我正在通过 GPO 部署 VMware 播放器,并且我想将特定的 ACL 应用到安装文件夹以及我在播放器安装期间创建的 D:\VMWARE 文件夹。我还必须添加“可以在本地登录”权限的vmware 用户帐户。为此,我创建了一个 GPO,其范围与我的 Vmware 播放器安装 GPO 相同。此 GPO 运行良好,但是当与我的部署 GPO 同时应用时,它似乎在部署 GPO 之前应用,然后: - 找不到vmware 用户帐户 - 找不到 c:\program files\vmware 文件夹 - 找不到 D:\vmware 文件夹,因为 vmware 播放器安装程序尚未创建它们。我应用安全 GPO 的唯一方法是手动执行 gpudate /force 命令,我不想使用它(它应该是自动安装)
我检查了 gpo 处理顺序,我的安全 GPO 应该在我安装 GPO 之后应用(安全 GPO 是第 1 号,部署 GPO 是第 1 号),但似乎并非如此。
有没有人有解决这个问题的想法?
好像这里有时间问题。更改 GPO 的处理顺序时想到两三件事
1)您可以更改GPO对象的链接顺序以调整其处理顺序。转至 GPMC 中包含相关 gpo 的 OU。
2) 您始终可以通过强制执行 GPO 在处理中最后运行它。因此,在您的情况下,您将强制执行安全 GPO
3) 使用 WMI 过滤器使安全 GPO 依赖于安装程序 GPO。安装 Vmware 播放器的 WMI 过滤器检查添加/删除程序(我相信是 win32_applications)作为安全 GPO 的执行条件。
为保证按预期工作,我将使用以下两种方法之一以稍微不同的方式完成此任务:
1)在通过 GPO 部署的脚本中实现整个过程。这样您就可以保证脚本内的处理顺序。缺点是不能通过禁用 GPO 来取消部署 vmware player。(如果您不是通过 MSI 安装,这不是问题)。这将是我的首选方法。
2)重新打包 vmware player MSI以包括必要的 ACL 更改和用户帐户的创建。我不惜一切代价避免重新打包 MSI,因为它会成为维护方面的难题。