第八章使用组策略管理软件

第八章 使用组策略管理软件分配

内容摘要

本章将重点讲解如何使用组策略在Windows2000中自动进行软件分配（Software

Deployment）。内容包括：

• Windows2000软件分配的准备 • Windows2000软件分配的配置 • Windows2000软件分配的维护 • Windows2000软件分配后的删除

考点提示

• • •

软件指派和软件发布的区别 软件分发使用的安装包类型 软件分发后的修复

8．1 软件分配（Software Deployment）简介

软件分配能够使管理员在公司内集中安装和维护应用程序。软件分配可以从一个地点安装和管理应用程序、补丁程序和升级程序，并将这些程序分配给特定的计算机或者用户。

使用组策略是实现软件在Windows2000网络中分配的必要条件。 使用组策略分配软件与手工安装应用软件相比有如下优点：

• • • • • •

减少管理负担。使用组策略管理员可以在网络中集中对软件进行分配和管理，而不必为每一台客户端计算机单独手工安装。

增强软件安装控制。可以避免用户在自己的客户端随意安装软件。由于软件分配在服务器端向客户端安装软件，因此可以禁止用户自己安装软件。

软件分配可以指派不同用户，不同计算机安装不同的计算机。可以设置不同的安装时间，如计算机启动或者用户登录时安装。

实现软件自动修复。当通过组策略分配的软件被误删除后，软件分配可以自动修复，并补充被删除的文件。

实现软件自动升级。当软件版本升级后，可以通过设置组策略将升级版分配给客户端，实现软件的自动升级。

方便软件删除。当软件不再需要时，可以通过组策略在整个网络中彻底删除无用软件。

通过软件分配可以实现对软件的安装、维护进行管理。软件分配可以分为四个阶段： 1、 软件分配准备阶段 2、 软件分配的实施阶段 3、 软件分配的维护阶段 4、 软件分配的删除阶段

后面我们将依次对这四个阶段需要注意的内容进行介绍。

8．2 软件分配的准备

8．2．1 软件分配的条件

上海南洋微电子公司版权所有

第八章 使用组策略管理软件分配 81

实现软件分配需要满足如下必要条件：

1、要有Windows安装服务（Windows Installer Service）：Windows安装服务是一个在客户端运行的服务。它执行软件安装、配置和修复过程。

Windows安装服务是软件分配过程中事实上的执行者，当软件通过组策略指派给计算机或者用户去安装的时候，Windows安装服务具体去执行整个安装过程。

除了安装之外，Windows安装服务还可以更改或者修复已安装的应用程序。 注意：由于Windows98，Windows NT不包含Windows安装服务，因此，不能向上述操作系统分配软件。

2、需要有安装软件包（Installer Package）。

Windows2000 软件分配可以使用两种软件安装包，即Windows软件安装包（Windows Installer Packages）和非Windows软件安装包（Non-Windows Installer Packages）。

Windows安装软件包包含安装应用程序的所有必要文件和安装配置文件。Windows安装包一般由软件程序供应商提供，如果软件供应商没有提供此类软件包，可以使用第三方工具创建。但使用第三方工具需要详细了解应用程序源文件、需要更改的Registry值、需要安装的源文件及路径等信息。

通过Windows安装包安装的应用程序在收到损坏时，可以实现应用程序的自我修复功能。例如，某一个应用程序的部分文件被一个用户删除，当用户再次使用时，此应用程序能够自动还原被删除的文件，而不影响用户使用。

注意：应用程序在自我修复过程中，安装源文件必须可以访问。 通过Windows安装包安装的应用程序还可以根据用户的需求选择安装不同的组件。例如，安装词典类软件，可以在查找特定单词时再装入包含这个单词的词库组件，而不必一开始安装太多内容。这种技术也称为即时安装（Just-in-time Installation）。 Windows安装包以*.msi为扩展名，现在已经有很多软件开发商提供此类型的安装文件，可以直接使用。

如果安装文件还不是Windows安装包类型，可以通过第三方软件将安装文件重新打包。Swiadmle.msi是一个Windows2000附带的第三方打包工具，如下图所示，适当填充相关参数并存盘，可以得到重新打包的Windows安装软件包。

上海南洋远程教育系列教材

82 MCSE2000 系列——Windows 2000活动目录

图 8-1

软件分配支持的第二种文件类型是非Windows软件安装包。零管理Windows文件（Zero Administration for Windows Files）是一种最常用的非Windows软件安装包，它是一个文本文件，定义了安装应用程序的建议。

零管理Windows文件以*.zap作为扩展名，它可以在不对非Windows软件安装程序重新打包的情况下对这个程序进行分配。但同时，使用*.zap文件也有一些不利的方面：

• 零管理Windows文件只能够发布（Publish）,不能够指派（Assigning）.

• 零管理Windows文件在应用程序受到损坏的时候不能够自动修复损坏的文件，而只

能完全重新安装。

• 零管理Windows文件几乎不能实现用户不参与情况下的自动安装。也就是说用户在

安装过程中需要做出很多设置。

• 不能够使用Windows 安装服务所具有的安装权限进行安装。这意味着当前用户如果

没有安装应用程序的权限，则使用*.zap文件进行的软件分配不能进行。 3、需要创建软件分配的组策略和软件分配点。

组策略是使应用程序安装包能够在Windows2000网络中自动分配的关键因素之一。当计算机启动或用户登录时，执行相关组策略，访问分配的应用程序安装文件，开始安装过程。

软件分配点是一个位于服务器上的共享目录，在软件分配点上面存存放应用程序的安装软件包，并设置不同的访问权限。允许设置需要安装软件的用户应该对所安装的应用程序拥有Read权限。

8．2．2 软件分配的方式

具备了上面所说的三个条件，软件分配可以根据需要进行配置。在组策略中进行软件分配，有两种方式可以选择：软件发布（Software Publishing）和软件指派(Software Assigning)。

•

软件发布

软件发布只能针对用户进行。不能对计算机发布软件。 软件发布不会自动为用户安装应用程序。当发布成功后，只要用户打开添加/删除应用程序（Add/Remove Programs）界面，就可以看到发布的应用程序选项。

用户安装发布的应用程序最简单的方法是在自己的计算机上通过控制面板中的添加/删除应用程序进行安装。

用户安装发布的应用程序另一种方法是使用关联文档激活安装过程。当一个应用程序发布成功后，这个应用程序将在活动目录中进行登记。活动目录中会记录下与这个应用程序关联的文档的扩展名。当一个用户点击一个未知类型的文件后，计算机向活动目录查询是否有与这个类型关联的被发布的应用程序。如果有，计算机将自动安装这个应用程序用来打开这个文件。

•

软件指派

软件指派既可以针对用户进行，又可以针对计算机进行。

针对用户配置软件指派可以在用户需要的时候安装应用程序。一个应用程序指派给用户，当用户登录后，应用程序图标会出现在计算机的桌面和用户的开始菜单中。但此时应用程序并没有真正安装。直到用户使用这个应用程序时，如用户第一次双击这个应用程序图标或者双击与这个应用程序的关联文档时，这个应用程序才真正开始安装。应用程序指派给用户可以减少用户安装程序的时间，并节省不必要的磁盘空间浪费。

应用程序指派给用户后，无论用户在网络中任何一台登录，应用程序指派的结果是相同的。

上海南洋微电子公司版权所有

第八章 使用组策略管理软件分配 83

针对计算机配置软件指派与指派给用户不同。应用程序指派完成后在计算机下次启动时，应用程序自动安装在被指派的计算机上。

应用程序指派给计算机后，无论任何用户在这台计算机上登录，都可以启动安装过程（第一次启动计算机有效），并访问经指派并已经安装的应用程序。

总起来讲，软件发布（Software Publishing）和软件指派（Software Assigning）之间，针对用户的软件指派（Software Assigning）和针对计算机的软件指派（Software Assigning）之间各自有不同的特点，根据需要选择合适的软件分配方法可依得到满意得结果。 下表列出了上述三种不同的软件分配方法之间的比较。 分配类型 优点 指派（给用户） 用户需要时总能够访问到指

派的应用程序。应用程序的安装不需要人的参与 指派（给计算机）

缺点

即使用户从来没有使用指派的应用程序。被指派的应用程序仍然会出现在用户的开始菜单上。

应用程序在计算机启动时自在组策略中配置好软件发布动安装 后，必须重启动所有的计算机软件发布才有效。

应用程序安装之前，应用程序用户必须自己安装应用程序。图标不会出现在开始菜单中。安装过程不是自动的。

发布

8．3 软件分配的配置

在Windows2000活动目录体系中，具备了软件分配的必要条件，可以在组策略中对软件分配进行具体设置了。

1、建立软件分配点

软件分配设置的第一步是要建立一个软件分配点。软件分配点是一个共享目录，这个共享目录中包含软件分配过程中所有必要的源文件。为了保证安全性，应该在这个共享目录中设置合适的安全权限，使只有必要的用户和计算机能够访问这个目录中的文件。

与软件分配（Software Deployment）有关的源文件有如下几个类型： 文件类型 扩展名 说明

.msi Windows 安装程序包 这些文件通常由软件供应商提供，用以加快特定应用程

序的安装。在软件分发点中必须把这些文件和任何其他必需文件共同保存为要管理的软件。

转换程序包 也叫作修改，这些文件在分配或发布时对Windows 安

.mst 装程序包进行自定义。例如，它们可能会指定安装过程

仅仅安装完整程序包的一部分。

修补程序 错误修复，Service Pack 以及类似文件可以用这种形式

分发。

修补程序不应该用于主要的修改，其作用如下：

.msp

• • •

不能删除组件或功能 不能更改产品代码

.zap 文件 .zap

不能删除或更改快捷方式、文件或注册表项的名称

这些文件与 .ini 文件类似，都是使用记事本之类的文本编辑器创建的。它们只能发布（不能分配），并且它

上海南洋远程教育系列教材

84 MCSE2000 系列——Windows 2000活动目录

.aas 应用程序分配脚本

2、使用组策略分配软件 使用组策略分配软件首先确定软件分配的范围，在站点、域还是组织单元内分配。在哪一个范围内分配应用程序就在哪一层容器中创建组策略。 在组策略的计算机设置（Computer Configuration）和用户设置(User Configuration)中，存在软件安装子容器，在此子容器中可以添加准备分配的应用程序。计算机设置（Computer Configuration）中设置分配给计算机的应用程序，用户设置(User Configuration)中设置分配给用户的应用程序。

为用户指定了一个可执行的安装程序（例如\\\\server\\share\\Excel\\Setup.exe），该程序在控制面板中的“添加/删除程序”中能够看到。用户在本地计算机上具有管理权限。

这些文件包含一些与程序包分配或发布有关的说明。

图 8-2

实验1：在域中分配应用程序test1.msi 1、 针对域创建组策略Default Domain Controller Policy。 2、 在计算机设置（Computer Configuration）＼软件设置（Software Settings）＼软

件安装（Software Installation）中添加准备分配的软件包test1.msi。根据向导提示完成后续步骤。 3、 或者在用户设置（User Configuration）＼软件设置（Software Settings）＼软件

安装（Software Installation）中添加准备分配的软件包test1.msi。根据向导提示选择是发布（Publishing）还是指派(Assigning)，完成后续步骤。 3、设置软件分配默认属性

通过设置软件分配属性可以确定软件分配的方式，更改软件安装包的位置，安装过程的用户界面等。设置好软件分配的默认属性，此后添加新的软件安装包，除非特别指定，都按照默认属性的设置进行分配。 选项 说明 Default package location（默认包位置） 包含.msi包文件的软件分布点位置。可以指

上海南洋微电子公司版权所有

第八章 使用组策略管理软件分配 85

定任何包含软件包的位置，但确保分布点不在本地驱动器上。

New packages When adding new packages to “Display the Deploy Dialog boxes”（显示布user settings（给用户设置添加新包时的新置对话框）选项显示了添加到GPO的每个包） 包文件的一个对话框。这个对话框提示读者

发布或分配新的包文件。

“Publish”（发布）选项自动发布一个”User Configuration”下不出现。如果读者打算给需要进行发布的GPO添加多个应用程序，使用此选项。用”Assign”（分配）选项自动分配一个默认的新包文件。如果读者打算给需要进行分配的GPO添加多个应用程序，使用此选项。

用”Advanced published or assigned”（高级发布或分派）选项进行更好的控制。例如：使用变换。

Installation user interface options（安装用户Windows安装程序包通常包括两种不同的界面选项） 安装界面。基本界面用默认值安装软件，最

大界面提示用户输入值。可以选择用哪种界面显示安装过程。 Uninstall the application when they fall out of 如果一个GPO不再适用于一个用户，因为the scope of management（卸载不在管理范围设置在一新的GPO上，或是GPO被删除了，内的应用程序） 应用程序以及所有相关的文件将从用户的计算机上自动删除。

图 8-3

上海南洋远程教育系列教材

86 MCSE2000 系列——Windows 2000活动目录

4、自定义软件分配包的安装过程 当公司规模比较大时，不同用户安装同一个应用程序可能会有不同的要求，如安装的组件不同等。这时，在不改变软件安装包的前提下，可以使用软件更改（Software Modification）。

创建软件分配目录（Category），使用*.mst对软件包的分配制订不同的配置。*.mst是一个记录如何更改软件安装包的安装过程的文件。使用*.mst文件可以应用一个软件安装包得到几种不同的安装结果。

例如，当安装一套词典软件时，根据用户的工作性质不同，可以分别选择安装不同的字库，从而在不占用太多资源的前提下尽可能满足用户的需求。在这个过程中，词典安装包文件不变，可以通过创建并使用*.mst文件完成。

注意：*.mst文件只在分配新的安装包文件过程中可以指定。一旦安装文件包设置完成，*.mst文件就不能添加或删除了。

图 8-4

实验2 ：设置软件更改（Software Modification） 1、 向组策略中添加一个新的软件安装包。 2、 右击软件安装包，选择属性。

3、 选择更改（Modification）选向卡，添加准备好的*.mst文件。

5、创建并管理软件类别（Creating Software Categories） 软件类别是在特定情况下可以使用的一种软件分类方法。

软件发布（Software Publishing）的最终结果使用户在添加/删除应用程序（Add/Remove Programs）中可以看到被发布的应用程序。当发布的软件较多时，可以创建几个软件类别，将软件添加到这些类别中，以便于用户查找。

上海南洋微电子公司版权所有

第八章 使用组策略管理软件分配 87

图 8-5 实验3 ：创建软件类别并分类软件 1、 右击软件安装（Software Installation），选择属性。 2、 选择类别（Categories）选向卡，创建软件类别。 3、 右击添加的软件包，选择属性。 4、 选择类别（Categories）选项卡，分配软件包所属的软件类别。

6、将文件扩展名与应用程序关联

Windows2000在软件发布中记录所发布软件与文件的扩展名之间的关联关系。但文件的扩展名所对应的软件可能不是唯一的。如*.doc文件与Word97,Word2000,Wordpad等程序关联。当用户双击一个*.doc文档时，需确定具体要安装的应用程序。

在组策略中可以对文件扩展名与应用程序的关联关系进行排序，优先级高的关联最终有效。不同的容器可以实行不同的组策略，因此不同的用户或者计算机可以使用不同的文件扩展名与应用程序的关联。

更改了文件扩展名与应用程序的关联关系，意味着当用户第一次双击特定扩展名的文件时，计算机自动安装关联的应用程序。

上海南洋远程教育系列教材

88 MCSE2000 系列——Windows 2000活动目录

图 8-6

8．4 软件分配的维护

软件分配完成后，使用组策略还可以对通过分配安装在客户端的软件进行维护。 软件分配后的维护包括升级（Upgrade）和再分发（Redeployment）。 8．4．1 软件分配后的升级

当应用程序的升级版本推出后，在企业网络中集中进行旧版本的升级可以节省很多管理工作。Windows2000支持通过组策略中的软件分配对软件进行升级。

通过组策略升级软件有两种方式：强制升级和可选择升级。

强制升级在条件满足时自动升级现有旧版本软件。如企业网络中将指派给用户的Word97升级为Word2000，配置相应的组策略后，用户下次登录并使用Word时计算机自动安装Word2000软件。

可选择允许用户决定是否升级到新的版本。这意味着，如果用户不选择升级，他仍然可以使用旧版本的软件。

上海南洋微电子公司版权所有

第八章 使用组策略管理软件分配

图 8-7 实验4：升级分配的软件 1、 在组策略中发布两个版本的应用程序V1.0和V2.0。 2、 右击V2.0版本，选择属性，选择升级（Upgrade）选向卡。 3、 在将升级的软件包（Packages that this package will upgrade）中添加V1.0版

本软件包。 4、 选择升级类型。

8．4．2 软件分配后的再分发(Redeployment)

有一些软件虽然版本相同，但是由于推出的时间不同，部分文件已经发生了变化。软件供应商在同一个版本的软件中会提供多种安装包。使用较新的安装包可以修正当前软件的一些错误。软件分配后的再分发可以刷新客户端软件。 软件分配后针对发布、指派的软件再分发的过程不同。 当软件是通过指派给用户的方式安装在客户端时，软件再分发后，用户下次登录时用户所在计算机的开始菜单、桌面、注册表会发生相应变化，但直到用户第一次使用到这个应用软件时，这个软件包才真正重新分配。 当软件是通过指派给计算机的方式安装在客户端时，软件再分发后，当计算机重新启动后，软件自动重新分配。 当软件是通过发布安装在客户端时，软件再分发后，用户下次登录时用户所在计算机的开始菜单、桌面、注册表会发生相应变化，但直到用户第一次使用到这个应用软件时，这个软件包才真正重新分配。

上海南洋远程教育系列教材

90 MCSE2000 系列——Windows 2000活动目录

图 8-8

实验5：配置软件再分发 1、 从软件供应商得到现有软件的更新软件包，替代旧的软件包。 2、 打开原来分配软件的组策略，右击新的软件包。 3、 选择再分配（Redeployment）。

8．5 删除已经分配的软件

通过组策略分配的软件不能从客户端简单地删除，一方面由于客户端的用户不一定具备足够的权限。另外，如果组策略不变，客户端软件被删除后，下次用户登录或者计算机重新启动后软件仍然会安装。 通过组策略删除分配的应用程序非常方便，只需要在组策略中删除分配的软件包就可以了。 通过组策略删除软件有两种选择：强制删除（Forced Removed）和可选择删除(Optional Removed)。 强制删除（Forced Removed）在计算机下一次重新启动或者用户重新登录后自动进行。具体删除的时间与软件早期分配的方式相关。

可选择删除（Optional Removed）软件并不真正删除，但也不会再向网络中广播分配信息，客户端的添加/删除程序（Add/Remove Program）也不再列出原分配的软件。如果用户在客户端删除了分配的应用程序，则不会再重新安装。

上海南洋微电子公司版权所有