Skip to content
Tenvo
Kembali ke BlogTutorial

Penyebaran MSI Remote Desktop: peluncuran perusahaan melalui Group Policy

Tenvo Editorial Team9 menit baca
Penyebaran MSI Remote Desktop: peluncuran perusahaan melalui Group Policy

Anda perlu memasang perangkat lunak akses-jarak-jauh pada ratusan atau ribuan mesin Windows yang tergabung domain tanpa harus memantau setiap PC. Masalahnya: pemasangan manual, pengaturan tidak konsisten, panggilan ke help-desk setelah pembaruan, dan kekhawatiran membuka akses jarak jauh secara keliru.

Anda perlu memasang perangkat lunak akses-jarak-jauh pada ratusan atau ribuan mesin Windows yang tergabung domain tanpa harus memantau setiap PC. Masalahnya: pemasangan manual, pengaturan yang tidak konsisten, panggilan help-desk setelah pembaruan, dan kekhawatiran membuka akses jarak jauh secara keliru. Panduan ini menjelaskan pendekatan yang dapat diulang dan diaudit untuk penyebaran MSI remote desktop menggunakan Group Policy (GPO), dengan tips praktis untuk konfigurasi, upgrade, dan pemecahan masalah.

Mengapa menggunakan GPO untuk penyebaran MSI remote desktop

Group Policy masih merupakan mekanisme paling sederhana di tingkat perusahaan untuk mendorong installer berbasis MSI ke klien Windows yang tergabung domain secara skala besar. Keuntungannya:

  • Terintegrasi dalam Active Directory — tidak memerlukan lisensi tambahan untuk penyebaran dasar.
  • Instalasi bertingkat per mesin (assigned) terjadi saat startup sebelum pengguna masuk (bagus untuk agen dukungan dan layanan).
  • GPO menyediakan waktu yang dapat diprediksi (startup atau logon pengguna) dan lokasi yang jelas untuk mengaudit status penyebaran.

Peringatan: GPO dibatasi pada endpoint Windows yang tergabung domain. Jika Anda mengelola perangkat cloud-only atau membutuhkan telemetri/rollback yang lebih kaya, pertimbangkan Microsoft Intune (Endpoint Manager), SCCM/ConfigMgr, atau konsol manajemen vendor. Untuk gambaran lebih luas tentang trade-off manajemen enterprise, lihat primer manajemen IT perusahaan kami di /enterprise-it-management.

Persiapan — file, network share, dan keputusan pengemasan

Sebelum menyentuh Group Policy, siapkan MSI dan putuskan bagaimana produk akan dikonfigurasi pada setiap mesin.

  1. Peroleh MSI: Unduh paket MSI dari vendor Anda (untuk Tenvo, ambil MSI di /download — pilih MSI x64 untuk mesin Windows 10/11/Server 2016+). Jaga nama file konsisten (misalnya: godeskflow-1.4.3-x64.msi) sehingga GPO Anda menunjuk ke path yang stabil.
  • Tentukan per-machine vs per-user: Untuk dukungan jarak jauh dan layanan, pasang per-machine (Computer Configuration -> Assigned). Hindari published user installs untuk agen dukungan karena published installs memerlukan intervensi pengguna dan tidak bisa memasang layanan yang membutuhkan hak sistem.
  • Konfigurasi: Jika MSI mendukung properti MSI untuk konfigurasi (misalnya, SERVERURL=, LICENSEKEY=), Anda dapat menyertakannya selama instalasi atau menyematkannya dalam file MST (transform). Jika vendor menyediakan file konfigurasi atau template registry, rencanakan untuk menyebarkannya melalui Group Policy Preferences atau skrip startup.
  • Network share: Letakkan MSI pada share berbasis SYSVOL atau file share yang sangat tersedia dan dapat dibaca oleh komputer saat startup. Praktik terbaik: gunakan path UNC pada file server, mis. \\fileserver\deploy\godesk\godeskflow-1.4.3-x64.msi. Izin NTFS: Domain Admins Full Control, SYSTEM Full Control, Authenticated Users Read (atau Domain Computers Read). Izin share: Everyone Read umum untuk kesederhanaan, namun batasi jika memungkinkan ke Domain Computers.")

    • Buat dan link GPO untuk instalasi assigned computer

    Gunakan Group Policy Management Console (GPMC) pada domain controller atau workstation admin untuk membuat GPO baru yang di-scope ke OU yang berisi mesin target Anda.

    1. Buat GPO: Buka GPMC, klik kanan OU target, pilih "Create a GPO in this domain, and Link it here...", beri nama mis. "Deploy — Tenvo MSI".
  • Konfigurasi Software Installation: Edit GPO dan navigasikan ke Computer Configuration -> Policies -> Software Settings -> Software installation. Klik kanan -> New -> Package. Masukkan path UNC ke MSI (\\fileserver\deploy\godesk\godeskflow-1.4.3-x64.msi). Pilih "Assigned" (bukan "Published").
  • Transforms / Properties: Jika Anda perlu mengatur properti MSI, ada dua pilihan utama:
    • Gunakan MST transform: Buat MST (menggunakan Orca atau tool pengemasan Anda) untuk mengatur entri registry default, license key, atau perilaku service. Di properties package GPO, buka tab "Modifications" dan tambahkan MST.
    • Gunakan Group Policy Preferences atau skrip startup untuk menulis key registry atau menaruh file konfigurasi setelah instalasi (berguna untuk item yang tidak diekspos sebagai properti MSI).

    Catatan: GPO Software Installation tidak meneruskan argumen baris perintah ke msiexec selama deployment. Untuk mengatur properti MSI pada saat instalasi Anda harus menggunakan MST atau memodifikasi package dengan transform.

    Firewall, layanan, dan pengaturan tambahan — buat instalasi siap produksi

    Menginstal MSI hanyalah bagian dari pekerjaan. Perangkat lunak akses jarak jauh biasanya membutuhkan port firewall, sebuah Windows service, dan kadang kunci TLS atau sertifikat perangkat. Berikut cara menangani hal tersebut dalam penyebaran GPO.

    • Aturan firewall: Gunakan Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Windows Defender Firewall with Advanced Security. Buat inbound rule untuk executable tertentu atau rentang port yang digunakan layanan remote desktop. Contoh: allow inbound TCP 3212-3220 atau izinkan path program godeskflow.exe. Kunci aturan ke profil yang tepat (Domain).
  • Akun service dan izin: Jika remote desktop memasang Windows service yang membutuhkan akun service khusus, siapkan akun tersebut di AD terlebih dahulu dan berikan "Log on as a service" melalui GPO (Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment).
  • Sertifikat / Kunci: Jika penyebaran Anda memerlukan kunci TLS atau sertifikat enterprise, sebarkan sertifikat ke machine store via Group Policy Preferences (Computer Configuration -> Preferences -> Windows Settings -> Registry / Files / Certificates). Lakukan ini sebelum service dimulai, atau gunakan skrip startup untuk mengimpor saat reboot berikutnya.

    • Pengujian, waktu, dan strategi rollout

    GPO software installation terjadi saat mesin startup. Harapkan perilaku berikut dan rencanakan rollout Anda sesuai:

    • Waktu: MSI yang di-assign ke komputer akan terpasang pada reboot berikutnya. Untuk pengujian, gunakan gpupdate /force untuk merefresh GPO untuk kebijakan, tetapi instalasi software tetap memerlukan reboot agar berlaku (kecuali Anda menjalankan MSI secara manual).
    • Rollout bertahap: Mulai dengan pilot OU (10–50 mesin) selama 1–2 minggu sebelum rollout lebih luas. Pantau trafik help-desk dan verifikasi perilaku firewall/service.
    • Verifikasi: Pada mesin target, jalankan gpresult /r untuk memastikan GPO diterapkan. Periksa Event Viewer -> Application untuk event MsiInstaller. Periksa juga status service vendor (services.msc) dan log lokal. Jika MSI mendukung logging, siapkan transform atau skrip untuk memanggil msiexec dengan /l*v C:\Windows\Temp\godesk-install.log untuk pemecahan masalah (berguna untuk pengujian manual).

    Upgrade, patch, dan rollback

    Mengelola pembaruan berskala besar adalah salah satu bagian tersulit. Tentukan pendekatan upgrade Anda sebelum menyebarkan.

    • Upgrade minor vs major: Perilaku Windows Installer tergantung pada ProductCode dan ProductVersion. Jika vendor menyediakan paket MSI upgrade yang sejati (dengan aturan update), Anda dapat mengganti MSI dalam package GPO atau menambahkan package baru dengan versi lebih tinggi dan mengatur opsi upgrade. Untuk major upgrade ProductCode mungkin berubah — uji bahwa upgrade GPO menghapus produk lama dan memasang yang baru dengan bersih.
  • Ganti vs package baru: Di GPMC Anda dapat klik kanan package yang ada -> "Properties" -> "Upgrades" untuk menambahkan package upgrade, atau menghapus package dan menambahkan MSI baru. Pendekatan paling bersih adalah membuat share yang diberi versi dan menambahkan assigned package baru dengan hubungan Upgrade ke product code yang lebih lama sehingga klien auto-upgrade pada reboot berikutnya.
  • Rollback: Simpan MSI sebelumnya. Jika paket baru bermasalah secara besar, Anda dapat membuat GPO baru yang menguninstall produk yang lebih baru (menggunakan skrip startup yang menjalankan msiexec /x {ProductGUID} /qn) dan menetapkan kembali MSI yang lebih lama. Uji rollback di pilot OU terlebih dahulu.

    • Daftar pemeriksaan pemecahan masalah

    Ketika instalasi gagal, ini biasanya penyebabnya dan cara cepat menemukan akar masalah:

    1. Periksa penerapan GPO: jalankan gpresult /h c:\temp\gpresult.html dan buka file itu. Konfirmasi software GPO terdaftar di Computer Settings.
    2. Periksa Event Viewer: Application log untuk entri MsiInstaller; System log untuk error saat startup; Group Policy Operational logs (Applications and Services Logs -> Microsoft -> Windows -> GroupPolicy -> Operational) untuk masalah pemrosesan kebijakan.
    3. MSI logging: jika Anda menguji installer secara manual, jalankan msiexec /i "\\fileserver\deploy\godesk\godeskflow-1.4.3-x64.msi" /l*v C:\Windows\Temp\godesk-msi.log untuk menangkap log pemasangan verbose.
    4. Izin: verifikasi akun komputer memiliki akses Read ke file share. SYSTEM mengakses share selama startup menggunakan akun mesin (DOMAIN\COMPUTER$). Gunakan \\\IPC$ untuk pengujian atau sementara berikan Authenticated Users Read untuk mengisolasi masalah izin.
    5. Firewall atau antivirus memblokir: beberapa produk AV memblokir pemasangan service atau registrasi DLL. Periksa log AV dan panduan vendor untuk whitelisting path atau hash.

    Alternatif dan trade-off yang jujur

    GPO bagus untuk fleet Windows yang tergabung domain, tetapi tidak selalu alat terbaik. Jelaskan trade-off secara eksplisit:

    • SCCM / ConfigMgr / MECM: Jika Anda butuh penyebaran bertahap, rollback, inventory, dan pelaporan terperinci, SCCM lebih kuat. Ia dapat menerapkan wrapper EXE, mentransform properti, atau pemasangan berbasis skrip dengan waktu dan pelaporan status yang tepat.
    • Intune / Endpoint Manager: Dikelola cloud, bagus untuk perangkat hybrid/cloud-only di mana GPO tidak mencapai. Gunakan Intune jika Anda mempunyai banyak perangkat non-domain atau kebutuhan manajemen modern.
    • Konsol cloud vendor: TeamViewer dan AnyDesk menyediakan konsol manajemen mereka sendiri yang dapat memasang agen dan mengelola pengaturan — seringkali lebih mudah untuk endpoint non-domain atau lintas platform. Mereka mungkin lebih unggul jika Anda butuh penyebaran agen lintas platform atau daftar perangkat yang di-host vendor — lihat perbandingan kami seperti godeskflow-vs-teamviewer-pricing dan anydesk-vs-teamviewer-2026 untuk sudut pandang fitur vendor.

    Untuk organisasi yang peduli soal self-hosting atau menghindari model cloud-only vendor, pertimbangkan panduan remote desktop self-hosted kami di /self-hosted-remote-desktop-guide. Tenvo dibangun untuk dapat di-self-host dan terintegrasi ke alur kerja penyebaran enterprise standar tanpa memaksa manajemen cloud-only.

    Daftar pemeriksaan keamanan untuk penyebaran remote desktop

    Akses jarak jauh membuka permukaan risiko; sebarkan dengan perhatian pada keamanan:

    • Gunakan sertifikat per-mesin atau PKI enterprise untuk TLS bila memungkinkan. Hindari kunci plain-text yang tidak aman atau secret bersama yang di-hardcode dalam transform.
    • Batasi aturan inbound firewall ke profil Domain dan ke subnet spesifik tempat stasiun manajemen berada.
    • Aktifkan logging dan pusatkan log ke SIEM untuk deteksi akses jarak jauh yang anomali. Tinjau metode otentikasi — utamakan sertifikat atau integrasi SSO daripada password statis.
    • Prinsip least privilege: berikan service akses seminimal mungkin, dan hindari pemasangan menggunakan akun dengan hak tinggi jika tidak perlu.

    Untuk pembahasan mendalam praktik akses jarak jauh yang aman, lihat panduan keamanan remote desktop kami di /remote-desktop-security.

    Referensi cepat: perintah dan path file

    Manual install (for testing on a client):
msiexec /i "\\fileserver\deploy\godesk\godeskflow-1.4.3-x64.msi" /qn /l*v C:\Windows\Temp\godesk-msi.log

Uninstall by Product GUID (example):
msiexec /x {PRODUCT-GUID-HERE} /qn /l*v C:\Windows\Temp\godesk-uninstall.log

Force GPO refresh on client:
gpupdate /force

Check applied policies:
gpresult /r

Check MSI logs in Event Viewer: Event Viewer -> Application -> look for MsiInstaller events

    Catatan akhir dan daftar pemeriksaan rollout yang direkomendasikan

    Sebelum Anda menggulirkan ke seluruh domain, jalankan daftar pemeriksaan ini:

    1. Pilot 10–50 endpoint di test OU selama minimal satu minggu kerja.
    2. Konfirmasi logging MSI dan perilaku service pada beberapa versi Windows (Windows 10 21H2, Windows 11 22H2, Windows Server 2019/2022 jika relevan).
    3. Validasi aturan firewall dan penyebaran sertifikat di lingkungan non-produksi.
    4. Dokumentasikan langkah rollback dan simpan MSI serta Product GUID sebelumnya.
    5. Beritahu tim help-desk dan operasi dengan langkah remediasi yang jelas (cara memeriksa log service, cara menerapkan ulang GPO, lokasi log MSI).

    Jika Anda membutuhkan fitur cloud-managed, inventory, atau model agen lintas platform, evaluasi SCCM/Intune atau konsol vendor. Vendor seperti TeamViewer dan AnyDesk bisa lebih mudah untuk fleet OS campuran, sementara Tenvo bertujuan menyelaraskan kontrol self-hostable dengan mekanik penyebaran Windows standar — lihat pricing dan detail kami di /pricing jika Anda ingin membandingkan opsi manajemen.

    Siap memulai pilot? Unduh MSI dan coba di OU kecil hari ini — dapatkan installer di /download. Jika Anda ingin bantuan memetakan transform atau menulis skrip startup, kami punya catatan penyebaran dan skrip contoh di docs dan blog; hubungi melalui halaman download untuk tautan.

    Dapatkan Tenvo

    Siap mencoba sendiri?

    Gratis untuk 30 perangkat, tanpa kartu kredit. Siap dan tersambung dalam dua menit.

    Unduh Tenvo gratis
    Semua artikel
    BACAAN LAINNYA

    Artikel lainnya

    Teknis

    Desktop Jarak Jauh Tanpa Port Forwarding: Bagaimana Ini Sebenarnya Bekerja

    9 menit baca

    Keamanan

    Apakah Remote Desktop Aman? Model Ancaman yang Jujur

    10 menit baca

    Perbandingan

    RustDesk vs AnyDesk: Panduan Pembeli 2026 (dan Opsi Ketiga yang Sering Diabaikan Ulasan)

    11 menit baca