Zum Hauptinhalt.
GPO-basierende Softwareverteilung

Termingerechte Softwareverteilung via Gruppenrichtlinien mit Windows Server 2012

Softwareverteilung via Gruppenrichtlinien GPO ist anderen Orts ausreichend und gut beschrieben. Hier soll ein Verfahren vorgestellt werden, in dem ein Satz Gruppenrichtlinien und im speziellen die  Softwareverteilung mithilfe von Powershell und der Aufgabenplanung auf sämtlichen Computern einer Organisationseinheit OU termingerecht durchgesetzt wird.

Übersicht

Wichtig ist bei diesem Verfahren, das die betroffene GPO Verknüpfung gleich nach Erstellung deaktiviert wird, um eine versehentlichen Verteilung durch beispielsweise gpupdate.exe oder den automatischen Refresh zu verhindern. Ein hier zum Tragen kommendes Powershell-Skript wird in die Aufgabenplanung zur einmaligen Ausführung eingehängt, das die GPO Verknüpfung zu einem festgelegten Zeitpunkt aktiviert.

Es löst vornehmlich drei Aufgaben:

  1. Sammeln aller deaktivierten GPO Verknüpfungen einer OU und optionale Filterung durch Mustervergleich des angezeigten Namens.
  2. Aktivierung der gesammelten GPO Verknüpfungen zur Anwendung auf den Clients.
  3. Sofortiges Remote-Update der Gruppenrichtlinien an den Client-Computern der OU.

Anwendung

Der Ausführungszeitpunk des Powershellskripts wird durch die Aufgabenplanung festgelegt. Kurz nach Ausführung des Skripts werden die Client Computer der OU neu gestartet. Während des Neustarts werden die GPOs gemäß Ihrer Sicherheitsfilterung und WMI-Filter angewendet. Das Powershellskript wird folgendermaßen durch den Aufgabenplaner ausgeführt:

Enforce-RemoteGPO -Target "OU=Marketing,DC=contoso,DC=com" -Pattern "^SD"

Target ist der "Distinguished Name" DN der Organisationseinheit bestehend aus dem Organisationsnamen OU und den Domänenkomponenten DC getrennt durch Kommas. Pattern ist ein optionaler Parameter und wird zum Mustervergleich mit dem Anzeigenamen der betroffenen GPO(s) dieser OU verwendet. Entspricht kein GPO-Anzeigename diesem Muster, werden die gesammelten deaktivierten GPO-Verknüpfungen der OU nicht angewendet. Dadurch ist es möglich Teilmengen deaktivierter GPO-Verknüpfungen zur Anwendung zu bringen.

Tipp

Kommunizieren Sie den Zeitpunkt der Skriptanwendung bei den betroffenen Abteilungen. So schnell, wie das Skript einzelne Clients herunterfährt, so schnell kann keine umfangreiche Arbeit vernünftig abgeschlossen werden.

 

 


Weiterführende Links