グループポリシー＋ソフトのインストールについて

PCだけで数百台とかあるとADないと死亡しませんか？

私の勤務先ではないのですが、知り合いから聞いた話で、フロアに200台とかPCがあるのに、ドメイン参加してないとかありえない話を聞きました。そんな会社のIT担当者にはなりたくないものです。

グループポリシーってなんですか？

グループポリシーの全体説明はe-wordに譲るとして、今回はファイル配布とシャットダウンまたはスタートスクリプトについて説明します。
グループポリシーの管理ツールを起動するとActiveDirectoryのOUと同じようなツリーが出てきます。そうですね、グループポリシーはOUやサイトにかけていくものです。OU＞ドメイン＞サイトの順で当たります。基本的な仕組みは@ITの記事からなにも変わっていませんのでご一読を。

一斉インストールの方法

仕組みは簡単で、まず、最初に必要なインストーラーとインストーラーを起動するpowershellやcmdバッチを作成し、それらをグループポリシーのファイルで配布します。そして、シャットダウンスクリプトで実行します。あまり実行時間が長いものをスタートアップスクリプトでやると起動しないという別の問い合わせをもらってしまうので、長めのものはシャットダウンスクリプトが向いていると思います。

ファイルの配布

msiファイルであれば、ソフトウェアのインストールポリシーで配布できるので、いいのですが、まだまだexeインストーラーが多いです。多いのですが、サイレントインストールに対応しているものもそれなりの割合でありまして。それであれば、スタートアップスクリプトやシャットダウンスクリプトで実行できるわけです。
そうそう。ログオンスクリプトとログオフスクリプトはユーザー権限で動き、スタートアップスクリプトと、シャットダウンスクリプトは管理者権限で動きます。
さて、ファイルの配布ですが、ポリシーではなく、基本設定にあります。基本設定→Windowsの設定→ファイルがそれに該当します。
ファイル名はコピー元のファイル名とコピー先のファイル名を指定します。コピー先のファイル名はフルパスできちんと書きます。環境変数なども使えますが、私は面倒なので、大体"c:\windows"フォルダーにコピーしてしまいます。これで準備完了です。
共通の設定ファイルなどがあれば、それも同じ方法で配布するのが便利です。

実行について

インストールスクリプトでインストーラーの有無と、すでにインストールされていないことをチェックして実行します。当たり前の配慮ですが、これを忘れると毎回インストーラーが走ってシャットダウンが遅いんだけど。という問い合わせをもらってしまいます。

なぜ、netlogonから直接実行しないのか？

ここ数年、テレワークが増えて、ネットワークから直接実行できないケースが増え、いつまで経っても実行されないことが大いに増えたためです。それでもファイル配布がうまくいかず、テレワークのPCにファイルを半手動で配布したりしています。
powershellのスクリプト内で、foreachでテレワークのDHCPレンジを巡回して、test-connectionでPCがつながっているかどうか確認して、さらにグループポリシーで配布している「はず」のファイルがなければ、強制的にコピーするという感じのスクリプトを作っては週に何度か回す日々です。