最佳解答者
GPO MSI軟體派送權限問題

問題
-
請問各位前輩,小弟想詢問關於GPO MSI軟體派送問題,其環境如下
DC : Windows 2012 STD R2 x64
Client : Windows 7 PRO SP1 x32
嘗試從GPO派送MSI檔案(使用者設定)至Client進行安裝,產生須Local administrator權限才能執行問題(圖1)
在Client執行"gpresult /H GPReport.html",確認GPO已有下達至Client端 (圖2)
Client帳號本身不具有Local administrator權限,但若使用GPO派送應無權限問題??
另外Client可讀取\\[DOMAINNAMe]\NETLOGON\相對應的MSI目錄及檔案, MSI檔可手動執行正常
請問是否有何安全性的限制呢?或如何調整?
另外在網路上找到此篇文件"設定群組原則軟體安裝的權限",不是很清楚所指為何??
感謝您的查閱及幫助
- 已編輯 Pinno 2015年12月30日 上午 08:30
解答
-
1. 電腦設定執行於啟動時套用電腦設定的時候, 使用者設定在使用者登入時套用使用者設定...但有例外, 套用群組原則時有一個模式叫Loopback Processing (Merge/Replace), 這個模式是開啟狀態的話, 使用者登入後會根據使用者登入的電腦重新來套用電腦設定, 這模式通常是讓不能預計使用者會登入那一台電腦的環境使用 (私人電腦/公共電腦) 的.
2. 對
3. 對, 除非受Loopback Processing影響
那為什麼我會說試試使用電腦設定來安裝, 那大概是經驗使然, 雖然不知道你要安裝的是甚麼軟體, 但如果使用使用者設定而軟體確實會檢測安裝帳號有沒有本地Admin權限, 那唯有使用電腦設定去跳過這個檢測.
當使用電腦設定安裝時, 安裝的帳號是電腦帳號, 並沒有任何使用者資訊, 如果安裝程式找不到使用者設定就跳過的話就可行.
但問題是如果安裝時會寫入機碼到HKEY_CURRENT_USER, 就會做成問題, 因為執行機碼還沒有這一段.
微軟的建議是假如有這種情況, 就要在使用者設定裡匯入預製好的機碼, 或把.msi的執行階段分為兩個部份(這要諮詢廠方).
文件是這樣寫的
Problem: Package seems to install correctly by the Application Event Viewer messages, but the application does not seem to work.
Resolution: If your MSI installers file attempts to write to HKEY_CURRENT_USER in the registry, the installation may not be complete. Since the application is installed using the local computer account, no user is currently logged on, hence no available Current User profile exists. Instead, split the MSI installation into two parts and push the actual files and common registry keys via a Computer Configuration GPO, and define the CURRENT_USER registry keys in a separate User Configuration GPO. Also, ensure that the MSI installer file is able to silently install with little or no user intervention. Test the installation of your MSI installer file as the local computer account by following the technique listed above on how to obtain a command prompt as the NT Authority\System account.
邊幫助, 邊鍛鍊
- 已提議為解答 rainy085777 2016年1月2日 下午 02:42
- 已標示為解答 Pinno 2016年1月5日 上午 05:19
所有回覆
-
試試用電腦設定並把軟體安裝的GPO指派給Computers OU而不以使用者設定來進行
邊幫助, 邊鍛鍊
- 已提議為解答 rainy085777 2016年1月2日 下午 02:41
-
Justin, 感謝您的回覆,小弟有試著將GPO指派給自訂OU(測試用),並將測試電腦拉至其OU底下
在GPO的"電腦設定"中設定MSI檔,初測可以安裝成功,但其軟體登入時,無法寫入register (這部份已詢問原廠)
除以上問題外,另有些觀念問題想請教
1. 在過往的印象中,GPO設定"電腦設定"和"使用者設定",其差別在於執行的階段,前者在電腦啟動時(登入畫面前)
後者是電腦登入後(登入後),但執行應無權限問題,為何您要建議改用"電腦設定"的方式呢??
2. 如果在GPO的"電腦設定"所設定的項目,若所套用的OU,其底下沒有computer object,該條GPO是無作用的?對嗎??
3. 如果在GPO的"使用者設定"所設定的項目,若所套用的OU,其底下沒有user object,該條GPO是無作用的?對嗎??
回到初始的問題,若是設定在"使用者設定"中,其執行權限的問題為何??
以上,感謝~~
-
1. 電腦設定執行於啟動時套用電腦設定的時候, 使用者設定在使用者登入時套用使用者設定...但有例外, 套用群組原則時有一個模式叫Loopback Processing (Merge/Replace), 這個模式是開啟狀態的話, 使用者登入後會根據使用者登入的電腦重新來套用電腦設定, 這模式通常是讓不能預計使用者會登入那一台電腦的環境使用 (私人電腦/公共電腦) 的.
2. 對
3. 對, 除非受Loopback Processing影響
那為什麼我會說試試使用電腦設定來安裝, 那大概是經驗使然, 雖然不知道你要安裝的是甚麼軟體, 但如果使用使用者設定而軟體確實會檢測安裝帳號有沒有本地Admin權限, 那唯有使用電腦設定去跳過這個檢測.
當使用電腦設定安裝時, 安裝的帳號是電腦帳號, 並沒有任何使用者資訊, 如果安裝程式找不到使用者設定就跳過的話就可行.
但問題是如果安裝時會寫入機碼到HKEY_CURRENT_USER, 就會做成問題, 因為執行機碼還沒有這一段.
微軟的建議是假如有這種情況, 就要在使用者設定裡匯入預製好的機碼, 或把.msi的執行階段分為兩個部份(這要諮詢廠方).
文件是這樣寫的
Problem: Package seems to install correctly by the Application Event Viewer messages, but the application does not seem to work.
Resolution: If your MSI installers file attempts to write to HKEY_CURRENT_USER in the registry, the installation may not be complete. Since the application is installed using the local computer account, no user is currently logged on, hence no available Current User profile exists. Instead, split the MSI installation into two parts and push the actual files and common registry keys via a Computer Configuration GPO, and define the CURRENT_USER registry keys in a separate User Configuration GPO. Also, ensure that the MSI installer file is able to silently install with little or no user intervention. Test the installation of your MSI installer file as the local computer account by following the technique listed above on how to obtain a command prompt as the NT Authority\System account.
邊幫助, 邊鍛鍊
- 已提議為解答 rainy085777 2016年1月2日 下午 02:42
- 已標示為解答 Pinno 2016年1月5日 上午 05:19
-
Justin,感謝您的說明及回覆
目前GPO若是"電腦設定"安裝時,軟體(TrustView Agent)可以執行,但在登入時,會產生無法寫入register問題,雖然已洽詢原廠,小弟猜想問題大概誠如您所說明的,在電腦安裝時,無法寫入HKEY_CURRENT_USER機碼,所以在軟體登入時,顯示這個錯誤??
若是放在"使用者設定"中,有否可能或其他的方式,可以在安裝時時具有本機admin權限執行呢?
小弟在網路上找到這篇"設定群組原則軟體安裝的權限",但不是很了解其所指的權限為何?依字面解讀可以指定安裝的權限??
是否有可能解決權限不足的問題??
感謝您的說明及賜教