Softwareverteilung über GPO nicht möglich

[jstar5588 0]

Hallo Zusammen,

 

ich würde gerne an meine Workstations testweise Firefox über eine Gruppenrichtline verteilen, doch irgendwie gelingt das nicht.

Das ganze würde ich allerdings erstmal nur auf einem bestimmten von vier Clients machen wollen. Name des Clients PC-B-04.

In der Active Directory sind die Clients in der OU unter Computer aufgelistet.

Server: Windows Server 2019 

Clients: Windows 10 Pro

 

Folgendes Vorgehen hab ich angewandt: 

 

Auf dem Server einen neuen Ordner angelegt und "swdeploy" genannt, dort per Rechtsklick -> Eigenschaften -> Freigabe -> Erweiterte Freigabe -> Haken gesetzt bei "Diesen Ordner freigeben" Freigabename: "swdeploy$" -> Berechtigungen -> Jeder -> Lesen (Zulassen).

 

Dann per Rechtsklick -> Eigenschaften -> Sicherheit -> "Jeder" eingefügt und auf dem Client die Erreichbarkeit per UNC-Pfad getestet -> funktioniert.

 

Dann in die Gruppenrichtlinienverwaltung:

Neu -> Name: FirefoxDeploy

Unter Sicherheitsfilterung dann den PC-B-04 hinzugefügt und Authentifizierte Benutzer rausgenommen.

 

Die Richtlinie bearbeitet:

Rechtsklick -> Bearbeiten -> Computerkonfiguration -> Richtlinien ->Softwareeinstellungen -> Softwareinstallation -> Rechtsklick -> Neu - > Paket -> UNC-Pfad eingegeben und die Firefox.msi aus dem vorher angelegten swdeploy Ordner ausgewählt -> Bereitstellungsmethode: Zugewiesen -> OK

 

Die Richtlinie dann auch mit der OU (Computer) verknüpft.

 

CMD -> gpupdate /force ausgeführt

 

Auf dem Client dann ebenfalls CMD -> gpupdate /force

Dort schreibt er dann auch gleich dass die Richtlinie nicht angewandt werden kann sondern dies vor Systemstart oder Benutzeranmeldung geschehen muss.

Kann dann auch direkt den Neustart mit "J" forcieren.

 

Das tu ich dann auch, der Client startet neu -> ich melde mich an, aber Firefox ist nicht installiert....

Was mache ich falsch?

 

Danke schonmal vorab.

 

bearbeitet 8. Juli 2020 von jstar5588
Betriebssysteme hinzugefügt

[testperson 1.677]

Hi,

 

ich würde Software nicht per GPO verteilen. Ich würde da auf WSUS und WPP oder eben direkt eine Softwareverteilungslösung setzen.

 

Ansonsten könnte dir hier der (erweiterte) Ruhezustand (PowerCfg.exe /h Off) oder ein zu schneller Bootvorgang (https://www.gruppenrichtlinien.de/artikel/ssd-zu-schnell-synchroner-startvorgang-nicht-moeglich/) dazwischen funken.

 

Gruß

Jan

[tesso 375]

Wie sehen die NTFS rechte aus?

Dürfen die Computer die Datei lesen?

Ansonsten bin ich bei Jan.

[lefg 276]

Man könnte es anstelle der Computerrichtlinie mit der Benutzerrichtlinie versuchen.

 

Ich hatte mit der Softwareverteilung per GPO Fehlschläge, so das ich es habe sein gelassen. Es funktionierte scheinbar mit MS-Software. Mehrmals waren die MSI einfach ungeeignet.

 

Ansonsten könnte man beim Softwarehersteller gucken, Support, FAQ, Forum.

 

Auch ich empfehle WSUS und WPP.

bearbeitet 8. Juli 2020 von lefg

[NorbertFe 2.034]

vor 24 Minuten schrieb lefg:

Man könnte es anstelle der Computerrichtlinie mit der Benutzerrichtlinie versuchen.

Man könnte (und sollte) das aber auch lassen... ;)

Und abgesehen davon sollte sich ja evtl. Auch was im eventlog dazu befinden.

[lefg 276]

vor 2 Stunden schrieb NorbertFe:

Man könnte (und sollte) das aber auch lassen... ;)

 

OK, warum? Warum nicht versuchen? Du meinst, man mache es gleich gut per WSUS und WPP? Da stimme ich zu.

 

Und natürlich, eine Fehlersuche beginnt mit Blick in die Ereignisanzeige.

 

Ich hatte damals festgestellt, es gab MSI, die funktionierten nur in der Softwarekonfiguration, andere anscheinend auch dort nicht.

 

Ich habe einige MSI damals selbstgebaut, auf einer Windows Server CD gab es dafür ein Software. Dabei auch ein Editor, mit dem konnte man Einstellungen für der MSI manipulieren. Ob für GPO Computerkonfiguaration oder Benutzerkonfiguration.

 

Die Software war nicht das Nonplusultra.

bearbeitet 8. Juli 2020 von lefg

[NorbertFe 2.034]

vor 11 Minuten schrieb lefg:

OK, warum?

Wegen Gründen. ;)

vor 11 Minuten schrieb lefg:

Warum nicht versuchen?

1. Weil das dann USERbezogen wäre und nicht pro Maschine und somit der Anforderung widerspräche und

2. Weils "Mist®" ist.

3. Müßte man sich dann assign und publish anschauen, und erfahrungsgemäß tritt dann 2. in Kraft.

vor 14 Minuten schrieb lefg:

Du meinst, man mache es gleich gut per WSUS und WPP?

Das sowieso.

[jstar5588 0]

Super, vielen Dank für eure Hilfe.

 

Dann werd ich mir gleich mal WSUS und WPP ansehen.

[magheinz 110]

Ich würde es gleich richtig machen.

Schau dir mal opsi... 

 

Meiner Erfahrung nach kommt man auch bei WSUS+WPP Recht schnell an die Grenzen. 

[NorbertFe 2.034]

vor einer Stunde schrieb magheinz:

Meiner Erfahrung nach kommt man auch bei WSUS+WPP Recht schnell an die Grenzen

Kommt auf die Anforderungen an. Solange die nicht klar sind... aber unabhängig davon ist das Verständnis notwendig, wie Softwareverteilung funktioniert. Dann ist das Produkt fast egal. ;)

[Saschat 10]

Hallo 

 

Wenn ich dein Problem richtig verstehe, dann hast du unter Sicherheitsfilterung die Authentifizierte Benutzer rausgenommen.

 

Das ist so auch OK, was du dann och machen must ist einfach nur die Authentifizierte Benutzer wieder unter Delegierung neu einfügen, denn da fliegen sie auch raus wenn du die unter Sicherheitsfilterung löscht.

 

Dann sollte es ohne Probleme laufen

[NorbertFe 2.034]

Nein braucht er nicht, denn die Maschine soll es ja übernehmen und die hat er explizit eingetragen. Das was du meinst kommt nur bei Nutzer-gpo zum tragen.

[Sunny61 806]

Am 8.7.2020 um 20:41 schrieb jstar5588:

Super, vielen Dank für eure Hilfe.

 

Dann werd ich mir gleich mal WSUS und WPP ansehen.

Auf https://www.wsus.de/

findest Du HowTos zur Nutzung von WPP + WSUS. Lesen, lesen und nochmal lesen. Dann an einem Produkt ausprobieren.