组策略分发软件全攻略
利用组策略来发布和指派软件
利用Active Directory管理工具(ADMT)进行组策略的管理和配置 。
Windows Server Management Studio
通过Windows Server Management Studio进行组策略的管理和配 置。
组策略管理控制台(GPMC)
为了保障网络安全,管理员可以利用组策略指派杀毒软件给用户。通过组策略,管理员可以统一配置杀毒软件的 设置,确保所有用户都使用相同的设置,提高网络安全防护能力。同时,组策略还可以定期更新杀毒软件的病毒 库,确保用户设备的安全性。
案例三
总结词
自动化、便捷
详细描述
通过组策略,管理员可以实现软件的自动安装与卸载,为用户提供更加便捷的服务。管 理员可以制定软件的安装和卸载脚本,通过组策略发布给用户。当需要安装或卸载软件 时,管理员只需更新组策略配置,而无需逐个用户进行操作,提高了管理效率。同时,
自动化安装与卸载还可以减少人为错误和遗漏,确保软件的正确安装和卸载。
06
总结与展望
利用组策略发布和指派软件的优势与不足
自动化部署
组策略可以自动化地发布和指派软件 ,大大减少了手动安装和配置的时间 和工作量。
集中管理
通过组策略,管理员可以在中央位置 管理和配置软件分发,提高了管理效 率和可维护性。
05
案例分析
案例一:利用组策略发布办公软件
总结词
高效、集中管理
详细描述
通过组策略,管理员可以发布办公软件给用户,确保所有用户使用统一的软件 版本,减少因软件版本不同导致的问题。同时,组策略可以集中管理软件的安 装、配置和更新,提高管理效率。
案例二:利用组策略指派杀毒软件
域分发软件步骤
域分发软件
一.分发前准备
1.Msi软件包一个.
2.创建一个共享文件夹share,共享文件夹不要以中文命名,这里默认在域服务器创建.
二.分发步骤
1.打开Active Directory 用户和计算机,将要分发的计算机图标拖入到要分发的OU中,
如下图.
2.右键软件分发,选择属性 组策略,如下图
2.点击新建,创建一个名叫policy的策略,创建完毕后,点击编辑,进入组策略设置
界面,如下图.
3.点击计算机配置—>软件设置->软件安装,右键软件安装,选择属性,出现下图
4.输入默认程序包位置,新增程序包选择“指派”,安装用户界面选项选择“基本”,
如下图.
注:默认程序包位置最好将共享文件夹所在计算机的域名输入完整,不能用IP代替计算机完整域名.
5.软件安装属性设置完毕后,在右边空白处右键,选择新建->程序包,系统会弹出共享文件夹share的软件,选择要分发的软件包,如下图.
通过以上步骤,软件分发设置完毕,下面为测试分发是否成功,进下如下操作.
在被分发的计算机上,运行cmd,输入gpupdate /force,系统提示重启,重启完毕,登录到系统时请查看软件分发是否成功.
域分发不成功,请排除以下情况:
1.Msi包有问题.
2.策略未生效,再重启一下.。
利用组策略来发布和指派软件
汇报人: 2024-01-03
目录
• 组策略简介 • 软件发布与指派 • 组策略软件发布与指派实践 • 常见问题和解决方案 • 案例分析
01
组策略简介
组策略的定义
01
组策略(Group
Policy)是
Windows操作系统中用于管理和
配置网络中计算机的策略工具。
02
案例二:利用组策略发布和指派杀毒软件
总结词
安全、可靠
详细描述
杀毒软件对于企业网络安全至关重要。通过组策略,管理员可以确保所有计算机 都安装了最新版本的杀毒软件,并设置了相同的防护策略。这有助于提高整个网 络的安全性和可靠性。
案例三:利用组策略发布和指派浏览器软件
总结词
统一、规范
详细描述
为了确保员工使用安全的浏览器软件,管理员可以利用组策略来发布和指派特定的浏览器。通过设置软件的参数 、安全选项和更新策略,可以确保所有计算机上的浏览器都符合企业的安全规范和标准。这有助于维护企业数据 的安全和保护员工隐私。
验证组策略效果
通过监控软件的使用情况、用户反馈和系统日志等方式,验 证组策略发布和指派的软件是否满足用户需求,并评估其效 果和性能。
04
常见问题和解决方案
组策略软件发布与指派常见问题
软件无法安装或运行
组策略设置可能阻止软件的安装或运行,需要检查组策略设置是 否正确。
软件版本冲突
在发布软件时,可能会遇到软件版本冲突问题,需要确保软件版本 与操作系统版本兼容。
THANKS
谢谢您的观看
。
脚本部署
组策略可以用来部署自 动脚本,以便在计算机 启动、关闭或登录时自
动执行。
组策略(gpedit.msc)完全使用手册
组策略(gpedit.msc)完全使用手册组策略(gpedit.msc)完全使用手册组策略(gpedit.msc)完全使用手册对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现。
其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能。
一、组策略基础1.什么是组策略注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。
而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。
其实简单地说,组策略设置就是在修改注册表中的配置。
当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
2.组策略的版本对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows2000/XP/2003操作系统中。
早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。
当用户登录时,它会重写注册表中的设置值。
当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。
而组策略及其工具,则是对当前注册表进行直接修改。
显然,Windows2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个ActiveDirectory(活动目录)对象(即站点、域或组织单位)并对其进行设置。
组策略分发软件
利用组策略软件分发利用GPO实现软件设置:。
准备软件(windows live messenge、Advanced Installer)。
准备windows live messenge安装程序包——.msi。
分发软件优点:易实现缺点:功能简单、兼容性差(只能分发winodows安装程序包——.msi,exe封装的程序安装包要用Advanced Installer重新封装成msi文件)一、 获取要分发的软件:1 安装Advanced Installer并运行,打开新建工程向导,按向导做选择“语言”、“重新包装安装”——>“确定”2、按向导提示,关掉真正运行的其它程序,下一步,下一步选中捕获新的安装3、指定要重新包装的源程序,并设置名称、版本等信息4、如图,选中新的系统捕获5、指定“安装捕获配置文件”保存路径,其它默认,下一步,“确定”:6、安装一遍源程序7、Advanced Installer会把源程序安装后系统的变化记下,“完成”,“导入”8、接下来设置重新封装后,msi文件构建及保存目录(这里指定的是D:\MSN)和文件名过程:9、完成,确定后D:\MSN下就有重新包装后的msi安装包了二、 创建软件分发点1、在用来存放分发软件的服务器上创建一共享文件夹E:\software,域用户有读取的权限就够了NTFS权限:三、 设置GPO:1、打开ADUC——(右击域)打开域属性——新建GPO,并打开该GPO编辑器,如下图所示2、创建分发程序包的策略分发方法有两种: i.指派(强制安装) ii.发布(可选安装)修改后GPO后,如果是在“计算机配置”里“指派”给计算机,客户机执行策略刷新命令gpupdate后重启时安装,所有用户在客户机上都可使用该软件;如果是在“用户配置”里“指派”或者“发布”给用户,用户在客户机执行策略刷新命令gpupdate后生效,“发布”的可以在【控制面板】|【添加/删除程序】|“添加程序”中选择安装,“指派”的软件则注销或重启后重新登录后,程序在【开始】菜单中,用户第一次使用该软件时安装。
使用组策略进行软件分发
自定义office 2003并分发之我们这里自定义office 2003,主要是针对outlook的自定义,具体步骤如下:1,首先是创建office的管理安装点,方法是进入office光盘有setup.exe文件的目录,运行setup.exe /a,然后就会进入创建管理安装点的步骤,当创建完成后,请共享这个文件夹,赋与everyone读取的权限即可。
2,下载并安装office 2003 resource kit(在微软网站首页搜索)3,运行office 2003 resource kit下的Custom Installation Wizard。
这时会打开运行向导,点击进入下一步,在“open the MSI file”窗口(第2屏),以UNC路径选中第1步共享文件夹下的PRO11.MSI文件包,如图2。
下一步选创建一个新的MST文件,然后一直“Next”,在第8屏时,选择“configure local installation source”,为了客户端安装时不必输入产品序列号,请在“product key”栏填入序列号,注意是连写,中间没有短横线。
并勾选“I accept the terms in the Licence Agreement”,如图3。
在第16屏时,我们添加一个命令,这个命令用来在D盘创建一个文件夹,这个文件夹用来保存用户的邮件,即PST文件的保存地。
在“Target”里输入命令,如果有参数的话,请填写在下面的“Arguments”栏。
其他选项这里保持默认,如图4。
NewProfile,并为它填写一个有意义的名字。
在18屏,选中“configure an Exchange server connection”,“User Name”栏填“%username%”,这是一个用户变量,即登录的域用户,“Exchange server”栏填Exchange服务器的计算机名,如图5:在19屏,增加一个帐户存储,点Add按钮,这里可以选择很多类型,比如POP3,我这里选择PST,即把所有邮件下载到本地一个单一的PST文档中,然后在下一个窗口中的“File”栏填入这个PST文件将要保存到的目录和文件名,这里填d:\cqmail\%username%.pst,即上面第16屏命令所创建的目录,并以登录者的用户名命名PST,这样当一台计算机有多个用户时也能区分。
利用组策略部署软件
软件限制策略规则
证书规则:通过“签署证书”辨别软件,即可以说可 以通过建立“证书规则”允许或拒绝用户运行某软件。 路径规则:用软件所在的路径来辨识软件,例如指定 用户可以运行位于某个文件夹内的软件。若软件如果 被转移到其他文件夹,将不再受软件限制策略的约束。 Internet区域规则:利用软件所在的“Internet区 域”来辨识软件,区域包括本地计算机、本地 Intranet、受信任的站点、受信任的站点、受限制的 站点与Internet,例如限制用户不能运行位于“受限 制的站点”内的软件。除了本地计算机之外,其他四 个区域内包含哪些计算机或网站,是可以通过IE来设 置,设置方法:IE->工具->Internet选项->安全。
1、布置一个强制升级
用户正在运行应用程序(V1.0)
应用程序(V2.0)被布置为强制 升级
用户只能运行应用程序(V2.0)
具体操作
将新版软件复制到软件发布点内 用户配置—软件设置—右击“软件安装”—新建— 程序包 选择要升级的新版本Windows Installer Package,选择“高级选项”
任务六 软件包装程序
Winstall LE是一个简单、容易使用的工具,可 以利用它来编辑Windows Insaller Package, 或是将用传统SETUP方式安装的软件包装成 Windows Insaller Package,即.msi软件。
具体看操作步骤
任务七 软件限制策略
“软件限制策略”通过定义规则,来控制是否可以 运行软件. 软件限制策略的安全级别:
3.
4.
5.
选择GPO->属性->用户配置->软件设置-> 右击 软件安装->新建->程序包 在“文件类型”中选择“ZAW早期版本应用 程序包”,然后选择建立的.zap文件 选择“已发行”
利用组策略部署软件全攻略之一
利用组策略部署软件全攻略之一可以利用Active Directory的组策略功能来为公司的计算机部署软件。
在规模比较大的网络环境里面,为了降低我们系统管理逐台给每个客户端去安装、更新软件的劳动量,此时我们就可以利用Active Directory的组策略来进行对公司内部网络计算机软件进行部署、升级等。
↘∙ 软件部署概论↘∙ 制作MSI软件↘∙ 创建软件分发点↘∙ 使用管理安装选项命令Msiexec设置软件包在客户机安装的相关选项↘∙ 将软件发布给用户↘∙ 将软件指派给用户或计算机↘∙ 软件升级与重新部署↘∙ 修改部署软件↘∙ 发布“非-MSI”的软件↘∙ 软件部署的其他设置一、软件部署概论1、将软件指派给用户当将一个软件通过组策略的GPO指派给域内的用户后,则用户在域内的任何一台计算机登录时,这个软件都会被“通告”给该用户,但这个软件并没有真正的被安装,而只是安装了与这个软件有关的部分信息。
只有在一下两种情况下,这个软件才会被自动安装:∙ 开始运行此软件例如用户登录后执行操作:“开始”→“所有程序”点击该软件的快捷方式,或是双击桌面上的快捷方式后,就会自动安装此软件。
∙ 利用“文件启动”功能例如我们架设这个被“通告”的程序为Microsoft Excel,当用户登录后,他的计算机会自动将扩展名为.xls的文件与Microsoft Excel关联在一起,此时用户只要双击扩展名为.xls 的文件,系统就会自动安装Microsoft Excel。
2、将软件指派给计算机当将一个软件通过组策略的GPO指派给域内的计算机后,在这些计算机启动时,这个软件就会自动安装在这些计算机里,而且是安装到公用程序组内,也就是安装到Documents and Settings\All Users 文件夹内。
任何用户登录后,都可以使用此软件。
3、将软件发布给用户当将一个软件通过组策略的GPO发布给域内的用户后,该软件不会自动安装到用户的计算机内,用户需要通过以下两种方式来安装这个软件:∙ 执行操作:“开始”→“控制面板”→“添加或删除程序”→添加程序∙ 利用“文件启动”功能举例说,架设这个被发布的软件为,Microsoft Excel,虽然在Active Directory内会自动将扩展名为.xls 的文件与Microsoft Excel关联在一起,可是用户登陆时,他的计算机不会自动将扩展名为.xls的文件与Microsoft Excel关联在一起,也就是对此计算机来说,扩展名为.xls的文件是一个“未知文件”,不过只要用户双击扩展名为.xls的文件,他的计算机就会通过Active Directory得知扩展名为.xls的文件是与Microsoft Excel关联在一起,因此会自动安装Microsoft Excel。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
组策略分发软件全攻略
在规模比较大的网络环境里面,为了对服务器和客户机上的软件、系统补丁进行集中统一的管理,我们可能会用到SUS、WSUS、SMS等。
SUS、WSUS管理系统更新,不在本文讨论,请参考其它相关技术文档。
虽然SMS功能较强大,兼容性好,绝大多数应用软件都可以用它来管理,但是它比较复杂,实现起来要考虑的问题也比较多。
如果要部署的应用程序不多不十分复杂的话,其实我们还是可以回归到比较原始的技术:
利用GPO实现软件设置
•分发软件
•修复软件
•删除软件
•升级软件
优点:易实现
缺点:功能简单、兼容性差(只能分发winodows安装程序包——.msi,exe封装的程序安装包要用Advanced Installer重新封装成msi文件)
应大家要求,共享Advanced Installer下载地址
/files/159489b5-fd72-11dd-8ff4-0019d11a795f/
实现:前提是熟悉Winodows Server活动目录的基本管理,理解组策略,熟悉通过AD部署组策略
一、获取要分发的软件
如图从网上下载了GreenBrowser和千千静听来分发给所有客户机或者用户使用,但都是exe 封装的安装包。
因为通过组策略只能够分发msi封装的程序安装包,所以我们要使用Advanced Installer把他们都重新封装成msi格式的安装包:
1、运行Advanced Installer,打开新建工程向导,按向导做
选择“语言”、“重新包装安装”——>“确定”
2、按向导提示,关掉真正运行的其它程序,下一步
3、选中捕获新的安装
4、指定要重新包装的源程序,并设置名称、版本等信息
5、如图,选中新的系统捕获
6、指定“安装捕获配置文件”保存路径,
其它默认
下一步,“确定”:
7、记录当前系统状态,以便后面记录安装源程序后系统的变化
8、安装一遍源程序
9、Advanced Installer会把源程序安装后系统的变化记下,“完成”,“导入”
10、接下来设置重新封装后,msi文件保存目录(这里指定的是D:\MSI)和文件名,如图中123步骤
过程:
11、完成,确定后D:\MSI下就有重新包装后的msi安装包了,如下图
二、创建软件分发点(一共享文件夹)
1、如图,在用来存放分发软件的服务器上创建一共享文件夹D:\software,域用户有读取的权限就够了
共享权限:
NTFS权限:
2、在分发点用不同的子文件夹存放要分发的不同安装文件
3、使用管理安装选项命令Msiexec设置软件包在客户机安装的相关选项:
语法msiexec /a Package
参数/a (或-a) #应用管理安装选项。
Package#指定Windows 安装程序包文件的名称。
(本地路径)
这个过程可以设置某些软件安装时需要的序列号等内容,这些设置项在客户机那边安装是就自动完成,不用再设了!
执行后会以向导的形式引导管理员安装,“网络位置”指到分发点下存放该软件的子文件夹,本例为D:\software\GreenBrower\
其它的可以按默认的设置进行,
会把相关的文件装到D:\software\GreenBrower\下,包括后面在GPO中新建分发程序包要指定的msi安装包GreenBrowerGBSetup.msi,如下图
PS:其它要分发的软件同样安装上面的步骤管理安装包,如千千静听的分发点如下图所示:
三、设置GPO
1、打开ADUC——
(右击域)打开域属性——新建GPO,并打开该GPO编辑器,如下图所示
2、创建分发程序包的策略
分发方法有两种:i.指派(强制安装)ii.发布(可选安装)
修改后GPO后,如果是在“计算机配置”里“指派”给计算机,客户机执行策略刷新命令gpupdate后重启时安装,所有用户在客户机上都可使用该软件;如果是在“用户配置”里“指派”或者“发布”给用户,用户在客户机执行策略刷新命令gpupdate后生效,“发布”的可以在【控制面板】|【添加/删除程序】|“添加程序”中选择安装,“指派”的软件则注销或重启后重新登录后,程序在【开始】菜单中,用户第一次使用该软件时安装。
(1)、给用户分发,步骤如下:
A、设置程序包位置(分发点共享文件夹):
用网络路径指定(下一步新建程序包时直接打开该路径)
B、再右击“软件安装”,新建程序包:
C、用网络路径(客户机通过该路径找到)指定要分发的软件包:
D、选定msi安装包:
E、选择分发方式:
F、分发后的GPO
(2)、给计算机分发,与(1)同理:A、只能做指派:
B、指派后:
四、客户机用户验证
1、创建测试用户帐户:
2、在XP系统客户机登录域:
3、刷新组策略:
4、打开“添加新程序”,可以看到通过GPO发布的程序
5、添加。
安装成功、正常使用~~~~~~~
四、修复、删除、升级已分发的软件
如果上述内容已掌握,接下来的配置就比较简单了,不作详细介绍
1、修复软件
当用户的软件发生文件丢失或损坏时,自动重新复制正确的文件来修复
如果原来软件分发点上的安装文件发生丢失或损坏
∙∙▪在服务器上修复该软件的源文件
∙∙▪重新部署一次
2、删除软件
【立即从用户和计算机卸载软件】:下一次用户登录或计算机启动时,软件会被强制删除
【允许用户继续使用软件,但禁止新的安装】:用户和计算机仍可继续执行使用软件,但不允许重新安装
3、升级软件
举例
∙∙▪Office2003升级到Office2007
∙∙▪Visio2003升级到visio2007
强制升级
∙∙▪会强制用户将当前软件升级到新的版本
可选升级
▪允许用户同时使用一个应用程序的两个版本。