域环境中,默认的域成员账户都是Domain Users组,权限很低,无法修改系统配置,无法安装软件。当用户需要安装软件时,总会提示需要管理员权限进行安装。有时候我们把用户加入到Power Users 组中,但该组中的权限也不能安装所有的软件。同时赋予用户较高的权限在安全性上得不到很好的控制。那么如何实现让域用户处于Domain Users组中可以安装软件而不提示需要管理员权限呢?AD中使用ZAP文件发布软件可以实现这样的功能。
1、ZAP文件是什么?
事实上ZAP文件只是一个简单的文本文件,有点类似于ini。在AD 中,若发发布非MSI程序,您首先需要创建一个.zap文件的程序。
2、怎样使用ZAP文件?
如果我们要在AD中部署和分发应用程序,但是这个软件的安装程序并不是MSI文件,我们就要创建一个ZAP文件在AD的组策略中进行分发。如果XP系统管理员使用的是ZAP文件分发程序的策略,我们就只能在组策略的“用户配置”中进行配置。可以使用文本文件来创建ZAP文件,在保存时将后缀后改为.zap就可以了。当zap文件中使用引号时,应用以下规则:
●安装程序可执行文件的路径和名称必须总是在引号中;
●如果没有命令行参数,就必须将它他括在两对引号中;
3、创建一个ZAP文件?
[Application]
FirendlyName=“MicrosoftApplication”
SetupCommand=“setup.exe”/unattend
Display Version=8.0
Publisher=Microsoft
Application、FirendlyName、Setup Command 为必须的参数。
DisplayVersion、Publisher 为可选参数。
FirendlyName设置在【添加\ 删除程序】中显示的名称。
SetupCommand设置软件的路径,安装程序的文件和安装的参数。
DisplayVersion用于设置该安装程序的版本号。
Publisher用于设置该安装程序的发行人。
以搜狗拼音为例:
[application]
friendlyname="sogou_pinyin_41d"
setupcommand=”\\DC-01\Install\lsrunas.exe--/user:administrator--/password:password01!--/do main:domain.local--/command:'\\DC-01\Install\sogou_pinyin_41d.exe--/S'--/runpath:\\DC-01\Ins tall”
[ext]
arj=
lzh=
zap文件解释:
[application]
friendlyname="sogou_pinyin_41d"(程序名称)
setupcommand=\\DC-01\Install\lsrunas.exe--/user:administrator--/password:password01!--/dom ain:domain.local--/command:'\\DC-01\Install\sogou_pinyin_41d.exe--/S'--/runpath:\\DC-01\Inst all
(将lsrunas.exe拷贝到DC-01或者是其他共享文件区域,这个命令的意思就是用lsrunas工具临时提升搜狗拼音安装程序的安装权限为administrator权限安装。Lsrunas是一个系统提权工具。)
[ext]
arj=
lzh=
四、发布程序
●在用户配置中,在软件安装中,用鼠标右键单击,然后单击新建;
●单击打包;
●键入包含.zap文件的文件夹路径;
●单击打开;
●在文件类型中,单击ZAW低级别应用程序包(*.zap);
●单击.zap文件,然后单击打开;
●单击发布,然后单击确定。