Как удаленно установить программу на компьютер в домене
Для установки программ «Лаборатории Касперского» вы можете воспользоваться мастером удаленной установки. Мастер удаленной установки позволяет проводить удаленную установку программ как с использованием сформированных инсталляционных пакетов, так и с дистрибутивов.
Для правильной работы задачи удаленной установки на клиентском устройстве, на котором не установлен Агент администрирования, необходимо открыть следующие порты: TCP 139 и 445; UDP 137 и 138. Эти порты по умолчанию открыты на всех устройствах, включенных в домен. Они открываются автоматически с помощью утилиты подготовки устройств к удаленной установке .
Чтобы установить программу на выбранные устройства с помощью мастера удаленной установки, выполните следующие действия:
- В дереве консоли в папке Удаленная установка выберите вложенную папку Инсталляционные пакеты .
- В рабочей области папки выберите инсталляционный пакет программы, которую нужно установить.
- В контекстном меню инсталляционного пакета выберите пункт Установить программу .
Запустится мастер удаленной установки.
Если выбран этот вариант, задача удаленной установки программы будет создана для группы устройств.
Если выбран этот вариант, задача удаленной установки программы будет создана для набора устройств. В состав набора могут входить как устройства в составе групп, так и нераспределенные устройства.
В блоке параметров Принудительно загрузить инсталляционный пакет выберите способ доставки на клиентские устройства файлов, необходимых для установки программы:
Если этот параметр включен, доставку инсталляционных пакетов на клиентские устройства выполняет установленный на клиентских устройствах Агент администрирования.
Если этот параметр выключен, инсталляционные пакеты доставляются с помощью инструментов Microsoft Windows.
Рекомендуется включить этот параметр, если задача назначена для устройств с установленными Агентами администрирования.
По умолчанию параметр включен.
Если этот параметр включен, доставка файлов на клиентские устройства будет осуществляться средствами Microsoft Windows с помощью Сервера администрирования. Этот параметр можно включить, если на клиентском устройстве не установлен Агент администрирования, но клиентское устройство находится в той же сети, что и Сервер администрирования.
По умолчанию параметр включен.
Если этот параметр включен, инсталляционные пакеты передаются на клиентские устройства средствами операционной системы через точки распространения. Этот вариант можно выбрать, если в сети есть хотя бы одна точка распространения.
Если включен параметр С помощью Агента администрирования , файлы будут доставлены средствами операционной системы только в случае невозможности использования средств Агента администрирования.
По умолчанию параметр включен для задач удаленной установки, созданных на виртуальном Сервере администрирования.
Если при запуске задачи удаленной установки Kaspersky Security Center не удается установить программу на управляемое устройство за указанное в параметрах количество запусков установок, Kaspersky Security Center прекращает доставку установочного пакета на это управляемое устройство и больше не запускает установку на устройстве.
Параметр Количество попыток установки позволяет вам сохранить ресурсы управляемого устройства, а также уменьшить трафик (деинсталляция, запуск файла MSI и сообщения об ошибках).
Повторяющиеся попытки запуска задачи могут указывать на проблему на устройстве, которая препятствует установке. Администратор должен решить проблему в течение указанного количества попыток установки (например, выделив достаточно места на диске, удалив несовместимые программы или изменив параметры других программ, препятствующих установке), и перезапустить задачу (вручную или по расписанию).
Если установка не выполнена, проблема будет считаться неразрешимой и любые дальнейшие запуски считаются дорогостоящими с точки зрения нежелательного расхода ресурсов и трафика.
После создания задачи, количество попыток установки равно 0 . Каждый запуск установки, который возвращает ошибку на устройстве, увеличивает показания счетчика.
Если количество попыток установки, указанное в параметрах задачи, было превышено и устройство готово к установке программы, вы можете увеличить значение параметра Количество попыток установки и запустить задачу по установке программы. Также вы можете создать другую задачу удаленной установки.
Определите, какое действие выполнять с клиентскими устройствами, управляемыми другим Сервером администрирования:
Программа устанавливается даже на устройства, управляемые другими Серверами администрирования.
Параметр выбран по умолчанию; не нужно изменять этот параметр, если в вашей сети есть только один Сервер администрирования.
Программа устанавливается только на устройства, которые управляются данным Сервером администрирования. Выберите этот параметр, если в вашей сети установлено больше одного Сервера администрирования и вы хотите избежать конфликтов между ними.
Настройте дополнительные параметры:
Если этот параметр включен, выбранная программа не устанавливается заново, если она уже установлена на клиентском устройстве.
Если этот параметр выключен, программа будет установлена в любом случае.
По умолчанию параметр включен.
Если этот параметр включен, инсталляционный пакет будет устанавливаться с помощью групповых политик Active Directory.
Параметр доступен, если выбран инсталляционный пакет Агента администрирования.
По умолчанию параметр выключен.
Если выбран этот вариант, ключ будет автоматически распространяться на те устройства, для которых он подходит:
- если в свойствах ключа настроено автоматическое распространение;
- если создана задача Добавление ключа .
Ключ распространяется на устройства вместе с инсталляционным пакетом.
Не рекомендуется распространять ключ таким способом, так как по умолчанию к хранилищу пакетов настроен общий доступ на чтение.
Окно Выбор лицензионного ключа отображается, если в состав инсталляционного пакета не входит лицензионный ключ.
Если в состав инсталляционного пакета входит лицензионный ключ, отображается окно Свойства лицензионного ключа с информацией о лицензионном ключе.
Если выбран этот вариант, устройство не будет перезагружаться после установки программы безопасности.
Если выбран этот вариант, устройство будет перезагружено после установки программы безопасности.
Если выбран этот вариант, после установки программы безопасности пользователю будет показано сообщение о необходимости перезагрузки устройства. По ссылке Изменить можно изменить текст сообщения, а также период отображения сообщения и время выполнения автоматической перезагрузки.
По умолчанию выбран этот вариант.
Если этот параметр включен, такие программы на заблокированных устройствах принудительно закрываются перед перезагрузкой устройства.
По умолчанию параметр выключен.
Если выбран этот вариант, не требуется указывать учетную запись, от имени которой будет запускаться инсталлятор программы. Задача запускается под учетной записью, под которой работает служба Сервера администрирования.
Если Агент администрирования не установлен на клиентских устройствах, вариант недоступен.
Если выбран этот вариант, можно указать учетную запись, от имени которой будет запускаться инсталлятор программы. Учетную запись можно указать, в случае если Агент администрирования не установлен на устройствах, для которых назначена задача.
Вы можете указать несколько учетных записей, если ни одна из них не обладает необходимыми правами на всех устройствах, для которых назначена задача. В этом случае для запуска задачи используются последовательно, сверху вниз, все добавленные учетные записи.
Если ни одна учетная запись не добавлена, задача запускается под той учетной записью, под которой работает служба Сервера администрирования.
Если в окне Запуск установки выбран параметр Не запускать задачу после завершения работы мастера удаленной установки , задача удаленной установки не будет запущена. Вы можете запустить эту задачу позже вручную. Имя задачи соответствует имени инсталляционного пакета для установки программы: Установка <Имя инсталляционного пакета> .
Чтобы установить программу на устройства группы администрирования с помощью мастера удаленной установки, выполните следующие действия:
- Подключитесь к Серверу администрирования, под управлением которого находится нужная группа администрирования.
- В дереве консоли выберите группу администрирования.
- В рабочей области группы нажмите на кнопку Выполнить действие и в раскрывающемся списке выберите Установить программу .
В результате запустится мастер удаленной установки. Следуйте далее указаниям мастера.
После завершения работы мастера удаленной установки Kaspersky Security Center выполняет следующие действия:
- Создает инсталляционный пакет для установки программы (если он не был создан раньше). Инсталляционный пакет размещается в папке Удаленная установка , во вложенной папке Инсталляционные пакеты с именем, соответствующим названию и версии программы. Вы можете использовать этот инсталляционный пакет для установки программы в дальнейшем.
- Создает и запускает задачу удаленной установки для набора устройств или для группы администрирования. Сформированная задача удаленной установки размещается в папке Задачи или добавляется к задачам группы администрирования, для которой она была создана. Вы можете запускать эту задачу в дальнейшем вручную. Имя задачи соответствует имени инсталляционного пакета для установки программы: Установка <Имя инсталляционного пакета> .
Удаленное администрирование. Установка и удаление программ
Иногда удаленному выполнению команд может препятствовать антивирус или встроенный брандмауэр, в зависимости от настроек безопасности вашей сети. При необходимости отключаем их.
Отключить антивирус удаленно на примере KAV
Отключение встроенного брандмауэра для всех профилей (только локально)
Для удаленного отключения брандмауэра должен быть доступен Сервер RPC. Доступ к которому блокирует включенный брандмауэр ���� Такая рекурсия.
Поэтому, как всегда, пойдем обходным путем:
Команда на включение брандмауэра, соответственно, будет state on
Удаление программы
Установка программы
Тихая установка с предварительным копированием программы на удаленный хост
Установка с сетевого ресурса
Так же возможна установка по списку компьютеров используя «@», как показано в основной заметке по Psexec.
Получить список программ
Получать список установленных в системе программ лучше из реестра, нежели средствами WMI. Этот метод работает намного быстрее, чем при использовании
Get-WmiObject -Class Win32_Product
Из-за того что в системе могут быть установлены как 64, так и 32 битные приложения, необходимо получать значения обеих веток. Можно поместить весь список в одну переменную.
Так же читайте как в тихом режиме деинсталлировать любую программу по ее GUID
Одна мысль про “Удаленное администрирование. Установка и удаление программ”
Management Remote PC, и установка и удаление программ без написания скриптов. использует WMI, для пользователя все просто, выводит список программ, хочешь удаляй, хочешь устанавливай… и не только.
Развертывание приложений средствами групповых политик па примере TightVNC
Сегодня я расскажу о развёртывании программы удаленного доступа TightVNC. Это свободно распространяемое программное обеспечение с открытым исходным кодом. Честно говоря, как программа удаленного доступа она используется достаточно редко. Чаще её применяют как программу для оказания удаленной помощи в локальной сети. Об этом и пойдет речь.
Планирование развертывания
Архитектура ПК
Нам следует определиться с архитектурой операционных систем. В нашем случае будем развёртывать 32-х и 64-х разрядные версии программ. Нам потребуется создать WMI фильтры для правильного назначения будущих групповых политик.
Открываем оснастку управление групповой политикой и переходим в раздел фильтров WMI. Там создаем два новых фильтра со следующим содержимым:
Для 32-разрядных клиентских операционных систем:
select * from Win32_OperatingSystem WHERE ProductType = «1» AND NOT (OSArchitecture = «64-bit») OR (OSArchitecture = «64-разрядная»)
Для 64-разрядных клиентских операционных систем:
select * from Win32_OperatingSystem WHERE ProductType = «1» AND (OSArchitecture = «64-bit») OR (OSArchitecture = «64-разрядная»)
Размещение пакетов
Следует определить общедоступный каталог на сервере, откуда компьютеры будут брать дистрибутив. Предоставляем права на чтение для группы «Компьютеры домена». Можно использовать каталог Netlogon контроллера домена.
Загрузка программного обеспечения
Сначала требуется скачать TightVNC. Скачиваем под обе архитектуры и сохраняем в подготовленный каталог. Устанавливать пока ничего не нужно.
Далее нам требуется приложение Orca из Windows Installer SDK. Соответственно идем в интернет и скачиваем Пакет SDK для Windows 10. Запускаем и в выборе компонентов для установки снимаем все галочки кроме MSI Tools.
Хочу заметить, Orca не установилась автоматически. Был только загружен установщик. Неприятно, но ничего: следуем по пути установки Windows Kit и устанавливаем её вручную.
C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86
Формирование пакета преобразования
Открываем Orca, в главном меню выбираем пункт Transform — New Transform. Далее через File — Open открываем наш скачанный MSI. В окне появляется список таблиц с обилием значений. Описание значений не составит труда найти в интернете. Опишу те, которыми пользовался лично.
Задаем пароль доступа
В поле SetDataForPasswordsActionSilently мы задаем пароль для удаленного управления. В поле SetDataForControlPasswordsActionSilently мы задаем пароль для редактирования настроек TightVNC. Это необязательное поле, ведь управлять настройками службы могут только администраторы.
Выставляем значение 1 для полей, типов аутентификации, которым мы задали пароли.
Ограничение доступа по IP адресам
При желании можем задать ограничение удаленного подключения по IP адресам. Для этого устанавливаем значение ниже в 1.
Тогда в таблице Registry находим параметр
Там указываем IP адреса или их диапозон и через двоеточие параметр доступа: 0 — разрешен, 1 — запрещен. IP адреса и диапозоны перечисляем через запятую. В примере ниже мы разрешаем удаленное управление только IP адресов 192.168.1.2 и 192.168.1.2. Очень важно кроме разрешения доступа добавить диапозон адресов для запрета доступа. Разрешение не запрещает!
Скрываем фоновый рисунок
Отвечает за скрытие фоновой картинки рабочего стола при подключении. Полезно при плохом соединении. Для этого в обоих параметрах ставим 1.
Сохранение пакета модификации
После настроек всех параметров, выбираем пункт Transform — Generate transform. Полученный MST файл сохраняем в созданный ранее каталог.
Создание групповых политик
Последним этапом будет создание и настройка групповых политик. Как помните, их у нас две: для x86 и x64. Возвращаемся в оснастку управление групповой политикой и две новых политики. Каждой назначаем соответствующий WMI фильтр.
Открываем созданную политику для редактирования и направляемся по пути: Конфигурация компьютера — политики — конфигурация программ — установка программ. Далее выбираем Действие — Создать пакет. Указываем наш MSI, метод развёртывания — особый.
Открывается окно свойств пакета. Нас интересует закладка Модификации, там мы указываем путь до MST файла, сохраненного ранее. Сохраняем настройки.
На этом, пожалуй, всё. При следующей загрузки на компьютеры будет установлен TightVNC с заданными нами настройками.
Пост является копией заметки в моём блоге.
1K постов 15.5K подписчиков
Правила сообщества
# mount -o remount,rw /sysadmins_league
— # mount /dev/good_story /sysodmins_league
— # mount /dev/photo_it /sysodmins_league
— # mount /dev/best_practice /sysodmins_league
— # mount /dev/tutorial /sysodmins_league
2 условия с OR надо в скобки, иначе условия после OR будет достаточно и выберется по нему:
WHERE ProductType = «1» AND NOT (OSArchitecture = «64-bit» OR OSArchitecture = «64-разрядная»)
WHERE ProductType = «1» AND (OSArchitecture = «64-bit» OR OSArchitecture = «64-разрядная»)
Жаль с GPO так много проблем в плане установки софта. Только MSI пакеты, никакой обратной связи, очень часто установка проходит некорректно, но записывается что GPO отработала. Потом целый квест накатить повторно.
С .exe геморрой, обновление версий геморрой. Раскатить софт который уже установлен на части рабочих станций — геморрой.
Установка только при ребутах.
При любой возможности лучше какой-то другой вариант использовать: SCCM, касперский endpoint security или еще что захочется.
TightVnc ставится через msi без всяких проблем. А настройки — экспортируется реестр через gpo. Больше писанины. Зачем? Тем более можно в любое время поменять настройки.
Сейчас все переезжают на Intune в плане доставки пакетов. Для модификации MSI позвольте посоветовать бесплатную InstedIt. Скачивайте и сразу ставите и плюс супер мощный функционал: не чета орке.
Ребят, ежли нужен клиент с адресной книгой (т.к. AD — это необходимо), то ставьте mRemoteNG и добавляейте внешнее приложение tvnviewer.exe c аргументами -host=%Hostname% -port=[ваш порт] -password=[ваш пароль] -scale=auto . В результате получите импорт хостов и контейнеров из AD, возможность вести совместный актуальный список подключений с коллегами в базе MySQL.
Citrix WinFrame
В наше время все уже привыкли к протоколу RDP. Кому-то он даёт возможность удалённой работы, кому-то возможность удалённого администрирования. Как SSH в Linux, RDP стал чем-то стандартным и привычным в Windows среде. Но так было не всегда.
RDP был создан в 1998 году и вошёл в состав Windows NT 4.0 Terminal Server. Так вот, если в ней открыть окно «О программе» (winver.exe), то можно увидеть, что к разработке системы приложила руку Citrix Systems. Протокол RDP был основан на технологиях компании Citrix.
Citrix приобрела лицензию на исходные коды Windows NT 3.51 и выпустила её под названием WinFrame, прикрутив к ней сервер приложений. В остальном, это уже привычная нам Windows NT 3.51 Server. Замечу, что возможность быть контроллером домена в ней выпилили. Можете считать, что WinFrame — это лицензионная сборка Windows NT 3.51.
Winframe позволяет удалённо работать с приложениями в режиме удалённого рабочего стола и в режиме опубликованного приложения (типа RemoteApp).
Список поддерживаемых клиентских операционных систем огромен, так как используется протокол ICA. То есть можно удалённо работать в Microsoft Office с документами на сервере, используя для этого DOS или Macintosh.
Сервер приложений
Сервер предлагает множество настроек и по-настоящему огромный функционал. Ещё на стадии установки он предлагает сменить буквы дисков так, что-бы пользователи не путали свой системный диск с диском терминала.
В сервере есть балансировщик, но он требует отдельной лицензии. Возможность теневого подключения к пользовательской сессии позволяет увидеть содержимое сессии пользователя и оказать ему помощь при необходимости. Приложение Citrix Server Administration обеспечивает возможность управлять пользовательскими сеансами и процессами.
Сервер обеспечивает проброс дисков, принтеров, звука, портов и буфера обмена.
Я опубликовал блокнот, давайте посмотрим настройки, доступные для опубликованного приложения.
Теперь создадим дискету с клиентом удалённого доступа, используя предназначенное для этого приложение.
Установка клиента ничем не примечательна — обычный дистрибутив на двух дискетах. Перейдём к клиенту. После непродолжительной настройки, авторизовавшись на сервере, я получил удалённо запущенный блокнот.
Режим бесшовного окна
Уже по заголовку окна понятно, что он не из этой системы — элементы управления окном явно указывают на принадлежность к Program manager. В диалоговом окне сохранения документа виден иной алгоритм именования дисков, более понятный пользователю.
Режим удалённого рабочего стола
Теперь попробуем войти на удалённый рабочий стол. Полноэкранный вход не так показателен, так как не понятно, откуда идёт подключение — войдём в оконном режиме 800х600.
Технология, честно говоря, очень крутая. По функционалу не только не уступает службам терминалов, которые появятся несколько позже, но и превосходят их. Режим RemoteApp, появится в Windows Server 2008 девять лет спустя.
Удаленная установка программ через Kaspersky Security Center
Одним из несомненных преимуществ для системного администратора в Kaspersky Security Center является возможность удаленного распространения инсталляционных пакетов на компьютеры в локальной сети. Изначально данная функция задумывалась Лабораторией Касперского для доставки антивируса на машины в локальной сети. Но развертывание антивирусной защиты — лишь малая толика того, чем может помочь KSC системному администратору.
Kaspersky Security Center поддерживает следующие типы файлов: exe, msi, msp, cmd и bat. Последние два формата очень важны для сисадмина, так как позволяют распространять через KSC различного вида скрипты, причем незаметно для пользователя.
В прошлый раз мы рассматривали создание bat-файла для включения локальной групповой политики по очистке файла подкачки виртуальной памяти. Используем этот файл в качестве примера и распространим его посредством Kaspersky Security Center. Для этого перейдем в консоли KSC в раздел задачи и выберем Создать задачу.
Запустится Мастер создания задачи. Внизу списка находим тип задачи Удаленная установка программы.
Так как мы добавляем на сервер свой файл, естественно, что его не будет в списке, и нужно нажать кнопку Новый.
В данном случае наш bat-файл не относится к продуктам Лаборатории Касперского, поэтому выбираем второй вариант.
Что касается остальных двух вариантов, то первый позволяет загрузить инсталлятор ПО Лаборатории Касперского из exe-файла или специальных файлов описания программы kud или kpd. Внутри файла заданы версия продукта, имя программы инсталлятора, параметры установки и описание ошибок. Разница между двумя форматами только в используемой кодировке: kpd-файл использует кодировку ANSI, kud — Unicode. Одного только kpd или kud-файла для создания пакета недостаточно. Данные файлы идут в составе дистрибутива.
Третий вариант позволяет формировать инсталляционный пакет на основе записей о продуктах в базе Лаборатории Касперского.
Следующим шагом является задание имени инсталляционному пакету. По этому имени пакет будет отображаться среди других пакетов на сервере KSC.
После этого надо указать непосредственно файл, из которого будет сформирован пакет. Напомню, что Kaspersky Security Center поддерживает файлы exe, msi, msp, cmd и bat. Для продуктов Лаборатории Касперского возможно использование специальных файлов kud и kpd.
Выбираем файл, из которого хотим сформировать инсталляционный пакет.
На следующем шаге можно добавить специальные параметры запуска. Также Kaspersky Security Center может скопировать всю папку, в которой находится исполняемый файл. Это бывает необходимо, если папка содержит необходимые для установки файлы. В случае с нашим bat-файлом никаких дополнительных манипуляций не требуется.
После всех настроек файл будет загружен на сервер KSC.
Об успешной загрузке оповестит следующее окно:
После этого возвращаемся к задаче удаленной установки. Наш пакет появился в списке. Выбираем его.
Как правило, форсирование установки средствами Агента администрирования и Сервера администрирования вполне достаточно. Если Вы хотите принудительно установить программу, даже если она уже установлена, снимите галочку «Не устанавливать программу, если она уже установлена».
На следующем шаге требуется выбрать компьютеры, на которые нужно установить программу (в нашем случае — распространить скрипт). Имя или адрес компьютеров можно ввести вручную, либо же выбрать уже сформированные сервером KSC группы, выборки или отдельные машины.
В нашем примере мы выбираем компьютер, который уже добавлен на сервер администрирования.
Если на компьютере установлен Агент администрирования KSC, то указывать учетную запись, от имени которой будет запускаться установка, не обязательно. Помните, что в абсолютном большинстве случаев учетная запись должна обладать администраторскими правами на компьютерах, где будет проводиться установка.
Следующий шаг — выбор расписания запуска.
Ну и под конец — выбор имени для задачи.
На последнем шаге Мастер создания задачи предложит Вам запустить задачу сразу по завершении процедуры создания.
Если процесс установки пройдет успешно, вы увидите следующую картину:
В целом, удаленная установка приложений через Kaspersky Security Center — задача очень простая и сильно упрощающая жизнь системному администратору.