Software-Distribution mit GPO: Probleme und Lösungen

Windows bietet für diesen Zweck den Werkzeugkasten der Gruppenrichtlinien (GPOs oder Group Policy Object) an. Mit den Gruppenrichtlinien können Systemadministratoren Software verteilt installieren, die einzelnen Nutzerkonten und lokalen Arbeitsplatzrechner verwalten und bei Bedarf Software wieder deinstallieren.

Mit Gruppenrichtlinien Software verteilen und Nutzerkonten verwalten

Über die Gruppenrichtlinien können drei verschiedene Arten von Paketen installiert werden. Dabei handelt es sich um Windows-Installationspakete mit der Dateiendung .MSI, Patch-Dateien, deren Endung .MSP lautet, und Transformationsdateien mit der Endung .MST. Außerdem können Admins bei Bedarf mit entsprechenden Tools selbst .MSI-Dateien erzeugen.

Gruppenrichtlinien erlauben es, Software nicht nur auf verschiedene Rechner zu verteilen, sondern auch an verschiedene Nutzer, unabhängig davon, ob sie an einem oder mehreren Rechnern arbeiten. Das ist vor allem dann sinnvoll, wenn ein und derselbe User an verschiedenen Rechnern arbeitet, dort aber immer dieselbe Arbeitsumgebung vorfinden muss. Allerdings müssen die Systemadministratoren dabei die Anzahl der genutzten Lizenzen überwachen, denn eine Gruppenrichtlinie mit einer größeren Anzahl von Nutzern erzeugt möglicherweise mehr Installationen als vorher angenommen.

Obwohl Anwender meistens nur eine Software-Version zur Zeit benutzen, wird diese Software auf jeden Rechner gespielt, an dem ein einzelner Anwender arbeitet.

Eine neue Gruppenrichtlinie erzeugen

Um das zu tun, nutzten Systemadministratoren den Active Directory. Dazu erzeugen sie als erstes eine entsprechende Gruppenrichtlinie. Das beginnt mit dem Anlegen eines neuen Pakets im GPO-Editor, und zwar über das Kontextmenü der gewünschten Domain oder Organisationseinheit (OU oder Organizational Unit). Hier nutzt man den Eintrag „Gruppenrichtlinienobjekt hier erstellen und verknüpfen“.

Die neue Richtlinie lässt sich dann im Gruppenrichtlinien-Verwaltungseditor weiter bearbeiten. Man erzeugt dann unter dem Pfad „Computerkonfiguration – Richtlinien – Softwareeinstellungen – Softwareinstallation“ ein neues Softwarepaket. Dann wählt man die gewünschte Datei zur Installation aus. Außerdem muss sichergestellt sein, dass diese Datei auf jeden Fall von allen Rechnern im Netzwerk erreicht werden kann.

Gruppenrichtlinien bieten zwei Möglichkeiten, Software zu verteilen. Systemadministratoren können sie entweder veröffentlichen oder zuweisen. Wird eine Software veröffentlicht, dann können Anwender das Programm über die Systemsteuerung selbst hinzufügen. Allerdings eignet sich diese Methode eher für Pakete, auf die Anwender nicht ständig zugreifen müssen. Die andere Möglichkeit besteht darin, Anwendern im Rahmen der GPO Nutzungsmöglichkeiten zuzuweisen.

Wenn sich ein Anwender neu anmeldet, löst die Gruppenrichtlinie die Vorinstallation der Software für den betreffenden Account oder Rechner aus. Die Routine erzeugt zudem eine Verknüpfung im Startmenü oder auf dem Desktop des Rechners. Die Installation wird vollständig ausgeführt, sobald der Anwender zum ersten Mal auf dieses Icon klickt.

Alle neu eingerichteten Programme und Verfahren werden für einen Anwender erst wirksam, wenn der seinen Computer neu startet. Sonst bleiben die ursprünglichen Richtlinien in Funktion.

Video: Netzlaufwerke per Gruppenrichtlinie (GPO) verteilen

Software-Deinstallation im Rahmen von GPOs

Programme lassen sich über das Active Directory und die Gruppenrichtlinien auch wieder deinstallieren. Will man ein Software-Paket automatisch deinstallieren, muss diese Funktion jedoch bereits aktiviert werden, wenn man die Verteilung einrichtet. Sobald man einen Computer oder einen Nutzer innerhalb der AD-Struktur so verschiebt, dass die betreffende GPO nicht mehr greift, wird das Paket automatisch entfernt.

Außerdem gibt es eine weitere Möglichkeit. Mit der kann man sofort Software von allen Rechnern innerhalb einer Organisationseinheit deinstallieren. Man klickt mit der rechten Maustaste auf das zu entfernende Software-Paket und wählt im Untermenü „Alle Aufgaben“ die Funktion „Entfernen“ aus. Will man die Software nicht deinstallieren, kann man auch ihre Verteilung per Gruppenrichtlinie einschränken. Die Software bleibt dann auf den Rechnern, aber neue Nutzer oder Geräte, die in den Wirkbereich der GPO treten, erhalten sie nicht.

Gruppenrichtlinien erlauben Software-Verteilung durch WMI-Filter

Mit Hilfe von Gruppenrichtlinien lässt sich Software weiterhin auch nur für bestimmte Windows-Versionen oder nur auf 64-Bit-Maschinen einrichten. Über WMI kann lesend oder schreibend, lokal oder vernetzt auf so gut wie alle Einstellungen eines Windows-Computers zugegriffen werden. Daher ist WMI unter Windows eine der wichtigsten Schnittstellen für die Administration und Fernwartung von Workstations und Servern. Der WMI-Filter schränkt dann die Wirkung der Gruppenrichtlinie auf bestimmte Zielcomputer ein.

Zum Einrichten eines Filters ist zunächst eine WQL-Abfrage erforderlich. WQL ist eine SQL-ähnliche Programmsprache. Die Abkürzung steht für „Windows Management Instrumentation Query Language“. Um einen WMI-Filter zu erzeugen, ruft man in der GPO-Verwaltungskonsole mi der rechten Maustaste den WMI-Filter für die Domain auf, in der man ihn anlegen möchte. Im Kontextmenü wählt man dann die Funktion „Eintrag“ aus. Im nun erscheinenden Dialogfeld trägt man einen Namen und eine Beschreibung des Filters ein und wählt dann „Hinzufügen“ aus.

Eine typische Abfrage könnte dann so aussehen: 32-Bit oder 64-Bit:

• SELECT * FROM Win32_OperatingSystem WHERE OSArchitecture = ’32-Bit’
• SELECT * FROM Win32_OperatingSystem WHERE OSArchitecture = ’64-Bit’

Dieser Beispielfilter sorgt nun dafür, dass alle Computer einer Organisationseinheit, die über ein 64-Bit-Betriebssystem verfügen, eine bestimmte Software erhalten.

BIldnachweis:©Shutterstock-Titelbild:  Pixza Studio -#01: KAMONRAT  -#02: TechnoVectors