23
Adobe Reader GPO Verteilen
Server W2k3 R2
Clients Windows 7
Hallo ich habe grad ein sehr komisches Problem.
Ich möchte Adobe Reader XI über GPO Verteilen. Ich habe die MSI mit der Setup.ini und der MST Datei in einem Ordner dieser ist in einem Ordner drin wo Je
der lesen kann.
So sind die Einstellungen
Daten ermittelt am: 14.02.2013 10:28:21 Alle einblenden
Erstellt 13.02.2013 12:18:56
Verändert 13.02.2013 15:52:04
Benutzerrevisionen 0 (AD), 0 (sysvol)
Computerrevisionen 6 (AD), 6 (sysvol)
Eindeutige Kennung {57A980F5-1680-48FD-AE03-CEB5C381A80A}
Status Aktiviert
VerknüpfungenEinblenden
Speicherort Erzwungen Verknüpfungsstatus Pfad
Kein
Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts.
SicherheitsfilterungEinblenden
Die Einstellungen dieses Gruppenrichtlinienobjekts können nur auf folgenden Gruppen, Benutzer und Computer angewendet werden:Name
NT-AUTORITÄT\Authentifizierte Benutzer
*\Domänencomputer
WMI-FilterungEinblenden
Name des WMI-Filters Kein
Beschreibung Nicht anwendbar
DelegierungEinblenden
Folgende Gruppen und Benutzer haben die angegebene Berechtigung für das GruppenrichtlinienobjektName Erlaubte Berechtigungen Geerbt
NT-AUTORITÄT\Authentifizierte Benutzer Lesen (durch Sicherheitsfilterung) Nein
NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION Lesen Nein
NT-AUTORITÄT\SYSTEM Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein
*\Domänen-Admins Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein
*\Domänencomputer Lesen (durch Sicherheitsfilterung) Nein
*\Organisations-Admins Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein
Computerkonfiguration (Aktiviert)Ausblenden
SoftwareeinstellungenAusblenden
Zugewiesene AnwendungenAusblenden
Adobe Reader XI (11.0.01) - DeutschAusblenden
ProduktinformationenAusblenden
Name Adobe Reader XI (11.0.01) - Deutsch
Version 11.0
Sprache Deutsch (Deutschland)
Plattform Intel
Aktuelle URL http://www.adobe.de/support/main.html
BereitstellungsinformationAusblenden
Allgemein Einstellung
Bereitstellungsart Zugewiesen
Bereitstellungsquelle \\server\Softwareverteilung$\AdobeReader10\AdbeRdr11001_de_DE.msi
Anwendung deinstallieren, wenn sie außerhalb des Verwaltungsbereichs liegt Deaktiviert
Erweiterte Bereitstellungsoptionen Einstellung
Sprache beim Bereitstellen dieses Pakets ignorieren Deaktiviert
Diese 32-Bit-X86-Anwendung für Win64-Computer bereitstellen Aktiviert
OLE-Klasse und Produktinformationen einbeziehen. Aktiviert
Diagnoseinformationen Einstellung
Produktcode {ac76ba86-7ad7-1031-7b44-ab0000000001}
Bereitstellungsanzahl 0
SicherheitAusblenden
BerechtigungenTyp Name Berechtigung Geerbt
Zulassen NT-AUTORITÄT\Authentifizierte Benutzer Lesen Nein
Zulassen *\Domänen-Admins Vollzugriff Nein
Zulassen *\Domänencomputer Vollzugriff Nein
Zulassen NT-AUTORITÄT\SYSTEM Vollzugriff Nein
Zulassen *\Domänen-Admins Lesen, Schreiben Ja
Zulassen *\Organisations-Admins Lesen, Schreiben Ja
Zulassen ERSTELLER-BESITZER Lesen, Schreiben Ja
Zulassen NT-AUTORITÄT\SYSTEM Lesen, Schreiben Ja
Zulassen NT-AUTORITÄT\Authentifizierte Benutzer Lesen Ja
Zulassen NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION Lesen Ja
Zulassen *\Domänencomputer Lesen Ja
Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. Aktiviert
ErweitertAusblenden
Updates Einstellung
Vorhandene Pakete aktualisieren Aktiviert
Pakete, die von diesem Paket aktualisiert werden Gruppenrichtlinienobjekt
Kein
Pakete des aktuellen Gruppenrichtlinienobjekts, durch die dieses Paket aktualisiert wird Kein
Kategorien
Kein
Transform
\\server\Softwareverteilung$\AdobeReader10\AdbeRdr11001_de_DE.mst
Administrative VorlagenAusblenden
Windows-Komponenten/Windows InstallerAusblenden
Richtlinie Einstellung
Immer mit erhöhten Rechten installieren Aktiviert
Diese Einstellung muss für den Computer und den Benutzer gesetzt werden, um erzwungen zu werden.
Benutzerkonfiguration (Aktiviert)Ausblenden
Keine Einstellungen definiert
Ich habe die jetzt grade nicht verknüpft hatte es gestern aber mit ner OU verknüpft.
Es wird auch angezeit beim Starten Adobe wird installiert.
Wird aber unterbrochen.
eventvwr sagt Installation fehlgeschlagen keine Berechtigung.
Allerdings habe ich dann mal das Setup vom Client aus gestartet und es installiert ohne Probleme.
Woran kann es liegen?
Ich möchte Adobe Reader XI über GPO Verteilen. Ich habe die MSI mit der Setup.ini und der MST Datei in einem Ordner dieser ist in einem Ordner drin wo Je
der lesen kann.
So sind die Einstellungen
Daten ermittelt am: 14.02.2013 10:28:21 Alle einblenden
Erstellt 13.02.2013 12:18:56
Verändert 13.02.2013 15:52:04
Benutzerrevisionen 0 (AD), 0 (sysvol)
Computerrevisionen 6 (AD), 6 (sysvol)
Eindeutige Kennung {57A980F5-1680-48FD-AE03-CEB5C381A80A}
Status Aktiviert
VerknüpfungenEinblenden
Speicherort Erzwungen Verknüpfungsstatus Pfad
Kein
Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts.
SicherheitsfilterungEinblenden
Die Einstellungen dieses Gruppenrichtlinienobjekts können nur auf folgenden Gruppen, Benutzer und Computer angewendet werden:Name
NT-AUTORITÄT\Authentifizierte Benutzer
*\Domänencomputer
WMI-FilterungEinblenden
Name des WMI-Filters Kein
Beschreibung Nicht anwendbar
DelegierungEinblenden
Folgende Gruppen und Benutzer haben die angegebene Berechtigung für das GruppenrichtlinienobjektName Erlaubte Berechtigungen Geerbt
NT-AUTORITÄT\Authentifizierte Benutzer Lesen (durch Sicherheitsfilterung) Nein
NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION Lesen Nein
NT-AUTORITÄT\SYSTEM Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein
*\Domänen-Admins Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein
*\Domänencomputer Lesen (durch Sicherheitsfilterung) Nein
*\Organisations-Admins Einstellungen bearbeiten / Löschen / Sicherheit verändern Nein
Computerkonfiguration (Aktiviert)Ausblenden
SoftwareeinstellungenAusblenden
Zugewiesene AnwendungenAusblenden
Adobe Reader XI (11.0.01) - DeutschAusblenden
ProduktinformationenAusblenden
Name Adobe Reader XI (11.0.01) - Deutsch
Version 11.0
Sprache Deutsch (Deutschland)
Plattform Intel
Aktuelle URL http://www.adobe.de/support/main.html
BereitstellungsinformationAusblenden
Allgemein Einstellung
Bereitstellungsart Zugewiesen
Bereitstellungsquelle \\server\Softwareverteilung$\AdobeReader10\AdbeRdr11001_de_DE.msi
Anwendung deinstallieren, wenn sie außerhalb des Verwaltungsbereichs liegt Deaktiviert
Erweiterte Bereitstellungsoptionen Einstellung
Sprache beim Bereitstellen dieses Pakets ignorieren Deaktiviert
Diese 32-Bit-X86-Anwendung für Win64-Computer bereitstellen Aktiviert
OLE-Klasse und Produktinformationen einbeziehen. Aktiviert
Diagnoseinformationen Einstellung
Produktcode {ac76ba86-7ad7-1031-7b44-ab0000000001}
Bereitstellungsanzahl 0
SicherheitAusblenden
BerechtigungenTyp Name Berechtigung Geerbt
Zulassen NT-AUTORITÄT\Authentifizierte Benutzer Lesen Nein
Zulassen *\Domänen-Admins Vollzugriff Nein
Zulassen *\Domänencomputer Vollzugriff Nein
Zulassen NT-AUTORITÄT\SYSTEM Vollzugriff Nein
Zulassen *\Domänen-Admins Lesen, Schreiben Ja
Zulassen *\Organisations-Admins Lesen, Schreiben Ja
Zulassen ERSTELLER-BESITZER Lesen, Schreiben Ja
Zulassen NT-AUTORITÄT\SYSTEM Lesen, Schreiben Ja
Zulassen NT-AUTORITÄT\Authentifizierte Benutzer Lesen Ja
Zulassen NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION Lesen Ja
Zulassen *\Domänencomputer Lesen Ja
Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. Aktiviert
ErweitertAusblenden
Updates Einstellung
Vorhandene Pakete aktualisieren Aktiviert
Pakete, die von diesem Paket aktualisiert werden Gruppenrichtlinienobjekt
Kein
Pakete des aktuellen Gruppenrichtlinienobjekts, durch die dieses Paket aktualisiert wird Kein
Kategorien
Kein
Transform
\\server\Softwareverteilung$\AdobeReader10\AdbeRdr11001_de_DE.mst
Administrative VorlagenAusblenden
Windows-Komponenten/Windows InstallerAusblenden
Richtlinie Einstellung
Immer mit erhöhten Rechten installieren Aktiviert
Diese Einstellung muss für den Computer und den Benutzer gesetzt werden, um erzwungen zu werden.
Benutzerkonfiguration (Aktiviert)Ausblenden
Keine Einstellungen definiert
Ich habe die jetzt grade nicht verknüpft hatte es gestern aber mit ner OU verknüpft.
Es wird auch angezeit beim Starten Adobe wird installiert.
Wird aber unterbrochen.
eventvwr sagt Installation fehlgeschlagen keine Berechtigung.
Allerdings habe ich dann mal das Setup vom Client aus gestartet und es installiert ohne Probleme.
Woran kann es liegen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201727
Url: https://administrator.de/contentid/201727
Printed on: April 16, 2024 at 07:04 o'clock
23 Comments
Latest comment
Hallo ey-jo,
sieht für mich so aus als hättest du ein Problem mit der Freigabe/Dateirechten auf "\\Server\Softwareverteilung$"
Schau mal auf der MSI und MST unter den effektiven Berechtigungen nach ob die Computerkonten darauf Zugriff haben.
Gruß,
Mad-Eye
sieht für mich so aus als hättest du ein Problem mit der Freigabe/Dateirechten auf "\\Server\Softwareverteilung$"
Schau mal auf der MSI und MST unter den effektiven Berechtigungen nach ob die Computerkonten darauf Zugriff haben.
Gruß,
Mad-Eye
Hallo,
kann es sein, daß "Nur-Lesen" hier nicht ausreicht? Ich bin nicht sicher, aber es könnte doch sein, daß jede Inst. da was ins Log reinschreiben will/soll.
Grüße
kann es sein, daß "Nur-Lesen" hier nicht ausreicht? Ich bin nicht sicher, aber es könnte doch sein, daß jede Inst. da was ins Log reinschreiben will/soll.
Grüße
@departure
Moin. Nein, in den Pfad wird nie geloggt. Es wäre tödlich, wenn man dort schreiben könnte. Stell Dir vor, ich würde mir Systemrechte ergaunern und dann als System$ dort an dem Paket rumwerkeln, welches an alle verteilt würde! Undenkbar.
@ey-jo
siehe mad-eye, nur genauer: die Freigabe und die NTFS-Rechte prüfen. (Effektive Ber. prüft nur die NTFS-Rechte).
Moin. Nein, in den Pfad wird nie geloggt. Es wäre tödlich, wenn man dort schreiben könnte. Stell Dir vor, ich würde mir Systemrechte ergaunern und dann als System$ dort an dem Paket rumwerkeln, welches an alle verteilt würde! Undenkbar.
@ey-jo
siehe mad-eye, nur genauer: die Freigabe und die NTFS-Rechte prüfen. (Effektive Ber. prüft nur die NTFS-Rechte).
Danke für eure Antworten
Leider bekomme ich immernoch folgendes im Eventlog zu sehen.
Die Installationsquelle für dieses Produkt ist nicht verfügbar. Stellen Sie sicher, dass die Quelle vorhanden ist und Sie Zugriff darauf haben.
Ich habe auf dem Ordner Softwareverteilung$ jeder auf Lesen gesetzt. (das hatte ich bereits immer so und hatte bisher auch immer so geklappt)
Nun bin ich direkt in den Ordner Softwareverteilung$/AdobeReader11/ gegangen und habe auf allen Dateien direkt die Freigabe unter Sicherheit für Authentifizierte Benutzer und Domänencomputer gesetzt.
Ich weiß leider nicht weiter.
Leider bekomme ich immernoch folgendes im Eventlog zu sehen.
Die Installationsquelle für dieses Produkt ist nicht verfügbar. Stellen Sie sicher, dass die Quelle vorhanden ist und Sie Zugriff darauf haben.
Ich habe auf dem Ordner Softwareverteilung$ jeder auf Lesen gesetzt. (das hatte ich bereits immer so und hatte bisher auch immer so geklappt)
Nun bin ich direkt in den Ordner Softwareverteilung$/AdobeReader11/ gegangen und habe auf allen Dateien direkt die Freigabe unter Sicherheit für Authentifizierte Benutzer und Domänencomputer gesetzt.
Ich weiß leider nicht weiter.
Prüf doch mal wie vorgeschlagen über "effektive Berechtigungen" die Zugriffsrechte auf das MSI und Softwareverteilung$ und AdobeReader11 für die Domänengruppe "Domänencomputer".
Domänencomputer haben auf MSI und Softwareverteilung$ und AdobeReader11 folgende effektiven Berechtigungen:
- Ordner Durchsuchen /Datei Ausführen
- Ordner auflisten / Datei lesen
- Attribute lesen
- Erweiterte Attribute lesen
- Berechtigungen lesen
Ist doch so korrekt oder?
- Ordner Durchsuchen /Datei Ausführen
- Ordner auflisten / Datei lesen
- Attribute lesen
- Erweiterte Attribute lesen
- Berechtigungen lesen
Ist doch so korrekt oder?
Ja, das ist so ok.
Hm... Teste bitte folgendes, was Aufschluss geben wird: Lad Dir die pstools von Microsoft runter, darin ist psexec.
Dann geh auf einen der betroffenen Clients und starte cmd.exe über Rechtsklickoption "als Administrator ausführen". In der sich öffnenden Shell starte das Kommando
psexec -s -i cmd
...so öffnet sich dann eine weitere Shell mit Systemrechten, ganz so, als wärst Du das Systemkonto...und das ist genau das Konto, was die MSI-Pakete installiert. In dieser neuen Shell Rufst Du nun auf
und schaust mal, was dabei rauskommt.
Hm... Teste bitte folgendes, was Aufschluss geben wird: Lad Dir die pstools von Microsoft runter, darin ist psexec.
Dann geh auf einen der betroffenen Clients und starte cmd.exe über Rechtsklickoption "als Administrator ausführen". In der sich öffnenden Shell starte das Kommando
psexec -s -i cmd
...so öffnet sich dann eine weitere Shell mit Systemrechten, ganz so, als wärst Du das Systemkonto...und das ist genau das Konto, was die MSI-Pakete installiert. In dieser neuen Shell Rufst Du nun auf
msiexec /i \\server\Softwareverteilung$\AdobeReader10\AdbeRdr11001_de_DE.msi /t \\server\Softwareverteilung$\AdobeReader10\AdbeRdr11001_de_DE.mst
Ganz ehrlich ich verstehs nicht,,, ich habs so gemacht wie du gesagt hast und es wird ganz normal installiert.
Ich habe die GPO wieder aktiviert und bei einem Client getestet ob es geht. Aber es geht leider weiterhin nicht.
Ich habe die GPO wieder aktiviert und bei einem Client getestet ob es geht. Aber es geht leider weiterhin nicht.
Klappt schon noch.
Diagnose, nächster Schritt: Stell die Überwachung von Dateizugriffen am Server ein und schau, ob tatsächlich auf das MSI oder dessen Ordner zugegriffen wird - es sollten Zugriffe von Clientname$ geloggt werden.
So kannst Du auch sehen, ob diese Zugriffe versucht werden, ABER fehlschlagen.
Diagnose, nächster Schritt: Stell die Überwachung von Dateizugriffen am Server ein und schau, ob tatsächlich auf das MSI oder dessen Ordner zugegriffen wird - es sollten Zugriffe von Clientname$ geloggt werden.
So kannst Du auch sehen, ob diese Zugriffe versucht werden, ABER fehlschlagen.
Kannst du mir sagen wo ich bzw. wie ich dieses aktiviere?
Am Server ->secpol.msc ->lokale Richtlinie ->Überwachungsrichtlinie ->Überwachen von Objektzugriffen aktivieren für Erfolg und Fehlschalg. Danach auf dem Server für das Verzeichnis, welches hinter der Freigabe mit dem MSI-Paket steht, die Überwachung in den NTFS-Eigenschaften - erweitert anschalten für jeder. Dann testhalber das MSI einmal anstarten auf dem Server - es müsste nun einiges über diesen Zugriff im Sicherheitslog der Ereignisanzeige des Servers zu sehen sein.
Die Checkboxen für Erfolgreich und Fehlgeschlagen sind ausgegraut. Ich kann diese nicht aktivieren
Das liegt daran, dass eine Domänen-GPO diese Einstellung gesetzt hat. Starte am Server rsop.msc, schau nach, welche GPO das war und ändere es zu Testzwecken dort und mach ein gpupdate auf dem Client.
Das habe ich jetzt gestartet bei Softwareinstallation ist ein gelbes Ausrufezeichen. Versteh ich das richtig muss ich dort unter Überwachungsrichtlinien nachschauen was undter Rangfolge steht? Dort steht Default Domain Controller Policy und da it es auf Keine Überwachung gestllt.
Das heißt diese muss ich dann ändern beim Gruppenrichtlineneditor?
Das heißt diese muss ich dann ändern beim Gruppenrichtlineneditor?
Das heißt diese muss ich dann ändern beim Gruppenrichtlineneditor?
Genau.Das gelbe ! kannst Du Dir auch mal durchlesen, obwohl es am Server selbst vermutlich nichts zur Sache tut.
So habe die Überwachung jetzt aktiviert. Ich bin jetzt am Client unter Sicherheit... kann ich danach suchen?
Ja, kannst Du. STRG+F drücken und nach dem Namen des Ordners oder des MSI-Paketes suchen.
Ich finde da leider nichts im log weder aufm dem Server noch auf dem Client. Puh hätte nicht gedacht das so ein popliges Update so viel Probleme machen kann.
Greif am Server auf die MSI zu (starten der MSI) - wenn das nicht geloggt wird, ist die NTFS-Überwachung nicht aktiviert. Ich hatte die beiden Schritte beschrieben, diese müssten dann nochmal geprüft werden.
Ja habe ich bereits und es wird auch geloggt... aber beim gpo passiert nichts.
Irgedetwas gibst Du falsch wieder, es kann eigentlich nicht anders sein. Denn:
eventvwr sagt Installation fehlgeschlagen keine Berechtigung.
Der eventvwr zeigt in dieser Meldung ja an, dass auf einen Pfad zugegriffen wird - der Pfad fängt an mit \server\Softwareverteilung$\, vielleicht solltest Du bereits auf den Ordner, der hinter swvert.$ steht, die Überwachung einschalten.
Ich hab eben das GPO gelöscht und neu estellt und jetzt hat es sofort geklappt. Danke für deine Hilfe und deine Geduld.
Nichts zu danken.______________________