使用活动目录 GPO 安装 GlobalProtect 客户端

AD 组策略概述

活动目录组策略允许您从高管理网络, 控制用户和计算机在广告环境中的操作方式。可以创建策略设置以针对登录的用户或计算机, 以及可配置的各种设置, 包括软件安装。

要将策略设置应用于 ad 环境中的用户和计算机, 必须首先配置一个组策略对象 (GPO), 它驻留在 ad 域中名为 "组策略对象" 的特殊文件夹中。GPO 是已配置的策略设置的命名集合。   在 gpo 链接到 AD 站点、域或组织单位 (OU) 之前, gpo 中的策略设置不会被强制执行。

一旦 GPO 与其中之一关联, 策略设置就会对该容器中定义的用户和计算机生效。如果 GPO 在域级别链接, 则策略设置将应用于域中的工作站和服务器。例如, 如果将其链接到市场营销 OU, 则这些设置仅适用于该 ou 中的计算机。

gpo 可以在多个位置 (如两个不同的 ou) 中链接, 站点、域或 OU 可以有多个 gpo 链接到它。   组策略工作于 "外部", 首先处理任何本地策略, 然后应用站点、域和后续 OU gpo, 并向对象在 AD 树中的位置方向工作。如果任何策略设置在途中发生冲突, 则最后一个设置应用了规则。  同样, 应用于用户登录的策略设置也会执行相同的操作, 方法是在 AD 树中用户对象的休息位置的路径后面。  AD 将覆盖在单个计算机上设置的策略。

组策略是一种 "拉动" 技术。当 windows 客户端系统启动并连接到网络时, 它将拉入策略, 并在默认情况下每90到120分钟对 GPO 进行轮询。计算机和用户策略有间隔, 并且两者的默认偏移量可达30分钟。

GlobalProtect 和 GPO

GlobalProtect 客户端可以作为计算机或用户策略安装。

• 使用计算机策略确保它在特定系统上安装, 而不管用户如何。
• 使用用户策略确保特定用户在其使用的所有系统上接收客户端。
• 创建和链接 gpo 可以使用组策略管理 MMC (Microsoft 管理控制台) 创建和链接 gpo。

服务器 2003:

• 路径: 活动目录用户和计算机 >> 您的域 > 属性 > 组策略

服务器 2008:

• 路径: 管理工具 > 组策略管理 > 林 > 域 > 域 > 组策略对象

GPO 以无设置开始。

编辑 GPO 并创建包

• 路径: 计算机配置 > 策略 > 软件设置 > 软件安装

分配 MSI:

• 确保全局保护客户端. msi 文件位于您的网络上的 Windows 客户端计算机可以访问的位置。
  • 客户端将从此处选择的位置下载该文件。
  • 将安装分配的应用程序。
  • 发布的应用程序将通过 "添加/删除程序" 界面提供给用户。

所有者︰ panagent