Каталог приложений SCCM не будет устанавливать приложения, если запущен как пользователь, отличный от того, который вошел в систему
Мы поиграли с каталогом приложений SCCM и обнаружили интересную причуду. Мой менеджер дал мне указание внедрить каталог, чтобы программное обеспечение, которое находится где-то между «одноразовой установкой» и «необходимостью для всей рабочей группы», указывало на то, сколько людей в нем нуждается, должно быть опубликовано в каталоге приложений. Наши технические специалисты службы поддержки могут использовать Каталог приложений для развертывания такого рода программного обеспечения, чтобы выбрать пользователей, которым оно нужно, в зависимости от ситуации.
Мы практикуем разделение учетных записей, например, наша служба поддержки Rockstar Эммет Бриковски имеет две учетные записи пользователей Active Directory. Его обычная непривилегированная учетная запись, CONTOSO\ebrickowski он должен используется для всей своей обычной работы, и когда подсказка UAC поднимает свою уродливую голову, у него есть привилегированная учетная запись (CONTOSO\ebrickowski-adm), который входит в группу BUILTIN \ Administrators на всех наших рабочих станциях.
Когда Джо Юзер звонит в службу поддержки, Эммет подключается или физически идет, чтобы помочь пользователю (наша культура требует личного общения с клиентами), входит в каталог приложений со своими привилегиями. CONTOSO\ebrickowski-adm и видит множество программ, которые он может установить стандартным способом для нашего пользователя.
За исключением того, что Эммет нажимает кнопку Install, он получает следующее:
Теперь я не могу найти в клиентских журналах ничего о том, что произошло. Ничего в AppIntentEval.log, AppDiscovery.log, AppEnforce.log журналы и ConfigMgrSoftwareCatalog.log который должен записывать действие в каталоге приложений, не существует.
Если мы развертываем приложение в коллекции пользователей, содержащей наших обычных пользователей, и они используют ту же учетную запись, в которой они вошли в Windows, что и для входа в каталог приложений, то же приложение, которое ранее не удалось установить. Это заставляет меня думать, что вы не можете использовать отдельную учетную запись для каталога приложений в качестве текущего сеанса Windows. Что вроде облом.
- Может ли кто-нибудь проверить, что для доступа к каталогу приложений вы должны использовать ту же учетную запись, что и в настоящее время в сеансе Windows?
- Какие журналы, если они есть, мне следует изучить для дальнейшего расследования?
- Есть ли другой или лучший способ достичь желаемой цели - использовать каталог приложений в качестве магазина программного обеспечения, доступного техническим специалистам?
Так как технический специалист все равно задействован, почему бы вам просто не попросить технического специалиста развернуть желаемое приложение для этого пользователя с консоли SCCM?
Если вы хотите сделать его более интерактивным для конечного пользователя, технический специалист может временно добавить конечного пользователя в коллекцию пользователей «все доступные приложения», пока они обращаются к каталогу и выясняют, что они хотят установить. Затем, когда конечный пользователь установит приложения, вы можете забрать их обратно из этой коллекции и, возможно, развернуть приложения, которые они только что установили, для своего пользователя через другую коллекцию.
Это сделано специально, только пользователи, вошедшие в систему, могут устанавливать приложения через каталог приложений. Попытка «подделать» каталог приложений, войдя в него с другим идентификатором, не сработает.
Правильный способ сделать это - либо рекламировать программы для всех пользователей, либо, поскольку это может вызвать беспорядок, попросить ваших технических специалистов Rockstar войти в компьютер со своей учетной записью администратора либо лично, либо удаленно с помощью нового SCCM RC. Новый позволяет специалистам получить доступ к экрану входа в систему, а старый - нет.
Примечание: вы немного идете вразрез с тем, что MS пытается выполнить с каталогом приложений, он предназначен для пользователей, чтобы установить нужные им приложения, чтобы минимизировать работу службы поддержки, поэтому с небольшой утонченностью разрешений вы должны быть в состоянии избежать бедствий, но я полностью понимаю, почему вы хотите сделать это таким образом, я просто хотел упомянуть об этом, чтобы вы знали, почему это больно.