本文档介绍如何通过域控制器批量部署与卸载SASE安全客户端。利用组策略实现自动化安装,提升终端安全管控效率,同时提供统一卸载方案,适用于大规模企业环境下的集中管理与维护。
背景说明
在企业数字化转型和远程办公普及的背景下,终端安全成为IT管理的核心环节。SASE(安全访问服务边缘)架构融合了广域网能力与网络安全服务(如零信任、防火墙、数据防泄漏等),广泛应用于分支机构互联、移动办公、云资源安全接入等场景。面对成百上千的终端设备,传统手动安装或卸载客户端的方式效率低下、易出错,难以满足统一安全策略的执行要求。
通过域控制器(Domain Controller)结合组策略(GPO)实现SASE App的批量部署与卸载,为企业提供了高效、可控的集中管理方案。该方式适用于中大型组织在新员工入职、安全合规整改或终止使用SASE服务时,对Windows域内终端进行自动化软件分发与回收。不仅大幅降低运维成本,还能确保所有设备安全代理的一致性与实时性,提升整体安全防护水平。同时,支持静默安装、版本升级与策略预配置,是实现标准化终端安全管理的关键手段。
前提条件
您的域控制器(Domain Controller, DC)正常运行,并且所有目标客户端已成功加入域。
操作步骤
步骤一:配置共享文件夹
将部署和卸载脚本及软件安装包集中存放于域控制器的共享文件夹中,并配置适当的读取与执行权限,确保目标用户或计算机能够访问并运行相关程序。
在Windows系统中创建一个文件夹(例如:C:\software)。
右键单击文件夹,并选择属性。
在共享页签中,单击共享。
在网络访问对话框中,选择要与其共享的网络上的用户,并单击共享,然后单击完成。
步骤二:下载SASE客户端
在域控制器中下载SASE客户端,用于域内主机的自动安装。
登录办公安全平台控制台。
在左侧导航栏,单击设置。
在客户端下载页签中,根据Windows系统版本下载SASE客户端安装包(.exe)。
将下载好的安装包存放到
C:\software
文件夹中。
由于下载的SASE客户端文件名中包含企业标识,请勿随意修改文件名称。
需要注意的是,鸿蒙系统默认浏览器在下载过程中会自动将文件名中的方括号"[ ]"替换为下划线 "_"。例如:原始安装包名为 sase-4.x.x-x86[xxxx].exe,下载后可能变为 sase-4.x.x-x86_xxxx_.exe。
若您使用鸿蒙系统默认浏览器下载SASE客户端,请在安装前手动将文件名中的下划线(_)恢复为原始的方括号([ ]),确保文件名与原始命名一致,以免影响后续使用。
步骤三:创建批处理脚本
创建安装和卸载的批处理脚本(.bat文件)并存放到共享文件夹中,结合组策略实现域内主机批量安装和卸载SASE App。
在software文件夹中创建两个文本文档(install.txt和uninstall.txt)。
根据以下内容填写脚本内容。
install
重要您需要修改SASE安装包的存放地址。
@echo off setlocal :: 下发脚本前需修改INSTALLER中的安装包路径。 :: ================== 配置区域 ================== set "WIN_32=HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\AliSASE" set "WIN_64=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AliSASE" :: SASE安装包的存放地址 set "INSTALLER=C:\software\sase-*****.exe" set "SILENT_ARGS=/S /silent /norestart /NoStart" :: ============================================ echo 正在检测软件是否已安装... :: 初始化标志变量:0 表示未安装,1 表示已安装 set "installed=0" :: 检查 64 位注册表 reg query "%WIN_64%" /reg:64 >nul 2>&1 if %errorlevel% == 0 ( echo SASE已安装。 set "installed=1" ) :: 检查 32 位注册表 reg query "%WIN_32%" /reg:32 >nul 2>&1 if %errorlevel% == 0 ( echo SASE已安装。 set "installed=1" ) :: 判断是否已安装(OR 条件) if %installed% == 1 ( echo. echo 检测到软件已安装SASE,跳过安装。 echo. timeout /t 1 >nul exit /b 0 ) :: ================== 执行安装 ================== echo. echo 未检测到软件安装,开始安装... if not exist "%INSTALLER%" ( echo 错误:安装包未找到! echo 路径:%INSTALLER% pause exit /b 1 ) echo 正在运行安装程序... start "" "%INSTALLER%" %SILENT_ARGS% :: 可选:等待安装完成 timeout /t 60 >nul echo 安装完成。 exit /b 0
uninstall
重要您需要修改已安装的SASE App的版本号。
@echo off setlocal :: 脚本需以管理员身份运行 :: ================== 配置区域 ================== set "x86=C:\Program Files (x86)\Aliyun\SASE\4.x.x(SASE App版本号)\uninst.exe" set "64=C:\Program Files\Aliyun\SASE\4.x.x(SASE App版本号)\uninst.exe" set "uninstalled=/S /silent" :: ============================================ echo 正在检测软件是否已安装... :: 检查 64 位卸载文件 if exist "%64%" ( echo 检测到已安装SASE,正在卸载。 start "" "%64%" %uninstalled% echo. timeout /t 10 >nul exit /b 0 ) :: 检查 32 位卸载文件 if exist "%x86%" ( echo 检测到已安装SASE,正在卸载。 start "" "%x86%" %uninstalled% echo. timeout /t 10 >nul exit /b 0 )
配置完成后,将两个文件后缀修改为
.bat
,例如:install.bat和uninstall.bat。
步骤四:创建GPO并配置脚本
GPO(组策略对象,Group Policy Object)的主要作用是集中管理和配置Windows域环境中计算机和用户的行为,通过配置脚本,实现统一、安全、可审计的安装和卸载SASE App
打开Windows系统的组策略管理编辑器。
右键单击域名,并选择在这个域中创建 GPO 并在此处链接。
在新建 GPO的对话框中输入组策略名称,然后单击确定。
右键单击创建的GPO(SASE Deployment Policy),并单击编辑。
在组策略管理编辑器中,选择
,双击启动。在启动 属性对话框的脚本页签中,配置批量安装或批量卸载的脚本地址。
单击添加,在添加脚本的对话框中配置批量安装或批量卸载的脚本名。
脚本名为脚本所在共享文件夹的网络地址+脚本名称(例如:\\IZ1O**********\software\install.bat或\\IZ1O**********\software\uninstall.bat)。您可以右键单击共享文件夹(software),在共享页签中查看网络路径。
配置完成后,单击确定,然后在启动 属性对话框先单击应用,然后单击确定。
步骤五:验证
刷新组策略:默认情况下,域环境中组策略刷新周期为 90 分钟,您可以在所有主机中运行以下命令,手动刷新组策略。
gpupdate /force
重启主机:重启域内的所有主机,重启后会立即执行组策略中的脚本,进行批量安装或卸载SASE App。
步骤六:查看事件
Windows 事件查看器(Event Viewer)是 Windows 操作系统内置的一个系统管理工具,主要用于收集、显示和管理来自操作系统、应用程序和硬件设备的运行日志。您可以使用事件查看器查看组策略执行情况。
在Windows搜索框中输入事件查看器或eventvwr.msc。
在左侧导航栏,选择
。在系统页面中查看
GroupPolicy(Microsoft-Windows-GroupPolicy)
来源的事件执行情况及执行失败的错误信息。