Software verteilen per GPO: zuweisen, veröffentlichen, deinstallieren

    Zentrale Verteiling von SoftwareEine der wichtigsten Aufgaben der System­ver­waltung ist die Installation, Aktualisierung und das Entfernen von Applikationen. Während in kleinen Umgebungen die "Turnschuh-Admini­stra­tion" noch möglich ist, stößt sie bei einer größeren Zahl von Clients schnell an ihre Grenzen. Microsofts Bordmittel für diesen Zweck sind die Gruppenrichtlinien.*

    Beinahe jede Software kann verteilt werden. Über GPOs können Sie drei Arten von Paketen installieren: Windows-Installationspakete mit der Dateiendung .MSI, Transformationsdateien mit der Dateiendung .MST und Patch-Dateien, die auf .MSP enden. Heutzutage liefern viele Hersteller ihre Software in einem solchen Format aus. Zudem können Sie mit geeigneten Tools selbst MSI-Dateien erstellen, falls Sie Software verteilen möchten, die diese Voraussetzung nicht erfüllt.

    Flexibler MS Installer

    Die Technologie des Microsoft Installer bietet etliche Vorteile. Zum einen können Sie die Tabellen der Installationsdateien mit verschiedenen Programmen bearbeiten. Zum anderen sind die Installations­routinen in der Lage, fehlende Installations­komponenten zu ersetzen und zu ergänzen bzw. bieten sie die Möglichkeit, eine fehlerhafte Installation insgesamt zurückzurollen.

    Beachten Sie, dass die Softwareverteilung auf Basis des Active Directory nicht nur an eine Gruppe von Computern, sondern auch an Benutzer erfolgen kann.

    An User oder Computer verteilen?

    Software an bestimmte Nutzer zu verteilen (im Gegensatz zu Computern) macht vor allem dann Sinn, wenn ein und derselbe User an mehreren Rechnern arbeitet und dafür immer wieder die gleiche Software benötigt. Allerdings müssen Administratoren hier die Anzahl der installierten Lizenzen im Auge behalten! Schließlich kann eine Gruppenrichtlinie mit einer bestimmten Anzahl Nutzer möglicherweise mehr Installationen hervorbringen, als ursprünglich gedacht.

    Die Anwender nutzen zwar meistens nur eine Version gleichzeitig. Die Software wird aber dennoch auf jedem einzelnen Rechner ausgerollt, auf dem dieser Nutzer sich anmeldet. Für den Administrator ist es daher übersichtlicher, Programme an eine bestimmte Anzahl Computer in einer Gruppe zu verteilen. So bleibt die Anzahl der Installationen im Blick. Diese Variante der Richtlinie dürfte auch die meisten Fälle in Unternehmen abdecken, da die meisten Nutzer normalerweise einen festen Arbeitsplatzrechner haben.

    3 Schritte zur Software-Installation

    Um mit dem Active Directory Software an bestimmte Organisationseinheiten (diese können zum Beispiel Standorte oder Abteilungen abbilden) zu verteilen, brauchen Sie als erstes eine entsprechende Gruppenrichtlinie. Diese können Sie in der Gruppenrichtlinienverwaltung erzeugen.

    Die Verteilung einer Software beginnt damit, dass man im GPO-Editor ein neues Paket anlegt.

    • Legen Sie die Richtlinie über das Kontextmenü der gewünschten Domain oder OU an, und zwar über den Eintrag Gruppenrichtlinienobjekt hier erstellen und verknüpfen.
    • Als nächstes bearbeiten Sie die neu erstellte Richtlinie im Gruppenrichtlinienverwaltungs-Editor. Erzeugen Sie dort unter dem Pfad Computerkonfiguration => Richtlinien => Softwareeinstellungen => Softwareinstallation ein neues Softwarepaket. Wählen Sie aus dem Dialogfenster die gewünschte Installationsdatei aus. Sie muss auf jeden Fall von allen Rechnern im Netzwerk erreichbar sein, die das Programm erhalten sollen. Achten Sie deshalb darauf, den Pfad zu der Datei als UNC-Pfad in der Form \\Server\Freigabe einzutragen.
    • Anschließend können Sie auswählen, ob Sie die Software veröffentlichen oder nur zuweisen wollen. Wie wählen hier für unser Beispiel hier den Eintrag Zugewiesen.

    Wenn wir über Softwareverteilung über Gruppenrichtlinien sprechen, dann sind damit also mehrere Verfahren gemeint. Sie können als Administrator Software einerseits veröffentlichen und zum anderen zuweisen.

    Veröffentlichen versus zuweisen

    Wenn Sie eine Software veröffentlichen, wird diese nicht direkt an die User ausgeliefert. Stattdessen können die Anwender die Software über die Windows-Systemsteuerung selbständig hinzufügen. Diese Methode eignet sich daher eher für Installationspakete, auf die Anwender nicht in ihrer täglichen Arbeit angewiesen sind. Sie steht nicht zur Verfügung, wenn man Programme über den Zweig Computerkonfiguration verteilt.

    GPOs bieten zwei Verfahren zur zentralen Installation von Software.

    Die Option Zuweisung ist dagegen direkter. Loggt ein Anwender sich neu ein, greift die Gruppenrichtlinie und vorinstalliert die Software für den betroffenen Rechner bzw. Account. Zusätzlich hinterlegt die Routine eine Verknüpfung beispielsweise im Startmenü oder auf dem Desktop. Die Anwendung wird erst vollständig installiert, wenn der Anwender zum ersten Mal auf dieses Icon klickt.

    Bitte beachten Sie bei allen Verfahren, dass Gruppenrichtlinien erst für einen Anwender wirksam werden, wenn dieser seinen Computer neu startet. Tut er das nicht, kommen nur die bisher verwendeten Richtlinien zur Anwendung.

    Programme entfernen

    Sie können Software über das Active Directory und Gruppenrichtlinien auch wieder entfernen. Diese Funktion finden Sie direkt in den Paketeinstellungen: Es handelt sich dabei um die Option Anwendung deinstallieren, wenn Sie außerhalb des Verwaltungsbereichs liegt.

    Falls das GPO nicht mehr auf den User oder Computer zutrifft, kann das Paket automatisch deinstalliert werden.

    Sie muss bereits aktiviert werden, wenn Sie die Verteilung konfigurieren. Den Haken nachträglich zu setzen, funktioniert nicht in allen Fällen. Wenn Sie nun einen Computer oder User innerhalb der AD-Struktur verschieben, so dass die erstellte Richtlinie nicht mehr greift, wird das Paket automatisch entfernt.

    Darüber hinaus gibt es noch eine weitere Möglichkeit: Die sofortige Deinstallation von Software auf allen Rechnern innerhalb einer Organisationseinheit. Klicken Sie mit der rechten Maustaste auf das Softwarepaket, das Sie deinstallieren möchten und wählen Sie den Eintrag Entfernen aus dem Untermenü Alle Aufgaben.

    Verteilte Software-Pakete lassen sich auch interaktiv entfernen.

    Das folgende Menü bietet Ihnen zwei Optionen: die sofortige Deinstallation oder einen Verteilungsstopp. Letzterer belässt die bestehende Installationen der Software auf den Rechnern. Treten allerdings neue Rechner in den Wirkbereich der Gruppenrichtlinie ein, dann erhalten sie diese Software nicht.

    Verteilerkreis einschränken mit WMI-Filter

    Das vorangegangene Kapitel zeigt, wie einfach es ist mit dem Active Directory Software zu verteilen. Allerdings ist die angewendete Methode noch relativ "grobschlächtig": Wir haben einfach einer Organisationseinheit (OU) eine Gruppenrichtlinie (GPO) zugewiesen und damit auf allen enthaltenen Rechnern die Software installiert.

    Doch was ist, wenn wir Software nur für bestimmte Windows-Versionen oder nur auf 64-Bit-Maschinen installieren wollen? Auch für diesen Fall bieten Gruppenrichtlinien ein Bordmittel: Die sogenannten WMI-Filter (WMI = Windows Management Instrumentation bzw. Windows-Verwaltungsinstrumentation). Sie schränken die Wirkung der Gruppenrichtlinie auf Zielcomputer mit bestimmten Attributen ein.

    Beim Erstellen eines neuen WMI-Filters muss man eine WQL-Abfrage formulieren.

    WMI-Filter enthalten Abfragen, die in der SQL-ähnlichen Sprache WMI Query Language (WQL) formuliert werden können. Gehen Sie wie folgt vor:

    • Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole mit der rechten Maustaste auf WMI-Filter innerhalb der Domäne, für die Sie ihn anlegen möchten. Wählen Sie dann den Eintrag Neu aus dem Kontextmenü aus.
    • Geben Sie im nächsten Dialogfeld einen Namen und eine Beschreibung für den Filter ein und klicken Sie anschließend auf Hinzufügen.
    • Als nächstes müssen Sie den Namespace auswählen. Dies ist bis auf einige wenige Ausnahmen "root\CIMV2".
    • Jetzt benötigen Sie nur noch die eigentliche Abfrage.

    Einige typische Abfragen sind:

    • 32-Bit oder 64-Bit:
      SELECT * FROM Win32_OperatingSystem WHERE OSArchitecture = '32-Bit'
      SELECT * FROM Win32_OperatingSystem WHERE OSArchitecture = '64-Bit'
    • Deutsches Betriebssystem:
      SELECT * FROM Win32_OperatingSystem WHERE CountryCode = '49'
    • Windows Vista oder höher:
      SELECT * FROM Win32_OperatingSystem WHERE BuildNumber > '5000'
    • Workstation (Wert 1), Domain Controller (2) oder Server (3):
      SELECT * FROM WIN32_OperatingSystem WHERE ProductType=1
    • Kombinierte Abfragen wie "Workstations mit deutschem Betriebssystem":
      SELECT * FROM Win32_OperatingSystem WHERE CountryCode = '49' AND ProductType=1

    In unserem Beispiel prüfen wir, ob die Zielcomputer ein 64-Bit-Betriebssystem besitzen. Dafür weisen wir den oben erwähnten WMI-Filter der Gruppenrichtlinie zu. Das Dialogfeld erlaubt allerdings genau null oder einen WMI-Filter. Komplexe Bedingungen müssen Sie daher vollständig in einer Abfrage unterbringen. Unser Beispielfilter bewirkt folgendes: Alle Computer in der Organisationseinheit, die über ein 64-Bit-Betriebssystemn verfügen, erhalten die zugewiesene Software.

    *Dieser Text ist ein bezahlter Beitrag der Aagon GmbH.