Instalación de aplicaciones por GPO

Translate

 

Dispuestos a mejorar y optimizar el tiempo que le dedicamos a instalar nuevos ordenadores, la primera opción es instalar aplicaciones automáticamente mediante GPO’s.

Para hacer un poco de resumen, las GPO’s son archivos que permiten establecer configuraciones de maquina o usuario establecidas en OU’s de Active Directory. Os dejo un link donde podeis leer acerca de ello. http://goo.gl/EjYABa 

linbro_GPO

 

De manera informativa, os dejo el link de un libro sobre GPO realmente muy interesante y a mi parecer imprescindible para entender completamente el funcionamiento de las GPO de una manera práctica.

http://www.lulu.com/shop/xavier-genest%C3%B3s/gpoit-group-policy-objects-para-administradores-de-it/paperback/product-21137594.html

 

 

Para poder instalar una aplicación mediante GPO esta ha de ser una aplicación de Windows Intaller, es decir, .msi. para nuestro entorno usaremos el Chrome for Business. http://goo.gl/wGYJ8.

Este fichero .msi lo hemos de almacenar en una ruta compartida de nuestra red donde los usuarios tengan como mínimo acceso de lectura y ejecución.

Captur_00

Después de tener ubicado el instalador, hemos de tener una estructura de Active Directory donde separemos en OU’s los usuarios, grupos y equipos.

Captur_01

Ahora abriremos la consola de Administración de directivas de grupo que podemos encontrar en Herramientas Administrativas. Como podéis observar tenemos la misma estructura de OU’s que en la consola de Usuarios y Equipos de Active Directory.

Captur_02

Nos dirigimos a la carpeta de Objetos de directivas de grupo, en la derecha nos aparecerán las directivas que tengamos creadas, por defecto aparecen la del controladores de dominio y la del dominio. Pulsamos sobre botón derecho y creamos una nueva y le asignamos un nombre, en mi caso GPO Instalacion Chrome

Captur_03

Captur_04

Una vez creada vamos a edita la política para configurar la instalación de la aplicación. Con botón derecho sobre la política y Editar.

Captur_05

Se nos abrirá una ventana nueva con la parte de configuración de equipo y configuración de usuario. Para configurar la instalación de la aplicación nos situaremos en Configuración de equipo –> Directivas –> Configuración de software y encima de Instalación de Software crearemos un nuevo paquete.

Captur_06

En este punto tenemos que acceder a la ubicación creada en el primer paso donde tenemos almacenado nuestro instalador y seleccionarlo.

Captur_07

 

Ahora se nos preguntará si queremos el método de impalntación Asignada o Avanzada. En ambos casos será asignada, por lo que marcaremos la Avanzada para comentar un par de aspectos a tener en cuenta, evidentemente se puede acceder a esta configuración si seleccionamos Asignada.

Captur_08

Una vez aceptado se abrirán las opciones del paquete, nos situamos en Implementación y es muy aconsejable marcar la opción de Desinstalar esta aplicación cuando esté fuera del ámbito de administración, de esta manera si cambiamos de ubicación el equipo y no aplica esta directiva el software instalado automáticamente se desinstalará. Además hemos de tener en cuenta otro aspecto, por ello nos dirigiremos a Opciones avanzadas…

Captur_09

En esta pantalla veremos en la primera opción la de Omitir el idioma al implementar este paquete, si no marcamos esta opción es posible que algunos paquetes no se instalen por culpa de tener el idioma del sistema operativo diferente del paquete. Por defecto viene activa la opción de compatibilizar las aplicaciones x86 con sistemas Win64.

Captur_10

Ahora ya tenemos nuestro paquete configurado en la GPO.

Captur_11

Cerramos esta ventana y nos dirigimos de nuevo a la de Administración de directivas de grupo. Si nos situamos sobre la GPO que hemos creado a la derecha nos aparecerá el ambito donde se aplica esta GPO, por lo que podemos establecer un filtro de seguridad para la GPO, por ejemplo que solo se aplique a los equipos que pertenezcan a un grupo o hace que solo se aplique a una equipo determinado. Hay que recordar que este filtro será aplicado para la GPO no para el vínculo, que ahora comentaremos.

Captur_12

Una vez editada la GPO y asignado el filtrado de seguridad adecuado pasaremos a vincular esta GPO con la OU que deseemos, en nuestro caso con la de Ordenadores, lo cual me garantizará que solo se aplica a los equipo que estén dentro de esta OU. Pulsamos con el botón derecho sobre la OU y marcamos Vincular una GPO existente…, se abrirá un dialogo para selecciona la GPO que acabamos de crear.

Captur_13 Captur_14

Una vez terminado la vinculación podemos observar que la GPO tiene asignado en Vinculo la OU de Ordenadores.

Captur_15

Ahora en el próximo reinicio de los equipos que cumplan los filtros de seguridad se instalará antes de solicitar el usuario la aplicación Chrome, si esto no sucede, es recomendable, desde linea de comandos en el cliente, ejecutar gpupdate /force.

Captur_16

 

Espero que os haya servido, si tenéis alguna duda comentar el post y haré lo posible para ayudaros.

9 comentarios en “Instalación de aplicaciones por GPO

  1. All Bangla Newspaper

    Simply wish to say your article is as astounding. The clarity in your post
    is just cool and i could assume you are an expert
    on this subject. Fine with your permission let me to
    grab your feed to keep updated with forthcoming post. Thanks a million and please keep up the gratifying work.

    Contestar
  2. Miguel L.

    estimado, aplique la politica tal como explicas pero en el Cliente no instala la aplicacion .msi, pf. si podrias alguna solucion para forzar la instalacion desde el cliente.

    Contestar
    1. Ricard Ibáñez Autor del post

      Hola Miguel, lo único que debes hacer es revisar que la GPO que has configurado esté configurada sobre la OU donde está el equipo. Una vez colocada correctamente deberás reiniciar el cliente y automáticamente se aplicará.
      Puede usar el comando en CMD: “gpresult /h index.html” para revisar si se está aplicando la GPO.

      Contestar
  3. Enrique

    Hola,
    Ante todo gracias por la información.
    Yo ya he intentado hacer esto varias veces antes de ver tu blog tal cual indicas, en mi caso, el programa no llega a instalarse ya que los usuarios no son administradores locales de sus máquinas.
    Daba por sentado que, el programa se instala sin mayores problemas pero he llegado a la conclusión de que solo se instala siendo administrador local.
    ¿Es posible que haya que indicar de alguna manera la instalación con permisos de administrador creando el paquete .msi?.

    Saludos y muchas gracias por la ayuda

    Contestar
    1. Ricard Ibáñez Autor del post

      Es posible que el msi, requiera configuración adicional. Existen los MST que son ficheros de configuración para los msi.
      Me he encontrado algunos msi que son convertidos de EXE y no hay manera humana de que se instale por GPO, pero es debido al msi.

      Siento no se de más ayuda.
      Saludos!!

      Contestar
      1. Jesús Miguel

        De antemano mil gracias por publicar esta información, me ha servido para establecer un esqueleto de conocimientos y seguir con mis investigaciones.
        Todo muy bien explicado y detallado salvo por minucias que, para gente como yo que somos creadores de “guía burros”, puecan crear alguna duda. Pero no quiero quitarle mérito a tu trabajo, ni mucho menos.

        Gracias por mencionar los MST, ya sabía yo que me estaba faltando algo en mis planes de instalación de MSI. Si alguna vez descubro algo de instalaciones MSI convertidos de EXE me pasaré por aquí para facilitarte la información ya que me siento en deuda.

        Enhorabuena por el post. Un saludo!

        Contestar

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.