Kaspersky Security Center

使用 Microsoft Windows 组策略部署

2024年10月10日

ID 155188

建议您通过 Microsoft Windows 组策略执行网络代理初始化部署,如果满足以下条件:

  • 该设备是活动目录域中的成员。
  • 到域控制器的访问被授予管理员权限,这允许您创建和修改活动目录组策略。
  • 配置的安装包可以被移动到目标受管理设备的网络(到可以被所有目标设备读取的共享文件夹)。
  • 部署方案允许您在开始部署网络代理到设备之前,等待下一次目标设备例行重启(或者您可以强制 Windows 组策略应用到这些设备)。

该部署方案包含以下:

  • Microsoft Installer 格式的应用程序分发包(MSI 包)位于共享文件夹(目标设备的 LocalSystem 账户对该文件夹具有读权限)。
  • 在活动目录组策略中,安装对象被创建用于分发包。
  • 安装范围通过指定组织单元(OU)和 / 或安全组设置,包含目标设备。
  • 目标设备下一次登录到域中时(设备用户登录到系统之前),所有已安装的应用程序被检查。如果未找到应用程序,分发包从指定在策略中的资源中下载,然后被安装。

该部署方案的一个好处就是被分配的应用程序在目标设备的操作系统正在加载时被安装,甚至在用户登录到系统之前。即便有带有足够权限的用户卸载了该应用程序,它也将在操作系统下一次重启时被重新安装。该部署方案的劣势是管理员对组策略所做的更改在设备重启之前将不会生效(如果不涉及附加工具)。

您可以使用组策略安装网络代理和其他应用程序,如果它们的安装程序是 Windows Installer 格式。

仅可在静默模式下从 MSI 包安装网络代理,不支持从 MSI 包进行交互式安装。

而且,当选择该部署方案后,您必须评估在应用 Windows 组策略后,从中复制文件到目标设备的文件资源负载。您还必须选择传送所配置的安装包到该资源的方法,以及同步其设置中的相关更改的方法。

通过 Kaspersky Security Center 远程安装任务处理 Microsoft Windows 策略

该部署方法仅在从管理服务器设备可以访问包含目标设备的域控制器时可用,同时管理服务器的共享文件夹(存储安装包)可以从目标设备读取。基于上述原因,该部署方法不被视为对 MSP 可应用。

通过 Microsoft Windows 策略独立安装应用程序

管理员可以用自己名义在 Windows 组策略中创建安装所需的对象。此种情况下,您必须上传数据包到独立文件服务器并提供其链接。

可能有以下安装方案:

  • 管理员创建安装包并在管理控制台设置其属性。然后管理员复制 Kaspersky Security Center 共享文件夹中整个 EXEC 子文件夹到组织专用文件资源的文件夹。组策略对象提供组织专用文件资源子文件夹中的包的 MSI 文件的链接。
  • 管理员从互联网下载应用程序分发包(包括网络代理包)并将其上传到组织专用文件资源。组策略对象提供组织专用文件资源子文件夹中的包的 MSI 文件的链接。安装设置通过配置 MSI 属性或通过配置 MST 转换文件来定义。

另请参阅:

通过活动目录组策略安装应用程序

您觉得这篇文章有帮助吗?
我们可以做什么更好?
感谢您的反馈!你正在帮助我们进步。
感谢您的反馈!你正在帮助我们进步。