none
Chyba v GPO?

    Dotaz

  • Dobrý den,
    na jednom počítači s Windows 7 se neprojeví nastavená politika (Server 2003), přes kterou instaluji Adobe Reader a AR se nenainstaluje. Na ostatních počítačích (XP, Vista i W7) problém není, jen na tom jednom.

    V GPO mám vytvořený objekt, ve kterém se instaluje Adobe Reader 9.4.0. Objekt je nad OU, ve které je uvedený počítač zařazený a Security Filtering je nastaveno na Authenticated Users. Žádné filtry nejsou nastavené.

    Když v Group Policy Modeling i v GP Results simuluji stav pro daný počítač a uživatele, tak v obou testech je politika, ve které se AR instaluje, obsažena. Když spustím gpresult na tomto počítači, tak tam ta politika obsažena není. Stejně tak další obdobné politiky, ve kterých se na počítač instalují v konfiguraci počítače další aplikace. Ani po opakovaném vynucení přes gpupdate /force , který si vyžádá restart se nic nezmění a AR se nenainstaluje. V registrech také není žádný záznam. Firewall je pro připojení v doméně vypnutý.

    V eventlogu také žádnou chybu nevidím.

    Prozatímně jsem to "vyřešil" ruční instalací AR přímo na PC, ale to není řešení dobré.
    11. října 2010 11:59

Odpovědi

  •  

    Děkuji, byl.


     Použité objekty zásad skupiny
     ------------------------------
     Adobe Reader 940 - politika zde uvedená je
    
     Následující objekty zásad skupiny nebyly použity, protože byly
     vyfiltrovány.
     ---------------------------------------------------------------------------------
    žádný filtr k této politice  
    
        Softwarové instalace
        -------------------- Všechny ostatní instalované programy zde jsou, pouze Adobe Reader 940 zde chybí

     

     

    Následoval postup

    1) Přeřadit počítač z domény do workgroup, vymazat doménový záznam o počítači v AD a znovu přidat počítač do domény a přiřadit počítač do bezpečnostních skupin, to vše bez restartu počítače. Tím bych se měl vyhnout tomu, aby se odinstalovaly a po přidání znovu nainstalovávaly, aplikace, kde je politikách nastaveno "odinstalovat, je li mimo obor správy ..."

    Neúspěšné.

    2) Stejně jak bod 1, ale s tím rozdílem, že po přeřazení do workgroup následoval restart PC a odinstalování aplikací a následně po přidání do domény nová instalace.

    Neúspěšné.

    3)

    • Přeřadit do workgroup
    • restart
    • lokální účet a odmazání klíčů
      HKEY_CURRENT_USER\Software\Policies
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies
      HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies
      + odmazání dalších "zapomenutých" záznamů na programy nainstalované přes GPO v HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy
    • restart
    • secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb
    • restart
    • přidat PC do domény a do bezp. skupin
    • gpupdate /force

     

    Úspěch, Adobe Reader 9.4.0 tam je.

    • Označen jako odpověď yorgstbk 18. října 2010 8:55
    18. října 2010 8:52

Všechny reakce

  • Zkusím oživit a doplnit dotaz.

    Je naděje na odstranění popsané chyby tím, že počítač vyjmu z domény, odstraním (po záloze obsahu) existující místní uživatelské profily a znovu počítač přidám do domény?

    AR před přidáním počítače do domény pod lokálním účtem odinstaluji.

     

    12. října 2010 14:31
  • Odebrání a znovu-přidání do domény vám pomoci může. Co říká gpresult /r přímo na té stanici? Je politika aplikováná nebo odfiltrovaná?
    15. října 2010 5:21
  • Pocitac byl instalovan z orig. DVD Windows nebo predinstalovany od vyrobce?

    MP

    15. října 2010 5:40
    Moderátor
  • Díky za odpověď.

    gpresult /r vypisuje pouze politiky směřované na uživatele a není tam uveden ani mezi vyfiltrovanými.

    Není uvedena ani v HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\AppMgmt 

    Politika má GPO Status User configuration disabled, ale neaplikovala se ani v případě, že status byl Enabled.

    Dnes je uvedený počítač intenzivně používán, budu pokračovat v pondělí.

    15. října 2010 5:52
  • Počítač DELL Optiplex 360 DT je instalován z preinstall.  Mám ještě dalších 12 ks stejného typu PC se stejnou instalací a aplikují se na ně stejné politiky a u nich problém není.
    15. října 2010 5:54
  • Zde je výpis:

    Nástroj Microsoft (R) Windows (R) Operating System Group Policy
    Result verze 2.0
    Copyright (C) Microsoft Corp. 1981-2001
    
    Vytvořeno 15.10.2010 v 7:45:03
    
    
    
    Data RSOP pro xxx na PC028 : Režim přihlašování
    -----------------------------------------------------------
    
    Konfigurace OS:       Členská pracovní stanice
    Verze OS:          6.1.7600
    Název sítě:         Není k dispozici
    Cestovní profil:       Není k dispozici
    Místní profil:        C:\Users\xxx
    Připojeno pomalou linkou?: Ne
    
    
    NASTAVENÍ UŽIVATELE
    --------------------
      CN=xxx Mgr.,OU=xxx,OU=xxx,OU=xxx,OU=xxx,DC=xxx,DC=xxx,DC=xxx,DC=xxx,DC=cz
      Doba posledního použití zásady skupiny:  15.10.2010 v 6:31:34
      Zásada skupiny byla použita z:   xxx
      Práh pomalého připojení zásady skupiny:  500 kbps
      Název domény:            xxx
      Typ domény:            Windows 2000
      
      Použité objekty zásad skupiny
      ------------------------------
        Výzva k vyjmutí karty
        Default Domain Policy
        MSIE_Enable Integrated Windows Auth-VEMA
        MSIE_zabezpečení
        MSIE_template
        MS-Outlook 2003 backup pst reg dll
        template_outlook2003
        zakaz_vypalovani_na_CD
        Power management
        template_MS_office2003 WMI
        Adobe Reader - úprava registrů
    
      Následující objekty zásad skupiny nebyly použity, protože byly
      vyfiltrovány.
      ---------------------------------------------------------------------------------
        Nastavení doménového hesla
          Filtrování: Nepoužito (prázdné)
    
        Default Domain Policy XP
          Filtrování: Nepoužito (neznámý důvod)
    
        MSIE_správce_IS
          Filtrování: Odepřeno (zabezpečení)
    
        template_MS_office2000 WMI
          Filtrování: Odepřeno (filtr rozhraní WMI)
          Filtr rozhraní WMI: office2000std
    
        Místní zásady skupiny
          Filtrování: Nepoužito (prázdné)
    
      Uživatel je součástí následujících skupin zabezpečení
      -----------------------------------------------------
        Domain Users
        Everyone
        BUILTIN\Users
        NT AUTHORITY\INTERACTIVE
        PŘIHLÁŠENÍ KE KONZOLE
        NT AUTHORITY\Authenticated Users
        This Organization
        LOCAL
        odd_vedouci
        OKI - povolení tisku
        Certifikát této organizace
        Střední povinná úroveň
        
    15. října 2010 6:02
  • Počítač DELL Optiplex 360 DT je instalován z preinstall.

    A co presne si mame predstavit pod terminem "preinstall"?

    Co se instalace tyce: jak presne je nastavena? Osobne bych napr u Acrord32 instaloval rozhodne pres computer policy (neni treba resit problem s pripadnou automatickou elevaci prav Installeru) a tedy samozrejme Assigned, nikoliv Published. Ty mas tedy co/jak?

     

    MP

    15. října 2010 7:41
    Moderátor
  • Preinstall je stav, kdy je na počítači operační systém předinstalován a po jeho prvním zapnutí je instalace dokončena podle místních podmínek. V tomto případě počítače neklonuji, protože to je výrazně rychlejší než klonování.

    AR je instalován přes computer policy včetně použití mst transformace. Žádné práva dodatečně nebyly měněné. Deployment type je Assigned a použití zásad skupiny pro Authenticated users je zaškrtnuto.

    15. října 2010 8:01
  • Preinstall je stav, kdy je na počítači operační systém předinstalován a po jeho prvním zapnutí je instalace dokončena podle místních podmínek.

    Kym? Vyrobcem? Tebou? Tzn. Je to CISTA a pote SYSPREPnuta instalace Windows nebo je soucasti predinstalace nejaka uprava?

    MP

    15. října 2010 9:23
    Moderátor
  • Výrobcem jako OEM licence. Žádné další úpravy se neprovádějí a Sysrep není použit, každý počítač se instaluje samostatně a každý se samostatně připojí jako nový do domény.

    Těch počítačů je 13 stejných. U 12 vše funguje, u jednoho funguje vše kromě instalace AR 9.4. Předchozí instalace AR 9.3 stejným postupem přes GPO tam fungovala také. AR 9.3 se odinstaloval, protože se dostal mimo oblast správy.

     

    15. října 2010 9:32
  • Je ten problemovy komp ve stejne OU jako zbyvajicich 12? Trosku mi tam
    nesedi ta odinstalace AR 9.3, respektive to, ze se komp dostal mimo oblast
    spravy.
     
    BB
     
    "yorgstbk" píše v diskusním příspěvku
    news:1ed12eb8-77ae-4b99-b9e2-cfb0650d8ece...
    Výrobcem jako OEM licence. Žádné další úpravy se neprovádějí a Sysrep není
    použit, každý počítač se instaluje samostatně a každý se samostatn�� připojí
    jako nový do domény.
    Těch počítačů je 13 stejných. U 12 vše funguje, u jednoho funguje vše kromě
    instalace AR 9.4. Předchozí instalace AR 9.3 stejným postupem přes GPO tam
    fungovala také. AR 9.3 se odinstaloval, protože se dostal mimo oblast
    správy.
     
     
    15. října 2010 10:55
  • Ano, je. Mám jediný OU.

    Ten počítač v oblasti správy je. Po tom, co jsem tam nedostal ten AR 9.4, tak jsem tam nechal přes GPO stejným postupem nainstalovat SilverLight a s tím problém nebyl. Je tam.

     

    Uvidím v pondělí. To bude více času, protože uživatel je na pracovní cestě.

     

    Zatím všem děkuji.

    15. října 2010 11:45
  • Nebyl by lepsi:

    gpresult /scope computer /v

    ??? (NEPOSILEJ SEM ALE CELY VYPIS!)

    MP

    15. října 2010 11:58
    Moderátor
  •  

    Děkuji, byl.


     Použité objekty zásad skupiny
     ------------------------------
     Adobe Reader 940 - politika zde uvedená je
    
     Následující objekty zásad skupiny nebyly použity, protože byly
     vyfiltrovány.
     ---------------------------------------------------------------------------------
    žádný filtr k této politice  
    
        Softwarové instalace
        -------------------- Všechny ostatní instalované programy zde jsou, pouze Adobe Reader 940 zde chybí

     

     

    Následoval postup

    1) Přeřadit počítač z domény do workgroup, vymazat doménový záznam o počítači v AD a znovu přidat počítač do domény a přiřadit počítač do bezpečnostních skupin, to vše bez restartu počítače. Tím bych se měl vyhnout tomu, aby se odinstalovaly a po přidání znovu nainstalovávaly, aplikace, kde je politikách nastaveno "odinstalovat, je li mimo obor správy ..."

    Neúspěšné.

    2) Stejně jak bod 1, ale s tím rozdílem, že po přeřazení do workgroup následoval restart PC a odinstalování aplikací a následně po přidání do domény nová instalace.

    Neúspěšné.

    3)

    • Přeřadit do workgroup
    • restart
    • lokální účet a odmazání klíčů
      HKEY_CURRENT_USER\Software\Policies
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies
      HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies
      + odmazání dalších "zapomenutých" záznamů na programy nainstalované přes GPO v HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy
    • restart
    • secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb
    • restart
    • přidat PC do domény a do bezp. skupin
    • gpupdate /force

     

    Úspěch, Adobe Reader 9.4.0 tam je.

    • Označen jako odpověď yorgstbk 18. října 2010 8:55
    18. října 2010 8:52