AD中的组策略

43
重新布置软件
Step 1 Step 2
软件的补丁 被放在服务 器上
GPO被重新 布置
Step 3Βιβλιοθήκη Baidu
组件及角色
组
件
角
色
“组策略”管理单元的软件安装扩 展 WINDOWS安装程序 控制面板中的“添加/删除程序”
管理员用它来管理软件 在WINDOWS安装程序文件中安装 软件包 用户在自己的计算机用它管理软件
23
任务二 分发软件
任务
准备好Windows Installer package（.msi及源文件） 将软件包放在软件分发点（服务器 的共享文件夹）上 建立一个新的GPO或者找一个合适 的已有的GPO

应用程序分配脚本(aas):包含一些与程序包分配或发布 有关的说明。
28
建立软件分发点
Read 权限
创建一个共享文件夹 在文件夹里建立合适的子文件夹 将分发软件包放入到该共享文件夹
赋予相应用户Read权限以使得他们可以访 问
最好：结合DFS提供冗余和负载平衡
29
知识点三 设置软件分发
分发软件
打开站点/域/OU的组策略，打开计算机配 置/用户配置的软件安装。 在右窗口中右击——新建——程序包——在弹 出的对话框中确定共享文件夹的路径（网络路 径）——选择相应的msi或zap文件。 选择指派或发行（若针对计算机配置只能 实现指派，若针对用户配置的MSI文 件可实现指派和发行）
30
发布（Publishing）软件
添加/删除程序
在控制面板—添加/删除程序里进行 安装
软件分发点
?
文档激活
或者双击相关类型的文件，触发安 装
31
发布---------------只能针对用户
将软件发布给用户
当将一个软件通过组策略的GPO发布给域内的 用户后，该软件不会自动安装到用户的计算机内 ，用户需要通过以下两种方式来安装：


4
组策略对象GPO（Group Policy Object） 组策略是通过“GPO”来设定的。 GPO主要有三种：

5
一、内建的GPO 系统已经有两个内建的GPO，分别是：


Default Domain Policy 此GPO已经被链接到域，因此它的设置会被 应用到整个域内的所有用户与计算机。 Default Domain Controller Policy 此GPO已经被链接到Domain Controller OU,因此它的设定值会被应用到域控制器组织单位内的所 有用户与计算机。
文件类型 Windows 安装程 序包 扩展名 .msi 功能 这些文件通常由软件供应商提供，用以加快 特定应用程序的安装。 也叫作修改，这些文件在分配或发布时自定 义 Windows 安装程序包。 错误修复，Service Pack 以及类似文件可以 用这种形式分发。 这些文件与 .ini 文件类似，都是使用记事 本之类的文本编辑器创建的。 这些文件包含一些与程序包分配或发布有关 的说明。
7

GPT（Group Policy Template） 用来存储GPO的配置值与相关文件，它是一 个文件夹，而且是被建立在域控制的 %systemroot%\SYSVOL\SYSVOL\域名称 \Policies文件夹内.
8
三、组策略应用时机
当修改了站点、域或OU的GPO配置后，这些设置并不是立刻就 会对站点、域或OU内的用户与计算机生效，而是必须等它们被应用到 用户或计算机后才有效。 组策略配置启用时间： 计算机开机时自动启用。 如果计算机不重启，系统仍然会每隔一段时间自动启用：
用户只能运行应用程序（V2.0）
41
布置一个可选升级
用户正在运行应用程序（V1.0）
应用程序（V2.0）被布置为可选 升级
用户可以继续使用V1.0,也可选 择升级到2.0
42
操作方法
1.
2.
在原有的软件包基础上再部署一个升级版 的软件包 右击低版本的软件包——属性——升级— —选择高版本的软件包——添加——选择 GPO——选择升级的程序包——选择升级 类别（可选升级和强制升级）——确定
转换
修补程序 zap 文件 应用程序分配脚 本
21
.mst
.msp .zap
.aas
Windows安装程序 (Windows Installer)
Windows 安装程序服务

Windows 安装程序包

自动处理软件安装和配 置的客户端服务 也可以用来修改已经安 装的软件或程序 安装时即可直接使用 CD-ROM，也可以通过 组策略方式
一、开始-----控制面板------添加删除程序------添加程序
二、利用文件启动
注：双击“未知的文件类型”的文件，系统会自 动安装。
32
指派（Assigning）软件
Assigning在用户配置里
开始—程序里或者桌面上出现相应 的图标，文件关联，触发自动安装 ，也可添加/删除程序来安装
开始
软件分发点


38
任务四 维护布置的软件

升级布置的软件 删除布置的软件 操作：

包—属性—升级 现有程序包必须升级
39
知识点一 软件升级

功能：利用组策略软件包升级可实现软件的 强制升级和可选升级。
40
布置一个强制升级
用户正在运行应用程序（V1.0）
应用程序（V2.0）被布置为强制 升级
包含Windows Installer service在安装或者 uninstall软件时需要的所有信息 组成：.msi文件和所有安装/卸载软件时的 源文件 .msi文件包含了软件和包本身的摘要信息




使用Windows Installer的好处

22
应用上很灵活，自动安装/修复 删除软件时非常干净彻底
13
实现组策略 （Group Policy）
1
本章主要介绍的内容
组策略概论 组策略实例演练 组策略的处理规则 利用组策略部署软件
2
13
任务一、组策略概述
3
组策略的功能


组策略主要提供以下功能：
帐户策略设定案 例如：用户密码长度、密码使用期限、帐户锁定策略。 本地策略 例如：审核设置、用户权限指派、安全性能设置。 脚本(scripts)的设定 例如:登录/注销、启动/关机脚本的设置 用户工作环境的设定 例如：隐藏用户桌面上的图标等。 软件的安装与删除 例如：用户登录或计算机启动时，自动为用户安装软件、 自动修复应用软件或自动删除应用软件。 限制软件的运行 例如：主要用来限制对软件的使用。 文件移动 例如：改变“我的文档”、“开始菜单”等文件夹的存储位置。 计算机配置 例如：当启动计算机时，系统就会根据“计算机”配置的内容 来配置计算机的环境。 用户配置 例如：主要是用来设定用户的工作环境。
26
ZAP安装文件制作
[application] FriendlyName=“软件名称” 显示在添加/删除程序界面 SetupCommand=\\server\share\软件安装命令 DisplayVersion=版本号 [ext] 扩展名= 相关联的文件扩展名
例：
[application] Friendlyname=“winzip” Setupcommand=\\server\share\setup.exe Displayversion=9.0 [ext] Zip= Rar=
二、利用文件启动
注：和发布不同的是，这里不会显示“未知文件 类型”
34
指派-----------------------计算机
系 统 会 自 动 安 装 到 documents and settings \all users文件夹内，所有登录到本机的用户都可以 使用。
注：发布软件可以实现自动修复功能
操作：用管理员登录，删除掉软件，再以普通 用户登录则可以实现自动修复。
35
使用软件修改
英语词典
Microsoft Word 2000 在服务器上只有 单一的应用程序实例 德语词典
36
法语词典

使用软件修改

即利用 .mst文件实现如：WORD多语言版本 的安装 应软件布置过程中，添加/删除.mst(修改) 新建—程序包—高级发行或指派—修改
Assigning在计算机配置里
计算机一启动成功软件就安装，自动完 整安装修复，对DC无效
33
指派--------------------用户
将软件指派给用户
当将一个软件通过组策略的GPO指派给域内的 用户后，该软件不会自动安装到用户的计算机内 ，用户需要通过以下两种方式来安装：
一、开始-----程序-----双击该文件的快捷方式
任务二、组策略特性
10
设置禁止替代
组策略的继承
GPO f
域 不设置阻止 设置阻止 站点组策略策略继承
组织单位 域的组策略 Product
设置阻止 策略继承
组织单位的组策略 下层组织单位的组策略
组织单位 Employees
11
计算机配置
12
用户配置
13
管理用户桌面环境
14
13
任务三、组策略处理规则
27
软件安装中经常遇到的文件类型


转换(mst):也叫做修改，这些文件在分配或发布时自定 义windows安装程序包。 修补程序(msp):错误修复，Service pack以及类似文 件可以用这种形式分发，修补程序不应该用于主要的修 改,其作用限制如下:



不能删除组件或功能 不能更改产品代码 不能删除或更改快捷方式、文件或注册表项 的名称
15
组策略的继承与处理规则
组策略配置具有继承性：

子容器继承父容器的策略配置；也可以通过“阻止策略继承”来阻止继承 子容器策略配置可以覆盖继承下来的配置值 组策略配置具有累加性
组策略处理规则:
当域、站点、“OU”之间的GPO发生冲突时，处理顺序 组策略实施的三个层次：SITE，DOMAIN，OU
•域控制器 默认每隔5分钟自动启用
•非域控制器 默认每隔90∽120分钟自动启用。
•不管策略配置值是否有变动，系统仍然会每隔16小时自动启用一次 手动启用：gpupdate /target:computer(user) /force 注：“软件安装策略”、“文件夹重定向策略”必须计算机重启

9
13
优先级：低 →

高
组策略的处理： 系统先处理“计算机配置”再处理“用户配置” 组策略对象(GPO)：用来存贮组策略配置信息

16
组策略继承
站点
域 域 GPO Domain
OU
低层次从高层次继承 GPO的设置
Payroll Computers Users
17
13
任务四、利用组策略部署软件
18
任务一 组策略及软件安装概述
对GPO进行配置
24
知识点一：软件安装源文件

类别：


MSI文件： 可以针对计算机和用户，可以修复、升级。 ZAP文件： 只能针对用户进行设置，且只可以发布，该 程序的安装是在控制面板中“添加/删除程序” 中进行。可以使用记事本创建。
25
MSI安装文件制作

生成MSI安装文件方法：
建立原始计算机（干净） 安装SWIADMLE.msi文件 打开“WININSTALL Discover“获取 “前”快照 安装应用程序并重新启动 测试 获取“后”快照并比较 根据需要进行自定义设置，可打开 VERITAS Software Consloe/来实现 测试利用的新MSI文件安装的应用程序
6
二、GPO内容
GPO的内容被分为GPC与GPT两部分： GPC组策略容器(Group Policy Container):被存储在Active Directory数据 库内，它记载着此GPO的属性与版本等数据。 查看方法： Active Directory用户和计算机→查看→高级→选择域→展开system容器 →Policies
准备
软件包
分发
安装软件
删除
软件删除
19
维护
软件升级
组策略及软件安装概述

软件管理将实现
域/OU中的计算机/用户 自动安装、升级或删除软件


过程：
预备：Msi、mst、zap文件 布置：设置组策略，启动/登录/激活 维护：升级、重新布置 删除：启动/登录时自动删除

20
组策略及软件安装概述


注意：


操作：

添加：多个.mst 有顺序之分
37
将OFFICE发布出去--------修改

主要用于将一套软件应用到不同部门，并且 每个部门使用的软件不一样的时候。 1.将OFFICE安装文件复制到软件发布点( 如 d:\office) setup.exe /a 2.安装用来制作.mst的工具 ORK------在office 2003 Resource Kit Tools 内。