O GPO não pode copiar o MSI do compartilhamento NETLOGON - mas quando o arquivo é renomeado, ele pode ser copiado

Eu tenho um GPO de computador em uma rede baseada no Windows Active Directory (com controladores de domínio locais) que atualmente instala um aplicativo \\MYDOMAIN\NETLOGON\...\application.msina inicialização. Isso funciona bem para todas as minhas máquinas conectadas à rede na inicialização, mas tenho um número crescente de usuários do Windows se conectando via VPN, o que significa que a máquina não está conectada à rede até algum ponto após o login do usuário.

Na ausência de qualquer alternativa óbvia de prática recomendada, minha solução proposta é copiar o application.msipara uma pasta dedicada oculta C:\localappse instalar a partir daí.

A criação de pastas de nível superior funciona bem. Copiar o arquivo de configuração funciona bem. Permissões herdadas na árvore de pastas funcionam bem. O que não funciona é que o application.msiarquivo não pode ser copiado.

Frustrantemente, se eu renomear application.msipara application.msi.zzzo mesmo GPO pode - e faz - copiar o arquivo para a máquina local com bastante alegria.

Pesquisas adicionais psexec -i -s explorer.exeme dão uma janela do Explorer sendo executada como a conta SYSTEM do GPO. Na verdade, posso navegar para o local apropriado \\MYDOMAIN\NETLOGINe posso copiar arquivos de lá, a menos que sejam nomeados como executáveis ​​ou instaladores. Todos os arquivos na pasta herdaram permissões e confirmei que são as mesmas. Todos os arquivos são "desbloqueados". Todos os arquivos têm o mesmo proprietário ( MYDOMAIN\Administrators). Não estou tentando executar o MSI do compartilhamento de rede, apenas copiá-lo.

Conclusão empírica: a conta SYSTEM usada pelo GPO não pode copiar *.msiou *.exearquivos do \\MYDOMAIN\NETLOGON\compartilhamento.

Isso não parece ser um estado de coisas razoável, então como faço para que meu GPO copie o application.msicomo está, para que na próxima oportunidade ele possa ser instalado a partir do disco local?