Установка приложения с установщиком Windows, отключенным групповой политикой
Мы используем "домен" Samba для управления нашими ПК (все наши XP). Мы только внедряем McAfee ePO - для этого необходимо установить framepkg.exe на каждую машину, а затем обновить любую версию McAfee AV, которая установлена до последней версии.
Однако у нас есть групповая политика "Отключить установщик Windows - всегда". Поскольку framepkg.exe и McAfee push Updater используют установщик Windows, он не будет установлен.
Есть ли какой-либо способ подписать / благословить определенные приложения, чтобы они обошли этот параметр GP?
2 ответа
Я не уверен, что этот параметр мудрый. Установщик Windows используется не только для установки; например, он также обеспечивает (некоторые) исправления, самовосстановление приложений и некоторые другие вещи. Этот параметр также не будет действовать для любого пакета, который не использует MSI для установки. Как вы обнаружили, он также мешает любым установкам на основе GPO или другим запускаемым администратором установкам, которые вы, возможно, захотите сделать. Короче говоря, вы стреляете себе в ногу с этим.
Если ваша цель при включении этого параметра состояла в том, чтобы заблокировать ПК, было бы лучше просто не предоставлять пользователям права администратора и, возможно, реализовать некоторые политики ограниченного использования программ. Помните - безопасность - это как впускать хороших парней, так и не допускать плохих парней.
AFAIK этот параметр политики полностью отключает установщик Windows. Собственные обновления Microsoft, основанные на MSI, даже не будут установлены, если для этого параметра задано значение "Всегда" (см. http://support.microsoft.com/kb/278295).
Я бы временно отключил настройку, выполнил установку, а затем снова включил ее.