软件部署工具：SCCM、Intune、GPO 与更多

有许多软件部署工具可以向您的端点交付软件和更新，但仅仅因为您有很多选项并不意味着它一定会令人困惑。您可以选择一种软件部署工具来完成这一切，也可以根据需要选择多种自动化软件部署工具。没有一种软件部署工具是适合所有公司的“一刀切”解决方案，因此在本快速指南中，我们将帮助您浏览一些最流行的软件部署工具，并就使用哪些方法来部署软件和部署提供建议。第三方补丁。

表 1 概述了我们将在本文中探讨的内容。

SCCM 软件部署/其他本地软件部署

优点：

• 可能已经安装
• 良好的报告

缺点：

• 第三方应用程序支持是一项昂贵的附加服务
• 很多活动部件/很多容易出错的地方

Intune 软件部署/其他 MDM 软件部署或 RMM 软件部署工具

优点：

• 可能已经到位
• 良好的报告

缺点：

• 第三方应用程序支持是一项昂贵的附加服务
• 必须将 .EXE 重新打包到 .INTUNEWIN 文件中
• 版本之间没有自动更新

PolicyPak 远程工作交付管理器

优点：

• 使用 BITS 协议复制文件和软件
• 适用于 SMB 和 Web 共享
• 自动保持软件更新
• “类似Robocopy”的文件复制功能

缺点：

• 没有预先打包的目录
• 报告仅限于您的软件部署方法（组策略、MDM 或 PolicyPak Cloud）

PolicyPak 脚本管理器

优点：

• 适合常青脚本应用程序

缺点：

• 不使用 BITS 协议下载
• 没有预先打包的目录
• 报告仅限于您的部署方法（组策略、MDM 或 PolicyPak Cloud）

表 1：软件部署工具比较。

软件部署清单

如果您已经对自己的软件部署工具感到满意，那就太好了。但如果您无法部署软件或有一些您不满意的东西，您应该查看本指南。让我们首先研究一下您可能已经拥有的本地和基于云的软件部署工具。

大型本地管理软件部署工具，如 MEMCM、LANDesk、KACE、SpiceWorks、Chef、BMC 等。

MEMCM、LANDesk、KACE、SpiceWorks、Chef、BMC 等通常集成到大型网络中。通常，这些系统都有自己的工程师，他们除了管理系统之外什么也不做，他们使用这些系统将软件部署到所有计算机。

尽管这种组织设置很好，但运行 MEMCM（或类似系统）的组可能与处理 Windows 10 的安全、管理或自动化的人员不同。因此，您可能会发现交替执行某些软件是有益的通过 PolicyPak Remote Work Delivery Manager 安装。

此外，向 MEMCM 添加其他软件以专门帮助更轻松地管理第 3 方非 Microsoft 更新也很常见。在图 1 中，您可以看到 MEMCM 能够在何处连接第三方付费目录。

图 1：如何将第 3 方付费目录连接到 MEMCM。

如果您尚未购买并集成到 MEMCM 中，我们建议您查看本文后面提到的软件部署替代方案。如果您已经是 PolicyPak 客户，PolicyPak Remote Work Delivery Manager 可能正是您持续软件安装需求所需要的。

大型云管理系统，例如 Microsoft Intune、VMware Workspace One、Citrix Endpoint Manager 以及用于部署软件的 MSP 的任何系统

这些诞生于云端的大型系统正试图取代大型本地系统的空白。事实上，您现在可以将本地 MEMCM 与云中 Intune 结合起来来部署软件。

话虽如此，即使是像 Intune 这样的系统也有很多限制。首先，它没有任何简单的方法来部署应用程序的 .MSI，然后自动保持更新。相反，您每次更新和修补时都必须引入下一个版本。

然而，更重要的是，Intune 没有直接部署执行软件安装的 .EXE 应用程序（也称为 Win32 应用程序）的方法。相反，您首先需要使用 Intune Win32 应用程序打包和准备工具（在此处找到）将它们包装成可以处理的内容。此手动过程将 .EXE 打包到 .INTUNEWIN 文件中，如图 2 所示。

图 2：使用 Intune Win32 应用程序打包工具重新打包 Win32/.EXE 应用程序。

只有这样，软件才准备好并准备好通过 Intune 进行部署。每次要部署软件或为现有软件部署补丁（或增加版本号）时，都需要再次执行以下步骤：

• 下载新版本的应用程序
• 将应用程序打包到 .INTUNEWIN 文件中
• 将包上传到 Intune
• 将应用程序部署到您的 Windows 10 计算机

使用这种方法，让这些机器保持最新的应用程序补丁更新可能是一件非常麻烦的事情。例如，如果您想要部署最新版本的 Firefox，则必须执行上述所有步骤才能部署到 Intune，如图 3 所示。

图 3：部署（或重新部署）重新打包的 .INTUNEWIN 应用程序。

话虽如此，像 Intune 这样的 MDM 系统确实可以提供良好的结果报告。因此，使用 Intune 来部署更重要但静态的包可能是值得的。但是，您可能会发现通过 PolicyPak Remote Work Delivery Manager 执行某些软件安装和自动更新是有益的。

PDQ 部署（来自 PDQ 的朋友）

PDQ Deploy 是一个出色的本地系统，使您能够部署软件并报告安装结果。 PDQ Deploy 有两个版本：免费版和企业版。免费工具非常出色，在许多情况下足以替代 MEMCM 或 LANDesk 等大型本地工具。它也便宜得多，因为它有免费版和非常划算的付费企业版。

可以在此处找到两个版本的不同功能的列表。

对于那些没有大型本地软件部署工具的人，PolicyPak 建议您使用 PDQ 部署来执行以下关键任务：

• PolicyPak 客户端扩展和其他更新的初始安装
• 部署复杂的包，例如 Office、Java 或“嵌套”安装
• 任何时候您需要成功或失败的有保证的报告
• 任何时候您想要定时或预定的发布

当计算机加入域并且包的源位于 SMB（标准 Windows 共享）上时，PDQ 效果最佳。当您知道目标计算机的本地密码时，您也可以使用 PDQ（作为替代方案）。您还可以通过 VPN 执行软件交付，但最终会利用 VPN 带宽，因为端点通过 SMB 下载软件。

PQD Deploy Enterprise 版本附带针对现有软件包的预配置建议。这使得一些更棘手的包可以快速部署和轻松维护。有时，供应商的安装包并不像预期的那样简单安装和部署，但 PDQ Deploy Enterprise 版本可以快速安装困难的包。您可以在图 4 中看到 PDQ 包库的示例。

图 4：浏览 PDQ 部署企业目录。

对于那些不想部署大型软件部署工具（例如 MEMCM）、只是为了将软件交付到本地和 VPN 连接计算机的组织，我们在 PolicyPak 经常推荐 PDQ Deploy。 PDQ Deploy 非常轻量级，并且按管理员定价，成千上万的满意的管理员成功地使用了该工具。

PolicyPak 和 PDQ 在许多领域都能很好地协同工作。您应该在这里观看我们的“更好地在一起”视频。

使用 PolicyPak 和脚本执行进行文件和软件交付

PolicyPak 的超能力为您已经使用的本地或云系统带来了新功能。在本节中，我们将解释 PolicyPak 如何自动化更多软件交付并保持 Windows 10 计算机更新。您可以将这些 PolicyPak 功能与您已有的功能一起使用或单独使用。

PolicyPak 远程工作交付管理器

PolicyPak Remote Work Delivery Manager 的目标是从本地或 Web 共享复制文件，并在下载这些文件后安装软件。 PolicyPak Remote Work Delivery Manager 内置于所有版本的 PolicyPak 中：组策略版、MDM 版和云版（参见图 5）。但是，PolicyPak Remote Work Delivery Manager 的工作方式与上述工具不同，并且适用于不同的工作负载。

图 5：用于组策略和 MDM 的 PolicyPak 远程工作交付管理器。

PolicyPak Remote Work Delivery Manager 可以从 SMB（标准 Windows 共享）或基于 Web 的共享（例如 Amazon S3、Dropbox、Azure Blob 存储等）复制任何文件（包括 .MSI、.EXE 等），如图所示图 6.

图 6：使用 SMB 或基于 Web 的共享作为文件安装源。

PolicyPak Remote Work Delivery Manager 的主要用例之一是通过 Internet 将新软件部署到未加入域的计算机。这是为了满足在家工作或远程工作团队的需求，并且当 PolicyPak 客户将其与 PolicyPak Cloud 结合使用时非常适合，如图 7 所示。

图 7：PolicyPak Remote Work Delivery Manager 与 PolicyPak Cloud 结合使用。

当用户远程使用PolicyPak Cloud Edition或PolicyPak MDM Edition（甚至是本地部署或使用PolicyPak Group Policy Edition通过VPN）时，将使用Windows 10的（近乎神奇的）后台智能传输服务（BITS）协议下载软件和其他文件。以下内容摘自此处的 BITS 文档。

程序员和系统管理员使用后台智能传输服务 (BITS) 从 HTTP Web 服务器和 SMB 文件共享下载文件或将文件上传到 HTTP Web 服务器和 SMB 文件共享。 BITS会考虑传输的成本，以及网络的使用情况，以尽量减少对用户前台工作的影响。 BITS 还可以处理网络中断、暂停和自动恢复传输，甚至在重新启动后也是如此。

由于 PolicyPak 利用了 BITS，即使大量下载被中断（可能是由于关闭桌面、合上笔记本电脑的盖子或将网络从本地更改为家庭），BITS 也会从中断处继续。这意味着您可以放心地下载非常大的文件，然后在下载完全完成后并在目标计算机上对其执行一些工作。

PolicyPak Remote Work Delivery Manager 可以从本地 SMB 共享（通过以太网、Wi-Fi 或 VPN）或 Web 共享（Amazon S3、Dropbox 或 Azure Blob 存储）下载这些文件。 PolicyPak Remote Work Delivery Manager 将从该源点发起下载，并且通常会回避 VPN 带宽的任何使用。因此，它非常适合在家工作和其他无法保证 VPN 连接以及不想使用 VPN 带宽下载软件的远程工作场景。

PolicyPak 远程工作交付管理器并不一定要取代在任何情况下部署的 MEMCM、Intune 或 PDQ 等软件。但是，如果您对部署软件并保持自动更新的需求不大，那么 PolicyPak Remote Work Delivery Manager 可以使用 SMB 或基于 Web 的共享在许多情况下提供此服务。

例如，要首次部署 7Zip，请将源指向您想要开始使用的任何版本。在本例中，我已将 7Zip 版本 16 安装程序重命名为 7z.msi，如图 8 所示。

图 8：使用 PolicyPak Remote Work Delivery Manager 策略部署 7Zip 的初始版本。

然后，7Zip 16 按预期安装在端点上，如图 9 所示。

图 9：7Zip 是通过 PolicyPak Remote Work Delivery Manager 策略安装的；通过从 SMB 或基于网络的共享下载软件。

然后，要对底层共享执行 7Zip 16 到 19 的更新和修补，请将底层 7z.msi 替换为最新版本（17、18、19 等）。 PolicyPak 将自动联系源头，查看是否有新版本，下载更新的补丁并自动更新。不需要额外的时间，也不需要将任何内容重新部署到任何控制台。通过在 PolicyPak Remote Work Delivery Manager 中执行的步骤，更新现在神奇地发生了。将 7z.msi 版本 16 替换为 19 后的最终结果如图 10 所示。

图 10：PolicyPak Remote Work Delivery Manager 自动更新软件，无需重新部署或用户交互。

除了复制文件并运行安装过程之外，PolicyPak Remote Work Delivery Manager 还解决了本文中其他软件未尝试解决的其他一些挑战。例如，PolicyPak Remote Work Delivery Manager 有一个特殊功能，很像流行的 Windows 10 工具 Robocopy。也就是说，它使您能够指定以下内容：源和要复制的文件、目录深度（包括递归目录）以及无数的过滤器（大小、日期、上次修改等）。我们上面提到的工具正在尝试解决这个问题。

PolicyPak Remote Work Delivery Manager 还允许管理员指定存档文件（.ZIP 文件）。该 .ZIP 文件可以自动下载并为最终用户解压。如果源 .ZIP 文件内容更新，PolicyPak Remote Work Delivery Manager 会自动更新目标文件；不需要额外的策略或交互。

PolicyPak 远程工作交付管理器是 PolicyPak 客户一次性部署文件和软件并在企业网络内外的 Windows 10 计算机上保持更新的最有效方法。

PolicyPak 脚本管理器

PolicyPak Scripts Manager 是使用PolicyPak 部署软件的另一种方式。 PolicyPak 脚本管理器将运行您选择的脚本。该脚本可以是复制文件或从任意来源下载某些内容的脚本。然后，在复制文件后，您可以运行安装过程或脚本，这类似于 PolicyPak Remote Work Delivery Manager 在下载作业完成后运行安装过程或脚本的方式。

您可以在图 11 中简要了解我们是如何做到这一点的。

图 11：从供应商的下载源执行 Evergreen 脚本安装。

话虽如此，PolicyPak Scripts Manager 不具备 PolicyPak Remote Work Delivery Manager 的内置功能。 PolicyPak Scripts Manager 不使用 BITS 来智能传输大文件，也不具有复杂的过滤器或执行复杂、递归、过滤的“类似 Robocopy”操作的能力。

但是，如果您想要运行一个脚本来安装来自 Internet 上已有的分发源的软件，PolicyPak Scripts Manager 可能就是您的最佳选择。我们最喜欢使用 PolicyPak Scripts Manager 的方法之一是编写来自 Chocolaty.org 的预创建包的安装脚本。使用 PolicyPak Scripts Manager 部署软件的另一种方法是通过 Evergreen 脚本，该脚本直接指向软件供应商的源代码并直接执行安装。这对于短时间下载很有用，但当安装程序很大或计算机面临停止和重新启动传输的风险时可能并不理想。 （这就是 PolicyPak Remote Work Delivery Manager 可以提供帮助的地方，因为它使用 BITS 协议。）

软件交付报告

PolicyPak Remote Work Delivery Manager 和 PolicyPak Scripts Manager 与您已使用的报告引擎连接，以确定您的设置是否已实现。

• 对于PolicyPak组策略版本，您可以使用组策略管理控制台的组策略结果报告或PolicyPak的（免费）PolicyPak组策略合规性报告器。
• 对于 PolicyPak MDM 版本，您可以利用 MDM 的报告。
• 对于PolicyPak Cloud Edition，您可以利用PolicyPak Cloud 报告系统。

话虽如此，这些报告中的任何一个都只能告诉您交付软件（或保持更新）的策略是否已得到处理。报告系统无法知道任何特定软件的实际安装状态（成功或失败）。如果您关心返回结果代码的深度报告，那么您可能需要此列表中的其他工具，例如 PDQ Deploy。

下一步

没有一种工具可以满足所有公司的所有软件部署需求。在本概述中，我们希望分享每个工具的用途，以便不部署任何软件并满足所有需求。 PolicyPak 脚本管理器和 PolicyPak 远程工作交付管理器随所有版本的 PolicyPak 一起提供。我们认为您将能够使用它们来满足您的大部分软件部署需求或增强您已有的功能。