Błąd instalacji zasad grupy błąd 1274

Próbuję wdrożyć plik MSI za pomocą zasad grupy w usłudze Active Directory. Ale są to błędy, które otrzymuję w dzienniku zdarzeń systemowych po zalogowaniu:

• Przypisanie aplikacji XStandard z instalacji zasad nie powiodło się. Błąd wynosił: %% 1274
• Usunięcie przypisania aplikacji XStandard z instalacji zasad nie powiodło się. Błąd to: %% 2
• Nie udało się zastosować zmian w ustawieniach instalacji oprogramowania. Instalacja oprogramowania wdrożonego za pomocą zasad grupy dla tego użytkownika została opóźniona do następnego logowania, ponieważ zmiany muszą zostać zastosowane przed zalogowaniem użytkownika. Błąd wynosił: %% 1274
• Instalacja oprogramowania rozszerzenia po stronie klienta zasad grupy nie była w stanie zastosować jednego lub więcej ustawień, ponieważ zmiany muszą zostać przetworzone przed uruchomieniem systemu lub zalogowaniem użytkownika. System będzie czekał na zakończenie przetwarzania zasad grupy przed następnym uruchomieniem lub logowaniem tego użytkownika, co może spowodować spowolnienie uruchamiania i uruchamiania.

Po ponownym uruchomieniu i ponownym zalogowaniu po prostu otrzymuję te same komunikaty o konieczności wykonania aktualizacji przed kolejnym logowaniem. Korzystam z 32-bitowego laptopa z systemem Windows Vista. Wdrażam raczej wdrażanie za pośrednictwem zasad grupy, więc jakie inne informacje byłyby pomocne w ustaleniu problemu? Próbowałem innego MSI z tymi samymi wynikami. Jestem w stanie zainstalować MSI przy użyciu wiersza polecenia i msiexec po zalogowaniu do komputera, więc wiem, że MSI działa przynajmniej dobrze.

Widzisz przerażającą plagę asynchronicznego przetwarzania zasad. Nie jest to „funkcja” (i była domyślnie wyłączona w Windows 2000, ale domyślnie włączona w Windows XP i nowszych) i powoduje dokładnie to, co widzisz - niedeterministyczne zachowanie podczas przetwarzania niektórych typów ustawień GPO.

W GPO, który dotyczy tego komputera, dodaj następujące ustawienie:

• Ustawienia komputera
  • Szablony administracyjne
    • System
      • Zalogować się
        • Zawsze czekaj na sieć podczas uruchamiania komputera i logowania - włączone

Po ustawieniu tego (i umożliwieniu replikacji obiektu GPO, jeśli jesteś w środowisku z wieloma źródłami prądu stałego), wykonaj polecenie „gpupdate / force / boot” na przedmiotowym komputerze. Uruchomi się ponownie i powinieneś zobaczyć instalację oprogramowania.

„Zawsze czekaj na sieć podczas uruchamiania komputera i logowania” nieznacznie spowalnia uruchamianie i logowanie, ponieważ wszystkie rozszerzenia GPO mogą przetwarzać, ale zaletą jest to, że wszystkie rozszerzenia GPO mogą przetwarzać.

Próbowałem opcji Zawsze czekaj na sieć przy uruchamianiu i logowaniu komputera - Włączone ustawienie z odpowiedzi @Evan Anderson, ale dopiero wtedy, gdy dodałem to ustawienie poniżej, pozwoliło na instalację oprogramowania. Nie jestem pewien, czy była to kombinacja obu ustawień, czy nie. Teraz działa, więc zostawiam oba ustawienia.

W zasadach grupy zastosowanych do tych stacji roboczych przejdź do:

Konfiguracja komputera> Zasady> Szablony administracyjne> System> Zasady grupy

Włącz czas oczekiwania na przetwarzanie zasad uruchamiania . Ustaw ilość czasu oczekiwania (w sekundach) : = 120

120 może być przesada, ale to zadziałało dla mnie. Inne fora sugerowały ustawienie tej wartości na 30 sekund. Mimo że domyślnie ustawiony jest 30 sekund (gdy zasady nie są ustawione), wymuszenie ich na 30 sekund zadziałało.

Może się to zdarzyć, jeśli aplikacja jest już zainstalowana, ale msiexec nie może jej odinstalować. Najczęstszym scenariuszem jest poprzednia ręczna instalacja z zaznaczoną opcją „Tylko dla mnie” zamiast „Wszyscy, którzy logują się na tym komputerze”.

Możesz użyć narzędzia Windows Installer Cleanup Utility ( http://support.microsoft.com/kb/290301 ), aby podstępnie przekonać komputer do myślenia, że ​​aplikacja nie jest już dostępna, a następnie powinna działać poprawnie.

Właśnie znalazłem inną przyczynę tego błędu. Jeśli masz skonfigurowane „Spanning Tree” na przełączniku Ethernet podłączonym do problematycznej stacji roboczej, opóźni to aktywację portu przełącznika podczas uruchamiania komputera. Wyłączenie Spanning Tree dla portu przełącznika lub włączenie „Spanning Tree Portfast” dla portu przełącznika rozwiązało ten problem na kilku moich stacjach roboczych.

Miałem ten sam problem, ale żadna z powyższych poprawek nie działała. W końcu doszedłem do wniosku, że był inny obiekt zasad grupy, który próbował zainstalować oprogramowanie przed moim, i nie powiodło się to z powodu błędu %% 1274, ponieważ sam obiekt zasad grupy miał złe uprawnienia. Z jakiegoś powodu ta awaria uniemożliwiała instalację mojego obiektu GPO, nawet jeśli mój miał odpowiednie uprawnienia. Po wyłączeniu innego problematycznego obiektu zasad grupy mój obiekt zasad grupy został poprawnie zainstalowany.

Zmieniło się „ Czas oczekiwania na przetwarzanie zasad uruchamiania ”. Ustawiono go na 30 sekund, ale niektóre stacje robocze nadal nie działały z %% 1274.

Podniosłem go do 90 sekund i byli szczęśliwi.

Czasami twoja polityka grupowa może się popsuć. Spróbuj usunąć cały klucz rejestru HKLM / SOFTWARE / Microsoft / Windows / CurrentVersion / Group Policy. Prawdopodobnie wszystko po ponownym uruchomieniu zostanie ponownie zainstalowane przez GP. Możesz najpierw wykonać kopię zapasową rejestru ...

Tak samo było z kilkoma laptopami. Działali dobrze przez kilka lat, a potem nagle nie zainstalowali żadnego nowego oprogramowania za pośrednictwem gpo. Wydaje się, że wymuszenie ustawienia „Czas oczekiwania na przetwarzanie zasad uruchamiania” rozwiązało problem. Jak powiedziano wcześniej, domyślnie powinno to wynosić 30 sekund, ale dla mnie wydawało się, że laptopy w ogóle nie czekały przy uruchomieniu na polityki, ale pominęły od razu. Wszystkie laptopy miały Win7x64, DCs Server2008R2 i Server2012.

Mieliśmy ten sam problem. W końcu doszliśmy do wniosku, że nasze laptopy zostały uwierzytelnione przez RADIUS do Wi-Fi, a instalacja sieciowa nie mogła się rozpocząć, dopóki użytkownik nie zaloguje się przy użyciu poświadczeń AD (ponieważ do tego czasu brak łączności sieciowej w celu zdalnego uruchomienia plików instalacyjnych). A po zalogowaniu się użytkownika było już za późno, ponieważ instalacja powinna rozpocząć się wcześniej.

Kiedy klient podłączony przez Ethernet działał jak urok!

Problem rozwiązany!

Logowałem się na komputerach klienckich jako użytkownik domeny z uprawnieniami administratora Enterprise / Domain i bez problemu mogłem uzyskać dostęp do folderu współdzielonego zawierającego pakiety instalacyjne MSI. Chociaż w pewnym momencie próbował uzyskać do niego dostęp za pomocą folderu \ IP \ share_path_to_msi_packages_folder z innego komputera innego niż domena i nadal pojawiał się wyskakujący login. Zasadniczo, nawet jeśli zezwala się wszystkim użytkownikom / grupom domeny i innym niż domena lub uprawnienia do odczytu / zapisu w folderze współdzielonym, nadal nie działa i monituje mnie o nazwę użytkownika / hasło, tym samym nie pozwalając lokalnemu klientowi na pobieranie pakietów wskazanych przez GPO . Jest to spowodowane domyślnie wyłączonym dostępem anonimowym. Po włączeniu i udzieleniu uprawnień do odczytu / zapisu do folderu MSI był w stanie z powodzeniem wdrożyć większość pakietów i tylko synology-cloud-station-3.1.-3320.msi nie powiodło się (trzeba się temu przyjrzeć). Mogłem również uzyskać dostęp do folderu współdzielonego z dowolnego komputera spoza domeny.

Otrzymywałem te komunikaty o błędach prawie co 5 minut w Zdarzenia> System:

101 Przypisanie aplikacji 7-Zip 9.20 (edycja x64) z instalacji podstawowych pakietów strategii DOMAIN nie powiodło się. Błąd wynosił: %% 1274

103 Przypisanie aplikacji 7-Zip 9.20 (edycja x64) z instalacji pakietów podstawowych DOMAIN zasad nie powiodło się. Błąd wynosił: %% 1274

108 Nie udało się zastosować zmian w ustawieniach instalacji oprogramowania. Instalacja oprogramowania wdrożonego za pomocą zasad grupy dla tego użytkownika została opóźniona do następnego logowania, ponieważ zmiany muszą zostać zastosowane przed zalogowaniem użytkownika. Błąd wynosił: %% 1274

1112 Nie udało się zastosować zmian w ustawieniach instalacji oprogramowania. Instalacja oprogramowania wdrożonego za pomocą zasad grupy dla tego użytkownika została opóźniona do następnego logowania, ponieważ zmiany muszą zostać zastosowane przed zalogowaniem użytkownika. Błąd wynosił: %% 1274

Ustawiać:

SERWERY DC1 (PDC) + DC2 (BDC) + DC3 (DBC) Windows 2012 R2 Standard w pełni zaktualizowany

KLIENCI Windows 7 Pro SP1 (czyste przywracanie Dell, w pełni zaktualizowane, powodujące konflikty pakiety, takie jak odinstalowane stare Adobe Flash)

Próbowałem już na klientach:

• gpupdate / force
• gpupdate / force / boot (oba proszą o ponowne uruchomienie i zgłaszają błąd, że zasady nie zostały zastosowane)
• gpresult / r (wygląda dobrze)
• zarówno serwery, jak i klienci mogą uzyskać dostęp do udostępnionego dysku, na którym przechowywane są pakiety MSI
• wielokrotnie restartował DC1 i klientów po zmianach w GPO

GPO wyłącza UAC:

* Computer Configuration * Policies * Windows Settings * Security Settings * Local Policies * Security Options ELEVATE WITHOUT PROMPTING: User Account Control: Behaviour of the elevation prompt for administrators in Admin Approval Mode DISABLE: User Account Control: Detect application installation and prompt for elevation DISABLE: User Account Control: Run all administrators in Admin Approval Mode

GPO deploy base software: * Computer Configuration * Policies * Administrative Templates * System * Logon ENABLE: Always wait for the network at computer startup logon * Group Policy ENABLE: Specify startup policy processing wait time (temporarily set to 120 will change to 30 later)

* Computer Configuration * Policies * Software Installation * 7-Zip 9.20 (x64 edition) v9.20 Assigned \LANIP\Utils\Software\GPO\7zip-7z920-x64.msi * Google Chrome v66.41 Assigned \LANIP\Utils\Software\GPO\googlechromestandaloneenterprise.msi * Mozilla Firefox (en-GB) v35.0 Assigned \LANIP\Utils\Software\GPO\firefox-35.0.1-en-gb-msi * Synology Cloud Station v3.1 Assigned \LANIP\Utils\Software\GPO\synology-cloud-station-3.1.-3320.msi

Wszystkie obiekty zasad grupy są umieszczane w obiektach zasad grupy, a następnie łączone z obiektami zasad grupy bezpośrednio w naszej domenie. Inne ustawienia, takie jak ograniczenia IE z innej konfiguracji obiektu zasad grupy, w ten sam sposób dotyczą poprawnie klienta.

Nie ma innych błędów w AD, DHCP, DNS działają idealnie, maszyny uzyskują adresy IP i mogą rozpoznawać nazwy poprzez nslookup, a także pingować się na IPv4 / IPv6.

Odpowiedź Evana Andersona jest dobra, ale brakuje mu ważnego zastrzeżenia:

Może to znacznie spowolnić logowanie poza domeną dla laptopów i klientów bezprzewodowych.

Biorąc pod uwagę obejście bez tego obiektu zasad grupy, to po prostu ponowne uruchomienie komputera dwa razy, tak naprawdę nie rozumiem, dlaczego ktokolwiek miałby to zmienić.

Windows 2012 R2

W zasadach grupy zastosowanych do tych stacji roboczych przejdź do:

Konfiguracja komputera> Zasady> Szablony administracyjne> System> Zasady grupy

Włącz czas oczekiwania na przetwarzanie zasad uruchamiania. Ustaw ilość czasu oczekiwania (w sekundach): = 120