Windows Server 2012 Active Directory 通过组策略安装MSI软件包

软件包"/>

Windows Server 2012 Active Directory 通过组策略安装MSI软件包

如题，在Windows Server 2012 Active Directory通过组策略下发MSI安装包，实现域控范围内批量安装软件。

本篇文章以安装ADSelfService Plus自助密码管理软件为例。

准备工作

1. 安装包ADSelfServicePlus.msi，及部分参数

• PROTOCOL=https

• PORTNO=443

• SERVERNAME=adssp.ad

• RESTRICTBADCERT=false

2. 执行安装操作的批处理脚本install.bat。脚本功能：执行msiexec命令，打开域控服务器共享目录中的msi安装包，并携带参数执行安装。具体内容如下：

msiexec /i "\\ad\SysVol\ad\scripts\ADSelfServicePlusClientSoftware.msi" SHOWSELECTEDTITLE=true PROTOCOL=https PORTNO=443 SERVERNAME=adssp.ad PROD_TITLE="ADSelfService Plus Client Software" BYPASS=true RESTRICTBADCERT=false INSTALLATIONFOLDER="C:\Program Files (x86)\ZOHO Corp\ADSelfService Plus Client Software\" WINDOWSLOGONTFA=true MACHINEMFAUSAGESCENARIO=7 /q

3. 将安装包和批处理脚本上传到AD域控服务器的共享目录，默认域控服务器的本地路径是 C:\Windows\SYSVOL_DFSR\sysvol\ad\ 。

创建组策略

打开组策略管理gpmc.msc，左侧导航窗口逐级找到组策略管理---林：...---域---ad---组策略对象。右击组策略对象---新建组策略，名称是ADSSP GINA Install

右击新建的组策略ADSSP GINA Install，选择“编辑”，在新弹出的“组策略管理编辑器”窗口逐级找到计算机配置---策略---Windows设置---脚本（启动/关机）。

右击“添加”

点击“浏览”，找到批处理脚本所在路径。注意，这个路径需要使用网络共享路径，如：\\hqadtest.local\SysVol\hqadtest.local\Policies\{A50D5F9B-250A-48DF-B5DC-60E5A0F2509E}\Machine\Scripts\Startup

找到计算机配置---策略---管理模板：从本地计算机中...---系统，

找到“登陆”，启用如图的设置

找到“脚本”，启用如图的设置

应用组策略

组策略是对站点、域、组织单位的设置，对组（安全组、通信组）设置是无效的。

选择期望的域或者组织单位OU，右键选择“链接现有GPO”，选中在上面新建的ADSSP GINA Install即可生效。

策略生效时间

组策略挂载后，会在以下时间内发布策略到各个客户端机器

1. 计算机配置

• 开机时自动应用

• 开机后

• 非域控制器：默认90分钟更新一次，并作0~30分钟的随机调整

• 不论策略是否更改，安全性配置策略默认16小时应用一次

2. 用户配置

• 用户登陆时自动应用

• 用户登陆后

• 默认90分钟更新一次，并作0~30分钟的随机调整

• 不论策略是否更改，安全性配置策略默认16小时应用一次

3. 域控服务器推送组策略

在AD域服务器执行“组策略更新”后，策略会立即推送到目标计算机，并在10分钟内强制更新目标服务器的策略。

4. 客户机强制更新

在客户机上使用管理员权限命令行执行gpupdate /force后，策略会立即推送到目标计算机。

测试和排错

重启客户机，或者以管理员权限运行命令行工具，执行gpupdate /force。

再以管理员权限运行命令行工具，执行 gpresult /v ，可以查看目标计算机当前执行的组策略详情。