Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

MSI Packet verteilen

Frage Microsoft

Mitglied: Blindzerokiller

Blindzerokiller (Level 1) - Jetzt verbinden

18.06.2014 um 12:02 Uhr, 2609 Aufrufe, 19 Kommentare

Hallo alle zusammen,

ich bin zuzeit drüber ein MSI Packet per Softwareverteilung auszurollen. Habe das MSI zugewiesen und gesagt er solle es beim Anmelden installieren.

Ich gehe auf meinen Client gpupdate /force -> CMD sagt Abmelden? -> JA , und dann melde ich mich an und sehe auch beim Anmelden ... wird installiert für 4 sekunden

Ich schaue auf den PC und es hat nichts gebracht ...

Es handelt sich hier um das Tobit.MSI pakt für das Updaten des Clients



Wenn ich es manuell update schlägt er ja auch immer fehl -> Sie haben nicht die Rechte der Gruppe Administratoren für die Installation von david client sind diese Rechte unbedingt notwendig ......

Ich habe MSI Pakete so verstanden das Wenn man (jeder oder authentifizierte Benutzer Vollzugriff haben ) und sie können auch auf dem Pfad vom MSI da es zum testen auf einem public NAS liegt ...



Übersehe ich grad eine Sicherheitseinstellung?


Finden tut er ja das paket -> also Benutzerzuordnung stimmt schonmal
Berechtigung -> Jeder und Authentifizierte Benutzer =Vollzugriff
MSI Datei kann erreicht werden -> liegt auf Public NAS

Gruss

Joey hoff ihr habt nen tipp für mich
Mitglied: wisebeer
18.06.2014 um 12:22 Uhr
hast du eine gpo für user oder computer erstellt? lg martin
Bitte warten ..
Mitglied: Blindzerokiller
18.06.2014 um 12:44 Uhr
Für User weils die anleitung von David so wollte
Bitte warten ..
Mitglied: Blindzerokiller
18.06.2014 um 12:48 Uhr
Für Computer auch grad mal gemacht selbes ergebnis ....
Bitte warten ..
Mitglied: colinardo
18.06.2014, aktualisiert um 12:59 Uhr
Moin,
bei manchen Paketen hilft hier das setzen der GPO AlwaysInstallElevated (Windows Components\Windows Installer):
http://blogs.technet.com/b/fdcc/archive/2011/01/25/alwaysinstallelevate ...

Grüße Uwe
Bitte warten ..
Mitglied: Blindzerokiller
18.06.2014 um 13:02 Uhr
Hey

Und mit diesem Always installe kann der User dann alles Installieren? Oder nur die MSI Pakete die ich freigebe weil so wie ich das verstehe , kann er dann alle msi pakte installieren egal ob ich das Freigegeben hab oder nicht ...


Grüß Joey
Bitte warten ..
Mitglied: colinardo
18.06.2014, aktualisiert um 13:10 Uhr
sicher das ist natürlich nur das Mittel der letzten Wahl, falls alle Stricke reißen. Du kannst die Policy ja nach der erfolgreichen Ausrollung wieder zurücknehmen.

Noch zur Info:http://social.technet.microsoft.com/Forums/windowsserver/en-US/1aecdac4 ...
Bitte warten ..
Mitglied: Blindzerokiller
18.06.2014, aktualisiert um 13:25 Uhr
Das würde aber ja bedeueten -> ich gebe jedem die Möglichkeit an diesem Patchtag alles zu installieren ...

Weil wenn Alwaysinstall ausgerollt ist und dann David installiert ist nehme das Alwaysinstall wieder weg aber dann Arbeitet ja erstmal der Angestellte ... und könnte an diesem Tag alles installieren
Weil die Rechte wären ja erst nach einem Abmelden/Neustart wieder aktuell...

Ich denke das muss irgendwie anders gehn .... wir sind noch eine Recht kleine Firma 40 PC´s aber dieser Email Client wird auch an größere Firmen verkauft ... und glaube nicht das die alle so ein Sicherheitsrisiko eingehen

Oder heißt es dann wieder Arbeiten am Sonntag für das einspielen eines Updates ? :D
Bitte warten ..
Mitglied: DerWoWusste
18.06.2014 um 13:49 Uhr
Mit "bei der Anmeldung installieren" kannst Du das ohne Alwaysinstallelevated nicht machen und das ist indiskutabel weil es ein großes Risiko ist, so etwas zu setzen.
Mach also entweder eine normale Zuweisung zu den Computerobjekten (empfohlen), oder, wenn es unbedingt nutzergebunden sein soll, ohne die Option "bei der Anmeldung iunstallieren".
Bitte warten ..
Mitglied: Blindzerokiller
18.06.2014 um 14:06 Uhr
Wenn ich es Benutzergebunden mache ohne "bei der Anmeldung installieren " Wann installiert er es dann ? muss der Benutzer dann was klicken? oder läuft das im stillen ab

Computerobjekten schlägt er ja leider auch fehl ... =( er ziegt es zwar bei der anmeldung an obwohl es nicht angeklickt ist (installieren bei anmeldung) aber das dauert 4 sekunden dann ist es weg also macht das anscheinend nichts oder?
Bitte warten ..
Mitglied: colinardo
18.06.2014, aktualisiert um 14:10 Uhr
also macht das anscheinend nichts oder?
schalte doch einfach die Windows Installer Protokollierung ein:
http://support.microsoft.com/kb/2545723/de

dann weißt du was Sache ist
Bitte warten ..
Mitglied: DerWoWusste
18.06.2014 um 14:49 Uhr
Computerobjekten schlägt er ja leider auch fehl ... =...
mit dem "=..." willst Du ausdrücken, dass sich der Fehler bei computergebundenen Zuweisungen gleich äußert? Nein, das siehst Du falsch. Eine computergebundene Zuweisung wird sich immer vor der Anmeldung installieren, Du hast nun vermutlich beides konfiguriert.
Wenn ich es Benutzergebunden mache ohne "bei der Anmeldung installieren " Wann installiert er es dann ? muss der Benutzer dann was klicken? oder läuft das im stillen ab
Der Nutzer kann es dann über appwiz.cpl ->"Programme vom Netzwerk installieren" installieren (ohne Adminrechte!)
Bitte warten ..
Mitglied: Blindzerokiller
18.06.2014 um 14:58 Uhr
Hab ich mal aktiviert und in der Datei steht das :

Error 1406. Could not write value MSIPath to key \Software\Tobit\MSI\DVWIN32. System error . Verify that you have sufficient access to that key, or contact your support personnel.
=== Logging stopped: 18.06.2014 13:56:59 ===

Wenn ich es richtig versteh will das MSI in die Registery und einen Key ändern ?

Und da ich den Benutzer das recht der Registery bearbeitung weggenommen hab gehts nicht oder?
Bitte warten ..
Mitglied: colinardo
18.06.2014 um 15:01 Uhr
Zitat von Blindzerokiller:
Und da ich den Benutzer das recht der Registery bearbeitung weggenommen hab gehts nicht oder?
wenn du da was gefummelt hast vermute ich das stark....
Bitte warten ..
Mitglied: Blindzerokiller
18.06.2014 um 15:11 Uhr
Wie macht ihr denn so ein szenario?

Was dürfen eure Client?

Registry bearbeiten?
Programme installieren?

Oder benutzt wirklich jeder dieses Tool und geht das risiko für einen Tag ein?

Oder geht ihr an einem Sonntag in die Firma und lasst alle pcs per wake on lan anmachen -> meldet euch an per skript oder so und dann wenn alle fertig sind abmelden und das rechterollout zurück?
Bitte warten ..
Mitglied: colinardo
18.06.2014, aktualisiert um 16:42 Uhr
wenn deine Clients bzw. User keine Adminrechte haben und die UAC entsprechend aktiviert ist, können diese sowieso keine lebenswichtigen Reg-Keys ändern, also brauchst du hier schon mal garnichts "extra" konfigurieren.

Da du hier anscheinend doch mehrere Policies in Richtung Benutzerrechte verstellt hast, ist mir klar warum bei dir die Softwareverteilung nicht so läuft wie sie soll. Hier greift vieles ineinander, da sollte man dann auch schon die Zusammenhänge alle kennen bevor man solche Dinge zusätzlich einschränkt, sonst wirst du immer auf irgendwelche Probleme stoßen die du dir nicht erklären kannst.
Halte dich an die best practices die du zum Thema "Software Deployment" zu genüge im Web findest.

Grüße Uwe
Bitte warten ..
Mitglied: Blindzerokiller
18.06.2014 um 15:30 Uhr
Mmm das probier ich dann gleich nochmal mit dem Computerzugewiesen, denke zwar ich habe es gelöscht bei benutzer.

appwiz.cpl ist gesperrt (Wenn man das alleine aktivieren kann , müsste man das ganze doch per batch laufen lassen können ohne das der Benutzer was klickt oder?)

Also muss ich dem Client irgendwie ein bisschen rechte geben denk ich mal...
Bitte warten ..
Mitglied: colinardo
18.06.2014, aktualisiert um 16:48 Uhr
Zitat von Blindzerokiller:
appwiz.cpl ist gesperrt (Wenn man das alleine aktivieren kann , müsste man das ganze doch per batch laufen lassen
können ohne das der Benutzer was klickt oder?)
ganz falscher Ansatz, behebe deine rigiden bzw. falsch gesetzten Einschränkungen, dann funktioniert das wie vorgesehen. Der Fehler liegt hier zu 99% an deinen falsch gesetzten Berechtigungen
Also muss ich dem Client irgendwie ein bisschen rechte geben denk ich mal...
"bißchen Rechte geben"? Ja mach das, das spart uns hier erheblich an Diskutiererei warum es nur bei "Dir" nicht geht ...
Bitte warten ..
Mitglied: emeriks
19.06.2014 um 09:05 Uhr
Hi,
ich muss mich mal einmischen ...

@Blindzerokiller
Mit "Und da ich den Benutzer das recht der Registery bearbeitung weggenommen hab gehts nicht oder?" vermute ich doch mal, dass Du hier die Policy "Zugriff auf Programme zum Bearbeiten der Registrierung verhindern" aktiviert hast?

Falls ja, @colinardo, hat er wohl nichts an den ACL in der Regitry geändert. Außerdem wäre das bei Zuweisung per Computer irrelevant.

Mir sind selbst immer wieder MSI Pakete untergekommen, welche aus solchen Gründen (".. Could not write ..") nur interaktiv mit einem Administrator-Konto installieren werden konnte, UAC an oder aus. Der Grund ist fast immer, dass dann während der Installation an solchen Registry-Keys (oder auch Ordnern im Dateisystem) Berechtigungen gesetzt werden, die dann nur noch DIE Administratoren Schreibrecht gewähren. Warum auch immer. Ich muss hier "Absicht" der Programmierer unterstellen.
Jedenfalls gelingt mir hier meistens der pragmatische Ansatz: Was solls? Protokoll mitschreiben. Bei Zugriffsfehler in Registry oder Dateisystem die Pfade identifizieren. Diese dann z.B. per Script oder GPO-Erweiterung vorher erstellen, und per GPO die Berechtigungen dafür festlegen. Wenn das Paket dann wieder die Berechtigungen ändert, dann auch dafür sorgen, dass "Local System" (bei Zuweisung per Computer) oder die Gruppe "Benutzer" (bei Zuweisung per Benutuzer) dort keinen "Vollzugriff" haben (Berechtigungen nicht ändern können).

Was manchmal auch helfen kann ist, das Paket mit "msiexec /a" neu zu packen.

Es kann auch daran liegen, dass im Paket "Install per Machine" fest eingestellt ist, was dann dazu führt, dass die Zuweisung per Benutzer dann wohl aus Prinzip fehlschlägt. Diese Eigenschaft kann man z.B. mit Orca (http://msdn.microsoft.com/en-us/library/aa370557(v=vs.85).aspx) bearbeiten. (wenn man per Benutzer zuweisen will)

Vielleicht hifts ...
E.
Bitte warten ..
Mitglied: Blindzerokiller
23.06.2014 um 11:27 Uhr
Hey

schonmal danke an alle für die Hilfe

Werd jetzt mal alle vorgenommen Einstellungen in unserer Domain überprüfen, was alles aktiviert ist. (Hab nicht ich erstellt ..)

Kann gut sein das es an Rechten scheitert von schreiben , in einem Tobit Forum sprachen Sie mal davon das das MSI Paket auf Hardware (Druckertreiber / Faxware was geändert wird und deswegen ohne Admin nicht funktioniert ... )

Nachdem ich alles mal zamgetragen hab meld ich mich nochmal vill fällt mir dann ja was auf was nicht geht

Das das MSI flasch gemacht wurde weiß ich nicht , aber ich hab ja beide wege versucht


MFG Joey
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
CA Verteilen (EXE MSI?)
gelöst Frage von schneerunzelVerschlüsselung & Zertifikate4 Kommentare

Hallo zusammen, ich habe eine eigen CA die ursprünglich nur für den Internen Gebrauch gedacht war und daher in ...

Windows Tools
MSI Paket verteilen
Frage von uLmiWindows Tools4 Kommentare

Hallo Zusammen, ich habe einen 2012 R2 Server und möchte einer Gruppenrichtlinie (Computer -> Software Installation) eine MSI-Datei hinzufügen. ...

Windows 7
Javs 8u60 pe MSI verteilen
gelöst Frage von xbast1xWindows 72 Kommentare

Hi zusammen, hat sich bei der Routine für Java 8u60 etwas geändert? Bisher habe ich den offline INtaller geladen, ...

Windows Server
msi per GPO verteilen - was bedeuten die Symbole
gelöst Frage von FA-jkaWindows Server3 Kommentare

Moin, ich experimentiere gerade ein bisschen mit "Softwareverteilung via GPO" herum. Was bedeuten die Symbole (also die beiden Schlösser ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 3 StundenErkennung und -Abwehr

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücke Spectre und ...

Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office9 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 1 TagSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...