Softwareinstallation via GPO -- endlich funktioniert das!

Michael · 18. Dezember 2020 um 11:03

Hallo.
Leider geht es hier nicht richtig weiter — wir versuchen seit ein paar Tagen, unsere Win10-Clients (die in der Domäne aufgenommen sind) davon zu überzeugen, gezielt per GPO Software zu installieren oder wahlweise auch andere Einstellungen gezielt auf einzelne Rechner zu bringen. Das will hier einfach nicht funktionieren. Wir haben schon alles mögliche ausprobiert, wie auch

gpupdate /force (als global-admin!)
gpresult /H results.hml (cmd.exe immer "Als Administrator ausführen"!)

Nun tauchen in den results ein paar Warnungen auf, wie z.B. „Eine schnelle Verbindung wurde entdeckt.“ – diesem langen Thread nach, scheint es da ein Verbindung zu geben:

Der Beitrag ist zwar relativ alt aber er beschreibt exakt unser Vorgehen und auch genau den Fehler. Daher die Fragen hier in die Runde:

Macht hier jemand etwas mit GPOs und dem v7-Server?
Funktioniert das irgendwo fehlerfrei?
In dem Thread wird im unteren Drittel (genauergesagt am 20.11.2015) eine Lösung präsentiert, bei der man drei registry-Keys ändern muss. Bevor ich das aber mache und da ggf ein Loch aufmache, das man nicht haben will, würde mich echt interessieren, ob das anderswo läuft???

Mir gehen da „allmählich“ die Ideen aus… GPOs sehen auf den ersten Blick ja relativ einfach aus.

(Aber wie so oft im M$-Universum: Wehe, wenn es nicht funktioniert … dann sucht man da oft viel länger als unter einem Betriebssystem! )

Viele Grüße,
Michael

Michael · 18. Dezember 2020 um 20:39

Gleich noch eine Frage/Bitte hinterher:

Kann jemand diese beiden Befehle bei sich laufen lassen:

samba-tool dbcheck

Das ist eine einfache Überprüfung der Datenbank und liefert hier viele sophomorix-Zuordnungs-Fehler à la: Normalisation error for attribute sophomorixDeactivationDate [...] value '19700101000000.0Z' should be '16010101000000.0Z' Not fixing attribute sophomorixDeactivationDate Bei Euch auch? @thomas: evtl ein Sophomorix-Bug?

Und als zweites:

samba-tool gpo aclcheck -k yes

Liefert hier
ERROR(<type 'exceptions.KeyError'>): uncaught exception - 'No such element'
Bei Euch auch?

thomas · 19. Dezember 2020 um 10:46

¯\_(ツ)_/¯

MachtDochNix · 19. Dezember 2020 um 11:00

Hallo Michael!

Falscher Ansprechpartner? Sophomorix → @jeffbeck

Beste Grüße

Thorsten

Michael · 19. Dezember 2020 um 11:41

Ach so… gibt es irgendwo eine Übersicht, wer der richtige Ansprechpartner für was ist?

Blair · 20. Dezember 2020 um 17:47

Hallo Michael,
die Softwareinstallation per GPO sollte auch bei Samba funktionierten.
Was genau zeigt gpresult wirklich aus?
Was ist in rsop?
Was steht in der Ereignisanzeige?

Grundsätzlich:

Ist Hybernate/Fastboot aus?
GPO „Auf Netzwerk warten“ aktiv?
Die GPO auf die richtige Gruppe aktiviert?
WMI Filter richtig gesetzt? (Wenn verwendet.)
UAC Pfad in der GPO verwendet?
Hat der Ordner mit den Installationsdaten die richtigen Benutzer-Berechtigungen und stimmt die Freigabe?
Eignet sich das MSI Paket wirklich für eine Silentinstallation?

Dann funktioniert die Installation per GPO.

Viele Grüße
Christian

Michael · 20. Dezember 2020 um 18:20

Hallo Christian.
Also ich habe mehrere Anleitungen ausprobiert – bisher funktioniert aber keine. Das ganze läuft ja unter Ubuntu 18.04 LTS – demnach ist Samba 4.7.6 (aus der Paketverwaltung) installiert.

Ich wundere mich über mehrere Dinge auf dem dem Server:

Der Befehl samba-tool gpo aclcheck -k yes spuckt die o.g. Fehlermeldung aus
Die Anmeldung als Domänen-User funktioniert ja – die andere GPO „sophomorix“ wird auch korrekt abgearbeitet

Hier zunächst zwei Screenshots, die zeigen wie/wo ich die GPOs eingefügt habe:

Es ist so: wenn ich dieses Script (mit dem hier gezeigten Pfad) in einer cmd.exe ausführe, wird es problemlos silent ausgeführt.

Was deine anderen Fragen angeht: Bzgl Fastboot bekomme ich diese Warnung:
Screenshot_20201220_191450

Ich habe es auch mittlerweile auf dem Win10-Client mit dem Befehl
gpresult /Scope Computer /v probiert … da erhalte ich aber immer seltsamerweise eine Ausgabe wie z.B.:

Ich verstehe das nicht – wenn ich gpupdate /force ausführe, sollte man doch meinen, dass die GPOs vom Server dann auch ausgeführt werden!??
Das ist hier aber offenbar nicht der Fall…!?

WMI Filter hatte ich mal an und mal aus … ohne Unterschied
UAC-Pfad? Sagt mir nichts?! Was ist das?

Vielleicht hast du ja noch einen guten Tipp – ich hatte es zwischendurch auch mit 7zip oder putty als MSI versucht … beide sollen silent installierbar sein!

Viele Grüße,
Michael

Blair · 20. Dezember 2020 um 19:14

Hallo Michael,
ich meinte UNC-Pfad, also \\server… Passt bei dir.
Bei der GPO zu 7Zip kann ich nur raten, da fehlen die Infos.
Ich nehme an, dass in der Gruppe Ausleihstation Computerobjekte (z.B. Lapops) sind und keine Benutzer. Du machst bei Veyon ein Anmeldeskript im Benutzerbereich der GPO, das wird aber nur auf Benutzerobjekte angewendet, nicht auf Computerobjekte.
Entweder du lässt das Skript im Bereich Coputerkonfiguration die Installation durchführen, dann installiert Windows Veyon beim Start auf den entsprechenden Computern.
Oder du aktivierst in der GPO im Bereich Computerkonfiguration den Loopbackverarbeitungsmodus, dann werden auf dem Computer auch die Benutzereinstellungen angewendet.
Der Bereich Computerkonfiguration wird nur auch Computer angewendet und
Eine genauere Erklärung findet sich z.B. unter Gruppenrichtlinien Loopbackverarbeitungsmodus - Loopback Processing Mode

Viel Erfolg
Christian

Michael · 20. Dezember 2020 um 19:26

Ach so – in dem Screenshot siehst du einen Versuch, es so zu machen. Vorher hatte ich das auch schon oben im Computerbereich und dann unter Windows-Einstellungen --> Scripts --> Starten. Das lief aber leider genauso wenig.
(Das cmd-Script selbst ist ein Einzeiler und ruft die setup.exe im Silent-Mode auf … das funktioniert wie gesagt in einer cmd.exe ohne Probleme)

Hier nochmal der andere Screenshot:

Der Loopbackverarbeitungsmodus scheint ja doch ein größerer Eingriff ins Geschehen zu sein, oder?

Blair · 20. Dezember 2020 um 21:06

Ok, die Bilder oben zeigen zwei verschiedene Versuche.
Schau mal mit gpresult /Scope Computer /R und rsop, ob die Gruppenrichtlinie richtig übernommen wurde.
Wenn ja, dann funktioniert der erste Teil ja schon einmal.

Blair · 20. Dezember 2020 um 21:07

Du hast den Rechner nach Anwendung der GPO schon neu gestartet?

Michael · 20. Dezember 2020 um 22:10

Hi, klar gestartet habe ich den (virtuellen) Client x-fach. Aber über deine Tipps von oben habe ich auch nochmal nachgedacht bzw danach gesucht:
„Fastboot“ bzw „auf Netzwerk warten“ könnten zwei Dinge sein, die ich noch überprüfen kann. Das sollte beides per GPO bzw in der Registry eingestellt sein, ja??

Blair · 21. Dezember 2020 um 09:52

Kann beides über die GPO eingestellt werden, bzw. es können die entsprechenden Einträge für die Registry verteilt werden.
Bitte auch die anderen Fragen beantworten.

Blair · 21. Dezember 2020 um 09:57

Hier die Anleitungen
Fastboot
https://admin-anleitungen.de/index.php/2020/10/08/gpo-windows-fastboot-deaktivieren/
Auf Netzwerk warten
https://www.heise.de/ct/artikel/Windows-Rechner-zu-schnell-fuer-die-Domaene-4774283.html

Ich denke aber, dass die GPO schon übernommen wird.

baumhof · 21. Dezember 2020 um 10:18

Hallo Blair,

ich bin total froh, dass wir mit dir jemand haben, der sich bei den GPOs
auskennt und uns dabei hilft.
Für uns ist das Neuland und ein so großes Stück Kuchen, dass die
allermeisten von uns da erstmal nciht reinbeißen wollen
Ich sehe aber auch, dass es ein sehr mächtiges Werkzeug ist, wo wir,
ohne Image, neue Einstellungen am Client „pushen“ können.
Noch hab ich aber nicht „reingebissen“: wird aber wohl irgend wann
kommen
Dann greife ich bestimmt auf diesen Tread zurück.

Vielen Dank dafür.

Holger

Michael · 21. Dezember 2020 um 11:44

Hi Christian.
Ok – jetzt bin ich wieder dran und kann genauer nachsehen:

Das liefert ein positives Ergebnis – alle GPOs werden diesem Client offenbar richtig zugeordnet:

Den Befehl rsop kannte ich bisher noch nicht … der liefert:

Wie man sieht, kommt das Script also richtig an – nun wird es Zeit, sich an Fastboot bzw Hibernate heranzumachen … das könnte wirklich die Ursache sein. Allerdings finde ich es von M$ merkwürdig, dass die sowas einbauen, wenn es damit Probleme gibt!!!
Hier übrigens mal der Inhalt des Scriptes – das läuft (wie schon erwähnt) bei direktem Aufruf problemlos silent durch und erzeugt ein Desktop-Icon:

Das „sleep 30“ hatte ich erst später eingebaut… als ich von fastboot noch nichts wusste.

Ein Kollege von mir hat auf einer eigenen, privaten Samba4-Testinstallation (ohne linuxmuster.net) etwas beobachtet, das ins Schema passen könnte: Er meinte, dass die Software mal installiert wird – und mal nicht. Das klingt doch genau nach dem Problem, dass das Netzwerk nicht rechtzeitig zur Verfügung steht – und das würde ja auch hier ganz gut ins Bild passen!?

Und an Holger (@baumhof), ja … GPOs sind ne völlig eigene Baustelle … wenn es läuft, kann man damit vermutlich ganz schöne Dinge machen. Allerdings habe ich schon wieder so viel Zeit in das Thema investiert, dass „Kosten“ ↔ Nutzen völlig aus dem Ruder gelaufen sind… ich denke nicht zum ersten Mal, dass ein zweites, drittes, …, n-tes LINBO-Image viel einfacher gewesen wäre.
Fest steht: Was in der schönen bunten M$-Welt auf den ersten Blick ganz einfach aussieht, ist bei genauerem Hinsehen gar nicht mehr soooo einfach. Die Ursache warum die GPO nicht einfach ausgeführt wird, taucht bisher jedenfalls in keiner Log-Datei auf … auch das ist ja nicht untypisch für M$. Da liest man ja öfter Fehlermeldungen wie „Es ist ein Problem aufgetreten. Fragen Sie Ihren Arzt oder Apotheker!“

Viele Grüße,
Michael

Michael · 21. Dezember 2020 um 12:12

Übrigens ist mir eine Sache auch weiterhin nicht klar: Was ist, wenn man zwei konkurrierende oder sich widersprechende GPOs einträgt – wie z.B.

In meiner veyon-GPO trage ich ein „Warte auf das Netzwerk!“ aber in der „allgemeinen“ GPO steht das Gegenteil. Wer „gewinnt“ dann? Die letzte Einstellung??

Michael · 21. Dezember 2020 um 13:28

… und noch ein Nachtrag:
Ich habe die GPO nochmal verändert und jetzt explizit den Computernamen aufgenommen, der sie ausführen soll. Zudem habe ich „Erzwungen“ gewählt:

Die Richtlinie sieht jetzt so aus:

… und ENDLICH erscheint auch mal eine Fehlermeldung in den results:

Der Code 1130 legt nahe, dass der Computer-Account auf das Share nicht zugreifen darf, was mir nicht ganz einleuchtet… dennoch ist das vielleicht eine Spur, warum es nicht ausgeführt wird?!

In der /etc/samba/smb.conf steht:


[default-school]
        comment = Share for default-school
        hide unreadable = Yes
        path = /srv/samba/schools/default-school
        read only = No
        strict allocate = Yes
        valid users = LINUX\administrator @LINUX\SCHOOLS

Und ganz nebenbei: Was sagst du denn zu dem Versionskonflikt, der da angezeigt wird (Screenshot weiter oben)?

Viele Grüße,
Michael

Blair · 21. Dezember 2020 um 18:02

@baumhof Danke, auch für deinen Kommentar im anderen Beitrag. Ist nur meine Sicht der Dinge, mehr nicht.

GPO sind der beste Weg, um Windows zu konfigurieren. Du erstellst einmal eine GPO für eine Einstellung und das bleibt dauerhaft. Wenn du ein neues Windows Image erstellst wird es automatisch darauf angewendet. Man braucht es nicht immer wieder neu machen, kann nichts vergessen und es ist auf allen Clients gleich. Es ist auch schnell geändert,…
Wenn man sich damit einmal beschäftigt und verstanden hat, dann erleichtert es die Arbeit extrem. In Windows kann man quasi alles per GPO einstellen, viel mehr als mit den grafischen Schaltflächen in Windows selbst. Ich ärgere mich nachträglich, dass ich die nicht früher verwendet habe.

Zurück zum Thema:
Der Versionskonflikt kommt daher, dass die Versionsnummern der GPO-Objekte in Samba und Windows nicht gleich sind. Mit jeder neuen Version von Windows werden neue Funktionen eingeführt, die mit neuen GPOs konfiguriert werden. Die fehlen dann in Samba. Die GPO Version in Windows ist neuer als die in Samba. Man kann die GPO-Objekte in Samba updaten, aber das ist für deinen Fall nicht nötig. Die von dir benutzten GPOs sind definitiv in Samba schon drin.

Das sleep 30 in der Batch ist nutzlos. Entweder ist die Netzwerkverbindung vorhanden, wenn das Skript aufgerufen wird, oder er wird insgesamt nicht ausgeführt. Der Inhalt ist dann egal.

Wenn verschiedene GPOs die gleiche Einstellung mit unterschiedlichen Werten konfigurieren, dann gewinnt die GPO, die in der Hierarchie näher am Client ist. Also in default-school ist die eine Einstellung konfiguriert und in ausleihstation ist die Einstellung anders definiert. Die Einstellung von ausleihstation wird übernommen, da die speziell für diese Organisationseinheit gilt.
Es gibt Ausnahmen im Bereich Sicherheit und Datenschutz. Wenn hier unterschiedliche Einstellungen in der gleichen Ebene vorgenommen werden, dann gewinnt die restriktivere Einstellung (Nein). Das steht aber immer im Infotext bei der GPO.

Fastboot bzw Hibernate sind deshalb aktiv, weil es bei normalen Nutzern ohne Domain das Starten von Windows beschleunigt. In verwalteten Netzen weiß jeder ausgebildete Admin, dass er in einer neuen Domain das als eines der ersten Dinge in einer GPO ändert.
Windows wird in einer Konfiguration für Konsumenten ausgeliefert und der Admin im Unternehmen passt es an. Dafür wurde er ja professionel ausgebildet. In der Schule… lernt man das duch ausprobieren, fluchen, viel suchen und lesen von Texten. Sogar in Youtube hab ich was dazu gelernt.

Die Fehlermeldung in deinem letzten Versuch stammt eher daher, dass du einen neuen Fehler eingebaut hast. Das Computerobjekt Computer-Yoga… hat keinen Zugriff, weil die Freigabe und die Sicherheitseinstellungen nur Benutzer zuläßt. Wenn ein Computer einen Zugriff auf den Ordner haben soll, muss der extra hinzugefügt werden.

Gpresult und RSOP zeigen eigentlich, dass die GPO richtig übernommen wurde. Das passt also.
Wenn es nicht funktioniert, dann fehlt die Netzwerkverbindung, die Zugriffsberechtigungen auf den Ordner passen nicht oder das Skript selbst wird nicht richtig ausgeführt.
Es müsste dann aber in der Ereignisanzeige ein Fehler aufgeführt sein.

Mach mal folgende drei Dinge:

Das Skript in Herunterfahren ausführen lassen. Da muss die Netzwerkverbindung ja da sein.
Das Skript zum Test vereinfachen. Nur \\server…veyon-setup.exe /s . Mal schauen, ob die Installation ausgeführt wird.
Alle Dateien in den Odner \\server\sysvol\deine_domain\scripts kopieren und von dort ausführen lassen. Da müssten die Freigaben stimmen.

Den Client dann neu starten.
Bin mal auf das Ergebnis gespannt.

Michael · 21. Dezember 2020 um 19:14

Hi Christian.
Auch von meiner Seite nochmal herzlichen Dank für die Nachhilfestunden. Sicher bin ich nicht der einzige, der das hier sehr gut gebrauchen kann. Ich sehe es ja ein, dass man mit funktionierenden GPOs 'ne Menge machen kann … und ich denke auch nach wie vor, dass es nur eine Sache von ganz wenigen Klicks ist, bis es klappt…

Ja – ein sehr gutes Argument und ein RIESEN-Unterschíed zum 08/15-Admin in der Schule!!! Wobei ich sagen muss, dass die Anforderungen auch dort immer weiter steigen …

Das ist der Punkt, den ich nicht ganz verstehe: Ich lege eine Richtlinie für einen Computer an – aber wer (mit welchen Rechten) führt die dann aus? Das Computer-Konto „yoga-12-56$“ oder der Domänen-Admin?

Ich habe alle drei Punkte geändert. In der linuxmuster-Installation ist es aber so, dass im Order \\server\sysvol\scripts bereits alle möglichen Scripte liegen – zudem heißen sie alle .bat anstatt .cmd … ich habe nun das vereinfachte veyon-Script in den Ordner custom dazu gepackt und umbenannt.
Jetzt wird das Script also von hier aus gestartet:
/var/lib/samba/sysvol/<meine-domain>/scripts/default-school/custom/windows/veyon-silent.bat bzw aus Windows-Sicht mit \\server\ ....

… über den Punkt „fluchen“ bin ich längst hinaus …

Ich versuche es jetzt nochmal mit gpudate, reboot, Neuanmeldung … und melde mich dann gleich nochmal zurück …

Viele Grüße,
Michael