Установка программного обеспечения средствами групповой политики. Часть 7

Сам процесс установки программного обеспечения, а тем более автоматизации установки, весьма интересен и может включать в себя множество «непредсказуемых нюансов». Ключи и параметры автоматической установки, скрипты, позволяющие выполнять дополнительную настройку, файлы трансформации и прочие средства позволяют вам упростить процесс инсталляции, тем самым существенно экономя потенциально затрачиваемое время на выполнение различных сценариев. Само CSE «Установка программ», по большому счету, предоставляет не много возможностей, позволяющих полноценно работать с инсталляционными файлами. Большинство таких возможностей мы уже успели рассмотреть в предыдущих статьях данного цикла, включая настройку самого расширения клиентской стороны, публикацию и назначение программного обеспечения, а также процесс обновления ПО.

По сути, последней темой настоящего цикла является не менее важная задача, а именно удаление проинсталлированного программного обеспечения. По вполне понятным причинам расширение клиентской стороны «Установка программ» позволяет не только устанавливать и обновлять существующее программное обеспечение, а еще и удалять развернутые ранее программы. Делается это также очень просто и с выполнением данной операции у вас не должно возникнуть каких-либо проблем.

Более того, под конец данной статьи вас ждет еще небольшой «бонус», о котором шла речь ранее. Итак,

Удаление проинсталлированных программных продуктов

В этом разделе будет рассматриваться удаление приложения на примере заранее проинсталлированного средствами функциональных возможностей групповой политики простенького XML-редактора под названием «XML Notepad». Сразу хотелось бы обратить внимание на то, что выполняться такие действия должны в том объекте групповой политики, который уже содержит удаляемое приложение. Другими словами, создать инсталляционный пакет приложения в одном объекте, а удалить его совершенно в другом, выбрав приложение по аналогии с обновлением, просто невозможно.

Что в таком случае требуется сделать:

  1. В оснастке «Управление групповой политикой» (Group Policy Management) следует выбрать созданный ранее объект групповой политики (в данном примере такой объект будет называться «GPSI-01») и открыть для него редактор управления групповыми политиками;
  2. Здесь, в уже отобразившейся оснастке редактора, следует перейти к узлу «Установка программ» (Software Installation) конфигурации компьютера либо пользователя, в зависимости от того, где именно развертывалось приложение. В настоящем примере это будет узел конфигурации компьютера;
  3. Находясь в этом узле, необходимо локализовать и выделить удаляемое приложение (главное, чтобы в диалоговом окне такого инсталляционного пакета был установлен флажок на опции «Удалять это приложение, если его использование выходит за рамки, допустимые политикой управления» (Uninstall this application when it falls out of the scope of management)). После этого, для того чтобы выбранное вами приложение было удалено с пользовательских компьютеров, следует из контекстного меню данного приложения выбрать команду «Все задачи» (All tasks), а затем «Удалить» (Remove). Как вы видите на следующей иллюстрации, в диалоговом окне «Удаление приложений» (Remove Software) можно выбрать одну из двух следующих опций:
    • «Немедленное удаление этого приложения с компьютеров всех пользователей» (Immediately uninstall the software from users and computers). В этом случае, в зависимости от узла, из которого выполняется данное действие, будет удалено выбранное приложение при выполнении последующего входа пользователем в систему или перезагрузке компьютера;
    • «Разрешить использование уже установленного приложения, но запретить установку» (Allow users to continue to use the software, but prevent new installations). Здесь же, в свою очередь, вы разрешите пользователям работать с программой, но при условии, что она у них уже проинсталлирована. Если же пользователь удалит это приложение или еще не успел его проинсталлировать, то больше установить его он не сможет.

    Рис. 1. Диалоговое окно удаления программного обеспечения

  4. В нашем случае достаточно будет остановиться на первом варианте, то есть на немедленном удалении программного продукта, где и оставляем установленный по умолчанию переключатель. Сразу после сохранения изменений приложение моментально удалится из области сведений данной оснастки.

После выполнения данных действий следует запустить команду gpupdate с параметрами /force /boot. Как и в случае с обновлением программного обеспечения, добровольно-принудительно будет предложено перезагрузиться. Чтобы удостовериться, что программа будет полностью удалена с компьютера и ее невозможно будет найти в компоненте «Программы и компоненты», следует немного подождать, пока целевой компьютер перезагрузится. Аналогично с процессом обновления ПО, как видно на следующей иллюстрации, во время выполнения входа снова должна красоваться надпись «Удаление управляемого программного обеспечения XML Notepad» (Removing managed software XML notepad).

Рис. 2. Процесс удаления ПО

Как следствие, после выполнения входа в систему ярлык с рабочего стола будет удален. На всякий случай можно зайти в окно установки программ панели управления, чтобы убедиться, что этого приложения там тоже нет и что его нельзя будет установить со страницы «Установка новой программы из сети» (Install a program from the network). Все отработало правильно, удаленное при помощи функциональных возможностей групповой политики приложение нигде не фигурирует.

Дополнительный сценарий – запрещаем удалять установленный программный продукт

Как я и обещал, сейчас в качестве бонуса будет рассмотрен последний в этом цикле статей сценарий, в котором будет заново назначен для пользователей редактор XML Notepad, однако с таким условием, чтобы пользователь не смог его удалить при помощи компонента панели управления «Программы и компоненты».

Все эти действия будут выполняться внутри созданного ранее объекта групповой политики «GPSI-01». Как следует поступить для выполнения указанной выше задачи:

  1. Для начала следует открыть для указанного ранее объекта групповой политики редактор GPME. Теперь в оснастке «Редактор управления групповыми политиками» (Group Policy Management Editor), находясь в узле «Установка программ» (Software Installation) конфигурации пользователя, создается новый инсталляционный пакет;
  2. В соответствующем диалоговом окне нужно локализовать инсталляционный файл XMLNotepad.msi. Для создания такого пакета в диалоговом окне «Развертывание программ» (Deploy Software) можно остановиться на опции «особый» (Advanced);
  3. И снова возможности первой вкладки в данном примере нас не сильно интересуют, поэтому сразу следует перейти ко вкладке «Развертывание» (Deployment). Так как изначально было оговорено, что редактор будет назначаться на пользователя, в качестве метода распространения программного продукта выбирается параметр «Назначенный» (Assigned);
  4. Теперь осталось реализовать сценарий, в котором требуется запретить пользователю со своими шаловливыми ручками удалять это программное обеспечение привычным для него способом (здесь подразумевается именно удаление при помощи апплета панели управления «Программы и компоненты»). Помимо этого, как и во всех предыдущих случаях, приложение должно быть удалено лишь в том случае, если пользователь будет перемещаться между организационными единицами, а также, для большего удобства, сейчас необходимо сделать так, чтобы программа автоматически была проинсталлирована сразу после следующего входа в систему. Какие действия на текущей вкладке еще осталось выполнить и что за параметры следует отметить? Исходя из поставленных условий, сейчас необходимо установить уже не два, а целых три флажка. Если быть точнее, это будут: «Удалять это приложение, если его использование выходит за рамки, допустимые политикой управления» (Uninstall this application when it falls out of the scope of management), «Не отображать этот пакет в окне мастера установки и удаления программ панели управления» (Do not display this package in the Add/Remove Programs control panel), а также «Устанавливать это приложение при входе в систему» (Install this application at logon). Более на данном этапе нас ничего не интересует, то есть можно сохранять все внесенные в пакет изменения. Диалоговое окно с вкладкой развертывания пакета изображено ниже:

    Рис. 3. Вкладка «Развертывания» диалогового окна свойств инсталляционного пакета

Сейчас пришло время проверять. В очередной раз следует выполнить команду Gpupdate с параметром /force (специально для форсированного применения) и немного подождать, пока операционная система предложит выйти из системы.

После выполнения входа программа будет установлена. Это хорошо, половина дела сделана. Остается перейти к панели управления и открыть компонент «Программы и компоненты». Как только пользователь перейдет к этому апплету сразу будет видно, что отсюда мы более не вправе удалять данное приложение. Однако, если пользователь очень захочет это сделать, он пока еще сможет удалить программу, используя файл деинсталляции ПО uninstall.exe.

Чтобы предотвратить такие действия, следует воспользоваться возможностями политик ограниченного использования программ или такого компонента современных операционных систем, как AppLocker. Однако об этих возможностях речь пойдет не в этой статье.

Заключение

Сегодня вы узнали о том, как можно удалить проинсталлированное при помощи расширения клиентской стороны «Установка программ» программное обеспечение, а также каким образом можно так установить программу, чтобы пользователь ее не смог удалить средствами возможностей панели управления.

Глядя на рассмотренные на протяжении семи статей данного цикла возможности, несмотря на все преимущества распространения программного обеспечения средствами групповой политики, можно также найти и множество недостатков, на которые следует обратить свое внимание при планировании распространения ПО. Например, к одному из таких недостатков можно отнести то, что распространять программное обеспечение средствами групповой политики можно только в домене Active Directory. А если в вашей организации пользователи еще работают под управлением таких операционных систем, как Windows 95/98 или Windows NT, то развернуть приложения для таких клиентов средствами GPO будет невозможно. Также вы не можете штатными средствами установить программный продукт из exe-инсталлятора, что является очень досадным недостатком. Помимо этого, при развертывании приложений средствами групповой политики вы не можете настроить график установки или распространять приложения при помощи многоадресного сетевого вещания. Другими словами, распространение программного обеспечения средствами групповой политики не обеспечивает набор определенных функциональных возможностей, которые могут понадобиться для управления программным обеспечением в крупной организации. В таких случаях лучше всего использовать такой продукт, как System Center Configuration Manager. А если вас заинтересуют дополнительные возможности установки программных продуктов средствам SCCM, я с радостью могу начать рассматривать эту процедуру в новом цикле статей, посвященном установке программного обеспечения, но уже при помощи такого «монстра», как System Center Configuration Manager.

VN:F [1.9.22_1171]
Rating: 9.9/10 (8 votes cast)
Установка программного обеспечения средствами групповой политики. Часть 7, 9.9 out of 10 based on 8 ratings

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *