![]() |
Авторизация Startup GPO скрипта как компьютера вместо пользователя
Вложений: 3
Здравствуйте!
Подскажите пожалуйста: как правильно настроить GPO и доступ скрипта установки программы к папке с дистрибутивами, чтобы скрипт авторизовался от имени компьютера а не пользователя? Исходные данные: Скрипт установки программы запускается из GPO для Конфигурации компьютера и применяется ко всему домену Файл 169012 Вся процедура установки нормально срабатывает до входа пользователя в компьютер и проходит успешно, но только при условии, что пользователь авторизовался на сервере, где лежит скрипт, и тут же перезагрузил компьютер, т.е. загрузка ПК происходит в момент, когда токен авторизации пользователя домена еще не "протух". Разрешения на доступ к папке, где лежит скрипт и дистрибутивы настроены так: Файл 169014 Файл 169013 Действовал по сторонней инструкции и в AD ориентируюсь пока не очень, поэтому подскажите пожалуйста где (в каком журнале) какие детали процесса уточнить, чтобы понять что именно идет не так, как задумано, а главное, как это исправить? |
Цитата:
Вкратце, политики применяйте на организационные единицы (OU) в которых уже будут размещаться ПК отдельно и пользователи и группы отдельно. Фактически вы создадите таким образом дерево AD. Цитата:
Вот хотя бы это прочтите Установка программ с помощью групповых политик в домене Active Directory и Почему не применяется групповая политика к компьютеру/пользователю или OU? |
Цитата:
Можете называть меня пользователем :wink: и я признаю, что в AD я пока скорее нуб, наверняка что-то не понимаю, или понимаю не так, хотя тот же winitpro.ru штудирую постоянно, включая упомянутые статьи, но пока не нашел ответа на вопрос темы. Собственно проблему обновления 1С так или иначе я уже решил, а тему создал, чтобы лучше понять как это все должно работать. Вопрос ведь не в том, почему политика не применяется или скрипт не работает, наоборот все срабатывает без проблем, но только тогда, когда пользователь авторизовался на сервере с шарой. По логике получается что скрипт должен авторизоваться на сервере не как пользователь, а как компьютер. Как добиться чтобы это произошло, подскажите пожалуйста? Если я что то понимаю не так, буду благодарен за любые наставления на путь истины, пусть даже пинками :wink: |
Я бы посоветовал вам поставить себе SCCM, он более гибкий чем GPO
|
Цитата:
Если у Вас происходит установка/обновление ПО только после залогинивания пользователя, то проблем может быть много, от неправильно настроенного GPO в домене до неверно настроенной шары для ПО. По Вашим сомнительным описаниям, что настроено и как гадать можно долго и результат будет тот же коли гадать на кофейной гуще... :tomato2: |
GPO настроена правильно, т.к. политика применяется и gpresult это подтверждает.
Шара по логике получается настроена неправильно (скриншоты приложил в стартовом посте), видимо задать разрешение "Domain computers" недостаточно и сервер просто не пускает компьютеры в папку. Но вот что делать дальше моих мозгов уже не хватает :-( Давайте так договоримся: я обратился сюда, в надежде что здесь есть умудренные опытом и закаленные в боях бойцы готовые помочь новичку в AD разобраться в проблеме. Стараюсь максимально конкретно описать проблему, готов провести дополнительные тесты и т.д. и т.п. Я даже не жду ни от кого готового совета типа "сделайте так то и так то и будет Вам счастье!"... Если Вы готовы помочь и обладаете достаточным опытом, дайте пожалуйста конкретные рекомендации на тему куда смотреть и что запустить, чтобы понять что идёт не так. Иначе мы с Вами просто впустую тратим время и увеличиваем энтропию вселенной :wink: Цитата:
|
Цитата:
По идее если эта папка для установки ПО, то достаточно наличие только группы доменные ПК. Тем более ещё не понятно какие NTFS разрешения существуют у этой папки. Цитата:
Могу сказать только за себя, но я стараюсь избегать откровенно глупых вопросов в которых нет даже толики понимания на то что человек спрашивает. Зачем мне общаться с человеком который не хочет не то что вникнуть в суть вопроса, а даже сформулировать его не может, этим он показывает своё отношения к окружающим. Чтоб было понятней, прочитайте порядок применения GPO какие есть, что за чем применяется и в каком порядке, составьте для себя визуальную "лестницу" применения, хоть в таблице, хоть на листочке бумаге и многое Вам станет понятней. Так же не лишним будет узнать, что есть политика "Всегда ожидать инициализации сети при загрузке и входе в систему" и для чего и в каких случаях она применяется. |
Rednel,
Вот ещё полезный сайт со статьями, Технический справочник по Active Directory для Microsoft Windows Server 2003 и на последок видео с лекциями и примерами. |
Вложений: 1
Решение, как обычно, оказалось банальным до смешного: скрипт установки должен находиться в каталоге NETLOGON КД.
Именно в этом случае скрипт авторизуется от имени компьютера, а не пользователя, а программа устанавливается от имени системы, с соответствующими правами. Выглядит это следующим образом: Файл 169082 Решение найдено "методом тыка". Спасибо всем, принявшим участие в обсуждении :up |
Время: 12:30. |
Время: 12:30.
© OSzone.net 2001-