Не устанавливается софт с помощью групповых политик.

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

Не устанавливается софт с помощью групповых политик.

На виртуальной машине установил w2k3 server. Установил ему роли: файловый сервер, ДНС сервер, контроллер домена.
завел пользователя myuser с правами администратора домена.
На другой виртуальной машине установил WinXP, вогнал его в домен, захожу под пользователем myuser.
В АД создал подразделение mycomputer, перетащил туда из Computers комп VPCWINXP.
Зашел в свойства подразделения->групповая политика, создал новую политику qq.
В редакторе объектов политики в конфигурация компьютера->конфигурация программ->установка программ выбрал создать -> пакет...
указал путь \\192.168.1.1\msi\klite.msi. Состояние развертывания выбрал назначенное.
Папка \\192.168.1.1\msi расшарена для всех.
На WinXP в командной строке набрал gpupdate /force. Появилось сообщение, что были включены некоторые политики, выполняющиеся только при перезагрузке компьютера. Согласился с предложением перегрузиться.
Перед тем как надо указывать имя пользователя и пароль в окошечке при загрузке винды было написано, что Klite устанавливается, но не долго, всего несколько секунд.
После загрузки следов Klite замечено небыло.
gpresult дал следующие результаты:

Код:



Программа формирования отчета групповой политики операционной системы

Microsoft (R) Windows (R) XP версии 2.0

(С) Корпорация Майкрософт, 1981-2001



Создано на 16.10.2007 в 16:07:53







RSOP-результаты для MYDOMEN\Myuser на VPCWINXP : Режим журналирования

----------------------------------------------------------------------



Тип ОС:                     Microsoft Windows XP Professional

Конфигурация ОС:            Рядовая рабочая станция

Версия ОС:                  5.1.2600

Имя домена:                 MYDOMEN

Тип домена:                 Windows 2000

Имя сайта:                  Default-First-Site-Name

Перемещаемый профиль:                     

Локальный профиль:          C:\Documents and Settings\myuser

Подключение по медленному каналу?:        Нет





Конфигурация компьютера

------------------------

    CN=VPCWINXP,OU=mycomputers,DC=MyDomen,DC=ru

    Последнее применение групповой политики:  16.10.2007 at 16:05:45

    Групповая политика была применена с:      NGHSTVPCW2003.MyDomen.ru

    Порог медленной связи групповой политики: 500 kbps



    Примененные объекты групповой политики

    ---------------------------------------

        qq



    Следующие политики GPO не были приняты, поскольку они отфильтрованы

    --------------------------------------------------------------------

        Политика локальной группы

            Фильтрация:  Не применяется (пусто)



    Компьютер является членом следующих групп безопасности:

    -------------------------------------------------------

        Администраторы

        Все

        Пользователи

        СЕТЬ

        Прошедшие проверку

        VPCWINXP$

        Компьютеры домена

        



Конфигурация пользователя

--------------------------

    CN=Myuser,OU=myusers,DC=MyDomen,DC=ru

    Последнее применение групповой политики:  16.10.2007 at 16:05:45

    Групповая политика была применена с:      NGHSTVPCW2003.MyDomen.ru

    Порог медленной связи групповой политики: 500 kbps



    Примененные объекты групповой политики

    ---------------------------------------

        Н/Д



    Следующие политики GPO не были приняты, поскольку они отфильтрованы

    --------------------------------------------------------------------

        Политика локальной группы

            Фильтрация:  Не применяется (пусто)



    Пользователь является членом следующих групп безопасности:

    ----------------------------------------------------------

        Пользователи домена

        Все

        Пользователи

        Администраторы

        ИНТЕРАКТИВНЫЕ

        Прошедшие проверку

        ЛОКАЛЬНЫЕ

        Администраторы домена

При попытке в групповой политике указывать устанавливаемый софт в конфигурации пользователя он при выборе любого метода разворачивания
использует только публичный метод: помещает ярлыки на рабочий стол, при запуске которых пакет устанавливается.
Пытался кроме Klite ставить и другие проги, результат тот же самый.

Кто нибудь знает в чем может быть дело?

Цитата:

Цитата nghst

Папка \\192.168.1.1\msi расшарена для всех. »

Какие права на шару? Должны быть Everyone full access.

Цитата:

Цитата nghst

в окошечке при загрузке винды было написано, что Klite устанавливается, но не долго, всего несколько секунд. »

А если руками зайти в эту папку на сервере, то пакет устанавливается?

В разрешениях доступ полный у всех, в безопасности полный доступ у system, пользователи домена, администраторы домена, и у самой машины VPCWINXP.
Руками все устанавливается. Также все устанавливается с помощью публичного метода.

Еще забыл написать что после перезагрузки gpupdate /force показывает тоже самое: говорит что были включены некоторые политики, выполняющиеся только при перезагрузке компьютера и предлагает перегрузиться.

добавьте в безопасности доступ на чтение для "прошедшие проверку" (в английском варианте - "Authenticated Users")

Не помогло (

А чего в журнале то пишет по этому поводу?

п.с. ура, разменял первую сотню сообщений :)

А где журналы посмотреть ?)

Мой кампутер->управление->служебные программы->просмотр событий->Приложения(либо Система, точно не помню.)

Пуск - выполнить - eventvwr

На клиенте просмотр событий:

Код:

The service was started.



Назначение приложения WinRAR из политики mygp выполнено успешно.



Не удалось установить приложение WinRAR из политики mygp. Ошибка: Ресурс с 

установочными файлами для этого продукта недоступен. Проверьте существование

ресурса и  доступ к нему. 



Удаление назначения приложения WinRAR из политики mygp выполнено успешно.



Не удалось применить изменения для параметров установки приложения. Невозможно

 выполнить изменения для этого программного обеспечения. Должны существовать

предшествующие записи в журнале, содержащие необходимые сведения.  Ошибка: 

Ресурс с установочными файлами для этого продукта недоступен. Проверьте 

существование ресурса и  доступ к нему. 



Клиентское расширение групповой политики Установка программного обеспечения 

не может выполняться. Проверьте ранее выдававшиеся сообщения об ошибках этого расширения.

Очевидно что к \\192.168.1.1\msi\winrar.msi во время загрузки доступа нет.
В этой же политике задал еще 1 пакет с путем c:\klite.msi и на клиентской машине закинул на диск C Klite.msi - все нормально установилось.

После загрузки клиентской машины доступ к \\192.168.1.1\msi\winrar.msi имеется и все нормально ставится.
У папки msi в разрешениях все имеют полный доступ, в безопасности: System и Администраторы (mydomen\администраторы) имеют полный доступ; Пользователи(mydomen\пользователи) и Прошедшие проверку имеют доступ на чтение и выполнение.

А при выборе пакета из групповой политики какой адрес написан в пути к пакету?

Цитата:

Цитата nghst

\\192.168.1.1\msi\winrar.msi »

Такой или че нить типа D:\msi\winrar.msi?

в безопасности добавь SYSTEM с правами хотя бы на чтение, реально у меня стоит full control

Адрес написан именно \\192.168.1.1\msi\winrar.msi.
Доступ у SYSTEM полный, я же написал.

Цитата:

Цитата nghst

У папки msi в разрешениях все имеют полный доступ, в безопасности: System и Администраторы (mydomen\администраторы) имеют полный доступ; Пользователи(mydomen\пользователи) и Прошедшие проверку имеют доступ на чтение и выполнение. »

Сорри, не заметил.

Глупый вопрос:
а на самом файле .msi какие права? У меня в начале общения с NTFS несколько раз были проблемы с правами на файлы. Выяснилось, что эти файлы ПЕРЕНОСИЛИСЬ в каталог из других каталогов на этом же диске, и права на файлах были не наследованные от новой папки, а старые, до переноса.

Стоит наследование. У всех файлов такие же права.

Остается добавить в "безопасности" доступ на чтение для everyone и проверить, как оно будет себя вести

Если все равно не будет ставиться - можно проверить в политиках, кому разрешен доступ из сети к серверу, на котором лежат .msi

Кстати. Вспомнил.
Были проблемы с установкой софта из политики.

Вылечилось отключением галки "выключать устройство для экономии..." в свойствах сетевой карты на закладке "управление электропитанием"

Для сетевых карт SIS 900 и Realtek (модельне помню, встроенные в материнки ASUS) потребовалось переставить новые дрова с сайта производителя.

С новыми дровами и с выключенной галкой всё заработало.

Бред какой то. Неделю парился с этой фигней.
Случайно в политиках вместо \\192.168.1.1\msi\winrar.msi написал \\mydc\msi\winrar.msi и все заработало.

Да уж. Сделайте ping mydc и запишите IP

>>ping mydc
Обмен пакетами с mydc.mydomen.ru [192.168.1.1] по 32 байт:
.....

nghst,
Осталось поверить в барабашек

Цитата:

Цитата nghst

Случайно в политиках вместо \\192.168.1.1\msi\winrar.msi написал \\mydc\msi\winrar.msi и все заработало. »

Ну вот и хорошо. :) Решение кстати необычное, но наверняка микрасофт где нить это объясняет ;)

ИМХО - скорее всего проблема кроется в резолвинге IP-адресов, т.е. с DNS-сервером.

xoxmodav,
Вообще-то DNS разрешает имена в IP, а не наоборот.

Цитата:

Цитата monkkey

Вообще-то DNS разрешает имена в IP, а не наоборот »

\\mydc может разрешаться через WINS, вообще без участия DNS'a =)

А как можно проверить, что DNS полностью правильно настроен?

nghst,
Начинаем с dcdiag , далее netdiag, dnslint и т.п.

Цитата:

Цитата monkkey

xoxmodav,
Вообще-то DNS разрешает имена в IP, а не наоборот. »

Вообще-то он также может и обычно производит рекурсию IP-адресов в символьные имёна.