在局域網中,工作站無休止地進行軟件安裝、升級、維護、刪除操作,這些操作對網絡管理員來說是龐大的工作量,同時,這些操作也可能產生安全問題。無論在企業,學校,或是網吧,網絡管理員都希望有一種軟件分發功能來簡化這些複雜的操作。如果你們的局域網是域環境的話,那麼只需在域控制器上部署RIS服務,就可以使工作站的軟件安裝變得輕鬆自如且安全無憂。下面我就詳細演示從軟件封裝到RIS配置以及軟件分發的詳細過程。
一、軟件封裝
要想使用軟件發佈功能,那麼對軟件是有一定的要求的,對於那些以EXE等格式的文件是無法被髮布的,必須將軟件打包成MSI程序包。在一些軟件中已經自帶了MSI程序包,例如Microsoft Office 2000,我們打開其安裝光盤就可以發現其中有一個DATA.MSI文件。但並不是所有的軟件都帶有MSI程序包,在這種情況下要發佈的話,可以有兩種選擇。要麼是使用其它軟件來製作MSI程序包,要麼編寫.ZAP文件,下面我們將向大家簡單介紹這兩種方法。
1.製作MSI程序包
製作MSI程序包的軟件很多,我以微軟的SWIADMLE.MSI爲例進行說明:
第一步:雙擊打開Windows 2000/2003 Server的安裝光盤,進入“\valueADD\3RDDARTY\MGMT\WINSTLE”目錄,雙擊其中的“SWIADMLE.MSI”文件即可啓動安裝程序,安裝過程不需要我們做任何設置,只需要等待一段時間即可。完裝完畢,我們在“開始”菜單中發現多出了“VERITAS oftware”,這就是我們安裝之後產生的程序組。(圖1)
第二步:運行“VERITAS oftware”中的ERITAS Discover,其首先對系統進行掃描,獲取當前系統的“快照”如圖2,等掃描完畢,然後再安裝要製作MSI格式程序包的軟件,一路按照嚮導生成MSI程序包。(圖2)
2.製作ZAP
ZAP格式的程序包需要我們手工來編寫該文件:
例如我要製作一個Phtoshop的程序包,那麼就得先進入Phtoshop源文件所在文件夾,並新建一TXT文本文件,向其中輸入:
[Application]
FriendlyName = "Phtoshop"
SetupCommand = "setup.exe"
DisplayVersion = CS3
Publisher = Adb
其中SetupCommand = "setup.exe"是表示執行該目錄下的Setup.exe文件,DisplayVersion=CS3是軟件的版本號,而Publisher=Adb則是說明發布公司了。對於其它軟件讀者可以根據實際情況改變裏面的內容。確認內容無誤後,將其命名爲Setup。並在“文件夾選項”中設置取消“隱藏已知文件類型的擴展名”選項,然後將該文件的擴展名改爲ZAP,這樣一個ZAP程序包就製作好了。
二、RIS配置
1.共享文件
在服務器上新建一文件夾,將安裝文件放置在該文件夾內。爲了保證網絡內的其它用戶或計算機能夠讀取文件夾裏的安裝文件,我們需要將文件夾共享出來。在存放有安裝文件的文件夾上右擊,在彈出的菜單中選擇“共享”,選中“共享該文件夾”選項,並設置一下共享名。在默認情況下共享文件夾對“Everyone”組的用戶具有完全控制的權限,這從安全角度來講是極不安全的,因此需要在共享設置選項卡中點擊“權限”按鈕,在彈出的共享權限對話框中取消取限列表中的“完全控制”、“更改”等權限,只保留“讀取”即可(如圖3)。
小提示:不希望賦予每一個用戶讀取權限的話,那麼我們可以在“名稱”中將“Everyone”組選中,然後點擊右側的“刪除”按鈕,然後再點擊“添加”按鈕有針對性的選擇可以訪問的用戶。
2.建立OU
通過活動目錄我們可以對域內所有的計算機或用戶都分發同樣的軟件!這對於一些公共程序來說是非常方便的,但是在實際的應用過程中,我們碰到的情況並不是這樣,往往是將軟件分發給網絡內部分計算機或用戶,這樣我們就不能針對整個域來分發軟件,而應針對某個組織單元來分發。
在管理工具中打開“Active Directory用戶或計算機”,選中相應的域名,然後點擊“操作”按鈕,在彈出的菜單中選擇“新建”菜單中的“組織單元”(如圖4),在打開的“新建對象—組織單元”對話框中輸入組織單元的名稱,並點擊“確定”按鈕,這樣我們就可以在域名下方看到我們新建立組織單元名稱。
但是目前新建立的組織單元中沒有任何對象,如果我們針對該組織單元發佈軟件,當然是不能起到實際作用的。因此我們需要向新建立的組織單元中添加相應的對象。向組織單元中添加對象的方法主要有兩種,一是直接新建,雙擊打開建立的組織單元,然後在右側的空白區域右擊,在彈出的快捷菜單中選擇“新建”,這個時候我們就可以根據自己的需要來選擇新建“計算機”還是“用戶”了。另外一種方法是將已添加的用戶或計算機直接移過來。在“Computers”或“Users”中選中相應的對象,然後右擊,在彈出的菜單中選擇“移動”,在打開的對話框中選擇移動的目的地(如圖5),也就是我們剛剛創建的組織單元。至此我們就完成了軟件發佈應用對象的添加。
三、發佈軟件
至此我們進入真正的軟件發佈階段了。右擊新建立的組織單元,在彈出的對話框中選擇“屬性”菜單,在打開的屬性對話框中切換到“組策略”選項卡,點擊“新建”按鈕,然後在“組策略對象鏈接”列表中輸入建立的GPO名稱(如圖6)。然後將其選中,點擊“編輯”按鈕,打開組策略配置工具,在工具的左側是配置的具體項目,我們發現其分爲計算機配置和用戶配置這兩項,並且在這兩項下面都有軟件配置,那麼我們到底採用哪一個呢?這就要看我們應用的範圍了。如果我們採用計算機配置,那麼將在計算機啓動時執行我們的軟件分發,而不管當前登錄用戶的身份是誰;相反的如果採取用戶配置,那麼不管該用戶在域內哪一臺機器登錄都執行軟件分發,與登錄的計算機無關,這就要看我們軟件發佈應用的對象了。
根據實際的應用選擇其中的一項,然後在“軟件設置”下選擇“軟件安裝”,然後在該項上右擊,在彈出的對話框中選擇“新建”→“程序包”(如圖7),在出現的“打開”文件對話框左側選擇“網上鄰居”,然後從網絡上找到自己存放安裝程序的共享文件夾,打開其中的MSI文件。
小提示:從網上鄰居打開安裝程序包,是爲了保證網絡裏的用戶或計算機都能夠找到共享文件夾,如果直接在“我的電腦”裏打開的話,那麼組織單元的應用對象將同樣在本機的“我的電腦”中查找,而不到存放程序包的文件夾中去運行安裝文件了。因此正確的路徑方式應使用本地計算機的 UNC 路徑,即 \\服務器名\共享名\路徑\文件名.msi。
選中要發佈的軟件之後,即會出現部署對話框,在這裏一共有三個選擇,在通常情況下我們只選擇“指派”或“發佈”中的一個(如圖8)。其中如果選擇“指派”選項,那麼在進行軟件分發時將在“開始”中產生快捷圖標,我們只需要點擊程序即可以自動安裝服務端分發的軟件;而“分發”則不會在“開始”中產生快捷圖標,只是在“控制面板”中的“添加/刪除程序”中產生相應的項目給用戶安裝,並且此項設置只對組織單元中的用戶起作用,如果要將軟件分發於計算機,那麼只有選擇“指派”了。另外這兩個選項有一個共同的特點,那就是支持自動激活安裝,例如管理員分發了“Photoshop”程序,那麼用戶只需要點擊Pho文件就能自動的安裝分發的軟件。
四、軟件安裝
經過上述在DC(域控制器)中的設置後,軟件就會被分發到lw.com域中的所有工作站上了。我們在其中一臺主機登錄域,當用戶登錄域後,只要點擊“添加/刪除程序”窗口中的“添加新程序”按鈕,就會立即在“從網絡添加程序”列表中列出從DC(域控制器)中分發出來的“Adminpak.msi”程序了。點擊“添加”按鈕則可以立即進行程序的安裝。(圖9)
五、技巧補遺
1.修改分發屬性
已經進行的軟件分發還可以修改嗎?當然可以了,右擊組策略中已經發布的軟件,在彈出的對話框中選擇“屬性”,在這裏我們就可以進行具體的調整名稱、部署的類型等設置了。
(1).“常規”選項卡
從圖中我們可以看到用來發布或分配的軟件包的相關信息民,包括產品的版品、發行者等資料,還可以自已定義一個名稱。(如圖10)
(2).“部署”選項卡
在這裏進行的工作就多了,首先讀者可以根據我們上面對“發行”和“指派”的理解,來選擇一個符合自己要求的部署類型;在部署選項中還有三個項目供我們設置,其中默認狀態下已選中“通過擴展名激活自動安裝該應用程序”這個選項的作用我相信讀者應該都明白其作用的,如果選中“當這個應用程序不再處於管理範圍內時,將其卸載”選項,那麼當我們取消指定的組策略設置時,將刪除發佈的應用程序,最後一個選項“不要在添加/刪除程序控制面板中顯示這個程序包”的作用也很明顯,在這裏不再多述(如圖11)。另外在“安裝用介面選項”中有兩個不同的選項供我們選擇,通常情況下建議大家選擇“基本選項”這樣將不需要用戶進行參與。
如果我們要進行其它高級部署的話,那麼可以點擊“部署”選項卡頂部的“高級”按鈕,打開“高級部署選項”,通常情況下我們都要選中“部署這個程序包時忽略語言”選項。
2.升級已發佈的軟件
當我們部署的軟件出現新版本時,我們就可以對組織單元中的對象已經發布的軟件進行升級了。當然在升級之前首先安照前面的方法建好相應的軟件分發包,然後打開原發布軟件的屬性對話框,切換到“升級”選項卡,點擊添加”按鈕,在打開的“添加升級程序包”選項卡中選擇相應的程序包來源,如果選擇“某個特定GPO”選項的話,那麼就需要點擊“瀏覽”按鈕來選擇要必要的組策略對象,然後返回“添加升級程度包”對話框。如果執行的操作是安裝新版本軟件的話,那麼就需選中“卸載現有程序包,然後安裝升級程序包”,相反的如果僅僅是對分發的軟件執行升級的話,那麼就需要選中“程序包可以升級現有程序包”選項了,然後單擊“確定”(如圖12)。如果希望應用到的組織單元內的所有對象都強制升級我們發佈的軟件包的話,那麼在退回到“升級”選項卡時,還需要選中“現有程序包所需的升級”選項,使其強制執行理新。
同樣的道理如果我們要對應用軟件包的修改,那麼我們就可以在其屬性的“修改”選項卡中點擊“添加”按鈕,來選擇轉換文件“*.MST”,相反的如果是刪除軟件包的修改,那就簡單多了,只需要在修改列表中選中相應的文件,然後將其刪除即可。
總結:充分利用域環境通過RIS進行軟件的分發,可以極大地解放管理員。但是具體採用哪種方案要根據不同的環境進行選擇,最合適的纔是最好的。