为什么选MSI而不是EXE
AnyDesk 官方同时提供 EXE 与 MSI 两种 Windows 安装载体。EXE 面向单次交互安装,带图形向导;MSI 则把安装逻辑拆成标准表结构,可被 Windows Installer 引擎原生识别,天然支持 静默安装、升级、回滚、卸载。对域管来说,这意味着一条组策略就能在开机阶段把客户端推送到所有工作站,无需用户点“下一步”。
经验性观察:在 100 Mbit/s 局域网内,5 MB 左右的 MSI 包从域控分发到客户端本地缓存,通常耗时 10–30 秒;后续安装阶段再花 15 秒左右,整体对开机速度影响可忽略。
为什么选MSI而不是EXE
版本差异与兼容性清单
截至当前的最新版本(8.2 分支)同时提供 32 位与 64 位 MSI,命名规则为 AnyDesk--.msi。官方文档确认:MSI 可在 Windows 10 1607 及以上、Windows 11 24H2、Windows Server 2016/2019/2022 上通过组策略安装;Server 2012 R2 需先更新 KB2999226(Universal CRT)否则安装回滚。
注意:MSI 包不含 零信任通道插件,若后续需要 Entra ID 条件访问,请另行下载插件 MSI 并做二次分发。
准备阶段:拿到许可证与转换器
1. 导出许可证文件
登录 AnyDesk 客户门户 → Licenses → 选择对应合同 → Download License File。得到 license.conf,内容为一串 JSON,含 "license_key": "AAAA-BBBB-CCCC-DDDD"。该文件就是后续批量激活的“钥匙”。
2. 选 MSI 还是 MST?
MSI 本身支持属性表,可在命令行直接传参;若需要一次性把许可证、自定义端口、别名模板写进包内,可用官方提供的 AnyDesk MSI Transform Generator(小工具,单文件,无需安装)。生成 .mst 后,与 MSI 放在同一共享路径即可。
共享文件夹与权限最小化
域控上新建 \\dc01\software\anydesk,把 MSI、MST(如有)、license.conf 一并放入。共享权限给 Domain Computers 只读即可,避免“Everyone 可写”导致安装包被篡改。NTFS 权限再追加 Authenticated Users 读取,确保开机时计算机账户能访问。
警告:不要把许可证文件放到 SYSVOL 之外的可写共享,否则任何域用户都能拿到商业授权码。
组策略对象(GPO)四步曲
- 打开 GPMC → 新建 GPO“AnyDesk-Deploy” → 链接到目标 OU(如 Workstations)。
- 计算机配置 → 策略 → 软件设置 → 软件安装 → 右键“新建”→ 选择
AnyDesk-x64-8.x.x.msi→ 部署方法选“已分配”。 - 若已生成 transform,在“修改”选项卡内添加 MST 文件。
- 在“高级”→“部署选项”里勾选“安装用户界面选项:基本”即静默;若需完全无 UI,再勾“忽略语言”即可。
策略保存后,客户端下次重启或运行 gpupdate /force 时,Windows Installer 会在登录前阶段把 AnyDesk 装好;用户首次进桌面即可看到托盘图标。
一条命令验证静默参数
在测试机先手动跑:
msiexec /i \\dc01\software\anydesk\AnyDesk-x64-8.x.x.msi /qn TRANSFORMS=\\dc01\software\anydesk\custom.msi
若返回码为 0,事件查看器 → Windows Logs → Application → Source=MSIInstaller 无错误,即表示包与 MST 均有效,可放心放到 GPO。
许可证写入的三种姿势
1. MST 预写
在 Transform Generator 里把 license.conf 路径填到 AD_LicenseFile 属性,安装时自动复制到 %ProgramFiles(x86)%\AnyDesk\license.conf。
2. 组策略首选项复制
若不想改包,可在同一 GPO 内加“计算机配置 → 首选项 → Windows 设置 → 文件”→ 源:\\dc01\software\anydesk\license.conf,目标同上,确保“应用一次且不重新应用”,避免每次开机重复拷贝。
3. PowerShell 7 后置脚本
在 Intune 或 SCCM 场景,可用 anydesk.exe --register-license 命令行注册,适合动态密钥轮换。
回退与卸载:同样一条策略
若发现版本问题,只需在 GPO 里把“已分配”改为“已删除”并勾选“允许用户继续使用的应用程序:否”,客户端下次重启即自动卸载,无需额外脚本。经验性观察:卸载过程约 8–12 秒,结束后服务与防火墙规则一并清理。
回退与卸载:同样一条策略
防火墙端口与AV例外
AnyDesk 默认走 TCP/UDP 5001–5003 与 TCP 443;若客户端启用“允许直接连接”,还会监听 TCP 7070(可自定义)。建议在同一个 GPO 里追加“计算机配置 → Windows 设置 → 安全设置 → 高级安全 Windows 防火墙”入站规则,源地址填“任何”,避免后期远程因为防火墙弹窗被阻断。
Intune 替代方案:Win32 应用路线
对于已迁云的团队,可把 MSI 打包成 .intunewin,安装命令:
msiexec /i "AnyDesk-x64-8.x.x.msi" /qn检测规则用文件版本:路径
%ProgramFiles(x86)%\AnyDesk\AnyDesk.exe,版本大于等于 8.2.0。Intune 会在 60 分钟内完成推送,设备无需加域。
常见故障现象与验证
| 现象 | 根因 | 验证步骤 | 处置 |
|---|---|---|---|
| 事件 1033,安装回滚 | 缺少 Visual C++ 14 运行时 | 查看日志 %temp%\MSI*.log 搜“vcredist” | 预装 VC++ 2015-2022 可再发行包 |
| 图标灰色,显示“未授权” | license.conf 未下放或格式错误 | 检查文件是否存在于安装目录 | 用 GPO 首选项补拷,或手动注册 |
| GPO 不生效 | 计算机账户无权访问共享 | 在客户端运行 gpresult /h gpo.htm | 给 Domain Computers 加共享读取 |
适用/不适用场景清单
- 适用:Windows 域环境 >50 台、需统一版本与许可证、IT 有 GPO 发布经验。
- 不适用:纯云办公、全员 macOS、或每台需不同别名/头像的个性化场景;MSI 暂不支持自定义用户级头像。
- 慎用:网络环境为纯 IPv6 且已禁用 SMBv1,需确保域控共享支持 SMBv2/3,否则开机阶段会脱域访问失败。
最佳实践速查表
- 永远在测试 OU 先灰度 5% 设备,观察一周再全量。
- 把 MSI、MST、license.conf 放同一共享,避免跨共享路径过长导致 1603 错误。
- 对笔记本启用“慢速链接检测”,低于 500 kbit/s 时跳过下载,防止高铁用户开机卡顿。
- 记录事件日志:在 GPO 软件安装属性里勾“发布到用户”,方便后期审计哪些机器已成功。
- 升级策略:大版本更新时先上传新 MSI → 新建 GPO → 逐步替换,旧版保留回退通道。
FAQ - 常见问题结构化数据
MSI 包能否带自定义别名模板?
可以。在 Transform Generator 的 Alias Template 字段填 %COMPUTERNAME%-%USERNAME%,安装时自动替换变量。
手动卸载后重启又装回?
GPO 设为“已分配”会强制重装。如需永久移除,把 GPO 改为“已删除”并重启两次即可。
license.conf 明文安全吗?
文件仅含授权码,不含私钥。建议通过共享权限限制 Domain Computers 读取,避免普通用户浏览。
能否降级回旧版?
Windows Installer 不支持同包降级。需先“已删除”卸载,再推送旧版 MSI。
Mac 和 Linux 怎么办?
macOS 用 PKG 格式可走 Jamf;Linux 可用 anydesk__amd64.deb 配合 Ansible。本文 MSI 路径仅适用于 Windows。
收尾:下一步行动建议
读完本文,你已知道 AnyDesk MSI 批量部署的核心是“共享可读 + GPO 已分配 + 许可证同步下放”。现在就可在测试域新建 OU,把 5 台样机拖进去,按上文四步曲跑一遍;验证事件日志无 1033、1042 错误后,再扩大范围。记住:版本升级前先在 Transform 里改 AD_UpdateChannel=manual,避免客户端自动更新导致版本漂移。祝你十分钟收工,千台终端一次到位。