none
Rilascio MSI via GPO RRS feed

  • Domanda

  • Buongiorno, in merito alla richiesta in oggetto ho riscontrato una problematica che ora mi appresto a descrivervi:

    ho creato, attraverso lo strumento Advanced Installer 11.7.1, un pacchetto MSI per l'installazione di un Font nella cartella di sistema C:\Windows\Fonts e questo, verificato eseguendolo manualmente, risulta funzionare correttamente. Il problema invece lo riscontro durante l'installazione dello stesso via GPO. Premetto che la stessa GPO, configurata per l'installazione di un pacchetto diverso, funziona correttamente. chiedo il vostro supporto per la risoluzione del problema in oggetto.

    Grazie per la collaborazione,
    Stefano

     
    mercoledì 21 gennaio 2015 10:06

Risposte

Tutte le risposte

  • Non è che la GPO di installazione software va in esecuzione in un account limitato? Se si, è normale che si verifichi l'errore perché non si dispone dei privilegi sufficienti per scrivere in C:\Windows\Fonts. In locale invece l'MSI probabilmente richiede automaticamente l'elevazione dei privilegi, quindi termina correttamente.

    Per risolvere il problema potresti creare ad esempio uno script di "runas" per l'esecuzione dell'MSI in modalità silent con un account dotato di privilegi amministrativi locali (meglio non utilizzare un account di dominio per questioni di sicurezza, anche se è fondamentale comunque crittografare la password nello script). Lo script lo eseguirai poi tramite la voce di logon script della GPO.

     
    mercoledì 21 gennaio 2015 11:28
    Moderatore
  • Grazie mille, mi puoi indicare come posso creare questo script?

    Grazie,
    Stefano

    giovedì 22 gennaio 2015 09:35
  • Ad esempio puoi creare un batch con all'interno una riga di comando di CPAU (freeware di terze parti), qui trovi come utilizzarlo:

    http://www.joeware.net/freetools/tools/cpau/usage.htm

    Oppure se sei pratico di PowerShell:

    - Crittografia password (e utilizzo negli script): https://gallery.technet.microsoft.com/scriptcenter/Encrypt-Password-and-use-dd07f253

    - RunAs: https://gallery.technet.microsoft.com/scriptcenter/PowerShell-function-to-3e9766e3

    In alternativa potresti anche valutare direttamente l'esecuzione in remoto con un account amministratore (senza GPO) utilizzando ad esempio PsExec: https://technet.microsoft.com/it-it/sysinternals/bb897553.aspx




    giovedì 22 gennaio 2015 10:46
    Moderatore
  • prima di buttarti a scrivere lo script dovresti verificare l'ipotesi di Fabrizio ossia che l'installazione del font non funziona perchè l'eseguibile non ha i permessi amministrativi quando va in esecuzione.

    prova a far partire la gpo con un account domain admin per verificare che in quel modo il font viene installato da policy.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    giovedì 22 gennaio 2015 12:06
    Moderatore
  • nella mia policy la parte di Always install with elevated privilege risulta essere già in stato enabled.

    ci sono altre configurazioni da fare?
    Stefano

    venerdì 23 gennaio 2015 13:56
  • La distribuzione del pacchetto deve essere Assegnata "AL COMPUTER" 

    Volendo puoi fare anche un po' di debugging http://www.advancedinstaller.com/user-guide/qa-log.html#automated-logging  

    Ti aggiungo un link per ripassare il processo di deploy con le gpo, le poce volte che lo usato ho incontrato sempre qualche intoppo, solo seguendo scrupolosamente i passaggi riuscirai nell'installazione...

    http://blog.pluralsight.com/installing-software-using-gpos-on-windows-server-2008

    Se posso darti un suggerimento, per  la distribuzione di qualche fonts io di solito uso uno "startup script" (script di avvio e non quello di accesso)

    che copia i file all'avvio del pc (al terzo riavvio avrai la certezza della copia dei file)

    @echo off
    robocopy "\\mioserver\share\Font Da Aggiungere"  "%windir%\fonts" /s /r:1 /w:1  /xj
    echo fine %date% %time% >%temp%\log.txt



    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    venerdì 23 gennaio 2015 23:10
    Moderatore
  • Ciao, Stefano,

    Ad oggi il tuo quesito nel Forum di  Windows Server e' ancora aperto per noi.

    Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Se invece hai trovato un'altra soluzione nel frattempo, ti saremmo grati di condividerla anche qui, a beneficio degli altri utenti che seguono il thread.

    Grazie


    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    lunedì 26 gennaio 2015 09:32
  • Siccome vorrei fare questo via GPO/MSI, posso postare la MIA policy per una VS verifica?

    Grazie,
    Stefano

    martedì 27 gennaio 2015 08:01
  • Siccome vorrei fare questo via GPO/MSI, posso postare la MIA policy per una VS verifica?

    Certo!

    Un'altro link http://docs.trendmicro.com/all/ent/officescan/v10.6/en-us/osce_10.6_sp3_olh/ins_mth_msi.html

    con una "tip" che ti può aiutare.


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    martedì 27 gennaio 2015 23:04
    Moderatore
  • Di seguito la GPO incriminata per un VS verifica. 

    Grazie mille,
    Stefano

    --------------------------------------------------------------------------------------------------------

    GPO-SW-Fonts
    Data collected on: 29/01/2015 14:05:41 hide all
    Generalhide
    Detailshide
    Domain MyDomain.it
    Owner MYDOMAIN\Domain Admins
    Created 29/01/2015 09:59:32
    Modified 29/01/2015 10:20:24
    User Revisions 0 (AD), 0 (sysvol)
    Computer Revisions 4 (AD), 4 (sysvol)
    Unique ID {5599EDCD-2D09-4FD8-933C-8052080A41A8}
    GPO Status User settings disabled
    Linkshide
    Location Enforced Link Status Path
    Windows 7 No Enabled MyDomain.it/MYDOMAIN-COMPUTERS/Ferriere Nord/Windows 7

    This list only includes links in the domain of the GPO.
    Security Filteringhide
    The settings in this GPO can only apply to the following groups, users, and computers:
    Name
    MYDOMAIN\TESTW7CED$
    Delegationhide
    These groups and users have the specified permission for this GPO
    Name Allowed Permissions Inherited
    NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS Read No
    NT AUTHORITY\SYSTEM Edit settings, delete, modify security No
    MYDOMAIN\Domain Admins Edit settings, delete, modify security No
    MYDOMAIN\Enterprise Admins Edit settings, delete, modify security No
    MYDOMAIN\TESTW7CED$ Read (from Security Filtering) No
    Computer Configuration (Enabled)hide
    Policieshide
    Software Settingshide
    Assigned Applicationshide
    Univer Fontshide
    Product Informationhide
    Name Univer Fonts
    Version 1.0
    Language English (United States)
    Platform x86
    Support URL
    Deployment Informationhide
    General Setting
    Deployment type Assigned
    Deployment source \\tsm-mgr\SW-Deploy$\Fonts\Univer Fonts-SetupFiles\Univer Fonts.msi
    Uninstall this application when it falls out of the scope of management Disabled
    Advanced Deployment Options Setting
    Ignore language when deploying this package Disabled
    Make this 32-bit X86 application available to Win64 machines Enabled
    Include OLE class and product information Enabled
    Diagnostic Information Setting
    Product code {aec81f29-4ffe-412e-8c1e-d3c267c36186}
    Deployment Count 0
    Securityhide
    Permissions
    Type Name Permission Inherited
    Allow MYDOMAIN\Domain Admins Full control No
    Allow NT AUTHORITY\Authenticated Users Read No
    Allow NT AUTHORITY\SYSTEM Full control No
    Allow MYDOMAIN\TESTW7CED$ Read Yes
    Allow MYDOMAIN\Domain Admins Read, Write Yes
    Allow MYDOMAIN\Enterprise Admins Read, Write Yes
    Allow NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS Read Yes
    Allow NT AUTHORITY\SYSTEM Read, Write Yes
    Allow CREATOR OWNER Read, Write Yes
    Allow inheritable permissions from the parent to propagate to this object and all child objects Enabled
    Advancedhide
    Upgrades Setting
    Required upgrade for existing packages Enabled
    Packages that this package will upgrade GPO
    None

    Packages in the current GPO that will upgrade this package None
    Categories
    None
    Transforms
    None
    Administrative Templateshide
    Policy definitions (ADMX files) retrieved from the central store.
    Windows Components/Windows Installerhide
    Policy Setting Comment
    Always install with elevated privileges Enabled

    This setting must be set for the machine and the user to be enforced.

    Policy Setting Comment
    Logging Enabled
    Logging iweaprcv
    To activate logging, enter one or more of the modes below.
    "iwearucmpvox" will log everything but adds time to the install.
    i - Status messages
    w - Non-fatal warnings
    e - All error messages
    a - Start up of actions
    r - Action-specific records
    u - User requests
    c - Initial UI parameters
    m - Out-of-memory
    p - Terminal properties
    v - Verbose output
    o - Out of disk space messages
    x - Extra debugging information

    User Configuration (Disabled)hide
    No settings defined.

    giovedì 29 gennaio 2015 13:11
  • La GPO è corretta?

    Grazie mille,
    Stefano

    lunedì 2 febbraio 2015 12:47
  • Da quello che si può leggere dalla lista, sembra corretta. Se hai dei dubbi sulla GPO prova a generare anche un report con Gpresult per verificare effettivamente l'applicazione.
    lunedì 2 febbraio 2015 13:00
    Moderatore
  • Ho verificato e facendo un gpresult /R /scope computer riscontro che la policy viene applicata correttamente. Altresì vedo che la Policy scrive qualcosa anche nel Registra di sistema ma salva i fonts nella cartella specificata. Avevte qualche idea???

    Grazie,
    Stefano

    lunedì 2 febbraio 2015 15:14
  • Se la policy viene applicata correttamente e scrive comunque qualcosa nel registro di sistema è un problema di MSI come dicevamo precedentemente. Vedi quindi le soluzioni precedenti (esecuzione dell'installer con uno script di runas, utilizzo di metodi alternativi per l'installazione di fonts come suggerito da Gastone).
    lunedì 2 febbraio 2015 15:19
    Moderatore