如何使用组策略部署软件

在本教程中，我将向您展示如何使用组策略向计算机和用户部署软件。

在此示例中，我将通过组策略将 Chrome 部署到计算机。本示例中的步骤适用于其他 MSI 文件。

一探究竟！

目录：

1. 为 MSI 安装文件创建安全网络共享
2. 创建 GPO 以将软件部署到计算机
3. 仅向用户安装软件的 GPO 设置
4. 提示和故障排除

视频教程

如果您不喜欢视频教程或想要更多详细信息，请继续阅读下面的说明。

为 MSI 安装文件创建网络共享

第一步是确保您拥有 MSI 文件的安全共享文件夹，以便用户和计算机可以访问它。 MSI 文件不会复制到计算机；他们将从网络共享运行。

提示：不要在网络共享上设置“所有人”权限，这一点至关重要。没有必要这样做，这只是不好的做法。这使网络上的每个人都可以访问共享文件夹，包括未经身份验证的用户。此外，这也是勒索软件和病毒传播的方式，因为它们通常被编程为寻找 UNC 共享并攻击文件和文件夹。即使您设置“只读”访问权限，您仍然授予每个人读取此目录中文件的权限。再次强调，这只是不好的做法，而且很容易避免。

/结束咆哮

创建安全网络共享的步骤：

选择一个每个人都可以访问的服务器来配置共享文件夹。

右键单击文件夹，然后单击共享选项卡和高级共享。

我使用的是 2019 年的 Windows 服务器。我创建了一个名为 software 的文件夹来存储安装文件。您可以为文件夹命名任何您想要的名称。

在高级共享屏幕上，单击复选框以共享此文件夹。共享名可以是你想要的任何名称，我称我的为“软件”。

现在单击权限按钮。

在共享权限屏幕上，删除所有人。

现在添加域计算机和域用户并设置读取权限。如果需要，您可以通过创建新的安全组来锁定特定用户和计算机的权限。

单击“确定”返回属性页面，然后单击“安全”选项卡。

确保每个人都没有列出，如果有，请将其删除。

添加域用户和域计算机，并授予他们读取和执行、列出和读取权限。

好的，干得好。共享文件夹配置完成。现在将 MSI 安装文件复制到您刚刚创建的文件夹中。

测试对远程计算机上的网络共享的访问。在远程计算机的搜索框中键入 \\主机名\共享名。我的服务器名称是“srvwef”，共享名称是“software”。

如果您可以访问共享，您应该会看到文件列表。

这样就完成了网络共享配置。下一部分将配置 GPO 以将软件部署到计算机。

创建 GPO 以将软件部署到计算机

组策略具有针对目标计算机的设置和针对目标用户的设置。在本节中，我们将针对部署软件的计算机。这意味着将为登录计算机的任何人安装该软件。

我建议为软件安装创建一个新的 GPO，不要将这些设置添加到默认域策略中。

在组策略管理控制台中浏览到 OU，右键单击并选择“在此域中创建 GPO，并将其链接到此处”

在此示例中，我将在 IT OU 中的所有计算机上安装 Chrome，因此我将创建 GPO 并将其链接到 IT OU。

为 GPO 命名。我将我的命名为“计算机 - Chrome 安装”

编辑新的 GPO：

计算机配置 > 策略 > 软件设置 > 软件安装

右键单击软件安装并选择新建 > 软件包

在打开的屏幕上，使用 UNC 路径浏览到网络共享，选择要安装的 MSI，然后单击“打开”。请勿使用本地驱动器进行浏览，否则安装将失败。

在部署软件屏幕上，单击“已分配”，然后单击“确定”。已发布将显示为灰色，因为该选项只能在向用户部署软件时使用。

这样就完成了 GPO 配置。 GPO 设置应如下所示。

该软件仅在重新启动期间安装，并且计算机必须更新其 GPO 设置。 GPO 设置将每 90 分钟自动刷新一次。

要强制执行 GPO 设置，您可以使用 gpupdate /force 命令。

当您运行 gpupdate 命令时，您将收到一条消息，指出在系统启动或用户登录之前必须处理一项或多项设置。这是指 GPO 安装的软件并且是预期的。键入 Y 重新启动计算机。

该软件将在重新启动时安装。

当我登录时，我可以在桌面上看到 Google Chrome 图标，这确认了软件已安装。

这就完成了如何使用组策略部署软件的步骤。

仅向用户安装软件的 GPO 设置

如果要向特定用户安装软件，只需使用用户配置 GPO 设置而不是计算机。

这与部署到计算机的工作方式不同。

在我的测试中，用户配置不会自动为用户安装软件。这就是为什么我更喜欢使用计算机配置来部署软件，但每个人都有不同的要求。

发布与分配的部署方法：

微软对此几乎没有任何文档。根据我的测试，他们似乎做了同样的事情。我看到的唯一一件事就是将该软件添加到可以从网络安装的程序列表中。

用户需要从此处单击 Google Chrome，然后才会安装该软件。我发现一些文章说分配的选项应该在桌面上放置一个图标，然后当用户单击该图标时它将安装。这不是我的经历。

提示 和故障排除

以下是解决 GPO 软件安装问题的一些提示。

提示 #1 检查事件日志

在安装失败的计算机上，检查系统事件日志中是否有错误。这将提供有关安装失败原因的详细信息。

提示 #2 在启动时显示详细消息

这将在启动过程中显示“应用软件安装设置”。

您需要启用此 GPO 设置。

计算机配置 > 策略 > 管理模板 > 系统并启用“显示高度详细的状态消息。

提示 #3 在计算机启动和登录时启用等待网络

如果您遇到软件安装问题，您可能需要启用此 GPO 设置。

计算机配置 > 策略 > 管理模板 > 系统 > 登录并启用“计算机启动和登录时始终等待网络”

提示 #4 使用小 MSI 文件进行测试

问题可能是 MSI 安装文件。使用 7zip 或 notepad ++ 这样的小程序进行测试，这些都是已知可以工作的非常小的安装文件。

提示 #5 使用 gpresult 验证 GPO 是否已启用。

使用内置 gpresult 命令验证 GPO 设置是否已应用到计算机。

来源

• 使用组策略远程安装软件
• 在生产环境中拥有 15 年以上的经验
• 在我的 Active Directory 实验室中测试了此解决方案

概括

使用组策略部署软件很容易。尽管它没有很多选项和功能，但对于部署简单的软件包很有用。

我希望您喜欢本教程。如果您有疑问，请将其发布在评论部分。

如果您需要部署 exe，请参阅文章使用组策略部署软件 (EXE) - 第 2 部分。