深信服AC-NAC类行为管控设备在域环境下批量安装非MSI格式准入插件

 最近上峰要求加强域内IM类软件信息监控。

手头只有一台深信服AC NAC 设备，看来要用到准入来做QQ等软件的内容监控了。

版本信息如下，几年的机器了 

Sangfor-AC-NAC
Sinfor-AC-2.0.0.108 build 2009-11-07/12:25:44
contchk AC-2.0
behavior AC-2.0
fwserver AC-2.0
fluxctl AC-2.0
fluxlog AC-2.0
actrace AC-2.0
authd AC-2.0

利用exe文件自己打包msi安装提示失败。。

深信服官方论坛http://sangfor.360help.com.cn  上有12/12最新发布的AC SG4.0对应的准入域安装包，部署测试OK。但是测试下来和现有设备版本不匹配，不能正常准入。

联系工程师说是目前都是AC4.X固件版本，AC2.X的固件对应的准入静默包很难找到。

没办法  自力更生。

查到官方AC3.0时候的准入安装文档和准入程序执行批处理如下：

 

echo start > c:\log.txt
if exist "%programfiles%\sinfor\ingress2\ingress.exe" goto end
echo install >> c:\log.txt
singress.exe /verysilent /norestart
GOTO END
:END
echo bye >> c:\log.txt

 

它这里是采用域内登陆脚本配合log文件夹执行。实际验证user用户根本无法正常安装。

稍微改造下：

 

@echo off
if not exist D:\softwaretemp mkdir d:\softwaretemp
echo start > D:\softwaretemp\sanforlog.txt
if exist "%programfiles%\sangfor" goto end
xcopy /Y \\XXX.XXX.XXX.XXX\user\指定目录\singress.exe D:\softwaretemp\
echo copying... > D:\softwaretemp\sanforlog.txt
d:\softwaretemp\lsrunas.exe /user:管理员账户 /password:管理员密码 /domain:%computername% /command:"singress.exe /verysilent /norestart" /runpath:D:\softwaretemp\
echo installing... >> D:\softwaretemp\sanforlog.txt
GOTO END
:END
echo alldone >> D:\softwaretemp\sanforlog.txt

思路如下：

1.在域用户计算机创建执行目录并排除重复，

2.检查本地是否已安装准入插件

3.在都可访问的共享上复制相应文件并记录过程

4.利用提权工具lsrunas 进行提权  运行准入程序加静默参数

5.挂用户登陆脚本

6.将新的GPO策略挂到指定OU（用户）

7.AD上gpupdate /force

----------------

8.在用户电脑上刷新组策略/gpresult检验策略结果正常。

当用户注销后重新登陆即可正常安装  没有下一步提示，安装完成后配合深信服准入策略 即可在本地数据中心和外置数据中心 查看到详细信息。

并可以用于其他一些必备软件 但是不能正常制作msi包的程序发布。

-------卸载脚本------

 

echo start > c:\log.txt
if not exist "%programfiles%\sinfor\ingress2\unins000.exe" goto end
echo uninstall >> c:\log.txt
"%programfiles%\sinfor\ingress2\unins000.exe" /verysilent
GOTO END
:END
echo bye >> c:\log.txt