Я пытаюсь развернуть Google Chrome Enterprise с помощью групповой политики. Следуя руководству Google, я создал GPO, связал его с OU, импортировал файл ADX с политиками (которые, кстати, отлично развертываются). Я создал папку на файловом сервере с помощью установщика msi. Разрешения установлены так, что компьютеры домена имеют разрешение на чтение и выполнение. Политика установки программного обеспечения задается в разделе «Конфигурация компьютера», поэтому она будет развернута на определенных компьютерах.
Насколько я понимаю, если у вас есть политика установки программного обеспечения, установленная в конфигурации компьютера, вам необходимо, чтобы учетная запись Domain Computers имела разрешение на чтение / выполнение, потому что программное обеспечение будет установлено до входа в учетную запись пользователя домена. Я включил ведение журнала MSI и получаю это в файле журнала:
SOURCEMGMT: носитель включен, только если пакет безопасен.
SOURCEMGMT: Ищем список источников для продукта {b5fd80c4-8da4-3815-958f-d6e4afb1c5d0}
SOURCEMGMT: добавляем {b5fd80c4-8da4-3815-958f-d6e4afb1c5d0}; к потенциальному списку источников (pcode; disk; relpath).
SOURCEMGMT: сейчас проверяется продукт {b5fd80c4-8da4-3815-958f-d6e4afb1c5d0}
SOURCEMGMT: для продукта включен носитель.
SOURCEMGMT: попытка использовать LastUsedSource из списка источников.
SOURCEMGMT: Обработка списка источников сети.
SOURCEMGMT: Пробуем исходный \ [сервер] [общий ресурс] \ IT \ Software \ GroupPolicyDeploy.
Примечание: 1: 1402 2: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer 3: 2
Примечание: 1: 2303 2: 5 3: \ [сервер] [общий ресурс] \
Примечание: 1: 2303 2: 5 3: \ [сервер] [общий ресурс] \
Примечание: 1: 2303 2: 5 3: \ [сервер] [общий ресурс] \
Примечание: 1: 1325 2: GroupPolicyDeploy
ConnectToSource: CreatePath / CreateFilePath не удалось с: -2147483648 1325 -2147483648
ConnectToSource (продолжение): CreatePath / CreateFilePath завершился ошибкой: -2147483648 -2147483648
SOURCEMGMT: сетевой источник '\ [сервер] [общий ресурс] \ IT \ Software \ GroupPolicyDeploy \' недействителен.
Примечание: 1: 1706 2: -2147483647 3: GoogleChromeStandaloneEnterprise64.msi
SOURCEMGMT: Обработка списка источников мультимедиа.
Примечание: 1: 2203 2: 3: -2147287037
SOURCEMGMT: источник недействителен из-за отсутствия / недоступности пакета.
Примечание: 1: 1706 2: -2147483647 3: GoogleChromeStandaloneEnterprise64.msi
SOURCEMGMT: Обработка списка источников URL.
Примечание: 1: 1402 2: НЕИЗВЕСТНО \ URL 3: 2
Примечание: 1: 1706 2: -2147483647 3: GoogleChromeStandaloneEnterprise64.msi
Примечание: 1: 1706 2: 3: GoogleChromeStandaloneEnterprise64.msi
SOURCEMGMT: не удалось разрешить источник
Этого можно было бы ожидать, если бы вы не отключили асинхронную обработку групповой политики.
Всегда ждите подключения к сети при запуске компьютера и входе в систему
Этот параметр политики определяет, является ли обработка групповой политики синхронной (то есть ожидают ли компьютеры полной инициализации сети во время запуска компьютера и входа пользователя в систему). По умолчанию на клиентских компьютерах обработка групповой политики не синхронна.; клиентские компьютеры обычно не ждут полной инициализации сети при запуске и входе в систему. Существующие пользователи входят в систему с использованием кэшированных учетных данных, что сокращает время входа в систему. Групповая политика применяется в фоновом режиме после того, как сеть становится доступной. Обратите внимание: поскольку это фоновое обновление, такие расширения, как «Установка программного обеспечения» и «Перенаправление папок», требуют двух входов в систему для применения изменений. Для безопасной работы эти расширения требуют, чтобы ни один пользователь не входил в систему. Следовательно, они должны обрабатываться на переднем плане, прежде чем пользователи будут активно использовать компьютер. Кроме того, для обнаружения изменений, вносимых в объект пользователя, таких как добавление пути к перемещаемому профилю, домашнего каталога или сценария входа в объект пользователя, может потребоваться до двух входов в систему. Если пользователь с перемещаемым профилем, домашним каталогом или сценарием входа в систему пользовательского объекта входит в систему на компьютере, компьютеры всегда ждут инициализации сети перед входом пользователя в систему. Если пользователь никогда раньше не входил в систему на этом компьютере, компьютеры всегда ждут инициализации сети. Если вы включите этот параметр политики, компьютеры будут ждать полной инициализации сети, прежде чем пользователи войдут в систему. Групповая политика применяется синхронно на переднем плане.
На серверах под управлением Windows Server 2008 или более поздней версии этот параметр политики игнорируется во время обработки групповой политики при запуске компьютера, и обработка групповой политики будет синхронной (эти серверы ожидают инициализации сети во время запуска компьютера). Если сервер настроен следующим образом, этот параметр политики вступает в силу во время обработки групповой политики при входе пользователя в систему:
• Сервер настроен как сервер терминалов (то есть служба роли сервера терминалов установлена и настроена на сервере); и
• Включен параметр политики «Разрешить асинхронную обработку групповой политики пользователей при входе в систему через службы терминалов».
Этот параметр политики находится в разделе Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Групповая политика. Если эта конфигурация не реализована на сервере, этот параметр политики игнорируется. В этом случае обработка групповой политики при входе пользователя в систему выполняется синхронно (эти серверы ожидают инициализации сети во время входа пользователя в систему). Если вы отключите или не настроите этот параметр политики, и пользователи войдут в систему на клиентском компьютере или сервере под управлением Windows Server 2008 или более поздней версии и настроены, как описано ранее, компьютер обычно не ожидает полной инициализации сети. В этом случае пользователи входят в систему с кэшированными учетными данными. Групповая политика применяется асинхронно в фоновом режиме.
Ноты: -Если вы хотите гарантировать применение параметров перенаправления папок, установки программного обеспечения или перемещаемого профиля пользователя всего за один вход в систему, включите этот параметр политики, чтобы Windows ожидала доступности сети перед применением политики. -Если политика перенаправления папок будет применяться во время следующего входа в систему, политики безопасности будут применяться асинхронно во время следующего цикла обновления, если доступно сетевое подключение.
То, как вы используете GPO для развертывания MSI, действительно отлично работало в эпоху Windows 2000 / XP. Но с тех пор поведение ОС по умолчанию изменилось таким образом, что Windows не ждет, пока сеть будет запущена, прежде чем разрешить пользователю войти в систему. Таким образом, сеть никогда не работает, когда обрабатывается конфигурация компьютера. Это сделало установку MSI на компьютерном уровне практически бесполезной.
Рекомендуемый способ - использовать GPO для создания задачи в планировщике задач и использовать MSIEXEC.EXE для запуска установки MSI. Возможно, вы захотите использовать следующие настройки:
%SystemRoot%\System32\msiexec.exe/quiet /qn /norestart /i "<path to msi file>"1-5 minutes after user logon (так что прошло достаточно времени, чтобы сеть заработала)Any network connection available (проверяет, работает ли сеть)NT AUTHORITY\SYSTEM (чтобы у него были права локального администратора)Обратите внимание: если вместо этого вы решите включить синхронную обработку GPO, время загрузки / перезапуска компьютера резко увеличится.