ey-jo
Goto Top

Adobe Reader GPO Verteilen

Server W2k3 R2
Clients Windows 7

Hallo ich habe grad ein sehr komisches Problem.

Ich möchte Adobe Reader XI über GPO Verteilen. Ich habe die MSI mit der Setup.ini und der MST Datei in einem Ordner dieser ist in einem Ordner drin wo Je
der lesen kann.
So sind die Einstellungen

Daten ermittelt am: 14.02.2013 10:28:21 Alle einblenden

Erstellt 13.02.2013 12:18:56
Verändert 13.02.2013 15:52:04
Benutzerrevisionen 0 (AD), 0 (sysvol)
Computerrevisionen 6 (AD), 6 (sysvol)
Eindeutige Kennung {57A980F5-1680-48FD-AE03-CEB5C381A80A}
Status Aktiviert

VerknüpfungenEinblenden
Speicherort Erzwungen Verknüpfungsstatus Pfad
Kein

Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts.
SicherheitsfilterungEinblenden
Die Einstellungen dieses Gruppenrichtlinienobjekts können nur auf folgenden Gruppen, Benutzer und Computer angewendet werden:Name
NT-AUTORITÄT\Authentifizierte Benutzer
*\Domänencomputer

WMI-FilterungEinblenden
Name des WMI-Filters Kein
Beschreibung Nicht anwendbar

DelegierungEinblenden
Folgende Gruppen und Benutzer haben die angegebene Berechtigung für das GruppenrichtlinienobjektName Erlaubte Berechtigungen Geerbt
NT-AUTORITÄT\Authentifizierte Benutzer Lesen (durch Sicherheitsfilterung) Nein
NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION Lesen Nein
NT-AUTORITÄT\SYSTEM Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein
*\Domänen-Admins Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein
*\Domänencomputer Lesen (durch Sicherheitsfilterung) Nein
*\Organisations-Admins Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein

Computerkonfiguration (Aktiviert)Ausblenden
SoftwareeinstellungenAusblenden
Zugewiesene AnwendungenAusblenden
Adobe Reader XI (11.0.01) - DeutschAusblenden
ProduktinformationenAusblenden
Name Adobe Reader XI (11.0.01) - Deutsch
Version 11.0
Sprache Deutsch (Deutschland)
Plattform Intel
Aktuelle URL http://www.adobe.de/support/main.html

BereitstellungsinformationAusblenden
Allgemein Einstellung
Bereitstellungsart Zugewiesen
Bereitstellungsquelle \\server\Softwareverteilung$\AdobeReader10\AdbeRdr11001_de_DE.msi
Anwendung deinstallieren, wenn sie außerhalb des Verwaltungsbereichs liegt Deaktiviert

Erweiterte Bereitstellungsoptionen Einstellung
Sprache beim Bereitstellen dieses Pakets ignorieren Deaktiviert
Diese 32-Bit-X86-Anwendung für Win64-Computer bereitstellen Aktiviert
OLE-Klasse und Produktinformationen einbeziehen. Aktiviert

Diagnoseinformationen Einstellung
Produktcode {ac76ba86-7ad7-1031-7b44-ab0000000001}
Bereitstellungsanzahl 0

SicherheitAusblenden
BerechtigungenTyp Name Berechtigung Geerbt
Zulassen NT-AUTORITÄT\Authentifizierte Benutzer Lesen Nein
Zulassen *\Domänen-Admins Vollzugriff Nein
Zulassen *\Domänencomputer Vollzugriff Nein
Zulassen NT-AUTORITÄT\SYSTEM Vollzugriff Nein
Zulassen *\Domänen-Admins Lesen, Schreiben Ja
Zulassen *\Organisations-Admins Lesen, Schreiben Ja
Zulassen ERSTELLER-BESITZER Lesen, Schreiben Ja
Zulassen NT-AUTORITÄT\SYSTEM Lesen, Schreiben Ja
Zulassen NT-AUTORITÄT\Authentifizierte Benutzer Lesen Ja
Zulassen NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION Lesen Ja
Zulassen *\Domänencomputer Lesen Ja
Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. Aktiviert

ErweitertAusblenden
Updates Einstellung
Vorhandene Pakete aktualisieren Aktiviert
Pakete, die von diesem Paket aktualisiert werden Gruppenrichtlinienobjekt
Kein

Pakete des aktuellen Gruppenrichtlinienobjekts, durch die dieses Paket aktualisiert wird Kein

Kategorien
Kein

Transform
\\server\Softwareverteilung$\AdobeReader10\AdbeRdr11001_de_DE.mst

Administrative VorlagenAusblenden
Windows-Komponenten/Windows InstallerAusblenden
Richtlinie Einstellung
Immer mit erhöhten Rechten installieren Aktiviert

Diese Einstellung muss für den Computer und den Benutzer gesetzt werden, um erzwungen zu werden.


Benutzerkonfiguration (Aktiviert)Ausblenden
Keine Einstellungen definiert

Ich habe die jetzt grade nicht verknüpft hatte es gestern aber mit ner OU verknüpft.

Es wird auch angezeit beim Starten Adobe wird installiert.

Wird aber unterbrochen.

eventvwr sagt Installation fehlgeschlagen keine Berechtigung.

Allerdings habe ich dann mal das Setup vom Client aus gestartet und es installiert ohne Probleme.

Woran kann es liegen?

Content-ID: 201727

Url: https://administrator.de/forum/adobe-reader-gpo-verteilen-201727.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

Mad-Eye
Mad-Eye 14.02.2013 um 11:52:26 Uhr
Goto Top
Hallo ey-jo,

sieht für mich so aus als hättest du ein Problem mit der Freigabe/Dateirechten auf "\\Server\Softwareverteilung$"
Schau mal auf der MSI und MST unter den effektiven Berechtigungen nach ob die Computerkonten darauf Zugriff haben.

Gruß,
Mad-Eye
departure69
departure69 14.02.2013 um 14:59:08 Uhr
Goto Top
Hallo,

kann es sein, daß "Nur-Lesen" hier nicht ausreicht? Ich bin nicht sicher, aber es könnte doch sein, daß jede Inst. da was ins Log reinschreiben will/soll.

Grüße
DerWoWusste
DerWoWusste 14.02.2013 um 16:38:12 Uhr
Goto Top
@departure
Moin. Nein, in den Pfad wird nie geloggt. Es wäre tödlich, wenn man dort schreiben könnte. Stell Dir vor, ich würde mir Systemrechte ergaunern und dann als System$ dort an dem Paket rumwerkeln, welches an alle verteilt würde! Undenkbar.

@ey-jo
siehe mad-eye, nur genauer: die Freigabe und die NTFS-Rechte prüfen. (Effektive Ber. prüft nur die NTFS-Rechte).
ey-jo
ey-jo 15.02.2013 aktualisiert um 08:24:08 Uhr
Goto Top
Danke für eure Antworten

Leider bekomme ich immernoch folgendes im Eventlog zu sehen.

Die Installationsquelle für dieses Produkt ist nicht verfügbar. Stellen Sie sicher, dass die Quelle vorhanden ist und Sie Zugriff darauf haben.


Ich habe auf dem Ordner Softwareverteilung$ jeder auf Lesen gesetzt. (das hatte ich bereits immer so und hatte bisher auch immer so geklappt)

Nun bin ich direkt in den Ordner Softwareverteilung$/AdobeReader11/ gegangen und habe auf allen Dateien direkt die Freigabe unter Sicherheit für Authentifizierte Benutzer und Domänencomputer gesetzt.

Ich weiß leider nicht weiter.
DerWoWusste
DerWoWusste 15.02.2013 um 09:35:36 Uhr
Goto Top
Prüf doch mal wie vorgeschlagen über "effektive Berechtigungen" die Zugriffsrechte auf das MSI und Softwareverteilung$ und AdobeReader11 für die Domänengruppe "Domänencomputer".
ey-jo
ey-jo 15.02.2013 um 10:36:54 Uhr
Goto Top
Domänencomputer haben auf MSI und Softwareverteilung$ und AdobeReader11 folgende effektiven Berechtigungen:

- Ordner Durchsuchen /Datei Ausführen
- Ordner auflisten / Datei lesen
- Attribute lesen
- Erweiterte Attribute lesen
- Berechtigungen lesen

Ist doch so korrekt oder?
DerWoWusste
DerWoWusste 15.02.2013 um 10:56:09 Uhr
Goto Top
Ja, das ist so ok.
Hm... Teste bitte folgendes, was Aufschluss geben wird: Lad Dir die pstools von Microsoft runter, darin ist psexec.
Dann geh auf einen der betroffenen Clients und starte cmd.exe über Rechtsklickoption "als Administrator ausführen". In der sich öffnenden Shell starte das Kommando
psexec -s -i cmd
...so öffnet sich dann eine weitere Shell mit Systemrechten, ganz so, als wärst Du das Systemkonto...und das ist genau das Konto, was die MSI-Pakete installiert. In dieser neuen Shell Rufst Du nun auf
msiexec /i \\server\Softwareverteilung$\AdobeReader10\AdbeRdr11001_de_DE.msi /t \\server\Softwareverteilung$\AdobeReader10\AdbeRdr11001_de_DE.mst
und schaust mal, was dabei rauskommt.
ey-jo
ey-jo 15.02.2013 aktualisiert um 12:32:53 Uhr
Goto Top
Ganz ehrlich ich verstehs nicht,,, ich habs so gemacht wie du gesagt hast und es wird ganz normal installiert.

Ich habe die GPO wieder aktiviert und bei einem Client getestet ob es geht. Aber es geht leider weiterhin nicht.
DerWoWusste
DerWoWusste 15.02.2013 um 12:51:08 Uhr
Goto Top
Klappt schon noch.
Diagnose, nächster Schritt: Stell die Überwachung von Dateizugriffen am Server ein und schau, ob tatsächlich auf das MSI oder dessen Ordner zugegriffen wird - es sollten Zugriffe von Clientname$ geloggt werden.
So kannst Du auch sehen, ob diese Zugriffe versucht werden, ABER fehlschlagen.
ey-jo
ey-jo 15.02.2013 um 13:54:28 Uhr
Goto Top
Kannst du mir sagen wo ich bzw. wie ich dieses aktiviere?
DerWoWusste
DerWoWusste 15.02.2013 um 14:18:16 Uhr
Goto Top
Am Server ->secpol.msc ->lokale Richtlinie ->Überwachungsrichtlinie ->Überwachen von Objektzugriffen aktivieren für Erfolg und Fehlschalg. Danach auf dem Server für das Verzeichnis, welches hinter der Freigabe mit dem MSI-Paket steht, die Überwachung in den NTFS-Eigenschaften - erweitert anschalten für jeder. Dann testhalber das MSI einmal anstarten auf dem Server - es müsste nun einiges über diesen Zugriff im Sicherheitslog der Ereignisanzeige des Servers zu sehen sein.
ey-jo
ey-jo 15.02.2013 um 14:59:31 Uhr
Goto Top
Die Checkboxen für Erfolgreich und Fehlgeschlagen sind ausgegraut. Ich kann diese nicht aktivieren
DerWoWusste
DerWoWusste 15.02.2013 um 15:01:28 Uhr
Goto Top
Das liegt daran, dass eine Domänen-GPO diese Einstellung gesetzt hat. Starte am Server rsop.msc, schau nach, welche GPO das war und ändere es zu Testzwecken dort und mach ein gpupdate auf dem Client.
ey-jo
ey-jo 15.02.2013 um 15:43:54 Uhr
Goto Top
Das habe ich jetzt gestartet bei Softwareinstallation ist ein gelbes Ausrufezeichen. Versteh ich das richtig muss ich dort unter Überwachungsrichtlinien nachschauen was undter Rangfolge steht? Dort steht Default Domain Controller Policy und da it es auf Keine Überwachung gestllt.

Das heißt diese muss ich dann ändern beim Gruppenrichtlineneditor?
DerWoWusste
DerWoWusste 15.02.2013 um 16:03:33 Uhr
Goto Top
Das heißt diese muss ich dann ändern beim Gruppenrichtlineneditor?
Genau.
Das gelbe ! kannst Du Dir auch mal durchlesen, obwohl es am Server selbst vermutlich nichts zur Sache tut.
ey-jo
ey-jo 18.02.2013 um 11:19:55 Uhr
Goto Top
So habe die Überwachung jetzt aktiviert. Ich bin jetzt am Client unter Sicherheit... kann ich danach suchen?
DerWoWusste
DerWoWusste 18.02.2013 um 11:57:25 Uhr
Goto Top
Ja, kannst Du. STRG+F drücken und nach dem Namen des Ordners oder des MSI-Paketes suchen.
ey-jo
ey-jo 19.02.2013 um 08:15:55 Uhr
Goto Top
Ich finde da leider nichts im log weder aufm dem Server noch auf dem Client. Puh hätte nicht gedacht das so ein popliges Update so viel Probleme machen kann.
DerWoWusste
DerWoWusste 19.02.2013 um 10:05:26 Uhr
Goto Top
Greif am Server auf die MSI zu (starten der MSI) - wenn das nicht geloggt wird, ist die NTFS-Überwachung nicht aktiviert. Ich hatte die beiden Schritte beschrieben, diese müssten dann nochmal geprüft werden.
ey-jo
ey-jo 19.02.2013 um 13:51:25 Uhr
Goto Top
Ja habe ich bereits und es wird auch geloggt... aber beim gpo passiert nichts.
DerWoWusste
DerWoWusste 19.02.2013 um 17:45:44 Uhr
Goto Top
Irgedetwas gibst Du falsch wieder, es kann eigentlich nicht anders sein. Denn:
eventvwr sagt Installation fehlgeschlagen keine Berechtigung.
Der eventvwr zeigt in dieser Meldung ja an, dass auf einen Pfad zugegriffen wird - der Pfad fängt an mit \server\Softwareverteilung$\, vielleicht solltest Du bereits auf den Ordner, der hinter swvert.$ steht, die Überwachung einschalten.
ey-jo
ey-jo 20.02.2013 um 09:47:06 Uhr
Goto Top
Ich hab eben das GPO gelöscht und neu estellt und jetzt hat es sofort geklappt. Danke für deine Hilfe und deine Geduld.
DerWoWusste
DerWoWusste 20.02.2013 um 10:17:04 Uhr
Goto Top
Nichts zu danken.______________________