偶单位是一个windows 2003的域环境，现在想通过控制器来对客户机安装各种应用软件，请问在组策略中如何实现？另外还有一个需求，就是客户机没有自己安装软件的权限，不管是域用户或者是本地管理员用户。请问如何实现？

以上问题简单理解为： 控制所有客户机自己安装软件权限，软件的安装都需要通过DC集中分发实现。

你提出了许多的问题，只能一个个回答。
1.关于如何deploy 软件。
要知道如何deploy软件，你必须知道WIN2K3里面的分发有两种方法。Assign和Publish。Assign是针对Computer和Users来说的。 Publish只能用在User身上。 Assign to computer可以让你在电脑启动，未登录前，就可以安装。 Assign to users让你在用户登录的时候，通过点击扩展名，来进行安装。 Publish是让你在Add and Remove 控制面板里面，多出可以选择安装和删除的选项。
知道以上内容后，你必须要准备安装文件。 安装文件扩展名一般为.msi. Windows installer。 你要用windows 2003的安装CD里面的第三方软件或者windows自己的windows install LE 来制作一个.msi的package。
过程大致是找台干净的机器，先扫描PC的注册表，安装空间等。完了后安装，安装完璧后，再次扫描。生成MSIpackage。

具体制作方法我就不介绍了，你自己google吧。
有了。msi，你就可以通过Group policy的Software install

然后把你的MSI package放在一个用户可以access的地方。
找到用户或者电脑所在的OU，编辑GP。
随便你选择在user或者computer下面（注意：不同的对象执行GP的时间不同），都有一个Software Settings. 然后新建一个package。选择路径，注意用（\\servername\sharename\path\filename.msi)
选择deploy方法，选择允许的用户。
我在这里只能说个大概，就像我上面所说，你的问题很多。 很多具体的东西你还要自己摸索。

再来说另外一个问题。如果用GP来禁止软件安装。
这个还是GP的问题。 打开你所要指定的GP，选择users 或者 computer。 如果选择computer，那就连admin都无法执行了。因此我们选择users。选择users下面的Software Setting. 在Softwaresetting中，我们创建一个新的Security Level. 这个就是默认值。改成Disallow。Set as Default 。 然后就应该可以了。

LZ说得不错

silverfoxs

说的很好..学习一下..个人感觉DOMIAN,分发软件是很好,可是要.msi格式才行的,限制很多.建议楼住去http://www.microsoft.com/china/technet/default.mspx上找视频教程吧!