Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Ошибка установки msi пакета на сервере от имени доменого пользователя. (http://forum.oszone.net/showthread.php?t=237335)

Anton04 26-06-2012 13:08 1940720

Ошибка установки msi пакета на сервере от имени доменого пользователя.
 
Здравствуйте. :hi:

Предлагаю очередную задачку для профессионалов и любителей пошевелить мозгами. ;)

При запуске msi пакета из под пользователя домена (т.е. не обладающего административными правами) возникает ошибка "Данная установка запрещена политикой, заданной системным администратором" (эта тема чем то пересекается с Доступ - Данная установка запрещена политикой, заданной системным администратором), запуск происходит на сервере терминалов в среде Windows 2008/2008R2. В домене нету политики ограничения программ, т.е. она не определена. На всякий случай перерыл все политики домена и ничего запрещающего не нашёл.

Ради эксперимента вывел один из серверов в отдельную OU и выставил настройку блокировать наследование, обновил групповую политику на этот сервере, перезагрузил, а вот результат тот же...

Этот же msi пакет прекрасно ставится и отрабатывает в этот же домене на пользовательских ПК и на виртуальной машине из под не доменного пользователя ПК.

Логи от msi и Process Monitor прилагаю для анализа.

У самого уже идеи кончились.

Telepuzik 26-06-2012 13:21 1940732

Цитата:

Цитата Anton04
В домене нету политики ограничения программ, т.е. она не определена. На всякий случай перерыл все политики домена и ничего запрещающего не нашёл. »

А покажите все таки что содержимое gp.html после выполнения командыgpresult /H gp.html запущенной от имени проблемного пользователя.

cameron 26-06-2012 14:38 1940778

http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx
оно?

P.S. ставить консультант+ через msi это верх извращения.

Anton04 26-06-2012 14:58 1940794

Telepuzik,

Результат прилагаю.

Цитата:

Цитата cameron
оно? »

Нет конечно, я внимательно прочитал ту тему которую вынес в заглавный пост и всё проверил, там у меня такого нет.

Цитата:

Цитата cameron
P.S. ставить консультант+ через msi это верх извращения. »

Это не установка консультанта, как вы могли подумать, это всего лишь настройка каталога пользователя для консультанта ;) Т.к. по умолчанию консультант создаёт (пытается создать) каталог в корне системного диска, а мне это не по нраву, вот и задаю я его для всех по очереди пользователей как "%APPDATA%\ConsUserData" ;) Люблю понимаете порядок в "доме". :boast: :teeth:

cameron 26-06-2012 15:10 1940805

Anton04,
поделитесь msi-файликом, погонять виртуальных машинках.

Anton04 26-06-2012 15:15 1940809

Цитата:

Цитата cameron
поделитесь msi-файликом, погонять виртуальных машинках. »

Да не вопрос, пожалуйте.

cameron 26-06-2012 15:45 1940828

Цитата:

Цитата Anton04
Да не вопрос, пожалуйте. »

у меня выскакивает приглашение UAC, а у вас, судя по всему нет.
если мы говорим о рядовом пользователе.

Anton04 26-06-2012 15:46 1940829

Цитата:

Цитата cameron
у меня выскакивает приглашение UAC, а у вас, судя по всему нет.
если мы говорим о рядовом пользователе. »

Да всё верно, у меня UAC отключён.

cameron 26-06-2012 16:13 1940851

Anton04,
а чем вы делали этот msi пакет?
EMCO MSI builder падает на дэбаге, InstallShield - тоже =)
мне просто интересно поглядеть что же вы такого страшного и сложного пихаете через MSI на терминалы с отключеным UAC, что нельзя ловко и гибко пихнуть через GPP

Anton04 26-06-2012 16:26 1940859

Цитата:

Цитата cameron
а чем вы делали этот msi пакет? »

Цитата:

Цитата cameron
EMCO MSI builder »

Именно им родным.

Цитата:

Цитата cameron
не просто интересно поглядеть что же вы такого страшного и сложного пихаете через MSI на терминалы с отключеным UAC, что нельзя ловко и гибко пихнуть через GPP »

Ну почему же нельзя можно, но так возможно более широкое применение, да и сделал ради интереса в купе с ещё несколькими пакетами...

P.S. Проект прикрепил.

P.P.S. Странно, но у меня EMCO не падает на дебаге...

cameron 26-06-2012 16:41 1940869

Цитата:

Цитата Anton04
Именно им родным. »

4.5.1.7068?
Цитата:

Цитата Anton04
P.P.S. Странно, но у меня EMCO не падает на дебаге... »

у меня он падает на Decompile MSI =(
ну а InstallShield на Direct Edit

в общем я ковырнула что увидела через InstallShield.
у вас стоит опция
"require administrative privileges=yes"
что при выключеном UAC даёт однозначный мимо кассы.
AFAIK в 2008 R2 выключить UAC нельзя, можно лишь подавить окна.
одно из окон таково:
"Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей
Этот параметр политики определяет поведение запроса на повышение прав для обычных пользователей.
", у вас явно стоит "автоматически отклонять", поэтому результат очевиден.

проверить с выключеным UAC мне реально негде, но! если в MSI поставить
"require administrative privileges=no" то установка пакета происходит с правами пользователя и включеным UAC.

Цитата:

Цитата Anton04
P.S. Проект прикрепил. »

читаю хелп от EMCO, как открыть пакет, которого нет в спике созданных мной.
позор :help:

Anton04 26-06-2012 16:50 1940877

Цитата:

Цитата cameron
4.5.1.7068? »

да.

Цитата:

Цитата cameron
AFAIK в 2008 R2 выключить UAC нельзя, можно лишь подавить окна. »

Не понял... Вы хотите сказать, что UAC нельзя отключить так же как это делается в Windows 7!?

Цитата:

Цитата cameron
проверить с выключеным UAC мне реально негде, но! если в MSI поставить
"require administrative privileges=no" то установка пакета происходит с правами пользователя и включеным UAC. »

Ну есть там такая опция при генерации msi пакета (в хелпе раздел "Creating MSI Package" рис. 4, если я правильно понял), я как то на неё не обращал внимание, т.к. UAC всё ровно выключен.

Цитата:

Цитата cameron
читаю хелп от EMCO, как открыть пакет, которого нет в спике созданных мной. »

Всё просто, создаёте новый пакет с названием consultant, далее закрываете прогу и идёте по пути C:\MSIPBRoot\consultant, удаляете там всё и разархивируете туда мой проект.

cameron 26-06-2012 22:44 1941059

Цитата:

Цитата Anton04
Вы хотите сказать, что UAC нельзя отключить так же как это делается в Windows 7!? »

если вы о самом нижнем положении регулятора - то прочитайте внимательней что он пишет. В Vista это положение означало "отключено", в вин7 - нет.
Цитата:

Цитата Anton04
Ну есть там такая опция при генерации msi пакета (в хелпе раздел "Creating MSI Package" рис. 4, если я правильно понял), я как то на неё не обращал внимание »

обратите, я изменила через InstallShield на "NO" и установка пошла.
Цитата:

Цитата Anton04
т.к. UAC всё ровно выключен. »

вообще это крайне не верно.
Цитата:

Всё просто, создаёте новый пакет с названием consultant, далее закрываете прогу и идёте по пути C:\MSIPBRoot\consultant, удаляете там всё и разархивируете туда мой проект.
как всё просто, спасибо.

Anton04 27-06-2012 10:10 1941218

Цитата:

Цитата cameron
если вы о самом нижнем положении регулятора - то прочитайте внимательней что он пишет. »

Цитата:

Никогда не уведомлять о следующих случаях:

.....

Не рекомендуется. Выбирайте этот вариант, только если нужно использовать программы не сертифицированные для Windows 7, т.к. они не поддерживают управление учётными записями пользователей.
Это как раз мой случай, есть программы не сертифицированные для использования в Windows 7. К тому же можно ещё и поправить соответствующие параметры в реестре HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System отвечающие за UAC и отключить его совсем. ;)

Кстати я ради интереса проверил эту msi и на Windows 2008 и тоже с отключённым UAC и там тоже не устанавливается от имени пользователя... вот такая вот байда... :(

Цитата:

Цитата cameron
обратите, я изменила через InstallShield на "NO" и установка пошла. »

Ну, у меня нету InstallShield, а в EMCO MSI builder именно такого нет, только то что я указал в предыдущем сообщении, если это не оно (я попробовал и создал msi с этим выбранным параметром "administrator" и всё ровно не пошло), то я даже теряюсь в догадках...

Цитата:

Цитата cameron
вообще это крайне не верно. »

Это тема отдельного обсуждения, но в кратце не вижу смысла этой технологии в сервере терминалов, всё ровно пользователь ничего там установить не сможет.

Цитата:

Цитата cameron
как всё просто, спасибо. »

Пожалуйста. :)

cameron 27-06-2012 11:49 1941297

Вложений: 1
Цитата:

Цитата Anton04
Это как раз мой случай, есть программы не сертифицированные для использования в Windows 7. К тому же можно ещё и поправить соответствующие параметры в реестре HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System отвечающие за UAC и отключить его совсем. »

вообще через ГП проще, на мой взгляд, но не суть, пусть так.
показывайте ваши настройки, по "отключению" UAC.
Цитата:

Цитата Anton04
Кстати я ради интереса проверил эту msi и на Windows 2008 и тоже с отключённым UAC и там тоже не устанавливается от имени пользователя... вот такая вот байда... »

повторюсь, у вас стоит опция "требовать прав админа"!
Цитата:

Цитата Anton04
Ну, у меня нету InstallShield, а в EMCO MSI builder именно такого нет, только то что я указал в предыдущем сообщении, если это не оно (я попробовал и создал msi с этим выбранным параметром "administrator" и всё ровно не пошло), то я даже теряюсь в догадках... »

да, я тоже не нашла в EMCO этой опции.
Цитата:

Цитата Anton04
Это тема отдельного обсуждения, но в кратце не вижу смысла этой технологии в сервере терминалов, всё ровно пользователь ничего там установить не сможет. »

- всё равно ничего установить не может.
- ой блин, у меня пользователи ничего установить не могут.
- но я не вижу смысла.

вам самому не смешно? ;)

да, закидывать один reg_sz через MSI пакет..
у меня нет слов, честно. особо вспомния ваш эпичный топик про "универсального солдата".

в аттаче переделанный пакет, проверьте его с вашими настройками.

Anton04 27-06-2012 12:21 1941323

Цитата:

Цитата cameron
в аттаче переделанный пакет, проверьте его с вашими настройками. »

Аналогично... установка не происходит.

Цитата:

Цитата cameron
вообще через ГП проще, на мой взгляд, но не суть, пусть так. »

Да не спорю, но я рассматриваю ещё вариант и как отдельный ПК без домена, а там или mmc или файл реестра.

Цитата:

Цитата cameron
показывайте ваши настройки, по "отключению" UAC. »

читать дальше »

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableInstallerDetection"=dword:00000000
"EnableLUA"=dword:00000000
"PromptOnSecureDesktop"=dword:00000000
"ConsentPromptBehaviorAdmin"=dword:00000000
"EnableSecureUIAPaths"=dword:00000000
"EnableUIADesktopToggle"=dword:00000000
"EnableVirtualization"=dword:00000000
"FilterAdministratorToken"=dword:00000000
"ValidateAdminCodeSignatures"=dword:00000000


Цитата:

Цитата cameron
повторюсь, у вас стоит опция "требовать прав админа"! »

Мне эта опция в EMCO недоступна, впрочем я её не нашёл и просматривая msi пакет с помощью Orca (и вообще на уровне таблиц, в Orca, я не обнаружил никаких отличий, ведать где-то это зашито глубже.

Цитата:

Цитата cameron
вам самому не смешно? »

Нет, ни капельки... под "не установить никакие программы" я имею в виду именно установки программ в Program Files и доступ к ветке реестра HKLM, а не запуск msi пакета который вносит правку в пользовательскую ветку реестра ;)

Цитата:

Цитата cameron
да, закидывать один reg_sz через MSI пакет.. »

Каждый извращается как он хочет :teeth: В msi меня привлекает контроль версий.

Цитата:

Цитата cameron
у меня нет слов, честно. особо вспомния ваш эпичный топик про "универсального солдата". »

Пути создателя неисповедимы... :laugh:

cameron 27-06-2012 13:03 1941372

Цитата:

Цитата Anton04
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableInstallerDetection"=dword:00000000
"EnableLUA"=dword:00000000
"PromptOnSecureDesktop"=dword:00000000
"ConsentPromptBehaviorAdmin"=dword:00000000
"EnableSecureUIAPaths"=dword:00000000
"EnableUIADesktopToggle"=dword:00000000
"EnableVirtualization"=dword:00000000
"FilterAdministratorToken"=dword:00000000
"ValidateAdminCodeSignatures"=dword:00000000 »

сделала так же, мой MSI ставится и прописывает нужный параметр.
что бы и у вас работало - обратитесь к первому моему посту в этой теме и сделайте требуемую настройку.


кстати у вас MSI кривой, при удалении пакета запись в реестре остаётся ;)

Anton04 27-06-2012 13:11 1941380

Цитата:

Цитата cameron
что бы и у вас работало - обратитесь к первому моему посту в этой теме и сделайте требуемую настройку. »

Не понял, мне нужно добавить этот параметр или убрать!? Что-то я совсем запутался...

Цитата:

Цитата cameron
кстати у вас MSI кривой, при удалении пакета запись в реестре остаётся »

Не кривой... всё там и задумано... ;) :tongue:

cameron 27-06-2012 13:15 1941384

Цитата:

Цитата Anton04
Не понял, мне нужно добавить этот параметр или убрать!? Что-то я совсем запутался... »

Цитата:

0 Windows Installer is enabled for all applications. All install operations are allowed.
Цитата:

Цитата Anton04
всё там и задумано... »

:cry:

Iska 27-06-2012 13:21 1941389

Цитата:

Цитата cameron
да, закидывать один reg_sz через MSI пакет.. »

Цитата:

Цитата cameron
кстати у вас MSI кривой, при удалении пакета запись в реестре остаётся »

Цитата:

Цитата Anton04
Не кривой... всё там и задумано... »

Anton04, теперь и я не вижу никакого смысла в использовании msi-пакета.

Anton04 27-06-2012 13:25 1941393

Цитата:

Цитата Iska
теперь и я не вижу никакого смысла в использовании msi-пакета. »

Смысл есть, это прежде всего прописать всем пользователям (и текущим и будущим) правильный путь к пользовательской директории консультанта, а вот если изменится "большая политика", то прописать другой пить... ;)

Ну и в конце концов там должен же быть хоть какой-то путь...

WindowsNT 27-06-2012 13:27 1941395

Расскажите человеку про Group Policy Preferences.

cameron 27-06-2012 13:29 1941397

Цитата:

Цитата Anton04
Смысл есть, это прежде всего прописать всем пользователям (и текущим и будущим) правильный путь к пользовательской директории консультанта, а вот если изменится "большая политика", то прописать другой пить... »

стесняюсь спросить, а вы Group Policy Preferences видели?..
потому что в данном случае вы, горделиво, изобретаете велосипед, с квадрантыми колёсами, стоящими даже не на одной прямой, между нами говоря.
при этом операция на которую нужно тратить 2 минуты саппорта, выполняется явно не саппортом, с помощью стороннего софта, и сильно не за минуту.


Цитата:

Цитата WindowsNT
Расскажите человеку про Group Policy Preferences. »

у него UAC Отключен => безпротокольная душа.

WindowsNT 27-06-2012 13:38 1941403

Настаиваю на отключении UAC, если всё сделано по уму, а именно: нет рядовых пользователей с правами администратора, а сам администратор использует свою учётную запись только по необходимости, в остальное время работая под учётной записью нормального пользователя. В таких условиях UAC не просто не нужен, но может быть даже вреден.

Однако, попытка изобретения msi-шных Preferences заставляет сомневаться, что всё нормально.

Anton04 27-06-2012 13:38 1941404

Цитата:

Цитата cameron
стесняюсь спросить, а вы Group Policy Preferences видели?.. »

Видел конечно и применяю, но... см. ниже.

Цитата:

Цитата cameron
потому что в данном случае вы, горделиво, изобретаете велосипед, с квадрантыми колёсами, стоящими даже не на одной прямой, между нами говоря.
при этом операция на которую нужно тратить 2 минуты саппорта, выполняется явно не саппортом, с помощью стороннего софта, и сильно не за минуту. »

Прекрасно это осознаю, но я по пути ещё в добавок изучаю создание msi и какие есть подводные камни... это всё только эксперименты, вполне допускаю что я пойду другим путём (более привычным, чрез GPO), т.к. этот будет более затратен.

cameron 28-06-2012 06:51 1941824

Anton04,
у вас заработало, в итоге то? =)

Anton04 28-06-2012 10:05 1941882

Цитата:

Цитата cameron
у вас заработало, в итоге то? »

Сори за долгую отлучку, сильно занят был...

В общем, после внесения изменения в реестр:

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
@=""
"DisableMSI"=dword:00000000

И перезагрузки, при запуске получаю уже другую ошибку (прогресс!) со следующим содержимым:

Цитата:

Программа установки обнаружила непредвиденную ошибку при установке данного пакета. Возможно, она вызвана неполадками в этом пакете. Код ошибки 2755.
В логе установки нашёл такую интересную вещь: "...Rejecting attempt to install from non-console Terminal Server Session
Информация 1640. Только администраторы обладают правами на добавление, удаление или настройку сервера в течение работы удаленного сеанса служб терминалов. Обратитесь за помощью к системному администратору."

Вот теперь думаю дело точно где-то в политиках... но вот где, это ещё тот вопрос... :flag:


Время: 23:14.

Время: 23:14.
© OSzone.net 2001-