Авторизация Startup GPO скрипта как компьютера вместо пользователя
 

Здравствуйте!

Подскажите пожалуйста: как правильно настроить GPO и доступ скрипта установки программы к папке с дистрибутивами, чтобы скрипт авторизовался от имени компьютера а не пользователя?

Исходные данные:
Скрипт установки программы запускается из GPO для Конфигурации компьютера и применяется ко всему домену
Файл 169012
Вся процедура установки нормально срабатывает до входа пользователя в компьютер и проходит успешно, но только при условии, что пользователь авторизовался на сервере, где лежит скрипт, и тут же перезагрузил компьютер, т.е. загрузка ПК происходит в момент, когда токен авторизации пользователя домена еще не "протух".

Разрешения на доступ к папке, где лежит скрипт и дистрибутивы настроены так:
Файл 169014
Файл 169013

Действовал по сторонней инструкции и в AD ориентируюсь пока не очень, поэтому подскажите пожалуйста где (в каком журнале) какие детали процесса уточнить, чтобы понять что именно идет не так, как задумано, а главное, как это исправить?

:o Ужас! Немедленно научитесь обращаться с GPO, хотя бы пару статей прочитайте.
Вкратце, политики применяйте на организационные единицы (OU) в которых уже будут размещаться ПК отдельно и пользователи и группы отдельно. Фактически вы создадите таким образом дерево AD.

Или инструкция не очень или вы её не так поняли, возможно ещё вариант, что инструкция была написана для администраторов, а не для пользователей.

Вот хотя бы это прочтите Установка программ с помощью групповых политик в домене Active Directory и Почему не применяется групповая политика к компьютеру/пользователю или OU?

Антон, спасибо за Ваш ответ! Это я хорошо понимаю, а изначально так и было сделано. Для всего домена стал применять уже для диагностики. Собственно в этом нет никакой проблемы: 1С нужна на всех ПК без исключения.
Можете называть меня пользователем :wink: и я признаю, что в AD я пока скорее нуб, наверняка что-то не понимаю, или понимаю не так, хотя тот же winitpro.ru штудирую постоянно, включая упомянутые статьи, но пока не нашел ответа на вопрос темы. Собственно проблему обновления 1С так или иначе я уже решил, а тему создал, чтобы лучше понять как это все должно работать.

Вопрос ведь не в том, почему политика не применяется или скрипт не работает, наоборот все срабатывает без проблем, но только тогда, когда пользователь авторизовался на сервере с шарой. По логике получается что скрипт должен авторизоваться на сервере не как пользователь, а как компьютер.
Как добиться чтобы это произошло, подскажите пожалуйста?
Если я что то понимаю не так, буду благодарен за любые наставления на путь истины, пусть даже пинками :wink:

Я бы посоветовал вам поставить себе SCCM, он более гибкий чем GPO

Не понимаю, тогда о чём вы, весь даже в статье Установка программ с помощью групповых политик в домене Active Directory применение установки ПО в GPO идёт на компьютер!

Если у Вас происходит установка/обновление ПО только после залогинивания пользователя, то проблем может быть много, от неправильно настроенного GPO в домене до неверно настроенной шары для ПО.

По Вашим сомнительным описаниям, что настроено и как гадать можно долго и результат будет тот же коли гадать на кофейной гуще... :tomato2:

GPO настроена правильно, т.к. политика применяется и gpresult это подтверждает.
Шара по логике получается настроена неправильно (скриншоты приложил в стартовом посте), видимо задать разрешение "Domain computers" недостаточно и сервер просто не пускает компьютеры в папку. Но вот что делать дальше моих мозгов уже не хватает :-(

Давайте так договоримся: я обратился сюда, в надежде что здесь есть умудренные опытом и закаленные в боях бойцы готовые помочь новичку в AD разобраться в проблеме. Стараюсь максимально конкретно описать проблему, готов провести дополнительные тесты и т.д. и т.п. Я даже не жду ни от кого готового совета типа "сделайте так то и так то и будет Вам счастье!"...

Если Вы готовы помочь и обладаете достаточным опытом, дайте пожалуйста конкретные рекомендации на тему куда смотреть и что запустить, чтобы понять что идёт не так. Иначе мы с Вами просто впустую тратим время и увеличиваем энтропию вселенной :wink:

За подсказку спасибо, обязательно изучу предмет, но это явно выходит за рамки данной темы.

Не факт, но я так же не пойму зачем в разрешении участвуют так много групп и особенно зачем так группа "Все"!?
По идее если эта папка для установки ПО, то достаточно наличие только группы доменные ПК.
Тем более ещё не понятно какие NTFS разрешения существуют у этой папки.

Цитата:

Цитата Rednel Давайте так договоримся: я обратился сюда, в надежде что здесь есть умудренные опытом и закаленные в боях бойцы готовые помочь новичку в AD разобраться в проблеме. »

Сомнительное и наивное заблуждение.
Могу сказать только за себя, но я стараюсь избегать откровенно глупых вопросов в которых нет даже толики понимания на то что человек спрашивает. Зачем мне общаться с человеком который не хочет не то что вникнуть в суть вопроса, а даже сформулировать его не может, этим он показывает своё отношения к окружающим.

Чтоб было понятней, прочитайте порядок применения GPO какие есть, что за чем применяется и в каком порядке, составьте для себя визуальную "лестницу" применения, хоть в таблице, хоть на листочке бумаге и многое Вам станет понятней.

Так же не лишним будет узнать, что есть политика "Всегда ожидать инициализации сети при загрузке и входе в систему" и для чего и в каких случаях она применяется.

Rednel,

Вот ещё полезный сайт со статьями, Технический справочник по Active Directory для Microsoft Windows Server 2003 и на последок видео с лекциями и примерами.

Решение, как обычно, оказалось банальным до смешного: скрипт установки должен находиться в каталоге NETLOGON КД.
Именно в этом случае скрипт авторизуется от имени компьютера, а не пользователя, а программа устанавливается от имени системы, с соответствующими правами.
Выглядит это следующим образом: Файл 169082

Решение найдено "методом тыка". Спасибо всем, принявшим участие в обсуждении :up