GPOによるアプリケーションの割り当てについて

すべての返信

• 

  

  0

  サインインして投票

  チャブーンです。

  状況として、「「ファイルを参照できませんでした。ファイルを実行する権限があるか～」ということなので、やはり.msiファイルのアクセス許可の問題なのでしょう(実行するアカウント権限が違うなど)。問題の切り分けの意味で、.msiファイルや親フォルダに対して「Domain Computers」(コンピュータへの割り当てと判断します)に対して「読み取りと実行」の権限を与えると、何か判断できるのではないでしょうか。

  あと、アプリケーションの割り当て時には、「SYSVOL」フォルダに.msiファイルを置くような運用は、通常は行わないと思いますよ。別にアプリケーション置き場となる「共有フォルダ」を作成し、そこから.msiファイルを参照するようグループポリシーを構成する、のが一般的だと思います。

  2011年8月2日 19:48

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  チャブーン　様

   

  情報の提供ありがとうございます。

  まず、ご指摘の内容（SYSVOL内へのアプリ配置について）についてですが

  今現在の本番環境（2003R2のAD）でSYSBOL内に配置した.msiファイルのコンピュータ（XP）への割り当てができていたため、同様に2008R2でも実施できるかなと思いテストをしていました。

  本番環境では別途共有フォルダを準備してそこから参照を行う様に実施するように構築いたします。

  ご指摘ありがとうございました。

   

  早速ですが、ご提示いただいた内容にてテスト環境での検証をしてみましたのでご報告させていただきます。

  ・.msiファイル等実行ファイルすべてをAD内に共有フォルダ（AD・クライアントすべて参照可能）を新規作成して移動

  ・共有フォルダーの権限に「Domain Computers」に「読み取りと実行」を割り当て

  ・GPOにて「コンピュータの構成」「ポリシー」「ソフトウェアの設定」「ソフトウェアインストール」を新規作成してOU（クライアント2台が所属）に割り当て

  ・クライアント（XP）にログイン後、共有フォルダを参照して対象の.msiファイル（Office2003）を実行するとインストールは正常終了

  ・クライアント（XP）のOffice2003を削除後、再起動実施

  ・再起動後、コマンドより「gpupdate /force」を実行して再起動が促されるので実行

  ・再起動後、ログイン処理前にソフトウェアのインストール処理は走っているがログインしてみるとインストールされていない

  ・クライアント（XP）のイベントログには下記のように表示

  イベント ID:102

  ユーザー:NT AUTHORITY\SYSTEM

  説明:アプリケーション Microsoft Office Professional Edition 2003 (ポリシー Office2003) のインストールに失敗しました。

  エラー: この製品のインストール元を利用できません。インストール元が存在し、アクセスできることを確認してください。

  ・クライアント（2008R2）は正常にインストール完了

  ・試しで共有フォルダに「Everyone」を割り当ててみてクライアント（XP）から実施しても同様にインストール完了せず。

   

  以上のようにインストールができませんでした。

  XPのイベントログにあるユーザー「NT AUTHORITY\SYSTEM」ですがこれが関連しているのでしょうか？

   

  再度で申し訳ございませんが、よろしくお願いいたします。

  2011年8月3日 8:12

  返信

  |

  引用
• 

  

  0

  サインインして投票

  「コンピュータの構成」でコンピュータの起動時にソフトウェアのインストールを割り当てるなら、該当のソフトウェアインストールのGPOに対して「セキュリティフィルタ処理」でDomain Computersに「読み取り」と「グループポリシーの適用」の許可を与えてください。

  http://itpro.nikkeibp.co.jp/article/COLUMN/20080422/299787/

  http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy07/gpolicy07_04.html

  （うえの資料の「セキュリティフィルタ処理」の画面でAuthenticated Usersを削除してDomain Computersを追加してください。）

  ---

  試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)

  2011年8月4日 11:37

  返信

  |

  引用
• 

  

  0

  サインインして投票

  チャブーンです。

  検証いただいた限りでは、共有フォルダ自体に問題はないこと、「NT AUTHORITY\SYSTEM」アカウントでアクセスしてることも正常になりますね。

  エラーメッセージから2つの理由があり得ます。

  • グループポリシーに設定されたインストーラへのパスが適切ではない(サーバー名にIPアドレスを使ってる場合はコンピュータ名に直してください)
  • Windows XPから共有フォルダに対して「DNSベースの名前解決」ができることをnslookupで確認します。XPが参照するDNSサーバーは「ドメインコントローラだけ」に設定してください。

  上の設定を見直してもうまくいかない場合、userenv.logというグループポリシーの適用状況などをチェックするログを取ると、何かわかるかもしれません。

  • 回答としてマーク Purepura 2011年8月5日 7:08

  2011年8月5日 4:59

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  試験問題作成委員会　様

  チャブーン　様

   

  情報の提供ありがとうございます。

   

  ご指摘の内容にて解決いたしましたのでご報告いたします。

   

  共有フォルダを作成した際のGPOのパス設定がIPアドレスだった為、コンピュータ名に変更したところ正常にインストールが完了いたしました。

  最初のSYSVOL内への.msiファイルについてもDomainComputersの権限を割り当てる事で実施できました（この方法はご指摘の通り使用はしません）

   

  これで本番環境での2008R2への移行もできそうです。

  ありがとうございました。

   

  蛇足ですが

  2008R2（クライアントの場合）はフォルダに対してのDomainComputersの権限がなく、GPOのパスがIPでもインストールできてしまうんですね。

   

  2011年8月5日 7:19

  返信

  |

  引用