Как разрешить пользователям домена устанавливать программы
В этой статье я расскажу как устанавливать программы на пользовательские компьютеры с помощью групповых политик. Рассмотрим такой процесс как установка программ через домен Windows Server.
Итак, этот материал рассчитан на людей, которые уже умеют установить и настроить домен на Windows Server (этот материал является продолжением статьи).
Групповые политики используются для централизованного управления пользователями домена. Они позволяют управлять настройками операционной системы клиентских машин. Администратор домена может контролировать, настраивать различные компоненты операционных систем компьютеров, входящих в состав домена.
Групповые политики применяются при настройках системы безопасности. Настройки безопасности могут распространяться на определенные группы пользователей или конкретного пользователя. Политика безопасности позволяет конфигурировать большое количество субъектов безопасности по одним параметрам.
Управление установкой и удалением программ может осуществляться при помощи групповых политик. Главный плюс в том, что если нужно установить программу на 100 компьютеров, не нужно делать это вручную, используя групповые политики можно выполнить установки на всех компьютерах централизованно.
Подготовка к установке программ
Создайте каталог для хранения установочных файлов (например, C:\Install). Установочные файлы программ должны быть в формате установочных пакетов Microsoft (расширение — msi). Для примера я установлю архиватор 7z.
Откройте общий доступ к созданному каталогу при помощи вкладки «Доступ» свойств каталога.
Запустите «Active Directory –> пользователи и компьютеры» (Пуск –> Администрирование –> Active Directory –> пользователи и компьютеры.
В домене создайте новое подразделение, для установки программы, в моем случае это Install подразделение.
Переместите в созданное подразделение доступный компьютер из подразделения «Computers».
Создайте новую групповую политику для созданного подразделения.
Свяжите подразделение с политикой, нажмите правой кнопкой на созданное подразделение и выберите «Связать существующий объект групповой политики…», затем выберите созданный ранее объект в списке и нажмите «ОК».
Установка программ через домен
Откройте созданную групповую политику. Создание заданий на установку программного обеспечения на компьютерах, входящих в домен, осуществляется в разделе Конфигурация компьютера –> Конфигурация
программ –> Установка программ. В контекстном меню раздела Установка программ выберите «Создать» и укажите полный сетевой путь к месту расположения установочного файла – C\Install. В появившемся окне выберите «Назначенный» метод развёртывания.
Программа будет установлена на клиентскую машину после перезагрузки.
Обновление программного обеспечения при помощи групповых политик
Скачайте последнюю версию программы и скопируйте ее в папку с общим доступом. Процедура обновления программного обеспечения с помощью групповых политик аналогична процедуре установки программ. Но, на этапе выбора метода развертывания нужно выбрать метод развертывания.
Нажмите «ОК», после чего перейдите на вкладку «Обновления», выберите приложение которые нужно обновить и нажмите «ОК».
Для применения изменённых параметров групповой политики клиентские компьютеры перезагрузятся дважды.
Удаление программного обеспечения при помощи групповых политик
Существует два варианта удаления заданий на установку программного обеспечения:
- Первый вариант позволяет удалить не только задание, но и программу, установленную на рабочие станции.
- Второй вариант удаляет только задание.
Нажмите правой кнопкой на программу и выберите «Все задачи» -> «Удалить».
Анатолий Бузов / об авторе
Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.
2 комментариев к записи “ Установка программ через домен Windows Server ”
Бердыгали says:
Добрый день,
Спасибо за статью !
а есть политика которая при установке на сервере программы, пример: 1С, MSSQL SERVER не дублировал на других пользователей ? Заранее спасибо! Reply
Здравствуйте. Не совсем понял ваш вопрос. Пользователи 1С хранятся в БД 1С. Ну а в групповых политиках так: каких пользователей добавите, к тем пользователям политика и применяется. Reply
Установка программ с помощью групповых политик в домене Active Directory
15.11.2022
itpro
Active Directory, Windows 10, Windows Server 2019, Групповые политики
комментария 43
В этой статье мы рассмотрим, как устанавливать программы на компьютеры пользователей домена Active Directory с помощью групповых политик.
Встроенный функционал GPO Windows позволяет устанавливать только программы, распространяющееся в виде MSI или ZAP пакетов. Другие виды программ придется устанавливать альтернативными средствами: с помощью SCCM, через логон скрипты, копирование файлов программы на компьютеры с помощью GPO, запуском разовых скриптов и т.д.
Получите установочный MSI пакет программы
Рассмотрим, как установить MSI пакет программы на компьютеры пользователей с помощью групповых политик Windows на примере клиента Microsoft Teams.
Скачайте MSI пакет с клиентом Teams (http://aka.ms/teams64bitmsi) и скопируйте файл Teams_windows_x64.msi в каталог SYSVOL на контроллере домена ( \\winitpro.ru\SysVol\winitpro.ru\scripts ).
Обратите внимание, что есть x86 и x64 версии MS Teams. Если у вас остались компьютеры x86 версиями Windows, вам нужно создать отдельные политики для x86 и x64 компьютеров. Для фильтрации версий Windows в политиках можно использовать WMI фильтры GPO.
Далеко не все программы предоставляются в виде MSI файла. Чаще всего разработчики отдают их в виде исполняемых EXE файлов, которые не подходят для распространения через GPO. Но есть два способа, которые в некоторых случаях получить установочный MSI программы:
- Некоторые установщики при запуске распаковывают свои файлы в каталог %temp%. Поэтому при установке программы (просто сверните окно установки) попробуйте открыть этот каталог и найти в нем установочный MSI файл.
- Другой способ получения MSI файла – попробовать открыть установочный EXE файл с помощью архиватора 7-Zip. Запустите 7-Zip и в меню выберите File -> 7ZIP –> Open Archive. 7ZIP попробует открыть EXE файл в как архив. В нашем случае из EXE файла с дистрибутивом Acrobat Reader получилось извлечь MSI и MST файлы, которые готовы для установки через групповые политики Windows.
Создаем GPO для установки программы на компьютеры пользователей
Теперь нужно создать новую политику в домене для установки вашего ПО.
- Откройте консоль управления доменными GPO ( gpmc.msc );
- Создайте новую GPO (CorpInstallTeams)и назначьте ее на OU с компьютерами, на которые нужно выполнить установку (Create a GPO in this domain, and link it here);
- Откройте политику и перейдите в раздел Computer Configuration -> Policies -> Software Settings -> Software installation;
- Выберите пункт меню New ->Package;
- Выберите ваш MSI файл, который хранится в каталоге SYSVOL;
- Выберите опцию “Advanced” и нажмите OK;
Assigned – программы устаналиваются при входе пользователя, Published – публикуюция на компьютерах и могут быть установлены пользователями из Add/Remove Programs.
В Windows 11 уже встроенный чат клиент Teams, но это не полноценный клиент Microsoft Teams.
Если групповая политика установки приложение не применяется к компьютерам, используйте стандартные средства диагностики описаны в статье “Почему к компьютеру не применяется групповая политика” и команду gpresult.
Изменение параметров MSI пакета для установки через GPO
В стандартном интерфейсе GPO вы не можете указать определенные ключи для установочных MSI пакетов. Что очень неудобно. Например, при установке антивируса вам нужно указать адрес сервера управления. Или при при установке Teams из командой строки с помощью msiexec можно отключить автозапуск клиент MSTeams и скрыть его из списка установленных программ (локальный администратор не сможет удалить клиент Teams). Для этого используется команда:
msiexec /i Teams_windows_x64.msi OPTIONS=»noAutoStart=true» ALLUSERS=0
Как добавить опции установки в MSI пакет? Для этого используются файлы преобразования MST. Этот тип файлов позволяет изменить стандартные настройки MSI пакета и использовать ваш сценарий установки.
Для создания файла модификации MST для MSI пакетов можно использовать утилиту ORCA (входит в состав Windows Installer SDK).
Откройте ваш MSI пакет с помощью Orca.
Создайте New Transformation и задайте ваши кастомные параметры MSI пакета в разделе Property. В моем случае для клиента Teams я изменю:
Выберите Transform -> GenerateTransform и сохраните изменения в файл с расширением MST (teams_mod.mst). Скопируйте файла в каталог SYSVOL
Теперь нужно удалить предыдущее правило для установки MSI пакета в GPO (т.к. вы можете добавить MST с модификациями пакет только при создании правила установки программы.
Выберите All –> Task -> Remove
Создайте новое правило установки программы, опять выберите msi файл в каталоге SYSVOL и перейдите на вкладку Modification. Нажмите кнопку Add. Выберите созданный ранее MST файл.
Теперь во время установки MSI пакета через GPO к нему автоматически применится файл модификаций MST и установит программу с нужными вам параметрами.
Основные недостатки метода установки MSI программ через GPO:
- Поддерживаются только MSI и ZAP установщики;
- Нельзя запланировать установку программы на определенное время. Одновременная установка программы на множестве компьютеров (обычно это происходит утром при включении компьютеров) может вызвать нагрузку на сеть и DC. В этом случае лучше использовать, например, SCCM. Используя окна обслуживания (maintenance) или настройки WOL (Wake On LAN);
- Нельзя изменить порядок установки программ в одной политике. При добавлении нового установочно пакета в GPO, оно устанавливается последним.
- Нельзя получить отчет об успешности или ошибках установки программы на компьютерах.
В современных версиях Windows 10 и 11 можно использовать пакетный менеджер winget для установки программ.
Предыдущая статья Следующая статья
Как разрешить установку программы?
Домен на Windows server 2019
На клиентской машине пытаются установить программу и выскакивает вот такое
Я так понимаю пользователь на клиентской машине не обладает соответствующими правами, для разрешения вносить изменения в Windows.
1. Подскажите где что настроить в групповых политиках на домене, уже все почти поразрешал и все равно не пропускает.
2. Может есть какой-нить ресурс или литература на тему групповых политик? на русском языке желательно. Так что бы с нуля.
- Вопрос задан более трёх лет назад
- 3585 просмотров
4 комментария
Простой 4 комментария
Как разрешить установку программ в Windows 10
Способ 1: Запуск установщика от имени администратора
В большинстве случаев пользователю достаточно иметь права администратора, чтобы в Windows 10 запустить любой инсталлятор и установить новую программу на компьютер. Можно отдельно запускать каждый исполняемый файл с такими правами, вызывая его контекстное меню и выбирая из него пункт «Запуск от имени администратора».
Подобное действие позволяет обходить базовые ограничения, которые могут касаться локальных учетных записей, по умолчанию не имеющих права администратора в Windows 10. Если вас интересует тема их получения, раскрытая более детально, можете ознакомиться с материалом по ссылке ниже. Он же поможет разобраться в тех ситуациях, когда на экране появится уведомление об отсутствии нужных прав.
Способ 2: Отключение ограничений в Windows
В Windows 10 есть одна стандартная настройка, которая позволяет настроить безопасность компьютера, разрешив установку приложений только из Microsoft Store, поскольку они считаются проверенными и не содержат вирусов. Включение этого параметра как раз и может влиять на то, что у вас не получается установить программы, скачанные со сторонних источников. Нужно самостоятельно проверить настройку и отключить ее, если вдруг она окажется активной.
-
Для этого откройте «Пуск» и нажмите по значку с шестеренкой, чтобы перейти в «Параметры».
Способ 3: Отключение контроля учетных записей
Редко, но возникает такая ситуация, что установка определенных программ по какой-то причине блокируется из-за включенного контроля учетных записей. При появлении уведомления о будущих изменениях его просто не получается принять, соответственно, и инсталляция не сможет быть продолжена. В таком случае контроль лучше полностью отключить, используя для этого существующую в ОС настройку.
-
Откройте «Пуск», через поиск отыщите «Панель управления» и запустите приложение.
Способ 4: Очистка локальной групповой политики
Далее перейдем к пользовательским настройкам Windows 10, которые могут оказывать влияние на запрет установки программного обеспечения. В первую очередь обладателя Windows 10 Pro и Enterprise рекомендуем заглянуть в «Редактор локальной групповой политики». Там может быть одна политика, которая блокирует выполнение заданных исполняемых файлов. Соответственно, в нее можно поместить установщики, запретив тем самым инсталляцию нового софта.
-
Щелкните правой кнопкой мыши по «Пуску» и из появившегося контекстного меню выберите «Выполнить».
Способ 5: Редактирование реестра
Почти того же самого эффекта, что и при изменении локальной политики, можно добиться путем редактирования реестра. Этот вариант используют те, у кого нет доступа к рассмотренному выше редактору. Проверьте наличие параметров, чтобы узнать, блокирует ли что-то установку программ на вашем компьютере. Если они присутствуют, их можно смело удалить, поскольку никакого влияния на стабильность работы ОС они не оказывают.
-
Откройте «Пуск», найдите «Редактор реестра» и запустите данное приложение.
В этой статье мы не говорили о влиянии сторонних программ, которые могут блокировать установку других. Обычно об этом пользователь узнает сам из соответствующих уведомлений, после чего отключает такой софт или удаляет его из Windows 10. Однако дополнительно отметим, что причины, по которым не устанавливаются программы, могут заключаться совсем в другом. Если решение не было найдено, попробуйте выполнить методы, описанные в другой статье на нашем сайте, перейдя по следующей ссылке.
Читайте также: Причины проблем с установкой программ в Windows 10
Виктор Бухтеев Вам помогли мои советы?