通过活动目录组策略安装应用程序

Kaspersky Security Center 允许您使用 Active Directory 组策略在受管理设备上安装 Kaspersky 应用程序。

使用 Active Directory 组策略，可以只从包含网络代理的安装包安装应用程序。

要使用活动目录组策略安装应用程序，请执行以下操作：

1. 开始使用远程安装向导配置应用程序安装。
2. 在“远程安装向导”的“定义远程安装任务设置”窗口中，选中“在 Active Directory 组策略中指定安装包的安装”选项。
3. 在远程安装向导的选择账户以访问设备窗口，选择需要账户(不使用网络代理)选项。
4. 在安装了 Kaspersky Security Center 的设备上添加带有管理员权限的账户或包含在“组策略创建器所有者”域组的账户。
5. 为所选账户授予权限：
   1. 转到“控制面板”→“管理工具”，然后打开“组策略管理”。
   2. 单击具有所需域的节点。
   3. 单击“委派”区域。
   4. 在“权限”下拉列表中，选择“链接 GPO”。
   5. 单击添加。
   6. 在打开的“选择用户、计算机或组”窗口中，选择所需账户。
   7. 单击“确定”关闭“选择用户、计算机或组”窗口。
   8. 在“组和用户”列表中，选择刚添加的账户，然后单击“高级”→“高级”。
   9. 在“权限条目”列表中，双击刚添加的账户。
   10. 授予以下权限：
       • 创建组对象
       • 删除组对象
       • 创建组策略容器对象
       • 删除组策略容器对象
   11. 单击“确定”保存更改。
6. 按照向导的说明定义其他设置。
7. 手动运行创建的远程安装任务，或等待计划启动。

这将启动以下远程安装序列：

1. 任务运行时，系统将在包含指定集合中的客户端设备的每个域中创建以下对象：
   • 名称 Kaspersky_AK{GUID} 下的组策略对象（GPO）。
   • 对应于 GPO 的安全组。此安全组包括该任务涵盖的客户端设备。安全组的内容定义了 GPO 的范围。
2. Kaspersky Security Center 直接从应用程序的名为“Share”的共享网络文件夹在客户端设备上安装所选 Kaspersky 应用程序。在 Kaspersky Security Center 安装文件夹中，系统将创建一个辅助子文件夹，其中包含安装应用程序所需的 .msi 文件。
3. 新设备添加到任务范围后，会在任务下次启动后添加到安全组。如果在任务计划中选中“运行错过的任务”选项，则设备将立即添加到安全组。
4. 设备从任务范围中删除后，会在任务下次启动后从安全组中删除。
5. 从 Active Directory 中删除任务后，GPO、GPO 的链接和相应的安全组也会删除。

如果要使用 Active Directory 应用其他安装方案，您可以手动配置所需设置。例如，以下情况可能需要该操作：

• 当反病毒保护管理员没有权限更改某些域的活动目录时
• 原始安装包必须存储在单独的网络资源上时
• 当需要将 GPO 链接到特定的活动目录单元时

通过活动目录使用备用安装方案的以下选项可用：

• 如果直接从 Kaspersky Security Center 共享文件夹进行安装，您必须在 GPO 属性中为所需应用程序指定 .msi 文件（位于安装包的 exec 子文件夹中）。
• 如果必须将安装包放置在其他网络资源上，您必须将整个 exec 文件夹的内容复制过去，因为除了扩展名为 .msi 的文件外，该文件夹还包含创建安装包时生成的配置文件。要安装与该程序相关联的授权许可密钥，请将许可文件一起复制到该文件夹中。