martedì 26 marzo 2024

Windows Server 2022: Installare software tramite i Criteri di gruppo (GPO)

L'area delle impostazioni del software nei Criteri di gruppo consente di installare il software sui sistemi a cui è applicata la GPO. Si può utilizzare per distribuire il software a un particolare gruppo di sistemi o a tutti i sistemi nel loro complesso.

Per l'installazione di un software tramite GPO bisogna predisporre il file di installazione in formato MSI (Microsoft Installer). Non tutti i software sono disponibili in tale formato e non tutti gli MSI supportano l'installazione tramite GPO. Il software che si desidera distribuire, inoltre, deve trovarsi in una cartella condivisa accessibile ai sistemi a cui si desidera distribuirlo. I sistemi devono avere il permesso di accedere alla cartella condivisa e al suo contenuto.

Di seguito verrà mostrato come installare, tramite i criteri di gruppo, il browser Google Chrome su tutti i computer appartenenti al dominio.


Predisposizione file di installazione del software

Come cartella condivisa utilizzeremo la cartella \\SERVERDC2\Cartella condivisa creata nell'articolo Windows Server 2022: Mappare automaticamente una cartella condivisa.
Prima di proseguire, dobbiamo rendere la cartella accessibile dai computer del dominio. Cliccare, con il tasto destro del mouse, sulla cartella condivisa e selezionare Proprietà dal menu contestuale. Selezionare la scheda Condivisione quindi cliccare sul pulsante Condivisione avanzata.
Cartella condivisa, Condivisione avanzata
FIG 1 - Cartella condivisa, Condivisione avanzata

Cliccare sul pulsante Autorizzazioni.
Cartella condivisa, Autorizzazioni
FIG 2 - Cartella condivisa, Autorizzazioni

Selezionare il gruppo Domain Users e assicurarsi che sia impostato il controllo completo quindi cliccare sul pulsante Aggiungi.
Aggiungi autorizzazioni per cartella condivisa
FIG 3 - Aggiungi autorizzazioni per cartella condivisa

Nella casella Immettere i nomi degli oggetti da selezionare, digitare Computer del dominio quindi cliccare su Controlla nomi per verificare che il nome immesso sia corretto e successivamente su OK.
Seleziona Utenti, Computer, Account servizio o Gruppi
FIG 4 - Seleziona Utenti, Computer, Account servizio o Gruppi

Selezionare il gruppo Computer del dominio e fornire anche a tale gruppo il controllo completo ponendo il flag sulla relativa casella. Cliccare su OK quindi nuovamente su OK nelle finestra Condivisione avanzata e in fine su Chiudi.
Computer del dominio, controllo completo su cartella condivisa
FIG 5 - Computer del dominio, controllo completo su cartella condivisa


Scaricare la versione di Chrome per le aziende dal link https://cloud.google.com/chrome-enterprise/browser/download. Tale versione supporta l'installazione tramite Criteri di gruppo. Disponendo di computer con sistema operativo a 64 bit scaricare Chrome per Windows a 64 bit.
Google Chrome per le aziende
FIG 6 - Google Chrome per le aziende

Copiare il file zip scaricato precedentemente nella cartella \\SERVERDC2\Cartella condivisaScompattare il file contenente i file di installazione di Chrome all'interno della cartella (cliccarci su con il tasto destro del mouse e selezionare estrai tutto e successivamente sul pulsante Estrai). 
Estrai file ZIP
FIG 7 - Estrai file ZIP

Creazione Filtri WMI

In un ambiente operativo reale è improbabile trovare uniformità assoluta tra le macchine appartenenti al dominio poiché possono essere presenti diversi modelli di computer, versioni di sistema operativo e architetture hardware. Le configurazioni hardware e software dei computer possono variare notevolmente pertanto risulta essenziale condurre una verifica accurata della compatibilità del software prima di procedere con l'installazione tramite le GPO (Group Policy Objects). Inoltre, è fondamentale adattare le procedure di distribuzione del software in base alle specifiche di ciascun sistema e questo può essere eseguito tramite i filtri WMI (Windows Management Instrumentation).  

I filtri WMI consentono di rilevare dinamicamente l'ambito degli oggetti Group Policy (GPO) in base agli attributi del computer target. In questo modo è possibile garantire che un criterio di gruppo venga applicato solo ai dispositivi che rispettino le condizioni specificate (ad es. una particolare versione del sistema operativo, o una determinata configurazione hardware). In teoria sarebbe possibile creare un gruppo di appartenenza separato per ogni GPO contenente computer con le medesime caratteristiche ma ciò comporterebbe un maggior lavoro di gestione dei gruppi. Meglio lasciare che i filtri WMI assicurino automaticamente l'applicazione del criterio di gruppo corretto ad ogni dispositivo. I filtri WMI vengono creati tramite l'utilizzo del linguaggio SQL (Structured Query Language): un linguaggio standardizzato per database basati sul modello relazionale (RDBMS).
Ad esempio per filtrare i computer con sistema operativo Windows 11 il filtro sarà il seguente
SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.0.2%" AND ProductType="1"

I valori di ProductType possono essere i seguenti
1 = Windows per PC/Workstation
2 = Windows Server (Domain Controller)
3 = Windows Server (Non Domain Controller)

I valori di Version possono essere
5.1    = Windows XP
5.2    = Windows Server 2003
5.2.3 = Windows Server 2003 R2
6.0    = Windows Vista e Windows Server 2008
6.1    = Windows 7 e Windows Server 2008 R2
6.2    = Windows 8 e Windows Server 2012
6.3    = Windows 8.1 e Windows Server 2012 R2
10.0.1  = Windows 10 e Windows Server 2016 E 2019
10.0.2  = Windows 11 e Windows Server 2022

Dal seguente link è possibile scaricare esempi di filtri WMI

Nei seguenti passaggi verrà mostrato come creare il filtro per installare il software solo su workstation con sistema operativo Windows 11.

Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
Server Manager
FIG 8 - Server Manager

Cliccare, con il tasto destro del mouse, su Filtri WMI e selezionare Nuovo.
Nuovo filtro WMI
FIG 9 - Nuovo filtro WMI

Nel campo Nome inserire il nome da assegnare al filtro (ad es. Windows 11). Nel campo Descrizione è possibile inserire una breve descrizione del filtro. Cliccare sul pulsante Aggiungi.
Nuovo filtro WMI, Nome
FIG 10 - Nuovo filtro WMI, Nome

Nella casella Query digitare 
SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.0.2%" AND ProductType="1"
quindi cliccare su OK.
Query WMI
FIG 11 - Query WMI

Cliccare su Salva.
Nuovo filtro WMI, Salva
FIG 12 -  Nuovo filtro WMI, Salva

Adesso possiamo procedere alla creazione del criterio di gruppo.

Creazione Criterio di gruppo per l'installazione di Google Chrome

Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
Server Manager
FIG 13 - Server Manager

Cliccare, con il tasto destro del mouse, sul dominio mycompany.local e selezionare Crea un oggetto Criteri di gruppo in questo domino e crea qui un collegamento
Crea un oggetto Criteri di gruppo
FIG 14 - Crea un oggetto Criteri di gruppo


Assegnare il nome al nuovo criterio di gruppo (ad es. GPO_ChromeSetup) e cliccare su OK.
Nome nuovo oggetto di Criteri di gruppo
FIG 15 - Nome nuovo oggetto di Criteri di gruppo

Cliccare con il tasto destro del mouse sul criterio di gruppo appena creato e selezionare Modifica. Nella finestra Editor Gestione Criteri di gruppo posizionarsi su Configurazione computer->Criteri->Impostazioni del software->Installazione software. Sul lato destro della finestra cliccare con il tasto destro in uno spazio vuoto. Dal menu contestuale selezionare Nuovo quindi Pacchetto.
GPO Installazione software, Nuovo Pacchetto
FIG 16  - GPO Installazione software, Nuovo Pacchetto

Digitare il percorso della cartella condivisa \\ServerDC2\Cartella condivisa\GoogleChromeEnterpriseBundle64\Installers quindi il selezionare il file MSI da installare GoogleChromeStandaloneEnterprise64 e cliccare su Apri.
Selezione file MSI
FIG 17 - Selezione file MSI

Nella schermata successiva selezionare l'opzione Assegnata per distribuire l'applicazione senza alcuna modifica e cliccare su OK.
Distribuisci applicazione
FIG 18 - Distribuisci applicazione

Chiudere la finestra Editor Gestione Criteri di gruppo. Selezionare nuovamente il criterio di gruppo appena creato. Nella sezione Filtri di sicurezza cliccare sul pulsante Aggiungi.
GPO Filtri di sicurezza
FIG 19 - GPO Filtri di sicurezza

Nella casella Immettere i nomi degli oggetti da selezionare, digitare Computer del dominio quindi cliccare su Controlla nomi per verificare che il nome immesso sia corretto e successivamente su OK.
Filtri di sicurezza, Computer del dominio
FIG 20 - Filtri di sicurezza, Computer del dominio

Nella sezione Filtri WMI selezionare il filtro creato in precedenza (chiamato Windows 11).
Selezione Filtro WMI
FIG 21 - Selezione Filtro WMI

Nella finestra di dialogo successiva, confermare la modifica cliccando su Si.
Conferma applicazione filtro WMI
FIG 22 - Conferma applicazione filtro WMI


Eseguiamo il logon su una postazione del dominio con sistema operativo Windows 11 e noteremo che Google Chrome è stato installato.
Chrome installato tramite GPO su Windows 11
FIG 23 - Chrome installato tramite GPO su Windows 11






Nessun commento:

Posta un commento

I messaggi sono soggetti a moderazione da parte dell'amministratore prima della loro pubblicazione.