作者Neet (尼特)
看板MIS
标题[请益] GPO派送bat安装失效
时间Thu Feb 1 10:20:32 2018
最近因为要导一些软体所以用bat来做GPO派送
bat手动点了是可以正常执行的
但因为电脑都有降权限,
目前观察到部分没降权限的电脑就能正常利用派送到的bat安装
已经降了的电脑就变成有派但装失败
bat内容大概是 \\servername\Software\setup.exe 这样
GPO设成 \\servername\deploy\install.bat 像这样
看log或gpresult都是有派送纪录
AD则是用Windows Server 2016
安装失败的机器Win 7/Win 10都有
请教各位先进该如何解决,谢谢!
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.236.102.237
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1517451635.A.D12.html
1F:推 allen65535: 为什麽不直接派送setup.exe 02/01 10:25
bat里面有写一些像判断网段还有检查有无装过的判断式
2F:→ aeolus0829: gpo 派送一般是用 .msi 比较容易成功 02/01 10:37
但是前阵子用这样子派送都是正常运作的,突然碰上这问题也没头绪
照理说GPO应该是用最高权限在派的没错吧?
※ 编辑: Neet (36.236.102.237), 02/01/2018 11:50:07
3F:推 wuhujohn: 派送在电脑端还是使用者端? 02/01 11:53
4F:推 eric00169: 放软体的资料夹 把authenticated users加到权限中 02/01 12:02
5F:→ eric00169: 给Read权限就好 02/01 12:02
6F:推 aeolus0829: gpo 用最高权限在派... 不是这样的 02/01 14:33
7F:→ aeolus0829: 这个问题不是没有派送成功 而是缺少权限无法进行安装 02/01 14:34
8F:→ hhyu0627: 使用者帐户设定看有没有关掉先... 02/01 19:02
UAC倒是没想到,我再试试看,感谢
9F:推 michaellai: bat 要用 privilege 跑 02/01 20:00
该怎麽设定呢?
10F:推 kugga: 如果user是本机admin就可以 问题是这样作等於没管理 02/01 20:35
其实是有些拔掉admin的装置还是可以装完,就找不出问题点在哪 囧
11F:→ SWU: 原则要用gpo派发,还是msi最简单。你的gpo+bat效果只有“ad 02/01 20:58
12F:→ SWU: 叫你执行这个exe”,权限还是该user的等级 02/01 20:58
13F:→ SWU: 而且gpo限制也很多,不能程式有互动、档案类型等等 02/01 21:02
14F:→ SWU: 推荐cpau,目前使用到现在最满意。 02/01 21:03
感谢关键字,来研究看看
※ 编辑: Neet (36.236.102.237), 02/01/2018 21:42:18
15F:→ kugga: 那就是你根本搞错 那就没有讨论意义。该作的是除错 02/01 22:21
16F:推 u341153: 都用到批次档了,为何不再批次上追加runas?直接指令上强 02/02 04:52
17F:→ u341153: 行用特定权限下去设定就好了 02/02 04:52
18F:推 SWU: runas不能把密码也包进去,也是个困扰的点 02/02 08:37
19F:推 aeolus0829: 另外一个作法是用 autoit 把 setup.exe 包起来,然後 02/02 09:00
20F:→ aeolus0829: autoit 可以存放管理者帐密,再重新打包成 .exe 档 02/02 09:01
22F:→ doublehow: 会不会是share那边的权限让使用者进不去 02/04 22:35
23F:→ doublehow: 再检查看看吧 目前原po给的坏境资讯太少 无法判断 02/04 22:36
24F:→ doublehow: 也有可能是exe需要引导 没人点自动time out 02/04 22:37
25F:→ doublehow: 基本上套用在机器层都可先忽略管理权限 套在使用者层才 02/04 22:38
26F:→ doublehow: 有差 02/04 22:38
27F:推 Santana9: Powershell+启WIN RM服务 02/07 22:38