組策略的重要性對于系統(tǒng)管理員來說是至關重要的，本文介紹了如何用組策略來部署Windows XP SP2，具體內容如下所述。

如果您在 Active Directory 目錄服務環(huán)境中管理計算機，則可以使用“組策略”的“軟件安裝和維護”功能在目標計算機上部署 Microsoft Windows XP Service Pack 2 (SP2)。本文介紹如何使用“Windows 安裝程序”和“組策略”在 Microsoft Windows 2000 Server 或 Microsoft Windows Server  2003 Active Directory 域中的目標計算機上安裝 SP2。

對于尚未使用企業(yè)更新管理解決方案（例如 Systems Management Server (SMS) 2003 或 Software Update Services (SUS)）的客戶，我們建議使用“組策略”作為實時管理 Windows XP SP2 部署的方法。

使用“組策略”分發(fā)程序時，用戶可以將程序分配給多臺計算機。程序會在計算機啟動的時候安裝，并且所有登錄到計算機的用戶都可使用這個程序。有關“組策略”的更多信息，請參見組策略基礎結構.

本文假定用戶使用了“組策略管理控制臺”（Group Policy Management Console，GPMC）。要下載 GPMC，請參見帶有 Service Pack 1 的組策略管理控制臺.

獲取 Windows XP SP2

要獲取 Windows XP SP2，請參見面向 IT 專業(yè)人員和開發(fā)人員的 Windows XP Service Pack 2 網(wǎng)絡安裝包. 用戶可以從此網(wǎng)頁下載 SP2 文件，該文件名為 WindowsXP-KB835935-SP2-ENU.exe。有關訂購 CD 的信息，請參見面向 IT 專業(yè)人員的 Windows XP Service Pack 2 資源.

下載 WindowsXP-KB835935-SP2-ENU.exe 之后，請使用以下命令行來提取文件：

WindowsXP-KB835935-SP2-ENU.exe /x <path>，其中“<path>”就是用于存放所提取文件的目標目錄。

使用“組策略”部署 SP2 是通過 SP2 的 Microsoft Windows 安裝程序包（名為 Update.msi）來實現(xiàn)的。這個文件位于以下文件夾中，它同時也是提取文件的目標位置：\i386\update。

使用組策略分配服務軟件包

1.創(chuàng)建分發(fā)點。

2.創(chuàng)建 SP2 部署的“組策略”對象 (GPO)。

3.針對指定的計算機部署來自共享分發(fā)文件夾的 SP2 Update.msi。不要按照用戶部署進行部署。

4.在需要的情況下，可以將 SP2 部署到特定的安全組。

必須將目標計算機（就是將要接收服務軟件包部署的計算機）加入到含有“Windows 安裝程序”(.msi) 文件的服務器所在的域中。在您分配程序包后，當連接到此網(wǎng)絡的用戶下一次啟動計算機時，“Windows 安裝程序”將會自動安裝該服務軟件包。我們建議您檢查每臺計算機的屬性，以確保已經(jīng)完成目標計算機的更新。您可能需要多次重新啟動計算機才能完成更新。

只有網(wǎng)絡管理員或在本地計算機上以管理員身份登錄的人才能從目標計算機中移除已分配的軟件（即 SP2）。

下面詳細介紹本節(jié)指出的上述過程。

創(chuàng)建分發(fā)點

要發(fā)布或分配軟件，必須在服務器上創(chuàng)建一個分發(fā)點。

創(chuàng)建分發(fā)點

1.以管理員身份登錄到服務器計算機上。

2.創(chuàng)建一個用于放置要分發(fā)的“Microsoft Windows 安裝程序包”的共享網(wǎng)絡文件夾。此文件夾即為軟件包的分發(fā)點。

3.設置共享網(wǎng)絡文件夾的權限以允許對分發(fā)包進行訪問。將訪問權限授予以下人員：管理員、經(jīng)過身份驗證的用戶和域用戶。

4.為分發(fā)點配置分布式文件系統(tǒng) (DFS)。我們建議您進行此項操作，因為它可以在替換服務器時確保分發(fā)點的不間斷可用性，從而提供更高的靈活性。此外，DFS 可以很容易地使分發(fā)點位于多個站點上。有關 DFS 的更多信息，請參見設計 DFS 命名空間.

為 SP2 部署創(chuàng)建 GPO

您可以創(chuàng)建一個 GPO，并將其鏈接到包含要部署 SP2 的目標計算機的全部 Active Directory 容器（例如站點、域或組織單位）。在以下過程中，我們將指導您如何將域用作容器。針對您的具體環(huán)境，可能需要將 GPO 鏈接到另外一個容器。您甚至可以將其鏈接到任何一個 Active Directory 容器。此外，如果僅為了部署 SP2，您也可以編輯現(xiàn)有的 GPO，而不用創(chuàng)建新的 GPO，但是我們建議您不要編輯“默認域策略”或“默認域控制器策略”。

為 SP2 部署創(chuàng)建 GPO

1.在管理工作站上，打開“組策略管理控制臺”(GPMC)。

2.在控制臺樹中，右鍵單擊要在其中創(chuàng)建和鏈接“組策略”對象 (GPO) 的林中的域名稱。

3.單擊在此創(chuàng)建和鏈接 GPO。

4.在新建 GPO 對話框中，為新 GPO 指定一個名稱，然后單擊確定。

為 SP2 部署編輯 GPO

現(xiàn)在，您已可以通過“組策略”的“軟件安裝和維護”功能來修改 GPO。請注意，“組策略”僅支持將 SP2 部署到計算機，而不是用戶。要部署 SP2，您必須使用“組策略對象編輯器”中的“計算機配置”節(jié)點。

為 SP2 部署編輯 GPO

1.右鍵單擊新的 GPO，然后單擊編輯。

2.在“組策略對象編輯器”中，單擊計算機配置，接著單擊軟件設置，然后單擊軟件安裝。

3.在操作菜單上，指向新建，然后單擊程序包。

4.在打開對話框的文件名稱中，鍵入要分發(fā)的共享安裝程序包的通用命名約定（Universal Naming Convention，UNC）的完整路徑。使用以下格式鍵入此路徑：\\ServerName\SharedFolder\Update.msi 或 \\ServerIP\SharedFolder\Update.msi。確保使用共享安裝程序包的 UNC 路徑。

5.選擇“Windows 安裝程序包”，然后單擊打開。

6.在部署軟件對話框中，單擊已分配，然后單擊確定。所選的共享安裝程序包將會出現(xiàn)在“組策略對象編輯器”的右窗格中。

注意

ServerName 和 ServerIP 是共享文件夾所在計算機的服務器名稱或 IP 地址的占位符。SharedFolder 是服務器計算機上的共享文件夾的占位符。

將 SP2 部署到特定安全組

出于測試目的，您最初可能只想將 SP2 部署到有限數(shù)量的計算機上，而不是給定域或 OU 中的所有計算機。如果您只想將 SP2 部署到作為特定安全組成員的計算機上，則可以使用“組策略”中的安全篩選功能完成此操作。

使用安全篩選功能定位 SP2

1.在 GPMC 中，雙擊組策略對象。

2.單擊要對其應用安全篩選的 GPO。

3.在結果窗格的范圍選項卡中，單擊添加。

4.在輸入要選擇的對象名稱中，鍵入要添加到安全篩選器中的組、用戶或計算機的名稱，然后單擊確定。

5.如果在范圍選項卡的安全篩選部分中顯示已驗證用戶，請選擇此組，然后單擊移除。此操作可確保僅添加的組的成員可以接收該 GPO 的設置。

注意

GPO 中的設置僅應用于與之相鏈接的域或組織單位中的用戶和計算機，并且這些用戶和計算機必須是“安全篩選”中指定的或者屬于“安全篩選”中指定的組的成員。您可以在安全篩選器中為單個 GPO 指定多個用戶或計算機。

希望本文介紹的用組策略部署 Windows XP SP2的方法能夠對讀者有所幫助。更多有關組策略的知識還有待于讀者去學習和掌握。

【編輯推薦】

1. 巧用Windows7的組策略
2. 如何用組策略進行軟件部署？
3. windows vista組策略中探索的新事物
4. Windows2008組策略如何保證系統(tǒng)安全？
5. 如何利用組策略防止Conflicker蠕蟲對Windows的攻擊？