作者Neet (尼特)
看板MIS
標題[請益] GPO派送bat安裝失效
時間Thu Feb 1 10:20:32 2018
最近因為要導一些軟體所以用bat來做GPO派送
bat手動點了是可以正常執行的
但因為電腦都有降權限,
目前觀察到部分沒降權限的電腦就能正常利用派送到的bat安裝
已經降了的電腦就變成有派但裝失敗
bat內容大概是 \\servername\Software\setup.exe 這樣
GPO設成 \\servername\deploy\install.bat 像這樣
看log或gpresult都是有派送紀錄
AD則是用Windows Server 2016
安裝失敗的機器Win 7/Win 10都有
請教各位先進該如何解決,謝謝!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.236.102.237
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1517451635.A.D12.html
1F:推 allen65535: 為什麼不直接派送setup.exe 02/01 10:25
bat裡面有寫一些像判斷網段還有檢查有無裝過的判斷式
2F:→ aeolus0829: gpo 派送一般是用 .msi 比較容易成功 02/01 10:37
但是前陣子用這樣子派送都是正常運作的,突然碰上這問題也沒頭緒
照理說GPO應該是用最高權限在派的沒錯吧?
※ 編輯: Neet (36.236.102.237), 02/01/2018 11:50:07
3F:推 wuhujohn: 派送在電腦端還是使用者端? 02/01 11:53
4F:推 eric00169: 放軟體的資料夾 把authenticated users加到權限中 02/01 12:02
5F:→ eric00169: 給Read權限就好 02/01 12:02
6F:推 aeolus0829: gpo 用最高權限在派... 不是這樣的 02/01 14:33
7F:→ aeolus0829: 這個問題不是沒有派送成功 而是缺少權限無法進行安裝 02/01 14:34
8F:→ hhyu0627: 使用者帳戶設定看有沒有關掉先... 02/01 19:02
UAC倒是沒想到,我再試試看,感謝
9F:推 michaellai: bat 要用 privilege 跑 02/01 20:00
該怎麼設定呢?
10F:推 kugga: 如果user是本機admin就可以 問題是這樣作等於沒管理 02/01 20:35
其實是有些拔掉admin的裝置還是可以裝完,就找不出問題點在哪 囧
11F:→ SWU: 原則要用gpo派發,還是msi最簡單。你的gpo+bat效果只有“ad 02/01 20:58
12F:→ SWU: 叫你執行這個exe”,權限還是該user的等級 02/01 20:58
13F:→ SWU: 而且gpo限制也很多,不能程式有互動、檔案類型等等 02/01 21:02
14F:→ SWU: 推薦cpau,目前使用到現在最滿意。 02/01 21:03
感謝關鍵字,來研究看看
※ 編輯: Neet (36.236.102.237), 02/01/2018 21:42:18
15F:→ kugga: 那就是你根本搞錯 那就沒有討論意義。該作的是除錯 02/01 22:21
16F:推 u341153: 都用到批次檔了,為何不再批次上追加runas?直接指令上強 02/02 04:52
17F:→ u341153: 行用特定權限下去設定就好了 02/02 04:52
18F:推 SWU: runas不能把密碼也包進去,也是個困擾的點 02/02 08:37
19F:推 aeolus0829: 另外一個作法是用 autoit 把 setup.exe 包起來,然後 02/02 09:00
20F:→ aeolus0829: autoit 可以存放管理者帳密,再重新打包成 .exe 檔 02/02 09:01
22F:→ doublehow: 會不會是share那邊的權限讓使用者進不去 02/04 22:35
23F:→ doublehow: 再檢查看看吧 目前原po給的壞境資訊太少 無法判斷 02/04 22:36
24F:→ doublehow: 也有可能是exe需要引導 沒人點自動time out 02/04 22:37
25F:→ doublehow: 基本上套用在機器層都可先忽略管理權限 套在使用者層才 02/04 22:38
26F:→ doublehow: 有差 02/04 22:38
27F:推 Santana9: Powershell+啟WIN RM服務 02/07 22:38