Как удаленно установить программу на компьютер в домене
WMI (инструментарий управления Windows) часто используется для управления системами Windows с помощью различных графических утилит — реализации стандарта объектно-ориентированного управления WBEM. Вы можете использовать wbemtest.exe как графическую утилиту для работы с WMI. Для работы с WMI из консоли создан wmic.exe. Мы будем использовать WMIC удаленно с учетными данными администратора домена, чтобы сканировать список узлов (ПК/ноутбуки) и устанавливать программное обеспечение, не прерывая работу пользователя. Хотя есть несколько продвинутых способов выполнить эту задачу, мы рассмотрим самый простой способ: установочный файл MSI, не требующий опций, находится на локальном диске каждого удаленного пользователя.
1. Список компонентов программного обеспечения WMI
Инструменты WMI устанавливаются по умолчанию и включают следующие компоненты:
- Wmimgmt.msc — это оснастка MMC, позволяющая управлять системой WMI на выбранном компьютере.
- Winmgmt.exe — это инструмент консоли управления WMI. Выполняет те же действия, что и консоль MMC wmimgmt.msc. Кроме того, Windows 2000 является исполняемым служебным файлом WMI в системе. Для запуска из консоли используется параметр /exe (winmgmt.exe /exe). Начиная с Windows XP исполняемый файл WMI представляет собой библиотеку wmisvc.dll, которая загружается с помощью хост-контроллера svchost.exe (общий хост-процесс для служб Win32). В Windows 7-10 winmgmt.exe позволяет настроить службу WMI как для группы SVChost под именем netsvcs, так и для отдельной группы Winmgmt. В Windows 10 группировка служб, запускаемых с помощью svchost.exe, практически не используется — у большинства служб есть свой процесс svchost.exe.
- Wbemtest.exe — это графическая утилита для интерактивной работы с WMI. Удобно для тестирования классов и методов, просмотра свойств и т. д.
- Wmic.exe — консольная утилита для вызова объектов и методов WMI (консоль WMI) — присутствует только в Windows XP и более поздних версиях Windows.
- Mofcomp.exe — это компилятор файлов MOF. Он используется для расширения репозитория WMI и тонкой работы с библиотекой классов WMI, а также для обнаружения и исправления ошибок данных репозитория.
Основным каталогом данных WMI для стандартной установки Windows является C:\Windows\System32\wbem.
2. Различные режимы запуска WMIC
WMIC можно использовать как в интерактивном, так и в пакетном режиме. Интерактивный режим удобен, когда оператор вводит последовательность команд WMIC, работая непосредственно за компьютером. Пакетный режим предназначен для запуска WMIC из пакетного файла или используется, когда требуется одна команда.
Чтобы запустить WMIC в интерактивном режиме, в окне «Пуск – Выполнить» или в командной строке введите:
(роль WMIC по умолчанию root \ cli).
По запросу вы можете ввести псевдоним, команду или переключатель, а также /? для отображения справочной информации.
Чтобы выйти из интерактивного режима, вы можете использовать команду «Выход» или «Выход».
Чтобы получить информацию об использовании WMIC в пакетном режиме, введите:
Ключ /? обеспечивает вывод справки (в этом случае управление будет возвращено в командную строку операционной системы). В пакетном режиме, а также в интерактивном режиме вы можете использовать псевдонимы, переключатели и команды.
3. Загрузите командную оболочку с соответствующими правами доступа
Хотя инструкции WMIC могут быть предоставлены с соответствующими учетными данными перед началом работы, обычно рекомендуется избегать ввода пароля открытым текстом (кто оглядывается через плечо;)). Мы выполним команду runas следующим образом:
runas /user:[email protected] cmd,
который запросит у нас учетные данные нашей учетной записи администратора домена. В случае успешной аутентификации мы получим шелл, работающий от имени администратора.
4. Войдите в WMIC удаленно, чтобы установить программное обеспечение
Одним из приятных преимуществ WMIC является то, что он может работать с любого компьютера. В нашей административной оболочке мы собираемся ввести wmic, а затем нажать кнопку Enter. (Примечание: мы могли бы перейти к WMIC напрямую из команды runas. это просто прерывает шаги).
5. Вызов установки (для одной машины)
Основная проблема заключается в том, что отдельные пакеты MSI будут иметь разные «параметры». Чтобы упростить наш пример, мы выполняем установку с MSI, которая не требует никаких опций. Мы введем вызов настройки, как показано ниже. Мы введем вызов установки следующим образом:
> /node:exampleremotemachine вызов продукта install true, “” , “c:\PathToYour\File.msi”
Если мы не введем недействительный узел wmic, нас попросят подтвердить в следующем формате:
Выполнить (Win32_Product) ⇨ Установить() (Да/Нет)?
На что мы должны ответить да (y) для подтверждения. Если ваш пакет MSI, совместимый с WMI, был успешно установлен, вы должны увидеть что-то вроде следующего:
Выполнение метода успешно.
6. Вызов установки (для получения списка машин):
Мы будем использовать функцию WMIC для обработки плоского текстового файла в качестве входных данных для узлов, чтобы выполнить эту установку в списке машин (в нашем примере, хранящемся на жестком диске локального администратора в C:\computers.txt) с помощью выполнив следующую команду:
> /node::@»c:\computers.txt» вызов продукта установить true,»» , «c:\PathToYour\File.msi
Который будет перебирать список в computer.txt… пропуская недопустимые узлы (например, машина выключена) и запрашивая подтверждение установки для каждой машины.
Хотя существует мнение о довольно скудной документации wmic, большинству пользователей достаточно инструкций на официальном сайте Microsoft для развертывания ПО или создания wmic list установленного ПО.
Рассмотрите возможность использования Action1 для удаленного развертывания программного обеспечения, если:
- Вам необходимо выполнить действие на нескольких компьютерах одновременно.
- У вас есть удаленные сотрудники с компьютерами, не подключенными к вашей корпоративной сети.
Action1 – это облачная платформа для управления исправлениями, развертывания программного обеспечения, удаленного рабочего стола, управления ИТ-активами, управления конечными точками и составления отчетов о конфигурации конечных точек.
Недавно я рассказал, как создать собственный домен Windows и как распространить групповую политику на компьютеры домена. Сегодня мы рассмотрим, как удаленно установить программное обеспечение Windows на компьютеры вашего домена с помощью групповой политики.
Раньше мне приходилось устанавливать приложения непосредственно на компьютер каждого пользователя. Это отнимало много времени, если не сказать больше. Затем я начал использовать Dameware для Windows 2000, которая помогала мне удаленно устанавливать приложения. Он был далеко не бесплатным и его было сложно использовать.
Затем появился удаленный рабочий стол с Windows XP Professional, и я смог удаленно войти на каждый компьютер и установить приложения Windows. Это все еще занимало время. Теперь я могу автоматически назначать приложения компьютерам. Я также могу назначать приложения пользователям, поэтому независимо от того, где они находятся в моем домене, у них будет необходимое программное обеспечение.
Я удаленно устанавливаю наше программное обеспечение Windows Microsoft Office и покажу вам, как это сделать. Приложение, которое вы хотите установить, должно иметь файл MSI для его развертывания. Файл MSI — это просто установщик Microsoft. Если у вас его нет, есть способы его создания. Когда у вас есть файл MSI, мы можем создать шаблоны ответов, чтобы выбрать варианты, которые мы хотим выбрать. Это помогает нам настраивать установки, сохраняя при этом их автоматизацию.
Когда вы имеете дело с тысячами компьютеров с сотнями различных требований, это необходимо. Теперь мы можем использовать наши подразделения или организационные подразделения для развертывания приложений.
Давайте откроем наших пользователей и учетные записи Active Directory.
Выберите, для кого вы хотите развернуть приложения. Щелкните правой кнопкой мыши это подразделение и выберите свойства.
Затем щелкните вкладку групповая политика в правом верхнем углу окна, а затем нам нужно нажать открыть, чтобы перейти к интерфейсу управления.
Что бы ни было в выбранной вами организационной единице, компьютеры или пользователи, все они будут затронуты. В этой ситуации это означает, что на нем будет развернуто программное обеспечение.
Далее мы попадем на этот экран:
Это называется экраном управления групповой политикой. Подразделение, которое вы выбрали двумя шагами назад, будет выделено слева, а все назначенные ему политики появятся на правой панели. Вы можете видеть, что у меня есть объект групповой политики под названием OfcStd, который является моим сокращением для Office Standard.
Эта групповая политика развертывает стандартный пакет Office 2003 на компьютерах в этом подразделении. Теперь давайте посмотрим, как это сделать с нуля.
Нажмите правой кнопкой мыши на организационной единице и выберите создать и связать здесь объект групповой политики.
Это приведет вас к экрану, который попросит вас назвать ваш объект групповой политики. Это выглядит так:
Назовите объект групповой политики так, чтобы было легче понять, что он делает. Я назвал свою установку тестовой программой. Это приведет нас к тому же экрану с добавленным новым пустым объектом групповой политики. Вам нужно будет щелкнуть по нему правой кнопкой мыши и выбрать редактировать следующим образом:
После нажатия редактировать мы окажемся в редакторе объектов групповой политики.В зависимости от того, хотите ли вы, чтобы программное обеспечение было назначено компьютеру или пользователю (компьютер всегда будет устанавливаться на один и тот же компьютер, и пользователь будет следовать за пользователем на любой машине, которую они используют). Разверните либо конфигурацию компьютера «“> настройки программного обеспечения, либо настройки программного обеспечения конфигурации пользователя, как показано ниже:
После нажатия на элемент установки программного обеспечения под папкой настроек программного обеспечения вы увидите следующее:
Щелкните правой кнопкой мыши на правой панели и выберите новый «“> пакет, как показано выше.
Я выбрал стандартный установщик Office 2003 под названием STD11.msi. и я сделал. Это действительно так! Вы развернули свой первый программный пакет. Представьте, сколько времени это может сэкономить при правильном использовании!
Теперь вы можете протестировать его, войдя в систему как пользователь в этом подразделении, если вы выберете конфигурацию пользователя выше. Если вы выберете конфигурацию компьютера, вы будете использовать компьютер в этой OU. Иногда требуется перезагрузка, а в крайнем случае две, чтобы увидеть установку. В случае успеха вы увидите экран сразу после входа в систему, сообщающий вам, что он устанавливает ваши приложения. Насколько это круто?
Как удаленно установить программное обеспечение Windows? Есть ли у вас какие-либо советы или рекомендации для нас?
Подпишитесь на нашу рассылку
Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!
- В адресной книге Viewer выберите подключение (или несколько подключений), которое вы хотите обработать с помощью инструмента удаленной установки.
- Выберите вкладку «Инструменты» и нажмите «Удаленная установка» на панели инструментов.
- Откроется окно средства удаленной установки. Выберите желаемый тип подключения и действие, а также укажите путь к пакету хоста, нажав кнопку Обзор. Подробнее об этих параметрах см. ниже.
- Убедитесь, что удаленные компьютеры, к которым вы хотите применить действие, выбраны на вкладке «Список подключений»:
- Нажмите «Обработать действие». Ход выполнения действия будет отображаться на вкладке Журнал действий:
Тип подключения
Выберите способ подключения к удаленному ПК:
- Безопасность Windows NT. Подключение к удаленному компьютеру с помощью общего ресурса admin$. Вы должны иметь права локального администратора на удаленном ПК. Типичным примером использования этого параметра является «установка с помощью рассылки» узла на удаленный компьютер в вашей сети.
- Безопасность удаленных утилит Подключитесь к удаленному компьютеру с помощью удаленных утилит. Типичным примером использования этого параметра является обновление удаленных узлов через Интернет.
Меню действий
Выберите, какое действие выполнить над выбранными удаленными компьютерами. Параметры, доступные в меню «Действие», зависят от того, что вы выбрали в поле «Тип соединения»:
Безопасность Windows NT:
- Установить/обновить хост — установить или обновить удаленный хост
- Удалить хост — удалить хост с выбранных удаленных компьютеров.
- Запустить/перезапустить хост — запустить или перезапустить удаленный хост
- Остановить хост – остановить службу удаленного хоста.
Безопасность удаленных утилит:
- Обновить хост – обновить/обновить удаленный хост.
- Удалить хост — удалить хост с выбранных удаленных компьютеров.
- Остановить хост – остановить службу удаленного хоста.
Указать пакет MSI хоста
Необходимо выбрать файл .msi хоста, с помощью которого будет выполняться установка или обновление. Это может быть стандартный пакет или ваш собственный пакет, который вы подготовили с помощью стандартного параметра конфигурации MSI.
Если вы используете стандартный установщик, обязательно загрузите последнюю версию (постоянная ссылка). Аналогичным образом, если вы используете пользовательский пакет, убедитесь, что вы создаете его на основе самого последнего ванильного пакета.
Кнопка настройки параметров
Обработать действие
Нажмите «Обработать действие», чтобы запустить любое действие, выбранное в поле «Действие».
Совместимость с Windows XP:
Если Windows XP установлена на каком-либо удаленном компьютере из вашего списка, вам следует отключить простой общий доступ к файлам в Windows XP. Для этого перейдите в Панель управления ➝ Свойства папки ➝ Просмотр и снимите флажок Простой общий доступ к файлам.
Совместимость с Windows 7/Vista:
Рекомендуется отключить UAC (управление доступом пользователей) для сетевых подключений. В реестре Windows откройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] и создайте новое значение DWORD «LocalAccountTokenFilterPolicy»=dword:00000001
Если вы ищете способ установить программу или приложение на удаленный компьютер в вашей сети, не мешая работе пользователя, в этой статье я покажу вам, как это сделать.
Существует множество способов удаленной установки; в этой статье я покажу вам, как это сделать с помощью инструмента PSexec
Инструмент PSExec — это бесплатный инструмент Microsoft, который позволяет выполнять программы и команды в других системах с полной интерактивностью для консольных приложений без ручной установки клиентского программного обеспечения.
Предпосылки:
Вот необходимые условия, которые необходимо учитывать для успешной удаленной установки.
- Загрузите инструмент PSexec;
- Загрузите пакет MSI приложения, которое вы хотите установить;
- Убедитесь, что брандмауэр Windows 10 на удаленном компьютере не блокирует трафик «Общий доступ к файлам и принтерам»;
- Вам необходимо иметь пароль учетной записи администратора на целевом ПК, если он не находится в том же домене;
Шаг 1:
Загрузите инструмент PSExec с веб-страницы Microsoft, затем извлеките исполняемый файл в папку (например, C:\SysinternalsSuite\)
Шаг 2:
Загрузите пакет MSI приложения, которое вы хотите установить.
Важно. Не загружайте установщик Setup.exe. Это не будет работать корректно в сценариях удаленной установки.
Допустим, вы хотите установить браузер Google Chrome.
Вам необходимо загрузить пакет MSI со страницы загрузки Chrome;
Шаг 3:
Убедитесь, что брандмауэр удаленного компьютера разрешает трафик «Общий доступ к файлам и принтерам».
Шаг 4:
PSExec запустит установщик GoogleChromeStandaloneEnterprise64.msi на удаленном компьютере, который установит Google Chrome в тихом режиме (/qn), не прерывая работу конечного пользователя.
Читайте также:
- Активировать возможность удаленного включения компьютера в режиме soft off BIOS
- Видео не перематывается в браузере
- Как сделать календарь в фотошопе
- Как установить драйверы без прав администратора
- Рекурсивная замена кадров не работает после нескольких попыток Adobe Premiere Pro
Как удаленно установить программу на компьютер в домене
Работая системным администратором, часто сталкиваешься с необходимостью удаленной установки каких-либо программ. Что-то массовое может быть установлено через групповые политики, что-то единичное приходится устанавливать с помощью непосредственного управления целевым компьютером.
Однако, с тех пор, как в нашей ультраконсервативной конторе стали появлятся компьютеры с более новой, чем XP, версией Windows, возникла проблема: удаленный помощник Windows Server 2003 (который итак никого, в общем-то, не устраивал) не мог подключиться к более поздним версиям ОС. Конечно, у нас оставался старый добрый «Удаленный рабочий стол», но иногда ведь нужно увидеть именно то, что видит на своем рабочем столе пользователь. При этом политика безопасности конторы требовала использовать минимум стороннего софта.
После долгих поисков, было установлено, что подключиться к сеансу Windows 7 из сеанса Windows Server 2003 без какой-либо сторонней утилиты не получится. Конкурс на самую бесплатную утилиту удаленного управления выиграла UltraVNC. Именно на ее примере ниже будет рассмотрен способ удаленной тихой установки программ без использования сторонних утилит.
Постановка задачи
Для все той же минимизации присутствия левого софта на компьютерах предприятия, решено было не толкать установку UltraVNC через политики. При этом не было никакого желания на каждый компьютер, где требуется подключиться в сеанс пользователя, подключаться через «удаленный рабочий стол» для установки UltraVNC.
Так и возникла задача — организовать удаленную установку программы X на компьютер Y по требованию. В результате работы сначала явился на свет файл install.bat, способный совершить тихую установку-настройку требуемой программы, а затем был придуман и способ запустить такую установку на удаленном компьютере совершенно без использования сторонних утилит (remote-install.bat).
Тихая установка UltraVNC
Скрипт позволяет быстро и без лишнего шума установить UltraVNC при запуске с администраторскими правами на целевой машине.
Удаленный запуск тихой установки
Немаловажное
- соответственно названные дистрибутивы для 32 и 64-битных систем — UltraVNC1191(x86).exe и UltraVNC1191(x64).exe
- заранее заготовленный файл с настройками будущего UltraVNC сервера — ultravnc.ini (можно взять из уже установленной и настроенной копии программы на любом компьютере)
- файл с опциями установки — uvncinstall.inf. У меня он такой:
Данные bat-скрипты позволили беспрепятственно устанавливать UltraVNC не только на компьютеры с Windows 7, но и на проблемные (с точки зрения «удаленного помощника») компьютеры с Windows XP, а впоследствии и на компьютеры с Windows 8. При желании и наличии напильника, с помощью этих скриптов также можно установить и другие программы — лишь бы была «тихая» установка.
Ключевой особенностью этого способа установки стало именно использование schtasks для создания, запуска и удаления заданий после их завершения. Остальное содержимое скриптов — проверки, перестраховки и всяческие ленивости для минимизации ручного и умственного труда при необходимости установки UltraVNC на очередной компьютер.
Предлагаю программу для администраторов — Rinstall (скачать можно здесь). Она решает следующие задачи:
- Удалённое администрирование
- Удалённое выполнение команд
- Удалённая установка приложений
- Host — IP-адрес/имя удалённого компьютера. Программа постоянно пытается подключиться к нему и сигнализирует о результате:
- красный — компьютер не найден (возможно на нём включен брандмауэр);
- жёлтый — компьютер найден, но учётные данные не верны / не хватает прав / на удалённом ПК включен «простой общий доступ к файлам»;
- зелёный — компьютер найден, учётные данные верны, права есть.
Здесь же можно указать список компьютеров. Для этого дважды щелкните в пустом поле — появится имя списка по умолчанию — list. Отредактировать список можно дважды щёлкнув по нему мышкой. Списков может быть несколько, но все они должны начинаться с символа «@».
Настройки программы читаются при её запуске из файла rinstall.ini, который может находиться в каталогах «%PROGRAMFILES%\Rinstall\» и «%USERPROFILE%\Rinstall\» (последний приоритетнее).
1. Удалённое администрирование
- [Info] — получить информацию о системе.
- [Soft] — получить список установленного ПО.
- [CM] — запустить консоль управления компьютером.
- [CMD] — запустить удалённый шелл.
- [CMRC] — подключиться через клиента Configuration Manager.
- [RDP] — подключиться через удалённый рабочий стол.
- [RA] — подключиться через удалённый помощник.
- [VNC] — подключиться через TightVNC (Ctr+Alt+Shift+T — панель инструментов).
- [Radmin] — подключиться через Radmin.
- [Resource] — открыть удалённый ресурс.
- [Space] — посмотреть, чем занято место на дисках удалённого компьютера.
2. Удалённое выполнение команд
- [Command] — команда (запускаемый файл: *.exe,*.bat, *.cmd, *.vbs, *.hta, и т.д.), выполняемая на удалённом компьютере. По умолчанию указана команда запуска диспетчера устройств.
- [Args] — Аргументы (параметры/ключи) команды, если они нужны.
- [x] Copy — копировать команду на удалённый компьютер (при этом нужно указать её полный путь на локальном компьютере).
- [x] Hide — выполнить команду скрытно.
- [x] Wait — ждать завершения команды.
- [Far] — запустить Far.
- [CMD] — запустить шелл.
- [Autoruns] — запустить менеджер автозагрузки.
- [Geek Uninstaller] — запустить менеджер деинсталляции.
- [GPUpdate] — обновить групповые политики (с ключом /FORCE).
- [Reset] — завершить все psexec-процессы.
- [Renew] — обновить IP-адрес.
- [Reboot] — перезагрузить компьютер.
- [RunAsLnk] — создать ярлык для приложения, запускающегося от имени пользователя с правами администратора (используется бесплатная версия RunAsSpc).
Команды выполняются на удалённом компьютере с правами SYSTEM.
В качестве команд удобно запускать портативные приложения (не забываем ставить галочку Copy). Тут, правда, имеются непонятные проблемы с запуском SFX-архивов на удалённых компьютерах с 64-разрядной ОС…
3. Удалённая установка приложений
Папки с приложениями (Rel Path) размещаются внутри базового сетевого ресурса (Net Path). Доступ к нему осуществляется по учётным данным (Net User, Net Pass). Во время установки приложения на удалённом компьютере подключается сетевой диск (Net Disk).
Это вторая часть гайда по удаленной установке программ в домене. Первый из них уже был описан в статье « Установка программ в домене удаленно «. Там речь шла о размещении всех необходимых дистрибутивов в одной папке, с дальнейшим делегированием прав — для доступа к ней с любого компьютера. В этой же статье, хотелось бы рассмотреть немного иной подход.
Установка программ по сети с помощью групповых политик.
Не весь софт можно поставить таким методом, поэтому в данной статье собраны ссылки на софт, который удалось заставить устанавливаться или обновляться через Групповые политики ( GPO ) Active Directory .
Групповая политика — это набор правил или настроек, в соответствии с которыми производится настройка рабочей среды Windows . Групповые политики создаются в домене и реплицируются в рамках домена. Для того, чтобы это сделать, нужно выполнить ряд превентивных действий:
- скопировать к себе на компьютер файл Microsoft Installer ( MSI ) программного обеспечения Wininstaller . Поместить этот файл в каталог C:\Distr на своем компьютере и расшарить его как \\имя_нашего_компьютера\Distr$ ; (как это сделать, было описано здесь )
- далее нужно создать групповую политику WinInstaller , которая бы устанавливала программное обеспечение Wininstaller на все компьютеры нашего домена.
Действуем следующим образом:
- После того, как мы создали общий каталог и скопировали в него нужные файлы, нужно открыть Group Policy Management Console, щелкнуть правой кнопкой мыши по узлу нашего домена и в контекстном меню выберать Create and Link a GPO here . Присвоить групповой политике название Wininstaller .
- Далее щелкаем правой кнопкой мыши по объекту созданной групповой политики и в контекстном меню выбираем Edit. В окне Group Policy Object Editor нужно раскрыть узел Computer Configuration -> Software Settings -> Software installation, щелкнуть правой кнопкой мыши по узлу Software Installation и в контекстном меню выбрать New -> Package.
- В окне Open вводим путь к пакету MSI: \\имя_нашего_компьютера\Distr$\SWIADMLE.MSI и нажимаем Open.
- В окне Deploy Software устанавливаем переключатель в положение Advanced и нажимаем OK .
- В окне WinInstall Properties смотрим все вкладки и нажимаем OK . Закрываем окна Group Policy Object Editor и Group Policy Management Console с сохранением внесенных изменений и перезагружаем компьютер. В процессе запуска следует обратить внимание на строку Installing Managed Software WinInstall , которая появится после строки Applying Computer Settings .
- После окончания перезагрузки можно заметить, что в меню Programs появилась новая группа программ.
Теперь предварительные приготовления закончены и можно начинать добычу пакетов MSI :
(обновления версий в подкаталогах) наложение обновлений Reader: > mkdir C:\Temp\AdobeReader > cd C:\Temp\AdobeReader > msiexec /a AdbeRdr1000_ru_RU.msi TARGETDIR=c:\Temp\AdobeReader\Updated > msiexec /a c:\Temp\Adobe\Updated\AdbeRdr1000_ru_RU.msi /p C:\Temp\AdobeReader\AdbeRdrUpd1001_Tier4.msp
Системному администратору часто приходится устанавливать очень много различных программ и приложений на компьютеры сотрудников фирмы. Иногда число этих сотрудников слишком велико, или офис очень большой — для того, чтобы админ бегал по нему весь день и устанавливал эти программы. Это отнимает огромную кучу времени, которое можно потратить на более полезные вещи.
Как же помочь юзеру, не бегая к нему через весь офис, ради установки какого-нибудь google chrom -а?
Вариантов всегда несколько. В этой статье хотелось бы рассмотреть один из них.
Дистрибутивы в одной папке и DameWare для установки.
Настраиваем общую папку на сервере/личном компьютере. Создаем папку ( я назвал ее Distr ), заходим в ее свойства, вкладка: «Доступ» — кнопка «Общий доступ».
Выбираем из выпадающего списка пункт «Все» и устанавливаем ему права — «Чтение».
Далее наша папка расшарена и доступна для всех пользователей. Заливаем в нее все дистрибутивы, которые нам нужны.
Для проверки работоспособности папки — можем перейти по ее адресу и глянуть — все ли в порядке. Заходим на свой компьютер по smb:
1. вы должны знать имя своего компьютера. ( У меня это будет Feanor184 ).
2. Открываем любую папку на компьютере( например, «Мой компьютер»).
3. В верхней строке адреса — где написано ( ► Мой компьютер ► ) выделяем все, стираем и вводим: //feanor184/ и нажимаем Enter.
Открываем и видим все наши расшаренные папки.
Вся прелесть и смысл этой волокиты в том, что теперь мы можем попадать в эту папку с любого компьютера нашей офисной сети( при условии, что все компьютера в офисе находятся в одной сетке).
Ставим клиент DameWare.
Теперь нам нужно установить клиент DameWare . В его установке нет ничего сложного и необычного, ставится как обычная программа с официального сайта разработчика. Ставим самую последнюю версию — чтобы комфортно было работать с Windows 8.1 — если вдруг возникнет такая необходимость.
Процесс установки и детальной настройки я, возможно, опишу в ближайших статьях.
Перейдем непосредственно к цели нашей волокиты. Мы имеем DameWare и расшаренную папку. Теперь мы можем подключиться к любому компьютеру в нашей сети и установить нужный нам софт из расшаренной папки со своими правами.
Запускам клиент DameWare и видим следующее окно:
В поле Host — вбиваем имя компьютера пользователя( или его Ip адресс), к которому мы хотим подключиться и установить программу.
User Id — наш логин в Домене.
Password — наш пароль в домене.
Domain — наш домен(актуально, если вдруг он не один).
( ВАЖНО! Чтобы мы могли подключиться к удаленному компьютеру подобным образом, у пользователя должен быть отключен Брандмауэр )
После этого мы попадаем к пользователю на компьютер, можем зайти в свою папку( //feanor184/distr/ ) и устанавливать любые программы.
Во второй части статьи будутт рассмотрены способы установки программ пользователям удаленно с помощью групповых доменных политик.
Загрузить PsTools(3,5 МБ)
Введение
Такие программы, как Telnet и программы удаленного управления, такие как PC Anywhere компании Symantec, позволяют выполнять программы на удаленных системах, но они могут быть нелегко настроены и требовать установки клиентского программного обеспечения на удаленных системах, к которым вы хотите получить доступ. PsExec — это облегченная замена Telnet, которая позволяет выполнять процессы в других системах, полностью интерактивно выполняемые с консольными приложениями, не требуя вручную устанавливать клиентское программное обеспечение. Наиболее эффективные варианты использования PsExec включают в себя запуск интерактивной командной строки для удаленных систем и средств удаленного включения, таких как IpConfig, которые в противном случае не могут показывать сведения об удаленных системах.
Примечание. Некоторые антивирусные сканеры сообщают о том, что один или несколько средств заражены вирусом «remote admin». Ни один из PsTools не содержит вирусов, но они использовались вирусами, поэтому они запускают уведомления о вирусах.
Установка
Просто скопируйте PsExec на путь к исполняемому файлу. При вводе PsExec отображается его синтаксис использования.
Использование программы PsExec
ознакомьтесь с разделом 2004 июля Windows ит Pro Magazine для получения статьи о пометке , посвященной расширенному использованию PsExec.
Параметр | Описание |
---|---|
-a | Отдельные процессоры, на которых приложение может работать с запятыми, где 1 — это наименьший номер ЦП. Например, чтобы запустить приложение на ЦП 2 и ЦП 4, введите: «-a 2, 4» |
-c | Скопируйте указанный исполняемый файл в удаленную систему для выполнения. Если этот параметр не задан, приложение должно находиться в системном пути в удаленной системе. |
-d | Не дожидаться завершения процесса (не интерактивного). |
-e | Не загружает профиль указанной учетной записи. |
-f | Копирование указанной программы, даже если файл уже существует в удаленной системе. |
-i | Запустите программу, чтобы она взаимодействовала с рабочим столом указанного сеанса в удаленной системе. Если сеанс не указан, процесс выполняется в сеансе консоли. Этот флаг необходим при попытке запуска консольных приложений в интерактивном режиме (с перенаправленным СТАНДАРТным вводом-выводом). |
-h | Если целевая система находится в системе Vista или более поздней версии, процесс выполняется с маркером повышенной безопасности учетной записи, если он доступен. |
-l | Запустите процесс от имени ограниченного пользователя (поменяет группу администраторов и разрешает только привилегии, назначенные группе Пользователи). в Windows Vista процесс выполняется с низкой целостностью. |
-n | Указывает время ожидания в секундах при подключении к удаленным компьютерам. |
-p | Указывает необязательный пароль для имени пользователя. Если этот параметр не указан, будет предложено ввести скрытый пароль. |
-r | Указывает имя удаленной службы для создания или взаимодействия с. |
-s | Запустите удаленный процесс в системной учетной записи. |
-u | Указывает необязательное имя пользователя для входа на удаленный компьютер. |
-v | Скопируйте указанный файл только в том случае, если он имеет более высокий номер версии или более новый, чем тот, который находится в удаленной системе. |
-w | Задайте рабочий каталог процесса (относительно удаленного компьютера). |
-x | Отображение пользовательского интерфейса на безопасном рабочем столе Winlogon (только в локальной системе). |
— приоритет | Указывает-Low,-BelowNormal,-AboveNormal,-High или-реального времени для запуска процесса с другим приоритетом. Используйте-Background для запуска с нехваткой памяти и приоритетом ввода-вывода в Vista. |
компьютерами | Direct PsExec для запуска приложения на удаленном компьютере или указанных компьютерах. Если опустить имя компьютера, программа PsExec запустит приложение в локальной системе и при указании подстановочного знака (\ \ *) программа PsExec выполнит команду на всех компьютерах в текущем домене. |
@file | PsExec выполнит команду на каждом из компьютеров, перечисленных в файле. |
cmd | Имя выполняемого приложения. |
даваемых | Аргументы для передачи (Обратите внимание, что пути к файлам должны быть абсолютными путями в целевой системе). |
-AcceptEula | Этот флаг подавляет отображение диалогового окна лицензии. |
Приложения, имена которых содержат пробелы, можно заключать в кавычки, например
Если не указать имя пользователя, процесс будет выполняться в контексте вашей учетной записи в удаленной системе, но не будет иметь доступа к сетевым ресурсам (так как это олицетворение). Укажите допустимое имя пользователя в Domain\User синтаксисе, если удаленный процесс требует доступа к сетевым ресурсам или для запуска в другой учетной записи. Обратите внимание, что пароль и команда шифруются при передаче в удаленную систему.
Коды ошибок, возвращаемые PsExec, относятся к выполняемым приложениям, а не PsExec.
Примеры
В этой статье я написал Описание того, как работает PsExec и предоставляет советы по его использованию:
Следующая команда запускает интерактивную командную строку на \\marklap :
Эта команда выполняет команду IpConfig в удаленной системе с /all параметром и отображает итоговый результат на локальном компьютере:
Эта команда копирует программу test.exe в удаленную систему и выполняет ее в интерактивном режиме:
Укажите полный путь к программе, которая уже установлена в удаленной системе, если она не находится в системном пути:
Запустите программу regedit в интерактивном режиме в системной учетной записи, чтобы просмотреть содержимое ключей SAM и безопасности:
Чтобы запустить Internet Explorer с правами ограниченного доступа пользователя, используйте следующую команду:
Загрузить PsTools(3,5 МБ)
PsExec является частью растущего комплекта средств командной строки Sysinternals, помогающих в администрировании локальных и удаленных систем с именем PsTools.
Читайте также:
- Как создать слой в автокаде
- Как восстановить браузер на самсунг
- Как перейти в дискорд фанпея
- Где хранятся рабочие среды adobe premiere
- Ошибка при запуске дискорд
Установка программ с помощью групповых политик в домене Active Directory
15.11.2022
itpro
Active Directory, Windows 10, Windows Server 2019, Групповые политики
комментария 43
В этой статье мы рассмотрим, как устанавливать программы на компьютеры пользователей домена Active Directory с помощью групповых политик.
Встроенный функционал GPO Windows позволяет устанавливать только программы, распространяющееся в виде MSI или ZAP пакетов. Другие виды программ придется устанавливать альтернативными средствами: с помощью SCCM, через логон скрипты, копирование файлов программы на компьютеры с помощью GPO, запуском разовых скриптов и т.д.
Получите установочный MSI пакет программы
Рассмотрим, как установить MSI пакет программы на компьютеры пользователей с помощью групповых политик Windows на примере клиента Microsoft Teams.
Скачайте MSI пакет с клиентом Teams (http://aka.ms/teams64bitmsi) и скопируйте файл Teams_windows_x64.msi в каталог SYSVOL на контроллере домена ( \\winitpro.ru\SysVol\winitpro.ru\scripts ).
Обратите внимание, что есть x86 и x64 версии MS Teams. Если у вас остались компьютеры x86 версиями Windows, вам нужно создать отдельные политики для x86 и x64 компьютеров. Для фильтрации версий Windows в политиках можно использовать WMI фильтры GPO.
Далеко не все программы предоставляются в виде MSI файла. Чаще всего разработчики отдают их в виде исполняемых EXE файлов, которые не подходят для распространения через GPO. Но есть два способа, которые в некоторых случаях получить установочный MSI программы:
- Некоторые установщики при запуске распаковывают свои файлы в каталог %temp%. Поэтому при установке программы (просто сверните окно установки) попробуйте открыть этот каталог и найти в нем установочный MSI файл.
- Другой способ получения MSI файла – попробовать открыть установочный EXE файл с помощью архиватора 7-Zip. Запустите 7-Zip и в меню выберите File -> 7ZIP –> Open Archive. 7ZIP попробует открыть EXE файл в как архив. В нашем случае из EXE файла с дистрибутивом Acrobat Reader получилось извлечь MSI и MST файлы, которые готовы для установки через групповые политики Windows.
Создаем GPO для установки программы на компьютеры пользователей
Теперь нужно создать новую политику в домене для установки вашего ПО.
- Откройте консоль управления доменными GPO ( gpmc.msc );
- Создайте новую GPO (CorpInstallTeams)и назначьте ее на OU с компьютерами, на которые нужно выполнить установку (Create a GPO in this domain, and link it here);
- Откройте политику и перейдите в раздел Computer Configuration -> Policies -> Software Settings -> Software installation;
- Выберите пункт меню New ->Package;
- Выберите ваш MSI файл, который хранится в каталоге SYSVOL;
- Выберите опцию “Advanced” и нажмите OK;
Assigned – программы устаналиваются при входе пользователя, Published – публикуюция на компьютерах и могут быть установлены пользователями из Add/Remove Programs.
В Windows 11 уже встроенный чат клиент Teams, но это не полноценный клиент Microsoft Teams.
Если групповая политика установки приложение не применяется к компьютерам, используйте стандартные средства диагностики описаны в статье “Почему к компьютеру не применяется групповая политика” и команду gpresult.
Изменение параметров MSI пакета для установки через GPO
В стандартном интерфейсе GPO вы не можете указать определенные ключи для установочных MSI пакетов. Что очень неудобно. Например, при установке антивируса вам нужно указать адрес сервера управления. Или при при установке Teams из командой строки с помощью msiexec можно отключить автозапуск клиент MSTeams и скрыть его из списка установленных программ (локальный администратор не сможет удалить клиент Teams). Для этого используется команда:
msiexec /i Teams_windows_x64.msi OPTIONS=»noAutoStart=true» ALLUSERS=0
Как добавить опции установки в MSI пакет? Для этого используются файлы преобразования MST. Этот тип файлов позволяет изменить стандартные настройки MSI пакета и использовать ваш сценарий установки.
Для создания файла модификации MST для MSI пакетов можно использовать утилиту ORCA (входит в состав Windows Installer SDK).
Откройте ваш MSI пакет с помощью Orca.
Создайте New Transformation и задайте ваши кастомные параметры MSI пакета в разделе Property. В моем случае для клиента Teams я изменю:
Выберите Transform -> GenerateTransform и сохраните изменения в файл с расширением MST (teams_mod.mst). Скопируйте файла в каталог SYSVOL
Теперь нужно удалить предыдущее правило для установки MSI пакета в GPO (т.к. вы можете добавить MST с модификациями пакет только при создании правила установки программы.
Выберите All –> Task -> Remove
Создайте новое правило установки программы, опять выберите msi файл в каталоге SYSVOL и перейдите на вкладку Modification. Нажмите кнопку Add. Выберите созданный ранее MST файл.
Теперь во время установки MSI пакета через GPO к нему автоматически применится файл модификаций MST и установит программу с нужными вам параметрами.
Основные недостатки метода установки MSI программ через GPO:
- Поддерживаются только MSI и ZAP установщики;
- Нельзя запланировать установку программы на определенное время. Одновременная установка программы на множестве компьютеров (обычно это происходит утром при включении компьютеров) может вызвать нагрузку на сеть и DC. В этом случае лучше использовать, например, SCCM. Используя окна обслуживания (maintenance) или настройки WOL (Wake On LAN);
- Нельзя изменить порядок установки программ в одной политике. При добавлении нового установочно пакета в GPO, оно устанавливается последним.
- Нельзя получить отчет об успешности или ошибках установки программы на компьютерах.
В современных версиях Windows 10 и 11 можно использовать пакетный менеджер winget для установки программ.
Предыдущая статья Следующая статья
Тихая установка программ на удалённый компьютер. Для самых маленьких
На текущий момент, когда многие зарубежные компании приостановили свою деятельность в России, всё более актуальным становится вопрос автоматизации рутинных рабочих процессов подручными доступными бесплатными средствами.
Предлагаю вашему вниманию статью об удалённой установке программ штатными средствами Windows 10 и бесплатными консольными утилитами.
Рассмотрим установку двух наиболее часто встречающихся типа установочных файлов .exe и .msi, на примере всеми любимого бесплатного архиватора 7-zip и браузера Google Chrome
Для начала нам потребуются актуальные дистрибутивы, которые можно скачать с официальных сайтов:
- На момент написания статьи актуальной версией 7-zip являлась 21.07 (64х битный установщик для Windows)
- Google Chrome будем качать в виде установочного пакеты MSI, на момент написания статьи актуальная версия 102.0.5005.63 (скачать msi установщик) #Обратите внимание что, что сам установщик упакован в архив, с расширением .zip, и для его извлечение предварительно необходимо будет установить ранее скачанный архиватор 7-zip.
Так же нам понадобится утилита psexec, которая входит в комплект PsTools, скачать их можно тут.
Теперь скачанные нами файлы установки и утилиту psexec необходимо поместить в одну папку, пусть для удобства это будет D:\silent\7z и D:\silent\chrome
#После распаковки архива с дистрибутивом Chrome нужный нам файл будет лежать в папке \Installers\ GoogleChromeStandaloneEnterprise64.msi
##Т.к. большинство современных установок Windows 64-х разрядные, мы будем использовать файл PsExec64.exe
Теперь можно используя командную строку Windows приступить к установке программ на удалённый компьютер
#Нажимаем комбинацию клавиш wir+R, вводим CMD и жмём OK
Перейдём в каталог со скачанным 7-zip выполнив команду
Расскажу подробнее как работает утилита PsExec.
В простейшем случает синтаксис нашей команды будет таким:
psexec \\компьютер [-u пользователь [-p пароль]] программа [аргументы]
\\компьютер – имя удалённого компьютера, на который мы будем устанавливать наш архиватор(у нас это user_pc)
[-u пользователь [-p пароль]] – необязательные параметры, если у вашей учётной записи есть права на установку программ или права администратора в домене. Если нет – эти параметры помогают указать имя и пароль пользователя, который обладает достаточными правами.
программа – имя исполняемого файла, (7z2107-x64.exe)
аргументы – параметры установки программы, влияющие на сам процесс установки. Ещё аргументы называют ключами.
#Например, аргумент /S — будет означать тихую установку программы, без участия пользователя на удалённом компьютере. Ключей тихой установки может быть множество, и для разных программ они могут отличаться. Подобрать их можно изучив документацию к программе, но как правило большинство из них являются универсальными.
Таким образом наша конечная команда будет выглядеть так:
PsExec64.exe \\user_pc –c 7z2107-x64.exe /S
ключ –с копирует 7z2107-x64.exe на удалённый компьютер для последующего запуска
В случае успешной установки программы в окне командной строки мы должны увидеть следующее:
7z2107-x64.exe exited on user_pc with error code 0.
error code 0 означает что программа установлена успешно.
В случае успешной установки программы в окне командной строки мы должны увидеть следующее:
7z2107-x64.exe exited on user_pc with error code 0.
error code 0 означает что программа установлена успешно.
Всё! Пользователь работающий на user_pc абсолютно незаметно для себя самого стал счастливым обладателем архиватора 7zip.
Теперь приступим к удалённой установке браузера Google Chrome, который мы скачали в виде установочного файла с расширением .msi.
Для установки MSI пакетов в windows используется утилита msiexec, которая уже установлена в операционной системе. Как правило утилита эта находится в каталоге c:\Windows\system32\msiexec.exe.
Удобнее и быстрее будет если предварительно установочный файл скопировать на целевой компьютер и запускать его оттуда удалённо. В этом нам поможет встроенная в Windows утилита xcopy. У неё очень простой синтаксис в стиле:
xcopy что_копируем куда_копируем параметры_копирования
xcopy D:\silent\Chrome\GoogleChromeStandaloneEnterprise64.msi \\user_pc\c$\Windows\Temp\ /s /e
D:\silent\Chrome\GoogleChromeStandaloneEnterprise64.msi – полный пусть к файлу установки на нашем компьютере
\\user_pc\c$\Windows\Temp\ — путь назначения для копируемого файла на удалённом компьютере
/s /e — Копирование каталогов с подкаталогами, включая пустые.
Теперь всё готово для запуска удалённой установки программы.
psexec64.exe \\user_pc c:\Windows\system32\msiexec.exe /i c:\Windows\Temp\GoogleChromeStandaloneEnterprise64.msi /qn /quiet /norestart
В первой части команды мы указываем утилите psexec64.exe имя удалённого компьютера \\user_pc и место расположение утилиты отвечающей за установку .msi файлов c:\Windows\system32\msiexec.exe (как правило она всегда находится по этому пути), далее идёт ключ /i, который означает что будет производиться именно установка программы (install), после чего мы указываем полный пусть исполняемого файла на удалённом компьютере c:\Windows\Temp\GoogleChromeStandaloneEnterprise64.msi и в конце указываем несколько ключей тихой установки:
/qn – полностью скрывает процесс установки от пользователя
/quiet — тихий режим без взаимодействия с пользователем. Все окна будут скрыты. Если после обновления понадобиться перезагрузка, то она будет произведена.
/norestart – отменяет перезагрузку, если она необходима после установки программы.
Таким образом, после запуска нашей команды тихой удалённой установки браузера Google Chrome, пользователь на удалённом компьютере ничего не заметит ровно до того момента, когда ярлык браузера появится у него на рабочем столе.
А если в вашей сети есть 100 компьютеров, на которые необходимо установить тот же браузер Google Chrome? Можно делать это вручную, запуская команды копирования и установки для каждого компьютера отдельно – это долгий и трудоёмкий процесс, а можно автоматизировать, написав простой скрипт и подсунув ему файл со списком компьютеров для установки.
Скрип будем писать в виде .bat файла, в котором будут последовательно исполняться команды.
В папке D:\silent\chrome создадим файлы install.txt и userspc.txt и откроем их в блокноте.
В файл userspc.txt заносим список ПК, на которые планируем установить Chrome, в файле не должно быть ни каких лишних символов, кроме имён ПК и символа переноса строки. Так же вместо имён можно использовать IP-адреса компьютеров. После этого файл можно сохранить и закрыть.
Теперь хорошо бы знать на какие компьютеры браузер установился успешно и на какие установка не произошла (например, компьютер мог быть выключен на момент запуска скрипта). Для этого в папке chrome создадим папку log которой создадим два файла install-good.txt и install-bad.txt, в которые скрипт будет заносить имена компьютеров с (не)успешной установкой.
В файле install.txt пишем следующее:
for /f %%i in (d:\silent\Chrome\userspc.txt) do (
xcopy D:\silent\Chrome\googlechromestandaloneenterprise64.msi \\%%i\c$\Windows\Temp\Chrome /s /e
psexec64 \\%%i c:\Windows\system32\msiexec.exe /i c:\Windows\Temp\Chrome\googlechromestandaloneenterprise64.msi /qn /quiet /norestart
if errorlevel 1 ( echo %%i >>D:\silent\Chrome\log\install-bad.txt ) ELSE ( echo %%i >>D:\silent\Chrome\log\install-good.txt ) rmdir /s /q \\%%i\c$\Windows\Temp\Chrome ) pause
Разберём построчно команды и алгоритм работы данного скрипта:
Алгоритм прост, в цикле считываем из файла userspc.txt построчно имена компьютеров, каждое имя присваивается переменной \\%%i, далее выполняются раннее составленные нами команды копирования и тихой установки Google Chrome. В конце скрипт проверяет код возвращаемой скриптом ошибки. Если скрипт вернул 0, в файл install-good.txt заноситься имя текущего компьютера, на котором была попытка установки программы. Если код ошибки другой, то компьютер заноситься в файл install-bad.txt.
for /f %%i in (d:\silent\Chrome\userspc.txt) do ( … )
Цикл for предназначен для выполнения повторяющихся однотипных команд,
Рассмотрим его работу более детально. %%i – переменная, которая является счётчиком шагов цикла, писать её надо именно так, как в примере используя двойной знак процента и букву английского алфавита, одну. На каждом шаге цикла выполняются команды, записанные после слова do. Ключ /f указывает на то, что цикл будет работать с файлами. После слова in указан путь к файлу, где хранятся имена компьютеров.
Этот блок программы построчно считывает имена компьютеров и для каждого из них выполняет указанные в скобках команды.
mkdir – команда, предназначенная для создания каталогов. В нашем случае мы создаём папку Chrome на удалённом компьютер в папке \Windows\Temp\. Напомню, что текущее имя удалённого компьютера храниться в переменной %%i.
Как работает xcopy было рассмотрено ранее в статье, по этому на ней заострять внимание не будем.
psexec64 \\%%i c:\Windows\system32\msiexec.exe /i c:\Windows\Temp\Chrome\googlechromestandaloneenterprise64.msi /qn /quiet /norestart – запускает установку Chrome на каждом отдельно взятом компьютере.
if errorlevel 1 ( echo %%i >>D:\silent\Chrome\log\install-bad.txt ) ELSE ( echo %%i >>D:\silent\Chrome\log\install-good.txt )
if – команда, обрабатывающая какое-то логическое условие, она же оператор ветвления. Т.е. если условие заданное после if выполняется, то будет выполнена команда, следующая за условием. В противном случае будут выполнены команды следующие за оператором ELSE. Завершив работу программа возвращает код завершения, с помощью errorlevel их можно использовать в качестве условия.
echo %%i >>D:\silent\Chrome\log\install-bad.txt
echo – команда, выводящая в окно командной строки какой-то текст, так же вывод команды можно перенаправить в файл используя оператор >>. В нашем случае этой командой имена компьютеров с (не)успешной установкой заносятся в файлы логов install-bad.txt и install-good.txt.
rmdir /s /q \\%%i\c$\Windows\Temp\Chrome — действие этой команды обратно mkdir, т.е. она удалит ранее созданный нами каталог Chrome на пользовательском ПК, тем самым наведёт порядок и не оставит лишних установочных файлов забивающих собой дисковое пространство.
pause – просто оставит висеть окно командной строки, и не даст ему закрыться автоматически после завершения работы нашего скрипта.
Как видите, всё просто.
Дополнительно про типы инсталляторов и ключи тихой установки можно почитать тут.
Про тонкости работы команды xcopy тут.
Попробуйте написать самостоятельно скрипт для установки 7-zip.
Если остались вопросы с удовольствием отвечу на них в комментариях.