Implementación de Endpoint Security and Control a través de la directiva de grupo de Active Directory

  • N.º del artículo: 13090
  • Actualizado: 19 jun 2013

Active Directory se puede utilizar en Windows Server para configurar la política de grupo aplicada a un dominio, de forma que el software de Sophos se distribuya de forma automática a todos los equipos Windows NT o Windows 2000+ que pertenezcan al dominio.

Afecta a los siguientes productos de Sophos

Sophos Endpoint Security and Control

Sistemas operativos
2000/XP/2003/Vista/Windows 7/ 2008/ 2008 R2

Qué hacer

  1. Instale Enterprise Console en el servidor de administración según se describe en la Guía rápida de inicio.
  2. Cree un archivo por lotes para ejecutarlo como script de inicio. Al iniciarse los equipos del grupo, se comprobará si Endpoint Security and Control o Sophos Anti-Virus están instalados, y Endpoint Security and Control o Sophos Anti-Virus se instalarán en los equipos que no estén protegidos.

Puede crear una política de grupo nueva o modificar una existente para incluir los comandos aquí descritos.

  1. Haga clic en Inicio | Todos los programas | Herramientas administrativas | Usuarios y equipos de Active Directory.
    O
    Haga clic en Inicio | Ejecutar | Escriba: dsa.msc | Pulse la tecla Intro.
  2. Seleccione el nombre del dominio en el árbol de la izquierda.
  3. Haga clic con el botón derecho en el nombre del dominio y seleccione "Propiedades".
  4. Abra la ficha "Directiva de grupo".
  5. Seleccione "Nueva".
  6. Escriba un nombre para el nuevo objeto de la directiva de grupo.  Ejemplo: objeto de la directiva de grupo para implementar software de Sophos para estaciones mediante scripts.
  7. Seleccione el objeto nuevo y haga clic en "Editar".  Se abre la ventana del Editor de objetos de directiva de grupo.
  8. En el Editor de objetos de directiva de grupo del panel izquierdo, vaya a Configuración del equipo | Configuración de Windows | Secuencias de comandos.
  9. En la parte derecha, haga doble clic en 'Inicio'.
  10. En el cuadro de diálogo 'Propiedades de Inicio', haga clic en 'Mostrar archivos'.
  11. En la ventana que se abre, haga clic con el botón derecho y seleccione Nuevo | Documento de texto.
  12. Cambie el nombre del archivo por 'InstallSAV.bat'.
  13. Haga clic con el botón derecho en 'InstallSAV.bat' y seleccione 'Editar'.
  14. Modifique el archivo como se describe a continuación:

    Nota: lea las instrucciones sobre cómo modificar la secuencia de comandos.

    • Para realizar la distribución en Windows 2000/XP/2003, introduzca los comandos que se muestran a continuación
    • Para realizar la distribución en Windows NT, utilice los mismos comandos pero sustituya ESNT por SAVSCFXP.
    • El número de la carpeta de la suscripción (indicado como 'Sxxx' en la secuencia de comandos siguiente) debe sustituirse por el número de la suscripción asociada correspondiente.

    @ECHO OFF
    REM --- Check for an existing installation of Sophos AutoUpdate on 32-bit (the 'Sophos AutoUpdate Service' process)
    IF EXIST "C:\Program Files\Sophos\AutoUpdate\ALsvc.exe" goto _End
    REM --- Check for an existing installation of Sophos AutoUpdate on 64-bit (the 'Sophos AutoUpdate Service' process)
    IF EXIST "C:\Program Files (x86)\Sophos\AutoUpdate\ALSVC.exe" goto _End
    REM --- Check for an existing installation of Sophos Anti-Virus on 2003/XP (the SAV adapter config file)
    IF EXIST "C:\Documents and Settings\All Users\Application Data\Sophos\Remote Management System\3\Agent\AdapterStorage\SAV\SAVAdapterConfig" goto _End
    REM --- Check for an existing installation of Sophos Anti-Virus on Vista+ (the SAV adapter config file)
    IF EXIST "C:\ProgramData\Sophos\Remote Management System\3\Agent\AdapterStorage\SAV\SAVAdapterConfig" goto _End
    REM --- Deploy to Windows 2000/XP/2003/Vista/Windows7/2008/2008-R2
    \\SERVER\SophosUpdate\CIDs\Sxxx\SAVSCFXP\Setup.exe -updp "\\SERVER\
    SophosUpdate\CIDs\Sxxx\SAVSCFXP" -user USER -pwd PWD -mng yes
    REM --- End of the script
    :_End

    Introduzca los valores correspondientes, según se describe a continuación:
    • SERVIDOR es el nombre del servidor en el que reside el punto de distribución. Normalmente, es el servidor en el que está instalada la consola.
    • USUARIO es el nombre de un usuario con derechos para acceder a los archivos del punto de distribución.
    • CONTRASEÑA es la contraseña del usuario anterior.
      Nota: si no quiere utilizar un nombre de usuario y una contraseña en texto sin formato en el script de inicio, puede cifrarlos.
    Inserte los parámetros de la línea de comandos como se describe a continuación:
    • El parámetro '-updp' define la ubicación de actualización primaria, que también puede ser una dirección HTTP.
    • El parámetro '-mng' define si la instalación se administrará desde una instalación de la consola. Si no va a utilizar la consola para administrar los equipos, el valor del parámetro debe ser 'no'.
    Para más información, consulte los parámetros de la línea de comandos que utiliza setup.exe.
  15. Guarde el archivo y cierre la ventana.
  16. En el cuadro de diálogo Propiedades de Inicio, haga clic en 'Agregar'.
  17. En el cuadro de diálogo 'Agregar un archivo de comandos', haga clic en 'Examinar'.
  18. Seleccione el archivo 'InstallSAV.bat' y haga clic en 'Abrir'.
  19. Haga clic en Aceptar | Aplicar | Aceptar.

Nota: la secuencia de comandos se ejecutará durante todos los inicios posteriores a menos que la elimine tras la implementación inicial de Endpoint Security and Control.

Instrucciones para modificar el script

Al editar estas líneas de comandos, tenga en cuenta lo siguiente:

  • Al escribir un comando en la ventana de edición, todo el comando debe aparecer en una sola línea.
  • Si inserta algún salto de línea, el comando no se ejecutará.
  • Desactive el ajuste de líneas.

El ajuste de línea en esta ventana hace que algunos de los comandos mencionados en este artículo aparezcan en más de una línea. Siempre y cuando el ajuste de línea esté desactivado, el editor de texto utilizado anteriormente no dividirá los comandos en varias líneas. En todos los ejemplos, el texto:

\\<SERVIDOR>\SophosUpdate\CIDs\Sxxx\SAVSCFXP\Setup.exe -updp "\\<SERVIDOR>\SophosUpdate\CIDs\Sxxx\SAVSCFXP" -user "USUARIO" -pwd "CONTRASEÑA" -mng yes

...debe ocupar una sola línea.

Cómo evitar que el script se ejecute en determinados equipos

La secuencia de comandos de inicio siguiente es un ejemplo de cómo evitar que dos equipos, denominados SERVIDOR1 y SERVIDOR2, realicen la instalación mediante el script.

  1. Averigüe el nombre exacto del host de los equipos que desea excluir:
    1. Abra la línea de comandos en los equipos que desea omitir (Inicio | Ejecutar | Escriba: cmd.exe | Pulse la tecla Intro).
    2. Escriba el comando siguiente y pulse la tecla Intro:
      SET
    3. En la lista de variables del entorno que aparece, busque la entrada 'COMPUTERNAME='.
    4. Tome nota del nombre exacto del host que aparece después del signo =.
  2. Sustituya 'SERVIDOR1' y 'SERVIDOR2' con los nombres correspondientes.
    @ECHO OFF
    REM --- Check for an existing installation of Sophos AutoUpdate on 32-bit (the 'Sophos AutoUpdate Service' process)
    IF EXIST "C:\Program Files\Sophos\AutoUpdate\ALsvc.exe" goto _End
    REM --- Check for an existing installation of Sophos AutoUpdate on 64-bit (the 'Sophos AutoUpdate Service' process)
    IF EXIST "C:\Program Files (x86)\Sophos\AutoUpdate\ALSVC.exe" goto _End
    REM --- Check for an existing installation of Sophos Anti-Virus on 2003/XP (the SAV adapter config file)
    IF EXIST "C:\Documents and Settings\All Users\Application Data\Sophos\Remote Management System\3\Agent\AdapterStorage\SAV\SAVAdapterConfig" goto _End
    REM --- Check for an existing installation of Sophos Anti-Virus on Vista+ (the SAV adapter config file)
    IF EXIST "C:\ProgramData\Sophos\Remote Management System\3\Agent\AdapterStorage\SAV\SAVAdapterConfig" goto _End
    REM --- Check for servers not to install to
    if %COMPUTERNAME% == SERVER1 goto _End
    if %COMPUTERNAME% == SERVER2 goto _End

    REM --- Deploy to Windows 2000/XP/2003/Vista/Windows7/2008/2008-R2
    \\SERVER\SophosUpdate\CIDs\Sxxx\SAVSCFXP\Setup.exe -updp "\\SERVER\
    SophosUpdate\CIDs\Sxxx\SAVSCFXP" -user USER -pwd PWD -mng yes
    REM --- End of the script
    :_End

 
Si necesita más ayuda, póngase en contacto con soporte técnico.

Valore el artículo

Muy malo Excelente

Comentarios