Что не так с моими разрешениями на файлы для развертывания программного обеспечения групповой политики?
Я пытаюсь развернуть Google Chrome Enterprise с помощью групповой политики. Следуя руководству Google, я создал GPO, связал его с OU, импортировал файл ADX с политиками (которые, кстати, отлично развертываются). Я создал папку на файловом сервере с помощью установщика msi. Разрешения установлены так, что компьютеры домена имеют разрешение на чтение и выполнение. Политика установки программного обеспечения задается в разделе «Конфигурация компьютера», поэтому она будет развернута на определенных компьютерах.
Насколько я понимаю, если у вас настроена политика установки программного обеспечения в конфигурации компьютера, вам необходимо, чтобы учетная запись «Компьютеры домена» имела разрешение на чтение / выполнение, поскольку программное обеспечение будет установлено до того, как будет выполнен вход в учетную запись пользователя домена. Я включил ведение журнала MSI и получил следующее в файле журнала:
SOURCEMGMT: Носитель включен, только если пакет безопасен.
SOURCEMGMT: Ищу список источников для продукта { b5fd80c4-8da4-3815-958f-d6e4afb1c5d0}
SOURCEMGMT: Добавление {b5fd80c4-8da4-3815-958f-d6e4afb1c5d0}; к потенциальному списку источников (pcode; disk; relpath).
SOURCEMGMT: сейчас проверяется продукт {b5fd80c4-8da4-3815-958f-d6e4afb1c5d0}
SOURCEMGMT: для продукта включен носитель.
SOURCEMGM useT: Попытка использовать LastUsedSource из списка источников.
SOURCEMGMT: Обработка списка сетевых источников.
SOURCEMGMT: Попытка источника \ [сервер] [общий ресурс] \ IT \ Software \ GroupPolicyDeploy.
Примечание: 1: 1402 2: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer 3: 2
Примечание: 1: 2303 2: 5 3: \ [сервер] [общий ресурс] \
Примечание: 1: 2303 2: 5 3: \ [сервер] [share] \
Примечание: 1: 2303 2: 5 3: \ [server] [share] \
Примечание: 1: 1325 2: GroupPolicyDeploy
ConnectToSource: Ошибка CreatePath / CreateFilePath: -2147483648 1325 -2147483648
ConnectToSource (продолжение): Ошибка CreatePath / CreateFilePath: -2147483648 -2147483648
SOURCEMGMT: net source '\ [сервер] [общий ресурс] \ IT \ Software \ GroupPolicyDeploy \' недействителен.
Примечание: 1: 1706 2: -2147483647 3: GoogleChromeStandaloneEn terprise64.msi
SOURCEMGMT: Обработка списка источников мультимедиа.
Примечание: 1: 2203 2: 3: -2147287037
SOURCEMGMT: Источник недействителен из-за отсутствия / недоступности пакета.
Примечание: 1: 1706 2: -2147483647 3: GoogleChromeStandaloneEnterprise64.msi
SOURCEMGMT: Обработка исходного списка URL.
Примечание: 1: 1402 2: UNKNOWN \ URL 3: 2
Примечание: 1: 1706 2: -2147483647 3: GoogleChromeChromeStromeStrome .msi
Примечание: 1: 1706 2: 3: GoogleChromeStandaloneEnterprise64.msi
SOURCEMGMT: не удалось разрешить источник
То, как вы используете GPO для развертывания MSI, действительно отлично работало в эпоху Windows 2000 / XP. Но с тех пор поведение ОС по умолчанию изменилось таким образом, что Windows не ждет, пока сеть заработает, прежде чем разрешить пользователю войти в систему. Таким образом, сеть никогда не работает, когда обрабатывается конфигурация компьютера. Это делало установку MSI на уровне компьютера практически бесполезной.
Рекомендуемый способ - использовать GPO для создания задачи в планировщике задач и использовать MSIEXEC.EXE для запуска установки MSI. Вы можете использовать следующие настройки:
- Программа:
% SystemRoot% \ System32 \ msiexec.exe - Параметры:
/ quiet / qn / norestart / i "<путь к файлу msi>" - Триггер:
1–5 минут после входа пользователя в систему(так что прошло достаточно времени для работы сети) - Условия:
Доступно любое сетевое соединение(убедитесь, что сеть работает) - Запуск от имени
NT AUTHORITY \ SYSTEM(чтобы у него были права локального администратора)
Обратите внимание, что если вместо этого вы решите включить синхронную обработку GPO, компьютер будет загружаться / перезагружаться резко увеличится.
Это можно было бы ожидать, если бы вы не отключили асинхронную обработку групповой политики.
Всегда ждать сети при запуске компьютера и входе в систему
Этот параметр политики определяет, будет ли обработка групповой политики синхронной (то есть, будут ли компьютеры ждать полной инициализации сети во время запуска компьютера и входа пользователя в систему). По умолчанию на клиентских компьютерах обработка групповой политики не синхронна ; клиентские компьютеры обычно не ждут полной инициализации сети при запуске и входе в систему. Существующие пользователи входят в систему с использованием кэшированных учетных данных, что сокращает время входа в систему. Групповая политика применяется в фоновом режиме после того, как сеть становится доступной. Обратите внимание: поскольку это фоновое обновление, расширения, такие как «Установка программного обеспечения» и «Перенаправление папок», требуют двух входов в систему для применения изменений. Для безопасной работы эти расширения требуют, чтобы ни один пользователь не входил в систему. Следовательно, они должны обрабатываться на переднем плане, прежде чем пользователи будут активно использовать компьютер. Кроме того, для обнаружения изменений, вносимых в объект пользователя, таких как добавление пути к перемещаемому профилю, домашнего каталога или сценария входа в объект пользователя, может потребоваться до двух входов в систему. Если пользователь с перемещаемым профилем, домашним каталогом или сценарием входа в систему пользовательского объекта входит в систему на компьютере, компьютеры всегда ждут инициализации сети перед входом пользователя в систему. Если пользователь никогда раньше не входил в систему на этом компьютере, компьютеры всегда ждут инициализации сети. Если вы включите этот параметр политики, компьютеры будут ждать полной инициализации сети, прежде чем пользователи войдут в систему.Групповая политика применяется синхронно на переднем плане.
На серверах под управлением Windows Server 2008 или более поздней версии этот параметр политики игнорируется во время обработки групповой политики при запуске компьютера, и обработка групповой политики будет синхронной (эти серверы ожидают инициализации сети во время запуска компьютера). Если сервер настроен следующим образом, этот параметр политики вступает в силу во время обработки групповой политики при входе пользователя в систему:
• Сервер настроен как сервер терминалов (то есть служба роли сервера терминалов установлена и настроена на сервере) ; и
• Включен параметр политики «Разрешить асинхронную обработку групповой политики пользователей при входе в систему через службы терминалов».
Этот параметр политики находится в разделе Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Групповая политика. Если эта конфигурация не реализована на сервере, этот параметр политики игнорируется. В этом случае обработка групповой политики при входе пользователя в систему выполняется синхронно (эти серверы ожидают инициализации сети во время входа пользователя в систему). Если вы отключите или не настроите этот параметр политики, и пользователи войдут в систему на клиентском компьютере или сервере под управлением Windows Server 2008 или более поздней версии и который настроен, как описано ранее, компьютер обычно не ожидает полной инициализации сети. В этом случае пользователи входят в систему с кэшированными учетными данными. Групповая политика применяется асинхронно в фоновом режиме.
Примечания: -Если вы хотите гарантировать применение параметров перенаправления папок, установки программного обеспечения или перемещаемого профиля пользователя всего за один вход в систему, включите этот параметр политики, чтобы Windows ожидала доступности сети перед применением политика. -Если политика перенаправления папок будет применяться во время следующего входа в систему, политики безопасности будут применяться асинхронно во время следующего цикла обновления, если доступно сетевое подключение.