计算机网络实用技术（第三版）-课件第11章

第11章组策略第11章组策略本章学习目标11.1

组策略概述11.2

管理模板策略的设置11.3Windows设置策略的管理11.4

通过软件设置策略部署应用程序11.5

思考题第11章组策略本章学习目标

本章主要介绍组策略的定义和设置。通过本章的学习，读者应掌握以下内容：l

组策略概述l

管理模板策略的设置lWindows设置策略的管理l

通过软件设置策略部署应用程序第11章组策略11.1组策略概述

组策略是Windowsserver2003操作系统提供的一个关键性的更改和配置管理技术，可以针对站点、域或组织单位设置组策略，这些组策略的设置存储在域控制器的活动目录内。组策略包含两部分的设置：“计算机配置”“用户配置”第11章组策略计算机配置计算机配置：当计算机启动时，就会根据“计算机配置”的设置来确定计算机的环境。例如，若针对域设置了组策略，则此组策略内的“计算机配置”设置会被应用到该域内的所有计算机。第11章组策略用户配置用户配置：当用户登录时，就会根据“用户配置”的设置来确定用户的工作环境。例如，若针对域设置了组策略，则此组策略内的“用户配置”就会被应用到此域内的所有用户账户。第11章组策略11.1组策略概述

不管是“计算机配置”或是“用户配置”，其组策略都包含以下三个方面的内容：（1）管理模板：包括Windows组件、网络、桌面以及任务栏和开始菜单等相关的策略。（2）Windows设置：包括脚本、安全设置（账户策略和本地策略）等相关的策略。（3）软件设置：包括软件安装策略，可以进行应用程序的指派与发布。11.1组策略概述除了可以针对站点、域与组织单位设置组策略之外，还可以对每一台WindowsServer2003计算机设置“本地组策略”，该组策略只能应用到本地计算机以及在此计算机登录的所有用户。第11章组策略11.1组策略概述11.1.1

组策略对象11.1.2

组策略的应用顺序与规则第11章组策略11.1.1组策略对象在域结构网络的模式下，所有的组策略都必须通过建立组策略对象（GroupPolicyObject，GPO）的方式设置。可以依次选择“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算机”命令，并在弹出的对话框中选择站点、域或组织单位，单击鼠标右键，在弹出的快捷菜单中选择“属性”→“组策略”命令，查看其GPO设置值。如图11-1所示的“DefaultDomainControllersPolicy”为域控制器默认的GPO。返回图11-1“组策略”选项卡第11章组策略11.1.1组策略对象当新建一个GPO时，WindowsServer2003都会为此GPO建立一个相对应的组策略模板（GPT，GroupPolicyTemplate）文件夹，用于存储GPO的数据。GPT文件夹位于域控制器的%systemroot%\SYSVOL\sysvol文件夹内，它将被自动地复制到其他所有的域控制器中。若在如图11-1所示的列表框中创建了多个GPO，并且这些GPO内的设置有冲突时，则以排列在前面的GPO设置为优先。1．一般用户默认的组策略2．更改组策略3．验证更改组策略的有效性返回第11章组策略1．一般用户默认的组策略

由于Windowsserver2003默认只有特殊的用户账户（例如administrator）才能直接在域控制器上登录，而一般账户无法从域控制器上登录，除非他们被赋予“本地登录”的权限。其验证步骤如下：（1）在域控制器端，以administrator账户登录。返回1．一般用户默认的组策略（2）依次选择“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算机”命令，从弹出的对话框中选中gcx组织单位并单击鼠标右键，然后从弹出的快捷菜单中选择“新建”→“用户”命令，添加一个用户账户ls。（3）完成后，注销administrator，以ls用户账户登录，将出现登录失败的提示“此系统的本地策略不允许您交互登录”。返回第11章组策略2．更改组策略

以下将介绍如何更改组策略。让域内的所有用户账户都可以从域控制器上登录，也就是更改“DefaultDomainControllersPolicy”设置，让“DomainUsers”组内的所有成员都具备“在本地登录”的权利。其步骤如下：（1）在域控制器端，以administrator账户登录。依次选择“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算机”命令，选中“DomainControllers”，单击鼠标右键，再从弹出的快捷菜单中选择“属性”→“组策略”命令。

返回第11章组策略2．更改组策略（2）出现如图11-1所示的对话框，选定“DefaultDomainControllersPolicy”项，然后单击“编辑”按钮。返回图11-1“组策略”选项卡第11章组策略2．更改组策略（3）打开如图11-2所示的“组策略编辑器”窗口，依次选择展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配”，然后双击窗口右侧的“允许在本地登录”项。返回图11-2“组策略”窗口

第11章组策略2．更改组策略（4）出现如图11-3所示的对话框，默认情况下只有AccountOperators、Administrators、PrinterOperators、ServerOperators、BackupOperators等组内的成员才具有“允许在本地登录”的权限。单击“添加用户和组”按钮，选择“DomainUsers”组以便让所有的域用户都能在本地登录。返回图11-3“允许在本地登录属性”对话框2．更改组策略（5）单击“确定”按钮，返回“组策略编辑器”窗口。（6）返回“DomainControllers属性”对话框，单击“确定”按钮，关闭此对话框。返回第11章组策略3．验证更改组策略的有效性

更改组策略后，并不立刻生效，域控制器的组策略更新时间，默认为5分钟；Windowsserver2003工作站、成员服务器的组策略更新时间，默认为90分钟。为了使更改后的组策略能够立刻生效，必须在该计算机上选择“开始”→“程序”→“命令提示符”命令，进入DOS命令窗口，运行“gpupdate/target:computer”（让“组策略”的“计算机配置”生效）或“gpupdate/target:user”（让“组策略”的“用户配置”生效）命令；或重启计算机。

返回第11章组策略3．验证更改组策略的有效性可以利用“事件查看器”中的“应用程序日志”来查看更改后的策略是否已经应用到此计算机。以下是验证更改“在本地登录”组策略的有效性的步骤：（1）在域控制器上执行“gpupdate/target:computer”命令，注销administrator账户；或者重新启动域控制器。（2）重新登录时，请用刚建立的域用户“ls”登录，此时应该可以登录成功。

返回第11章组策略11.1.2组策略的应用顺序与规则返回如果在本地计算机、站点、域与组织单位内分别设置了组策略，则这些组策略的优先顺序与规则如下：

图11-4组策略示例

第11章组策略11.1.2组策略的应用顺序与规则如果在高层容器内建立了组策略，而未在其低层容器内建立组策略，则低层容器会继承在高层容器内所建立的组策略。以图11-4为例，如果仅针对域建立了组策略，则其低层的gcx组织单位会继承这个策略，同时更低层的2011组织单位也会继承这个策略。也就是说，该组策略会被应用到gcx组织单位，同时也会被应用到更低层的2011组织单位。返回第11章组策略11.1.2组策略的应用顺序与规则如果在低层的容器内建立了组策略，则此组策略内的设置默认会替代由其高层的父容器所传递下来的组策略。以图11-4为例，如果针对域内的组织单位gcx建立了组策略，同时也针对其下层的2011组织单位建立了组策略，则2011组织单位的组策略以其本身的组策略为准。如果在父容器的组策略内的某个策略被设为“未被配置”，则子容器并不继承这个策略。返回第11章组策略11.1.2组策略的应用顺序与规则如果在父容器的组策略内的某个策略被设为“启用”或“禁用”，但是子容器内的组策略内并未设置此策略，则子容器会继承这个设置。在子容器的组策略内，可以通过选中图11-1对话框中的“阻止策略继承”复选框来设置不要继承由父容器传递的组策略设置。

返回第11章组策略11.1.2组策略的应用顺序与规则

可以在父容器的组策略内，通过“禁止替代”复选框来强迫子容器必须继承由父容器传递的组策略设置，不论子容器的组策略内是否设置了“阻止策略继承”，父容器的“禁止替代”的优先级高于在子容器内的“阻止策略继承”。返回第11章组策略11.2管理模板策略的设置管理模板策略包括Windows组件、网络、桌面以及“任务栏和「开始」菜单”等相关的内容。本节利用实例来介绍设置管理模板策略的步骤。首先利用administrator账户登录，依次选择“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算机”命令，打开“ActiveDirectory用户和计算机”窗口，建立实例所需的组织单位与用户账户，结果如图11-4所示。图11-4组策略示例

第11章组策略11.2管理模板策略的设置◆选中域名后单击鼠标右键，从弹出的快捷菜单中选择“新建”→“组织单位”命令，添加一个组织单位，其名称为gcx。◆选中gcx组织单位后单击鼠标右键，从弹出的快捷菜单中选择“新建”→“组织单位”来添加一个用户账户，其名称为zhuren。◆选中gcx组织单位后单击鼠标右键，从弹出的快捷菜单中选择“新建”→“组织单位”来添加一个下级组织单位，其名称为2011。◆选中2011组织单位后单击鼠标右键，从弹出的快捷菜单中选择“新建”→“用户”命令，添加一个用户账户，其名称为zhangsan。第11章组策略11.2管理模板策略的设置11.2.1

设置管理模板策略11.2.2

设置组策略的替代功能第11章组策略11.2.1设置管理模板策略设置gcx组织单位的管理模板策略，隐藏用户桌面上的“网上邻居”图标；将“开始”菜单中的“运行”、“帮助”等命令隐藏；在“开始”菜单中添加“注销”的功能。其步骤如下：（1）打开“ActiveDirectory用户和计算机”窗口，选中gcx组织单位后，单击鼠标右键，从弹出的快捷菜单中选择“属性”→“组策略”→“新建”命令，添加一个GPO，并将其命名为“gcxPolicy”。返回第11章组策略11.2.1设置管理模板策略（2）在如图11-5所示的对话框中，单击“编辑”按钮。返回图11-5添加新的组策略第11章组策略11.2.1设置管理模板策略（3）在如图11-6所示的“组策略编辑器”窗口中，展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”项。返回图11-6设置组策略第11章组策略11.2.1设置管理模板策略●双击窗口右侧的“从「开始」菜单中删除‘运行’菜单”。在出现的如图11-7所示的对话框中，选中“已启用”单选框，单击“确定”按钮。●双击窗口右侧的“从「开始」菜单删除‘帮助’命令”。在出现的类似图11-7所示的对话框中，选中“已启用”单选框，单击“确定”按钮。●双击窗口右侧的“将‘注销’添加到「开始」菜单”。在出现的类似图11-7所示的对话框中，选中“已启用”单选框，单击“确定”按钮

返回图11-7设置策略是否启用第11章组策略11.2.1设置管理模板策略（4）在如图11-6所示的“组策略编辑器”窗口中，展开“用户配置”→“管理模板”→“桌面”项，双击窗口右侧的“隐藏桌面上‘网上邻居’图标”。在出现的如图11-7所示的对话框中，选中“已启用”单选框，单击“确定”按钮。

（5）设置完成后，关闭“组策略”窗口。（6）单击“关闭”按钮，结束组策略设置。返回第11章组策略11.2.1设置管理模板策略在该组策略生效后：注销并利用gcx组织单位内的域用户账户zhuren登录，其桌面上的“网上邻居”图标以及“开始”菜单中的“帮助”与“运行”命令都没有了，但是却多出了一个“注销zhuren”的命令。注销后利用2011组织单位内的域用户账户zhangsan登录，其桌面上的设置等同于zhuren用户账户的桌面设置，表示位于下层的2011组织单位继承了上一层的gcx组织单位内的组策略（GPO）设置。返回第11章组策略11.2.2设置组策略的替代功能设置2011组织单位内的管理模板策略，并将其设置为：●不隐藏用户桌面上的“网上邻居”图标；●不要在“开始”菜单中添加“注销”的功能。然后利用2011组织单位内的用户账户zhangsan登录，并验证是否继承或替代由gcx组织单位所传递的组策略设置。返回11.2.2设置组策略的替代功能（1）打开“ActiveDirectory用户和计算机”窗口，选择2011组织单位并单击鼠标右键，从弹出的快捷菜单中选择“属性”→“组策略”→“新建”选项，新建一个GPO，并将其命名为“2011Policy”。（2）在如图11-5所示的对话框中，单击“编辑”按钮。（3）在如图11-6所示的“组策略编辑器”窗口中，选择“用户配置”→“管理模板”→“任务栏和「开始」菜单”。双击窗口右侧的“将‘注销’添加到「开始」菜单”，在出现的如图11-7所示的对话框中，选择“已禁用”单选框，单击“确定”按钮。返回11.2.2设置组策略的替代功能（4）在如图11-6所示的“组策略编辑器”窗口中，选择“用户配置”→“管理模板”→“桌面”。双击窗口右侧的“隐藏桌面上‘网上邻居’图标”，在出现的如图11-7所示的对话框中，选择“已禁用”单选框，单击“确定”按钮。（5）设置完成后，关闭“组策略编辑器”窗口。然后单击“确定”按钮完成组策略设置。在该组策略生效后，注销并用域用户账户zhangsan登录，桌面上的“网上邻居”图标又出现了，“开始”菜单的“注销zhangsan”命令又没有了，表明低层组策略的设置替代了高层组策略的设置；而“开始”菜单中的“帮助”与“运行”命令依然没有，则表明“未被配置”的子容器的策略将继承父容器的策略设置。返回11.2.2设置组策略的替代功能若在如图11-5所示的对话框中选中“阻止策略继承”复选框，然后单击“关闭”按钮。在该组策略生效后，注销并用域用户账户zhangsan登录，“开始”菜单中的“帮助”与“运行”命令就出现了，则表明“未被配置”的子容器的策略阻止策略继承父容器的策略设置。若在上层gcx组织单位的“组策略编辑器”窗口中，单击“选项”按钮，在出现的窗口中设置“禁止替代”选项，则属于gcx组织单位的所有对象的组策略不能更改。以上2011组织单位的组策略设置无效。返回第11章组策略11.3WINDOWS设置策略的管理Windows设置策略包括登录/注销、启动/关闭脚本以及安全设置的账户策略与本地策略等相关的策略。下面针对典型的策略予以介绍。11.3.1

账户策略的设置11.3.2

本地策略11.3.3

登录/注销、启动/关闭脚本第11章组策略11.3.1账户策略的设置账户策略分为“密码策略”与“账户锁定策略”，可以通过选择“ActiveDirectory用户和计算机”窗口内的域（或组织单位）后，单击鼠标右键，并从弹出的快捷菜单中选择“属性”→“组策略”命令，在“组策略”选项卡中选定GPO，然后选择“编辑”→“计算机配置”→“Windows设置”→“安全设置”→“账户策略”，打开如图11-8所示的窗口，然后设置策略。1．密码策略2．账户锁定策略返回图11-8账户策略的设置第11章组策略1．密码策略选择“密码策略”，如图11-9所示，设置与用户账户密码有关的策略：返回图11-9设置密码策略第11章组策略1．密码策略密码必须符合复杂性要求：包含来自以下四种字符类别中的三种，英文大写字母（从A到Z）、英文小写字母（从a到z）、10个基本数字（从0到9）和非字母字符（例如，!、$、#、%）。密码最长存留期：设置用户密码最长的使用期限。用户在登录时，若密码使用期限已到，系统会自动要求用户更改密码。双击图11-9中的“密码最长使用期限”项，在出现如图11-10所示的对话框中设置其密码最长使用期限。返回图11-10“密码最长存留期”的设置

第11章组策略1．密码策略密码长度最小值：规定用户在设置密码时，密码的最小长度。强制密码历史：设置是否记录用户以前所使用过的密码，以便设置用户在更改其密码时，是否可以重复使用旧的密码。返回第11章组策略2．账户锁定策略选择“账户锁定策略”，如图11-11所示，可以设置以下策略：返回图11-11设置账户锁定策略第11章组策略2．账户锁定策略账户锁定阈值：此处可设置在用户登录多次失败（例如，密码输入错误）后，就将该账户锁定。在未被解除锁定之前，用户无法再利用此账户登录。账户锁定时间：设置在锁定时将账户锁定多长时间，在这段时间过后，锁定自动解除；如果将锁定时间设为0分钟，则表示此账户将被永久锁定，不会被自动解除锁定，此时必须由系统管理员解除锁定。返回第11章组策略2．账户锁定策略复位账户锁定计数器：锁定计数器的初值为0，用户若登录失败，则锁定计数的值加1；若登录成功，则锁定计数器的值被归零；若锁定计数器的值等于账户锁定阈值，该账户就会被锁定。返回第11章组策略2．账户锁定策略

还可以通过此处设置所谓的间隔时间，以便让锁定计数器的值在间隔时间到后自动清零。若用户连续多次（账户锁定阀值）登录失败，其账户就会被锁定。但是，账户在被锁定之前（尚未达到账户锁定阀值），如果前一次登录失败后的间隔时间已超过30分钟，则锁定计数器的值被清0。返回第11章组策略11.3.2本地策略本地策略包括审核策略、用户权限分配策略和安全选项策略。打开“ActiveDirectory用户和计算机”窗口，选定域（或组织单位）后，单击鼠标右键，从弹出的快捷菜单中选择“属性”→“组策略”，再在“组策略”选项卡中选定GPO，然后选择“编辑”→“计算机配置”→“Windows设置”→“安全设置”→“本地策略”，打开如图11-12所示的窗口，针对相应的策略进行设置。1．审核策略2．用户权利指派策略3．安全选项策略返回图11-12本地策略的设置第11章组策略1．审核策略选择“审核策略”，如图11-12所示，可以设置以下策略。◆审核策略更改：审核“审核策略”等策略是否已被更改。◆审核登录事件：审核是否有用户登录与注销。◆审核对象访问：审核是否有用户访问文件、文件夹、打印机等资源。必须另外再针对所选择的文件、文件夹、打印机等资源设置审核的操作。◆审核过程追踪：追踪过程的执行，例如是否有某个程序被启动或者结束。◆审核目录服务访问：审核是否有用户访问ActiveDirectory内的对象。必须另外再针对所选择的对象设置审核的操作。返回1．审核策略◆审核特权使用：审核是否用户使用了“用户权限指派”策略内所赋予的权利。◆审核系统事件：审核是否有用户登录、注销、执行网络连接的操作。◆审核账户登录事件：审核是否利用此计算机内的账户来审核用户的身份。◆审核账户管理：审核是否有用户账户的添加、更改、删除、更名等事件。每个被审核的事件都可以分为“成功”与“失败”，也就是可以审核该事件是否成功地发生。返回第11章组策略2．用户权利指派策略选择“用户权利指派策略”，如图11-2所示，设置以下常用的几个策略：返回

图11-2“组策略”窗口第11章组策略2．用户权利指派策略◆允许在本地登录：允许用户直接在本机上登录。◆域中添加工作站：允许用户将WindowsServer2003、WindowsNT计算机加入到域内。加入域后，用户才可以在这些计算机上用域用户账户登录域，并访问域内的资源。◆关闭系统：允许用户关闭计算机。◆从网络访问此计算机：允许用户通过网络上的其他计算机来连接，并访问此计算机内的资源。◆从远程系统强制关机：允许通过远程计算机来关闭此计算机。

返回2．用户权利指派策略◆备份文件和目录：允许用户备份硬盘内的文件与文件夹。◆还原文件和目录：允许用户还原所备份的文件与文件夹。◆管理审核和安全日志：允许用户指定要审核的事件，也允许用户查询与清除安全日志。◆更改系统时间：允许用户设置计算机的系统日期和时间。◆装载和卸载设备驱动程序：允许用户装载与卸载设备驱动程序。◆取得文件或其他对象的所有权：允许用户夺取由其他用户对文件、文件夹或其他对象的所有权。返回第11章组策略3．安全选项策略选择“安全选项策略”，可以设置以下策略：登录屏幕上不要显示上次登录的用户名：每次用户按Ctrl+Alt+Del键后，在所出现的“登录到Windows”对话框中都会自动显示上一次登录者的用户名称，通过此选项可以让其不显示。允许在未登录前关机：让按Ctrl+Alt+Del键后所出现的“登录到Windows”对话框中，“关机”按钮可以选用，以便在不需要登录的情况下就可以关闭计算机。返回第11章组策略3．安全选项策略在密码到期前提示用户更改密码：设置在用户的密码过期前几天，提示用户必须更改密码。禁用按Ctrl+Alt+Del键进行登录的设置：设置在计算机启动时，直接出现“登录到Windows”对话框，不需要提示“请按Ctrl+Alt+Del开始”。用户试图登录时消息文字与用户试图登录时消息标题：每次当Windowsserver2003启动时，它都会提示“请按Ctrl+Alt+Del开始”，而如果希望用户在按完这三个键后，窗口上自动显示一些希望用户看到的信息，则可以利用此处设置显示信息的标题文字与内容。返回第11章组策略11.3.3登录/注销、启动/关闭脚本用户“配置文件”中的“登录脚本”，是针对一个用户设置的，也就是若某个用户被指派了登录脚本，则当其登录时，此脚本就会自动执行，而对其他用户无效。

“组策略”中的“登录/注销脚本”，是针对域或组织单位内的所有用户进行设置的，也就是只要域或组织单位内的用户登录时，系统就自动执行此“登录脚本”；注销时，就执行“注销脚本”。另外，“启动/关机脚本”是针对计算机进行设置的，只要计算机启动时，就会自动执行“启动脚本”，而关机时执行“关机脚本”。1．登录/注销脚本2．启动/关闭脚本的设置返回第11章组策略1．登录/注销脚本（1）利用文件“logon.vbs”来设置登录脚本。可以用“记事本”来创建该文件，其中只有一行在屏幕上显示字符串的命令：Wscript.echo“这是由组策略设置的登录脚本”。同时，创建“logoff.vbs”来设置注销脚本。其中也只有一行在屏幕上显示字符串的命令：Wscript.echo“这是由组策略设置的注销脚本”。返回第11章组策略1．登录/注销脚本

返回（2）打开“ActiveDirectory用户和计算机”窗口，选择域名(或组织单位)并单击鼠标右键，从弹出的快捷菜单中选择“属性”→“组策略”命令，然后在对话框中选定GPO，再选择“编辑”→“用户配置”→“Windows设置”→“脚本（登录/注销）”选项，出现如图11-13所示的窗口，双击右侧的“登录”。图11-13设置登录和注销脚本1．登录/注销脚本（3）出现如图11-14所示的对话框，单击“显示文件”按钮。图11-14“登录属性”对话框

返回第11章组策略1．登录/注销脚本（4）出现如图11-15所示的窗口，先切换到“Windows资源管理器”，选定登录脚本，单击鼠标右键，从弹出的快捷菜单中选择“复制”命令；然后返回“Logon”窗口，选择“编辑”

→“粘贴”命令，将登录脚本复制到该窗口中。返回图11-15复制登录脚本第11章组策略1．登录/注销脚本（5）返回到如图11-14所示的对话框，单击“添加”按钮。

（6）出现如图11-16所示的对话框，单击“浏览”按钮，从图11-15所示的Logon文件夹内选定登录脚本。如果脚本需要输入参数，则在“脚本参数”文本框中键入参数，完成后单击“确定”按钮。返回图11-16指定登录脚本第11章组策略1．登录/注销脚本（7）返回如图11-14所示的对话框，单击“确定”按钮。（8）返回如图11-13所示的窗口，双击右侧的“注销”，然后重复步骤（2）~（6），设置“注销”脚本。完成设置后，如果这个GPO策略是针对域设置的，则域内的所有用户登录时会自动执行所设置的登录脚本、注销时会自动执行注销脚本；如果这个GPO策略是针对某个组织单位设置的，则此组织单位内的所有用户登录、注销时，都会自动执行此处所设置的登录/注销脚本。

返回第11章组策略2．启动/关闭脚本的设置（1）创建启动与关闭脚本。（2）打开“ActiveDirectory用户和计算机”窗口，选择域名(或组织单位)并单击鼠标右键，从弹出的快捷菜单中选择“属性”→“组策略”命令，在对话框中选定GPO后，依次选择“编辑”→“计算机配置”→“Windows设置”→“脚本（启动/关机）”选项，出现如图11-17所示的窗口，双击右侧的“启动”。返回第11章组策略2．启动/关闭脚本的设置

返回（3）出现如图11-14所示的对话框，单击“显示文件”按钮。（4）出现如图11-15所示的窗口，先切换到“Windows资源管理器”，选定登录脚本，单击鼠标右键，从弹出的快捷菜单中选择“复制”命令，然后返回窗口，选择“编辑”→“粘贴”命令，将登录脚本复制到该窗口中。

图11-17设置启动和关机脚本2．启动/关闭脚本的设置（5）返回到如图11-14所示的对话框，单击“添加”按钮。（6）出现如图11-13所示的对话框，单击“浏览”按钮，从startup文件夹内选定启动脚本。如果脚本需要输入参数，则在“脚本参数”文本框中键入参数，完成后单击“确定”（7）返回到如图11-14所示的对话框，单击“确定”按钮。（8）返回如图11-17所示的窗口后，双击右侧的“关机”，然后重复步骤（2）~（6），设置“关机”脚本。完成设置后，如果这个GPO策略是针对域设置的，则域内的所有计算机启动时，会自动执行此处所设置的启动脚本，关机时会自动执行关机脚本。返回第11章组策略11.4通过软件设置策略部署应用程序

通过软件设置策略，可以为用户与计算机来部署应用程序。将应用程序发布或指派给用户。将应用程序指派给计算机。自动修复应用程序。删除用户的应用程序。第11章组策略11.4通过软件设置策略部署应用程序◆将应用程序发布或指派给用户。当某个应用程序通过组策略的GPO被发布或指派给用户后，域用户可以依次选择“开始”→“设置”→“控制面板”→“添加/删除程序”选项，通过网络来安装此应用程序。或者当域用户要打开一个与该应用程序相关联的文件（如：Excel文件）时，WindowsServer2003计算机将先自动安装此应用程序（如：MicrosoftExcel），再打开此文件（如：Excel文件）。

第11章组策略11.4通过软件设置策略部署应用程序◆将应用程序发布或指派给计算机。若此应用程序被发布或指派给计算机，则计算机启动后，可以通过上述方式将该应用程序安装到该计算机内，并且它是被放到公用程序组中，任何用户登录后，都可以使用此应用程序。第11章组策略11.4通过软件设置策略部署应用程序◆自动修复应用程序。被发布或指派的应用程序，若在安装完成后有文件被损毁、丢失或删除，则系统会自动检测到，然后修复、重新安装此应用程序。

第11章组策略11.4通过软件设置策略部署应用程序◆删除用户的应用程序。被发布或指派的应用程序，若在用户安装完成后，需不再让用户使用，则只要将此程序从软件设置策略部署应用程序列表中删除，用户下次登录或计算机重新启动时，将自动删除该应用程序。第11章组策略11.4通过软件设置策略部署应用程序以上所部署的应用程序必须被包装为Windows安装程序包的格式，其扩展名为.msi。若要将其它现有的应用程序打包为Windows安装程序包，则可以通过WinINSTALLLE（LimitedEdition）工具软件完成。第11章组策略11.4通过软件设置策略部署应用程序11.4.1

给用户发布或指派应用程序11.4.2

给计算机指派应用程序11.4.3

更改部分应用程序的设置11.4.4

使用WinINSTALLLE制作MSI安装软件包第11章组策略11.4.1给用户发布或指派应用程序下面以WindowsServer2003光盘内的support\tools\suptools.msi应用程序为例，介绍如何将具有Windows安装程序包格式的应用程序发布或指派给用户，以便让用户可以安装、使用该应用程序。1．给用户发布或指派应用程序2．安装被发布或指派的应用程序返回第11章组策略1．给用户发布或指派应用程序给用户发布或指派应用程序的步骤如下：（1）用administrator账户登录到域控制器。（2）在域控制器上建立一个文件夹，例如：C:\Packages。并将其设为共享文件夹，共享名为Packages。（3）将WindowsServer2003软件安装光盘中的\support\tools\suptools.msi文件复制到共享文件夹Packages内。返回第11章组策略1．给用户发布或指派应用程序（4）打开“ActiveDirectory用户和计算机”窗口，选中域名(或组织单位)并单击鼠标右键，从弹出的快捷菜单中选择“属性”→“组策略”，打开“组策略”选项卡，然后选定GPO，选择“编辑”→“用户配置”→“软件设置”→“软件安装”项，打开如图11-18所示的窗口。

返回图11-18软件安装第11章组策略1．给用户发布或指派应用程序（5）选择“软件安装”并单击鼠标右键，从弹出的快捷菜单中选择“属性”命令。出现如图11-19所示的对话框，在“默认程序包位置”文本框中输入应用程序包的位置，注意此处请用UNC路径，例如：\\\packages，然后单击“确定”按钮。

返回

图11-19“软件安装属性”对话框第11章组策略1．给用户发布或指派应用程序（6）返回图11-18所示的“组策略编辑器”窗口，选择“软件安装”并单击鼠标右键，从弹出的快捷菜单中选择“新建”→“程序包”命令。出现如图11-20所示的对话框，选择应用程序包“suptools.msi”，然后单击“打开”按钮。

返回图11-20选择程序包第11章组策略1．给用户发布或指派应用程序（7）出现如图11-21所示的对话框，在“选择部署方法”组框中选择“已发布”、“已指派”或“高级”。这里，选择“已发布”，然后单击“确定”按钮。

返回图11-21选择部署方式

第11章组策略1．给用户发布或指派应用程序（8）在如图11-22所示的窗口中，提示“suptools.msi”已发布成功。

若要取消发布此应用程序，则选择该应用程序并单击鼠标右键，从弹出的快捷菜单中选择“所有任务”→“删除”命令即可。返回

图11-22“suptools.msi”发行成功第11章组策略2.安装被发布或指派的应用程序

安装被发布或指派的应用程序，可以通过“添加/删除程序”或运行相关联的文件的途径进行。通过“添加/删除程序”的途径来安装被发布的应用程序，其步骤如下：（1）在网络上，用域用户账户登录。（2）依次选择“开始”→“设置”→“控制面板”→“添加/删除程序”。返回第11章组策略2.安装被发布或指派的应用程序（3）单击“添加新程序”选项，则右方的“从网络添加程序”处将显示所有已被发布的应用程序。（4）选择要安装的应用程序（如suptools.msi），单击“添加”按钮开始安装应用程序。

安装完成后，依次选择“开始”→“程序”，在程序列表中就会多一个“WindowsSupportTools”程序项，单击该程序项即可启动。返回第11章组策略2.安装被发布或指派的应用程序

若通过发布方式已安装好的应用程序被部分删除，则用户下次登录时，该应用程序会被自动修复。若通过发布方式已安装好的应用程序被取消发布，则用户下次登录时，该应用程序也将会被自动删除。返回第11章组策略11.4.2给计算机指派应用程序

在前面所介绍的“发布应用程序”与“指派应用程序”都是针对用户的，应用程序被安装在用户的用户配置文件内，只能被该用户使用；也可以将应用程序“指派给计算机”，则只要计算机启动，这个应用程序就会自动被安装到此计算机的“公用程序组”内，所有在这台计算机上登录的用户都可以使用该应用程序。返回第11章组策略11.4.2给计算机指派应用程序

给计算机指派应用程序的步骤与给用户指派应用程序的步骤类似。只不过在“组策略”的窗口内，必须选择“计算机配置”（而不是“用户配置”）→“软件设置”→“软件安装”选项。返回第11章组策略11.4.3更改部分应用程序的设置可以在组策略内更改被部署的应用程序设置：改变应用程序的部署类型：例如，将被发布的应用程序改为被指派，或将被指派的应用程序改为被发布。设置时只要在被部署的应用程序上单击鼠标右键，从弹出的快捷菜单中选择“发行”或“指派”命令即可。返回第11章组策略11.4.3更改部分应用程序的设置取消被部署的应用程序。在被部署的应用程序上单击鼠标右键，从弹出的快捷菜单中选择“所有任务”→“删除”命令，在出现的“删除软件”对话框中选择“立刻从用户和计算机卸载软件”或“允许用户继续使用软件，但禁止新的安装”即可。返回第11章组策略11.4.3更改部分应用程序的设置设置当安装此应用程序时，是否出现完整的安装界面，或者只显示部分的安装界面：在被部署的应用程序上单击鼠标右键，从弹出的快捷菜单中选择“属性”→“部署”命令，在对话框中设置“基本选项”或“最大选项”。返回第11章组策略11.4.3更改部分应用程序的设置将应用程序升级。若希望将应用程序Office2000升级为应用程序Office2003，则在Office2003（新的应用程序）上单击鼠标右键，从弹出的快捷菜单中选择“属性”→“升级”→“添加”命令，出现“添加升级软件包”对话框时，在“要升级的程序包”列表内选择Office2000（旧的应用程序）。设置完成后，只要用户登录时，其Office2000应用程序都会被Office2003应用程序所取代。返回11.4.4使用WinINSTALLLE制作MSI安装软件包

在安装应用程序时，一般从网上下载或通过安装光盘获取的安装文件大都是扩展名为exe的程序，而组策略在部署软件时对安装文件的要求是扩展名必须为msi的文件。MSI文件是一种特殊的WindowsInstaller的数据包，它实际上是一个数据库，包含了安装程序所需要的信息和在很多安装情形下安装（或卸载）的指令和数据。MSI文件将程序的组成文件与功能关联起来。此外，它通常还包含了有关安装过程本身的信息：如安装所需的产品序列号、目标文件夹路径、系统依赖项、安装选项和控制安装过程的属性设置等。返回11.4.4使用WinINSTALLLE制作MSI安装软件包

接下来，我们将详细介绍将扩展名为exe的应用程序安装文件通过WinINSTALLLE打包工具定制为扩展名为msi的安装文件的步骤。这里，以“搜狗拼音输入法”软件为例，介绍如何将其打包成MSI安装程序包。返回11.4.4使用WinINSTALLLE制作MSI安装软件包

通过WinINSTALLLE制作MSI安装软件包的原理为：在网络中选取一台计算机，读取该计算机完成软件安装后的环境，与安装软件之前的环境进行比较，根据两者之间的差异来制作其MSI程序。具体来说就是，分别对软件安装前和安装之后执行两次系统的快照扫描，将两次快照扫描之间的系统和注册表的变化对比后，将差异记录下来并保存，再结合该软件的安装程序打包生成MSI包。所以，在对安装软件进行打包之前，我们需要准备一台只安装有干净的操作系统的计算机，即该计算机采用标准方式安装操作系统和和系统自带的硬件驱动程序，没有安装任何其他程序，并且尽量不要做对系统和注册表有改变的操作。返回11.4.4使用WinINSTALLLE制作MSI安装软件包

具体步骤如下：（1）首先需要在域控制器Serverljj上安装WinINSTALLLE，其安装过程与一般应用程序的安装相似，根据向导选择合适的安装路径并按照提示进行设置即可。（2）安装完毕后，将在指定的安装路径下自动创建一个名为WinINSTALL的共享文件夹，其中包含Bin、Help和Packages三个子文件夹，其中的Bin下就是WinINSTALL的程序文件目录，在该文件夹中可以找到名为Discover.exe的工具，后面将介绍如何使用该工具对系统进行快照扫描。返回11.4.4使用WinINSTALLLE制作MSI安装软件包

（3）接下来使用具有本地管理员权限的用户，在域的成员计算机Client1上登录。并通过网络访问服务器共享目录\\Serverljj\WinINSTALL\bin，双击运行其中的Discover.exe程序。此时，将看到如图12-23所示的向导，单击Next按钮，进入到MSI文件的保存路径界面，这里在名字文本框中输入“SougouInput”，在下方输入打包后的MSI文件的保存路径为“\\Serverljj\WinINSTALL\Packages\Sougou\SougouInput.msi”，如图12-24所示。需要注意的是，当前登录的用户要对域控制器上的共享目录\\Serverljj\WinINSTALL\Packages具备写入的权限，因为制作好的MSI安装包将直接从域成员计算机Client1上传至域控制器Serverljj。返回11.4.4使用WinINSTALLLE制作MSI安装软件包

图11-23打开“DiscoverWizard”欢迎窗口图11-24打包MSI文件的保存路径返回11.4.4使用WinINSTALLLE制作MSI安装软件包

（4）单击“Next”按钮，提示“当前路径下文件夹不存在，是否要创建”，单击“是”按钮。（5）单击“Next”按钮，指定Discover程序在对系统进行扫描时临时文件的保存位置，选择“C：”（6）单击“Next”按钮，在出现的对话框中选择要扫描的驱动器。如果将来在软件部署中希望将该输入法软件安装在域中其他计算机的C盘，就在如图11-25所示的左侧可选分区中选择“C：”，然后单击“Add”按钮，将其移至右侧要扫描的分区列表框中。返回11.4.4使用WinINSTALLLE制作MSI安装软件包

图11-25选择要扫描的驱动器

图11-26Discover程序扫描时要排除的范围返回11.4.4使用WinINSTALLLE制作MSI安装软件包

（7）单击“Next”按钮，提示在Discover程序扫描时要排除的范围（包括文件夹或文件），增加要排除的范围，可以加快扫描速度，这里选择默认的设置，如图11-26所示。（8）单击“Next”按钮，提示要排除的注册表信息，同样选择默认设置。再单击“Next”按钮，单击“Finish”按钮开始扫描。扫描完成后将弹