В этом мануале будет продемонстрировано, как мы можем ставить агентов Kaspersky Network Agent на сервара, которые управляются под Active Directory.

Итак, сначала нужно разместить .msi файл агента на какой нибудь шаре. С этой шары будет запускаться инстралятор, соотвественно у всех клиентов должен быть доступ к этой шаре. Логичнее будет разместить инсталятор на серваке с касперским, так и поступим. ad-gpo-shares.jpg

На установочный файл даем права для всех (или для доменных пользователей) на чтение/запуск файлов. ad-gpo-file-perm.jpg

Теперь создаем небольшой сниппет в пару строчек на powershell, который будет запускаться в груповой политике:

if (!(Test-Path -Path "HKLM:\SYSTEM\CurrentControlSet\Services\klnagent")) {
    msiexec /i "\\AV01\distr\kas\kaspersky_network_agent.msi" /qn DONT_USE_ANSWER_FILE=1 SERVERADDRESS=192.168.10.24 EULA=1
}

Это услоние проверяет, сушествует ли запись в реестре. Если условия не существует, запускается инсталятор с агентом. Иначе, нечего не происходит.

Подготовительные работы завершены, теперь на домен контроллере открывает менеджер групопых политик и создаем новую политику: ad-gpo-newpolicy.jpg

Далее кликаем на политику, и выбираем пункт - Edit, откроется менеджмент с конфигурацией нашей политики. В новом окне проваливаемся в Сonfiguration computer -> Windows settings -> Scripts. Жмем на - Startup. ad-gpo-edit.jpg

Откроется окно с настройками Startup скриптов. Во вкладке Scripts, мы добавим запуск нашего сниппета.
Но есть один нюанс относительно запуска скриптов на powershell, политика не будет отрабатывать, так как на наш powershell скрипт будет влиять execution policy. Что бы поправить этот момент, нужно либо включить запуск скриптов на powershell. Либо запускать их через vb-скрипты или батники. Мы поступим более правильным способом, будем запускать наш скрипт через powershell с указанием набора параметров.

Жмем на кнопку Add: ad-gpo-srt.jpg

В окне Edit Script, указываем значения для полей Script Name и Script Parameters: ad-gpo-srt-pr.jpg

# Script Name
%windir%\System32\WindowsPowerShell\v1.0\powershell.exe

# Script Parameters
-Noninteractive -ExecutionPolicy Bypass -Noprofile -file "\\main01\NETLOGON\netagent_install.ps1"

В значении Script Name, указываеться полный путь до powershell.

А в поле Script Parameters, за параметром - -file, указывается путь до скрипта в нашем случаи это \\DC01\NETLOGON\netagent_install.ps1. Здесь же мы меняем политику ExecutionPolicy, на момент запуска скрипта.

Жмем ок, и сохраняем параметры startup скрипта.

Cниппет, который мы написали в предыдущих действиях кладем cюда:

\\DC01\NETLOGON\netagent_install.ps1

Проваливаемся по этому пути, и создаем файл скрипта, во вложение вставляем наш ранее созданные powershell-скриптец.

На этом все готово, политика будет отображаться так: ad-gpo-policy-view.jpg

Теперь можно линковать политику, на нужный контейнер. В моем случаи это это контейнер с серверами. (желательно тестить свои политики, на тестовых серверах) ad-gpo-link.jpg

Идем на сервер, которых находиться в этом контейнере, и на сервере обновляем политики: ad-gpo-upd.jpg

И если посмотрим команду gpresult, выведим список политик влияюших на наш сервер. Как видно на скриншоте, наша созданная политика уже распространяется на сервера. ad-gpo-result.jpg

Перезапускаем виртуалку, и по идеи при следующем логине у нас уже будет стоять network agent kasperskiy. ad-gpo-result2.jpg