【51CTO独家特稿】关于微软的组策略如何使用51CTO在之前就向大家做了相关介绍(使用微软组策略轻松完成批量部署应用程序)。下面是一个资深的系统管理员关于使用组策略的一些心得。
还常想上大一的时候,讲到安装软件就两个文件名熟记于心:Setup.exe和Install.exe ,而后来学了一些开发知识后才知道这些文件对于程序员来说这些程序叫“老式非标准程序”。而标准的微软安装程序所有的组件都是相互独立的,我们可以选择在不安装或者只安装其中的一部分,这种程序称作Windows Installer,又称微软软件安装包(Microsoft Software Installer,MSI)。
后来做系统管理员的一段时间内,我发现Windows组策略中有我们可以对很多文件名后缀名的应用程序进行部署与管理呢,这包括了:MSI (微软软件安装包);MSP(微软软件补丁文件;MST(微软软件转化文件),并可以修改一些MSI的个性化配置,制定AAS 安装脚本,以及利用ZAP文件针对“老式非标准程序(EXE)”安装文件扩展在组策略重的应用。
组策略部署软件中的迷茫
在基于活动目录的组策略部署软件的时候我们只有针对用户或者计算机两种方式,这个都大家一定都很清楚。但在以前学习的时候总有两个概念叫人混淆,它们是“发布”与“指派”。而一些技术书籍的解释是够让人眩晕的,我觉得用大白话来就是:发布=好商量,爱装不装;指派=听我的,不装也得装。
按道理来说,如果使用“发布”,是比较人性化的它可以通过“添加/删除程序”中体现出来,通过自由的方式对特定用户进行管理。另外通过这种方式也是非常自动的,比如销售部门的一个用户有份PDF的文档,而他没有安装“Adobe Acrobat Reader”,当他双击的时候系统会自动为他安装这个阅读器。虽然这个功能非常的好用,但是大多数的管理员如果这样做是被挨骂的,因为网络中的用户等不了安装软件的时间。而“指派”指派是比“发布”更具有强制性的部署方式。当软件指派给用户时,下一次当用户以任何域中的计算机登录时,都会在“开始→所有程序”或者桌面上看到该软件的快捷方式,同时计算机的注册表里面也会记录该软件的关联文件和函数库,而我们管这种针对用户的指派叫做软件“通告”。指派给计算机则是更加强硬的技术手段,计算机在重新启动后,自动下载并安装,并且所有的用户都可以执行,不受到权限的限制。我总结了一个软件部署功能对照表,希望对学弟们会有所帮助:
免输入应用程序的序列号
以Office MSI为例子,看似是一个单纯的MSI包,但它实际上是由多个既独立又有联系的组件工具集组合而成。布置好活动目录与组织单元后,将这些准备安装软件的客户端移动到要软件分发的OU中。然后再服务器端设置一个共享文件夹用以保存发布Office文件的位置。共享的安全权限为管理员组“完全控制”,可验证用户组读取的权限。
这个时候,我们不是在客户端上,而是在服务器上采用管理员身份的安装提取。在服务器上运行setup /a 这个命令,加上 /a参数主要的目的就是省去客户端在安装Office时输入序列号的马乏。Office安装向导的使用还是非常简单,最重要的就是当询问存放位置的时候,一定要存放到服务器的网络位置。安装过程完毕,这不会对服务器造成任何的影响,其实说白了就是一个文件提取和重新封包的过程。
自定义安装向导的使用
我们经常会遇到为不同的部门,不同的用户组需要安装不同的Office组件的情况。例如:财务室的同事要安装Access;而对于“行政助理组”并不需要Access或是PowerPoint;并且不同的用户将会需要不同的安全设置;还有那令人感到麻烦的Outlook的配置。介于以上几点考虑,管理员们有时候就感觉比较麻烦,所以只采用选中全部组件的方法部署。其实微软早就为我们考虑到这一点了。
微软发布了自定义安装向导(Custom Installation Wizard 即CIW),自定义安装向导允许你为Office创建Windows安装转换文件(即MST文件)。这些文件配合原来的MSI安装包一同运行,所以我们就不需要对客户端逐一修改。它之所以被称为转换文件是因为它把原始MSI“转化”为你所需要的安装包。Office提供了自定义部署支持的方法,用于修改直接 Office MSI 或相关联的 MSP 和 MST 文件。
要获得 Microsoft Office 2003 资源工具包,请访问下面的 Microsoft 网站:
http://www.microsoft.com/office/ork/2003/default.htm
要获取 2007 Microsoft Office 资源工具包,请访问下面的 Microsoft 网站:
http://technet.microsoft.com/en-us/library/cc303401.aspx
以Office 2003的自定义安装向导为例,双击Ork.exe运行安装程序,安装过程非常简单非常类似office的安装。安全结束后找到启动程序就比较麻烦了:“开始\程序\Microsoft Office\Microsoft Office Tools\Microsoft Office 2003 Resource Kit\Custom Installation Wizard”。在运行后需要设置你要进行转换的MSI文件的位置。如果下文中没有特别的说明各位选择路径的时候都要用UNC方式(如图1所示)的网络路径,选择刚才以管理员方式制作好的MSI文件。
图1 需要自定义的MSI位置
在“Open the MST File”配置中我们可以选定生成新的MST文件还是更改文件,这里我们当然选择“Create a new MST file”,继续下一步。 “Select the MST File to Save”(让我们保存MST文件位置)十分重要,这里和前面说过的一样,一定要用网络位置保存,同时给MST起一个和用途相关名称。(如图2保存MST文件位置)
图2保存MST文件位置
一路下来,让我们关注一下右上角的“下拉页号”,它可以随时跳转当前的配置环节。当我们运行到指定Office的安装位置时,由于我这里只是实验可以选择默认位置,在真正的部署中没有哪个管理员会把Office安装到 C 盘,至少我是不会这样做的。***一步时会让我们选择不同的Office组件,我们可以针对特殊的部门选择他们需要的组件了。
这里还举两个有趣的范例,我们的单位或者公司都会有自己制作的文档模版,而每次更新或者变更都要通知到每个用户。从左侧控制项目中选择“Microsoft Office 2003 (user)——〉Shared Paths”,右侧选择“Workgroup templates path”,双击后我们写入共享模版的路径:\\Msiserver\templates(如图3所示)
图3 网络模版定义
图4中可让我们选择改变现有Outlook profile,在基于微软平台下网络环境部署的时候经常会利用道Exchange部署我们的邮件系统或者开发内部办公的工作流。而让每个用户自己配制outlook成为支持企业内部的配置文件确实是一件非常麻烦的事。我们在这里可以提前为企业部署exchange作好客户端的准备。(参见定义Outlook配置文件)
图4 定义Outlook配置文件
单击下一步后,(如图:Exchange 设置)加入Exchange的DNS解析的地址或者输入IP地址。
图5 Exchange 设置
后面还有一些调整参数的配置向导,单击完成后,向导会提示我们如果不是用这个转换文件的操作,到这里我们自定义向导也就完成了,有兴趣的朋友可以下载下来测试一下。
ZAP文件的部署
还记得有一次,我把CRM软件的使用手册做成了PDF文档下发到同时的手里,本来很简单的事搞得非常复杂。每个客户端都要安装Adobe Acrobat Reader ,当时也没有学会利用组策略。简直搞得昏天黑地。
其实这个工作很简单就可以实现,还记得本文开始时候提到的ZAP文件吗?ZAP 文件其实就是一种简单的文本文件,就像txt文件一样,微软早在Windows 2000的时候就已经可以使用Windows Installer功能识别出来。
不过要提示各位的是,ZAP 文件不能被指派、升级和重新部署。不过你可以发布任何形式的安装文件,灵活性是***的方法。我们需要使用“记事本”自己编写,下面给出一个范例,注意保存的时候扩展名为 ZAP 其它的软件部署的写法都可以借鉴参考用。
- [Application]
- FriendlyName = "SYMANTEC NORTON 客户端"
- SetupCommand = " setup.exe"
- DisplayVersion = "10.0"
- Publisher = SYMANTEC
上面的内容语法很简单,没有必要给各位说明了,不过有一点要注意,就是在配置好分发策略后,不要移动ZAP文件的位置,如果有变化必须要将包含程序安全文件的整个文件夹移动。
【51CTO独家特稿,合作站点转载请注明原文译者和出处。】
【编辑推荐】
