第八章使用组策略管理软件
利用组策略来发布和指派软件
利用Active Directory管理工具(ADMT)进行组策略的管理和配置 。
Windows Server Management Studio
通过Windows Server Management Studio进行组策略的管理和配 置。
组策略管理控制台(GPMC)
为了保障网络安全,管理员可以利用组策略指派杀毒软件给用户。通过组策略,管理员可以统一配置杀毒软件的 设置,确保所有用户都使用相同的设置,提高网络安全防护能力。同时,组策略还可以定期更新杀毒软件的病毒 库,确保用户设备的安全性。
案例三
总结词
自动化、便捷
详细描述
通过组策略,管理员可以实现软件的自动安装与卸载,为用户提供更加便捷的服务。管 理员可以制定软件的安装和卸载脚本,通过组策略发布给用户。当需要安装或卸载软件 时,管理员只需更新组策略配置,而无需逐个用户进行操作,提高了管理效率。同时,
自动化安装与卸载还可以减少人为错误和遗漏,确保软件的正确安装和卸载。
06
总结与展望
利用组策略发布和指派软件的优势与不足
自动化部署
组策略可以自动化地发布和指派软件 ,大大减少了手动安装和配置的时间 和工作量。
集中管理
通过组策略,管理员可以在中央位置 管理和配置软件分发,提高了管理效 率和可维护性。
05
案例分析
案例一:利用组策略发布办公软件
总结词
高效、集中管理
详细描述
通过组策略,管理员可以发布办公软件给用户,确保所有用户使用统一的软件 版本,减少因软件版本不同导致的问题。同时,组策略可以集中管理软件的安 装、配置和更新,提高管理效率。
案例二:利用组策略指派杀毒软件
组策略应用
高计算机性能。
配置计算机安全策略
03
设置计算机安全策略,包括防火墙、杀毒软件、安全审计等,
确保计算机安全。
软件部署
软件安装与卸载
通过组策略可以批量安装 和卸载软件,提高软件部 署效率。
软件版本控制
通过组策略可以控制软件 的版本,确保所有计算机 上的软件版本一致。
软件配置管理
通过组策略可以统一配置 软件的参数和设置,提高 软件的使用效果。
。
配置用户权限策略
根据用户角色和职责,分配相应的 权限,确保用户只能访问其所需资 源。
配置用户桌面环境
统一配置用户的桌面环境,包括桌 面背景、图标、主题等,提高工作 效率。
计算机配置
配置计算机启动策略
01
设置计算机启动项、启动脚本等,提高计算机启动速度和运行
效率。
配置计算机资源管理
02
优化计算机资源使用,包括内存、磁盘空间、网络带宽等,提
可以创建新的组策略模板,以便快速应用到多个计算机或用户。
编辑现有组策略模板
对于现有的组策略模板,可以进行编辑,以更改其设置。
应用组策略模板
可以将组策略模板应用到特定的计算机或用户,以快速应用所需的 组策略设置。
03
组策略的应用场景
用户配置
配置用户账户策略
包括账户锁定、密码策略、账户 过期等,确保用户账户的安全性
安全增强型组策略可以应用于各种场景,如访问控制、数据保护和网络安全等。
THANKS
谢谢您的观看
专门知识和技能。
注意事项
测试先行
在生产环境中实施组策略之前 ,应在测试环境中进行测试。
备份策略
定期备份组策略配置,以防意 外修改或损坏。
使用组策略限制软件运行示例
使用组策略限制软件运行示例xx年xx月xx日CATALOGUE目录•介绍•组策略基本概念•使用组策略限制软件运行的方法•实际操作示例•组策略限制软件运行的优缺点01介绍组策略(Group Policy)是Windows操作系统中一套允许管理员修改系统设置和用户配置的技术,用于配置和管理Windows系统中的策略、安全性和资源。
组策略基于Windows管理控制台(MMC)的管理员管理单元,通过使用管理模板文件(.adm)和相关的脚本文件来实现系统设置和用户配置的自定义。
什么是组策略组策略的功能和用途配置安全设置:组策略可以配置安全设置,例如密码策略、账户锁定策略、安全审计策略等。
定制应用程序:管理员可以使用组策略来配置应用程序的运行选项,例如启动位置、数据源、默认打印机等。
控制用户配置:组策略可以控制用户的桌面、开始菜单、网络连接、浏览器设置等,以及定义用户登录和注销的选项。
组策略具有以下功能和用途管理系统设置:管理员可以使用组策略来修改系统设置,例如启动和关机选项、用户权限和访问控制、安全设置等。
为什么需要使用组策略限制软件运行使用组策略限制软件运行可以帮助管理员更好地管理和控制系统的应用程序和资源,确保只有经过授权的应用程序可以在系统中运行,防止恶意软件的侵入和破坏。
通过限制软件的运行,可以降低系统被攻击或感染病毒的风险,提高系统的安全性和稳定性。
组策略还可以帮助管理员对系统进行集中管理和配置,减少了管理员的工作量,提高了管理效率。
02组策略基本概念组策略对象是组织单位(OU)和域(Domain)的集合,用于集中管理计算机或应用程序配置。
可以使用组策略来配置计算机或应用程序的各个方面,如软件设置、安全性和用户权限等。
理解组策略对象组策略配置文件(GPO)是存储组策略设置和链接到特定组织单位或域的容器。
每个GPO都有链接到目标组织单位或域的优先级,并且可以覆盖本地组策略设置。
组策略的配置文件本地组策略适用于单个计算机或应用程序的组策略设置。
组策略软件限制策略
可以根据不同用户或计算机组的需求,定制不同的软件限制策 略。
可以有效防止恶意软件的安装和运行,保护系统安全。
适用场景
01
02
03
企业环境
适用于企业内部的计算机 管理,确保员工只能使用 指定的软件,防止潜在的 安全风险。
智能学习与调整
通过机器学习和深度学习技术,自动学习和调整软件限 制策略,以适应不断变化的威胁和环境。
云计算和虚拟化对软件限制策略的影响
云端策略部署和管理
利用云计算资源,实现软件限制策略的快速部署和集 中管理,提高策略执行效率和灵活性。
虚拟化环境下的软件限制
在虚拟化环境中,实现软件限制策略的跨平台应用, 确保虚拟机之间的安全隔离和合规性。
实施步骤
制定详细的实施步骤,包括策略部署、配置 和监控等,确保计划的有效执行。
定期评估和调整软件限制策略
评估
定期评估软件限制策略的效果,包括合规性 、安全性和资源占用等方面。
调整
根据评估结果,及时调整软件限制策略,以 适应不断变化的软件环境和业务需求。
加强用户教育和培训
要点一
教育
向用户宣传软件限制策略的重要性和必要性,提高用户对 合规性和安全性的认识。
组策略软件限制策略
汇报人: 2024-01-04 目录• 组策略软件限制策略概述 • 软件限制策略的配置与实施 • 组策略软件限制策略的最佳实
践 • 组策略软件限制策略的挑战与
解决方案 • 组策略软件限制策略的未来发
展
01
组策略软件限制策略概述
定义与特点
定义 集中管理 灵活定制 安全性高
应用组策略部署和管理软件
关键词 : 域控 制器 ;组织单位 ;部署软件 ;管理 软件 ;软件限制规则 ;哈希规则
Ap i a i n f Gr p pl t o o ou Pol y o De o a d c i t c pl y n M a a e n g So t r f wa e
件 的安装 、升 级 以及删 除 等等 。 当然 如何 限 制企 业员 工 电
序 。新 的 I t le ns a i r提供 给软 件产 品新 的特性 ,例 如使 用 命 令 行安 装产 品 、增 加 了用 户的 可定 制性 。 Wi d ws n tl r不仅 仅是 一个 安装程 序 ,它还 是 n o I sal e
域 控
含有 关应 用程 序设置 和 安装 信息 的程 序包 . S 文件 格式 M I 组 成 ,同时也 是可 扩展 的软 件 管理 系统 ,它 支持从 多种 来 源安 装和 运行 软件 ,并且 开 发人 员可 以 自定义 W i do n ws I salr 以安 装 自定 义 应用 程序 。 n tl e
的对 软件 的管 理 问题 。
软 件 的 安装 ,管 理 软 件 组 件 的 添 加 和 删 除 ,监 视 文 件 复 原 ,并 通 过使 用 回滚来 维护 基本 的 灾难恢 复 。该技 术 由用 于 W id ws 作 系统 的 W i d ws n tl r服 务 以及 包 no 操 n o I sal e
Ab ta t Wih te o uaia in o i o m to t cn lg sr c : t h p plrz t f n r a in e hoo y, h w e f i t ma a e n o cmp tr o t r wi i h nt r b c m moe o f o f ie n g met f o ue sf wa e t n e ewok eo e cn h t r i ot n . T i rie fc ss n o t ue mp ra t hs tc o ue o h w o s Gru P ly 0 e ly a d ma a e sfwae. T e e i l e hw t e a l o p oi t dpo n c ng o t r h s n u o cd h me e s f te o i mb r o h d man
组策略(gpedit.msc)完全使用手册
组策略(gpedit.msc)完全使用手册组策略(gpedit.msc)完全使用手册组策略(gpedit.msc)完全使用手册对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现。
其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能。
一、组策略基础1.什么是组策略注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。
而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。
其实简单地说,组策略设置就是在修改注册表中的配置。
当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
2.组策略的版本对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows2000/XP/2003操作系统中。
早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。
当用户登录时,它会重写注册表中的设置值。
当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。
而组策略及其工具,则是对当前注册表进行直接修改。
显然,Windows2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个ActiveDirectory(活动目录)对象(即站点、域或组织单位)并对其进行设置。
使用组策略限制软件运行示例
定期清理过期策略
清理不再使用或过期的组策略,以减少潜在的安全风险 和资源占用。
修复组策略错误
当发现组策略存在错误或问题时,及时进行修复并分析 原因,确保其安全性。
THANKS
谢谢您的观看
组策略的监控
要点一
监控组策略状态
定期检查组策略的状态,包括是否被 正确配置、是否存在错误等。
要点二
监控软件运行情况
对于被限制运行的软件,需要实时监 控其运行状态,以及是否存在违规运 行的行为。
要点三
监控日志记录
分析系统日志,及时发现和处理与组 策略配置和软件运行相关的问题。
组策略的维护
更新组策略配置ห้องสมุดไป่ตู้
组策略的优点
集中管理
组策略允许管理员从中央位置设 置和管理计算机和用户的配置, 降低了管理成本和复杂性。
自定义配置
组策略支持自定义配置文件,允 许管理员根据需要为不同用户或 计算机定义不同的配置。
安全控制
组策略可以用于设置安全选项, 如软件限制、网络安全设置等, 提高了系统的安全性和稳定性。
组策略的组件
如何通过文件关联限制软件运行
可以通过修改文件关联的方式,将恶意软件的程序和正常的文件类型进行关联,从而限制 恶意软件的运行。
文件关联的优缺点
文件关联可以有效限制恶意软件的运行,但也可能影响到一些正常的文件的打开和使用。 同时,如果用户对系统进行了不当的设置,也可能会造成不必要的麻烦。
03
组策略的监控和维护
使用组策略限制软件运行 示例
xx年xx月xx日
目录
• 组策略基础 • 使用组策略限制软件运行 • 组策略的监控和维护
第八章使用组策略管理软件
第八章使用组策略管理软件分配内容摘要本章将重点讲解如何使用组策略在Windows2000中自动进行软件分配(Software Deployment)。
内容包括:• Windows2000软件分配的准备• Windows2000软件分配的配置• Windows2000软件分配的维护• Windows2000软件分配后的删除考点提示• 软件指派和软件发布的区别• 软件分发使用的安装包类型• 软件分发后的修复8.1 软件分配(Software Deployment)简介软件分配能够使管理员在公司内集中安装和维护应用程序。
软件分配可以从一个地点安装和管理应用程序、补丁程序和升级程序,并将这些程序分配给特定的计算机或者用户。
使用组策略是实现软件在Windows2000网络中分配的必要条件。
使用组策略分配软件与手工安装应用软件相比有如下优点:• 减少管理负担。
使用组策略管理员可以在网络中集中对软件进行分配和管理,而不必为每一台客户端计算机单独手工安装。
• 增强软件安装控制。
可以避免用户在自己的客户端随意安装软件。
由于软件分配在服务器端向客户端安装软件,因此可以禁止用户自己安装软件。
• 软件分配可以指派不同用户,不同计算机安装不同的计算机。
可以设置不同的安装时间,如计算机启动或者用户登录时安装。
• 实现软件自动修复。
当通过组策略分配的软件被误删除后,软件分配可以自动修复,并补充被删除的文件。
• 实现软件自动升级。
当软件版本升级后,可以通过设置组策略将升级版分配给客户端,实现软件的自动升级。
• 方便软件删除。
当软件不再需要时,可以通过组策略在整个网络中彻底删除无用软件。
通过软件分配可以实现对软件的安装、维护进行管理。
软件分配可以分为四个阶段:1、软件分配准备阶段2、软件分配的实施阶段3、软件分配的维护阶段4、软件分配的删除阶段后面我们将依次对这四个阶段需要注意的内容进行介绍。
8.2 软件分配的准备8.2.1 软件分配的条件实现软件分配需要满足如下必要条件:1、要有Windows安装服务(Windows Installer Service):Windows安装服务是一个在客户端运行的服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本文由xilong83贡献 pdf1。
80 MCSE2000 系列——Windows 2000 活动目录 第八章 内容摘要 使用组策略管理软件分配 本章将重点讲解如何使用组策略在 Windows2000 中自动进行软件分配(Software Deployment) .内容包括: Windows2000 软件分配的准备 Windows2000 软件分配的配置 Windows2000 软件分配的维护 Windows2000 软件分配后的删除 考点提示 软件指派和软件发布的区别 软件分发使用的安装包类型 软件分发后的修复 8.1 软件分配(Software Deployment)简介 软件分配能够使管理员在公司内集中安装和维护应用程序. 软件分配可以从一个地点安 装和管理应用程序,补丁程序和升级程序,并将这些程序分配给特定的计算机或者用户. 使用组策略是实现软件在 Windows2000 网络中分配的必要条件. 使用组策略分配软件与手工安装应用软件相比有如下优点: 减少管理负担.使用组策略管理员可以在网络中集中对软件进行分配和管理,而不 必为每一台客户端计算机单独手工安装. 增强软件安装控制.可以避免用户在自己的客户端随意安装软件.由于软件分配在 服务器端向客户端安装软件,因此可以禁止用户自己安装软件. 软件分配可以指派不同用户,不同计算机安装不同的计算机.可以设置不同的安装 时间,如计算机启动或者用户登录时安装. 实现软件自动修复.当通过组策略分配的软件被误删除后,软件分配可以自动修复, 并补充被删除的文件. 实现软件自动升级.当软件版本升级后,可以通过设置组策略将升级版分配给客户 端,实现软件的自动升级. 方便软件删除.当软件不再需要时,可以通过组策略在整个网络中彻底删除无用软 件. 通过软件分配可以实现对软件的安装,维护进行管理.软件分配可以分为四个阶段: 1, 软件分配准备阶段 2, 软件分配的实施阶段 3, 软件分配的维护阶段 4, 软件分配的删除阶段 后面我们将依次对这四个阶段需要注意的内容进行介绍. 8.2 8.2.1 软件分配的条件 软件分配的准备 上海南洋微电子公司版权所有 第八章 使用组策略管理软件分配 81 实现软件分配需要满足如下必要条件: 1,要有 Windows 安装服务(Windows Installer Service) :Windows 安装服务是一个在客 户端运行的服务.它执行软件安装,配置和修复过程. Windows 安装服务是软件分配过程中事实上的执行者, 当软件通过组策略指派给计算机 或者用户去安装的时候,Windows 安装服务具体去执行整个安装过程. 除了安装之外,Windows 安装服务还可以更改或者修复已安装的应用程序. 注意:由于 Windows98,Windows NT 不包含 Windows 安装服务,因此,不能向上述操作 系统分配软件. 2,需要有安装软件包(Installer Package) . Windows2000 软件分配可以使用两种软件安装包,即 Windows 软件安装包(Windows Installer Packages)和非 Windows 软件安装包(Non-Windows Installer Packages) . Windows 安装软件包包含安装应用程序的所有必要文件和安装配置文件.Windows 安 装包一般由软件程序供应商提供, 如果软件供应商没有提供此类软件包, 可以使用第三方工 具创建.但使用第三方工具需要详细了解应用程序源文件,需要更改的 Registry 值,需要安 装的源文件及路径等信息. 通过 Windows 安装包安装的应用程序在收到损坏时,可以实现应用程序的自我修复功 能.例如,某一个应用程序的部分文件被一个用户删除,当用户再次使用时,此应用程序能 够自动还原被删除的文件,而不影响用户使用. 注意:应用程序在自我修复过程中,安装源文件必须可以访问. 通过 Windows 安装包安装的应用程序还可以根据用户的需求选择安装不同的组件.例 如,安装词典类软件,可以在查找特定单词时再装入包含这个单词的词库组件,而不必一开 始安装太多内容.这种技术也称为即时安装(Just-in-time Installation) . Windows 安装包以*.msi 为扩展名, 现在已经有很多软件开发商提供此类型的安装文件, 可以直接使用. 如果安装文件还不是 Windows 安装包类型, 可以通过第三方软件将安装文件重新打包. Swiadmle.msi 是一个 Windows2000 附带的第三方打包工具,如下图所示,适当填充相关参 数并存盘,可以得到重新打包的 Windows 安装软件包. 上海南洋远程教育系列教材 82 MCSE2000 系列——Windows 2000 活动目录 图 8-1 软件分配支持的第二种文件类型是非 Windows 软件安装包. 零管理 Windows 文件 (Zero Administration for Windows Files)是一种最常用的非 Windows 软件安装包, 它是一个文本文 件,定义了安装应用程序的建议. 零管理 Windows 文件以*.zap 作为扩展名, 它可以在不对非 Windows 软件安装程序重新 打包的情况下对这个程序进行分配.但同时,使用*.zap 文件也有一些不利的方面: 零管理 Windows 文件只能够发布(Publish),不能够指派(Assigning). 零管理 Windows 文件在应用程序受到损坏的时候不能够自动修复损坏的文件,而只 能完全重新安装. 零管理 Windows 文件几乎不能实现用户不参与情况下的自动安装.也就是说用户在 安装过程中需要做出很多设置. 不能够使用 Windows 安装服务所具有的安装权限进行安装. 这意味着当前用户如果 没有安装应用程序的权限,则使用*.zap 文件进行的软件分配不能进行. 3,需要创建软件分配的组策略和软件分配点. 组策略是使应用程序安装包能够在 Windows2000 网络中自动分配的关键因素之一.当 计算机启动或用户登录时, 执行相关组策略, 访问分配的应用程序安装文件, 开始安装过程. 软件分配点是一个位于服务器上的共享目录, 在软件分配点上面存存放应用程序的安装 软件包, 并设置不同的访问权限. 允许设置需要安装软件的用户应该对所安装的应用程序拥 有 Read 权限. 8.2.2 软件分配的方式 具备了上面所说的三个条件, 软件分配可以根据需要进行配置. 在组策略中进行软件分 配,有两种方式可以选择:软件发布(Software Publishing)和软件指派(Software Assigning). 软件发布 软件发布只能针对用户进行.不能对计算机发布软件. 软件发布不会自动为用户安装应用程序.当发布成功后,只要用户打开添加/删除应用 程序(Add/Remove Programs)界面,就可以看到发布的应用程序选项. 用户安装发布的应用程序最简单的方法是在自己的计算机上通过控制面板中的添加/删 除应用程序进行安装. 用户安装发布的应用程序另一种方法是使用关联文档激活安装过程. 当一个应用程序发 布成功后, 这个应用程序将在活动目录中进行登记. 活动目录中会记录下与这个应用程序关 联的文档的扩展名. 当一个用户点击一个未知类型的文件后, 计算机向活动目录查询是否有 与这个类型关联的被发布的应用程序. 如果有, 计算机将自动安装这个应用程序用来打开这 个文件. 软件指派 软件指派既可以针对用户进行,又可以针对计算机进行. 针对用户配置软件指派可以在用户需要的时候安装应用程序.一个应用程序指派给用 户,当用户登录后,应用程序图标会出现在计算机的桌面和用户的开始菜单中.但此时应用 程序并没有真正安装. 直到用户使用这个应用程序时, 如用户第一次双击这个应用程序图标 或者双击与这个应用程序的关联文档时, 这个应用程序才真正开始安装. 应用程序指派给用 户可以减少用户安装程序的时间,并节省不必要的磁盘空间浪费. 应用程序指派给用户后, 无论用户在网络中任何一台登录, 应用程序指派的结果是相同 的. 上海南洋微电子公司版权所有 第八章 使用组策略管理软件分配 83 针对计算机配置软件指派与指派给用户不同.应用程序指派完成后在计算机下次启动 时,应用程序自动安装在被指派的计算机上. 应用程序指派给计算机后, 无论任何用户在这台计算机上登录, 都可以启动安装过程 (第 一次启动计算机有效) ,并访问经指派并已经安装的应用程序. 总起来讲,软件发布(Software Publishing)和软件指派(Software Assigning)之间,针 对用户的软件指派(Software Assigning)和针对计算机的软件指派(Software Assigning)之 间各自有不同的特点,根据需要选择合适的软件分配方法可依得到满意得结果. 下表列出了上述三种不同的软件分配方法之间的比较. 分配类型 优点 指派(给用户) 用户需要时总能够访问到指 派的应用程序. 应用程序的安 装不需要人的参与 指派(给计算机) 缺点 即使用户从来没有使用指派 的应用程序. 被指派的应用程 序仍然会出现在用户的开始 菜单上. 应用程序在计算机启动时自 在组策略中配置好软件发布 动安装 后, 必须重启动所有的计算机 软件发布才有效. 应用程序安装之前, 应用程序 用户必须自己安装应用程序. 图标不会出现在开始菜单中. 安装过程不是自动的. 发布 8.3 软件分配的配置 在 Windows2000 活动目录体系中,具备了软件分配的必要条件,可以在组策略中对软 件分配进行具体设置了. 1,建立软件分配点 软件分配设置的第一步是要建立一个软件分配点. 软件分配点是一个共享目录, 这个共 享目录中包含软件分配过程中所有必要的源文件. 为了保证安全性, 应该在这个共享目录中 设置合适的安全权限,使只有必要的用户和计算机能够访问这个目录中的文件. 与软件分配(Software Deployment)有关的源文件有如下几个类型: 文件类型 扩展名 说明 .msi Windows 安装程序包 这些文件通常由软件供应商提供, 用以加快特定应用程 序的安装. 在软件分发点中必须把这些文件和任何其他 必需文件共同保存为要管理的软件. 转换程序包 也叫作修改,这些文件在分配或发布时对 Windows 安 装程序包进行自定义.例如,它们可能会指定安装过程 .mst 仅仅安装完整程序包的一部分. 修补程序 错误修复,Service Pack 以及类似文件可以用这种形式 分发. 修补程序不应该用于主要的修改, 其作用限制如 下: .msp 不能删除组件或功能 不能更改产品代码 .zap 文件 .zap 不能删除或更改快捷方式,文件或注册表项的 名称 这些文件与 .ini 文件类似,都是使用记事本之类的文 本编辑器创建的.它们只能发布(不能分配) ,并且它 上海南洋远程教育系列教材 84 MCSE2000 系列——Windows 2000 活动目录 应用程序分配脚本 .aas 为用户指定了一个可执行的安装程序(例如 \\server\share\Excel\Setup.exe) ,该程序在控制面板中的 "添加/删除程序"中能够看到.用户在本地计算机上具 有管理权限. 这些文件包含一些与程序包分配或发布有关的说明. 2,使用组策略分配软件 使用组策略分配软件首先确定软件分配的范围,在站点,域还是组织单元内分配.在哪 一个范围内分配应用程序就在哪一层容器中创建组策略. 在组策略的计算机设置(Computer Configuration)和用户设置(User Configuration)中, 存在软件安装子容器,在此子容器中可以添加准备分配的应用程序.计算机设置(Computer Configuration) 中设置分配给计算机的应用程序, 用户设置(User Configuration)中设置分配给 用户的应用程序. 图 8-2 实验 1:在域中分配应用程序 test1.msi 1, 针对域创建组策略 Default Domain Controller Policy. 2, 在计算机设置(Computer Configuration)\软件设置(Software Settings)\软 件安装(Software Installation)中添加准备分配的软件包 test1.msi.根据向导 提示完成后续步骤. 3, 或者在用户设置(User Configuration)\软件设置(Software Settings)\软件 安装(Software Installation)中添加准备分配的软件包 test1.msi.根据向导提 示选择是发布(Publishing)还是指派(Assigning),完成后续步骤. 3,设置软件分配默认属性 通过设置软件分配属性可以确定软件分配的方式, 更改软件安装包的位置, 安装过程的 用户界面等.设置好软件分配的默认属性,此后添加新的软件安装包,除非特别指定,都按 照默认属性的设置进行分配. 选项 说明 Default package location(默认包位置) 包含.msi 包文件的软件分布点位置. 可以指 上海南洋微电子公司版权所有 第八章 使用组策略管理软件分配 85 New packages When adding new packages to user settings(给用户设置添加新包时的新 包) Installation user interface options(安装用户 界面选项) Uninstall the application when they fall out of the scope of management (卸载不在管理范围 内的应用程序) 定任何包含软件包的位置, 但确保分布点不 在本地驱动器上. "Display the Deploy Dialog boxes"(显示布 置对话框)选项显示了添加到 GPO 的每个 包文件的一个对话框. 这个对话框提示读者 发布或分配新的包文件. "Publish"(发布)选项自动发布一个"User Configuration"下不出现. 如果读者打算给需 要进行发布的 GPO 添加多个应用程序,使 用此选项.用"Assign"(分配)选项自动分 配一个默认的新包文件. 如果读者打算给需 要进行分配的 GPO 添加多个应用程序,使 用此选项. 用"Advanced published or assigned" (高级发 布或分派)选项进行更好的控制.例如:使 用变换. Windows 安装程序包通常包括两种不同的 安装界面.基本界面用默认值安装软件,最 大界面提示用户输入值. 可以选择用哪种界 面显示安装过程. 如果一个 GPO 不再适用于一个用户,因为 设置在一新的 GPO 上, 或是 GPO 被删除了, 应用程序以及所有相关的文件将从用户的 计算机上自动删除. 图 8-3 上海南洋远程教育系列教材 86 MCSE2000 系列——Windows 2000 活动目录 4,自定义软件分配包的安装过程 当公司规模比较大时, 不同用户安装同一个应用程序可能会有不同的要求, 如安装的组 件不同等. 这时, 在不改变软件安装包的前提下, 可以使用软件更改 (Software Modification) . 创建软件分配目录(Category) ,使用*.mst 对软件包的分配制订不同的配置.*.mst 是一 个记录如何更改软件安装包的安装过程的文件.使用*.mst 文件可以应用一个软件安装包得 到几种不同的安装结果. 例如,当安装一套词典软件时,根据用户的工作性质不同,可以分别选择安装不同的字 库,从而在不占用太多资源的前提下尽可能满足用户的需求.在这个过程中,词典安装包文 件不变,可以通过创建并使用*.mst 文件完成. 注意:*.mst 文件只在分配新的安装包文件过程中可以指定.一旦安装文件包设置完成, *.mst 文件就不能添加或删除了. 图 8-4 实验 2 :设置软件更改(Software Modification) 1, 向组策略中添加一个新的软件安装包. 2, 右击软件安装包,选择属性. 3, 选择更改(Modification)选向卡,添加准备好的*.mst 文件. 5,创建并管理软件类别(Creating Software Categories) 软件类别是在特定情况下可以使用的一种软件分类方法. 软件发布(Software Publishing)的最终结果使用户在添加/删除应用程序(Add/Remove Programs)中可以看到被发布的应用程序.当发布的软件较多时,可以创建几个软件类别, 将软件添加到这些类别中,以便于用户查找. 上海南洋微电子公司版权所有 第八章 使用组策略管理软件分配 87 图 8-5 实验 3 :创建软件类别并分类软件 1, 右击软件安装(Software Installation) ,选择属性. 2, 选择类别(Categories)选向卡,创建软件类别. 3, 右击添加的软件包,选择属性. 4, 选择类别(Categories)选项卡,分配软件包所属的软件类别. 6,将文件扩展名与应用程序关联 Windows2000 在软件发布中记录所发布软件与文件的扩展名之间的关联关系. 但文件的 扩展名所对应的软件可能不是唯一的.如*.doc 文件与 Word97,Word2000,Wordpad 等程序关 联.当用户双击一个*.doc 文档时,需确定具体要安装的应用程序. 在组策略中可以对文件扩展名与应用程序的关联关系进行排序, 优先级高的关联最终有 效. 不同的容器可以实行不同的组策略, 因此不同的用户或者计算机可以使用不同的文件扩 展名与应用程序的关联. 更改了文件扩展名与应用程序的关联关系, 意味着当用户第一次双击特定扩展名的文件 时,计算机自动安装关联的应用程序. 上海南洋远程教育系列教材 88 MCSE2000 系列——Windows 2000 活动目录 图 8-6 8.4 软件分配的维护 软件分配完成后,使用组策略还可以对通过分配安装在客户端的软件进行维护. 软件分配后的维护包括升级(Upgrade)和再分发(Redeployment) . 8.4.1 软件分配后的升级 当应用程序的升级版本推出后, 在企业网络中集中进行旧版本的升级可以节省很多管理 工作.Windows2000 支持通过组策略中的软件分配对软件进行升级. 通过组策略升级软件有两种方式:强制升级和可选择升级. 强制升级在条件满足时自动升级现有旧版本软件.如企业网络中将指派给用户的 Word97 升级为 Word2000,配置相应的组策略后,用户下次登录并使用 Word 时计算机自动 安装 Word2000 软件. 可选择允许用户决定是否升级到新的版本.这意味着,如果用户不选择升级,他仍然可 以使用旧版本的软件. 上海南洋微电子公司版权所有 第八章 使用组策略管理软件分配 89 图 8-7 实验 4:升级分配的软件 1, 在组策略中发布两个版本的应用程序 V1.0 和 V2.0. 2, 右击 V2.0 版本,选择属性,选择升级(Upgrade)选向卡. 3, 在将升级的软件包(Packages that this package will upgrade)中添加 V1.0 版 本软件包. 4, 选择升级类型. 软件分配后的再分发(Redeployment) 8.4.2 有一些软件虽然版本相同,但是由于推出的时间不同,部分文件已经发生了变化.软件 供应商在同一个版本的软件中会提供多种安装包. 使用较新的安装包可以修正当前软件的一 些错误.软件分配后的再分发可以刷新客户端软件. 软件分配后针对发布,指派的软件再分发的过程不同. 当软件是通过指派给用户的方式安装在客户端时, 软件再分发后, 用户下次登录时用户 所在计算机的开始菜单,桌面,注册表会发生相应变化,但直到用户第一次使用到这个应用 软件时,这个软件包才真正重新分配. 当软件是通过指派给计算机的方式安装在客户端时, 软件再分发后, 当计算机重新启动 后,软件自动重新分配. 当软件是通过发布安装在客户端时, 软件再分发后, 用户下次登录时用户所在计算机的 开始菜单,桌面,注册表会发生相应变化,但直到用户第一次使用到这个应用软件时,这个 软件包才真正重新分配. 上海南洋远程教育系列教材 90 MCSE2000 系列——Windows 2000 活动目录 图 8-8 实验 5:配置软件再分发 1, 从软件供应商得到现有软件的更新软件包,替代旧的软件包. 2, 打开原来分配软件的组策略,右击新的软件包. 3, 选择再分配(Redeployment) . 8.5 删除已经分配的软件 通过组策略分配的软件不能从客户端简单地删除, 一方面由于客户端的用户不一定具备 足够的权限.另外,如果组策略不变,客户端软件被删除后,下次用户登录或者计算机重新 启动后软件仍然会安装. 通过组策略删除分配的应用程序非常方便, 只需要在组策略中删除分配的软件包就可以 了. 通过组策略删除软件有两种选择:强制删除(Forced Removed)和可选择删除(Optional Removed). 强制删除(Forced Removed)在计算机下一次重新启动或者用户重新登录后自动进行. 具体删除的时间与软件早期分配的方式相关. 可选择删除(Optional Removed)软件并不真正删除,但也不会再向网络中广播分配信 息,客户端的添加/删除程序(Add/Remove Program)也不再列出原分配的软件.如果用户 在客户端删除了分配的应用程序,则不会再重新安装. 上海南洋微电子公司版权所有。