none
Не применяется GPO (Установка программ) к Windows 7. RRS feed

  • Вопрос

  • Здравствуйте! Имею проблему следующего характера: есть AD на Windows Server 2003 Ent., клиентские ОС в основном XP, но есть и Windows 7 (с которой наблюдается проблема).

    Создал отдельный OU=Test_W7, ввел ПК (с Windows 7) в домен, перенес ПК в созданный OU=Test_W7, в OU включил "Блокировать наследование" (так как есть определённая цель, отследить отработку определённых GPO). После создал две GPO (GPO была создана из под Windows 7 - RSAT):

    1. Test_Windows7, эта GPO запускает службу "Политика удаления смарт-карт".

    2. Specops_Gpupdate, эта GPO должна установить ПО: Specops Gpupdate (http://www.specopssoft.com/products/specops-gpupdate). Файл MSI.

    Теперь собственно, про возникающие проблемы. GPresult /r выводит три GPO верхнего уровня(две не имеют значения), а вот одна это: "Default Domain Policy". А вот те две GPO созданных мною и чётко привязанных к OU, где находится тестовый ПК - нет. При gpupdate /force, получаю сообщение о том, что некоторые политики применятся только после перезагрузки ПК (а именно - "Software Installation"), после перезагрузки ПК, в журнале событий GroupPolicy получаю ошибку:

    Имя журнала:   Microsoft-Windows-GroupPolicy/Operational
    Источник:      Microsoft-Windows-GroupPolicy
    Дата:          24.01.2011 12:10:40
    Код события:   7016
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:
    Пользователь:  система
    Компьютер:     windows7.contoso.com
    Описание:
    Завершена обработка расширения Software Installation за 967 мс.
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />
        <EventID>7016</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>2</Opcode>
        <Keywords>0x4000000000000000</Keywords>
        <TimeCreated SystemTime="2011-01-24T09:10:40.676295000Z" />
        <EventRecordID>5727</EventRecordID>
        <Correlation ActivityID="{329F289B-BA7E-462A-8261-7F21020FF462}" />
        <Execution ProcessID="872" ThreadID="1080" />
        <Channel>Microsoft-Windows-GroupPolicy/Operational</Channel>
        <Computer>windows7.contoso.com</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data Name="CSEElaspedTimeInMilliSeconds">967</Data>
        <Data Name="ErrorCode">1612</Data>
        <Data Name="CSEExtensionName">Software Installation</Data>
        <Data Name="CSEExtensionId">{C6DC5466-785A-11D2-84D0-00C04FB169F7}</Data>
      </EventData>
    </Event>

    Из http://technet.microsoft.com/en-us/library/cc749336(WS.10).aspx понял, что проблема в CSE клиента, а что именно нет так, не понял.

    Воспользовался советом из  http://social.technet.microsoft.com/Forums/ru-RU/ws2008ru/thread/68c87b1a-2940-424b-ab2d-f69519ac863f :

    Конфигурация компьютера\Административные шаблоны\Система\Вход в систему\Всегда ожидать инициализации сети при загрузке и входе в систему -> установил в значение включен)

    Не помогло! Такая же ошибка осталась.

    Выполнить совет из http://social.technet.microsoft.com/Forums/en/winserverGP/thread/4f2247df-d3ff-49dc-bd25-2b242946f3b4 не получилось, так как папки GroupPolicy нет.

    Первая GPO (Test_Windows7) успешно выполняется, так как я вижу, что служба запускается (для этого даже перезагружать ПК не требуется, служба стартует сразу).

    Вопросы следующие:

    1. Почему gpresult /r не показывает GPO, четко привязанные к OU, в котором находится ПК и почему показывает вышестоящие, когда "Блокировка наследования" включена?

    2. Почему GPO на установку ПО не устанавливается? Что я делаю не так?

    Жду Ваших советом, решений и замечаний!

    24 января 2011 г. 10:02

Ответы

  • Учетная запись ПК - ничего.
    На папку с софтом дайте права Authenticated Users на Read
    • Помечено в качестве ответа Раймонд 4 февраля 2011 г. 11:19
    3 февраля 2011 г. 15:44
    Отвечающий
  • Сделал, проверил - получилось. Считаю, что это и есть ответ на поставленный мною вопрос!
    А теперь для понимания сути: софт в политиках ставится из под учётной записи рабочей станции, которая не входит в Domain Users, но входит в Domain Computers (их также объединяет и Authenticated Users)
    • Помечено в качестве ответа Раймонд 4 февраля 2011 г. 14:59
    4 февраля 2011 г. 11:31
    Отвечающий

Все ответы

  • Создал отдельный OU=Test_W7, ввел ПК (с Windows 7) в домен, перенес ПК в созданный OU=Test_W7, в OU включил "Блокировать наследование" (так как есть определённая цель, отследить отработку определённых GPO). После создал две GPO (GPO была создана из под Windows 7 - RSAT)

    (просто для уточнения) в описании я не вижу пункта привязки созданных GPO к конкретным контейнерам... это было сделано?

    да, Вы пишете, что одна политика вроде выполняется... (?) но всё же...

    (может, вместо gpresult /r исползовать, наоборот, gpresult /v ?...)

    24 января 2011 г. 10:40
  • Конечно, GPO привязал к OU:

     

     И только что пробывал gpresult /v. Результат тот же(

     

    25 января 2011 г. 6:37
  • если из двух созданных политик не отрабатывает одна и она связана с файлами - смотрите разрешения на на место хранения файлов. куда вы положили msi файл и какие действуют разрешения?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    25 января 2011 г. 13:30
  • Данный файл размещён в расшаренной папке, доступ который на чтение разрешён группе Users, в которую входят Domain Users, если точнее:

    This folder, subfolders and files

    Traverse Folder / Execute File - Allow

    List Folder /Read Data - Allow

    Read Attributes - Allow

    Read Extended Attributes - Allow

    This folder and subfolders

    Create Files / Write Data - Allow

    Create Folders / Append Data - Allow

    На уровне Sharing:

    Share Permissions - Everyone:

    Read - Allow.

     А может это быть из-за того, что я создавал эти GPO из под Windows 7? И может требуется создать Центральное хранилище? Я если честно, ещё не до конца разобрался по поводу управления GPO в смешанной среде (т.е. AD на 2003 Ent., рабочие станции: 2003, XP, Vista, Windows 7). Но это исправляю, ознакамливаясь с http://technet.microsoft.com/ru-ru/library/cc766208(WS.10).aspx 

    27 января 2011 г. 9:01
  • попробуйте повысить уровень логирования применения групповой политики

    http://techibee.com/group-policies/enable-group-policy-debugging-on-windows-7/191

    возможно, в дополнение к информации из журналу, поможет разобраться.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    28 января 2011 г. 8:35
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    2 февраля 2011 г. 16:08
  • попробуйте повысить уровень логирования применения групповой политики

    http://techibee.com/group-policies/enable-group-policy-debugging-on-windows-7/191

    возможно, в дополнение к информации из журналу, поможет разобраться.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий


    Как реализую вышесказанное - обязательно отпишусь о результатах.

    А ещё у меня такой тонких технический вопросик про "Default Domain Policy", кто то из моих коллег высказался (когда то давно вскольз сталкивался) по поводу того, что эту политику по умолчанию никак нельзя отменить, т.е. что бы ты не делал, она всё равно будет применяться ко всем, типо она же Default. Ну а с виду, такая же GPO как и все, только уже с каким то минимальными настройками. Так ли это?

    3 февраля 2011 г. 10:34
  • А ещё у меня такой тонких технический вопросик про "Default Domain Policy", кто то из моих коллег высказался (когда то давно вскольз сталкивался) по поводу того, что эту политику по умолчанию никак нельзя отменить, т.е. что бы ты не делал, она всё равно будет применяться ко всем, типо она же Default. Ну а с виду, такая же GPO как и все, только уже с каким то минимальными настройками. Так ли это?

    Скажем так: пусть и слегка стороной. Есть 2 критичных для нормального функционирования инфраструктуры служебных GPO: это Default Domain Policy и Default Domain Controllers Policy. Они имеют единые жёстко предопределённые GUID, есть некоторые недокументированные моменты - когда к примеру некоторые настройки, сделанные на контроллерах локально, сами собой оказываются в DDCP (пруфлинк не найду, неофициальная информация с тренинга). Вопрос в другом - что именно вы определяете в этих политиках: недаром существует рекомендация не менять эти политики, а создавать параллельно свои.

    upd: неплохая тема

    3 февраля 2011 г. 10:57
    Отвечающий
  • А ещё у меня такой тонких технический вопросик про "Default Domain Policy", кто то из моих коллег высказался (когда то давно вскольз сталкивался) по поводу того, что эту политику по умолчанию никак нельзя отменить, т.е. что бы ты не делал, она всё равно будет применяться ко всем, типо она же Default. Ну а с виду, такая же GPO как и все, только уже с каким то минимальными настройками. Так ли это?

    Скажем так: пусть и слегка стороной. Есть 2 критичных для нормального функционирования инфраструктуры служебных GPO: это Default Domain Policy и Default Domain Controllers Policy. Они имеют единые жёстко предопределённые GUID, есть некоторые недокументированные моменты - когда к примеру некоторые настройки, сделанные на контроллерах локально, сами собой оказываются в DDCP (пруфлинк не найду, неофициальная информация с тренинга). Вопрос в другом - что именно вы определяете в этих политиках: недаром существует рекомендация не менять эти политики, а создавать параллельно свои.

    upd: неплохая тема

    Спасибо большое за ответ и ссылку. Очень интересно и информативно! В связи с чем появился вопрос - о котором спрошу в отдельной теме. А если у OU включить "Блокировать наследование" "Default Domain Policy" по идее не должна применяться к ПК находящемся в этом OU?
    3 февраля 2011 г. 12:53
  • А если у OU включить "Блокировать наследование" "Default Domain Policy" по идее не должна применяться к ПК находящемся в этом OU?
    ну так легко проверить - настройте блокирование и выполните на клиенте сначала gpupdate /force и затем rsop.msc: увидите самую достоверную информацию о применённых политиках (правой кнопкой на Computer Configuration и User Configuration в свойства - там на вкладках)
    3 февраля 2011 г. 13:02
    Отвечающий
  • Ух ты, какая удобная вещь! Спасибо. Я перенёс ПК в отдельный OU, к этому OU привязал GPO и включил "Блокировать наследование". После gpupdate /force и затем rsop.msc "Default Domain Policy" и ещё 2 GPO(одна про разрешения на установку принтеров, другая не столь важно) почему то всё равно применяются. Почему? Я же включил блокировку наследования..
    3 февраля 2011 г. 13:57
  • Я перенёс ПК в отдельный OU, к этому OU привязал GPO и включил "Блокировать наследование". После gpupdate /force и затем rsop.msc "Default Domain Policy" и ещё 2 GPO(одна про разрешения на установку принтеров, другая не столь важно) почему то всё равно применяются. Почему? Я же включил блокировку наследования..

    прошла ли репликация между контроллерами? вы меняли политику на PDC - пришли ли изменения на контроллер, с которого забирала политики рабочая станция? не включён ли Enforce на ваших указанных политиках?

    3 февраля 2011 г. 14:29
    Отвечающий
  • Репликация... хороший вопрос) Ушло у меня на это процедуру, поэтому думаю, что прошла - проблем с сетью нет. Изменения делал не на PDC, а вот рабочая станция брала результаты как раз с PDC.  После я подключил ещё одну политику Specops_Gpupdate (как только я писал этот вопрос в форуме, эта GPO была привязана к этому OU, но для эксперимента временно удалял связь), из-за которй как раз и возникла данная тема на форуме. Сделал  gpupdate /force, после соответственно, было предложено перезагрузить ПК, отвлёкся минут на 15(это я к тому, что теперь то репликация точно прошла), после зашёл на рабочую станцию, выполнил rsop.msc, вот результат:

      Визуально видно, что Default Domain Policy" по-прежнему применяется. Enforce в данный момент - выключен (был когда то включён, о чем говорит скрин, что выше). А вот теперь про ту GPO с установкой ПО:

     

     Файл лежит в шаре.. Думаю перекинуть этот дистрибутив на сам DC, в SYSVOL и тогда ясно будет. А судя по текущей ошибке, проблема в правах.

    3 февраля 2011 г. 15:02
  • Думаю перекинуть этот дистрибутив на сам DC, в SYSVOL и тогда ясно будет.
    Не вздумайте! Не раздувайте SYSVOL - поверьте, проблемы могут быть куда интереснее впоследствии: FRS - "интересная" тема...
    3 февраля 2011 г. 15:09
    Отвечающий
  • Файл лежит в шаре.. А судя по текущей ошибке, проблема в правах.
    Доступ к шаре у комповой учётки есть?
    3 февраля 2011 г. 15:10
    Отвечающий
  • По поводу SYSVOL... уже реализовал, проверил - ПО установилось. После этого эксперимента теперь точно ясно, что проблема с NTFS правами на папку. По поводу раздувания папки - согласен. Сделал это только ради быстрой проверки своего подозрения, после, всё вернул на место и ту GPO отключил.

    Теперь про доступ. Нау ровне Sharing, в Permissions стоит Everyone - Read - Allow.

    А вот в Security, при проверке прав на вкладке Effective Permissions:

    Domain Users - ничего.

    Domain Computers - ничего.

    Domain Admins - ничего.

    Простая учетная запись (находящаяся в группе Domain Users):
    Traverse Folder / Execute File
    List Folder / Read Data
    Read Attributes
    Read Extended Attributes
    Create Files / Write Data
    Create Folders / Append Data

    Учетная запись администратора домена: Full Control

    Учетная запись ПК - ничего.

    • Изменено Раймонд 3 февраля 2011 г. 15:44 исправил
    3 февраля 2011 г. 15:43
  • Учетная запись ПК - ничего.
    На папку с софтом дайте права Authenticated Users на Read
    • Помечено в качестве ответа Раймонд 4 февраля 2011 г. 11:19
    3 февраля 2011 г. 15:44
    Отвечающий
  • На папку с софтом дайте права Authenticated Users на Read

    Сделал, проверил - получилось. Считаю, что это и есть ответ на поставленный мною вопрос!

    НО, мне всё же интересно, почему к ПК в отдельном OU с включенной блокировкой наследования, применяется "Default Domain Policy" и ещё 2 GPO ? Области GPO проверил.. всё там нормально... Ну ладно, спрошу про это в теме про драйвер принтера или открою новую тему. Спасибо большое всем за советы и за то, что приняли участие в оказании помощи.

    4 февраля 2011 г. 11:18
  • попробуйте повысить уровень логирования применения групповой политики

    http://techibee.com/group-policies/enable-group-policy-debugging-on-windows-7/191

    возможно, в дополнение к информации из журналу, поможет разобраться.

    Считаю этот совет тоже очень полезным и интересным, но пока если честно, не пробывал его реализовать. Я снова спровоцирую ошибку установки ПО с включением этого логирования и если будет что то интересно, отпишусь и тоже его помечу как ответ.
    4 февраля 2011 г. 11:24
  • Сделал, проверил - получилось. Считаю, что это и есть ответ на поставленный мною вопрос!
    А теперь для понимания сути: софт в политиках ставится из под учётной записи рабочей станции, которая не входит в Domain Users, но входит в Domain Computers (их также объединяет и Authenticated Users)
    • Помечено в качестве ответа Раймонд 4 февраля 2011 г. 14:59
    4 февраля 2011 г. 11:31
    Отвечающий
  • Сделал, проверил - получилось. Считаю, что это и есть ответ на поставленный мною вопрос!
    А теперь для понимания сути: софт в политиках ставится из под учётной записи рабочей станции, которая не входит в Domain Users, но входит в Domain Computers (их также объединяет и Authenticated Users)

    Интересный нюанс. Почему же не придумали Authenticated Computers)
    4 февраля 2011 г. 15:00
  • Интересный нюанс. Почему же не придумали Authenticated Computers)
    Ну с точки зрения AD - это практически такие же пользователи. Суть в другом - это принципал безопасности и он прошёл аутентификацию в домене (пользователь - со своим паролем, рабочая станция - со своим): это их и объединяет. Универсальнее для вашей цели дать доступ именно Authenticated Users, на мой взгляд.
    4 февраля 2011 г. 15:47
    Отвечающий