发布时间 : 星期一 文章Windows Server 2008 R2域的安全管理更新完毕开始阅读7f7b730690c69ec3d5bb75cf
如图1-21所示,限制USB设备的读取和写入设置后的效果。
图1-21 限制USB设备的读取和写入
任务2 应用组策略部署软件(6学时)
通过组策略,可以将软件部署给域内的计算机。软件部署分为分配和发布。分配可以给用户,也可以给计算机。
如果分配给用户,则用户在域内的任何一台计算机登录时,这个软件都会被通告给该用户,但是此软件并没有完全安装,而只是安装了与这个软件有关的部分信息。当用户运行此软件时,将会安装此软件。
如果分配给计算机,则当计算机启动时就会自动安装这个软件,而且任何用户登录都可以使用此软件。
软件发布只能给用户,当将软件发布给域用户后,此软件并不会自动被安装到用户的计算机内,用户可以通过控制面板来安装该软件。
[安全管理需求]
将软件部署给域内的计算机,当用户登录或计算机启动时会自动安装软件或者很容易安装所部署的软件。
[任务描述]
1、利用组策略实现软件发布
制作一个QQ的msi文件,将此软件发布到计算机系内用户。 2、利用组策略实现软件的分配
(1)为计算机系中的用户设置组策略以实现程序QQ.msi的分配。 (2)为计算机系中的计算机设置组策略以实现程序QQ.msi的分配。 [步骤提示]
1、利用组策略实现软件发布
(1)msi软件的制作
方法一,利用工具软件WinINSTALL LE可以比较简单的制作出.msi文件。步骤为: 第一步,在Windows Server 2008 R2上安装WinINSTALL LE。默认该软件会安装在系统盘C:\\Program Files (x86)\\Scalable\\WinINSTALL\\,共享名为WinINSTALL。
第二步,在Windows 7上通过网络访问Windows Server 2008 R2,运行共享文件夹WinINSTALL\\Bin\\Discover.exe程序,此时它会创建Before快照,其内包含在安装非MSI应用程序之前的环境,包含当前磁盘内有哪一些文件、登录设置值与其他设置值等。
第三步,根据提示指定封装后的MSI应用程序的文件名和存储路径,选择存储磁盘,要扫描的磁盘,要排除的文件和文件夹,要排除的登录路径等,这里可以使用默认值。然后程序会引导你安装这个非MSI程序。
第四步,完成非MSI应用程序的安装后,再次运行Discover.exe程序,此时将创建After快照,然后将创建一个MSI应用程序。这个应用程序默认会放在服务器的WinINSTALL\\Bin\\Packages之内。
经过上述步骤,完成了一个MSI程序的制作。
方法二,利用Advanced Installer制作.msi文件。步骤为:
第一步,在Windows 7上安装Advanced Installer。可以选择默认安装选项,其安装路径为“C:\\Program Files\\Caphyon\\Adanced Installer”。
第二步,Advanced Installer使用的原理跟WinINSTALL LE一样。就是执行两次系统的快照扫描,将两次快照扫描之间的系统和注册表的变化对比后,将差异记录并保存,再结合程序打包成为相应的.msi包。通过“开始”-》Advanced Repackager,进入“重新封装器向导”,如图1-22所示。根据向导的提示进行操作。
图1-22 重新封装向导示意图
第三步,填写需要打包的应用程序的路径,产品名称、版本、公司名称等信息,如图1-23所示。然后选择“开始一个新的系统捕获”(这是第一次捕获)。其它设置都使用默认值。捕获这个过程需要较长的时间,请耐心等候。
图1-23 重新封装软件示意图
第四步,进行完第一次系统扫描后,会自动弹出软件的安装界面,这时按照正常的步骤安装软件。
第五步,软件安装完成后,会继续进行第二次的系统扫描,完成之后,即完成了重新封装器向导,点击“完成”,会将捕获结果导入到新的Advanced Installer工程。如图1-24所示。
图1-24 Advanced Installer工程示意图
第六步,进入工程设置组的编辑页面,此处可以对产品细节、安装参数、升级、搜索、运行环境、数字签名进行编辑,这里跳过。也可以进入工程定义组的编辑页面对文件和文件夹、Java产品、注册表、媒介、组织进行编辑。还可以进入工程细节组的编辑页面,对环境、文件关联、自定义操作、服务、合并模块、ODBC、SQL脚本、程序集、COM、驱动程序、用户和组、任务计划进行编辑。在用户界面组的编辑页面中可以对全局属性、对话框、翻译进行编辑,这里特别要注意的是,如果此工程是英语,则应该在构建语言中选择“简体中文”,并选择“只创建一个多语言程序包”,这样使打包后的软件可以支持中文。最后,在工具组的编辑页面中可以对IIS、更新器、序列号验证、CD/DVD自动运行、控制面板、Windows防火墙、游戏浏览器进行编辑。此处全部使用默认值。
第七步,点击菜单项“工程”后选择“运行”或按“F5”键,将此工程保存,然后就开始构建工程生成MSI文件的过程。如图1-25所示。
图1-25 构建msi工程示意图
构建完工程后会弹出应用程序的安装界面,进行安装。完成之后。到工程文件所在的文件夹,打包后的msi文件就保存在此文件夹中。至此,软件的重新打包就算完成。
注:完成软件的打包之后,还可以对软件包进行测试,通过进一步的安装使用以确定软件是否可以正常可用。可以使用命令行进入到msi所在的文件夹,运行“msiexec /i “xxxx.msi” /qb”进行验证。
(2)创建软件发布点
在域中的任一台服务器上创建一个文件夹作为软件发布点,设置必要的访问权限。将需要发布的msi文件放入该文件夹中。
(3)在域控制器上设置软件默认的存储位置。
在组织单元计算机系上设置组策略,在用户配置-〉策略-〉软件安装-〉属性,设置默认程序数据包位置,注意这里必须是UNC网络路径。如图1-26所示。