GPO 软件部署

我们来详细讲解一下如何使用组策略 (Group Policy) 在 Active Directory (AD) 域环境中为计算机批量部署软件。

这通常被称为“基于策略的软件分发”，是系统管理员必须掌握的核心技能。下面我将从原理、步骤、注意事项和排错四个方面进行说明。

一、 原理和概念

什么是 GPO 软件部署？

它是 Group Policy 的一项功能，允许域管理员将软件（
.msi 格式的安装包）自动分发给域中的计算机或用户。它可以实现软件的静默安装（无需用户交互）、升级和卸载。

两种部署方式：

分配给计算机 (Assign to Computer)：
软件在计算机启动时自动安装。所有登录到该计算机的用户都可以使用该软件。安装过程在用户登录前完成，具有管理权限。适用于： 必须的通用软件，如杀毒软件、7-Zip、Adobe Reader 等。
分配给用户 (Assign to User)：
软件会“通告”给用户。用户登录后，桌面上会出现程序的快捷方式，开始菜单中也会有对应项。软件在用户首次点击快捷方式时才会真正安装（按需安装）。也可以设置为用户登录时直接安装。适用于： 按部门或角色分发的软件，如为财务部安装财务软件。

发布给用户 (Publish to User)：

软件不会自动安装，也不会出现快捷方式。用户可以通过“控制面板”->“程序”->“获取程序”来自行选择安装。或者，在用户打开一个关联的文件类型（如
.docx）时，如果系统没有安装相应程序，已发布的 Office 可能会被触发安装。适用于： 非强制性的、可选的软件。

二、 部署步骤 (以“分配给计算机”为例)

前提条件：

一个正常的 Active Directory 域环境。一台已加入域并安装了 组策略管理 (GPMC) 工具的 Windows Server（通常是域控制器）。软件必须是 .msi 安装包格式。如果不是（如
.exe），需要先将其重新打包为
.msi（可使用工具如 AdminStudio、WiX Toolset 等），或者使用软件部署的替代方案（如脚本）。

步骤 1：准备安装包和网络共享

获取软件的
.msi 安装包文件。在服务器上创建一个共享文件夹（例如
\SRV01Software$），用于存放安装包。设置共享权限 (Share Permissions) 和 NTFS 权限 (Security Permissions)，确保域计算机 (Domain Computers) 组对该文件夹至少有读取 (Read) 和执行权限。这是最关键的一步，否则计算机会因权限不足而无法访问安装包。
共享权限：
Everyone -> “读取”NTFS 权限：
Domain Computers -> “读取和执行” / “列出文件夹内容” / “读取”

步骤 2：创建并编辑 GPO

打开 组策略管理控制台 (GPMC)。在相应的组织单位 (OU) 上右键单击（例如名为
Workstations 的 OU），选择“在这个域中创建 GPO 并在此处链接…”。为 GPO 起一个描述性的名称，如“Deploy – Google Chrome”。右键单击这个新 GPO，选择“编辑”。

步骤 3：配置软件安装策略

在组策略管理编辑器中，导航到：
计算机配置 -> 策略 -> 软件设置 -> 软件安装
在右侧窗格右键单击 -> 新建 -> 数据包。在文件选择框中，输入你之前创建的共享文件夹路径（
\SRV01Software$chrome_installer.msi），然后点击“打开”。在弹出的对话框中，选择部署方法：
已分配：我们这里选择这个。已发布：仅对用户配置有效。高级：用于配置更详细的选项（如转换文件
.mst）。
点击“确定”。策略创建完成。

步骤 4：将计算机对象移动到正确的 OU
确保需要安装软件的计算机账户位于你链接了 GPO 的那个 OU（如
Workstations）下。GPO 只对链接的 OU 及其子 OU 下的对象生效。

步骤 5：强制更新组策略并测试

在客户端计算机上（需要已加入域），打开命令提示符（CMD）或 PowerShell，运行以下命令强制刷新组策略：

gpupdate /force

重启客户端计算机。因为“分配给计算机”的软件通常在计算机启动时安装。重启后，登录系统，检查软件是否已成功安装（在开始菜单或“应用和功能”中查看）。

三、 高级选项和注意事项

升级软件：右键单击已部署的软件包 -> 属性 -> 升级 -> 添加。可以设置“卸载现有程序包，然后安装新程序包”或“程序包可以升级现有程序包”。卸载软件：右键单击已部署的软件包 -> 所有任务 -> 删除。可以选择“立即从用户和计算机中卸载”或“允许用户继续使用但阻止新安装”。使用转换文件 (.mst)：
.mst 文件用于在安装过程中修改
.msi 的默认设置（如安装路径、序列号、组件选择等）。在“部署”时选择“高级”，然后在“修改”选项卡中添加
.mst 文件。
.exe 安装包：原生 GPO 不支持。替代方案：
使用脚本：在“启动脚本”中编写批处理或 PowerShell 脚本，调用
.exe /S（静默安装参数）进行部署。重新打包：使用专业工具将
.exe 重新打包成
.msi。使用现代部署工具：如 Microsoft Intune、SCCM/MECM、PDQ Deploy 等。

四、 常见问题排错 (Troubleshooting)

软件没有安装：

检查权限：90% 的问题出在共享文件夹的权限上。确保
Domain Computers 计算机账户有读权限。检查网络连通性：客户端计算机是否能
ping通 共享服务器。检查事件查看器：客户端计算机的“应用程序和服务日志” -> “Microsoft” -> “Windows” -> “GroupPolicy” -> “Operational” 日志，里面会有详细的错误信息。使用
gpresult /h report.html：在客户端运行此命令，生成一个 HTML 报告，查看该计算机应用了哪些 GPO，以及软件部署策略是否已成功应用。确认计算机在正确的 OU 中。

软件安装失败：

检查
.msi 包是否完整、兼容。可以尝试在本地手动运行
msiexec /i \path osetup.msi /l*v log.txt 来安装并生成详细日志，从日志中查找错误原因。

安装到了错误的计算机/用户：

检查 GPO 的链接位置和安全筛选（Security Filtering）。确保 GPO 只应用给了目标计算机或用户组。

通过以上步骤，你应该能够成功使用 GPO 在域环境中部署大多数
.msi 格式的软件。这是一个非常强大且高效的批量管理工具。