第11章組策略第11章組策略本章學(xué)習(xí)目標(biāo)11.1

組策略概述11.2

管理模板策略的設(shè)置11.3Windows設(shè)置策略的管理11.4

通過軟件設(shè)置策略部署應(yīng)用程序11.5

思考題第11章組策略本章學(xué)習(xí)目標(biāo)

本章主要介紹組策略的定義和設(shè)置。通過本章的學(xué)習(xí)，讀者應(yīng)掌握以下內(nèi)容：l

組策略概述l

管理模板策略的設(shè)置lWindows設(shè)置策略的管理l

通過軟件設(shè)置策略部署應(yīng)用程序第11章組策略11.1組策略概述

組策略是Windowsserver2003操作系統(tǒng)提供的一個(gè)關(guān)鍵性的更改和配置管理技術(shù)，可以針對(duì)站點(diǎn)、域或組織單位設(shè)置組策略，這些組策略的設(shè)置存儲(chǔ)在域控制器的活動(dòng)目錄內(nèi)。組策略包含兩部分的設(shè)置：“計(jì)算機(jī)配置”“用戶配置”第11章組策略計(jì)算機(jī)配置計(jì)算機(jī)配置：當(dāng)計(jì)算機(jī)啟動(dòng)時(shí)，就會(huì)根據(jù)“計(jì)算機(jī)配置”的設(shè)置來確定計(jì)算機(jī)的環(huán)境。例如，若針對(duì)域設(shè)置了組策略，則此組策略內(nèi)的“計(jì)算機(jī)配置”設(shè)置會(huì)被應(yīng)用到該域內(nèi)的所有計(jì)算機(jī)。第11章組策略用戶配置用戶配置：當(dāng)用戶登錄時(shí)，就會(huì)根據(jù)“用戶配置”的設(shè)置來確定用戶的工作環(huán)境。例如，若針對(duì)域設(shè)置了組策略，則此組策略內(nèi)的“用戶配置”就會(huì)被應(yīng)用到此域內(nèi)的所有用戶賬戶。第11章組策略11.1組策略概述

不管是“計(jì)算機(jī)配置”或是“用戶配置”，其組策略都包含以下三個(gè)方面的內(nèi)容：（1）管理模板：包括Windows組件、網(wǎng)絡(luò)、桌面以及任務(wù)欄和開始菜單等相關(guān)的策略。（2）Windows設(shè)置：包括腳本、安全設(shè)置（賬戶策略和本地策略）等相關(guān)的策略。（3）軟件設(shè)置：包括軟件安裝策略，可以進(jìn)行應(yīng)用程序的指派與發(fā)布。11.1組策略概述除了可以針對(duì)站點(diǎn)、域與組織單位設(shè)置組策略之外，還可以對(duì)每一臺(tái)WindowsServer2003計(jì)算機(jī)設(shè)置“本地組策略”，該組策略只能應(yīng)用到本地計(jì)算機(jī)以及在此計(jì)算機(jī)登錄的所有用戶。第11章組策略11.1組策略概述11.1.1

組策略對(duì)象11.1.2

組策略的應(yīng)用順序與規(guī)則第11章組策略11.1.1組策略對(duì)象在域結(jié)構(gòu)網(wǎng)絡(luò)的模式下，所有的組策略都必須通過建立組策略對(duì)象（GroupPolicyObject，GPO）的方式設(shè)置?？梢砸来芜x擇“開始”→“程序”→“管理工具”→“ActiveDirectory用戶和計(jì)算機(jī)”命令，并在彈出的對(duì)話框中選擇站點(diǎn)、域或組織單位，單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”→“組策略”命令，查看其GPO設(shè)置值。如圖11-1所示的“DefaultDomainControllersPolicy”為域控制器默認(rèn)的GPO。返回圖11-1“組策略”選項(xiàng)卡第11章組策略11.1.1組策略對(duì)象當(dāng)新建一個(gè)GPO時(shí)，WindowsServer2003都會(huì)為此GPO建立一個(gè)相對(duì)應(yīng)的組策略模板（GPT，GroupPolicyTemplate）文件夾，用于存儲(chǔ)GPO的數(shù)據(jù)。GPT文件夾位于域控制器的%systemroot%\SYSVOL\sysvol文件夾內(nèi)，它將被自動(dòng)地復(fù)制到其他所有的域控制器中。若在如圖11-1所示的列表框中創(chuàng)建了多個(gè)GPO，并且這些GPO內(nèi)的設(shè)置有沖突時(shí)，則以排列在前面的GPO設(shè)置為優(yōu)先。1．一般用戶默認(rèn)的組策略2．更改組策略3．驗(yàn)證更改組策略的有效性返回第11章組策略1．一般用戶默認(rèn)的組策略

由于Windowsserver2003默認(rèn)只有特殊的用戶賬戶（例如administrator）才能直接在域控制器上登錄，而一般賬戶無法從域控制器上登錄，除非他們被賦予“本地登錄”的權(quán)限。其驗(yàn)證步驟如下：（1）在域控制器端，以administrator賬戶登錄。返回1．一般用戶默認(rèn)的組策略（2）依次選擇“開始”→“程序”→“管理工具”→“ActiveDirectory用戶和計(jì)算機(jī)”命令，從彈出的對(duì)話框中選中g(shù)cx組織單位并單擊鼠標(biāo)右鍵，然后從彈出的快捷菜單中選擇“新建”→“用戶”命令，添加一個(gè)用戶賬戶ls。（3）完成后，注銷administrator，以ls用戶賬戶登錄，將出現(xiàn)登錄失敗的提示“此系統(tǒng)的本地策略不允許您交互登錄”。返回第11章組策略2．更改組策略

以下將介紹如何更改組策略。讓域內(nèi)的所有用戶賬戶都可以從域控制器上登錄，也就是更改“DefaultDomainControllersPolicy”設(shè)置，讓“DomainUsers”組內(nèi)的所有成員都具備“在本地登錄”的權(quán)利。其步驟如下：（1）在域控制器端，以administrator賬戶登錄。依次選擇“開始”→“程序”→“管理工具”→“ActiveDirectory用戶和計(jì)算機(jī)”命令，選中“DomainControllers”，單擊鼠標(biāo)右鍵，再?gòu)膹棾龅目旖莶藛沃羞x擇“屬性”→“組策略”命令。

返回第11章組策略2．更改組策略（2）出現(xiàn)如圖11-1所示的對(duì)話框，選定“DefaultDomainControllersPolicy”項(xiàng)，然后單擊“編輯”按鈕。返回圖11-1“組策略”選項(xiàng)卡第11章組策略2．更改組策略（3）打開如圖11-2所示的“組策略編輯器”窗口，依次選擇展開“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“用戶權(quán)限分配”，然后雙擊窗口右側(cè)的“允許在本地登錄”項(xiàng)。返回圖11-2“組策略”窗口

第11章組策略2．更改組策略（4）出現(xiàn)如圖11-3所示的對(duì)話框，默認(rèn)情況下只有AccountOperators、Administrators、PrinterOperators、ServerOperators、BackupOperators等組內(nèi)的成員才具有“允許在本地登錄”的權(quán)限。單擊“添加用戶和組”按鈕，選擇“DomainUsers”組以便讓所有的域用戶都能在本地登錄。返回圖11-3“允許在本地登錄屬性”對(duì)話框2．更改組策略（5）單擊“確定”按鈕，返回“組策略編輯器”窗口。（6）返回“DomainControllers屬性”對(duì)話框，單擊“確定”按鈕，關(guān)閉此對(duì)話框。返回第11章組策略3．驗(yàn)證更改組策略的有效性

更改組策略后，并不立刻生效，域控制器的組策略更新時(shí)間，默認(rèn)為5分鐘；Windowsserver2003工作站、成員服務(wù)器的組策略更新時(shí)間，默認(rèn)為90分鐘。為了使更改后的組策略能夠立刻生效，必須在該計(jì)算機(jī)上選擇“開始”→“程序”→“命令提示符”命令，進(jìn)入DOS命令窗口，運(yùn)行“gpupdate/target:computer”（讓“組策略”的“計(jì)算機(jī)配置”生效）或“gpupdate/target:user”（讓“組策略”的“用戶配置”生效）命令；或重啟計(jì)算機(jī)。

返回第11章組策略3．驗(yàn)證更改組策略的有效性可以利用“事件查看器”中的“應(yīng)用程序日志”來查看更改后的策略是否已經(jīng)應(yīng)用到此計(jì)算機(jī)。以下是驗(yàn)證更改“在本地登錄”組策略的有效性的步驟：（1）在域控制器上執(zhí)行“gpupdate/target:computer”命令，注銷administrator賬戶；或者重新啟動(dòng)域控制器。（2）重新登錄時(shí)，請(qǐng)用剛建立的域用戶“l(fā)s”登錄，此時(shí)應(yīng)該可以登錄成功。

返回第11章組策略11.1.2組策略的應(yīng)用順序與規(guī)則返回如果在本地計(jì)算機(jī)、站點(diǎn)、域與組織單位內(nèi)分別設(shè)置了組策略，則這些組策略的優(yōu)先順序與規(guī)則如下：

圖11-4組策略示例

第11章組策略11.1.2組策略的應(yīng)用順序與規(guī)則如果在高層容器內(nèi)建立了組策略，而未在其低層容器內(nèi)建立組策略，則低層容器會(huì)繼承在高層容器內(nèi)所建立的組策略。以圖11-4為例，如果僅針對(duì)域建立了組策略，則其低層的gcx組織單位會(huì)繼承這個(gè)策略，同時(shí)更低層的2011組織單位也會(huì)繼承這個(gè)策略。也就是說，該組策略會(huì)被應(yīng)用到gcx組織單位，同時(shí)也會(huì)被應(yīng)用到更低層的2011組織單位。返回第11章組策略11.1.2組策略的應(yīng)用順序與規(guī)則如果在低層的容器內(nèi)建立了組策略，則此組策略內(nèi)的設(shè)置默認(rèn)會(huì)替代由其高層的父容器所傳遞下來的組策略。以圖11-4為例，如果針對(duì)域內(nèi)的組織單位gcx建立了組策略，同時(shí)也針對(duì)其下層的2011組織單位建立了組策略，則2011組織單位的組策略以其本身的組策略為準(zhǔn)。如果在父容器的組策略內(nèi)的某個(gè)策略被設(shè)為“未被配置”，則子容器并不繼承這個(gè)策略。返回第11章組策略11.1.2組策略的應(yīng)用順序與規(guī)則如果在父容器的組策略內(nèi)的某個(gè)策略被設(shè)為“啟用”或“禁用”，但是子容器內(nèi)的組策略內(nèi)并未設(shè)置此策略，則子容器會(huì)繼承這個(gè)設(shè)置。在子容器的組策略內(nèi)，可以通過選中圖11-1對(duì)話框中的“阻止策略繼承”復(fù)選框來設(shè)置不要繼承由父容器傳遞的組策略設(shè)置。

返回第11章組策略11.1.2組策略的應(yīng)用順序與規(guī)則

可以在父容器的組策略內(nèi)，通過“禁止替代”復(fù)選框來強(qiáng)迫子容器必須繼承由父容器傳遞的組策略設(shè)置，不論子容器的組策略內(nèi)是否設(shè)置了“阻止策略繼承”，父容器的“禁止替代”的優(yōu)先級(jí)高于在子容器內(nèi)的“阻止策略繼承”。返回第11章組策略11.2管理模板策略的設(shè)置管理模板策略包括Windows組件、網(wǎng)絡(luò)、桌面以及“任務(wù)欄和「開始」菜單”等相關(guān)的內(nèi)容。本節(jié)利用實(shí)例來介紹設(shè)置管理模板策略的步驟。首先利用administrator賬戶登錄，依次選擇“開始”→“程序”→“管理工具”→“ActiveDirectory用戶和計(jì)算機(jī)”命令，打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口，建立實(shí)例所需的組織單位與用戶賬戶，結(jié)果如圖11-4所示。圖11-4組策略示例

第11章組策略11.2管理模板策略的設(shè)置◆選中域名后單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“新建”→“組織單位”命令，添加一個(gè)組織單位，其名稱為gcx。◆選中g(shù)cx組織單位后單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“新建”→“組織單位”來添加一個(gè)用戶賬戶，其名稱為zhuren。◆選中g(shù)cx組織單位后單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“新建”→“組織單位”來添加一個(gè)下級(jí)組織單位，其名稱為2011。◆選中2011組織單位后單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“新建”→“用戶”命令，添加一個(gè)用戶賬戶，其名稱為zhangsan。第11章組策略11.2管理模板策略的設(shè)置11.2.1

設(shè)置管理模板策略11.2.2

設(shè)置組策略的替代功能第11章組策略11.2.1設(shè)置管理模板策略設(shè)置gcx組織單位的管理模板策略，隱藏用戶桌面上的“網(wǎng)上鄰居”圖標(biāo)；將“開始”菜單中的“運(yùn)行”、“幫助”等命令隱藏；在“開始”菜單中添加“注銷”的功能。其步驟如下：（1）打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口，選中g(shù)cx組織單位后，單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“屬性”→“組策略”→“新建”命令，添加一個(gè)GPO，并將其命名為“gcxPolicy”。返回第11章組策略11.2.1設(shè)置管理模板策略（2）在如圖11-5所示的對(duì)話框中，單擊“編輯”按鈕。返回圖11-5添加新的組策略第11章組策略11.2.1設(shè)置管理模板策略（3）在如圖11-6所示的“組策略編輯器”窗口中，展開“用戶配置”→“管理模板”→“任務(wù)欄和「開始」菜單”項(xiàng)。返回圖11-6設(shè)置組策略第11章組策略11.2.1設(shè)置管理模板策略●雙擊窗口右側(cè)的“從「開始」菜單中刪除‘運(yùn)行’菜單”。在出現(xiàn)的如圖11-7所示的對(duì)話框中，選中“已啟用”單選框，單擊“確定”按鈕?！耠p擊窗口右側(cè)的“從「開始」菜單刪除‘幫助’命令”。在出現(xiàn)的類似圖11-7所示的對(duì)話框中，選中“已啟用”單選框，單擊“確定”按鈕?！耠p擊窗口右側(cè)的“將‘注銷’添加到「開始」菜單”。在出現(xiàn)的類似圖11-7所示的對(duì)話框中，選中“已啟用”單選框，單擊“確定”按鈕

返回圖11-7設(shè)置策略是否啟用第11章組策略11.2.1設(shè)置管理模板策略（4）在如圖11-6所示的“組策略編輯器”窗口中，展開“用戶配置”→“管理模板”→“桌面”項(xiàng)，雙擊窗口右側(cè)的“隱藏桌面上‘網(wǎng)上鄰居’圖標(biāo)”。在出現(xiàn)的如圖11-7所示的對(duì)話框中，選中“已啟用”單選框，單擊“確定”按鈕。

（5）設(shè)置完成后，關(guān)閉“組策略”窗口。（6）單擊“關(guān)閉”按鈕，結(jié)束組策略設(shè)置。返回第11章組策略11.2.1設(shè)置管理模板策略在該組策略生效后：注銷并利用gcx組織單位內(nèi)的域用戶賬戶zhuren登錄，其桌面上的“網(wǎng)上鄰居”圖標(biāo)以及“開始”菜單中的“幫助”與“運(yùn)行”命令都沒有了，但是卻多出了一個(gè)“注銷zhuren”的命令。注銷后利用2011組織單位內(nèi)的域用戶賬戶zhangsan登錄，其桌面上的設(shè)置等同于zhuren用戶賬戶的桌面設(shè)置，表示位于下層的2011組織單位繼承了上一層的gcx組織單位內(nèi)的組策略（GPO）設(shè)置。返回第11章組策略11.2.2設(shè)置組策略的替代功能設(shè)置2011組織單位內(nèi)的管理模板策略，并將其設(shè)置為：●不隱藏用戶桌面上的“網(wǎng)上鄰居”圖標(biāo)；●不要在“開始”菜單中添加“注銷”的功能。然后利用2011組織單位內(nèi)的用戶賬戶zhangsan登錄，并驗(yàn)證是否繼承或替代由gcx組織單位所傳遞的組策略設(shè)置。返回11.2.2設(shè)置組策略的替代功能（1）打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口，選擇2011組織單位并單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“屬性”→“組策略”→“新建”選項(xiàng)，新建一個(gè)GPO，并將其命名為“2011Policy”。（2）在如圖11-5所示的對(duì)話框中，單擊“編輯”按鈕。（3）在如圖11-6所示的“組策略編輯器”窗口中，選擇“用戶配置”→“管理模板”→“任務(wù)欄和「開始」菜單”。雙擊窗口右側(cè)的“將‘注銷’添加到「開始」菜單”，在出現(xiàn)的如圖11-7所示的對(duì)話框中，選擇“已禁用”單選框，單擊“確定”按鈕。返回11.2.2設(shè)置組策略的替代功能（4）在如圖11-6所示的“組策略編輯器”窗口中，選擇“用戶配置”→“管理模板”→“桌面”。雙擊窗口右側(cè)的“隱藏桌面上‘網(wǎng)上鄰居’圖標(biāo)”，在出現(xiàn)的如圖11-7所示的對(duì)話框中，選擇“已禁用”單選框，單擊“確定”按鈕。（5）設(shè)置完成后，關(guān)閉“組策略編輯器”窗口。然后單擊“確定”按鈕完成組策略設(shè)置。在該組策略生效后，注銷并用域用戶賬戶zhangsan登錄，桌面上的“網(wǎng)上鄰居”圖標(biāo)又出現(xiàn)了，“開始”菜單的“注銷zhangsan”命令又沒有了，表明低層組策略的設(shè)置替代了高層組策略的設(shè)置；而“開始”菜單中的“幫助”與“運(yùn)行”命令依然沒有，則表明“未被配置”的子容器的策略將繼承父容器的策略設(shè)置。返回11.2.2設(shè)置組策略的替代功能若在如圖11-5所示的對(duì)話框中選中“阻止策略繼承”復(fù)選框，然后單擊“關(guān)閉”按鈕。在該組策略生效后，注銷并用域用戶賬戶zhangsan登錄，“開始”菜單中的“幫助”與“運(yùn)行”命令就出現(xiàn)了，則表明“未被配置”的子容器的策略阻止策略繼承父容器的策略設(shè)置。若在上層gcx組織單位的“組策略編輯器”窗口中，單擊“選項(xiàng)”按鈕，在出現(xiàn)的窗口中設(shè)置“禁止替代”選項(xiàng)，則屬于gcx組織單位的所有對(duì)象的組策略不能更改。以上2011組織單位的組策略設(shè)置無效。返回第11章組策略11.3WINDOWS設(shè)置策略的管理Windows設(shè)置策略包括登錄/注銷、啟動(dòng)/關(guān)閉腳本以及安全設(shè)置的賬戶策略與本地策略等相關(guān)的策略。下面針對(duì)典型的策略予以介紹。11.3.1

賬戶策略的設(shè)置11.3.2

本地策略11.3.3

登錄/注銷、啟動(dòng)/關(guān)閉腳本第11章組策略11.3.1賬戶策略的設(shè)置賬戶策略分為“密碼策略”與“賬戶鎖定策略”，可以通過選擇“ActiveDirectory用戶和計(jì)算機(jī)”窗口內(nèi)的域（或組織單位）后，單擊鼠標(biāo)右鍵，并從彈出的快捷菜單中選擇“屬性”→“組策略”命令，在“組策略”選項(xiàng)卡中選定GPO，然后選擇“編輯”→“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“賬戶策略”，打開如圖11-8所示的窗口，然后設(shè)置策略。1．密碼策略2．賬戶鎖定策略返回圖11-8賬戶策略的設(shè)置第11章組策略1．密碼策略選擇“密碼策略”，如圖11-9所示，設(shè)置與用戶賬戶密碼有關(guān)的策略：返回圖11-9設(shè)置密碼策略第11章組策略1．密碼策略密碼必須符合復(fù)雜性要求：包含來自以下四種字符類別中的三種，英文大寫字母（從A到Z）、英文小寫字母（從a到z）、10個(gè)基本數(shù)字（從0到9）和非字母字符（例如，!、$、#、%）。密碼最長(zhǎng)存留期：設(shè)置用戶密碼最長(zhǎng)的使用期限。用戶在登錄時(shí)，若密碼使用期限已到，系統(tǒng)會(huì)自動(dòng)要求用戶更改密碼。雙擊圖11-9中的“密碼最長(zhǎng)使用期限”項(xiàng)，在出現(xiàn)如圖11-10所示的對(duì)話框中設(shè)置其密碼最長(zhǎng)使用期限。返回圖11-10“密碼最長(zhǎng)存留期”的設(shè)置

第11章組策略1．密碼策略密碼長(zhǎng)度最小值：規(guī)定用戶在設(shè)置密碼時(shí)，密碼的最小長(zhǎng)度。強(qiáng)制密碼歷史：設(shè)置是否記錄用戶以前所使用過的密碼，以便設(shè)置用戶在更改其密碼時(shí)，是否可以重復(fù)使用舊的密碼。返回第11章組策略2．賬戶鎖定策略選擇“賬戶鎖定策略”，如圖11-11所示，可以設(shè)置以下策略：返回圖11-11設(shè)置賬戶鎖定策略第11章組策略2．賬戶鎖定策略賬戶鎖定閾值：此處可設(shè)置在用戶登錄多次失?。ɡ纾艽a輸入錯(cuò)誤）后，就將該賬戶鎖定。在未被解除鎖定之前，用戶無法再利用此賬戶登錄。賬戶鎖定時(shí)間：設(shè)置在鎖定時(shí)將賬戶鎖定多長(zhǎng)時(shí)間，在這段時(shí)間過后，鎖定自動(dòng)解除；如果將鎖定時(shí)間設(shè)為0分鐘，則表示此賬戶將被永久鎖定，不會(huì)被自動(dòng)解除鎖定，此時(shí)必須由系統(tǒng)管理員解除鎖定。返回第11章組策略2．賬戶鎖定策略復(fù)位賬戶鎖定計(jì)數(shù)器：鎖定計(jì)數(shù)器的初值為0，用戶若登錄失敗，則鎖定計(jì)數(shù)的值加1；若登錄成功，則鎖定計(jì)數(shù)器的值被歸零；若鎖定計(jì)數(shù)器的值等于賬戶鎖定閾值，該賬戶就會(huì)被鎖定。返回第11章組策略2．賬戶鎖定策略

還可以通過此處設(shè)置所謂的間隔時(shí)間，以便讓鎖定計(jì)數(shù)器的值在間隔時(shí)間到后自動(dòng)清零。若用戶連續(xù)多次（賬戶鎖定閥值）登錄失敗，其賬戶就會(huì)被鎖定。但是，賬戶在被鎖定之前（尚未達(dá)到賬戶鎖定閥值），如果前一次登錄失敗后的間隔時(shí)間已超過30分鐘，則鎖定計(jì)數(shù)器的值被清0。返回第11章組策略11.3.2本地策略本地策略包括審核策略、用戶權(quán)限分配策略和安全選項(xiàng)策略。打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口，選定域（或組織單位）后，單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“屬性”→“組策略”，再在“組策略”選項(xiàng)卡中選定GPO，然后選擇“編輯”→“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”，打開如圖11-12所示的窗口，針對(duì)相應(yīng)的策略進(jìn)行設(shè)置。1．審核策略2．用戶權(quán)利指派策略3．安全選項(xiàng)策略返回圖11-12本地策略的設(shè)置第11章組策略1．審核策略選擇“審核策略”，如圖11-12所示，可以設(shè)置以下策略?！魧徍瞬呗愿模簩徍恕皩徍瞬呗浴钡炔呗允欠褚驯桓摹！魧徍说卿浭录簩徍耸欠裼杏脩舻卿浥c注銷?！魧徍藢?duì)象訪問：審核是否有用戶訪問文件、文件夾、打印機(jī)等資源。必須另外再針對(duì)所選擇的文件、文件夾、打印機(jī)等資源設(shè)置審核的操作?！魧徍诉^程追蹤：追蹤過程的執(zhí)行，例如是否有某個(gè)程序被啟動(dòng)或者結(jié)束?！魧徍四夸浄?wù)訪問：審核是否有用戶訪問ActiveDirectory內(nèi)的對(duì)象。必須另外再針對(duì)所選擇的對(duì)象設(shè)置審核的操作。返回1．審核策略◆審核特權(quán)使用：審核是否用戶使用了“用戶權(quán)限指派”策略內(nèi)所賦予的權(quán)利?！魧徍讼到y(tǒng)事件：審核是否有用戶登錄、注銷、執(zhí)行網(wǎng)絡(luò)連接的操作?！魧徍速~戶登錄事件：審核是否利用此計(jì)算機(jī)內(nèi)的賬戶來審核用戶的身份?！魧徍速~戶管理：審核是否有用戶賬戶的添加、更改、刪除、更名等事件。每個(gè)被審核的事件都可以分為“成功”與“失敗”，也就是可以審核該事件是否成功地發(fā)生。返回第11章組策略2．用戶權(quán)利指派策略選擇“用戶權(quán)利指派策略”，如圖11-2所示，設(shè)置以下常用的幾個(gè)策略：返回

圖11-2“組策略”窗口第11章組策略2．用戶權(quán)利指派策略◆允許在本地登錄：允許用戶直接在本機(jī)上登錄。◆域中添加工作站：允許用戶將WindowsServer2003、WindowsNT計(jì)算機(jī)加入到域內(nèi)。加入域后，用戶才可以在這些計(jì)算機(jī)上用域用戶賬戶登錄域，并訪問域內(nèi)的資源?！絷P(guān)閉系統(tǒng)：允許用戶關(guān)閉計(jì)算機(jī)?！魪木W(wǎng)絡(luò)訪問此計(jì)算機(jī)：允許用戶通過網(wǎng)絡(luò)上的其他計(jì)算機(jī)來連接，并訪問此計(jì)算機(jī)內(nèi)的資源。◆從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)：允許通過遠(yuǎn)程計(jì)算機(jī)來關(guān)閉此計(jì)算機(jī)。

返回2．用戶權(quán)利指派策略◆備份文件和目錄：允許用戶備份硬盤內(nèi)的文件與文件夾?！暨€原文件和目錄：允許用戶還原所備份的文件與文件夾?！艄芾韺徍撕桶踩罩荆涸试S用戶指定要審核的事件，也允許用戶查詢與清除安全日志?！舾南到y(tǒng)時(shí)間：允許用戶設(shè)置計(jì)算機(jī)的系統(tǒng)日期和時(shí)間?！粞b載和卸載設(shè)備驅(qū)動(dòng)程序：允許用戶裝載與卸載設(shè)備驅(qū)動(dòng)程序。◆取得文件或其他對(duì)象的所有權(quán)：允許用戶奪取由其他用戶對(duì)文件、文件夾或其他對(duì)象的所有權(quán)。返回第11章組策略3．安全選項(xiàng)策略選擇“安全選項(xiàng)策略”，可以設(shè)置以下策略：登錄屏幕上不要顯示上次登錄的用戶名：每次用戶按Ctrl+Alt+Del鍵后，在所出現(xiàn)的“登錄到Windows”對(duì)話框中都會(huì)自動(dòng)顯示上一次登錄者的用戶名稱，通過此選項(xiàng)可以讓其不顯示。允許在未登錄前關(guān)機(jī)：讓按Ctrl+Alt+Del鍵后所出現(xiàn)的“登錄到Windows”對(duì)話框中，“關(guān)機(jī)”按鈕可以選用，以便在不需要登錄的情況下就可以關(guān)閉計(jì)算機(jī)。返回第11章組策略3．安全選項(xiàng)策略在密碼到期前提示用戶更改密碼：設(shè)置在用戶的密碼過期前幾天，提示用戶必須更改密碼。禁用按Ctrl+Alt+Del鍵進(jìn)行登錄的設(shè)置：設(shè)置在計(jì)算機(jī)啟動(dòng)時(shí)，直接出現(xiàn)“登錄到Windows”對(duì)話框，不需要提示“請(qǐng)按Ctrl+Alt+Del開始”。用戶試圖登錄時(shí)消息文字與用戶試圖登錄時(shí)消息標(biāo)題：每次當(dāng)Windowsserver2003啟動(dòng)時(shí)，它都會(huì)提示“請(qǐng)按Ctrl+Alt+Del開始”，而如果希望用戶在按完這三個(gè)鍵后，窗口上自動(dòng)顯示一些希望用戶看到的信息，則可以利用此處設(shè)置顯示信息的標(biāo)題文字與內(nèi)容。返回第11章組策略11.3.3登錄/注銷、啟動(dòng)/關(guān)閉腳本用戶“配置文件”中的“登錄腳本”，是針對(duì)一個(gè)用戶設(shè)置的，也就是若某個(gè)用戶被指派了登錄腳本，則當(dāng)其登錄時(shí)，此腳本就會(huì)自動(dòng)執(zhí)行，而對(duì)其他用戶無效。

“組策略”中的“登錄/注銷腳本”，是針對(duì)域或組織單位內(nèi)的所有用戶進(jìn)行設(shè)置的，也就是只要域或組織單位內(nèi)的用戶登錄時(shí)，系統(tǒng)就自動(dòng)執(zhí)行此“登錄腳本”；注銷時(shí)，就執(zhí)行“注銷腳本”。另外，“啟動(dòng)/關(guān)機(jī)腳本”是針對(duì)計(jì)算機(jī)進(jìn)行設(shè)置的，只要計(jì)算機(jī)啟動(dòng)時(shí)，就會(huì)自動(dòng)執(zhí)行“啟動(dòng)腳本”，而關(guān)機(jī)時(shí)執(zhí)行“關(guān)機(jī)腳本”。1．登錄/注銷腳本2．啟動(dòng)/關(guān)閉腳本的設(shè)置返回第11章組策略1．登錄/注銷腳本（1）利用文件“l(fā)ogon.vbs”來設(shè)置登錄腳本?？梢杂谩坝浭卤尽眮韯?chuàng)建該文件，其中只有一行在屏幕上顯示字符串的命令：Wscript.echo“這是由組策略設(shè)置的登錄腳本”。同時(shí)，創(chuàng)建“l(fā)ogoff.vbs”來設(shè)置注銷腳本。其中也只有一行在屏幕上顯示字符串的命令：Wscript.echo“這是由組策略設(shè)置的注銷腳本”。返回第11章組策略1．登錄/注銷腳本

返回（2）打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口，選擇域名(或組織單位)并單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“屬性”→“組策略”命令，然后在對(duì)話框中選定GPO，再選擇“編輯”→“用戶配置”→“Windows設(shè)置”→“腳本（登錄/注銷）”選項(xiàng)，出現(xiàn)如圖11-13所示的窗口，雙擊右側(cè)的“登錄”。圖11-13設(shè)置登錄和注銷腳本1．登錄/注銷腳本（3）出現(xiàn)如圖11-14所示的對(duì)話框，單擊“顯示文件”按鈕。圖11-14“登錄屬性”對(duì)話框

返回第11章組策略1．登錄/注銷腳本（4）出現(xiàn)如圖11-15所示的窗口，先切換到“Windows資源管理器”，選定登錄腳本，單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“復(fù)制”命令；然后返回“Logon”窗口，選擇“編輯”

→“粘貼”命令，將登錄腳本復(fù)制到該窗口中。返回圖11-15復(fù)制登錄腳本第11章組策略1．登錄/注銷腳本（5）返回到如圖11-14所示的對(duì)話框，單擊“添加”按鈕。

（6）出現(xiàn)如圖11-16所示的對(duì)話框，單擊“瀏覽”按鈕，從圖11-15所示的Logon文件夾內(nèi)選定登錄腳本。如果腳本需要輸入?yún)?shù)，則在“腳本參數(shù)”文本框中鍵入?yún)?shù)，完成后單擊“確定”按鈕。返回圖11-16指定登錄腳本第11章組策略1．登錄/注銷腳本（7）返回如圖11-14所示的對(duì)話框，單擊“確定”按鈕。（8）返回如圖11-13所示的窗口，雙擊右側(cè)的“注銷”，然后重復(fù)步驟（2）~（6），設(shè)置“注銷”腳本。完成設(shè)置后，如果這個(gè)GPO策略是針對(duì)域設(shè)置的，則域內(nèi)的所有用戶登錄時(shí)會(huì)自動(dòng)執(zhí)行所設(shè)置的登錄腳本、注銷時(shí)會(huì)自動(dòng)執(zhí)行注銷腳本；如果這個(gè)GPO策略是針對(duì)某個(gè)組織單位設(shè)置的，則此組織單位內(nèi)的所有用戶登錄、注銷時(shí)，都會(huì)自動(dòng)執(zhí)行此處所設(shè)置的登錄/注銷腳本。

返回第11章組策略2．啟動(dòng)/關(guān)閉腳本的設(shè)置（1）創(chuàng)建啟動(dòng)與關(guān)閉腳本。（2）打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口，選擇域名(或組織單位)并單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“屬性”→“組策略”命令，在對(duì)話框中選定GPO后，依次選擇“編輯”→“計(jì)算機(jī)配置”→“Windows設(shè)置”→“腳本（啟動(dòng)/關(guān)機(jī)）”選項(xiàng)，出現(xiàn)如圖11-17所示的窗口，雙擊右側(cè)的“啟動(dòng)”。返回第11章組策略2．啟動(dòng)/關(guān)閉腳本的設(shè)置

返回（3）出現(xiàn)如圖11-14所示的對(duì)話框，單擊“顯示文件”按鈕。（4）出現(xiàn)如圖11-15所示的窗口，先切換到“Windows資源管理器”，選定登錄腳本，單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“復(fù)制”命令，然后返回窗口，選擇“編輯”→“粘貼”命令，將登錄腳本復(fù)制到該窗口中。

圖11-17設(shè)置啟動(dòng)和關(guān)機(jī)腳本2．啟動(dòng)/關(guān)閉腳本的設(shè)置（5）返回到如圖11-14所示的對(duì)話框，單擊“添加”按鈕。（6）出現(xiàn)如圖11-13所示的對(duì)話框，單擊“瀏覽”按鈕，從startup文件夾內(nèi)選定啟動(dòng)腳本。如果腳本需要輸入?yún)?shù)，則在“腳本參數(shù)”文本框中鍵入?yún)?shù)，完成后單擊“確定”（7）返回到如圖11-14所示的對(duì)話框，單擊“確定”按鈕。（8）返回如圖11-17所示的窗口后，雙擊右側(cè)的“關(guān)機(jī)”，然后重復(fù)步驟（2）~（6），設(shè)置“關(guān)機(jī)”腳本。完成設(shè)置后，如果這個(gè)GPO策略是針對(duì)域設(shè)置的，則域內(nèi)的所有計(jì)算機(jī)啟動(dòng)時(shí)，會(huì)自動(dòng)執(zhí)行此處所設(shè)置的啟動(dòng)腳本，關(guān)機(jī)時(shí)會(huì)自動(dòng)執(zhí)行關(guān)機(jī)腳本。返回第11章組策略11.4通過軟件設(shè)置策略部署應(yīng)用程序

通過軟件設(shè)置策略，可以為用戶與計(jì)算機(jī)來部署應(yīng)用程序。將應(yīng)用程序發(fā)布或指派給用戶。將應(yīng)用程序指派給計(jì)算機(jī)。自動(dòng)修復(fù)應(yīng)用程序。刪除用戶的應(yīng)用程序。第11章組策略11.4通過軟件設(shè)置策略部署應(yīng)用程序◆將應(yīng)用程序發(fā)布或指派給用戶。當(dāng)某個(gè)應(yīng)用程序通過組策略的GPO被發(fā)布或指派給用戶后，域用戶可以依次選擇“開始”→“設(shè)置”→“控制面板”→“添加/刪除程序”選項(xiàng)，通過網(wǎng)絡(luò)來安裝此應(yīng)用程序。或者當(dāng)域用戶要打開一個(gè)與該應(yīng)用程序相關(guān)聯(lián)的文件（如：Excel文件）時(shí)，WindowsServer2003計(jì)算機(jī)將先自動(dòng)安裝此應(yīng)用程序（如：MicrosoftExcel），再打開此文件（如：Excel文件）。

第11章組策略11.4通過軟件設(shè)置策略部署應(yīng)用程序◆將應(yīng)用程序發(fā)布或指派給計(jì)算機(jī)。若此應(yīng)用程序被發(fā)布或指派給計(jì)算機(jī)，則計(jì)算機(jī)啟動(dòng)后，可以通過上述方式將該應(yīng)用程序安裝到該計(jì)算機(jī)內(nèi)，并且它是被放到公用程序組中，任何用戶登錄后，都可以使用此應(yīng)用程序。第11章組策略11.4通過軟件設(shè)置策略部署應(yīng)用程序◆自動(dòng)修復(fù)應(yīng)用程序。被發(fā)布或指派的應(yīng)用程序，若在安裝完成后有文件被損毀、丟失或刪除，則系統(tǒng)會(huì)自動(dòng)檢測(cè)到，然后修復(fù)、重新安裝此應(yīng)用程序。

第11章組策略11.4通過軟件設(shè)置策略部署應(yīng)用程序◆刪除用戶的應(yīng)用程序。被發(fā)布或指派的應(yīng)用程序，若在用戶安裝完成后，需不再讓用戶使用，則只要將此程序從軟件設(shè)置策略部署應(yīng)用程序列表中刪除，用戶下次登錄或計(jì)算機(jī)重新啟動(dòng)時(shí)，將自動(dòng)刪除該應(yīng)用程序。第11章組策略11.4通過軟件設(shè)置策略部署應(yīng)用程序以上所部署的應(yīng)用程序必須被包裝為Windows安裝程序包的格式，其擴(kuò)展名為.msi。若要將其它現(xiàn)有的應(yīng)用程序打包為Windows安裝程序包，則可以通過WinINSTALLLE（LimitedEdition）工具軟件完成。第11章組策略11.4通過軟件設(shè)置策略部署應(yīng)用程序11.4.1

給用戶發(fā)布或指派應(yīng)用程序11.4.2

給計(jì)算機(jī)指派應(yīng)用程序11.4.3

更改部分應(yīng)用程序的設(shè)置11.4.4

使用WinINSTALLLE制作MSI安裝軟件包第11章組策略11.4.1給用戶發(fā)布或指派應(yīng)用程序下面以WindowsServer2003光盤內(nèi)的support\tools\suptools.msi應(yīng)用程序?yàn)槔?，介紹如何將具有Windows安裝程序包格式的應(yīng)用程序發(fā)布或指派給用戶，以便讓用戶可以安裝、使用該應(yīng)用程序。1．給用戶發(fā)布或指派應(yīng)用程序2．安裝被發(fā)布或指派的應(yīng)用程序返回第11章組策略1．給用戶發(fā)布或指派應(yīng)用程序給用戶發(fā)布或指派應(yīng)用程序的步驟如下：（1）用administrator賬戶登錄到域控制器。（2）在域控制器上建立一個(gè)文件夾，例如：C:\Packages。并將其設(shè)為共享文件夾，共享名為Packages。（3）將WindowsServer2003軟件安裝光盤中的\support\tools\suptools.msi文件復(fù)制到共享文件夾Packages內(nèi)。返回第11章組策略1．給用戶發(fā)布或指派應(yīng)用程序（4）打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口，選中域名(或組織單位)并單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“屬性”→“組策略”，打開“組策略”選項(xiàng)卡，然后選定GPO，選擇“編輯”→“用戶配置”→“軟件設(shè)置”→“軟件安裝”項(xiàng)，打開如圖11-18所示的窗口。

返回圖11-18軟件安裝第11章組策略1．給用戶發(fā)布或指派應(yīng)用程序（5）選擇“軟件安裝”并單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“屬性”命令。出現(xiàn)如圖11-19所示的對(duì)話框，在“默認(rèn)程序包位置”文本框中輸入應(yīng)用程序包的位置，注意此處請(qǐng)用UNC路徑，例如：\\\packages，然后單擊“確定”按鈕。

返回

圖11-19“軟件安裝屬性”對(duì)話框第11章組策略1．給用戶發(fā)布或指派應(yīng)用程序（6）返回圖11-18所示的“組策略編輯器”窗口，選擇“軟件安裝”并單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“新建”→“程序包”命令。出現(xiàn)如圖11-20所示的對(duì)話框，選擇應(yīng)用程序包“suptools.msi”，然后單擊“打開”按鈕。

返回圖11-20選擇程序包第11章組策略1．給用戶發(fā)布或指派應(yīng)用程序（7）出現(xiàn)如圖11-21所示的對(duì)話框，在“選擇部署方法”組框中選擇“已發(fā)布”、“已指派”或“高級(jí)”。這里，選擇“已發(fā)布”，然后單擊“確定”按鈕。

返回圖11-21選擇部署方式

第11章組策略1．給用戶發(fā)布或指派應(yīng)用程序（8）在如圖11-22所示的窗口中，提示“suptools.msi”已發(fā)布成功。

若要取消發(fā)布此應(yīng)用程序，則選擇該應(yīng)用程序并單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“所有任務(wù)”→“刪除”命令即可。返回

圖11-22“suptools.msi”發(fā)行成功第11章組策略2.安裝被發(fā)布或指派的應(yīng)用程序

安裝被發(fā)布或指派的應(yīng)用程序，可以通過“添加/刪除程序”或運(yùn)行相關(guān)聯(lián)的文件的途徑進(jìn)行。通過“添加/刪除程序”的途徑來安裝被發(fā)布的應(yīng)用程序，其步驟如下：（1）在網(wǎng)絡(luò)上，用域用戶賬戶登錄。（2）依次選擇“開始”→“設(shè)置”→“控制面板”→“添加/刪除程序”。返回第11章組策略2.安裝被發(fā)布或指派的應(yīng)用程序（3）單擊“添加新程序”選項(xiàng)，則右方的“從網(wǎng)絡(luò)添加程序”處將顯示所有已被發(fā)布的應(yīng)用程序。（4）選擇要安裝的應(yīng)用程序（如suptools.msi），單擊“添加”按鈕開始安裝應(yīng)用程序。

安裝完成后，依次選擇“開始”→“程序”，在程序列表中就會(huì)多一個(gè)“WindowsSupportTools”程序項(xiàng)，單擊該程序項(xiàng)即可啟動(dòng)。返回第11章組策略2.安裝被發(fā)布或指派的應(yīng)用程序

若通過發(fā)布方式已安裝好的應(yīng)用程序被部分刪除，則用戶下次登錄時(shí)，該應(yīng)用程序會(huì)被自動(dòng)修復(fù)。若通過發(fā)布方式已安裝好的應(yīng)用程序被取消發(fā)布，則用戶下次登錄時(shí)，該應(yīng)用程序也將會(huì)被自動(dòng)刪除。返回第11章組策略11.4.2給計(jì)算機(jī)指派應(yīng)用程序

在前面所介紹的“發(fā)布應(yīng)用程序”與“指派應(yīng)用程序”都是針對(duì)用戶的，應(yīng)用程序被安裝在用戶的用戶配置文件內(nèi)，只能被該用戶使用；也可以將應(yīng)用程序“指派給計(jì)算機(jī)”，則只要計(jì)算機(jī)啟動(dòng)，這個(gè)應(yīng)用程序就會(huì)自動(dòng)被安裝到此計(jì)算機(jī)的“公用程序組”內(nèi)，所有在這臺(tái)計(jì)算機(jī)上登錄的用戶都可以使用該應(yīng)用程序。返回第11章組策略11.4.2給計(jì)算機(jī)指派應(yīng)用程序

給計(jì)算機(jī)指派應(yīng)用程序的步驟與給用戶指派應(yīng)用程序的步驟類似。只不過在“組策略”的窗口內(nèi)，必須選擇“計(jì)算機(jī)配置”（而不是“用戶配置”）→“軟件設(shè)置”→“軟件安裝”選項(xiàng)。返回第11章組策略11.4.3更改部分應(yīng)用程序的設(shè)置可以在組策略內(nèi)更改被部署的應(yīng)用程序設(shè)置：改變應(yīng)用程序的部署類型：例如，將被發(fā)布的應(yīng)用程序改為被指派，或?qū)⒈恢概傻膽?yīng)用程序改為被發(fā)布。設(shè)置時(shí)只要在被部署的應(yīng)用程序上單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“發(fā)行”或“指派”命令即可。返回第11章組策略11.4.3更改部分應(yīng)用程序的設(shè)置取消被部署的應(yīng)用程序。在被部署的應(yīng)用程序上單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“所有任務(wù)”→“刪除”命令，在出現(xiàn)的“刪除軟件”對(duì)話框中選擇“立刻從用戶和計(jì)算機(jī)卸載軟件”或“允許用戶繼續(xù)使用軟件，但禁止新的安裝”即可。返回第11章組策略11.4.3更改部分應(yīng)用程序的設(shè)置設(shè)置當(dāng)安裝此應(yīng)用程序時(shí)，是否出現(xiàn)完整的安裝界面，或者只顯示部分的安裝界面：在被部署的應(yīng)用程序上單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“屬性”→“部署”命令，在對(duì)話框中設(shè)置“基本選項(xiàng)”或“最大選項(xiàng)”。返回第11章組策略11.4.3更改部分應(yīng)用程序的設(shè)置將應(yīng)用程序升級(jí)。若希望將應(yīng)用程序Office2000升級(jí)為應(yīng)用程序Office2003，則在Office2003（新的應(yīng)用程序）上單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“屬性”→“升級(jí)”→“添加”命令，出現(xiàn)“添加升級(jí)軟件包”對(duì)話框時(shí)，在“要升級(jí)的程序包”列表內(nèi)選擇Office2000（舊的應(yīng)用程序）。設(shè)置完成后，只要用戶登錄時(shí)，其Office2000應(yīng)用程序都會(huì)被Office2003應(yīng)用程序所取代。返回11.4.4使用WinINSTALLLE制作MSI安裝軟件包

在安裝應(yīng)用程序時(shí)，一般從網(wǎng)上下載或通過安裝光盤獲取的安裝文件大都是擴(kuò)展名為exe的程序，而組策略在部署軟件時(shí)對(duì)安裝文件的要求是擴(kuò)展名必須為msi的文件。MSI文件是一種特殊的WindowsInstaller的數(shù)據(jù)包，它實(shí)際上是一個(gè)數(shù)據(jù)庫(kù)，包含了安裝程序所需要的信息和在很多安裝情形下安裝（或卸載）的指令和數(shù)據(jù)。MSI文件將程序的組成文件與功能關(guān)聯(lián)起來。此外，它通常還包含了有關(guān)安裝過程本身的信息：如安裝所需的產(chǎn)品序列號(hào)、目標(biāo)文件夾路徑、系統(tǒng)依賴項(xiàng)、安裝選項(xiàng)和控制安裝過程的屬性設(shè)置等。返回11.4.4使用WinINSTALLLE制作MSI安裝軟件包

接下來，我們將詳細(xì)介紹將擴(kuò)展名為exe的應(yīng)用程序安裝文件通過WinINSTALLLE打包工具定制為擴(kuò)展名為msi的安裝文件的步驟。這里，以“搜狗拼音輸入法”軟件為例，介紹如何將其打包成MSI安裝程序包。返回11.4.4使用WinINSTALLLE制作MSI安裝軟件包

通過WinINSTALLLE制作MSI安裝軟件包的原理為：在網(wǎng)絡(luò)中選取一臺(tái)計(jì)算機(jī)，讀取該計(jì)算機(jī)完成軟件安裝后的環(huán)境，與安裝軟件之前的環(huán)境進(jìn)行比較，根據(jù)兩者之間的差異來制作其MSI程序。具體來說就是，分別對(duì)軟件安裝前和安裝之后執(zhí)行兩次系統(tǒng)的快照掃描，將兩次快照掃描之間的系統(tǒng)和注冊(cè)表的變化對(duì)比后，將差異記錄下來并保存，再結(jié)合該軟件的安裝程序打包生成MSI包。所以，在對(duì)安裝軟件進(jìn)行打包之前，我們需要準(zhǔn)備一臺(tái)只安裝有干凈的操作系統(tǒng)的計(jì)算機(jī)，即該計(jì)算機(jī)采用標(biāo)準(zhǔn)方式安裝操作系統(tǒng)和和系統(tǒng)自帶的硬件驅(qū)動(dòng)程序，沒有安裝任何其他程序，并且盡量不要做對(duì)系統(tǒng)和注冊(cè)表有改變的操作。返回11.4.4使用WinINSTALLLE制作MSI安裝軟件包

具體步驟如下：（1）首先需要在域控制器Serverljj上安裝WinINSTALLLE，其安裝過程與一般應(yīng)用程序的安裝相似，根據(jù)向?qū)нx擇合適的安裝路徑并按照提示進(jìn)行設(shè)置即可。（2）安裝完畢后，將在指定的安裝路徑下自動(dòng)創(chuàng)建一個(gè)名為WinINSTALL的共享文件夾，其中包含Bin、Help和Packages三個(gè)子文件夾，其中的Bin下就是WinINSTALL的程序文件目錄，在該文件夾中可以找到名為Discover.exe的工具，后面將介紹如何使用該工具對(duì)系統(tǒng)進(jìn)行快照掃描。返回11.4.4使用WinINSTALLLE制作MSI安裝軟件包

（3）接下來使用具有本地管理員權(quán)限的用戶，在域的成員計(jì)算機(jī)Client1上登錄。并通過網(wǎng)絡(luò)訪問服務(wù)器共享目錄\\Serverljj\WinINSTALL\bin，雙擊運(yùn)行其中的Discover.exe程序。此時(shí)，將看到如圖12-23所示的向?qū)?，單擊Next按鈕，進(jìn)入到MSI文件的保存路徑界面，這里在名字文本框中輸入“SougouInput”，在下方輸入打包后的MSI文件的保存路徑為“\\Serverljj\WinINSTALL\Packages\Sougou\SougouInput.msi”，如圖12-24所示。需要注意的是，當(dāng)前登錄的用戶要對(duì)域控制器上的共享目錄\\Serverljj\WinINSTALL\Packages具備寫入的權(quán)限，因?yàn)橹谱骱玫腗SI安裝包將直接從域成員計(jì)算機(jī)Client1上傳至域控制器Serverljj。返回11.4.4使用WinINSTALLLE制作MSI安裝軟件包

圖11-23打開“DiscoverWizard”歡迎窗口圖11-24打包MSI文件的保存路徑返回11.4.4使用WinINSTALLLE制作MSI安裝軟件包

（4）單擊“Next”按鈕，提示“當(dāng)前路徑下文件夾不存在，是否要?jiǎng)?chuàng)建”，單擊“是”按鈕。（5）單擊“Next”按鈕，指定Discover程序在對(duì)系統(tǒng)進(jìn)行掃描時(shí)臨時(shí)文件的保存位置，選擇“C：”（6）單擊“Next”按鈕，在出現(xiàn)的對(duì)話框中選擇要掃描的驅(qū)動(dòng)器。如果將來在軟件部署中希望將該輸入法軟件安裝在域中其他計(jì)算機(jī)的C盤，就在如圖11-25所示的左側(cè)可選分區(qū)中選擇“C：”，然后單擊“Add”按鈕，將其移至右側(cè)要掃描的分區(qū)列表框中。返回11.4.4使用WinINSTALLLE制作MSI安裝軟件包

圖11-25選擇要掃描的驅(qū)動(dòng)器

圖11-26Discover程序掃描時(shí)要排除的范圍返回11.4.4使用WinINSTALLLE制作MSI安裝軟件包

（7）單擊“Next”按鈕，提示在Discover程序掃描時(shí)要排除的范圍（包括文件夾或文件），增加要排除的范圍，可以加快掃描速度，這里選擇默認(rèn)的設(shè)置，如圖11-26所示。（8）單擊“Next”按鈕，提示要排除的注冊(cè)表信息，同樣選擇默認(rèn)設(shè)置。再單擊“Next”按鈕，單擊“Finish”按鈕開始掃描。掃描完成后將彈