我正在尝试通过组策略部署 Google Chrome Enterprise。按照 Google 的指南,我创建了一个 GPO,将其链接到一个 OU,导入了包含策略的 ADX 文件(顺便说一下,部署得很好)。我使用 msi 安装程序在文件服务器上创建了一个文件夹。权限设置为域计算机具有读取和执行权限。软件安装策略在计算机配置下设置,因此它将部署在特定的计算机上。
据我了解,如果您在计算机配置下设置了软件安装策略,则需要域计算机帐户具有读取/执行权限,因为该软件将在域用户帐户登录之前安装。我启用了 MSI 日志记录,并在日志文件中得到此信息:
SOURCEMGMT:仅当包安全时才启用媒体。
SOURCEMGMT:正在查找产品 {b5fd80c4-8da4-3815-958f-d6e4afb1c5d0} 的源列表
SOURCEMGMT:将 {b5fd80c4-8da4-3815-958f-d6e4afb1c5d0};添加到潜在源列表 (pcode;disk;relpath)。
SOURCEMGMT:现在检查产品 {b5fd80c4-8da4-3815-958f-d6e4afb1c5d0}
SOURCEMGMT:已为产品启用介质。
SOURCEMGMT:尝试使用源列表中的 LastUsedSource。
SOURCEMGMT:处理网络源列表。
SOURCEMGMT:尝试源 \[服务器][共享]\IT\Software\GroupPolicyDeploy。
注意:1:1402 2:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 3:2
注意:1:2303 2:5 3:\[服务器][共享]\
注意:1:2303 2:5 3:\[服务器][共享]\
注意:1:2303 2:5 3:\[服务器][共享]\
注意:1:1325 2:GroupPolicyDeploy
ConnectToSource:CreatePath/CreateFilePath 失败,原因:-2147483648 1325 -2147483648
ConnectToSource(续):CreatePath/CreateFilePath 失败,原因:-2147483648 -2147483648
SOURCEMGMT:网络源“\[server][share]\IT\Software\GroupPolicyDeploy\”无效。
注意:1:1706 2:-2147483647 3:GoogleChromeStandaloneEnterprise64.msi
SOURCEMGMT:处理媒体源列表。
注:1:2203 2:3:-2147287037
SOURCEMGMT:由于缺少或无法访问包,导致源无效。
注意:1:1706 2:-2147483647 3:GoogleChromeStandaloneEnterprise64.msi
SOURCEMGMT:处理 URL 源列表。
注意:1:1402 2:UNKNOWN\URL 3:2
注意:1:1706 2:-2147483647 3:GoogleChromeStandaloneEnterprise64.msi
注意:1:1706 2:3:GoogleChromeStandaloneEnterprise64.msi
SOURCEMGMT:无法解析源
答案1
在 Windows 2000/XP 时代,使用 GPO 进行 MSI 部署的方式确实非常有效。但从那时起,默认操作系统的行为发生了变化,Windows 不会等待网络启动就允许用户登录。因此,在处理计算机配置时,网络永远不会启动。这使得在计算机级别安装 MSI 几乎毫无用处。
推荐的方法是使用 GPO 在任务计划程序中创建任务,并使用 MSIEXEC.EXE 运行 MSI 安装。您可能需要使用以下设置:
- 程序:
%SystemRoot%\System32\msiexec.exe - 参数:
/quiet /qn /norestart /i "<path to msi file>" - 触发器:(
1-5 minutes after user logon网络启动所需的时间足够了) - 条件:(
Any network connection available确保网络畅通) - 以本地管理员身份运行
NT AUTHORITY\SYSTEM(因此它将具有本地管理员权限)
请注意,如果您决定启用同步 GPO 处理,计算机启动/重启时间将显著增加。
答案2
如果您没有禁用异步组策略处理,则会出现这种情况。
计算机启动和登录时始终等待网络
此策略设置确定组策略处理是否同步(即,计算机是否在计算机启动和用户登录期间等待网络完全初始化)。默认情况下,在客户端计算机上,组策略处理不是同步的;客户端计算机在启动和登录时通常不等待网络完全初始化。现有用户使用缓存的凭据登录,从而缩短登录时间。网络可用后,组策略在后台应用。请注意,由于这是后台刷新,因此软件安装和文件夹重定向等扩展需要两次登录才能应用更改。为了能够安全运行,这些扩展要求没有用户登录。因此,必须在用户主动使用计算机之前在前台处理它们。此外,对用户对象所做的更改(例如添加漫游配置文件路径、主目录或用户对象登录脚本)可能需要最多两次登录才能检测到。如果具有漫游配置文件、主目录或用户对象登录脚本的用户登录到计算机,计算机将始终等待网络初始化后再让用户登录。如果用户以前从未登录过此计算机,计算机将始终等待网络初始化。如果启用此策略设置,计算机将等待网络完全初始化后再让用户登录。组策略将在前台同步应用。
在运行 Windows Server 2008 或更高版本的服务器上,计算机启动时组策略处理期间将忽略此策略设置,并且组策略处理将同步(这些服务器在计算机启动期间等待网络初始化)。 如果服务器配置如下,则此策略设置在用户登录时组策略处理期间生效:
• 该服务器配置为终端服务器(即,在服务器上安装并配置了终端服务器角色服务);并且
• 启用了“通过终端服务登录时允许异步用户组策略处理”策略设置。
此策略设置位于计算机配置\策略\管理模板\系统\组策略下。如果服务器上未实施此配置,则忽略此策略设置。在这种情况下,用户登录时的组策略处理是同步的(这些服务器在用户登录期间等待网络初始化)。如果您禁用或未配置此策略设置,并且用户登录到运行 Windows Server 2008 或更高版本且配置如前所述客户端计算机或服务器,则计算机通常不会等待网络完全初始化。在这种情况下,用户使用缓存的凭据登录。组策略在后台异步应用。
笔记: -如果您想保证在一次登录中应用文件夹重定向、软件安装或漫游用户配置文件设置,请启用此策略设置,以确保 Windows 在应用策略之前等待网络可用。 -如果在下次登录时应用文件夹重定向策略,则在网络连接可用的情况下,安全策略将在下一个更新周期中异步应用。