Создание групповой политики на предприятии

 

2.2 Расширение клиентской части «Установка программ»

 

Первое расширение клиентской части, компоненты которого будут подробно рассмотрены, называется «Установка программ» или Group Policy Software Installation, GPSI. Несмотря на то, что для автоматизации установки программного обеспечения в организациях обычно используют такие продукты, как Microsoft System Center Configuration Manager или Microsoft System Center Essentials, которые обеспечивают множество средств для мониторинга использования программного обеспечения и системы инвентаризации, программное обеспечение можно развертывать и при помощи групповой политики, используя узел  «Установка программ». Используя это расширение клиентской стороны, вы можете устанавливать, обновлять, поддерживать и удалять программное обеспечение на клиентских компьютерах и для определенных пользователей, независимо от компьютера, на котором они входят в сеть без какого-либо участия команды технической поддержки. После того как вы настроите объект групповой политики с использованием CSE «Установка программ», новый программный пакет будет проинсталлирован при следующей загрузке компьютера или входе пользователя в сеть. Для распространения программного обеспечения, расширение клиентской стороны использует технологию «Установщик Windows», который управляет программным обеспечением с помощью информации, содержащейся в пакете установщика Windows, и содержит информацию, необходимую для восстановления отказанного приложения. Пакеты установщика настраиваются при помощи файлов трансформации (*.mst-файлов), файлов исправлений (*.msp-файлов), а также низкоуровневых пакетов приложений *.zap, указывающих расположение точек распространения программного обеспечения.

Архитектура компонентов расширения клиентской части установки программ выглядит следующим образом. Системный администратор создает пакет установщика Windows для приложения, которое следует распространить на пользователей или их компьютеры. Далее ему предстоит создать точку распространения программного обеспечения (Software Distribution Point, SDP), представляющую собой общую папку, из которой позже пользователи и компьютеры будут устанавливать соответствующее программное обеспечение. Желательно, чтобы на этапе планирования точек SDP для каждого приложения была создана своя собственная папка. Для таких папок должно быть установлено NTFS разрешение на чтение и выполнение, так как в противном случае у пользователей не удастся установить приложения. После этого, администратор, на своей рабочей машине, используя оснастки«Управления групповой политикой» и «Редактор управления групповой политикой» создает объект групповой политики, предназначенный для распространения пакета приложения на пользователей или компьютеры, и связывает данный объект GPO с конкретным подразделением.

При помощи расширения CSE «Установка программ»  можно распространять программное обеспечение клиентов двумя способами, а именно, путем публикации приложения только для пользователей или при помощи назначения приложения пользователям и компьютерам.

Рассмотрим оба способа.

Публикация приложения. Прежде всего, необходимо помнить о том, что приложение может быть опубликовано только для пользователя. После того как вы опубликуете программное обеспечение, его ярлык не будет отображаться на рабочем столе или в меню«Пуск», однако, это приложение можно найти и установить в компоненте панели управления «Программы и компоненты». Помимо этого, опубликованное приложение может быть установлено при попытке открытия файла, ассоциированного с текущим приложением. После развертывания объекта групповой политики, опубликованное программное обеспечение можно будет установить при следующем входе пользователя в систему и пользователь, для которого будет установлено ПО может, при необходимости, его удалить при помощи «Программы и компоненты». Для публикации приложений поддерживаются файлы *.msi и *.zap.

Назначение приложения. В отличие от публикации приложения, назначать приложение можно как пользователям, так и компьютерам. Также, после назначения приложения, у пользователя обновляются некоторые локальные параметры реестра, благодаря чему он сможет найти ярлыки для назначенных приложений в меню «Пуск» и на рабочем столе, причем, ярлык на рабочем столе будет отображен, независимо от того, с какого компьютера выполнялся вход в систему. При назначении программы пользователю, программное обеспечение будет установлено при следующем входе в систему или при открытии файла, ассоциированного с текущим приложением, а при назначении приложения компьютеру, установка программного обеспечения начнется во время следующей загрузки компьютера. В том случае, если пользователю нужно будет удалить назначенное приложение, он сможет это сделать только в том случае, если приложение было назначено для пользователя, причем, после его удаления, программу снова можно будет найти на рабочем столе или в меню «Пуск». Для назначения приложений используются файлы *.msi.

Расширение клиентской части установки программ извлекает всю информацию о пакете, включая имя приложения, путь для установки, сведения об ассоциации файлов, идентификаторы класса и прочее, изменяет его и сохраняет в своей папке, продублировав в папке Sysvol на контроллере домена. Как уже отмечалось ранее, для публикации приложений можно использовать как MSI-инсталляторы, так и *.zap-файлы, причем, оба пакета установки обрабатываются по-разному. Например, файл пакета установки программного обеспечения содержит базу данных со всеми необходимыми инструкциями по установке или удалению приложения, а за установку программы на клиентском компьютере отвечает служба «Установщик Windows», использующая для чтения файлов *.msi библиотеку Msi.dll. Соответственно, на основании объявленной в инсталляционном пакете информации, данная служба копирует файлы программы на жесткий диск, а также вносит изменения в реестр и выполняет прочие задачи, указанные в инсталляторе. Чаще всего, вся информация, указанная в инсталляционном msi-файле задается разработчиком устанавливаемого программного продукта. Так как не все производители программного обеспечения используют инсталляционные файлы установщика Windows, в некоторых случаях может понадобиться создавать *.zap-файлы, являющиеся текстовыми файлами с необходимыми инструкциями по установке приложения. После создания такого файла его необходимо поместить в папку с инсталляционным пакетом, чтобы расширение CSE смогло выполнить инструкции по установке, после публикации которого, приложение появится в компоненте панели управления «Программы и компоненты» и пользователи смогут его установить. Но, в отличие от MSI-инсталлятора, у zap-файлов есть такие существенные ограничения, как, например, то, что у вас не получится настроить процесс установки приложения, если инсталлятор не содержит параметров установки.

Информация, которая объявляется в пакете инсталлятора, необходима для того, чтобы в домене Active Directory создался объект пакета публикации в контейнере ClassStore. В самом объекте групповой политики, пакет размещается в подконтейнере GUID\User\Class Store\Packages, где инсталляционному пакету назначается новый GUID и каноническое имя CN. После этого расширение CSE установки программ в папке Sysvol создает специальный сценарий для объявления приложения с именем объекта публикуемого приложения PackageRegistration и расширением *.aas, который размещается в GUID\User\Applications объекта GPO. Так как в публикуемых приложениях нет ярлыков на рабочем столе и в меню «Пуск», эта информация исключается из текущего файла. В связи с тем, что при обработке групповой политики опубликованные приложения на клиентском компьютере не вызывают каких-либо изменений, а конечному пользователю нужно будет установить соответствующее приложение из компонента «Программы и компоненты», из Sysvol и Active Directory не загружается никакая информация. Другой процесс установки опубликованного приложения считается более сложным.

В случае, когда пользователь открывает файл с расширением, которое ассоциируется с опубликованным приложением, в этот момент расширение клиентской стороны GPSI ищет в Active Directory объект PackageRegistration, который ассоциируется с текущим расширением или проверяется CLSID, сгенерированным при помощи обработанного объекта групповой политики для пользователя. Если находится хотя бы один *.aas-файл, то такой сценарий загружается на клиентский компьютер и выполняется для последующей установки.

 

 

 

 

 

 

 

 

 

 

3 НАСТРОЙКА ГРУППОВОЙ ПОЛИТИКИ

 

3.1 Установка Active Directory

 

Роли могут и должны быть добавлены с помощью диспетчера сервера (но они также могут быть инициированы из мастер первоначальной настройки Задачи, которые автоматически открывает первый раз при входе на сервер).

Заходим в диспетчер сервера, далее "роли", "добавить роли" Дальше идёт установка.

 

Рисунок 4 – Настройка службы Active Directory (шаг 1)

 

Запускаем мастер установки.

 

 

Рисунок 5 – Настройка службы Active Directory (шаг 2)

Создаём новый домен в новом лесу

 

 

Рисунок 6 – Настройка службы Active Directory (шаг 3)

 

Пишем имя нашего нового домена

 

 

Рисунок 7 – Настройка службы Active Directory (шаг 4)

 

 

Вбираем режим работы в которой будет работать лес

 

 

Рисунок 8 – Настройка службы Active Directory (шаг 5)

 

На следующем шаге все настройки остаются по умолчанию.

 

 

Рисунок 9 – Настройка службы Active Directory (шаг 6)

 

Задаём пароль для администратора сети.

 

 

Рисунок 10 – Настройка службы Active Directory (шаг 7)

 

Во время установки Active Directory автоматически устанавливается DNS служба.

 

 

Рисунок 11 – Настройка службы Active Directory (шаг 8)

 

 

Рисунок 12 –Завершения установки Active Directory (шаг 9)

 

3.2 Настройка реестре групповой политики

 

Этот элемент предпочтений групповой политики позволяет нам управлять настройками реестра самым гибким образом. То есть, нам предоставляется возможность создания, изменения, обновления или удаления как отдельных, так и нескольких параметров реестра, разделов вместе с параметрами, а также управления коллекциями, отражающих структуру разделов системного реестра. Так как сейчас практически на каждом компьютере в организациях установлена программа Adobe Reader, в следующих можно устанавливать настройки этой программы, используя элемент предпочтений групповой политики «Реестр». Мы будем использовать Adobe Reader версии 9.4.5.

Будут изменены несколько настроек в программе при помощи создания отдельного элемента реестра, а также с использованием мастер реестра. А чтобы разграничить разные настройки программы, будет создана структура параметров реестра, путем создания коллекций элементов. Для того чтобы настроить Adobe Reader, выполните следующие действия.

Открываем оснастку «Управление групповой политикой», в дереве консоли разверните узел «Лес: %имя леса%», узел «Домены», затем узел с названием нашего домена, после чего прейти к узлу «Объекты групповой политики». В узле «Объекты групповой политики» создаем объект групповой политики «Настройка Adobe Reader», выберите этот объект GPO, нажмите на нем правой кнопкой мыши и для открытия оснастки «Редактор управления групповыми политиками» выберите команду «Изменить» из отобразившегося контекстного меню.

В оснастке «Редактор управления групповыми политиками», в дереве консоли развернем узел Конфигурация пользователя \Настройка\ Конфигурация Windows и выбераем узел «Реестр». На этом этапе следует создать несколько коллекций, которые будут содержать разные настройки программы. Для этого щелкаем на данном узле правой кнопкой мыши и из контекстного меню последовательно выберите команды «Создать», а затем «Элемент семейства». В дереве консоли будет создана папка с именем «Коллекция». Укажем понятное имя для текущей папки, например, «Общие параметры» и нажмем на клавишу Enter. При необходимости мы можем создавать вложенные папки. Созданный первый элемент коллекции показан на следующем рисунке.

 

 

Рисунок 13 – Создание элемента предпочтения коллекции параметров реестра

Теперь следует определить параметры, настройки которых должны применяться для наших пользователей. Для этого нам следует открыть диалоговое окно установок программы, изучить параметры настроек и найти параметры реестра, отвечающие за текущие настройки. Вкладку «Вид страницы» диалога установок Adobe Reader мы можете увидеть ниже.

 

.

 

Рисунок 14 - Диалоговое окно «Установки» Adobe Reader

 

Нам нужно в вкладке «Вид страницы» установить пользователям флажок на опции «Плавно изменять масштаб» воспользуемся такой утилитой, как Process Monitor, которая входит в набор системных утилит SysInternals от Марка Руссиновича. В Process Monitor фильтре установим флажок на соответствующей опции в диалоговом окне «Установки» программы Adobe Reader и сохраните изменения. Как видно на следующей иллюстрации, за эту опцию отвечает параметр реестра bSmoothZooming, расположенный в разделе HKEY_CURRENT_USER\Software\Adobe\AcrobatReader\9.0\AVDisplay.

 

 

 

Рисунок 15 – Мониторинг изменений в реестре при изменении настроек Adobe Reader

 

Чтобы однозначно удостовериться, что мы выбрали правильный параметр реестра, откройте «Редактор реестра», перейдите в указанный ранее раздел, а затем в Adobe Reader снимите флажок с данной опции. В итоге, значение DWORD-параметра должно измениться с 1 на 0.

После того как все параметры для текущей коллекции будут определены, нам нужно начать создавать элементы предпочтений. В дереве консоли оснастки «Редактор управления групповыми политиками» перейдите в созданную нами ранее коллекцию, нажимаем на созданной нами папке правой кнопкой мыши и из контекстного меню последовательно выбераем команды «Создать» и «Элемент реестра», как показано на следующей иллюстрации.

 

 

Рисунок 16 - Создание элемента реестра

 

 

В диалоговом окне «Новые свойства реестра», на вкладке «Общие» Следует отметить, что по умолчанию выбрано действие «Обновить», которое лучше всего оставлять не тронутым в большинстве сценариев работы с текущим элементом предпочтения GPO.

После того как мы выбираем нужное действие, нам еще предстоит указать в новом элементе предпочтения раздел системного реестра, параметр, а также его значение.

В раскрывающемся списке «Куст:» выберите куст реестра, в котором находится параметр, подлежащий изменению. Мы можем выбрать любой из пяти доступных, и выбираем известные нам кустов системного реестра. Стоит обратить внимание на то, что, так как изначально элемент предпочтения создавался в разделе «Конфигурация пользователя», в раскрывающемся списке по умолчанию будет выбран раздел «HKEY_CURRENT_USER» (в противном случае, был бы выбран раздел HKEY_LOCAL_MACHINE).