vancouverona
Goto Top

Problem bei Softwareverteilung über Gruppenrichtlinien

Hallo zusammen,

ich habe so das Gefühl, dass ich irgendwie auf dem falschen Dampfer bin. Wer kann mir helfen?

Ich verteile die Software - wie viele andere von euch vermutlich auch - in der Domäne über Gruppenrichtlinien.

Nun gibt es zwei generelle Möglichkeiten:

  1. Man kann die Software mit der Sicherheitsfilterung "Authentifizierte Benutzer" an eine Organisationseinheit (OU) verteilen:
    • Vorteil: Man ist schnell fertig, alle Rechner einer OU erhalten theoretisch die Software
    • Nachteil: Es ist ein bisschen schwer zu verwalten, welcher Rechner welche Software bekommen hat und wie viele Lizenzen einer Software im Einsatz sind. Und man muss ggf. die Software an mehrere OUs verteilen. Und es ist ein wenig aufwändig, wenn man mehrere Produkte verteilen will, weil ein Computer immer nur zu einer OU gehören kann.
  2. Man kann eine Gruppe (gApp_Softwarename) machen, in der alle Rechner Mitglied sind, die die Software erhalten sollen und die Software an die Domäne verteilen. Dafür ersetzt man die Sicherheitsfilterung "Authentifizierte Benutzer" durch den Namen der Computergruppe (gApp_Softwarename).
    • Vorteil: Man weiß im vorhinein, auf welchem Rechner welche Software landen soll, der sinnvolle Einsatz von Lizenzen ist damit auch einigermaßen nachweisbar
    • Nachteil: Die Pflege der Gruppen ist aufwändig.

Ich benutze eigentlich seit Ewigkeiten die Variante 2. und mache zunehmend die Erfahrung, dass Pakete auf Rechnern nicht installiert werden, obwohl diese eigentlich freigegeben sind (in der richtigen Softwaregruppe stehen). Das betrifft sowohl neu aufgesetzte Rechner als auch alte Rechner, die schon über Jahre im Einsatz sind, allerdings ohne erkennbare Regel.

Gibt es da eine Größenbeschränkung für die Gruppen in der Sicherheitsfilterung (z.B. nicht mehr als 100 Computer) oder evtl. ein Timeout (z.B. Suche nach dem Computernamen darf nicht länger als 500ms dauern), ab wann die Gruppen nicht mehr weiter ausgewertet werden?

Eingesetzte Software: Windows 2008 R2 Datacenter und Windows 7/8.1 Clients

Danke für Hinweise

Content-ID: 281805

Url: https://administrator.de/contentid/281805

Ausgedruckt am: 24.11.2024 um 21:11 Uhr

Dirmhirn
Dirmhirn 02.09.2015 aktualisiert um 16:26:43 Uhr
Goto Top
Hi Vancouverona,

um wie viele Gruppen handelt es sich denn 100, 1000, ...? (das bezieht sich auf die Zahl der Gruppen denen ein Client angehört.)
http://blogs.technet.com/b/shanecothran/archive/2010/07/16/maxtokensize ...

Sicherheitsfilterung
meinst du Leserechte für die GPO? das läuft ja wie normale Dateirechte - ist der PC in der Gruppe darf er die GPO Lesen und anwenden. Sonst sieht er sie einfach nicht.

kommen die GPO Settings an den Clients an? Installationsprobleme kannst du ausschließen?

sg Dirm
emeriks
emeriks 02.09.2015 um 16:00:04 Uhr
Goto Top
Hi,
was sagt "gpresult" am Client? Wird die GPO angewendet oder nicht? In welchen Gruppen ist der Computer laut "gpresult" Mitglied? Sind die betreffenden Gruppen dabei?
Hat das Computer-Konto Lese-Rechte auf die Installationsdateien? Kann der Computer auf die Freigabe zugreifen? (Netzwerk am Client bereits funktional, Server erreichbar)
Ist auf den Clients die GPO-Einstellung "Bei der Anmeldung immer auf das Netzwerk warten" aktiviert?

Wenn das Computerkonto in >>500 Gruppen sein sollte (auch Verschachtelung beachten!), dann beachte den Hinweis von @Dirmhirn mit der max. Tokengröße.

E.
DerWoWusste
DerWoWusste 02.09.2015 um 16:08:47 Uhr
Goto Top
Hallo!

Wie schon angesprochen: das Logging am Client ausnutzen.
Für Win8.x und höher gibt es ein Problem mit SW-Verteilung, Lösung siehe Probleme mit GPO-basierter Softwareverteilung unter Windows 8.x und Windows 10 überwinden
Vancouverona
Vancouverona 02.09.2015 um 23:56:55 Uhr
Goto Top
Jeder einzelne Computer steckt in bis zu 30 Gruppen, also weit entfernt von der angegeben Maximalgrenze.

Ich bin zur Zeit auf der Fahndung, warum Adobe Reader 11.0.12 mit der Installation abbricht.

Danke schon mal für die bisherigen Tips.
Vancouverona
Vancouverona 02.09.2015 um 23:58:00 Uhr
Goto Top
Die Berechtigungen stimmen alle, die Installation bricht einfach ab. Morgen geht's mit der Ursachensuche weiter
114380
114380 03.09.2015 um 10:54:16 Uhr
Goto Top
Hi,

bei uns war das Problem, dass zuerst Software 1 installiert wurde und während der Prozess noch lief, startete bereits die nächste Installation, welche dann abgebrochen ist, da die erste Installation noch lief, gerade bei Updates war das ein nerviges Verhalten.

Grüße Oli
emeriks
emeriks 03.09.2015 um 13:17:56 Uhr
Goto Top
die Installation bricht einfach ab.
Wenn Du das vorher so genau wusstest, warum hast Du das dann nicht geschrieben? Dann hätten wir überhaupt nicht über die GPO's und Gruppen nachenken müssen.
Die Installation wird also noch gestartet? Falls ja: GPO funktioniert.
Warum die Installation abbricht, hat mit der GPO erstmal nicht wirklich was zu tun.

E.