要使用GPO群組原則來佈署軟體就必須將所需軟體放在特定資夾並且將該資夾分享出來
在此我在DC01 主機建立一個資料夾software 並且將它共享,權限給予讀取就可以
為了安全起見將everyone 群組移除設定authenticated users 群組。
在公司環境中有些軟體是每個用戶都會使用的例如防毒,office,壓縮軟體,Skype 等
在此如果公司有使用微軟SCCM 則可以輕鬆佈署非msi 的檔案。
此示範利用GPO來佈署微軟防毒SCEP(.exe類型)
1. SCEP :
SCEP通常會使用SCCM來佈署,但是環境中沒有就只能手動安裝,無法使用GPO來大量佈署
因為他是一個.exe的安裝檔(如下圖)只能一台一台安裝,如果是用戶多的話就很費時。
但是我們可以用批次檔加GPO的方式來達成輕鬆佈署
將下列指令寫成批次檔(因為該軟體有安靜模式安裝 /s /q 參數)
\\dc01\Software\SCEP\scepinstall.exe /s /q
如下圖我將安裝檔scepinstall.exe 放在 software\scep\底下 連同批次檔也是
建立SCEP-Install 群組原則物件
在[電腦設定] > [Windows設定] > 指令馬(啟動/關機)
選擇啟動電腦就跑這批次檔來進行安裝,批次檔路徑請先點選[顯示檔案]按鈕,將會開啟一個路徑要將檔案放在此。
在將就是GPO連結到OU後當主機或PC開機後就會進行安裝
因為GPO分為使用者設定及電腦設定兩個部分,因為此佈署是電腦設定建議將使用者設定停用
當用戶登入後,會執行安裝程式(如下圖)
安裝完畢
示範佈署.msi 類型(7-zip)
將安裝檔案下載後放在前面步驟建立的資料夾
開啟群組原則管理工具 > 建立一個 GPO物件 (7-zip Install) > 編輯該物件
在電腦設定>原則>軟體設定> 軟體安裝 滑鼠右鍵 > 新增 封裝
找到該軟體檔案路徑,請使用UNC \\dc01\software\7-zip > 點選 開啟
直接選擇指派後就完成設定
最後將GPO連結到OU下就可以了(套用的對象是電腦物件)
當用戶端套用GPO後重開機,就會安裝7-zip
本篇瀏覽人數: 52112
版主你好,文章所說的軟體檔案路徑,請使用UNC \\dc01\software\7-zip > 點選 開啟,
我嘗試過如果沒有使用上述的發法,還是可以部屬,請問後續會有甚麼問題嗎?
檔案位置 C:\users\Administrator\desktop\new file
請問msi跟exe有甚麼差別嗎? 一般部屬都是以哪個為主呢?
您好
這個我沒有詳細去研究,如果要用ad部屬軟體微軟建議就是使用mis檔案
其他相關資訊 可能您要自行搜尋資料參考囉。
您好
軟體部署就是要把檔案放在用戶端都可以存取取共享路徑,如果你設定放在本機路徑 這樣就不行囉
請問如果新增一個共享資料夾,有規定共享資料夾要放在哪一個磁碟區嗎?
您好
沒有規定共享資料夾要放在哪個磁碟區
版主你好,我已經將路徑改為網路路徑,不過另一台網域電腦重新開機之後,並沒有看到共享資料夾,請問是甚麼問題呢?
您好
若已經在一台主機終將資料夾共享出來(假設權限設定沒有問題)後,另一台網域中的電腦重開機沒有看到這個共享資料夾我個人認為正常
因為您沒有說用戶端是如何連線這個資料夾
通常用戶存取資料夾 可以打\\分享主機電腦名稱或是IP\共用資料夾 直接來進入或是用戶端設定網路磁碟機方式
版主你好,如果我今天要針對單一使用者,去派送軟體,我可以怎麼做呢?
GPO只能連結到OU,好像無法針對單一使用者去做設定
您好
GPO就是統一大量設定多數用戶端,為何需要設定單一使用者,所以我無法回答您此問題
我自己經驗是建立額外OU先測試幾位用戶派送若OK,接著就是直接派送所有用戶端
請問版主,群組原則中,電腦登入跟使用者登入有甚麼差別嗎?
您好
電腦登入=>這我沒有仔細研究過,通常我認知就是加入網域的電腦登入網域(重開機後)
使用者登入 => 就是打了帳密後登入電腦
版主你好,我想請問你網域使用者跟本機使用者的差別在哪呢?
就我的認知,在網域控制站新增一個使用者稱為網域使用者,所以當你登入網域使用者的帳密,是不是就代表無法用本機的帳號密碼來登入本機系統呢?
您好
1.我認為是管理上的差別而已
2.加入網域電腦後該PC還是可以用本機帳號登入
3. 建議您至書店買書參考
謝謝
你好,請問我要將軟體移除後再重新安裝我應該要怎麼做呢?
榮哥你好,請問群組原則中,電腦登入跟使用者登入一般會以哪個優先設定呢?
就我的理解,電腦登入是要將電腦物件移動到OU中再進行GPO套用
使用者設定是GPO套用致OU所有使用者,那一般都是會以哪個為基準套用
呢?
您好
就我了解的 會以電腦設定優先
榮哥你好,看了你的教學文章,學習很多,有兩個問題想請教你
1.AD派送GPO至用戶端,需在用戶端下 gpupdate /force,用戶端才會立刻套用更新,只能在每台用戶端下這個指令嗎? 有無其他方法讓用戶端立刻套用規則呢?
2.AD派送GPO至用戶端,我要如何知道gpo派送的狀況呢? 在網路上有查詢到,到用戶端下 gpresult /r可以查詢用戶端套用那些規則,但是不太可能一台台去下達這個指令,能夠再ad server上看到gpo派送的狀況嗎? 有其他方法可以達成嗎?
謝謝
你好,請問利用gpo去派發msi軟體安裝,若該台電腦已利用gpo原則成功執行msi軟體安裝,下次開機後,會不會因gpo原則,又再一次重複去執行msi軟體安裝呢?
您好
不會喔
你好
感謝你的回覆
想在請問您一個問題
利用GPO派送MSI軟體與利用BAT檔方式派發,
哪個做法會比較好呢?
您好
我自己習慣 有MSI 優先 真的不行 再用BAT
你好,想請教幾個問題
1. 目前有設置GPO來安裝四個不同的MSI檔案 (兩個不同層級的群組原則,分別在電腦設定跟使用者設定各放兩個)
但是開啟電腦後,只有比較小型的MSI檔案有安裝成功 (例如7 ZIP),其他比較大的(大約200~500M)就安裝不起來,但是會在 “控制台>程式與功能>從網路安裝程式” 裡面看到檔案
請問這是因為我的設定有錯嗎? (有試過四個MSI檔案 在群組原則中的位置交換,但結果一樣
2. 目前有發現,我在派送安裝之後,如果使用者在控制台自己將程式移除掉了,下一次重開機的時候軟體不會再一次被派送安裝,但是可以在”從網路安裝程式” 裡面手動再次安裝,而且使用AD上的”重新佈署應用程式” 也無法再次派送安裝
這個部分有其他解法嗎? 還是我只能將AD上的設定刪除掉後再重新新增一次?
3. 我準備了兩台測試機,一台先不接網路,一台先開機接受派送安裝,且也正常安裝起來了後,再將原本沒接網路的電腦接上網路並開機,我發現後面開機的這台電腦開機後並不會被派送安裝,但是確定 “從網路安裝程式” 裡面有我需要的MSI檔案
這個是哪邊的設定要調整嗎?
您好
1. 我沒有遇過檔案大小的問題,另外您提到[會在 “控制台>程式與功能>從網路安裝程式” 裡面看到檔案],這樣我猜測您GPO設定指派使用者的地方是否有勾選[再登入時安裝此應用程式]
另一個我覺得可能性是,登入的用戶權限沒有本機管理者權限所以沒安裝成功吧。
2. 已經使用軟體派送成功的電腦,在機碼中會有一個紀錄,路徑在[HKLM\Software\Microsoft\Windows\Current Version\Group Policy\AppMgmt\]一個軟體一組
如果手動移除該軟體這個地方的機碼不會被移除,所以儘管在使用gpupdate /force 後重開機還是不會安裝,所以必須要在該用戶電腦將這個機碼移除後再套用GPO應該可以再次安裝
反之如果是系統管理者在GPO上設定移除該軟體時用戶端套用後移除這個機碼會自動刪除。
所以如果用戶端手動移除,那我可能就會親自去把它機碼刪掉在執行gpupdate /force 後在自動重開機後再次安裝,當然你可以把GPO設定直接移除再套用或許也可以只是用戶端可能就會移除再重安裝
3.我沒有做過這樣子的測試,基本上我自己的經驗當我一個GPO設定完成後套用下去給用戶端,不會馬上所有用戶都會套用,因為用戶電腦大約是90分鐘重新整理一次群組原則,隨機偏移30分鐘
所以我就等各幾天再去用戶端看看佈署的狀態。
以上給您參考看看了
謝謝