Softwarezuweisung mit Gruppenrichtlinien.
Ein interessantes Feature der Gruppenrichtlinien ist die Möglichkeit Software für Benutzer oder Computer zuzuweisen. Mit diesem Mittel erhalte ich die Chance meine Clients mit jeweils der aktuellen Software auszustatten, bzw. je nach Rechner, Benutzer und OU zu entscheiden welche Software in meiner Firma zum Einsatz kommt. Vorraussetzung für die Zuweisung von Software ist idR ein MSI Paket. Dieses wird von einigen Herstellern schon direkt angeboten, andere muss ich mir selber erstellen.
- Softwarezuweisung für Benutzer oder Computer, Grundlagen
- Mögliche Dateitypen, die zugewiesen werden können.
- Die Eigenschaften eines per Richtlinien bereitgestellten MSI Paketes
Softwarezuweisung für Benutzer oder Computer, Möglichkeiten und Grundlagen
Zuweisung für Benutzer, der Ablauf:
Wird eine Software einem Benutzerobjekt zugewiesen, so erhält der Benutzer bei der nächsten Anmeldung ans System zunächst eine Nachricht, die die Installation des Paketes ankündigt. Dabei macht es keinen Unterschied, an welchem Computer sich der Benutzer anmeldet. Eben aus diesem Umstand heraus, wird die Software aber zunächst nicht direkt, also sofort installiert, sondern es wird erstmal nur das „Icon“, der „Link im Startmenü“ zur Verfügung gestellt. Erst wenn der Benutzer dieses Icon zum ersten Mal anklickt, also die Software auch benutzen möchte wird die Software installiert. Ob nun der „Link“ zuerst geöffnet wird, oder eine Datei, die mit dieser Software verknüpft ist, ist egal. Das Paket wird in dem Moment installiert, wo die Software zum ersten Mal verwendet werden soll. Der Hintergrund für dieses Verhalten erklärt sich aus der möglichen Existenz eines Serverbasierenden Profils (Roaming User Profil), wenn also die Benutzer häufiger die Arbeitsplätze wechseln.
Würde jetzt bei jeder Anmeldung an eine System zuerst die Softwarezuweisung erfolgen, würde dadurch eine Menge evtl. unnötiger Traffic entstehen, weil der User unter Umständen nur für einen Tag an diesem PC sitzt und danach wieder sein eigenes System zur Verfügung hat.
Der Benutzer hat die Möglichkeit, über die Systemsteuerung => Software die installierte/zugewiesene Software zu deinstallieren, was ihm aber unterm Strich nichts bringt, da die Software bei der nächsten Anmeldung wieder als Link zur Verfügung steht, wieder zugewiesen wird. Trotzdem, oder gerade deswegen, sollte man dafür Sorgen, das die Benutzer den Punkt „Software“ in der Systemsteuerung erst gar nicht zu Gesicht bekommen, wenn diese Gefahr besteht. In den Eigenschaften des zugewiesenen Paketes lässt sich auch etwas in der Richtung regelen., Mehr dazu weiter untern im 3ten Punkt. Ob hier jetzt eine Reglementierung erfolgen muss oder soll, ist wie immer von Situation zu Situation, bzw. Netzwerk zu Netzwerk unterschiedlich und kann nicht pauschalisiert werden.
TIP: Einige Softwarepakete sträuben sich, wenn sie installiert werden sollen und quitieren die Installation mit einem Fehler, der auf mangelnde Berechtigungen zurückzuführen ist, obwohl das MSI Paket über die Gruppenrichtlinien zugewiesen wird und somit eigentlich mit den nötigen Berechtigungen daher kommt. In so einem Fall ist es ratsam MSI Pakete „Immer mit erhöhten Rechten“ zu installieren. Zu finden in den Gruppenrichtlinien, unter:
Benutzerkonfiguration \ Administrative Vorlagen \
Windows-Komponenten \ Windows Installer
„Immer mit erhöhten Rechten installieren“
ACHTUNG! Bitte den Hinweis in der Erklärung zu dieser Richtlinie lesen! Denn durch diese Aktivierung ist es dem User u.U. möglich sich permanent mehr Rechte zu verschaffen, als im sonst zur Verfügung stehen.
Zuweisung für Computer, der Ablauf:
Im Gegensatz zu der Zuweisung für Benutzer, wird die Computer zugewiesene Software direkt installiert. Dieses geschieht unter normalen Umständen direkt vor dem Anmeldedialog, also bevor sich der Benutzer am System anmelden kann, da zu diesem Zeitpunkt noch keine anderen Programmen gestartet sind und das System damit diesem Zeitpunkt für „günstig“ erachtet.
Das kann natürlich bei ungeduldigen Benutzern dazu führen, da diese meinen, den Rechner per Reset neuzustarten, da es diesmal zu lange dauert, bis der Anmelde-Dialog kommt ... L
Es erscheint zwar ein Fenster (eine Dialog Box) mit dem Namen von vergebenen Namen des MSI Paketes, aber Lesen ist so eine Sache, bei den üblichen Verdächtigen ...
Die für Computer zugewiesene Software steht direkt zur Verfügung und ist sofort installiert.
Software Veröffentlichen, nicht Zuweisen.
Bei den beiden oben genannten Möglichkeiten wird eine Software immer zwanghaft zugewiesen. Der Benutzer/Rechner hat keinerlei Einfluss, ob die Software installiert werden soll, oder nicht. Sie wird ihm vorgeschrieben. Anders sieht es aus, wenn eine Software „Veröffentlicht“ wird.
Wird eine Software „Veröffentlicht“, so wird sie weder direkt auf dem Computer installiert, noch werden Links im Startmenü oder auf dem Desktop hinterlassen. Sie steht ihm nur zur Verfügung. Mehr nicht. Der User selber kann entscheiden, ob er diese Software installiert, ob er sie benötigt, oder ob er davon keinerlei Gebrauch macht. Wobei auch hier wieder gilt, wird eine Datei geöffnet deren Endung mit diesem Programm verknüpft ist, so geschieht die Installation, wie auch bei der Zugewiesenen Methode in dem Moment automatisch.
Die Informationen über das zugewiesene Paket, die damit verknüpften Dateiendungen etc. stehen in der *.aas Datei unterhalb der GUID der Richtlinie und können dort eingesehen werden. Die genaue Pfadangabe findet ihr hier im Abschnitt „Unter-Ordner der GUID“.
Dateitypen, bzw. Softwarepakete die zugewiesen werden können
- MSI – Microsoft Software Installer Dateien, mit allen Optionen, die ein MSI Paket bietet.
- MST – Microsoft Transforms, Anpassungen zu einem MSI Paket, wird z.B.: vom ORK (Office Ressource Kit) erstellt für eine eigene Firmenangepasste Installation der Office Anwendungen. Kommt einer „Benutzerdefinierten Installation“ des Office Paketes nahe, nur mit dem Vorteil das die Auswahl mit dem .mst File schon getroffen ist.
- MSP – Microsoft Patches. Werden u.A. von Microsoft für das Office Paket bereitgestellt und sind z.B.: im Service Pack für die Office Anwendung zu finden.
- ZAP – Zero Administration Package. Dabei handelt es sich um reine Textdateien, die eine Script gesteuerte Installation eines beliebigen Programmes ermöglichen. Diese können nur veröffentlicht werden. Nicht zugewiesen.
Da sich der Vorgang der Einrichtung für Benutzer und Computer gleicht, hier am Beispiel des ServicePacks für Computer
Vorbereitungen für die Softwarezuweisung:
- Man erstellt sich eine Freigabe am Server, z.B. „Deployment“ und entpackt in diese das vollständige Service Pack (Network Installation für das aktuelle SP4 Download hier) der Ordnung halber in ein eigenes Verzeichnis, z.B. „w2ksp4“ per „w2ksp4_de.exe –x“
- Der daraus resultierende UNC Pfad,
in dem dann das MSI Paket gefunden werden kann lautet:
\\MeinServer\Deployment\w2ksp4\i386\Update\update.msi
- Für diese Verteilungsfreigabe würde
ich zu Anfang, bis man weiß dass es klappt mit den einfachsten Freigabe und NTFS
Berechtigungen arbeiten, so dass eine Zuweisung nicht an mangelnden
Berechtigungen scheitert und man sich bei der Suche nach der Fehlerquelle immer
mehr verhaspelt.
Freigabeberechtigungen werden überhaupt nicht vergeben oder => Jeder „Ändern + Lesen“, Vollzugriff wäre doch
etwas übertrieben.
NTFS Berechtigungen => Authentifizierte Benutzer
(der auch die Computer angehören) „Lesen +
Ausführen“
- Da ich auch in diesem Beispiel
wieder mal nur einen Idealfall schildern kann, können diejenigen mit anderen
Konstellationen auf das original Deployment Paper zurückgreifen. Zusätzlich
bietet es noch weiterführende Informationen, die ich hier nicht erwähnt habe.
“ Installationshandbuch und Deployment Guide für Microsoft Windows 2000 Service
Pack 4 ("SPDeploy.htm")”
http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/loc/DE/spdeploy.htm
- Falls kein SUS Server zum Einsatz
kommt und man die Hotfixes per Hand in einem Script verteilen möchte, z.B. Bei
einer Unattended Installation über die Antwortdatei als [GuiRunOnce] Aufruf mit
QChain, dem lege ich noch folgendes Paper ans Herz.
“Installationshandbuch und Deployment Guide für Hotfixes für Microsoft Windows
2000 Service Pack 4 ("HFDeploy.htm")“
http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/loc/DE/hfdeploy.htm
- Wichtig, falls schon mal ein Service Pack per SW-Zuweisung verteilt wurde: „Das Entfernen früherer Service Packs vom Computer vor dem Installieren eines neuen wird nicht empfohlen.“ Quelle: SPDeploy.htm, das ihr ja schon gelesen habt …
- Das Service Pack kann nur Computern zugewiesen werden. Andere Software wie Office kann auch an einem Benutzer verteilt werden, aber beim Service Pack geht es nur auf Computerbasis. Daraus ergibt sich, dass wir abermals eine OU nehmen in der die betreffenden Computerobjekte liegen und erstellen uns für die Zuweisung eine neue Richtlinie, die jetzt konfiguriert wird.
Jetzt kann es losgehen.
1.
Computerkonfiguration\Softwareinstallation\ => Kontextmenü neues Paket auswählen
2. Pfad angeben. Als Empfehlung: An dieser Stelle würde ich immer mit dem UNC Pfad arbeiten, niemals mit Laufwerksbuchstaben, denn der UNC Pfad ist eindeutig und immer zu erreichen.
3. Als Bereitstellungsoption wählen
wir „Zugewiesen“
4. Fertig. Das war´s. Es müssen für dieses Paket keine weitern Einstellungen vorgenommen werden. Der nächste Neustart der Clients dürfte sich etwas länger gestalten, man sollte die User aber auf jeden darauf vorbereiten. ... nicht dass jemand auf die Idee kommt den Rechner zu resetten, oder auszuschalten weil es heute solange dauert, bis die Anmeldung kommt … J
Die Eigenschaften eines per Richtlinien bereitgestellten MSI Paketes
1. Reiter „Allgemein“
|
|
Ist von der Ansicht her wohl selbsterklärend. |
2. Reiter „Bereitstellung Software“
|
|
Veröffentlicht: siehe Text weiter oben
Zugewiesen: siehe Text oben
Automatisch installieren, wenn die Dateierweiterung aktiviert wird: Gerade
ausgegraut, ist selbsterklärend.
Paket in der Systemsteuerung unter "Software" nicht anzeigen: Wie eben oben angesprochen, der einfachste Weg eine Deinstalltion eines Benutzers zu verhindern.
Dieses Paket bei der Anmeldung installieren: Mit dieser Option wird die Software direkt installiert und nicht nur ein Link hinterlegt.
Einfach: Nur Statusanzeige und Fehler.
Maximum: Die gesamte vom Benutzeroberfläche wird während der Installation angezeigt.
|
Schaltfläche "Erweitert"
|
|
Sprache beim Bereitstellen dieses Pakets ignorieren: Könnte nötig sein, wenn das Softwarepaket eine andere Sprache als das OS hat. Bei normalem Verhalten würde die Software nicht instaliert.
Vorhandene Installationen dieses Produkts für Benutzer entfernen, wenn das Produkt nicht durch eine gruppenrichtlinienbasierte Softwareinstallation installiert wurde: (wird hier nicht eingeblendet) Würde eine weitere oder zusätzliche Installation z.B.: des Office Paketes von CD verhindern. Wenn ein User meint er bräuchte doch unbedingt ein „Access“ und bringt dieses dann von zuhause auf CD mit ...
Diese 32-Bit-X86-Anwendung für Intel-IA64-Computer zur Verfügung stellen: Gibt an, ob die 32-Bit-Anwendung für 64-Bit-Computer zugewiesen oder veröffentlicht werden soll. Nun ja, wenn sie dann mal Standard wird ...
OLE-Klasse und Produktinformationen einbeziehen: Gibt an, ob Informationen zu COM-Komponenten mit dem Paket bereitgestellt werden sollen, damit auf dem Client installierte Software diese bei Bedarf über Active Directory installieren kann, ähnlich wie bei der Aktivierung der Dateierweiterung.
|
|
|
|
Im Unteren Teil finden wir als Information: Produktcode: Ein eindeutiger globaler Bezeichner (GUID) des Produkts. Bereitstellungsanzahl: Der Wert für die Häufigkeit, mit der das Paket im betreffenden Gruppenrichtlinienobjekt bereitgestellt wurde. Skriptname: Vollständiger Netzwerkpfad (einschließlich GUIDs) des Skripts für die Zuweisung der Anwendung (AAS-Datei)
|
|
|
|
|
|
3. Reiter „Aktualisierungen“
|
|
Über die „Hinzufügen“ Schaltfläche kann hier entschieden werden wie mit der vorhandenen Version zu verfahren ist, wenn ein schon mal zugewiesenes Paket durch eine neue Verion ersetzt wird.
Zur Auswahl stehen: Bestehendes Paket deinstallieren, Aktualisierungspaket installieren oder Paket kann über das bestehende Paket aktualisieren. Wenn ein Paket bei einer „Update-Installation“ Fehler verursacht, so sollte dieses erst deinstalliert werden und dann eine saubere Neuinstallation erfolgen, also Option „1“.
Ganz im Gegensatz zum Beispiel der Zuweisung des Service Packs. Dieses darf NIE! deinstalliert werden, sondern dieses muss mit der Option Paket kann über das bestehende Paket aktualisieren eingebunden werden. |
4. Reiter „Kategorien“
|
|
Mit dieser Option können Software Pakete sortiert und zusammengefasst werden. Unter den hier gewählten Kategorien ist die Software dann auch in der Systemsteuerung => Software wiederzufinden. Hier nicht vorhanden. |
5. Reiter „Änderungen“
|
|
Das ist die Stelle, die alle Administratoren suchen, die bisher ein Office Paket per Kommando-zeile installiert haben und sich per ORK (Office Ressource Kit) eine eigene Transforms Datei erstellt haben.
In der Kommando-Zeile würde der Aufruf über den Parameter /TRANSFORMS=[Pfad]\datei.mst erfolgen eine auf die Firma zugeschnittene Office Installation würde durchgeführt. Dem MSI Paket können keine weiteren Aufruf Parameter wie in der CMD mitgegeben werden. Also wohin mit der Anweisung für das MST File?
Hier kommt´s hin J
An
dieser Stelle könne wir nun Transforms Dateien, Service Pack Dateien (MSP) hinterlegen.
Die Reihenfolge kann ebenfalls mitangegeben werden. Das ist gerade beim SP
für Office wichtig und notwendig, denn Office Service Packs sind nicht kumulativ. Also
ersetzten nicht komplett ein vorheriges, sondern zur Installation werden
jeweils alle vorherigen benötigt. |
6. Reiter „Sicherheit“
|
|
Die hier verwendeten Sicherheitseinstellungen erlauben uns wie schon die Sicherheitseinstellungen auf der gesamten Gruppenrichtlinie, die Filterung, wer, oder welche Gruppe dieses Paket zugewiesen bekommt.
Wenn die Software für die OU „Verkauf“ verwendet werden soll, aber der Abteilungsleiter noch ein „FiBu-SnapIn“ verwenden darf, dann müsste man wieder mit 2 komplett verschiedenen Richtlinien arbeiten, oder mit 2 OU´s (siehe auch Richtlinien für Benutzergruppen). Denn sonst bekommen wieder alle Computer (oder Benutzer) dieser OU diese Software zugewiesen, was aber nicht sein soll.
Mit den Sicherheitseinstellungen auf dem Softwarepaket selber ist also auch an dieser Stelle eine Sortierung möglich.
TIP: Gleichfalls stellt es aber auch eine der größten Stolperfallen dar, denn es gilt, eine sehr gute Dokumentation zu führen, welche Gruppe, welcher User, wo im Dateisystem, auf der Freigabe, auf der Richtlinie und auch auf dem Software Paket welche Rechte hat.
Wenn ein Paket nicht zugewiesen wird, sind also im Notfall 4 Stellen als mögliche Fehlerursache als Erstes zu überprüfen, bevor man das MSI Paket als fehlerhaft erachtet, oder als Übertäter verdächtigt. |
(c) 2003 - heute, Mark Heitbrink,
weitere Informationen unter WebSite-Info\Copyright