我正在尝试通过 GPO 向来自不同部门和站点的特定用户(120 个用户)部署 MSI,问题是他们没有管理员权限,因此由于权限不足而无法安装应用程序。
有人能知道如何解决这个问题吗?谢谢
答案1
您不能使用组策略的“已安装软件”部分。这里的关键是了解组策略对象的不同部分在不同场景中运行的上下文。
如果您通过脚本推出 MSI,那么如果它是登录脚本,则该脚本将使用登录用户的凭据运行。
如果要实现此功能,您需要将脚本部署在提升权限的上下文中。以下可能是组策略中最为人熟知的方法:
- 启动脚本(以 NT AUTHORITY\SYSTEM 身份运行)
- 计划任务(可以以 NT AUTHORITY\SYSTEM 身份运行)
- 已安装的软件(以 NT Authority\System 身份运行)
每次计算机启动时,都会运行启动脚本。计算机帐户向域进行身份验证后,从域控制器获取令牌,然后评估需要应用的组策略。在计算机配置 > 启动脚本区域中标识的任何脚本都作为执行策略更新的进程的上下文执行,并且在启动时为 NT AUTHORITY\System。
计划任务允许您指定可能出现在目标计算机上的任务计划程序中的任务对象。使用计划任务,您可以指定何时、在什么条件/触发器下以及在什么上下文中执行什么。这可能是最通用的方法。
您提到您正在尝试推出 MSI。这实际上允许您以不同的方式安装 MSI。这仅在文件是 MSI 或可以制作成 MSI 时才有效。组策略通过此机制提供了一种方法,可以将软件嵌入系统,这样除非在策略对象中指定,否则无法将其删除。使用 MSI 并不是最简单的,而且这种机制并不完美。使用 Orca、cabinet 文件操作和 XML 标志对于这个答案来说太过复杂,但这是 GPO 安装软件(特别是 MSI 文件)的另一种方式。
高血压