none
GPO (distribuzione applicazioni) caricata ma non applicata. RRS feed

  • Domanda

  • Buongiorno,

    ho questo problema:

    In AD ho creato una unità organizzativa dove ho spostato un computer. Ho creato una GPO per questa unità che utilizzerò per la distribuzione di applicativi. La distribuzione voglio che avvenga in modalità computer, perchè quest'ultimo verrà utilizzato da più utenti. Una volta configurata la GPO faccio gpupdate sulla macchina server e poi mi sposto sul cliente ed eseguo il comando gpupdate /force. Dopo il riavvio, vedendo che non avviene l'installazione dell'applicazione, eseguo il comando gpresult -v e vedo correttamente che la distribuzione del pacchetto è stata correttamente letta dal client ma come detto non avviene l'installazione:

     Qui sotto cosa legge il client:

     Gruppo di criteri risultante per il computer:
     ----------------------------------------------
    
         Installazioni software
         ----------------------
             Oggetto Criteri di gruppo: Installazione LibreOffice
                 Nome:             LibreOffice 3.5
                 Versione:          3.5
                 Stato di distribuzione: Assegnata
                 Origine:           \\Server2003\Applicativi\Office_Software\LibreOffice 3.5\LibO_3.5.3_Win_x86_install_multi.msi
                 Installazione automatica:      Vero
                 Origine:           Applicazione applicata

    Ho provato a raggiungere manualmente il pacchetto tramite esplora risorse e ad eseguirlo e funziona.

    Sapete darmi qualche suggerimento?

    Grazie, saluti.

    mercoledì 23 maggio 2012 11:58

Risposte

  • Ciao, allora prova ad aggiungere la permission:

    <nomecomputer>$ -> read alla share.

    è senz'altro quello.

    In Active Directory ci sono anche le utenze per gli oggetti COMPUTER. Se non gli assegnin i permessi, non può leggere il pacchetto.

    Quando tu esplori la share, sei loggato con un UTENTE, non con l'account di quel computer.

    Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    mercoledì 23 maggio 2012 15:12

Tutte le risposte

  • Ciao, la velocità di connessione tra il client e il server è buona? Non è che viene rilevato un link lento?
    mercoledì 23 maggio 2012 12:08
    Moderatore
  • ti spiace provare a riavviare il client e dirmi cosa succede ?

    http://microsoft.public.it.winserver.narkive.com/aN7nisvS/distribuire-applicazioni-via-gpo


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    mercoledì 23 maggio 2012 12:15
    Moderatore
  • in che modalità hai messo l'installazione nella policy?

    in Computer puoi solo mettere ASSEGNATA e non pubblicata, ma c'è anche una "avanzata".

    Vorrei sapere se hai impostato qualcosa lì.

    POI:

    l'utenza del COMPUTER, riesce ad accedere in lettura alla share di rete dove il pacchetto è pubblicato? Parlo ovviamente di <NOMECOMPUTER>$

    Se l'account computer non accede, non riesce a leggere il pacchetto, quindi non lo installa manco a piangere in arabo. Di solito è questo l'errore più comune...

    HTH

    Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    mercoledì 23 maggio 2012 12:28
  • Ciao, la velocità di connessione tra il client e il server è buona? Non è che viene rilevato un link lento?

    Si la rete è tutta a 1Gb

    mercoledì 23 maggio 2012 12:48
  • ti spiace provare a riavviare il client e dirmi cosa succede ?

    http://microsoft.public.it.winserver.narkive.com/aN7nisvS/distribuire-applicazioni-via-gpo


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    Beh l'ho riavviato più volte. Il fatto è che non succede proprio niente.
    mercoledì 23 maggio 2012 12:49
  • in che modalità hai messo l'installazione nella policy?

    in Computer puoi solo mettere ASSEGNATA e non pubblicata, ma c'è anche una "avanzata".

    Vorrei sapere se hai impostato qualcosa lì.

    POI:

    l'utenza del COMPUTER, riesce ad accedere in lettura alla share di rete dove il pacchetto è pubblicato? Parlo ovviamente di <NOMECOMPUTER>$

    Se l'account computer non accede, non riesce a leggere il pacchetto, quindi non lo installa manco a piangere in arabo. Di solito è questo l'errore più comune...

    HTH

    Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    Come giustamente hai detto in modalità computer l'unica opzione è assegnata e nelle avanzate non ho impostato niente.

    Per utenza del computer cosa intendi? L'utente locale o di dominio? Io le prove le sto facendo con quello di dominio (administrator).

    Per l'accesso alla share nella quale risiede il pacchetto posso tranquillamente accederci dal client via rete. Infatti come detto prima, tramite la rete raggiungo il pacchetto e poi se faccio esegui, il setup si avvia.

    Un'altra info che non so se possa essere utile, nella GPO il filtro di sicurezza è impostato come di default su Autenticated Users.

    Grazie mille

    mercoledì 23 maggio 2012 12:57
  • Ciao, allora prova ad aggiungere la permission:

    <nomecomputer>$ -> read alla share.

    è senz'altro quello.

    In Active Directory ci sono anche le utenze per gli oggetti COMPUTER. Se non gli assegnin i permessi, non può leggere il pacchetto.

    Quando tu esplori la share, sei loggato con un UTENTE, non con l'account di quel computer.

    Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    mercoledì 23 maggio 2012 15:12
  • Ciao intanto ti posto il debug log

    USERENV(298.29c) 17:40:10:828 CUserProfile::CleanupUserProfile: Ref Count is not 0
    USERENV(298.29c) 17:40:10:843 CUserProfile::CleanupUserProfile: Ref Count is not 0
    USERENV(298.29c) 17:40:10:843 CUserProfile::CleanupUserProfile: Ref Count is not 0
    USERENV(298.7c8) 17:40:28:266 ProcessGPOs: GetNetworkName failed with 10091.
    USERENV(298.7c8) 17:40:28:813 GetGPOInfo:  Local GPO's gpt.ini is not accessible, assuming default state.
    USERENV(298.7c8) 17:40:38:970 ProcessGPOs: Extension Installazione software ProcessGroupPolicy failed, status 0x64c.
    USERENV(298.3a4) 17:46:00:884 GetGPOInfo:  Local GPO's gpt.ini is not accessible, assuming default state.
    USERENV(298.334) 17:46:01:009 PolicyChangedThread: UpdateUser failed with 6.
    
    Conferma il tuo suggerimento?


    mercoledì 23 maggio 2012 15:48
  • se vuoi fare una prova veloce della teoria di Diego, che secondo me è corretta, prova a mettere il pacchetto d'installazione tutto nella cartella sysvol che è certamente leggibile dagli account computer.

    se l'applicazione verrà installata, ti basterà modificare le acl sulla share compatibilmente con il suggerimento di Diego.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    giovedì 24 maggio 2012 08:38
    Moderatore
  • Ok, seguendo il suggerimento di Diego (che ringrazio) ho aggiunto alla share direttamente il computer in lettura e il pacchetto si è installato. Quindi il problema era questo.

    Ora però mi chiedo se devo aggiungere tutti i computer, uno ad uno, alla share dove sono gli applicativi oppure c'è un account o gruppo che identifica automaticamente tutti i computer del dominio?

    Ciao.

    giovedì 24 maggio 2012 09:27
  • mi correggo,

    se creo un gruppo ed all'interno ci inserisco tutti i computer, è una procedura corretta?

    giovedì 24 maggio 2012 09:30
  • Ciao Last-in,

     intanto son contento che tu abbia risolto :-)

    Si, puoi creare un gruppo di computers ed assegnargli le permissions, ma ricordati che non puoi assegnare le policy ai gruppi (ad esempio linkare nua GPO su una OU che contiene il gruppo di computer ma non gli oggetti computer specifici).
    Al massimo puoi assegnare le permissions sulla GPO al gruppo dei Computer, rimuovendo Authenticated Users, nella scheda dei settings della GPO, nella console GPMC.MSC (Group Policy Management Console).

    Il concetto è un po' contorto, ma spero di essere stato chiaro lo stesso...

    Se invece tu volessi installarlo su TUTTI i computers, basterebbe dare le permissions a "Domain Computers" o "Computer del dominio" (in base alla lingua del DC).

    HTH Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    giovedì 24 maggio 2012 12:18
  • Ciao Diego,

    a livello di GPO tutto chiaro, nel senso che userò determinate GPO solamente su alcune alcune UO alle quali assocerò solamente i computer interessati. I permessi delle GPO le manterrò in autenticated users. Così dovrei riuscire a gestire bene tutte le cose.

    Per quanto riguarda il gruppo di computer, lo utilizzerò soltanto per l'assegnazione dei permessi in lettura alla share che fa da repository a tutti i pacchetti.

    Ti ringrazio ancora.

    Ciao.

    giovedì 24 maggio 2012 12:51
  • Ciao Last-in,

    questa architettura, però, va bene solo per una complessità basilare.

    Nel senso che, se tu volessi installare una applicazione a tutti i computer in una OU, poi installare un'altra applicazione solo ai computer notebook di quella OU e una terza solo ai computer con windows 7, in quella OU (che sono metà Notebook e metà PC fissi), come faresti?

    Unico modo, a quel punto, sarebbe di usare i WMI filters o i gruppi di computers, associando le permissions alla policy.

    La gestione che ti consiglio (premettendo che non conosco la logica di suddivisione per OU che hai scelto... location-based e poi Type-based?), è di mettere tutti i computer di un determinato sito geografico (sempre supponendo location-based come top-level OU structure) in una OU (che può benissimo avere sotto-ou) ed applicare le policy di software deployment a quella OU, dando, però, i permessi alle varie policy in base a gruppi di computer che vai a creare per ogni software o bundle di software relativo ad una policy.

    In Questo modo sei più flessibile e non devi spostare gli oggetti in AD ogni volta, rischiando di perdere applicazioni di policy che magari servono...

    :-) 

    Spero che sia un suggerimento utile :-)

    Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    giovedì 24 maggio 2012 15:33
  • Grazie Diego,

    diciamo che il tuo suggerimento era la mia seconda opzione. al momento la complessità della mia rete è basilare. Però bisogna sempre vedere le cose in ottica futura (scalabilità) quindi proverò a seguire il tuo suggerimento.

    Grazie ancora e ciao.

    venerdì 25 maggio 2012 09:20