Ошибка установки групповой политики 1274

Я пытаюсь развернуть MSI через групповую политику в Active Directory. Но это ошибки, которые я получаю в журнале событий системы после входа в систему:

  • Не удалось назначить приложение XStandard из установки политики. Ошибка была:%% 1274
  • Не удалось удалить назначение приложения XStandard из установки политики. Ошибка была: %% 2
  • Не удалось применить изменения к настройкам установки программного обеспечения. Установка программного обеспечения, развернутого с помощью групповой политики для этого пользователя, была отложена до следующего входа в систему, поскольку изменения должны быть применены до входа пользователя. Ошибка была:%% 1274
  • Установка программного обеспечения для расширения клиентской стороны групповой политики не смогла применить один или несколько настроек, поскольку изменения должны быть обработаны до запуска системы или входа в систему. Система будет ждать полного завершения обработки групповой политики до следующего запуска или входа в систему для этого пользователя, что может привести к медленному запуску и производительности загрузки.

Когда я перезагружаюсь и снова вхожу в систему, я просто получаю те же сообщения о необходимости выполнить обновление до следующего входа в систему. Я на 32-битном ноутбуке Windows Vista. Я довольно новичок в развертывании через групповую политику, поэтому какая другая информация будет полезна при определении проблемы? Я попробовал другой MSI с теми же результатами. Я могу установить MSI с помощью командной строки и msiexec при входе в компьютер, поэтому я знаю, что MSI работает нормально, по крайней мере.

Системное администрирование
active-directory group-policy msi
22-го июля 2009 в 8:13
534 просмотров
Решение

Вы видите страшное бедствие асинхронной обработки политики. Это не «функция» (и она была отключена по умолчанию в Windows 2000, но по умолчанию в Windows XP и выше) и вызывает именно то, что вы видите - недетерминированное поведение с обработкой некоторых типов настроек GPO.

В GPO, который применяется к этому компьютеру, добавьте следующую настройку:

  • Настройки компьютера
    • Административные шаблоны
      • Система
        • Вход
          • Всегда ждите сети при запуске компьютера и входе в систему - Включено

После того, как вы установите это (и разрешите GPO копировать, если вы находитесь в среде с несколькими DC), выполните «gpupdate / force / boot» на соответствующем ПК. Он перезагрузится, и вы увидите, что происходит установка программного обеспечения.

«Всегда ждать сети при запуске компьютера и входе в систему» немного замедляет запуск и вход в систему, потому что все расширения GPO могут обрабатываться, но положительным моментом является то, что все расширения GPO могут обрабатываться.

Комментарии (2)

Я попробовал Всегда ждать сети при запуске компьютера и войти в систему - Включено настройка из ответа @Evan Anderson, но только когда я добавил этот параметр ниже, это позволило программному обеспечению установить ,. Не уверен, была ли это комбинация обеих настроек или нет. Сейчас это работает, поэтому я оставляю обе настройки.

В групповой политике, применяемой к этим рабочим станциям, перейдите по ссылке:

  • Конфигурация компьютера > Политики > Административные шаблоны > Система > Групповая политика *

Включите Укажите время ожидания обработки политики запуска . Установите Количество времени ждать (в секундах) : = 120

120 может быть излишним, но это сработало для меня. Другие форумы предложили установить это до 30 секунд. Даже при том, что по умолчанию используется 30 секунд (когда политика не установлена), для них работает до 30 секунд.

Community
Редактировал ответ 13-го апреля 2017 в 12:14
Комментарии (4)

Это может произойти, если приложение уже установлено, но msiexec не может удалить его. Наиболее распространенным сценарием является предыдущая ручная установка с выбранным «Только для меня» вместо «Каждый, кто входит в систему на этом компьютере».

Вы можете использовать утилиту очистки установщика Windows (http://support.microsoft.com/kb/290301), чтобы заставить ПК думать, что приложения больше нет, и тогда оно должно быть хорошим.

Комментарии (1)

И я только что нашел другую причину этой ошибки. Если на коммутаторе Ethernet, подключенном к проблемной рабочей станции, настроено «Трево сканирования», это задержит активацию порта коммутатора при загрузке ПК. Отключение Spanning Tree для порта коммутатора или включение «Spanning Tree Portfast» для порта коммутатора решило эту проблему на нескольких моих рабочих станциях.

Комментарии (0)

Изменение « времени ожидания обработки политики запуска » сработало для меня. Он был установлен на 30 секунд, но некоторые рабочие станции все еще не работали с% 1274.

Я увеличил его до 90 секунд, и они были счастливы.

Комментарии (0)

У меня была та же проблема, но ни одно из исправлений выше не сработало. Наконец, я понял, что перед моим другим GPO пытался установить программное обеспечение, и он потерпел неудачу с ошибкой% 1274, потому что у самого GPO были неправильные разрешения. По какой-то причине этот сбой мешал установке моего GPO, даже через мой имел правильные разрешения. После того, как я отключил другую проблему GPO, мой GPO установлен правильно.

Комментарии (0)

Иногда ваша групповая политика может быть испорчена. Попробуйте удалить весь ключ реестра HKLM / SOFTWARE / Microsoft / Windows / CurrentVersion / Group Policy. Вы, вероятно, найдете все, что GP будет установлено снова при перезагрузке. Возможно, вы захотите сначала сделать резервную копию своего реестра...

Комментарии (0)

Я столкнулся с таким же поведением с парой ноутбуков. Они работали нормально в течение нескольких лет, а затем внезапно не установили никакого нового программного обеспечения через gpo. Принуждение параметра «Время ожидания при обработке политики запуска», похоже, исправило проблему. Как уже говорилось ранее, по умолчанию * должно быть 30 секунд, но мне казалось, что ноутбуки вообще не ждали при запуске политик, а пропустили прямо. Все ноутбуки были win7x64, DC Server2008R2 и Server2012.

Комментарии (0)

У нас была такая же проблема. Наконец, мы выяснили, что наши ноутбуки были аутентифицированы RADIUS на WiFi, и сетевая установка не могла начаться, пока пользователь не войдет в систему с учетными данными AD (потому что до этого времени не было возможности подключения к сети для удаленного выполнения файлов установки). И после входа пользователя было слишком поздно, так как установка должна начаться до этого.

Когда клиент подключен через Ethernet, это работало как шарм!

Andrew Schulman
Редактировал ответ 20-го марта 2018 в 4:10
Комментарии (0)

Проблема решена!

Я входил в клиентские машины в качестве пользователя домена с привилегиями администратора Enterprise / Domain и без проблем мог получить доступ к общей папке, содержащей установочные пакеты MSI. Тем не менее, в какой-то момент попытался получить к нему доступ через \ IP \ share_path_to_msi_packages_folder с другого не-доменного ПК и продолжал получать всплывающее окно входа. По сути, даже если разрешить все доменные и не доменные пользователи / группы или разрешения «Все» для чтения / записи в общей папке, это все равно не будет работать и предложит мне имя пользователя / пароль, тем самым не позволяя локальному клиенту извлекать пакеты, на которые указывает GPO. , Это вызвано анонимным доступом, отключенным по умолчанию . После включения и предоставления разрешений на чтение / запись в папку MSI удалось успешно развернуть большинство пакетов и только synology-cloud-station-3.1.-3320.msi не удалось (нужно разобраться в этом). Я также смог получить доступ к общей папке с любого компьютера, не являющегося доменами.

Я получал эти сообщения об ошибках почти каждые 5 минут в Events > Система:

101 Назначение приложения 7-Zip 9.20 (издание x64) из политики установки базовых пакетов DOMAIN не удалось. Ошибка была:%% 1274

103 Назначение приложения 7-Zip 9.20 (издание x64) из политики установки базовых пакетов DOMAIN не удалось. Ошибка была:%% 1274

108 Не удалось применить изменения к настройкам установки программного обеспечения. Установка программного обеспечения, развернутого с помощью групповой политики для этого пользователя, была отложена до следующего входа в систему, поскольку изменения должны быть применены до входа пользователя. Ошибка была:%% 1274

1112 Не удалось применить изменения к настройкам установки программного обеспечения. Установка программного обеспечения, развернутого с помощью групповой политики для этого пользователя, была отложена до следующего входа в систему, поскольку изменения должны быть применены до входа пользователя. Ошибка была:%% 1274

Настройка:

SERVERS DC1 (PDC) + DC2 (BDC) + DC3 (DBC) Стандарт Windows 2012 R2 полностью обновлен

КЛИЕНТЫ Windows 7 Pro SP1 (чистое восстановление Dell, полностью обновленные конфликтующие пакеты, такие как старая удаленная Adobe Flash)

Уже пробовали на клиентах:

  • gpupdate / force
  • gpupdate / force / boot (оба просят перезагрузить компьютер и ошиблись, если политики не были применены)
  • gpresult / r (хорошо выглядит)
  • и серверы, и клиенты могут получить доступ к общему диску, на котором хранятся пакеты MSI
  • перезагружался несколько раз DC1 и клиентов после изменений в GPO

GPO отключить UAC:

& Лт; код >

  • Конфигурация компьютера
    • Политики
      • Настройки Windows
        • Настройки безопасности
          • Локальная политика
            • Параметры безопасности ВЫЯВЛЯЙТЕ БЕЗ СОДЕЙСТВИЯ: Контроль учетных записей пользователей: поведение подсказки высоты для администраторов в режиме одобрения администраторов DISABLE: Контроль учетных записей пользователей: определить установку приложения и запросить повышение ОТКЛЮЧЕНО: Управление учетными записями пользователей: Запустите всех администраторов в режиме одобрения администраторов & Лт; / код >

& Лт; код > GPO развернуть базовое программное обеспечение:

  • Конфигурация компьютера
    • Политики
      • Административные шаблоны
        • Система
          • Вход ВХОДЯЩИЙ: Всегда ждите сети при запуске компьютера
          • Групповая политика ВХОДЯЩИЙ: Укажите время ожидания обработки политики запуска (временно установленное на 120, изменится на 30 позже) & Лт; / код >

& Лт; код >

  • Конфигурация компьютера
    • Политики
      • Установка программного обеспечения
        • 7-Zip 9.20 (издание x64) v9.20 Назначено \ LANIP \ Utils \ Software \ GPO \ 7zip-7z920-x64.msi
        • Google Chrome v66.41 Назначено \ LANIP \ Utils \ Software \ GPO \ googlechromestandaloneenterprise.msi
        • Mozilla Firefox (en-GB) v35.0 Назначено \ LANIP \ Utils \ Software \ GPO \ firefox-35.0.1-en-gb-msi
        • Synology Cloud Station v3.1 Назначено \ LANIP \ Utils \ Software \ GPO \ synology-cloud-station-3.1.-3320.msi & Лт; / код >

Все GPO размещены в объектах групповой политики, а затем связаны с GPO непосредственно под нашим доменом. Другие настройки, такие как ограничения IE от другой установки GPO, так же применяются к клиенту правильно.

Других ошибок в AD, DHCP, DNS работают отлично, машины получают IP-адреса и могут разрешать имена с помощью nslookup, а также пинговать друг друга на IPv4 / IPv6.

Комментарии (0)

Ответ Эвана Андерсона в порядке, но он пропускает довольно важный отказ от ответственности:

Это может значительно замедлить вход в систему вне домена для ноутбуков и беспроводных клиентов.

Учитывая, что обходной путь без этого GPO состоит в том, чтобы просто перезагрузить дважды, я не понимаю, почему кто-то отнял бы эту сделку.

Комментарии (0)

Windows 2012 R2

В групповой политике, применяемой к этим рабочим станциям, перейдите к:

Конфигурация компьютера > Политики > Административные шаблоны > Система > Групповая политика

Включите «Указать время ожидания обработки политики запуска». Установите количество времени ожидания (в секундах): = 120

Комментарии (1)