Ошибка установки msi пакета на сервере от имени доменого пользователя.
 

Здравствуйте. :hi:

Предлагаю очередную задачку для профессионалов и любителей пошевелить мозгами. ;)

При запуске msi пакета из под пользователя домена (т.е. не обладающего административными правами) возникает ошибка "Данная установка запрещена политикой, заданной системным администратором" (эта тема чем то пересекается с Доступ - Данная установка запрещена политикой, заданной системным администратором), запуск происходит на сервере терминалов в среде Windows 2008/2008R2. В домене нету политики ограничения программ, т.е. она не определена. На всякий случай перерыл все политики домена и ничего запрещающего не нашёл.

Ради эксперимента вывел один из серверов в отдельную OU и выставил настройку блокировать наследование, обновил групповую политику на этот сервере, перезагрузил, а вот результат тот же...

Этот же msi пакет прекрасно ставится и отрабатывает в этот же домене на пользовательских ПК и на виртуальной машине из под не доменного пользователя ПК.

Логи от msi и Process Monitor прилагаю для анализа.

У самого уже идеи кончились.

А покажите все таки что содержимое gp.html после выполнения командыgpresult /H gp.html запущенной от имени проблемного пользователя.

http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx
оно?

P.S. ставить консультант+ через msi это верх извращения.

Telepuzik,

Результат прилагаю.

Нет конечно, я внимательно прочитал ту тему которую вынес в заглавный пост и всё проверил, там у меня такого нет.

Это не установка консультанта, как вы могли подумать, это всего лишь настройка каталога пользователя для консультанта ;) Т.к. по умолчанию консультант создаёт (пытается создать) каталог в корне системного диска, а мне это не по нраву, вот и задаю я его для всех по очереди пользователей как "%APPDATA%\ConsUserData" ;) Люблю понимаете порядок в "доме". :boast: :teeth:

Anton04,
поделитесь msi-файликом, погонять виртуальных машинках.

Да не вопрос, пожалуйте.

у меня выскакивает приглашение UAC, а у вас, судя по всему нет.
если мы говорим о рядовом пользователе.

Да всё верно, у меня UAC отключён.

Именно им родным.

Ну почему же нельзя можно, но так возможно более широкое применение, да и сделал ради интереса в купе с ещё несколькими пакетами...

P.S. Проект прикрепил.

P.P.S. Странно, но у меня EMCO не падает на дебаге...

4.5.1.7068?
у меня он падает на Decompile MSI =(
ну а InstallShield на Direct Edit

в общем я ковырнула что увидела через InstallShield.
у вас стоит опция
"require administrative privileges=yes"
что при выключеном UAC даёт однозначный мимо кассы.
AFAIK в 2008 R2 выключить UAC нельзя, можно лишь подавить окна.
одно из окон таково:
"Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей
Этот параметр политики определяет поведение запроса на повышение прав для обычных пользователей.
", у вас явно стоит "автоматически отклонять", поэтому результат очевиден.

проверить с выключеным UAC мне реально негде, но! если в MSI поставить
"require administrative privileges=no" то установка пакета происходит с правами пользователя и включеным UAC.

читаю хелп от EMCO, как открыть пакет, которого нет в спике созданных мной.
позор :help:

да.

Не понял... Вы хотите сказать, что UAC нельзя отключить так же как это делается в Windows 7!?

Ну есть там такая опция при генерации msi пакета (в хелпе раздел "Creating MSI Package" рис. 4, если я правильно понял), я как то на неё не обращал внимание, т.к. UAC всё ровно выключен.

Всё просто, создаёте новый пакет с названием consultant, далее закрываете прогу и идёте по пути C:\MSIPBRoot\consultant, удаляете там всё и разархивируете туда мой проект.

если вы о самом нижнем положении регулятора - то прочитайте внимательней что он пишет. В Vista это положение означало "отключено", в вин7 - нет.
обратите, я изменила через InstallShield на "NO" и установка пошла.
вообще это крайне не верно.
как всё просто, спасибо.

Это как раз мой случай, есть программы не сертифицированные для использования в Windows 7. К тому же можно ещё и поправить соответствующие параметры в реестре HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System отвечающие за UAC и отключить его совсем. ;)

Кстати я ради интереса проверил эту msi и на Windows 2008 и тоже с отключённым UAC и там тоже не устанавливается от имени пользователя... вот такая вот байда... :(

Ну, у меня нету InstallShield, а в EMCO MSI builder именно такого нет, только то что я указал в предыдущем сообщении, если это не оно (я попробовал и создал msi с этим выбранным параметром "administrator" и всё ровно не пошло), то я даже теряюсь в догадках...

Это тема отдельного обсуждения, но в кратце не вижу смысла этой технологии в сервере терминалов, всё ровно пользователь ничего там установить не сможет.

Пожалуйста. :)

вообще через ГП проще, на мой взгляд, но не суть, пусть так.
показывайте ваши настройки, по "отключению" UAC.
повторюсь, у вас стоит опция "требовать прав админа"!
да, я тоже не нашла в EMCO этой опции.
- всё равно ничего установить не может.
- ой блин, у меня пользователи ничего установить не могут.
- но я не вижу смысла.

вам самому не смешно? ;)

да, закидывать один reg_sz через MSI пакет..
у меня нет слов, честно. особо вспомния ваш эпичный топик про "универсального солдата".

в аттаче переделанный пакет, проверьте его с вашими настройками.

Аналогично... установка не происходит.

Да не спорю, но я рассматриваю ещё вариант и как отдельный ПК без домена, а там или mmc или файл реестра.



Мне эта опция в EMCO недоступна, впрочем я её не нашёл и просматривая msi пакет с помощью Orca (и вообще на уровне таблиц, в Orca, я не обнаружил никаких отличий, ведать где-то это зашито глубже.

Нет, ни капельки... под "не установить никакие программы" я имею в виду именно установки программ в Program Files и доступ к ветке реестра HKLM, а не запуск msi пакета который вносит правку в пользовательскую ветку реестра ;)

Каждый извращается как он хочет :teeth: В msi меня привлекает контроль версий.

Пути создателя неисповедимы... :laugh:

сделала так же, мой MSI ставится и прописывает нужный параметр.
что бы и у вас работало - обратитесь к первому моему посту в этой теме и сделайте требуемую настройку.


кстати у вас MSI кривой, при удалении пакета запись в реестре остаётся ;)

Не понял, мне нужно добавить этот параметр или убрать!? Что-то я совсем запутался...

Не кривой... всё там и задумано... ;) :tongue:

:cry:

Anton04, теперь и я не вижу никакого смысла в использовании msi-пакета.

Смысл есть, это прежде всего прописать всем пользователям (и текущим и будущим) правильный путь к пользовательской директории консультанта, а вот если изменится "большая политика", то прописать другой пить... ;)

Ну и в конце концов там должен же быть хоть какой-то путь...

Расскажите человеку про Group Policy Preferences.

стесняюсь спросить, а вы Group Policy Preferences видели?..
потому что в данном случае вы, горделиво, изобретаете велосипед, с квадрантыми колёсами, стоящими даже не на одной прямой, между нами говоря.
при этом операция на которую нужно тратить 2 минуты саппорта, выполняется явно не саппортом, с помощью стороннего софта, и сильно не за минуту.


у него UAC Отключен => безпротокольная душа.

Настаиваю на отключении UAC, если всё сделано по уму, а именно: нет рядовых пользователей с правами администратора, а сам администратор использует свою учётную запись только по необходимости, в остальное время работая под учётной записью нормального пользователя. В таких условиях UAC не просто не нужен, но может быть даже вреден.

Однако, попытка изобретения msi-шных Preferences заставляет сомневаться, что всё нормально.

Видел конечно и применяю, но... см. ниже.

Прекрасно это осознаю, но я по пути ещё в добавок изучаю создание msi и какие есть подводные камни... это всё только эксперименты, вполне допускаю что я пойду другим путём (более привычным, чрез GPO), т.к. этот будет более затратен.

Anton04,
у вас заработало, в итоге то? =)

Сори за долгую отлучку, сильно занят был...

В общем, после внесения изменения в реестр:

И перезагрузки, при запуске получаю уже другую ошибку (прогресс!) со следующим содержимым:

В логе установки нашёл такую интересную вещь: "...Rejecting attempt to install from non-console Terminal Server Session
Информация 1640. Только администраторы обладают правами на добавление, удаление или настройку сервера в течение работы удаленного сеанса служб терминалов. Обратитесь за помощью к системному администратору."

Вот теперь думаю дело точно где-то в политиках... но вот где, это ещё тот вопрос... :flag: