Software-Distribution mit GPO: 3 Schritte zur Lösung

26. Juni 2017
|In Digitalisierung
|By Hans-Jürgen Schwarzer

Systemadministratoren müssen immer wieder Software installieren, aktualisieren oder entfernen. Wir zeigen Ihnen, wie das mit Hilfe der Gruppenrichtlinien funktioniert.

Zu den wichtigsten Aufgaben der Systemverwaltung gehört die Software-Distribution, also die Installation, die Aktualisierung und das Entfernen von Anwendungen. Windows bietet für diesen Zweck den Werkzeugkasten der Gruppenrichtlinien (GPOs oder Group Policy Object) an. Mit den Gruppenrichtlinien können Systemadministratoren den ‘deploy’ einer Software durchführen, sie also verteilt installieren, die einzelnen Nutzerkonten und lokalen Arbeitsplatzrechner verwalten und bei Bedarf Software wieder deinstallieren.

Über die Gruppenrichtlinien können drei verschiedene Arten von Paketen installiert werden. (#01)
Über die Gruppenrichtlinien können drei verschiedene Arten von Paketen installiert werden. (#01)

1. Schritt: Mit Gruppenrichtlinien Software verteilen und Nutzerkonten verwalten

Über die Gruppenrichtlinien können drei verschiedene Arten von Paketen installiert werden. Dabei handelt es sich um Windows-Installationspakete mit der Dateiendung .MSI, Patch-Dateien, deren Endung .MSP lautet, und Transformationsdateien mit der Endung .MST. Außerdem können Admins bei Bedarf mit entsprechenden Tools selbst .MSI-Dateien erzeugen.

Gruppenrichtlinien erlauben es, Software nicht nur auf verschiedene Rechner zu verteilen, sondern auch das Rollout an verschiedene Nutzer unabhängig von dem Rechner, an dem diese arbeiten. Das ist vor allem dann sinnvoll, wenn ein und derselbe User an der jeweiligen Arbeitsstation immer dieselbe Arbeitsumgebung vorfinden muss. Allerdings ist diese Art der Verteilung oder der so genannte ‘deploy’ der Software eine komplexe Angelegenheit. Denn die Systemadministratoren müssen dabei die Anzahl der der genutzten Lizenzen überwachen, denn eine Gruppenrichtlinie mit einer größeren Anzahl von Nutzern erzeugt möglicherweise mehr Installationen als vorher angenommen.

Obwohl Anwender meistens nur eine Software-Version zur Zeit benutzen, wird diese Software auf jeden Rechner gespielt, an dem ein einzelner Anwender arbeitet.

Systemadministratoren nutzen den Active Directory. (#02)
Systemadministratoren nutzen den Active Directory. (#02)

2. Schritt: Eine neue Gruppenrichtlinie erzeugen

Um das zu tun, nutzten Systemadministratoren den Active Directory. Dazu erzeugen sie als erstes eine entsprechende Gruppenrichtlinie. Das beginnt mit dem Anlegen eines neuen Pakets im GPO-Editor, und zwar über das Kontextmenü der gewünschten Domain oder Organisationseinheit (OU oder Organizational Unit). Hier nutzt man den Eintrag „Gruppenrichtlinienobjekt hier erstellen und verknüpfen“.

Die neue Richtlinie lässt sich dann im Gruppenrichtlinien-Verwaltungseditor weiter bearbeiten. Man erzeugt dann unter dem Pfad „Computerkonfiguration – Richtlinien – Softwareeinstellungen – Softwareinstallation“ ein neues Softwarepaket. Dann wählt man die gewünschte Datei zur Installation aus. Außerdem muss sichergestellt sein, dass diese Datei auf jeden Fall von allen Rechnern im Netzwerk erreicht werden kann.

Gruppenrichtlinien bieten zwei Möglichkeiten, das Rollout von Software zu veranlassen. Systemadministratoren können sie entweder veröffentlichen oder zuweisen. Bei der Veröffentlichung können Anwender das Programm über die Systemsteuerung selbst hinzufügen. Allerdings eignet sich diese Methode eher für Pakete, auf die Anwender nicht ständig zugreifen müssen. Die andere Möglichkeit besteht darin, Anwendern im Rahmen der GPO Nutzungsmöglichkeiten zuzuweisen.

Wenn sich ein Anwender neu anmeldet, löst die Gruppenrichtlinie die Vorinstallation der Software für den betreffenden Account oder Rechner aus. Die Routine erzeugt zudem eine Verknüpfung im Startmenü oder auf dem Desktop des Rechners. Die Installation wird vollständig ausgeführt, sobald der Anwender zum ersten Mal auf dieses Icon klickt.

Alle neu eingerichteten Programme und Verfahren werden für einen Anwender erst wirksam, wenn der seinen Computer neu startet. Sonst bleiben die ursprünglichen Richtlinien in Funktion.

Programme lassen sich über das Active Directory und die Gruppenrichtlinien auch wieder deinstallieren. (#03)
Programme lassen sich über das Active Directory und die Gruppenrichtlinien auch wieder deinstallieren. (#03)

3. Schritt: Software-Deinstallation im Rahmen von GPOs

Programme lassen sich über das Active Directory und die Gruppenrichtlinien auch wieder deinstallieren. Will man ein Software-Paket automatisch deinstallieren, muss diese Funktion jedoch bereits aktiviert werden, wenn man die Verteilung einrichtet. Sobald man einen Computer oder einen Nutzer innerhalb der AD-Struktur so verschiebt, dass die betreffende GPO nicht mehr greift, wird das Paket automatisch entfernt.

Außerdem gibt es eine weitere Möglichkeit. Mit der kann man sofort Software von allen Rechnern innerhalb einer Organisationseinheit deinstallieren. Man klickt mit der rechten Maustaste auf das zu entfernende Software-Paket und wählt im Untermenü „Alle Aufgaben“ die Funktion „Entfernen“ aus. Will man die Software nicht deinstallieren, kann man auch ihre Verteilung per Gruppenrichtlinie einschränken. Die Software bleibt dann auf den Rechnern, aber neue Nutzer oder Geräte, die in den Wirkbereich der GPO treten, erhalten sie nicht.

Gruppenrichtlinien erlauben Software-Verteilung durch WMI-Filter

Mit Hilfe von Gruppenrichtlinien lässt sich Software weiterhin nur für bestimmte Windows-Versionen oder nur auf 64-Bit-Maschinen einrichten. Dazu muss man einen WMI-Filter (WMI steht für Windows Management Instrumentation oder Windows-Verwaltungsinstrument) einrichten. Über WMI kann lesend oder schreibend, lokal oder vernetzt auf so gut wie alle Einstellungen eines Windows-Computers zugegriffen werden. Daher ist WMI unter Windows eine der wichtigsten Schnittstellen für die Administration und Fernwartung von Workstations und Servern. Der WMI-Filter schränkt dann die Wirkung der Gruppenrichtlinie auf bestimmte Zielcomputer ein.

Zum Einrichten eines Filters ist zunächst eine WQL-Abfrage erforderlich. WQL ist eine SQL-ähnliche Programmsprache. Die Abkürzung steht für „Windows Management Instrumentation Query Language“. Um einen WMI-Filter zu erzeugen, ruft man in der GPO-Verwaltungskonsole mi der rechten Maustaste den WMI-Filter für die Domain auf, in der man ihn anlegen möchte. Im Kontextmenü wählt man dann die Funktion „Eintrag“ aus. Im nun erscheinenden Dialogfeld trägt man einen Namen und eine Beschreibung des Filters ein und wählt dann „Hinzufügen“ aus.

Eine typische Abfrage könnte dann so aussehen:
32-Bit oder 64-Bit:

  • SELECT * FROM Win32_OperatingSystem WHERE OSArchitecture = ’32-Bit’
  • SELECT * FROM Win32_OperatingSystem WHERE OSArchitecture = ’64-Bit’

Dieser Beispielfilter sorgt nun dafür, dass alle Computer einer Organisationseinheit, die über ein 64-Bit-Betriebssystem verfügen, eine bestimmte Software erhalten.

Bildnachweis:©Shutterstock-Titelbild: TechnoVectors -#01: KAMONRAT -#02: Gorodenkoff -#03: Pixza Studio