Erro na instalação da Diretiva de Grupo 1274

Estou tentando implantar um MSI por meio da Diretiva de Grupo no Active Directory. Mas estes são os erros que estou recebendo no log de eventos do sistema após o login:

• A atribuição do aplicativo XStandard da instalação da política falhou. O erro foi: %% 1274
• A remoção da atribuição do aplicativo XStandard da instalação da política falhou. O erro foi: %% 2
• Falha ao aplicar as alterações nas configurações de instalação do software. A instalação do software implantado por meio da Diretiva de Grupo para este usuário foi atrasada até o próximo logon, pois as alterações devem ser aplicadas antes do logon do usuário. O erro foi: %% 1274
• A instalação do software de extensão do lado da política de grupo do cliente não pôde aplicar uma ou mais configurações porque as alterações devem ser processadas antes da inicialização do sistema ou logon do usuário. O sistema aguardará o término completo do processamento da Diretiva de Grupo antes da próxima inicialização ou logon deste usuário, e isso poderá resultar em desempenho lento de inicialização e inicialização.

Ao reiniciar e efetuar login novamente, simplesmente recebo as mesmas mensagens sobre a necessidade de executar a atualização antes do próximo logon. Estou em um laptop Windows Vista de 32 bits. Eu sou bastante novo na implantação por meio da política de grupo. Quais outras informações seriam úteis para determinar o problema? Eu tentei um MSI diferente com os mesmos resultados. Consigo instalar o MSI usando a linha de comando e o msiexec quando conectado ao computador, então sei que o MSI está funcionando bem, pelo menos.

Você está vendo o temido flagelo do processamento de políticas assíncronas. Não é um "recurso" (e foi desativado por padrão no Windows 2000, mas ativado por padrão no Windows XP e acima) e causa exatamente o que você está vendo - comportamento não determinístico ao processar alguns tipos de configurações de GPO.

Em um GPO que se aplica a esse computador, adicione a seguinte configuração:

• Configurações do computador
  • Modelos Administrativos
    • Sistema
      • Logon
        • Sempre aguarde a rede na inicialização e no logon do computador - Ativado

Depois de definir isso (e permitir que o GPO seja replicado se você estiver em um ambiente com vários controladores de domínio), faça um "gpupdate / force / boot" no PC em questão. Ele será reiniciado e você deverá ver a instalação do software.

O "Sempre aguarde a rede na inicialização e no logon do computador" diminui ligeiramente a inicialização e o logon, porque todas as extensões de GPO têm permissão para processar, mas a vantagem é que todas as extensões de GPO têm permissão para processar.

Tentei a configuração Sempre aguardar a rede na inicialização e no logon do computador - Ativada a partir da resposta de @Evan Anderson, mas foi somente depois de adicionar essa configuração abaixo que permiti a instalação do software. Não tenho certeza se foi uma combinação de ambas as configurações ou não. Está funcionando agora, então estou deixando as duas configurações.

Em uma Diretiva de Grupo aplicada a essas estações de trabalho, navegue para:

Configuração do computador> Diretivas> Modelos Administrativos> Sistema> Diretiva de Grupo

Habilite o tempo de espera para especificar o processamento da política de inicialização . Defina a quantidade de tempo de espera (em segundos) : = 120

120 pode ser um exagero, mas isso funcionou para mim. Outros fóruns sugeriram definir isso para 30 segundos. Mesmo 30 segundos padrão (quando a política não está definida), forçá-lo a 30 segundos funcionou para eles.

Isso pode acontecer se o aplicativo já estiver instalado, mas o msiexec não conseguir desinstalá-lo. O cenário mais comum é uma instalação manual anterior com "Somente para mim" selecionado em vez de "Todos que fazem logon neste computador".

Você pode usar o Utilitário de Limpeza do Windows Installer ( http://support.microsoft.com/kb/290301 ) para induzir o PC a pensar que o aplicativo não está mais presente e, portanto, deve ficar bom.

E acabei de encontrar outra causa diferente desse erro. Se você tiver "Spanning Tree" configurado no switch Ethernet conectado à estação de trabalho problemática, isso atrasará a ativação da porta do switch quando o PC inicializar. Desativar o Spanning Tree para a porta do switch ou ativar "Spanning Tree Portfast" para o switchport resolveu esse problema em algumas de minhas estações de trabalho.

Eu tive o mesmo problema, mas nenhuma das correções acima funcionou. Finalmente, descobri que havia outro GPO tentando instalar o software antes do meu e estava falhando com o erro %% 1274 porque o próprio GPO tinha as permissões erradas. Por alguma razão, essa falha estava impedindo a instalação do meu GPO, mesmo através do meu tinha as permissões corretas. Depois que desabilitei o outro GPO com problema, meu GPO foi instalado corretamente.

Alterar o ' tempo de espera do processamento da política de inicialização ' funcionou para mim. Foi definido como 30 segundos, mas algumas estações de trabalho ainda estavam falhando com %% 1274.

Aumentei para 90 segundos e eles ficaram felizes.

Às vezes, sua política de grupo pode estragar tudo. Tente remover a chave de registro inteira HKLM / SOFTWARE / Microsoft / Windows / CurrentVersion / Group Policy. Você provavelmente encontrará tudo, desde o GP, instalado novamente na reinicialização. Você pode fazer backup do seu registro primeiro ...

Enfrentei o mesmo comportamento com dois laptops. Eles funcionaram bem por alguns anos e, de repente, não instalaram nenhum novo software via gpo. Forçar a configuração "Tempo de espera do processamento da diretiva de inicialização" parece ter corrigido o problema. Como dito anteriormente, deveria ter 30 segundos por padrão, mas para mim parecia que os laptops não esperavam nada na inicialização pelas políticas, mas pulavam direto. Todos os laptops eram win7x64, DCs Server2008R2 e Server2012.

Tivemos o mesmo problema. Finalmente descobrimos que nossos laptops eram RADIUS autenticados em WiFi, e a instalação da rede não pôde ser iniciada até o usuário efetuar login com credenciais do AD (porque não havia conectividade de rede até então para executar remotamente os arquivos de instalação). E depois que o usuário efetuou login, era tarde demais, pois a instalação deveria começar antes disso.

Quando o cliente conectado via Ethernet funcionou como um encanto!

Problema resolvido!

Eu estava efetuando login nas máquinas clientes como usuário do domínio com privilégios de administrador de empresa / domínio e conseguindo acessar uma pasta compartilhada contendo pacotes de instalação MSI sem nenhum problema. No entanto, em algum momento tentei acessá-lo via \ IP \ share_path_to_msi_packages_folder a partir de outro PC que não seja de domínio e continuei recebendo um pop-up de login. Basicamente, mesmo que se permita a todos os usuários / grupos de domínio e fora do domínio ou permissões de leitura / gravação de 'Todos' na pasta compartilhada, ele ainda não funcionaria e solicitaria o nome de usuário / senha, não permitindo que o cliente local retirasse os pacotes apontados pelo GPO . Isso é causado por acesso anônimo desativado por padrão. Depois de habilitá-lo e conceder permissões de leitura / gravação à pasta MSI, foi possível implantar com êxito a maioria dos pacotes e apenas a synology-cloud-station-3.1.-3320.msi falhou (é preciso investigar). Eu também consegui acessar a pasta compartilhada a partir de qualquer máquina que não seja de domínio.

Eu recebia essas mensagens de erro a cada 5 minutos em Eventos> Sistema:

101 Falha na atribuição do aplicativo 7-Zip 9.20 (edição x64) da instalação de pacotes básicos da política DOMAIN. O erro foi: %% 1274

103 Falha na atribuição do aplicativo 7-Zip 9.20 (edição x64) da instalação de pacotes básicos da política DOMAIN. O erro foi: %% 1274

108 Falha ao aplicar alterações nas configurações de instalação do software. A instalação do software implantado por meio da Diretiva de Grupo para este usuário foi atrasada até o próximo logon, pois as alterações devem ser aplicadas antes do logon do usuário. O erro foi: %% 1274

1112 Falha ao aplicar alterações nas configurações de instalação do software. A instalação do software implantado por meio da Diretiva de Grupo para este usuário foi atrasada até o próximo logon, pois as alterações devem ser aplicadas antes do logon do usuário. O erro foi: %% 1274

Configuração:

SERVIDORES DC1 (PDC) + DC2 (BDC) + DC3 (DBC) Windows 2012 R2 Standard totalmente atualizado

CLIENTES Windows 7 Pro SP1 (restauração limpa da Dell, pacotes totalmente atualizados e conflitantes, como o antigo Adobe Flash desinstalado)

Já experimentou clientes:

• gpupdate / force
• gpupdate / force / boot (ambos pedem para reiniciar e geram erros que as políticas não foram aplicadas)
• gpresult / r (com boa aparência)
• servidores e clientes podem acessar a unidade compartilhada onde os pacotes MSI estão armazenados
• reiniciado várias vezes DC1 e clientes após alterações no GPO

GPO desabilitar o UAC:

* Computer Configuration * Policies * Windows Settings * Security Settings * Local Policies * Security Options ELEVATE WITHOUT PROMPTING: User Account Control: Behaviour of the elevation prompt for administrators in Admin Approval Mode DISABLE: User Account Control: Detect application installation and prompt for elevation DISABLE: User Account Control: Run all administrators in Admin Approval Mode

GPO deploy base software: * Computer Configuration * Policies * Administrative Templates * System * Logon ENABLE: Always wait for the network at computer startup logon * Group Policy ENABLE: Specify startup policy processing wait time (temporarily set to 120 will change to 30 later)

* Computer Configuration * Policies * Software Installation * 7-Zip 9.20 (x64 edition) v9.20 Assigned \LANIP\Utils\Software\GPO\7zip-7z920-x64.msi * Google Chrome v66.41 Assigned \LANIP\Utils\Software\GPO\googlechromestandaloneenterprise.msi * Mozilla Firefox (en-GB) v35.0 Assigned \LANIP\Utils\Software\GPO\firefox-35.0.1-en-gb-msi * Synology Cloud Station v3.1 Assigned \LANIP\Utils\Software\GPO\synology-cloud-station-3.1.-3320.msi

Todos os GPOs são colocados em Objetos de Diretiva de Grupo e depois vinculados a partir de GPOs diretamente em nosso domínio. Outras configurações, como restrições do IE de outra configuração de GPO, aplicam-se da mesma maneira ao cliente corretamente.

Não há outros erros no AD, DHCP, DNS estão funcionando perfeitamente, as máquinas obtêm IPs e podem resolver nomes via nslookup, além de efetuar ping entre si no IPv4 / IPv6.

A resposta de Evan Anderson é boa, mas ele está perdendo um aviso muito importante:

Isso pode diminuir significativamente os logins fora do domínio para laptops e clientes sem fio.

Considerando que a solução alternativa sem esse GPO é simplesmente reiniciar duas vezes, eu realmente não vejo por que alguém iria tirar essa troca.

Windows 2012 R2

Em uma Diretiva de Grupo aplicada a essas estações de trabalho, navegue para:

Configuração do computador> Diretivas> Modelos Administrativos> Sistema> Diretiva de Grupo

Habilite o tempo de espera para especificar o processamento da política de inicialização. Defina a quantidade de tempo de espera (em segundos): = 120