pashtun
Goto Top

MSI Paketinstallation per GPO wirkt nicht! Richtlinien, Berechtigung, AD, Windows Server 2019

Erstmal guten Tag miteinander,

ich habe ein Problem mit der Installation von MSI Paketen über die GPO.

Einleitung:

Ich habe 3 VMs aufgesetzt, 1 DC und 2 Clients. Alle der Domäne hinzugefügt. Keine Internetverbindung, da es erstmal nur ein Test sein soll.

Windows Server 2019, 2x Windows 10

Meine Schritte:

Active Directory -> Users -> neue Gruppe hinzugefügt "IT" -> Eigenschaften "IT" -> Mitglieder hinzufügen -> 2 User hinzugefügt
Dann habe ich einen Ordner in meinem DC erstellt unter Dokumente, da habe ich dann 3 MSI Dateien hinzugefügt, dann auf Eigenschaften, auf Freigabe und erweiterte Freigabe und den Haken bei "Diesen Ordner freigeben" angeklickt. Berechtigungen hinzugefügt "Authentifizierte Benutzer" gelassen und meine Gruppe "IT" mit Vollzugriff hinzugefügt. Dann auf übernehmen und dann auf Sicherheit und dort dann auch die Gruppe "IT" mit Vollzugriff hinzugefügt. Dann bin ich in die Gruppenrichtlinienverwaltung gegangen und habe unter meiner Domäne einen neuen Gruppenrichtlinienobjekt erstellt, den auch "IT" benannt und bearbeitet, unter Benutzerkonfiguration Softwareinstallation habe ich dann meine MSI Pakete aus dem Netzwerkfreigabe Ordner hinzugefügt. Bereitstellung ist auf "veröffentlicht". Dann unter Sicherheitsfilterung "Authentifizierte BEnutzer" gelöscht und Gruppe "IT" hinzugefügt.

Nun sollte es eigentlich, wenn ich mich mit einem Benutzer aus der Gruppe "IT" anmelde und in cmd "gpupdate /force" durchführe nach einem Neustart abfragen, damit die Einstellungen übernommen werden, dies tut es aber nicht.

Kann mir einer helfen oder mir einen Tipp geben? Habe ich irgendwas übersehen? Liegt es vielleicht daran, dass die Benutzer bei einer Installation nach einem Usernamen und Passwort gefragt werden, weil es tut sich überhaupt nichts, wenn ich den Befehl ausführe, außer dass da steht "Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen". Kein Neustart, keine Installation, kein anderer Output..

Danke schon mal im voraus!

Content-ID: 4544093897

Url: https://administrator.de/forum/msi-paketinstallation-per-gpo-wirkt-nicht-richtlinien-berechtigung-ad-windows-server-2019-4544093897.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

Franz-Josef-II
Franz-Josef-II 08.11.2022 um 10:10:05 Uhr
Goto Top
Servas

Ereignisanzeige?

Hat der User dort, wo das Programm installiert wird, auch Schreibrechte?
em-pie
em-pie 08.11.2022 aktualisiert um 10:18:51 Uhr
Goto Top
Moin,

klarer Fall: Softwareinstallationen per GPO sind zunächst einmal in den Computerobjekten zu finden.
Es bringt also nicht, Gruppen zu GPO hinzuzufügen, in denen nur User-Objekte enthalten sind.

Zweitens: Startet der Rechner, ist kein User angemeldet, folglich kann die Userabhängige GPO an einem Computerobjekt (noch) nicht angewandt werden.

Ausnahme: man hat sich mal mit dem Loopback-Modus beschäftigt.


Hast du im Reiter "Bereitstellung von Software" die Zuweisung sowie "Anwendung bei Anmeldung installieren" aktiviert?
https://community.spiceworks.com/topic/778449-install-software-for-a-lis ... (Post von Darren (SDM Software)

Fürs Troubleshooting:
CMD als Admin öffnen --> GPRESULT /R --> Ergebnis analysieren

Gruß
em-pie
DerWoWusste
Lösung DerWoWusste 08.11.2022 um 10:19:26 Uhr
Goto Top
Meine Güte, was tust Du da nur...

Mach Dir bitte klar, dass Du NIEMALS Nutzern Schreibrechte geben darfst auf Freigaben, von denen andere Nutzer/Rechner installieren! Du lieferst damit eine Steilvorlage für die Übernahme deines Netzwerks.

Geh so vor:
MSI auf eine Freigabe legen, wo authentifizierte Nutzer bzw. die Gruppe von Computern, welche Deine ausgewählten Nutzer nutzen, Leserechte haben.
GPO erstellen und im Bereich Computerkonfiguration das MSI hinzufügen.
Auf einem Testclient auf einem elevated command prompt
gpupdate /target:computer
ausführen und danach neu starten
Pashtun
Pashtun 08.11.2022 um 10:28:44 Uhr
Goto Top
Zitat von @DerWoWusste:

Meine Güte, was tust Du da nur...

Mach Dir bitte klar, dass Du NIEMALS Nutzern Schreibrechte geben darfst auf Freigaben, von denen andere Nutzer/Rechner installieren! Du lieferst damit eine Steilvorlage für die Übernahme deines Netzwerks.

Ist nur eine Testumgebung. face-smile

Geh so vor:
MSI auf eine Freigabe legen, wo authentifizierte Nutzer bzw. die Gruppe von Computern, welche Deine ausgewählten Nutzer nutzen, Leserechte haben.
GPO erstellen und im Bereich Computerkonfiguration das MSI hinzufügen.
Auf einem Testclient auf einem elevated command prompt
gpupdate /target:computer
ausführen und danach neu starten

funktioniert leider immernoch nicht. face-sad( btw. ich bin immernoch unter Benutzerkonfiguration, nicht unter Computerkonfiguration.
Pashtun
Pashtun 08.11.2022 um 10:29:33 Uhr
Goto Top
Zitat von @em-pie:

Moin,

klarer Fall: Softwareinstallationen per GPO sind zunächst einmal in den Computerobjekten zu finden.
Es bringt also nicht, Gruppen zu GPO hinzuzufügen, in denen nur User-Objekte enthalten sind.

Zweitens: Startet der Rechner, ist kein User angemeldet, folglich kann die Userabhängige GPO an einem Computerobjekt (noch) nicht angewandt werden.

Ausnahme: man hat sich mal mit dem Loopback-Modus beschäftigt.


Hast du im Reiter "Bereitstellung von Software" die Zuweisung sowie "Anwendung bei Anmeldung installieren" aktiviert?
https://community.spiceworks.com/topic/778449-install-software-for-a-lis ... (Post von Darren (SDM Software)

Fürs Troubleshooting:
CMD als Admin öffnen --> GPRESULT /R --> Ergebnis analysieren

Gruß
em-pie

Auch wenn ich diesen Haken setze, wird die Software nicht installiert. face-sad
em-pie
em-pie 08.11.2022 um 10:34:09 Uhr
Goto Top
Dann
Fürs Troubleshooting:
CMD als Admin öffnen --> GPRESULT /R --> Ergebnis analysieren
DerWoWusste
DerWoWusste 08.11.2022 um 10:35:38 Uhr
Goto Top
funktioniert leider immernoch nicht. face-sad( btw. ich bin immernoch unter Benutzerkonfiguration, nicht unter Computerkonfiguration.
Tja, wenn Du es nicht richtig machen willst... Mach es bitte so, wie vorgeschlagen.
Pashtun
Pashtun 08.11.2022 um 10:46:18 Uhr
Goto Top
Zitat von @DerWoWusste:

funktioniert leider immernoch nicht. face-sad( btw. ich bin immernoch unter Benutzerkonfiguration, nicht unter Computerkonfiguration.
Tja, wenn Du es nicht richtig machen willst... Mach es bitte so, wie vorgeschlagen.

Hab ich jetzt gemacht, Fehlermeldung:

"Die clientseitige Erweiterung "Software Installation" der Gruppenrichtlinie konnte mindestens eine Einstellung nicht anwenden, da die Änderungen vor dem Systemstart oder der Benutzeranmeldung verarbeitet werden müssen. Das System warett vor dem nächsten Startvorgang oder der nächsten Benutzeranmeldung darauf, dass die Gruppenrichtlinienverarbeitung vollständig abgeschlossen ist. Dies kann zu einem langsamen Start und zu einer niederigen Startliestung führen."
DerWoWusste
DerWoWusste 08.11.2022 um 11:04:53 Uhr
Goto Top
Das ist keine Fehlermeldung, sondern ein Hinweis darauf, dass Du nun neu starten musst, damit die Software installiert wird, wie schon von mir gefordert. Völlig normal.

Und bitte nicht herunterfahren und wieder anschalten, sondern wirklich im Startmenü auf "neu starten" klicken - das macht einen Unterschied.
Pashtun
Pashtun 08.11.2022 um 11:06:01 Uhr
Goto Top
Zitat von @DerWoWusste:

Das ist keine Fehlermeldung, sondern ein Hinweis darauf, dass Du nun neu starten musst, damit die Software installiert wird, wie schon von mir gefordert. Völlig normal.

Und bitte nicht herunterfahren und wieder anschalten, sondern wirklich im Startmenü auf "neu starten" klicken - das macht einen Unterschied.

komisch. Musste 2x neustarten, dann hat es geklappt. Vielen Dank! Gibt es trotzdem einen Weg dies per Benutzerkonfiguration installieren zu lassen?
DerWoWusste
DerWoWusste 08.11.2022 aktualisiert um 11:18:38 Uhr
Goto Top
komisch. Musste 2x neustarten, dann hat es geklappt.
Es ist nicht selten, dass man 2 Neustarts braucht, denn: Microsoft hat die Startweise von Windows vor vielen Jahren stark beschleunigt. Darunter leiden leider diverse Features, so auch dieses: es ist nicht mehr 100% sicher, dass es beim nächsten Neustart klappt. [nun kommen wieder alle und empfehlen die GPO "immer auf das Netzwerk warten" zu aktivieren - nein, bringt hier nichts]
Gibt es trotzdem einen Weg dies per Benutzerkonfiguration installieren zu lassen?
Jein. Du kannst Benutzern Pakete zuweisen und ja, die können diese dann auch ohne Adminrechte zu besitzen installieren. Dafür müssen Sie aber so vorgehen:
->öffne appwiz.cpL
->Klick auf "Programme vom Netzwerk installieren
->wähle die Software aus
...sprich: das ist dann nicht mehr automatisiert.
Pashtun
Pashtun 08.11.2022 um 11:25:23 Uhr
Goto Top
Zitat von @DerWoWusste:

komisch. Musste 2x neustarten, dann hat es geklappt.
Es ist nicht selten, dass man 2 Neustarts braucht, denn: Microsoft hat die Startweise von Windows vor vielen Jahren stark beschleunigt. Darunter leiden leider diverse Features, so auch dieses: es ist nicht mehr 100% sicher, dass es beim nächsten Neustart klappt. [nun kommen wieder alle und empfehlen die GPO "immer auf das Netzwerk warten" zu aktivieren - nein, bringt hier nichts]
Gibt es trotzdem einen Weg dies per Benutzerkonfiguration installieren zu lassen?
Jein. Du kannst Benutzern Pakete zuweisen und ja, die können diese dann auch ohne Adminrechte zu besitzen installieren. Dafür müssen Sie aber so vorgehen:
->öffne appwiz.cpL
->Klick auf "Programme vom Netzwerk installieren
->wähle die Software aus
...sprich: das ist dann nicht mehr automatisiert.

aber rein logisch gesehen müsste es doch auch über die Benutzerkonfiguration gehen, oder? Denn wenn ich genau denselben Weg gehe nur anstatt computerkonfiguration, benutzerkonfiguration wähle, müsste es doch nach einem gpupdate /target:USER sich die Software ziehen? Die Eigenschaften "Bereistellung von Software" besagen auch, "automatisch installieren, wenn die Datenerweiterung aktiviert wird"...
verstehe nicht, wieso es dann nicht über Benutzer ebenso funktioniert
DerWoWusste
DerWoWusste 08.11.2022 aktualisiert um 11:42:04 Uhr
Goto Top
Ruf doch Microsoft an, die erklären das gerne.
Kurzum: das ist ein Feature, welches es seit Windows 2000 gibt.
MS will jedoch heutzutage gar nicht mehr, dass Du es zur Verteilung nutzt, da es Ihnen so kein Geld bringt. Sie wollen, dass Du deren Softwaredeploymenttools kaufst.

Sei froh, wenn dieser Weg über Computerkonfig funktioniert.
Pashtun
Lösung Pashtun 08.11.2022 um 11:44:08 Uhr
Goto Top
Danke an alle! Und vorallem danke an @DerWoWusste, es hat geklappt!

Lösung für Computerkonfiguration ->>> Kommentar von @DerWoWusste befolgen

Eine Lösung für Benutzerkonfiguration:

MSI Dateien auf eine Freigabe legen, ich habe es zum Beispiel unter "netlogon" abgelegt.
Dann in der Gruppenrichtlinienverwaltung die MSI Pakete in Softwareinstallation als zugewiesen ablegen und den Haken bei "anwendung bei Anmeldung installieren" anklicken.

Nun geht meldet man sich mit dem User an. cmd öffnen -> gpupdate /target:User /force

Nach einer erneuten Anmeldung ist die Software installiert.
DerWoWusste
DerWoWusste 08.11.2022 um 11:49:26 Uhr
Goto Top
Schön, dass das auch noch geht - nutze ich nie.