利用组策略来发布和指派软件

组策略分发Adobe Reader 10教程1，实验环境域控：Windows Server 2008 R2客户端：Windows XP SP3 32位Adobe Reader版本：10.1.42，获取分发Adobe Reader的许可协议按照Adobe公司的要求，分发Adobe Reader需要取得许可，仅为形式上的东西，申请网址为/cn/products/reader/distribution.html?readstep，申请成功后Adobe公司会邮件通知你可以开始分发Adobe Reader，免费的。

3，下载Adobe Reader msi包官方下载地址：ftp:///pub/adobe/reader/win/。

Adobe Reader 10.1.4版本只有MSP包下载，所以我们需先下载Adobe Reader 10.1.0的msi包，下载目录ftp:///pub/adobe/reader/win/10.x/10.1.0/zh_CN/，对于网内有中英文电脑的酒店，都可下载此中文安装包，只是英文客户端的电脑第一次打开Adobe Reader时会出现选择语言的提示，单语言安装包只有66.8M，而多语言安装包有140多M，安装单语言安装包将快得多。

然后在目录ftp:///pub/adobe/reader/win/10.x/10.1.4/misc/下载名为AdbeRdrUpd1014.msp的MSP包。

4，下载Adobe Reader msi包的MST生成工具Adobe Customization Wizard X 官方下载地址：/support/downloads/detail.jsp?ftpID=4950。

此MST 工具的目的是禁止分发后的Adobe Reader自动更新、关闭保护模式等，后面将详细介绍。

5，安装下载的MST生成工具安装完后在工具栏中选择File --- Open Package，打开之前下载的Adobe Reader 10.1.0的msi包，请勿在msi包上单击右键选择Adobe Customization Wizard X用打开，这样打开将报错，弄得我还以为是电脑有问题。

一、编辑组策略1、允许用户登陆本计算机在OU里面→右键属性→组策略→新建策略→编辑策略→计算机配置→WINDOWS设置→安全设置→本地策略→用户权限分配→允许在本地登陆。

用gpupdate /force 命令刷新。

2、拒绝用户访问运行、CMD、以及批处理文件。

1、在要设定的OU上点击右键→属性→组策略→编辑策略→用户配置→管理摸板→任务栏和开始菜单→删除开始菜单上的运行菜单。

用gpupdate /force 命令刷新。

2、在要设定的域控制器点击右键→属性→组策略→编辑策略→用户配置→管理摸板→系统→阻止用户访问命令提示符→继续点击下面的的选项→是否拒绝使用批处理文件处理→选择“是”。

用gpupdate /force 命令刷新。

二、拒绝继承权限1、在下一级的OU上→属性→组策略→禁止策略的继承。

用gpupdate /force 命令刷新。

三、强制继承1、在上一级的OU上→属性→组策略→选项→禁止替代钩上。

用gpupdate /force 命令刷新。

四、过滤用户（特定的人群）1、在要设定的OU上→属性→组策略→属性→安全→添加用户→给予权限→拒绝组策略。

用gpupdate /force 命令刷新。

五、桌面管理1、在要设定的OU上→属性→组策略→编辑组策略→用户配置→管理模板→桌面→Acti ve desktop→启用Active desktop→启用Active desktop墙纸→输入对应的主机的地址和共享文件。

2、用户配置→管理模板→系统→CTRL+ALR+DEL选项。

六、密码策略1、在域控制器上→属性→组策略→新建组策略→编辑组策略→计算机配置→安全设置→（1、密码策略2、帐户锁定策略）七、组策略脚本1、当用户启动时→启动脚本→登陆脚本2、当用户注销时→注销脚本→关机脚本3、wscript.echo"内容" 后缀改为“VBS”1、建立脚本→2、点开域控制器→属性→组策略→添加组策略→编辑组策略→用户配置（计算机配置）→WINDOWS设置→脚本→双击登陆→显示文件→把脚本文件拖进去→3、在点击添加→写入文件名就可以了。

AD域中如何布置软件自动分发本篇文章介绍了如何使用组策略自动将程序分发到客户端计算机或用户。

您可以通过以下方法使用组策略分发计算机程序：• 分配软件您可以将程序分发分配到用户或计算机。

如果将程序分配给一个用户，在该用户登录到计算机时就会安装此程序。

在该用户第一次运行此程序时，安装过程最终完成。

如果将程序分配给一台计算机，在计算机启动时就会安装此程序，所有登录到该计算机上的用户都可以使用它。

在某一用户第一次运行此程序时，安装过程最终完成。

• 发布软件您可以将一个程序分发发布给用户。

当用户登录到计算机上时，发布的程序会显示在“添加或删除程序”对话框中，并且可以从这里安装。

注意：Windows Server 2003 组策略自动程序安装要求客户端计算机运行Microsoft Windows 2000 或更高版本。

创建分发点要发布或分配计算机程序，必须在发布服务器上创建一个分发点：1. 以管理员身份登录到服务器计算机。

2. 创建一个共享网络文件夹，将您要分发的Microsoft Windows 安装程序包（.msi 文件）放入此文件夹。

3. 对该共享设置权限以允许访问此分发程序包。

4. 将该程序包复制或安装到分发点。

例如，要分发Microsoft Office XP，请运行管理员安装(setup.exe /a) 以将文件复制到分发点。

创建组策略对象要创建一个用以分发软件程序包的组策略对象(GPO)，请执行以下操作： 1. 启动“Active Directory 用户和计算机”管理单元，方法是：单击“开始”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。

2. 在控制台树中，右键单击您的域，然后单击“属性”。

3. 单击“组策略”选项卡，然后单击“新建”。

4. 为此新策略键入名称（例如，Office XP 分发），然后按Enter。

5. 单击“属性”，然后单击“安全”选项卡。

6. 对于您不希望应用该策略的安全组，请单击以清除与其对应的“应用组策略”复选框。

组策略的作用和功能本页仅作为文档封面，使用时可以删除This document is for reference only-rar21year.March组策略的作用和功能1,组策略在windows域中的作用组策略是管理员为用户和计算机自定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

例如，可使用“组策略”为网络用户分发软件、设定用户可以运行的程序、自定义“开始”菜单并简化“控制面板”。

此外，还可添加能在计算机上(在计算机启动或停止时，以及用户登录或注销时)自动运行的脚本，甚至可配置Internet Explorer。

组策略的优点是可以让系统管理员灵活控制Windows网络的客户端环境，更加方便地管理整个网络。

但伴随着灵活性而来的是复杂性。

如何熟悉、熟练应用组策略是系统管理员必须解决的一个问题。

如果能够正确、灵活地运用组策略，就能使Windows系统发挥出更加强大的功能，为个人用户和企业用户带来更大的利益。

策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。

组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory对象并对它进行设置。

2,日常工作中，在windows单机模式下，组策略中有很多比较有用的功能，例如，本地安全策略。

本地安全策略是对登陆到计算机上的账号定义一些安全设置，在没有活动目录集中管理的情况下，本地管理员必须为计算机进行设置以确保其安全。

例如，限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机、指派用户权限等。

这些安全设置分组管理，就组成了的本地安全策略！。

组策略轻松实现软件发布在IT工程师的运维工作中，有很多没有技术含量的事务性操作是很令人头疼的，例如为客户机安装软件。

有些朋友看到这里估计会很不以为然，想我等IT 专业人士，纵横江湖多年，无论国内国外，正版盗版，安装个小小软件还不是手到擒来！其实不然，在一台机器上安装软件当然不难，要是让你在一千台机器上安装Office呢？想想看，要是用传统的方式一台一台地安装，操作者是很需要有一番直面惨淡人生的勇气的。

因此，为客户机选择一种快速部署软件的解决方案就成了工程师们面临的一个问题。

解决这个问题有多种备选方案，例如微软的SCCM，它在功能上非常令人满意，但是价格嘛….本文将为大家介绍一种性价比较高的软件部署解决方案－利用AD的组策略完成客户机软件部署。

组策略部署软件的思路是把要部署的软件存储在文件服务器的共享文件夹中，然后通过组策略告知用户用户或计算机，某某服务器的某某文件夹有要安装的软件，赶紧去下载安装。

这样一来，我们只要设置好组策略，就可以等待客户机自动进行软件安装了，完全不用在客户机上一一进行部署了。

组策略进行软件安装有自己的特点，那就是组策略支持安装的软件不能是EXE格式。

EXE是我们平时使用最多的可执行程序格式，组策略不支持EXE是个很大的遗憾，话又说回来了，要是组策略什么格式都支持，那SCCM的销售就要受影响了，呵呵。

组策略支持的软件格式最好是MSI格式，ZAP或MST也是可以的。

今天我们将通过一个实例为大家介绍如何通过组策略进行软件部署，拓扑如下图所示，Florence是域控制器，Istanbul是文件服务器，Perth是测试用的客户机。

首先，我们要准备测试用的软件。

我们准备的软件是微软的LiveWriter，这个软件想必各位博友是非常熟悉的，非常著名的离线博客工具。

如图1所示，我们把LiveWriter存储在istanbul的一个共享文件夹中，大家可以看到程序的扩展名是MSI。

图1准备好了软件，我们就可以来设置组策略了。

如何在域管理环境中进行软件的推送安装1,要把你准备分发的软件制作成.msi软件安装包.在Windows2000安装光盘运行x:\Valueadd\3rdparty\Mgmt\Winstle\Swiadmle.msi安装制作.msi软件包所需要的工具VERITAS discover.运行"VERITAS discover"就可以开始制作.msi软件包了,制作.msi文件的基本原理就是,在给系统安装一个软件之前,先给系统的磁盘拍个"快照",记录下来当前存在的文件.然后将需要制作成.msi软件包的软件安装到系统中,然后再给系统的磁盘拍个"快照".Discover软件会自动对比两次"快照",找出两次"快照"的不同,生成一个.msi文件.2,在服务器上创建一个共享文件夹,建议设置成只读属性,并且保证所有用户都可以访问它.然后把你制作好的.msi软件包放到这个共享目录中.3,进行组策略设置进行软件的分发.登陆域控制器打开"组策略编辑器",在"用户配置"或者"计算机配置"里面选择"软件设置",添加你要分发的软件,可以选择"指派"或者"发布".这样,当客户机下次登陆的时候,就会自动运行安装你所要分发的软件或者发布到目标机由用户选择安装.发布和指派的区别:发布是指可以将一个程序分发发布给用户.当用户登录到计算机上时,发布的程序就显示在添加/删除程序对话框中,并且可以从这里安装.指派是指可以将程序分发指派到用户或计算机.如果将程序指派给一个用户,在该用户登录到计算机时就会自动安装此程序.在该用户第一次运行此程序时,安装过程最终完成.如果将程序指派给一台计算机,在计算机启动时就会安装此程序,所有登录到该计算机上的用户都可以使用它.在某一用户第一次运行此程序时,安装过程最终完成.域环境下的软件发布和指派标签：生活2010-11-06 01:18 星期六软件的发布和指派在域环境下，可以将为用户和计算机分配各种软件，那么在用户登录的时候可以自行添加和删除软件{在控制面板中---添加删除程序}，这种方式称之为软件的发布；它是只针对用户生效。

在规模比较大的网络环境里面，为了对服务器和客户机上的软件、系统补丁进行集中统一的管理，我们可能会用到SUS、WSUS、SMS等。

SUS、WSUS管理系统更新，不在本文讨论，请参考其它相关技术文档。

虽然SMS功能较强大，兼容性好，绝大多数应用软件都可以用它来管理，但是它比较复杂，实现起来要考虑的问题也比较多。

如果要部署的应用程序不多不十分复杂的话，其实我们还是可以回归到比较原始的技术：利用GPO实现软件设置•分发软件•修复软件•删除软件•升级软件优点：易实现缺点：功能简单、兼容性差（只能分发winodows安装程序包——.msi，exe封装的程序安装包要用Advanced Installer重新封装成msi文件）实现：前提是熟悉Winodows Server活动目录的基本管理，理解组策略，熟悉通过AD部署组策略一、获取要分发的软件1.PNG如图从网上下载了GreenBrowser和千千静听来分发给所有客户机或者用户使用，但都是exe 封装的安装包。

因为通过组策略只能够分发msi封装的程序安装包，所以我们要使用Advanced Installer把他们都重新封装成msi格式的安装包：1、运行Advanced Installer，打开新建工程向导，按向导做2repa_comfirm.PNG选择“语言”、“重新包装安装”——>“确定”2、按向导提示，关掉真正运行的其它程序，下一步3.PNG3、选中捕获新的安装4.PNG4、指定要重新包装的源程序，并设置名称、版本等信息6.PNG5、如图，选中新的系统捕获7.PNG6、指定“安装捕获配置文件”保存路径，8.PNG其它默认下一步，“确定”：9.PNG7、记录当前系统状态，以便后面记录安装源程序后系统的变化10.PNG8、安装一遍源程序11.PNG9、Advanced Installer会把源程序安装后系统的变化记下，“完成”，“导入”12.PNG10、接下来设置重新封装后，msi文件保存目录（这里指定的是D:\MSI）和文件名，如图中123步骤13.PNG 过程：14.PNG11、完成，确定后D:\MSI下就有重新包装后的msi安装包了，如下图15.PNG二、创建软件分发点（一共享文件夹）1、如图，在用来存放分发软件的服务器上创建一共享文件夹D:\software，域用户有读取的权限就够了共享权限：16.0.PNG NTFS权限：16.1.PNG2、在分发点用不同的子文件夹存放要分发的不同安装文件17.PNG3、使用管理安装选项命令Msiexec设置软件包在客户机安装的相关选项：语法msiexec /a Package参数/a (或-a) #应用管理安装选项。

域环境下的软件部署1.在域环境下，通过使用配置到组织单位或者域的策略，可以将软件部署到域中的客户机上。

用户在客户机上登录或者客户机在启动时，可以自动安装或打开相应的软件。

2.软件的部署分成指派（assign，或翻译成分配）和发布（publish）两种方式。

（1）软件指派给用户：用户在域内客户机上登录，该软件会被通知到该用户，但此时软件并没有完全安装，只是安装了这个软件的部分信息。

例如，创建了该软件的快捷方式。

用户的计算机何时开始安装呢？当用户双击该软件的快捷方式，或者打开该软件的文件关联时，该软件将会被安装。

（2）软件指派给计算机：启动后自动安装该软件，任何用户登录皆可使用。

（3）发布给用户：软件不会自动安装，需要用户通过控制面板安装，或者使用文件启动方式安装。

3.待部署的软件，以*.msi格式的文件最为合适。

MSI文件是Windows Installer的数据包，它实际上是一个数据库，包含安装一种产品所需要的信息和在很多安装情形下安装（和卸载）程序所需的指令和数据。

MSI文件将程序的组成文件与功能关联起来。

此外，它还包含有关安装过程本身的信息：如安装序列、目标文件夹路径、系统依赖项、安装选项和控制安装过程的属性。

在实验前修改各实验主机的SID步骤1：将exe文件封装为MSI文件通过组策略部署软件安装时,AD支持MSI格式的静默安装包，而大多数的原始软件都是EXE格式的，而且是手动安装的，因此通过软件安装包格式转换工具，如Windows Installer、Advance Installer 等，把EXE和MSI格式的安装包装换成MSI格式的静默安装包，便于软件的部署。

（exe文件也可以部署，但是比较麻烦）以下操作在File-Server上执行。

首先安装Advance Installer7.6.1工具，准备好要安装的组件或软件（以winrar的EXE格式安装包为例）。

1.安装Advance Installer7.6.1软件。

利用组策略部署软件全攻略之一可以利用Active Directory的组策略功能来为公司的计算机部署软件。

在规模比较大的网络环境里面，为了降低我们系统管理逐台给每个客户端去安装、更新软件的劳动量，此时我们就可以利用Active Directory的组策略来进行对公司内部网络计算机软件进行部署、升级等。

↘∙ 软件部署概论↘∙ 制作MSI软件↘∙ 创建软件分发点↘∙ 使用管理安装选项命令Msiexec设置软件包在客户机安装的相关选项↘∙ 将软件发布给用户↘∙ 将软件指派给用户或计算机↘∙ 软件升级与重新部署↘∙ 修改部署软件↘∙ 发布“非-MSI”的软件↘∙ 软件部署的其他设置一、软件部署概论1、将软件指派给用户当将一个软件通过组策略的GPO指派给域内的用户后，则用户在域内的任何一台计算机登录时，这个软件都会被“通告”给该用户，但这个软件并没有真正的被安装，而只是安装了与这个软件有关的部分信息。

只有在一下两种情况下，这个软件才会被自动安装：∙ 开始运行此软件例如用户登录后执行操作：“开始”→“所有程序”点击该软件的快捷方式，或是双击桌面上的快捷方式后，就会自动安装此软件。

∙ 利用“文件启动”功能例如我们架设这个被“通告”的程序为Microsoft Excel，当用户登录后，他的计算机会自动将扩展名为.xls的文件与Microsoft Excel关联在一起，此时用户只要双击扩展名为.xls 的文件，系统就会自动安装Microsoft Excel。

2、将软件指派给计算机当将一个软件通过组策略的GPO指派给域内的计算机后，在这些计算机启动时，这个软件就会自动安装在这些计算机里，而且是安装到公用程序组内，也就是安装到Documents and Settings\All Users 文件夹内。

任何用户登录后，都可以使用此软件。

3、将软件发布给用户当将一个软件通过组策略的GPO发布给域内的用户后，该软件不会自动安装到用户的计算机内，用户需要通过以下两种方式来安装这个软件：∙ 执行操作：“开始”→“控制面板”→“添加或删除程序”→添加程序∙ 利用“文件启动”功能举例说，架设这个被发布的软件为,Microsoft Excel，虽然在Active Directory内会自动将扩展名为.xls 的文件与Microsoft Excel关联在一起，可是用户登陆时，他的计算机不会自动将扩展名为.xls的文件与Microsoft Excel关联在一起，也就是对此计算机来说，扩展名为.xls的文件是一个“未知文件”，不过只要用户双击扩展名为.xls的文件，他的计算机就会通过Active Directory得知扩展名为.xls的文件是与Microsoft Excel关联在一起，因此会自动安装Microsoft Excel。

在域中可以通过编辑软件安装策略，并借助“Windows Installer ”实现软件的自动部署。

第1步，将Office 2003 Professional 安装光盘中所有文件和目录放入域中的一个共享文件夹中，并保证所有域成员计算机均能连接到该文件夹。

保证要安装软件的用户有该目录的访问权限。

计算机软件工具及维护实验第2步，打开“Active Directory 用户和计算机”控制台窗口。

用鼠标右键单击执行“属性”。

在打开的“ ”属性对话框中单击“组策略”标签，然后在“组策略”选项卡中单击“新建”按钮新建一条组策略“Office ”；第2步，保持“Office ”策略的选中状态，单击“编辑”按钮打开“组策略编辑器”控制台窗口。

在左窗格中依次展开“用户设置/软件设置”目录，然后右击“软件安装”选项，在弹出的快捷菜单中执行“新建/程序包”命令；计算机软件工具及维护实验第3步，在“打开”对话框中通过“网上邻居”找到事先存储在域共享文件夹中的MSI 安装文件“PRO11.MSI ”，并单击“打开”按钮。

这时会打开“部署软件”对话框，选中“已指派”单选框。

无须进行设置，直接单击“确定”按钮；计算机软件工具及维护实验第4步，返回“组策略编辑器”窗口，可以在右窗格中看到已经指派的软件名称，如图2008120532所示。

提示：MSI （Microsoft Software Installer ，微软软件安装器）文件是“Windows Installer ”能够部署的仅有的两种文件类型之一。

“Windows Installer ”提供“发布”和“指派”两种软件部署方式。

“发布”方式不自动为域内客户安装软件，而是把安装选项放到客户机的“添加或删除程序”中，供用户在需要的时候自主选择安装；“指派”方式则直接把软件安装到域用户的开始菜单程序组中。

“发布”方式一般用于给用户提供各种软件工具，由用户按需选择安装或不安装；“指派”方式可用于软件的强制安装使用，用户无权自行卸载软件。

实验8 组策略应用一、实验目的：1、学会使用本地组策略对象。

2、在域上实现组策略对象。

3、管理组策略的部署。

4、熟练向客户端指派与发布软件。

二、实验环境两台windows server 2003计算机。

三、实验步骤：1.实现组策略对象A.首先创建组织单位（在域节点下创建名为“第六组”的组织单位并在其下创建名为“sales”marketing 的组织单位。

在“sales”下创建“company”组 .“wangwj”“yanlr”和“caozy”是“company”组的成员，在“marketing”下创建“group”组,“wangl”、“wangmj”和“dinghl”是“group”组的成员。

）2．在域中实现组策略对象A、打开“MMC”。

B、添加“组策略管理”管理单元，保存“MMC”。

C、在“组策略管理”的控制台树中，展开准备在其中创建组策略对象的域所在的林，再展开“域”，然后展开该域。

D、右击“组策略对象”，然后单击“新建”。

E、在“新建GPO”对话框中输入新组策略对象名称，然后单击“确定”。

如需创建组策略对象并使之链接到域，右键单击该域，然后单击“创建并链接GPO”。

如需创建组策略对象并使之链接到组织单位，展开包含组织单位的域，右键单击该组织单位，然后单击“创建并链接GPO”(如“managers”连接到“marketing”，“personnel”连接到“sales”)3．组策略部署管理A、在“组策略管理”控制台树中，定位到“组策略对象”。

右键单击一个组策略对象，然后单击“编辑”。

B 、在“组织策略对象编辑器”中，定位到需要编辑的组策略设置，然后双击该设置。

C、在“属性”对话框中，配置组策略设置，然后单击“确定”。

（如“managers”右键单击，指向“编辑”，展开其中的“用户配置”中的“管理模板”，点击“控制面扳”，在右侧的细节框里双击“禁止控制面扳”。

在随后出现的属性框中选中“已启用”。

软件设置打开组策略软件安装打开组策略软件安装1.打开“组策略管理控制台”。

右键单击要编辑的组策略对象，然后单击“编辑”。

2.若要将软件应用程序指派给计算机，请在控制台树中展开“计算机配置\策略”。

若要向用户指派或发布软件应用程序，请在控制台树中展开“用户配置\策略”。

3.展开“软件设置”，然后单击“软件安装”。

其他注意事项要完成此过程，您必须具有编辑 GPO 的编辑设置权限。

默认情况下，Domain Administrators 安全组、Enterprise Administrators 安全组或 GroupPolicy Creator Owners 安全组成员具有编辑 GPO 的编辑设置权限。

设置组策略软件安装的默认值若要将软件安装程序包添加到用户设置，可以发布或指派程序包。

选定站点、域和组织单位的用户使用控制面板中的“添加/删除程序”或使用文件激活可以安装已发布的程序包。

选定站点、域或组织单位中的用户在下次登录时（指派给用户）或计算机重新启动时（指派给计算机）将收到已指派的程序包。

设置组策略软件安装的默认值1.打开“组策略软件安装”。

（在控制台树中，右键单击“软件安装”。

）2.单击“属性”，然后在“常规”选项卡上指定下列选项：o在“默认程序包位置”中，指定默认的软件分发点。

o在“新增数据包”中，指定将新数据包添加到用户设置中的方法。

默认情况下，数据包可以被发布或指派。

（对于计算机，只能指派。

）如果要对每个数据包都选择这些选项，请单击“显示部署软件”对话框。

若要分别对各个数据包进行更多的控制，请单击“高级”。

o根据希望安装过程对用户所显示的外观，单击“安装用户界面选项”中的“基本”或“最大”。

其他注意事项∙要完成此过程，您必须具有编辑 GPO 的编辑设置权限。

默认情况下，Domain Administrators 安全组、Enterprise Administrators 安全组或 GroupPolicy Creator Owners 安全组成员具有编辑 GPO 的编辑设置权限。

一、软件分发所支持的软件类型*.msi Windows的安装程序包*.mst转换文件，用于自定义应用程序安装的细节，为程序包指定额外的选项*.msp在维护软件时需要使用补钉文件，它可以改变注册表和文件系统，用来对系统进行较小的改变*.zap初始化文件，可以发行非windows安排程序的应用程序*.aas应用程序指派脚本，存储与程序指派和系统管理员所做设置有关的信息软件分发GPO生效时间(其他时间不会生效)1.计算机配置：计算机重启2.用户配置：用户登入强制生效命令：gpupdate /force /logoff第一步：创建共享文件夹InstalingByGPO权限如下：Domain Users:域用户Domain Computers :域计算机或者 简单点就 Everyone 只读2.创建组策略用户配置：计算机配置：GPO过滤设置默认配置：用户配置——添加软件包注意产品的“语言信息”本文中的msi语言是Arabic阿拉伯语）下安装msi程序。

或者大家可以用orca工具更改msi文件，修改语言。

这也是为什么网络上有的文章在讲解软件推送不成功时说可能MSI有问题，其实跟msi无关。

添加MST文件，个性化安装。

（可选。

）运行命令gpupdate /force /logoff，更新GPO后注销。

补充：1.建议软件推送使用计算机配置（安装在All users下），这样推送的程序在本台电脑上只装一次。

否者每个有授权的用户都会安装一次。

======结束！ZAP部署.zap文件时请注意以下事项1. 它只能发布给用户，无法指派给用户或计算机2. 不具备自动修复等msi软件包才拥有的特性3. 大部分安装过程需要用户介入4. 用户必须具备安装软件的权限，例如可以本地的管理员。