Softwareverteilung mithilfe des Mechanismus der Gruppenrichtlinien von Microsoft Windows

Es wird empfohlen, die erstmalige Bereitstellung der Administrationsagenten bei Erfüllung der folgenden Bedingungen mithilfe der Gruppenrichtlinien von Microsoft Windows zu verwirklichen:

• Das Gerät gehört zur Domäne Active Directory.
• Der Plan zur Bereitstellung erlaubt, den standardmäßigen Neustart der Geräte abzuwarten, bevor darauf mit der Bereitstellung des Administrationsagenten begonnen wird, oder auf den Geräten kann zwangsläufig die Windows-Gruppenrichtlinie verwendet werden.

Die vorliegende Methode der Bereitstellung besteht im Wesentlichen aus Folgendem:

• Das Programmpaket im Format Microsoft Installer (MSI-Paket) wird in den freigegebenen Ordner (Ordner, für den die Benutzerkonten "LocalSystem" der Geräte Lesezugriff haben) verschoben.
• In der Gruppenrichtlinie Active Directory wird das Installationsobjekt des vorliegenden Programmpakets erstellt.
• Der Gültigkeitsbereich der Installation wird durch Anbinden an die Organisationseinheit (OU) und/oder an die Sicherheitsgruppe, zu der die Geräte gehören, angegeben.
• Bei der nächsten Anmeldung des Geräts in der Domäne (vor der Anmeldung der Benutzer des Geräts) wird geprüft, ob die erforderliche App unter den installierten Apps vorhanden ist. Wenn die App fehlt erfolgt ein Download des Programmpakets von der in der Richtlinie festgelegten Ressource und dessen Installation.

Einer der Vorteile dieser Methode der Bereitstellung ist, dass die festgelegten Apps beim Download des Betriebssystems noch vor der Anmeldung des Benutzers im System auf den Geräten installiert werden. Selbst wenn der Benutzer, der über die erforderlichen Berechtigungen verfügt, die Apps löscht, wird sie beim nächsten Download des Betriebssystems wieder installiert. Ein Nachteil dieser Methode der Bereitstellung besteht darin, dass die vom Administrator erzeugten Änderungen in der Gruppenrichtlinie bis zum Neustart der Geräte (ohne Anwendung zusätzlicher Tools) nicht in Kraft treten.

Mithilfe der Gruppenrichtlinien können sowohl der Administrationsagent als auch andere Apps installiert werden, deren Installer das Format Windows Installer haben.

Bei der Auswahl dieser Methode der Bereitstellung muss unter anderem die Belastung der Dateiressource berücksichtigt werden, von der das Kopieren der Dateien auf die Geräte bei der Anwendung der Windows-Gruppenrichtlinie ausgeführt wird.

Die Arbeit mit den Microsoft Windows-Richtlinien mithilfe der Aufgabe zur Remote-Installation der Apps von Kaspersky Security Center

Am einfachsten werden Apps mithilfe der Microsoft Windows-Gruppenrichtlinien durch Aktivieren der Option Installation des Installationspakets in Active Directory-Gruppenrichtlinien festlegen in den Eigenschaften der Aufgabe zur Remote-Installation der Apps von Kaspersky Security Center installiert. In diesem Fall werden beim Start der Aufgabe des Administrationsservers folgende Aktionen selbständig ausgeführt:

• Die erforderlichen Objekte werden in der Microsoft Windows-Gruppenrichtlinie erstellt.
• Es werden spezielle Sicherheitsgruppen erstellt, in der die Geräte aktiviert werden, und die Installation der ausgewählten Apps wird diesen Sicherheitsgruppen zugewiesen. Die Zusammensetzung der Sicherheitsgruppen wird bei jedem Aufgabenstart entsprechend der Geräteauswahl zum Zeitpunkt des Starts aktualisiert.

Zur Gewährleistung der Funktionsfähigkeit der vorliegenden Funktion ist es erforderlich, in den Aufgabeneinstellungen das Benutzerkonto anzugeben, das über die Berechtigungen zum Bearbeiten Gruppenrichtlinien Active Directory verfügt.

Wenn mithilfe einer Aufgabe sowohl der Administrationsagenten als auch eine andere App installiert werden soll, führt die Aktivierung der Option Installation des Installationspakets in Active Directory-Gruppenrichtlinien festlegen dazu, dass in der Richtlinie Active Directory nur ein Installationsobjekt für den Administrationsagenten erstellt wird. Die zweite in der Aufgabe ausgewählte App wird bereits mithilfe des Administrationsagenten installiert, sobald dieser auf dem Gerät installiert ist. Wenn es aus einem bestimmten Grund erforderlich ist, eine andere App als den Administrationsagenten mithilfe der Windows-Gruppenrichtlinien zu installieren, muss die Installationsaufgabe nur für dieses Installationspaket (ohne Paket des Administrationsagenten) erstellt werden. Nicht alle Apps können mithilfe der Gruppenrichtlinien von Microsoft Windows installiert werden. Ob eine solche Möglichkeit besteht, erfahren Sie in den Informationen über die Installationsmethoden der App.

Sollten die erforderlichen Objekte in der Gruppenrichtlinie mithilfe von Kaspersky Security Center erstellt werden, wird als Quelle des Installationspakets der freigegebene Ordner Kaspersky Security Center verwendet. Bei der Planung der Bereitstellung muss die Lesegeschwindigkeit aus diesem Ordner der Anzahl der Geräte und der Größe der zu installierenden Programmpakete entsprechen. Eventuell ist es zweckmäßig, den freigegebenen Ordner Kaspersky Security Center in einem leistungsfähigen spezialisierten Dateispeicher zu erstellen.

Neben der Einfachheit hat das automatische Erstellen der Windows-Gruppenrichtlinien mithilfe von Kaspersky Security Center noch einen Vorteil: bei der Planung der Installation des Administrationsagenten kann die Administrationsgruppe in Kaspersky Security Center, in welche die Geräte nach dem Abschließen der Installation automatisch verschoben werden, leicht angegeben werden. Die Gruppe kann im Assistenten für das Erstellen einer Aufgabe oder im Einstellungsfenster der Aufgabe zur Remote-Installation angegeben werden.

Bei der Arbeit mit den Windows-Gruppenrichtlinien mithilfe von Kaspersky Security Center erfolgt die Angabe der Geräte für das Gruppenrichtlinienobjekt mittels Erstellens einer Sicherheitsgruppe. Kaspersky Security Center synchronisiert die Zusammensetzung der Sicherheitsgruppe mit der aktuellen Geräteauswahl der Aufgabe. Bei Verwendung anderer Tools für die Arbeit mit den Gruppenrichtlinien können Sie Objekte von Gruppenrichtlinien direkt mit ausgewählten Organisationseinheiten eines Active Directory verbinden.

Selbstständige Installation von Apps mithilfe der Microsoft Windows-Richtlinien

Der Administrator kann in der Windows-Gruppenrichtlinie die für die Installation erforderlichen Objekte selbständig erstellen. In diesem Fall kann auf die Pakete verwiesen werden, die im freigegebenen Ordner Kaspersky Security Center liegen, oder die Pakete auf einem separaten Dateiserver entpacken und auf sie verweisen.

Es sind folgende Installationsszenarien möglich:

• Der Administrator erstellt das Installationspaket und passt dessen Eigenschaften in der Verwaltungskonsole an. Das Gruppenrichtlinienobjekt verweist auf die msi-Datei dieses Konfigurationspakets, die im freigegebenen Ordner Kaspersky Security Center liegt.
• Der Administrator erstellt das Installationspaket und passt dessen Eigenschaften in der Verwaltungskonsole an. Dann kopiert der Administrator den gesamten Unterordner EXEC dieses Pakets aus dem freigegebenen Ordner von Kaspersky Security Center in den Ordner auf der speziellen Dateiressource des Unternehmens. Das Gruppenrichtlinienobjekt verweist auf die msi-Datei dieses Pakets, die in einem Unterordner auf der spezialisierten Dateiressource des Unternehmens liegt.
• Der Administrator lädt das Programmpaket (einschließlich das des Administrationsagenten) aus dem Internet herunter und lädt es auf die vorgesehene Dateiressource des Unternehmens hoch. Das Gruppenrichtlinienobjekt verweist auf die msi-Datei dieses Pakets, die in einem Unterordner auf der spezialisierten Dateiressource des Unternehmens liegt. Das Anpassen der Installationseinstellungen erfolgt mittels Konfiguration der MSI-Eigenschaften oder der Konfiguration der MST-Transformationsdateien.