GPO – Softwareverteilen

Ich möchte euch zeigen, wie man eine Software verteilt, via GPO. Ich muss leider dazu sagen, das es nicht immer so einfach ist, wie es sich anhört. Ich musste öfters, damit Spielen, bei der einen Konfiguration funktioniert es und wenn man das in einer anderen Umgebung umsetzt funktioniert es nicht.

Ich werde euch mehrere Ansätze geben, aber ich kann euch nicht komplett versprechen das es überall funktioniert.

Grundvoraussetzung ist auf jeden Fall ein Domain Controller und Clients, die in der Domaine sind.


Inhaltsverzeichnis

  1. Installationspaket
  2. Dateifreigabe erstellen
  3. NTFS Berechtigung
  4. Synchrones GPO Deploy

Installationspaket

Da es in der Windows Welt, im Grund zwei Arten von Installationspaketen gibt, nämlich die Variante von EXE und die Variante von MSI. Es gibt die Möglichkeit eine EXE Paket in ein MSI Paket zu verwandeln. Dies, bitte ist mit Vorsicht und nur mit Backup zu genießen, da kann man das PAKET auch zerschießen und es wird unbenutzbar.

Diese Art von Konvertierung wird auch MSI WRAPPER genannt. Ich gebe euch einen Link, wobei euch das Tool mit Sicherheit hilft (Es gibt auch andere Möglichkeiten noch).

Tool: Convert EXE to MSI – Convert executable installers to MSI packages (exemsi.com)

So Ihr müsst wissen es muss ein MSI Paket sein, das man veröffentlichen kann.


Dateifreigabe erstellen

Wir werden nun eine Dateifreigabe erstellen, die Sich ausschließlich auf Domain Benutzer und Domain Computer bezieht. Dies ist eine Sicherheitsmaßnahme die ich gerne treffe, ansonsten kann sich jeder das Paket installieren oder herunterladen. Ebenso werden wir eine administrative Freigabe erstellen, damit es im Netzwerk nicht Sichtbar ist und nicht einfach gefunden wird.

Zuerst müssen wir uns einen Ordner erstellen, am besten dort wo der Ordner leicht zu finden ist, auf dem Server, danach öffnen wir die Eigenschaft, damit wir auf den Reiter “Freigaben” gelangen.

In unserem Fall, da wir eine spezielle Freigabe wollen, werden wir eine “Erweiterte Freigabe” erstellen.

Wir werden die CheckBox “Diesen Ordner freigeben” aktivieren. Als Freigabename könnte Ihr wählen was Ihr möchtet, es ist nur eines wichtig, ein Dollar Zeichen am Ende hinzuzufügen, damit es von Windows versteckt wird. Denn Freigabenamen muss man sich danach natürlich merken, ansonsten wird es schwierig diesen zu finden.

Weiters werden wir eine “Berechtigung” benötigen, damit man darauf zugreifen kann, dies bedeutet nicht, das man darauf Zugreifen kann, sondern dies ist nur eine “Freigabe Berechtigung”.

Wie oben beschrieben, werden wir die “Freigabe Berechtigung” für die Domain Benutzer und Domain Computer gestatten.

Als Standard Einstellung ist im jeder bzw. everyone auf diesen Pfad berechtigt, dies wollen wir nicht und werden diese Einstellung einfach löschen.

Es genügt einfach nur die Leseberechtigung, da wir das Paket sowieso nur downloaden, im Hintergrund, damit wir es Installieren können.

Somit ist die Freigabeberechtigung abgeschlossen und alles dafür Eingestellt.


NTFS Berechtigung

Damit die Freigabe auch einwandfrei Funktioniert, müssen wir noch die NTFS Berechtigung anpassen.

Hier ist es wie mit der “Dateifreigabe”, hier wird wieder jeder bzw. everyone Berechtigt, dies werden wir ebenso löschen die Berechtigung.

Wir werden die Berechtigungsstruktur bearbeiten.

Hinzufügen werden wir die gewünschten Benutzer.

Wie bei der “Dateifreigabe” werden wir wieder die Domain Benutzer und Domain Computer hinzufügen.

Die hinzugefügten Benutzer werden wir nur Lese Optionen erteilen, aber hier benötigen wir noch die Berechtigung “Lesen und Ausführen” damit es einwandfrei funktioniert.

Somit haben wir die Festplatten Berechtigung ebenso erfolgreich abgeschlossen.


GPO erstellen

Wir werden in dem Gruppenrichtlinieneditor eine neue GPO anlegen, der Name der GPO spielt keine Rolle, es sollte nur ein persönlicher Eindeutiger Name sein.

Wir werden die neue Richtlinie, via Drag Drop dort hinziehen wo Sie die Richtlinie angewendet werden soll.

Wir werden nun die Richtlinie definieren, was Sie machen soll.

Die passende GPO finden Sie unter:

Computerkonfiguration / Richtlinien / Softwareeinstellungen / Softwareinstallation

Wenn wir diesen Pfad haben, einfach Rechtsklick und ein neues Paket hinzufügen.

Wir haben vorher eine Netzwerkfreigabe erstellt, in dieser Netzwerkfreigabe muss das Paket enthalten sein.

Es gibt zwei Möglichkeiten, das man das Paket aufruft, entweder über den DNS Namen oder über die IP Adresse. Ich empfehle über die IP-Adresse, da es eventuell der Layer 4, sprich die Namensauflösung noch nicht funktioniert, in dem Status, wo sich der Client befindet.

\<IP-Adresse><Freigabe>

Wir werden gefragt ob wir es gerne “Zugewiesen” oder “Erweitert” haben wollen. Wir nehmen “Zugewiesen”.

Synchrones GPO Deploy

Da in den meisten Fällen, das Software Deploy nicht funktioniert, da aber alles richtig Konfiguriert wurde liegt, an dem Synchronen und Asynchronen Datenübertragung, innerhalb der Domaine.

Ich werde euch kurz zeigen, wie man dieses Problem behebt.

Wie werden nun wieder eine neue GPO erstellen, man wählt wieder einen eindeutigen Namen.

Man muss eine Gruppenrichtlinie erstellen und vor dem problematischen Gruppenrichtlinie setzen.

Es geht um die Richtlinie:

Computerkonfiguration / Richtlinien / Administrative Vorlagen / System / Anmelden / Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten

  • Aktivieren

Es gehört die Verknüpfungsreihenfolge noch auf Platz 1 gesetzt.

Da es eine Computerreihenfolge ist gehörten die entsprechenden Clients noch Neugestartet und nun wird die gewünschte Software wird ausgerollt.

Schreibe einen Kommentar

%d Bloggern gefällt das: