15
MSI Paketinstallation per GPO wirkt nicht! Richtlinien, Berechtigung, AD, Windows Server 2019
Erstmal guten Tag miteinander,
ich habe ein Problem mit der Installation von MSI Paketen über die GPO.
Einleitung:
Ich habe 3 VMs aufgesetzt, 1 DC und 2 Clients. Alle der Domäne hinzugefügt. Keine Internetverbindung, da es erstmal nur ein Test sein soll.
Windows Server 2019, 2x Windows 10
Meine Schritte:
Active Directory -> Users -> neue Gruppe hinzugefügt "IT" -> Eigenschaften "IT" -> Mitglieder hinzufügen -> 2 User hinzugefügt
Dann habe ich einen Ordner in meinem DC erstellt unter Dokumente, da habe ich dann 3 MSI Dateien hinzugefügt, dann auf Eigenschaften, auf Freigabe und erweiterte Freigabe und den Haken bei "Diesen Ordner freigeben" angeklickt. Berechtigungen hinzugefügt "Authentifizierte Benutzer" gelassen und meine Gruppe "IT" mit Vollzugriff hinzugefügt. Dann auf übernehmen und dann auf Sicherheit und dort dann auch die Gruppe "IT" mit Vollzugriff hinzugefügt. Dann bin ich in die Gruppenrichtlinienverwaltung gegangen und habe unter meiner Domäne einen neuen Gruppenrichtlinienobjekt erstellt, den auch "IT" benannt und bearbeitet, unter Benutzerkonfiguration Softwareinstallation habe ich dann meine MSI Pakete aus dem Netzwerkfreigabe Ordner hinzugefügt. Bereitstellung ist auf "veröffentlicht". Dann unter Sicherheitsfilterung "Authentifizierte BEnutzer" gelöscht und Gruppe "IT" hinzugefügt.
Nun sollte es eigentlich, wenn ich mich mit einem Benutzer aus der Gruppe "IT" anmelde und in cmd "gpupdate /force" durchführe nach einem Neustart abfragen, damit die Einstellungen übernommen werden, dies tut es aber nicht.
Kann mir einer helfen oder mir einen Tipp geben? Habe ich irgendwas übersehen? Liegt es vielleicht daran, dass die Benutzer bei einer Installation nach einem Usernamen und Passwort gefragt werden, weil es tut sich überhaupt nichts, wenn ich den Befehl ausführe, außer dass da steht "Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen". Kein Neustart, keine Installation, kein anderer Output..
Danke schon mal im voraus!
ich habe ein Problem mit der Installation von MSI Paketen über die GPO.
Einleitung:
Ich habe 3 VMs aufgesetzt, 1 DC und 2 Clients. Alle der Domäne hinzugefügt. Keine Internetverbindung, da es erstmal nur ein Test sein soll.
Windows Server 2019, 2x Windows 10
Meine Schritte:
Active Directory -> Users -> neue Gruppe hinzugefügt "IT" -> Eigenschaften "IT" -> Mitglieder hinzufügen -> 2 User hinzugefügt
Dann habe ich einen Ordner in meinem DC erstellt unter Dokumente, da habe ich dann 3 MSI Dateien hinzugefügt, dann auf Eigenschaften, auf Freigabe und erweiterte Freigabe und den Haken bei "Diesen Ordner freigeben" angeklickt. Berechtigungen hinzugefügt "Authentifizierte Benutzer" gelassen und meine Gruppe "IT" mit Vollzugriff hinzugefügt. Dann auf übernehmen und dann auf Sicherheit und dort dann auch die Gruppe "IT" mit Vollzugriff hinzugefügt. Dann bin ich in die Gruppenrichtlinienverwaltung gegangen und habe unter meiner Domäne einen neuen Gruppenrichtlinienobjekt erstellt, den auch "IT" benannt und bearbeitet, unter Benutzerkonfiguration Softwareinstallation habe ich dann meine MSI Pakete aus dem Netzwerkfreigabe Ordner hinzugefügt. Bereitstellung ist auf "veröffentlicht". Dann unter Sicherheitsfilterung "Authentifizierte BEnutzer" gelöscht und Gruppe "IT" hinzugefügt.
Nun sollte es eigentlich, wenn ich mich mit einem Benutzer aus der Gruppe "IT" anmelde und in cmd "gpupdate /force" durchführe nach einem Neustart abfragen, damit die Einstellungen übernommen werden, dies tut es aber nicht.
Kann mir einer helfen oder mir einen Tipp geben? Habe ich irgendwas übersehen? Liegt es vielleicht daran, dass die Benutzer bei einer Installation nach einem Usernamen und Passwort gefragt werden, weil es tut sich überhaupt nichts, wenn ich den Befehl ausführe, außer dass da steht "Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen". Kein Neustart, keine Installation, kein anderer Output..
Danke schon mal im voraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4544093897
Url: https://administrator.de/contentid/4544093897
Ausgedruckt am: 24.11.2024 um 13:11 Uhr
15 Kommentare
Neuester Kommentar
Servas
Ereignisanzeige?
Hat der User dort, wo das Programm installiert wird, auch Schreibrechte?
Ereignisanzeige?
Hat der User dort, wo das Programm installiert wird, auch Schreibrechte?
Moin,
klarer Fall: Softwareinstallationen per GPO sind zunächst einmal in den Computerobjekten zu finden.
Es bringt also nicht, Gruppen zu GPO hinzuzufügen, in denen nur User-Objekte enthalten sind.
Zweitens: Startet der Rechner, ist kein User angemeldet, folglich kann die Userabhängige GPO an einem Computerobjekt (noch) nicht angewandt werden.
Ausnahme: man hat sich mal mit dem Loopback-Modus beschäftigt.
Hast du im Reiter "Bereitstellung von Software" die Zuweisung sowie "Anwendung bei Anmeldung installieren" aktiviert?
https://community.spiceworks.com/topic/778449-install-software-for-a-lis ... (Post von Darren (SDM Software)
Fürs Troubleshooting:
CMD als Admin öffnen --> GPRESULT /R --> Ergebnis analysieren
Gruß
em-pie
Es bringt also nicht, Gruppen zu GPO hinzuzufügen, in denen nur User-Objekte enthalten sind.
Zweitens: Startet der Rechner, ist kein User angemeldet, folglich kann die Userabhängige GPO an einem Computerobjekt (noch) nicht angewandt werden.
Ausnahme: man hat sich mal mit dem Loopback-Modus beschäftigt.
Hast du im Reiter "Bereitstellung von Software" die Zuweisung sowie "Anwendung bei Anmeldung installieren" aktiviert?
https://community.spiceworks.com/topic/778449-install-software-for-a-lis ... (Post von Darren (SDM Software)
Fürs Troubleshooting:
CMD als Admin öffnen --> GPRESULT /R --> Ergebnis analysieren
Gruß
em-pie
Meine Güte, was tust Du da nur...
Mach Dir bitte klar, dass Du NIEMALS Nutzern Schreibrechte geben darfst auf Freigaben, von denen andere Nutzer/Rechner installieren! Du lieferst damit eine Steilvorlage für die Übernahme deines Netzwerks.
Geh so vor:
MSI auf eine Freigabe legen, wo authentifizierte Nutzer bzw. die Gruppe von Computern, welche Deine ausgewählten Nutzer nutzen, Leserechte haben.
GPO erstellen und im Bereich Computerkonfiguration das MSI hinzufügen.
Auf einem Testclient auf einem elevated command prompt
gpupdate /target:computer
ausführen und danach neu starten
Mach Dir bitte klar, dass Du NIEMALS Nutzern Schreibrechte geben darfst auf Freigaben, von denen andere Nutzer/Rechner installieren! Du lieferst damit eine Steilvorlage für die Übernahme deines Netzwerks.
Geh so vor:
MSI auf eine Freigabe legen, wo authentifizierte Nutzer bzw. die Gruppe von Computern, welche Deine ausgewählten Nutzer nutzen, Leserechte haben.
GPO erstellen und im Bereich Computerkonfiguration das MSI hinzufügen.
Auf einem Testclient auf einem elevated command prompt
gpupdate /target:computer
ausführen und danach neu starten
1
Zitat von @DerWoWusste:
Meine Güte, was tust Du da nur...
Mach Dir bitte klar, dass Du NIEMALS Nutzern Schreibrechte geben darfst auf Freigaben, von denen andere Nutzer/Rechner installieren! Du lieferst damit eine Steilvorlage für die Übernahme deines Netzwerks.
Ist nur eine Testumgebung. Meine Güte, was tust Du da nur...
Mach Dir bitte klar, dass Du NIEMALS Nutzern Schreibrechte geben darfst auf Freigaben, von denen andere Nutzer/Rechner installieren! Du lieferst damit eine Steilvorlage für die Übernahme deines Netzwerks.
Geh so vor:
MSI auf eine Freigabe legen, wo authentifizierte Nutzer bzw. die Gruppe von Computern, welche Deine ausgewählten Nutzer nutzen, Leserechte haben.
GPO erstellen und im Bereich Computerkonfiguration das MSI hinzufügen.
Auf einem Testclient auf einem elevated command prompt
gpupdate /target:computer
ausführen und danach neu starten
MSI auf eine Freigabe legen, wo authentifizierte Nutzer bzw. die Gruppe von Computern, welche Deine ausgewählten Nutzer nutzen, Leserechte haben.
GPO erstellen und im Bereich Computerkonfiguration das MSI hinzufügen.
Auf einem Testclient auf einem elevated command prompt
gpupdate /target:computer
ausführen und danach neu starten
funktioniert leider immernoch nicht.
( btw. ich bin immernoch unter Benutzerkonfiguration, nicht unter Computerkonfiguration.Zitat von @em-pie:
Moin,
klarer Fall: Softwareinstallationen per GPO sind zunächst einmal in den Computerobjekten zu finden.
Es bringt also nicht, Gruppen zu GPO hinzuzufügen, in denen nur User-Objekte enthalten sind.
Zweitens: Startet der Rechner, ist kein User angemeldet, folglich kann die Userabhängige GPO an einem Computerobjekt (noch) nicht angewandt werden.
Ausnahme: man hat sich mal mit dem Loopback-Modus beschäftigt.
Hast du im Reiter "Bereitstellung von Software" die Zuweisung sowie "Anwendung bei Anmeldung installieren" aktiviert?
https://community.spiceworks.com/topic/778449-install-software-for-a-lis ... (Post von Darren (SDM Software)
Fürs Troubleshooting:
CMD als Admin öffnen --> GPRESULT /R --> Ergebnis analysieren
Gruß
em-pie
Moin,
Es bringt also nicht, Gruppen zu GPO hinzuzufügen, in denen nur User-Objekte enthalten sind.
Zweitens: Startet der Rechner, ist kein User angemeldet, folglich kann die Userabhängige GPO an einem Computerobjekt (noch) nicht angewandt werden.
Ausnahme: man hat sich mal mit dem Loopback-Modus beschäftigt.
Hast du im Reiter "Bereitstellung von Software" die Zuweisung sowie "Anwendung bei Anmeldung installieren" aktiviert?
https://community.spiceworks.com/topic/778449-install-software-for-a-lis ... (Post von Darren (SDM Software)
Fürs Troubleshooting:
CMD als Admin öffnen --> GPRESULT /R --> Ergebnis analysieren
Gruß
em-pie
Auch wenn ich diesen Haken setze, wird die Software nicht installiert.
Dann
Fürs Troubleshooting:
CMD als Admin öffnen --> GPRESULT /R --> Ergebnis analysieren
CMD als Admin öffnen --> GPRESULT /R --> Ergebnis analysieren
funktioniert leider immernoch nicht. face-sad( btw. ich bin immernoch unter Benutzerkonfiguration, nicht unter Computerkonfiguration.
Tja, wenn Du es nicht richtig machen willst... Mach es bitte so, wie vorgeschlagen.1Zitat von @DerWoWusste:
funktioniert leider immernoch nicht. face-sad( btw. ich bin immernoch unter Benutzerkonfiguration, nicht unter Computerkonfiguration.
Tja, wenn Du es nicht richtig machen willst... Mach es bitte so, wie vorgeschlagen.Hab ich jetzt gemacht, Fehlermeldung:
"Die clientseitige Erweiterung "Software Installation" der Gruppenrichtlinie konnte mindestens eine Einstellung nicht anwenden, da die Änderungen vor dem Systemstart oder der Benutzeranmeldung verarbeitet werden müssen. Das System warett vor dem nächsten Startvorgang oder der nächsten Benutzeranmeldung darauf, dass die Gruppenrichtlinienverarbeitung vollständig abgeschlossen ist. Dies kann zu einem langsamen Start und zu einer niederigen Startliestung führen."
Das ist keine Fehlermeldung, sondern ein Hinweis darauf, dass Du nun neu starten musst, damit die Software installiert wird, wie schon von mir gefordert. Völlig normal.
Und bitte nicht herunterfahren und wieder anschalten, sondern wirklich im Startmenü auf "neu starten" klicken - das macht einen Unterschied.
Und bitte nicht herunterfahren und wieder anschalten, sondern wirklich im Startmenü auf "neu starten" klicken - das macht einen Unterschied.
1Zitat von @DerWoWusste:
Das ist keine Fehlermeldung, sondern ein Hinweis darauf, dass Du nun neu starten musst, damit die Software installiert wird, wie schon von mir gefordert. Völlig normal.
Und bitte nicht herunterfahren und wieder anschalten, sondern wirklich im Startmenü auf "neu starten" klicken - das macht einen Unterschied.
Das ist keine Fehlermeldung, sondern ein Hinweis darauf, dass Du nun neu starten musst, damit die Software installiert wird, wie schon von mir gefordert. Völlig normal.
Und bitte nicht herunterfahren und wieder anschalten, sondern wirklich im Startmenü auf "neu starten" klicken - das macht einen Unterschied.
komisch. Musste 2x neustarten, dann hat es geklappt. Vielen Dank! Gibt es trotzdem einen Weg dies per Benutzerkonfiguration installieren zu lassen?
komisch. Musste 2x neustarten, dann hat es geklappt.
Es ist nicht selten, dass man 2 Neustarts braucht, denn: Microsoft hat die Startweise von Windows vor vielen Jahren stark beschleunigt. Darunter leiden leider diverse Features, so auch dieses: es ist nicht mehr 100% sicher, dass es beim nächsten Neustart klappt. [nun kommen wieder alle und empfehlen die GPO "immer auf das Netzwerk warten" zu aktivieren - nein, bringt hier nichts]Gibt es trotzdem einen Weg dies per Benutzerkonfiguration installieren zu lassen?
Jein. Du kannst Benutzern Pakete zuweisen und ja, die können diese dann auch ohne Adminrechte zu besitzen installieren. Dafür müssen Sie aber so vorgehen:->öffne appwiz.cpL
->Klick auf "Programme vom Netzwerk installieren
->wähle die Software aus
...sprich: das ist dann nicht mehr automatisiert.
1Zitat von @DerWoWusste:
->öffne appwiz.cpL
->Klick auf "Programme vom Netzwerk installieren
->wähle die Software aus
...sprich: das ist dann nicht mehr automatisiert.
komisch. Musste 2x neustarten, dann hat es geklappt.
Es ist nicht selten, dass man 2 Neustarts braucht, denn: Microsoft hat die Startweise von Windows vor vielen Jahren stark beschleunigt. Darunter leiden leider diverse Features, so auch dieses: es ist nicht mehr 100% sicher, dass es beim nächsten Neustart klappt. [nun kommen wieder alle und empfehlen die GPO "immer auf das Netzwerk warten" zu aktivieren - nein, bringt hier nichts]Gibt es trotzdem einen Weg dies per Benutzerkonfiguration installieren zu lassen?
Jein. Du kannst Benutzern Pakete zuweisen und ja, die können diese dann auch ohne Adminrechte zu besitzen installieren. Dafür müssen Sie aber so vorgehen:->öffne appwiz.cpL
->Klick auf "Programme vom Netzwerk installieren
->wähle die Software aus
...sprich: das ist dann nicht mehr automatisiert.
aber rein logisch gesehen müsste es doch auch über die Benutzerkonfiguration gehen, oder? Denn wenn ich genau denselben Weg gehe nur anstatt computerkonfiguration, benutzerkonfiguration wähle, müsste es doch nach einem gpupdate /target:USER sich die Software ziehen? Die Eigenschaften "Bereistellung von Software" besagen auch, "automatisch installieren, wenn die Datenerweiterung aktiviert wird"...
verstehe nicht, wieso es dann nicht über Benutzer ebenso funktioniert
Ruf doch Microsoft an, die erklären das gerne.
Kurzum: das ist ein Feature, welches es seit Windows 2000 gibt.
MS will jedoch heutzutage gar nicht mehr, dass Du es zur Verteilung nutzt, da es Ihnen so kein Geld bringt. Sie wollen, dass Du deren Softwaredeploymenttools kaufst.
Sei froh, wenn dieser Weg über Computerkonfig funktioniert.
Kurzum: das ist ein Feature, welches es seit Windows 2000 gibt.
MS will jedoch heutzutage gar nicht mehr, dass Du es zur Verteilung nutzt, da es Ihnen so kein Geld bringt. Sie wollen, dass Du deren Softwaredeploymenttools kaufst.
Sei froh, wenn dieser Weg über Computerkonfig funktioniert.
1
Danke an alle! Und vorallem danke an @DerWoWusste, es hat geklappt!
Lösung für Computerkonfiguration ->>> Kommentar von @DerWoWusste befolgen
Eine Lösung für Benutzerkonfiguration:
MSI Dateien auf eine Freigabe legen, ich habe es zum Beispiel unter "netlogon" abgelegt.
Dann in der Gruppenrichtlinienverwaltung die MSI Pakete in Softwareinstallation als zugewiesen ablegen und den Haken bei "anwendung bei Anmeldung installieren" anklicken.
Nun geht meldet man sich mit dem User an. cmd öffnen -> gpupdate /target:User /force
Nach einer erneuten Anmeldung ist die Software installiert.
Lösung für Computerkonfiguration ->>> Kommentar von @DerWoWusste befolgen
Eine Lösung für Benutzerkonfiguration:
MSI Dateien auf eine Freigabe legen, ich habe es zum Beispiel unter "netlogon" abgelegt.
Dann in der Gruppenrichtlinienverwaltung die MSI Pakete in Softwareinstallation als zugewiesen ablegen und den Haken bei "anwendung bei Anmeldung installieren" anklicken.
Nun geht meldet man sich mit dem User an. cmd öffnen -> gpupdate /target:User /force
Nach einer erneuten Anmeldung ist die Software installiert.
Schön, dass das auch noch geht - nutze ich nie.
1
