组策略分发软件全攻略

2024-09-20

组策略分发软件全攻略（2篇）

1.组策略分发软件全攻略篇一

通过组策略禁止来宾用户安装任何软件!

启用组策略的用法如下：开始-运行-GPEDIT-用户配置-WINDOW组件-终端服务-WINDOWS INSTALL 有四个选项，楼主可以根据需要选择其中的若干项，如果权限足够的话，可以选择第一项“永远以高特权进行安装，这样的话你要注意: 这个设置出现在“计算机配置”和“用户配置”两个文件夹中。要使这个设置生效，您必须在两个文件夹中都将其启用。

第二项：搜索顺序，其中意义是：指定 Windows Installer 搜索安装文件的顺序。

按默认值，Windows Installer 先搜索网络，然后搜索可移动媒体(软盘、CD-ROM 或 DVD)，最后再搜索 Internet(URL)。要改变搜索顺序，启用该设置，然后按您要 Windows Installer 搜索的顺序输入代表每个文件来源的字母。:

--“n”代表网络；

--“m”代表媒体；

--“u”代表 URL 或 Internet。

要排除某个文件来源，省略或删除代表那个来源类型的字母

第三项：禁用回滚，意义是防止 Windows Installer 生成或保存在扭转中断或不成功的安装时所需的文件。

这个设置防止 Windows Installer 对系统的状态以及在安装期间所作改动的顺序做记录。同时，它还阻止 Windows Installer 保留以后要删除的文件。这样做的结果是，如果安装没有完成，Windows Installer 就无法将计算机还原到原始状态。

这个设置是为了减少安装程序所需的临时磁盘空间量而设计的。同时，这项设置还防止居心叵测的用户利用中断安装来收集计算机内部状态的数据或搜索安全系统文件。但是，由于安装不完整可能会导致系统或程序无法运行，除非很有必要，不要使用这个设置。

这个设置出现在“计算机配置”和“用户配置”文件夹中。无论这个设置在两个文件夹中的哪一个里被启用(即使在另一个文件夹中已明显地被停用)，这个设置即处于启用状态。

第四项：阻止从可移动媒体进行任何安装，其直观意义是不能用软驱或者光驱来安装，防止用户从可移动媒体安装程序。

如果用户试图从可移动媒体，如 CD-ROM、软盘和 DVD 安装程序，消息会出现，声称找不到这个功能。

即使安装是在用户的安全上下文中运行的，这个设置依然适用。

如果停用或不配置这个设置，当安装是在用户自身的安全上下文中运行时，用户才能从可移动媒体安装；但当安装是用高系统特权运行时(如在桌面上提供的或“添加/删除程序”中显示的安装)，只有系统管理员可以使用可移动媒体。

同时参阅: 计算机配置管理模板Windows 组件Windows Installer 中的“在设置被升高的情况下，允许用户使用媒体源”设置。

同时参阅: 用户配置管理模板控制面板添加或删除程序中的隐藏“从 CD-ROM 或软盘安装程序”选项设置

给USER权限就可以,不过你用WINDOWS自带的东西来限制.但是第三方工具还是可以比如说360.优化大师.从权限入手比较可取,进组策略可以修改

结束

2.组策略分发软件全攻略篇二

某校Intranet项目是在原有校园网基础上,建设一个能提供Web、E-Mail、分布式数据存储、OA等多种应用的综合性的学校内部网。在该项目中,设计要求能够为内部网的所有用户提供常用应用软件远程安装部署功能。

在域环境下通过组策略进行软件部署是为域用户远程批量提供应用软件的主要办法之一,使用组策略进行软件部署不需要额外的开销,并且实施难度低,工作量小,非常适用于企业内部网。通过组策略进行软件部署可以大大地减轻管理人员的工作量,提高软件维护效率。另外,还可以保证合法、干净的软件来源,进一步提高网络的安全性与稳定性。

1 域和组策略

域既是Windows网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows网络操作系统中,域是安全边界。域管理员只能管理域的内部,只有其他的域显式赋予该域管理员相应管理权限,才能够访问或者管理其他的域;每个域都有自己的安全策略,以及它与其他域的安全信任关系。在武汉科技大学中南分校Intranet项目中,将整个内部网分为父-子结构的两个域,分别为学校各行政职能部门和各学院提供服务。在域中,使用OU(组织单元)来对处室/学院等部门进行划分。

组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的一种系统工具。通过组策略可以设置各种软件、计算机和用户策略。在域环境下,组策略通常以域或OU为单位进行设置,不仅可以使各种策略应用在整个网络中,也可以作用于某个或某些用户和计算机。

2 使用组策略进行软件部署

2.1 通过组策略分发普通软件

2.1.1 软件安装包的准备

通过组策略进行软件部署是基于Windows操作系统自带的Windows Installer安装工具来进行安装工作的,所以只能部署Windows安装程序包(MSI文件),微软公司旗下的所有软件如常用的Office、Visual Studio、SQL Server等都提供了MSI格式的安装文件。目前大多数软件的安装文件都是EXE格式的安装文件,所以在进行软件分发之前,我们需要先使用安装文件封装工具,如Advanced Installer将EXE安装文件重新封装成MSI格式的安装文件。

2.1.2 创建软件部署共享文件夹

在进行软件部署之前,需要先以共享文件夹的方式向域范围内指定权限的用户共享软件的安装文件。域用户对软件部署共享文件夹需要有读取的权限,共享文件夹的权限分为共享权限与NTFS权限,如图1与图2所示。在软件部署共享文件夹中将要分发的软件按分类新建不同的子文件夹存放。

2.1.3 设置软件包在客户机安装的相关选项

使用管理安装选项命令Msiexec设置软件包在客户机安装的相关选项:

语法msiexec/a Package

参数/a#其所长#应用管理安装选项。

Package#指定Windows安装程序包文件的名称。(本地路径)

例如:

msiexec/a c:softshareofficesetup.msi。

点击“开始”菜单->“运行”项,输入上述指令即可打开设置向导,在设置向导中设置“网络位置”(Network Location),指定分发点存放该软件的子文件夹,如“c:softshareoffice”。

2.1.4 新建组策略

在域中,组策略的设置是依托域或者组织单元(OU)来设置的。在域控制器(DC)的管理工具中打开“Active Directory用户和机算机”,打开要进行软件部署的域或OU的属性对话框,如图3所示。在属性对话框的组策略分页中新建并命名一个新的组策略,选中新建的组策略点击编辑按钮,如图4所示。

2.1.5 创建软件分发策略

在组策略中进行软件分发的方式有两种:指派和发布,指派是强制安装的,即在该组策略范围内的用户所使用的计算机都会自动进行安装;发布则是可以由用户在“控制面板”->“添加/删除程序”->“添加程序”中选择安装选择是否安装。组策略配置分为“计算机配置”和“用户配置”;在“计算机配置”和“用户配置”中都有“软件设置”,但这两者实现的功能是不一样的。使用“计算机配置”中的“软件设置”来进行软件部署只能使用指派,客户机会在重起计算机后第一次登录域时完成软件的远程安装,软件完成安装后使用该客户机的所有用户都可以使用。使用“用户配置”中的“软件设置”来进行软件部署除可以使用指派外还可以使用发布来进行软件部署,通过“用户配置”中的“软件设置”来进行软件部署的软件仅允许当前用户使用。

以通过“用户配置”中的“软件设置”来进行软件部署为例,步骤如下:

(1)在“组策略编辑器”中选择“用户配置”—>“软件设置”->“软件安装”,打开“软件安装”的属性对话框。

(2)在属性对话框中输入默认程序包的位置,此处一定要使用网络UNC路径,例如:“Serversoftshare”。其中“Server”是内部网中提供应用软件默认程序包存储的文件服务器的名称或IP地址;“softshare”是该文件服务器中用于存储应用软件默认程序包的共享文件夹名称。

(3)用鼠标右键点击“软件安装”,选择“新建”—>“程序包”,在弹出的打开对话框中指点击要分发的软件包,此处也必须使用UNC路径。

(4)根据需要选择软件的部署方式,选择发布,点击“确定”按钮后完成部署设置。

2.1.6 配置软件安装权限

在某些情况下用户因为权限问题而无法完成被部署软件的安装,这时候需要在组策略里进行配置。在“组策略编辑器”中根据分发软件配置的不同在“计算机配置”或“用户配置”下选择“管理模板”->“Windows组件”->“Windows Installer”,启用“永远以高特权进行安装”策略。

2.2 通过组策略分发绿色软件

通过组策略部署绿色软件有两种方法。第一种是使用安装文件封装工具Advanced Installer将绿色软件重新封装为MSI安装文件,然后使用分发普通软件的方法进行软件部署。第二种方法是通过组策略使用微软VBS (Microsoft Visual Basic Script Editon)对软件进行部署。

2.2.1 创建软件部署共享文件夹

与部署普通软件一样,在进行软件部署之前要创建软件发布共享文件夹,并将要分发的软件存放到该共享文件夹中。

2.2.2 编写软件部署VBS脚本

在多数域坏境下,普通的域用户不具有直接向本地磁盘写入数据的权限,考虑到权限因素,可以选择不将软件的所有文件复制到本地,仅在当前用户桌面创建制绿色软件的快捷方式,用户可以通过快捷方式来远程运行并使用绿色软件。但需要注意的是,使用这种这种方法的前提是用户对软件部署共享文件夹不但有读取的权限,还应该具备运行的权限。

复制快捷方式的VBS代码如下:

2.2.3 创建软件部署策略

在新建的组策略中选择“用户配置”->“Windows设置”—>“脚本(登录/注销)”,用鼠标双击“登录”策略,在弹出的“登录属性”对话框添加已编写好的VBS文件,在添加VBS文件时需使用UNC路径。

域用户在登录域时,组策略会自动执行该VBS文件,在当前用户的桌面上添加指定软件的快捷方式,用户可以直接点击快捷方式使用软件。这种方法无需安装复制程序文件,但由于域用户每次使用软件都需要从服务器读取并运行,可能会对软件的稳定使用造成一定的影响。

3 结束语

基于策略的软件部署方案,在武汉科技大学中南分校Intranet项目中成功实现了为全校千余台客户机进行软件部署,经过测试,该方案工作稳定可靠,能够满足项目设计要求。

摘要：介绍了域和组策略的概念。分析了使用组策略进行软件部署的方法。在通过组策略使用远程安装部署为内部网用户提供各种应用软件方法上提出有价值的观点。

关键词：域,组策略,软件部署

参考文献

[1]王化文.Windows 2000/XP网络构建与系统[M].武汉:武汉大学出版社.2005.

[2]王文寿.网管员必备宝典-Windows Server 2003网络管理[M].北京:清华大学出版社,2007.

[3]魏雪萍.网络配置与应用[M].北京:人民邮电出版社,2003.