11
Google Chrome via GPO Verteilen
Hallo Leute,
aktuell habe ich ein größeres Problem den Browser "Google Chrome" bei mir zu verteilen. Problem ist, dass dieser Browser auf keinem Client installiert wird.
Wie habe ich die Domain Aufgebaut
OU = HOME58
> OU = Groups
> OU = DESKTOP
> OU = LAPTOP
> Software-Chrome
> OU = Tablet
> OU = Virtuell
> OU = Servers
> OU = Users
> OU = Admin-User
> OU = Std-User
Nun habe ich eine neues Gruppenrichtlinienobjekt wie folgt erstellt:
-> Name: Software-Chrome
---> Inhalt: Computerconfiguration -> Richtlinie -> Softwareverteilung -> Google Chrome (hier wurde der Netzwerkpfad angegeben)
Sicherheitsfilterung:
- Authetifizierte Benutzer
- Domänencomputer
Diese Richtlinie habe ich wie oben gezeigt verknüpft und erzwungen.
Leider aber funktioniert diese nicht. DIe Computer scheinen die Regel schlichtweg zu Ignorieren.
Was mich persönlich nur wundert ist, wenn ich die Regel Userbezogen mache und schiebe sie in die OU Std-User wird Sie sofort angewendet und der Browser installiert.
Habt ihr vielleicht noch eine Idee, wo mein Fehler liegen könnte ?
Danke schon einmal im Voraus.
aktuell habe ich ein größeres Problem den Browser "Google Chrome" bei mir zu verteilen. Problem ist, dass dieser Browser auf keinem Client installiert wird.
Wie habe ich die Domain Aufgebaut
OU = HOME58
> OU = Groups
> OU = DESKTOP
> OU = LAPTOP
> Software-Chrome
> OU = Tablet
> OU = Virtuell
> OU = Servers
> OU = Users
> OU = Admin-User
> OU = Std-User
Nun habe ich eine neues Gruppenrichtlinienobjekt wie folgt erstellt:
-> Name: Software-Chrome
---> Inhalt: Computerconfiguration -> Richtlinie -> Softwareverteilung -> Google Chrome (hier wurde der Netzwerkpfad angegeben)
Sicherheitsfilterung:
- Authetifizierte Benutzer
- Domänencomputer
Diese Richtlinie habe ich wie oben gezeigt verknüpft und erzwungen.
Leider aber funktioniert diese nicht. DIe Computer scheinen die Regel schlichtweg zu Ignorieren.
Was mich persönlich nur wundert ist, wenn ich die Regel Userbezogen mache und schiebe sie in die OU Std-User wird Sie sofort angewendet und der Browser installiert.
Habt ihr vielleicht noch eine Idee, wo mein Fehler liegen könnte ?
Danke schon einmal im Voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 349722
Url: https://administrator.de/contentid/349722
Printed on: April 18, 2024 at 22:04 o'clock
11 Comments
Latest comment
Hi,
E.
Leider aber funktioniert diese nicht. DIe Computer scheinen die Regel schlichtweg zu Ignorieren.
Erstmal mit "gpresult /r" oder "rsop.msc" sicher prüfen, ob diese GPO angewendet wird.Habt ihr vielleicht noch eine Idee, wo mein Fehler liegen könnte ?
Hat das Computer-Konto Leserecht für die Installationsdateien?E.
Hallo,
danke für die Hinweise.
Habe jetzt die Gruppe Domänencomputer noch in die Freigabe und Sicherheit mit reingenommen.
-> Leider immernoch das gleiche Problem
Wenn ich gpresult /r eingebe, dann erscheint hier lediglich die Richtlinie usr-Netzlaufwerke.
Wenn ich rsop.msc als admin starte, dann kann ich hier die Softwareverwaltung sehen, bei der auch der Chrome installer angezeigt wird. Jedoch ist hier ein Ausrufezeichen zu erkennen.
danke für die Hinweise.
Habe jetzt die Gruppe Domänencomputer noch in die Freigabe und Sicherheit mit reingenommen.
-> Leider immernoch das gleiche Problem
Wenn ich gpresult /r eingebe, dann erscheint hier lediglich die Richtlinie usr-Netzlaufwerke.
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
usr-Netzlaufwerke
Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)
Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
----------------------------------------------------------
std-usr
Jeder
SophosUser
Remotedesktopbenutzer
Benutzer
INTERAKTIV
KONSOLENANMELDUNG
Authentifizierte Benutzer
Diese Organisation
LOKAL
Domänen-Benutzer
Von der Authentifizierungsstelle bestätigte ID
Mittlere VerbindlichkeitsstufeWenn ich rsop.msc als admin starte, dann kann ich hier die Softwareverwaltung sehen, bei der auch der Chrome installer angezeigt wird. Jedoch ist hier ein Ausrufezeichen zu erkennen.
Du kannst ja doch auch ein Skript machen, was zuerst prüft, ob Google Chrome installiert ist, anhand der chrome.exe und dann silent die MSI von google Chrome Enterprise anstößt. Dieses Skript dann bei Conputerkonfi->Windows Einstellungen->Skripts->Starten eintragen. Leider habe ich es anders auch nicht hinbekommen... oder ACMP Demo für 20 PCs holen...
Nabend,
leg Deinen Installer mal unter sysvol ab und passe Deinen Pfad an.
mfg
kowa
leg Deinen Installer mal unter sysvol ab und passe Deinen Pfad an.
mfg
kowa
Alternativ zu Testwecken die Berechtigung Jeder vergeben, prüfen ob die Install auf den Testclients läuft, dann die Berechtigung wieder entziehen. Somit kannst du den Fehler eingrenzen wobei ich von einem Berechtigungsproblem ausgehe.
gpresult /r sollte eigentlich die Policie mit aufführen die du erstellt hast.
Da die nicht aufgeführt ist würde ich zuerst dort mal schauen das alles sauber gesetzt ist.
Der Computer an dem du testet ist auch sicher in der richtigen OU?!
Vielleicht auch einfach nochmal ein gpudate /force durchlaufen lassen und schauen was passiert.
Grüße
Yai
Da die nicht aufgeführt ist würde ich zuerst dort mal schauen das alles sauber gesetzt ist.
Der Computer an dem du testet ist auch sicher in der richtigen OU?!
Vielleicht auch einfach nochmal ein gpudate /force durchlaufen lassen und schauen was passiert.
Grüße
Yai
Zitat von @Yaimael:
gpresult /r sollte eigentlich die Policie mit aufführen die du erstellt hast.
Da die nicht aufgeführt ist würde ich zuerst dort mal schauen das alles sauber gesetzt ist.
Ich gehe davon aus, dass er bloß vergessen hat, gpresult "als Administrator" auszuführen. Ein Fehler, welcher auf dieser Welt 1,8 Mrd Mal pro Tag gemacht wird.gpresult /r sollte eigentlich die Policie mit aufführen die du erstellt hast.
Da die nicht aufgeführt ist würde ich zuerst dort mal schauen das alles sauber gesetzt ist.
@mario89
Was steht im Eventlog?
Hallo Leute,
bitte entschuldigt die späte Rückmeldung.
Habe mir aktuell einmal die Testversion von der empfohlenen Software ACMP geholt. Mit dieser funktioniert alles Tadellos. Paket angelegt und schon kann es problemlos auf die Clients ausgerollt werden.
Was mich ein wenig wundert, ist dass unter Gpresult keine einzige Computerrichtlie angezeigt wird. Jedoch scheint diese im Windows zu greifen (Startseite von IE // aktivierung von RDP).
Wenn ich gpresult /r als Administrator oder als Admin user ausführe erhalte ich lediglich die "antwort", dass der Benutzer keine RSOP-Daten hat.
--> Starte ich nun aber RSOP.msc als Admin, so kann ich alle aktivien Computerrichtlinien einsehen.
Jetzt muss ich an dieser Stelle aber nochmal blöd fragen, da es mir noch nicht ganz klar ist, wo der unterschied zwischen einer Computerrichtlinie und Benutzerrichtlinie (bezogen auf die Softwareverteilung ist).
-> Wenn ich den Chrome als Benutzerrichtlinie (Softwareverteilung) anlege - so wird dieser Installiert.
---> Habe ich einen "nachteil" dadurch wenn ich Ihn so verteilen würde? Bzw. Worin Unterscheided sich die Installation von einer Installation als Computerrichtlinie?
Danke schon einmal im Voraus.
bitte entschuldigt die späte Rückmeldung.
Habe mir aktuell einmal die Testversion von der empfohlenen Software ACMP geholt. Mit dieser funktioniert alles Tadellos. Paket angelegt und schon kann es problemlos auf die Clients ausgerollt werden.
Was mich ein wenig wundert, ist dass unter Gpresult keine einzige Computerrichtlie angezeigt wird. Jedoch scheint diese im Windows zu greifen (Startseite von IE // aktivierung von RDP).
Wenn ich gpresult /r als Administrator oder als Admin user ausführe erhalte ich lediglich die "antwort", dass der Benutzer keine RSOP-Daten hat.
--> Starte ich nun aber RSOP.msc als Admin, so kann ich alle aktivien Computerrichtlinien einsehen.
Jetzt muss ich an dieser Stelle aber nochmal blöd fragen, da es mir noch nicht ganz klar ist, wo der unterschied zwischen einer Computerrichtlinie und Benutzerrichtlinie (bezogen auf die Softwareverteilung ist).
-> Wenn ich den Chrome als Benutzerrichtlinie (Softwareverteilung) anlege - so wird dieser Installiert.
---> Habe ich einen "nachteil" dadurch wenn ich Ihn so verteilen würde? Bzw. Worin Unterscheided sich die Installation von einer Installation als Computerrichtlinie?
Danke schon einmal im Voraus.
Wenn ich gpresult /r als Administrator oder als Admin user ausführe erhalte ich lediglich die "antwort", dass der Benutzer keine RSOP-Daten hat.
--> Starte ich nun aber RSOP.msc als Admin, so kann ich alle aktivien Computerrichtlinien einsehen.
"als Administrator" meint nicht, dass Du Dich mit diesem User anmelden sollst, sondern die CMD über das Kontextmenü "als Administrator ausführen" starten sollst! In dieser CMD dann "gpresult /r" ausführen. ....--> Starte ich nun aber RSOP.msc als Admin, so kann ich alle aktivien Computerrichtlinien einsehen.
Jetzt muss ich an dieser Stelle aber nochmal blöd fragen, da es mir noch nicht ganz klar ist, wo der unterschied zwischen einer Computerrichtlinie und Benutzerrichtlinie (bezogen auf die Softwareverteilung ist).
Ein MSI-Packet kann man - ganz unabhängig von GPO - für alle Benutzer des Computers installieren oder nur für jenen, welcher das MSI-Packet startet. Das geht nicht immer, hängt von der Art der Software ab und ob das MSI-Packet die Installation per User erlaubt.Wenn man ein MSI-Packet via GPO per Computer verteilt, dann wird es immer für alle Benutzer des Computers installiert. Wenn man es via GPO per Benutzer verteilt und es die Installation per Benutzer zulässt, dann wird es nur für diesen Benutzer installiert. Andere Benutzer können es dann nicht starten bzw. sehen es erst gar nicht.
So der Plan.
Alles klar,
vielen Dank für die Auskunft.
Jedoch das mit der Konsole ist mir noch ein Rätsel. Habe diese von meinem Standarduser (kein Admin) über rechtsklick "als Administrator" ausführen aufgerufen.
Jedoch benötige ich dann ja einen Admin user und danach kam der Fehler.
Oder meinst du, dass ich mich direkt mit einem Admin User am PC anmelden soll und den Befehl von dort aus starten ?
Danke für die Gelduld ^^
vielen Dank für die Auskunft.
Jedoch das mit der Konsole ist mir noch ein Rätsel. Habe diese von meinem Standarduser (kein Admin) über rechtsklick "als Administrator" ausführen aufgerufen.
Jedoch benötige ich dann ja einen Admin user und danach kam der Fehler.
Oder meinst du, dass ich mich direkt mit einem Admin User am PC anmelden soll und den Befehl von dort aus starten ?
Danke für die Gelduld ^^
"Als Administrator ausführen" bedeutet, dass der Prozess mit einem Konto, welches Mitglied der Gruppe "Administratoren" ist, gestartet wird, mit der Möglichkeit, alle Privilegien (Benutzerrechte aus der lokalen Sicherheitrsrichtlinie) zu aktivieren (auch "voll eleviert" genannt).
Punkt 1: Wenn Du gerade mit einem Administrator angemeldet bist, dann wird der Prozess beim Starten über "Als Administrator ausführen" voll eleviert gestartet. Wenn Du nicht mit einem Administrator angemeldet bist, dann kommt zuerst die Frage nach den Anmeldedaten für einen Administrator, mit welchen dann dieser Prozess voll eleviert gestartet wird. Das ist dann genauso wie beim "runas".
Punkt 2: Manche Befehle greifen auf API's zurück, welche durch die Benutzerkontensteuerung (UAC) extra geschützt sind. z.B.
Punkt 1: Wenn Du gerade mit einem Administrator angemeldet bist, dann wird der Prozess beim Starten über "Als Administrator ausführen" voll eleviert gestartet. Wenn Du nicht mit einem Administrator angemeldet bist, dann kommt zuerst die Frage nach den Anmeldedaten für einen Administrator, mit welchen dann dieser Prozess voll eleviert gestartet wird. Das ist dann genauso wie beim "runas".
Punkt 2: Manche Befehle greifen auf API's zurück, welche durch die Benutzerkontensteuerung (UAC) extra geschützt sind. z.B.
- "gpresult /r" beim Zugriff auf die RSOP-Daten des Computers oder
- "robocopy" mit Schalter "/B" oder
- "takeown", wenn die Besitzübernahme nicht über das in der ACL erteilte Recht möglich ist sondern statt dessen über das Privileg "SeTakeOwnershipPrivilege" ("Übernehmen des Besitzes von Dateien und Objekten") erfolgen muss
