如何使用组策略软件发布的权限疑问：我先向你描述一下我的试验环境:一台DC(windows 2003 standard),一台客户端xp(sp2)。我在dc中新建了一个ou1和两个用户1和2.user1是domain admins组的成员.user2是domain users组的成员.我在ou1中发布软件adminpak.msi.我还在用户和计算机策略中设定了windows installer一最高权限运行.user1.可以安装.user2可以执行安装,但最后提示特权不够拒绝安装.关于对软件分发的几点疑问:
 
1.当用户登陆网域时策列是套进去了,在控制面板中可以看见adminpak.msi的安装项目能不能说明分发是成功的?该步是用system吗?但该步只是预安装,对客户端做了什么动作呢?向注册表内写了什么东西呢?
2.用户在控制面板添加该程序时用了什么权限,是用系统还是该用户.我个人认为是用户权限.user启动添加的权限.(不知道这么说恰当吗?)system进行安装.windows installer是用system账户登陆的.
3.组策略中有:alway instal with elevated privileges有什么作用呢?我对用户和计算机都启用了该策略.但还是没有将adminpak.msi装进去.

回答：

我先回答您提出的问题，然后再給出如何解决软件分发问题的方法。

1、当软件按照用户分发时，windows installer将会执行如下动作：
a、在当前用户的profile目录中写入相应应用程序的快捷方式
b、相应的应用程序列表出现在添加/删除列表中
c、向注册表的 HkCU\Software\Classes 写入COM注册信息
d、对应用程序执行赋予当前用户权限或者提升权限
e、应用程序的图标以及相关文件写入 %USERPROFILE%\Application
Data\Microsoft\Installer\{ProductCode GUID}
f、为当前用户设置与应用程序相关的属性值，例如：
DesktopFolder、ProgramMenuFolder、StartMenuFolder、StartUpFolder、TemplateFolder、AdminToolsFolder……

2、程序的安装都是使用system权限，所不同的是，如果管理员指定了该程序分发给某些用户账户，那么该程序执行的时候，将使用相应用户账户的权限。

3、alway instal with elevated privileges 恰巧就是针对第2个问题。当您同时在计算机策略和用户策略中指定了该策略项以后，那么即便应用程序是对用户账户分发，那么用户账户在执行该应用程序的时候，也将使用system权限。当然，这个策略势必会给系统带来安全性风险。受策略影响的用户帐户将可能有权限访问及写入本地计算机上的受保护的资源，例如系统注册表和系统目录。

那么如何解决您遇到的问题呢？一般来说，客户端在套用应用程序分发策略时，将会有两个地方遇到权限问题，一是软件分发点，也就是共享软件的目录，相应的计算机账户或者用户账户至少需要对共享目录拥有可读权限。二是软件执行，对计算机账户指派，由于是使用system安装并执行，一般不会有什么问题，但对于用户账户分发，就可能会由于无法读写应用程序的某些目录或者注册表键值而执行失败。
通常，我们有两种方法来debug这个问题。
1、通过观察日志找到问题所在以及相关的错误信息。这包括：
a、应用程序日志，这存在于对应的客户端计算机上，您需要记录相应日志的全部内容，这包括 source and id and detail。
b、userenv.log，位置在对应客户端计算机上 %windir%\debug\usermode\userenv.log
这是客户端组策略扩展在执行相应的策略时給出的日志。
c、appmgmt.log，位置在对应客户端计算机上 %windir%\debug\usermode\appmgmt.log
这是应用程序安装过程中的日志。
d、msilog，位置在对应客户端计算机上 %temp%\msi*.log 这是Windows Installer引擎在执行安装任务时給出的日志。

2、通过GPMC收集应用程序分发策略的执行结果集，如果有设置错误，那么报告中将会給出相应的信息。

您可以通过我上面提到的方法，收集一下策略执行的信息，然后根据这些信息进行搜索，从而获得更为准确的解决方法。