12-05-2024, 19:06
Wenn es um das Bereitstellen von Software mithilfe von Gruppenrichtlinien in Active Directory geht, finde ich, dass dies eine dieser coolen, praktischen Aufgaben ist, bei denen man wirklich seine IT-Fähigkeiten unter Beweis stellen kann. Es ist wie die geheime Zutat, die das Verwalten einer großen Anzahl von Systemen einfacher und effizienter macht. Also lass mich erklären, wie ich dabei vorgehe und was ich auf dem Weg gelernt habe.
Zunächst einmal möchte man sicherstellen, dass die Software, die man bereitstellen möchte, in einem Format vorliegt, das mit Gruppenrichtlinien kompatibel ist. In der Regel bedeutet das entweder eine MSI-Datei oder eine EXE, die in eine MSI verpackt werden kann. Ich bevorzuge MSI-Dateien, da sie sich nahtlos in die gesamte Gruppenrichtlinienkonfiguration integrieren. Wenn man eine EXE hat, braucht man sich keine Sorgen zu machen - ich habe gelegentlich die Zeit genommen, sie mit verschiedenen Tools in eine MSI zu verpacken. Es ist ein bisschen zusätzliche Arbeit, aber wenn man eine lange Liste von Maschinen hat, die man bedienen muss, lohnt sich das.
Sobald man die MSI-Datei in der Hand hat, muss man das richtige Gruppenrichtlinienobjekt (GPO) auswählen, mit dem man arbeiten möchte. Typischerweise möchte man ein neues GPO erstellen, wenn diese Softwarebereitstellung etwas ist, das man noch nicht gemacht hat. Normalerweise gehe ich zur Gruppenrichtlinienverwaltungskonsole. Man kann dies tun, indem man "gpmc.msc" im Ausführen-Dialog eingibt. Von dort aus sieht man die eigene Domäne und alle organisatorischen Einheiten (OUs) innerhalb davon.
Ich betrachte OUs gerne als kleine Nachbarschaften in meinem Active Directory, und ich versuche normalerweise, Software in einer bestimmten Nachbarschaft bereitzustellen, anstatt sie einfach über die gesamte Domäne zu streuen. Man kann mit der rechten Maustaste auf die OU klicken, in der man die Software anwenden möchte, und ein neues GPO erstellen. Oft gebe ich ihm einen beschreibenden Namen, damit ich nachvollziehen kann, wofür es gedacht ist. Wenn ich beispielsweise einen neuen Browser ausrolle, könnte ich es so etwas wie "Browserbereitstellung" nennen.
Nachdem man das GPO erstellt hat, möchte man es bearbeiten. Wenn man mit der rechten Maustaste auf das GPO klickt und "Bearbeiten" auswählt, öffnet sich der Gruppenrichtlinienverwaltungs-Editor. Dort findet man zwei Hauptpfade, die man wählen kann: Computerkonfiguration und Benutzerkonfiguration. Für die Softwarebereitstellung verwende ich normalerweise die Computerkonfiguration, da dies sicherstellt, dass die Software installiert wird, bevor der Benutzer sich anmeldet. So ist, wenn sie zu ihrer Maschine kommen, alles bereit, und sie haben keine Probleme, die Software direkt nach dem Anmelden zu verwenden.
Als Nächstes muss man zu Richtlinien, dann zu Softwareeinstellungen und genau hier geschieht die Magie. Man sieht die Option für "Softwareinstallation". Einfach mit der rechten Maustaste dort klicken und "Neu" gefolgt von "Paket" auswählen. Wenn ein neues Fenster erscheint, muss man den Pfad zur MSI-Datei eingeben. Ich platziere die MSI-Dateien normalerweise in einem gemeinsamen Netzwerkordner, der für alle Maschinen in der Domäne zugänglich ist. Zum Beispiel benutze ich einen Pfad wie "\\servername\sharename\software.msi". Es ist wichtig, einen UNC-Pfad anstelle eines lokalen Pfades zu verwenden, da die Maschinen diese Datei während des Installationsprozesses über das Netzwerk abrufen müssen.
Nachdem man den Pfad zur MSI eingegeben hat, hat man eine Reihe von Optionen. Man kann zwischen "Zugewiesen" und "Veröffentlicht" wählen. Ich bevorzuge "Zugewiesen", da die Software automatisch für Maschinen installiert wird, wenn sie neu starten. Wenn man auf OK klickt, sieht man das Paket auf der Seite "Softwareinstallation" des GPO aufgeführt. Wenn alles gut aussieht, ist man auf dem richtigen Weg.
Jetzt kann es hier heikel werden, wenn man nicht aufpasst. Man muss sicherstellen, dass die Gruppenrichtlinie auf die richtigen Maschinen angewendet wird. Manchmal muss man die Sicherheitsfilterung des GPO überprüfen, um sicherzustellen, dass die Computer, die die Software erhalten sollen, auch einbezogen sind. Dazu klickt man auf das GPO selbst und findet die Registerkarte "Bereich". Hier kann man die notwendigen Sicherheitsgruppen oder Computerkonten hinzufügen, auf die diese Richtlinie angewendet werden sollte.
An diesem Punkt ist es normalerweise eine gute Idee, sich einen Moment Zeit zu nehmen und zu überlegen, wie man die Bereitstellung testen möchte. Ich gehe niemals einfach blind und verteile Software an alle Maschinen, besonders wenn es sich um etwas Neues handelt. Ich wähle normalerweise ein paar Testmaschinen aus – vielleicht nur eine oder zwei – die repräsentativ für die größere Umgebung sind. Man kann entweder eine spezielle OU nur für das Testen erstellen oder bereits vorhandene Testmaschinen verwenden, die sich bereits in der Produktions-OU befinden.
Bevor ich Vollgas gebe, führe ich ein Gruppenrichtlinien-Update auf den Testmaschinen durch, indem ich den Befehl "gpupdate /force" verwende. Dadurch wird sichergestellt, dass sie die neuesten Richtlinien erhalten, ohne auf den normalen Aktualisierungszyklus warten zu müssen. Nachdem ich diesen Befehl ausgeführt habe, melde ich mich normalerweise ab oder starte die Maschinen neu, um zu sehen, ob die Installation wie erwartet erfolgt.
Nachdem ich auf die Bereitstellung gewartet habe, überprüfe ich meine Testmaschinen. Wenn die Software installiert wird, wie sie soll, weiß ich, dass ich für eine breitere Bereitstellung bereit bin. Im seltenen Fall, dass etwas schiefgeht, habe ich festgestellt, dass die Überprüfung des Ereignisprotokolls unverzichtbar ist. Man kann unter "Anwendungs- und Dienstprotokolle" gefolgt von "Microsoft" und dann "Windows" nach "Gruppenrichtlinie" suchen. Dies hilft, etwaige Probleme zu identifizieren, die während des Installationsprozesses aufgetreten sind.
Sobald ich mir sicher bin, dass alles reibungslos auf meinen Testmaschinen läuft, ist es Zeit, den Rest der Organisation anzugehen. Hier fühle ich normalerweise eine Mischung aus Aufregung und Nervosität, ähnlich wie beim Abschuss einer Rakete ins All. Wenn man alles richtig gemacht hat und die Sicherheitsfilterung und Pfade doppelt überprüft hat, sollten die restlichen Maschinen die Richtlinie von selbst übernehmen. Es ist normalerweise nur eine Frage des Wartens auf den Neustart, und sie werden die Installation übernehmen.
Aus meiner Erfahrung kann man nicht anders, als unterwegs ein paar Tricks zu lernen. Eine Sache, die ich festgestellt habe, ist, dass nicht alle Software bei der Bereitstellung mit Gruppenrichtlinien gleich funktioniert. Einige installieren sich problemlos, während andere möglicherweise bestimmte Parameter oder Voraussetzungen benötigen. Deshalb ist es sehr wichtig, mit der Software, die man bereitstellt, und der Umgebung, in der man arbeitet, vertraut zu sein.
Ich halte auch gerne die Kommunikationswege offen. Wenn ich eine große Benutzergruppe habe, die von dieser Änderung betroffen sein wird, versuche ich, eine kurze E-Mail zu senden, um sie darüber zu informieren, was passiert. Es ist erstaunlich, wie viele Fragen man sich ersparen kann, indem man den Leuten einfach Bescheid gibt.
Nach der Bereitstellung ist es mir wichtig, nachzufragen. Ich kontaktiere die Benutzer, um sicherzustellen, dass sie das bekommen haben, was sie benötigen, und suche nach Fragen oder Feedback. Die Überwachung der Softwareleistung auf verschiedenen Maschinen kann ebenfalls zeigen, ob es Konflikte mit bestehender Software oder Systemkonfigurationen gibt.
Und wenn etwas schiefgeht? Keine Sorgen. Ich habe lernen müssen, wie man Softwareinstallationen gelegentlich zurücksetzt. Wenn eine neue Anwendung Probleme verursacht, ist es genauso wichtig, die Möglichkeit zu haben, zurückzukehren, wie die ursprüngliche Bereitstellung. Deine Benutzer werden es dir danken!
Die Bereitstellung von Software mit Gruppenrichtlinien ist ein leistungsfähiges Werkzeug in unserem IT-Werkzeugkasten, und obwohl es überwältigend erscheinen kann, macht es einen großen Unterschied, Schritt für Schritt vorzugehen. Man kann buchstäblich Anwendungen an Hunderte oder Tausende von Maschinen verteilen, ohne viel manuelle Arbeit. Sobald man den Dreh raus hat, wird man feststellen, dass es eine fantastische Möglichkeit ist, die Arbeit zu optimieren, Zeit zu sparen und alles reibungslos am Laufen zu halten. Also steig einfach ein, halte dich an diese Prinzipien, und man wird die Person, zu der alle kommen, wenn sie etwas ausgerollt haben möchten!
Ich hoffe, dass dieser Beitrag für dich nützlich war. Hast du eine sichere Backup-Lösung für deine Windows-Server? Schau dir diesen Beitrag an.
Zunächst einmal möchte man sicherstellen, dass die Software, die man bereitstellen möchte, in einem Format vorliegt, das mit Gruppenrichtlinien kompatibel ist. In der Regel bedeutet das entweder eine MSI-Datei oder eine EXE, die in eine MSI verpackt werden kann. Ich bevorzuge MSI-Dateien, da sie sich nahtlos in die gesamte Gruppenrichtlinienkonfiguration integrieren. Wenn man eine EXE hat, braucht man sich keine Sorgen zu machen - ich habe gelegentlich die Zeit genommen, sie mit verschiedenen Tools in eine MSI zu verpacken. Es ist ein bisschen zusätzliche Arbeit, aber wenn man eine lange Liste von Maschinen hat, die man bedienen muss, lohnt sich das.
Sobald man die MSI-Datei in der Hand hat, muss man das richtige Gruppenrichtlinienobjekt (GPO) auswählen, mit dem man arbeiten möchte. Typischerweise möchte man ein neues GPO erstellen, wenn diese Softwarebereitstellung etwas ist, das man noch nicht gemacht hat. Normalerweise gehe ich zur Gruppenrichtlinienverwaltungskonsole. Man kann dies tun, indem man "gpmc.msc" im Ausführen-Dialog eingibt. Von dort aus sieht man die eigene Domäne und alle organisatorischen Einheiten (OUs) innerhalb davon.
Ich betrachte OUs gerne als kleine Nachbarschaften in meinem Active Directory, und ich versuche normalerweise, Software in einer bestimmten Nachbarschaft bereitzustellen, anstatt sie einfach über die gesamte Domäne zu streuen. Man kann mit der rechten Maustaste auf die OU klicken, in der man die Software anwenden möchte, und ein neues GPO erstellen. Oft gebe ich ihm einen beschreibenden Namen, damit ich nachvollziehen kann, wofür es gedacht ist. Wenn ich beispielsweise einen neuen Browser ausrolle, könnte ich es so etwas wie "Browserbereitstellung" nennen.
Nachdem man das GPO erstellt hat, möchte man es bearbeiten. Wenn man mit der rechten Maustaste auf das GPO klickt und "Bearbeiten" auswählt, öffnet sich der Gruppenrichtlinienverwaltungs-Editor. Dort findet man zwei Hauptpfade, die man wählen kann: Computerkonfiguration und Benutzerkonfiguration. Für die Softwarebereitstellung verwende ich normalerweise die Computerkonfiguration, da dies sicherstellt, dass die Software installiert wird, bevor der Benutzer sich anmeldet. So ist, wenn sie zu ihrer Maschine kommen, alles bereit, und sie haben keine Probleme, die Software direkt nach dem Anmelden zu verwenden.
Als Nächstes muss man zu Richtlinien, dann zu Softwareeinstellungen und genau hier geschieht die Magie. Man sieht die Option für "Softwareinstallation". Einfach mit der rechten Maustaste dort klicken und "Neu" gefolgt von "Paket" auswählen. Wenn ein neues Fenster erscheint, muss man den Pfad zur MSI-Datei eingeben. Ich platziere die MSI-Dateien normalerweise in einem gemeinsamen Netzwerkordner, der für alle Maschinen in der Domäne zugänglich ist. Zum Beispiel benutze ich einen Pfad wie "\\servername\sharename\software.msi". Es ist wichtig, einen UNC-Pfad anstelle eines lokalen Pfades zu verwenden, da die Maschinen diese Datei während des Installationsprozesses über das Netzwerk abrufen müssen.
Nachdem man den Pfad zur MSI eingegeben hat, hat man eine Reihe von Optionen. Man kann zwischen "Zugewiesen" und "Veröffentlicht" wählen. Ich bevorzuge "Zugewiesen", da die Software automatisch für Maschinen installiert wird, wenn sie neu starten. Wenn man auf OK klickt, sieht man das Paket auf der Seite "Softwareinstallation" des GPO aufgeführt. Wenn alles gut aussieht, ist man auf dem richtigen Weg.
Jetzt kann es hier heikel werden, wenn man nicht aufpasst. Man muss sicherstellen, dass die Gruppenrichtlinie auf die richtigen Maschinen angewendet wird. Manchmal muss man die Sicherheitsfilterung des GPO überprüfen, um sicherzustellen, dass die Computer, die die Software erhalten sollen, auch einbezogen sind. Dazu klickt man auf das GPO selbst und findet die Registerkarte "Bereich". Hier kann man die notwendigen Sicherheitsgruppen oder Computerkonten hinzufügen, auf die diese Richtlinie angewendet werden sollte.
An diesem Punkt ist es normalerweise eine gute Idee, sich einen Moment Zeit zu nehmen und zu überlegen, wie man die Bereitstellung testen möchte. Ich gehe niemals einfach blind und verteile Software an alle Maschinen, besonders wenn es sich um etwas Neues handelt. Ich wähle normalerweise ein paar Testmaschinen aus – vielleicht nur eine oder zwei – die repräsentativ für die größere Umgebung sind. Man kann entweder eine spezielle OU nur für das Testen erstellen oder bereits vorhandene Testmaschinen verwenden, die sich bereits in der Produktions-OU befinden.
Bevor ich Vollgas gebe, führe ich ein Gruppenrichtlinien-Update auf den Testmaschinen durch, indem ich den Befehl "gpupdate /force" verwende. Dadurch wird sichergestellt, dass sie die neuesten Richtlinien erhalten, ohne auf den normalen Aktualisierungszyklus warten zu müssen. Nachdem ich diesen Befehl ausgeführt habe, melde ich mich normalerweise ab oder starte die Maschinen neu, um zu sehen, ob die Installation wie erwartet erfolgt.
Nachdem ich auf die Bereitstellung gewartet habe, überprüfe ich meine Testmaschinen. Wenn die Software installiert wird, wie sie soll, weiß ich, dass ich für eine breitere Bereitstellung bereit bin. Im seltenen Fall, dass etwas schiefgeht, habe ich festgestellt, dass die Überprüfung des Ereignisprotokolls unverzichtbar ist. Man kann unter "Anwendungs- und Dienstprotokolle" gefolgt von "Microsoft" und dann "Windows" nach "Gruppenrichtlinie" suchen. Dies hilft, etwaige Probleme zu identifizieren, die während des Installationsprozesses aufgetreten sind.
Sobald ich mir sicher bin, dass alles reibungslos auf meinen Testmaschinen läuft, ist es Zeit, den Rest der Organisation anzugehen. Hier fühle ich normalerweise eine Mischung aus Aufregung und Nervosität, ähnlich wie beim Abschuss einer Rakete ins All. Wenn man alles richtig gemacht hat und die Sicherheitsfilterung und Pfade doppelt überprüft hat, sollten die restlichen Maschinen die Richtlinie von selbst übernehmen. Es ist normalerweise nur eine Frage des Wartens auf den Neustart, und sie werden die Installation übernehmen.
Aus meiner Erfahrung kann man nicht anders, als unterwegs ein paar Tricks zu lernen. Eine Sache, die ich festgestellt habe, ist, dass nicht alle Software bei der Bereitstellung mit Gruppenrichtlinien gleich funktioniert. Einige installieren sich problemlos, während andere möglicherweise bestimmte Parameter oder Voraussetzungen benötigen. Deshalb ist es sehr wichtig, mit der Software, die man bereitstellt, und der Umgebung, in der man arbeitet, vertraut zu sein.
Ich halte auch gerne die Kommunikationswege offen. Wenn ich eine große Benutzergruppe habe, die von dieser Änderung betroffen sein wird, versuche ich, eine kurze E-Mail zu senden, um sie darüber zu informieren, was passiert. Es ist erstaunlich, wie viele Fragen man sich ersparen kann, indem man den Leuten einfach Bescheid gibt.
Nach der Bereitstellung ist es mir wichtig, nachzufragen. Ich kontaktiere die Benutzer, um sicherzustellen, dass sie das bekommen haben, was sie benötigen, und suche nach Fragen oder Feedback. Die Überwachung der Softwareleistung auf verschiedenen Maschinen kann ebenfalls zeigen, ob es Konflikte mit bestehender Software oder Systemkonfigurationen gibt.
Und wenn etwas schiefgeht? Keine Sorgen. Ich habe lernen müssen, wie man Softwareinstallationen gelegentlich zurücksetzt. Wenn eine neue Anwendung Probleme verursacht, ist es genauso wichtig, die Möglichkeit zu haben, zurückzukehren, wie die ursprüngliche Bereitstellung. Deine Benutzer werden es dir danken!
Die Bereitstellung von Software mit Gruppenrichtlinien ist ein leistungsfähiges Werkzeug in unserem IT-Werkzeugkasten, und obwohl es überwältigend erscheinen kann, macht es einen großen Unterschied, Schritt für Schritt vorzugehen. Man kann buchstäblich Anwendungen an Hunderte oder Tausende von Maschinen verteilen, ohne viel manuelle Arbeit. Sobald man den Dreh raus hat, wird man feststellen, dass es eine fantastische Möglichkeit ist, die Arbeit zu optimieren, Zeit zu sparen und alles reibungslos am Laufen zu halten. Also steig einfach ein, halte dich an diese Prinzipien, und man wird die Person, zu der alle kommen, wenn sie etwas ausgerollt haben möchten!
Ich hoffe, dass dieser Beitrag für dich nützlich war. Hast du eine sichere Backup-Lösung für deine Windows-Server? Schau dir diesen Beitrag an.
