GPO派送筆記

--- tags: Hauman工作筆記, GPO, Microsoft, 微軟 --- # GPO派送筆記 ## 使用Domain\user權限派送msi並安裝 ### 在AD上建立檔案發布點在AD Server上新增一資料夾，建立檔案發布點 (如果不建立網路路徑，在稍後指定派送package的過程中會提示，如果指派沒有設定分享的資料夾內的msi安裝檔將會無法安裝) 在"共用"頁籤如下兩圖做設定 ![](https://i.imgur.com/JH1VbII.png) ![](https://i.imgur.com/lQqATaw.png) 點選"安全性"頁籤，確認Domain\User的權限如下圖 ![](https://i.imgur.com/YzVpSwp.png) ### 在AD上建立GPO Policy 到Administrator的tools選單，選擇"Group Policy Management"(群組管理原則) ![](https://i.imgur.com/EEfrFcQ.png) 在Group Policy Management > Domains > tbtest.com(自己設置的網域名) > Group Policy Object右鍵開啟選單，點選"New"，新增一個GPO Object ![](https://i.imgur.com/M5JF6BJ.png) 輸入新的GPO Policy名稱 ![](https://i.imgur.com/snT9GJu.png) ### 設定GPO Policy要派送的msi檔對新建的GPO Object右鍵點選"Edit" ![](https://i.imgur.com/rHC67on.png) 開啟Group Policy Management Editor ![](https://i.imgur.com/WhAKX2A.png) 到以下路徑：Computer Configuration > Policies > Software Settings > Software installation，右鍵選擇"New > Package" ![](https://i.imgur.com/DHA7QSF.png) 選擇要發布的msi檔(GPO只能發布msi檔) (重要：選擇路徑要從上面步驟建立的發布點建立，**<font color="red">並且路徑要使用"\\\server\share_folder\\"</font>**，否則不能安裝) ![](https://i.imgur.com/wXkivd4.png) 確認欲發送的msi檔有出現在右邊的列表中，確認部屬狀態是否為"指派" ![](https://i.imgur.com/PsvTL2V.png) 註：如果派送package是設定在"Computer Congifuration"(電腦設定)，在user端PC重新開機再登入即會自動部屬在msi package上右鍵選擇"內容" ![](https://i.imgur.com/Bs93SUc.png) 到"部屬"頁籤中，設定"在登入時安裝這個應用程式"，按確定 ![](https://i.imgur.com/f0rewSz.png) 到要部屬的PC上，用Domain\user權限開啟cmd，輸入gpupdate /forece，出現登出問題，按"Y"登出 ![](https://i.imgur.com/NGkhaXq.png) 到要部屬的PC登出登入後，檢查是否有安裝成功即可 ### 如何升級已派送的msi軟體檢視目前Domain\User上PC的軟體版本 ![](https://i.imgur.com/xT0mM1x.png) 回到AD Server，在原本版本軟體的GPO Policy上，"使用者設定 > 原則 > 軟體設定 > 軟體安裝"右鍵點選，新增要升級的msi Package ![](https://i.imgur.com/noskjMP.png) 選擇存放在共享檔案夾中的升級msi檔案，按開啟 (注意：這邊的路徑需要是網路共享路徑，不能為AD server的本地路徑) ![](https://i.imgur.com/pEdpknt.png) 部屬軟體選"已指派" ![](https://i.imgur.com/tNhANQM.png) 右鍵點選剛剛新增的package，點選"內容" ![](https://i.imgur.com/hvXyGcQ.png) 到"部屬"頁籤，勾選"在登入時安裝這個應用程式" ![](https://i.imgur.com/OGhqrOQ.png) 到"升級"頁籤，勾選"現存封包必須升級"，確認升級項目是否為舊版本的package後，按"確定" ![](https://i.imgur.com/1yp8OES.png) 也可以打開舊版本的package內容，查看是否升級項目為新的package ![](https://i.imgur.com/OceKv6U.png) ![](https://i.imgur.com/WeOiqS4.png) 回到Domain\user端的電腦，用Domain\user權限帳號登入，執行cmd，輸入 ``` > gpupdate /force (GPO原則更新好後按下y後Enter輸入，登出令更新生效) ``` ![](https://i.imgur.com/nxAwx3B.png) 重新登入後，查看軟體版本是否更新成功，完成 ![](https://i.imgur.com/7urJrMU.png) ### 解除安裝(此範例將7-Zip19.0降級成7-Zip9.20) 在Domain\user的PC上，確認軟體版本號 ![](https://i.imgur.com/lFSDo3o.png) 在AD Server上，將此軟體的GPO Policy，依"使用者設定 > 原創 > 軟體設定 >軟體安裝"的package，對要解除安裝的msi package點選右鍵 > 所有工作 > 移除 ![](https://i.imgur.com/ESuCWAT.png) 選擇"立刻解除使用者及電腦軟體的安裝"後，按下"確定" ![](https://i.imgur.com/IOhcPBo.png) 遭移除的msi版本會消失在右側清單 ![](https://i.imgur.com/HzEQgjJ.png) 回到Domain\User的PC上，以Domain\User權限登入，執行cmd指令 ``` > gpupdate /force (更新GPO Policy後，按Y，按Enter，即會登出) ``` ![](https://i.imgur.com/wr7WgkK.png) 再次登入Domain\User的PC，確認軟體的安裝版本號，如圖 (此範例成功解除安裝7-Zip19.0，變成7-Zip9.2版本) ![](https://i.imgur.com/x5DMSke.png) ### (參考就好)如果派送policy設定在"user configuration"(使用者設定)，user端PC上不關機部屬(使用視窗介面部屬)(暴力做法) (其實這個做法就跟直接用檔案管理員開啟網路路徑然後雙擊msi安裝檔一樣) 到要部屬的PC上，開啟程式與功能˙，如下 ![](https://i.imgur.com/RzV8f2c.png) 選擇剛剛發布的msi package，點選"安裝" ![](https://i.imgur.com/CzS4E8l.png) 跳出的視窗，Use source輸入AD放msi安裝的的共享folder的網路路徑 ![](https://i.imgur.com/FrtC2Qb.png) 點選"Continue" ![](https://i.imgur.com/TcNnO2g.png) 輸入Domain\Administrator權限 ![](https://i.imgur.com/t9JVRVy.png) 開始手動安裝，照著安裝步驟執行即可 ![](https://i.imgur.com/r5JCWUD.png) ## 如何設置GPO腳本安裝exe(以安裝Xensor.exe為例) ### 製作批次檔(bat腳本) bat寫法、內容可以參考筆記連結： https://hackmd.io/@6AhJdzpGTyGDlAxru4jZbA/HyIWqShQd 以下為使用網路路徑"\\\WIN2019AD\GPOtest\\"底下的WinRAR進行安裝的bat檔內容 ``` @echo off net use * /d /YES net use Z: “\\WIN2019AD\GPOtest” ``` (測試部屬成功，只要用Domain\User權限即可執行完成) (bat不是放在共用資料夾，而是放在GPO指定的資料夾，要注意) ### 建立GPO Policy執行腳本新增一個GPO Link，命名為"XensorInstallTest" ![](https://i.imgur.com/5EuOh4l.png) 連接剛建立的GPO到要安裝的User Group ![](https://i.imgur.com/hYH6iAx.png) ![](https://i.imgur.com/r5zxBLp.png) 將在User Group的WinRARInstall設定為"強制" ![](https://i.imgur.com/zzXOZxA.png) 確認WinRARInstall的GPO狀態 ![](https://i.imgur.com/BQiCc7S.png) 新增WinRARInstall的安全性篩選 ![](https://i.imgur.com/zk7Gafc.png) ![](https://i.imgur.com/oN4Mmrr.png) ![](https://i.imgur.com/gItPWnz.png) ![](https://i.imgur.com/RomE871.png) 對WinRAR右鍵，點選"編輯" ![](https://i.imgur.com/xE5VZh7.png) 到"使用者設定 > 原則 > Windows設定 > 指令碼 - (登入/登出)" ![](https://i.imgur.com/GWWED5b.png) 點選"新增" > "瀏覽"，選擇在存放在網路路徑內的bat批次檔後，按確定 > 套用 > 確定 (重要：**<font color="red">如果路徑不是如下圖設定"網路路徑"，而是選擇"本機路徑"</font>**，例如C://share_folder，會無法執行) ![](https://i.imgur.com/toZjq8k.png) 回到Domain\User的PC上，以Domain\User權限登入，執行cmd指令 ``` > gpupdate /force (更新GPO Policy後，按Y，按Enter，即會登出) ``` ![](https://i.imgur.com/wr7WgkK.png) 重新登入後，查看軟體版本是否更新成功，完成 ![](https://i.imgur.com/7urJrMU.png) ---- ## 參考資料 https://techdocs.broadcom.com/tw/zh-tw/symantec-security-software/endpoint-security-and-management/endpoint-protection/all/appendices/installing-windows-clients-with-an-active-director-v8527856-d21e3377/creating-a-gpo-software-distribution-v8527941-d21e3485.html GPO發布方視為Assign與Publish的差別 https://www.advancedinstaller.com/user-guide/tutorial-gpo.html GPO派送msi https://openfind.freshdesk.com/support/solutions/articles/35000137272-ad-gpo-%E7%BE%A4%E7%B5%84%E6%94%BF%E7%AD%96%E7%AE%A1%E7%90%86-%E6%B4%BE%E9%80%81msi%EF%BC%9A%E4%BD%BF%E7%94%A8%E8%80%85%E7%99%BB%E5%85%A5%E6%99%82%E5%AE%89%E8%A3%9D-mailbaseoutlookaddin 如何升級已派送的msi軟體 https://forsenergy.com/zh-tw/gpmc/html/d6cc4bc2-559b-49a8-992f-81d50c4fb556.htm 如何使用GPO派送批次檔(這份教學完全正確，已驗證) https://www.azureunali.com/windows-ad-server%E5%88%A9%E7%94%A8gpo%E8%87%AA%E5%8B%95%E9%83%A8%E7%BD%B2%E7%B6%B2%E8%B7%AF%E7%A3%81%E7%A2%9F%E6%A9%9F/