Установка Adobe Acrobat Reader за допомогою GPO
В продовження теми боротьби з «дірками» в продуктах третіх фірм взагалі (і в Adobe Acrobat Reader зокрема), вирішив написати для себе невелику замітку-інструкцію з встановлення та оновлення цього ПО в корпоративному середовищі за допомогою підручних засобів. Оскільки з підручних засобів у мене є тільки GP (Групові політики), то мова піде саме про них.
І так, загальна схема роботи така:
- треба десь роздобути додаток у форматі msi
- створюємо загальну папку на мережевому ресурсі для розміщення файлів адміністративної установки.
- виконуємо адміністративну установку програми до папки, створену в п.2
- виконуємо настройку пакета інсталяції (msi), шляхом його редагування і / або створення файлу модифікації / перетворення (mst)
- створення / редагування GPO для додавання пакета інсталяції.
Розглянемо, яким чином ми можемо виконати кожен з перерахованих вище пунктів на прикладі створення об'єкта Груповий політики, призначеної для виконання установки Adobe Acrobat Reader'а в корпоративному середовищі.
AdbeRdr934_en_US.exe -nos_o "AR9" -nos_ne
В результаті в папці AR9 буде створено наступний набір файлів:
PS> dir -Recurse
З отриманого набору нас цікавить файл AcroRead.msi, це, власне кажучи, і є наш пакет.
2) З другим пунктом нашого плану, думаю у нас проблем виникнути не повинно. Всі ми вміємо папки створювати та права на них видавати. Єдиний нюанс: права на папку повинні бути такі, щоб доступ до папки мали комп'ютери домену (тому що ми збираємося прописати пакет установки в розділі «Конфігурація комп'ютера» групових політик). Для цих цілей можна, наприклад, надати доступ на читання для групи «Комп'ютери домену» або «Минулі перевірку».
3) Виконуємо адміністративну установку. Для цього нам буде потрібно отриманий в п. 1 цієї інструкції пакет AcroRead.msi. Виконуємо команду msiexec / a
де 
4) Налаштування пакета інсталяції, створення «модифікації» (mst-файлу).
Для настройки пакета установки ми скористаємося «Adobe Customization Wizard 9» (ACW), люб'язно наданого для цього виробником: запускаємо ACW, відкриваємо msi-пакет, що знаходиться в папці адміністративної установки. Вносимо наступні зміни:
а) в розділі «Installation options» вибираємо Unattended установку (установка без втручання користувача), а так само «Suppress reboot» (забороняємо перезавантаження після установки)
б) «В розділі EULA and Document Status» зводимо галку «Suppress display of EULA» (придушення відображення ліцензійної угоди)
в) У розділі «Online and Acrobat.com features» забороняємо виконувати будь-які оновлення, тому що оновлення буде виконуватися адміністратором централізовано (про це мова піде нижче).
З метою безпеки зводимо «галку» «When launching PDF in Internet Explorer, prompt user in open | save dialog», тим самим не дозволяючи відкривати pdf-документ у вікні браузера (замість цього користувачеві буде запропоновано відкрити / зберегти файл).
Забороняємо доступ до Adobe.com features.
Якщо є бажання, можна здійснити більш тонке налаштування шляхом «безпосереднього редагування» в розділі «Direct Editor». Так, наприклад, якщо ви хочете відключити установку «Швидкого запуску Acrobat Reader'а» ( "Adobe Reader Speed Launcher"), то для цього вам буде потрібно видалити елемент таблиці Registry838 (про деякі інші параметри тонкої настройки інсталяційного пакета Adobe Acrobat Readerа можна прочитати тут : "Deploying Adobe Reader 9 for Windows"
Потім, зберігаємо виконані настройки в новому файлі модифікації (mst-файл): для цього виконуємо Transform-> Generate Transform
5) Створення / редагування GPO для додавання пакета інсталяції
б) У вікні діалогу відкриття файлу знаходимо і вибираємо на мережевому ресурсі з адміністративної установкою msi-пакет. Після відкриття цього пакета ми побачимо наступне вікно:
У цьому вікні ми повинні вибрати «особливий» метод розгортання, тому що ми збираємося використовувати файл модифікації (mst-файл).
в) на вкладці «Модифікації» додаємо створений нами за допомогою ACW файл модифікації Acroread.mst.
Не забудьте прілінкованние створену політику до потрібного OU.
Ну, і залишився останній важливий момент. Політику ми створили, прілінкованние. На комп'ютерах вона застосувала. А як же бути з оновленнями?
Оновлення випускаються фірмою Adobe у вигляді patch-файлів, що мають розширення msp. За допомогою цих файлів ми можемо виконувати оновлення адміністративної установки. Оновлення виконується в 2 етапи:
a) власне оновлення, тобто застосування patch'а до адміністративної установці.
Після того, як ми завантажили з сайту виробника черговий інкрементальний файл патча, застосуємо його до адміністративної установці за допомогою наступної команди:
Для вищенаведеного прикладу команда буде виглядати наступним чином:
msiexec / a \\ Server \ Deploy \ Acrobat \ AcroReadd.msi /pC:\ar9\Reader9\AdbeRdrUpd932_all_incr.msp
b) поширення поновлення на клієнтські комп'ютери.
Для того щоб клієнтські комп'ютери виконали оновлення ПЗ, раніше встановлене за допомогою групових політик, необхідно, відкривши відповідну політику на редагування, дати команду «Розгорнути додаток заново» (див. Малюнок нижче)
Під час написання даної замітки були використані наступні джерела інформації:
Додам ще трохи корисних налаштувань, які можуть бути збережені в файлі-модифікації (* .mst):
Крім того, з міркувань безпеки варто заборонити документу PDF відкриття інших файлів і запуск додатків:
