我正在尝试通过Active Directory中的组策略部署MSI。但是这些是我登录后在系统事件日志中遇到的错误:
当我重新启动并再次登录时,我仅会收到有关需要在下次登录之前执行更新的相同消息。我正在使用Windows Vista 32位笔记本电脑。我对于通过组策略进行部署还很陌生,那么还有哪些其他信息可以帮助您确定问题呢?我尝试了具有相同结果的其他MSI。登录到计算机后,我可以使用命令行和msiexec来安装MSI,因此我知道MSI至少可以正常工作。
Answers:
您正在看到异步策略处理的可怕祸害。它不是一个“功能”(在Windows 2000中为默认关闭,但在Windows XP及更高版本中为默认打开),并完全导致了您所看到的-处理某些类型的GPO设置时的不确定行为。
在适用于该计算机的GPO中,添加以下设置:
设置好之后(如果在多DC环境中,则允许GPO复制),然后在主题PC上执行“ gpupdate / force / boot”。它将重新启动,您应该看到已安装软件。
“允许计算机在启动和登录时始终等待网络”会稍稍减慢启动和登录的速度,因为允许处理所有GPO扩展名,但好处是允许所有GPO扩展名都可以处理。
我从@Evan Anderson的答案中尝试了“在计算机启动和登录时始终等待网络-启用”设置,但是直到我在下面添加此设置后,才允许安装软件。不知道这是否是两个设置的组合。现在正在工作,所以我要保留两个设置。
在应用于这些工作站的组策略中,导航至:
计算机配置>策略>管理模板>系统>组策略
启用指定启动策略处理等待时间。设置等待时间(以秒为单位):= 120
120可能会过大,但这对我有用。其他论坛建议将其设置为30秒。即使默认值为30秒(未设置策略时),将其强制设置为30秒也可以。
如果已经安装了该应用程序,但msiexec无法将其卸载,则会发生这种情况。最常见的情况是以前的手动安装,其中选择了“仅对我来说”,而不是“每个登录此计算机的人”。
您可以使用Windows Installer清理实用程序(http://support.microsoft.com/kb/290301)欺骗PC,使其认为该应用程序不再存在,然后应该可以正常运行。
我遇到了同样的问题,但以上修复均无效。我最终发现,还有另一个GPO试图在我的软件之前安装软件,但由于%p1274错误而失败,因为该gpo本身具有错误的权限。由于某种原因,失败导致我的GPO无法安装,即使我的GPO拥有正确的权限也是如此。一旦我禁用了另一个问题GPO,我的GPO就会正确安装。
有时您的组策略可能会搞砸。尝试删除整个注册表项HKLM / SOFTWARE / Microsoft / Windows / CurrentVersion /组策略。您可能会发现重新启动后重新安装了GP中的所有内容。您可能要先备份注册表...
问题解决了!
我以具有Enterprise / Domain管理员权限的域用户身份登录到客户端计算机,并且能够毫无问题地访问包含MSI安装软件包的共享文件夹。但是,有时尝试从另一台非域PC通过\ IP \ share_path_to_msi_packages_folder访问它,并不断出现登录弹出窗口。基本上,即使一个人允许所有域和非域用户/组或共享文件夹上的“所有人”读/写权限,它仍然无法正常工作,并提示我输入用户名/密码,从而不允许本地客户端提取GPO指向的软件包。这是由默认情况下禁用的匿名访问引起的。启用它并向MSI文件夹授予读/写权限后,便能够成功部署大多数软件包,并且只有synology-cloud-station-3.1.-3320.msi失败了(需要调查一下)。我还能够从任何非域计算机上访问共享文件夹。
我每5分钟就会在事件>系统中收到这些错误消息:
101从策略DOMAIN基本软件包安装中分配应用程序7-Zip 9.20(x64版本)失败。错误是:%% 1274
103从策略DOMAIN基本软件包安装中分配应用程序7-Zip 9.20(x64版本)失败。错误是:%% 1274
108无法将更改应用于软件安装设置。通过组策略为该用户部署的软件的安装已延迟到下一次登录,因为必须在用户登录之前应用所做的更改。错误是:%% 1274
1112无法将更改应用于软件安装设置。通过组策略为该用户部署的软件的安装已延迟到下一次登录,因为必须在用户登录之前应用所做的更改。错误是:%% 1274
设定:
服务器DC1(PDC)+ DC2(BDC)+ DC3(DBC)Windows 2012 R2 Standard已完全更新
客户端Windows 7 Pro SP1(干净的Dell还原,完全更新的,有冲突的软件包,例如旧的Adobe Flash已卸载)
已经尝试过客户端:
GPO禁用UAC:
* Computer Configuration
* Policies
* Windows Settings
* Security Settings
* Local Policies
* Security Options
ELEVATE WITHOUT PROMPTING: User Account Control: Behaviour of the elevation prompt for administrators in Admin Approval Mode
DISABLE: User Account Control: Detect application installation and prompt for elevation
DISABLE: User Account Control: Run all administrators in Admin Approval Mode
GPO deploy base software:
* Computer Configuration
* Policies
* Administrative Templates
* System
* Logon
ENABLE: Always wait for the network at computer startup logon
* Group Policy
ENABLE: Specify startup policy processing wait time (temporarily set to 120 will change to 30 later)
* Computer Configuration
* Policies
* Software Installation
* 7-Zip 9.20 (x64 edition) v9.20 Assigned \LANIP\Utils\Software\GPO\7zip-7z920-x64.msi
* Google Chrome v66.41 Assigned \LANIP\Utils\Software\GPO\googlechromestandaloneenterprise.msi
* Mozilla Firefox (en-GB) v35.0 Assigned \LANIP\Utils\Software\GPO\firefox-35.0.1-en-gb-msi
* Synology Cloud Station v3.1 Assigned \LANIP\Utils\Software\GPO\synology-cloud-station-3.1.-3320.msi
所有GPO都放置在组策略对象中,然后直接在我们的域下从GPO链接。其他设置(例如来自其他GPO设置的IE限制)也以相同方式正确应用于客户端。
AD,DHCP,DNS中没有其他错误,它们运行正常,机器获得了IP,并且可以通过nslookup解析名称,并且可以在IPv4 / IPv6上相互ping通。
gpupdate /force /boot)?分发点是否需要任何特殊许可?