chun

http://www.miskeeper.url.tw/index.php?load=read&id=122

在 AD 網域內部署 MSI 安裝檔軟體 (上)

作者: Scott  日期: 2008-01-31 09:30

字體大小: 小 中 大

延續之前的“快速建立AD server 管理網域內電腦”文章，介紹如何在 AD 網域內部署 MSI 安裝檔軟體。

1.群組（OU）的基本觀念

在 AD 網域中，群組（OU）指的是一種容器，在群組（OU）中可以同時放置登錄至AD中的電腦主機或是使用者帳號，你可以在 AD 目錄樹中進行新增刪除，也可以在群組（OU）中再新增群組（OU）使用樹狀的結構對電腦或是使用者進行管理。建議的方式，是在AD目錄樹中將電腦的群組 （OU）與使用者帳號的群組（OU）分開建立。電腦樹使用辦公室地理位置進行分類，而使用者則使用部門別進行分類。

2.組策略（GPO）的基本觀念

在 AD 網域內要對網域內電腦進行管控絕大部分都是透過組策略（GPO）進行設定，也就是說所謂的組策略（GPO）也就是一組設定參數，基本上是設定在目標電腦上 的各種 Windows 設定值，包含許多控制臺中可設定的參數以及Windows中隱含的參數，比較常用的包含，網路權限，防火墻設定，安全設定，應用軟體設定等等。

一套組策略（GPO）包含了對電腦，及使用者賬戶的設定，一般的建議是在同一個組策略（GPO）中僅針對電腦或是使用者進行設定並且在組策略（GPO）命名中區別，以方便日後的管理。

而在AD的設定中，組策略（GPO）是無法針對個別的使用者或是電腦作用的，組策略（GPO）設定的目標是群組（OU）。
下圖是組策略（GPO）可以作用的對象。

 

下圖是組策略（GPO）無法直接作用的對象。

 

那若是僅想針對網域內某一個帳號或是某臺電腦進行設定，那你只能為了他建立一個單獨的群組（OU）再將該設定套用在該OU上了。

3.組策略（GPO）的作動時機

當你在 AD 上設定了一個組策略（GPO）並且指派到某一個群組（OU）後，什麼時候你的設定會生效呢？一個組策略（GPO）中又分為對電腦的設定與對使用者的設定， 一般來說，對電腦的設定在該名稱主機開機後，若是在網域內網路，該主機會進行主機登入 AD 的動作，並且在歡迎畫面（使用者輸入登入帳號密碼）之前開始載入所屬組策略（GPO）的設定，而在使用者部分的設定則是在使用者輸入登入帳號與密碼後載入 並執行之。

也就是說雖然在同一個組策略（GPO）中進行的設定，但是實際上在電腦登入網域後的執行時機是不同的。并且，在組策略（GPO）中設定的電腦部分僅在該電腦開機時執行一次，而使用者設定則在每次從 Windows 歡迎畫面再登入時都會作動。

4.組策略（GPO）更新

若你已經設定了一個組策略（GPO）並且公司內的電腦都已經開機完畢，而你修改了該組策略（GPO）的設定，一般來說客戶端會在30～90分鐘內上 AD Server 撈取新的組策略（GPO）設定值，當你每次修改組策略（GPO）後，AD 會將該組策略（GPO）的累計標簽增加，客戶端在30～90分鐘內匯上線檢查該標簽，若是新的則會抓取下來，使用者的設定會立即套用，電腦的設定會在下次 開機時套用，若是你有需要立即套用新的組策略（GPO），如下圖在命令模式下執行 “gpupdate /force” 即可立即更新本地端的組策略（GPO），若有重新開機的需要則系統會提示之。

 
5.組策略（GPO）的繼承與優先

在 AD 中的群組（OU）時可以樹狀的結構存在，而設定在群組（OU）樹上的組策略（GPO）是具有繼承性的，也就是說下層的群組（OU）是具備上層群組（OU） 的組策略（GPO）設定的，若上下層的組策略（GPO）沖突，則下層的設定會覆蓋上層的設定，而所有的組策略（GPO）都繼承了系統的預設組策略 （GPO），建議不要變更系統的預設組策略（GPO），不然日後的組策略（GPO）除錯會很辛苦的。而在同一個組策略（GPO）中如電腦主機的設定與使用 者設定沖突是一般是使用電腦設定的。所以，建議在一個組策略（GPO）鐘僅針對電腦或是使用者進行設定就好，反正一個群組（OU）是可以套用多個群組 （OU）的，沒有必要放在一起找自己麻煩呢～

6.組策略（GPO）的設定軟體

由於 Windows 2000/2003 內建的組策略（GPO）設定方式實在是太難用，所以微軟自己也出了 組策略（GPO）編輯軟體 GPMC （Group Policy Manage Center）來管理組策略（GPO），先至以下連結下載 GPMC。
http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=zh-tw

 

選擇使用語言後，擊點下載後安裝即可。

7.組策略（GPO）的新增，設定，檢視，與連結

安裝完 GPMC 後在從 開始->程式集->管理工具->組策略管理 啟動GPMC如下圖
 

 

看 看這個介面是不是比原本的友善多了，啟動 GPMC 後我們可以看到在左邊的樹狀列中有著我們在 AD 中建立的群組（OU）樹，首先你可以看到兩個 Default 的組策略（GPO），這就是我之前說過的系統預設的組策略（GPO），還是一樣建議不要去修改它，接著你可以在任何一個你想要設定的群組（OU）上按右鍵 選擇創建並連結組策略（GPO），如下圖，系統會先提示並要求你給現在正要創建的組策略（GPO）一個名字，建議名稱內註明目標是設定給電腦還是使用者 的。

 

我們新建了一個“Agent 派送 Computer”組策略（GPO），你會看到它出現在你所指定的群組（OU）下出現連結，並且在組策略對象中出現實體，如下圖。

 

當你對該組策略（GPO）進行編輯時他會套用到所有連結到該組策略（GPO）的實體中。我們在該組策略（GPO）上按右鍵選擇編輯後出現以下編輯畫面。

 

你可以在本畫面中進行該組策略（GPO）的電腦或是使用者的設定，在本界面中的設定是當你更改後就立即寫入了。若是要檢視已經設定的組策略（GPO）請回到 GPMC 主畫面後選擇欲檢視的組策略（GPO），並點選設置標簽，就會看到該組策略（GPO）的設定，如下圖。

 

內容有點長，還是分成兩篇來Post好了，請期待下級