windows server 2003 应用组策略部署和管理软件

 

什么是 windows installer:
windows installer可以完全自动地对软件进行安装和配置;更改和修复已经存在的应用程序安装。windows installer包含:应用程序的安装和卸载信息,.msi文件和包含的源文件,应用程序的摘要信息。
部署分发软件:
软件分发的过程:window安装程序包,一般由软件生产商完成。分发过程:创建一个软件分发点,包括程序包转换和程序文件组成,可以使用分布式文件系统实现;使用组策略对象分发软件(发布和分派两种方式);通过组策略可以改变软件分发的属性
指派软件和发布软件的区别:
指派软件可以通过组策略将软件指派给用户和计算机,指派软件包可以确保软件对于用户和计算机是可以使用的。通过指派软件对于用户总是可用的。用户可以从任何一台计算机登陆访问他们需要的软件。软件是有弹性的,用户因为某种删除软件后在下次登陆后并激活应用程序时将重新安装软件。由于软件指派由组策略实现,所以在指派软件时可以针对计算机和用户进行设置,二者区别应用程序指派给用户后,用户在下一次登陆到工作站时,应用程序给公布给该用户,应用程序的公布始终跟随该用户,而不管用户使用是哪台物理计算机,应用程序将在以下三中情况下被安装:1.用户第一次在某台机器上登陆时,应用程序显示在菜单中并没有安装,用户激活应用程序时才会被安装。2.通过控制面板安装该应用程序。3.启动与应用程序想关联的文档。针对计算机指派应用程序:将应用程序指派给计算机后,在计算机启动时,应用程序将被公布并且执行安装。
发布软件:只能针对用户设置。当应用程序发布给用户时,用户计算机的桌面或开始菜单中没有可见的快捷方式,用户计算机的本地计算机注册表也不会有改变,相反,发布的应用程序将在活动目录中存储发布的属性,然后诸如应用程序名称和文件关联等信息的就会显示给活动目录容器中的用户,软件发布后可以通过两种方式进行安装: 1.控制面板中安装该应用程序,2.文档激活法。用户可以从任何一台计算机登陆方法他们需要的软件。和指派软件一样也是有弹性的,由于某种原因删除软件后用户可以重新安装软件。
如何通过组策略来分发软件: 1.建立软件分发点,即一个共享文件夹。比如software。将需要安装的软件复制到该共享文件夹下。2.打开Active directory 用户和计算机,在需要分发软件的OU上 打开组策略编译器,要为用户分发软件,需要在用户配置下设置策略,依次展开用户配置/软件设置/软件安装上右键/新建/软件包,选择我们要安装的软件,路径一定要通过网络选择,不要本地选择,即选择刚刚创建的共享文件夹中的软件(并且通过组策略分发软件,必须使用.msi文件。)选择部署方法,选择“已发布”确定

维护所分发的软件:
软件升级的类型:
Mandatory upgrade(强制类型):Users can use only the upgraded version
Optional upgrade*(选择性类型):Users can decide when to upgrade
Selective upgrade(可选择性类型):You can select specific users for an upgrade
怎样升级所分发的软件:打开 Active directory 用户和计算机,在已经设置了分发软件的OU上 打开组策略编译器,展开用户配置/软件设置/软件安装 /右键/新建/程序包 按照分发软件包一样选择软件,在最后“选择部署方法”时注意选择“高级”而不是之前的“已分发”。确定后出来高级设置窗口,选择“部署”标签,部署类型选择“已指派”,再选择“升级”标签,单击“添加”按钮将被升级的软件包添加近来,选择要升级的软件包,在下面选择升级的方法:“卸载现有程序包,安装新的程序包”或者“程序报可以升级现有程序包”。确定后回到“升级”标签,选中“现有程序所需的升级”来进行强制升级。确定。
移除所分发软件的方法:
1.Forced removal:强制删除并无法再次安装(software is antomatically deleted from a computer and it is not advertised.)
2.Optional removal 选择性删除,可以继续使用,但是无法再次安装或者升级(Software is not deleted from a computer and no upgrades to the software can be installed)
实现:打开Active directory 用户和计算机,在已经设置了分发软件的OU上 打开组策略编译器,依次展开 用户配置/软件设置/软件安装 右键单击要被删除的软件/所有任务/删除 选择“立即从用户和计算机卸载软件”或者“允许用户继续使用软件,但禁止新的安装”。前者强制卸载,后者选择性删除。

限制软件:
软件限制规则:
哈希规则(Hash Rule):哈希值是可以对软件程序或者文件进行唯一标识的一串定长字符串,按照哈希算法计算出哈希值,为软件程序创建规则后,软件限制策略会求出该软件的哈希值,当用户试图打开软件程序时,系统会将该程序的哈希值与组策略中的哈希值进行对比,如果匹配,则应用该规则,哈希值与软件在计算机上的位置无关,但是如果对软件代码做了任何形式的改变,其哈希值也会改变,因此也不在与软件限制策略策略中已经存在的哈希值相匹,比如为了限制用户运行某些文件,可以创建一些哈希规则,并将安全级别设置为不允许;文件可以被重命名,或被移动到其他位置,但其哈希值不会改变,如果程序有任何更改,将会绕过程序限制规则的限制。

证书规则 (Certificate Rule):通过软件的签名证书来实现。可以创建用于标识软件的证书规则,然后根据安全级别的设置决定是否运行该软件。例如:我们可以用证书规则自动托管来自域中可信任源的应用软件,而无需提示用户。还可以用证书规则来运行操作系统的禁止区域中的文件

路径规则 (Path Rule):可通过程序的路径对其进行标识,如计算机默认安全级别为不允许安装,则仍然可以授权每个用户不受限制运行特定文件夹下的程序,由于这些规则是按照特定路径指定的,因此当软件被移动后,不将再受该规则限制。

Internet区域规则 (Internet Zone Rule);区域规则仅仅适用于 windows installer安装包,使用区域规则我们可以标识来自IE浏览器所指定的区域的软件。这些区域包括Internet区域,Intranet区域,信任站点,受限站点以及我的电脑。
软件限制策略的创建和通过软件限制规则来限制用户对特定软件的执行:
eg:禁止某个OU下的用户运行window媒体播放器
打开Active directory 用户和计算机,在需要设置限制策略的OU上 打开组策略编译器,依次展开 用户配置/windows设置/安全设置/软件限策略 右击选择“创建软件限制策略”即创建了一个默认的策略,其安全级别是“不限制任何软件的运行,如果我们要对某些软件进行限制,必须创建规则来进行设置。右击其他规则/新建哈希规则 输入需要限制的软件名称,也可以通过浏览找到该执行文件wmplyer.exe,在安全级别下选择”不允许” 完成即可。


软件限制策略最佳操作


请不要修改默认的域策略。
• 如果未对默认的域策略进行编辑,则在自定义的域策略出现问题时将始终可以选择重新应用默认的域策略。

为软件限制策略创建单独的组策略对象
• 如果为软件限制策略创建了单独的组策略对象 (GPO),您可以在紧急情况下禁用软件限制策略,同时不禁用其余的域策略。

如果应用策略设置后遇到了问题,请以安全模式重新启动 Windows。
• 当 Windows 以安全模式启动时,软件限制策略不会应用。如果因为使用软件限制策略而不慎锁定了工作站,请按下述步骤操作:重新以安全模式启动计算机、以本地管理员身份登录、修改策略、运行gpupdate、重新启动计算机,然后正常登录。

慎用“不允许的”的默认设置定义。
• 如果定义了“不允许的”的默认设置,则除非有明确的允许,否则将不允许任何软件运行。任何要打开的文件都必须有相应的软件限制策略规则来允许它被打开。
• 为防止管理员将自己排除在系统之外,在默认的安全级别被设置为“不允许的”时,会自动创建四个注册路径规则。可以删除或修改这些注册表路径规则,但不建议这样做。

为获得最佳的安全性,请搭配使用软件限制策略与访问控制列表。
• 用户可能会通过重命名或移动不被允许的文件或覆盖未受限制的文件来设法绕过软件限制策略。因此,建议使用访问控制列表 (ACL) 拒绝用户在执行这些任务时所需的访问。有关访问控制的信息,请参阅访问控制。

将策略设置应用到域之前,先在测试环境中对新的策略设置进行全面测试。

• 新的策略设置的实际表现可能与最初期望的不同。通过测试,可以减少将策略设置部署到整个网络时遇到问题的机率。
• 可以设置一个与机构的域相隔离的测试域,然后在其中测试新的策略设置。还可以通过创建测试 GPO 并将它连接到测试性的组织单位来测试策略设置。当您和测试用户一起对策略设置进行了全面测试后,即可将测试 GPO 连接到域。
• 如果未进行测试,请不要将程序或文件设置为“不允许的”,因为您还不了解随之会带来何种影响。某些文件上的限制可能会严重影响计算机或网络的操作。
• 如果输入了不正确的信息或者键入了错误,可能导致策略设置不像预期地那样执行。在应用新策略设置之前先进行测试可以防止意外行为发生。

在安全组中基于成员身份筛选用户策略设置。
• 通过清除“应用组策略”和“读取”复选框(位于 GPO 属性对话框的“安全”选项卡下),您可以指定不应用策略设置的用户或组。
• 拒绝了“读取”权限后,计算机将不会再下载策略设置。这样可以减少因为下载不必要的策略设置而占用的带宽,从而使网络得以更快地运行。要拒绝“读取”权限,请对“读取”复选框选择“拒绝”。该复选框位于 GPO 属性对话框的“安全”选项卡下。

请不要连接到另一个域或另一站点中的 GPO。
• 如果连接到另一个域或另一站点中的 GPO,可能得到较差的性能。

你可能感兴趣的:(安装,server,window,软件,应用程序)