在需要給大量客戶端部署軟件時,使用組策略的軟件分發功能還是很有效率的。比如前面文章中談到的部署limitlogin工具,需要在客戶端安裝電腦上安裝軟件的客戶端,如果手動安裝需要耗費很多時間,效率也很低。如果使用組策略則可以一步到位,一次性全部部署,而且不會影響到用戶的日常工作。下面我們就來詳細介紹一下使用組策略進行軟件分發的過程:
Windows主要有兩種安裝程序包,一種是擴展名爲.exe的安裝程序;另一種是擴展名爲.msi的安裝程序。對於.msi的安裝程序,組策略可以直接發佈。對於.exe的安裝程序,則需要轉換爲.msi安裝程序或創建一個與其對應的擴展名爲.zap的文本文件。注意:.zap包只能發佈,不能指派;而.msi程序即可以發佈,也可以指派。發佈和指派的區別如下:
1) 發佈的軟件,只能通過“添加/刪除程序”中的“添加新程序”中添加,不能自動安裝在用戶的計算機中。
2) 指派的軟件,在用戶登錄的時候,系統會自動安裝,不需要用戶添加。不過,指派的軟件也可以在“添加/刪除程序”中添加和刪除。
3) 發佈的軟件,用戶可以根據需要添加或刪除,而指派的軟件,如果用戶刪除,當用戶下次登錄時,系統還是會自動安裝。
要分發軟件,首先需要在服務器上建一個共享文件夾,用於存放需要分發的軟件,如下圖:
下面我們來看看軟件分發的步驟:
1. 發佈MSI格式的軟件
1) 首先在需要分發軟件的OU上建一個策略,如下圖:
2) 在“組策略編輯器”窗口,選擇“User Configuration—Software Settings—Software installation”,在右面板上,點右鍵,選擇New—Package,如下圖:
3)在“Open”對話框中,輸入軟件所在的位置,注意:這裏的路徑必須使用\\server\folder\setup.msi的方式,不能使用C:\path\setup.msi的方式,否則,安裝的時候會找不到路徑。
4) 在選擇好需要部署的軟件後,會彈出“Deploy Software(部署軟件)”對話框,在這裏可以選擇Published(發佈)、Assigned(指派)、Advanced(高級),大家可以根據自己的需求進行選擇。在這裏我們選擇advanced,如下圖:
5) 在點擊OK後,將彈出軟件屬性對話框,如下圖:可以看到軟件的名稱、版本、URL地址等。
6) 點擊“Deployment(部署)”標籤,我們可以選擇Published(發佈)或Assigned(指派),這裏我們選擇Assigned,如果勾選“Install this application at logon(在登錄時安裝此應用程序)”,那麼在用戶登錄時,系統會自動安裝此應用程序。如下圖:
7) 點OK,完成該軟件的指派。
2. 發佈EXE安裝程序
1) 製作zap包
以[Application]爲文件頭,Friendlyname爲安裝程序名稱,SetupCommand爲安裝程序名稱,Displayversion爲應用程序版本,Publisher爲說明信息。如下圖,是應用程序7-zip的.zap包。
2)在“組策略編輯器”窗口,選擇“User Configuration—Software Settings—Software installation”,在右面板上,點右鍵,選擇New—Package,如下圖:
3)在“Open”對話框中,輸入軟件所在的位置,如下圖:
4)在選擇好需要部署的軟件後,會彈出“Deploy Software(部署軟件)”對話框,在這裏可以選擇Published(發佈)、Assigned(指派)、Advanced(高級),大家可以根據自己的需求進行選擇。在這裏我們選擇advanced,如下圖:
5)在點擊OK後,將彈出軟件屬性對話框,如下圖:可以看到軟件的名稱、版本等信息。
6)點擊“Deployment(部署)”標籤,這裏只能選擇Published(發佈),而且無法勾選“Install this application at logon(在登錄時安裝此應用程序)”,所以發佈的程序只能在“添加/刪除程序”中的“添加新程序”中添加。
7) 點OK完成應用程序的發佈。
8) 我們也可以使用一些工具將.exe文件轉換爲.msi,比如:Advanced Installer、WinINSTALL等。這些軟件的使用都比較簡單,這裏就不再說明。應用程序做成.msi後,就按.msi的發佈步驟發佈就可以了。
3. 用戶權限的設置
用戶在安裝軟件時需要“本機管理員”權限,但是默認的域用戶是不具備本地管理員權限的,而且我們也不可能將所有人都設置爲本地管理員。所以我們需要爲用戶設置權限,這樣用戶才能安裝使用組策略分發的軟件。
1) 將需要安裝組策略分發軟件的計算機移動到一個OU,然後在這個OU上建組策略,如下圖:
2)選擇“Computer Configuration—Windows Installer”,雙擊右面板上的“Always install with elevated privileges(永遠以高特權安裝)”,如下圖:
3)在彈出的對話框中,勾選“Enabled(已啓用)”,然後點OK,如下圖:
4)選擇“Computer Configuration—Windows Settings—Security Settings—Registry”,在右面板上,點右鍵,選擇Add Key,如下圖:
5)在彈出的“Select Registry Key”對話框中,選擇“CLASSES_ROOT”,然後點OK,如下圖:
6)在彈出的安全設置對話框中,添加“Domain Users”,並設置權限爲完全控制,如下面圖:
7)在彈出的“Add Object(添加對象)”對話框中,選擇“Configure this key then(配置這個項,然後”,再選擇“Replace existing permissions on all subkeys with inheritable permissions(替換所有帶繼承權限的子文件夾和文件上的現存權限)”,然後點OK,如下圖:
按上述步驟,添加另外兩項MACHINE和USERS,並且允許Domain Users完全控制。
8)選擇“Computer Configuration—Windows Settings—Security Settings—File System”,在右面板上,點右鍵,選擇Add File,如下圖:
9) 在彈出的“Add a file or folder(添加文件或文件夾)”對話框中,選擇C:\Program File,然後點OK,如下圖:
10)在彈出的安全設置對話框中,添加“Domain Users”,並設置權限爲完全控制,如下面圖:
11)在彈出的“Add Object(添加對象)”對話框中,選擇“Configure this key then(配置這個項,然後”,再選擇“Replace existing permissions on all subkeys with inheritable permissions(替換所有帶繼承權限的子文件夾和文件上的現存權限)”,然後點OK,如下圖:
12)以同樣的方式,添加windows文件夾。
這樣,屬於Domain Users組的用戶都擁有軟件的安裝權限了。
軟件分發設置至此完成,雖然步驟有點多,不過設置好了,以後執行起來還是很方便。