[friik1]

GPO, millele liidetud Standard.WW kaustas olev MSI. Sai proovitud ka Enterprise versiooni, sama kala.
config.xml fail

[Angrist]

Mis policy kylge sa ta panid, user või computer ?

Niipalju kui ma san aru siis ta ei suuda share pealt installi ajutisi faile lokaalsesse masinasse kirjutada.

Muidugi kui sul on ainult read and Execute ning ta ei suuda ei masinasse ega ka share peale oma faile lahti pakkida siis on selge ju.

[friik1]

[SKG]

veakood 0x80070017 viitaks nagu vigasele installikale või siis ei ole see MSOCache folderis olev päris 100% terviklik
http://www.google.ee/search?hl=et&q=0x80070017&btnG=Google+otsing&lr=

just a guess...

[friik1]

[SKG]

mõnes mõttes küll jah... aga minu kogemus jälle näitab, et mitmed installikad ei taha millegipärast Vista all töötada kui need üle võrgu käivitada. draiverid näiteks. aga noh, see selleks. igatahes sa leidsid lahenduse oma probleemile

[Angrist]

Järelikult on sul ikka mingi userite accessi kamm.

[friik1]

[UrmasL]

Vaata seda arutlust:

http://www.mcse.ms/showthread.php?t=2507077

[friik1]

[Angrist]

Systemil pole accessi võrgu sharedele ja võrgu kontodele, mis aga sinu kasutajapuhul on, systemi kasutajakonto access piirdub lokalse masinaga, vahel tahavad installikad cashida ennast sinnaamasse directoryse kuskohast neid installitakse.

Everybody access on alates 2003 SRV-st mitte päris everyone vaid naca vähem kui everyone. Mismoodi Vista Everybody accessi käitleb ma ei oska ütelda, ilmselt kuidagi teist moodi, häbi tunnistada aga pole siiamaani vistat puutunud .

Samas kui sa selle probla lahendatud said, siis pole antud momendil mõtet vist edasi arutleda.

[friik1]

SYSTEM domeeni masinate puhul = Domain Computers grupp. Teised MSI installikad käivad sharede kallal ju samas kasutajakontekstis ehk SYSTEM!
Installikad cachevad päritolukausta...? Kus on selle asja loogika, siis ei saaks ma ju plaadi pealt kah paigaldada?
Office installikad cachevad ennast vist 2000'st saadik C:\ alla.
Share puhul on everybody everybody, reaalselt piirab õigusi NTFS. Samas pole ma kunagi kuulnud, et NTFS puhul everybody midagi vähem oleks kui everybody. Vistat ei huvita everybody, kuna turvat käsitleb ikkagi server.

Lahendust otseselt pole, ainult halb workaround.

[Angrist]

Systemina ei käi ykski asi share kallal.

On olemas domaini kasutajad ehk domain users/computers

Ja on olemas lokaalsed kasutajad, System on lokaalne kasutaja ning üle võrgu sharedele saab üldiselt pikki näppe.

Everyone kautajagrupp hõlmas vanasti ka anonymoust, iusri ja kõiki kõiki kasutajid ning keda tuvastada ei suudetud see käis everyone alla.
Alates 2003 serverist on loogika teine. Everyone ei ole enam päris Eeveryone.

5nda põlvkonna windowsides on see kellel on õigust installida progesid või mitte, ära määratud polictytega. Kuidas sul 5nda põlvkonna policyd( ma eeldan et on 2003) jooksevad 6nda põlkonna kliendi otsa, ma ei tea.


Sul on 3 turvat, 1. turva on share üigused, 2. turva on ntfs õigused 3. turva on kasutaja õigused kliendi masinas.

[friik1]

[Angrist]

[quote]Systemina ei käi ykski asi share kallal.
Domeeni masina konto ongi sisuliselt System, ta kasutab domeeni masina õigusi lihtsalt. Ükski programm ei jookse ju masina konto kasutajakontekstis, kõik ikka System. Msiexec jookseb System all - GPO Software installation ei tohiks sinu loogika järgi üldse töötada.
[/quote]


http://support.microsoft.com/kb/120929

Selle koha pealt on sul suht õigus et system suht sama mis computername, aga sisiki mitte päris

http://technet.microsoft.com/en-us/library/bb680595.aspx

System/computername syncamise vahe vist oli mingi kuu aega vms, aga see vist ei ole selle teemaga seotud.

Aga oluline vahe mis on on, see et systemi accounti sa ei saa policytesse kirjutada.

[quote]
[quote]Everyone kautajagrupp hõlmas vanasti ka anonymoust, iusri ja kõiki kõiki kasutajid ning keda tuvastada ei suudetud see käis everyone alla.
Alates 2003 serverist on loogika teine. Everyone ei ole enam päris Eeveryone. [/quote]
Ei ole päris everyone? Minu praktikas on everyone ikka veel everyone. Kui everyone, saab iga mats ligi, va kui talle pole teise kirjega deny antud. IUSR kohta ei oska kommenteerida, kuna pole IIS väga palju kasutanud. Mingeid praktilisi näiteid või dokumentatsiooni?[quote]
5nda põlvkonna windowsides on see kellel on õigust installida progesid või mitte, ära määratud polictytega. Kuidas sul 5nda põlvkonna policyd( ma eeldan et on 2003) jooksevad 6nda põlkonna kliendi otsa, ma ei tea.
[/quote]
Seega pole aasta enne 2008 release olnud üldse võimalik Vistat toetada? GPO Software Installation on 2000'st saadik üsna muutumatu olnud, Vista/2008 all pole kah erilisi muudatusi. Ja 5nda põlvkonna poliitikad 6nda otsas ei oma vahet. Kui antakse ette võõras GPO, ignoreeritakse, kui on mittetoetatud, ignoreeritakse. No problemo. GP't laiendatakse ja kui ma ei eksi, pandi 2003'le kah hunnik laiendusi juurde Vista jaoks. Domeenis on üks 2008 DC, seega on schema uuendatud.
[/quote]


Praktiline vahe on see, et enne 2003 läksid everyone share peale ja keegi ei kysinud mitte midagi Nüüd küsitakse, et kes sa oled.

http://support.microsoft.com/kb/278259

Iusrid on anonymous jaoks.

http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/9ad4a5f5-57b5-4c46-9993-7cfe57232443.mspx?mfr=true

Windows 2000 ongi 5. põlvkonna windows. NT4 oli 4. ja XP on 5.1 algselt ideega expansion pack

Kunagi ammu kui vista välja tuli oli sellega mingi mega ikaldus ja praktiliselt ükski GPO ei funkand korralikult, ei tea mis peale SP1te on saanud. No näed sinu mure puhul ju omab vahet, sest Vista all ju asi ei tööta
küsimus ei ole Schemas vms, vaid lihtsalt kas setting A mis tähendas XP jaoks A tähendab ka vista jaoks A või hoopis B. Sest niipalju kui microsofti mehed on rääkinud siis on nad turvlisuse selles läti kanas täitsa ümber ehitanud.

Aga anna teada kui ikalduse üles leiad

[friik1]

Asi on veel müstilisem ja katki nüüd.
Vista peal setup.exe käivitades setup crashib ühegi küsimuseta. UAC õigusi nõudes on näha, et rakendus on "unknown publisher". Kui faili atribuute vaadata, on ikoon olemas, digiallkirjad olemas ning Publisher kenasti kirjas.
Kui ma teisest puust või lokaalselt setupi käivitan, on mõnikord okei. Teise puu all mõtlen ka \\server \\server.domeen asemel. Kui võrgupuust kopeerida lokaalseks, on ikka katki. Kui VLK'st tõmmatud image lahti pakkida, on okei. Kui VLK'st tulnud image võrku saata, on teistel arvutitel ikka katki.
Lühidalt kui korra on setup korralikult käivitunud, käivitub ta igalt poolt korralikult. Aga peale WDS'ist installilt tulekut pole veel setupi käivitatud ning asi on katki.
Justkui kohtleks Vista setup.exe't mingil kummalisel viisil teistmoodi...
Täielik müstika...

Homme proovin workaroundi, et MSOCache WIMi sisse panna, et ta ei peaks puhverdama ning äkki siis MSI paigaldus õnnestub...

EDIT:
Viga leitud vist! 2003->2008 upgrade oli vist midagi võrgunduse juures katki teinud. Kõrval jooksev 2k8 x64 tööjaama peal serveerib paketti kenasti. Peaks proovima nüüd SMB2 kinni keerata ja tulemusi jälgida.

EDIT2: eile lõpetas server Vistale absoluutselt MSI'de pakkumise, lisaks hangub roaming profiles laadimine printerite määramise juures. Vista saab kinga kuni uute serverite püsti ajamiseni.