Развёртывание Adobe Reader в домене
 |
Практически во всех мало-мальски популярных программных продуктах с удручающей частотой находят всё новые уязвимости. Я, как и любой другой администратор, озабочен поддержанием безопасности во вверенной сети и в частности – на компьютерах пользователей. Если проблему обновления операционных систем и программных продуктов от Microsoft легко решить с помощью развертывания WSUS, то с другими софтверными компаниями дело обстоит гораздо хуже… Буквально на днях решил проблему развёртывания и своевременного обновления популярной программы Abode Acrobat Reader в доменной сети посредством политик. Делюсь этим способом с заинтересованными. |
Процесс несложный, если строго следовать указанному ниже алгоритму.
1. С ftp официального сайта adobe.com скачиваем последнюю версию установочного файла Adobe Reader последней на момент написания данной статьи версии 11.0.00 (выпущен 24.09.2012): AdbeRdr11000_ru_RU.exe (размер – 37.377 МБ; формат – EXE) и помещаем в любую папку на своем компьютере. Например — C:\1;
2. С ftp того же сайта скачиваем кумулятивное обновление для Adobe Reader, последняя версия которого на момент написания данной статьи – 11.0.12 (выпущен 09.07.2015): AdbeRdrUpd11012.msp (размер – 45.964 МБ; формат – MSP) и помещаем в другую папку. Например — C:\2;
3. Открываем cmd.exe от имени администратора и выполняем следующие команды (все описанное выполнялось на Windows 7 ×64 Профессиональная):
C:\Users\user>cd C:\1 C:\1>AdbeRdr11000_ru_RU.exe -nos_o"C:\3" -nos_ne
С их помощью мы перешли в папку с установочным файлом, скачанным на первом шаге, и распаковали его в папку C:\3, которая создастся автоматически:
4. Далее переходим в полученный каталог C:\3 и выполняем команду:
C:\1>cd C:\3 C:\3>msiexec /a AcroRead.msi TARGETDIR="C:\4" /qb
которая развернет установочные файлы в указанную нами папку C:\4, где позже мы будем интегрировать их с кумулятивным обновлением:
5. Скопируем файл Setup.ini из папки C:\3 в папку C:\4, перейдем в папку C:\4 и применим кумулятивное обновление, полученное на шаге 2:
C:\3>copy Setup.ini C:\4 Скопировано файлов: 1. C:\3>cd C:\4 C:\4>msiexec /a AcroRead.msi /p "C:\2\AdbeRdrUpd11012.msp" TARGETDIR="C:\4" /qb
6. Теперь произведем настройку полученного дистрибутива в папке C:\4, которую мы выполним с помощью программы Adobe Customization Wizard, распространяемой бесплатно с официального сайта adobe.com. Учтите, что разным версиям Adobe Reader для кастомизации инсталляционного пакета необходима своя версия Adobe Customization Wizard, т.е. нам, для нашего Adobe Reader XI, подойдет только версия Adobe Customization Wizard XI. Для этого скачайте установочный файл по ссылке: CustWiz11003_en_US.exe (размер – 6.2 МБ; формат – EXE).
7. После установки Adobe Customization Wizard XI, откройте инсталляционный пакет AcroRead.msi из папки C:\4 и произведите некоторые необходимые изменения.
8. В первую очередь, на вкладке Personalization Options отметьте опцию EULA Options, чтобы после установки пакета пользователи не были вынуждены нажимать на кнопку принятия лицензионного соглашения (по моему опыту, даже такая простая операция вводит некоторых в глубокий ступор…)
9. На вкладке Installation Options отметьте, чтобы устанавливаемый пакет сделал Adobe Reader как программу, обрабатывающую файлы PDF по-умолчанию, чтобы установка произошла незаметно для пользователя (опция Silently (no interface)) и отменим перезагрузку после установки (опция Supress reboot):
10. На вкладке Registry в окне Destination Computer разворачиваем ветку реестра HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows -> CurrentVersion -> Run:
11. В этой же вкладке форсируем включение защищенного режима работы Adobe Reader, добавив ключ bProtectedMode типа REG_DWORD и присвоив ему значение 1. Для этого в том же окне Destination Computer разворачиваем ветку реестра HKEY_LOCAL_MACHINE -> Software -> Policies -> Adobe -> Acrobat Reader -> 11.0 -> FeatureLockDown:
И добавляем необходимый ключ bProtectedMode типа REG_DWORD со значением 1:
Щелкнув вверху на вкладку Summary вы увидите произведенные вами изменения:
12. На вкладке Shortcuts зададим настройку, препятствующую появлению на рабочих столах пользователей ярлыка Adobe Reader XI (тут всё на ваше усмотрение):
13. На вкладке Security в поле расширенных настроек безопасности Enhanced Security Settings выбираем и устанавливаем в Enable & Lock значения полей Standalone и Browser и запретим пользователям добавлять доверенные папки, файлы и хосты поставив галочки напротив Prevent end users from trusting files and folders и Prevent end user from adding trusted hosts:
14. Полностью выключаем возможность взаимодействия пользователей через интернет с сайтом acrobat.com. Для этого на вкладке Online Services and Features выставьте следующие настройки:
15. На вкладке File Attachments задействуем предотвращение запуска любых исполняемых файлов:
16. Если вы пропустили на пятом шаге копирование файла Setup.ini из папки C:\3 в папку C:\4, при переходе на следующую вкладку Direct Editor вы можете увидеть такое сообщение:
17. На вкладке Direct Editor в таблице ServiceInstall удалите строку ServiceInstall1, благодаря чему мы предотвратим установку службы Adobe Acrobat Update Service. Для этого щелкните по строке в параметром правой кнопкой мыши и выберите Drop Row(s):
18. Далее – в таблице Property измените значение параметра DISABLE_BROWSER_INTEGRATION на YES, этим вы отмените интеграцию Adobe Reader в браузеры (на ваше усмотрение):
19. После проделанной работы, в меню Adobe Customization Wizard XI Transform выберите Generate Transform… для сохранения наших изменений в специальный файл, которому присвойте имя AcroRead.mst и сохраните в ту же папку, из которой вы открыли инсталляционный пакет AcroRead.msi для редактирования (в нашем случае – это C:\4):
20. При закрытии Adobe Customization Wizard XI не забудьте сохранить изменённый AcroRead.msi, нажав на Да в предупреждающем окне:
21. Теперь я советую вам проверить полученный инсталляционный пакет, произведя его установку у себя на компьютере в окне cmd.exe с помощью команды:
C:\4>msiexec /i AcroRead.msi ALLUSERS=TRUE TRANSFORMS=AcroRead.mst /qb
Если на вашем компьютере уже был установлен Acrobat Reader XI, удалите его перед данной процедурой, иначе вы получите ошибку о несовместимости версий.
Если никаких ошибок вы не обнаружете, можете приступать к следующему этапу – развертыванию полученного инсталляционного пакета на компьютерах пользователей в домене.
22. Скопируйте целиком содержимое папки C:\4 на ресурс, доступный всем пользователям домена. Я опубликовал его в DFS, дабы при смене файлового сервера не пришлось бы менять доменную политику. С разрешениями на папку для всех “Чтение и выполнение”. Откройте на изменение необходимую вам доменную политику (или создайте новую) и разверните последовательно Конфигурация компьютера -> Политики -> Конфигурация программ -> Установка программ. В правом окне щелкните правой клавишей мыши и выберите пункт меню Создать -> Пакет…:
23. В раскрывшемся окне выберите созданный пакет AcroRead.msi, который вы сделали доступным по сети. После чего укажите метод развертывания, как особый и нажмите ОК:
24. В открывшихся свойствах созданного пакета Adobe Reader XI (11.0.12) перейдите на вкладку Модификации и нажмите Добавить…, для выбора файла AcroRead.mst из той же сетевой папки:
Если возникла необходимость применить политику немедленно, на клиентском компьютере выполните команду gpupdate /force, после которой потребуется перезагрузить компьютер.
Созданная таким образом политика установит на всех компьютерах домена (для которых она предназначена) наш кастомный созданный инсталляционный пакет Adobe Acrobat Reader XI. Если в дальнейшем вы каким-то образом измените данный пакет, не забудьте развернуть его заново:
Очень удобная возможность получить на большом количестве компьютеров однообразно настроенный программный продукт с идентично настроенной безопасностью:
Небольшая ложка дёгтя в этом все-таки присутствует. На “слабеньком” железе пользователю после включения компьютера придется долго ждать окна приветствия, пока не установится данное программное обеспечение.
Если кому интересно, то на сайте acrobat.com вы также можете найти msi пакеты и для Adobe Flash Player, как для Internet Explorer (install_flash_player_18_active_x), так и для других браузеров, поддерживающих плагины (install_flash_player_18_plugin) (на момент написания статьи версии 18.0.0.209), которые вы впоследствии распространите через AD. Перейдите по ссылке и скачайте необходимый продукт.
_______________
При создании статьи использовался данный материал.
Добрый день! Отличная статья, большое спасибо!
Вопрос только следующий. А если на машинах пользователей уже установлены Adobe Acrobat Reader и FLASH старых версий – наверное новые версии могут и не поставиться или поставиться с ошибками. Как бороться?
Спасибо огромное, решил забацать свой репак, на основе вашей статьи все получилось, с интегрированными обновлениями репак устанавливается гораздо быстрее и гимора меньше, батник накидал в один щелчок создался дистрибутив, а потом его в sfx rar все! Спасибо! С Adobe Customization Wizard XI гораздо лучше, чем просто с помощью тихой установки.
Огромное спасибо за статью! Сегодня убрал из политики Adobe Reader 11.0, который ставился из давно не обновляемых MSI-пакетов от Adobe, и добавил 11.0.16, приготовленный по описанному Вами рецепту. Все получилось без каких-либо проблем.
Спасибо за мануальчик. Я бы еще отключил дефолтную опцию:
Preferences –> General –> Show me message when I launch Reader
Где бы найти ее в визарде?
Отличная статья! Политика Adobe по обновлению удручает. Вышел новый msp до версии 11.0.18. Не получается развернуть его поверх 11.0.17, установленному по вашей методике. Неужели нужно опять с нуля патчить Adobe Reader чистый до версии 11.0.18, удалять текущий 11.0.17 и раскатывать заново по всем машинам? должен же быть более простой способ