MSI Paketinstallation per GPO wirkt nicht! Richtlinien, Berechtigung, AD, Windows Server 2019
Erstmal guten Tag miteinander,
ich habe ein Problem mit der Installation von MSI Paketen über die GPO.
Einleitung:
Ich habe 3 VMs aufgesetzt, 1 DC und 2 Clients. Alle der Domäne hinzugefügt. Keine Internetverbindung, da es erstmal nur ein Test sein soll.
Windows Server 2019, 2x Windows 10
Meine Schritte:
Active Directory -> Users -> neue Gruppe hinzugefügt "IT" -> Eigenschaften "IT" -> Mitglieder hinzufügen -> 2 User hinzugefügt
Dann habe ich einen Ordner in meinem DC erstellt unter Dokumente, da habe ich dann 3 MSI Dateien hinzugefügt, dann auf Eigenschaften, auf Freigabe und erweiterte Freigabe und den Haken bei "Diesen Ordner freigeben" angeklickt. Berechtigungen hinzugefügt "Authentifizierte Benutzer" gelassen und meine Gruppe "IT" mit Vollzugriff hinzugefügt. Dann auf übernehmen und dann auf Sicherheit und dort dann auch die Gruppe "IT" mit Vollzugriff hinzugefügt. Dann bin ich in die Gruppenrichtlinienverwaltung gegangen und habe unter meiner Domäne einen neuen Gruppenrichtlinienobjekt erstellt, den auch "IT" benannt und bearbeitet, unter Benutzerkonfiguration Softwareinstallation habe ich dann meine MSI Pakete aus dem Netzwerkfreigabe Ordner hinzugefügt. Bereitstellung ist auf "veröffentlicht". Dann unter Sicherheitsfilterung "Authentifizierte BEnutzer" gelöscht und Gruppe "IT" hinzugefügt.
Nun sollte es eigentlich, wenn ich mich mit einem Benutzer aus der Gruppe "IT" anmelde und in cmd "gpupdate /force" durchführe nach einem Neustart abfragen, damit die Einstellungen übernommen werden, dies tut es aber nicht.
Kann mir einer helfen oder mir einen Tipp geben? Habe ich irgendwas übersehen? Liegt es vielleicht daran, dass die Benutzer bei einer Installation nach einem Usernamen und Passwort gefragt werden, weil es tut sich überhaupt nichts, wenn ich den Befehl ausführe, außer dass da steht "Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen". Kein Neustart, keine Installation, kein anderer Output..
Danke schon mal im voraus!
ich habe ein Problem mit der Installation von MSI Paketen über die GPO.
Einleitung:
Ich habe 3 VMs aufgesetzt, 1 DC und 2 Clients. Alle der Domäne hinzugefügt. Keine Internetverbindung, da es erstmal nur ein Test sein soll.
Windows Server 2019, 2x Windows 10
Meine Schritte:
Active Directory -> Users -> neue Gruppe hinzugefügt "IT" -> Eigenschaften "IT" -> Mitglieder hinzufügen -> 2 User hinzugefügt
Dann habe ich einen Ordner in meinem DC erstellt unter Dokumente, da habe ich dann 3 MSI Dateien hinzugefügt, dann auf Eigenschaften, auf Freigabe und erweiterte Freigabe und den Haken bei "Diesen Ordner freigeben" angeklickt. Berechtigungen hinzugefügt "Authentifizierte Benutzer" gelassen und meine Gruppe "IT" mit Vollzugriff hinzugefügt. Dann auf übernehmen und dann auf Sicherheit und dort dann auch die Gruppe "IT" mit Vollzugriff hinzugefügt. Dann bin ich in die Gruppenrichtlinienverwaltung gegangen und habe unter meiner Domäne einen neuen Gruppenrichtlinienobjekt erstellt, den auch "IT" benannt und bearbeitet, unter Benutzerkonfiguration Softwareinstallation habe ich dann meine MSI Pakete aus dem Netzwerkfreigabe Ordner hinzugefügt. Bereitstellung ist auf "veröffentlicht". Dann unter Sicherheitsfilterung "Authentifizierte BEnutzer" gelöscht und Gruppe "IT" hinzugefügt.
Nun sollte es eigentlich, wenn ich mich mit einem Benutzer aus der Gruppe "IT" anmelde und in cmd "gpupdate /force" durchführe nach einem Neustart abfragen, damit die Einstellungen übernommen werden, dies tut es aber nicht.
Kann mir einer helfen oder mir einen Tipp geben? Habe ich irgendwas übersehen? Liegt es vielleicht daran, dass die Benutzer bei einer Installation nach einem Usernamen und Passwort gefragt werden, weil es tut sich überhaupt nichts, wenn ich den Befehl ausführe, außer dass da steht "Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen". Kein Neustart, keine Installation, kein anderer Output..
Danke schon mal im voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4544093897
Url: https://administrator.de/forum/msi-paketinstallation-per-gpo-wirkt-nicht-richtlinien-berechtigung-ad-windows-server-2019-4544093897.html
Ausgedruckt am: 25.12.2024 um 13:12 Uhr
15 Kommentare
Neuester Kommentar
Moin,
klarer Fall: Softwareinstallationen per GPO sind zunächst einmal in den Computerobjekten zu finden.
Es bringt also nicht, Gruppen zu GPO hinzuzufügen, in denen nur User-Objekte enthalten sind.
Zweitens: Startet der Rechner, ist kein User angemeldet, folglich kann die Userabhängige GPO an einem Computerobjekt (noch) nicht angewandt werden.
Ausnahme: man hat sich mal mit dem Loopback-Modus beschäftigt.
Hast du im Reiter "Bereitstellung von Software" die Zuweisung sowie "Anwendung bei Anmeldung installieren" aktiviert?
https://community.spiceworks.com/topic/778449-install-software-for-a-lis ... (Post von Darren (SDM Software)
Fürs Troubleshooting:
CMD als Admin öffnen --> GPRESULT /R --> Ergebnis analysieren
Gruß
em-pie
Es bringt also nicht, Gruppen zu GPO hinzuzufügen, in denen nur User-Objekte enthalten sind.
Zweitens: Startet der Rechner, ist kein User angemeldet, folglich kann die Userabhängige GPO an einem Computerobjekt (noch) nicht angewandt werden.
Ausnahme: man hat sich mal mit dem Loopback-Modus beschäftigt.
Hast du im Reiter "Bereitstellung von Software" die Zuweisung sowie "Anwendung bei Anmeldung installieren" aktiviert?
https://community.spiceworks.com/topic/778449-install-software-for-a-lis ... (Post von Darren (SDM Software)
Fürs Troubleshooting:
CMD als Admin öffnen --> GPRESULT /R --> Ergebnis analysieren
Gruß
em-pie
Meine Güte, was tust Du da nur...
Mach Dir bitte klar, dass Du NIEMALS Nutzern Schreibrechte geben darfst auf Freigaben, von denen andere Nutzer/Rechner installieren! Du lieferst damit eine Steilvorlage für die Übernahme deines Netzwerks.
Geh so vor:
MSI auf eine Freigabe legen, wo authentifizierte Nutzer bzw. die Gruppe von Computern, welche Deine ausgewählten Nutzer nutzen, Leserechte haben.
GPO erstellen und im Bereich Computerkonfiguration das MSI hinzufügen.
Auf einem Testclient auf einem elevated command prompt
gpupdate /target:computer
ausführen und danach neu starten
Mach Dir bitte klar, dass Du NIEMALS Nutzern Schreibrechte geben darfst auf Freigaben, von denen andere Nutzer/Rechner installieren! Du lieferst damit eine Steilvorlage für die Übernahme deines Netzwerks.
Geh so vor:
MSI auf eine Freigabe legen, wo authentifizierte Nutzer bzw. die Gruppe von Computern, welche Deine ausgewählten Nutzer nutzen, Leserechte haben.
GPO erstellen und im Bereich Computerkonfiguration das MSI hinzufügen.
Auf einem Testclient auf einem elevated command prompt
gpupdate /target:computer
ausführen und danach neu starten
Das ist keine Fehlermeldung, sondern ein Hinweis darauf, dass Du nun neu starten musst, damit die Software installiert wird, wie schon von mir gefordert. Völlig normal.
Und bitte nicht herunterfahren und wieder anschalten, sondern wirklich im Startmenü auf "neu starten" klicken - das macht einen Unterschied.
Und bitte nicht herunterfahren und wieder anschalten, sondern wirklich im Startmenü auf "neu starten" klicken - das macht einen Unterschied.
komisch. Musste 2x neustarten, dann hat es geklappt.
Es ist nicht selten, dass man 2 Neustarts braucht, denn: Microsoft hat die Startweise von Windows vor vielen Jahren stark beschleunigt. Darunter leiden leider diverse Features, so auch dieses: es ist nicht mehr 100% sicher, dass es beim nächsten Neustart klappt. [nun kommen wieder alle und empfehlen die GPO "immer auf das Netzwerk warten" zu aktivieren - nein, bringt hier nichts]Gibt es trotzdem einen Weg dies per Benutzerkonfiguration installieren zu lassen?
Jein. Du kannst Benutzern Pakete zuweisen und ja, die können diese dann auch ohne Adminrechte zu besitzen installieren. Dafür müssen Sie aber so vorgehen:->öffne appwiz.cpL
->Klick auf "Programme vom Netzwerk installieren
->wähle die Software aus
...sprich: das ist dann nicht mehr automatisiert.
Ruf doch Microsoft an, die erklären das gerne.
Kurzum: das ist ein Feature, welches es seit Windows 2000 gibt.
MS will jedoch heutzutage gar nicht mehr, dass Du es zur Verteilung nutzt, da es Ihnen so kein Geld bringt. Sie wollen, dass Du deren Softwaredeploymenttools kaufst.
Sei froh, wenn dieser Weg über Computerkonfig funktioniert.
Kurzum: das ist ein Feature, welches es seit Windows 2000 gibt.
MS will jedoch heutzutage gar nicht mehr, dass Du es zur Verteilung nutzt, da es Ihnen so kein Geld bringt. Sie wollen, dass Du deren Softwaredeploymenttools kaufst.
Sei froh, wenn dieser Weg über Computerkonfig funktioniert.