windows server 2003 应用组策略部署和管理软件

q2p80gvobb

什么是windowsinstaller:
windowsinstaller可以完全自动地对软件进行安装和配置；更改和修复已经存在的应用程序安装。windowsinstaller包含：应用程序的安装和卸载信息，.msi文件和包含的源文件，应用程序的摘要信息。

部署分发软件：
软件分发的过程：window安装程序包，一般由软件生产商完成。分发过程：创建一个软件分发点，包括程序包转换和程序文件组成，可以使用分布式文件系统实现；使用组策略对象分发软件(发布和分派两种方式)；通过组策略可以改变软件分发的属性

指派软件和发布软件的区别：
指派软件可以通过组策略将软件指派给用户和计算机，指派软件包可以确保软件对于用户和计算机是可以使用的。通过指派软件对于用户总是可用的。用户可以从任何一台计算机登陆访问他们需要的软件。软件是有弹性的，用户因为某种删除软件后在下次登陆后并激活应用程序时将重新安装软件。由于软件指派由组策略实现，所以在指派软件时可以针对计算机和用户进行设置，二者区别应用程序指派给用户后，用户在下一次登陆到工作站时，应用程序给公布给该用户，应用程序的公布始终跟随该用户，而不管用户使用是哪台物理计算机，应用程序将在以下三中情况下被安装：1.用户第一次在某台机器上登陆时，应用程序显示在菜单中并没有安装，用户激活应用程序时才会被安装。2.通过控制面板安装该应用程序。3.启动与应用程序想关联的文档。针对计算机指派应用程序：将应用程序指派给计算机后，在计算机启动时，应用程序将被公布并且执行安装。

发布软件：只能针对用户设置。当应用程序发布给用户时，用户计算机的桌面或开始菜单中没有可见的快捷方式，用户计算机的本地计算机注册表也不会有改变，相反，发布的应用程序将在活动目录中存储发布的属性，然后诸如应用程序名称和文件关联等信息的就会显示给活动目录容器中的用户，软件发布后可以通过两种方式进行安装：1.控制面板中安装该应用程序，2.文档激活法。用户可以从任何一台计算机登陆方法他们需要的软件。和指派软件一样也是有弹性的，由于某种原因删除软件后用户可以重新安装软件。

如何通过组策略来分发软件：1.建立软件分发点，即一个共享文件夹。比如software。将需要安装的软件复制到该共享文件夹下。2.打开Activedirectory用户和计算机，在需要分发软件的OU上打开组策略编译器，要为用户分发软件，需要在用户配置下设置策略，依次展开用户配置/软件设置/软件安装上右键/新建/软件包，选择我们要安装的软件，路径一定要通过网络选择，不要本地选择，即选择刚刚创建的共享文件夹中的软件（并且通过组策略分发软件，必须使用.msi文件。）选择部署方法，选择“已发布”确定


维护所分发的软件：
软件升级的类型：
Mandatoryupgrade(强制类型):Userscanuseonlytheupgradedversion
Optionalupgrade*(选择性类型):Userscandecidewhentoupgrade
Selectiveupgrade(可选择性类型):Youcanselectspecificusersforanupgrade

怎样升级所分发的软件：打开Activedirectory用户和计算机，在已经设置了分发软件的OU上打开组策略编译器，展开用户配置/软件设置/软件安装/右键/新建/程序包按照分发软件包一样选择软件，在最后“选择部署方法”时注意选择“高级”而不是之前的“已分发”。确定后出来高级设置窗口，选择“部署”标签，部署类型选择“已指派”，再选择“升级”标签，单击“添加”按钮将被升级的软件包添加近来，选择要升级的软件包，在下面选择升级的方法：“卸载现有程序包，安装新的程序包”或者“程序报可以升级现有程序包”。确定后回到“升级”标签，选中“现有程序所需的升级”来进行强制升级。确定。

移除所分发软件的方法：
1.Forcedremoval：强制删除并无法再次安装(softwareisantomaticallydeletedfromacomputeranditisnotadvertised.)
2.Optionalremoval选择性删除,可以继续使用，但是无法再次安装或者升级(Softwareisnotdeletedfromacomputerandnoupgradestothesoftwarecanbeinstalled)
实现：打开Activedirectory用户和计算机，在已经设置了分发软件的OU上打开组策略编译器，依次展开用户配置/软件设置/软件安装右键单击要被删除的软件/所有任务/删除选择“立即从用户和计算机卸载软件”或者“允许用户继续使用软件，但禁止新的安装”。前者强制卸载，后者选择性删除。


限制软件：
软件限制规则：
哈希规则(HashRule):哈希值是可以对软件程序或者文件进行唯一标识的一串定长字符串，按照哈希算法计算出哈希值，为软件程序创建规则后，软件限制策略会求出该软件的哈希值，当用户试图打开软件程序时，系统会将该程序的哈希值与组策略中的哈希值进行对比，如果匹配，则应用该规则，哈希值与软件在计算机上的位置无关，但是如果对软件代码做了任何形式的改变，其哈希值也会改变，因此也不在与软件限制策略策略中已经存在的哈希值相匹，比如为了限制用户运行某些文件，可以创建一些哈希规则，并将安全级别设置为不允许；文件可以被重命名，或被移动到其他位置，但其哈希值不会改变，如果程序有任何更改，将会绕过程序限制规则的限制。
证书规则(CertificateRule)：通过软件的签名证书来实现。可以创建用于标识软件的证书规则，然后根据安全级别的设置决定是否运行该软件。例如：我们可以用证书规则自动托管来自域中可信任源的应用软件，而无需提示用户。还可以用证书规则来运行操作系统的禁止区域中的文件
路径规则(PathRule):可通过程序的路径对其进行标识，如计算机默认安全级别为不允许安装，则仍然可以授权每个用户不受限制运行特定文件夹下的程序，由于这些规则是按照特定路径指定的，因此当软件被移动后，不将再受该规则限制。
Internet区域规则(InternetZoneRule)；区域规则仅仅适用于windowsinstaller安装包，使用区域规则我们可以标识来自IE浏览器所指定的区域的软件。这些区域包括Internet区域，Intranet区域，信任站点，受限站点以及我的电脑。

软件限制策略的创建和通过软件限制规则来限制用户对特定软件的执行：
eg：禁止某个OU下的用户运行window媒体播放器
打开Activedirectory用户和计算机，在需要设置限制策略的OU上打开组策略编译器，依次展开用户配置/windows设置/安全设置/软件限策略右击选择“创建软件限制策略”即创建了一个默认的策略，其安全级别是“不限制任何软件的运行，如果我们要对某些软件进行限制，必须创建规则来进行设置。右击其他规则/新建哈希规则输入需要限制的软件名称，也可以通过浏览找到该执行文件wmplyer.exe，在安全级别下选择”不允许”完成即可。
路径规则和区域规则是类似的，具体参考2k3帮助文件。