Instalacion de Acrobat DC via GPO
 

Una de las cuestiones que más me ha facilitado la administración en redes pequeñas basadas en dominios de Windows, fue la instalación y/o actualización de software via GPO (Group Policies Objects)

Si bien puede decirse que administrar el ciclo de vida de Software via Active Directory es rudimentario, reitero, en redes pequeñas termina por ahorrarle mucho tiempo a los administradores y a los usuarios a la vez que mantiene el control de las aplicaciones, entenidendo obviamente que los usuarios NO SON ADMINISTRADORES de los equipos que usan.

Introduccion

El primer problema que se presente en del deploy de aplicaciones es que al mantener a los usuarios como tales, y no como administradores, no tienen permisos de instalación de aplicaciones, por lo que recurrimos a instalaciones basadas en GPOs y controladas por Active Directory.
Esto nos obliga a disponer de paquetes MSI (Microsoft Installation) para poder hacer el deploy via AD y que la instalación se ejecute con privilegios de administrador a pesar que el usuario logueado no tenga dichos privilegios

Ahora bien, no siempre tenemos los paquetes MSI disponibles, por lo que debemos recurrir a un grupo de herramientas y algo de know how para obtenerlos.

Descarga de Adobe DC y Extracción del MSI

Siempre ha sido un pequeño dolor de cabeza la generación u obtención de paquetes MSI de varios productores (incluyendo MSFT), quienes, vaya uno a saber porque, se niegan a facilitarnos la vida poniendo a disposición paquetes MSI o bien lo hace luego de intrincados caminos de autorizaciones como si estuvieran por darnos la fórmula de Coca-Cola

Adobe no es la excepción y su control de foros (lease con 1 o 2 erres según el gusto) deja bastante que desear, encontrarás alli numerosos participantes que te dicen que el MSI ha sido discontinuado, que no es posible obtener un MSI desde el EXE, que Adobe no proporciona MSIs, etc. etc.

La realidad es otra, y si sabés buscar, Adobe mismo te indica como extraer el MSI ejecutando el EXE con ciertos parámetros

NombreArchivoAdobe.exe -sfx_nu extraerá los archivos de instalación

Ahora bien, yo utilizo otro método que me ha dado resultado largo tiempo y me evita tener que buscar en cada productor cual es el parámetro para extracción de la información, y es la utilización de la herramienta 7-ZIP. El compresor 7-Zip, es gratuito, comprime y descomprime en varios formatos, .zip, .rar, .gz., .7z, etc, y ..... se proporciona desde la página del productor en formato MSI para instalación (Gracias gente de 7-ZIP !!!!).
Con el 7-zip instalado, alcanza con seleccionar y abrir el archivo EXE de adobe para que podamos extraer los instaladores sin problemas, entre ellos el paquete MSI

La extracción debe ser completa, es decir, debemos incluir el archivo MSI y todos los demás archivos, ya que el MSI puede necesitarlos (y no ocupan mucho lugar...). Como en cualquier caso de deployment via GPOs, dichos archivos deben colocarse en un share al que los clientes (usuarios) tengan acceso de lectura (solo de lectura!!!!). En nuestro caso utilizaremos un area destinada ya para paquetes MSI en el volumen F: de un server 2012 que fue compartido solo lectura como SDP

Configuración de la GPO

En este caso, estamos utilizando un server en Español (no es de mi agrado, prefiero el sistema operativo de servidores en Inglés,..pero es lo que hay....), e iniciaremos la Microsoft Console para administración de políticas de grupo, o sea la GPMC.MSC. Para ello es suficiente con hacer click en "inicio", con el botón derecho del mouse - es windows server 2012 - y seleccionar "Ejecutar" (o run si tu versión está en inglés)

En la caja de ejecutar o run, escribimos GPMC.MSC y presionamos ENTER, luego que se inicie la GPMC, procederemos a crear un nuevo objeto de directiva de grupo al que llamaremos GPO-SoftwareDisponible o algo similar. (En nustra imagen el objeto de directiva se denomina GPO-U-SoftwareDisponible y ya está asociado a una OU)

Dentro del manejo de directivas de grupo, pondremos el software a disposición de los usuarios, para ello buscaremos en la rama usuarios, directivas, configuración de software, instalación de software, para allí hacer click con el botón derecho del mouse y seleccionar la opción "Nuevo Paquete"

Los pasos siguientes, son muy sencillos, deberemos buscar el paquete MSI a través de la rute UNC que accede al share (atención aquí, debe indicarse la ruta del share al que tienen acceso de lectura los usuarios), y seleccionar el paquete MSI a instalar.

Hecho esto, la consola leerá el MSI y traerá la información para que customicemos la instalación. Esta forma de instalación, a través de la directiva de nivel de usuario, Anuncia o Publica el paquete para que el usuario pueda instalarlo en el momento que quiera, no debe confundirse con la directiva de nivel de PC que fuerza la instalación en el inicio de la PC, dicho esto, el usuario debe buscar el paquete dentro del software anunciado luego para poderlo instalar.

Pero no nos deviémos... selecionado el paquete MSI, y leído por la consola deberemos seleccionar el tipo de implementación a realizar, yo normalmente selecciono la opción Avanzada pues me permite tomar algunas deciciones adicinales.

El paso siguiente, será customizar la información de propiedades de acuerdo a categoría, información que queremos que el usuario vea para la selección del paquete, etc.

Finalmente, guardamos esta GPO y la asociamos a la OU donde se encuentren las cuentas de usuarios a los que queremos que esta GPO aplique. Si hicimos las cosas bien, cuando el usuario se loguee, digamos en un Windows 7 (debo ser sincero, las interfaces de 8, 8.1 y 10 me enferman...), podrá recurrir al Panel de Control, seleccionar la opción "Obtener Programas"..

Y debería ver una pantalla similar a la siguiente (obviamente aqui hemos publicada cantidades adicionales de software para el usuario)

Solo le resta al usuario entonces hacer doble-click sobre la aplicación que desea instalar, para que el instalador se ejecute en su sesión pero con privilegios de administrador.

Conclusiones

El deployment via GPOs de ACtive Directory puede no ser una herramienta adaptable a grandes infraestructura y adolece de muchos controles, sin embargo es una herramienta formidable para pequeñas redes y permite mantener el control del ciclo de vida de software

Es real que muchos productos no ponen a disposición de los administradores instaladores en formato MSI, sin embargo si se rastrean los mismos pueden en la mayoría de los casos ser extraidos ya sea con parámetros contral el setup del productor o bien utilizando herramientas adicionales (como en este caso el 7-ZIP)

Algunas veces deberemos modificar el MSI para que ejecute con privilegios de administrador, pero eso es caldo para otra sopa.

En fin... el deploy de aplicaciones via GPOs de AD no es la felicidad, y tiene sus complicaciones (que cosa no las tiene?), pero requiere mínima infraestructura y se adapta perfectamente a pequeñas redes... dicho esto podría resumir con que hacer esta nota, y distribuir Acrobar DC a 284 pcs... me tomó menos de 1 hora....

 

 

Volver a lista de Notas