基于WindowsServer2012R2域的安全管理任務(wù)2應(yīng)用組策略部署軟件

1、基于WindowsServer2012R2域的安全管理WindowsServer2008R2是微軟最新的服務(wù)器操作系統(tǒng)，該操作系統(tǒng)秉承“按需定制”的原則，可以根據(jù)需要選擇安裝組件。網(wǎng)絡(luò)中常用的基礎(chǔ)服務(wù)以“角色”的方式體現(xiàn)，更多的管理任務(wù)以“功能”的方式體現(xiàn)。由于系統(tǒng)安裝的服務(wù)少，因而能夠減少網(wǎng)絡(luò)攻擊面，提升網(wǎng)絡(luò)安全。其中的ADDS域服務(wù)是Windows網(wǎng)絡(luò)的基礎(chǔ)網(wǎng)絡(luò)服務(wù)，是Windows系列應(yīng)用型產(chǎn)品的核心平臺，是用戶管理、計算機管理的基礎(chǔ)。一、項目簡介本項目實現(xiàn)計算機系OU中若干計算機賬號和用戶賬號（見表1-1）的統(tǒng)一的管理。表1-1網(wǎng)絡(luò)環(huán)境描述名稱作用備注Server1服務(wù)器DC域控制器S

2、erver2、Server3服務(wù)器文件服務(wù)器等域的成員服務(wù)器PC1客戶端計算機1用戶登錄的計算機OU內(nèi)PC2客戶端計算機2用戶登錄的計算機OU內(nèi)User1、user2、user3用戶賬號普通賬號域內(nèi)用戶圖1-1基于域的網(wǎng)絡(luò)拓撲圖圖1-1是網(wǎng)絡(luò)拓撲圖。二、實訓(xùn)環(huán)境1、軟件環(huán)境WindowsServer2012R2、Windows7等鏡像文件光盤、VMware7.1以上版本的虛擬機軟件。2、學(xué)院域,計算機系是域中的一個OU。任務(wù)2應(yīng)用組策略部署軟件通過組策略，可以將軟件部署給域內(nèi)的計算機。軟件部署分為分配和發(fā)布。分配可以給用戶，也可以給計算機。如果分配給用戶，則用戶在域內(nèi)的任何一臺計算機登錄時，這

3、個軟件都會被通告給該用戶，但是此軟件并沒有完全安裝，而只是安裝了與這個軟件有關(guān)的部分信息。當(dāng)用戶運行此軟件時，將會安裝此軟件。如果分配給計算機，則當(dāng)計算機啟動時就會自動安裝這個軟件，而且任何用戶登錄都可以使用此軟件。軟件發(fā)布只能給用戶，當(dāng)將軟件發(fā)布給域用戶后，此軟件并不會自動被安裝到用戶的計算機內(nèi)，用戶可以通過控制面板來安裝該軟件。安全管理需求將軟件部署給域內(nèi)的計算機，當(dāng)用戶登錄或計算機啟動時會自動安裝軟件或者很容易安裝所部署的軟件。任務(wù)描述1、利用組策略實現(xiàn)軟件發(fā)布制作一個QQ的msi文件，將此軟件發(fā)布到計算機系內(nèi)用戶。2、利用組策略實現(xiàn)軟件的分配(1)為計算機系中的用戶設(shè)置組策略以實現(xiàn)程序

4、QQ.msi的分配。(2)為計算機系中的計算機設(shè)置組策略以實現(xiàn)程序QQ.msi的分配。步驟提示1、利用組策略實現(xiàn)軟件發(fā)布(1)msi軟件的制作方法一，利用工具軟件WinINSTALLLET以比較簡單的制作出.msi文件。步驟為：第一步，在WindowsServer2008R2上安裝WinINSTALLLE默認該軟件會安裝在系統(tǒng),共享名為WinINSTALL國二州k國廣WinINSTALLSetuphA9completedBucccsEfullyiWindows7上通過網(wǎng)絡(luò)訪問WindowsServer2008R2,運行共享文件夾WinINSTALLBinDiscover.exeW,此時它會創(chuàng)建

5、Before快照，其內(nèi)包含在安裝非MSI應(yīng)用程序之前的環(huán)境，包含當(dāng)前磁盤內(nèi)有哪一些文件、登錄設(shè)置值與其他設(shè)置值等。箱nlHSTM，同磔M12MSI應(yīng)用程序的文件名和存儲路徑，選擇存儲磁盤要掃描的磁盤，要排除的文件和文件夾，要排除的登錄路徑等，這里可以使用默認值。然后程序會引導(dǎo)你安裝這個非MSI程序。第四步，完成非MSI應(yīng)用程序的安裝后，再次運行Discover.exe程序，此時將創(chuàng)建After快照，然后將創(chuàng)建一個MSI應(yīng)用程序。這個應(yīng)用程序默認會放在服務(wù)器的WinINSTALLBinPackages之內(nèi)。經(jīng)過上述步驟，完成了一個MSI程序的制作。方法二，利用AdvancedInstaller制

6、作.msi文件。步驟為：第一步，在Windows7上安裝AdvancedInstallero可以選擇默認安裝選項，其安裝路徑為"C:ProgramFilesCaphyonAdancedInstaller”。第二步，AdvancedInstaller使用的原理跟WinINSTALLL樣。就是執(zhí)行兩次系統(tǒng)的快照掃描，將兩次快照掃描之間的系統(tǒng)和注冊表的變化對比后，將差異記錄并保存，再結(jié)合程序打包成為相應(yīng)的.msi包。通過"開始"-»AdvancedRepackager,進入“重新封裝器向?qū)А?，如圖1-22所示。根據(jù)向?qū)У奶崾具M行操作。圖1-22重新封裝向?qū)疽?/p>

7、圖第三步，填寫需要打包的應(yīng)用程序的路徑，產(chǎn)品名稱、版本、公司名稱等信息，如圖1-23所示。然后選擇“開始一個新的系統(tǒng)捕獲”（這是第一次捕獲）。其它設(shè)置都使用默認值。捕獲這個過程需要較長的時間，請耐心等候。圖1-23重新封裝軟件示意圖第四步，進行完第一次系統(tǒng)掃描后，會自動彈出軟件的安裝界面，這時按照正常的步驟安裝軟件。第五步，軟件安裝完成后，會繼續(xù)進行第二次的系統(tǒng)掃描，完成之后，即完成了重新封裝器向?qū)?，點擊“完成”，會將捕獲結(jié)果導(dǎo)入到新的AdvancedInstaller工程。如圖1-24所示。Invlilfr7.11»P"TI'*/ftF>£

8、1;-I-F;她由亡日2t»工看F）阿孫旭名劃。面印T二品斫WIZ營物mt,«-r4行產(chǎn)M；斤芝蕓U工件幡文日卓*X*產(chǎn)品.誣明事L*XSK31O2IHMf算AHDttLDlluLl;!islt.LT*wLZnaM由./a¥.7巴H便逮也為件岸山便巧上出3由上':!上Frt,&-當(dāng)聲品組概述*中工E«5li-Ti6成平咽T1mnZ=QRit;芒醇安魂雨唱并、珀之：石一一用二再看中:是作為一二/女*能IttTMM母廟*一大理】閆金是一斗戈祥生啪泉快出與豆毫叫乂H表提明FKL事B-也此正，力可。的4期年機力*或普納坳*素龍計年修用+企世惠電司

9、以*定向“知里祥的也對子，1«幄電網(wǎng)。球何看我用喟芹白中提而每11了*布卷廊咽1口卷的訴鼎心而!寓。3l*臺第1在常事說情艮下應(yīng)磔呈呈扉眄的*認也ifl善二漳*£新甲L底才"用電工出處I因若播各，上字*平中才有京州行相眼上時種r-r嫌、加鼻蟲不子片面（也隹同丈lit的3,當(dāng)*一斗/件It盍1|時格祝一4鬟認為#蹴，«ii河單擊山哥一表中戳嚅甜件有H可0L1T古同西麻中說工,RP1在功旭胸率也霹功吐圓單*JtETL* 111MB削#«而。的聃IE-IlfFKOIghrfi材* *H產(chǎn)JB口里沒啟用用的巾件占* 我朝二三二*二M匕右it2棄氣上一文

10、莖雄二.*臚/曠3憎手聲U單干羽Ek聲柱FL"it中?.行同一WE7?fi£-Ztffl1口1曠1。_,<溜行bJk匚若6的所J,4q"i_L、雅悔厚*m二砌4百戶害電圖1-24AdvancedInstaller工程示意圖第六步，進入工程設(shè)置組的編輯頁面，此處可以對產(chǎn)品細節(jié)、安裝參數(shù)、升級、搜索、運行環(huán)境、數(shù)字簽名進行編輯，這里跳過。也可以進入工程定義組的編輯頁面對文件和文件夾、Java產(chǎn)品、注冊表、媒介、組織進行編輯。還可以進入工程細節(jié)組的編輯頁面，對環(huán)境、文件關(guān)聯(lián)、自定義操作、服務(wù)、合并模塊、ODBGSQL腳本、程序集、COM、驅(qū)動程序、用戶和組、任務(wù)計

11、劃進行編輯。在用戶界面組的編輯頁面中可以對全局屬性、對話框、翻譯進行編輯，這里特別要注意的是，如果此工程是英語，則應(yīng)該在構(gòu)建語言中選擇“簡體中文”，并選擇“只創(chuàng)建一個多語言程序包”，這樣使打包后的軟件可以支持中文。最后，在工具組的編輯頁面中可以對IIS更新器、序列號驗證、CD/DVD自動運行、控制面板、Windows防火墻、游戲瀏覽器進行編輯。此處全部使用默認值。第七步，點擊菜單項“工程”后選擇“運行”或按“F5”鍵，將此工程保存，然后就開始構(gòu)建工程生成MSI文件的過程。如圖1-25所示。Lj-sh-3，522人日i/nudJgI%!n：-htfillFW人。*JS|二，,=ta而*s；tji

12、*pj阿砌忡*«ici，*網(wǎng)圖1-25構(gòu)建msi工程示意圖構(gòu)建完工程后會彈出應(yīng)用程序的安裝界面，進行安裝。完成之后。到工程文件所在的文件夾，打包后的msi文件就保存在此文件夾中。至此，軟件的重新打包就算完成。注：完成軟件的打包之后，還可以對軟件包進行測試，通過進一步的安裝使用以確定軟件是否可以正常可用。可以使用命令行進入到msi所在的文件夾，運行"msiexec/i“xxxx.msi"/qb"進行驗證。(2)創(chuàng)建軟件發(fā)布點在域中的任一臺服務(wù)器上創(chuàng)建一個文件夾作為軟件發(fā)布點，設(shè)置必要的訪問權(quán)限。將需要發(fā)布的msi文件放入該文件夾中。(3)在域控制器上設(shè)置軟

13、件默認的存儲位置。在組織單元計算機系上設(shè)置組策略，在用戶配置->策略-軟件安裝->屬性，設(shè)置默認程序數(shù)據(jù)包位置，注意這里必須是UNC網(wǎng)絡(luò)路徑。如圖1-26所示。圖1-26設(shè)置默認程序數(shù)據(jù)包位置示意圖(4)布置軟件在“軟件安裝”-“新建”-“數(shù)據(jù)包”，選中需要發(fā)布的軟件，單擊“確定”，然后選擇“已發(fā)布”，單擊“確定”。完成后如圖1-27所示。n圖1-27部署軟件示意圖(5)客戶端安裝被發(fā)布的軟件在計算機系的任何一臺計算機上，用域賬戶useri登錄，通過控制面板->程序-獲得程序，單擊上方的安裝按鈕，即可完成軟件的安裝。如圖1-28所示。圖1-28客戶端安裝已發(fā)布的軟件(6)取消已發(fā)布的軟件若要取消已經(jīng)發(fā)布的軟件，可以在已經(jīng)發(fā)布的軟件上單擊鼠標(biāo)右鍵，選擇所有任務(wù)->刪除。將有兩種選擇，立即刪除和允許用戶繼續(xù)但阻止新用戶的安裝。如圖1-29所示。圖1-29取消已經(jīng)發(fā)布的軟件示意圖2、將軟件分配給用戶或計算機(1)分配給用戶將軟件分配給用戶的設(shè)置如圖1-30所示。-T«i.FbrniJTr