gelöst MSI Installation als User auf TS funktioniert nicht

Mitglied: support-it

support-it (Level 1) - Jetzt verbinden

14.08.2020 um 10:56 Uhr, 446 Aufrufe, 44 Kommentare

Guten Tag zusammen,
ich habe eine Frage bezüglich der Installation von einer MSI-Datei auf einem Server 2016 Datacenter Terminalserver.

Wenn ich eine User-Software installieren will, kann ich das als normaler User problemlos. Ich starte die Installation und der Wizard installiert ihn unter AppData. Nun will ich aber bei allen Usern die Software installieren (muss auf User-basis sein, damit gewisse Registry-Einstellungen dafür greifen).

Ich starte die Installation per Powershell-Script (weil UNC-Pfad) mit dem Parameter /passive (start namedermsi.msi /passive). Aber auf dem Terminalserver läuft die Installation nicht erfolgreich durch und bricht ab. Nach einiger Recherche habe ich herausgefunden, dass es abbricht, weil anscheinend aufgrund einer administrativen Richtlinie das verhindert wird.
Ich habe aber sicherlich keine Richtlinie aktiv, die sowas explizit einschränkt (die normale Installation per klick klick klick ok funktioniert). Es muss also eine sein, die irgendwie standardmäßig aktiv ist, ich finde aber keine Infos dazu. Und ich finde auch keine korrekten Google Ergebnisse, vielleicht suche ich auch falsch. Starte ich jedenfalls diese Installation auf dem TS als Domänenadministrator, läuft sie planmäßig durch.

Stelle ich die Situation auf meinem lokalen Win 10 Rechner nach, funktioniert es genauso, wie es soll. Ich habe das Script + die MSI im Netzwerk freigegeben (Jeder lesen) und greife über \\localhost\freigabe\script.ps1 zu. Ich werde gefragt, ob ich das Powershell-Script ausführen will, ich bestätigt das, die Installation läuft sauber durch. Ich bin mit dem User, mit dem ich angemeldet bin, kein lokaler Administrator, bin also als normaler User unterwegs.

Ich habe dann die Idee gehabt, dass PowerShell Scripte auf Terminalservern nicht erlaubt sind, Stichwort Execution Policy. Da ich aber nicht "unrestriced" nutzen wollte, bin ich sogar soweit gegangen und habe das kleine Script mit der internen Zertifizierungsstelle signiert, gleiches Ergebnis.

Kann mir jemand sagen, was hier eventuell falsch läuft?

Vielen Dank im Voraus!

MfG
44 Antworten
Mitglied: DerWoWusste
14.08.2020 um 11:02 Uhr
Hi.

Starte die MSI interaktiv als schwacher (Test-)nutzer auf dem TS - was passiert?
Bitte warten ..
Mitglied: support-it
14.08.2020 um 11:12 Uhr
Hallo,
danke für die schnelle Antwort.
Wie schon gesagt (vielleicht nicht deutlich genug) läuft die Installation als normaler User (gleiche Rechte und z.T. Gruppen wie alle anderen User auch) mit Doppelklick auf die MSI problemlos durch. Ein paar mal klicken und das Ding ist installiert.

Ich würde aber gerne dafür sorgen, dass nicht alle User die Software bekommen, es dürfen nur ausgewählte User die Software bekommen. Aber da wir mehrere Terminalserver haben und mehrere Standorte ist das viel Arbeit, wenn jeder User auf jedem Terminalserver einmal die Installation durchklicken müsste. Daher die Idee, die Installation zu automatisieren; Anmelde-Powershell-Script, das prüft, ob gewisse Dateien vorhanden sind, wenn ja, wird die Installation übersprungen wenn nein, wir sie durchgeführt. Das ist zumindest mal der langfristige Plan. Als erstes wollte ich erstmal dafür sorgen, dass die Installation generell mal durchläuft :D Und daran scheitert es derzeit schon.

Danke!
Bitte warten ..
Mitglied: DerWoWusste
14.08.2020, aktualisiert um 11:16 Uhr
Dann liegt das Problem ja eindeutig im Aufruf durch Powershell.
Was passiert über Batch
msiexec /i \\server\share\dein.msi /qn
Bitte warten ..
Mitglied: support-it
14.08.2020, aktualisiert um 11:32 Uhr
Hi,
es passiert gar nichts. Kein Fenster, kein Fehler, kein Hinweis, kein nichts.
Edit: Und die Software installiert sich natürlich auch nicht, das wäre ja sonst zu einfach :D
Bitte warten ..
Mitglied: Luci0815
14.08.2020, aktualisiert um 11:46 Uhr
/qn zeigt ja auch nix an. Probier mal /qb.

Bitte warten ..
Mitglied: support-it
14.08.2020 um 13:58 Uhr
Hi,
"Der Systemadministrator hat Richtlinien erlassen, um diese Installation zu verhindern."
Welche Richtline kann das sein bzw. ist dafür verantwortlich? Mir wäre nichts bekannt.

Das einzige, was dem am nächsten käme, ist eine GPO, die mal gültig war: dass nur eine bestimmte Usergruppe ein bestimmtes Programm starten darf. Da das aber so viele Negierungen benötigt hatte, wurde diese Regel wieder deaktiviert.
Das war die GPO "Angegebene Windows-Anwendung nicht ausführen", dann wurde die Programm.exe genannt und diese Richtlinie quasi für die Gruppe "ALLE_USER_AUSSER_DIE_DIE_DÜRFEN" gefiltert. Total Banane. Wie gesagt, diese GPO ist aber nicht mehr aktiv.

Hm..es gibt noch die GPO "Einstellungen für die Installation optionaler Komponenten und die Reparatur von Komponenten angeben", die aktiviert ist, damit optionale Komponennten wie Net-Framework o.ä. oder Windows Reparaturen direkt von MS und nicht dem WSUS gezogen werden können.
Die dürfte damit ja nichts zu tun haben, oder?

Danke!
Bitte warten ..
Mitglied: DerWoWusste
14.08.2020 um 14:06 Uhr
Das ist applocker oder eine Softwareeinschränkungsrichtlinie ("SRP").
Einfach am Server ein elevated command Prompt öffnen und dort
abfeuern und in der sich öffnenden Reportdatei nachschauen, ob Applocker oder SRPs aktiv sind und von welcher GPO die stammen.
Bitte warten ..
Mitglied: support-it
14.08.2020 um 14:33 Uhr
Hallo,
es gibt keine Richtline, die dafür verantwortlich ist.
Kann ich hier die gpresult Datei posten oder stehen da zu viele Details drin? Kann ich dir die irgendwie per PM oder so zukommen lassen?`

Danke
Bitte warten ..
Mitglied: DerWoWusste
14.08.2020, aktualisiert um 14:39 Uhr
Öffne sie in notepad. Drücke STRH und H (Suchen und ersetzen), suche gründlich nach Namen/Wörtern, die Du nicnt veröffentlichen willst und ersetze sie durch Dummies. Speichere, uploade hier: https://fromsmash.com/
Bitte warten ..
Mitglied: support-it
14.08.2020, aktualisiert um 14:59 Uhr
fromsmash kenne ich nicht.
Aber ich habe die html-Datei mal angepasst und hier hochgeladen:
https://www.file-upload.net/download-14233608/gp.html.html

Ich finde keine Applocker-Einstellungen o.ä.

Edit: Grml, sehe gerade, dass beim Downloaden das LE Zertifikat abgelaufen ist.
Hier nochmal von einem anderen Hoster:
https://filehorst.de/d/deIAHIiE

Danke
MfG
Bitte warten ..
Mitglied: DerWoWusste
14.08.2020 um 15:07 Uhr
Ok, hab's durchgesehen. Richtig, dort ist keine SRP/Applockerpolicy zu finden.
Deine Meldung kommt auch, wenn das MSI eben doch Adminrechte erfodert, aber die UAC aus ist. Prüf das bitte.

Und bitte bitte, tut euch einen Gefallen und setzt https beim WSUS ein. Das ist schon extrem wichtig!
Bitte warten ..
Mitglied: support-it
14.08.2020 um 15:30 Uhr
Zitat von DerWoWusste:
Ok, hab's durchgesehen. Richtig, dort ist keine SRP/Applockerpolicy zu finden.
Deine Meldung kommt auch, wenn das MSI eben doch Adminrechte erfodert, aber die UAC aus ist. Prüf das bitte.
UAC steht auf Immer benachrichtigen, ist also an. SmartScreen ist auch aus.
Das Problem besteht übrigens bei dem zweiten Terminalserver des Kunden ebenfalls, gleiche Domäne, anderer Standort.

Zitat von DerWoWusste:
Und bitte bitte, tut euch einen Gefallen und setzt https beim WSUS ein. Das ist schon extrem wichtig!
Darf ich fragen, warum? Der WSUS selbst lädt die Updates ja sogar auch über HTTP runter. Sogar die Standardansicht beim WSUS setzt HTTP voraus und man muss SSL erst in den virtuellen Verzeichnissen im IIS aktivieren und dann noch über die Shell SSL aktivieren.

Wir hätten mit der AD Zertifizierungsstelle schon die Möglichkeit, aber warum ist das nötig?

Danke!
Bitte warten ..
Mitglied: DerWoWusste
14.08.2020 um 16:05 Uhr
Gut. Zum ersten Punkt: nimm mal ein MSI, das Adminrechte erfordert, zum Beispiel 7zip und teste damit. Was passiert?
Wg. Wsus: Es gibt wunderbare Exploitkits, die geben sich selbst als WSUS aus und hauen Deinen Kisten die Malware als Updates getarnt um die Ohren. Bekannt seit Ewigkeiten, ausgenutzt seit Ewigkeiten Risiko: hoch. Wahrscheinlichkeit der Ausnutzung: hoch. Abhilfe: simpel: https.

Der WSUS selbst lädt die Updates ja sogar auch über HTTP runter
Hö?
https://docs.microsoft.com/en-us/windows-server/administration/windows-s ...
Siehe 2.1
2.1.1. Connection from the WSUS server to the Internet
If there is a corporate firewall between WSUS and the Internet, you might have to configure that firewall to ensure WSUS can obtain updates. > To obtain updates from Microsoft Update, the WSUS server uses port 443 for HTTPS protocol.
Bitte warten ..
Mitglied: support-it
14.08.2020 um 16:48 Uhr
Zitat von DerWoWusste:
Gut. Zum ersten Punkt: nimm mal ein MSI, das Adminrechte erfordert, zum Beispiel 7zip und teste damit. Was passiert?
Die Installation startet, ich komme zur Auswahl Modify, Repair, Uninstall (7zip ist bereits installiert) und nachdem ich eine Sache ausgewählt habe, fragt di UAC, ob ich Änderungen am Gerät erlauben will. Wenn ich mich mit meinen User-Credentials versuche zu authentifizieren, kommt der Hinweis, dass der Vorgang erhöhte Rechte braucht. So wies sein soll.
Macht ja keinen Sinn, mich an der Stelle als Domänen-Admin zu authentifizieren, oder?

Zitat von DerWoWusste:
Wg. Wsus: Es gibt wunderbare Exploitkits, die geben sich selbst als WSUS aus und hauen Deinen Kisten die Malware als Updates getarnt um die Ohren. Bekannt seit Ewigkeiten, ausgenutzt seit Ewigkeiten Risiko: hoch. Wahrscheinlichkeit der Ausnutzung: hoch. Abhilfe: simpel: https.
https://docs.microsoft.com/en-us/windows-server/administration/windows-s ...
Siehe 2.1
2.1.1. Connection from the WSUS server to the Internet
If there is a corporate firewall between WSUS and the Internet, you might have to configure that firewall to ensure WSUS can obtain updates. > To obtain updates from Microsoft Update, the WSUS server uses port 443 for HTTPS protocol.
Okay, danke. Ich dachte, ich hätte beim WSUS beobachtet, dass er über Port 80 Dateien runterlädt. Vermutlich habe ich mich da getäuscht.

MfG
Bitte warten ..
Mitglied: DerWoWusste
14.08.2020 um 16:59 Uhr
Ja, 7zip braucht ja auch Adminrechte. Nimm doch mal eins, was noch nicht installiert ist, z.B. xml notepad: https://download.microsoft.com/download/6/e/e/6eef2361-33d4-48a2-b52e-58 ...
Bitte warten ..
Mitglied: support-it
14.08.2020 um 17:11 Uhr
Zitat von DerWoWusste:

Ja, 7zip braucht ja auch Adminrechte. Nimm doch mal eins, was noch nicht installiert ist, z.B. xml notepad: https://download.microsoft.com/download/6/e/e/6eef2361-33d4-48a2-b52e-58 ...
Eh, ok, dachte, das wäre das Ziel der Übung.
Jedenfalls, XML Notepad verhält sich gleich (es ist noch nicht installiert): Die Installation startet, ich komme zur Auswahl des Installationsziels und nachdem ich das ausgewählt habe, sagt die Installation Ready to install.
Wenn ich nun auf Install klicke, fragt die UAC, ob ich Änderungen am Gerät erlauben will. Wenn ich mich mit meinen User-Credentials versuche zu authentifizieren, kommt der Hinweis, dass der Vorgang erhöhte Rechte braucht, geht also nicht.

Gibt es eine Einschränkung, die bei Terminalservern gilt, die man erst noch irgendwo deaktivieren muss oder sowas?

Danke...
Bitte warten ..
Mitglied: DerWoWusste
14.08.2020 um 18:53 Uhr
Nee, gibt's nicht. Kannst du das Msi hochladen?
Bitte warten ..
Mitglied: support-it
17.08.2020 um 08:47 Uhr
Zitat von DerWoWusste:

Nee, gibt's nicht. Kannst du das Msi hochladen?
Hi,
ja, das sollte ok sein.

https://www.file-upload.net/download-14237858/Z1GatewayCompanionPerUserS ...

Gibts auch als "per Computer" Installation, aber wenn ich diese installiere, greifen eben die Registry-Einstellungen nicht (weder im CURENT USER Verzeichnis, noch im LOCAL MASCHINE Verzeichnis). Davon ab habe ich damit die Installation auch nicht getestet.
Ist eigentlich nur ein Outlook Plugin, für den Kunden aber wichtig.

Noch irgendwelche Ideen?

Danke
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 17.08.2020 um 10:56 Uhr
Ich habe das nachvollzogen auf einer 2016er Testinstallation - ist bei mir genau so.
msiexec /i paket.msi /qb führt zu "Der Systemadministrator hat Richtlinien erlassen...", während das Selbe auf Win10 einfach geht.
Frag den Entwickler des Paketes, ob es bei ihm auf 2016 Server läuft (vermutlich auch nicht, da meiner jungfräulich ist) und wenn ja, wie.
Bitte warten ..
Mitglied: Luci0815
17.08.2020 um 11:30 Uhr
Wie wäre es damit: https://support.microsoft.com/de-de/help/223300/how-to-enable-windows-in ...

Oder
Abwegig, aber warum nicht: wird .net 3.5 benötigt?
Bitte warten ..
Mitglied: support-it
17.08.2020 um 11:56 Uhr
Zitat von DerWoWusste:

Ich habe das nachvollzogen auf einer 2016er Testinstallation - ist bei mir genau so.
msiexec /i paket.msi /qb führt zu "Der Systemadministrator hat Richtlinien erlassen...", während das Selbe auf Win10 einfach geht.
Frag den Entwickler des Paketes, ob es bei ihm auf 2016 Server läuft (vermutlich auch nicht, da meiner jungfräulich ist) und wenn ja, wie.
Okay, danke fürs Testen. Dann frag ich mal beim Hersteller nach.

Zitat von Luci0815:
Oder
Abwegig, aber warum nicht: wird .net 3.5 benötigt?
Da die Installation per einfachem Doppelklick funktioniert, kann ich das eigentlisch ausschließen. Trotzdem habe ich 3.5 mal installiert, leider selbes Ergebnis.
Hier das Log, das aus dem Befehl generiert wird:

Danke!
MfG
Bitte warten ..
Mitglied: support-it
18.08.2020 um 16:29 Uhr
Zitat von support-it:
Okay, danke fürs Testen. Dann frag ich mal beim Hersteller nach.
Hi,
Also ich habe beim Hersteller nachgefragt und er behauptet, dass für die Installation Adminrechte benötigt werden (was ich ja quasi schon rausgefunden habe - obwohl die Installation mit einem Doppel-Klick funktioniert und auf einem Windows 10 mit Userrechten installiert die Software auch ordentlich).

Daher die nächste Frage, gibt es eine Möglichkeit, das MSI Programm mit Adminrechten auszurollen? Die Installation sollte weiterhin auf User-Basis sein.

Vielen Dank
MfG
Bitte warten ..
Mitglied: DerWoWusste
18.08.2020 um 19:47 Uhr
Was macht das Programm denn, dass es pro User installiert werden muss?
Du willst sicherlich nicht deine Nutzer zu Admins machen, damit sie es installieren können.
Bitte warten ..
Mitglied: support-it
19.08.2020 um 09:03 Uhr
Zitat von DerWoWusste:

Was macht das Programm denn, dass es pro User installiert werden muss?
Du willst sicherlich nicht deine Nutzer zu Admins machen, damit sie es installieren können.
Das Programm ist ein Outlook-Plugin. Das Plugin kann "per Klick" einen speziellen X-Header zu der Mail hinzufügen und anhand diesen X-Header-eintrags wird die Mail speziell geroutet. Entweder einfach zum Smarthoster oder zu einem s.g. Messenger, der die sichere Kommunikation mit externen Koop-Partnern ermöglicht.
Und dieser X-Header setzt 3 Registry-Einstellungen voraus, die nach meinen Tests nur auf User-basis gelten. Und außerdem darf nicht jeder User diese Art von Mails verschicken. Es gibt einen ausgewählten Personenkreis. Außerdem spielt auch die Zahl der Lizenzen für diese Mailverfahren eine Rolle.

Nein, ich will auf keinen Fall jeden relevanten User zum Admin machen.
Gibt es denn eine Möglichkeit, mithilfe eines Scripts oder so tempoäre Adminrechte nur für die Installation zu genehmigen?

Danke
MfG
Bitte warten ..
Mitglied: DerWoWusste
19.08.2020 um 09:06 Uhr
Gibt es denn eine Möglichkeit, mithilfe eines Scripts oder so tempoäre Adminrechte nur für die Installation zu genehmigen?
Nein. Du kannst jedoch MSI Usern per GPO zuweisen, so dass diese von Nichtadmins über den Weg appwiz.cpL installiert werden können (ruf das mal auf, da gibt es einen Bereich "Programme vom Netzwerk installieren, wo das dann auftauchen würde).

Aber warum das Ganze: wenn es nur um die Verteilung von einer Plugindatei und 3 Registryeinträgen geht, dann mach das lieber per Group Policy Preferences.
Bitte warten ..
Mitglied: support-it
19.08.2020 um 09:34 Uhr
Bevor ich den Usern erzähle, wie sie appwiz.cpl aufrufen und dort ein Programm installieren, lege ich lieber eine Verknüpfung zu der MSI auf den Desktop der Benutzer und sage, bitte einmal doppelt anklicken, hat den gleichen Effekt. Bei der Installation muss nur ein paar mal auf weiter und am Ende auf ok geklickt werden. Das muss dann halt der Kunde einmal als Dienstanweisung festlegen. Problem ist halt die Menge an Usern und Terminalservern.
Bitte warten ..
Mitglied: DerWoWusste
19.08.2020, aktualisiert um 09:38 Uhr
Wie Du meinst. Meinen zweiten Vorschlag hast Du verstanden?
Nebenbei: bei mir lässt es sich als User nicht installieren über Doppelklick. Es kommt der selbe Fehler - da es ein frisches System ist, wird es sicherlich bei Dir ebenso wenig funktionieren bei Nichtadmins.
Bitte warten ..
Mitglied: support-it
19.08.2020 um 10:18 Uhr
Zitat von DerWoWusste:

Wie Du meinst. Meinen zweiten Vorschlag hast Du verstanden?
Nebenbei: bei mir lässt es sich als User nicht installieren über Doppelklick. Es kommt der selbe Fehler - da es ein frisches System ist, wird es sicherlich bei Dir ebenso wenig funktionieren bei Nichtadmins.
Ehm, ich bin bisher davon ausgegangen, dass die Installation als normaler User durchläuft. Ich habe noch gar nicht die eigentliche Installation bis zum Ende durchgeführt. Mir hat bisher gereicht, dass der Install-Wizard überhaupt ausgeführt wird ._.
Okay, dann betrifft das trotzdem nur Server 2016. Bei Windows 10 läuft die Installation druch. Danke für den Hinweis!

Wie kann ich die Plugin-Datei per GPP verteilen? Angenommen, der Weg wäre Einstellungen > Windows-Einstellungen > Anwendungen > Neu > Anwendung, kann ich an dieser Stelle keine weiteren Einstellungen vornehmen, es öffnet sich nichts, wenn ich auf Anwendung klicke.
Die Registry-Werte verteile ich damit schon und funktioniert auch. Es fehlt nur noch die Installation des Plugins.

Danke
Bitte warten ..
Mitglied: DerWoWusste
19.08.2020 um 11:00 Uhr
https://social.technet.microsoft.com/Forums/security/en-US/65f67962-582a ... - muss im Nutzerabteil der GPO gemacht werden, nicht im Computerabteil.
Bitte warten ..
Mitglied: support-it
19.08.2020, aktualisiert um 12:01 Uhr
Zitat von DerWoWusste:

https://social.technet.microsoft.com/Forums/security/en-US/65f67962-582a ... - muss im Nutzerabteil der GPO gemacht werden, nicht im Computerabteil.
Hi, danke, das Kopieren hat soweit funktioniert. Nun liegt die entsprechende .dll mit allen Dateien im korrekten Verzeichnis.

Ich habe jetzt nur die "Daten" des Addins, muss dieses aber noch irgendwie dem Outlook bekannt machen. Ich habe die 2016er Office admx Files im Einsatz, dort gibt es die GPO "Liste der verwalteten Add-Ins", aber die scheint nur zu funktionieren, wenn das Addon quasi schon installiert ist und damit forciert werden kann. Ich nehme an, dass das MSI diese Aufgabe erledigen würde.

Gibt es nun noch die Möglichkeit, das Addon automatisch hinzuzufügen und zu aktivieren? Oder muss ich diese Registry-Einstellungen auch nachbauen...wenn das überhaupt möglich ist, ohne Entwickler vom MSI zu sein.

Vielen Dank!
MfG
Bitte warten ..
Mitglied: DerWoWusste
19.08.2020 um 13:22 Uhr
Nimm Dir ein Programm, welches anzeigt, was das MSI alles tut: Microsoft Orca oder InstEd
Diese Aktionen dann nachbauen.
Bitte warten ..
Mitglied: support-it
19.08.2020, aktualisiert um 16:31 Uhr
Zitat von DerWoWusste:

Nimm Dir ein Programm, welches anzeigt, was das MSI alles tut: Microsoft Orca oder InstEd
Diese Aktionen dann nachbauen.
Hallo,
ich denke nicht, dass es mir möglich sein wird, die Installation einer Software nach zu bauen.

Könntest du mir bitte noch sagen, wie ich
Zitat von DerWoWusste:
appwiz.cpl aufrufen und dort ein Programm installieren
korrekt umsetze?
Ich habe die MSI-Software als Benutzer-GPO angelegt und auf die OU eines Test-Users gelegt (getestet sowohl mit veröffentlichen als auch zuweisen). Nach einigen Minuten warten und ab - und anmelden sowie einem gpupdate /force, habe ich als User nicht die Möglichkeit, das MSI über appwiz.cpl zu installieren (es erscheint nicht in der Liste). Ich krieg hier noch die Krise.

Wenn ich die GPO "Immer mit erhöhten Rechten installieren" aktiviere, gilt das dann nur für MSI-Dateien oder generell für Programme?

Danke
Bitte warten ..
Mitglied: DerWoWusste
19.08.2020 um 16:41 Uhr
ich denke nicht, dass es mir möglich ist, die Installation einer Software nach zu bauen.
Orca würde dir zeigen, welche Dateien kopiert werden und welche Registrywerte gesetzt werden - mehr brauchst Du doch nicht. Hast Du es dir in orca überhaupt angesehen?

Ich habe es getestet mit dem an User assignen - geht.
Nutzer nicht publish oder assign, sondern advanced, setze dann folgenden Haken:
capture - Klicke auf das Bild, um es zu vergrößern
und dann läuft das unter appwiz.cpL:
1 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: support-it
20.08.2020, aktualisiert um 11:01 Uhr
Hi,
ich bin kein Anwendungsentwickler und kenne mich weder mit MSI-Dateien, noch mit Orca oder IntEd aus. Aber ich habe gestern ein paar Minuten in InstEd und heute ein paar Stunden in Orca verbracht. Die Registry-Einträge habe ich auch gefunden, allerdings ist mir nicht klar, wie z.B. ein Pfad zu %username%\Appdata\local\.....dll generiert wird. Der steht z.b. nirgends zumindest für mich als nicht-programmierer erkennbar drin.
Nurmal so:
Der codeBase Wert erstellt in der "echten" Registry einen vollständige Pfad file:///usw/usf.dll

orca1 - Klicke auf das Bild, um es zu vergrößern

Wenn ich nach 0426DE3ACBF4E3DE2ED77582F6466F18 suche, finde ich z.b. sowas wie Z1GATE~1.DLL|Z1GatewayCompanion.dll oder Verweise auf andere...Hash-Werte, oder was auch immer diese Werte sind. Für mich nicht nachvollziehbar.


Anyway, ich habe die Richtlinie neu erstellt, aber sie funktioniert nicht.

Mein Vorgehen:
Es existiert eine Sicherheitsgruppe, wo alle User drin sind, die später die Software bekommen sollen, unter anderen der test-User ist drin.
Es existiert eine GPO, die im Bereich Benutzerkonfiguration > Softwareinstellungen die MSI mit deinen o.g. Einstellungen veröffentlicht. Diese Gruppenrichtlinie dürfen Authentifizierte User lesen, und die Sicherheitsgruppe darf diese lesen und übernehmen.
Diese GPO wiederum liegt auf einer OU, in der nur der Test-User ist. Die Richtlinie ist aktiv und sie ist verknüpft. Ein gpresult zeitgt auch, dass die GPO für den test-User angewandt wird.
Trotzdem erscheint das Programm nicht. Auf die Freigabe, wo das MSI liegt, hat "jeder" lesen-Zugriff, NTSF-seitig haben authentifizierte Benutzer Lesen Recht.

Habe ich hier einen Gedankenfehler? Mache ich etwas falsch?

Danke für deine Hilfe und Geduld!
MfG
Bitte warten ..
Mitglied: DerWoWusste
20.08.2020 um 11:52 Uhr
Du machst alles richtig.
Als User am TS öffne mal cmd und schreibe
Taucht die Anwendung auch im Resultat auf an folgender Stelle (hier englisch):
capture - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: support-it
20.08.2020 um 12:52 Uhr
Zitat von DerWoWusste:
Als User am TS öffne mal cmd und schreibe
Taucht die Anwendung auch im Resultat auf an folgender Stelle (hier englisch):
capture - Klicke auf das Bild, um es zu vergrößern
Nein, ich sehe diesen Eintrag nicht. Ich sehe nur den Namen des "Angewandten Gruppenrichtlinienobjekts", aber nicht die eigentliche Policy. Ich muss in der GPO selber nicht noch die Sicherheitsgruppe hinzufügen, oder? In den Eigenschaften der veröffentlichten MSI gibt es ja auch noch einen Sicherheits-Reiter.
Hm..wir haben in der Domäne 3 Standorte mit unterschiedlichen Subnetzen. Könnte es theoretisch sein, dass die Anmeldung am Terminalserver bei einem anderen DC nachfragt, der von dort aus dann keinen Zugriff auf den UNC-Pfad hat (weil Firewall/Routing)? Der Terminalserver und der AD sowie der Fileserver mit der Deployment-Freigabe befinden sich im gleichen Subnetz, am gleichen Standort. Die Standorte sind auch ordentlich konfiguriert.

Was könnte das Problem sein?
Danke
MfG
Bitte warten ..
Mitglied: DerWoWusste
20.08.2020, aktualisiert um 13:29 Uhr
Berechtige jetzt den Testuser einmal direkt mit "GPO lesen und übernehmen" und teste erneut.
Bitte warten ..
Mitglied: support-it
20.08.2020 um 14:20 Uhr
Zitat von DerWoWusste:

Berechtige jetzt den Testuser einmal direkt mit "GPO lesen und übernehmen" und teste erneut.
Grml, funktioniert noch immer nicht.

Ich habe die Geschichte auch inzwischen bei unserer eigenen internen Domäne nachgebaut, dort funktioniert es wunderbar. Ich glaube, ich gebe an der Stelle auf und schaue mir das irgend ein ander mal nochmal an.
Ich habe nun testweise die beiden GPOs "Immer mit priviligierten Rechten ausführen" getestet, und damit funktioniert die Installation zufriedenstellend. Ich denke, ich werde es so umsetzen, dass diese Regel für ein paar Stunden / Tage aktiv ist, bis jeder User auf jedem TS das Plugin installiert hat, und danach deaktiviere ich die GPO wieder. Erfreulicherweise betrifft das nur .MSI-Dateien, .EXE-Dateien brauchen nach wie vor Adminrechte.

Also, vielen Dank und wenn dir oder jemand anderem noch etwas einfällt, gerne darauf hinweisen.

MfG
Bitte warten ..
Mitglied: DerWoWusste
20.08.2020 um 14:36 Uhr
Ich denke, ich werde es so umsetzen, dass diese Regel für ein paar Stunden / Tage aktiv ist,
Wie Du meinst. Wenn User findig sind, dann scannen Sie den Rechner nach dieser Einstellung und nutzen das gnadenlos aus und übernehmen den Server. Nicht unrealistisch, also Vorsicht!
Bitte warten ..
Mitglied: support-it
20.08.2020 um 22:40 Uhr
Oh mein Gott, ich habe die Lösung. Reproduzierbar. Nachdem die Installation der blöden MSI selbst als User mit lokalen Adminrechten nicht funktioniert hat (abgesehen vom "Administrator"-User) und inzwischen Feierabend war, habe ich bis jetzt in meiner Testumgebung das Problem genauer überprüft.

Ich habe bei mir einen Server 2019 installiert, reine Workgroup, keine Domäne, mit dem integrierten Administrator und einem normalen User "Test".

Um mich zusätzlich von Zertificon zu trennen, habe ich die MSI-Installation von VLC genutzt:
Die 64 bit Version von hier:
https://www.vlc.de/download/vlc/msi/

Test-Vorgehen:
  • Test-User zur Remotedesktopbenutzergruppe hinzugefügt, RDP in Firewall erlaubt
  • mit Test-User per RDP auf den Workgroup-Server
  • in normaler CMD msiexec /i c:\test\vlc-3.0.4-win64.msi /lvx install.log
Installation durchgeklickt und am Ende Fehler bekommen, dass die Installation wegen einer administrativen Richtlinie verhindert wird
  • Test-User abgemeldet
  • Als Administrator eingelogt und test-User zur lokalen Admingruppe hinzugefügt
  • mit Test-User per RDP auf den Workgroup-Server
  • in normaler CMD msiexec /i c:\test\vlc-3.0.4-win64.msi /lvx install.log
Installation durchgeklickt und am Ende Fehler bekommen, dass die Installation wegen einer administrativen Richtlinie verhindert wird (als Administrator!)
  • Abgemeldet, wieder als Administrator eingelogt und in lokaler GPO die beiden User+Computer Richtlinien gesetzt "Immer mit erhöhten Rechten installieren" unter \Administrative Vorlagen\Windows Komponenten\Windows Installer\
  • mit Test-User per RDP auf den Workgroup-Server
  • in normaler CMD msiexec /i c:\test\vlc-3.0.4-win64.msi /lvx install.log
  • Installation durchgeklickt und am Ende Fehler bekommen, dass die Installation wegen einer administrativen Richtlinie verhindert wird (als Administrator! Sogar mit der GPO für priviligierte Installationen!!!)

An der Stelle habe ich angefangen genauer nach dem Fehler zu suchen und bin hier auf den Hinweis gestoßen:
https://www.borncity.com/blog/2014/02/10/windows-installer-troubleshooti ...
https://docs.microsoft.com/en-us/windows/win32/msi/disablemsi

In der Regsitry war der Eintrag DisableMSI NICHT gesetzt, müsste also laut Microsoft alle Installationen erlauben.

Zitat:

if the policy value is Null, absent, or any number other than 1 or 2 [...]
On Windows XP, Windows Vista, and Windows 7, the Windows Installer is enabled for all applications. All install operations are allowed.

Ich habe den Registry-Eintrag DisableMSI gesetzt und den Wert auf 0 gelassen.
  • in normaler CMD msiexec /i c:\test\vlc-3.0.4-win64.msi /lvx install.log
  • Installation durchgeklickt und am Ende war die Installation erfolgreich

WTF?

Ich bin nun hin und habe alle anderen Schritte schrittweise rückgängig gemacht. DisableMSI Registry-Wert wieder gelöscht, Deinstallation von vlc nicht möglich. Eintrag wieder hinzugefügt, Deinstallation wieder möglich.
User abgemeldet, als Admin angemeldet und Test-User wieder zum normalen User gemacht, Installation mit einer normalen cmd unter Test-User nach wie vor möglich!

Das einzige Problem ist in dem Fall nachwievor: Wenn ich die GPO für die erhöhten Rechte entferne, schlägt die Installation wieder fehl, trotz gesetztem DisableMSI Eintrag.
Also für den Fall, dass jemand über diesen Thread stoßt, ich musste "Immer mit erhöhten Rechten installieren" unter \Administrative Vorlagen\Windows Komponenten\Windows Installer aktivieren, sowie "Windows Installer deaktivieren" - aktivieren und auf "Nie" stellen.

Nachdem ich diese Info nun habe, versuche ich morgen nochmal die Softwarebereitstellung mit ebenfalls aktiviertem DisableMSI Wert. Irgendwas scheint Microsoft bei Server 2016 und 2019 (2012 und früher habe ich nicht getestet) anders zu sehen als bei Win 10 Client-PCs. Denn nochmal, auf einem Windows 10 hat die Installation der MSI mit normalen Benutzer-Rechten funktioniert. Nur auf den Server-Versionen hat das nicht funktioniert.

Hoffentlich kann ich damit jemanden helfen.
Danke für die Hilfe.

MfG
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 21.08.2020, aktualisiert um 09:05 Uhr
Ich habe mittlerweile getestet, dass die Zuweisung per GPO an User auf Server 2016 funktioniert, wenn man es einstellt wie im Bild:
capture - Klicke auf das Bild, um es zu vergrößern
Hattest Du vielleicht im Zuge deiner Tests auch schon gemacht.
Ich rate weiterhin schwer davon ab, die Policy zu setzen, dass MSIs immer mit den Rechten des Installerdienstes installiert werden, aber man könnte es ja temporär erlauben:
Ein immediate scheduled Task läuft bei Anmeldung des Nutzers als Nutzer und triggert einen weiteren Task (der mit hohen Rechten läuft), der den Registrywert setzt, der zur Policy "Immer mit erhöhten Rechten installieren" gehört. Dann kommt msiexec /i dein.msi /qn und danach wird wieder ein Task mit hohen Rechten angetriggert, der den Registrywert entfernt.
Wird funktionieren und löst Dein Problem hinreichend sicher.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 21.08.2020 um 09:32 Uhr
So, hier nun die Lösung.

2016er Server Teil der Domäne.
User mit Userrechten.
Registrywert NoMSI auf Null gesetzt - sonst nichts weiter! KEIN "Immer mit erhöhten Rechten installieren" nötig.

Anmeldeskript mit
Bitte warten ..
Mitglied: support-it
21.08.2020 um 10:42 Uhr
Zitat von DerWoWusste:

So, hier nun die Lösung.

2016er Server Teil der Domäne.
User mit Userrechten.
Registrywert NoMSI auf Null gesetzt - sonst nichts weiter! KEIN "Immer mit erhöhten Rechten installieren" nötig.

Anmeldeskript mit
Jap, das wars. Ich habe nicht daran gedacht, den cmd Befehl für die Installation zu nutzen.
Ich habe das Vorgehen bei unserem 2019er Terminalserver mit einem Test-User nachgestellt, die Installation läuft erfolgreich durch.

Aber schon ein komisches Verhalten, oder? Dass man extra diesen Registry-Wert setzen muss? Obwohl das laut Microsoft nicht nötig wäre...

Vielen Dank für die Hilfe!

MfG
Bitte warten ..
Mitglied: DerWoWusste
21.08.2020 um 10:53 Uhr
Ja, ist schon komisch, ein klarer Bug.
/qn geht übrigens auch, dann sehen die Nutzer gar nichts von der Installation.
Bitte warten ..
Ähnliche Inhalte
Windows Server
TS User starten zeitgesteuert
Frage von RaGuKroWindows Server7 Kommentare

Hallo, Kann ich Terminalserver User zeitgesteuert starten? Wenn ja, wie? Unsere Mitarbeiter verbinden sich per RDP auf Terminalservern und ...

Windows Server

TeamViewer 11 MSI Installation schlägt fehl

Frage von 131361Windows Server13 Kommentare

Hallo zusammen, versuche gerade krampfhaft den Teamviewer 11 zu deinstallieren. Erhalte daraufhin folgende Fehlermeldung: Auch die Neuinstallation von Teamviewer ...

Windows Server

User auf TS für das Internet sperren

Frage von RP-BerlinWindows Server30 Kommentare

Guten Morgen, wir würden gern einen User auf dem Terminalserver (2016) für die Nutzung des Internet sperren, wissen aber ...

Microsoft Office

Office 2016 MSI-Installation und Visio 2019 Pro

Frage von der-suchendeMicrosoft Office1 Kommentar

Hallo, ich habe etliche PCs mit Windows 10 und Office 2016 Std., installiert via MSI-Installer mit Volumen Key (MAK). ...

Windows 7

Referenz Installation User anlegen in install.wim

gelöst Frage von akadawaWindows 712 Kommentare

Hallo, ich würde gerne nachträglich zu meiner konfigurierten Windows 7 Referenz-Installation zwei User bei der Installation anlegen lassen. Wie ...

Webbrowser

Neuer Edge Chromium - Installation mittels MSI + den alten Edge gleich mitentsorgen

gelöst Frage von TuXHunt3RWebbrowser7 Kommentare

Tag zusammen Hat jemand von euch schon herausgefunden, wie man den neuen Edge Chromium (Stable-Version) mittels MSI gleich so ...

Heiß diskutierte Inhalte
Notebook & Zubehör
Macbook oder Surface Book 3?
gelöst Frage von FamousDex089Notebook & Zubehör36 Kommentare

Hallo Zusammen :-), ich bin komplett neu in der IT Admin schiene und neu in diesem Forum. Ich habe ...

Outlook & Mail
Outlook App auf Android
gelöst Frage von PeterGygerOutlook & Mail21 Kommentare

Hallo Folgende Situation: Samsung S3 Samsung S5 Mini Die Microsoft Outlook App kann nicht mehr gestartet werden. Es waren ...

Humor (lol)
So eine Art Jobangebot
Frage von Melvin.van.HorneHumor (lol)18 Kommentare

Moin, ich habe eben eine Zeit damit zugebracht eine GPO für eine Gruppe von Clients zu erstellen. Egal was ...

Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
Frage von ipzipzapSwitche und Hubs17 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

SAN, NAS, DAS
Probleme mit der GIGABIT Leitung - Finden der Krücke - Wer ist schuld ?
gelöst Frage von daswinimramSAN, NAS, DAS16 Kommentare

Hallo Community , folgender Aufbau : "erfolgreich" umgestellt auf Gigabit Tarif am 26.09.20 Speedtests wurden von allen PCs hinter ...

Windows Server
AD (virtualisiert) und alle angeschlossenen Clients fahren ungeplant herunter
Frage von tobitobsnWindows Server16 Kommentare

Ich habe aktuell ein Problem, dass ein frisch aufgesetzer Hyper-V mit einem virtualisierten AD regelmäßig 1x die Woche herunterfährt ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT