軟體佈署及限制原則

軟體佈署ch5

實驗環境設定

1.       下載檔案http://books.gotop.com.tw/download/aca018800

2.       Hyper-V管理員→虛擬交換器管理員→在已存在的私人交換器改為○內部網路

         3.       Hyper-V主機的網路卡設定為IP:192.168.1.100  mask:255.255.255.0

4.       Hyper-V主機的防火牆要開啟檔案及印表機共用，透過網路磁碟(\\192.168.1.100\C$)取得檔案

GPO

    ├---電腦設定

   │         └---●開機時執行

   │               ●Local System Account (隱藏的，高權限)

   │                     ↑軟體安裝建議設定在電腦設定，較無安全性和麻煩

    └---使用者設定

               └---●使用者登入時執行

                     ●以使用者權限安裝

DC功能

·         驗證

·         Group Policy (告知要安裝軟體)

File Server提供\Packages\*.msi

分析*.msi檔案

打包工具http://www.scalable.com/it-asset-management-products/heritage-products/wininstall/

微軟內建好用工具大部分向www.netiq.com收購

先準備兩台乾淨的電腦(只有OS)PC1、PC2 同一台會造成迴圈，兩台虛擬機也OK

1.       PC1安裝WinInstall

2.       PC1分享目錄

3.       PC2執行DiscoZ.exe(before Snapsot)掃描

4.       PC2安裝軟體

5.       PC2重開機

6.       PC2執行DiscoZ.exe(after Snapsot)掃描後會打包*.msi

軟體安裝

1.       在Server建立共用資料夾(預設Eevryone讀取)

2.       將軟體放入共用資料夾

3.       GPO→電腦設定→原則→軟體設定→安裝軟體

→右鍵→新增→封裝→\\DC1\....  (UNC path)→已指派(強制安裝)

·         AD部署軟體給Client  →部署捷徑

·         使用者第一次使用此軟體時才會正式安裝→部署軟體的大小不影響開機速度

 

  

軟體升級

內容→升級

重新部署

強制用戶端重新安裝

·         當重新製作*.msi，更新時使用

移除軟體

 

軟體限制原則ch6

使用者設定→軟體限制原則

GPO→使用者設定→原則→Windows設定→安全性設定→軟體限制原則→其他原則→右鍵→新增雜湊規則→指定不允許執行的軟體 (%windir%\system32\notepad.exe)

·         軟體限制原則只會限制指定的版本

 
 
 
 

AppLocker

1.       建立規則

 
 
 
         2.       AppLocker→右鍵→內容  →已設定→強制執行

3.       用戶端電腦的"Application Identity"服務必須啟動

 

4.

注意

1.       Win7/2008/2012/win8才支援AppLocker

2.       軟體限制原則及AppLocker設定衝突時，以Applocker為準

3.       每一種Windows OS都支援 軟體限制原則