Ghost Solution Suite (GSS) in english

Preface

Ghost Solution Suite (GSS) is Symantec's tool for centralized management of workstations. In fact, I maintained computer classrooms with this tool for several years. So i think i know something about this:)

GSS server installation

Preparations before installation

GSS needs user in Active Directory with certain privileges. This user account is called console service account. Create user account to AD. A good practice is remove the password expiration, because only GSS use this account. It is also reasonable add this user to Deny logon local in default domain policy. For preventing the user abuses.
Next use Delegate Control feature to provide additional rights for service account to the desired OU. For security reasons, its not wise give rights to hole domain, but only where rights are needed. Give rights like in next photos.

image-2d
image-0d
image-4d

Use GPO to define following exceptions to desktops firewall:
Program: c:\program files\symantec\ghost\ngctw32.exe, scope: ghost server
File and printer sharing on all ports, scope: ghost server
This way you can allow installing GSS client to workstations without any special workarounds. Scope protects that opened holes cannot be used elsewhere.
You can also install client using GPO, then opening file and printer sharing is not needed. But if you want to use GSS own client deployment tool then file and printer sharing is needed to be open. When the client is installed it automatically open a hole for ngctw32.exe, but it doesn't define scope. For this reason using a centralized firewall rule is a good choice.

Installing GSS software

Time to start installing servers software.
1.jpeg
3b.jpeg
4.jpeg
6.jpeg
7.jpeg
8.jpeg

Open Ghost console (start -> All Programs -> symantec ghost). First, you receive a warning that the license is not given, just click OK. Next console itself opens. First time run window will open, select domains.

9.jpeg

Select "Edit" and give previously created console service accounts username and password.

12.jpeg

After this press "Add …" and enter your domain name. Remember uncheck create service account.
If you create service account from here you must separately delegate needed rights for account. Also you have to use account that have rights to create users to AD.
13.jpeg

Next register console. Choose Help -> Register console.
14.jpeg

Browse license file and choose OK.
15.jpeg

If the license file was valid, you will be notified successful registration. After this you can see the status of your license.
16.jpeg

GSS is now ready for use.

Ghost Solution Suite Tools

Gss is a collection of various tools. This section will quickly cover these tools.

AIBuilder

With this tool you can edit Ghosts software packaging format packages. Packages are created with AutoInstall tool.
17.jpeg

Ghost Boot Wizard

Boot wizard can create a ghost boot disks. In addition you can add new drivers in to boot disks. PC-DOS and Windows PE are standard boot environments. Ms-Dos and Linux are supported but requires use of separate measures. Pc-dos version has the advantage of lightness. While Windows PE is easier modify and has much better driver support. In addition Deploy Anywhere feature works only with Windows PE. In other words PC-dos should used only when Windows PE doesn't work (for example PE requires 256mb of memory to work).
18.jpeg

Ghost console

Console is central of GSS. Almost everything is carried out trough this user interface.
19.jpeg

Ghost Explorer

With this tool you can open and edit image files.
20.jpeg

GhostCast Server

This tool is for creating and distributing image files. It can be used independently or with console.
21.jpeg

User Migration Package Explorer

Tool for opening and editing user migration packages.
22.jpeg

GSS-Scripts

GSS-Scripts is a collection of scripts for various maintenance operations. scripts are stored in C:\Program Files\Symantec\Ghost\scripts. Newest version of scripts you can download from http://code.google.com/p/gss-scripts/ .

account.wsf: Service account creation script.

backupdb.wsf: Create a backup of GSS's settings, passwords, etc.

clientname.wsf: Find information about GSS clients directly from the database.

delclients.wsf: Seeking all information on the client in database and removes it. In certain situations removal of client via the Console is almost impossible when this is a very useful tool.

delfolders.wsf: Doing the same thing than delclients but it deletes folders.

password.wsf: Reset database management password.

restoredb.wsf: Restores backups created with backupdb.

setaccount.wsf: Sets new service account from cmd.

tail.wsf: I don't have understanding what this script does:)

GSS client installation

To be able to control machines with GSS you need to install client. Client can be installed manually, using GPO or with consoles remote client install feature.

Open Tools -> Remote Client Install…
23.jpeg
Choose computer or computers and press Add ». Pressing Add… you can input computer manually.

24.jpeg

Input username and password that have administrative rights in destination computer.

25.jpeg

Press install.

26.jpeg

Finally, you are notified for a successful installation. If the installation fails for some reason. You can troubleshoot problem by viewing the log.
27.jpeg

After successful installation the machine appears in Machine Groups -> Default. By double-clicking you can view clients information.

28.jpeg

Create image

Choose in console configuration resources -> images -> new image.
29.jpeg

Give name for image and define it's location
30.jpeg

Tasks -> new image create task

31.jpeg

Name the task. Define source machine and image where you want to store data. If source machine is joined in domain remember to choose "remove machine from domain before taking an image". After this press save and start task pressing execute. Now source machine will restart and image will be created.
32.jpeg

Image is ready for deployment.
37.jpeg

Distributing image

With image you can install large amounts of identical computers. However you must always remember that image is HAL dependent. Deploy Anywhere (DA) feature solves this problem, if the necessary drivers are found in the driver database. DA's biggest weakness is that it can distribute only the network and storage drivers (ie, sound cards, graphics cards, etc drivers are not distributed with DA).

Tasks -> new task
38.jpeg

Give name for task, choose clone ja configuration. And target machine or group.
39.jpeg

If the machine is shut down and WOL boot is enabled in it's bios. You can wake it up by enabling "use WOL when executing a task".

Note! GSS use as default multicast traffic. This however sets requirements for network. Switches should be able to support multicast traffic.
41.jpeg

In clone tab choose image to distribute. Also enable SID change in target machine.

40.jpeg

In Configuration define how to set computer settings (computer name, domain, OU).

Default: Uses targets current configuration. You can edit those settings properties -> configuration -> edit. These settings are forced to client when configuration is used in task.

Template: Configuration resources -> configurations. There you can create templates.

Custom: Whit this you can mix current configuration and template.

Press save and then close.
42.jpeg

Choose task and press Execute Task. Computer will be installed automatically with settings that have been set.
44.jpeg

AutoInstall

AutoInstall is a tool to create AI packages. Packages are created using "recording" technique.
ScreenShot006.jpg

After system check choose install file of the program what is going to be packaged and press monitor what will launch programs installation. Install program.
ScreenShot007.jpg

Name package and press compare
ScreenShot008.jpg

ScreenShot009.jpg

Now you can modify package. Press build to create AI package.
ScreenShot010.jpg

Package is ready for distribution with console. You can also install package manually or by using script.
ScreenShot011.jpg

Go to configurations resources -> AI Packages and choose new AI Package.

dc4zh2hb_18f3t8x9cn_b.jpeg

Name and choose package.
dc4zh2hb_20d6p9g7j4_b.jpeg

Software And File Actions

Is group of a functions which include AI package installation and removal, file transfer and execute commands in the client.

55.jpeg

Execute a Command

Very handy and useful tool. You can run local commands centralized in clients operating system. Commands are run with SYSTEM privileges.

Insert command you want to execute.
ScreenShot020.jpg

If you execute multiple commands in one task. You should use wait for the command to finish before continuing task. Also consider do you want to continue task if some command fails.
ScreenShot001.jpg

With move up and move down buttons you can define the order how commands are executed (top first…and so on)
ScreenShot002.jpg

Retrieve a File

Retrieves files from client.

Define file and then browse the location you want it to be placed.
ScreenShot005.jpg

Transfer Files and Folders

Copies files and folders to the client.

Choose file or folder you want to copy and define location on the client.
ScreenShot004.jpg

Install & Uninstall AI Package

Valitse asennettava paketti. Poistossa valitaan myös paketti joka on jo asennettu ja halutaan poistaa.
ScreenShot003.jpg

Inventointi

Inventointi jakaantuu kolmeen osaan Filter, Report ja View. Filterillä määritellään mitkä clientit täyttävät ehdot antamalla ehtoja. View taas esittää halutusta kohteesta tietyt tiedot. Report on sitten nämä kaksi toimintoa yhdistävä toiminto, joiden tuloksesta luodaan sitten raportti. Filteriin ja viewiin on tehty valmiita pohjia joita voi käyttää, lisäksi voit luoda uusia ja muokata olemassa olevia.
Jotta tietoa pystyy käsittelemään pitää se ensin kerätä clienteiltä. Tämä tapahtuu ajamalla taski ja laittamalla refresh inventory päälle. Itse olen ottanut käytännöksi pitää kyseistä ominaisuutta aina päällä kun jotain taskia ajetaan, näin ollen tiedot tulee päivitettyä inventointia varten. Pelkästään refreshinkin voi ajaa taskissa.
Clientit joista ei ole kerätty inventointi tietoja löytyvät dynamic mchine groups -> Inventory not Collected or Incomplete Support kansiosta.

65.jpeg

Mene report ja valitse new inventory report. Valitse kohde ryhmä (jos valitset yksittäisen koneen filteriä on luonnollisesti turha käyttää), filteri ja viewi. Lopuksi paina run report.

66.jpeg

Nyt saat ehtosi täyttämät koneet joista on selvitetty näytönohjaimen tiedot.
Create group napilla voi luoda näistä koneista dynamic mahine groupin jolloin voit kohdistaa näihin clientteihin taskeja. Exportilla tallenetaan raportti txt tai csv muotoon ja printillä voi tulostaa raportin.
67.jpeg

Työaseman tietoturvallinen tyhjennys

Kun työasema poistetaan käytöstä on sen tietojen tuhoamisesta huolehdittava. GSS:n levyntyhjennys toiminto täyttää USAn puolustusministeriön asettamat vaatimukset levyntyhjennyksestä.
Consolessa tools -> Erase Machine
erase1.jpeg

Valitse client tai ryhmä. Tyhjennettävät levyt sekä täppä kohtiin secure erase ja remove client. Huom! Remove client ei poista clienttiä kohde koneelta vaan consolesta sitä koskevat tiedot.
erase2.jpeg

Ajastetut tehtävät

GSS aloittaa tehtävän suorittamisen saman tien kuin annat execute komennon. Välillä kuitenkin tehtävä pitää suorittaa esimerkiksi yö aikaan tai automatisoida toistuva tehtävä. Tällöin voi käyttää schedule toimintoa.

Valitse ajastettava taski ja paina schedule.

schedule1.jpg

Select napilla voit valita suoritettavan taskin

schedule2.jpg

Paina set password ja syötä käytettävän tunnuksen salasana.

schedule3.jpg

Määrittele haluttu ajankohta.

schedule4.jpg

GSS pystyy suorittamaan tehtävän vain jos client on päällä. Joten wol buut kannattaa ottaa taskissa käyttöön. Oletus asetuksilla GSS odottaa 20 minuuttia clienttejä jonka jälkeen todetaan tehtävän epäonnistuneen clientin kohdalta. Jos haluat muokata odotusaikaa.
Mene tools -> options

schedule5.jpg

Preferences välilehdellä muokkaa server timeout kohtaa.

schedule6.jpg

Ajurien lisääminen ajuritietokantaan

GSS:n mukana tulee melko laaja ajuritietokanta ja silloin tällöin uusia ajureita tulee päivityksien mukana. Kuitenkin ennemmin tai myöhemmin tulee tilanne jossa laitteeseen ei löydy sopivaa network tai storage ajuria. Tällöin ajuri pitää lisätä itse ajuritietokantaan.
Jos sopivia ajureita ei ole tietokannassa koneita ei pysty käynnistämään preOS tilaan. Lisäksi deploy anywhere toiminto käyttää samaa tietokantaa.

Avaa boot wizard -> valitse Windows PE -> Edit -> windows pe editorissa WinPE -> Edit.
Huom! Oletuksena käytössä on kaksi WinPE imagea (WinPE ja WinPE-512). WinPE-512:sta on oletuksena liitetty suurempi määrä ajureita ja nimensä mukaisesti se vaatii koneelta minimissään 512mb keskusmuistia. WinPE on taasen kevennetty versio ja se vaatii vain 256mb keskusmuistia.

33.jpeg

Paina Add new driver -> etsi browsella ajuri, anna ajurille nimi ja käyttöjärjestelmät joilla tämä ajuri toimii -> paina OK. Ajuri on nyt tietokannassa ja deploy anywhere pystyy käyttämään sitä.
Huom! Windows PE on käytännössä karsittu Vista. Eli sen käyttöä varten tarvitaan Vista ajureita. Muitten käyttöjärjestelmien ajureita tarvitaan kun niitä asennetaan Deploy anywhere toiminnalla.

36.jpeg

Ajuri pitää vielä liittää haluttuun PreOS imageen. Lisää täppä haluttuun ajuriin ja paina OK, jonka jälkeen ajurin lisääminen alkaa automaattisesti.
35.jpeg

Console boot cd

Kun koneessa ei ole käyttöjärjestelmää ei siihen ei voi asentaa luonnollisesti clienttiäkään. Tällöin kone pitää buutata preos tilaan, jonka jälkeen konetta voidaan operoida consolen avulla. PXE buuttaus on oiva tapa clientin syöttämiseen ja GSS:n mukana tuleekin 3com boot services tätä toimintaa varten. lisäksi RIS integraatiokin on mahdollista.
Ainakin omassa työssä olen kuitenkin havainnut että tälläiset tyhjäkone tilanteet ovat hyvin vähäisiä, josta olen todennut että PXE tarpeeseen nähden on turhan työläs. Olen päätynyt käyttämään simppelimpää ja varmatoimisenpaa ratkaisua, eli bootti cd:tä (PXE:tä käyttäessäkään ei välty koneen luona käymiseltä).
Jostain syystä boot wizardissa ei ole valmiina console boot cd:n tekoa. Joten se vaatii hieman virittelyä.

Valitse WinPE ja Next
46.jpeg

Standard Ghost Boot Disk, next
47.jpeg

Next
48.jpeg

Next
49.jpeg

Next. Jos käytössä ei ole DHCP palvelinta pitää sinun määritellä verkkoosi sopivat asetukset.
50.jpeg

Valitse create ISO image sekä osoita tallennuspaikka sekä anna tiedostolle nimi.
51.jpeg

Lisää add napilla tiedostot ngctw32.exe ja ghwalk32.exe (tiedostot löytyvät c:\program files\symantec\ghost\). Destination folder on ghost.
52.jpeg

Paina start editing ja poista START.BAT: kohdan jälkeinen teksti ja korvaa se seuraavalla tekstillä.
Voit myös ohittaa tämän vaiheen ja muokata imagea lopuksi. Tällöin muokkaa start.bat tiedostoa joka löytyy ghost kansiosta.

set path=%path%;x:\ghost

x:
cd \ghost
rem --- This will remove any traces of virtual partition from hard drive ---
gdisk32.exe /revert  >> x:\ghost\startlog.txt

rem --- This will create primary OS drive configuration ---
ghost32.exe /setosdrives /blind >> x:\ghost\startlog.txt
start ngctw32.exe -console

Lopuksi paina stop editing ja etene wizardi loppuun.
53.jpeg
ISO image on valmis voit polttaa sen levylle. Kun buuttaat koneen tällä levyllä ilmestyy se consoleen nimettynä MAC osoitteellaan. Jos kyseinen kone on jo consolessa osaa silloin käyttää entisiä tietojaan.

Vistan asennus ja KMS aktivointi

KMS aktivointi on suurasiakkaille tarkoitettu "oma" aktivointi palvelu. Kun työaseman kloonaa perinteisesti ja ghostwalkeria käytetään sidin luomiseen niin Vista ei aktivoidu oikein KMS palvelimelle. Ongelma ratkeaa uudelleen aktivoimalla työasema asennuksessa. Lisää asennus taskiisi pari komentoa käyttäen execute command toimintoa.
Ensin:

cscript C:\windows\system32\slmgr.vbs -rearm

Jonka jälkeen
shutdown -r
ScreenShot014.jpg

Windows 2008 sekä uudemmat domain controllerit ja Windows XP

Johtuen W2K8:n default domain policyn tietoturva asetuksista GSS ei saa liitettyä winxp työasemia domainiin. Ongelma ratkeaa asentamalle WinXP koneisiin tämän päivityksen. Päivityksenkin jälkeen pcdos buutti ympäristöllä liittäminen ei onnistu, joten viimeistään nyt kannattaa alkaa käyttämään winpe:tä.
Tämä ongelma vaikuttaa myös Vista työasemiin mutta korjaus on lisätty SP1 päivityspakettiin.

GSS ja useampi AD domain

GSS pystyy toimimaan useammassa kuin yhdessä domainissa. Uuden domainin käyttöönotto tapahtuu seuraavasti.

Tools -> supported domain list. Paina add ja syötä domain kenttään lisättävä domain.

gsssdl02.jpg

GSS:ään voi määritellä vain yhden service accountin. Niinpä joudut uuteen domainiin luomaan täysin samalla nimellä ja salasanalla varustetun service accountin. Luonnollisesti tarvittavat oikeuksien delegoinnit pitää suorittaa.

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-NoDerivs 3.0 License