Softwareverteilung mithilfe des Mechanismus der Gruppenrichtlinien von Microsoft Windows
Es wird empfohlen, die erstmalige Softwareverteilung der Administrationsagenten bei Erfüllung der folgenden Bedingungen mithilfe der Gruppenrichtlinien von Microsoft Windows zu verwirklichen:
- Das Gerät gehört zur Domäne Active Directory.
- Der Zugriff auf den Domänencontroller mit Administratorrechten ist erlaubt, was die Erstellung und Bearbeitung von Gruppenrichtlinien des Active Directory ermöglicht.
- Die Möglichkeit zur Übertragung konfigurierter Installationspakete ins Netzwerk der verwalteten Geräte (in einen freigegebenen Ordner, für den alle Geräte Leserechte besitzen) ist verfügbar.
- Der Plan zur Softwareverteilung erlaubt, den standardmäßigen Neustart der Geräte abzuwarten, bevor darauf mit der Softwareverteilung des Administrationsagenten begonnen wird, oder auf den Geräten kann zwangsläufig die Windows-Gruppenrichtlinie verwendet werden.
Die vorliegende Methode der Softwareverteilung besteht im Wesentlichen aus Folgendem:
- Das Programmpaket im Format Microsoft Installer (MSI-Paket) wird in den freigegebenen Ordner (Ordner, für den die Benutzerkonten "LocalSystem" der Geräte Lesezugriff haben) verschoben.
- In der Gruppenrichtlinie Active Directory wird das Installationsobjekt des vorliegenden Programmpakets erstellt.
- Der Gültigkeitsbereich der Installation wird durch Anbinden an die Organisationseinheit (OU) und/oder an die Sicherheitsgruppe, zu der die Geräte gehören, angegeben.
- Bei der nächsten Anmeldung des Geräts in der Domäne (vor der Anmeldung der Benutzer des Geräts) wird geprüft, ob die erforderliche App unter den installierten Apps vorhanden ist. Wenn die App fehlt erfolgt ein Download des Programmpakets von der in der Richtlinie festgelegten Ressource und dessen Installation.
Einer der Vorteile dieser Methode der Softwareverteilung ist, dass die festgelegten Apps beim Download des Betriebssystems noch vor der Anmeldung des Benutzers im System auf den Geräten installiert werden. Selbst wenn der Benutzer, der über die erforderlichen Berechtigungen verfügt, die Apps löscht, wird sie beim nächsten Download des Betriebssystems wieder installiert. Ein Mangel dieser Methode der Softwareverteilung besteht darin, dass die vom Administrator erzeugten Änderungen in der Gruppenrichtlinie bis zum Neustart der Geräte (ohne Anwendung zusätzlicher Tools) nicht in Kraft treten.
Mithilfe der Gruppenrichtlinien können sowohl der Administrationsagent als auch andere Apps installiert werden, deren Installer das Format Windows Installer haben.
Bei der Auswahl dieser Methode der Softwareverteilung muss unter anderem die Belastung der Dateiressource berücksichtigt werden, von der das Kopieren der Dateien auf die Zielgeräte bei der Anwendung der Windows-Gruppenrichtlinie ausgeführt wird. Außerdem muss die Methode der Übertragung des konfigurierten Installationspakets (und der Synchronisierung aller in seinen Einstellungen vorgenommenen Änderungen) auf die Ressource berücksichtigt werden.
Die Arbeit mit den Microsoft Windows-Richtlinien mithilfe der Aufgabe zur Remote-Installation der Apps von Kaspersky Security Center
Diese Methode der Softwareverteilung ist nur möglich, wenn der Zugriff auf den Controller der Domäne, zu der die Geräte gehören, vom Gerät aus möglich ist, auf dem der Administrationsserver installiert ist, und wenn die Geräte Lesezugriff auf den freigegebenen Ordner des Administrationsservers (mit den Installationspaketen) haben. Deshalb wird diese Methode der Softwareverteilung in Bezug auf MSP nicht berücksichtigt.
Selbstständige Installation von Apps mithilfe der Microsoft Windows-Richtlinien
Der Administrator kann in der Windows-Gruppenrichtlinie die für die Installation erforderlichen Objekte selbständig erstellen. In diesem Fall müssen die Pakete auf einen separaten Dateiserver übermittelt und verlinkt werden.
Es sind folgende Installationsszenarien möglich:
- Der Administrator erstellt das Installationspaket und passt dessen Eigenschaften in der Verwaltungskonsole an. Dann kopiert der Administrator den gesamten Unterordner EXEC dieses Pakets aus dem freigegebenen Ordner von Kaspersky Security Center in den Ordner auf der speziellen Dateiressource des Unternehmens. Das Gruppenrichtlinienobjekt verweist auf die msi-Datei dieses Pakets, die in einem Unterordner auf der spezialisierten Dateiressource des Unternehmens liegt.
- Der Administrator lädt das Programmpaket (einschließlich das des Administrationsagenten) aus dem Internet herunter und lädt es auf die vorgesehene Dateiressource des Unternehmens hoch. Das Gruppenrichtlinienobjekt verweist auf die msi-Datei dieses Pakets, die in einem Unterordner auf der spezialisierten Dateiressource des Unternehmens liegt. Das Anpassen der Installationseinstellungen erfolgt mittels Konfiguration der MSI-Eigenschaften oder der Konfiguration der MST-Transformationsdateien.
Nach oben