组策略安装exe程序
组策略(gpedit.msc)设置大全
户将不能保存对桌面的更改。最后,双击启用“隐藏和禁用桌面上的所有项目”设置项,
将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目,连桌面右键菜单
都将被禁止。
3、启用或禁止活动桌面
利用“Active Desktop”项,可根据自己的需要设置活动桌面的各种属性。“启用活动桌
提示信息是某个设置禁止了这个操作。
二、隐藏或禁止控制面板项目
这里讲到的控制面板项目设置是指配置控制面板程序的各项设置,主要用于隐藏或禁止控
制面板项目。在组策略左边窗口依次展开“用户配置”→“管理模板”→“控制面板”项
,便可看到“控制面板”节点下面的所有设置和子节点。
1. 禁止访问“控制面板”
栏和‘开始’菜单”节点下。
四、隐藏或删除Windows XP资源管理器中的项目
一直以来,资源管理器就是Windows系统中最重要的工具,如何高效、安全地管理资源也一
直是电脑用户的不懈追求。依次展开“用户配置”→“管理模板”→“Windows组件”→“
Windows资源管理器”项,可以看到“Windows资源管理器”节点下的所有设置。下面就来
制面板。
4、其他
依次展开“显示”→“桌面主题”项,双击启用“删除主题选项”、“阻止选择窗口和按
钮式样”、“禁止选择字体大小”项后,可阻止他人更改主题、窗口和按钮式样、字体。
展开“打印机”项,双击启用“阻止添加打印机”或“阻止删除打印机”可防止别的用户
添加或删除打印机。最后,直接在“控制面板”一项下启用“禁止访问控制面板”,控制
2、隐藏“管理”菜单项
如何让电脑只运行指定程序
注意:一定要在“只运行许可的Windows应用程序”列表中添加“cmd.exe”、“regedit.exe”或者“gpedit.msc”或者“mmc.exe”。
要不你就不能恢复这个设置了。就会出现把自己关在门外,把钥匙丢到门里了。
1、组策略(实时生效)
开始--运行,输入“gpedit.msc”,然后依次展开“用户配置”--“管理模板”--“系统”
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091
"RestrictRun"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
"1"="cmd.;="iexplore.exe"
3、批处理(注销或者重启之后生效)
将下面的代码保存为 *.bat 的文件,如1.bat;然后双击即可
@echo off
set regpath="HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
"1"="cmd.exe"
"2"="iexplore.exe"
"3"="sndrec32.exe"
如何将EXE制作成MSI安装包
如何将EXE制作成MSI安装包将EXE制作成MSI安装包是一种常见的软件发布方式,因为MSI格式具有更多的优势和功能。
在本文中,我们将介绍如何将EXE制作成MSI安装包。
1.了解MSI文件格式的优势和功能MSI是Windows Installer的缩写,是一种微软开发的软件安装包格式。
相比于EXE格式,MSI具有以下优势和功能:-中央管理和配置:MSI安装包可以通过组策略对象(GPO)和其他集中配置工具进行管理。
这使得在企业环境中部署和升级软件更加方便快捷。
-完全控制安装过程:MSI安装包可以在安装和卸载过程中执行复杂的操作和脚本,例如复制文件、注册COM组件、创建快捷方式等。
这样可以确保安装过程的稳定性和完整性。
-修复和卸载功能:MSI安装包可以自动检测和修复已损坏的文件,确保软件的正常运行。
此外,MSI安装包还可以提供完全卸载软件的选项,包括删除注册表项和配置文件。
2.准备安装包制作工具制作MSI安装包需要使用专门的工具。
以下是一些常用的安装包制作工具:- Advanced Installer:功能强大且易于使用的商业工具,提供可视化的界面和丰富的功能。
- WiX Toolset:开源的安装包制作工具,提供灵活的定制选项和高级功能。
- InstallShield:功能全面且领先的商业工具,适用于大型和复杂的软件项目。
3.创建安装包项目在选择了合适的安装包制作工具后,首先需要创建一个新的安装包项目。
这通常可以通过工具的菜单或向导完成。
在创建安装包项目时,需要指定软件的名称、版本号、帮助文档、授权信息等基本信息。
4.添加软件文件和组件在创建安装包项目后,需要将软件的文件和组件添加到项目中。
这可以通过拖放文件、选择文件夹或使用工具提供的文件选择器来完成。
确保所有的文件和组件都被正确地添加到项目中。
5.配置安装选项和界面接下来,需要配置安装选项和界面。
这包括选择安装位置、创建快捷方式、注册COM组件、添加环境变量等。
组策略与安全设置
组策略与安全设置系统管理员可以通过组策略的强大功能,来充分管理网络用户与计算机的工作环境,从而减轻网络管理的负担。
组策略概述组策略是一个能够让系统管理员充分管理用户工作环境的功能,通过它来确保用户拥有应有的工作环境,也通过他来限制用户。
因此,不但可以让用户拥有适当的环境,也可以减轻系统管理员的管理负担。
组策略包含计算机配置与用户配置两部分。
计算机配置仅对计算机环境产生影响,而用户设置只对用户环境有影响。
可以通过以下两个方法来设置组策略。
●本地计算机策略:可以用来设置单一计算机的策略,这个策略内的计算机配置只会背应用到这台计算机,而用户设置会被应用到在此计算机登陆的所有用户。
●域的组策略:在域内可以针对站点,域或组织单位来设置组策略,其中,域组策略内的设置会被应用到域内的所有计算机与用户,而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。
对添加域的计算机来说,如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突,则以域或组织单位组策略的设置优先,也就是此时本地计算机策略的设置值无效。
本地计算机策略实例演示以下利用未加入域的计算机来练习本地计算机策略,以免受到域策略的干扰,造成本地计算机策略的设置无效,因而影响到验证实验结果。
计算机配置实例演示当我们要将Windows Server2012 计算机关机时,系统会要求我们提供关机的理由,以下实例完成后,系统就不会在要求你说明关机理由了。
开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用以后关机或重启计算机时,系统都不会再询问了。
注:请不要随意更改计算机配置,以免更改可能影响系统正常运行的设置值。
用户配置实例演示以下通过本地计算机策略来限制用户工作环境:删除客户端浏览器IE内Internet选项的安全和连接标签。
也就是经过以下设置后,浏览器内的安全和连接标签消失了。
用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用,此设置会立即应用到所有用户。
组策略打不开的处理办法
问:我的电脑安装的是Windows XP Pro,以前运行正常,但是现在不知怎么回事,运行“gpedit.msc”(组策略)时,系统会提示“本次操作由于计算机的限制而取消,请与管理员联系”,还有我发现有时运行其他程序也会报同样的错误,但我是以管理员身份登录的。请问我该怎么办?
组策略打不开
第一种情况:
无论你有没有在“只允许运行程序列表”中添加gpedit.msc(组策略),一旦启用了这项策略,就再也不能运行“gpedit.exe”(组策略)了!不过我们可以使用下面的方法让“鱼与熊掌兼得”。
Windows XP组策略中有一个“只允许运行Windows应用程序”的策略,你只要启用并添加只允许系统运行的程序名称,那么用户将只能运行“允许运行的应用程序列表”中的程序。不过,无论你有没有在“只允许运行程序列表”中添加gpedit.msc(组策略),一旦启用了这项策略,就再也不能运行“gpedit.exe”(组策略)了!不过我们可以使用下面的方法让“鱼与熊掌兼得”。
①运行gpedit.msc,依次展开“用户配置→管理模板→系统”,在右侧窗口中找到“只运行许可的Windows应用程序”策略并双击,在打开的窗口中选择“已启用”。此时我们可以看到,该窗口下的“显示”按钮呈激活状态,单击“显示→添加”,然后输入允许Windows运行的程序名称,如“Notepad.exe”,最后按下“确定”按钮。
答:根据你的描述,你在电脑上运行了“只运行许可的Windows应用程序”的策略,而且未将gpedit.msc本身添加入允许系统运行的程序。此组策略的特点是不能禁止在CMD命令窗口下运行程序,所以现在要想办法运行CMD(如果现在没限制CMD,只要在CMD窗口下运行“mmc c:/windows/system32/gpedit.msc”即可)。如果CMD也被禁止,可以通过以下方法来恢复,重启计算机,在启动时按下F8键,选择“带命令行提示的安全模式”启动,系统会自动运行CMD命令窗口,现在你可以在提示符下运行mmc c:/windows/system32/gpedit.msc,这将打开组策略。展开“用户配置→管理模板→系统”,在右侧找到“只运行许可的Windows应用程序”策略,将它设置成“未配置”,再“确定”即可。
Windows 7 组策略安全使用全攻略
组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。
通过使用组策略可以设置各种软件、计算机和用户策略。
考虑到安全方面的原因,Windows 7已经开发了许多新的和增强的组策略功能和服务,帮助您更好地保护计算机上驻留的数据、功能和服务。
这些功能的配置取决于您的具体要求和使用环境,本文将主要介绍Windows 7组策略的安全使用技巧,介绍如何配置组策略功能和服务来更好地满足您的系统安全、网络安全、数据保护及个性化需求。
一、系统设置安全篇1. 禁止运行指定程序系统启动时一些程序会在后台启动,这些程序通过“系统配置实用程序”(msconfig)的启动项无法阻止,操作起来非常不便,通过组策略则非常方便,这对减少系统资源占用非常有效。
通过启用该策略并添加相应的应用程序,就可以限制用户运行这些应用程序。
具体步骤如下:(1)打开「开始」菜单,在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车,打开组策略对象编辑器。
(2)在左边的窗格依次单击“用户配置→管理模板→系统”,然后在右边的窗格双击“不要运行指定的Windows应用程序”(如图1所示)。
图1 双击“不要运行指定的Windows应用程序”(3)选中“已启用”,单击“显示”按钮(如图2所示),添加要阻止的程序如“Wgatray.exe”即可。
图2 添加要阻止的程序当用户试图运行包含在不允许运行程序列表中的应用程序时,系统会提示警告信息。
把不允许运行的应用程序复制到其他的目录和分区中,仍然是不能运行的。
要恢复指定的受限程序的运行能力,可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”,或者将指定的应用程序从不允许运行列表中删除(这要求删除后列表不会成为空白的)。
这种方式只阻止用户运行从Windows资源管理器中启动的程序,对于由系统过程或其他过程启动的程序并不能禁止其运行。
该方式禁止应用程序的运行,其用户对象的作用范围是所有的用户,不仅仅是受限用户,Administrators组中的账户甚至是内建的administrator帐户都将受到限制,因此给管理员带来了一定的不便。
用组策略分发软件安装过程
在规模比较大的网络环境里面,为了对服务器和客户机上的软件、系统补丁进行集中统一的管理,我们可能会用到SUS、WSUS、SMS等。
SUS、WSUS管理系统更新,不在本文讨论,请参考其它相关技术文档。
虽然SMS功能较强大,兼容性好,绝大多数应用软件都可以用它来管理,但是它比较复杂,实现起来要考虑的问题也比较多。
如果要部署的应用程序不多不十分复杂的话,其实我们还是可以回归到比较原始的技术:利用GPO实现软件设置•分发软件•修复软件•删除软件•升级软件优点:易实现缺点:功能简单、兼容性差(只能分发winodows安装程序包——.msi,exe封装的程序安装包要用Advanced Installer重新封装成msi文件)实现:前提是熟悉Winodows Server活动目录的基本管理,理解组策略,熟悉通过AD部署组策略一、获取要分发的软件1.PNG如图从网上下载了GreenBrowser和千千静听来分发给所有客户机或者用户使用,但都是exe 封装的安装包。
因为通过组策略只能够分发msi封装的程序安装包,所以我们要使用Advanced Installer把他们都重新封装成msi格式的安装包:1、运行Advanced Installer,打开新建工程向导,按向导做2repa_comfirm.PNG选择“语言”、“重新包装安装”——>“确定”2、按向导提示,关掉真正运行的其它程序,下一步3.PNG3、选中捕获新的安装4.PNG4、指定要重新包装的源程序,并设置名称、版本等信息6.PNG5、如图,选中新的系统捕获7.PNG6、指定“安装捕获配置文件”保存路径,8.PNG其它默认下一步,“确定”:9.PNG7、记录当前系统状态,以便后面记录安装源程序后系统的变化10.PNG8、安装一遍源程序11.PNG9、Advanced Installer会把源程序安装后系统的变化记下,“完成”,“导入”12.PNG10、接下来设置重新封装后,msi文件保存目录(这里指定的是D:\MSI)和文件名,如图中123步骤13.PNG 过程:14.PNG11、完成,确定后D:\MSI下就有重新包装后的msi安装包了,如下图15.PNG二、创建软件分发点(一共享文件夹)1、如图,在用来存放分发软件的服务器上创建一共享文件夹D:\software,域用户有读取的权限就够了共享权限:16.0.PNG NTFS权限:16.1.PNG2、在分发点用不同的子文件夹存放要分发的不同安装文件17.PNG3、使用管理安装选项命令Msiexec设置软件包在客户机安装的相关选项:语法msiexec /a Package参数/a (或-a) #应用管理安装选项。
CASE-T20101117 域组策略定义客户端屏保
SN:CASE-T20101117Subject:域组策略定义客户端屏保Requirement:公司希望借助于用户计算机的屏保来做一些制度宣传。
在微软域的环境中,统一在域控上定义,以最小的维护开销,实现用户需求。
Content:一. 创建屏保文件此文档以测试环境为例。
我们使用“梦想之巅屏保制作”工具,挑选几张测试图片。
通过“创建屏保”按钮,完成一个cnnp.exe的文件制作。
编制过程中,我没有添加特效或者动态文字,以尽量减少文件的大小。
实例中,三张图片生成的安装文件938KB.运行屏保安装程序,如下图,点击“安装”安装完成后,在上图的系统目录中会生成一个屏保文件“cnnp.scr”.我们将此文件拷贝到服务器上。
二.定义域组策略在域控服务器上,我们新建一个文件夹,设置共享的只读权限,将cnnp.scr 文件放置在此。
我们要实现用户通过网络访问并运行此屏保文件。
下面我们就需要配置域的组策略。
Windows server 2008 AD的组策略更直观易用,具体设置请参考下图:打开“组策略管理器”,在“组策略对象”下面创建一个screen protect 的组策略对象。
对此策略对象还需进行编辑:设置图上几个开关。
然后连接到指定的OU中:展开“CAINI”OU ,右键连接到指定的GPO对象。
连接之后我们可以通过查看策略报告来检查自己的配置;这里我们将屏保时间设置成60秒,以便于客户端测试。
另外,我们在可执行的屏保程序里配置的是UNC路径,用户通过网络进访问并运行此屏保文件。
三.检查客户端效果我们在服务器上使用”gpupdate /force”来刷新组策略。
然后登陆到客户机,也可以在客户端使用此命令进行策略的同步。
用域账户登陆客户机后,打开屏保选项卡可以看到,策略定义的部分,客户端是灰色不可编辑的。
点击“预览”可以看到屏保的效果。
或者我们静侯一分钟,一会儿就能看到很绚丽的屏保效果。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4)选择“Computer Configuration—Windows Settings—Security Settings—Registry”,在右面板上,点右键,选择Add Key,如下图:
5)在弹出的“Select Registry Key”对话框中,选择“CLASSES_ROOT”,然后点OK,如下图:
12)以同样的方式,添加windows文件夹。
这样,属于Domain Users组的用户都拥有软件的安装权限了。
软件分发设置至此完成,虽然步骤有点多,不过设置好了,以后执行起来还是很方便。
在需要给大量客户端部署软件时,使用组策略的软件分发功能还是很有效率的。比如前面文章中谈到的部署limitlogin工具,需要在客户端安装电脑上安装软件的客户端,如果手动安装需要耗费很多时间,效率也很低。。下面我们就来详细介绍一下使用组策略进行软件分发的过程:
7) 点OK,完成该软件的指派。
2. 发布EXE安装程序
1) 制作zap包
以[Application]为文件头,Friendlyname为安装程序名称,SetupCommand为安装程序相对路径和名称,Displayversion为应用程序版本,Publisher为说明信息。如下图,是应用程序7-zip的.zap包。特别说明:前两项参数具体值要带英文双引号,否则报错;
5) 在点击OK后,将弹出软件属性对话框,如下图:可以看到软件的名称、版本、URL地址等。
6) 点击“Deployment(部署)”标签,我们可以选择Published(发布)或Assigned(指派),这里我们选择Assigned,如果勾选“Install this application at logon(在登录时安装此应用程序)”,那么在用户登录时,系统会自动安装此应用程序。如下图:
1) 发布的软件,只能通过“添加/删除程序”中的“添加新程序”中添加,不能自动安装在用户的计算机中。
2) 指派的软件,在用户登录的时候,系统会自动安装,不需要用户添加。不过,指派的软件也可以在“添加/删除程序”中添加和删除。
3) 发布的软件,用户可以根据需要添加或删除,而指派的软件,如果用户删除,当用户下次登录时,系统还是会自动安装。
2)在“组策略编辑器”窗口,选择“User Configuration—Software Settings—Software installation”,在右面板上,点右键,选择New—Package,如下图:
3)在“Open”对话框中,输入软件所在的位置,如下图:
4)在选择好需要部署的软件后,会弹出“Deploy Software(部署软件)”对话框,在这里可以选择Published(发布)、Assigned(指派)、Advanced(高级),大家可以根据自己的需求进行选择。在这里我们选择advanced,如下图:
要分发软件,首先需要在服务器上建一个共享文件夹,用于存放需要分发的软件,如下图:
下面我们来看看软件分发的步骤:
1. 发布MSI格式的软件
1) 首先在需要分发软件的OU上建一个策略,如下图:
2) 在“组策略编辑器”窗口,选择“User Configuration—Software Settings—Software installation”,在右面板上,点右键,选择New—Package,如下图:
7) 点OK完成应用程序的发布。
8) 我们也可以使用一些工具将.exe文件转换为.msi,比如:Advanced Installer、WinINSTALL等。这些软件的使用都比较简单,这里就不再说明。应用程序做成.msi后,就按.msi的发布步骤发布就可以了。
3. 用户权限的设置
用户在安装软件时需要“本机管理员”权限,但是默认的域用户是不具备本地管理员权限的,而且我们也不可能将所有人都设置为本地管理员。所以我们需要为用户设置权限,这样用户才能安装使用组策略分发的软件。
3)在“Open”对话框中,输入软件所在的位置,注意:这里的路径必须使用\\server\folder\setup.msi的方式,不能使用C:\path\setup.msi的方式,否则,安装的时候会找不到路径。
4) 在选择好需要部署的软件后,会弹出“Deploy Software(部署软件)”对话框,在这里可以选择Published(发布)、Assigned(指派)、Advanced(高级),大家可以根据自己的需求进行选择。在这里我们选择advanced,如下图:
1) 将需要安装组策略分发软件的计算机移动到一个OU,然后在这个OU上建组策略,如下图:
2)选择“Computer Configuration—Windows Installer”,双击右面板上的“Always install with elevated privileges(永远以高特权安装)”,如下图:
5)在点击OK后,将弹出软件属性对话框,如下图:可以看到软件的名称、版本等信息。
6)点击“Deployment(部署)”标签,这里只能选择Published(发布),而且无法勾选“Install this application at logon(在登录时安装此应用程序)”,所以发布的程序只能在“添加/删除程序”中的“添加新程序”中添加。
6)在弹出的安全设置对话框中,添加“Domain Users”,并设置权限为完全控制,如下面图:
7)在弹出的“Add Object(添加对象)”对话框中,选择“Configure this key then(配置这个项,然后”,再选择“Replace existing permissions on all subkeys with inheritable permissions(替换所有带继承权限的子文件夹和文件上的现存权限)”,然后点OK,如下图:
10)在弹出的安全设置对话框中,添加“Domain Users”,并设置权限为完全控制,如下面图:
11)在弹出的“Add Object(添加对象)”对话框中,选择“Configure this key then(配置这个项,然后”,再选择“Replace existing permissions on all subkeys with inheritable permissions(替换所有带继承权限的子文件夹和文件上的现存权限)”,然后点OK,如下图:
按上述步骤,添加另外两项MACHINE和USERS,并且允许Domain Users完全控制。
8)选择“Computer Configuration—Windows Settings—Security Settings—File System”,在右面板上,点右键,选择Add File,如下图:
9) 在弹出的“Add a file or folder(添加文件或文件夹)”对话框中,选择C:\Program File,然后点OK,如下图:
Windows主要有两种安装程序包,一种是扩展名为.exe的安装程序;另一种是扩展名为.msi的安装程序。对于.msi的安装程序,组策略可以直接发布。对于.exe的安装程序,则需要转换为.msi安装程序或创建一个与其对应的扩展名为.zap的文本文件。注意:.zap包只能发布,不能指派;而.msi程序即可以发布,也可以指派。发布和指派的区别如下: