none
Distribución de software por GPO RRS feed

  • Pregunta

  • Hola,

    estoy teniendo problemas para instalar un software por GPO, está como msi (lo hago a través de instalación de software, gpo a nivel de equipo). Al fichero msi le paso como parámetro un fichero de transformación (.mst) para que ponga una serie de parámetros y así la instalación sea totalmente silenciosa, sin pedir interacción del usuario.

    Si ejecuto ese msi con el mst a través de msiexec funciona perfectamente, no necesita interacción del usuario. Ahora bien, por GPO no hace nada porque me dice que no tiene acceso al recurso. Me gustaría saber qué permisos tengo que darle al directorio donde se aloja el msi y mst para que pueda acceder :-? Por más que doy permisos me sigue saliendo lo mismo. Sin embargo si alojo los ficheros en un DC (en sysvol), no hay ningún problema ...

    Gracias de antemano.

     

    Saludos...

    miércoles, 29 de diciembre de 2010 12:07

Respuestas

  • Tiene que tener permisos, tanto de Compartido, como de Seguridad (NTFS)

    Lo más normal, es que el grupo "usuarios autentificados" (Authenticated Users) que incluye a los equipos tenga permisos tanto de lectura como ejecución. Nada más

    Otros posibles problemas a considerar ¿ese equipo está en el dominio si? ¿no estás usando unidad mapeada? porque eso es por usuario.

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 29 de diciembre de 2010 13:42
    Moderador

Todas las respuestas

  • Tiene que tener permisos, tanto de Compartido, como de Seguridad (NTFS)

    Lo más normal, es que el grupo "usuarios autentificados" (Authenticated Users) que incluye a los equipos tenga permisos tanto de lectura como ejecución. Nada más

    Otros posibles problemas a considerar ¿ese equipo está en el dominio si? ¿no estás usando unidad mapeada? porque eso es por usuario.

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 29 de diciembre de 2010 13:42
    Moderador
  • Muchas gracias, primero que nada.

    No está compartida la carpeta donde está el msi y mst ... Será eso entonces? Voy a probar a compartirla, sólo tiene permisos ntfs. Se pusieron para "usuarios autentificados" y para "equipos del dominio".

    El equipo sí, está en un dominio. No se está usando unidad mapeada.

    miércoles, 29 de diciembre de 2010 14:08
  • Me explico mejor, una carpeta superior está compartida de forma oculta, con $. El msi está en una subcarpeta de ese directorio. Voy a mirar los permisos de "compartir".
    miércoles, 29 de diciembre de 2010 14:10
  • El tema se complica porque el recurso está en una NAS, una carpeta superior está compartida a través de una página de administración de la NAS. Comentar que todo ésto funciona desde un dominio con 2000, el problema ha venido desde que tenemos un dominio nuevo con 2003, al que estamos migrando las cuentas de máquina/usuarios/etc.
    miércoles, 29 de diciembre de 2010 14:37
  • Estamos viendo que sólo ocurre si el fichero de instalación está en un recurso compartido del dominio viejo (con 2000). Si el recurso está en una máquina con el dominio nuevo no ocurre (con 2003).
    miércoles, 29 de diciembre de 2010 15:03
  • Bueno, ya te has contestado varias preguntas tu mismo :-)

    Por supuesto que la carpeta tiene que estar compartida

    En la GPO hay que indicar ruta UNC (\\servidor\recurso\loquesea.msi)

    Si hay "dominio nuevo" y "dominio viejo" para que de uno se pueda acceder al otro hay que hacer la correspondiente relación de confianza, y por supuesto dar los permisos a la cuenta del "otro dominio"

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 29 de diciembre de 2010 23:07
    Moderador
  • Sí, todo eso está hecho correctamente. Hemos ido acotando el problema, se da sólo cuando pones una GPO en un dominio (el viejo o el nuevo) y pones el msi en una máquina del dominio contrario ... Es decir, si creo la gpo en dominio_viejo y el msi está en un recurso de dominio_nuevo, falla ... Y al contrario igual. Funciona cuando la gpo y recurso son del mismo dominio (le aseguro que los permisos están bien, tenemos tanto "equipos del dominio" del dominio viejo y dominio nuevo puestos).

    Analizándolo un poco más hemos visto que usa autenticación ntlm cuando falla, y cuando funciona usa autenticación kerberos (lo hemos visto mirando el visor de sucesos). El dominio viejo está con 2000 (2000 nativo) y el nuevo con 2003 (2003). La relación de confianza existe, es bidireccional.

    Se le ocurre algo?

    Gracias de antemano.

     

    jueves, 30 de diciembre de 2010 11:44
  • La autenticación con relaciones de confianza externas en W2000, usan NTLM, no pueden usar Kerberos.

    Por lo que comentas es evidente que es un tema de permisos, prueba con permisos "muy amplios" ;-)
    El tema es que la instalación por equipo se ejecuta, depende del SO, con la cuenta de equipo, o con Network Service, o Trusted Installer.

    Creo que lo más fácil es poner el MSI, en un compartido en el mismo dominio

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 30 de diciembre de 2010 12:33
    Moderador