Я развертываю проигрыватель VMware через объект групповой политики, и я хотел бы применить определенные списки управления доступом к папке установки и к папке D: \ VMWARE, которую я создаю во время установки проигрывателя. Я также должен добавить пользователь vmware учетная запись право "может войти в систему локально". Для этого я создал объект групповой политики, область действия которого такая же, как у моего проигрывателя Vmware, устанавливающего объект групповой политики. Этот GPO работает хорошо, НО при применении одновременно с моим GPO развертывания он, кажется, применяется до развертывания GPO, а затем: - Не удается найти пользователь vmware account - Не удается найти папку c: \ program files \ vmware - Не удается найти папку D: \ vmware, поскольку ни одна из них еще не была создана при установке проигрывателя vmware. И единственный способ применить мой GPO безопасности - вручную выполнить команду gpudate / force, которую я не хочу использовать (предполагается, что это автоматическая установка).
Я проверил порядок обработки gpo, мой GPO безопасности должен применяться ПОСЛЕ установки моего GPO (GPO безопасности - номер 1, развертывание GPO - номер), но, похоже, это не так.
Есть у кого-нибудь идея решить это?
Похоже, здесь проблема со временем. На ум приходят две три вещи, связанные с изменением порядка обработки GPO.
1) Вы можете изменить порядок ссылок объекта GPO, чтобы настроить порядок его обработки. Перейдите к OU, содержащему данные GPMC, в GPMC.
2) Вы всегда можете сделать так, чтобы объект групповой политики выполнялся последним в обработке, принудительно включив его. Итак, в вашем случае вы должны обеспечить безопасность GPO
3) Используйте фильтр WMI, чтобы сделать объект групповой политики безопасности зависимым от объекта групповой политики установщика. Попросите, чтобы проверка фильтра WMI добавляла / удаляла программы (я считаю, win32_applications) для проигрывателя Vmware в качестве условия выполнения для безопасности GPO.
Чтобы гарантировать, что это работает должным образом, я бы выполнил эту задачу немного иначе, используя один из двух методов:
1) реализация всего процесса в скрипте который развертывается через GPO. Таким образом, вы можете гарантировать порядок обработки внутри скрипта. Недостатком является то, что вы не можете удалить vmware player, отключив GPO. (Если вы устанавливаете не через MSI, это не проблема). Это был бы мой предпочтительный метод.
2) Переупаковать vmware player MSI для включения необходимых изменений ACL и создания учетной записи пользователя. Я избегаю переупаковки MSI любой ценой, потому что это становится головной болью при обслуживании.