1. Úvod a podmínky nasazení:
1.1 Organizační jednotky
Pro úspěšné nasazení SW pomocí skupinových politik je třeba umisťovat zařízení do správných organizačních jednotek.
Není možné „ponechat“ zařízení ve výchozím kontejneru „Computers“:
ale musí se vždy umístit do k tomu připravených OU:
Toto pravidlo je nutné dodržet i z jiných důvodů, zejména proto, že skupinové politiky nejsou využívány jen k instalaci aplikací, ale i další konfiguraci, která by nefungovala, protože GPO je možné aplikovat pouze na vytvořené OU.
1.2 Podporovaný SW
Pomocí skupinových politik je možné nasazovat pouze MSI instalační balíčky. EXE, soubory ani instalační scripty nejsou podporované.
Script nebo samostatný spustitelný EXE soubor je možné nasadit různými jinými způsoby. EXE je možné konvertovat do MSI třetími nástroji. Případně je možné využít jiný SW, který dokáže aplikace instalovat z repozitářů.
1.3 Umístění balíčku v síti
Balíček je nutné připravit na místo, kam má přístup každý uživatel nebo zařízení v doméně.
Je možné vytvořit libovolnou síťovou složku, s patřičnými oprávněními, případně jako v tomto případě vyžít „NETLOGON“, kam byly dřívě umisťovány přihlašovací skripty (jdou stále využívat, ale díky GPO se jedná o zastaralý způsob). V našem případě se hodí dokonale – každý uživatel má k tomuto umístění přístup, každé zařízení také, i bez přihlášení uživatele.
V Netlogonu ej již připravená složka INSTALL, kam je možné do dalších podsložek (pro přehlednost) umisťovat potřebné instalační balíčky.
2. Správa zásad skupiny
2.1 Úvod
Vytvářen a správa GPO probíhá v GUI nástroje Správa zásad skupiny.
Nástroj je možné dohledat n Nástrojích pro správu systému > Správa zásad skupiny.
Po spuštění se zobrazí GUI aplikace, v levé části je známý strom podobný ADUC kde jsou vidět OU, se kterými lze provázat nové politiky:
2.2 Vytvoření nového Objektu zásady skupiny
Začneme tím, že vytvoříme nový objekt zásady skupiny, pravým tlačítkem na „Objekt zásady skupiny“ > „Nový“:
Pojmenujeme:
a pokračujeme tlačítkem [OK].
Tímto se vytvoří nový prázdný objekt:
2.3 Nastavení nového Objektu zásady skupiny
Na něj pravým tlačítkem „Upravit“:
Zobrazí se nové okno „Editor správy zásad skupiny“:
2.4 Nasazení aplikace pomocí nové politiky
Nyní je potřeba rozhodnout, jakým způsobem se má SW nasadit, resp. komu. Jestli se bude instalovat na vybraný počítač/skupině počítačů, nebo vybranému uživateli/skupině uživatelů.
V tomto návodu předpokládám instalaci na vybranou skupinu zařízení. Pokračuji tedy na „Konfigurace počítače > Zásady > Nastavení softwaru > Instalace softwaru“:
Pravým tlačítkem na „Instalace softwaru > Nová položka > Balíček…“:
V novém okně najděte cestu k souboru z bodu 1.3, v mém případě je to instalační balíček vzdáleného přístupu:
Vybereme jej a pokračujeme tlačítkem [Otevřít].
Vybereme způsob nasazení aplikace, z vybraných možností je to „Pokročilé“, a potvrdíme tlačítkem [OK].
V případě potřeby doplníme na kartě „Obecné“ název (pokud si jej z MSI balíčku nenatáhne sám):
Na kartě „Nasazení“ upravíme chování aplikace v takovém případě, kdy se PC dostane mimo obor správy (Zaškrtnutím „Odinstalovat tuto aplikaci, je li mimo obor spáry“ zajistíme, že v případě opuštění OU se aplikace odebere. Pozor, může být i kontraproduktivní, je potřeba vzít v potaz celý životní cyklus aplikace.):
Další karty pro tentokrát ignorujeme, při prvotním nasazení aplikace jsou už nepodstatné.
Dokončíme tlačítkem [OK].
Aplikace se zobrazí v pravé části okna Editoru zásady skupiny:
Editor zavřeme křížkem v pravém horním rohu.
2.5 Filtrování zabezpečení
Protože chceme politiku aplikovat na počítač, upravíme „Filtrování zabezpečení“, tlačítkem [Přidat]:
Do pole „Zadejte název objektu k výběru“ napíšeme „Domain computers“:
A tlačítkem [Kontrola názvů] ověříme správnost zadání:
Které signalizuje podtržení, pokračujeme tlačítkem [OK].
Výsledkem je skupina „Domain Computers“ ve „Filtrování zabezpečení“:
2.6 Přiřazení nového Objektu zásady skupiny Organizační jednotce
Posledním krokem je přiřazení nového Objektu zásady skupiny obsahujícího politiku nasazení aplikace konkrétní/m OU.
Toho docílíme jednoduše postupným procházením stromu až je konkrétní OU, v tomto případě třeba „KABINETY“:
Na OU „KABINETY“ klikneme pravým tlačítkem a vybereme „Propojit existující objekt zásad skupiny…“:
Vybereme nově vytvořený Objekt zásad skupiny a dokončíme tlačítkem [OK]:
Výsledkem je propojení Objektu s OU:
Závěr
Tímto způsobem je možné nasadit libovolnou aplikaci, která podporuje nasazení pomocí GPO.
Lze provádět upgrady existujících, pomocí GPO instalovaných, aplikací a řídit jejich životní cyklus.