Implementación de software (paquetes MSI) mediante directivas de grupo

En este artículo, mostraremos cómo instalar software en las computadoras de los usuarios en un dominio de Active Directory usando GPO.

Las características integradas de GPO de Windows le permiten implementar programas que solo se distribuyen como paquetes MSI o ZAP. Tendrá que instalar otros tipos de aplicaciones de formas alternativas: usando SCCM, a través de secuencias de comandos de inicio de sesión de GPO, copiando archivos de programa a computadoras usando GPO, ejecutando secuencias de comandos de una sola vez, etc.

Extracción de un paquete MSI de un instalador EXE

Veamos cómo instalar el paquete de software MSI en las computadoras de los usuarios a través de las políticas de grupo de Windows en el ejemplo del cliente de Microsoft Teams.

Descargue el paquete MSI con el cliente de Teams (http://aka.ms/teams64bitmsi) y copiar Teams_windows_x64.msi a la carpeta SYSVOL en el controlador de dominio (\woshub.comSysVolwoshub.ruscripts).

Uso de SYSVOL para implementar software a través de GPO

Tenga en cuenta que hay versiones de MS Teams x86 y x64. Si aún tiene computadoras que ejecutan versiones x86 de Windows, deberá crear un GPO separado para computadoras x86 y x64. Puede usar filtros GPO WMI para filtrar versiones de Windows en directivas de grupo.

Muchas aplicaciones no se proporcionan en forma de paquetes MSI. La mayoría de las veces, los desarrolladores los distribuyen como archivos EXE que no son adecuados para su implementación a través de GPO. Sin embargo, en algunos casos, puede extraer el paquete MSI del archivo de instalación EXE:

  • Algunos instaladores EXE extraen sus archivos en el %temp% directorio durante la instalación. Entonces, luego de instalar el programa (simplemente minimice la ventana de instalación), intente abrir esta carpeta y busque el archivo MSI de instalación en ella.
  • Otra forma de obtener un archivo MSI es intentar abrir el archivo EXE de instalación usando 7 cremalleras. Inicie 7-Zip y seleccione Expediente -> 7ZIP –> Archivo abierto. 7ZIP intentará abrir un archivo EXE como un archivo. En nuestro caso, obtuvimos archivos MSI y MST de Acrobat Reader de su archivo EXE. En nuestro caso, extrajimos con éxito los archivos MSI y MST del archivo EXE de instalación de Acrobat Reader. Extracción de MSI de la instalación EXE

Creación de un GPO para implementar software en equipos de dominio

Luego, cree un nuevo objeto de política de grupo de dominio para instalar su software.

  1. Abra la consola de administración de directivas de grupo del dominio (gpmc.msc);
  2. Crear una nueva política (CorpInstallTeams) y vincúlelo a la unidad organizativa con las computadoras en las que desea instalar la aplicación (Cree un GPO en este dominio y vincúlelo aquí); crear gpo para implementar el paquete msi
  3. Edite el GPO y vaya a Configuración de la computadora -> Políticas -> Configuración de software -> Instalación de software;
  4. Seleccione Nuevo -> Paquete en el menú; crear un paquete de implementación de software en el editor de administración de políticas de grupo
  5. Seleccione su archivo MSI ubicado en el directorio SYSVOL (por la ruta UNC);
  6. Seleccione Avanzado y haga clic en Aceptar;los Asignado La opción permite instalar aplicaciones en el inicio de sesión del usuario. los Publicado La opción publica aplicaciones en las computadoras y los usuarios pueden instalarlas en Agregar o quitar programas.

    implementación de software a través de gpo con método avanzado o asignado

  7. En la siguiente ventana, puede configurar opciones adicionales del paquete MSI. Solo cambiaré el nombre mostrado de Instalador de toda la máquina de Teams a Cliente de equipos de Microsoft; cambiar las opciones de instalación del software en el editor de GPO
  8. Hacer clic Avanzado en la pestaña Despliegue y verifique Ignorar el idioma al implementar este paquete;
  9. Reinicie su computadora para actualizar la configuración de GPO y la aplicación se instalará la próxima vez que inicie su computadora. Aparecerá en la lista de aplicaciones de Windows instaladas. Puede encontrar los eventos de instalación en la sección Sistema del Visor de eventos (filtre la lista de eventos por el Application Management Group fuente);nuevo software apareció en la lista de aplicaciones instaladas
  10. Puede mostrar el estado de procesamiento de GPO detallado en la computadora. Para hacerlo, habilite la opción GPO Mostrar mensajes de estado muy detallados en Configuración del equipo -> Políticas -> Plantillas administrativas -> Sistema. Ahora todas las tareas de procesamiento de GPO en segundo plano se mostrarán cuando se inicie Windows. Si alguna aplicación está instalada usando GPO, verá el mensaje: Instalación de software administrado AppName. Instalación de mensaje de software administrado en la pantalla de inicio de Windows

¿Cómo cambiar las opciones del paquete MSI antes de implementar a través de GPO?

No puede especificar claves de instalación ni parámetros para los paquetes de instalación de MSI en la interfaz GPO estándar. Por ejemplo, al instalar un agente antivirus en la computadora de un usuario, debe especificar la dirección IP/FQDN del servidor de administración. O bien, cuando instala Teams desde el símbolo del sistema mediante msiexec, puede deshabilitar el inicio automático del cliente de MS Teams y ocultarlo de la lista de aplicaciones instaladas (un administrador local no podrá eliminar el cliente de Teams). Para hacerlo, se utiliza el siguiente comando:

msiexec /i Teams_windows_x64.msi OPTIONS="noAutoStart=true" ALLUSERS=0

¿Cómo agregar opciones de configuración a un paquete MSI? Para hacerlo, se utilizan archivos de transformación MST. Este tipo de archivo le permite cambiar la configuración predeterminada del paquete MSI y usar su escenario de instalación.

Para crear un archivo MST para un paquete MSI, puede usar el ORCA herramienta (es una parte de Windows Installer SDK).

Abra su paquete MSI usando Orca.

Crear un Nueva transformación y configure las opciones de su paquete MSI personalizado en el Propiedad sección. Cambiaré las siguientes opciones para mi cliente de Teams:

  • noAutoStart = True
  • TODOS LOS USUARIOS = 0

Modificar las opciones de un archivo MSI con el editor Orca MSI

Seleccione Transformar -> GenerarTransformar y guarde los cambios como archivo MST (teams_mod.mst). Copie el archivo en el directorio SYSVOL.

Luego, elimine la regla anterior para instalar el paquete MSI en el GPO (porque puede agregar un archivo MST con modificaciones del paquete solo al crear una regla de instalación de la aplicación).

Seleccione Todo -> Tarea -> Eliminar.

eliminar GPO de implementación de aplicaciones

Cree una nueva regla de implementación de software, seleccione el archivo MSI de SYSVOL y vaya a la Modificación pestaña. Hacer clic Agregar. Seleccione el archivo MST que creó anteriormente.

agregando el modificador MST al gpo de implementación de software

El archivo MST ahora se aplicará automáticamente durante la instalación de MSI usando el GPO y la aplicación se instalará con la configuración que necesita.

Las principales desventajas de la instalación de MSI a través de GPO:

  1. Solo se admiten los instaladores MSI y ZAP;
  2. No puede programar la instalación de la aplicación a la hora que desee. La instalación simultánea de aplicaciones en varias computadoras (generalmente ocurre en la mañana cuando las computadoras están encendidas) puede resultar en una alta carga de la red y de los controladores de dominio. En este caso, es mejor usar SCCM con ventanas de mantenimiento o configuraciones WOL (Wake On LAN);
  3. No puede cambiar el orden en que se instala el software en el GPO. Cuando agrega un nuevo paquete de instalación a GPO, se instala en último lugar;
  4. No puede obtener un informe para saber si la instalación fue exitosa o si hubo algún error de instalación en las computadoras.

Artículos Interesantes

Relacionados:

¿Cómo eliminar (degradar) un controlador de dominio en Active Directory?
Corrección del error de instantáneas de volumen (VSS) con el identificador de evento 8193
Gestión de recursos compartidos administrativos (Admin$, IPC$, C$, D$) en Windows 10
Administrar fotos de usuario en Active Directory usando el atributo ThumbnailPhoto