利用组策略部署软件

1、利用组策略部署软件,课程内容,软件部署概述 将软件发布、指派给用户或计算机 软件升级与重新部署 修改部署的软件 发布“非”的软件,任务一 什么是Windows Installer,Windows Installer是Windows操作系统的组件,可以简化应用程序安装的过程,通过安装应用程序时集中定义的一组安装规则,可以管理应用程序的安装和删除,还可使用此项服务修改、修复现有应用程序. 由用于Windows操作系统的Windows Installer服务以及包含有关部门应用程序设置和安装信息的程序包.msi组成.,任务一 软件部署概论,可以利用AD的组策略功能来为公司域内的计算机部署（deplo

2、y）软件，也就是替这些计算机安装、维护与删除软件。 软件部署分为“指派（assign）”与“发布（publish）”两种。这些软件应为“Windows Installer Package”，也就是软件包内包含着一个扩展名为.msi的文件。 注：也可以部署扩展名为.exe的软件，或是将其他类型的软件包装成.msi的“Windows Installer Package”。,指派和发布软件的区别,指派：可以通过组策略将软件指派给用户和计算机，软件是有弹性的，若用户在某计算机登陆时删除了此软件，下次登陆并激活应用程序时，将重新安装软件。 发布：只能针对用户设置，发布的应用程序会在AD中存储发布的属性，

3、信息就会显示给容器中的用户，若删除了软件也可以重新安装。,软件部署概论,任务二 部署软件,将软件发布给用户 将软件指派给用户和计算机 自动修复软件 删除软件,1、将软件发布给用户,将软件通过OU组策略发布给OU下的某个用户，不会自动安装到用户的计算机内，需要通过以下方式安装： 开始控制面板添加或删除程序添加程序 利用“文件启动”功能,发布软件具体操作,发布软件： 建立软件发布点：用于存储Windows Installer Package的共享文件夹（可在域中任何一台服务器内） 在共享文件夹内（例software）建立一个用来存放软件的子文件夹，把准备发布的软件复制过来 设置默认封装位置 AD用

4、户和计算机 “业务部OU”属性组策略编辑用户配置软件设置 “软件安装”属性 在“默认程序包位置”处输入存储位置（必须是网络路径UNC路径） 发布软件 右击“软件安装”新建程序包选择.MSI文件,设置默认封装位置：,发布软件,发布软件具体操作,安装被发布的软件 通过控制面板-添加或删除程序-添加新程序-从网络添加(可在域内任何一台计算机来安装被发布的软件) 选择要安装的软件后单击“添加”，接下来会由Windows Installer service来负责安装此软件。,发布软件具体操作,测试自动修复软件的功能 一个被发布的软件在安装完成后，如果有关键性文件损坏、遗失或被用户不小心删除等，系统会自动

5、探测到并自动修复、重新安装。 注销用户，利用管理员帐户登陆（只有具备管理员的权限用户才可以删除此软件内的文件）并删除某一个文件 注销管理员，重新用此用户登陆，执行开始-所有程序-公布的软件，因为系统检测到此软件文件被删除，会自动重新再安装此软件。,发布软件具体操作,取消发布软件（删除软件） 一个被发布的软件，在完成安装后，如果不想再让用户使用此软件，只要将该程序从GPO内发布的软件清单中删除，并设置下次用户登陆或计算机启动自动将此软件删除即可。,删除发布软件,右击该软件所有任务删除，两种选择： 立即从用户及计算机卸载软件： 当用户下次登录时或计算机启动时，此软件将被自动删除 允许用户继续使用软

6、件，但禁止新的安装： 用户已经安装的软件不会被删除，可以继续使用，不过新用户登录时，此软件就不能使用了。,强制删除,可选删除,2、指派给用户或计算机,指派给用户 指派给计算机：可以将软件指派给整个域或某个OU内的计算机 在“计算机配置”里设置 需另外设置“默认程序包位置”： 软件安装属性默认程序包位置 选择“已指派”,1.将软件指派给用户,将软件指派给整个域或某个OU内的用户，过程类似于发布给用户。 当将一个软件通过组策略的GPO指派给域内的用户后，则用户在域内的任何一台计算机登录时，这个软件都会被“通告”给该用户，但是没有真正的安装，只是安装了与这个软件有关部门的部分信息,需要通过以下方式安

7、装： 开始运行此软件：开始所有程序双击该软件快捷方式自动安装。 利用“文件启动”功能：例如指派的是Excel,则用户登录时，计算机会自动将扩展名为.xls的文件与Excel关联在一起，此时只要用户双击.xls的文件，系统会自动安装Excel。,2.将软件指派给计算机,当将一个软件通过组策略的GPO指派给域内的计算机后，在这些计算机启动时，会自动安装，而且是安装到公用程序组内，也就是安装到Documents and SettingsAll Users文件夹内。任何用户登录后，都可以使用此软件。 通过“计算机配置”来设置，而不是“用户配置” 需另外设置“默认程序包位置”，设置方法：软件安装-属性-

8、默认程序包位置 选择已指派 注：只能对软件指派给计算机，无法将软件发布给计算机。被指派软件的计算机，在启动时就会自动安装这个软件。,任务四 软件升级,软件分发点 升级点,软件升级,功能：利用组策略软件包可以将已经部署给用户或计算机的软件升级到最新版本： 强制升级：不论是发布或指派新版的软件，原来旧版的软件都会被自动升级。实际只是安装新版软件的快捷方式而已，必须选择此快捷方式或需要运行此软件时，系统才会开始完整的安装 可选升级：不论是发布或指派新版的软件，原来旧版软件都不会被自动升级，用户必须通过“开始”控制面板添加或删除程序添加程序 来安装。 注：指派给计算机的软件，只可以选择“强制升级”,1

9、、布置一个强制升级,具体操作,将新版软件复制到软件发布点内 用户配置软件设置右击“软件安装”新建 程序包 选择要升级的新版本Windows Installer Package，选择“高级选项”,强制升级： 勾选“现有程序包所需的升级”选项,2、布置一个可选升级,操作方法,在原有的软件包基础上再部署一个升级版的软件包 右击低版本的软件包属性 升级选择高版本的软件包 添加选择GPO选择升级的程序包 选择升级类别（可选升级和强制升级）确定,任务五 发布“非-MSI”软件,可以通过建立一个扩展名为.zap的文件，来将非.msi的软件部署给用户。在部署时候、注意以下事项：,实例,将.exe的运行文件发布

10、给用户 在软件发布点建立一个文件夹，将.exe的运行文件复制到此文件夹内 在此文件夹内，利用“记事本”建立一个扩展名为.zap的文件，内容中SetupCommand是用来指定.exe运行文件的路径和文件名。 注：若.zap文件与软件运行文件位于同一个文件夹内，则 处直接输入软件运行文件，可以不输入路径。,选择GPO-属性-用户配置-软件设置-右击 软件安装-新建-程序包 在“文件类型”中选择“ZAW早期版本应用程序包”，然后选择建立的.zap文件 选择“已发行”,任务六 软件部署其他设置,改变部署设置：右击 部署的软件属性部署： 部署类型：选择“已发布”或“已指派” 通过文件扩展名激活自动安装

11、该应用程序：表示可让用户拥有“文件启动”的功能 当这个应用程序不再处于管理范围内时，将其卸载：例如该用户被移到其他的OU内，用户下次登录时，此软件就会被自动删除。 不要在“添加/删除程序”控制面板中显示这个程序包：若用户要安装此软件，可利用“文件启动”方法或双击该软件的快捷方式。 安装用户界面选项：让用户通过基本安装或完整安装来安装此软件。,软件分类：将所部署的软件分类后，用户在安装软件时，就可以根据软件类别来选择软件。 建立软件类别：软件安装属性选择“类别”标签确定 将所部署的软件归纳到适合类别：右击已部署的软件属性通过“类别目录”卷标来设置 此时用户在添加/删除程序内安装软件时就可以通过类

12、别来显示。,帐户登陆后安装选择类别：,任务六 软件包装程序,Winstall LE是一个简单、容易使用的工具，可以利用它来编辑Windows Insaller Package,或是将用传统SETUP方式安装的软件包装成Windows Insaller Package，即.msi软件。 具体看操作步骤,任务七 软件限制策略,“软件限制策略”通过定义规则,来控制是否可以运行软件. 软件限制策略的安全级别: 不受限的:所有登陆用户都可以运行指定的软件(只要用户有权限) 不允许的:不论用户对软件有何访问权限,都不允许运行. 系统默认的安全级别是所有软件都是”不受限”,但可以通过“哈希规则”、“证书规则

13、”、“路径规则”与“Internet区域规则”等4种规则来建立例外的安全级别。,软件限制策略规则,哈希规则：“哈希（hash）”是根据软件程序（文件）的内容计算得出一连串固定数目的字节。由于它是根据软件程序的内容算出来，因此不同的软件程序有着不同的“哈希”值，所以系统可以用它来辨别软件。 在为某个软件建立哈希规则，限制用户不允许运行此软件时，系统就会为该软件建立一个“哈希”值。当用户要运行此软件时，用户的计算机就会对比其自行算出来的”哈希“值，判断是否与软件限制策略中的”哈希“值相同，若相同就拒绝让此软件运行。 即使此软件的文件名改变或是被转移到其他位置，”哈希“值也不会改变，仍受到软件限制策

14、略的约束。若软件程序内容被改变（例如中毒），用户的计算机算出来的”哈希“值和软件限制策略中的”哈希“值不同，不会受到软件限制策略的约束。,软件限制策略规则,证书规则：通过“签署证书”辨别软件，即可以说可以通过建立“证书规则”允许或拒绝用户运行某软件。 路径规则：用软件所在的路径来辨识软件，例如指定用户可以运行位于某个文件夹内的软件。若软件如果被转移到其他文件夹，将不再受软件限制策略的约束。 Internet区域规则：利用软件所在的“Internet区域”来辨识软件，区域包括本地计算机、本地Intranet、受信任的站点、受信任的站点、受限制的站点与Internet，例如限制用户不能运行位于“受限制的站点”内的软件。除了本地计算机之外，其他四个区域内包含哪些计算机或网站，是可以通过IE来设置，设置方法：IE-工具-Internet选项-安全。,规则的优先级,可以对同一个软件设置多个软件限制的规则，这些规则的优先级由高到低为： 哈希规则 证书规则 路径规则 Internet区域规则,启用软件限制策略,设置方法： 建立哈希规则： 用户配置-Windows设置-安全设置- 软件限制策略-其他规