组策略是Windows Server的一个功能,使用它可以在所有用户计算机上安装软件。它可以在没有手动干预的情况下远程完成。 GPO是小组政策的简短。它在公司中变得如此受欢迎,因为它可能由于组政策技术而使部署清晰简单。 

1.使用组策略软件安装部署Windows MSI或MST包
YouTube GPO部署视频:

本地组策略对象(即通过启动gpedit.msc)无法提供GPSI功能。 Microsoft在本地GPO中没有实现此功能。因此,您需要一个Active Directory安装来开始使用此功能。一旦使用Microsoft组策略管理控制台(GPMC)或AD用户和计算机MMC管理单元创建了GPO,编辑GPO将提出组策略编辑器MMC管理单元。

打开组策略管理控制台

 您可以使用GPSI部署软件,作为每台计算机或每用户部署。每台计算机功能可以在计算机配置\软件设置\软件安装下的GP编辑器中找到(参见下面的图1),而每用户部署功能位于用户配置\软件设置\软件安装。

1.1创建分发点
使用GPSI部署包的最佳方法是使用内置于Windows服务器中的分布式文件系统(DFS)功能。此功能允许您从文件的物理位置摘要文件路径,以便如果需要将应用程序包从一个服务器移动到另一个服务器,则存储在该程序包中的GPO中的文件路径将不需要更改。这尤其重要,因为本机GPSI功能不支持更改包装路径的包,您需要创建一个新的软件包,它对已通过组策略安装了已安装包的客户端。

通过GPO部署MSI的第一步是在发布服务器上创建分发点。这可以通过以下步骤来完成:

  • 以管理员用户身份登录服务器
  • 创建共享网络文件夹(此文件夹将包含MSI包)
  • 设置此文件夹的权限才能允许访问分发包
  • 在共享文件夹中复制MSI

1.2创建组策略对象
通过GPO作为组策略对象将MSI包(分发)部署(分发)。要为您的包创建对象,您可以按照以下步骤操作:

  • 单击“开始”按钮,转到“程序”,选择“管理工具”,然后选择“Active Directory用户和计算机”
  • 右键单击控制台树中的域名,然后选择“属性上下文”菜单
  • 选择组策略选项卡,然后单击“新建”
  • 设置策略的名称(例如MyApplication)
  • 单击“属性”并选择“安全”选项卡
  • 仅对应用策略将应用的小组选中“应用组策略”复选框
  • 单击“确定”按钮

1.3分配MSI包
可以为每台用户或每台计算机分配一个包。此外,如果分配了包,它将自动静默安装。要分配包,您可以按照以下步骤操作:

  • 单击“开始”按钮,转到“程序”,选择“管理工具”,然后选择“Active Directory用户和计算机”
  • 右键单击控制台树中的域名,然后选择“属性上下文”菜单
  • 转到组策略选项卡,选择所需的对象,然后单击“编辑”
  • 通过计算机配置展开软件设置
  • 右键单击“软件安装”,选择“新上下文”菜单,然后单击“包”
  • 在“打开”对话框中,键入要分配的共享包的完整UNC路径
  • 单击“打开”按钮
  • 单击已分配,然后单击“确定”(包将添加到“组策略”窗口的右窗格中)
  • 关闭组策略管理单元,单击“确定”,然后退出Active Directory用户和计算机管理单元
  • 当客户端计算机启动时,将自动安装分配的包

1.4发布MSI包
使用组策略时,可以发布包以允许目标用户使用添加或删除程序安装它。发布包的步骤是:

  • 单击“开始”按钮,转到“程序”,选择“管理工具”,然后选择“Active Directory用户和计算机”
  • 右键单击控制台树中的域名,然后选择“属性上下文”菜单
  • 转到组策略选项卡,选择所需的对象,然后单击“编辑”
  • 在用户配置下展开软件设置
  • 右键单击“软件安装”,选择“新上下文”菜单,然后单击“包”
  • 在“打开”对话框中,键入要发布的共享包的完整UNC路径
  • 单击“打开”按钮
  • 单击“发布”,然后单击“确定”(包将添加到“组策略”窗口的右窗格中)
  • 关闭组策略管理单元,单击“确定”,然后退出Active Directory用户和计算机管理单元
  • 测试包:
  • gpupdate / foce.
    • 登录目标计算机
    • 单击“开始”按钮并转到“控制面板”
    • 双击添加或删除程序小程序,然后选择添加新程序
    • 在网络列表中的添加程序中选择您发布的程序
    • 使用“添加”按钮安装包
    • 单击“确定”,然后单击“关闭”

1.5重新部署MSI包
有时您可能需要重新部署包(例如升级时)。要重新部署包,您可以按照以下步骤操作:

  • 单击“开始”按钮,转到“程序”,选择“管理工具”,然后选择“Active Directory用户和计算机”
  • 右键单击控制台树中的域名,然后选择“属性上下文”菜单
  • 转到组策略选项卡,选择您用于部署包的对象,然后单击“编辑”
  • 展开包含已部署包的软件设置元素(每个用户或每台计算机)
  • 展开包含已部署包的软件安装元素
  • 右键单击组策略窗口的右窗格中的包
  • 选择所有任务菜单,然后单击“重新部署应用程序”
  • 单击“是”按钮以便在安装时重新安装应用程序
  • 关闭组策略管理单元,单击“确定”,然后退出Active Directory用户和计算机管理单元

1.6删除MSI包
组策略还允许您删除过去部署的包。以下是删除包的步骤:

  • 单击“开始”按钮,转到“程序”,选择“管理工具”,然后选择“Active Directory用户和计算机”
  • 右键单击控制台树中的域名,然后选择“属性上下文”菜单
  • 转到组策略选项卡,选择您用于部署包的对象,然后单击“编辑”
  • 展开包含已部署包的软件设置元素(每个用户或每台计算机)
  • 展开包含已部署包的软件安装元素
  • 右键单击组策略窗口的右窗格中的包
  • 选择所有任务菜单,然后单击“删除”
  • 从以下选项中选择:
  • 立即卸载来自用户和计算机的软件
  • 允许用户继续使用软件,但防止新安装
  • 单击“确定”按钮继续
  • 关闭组策略管理单元,单击“确定”,然后退出Active Directory用户和计算机管理单元

2.通过GPO使用启动脚本进行部署软件
如果安装包是.exe而不是.msi,则无法通过正常的“计算机配置\策略\软件设置\软件安装”策略分发。

因此,在“计算机配置\策略\ Windows设置\ Scripts \ Sportup”下使用启动脚本是部署软件的另一个选择。但是,该软件只能安装一次而不是每个启动。要做的流行方式是在文本文件中记录安装结果,然后在启动时读取,然后存在文件,然后不要安装。以下是所有步骤:

YouTube GPO启动脚本部署示例:

2.1为每个脚本创建组织单位(OU)。

2.2为新创建的OU创建组策略对象(GPO)。

2.3添加每台计算机启动脚本

  • 打开组策略管理控制台。
  • 选择计算机配置> Policies > Windows Settings >脚本(启动/关闭)。
  • 在组策略管理控制台的右侧窗格中,选择启动。
  • 在“属性”菜单中,单击“显示文件”,将相应的脚本复制到显示的文件夹,然后关闭窗口。
  • 在“属性”菜单中,单击“添加”,然后使用“浏览”查找并添加新创建的脚本。

2.4使用启动脚本为Windows每台计算机部署软件

  • 移动指定的用户设备以接收此部署到您创建的OU。
  • 重新启动用户设备并以任何用户身份登录。
  • 验证程序和功能(在以前的OS版本中添加或删除程序)包含新安装的包。

2.5删除每台计算机的Windows软件

  • 将指定的用户设备移动到您创建的OU中的删除。
  • 重新启动用户设备并以任何用户身份登录。
  • 验证程序和功能(在以前的OS版本中添加或删除程序)删除了先前已安装的包。

脚本示例:

IF EXIST "c:\vcredist_2010_x86.txt" GOTO END
IF EXIST "c:\vcredist_2010_x64.txt" GOTO END

:32-bit
if exist %SystemRoot%\SysWOW64 goto 64-bit
\\servername\sharename\C++Redist\2010\vcredist_2010_x86.exe /passive /norestart
echo "Installed Microsoft Visual C++ 2010 Redistributable - x86" > "c:\vcredist_2010_x86.txt"
goto END

:64-bit
\\servername\sharename\C++Redist\2010\vcredist_2010_x64.exe /passive /norestart
echo "Installed Microsoft Visual C++ 2010 Redistributable - x64" > "c:\vcredist_2010_x64.txt"

:END
:32-bit
if exist %SystemRoot%\SysWOW64 goto 64-bit
find | reg query "HKLM\SOFTWARE\Microsoft\VisualStudio\10.0\VC\VCRedist\x86"
If not ERRORLEVEL 1 \\servername\sharename\C++Redist\2010\vcredist_2010_x86.exe /passive /norestart
goto END

:64-bit
find | reg query "HKLM\SOFTWARE\Microsoft\VisualStudio\10.0\VC\VCRedist\x64"
If not ERRORLEVEL 1 \\servername\sharename\C++Redist\2010\vcredist_2010_x64.exe /passive /norestart

:END
if exist "c:\dlpagentinstalled.txt" then goto end
if not exist "c:\dlpagentinstalled.txt" goto install

:install

msiexec /i \\win2012dc\share\AgentInstall-x64_15_5.msi /q INSTALLDIR="%PROGRAMFILES%\Manufacturer\Endpoint Agent" ENDPOINTSERVER="10.94.200.36:10443" TOOLS_KEY="63F2FFF0B6BEE4" RANDOM_KEY="B105E5B47CB88272" UNINSTALLPASSWORDKEY="7213061A9CC9AD437CEED9785" SERVICENAME="EDPA" WATCHDOGNAME="WDP" ARPSYSTEMCOMPONENT="1" ENDPOINT_CERTIFICATE="\\win2012dc\share\endpoint_cert.pem" ENDPOINT_PRIVATEKEY="\\win2012dc\share\endpoint_priv.pem" ENDPOINT_PRIVATEKEY_PASSWORD="F4569BBD5AC9DF34D6AB0BFE86365E80F0FA471F932ADD4D78D51AA35CE26038CA73B34DAB4B989C7F652CE441A4F9BBFBDA8" ENDPOINT_TRUSTSTORE="\\win2012dc\share\endpoint_truststore.pem" LOGDETAILS="Yes" /L*v %SystemDrive%\installAgent.log

echo "Installed DLP Agent - x64" > "c:\dlpagentinstalled.txt"


:end 
exit

笔记:
如果您想仅在选定的计算机上部署代理,请按照下面列出的步骤操作,否则代理将部署到所选域或组织单元中的所有计算机。

  • 单击“安全筛选”选项卡中的“添加”。
  • 它打开选择用户,计算机或组对话框。单击对象类型。
  • 检查计算机,然后单击“确定”。
  • 输入计算机名称的前几个字母,单击“检查名称”以添加计算机,然后单击“确定”。

参考:

经过 Jon.

一个想法“使用组策略部署软件包(MSI,MST,EXE)”
  1. [...]使用组策略部署软件包(MSI,MST,EXE) - 3.8.2019·关闭组策略管理单元,单击“确定”,然后退出“Active Directory用户和计算机管理单元”; 2.使用GPO使用启动脚本进行部署软件如果安装包是.exe,而不是.msi,则无法通过正常的“计算机ConfigurationPoliciessoftware Settingsoftware安装”策略分发。 [...]

发表评论