54. И переходим к конфигурированию политики.

Шаг 55. Раскрываем привычную ветку «Конфигурация компьютера» - «Политики» - «Конфигурация Windows» - «Сценарии (запуск/завершение)». Заходим в свойства параметра «Автозагрузка».

Шаг 56. На вкладке сценарии жмём «Показать файлы…» и перекидываем в появившуюся директорию из папки «Soft» инсталляционный пакет и скрипт тихой установки WinRAR.

Шаг 57. Возвращаемся к окну «Свойства» и кликаем по кнопке «Добавить». Далее щёлкнув «Обзор» выбираем скрипт «install.bat», находящийся в папке для сценариев данной политики.

Шаг 58. Наш скрипт появился в списке для автозагрузки, а значит можно выйти из данной оснастки, сохранив изменения кнопкой «ОК».

Шаг 59. Такс. Объекты нацеливания для политики в данном случае мы настраивать не будем. Пусть применится ко всем компьютерам домена. Архиватор это такая вещь, которая лишней нигде не будет. В том числе и на серверах. Не забываем изменить состояние объекта групповой политики, отключив параметры конфигурации пользователя.

Проверка корректной установки ПО

И переходим к клиентской машине с Windows 10.

Шаг 60. Для того, чтобы проверить отработает ли наша политика, отвечающая за установку WinRAR давайте перезапустим гостевую ОС.

Шаг 61. После перезагрузки логинимся под доменной учёткой и проверяем в ПУСК’е наличие архиватора.

Основная сложность в установке программ с расширением EXE заключается в поиске ключей установке. Они, как правило, идут в комплекте с репаками, которые самопально собирают различные умельцы и распространяют на торрентах. Так что формирование пакета программ поддерживающих тихую установку может отнять у вас очень много времени, но озадачившись этой проблемой единожды, в дальнейшем вы сможете значительно облегчить процесс подключения к сети новых рабочих станций.

Удаление программ с расширением MSI

Однако автоматизировать установку программных продуктов это ещё полдела. Нужно ещё уметь правильно их удалять, не взаимодействуя с пользователем. Вопрос удаления особенно актуален в тех ситуациях, когда предприятие переходит на новую версию программного обеспечения или полностью отказывается от использования софтины.

Шаг 62. Начнём с удаления программ, которые были установлены с использование MSI пакета. В нашем случае это LiteManager. Находим соответствующую политику и, вызвав контекстное меню, жмём «Изменить».

Шаг 63. Идём по пути «Конфигурация компьютера» - «Политики» - «Конфигурация программ» - «Установка программ» и щёлкаем правой кнопкой по пакету «LiteManager Pro - Server». Далее «Все задачи» - «Удалить».

Шаг 64. В появившемся окне оставляем возможность по умолчанию, позволяющую осуществить «Немедленное удаление этого приложения с компьютеров всех пользователей».

Проверка корректного удаления LiteManager

Шаг 65. Для проверки переходим на клиентский компьютер и перезагружаем его.

Шаг 66. После включения осуществляем вход в систему. Как видим в меню «ПУСК» исчез каталог программы «LiteManager», а это свидетельствует о том, что она успешно удалена.

Удаление программ с расширением EXE

Процесс деинсталляции программ установленных с помощью EXE’шных файлов к сожалению не так прост. Для их удаления, собственно как и ранее для установки, приходится создавать костыли в виде скриптов. Давайте рассмотрим пример создания такового для программы WinRAR.

Шаг 67. На диске D в папке архиватора создаём новый текстовый файл с названием «uninstall.txt». Переходим к его изменению. Прописываем директорию, в которую, как правило, устанавливается программа WinRAR. Если не знаете, то можете посмотреть её в свойствах ярлыка в меню «ПУСК». После папки прописываем uninstall.exe и сделав пробел указываем ключ с сайта разработчиков. Отлично. Теперь видоизменяем «Program Files» в переменную «%ProgramFiles%», дабы программа могла быть корректно удалена на операционных системах любой разрядности. И, так как наш путь содержит переменную, необходимо напоследок заключить его в кавычки. По итогу мы получаем скрипт следующего содержания: «"%ProgramFiles%\WinRAR\uninstall.exe" /s». Сохраняем изменения в файле перед закрытием.

$скрипт следующего содержания: «"%ProgramFiles%\WinRAR\uninstall.exe" /s»$

Шаг 68. Меняем его разрешение с «TXT» на «BAT».

Шаг 69. И переходим к изменению групповой политики для WinRAR.

Шаг 70. «Конфигурация компьютера» - «Политики» - «Конфигурация Windows» - «Сценарии (запуск/завершение)». Свойства автозагрузки.

Шаг 71. В открывшемся окне жмакаем «Показать файлы» и закидываем в общую папку для сценариев политики скрипт «uninstall.bat» из директории «Soft/WinRAR».

Шаг 72. Далее удаляем из свойств автозагрузки сценарий «Install.bat».

Шаг 73. А на его место привычным движением добавляем «uninstall.bat».

Шаг 74. Сохраняем изменения нажав на «ОК».

Проверка корректного удаления WinRAR

Осталось проверить, удалился ли архиватор с клиентского ПК.

Шаг 75. Для этого перезагружаем виртуальную машину с десяткой.

Шаг 76. И после запуска убеждаемся, что в пуске не осталось и следа от WinRAR’а.

Друзья, в этом уроке мы затронули достаточно сложную, но безумно полезную в прикладном плане тему установки и удаления программ с помощью групповых политик. Надеюсь, вы по достоинству оцените данный материал и непременно воспользуетесь полученными знаниями на практике.

В ближайшее время запланирована целая серия уроков, посвящённая групповым политикам. Так, на следующем занятии я расскажу вам о принципах конфигурирования сетевых принтеров через GPO. Далее по плану у нас фильтры безопасности, моделирование политик, результирующие наборы и множество других очень важных для начинающего сисадмина тонкостей, которые необходимо понимать для эффективного администрирования сети.

Не могу обещать, что все эти уроки будут в открытом доступе. Изначально они рассчитаны на членов академии, которые приобрели доступ к обучающему курс «Администрирование Windows Server 2016». Так что если вы заинтересованы в получении новых знаний по данной тематике, милости просим в наш закрытый клуб. Именно там я отвечаю на все комментарии и помогаю решать вопросы в индивидуальном порядке.

Ну а на сегодня это всё. С вами был Денис Курец. Выпуск блога информационных технологий Kurets.Ru. Если урок был для вас полезен, то не забываем поставить лайк и подписаться на канал. Вам не сложно, а мне чертовски приятно. Такс, ладно, мне уже пора идти на прогулку с коржом. До новых встреч, друзья.