На виртуальной машине установил w2k3 server. Установил ему роли: файловый сервер, ДНС сервер, контроллер домена.
завел пользователя myuser с правами администратора домена.
На другой виртуальной машине установил WinXP, вогнал его в домен, захожу под пользователем myuser.
В АД создал подразделение mycomputer, перетащил туда из Computers комп VPCWINXP.
Зашел в свойства подразделения->групповая политика, создал новую политику qq.
В редакторе объектов политики в конфигурация компьютера->конфигурация программ->установка программ выбрал создать -> пакет...
указал путь \\192.168.1.1\msi\klite.msi. Состояние развертывания выбрал назначенное.
Папка \\192.168.1.1\msi расшарена для всех.
На WinXP в командной строке набрал gpupdate /force. Появилось сообщение, что были включены некоторые политики, выполняющиеся только при перезагрузке компьютера. Согласился с предложением перегрузиться.
Перед тем как надо указывать имя пользователя и пароль в окошечке при загрузке винды было написано, что Klite устанавливается, но не долго, всего несколько секунд.
После загрузки следов Klite замечено небыло.
gpresult дал следующие результаты:



Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) XP версии 2.0
(С) Корпорация Майкрософт, 1981-2001

Создано на 16.10.2007 в 16:07:53



RSOP-результаты для MYDOMEN\Myuser на VPCWINXP : Режим журналирования
----------------------------------------------------------------------

Тип ОС: Microsoft Windows XP Professional
Конфигурация ОС: Рядовая рабочая станция
Версия ОС: 5.1.2600
Имя домена: MYDOMEN
Тип домена: Windows 2000
Имя сайта: Default-First-Site-Name
Перемещаемый профиль:
Локальный профиль: C:\Documents and Settings\myuser
Подключение по медленному каналу?: Нет


Конфигурация компьютера
------------------------
CN=VPCWINXP,OU=mycomputers,DC=MyDomen,DC=ru
Последнее применение групповой политики: 16.10.2007 at 16:05:45
Групповая политика была применена с: NGHSTVPCW2003.MyDomen.ru
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
qq

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)

Компьютер является членом следующих групп безопасности:
-------------------------------------------------------
Администраторы
Все
Пользователи
СЕТЬ
Прошедшие проверку
VPCWINXP$
Компьютеры домена


Конфигурация пользователя
--------------------------
CN=Myuser,OU=myusers,DC=MyDomen,DC=ru
Последнее применение групповой политики: 16.10.2007 at 16:05:45
Групповая политика была применена с: NGHSTVPCW2003.MyDomen.ru
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
Н/Д

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)

Пользователь является членом следующих групп безопасности:
----------------------------------------------------------
Пользователи домена
Все
Пользователи
Администраторы
ИНТЕРАКТИВНЫЕ
Прошедшие проверку
ЛОКАЛЬНЫЕ
Администраторы домена


При попытке в групповой политике указывать устанавливаемый софт в конфигурации пользователя он при выборе любого метода разворачивания
использует только публичный метод: помещает ярлыки на рабочий стол, при запуске которых пакет устанавливается.
Пытался кроме Klite ставить и другие проги, результат тот же самый.

Кто нибудь знает в чем может быть дело?

Папка \\192.168.1.1\msi расшарена для всех. »
Какие права на шару? Должны быть Everyone full access.
в окошечке при загрузке винды было написано, что Klite устанавливается, но не долго, всего несколько секунд. »
А если руками зайти в эту папку на сервере, то пакет устанавливается?

В разрешениях доступ полный у всех, в безопасности полный доступ у system, пользователи домена, администраторы домена, и у самой машины VPCWINXP.
Руками все устанавливается. Также все устанавливается с помощью публичного метода.

Еще забыл написать что после перезагрузки gpupdate /force показывает тоже самое: говорит что были включены некоторые политики, выполняющиеся только при перезагрузке компьютера и предлагает перегрузиться.

добавьте в безопасности доступ на чтение для "прошедшие проверку" (в английском варианте - "Authenticated Users")

Не помогло (

А чего в журнале то пишет по этому поводу?

п.с. ура, разменял первую сотню сообщений :)

А где журналы посмотреть ?)

Мой кампутер->управление->служебные программы->просмотр событий->Приложения(либо Система, точно не помню.)

Пуск - выполнить - eventvwr

На клиенте просмотр событий:

The service was started.

Назначение приложения WinRAR из политики mygp выполнено успешно.

Не удалось установить приложение WinRAR из политики mygp. Ошибка: Ресурс с
установочными файлами для этого продукта недоступен. Проверьте существование
ресурса и доступ к нему.

Удаление назначения приложения WinRAR из политики mygp выполнено успешно.

Не удалось применить изменения для параметров установки приложения. Невозможно
выполнить изменения для этого программного обеспечения. Должны существовать
предшествующие записи в журнале, содержащие необходимые сведения. Ошибка:
Ресурс с установочными файлами для этого продукта недоступен. Проверьте
существование ресурса и доступ к нему.

Клиентское расширение групповой политики Установка программного обеспечения
не может выполняться. Проверьте ранее выдававшиеся сообщения об ошибках этого расширения.


Очевидно что к \\192.168.1.1\msi\winrar.msi во время загрузки доступа нет.
В этой же политике задал еще 1 пакет с путем c:\klite.msi и на клиентской машине закинул на диск C Klite.msi - все нормально установилось.

После загрузки клиентской машины доступ к \\192.168.1.1\msi\winrar.msi имеется и все нормально ставится.
У папки msi в разрешениях все имеют полный доступ, в безопасности: System и Администраторы (mydomen\администраторы) имеют полный доступ; Пользователи(mydomen\пользователи) и Прошедшие проверку имеют доступ на чтение и выполнение.

А при выборе пакета из групповой политики какой адрес написан в пути к пакету?
\\192.168.1.1\msi\winrar.msi » Такой или че нить типа D:\msi\winrar.msi?

в безопасности добавь SYSTEM с правами хотя бы на чтение, реально у меня стоит full control

Адрес написан именно \\192.168.1.1\msi\winrar.msi.
Доступ у SYSTEM полный, я же написал.

У папки msi в разрешениях все имеют полный доступ, в безопасности: System и Администраторы (mydomen\администраторы) имеют полный доступ; Пользователи(mydomen\пользователи) и Прошедшие проверку имеют доступ на чтение и выполнение. »
Сорри, не заметил.

Глупый вопрос:
а на самом файле .msi какие права? У меня в начале общения с NTFS несколько раз были проблемы с правами на файлы. Выяснилось, что эти файлы ПЕРЕНОСИЛИСЬ в каталог из других каталогов на этом же диске, и права на файлах были не наследованные от новой папки, а старые, до переноса.

Стоит наследование. У всех файлов такие же права.

Остается добавить в "безопасности" доступ на чтение для everyone и проверить, как оно будет себя вести

Если все равно не будет ставиться - можно проверить в политиках, кому разрешен доступ из сети к серверу, на котором лежат .msi

Кстати. Вспомнил.
Были проблемы с установкой софта из политики.

Вылечилось отключением галки "выключать устройство для экономии..." в свойствах сетевой карты на закладке "управление электропитанием"

Для сетевых карт SIS 900 и Realtek (модельне помню, встроенные в материнки ASUS) потребовалось переставить новые дрова с сайта производителя.

С новыми дровами и с выключенной галкой всё заработало.

Бред какой то. Неделю парился с этой фигней.
Случайно в политиках вместо \\192.168.1.1\msi\winrar.msi написал \\mydc\msi\winrar.msi и все заработало.

офигеть :o

Да уж. Сделайте ping mydc и запишите IP

>>ping mydc
Обмен пакетами с mydc.mydomen.ru [192.168.1.1] по 32 байт:
.....