Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Instalar software remotamente mediante GPO




¿Qué ocurre cuando queremos instalar el Office en una red gigante de ordenadores? Podemos instalar software de forma remota en redes windows mediante directivas de grupo (GPO)







Alternativas: Microsoft Systems Management Server (SMS)

Crear un punto de distribución de software

 Para publicar o asignar un programa, debe crear un punto de distribución en el servidor de publicación:
  • Inicie sesión en el servidor como administrador.
  • Cree una carpeta de red compartida para colocar el paquete de Microsoft Windows Installer (archivo .msi) que desea distribuir. 

  • Establezca permisos en el recurso compartido para permitir el acceso al paquete de distribución.

  • Copie o instale el paquete en el punto de distribución. Por ejemplo, para distribuir Microsoft Office XP, ejecute la instalación administrativa (setup.exe /a) para copiar los archivos al punto de distribución. 

Crear un objeto de directiva de grupo (GPO)

Para crear un objeto de directiva de grupo (GPO) y usarlo para distribuir el paquete de software:

  • Inicie el complemento Usuarios y equipos de Active Directory. Para ello, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
  • En el árbol de consola, haga clic con el botón secundario en su dominio y, a continuación, haga clic en Propiedades.
  • Haga clic en la ficha Directiva de grupo (GPO) y, después, haga clic en Nueva.
  • Escriba un nombre para esta nueva directiva (por ejemplo, escriba Distribución de Office XP) y presione Entrar.

  • Haga clic en Propiedades y, después, haga clic en la ficha Seguridad.

  • Desactive la casilla Aplicar directiva de grupos para los grupos de seguridad a los que no desee que se aplique esta directiva.
  • Active la casilla Aplicar directiva de grupos para los grupos a los que desee que se aplique esta directiva.
  • Cuando termine, haga clic en Aceptar.


Asignar un paquete (software)

Para asignar un programa a equipos que ejecutan Windows Server 2003, Windows 2000 o Windows XP Professional, o a usuarios que inician sesión en una de estas estaciones de trabajo, siga estos pasos:

  • Inicie el complemento Usuarios y equipos de Active Directory. Para ello, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.

  • En el árbol de consola, haga clic con el botón secundario en su dominio y, a continuación, haga clic en Propiedades.
  • Haga clic en la pestaña Directiva de grupo, seleccione la directiva que desee y, a continuación, haga clic en Modificar.

  • Bajo Configuración del equipo, expanda Configuración de software.
  • Haga clic con el botón secundario en Instalación de software, seleccione Nuevo y haga clic en Paquete

  • En el cuadro de diálogo Abrir, escriba la ruta completa con la Convención de nomenclatura universal (UNC) del paquete compartido del instalador que desee. Por ejemplo, escriba \\servidorDeArchivos\recursoCompartido\nombreDeArchivo.msi.

  • Importante No utilice el botón Examinar para tener acceso a la ubicación. Asegúrese de que utiliza la ruta de acceso UNC del paquete compartido del instalador.
  • Haga clic en Abrir.
  • Haga clic en Asignado y, después, haga clic en Aceptar. El paquete se muestra en el panel derecho de la ventana Directiva de grupo.

  • Cierre el complemento Directiva de grupo, haga clic en Aceptar y, a continuación, cierre el complemento Usuarios y equipos de Active Directory.

  • Cuando se inicie el equipo cliente, el paquete de software administrado se instalará automáticamente.


Publicar un paquete (software, programa)

 Para publicar un paquete para usuarios de equipos y hacer que está disponible para la instalación desde la lista Agregar o quitar programas en el Panel de control:
  • Inicie el complemento Usuarios y equipos de Active Directory. Para ello, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.

  • En el árbol de consola, haga clic con el botón secundario en su dominio y, a continuación, haga clic en Propiedades.
  • Haga clic en la pestaña Directiva de grupo, seleccione la directiva que desee y, a continuación, haga clic en Modificar.
  • Bajo Configuración de usuario, expanda Configuración de software.
  • Haga clic con el botón secundario en Instalación de software, seleccione Nuevo y haga clic en Paquete.
  • En el cuadro de diálogo Abrir, escriba la ruta completa UNC del paquete compartido del instalador que desee. Por ejemplo, escriba \\servidorDeArchivos\recursoCompartido\nombreDeArchivo.msi.
  • Importante No utilice el botón Examinar para tener acceso a la ubicación. Asegúrese de que utiliza la ruta de acceso UNC del paquete compartido del instalador.
  • Haga clic en Abrir.
  • Haga clic en Publicar y, después, haga clic en Aceptar.
  • El paquete se muestra en el panel derecho de la ventana Directiva de grupo.
  • Cierre el complemento Directiva de grupo, haga clic en Aceptar y cierre el complemento Usuarios y equipos de Active Directory.
  • Pruebe el paquete.

Nota: puesto que existen varias versiones de Microsoft Windows, es posible que los pasos siguientes no sean iguales en su equipo. Si es así, consulte la documentación del producto para completarlos.
  1. Inicie sesión en una estación de trabajo que ejecute Microsoft Windows 2000 Professional o Windows XP Professional utilizando una cuenta en la que publicó el paquete.
  2. En Windows XP, haga clic en Inicio y, a continuación, haga clic en Panel de control.
  3. Haga doble clic en Agregar o quitar programas y, después, haga clic en Agregar nuevos programas.
  4. En la lista Agregar programas desde la red, haga clic en el programa que ha publicado y, a continuación, haga clic en Agregar. Se instalará el programa.
  5. Haga clic en Aceptar y, después, haga clic en Cerrar.

Volver a implementar un paquete

En ocasiones, puede que desee volver a implementar un paquete de software (por ejemplo, si actualiza o cambia el paquete). Para volver a implementar un paquete:

  • Inicie el complemento Usuarios y equipos de Active Directory. Para ello, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
  • En el árbol de consola, haga clic con el botón secundario en su dominio y, a continuación, haga clic en Propiedades.
  • Haga clic en la pestaña Directiva de grupo, haga clic en el objeto de directiva de grupo que utilizó para implementar el paquete y, a continuación, haga clic en Modificar.
  • Expanda el contenedor Configuración de software que incluye el elemento de instalación de software que utilizó para implementar el paquete.
  • Haga clic en el contenedor de instalación de software que contiene el paquete.
  • En el panel derecho de la ventana Directiva de grupo, haga clic con el botón secundario en el programa, seleccione Todas las tareas y, a continuación, haga clic en Volver a implementar la aplicación. Aparecerá el mensaje siguiente: 

  • Si implementa de nuevo esta aplicación, volverá a instalarse en todas las ubicaciones donde ya estaba instalada. ¿Desea continuar? Haga clic en .

  • Cierre el complemento Directiva de grupo, haga clic en Aceptar y cierre el complemento Usuarios y equipos de Active Directory.

Quitar un paquete (Desinstalar un programa)

Para quitar un paquete publicado o asignado:

  • Inicie el complemento Usuarios y equipos de Active Directory. Para ello, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
  • En el árbol de consola, haga clic con el botón secundario en su dominio y, a continuación, haga clic en Propiedades.
  • Haga clic en la pestaña Directiva de grupo, haga clic en el objeto de directiva de grupo que utilizó para implementar el paquete y, a continuación, haga clic en Modificar.
  • Expanda el contenedor Configuración de software que incluye el elemento de instalación de software que utilizó para implementar el paquete.
  • Haga clic en el contenedor de instalación de software que contiene el paquete.

  • En el panel derecho de la ventana Directiva de grupo, haga clic con el botón secundario en el programa, seleccione Todas las tareas y, a continuación, haga clic en Quitar.
  • Realice una de las acciones siguientes:
  • Haga clic en Desinstalar inmediatamente el software de usuarios y equipos y, después, haga clic en Aceptar.
  • Haga clic en Permitir a los usuarios seguir utilizando el software pero impedir nuevas instalaciones y, a continuación, haga clic en Aceptar.

  • Cierre el complemento Directiva de grupo, haga clic en Aceptar y cierre el complemento Usuarios y equipos de Active Directory.

Alternativas

Gpupdate & Secedit


 En primer lugar hay que destacar Gpupdate y Secedit, sin esas herramientas de nada de esto sería posible. Las secuencias de comandos y herramientas mencionadas aquí todos asumen que una de las herramientas existe en el cliente remoto, dependiendo de la versión del sistema operativo. Como se mencionó anteriormente, Secedit se entrega con Windows 2000 y Gpupdate tomó el relevo de Windows XP y superiores, incluso ha sobrevivido el viaje en Longhorn como parece en estos momentos. En las siguientes secuencias de comandos me centraré en Gpupdate - pudimos comprobar la versión OS antes de llamar a cualquiera Gpupdate o Secedit, pero eso se puede añadir más tarde sin mucho trabajo.

Gpupdate.exe reside en el "% windir% \ system32" carpeta por defecto, por lo que no necesita una ruta absoluta a su ubicación en la estación de trabajo remota. La herramienta se puede llamar con un número de diferentes interruptores:

Sintaxis: Gpupdate [/ Target: {Computer | Usuario}] [/ fuerza] [/ Wait: ] [/ Cierre de sesión] [/ Boot] [/ Sync]

En el "hágalo usted mismo" scripts HTML Application (HTA) y Aparatos de administración de Windows (WMI) que se centrará en el funcionamiento Gpupdate sin ningún modificador - o bien con "/ Taget: Computer" (actualizar sólo las políticas relacionadas con la informática) o "/ objetivo: El usuario "(para actualizar sólo las políticas relacionadas con los usuarios). Las otras opciones podrían incluirse con un poco más de trabajo - sino que realmente use "/ cierre de sesión" o "/ boot"? Esto significaría que los usuarios pudieran haber finalizado la sesión si es necesario (instalación de software, la redirección de carpetas, etc) o el ordenador, incluso podría ser reiniciado mientras el usuario está trabajando. ¿Es eso realmente lo que queremos? De todos modos, podríamos también utilizar herramientas como Shutdown.exe para tal fin -, pero mi conjetura es que no va a ser popular por ahí (los usuarios que conoces).

PsExec

El primer método que voy a mencionar es muy fácil de implementar y requiere casi sin capacidades de scripting. ¿Por qué inventar algo que ya se ha inventado, ¿verdad? PsExec es desarrollado por Mark Russinovich, el antiguo propietario de Sysinternals que fue adquirida por Microsoft en julio de 2006. Actualmente se encuentra disponible en la versión 1.73 y se puede descargar desde Microsoft Technet aquí.

PsExec es "Cielo" cuando se habla de ejecución remota, en primer lugar, ya que no requiere ningún agente instalado en los equipos remotos. Debe especificar un nombre de equipo y el comando que se debe ejecutar como conmutadores en un símbolo del sistema - que es básicamente! Detrás de las escenas de un servicio se está instalando 'ad hoc' a distancia y se retira de nuevo cuando se ha ejecutado el comando.

Un pequeño consejo es colocar el archivo PsExec.exe en "% windir%" de la guía, porque entonces no tenemos que especificar la ruta completa a este archivo cuando se ejecuta desde una línea de comandos, etc

Para actualizar las directivas de grupo en el equipo remoto 'nombreDeEquipo' todo lo que tenemos que escribir es el siguiente mandato: "PsExec \ \ nombre de equipo Gpupdate". El usuario ha iniciado sesión en el equipo remoto no veas ninguna actividad, pero en el fondo se Gpupdate 'refresh' tanto las políticas de usuario y de equipo y aplicar cualquier cambio que faltan. Se podría pensar que PsExec debe ejecutarse con el conmutador "-i" (interactiva) para actualizar los usuarios remotos políticas específicas de los usuarios, pero las pruebas muestran que este no es el caso.


FLEX COMMAND

 El script se llama FLEX comandos y se puede descargar aquí. Al abrir el archivo HTA con un editor de texto como el Bloc de notas el código se revela - no hay magia oculta ni nada.

Cuando se inicia FLEX comandos, entra en contacto con el dominio de Active Directory (AD) de la computadora que se ejecuta en. Por lo tanto, debe ser ejecutado por un miembro de dominio - si no, se puede encontrar ninguna de OU, por supuesto.

Seleccione una unidad organizativa, si los objetos ubicados en sub-OU deben ser manejados, y si la herramienta sólo debe manejar máquinas que están "vivos" (respondiendo a las solicitudes de WMI). La última cosa que hacer es insertar la línea de comandos que queremos ejecutar en el equipo local para cada objeto de equipo que se encuentra en la unidad organizativa seleccionada. La cadena de texto "{C}" debe ser incluido, lo que será reemplazado por el nombre del equipo cuando el guión es un bucle a través de los objetos de equipo.

Windows Management Instrumentation (WMI)


PsExec es agradable, pero no tenemos un método "hágalo usted mismo" para que pueda personalizar la solución para adaptarse a mi entorno? Sí, de hecho lo hacemos! WMI es muy potente y muy fácil de manejar después de unas horas de estudio. Con WMI, un escenario de firewall domesticado y derechos administrativos en el lugar, casi todo es posible en un entorno de Windows - incluso a distancia apagar, reiniciar o ejecución de comandos.

He creado otro script para fines de demostración, llamado OU GPUPDATE. Este script HTA lleva algunas técnicas diferentes "bajo el capó" - en realidad es sólo una pequeña modificación de FLEX COMANDO. En primer lugar, busca la estructura de unidades organizativas en AD (la lista desplegable de la parte superior), que ofrece al usuario la opción de golpear objetos de equipo en sub-OU es también, para ejecutar Gpupdate con "/ Target: El usuario" o "/ target: computer "o sin ningún modificador. Sólo los equipos que están "vivos" (responde a las solicitudes de WMI) se verán afectados de forma predeterminada.


RGPREFRESH

RGPREFRESH es una herramienta desarrollada por Darren Mar-Elia. Darren es una directiva de grupo de Microsoft Most Valuable Professional (MVP), ver su sitio web. Su herramienta utiliza WMI detrás de las escenas y ejecuta bien Secedit o Gpupdate según sea necesario en la máquina remota, con la línea de comando interruptores seleccionados por el usuario. Estos interruptores le dan las mismas posibilidades que si estuviera utilizando la herramienta de forma local.

Herramienta de Darren maneja una máquina en el momento, pero combinado con una herramienta como FLEX comando (como "contenedor"), la herramienta puede golpear a toda una unidad organizativa de un ordenador con unos pocos clics ... Tanto RGPREFRESH y PsExec también podrían combinarse con DSQUERY, PARA y otras utilidades de línea de comandos que se ejecutan en más de un host en el momento.



Resolución posibles problemas



Cortafuegos:

Al igual que con cualquier otro tipo de comunicación que se inicia desde la red, los paquetes que intentan actualizar la configuración de directivas en equipos remotos 'fracasarán si los equipos remotos de firewall locales (como el incorporado en el sistema operativo Windows desde Windows XP Service Pack 2 o superior) no está configurado para permitir que dicho tráfico entrante (a partir de una determinada subred, IP o lo que sea). El construido en el firewall de Windows debe estar configurado para permitir el tráfico entrante que queremos con un Objeto de directiva de grupo (GPO), por lo que, irónicamente, esta política es la única que definitivamente no podemos obligar a los equipos remotos firewall habilitado.

La configuración de directiva que se deben habilitar para todos los métodos mencionados en este artículo, es la siguiente:

Configuración del equipo | Plantillas administrativas | Red | Conexiones de red | Firewall de Windows | Perfil dominio | "Firewall de Windows: permitir excepción de administración remota".

Otros dispositivos de firewall entre el ordenador central y los equipos remotos deben estar configurados para cumplir con el ajuste anterior (véase el texto de ayuda de la política mencionada en GPEDIT.MSC de información del puerto, etc.)


Permisos administrativos


El usuario que inicia los procesos en los equipos remotos debe ser un administrador local en esas máquinas - o de lo contrario es simplemente no va a funcionar como se espera.

Después de esto se toma cuidado de, echemos un vistazo a los métodos gratuitos que tenemos disponibles.


1 comentarios :

agt179 dijo...

Quizá quieran tratar con Ammyy Admin (http://www.ammyy.com/) No requiere instalación y funciona muy bien en NAT y LAN.

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.