Cómo implementar software mediante la directiva de grupo

En este tutorial, le mostraré cómo usar la Política de grupo para implementar software en ordenadores y usuarios.

En este ejemplo, implementaré Chrome en mi ordenador usando la Política de grupo. Los pasos de este ejemplo funcionarán con otros archivos MSI.

¡Echale un vistazo!

Contenido:

  1. Cree un recurso compartido de red seguro para instalar archivos MSI
  2. Cree GPO para implementar software en ordenadores
  3. Consejos y solución de problemas
Índice

Cree un recurso compartido de red para el archivo de instalación de MSI

El primer paso es asegurarse de tener una carpeta compartida segura para el archivo MSI para que los usuarios y los ordenadores puedan acceder a él. Los archivos MSI no se copian en el ordenador; se ejecutarán desde el acceso a la red compartida.

Es importante que no establezca permisos para todos en las redes compartidas. No hay necesidad de esto y es solo una mala práctica. Esto les da a todos en su red acceso a la carpeta compartida, incluidos los usuarios que no han sido autenticados. Además, el ransomware y los virus se propagan de esta manera, ya que a menudo están programados para buscar recursos UNC compartidos y atacar archivos y carpetas. Incluso si configura el acceso de SÓLO LECTURA, aún les da a todos acceso de lectura a los archivos en este directorio. Nuevamente, esto es solo una mala práctica y puede evitarse fácilmente.

De acuerdo, he terminado con mi resentimiento, sigo adelante.

Pasos para crear un acceso seguro a la red:

Seleccione un servidor al que todos puedan acceder para configurar una carpeta compartida.

Haz clic derecho en la carpeta, luego haz clic en las pestañas "Intercambiar" y "Avanzado".

haga clic en el botón de uso compartido avanzado

Estoy usando un servidor Windows 2019. Creé una carpeta llamada software de almacenamiento de archivos de instalación. Puede nombrar sus carpetas como desee.

En la pantalla Acceso extendido, habilite la casilla para compartir esta carpeta. El nombre compartido puede ser cualquiera, llamé a mi "software".

Ahora haga clic en el botón de permisos.

pantalla de uso compartido avanzado

En la pantalla Permisos de generalización, elimine todo.

eliminar todos los permisos

Ahora agregue ordenadores de dominio y usuarios de dominio y configure el permiso de lectura. Puede bloquear permisos para usuarios y equipos específicos si es necesario mediante la creación de nuevos grupos de seguridad.

agregar usuarios de dominio y equipos de dominio

Haga clic en Aceptar para volver a la página de propiedades y haga clic en la pestaña Seguridad.

pantalla de seguridad NTFS

Asegúrese de que no todos estén en la lista, si es así, elimínelos.

Agregue usuarios de dominio y ordenadores de dominio y concédales permisos de lectura y ejecución, lista y lectura.

Permisos de seguridad Ntfs para usuarios de dominios y ordenadores

Bien, buen trabajo. La configuración de la carpeta compartida está completa. Ahora copie los archivos de instalación de MSI en la carpeta que acaba de crear.

Verifique el acceso a la red en un ordenador remota. En el ordenador remota, ingrese \ nombre de host nombre compartido en el cuadro de búsqueda. El nombre de mi servidor es "srvwef" y el nombre común es "software".

Prueba de acceso de ruta común UNC

Si puede compartir, debería ver una lista de archivos.

Lista de archivos msi compartidos

Esto completa la configuración de acceso a la red. La siguiente sección configurará el GPO para implementar el software en los ordenadores.

Cree GPO para implementar software en ordenadores

La directiva de grupo tiene configuraciones para la orientación en el ordenador y configuraciones para los usuarios de destino. En esta sección, veremos los ordenadores para la implementación de software. Esto significa que la instalación del software se instalará para todos los que inicien sesión en el ordenador.

Recomiendo crear un nuevo GPO para instalar el software, no agregue esta configuración a la política de dominio predeterminada.

En la Consola de administración de directivas de grupo, vaya a OU, haga clic con el botón derecho y seleccione "Crear GPO en este dominio y vincularlo aquí".

Crear y vincular un nuevo GPO

En este ejemplo, instalaré Chrome en todas los ordenadores de la unidad organizativa de TI, por lo que crearé y vincularé un GPO a la unidad organizativa de TI.

Asigne un nombre al GPO. Llamé a mi "Computadora - Instalar Chrome"

Cambiar el nuevo GPO:

Configuración del ordenador> Políticas> Configuración de software> Instalación de software

editar nuevo gpo

Haga clic derecho en Instalar software y seleccione Nuevo> Paquete

nuevo paquete de software gpo

En la pantalla abierta, navegue a la red usando la ruta UNC, seleccione el MSI que desea instalar y haga clic en abrir. NO navegue con unidades locales, de lo contrario, la instalación fallará.

Parche gpo unc para archivo msi

En la pantalla Implementación de software, haga clic en Asignado y luego en Aceptar. Se publicará en gris, ya que esta opción solo se puede usar al implementar software para los usuarios.

Configuraciones diseñadas para implementar el software gpo

Esto completa la configuración de GPO. La configuración de GPO debería verse así.

Opciones de instalación del software Gpo

El software solo se instalará durante un reinicio y la configuración de GPO debe actualizarse en el ordenador. La configuración de GPO se actualizará automáticamente cada 90 minutos.

Puede usar el comando gpupdate / force para forzar la configuración de GPO.

ejecutar gpupdate/forzar

Cuando ejecute el comando gpupdate, se le notificará que una o más configuraciones deben procesarse antes de que el sistema pueda iniciarse o el usuario inicie sesión. Esto se aplica al software instalado por el GPO y se espera. Para reiniciar el ordenador, ingrese Y.

El software se instalará al reiniciar.

Cuando inicio sesión, veo el ícono de Google Chrome en mi escritorio y confirma el software instalado.

icono de instalación de cromo gpo

En esta etapa, se completa la implementación del software mediante la directiva de grupo.

Configuración de GPO para la instalación de software solo para usuarios

Si desea instalar software para usuarios específicos, simplemente use los ajustes de configuración de usuario de GPO en lugar del ordenador.

Funciona de manera diferente a la implementación en un ordenador.

Configure el usuario gpo para instalar el software

En mis pruebas, la configuración del usuario no instala el software automáticamente para el usuario. Es por eso que prefiero usar una configuración de ordenador para implementar el software, pero cada uno tiene requisitos diferentes.

Publicado contra métodos de implementación asignados:

Software de implementación de Gpo publicado contra asignado

Casi no hay documentación sobre esto de Microsoft. Según mis pruebas, parecen estar haciendo lo mismo. Lo único que veo es que agrega software a la lista de programas que se pueden instalar desde la red.

El usuario deberá hacer clic en Google Chrome desde aquí y luego se instalará el software. Algunos artículos que encontré decían que la opción asignada debe colocar el ícono en el escritorio y luego se establecerá cuando el usuario haga clic en el ícono. No fue mi experiencia.

Consejos y solución de problemas

Estos son algunos consejos para solucionar problemas de instalación del software GPO.

Consejo №1 Verifique los registros de eventos

En el ordenador que no se pudo instalar, verifique los registros de eventos del sistema para ver si hay errores. Esto le dará detalles de las razones de la falla de instalación.

Consejo №2 Mostrar mensajes detallados al inicio

Se mostrará "Aplicar opciones de instalación de software" al inicio.

Deberá habilitar esta configuración de GPO.

Configuración del equipo > Políticas > Plantillas administrativas > Sistema y Habilitar “Mostrar mensajes de estado muy detallados.

Consejo № 3 Active Red en espera cuando inicie su ordenador e inicie sesión

Si tiene problemas para instalar el software, es posible que deba habilitar esta configuración de GPO.

Configuración del ordenador> Políticas> Plantillas administrativas> Sistema> Iniciar sesión y habilitar "Esperar siempre la red cuando el ordenador se inicia e inicia sesión"

Consejo № 4 Prueba con un pequeño archivo MSI

Puede haber un problema con el archivo de instalación de MSI. Verifique con un programa pequeño como 7zip o Notepad ++, estos son archivos de instalación realmente pequeños que se sabe que funcionan.

Consejo № 5 Use gpresult para asegurarse de que el GPO esté habilitado.

Use el comando gpresult incorporado para asegurarse de que la configuración de GPO se aplique a su ordenador.

Resumen

La implementación de software mediante la política de grupo es fácil de hacer. Aunque no tiene muchas opciones y funciones, es útil para implementar paquetes de software simples.

Espero que hayas disfrutado esta lección. Si tienes preguntas, déjalas en la sección de comentarios.

Artículos de interés

Subir