Автоматическая установка SmartPSS через GPO

🎯 Конечная цель

Пользователь test садится за любой компьютер видеонаблюдения, вводит свой логин/пароль и сразу может запустить SmartPSS для просмотра камер. Программа устанавливается автоматически, права доступа настроены правильно, администратор не требуется.

Подготовка Active Directory

Создаем группы безопасности и структуру

Группа пользователей — создана группа SmartPSS_Users (тип: Безопасности, область: Глобальная)

Группа компьютеров — создана группа SmartPSS_Computers (тип: Безопасности, область: Глобальная)

Добавлены пользователи — пользователь test (и другие операторы) добавлены в группу SmartPSS_Users

Добавлены компьютеры — компьютер PROXWIN (и другие станции) добавлены в группу SmartPSS_Computers

Создана OU для компьютеров — создано подразделение Workstations_SmartPSS (или аналогичное)

Компьютеры перемещены в OU — PROXWIN перемещен из Computers в Workstations_SmartPSS

ℹ️ Почему важно: Компьютеры в контейнере Computers не подчиняются групповым политикам. Перемещение в OU — обязательное условие для работы GPO.

Подготовка установочных файлов

Сетевая папка и права доступа

Сетевая папка создана — путь \\10.10.38.101\test\ (или другой) доступен с клиентских компьютеров

Установочный файл скопирован — smartpss.exe (или .msi) лежит в сетевой папке

Права на шару (Share permissions) — группа Компьютеры домена (Domain Computers) имеет право Чтение

Права NTFS (Security) — группа Компьютеры домена имеет права Чтение и выполнение, Список содержимого папки, Чтение

# Проверка доступа от имени SYSTEM (на клиентском ПК)
psexec -i -s cmd.exe
dir \\10.10.38.101\test
                

Создание Startup Script

Скрипт для автоматической установки при загрузке компьютера

BAT-файл создан — install_smartpss.bat с проверкой установки и командой запуска

@echo off
REM SmartPSS Installer Script
REM Проверяем наличие программы
if exist "C:\Program Files\Smart Professional Surveillance System\SmartPSS\SmartPSS.exe" goto installed
if exist "C:\Program Files (x86)\Smart Professional Surveillance System\SmartPSS\SmartPSS.exe" goto installed

REM Запускаем установку (замените ключи на подходящие для вашего установщика)
start /wait \\10.10.38.101\test\smartpss.exe /S /silent /quiet

:installed
exit
                

Ключи тихой установки проверены — определены корректные параметры для вашего .exe (например, /S, /verysilent, /quiet)

Создание и настройка GPO

Групповая политика для установки программы

GPO создана — политика с именем Install_SmartPSS

GPO привязана к правильному OU — политика привязана к Workstations_SmartPSS (или к корню домена, если используется фильтрация)

Security Filtering настроен — в фильтрации безопасности указана группа SmartPSS_Computers (Authenticated Users удален)

Startup Script добавлен — в Computer Configuration → Policies → Windows Settings → Scripts → Startup добавлен install_smartpss.bat

Настройка прав доступа к SmartPSS

Ограничиваем запуск только для группы пользователей

Политика для прав на папку создана — в той же GPO (или отдельной) настроен раздел File System

Папка программы добавлена — путь C:\Program Files\Smart Professional Surveillance System\SmartPSS (или аналогичный) добавлен в File System

Разрешения настроены — группе SmartPSS_Users даны права Чтение и выполнение, Список содержимого папки

Группа Users ограничена — у группы Users убраны права на папку (или оставлен только доступ по умолчанию, но без явного разрешения)

🔐 Важно: Права на папку применяются через Computer Configuration, потому что они должны быть одинаковы для всех, кто работает за этим компьютером. Политика применяется к компьютерам, но внутри разрешения даются группе пользователей.

Дополнительные папки проверены — если программа пишет данные в C:\ProgramData\Dahua или C:\Users\Public, на них тоже настроены права

Финальные проверки

Убеждаемся, что всё работает как задумано

Обновление политик — на целевом компьютере выполнено gpupdate /force

Перезагрузка выполнена — компьютер перезагружен для запуска Startup Script

Установка прошла успешно — SmartPSS появилась в меню Пуск или в Program Files

Проверка от имени обычного пользователя — пользователь test (из группы SmartPSS_Users) заходит, запускает SmartPSS — программа работает без запроса прав администратора

Проверка от имени постороннего — пользователь НЕ из группы SmartPSS_Users пытается запустить программу — получает отказ в доступе

📊 Сводка созданных объектов

Тип	Имя	Назначение	Статус
Группа	`SmartPSS_Users`	Пользователи, которым разрешено запускать SmartPSS	✅ Создана
Группа	`SmartPSS_Computers`	Компьютеры, на которые устанавливается SmartPSS	✅ Создана
OU	`Workstations_SmartPSS`	Организационное подразделение для компьютеров видеонаблюдения	✅ Создана
GPO	`Install_SmartPSS`	Политика установки и прав доступа	⚙️ Настроена
Скрипт	`install_smartpss.bat`	Startup script для автоматической установки	⚙️ Создан

🛠 Полезные команды для проверки

# Проверка членства компьютера в группе (на DC)
Get-ADGroupMember -Identity "SmartPSS_Computers" | Format-Table name, objectClass

# Проверка членства пользователя в группе
Get-ADGroupMember -Identity "SmartPSS_Users" | Format-Table name

# Принудительное обновление политик на клиенте
gpupdate /force

# Просмотр применённых политик
gpresult /r

# Проверка доступа к сетевой папке от имени SYSTEM (на клиенте)
psexec -i -s cmd.exe
dir \\10.10.38.101\test

# Проверка установленного ПО
Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -like "*Smart*"}
            

⚠️ Типичные ошибки

Забыли переместить компьютер в OU — GPO не применяется к контейнеру Computers
Неправильные ключи установки — программа не ставится в тихом режиме. Проверяйте через /?, /help, -h
Нет прав у компьютеров на шару — установка от SYSTEM требует прав для Domain Computers
Забыли ограничить доступ к папке — любой пользователь может запустить программу
Authenticated Users в Security Filtering — политика применяется ко всем, игнорируя группу

✅ Все шаги выполнены

Теперь пользователь test может зайти на компьютер PROXWIN (и любой другой в группе SmartPSS_Computers), и SmartPSS будет работать без лишних вопросов. Программа установлена автоматически, права доступа настроены корректно.

🎉 Вы великолепны!

🪄

Временное решение (костыль) — если программа всё ещё просит права

Используем runas + savecred, чтобы запускать SmartPSS без запроса пароля

🧪 Для чего этот блок: Если после всех настроек прав на папки SmartPSS всё равно требует повышения (UAC), используем этот проверенный способ. Он не лечит причину, но даёт пользователю возможность работать.

Создан ярлык с runas — на рабочем столе пользователя (или общем) создан ярлык с командой:

runas /user:LOGOAKADEMIA\Администратор /savecred "C:\Program Files (x86)\Smart Professional Surveillance System\SmartPSS\SmartPSS.exe"
        

Первый запуск от администратора — ярлык запущен один раз с вводом пароля администратора (пароль сохранился в системе)

Проверка запуска от пользователя — пользователь test (из группы SmartPSS_Users) запускает ярлык — программа открывается без запроса прав

📌 Важно: Пароль администратора сохраняется в Диспетчере учётных данных Windows. Это безопасно, если компьютер физически защищён и админская учётка не шарится.

🧠 Как это работает (коротко):

Команда runas запускает программу от имени администратора
Ключ /savecred сохраняет введённый пароль в защищённом хранилище
При следующих запусках пароль не запрашивается — программа стартует с правами админа, но пользователь об этом даже не знает

Ярлык распространён через GPO — через User Configuration → Preferences → Ярлыки ярлык добавлен на рабочий стол всем пользователям группы SmartPSS_Users

✅ Временное решение работает

Пользователи запускают SmartPSS с рабочего стола, пароль не спрашивается, программа работает с полными правами. Причина не устранена, но пользователи довольны.

Категории

Автоматическая установка SmartPSS через GPO

📋 SmartPSS GPO

🎯 Конечная цель

📊 Сводка созданных объектов

🛠 Полезные команды для проверки

⚠️ Типичные ошибки

✅ Все шаги выполнены

✅ Временное решение работает

Категории:

Категории

Комментарии

Оставить комментарий

Категории

Автоматическая установка SmartPSS через GPO

📋 SmartPSS GPO

🎯 Конечная цель

📊 Сводка созданных объектов

🛠 Полезные команды для проверки

⚠️ Типичные ошибки

✅ Все шаги выполнены

✅ Временное решение работает

Категории:

Категории

Комментарии

Оставить комментарий

Обратная связь