利用组策略来发布和指派软件

组策略分发Adobe Reader 10教程1，实验环境域控：Windows Server 2008 R2客户端：Windows XP SP3 32位Adobe Reader版本：10.1.42，获取分发Adobe Reader的许可协议按照Adobe公司的要求，分发Adobe Reader需要取得许可，仅为形式上的东西，申请网址为/cn/products/reader/distribution.html?readstep，申请成功后Adobe公司会邮件通知你可以开始分发Adobe Reader，免费的。

3，下载Adobe Reader msi包官方下载地址：ftp:///pub/adobe/reader/win/。

Adobe Reader 10.1.4版本只有MSP包下载，所以我们需先下载Adobe Reader 10.1.0的msi包，下载目录ftp:///pub/adobe/reader/win/10.x/10.1.0/zh_CN/，对于网内有中英文电脑的酒店，都可下载此中文安装包，只是英文客户端的电脑第一次打开Adobe Reader时会出现选择语言的提示，单语言安装包只有66.8M，而多语言安装包有140多M，安装单语言安装包将快得多。

然后在目录ftp:///pub/adobe/reader/win/10.x/10.1.4/misc/下载名为AdbeRdrUpd1014.msp的MSP包。

4，下载Adobe Reader msi包的MST生成工具Adobe Customization Wizard X 官方下载地址：/support/downloads/detail.jsp?ftpID=4950。

此MST 工具的目的是禁止分发后的Adobe Reader自动更新、关闭保护模式等，后面将详细介绍。

5，安装下载的MST生成工具安装完后在工具栏中选择File --- Open Package，打开之前下载的Adobe Reader 10.1.0的msi包，请勿在msi包上单击右键选择Adobe Customization Wizard X用打开，这样打开将报错，弄得我还以为是电脑有问题。

一、编辑组策略1、允许用户登陆本计算机在OU里面→右键属性→组策略→新建策略→编辑策略→计算机配置→WINDOWS设置→安全设置→本地策略→用户权限分配→允许在本地登陆。

用gpupdate /force 命令刷新。

2、拒绝用户访问运行、CMD、以及批处理文件。

1、在要设定的OU上点击右键→属性→组策略→编辑策略→用户配置→管理摸板→任务栏和开始菜单→删除开始菜单上的运行菜单。

用gpupdate /force 命令刷新。

2、在要设定的域控制器点击右键→属性→组策略→编辑策略→用户配置→管理摸板→系统→阻止用户访问命令提示符→继续点击下面的的选项→是否拒绝使用批处理文件处理→选择“是”。

用gpupdate /force 命令刷新。

二、拒绝继承权限1、在下一级的OU上→属性→组策略→禁止策略的继承。

用gpupdate /force 命令刷新。

三、强制继承1、在上一级的OU上→属性→组策略→选项→禁止替代钩上。

用gpupdate /force 命令刷新。

四、过滤用户（特定的人群）1、在要设定的OU上→属性→组策略→属性→安全→添加用户→给予权限→拒绝组策略。

用gpupdate /force 命令刷新。

五、桌面管理1、在要设定的OU上→属性→组策略→编辑组策略→用户配置→管理模板→桌面→Acti ve desktop→启用Active desktop→启用Active desktop墙纸→输入对应的主机的地址和共享文件。

2、用户配置→管理模板→系统→CTRL+ALR+DEL选项。

六、密码策略1、在域控制器上→属性→组策略→新建组策略→编辑组策略→计算机配置→安全设置→（1、密码策略2、帐户锁定策略）七、组策略脚本1、当用户启动时→启动脚本→登陆脚本2、当用户注销时→注销脚本→关机脚本3、wscript.echo"内容" 后缀改为“VBS”1、建立脚本→2、点开域控制器→属性→组策略→添加组策略→编辑组策略→用户配置（计算机配置）→WINDOWS设置→脚本→双击登陆→显示文件→把脚本文件拖进去→3、在点击添加→写入文件名就可以了。

AD域中如何布置软件自动分发本篇文章介绍了如何使用组策略自动将程序分发到客户端计算机或用户。

您可以通过以下方法使用组策略分发计算机程序：• 分配软件您可以将程序分发分配到用户或计算机。

如果将程序分配给一个用户，在该用户登录到计算机时就会安装此程序。

在该用户第一次运行此程序时，安装过程最终完成。

如果将程序分配给一台计算机，在计算机启动时就会安装此程序，所有登录到该计算机上的用户都可以使用它。

在某一用户第一次运行此程序时，安装过程最终完成。

• 发布软件您可以将一个程序分发发布给用户。

当用户登录到计算机上时，发布的程序会显示在“添加或删除程序”对话框中，并且可以从这里安装。

注意：Windows Server 2003 组策略自动程序安装要求客户端计算机运行Microsoft Windows 2000 或更高版本。

创建分发点要发布或分配计算机程序，必须在发布服务器上创建一个分发点：1. 以管理员身份登录到服务器计算机。

2. 创建一个共享网络文件夹，将您要分发的Microsoft Windows 安装程序包（.msi 文件）放入此文件夹。

3. 对该共享设置权限以允许访问此分发程序包。

4. 将该程序包复制或安装到分发点。

例如，要分发Microsoft Office XP，请运行管理员安装(setup.exe /a) 以将文件复制到分发点。

创建组策略对象要创建一个用以分发软件程序包的组策略对象(GPO)，请执行以下操作： 1. 启动“Active Directory 用户和计算机”管理单元，方法是：单击“开始”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。

2. 在控制台树中，右键单击您的域，然后单击“属性”。

3. 单击“组策略”选项卡，然后单击“新建”。

4. 为此新策略键入名称（例如，Office XP 分发），然后按Enter。

5. 单击“属性”，然后单击“安全”选项卡。

6. 对于您不希望应用该策略的安全组，请单击以清除与其对应的“应用组策略”复选框。

组策略的作用和功能本页仅作为文档封面，使用时可以删除This document is for reference only-rar21year.March组策略的作用和功能1,组策略在windows域中的作用组策略是管理员为用户和计算机自定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

例如，可使用“组策略”为网络用户分发软件、设定用户可以运行的程序、自定义“开始”菜单并简化“控制面板”。

此外，还可添加能在计算机上(在计算机启动或停止时，以及用户登录或注销时)自动运行的脚本，甚至可配置Internet Explorer。

组策略的优点是可以让系统管理员灵活控制Windows网络的客户端环境，更加方便地管理整个网络。

但伴随着灵活性而来的是复杂性。

如何熟悉、熟练应用组策略是系统管理员必须解决的一个问题。

如果能够正确、灵活地运用组策略，就能使Windows系统发挥出更加强大的功能，为个人用户和企业用户带来更大的利益。

策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。

组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory对象并对它进行设置。

2,日常工作中，在windows单机模式下，组策略中有很多比较有用的功能，例如，本地安全策略。

本地安全策略是对登陆到计算机上的账号定义一些安全设置，在没有活动目录集中管理的情况下，本地管理员必须为计算机进行设置以确保其安全。

例如，限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机、指派用户权限等。

这些安全设置分组管理，就组成了的本地安全策略！。

组策略轻松实现软件发布在IT工程师的运维工作中，有很多没有技术含量的事务性操作是很令人头疼的，例如为客户机安装软件。

有些朋友看到这里估计会很不以为然，想我等IT 专业人士，纵横江湖多年，无论国内国外，正版盗版，安装个小小软件还不是手到擒来！其实不然，在一台机器上安装软件当然不难，要是让你在一千台机器上安装Office呢？想想看，要是用传统的方式一台一台地安装，操作者是很需要有一番直面惨淡人生的勇气的。

因此，为客户机选择一种快速部署软件的解决方案就成了工程师们面临的一个问题。

解决这个问题有多种备选方案，例如微软的SCCM，它在功能上非常令人满意，但是价格嘛….本文将为大家介绍一种性价比较高的软件部署解决方案－利用AD的组策略完成客户机软件部署。

组策略部署软件的思路是把要部署的软件存储在文件服务器的共享文件夹中，然后通过组策略告知用户用户或计算机，某某服务器的某某文件夹有要安装的软件，赶紧去下载安装。

这样一来，我们只要设置好组策略，就可以等待客户机自动进行软件安装了，完全不用在客户机上一一进行部署了。

组策略进行软件安装有自己的特点，那就是组策略支持安装的软件不能是EXE格式。

EXE是我们平时使用最多的可执行程序格式，组策略不支持EXE是个很大的遗憾，话又说回来了，要是组策略什么格式都支持，那SCCM的销售就要受影响了，呵呵。

组策略支持的软件格式最好是MSI格式，ZAP或MST也是可以的。

今天我们将通过一个实例为大家介绍如何通过组策略进行软件部署，拓扑如下图所示，Florence是域控制器，Istanbul是文件服务器，Perth是测试用的客户机。

首先，我们要准备测试用的软件。

我们准备的软件是微软的LiveWriter，这个软件想必各位博友是非常熟悉的，非常著名的离线博客工具。

如图1所示，我们把LiveWriter存储在istanbul的一个共享文件夹中，大家可以看到程序的扩展名是MSI。

图1准备好了软件，我们就可以来设置组策略了。

如何在域管理环境中进行软件的推送安装1,要把你准备分发的软件制作成.msi软件安装包.在Windows2000安装光盘运行x:\Valueadd\3rdparty\Mgmt\Winstle\Swiadmle.msi安装制作.msi软件包所需要的工具VERITAS discover.运行"VERITAS discover"就可以开始制作.msi软件包了,制作.msi文件的基本原理就是,在给系统安装一个软件之前,先给系统的磁盘拍个"快照",记录下来当前存在的文件.然后将需要制作成.msi软件包的软件安装到系统中,然后再给系统的磁盘拍个"快照".Discover软件会自动对比两次"快照",找出两次"快照"的不同,生成一个.msi文件.2,在服务器上创建一个共享文件夹,建议设置成只读属性,并且保证所有用户都可以访问它.然后把你制作好的.msi软件包放到这个共享目录中.3,进行组策略设置进行软件的分发.登陆域控制器打开"组策略编辑器",在"用户配置"或者"计算机配置"里面选择"软件设置",添加你要分发的软件,可以选择"指派"或者"发布".这样,当客户机下次登陆的时候,就会自动运行安装你所要分发的软件或者发布到目标机由用户选择安装.发布和指派的区别:发布是指可以将一个程序分发发布给用户.当用户登录到计算机上时,发布的程序就显示在添加/删除程序对话框中,并且可以从这里安装.指派是指可以将程序分发指派到用户或计算机.如果将程序指派给一个用户,在该用户登录到计算机时就会自动安装此程序.在该用户第一次运行此程序时,安装过程最终完成.如果将程序指派给一台计算机,在计算机启动时就会安装此程序,所有登录到该计算机上的用户都可以使用它.在某一用户第一次运行此程序时,安装过程最终完成.域环境下的软件发布和指派标签：生活2010-11-06 01:18 星期六软件的发布和指派在域环境下，可以将为用户和计算机分配各种软件，那么在用户登录的时候可以自行添加和删除软件{在控制面板中---添加删除程序}，这种方式称之为软件的发布；它是只针对用户生效。

在规模比较大的网络环境里面，为了对服务器和客户机上的软件、系统补丁进行集中统一的管理，我们可能会用到SUS、WSUS、SMS等。

SUS、WSUS管理系统更新，不在本文讨论，请参考其它相关技术文档。

虽然SMS功能较强大，兼容性好，绝大多数应用软件都可以用它来管理，但是它比较复杂，实现起来要考虑的问题也比较多。

如果要部署的应用程序不多不十分复杂的话，其实我们还是可以回归到比较原始的技术：利用GPO实现软件设置•分发软件•修复软件•删除软件•升级软件优点：易实现缺点：功能简单、兼容性差（只能分发winodows安装程序包——.msi，exe封装的程序安装包要用Advanced Installer重新封装成msi文件）实现：前提是熟悉Winodows Server活动目录的基本管理，理解组策略，熟悉通过AD部署组策略一、获取要分发的软件1.PNG如图从网上下载了GreenBrowser和千千静听来分发给所有客户机或者用户使用，但都是exe 封装的安装包。

因为通过组策略只能够分发msi封装的程序安装包，所以我们要使用Advanced Installer把他们都重新封装成msi格式的安装包：1、运行Advanced Installer，打开新建工程向导，按向导做2repa_comfirm.PNG选择“语言”、“重新包装安装”——>“确定”2、按向导提示，关掉真正运行的其它程序，下一步3.PNG3、选中捕获新的安装4.PNG4、指定要重新包装的源程序，并设置名称、版本等信息6.PNG5、如图，选中新的系统捕获7.PNG6、指定“安装捕获配置文件”保存路径，8.PNG其它默认下一步，“确定”：9.PNG7、记录当前系统状态，以便后面记录安装源程序后系统的变化10.PNG8、安装一遍源程序11.PNG9、Advanced Installer会把源程序安装后系统的变化记下，“完成”，“导入”12.PNG10、接下来设置重新封装后，msi文件保存目录（这里指定的是D:\MSI）和文件名，如图中123步骤13.PNG 过程：14.PNG11、完成，确定后D:\MSI下就有重新包装后的msi安装包了，如下图15.PNG二、创建软件分发点（一共享文件夹）1、如图，在用来存放分发软件的服务器上创建一共享文件夹D:\software，域用户有读取的权限就够了共享权限：16.0.PNG NTFS权限：16.1.PNG2、在分发点用不同的子文件夹存放要分发的不同安装文件17.PNG3、使用管理安装选项命令Msiexec设置软件包在客户机安装的相关选项：语法msiexec /a Package参数/a (或-a) #应用管理安装选项。