Delivery di Endpoint Security and Control mediante criteri di gruppo di Active Directory

  • ID dell'articolo: 13090
  • Aggiornato il: 19 giu 2013

È possibile utilizzare Active Directory in Windows Server per configurare i criteri di gruppo applicati a un determinato dominio, in modo che il software Sophos venga automaticamente distribuito su tutti i computer Windows NT o Windows 2000 e successivo presenti nel dominio.

Applicabile ai seguenti prodotti e versioni di Sophos

Sophos Endpoint Security and Control

Sistemi operativi
2000/XP/2003/Vista/Windows 7/2008/2008 R2

Procedura

  1. Installare Enterprise Console sul server di gestione, come descritto nella Guida di avvio rapido.
  2. Creare un file batch da eseguire come script di avvio. In questo modo, durante l'avvio verranno esaminati tutti i computer del gruppo, per stabilire se sia installato Endpoint Security and Control/Sophos Anti-Virus. Su eventuali computer non protetti verrà installato Endpoint Security and Control/Sophos Anti-Virus.

È possibile creare un criterio nuovo per il gruppo o modificarne uno già esistente per includere i comandi qui forniti.

  1. Cliccare su Start | Tutti i programmi | Strumenti di amministrazione | Utenti e computer di Active Directory
    oppure
    cliccare su Start | Esegui | digitare: dsa.msc | premere Invio.
  2. Selezionare il nome di dominio dalla struttura ad albero visualizzata nella parte sinistra dello schermo.
  3. Cliccare con il tasto destro del mouse sul nome del dominio e selezionare "Proprietà".
  4. Selezionare la scheda "Criteri di gruppo".
  5. Selezionare "Nuovo".
  6. Inserire un nome per il nuovo Oggetto criteri di gruppo (GPO).  Es.: GPO per implementare il software per endpoint di Sophos tramite script.
  7. Selezionare il nuovo GPO cliccare su "Modifica".  Si apre la finestra dell'editor dell'Oggetto criteri di gruppo.
  8. Nel riquadro a sinistra, sotto "Editor oggetti Criteri di gruppo", cercare Configurazione computer | Impostazioni di Windows | Script.
  9. Sulla destra, cliccare due volte su "Avvio".
  10. Nella finestra di dialogo "Proprietà di avvio", cliccare su "Mostra file".
  11. Cliccare con il tasto destro del mouse nella nuova finestra visualizzata e selezionare Nuovo | Documento di testo.
  12. Rinominare questo file come "InstallSAV.bat".
  13. Cliccare col tasto destro su "InstallSAV.bat" e selezionare "Modifica".
  14. Modificare il file nel modo seguente:

    Nota: leggere le istruzioni su come modificare lo script.

    • Per il delivery su Windows 2000/XP/2003, inserire i comandi indicati qui di seguito
    • Per il delivery su Windows NT, utilizzare gli stessi comandi, ma sostituendo ESNT a SAVSCFXP.
    • Il numero della cartella di sottoscrizione (mostrato come "Sxxx" nello script sottostante) va modificato a seconda del proprio numero di sottoscrizione.

    @ECHO OFF
    REM --- Check for an existing installation of Sophos AutoUpdate on 32-bit (the 'Sophos AutoUpdate Service' process)
    IF EXIST "C:\Program Files\Sophos\AutoUpdate\ALsvc.exe" goto _End
    REM --- Check for an existing installation of Sophos AutoUpdate on 64-bit (the 'Sophos AutoUpdate Service' process)
    IF EXIST "C:\Program Files (x86)\Sophos\AutoUpdate\ALSVC.exe" goto _End
    REM --- Check for an existing installation of Sophos Anti-Virus on 2003/XP (the SAV adapter config file)
    IF EXIST "C:\Documents and Settings\All Users\Application Data\Sophos\Remote Management System\3\Agent\AdapterStorage\SAV\SAVAdapterConfig" goto _End
    REM --- Check for an existing installation of Sophos Anti-Virus on Vista+ (the SAV adapter config file)
    IF EXIST "C:\ProgramData\Sophos\Remote Management System\3\Agent\AdapterStorage\SAV\SAVAdapterConfig" goto _End
    REM --- Deploy to Windows 2000/XP/2003/Vista/Windows7/2008/2008-R2
    \\SERVER\SophosUpdate\CIDs\Sxxx\SAVSCFXP\Setup.exe -updp "\\SERVER\
    SophosUpdate\CIDs\Sxxx\SAVSCFXP" -user USER -pwd PWD -mng yes
    REM --- End of the script
    :_End

    Inserire il nome specifico:
    • SERVER è il nome del server su cui risiede il punto di distribuzione. Solitamente si tratta del server su cui è installata la console.
    • UTENTE è il nome di un utente che possiede diritti di accesso ai file nel punto di distribuzione.
    • PWD è la password di tale utente.
      Nota: se non si desidera utilizzare il nome utente e la password in chiaro nello script di avvio, è possibile occultare il nome utente e la password.
    Inserire i parametri della riga di comando come segue:
    • Il parametro "-updp" definisce il percorso di aggiornamento primario. Può trattarsi anche di un indirizzo HTTP.
    • Il parametro "-mng" definisce se l'installazione sarà o meno gestita da un'installazione della console. Se non si intende utilizzare la console per gestire i computer, tale parametro va impostato su "no".
    Per ulteriori informazioni, consultare l'articolo "I parametri della riga di comando utilizzati da setup.exe".
  15. Salvare il file e chiudere la finestra.
  16. Nella finestra di dialogo "Proprietà di avvio", cliccare su "Aggiungi".
  17. Nella finestra di dialogo "Aggiunta script", cliccare su "Sfoglia".
  18. Selezionare il file "InstallSAV.bat" e cliccare su "Apri".
  19. Cliccare su OK | Applica | OK.

Nota: lo script verrà eseguito in tutti gli avvii successivi, a meno che non lo si rimuova dopo la prima distribuzione di Endpoint Security and Control.

Istruzioni per la modifica dello script

Quando si modificano questi script, si prega di notare che:

  • Se si inserisce un comando nella finestra di modifica, l'intero comando deve essere collocato su un'unica riga.
  • Se si inserisce un'interruzione di riga, il comando non verrà eseguito.
  • È necessario disabilitare il ritorno a capo automatico.

Può sembrare che i comandi visualizzati in questo articolo vadano a capo; tuttavia ciò è semplicemente dovuto al ritorno a capo automatico in questa finestra. L'editor di testo utilizzato nella procedura precedente non ha questo tipo di limitazioni, fermo restando che il ritorno a capo automatico sia stato disabilitato.
In tutti gli esempi forniti, il testo:

\\SERVER\SophosUpdate\CIDs\Sxxx\SAVSCFXP\Setup.exe -updp "\\SERVER\SophosUpdate\CIDs\Sxxx\SAVSCFXP" -user USER -pwd PWD -mng yes

...deve essere su un'unica riga.

Come escludere determinati computer dall'esecuzione dello script

Il seguente script di avvio fornisce un esempio di come escludere due computer (SERVER1 e SERVER2) da un'installazione effettuata mediante questo script.

  1. Cercare il nome host specifico del o dei computer da escludere:
    1. Su ciascun computer da escludere, aprire un prompt dei comandi (Start | Esegui | Digitare: cmd.exe | Premere Invio).
    2. Digitare il seguente comando e premere il tasto Invio:
      SET
    3. Nell'elenco delle variabili di ambiente restituito, cercare la voce "COMPUTERNAME=".
    4. Annotare il nome host visualizzato dopo l'uguale (=).
  2. Nel seguente esempio, utilizzare i nomi host così ricavati al posto di "SERVER1" e "SERVER2".
    @ECHO OFF
    REM --- Check for an existing installation of Sophos AutoUpdate on 32-bit (the 'Sophos AutoUpdate Service' process)
    IF EXIST "C:\Program Files\Sophos\AutoUpdate\ALsvc.exe" goto _End
    REM --- Check for an existing installation of Sophos AutoUpdate on 64-bit (the 'Sophos AutoUpdate Service' process)
    IF EXIST "C:\Program Files (x86)\Sophos\AutoUpdate\ALSVC.exe" goto _End
    REM --- Check for an existing installation of Sophos Anti-Virus on 2003/XP (the SAV adapter config file)
    IF EXIST "C:\Documents and Settings\All Users\Application Data\Sophos\Remote Management System\3\Agent\AdapterStorage\SAV\SAVAdapterConfig" goto _End
    REM --- Check for an existing installation of Sophos Anti-Virus on Vista+ (the SAV adapter config file)
    IF EXIST "C:\ProgramData\Sophos\Remote Management System\3\Agent\AdapterStorage\SAV\SAVAdapterConfig" goto _End
    REM --- Check for servers not to install to
    if %COMPUTERNAME% == SERVER1 goto _End
    if %COMPUTERNAME% == SERVER2 goto _End

    REM --- Deploy to Windows 2000/XP/2003/Vista/Windows7/2008/2008-R2
    \\SERVER\SophosUpdate\CIDs\Sxxx\SAVSCFXP\Setup.exe -updp "\\SERVER\
    SophosUpdate\CIDs\Sxxx\SAVSCFXP" -user USER -pwd PWD -mng yes
    REM --- End of the script
    :_End

 
Per maggiori informazioni o per assistenza, vi preghiamo di contattare il supporto tecnico.

Valutate l'articolo

Molto scadente Eccellente

Commenti