shevgenius
10-02-2017, 13:56
Добрый день, на сервер терминалов пытаюсь установить приложение MSI-пакет, через GPO установка программ.
В нормальных условиях (под админом) программа, устанавливается исключительно в профиль пользователя.
При входе пользователя на сервер терминалов приложение не устанавливается, как понять в чем ошибка?
Если коротко, то как решить MSI error 1640 на терминальном сервере?
Спасибо.
Все три политики цепляю на OU=TerminalServers, в котором расположен терминальный сервер,
пользователи в OU=Employees, которое не находится в OU=TerminalServers.
Политики раздаю с Windows Server 2008 R2 на Windows Server 2003 R2.
Политики ограниченного использования программ, для терминального сервера, отключены или не созданы
В скобках порядок ссылок для OU=TerminalServers на вкладке "Связанные объекты групповой политики"
Фильтр безопасности: Прошедшие проверку
Политика установки ПО (1):
Параметры пользователя - установка программ - добавляю msi-пакет;
Тип развертывания: назначенный;
Параметры развертывания: устанавливать это приложение при входе пользователя в систему;
Сделать это 32-битное приложение доступным для Win64
Политика Установщика (2):
Параметры компьютера - Компоненты Windows - Установщик Windows
Ведение журнала событий - ставлю "v" - подробный вывод
Всегда устанавливать с повышенными правами - Включено (в реестре: AlwaysInstallElevated=1)
Запретить установщик Windows - Никогда (в реестре: DisableMSI=0)
Разрешить администраторам установку в сеансе службы удаленных рабочих столов - Включено (в реесте: EnableAdminTSRemote=1)
Запретить установки пользователям - Разрешить установку пользователям (EnableUserControl=0)
Политика замыкания (3):
Параметры компьютера: Система - Групповая политика -
Режим обработки замыкания пользовательской групповой политики - Слияние;
В режиме моделирования упорно не видит Политику установки ПО (1), т.е. там показывает пустую папку, хотя остальные политики видны.
и журнал событий на терминальном сервере говорит что политики успешно применены.
Журнал устновки ПО msi.log (такое имя упоминается в GPO, поиск по этому имени вообще ничего не находит)
setupsoft.log (от setupsoft.msi) тоже не находится, точнее, если под админом установить, то файл будет в профиле пользователя.
Метод грубой силы и танцев с бубном показал, что изменяя параметры от удаления и применения их в разной комбинации DisableMSI, AlwaysInstallElevated, EnableAdminTSRemote, EnableUserControl, что мы сначала получаем ошибку (выдержки из log-файла установки):
DisableMSI: (0|1)
Rejecting product '{GUID}': Non-assigned apps are disabled for non-admin users.
Информация 1625. Установка запрещена на основании системной политики. Обратитесь к системному администратору.
EnableAdminTSRemote: (0|1) работает только для админа на терминальном сервере:
Running install from non-console Terminal Server session.
Rejecting attempt to install from non-console Terminal Server Session
Информация 1640. Только администраторы обладают правами на добавление, удаление или настройку сервера в течение работы удаленного сеанса служб терминалов.
P.S. Тему смотрел, но ответа не нашел: Ошибка - [решено] Установка запрещена политикой. Как снять запрет?
В нормальных условиях (под админом) программа, устанавливается исключительно в профиль пользователя.
При входе пользователя на сервер терминалов приложение не устанавливается, как понять в чем ошибка?
Если коротко, то как решить MSI error 1640 на терминальном сервере?
Спасибо.
Все три политики цепляю на OU=TerminalServers, в котором расположен терминальный сервер,
пользователи в OU=Employees, которое не находится в OU=TerminalServers.
Политики раздаю с Windows Server 2008 R2 на Windows Server 2003 R2.
Политики ограниченного использования программ, для терминального сервера, отключены или не созданы
В скобках порядок ссылок для OU=TerminalServers на вкладке "Связанные объекты групповой политики"
Фильтр безопасности: Прошедшие проверку
Политика установки ПО (1):
Параметры пользователя - установка программ - добавляю msi-пакет;
Тип развертывания: назначенный;
Параметры развертывания: устанавливать это приложение при входе пользователя в систему;
Сделать это 32-битное приложение доступным для Win64
Политика Установщика (2):
Параметры компьютера - Компоненты Windows - Установщик Windows
Ведение журнала событий - ставлю "v" - подробный вывод
Всегда устанавливать с повышенными правами - Включено (в реестре: AlwaysInstallElevated=1)
Запретить установщик Windows - Никогда (в реестре: DisableMSI=0)
Разрешить администраторам установку в сеансе службы удаленных рабочих столов - Включено (в реесте: EnableAdminTSRemote=1)
Запретить установки пользователям - Разрешить установку пользователям (EnableUserControl=0)
Политика замыкания (3):
Параметры компьютера: Система - Групповая политика -
Режим обработки замыкания пользовательской групповой политики - Слияние;
В режиме моделирования упорно не видит Политику установки ПО (1), т.е. там показывает пустую папку, хотя остальные политики видны.
и журнал событий на терминальном сервере говорит что политики успешно применены.
Журнал устновки ПО msi.log (такое имя упоминается в GPO, поиск по этому имени вообще ничего не находит)
setupsoft.log (от setupsoft.msi) тоже не находится, точнее, если под админом установить, то файл будет в профиле пользователя.
Метод грубой силы и танцев с бубном показал, что изменяя параметры от удаления и применения их в разной комбинации DisableMSI, AlwaysInstallElevated, EnableAdminTSRemote, EnableUserControl, что мы сначала получаем ошибку (выдержки из log-файла установки):
DisableMSI: (0|1)
Rejecting product '{GUID}': Non-assigned apps are disabled for non-admin users.
Информация 1625. Установка запрещена на основании системной политики. Обратитесь к системному администратору.
EnableAdminTSRemote: (0|1) работает только для админа на терминальном сервере:
Running install from non-console Terminal Server session.
Rejecting attempt to install from non-console Terminal Server Session
Информация 1640. Только администраторы обладают правами на добавление, удаление или настройку сервера в течение работы удаленного сеанса служб терминалов.
P.S. Тему смотрел, но ответа не нашел: Ошибка - [решено] Установка запрещена политикой. Как снять запрет?