Problem bei Softwareverteilung über Gruppenrichtlinien
Hallo zusammen,
ich habe so das Gefühl, dass ich irgendwie auf dem falschen Dampfer bin. Wer kann mir helfen?
Ich verteile die Software - wie viele andere von euch vermutlich auch - in der Domäne über Gruppenrichtlinien.
Nun gibt es zwei generelle Möglichkeiten:
Ich benutze eigentlich seit Ewigkeiten die Variante 2. und mache zunehmend die Erfahrung, dass Pakete auf Rechnern nicht installiert werden, obwohl diese eigentlich freigegeben sind (in der richtigen Softwaregruppe stehen). Das betrifft sowohl neu aufgesetzte Rechner als auch alte Rechner, die schon über Jahre im Einsatz sind, allerdings ohne erkennbare Regel.
Gibt es da eine Größenbeschränkung für die Gruppen in der Sicherheitsfilterung (z.B. nicht mehr als 100 Computer) oder evtl. ein Timeout (z.B. Suche nach dem Computernamen darf nicht länger als 500ms dauern), ab wann die Gruppen nicht mehr weiter ausgewertet werden?
Eingesetzte Software: Windows 2008 R2 Datacenter und Windows 7/8.1 Clients
Danke für Hinweise
ich habe so das Gefühl, dass ich irgendwie auf dem falschen Dampfer bin. Wer kann mir helfen?
Ich verteile die Software - wie viele andere von euch vermutlich auch - in der Domäne über Gruppenrichtlinien.
Nun gibt es zwei generelle Möglichkeiten:
- Man kann die Software mit der Sicherheitsfilterung "Authentifizierte Benutzer" an eine Organisationseinheit (OU) verteilen:
- Vorteil: Man ist schnell fertig, alle Rechner einer OU erhalten theoretisch die Software
- Nachteil: Es ist ein bisschen schwer zu verwalten, welcher Rechner welche Software bekommen hat und wie viele Lizenzen einer Software im Einsatz sind. Und man muss ggf. die Software an mehrere OUs verteilen. Und es ist ein wenig aufwändig, wenn man mehrere Produkte verteilen will, weil ein Computer immer nur zu einer OU gehören kann.
- Man kann eine Gruppe (gApp_Softwarename) machen, in der alle Rechner Mitglied sind, die die Software erhalten sollen und die Software an die Domäne verteilen. Dafür ersetzt man die Sicherheitsfilterung "Authentifizierte Benutzer" durch den Namen der Computergruppe (gApp_Softwarename).
- Vorteil: Man weiß im vorhinein, auf welchem Rechner welche Software landen soll, der sinnvolle Einsatz von Lizenzen ist damit auch einigermaßen nachweisbar
- Nachteil: Die Pflege der Gruppen ist aufwändig.
Ich benutze eigentlich seit Ewigkeiten die Variante 2. und mache zunehmend die Erfahrung, dass Pakete auf Rechnern nicht installiert werden, obwohl diese eigentlich freigegeben sind (in der richtigen Softwaregruppe stehen). Das betrifft sowohl neu aufgesetzte Rechner als auch alte Rechner, die schon über Jahre im Einsatz sind, allerdings ohne erkennbare Regel.
Gibt es da eine Größenbeschränkung für die Gruppen in der Sicherheitsfilterung (z.B. nicht mehr als 100 Computer) oder evtl. ein Timeout (z.B. Suche nach dem Computernamen darf nicht länger als 500ms dauern), ab wann die Gruppen nicht mehr weiter ausgewertet werden?
Eingesetzte Software: Windows 2008 R2 Datacenter und Windows 7/8.1 Clients
Danke für Hinweise
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 281805
Url: https://administrator.de/contentid/281805
Ausgedruckt am: 24.11.2024 um 21:11 Uhr
7 Kommentare
Neuester Kommentar
Hi Vancouverona,
um wie viele Gruppen handelt es sich denn 100, 1000, ...? (das bezieht sich auf die Zahl der Gruppen denen ein Client angehört.)
http://blogs.technet.com/b/shanecothran/archive/2010/07/16/maxtokensize ...
kommen die GPO Settings an den Clients an? Installationsprobleme kannst du ausschließen?
sg Dirm
um wie viele Gruppen handelt es sich denn 100, 1000, ...? (das bezieht sich auf die Zahl der Gruppen denen ein Client angehört.)
http://blogs.technet.com/b/shanecothran/archive/2010/07/16/maxtokensize ...
Sicherheitsfilterung
meinst du Leserechte für die GPO? das läuft ja wie normale Dateirechte - ist der PC in der Gruppe darf er die GPO Lesen und anwenden. Sonst sieht er sie einfach nicht.kommen die GPO Settings an den Clients an? Installationsprobleme kannst du ausschließen?
sg Dirm
Hi,
was sagt "gpresult" am Client? Wird die GPO angewendet oder nicht? In welchen Gruppen ist der Computer laut "gpresult" Mitglied? Sind die betreffenden Gruppen dabei?
Hat das Computer-Konto Lese-Rechte auf die Installationsdateien? Kann der Computer auf die Freigabe zugreifen? (Netzwerk am Client bereits funktional, Server erreichbar)
Ist auf den Clients die GPO-Einstellung "Bei der Anmeldung immer auf das Netzwerk warten" aktiviert?
Wenn das Computerkonto in >>500 Gruppen sein sollte (auch Verschachtelung beachten!), dann beachte den Hinweis von @Dirmhirn mit der max. Tokengröße.
E.
was sagt "gpresult" am Client? Wird die GPO angewendet oder nicht? In welchen Gruppen ist der Computer laut "gpresult" Mitglied? Sind die betreffenden Gruppen dabei?
Hat das Computer-Konto Lese-Rechte auf die Installationsdateien? Kann der Computer auf die Freigabe zugreifen? (Netzwerk am Client bereits funktional, Server erreichbar)
Ist auf den Clients die GPO-Einstellung "Bei der Anmeldung immer auf das Netzwerk warten" aktiviert?
Wenn das Computerkonto in >>500 Gruppen sein sollte (auch Verschachtelung beachten!), dann beachte den Hinweis von @Dirmhirn mit der max. Tokengröße.
E.
Hallo!
Wie schon angesprochen: das Logging am Client ausnutzen.
Für Win8.x und höher gibt es ein Problem mit SW-Verteilung, Lösung siehe Probleme mit GPO-basierter Softwareverteilung unter Windows 8.x und Windows 10 überwinden
Wie schon angesprochen: das Logging am Client ausnutzen.
Für Win8.x und höher gibt es ein Problem mit SW-Verteilung, Lösung siehe Probleme mit GPO-basierter Softwareverteilung unter Windows 8.x und Windows 10 überwinden
Hi,
bei uns war das Problem, dass zuerst Software 1 installiert wurde und während der Prozess noch lief, startete bereits die nächste Installation, welche dann abgebrochen ist, da die erste Installation noch lief, gerade bei Updates war das ein nerviges Verhalten.
Grüße Oli
bei uns war das Problem, dass zuerst Software 1 installiert wurde und während der Prozess noch lief, startete bereits die nächste Installation, welche dann abgebrochen ist, da die erste Installation noch lief, gerade bei Updates war das ein nerviges Verhalten.
Grüße Oli
die Installation bricht einfach ab.
Wenn Du das vorher so genau wusstest, warum hast Du das dann nicht geschrieben? Dann hätten wir überhaupt nicht über die GPO's und Gruppen nachenken müssen.Die Installation wird also noch gestartet? Falls ja: GPO funktioniert.
Warum die Installation abbricht, hat mit der GPO erstmal nicht wirklich was zu tun.
E.