Как стать автором
Обновить

Комментарии 17

На небольших предприятиях скрипт действительно может быть полезен.
Но Вы не предусмотрели что могут быть и 64-bit клиенты. Вариант установки\проверки JRE x86 на 64-битных компьютерах отсутсвует
Да, я задумывался об этом вопросе. Несколько причин, почему оставил всё как есть. Скрипт имеет в первую очередь практическую направленность — обслуживание парка компьютеров (клиентов) в зоне моей ответственности. Практика показала, что 99% рабочих станций 32х-битные, а единичные случаи у кого 64х-битные — либо вообще не используют java, либо прекрасно обходятся 32х-битным плагином.

Далее, перед тем как опубликовать скрипт с поддержкой 64х-битных версий, надо его проверить. С тестовой средой проблем нет, но в продакшене у меня нет установленных 64х-битных java-плагинов, а выкладывать в паблик не откатанный на практике скрипт я считаю неэтичным.

В любом случае — переход на 64 бита это лишь вопрос времени, поэтому, выкладывая мои наработки в общий доступ, я надеюсь, что кто-нибудь форкнет и добавит поддержку 64х-битных версий раньше, чем жизнь заставит это сделать меня :).
«автоматическое обновление java» в гугле на первой странице половина ссылок сосредоточены на проблеме как отключить автоматическое обновление Java

Возможно эта ситуация возникает потому что
а для установки обновления от Sun необходимо чтобы пользователь обладал правами локального администратора, что часто встречается у домашних пользователей и никогда в доменной сети хорошего администратора.

Уведомления вылазят, пользователи запускают обновления, получают ошибки, начинают звонить кому ни попадя из it-отдела. И тем, кто занимается поддержкой пользователей в части использования софта, его настройки (т.е. хелпдеску, назовём так условно). И тем, кто занимается чисто железно-технической частью (ремонт, который можно совершить своими силами, заправка картриджей, протяжка СКС). И администратору. Для большинства пользователей такого разделения обязанностей нет, для них всё едино: компьютерщик, программист. Бороться с этим достаточно тяжко. В такой ситуации многие администраторы видят более простым решением отключать обновления.
Это одна причина. Вторая причина, которую видел — это софт написанный некоторыми писаками, который работает с исключительно определёнными версиями java. Тоже бывает.
Небольшой хинт — Flash, Java и прочая можно обновлять через WSUS.
Родного интерфейса для добавления сторонних пакетов у него нет, но сама возможность в архитектуру заложена, и есть несколько сторонних решений для этого — в т.ч. и бесплатных.
Несомненно можно. Но — неудобно и много возни — приходится делать много лишних движений.
Опять же — как
отслеживать появление обновлений на сайтах производителей (это несложно делать с плановыми обновлениями, а ведь иногда появляются срочные – внеплановые)
?
Все можно обновлять через WSUS, включая exe, но JRE и Flash представлены в ввиде родного msi от разработчиков, а добавить во WSUS msi — несколько кликов мышкой. Для отслеживания актуальных версий я использую плагин для браузера от SurfPatrol. И то, что вы пишите в статье про отсутствие родного msi — не соответствует действительности. Я тоже раньше велосипеды изобретал, вплоть до собственного приложения, но потом понял. что это не нужно.
И еще, чтобы отключить автоапдейт явы надо прописать в реестр один раз ключ, для текущей актуальной версии, далее при обновлении настройки будут сохраняться. Напрмер так:
HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_31\MSI','AUTOUPDATECHECK','REG_SZ','0'
в csJavaInstallerParams есть ключик JAVAUPDATE=0, который тоже должен отключать автоапдейт.
Для отслеживания актуальных версий я использую плагин для браузера от SurfPatrol
Уважаемый yosemity, подскажите, пожалуйста, как Вы получаете информацию о появлении новых версий плагинов (если это не вручную — запустить браузер и открыть страничку).

И то, что вы пишите в статье про отсутствие родного msi — не соответствует действительности

неверно, я не пишу что родного msi нет. Они есть. Но, повторяю, это неудобно. И если для для flash надо просто сходить на страницу Adobe Flash Player Distribution и выкачать 2 файла ( и прикрутить к WSUS), то для java придётся для каждой версии скачать Offline Install, достать из него MSI и CAB (How do I deploy Java using Active Directory across a network?). И прикрутить к WSUS. Зачем эти ежемесячные (а то и чаще) лишние хлопоты, если можно настроить 1 раз и переложить головную боль по поводу обновления плагинов со своей шеи на скрипт?

Не спорю — WSUS замечательная штука, через него можно делать многие полезные вещи. Его «движок» использует SCCM, можно и ручками раскидывать софт и обновления (напр. через Local Update Publisher). Но, как показывает практика, во многих компаниях на 10-30 пользователей домен AD есть, а WSUS еще нет…
Эту систему я разработал более 1.5 года тому назад (сейчас только причесал код и выложил в паблик), первый порыв был использовать WSUS + Local Update Publisher. Но мне показалось неудобным и трудоёмким. И требующим постоянного внимания, т.к. у меня в обслуживании несколько несвязанных между собой компаний, от 10 до 300 рабочих станций, WSUS есть не везде. Т.е. пришлось бы постоянно этим вопросом заниматься, выполняя обезьянью работу. А так я просто «держу руку на пульсе» просматривая отчёты.
Человек должен думать, а компьютер — работать.
Обложить всё скриптами и читать хабру — не это ли золотая мечта админа?
Браузер открыт всегда. в правом верхнем иглу иконка, если она синяя — все ок, если красная — что-то не то.

>Обложить всё скриптами и читать хабру — не это ли золотая мечта админа?
Для меня — нет, скучно становится, плюс деградация. Постоянно что-то кручу и изучаю. А WSUS доступен из инета в том числе. Я, например весь софт устанавливаю и обновляю через WSUS. У меня это список из 18 приложений. И если юзер просит установить какой-то софт, то если он бесплатный, я просто его разворачиваю всем. Писать скрипты — муторно и долго, у скриптов свои задачи.
Я не говорю, что обязательно юзать ВСУС, но это быстро, удобно и без велотранспорта.
Браузер открыт всегда. в правом верхнем иглу иконка, если она синяя — все ок, если красная — что-то не то.

ок. А что произойдёт, когда Вы будете в отпуске? Или заболеете? Кто будет смотреть на иконку?

Постоянно что-то кручу и изучаю.

Вот, и я о том же — скрипт писался, чтоб было больше времени и возможностей заниматься чем-то новым и действительно интересным, а не ловить момент появления обновлений и раскладывать их по 6 конторам.

В любом случае, для Вас скрипт тоже может быть полезен — он может следить за появлением новых версий плагинов и стучать в почту, а также с его помощью можно посмотреть версии плагинов, установленных на удалённом компьютере (/ShowVersion[:comp])

А если научить его самостоятельно выкладывать обновления во WSUS — тогда точно наступит админское счастье :)
> ок. А что произойдёт, когда Вы будете в отпуске? Или заболеете? Кто будет смотреть на иконку?

Да ничего не произойдет, ну заапрувлю на неделю-две позже, это не проблема, я в любом случае все апдейты на тестовой группе сначала разворачиваю, да и вообще, даже при 0day дыре в том же флеше не вижу критичной проблемы, довольно часто бывает, что вендор очень сильно опаздывает с апдейтами даже уже при во всю эксплуатируемых уязвимостях. Да и админских прав у юзеров нет. Если я заболею или еще чего, то несвежая Java — это фигня )) Кстати, и еще, если вы вдруг заболеете и Оракл или Адоб сменит алгоритм раздачи апдейтов, то тоже все полетит к чертям ;)

Повторюсь, я не говорю, что скрипт плохой, он замечательный. Я про то, что он всего лишь для JRE и Flash, при чем крайне узко заточенный. А еще есть куча софта, который надо обслуживать. Тратить столько времени на подгонку для каждого ПО — лишняя трата сил и времени. В рамках изучения — ради бога.

В этом случае обновления будут установлены с правами локального администратора при загрузке компьютера, тихо и незаметно для пользователя.

Вообще то «Автозагрузка» раздела «Конфигурация компьютера» выполняется от LocalSystem
Скачиваем скрипт, размещаем его, например, в папке NETLOGON на контроллере домена

Да забудьте вы уже про NETLOGON для скриптов входа давно есть специальные папки в каждой политике.

И интересно как поведёт себя Ваш скрипт, если для доступа в Интернет используется proxy-севрер?
Вообще то «Автозагрузка» раздела «Конфигурация компьютера» выполняется от LocalSystem

The LocalSystem account is a predefined local account used by the service control manager. [skip] Its token includes the NT AUTHORITY\SYSTEM and BUILTIN\Administrators SIDs; these accounts have access to most system objects.
© MSDN: LocalSystem Account (Windows)
что imho равнозначно фразе «правами локального администратора»

для скриптов входа давно есть специальные папки в каждой политике.

Лично я — сторонник централизации. Обычно размещаю сам скрипт в NETLOGON, а в папках политик — вызывающий файл, который уточняет параметры командной строки (для группы «тестеров» — продвинутых пользователей, которые первыми получают обновления включена высокая детализация и отправка сообщений на почту, остальным всё делается «втихую», чтоб не захламлять ящик сообщениями об успешных установках)
Так проще вносить изменения — придётся отредактировать только 1 файл, который будет использоваться всеми политиками.

И интересно как поведёт себя Ваш скрипт, если для доступа в Интернет используется proxy-севрер?

Специально не тестировал, но, т.к. используется ServerXMLHTTP, предполагаю, что оно будет подчиняться настройкам Proxycfg.exe (netsh winhttp set proxy для w2k8\w7), см. Frequently asked questions about ServerXMLHTTP Q6. What is the Proxy Configuration Utility?
Камрады, поделитесь, пожалуйста, мануалом как обновлять сабж через WSUS!
спасибо, добавил в статью
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории