第八章使用组策略管理软件
利用组策略来发布和指派软件
利用Active Directory管理工具(ADMT)进行组策略的管理和配置 。
Windows Server Management Studio
通过Windows Server Management Studio进行组策略的管理和配 置。
组策略管理控制台(GPMC)
为了保障网络安全,管理员可以利用组策略指派杀毒软件给用户。通过组策略,管理员可以统一配置杀毒软件的 设置,确保所有用户都使用相同的设置,提高网络安全防护能力。同时,组策略还可以定期更新杀毒软件的病毒 库,确保用户设备的安全性。
案例三
总结词
自动化、便捷
详细描述
通过组策略,管理员可以实现软件的自动安装与卸载,为用户提供更加便捷的服务。管 理员可以制定软件的安装和卸载脚本,通过组策略发布给用户。当需要安装或卸载软件 时,管理员只需更新组策略配置,而无需逐个用户进行操作,提高了管理效率。同时,
自动化安装与卸载还可以减少人为错误和遗漏,确保软件的正确安装和卸载。
06
总结与展望
利用组策略发布和指派软件的优势与不足
自动化部署
组策略可以自动化地发布和指派软件 ,大大减少了手动安装和配置的时间 和工作量。
集中管理
通过组策略,管理员可以在中央位置 管理和配置软件分发,提高了管理效 率和可维护性。
05
案例分析
案例一:利用组策略发布办公软件
总结词
高效、集中管理
详细描述
通过组策略,管理员可以发布办公软件给用户,确保所有用户使用统一的软件 版本,减少因软件版本不同导致的问题。同时,组策略可以集中管理软件的安 装、配置和更新,提高管理效率。
案例二:利用组策略指派杀毒软件
组策略应用
高计算机性能。
配置计算机安全策略
03
设置计算机安全策略,包括防火墙、杀毒软件、安全审计等,
确保计算机安全。
软件部署
软件安装与卸载
通过组策略可以批量安装 和卸载软件,提高软件部 署效率。
软件版本控制
通过组策略可以控制软件 的版本,确保所有计算机 上的软件版本一致。
软件配置管理
通过组策略可以统一配置 软件的参数和设置,提高 软件的使用效果。
。
配置用户权限策略
根据用户角色和职责,分配相应的 权限,确保用户只能访问其所需资 源。
配置用户桌面环境
统一配置用户的桌面环境,包括桌 面背景、图标、主题等,提高工作 效率。
计算机配置
配置计算机启动策略
01
设置计算机启动项、启动脚本等,提高计算机启动速度和运行
效率。
配置计算机资源管理
02
优化计算机资源使用,包括内存、磁盘空间、网络带宽等,提
可以创建新的组策略模板,以便快速应用到多个计算机或用户。
编辑现有组策略模板
对于现有的组策略模板,可以进行编辑,以更改其设置。
应用组策略模板
可以将组策略模板应用到特定的计算机或用户,以快速应用所需的 组策略设置。
03
组策略的应用场景
用户配置
配置用户账户策略
包括账户锁定、密码策略、账户 过期等,确保用户账户的安全性
安全增强型组策略可以应用于各种场景,如访问控制、数据保护和网络安全等。
THANKS
谢谢您的观看
专门知识和技能。
注意事项
测试先行
在生产环境中实施组策略之前 ,应在测试环境中进行测试。
备份策略
定期备份组策略配置,以防意 外修改或损坏。
使用组策略限制软件运行示例
使用组策略限制软件运行示例xx年xx月xx日CATALOGUE目录•介绍•组策略基本概念•使用组策略限制软件运行的方法•实际操作示例•组策略限制软件运行的优缺点01介绍组策略(Group Policy)是Windows操作系统中一套允许管理员修改系统设置和用户配置的技术,用于配置和管理Windows系统中的策略、安全性和资源。
组策略基于Windows管理控制台(MMC)的管理员管理单元,通过使用管理模板文件(.adm)和相关的脚本文件来实现系统设置和用户配置的自定义。
什么是组策略组策略的功能和用途配置安全设置:组策略可以配置安全设置,例如密码策略、账户锁定策略、安全审计策略等。
定制应用程序:管理员可以使用组策略来配置应用程序的运行选项,例如启动位置、数据源、默认打印机等。
控制用户配置:组策略可以控制用户的桌面、开始菜单、网络连接、浏览器设置等,以及定义用户登录和注销的选项。
组策略具有以下功能和用途管理系统设置:管理员可以使用组策略来修改系统设置,例如启动和关机选项、用户权限和访问控制、安全设置等。
为什么需要使用组策略限制软件运行使用组策略限制软件运行可以帮助管理员更好地管理和控制系统的应用程序和资源,确保只有经过授权的应用程序可以在系统中运行,防止恶意软件的侵入和破坏。
通过限制软件的运行,可以降低系统被攻击或感染病毒的风险,提高系统的安全性和稳定性。
组策略还可以帮助管理员对系统进行集中管理和配置,减少了管理员的工作量,提高了管理效率。
02组策略基本概念组策略对象是组织单位(OU)和域(Domain)的集合,用于集中管理计算机或应用程序配置。
可以使用组策略来配置计算机或应用程序的各个方面,如软件设置、安全性和用户权限等。
理解组策略对象组策略配置文件(GPO)是存储组策略设置和链接到特定组织单位或域的容器。
每个GPO都有链接到目标组织单位或域的优先级,并且可以覆盖本地组策略设置。
组策略的配置文件本地组策略适用于单个计算机或应用程序的组策略设置。
组策略软件限制策略
可以根据不同用户或计算机组的需求,定制不同的软件限制策 略。
可以有效防止恶意软件的安装和运行,保护系统安全。
适用场景
01
02
03
企业环境
适用于企业内部的计算机 管理,确保员工只能使用 指定的软件,防止潜在的 安全风险。
智能学习与调整
通过机器学习和深度学习技术,自动学习和调整软件限 制策略,以适应不断变化的威胁和环境。
云计算和虚拟化对软件限制策略的影响
云端策略部署和管理
利用云计算资源,实现软件限制策略的快速部署和集 中管理,提高策略执行效率和灵活性。
虚拟化环境下的软件限制
在虚拟化环境中,实现软件限制策略的跨平台应用, 确保虚拟机之间的安全隔离和合规性。
实施步骤
制定详细的实施步骤,包括策略部署、配置 和监控等,确保计划的有效执行。
定期评估和调整软件限制策略
评估
定期评估软件限制策略的效果,包括合规性 、安全性和资源占用等方面。
调整
根据评估结果,及时调整软件限制策略,以 适应不断变化的软件环境和业务需求。
加强用户教育和培训
要点一
教育
向用户宣传软件限制策略的重要性和必要性,提高用户对 合规性和安全性的认识。
组策略软件限制策略
汇报人: 2024-01-04 目录• 组策略软件限制策略概述 • 软件限制策略的配置与实施 • 组策略软件限制策略的最佳实
践 • 组策略软件限制策略的挑战与
解决方案 • 组策略软件限制策略的未来发
展
01
组策略软件限制策略概述
定义与特点
定义 集中管理 灵活定制 安全性高
应用组策略部署和管理软件
关键词 : 域控 制器 ;组织单位 ;部署软件 ;管理 软件 ;软件限制规则 ;哈希规则
Ap i a i n f Gr p pl t o o ou Pol y o De o a d c i t c pl y n M a a e n g So t r f wa e
件 的安装 、升 级 以及删 除 等等 。 当然 如何 限 制企 业员 工 电
序 。新 的 I t le ns a i r提供 给软 件产 品新 的特性 ,例 如使 用 命 令 行安 装产 品 、增 加 了用 户的 可定 制性 。 Wi d ws n tl r不仅 仅是 一个 安装程 序 ,它还 是 n o I sal e
域 控
含有 关应 用程 序设置 和 安装 信息 的程 序包 . S 文件 格式 M I 组 成 ,同时也 是可 扩展 的软 件 管理 系统 ,它 支持从 多种 来 源安 装和 运行 软件 ,并且 开 发人 员可 以 自定义 W i do n ws I salr 以安 装 自定 义 应用 程序 。 n tl e
的对 软件 的管 理 问题 。
软 件 的 安装 ,管 理 软 件 组 件 的 添 加 和 删 除 ,监 视 文 件 复 原 ,并 通 过使 用 回滚来 维护 基本 的 灾难恢 复 。该技 术 由用 于 W id ws 作 系统 的 W i d ws n tl r服 务 以及 包 no 操 n o I sal e
Ab ta t Wih te o uaia in o i o m to t cn lg sr c : t h p plrz t f n r a in e hoo y, h w e f i t ma a e n o cmp tr o t r wi i h nt r b c m moe o f o f ie n g met f o ue sf wa e t n e ewok eo e cn h t r i ot n . T i rie fc ss n o t ue mp ra t hs tc o ue o h w o s Gru P ly 0 e ly a d ma a e sfwae. T e e i l e hw t e a l o p oi t dpo n c ng o t r h s n u o cd h me e s f te o i mb r o h d man
组策略(gpedit.msc)完全使用手册
组策略(gpedit.msc)完全使用手册组策略(gpedit.msc)完全使用手册组策略(gpedit.msc)完全使用手册对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现。
其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能。
一、组策略基础1.什么是组策略注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。
而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。
其实简单地说,组策略设置就是在修改注册表中的配置。
当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
2.组策略的版本对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows2000/XP/2003操作系统中。
早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。
当用户登录时,它会重写注册表中的设置值。
当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。
而组策略及其工具,则是对当前注册表进行直接修改。
显然,Windows2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个ActiveDirectory(活动目录)对象(即站点、域或组织单位)并对其进行设置。
使用组策略限制软件运行示例
定期清理过期策略
清理不再使用或过期的组策略,以减少潜在的安全风险 和资源占用。
修复组策略错误
当发现组策略存在错误或问题时,及时进行修复并分析 原因,确保其安全性。
THANKS
谢谢您的观看
组策略的监控
要点一
监控组策略状态
定期检查组策略的状态,包括是否被 正确配置、是否存在错误等。
要点二
监控软件运行情况
对于被限制运行的软件,需要实时监 控其运行状态,以及是否存在违规运 行的行为。
要点三
监控日志记录
分析系统日志,及时发现和处理与组 策略配置和软件运行相关的问题。
组策略的维护
更新组策略配置ห้องสมุดไป่ตู้
组策略的优点
集中管理
组策略允许管理员从中央位置设 置和管理计算机和用户的配置, 降低了管理成本和复杂性。
自定义配置
组策略支持自定义配置文件,允 许管理员根据需要为不同用户或 计算机定义不同的配置。
安全控制
组策略可以用于设置安全选项, 如软件限制、网络安全设置等, 提高了系统的安全性和稳定性。
组策略的组件
如何通过文件关联限制软件运行
可以通过修改文件关联的方式,将恶意软件的程序和正常的文件类型进行关联,从而限制 恶意软件的运行。
文件关联的优缺点
文件关联可以有效限制恶意软件的运行,但也可能影响到一些正常的文件的打开和使用。 同时,如果用户对系统进行了不当的设置,也可能会造成不必要的麻烦。
03
组策略的监控和维护
使用组策略限制软件运行 示例
xx年xx月xx日
目录
• 组策略基础 • 使用组策略限制软件运行 • 组策略的监控和维护
第八章使用组策略管理软件
第八章使用组策略管理软件分配内容摘要本章将重点讲解如何使用组策略在Windows2000中自动进行软件分配(Software Deployment)。
内容包括:• Windows2000软件分配的准备• Windows2000软件分配的配置• Windows2000软件分配的维护• Windows2000软件分配后的删除考点提示• 软件指派和软件发布的区别• 软件分发使用的安装包类型• 软件分发后的修复8.1 软件分配(Software Deployment)简介软件分配能够使管理员在公司内集中安装和维护应用程序。
软件分配可以从一个地点安装和管理应用程序、补丁程序和升级程序,并将这些程序分配给特定的计算机或者用户。
使用组策略是实现软件在Windows2000网络中分配的必要条件。
使用组策略分配软件与手工安装应用软件相比有如下优点:• 减少管理负担。
使用组策略管理员可以在网络中集中对软件进行分配和管理,而不必为每一台客户端计算机单独手工安装。
• 增强软件安装控制。
可以避免用户在自己的客户端随意安装软件。
由于软件分配在服务器端向客户端安装软件,因此可以禁止用户自己安装软件。
• 软件分配可以指派不同用户,不同计算机安装不同的计算机。
可以设置不同的安装时间,如计算机启动或者用户登录时安装。
• 实现软件自动修复。
当通过组策略分配的软件被误删除后,软件分配可以自动修复,并补充被删除的文件。
• 实现软件自动升级。
当软件版本升级后,可以通过设置组策略将升级版分配给客户端,实现软件的自动升级。
• 方便软件删除。
当软件不再需要时,可以通过组策略在整个网络中彻底删除无用软件。
通过软件分配可以实现对软件的安装、维护进行管理。
软件分配可以分为四个阶段:1、软件分配准备阶段2、软件分配的实施阶段3、软件分配的维护阶段4、软件分配的删除阶段后面我们将依次对这四个阶段需要注意的内容进行介绍。
8.2 软件分配的准备8.2.1 软件分配的条件实现软件分配需要满足如下必要条件:1、要有Windows安装服务(Windows Installer Service):Windows安装服务是一个在客户端运行的服务。
gpedit.msc使用方法
一、gpedit.msc是什么?gpedit.msc是Windows操作系统中的一个重要工具,它是组策略编辑器的命令行缩写形式。
组策略编辑器是Windows操作系统中的一个重要管理工具,可以帮助用户管理本地计算机和组织的计算机配置。
通过组策略编辑器,用户可以修改注册表、配置安全选项、设置软件安装、配置用户环境等,是管理Windows系统的重要工具之一。
二、gpedit.msc的作用gpedit.msc是管理本地计算机和组织中计算机配置的重要工具,它的作用包括但不限于以下几个方面:1. 管理注册表组策略编辑器可以帮助用户管理Windows操作系统中的注册表,通过修改组策略可以对注册表的访问权限、键值等进行配置,从而实现对系统的管理。
2. 配置安全选项用户可以通过组策略编辑器对系统的安全选项进行配置,包括密码策略、账户锁定策略、安全审核策略等,从而保障系统的安全性。
3. 设置软件安装通过组策略编辑器,用户可以限制或允许特定软件的安装,从而控制系统中的软件应用。
4. 配置用户环境组策略编辑器还可以帮助用户配置用户的工作环境,包括桌面设置、启动菜单设置、控制面板设置等,从而对用户的工作环境进行管理。
5. 部署网络通过组策略编辑器,用户可以配置网络设置,包括网络驱动器映射、网络打印机设置、安全设置等,从而管理系统中的网络资源。
三、使用gpedit.msc的方法要使用gpedit.msc,首先需要确认你的计算机上是否安装了组策略编辑器,具体可以通过以下步骤进行确认:1. 在Windows系统中,点击“开始”按钮,选择“运行”。
2. 在运行对话框中输入“gpedit.msc”,并点击“确定”按钮。
3. 如果系统中安装了组策略编辑器,那么将会打开一个新的窗口,显示组策略编辑器的界面。
如果系统中没有安装组策略编辑器,则会提示相关信息。
如果系统中没有安装组策略编辑器,可以通过以下步骤安装组策略编辑器:1. 在Windows系统中,点击“开始”按钮,选择“控制面板”。
组策略应用
3
可以设置例外情况,如允许特定用户或特定设 备使用U盘,以满足特殊需求。
05
组策略的常见问题及解决方 案
组策略无法应用的问题及解决方案
总结词
组策略无法应用可能是由于多种原因导致的,例如策略配置错误、权限不足、AD 域问题等。
详细描述
首先,需要检查组策略的配置是否正确,确保策略设置符合预期。其次,要确认 应用组策略的用户或计算机是否具有足够的权限。另外,还要检查AD域的配置是 否正确,以及组策略是否被正确地链接到AD域。
组策略的优势
集中管理
自定义设置
通过使用组策略,管理员可以在中央位置管 理和配置多个计算机和用户的行为和设置, 从而简化了管理过程并提高了效率。
组策略允许管理员根据需要创建自定义的配 置和规则,以满足特定的需求和要求。
安全性
自动化
组策略提供了强大的安全功能,如密码策略 、文件和注册表权限以及网络安全设置等, 可以更好地保护系统和数据的安全。
禁止访问某个网站
01
禁止员工访问某些网站,以避免分散工作注意力,提高工作效 率。
02
通过组策略可以设置网址黑名单,禁止员工访问特定的网站。
可以根据需要添加或删除黑名单网址,方便管理员进行动态管
03
理。
禁止使用U盘进行数据传
1
防止员工使用U盘进行数据传输,以降低数据泄 露和病毒传播的风险。
2
通过组策略可以禁用U盘的读取和写入功能。
用于将用户和计算机分组,并对这些组应用策 略。
组策略的安全设置
账户策略
涉及密码和账户锁定策略,包括密码复杂性要求 、账户锁定时间等。
本地策略
涉及本地计算机的安全设置,包括审核策略、事 件日志等。
使用组策略管理用户环境
使用组策略管理用户环境组策略(Group Policy)是一种在Windows操作系统上,用于管理计算机和用户配置项的技术。
通过组策略,管理员可以集中管理计算机和用户的策略设置,以确保网络中的所有计算机和用户都符合组织的安全和管理要求。
在用户环境管理中,组策略可以用于配置用户的桌面设置、应用程序访问权限、安全设置等。
组策略提供了灵活的配置选项,可以根据不同的组织需求进行自定义设置。
以下是使用组策略管理用户环境的步骤:第一步:创建组策略对象(Group Policy Object,GPO)第二步:配置组策略设置在组策略管理器中,可以对GPO进行配置设置。
其中,用户配置和计算机配置是两个主要的部分。
在用户配置中,管理员可以对用户的桌面设置进行管理。
可以设置桌面背景、屏保、桌面图标等。
此外,还可以配置用户的Internet Explorer设置、安全选项,以及其他应用程序的访问权限等。
在计算机配置中,管理员可以对计算机的安全设置和网络连接进行管理。
可以设置密码策略、防火墙设置、文件夹和文件访问权限等。
此外,还可以配置网络设置、打印机设置等。
第三步:链接GPO到域、OU或站点创建和配置好GPO之后,需要将其链接到特定的域、OU或站点上。
通过链接,GPO才能被应用到相应的计算机和用户上。
第四步:更新组策略设置一旦将GPO链接到特定的域、OU或站点上,组策略将在下次用户登录时被自动应用。
如果需要立即应用组策略设置,可以使用命令行工具gpupdate /force。
第五步:监视和管理组策略效果在组策略管理器中,管理员可以监视和管理GPO的效果。
可以查看GPO应用情况,检查错误和警告信息,以及对GPO进行修改和删除等操作。
通过使用组策略管理用户环境,管理员可以实现以下好处:1.集中管理:通过组策略,管理员可以集中管理组织中所有计算机和用户的配置设置,提高管理效率。
无需逐个配置每台计算机或每个用户的设置。
2.统一标准:通过组策略,管理员可以定义和强制执行组织的安全和管理标准。
使用组策略限制软件运行示例
测试软件限制策略
打开“组策略管理”控制台, 在控制台树中,找到并单击您 想要测试的组策略对象(例如 ,域或组织单位)。
在右侧窗格中,找到并单击您 刚刚创建的软件限制策略。
在软件限制策略的右侧窗格中 ,您应该能够看到刚刚创建的 策略已应用于该对象。
尝试在受限制的用户帐户或计 算机上运行软件,以验证策略 是否按预期工作。
降低系统资源占用
限制软件的运行可以有效 地降低系统资源的使用, 避免资源的浪费,提高系 统的性能。
增强用户隐私保护
限制某些软件的运行可以 保护用户的个人隐私,避 免用户数据被泄露。
使用组策略限制软件运行的缺点
可能影响用户体验
如果过度限制软件的运行,可 能会影响用户的使用体验,使 得某些正常的应用程序无法正
3. 附加说明:为了确保企业的正常运营,对于一些需要使用的特定游戏 软件,可以通过创建例外策略来满足其需求。此外,对于新安装的游戏 软件,需要及时更新组策略,以避免员工绕过限制使用该软件。
案例三:使用组策略限制某款恶意软件的运行
01
1. 通过组策略限制某款恶意软件的运 行,可以有效防止该软件对系统造成 损害,保护企业数据的安全。
安全性高:组策略可以帮助管理员监 控和控制用户的行为,有效防止恶意 软件和不必要的程序的运行,提高了 系统的安全性。2使用组策略限制软件运行
创建软件限制策略
打开“组策略管理”控制台,在控制台树中,右键单击所需的管理员组策略对象( 例如,域或组织单位),然后单击“创建新的组策略”。
在“创建新的组策略”对话框中,输入新组策略的名称和描述,然后单击“确定” 。
常运行。
可能影响工作效率
对于一些需要使用特定软件的员工 来说,限制其使用可能会影响他们 的工作效率。
使用组策略管理域用户
使用组策略管理域用户组策略管理域用户是一种集中管理域内用户的方式,通过组策略可以为用户设定一系列的管理规则和权限,以实现对用户的统一管理。
组策略是Windows操作系统提供的一种重要的管理员工具,可以通过它实现对域内用户的权限控制、安全策略、桌面环境以及部署应用等管理操作。
本文将详细介绍如何使用组策略管理域用户。
组策略的核心概念是“组策略对象(GPO)”。
GPO是一组策略设置的集合,可以设置用户配置和计算机配置两部分。
用户配置适用于用户登录到域时,计算机配置适用于计算机启动时。
创建GPO后,可以将其链接到域、OU或站点,并通过权限和过滤设置来控制策略的应用范围。
接下来,我们将详细介绍如何使用组策略管理域用户的权限控制、安全策略、桌面环境和应用部署等方面。
此外,组策略还可以用于管理用户的桌面环境。
在GPO中,可以设置用户的桌面壁纸、屏幕保护程序、桌面图标等。
此外,还可以设置用户的开始菜单、任务栏等。
最后,组策略还可以用于应用部署。
在GPO中,可以设置应用程序的安装和卸载规则,以实现对用户的应用程序管理。
例如,可以通过GPO将一些应用程序自动安装在用户的计算机上,并实现对应用程序的自动升级和卸载。
在使用组策略管理域用户时,还需要注意以下几点。
首先,要合理规划和设计组策略,以满足实际需求。
例如,可以根据不同用户群体的需求,创建不同的GPO,并将其链接到不同的OU或站点。
其次,要及时更新和维护组策略,以保证其有效性和安全性。
例如,要根据实际情况定期检查和更新密码策略、安全策略等。
最后,要合理设置组策略的应用范围和权限,以保护域内用户的安全和隐私。
总之,组策略是一种重要的管理员工具,可以通过它实现对域用户的统一管理。
通过组策略,可以进行权限控制、安全策略、桌面环境和应用部署等管理操作。
在使用组策略管理域用户时,需要合理规划、及时更新和维护,并合理设置其应用范围和权限。
希望本文对您理解和使用组策略管理域用户有所帮助。
组策略软件限制策略
总结词
该策略通过限制软件在特定时间段内的使用次数来管理用户 行为。
详细描述
基于使用次数的软件限制策略允许管理员设置每个用户在一定 时间内可以使用特定软件或应用程序的次数。例如,管理员可 以设置用户在一周内只能打开某个应用程序5次。这种策略有 助于防止用户滥用软件,并确保他们不会过度依赖特定功能。
03
组策略软件限制策略的配置
使用组策略编辑器进行配置
打开组策略编辑器
按下Win键+R,输入"gpedit.msc" 并回车,打开组策略编辑器。
导航到软件限制策略
在左侧导航栏中,依次展开"计算机 配置"或"用户配置",然后展开"策略 "文件夹,再展开"安全设置"。
配置软件限制策略
在右侧窗格中,找到并双击"软件限 制策略",进入其属性页面。
人工智能环境下的软件限制策略将更加注重用户体验和个 性化需求。通过智能分析和预测用户行为,提供更加智能 、个性化的软件限制策略,提高用户的使用体验和满意度 。
THANKS
谢谢您的观看
限制某些软件的安装可以减少因软件冲突导 致的问题。
管理便利
管理员可以在中央位置控制和配置软件的安 装和使用,提高了管理效率。
节省系统资源
限制不必要的软件可以减少系统资源的占用 ,提高系统性能。
缺点
用户灵活性受限
用户可能无法自由选择他们需要的软件,降低了 用户体验。
需要定期更新和维护
组策略需要定期更新以适应新的软件和补丁,增 加了维护成本。
维护系统稳定性
限制不必要的软件安装可 以减少软件冲突和系统资 源占用,提高计算机性能 和稳定性。
08使用组策略部署和管理软件
Accounting GPO
针对每个GPO分别指定应用程序关联 分别指定应用程序关联 针对每个
Sales GPO
Word 2000 FileName.doc Sales Word 2000
8.3.4 如何把文件的扩展名与应用程序相关联
教师将演示如何对已经建立关联的应用程序调整 优先顺序
8.3.5 什么是软件修改? 什么是软件修改?
教师将演示如何删除被部署的软件
8.4.7 限制用户的软件
通过使用软件限制策略,可以 通过使用软件限制策略,可以: 允许所有的应用程序运行,除非明确禁止 禁止任何应用程序运行,除非明确允许 规则类型: 规则类型 哈希规则 证书规则 路径规则 Internet区域规则
�
1
升级
把软件升级包 放在服务器上 组策略
2
重新部署软件包
4
升级
用户登录并调用软件
3
用户登录并激活软件
8.4.4 如何重新部署软件
教师将演示如何重新部署软件包
8.4.5 删除被部署的软件的方法
软件自动从计算机中删除 强制删除
软件没有从计算机上删除,不能对软件 进行升级 非强制删除
8.4.6 如何删除被部署的软件
Windows Installer
Windows Installer服务 服务 完全自动的软件安装和配 置过程 对已有的应用程序进行修 改或修复 Windows Installer package包含 包含 安装或卸载应用程序所需要的 信息
一个带有.msi扩展名 的文件和其它 外部资源文件
关于应用程序的摘要信息 指向安装地点的参照信息
8.3.1 什么是软件类别? 什么是软件类别?
软件类别可以跨域工作
组策略软件限制策略
不限于基于角色的访问控制、基于行为的访问控制等。
03
更加安全化
随着网络安全问题的日益突出,组策略软件限制策略将会更加注重安
全性,保障企业的信息安全和数据安全。
THANKS
感谢观看
02
组策略软件限制策略概述
软件限制策略的定义
软件限制策略是一种安全技术,用于控制和管理用户在计算机或网络上安装和运 行软件的方式。它可以帮助组织保护其计算机系统免受恶意软件的攻击和滥用, 同时确保合规性。
软件限制策略使用组策略来实施,组策略是Windows操作系统中的一种管理工具 ,可以用于配置和管理网络中的计算机设置。通过使用组策略,管理员可以定义 软件安装和运行的规则和条件,并将其应用于整个组织或特定的计算机组。
维护教学秩序
学校可以通过组策略软件限制策略,禁止学生 在上课期间安装游戏、音乐播放器等与教学无 关的软件,从而维护教学秩序。
保障知识产权
学校可以通过组策略软件限制策略,禁止学生 私自安装盗版软件,从而保障学校的知识产权 。
家庭环境下的软件限制策略应用
保障家庭网络安全
01
家庭可以通过组策略软件限制策略,限制孩子在未经授权的情
打开“组策略”编辑器
可以通过在Windows搜索栏中输入“组策 略”打开。
定位到软件限制策略路 径
在组策略编辑器中,依次展开“计算机配置 ”和“Windows设置”,然后找到“软件 限制策略”路径。
创建软件限制策略
设置规则
在软件限制策略路径下,右键单击空白处, 选择“创建软件限制策略”。
在创建的软件限制策略下,右键单击空白处 ,选择“新建路径规则”。然后,根据需要 设置相应的规则。
提高工作效率
通过限制不必要的软件安装和运行,可以减少计算机资源的占用和维护工作量。这有助于 提高计算机的性能和响应速度,从而提高工作效率。
组策略管理器
组策略管理器组策略管理器(Group Policy Management)是在Windows操作系统中使用组策略对象(Group Policy Object)来集中管理计算机系统配置和用户配置的工具,由于Windows操作系统的广泛应用,因此组策略管理器也在企业和机构中得到了广泛的应用。
组策略管理器的作用是提供一种统一的管理方式,可以对操作系统、应用程序、网络配置等多种方面进行集中管理。
通过组策略管理器,管理员可以轻松地在整个网络环境中管理用户和计算机,保证网络系统的安全性、稳定性和可管理性。
同时,组策略管理器还可以大大降低系统维护的难度和工作量。
组策略管理器的基本原理是将组策略对象应用到组织中的计算机和用户上,以实现个性化配置、访问控制、应用和安全管理等目的。
管理员可以通过组策略管理器创建和编辑策略对象,设置策略规则和参数,然后将策略应用到特定的用户或计算机上。
组策略管理器可以通过域控制器实现跨域管理,确保策略对象的一致性和在整个网络环境中的自动部署。
组策略管理器的功能主要包括以下几个方面:1. 安全管理:通过组策略管理器可以实现网络安全配置,包括密码策略、账户锁定策略、防火墙配置等。
2. 桌面管理:通过组策略管理器可以实现用户桌面环境和计算机桌面环境的个性化配置,包括壁纸、主题、快捷方式、受保护的系统文件等。
3. 软件管理:通过组策略管理器可以实现应用程序的安装、升级、卸载等管理控制,包括软件包分发、补丁管理等。
4. 网络管理:通过组策略管理器可以管理网络组件和协议等网络相关配置,包括TCP/IP设置、DNS设置、网络打印机设置等。
5. 浏览器管理:通过组策略管理器可以管理Internet Explorer浏览器的设置和安全控制,包括IE选项、网站列表、自定义工具栏等。
组策略管理器还可以通过组织单元(Organizational Unit)实现不同的策略应用于不同的用户和计算机群组上。
管理员可以为不同的组织单元创建不同的策略对象,并将其应用到不同的组织单元中,从而实现部门独立控制、权限分级管理等目的。
组策略编辑器用法
组策略编辑器用法1、组策略编辑器的命令行启动您只需单击选择"开始"→"运行"命令,在"运行"对话框的"打开"栏中输入"gpedit.msc",然后单击"确定"按扭即可启动Windows XP组策略编辑器。
(注:这个"组策略"程序位于"C:\WINNT\SYSTEM32"中,文件名为"gpedit.msc"。
)当多人共用一台计算机时,在Windows XP中设置用户权限,可以按照以下步骤进行:1、运行组策略编辑器程序(gpedit.msc)。
2、在编辑器窗口的左侧窗格中逐级展开"计算机配置"→"Windows设置"→"安全设置"→"本地策略"→"用户权限指派"分支。
3、双击需要改变的用户权限。
单击"增加",然后双击想指派给权限的用户帐号。
如图8所示。
连续两次单击"确定"按扭。
在Windows XP中,新增了一条命令行工具"shutdown",其作用是"关闭或重新启动本地或远程计算机"。
利用它,我们不但可以注销用户,关闭或重新启动计算机,还可以实现定时关机、远程关机。
该命令的语法格式如下:shutdown[-i|-l|-s|-r|-a][-f][-m[\ComputerName]][-t xx][-c"message"][-d:xx:yy]其中,各参数的含义为:-i显示图形界面的对话框。
-l注销当前用户,这是默认设置。
-m ComputerName优先。
-s关闭计算机。
-r关闭之后重新启动。
-a中止关闭。
除了-l和ComputerName外,系统将忽略其它参数。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本文由xilong83贡献 pdf1。
80 MCSE2000 系列——Windows 2000 活动目录 第八章 内容摘要 使用组策略管理软件分配 本章将重点讲解如何使用组策略在 Windows2000 中自动进行软件分配(Software Deployment) .内容包括: Windows2000 软件分配的准备 Windows2000 软件分配的配置 Windows2000 软件分配的维护 Windows2000 软件分配后的删除 考点提示 软件指派和软件发布的区别 软件分发使用的安装包类型 软件分发后的修复 8.1 软件分配(Software Deployment)简介 软件分配能够使管理员在公司内集中安装和维护应用程序. 软件分配可以从一个地点安 装和管理应用程序,补丁程序和升级程序,并将这些程序分配给特定的计算机或者用户. 使用组策略是实现软件在 Windows2000 网络中分配的必要条件. 使用组策略分配软件与手工安装应用软件相比有如下优点: 减少管理负担.使用组策略管理员可以在网络中集中对软件进行分配和管理,而不 必为每一台客户端计算机单独手工安装. 增强软件安装控制.可以避免用户在自己的客户端随意安装软件.由于软件分配在 服务器端向客户端安装软件,因此可以禁止用户自己安装软件. 软件分配可以指派不同用户,不同计算机安装不同的计算机.可以设置不同的安装 时间,如计算机启动或者用户登录时安装. 实现软件自动修复.当通过组策略分配的软件被误删除后,软件分配可以自动修复, 并补充被删除的文件. 实现软件自动升级.当软件版本升级后,可以通过设置组策略将升级版分配给客户 端,实现软件的自动升级. 方便软件删除.当软件不再需要时,可以通过组策略在整个网络中彻底删除无用软 件. 通过软件分配可以实现对软件的安装,维护进行管理.软件分配可以分为四个阶段: 1, 软件分配准备阶段 2, 软件分配的实施阶段 3, 软件分配的维护阶段 4, 软件分配的删除阶段 后面我们将依次对这四个阶段需要注意的内容进行介绍. 8.2 8.2.1 软件分配的条件 软件分配的准备 上海南洋微电子公司版权所有 第八章 使用组策略管理软件分配 81 实现软件分配需要满足如下必要条件: 1,要有 Windows 安装服务(Windows Installer Service) :Windows 安装服务是一个在客 户端运行的服务.它执行软件安装,配置和修复过程. Windows 安装服务是软件分配过程中事实上的执行者, 当软件通过组策略指派给计算机 或者用户去安装的时候,Windows 安装服务具体去执行整个安装过程. 除了安装之外,Windows 安装服务还可以更改或者修复已安装的应用程序. 注意:由于 Windows98,Windows NT 不包含 Windows 安装服务,因此,不能向上述操作 系统分配软件. 2,需要有安装软件包(Installer Package) . Windows2000 软件分配可以使用两种软件安装包,即 Windows 软件安装包(Windows Installer Packages)和非 Windows 软件安装包(Non-Windows Installer Packages) . Windows 安装软件包包含安装应用程序的所有必要文件和安装配置文件.Windows 安 装包一般由软件程序供应商提供, 如果软件供应商没有提供此类软件包, 可以使用第三方工 具创建.但使用第三方工具需要详细了解应用程序源文件,需要更改的 Registry 值,需要安 装的源文件及路径等信息. 通过 Windows 安装包安装的应用程序在收到损坏时,可以实现应用程序的自我修复功 能.例如,某一个应用程序的部分文件被一个用户删除,当用户再次使用时,此应用程序能 够自动还原被删除的文件,而不影响用户使用. 注意:应用程序在自我修复过程中,安装源文件必须可以访问. 通过 Windows 安装包安装的应用程序还可以根据用户的需求选择安装不同的组件.例 如,安装词典类软件,可以在查找特定单词时再装入包含这个单词的词库组件,而不必一开 始安装太多内容.这种技术也称为即时安装(Just-in-time Installation) . Windows 安装包以*.msi 为扩展名, 现在已经有很多软件开发商提供此类型的安装文件, 可以直接使用. 如果安装文件还不是 Windows 安装包类型, 可以通过第三方软件将安装文件重新打包. Swiadmle.msi 是一个 Windows2000 附带的第三方打包工具,如下图所示,适当填充相关参 数并存盘,可以得到重新打包的 Windows 安装软件包. 上海南洋远程教育系列教材 82 MCSE2000 系列——Windows 2000 活动目录 图 8-1 软件分配支持的第二种文件类型是非 Windows 软件安装包. 零管理 Windows 文件 (Zero Administration for Windows Files)是一种最常用的非 Windows 软件安装包, 它是一个文本文 件,定义了安装应用程序的建议. 零管理 Windows 文件以*.zap 作为扩展名, 它可以在不对非 Windows 软件安装程序重新 打包的情况下对这个程序进行分配.但同时,使用*.zap 文件也有一些不利的方面: 零管理 Windows 文件只能够发布(Publish),不能够指派(Assigning). 零管理 Windows 文件在应用程序受到损坏的时候不能够自动修复损坏的文件,而只 能完全重新安装. 零管理 Windows 文件几乎不能实现用户不参与情况下的自动安装.也就是说用户在 安装过程中需要做出很多设置. 不能够使用 Windows 安装服务所具有的安装权限进行安装. 这意味着当前用户如果 没有安装应用程序的权限,则使用*.zap 文件进行的软件分配不能进行. 3,需要创建软件分配的组策略和软件分配点. 组策略是使应用程序安装包能够在 Windows2000 网络中自动分配的关键因素之一.当 计算机启动或用户登录时, 执行相关组策略, 访问分配的应用程序安装文件, 开始安装过程. 软件分配点是一个位于服务器上的共享目录, 在软件分配点上面存存放应用程序的安装 软件包, 并设置不同的访问权限. 允许设置需要安装软件的用户应该对所安装的应用程序拥 有 Read 权限. 8.2.2 软件分配的方式 具备了上面所说的三个条件, 软件分配可以根据需要进行配置. 在组策略中进行软件分 配,有两种方式可以选择:软件发布(Software Publishing)和软件指派(Software Assigning). 软件发布 软件发布只能针对用户进行.不能对计算机发布软件. 软件发布不会自动为用户安装应用程序.当发布成功后,只要用户打开添加/删除应用 程序(Add/Remove Programs)界面,就可以看到发布的应用程序选项. 用户安装发布的应用程序最简单的方法是在自己的计算机上通过控制面板中的添加/删 除应用程序进行安装. 用户安装发布的应用程序另一种方法是使用关联文档激活安装过程. 当一个应用程序发 布成功后, 这个应用程序将在活动目录中进行登记. 活动目录中会记录下与这个应用程序关 联的文档的扩展名. 当一个用户点击一个未知类型的文件后, 计算机向活动目录查询是否有 与这个类型关联的被发布的应用程序. 如果有, 计算机将自动安装这个应用程序用来打开这 个文件. 软件指派 软件指派既可以针对用户进行,又可以针对计算机进行. 针对用户配置软件指派可以在用户需要的时候安装应用程序.一个应用程序指派给用 户,当用户登录后,应用程序图标会出现在计算机的桌面和用户的开始菜单中.但此时应用 程序并没有真正安装. 直到用户使用这个应用程序时, 如用户第一次双击这个应用程序图标 或者双击与这个应用程序的关联文档时, 这个应用程序才真正开始安装. 应用程序指派给用 户可以减少用户安装程序的时间,并节省不必要的磁盘空间浪费. 应用程序指派给用户后, 无论用户在网络中任何一台登录, 应用程序指派的结果是相同 的. 上海南洋微电子公司版权所有 第八章 使用组策略管理软件分配 83 针对计算机配置软件指派与指派给用户不同.应用程序指派完成后在计算机下次启动 时,应用程序自动安装在被指派的计算机上. 应用程序指派给计算机后, 无论任何用户在这台计算机上登录, 都可以启动安装过程 (第 一次启动计算机有效) ,并访问经指派并已经安装的应用程序. 总起来讲,软件发布(Software Publishing)和软件指派(Software Assigning)之间,针 对用户的软件指派(Software Assigning)和针对计算机的软件指派(Software Assigning)之 间各自有不同的特点,根据需要选择合适的软件分配方法可依得到满意得结果. 下表列出了上述三种不同的软件分配方法之间的比较. 分配类型 优点 指派(给用户) 用户需要时总能够访问到指 派的应用程序. 应用程序的安 装不需要人的参与 指派(给计算机) 缺点 即使用户从来没有使用指派 的应用程序. 被指派的应用程 序仍然会出现在用户的开始 菜单上. 应用程序在计算机启动时自 在组策略中配置好软件发布 动安装 后, 必须重启动所有的计算机 软件发布才有效. 应用程序安装之前, 应用程序 用户必须自己安装应用程序. 图标不会出现在开始菜单中. 安装过程不是自动的. 发布 8.3 软件分配的配置 在 Windows2000 活动目录体系中,具备了软件分配的必要条件,可以在组策略中对软 件分配进行具体设置了. 1,建立软件分配点 软件分配设置的第一步是要建立一个软件分配点. 软件分配点是一个共享目录, 这个共 享目录中包含软件分配过程中所有必要的源文件. 为了保证安全性, 应该在这个共享目录中 设置合适的安全权限,使只有必要的用户和计算机能够访问这个目录中的文件. 与软件分配(Software Deployment)有关的源文件有如下几个类型: 文件类型 扩展名 说明 .msi Windows 安装程序包 这些文件通常由软件供应商提供, 用以加快特定应用程 序的安装. 在软件分发点中必须把这些文件和任何其他 必需文件共同保存为要管理的软件. 转换程序包 也叫作修改,这些文件在分配或发布时对 Windows 安 装程序包进行自定义.例如,它们可能会指定安装过程 .mst 仅仅安装完整程序包的一部分. 修补程序 错误修复,Service Pack 以及类似文件可以用这种形式 分发. 修补程序不应该用于主要的修改, 其作用限制如 下: .msp 不能删除组件或功能 不能更改产品代码 .zap 文件 .zap 不能删除或更改快捷方式,文件或注册表项的 名称 这些文件与 .ini 文件类似,都是使用记事本之类的文 本编辑器创建的.它们只能发布(不能分配) ,并且它 上海南洋远程教育系列教材 84 MCSE2000 系列——Windows 2000 活动目录 应用程序分配脚本 .aas 为用户指定了一个可执行的安装程序(例如 \\server\share\Excel\Setup.exe) ,该程序在控制面板中的 "添加/删除程序"中能够看到.用户在本地计算机上具 有管理权限. 这些文件包含一些与程序包分配或发布有关的说明. 2,使用组策略分配软件 使用组策略分配软件首先确定软件分配的范围,在站点,域还是组织单元内分配.在哪 一个范围内分配应用程序就在哪一层容器中创建组策略. 在组策略的计算机设置(Computer Configuration)和用户设置(User Configuration)中, 存在软件安装子容器,在此子容器中可以添加准备分配的应用程序.计算机设置(Computer Configuration) 中设置分配给计算机的应用程序, 用户设置(User Configuration)中设置分配给 用户的应用程序. 图 8-2 实验 1:在域中分配应用程序 test1.msi 1, 针对域创建组策略 Default Domain Controller Policy. 2, 在计算机设置(Computer Configuration)\软件设置(Software Settings)\软 件安装(Software Installation)中添加准备分配的软件包 test1.msi.根据向导 提示完成后续步骤. 3, 或者在用户设置(User Configuration)\软件设置(Software Settings)\软件 安装(Software Installation)中添加准备分配的软件包 test1.msi.根据向导提 示选择是发布(Publishing)还是指派(Assigning),完成后续步骤. 3,设置软件分配默认属性 通过设置软件分配属性可以确定软件分配的方式, 更改软件安装包的位置, 安装过程的 用户界面等.设置好软件分配的默认属性,此后添加新的软件安装包,除非特别指定,都按 照默认属性的设置进行分配. 选项 说明 Default package location(默认包位置) 包含.msi 包文件的软件分布点位置. 可以指 上海南洋微电子公司版权所有 第八章 使用组策略管理软件分配 85 New packages When adding new packages to user settings(给用户设置添加新包时的新 包) Installation user interface options(安装用户 界面选项) Uninstall the application when they fall out of the scope of management (卸载不在管理范围 内的应用程序) 定任何包含软件包的位置, 但确保分布点不 在本地驱动器上. "Display the Deploy Dialog boxes"(显示布 置对话框)选项显示了添加到 GPO 的每个 包文件的一个对话框. 这个对话框提示读者 发布或分配新的包文件. "Publish"(发布)选项自动发布一个"User Configuration"下不出现. 如果读者打算给需 要进行发布的 GPO 添加多个应用程序,使 用此选项.用"Assign"(分配)选项自动分 配一个默认的新包文件. 如果读者打算给需 要进行分配的 GPO 添加多个应用程序,使 用此选项. 用"Advanced published or assigned" (高级发 布或分派)选项进行更好的控制.例如:使 用变换. Windows 安装程序包通常包括两种不同的 安装界面.基本界面用默认值安装软件,最 大界面提示用户输入值. 可以选择用哪种界 面显示安装过程. 如果一个 GPO 不再适用于一个用户,因为 设置在一新的 GPO 上, 或是 GPO 被删除了, 应用程序以及所有相关的文件将从用户的 计算机上自动删除. 图 8-3 上海南洋远程教育系列教材 86 MCSE2000 系列——Windows 2000 活动目录 4,自定义软件分配包的安装过程 当公司规模比较大时, 不同用户安装同一个应用程序可能会有不同的要求, 如安装的组 件不同等. 这时, 在不改变软件安装包的前提下, 可以使用软件更改 (Software Modification) . 创建软件分配目录(Category) ,使用*.mst 对软件包的分配制订不同的配置.*.mst 是一 个记录如何更改软件安装包的安装过程的文件.使用*.mst 文件可以应用一个软件安装包得 到几种不同的安装结果. 例如,当安装一套词典软件时,根据用户的工作性质不同,可以分别选择安装不同的字 库,从而在不占用太多资源的前提下尽可能满足用户的需求.在这个过程中,词典安装包文 件不变,可以通过创建并使用*.mst 文件完成. 注意:*.mst 文件只在分配新的安装包文件过程中可以指定.一旦安装文件包设置完成, *.mst 文件就不能添加或删除了. 图 8-4 实验 2 :设置软件更改(Software Modification) 1, 向组策略中添加一个新的软件安装包. 2, 右击软件安装包,选择属性. 3, 选择更改(Modification)选向卡,添加准备好的*.mst 文件. 5,创建并管理软件类别(Creating Software Categories) 软件类别是在特定情况下可以使用的一种软件分类方法. 软件发布(Software Publishing)的最终结果使用户在添加/删除应用程序(Add/Remove Programs)中可以看到被发布的应用程序.当发布的软件较多时,可以创建几个软件类别, 将软件添加到这些类别中,以便于用户查找. 上海南洋微电子公司版权所有 第八章 使用组策略管理软件分配 87 图 8-5 实验 3 :创建软件类别并分类软件 1, 右击软件安装(Software Installation) ,选择属性. 2, 选择类别(Categories)选向卡,创建软件类别. 3, 右击添加的软件包,选择属性. 4, 选择类别(Categories)选项卡,分配软件包所属的软件类别. 6,将文件扩展名与应用程序关联 Windows2000 在软件发布中记录所发布软件与文件的扩展名之间的关联关系. 但文件的 扩展名所对应的软件可能不是唯一的.如*.doc 文件与 Word97,Word2000,Wordpad 等程序关 联.当用户双击一个*.doc 文档时,需确定具体要安装的应用程序. 在组策略中可以对文件扩展名与应用程序的关联关系进行排序, 优先级高的关联最终有 效. 不同的容器可以实行不同的组策略, 因此不同的用户或者计算机可以使用不同的文件扩 展名与应用程序的关联. 更改了文件扩展名与应用程序的关联关系, 意味着当用户第一次双击特定扩展名的文件 时,计算机自动安装关联的应用程序. 上海南洋远程教育系列教材 88 MCSE2000 系列——Windows 2000 活动目录 图 8-6 8.4 软件分配的维护 软件分配完成后,使用组策略还可以对通过分配安装在客户端的软件进行维护. 软件分配后的维护包括升级(Upgrade)和再分发(Redeployment) . 8.4.1 软件分配后的升级 当应用程序的升级版本推出后, 在企业网络中集中进行旧版本的升级可以节省很多管理 工作.Windows2000 支持通过组策略中的软件分配对软件进行升级. 通过组策略升级软件有两种方式:强制升级和可选择升级. 强制升级在条件满足时自动升级现有旧版本软件.如企业网络中将指派给用户的 Word97 升级为 Word2000,配置相应的组策略后,用户下次登录并使用 Word 时计算机自动 安装 Word2000 软件. 可选择允许用户决定是否升级到新的版本.这意味着,如果用户不选择升级,他仍然可 以使用旧版本的软件. 上海南洋微电子公司版权所有 第八章 使用组策略管理软件分配 89 图 8-7 实验 4:升级分配的软件 1, 在组策略中发布两个版本的应用程序 V1.0 和 V2.0. 2, 右击 V2.0 版本,选择属性,选择升级(Upgrade)选向卡. 3, 在将升级的软件包(Packages that this package will upgrade)中添加 V1.0 版 本软件包. 4, 选择升级类型. 软件分配后的再分发(Redeployment) 8.4.2 有一些软件虽然版本相同,但是由于推出的时间不同,部分文件已经发生了变化.软件 供应商在同一个版本的软件中会提供多种安装包. 使用较新的安装包可以修正当前软件的一 些错误.软件分配后的再分发可以刷新客户端软件. 软件分配后针对发布,指派的软件再分发的过程不同. 当软件是通过指派给用户的方式安装在客户端时, 软件再分发后, 用户下次登录时用户 所在计算机的开始菜单,桌面,注册表会发生相应变化,但直到用户第一次使用到这个应用 软件时,这个软件包才真正重新分配. 当软件是通过指派给计算机的方式安装在客户端时, 软件再分发后, 当计算机重新启动 后,软件自动重新分配. 当软件是通过发布安装在客户端时, 软件再分发后, 用户下次登录时用户所在计算机的 开始菜单,桌面,注册表会发生相应变化,但直到用户第一次使用到这个应用软件时,这个 软件包才真正重新分配. 上海南洋远程教育系列教材 90 MCSE2000 系列——Windows 2000 活动目录 图 8-8 实验 5:配置软件再分发 1, 从软件供应商得到现有软件的更新软件包,替代旧的软件包. 2, 打开原来分配软件的组策略,右击新的软件包. 3, 选择再分配(Redeployment) . 8.5 删除已经分配的软件 通过组策略分配的软件不能从客户端简单地删除, 一方面由于客户端的用户不一定具备 足够的权限.另外,如果组策略不变,客户端软件被删除后,下次用户登录或者计算机重新 启动后软件仍然会安装. 通过组策略删除分配的应用程序非常方便, 只需要在组策略中删除分配的软件包就可以 了. 通过组策略删除软件有两种选择:强制删除(Forced Removed)和可选择删除(Optional Removed). 强制删除(Forced Removed)在计算机下一次重新启动或者用户重新登录后自动进行. 具体删除的时间与软件早期分配的方式相关. 可选择删除(Optional Removed)软件并不真正删除,但也不会再向网络中广播分配信 息,客户端的添加/删除程序(Add/Remove Program)也不再列出原分配的软件.如果用户 在客户端删除了分配的应用程序,则不会再重新安装. 上海南洋微电子公司版权所有。