Instalación masiva Hotfix MS08-067 utilizando Group Policies

Por: Sebastian del Rio / Revisión: Daniel Seveso

Problema

Según la última actualización crítica de microsoft descripta en el boletín MS08-067, la misma debe ser instalada en todos los sistemas operativos , teniendo en cuenta esto deberemos pensar en un deployment masivo de la misma.

Que opciones tenemos ?

  • WSUS ( Recomendada)
  • SMS o SCCM
  • Group Policy

En este caso vamos a verificar como hacerlo con nuestro Active directory sin ningun otro software utilizando Políticas de Grupo

Procedimiento

1- Deberemos descargar el hotfix desde el link de descarga correspondiente en nuestro caso el deployment lo haremos sobre estaciones Windows XP Service Pack 2 por lo cual descargaremos el archivo ejecutable desde la siguiente ubicación.

2 - Ahora crearemos una carpeta compartida en nuestro servidor en nuestro caso la carpeta se llama share en el servidor msft-dc01. Por lo cual el nombre del share ha quedado \\msft-dc01\Share donde situaremos el archivo ejecutable que hemos descargado en el paso anterior.

3 - Vamos a abrir nuestra GPMC tipeando gpmc.msc en nuestro Domain controller donde nos dirigiremos hacia la carpeta WMI FILTERS los cuales serviran para aplicar la politica segun las condiciones que queramos.

- Iremos a la carpeta WMI Filters , donde seleccionaremos la opcion NEW haciendo boton derecho en la carpeta.

- ingresaremos el Nombre del Filtro en nuestro caso Deploy Hotfix 08-067 y presionaremos Add

image

- En la siguiente pantalla donde definiremos el query deberemos asegurarnos que el NameSpace diga root\CIMv2 y utilizaremos la siguiente query para indicarle a este filtro que chequee la que el resultado de Win32_OperatingSystem sea Microsoft Windows XP Professional

Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP
Professional"

Presionaremos OK

- Ahora presionaremos Add de nuevo y agregaremos otra query para consultar por la version de Service Pack instalada. En nuestro caso precisamos Service Pack 2 Instalado.

Nuevamente nos aseguraremos de tener el Namespace apuntando a root\CIMv2 y agregaremos la siguiente query

Select * from Win32_OperatingSystem where CSDVersion = "Service Pack 2"

El resultado será

image

Presionaremos Save.

NOTA : Un filtro WMI consiste en un query hecho al sistema el cual devolvera un valor true or false segun corresponda , en nuestro caso lo utilizaremos para detectar las máquinas con Windows XP Service Pack 2 instalado, si la respuesta a la query es Verdadero la política se aplicará.

Más información acerca de filtros WMI en el siguiente link

Vale aclarar que los WMI Filters solo funcionaran en Windows XP o superior no siendo tomados en cuenta en Windows 2000.

4- Crearemos un archivo llamado Deployment.CMD con la siguiente sintaxis, y guardaremos el mismo en la carpeta NETLOGON de nuestro domain controller

Deployment.cmd

\\server\Share\WindowsXP-KB958644-x86-ENU.exe /quiet /norestart

5- Crearemos una nueva política y la asignaremos a nivel de dominio en nuestro caso, a la misma solo le setearemos dentro de Computer Configuration – Windows Settings - Scripts – Startup donde seleccionaremos el archivo creado en el paso 2.4.

NOTA : cuando seleccionamos la ubicacion debemos estar seguros de situar la ubicacion de red o sea \\server\share\script.cmd

6- Ejecutaremos en nuestro domain controller el comando gupdate /force

7- En nuestro caso tomamos una maquina del dominio la cual reiniciamos para forzar la aplicacion del Startup Script.

8- Para asegurarnos de que el script haya ejecutado correctamente nuestra instalacion podremos chequear en la máquina cliente en la carpeta c:\windows donde deberemos tener un archivo de texto llamado en este caso KB958644 (El nombre corresponde a la KB que hayamos instalado)

En el mismo podremos chequear que la instalacion haya sido correcta

Troubleshooting

  • Chequear Event Viewer en la maquina cliente viendo eventos de Userinit
  • Verificar el archivo KB958644 ubicado en C:\Windows

Si seguimos con incovenientes podemos verificar el log correspondiente a userenv el cual deberemos activar.

  • Habilitar UserEnv y verificar el log correspondiente usando la información en este artículo:
    KB 910206 Cómo solucionar los errores de procesamiento de objeto de directiva de grupo que se producen en varios bosques

Espero sea de utilidad , y hasta la proxima!