下面是小编精心整理的组策略分发软件全攻略(共含7篇),仅供参考,大家一起来看看吧。同时,但愿您也能像本文投稿人“品牌冷线”一样,积极向本站投稿分享好文章。
在规模比较大的网络环境里面,为了对服务器和客户机上的软件、系统补丁进行集中统一的管理,我们可能会用到SUS、WSUS、SMS等,SUS、WSUS管理系统更新,不在本文讨论,请参考其它相关技术文档。虽然SMS功能较强大,兼容性好,绝大多数应用软件都可以用它来管理,但是它比较复杂,实现起来要考虑的问题也比较多。如果要部署的应用程序不多不十分复杂的话,其实我们还是可以回归到比较原始的技术:
利用GPO实现软件设置
● 分发软件
● 修复软件
● 删除软件
● 升级软件
优点:易实现
缺点:功能简单、兼容性差(只能分发winodows安装程序包DD.msi,exe封装的程序安装包要用Advanced Installer重新封装成msi文件)
实现:前提是熟悉Winodows Server活动目录的基本管理,理解组策略,熟悉通过AD部署组策略
一、获取要分发的软件
如图从网上下载了GreenBrowser和千千静听来分发给所有客户机或者用户使用,但都是exe封装的安装包。因为通过组策略只能够分发msi封装的程序安装包,所以我们要使用Advanced Installer把他们都重新封装成msi格式的安装包:
1、运行Advanced Installer,打开新建工程向导,按向导做
选择“语言”、“重新包装安装”DD>“确定”
2、按向导提示,关掉真正运行的其它程序,下一步
3、选中捕获新的安装
4、指定要重新包装的源程序,并设置名称、版本等信息
5、如图,选中新的系统捕获
6、指定“安装捕获配置文件”保存路径,其它默认
下一步,“确定”:
7、记录当前系统状态,以便后面记录安装源程序后系统的变化
8、安装一遍源程序
9、Advanced Installer会把源程序安装后系统的变化记下,“完成”,“导入”
10、接下来设置重新封装后,msi文件保存目录(这里指定的是D:MSI)和文件名,如图中123步骤
过程:
11、完成,确定后D:MSI下就有重新包装后的msi安装包了
二、创建软件分发点(一共享文件夹)
1、如图,在用来存放分发软件的服务器上创建一共享文件夹D:software,域用户有读取的权限就够了
共享权限:
NTFS权限:
2、在分发点用不同的子文件夹存放要分发的不同安装文件
3、使用管理安装选项命令Msiexec设置软件包在客户机安装的相关选项:
语法 msiexec /a Package
参数 /a (或-a) #应用管理安装选项,
Package #指定Windows 安装程序包文件的名称。(本地路径)
这个过程可以设置某些软件安装时需要的序列号等内容,这些设置项在客户机那边安装是就自动完成,不用再设了!
执行后会以向导的形式引导管理员安装,“网络位置”指到分发点下存放该软件的子文件夹,本例为D:softwareGreenBrower
其它的可以按默认的设置进行,
会把相关的文件装到D:softwareGreenBrower下,包括后面在GPO中新建分发程序包要指定的msi安装包GreenBrowerGBSetup.msi
PS:其它要分发的软件同样安装上面的步骤管理安装包,如千千静听的分发点如下图所示:
三、设置GPO
1、打开ADUCDD
(右击域intel.cn)打开域属性DD新建GPO,并打开该GPO编辑器,
2、创建分发程序包的策略
分发方法有两种: i.指派(强制安装) ii.发布(可选安装)
修改后GPO后,如果是在“计算机配置”里“指派”给计算机,客户机执行策略刷新命令gpupdate后重启时安装,所有用户在客户机上都可使用该软件;如果是在“用户配置”里“指派”或者“发布”给用户,用户在客户机执行策略刷新命令gpupdate后生效,“发布”的可以在【控制面板】|【添加/删除程序】|“添加程序”中选择安装,“指派”的软件则注销或重启后重新登录后,程序在【开始】菜单中,用户第一次使用该软件时安装。
一、什么是组策略
(一)组策略有什么用
说到组策略,就不得不提注册表,注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
(二)组策略的版本
大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows /XP/系统。
早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。
无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。
二、组策略中的管理模板
在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。
在Windows 9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为:
1)System.adm:默认情况下安装在“组策略”中,用于系统设置。
2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet Explorer策略设置。
3)Wmplayer.adm:用于Windows Media Player 设置。
4)Conf.adm:用于NetMeeting 设置。
在Windows 2000/XP/2003的组策略控制台中,可以多次添加“策略模板”,而在Windows 9X下,则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows 2000/XP/2003组策略控制台中使用如下:
首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,按下鼠标右键,在弹出的菜单中选择“添加/删除模板”,则弹出如图1所示的对话框。
图 1
然后单击“添加”按钮,在弹出的对话框中选择相应的.adm文件。单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。
返回到“组策略”编辑器主界面后,依次打开目录“本地计算机策略→用户配置→管理模板”,再点击相应的目录树,就会看到我们新添加的管理模板所产生的配置项目了(为了便于本文后面的实例大家能一起动手操作,建议添加除默认模板文件的其它模板文件)。
再来看Windows 9X下的组策略编辑器。首先在组策略编辑器中的“文件”菜单中选择“关闭”,以便将当前脚本关闭,然后再在“选项”菜单中选择“模板”,则弹出如图2所示的对话框。
图 2
然后单击“打开模板”按钮,在弹出的对话框中选择相应的.adm文件并单击“打开”按钮,则在编辑器中打开选定的脚本文件并等待用户执行,
[1] [2] 下一页
三、运行组策略(一)Windows 9X策略编辑器
按操作系统的不同,策略编辑工具分为两种,一种为Windows 2000/XP/2003组策略管理控制台,它在系统安装时已经默认安装上了;另外一种就是Windows 9X的系统策略编辑器,它在系统安装时并不被安装,程序文件在Windows安装盘上的 oolseskitetadminpoledit目录下,它包括Poledit.exe、Poledit.inf、Windows.adm等文件。
如果是Windows 9X系统通过下面的方法,则可以进行正规的安装过程。
1.在控制面板中,双击“添加/删除程序”图标,单击“安装Windows”标签,然后单击“从磁盘安装”选项。
2.在从磁盘安装对话框中,单击“浏览”按钮并指定Windows 9X安装光盘的toolseskitetadminpoledit目录。
3.单击“确认”按钮,然后再次单击对话框中的“确认”按钮。
4.在从磁盘安装对话框中,选择“系统策略编辑器”和“组策略”复选框,然后单击“安装”按钮。
安装完成后,单击“运行”命令项,输入poledit,然后单击“确认”按钮(运行后的界面如图3所示)。
图 3
管理员可以以两种不同的方式使用系统策略编辑器:注册表方式和策略文件方式。
1.以注册表方式使用系统策略编辑器。在系统策略编辑器中的文件菜单中,单击打开注册表编辑器,然后双击相应的本地用户或本地计算机图标。这取决于要编辑注册表中的哪个部分。在使用注册表方式时,可以直接编辑本地或远程计算机的注册表。这样,所做的改变将立即反映出来。在做出修改之后,必须关机并重新启动计算机以使所做修改生效。
2.以策略文件方式使用系统策略编辑器。在系统策略编辑器中的文件菜单中,单击新建或打开来打开一个策略文件。在使用策略文件方式时,可以创建和修改用于其它计算机的系统策略文件(POL),在这种方式下,注册表被间接地修改。这项改变将在用户登录时策略文件被下载后反映出来。当以策略文件方式编辑设置值时,单击一个注册表选项,可以看到三种可能状态之一:选中、清除、变灰。每当选择一个选项时,将会循环显示下一个可能的状态,这与选择一个标准的复选框不同。标准的复选框只有选中或清除两个选项。
如果一个设置值需要附加信息,那么缺省用户属性对话框的底部将出现一个编辑控制。通常,如果选中了一个策略,而又不想强制使用它,应当清除该复选框来取消该策略。
(二)Windows 2000/XP/2003组策略控制台
如果是Windows 2000/XP/2003系统,那么系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”命令项,输入gpedit.msc并确定,即可运行程序(界面如图4所示)。
图 4
使用上面的方法,打开的组策略对象就是当前的计算机,而如果需要配置其他的计算机组策略对象的话,则需要将组策略作为独立的控制台管理程序来打开,具体步骤如下:
1)打开 Microsoft 管理控制台(可在“开始”菜单的“运行”对话框中直接输入MMC并回车,运行控制台程序)。
2)在“文件”菜单上,单击“添加/删除管理单元”。
3)在“独立”选项卡上,单击“添加”。
4)在“可用的独立管理单元”对话框中,单击“组策略”,然后单击“添加”。
5)在“选择组策略对象”对话框中,单击“本地计算机”编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。
6)单击“完成”,单击“关闭”,然后单击“确定”。组策略管理单元即打开要编辑的组策略对象。
对于不包含域的计算机系统来说,在上面第5步的界面中,只有“计算机”标签,而没有其他标签项目。
通过上面的方法,我们就可以使用Windows 2000/XP/2003组策略系统强大的网络配置功能,让管理员的工作更轻松和高效。
在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态,Windows 2000/XP/2003组策略管理控制台同样也有三种状态,只不过名字变了。它们分别是:已启用、未配置、已禁用。
上一页 [1] [2]
一、什么是组策略
(一)组策略有什么用?
说到组策略,就不得不提注册表,注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
(二)组策略的版本
大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。
早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。
无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。
二、组策略中的管理模板
在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。
在Windows 9X系统中,默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为:
1)System.adm:默认情况下安装在“组策略”中,用于系统设置。
2)Inetres.adm:默认情况下安装在“组策略”中;用于Internet Explorer策略设置。
3)Wmplayer.adm:用于Windows Media Player 设置。
4)Conf.adm:用于NetMeeting 设置。
在Windows 2000/XP/2003的组策略控制台中,可以多次添加“策略模板”,而在Windows 9X下,则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows 2000/XP/2003组策略控制台中使用如下:
首先运行“组策略”程序,然后选择“计算机配置”或者“用户配置”下的“管理模板”,按下鼠标右键,在弹出的菜单中选择“添加/删除模板”,则弹出如图1所示的对话框。
图 1
然后单击“添加”按钮,在弹出的对话框中选择相应的.adm文件。单击“打开”按钮,则在系统策略编辑器中打开选定的脚本文件,并等待用户执行。
返回到“组策略”编辑器主界面后,依次打开目录“本地计算机策略→用户配置→管理模板”,再点击相应的目录树,就会看到我们新添加的管理模板所产生的配置项目了(为了便于本文后面的实例大家能一起动手操作,建议添加除默认模板文件的其它模板文件)。
再来看Windows 9X下的组策略编辑器。首先在组策略编辑器中的“文件”菜单中选择“关闭”,以便将当前脚本关闭,然后再在“选项”菜单中选择“模板”,则弹出如图2所示的对话框。
图 2
然后单击“打开模板”按钮,在弹出的对话框中选择相应的.adm文件并单击“打开”按钮,则在编辑器中打开选定的脚本文件并等待用户执行。
三、运行组策略
(一)Windows 9X策略编辑器
按操作系统的不同,策略编辑工具分为两种,一种为Windows 2000/XP/2003组策略管理控制台,它在系统安装时已经默认安装上了;另外一种就是Windows 9X的系统策略编辑器,它在系统安装时并不被安装,程序文件在Windows安装盘上的toolsreskitnetadminpoledit目录下,它包括Poledit.exe、Poledit.inf、Windows.adm等文件。
如果是Windows 9X系统通过下面的方法,则可以进行正规的安装过程。
1.在控制面板中,双击“添加/删除程序”图标,单击“安装Windows”标签,然后单击“从磁盘安装”选项。
2.在从磁盘安装对话框中,单击“浏览”按钮并指定Windows 9X安装光盘的toolsreskitnetadminpoledit目录。
3.单击“确认”按钮,然后再次单击对话框中的“确认”按钮。
4.在从磁盘安装对话框中,选择“系统策略编辑器”和“组策略”复选框,然后单击“安装”按钮。
安装完成后,单击“运行”命令项,输入poledit,然后单击“确认”按钮(运行后的界面如图3所示)。
图 3
管理员可以以两种不同的方式使用系统策略编辑器:注册表方式和策略文件方式。
1.以注册表方式使用系统策略编辑器。在系统策略编辑器中的文件菜单中,单击打开注册表编辑器,然后双击相应的本地用户或本地计算机图标。这取决于要编辑注册表中的哪个部分。在使用注册表方式时,可以直接编辑本地或远程计算机的注册表,
这样,所做的改变将立即反映出来。在做出修改之后,必须关机并重新启动计算机以使所做修改生效。
2.以策略文件方式使用系统策略编辑器。在系统策略编辑器中的文件菜单中,单击新建或打开来打开一个策略文件。在使用策略文件方式时,可以创建和修改用于其它计算机的系统策略文件(POL),在这种方式下,注册表被间接地修改。这项改变将在用户登录时策略文件被下载后反映出来。当以策略文件方式编辑设置值时,单击一个注册表选项,可以看到三种可能状态之一:选中、清除、变灰。每当选择一个选项时,将会循环显示下一个可能的状态,这与选择一个标准的复选框不同。标准的复选框只有选中或清除两个选项。
如果一个设置值需要附加信息,那么缺省用户属性对话框的底部将出现一个编辑控制。通常,如果选中了一个策略,而又不想强制使用它,应当清除该复选框来取消该策略。
(二)Windows 2000/XP/2003组策略控制台
如果是Windows 2000/XP/2003系统,那么系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”命令项,输入gpedit.msc并确定,即可运行程序(界面如图4所示)。
图 4
使用上面的方法,打开的组策略对象就是当前的计算机,而如果需要配置其他的计算机组策略对象的话,则需要将组策略作为独立的控制台管理程序来打开,具体步骤如下:
1)打开 Microsoft 管理控制台(可在“开始”菜单的“运行”对话框中直接输入MMC并回车,运行控制台程序)。
2)在“文件”菜单上,单击“添加/删除管理单元”。
3)在“独立”选项卡上,单击“添加”。
4)在“可用的独立管理单元”对话框中,单击“组策略”,然后单击“添加”。
5)在“选择组策略对象”对话框中,单击“本地计算机”编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。
6)单击“完成”,单击“关闭”,然后单击“确定”。组策略管理单元即打开要编辑的组策略对象。
对于不包含域的计算机系统来说,在上面第5步的界面中,只有“计算机”标签,而没有其他标签项目。
通过上面的方法,我们就可以使用Windows 2000/XP/2003组策略系统强大的网络配置功能,让管理员的工作更轻松和高效。
在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态,Windows 2000/XP/2003组策略管理控制台同样也有三种状态,只不过名字变了。它们分别是:已启用、未配置、已禁用。
四、“桌面”设置
Windows的桌面就像我们的办公桌一样,需要经常进行整理和清洁,而组策略就如同我们的贴身秘书,让桌面管理工作变得易如反掌。下面就让我们来看看几个实用的配置实例:
位置:“组策略控制台→用户配置→管理模板→桌面”
1.隐藏桌面的系统图标(Windows 2000/XP/2003)
虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能,但这样比较麻烦,也有一定的风险。而采用组策略配置的方法,可以方便快捷地达到此目的。
比如要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可(如图5);如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失;同样如果要让“回收站”图标消失,只须将“从桌面删除回收站”策略项启用即可。
图 5
2.退出时不保存桌面设置(Windows 2000/XP/2003)
此策略可以防止用户保存对桌面的某些更改。如果你启用这个策略,用户仍然可以对桌面做更改,但有些更改,如图标的位置、任务栏的位置及大小,在用户注销后都无法保存,不过任务栏上的快捷方式总可以被保存。
在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。
3.屏蔽“清理桌面向导”功能(Windows XP/2003)
“清理桌面向导”会每隔 60 天自动在用户的电脑上运行,以清除那些用户不经常使用或者从不使用的桌面图标。如果启用此策略设置,则可以屏蔽“清理桌面向导”,如果你禁用或不配置此设置,“清理桌面向导”会按照默认设置每隔60天运行一次。
打开右侧窗格中的“删除清理桌面向导”,根据需要设置策略选项即可。
4.启用/禁用“活动桌面”(Windows 2000/XP/2003)
“活动桌面”是Windows 98(及以后版本)或安装了IE 4.0的系统中自带的高级功能,最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑,有时候我们需要禁用这一功能(并且禁止用户启用它),通过策略设置可以轻松达到这一要求。具体操作方法:打开右侧窗格中的“禁用活动桌面”并启用此策略。
提示:如果同时启用“启用 Active Desktop”设置和“禁用 Active Desktop”设置,则“禁用 Active Desktop”设置会被忽略。如果 “禁用 Active Desktop 和 Web 视图”设置(在“用户配置→管理模板→Windows组件→Windows资源管理器”中)被启用,Active Desktop 就会被禁用,并且这两个策略都会被忽略。
以上介绍了几个关于桌面的组策略配置项目,在“组策略控制台→用户配置→管理模板→桌面”下还有其他若干组策略配置项目,读者可根据需要进行配置,这里不再赘述。
组策略之软件安装!
通常情况下,给一个公司网络组建域控制器的目的除了能够统一管理员工的电脑使用外,另一个大的用途就是方便网管员的工作了,其中,软件分发安装就是其中一个。 通常情况下,我们可以通过软件安装来分发后缀名为.msi的可执行文件(卡巴就是这个后缀名的哦)。通过在组策略的计算机配置中的软件安装中,点击右键,如何选择程序包,通过UNC路径(注意了哦:这个是网络路径,所以,管理员必须把此软件共享出去)找到程序 位置。如何,选择已指派就可以了。当然,在用户配置的软件安装中的配置也是按照此顺序完成的。在此解释下用户配置与计算机配置中安装的区别。使用用户配置,则用户在域中的任何一台机子,使用本登陆名登陆,都可以看到分发出来的软件。而使用计算机配置的话,则对登陆客户端的任何一个用户都是有效的。大家看见了没有?在发布好软件后,选择软件里面的属性,查看部署,可以看见指派与发行两个选项(计算机配置中,发行为灰色)。所以,这里有就有三种软件部署的方法了: 发行给用户,指派给用户,指派给计算机。下面,来剖析下这三种方法的区别。
第一种是发行给用户。选择此方式时,软件只会出现在添加与删除对话框内。用户可以选择删除此软件。等以后需要的时候再安装。
第二种时指派给用户。选择此方式,用户再任何一台电脑登陆域,都可以在开始菜单与桌面上看到软件的快捷方式。同时,计算机中也会注册该软件的相关信息。如关联的文件等。用户只要点击开始菜单或桌面上的快捷方式时,计算机就会自动下载安装次软件。但与发行给用户不同的是,用户可以删除此软件,但是,下次登陆时,它还是会出现,意思是说,它是阴魂不散的。除非管理员删除了它或者你安装了它。
第三种是指派给计算机,
选择此方式,用户不用手动执行,计算机会在启动时,自动下载并安装此软件。用户不能删除此软件,只有管理员有此特权。
下面是我简单作的一个部署方法区分表
执行方式 发行给用户 指派给用户 指派给计算机
生效时间 下次登陆域 下次登陆域 下次启动计算机
完整的软件触发时机 用户从添加与删除程序安装 第一次点击快捷方式 计算机启动自动安装
是否出现快捷方式 否 是 是
何种身份删除软件 发行的对象 指派的对象 系统管理员
或许我们大多数的情况下,安装和发布的软件并不是.msi的后缀名。而是.exe的软件。这时候,用普通的发布方式是不行的。这时候,我们可以通过软件将其转换成.msi的方式,但是,我还是推荐用下面的方法来进行:通过分发.zap软件的方式
.zap是微软早期使用的一种软件格式,当然现在也支持了。我们要做的就是书写一个.zap脚本就可以了。把此脚本存放在软件目录里面。在这,偶就用最常见的winrar软件来说明了吧。
[application]
friendlyname=winrar 'friendlyname是指在添加与删除程序中显示的用户名.必须的哦
setupcommand=winrar.exe '应用程序的安装文件名,必须!
displayversion=7.0 '版本号,爱写不写.
publisher=Nico,Mak Compating,INC. '发布单位,可选
URL=www.microsoft.com '网址,可选
[ext] '用来打开文件的扩展名,也就是说点击这样的扩展名时,将自动安装当前软件
五、个性化“任务栏”和“开始”菜单
在图6所示窗口的右侧,显示了“任务栏”和“开始”菜单的有关组策略配置项目,下面我们来看具体的实例:
图 6
位置:“组策略控制台→用户配置→管理模板→任务栏和开始菜单”
1.给“开始”菜单减肥(Windows /XP/)
如果觉得Windows的“开始”菜单太臃肿的话,可以将不需要的菜单项从“开始”菜单中删除。在组策略右侧窗格中,提供了“从开始菜单删除用户文件夹”、“删除到‘Windows Update’的访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除‘我的文档’图标”等多种组策略配置项目,
你只要将不需要的菜单项所对应的策略启用即可。
2.保护好“任务栏”和“开始”菜单(Windows 2000/XP/2003)
如果你不想随意让他人更改“任务栏”和“开始”菜单的设置,你只要将组策略控制台右侧窗格中的“阻止更改‘任务栏和开始菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样,当你用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息(图7),且当鼠标右键单击任务栏及任务栏上的项目时,例如“开始”按钮、时钟和“任务栏”按钮,弹出菜单会隐藏。
责编:豆豆技术应用
一、什么是组策略
(一)组策略有什么用?
说到组策略,就不得不提注册表,注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
(二)组策略的版本
大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字,
其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。
早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。
责编:豆豆技术应用
对于Windows的组策略,也许大家使用的更多的只是 管理模板 里的各项功能,对于 软件限制策略 相信用过的筒子们不是很多:)。软件限制策略 如果用的好的话,相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下 软件限制策略。
1、概述
使用 软件限制策略,通过标识并指定允许哪些应用程序运行,可以保护您的计算机环境免受不可信任的代码的侵扰。通过 散列规则、证书规则、路径规则和Internet 区域规则,就用程序可以在策略中得到标识。默认情况下,软件可以运行在两个级别上:“不受限制的”与“不允许的”。在本文中我们主要用到的是路径规则和散列规则,而路径规则呢则是这些规则中使用最为灵活的,所以后文中如果没有特别说明,所有规则指的都是路径规则。
2、附加规则和安全级别
附加规则
在使用 软件限制策略 时,使用以下规则来对软件进行标识:
证书规则
软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有 .exe 或 .dll 扩展名的文件。它们可以应用到脚本和 Windows 安装程序包。可以创建标识软件的证书,然后根据安全级别的设置,决定是否允许软件运行。
路径规则
路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定,所以程序发生移动后路径规则将失效。路径规则中可以使用诸如 %programfiles% 或 %systemroot% 之类环境变量。路径规则也支持通配符,所支持的通配符为 * 和 ?。
散列规则
散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。软件限制策略可以用 SHA-1(安全散列算法)和 MD5 散列算法根据文件的散列对其进行标识。重命名的文件或移动到其他文件夹的文件将产生同样的散列。
例如,可以创建散列规则并将安全级别设为“不允许的”以防止用户运行某些文件。文件可以被重命名或移到其他位置并且仍然产生相同的散列。但是,对文件的任何篡改都将更改其散列值并允许其绕过限制。软件限制策略将只识别那些已用软件限制策略计算过的散列。
Internet区域规则
区域规则只适用于 Windows 安装程序包。区域规则可以标识那些来自 Internet Explorer 指定区域的软件。这些区域是 Internet、本地计算机、本地 Intranet、受限站点和可信站点。
以上规则所影响的文件类型只有“指派的文件类型”中列出的那些类型。系统存在一个由所有规则共享的指定文件类型的列表。默认情况下列表中的文件类型包括:ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC ,所以对于正常的非可执行的文件,例如TXT JPG GIF这些是不受影响的,如果你认为还有哪些扩展的文件有威胁,也可以将其扩展加入这里,或者你认为哪些扩展无威胁,也可以将其删除。
screen.width-333)this.width=screen.width-333“ border=0>
安全级别
对于软件限制策略,默认情况下,系统为我们提供了两个安全级别:“不受限的”和“不允许的”
注:
“不允许的”级别不包含任何文件保护操作。你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作,组策略不会阻止,前提当然是你的用户级别拥有修改该文件的权限“不受限的”级别不等于完全不受限制,只是不受软件限制策略的附加限制。事实上,“不受限的”程序在启动时,系统将赋予该程序的父进程的权限,该程序所获得的访问令牌决定于其父进程,所以任何程序的权限将不会超过它的父进程。
但实际上,还有三个级别在默认情况是隐藏掉的,我们可以通过手动修改注册表来开启其它的三个级别,打开注册表编辑器,展开至:
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows
SaferCodeIdentifiers
新建一个DOWRD,命名为Levels,其值为 0x4131000(十六十制的4131000)
screen.width-333)this.width=screen.width-333” border=0>
创建完毕后重新打开gpedit.msc,我们会看到另外三个级别此时已经开启了。
screen.width-333)this.width=screen.width-333“ border=0>
不受限的
最高权限,但其也并不是完全的不受限,而是“软件访问权由用户的访问权来决定”,即继承父进程的权限。
基本用户
基本用户仅享有“跳过遍历检查”的特权,并拒绝享有管理员的权限。
受限的
比基本用户限制更多,但也享有“跳过遍历检查”的特权。
不信任的
不允许对系统资源、用户资源进行访问,直接的结果就是程序将无法运行。
不允许的
无条件地阻止程序执行或文件被打开
根据权限大小可以排序为:不受限的>基本用户>受限的>不信任的>不允许的
3、软件限制策略的优先权
一个特定的程序可以有多个不同的规则适用,为此,可以按下列优先权顺序来使用这些规则。优先权按从高到低的顺序排列如下:
散列规则>证书规则>路径规则> Internet区域规则
如果存在多个路径规则冲突,则最具限制性的规则占有优先权。总的原则就是:规则越匹配越优先。
例如:
C:WindowsSystem32Taskmgr.exe C:WindowsSystem32*.exe *.exe
C:WindowsSystem32
C:Windows
本例是按优先权从高到低排列的。从这里我们可以看出:
绝对路径>通配符路径
文件名规则>目录规则
对于同样是目录规则的,则目录数匹配越多就越优先。
如果同时存在两个相似的规则,则最具限制性的规则优先权最高。例如,如果 C:Windows 上有一个路径规则,其安全级别为“不允许的”,而 %windir% 上也有一个路径规则,其安全级别为“不受限制的”,则会采用最具限制性的规则,即“不允许的”。
这里,我们再顺便介绍一下环境变量和通配符。
在路径规则里,允许使用诸如“%windir%”“%userprofile%”之类的环境变量。一般情况下,我们的系统是在C盘,但也有些人基于其它一些原因如要安装双系统等,将系统安装在其它比如D盘下面,这时我们平常用到的一些路径比如“C:windows”就会无效,为了防止这种情况,我们就可以使用系统变量,像“%windir%”,系统会自动为我们匹配其目录。我们在创建规则的时候也可以使用这些环境变量,以适用于不同的系统。下面列出的是一些常使用的环境变量,更多的环境变量你可以运行 CMD 然后运行 SET 命令进行查看。
ALLUSERSPROFILE = C:Documents and SettingsAll Users
APPDATA = C:Documents and SettingsAdministratorApplication Data
CommonProgramFiles = C:Program FilesCommon Files
ComSpec = C:WINDOWSsystem32cmd.exe
HOMEDRIVE = C:
HOMEPATH = Documents and SettingsAdministrator
ProgramFiles = C:Program Files
SystemDrive = C:
SystemRoot = C:WINDOWS
TEMP = C:Documents and Settings当前用户名Local SettingsTemp
TMP = C:WindowsTemp
USERPROFILE = C:Documents and SettingsAdministrator
WINDIR = C:WINDOWS
同样,路径规则也支持使用通配符,对DOS熟悉的筒子应该知道这个东西,就是“?”和“*”。
? :包括1个或0个字符* :包括任意个字符(包括0个),但不包括斜杠
对于通配符,其实网上很多教程上的做法是有误的。
例如有一条:%USERPROFILE%Local Settings***.* 不允许的这条规则本意是 阻止所有被指派的文件从 Local Settings 目录(包括其子目录)启动,但是经过验证发现,“**”和“*”是完全等效的,并且“*”不包括“”,
那么这条规则的实际意思就是“阻止所有被指派的文件从 Local Settings 的一级目录运行”,不包括 Local Settings 目录本身,也不包括二级及其下的所有子目录。我们来看看 Local Settings 目录下的一级目录有哪些呢?默认情况下是:Temp、Temporary Internet Files、Application Data、History,那么这条规则里就包括有 禁止TEMP目录下的所有被指派的文件运行 的意思,其根本结果就是会造成很多软件无法安装。因为有些软件在安装时会先行解压到TEMP目录。
影响最大(简直可以列入本年度十大最错误的做法中了)的一条:?:autorun.inf “不允许的”
相信对 软件限制策略 有研究的筒子都见过这条规则吧,这条规则的本意是阻止所有盘根目录下的 autorun.inf 文件运行,以阻止U盘病毒的运行。它也确实达到了它的目的, autorun.inf 文件双击的时候被阻止了。但病毒被阻止了吗?答案是否定的,病毒还是会被正常运行。
为什么呢?我们来了解一下系统是怎么处理 autorun.inf 文件的。
首先,svchost.exe 读取 autorun.inf,然后 explorer.exe 读取 autorun.inf,再然后 explorer.exe 将 autorun.inf 里的相关内容写入注册表中 MountPoints2 这个键值。只要 explorer.exe 成功写入注册表,那么这个 autorun.inf 文件的使命就完成了,U盘里的病毒就等着你去双击U盘了。
那么我们的软件限制策略中,将 autorun.inf 设为“不允许的”这一做法在这个过程中起到什么作用?
很遗憾地告诉你:没有任何作用。
真要说它起到的作用,仅仅是阻止你打开 autorun.inf 这个文件而已。所以,对于 autorun.inf 的所有策略,都是无效的。
真要想防止U盘病毒的运行,策略的设置只有一种方法:?:*.* 不允许 意思就是阻止所有盘下面的被指派文件运行。当然,如果你只想阻止U盘下的文件运行的话,那就将规则里的“?”改为具体的盘符即可。当然还有其它很多办法来防止U盘病毒的,这个我会在文后附上其它解决方法的,欢迎筒子们进行验证。让我们去伪存真,找到最好的解决办法吧:)
4、规则的权限分配及继承
这里的讲解的一个前提是:假设你的用户类型是管理员。
在没有软件限制策略的情况下,如果程序a启动程序b,那么a是b的父进程,b继承a的权限
现在把a设为基本用户,b不做限制(把b设为不受限或者不对b设置规则效果是一样的)然后由a启动b,那么b的权限继承于a,也是基本用户,即:
a(基本用户)-> b(不受限的)= b(基本用户)
若把b设为基本用户,a不做限制,那么a启动b后,b仍然为基本用户权限,即
a(不受限的)-> b(基本用户)= b(基本用户)
可以看到,一个程序所能获得的最终权限取决于:父进程权限 和 规则限定的权限 的最低等级,也就是我们所说的最低权限原则
举一个例子:
若我们把IE设成基本用户等级启动,那么由IE执行的任何程序的权限都将不高于基本用户级别,只能更低。所以就可以达到防范网马的效果――即使IE下载病毒并执行了,病毒由于权限的限制,无法对系统进行有害的更改,如果重启一下,那么病毒就只剩下尸体了。
甚至,我们还可以通过NTFS权限的设置,让IE无法下载和运行病毒,不给病毒任何的机会。
这里,我们来看一下NTFS的权限(这里的权限是NTFS权限,与规则无关)。NTFS的所有权限如下:
遍历文件夹/运行文件 (遍历文件夹可以不管,主要是“运行文件”,若无此权限则不能启动文件,相当于AD的运行应用程序)
允许或拒绝用户在整个文件夹中移动以到达其他文件或文件夹的请求,即使用户没有遍历文件夹的权限(仅适用于文件夹)。
列出文件夹/读取数据
允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。它仅影响该文件夹的内容,而不影响您对其设置权限的文件夹是否会列出(仅适用于文件夹)。
读取属性
允许或拒绝查看文件中数据的能力(仅适用于文件)。
读取扩展属性
允许或拒绝用户查看文件或文件夹属性(例如只读和隐藏)的请求。属性由 NTFS 定义。
创建文件/写入数据
“创建文件”允许或拒绝在文件夹中创建文件(仅适用于文件夹)。“写入数据”允许或拒绝对文件进行修改并覆盖现有内容的能力(仅适用于文件)。
创建文件夹/追加数据
“创建文件夹”允许或拒绝用户在指定文件夹中创建文件夹的请求(仅适用于文件夹)。“追加数据”允许或拒绝对文件末尾进行更改而不更改、删除或覆盖现有数据的能力(仅适用于文件)。
写入属性
允许或拒绝用户对文件末尾进行更改,而不更改、删除或覆盖现有数据的请求(仅适用于文件)。 即写操作
写入扩展属性
允许或拒绝用户更改文件或文件夹属性(例如只读和隐藏)的请求。属性由 NTFS 定义。
删除子文件夹和文件
允许或拒绝删除子文件夹和文件的能力,即使子文件夹或文件上没有分配“删除”权限(适用于文件夹)。
删除 (与上面的区别是,这里除了子目录及其文件,还包括了目录本身)
允许或拒绝用户删除子文件夹和文件的请求,即使子文件夹或文件上没有分配“删除”权限(适用于文件夹)。
读取权限(NTFS权限的查看)
允许或拒绝用户读取文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。
更改权限(NTFS权限的修改)
允许或拒绝用户更改文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。
取得所有权
允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限,而不论用于保护该文件或文件夹的现有权限如何。
在系统默认的NTFS权限下,基本用户对于windowsprogram files目录只有 遍历文件夹/运行文件 列出文件夹/读取属性 读取扩展属性 读取权限 这四项权限,对于documents and settings目录,仅对其所有的目录有完全控制的权限,其它目录只读?
我们的规则里面所说到的基本用户、受限用户,基本上等同于 NTFS 权限里的 USERS 组,但受限用户受到的限制更多,不管NTFS权限如何,其始终受到限制。
更多NTFS权限的设置,大家可以查阅NTFS相关的内容。
5、如何编写规则
关于规则编写,我们要遵循以下几个原则:要方便,不能对自己有过多的限制,这样,即使出现问题也好排队要安全,要考虑到你的系统中毒的来源有哪些,针对其做好防护。
基于文件名的病毒规则尽量少用,因为容易出现误阴,而且病毒的文件名随便可以改,我们做的又不是特征库。
下面介绍规则的具体编写方式
开始 -> 运行 -> gpedit.msc
在左边的窗口中依次展开计算机配置-> Windows设置->安全设置->软件限制策略
如果你之前没有进行过设置,那么在 软件限制策略 上点右键,选择创建新的策略然后在 其它规则 上右键点击,选择 新路径规则 既可以进行规则的创建了。
screen.width-333)this.width=screen.width-333” border=0>
screen.width-333)this.width=screen.width-333" border=0>
规则的设置很简单,就五个安全级别,根据你自己的需要设置即可。难点主要是规则的正确性和有效性,这个得靠多多实践来提升了。
另外提醒一下,大家在设置规则时,注意不要更改以下4条系统默认规则同时还要考虑它们的影响:
%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%路径不受限的
%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%*.exe 路径 不受限的
%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%System32*.exe 路径 不受限的
%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ProgramFilesDir%路径不受限的
相当于规则:
%SystemRoot%不受限的整个Windows目录不受限
%SystemRoot%*.exe 不受限的 Windows下的exe文件不受限
%SystemRoot%System32*.exe 不受限的 System32下的exe文件不受限
%ProgramFiles%不受限的整个ProgramFiles目录不受限
这里要注意的一点是规则在新添加或者进行修改以后根据不同的机器,会在一至两分钟内生效,不会立即生效,如果长时间不生效,我们可以通过注销,重新登陆来生效,也可以使用命令 gpupdate /force 来强制刷新。
★ 司法考试全攻略
★ 面试技巧全攻略
★ 适合秋分发的文案
★ 适合秋分发的说说
