我们正在使用 Samba“域”来管理我们的 PC(所有 XP)。我们刚刚推出 McAfee ePO - 这需要在每台机器上安装 framepkg.exe,然后将现有的 McAfee AV 版本更新为最新版本。
但是我们设置了“禁用 Windows 安装程序 - 始终”组策略。由于 framepkg.exe 和 McAfee 推送更新程序使用 Windows 安装程序,因此它不会安装。
有没有办法签署/批准某些应用程序,以便它们绕过这个 GP 设置?
答案1
我不太确定这个设置是否明智。Windows 安装程序的用途远不止安装;例如,它还提供(一些)修补、应用程序自我修复和其他一些功能。对于不使用 MSI 进行安装的任何软件包,该设置也将无效。正如您所发现的,它还会干扰您可能希望执行的任何基于 GPO 或其他管理员触发的安装。简而言之,您这样做是自找麻烦。
如果您启用此设置的目的是锁定 PC,那么您最好不要授予用户管理员权限,并可能实施一些软件限制策略。请记住 - 安全是让好人进来,同时将坏人拒之门外。
答案2
据我所知,此策略设置完全禁用 Windows Installer。当此设置配置为“始终”时,Microsoft 自己的基于 MSI 的更新甚至不会安装(请参阅http://support.microsoft.com/kb/278295)。
我会暂时关闭该设置,执行安装,然后重新打开它。