Windows組策略部署軟件實現自定義安裝教程
原創【51CTO獨家特稿】關于微軟的組策略如何使用51CTO在之前就向大家做了相關介紹(使用微軟組策略輕松完成批量部署應用程序)。下面是一個資深的系統管理員關于使用組策略的一些心得。
還常想上大一的時候,講到安裝軟件就兩個文件名熟記于心:Setup.exe和Install.exe ,而后來學了一些開發知識后才知道這些文件對于程序員來說這些程序叫“老式非標準程序”。而標準的微軟安裝程序所有的組件都是相互獨立的,我們可以選擇在不安裝或者只安裝其中的一部分,這種程序稱作Windows Installer,又稱微軟軟件安裝包(Microsoft Software Installer,MSI)。
后來做系統管理員的一段時間內,我發現Windows組策略中有我們可以對很多文件名后綴名的應用程序進行部署與管理呢,這包括了:MSI (微軟軟件安裝包);MSP(微軟軟件補丁文件;MST(微軟軟件轉化文件),并可以修改一些MSI的個性化配置,制定AAS 安裝腳本,以及利用ZAP文件針對“老式非標準程序(EXE)”安裝文件擴展在組策略重的應用。
組策略部署軟件中的迷茫
在基于活動目錄的組策略部署軟件的時候我們只有針對用戶或者計算機兩種方式,這個都大家一定都很清楚。但在以前學習的時候總有兩個概念叫人混淆,它們是“發布”與“指派”。而一些技術書籍的解釋是夠讓人眩暈的,我覺得用大白話來就是:發布=好商量,愛裝不裝;指派=聽我的,不裝也得裝。
按道理來說,如果使用“發布”,是比較人性化的它可以通過“添加/刪除程序”中體現出來,通過自由的方式對特定用戶進行管理。另外通過這種方式也是非常自動的,比如銷售部門的一個用戶有份PDF的文檔,而他沒有安裝“Adobe Acrobat Reader”,當他雙擊的時候系統會自動為他安裝這個閱讀器。雖然這個功能非常的好用,但是大多數的管理員如果這樣做是被挨罵的,因為網絡中的用戶等不了安裝軟件的時間。而“指派”指派是比“發布”更具有強制性的部署方式。當軟件指派給用戶時,下一次當用戶以任何域中的計算機登錄時,都會在“開始→所有程序”或者桌面上看到該軟件的快捷方式,同時計算機的注冊表里面也會記錄該軟件的關聯文件和函數庫,而我們管這種針對用戶的指派叫做軟件“通告”。指派給計算機則是更加強硬的技術手段,計算機在重新啟動后,自動下載并安裝,并且所有的用戶都可以執行,不受到權限的限制。我總結了一個軟件部署功能對照表,希望對學弟們會有所幫助:
免輸入應用程序的序列號
以Office MSI為例子,看似是一個單純的MSI包,但它實際上是由多個既獨立又有聯系的組件工具集組合而成。布置好活動目錄與組織單元后,將這些準備安裝軟件的客戶端移動到要軟件分發的OU中。然后再服務器端設置一個共享文件夾用以保存發布Office文件的位置。共享的安全權限為管理員組“完全控制”,可驗證用戶組讀取的權限。
這個時候,我們不是在客戶端上,而是在服務器上采用管理員身份的安裝提取。在服務器上運行setup /a 這個命令,加上 /a參數主要的目的就是省去客戶端在安裝Office時輸入序列號的馬乏。Office安裝向導的使用還是非常簡單,最重要的就是當詢問存放位置的時候,一定要存放到服務器的網絡位置。安裝過程完畢,這不會對服務器造成任何的影響,其實說白了就是一個文件提取和重新封包的過程。
自定義安裝向導的使用
我們經常會遇到為不同的部門,不同的用戶組需要安裝不同的Office組件的情況。例如:財務室的同事要安裝Access;而對于“行政助理組”并不需要Access或是PowerPoint;并且不同的用戶將會需要不同的安全設置;還有那令人感到麻煩的Outlook的配置。介于以上幾點考慮,管理員們有時候就感覺比較麻煩,所以只采用選中全部組件的方法部署。其實微軟早就為我們考慮到這一點了。
微軟發布了自定義安裝向導(Custom Installation Wizard 即CIW),自定義安裝向導允許你為Office創建Windows安裝轉換文件(即MST文件)。這些文件配合原來的MSI安裝包一同運行,所以我們就不需要對客戶端逐一修改。它之所以被稱為轉換文件是因為它把原始MSI“轉化”為你所需要的安裝包。Office提供了自定義部署支持的方法,用于修改直接 Office MSI 或相關聯的 MSP 和 MST 文件。
要獲得 Microsoft Office 2003 資源工具包,請訪問下面的 Microsoft 網站:
http://www.microsoft.com/office/ork/2003/default.htm
要獲取 2007 Microsoft Office 資源工具包,請訪問下面的 Microsoft 網站:
http://technet.microsoft.com/en-us/library/cc303401.aspx
以Office 2003的自定義安裝向導為例,雙擊Ork.exe運行安裝程序,安裝過程非常簡單非常類似office的安裝。安全結束后找到啟動程序就比較麻煩了:“開始\程序\Microsoft Office\Microsoft Office Tools\Microsoft Office 2003 Resource Kit\Custom Installation Wizard”。在運行后需要設置你要進行轉換的MSI文件的位置。如果下文中沒有特別的說明各位選擇路徑的時候都要用UNC方式(如圖1所示)的網絡路徑,選擇剛才以管理員方式制作好的MSI文件。
圖1 需要自定義的MSI位置
在“Open the MST File”配置中我們可以選定生成新的MST文件還是更改文件,這里我們當然選擇“Create a new MST file”,繼續下一步。 “Select the MST File to Save”(讓我們保存MST文件位置)十分重要,這里和前面說過的一樣,一定要用網絡位置保存,同時給MST起一個和用途相關名稱。(如圖2保存MST文件位置)
圖2保存MST文件位置
一路下來,讓我們關注一下右上角的“下拉頁號”,它可以隨時跳轉當前的配置環節。當我們運行到指定Office的安裝位置時,由于我這里只是實驗可以選擇默認位置,在真正的部署中沒有哪個管理員會把Office安裝到 C 盤,至少我是不會這樣做的。***一步時會讓我們選擇不同的Office組件,我們可以針對特殊的部門選擇他們需要的組件了。
這里還舉兩個有趣的范例,我們的單位或者公司都會有自己制作的文檔模版,而每次更新或者變更都要通知到每個用戶。從左側控制項目中選擇“Microsoft Office 2003 (user)——〉Shared Paths”,右側選擇“Workgroup templates path”,雙擊后我們寫入共享模版的路徑:\\Msiserver\templates(如圖3所示)
圖3 網絡模版定義
圖4中可讓我們選擇改變現有Outlook profile,在基于微軟平臺下網絡環境部署的時候經常會利用道Exchange部署我們的郵件系統或者開發內部辦公的工作流。而讓每個用戶自己配制outlook成為支持企業內部的配置文件確實是一件非常麻煩的事。我們在這里可以提前為企業部署exchange作好客戶端的準備。(參見定義Outlook配置文件)
圖4 定義Outlook配置文件
單擊下一步后,(如圖:Exchange 設置)加入Exchange的DNS解析的地址或者輸入IP地址。
圖5 Exchange 設置
后面還有一些調整參數的配置向導,單擊完成后,向導會提示我們如果不是用這個轉換文件的操作,到這里我們自定義向導也就完成了,有興趣的朋友可以下載下來測試一下。
ZAP文件的部署
還記得有一次,我把CRM軟件的使用手冊做成了PDF文檔下發到同時的手里,本來很簡單的事搞得非常復雜。每個客戶端都要安裝Adobe Acrobat Reader ,當時也沒有學會利用組策略。簡直搞得昏天黑地。
其實這個工作很簡單就可以實現,還記得本文開始時候提到的ZAP文件嗎?ZAP 文件其實就是一種簡單的文本文件,就像txt文件一樣,微軟早在Windows 2000的時候就已經可以使用Windows Installer功能識別出來。
不過要提示各位的是,ZAP 文件不能被指派、升級和重新部署。不過你可以發布任何形式的安裝文件,靈活性是***的方法。我們需要使用“記事本”自己編寫,下面給出一個范例,注意保存的時候擴展名為 ZAP 其它的軟件部署的寫法都可以借鑒參考用。
- [Application]
- FriendlyName = "SYMANTEC NORTON 客戶端"
- SetupCommand = " setup.exe"
- DisplayVersion = "10.0"
- Publisher = SYMANTEC
上面的內容語法很簡單,沒有必要給各位說明了,不過有一點要注意,就是在配置好分發策略后,不要移動ZAP文件的位置,如果有變化必須要將包含程序安全文件的整個文件夾移動。
【51CTO獨家特稿,合作站點轉載請注明原文譯者和出處。】
【編輯推薦】
