Установка Клиента ПМ на Windows — групповые политики

Цель Автоматическая установка Клиента ПринтМенеджер на рабочие станции Windows через механизм групповых политик (GPO) без ручного вмешательства на каждый компьютер. Предусловия На целевых компьютерах установлен пакет Microsoft Visual C++ Redistributable packages for Visual Studio 2015 или новее. MSI-пакет (один или несколько, по разрядности ОС) и сертификат printum_globalsign.cer размещены в общедоступном сетевом каталоге. Пример: \test.ru\SYSVOL\test.ru\scripts\ Файлы доступны только на чтение и доступны для скачивания всем целевым компьютерам. Созданы два объекта GPO в оснастке «Управление групповой политикой» — они применяются в строгом порядке. Политика 1. Установка сертификата и разрешение установки драйвера Название политики: pm_client_pre-install Откройте «Управление групповой политикой» → «Объекты групповой политики» , нажмите «Создать» . Выберите созданную политику и нажмите «Изменить» . Перейдите: Конфигурация компьютера → Политики → Конфигурация Windows → Параметры безопасности → Политики открытого ключа → Доверенные издатели В правой части окна нажмите правой кнопкой мыши и выберите «Импорт» — откроется мастер импорта сертификатов. Убедитесь, что «Расположение хранилища» выбрано как «Локальный компьютер» . Нажмите «Далее» . Укажите сетевой путь до сертификата printum_globalsign.cer . Нажмите «Далее» . Убедитесь, что «Хранилище сертификатов» выбрано как «Доверенные издатели» . Нажмите «Далее» , затем «Готово» . Перейдите: Конфигурация компьютера → Политики → Административные шаблоны → Система → Установка драйвера Откройте параметр «Разрешать пользователям, не являющимся администраторами, устанавливать драйверы для этих классов установки устройств» . Переключите состояние в «Включено» . В поле классов добавьте значение: 4D36E979-E325-11CE-BFC1-08002BE10318 Эта последовательность задаёт класс драйверов для Printum XPS драйвера. Нажмите ОК . Политика 2. Установка MSI-пакета Название политики: pm_client_install Откройте «Управление групповой политикой» → «Объекты групповой политики» , нажмите «Создать» . Выберите созданную политику и нажмите «Изменить» . Перейдите: Конфигурация компьютера → Политики → Конфигурация программ → Установка программ В правой части нажмите правой кнопкой мыши: «Создать» → «Пакет» . Укажите сетевой путь до файла MSI-пакета. Выберите метод развертывания программ — «Особый» . Перейдите на вкладку «Развертывание» → «Дополнительные поля» и выберите «Не использовать языковые установки при развертывании» . Нажмите «ОК» . MSI-пакет должен соответствовать разрядности ОС целевых компьютеров. Создайте отдельные политики для 32-битных и 64-битных систем с привязкой к соответствующим OU. Применение политик к OU Выберите OU с целевыми компьютерами, нажмите правой кнопкой мыши → «Связать существующий объект групповой политики» . Выберите обе созданные политики и нажмите «ОК» . Перейдите на вкладку «Связанные объекты групповой политики» . Убедитесь в правильном порядке применения. Политики обрабатываются снизу вверх: политика с наименьшим «Порядком ссылок» выполняется последней (наивысший приоритет). Порядок должен быть: pm_client_pre-install — выполняется первой (более высокий порядок ссылок) pm_client_install — выполняется второй (порядок ссылок = 1, наивысший приоритет) Политики применятся автоматически в течение от нескольких минут до нескольких часов (зависит от инфраструктуры). Установка произойдёт при перезагрузке ПК и входе пользователя в Windows. Принудительное применение политики gpupdate /force После перезагрузки убедитесь, что служба PrintumOptimizeService находится в состоянии «Выполняется». Копирование настроек клиента через GPO Для массового изменения настроек (адрес сервера, ключ доступа) из файла settings.yml создайте дополнительную политику. Перейдите: Конфигурация компьютера → Настройка → Конфигурация Windows → Файлы Создайте новый файл с параметрами: Действие : Заменить Исходные файлы : сетевой путь до файла settings.yml Конечный файл : C:\Program Files\printum\printmanager_client\settings.yml Привяжите политику к тем же компьютерам. Порядок ссылок должен быть 1 (выполняется после установки программы). Обновление Клиента ПМ Обновление выполняется аналогично установке по разделу «Политика 2. Установка MSI-пакета». Предварительно удалять предыдущую версию не нужно — установщик самостоятельно удалит предыдущие версии, сохранив настройки в файле settings.yml . Диагностика и устранение неполадок Симптом Где проверять МФУ не появился Установка драйвера — проверьте применение политики 1, наличие сертификата в Trusted Publishers Служба не запустилась MSI-установка — проверьте применение политики 2, журнал событий Драйвер заблокирован Сертификат в Trusted Publishers — откройте Просмотр событий ( eventvwr ), Журналы Windows → Приложения, записи с источником Group Policy Files GPO не применяется Привязка OU — убедитесь, что OU с компьютерами связана с обеими политиками и порядок применения корректен Проверка цепочки сертификатов драйвера Перейдите в корневую папку установки Клиента ПМ: C:\Program Files\printum\printmanager_client\xps_driver\Release или C:\Program Files (x86)\printum\printmanager_client\xps_driver\Release В папке Release находятся три папки с драйверами для ОС: v1_x32 — Windows 7 x86 v1_x64 — Windows 7 x64 v2_x64 — Windows 10 x64 Войдите в папку, соответствующую ОС диагностируемого компьютера, выберите файл: xpsdriver.cat — для Windows 7 printumxpsv4driver.cat — для Windows 10 Нажмите правой кнопкой мыши → Свойства → Цифровые подписи . Выберите сертификат ООО Принтум, нажмите Сведения → Просмотр сертификата . Во вкладке «Путь сертификации» отображается вся цепочка построения сертификата. Журнал событий Для диагностики через Просмотр событий: Откройте eventvwr (меню «Выполнить»). Перейдите в Журналы Windows → Приложения . Обратите внимание на записи с типом источника от групповых политик, например Group Policy Files . Для выгрузки: выберите записи (Shift+ЛКМ), нажмите ПКМ → Копировать → Копировать как текст , сохраните в текстовый файл. Ожидаемый результат Клиент ПМ установлен на всех целевых компьютерах, охваченных действием настроенных GPO. Пользователи видят МФУ Printum в системе и могут отправлять задания на печать. Типовые ошибки Ошибка Причина Решение Клиент ПМ не устанавливается через GPO Некорректная цепочка сертификатов или ошибка применения политики Проверить через eventvwr → Журналы Windows → Приложения записи с источником Group Policy Files. Изучить ошибки и при необходимости передать в техподдержку Сертификат драйвера не установлен на целевом компьютере Политика pm_client_pre-install не применилась или применилась некорректно В certlm.msc → Доверенные издатели проверить наличие сертификата «ООО Принтум». Проверить вкладку «Путь сертификации» — цепочка должна состоять из трёх ступеней и не содержать ошибок Связанные страницы Клиент ПМ — справка по компоненту