使用组策略部署软件（MSI 包）

在本文中，我们将展示如何使用 GPO 在 Active Directory 域中的用户计算机上安装软件。

内置的 Windows GPO 功能允许您部署仅作为 MSI 或 ZAP 包分发的程序。您必须以其他方式安装其他类型的应用程序：使用 SCCM、通过 GPO 登录脚本、使用 GPO 将程序文件复制到计算机、运行一次性脚本等。

从 EXE 安装程序中提取 MSI 包

我们以Microsoft Teams客户端为例，看看如何通过Windows组策略在用户计算机上安装MSI软件包。

使用 Teams 客户端 (http://aka.ms/teams64bitmsi) 下载 MSI 包，并将 Teams_windows_x64.msi 复制到域控制器 (

\a-d.site\SysVol\a-d.site\scripts

）。

请注意，MS Teams 有 x86 和 x64 版本。如果您仍有运行 x86 版本 Windows 的计算机，则需要为 x86 和 x64 计算机创建单独的 GPO。您可以使用 GPO WMI 筛选器来筛选组策略中的 Windows 版本。

许多应用程序不以 MSI 包的形式提供。大多数情况下，开发人员将它们分发为不适合通过 GPO 部署的 EXE 文件。但是，在某些情况下，您可以从 EXE 安装文件中提取 MSI 包：

• 一些 EXE 安装程序将其文件解压到

  %temp%

  安装时的目录。因此，然后安装程序（只需最小化安装窗口），尝试打开此文件夹并在其中找到安装 MSI 文件。

• 获取 MSI 文件的另一种方法是尝试使用 7-Zip 打开安装 EXE 文件。启动 7-Zip 并选择文件-> 7ZIP -> 打开存档。 7ZIP 将尝试打开 EXE 文件作为存档。在我们的例子中，我们从 Acrobat Reader 的 EXE 文件中获取了 MSI 和 MST 文件。在我们的例子中，我们成功地从 Acrobat Reader 安装 EXE 文件中提取了 MSI 和 MST 文件。

  

创建 GPO 以将软件部署到域计算机

然后创建一个新的域组策略对象来安装您的软件。

1. 打开域组策略管理控制台（

   gpmc.msc

   ）；

2. 创建新策略 (CorpInstallTeams) 并将其链接到包含要安装应用程序的计算机的 OU（在此域中创建 GPO，并在此处链接）；

   

3. 编辑GPO，进入计算机配置->策略->软件设置->软件安装；

4. 在菜单中选择新建 -> 包；

   

5. 选择位于 SYSVOL 目录（UNC 路径）中的 MSI 文件；

6. 选择高级并点击确定；

   已分配选项允许在用户登录时安装应用程序。 发布选项将应用程序发布到计算机，用户可以在“添加/删除程序”中安装它们。

   

7. 在下一个窗口中，您可以设置其他 MSI 包选项。我只会将显示的名称从Teams Machine-Wide Installer更改为Microsoft Teams Client；

   

8. 点击部署选项卡中的高级，勾选部署此包时忽略语言；

9. 重新启动计算机以更新 GPO 设置，下次启动计算机时将安装该应用程序。它将出现在已安装的 Windows 应用程序列表中。您可以在事件查看器的“系统”部分中找到安装事件（按

   Application Management Group

   来源）;

   Windows 11 内置了 Teams Chat，但它不是功能齐全的 Microsoft Teams 客户端。

   

10. 您可以在计算机上显示详细的 GPO 处理状态。为此，请在计算机配置 -> 策略 -> 管理模板 -> 系统下启用 GPO 选项显示高度详细的状态消息。现在，Windows 启动时将显示所有后台 GPO 处理任务。如果使用 GPO 安装任何应用程序，您将看到消息：正在安装托管软件 AppName。

    

如果软件部署 GPO 不适用于目标计算机，请使用为什么组策略未应用于计算机一文中描述的故障排除工具和 gpresult 命令。

在通过 GPO 部署之前如何更改 MSI 包选项？

您无法在标准 GPO 界面中指定 MSI 安装包的安装密钥或参数。例如，在用户计算机上安装防病毒代理时，必须指定管理服务器的 IP 地址/FQDN。或者，当您使用 msiexec 从命令提示符安装 Teams 时，您可以禁用 MS Teams 客户端自动启动并将其从已安装的应用程序列表中隐藏（本地管理员将无法删除 Teams 客户端）。为此，使用以下命令：

msiexec /i Teams_windows_x64.msi OPTIONS="noAutoStart=true" ALLUSERS=0

如何向 MSI 包添加安装选项？为此，需要使用 MST 转换文件。此文件类型允许您更改默认 MSI 包设置并使用您的安装方案。

要为 MSI 包创建 MST 文件，您可以使用 ORCA 工具（它是

Windows Installer SDK

）。

使用 Orca 打开 MSI 包。

创建新转换并在属性部分中设置自定义 MSI 包选项。我将为我的 Teams 客户端更改以下选项：

• 不自动启动 =

  True

• 所有用户 =

  0

选择Transform -> GenerateTransform并将更改保存为MST文件（

teams_mod.mst

）。将文件复制到 SYSVOL 目录。

然后删除之前在GPO中安装MSI包的规则（因为只有在创建应用安装规则时才能添加包修改的MST文件）。

选择全部 -> 任务 -> 删除。

创建新的软件部署规则，从 SYSVOL 中选择 MSI 文件，然后转到修改选项卡。单击添加。选择您之前创建的 MST 文件。

现在，MST 文件将在使用 GPO 的 MSI 安装过程中自动应用，并且应用程序将使用您需要的设置进行安装。

通过 GPO 安装 MSI 的主要缺点：

1. 仅支持 MSI 和 ZAP 安装程序；

2. 您无法安排应用程序安装在您想要的时间。在多台计算机上同时安装应用程序（通常发生在早上计算机打开时）可能会导致网络和域控制器负载较高。在这种情况下，最好使用具有维护窗口或 WOL（LAN 唤醒）设置的 SCCM；

3. 您无法更改 GPO 中软件的安装顺序。当您向GPO添加新的安装包时，它是最后安装的；

4. 您无法获得报告来了解安装是否成功或计算机上是否存在任何安装错误。

在现代 Windows 10 和 11 版本中，您可以使用 winget 包管理器来安装应用程序。