[轉貼]在AD 網域內部署MSI 安裝檔軟體(上) - 百利工頭

百利工頭http://www.miskeeper.url.tw/index.php?load=read&id=122 在AD 網域內部署MSI 安裝檔軟體(上) 作者: Scott 日期: 2008-01-31 09:3 . 註冊 登錄 標籤 統計 幫助 百利工頭»WindowsServer產品討論版»[轉貼]在AD網域內部署MSI安裝檔軟體(上) ‹‹上一主題|下一主題›› 發新話題 發佈投票 發佈商品 發佈懸賞 發佈活動 發佈辯論 發佈視頻 打印 [轉貼]在AD網域內部署MSI安裝檔軟體(上) chun 管理員 個人空間 發短消息 加為好友 當前離線 1# 大 中 小 發表於2009-5-1212:31  只看該作者 [轉貼]在AD網域內部署MSI安裝檔軟體(上) http://www.miskeeper.url.tw/index.php?load=read&id=122 在AD網域內部署MSI安裝檔軟體(上) 作者:Scott  日期:2008-01-3109:30 字體大小:小中大 延續之前的“快速建立ADserver管理網域內電腦”文章，介紹如何在AD網域內部署MSI安裝檔軟體。

1.群組（OU）的基本觀念在 AD網域中，群組（OU）指的是一種容器，在群組（OU）中可以同時放置登錄至AD中的電腦主機或是使用者帳號，你可以在AD 目錄樹中進行新增刪除，也可以在群組（OU）中再新增群組（OU）使用樹狀的結構對電腦或是使用者進行管理。

建議的方式，是在AD目錄樹中將電腦的群組 （OU）與使用者帳號的群組（OU）分開建立。

電腦樹使用辦公室地理位置進行分類，而使用者則使用部門別進行分類。

2.組策略（GPO）的基本觀念 在AD 網域內要對網域內電腦進行管控絕大部分都是透過組策略（GPO）進行設定，也就是說所謂的組策略（GPO）也就是一組設定參數，基本上是設定在目標電腦上 的各種Windows 設定值，包含許多控制臺中可設定的參數以及Windows中隱含的參數，比較常用的包含，網路權限，防火墻設定，安全設定，應用軟體設定等等。

一套組策略（GPO）包含了對電腦，及使用者賬戶的設定，一般的建議是在同一個組策略（GPO）中僅針對電腦或是使用者進行設定並且在組策略（GPO）命名中區別，以方便日後的管理。

而在AD的設定中，組策略（GPO）是無法針對個別的使用者或是電腦作用的，組策略（GPO）設定的目標是群組（OU）。

下圖是組策略（GPO）可以作用的對象。

 下圖是組策略（GPO）無法直接作用的對象。

 那若是僅想針對網域內某一個帳號或是某臺電腦進行設定，那你只能為了他建立一個單獨的群組（OU）再將該設定套用在該OU上了。

3.組策略（GPO）的作動時機 當你在AD 上設定了一個組策略（GPO）並且指派到某一個群組（OU）後，什麼時候你的設定會生效呢？一個組策略（GPO）中又分為對電腦的設定與對使用者的設定， 一般來說，對電腦的設定在該名稱主機開機後，若是在網域內網路，該主機會進行主機登入AD 的動作，並且在歡迎畫面（使用者輸入登入帳號密碼）之前開始載入所屬組策略（GPO）的設定，而在使用者部分的設定則是在使用者輸入登入帳號與密碼後載入 並執行之。

也就是說雖然在同一個組策略（GPO）中進行的設定，但是實際上在電腦登入網域後的執行時機是不同的。

并且，在組策略（GPO）中設定的電腦部分僅在該電腦開機時執行一次，而使用者設定則在每次從Windows歡迎畫面再登入時都會作動。

4.組策略（GPO）更新 若你已經設定了一個組策略（GPO）並且公司內的電腦都已經開機完畢，而你修改了該組策略（GPO）的設定，一般來說客戶端會在30～90分鐘內上 ADServer撈取新的組策略（GPO）設定值，當你每次修改組策略（GPO）後，AD 會將該組策略（GPO）的累計標簽增加，客戶端在30～90分鐘內匯上線檢查該標簽，若是新的則會抓取下來，使用者的設定會立即套用，電腦的設定會在下次 開機時套用，若是你有需要立即套用新的組策略（GPO），如下圖在命令模式下執行“gpupdate/force”即可立即更新本地端的組策略（GPO），若有重新開機的需要則系統會提示之。

 5.組策略（GPO）的繼承與優先 在AD 中的群組（OU）時可以樹狀的結構存在，而設定在群組（OU）樹上的組策略（GPO）是具有繼承性的，也就是說下層的群組（OU）是具備上層群組（OU） 的組策略（GPO）設定的，若上下層的組策略（GPO）沖突，則下層的設定會覆蓋上層的設定，而所有的組策略（GPO）都繼承了系統的預設組策略 （GPO），建議不要變更系統的預設組策略（GPO），不然日後的組策略（GPO）除錯會很辛苦的。

而在同一個組策略（GPO）中如電腦主機的設定與使用 者設定沖突是一般是使用電腦設定的。

所以，建議在一個組策略（GPO）鐘僅針對電腦或是使用者進行設定就好，反正一個群組（OU）是可以套用多個群組 （OU）的，沒有必要放在一起找自己麻煩呢～6.組策略（GPO）的設定軟體由於Windows2000/2003內建的組策略（GPO）設定方式實在是太難用，所以微軟自己也出了組策略（GPO）編輯軟體GPMC（GroupPolicyManageCenter）來管理組策略（GPO），先至以下連結下載GPMC。

http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=zh-tw 選擇使用語言後，擊點下載後安裝即可。

7.組策略（GPO）的新增，設定，檢視，與連結安裝完GPMC後在從開始->程式集->管理工具->組策略管理啟動GPMC如下圖  看 看這個介面是不是比原本的友善多了，啟動GPMC後我們可以看到在左邊的樹狀列中有著我們在AD中建立的群組（OU）樹，首先你可以看到兩個 Default 的組策略（GPO），這就是我之前說過的系統預設的組策略（GPO），還是一樣建議不要去修改它，接著你可以在任何一個你想要設定的群組（OU）上按右鍵 選擇創建並連結組策略（GPO），如下圖，系統會先提示並要求你給現在正要創建的組策略（GPO）一個名字，建議名稱內註明目標是設定給電腦還是使用者 的。

 我們新建了一個“Agent派送Computer”組策略（GPO），你會看到它出現在你所指定的群組（OU）下出現連結，並且在組策略對象中出現實體，如下圖。

 當你對該組策略（GPO）進行編輯時他會套用到所有連結到該組策略（GPO）的實體中。

我們在該組策略（GPO）上按右鍵選擇編輯後出現以下編輯畫面。

 你可以在本畫面中進行該組策略（GPO）的電腦或是使用者的設定，在本界面中的設定是當你更改後就立即寫入了。

若是要檢視已經設定的組策略（GPO）請回到GPMC主畫面後選擇欲檢視的組策略（GPO），並點選設置標簽，就會看到該組策略（GPO）的設定，如下圖。

 內容有點長，還是分成兩篇來Post好了，請期待下級 UID1 帖子1003 精華0 積分0 閱讀權限200 在線時間165小時 註冊時間2008-1-21 最後登錄2021-8-25  查看詳細資料 TOP ‹‹上一主題|下一主題›› 虛擬化服務CitrixVmware企業用戶好東西分享限時優惠商品區--會員獨享經典小品Windows技術討論區Windows2000,XP,Vista產品討論版Windows9x產品討論版WindowsServer產品討論版其他軟體討論版Linux技術討論區Linux指令及更新Linux服務主機討論區病毒防治討論區趨勢相關產品討論區其他產品討論區備份軟體討論區網路設備討論區其他設備防火牆及負載平衡器網路概念討論區大樓機房工程討論區電力系統工程電話總機工程監控門禁工程網路佈線工程其他工程相關課程討論區Windows課程其他網路課程 控制面板首頁 編輯個人資料 積分記錄 公眾用戶組 個人空間管理 基本概況 流量統計客戶軟件發帖量記錄 版塊排行主題排行發帖排行積分排行 交易排行 在線時間 管理團隊 管理統計 當前時區GMT+8,現在時間是2022-5-117:46 清除Cookies -聯繫我們-百利工頭 -Archiver -WAP -TOP PoweredbyDiscuz!6.0.0 ©2001-2007ComsenzInc. Processedin0.015047second(s),8queries,Gzipenabled.