Chocolatey + PowerShell: как развернуть софт на 100 ПК за час

Представьте: ваша организация закупила 100 новых компьютеров, на каждый из которых нужно установить десяток различных программ (текстовые редакторы, браузеры, средства коммуникации, разработки и тд.). Ручная установка займёт огромное количество времени, а ошибки и человеческий фактор удвоят затраченное время вдвое.

Но есть способ лучше — автоматизация через Chocolatey и PowerShell. В этой статье разберём:

1. Как развернуть ПО на всех машинах за кратчайший срок;

2. Как создать собственные пакеты и управлять ими;

3. Как внедрить данное решение в вашу организацию.

Если вы системный администратор, DevOps, ИТ-инженер или специалист ТП — постараюсь помочь сэкономить вам десятки часов рутинной работы.

Автоматизация установки ПО в корпоративной сети

Итак, основная проблема. Недавно моя организация закупила партию из 100 новых машин, которые требуют установку набора ПО в зависимости от отдела (бухгалтерия, юристы и тд.). Решать задачу вручную слишком долго, поэтому я выбрал Chocolatey для экономии времени, о котором уже был наслышан от коллеги.

Подводные камни:

• Корпоративная сеть закрыта, поэтому нет доступа к официальному репозиторию Chocolatey.

• Загрузка пакетов с мировой паутины запрещена политикой безопасности.

Исходя из этого, решение напрашивается само: развёртывание локального репозитория Chocolatey. Далее постараюсь расписать процесс максимально подробно. Приступим:

Подготовка инфраструктуры

Для реализации потребуется:

1. Локальный сервер или общая сетевая папка для хранения пакетов.

2. PowerShell 5+ с правами администратора.

3. Пакеты .nupkg (в моём случае — собранные вручную).

Варианты локального репозитория:

1. NuGet.Server — самый простой вариант для Windows.

2. Nexus Repository — гибкое решение для больших сетей.

3. Общая сетевая папка — быстрый и простой вариант, но со своими минусами.

В качестве итогового решения выбрал сетевую папку. Причины очень просты, оно не требует дополнительных серверных компонентов, которыми на данный момент я не располагаю. К минусам же могу отнести:

• Низкая производительность при массовой установке (поэтому я буду устанавливать ПО, разбив установку на группы по 20-25 машин).

• Отсутствие контроля версий как в полноценных репозиториях.

Начнем с установки Chocolatey в закрытой корпоративной сети. Для начала нам нужно скачать установочный файл (chocolatey.2.4.3.nupkg) с официального сайта Chocolatey. Далее выполняем перечень команд:

# Переходим в папку с .nupkg cd "C:\Users\Admin\Desktop"  # Распоковываем .nupkg как архив  Rename-Item -Path "chocolatey.2.4.3.nupkg" -NewName "chocolatey.2.4.3.zip" Expand-Archive -Path "chocolatey.2.4.3.zip" -DestinationPath "C:\ChocoInstall" -Force  # Запускаем установку Set-ExecutionPolicy Bypass -Scope Process -Force  & "C:\ChocoInstall\tools\chocolateyInstall.ps1"  # Проверяем корректность установки choco --version 

Создание собственного пакета для распространения

Перед созданием пакета потребуется:

• Установленный Chocolatey на машине разработчика;

• Доступ к установочным файлам в сетевой папке;

• Права администратора на машине, где создаём пакет;

• Текстовый редактор для изменения файлов пакета (VS Code, Notepad++, Блокнот).

Если все требования соблюдены — приступим к созданию:

• Генерируем нашу заготовку .nuspec:

choco new buh

Команда создаст шаблон в папке buh (данный пакет мы направим на машины бухгалтеров):

• Редактируем buh.nuspec в текстовом редакторе:

<?xml version="1.0" encoding="utf-8"?> <package xmlns="http://schemas.microsoft.com/packaging/2015/06/nuspec.xsd">   <metadata>     <id>buh-software</id>     <version>1.0.0</version>     <title>ПО для бухгалтерии</title>     <authors>Ваша организация</authors>     <description>Пакет стандартного ПО для отдела бухгалтерии</description>     <tags>бухгалтерия 1с контур office</tags>   </metadata>   <files>     <file src="tools\**" target="tools\" />   </files> </package>

• Редактируем chocolateyinstall.ps1:

# Политика обработки ошибок: выполняет остановку скрипта при любой ошибке $ErrorActionPreference = 'Stop'   # Параметры установки $installers = @(     @{ Name = '1C'; Path = "\\IT\software\buh\1C\setup.exe"; Args = "/S"; Shortcut = "C:\Program Files\1C\1CEStart.exe" },     @{ Name = 'KonturExtern'; Path = "\\IT\software\buh\KonturExtern\install.msi"; Args = "/i `"$($_.Path)`" /qn"; Process = "msiexec.exe" },     @{ Name = 'BankClient'; Path = "\\IT\software\buh\BankClient\setup.exe"; Args = "/S" },     @{ Name = 'Office'; Path = "\\IT\software\buh\Office\setup.exe"; Args = "/configure configuration.xml" } )  # Установка всех программ foreach ($app in $installers) {     try {         $process = Start-Process -FilePath ($app.Process ?? $app.Path) -ArgumentList $app.Args -Wait -PassThru         if ($process.ExitCode -ne 0) { throw "Exit code $($process.ExitCode)" }         Write-Host "$($app.Name) установлен успешно" -ForegroundColor Green     }     catch {         Write-Warning "Ошибка установки $($app.Name): $_"     } }  # Создание ярлыка (у меня только для 1С по просьбе бухгалтерии) if (Test-Path $installers[0].Shortcut) {     $WshShell = New-Object -ComObject WScript.Shell     $Shortcut = $WshShell.CreateShortcut("$env:Public\Desktop\1C Предприятие.lnk")     $Shortcut.TargetPath = $installers[0].Shortcut     $Shortcut.Save() }

4. Собираем готовый пакет:

choco pack

Возможно потребуется использование:

cd C:\Users\Admin\Desktop\buh # После выполнения команды повторяем 'choco pack'

Наш пакет в расширении .nupkg готов, копируем в сетевую папку и проверяем работоспособность пакета на тестовой машине:

choco install buh-software -y --source="';\\IT\Software\choco'" --force

Возможные проблемы и их решения

В процессе внедрения автоматической установки пакетов в корпоративной среде я столкнулся с рядом нюансов, которые могут помешать развёртыванию. Далее перечислю самые распространённые проблемы и способы их обхода:

Ошибки доступа к общей папке: скрипт выдаёт ошибку «Access denied» или «Network path not found».

• Необходимо проверить права УЗ, с которой выполняется скрипт. У неё должны быть права на чтение/запись;

• Возможно потребуется добавить исключение в брандмауэр:

New-NetFirewallRUle -DisplayName "Allow SMB for Chocolatey" -Direction Inbound -Protocol TCP -LocalPort 445 -Action Allow

Долгая установка на некоторых машинах: логи показывают таймаут или скрипт вовсе зависает на отдельных машинах.

1. Сократить список до 15-20 машин (пример с разбивкой указан ниже);

2. Добавить -ThrottleLimit 10 в Invoke-Command чтобы ограничить параллельные сессии.

Развёртывание ПО на машинах

После подготовки пакетов необходимо развернуть ПО на всех машинах. Для себя выбрал установку через PowerShell Remoting, но есть и альтернативный вариант через GPO.

-NoProfile -ExecutionPolicy Bypass -Command "choco install buh-software -y --source='\IT\Software\choco' --cache-location='C:\Windows\Temp\choco'"

В примере установка только на 23 машины бухгалтеров. Для развёртывания на все машины разом (без разделения на отделы) можно использовать разбивку на группы (по 20 единиц):

$groups = $computers | Select-Object -First 100 | Select-Object -Skip 0 -First 20

Использовать для развёртывания будем скрипт:

# Импорт из .csv + фильтр для бухов $computers = Import-Csv -Path "C:\IT\Deployment\computers.csv" |               Where-Object { $_.Department -eq "Бухгалтерия" } |               Select-Object -ExpandProperty ComputerName  # Проверяем компьютеры if (-not $computers) {     Write-Warning "Не найдено компьютеров отдела Бухгалтерия в CSV файле"     exit }  # Путь к ZIP-архиву с Chocolatey на сетевой шаре $chocoZipPath = "\\IT\Software\choco\chocolatey.zip" # Временный каталог для распаковки на машинах $tempChocoPath = "C:\Temp\ChocolateyInstall"  foreach ($computer in $computers) {     try {         # Проверяем доступность машины         if (-not (Test-Connection -ComputerName $computer -Count 1 -Quiet -ErrorAction SilentlyContinue)) {             Write-Warning "$computer недоступен"             Add-Content -Path "C:\IT\Deployment\failed.txt" -Value "$computer - недоступен по сети"             continue         }          # Устанавливаем Chocolatey из архива         $session = $null         try {             # Создаем сессию             $session = New-PSSession -ComputerName $computer -ErrorAction Stop                          Invoke-Command -Session $session -ScriptBlock {                 param($zipPath, $installPath)                                  # Создаем временный каталог                 if (-not (Test-Path $installPath)) {                     New-Item -ItemType Directory -Path $installPath -Force | Out-Null                 }                                  # Копируем архив на целевую машину                 $localZipPath = Join-Path $env:TEMP "chocolatey.zip"                 Copy-Item -Path $zipPath -Destination $localZipPath -Force                                  # Распаковываем архив                 try {                     Add-Type -AssemblyName System.IO.Compression.FileSystem                     [System.IO.Compression.ZipFile]::ExtractToDirectory($localZipPath, $installPath)                 } catch {                     Write-Warning "Ошибка распаковки Chocolatey: $_"                     throw                 }                                  # Добавляем путь к Chocolatey в переменную PATH                 $chocoBinPath = Join-Path $installPath "tools"                 $envPath = [Environment]::GetEnvironmentVariable("PATH", "Machine")                 if (-not $envPath.Contains($chocoBinPath)) {                     [Environment]::SetEnvironmentVariable(                         "PATH",                          "$envPath;$chocoBinPath",                          "Machine"                     )                     $env:PATH += ";$chocoBinPath"                 }                                  # Устанавливаем переменную окружения ChocolateyInstall                 [Environment]::SetEnvironmentVariable(                     "ChocolateyInstall",                      $installPath,                      "Machine"                 )                                  # Добавляем локальный репозиторий                 Start-Sleep -Seconds 5 # Даем время для инициализации                 & choco source add -n="LocalRepo" -s="\\IT\Software\choco" --priority=1 -ErrorAction Stop                                  # Устанавливаем пакет                 & choco install buh-software -y --source=LocalRepo --force -ErrorAction Stop                                  # Очищаем временные файлы                 Remove-Item $localZipPath -Force -ErrorAction SilentlyContinue                              } -ArgumentList $chocoZipPath, $tempChocoPath -ErrorAction Stop              Write-Host "$computer : установка завершена успешно" -ForegroundColor Green         } catch {             Write-Warning "Ошибка на $computer : $_"             Add-Content -Path "C:\IT\Deployment\failed.txt" -Value "$computer - ошибка установки: $_"         } finally {             if ($session) { Remove-PSSession -Session $session }         }     }     catch {         Write-Warning "Ошибка при обработке $computer : $_"         Add-Content -Path "C:\IT\Deployment\failed.txt" -Value "$computer - ошибка обработки: $_"     } }

После успешного развёртывания ПО на всех машинах удалось достичь следующего:

1. Временные показатели:

   • Ручная установка занимает ~40 минут на машину × 100 = ~66 часов;

   • Установка с помощью Chocolatey: ~10 часов (с подготовкой и созданием 5 пакетов для разных отделов);

   • Экономия: 56 часов рабочего времени.

2. Масштабируемость:

   • Данное решение готово к развёртыванию на новых машинах/обновлению ПО на старых;

   • Процесс установки новых версий ПО упрощён в разы.

Итог

1. Решение, описанное в статье, позволяет развёртывать и создавать собственные пакеты ПО для разных нужд и отделов на множестве корпоративных компьютеров с минимальными затратами труда.

2. Данный подход не является совершенным, что было описано в начале статьи. Опыт показал, что решение хоть и легко масштабируется, но является не самым быстрым. Для себя решил, что обязательно буду рассматривать внедрение Nexus Repository или его аналогов.

В заключение, если у вас остались какие-то вопросы — буду рад помочь, обсудить. Если метод несовершенен — обязательно пишите комментарии, всё прочитаю, изучу, исправлю. Надеюсь, что моё решение натолкнёт вас на интересные мысли или поможет по аналогии автоматизировать работу в своей организации! Внедряйте, автоматизируйте, пусть рутина останется позади!

P.S. Я запустил свою группу в Телеграмм, буду рад видеть всех, кому интересен процесс написания скриптов и автоматизация в мире IT.