reset 10 Geschrieben 18. Dezember 2009 Melden Teilen Geschrieben 18. Dezember 2009 Hallo, ich versuche über AD bzw. die Gruppenrichtlinie den aktuellen Adobe Reader auszufahren (Win2k Server). Die Tests scheitern an einem Rechteproblem. Beim Hochfahren taucht ein Installationsvermerk kurz auf, verschwindet aber gleich wieder. Ich habe den Pfad freigegeben und kann das msi vom Client aus erreichen (und als Admin starten). Im Sicherheitsfilter der GPO habe ich "Domänencomputer" eingestellt. Den Ordner mit dem msi-File habe ich mit gleicher Gruppe belegt (volle Rechte). Das eventlog spuckt mir folgende Meldungen aus: id 102 Die Installation der Anwendung Adobe Reader - Deutsch der Richtlinie test ist fehlgeschlagen. Fehler: Die Installationsquelle für dieses Produkt ist nicht verfügbar. Stellen Sie sicher, dass die Quelle vorhanden ist und Sie Zugriff darauf haben. Desweiteren bekomme ich noch folgende Fehlermeldung: id 1085 Die clientseitige Erweiterung Softwareinstallation der Gruppenrichtlinien konnte nicht ausgeführt werden. Überprüfen Sie, ob diese Erweiterung bereits früher Fehler verursacht hat. Im Gruppenrichtlinieneditor habe ich folgende Richtlinie unter "Computerkonfiguration" aktiviert: [list] [*]Anmeldescript gleichzeitig ausführen [*]Maximale Wartezeit für Gruppenrichtlinienskripts (10s) [*]Immer mit erhöhten Rechten installieren (sowohl bei Computer- als auch bei Benutzerkonfiguration eingestellt) [/list] Hat jemand ne Idee was falsch läuft? Zitieren Link zu diesem Kommentar
fly87 10 Geschrieben 18. Dezember 2009 Melden Teilen Geschrieben 18. Dezember 2009 Hallöchen, zunächst mal, wer darf die Gruppenrichtline übernehmen? Eine bestimmte Gruppe oder Autentifizierte Benutzer? Die zweite Sache ist, wer darf in den ACLs auf dem Filesystem wo die Installationsquelle liegt zugreifen? Und mit welchen Rechten? Das ist etwas komisch zu lesen, deine Angabe... Viele Grüße, Tom Zitieren Link zu diesem Kommentar
reset 10 Geschrieben 18. Dezember 2009 Autor Melden Teilen Geschrieben 18. Dezember 2009 sry! Versuche das ganze zu entwirren. zunächst mal, wer darf die Gruppenrichtline übernehmen?Eine bestimmte Gruppe oder Autentifizierte Benutzer? Für die OU und die dazugehörige Gruppenrichtlinie habe ich die Gruppen "Domänencomputer" und "Authentifizierte Benutzer" mit vollem Zugriff eingerichtet. Die zweite Sache ist, wer darf in den ACLs auf dem Filesystem wo die Installationsquelle liegt zugreifen?Und mit welchen Rechten? Der "msi-Ordner" ist für "Authentifizierte Benutzer", "Domänencomputer" mit vollen Zugriffs-Rechten ausgestattet.Bei Gruppen- und Benutzerfreigaben habe ich wiederum die Gruppen "Domänencomputer" und "Authentifizierte Benutzer" mit Vollzugriff belegt. Zusammengefasst: ich habe geschaut, daß ich überall Vollzugriff einrichte für die Gruppen "Domänencomputer" und "Authentifizierte Benutzer", daß ich das ganze so weit wie möglich "aufbohre". Zitieren Link zu diesem Kommentar
fly87 10 Geschrieben 18. Dezember 2009 Melden Teilen Geschrieben 18. Dezember 2009 OK, also Authentifiziertze Benutzer ist völlig ausreichend, da unter diese Gruppe alle Benutzer und Computer fallen... Also schmeiß Domänencomputer weg. In den Gruppenrichtlinen reicht es aus, wenn Authentfizierte Benutzer die Richlinie lesen und übernehmen... Vollzugriff brauchst du nicht. Zum Thema OU... Hast du da die Rechte, die ja Standardmäßig nicht angezeigt werden und erst sichtbar gemacht werden müssen verändert? Brauchst du nix verändern... Dann würde ich hingehen und den Ordner entsprechend freigeben, als Freigabeberechtigung kannst du Jeder mit Vollzugriff nehmen, da effektiv auf NTFS berechtigt werden sollte... Bei den NTFS Berechtigungen gibts den Authentifizierten Benutzern dann Lesende und Ausführende Rechte. Dann prüf noch mal nach, ob auch deine Software entsprechend in der Softwareinstallationsrichtline drin steht... Also mit richtigem Servernamen und Freigabenamen etc. Wenn Du das hast, dann guck doch mal mit einem gpresult ob er die Richtline gezogen hat... Viele Grüße, Tom Zitieren Link zu diesem Kommentar
Deejablo 10 Geschrieben 18. Dezember 2009 Melden Teilen Geschrieben 18. Dezember 2009 Du hast bei der Angabe des Installationspfads auch den tatsächlichen Netzwerkpfad genommen und kein Laufwerksbuchstaben? Also irgendwas \\server\freigabe\*.msi? Viele benutzten dann immer ein gemapptes Laufwerk und das funktioniert dann natürlich nicht... Ist jetzt mal ins blaue hinein geraten :D Zitieren Link zu diesem Kommentar
Gruffy 10 Geschrieben 18. Dezember 2009 Melden Teilen Geschrieben 18. Dezember 2009 Erstmals nicht alles auf mal.. Verschaffe dir etwas Übersicht.. das hilft ;) Die GPO auf Computer ebene setzten. Die Freigabe rechte auf Vollzugriff - jeder setzten. Die NTFS auf lesen und ausführen.. So sollte es gehen. Viel Erfolg Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 19. Dezember 2009 Melden Teilen Geschrieben 19. Dezember 2009 ich versuche über AD bzw. die Gruppenrichtlinie den aktuellen Adobe Reader auszufahren (Win2k Server). Die Tests scheitern an einem Rechteproblem. Beim Hochfahren taucht ein Installationsvermerk kurz auf, verschwindet aber gleich wieder. Dann geh Schritt für Schritt dieses HowTo durch: Service Pack Installation über die Softwareverteilung Ich habe den Pfad freigegeben und kann das msi vom Client aus erreichen (und als Admin starten). Im Sicherheitsfilter der GPO habe ich "Domänencomputer" eingestellt. Den Ordner mit dem msi-File habe ich mit gleicher Gruppe belegt (volle Rechte). Auf die Installationssource reichen Lesen Rechte für die Authentifizierten Benutzer aus. Darin sind auch die Computer enthalten. Und als Pfad unbeindigt immer den UNC-Pfad eintragen: \\Server\Share\MSI-paket.msi Das eventlog spuckt mir folgende Meldungen aus: id 102 Die Installation der Anwendung Adobe Reader - Deutsch der Richtlinie test ist fehlgeschlagen. Fehler: Die Installationsquelle für dieses Produkt ist nicht verfügbar. Stellen Sie sicher, dass die Quelle vorhanden ist und Sie Zugriff darauf haben. Desweiteren bekomme ich noch folgende Fehlermeldung: id 1085 Die clientseitige Erweiterung Softwareinstallation der Gruppenrichtlinien konnte nicht ausgeführt werden. Überprüfen Sie, ob diese Erweiterung bereits früher Fehler verursacht hat. Ist das ein XP-Client? Wenn ja, dann mußt Du natürlich auch die beiden Einstellungen aus der No. 36 der GPO-FAQ einstellen: FAQ-GPO Nach dem setzen der Einstellung entweder ein gpupdate am Client oder den Client zweimal booten. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 19. Dezember 2009 Melden Teilen Geschrieben 19. Dezember 2009 Für die OU und die dazugehörige Gruppenrichtlinie habe ich die Gruppen "Domänencomputer" und "Authentifizierte Benutzer" mit vollem Zugriff eingerichtet. Auf die GPO reicht auch ein "Übernehmen" Recht aus. Entweder Du filterst mit einer Sicherheitsgruppe, oder Du lässt die Authentifizierten Benutzer drin. Zusammengefasst: ich habe geschaut, daß ich überall Vollzugriff einrichte für die Gruppen "Domänencomputer" und "Authentifizierte Benutzer", daß ich das ganze so weit wie möglich "aufbohre". Oversized. Ein Lesen reicht erst mal voll und ganz aus. Zitieren Link zu diesem Kommentar
reset 10 Geschrieben 21. Dezember 2009 Autor Melden Teilen Geschrieben 21. Dezember 2009 Also irgendwas \\server\freigabe\*.msi?Viele benutzten dann immer ein gemapptes Laufwerk und das funktioniert dann natürlich nicht... Oh je! Das war's!Vielen Dank für den Tip. Da hab ich bei der Auswahl des Pakets nicht den Netzwerkpfad genommen, sondern den "lokalen Ordner". Allen anderen auch recht schönen Dank. Sind nützliche Kommentare dabei bezüglich "Authentifizierte Benutzer"/Freigaben. Noch eine Frage: Wenn ich bei beispielsweise den aktuellesten Adobe Reader auf einigen Rechnern installieren möchte, wie sollte ich vorgehen? Wir haben für jedes System eine extra Untergruppe: Win2k, XP, Vista. Ich dachte mir nun, daß unterhalb dieser Gruppen eine Gruppe "Softwareinstall" erstelle, wo ich die Zielrechner hinverschiebe, wo der Adobe drauf soll. Die GPO werden ja sicherlich "nach unten" vererbt, so daß die Softwareinstall-OU die Richtlinien von z.B. XP-OU übernimmt, oder? Beim Herunterfahren soll installiert werden. Was meint ihr? Zitieren Link zu diesem Kommentar
Gruffy 10 Geschrieben 21. Dezember 2009 Melden Teilen Geschrieben 21. Dezember 2009 Ich dachte mir nun, daß unterhalb dieser Gruppen eine Gruppe "Softwareinstall" erstelle, wo ich die Zielrechner hinverschiebe Arbeite mit Gruppen statt jeden Rechner Manuel zu verschieben.. Was meint ihr? Arbeite weiterhin mit Gruppen statt jeden Rechner Manuel zu verschieben.. das ist schon gut so ;) Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 21. Dezember 2009 Melden Teilen Geschrieben 21. Dezember 2009 Wir haben für jedes System eine extra Untergruppe: Win2k, XP, Vista. Meinst Du eine richtige Gruppe oder nur eine Unter-OU? Ich dachte mir nun, daß unterhalb dieser Gruppen eine Gruppe "Softwareinstall" erstelle, wo ich die Zielrechner hinverschiebe, wo der Adobe drauf soll. Die GPO werden ja sicherlich "nach unten" vererbt, so daß die Softwareinstall-OU die Richtlinien von z.B. XP-OU übernimmt, oder? Meinst Du Gruppen oder OUs? Wenn Gruppen, dann schau dir die Sicherheitsfilterung der GPOs an. Ist IMHO übersichtlicher als mit zig Unter-OUs zu arbeiten. Beim Herunterfahren soll installiert werden. Beim Herunterfahren geht nicht. Nur beim starten vor der Benutzeranmeldung. Zitieren Link zu diesem Kommentar
Gruffy 10 Geschrieben 21. Dezember 2009 Melden Teilen Geschrieben 21. Dezember 2009 Was meint ihr? Kleine Korrektur :) Hier wirst du es selber raus finden wie du in der Zukunft vorgehen möchtest.. irgendwann wird sich das zu deinem Best Practice... ;) Zitieren Link zu diesem Kommentar
reset 10 Geschrieben 22. Dezember 2009 Autor Melden Teilen Geschrieben 22. Dezember 2009 .. ich hatte Unter-OUs gemeint. Sehr gut. Jetzt hab ich etwas Orientierung. Werde mal ein bisschen rumspielen mit den Gruppen. Danke! Zitieren Link zu diesem Kommentar
reset 10 Geschrieben 22. Dezember 2009 Autor Melden Teilen Geschrieben 22. Dezember 2009 Nun möchte ich meine bestehende Gruppenrichtlinie, mit der ich (testweise) Adobe installiert habe ändern, so daß mit derselben Richtlinie bzw. mit denselben Einstellungen ein anderes msi installiert wird. Wie bekomme ich den Adobe Reader Eintrag im Gruppenrichtlinienobjekt-Editor unter Computerkonfiguration --> Softwareeinstellungen --> Softwareinstallation weg?! EDIT: RÜCKRUF! Hab's gefunden. Hatte mal wieder Tomaten auf den Augen. Zitieren Link zu diesem Kommentar
reset 10 Geschrieben 8. Januar 2010 Autor Melden Teilen Geschrieben 8. Januar 2010 Herrgott! Hab jetzt den Thread nochmals rausgekramt nachdem ich erfolglos versucht habe das ganze über eine Gruppenrichtlinie zu managen. Ich habe eine Gruppe "Softwareinstallation" erstellt und die Gruppe Authentifizierten Benutzer durch ebendiese ersetzt. In der Gruppe Softwareinstallation habe ich natürlich den User eingetragen, so daß sich beim Einloggen das jeweilige Programm installieren sollte. Es tut sich aber nix! Bekomme nun folgende eventvwr Fehlermeldung: Auf das Objekt OU=test,OU=Computers,DC=unseredomain, DC=local im Active Directory kann nicht zugegriffen werden. Der Zugriff auf das Objekt wird eventuell verweigert. Die Verarbeitung der Gruppenrichtlinie wurde abegebrochen. In folge dessen bekomme ich eine weitere Fehlermeldung: Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Bisher wurde eine Fehlermeldung dieser Art im Richtlinienmodul protokolliert. (Ereigniskennung 1030) Wo finde ich das Protokoll im Richtlinienmodul)? Was könnte hier schief laufen? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.