⑴ 怎样使用组策略部署软件的操作步骤
在WIN2000以上,除了用户工作环境与计算机环境的设置外,组策略还提供了很强大的功能。列举组策略中的部分功能。
A、帐户策略的设置
B、本地策略的设置
C、脚本设置
D、用户工作环境的设置
E、软件的安装与删除。
F、文件夹的重定向。
□组策略概述
组策略可以针对站点、域和组织单位设置组策略。这些组策略存储在x:\WINNT\SYSVOL\sysvol\abc.com\Policies目录下。
组策略分“计算机配置”与“用户配置”两部分。
A、计算机配置:当计算机启动时,就会根据“计算机配置”的内容来设置计算机的环境。
B、用户配置:当用户登录时,就会根据“用户配置”的内容来设置用户的工作环境
注:本地组策略:存储在X:\WINNT\system32\GroupPolicy目录内。
一、组策略的应用顺序与规则:
不同组策略的应用顺序与规则:
1、本地组策略:
2、站点组策略:
3、域组策略:
4、组织单位的组策略:
默认,后应用的策略将覆盖以前的应用的策略。具体说明如下:
1、如果在高层容器内建立了一个组策略,但是并未在低层容器建立组策略,则低层容器会继承在高层容器内所建立的组策略。
2、如果另外在低层容器内建立了组策略,则低的组策略则要取代高层的组策略。
3、如果父容器未被设置组策略,则低层组策略则不会继承父层组策略。
4、如果父容器设置组策略,但是子容器内的组策略并未为设置。则会继承父组策略
二、阻止策略的继承
可以在子容器组策略内,通过“阻止策略继承”复选框来设置不要继承由父容器传递的组策略设置,也就是直接以子容顺的组策略为其设置。
三、强迫继承策略。
可以在父容器的组策略内,通过:“禁止替代”复选框来强迫子容器必须继承由父容器传送的组策略设置。
□组策略的对象
设置组策略设置的途径:
根据不同的计算机,可以在以下几位置的。“域安全策略”或“活动目录用户和计算机”“域控制安全策略”、“本地安全策略”。(均在“管理工具”内)。
以下利用“活动目录用户和计算机”来设置组策略。
开始——程序——管理工具——活动目录用户和计算机——选中“domain controllers”单击鼠标右键——属性——组策略(GPO)
一、更改组策略
让DOMAIN USERS组内的所有成员都具备“本地登录”的权限。设置步骤:
1、开始——程序——管理工具——活动目录用户和计算机——选中“DOMAIN CONTROLLERS”单击鼠标右键——属性——组策略。
2、请选定“default domain controllers policy”,然后单击“编辑”。
3、出现“组策略”窗口——计算机配置——WIN设置——安全设置——本地策略——用户权利指派——双击右则的“在本地登录”。
4、出现“安全策略设置”对话框——单击增加——将DOMAIN USERS增加到组内。
二、测试“在本地登录”设置是否正常。
由于改建立的组策略不能马上生效,必须利用以下三种之一来达到目的。
1、在“在命令提示符”下。输入secedit refreshpolicy machine_policy。让计算机配置生效,或是用户配置文件:则将machine_policy改为user_policy.即可。
2、将此计算机重启。
3、等待此策略应用到计算机内。
三、新建一个用户,测试一下,能否在本地登录。
□管理模板策略的设置
通过以下范例来设置管理模策略
1、 隐藏用户桌面的“网上邻居”图标。
2、将“开始”菜单中的“运行”“帮助”等命令删除。
3、 在“开始”菜单中添加“注销”的功能。
一、建立练习时所需的组织单位与用户帐户。
1、建立一个组织单位taiwan.。
2、在TAIWAN组织单位内新建一用户帐户TONY。
3、在TAIWAN组织单位内新建一个组织单位SALES。
4、在SALES组织单位内新建一个用户帐户SCOTT。
二、设置与测试组策略的功能。
在TAIWAN组织单位内建立一GPO,然后利用TAIWAN组织单位的用户TONY登录,测试GPO是否有效。然后再利用下一层的SALES组织单位内的用户SCOTT测试,是否继承TAIWAN的GPO设置。
A、在TAIWAN组织单位内建立一个GPO,名称为taiwan policy.。
1、利用ADMINISTRATOR帐户登录。
2、开始——程序——管理工具——活动目录用户和计算机——双击域名——TAIWAN组织单位——属性——组策略——新建GP0,命名taiwan policy。
B、更改TAIWAN POLICY设置
1、选中“TAIWAN POLICY”——单选“编辑”。
2、用户配置——管理模板——任务栏和‘开始’菜单。
3、双击右则“从‘开始’菜单删除‘帮助‘命令。”
4、出现属性对话框——启用。
5、确定,完成设置。
C、测试TONY帐户,以及SCOTT帐户是否继承了TAIWAN POLICY组策略。
三、测试组策略的替代功能
在TAIWAN组织单位的下一层组织单位建立一个GPO,然后设置如下:将
将从“‘开始’菜单删除‘帮助‘命令。”命令禁用。
A、在SALES组织单位内建立一个新GPO
1、利用ADMINISTRATOR帐户登录。
2、开始——程序——管理工具——活动目录用户和计算机——双击域名——在TAIWAN下的SALES组织单位单鼠标右键——属性——组策略——新建(命名:tainwan-sale policy)——编辑。
3、 出现“组策略”窗口——用户配置——管理模板——任务栏和‘开始’菜单
4、 双击右则的“从‘开始’菜单删除‘帮助‘命令。”——禁用——确定,设置完成。
5、进行测试并与上次的测试结果进行比较。
四、在子容器的GPO内,若些些策略被设置为“未被配置”,则子容器内的这些设置将继承父容器内的设置。但是却可以在子容器的GPO内,通过“阻止策略继承”复选框。将子容器的GPO设置为不要继承父容器的设置。
五、强迫继承组策略
可以在父容器内。设置强迫其所有的子容器必须继承父容器的GPO设置。那就是父容器的”禁止替代“功能。
□帐户策略设置
帐户策略设置的注意事项:
A、若针对域设置的帐户策略,则这个策略会应用到域内的所有计算机。
B、若针对某个组织单位设置帐户策略,是这个策略只会应用到这个组织单位内的计算机而已。
设置帐户策略的步骤:
“活动目录用户和计算机”(域或组织单位)上鼠标右键——属性——组策略——选定GPO——编辑——计算机配置——WIN设置——安全设置——帐户策略。以下针对“密码策略”和“帐户锁定策略”。常用项进行说明。
一、密码策略常用项的说明:
A、密码最长存留期:设置用户密码最长的使用期限。
B、密码最短存留期:设置用户密码最短的使用期限。
C、密码最长度最小值:设置用户密码时,密码的最少需要几个字符。
D、强制密码历史:设置是否要记录用户以前所使用过的密码,以便在设置新密码的时,是否可以设置以前使用过的密码。
E、不保留密码历史。在设置新密码时,可以设置以前使用过的密码。
F、保留密码历史。在设置新密码时,保留密码是不能做为新密码使用的。
二、帐户锁定策略
A、帐户锁定阈值:设置用户登录几次失败后,将该用户锁定。
B、帐户锁定时间:用户在锁定多久时间后。自动解锁。
C、复位帐户锁定计数器:锁定计数器开始是0,用户登录失败则是加1,用户成功则为0,若锁定计数器值等于帐户锁定阈值,帐户就会被锁定。
□本地策略的设置
本地策略设置包括:审核策略、用户权利指派策略、安全选项策略。
一、用户权利指派策略
1、设置步骤:活动目录用户和计算机”(域或组织单位)上鼠标右键——属性——组策略——选定GPO——编辑——计算机配置——WIN设置——安全设置——本地策略——用户权利指派:有以下权利:
A、在本地登录:允许用户在本台计算机上按CTRL+DEL+ALT键登录。
B、域中增加工作:允许用户将WINNT/WIN2000计算机加入到域内。
C、关闭系统:允许用户关闭此计算机。
D、以网络访问此计算机:
E、从远端计算机来关闭此台计算机。
F、备份文件和目录。
G、还原文件和目录。
H、管理审核和安全日志。
I、更改系统的时间。
J、装载和卸载设备驱动程序。
K、取得文件或其他对象的所有权。
二、安全选项策略
A、登录屏幕上不要显示上次登录的用户名。
B、允许在未登陆前关机。
C、在密码到期前提示用户更改用户密码。
D、禁用CTRL+ALT+DEL进行登录的设置
E、用户试图登录时消息文字与用户试图登录时的消息标题。
□登录/注销、启动/关闭脚本
登录脚本:是针对一个用户设置的,也就是若某个用户被指派了登录了登录脚本。则当其登录时,此脚本就会自动被执行。
一、登录/注销脚本的设置
用记事本编写登录和注销脚本:
登录脚本:名称:logon.vbs 文件内容:wscripts echo “ welcome to windows 2000 ,this is a logon script test”
注销脚本:名称:logoff.vbs 文件内容:wscrpts echo “Goodbye,this a logoff scripts test
设置步骤:
1、“活动目录用户和计算机”鼠标右键——属性——组策略——选定GPO——编辑——用户配置——WIN配置——脚本(登录注销)——登录
2、出现显示脚本文件对话框。
3、请先将你编辑好的logon.vbs复制到以下目录内:
%systemroot%\SYSVOL\sysvol\域名\policies\{GUID}\USER\SCRIPTS\logon
GUID,不同的GPO有不同的GUID号。每个GUID是唯一的。
4、在步骤2出的对话框中——单击“添加”将logon.vbs添加进入——确定。
5、再用相似的方法来添加注销的脚本:logoff.vbs.
6、如果说GPO是针对域设置的,则对域内的每个用户都起作用。即登录时都会出现脚本。若是仅对某个组织单位设置,则那个被设置的组织单位的用户会出现脚本。
7、创建用户,测试脚本的有效必性。
二、启动/关闭脚本的设置。
编辑好启动与关闭脚本:
启动脚本:文件名称:startup.vbs 文件内容:wscript echo “welcome to windows 2000 ,this is a startup script test”
关闭脚本:文件名称:shutdown.vbs 文件内容:wscript echo “goodbye. This is a script test”
设置启动/关闭脚本的步骤:
1、“活动目录用户和计算机”鼠标右键——属性——组策略——选定GPO——编辑——计算机配置——WIN配置——脚本(启动/关闭)——启动
2、出现选择“启动脚本文件”对话框。
1、 将我们所做的启动脚本文件得到:%systemroot%\SYSVOL\sysvol\域\policies\{GUID}\MACHINE\SCRIPTS\startup。
4、回到步骤2时出现的添加文件的对话框,单击“增加”按钮。浏览选择startup.vbs文件。
5、用类似的方法增加关闭脚本文件。Shutdown.vbs6、完成设置后,如果这个GPO策略是针对域设置的,若对域内的用户都会起作用的。如果
这个GPO是针对组织单位设置的,则会这所设置的组织单位起作用的。
□部署应用程序
通过组策略可以为用户和计算机来部署应用程序。这也就是说
A、将应用程序分布给用户。当某个应用程序通过GPO被发布给用户后。用户可以自行增加/删除应用程序。
B、将应用程序指派给用户或计算机:当某个应用程序通过组策略的GPO被反映派给用户后,则用户在登录时,这个应用程序就会被“广告”给用户,但这个应用程序并不真正安装,只是提供了一些安装信息,等你应用时才会安装。如果是指派给计算机了。计算机在启动时,就会自动安装应用程序。
C、自动修复应用程序。一个被发布或指派的应用程序。当应用程序受到破坏时,当用户登录或计算机重启时,会自动修复的。
D、删除用户应用程序:一个被发布或指派的应用程序,在用户安装完成后,若不想再让用户使用此应用程序,只要将应用程序从GPO内删除即可。
一、发布应用程序
建立安装WINDOWS安装程序包的文件夹
1、请在任何一台服务器上内建立一个文件夹,例如:C:\packages,这个文件夹是要用来存储应用程序的。
2、将此文件夹设置为共享,并给一个共享名。因为网络上的用户必须UNC路径来访问,所以要设置共享。
3、将应用程序复制到共享文件夹内。
设置默认程序包位置
4、“活动目录用户和计算机”——域名——属性——组策略——选定GPO——编辑——用户配置——软件设置——软件安装。
5、“软件安装”——属性。
6、出现“默认程序包位置”输入框。在此处输入:应用程序的存储位置,注意是UNC路径。\\计算机名\共享文件夹。——确定。
发布应用程序
7、回到“软件安装“——新建——“程序包”。
8、请选择用于练习的安装程序包——单击“打开”。
9、请选择“已发行”——确定。
安装被发布的应用程序
1、利用域用户或组织单位用户来登录
2、开始——设置——控制面板——“添加/删除程序”。
3、添加新程序——从网络添加程序(就会显示出已经发布的应用程序)。
4、选择要安装的应用程序——单击“添加”——就会安装此应用程序。
测试自动修复应用程序功能
1、请找到应用程序的安装位置。
2、删除此应用程序的安装文件夹。
3、以应用程序发布用户重新登录。
4、运行删除的应用程序,会发现系统会自动重新再安装应用程序。
二、给用户指派应用程序。
给用户指派应用程序与给用户分布应用程序的方法基本一致
1、在一台服务器上建立一个共享文件夹。
2、设置默认程序包位置
3、给用户指派应用程序,在选择部署方法是:将已经“已发行”改为“已指派”测试被指派的应用程序
用户登录后,可以在开始——设置——控制面板——添加/删除应用程序——添加新程序,会发现被指派的应用程序已经安装,但实际是“广告”,并没有真正的安装起来。
测试自动修复应用程序功能
这个功能与测试自动修复已发布的应用程序功能相似。
三、给计算机指派应用程序
活动目录用户和计算机——域或组织单位——属性——组策略——选定GPO——计算机配置——软件设置——软件安装。其它的地方与给用户指派应用程序相似。
1、改变应用程序的部署的类型。
2、取消被部署的应用程序。在被部署的应用程序单击鼠标右键——所有任务——删除。
3、设置当安装此应用程序时,是否出现完整的安装界面,或者只显示部分的界面。在被部署应用程序上单击鼠标右键——属性——部署。
4、将应用程序升级:在被部署的应用程序单击鼠标右键——属性——升级——添加
□文件夹重定向
可以利用组策略将一些WIN2000内的特殊文件夹的存储位置,重定向到网络上的其他内。所谓的特殊文件夹,是指如“我的文档”、“my pictures”等数据的存储位置。一般情况下,这些文件夹是在本地计算机内,可以通过“我的文档”——“属性”——“目标文件夹”指定网络上的其他计算机内。
通过以下两种方式来重定向
1、针对每个用户设置,也就是将每个用户的文件夹重定向。
2、针对某个组设置,用户的文件夹重定向。也就是将某个组内的所有
以“我的文档”文件夹说明如何将文件夹重定向,并且是针对某个组进行设置。
1、活动目录用户和计算机——USERS组织单位内建立user1、user2、然后建立一个安全,例如:testgroup、
2、在任何一台服务器内建立一个文件夹,例如XOCUMENTS,这个文件用来存储用户的“我的文档”数据。
3、将文件夹设置为共享。共享名与文件夹名相同即可。
4、通过“活动目录用户和计算机”——域名单击右键——属性——组策略——选定GPO——编辑——用户配置——WINDOWS配置——文件夹重定向——MY DOCUMENTS。
5、在“MY DOCUMENTS”单击鼠标右键——属性——目标——“设置”处选择“高级——为不同的用户组指定位置”——单击“添加”。
6、出现添加“指定组和位置”对话框。请“安全组成员身份”处输入组名称,然后在目标文件夹位置“处输入存储此组每个用户的“我的文档”的文件夹路径UNC。——“确定”完成后。
7、注销,利用TESTGROUP组内的用户USER1登录,“我的文档”文件夹改为上面所设置的路径。
将用户的“我的文档”文件夹重定向到网络服务器内有以下的优点。
1、无论用户到网络上任何一台计算机登录域,都可以访问到该文件夹。
2、这些存储在服务器内的数据,可能信息部门的定期定期备份,将其备份存储起来,让用户的数据多一份保障。
3、可能在服务器上限额配置用户的“我的文档”。
如果“我的文档”与*作系统在同个硬盘内,则将其重定向到其他的硬盘后,即使*作系统重新安装,对“我的文档”文件夹内的数据影响也会比较小。
⑵ [转]如何在 windows 2003域中部署软件
要发布或分配计算机程序,必须在发布服务器上创建一个分发点:1. 以管理员身份登录到服务器计算机。2. 创建一个共享网络文件夹,将您要分发的 Microsoft Windows 安装程序包(.msi 文件)放入此文件夹。3. 对该共享设置权限以允许访问此分发程序包。4. 将该程序包复制或安装到分发点。要创建一个用以分发软件程序包的组策略对象 (GPO),请执行以下操作:1. 启动“Active Directory 用户和计算机”管理单元,方法是:单击“开始”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。2. 在控制台树中,右键单击您的域,然后单击“属性”。3. 单击“组策略”选项卡,然后单击“新建”。4. 为此新策略键入名称,然后按 Enter。5. 单击“属性”,然后单击“安全”选项卡。6. 对于您不希望应用该策略的安全组,请单击以清除与其对应的“应用组策略”复选框。7. 对于希望应用该策略的组,单击以选中与它们对应的“应用组策略”复选框。完成后,单击“确定”。要将一个程序分配给运行 Windows Server 2003、Windows 2000 或 Microsoft Windows XP Professional 的计算机,或分配给正在登录到这样的一个工作站的用户,请按照下列步骤操作:1. 启动“Active Directory 用户和计算机”管理单元,方法是:单击“开始”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。2. 在控制台树中,右键单击您的域,然后单击“属性”。3. 单击“组策略”选项卡,选择您想要的组策略对象,然后单击“编辑”。4. 在“计算机配置”下,展开“软件设置”。5. 右键单击“软件安装”,指向“新建”,然后单击“程序包”。6. 在“打开”对话框中,键入所需共享安装程序包的完整统一命名约定 (UNC) 路径。例如 \\file server\share\file name.msi。重要说明:不要使用浏览按钮访问该位置。确保使用共享安装程序包的 UNC 路径。7. 单击“打开”。单击“分配”,然后单击“确定”。该程序包将列在“组策略”窗口的右窗格中。8. 关闭“组策略”管理单元,单击“确定”,然后退出“Active Directory 用户和计算机”管理单元。9. 当客户端计算机启动时,这个经管理的软件程序包将自动安装。------- 悠悠白薯 嗯,关于软件部署,您还可以使用sms来做。
⑶ 如何为加入域(win2003)的客户端(xp)统一部署软件,或统一安装软件
可以使用组策略来部署,登录域控打开管理工具的以下路径:AD用户与计算机-右击属性-组策略-打开默认域策略(其实就是那个default domain policy)计算机配置-软件安装,右键新建程序包,指定程序包的路径(这里必须为UNC路径,因为是面对网络用户的,也就是\\192.168.0.10\XX这种类型,就算是你本地也必须以这种方式来做),然后右键-指派就可以安装到加入域的计算机上了,如果只想部分计算机安装可以用OU策略来布署,效果一样,但需要把相应计算机拉进OU,但这种委派方法需要文件后缀为MSI的软件才能安装,你可以找一个EXE转MSI的程序,如果你没有我可以发给你,希望我的回答对你有帮助,有其他问题欢迎追问。
我本军团:助人为本,以本会友
⑷ thinkphp3.1 二级域名部署和各个二级域名的URL路由设置 ,配置文件怎么写
http://doc.thinkphp.cn/manual/sub_domain_deploy.html
ThinkPHP支持分组的二级域名部署,该功能可以使项目中的多个分组呈现为二级域名的形式,例如经过配置二级域名部署,可以把:
http://domain.com/index.php/Admin/或者http://domain.com/Admin/
变为 http://admin.domain.com/ 访问方式。
先配置域名, 以 apache为例 , 配置如下:
#主域名
DocumentRoot D:\htdocs\www
ServerName domain.com
#子域名
DocumentRoot D:\htdocs\www
ServerName admin.domain.com
ServerAlias *.domain.com
然后配置host, 以windows为例编辑C:\WINDOWS\system32\drivers\etc\hosts 文件,增加下面两行:
127.0.0.1 domain.com
127.0.0.1 admin.domain.com
接下来修改程序的配置文件config.php如下
'APP_GROUP_LIST' => 'Home,Test,Admin',
'DEFAULT_GROUP' =>'Home',
'APP_SUB_DOMAIN_DEPLOY'=>1, // 开启子域名配置
/*子域名配置
*格式如: '子域名'=>array('分组名/[模块名]','var1=a&var2=b');
*/
'APP_SUB_DOMAIN_RULES'=>array(
'admin'=>array('Admin/'), // admin域名指向Admin分组
'test'=>array('Test/'), // test域名指向Test分组
),
3
⑸ 域中软件发布是怎么布置的
转载于 http://hi..com/fir_step/blog/item/35a8c71fd3b30566f724e4ca.html 域控制器中的软件发布 2008-05-21 13:32 转: http://networking.ctocio.com.cn/tips/289/7757289.shtml
打造RIS服务器 软件在局域网中自动安装作者: 甘肃/老五, 出处:IT专家网,责任编辑: 董柱, 2008-01-07 14:18 在局域网中,工作站无休止地进行软件安装、升级、维护、删除操作,这些操作对网络管理员来说是庞大的工作量,同时,这些操作也可能产生安全问题。无论在企业,学校,或是网吧,网络管理员都希望有一种软件分发功能来简化这些复杂的操作。如果你们的局域网是域环境的话,那么只需在域控制器上部署RIS服务,就可以使工作站的软件安装变得轻松自如且安全无忧。下面我就详细演示从软件封装到RIS配置以及软件分发的详细过程。 【IT专家网独家】在局域网中,工作站无休止地进行软件安装、升级、维护、删除操作,这些操作对网络管理员来说是庞大的工作量,同时,这些操作也可能产生安全问题。无论在企业,学校,或是网吧,网络管理员都希望有一种软件分发功能来简化这些复杂的操作。如果你们的局域网是域环境的话,那么只需在域控制器上部署RIS服务,就可以使工作站的软件安装变得轻松自如且安全无忧。下面我就详细演示从软件封装到RIS配置以及软件分发的详细过程。一、软件封装要想使用软件发布功能,那么对软件是有一定的要求的,对于那些以EXE等格式的文件是无法被发布的,必须将软件打包成MSI程序包。在一些软件中已经自带了MSI程序包,例如Microsoft Office 2000,我们打开其安装光盘就可以发现其中有一个DATA.MSI文件。但并不是所有的软件都带有MSI程序包,在这种情况下要发布的话,可以有两种选择。要么是使用其它软件来制作MSI程序包,要么编写.ZAP文件,下面我们将向大家简单介绍这两种方法。1.制作MSI程序包制作MSI程序包的软件很多,我以微软的SWIADMLE.MSI为例进行说明:第一步:双击打开Windows 2000/2003 Server的安装光盘,进入“\valueADD\3RDDARTY\MGMT\WINSTLE”目录,双击其中的“SWIADMLE.MSI”文件即可启动安装程序,安装过程不需要我们做任何设置,只需要等待一段时间即可。完装完毕,我们在“开始”菜单中发现多出了“VERITAS oftware”,这就是我们安装之后产生的程序组。(图1)第二步:运行“VERITAS oftware”中的ERITAS Discover,其首先对系统进行扫描,获取当前系统的“快照”如图2,等扫描完毕,然后再安装要制作MSI格式程序包的软件,一路按照向导生成MSI程序包。(图2)2.制作ZAPZAP格式的程序包需要我们手工来编写该文件:例如我要制作一个Phtoshop的程序包,那么就得先进入Phtoshop源文件所在文件夹,并新建一TXT文本文件,向其中输入:[Application]FriendlyName = "Phtoshop"SetupCommand = "setup.exe"DisplayVersion = CS3Publisher = Adb其中SetupCommand = "setup.exe"是表示执行该目录下的Setup.exe文件,DisplayVersion=CS3是软件的版本号,而Publisher=Adb则是说明发布公司了。对于其它软件读者可以根据实际情况改变里面的内容。确认内容无误后,将其命名为Setup。并在“文件夹选项”中设置取消“隐藏已知文件类型的扩展名”选项,然后将该文件的扩展名改为ZAP,这样一个ZAP程序包就制作好了。
二、RIS配置1.共享文件在服务器上新建一文件夹,将安装文件放置在该文件夹内。为了保证网络内的其它用户或计算机能够读取文件夹里的安装文件,我们需要将文件夹共享出来。在存放有安装文件的文件夹上右击,在弹出的菜单中选择“共享”,选中“共享该文件夹”选项,并设置一下共享名。在默认情况下共享文件夹对“Everyone”组的用户具有完全控制的权限,这从安全角度来讲是极不安全的,因此需要在共享设置选项卡中点击“权限”按钮,在弹出的共享权限对话框中取消取限列表中的“完全控制”、“更改”等权限,只保留“读取”即可(如图3)。小提示:不希望赋予每一个用户读取权限的话,那么我们可以在“名称”中将“Everyone”组选中,然后点击右侧的“删除”按钮,然后再点击“添加”按钮有针对性的选择可以访问的用户。2.建立OU通过活动目录我们可以对域内所有的计算机或用户都分发同样的软件!这对于一些公共程序来说是非常方便的,但是在实际的应用过程中,我们碰到的情况并不是这样,往往是将软件分发给网络内部分计算机或用户,这样我们就不能针对整个域来分发软件,而应针对某个组织单元来分发。在管理工具中打开“Active Directory用户或计算机”,选中相应的域名,然后点击“操作”按钮,在弹出的菜单中选择“新建”菜单中的“组织单元”(如图4),在打开的“新建对象—组织单元”对话框中输入组织单元的名称,并点击“确定”按钮,这样我们就可以在域名下方看到我们新建立组织单元名称。但是目前新建立的组织单元中没有任何对象,如果我们针对该组织单元发布软件,当然是不能起到实际作用的。因此我们需要向新建立的组织单元中添加相应的对象。向组织单元中添加对象的方法主要有两种,一是直接新建,双击打开建立的组织单元,然后在右侧的空白区域右击,在弹出的快捷菜单中选择“新建”,这个时候我们就可以根据自己的需要来选择新建“计算机”还是“用户”了。另外一种方法是将已添加的用户或计算机直接移过来。在“Computers”或“Users”中选中相应的对象,然后右击,在弹出的菜单中选择“移动”,在打开的对话框中选择移动的目的地(如图5),也就是我们刚刚创建的组织单元。至此我们就完成了软件发布应用对象的添加。
三、发布软件至此我们进入真正的软件发布阶段了。右击新建立的组织单元,在弹出的对话框中选择“属性”菜单,在打开的属性对话框中切换到“组策略”选项卡,点击“新建”按钮,然后在“组策略对象链接”列表中输入建立的GPO名称(如图6)。然后将其选中,点击“编辑”按钮,打开组策略配置工具,在工具的左侧是配置的具体项目,我们发现其分为计算机配置和用户配置这两项,并且在这两项下面都有软件配置,那么我们到底采用哪一个呢?这就要看我们应用的范围了。如果我们采用计算机配置,那么将在计算机启动时执行我们的软件分发,而不管当前登录用户的身份是谁;相反的如果采取用户配置,那么不管该用户在域内哪一台机器登录都执行软件分发,与登录的计算机无关,这就要看我们软件发布应用的对象了。根据实际的应用选择其中的一项,然后在“软件设置”下选择“软件安装”,然后在该项上右击,在弹出的对话框中选择“新建”→“程序包”(如图7),在出现的“打开”文件对话框左侧选择“网上邻居”,然后从网络上找到自己存放安装程序的共享文件夹,打开其中的MSI文件。小提示:从网上邻居打开安装程序包,是为了保证网络里的用户或计算机都能够找到共享文件夹,如果直接在“我的电脑”里打开的话,那么组织单元的应用对象将同样在本机的“我的电脑”中查找,而不到存放程序包的文件夹中去运行安装文件了。因此正确的路径方式应使用本地计算机的 UNC 路径,即 \\服务器名\共享名\路径\文件名.msi。选中要发布的软件之后,即会出现部署对话框,在这里一共有三个选择,在通常情况下我们只选择“指派”或“发布”中的一个(如图8)。其中如果选择“指派”选项,那么在进行软件分发时将在“开始”中产生快捷图标,我们只需要点击程序即可以自动安装服务端分发的软件;而“分发”则不会在“开始”中产生快捷图标,只是在“控制面板”中的“添加/删除程序”中产生相应的项目给用户安装,并且此项设置只对组织单元中的用户起作用,如果要将软件分发于计算机,那么只有选择“指派”了。另外这两个选项有一个共同的特点,那就是支持自动激活安装,例如管理员分发了“Photoshop”程序,那么用户只需要点击Pho文件就能自动的安装分发的软件。
四、软件安装经过上述在DC(域控制器)中的设置后,软件就会被分发到lw.com域中的所有工作站上了。我们在其中一台主机登录域,当用户登录域后,只要点击“添加/删除程序”窗口中的“添加新程序”按钮,就会立即在“从网络添加程序”列表中列出从DC(域控制器)中分发出来的“Adminpak.msi”程序了。点击“添加”按钮则可以立即进行程序的安装。(图9)五、技巧补遗1.修改分发属性已经进行的软件分发还可以修改吗?当然可以了,右击组策略中已经发布的软件,在弹出的对话框中选择“属性”,在这里我们就可以进行具体的调整名称、部署的类型等设置了。(1).“常规”选项卡从图中我们可以看到用来发布或分配的软件包的相关信息民,包括产品的版品、发行者等资料,还可以自已定义一个名称。(如图10)(2).“部署”选项卡在这里进行的工作就多了,首先读者可以根据我们上面对“发行”和“指派”的理解,来选择一个符合自己要求的部署类型;在部署选项中还有三个项目供我们设置,其中默认状态下已选中“通过扩展名激活自动安装该应用程序”这个选项的作用我相信读者应该都明白其作用的,如果选中“当这个应用程序不再处于管理范围内时,将其卸载”选项,那么当我们取消指定的组策略设置时,将删除发布的应用程序,最后一个选项“不要在添加/删除程序控制面板中显示这个程序包”的作用也很明显,在这里不再多述(如图11)。另外在“安装用接口选项”中有两个不同的选项供我们选择,通常情况下建议大家选择“基本选项”这样将不需要用户进行参与。如果我们要进行其它高级部署的话,那么可以点击“部署”选项卡顶部的“高级”按钮,打开“高级部署选项”,通常情况下我们都要选中“部署这个程序包时忽略语言”选项。
2.升级已发布的软件当我们部署的软件出现新版本时,我们就可以对组织单元中的对象已经发布的软件进行升级了。当然在升级之前首先安照前面的方法建好相应的软件分发包,然后打开原发布软件的属性对话框,切换到“升级”选项卡,点击添加”按钮,在打开的“添加升级程序包”选项卡中选择相应的程序包来源,如果选择“某个特定GPO”选项的话,那么就需要点击“浏览”按钮来选择要必要的组策略对象,然后返回“添加升级程度包”对话框。如果执行的操作是安装新版本软件的话,那么就需选中“卸载现有程序包,然后安装升级程序包”,相反的如果仅仅是对分发的软件执行升级的话,那么就需要选中“程序包可以升级现有程序包”选项了,然后单击“确定”(如图12)。如果希望应用到的组织单元内的所有对象都强制升级我们发布的软件包的话,那么在退回到“升级”选项卡时,还需要选中“现有程序包所需的升级”选项,使其强制执行理新。同样的道理如果我们要对应用软件包的修改,那么我们就可以在其属性的“修改”选项卡中点击“添加”按钮,来选择转换文件“*.MST”,相反的如果是删除软件包的修改,那就简单多了,只需要在修改列表中选中相应的文件,然后将其删除即可。总结:充分利用域环境通过RIS进行软件的分发,可以极大地解放管理员。但是具体采用哪种方案要根据不同的环境进行选择,最合适的才是最好的。
⑹ 各位懂域配置的进来看看吧!看看这怎么回事,怎么软件部署会出现这种问题
你发布的软件是什么格式的?如果是exe的话,那必须有个引导的文件才可以!
因为微软只能提供两种格式的软件发布!
建议去网上找个该引导文件的格式获取图书馆找吧!
我好久都没弄AD了,所以具体的忘记了!
请不要见怪!
希望采纳!谢谢!
⑺ 域用户配置文件设置
细化一楼
①进入管理员用户
②右键点击每个用户的配置文件
③【属性】→【安全】选项卡
④添加或删除用户的访问读写权限
⑻ 域环境下,win7和XP的用户配置文件问题
这个问题,可以明确的告诉你,是不行的
因为XP和WIN7的配置文件是有区别的,所以微软才会做出这样的设置