Здравствуйте. :hi:

Предлагаю очередную задачку для профессионалов и любителей пошевелить мозгами. ;)

При запуске msi пакета из под пользователя домена (т.е. не обладающего административными правами) возникает ошибка "Данная установка запрещена политикой, заданной системным администратором" (эта тема чем то пересекается с Доступ - Данная установка запрещена политикой, заданной системным администратором (http://forum.oszone.net/thread-168306.html)), запуск происходит на сервере терминалов в среде Windows 2008/2008R2. В домене нету политики ограничения программ, т.е. она не определена. На всякий случай перерыл все политики домена и ничего запрещающего не нашёл.

Ради эксперимента вывел один из серверов в отдельную OU и выставил настройку блокировать наследование, обновил групповую политику на этот сервере, перезагрузил, а вот результат тот же...

Этот же msi пакет прекрасно ставится и отрабатывает в этот же домене на пользовательских ПК и на виртуальной машине из под не доменного пользователя ПК.

Логи от msi и Process Monitor прилагаю для анализа.

У самого уже идеи кончились.

В домене нету политики ограничения программ, т.е. она не определена. На всякий случай перерыл все политики домена и ничего запрещающего не нашёл. »
А покажите все таки что содержимое gp.html после выполнения командыgpresult /H gp.html запущенной от имени проблемного пользователя.

http://msdn.microsoft.com/en-us/library/windows/desktop/aa368304(v=vs.85).aspx
оно?

P.S. ставить консультант+ через msi это верх извращения.

Telepuzik,

Результат прилагаю.

оно? »

Нет конечно, я внимательно прочитал ту тему которую вынес в заглавный пост и всё проверил, там у меня такого нет.

P.S. ставить консультант+ через msi это верх извращения. »

Это не установка консультанта, как вы могли подумать, это всего лишь настройка каталога пользователя для консультанта ;) Т.к. по умолчанию консультант создаёт (пытается создать) каталог в корне системного диска, а мне это не по нраву, вот и задаю я его для всех по очереди пользователей как "%APPDATA%\ConsUserData" ;) Люблю понимаете порядок в "доме". :boast: :teeth:

Anton04,
поделитесь msi-файликом, погонять виртуальных машинках.

поделитесь msi-файликом, погонять виртуальных машинках. »

Да не вопрос, пожалуйте.

Да не вопрос, пожалуйте. »
у меня выскакивает приглашение UAC, а у вас, судя по всему нет.
если мы говорим о рядовом пользователе.

у меня выскакивает приглашение UAC, а у вас, судя по всему нет.
если мы говорим о рядовом пользователе. »

Да всё верно, у меня UAC отключён.

Anton04,
а чем вы делали этот msi пакет?
EMCO MSI builder падает на дэбаге, InstallShield - тоже =)
мне просто интересно поглядеть что же вы такого страшного и сложного пихаете через MSI на терминалы с отключеным UAC, что нельзя ловко и гибко пихнуть через GPP

а чем вы делали этот msi пакет? »
EMCO MSI builder »

Именно им родным.

не просто интересно поглядеть что же вы такого страшного и сложного пихаете через MSI на терминалы с отключеным UAC, что нельзя ловко и гибко пихнуть через GPP »

Ну почему же нельзя можно, но так возможно более широкое применение, да и сделал ради интереса в купе с ещё несколькими пакетами...

P.S. Проект прикрепил.

P.P.S. Странно, но у меня EMCO не падает на дебаге...

Именно им родным. »
4.5.1.7068?
P.P.S. Странно, но у меня EMCO не падает на дебаге... »
у меня он падает на Decompile MSI =(
ну а InstallShield на Direct Edit

в общем я ковырнула что увидела через InstallShield.
у вас стоит опция
"require administrative privileges=yes"
что при выключеном UAC даёт однозначный мимо кассы.
AFAIK в 2008 R2 выключить UAC нельзя, можно лишь подавить окна.
одно из окон таково:
"Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей
Этот параметр политики определяет поведение запроса на повышение прав для обычных пользователей.
", у вас явно стоит "автоматически отклонять", поэтому результат очевиден.

проверить с выключеным UAC мне реально негде, но! если в MSI поставить
"require administrative privileges=no" то установка пакета происходит с правами пользователя и включеным UAC.

P.S. Проект прикрепил. »
читаю хелп от EMCO, как открыть пакет, которого нет в спике созданных мной.
позор :help:

4.5.1.7068? »

да.

AFAIK в 2008 R2 выключить UAC нельзя, можно лишь подавить окна. »

Не понял... Вы хотите сказать, что UAC нельзя отключить так же как это делается в Windows 7!?

проверить с выключеным UAC мне реально негде, но! если в MSI поставить
"require administrative privileges=no" то установка пакета происходит с правами пользователя и включеным UAC. »

Ну есть там такая опция при генерации msi пакета (в хелпе раздел "Creating MSI Package" рис. 4, если я правильно понял), я как то на неё не обращал внимание, т.к. UAC всё ровно выключен.

читаю хелп от EMCO, как открыть пакет, которого нет в спике созданных мной. »

Всё просто, создаёте новый пакет с названием consultant, далее закрываете прогу и идёте по пути C:\MSIPBRoot\consultant, удаляете там всё и разархивируете туда мой проект.

Вы хотите сказать, что UAC нельзя отключить так же как это делается в Windows 7!? »
если вы о самом нижнем положении регулятора - то прочитайте внимательней что он пишет. В Vista это положение означало "отключено", в вин7 - нет.
Ну есть там такая опция при генерации msi пакета (в хелпе раздел "Creating MSI Package" рис. 4, если я правильно понял), я как то на неё не обращал внимание »
обратите, я изменила через InstallShield на "NO" и установка пошла.
т.к. UAC всё ровно выключен. »
вообще это крайне не верно.
Всё просто, создаёте новый пакет с названием consultant, далее закрываете прогу и идёте по пути C:\MSIPBRoot\consultant, удаляете там всё и разархивируете туда мой проект.
как всё просто, спасибо.

если вы о самом нижнем положении регулятора - то прочитайте внимательней что он пишет. »

Никогда не уведомлять о следующих случаях:

.....

Не рекомендуется. Выбирайте этот вариант, только если нужно использовать программы не сертифицированные для Windows 7, т.к. они не поддерживают управление учётными записями пользователей.

Это как раз мой случай, есть программы не сертифицированные для использования в Windows 7. К тому же можно ещё и поправить соответствующие параметры в реестре HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System отвечающие за UAC и отключить его совсем. ;)

Кстати я ради интереса проверил эту msi и на Windows 2008 и тоже с отключённым UAC и там тоже не устанавливается от имени пользователя... вот такая вот байда... :(

обратите, я изменила через InstallShield на "NO" и установка пошла. »

Ну, у меня нету InstallShield, а в EMCO MSI builder именно такого нет, только то что я указал в предыдущем сообщении, если это не оно (я попробовал и создал msi с этим выбранным параметром "administrator" и всё ровно не пошло), то я даже теряюсь в догадках...

вообще это крайне не верно. »

Это тема отдельного обсуждения, но в кратце не вижу смысла этой технологии в сервере терминалов, всё ровно пользователь ничего там установить не сможет.

как всё просто, спасибо. »

Пожалуйста. :)

Это как раз мой случай, есть программы не сертифицированные для использования в Windows 7. К тому же можно ещё и поправить соответствующие параметры в реестре HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System отвечающие за UAC и отключить его совсем. »
вообще через ГП проще, на мой взгляд, но не суть, пусть так.
показывайте ваши настройки, по "отключению" UAC.
Кстати я ради интереса проверил эту msi и на Windows 2008 и тоже с отключённым UAC и там тоже не устанавливается от имени пользователя... вот такая вот байда... »
повторюсь, у вас стоит опция "требовать прав админа"!
Ну, у меня нету InstallShield, а в EMCO MSI builder именно такого нет, только то что я указал в предыдущем сообщении, если это не оно (я попробовал и создал msi с этим выбранным параметром "administrator" и всё ровно не пошло), то я даже теряюсь в догадках... »
да, я тоже не нашла в EMCO этой опции.
Это тема отдельного обсуждения, но в кратце не вижу смысла этой технологии в сервере терминалов, всё ровно пользователь ничего там установить не сможет. »
- всё равно ничего установить не может.
- ой блин, у меня пользователи ничего установить не могут.
- но я не вижу смысла.

вам самому не смешно? ;)

да, закидывать один reg_sz через MSI пакет..
у меня нет слов, честно. особо вспомния ваш эпичный топик про "универсального солдата".

в аттаче переделанный пакет, проверьте его с вашими настройками.

в аттаче переделанный пакет, проверьте его с вашими настройками. »

Аналогично... установка не происходит.

вообще через ГП проще, на мой взгляд, но не суть, пусть так. »

Да не спорю, но я рассматриваю ещё вариант и как отдельный ПК без домена, а там или mmc или файл реестра.

показывайте ваши настройки, по "отключению" UAC. »


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableInstallerDetection"=dword:00000000
"EnableLUA"=dword:00000000
"PromptOnSecureDesktop"=dword:00000000
"ConsentPromptBehaviorAdmin"=dword:00000000
"EnableSecureUIAPaths"=dword:00000000
"EnableUIADesktopToggle"=dword:00000000
"EnableVirtualization"=dword:00000000
"FilterAdministratorToken"=dword:00000000
"ValidateAdminCodeSignatures"=dword:00000000


повторюсь, у вас стоит опция "требовать прав админа"! »

Мне эта опция в EMCO недоступна, впрочем я её не нашёл и просматривая msi пакет с помощью Orca (и вообще на уровне таблиц, в Orca, я не обнаружил никаких отличий, ведать где-то это зашито глубже.

вам самому не смешно? »

Нет, ни капельки... под "не установить никакие программы" я имею в виду именно установки программ в Program Files и доступ к ветке реестра HKLM, а не запуск msi пакета который вносит правку в пользовательскую ветку реестра ;)

да, закидывать один reg_sz через MSI пакет.. »

Каждый извращается как он хочет :teeth: В msi меня привлекает контроль версий.

у меня нет слов, честно. особо вспомния ваш эпичный топик про "универсального солдата". »

Пути создателя неисповедимы... :laugh:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableInstallerDetection"=dword:00000000
"EnableLUA"=dword:00000000
"PromptOnSecureDesktop"=dword:00000000
"ConsentPromptBehaviorAdmin"=dword:00000000
"EnableSecureUIAPaths"=dword:00000000
"EnableUIADesktopToggle"=dword:00000000
"EnableVirtualization"=dword:00000000
"FilterAdministratorToken"=dword:00000000
"ValidateAdminCodeSignatures"=dword:00000000 »
сделала так же, мой MSI ставится и прописывает нужный параметр.
что бы и у вас работало - обратитесь к первому моему посту в этой теме и сделайте требуемую настройку.


кстати у вас MSI кривой, при удалении пакета запись в реестре остаётся ;)

что бы и у вас работало - обратитесь к первому моему посту в этой теме и сделайте требуемую настройку. »

Не понял, мне нужно добавить этот параметр или убрать!? Что-то я совсем запутался...

кстати у вас MSI кривой, при удалении пакета запись в реестре остаётся »

Не кривой... всё там и задумано... ;) :tongue:

Не понял, мне нужно добавить этот параметр или убрать!? Что-то я совсем запутался... »
0 Windows Installer is enabled for all applications. All install operations are allowed.
всё там и задумано... »
:cry:

да, закидывать один reg_sz через MSI пакет.. »
кстати у вас MSI кривой, при удалении пакета запись в реестре остаётся »
Не кривой... всё там и задумано... »
Anton04, теперь и я не вижу никакого смысла в использовании msi-пакета.