mario89
Goto Top

Google Chrome via GPO Verteilen

Hallo Leute,

aktuell habe ich ein größeres Problem den Browser "Google Chrome" bei mir zu verteilen. Problem ist, dass dieser Browser auf keinem Client installiert wird.

Wie habe ich die Domain Aufgebaut

OU = HOME58
> OU = Groups
> OU = DESKTOP
> OU = LAPTOP
> Software-Chrome
> OU = Tablet
> OU = Virtuell
> OU = Servers
> OU = Users
> OU = Admin-User
> OU = Std-User

Nun habe ich eine neues Gruppenrichtlinienobjekt wie folgt erstellt:
-> Name: Software-Chrome
---> Inhalt: Computerconfiguration -> Richtlinie -> Softwareverteilung -> Google Chrome (hier wurde der Netzwerkpfad angegeben)
Sicherheitsfilterung:
- Authetifizierte Benutzer
- Domänencomputer

Diese Richtlinie habe ich wie oben gezeigt verknüpft und erzwungen.

Leider aber funktioniert diese nicht. DIe Computer scheinen die Regel schlichtweg zu Ignorieren.

Was mich persönlich nur wundert ist, wenn ich die Regel Userbezogen mache und schiebe sie in die OU Std-User wird Sie sofort angewendet und der Browser installiert.

Habt ihr vielleicht noch eine Idee, wo mein Fehler liegen könnte ?


Danke schon einmal im Voraus.

Content-ID: 349722

Url: https://administrator.de/forum/google-chrome-via-gpo-verteilen-349722.html

Ausgedruckt am: 26.12.2024 um 11:12 Uhr

emeriks
emeriks 21.09.2017 um 20:12:17 Uhr
Goto Top
Hi,
Leider aber funktioniert diese nicht. DIe Computer scheinen die Regel schlichtweg zu Ignorieren.
Erstmal mit "gpresult /r" oder "rsop.msc" sicher prüfen, ob diese GPO angewendet wird.
Habt ihr vielleicht noch eine Idee, wo mein Fehler liegen könnte ?
Hat das Computer-Konto Leserecht für die Installationsdateien?

E.
mario89
mario89 21.09.2017 um 21:23:46 Uhr
Goto Top
Hallo,
danke für die Hinweise.

Habe jetzt die Gruppe Domänencomputer noch in die Freigabe und Sicherheit mit reingenommen.
-> Leider immernoch das gleiche Problem


Wenn ich gpresult /r eingebe, dann erscheint hier lediglich die Richtlinie usr-Netzlaufwerke.
   Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
        usr-Netzlaufwerke

    Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
    ----------------------------------------------------------------------
        Richtlinien der lokalen Gruppe
            Filterung:  Nicht angewendet (Leer)

    Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
    ----------------------------------------------------------
        std-usr
        Jeder
        SophosUser
        Remotedesktopbenutzer
        Benutzer
        INTERAKTIV
        KONSOLENANMELDUNG
        Authentifizierte Benutzer
        Diese Organisation
        LOKAL
        Domänen-Benutzer
        Von der Authentifizierungsstelle bestätigte ID
        Mittlere Verbindlichkeitsstufe


Wenn ich rsop.msc als admin starte, dann kann ich hier die Softwareverwaltung sehen, bei der auch der Chrome installer angezeigt wird. Jedoch ist hier ein Ausrufezeichen zu erkennen.
unbenannt
127941
127941 21.09.2017 um 22:04:54 Uhr
Goto Top
Du kannst ja doch auch ein Skript machen, was zuerst prüft, ob Google Chrome installiert ist, anhand der chrome.exe und dann silent die MSI von google Chrome Enterprise anstößt. Dieses Skript dann bei Conputerkonfi->Windows Einstellungen->Skripts->Starten eintragen. Leider habe ich es anders auch nicht hinbekommen... oder ACMP Demo für 20 PCs holen...
KowaKowalski
KowaKowalski 21.09.2017 um 23:44:57 Uhr
Goto Top
Nabend,


leg Deinen Installer mal unter sysvol ab und passe Deinen Pfad an.


mfg
kowa
xbast1x
xbast1x 22.09.2017 um 07:38:51 Uhr
Goto Top
Alternativ zu Testwecken die Berechtigung Jeder vergeben, prüfen ob die Install auf den Testclients läuft, dann die Berechtigung wieder entziehen. Somit kannst du den Fehler eingrenzen wobei ich von einem Berechtigungsproblem ausgehe.
Yaimael
Yaimael 22.09.2017 um 13:48:04 Uhr
Goto Top
gpresult /r sollte eigentlich die Policie mit aufführen die du erstellt hast.
Da die nicht aufgeführt ist würde ich zuerst dort mal schauen das alles sauber gesetzt ist.
Der Computer an dem du testet ist auch sicher in der richtigen OU?!
Vielleicht auch einfach nochmal ein gpudate /force durchlaufen lassen und schauen was passiert.

Grüße
Yai
emeriks
emeriks 22.09.2017 um 19:53:17 Uhr
Goto Top
Zitat von @Yaimael:
gpresult /r sollte eigentlich die Policie mit aufführen die du erstellt hast.
Da die nicht aufgeführt ist würde ich zuerst dort mal schauen das alles sauber gesetzt ist.
Ich gehe davon aus, dass er bloß vergessen hat, gpresult "als Administrator" auszuführen. Ein Fehler, welcher auf dieser Welt 1,8 Mrd Mal pro Tag gemacht wird.

@mario89
Was steht im Eventlog?
mario89
mario89 24.09.2017 um 04:06:44 Uhr
Goto Top
Hallo Leute,
bitte entschuldigt die späte Rückmeldung.

Habe mir aktuell einmal die Testversion von der empfohlenen Software ACMP geholt. Mit dieser funktioniert alles Tadellos. Paket angelegt und schon kann es problemlos auf die Clients ausgerollt werden.

Was mich ein wenig wundert, ist dass unter Gpresult keine einzige Computerrichtlie angezeigt wird. Jedoch scheint diese im Windows zu greifen (Startseite von IE // aktivierung von RDP).

Wenn ich gpresult /r als Administrator oder als Admin user ausführe erhalte ich lediglich die "antwort", dass der Benutzer keine RSOP-Daten hat.
--> Starte ich nun aber RSOP.msc als Admin, so kann ich alle aktivien Computerrichtlinien einsehen.

Jetzt muss ich an dieser Stelle aber nochmal blöd fragen, da es mir noch nicht ganz klar ist, wo der unterschied zwischen einer Computerrichtlinie und Benutzerrichtlinie (bezogen auf die Softwareverteilung ist).
-> Wenn ich den Chrome als Benutzerrichtlinie (Softwareverteilung) anlege - so wird dieser Installiert.
---> Habe ich einen "nachteil" dadurch wenn ich Ihn so verteilen würde? Bzw. Worin Unterscheided sich die Installation von einer Installation als Computerrichtlinie?

Danke schon einmal im Voraus.
emeriks
emeriks 24.09.2017 aktualisiert um 12:33:52 Uhr
Goto Top
Wenn ich gpresult /r als Administrator oder als Admin user ausführe erhalte ich lediglich die "antwort", dass der Benutzer keine RSOP-Daten hat.
--> Starte ich nun aber RSOP.msc als Admin, so kann ich alle aktivien Computerrichtlinien einsehen.
"als Administrator" meint nicht, dass Du Dich mit diesem User anmelden sollst, sondern die CMD über das Kontextmenü "als Administrator ausführen" starten sollst! In dieser CMD dann "gpresult /r" ausführen. ....

Jetzt muss ich an dieser Stelle aber nochmal blöd fragen, da es mir noch nicht ganz klar ist, wo der unterschied zwischen einer Computerrichtlinie und Benutzerrichtlinie (bezogen auf die Softwareverteilung ist).
Ein MSI-Packet kann man - ganz unabhängig von GPO - für alle Benutzer des Computers installieren oder nur für jenen, welcher das MSI-Packet startet. Das geht nicht immer, hängt von der Art der Software ab und ob das MSI-Packet die Installation per User erlaubt.
Wenn man ein MSI-Packet via GPO per Computer verteilt, dann wird es immer für alle Benutzer des Computers installiert. Wenn man es via GPO per Benutzer verteilt und es die Installation per Benutzer zulässt, dann wird es nur für diesen Benutzer installiert. Andere Benutzer können es dann nicht starten bzw. sehen es erst gar nicht.
So der Plan.
mario89
mario89 24.09.2017 um 12:49:52 Uhr
Goto Top
Alles klar,

vielen Dank für die Auskunft.

Jedoch das mit der Konsole ist mir noch ein Rätsel. Habe diese von meinem Standarduser (kein Admin) über rechtsklick "als Administrator" ausführen aufgerufen.
Jedoch benötige ich dann ja einen Admin user und danach kam der Fehler.

Oder meinst du, dass ich mich direkt mit einem Admin User am PC anmelden soll und den Befehl von dort aus starten ?


Danke für die Gelduld ^^
emeriks
emeriks 24.09.2017 aktualisiert um 16:43:58 Uhr
Goto Top
"Als Administrator ausführen" bedeutet, dass der Prozess mit einem Konto, welches Mitglied der Gruppe "Administratoren" ist, gestartet wird, mit der Möglichkeit, alle Privilegien (Benutzerrechte aus der lokalen Sicherheitrsrichtlinie) zu aktivieren (auch "voll eleviert" genannt).
Punkt 1: Wenn Du gerade mit einem Administrator angemeldet bist, dann wird der Prozess beim Starten über "Als Administrator ausführen" voll eleviert gestartet. Wenn Du nicht mit einem Administrator angemeldet bist, dann kommt zuerst die Frage nach den Anmeldedaten für einen Administrator, mit welchen dann dieser Prozess voll eleviert gestartet wird. Das ist dann genauso wie beim "runas".
Punkt 2: Manche Befehle greifen auf API's zurück, welche durch die Benutzerkontensteuerung (UAC) extra geschützt sind. z.B.
  • "gpresult /r" beim Zugriff auf die RSOP-Daten des Computers oder
  • "robocopy" mit Schalter "/B" oder
  • "takeown", wenn die Besitzübernahme nicht über das in der ACL erteilte Recht möglich ist sondern statt dessen über das Privileg "SeTakeOwnershipPrivilege" ("Übernehmen des Besitzes von Dateien und Objekten") erfolgen muss
Bei aktiviertem UAC können diese Privilegien nur dann von einem Prozess aktiviert werden, wenn dieser voll eleviert gestartet wurde.